34 Switching-Technologien und CAM-Tabellen

34.1 Einführung

In den vorherigen Kapiteln haben wir uns mit den grundlegenden Konzepten der Datenübertragung auf Layer 2 des OSI-Modells befasst. Wir haben die Struktur von Frames, MAC-Adressierung und die Protokolle ARP/RARP kennengelernt, die für die Kommunikation auf der Sicherungsschicht unerlässlich sind. In diesem Kapitel werden wir uns nun mit einem weiteren zentralen Element moderner Netzwerke auseinandersetzen: den Switching-Technologien und den damit verbundenen Content Addressable Memory (CAM) Tabellen.

Switches haben die Netzwerkkommunikation revolutioniert, indem sie die Effizienz von lokalen Netzwerken erheblich verbessert haben. Im Gegensatz zu ihren Vorgängern, den Hubs, leiten Switches Datenframes gezielt nur an den Port weiter, an dem sich der Zielhost befindet, anstatt den Verkehr an alle Ports zu senden. Diese gezielte Weiterleitung basiert auf der Verwendung von CAM-Tabellen, die MAC-Adressen den entsprechenden Switch-Ports zuordnen.

In diesem Kapitel werden wir die verschiedenen Switching-Technologien, ihre Funktionsweise und ihre Evolution untersuchen. Wir werden die Struktur und Verwaltung von CAM-Tabellen im Detail betrachten und verstehen, wie Switches Frames weiterleitungsentscheidungen treffen. Darüber hinaus werden wir moderne Aspekte wie Multilayer-Switching, Quality of Service (QoS) und Switching-Sicherheit kennenlernen, die in aktuellen Netzwerkinfrastrukturen eine wichtige Rolle spielen.

Das Verständnis dieser Technologien ist für jeden Netzwerkadministrator unerlässlich, da Switches das Rückgrat moderner Netzwerke bilden – von kleinen Heimnetzwerken bis hin zu komplexen Rechenzentrumsinfrastrukturen.

34.2 Grundlagen des Switching

34.2.1 Von Hubs zu Switches: Evolution der Netzwerkgeräte

Um die Bedeutung von Switches und ihre revolutionäre Wirkung auf Netzwerke zu verstehen, ist es hilfreich, ihre historische Entwicklung zu betrachten.

34.2.1.1 Die Ära der Hubs

In den frühen Tagen der Ethernet-Netzwerke waren Hubs (auch Repeater oder Multiport-Repeater genannt) die Standardgeräte für die Verbindung mehrerer Computer in einem LAN. Hubs arbeiten auf der physikalischen Schicht (Layer 1) des OSI-Modells und haben eine sehr einfache Funktionsweise:

1. Wenn ein Frame an einem Port eingeht, verstärkt der Hub das Signal (daher der Name “Repeater”).
2. Der Hub sendet das verstärkte Signal an alle anderen Ports, unabhängig davon, für welches Gerät der Frame bestimmt ist.

Diese einfache “Repeater-Funktion” hat mehrere signifikante Einschränkungen:

• Shared Medium: Alle angeschlossenen Geräte teilen sich die verfügbare Bandbreite.
• Kollisionsdomäne: Ein Hub bildet eine einzige Kollisionsdomäne, in der nur ein Gerät gleichzeitig senden kann. Bei gleichzeitigen Sendeversuchen kommt es zu Kollisionen, die durch CSMA/CD behandelt werden müssen.
• Skalierungsprobleme: Mit zunehmender Anzahl von Geräten steigt die Kollisionsrate exponentiell an, was die Netzwerkleistung drastisch verschlechtert.
• Fehlende Intelligenz: Hubs verstehen nicht, welchem Ziel ein Frame zugestellt werden soll.

Diese Einschränkungen führten zur Entwicklung intelligenterer Netzwerkgeräte.

34.2.1.2 Der Aufstieg der Bridges

Bridges waren die ersten Geräte, die eine selektivere Weiterleitung von Frames ermöglichten. Im Gegensatz zu Hubs arbeiten Bridges auf der Sicherungsschicht (Layer 2) und können daher MAC-Adressen lesen und verarbeiten:

1. Bridges lernen MAC-Adressen, indem sie die Quell-MAC-Adresse jedes eingehenden Frames mit dem Eingangsport assoziieren.
2. Sie speichern diese Zuordnungen in einer MAC-Adresstabelle.
3. Bei eingehenden Frames prüfen sie anhand der Ziel-MAC-Adresse, an welchem Port sich das Zielgerät befindet.
4. Sie leiten den Frame nur an diesen spezifischen Port weiter.
5. Wenn die Zieladresse unbekannt ist, leiten sie den Frame an alle Ports weiter (Flooding).

Bridges bieten mehrere Vorteile gegenüber Hubs: - Sie reduzieren unnötigen Netzwerkverkehr durch gezielte Weiterleitung. - Sie teilen Kollisionsdomänen, was die Anzahl der Kollisionen reduziert. - Sie lernen automatisch die Netzwerktopologie.

34.2.1.3 Die Switch-Revolution

Switches können als Multi-Port-Bridges betrachtet werden. Der Hauptunterschied besteht darin, dass Switches Hardware-basierte Weiterleitungsentscheidungen in Echtzeit treffen können, während frühe Bridges oft softwarebasiert waren und langsamer arbeiteten. Moderne Switches bieten zahlreiche fortschrittliche Funktionen:

• Vollständig geswitchter Modus: Jeder Port bildet eine eigene Kollisionsdomäne.
• Vollduplex-Unterstützung: Gleichzeitiges Senden und Empfangen ohne Kollisionen.
• Wire-Speed Forwarding: Weiterleitung mit der vollen Geschwindigkeit des Mediums.
• Parallelverarbeitung: Gleichzeitige Kommunikation zwischen verschiedenen Port-Paaren.
• Erweiterte Funktionen: VLANs, Spanning Tree Protocol, Quality of Service und mehr.

Mit diesen Funktionen haben Switches die Art und Weise, wie LAN-Kommunikation funktioniert, grundlegend verändert. Sie ermöglichen eine effizientere Bandbreitennutzung, reduzieren Latenz und unterstützen größere Netzwerke bei gleichzeitig verbesserter Leistung.

34.2.2 Grundlegende Funktionsweise eines Switches

Das Kernkonzept des Switching ist die intelligente Weiterleitung von Frames basierend auf MAC-Adressen. Der grundlegende Betrieb eines Switches umfasst mehrere Schlüsselprozesse:

34.2.2.1 MAC-Adresslernen

Switches bauen ihre MAC-Adresstabellen dynamisch auf, indem sie den Netzwerkverkehr beobachten:

1. Bei jedem eingehenden Frame extrahiert der Switch die Quell-MAC-Adresse.
2. Der Switch ordnet diese MAC-Adresse dem Port zu, an dem der Frame eingegangen ist.
3. Falls die Adresse noch nicht in der MAC-Tabelle enthalten ist, wird ein neuer Eintrag erstellt.
4. Falls die Adresse bereits in der Tabelle existiert, aber mit einem anderen Port assoziiert ist, wird der Eintrag aktualisiert. Dies kann bei Geräten geschehen, die ihren physischen Standort im Netzwerk ändern.

