VLAN, Link Aggregation, Spanning tree - CESCOT

Transcript

VLAN, Link Aggregation, Spanning
tree
Orazio Battaglia
Introduzione alle VLAN (Virtual LAN)
Definizione di dominio di broadcast: Un dominio di
broadcast è un insieme di computer in una rete che
possono scambiare dati a livello datalink, senza che
questi debbano risalire fino al livello di rete in altri nodi
dello stesso insieme. Più domini di broadcast sono
collegati tra di loro mediante l’uso dei router.
Prima dell’introduzione delle VLAN la separazione dei
domini di broadcast era possibile solo usando switch
fisicamente separati.
Le VLAN permettono di segmentare il dominio di
broadcast, che si crea in una rete locale basata
su switch, in più reti locali logicamente non comunicanti
tra loro, ma che condividono globalmente la stessa
infrastruttura fisica di rete locale.



2
Tecnico di Reti Informatiche, modulo 2
Introduzione alle VLAN
La separazione dei domini di broadcast riduce il
traffico sugli switch e permette l’applicazione di
politiche di sicurezza diverse ad ogni rete.
Principali vantaggi delle VLAN:





3
La riconfigurazione della rete viene fatta via software.
Non è necessario usare switch separati e questo implica
l’ottimizzazione delle risorse hardware
Facilità di gestione della infrastruttura di rete. Potendo
intervenire sulla configurazione software la gestione della
infrastruttura di rete è fortemente semplificata
Flessibilità della gestione della infrastruttura di rete. La
riconfigurazione delle reti viene fatta via software.
Confronto tra infrastruttura tradizionale e
infrastruttura basata su VLAN (1/2)
In una infrastruttura tradizionale la separazione delle reti
deve essere fisica. Devo usare 2 switch. Nell’esempio lo
«Switch Inside» collega le workstation mentre lo «Switch
DMZ» collega i server. Il collegamento tra le reti avviene
tramite il router.
4
Confronto tra infrastruttura tradizionale e
infrastruttura basata su VLAN (2/2)
In una infrastruttura basata sulle VLAN la separazione delle reti è
logica. Supponendo di avere uno switch con 24 porte, mediante
configurazione software, ne uso 12 per la rete «Inside» e 12 per
la rete «DMZ». Le prime 12 porte costituiscono il dominio di
broadcast della rete delle workstation. Le altre 12 il dominio di
broadcast della rete dei server.
Il collegamento tra le reti avviene tramite il router.
5
VLAN definizioni






