View
219
Download
0
Category
Preview:
Citation preview
Zaawansowane Przełączanie IP
ZPIP - v2015 1
dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/
Połączony model sieci
ZPIP - v2015 2
ZPIP - v2015 3
Hierarchiczny model sieci
SSL VPNFirewallIPSec VPN
IPS
L2 Switch
L2/L3 Switch
L2/L3Switch
L2/L3Switch
WAN Edge Router
WAN Edge Router
Servers + Storage
L2/L3 Switch
Hard to manage
STP in a flat L2
access network
Security Sprawl
WAN Edge
Core Tier
Aggregation
Tier
Access
Tier
Hierarchiczny model sieci
Zalety modelu hierarchicznego:
Skalowalność
Utrzymanie, konserwacja, przywracanie po
awariach (modularna budowa)
Nadmiarowość
Wydajność
Bezpieczeństwo
Zarządzanie
ZPIP - v2015 4
Hierarchiczny model sieci
Połączenie warstw Dystrybucji i Rdzenia w jedną.
ZPIP - v2015 5
Distribution
Access
Core
Multi-Tier Collapsed distribution & core
Hierarchiczny model sieci
Połączenie wszystkich warstw w jedną (Data Center), innych charakter ruchu.
ZPIP - v2015 6
Client – Server Architecture Service Oriented Architecture
Server Server
Server
Server
Server
Server
95%25%
Client
A
D
CB
DB
A
D
CB
DB
75%
Hierarchiczny model sieci
Połączenie wszystkich warstw w jedną (Data Center).
ZPIP - v2015 7
ZPIP - v2015
8
WLA
BUILDING A BUILDING B
WLA
WLA
EX4300VC-2a
WLA
EX4300VC-3a
WLA
EX3300VC-1a
LAG
EX4600VC-1a
LAG
WLA
EX6200-1b
SRX Series
Cluster
LAG
WLA
App Servers
Centralized
DHCP and
other services
LAG
EX9200-1b
WLC
Cluster
Internet
Hierarchiczny model sieci
Przełączanie w warstwie 2
ZPIP - v2015 9
Bridging Mechanisms
Learning Forwarding Flooding Filtering Aging
LAN
VLAN
SwitchUser A
MAC: 00:26:88:02:74:86User D
MAC: 00:26:88:02:74:89
User B
MAC: 00:26:88:02:74:87
User C
MAC: 00:26:88:02:74:88
ge-0/0/6 ge-0/0/9
Hub
ge-0/0/7
MAC Address Interface
00:26:88:02:74:86 ge-0/0/6
00:26:88:02:74:87 ge-0/0/7
00:26:88:02:74:88 ge-0/0/7
00:26:88:02:74:89 ge-0/0/9Bridge Table
Pre TypeDA SA FCSData
Połączenia nadmiarowe
ZPIP - v2015 10
Pętla (loop)
W topologii opartej na przełącznikach (L2) istnienie aktywnych, alternatywnych ścieżek oznacza powstanie pętli!
Ramki krążą w nieskończoność, wolumen ruchu rośnie.
Brak mechanizmów ochronnych (w protokole Eth lub poza nim) np. TTL
ZPIP - v2015 11
Pętla (loop)
ZPIP - v2015 12
A
B
Broadcast lub brak znajomości docelowego MAC – oczywista oczywistość – zduplikowane ramki krążące w nieskończoność.
Unicast i znany docelowy MAC – efekt flip flop adresu MAC w tablicy przełączania (bo raz na jednym raz na innym porcie się ten sam MAC pojawia), bardzo obciążający dla CPU.
