- Switching
-
Ein Switch (engl. Schalter; auch Weiche) ist eine Netzwerk-Komponente zur Verbindung mehrerer Computer bzw. Netz-Segmente in einem lokalen Netzwerk (LAN). Da Switches den Netzwerkverkehr analysieren und logische Entscheidungen treffen, werden sie auch als intelligente Hubs bezeichnet. Die Funktionsweise eines Switches ist der einer Bridge sehr ähnlich, daher wurde anfangs auch der Begriff Multi-Port-Bridge benutzt.
Inhaltsverzeichnis
Eigenschaften und Funktionen
Einfache Switches arbeiten auf der Schicht 2 (Sicherungsschicht) des OSI-Modells. Der Switch verarbeitet bei Erhalt eines Pakets die 48 Bit lange MAC-Adresse (z. B. 08:00:20:ae:fd:7e) und legt dazu einen Eintrag in der SAT (Source-Address-Table) an, in der neben der MAC-Adresse auch der physikalische Port, an dem diese empfangen wurde, gespeichert wird. Im Unterschied zum Hub werden Netzwerkpakete jetzt nur noch an den Port weitergeleitet, der für die entsprechende Zieladresse in der SAT gelistet ist. Ist eine Zieladresse allerdings noch unbekannt (Lernphase), leitet der Switch das betreffende Paket an alle aktiven Ports. Ein Unterschied zwischen Bridge und Switch ist die Anzahl der Ports beziehungsweise die Portdichte: Bridges haben typischerweise nur zwei Ports, selten drei oder mehr, Switches hingegen haben als Einzelgeräte meist zwischen vier (bei SOHO-Installationen), 12 (bei kommerziellen Installationen) oder 48 und mehr Ports und können mehrere Ports unabhängig voneinander zeitgleich verbinden (non Blocking). Ein anderer möglicher Unterschied zu Bridges ist, dass manche Switch-Typen die Cut-Through-Technik und andere Erweiterungen (s. u.) beherrschen. So verringern sich die Bitzeiten (Zeitdauer für die Verarbeitung eines Bits). Switches können natürlich auch mit Broadcasts umgehen. Bis auf wenige Ausnahmen gilt: Ein Switch ist eine Bridge, aber nicht jede Bridge ist ein Switch. Eine Ausnahme bilden Bridges, die verschiedene Protokolle wie Token Ring und Ethernet (MAC-Bridge oder LLC-Bridge) verbinden können. Eine solche Funktionalität ist bei Switches nicht anzutreffen.
Für die angeschlossenen Geräte verhält sich ein Switch transparent (nahezu unsichtbar). Aus Netzwerksicht wird die Paketanzahl in den Segmenten drastisch reduziert, wenn die Kommunikation überwiegend zwischen den Geräten innerhalb eines Segments stattfindet. Muss ein Switch Pakete auf andere Segmente weiterleiten, verzögert er dagegen die Kommunikation (sog. Latenz). Bei Überlastung der Kapazität eines Segments oder zu wenig Pufferspeicher im Switch kann auch das Verwerfen von Paketen nötig sein. Dies wird durch die Protokolle in höheren Schichten, etwa TCP, ausgeglichen.
Man unterscheidet auch zwischen Layer-2- und Layer-3- bzw. höheren Switches. Layer-2-Geräte sind die älteren Modelle und verfügen nur über grundsätzliche Funktionen. Sie beherrschen meist keine Management-Funktionen (sind allerdings „Plug-and-Play“-fähig), oder wenn doch, dann nur einen geringen Funktionsumfang wie Portsperren oder Statistiken. Professionelle Layer-3- bzw. höhere Switches verfügen in der Regel über Management-Funktionen; neben den grundlegenden Switch-Funktionen verfügen sie zusätzlich über Steuer- und Überwachungsfunktionen, die auch auf Informationen aus höheren Schichten als Layer 2 beruhen können, wie z. B. IP-Filterung, VLAN, Priorisierung für Quality of Service, Routing und andere Funktionen, die für die Überwachung und Steuerung eines Netzes hilfreich sind. Die Steuerung dieser Switches geschieht je nach Hersteller über die Kommandozeile, eine Weboberfläche, eine spezielle Steuerungssoftware oder über eine Kombination dieser drei Möglichkeiten. Bei den aktuellen nicht gemanageten (Plug-and-Play-)Switches beherrschen die höherwertigen Geräte ebenfalls Layer-3-Funktionen wie tagged VLAN oder Priorisierung und verzichten dennoch auf eine Console oder ein sonstiges Management-Interface.
