Virtual Local Area Network – VLAN Teil 1 – Einführung

Für die Virtual Local Area Network – VLAN Einführung ein Beispiel, an das ich mich auch bei den Konfigurationen halten werde:
Ein Unternehmen hat die drei Abteilungen: Entwicklung, Finanzen und Produktion. Idealerweise hat das Bürogebäude auch drei Stockwerke.

Im zweiten Stockwerk ist die Abteilung Finanzen, im ersten Stockwerk die Abteilung Entwicklung. Im Erdgeschoss ist die Abteilung Produktion angesiedelt.

Jede Abteilung hat ihren eigenen Server, auf den die anderen Abteilungen nicht zugreifen dürfen (jede Abteilung hat ihre eigenen Datenbestände).

Jetzt müssen aber immer wieder Mitarbeiter der unterschiedlichen Abteilungen miteinander arbeiten und auf eigene, abteilungsinterne Datenbestände zugreifen.
Weiterlesen

meetingl.com – Videokonferenzen in der Cloud

Ob beruflich oder privat, Videotelefonieren findet immer größere Akzeptanz, nicht zuletzt wegen Apples FaceTime. Die Anzahl an Software und Angebote wächst proportional dazu, daher möchte ich heute das Cloud basierte Tool Meetingl vorstellen, das ich selber für Gruppen-Videoanrufe benutze, um dem einen oder anderen vielleicht ein paar unnötige Installationen zu ersparen. Bei Videoanrufen ist es nämlich schwierig, auf einen gemeinsamen Nenner zu kommen. Es hat nicht jeder ein Iphone, nicht jeder möchte für die Skype Videokonferenz Funktion bezahlen, und nicht jeder kann, darf oder möchte immer wieder Software installieren, um an Videokonferenzen teilnehmen zu können.

Was ist eigentlich Cloud Computing?

Cloud Computing ist eine Art Software anzubieten bei der, der Webbrowser als Interface fungiert und Rechenleistung auf einen Server ausgelagert wird. Die Vorteile sind, dass die Installation entfällt und der eigene Rechner geschont wird.

Screenshot vom meetingl Coud Videosystem

[meetingl.com] ist ein neuer Dienst der kostenlos Cloud-basierte online Videokonferenzen anbietet. Rechtzeitig zum Release von Flash Player 10.0 der eine Vielzahl von Bugs rund um Soundsynchronisation und Echo-Probleme behebt, bietet meetingl alle Features, die man bei Kostenpflichtigen Lösungen erwarten würde, kostenlos an.
Weiterlesen

GRE Tunnel Verkehr mit IPSec verschlüsseln

In meinem vorherigen Artikel habe ich grundlegend beschrieben, wie man einen GRE Tunnel konfiguriert und aufbaut.
Um den Datenverkehr über diesen Tunnel zu verschlüsseln, wird das Protokoll IPSec (Internet Protocol Security) verwendet. Die Sicherheitsprotokoll-Suite IPSec verschlüsselt die Daten im Tunnel, um eine gesicherte Kommunikation in potenziell unsicheren Netzwerken (Internet) zu ermöglichen.

Als Vorlage dient die Tunnelkonfiguration aus dem vorherigen Artikel.

Auf Router 1 und Router 3 werden folgende Befehle eingefügt:

crypto isakmp policy 10
authentication pre-share
crypto isakmp key [GEHEIMER_SCHLÜSSEL] address [IP DER AUSGEHENDEN SCHNITTSTELLE]

Die IP Adresse der ausgehenden Schnittstelle ist die IP Adresse des anderen Routers.
In diesem Fall wird bei Router 172.16.3.2 und bei Router 3 172.16.2.1 eingetragen.

crypto ipsec transform-set [TRANS_NAME] esp-3des esp-sha-hmac
mode transport
crypto ipsec profile [PROFIL]
set transform-set [TRANS_NAME]

Der Name des Profils ist frei wählbar, ebenso wie der Tranformset Name (sie müssen nur übereinstimmen)

Dann das Profil auf dem Tunnel Interface aktivieren:

interface Tunnel0
tunnel mode ipsec ipv4
tunnel protection ipsec profile [PROFIL]

Um die IPSec Verschlüsselung zu prüfen, sind folgende Befehle hilfreich:

show crypto isakmp sa
dst                       src                 state conn-id            slot status
172.16.3.2          172.16.2.1     QM_IDLE 1 0           ACTIVE

ping 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 52/80/104 ms

sh crypto ipsec sa
interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 172.16.3.2

protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 172.16.2.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 15, #pkts encrypt: 15, #pkts digest: 15
#pkts decaps: 15, #pkts decrypt: 15, #pkts verify: 15
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 172.16.3.2, remote crypto endpt.: 172.16.2.1
path mtu 1500, ip mtu 1500
current outbound spi: 0xB0FC5DF2(2969329138)

inbound esp sas:
spi: 0x7087D6CF(1887950543)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2001, flow_id: SW:1, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4404983/3538)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0xB0FC5DF2(2969329138)
transform: esp-3des esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2002, flow_id: SW:2, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4404983/3529)
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE

outbound ah sas:

outbound pcp sas:

Hinweis: Ich habe hier nur die grundlegenden Konfigurationen für einen Tunnel und dessen Verschlüsselung beschrieben. Bei Cisco gibt es noch sehr viel mehr Einstellungen diesbezüglich. Auch die Einstellungen der Firewall und ACL dürfen nicht vernachlässigt werde. Dazu werde ich in weiteren Artikeln noch Stellung zu nehmen.

