VLAN VLAN. Università di Palermo VLAN 1

Transcript

1 VN VN VN 1

2 Switches Funzionamento degli switch di layer 2 Ricordiamo che le reti Ethernet con media condiviso che usano gli hub, molti host sono connessi ad un singolo dominio broadcast e di collisione Le reti Ethernet con media condiviso operano nel livello 1 di OSI Le reti switched operano ad un livello 2, 3 o 4 A livello base uno switch opera a livello 2 e opera l instradamento basandosi sui MAC address Lo switch inizialmente non conosce dove instradare un pacchetto con un dato Destination MAC address VN 2

3 Switches (2) Lo switch man mano che riceve dei pacchetti costruisce una tabella a due colonne in ogni riga della quale vi è il Source MAC address e la porta attraverso cui è stato ricevuto Quando deve trasmettere un pacchetto verso un dato MAC address lo switch ricerca il MAC address nella tabella e, se lo trova, pone in uscita il pacchetto sulla porta corrispondente a quel MAC address Se nella MAC Address Table non è presente quell address lo switch pone il pacchetto in uscita su tutte le porte (flooding) VN 3

4 VN Virtual Local Access Network Un gruppo di host accomunati da un qualche requirement che comunicano come se fossero connessi sullo stesso segmento di network anche se non lo sono LE VN si comportano come reti fisiche anche se non lo sono La gestione di queste network virtuali viene fatta via software Si tratta di N di tipo switched Le VN operano a livello 2, mentre le subnet IP operano a livello 3 In una N che utilizza le VN esiste spesso una corrispondenza biunivoca tra VN e subnet IP

5 VN sketch Piano 3 Piano 2 Piano 1 Reparto Ammin. Reparto Tecnico Reparto Commerc. VN 5

6 4 tipi di VN Tipi di VN Port-Based VN: Ogni porta di switch è configurata con una access list che specifica l appartenenza ad un insieme di VN MAC-based VN: Uno switch è configurato con una access list che accoppia i MAC address con a la VN Protocol-based VN: Uno switch è configurato con una lista che unisce i protocolli di layer 3 all appartenenza ad una VN ATM VN fanno uso del protocollo N Emulation (NE) per mappare i pacchetti Ethernet in celle ATM e consegnarli alla loro destinazione convertendo MAC address Ethernet in un ATM address VN 6

7 Standard VN In pratica con una VN si possono mettere in contatto tra loro come se fossero sulla stessa N degli host che si trovano su N differenti Le VN non furono previste nel protocollo IEEE 802 originario Esse sono state introdotte successivamente con lo standard 801.Q Per quel che riguarda la VN Ethernet si fa riferimento a IEEE 802.3ac che definisce l estensione del formato del frame necessaria per supportare le etichette (tag) VN sulle N Ethernet Non tutte le N fanno uso delle tag VN e quindi, oltre al valore delle tag si è dovuto definire come specificare l esistenza delle VN VN 7

8 IEEE 802.1Q Meccanismo standard per consentire l esistenza di più reti bridged che condividono in modo trasparente gli stessi link fisici senza che vi sia tra esse scambio di informazione Lo standard 802.1Q definisce con precisione il concetto di Virtual Lan o VN come N switched e quindi basate su un bridging al layer MAC, suddivise logicamente in rapporto alla funzione, team o applicazione senza riguardo alla locazione fisica Sempre lo standard 802.1Q definisce il rapporto tra VN e lo spanning-tree protocol IEEE 802.1D VN 8

9 Field Ether/Type Il formato del frame Ethernet come definito nella IEEE è: 8 byte 1 byte 6 byte 6 byte 2 byte byte 4 byte Preamble SFD Dest MAC addr Source MAC addr Type Length Payload FCS Per il field Type/Length vale la convenzione che i valori tra 0 e 1500 indicano l uso del formato Ethernet originale con un campo Length mentre i valori 1536 (H0600) indicano l uso del formato DIX con un campo Type che è un identificatore dell Upper Layer Protocol H0800 IPv4 H86DD IPv6 H ARP VN 9

10 Field Ether/type Lo standard IEEE 802.3ac ha introdotto per consentire la presenza del Q tag un nuovo field di byte che precede il field Type/Length VN field PRE SFD DA SA Type/Length Data PAD FCS 802.1Q TPID Tag Control Information 802.1Q Tag Protocol ID (TPID) è H8100. Quando un frame che contiene questo valore dichiara di contenere un tag IEEE 802.1Q/802.1P. Questo valore non può essere confuso con quello di un field Length/Type Tag Control Information User Priority CFI VN ID 3 bit 1 bit 12 bit VN 10

