Switch Grundlagen: Was macht ein Switch im Netzwerk?

Der Switch ist ein Netzwerkgerät der 2. Schicht des OSI-7-Schichten Modells (Sicherungsschicht). Damit ist er „intelligenter“ als ein Hub oder Repeater. Das liegt daran, dass der Switch anhand der MAC-Adressen, die jede Netwerkkarte individuell und einzigartig macht, Entscheidungen trifft. Der Switch nimmt Leistungen der Bitübertragungsschicht in Anspruch und bietet höheren Schichten Leistungen an.

1. Vorteil eines Switch gegenüber dem Hub

Der große Vorteil eines Switches gegenüber einem Hub ist, dass er Kollisionsdomänen schafft. Was sich erstmal negativ anhört, ist aber der Vorteil die Kollisionen in einem Netzwerk zu verringern – auch bei mehreren Endgeräten (Computern). Es befindet sich an jedem Port eine Kollisionsdomäne.

Dieses Bild zeigt die Kollisionsdomänen an jedem einzelnen Port der Switche sehr deutlich:

Der Switch versendet – nicht wie der Hub – Signale an alle Ports außer an dem Port von dem es das Signal erhalten hat, sondern schaut anhand einer MAC-Tabelle im eigenen RAM-Speicher, mit welchem Port das Zielgerät bzw. die Ziel-MAC-Adresse verbunden ist und trifft Weiterleitungsentscheidungen. Es werden demnach die Signale nicht alle Ports verschickt, sondern nur an den Port an dem das Zielgerät angeschlossen ist. Duplex-Verkehr ist ebenfalls mit einem Switch möglich. Duplex bedeutet, dass gleichzeitig in 2 (beide) Richtungen Daten gesendet werden können, ohne eine Kollision zu verursachen.

2. Netzwerk: 2 Switche verbinden

Da es sich beim Verbund 2er Switche zu einem LAN, um 2 gleiche Geräte handelt, müssen diese über ein Crossover-Kabel verbunden werden. Des Weiteren bieten einige Switche einen sogenannten Uplink-Port. Diese dienen lediglich dazu das Netzwerk um einen weiteren Switch zu erweitern. In diesem Fall genügt ein gewöhnliches Straight-Trough Netzwerkkabel.

3. Probleme beim Sniffern am Switch

In einem geswitchten Netzwerk gehen Frames direkt an den Switch an den das Frame adressiert ist. Das hat im Sinne von Kollisionsdomänen den Vorteil, dass der Netzwerkverkehr im LAN recht niedrig gehalten wird. Möchte ein Netzwerkadministrator jetzt aber den Netzwerkverkehr durch Sniffern analysieren, dann kann man unter normalen Bedingungen den Netzwerkverkehr nicht ohne weiteres mitschneiden. Die Frames werden nicht an jeden Port kopiert und damit erhält man am Sniffer nur Frames, die auch an den Sniffer adressiert sind.

Hierfür gibt es mehrere Lösungen. Ich möchte 2 vorstellen:

2.1 Sniffern beim Switch dank „Switch Jamming“

Beim Switch Jamming wird der Switch mit vielen Paketen, die unterschiedliche MAC-Adressen haben, gefloodet. Irgendwann läuft der interne Speicher des Switches voll, so dass der Switch in einen Hub-ähnlichen Modus fällt und Pakete an alle Ports versendet.

2.2 Portspiegelung bzw. Portmirroring

Bei der Portspiegelung muss man auf die Konfiguration des Switches zugreifen können. Unter Portspiegelung wird verstanden einen Port so zu konfigurieren, dass er Kopien von Datenpaketen an einen anderen Port (Snifferport) sendet. Dadurch ist Sniffern auch an einem Switch möglich.

Konfiguration von Portmirroring an einem Switch

Am Cisco-Switch richtet man mit folgendem Befehl eine Portspiegelung (Konfiguration) ein:

monitor session 1 source interface Fa0/2
monitor session 1 destination interface Fa0/5

In diesem Fall wäre das Interface FA0/5 der Sniffer, der jeglichen Datenverkehr für FA0/2 ebenfalls erhalten würde.