Funktionsweise
Im Folgenden wird, sofern nicht anders gekennzeichnet, von Layer-2-Switches ausgegangen. Die einzelnen Ports eines Switches können unabhängig voneinander Daten empfangen und senden. Diese sind entweder über einen internen Hochgeschwindigkeitsbus (Backplane-Switch) oder kreuzweise miteinander verbunden (Matrix Switch). Datenpuffer sorgen dafür, dass nach Möglichkeit keine Datenframes verloren gehen.
Ein Switch braucht im Regelfall nicht konfiguriert zu werden. Empfängt er ein Paket nach dem Einschalten, speichert er die MAC-Adresse des Senders und die zugehörige Schnittstelle in der Source-Address-Table (SAT).
Wird die Zieladresse in der SAT gefunden, so befindet sich der Empfänger im an der zugehörigen Schnittstelle angeschlossenen Segment. Das Paket wird dann an diese Schnittstelle weitergeleitet. Sind Empfangs- und Zielsegment identisch, muss das Paket nicht weitergeleitet werden, da die Kommunikation ohne Switch im Segment selbst stattfinden kann.
Falls die Zieladresse (noch) nicht in der SAT ist, muss das Paket an alle anderen Schnittstellen weitergeleitet werden. In einem IPv4-Netz wird der SAT-Eintrag meist während der sowieso nötigen ARP-Adressenanfragen vorgenommen. Zunächst wird aus der ARP-Adressenanfrage eine Zuordnung der Absender-MAC-Adresse möglich, aus dem Antwortpaket erhält man dann die Empfänger-MAC-Adresse. Da es sich bei den ARP-Anfragen um Broadcasts handelt und die Antworten immer an bereits erlernte MAC-Adressen gehen, wird kein unnötiger Verkehr erzeugt. Broadcast-Adressen werden niemals in die SAT eingetragen und daher stets an alle Segmente weitergeleitet. Multicast-Adressen werden von einfachen Geräten wie Broadcast-Adressen verarbeitet oder höher entwickelte Geräte, die Multicasts verarbeiten können, senden diese nur an die in der SAT registrierten Multicast-Adress-Empfänger.
Switches lernen also gewissermaßen die MAC-Adressen der Geräte in den angeschlossenen Segmenten automatisch.
Unterschiedliche Switchingmethoden
Ein Ethernet-Paket (sog. Frame) enthält die Zieladresse in den ersten 48 Bits (6 Bytes) nach der Präambel. Mit der Weiterleitung an das Zielsegment kann also schon nach Empfang der ersten sechs Bytes begonnen werden, noch während der Frame empfangen wird. Ein Frame ist 64 bis 1518 Bytes lang, in den letzten vier Bytes befindet sich zur Erkennung von fehlerhaften Paketen eine CRC-Prüfsumme (zyklische Redundanzprüfung). Datenfehler in Paketen können also erst erkannt werden, nachdem das gesamte Paket eingelesen wurde.
Je nach den Anforderungen an die Verzögerungszeit und Fehlererkennung kann man daher Switches unterschiedlich betreiben:
- Cut-Through – Eine sehr schnelle Methode, wird hauptsächlich von besseren Switches implementiert. Hierbei schaut der Switch beim eingetroffenen Frame nur auf die Ziel-MAC-Adresse, trifft eine Forwarding-Entscheidung und schickt den Frame entsprechend weiter. Der Frame wird nicht auf Fehlerfreiheit geprüft, um Zeit zu sparen. Der Switch leitet deshalb auch beschädigte Frames weiter, diese müssen dann durch andere Schicht-2-Geräte oder höhere Netzwerkschichten aufgefangen werden. Die Latenzzeit in Bit beträgt hier 112. Sie setzt sich aus der Präambel (8 Byte) und der „Destination-MAC-Adresse“ (6 Byte) zusammen.
