Brocade EIC @ Bracknell, Great Britain

Recently, we visited the Brocade EMEA Innovation Centre in Bracknell to get the latest news about networking and SDN. Our business partner Brocade Communications invited two of our Networking Consultants to the EMEA Headquarter in Great Britain. After a pleasant flight we were been picked up by a driver at Heathrow Airport and were brought to the EIC. Bert Meyer, Channel Account Manager at Brocade Communications introduced the briefing before Beth Brown gave us a good start with „Why Brocade – The New IP“. Nick Williams and Steve Day gave us an overview of Brocade VCS- and VDX-Systems with a pretty impressive Demo.

SDN was presented to us as well as the difference of SDN- and NFV-Systems. We had a nice evening with a guided tour in Windsor and a great dinner at a local pub. The next day was filled with some further presentations, a demonstration of the Brocade Network Advisor (BNA), some great news about the new Campus Switching. The banners at Brocade´s Headquarter say „The network is dead. Long live the network.“ – we, Marcel Stolze and Daniel Lengies, definitely saw it alive at Brocade EMEA Innovation Centre in Bracknell near London. It was quite a great journey with a lot of technical input. Feel free to contact us for consulting services.

Networking – Mit Sicherheit im Access-Layer

Natürlich sollte man aus Sicherheitsgründen einige Grundregeln beim Einrichten von Switchen beachten. Im Regelfall stehen Core- und Distribution-Switche in zutrittsgesicherten Räumen. Switche auf Access-Ebene hingegen stehen leider viel zu oft offen für Mitarbeiter und teils sogar Unternehmensfremde frei zugänglich in Abstellkammern, Büros oder Fluren.

Wenn die Räumlichkeiten einem die Wahl lassen, ob ein abgeschlossener Raum oder der Flur als Standort für einen Access-Switch dienen kann, ist stets der abschließbare Raum mit entsprechend wenig Leuten, die Zutritt zu diesem haben, zu empfehlen. Zusätzlich sollte auf ausreichende Belüftung geachtet werden, damit die Switche nicht laufend den Hitzetod sterben.

Zudem kann man auf Switchebene nicht genutzte Ports administrativ deaktivieren, sodass zwar ein Kabel gesteckt werden könnte, aber keine Pakete über den Port fließen und somit das Netz lahmlegen würden. In manchen Szenarien machen Funktionen wie Port-Security Sinn, mit der man den Zugang am Port auf L2-Ebene begrenzen kann; oft allerdings würde die Ersteinrichtung und die Verwaltung einen enormen Mehraufwand bedeuten, der nicht immer gerechtfertigt ist. Steht der Switch in einem abgeschlossenen, nicht frei zugänglichen Raum, kann darauf im Zweifel auch verzichtet werden. Ansonsten kann es schnell dazu kommen, dass ein Anwender ein loses Netzwerk-Kabel findet und es unbedacht mit beiden Steckern in den Switch steckt. Das hat dann zur Folge, dass man entweder ineinanderlaufende VLANs – mit vielleicht zwei DHCP-Servern in einem logischen Netz –  oder sogar einen Loop in einem Netzwerk hat, der in komplexen Netzen oft schwer zu identifizieren ist, sich sehr negativ auf die Netzwerkperformance auswirkt und ganze Netzwerke – egal, wie performant sie ausgelegt sind, zum Zusammenbruch bringen kann.

Eine weitere Fehlerquelle im Netz kann ein falsch konfiguriertes Spanning-Tree-Protokoll, kurz STP sein. Sind die Prioritäten falsch gesetzt, kann es vorkommen, dass immer unterschiedliche statt der gewollten Ports geblockt werden und es laufend zu einer Neuberechnung des STP-Trees kommt.

Cisco ASA: Was sind Security-Zones?

Cisco ASA-Appliances nutzen für die Konfiguration von Zonen sogenannte Security-Level. Der Wert des Security-Levels gibt die Vertrauenswürdigkeit eines Netzwerkes je Interface/Zone an. Je höher ein Security-Level der Zone gesetzt ist, desto vertrauenswürdiger ist sie. Hohe Security-Level-Zonen haben per Default Zugriff auf niedrige Security-Zonen, andersrum wird der Zugriff standardmäßig verwehrt. Traffic zwischen Zonen mit demselben Security-Level werden standardmäßig geblockt.

