View
227
Download
0
Category
Preview:
Citation preview
VLAN 1
Universitàdi Palermo LA
VLAN
VLAN
VLAN 2
Universitàdi Palermo LA
Switches
Funzionamento degli switch di layer 2Ricordiamo che le reti Ethernet con media condiviso che usano gli hub,molti host sono connessi ad un singolo dominio broadcast e di collisione
Le reti Ethernet con media condiviso operano nel livello 1 di OSI
Le reti switched operano ad un livello 2, 3 o 4
A livello base uno switch opera a livello 2 e opera l’instradamentobasandosi sui MAC address
Lo switch inizialmente non conosce dove instradare un pacchettocon un dato Destination MAC address
VLAN 3
Universitàdi Palermo LA
Switches (2)
Lo switch man mano che riceve dei pacchetti costruisce una tabella adue colonne in ogni riga della quale vi è il Source MAC address e la
porta attraverso cui è stato ricevuto
Quando deve trasmettere un pacchetto verso un dato MAC addresslo switch ricerca il MAC address nella tabella e, se lo trova, pone in
uscita il pacchetto sulla porta corrispondente a quel MAC address
Se nella MAC Address Table non è presente quell’address loswitch pone il pacchetto in uscita su tutte le porte (flooding)
Universitàdi Palermo LA
VLAN
Virtual Local Access NetworkUn gruppo di host accomunati da un qualche requirement che
comunicano come se fossero connessi sullo stesso segmento
di network anche se non lo sono
LE VLAN si comportano come reti fisiche anche se non lo sono
La gestione di queste network virtuali viene fatta via software
Le VLAN operano a livello 2, mentre le subnet IP operano a livello 3
In una LAN che utilizza le VLAN esiste spesso una corrispondenza
biunivoca tra VLAN e subnet IP
Si tratta di LAN di tipo switched
VLAN 5
Universitàdi Palermo LA
VLAN sketch
Piano 3
Piano 2
Piano 1
RepartoAmmin.
RepartoTecnico
RepartoCommerc.
VLAN 6
Universitàdi Palermo LA
Tipi di VLAN
4 tipi di VLAN
� Port-Based VLAN: Ogni porta di switch è configurata con una access list
che specifica l’appartenenza ad un insieme di VLAN
� MAC-based VLAN: Uno switch è configurato con una access list
che accoppia i MAC address con a la VLAN
� Protocol-based VLAN: Uno switch è configurato con una lista che unisce
i protocolli di layer 3 all’appartenenza ad una VLAN
� ATM VLAN – fanno uso del protocollo LAN Emulation (LANE) per mappare
i pacchetti Ethernet in celle ATM e consegnarli alla loro destinazione
convertendo MAC address Ethernet in un ATM address
VLAN 7
Universitàdi Palermo LA
Standard VLAN
In pratica con una VLAN si possono mettere in contatto tra loro – come se
fossero sulla stessa LAN – degli host che si trovano su LAN differenti
Le VLAN non furono previste nel protocollo IEEE 802 originario
Esse sono state introdotte successivamente con lo standard 801.Q
Non tutte le LAN fanno uso delle tag VLAN e quindi, oltre al valore
delle tag si è dovuto definire come specificare l’esistenza delle VLAN
Per quel che riguarda la VLAN Ethernet si fa riferimento a IEEE 802.3ac
che definisce l’estensione del formato del frame necessaria
per supportare le etichette (tag) VLAN sulle LAN Ethernet
VLAN 8
Universitàdi Palermo LA
IEEE 802.1Q
Meccanismo standard per consentire l’esistenza di più reti bridged checondividono in modo trasparente gli stessi link fisici senza che vi siatra esse scambio di informazione
Lo standard 802.1Q definisce con precisione il concetto di Virtual Lano VLAN come LAN switched e quindi basate su un bridging al layer MAC,suddivise logicamente in rapporto alla funzione, team o applicazionesenza riguardo alla locazione fisica
Sempre lo standard 802.1Q definisce il rapporto tra VLAN elo spanning-tree protocol IEEE 802.1D
VLAN 9
Universitàdi Palermo LA
Field Ether/Type
Il formato del frame Ethernet come definito nella IEEE 802.3 è:
8 byte 6 byte 6 byte 2 byte 46 – 1550 byte 4 byte
SFD DestMAC addr
SourceMAC addr
TypeLength Payload FCSPreamble
1 byte
Per il field Type/Length vale la convenzione che i valori tra 0 e 1500indicano l’uso del formato Ethernet 802.3 originale con un campo Lengthmentre i valori ≥ 1536 (H0600) indicano l’uso del formato DIX con uncampo Type che è un identificatore dell’Upper Layer Protocol
H0800 IPv4
H86DD IPv6
H0806 ARP. . . . . . . . . . .