Dostępność, nadmiarowość
HA – High Availability:
VC – Virtual Chassis
STP – Spanning Tree Protocol
RTG – Redundant Trunk Groups
LAG – Link Aggregation Groups
ZPIP - v2015 13
VC, STP, RTG, LAG
ZPIP - v2015 14
JEX_11.a_C7_HighAvailability.ppt
VC
VCVC
LAGLAG
VC – Virtual Chassis
LAG – Link Aggregation Groups
15
EXSeries
Virtual Chassis
CLOSET 2
Aggregation/
CoreAccess
10GbE/40GbE
uplinks
10/40GbE
10/40G VCP
CLOSET 1
WLA
WLA
ZPIP - v2015
STP – Spanning Tree ProtocolRTG – Redundant Trunk Groups
ZPIP - v2015 16
Access
Aggregation
ge-0/0/1
ge-0/0/2
Switch-1 Switch-2
Switch-3 Switch-4 Switch-5
RSTP
RTG
CTI – laboratoria sieciowe
ZPIP - v2015 17
CTI – laboratoria sieciowe
Konsola urządzeń sieciowych dostępna poprzez serwer terminali (Opengear).
Wszystkie urządzenia, zgromadzone w laboratorium, mają porty konsolowe podłączone do serwera terminali.
Poprzez SSH np. putty należy połączyć się z serwerem terminali, nr portu TCP związany jest z nr fizycznego portu w serwerze terminali.
ZPIP - v2015 18
Zadanie 1 Przygotować 2 przełączniki EX3300 do
zadania (maks. 2 osoby w podgrupie):
Przywrócić fabryczną konfigurację
Nadać unikatową nazwę
Skonfigurować hasło dla root
ZPIP - v2015 19
Usuwanie haseł z urządzeń
ZPIP - v2015 20
Kasowanie konfiguracji startowych
ZPIP - v2015 21
Kasowanie konfiguracji startowych
Z menu urządzenia (EX3300):
MAINTENANCE:
SYSTEM REBOOT?
FACTORY DEFAULT?
ZPIP - v2015 22
IDLE
STATUS
MAINT
Konfigurowanie nazwy urządzenia
ZPIP - v2015 23
Zadanie 2 Skonfigurować na obu przełącznikach
wszystkie porty Ethernet RJ45 jako L2 z szybkością 100Mb/s.
ZPIP - v2015 24
Tryb L2 pracy portu/interfejsu
{master:0}[edit interfaces]
user@switch-1# show
ge-x/y/z {
unit 0 {
family ethernet-switching;
}
description opis;
ether-options {
link-mode tryb;
speed {
szybkosc;
}
}
}
ZPIP - v2015 25
{master:0}[edit interfaces]user@switch-1# showinterface-range nazwa {
member ge-0/0/1;member ge-0/0/3;member ge-0/0/4;member-range ge-0/0/6 to ge-0/0/9;unit 0 {
family ethernet-switching;}description opis;ether-options {
link-mode tryb;speed {
szybkosc;}
}}
show interfaces terse
Layer 2 interfaces should show the eth-switch value under the Proto column.
ZPIP - v2015 26
show interfaces extensive
ZPIP - v2015 27
Zadanie 3 Przygotować topologię zgodnie z
rysunkiem:
Sprawdzić i zinterpretować tablicę przełączania.
ZPIP - v2015 28
A
B
Sprawdzenie tablicy przełączania
ethernet-switching table
ZPIP - v2015 29
Czyszczenie tablicy przełączaniaclear ethernet-switching table
ZPIP - v2015 30
Statyczne wpisy do tablicy przełączania(pierwszeństwo mają wpisy dynamiczne)
ZPIP - v2015 31
{master:0}[edit ethernet-switching-options]user@switch# show static {
vlan default {mac 08:00:27:d2:e9:97 next-hop ge-0/0/22.0;mac 08:00:27:d2:e9:98 next-hop ge-0/0/11.0;mac 08:00:27:d2:e9:99 next-hop ge-0/0/10.0;
}}
Zadanie 4 Wyłączyć na obu przełącznikach
mechanizmy ochrony przed pętlami w warstwie L2:
Storm Control: JEX_11.a_C6_DeviceSecurity_and_FirewallFilters.ppt
Spanning Tree Protocol (i wszelkie jego odmiany): JEX_11.a_C4_SpanningTree.ppt
ZPIP - v2015 32
A
B
Zarządzanie mechanizmem Storm Control
Wyłączenie Storm Control dla ruchu broadcast, multicast, unknown-unicast:
ZPIP - v2015 33
{master:0}[edit]root# show ethernet-switching-optionsstorm-control {
interface all {no-broadcast;no-unknown-unicast;no-multicast;
}}
Zarządzanie protokołem Spanning Tree Protocol
Wyłączenie wszystkich wersji STP:
ZPIP - v2015 34
{master:0}[edit]root# show protocolsstp {
interface all {disable;
}}rstp {
interface all {disable;
}}mstp {
interface all {disable;
}}vstp {
vlan default {interface all {
disable;}
}}
Test
Uruchomić ping pomiędzy hostami.
