1 RETI DI CALCOLATORI Il livello Data Link: Switches prof. G. Russo ) ©2012 ©2012
2012 Prof. Guido Russo 2 2 Aspetti generali Uso degli Switches Switch Ports Tecniche di Forwarding Layer 2 Switching Comandi per Enabling/Disabling/Resetting/Viewing Ports Autonegotiation Port Mirroring Port Security Layer 2 Filtering Argomenti
2012 Prof. Guido Russo 3 3 Caratteristiche per soluzioni avanzate: – Funzionalità stackable: consente di accorpare in un unico dispositivo due dispositivi (scalabilità) – 10/100/1000 auto-sensing: le porte si settano automaticamente la velocità supportata dalla stazione che si collega alla presa di rete (gestione ambiente eterogeneo) – Auto MDI/MDIX: configura automaticamente la polarità delle porte (cavi dritti o crossware) – Funzionalità di management e SNMP (Simple Network Management Protocol): controllo remoto delle funzionalità del dispositivo e generazione di allarmi (analisi del traffico e manutenzione della rete) – Mac Filtering: funzioni che sfruttano la conoscenza del MAC address delle interfacce collegate per garantire maggiore sicurezza alla rete Caratteristiche SWITCHES
2012 Prof. Guido Russo 4 4 Sono dei bridge multi-porta – realizzazione in hardware dell’algoritmo – molto veloci E’ un centro stella più evoluto ed anche più costoso Si differenzia per le funzioni logiche che implementa, grazie alle quali è in grado di ottimizzare la banda disponibile e rendere più sicuri i collegamenti Alcuni switch sono costruiti per collegare segmenti di mezzo fisico differenti, in questo caso incorporano anche funzionalità di bridge Comunicazione full-duplex e non broadcast con banda dedicata Caratteristiche SWITCHES
2012 Prof. Guido Russo 5 5 SWITCH-Stackable Switches Modulari
2012 Prof. Guido Russo 6 6 Il forward dei pacchetti dipende dal tipo di Switches. Cut-Through switching Cut-Through switching Store-and-Forward switching Store-and-Forward switching Fragment-Free Switching Fragment-Free Switching Tipi di switches
2012 Prof. Guido Russo 7 7 Concepiti inizialmente da Kalpana come Ethernet Switch hanno spesso la capacità di fare il cut- through switching (detto anche On-The-Fly Switching): – ricevuti parte del pacchetto lo switch decide se e dove ritrasmettere il pacchetto mentre la ricezione è ancora in corso – lascia passare eventuali pacchetti corrotti e frammenti di collisione poiché non può controllare la FCS Ha le seguenti limitazioni: – tutte le porte devono avere lo stesso MAC – tutte le porte devono essere alla stessa velocità – serve a poco o nulla se il pacchetto è corto Switch Cut-Through
2012 Prof. Guido Russo 8 8 Lo switch store and forward se: – la porta di destinazione è occupata il traffico è multicast o broadcast La porta di ricezione ha troppi errori Molti switch aspettano di ricevere almeno 64 byte per non propagare frammenti di collisione – modalità fragment-free Switch store and forward e fragment-free
2012 Prof. Guido Russo 9 9 Switch per sala cablaggi di Livello 2/3 per: Sala cablaggi per impresa Accesso a reti di area metropolitana (MAN) Connettività a centro dati ad alta densità Classificazione Switches
2012 Prof. Guido Russo oSupporto di firewall integrato Full Inspection (opzionale) oSupporto della funzione di Bandwidth Limiting per porta oSupporto dei protocolli di sicurezza per il management SSH e SSL oQuality of Service oSupporto SNMP MIB-II, Private MIB, Web Management, Telnet e CLI oSupporto RMON 4 livelli (1,2,3,9) oRS232 Console Interfaccia Linea comandi oTelnet Interfaccia Linea comandi oSupporto Web-browser (HTTP) oSNMP oMIB II (RFC 1213) Specifiche tecniche Layer2
2012 Prof. Guido Russo Switch per dorsale di Livello 3 per: Dorsale di impresa Dorsale per reti di area – rete MAN Dorsale LAN per centro dati Internet Aggregazione Gigabit Ethernet Storage Area Network (SAN ) Gigabit Classificazione switches