Dieser Lernprozess läuft kontinuierlich und automatisch ab, wodurch der Switch stets über eine aktuelle “Karte” des Netzwerks verfügt.

34.2.2.2 Weiterleitungsentscheidung

Nachdem ein Frame empfangen wurde, trifft der Switch eine Weiterleitungsentscheidung basierend auf der Ziel-MAC-Adresse:

1. Der Switch extrahiert die Ziel-MAC-Adresse aus dem Frame-Header.
2. Er sucht in seiner MAC-Adresstabelle nach einem Eintrag für diese Adresse.
3. Wenn ein Eintrag gefunden wird, leitet der Switch den Frame nur an den assoziierten Port weiter.
4. Wenn kein Eintrag gefunden wird, leitet der Switch den Frame an alle Ports außer dem Eingangsport weiter (Flooding). Dies geschieht unter der Annahme, dass sich das Zielgerät meldet und seine Position dadurch bekannt wird.
5. Broadcast-Frames (mit der Zieladresse FF:FF:FF:FF:FF:FF) werden immer an alle Ports weitergeleitet.

Diese gezielte Weiterleitung ist der Hauptvorteil von Switches gegenüber Hubs und sorgt für eine effizientere Nutzung der Netzwerkbandbreite.

34.2.2.3 Filterung

Ein oft übersehener, aber wichtiger Aspekt des Switchings ist die Filterfunktion:

1. Frames, die an demselben Port ankommen und wieder ausgehen würden, werden gefiltert (verworfen), da sie nicht über den Switch geleitet werden müssen.
2. Frames mit ungültigen Formaten oder falschen Prüfsummen werden verworfen, um die Ausbreitung beschädigter Daten zu verhindern.
3. Bei Switches mit Port-Sicherheit können Frames basierend auf MAC-Adressen gefiltert werden.

Die Filterfunktion verbessert die Netzwerkeffizienz und kann zur Netzwerksicherheit beitragen.

34.2.2.4 Switching-Modi

Je nach Implementierung können Switches in verschiedenen Modi arbeiten:

1. Store-and-Forward: Der Switch empfängt den gesamten Frame, überprüft ihn auf Fehler (CRC) und leitet ihn dann weiter. Dieser Modus bietet die höchste Fehlerprüfung, fügt aber eine gewisse Latenz hinzu.

2. Cut-Through: Der Switch beginnt mit der Weiterleitung, sobald er genug vom Frame empfangen hat, um die Ziel-MAC-Adresse zu lesen (typischerweise die ersten 6-8 Bytes nach der Präambel). Dies reduziert die Latenz, erlaubt aber die Weiterleitung fehlerhafter Frames.

3. Fragment-Free: Ein Kompromiss zwischen den beiden anderen Modi. Der Switch wartet auf die ersten 64 Bytes des Frames (die minimale Ethernet-Framegröße), um die meisten Kollisionsfragmente zu erkennen, und leitet dann weiter. Dies bietet eine moderate Fehlerprüfung bei reduzierter Latenz.

Die Wahl des Modus hängt von den spezifischen Anforderungen des Netzwerks ab, wobei moderne Hochleistungsnetze oft Store-and-Forward bevorzugen, da die Latenzunterschiede bei hohen Geschwindigkeiten minimal sind.

34.2.3 Switching-Architekturen und Switching-Fabrics

Die internen Architekturen von Switches haben sich im Laufe der Zeit weiterentwickelt, um höhere Geschwindigkeiten und Portdichten zu unterstützen. Die Switching-Fabric, also der interne Pfad, über den Daten von einem Port zu einem anderen übertragen werden, ist ein kritischer Aspekt der Switch-Architektur.

34.2.3.1 Gemeinsamer Bus (Shared Bus)

In frühen Switch-Designs teilten sich alle Ports einen gemeinsamen internen Bus:

• Alle Frames werden über einen zentralen Bus zwischen den Ports übertragen.
• Nur ein Frame kann den Bus zu einer Zeit nutzen.
• Die Gesamtbandbreite ist auf die Kapazität des Busses beschränkt.
• Die Leistung nimmt mit steigender Verkehrslast ab.

Diese Architektur ist einfach und kostengünstig, aber ein potenzieller Engpass in Hochleistungsnetzwerken, da die maximale Durchsatzkapazität des Switches durch die Bandbreite des Busses begrenzt ist.

34.2.3.2 Gemeinsamer Speicher (Shared Memory)

Eine Verbesserung gegenüber dem Shared-Bus-Design ist die Shared-Memory-Architektur:

• Frames werden in einen gemeinsamen Speicherpool geschrieben, auf den alle Ports zugreifen können.
• Ein zentraler Schaltungsblock steuert den Schreibvorgang aus den Eingangsports und den Lesevorgang zu den Ausgangsports.
• Die Speicherbandbreite muss für die Summe aller Port-Geschwindigkeiten ausreichen.
• Diese Architektur bietet niedrige Latenz und reduziert Head-of-Line-Blocking-Probleme.

Shared-Memory-Designs sind effizient bei der Nutzung des Pufferspeichers, da dieser dynamisch auf die Ports aufgeteilt wird, je nach aktuellem Bedarf.

34.2.3.3 Kreuzschiene (Crossbar)

Die Crossbar-Architektur ermöglicht parallele Datenübertragungen zwischen verschiedenen Port-Paaren:

• Mehrere gleichzeitige Pfade können zwischen verschiedenen Eingangs- und Ausgangsports bestehen.
• Eine Schaltmatrix ermöglicht es jedem Eingangsport, mit jedem Ausgangsport zu kommunizieren.
• Die maximale Bandbreite kann bis zur Summe aller Portgeschwindigkeiten reichen.
• Komplexere Algorithmen sind erforderlich, um Konflikte zu lösen, wenn mehrere Eingangsports Daten an denselben Ausgangsport senden wollen.

Crossbar-Switches bieten hohen Durchsatz und sind gut für Hochleistungsanwendungen geeignet, bei denen mehrere gleichzeitige Übertragungen erforderlich sind.

34.2.3.4 Gestaffelte Kreuzschienen (Multistage Switching Fabric)

Für Switches mit sehr hoher Portdichte werden oft mehrstufige Switching-Fabrics eingesetzt:

• Mehrere Crossbar-Switches werden in Stufen angeordnet.
• Diese Architektur ermöglicht eine bessere Skalierbarkeit auf Hunderte oder Tausende von Ports.
• Sie bietet mehrere mögliche Pfade zwischen Eingangs- und Ausgangsports, was die Ausfallsicherheit erhöht.
• Komplexe Algorithmen steuern die Pfadauswahl und Lastverteilung.

Diese Architekturen werden häufig in Hochgeschwindigkeits-Core-Switches und Rechenzentrumsgeräten eingesetzt.