11 IEEE 802.3ac Tag Control Information contiene 3 sub-field: User Priority di 3 bit presenta il livello di priorità per il frame (uso definito in IEEE 802.1P) CFI (Canonical Format Indicator) di 1 bit per indicare la presenza di un Routing Information Field CFI è sempre posto a 0 dagli gli switch Ethernet, esiste per compatibilità tra Ethernet e Token Ring VN ID di 12 bit che permette l identificazione di 2^12 = 4096 VN Il VN ID 0 è usato per indicare i priority frames e il valore 4095 (FFF) è riservato, rimangono quindi 4,094 possibili identificatori VN tagging porta la lunghezza massima del frame Ethernet da 1518 a 1522 byte VN 11

12 IEEE 802.3ac L elemento MAC che riceve il frame legge il valore del reserved type, che si trova nella posizione in cui normalmente è il field Length/Type, e tratta il frame ricevuto come un frame VN Successivamente Se l elemento MAC è installato nella porta di uno switch, il frame è inoltrato secondo la sua priorità a tutte le porte che sono associate con il VN ID Se l elemento MAC è installato in una end station, il VN header viene rimosso e il frame è trattato nel modo normale Il VN tagging richiede che tutti i nodi coinvolti in un gruppo VN supportino l option VN Una end station normalmente ignora di far parte di una VN e quindi il VN header viene inserito dallo porta dello switch cui essa è connessa VN 12

13 Utilità Un esempio dell utilità delle VN è quello di una istituzione che desidera fornire una rete logica separata a ciascun dipartimento usando un unica rete di società A ciascun dipartimento, anche con sedi geograficamente distanti, viene assegnata una VN unica Si configurano gli edge switch della rete per inserire un opportuno tag di VN in tutti i frame dati in arrivo da dispositivi in un dato dipartimento Dopo che i frame sono routed attraverso la rete, la tag di VN è è eliminata prima che il frame sia inviato ad un dispositivo di dipartimento che si trova possibilmente in un altra località I router possono essere configurati per instradare nel modo voluto i frame delle varie VN (che sono assegnate a subnet differenti) In questo modo un dipartimento non può essere infiltrato e/o spiato da un altro VN 13

14 Rete di campus Dep. 1 INTERNET Dep. 1 Dep. 2 Dep. 4 Dep. 3 Dep. 2 VN 14

15 Double tagging Frequentemente il traffico tra differenti VN viene instradato su reti di Internet Service Provider che a loro volta usano delle proprie VN In questi casi è necessario aggiungere alla tag originaria (inner tag) un altra tag esterna (outer) fornita dall Internet Service Provider La tag outer viene per prima seguita dalla inner tag La outer tag, dovendo essere distinta dalla inner tag, deve essere differente e la norma specifica per questo caso il valore 88a8 Spesso gli ISP usano valori diversi dallo standard VN 15

16 Trunking Una possibile suddivisione delle linee di telecomunicazioni è quella in access lines e trunk lines Le prime sono delle risorse indivise usate per il traffico di un utente (linee di utente) mentre le seconde sono delle risorse condivise usate per il traffico fra gli autocommutatori Nelle reti switched i link che connettono un device a uno switch trasportano il traffico di una VN, ma gli switch devono essere connessi tra loro con dei link che trasportano il traffico appartenente a più VN differenti Questi sono link di trunking o trunk lines o trunk Le trunk lines, trasportando su un singolo link il traffico di più VN permettono di estendere le VN sull intera rete VN 16

17 Trunking (2) Con le VN il traffico broadcast o multicast si sviluppa soltanto nella VN pertinente, diminuendo quindi il traffico complessivo Un fattore molto importante è costituito dalla estensione della rete che viene suddivisa in VN Se questa rete è tale che tutti i device sono connessi ad un unico switch la gestione delle VN è problema interno allo switch Differente la situazione se la rete fa capo a più di uno switch in cui (è la situazione più frequente) su ogni switch operano le diverse VN In questo caso vi saranno dei link tra gli switch e tra questi e i router su cui vi sarà il traffico di più VN ossia saranno delle trunk lines VN 17

18 Trunking (3) Perché il meccanismo di trunking possa funzionare serve un protocollo Per consentire la presenza di pacchetti di più VN su un link è necessario poter distinguere i pacchetti delle diverse VN La procedura più comune è quella che permette di distinguere i frame in base al tag IEEE 802.1Q che è un etichetta per le varie VN Esistono anche altri meccanismi come Inter Switch Link (ISL) che è un protocollo proprietario della Cisco e NE usato nei sistemi ATM In ambienti multivendor si usa sempre lo standard 802.1Q VN 18

