La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

1 Istituto Nazionale di Fisica Nucleare Laboratori Nazionali di Frascati Angelo Veloce Via E. Fermi,40 00044 Frascati (RM) Italy

Presentazioni simili


Presentazione sul tema: "1 Istituto Nazionale di Fisica Nucleare Laboratori Nazionali di Frascati Angelo Veloce Via E. Fermi,40 00044 Frascati (RM) Italy"— Transcript della presentazione:

1 1 Istituto Nazionale di Fisica Nucleare Laboratori Nazionali di Frascati Angelo Veloce Via E. Fermi, Frascati (RM) Italy

2 2 Collision Domain 1Collision Domain 2 Broadcast Domain Lo switch termina domini di collisione

3 3 Limiti di un unico Dominio di Broadcast In un singolo dominio di collisione i frame sono visibili da tutti i device sulla LAN e sono possibili collisioni Con gli switches si segmenta la LAN in distinti domini di collisione. I frame sono inoltrati solo sui segmenti che contengono il destination address del frame Con gli switches i frame broadcast sono inoltrati su tutti i segmenti di rete ad esso connesso –IP Address Resolution Protocol Request –NetBIOS name request Questo tipo di traffico broadcast inonda lintera rete

4 4 Limiti di un unico Dominio di Broadcast I broadcasts possono consumare tutta la banda disponibile (Broadcast storm) Ciascun device che riceve un broadcast frame e costretto ad analizzarlo –Questo comporta degli interrupts alla CPU con degrado delle performance

5 5 I° Soluzione per localizzare il traffico Broadcast LAN Broadcasts terminano sulle interfacce dei router

6 6 II° Soluzione per localizzare il traffico Broadcast VLANs contengono il traffico di Broadcast VLAN 1 VLAN 3 VLAN 2

7 7 VLAN Le VLAN definiscono un dominio di broadcast Tutti gli host mappati sulla stessa VLAN e come se condividessero uno stesso media fisico Possono partecipare ad una VLAN gruppi di porte lacalizzate in Switches diversi CISCO raccomanda la corrispondenza uno ad uno tra IP subnet, di 254 hosts e ciascuna VLAN

8 8 VLAN E necessario un Router per ruotare il traffico tra domini di Broadcast (VLAN) VLAN 1VLAN 2

9 9 Vantaggi delle VLAN Efficiente utilizzazione della banda –Tutto il traffico Broadcast e Multicast e contenuto nella VLAN cui corrisponde normalmente una IP subnet –La complessita del routing tra VLAN e scaricata sul router Sicurezza Isolamento dei problemi

10 10 Come partecipano gli utenti ad una VLAN VLAN statiche –Vengono assegnate gruppi di porte sullo switch a delle VLAN. Lutente partecipa alla VLAN mappata sulla propria porta dello switch VLAN dinamiche –Lutente partecipa alla VLAN in base al proprio MAC Address. In questo modo si garantisce la mobilita dellutente nelledificio.

11 11 Configurare Static VLANs Network Layer Data Link Layer Broadcast Domains Physical Layer LAN Switch Human Layer VLAN Amministrazione Primo piano Secondo piano Terzo piano Collegamento Trunk VLAN kloe VLAN Finuda

12 12 Trunk Links Ha la capacita di portare multiple VLANs E utilizzato per connettere tra di loro due switches o uno switch con un router Cisco supporta i trunk link su porte Fast Ethernet e Gigabit Ethernet Per distinguere il traffico delle VLANs nei trunk si utlizzano due metodi: –Cisco Inter-Switch Link o ISL (Proprietario) –IEEE 802.1Q (Standard)

13 13 VLAN Trunk Protocol (VTP) Grazie a questo protocollo e possibile definire, su uno Switch VTP Server, il database delle VLAN, che sara visibile su tutti gli Switch VTP Client Switch VTP Server Switches VTP Client Su questo switch e possibile definire e cancellare VLANs Su questi switches non sono possibili cambiamenti sul Database delle VLANs

14 14 Comandi per impostare il VTP set vtp domain infn set vtp mode client/server set vtp passwd ****** VTP Pruning: –Grazie a questa funzionalita e possibile ottimizzare il traffico sui trunk. –Verra inoltrato sui trunk, il traffico delle VLANs effettivamente utilizzate dagli switches. set vtp pruning enable/disable

15 15 Configurare una VLAN statica Usare il comando set vlan per mappare delle porte o gruppi di porte ad una VLAN Switch> (enable) set vlan vlan_num mod_num/port_list Console> (enable) set vlan 850 3/4-7 VLAN 850 modified. VLAN 1003 modified. VLAN Mod/Ports /4-7

16 16 VLAN dinamiche In questo esempio il VMPS server e il VMPS client sono su switch separati Switch 1 e il primary VMPS server Switch 3 e 10 sono secondary VMPS servers Gli host sono connessi sui due Switch client 2 e 9 Il database di configurazione e memorizzato sul TFTP Server con IP

17 17 Console> (enable) download vmps Re-initialization of Vlan Membership Policy Server with the downloaded configuration file is in progress. 6/14/1998,17:37:29:VMPS-2:PARSER: 82 lines parsed, Errors 0 Console> (enable) set vmps downloadserver vmps_config.1 IP address of the server set to VMPS configuration filename set to vmps_config.1 Impostazioni sul primary VMPS server Impostiamo un server TFTP dal quale scaricare il database dei mac-address Forziamo il download dal TFTP server precedentemente indicato a seguito di cambiamenti sul database che vogliamo implementare Console> (enable) set vmps state enable Vlan membership Policy Server enabled. Abilitiamo il VMPS

