VLAN, Link Aggregation, Spanning tree · su switch, in più reti locali logicamente non comunicanti tra loro, ma che condividono globalmente la stessa infrastruttura fisica di rete

VLAN, Link Aggregation, Spanning

tree

Orazio Battaglia

Introduzione alle VLAN (Virtual LAN)

Definizione di dominio di broadcast: Un dominio di broadcast è un insieme di computer in una rete che possono scambiare dati a livello datalink, senza che questi debbano risalire fino al livello di rete in altri nodi dello stesso insieme. Più domini di broadcast sono collegati tra di loro mediante l’uso dei router.

Prima dell’introduzione delle VLAN la separazione dei domini di broadcast era possibile solo usando switch fisicamente separati.

Le VLAN permettono di segmentare il dominio di broadcast, che si crea in una rete locale basata su switch, in più reti locali logicamente non comunicanti tra loro, ma che condividono globalmente la stessa infrastruttura fisica di rete locale.

2 Tecnico di Reti Informatiche, modulo 2

Introduzione alle VLAN

La separazione dei domini di broadcast riduce il

traffico sugli switch e permette l’applicazione di

politiche di sicurezza diverse ad ogni rete.

Principali vantaggi delle VLAN:

La riconfigurazione della rete viene fatta via software.

Non è necessario usare switch separati e questo implica

l’ottimizzazione delle risorse hardware

Facilità di gestione della infrastruttura di rete. Potendo

intervenire sulla configurazione software la gestione della

infrastruttura di rete è fortemente semplificata

Flessibilità della gestione della infrastruttura di rete. La

riconfigurazione delle reti viene fatta via software.


Confronto tra infrastruttura tradizionale e

infrastruttura basata su VLAN (1/2)

In una infrastruttura tradizionale la separazione delle reti

deve essere fisica. Devo usare 2 switch. Nell’esempio lo

«Switch Inside» collega le workstation mentre lo «Switch

DMZ» collega i server. Il collegamento tra le reti avviene

tramite il router.


Confronto tra infrastruttura tradizionale e

infrastruttura basata su VLAN (2/2)

In una infrastruttura basata sulle VLAN la separazione delle reti è

logica. Supponendo di avere uno switch con 24 porte, mediante

configurazione software, ne uso 12 per la rete «Inside» e 12 per

la rete «DMZ». Le prime 12 porte costituiscono il dominio di

broadcast della rete delle workstation. Le altre 12 il dominio di

broadcast della rete dei server.

Il collegamento tra le reti avviene tramite il router.


VLAN definizioni

Le VLAN sono definite dallo standard ISO IEEE 802.1Q (http://en.wikipedia.org/wiki/IEEE_802.1Q)

802.1Q VLAN ID (VID): identificatore della VLAN, può assumere valori compresi tra 1 e 4094

La DEFAULT_VLAN configurata di default sulla maggior parte degli switch ha VID=1

Name: nome descrittivo della VLAN

Untagged port: porta untagged

Tagged port: porta tagged


http://en.wikipedia.org/wiki/IEEE_802.1Q



VLAN esempi di configurazione

Supponiamo di avere uno switch 10 porte da

usare per 2 reti logiche.

Usiamo le prime 5 per la rete «Inside» delle

workstation. Queste 5 porte le lasciamo sulla

DEFAULT_VLAN con VID=1.

Usiamo le altre 5 porte per la rete «DMZ» dei

server. Queste 5 porte le inseriamo nella VLAN

DMZ con VID=10.



La DEFAULT_VLAN è già configurata con VID=1.



Aggiungiamo la VLAN per la rete DMZ con VID=10 e Name=DMZ.



Le porte 0-4 appartengono di default alla VLAN 1. Non modifichiamo la configurazione.



Configuriamo le porte 5-9 in modo che facciano parte delle rete DMZ e quindi della VLAN 10. E’ sufficiente selezionare ogni singola porta e poi spuntare nella casella combinata VLAN la VLAN con VID=10.



Abbiamo configurato lo switch dividendolo in due

domini di broadcast. Il primo per ospitare la

DEFAULT_VLAN con VID=1 per le workstation e

il secondo per ospitare i server della VLAN DMZ

con VID=10. Tra le reti non esiste nessuna

connessione fino a quando non viene interposto

un router. Si realizza in questo modo la

separazione dei traffici delle reti necessaria per

l’implementazione delle politiche di sicurezza.


Propagazione delle VLAN

Il router ha due schede di rete dedicate rispettivamente alla rete Inside e alla rete DMZ. Lo switch 1 ha 10 porte. Le prime 2 ricevono rispettivamente le reti Inside e DMZ. Divido le altre porte tra le due reti e lascio l’ultima per propagare le VLAN, tramite un solo collegamento, allo switch 2. Quale tecnica usare per propagare le VLAN sullo switch 2?

E’ necessario usare le porte tagged. Le porte tagged, l’ultima dello switch 1 e la prima dello switch 2 ad esempio, saranno configurate per ricevere il traffico delle VLAN in modo taggato. Taggare il traffico sugli switch significa aggiungere ai frame (di livello 2 quindi) l’identificativo della VLAN (VID) a cui il frame appartiene.



Configuriamo la porta 9 dello switch 1 in modo che faccia passare il traffico della VLAN 1 e il traffico della VLAN 10. Devo configurare un trunk vlan e selezionare le due VLAN che fanno parte del trunk. La stessa configurazione sarà fatta sulla porta 1 dello switch 2.



A questo punto ci si pone la domanda: come fa lo switch 1 a capire a quale rete appartengono i frame che transitano per la porta 9?

La risposta viene data dall’operazione di aggiunta dei tag ai frame che transitano sullo switch.