34.2.3.5 Leistungsmetriken von Switch-Architekturen

Bei der Bewertung von Switch-Architekturen sind mehrere Leistungsmetriken zu berücksichtigen:

1. Gesamtdurchsatz: Die maximale Datenmenge, die der Switch pro Zeiteinheit verarbeiten kann, typischerweise in Gbps oder Packets per Second (PPS) gemessen.

2. Blockierungsverhalten: Gibt an, ob und unter welchen Umständen der Switch Verkehr blockieren muss.

   • Non-blocking: Der Switch kann alle Ports gleichzeitig mit voller Geschwindigkeit betreiben.
   • Blocking: Unter bestimmten Verkehrsmustern muss der Switch Daten zwischenspeichern, was zu Verzögerungen führen kann.

3. Latenz: Die Verzögerung, die ein Frame beim Durchlaufen des Switches erfährt.

4. Puffergröße: Die Menge an Speicher, die für die Zwischenspeicherung von Frames verfügbar ist, wenn Ausgangspuffer temporär überlastet sind.

5. Head-of-Line Blocking: Tritt auf, wenn ein Frame an der Spitze einer Warteschlange den Fortschritt nachfolgender Frames blockiert, die für andere nicht-blockierte Ziele bestimmt sind.

Die Wahl der Switching-Architektur hängt von den spezifischen Anforderungen des Netzwerks ab, einschließlich Portdichte, Verkehrsmuster und Budget-Überlegungen.

34.3 Content Addressable Memory (CAM) Tabellen

Content Addressable Memory (CAM) ist ein spezialisierter Speichertyp, der in Switches verwendet wird, um MAC-Adresstabellen effizient zu implementieren. Im Gegensatz zu herkömmlichem RAM, bei dem ein bestimmter Speicherort durch seine Adresse angesprochen wird, ermöglicht CAM das Abrufen von Daten durch ihren Inhalt. Diese Eigenschaft macht CAM ideal für die schnelle Suche nach MAC-Adressen in Switching-Anwendungen.

34.3.1 Struktur und Funktion von CAM-Tabellen

34.3.1.1 Grundlegende Struktur einer CAM-Tabelle

Eine typische CAM-Tabelle in einem Ethernet-Switch enthält mehrere Felder für jeden Eintrag:

1. MAC-Adresse: Die 48-Bit-MAC-Adresse eines Netzwerkgeräts.
2. Port-Identifikator: Der Switch-Port, an dem das Gerät mit dieser MAC-Adresse angeschlossen ist.
3. VLAN-ID: Bei VLAN-fähigen Switches die Identifikation des Virtual LANs, zu dem dieser Eintrag gehört.
4. Zeitstempel oder Aging-Information: Informationen darüber, wann der Eintrag zuletzt aktualisiert wurde, um das Altern und Entfernen nicht mehr aktiver Einträge zu ermöglichen.
5. Typ-Feld: Gibt an, ob der Eintrag dynamisch gelernt, statisch konfiguriert oder systemreserviert ist.

In VLAN-Umgebungen ist die Kombination aus MAC-Adresse und VLAN-ID der eindeutige Schlüssel, da dieselbe MAC-Adresse in verschiedenen VLANs unterschiedlichen Ports zugeordnet sein kann.

34.3.1.2 CAM vs. traditionelles RAM

CAM bietet gegenüber herkömmlichem RAM entscheidende Vorteile für Switching-Anwendungen:

1. Parallele Suche: CAM kann alle Einträge gleichzeitig durchsuchen, was die Suche nach einer MAC-Adresse zu einer Operation mit konstanter Zeit (O(1)) macht, unabhängig von der Tabellengröße. Bei herkömmlichem RAM würde eine sequenzielle oder Hash-basierte Suche erforderlich sein, die signifikant langsamer wäre.

2. Deterministische Leistung: Die gleichbleibende Suchzeit gewährleistet deterministische Leistung auch bei großen Tabellen oder hohem Datenverkehr.

3. Hardware-Implementierung: CAM ist direkt in Hardware implementiert, was extrem schnelle Suchvorgänge ermöglicht – oft innerhalb eines einzigen Taktzyklus.

Die Nachteile von CAM sind: - Höhere Kosten pro Bit im Vergleich zu traditionellem RAM - Höherer Energieverbrauch - Begrenzte Kapazität

Diese Nachteile erklären, warum CAM-Tabellen in Switches typischerweise eine begrenzte Größe haben, die von der Preisklasse und dem Einsatzzweck des Switches abhängt.

34.3.1.3 Ternary Content Addressable Memory (TCAM)

Eine Weiterentwicklung des klassischen CAM ist das Ternary Content Addressable Memory (TCAM), das neben 0 und 1 auch einen dritten Zustand “X” (Don’t Care) unterstützt. TCAM wird oft für komplexere Switching-Funktionen verwendet:

• Access Control Lists (ACLs): TCAM ermöglicht die schnelle Überprüfung von Paketen gegen komplexe Filterregeln.
• Quality of Service (QoS): Klassifizierung von Paketen basierend auf verschiedenen Header-Feldern.
• Längster-Präfix-Matching: Essentiell für IP-Routing-Entscheidungen in Multilayer-Switches.

TCAM ist noch teurer und energieintensiver als reguläres CAM, bietet aber unübertroffene Flexibilität für erweiterte Netzwerkfunktionen.

34.3.2 CAM-Tabellenoperationen und -verwaltung

34.3.2.1 Lernen von MAC-Adressen

Der Lernprozess für MAC-Adressen in der CAM-Tabelle läuft wie folgt ab:

1. Wenn ein Frame an einem Port eingeht, extrahiert der Switch die Quell-MAC-Adresse und VLAN-ID (falls zutreffend).
2. Der Switch führt eine CAM-Tabellensuche nach dieser MAC-Adresse/VLAN-Kombination durch.
3. Wenn kein Eintrag gefunden wird, wird ein neuer Eintrag erstellt, der die MAC-Adresse mit dem Eingangsport verknüpft.
4. Wenn ein Eintrag existiert, aber mit einem anderen Port verknüpft ist, wird der Eintrag aktualisiert, um den neuen Port zu reflektieren. Dies kann auftreten, wenn ein Gerät physisch umgezogen wurde.
5. Der Zeitstempel des Eintrags wird auf den aktuellen Wert gesetzt oder aktualisiert.

Dieser Lernprozess erfolgt automatisch und kontinuierlich, während der Switch Datenverkehr verarbeitet.

34.3.2.2 Alterungsmechanismus (Aging)

Um zu verhindern, dass die CAM-Tabelle mit veralteten Einträgen überfüllt wird, implementieren Switches einen Alterungsmechanismus:

1. Jeder dynamisch gelernte Eintrag erhält einen Zeitstempel, wenn er erstellt oder aktualisiert wird.
2. Ein Aging-Timer (typischerweise 300 Sekunden oder 5 Minuten) definiert, wie lange ein Eintrag ohne Aktualisierung gültig bleibt.
3. Wenn ein Frame mit einer bekannten Quell-MAC-Adresse eingeht, wird der Zeitstempel aktualisiert, wodurch der Aging-Timer zurückgesetzt wird.
4. Einträge, deren Aging-Timer abgelaufen ist, werden aus der Tabelle entfernt.