- Store-and-Forward – Die grundlegendste, aber auch langsamste Switching-Methode mit der größten Latenzzeit. Sie wird von jedem Switch beherrscht. Der Switch empfängt zunächst den ganzen Frame (speichert diesen; „Store“), trifft wie gehabt seine Forwarding-Entscheidung anhand der Ziel-MAC-Adresse und berechnet dann eine Prüfsumme über den Frame, die er mit dem am Ende des Pakets gespeicherten CRC-Wert vergleicht. Sollten sich Differenzen ergeben, wird der Frame verworfen. Auf diese Weise verbreiten sich keine fehlerhaften Frames im lokalen Netzwerk. Store-and-Forward war lange die einzig mögliche Methode zu switchen, wenn Sender und Empfänger mit verschiedenen Übertragungsgeschwindigkeiten oder Duplex-Modi arbeiten oder verschiedene Übertragungsmedien nutzen. Die Latenzzeit in Bit ist hier identisch mit der Paketlänge, bei Ethernet und Fast Ethernet sind es folglich mindestens 512 Bit, bei Gigabit Ethernet mindestens 4096 Bit, Obergrenze ist die MTU in Bit (~ 12000 Bit). Heute gibt es auch Switches, die einen Cut-and-Store-Hybridmodus beherrschen, der vor allem beim Switchen von schnell nach langsam beschleunigend wirkt.
- Fragment-Free – Schneller als Store-and-Forward, aber langsamer als Cut-Through. Anzutreffen vor allem bei besseren Switches. Prüft, ob ein Frame die im Ethernet-Standard geforderte minimale Länge von 64 Bytes (512 Bit) erreicht und schickt ihn dann sofort auf den Zielport, ohne eine CRC-Prüfung durchzuführen. Fragmente unter 64 Byte sind meist „Trümmer“ einer Kollision, die kein sinnvolles Paket mehr ergeben.
- Error-Free-Cut-Through/Adaptive Switching – Eine Mischung aus mehreren der obigen Methoden. Wird ebenfalls meist nur von teureren Switches implementiert. Der Switch arbeitet zunächst im „Cut through“-Modus und schickt den Frame auf dem korrekten Port weiter ins LAN. Es wird jedoch eine Kopie des Frames im Speicher behalten, über die dann eine Prüfsumme berechnet wird. Sollte sie nicht mit der im Frame übereinstimmen, so kann der Switch dem defekten Frame zwar nicht mehr hinterhersignalisieren, dass er falsch ist, aber er kann einen internen Counter mit der Fehlerrate pro Zeiteinheit hochzählen. Wenn zu viele Fehler in kurzer Zeit auftreten, fällt der Switch in den Store-and-Forward-Modus zurück. Wenn die Fehlerrate wieder niedrig genug ist, schaltet er in den Cut-through-Modus um. Ebenso kann der Switch temporär in den Fragment-Free-Modus schalten, wenn zuviele Fragmente mit weniger als 64 Byte Länge ankommen. Besitzen Sender und Empfänger unterschiedliche Übertragungsgeschwindigkeiten oder Duplex-Modi bzw. nutzen andere Übertragungsmedien (Glasfaser auf Kupfer), so muss ebenfalls mit Store-and-Forward Technik geswitcht werden.
Port-Switching, Segment-Switching In den Anfangszeiten der Switching-Technologie gab es die zwei Varianten Port- und Segment-Switching. Beide arbeiten auf Layer-2-Basis.
- Ein Port-Switch verfügt pro Port über nur einen SAT-Eintrag für eine MAC-Adresse. An solch einem Anschluss dürfen folglich nur Endgeräte (Server, Router, Workstation) und keine weiteren Segmente, also keine Bridges, Hubs oder Switches (hinter denen sich mehrere MAC-Adressen befinden) angeschlossen werden. Siehe MAC-Flooding. Zusätzlich gab es oft einen Uplink-Port, für den diese Einschränkung nicht galt. Dieser Port hatte oft keine SAT, sondern wurde einfach für alle MAC-Adressen benutzt, die nicht einem anderen lokalen Port zugeordnet waren. Solche Switches arbeiteten in der Regel nach dem Cut-Through-Verfahren. Das klingt nach Systemen, die nur Nachteile besaßen – dennoch gab es auch Vorteile dieser Systeme: Sie kamen mit extrem wenig Speicher aus (geringere Kosten) und auf Grund der Minimalgröße der SAT konnte auch die Switching-Entscheidung sehr schnell getroffen werden.