2012 Prof. Guido Russo Di seguito il dettaglio delle caratteristiche tecniche minime richieste: Switch Multilayer 4/8 slot per schede di linea Modulo di switching/management ridondato Alimentazione ridondata in configurazione N+1 Tutti i moduli Hot-Swap Wire-speed Layer 3 IP Routing Supporto di 4096 VLAN Supporti Ip-Multicast Funzionalità QoS 802.1p, Sopporto incluso dei protocolli RIP, RIPv.2, OSPFv.2 e BGP-4 Specifiche tecniche Layer3
2012 Prof. Guido Russo Supporto incluso dei protocolli IP, IPX ed AppleTalk Supporto protocolli Spanning Tree, Port Trunking Supporto di filtri per la gestione delle policy di sicurezza (Access List) Supporto di security per porta tramite funzione di blocco del MAC Add. Supporto protocollo Radius Supporto incluso IPV6 Firewall integrato Full Inspection e attivo DHCP Server e Client (Relay) Supporto SNMP MIB-II, Private MIB, Web Management, Telnet e CLI Supporto RMON 4 livelli (1,2,3,9) Specifiche tecniche Layer3
2012 Prof. Guido Russo Switch di Livello 4–7 Bilanciamento del carico dei server Bilanciamento del carico dei server globali Bilanciamento del carico dei firewall Accelerazione dei supporti di streaming Classificazione switches
2012 Prof. Guido Russo commutazione potente dal Livello 4 al Livello 7 con funzionalità integrate di Livello 2/3. commutazione potente dal Livello 4 al Livello 7 con funzionalità integrate di Livello 2/3. consentono ai gestori di rete di controllare e gestire i pesanti flussi di traffico delle odierne transazioni sul Web, delle applicazioni e del commercio elettronico. consentono ai gestori di rete di controllare e gestire i pesanti flussi di traffico delle odierne transazioni sul Web, delle applicazioni e del commercio elettronico. facilita la gestione del sovraccarico del traffico Internet, riduce il peso della gestione delle server farms e consente all’intera infrastruttura della rete di operare alla sue massime capacità. facilita la gestione del sovraccarico del traffico Internet, riduce il peso della gestione delle server farms e consente all’intera infrastruttura della rete di operare alla sue massime capacità. gestione del traffico Internet. gestione del traffico Internet. Switche di livello 4-7: Traffico Internet Gestione Contenuti
2012 Prof. Guido Russo funzioni di gestione del traffico Internet, compreso il bilanciamento del carico del server locale e globale funzioni di gestione del traffico Internet, compreso il bilanciamento del carico del server locale e globale bilanciamento del carico dei firewall bilanciamento del carico dei firewall Filtraggio pacchetto e assegnazione di priorità Filtraggio pacchetto e assegnazione di priorità Elevata disponibilità del servizio di disaster recovery, Elevata disponibilità del servizio di disaster recovery, Configurazione fissa: Configurazione fissa: 8, 16 o 24 porte 10/100 e 2 porte Gigabit 4 slot con 24 porte Gigabit o 72 porte 10/100 8 slot con 56 porte Gigabit o 168 porte 10/100 Switche di livello 4-7: Traffico Internet Gestione Contenuti
2012 Prof. Guido Russo PC A necessità di sapere l’indirizzo Mac del PC B (IP è conosciuto) I pacchetti di ARP sono generati dal PC A Lo switch di L2 memorizza l'indirizzo di Mac del PC A PC B riconosce il suo proprio indirizzo di IP; gli altri host non prendono in esame le ARP request Packets D. MAC S. MAC FF-FF00-0A D. IP S. IP PC A MACIP 00-0A.1.10 PC B MACIP 00-0B.1.11 L2 switch MACIP 00-0D ARP L2 Switch MAC Table D. MAC Port 00-0A1 L2 Switching
2012 Prof. Guido Russo PC B risponde al PC A, comunicando il suo indirizzo di Mac Lo switch memorizza nella sua table l'indirizzo Mac del PC B Packets D. MAC S. MAC 00-0A00-0B D. IP S. IP ARP L2 Switch MAC Table D. MAC Port 00-0A1 00-0B20 L2 Switching L2 switch MACIP 00-0D PC A MACIP 00-0A.1.10 PC B MACIP 00-0B.1.11
2012 Prof. Guido Russo Traffico generato dal PC A destinato al PC B Packets D. MAC S. MAC 00-0B00-0A D. IP S. IP data L2 Switch MAC Table D. MAC Port 00-0A1 00-0B20 PC A MACIP 00-0A.1.10 PC B MACIP 00-0B.1.11 L2 Switching L2 switch MACIP 00-0D.1.200
