VLAN, Link Aggregation, Spanning tree - CESCOT
Transcript
VLAN, Link Aggregation, Spanning tree - CESCOT
VLAN, Link Aggregation, Spanning tree Orazio Battaglia Introduzione alle VLAN (Virtual LAN) Definizione di dominio di broadcast: Un dominio di broadcast è un insieme di computer in una rete che possono scambiare dati a livello datalink, senza che questi debbano risalire fino al livello di rete in altri nodi dello stesso insieme. Più domini di broadcast sono collegati tra di loro mediante l’uso dei router. Prima dell’introduzione delle VLAN la separazione dei domini di broadcast era possibile solo usando switch fisicamente separati. Le VLAN permettono di segmentare il dominio di broadcast, che si crea in una rete locale basata su switch, in più reti locali logicamente non comunicanti tra loro, ma che condividono globalmente la stessa infrastruttura fisica di rete locale. 2 Tecnico di Reti Informatiche, modulo 2 Introduzione alle VLAN La separazione dei domini di broadcast riduce il traffico sugli switch e permette l’applicazione di politiche di sicurezza diverse ad ogni rete. Principali vantaggi delle VLAN: 3 La riconfigurazione della rete viene fatta via software. Non è necessario usare switch separati e questo implica l’ottimizzazione delle risorse hardware Facilità di gestione della infrastruttura di rete. Potendo intervenire sulla configurazione software la gestione della infrastruttura di rete è fortemente semplificata Flessibilità della gestione della infrastruttura di rete. La riconfigurazione delle reti viene fatta via software. Tecnico di Reti Informatiche, modulo 2 Confronto tra infrastruttura tradizionale e infrastruttura basata su VLAN (1/2) In una infrastruttura tradizionale la separazione delle reti deve essere fisica. Devo usare 2 switch. Nell’esempio lo «Switch Inside» collega le workstation mentre lo «Switch DMZ» collega i server. Il collegamento tra le reti avviene tramite il router. 4 Tecnico di Reti Informatiche, modulo 2 Confronto tra infrastruttura tradizionale e infrastruttura basata su VLAN (2/2) In una infrastruttura basata sulle VLAN la separazione delle reti è logica. Supponendo di avere uno switch con 24 porte, mediante configurazione software, ne uso 12 per la rete «Inside» e 12 per la rete «DMZ». Le prime 12 porte costituiscono il dominio di broadcast della rete delle workstation. Le altre 12 il dominio di broadcast della rete dei server. Il collegamento tra le reti avviene tramite il router. 5 Tecnico di Reti Informatiche, modulo 2 VLAN definizioni 6 Le VLAN sono definite dallo standard ISO IEEE 802.1Q (http://en.wikipedia.org/wiki/IEEE_802.1Q) 802.1Q VLAN ID (VID): identificatore della VLAN, può assumere valori compresi tra 1 e 4094 La DEFAULT_VLAN configurata di default sulla maggior parte degli switch ha VID=1 Name: nome descrittivo della VLAN Untagged port: porta untagged Tagged port: porta tagged Tecnico di Reti Informatiche, modulo 2 VLAN esempi di configurazione Supponiamo di avere uno switch 10 porte da usare per 2 reti logiche. Usiamo le prime 5 per la rete «Inside» delle workstation. Queste 5 porte le lasciamo sulla DEFAULT_VLAN con VID=1. Usiamo le altre 5 porte per la rete «DMZ» dei server. Queste 5 porte le inseriamo nella VLAN DMZ con VID=10. 7 Tecnico di Reti Informatiche, modulo 2 VLAN esempi di configurazione La DEFAULT_VLAN è già configurata con VID=1. 8 Tecnico di Reti Informatiche, modulo 2 VLAN esempi di configurazione Aggiungiamo la VLAN per la rete DMZ con VID=10 e Name=DMZ. 9 Tecnico di Reti Informatiche, modulo 2 VLAN esempi di configurazione Le porte 0-4 appartengono di default alla VLAN 1. Non modifichiamo la configurazione. 