- Alle neueren Switches sind Segment-Switches und können an jedem Port zahlreiche MAC-Adressen verwalten, d. h. weitere Netz-Segmente anschließen. Hierbei gibt es zwei unterschiedliche SAT-Anordnungen: Entweder jeder Port hat eine eigene Tabelle von beispielsweise max. 250 Adressen, oder es gibt eine gemeinsame SAT für alle Ports – mit beispielsweise maximal 2000 Einträgen. Vorsicht: Manche Hersteller geben 2000 Adresseinträge an, meinen aber 8 Ports mit jeweils maximal 250 Einträgen pro Port.
Mehrere Switches in einem Netzwerk
Bis zur Einführung von Gigabit-Ethernet (1000BaseTX) erfolgte die Verbindung mehrerer Switche entweder über einen speziellen Uplinkport oder über ein gekreuztes Kabel (crossover cable), neuere Switche wie auch alle Gigabit-Ethernet Switche beherrschen Auto-MDI(X), sodass diese auch ohne spezielle Kabel miteinander gekoppelt werden können. Oft, aber nicht notwendigerweise sind Uplink-Ports in einer schnelleren oder höherwertigen (Ethernet-) Technologie realisiert als die anderen Ports (z. B. Gigabit-Ethernet statt Fast Ethernet oder Glasfaserkabel anstatt Twistedpair-Kupferkabel). Im Unterschied zu Hubs können nahezu beliebig viele Switches miteinander verbunden werden. Die Obergrenze hat hier nichts mit einer maximalen Kabellänge zu tun, sondern hängt von der Größe der Adresstabelle (SAT) ab. Bei aktuellen Geräten der Einstiegsklasse sind oft 500 Einträge (oder mehr) möglich, das begrenzt die maximale Anzahl von Knoten (~Rechnern) auf eben diese 500. Kommen mehrere Switches zum Einsatz, so begrenzt das Gerät mit der kleinsten SAT die maximale Knotenanzahl. Profigeräte können leicht mit mehreren tausend Adressen umgehen. Wird die maximale Zahl überschritten, so passiert das gleiche wie beim MAC-Flooding, folglich bricht die Performance drastisch ein.
Um die Geschwindigkeit zu steigern, beherrschen professionelle Switches auch häufig die Port-Bündelung (engl.: trunking, bonding, etherchannel – je nach Hersteller) von zwei oder mehreren Ports für die Verbindung von Switch zu Switch oder von Switch zu Server. Diese Verfahren können unterschiedlich implementiert sein und sind außerdem nicht gut standardisiert. Wenn Switches verschiedener Hersteller zusammengeschaltet werden, ist deshalb die Port-Bündelung bisweilen problematisch.
Auch kann zur Steigerung der Ausfallsicherheit eine redundante Verbindung aufgebaut werden. Dazu wird jedoch noch das Spanning Tree Protocol (STP) benötigt, um Schleifen im Netz auszuschließen. Eine andere Möglichkeit, ein Netz mit Schleifen redundant zu machen und gleichzeitig die Leistung zu steigern, ist das Meshing. Hier dürfen beliebige Schleifen zwischen meshingfähigen Geräten gebildet werden; zur Leistungssteigerung können dann für Unicast-Datenverkehr (ähnlich wie beim Trunking) alle Schleifen (auch Teilschleifen) weiter genutzt werden (es wird kein Spannbaum gebildet). Multicast und Broadcast müssen vom Meshing-Switch gesondert behandelt werden und dürfen nur auf einer der zur Verfügung stehenden vermaschten Verbindungen weitergeschickt werden. Ethernet-Switches, die Meshing unterstützen, kommen unter anderem von Cisco oder HP.
Stacking ist im Switching-Umfeld eine Technik, mit der aus mehreren unabhängigen, stacking-fähigen Switches ein gemeinsamer logischer Switch mit höherer Portanzahl und gemeinsamem Management konfiguriert wird. Stacking-fähige Switches verfügen über besondere Ports, die sogenannten Stacking-Ports, welche üblicherweise mit besonders hoher Übertragungsrate und geringer Latenzzeit arbeiten. Beim Stacking werden die Switches, die in der Regel vom gleichen Hersteller und aus der gleichen Modellreihe stammen müssen, mit einem speziellen Stack-Kabel miteinander verbunden. Eine Stacking-Verbindung ist normalerweise die schnellste Verbindung zwischen mehreren Switches und überträgt neben Daten auch Managementinformationen. Solche Schnittstellen können durchaus teurer sein als Standard-HighSpeed-Ports, die natürlich ebenfalls als Uplinks genutzt werden können; Uplinks sind immer möglich, aber: nicht alle Switches unterstützen das Stacking.