Dieser Mechanismus stellt sicher, dass die Tabelle aktuell bleibt und Platz für neue Einträge verfügbar ist. Die Aging-Zeit kann auf den meisten Switches konfiguriert werden, je nach den spezifischen Anforderungen des Netzwerks.

34.3.2.3 Statische Einträge und Management

Neben dynamisch gelernten Einträgen unterstützen die meisten Switches auch statische Einträge, die manuell konfiguriert werden:

1. Statische Einträge: Diese werden administrativ konfiguriert und unterliegen nicht dem Aging-Prozess. Sie bleiben bestehen, bis sie manuell entfernt werden oder der Switch neu gestartet wird (je nach Implementierung).

2. Sticky MAC-Adressen: Ein Hybrid zwischen dynamischen und statischen Einträgen. Der Switch lernt die MAC-Adresse dynamisch, aber der Eintrag wird dann in der Konfiguration “festgeschrieben” und vor dem Altern geschützt.

3. Secure MAC-Adressen: Einträge, die im Rahmen von Port-Security-Funktionen definiert werden, um zu kontrollieren, welche Geräte an bestimmten Ports kommunizieren dürfen.

Administratoren können auch direkte Operationen an der CAM-Tabelle durchführen:

• Anzeigen der CAM-Tabelle: Überprüfen der aktuellen Einträge zu Diagnose- oder Auditzwecken.
• Manuelles Löschen von Einträgen: Entfernen veralteter oder problematischer Einträge.
• Löschen der gesamten Tabelle: Zurücksetzen aller dynamisch gelernten Einträge, was den Switch zwingt, das Netzwerk neu zu “lernen”.

34.3.2.4 CAM-Tabellenlimitierungen und Überlauf

Eine der wichtigsten Einschränkungen von CAM-Tabellen ist ihre begrenzte Größe. Typische Eintragskapazitäten reichen von einigen Tausend MAC-Adressen bei einfachen Switches bis zu Hunderttausenden bei Enterprise-Geräten.

Wenn die CAM-Tabelle voll ist, können verschiedene Strategien angewendet werden:

1. Least Recently Used (LRU): Der am längsten nicht aktualisierte Eintrag wird entfernt, um Platz für einen neuen zu schaffen.

2. Ablehnung neuer Einträge: Neue unbekannte MAC-Adressen werden nicht in die Tabelle aufgenommen, was zu verstärktem Flooding-Verhalten führt.

3. Alarme und Benachrichtigungen: Der Switch kann Administratoren warnen, wenn die CAM-Tabelle einen kritischen Füllstand erreicht.

CAM-Tabellenüberlauf kann ein Zeichen für: - Ein zu großes Broadcast-Domain mit zu vielen Geräten - Einen möglichen MAC-Flooding-Angriff - Fehlerhafte Netzwerkgeräte, die schnell ihre MAC-Adressen wechseln

In solchen Fällen können Netzwerksegmentierung durch VLANs, Port-Security oder andere Sicherheitsmaßnahmen erforderlich sein.

34.3.3 Praktische Aspekte von CAM-Tabellen

34.3.3.1 Diagnose und Überprüfung von CAM-Tabellen

Für Netzwerkadministratoren ist die Überprüfung und Analyse von CAM-Tabellen ein wichtiges Diagnosewerkzeug:

Auf Cisco-Switches:

show mac address-table

Auf HP/Aruba-Switches:

show mac-address

Auf Juniper-Switches:

show ethernet-switching table

Die Ausgabe zeigt typischerweise: - MAC-Adressen - Zugehörige Ports - VLAN-Informationen - Eintragstyp (dynamisch/statisch) - Aging-Informationen

Durch die Analyse dieser Informationen können Administratoren: - Die physische Topologie des Netzwerks verstehen - Unbekannte oder unerwartete Geräte identifizieren - Probleme mit der Gerätemobilität diagnostizieren - MAC-Flapping-Probleme erkennen (eine MAC-Adresse, die schnell zwischen Ports wechselt) - Die Wirksamkeit von Sicherheitsmaßnahmen überprüfen

34.3.3.2 Optimierung und Tuning

Für optimale Switch-Leistung können verschiedene Aspekte der CAM-Tabellenverwaltung angepasst werden:

1. Aging-Zeit: Anpassung basierend auf der Netzwerkstabilität und -dynamik.

   • Längere Aging-Zeiten reduzieren unnötige Neulernvorgänge in stabilen Netzwerken.
   • Kürzere Aging-Zeiten erhöhen die Reaktionsfähigkeit auf Topologieänderungen und können bei Sicherheitsproblemen hilfreich sein.

2. MAC-Adressen-Limits pro Port: Begrenzung der Anzahl der MAC-Adressen, die von einem einzelnen Port gelernt werden können, um MAC-Flooding-Angriffe zu verhindern.

3. VLAN-spezifische Optimierungen: In Umgebungen mit vielen VLANs kann die CAM-Tabellenkapazität für bestimmte VLANs priorisiert werden.

4. Hardware-Ressourcen-Verteilung: Bei fortschrittlichen Switches kann die Verteilung von TCAM-Ressourcen zwischen verschiedenen Funktionen (Switching, ACLs, QoS) optimiert werden.

Diese Optimierungen sollten auf Basis einer gründlichen Analyse der spezifischen Netzwerkanforderungen und des beobachteten Verhaltens vorgenommen werden.

34.3.3.3 Sicherheitsaspekte

CAM-Tabellen spielen eine wichtige Rolle bei verschiedenen Sicherheitsfunktionen und -bedrohungen:

1. MAC-Flooding-Angriffe: Ein Angreifer sendet Frames mit vielen verschiedenen gefälschten Quell-MAC-Adressen, um die CAM-Tabelle zu überfluten. Wenn die Tabelle voll ist, fällt der Switch möglicherweise in einen “Hub-Modus” zurück, indem er Frames an alle Ports weiterleitet, was Sniffing ermöglicht.

2. Port-Security: Diese Funktion begrenzt die Anzahl von MAC-Adressen, die an einem Port lernen darf, oder beschränkt sie auf spezifisch definierte Adressen. Verstöße können zu Alarmen oder Portabschaltungen führen.

3. MAC Address Notification: Switches können konfiguriert werden, um Benachrichtigungen zu senden, wenn neue MAC-Adressen gelernt oder entfernt werden, was zur Erkennung unerlaubter Geräte beitragen kann.

4. Dynamic ARP Inspection (DAI): In Verbindung mit DHCP Snooping verwendet diese Funktion verifizierte MAC-zu-IP-Bindungen, um ARP-Poisoning-Angriffe zu verhindern.

5. MAC Authentication Bypass (MAB): Verwendet MAC-Adressen als einfache Authentifizierungsmethode in Umgebungen, in denen 802.1X nicht praktikabel ist.

Eine korrekte Konfiguration und Überwachung der CAM-Tabellen-bezogenen Sicherheitsfunktionen ist ein wichtiger Teil der Netzwerksicherheitsstrategie.