Damit alle Zonen mit dem selben Security-Level untereinander kommunizieren dürfen, muss folgender Befehl abgesetzt werden:

ciscoasa(config)# same-security-traffic permit inter-Interface

Gibt man bei der Einrichtung der Zonen via ciscoasa(config)# nameif Inside und ciscoasa(config)# nameif Outside die Bezeichnungen Inside bzw. Outside für die Interfaces an, werden entsprechend des Interfaces sofort automatisch die Security-Level gesetzt. Das interne Interface erhält die 100 und das externe Interface die 0. Somit wird bereits bei der Grundeinrichtung für eine grundlegende Sicherheit gesorgt. Natürlich sollten hier noch ACLs konfiguriert werden, um ein entsprechendes Regelwerk abzubilden.

Einen ganz guten Richtwert gibt die folgende grobe Kategorisierung bei der Planung:

  • Ausgehendes Interface Richtung WAN/Internet: Security-Level 0
  • Weitere WAN-Verbindungen: Security-Level 10-30
  • DMZ und aus dem Internet erreichbare Netzwerke: 40-50
  • Interne, nicht vertrauenswürdige Netze wie z.B. ein Gast-WLAN: 60-70
  • Interne Netze (LAN, interne geroutete VLANs, internes WLAN …): 80 – 100

VLANs – Netzwerksegmentierung leicht gemacht

VLANs (Virtual Local Area Networks) trennen auf logischer Ebene auf OSI-Layer 2 Netzwerke voneinander. In vielen L2-Netzwerken sind (leider) immer noch „historisch gewachsene“, mittlerweile riesige IP-Netze in einem großen LAN im Einsatz. Das senkt allerdings erheblich die Netzwerkperformance und erlaubt keine Trennung von Netzsegmenten – weder funktional noch nach Geräteklasse. Aus diesem Grund ist es mittlerweile üblich, Netzwerke in VLANs zu segmentieren. Dabei ist es wichtig, dass die VLAN-ID auf allen Switchen identisch ist, die über dieses VLAN kommunizieren sollen. Anhand der VLAN-ID macht der Netzwerkteilnehmer (ob Server, Switch, Router oder Firewall) die Zuteilung der Datenströme fest.

Man kann das Prinzip der VLANs und des Datenflusses mit dem eines Straßenverkehrsnetzes in einer Großstadt vergleichen. Auch dort laufen mehrere Verbindungen (Straßen) teils übereinander mit Brückenkonstruktionen oder unter der Oberfläche durch Tunnel. Der Verkehr ist in beiden Fällen kollisionsfrei möglich, obwohl viele Straßen in unterschiedliche Richtungen führen.

In der Grafik ist recht gut erkennbar, dass die übertragenen Daten unterschiedlich behandelt werden und unterschiedlich groß sind. Ein Backup beispielsweise oder eine Live-Migration nehmen erheblich mehr Datenvolumen ein, als es der HTTP/HTTPS-Traffic vom Surfen des Gast-Users im WLAN tut. Zudem kommt eine Priorisierung des Traffics bzw. Quality-of-Service ins Spiel. Echtzeitdatenübertragung, wie es bei VoIP (hier VLAN 18) der Fall ist, muss entsprechend anders im Netz priorisiert sein als es für eine Dateiübertragung von Anwendern der Fall ist. Die Dateiübertragung verzögert sich gegebenenfalls, sollte das Netzwerk im Moment der Übertragung stark ausgelastet sein, wohingegen ein VoIP-Gespräch schnell unbrauchbar würde, da die Sprache ohne Priorisierung dann zerstückelt beim Hörer ankäme. Ein selten gebrauchtes Management-Netz beispielsweise ist erheblich weniger ausgelastet, als ein Netz, über das Backups gefahren werden oder Anwender-PCs verbunden sind.

„VLANs – Netzwerksegmentierung leicht gemacht“ weiterlesen