Vorteile
Switches haben folgende Vorteile:
- Wenn zwei Netzteilnehmer gleichzeitig senden, gibt es keine Datenkollision (vgl. CSMA/CD), da der Switch intern über die Backplane beide Sendungen gleichzeitig übermitteln kann. Sollten an einem Port die Daten schneller ankommen, als sie über das Netz weitergesendet werden können, werden die Daten gepuffert. Wenn möglich wird Flow Control benutzt, um den/die Sender zu einem langsameren Verschicken der Daten aufzufordern. Hat man 8 Rechner über einen 8-Port-Switch verbunden und jeweils zwei senden untereinander mit voller Geschwindigkeit Daten, sodass vier Full-Duplex-Verbindungen zustande kommen, so hat man rechnerisch die 8-fache Geschwindigkeit eines entsprechenden Hubs, bei dem sich alle Geräte die maximale Bandbreite teilen. Nämlich 4 × 200 Mbit/s im Gegensatz zu 100 Mbit/s. Zwei Aspekte sprechen jedoch gegen diese Rechnung: Zum einen sind die internen Prozessoren besonders im Low-Cost segment nicht immer darauf ausgelegt, alle Ports mit voller Geschwindigkeit zu bedienen, zum anderen wird auch ein Hub mit mehreren Rechnern nie 100 Mbit/s erreichen, da umso mehr Kollisionen entstehen, je mehr das Netz ausgelastet ist, was die nutzbare Bandbreite wiederum drosselt. Je nach Hersteller und Modell liegen die tatsächlich erzielbaren Durchsatzraten mehr oder minder deutlich unter den theoretisch erzielbaren 100 %, bei preiswerten Low-Cost Geräten sind Datenraten zwischen 60% und 90% durchaus üblich.
- Der Switch zeichnet in einer Tabelle auf, welche Station über welchen Port erreicht werden kann. Hierzu werden im laufenden Betrieb die Absender-MAC-Adressen der durchgeleiteten Frames gespeichert. So werden Daten nur an den Port weitergeleitet, an dem sich tatsächlich der Empfänger befindet. Pakete mit unbekannter Ziel-MAC-Adresse werden wie Broadcasts behandelt und an alle Ports mit Ausnahme des Quellport weitergeleitet.
- Der Voll-Duplex-Modus kann benutzt werden, so dass an einem Port gleichzeitig Daten gesendet und empfangen werden können, wodurch die Übertragungsrate verdoppelt wird. Da in diesem Fall auch Kollisionen nicht mehr möglich sind, wird die Übertragungsrate nochmals erhöht.
- An jedem Port kann unabhängig die Geschwindigkeit und der Duplex-Modus ausgehandelt werden.
- Zwei oder mehr physikalische Ports können zu einem logischen Port (HP: Bündelung, Cisco: Etherchannel) zusammengefasst werden, um die Bandbreite zu steigern; dies kann über statische oder dynamische Verfahren, z. B. LACP oder PAgP, erfolgen.
- Ein physikalischer Switch kann durch VLANs in mehrere logische Switches unterteilt werden. VLANs können über mehrere Switches hinweg aufgespannt werden (IEEE 802.1q).
Nachteile
- Ein Nachteil von Switches ist, dass sich die Fehlersuche in einem solchen Netz unter Umständen schwieriger gestaltet. Pakete sind nicht mehr auf allen Strängen im Netz sichtbar, sondern im Idealfall nur auf denjenigen, die tatsächlich zum Ziel führen. Um dem Administrator trotzdem die Beobachtung von Netzwerkverkehr zu ermöglichen, beherrschen manche Switches Port-Mirroring. Der Administrator teilt dem (verwaltbaren) Switch mit, welche Ports er beobachten möchte. Der Switch schickt dann Kopien von Paketen der beobachteten Ports an einen dafür ausgewählten Port, wo sie z. B. von einem Sniffer aufgezeichnet werden können. Um das Port-Mirroring zu standardisieren, wurde das SMON-Protokoll entwickelt, das in RFC 2613 beschrieben ist.