2012 Prof. Guido Russo RETI DI CALCOLATORI Il livello Data Link: Configurazione Switches prof. G. Russo ©2012 ©2012
2012 Prof. Guido Russo Enabled ports: – ricezione e la trasmissione dei pacchetti – Stato "Amministrative" delle Interfacce MIB è UP Disabled ports: – Non riceve e trasmette i pacchetti – Non inoltra e non riceve alcun frame – I pacchetti in entrata STP-BPDU sono scartati – Stato "Amministrative" delle Interfacce MIB è DOWN Tutte le porte Ethernet sullo switch sono abilitate di default Enabling and Disabling Ports
2012 Prof. Guido Russo Abilitando le porte dello switch si permette l'inoltro (alle porte abilitate) e la negoziazione dei pacchetti – ENAble SWItch POrt={port-list | ALL} Disabilitando le porte non si permette l'inoltro e la negoziazione dei pacchetti. No STP (Spanning Tree Protocol) – DISable SWItch POrt=port-list Enabling and Disabling Ports Il reset delle porte Ethernet elimina (clear) tutti i frame in ricezione e in trasmissione sulla porta Il restart consente "autonegotiation" delle porte in modalità duplex – RESET SWItch POrt={port-list | ALL}
2012 Prof. Guido Russo Comando per info sulle porte Ethernet: – SHOw SWItch POrt=[{port-list | ALL}] Port Description To intranet hub, port 4 Status ENABLED Link State Up UpTime :10:49 Port Media Type ISO CSMACD Configured speed/duplex Autonegotiate Actual speed/duplex Mbps, full duplex Configured master/slave mode.. Autonegotiate Actual master/slave mode Master Acceptable Frame Types Admit All Frames Broadcast rate limit /s Multicast rate limit DLF rate limit Learn limit Viewing Port Information
2012 Prof. Guido Russo Intrusion action Trap Current learned, lock state... 15, not locked Mirroring Tx, to port 22 Is this port mirror port No Enabled flow control Pause Send tagged pkts for VLAN(s).. marketing (87) sales (321) Port-based VLAN accounting (42) Ingress Filtering OFF Trunk Group STP company Multicast filtering mode (B) Forward all unregister groups Comando per info sulle porte Ethernet: – SHOw SWItch POrt=[{port-list | ALL}] {CONTINUED} Viewing Port Information
2012 Prof. Guido Russo Autonegotiation permette alle porte di sincronizzarsi sulla velocità (modalità duplex) alla stessa velocità dell’apparecchiature connesse a loro Se un'altra apparecchiatura "autonegotiating" è connessa allo switch, entrambe negozieranno alla velocità più alta e maniera duplex Autonegotiation Comando per il cambiare la velocità in modalità duplex sulle porte dello switch: – SET SWItch POrt={port-list | ALL} SPEED={AUTONEGOTIATE | 10MHALF | 10MFULL | 10MHAUTO | 10MFAUTO | 100MHALF | 100MFULL | 100MHAUTO | 100MFAUTO | 1000MHALF | 1000MHALF | 1000MFULL | 1000MHAUTO | 1000MFAUTO} NB: AUTO = autosensing MDI/MDI-X and autonegotiation enabled Se le porte sono MDI-X l’AUTONEG è disabilitata
2012 Prof. Guido Russo RETI DI CALCOLATORI Il livello Data Link: Configurazione Switches Port Mirroring prof. G. Russo ©2012 ©2012
2012 Prof. Guido Russo Questa caratteristica permette un through di traffico che viene inoltrato attraverso una porta dello switch per essere indirizzato ad un'altra porta dello switch (mirror port) Si può usare un analizzatore di protocollo per catturare i dati Il traffico ricevuto, viene trasmesso su una porta e può essere mirrorata (mirrored) Prima che una porta possa essere messe in modalita mirror, deve essere rimossa da ogni VLANs eccetto dalla VLAN predefinita La porta in mirror non parteciperà in alcuna commutazione La porta non può essere parte di un Trunk-port Il comando per porta in mirror dal set (automaticamente la rimuove dalla VLAN predefinita), è: Port Mirroring SET SWItch MIRRor={NONE | port} SET SWItch POrt={port-list | ALL} MIRRor={BOTH | NONE | RX | TX}
