Lösungen

Lösungen: VLANs

1. Was ist ein VLAN und warum wird es in Netzwerken verwendet?

Ein VLAN (Virtual Local Area Network) ist eine Technologie, die es ermöglicht, ein physisches Netzwerk in mehrere logisch getrennte Netzwerke zu unterteilen. VLANs werden verwendet, um die Netzwerkleistung zu verbessern, die Sicherheit zu erhöhen und die Verwaltung zu erleichtern, indem sie Geräte unabhängig von ihrer physischen Position logisch gruppieren.

2. Erklären Sie den Unterschied zwischen einem Access-Port und einem Trunk-Port.

Ein Access-Port gehört nur zu einem einzigen VLAN und ist für Endgeräte wie Computer und Drucker gedacht. Ein Trunk-Port hingegen kann den Datenverkehr mehrerer VLANs transportieren und fügt jedem Ethernet-Frame ein VLAN-Tag hinzu, um die Zugehörigkeit zu einem bestimmten VLAN zu kennzeichnen.

3. Was ist das IEEE 802.1Q-Tagging und wofür wird es verwendet?

IEEE 802.1Q-Tagging ist ein Standard, der ein 4-Byte-Tag zu einem Ethernet-Frame hinzufügt, das VLAN-Informationen enthält. Es wird verwendet, um Frames zu kennzeichnen, damit sie den richtigen VLANs zugeordnet werden können, insbesondere auf Trunk-Links, die den Datenverkehr mehrerer VLANs transportieren.

4. Wie können Sie ein VLAN auf einem Cisco-Switch erstellen und einem Port zuweisen? Geben Sie die Befehle an.

Um ein VLAN auf einem Cisco-Switch zu erstellen und einem Port zuzuweisen, verwenden Sie die folgenden Befehle:

Code mit Copy-Button


configure terminal
vlan 10
name Marketing
interface fastethernet0/1
switchport mode access
switchport access vlan 10

5. Was ist ein Native VLAN und welche Rolle spielt es in einem Trunk-Link?

Ein Native VLAN ist das VLAN, das standardmäßig verwendet wird, wenn keine Tags vorhanden sind. Auf einem Trunk-Link werden Frames, die ohne VLAN-Tag gesendet werden, dem Native VLAN zugeordnet. Standardmäßig ist das Native VLAN VLAN 1, es kann jedoch geändert werden.

6. Was ist VLAN Hopping und wie können Sie es verhindern? Nennen Sie mindestens zwei Maßnahmen.

VLAN Hopping ist eine Angriffstechnik, bei der ein Angreifer versucht, den Datenverkehr eines anderen VLANs abzufangen. Um VLAN Hopping zu verhindern, können Sie:

Trunk-Ports nur dort konfigurieren, wo sie benötigt werden, und andere Ports in den Access-Modus setzen.
Das Native VLAN von Trunk-Ports auf ein nicht genutztes VLAN ändern.

7. Erklären Sie die Methode des „Router-on-a-Stick“ für Inter-VLAN-Routing.

„Router-on-a-Stick“ ist eine Methode, bei der ein Router mit einer einzigen physischen Schnittstelle verwendet wird, die als Trunk konfiguriert ist. Der Router hat Subinterfaces, die jeweils einem VLAN zugewiesen sind und über 802.1Q-Tagging den Datenverkehr zwischen den VLANs routen.

8. Was sind Private VLANs (PVLANs) und wie unterscheiden sie sich von normalen VLANs?

Private VLANs (PVLANs) sind eine Erweiterung der VLAN-Technologie, die zusätzliche Sicherheitsfunktionen bieten, indem sie eine weitere Trennung innerhalb eines VLANs ermöglichen. PVLANs bestehen aus primären VLANs und sekundären VLANs (isolierte und gemeinschaftliche VLANs). Isolierte VLANs verhindern die Kommunikation zwischen den Geräten innerhalb des VLANs, während Gemeinschafts-VLANs die Kommunikation innerhalb der Gruppe ermöglichen.

9. Welche Vorteile bieten Layer-3-Switches im Vergleich zu „Router-on-a-Stick“ bei der Implementierung von Inter-VLAN-Routing?

Layer-3-Switches bieten eine höhere Geschwindigkeit, da das Routing direkt auf dem Switch erfolgt. Sie sind skalierbarer und können mehrere VLANs und umfangreiche Routing-Tabellen effizient handhaben. Zudem kombinieren sie Switching- und Routing-Funktionen in einem Gerät, was die Netzwerkinfrastruktur vereinfacht.

10. Nennen Sie drei Best Practices für die Sicherung von VLANs in einem Unternehmensnetzwerk.

Einschränkung von Trunk-Ports: Konfigurieren Sie Trunk-Ports nur dort, wo sie wirklich benötigt werden, und setzen Sie andere Ports in den Access-Modus.
Verwendung von VLAN Access Control Lists (VACLs): Implementieren Sie VACLs, um den Datenverkehr innerhalb und zwischen VLANs zu kontrollieren.
Aktivieren von Port-Security: Begrenzen Sie die Anzahl der erlaubten MAC-Adressen pro Port und blockieren Sie unbekannte Geräte.

11. Was ist DHCP Snooping und wie schützt es das Netzwerk vor Angriffen?

DHCP Snooping ist eine Sicherheitsfunktion, die verhindert, dass nicht autorisierte DHCP-Server im Netzwerk DHCP-Dienstleistungen anbieten. Es schützt vor DHCP-Spoofing-Angriffen, bei denen ein bösartiger DHCP-Server gefälschte IP-Adressen an Geräte im Netzwerk verteilt. DHCP Snooping überprüft und filtert DHCP-Nachrichten und stellt sicher, dass nur vertrauenswürdige DHCP-Server verwendet werden.