34.3.4 Store-and-Forward vs. Cut-Through Switching (Fortsetzung)

34.3.4.1 Store-and-Forward Switching

Bei dieser Methode empfängt der Switch den gesamten Frame, bevor er mit der Weiterleitung beginnt:

1. Der vollständige Frame wird empfangen und in den Puffer des Switches gespeichert.
2. Der Switch führt eine CRC-Prüfung durch, um die Integrität des Frames zu verifizieren.
3. Wenn der Frame fehlerhaft ist, wird er verworfen, ansonsten wird er an den Zielport weitergeleitet.

Vorteile: - Fehlerhafte Frames werden nicht weitergeleitet, was die Netzwerkintegrität verbessert - Volle Unterstützung für QoS-Funktionen, da der komplette Frame analysiert werden kann - Möglichkeit zur Anpassung verschiedener Geschwindigkeiten zwischen den Ports

Nachteile: - Höhere Latenz, besonders bei großen Frames - Größerer Pufferspeicherbedarf

Store-and-Forward ist heute das am häufigsten implementierte Switching-Verfahren, da die niedrigere Latenz von Cut-Through bei modernen Hochgeschwindigkeitsnetzwerken weniger ins Gewicht fällt und die Fehlerfilterung wichtiger geworden ist.

34.3.4.2 Cut-Through Switching

Bei Cut-Through Switching beginnt der Switch mit der Weiterleitung eines Frames, bevor er vollständig empfangen wurde:

1. Der Switch liest nur die ersten Bytes des Frames (genug, um die Ziel-MAC-Adresse zu extrahieren, typischerweise die ersten 14 Bytes eines Ethernet-Frames).
2. Sobald die Ziel-MAC-Adresse bekannt ist, trifft der Switch die Weiterleitungsentscheidung und beginnt mit der Übertragung des Frames an den Zielport.
3. Der Rest des Frames wird durchgeleitet, während er weiterhin empfangen wird.

Vorteile: - Reduzierte Latenz, besonders für große Frames - Geringerer Pufferspeicherbedarf

Nachteile: - Fehlerhafte Frames werden weitergeleitet, da die CRC-Prüfung erst am Ende des Frames möglich ist - Eingeschränkte Unterstützung für QoS-Funktionen, die Informationen aus dem gesamten Frame benötigen - Möglicherweise Probleme bei der Anpassung unterschiedlicher Geschwindigkeiten

Cut-Through Switching ist besonders vorteilhaft in Umgebungen mit hohen Anforderungen an die Latenz, wie z.B. Hochgeschwindigkeits-Trading oder bestimmte industrielle Anwendungen.

34.3.4.3 Fragment-Free Switching

Fragment-Free Switching stellt einen Kompromiss zwischen Store-and-Forward und Cut-Through dar:

1. Der Switch wartet, bis die ersten 64 Bytes des Frames empfangen wurden, bevor er mit der Weiterleitung beginnt.
2. Diese 64 Bytes entsprechen der minimalen Ethernet-Framegröße, wodurch die meisten Kollisionsfragmente erkannt werden können.
3. Nach Empfang der ersten 64 Bytes beginnt die Weiterleitung ohne auf den Rest des Frames zu warten.

Vorteile: - Erkennung von Runt Frames (Frames, die durch Kollisionen verstümmelt wurden) - Niedrigere Latenz als Store-and-Forward, aber bessere Fehlerfilterung als Cut-Through - Guter Kompromiss für viele Netzwerkumgebungen

Nachteile: - Erkennt nicht alle Arten von Fehlern, insbesondere solche am Ende des Frames - Komplexere Implementierung

Fragment-Free kann als eine verbesserte Version des Cut-Through-Modus betrachtet werden, der einige der Hauptnachteile mildert.

34.3.4.4 Adaptive Switching

Viele moderne Switches implementieren adaptive Switching-Methoden, die dynamisch zwischen verschiedenen Modi wechseln können:

1. Der Switch beginnt typischerweise im Cut-Through- oder Fragment-Free-Modus.
2. Wenn eine bestimmte Anzahl von fehlerhaften Frames erkannt wird, wechselt der Switch automatisch in den Store-and-Forward-Modus.
3. Nach einer bestimmten Zeit ohne Fehler kann der Switch zum schnelleren Modus zurückkehren.

Diese Adaptivität ermöglicht es dem Switch, sowohl von niedriger Latenz als auch von Fehlerfilterung zu profitieren, je nach aktuellen Netzwerkbedingungen.

34.3.5 Multilayer-Switching

Während traditionelle Switches (Layer-2-Switches) Weiterleitungsentscheidungen ausschließlich basierend auf MAC-Adressen treffen, können Multilayer-Switches auch Informationen aus höheren Protokollschichten nutzen.

34.3.5.1 Layer-3-Switching

Layer-3-Switches kombinieren die Funktionen eines Switches mit denen eines Routers:

1. Layer-3-Switches können IP-Adressen lesen und Routing-Entscheidungen in Hardware treffen.
2. Sie führen sowohl LAN-Switching (basierend auf MAC-Adressen) als auch IP-Routing in einem einzigen Gerät durch.
3. Dies ermöglicht Kommunikation zwischen verschiedenen Subnetzen oder VLANs, ohne einen separaten Router zu benötigen.

Vorteile: - Höhere Routing-Geschwindigkeit im Vergleich zu softwarebasierten Routern - Reduzierte Latenz für Inter-VLAN-Kommunikation - Vereinfachte Netzwerktopologie und -verwaltung - Kosteneffizienz durch Konsolidierung von Switching- und Routing-Funktionen

Layer-3-Switches verwenden spezialisierte ASIC-Hardware (Application-Specific Integrated Circuits) und TCAM, um Routing-Tabellen zu speichern und Weiterleitungsentscheidungen mit hoher Geschwindigkeit zu treffen.

34.3.5.2 Layer-4-7-Switching (Content Switching)

Fortschrittlichere Switches können Entscheidungen basierend auf Informationen aus noch höheren Protokollschichten treffen:

• Layer-4-Switching: Berücksichtigt TCP/UDP-Ports, um zwischen verschiedenen Anwendungen zu unterscheiden.
• Layer-7-Switching: Analysiert Anwendungsprotokolle wie HTTP, FTP oder SMTP und kann aufgrund spezifischer Inhalte oder URLs Entscheidungen treffen.

Diese fortschrittlichen Switching-Techniken werden oft in spezialisierten Geräten wie Load Balancern, Web Application Firewalls (WAFs) oder Application Delivery Controllern (ADCs) implementiert.

34.3.5.3 Vorteile des Multilayer-Switching

Multilayer-Switching bietet mehrere Vorteile gegenüber traditionellen separaten Geräten für verschiedene Netzwerkschichten:

1. Leistung: Hardware-basierte Weiterleitungsentscheidungen auf höheren Protokollschichten sind deutlich schneller als softwarebasierte Alternativen.

2. Latenzreduktion: Durch die Integration mehrerer Funktionen in einem Gerät werden Netzwerksprünge reduziert, was die Gesamtlatenz verringert.