VLAN 10
Universitàdi Palermo LA
Field Ether/type
Lo standard IEEE 802.3ac ha introdotto per consentire la presenza del Q tagun nuovo field di 2 + 2 byte che precede il field Type/Length
PRE SFD DA SA Type/Length Data PAD FCS
802.1QTPID
Tag ControlInformation
VLAN field
802.1Q Tag Protocol ID (TPID) è H8100. Quando un frame che contiene questo
valore dichiara di contenere un tag IEEE 802.1Q/802.1P. Questo valore non può
essere confuso con quello di un field Length/Type
UserPriority CFI VLAN ID
3 bit 1 bit 12 bit
Tag ControlInformation
VLAN 11
Universitàdi Palermo LA
IEEE 802.3ac
Tag Control Information contiene 3 sub-field:
VLAN tagging porta la lunghezza massima del frame Ethernet da 1518 a 1522 byte
� VLAN ID di 12 bit che permette l’identificazione
di 2^12 = 4096 VLAN
� User Priority di 3 bit presenta il livello di priorità per il frame(uso definito in IEEE 802.1P)
� CFI (Canonical Format Indicator) di 1 bit per indicare
la presenza di un Routing Information Field
Il VLAN ID 0 è usato per indicare i priority frames e il valore 4095 (FFF)
è riservato, rimangono quindi 4,094 possibili identificatori
CFI è sempre posto a 0 dagli gli switch Ethernet,
esiste per compatibilità tra Ethernet e Token Ring
VLAN 12
Universitàdi Palermo LA
IEEE 802.3ac
L’elemento MAC che riceve il frame legge il valore del reserved type, che si trova
nella posizione in cui normalmente è il field Length/Type, e tratta il frame
ricevuto come un frame VLAN
� Se l’elemento MAC è installato nella porta di uno switch, il frame è inoltrato
secondo la sua priorità a tutte le porte che sono associate con il VLAN ID
Successivamente
� Se l’elemento MAC è installato in una end station, il VLAN header viene
rimosso e il frame è trattato nel modo normale
Il VLAN tagging richiede che tutti i nodi coinvolti in un gruppo VLAN
supportino l’option VLAN
Una end station normalmente ignora di far parte di una VLAN e quindi
il VLAN header viene inserito dallo porta dello switch cui essa è connessa
VLAN 13
Universitàdi Palermo LA
Utilità
Un esempio dell’utilità delle VLAN è quello di una istituzione che desidera fornire
una rete logica separata a ciascun dipartimento usando un’unica rete di società
A ciascun dipartimento, anche con sedi geograficamente distanti,
viene assegnata una VLAN unica
Si configurano gli edge switch della rete per inserire un opportuno tag di
VLAN in tutti i frame dati in arrivo da dispositivi in un dato dipartimento
Dopo che i frame sono routed attraverso la rete, la tag di VLAN è
è eliminata prima che il frame sia inviato ad un dispositivo di
dipartimento che si trova possibilmente in un’altra località
I router possono essere configurati per instradare nel modo voluto i frame
delle varie VLAN (che sono assegnate a subnet differenti)
In questo modo un dipartimento non può essere infiltrato e/o spiato da un altro
VLAN 14
Universitàdi Palermo LA
Rete di campus
Dep. 1
Dep. 1
Dep. 2
Dep. 2Dep. 3
Dep. 4
INTERNET
VLAN 15
Universitàdi Palermo LA
Double tagging
Frequentemente il traffico tra differenti VLAN viene instradato su retidi Internet Service Provider che a loro volta usano delle proprie VLAN
La tag outer viene per prima seguita dalla inner tag
La outer tag, dovendo essere distinta dalla inner tag, deve esseredifferente e la norma specifica per questo caso il valore 88a8
In questi casi è necessario aggiungere alla tag originaria (inner tag)un’altra tag esterna (outer) fornita dall’Internet Service Provider
Spesso gli ISP usano valori diversi dallo standard
VLAN 16
Universitàdi Palermo LA
Trunking
Nelle reti switched i link che connettono un device a unoswitch trasportano il traffico di una VLAN, ma gli switchdevono essere connessi tra loro con dei link che trasportano
il traffico appartenente a più VLAN differenti