GRE Tunnel auf einen Cisco Router einrichten

Generic Routing Encapsulation (GRE) ist ein Netzwerkprotokoll, welches von Cisco Systems entwickelt wurde und in der RFC 1701 definiert ist. Es dient dazu, andere Protokolle einzukapseln und so in Form eines Tunnels über das Internet Protocol (IP) zu transportieren.Beispiel Bild fuer GRE Tunnel

Konfiguration der “Tunnel” Router:

Router 1:

int tunnel 0
ip address 172.16.5.1 255.255.255.0
tunnel source 172.16.2.1

Die Quelle für den Tunnel, also die IP des physikalischen Interfaces von Router 1

tunnel destination 172.16.3.2

Die Zieladresse für den Tunnel, also die IP des physikalischen Interfaces von Router 3

tunnel mode gre ip
no shutdown
exit
ip route 172.16.4.0 255.255.255.0 tunnel 0

Der Traffic zu 172.16.4.0/24 wird durch den Tunnel geroutet

ip route 172.16.3.0 255.255.255.252 FastEthernet 0/1

Die Zieladresse des Tunnels muss auf Router 1 bekannt sein(wie in diesem Beispiel über statische Routen oder über ein Routing Protokoll)

Router 3:

int tunnel 0
ip address 172.16.5.2 255.255.255.0
tunnel source 172.16.3.2

Die Quelle für den Tunnel, also die IP des physikalischen Interfaces von Router 3

tunnel destination 172.16.2.1

Die Zieladresse für den Tunnel, also die IP des physikalischen Interfaces von Router 1

tunnel mode gre ip
no shutdown
exit
ip route 172.16.1.0 255.255.255.0 tunnel 0

Der Traffic zu 172.16.1.0/24 wird durch den Tunnel geroutet

ip route 172.16.2.0 255.255.255.0 FastEthernet 0/0

Die Zieladresse des Tunnels muss auf Router 3 bekannt sein(wie in diesem Beispiel über statische Routen oder über ein Routing Protokoll)

Hinweis : Mein nächster Artikel beschreibt, wie der Tunnel Verkehr verschlüsselt werden kann.

Prüfen des Tunnels:
Ein Ping aus dem Netz 172.16.1.0/24 in Richtung 172.16.4.0/24 wird durch den Tunnel gesendet, ein Ping auf 172.16.3.2 über den Router 2.
Mit traceroute (Windows : tracert) kann das sehr gut geprüft werden.

Auf Router 1 sehen die Schnittstellen so aus:
sh ip int brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 172.16.1.1 YES NVRAM up up
FastEthernet0/1 172.16.2.1 YES NVRAM up up
Tunnel0 172.16.5.1 YES manual up up

show interfaces tunnel 0
Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 192.168.5.1/24
MTU 1514 bytes, BW 9 Kbit, DLY 500000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
Keepalive set (10 sec)
Tunnel source 172.16.2.1, destination 172.16.3.2
Tunnel protocol/transport GRE/IP, key disabled, sequencing disabled
Checksumming of packets disabled, fast tunneling enabled
Last input 00:05:36, output 00:05:36, output hang never
Last clearing of “show interface” counters never
Queueing strategy: fifo
Output queue 0/0, 0 drops; input queue 0/75, 0 drops
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
12 packets input, 1112 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
19 packets output, 2946 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out

DoFollow / no follow free Gästebuch eingerichtet

Ein Blog lebt von und mit seinen Kommentaren. Da die Kommentare zu den Artikeln aber Themen bezogen sein sollten, ist es manchmal schwierig einen Kommentar zu hinterlassen und sei es, um auf seine eigene Seite aufmerksam zu machen.

Daher habe ich mich entschieden, ein Gästebuch einzurichten. Hier kann jeder schreiben und es muss auch nicht zu einem bestimmten Artikel passen. 😎

Gästebuch

Das Gästebuch ist natürlich dofollow / no follow free.  Dieses hier ist der erste Artikel ohne Kommentar Möglichkeit, dafür gibt es das Gästebuch. Folgende Artikel geben wieder die Möglichkeit für Kommentare, da es dann ja wieder um spezielle Themen geht.

1 2 3 4 5