Uruchomić wireshark na hostach.
Jakie są opóźnienia dla ping?
Jakie jest wykorzystanie pasma na aktywnych linkach?
Jakie jest obciążenie CPU?
Czy zmienia się tablica przełączania, jeśli tak to co i dlaczego?
ZPIP - v2015 35
Zadanie 5 Dodać dodatkowe połączenie pomiędzy
przełącznikami.
ZPIP - v2015 36
B
A
Test
Uruchomić ping pomiędzy hostami.
Uruchomić wireshark na hostach.
Jakie są opóźnienia dla ping?
Jakie jest wykorzystanie pasma na aktywnych linkach?
Jakie jest obciążenie CPU?
Czy zmienia się tablica przełączania, jeśli tak to co i dlaczego?
ZPIP - v2015 37
Zadanie 6 Włączyć na obu przełącznikach
mechanizm Storm Control.
ZPIP - v2015 38
B
A
Włączenie Storm Control z ustawieniami domyślnymiethernet-switching-options storm-controlinterface all
ZPIP - v2015 39
Test
Uruchomić ping pomiędzy hostami.
Uruchomić wireshark na hostach.
Jakie są opóźnienia dla ping?
Jakie jest wykorzystanie pasma na aktywnych linkach?
Ustawić opcje Storm Control tak aby opóźnienie ping spadło poniżej 10ms.
ZPIP - v2015 40
Zadanie 7 Włączyć na obu przełącznikach
mechanizm ochrony przed pętlami w warstwie L2:
RSTP: JEX_11.a_C4_SpanningTree.ppt
Zmienić aktywne połączenie.
ZPIP - v2015 41
B
A
Włączenie RSTP
Włączenie RSTP z domyślnymi ustawieniami:
[edit protocols]
user@switch# set rstp
Określenie kosztów interfejsów:[edit protocols]
user@switch# set rstp interface all cost x
user@switch# set rstp interface int-name cost x
ZPIP - v2015 42
show spanning-tree
ZPIP - v2015 43
Testy
Które połączenie zostało zablokowane?
Jakie jest wykorzystanie pasma na aktywnych linkach?
Jakie jest obciążenie CPU?
Czy zmienia się tablica przełączania, jeśli tak to co i dlaczego?
ZPIP - v2015 44
Testy
W trakcie przesyłania danych (iPerf + monitor Windows) pomiędzy hostami A i B:
rozłączyć link, który na obu portach jest w stanie FWD,
po chwili podłączyć ponownie rozłączony link.
Czy nastąpiły przerwy w transferze danych?
ZPIP - v2015 45
B
A
Testy
Przesyłać dane (iPerf + monitor Windows) pomiędzy A i B oraz w tym samym czasie pomiędzy C i D.
Jakie transfery zostały osiągnięte, dlaczego?
ZPIP - v2015 46
C
B
A
D
Zadanie 8 Wyłączyć na jednym przełączniku (access)
mechanizmy ochrony przed pętlami w warstwie L2:
RSTP
Drugi przełącznik (distribution) pozostaje z włączonym RSTP.
Włączyć na pierwszym przełączniku:
RTG JEX_11.a_C7_HighAvailability.ppt
ZPIP - v2015 47
B
A
Konfiguracja RTG
Wyłączyć RSTP
Utworzenie grupy interfejsów i dodanie do niej dwóch interfejsów z czego jeden jako główny primary.
Ustawienie czasu, po którym interfejs primaryzacznie ponownie przesyłać dane (po rozłączeniu i ponownym podłączeniu).