Le trunk lines, trasportando su un singolo link il traffico di piùVLAN permettono di estendere le VLAN sull’intera rete
Una possibile suddivisione delle linee di telecomunicazioni è quella inaccess lines e trunk lines Le prime sono delle risorse indivise usateper il traffico di un utente (linee di utente) mentre le seconde sono dellerisorse condivise usate per il traffico fra gli autocommutatori
Questi sono link di trunking o trunk lines o trunk
VLAN 17
Universitàdi Palermo LA
Trunking (2)
Con le VLAN il traffico broadcast o multicast si sviluppa soltantonella VLAN pertinente, diminuendo quindi il traffico complessivo
Un fattore molto importante è costituito dalla estensionedella rete che viene suddivisa in VLAN
Se questa rete è tale che tutti i device sono connessi ad un unicoswitch la gestione delle VLAN è problema interno allo switch
Differente la situazione se la rete fa capo a più di uno switch in cui(è la situazione più frequente) su ogni switch operano le diverse VLAN
In questo caso vi saranno dei link tra gli switch e tra questi e i routersu cui vi sarà il traffico di più VLAN ossia saranno delle trunk lines
VLAN 18
Universitàdi Palermo LA
Trunking (3)
Perché il meccanismo di trunking possa funzionare serve un protocollo
Per consentire la presenza di pacchetti di più VLAN su un linkè necessario poter distinguere i pacchetti delle diverse VLAN
La procedura più comune è quella che permette di distinguere i framein base al tag IEEE 802.1Q che è un’etichetta per le varie VLAN
Esistono anche altri meccanismi come Inter Switch Link (ISL) che èun protocollo proprietario della Cisco e LANE usato nei sistemi ATM
In ambienti multivendor si usa sempre lo standard 802.1Q
VLAN 19
Universitàdi Palermo LA
Trunking (4)
In pratica quindi il trunking viene effettuato tramite una sortadi incapsulamento (tipicamente IEEE 802.1Q)
In altre parole una trunk line che connette uno switch ad unrouter consente il routing inter-VLAN
Ricordiamo che i frame appartenenti ad una VLAN si propaganonell’ambito di quella VLAN
Quindi host appartenenti a VLAN differenti possono comunicaretra loro soltanto attraverso un router
Le interfacce consentono diversi modi di trunking dipendenti dal tipodi interfaccia (Ethernet, Token ring, etc) e dall’O.S. dello switch
VLAN 20
Universitàdi Palermo LA
Trunking (5)
Tratteremo soltanto delle VLAN Ethernet
Le interfacce Ethernet sopportano diversi trunking mode
In ogni modo un’interfaccia è ad un’estremità di un link punto-puntoe deve operare in modo compatibile con quello dell’altra estremità,risultato raggiungibile configurando manualmente nello stesso modo
le due estremità o con una negoziazione tre le due estremità
Il Dynamic Trunking Protocol (DTP) è un protocollo proprietariosviluppato da Cisco per la negoziazione del trunking su un link
tra due switch facenti parte di una VLAN e per la negoziazionedel tipo di trunking encapsulation da usare
Attenzione: Non tutti i dispositivi supportano il DTP
VLAN 21
Universitàdi Palermo LA
Trunk mode
La porta di uno switch può essere impostata in 6 modi
Dynamic auto – La porta può accettare di entrare in modo trunk e lo fa sel’altra estremità è in modo trunk o dynamic desirable (default)
Trunk – La porta è in modo trunking permanente
Access - La porta è in modo non-trunking permanente
Dynamic desirable – La porta tenta attivamente di entrare in modo trunk elo fa se l’altra estremità è in modo trunk, dynamic autoo dynamic desirable
Nonegotiate - La porta non tenta in alcun modo di negoziare
Dot1q-tunnel – La porta è configurata in modo tunnel verso un’altraporta 802.1Q
VLAN 22
Universitàdi Palermo LA
Encapsulation
Dopo che una porta è stata posta in modo trunk bisognaspecificare quale tipo di incapsulamento si vuole
Encapsulation dot1q – Incapsulamento 802.1Q
Encapsulation isl – Incapsulamento ISL
