La LN dell'rea della Ricerca del CNR di isa rea della Ricerca del CNR di isa Scelte architetturali ed esperienze gestionali Marco Sommani Consiglio Nazionale delle Ricerche Istituto di Informatica e Telematica ia Giuseppe Moruzzi - isa marco.sommani@iit.cnr.it maggio 5 Marco Sommani osizione del CNR in isa http://www.area.pi.cnr.it maggio 5 Marco Sommani maggio 5 Marco Sommani
Chi c è nell rea CNR di isa Gestione delle risorse comuni Circa persone distribuite fra istituti afferenti alle seguenti aree scientifiche: Scienze della vita (IBB, IFC, IN, ISE) Tecnoscienze (IIT, ISTI) Scienze umane e sociali (ILC) Scienze di base (IBF, ICF) Scienze della Terra (IGG) Nell rea è presente anche un ospedale, facente parte dello IFC (Istituto di Fisiologia Clinica) Un gruppo dello IIT (Istituto di Informatica e Telematica) cura le risorse comuni della rete: i collegamenti con l esterno i router gli switch Ethernet attraversati da più LN il cablaggio e gli armadi di distribuzione Il gruppo coopera con gli altri istituti allo scopo di assicurare l uso proprio della rete e di limitare i danni derivanti dagli attacchi esterni e interni maggio 5 Marco Sommani 5 maggio 5 Marco Sommani Dimensioni della rete Distribuzione delle fibre ottiche rogetto parte passiva: 995 rogetto parte attiva attuale: fine iù di prese attive a Mbps Km di cavi in rame Km di fibra ottica armadi di distribuzione dorsale di primo livello a Gbps ( risorsa comune ): FastIron della Foundry Networks dorsale di secondo livello a Gbps ( risorsa comune ): altri apparati totale apparati attivi: accesso GRR a Mbps su Juniper M maggio 5 Marco Sommani maggio 5 Marco Sommani
Rappresentazione schematica Esempio di cammino periferico FI. FI. FI. FI. FES FES FES FES FES FESFESFESFESFES FI. FI. J-M FI. FI. FI. FI. FES FES FES FES FES FESFESFESFESFES Switch Switch Switch Switch Switch 5 FI. FI. maggio 5 Marco Sommani maggio 5 Marco Sommani FastIron FES e H5 QuickTime and a TIFF (Uncompressed) decompressor are needed to see this picture. Switch L/L presenti nei armadi di dorsale (rossi) slot + alimentazione ridondata switch con porte GE e con ( porte installate in tutto) Capacità massima di 5 porte GE per switch Le porte GE installate consentono una dorsale a Gbps ( trunk da *GE) più altri collegamenti GE verso la periferia In caso di caduta di uno tutto resta funzionante Switch L presenti su tutti gli armadi di distribuzione (verdi) (sui FES) o (sugli H5) porte / e uplink GE Concatenando le porte gigabit si creano catene composte da più switch di questa categoria ( cammini periferici ), terminanti su due diversi FastIron In genere le porte GE usano le LN in modalità tagged, quelle / in modalità untagged lle porte / sono collegati o macchine finali o apparati attivi non facenti parte della dotazione comune maggio 5 Marco Sommani maggio 5 Marco Sommani
Uso delle LN Ogni istituto ha la propria LN macchine appartenenti alla stessa LN hanno indirizzi I sulla stessa subnet e usano lo stesso indirizzo di default gateway ogni istituto gestisce in piena autonomia i computer ed i servizi informatici (mail, dns,...) il traffico fra macchine su due LN diverse deve necessariamente passare attraverso un router Collegamento fra bridge partizionati Un link interbridge distinto per ogni LN: Un solo link interbridge tagged : maggio 5 Marco Sommani maggio 5 Marco Sommani 5 Formato del tag.q Schema del routing I Lunghezza totale: ottetti Segue il Source Mac ddress ottetti contengono l.q Tag rotocol Type, che ha il valore esadecimale -; la presenza di questo valore dopo il source address permette al bridge ricevente di individuare la presenza del tag bit di priorità (valori da a ) CFI (Canonical Format Indicator), generalmente gli ultimi bit contengono il ID (LN identificator) C area aule ifc iit.../ 5.../ FI. FI. 9.../.../ J-M FI. 5.../ FI..../.../.../.../ FI. FI. ibf igg in ipcf ise isti maggio 5 Marco Sommani maggio 5 Marco Sommani