10 Tecnico di Reti Informatiche, modulo 2 VLAN esempi di configurazione Configuriamo le porte 5-9 in modo che facciano parte delle rete DMZ e quindi della VLAN 10. E’ sufficiente selezionare ogni singola porta e poi spuntare nella casella combinata VLAN la VLAN con VID=10. 11 Tecnico di Reti Informatiche, modulo 2 VLAN esempi di configurazione Abbiamo configurato lo switch dividendolo in due domini di broadcast. Il primo per ospitare la DEFAULT_VLAN con VID=1 per le workstation e il secondo per ospitare i server della VLAN DMZ con VID=10. Tra le reti non esiste nessuna connessione fino a quando non viene interposto un router. Si realizza in questo modo la separazione dei traffici delle reti necessaria per l’implementazione delle politiche di sicurezza. 12 Tecnico di Reti Informatiche, modulo 2 Propagazione delle VLAN Il router ha due schede di rete dedicate rispettivamente alla rete Inside e alla rete DMZ. Lo switch 1 ha 10 porte. Le prime 2 ricevono rispettivamente le reti Inside e DMZ. Divido le altre porte tra le due reti e lascio l’ultima per propagare le VLAN, tramite un solo collegamento, allo switch 2. Quale tecnica usare per propagare le VLAN sullo switch 2? E’ necessario usare le porte tagged. Le porte tagged, l’ultima dello switch 1 e la prima dello switch 2 ad esempio, saranno configurate per ricevere il traffico delle VLAN in modo taggato. Taggare il traffico sugli switch significa aggiungere ai frame (di livello 2 quindi) l’identificativo della VLAN (VID) a cui il frame appartiene. 13 Tecnico di Reti Informatiche, modulo 2 Propagazione delle VLAN Configuriamo la porta 9 dello switch 1 in modo che faccia passare il traffico della VLAN 1 e il traffico della VLAN 10. Devo configurare un trunk vlan e selezionare le due VLAN che fanno parte del trunk. La stessa configurazione sarà fatta sulla porta 1 dello switch 2. 14 Tecnico di Reti Informatiche, modulo 2 Propagazione delle VLAN A questo punto ci si pone la domanda: come fa lo switch 1 a capire a quale rete appartengono i frame che transitano per la porta 9? La risposta viene data dall’operazione di aggiunta dei tag ai frame che transitano sullo switch. In pratica al frame Ethernet vengono aggiunti 4 byte (la parte azzurra nell’immagine). Di questi 4 byte 12 bit vengono usati per il VID. In questo modo ogni frame viene marchiato con il VID della VLAN a cui appartiene e lo switch riesce ad individuarlo e a smistarlo. Nota: con 12 bit posso rappresentare 2^12=4096 valori. Considerando che 0 e 4095 sono riservati posso usare i valori da 1 a 4094 per assegnare i VID alle mie VLAN! Per altri dettagli http://en.wikipedia.org/wiki/IEEE_802.1Q 15 Tecnico di Reti Informatiche, modulo 2 Propagazione delle VLAN, altro esempio In questo esempio sullo switch sono state definite 2 vlan: Vlan1 e Vlan2. La Vlan1 è definita sulle porte 1,2,3,4. La Vlan2 è definita sulle porte 1,5,6,7. La porta 1 dello switch è attraversata da frame delle due vlan. Uso i tag del frame Ethernet per distinguere i frame destinati alla Vlan1 dai frame destinati alla Vlan2. 16 Tecnico di Reti Informatiche, modulo 2 Link Aggregation Il Link Aggregation viene usato per mettere insieme più schede di rete in modo da avere maggiore banda di trasmissione, bilanciamento di carico e fault tolerance. Tipici casi d’uso includono: Il collegamento di switch di backbone. Switch che aggregano molto traffico possono beneficiare della maggiore banda offerta dal Link Aggregation Il collegamento in bilanciamento di carico e fault tolerance dei server fisici agli switch 17 Tecnico di Reti Informatiche, modulo 2 Link Aggregation Il Link Aggregation viene anche chiamato: NIC Bonding in ambiente Linux NIC Teaming in ambiente Windows Port trunking in ambiente Hardware (da non confondere con il trunk delle VLAN) Indipendentemente dall’ambiente a cui ci