- Ein weiterer Nachteil liegt in der Latenzzeit, die bei Switches höher ist (100BaseTX: 8–20 µs) als bei Hubs (100BaseTX: < 0,7 µs). Da es beim CSMA-Verfahren sowieso keine garantierten Zugriffszeiten gibt und es sich um Unterschiede im Millionstelsekundenbereich handelt (µs, nicht ms), hat dies in der Praxis kaum Bedeutung. Wo bei einem Hub ein einkommendes Signal einfach an alle Netzteilnehmer weitergeleitet wird, muss der Switch erst anhand seiner MAC-Adress-Tabelle den richtigen Ausgangsport finden; dies spart zwar Bandbreite, kostet aber Zeit. Dennoch ist in der Praxis der Switch im Vorteil, da die absoluten Latenzzeiten in einem ungeswitchten Netz aufgrund der unvermeidbaren Kollisionen eines bereits gering ausgelasteten Netzes die Latenzzeit eines vollduplexfähigen (fast kollisionslosen) Switches leicht übersteigen. (Die höchste Geschwindigkeit erzielt man weder mit Hubs noch mit Switches, sondern indem man gekreuzte Kabel einsetzt, um zwei Netzwerk-Endgeräte direkt miteinander zu verbinden. Dieses Verfahren beschränkt jedoch, bei Rechnern mit je einer Netzwerkkarte, die Anzahl der Netzwerkteilnehmer auf 2.)
- Switches sind Sternverteiler mit einer sternförmigen Netzwerktopologie und bringen bei Ethernet (ohne Portbündelung, STP oder Meshing) keine Redundanzen mit. Fällt ein Switch aus, ist die Kommunikation zwischen allen Teilnehmern im (Sub-) Netz unterbrochen. Der Switch ist dann der Single Point of Failure. Abhilfe schafft die Portbündelung (FailOver), bei der jeder Rechner über mindestens zwei LAN-Karten verfügt und an zwei Switches angeschlossen ist. Zur Portbündelung mit FailOver benötigt man allerdings LAN-Karten und Switches mit entsprechender Software (Firmware).
Sicherheit
Beim klassischen Ethernet mit Thin- oder Thickwire genau so wie bei Netzen, die HUBs verwenden, war das Abhören des gesamten Netzwerkverkehrs noch kinderleicht. Switches galten zunächst als wesentlich sicherer. Es gibt jedoch Methoden, um auch in geswitchten Netzen den Datenverkehr anderer Leute mitzuschneiden, ohne dass der Switch kooperiert:
- MAC-Flooding – Der Speicherplatz, in dem sich der Switch die am jeweiligen Port hängenden MAC-Adressen merkt, ist begrenzt. Dies macht man sich beim MAC-Flooding zu Nutze, indem man den Switch mit gefälschten MAC-Adressen überlädt, bis dessen Speicher voll ist. In diesem Fall schaltet der Switch in einen Failopen-Modus, wobei er sich wieder wie ein Hub verhält und alle Pakete an alle Ports weiterleitet. Verschiedene Hersteller haben – wieder fast ausschließlich bei Switches der mittleren bis hohen Preisklasse – Schutzmaßnahmen gegen MAC-Flooding implementiert. Als weitere Sicherheitsmaßnahme kann bei den meisten managed switches für einen Port eine Liste mit zugelassenen Absender-MAC-Adressen angelegt werden. Datenpakete mit nicht zugelassener Absender-MAC-Adresse werden nicht weitergeleitet und können das Abschalten des betreffenden Ports bewirken (Port Security).
- MAC-Spoofing – Hier sendet der Angreifer Pakete mit einer fremden MAC-Adresse als Absender. Dadurch wird deren Eintrag in der Source-Address-Table überschrieben, und der Switch sendet im folgenden allen Datenverkehr zu dieser MAC an den Switchport des Angreifers. Abhilfe wie im obigen Fall durch feste Zuordnung der MACs zu den Switchports.