Encapsulation negotiate – Incapsulamento da negoziarecon l’altra estremità
VLAN 23
Universitàdi Palermo LA
Native VLAN
La native VLAN è automaticamente presente
I frame che appartengono alla native VLAN non vengonomodificati allorché trasmessi su un trunk
In sostanza ai frame della native VLAN, con l’incapsulamento802.1Q, non vengono aggiunti i 4 byte che definiscono la VLAN
Ovviamente può esistere una sola native VLAN
Lo standard IEEE 802.1Q introduce il concetto di native VLAN
Qualsiasi porta 802.1Q può avere solo una native VLAN, ma ogniporta su di un dispositivo può avere una diversa native VLAN
VLAN 24
Universitàdi Palermo LA
VTP
Il VTP (VLAN Trunking Protocol) è un protocollo di Layer 2 per loscambio di messaggi che mantiene la consistenza della configurazionedelle VLAN gestendo l’aggiunta, eliminazione e ridenominazione
delle VLAN su tutta la rete
La configurazione e amministrazione delle VLAN su una rete può essereeffettuata agendo manualmente su ogni singolo dispositivo o
in modo centralizzato tramite un server e un protocollo opportuno
VTP è un protocollo proprietario Cisco
La procedura manuale può essere effettuata solo su piccole reti,diversamente risulta faticosa e provoca facilmente inconsistenze
VLAN 25
Universitàdi Palermo LA
VTP (2)
Tre modi di funzionamento dei vari dispositivi: � Server
� Client
� Transparent
In server mode (default) sono ammesse tutte le variazioni locali equeste variazioni sono propagate sulla rete
In client mode non è possibile effettuare manualmente sul singolodispositivo alcuna variazione mentre le si può tramite un server
In transparent mode la configurazione delle VLAN può esserevariata localmente ma l’informazione non è propagata sulla rete,inoltre il dispositivo si lascia attraversare dai messaggi di update
VLAN 26
Universitàdi Palermo LA
VTP (3)
I server VTP pubblicizzano a tutti gli switch abilitati a VTPesistenti nel domain VTP le informazioni circa le VLAN
Le informazioni circa la configurazione delle VLAN èconservata dai server VTP in una memoria non volatile
I client VTP conservano le informazioni circa la configurazionedelle VLAN nella loro RAM
VLAN 27
Universitàdi Palermo LA
VTP (4)
In una rete con molti dispositivi se ne configurerà uno (o anche due)come server e tutti gli altri come client
Tutte le variazioni verranno effettuate sul server che lecomunicherà a tutti i client
Prima che il sistema possa funzionare è necessario definireun domain VTP
Il server VTP trasmette ogni 5 minuti o ogni volta che si effettua uncambiamento nel database delle VLAN un advertisement
VLAN 28
Universitàdi Palermo LA
VTP (5)
Un Domain VTP è formato da un insieme di switch interconnessi
Tutti gli switches in un domain VTP condividono i parametri delleVLAN che vengono comunicati usando advertisement VTP
Il confine di un domain VTP è costituito da un routero da uno switch di livello 3
R-1
Domain A Domain B
VLAN 29
Universitàdi Palermo LA
VTP (6)
Il messaggio di advertisement contiene:
� Il domain name VTP
� Il configuration revision number
� Update identity and update timestamp
� Digest MD5
� Formato del frame
Informazioniglobali
� VLAN ID
� VLAN name
� VLAN type
� VLAN state
� Informazioni specifiche per la VLAN
Informazionispecificheper ogni VLAN
VLAN 30
Universitàdi Palermo LA
VTP pruning
Esistono diverse VLANma soltanto la porta xdi S1 e la porta y di S7sono assegnate allaVLAN auditing
S1
S7
S2 S3
S4
S5
S6S8
p. y
p. x
L’host connesso a S1invia un broadcast
Si verifica unaquantità ditraffico inutileche intasa la rete
VLAN 31
Universitàdi Palermo LA
VTP pruning
S1
S7
S2 S3
S4
S5
S6S8
p. y
p. x
Il pruning blocca il trafficoflooded non necessario versole VLAN sulle porte di trunkche sono incluse nellapruning-eligible list
Il pruning aumenta labanda disponibile nellarete limitando il trafficoflooded a quei trunklink che si devonousare perraggiungere idispositivi didestinazione