15

In pratica al frame Ethernet vengono aggiunti 4 byte (la parte azzurra nell’immagine). Di questi 4 byte 12 bit vengono usati per il VID. In questo modo ogni frame viene marchiato con il VID della VLAN a cui appartiene e lo switch riesce ad individuarlo e a smistarlo.

Nota: con 12 bit posso rappresentare 2^12=4096 valori. Considerando che 0 e 4095 sono riservati posso usare i valori da 1 a 4094 per assegnare i VID alle mie VLAN!

Per altri dettagli http://en.wikipedia.org/wiki/IEEE_802.1Q

Tecnico di Reti Informatiche, modulo 2


Propagazione delle VLAN, altro esempio

16

In questo esempio sullo switch sono state definite 2 vlan: Vlan1 e Vlan2.

La Vlan1 è definita sulle porte 1,2,3,4.

La Vlan2 è definita sulle porte 1,5,6,7.

La porta 1 dello switch è attraversata da frame delle due vlan. Uso i tag del frame Ethernet per distinguere i frame destinati alla Vlan1 dai frame destinati alla Vlan2.


Link Aggregation

17

Il Link Aggregation viene usato per mettere

insieme più schede di rete in modo da avere

maggiore banda di trasmissione, bilanciamento di

carico e fault tolerance.

Tipici casi d’uso includono:

Il collegamento di switch di backbone. Switch

che aggregano molto traffico possono

beneficiare della maggiore banda offerta dal Link

Aggregation

Il collegamento in bilanciamento di carico e fault

tolerance dei server fisici agli switch


Link Aggregation

18

Il Link Aggregation viene anche chiamato:

NIC Bonding in ambiente Linux

NIC Teaming in ambiente Windows

Port trunking in ambiente Hardware (da non

confondere con il trunk delle VLAN)

Indipendentemente dall’ambiente a cui ci si

riferisce più schede di rete in Link Aggregation

vengono viste come una unica scheda di rete

logica e con unico MAC address


Link Aggregation

19

Le principali modalità di funzionamento del Link Aggregation sono:

Round-robin: i pacchetti vengono trasmessi in ordine sequenziale dalla prima interfaccia fino all’ultima in maniera ciclica. In questa modalità sono garantiti bilanciamento di carico e tolleranza ai guasti

Active-backup: solamente una interfaccia di rete alla volta è attiva, le altre restano passive ed entrano in gioco (una per volta), solo in caso di guasto di quella attiva. Questa modalità garantisce solo tolleranza ai guasti

XOR: in questa modalità ogni comunicazione con un MAC di destinazione continuerà sempre nella stessa scheda di rete. Si ottiene più un bilanciamento delle connessioni che non un bilanciamento del carico vero e proprio. Garantisce bilanciamento di carico e tolleranza ai guasti

Broadcast: ogni pacchetto viene mandato su ogni interfaccia di rete. Fornisce tolleranza ai guasti ma non bilanciamento di carico. Anzi il carico viene replicato su ogni scheda di rete

IEEE 802.3ad Dynamic link aggregation

Versione statica: le schede di rete da aggregare vengono definite in modo manuale

Versione dinamica: usa il protocollo LACP per scambiare messaggi tra gli switch. In base ai messaggi scambiati si creano gruppi di porte con stessa tipologia (half/full duplex) e stessa velocità (10/100/1000 Mbit/s)

Sia nella versione statica che in quella dinamica ogni comunicazione con un MAC di destinazione continuerà sempre nella stessa scheda di rete (come XOR). Questo garantisce bilanciamento delle connessioni e tolleranza ai guasti

I due estremi della comunicazione in Link Aggregation devono essere configurati allo stesso modo.


Link Aggregation

20

Esempio di configurazione da switch HP Procurve 2510


Spanning Tree

21

Lo Spanning Tree è un algoritmo utilizzato per realizzare reti complesse con percorsi ridondanti utilizzando tecnologie di livello Collegamento (il livello 2 del modello OSI).

Una LAN in generale è costituita da una serie di apparati di livello 2, tipicamente switch, interconnessi ma privi di cicli.

Se così non fosse alcuni pacchetti verrebbero replicati all’infinito sulla rete causando rapidamente la saturazione degli apparati.

Una LAN senza percorsi ridondanti è piuttosto fragile poiché la rottura di un apparato spezza la LAN in due reti distinte

Lo Spanning Tree viene attivato sugli apparati di livello Collegamento, tipicamente sugli switch, e mantiene inattive alcune interfacce in modo da garantire che la rete rimanga connessa ma priva di loop.


Spanning Tree

22

L’algoritmo di Spanning Tree è un algoritmo distribuito, che opera su tutti gli apparati di livello 2, facendo in modo che in ogni istante la rete sia connessa ma priva di cicli, ovvero che il grafo dei collegamenti disponibili sia «coperto» da un albero.


Spanning Tree

23

In generale è sufficiente abilitare lo Spanning Tree su tutti gli apparati della LAN.

L’algoritmo tende automaticamente a mantenere attivi i collegamenti con capacità superiore ma talvolta può essere necessario intervenire sui parametri per modificarne il comportamento.

L’algoritmo di Spanning Tree presenta alcuni limiti:

I tempi di convergenza, ovvero i tempi di reazione alla rottura di un apparato , tendono a crescere all’aumentare del numero di apparati presenti nella LAN

Il protocollo genera a sua volta traffico sulla LAN

La capacità dei collegamenti in stand-by non viene sfruttata


Documents

VLAN, Link Aggregation, Spanning tree · su switch, in più reti locali logicamente non comunicanti tra loro, ma che condividono globalmente la stessa infrastruttura fisica di rete