19 Trunking (4) In pratica quindi il trunking viene effettuato tramite una sorta di incapsulamento (tipicamente IEEE 802.1Q) Ricordiamo che i frame appartenenti ad una VN si propagano nell ambito di quella VN Quindi host appartenenti a VN differenti possono comunicare tra loro soltanto attraverso un router In altre parole una trunk line che connette uno switch ad un router consente il routing inter-vn Le interfacce consentono diversi modi di trunking dipendenti dal tipo di interfaccia (Ethernet, Token ring, etc) e dall O.S. dello switch VN 19

20 Trunking (5) Tratteremo soltanto delle VN Ethernet Le interfacce Ethernet sopportano diversi trunking mode In ogni modo un interfaccia è ad un estremità di un link punto-punto e deve operare in modo compatibile con quello dell altra estremità, risultato raggiungibile configurando manualmente nello stesso modo le due estremità o con una negoziazione tre le due estremità Il Dynamic Trunking Protocol (DTP) è un protocollo proprietario sviluppato da Cisco per la negoziazione del trunking su un link tra due switch facenti parte di una VN e per la negoziazione del tipo di trunking encapsulation da usare Attenzione: Non tutti i dispositivi supportano il DTP VN 20

21 Trunk mode La porta di uno switch può essere impostata in 6 modi Access - La porta è in modo non-trunking permanente Trunk La porta è in modo trunking permanente Dynamic auto La porta può accettare di entrare in modo trunk e lo fa se l altra estremità è in modo trunk o dynamic desirable (default) Dynamic desirable La porta tenta attivamente di entrare in modo trunk e lo fa se l altra estremità è in modo trunk, dynamic auto o dynamic desirable Nonegotiate - La porta non tenta in alcun modo di negoziare Dot1q-tunnel La porta è configurata in modo tunnel verso un altra porta 802.1Q VN 21

22 Encapsulation Dopo che una porta è stata posta in modo trunk bisogna specificare quale tipo di incapsulamento si vuole Encapsulation dot1q Incapsulamento 802.1Q Encapsulation isl Incapsulamento ISL Encapsulation negotiate Incapsulamento da negoziare con l altra estremità VN 22

23 Native VN Lo standard IEEE 802.1Q introduce il concetto di native VN I frame che appartengono alla native VN non vengono modificati allorché trasmessi su un trunk In sostanza ai frame della native VN, con l incapsulamento 802.1Q, non vengono aggiunti i 4 byte che definiscono la VN Ovviamente può esistere una sola native VN La native VN è automaticamente presente Qualsiasi porta 802.1Q può avere solo una native VN, ma ogni porta su di un dispositivo può avere una diversa native VN VN 23

24 VTP La configurazione e amministrazione delle VN su una rete può essere effettuata agendo manualmente su ogni singolo dispositivo o in modo centralizzato tramite un server e un protocollo opportuno La procedura manuale può essere effettuata solo su piccole reti, diversamente risulta faticosa e provoca facilmente inconsistenze Il VTP (VN Trunking Protocol) è un protocollo di Layer 2 per lo scambio di messaggi che mantiene la consistenza della configurazione delle VN gestendo l aggiunta, eliminazione e ridenominazione delle VN su tutta la rete VTP è un protocollo proprietario Cisco VN 24

25 VTP (2) Tre modi di funzionamento dei vari dispositivi: Server Client Transparent In server mode (default) sono ammesse tutte le variazioni locali e queste variazioni sono propagate sulla rete In client mode non è possibile effettuare manualmente sul singolo dispositivo alcuna variazione mentre le si può tramite un server In transparent mode la configurazione delle VN può essere variata localmente ma l informazione non è propagata sulla rete, inoltre il dispositivo si lascia attraversare dai messaggi di update VN 25

26 VTP (3) I server VTP pubblicizzano a tutti gli switch abilitati a VTP esistenti nel domain VTP le informazioni circa le VN Le informazioni circa la configurazione delle VN è conservata dai server VTP in una memoria non volatile I client VTP conservano le informazioni circa la configurazione delle VN nella loro RAM VN 26

27 VTP (4) In una rete con molti dispositivi se ne configurerà uno (o anche due) come server e tutti gli altri come client Tutte le variazioni verranno effettuate sul server che le comunicherà a tutti i client Prima che il sistema possa funzionare è necessario definire un domain VTP Il server VTP trasmette ogni 5 minuti o ogni volta che si effettua un cambiamento nel database delle VN un advertisement VN 27

28 VTP (5) Un Domain VTP è formato da un insieme di switch interconnessi Tutti gli switches in un domain VTP condividono i parametri delle VN che vengono comunicati usando advertisement VTP Il confine di un domain VTP è costituito da un router o da uno switch di livello 3 Domain A Domain B R-1 VN 28