Effetti dell ST Esempio di active topology Uno dei bridge diventa radice dell albero (root bridge) Su ogni bridge non root viene individuata la porta che offre il cammino migliore verso il root bridge () Fra tutte le porte di bridge affacciate su un segmento, viene individuata quella che offre il cammino migliore dal segmento al root bridge () Solo le porte che sono root o designated vengono messe in stato di forwarding e ricevono e trasmettono frames. L attività delle altre porte è limitata alla partecipazione allo ST. 9 5 maggio 5 Marco Sommani maggio 5 Marco Sommani 9 arametri ST (valori.d) Diametro, timer, tempi di convergenza arametro bridge priority (bridge) Descrizione parte più significativa del bridge identifier alore default alori ammessi - 555 Max bridge diameter Hello time Max age 9 5 9 9 port priority (port) path cost () forward delay (root bridge) maximum age (root bridge) hello time (root bridge) parte più significativa del port identifier termine da aggiungere al costo totale del cammino dal bridge al root bridge tempo da trascorrere negli stati listening e learning tempo massimo tollerabile senza ricevere messaggi dal root bridge intervallo fra due trasmissioni di configuration BDU dal root bridge dipende 5 secondi secondi secondi - 55-555 - - - Forward delay Tempo di convergenza Max bridge diameter Hello time Max age Forward delay Tempo di convergenza 5 5 5 5 59 9 9 9 5 5 9 9 9 5 5 5 9 maggio 5 Marco Sommani maggio 5 Marco Sommani
Caso con alcuni bridge senza ST Lentezza dell.d In occasione di una riconfigurazione, il forwarding delle frame resta sospeso per un tempo compreso fra *forward_delay e max_age+*forward_delay Secondo lo standard, la riconfigurazione dovrebbe avvenire anche quando la porta di un bridge diventa attiva perché un computer collegato a questa viene acceso Quest ultimo inconveniente viene mitigato spesso con alternative proprietarie, nelle quali la riconfigurazione viene messa in moto solo se la porta appena attivata riceve BDU maggio 5 Marco Sommani maggio 5 Marco Sommani Il Rapid Spanning Tree (RST) rincipali differenze Lo standard IEEE.W definisce il Rapid Spanning Tree rotocol L RST assicura, nella maggior parte dei casi, tempi di convergenza molto rapidi Condizione necessaria per avere tempi di convergenza rapidi è che su ogni segmento siano presenti non più di due bridge Lo stesso bridge può usare RST su alcune porte e ST su altre. Quest ultimo viene scelto se la porta riceve BDU ST umentano i possibili ruoli delle porte: root: come in ST designated: come in ST alternate: porta in stato discarding che potrebbe diventare root in caso di fallimento dell attuale root backup: porta in stato discarding che in nessun caso può diventare root (collegamento fra porte dello stesso switch) Sui segmenti interswitch con una coppia designatedroot la transizione allo stato forwarding avviene in tempi rapidissimi ignorando i timer ST Sugli altri segmenti interswitch la porta designated va in forwarding dopo due volte il forward delay maggio 5 Marco Sommani maggio 5 Marco Sommani 5
Ruoli delle porte secondo il RST Convergenza RST (step ) maggio 5 Marco Sommani maggio 5 Marco Sommani Convergenza RST (step ) Convergenza RST (step ) maggio 5 Marco Sommani maggio 5 Marco Sommani 9
Convergenza RST (step ) Convergenza RST (step 5) maggio 5 Marco Sommani maggio 5 Marco Sommani Dopo due volte il forward delay er lan Spanning Tree Soluzione proprietaria adottata da molti costruttori Il bridge mantiene istanze dello Spanning Tree distinte associate alle diverse LN Ciascuna istanza dello Spanning Tree invia le BDU sulla propria LN, inserendo il tag opportuno se necessario In tal modo ad ogni LN può corrispondere una topologia attiva diversa maggio 5 Marco Sommani maggio 5 Marco Sommani
Topology Groups Spanning tree con root in FI. Soluzione proprietaria meno comune del ST, usabile solo sulle porte tagged Si raggruppano le LN che devono condividere la stessa topologia attiva in un Topology Group Fra tutte le LN facenti parte di un Topology Group, una viene definita Master LN Le BDU dell istanza di Spanning Tree associata al Topology Group viaggiano solo sulla Master LN Una porta bloccata per la Master LN è bloccata per tutte le LN del gruppo Eventuali BDU transitanti sulle altre LN del gruppo vengono ignorate: usi impropri dello ST non fanno danni FI. FI. FI. FES FES FES FES FES FES FES FES FES FES FESFESFESFESFES FESFESFESFESFES FI. FI. FI. maggio 5 Marco Sommani maggio 5 Marco Sommani 5 Topology Group: configurazione lan sui link interswitch vlan name root_in_t by port tagged ethe / to / ethe / to / ethe / to / spanning-tree -w spanning-tree -w forward-delay hello-time max-age priority spanning-tree -w ethe / path-cost admin-ptpt-mac spanning-tree -w ethe / path-cost admin-ptpt-mac spanning-tree -w ethe / path-cost admin-ptpt-mac spanning-tree -w ethe / path-cost admin-ptpt-mac spanning-tree -w ethe / path-cost admin-ptpt-mac spanning-tree -w ethe / path-cost admin-ptpt-mac! stp-group master-vlan member-vlan to to to 9 9 9 9 member-vlan 5 55 to 5 Su ciascuno dei collegamenti tra FastIron sono definite: la vlan di management le vlan dei vari istituti le master vlan dei topology groups una vlan punto-punto, utilizzata per il trasporto del traffico in modalità routed fra i due FastIron adiacenti Sui link GE dei cammini periferici sono definite: la vlan di management le vlan dei vari istituti le master vlan dei topology group maggio 5 Marco Sommani maggio 5 Marco Sommani