VLAN 32
Universitàdi Palermo LA
VTP pruning
Il VTP pruning non funziona in VTP transparent mode
Le VLAN vengono dichiarate pruning-eligible oppure no e soloquelle dichiarate pruning-eligible sono trattate
Il pruning viene attivato tramite VTP quindi si parla di VTP pruning
Il VTP pruning si applica alle porte di trunk
VLAN 33
Universitàdi Palermo LA
Port mirroring
L’avvento delle reti switched ha comportato un notevole aumentodelle difficoltà di monitorare il traffico
Nelle reti basate su hub o su bus basta porre uno snifferin ascolto sulla rete ed questo intercetta tutto il traffico
In una rete switched su un link scorre solo il traffico diretto aquella porta mentre è disabilitato ogni traffico bidirezionale
La soluzione normale è quella di duplicare il traffico in/outdi una porta su un’altra porta (mirroring)
La porta su cui viene mirrored il traffico deve essere liberae non ha traffico suo proprio
VLAN 34
Universitàdi Palermo LA
IP & MAC filtering
Negli switch è possibile attivare diversi sistema di sicurezza
Possibile basarsi sugli IP address definendo una apposita ACL
La ACL può essere statica o definita dinamicamente tramite DHCP
Possibile pure effettuare il filtraggio basandosi sui MAC address
Queste procedure di sicurezza sono in pratica molto deboliperché un host può facilmente cambiare il suo IP address
come pure il suo MAC address
VLAN 35
Universitàdi Palermo LA
Spanning tree
Negli switch, al fine di evitare la formazione di loop, è necessariodefinire uno spanning-tree e quindi serve un protocollo apposito
Normalmente si fa uso di STP (Spanning-Tree Protocol) che è unprotocollo definito nello standard IEEE 802.1D
STP, oltre a prevenire la formazione di loop,fornisce la path redundancy
Lo Spanning Tree Protocol è un protocollo di livello 2 OSI
STP crea uno spanning tree all’interno di una rete magliata formatada switch di livello 2, disabilitando i link che non fanno parte dell’albero
e lasciando un unico path attivo tra qualsiasi due nodi della rete
VLAN 36
Universitàdi Palermo LA
Logica di STP
8
12
19 47
16
36
23
VLAN 37
Universitàdi Palermo LA
Funzioni di STP
Elezione di un root bridge
Ciascun bridge ha un suo MAC address
Ciascun bridge ha un suo priority number (configurabile da admin)
Il cosiddetto bridge ID (BID) è formato priority number e MAC address
Definizione dei path
BID
2B 6B
Bridgepriority
MACaddress
Determinazione dei ruoli delle porte
Perché STP possa svolgere le sue funzioni serve lo scambio di informazioni
VLAN 38
Universitàdi Palermo LA
Funzioni di STP (2)
Ciò viene fatto tramite lo scambio di opportune PDU:le Bridge Protocol Data Unit (BPDU)
Con le BPDU i bridge si scambiano informazioni circa iBID e i costi dei diversi path
Le BPDU sono scambiate di default ogni 2 secondi
I bridge trasmettono i frame BPDU usando come source addressil MAC address della porta e come destination address un
multicast address specifico di STP e cioè 01:80:C2:00:00:00
VLAN 39
Universitàdi Palermo LA
BPDU
Le parti di una BPDU sono:
Root BID
Path cost to root bridge
Sender BID
Port ID
VLAN 40
Universitàdi Palermo LA
Elezione root
Ogni porta di uno switch ha un suoID lungo 16 bit con due parti:6 bit priority e 10 bit port number
Inizialmente ciascuno switch considera se stesso come il root bridge
Quando uno switch viene connesso alla rete trasmette una BPDUcon il suo BID come root BID
Quando l’altro switch riceve la BPDU, confronta la BID che ricevecon la sua (che aveva conservata considerandola come root BID)
Se la nuova root BID ha un valore più basso, sostituisce quella conservata
Come root bridge viene scelto quello con il più basso BID
Il confronto viene effettuato prima sui priority number e dopo sui MAC address
Volendo forzare la scelta di un bridge gli si darà un’alta priority
Recommended