3. Intelligentes Traffic Management: Verkehr kann basierend auf einer Vielzahl von Kriterien gesteuert werden, einschließlich Anwendungstyp, Quelle/Ziel oder Dienstanforderungen.

4. Skalierbarkeit: Multilayer-Switching ermöglicht größere und komplexere Netzwerke, die dennoch effizient verwaltet werden können.

5. Kosten- und Platzeinsparungen: Weniger physische Geräte bedeuten niedrigere Kosten für Hardware, Strom, Kühlung und Rack-Platz.

34.3.6 Port-Typen und spezielle Switching-Funktionen

Moderne Switches unterstützen verschiedene Port-Typen und spezielle Funktionen, um unterschiedliche Netzwerkanforderungen zu erfüllen.

34.3.6.1 Access-Ports und Trunk-Ports

In VLAN-fähigen Switches gibt es typischerweise zwei Haupttypen von Ports:

Access-Ports: - Verbinden Endgeräte wie Computer, Drucker oder IP-Telefone - Gehören zu einem einzigen VLAN - Eingehende Frames werden dem konfigurierten VLAN zugeordnet - VLAN-Tags werden beim Senden entfernt und beim Empfang (implizit) hinzugefügt

Trunk-Ports: - Verbinden Switches untereinander oder mit VLAN-fähigen Routern - Können Verkehr von mehreren VLANs transportieren - Verwenden Tags (meist nach IEEE 802.1Q-Standard), um Frames verschiedenen VLANs zuzuordnen - Ermöglichen die effiziente Nutzung physischer Links für mehrere logische Netzwerke

Die korrekte Konfiguration von Access- und Trunk-Ports ist entscheidend für die Funktion von VLAN-Umgebungen.

34.3.6.2 Uplink-Ports und Stacking-Ports

Besondere Port-Typen dienen der Verbindung von Switches in hierarchischen oder gestapelten Topologien:

Uplink-Ports: - Höhere Bandbreite als Standard-Ports (z.B. 10G in einem 1G-Switch) - Verbinden Switches mit übergeordneten Switches oder Routern - Oft mit erweitertem Puffer und QoS-Funktionen ausgestattet, um Überlastsituationen zu bewältigen

Stacking-Ports: - Spezielle Hochgeschwindigkeitsports für die direkte Verbindung mehrerer Switches zu einem logischen Gerät - Nutzen oft proprietäre Protokolle und Verkabelung - Ermöglichen eine einheitliche Verwaltung mehrerer physischer Switches als eine logische Einheit - Bieten häufig redundante Pfade für hohe Ausfallsicherheit

34.3.6.3 Power over Ethernet (PoE)

Viele moderne Switches unterstützen Power over Ethernet, das die Stromversorgung von Geräten über die Ethernet-Verkabelung ermöglicht:

• PoE (IEEE 802.3af): Liefert bis zu 15,4 Watt pro Port
• PoE+ (IEEE 802.3at): Liefert bis zu 30 Watt pro Port
• PoE++ (IEEE 802.3bt): Liefert bis zu 60 Watt (Typ 3) oder 100 Watt (Typ 4) pro Port

Diese Funktion ist besonders nützlich für IP-Telefone, WLAN Access Points, Überwachungskameras und IoT-Geräte, da sie die Notwendigkeit separater Stromkabel eliminiert.

34.3.6.4 Quality of Service (QoS) und Traffic-Priorisierung

Moderne Switches implementieren verschiedene QoS-Mechanismen, um kritischen Verkehr zu priorisieren:

1. Klassifizierung: Identifizierung verschiedener Verkehrstypen basierend auf:
   • DSCP- oder CoS-Markierungen
   • TCP/UDP-Ports
   • IP-Adressen oder -Subnetze
   • VLAN-Tags
2. Warteschlangenverwaltung:
   • Mehrere Prioritätswarteschlangen pro Port (typischerweise 4-8)
   • Verschiedene Scheduling-Algorithmen (Strict Priority, Weighted Round Robin, etc.)
   • Techniken zur Vermeidung von Überlastungen (Random Early Detection, Weighted Random Early Detection)
3. Bandbreitenmanagement:
   • Rate Limiting zur Begrenzung bestimmter Verkehrstypen
   • Shaping zur Glättung von Verkehrsspitzen
   • Policing zur Durchsetzung von Bandbreitenbeschränkungen

QoS-Funktionen sind besonders wichtig für konvergierte Netzwerke, die verschiedene Verkehrstypen mit unterschiedlichen Anforderungen transportieren, wie z.B. Sprache, Video und Daten.

34.3.7 Switching-Verfahren für spezielle Anwendungen

34.3.7.1 Industrielles Ethernet-Switching

Industrielle Umgebungen stellen besondere Anforderungen an Netzwerkgeräte:

1. Determinismus: Garantierte maximale Übertragungszeiten für Echtzeit-Steuerungsdaten
2. Robustheit: Widerstandsfähigkeit gegen Vibrationen, extreme Temperaturen und elektromagnetische Störungen
3. Redundanz: Sofortige Umschaltung auf Backup-Pfade ohne Datenverlust
4. Langlebigkeit: Lange Produktlebenszyklen ohne häufige Modellwechsel

Industrielle Ethernet-Switches implementieren daher spezielle Funktionen:

• Präzises Timing: Unterstützung für IEEE 1588 Precision Time Protocol (PTP)
• Redundanzprotokolle: Schnellere Alternativen zu Spanning Tree wie PROFINET MRP (Media Redundancy Protocol) oder IEC 62439 PRP (Parallel Redundancy Protocol)
• Verstärkte physische Konstruktion: Lüfterlose Designs, erweiterte Temperaturbereiche, Schienen- oder Wandmontage
• Spezielle Schnittstellen: Unterstützung für industrielle M12-Steckverbinder oder Klemmenblöcke

34.3.7.2 Data Center Switching

Rechenzentrumsumgebungen haben ihre eigenen spezifischen Anforderungen:

1. Extrem hohe Dichte: Maximale Anzahl von Ports pro Rack-Einheit
2. Hohe Bandbreite: 10/25/40/100/400 Gbps und mehr
3. Niedrige Latenz: Minimale Verzögerung für zeitkritische Anwendungen
4. Energieeffizienz: Optimierter Stromverbrauch für Tausende von Ports
5. Virtualisierungsunterstützung: Nahtlose Integration mit VM-Mobilität und Software-Defined Networking

Data Center Switches bieten daher spezialisierte Funktionen:

• Non-Blocking Architektur: Volle Bandbreite zwischen allen Ports ohne Überzeichnung
• Leaf-Spine-Topologien: Flache, skalierbare Netzwerkarchitektur mit vorhersehbarer Latenz
• Erweiterte Puffergrößen: Für Microburst-Handhabung und bessere Leistung bei Incast-Szenarien
• Overlay-Netzwerke: Unterstützung für VXLAN, NVGRE und andere Overlay-Technologien
• Automatisierungsschnittstellen: APIs und Programmierbarkeit für DevOps-Integration

34.3.7.3 Campus- und Edge-Switching

Switches für Campus- oder Enterprise-Edge-Umgebungen fokussieren sich auf andere Aspekte:

1. Sicherheitsfunktionen: Integrierte Zugriffskontrolle und Verkehrsfilterung
2. Benutzeridentifikation: 802.1X, MAC Authentication Bypass, WebAuth
3. QoS für Unified Communications: Optimiert für Sprach- und Videoverkehr
4. Managementfunktionen: Einfache Bereitstellung und Verwaltung großer Switch-Gruppen
5. Flexibilität: Unterstützung für verschiedene Endgerätetypen und Anwendungen

Spezielle Funktionen umfassen:

• Software-Defined Access: Automatisierte Richtliniendurchsetzung basierend auf Benutzeridentitäten
• Integrierte Sicherheitsfeatures: Dynamic ARP Inspection, DHCP Snooping, IP Source Guard
• Tiefer Application Visibility: Anwendungserkennung und -kontrolle
• IoT-Unterstützung: Spezielle Profile für verschiedene IoT-Gerätetypen

34.4 Moderne Switching-Konzepte und Entwicklungen

34.4.1 Software-Defined Networking (SDN) und OpenFlow

Software-Defined Networking hat die Art und Weise, wie Netzwerke gestaltet und betrieben werden, grundlegend verändert. SDN trennt die Kontrollebene (die Entscheidung, wohin Daten gesendet werden) von der Datenebene (die tatsächliche Weiterleitung von Daten).

34.4.1.1 OpenFlow

OpenFlow ist eines der ersten und bekanntesten Protokolle für die Kommunikation zwischen der SDN-Kontrollebene und der Datenebene:

1. Eine zentrale SDN-Controller-Software kommuniziert über das OpenFlow-Protokoll mit kompatiblen Switches.
2. Der Controller programmiert Flow-Tabellen in den Switches, die definieren, wie verschiedene Arten von Verkehr behandelt werden sollen.
3. Wenn ein Switch ein Paket empfängt, das keiner bekannten Flow-Regel entspricht, kann er es an den Controller senden, der dann entscheidet, wie es behandelt werden soll.

OpenFlow-fähige Switches verwenden ihre TCAM- und Forwarding-Tabellen, um die vom Controller definierten Flow-Regeln zu implementieren.

34.4.1.2 Auswirkungen auf das traditionelle Switching

SDN und OpenFlow verändern mehrere Aspekte des traditionellen Switchings:

1. Zentralisierte Kontrolle: Anstatt dass jeder Switch unabhängig Entscheidungen trifft, werden Weiterleitungsregeln zentral definiert und verteilt.

2. Programmierbarkeit: Netzwerkpfade und -verhalten können programmiert werden, anstatt von standardisierten Protokollen wie Spanning Tree bestimmt zu werden.

3. Abstrahierung: Das physische Netzwerk wird zu einer programmierbaren Ressource, ähnlich wie Rechenleistung und Speicher in virtualisierten Umgebungen.

4. Automatisierung: Komplexe Netzwerkänderungen können automatisiert und über APIs gesteuert werden.

Viele Enterprise-Switches unterstützen heute sowohl traditionelles Switching als auch SDN-Modi, oft mit proprietären SDN-Implementierungen neben oder anstelle von OpenFlow.

34.4.2 Virtual Extensible LAN (VXLAN) und Overlay-Netzwerke

Traditionelle VLANs haben einige Einschränkungen, insbesondere die Begrenzung auf 4096 VLANs (mit 12-Bit-VLAN-IDs) und die Abhängigkeit von einer gemeinsamen Layer-2-Domäne. VXLAN und andere Overlay-Technologien wurden entwickelt, um diese Einschränkungen zu überwinden.

34.4.2.1 VXLAN-Grundlagen

VXLAN (Virtual Extensible LAN) ist ein Netzwerk-Virtualisierungsprotokoll, das Layer-2-Frames in Layer-3-UDP-Pakete einkapselt:

1. Es verwendet einen 24-Bit-VXLAN Network Identifier (VNI), der bis zu 16 Millionen logische Netzwerke unterstützt.
2. Es ermöglicht die Erweiterung von Layer-2-Segmenten über Layer-3-Grenzen hinweg.
3. Es unterstützt die Migration von virtuellen Maschinen zwischen verschiedenen physischen Standorten, während deren IP-Adressen beibehalten werden.

VXLAN-Pakete werden zwischen VXLAN Tunnel Endpoints (VTEPs) ausgetauscht, die die Einkapselung und Entkapselung durchführen.

34.4.2.2 Auswirkungen auf das Switching

VXLAN und ähnliche Overlay-Technologien (NVGRE, Geneve) verändern mehrere Aspekte des traditionellen Switchings:

1. MAC-Lernverfahren: VTEPs müssen lernen, welche MAC-Adressen mit welchen Remote-VTEPs verbunden sind, entweder durch Flooding oder durch Steuerungsebenen-Protokolle.

2. Bandbreite und MTU: Die VXLAN-Einkapselung fügt einen Overhead von 50 Bytes hinzu, was eine Erhöhung der MTU-Größe auf dem Transportnetzwerk notwendig machen kann.

3. Hardware-Unterstützung: Moderne Switches implementieren VXLAN-Einkapselung und -Entkapselung in Hardware, um die Leistung zu maximieren.

4. Komplexität der Fehlerbehebung: Die mehrschichtige Natur von Overlay-Netzwerken fügt Komplexität bei der Diagnose von Problemen hinzu.

Overlay-Netzwerke sind besonders wichtig in Multi-Tenant-Rechenzentren und Cloud-Umgebungen, wo Tausende von logisch isolierten Netzwerken auf derselben physischen Infrastruktur laufen müssen.

34.4.3 Data Center Bridging (DCB) und Konvergierte Infrastrukturen

Traditionell wurden für verschiedene Arten von Datenverkehr (Speicher, Cluster-Computing, regulärer Netzwerkverkehr) separate Netzwerke verwendet. Data Center Bridging (DCB) zielt darauf ab, ein konvergiertes Netzwerk zu schaffen, das allen Verkehrstypen gerecht wird.

34.4.3.1 DCB-Komponenten

DCB umfasst mehrere IEEE-Standards:

1. IEEE 802.1Qbb - Priority-based Flow Control (PFC): Eine Erweiterung von 802.3x Flow Control, die selektiv auf bestimmte Verkehrsklassen angewendet werden kann, anstatt den gesamten Port zu blockieren.

2. IEEE 802.1Qaz - Enhanced Transmission Selection (ETS): Ermöglicht die Zuweisung von Bandbreitenanteilen an verschiedene Verkehrsklassen und definiert unterschiedliche Scheduling-Algorithmen.

3. IEEE 802.1Qau - Congestion Notification: Ein End-to-End-Überlastungsverwaltungsmechanismus, der Stausituationen verhindert, bevor sie auftreten.

4. IEEE 802.1AB - Link Layer Discovery Protocol (LLDP): Ermöglicht Geräten, ihre Identität und Funktionen anzukündigen und zu erkennen.