ZPIP - v2015 48
Konfiguracja RTG
ZPIP - v2015 49
{master:0}[edit ethernet-switching-options]root# showredundant-trunk-group {
group nazwa_grupy{preempt-cutover-timer czas;interface interfejs1;interface interfejs2 {
primary;}
}}
{master:0}[edit protocols]root# showrstp {
interface all {disable;
}}
show redundant-trunk-group
ZPIP - v2015 50
Testy
Które połączenie jest aktywne w ramach RTG?
Jaki jest status RSTP na przełączniku distribution ?
Jakie jest wykorzystanie pasma na aktywnych linkach?
Jakie jest obciążenie CPU?
Czy zmienia się tablica przełączania, jeśli tak to co i dlaczego?
ZPIP - v2015 51
Testy
W trakcie przesyłania danych (iPerf + monitor Windows) pomiędzy hostami A i B:
rozłączyć link, który na obu portach jest w stanie FWD,
po chwili podłączyć ponownie rozłączony link.
Czy nastąpiły przerwy w transferze danych?
ZPIP - v2015 52
B
A
Testy
Przesyłać dane (iPerf + monitor Windows) pomiędzy A i B oraz w tym samym czasie pomiędzy C i D.
Jakie transfery zostały osiągnięte, dlaczego?
ZPIP - v2015 53
C
B
A
D
Zadanie 9 Wyłączyć na obu przełącznikach mechanizmy
ochrony przed pętlami w warstwie L2:
RSTP i RTG
Zagregować w jedno połączenie logiczne wszystkie połączenia pomiędzy oboma przełącznikami:
LAG JEX_11.a_C7_HighAvailability.ppt
ZPIP - v2015 54
B
A
Konfiguracja LAG
Tworzenie zagregowanego interfejsu Ethernet:
ZPIP - v2015 55
{master:0}[edit chassis]user@Switch-1# run show interfaces terse | match ae0
{master:0}[edit chassis]user@Switch-1# set aggregated-devices ethernet device-count liczba
{master:0}[edit chassis]user@Switch-1# commitconfiguration check succeeds commit complete
{master:0}[edit chassis]user@Switch-1# run show interfaces terse | match ae0ae0 up down
Konfiguracja LAG
Przypisanie połączeń fizycznych do LAG:
ZPIP - v2015 56
{master:0}[edit interfaces]user@Switch-1# set ae0 unit 0 family ethernet-switching
{master:0}[edit interfaces]user@Switch-1# set ae0 aggregated-ether-options lacp tryb
{master:0}[edit interfaces]user@Switch-1# set int_name1 ether-options 802.3ad ae0
{master:0}[edit interfaces]user@Switch-1# set int_name2 ether-options 802.3ad ae0
{master:0}[edit interfaces]user@Switch-1# commitconfiguration check succeedscommit complete
{master:0}[edit interfaces]user@Switch-1# run show interfaces terse | match ae0ge-0/0/12.0 up up aenet --> ae0.0ge-0/0/13.0 up up aenet --> ae0.0ae0 up upae0.0 up up eth-switch
show interfaces ?
ZPIP - v2015 57
show lacp ?
ZPIP - v2015 58
Testy
Czy jakiekolwiek połączenie pomiędzy przełącznikami zostało zablokowane?
Jaka jest przepustowość zagregowanego połączenia?
Jakie jest wykorzystanie pasma na aktywnych linkach?
Jakie jest obciążenie CPU?
Czy zmienia się tablica przełączania, jeśli tak to co i dlaczego?
ZPIP - v2015 59
Testy
W trakcie przesyłania danych (iPerf + monitor Windows) pomiędzy hostami A i B:
rozłączyć link, przez który przesyłane są dane,
po chwili podłączyć ponownie rozłączony link.
Czy nastąpiły przerwy w transferze danych?
ZPIP - v2015 60
B
A
Testy
Przesyłać dane (iPerf + monitor Windows) pomiędzy A i B oraz w tym samym czasie pomiędzy C i D.
Jakie transfery zostały osiągnięte, dlaczego?
ZPIP - v2015 61
C
B
A
D
ZPIP
ZPIP - v2015 62
KONIEC
Recommended