18 18 Impostazioni sui client VMPS Console> (enable) set vmps server primary added to VMPS table as primary domain server. Console> (enable) set vmps server added to VMPS table as backup domain server. Impostiamo i VMPS server ai quali inviare le query Console> (enable) set port membership 3/1-3 dynamic Ports 3/1-3 vlan assignment set to dynamic. Spantree port fast start option enabled for ports 3/1-3. Console> (enable) set port membership 3/1-3 static Ports 3/1-3 vlan assignment set to static. Impostiamo la modalita con cui le porte partecipano alla VLANs

19 19 Configurazione delle VLANs ai LNF VLAN 131 o LANesterna mappata sulla network pubblica X/24. Su questa VLAN vengono proiettati gli utenti ospiti i cui MAC sono sconosciuti dal VMPS. Inoltre sono collegati a questa VLAN tutti gli access point del wireless. Servizi disponibili: DHCP aperto senza che sia conosciuto il MAC, libero accesso ad Internet. Limiti: gli utenti su questa VLAN sono a tutti gli effetti utenti esterni e sono sottoposti alle stesse politiche dei filtri (access-list) di un qualsiasi utente del mondo Internet. Attraverso il VMPS sono mappati su queste VLANs gli utenti i cui MAC sono noti e quindi sono presenti nel VMPS database. Servizi disponibili: DHCP solo per gli utenti con MAC noto. Sicurezza: le VLANs sono protette attraverso filtri dal mondo Internet e dalla VLAN 131 degli ospiti. Access Point VC 32Mbps Verso il GARR Ospiti Utenti interni

20 20 Suddivisione utenti interni Vlan kloe Vlan ac Vlan Printers Vlan HiddenPr Vlan dante Vlan default Vlan sunr /21 - LAN LNF /24 - LAN kloe /24 - LAN kloe /24 - LAN Amministrazione Centrale /24 LAN Stampanti LNF /24 LAN Stampanti nascoste LNF (gestite dal calcolo) /24 LAN Controllo Dafne /24 LAN Controllo Dafne Vlan ospiti /24 - LAN Esterna LNF VC 32Mbps Verso il GARR Print server Indirizzi Pubblici Indirizzi Privati

21 21 VLAN configurate e gestite con il VTP swlnf1> (enable) show vlan VLAN Name Status IfIndex Mod/Ports, Vlans default active 5 1/1 2/1-2 4/1-9,4/11-13,4/ / kloe active HiddenPrinters active 343 4/ ac active acprinter active LANesterna active 342 4/ Printers active PCMaster active LabMaster active Master active dante active sunr1 active sunr2 active 350

22 22 File di configurazione residente sul TFTP Server !vmps domain ! The VMPS domain must be defined. !vmps mode { open | secure } ! The default mode is open. !vmps fallback !vmps no-domain-req { allow | deny } ! ! The default value is allow. vmps domain lnf vmps mode open vmps fallback LANesterna vmps no-domain-req deny ! !MAC Addresses ! vmps-mac-addrs !

23 23 File di configurazione residente sul TFTP Server ! vmps-mac-addrs ! ! address vlan-name ! ! Network DANTE ! address ae.149c vlan-name dante address b.b056 vlan-name dante ! ! SUNray Dafne x ! address bd.4c6c vlan-name sunr1 address b vlan-name sunr1 ! ! SUNray Dafne x ! address bc.daee vlan-name sunr2 address f8.8c6c vlan-name sunr2 ! ! Lista PC e MAC dell' amministrazione centrale ! address 0050.e46e.c301 vlan-name ac

24 24 File di configurazione residente sul TFTP Server !Port Groups ! !vmps-port-group ! device { port | all-ports } ! vmps-port-group dinamico device all-ports device all-ports ! !VLAN groups ! !vmps-vlan-group ! vlan-name vmps-vlan-group Laboratori vlan-name default vlan-name dante vlan-name sunr1 vlan-name sunr2 ! !VLAN port Policies ! !vmps-port-policies {vlan-name | vlan-group } ! { port-group | device port } ! vmps-port-policies vlan-group Laboratori port-group dinamico

25 25 Gestione degli utenti sul Primary VMPS Server swlnf1> (enable) show vmps mac db-60-eb default /26 367,08:16:27 Success b0-fc-5d sunr /34 367,08:13:27 Success c3-fe-a4 dante /1 367,09:13:28 Success fd sunr ,00:00:00 Success f8-8c-6c sunr /35 367,09:13:28 Success 00-c0-85-2a-ef-bb HiddenPri /42 367,08:21:23 Success 00-c0-85-2b-9f-da HiddenPri /31 367,10:17:03 Success ad e ac ,00:00:00 Success f5-ca-ec default /15 367,10:16:27 Success f5-ca-ef default /28 367,08:17:00 Success

26 26 Vantaggi Minimizzazione del carico amministrativo per il network manager o per lutente: –Garanzia di mobilita per gli host interni –Possibilita di connessione degli utenti occasionali Sicurezza: –Controllo su base MAC degli host –Abilitazione sicura di prese non presidiate

27 27 Svantaggi VMPS proprietario CISCO Supportato sugli switch layer 2 –Catalyst 2900, 3500, 4000, 5000 e 6000 families Supportato sugli switch layer 2 / 3 –Nelle soluzioni ibride CATOS e IOS Startup difficoltoso per il censimento dei MAC Address

28 28 Evoluzione IEEE 802.1x autenticazione su base porta attraverso Server RADIUS –Assegnazione di VLAN in funzione della username Client nativo solo su Microsoft XP

29 29 Domande?


Scaricare ppt "1 Istituto Nazionale di Fisica Nucleare Laboratori Nazionali di Frascati Angelo Veloce Via E. Fermi,40 00044 Frascati (RM) Italy"

Presentazioni simili


Annunci Google