si riferisce più schede di rete in Link Aggregation vengono viste come una unica scheda di rete logica e con unico MAC address 18 Tecnico di Reti Informatiche, modulo 2 Link Aggregation Le principali modalità di funzionamento del Link Aggregation sono: Round-robin: i pacchetti vengono trasmessi in ordine sequenziale dalla prima interfaccia fino all’ultima in maniera ciclica. In questa modalità sono garantiti bilanciamento di carico e tolleranza ai guasti Active-backup: solamente una interfaccia di rete alla volta è attiva, le altre restano passive ed entrano in gioco (una per volta), solo in caso di guasto di quella attiva. Questa modalità garantisce solo tolleranza ai guasti XOR: in questa modalità ogni comunicazione con un MAC di destinazione continuerà sempre nella stessa scheda di rete. Si ottiene più un bilanciamento delle connessioni che non un bilanciamento del carico vero e proprio. Garantisce bilanciamento di carico e tolleranza ai guasti Broadcast: ogni pacchetto viene mandato su ogni interfaccia di rete. Fornisce tolleranza ai guasti ma non bilanciamento di carico. Anzi il carico viene replicato su ogni scheda di rete IEEE 802.3ad Dynamic link aggregation Versione statica: le schede di rete da aggregare vengono definite in modo manuale Versione dinamica: usa il protocollo LACP per scambiare messaggi tra gli switch. In base ai messaggi scambiati si creano gruppi di porte con stessa tipologia (half/full duplex) e stessa velocità (10/100/1000 Mbit/s) Sia nella versione statica che in quella dinamica ogni comunicazione con un MAC di destinazione continuerà sempre nella stessa scheda di rete (come XOR). Questo garantisce bilanciamento delle connessioni e tolleranza ai guasti I due estremi della comunicazione in Link Aggregation devono essere configurati allo stesso modo. 19 Tecnico di Reti Informatiche, modulo 2 Link Aggregation Esempio di configurazione da switch HP Procurve 2510 20 Tecnico di Reti Informatiche, modulo 2 Spanning Tree Lo Spanning Tree è un algoritmo utilizzato per realizzare reti complesse con percorsi ridondanti utilizzando tecnologie di livello Collegamento (il livello 2 del modello OSI). Una LAN in generale è costituita da una serie di apparati di livello 2, tipicamente switch, interconnessi ma privi di cicli. Se così non fosse alcuni pacchetti verrebbero replicati all’infinito sulla rete causando rapidamente la saturazione degli apparati. Una LAN senza percorsi ridondanti è piuttosto fragile poiché la rottura di un apparato spezza la LAN in due reti distinte Lo Spanning Tree viene attivato sugli apparati di livello Collegamento, tipicamente sugli switch, e mantiene inattive alcune interfacce in modo da garantire che la rete rimanga connessa ma priva di loop. 21 Tecnico di Reti Informatiche, modulo 2 Spanning Tree L’algoritmo di Spanning Tree è un algoritmo distribuito, che opera su tutti gli apparati di livello 2, facendo in modo che in ogni istante la rete sia connessa ma priva di cicli, ovvero che il grafo dei collegamenti disponibili sia «coperto» da un albero. 22 Tecnico di Reti Informatiche, modulo 2 Spanning Tree In generale è sufficiente abilitare lo Spanning Tree su tutti gli apparati della LAN. L’algoritmo tende automaticamente a mantenere attivi i collegamenti con capacità superiore ma talvolta può essere necessario intervenire sui parametri per modificarne il comportamento. L’algoritmo di Spanning Tree presenta alcuni limiti: I tempi di convergenza, ovvero i tempi di reazione alla rottura di un apparato , tendono a crescere all’aumentare del numero di apparati presenti nella LAN Il protocollo genera a sua volta traffico sulla LAN La capacità dei collegamenti in stand-by non viene sfruttata 23 Tecnico di Reti Informatiche, modulo 2