ST sui cammini periferici I topology group sono configurabili sui FES ma non sugli H5. Decisione: non attivare nessun tipo di ST sugli switch dei cammini periferici Conseguenze: ciascun FI agli estremi del cammino sente le BDU dell altro e uno solo dei due va in forwarding la coppia è designated-alternate, per cui la porta designated va in forwarding dopo * forward delay gli switch periferici non vengono a conoscenza dei cambi di topologia e non purgano velocemente le tabelle di instradamento ST fuori della dorsale comune La dorsale comune è composta dai switch principali e dagli switch dei cammini periferici Gli istituti agganciano le loro apparecchiature alle porte /, di norma untagged, degli switch periferici Un istituto può collegare un proprio switch con ST attivo tramite due uplink a due porte diverse diverse della dorsale comune lo ST sullo switch di istituto blocca uno dei due uplink, senza interagire con lo ST di dorsale maggio 5 Marco Sommani maggio 5 Marco Sommani 9 ST fuori della dorsale comune Documentazione rete Il RST della master LN trasforma in albero la topologia della LN di istituto sulla dorsale comune L istituto può collegare switch con ST in maniera ridontata alla dorsale comune Le BDU prodotte dagli switch di istituto sono ignorate dagli switch sulla dorsale FES FI. FI. FI. FI. FES FI. FI. FES FES Lo stato fisico della rete (cablaggio, connessioni, allestimento armadi) è documentato in linea su: http://soi.cnr.it/~mario/piante/default.html Dalle mappe sensibili dell archivio è possibile, per esempio conoscere cosa c è a monte di una presa a muro conoscere l uso delle porte sui pannelli di commutazione ricostruire i collegamenti in fibra fra armadi Indagini più sofisticate sono possibili tramite una interfaccia database di tipo classico maggio 5 Marco Sommani maggio 5 Marco Sommani
Strumenti di monitoraggio ( di ) Strumenti di monitoraggio ( di ) Macfind: ricerca dello switch e della porta cui è collegato un dato mac address: http://nmon.iat.cnr.it/cgi-bin/management/macfind-new.cgi Rappresentazione grafica dello ST di una LN partendo dai dati relativi allo stato delle porte sugli switch: http://reti.iit.cnr.it/stp/ Rappresentazione grafica della topologia di una LN partendo dalle tabelle di instradamento L: http://nmon.iat.cnr.it/cgi-bin/vlan-topology/vlantopology.cgi Dislocazione degli ascoltatori I multicast, ricavata dall esame dei dati IGM snooping sugli switch: http://reti.iit.cnr.it/multicast/ Statistiche di traffico derivate dai sample Sflow dei FastIron : http://reti.iit.cnr.it/star/ ccoppiamenti Iaddress-MCaddress, derivati dall analisi del traffico broadcast su una porta tagged https://nm.iit.cnr.it/arpanalyzer/ https://nm.iit.cnr.it/ipanalyzer/ Individuazione dei DHC server presenti in rete, effettuata tramite l analisi del traffico broadcast su una porta tagged https://nm.iit.cnr.it/dhcpanalyzer/ quest ultimo stumento è associato un daemon che, quando rileva la presenza di un DHC server abusivo, invia una mail ai responsabili di rete maggio 5 Marco Sommani maggio 5 Marco Sommani Notifica DHC server abusivo (This is an automatic warning message sent by the "DHC nalyzer" tool) One (or more) DHC server has been detected with an I address not included in the list of the allowed ones. ------------------------------------------------ Last server detected: 9.5.5. (LN 5). ------------------------------------------------ Detailed data are included at the end of this mail. For more information visit the web page: https://nm.iit.cnr.it/dhcpanalyzer/ Best regards ----------------------------------------------------- [:: pr 5] dhcp type: Request LN = 5 Client I = '9.5.5.' Server I = '9.5.5.' Relay I = '---------------' Server MC addr = '------------' (L frame) Client MC addr = 'a95cd9' (L frame) Client MC addr = 'a95cd9' (dhcp payload) ----------------------------------------------------- maggio 5 Marco Sommani