29 VTP (6) Il messaggio di advertisement contiene: Il domain name VTP Informazioni globali Il configuration revision number Update identity and update timestamp Digest MD5 Formato del frame VN ID Informazioni specifiche per ogni VN VN name VN type VN state Informazioni specifiche per la VN VN 29

30 VTP pruning Esistono diverse VN ma soltanto la porta x di S1 e la porta y di S7 sono assegnate alla VN auditing S7 p. y L host connesso a S1 invia un broadcast S6 S8 Si verifica una quantità di traffico inutile che intasa la rete S2 p. x S3 S4 S5 S1 VN 30

31 VTP pruning Il pruning blocca il traffico flooded non necessario verso le VN sulle porte di trunk che sono incluse nella pruning-eligible list S7 p. y Il pruning aumenta la banda disponibile nella rete limitando il traffico flooded a quei trunk link che si devono usare per raggiungere i dispositivi di destinazione S2 p. x S1 VN 31 S6 S3 S4 S8 S5

32 VTP pruning Il pruning viene attivato tramite VTP quindi si parla di VTP pruning Il VTP pruning non funziona in VTP transparent mode Le VN vengono dichiarate pruning-eligible oppure no e solo quelle dichiarate pruning-eligible sono trattate Il VTP pruning si applica alle porte di trunk VN 32

33 Port mirroring L avvento delle reti switched ha comportato un notevole aumento delle difficoltà di monitorare il traffico Nelle reti basate su hub o su bus basta porre uno sniffer in ascolto sulla rete ed questo intercetta tutto il traffico In una rete switched su un link scorre solo il traffico diretto a quella porta mentre è disabilitato ogni traffico bidirezionale La soluzione normale è quella di duplicare il traffico in/out di una porta su un altra porta (mirroring) La porta su cui viene mirrored il traffico deve essere libera e non ha traffico suo proprio VN 33

34 IP & MAC filtering Negli switch è possibile attivare diversi sistema di sicurezza Possibile basarsi sugli IP address definendo una apposita ACL La ACL può essere statica o definita dinamicamente tramite DHCP Possibile pure effettuare il filtraggio basandosi sui MAC address Queste procedure di sicurezza sono in pratica molto deboli perché un host può facilmente cambiare il suo IP address come pure il suo MAC address VN 34

35 Spanning tree Negli switch, al fine di evitare la formazione di loop, è necessario definire uno spanning-tree e quindi serve un protocollo apposito Normalmente si fa uso di STP (Spanning-Tree Protocol) che è un protocollo definito nello standard IEEE 802.1D STP, oltre a prevenire la formazione di loop, fornisce la path redundancy Lo Spanning Tree Protocol è un protocollo di livello 2 OSI STP crea uno spanning tree all interno di una rete magliata formata da switch di livello 2, disabilitando i link che non fanno parte dell albero e lasciando un unico path attivo tra qualsiasi due nodi della rete VN 35

36 Logica di STP VN 36

37 Funzioni di STP Elezione di un root bridge Definizione dei path Determinazione dei ruoli delle porte Ciascun bridge ha un suo MAC address Ciascun bridge ha un suo priority number (configurabile da admin) Il cosiddetto bridge ID (BID) è formato priority number e MAC address Bridge priority MAC address 2B 6B BID Perché STP possa svolgere le sue funzioni serve lo scambio di informazioni VN 37

38 Funzioni di STP (2) Ciò viene fatto tramite lo scambio di opportune PDU: le Bridge Protocol Data Unit (BPDU) Con le BPDU i bridge si scambiano informazioni circa i BID e i costi dei diversi path Le BPDU sono scambiate di default ogni 2 secondi I bridge trasmettono i frame BPDU usando come source address il MAC address della porta e come destination address un multicast address specifico di STP e cioè 01:80:C2:00:00:00 VN 38

39 BPDU Le parti di una BPDU sono: Root BID Path cost to root bridge Sender BID Port ID VN 39

40 Elezione root Come root bridge viene scelto quello con il più basso BID Ogni porta di uno switch ha un suo ID lungo 16 bit con due parti: 6 bit priority e 10 bit port number Il confronto viene effettuato prima sui priority number e dopo sui MAC address Volendo forzare la scelta di un bridge gli si darà un alta priority Inizialmente ciascuno switch considera se stesso come il root bridge Quando uno switch viene connesso alla rete trasmette una BPDU con il suo BID come root BID Quando l altro switch riceve la BPDU, confronta la BID che riceve con la sua (che aveva conservata considerandola come root BID) Se la nuova root BID ha un valore più basso, sostituisce quella conservata VN 40