34.4.3.2 FCoE und iSCSI über DCB

DCB ermöglicht die zuverlässige Übertragung von Storage-Protokollen über Ethernet:

• Fibre Channel over Ethernet (FCoE): Kapselt Fibre-Channel-Frames in Ethernet ein, nutzt DCB für verlustfreie Übertragung
• iSCSI über DCB: Verbessert die Zuverlässigkeit von IP-basiertem Speicherzugriff durch garantierte Bandbreite und selektive Flusskontrolle

Diese Technologien ermöglichen die Konsolidierung von Speicher- und Netzwerkinfrastrukturen, was zu Kosten- und Verwaltungsvorteilen führt.

34.4.3.3 Moderne Switches mit DCB-Unterstützung

Switches mit DCB-Unterstützung bieten spezielle Funktionen für konvergierte Infrastrukturen:

1. Deep Buffers: Größere Puffer, um Microbursts zu bewältigen, die in Storage- und HPC-Umgebungen auftreten
2. Präzises Timing: Unterstützung für IEEE 1588 PTP für zeitsensitive Anwendungen
3. Erweiterte QoS-Funktionen: Feinkörnige Kontrolle über verschiedene Verkehrstypen
4. Lossless Mode: Konfigurationsmöglichkeiten für garantiert verlustfreie Übertragung für spezifische Verkehrsklassen

Mit DCB können Unternehmen einheitliche Netzwerke aufbauen, die allen Anforderungen gerecht werden, anstatt separate Infrastrukturen für verschiedene Verkehrstypen zu unterhalten.

34.5 Sicherheitsaspekte des Switchings

Switches spielen eine wichtige Rolle bei der Netzwerksicherheit, da sie den grundlegenden Datenfluss im Netzwerk kontrollieren. In diesem Abschnitt betrachten wir die wichtigsten Sicherheitsaspekte und -funktionen.

34.5.1 Port-Security und MAC-Adressfilterung

Port-Security ist eine grundlegende Sicherheitsfunktion, die den Zugriff auf Switch-Ports basierend auf MAC-Adressen kontrolliert:

34.5.1.1 Konfigurationsoptionen für Port-Security

1. Maximum MAC-Adressen: Begrenzt die Anzahl der MAC-Adressen, die an einem Port gelernt werden können.
2. Statische MAC-Adressen: Erlaubt nur bestimmte, explizit konfigurierte MAC-Adressen.
3. Sticky Learning: Der Switch lernt MAC-Adressen dynamisch, aber sichert sie dann in der Konfiguration.
4. Aging-Time: Definiert, wie lange inaktive MAC-Adressen gespeichert bleiben.

34.5.1.2 Reaktionen auf Verstöße

Wenn eine Port-Security-Verletzung erkannt wird, kann der Switch verschiedene Maßnahmen ergreifen:

1. Protect: Verwirft Frames von unbefugten MAC-Adressen, der Port bleibt aktiv.
2. Restrict: Wie Protect, aber mit zusätzlicher Protokollierung und SNMP-Traps.
3. Shutdown: Deaktiviert den Port vollständig (err-disable) und erfordert manuelle Intervention.
4. Shutdown VLAN: Deaktiviert nur das betroffene VLAN auf dem Port, nicht den gesamten Port.

Port-Security ist eine wirksame Methode, um unerlaubte Geräte im Netzwerk zu erkennen und zu blockieren, sowie um MAC-Flooding-Angriffe zu verhindern.

34.5.2 VLAN-Hopping und Schutzmaßnahmen

VLAN-Hopping ist ein Angriff, bei dem ein Angreifer von einem VLAN auf ein anderes “springt”, obwohl er eigentlich darauf beschränkt sein sollte.

34.5.2.1 Arten von VLAN-Hopping-Angriffen

1. Switch Spoofing: Der Angreifer gibt vor, ein Switch zu sein und verhandelt einen Trunk-Link.
   • Ein Host sendet eigene DTP-Pakete (Dynamic Trunking Protocol), um einen Access-Port in einen Trunk-Port zu verwandeln.
   • Anschließend kann er 802.1Q-getaggte Frames an andere VLANs senden.
2. Double Tagging: Ausnutzung der Art und Weise, wie manche Switches native VLANs verarbeiten.
   • Der Angreifer sendet doppelt getaggte Frames.
   • Der erste Switch entfernt nur das äußere Tag (für das native VLAN).
   • Der nächste Switch entfernt das zweite Tag und leitet den Frame an das Ziel-VLAN weiter.

34.5.2.2 Schutzmaßnahmen gegen VLAN-Hopping

1. Gegen Switch Spoofing:
   • Deaktivieren von DTP auf allen Access-Ports (switchport nonegotiate)
   • Explizite Konfiguration von Ports als Access oder Trunk
   • Verwendung dedizierter VLANs für Trunk-Links
2. Gegen Double Tagging:
   • Nicht das gleiche native VLAN auf Trunk-Ports wie für Access-Ports verwenden
   • Explizites Taggen des nativen VLANs auf Trunk-Ports
   • Verwendung eines unbenutzten VLANs als natives VLAN auf Trunks

Diese Maßnahmen sind Teil der Best Practices für VLAN-Sicherheit und sollten in allen Produktionsnetzwerken implementiert werden.

34.5.3 DHCP Snooping und Dynamic ARP Inspection

34.5.3.1 DHCP Snooping

DHCP Snooping ist eine Sicherheitsfunktion, die DHCP-Verkehr überwacht und DHCP-Server-Antworten von nicht autorisierten Servern blockiert:

1. Ports werden als “trusted” (vertrauenswürdig) oder “untrusted” (nicht vertrauenswürdig) klassifiziert.
2. DHCP-Server-Nachrichten (DHCPOFFER, DHCPACK) werden nur von vertrauenswürdigen Ports akzeptiert.
3. Der Switch erstellt eine DHCP-Snooping-Bindungsdatenbank, die IP-zu-MAC-zu-Port-Bindungen enthält.
4. Optionale Rate-Limiting-Funktion schützt vor DHCP-Flooding-Angriffen.

Diese Funktion schützt vor “Rogue DHCP Server”-Angriffen, bei denen ein Angreifer einen eigenen DHCP-Server im Netzwerk platziert, um Clients falsche Netzwerkinformationen zuzuweisen.

34.5.3.2 Dynamic ARP Inspection (DAI)

Dynamic ARP Inspection nutzt die durch DHCP Snooping gesammelten Informationen, um ARP-Spoofing-Angriffe zu verhindern:

1. Bei Empfang eines ARP-Pakets überprüft der Switch es gegen die DHCP-Snooping-Bindungsdatenbank.
2. ARP-Pakete mit ungültigen IP-zu-MAC-Bindungen werden verworfen.
3. Nur ARP-Pakete von vertrauenswürdigen Ports oder solche, die den Bindungen entsprechen, werden zugelassen.
4. Alle Verstöße werden protokolliert.

DAI verhindert ARP-Spoofing- und ARP-Poisoning-Angriffe, bei denen ein Angreifer falsche ARP-Informationen im Netzwerk verbreitet, um Man-in-the-Middle-Angriffe durchzuführen.