5 Layer 2 - Die Sicherungsschicht

5.1 Einführung: Die Verbindung zwischen Geräten herstellen

Die Sicherungsschicht (Data Link Layer) ist die zweite Schicht des OSI-Referenzmodells und des TCP/IP-Protokollstapels. Während Layer 1 die physikalische Übertragung der Bits ermöglicht, ist Layer 2 für die zuverlässige Übertragung von Daten zwischen direkt verbundenen Geräten zuständig. Diese Schicht arbeitet mit Frames als Dateneinheiten und ermöglicht die direkte Kommunikation zwischen Netzwerkgeräten.

5.2 Hauptaufgaben von Layer 2

1. Framing: Strukturierung von Daten in Frames mit definiertem Anfang und Ende
2. Adressierung: Zuweisung physikalischer Adressen (MAC-Adressen) für Quell- und Zielgeräte
3. Fehlererkennung: Erkennung von Übertragungsfehlern
4. Zugriffssteuerung: Regelung des Zugriffs auf das gemeinsame Übertragungsmedium
5. Flusskontrolle: Anpassung der Übertragungsrate an die Verarbeitungsgeschwindigkeit des Empfängers

5.3 Layer 2 Adressierung - Die MAC-Adresse

Die MAC-Adresse (Media Access Control) ist eine 48-Bit-Adresse, die in hexadezimaler Notation dargestellt wird (z.B. 00:1A:2B:3C:4D:5E). Sie besteht aus:

• OUI (Organizational Unique Identifier): Die ersten 24 Bit, die vom IEEE an Hardwarehersteller vergeben werden
• Geräte-ID: Die letzten 24 Bit, die vom Hersteller zugewiesen werden

Eigenschaften der MAC-Adresse:

• Weltweit eindeutig (theoretisch)
• Fest in der Hardware verankert (kann jedoch oft per Software geändert werden)
• Wird für die Kommunikation innerhalb eines lokalen Netzwerks verwendet

5.4 Ethernet - Das dominierende Layer 2 Protokoll

Ethernet ist das meistverbreitete Protokoll für lokale Netzwerke und operiert auf Layer 2. IEEE 802.3 spezifiziert den Ethernet-Standard.

5.4.1 Ethernet Frame-Format

Ein typischer Ethernet-Frame besteht aus:

1. Preamble (7 Bytes): Synchronisationsmuster 10101010…
2. Start Frame Delimiter (SFD) (1 Byte): Markiert den Start des Frames (10101011)
3. Ziel-MAC-Adresse (6 Bytes): Adresse des Empfängers
4. Quell-MAC-Adresse (6 Bytes): Adresse des Senders
5. EtherType/Length (2 Bytes): Protokolltyp der höheren Schicht oder Länge
6. Daten + Padding (46-1500 Bytes): Nutzdaten, mindestens 46 Bytes
7. Frame Check Sequence (FCS) (4 Bytes): Prüfsumme zur Fehlererkennung (CRC)

Die minimale Größe eines Ethernet-Frames beträgt 64 Bytes, die maximale Größe 1518 Bytes (ohne VLAN-Tag).

5.4.2 Wichtige Frame-Typen

Ethernet kennt drei Arten von Zieladressen:

• Unicast: Übertragung an ein bestimmtes Gerät
• Multicast: Übertragung an eine Gruppe von Geräten
• Broadcast: Übertragung an alle Geräte im Netzwerk (FF:FF:FF:FF:FF:FF)

5.5 Layer 2 Netzwerkgeräte

Auf Layer 2 kommen spezifische Netzwerkgeräte zum Einsatz:

5.5.1 Switches

• Arbeiten auf Layer 2 des OSI-Modells
• Verwenden MAC-Adressen zur Weiterleitung von Frames
• Bauen eine MAC-Adresstabelle auf, die zuweist, an welchem Port welche MAC-Adresse zu finden ist
• Weiterleitung nur an den Port, an dem sich der Empfänger befindet (im Gegensatz zu Hubs)
• Reduzieren Kollisionsdomänen

5.5.2 Bridges

• Verbinden zwei Netzwerksegmente auf Layer 2
• Filtern Frames basierend auf MAC-Adressen
• Heute weitgehend durch Switches ersetzt

5.6 Zugriffsverfahren auf Layer 2

Um zu regeln, wann ein Gerät Daten senden darf, wurden verschiedene Zugriffsverfahren entwickelt:

5.6.1 CSMA/CD (Carrier Sense Multiple Access with Collision Detection)

• Traditionell bei Ethernet-Netzwerken verwendet
• Verfahren:
  1. Gerät prüft, ob das Medium frei ist
  2. Falls ja, beginnt es zu senden
  3. Bei einer Kollision wird ein Jam-Signal gesendet
  4. Alle kollidierenden Geräte warten eine zufällige Zeit und versuchen erneut
• In modernen Switched-Netzwerken mit Vollduplex-Betrieb nicht mehr relevant

5.6.2 Token Passing

• Verwendet in Token Ring und FDDI-Netzwerken
• Ein Token zirkuliert im Netzwerk
• Nur das Gerät mit dem Token darf senden
• Verhindert Kollisionen, aber zusätzlicher Overhead

5.7 Fehlerbehandlung auf Layer 2

Layer 2 implementiert verschiedene Methoden zur Fehlererkennung und -korrektur:

5.7.1 Fehlererkennung

• CRC (Cyclic Redundancy Check): Verwendet im FCS-Feld des Frames
• Paritätsprüfung: Einfaches Verfahren, das meist nur einen Fehler erkennen kann

5.7.2 Prozess der Fehlererkennung

1. Sender berechnet Prüfsumme über die Daten
2. Prüfsumme wird im Frame übertragen
3. Empfänger berechnet seinerseits die Prüfsumme
4. Stimmen die Prüfsummen nicht überein, wird der Frame verworfen

5.8 VLANs - Virtuelle Netzwerke auf Layer 2

Virtual LANs (VLANs) ermöglichen die logische Segmentierung eines physischen Netzwerks:

5.8.1 VLAN-Konzept

• Logische Gruppierung von Geräten unabhängig von ihrer physischen Position
• Geräte im selben VLAN können kommunizieren, als wären sie im selben physischen Netzwerk
• Geräte in unterschiedlichen VLANs benötigen einen Router für die Kommunikation

5.8.2 IEEE 802.1Q

• Standard für VLAN-Tagging
• Fügt 4 Bytes in den Ethernet-Frame ein:
  • 2 Bytes für Tag Protocol Identifier (TPID): 0x8100
  • 2 Bytes für Tag Control Information (TCI), enthält die VLAN-ID (12 Bits)
• Erhöht die maximale Frame-Größe auf 1522 Bytes

5.9 Spanning Tree Protocol (STP)

STP verhindert Switching-Loops in redundanten Netzwerken:

5.9.1 Funktionsweise

1. Wahl einer Root Bridge im Netzwerk
2. Jeder Switch berechnet den kürzesten Pfad zur Root Bridge
3. Ports, die zu Loops führen würden, werden in den Blocking-Status versetzt
4. Bei Ausfall eines Links werden blockierte Ports aktiviert

5.9.2 STP-Varianten

• IEEE 802.1D: Original Spanning Tree Protocol
• IEEE 802.1w (RSTP): Rapid Spanning Tree Protocol, schnellere Konvergenz
• IEEE 802.1s (MSTP): Multiple Spanning Tree Protocol, VLAN-spezifische Topologien

5.10 Layer 2 Sicherheitskonzepte

Verschiedene Techniken erhöhen die Sicherheit auf Layer 2:

5.10.1 Port Security

• Beschränkung der MAC-Adressen, die an einem Switch-Port erlaubt sind
• Schutz vor MAC-Flooding-Angriffen

5.10.2 MAC-Filterung

• Explizite Erlaubnis oder Verweigerung bestimmter MAC-Adressen
• Bietet grundlegende Sicherheit, kann jedoch durch MAC-Spoofing umgangen werden

5.10.3 IEEE 802.1X

• Port-basierte Netzwerkzugriffskontrolle
• Authentifizierung der Geräte bevor Netzwerkzugriff gewährt wird

5.11 Die wichtigsten Fakten

• Layer 2 ist für die Datenübertragung zwischen direkt verbundenen Geräten zuständig
• Verwendet MAC-Adressen zur Identifikation von Geräten
• Ethernet ist das dominierende Layer 2 Protokoll in lokalen Netzwerken
• Switches sind die wichtigsten Netzwerkgeräte auf Layer 2
• Frames sind die Dateneinheiten auf Layer 2
• Fehlererkennung erfolgt typischerweise über CRC-Prüfsummen
• VLANs ermöglichen die logische Segmentierung von Netzwerken
• Spanning Tree Protocol verhindert Switching-Loops
• Layer 2 Sicherheitskonzepte schützen vor spezifischen Angriffen wie MAC-Flooding

Die Sicherungsschicht bildet eine entscheidende Brücke zwischen der physikalischen Übertragung von Bits und der Vermittlung von Datenpaketen zwischen verschiedenen Netzwerken. Ein tiefes Verständnis von Layer 2 ist essenziell für die Planung, Implementierung und Fehlerbehebung in modernen Netzwerken.