6
Le VLAN sono definite dallo standard ISO
IEEE 802.1Q
(http://en.wikipedia.org/wiki/IEEE_802.1Q)
802.1Q VLAN ID (VID): identificatore della
VLAN, può assumere valori compresi tra 1 e
4094
La DEFAULT_VLAN configurata di default sulla
maggior parte degli switch ha VID=1
Name: nome descrittivo della VLAN
Untagged port: porta untagged
Tagged port: porta tagged
VLAN esempi di configurazione
Supponiamo di avere uno switch 10 porte da
usare per 2 reti logiche.
Usiamo le prime 5 per la rete «Inside» delle
workstation. Queste 5 porte le lasciamo sulla
DEFAULT_VLAN con VID=1.
Usiamo le altre 5 porte per la rete «DMZ» dei
server. Queste 5 porte le inseriamo nella VLAN
DMZ con VID=10.
7
La DEFAULT_VLAN è già configurata con VID=1.
8
Aggiungiamo la VLAN per la rete DMZ con VID=10 e
Name=DMZ.
9
Le porte 0-4 appartengono di default alla VLAN 1. Non
modifichiamo la configurazione.
10
Configuriamo le porte 5-9 in modo che facciano parte delle rete DMZ e quindi della VLAN 10. E’
sufficiente selezionare ogni singola porta e poi spuntare nella casella combinata VLAN la VLAN con
VID=10.
11
Abbiamo configurato lo switch dividendolo in due
domini di broadcast. Il primo per ospitare la
DEFAULT_VLAN con VID=1 per le workstation e
il secondo per ospitare i server della VLAN DMZ
con VID=10. Tra le reti non esiste nessuna
connessione fino a quando non viene interposto
un router. Si realizza in questo modo la
separazione dei traffici delle reti necessaria per
l’implementazione delle politiche di sicurezza.
12
Propagazione delle VLAN
Il router ha due schede di rete dedicate
rispettivamente alla rete Inside e alla rete
DMZ. Lo switch 1 ha 10 porte. Le prime 2
ricevono rispettivamente le reti Inside e
DMZ. Divido le altre porte tra le due reti e
lascio l’ultima per propagare le VLAN,
tramite un solo collegamento, allo switch
2. Quale tecnica usare per propagare le
VLAN sullo switch 2?
E’ necessario usare le porte tagged. Le
porte tagged, l’ultima dello switch 1 e la
prima dello switch 2 ad esempio, saranno
configurate per ricevere il traffico delle
VLAN in modo taggato. Taggare il traffico
sugli switch significa aggiungere ai frame
(di livello 2 quindi) l’identificativo della
VLAN (VID) a cui il frame appartiene.
13
Configuriamo la porta 9 dello switch 1 in modo che faccia passare il traffico della VLAN 1 e il traffico della
VLAN 10. Devo configurare un trunk vlan e selezionare le due VLAN che fanno parte del trunk. La stessa
configurazione sarà fatta sulla porta 1 dello switch 2.
14
A questo punto ci si pone la domanda: come fa lo switch
1 a capire a quale rete appartengono i frame che
transitano per la porta 9?
La risposta viene data dall’operazione di aggiunta dei tag
ai frame che transitano sullo switch.
In pratica al frame Ethernet vengono aggiunti 4 byte (la parte azzurra nell’immagine). Di
questi 4 byte 12 bit vengono usati per il VID. In questo modo ogni frame viene marchiato
con il VID della VLAN a cui appartiene e lo switch riesce ad individuarlo e a smistarlo.
Nota: con 12 bit posso rappresentare 2^12=4096 valori. Considerando che 0 e 4095 sono
riservati posso usare i valori da 1 a 4094 per assegnare i VID alle mie VLAN!
Per altri dettagli http://en.wikipedia.org/wiki/IEEE_802.1Q
15
Propagazione delle VLAN, altro esempio
In questo esempio sullo switch sono state definite 2
vlan: Vlan1 e Vlan2.
La Vlan1 è definita sulle porte 1,2,3,4.
La Vlan2 è definita sulle porte 1,5,6,7.
La porta 1 dello switch è attraversata da frame delle
due vlan. Uso i tag del frame Ethernet per
distinguere i frame destinati alla Vlan1 dai frame
destinati alla Vlan2.
16
Link Aggregation
Il Link Aggregation viene usato per mettere
insieme più schede di rete in modo da avere
maggiore banda di trasmissione, bilanciamento di
carico e fault tolerance.
Tipici casi d’uso includono:
 Il collegamento di switch di backbone. Switch
che aggregano molto traffico possono
beneficiare della maggiore banda offerta dal Link
Aggregation
 Il collegamento in bilanciamento di carico e fault
tolerance dei server fisici agli switch
17
Link Aggregation
Il Link Aggregation viene anche chiamato:
 NIC Bonding in ambiente Linux
 NIC Teaming in ambiente Windows
 Port trunking in ambiente Hardware (da non
confondere con il trunk delle VLAN)
Indipendentemente dall’ambiente a cui ci si
riferisce più schede di rete in Link Aggregation
vengono viste come una unica scheda di rete
logica e con unico MAC address
18
Link Aggregation
Le principali modalità di funzionamento del Link Aggregation sono:
 Round-robin: i pacchetti vengono trasmessi in ordine sequenziale dalla prima interfaccia
fino all’ultima in maniera ciclica. In questa modalità sono garantiti bilanciamento di carico
e tolleranza ai guasti
 Active-backup: solamente una interfaccia di rete alla volta è attiva, le altre restano
passive ed entrano in gioco (una per volta), solo in caso di guasto di quella attiva.
Questa modalità garantisce solo tolleranza ai guasti
 XOR: in questa modalità ogni comunicazione con un MAC di destinazione continuerà
sempre nella stessa scheda di rete. Si ottiene più un bilanciamento delle connessioni
che non un bilanciamento del carico vero e proprio. Garantisce bilanciamento di carico e
tolleranza ai guasti
 Broadcast: ogni pacchetto viene mandato su ogni interfaccia di rete. Fornisce tolleranza
ai guasti ma non bilanciamento di carico. Anzi il carico viene replicato su ogni scheda di
rete
 IEEE 802.3ad Dynamic link aggregation
Versione statica: le schede di rete da aggregare vengono definite in modo manuale
 Versione dinamica: usa il protocollo LACP per scambiare messaggi tra gli switch. In base ai
messaggi scambiati si creano gruppi di porte con stessa tipologia (half/full duplex) e stessa
velocità (10/100/1000 Mbit/s)
Sia nella versione statica che in quella dinamica ogni comunicazione con un MAC di destinazione
continuerà sempre nella stessa scheda di rete (come XOR). Questo garantisce bilanciamento delle
connessioni e tolleranza ai guasti

I due estremi della comunicazione in Link Aggregation devono essere configurati allo stesso
modo.
19
Link Aggregation
Esempio di configurazione da switch HP Procurve
2510
20
Spanning Tree
Lo Spanning Tree è un algoritmo utilizzato per realizzare reti
complesse con percorsi ridondanti utilizzando tecnologie di
livello Collegamento (il livello 2 del modello OSI).
Una LAN in generale è costituita da una serie di apparati di
livello 2, tipicamente switch, interconnessi ma privi di cicli.
Se così non fosse alcuni pacchetti verrebbero replicati
all’infinito sulla rete causando rapidamente la saturazione degli
apparati.
Una LAN senza percorsi ridondanti è piuttosto fragile poiché la
rottura di un apparato spezza la LAN in due reti distinte
Lo Spanning Tree viene attivato sugli apparati di livello
Collegamento, tipicamente sugli switch, e mantiene inattive
alcune interfacce in modo da garantire che la rete rimanga
connessa ma priva di loop.
21
Spanning Tree
L’algoritmo di Spanning Tree è un algoritmo distribuito, che opera su tutti
gli apparati di livello 2, facendo in modo che in ogni istante la rete sia
connessa ma priva di cicli, ovvero che il grafo dei collegamenti
disponibili sia «coperto» da un albero.
22
Spanning Tree
In generale è sufficiente abilitare lo Spanning Tree su tutti gli
apparati della LAN.
L’algoritmo tende automaticamente a mantenere attivi i
collegamenti con capacità superiore ma talvolta può essere
necessario intervenire sui parametri per modificarne il
comportamento.
L’algoritmo di Spanning Tree presenta alcuni limiti:
 I tempi di convergenza, ovvero i tempi di reazione alla
rottura di un apparato , tendono a crescere all’aumentare
del numero di apparati presenti nella LAN
 Il protocollo genera a sua volta traffico sulla LAN
 La capacità dei collegamenti in stand-by non viene
sfruttata
23

VLAN, Link Aggregation, Spanning tree - CESCOT

Transcript

Documenti analoghi

Specifiche tecniche

networking

Slides - Agenda INFN

Sistemi e Reti - Istituto Tecnico Industriale Statale Othoca

allegato 1 - torriani

IBNS - Zeroshell