- ARP-Spoofing – Hierbei macht sich der Angreifer eine Schwäche im Design des ARP-Protokolls zu Nutze, welches zur Auflösung von IP-Adressen zu Ethernet-Adressen verwendet wird. Ein Rechner, der ein Paket via Ethernet versenden möchte, muss die Ziel-MAC-Adresse kennen. Diese wird mittels ARP erfragt (ARP-Request Broadcast). Antwortet der Angreifer nun mit seiner eigenen MAC-Adresse zur erfragten IP (nicht seiner eigenen IP, daher die Bezeichnung Spoofing) und ist dabei schneller als der eigentliche Inhaber der IP, so wird das Opfer seine Pakete an den Angreifer senden, welcher sie nun lesen und gegebenenfalls an die ursprüngliche Zielstation weiterleiten kann. Hierbei handelt es sich nicht um einen Fehler des Switches. Ein Layer-2-Switch kennt gar keine höheren Protokolle als Ethernet und kann seine Entscheidung zur Weiterleitung nur anhand der MAC-Adressen treffen. Ein Layer-3-Switch muss sich, wenn er autokonfigurierend sein soll, auf die von ihm mitgelesenen ARP-Pakete verlassen und lernt daher auch die gefälschte Adresse, allerdings kann man einen managed Layer-3-Switch so konfigurieren, dass die Zuordnung von Switchport zu IP-Adresse fest und nicht mehr von ARP beeinflussbar ist.
Geschichte
Die Entwicklung von Ethernet-Switches begann Ende der 1980er Jahre. Durch bessere Hardware und verschiedene Anwendungen mit einem hohem Bedarf an Bandbreite kamen 10-MBit-Netzwerke sowohl im Rechenzentrumsbetrieb als auch bei Campus-Netzen nun rasch an ihre Grenzen. Um einen effizienteren Netzwerkverkehr zu erhalten, begann man, Netze über Router zu segmentieren und Subnetze zu bilden. Das reduzierte zwar Kollisionen und erhöhte die Effizienz, vergrößerte aber auch die Komplexität der Netze und steigerte die Installations- und Administrations-Kosten in erheblichem Maße. Auch die damaligen Bridges waren keine echten Alternativen, da sie nur über wenige Ports verfügten (meist zwei) und langsam arbeiteten – der Datendurchsatz war vergleichsweise gering und die Latenzzeiten zu hoch. Hier liegt die Geburtsstunde der ersten Switches: Das erste kommerziell verfügbare Modell hatte sieben 10-MBit-Ethernet-Ports und wurde 1990 vom US Start-Up-Unternehmen Kalpana (heute Cisco) angeboten. Der Switch hatte einen höheren Datendurchsatz als Ciscos High-End-Router und war weitaus günstiger. Zusätzlich entfielen Restrukturierungen: Er konnte einfach und transparent im bestehenden Netz platziert werden. Hiermit begann der Siegeszug der geswitchten Netze. Schon bald danach entwickelte Kalpana das Port-Trunking-Verfahren Etherchannel, das es zur Steigerung des Datendurchsatzes erlaubt, mehrere Ports zu bündeln und gemeinsam als Uplink zu nutzen. Mitte der 1990er erreichten Fast-Ethernet-Switches (non Blocking, Full Duplex) Marktreife. In Gigabit- oder auch 10-Gigabit-Netzwerken sind mittlerweile keine Hubs mehr definiert – alles wird geswitcht. Heute werden Segmente mit mehreren tausend Rechnern – ohne zusätzliche Router – einfach und performant mit Switches verbunden. Heutzutage werden Switches in geschäftlichen oder privaten Netzwerken verwendet. Auch bei LAN-Partys finden sie Verwendung.
Kenngrößen
- Forwarding Rate (Durchleitrate): gibt an, wie viele Pakete pro Sekunde eingelesen, bearbeitet und weitergeleitet werden können
- Filter Rate (Filterrate): Anzahl der Pakete, die pro Sekunde bearbeitet werden
- Anzahl der verwaltbaren MAC-Adressen (Aufbau und max. Größe der Source-Address-Table)
- Backplanedurchsatz (Switching fabric): Kapazität der Busse (auch Crossbar) innerhalb des Switches
- VLan-Fähigkeit oder Flusskontrolle.
- Managementoptionen wie Fehlerüberwachung und -signalisierung, Port-basierte VLANs, Tagged-VLANs, VLAN Uplinks, Link Aggregation, Spanning Tree Protocol (Spannbaumbildung), Bandbreitenmanagement usw.
Siehe auch
- Spanning Tree Protocol
- Virtual Local Area Network (VLAN)
- Router
- BRouter
- Bridge
- Repeater
- Hub
- Layer-3-Switch
- Broadcast-Sturm
Weblinks
- RFC 2613 – Remote Network Monitoring MIB Extensions for Switched Networks Version 1.0
Wikimedia Foundation.