2012 Prof. Guido Russo Se si vuole mirrorare i pacchetti solo entranti (Rx) sulla porta 24 verso la porta 2 (bisogna connettere analizzatore all porta 2): – SET SWItch MIRRor=2 – SET SWItch POrt=24 MIRRor=RX – ENAble SWItch MIRRor Analyzer Port Mirroring
2012 Prof. Guido Russo RETI DI CALCOLATORI Il livello Data Link: Configurazione Switches Port Security prof. G. Russo ©12 ©12
2012 Prof. Guido Russo La caratteristica del Port Security, permette controlli sulla stazione connessa ad ogni porta dello switche, analizzando gli indirizzi di Mac Se è abilitato su una porta, lo switch imparerà, per quella porta, i Mac address per un definito range di utenti che varia da 1 a 256, poi bloccherà tutti gli altri indirizzi Mac Quando un Mac ignoto è scoperto su una porta, lo switch intraprenderà una di queste azioni: – Scarti il pacchetto e non prendere ulteriore azioni; – Scarti il pacchetto e notifichi al management con una trap SNMP – Scarti il pacchetto, notifichi al management con una trap SNMP e disabiliti la porta Port security
2012 Prof. Guido Russo Abilitare il security port su una porta, impone un limite per gli indirizzi di Mac Specifichi l'azione da prendere per indirizzi di Mac ignoti su una security-port Disabilitare il security port su una porta, metta il limite per Mac a 0 o NONE, tipo: – SET SWItch POrt={port-list | ALL} LEARN={NONE | 0 | } [INTRUSIONACTION={DISCARD | TRAP | DISABLE}] Port security Se INTRUSIONACTION è settata in modalità TRAP o DISABLE, l'elenco dei Mac address delle apparecchiature che sono attivi sulla porta, ma alla quale NON è permesso alla porta di memorizzarlo, può essere visualizzato usando il comando: – SHOw SWItch POrt={port-list | ALL} INTRUSION Switch Port Information Port intrusion(s) detected 00-a0-d2-a
2012 Prof. Guido Russo Port security Una porta dello switch può essere loked manualmente Prima che essa memorizzi il limite, la porta deve già essere configurata per la port security: – ACTIVATE SWItch POrt={port-list | ALL} LOCK Gli Indirizzi possono essere aggiunti manualmente su una porta loked, con una lista di MAC address per un totale di 256, ed il limite di memorizzazione può essere anche esteso: ADD SWItch FILTer ACTION=FORWARD DESTADDRESS=mac-add POrt=port [ENTRY=entry] LEARN Gli indirizzi memorizzati sulle porte loked possono essere salvati come parte della configurazione dello switch – Il comando “ ADD SWItch FILTer ACTION= … LEARN ” Può essere salvato nella configurazione
2012 Prof. Guido Russo Abiliti il port security sulla porta #1 – il port security, controlla la sorgente del MAC address sulla porta sorgente Switch # Switch # Port security
2012 Prof. Guido Russo Su entrambi gli switch – SET SWItch POrt=1 LEARN=1 INTRUSIONACTION=TRAP Informazioni sulla porta – SHOw SWItch POrt=1 Switch Port Information Port Description Status ENABLED Link State Up... Learn limit Intrusion action Trap Current learned, lock state... 1, locked by limit Port security
2012 Prof. Guido Russo Controlla la configurazione dinamica per vedere quale Mac è stato memorizzato – SHOw CONF DYN=SWITCH set switch port=1 learn=1 add switch fil ent=0 vlan=1 dest= po=1 ac=forward learn Salva la configurazione, queste linee che contengono i MAC address sono salvate Port security
2012 Prof. Guido Russo “SHOw SWItch POrt=1 INTRUSION” lista dei MAC address intrusi Manager > sh swi po=1 intr Switch Port Information Port intrusion(s) detected cd-00-e e-b8-c Port security
2012 Prof. Guido Russo RETI DI CALCOLATORI Il livello Data Link: Configurazione Switches Layer2 Filtering prof. G. Russo ©2012 ©2012
2012 Prof. Guido Russo Lo swith ha un Forwarding Database, le "entries" determinano se i frame sono inoltrate o filtrate su ogni porta Le "entries" sono create dinamicamente dal Learning Process. Possono anche, essere create manualmente – SHOw SWItch FDB per visualizzare la MAC table Switch Forwarding Database (software) VLAN MAC Address Port Status Discard L3 Hit QOS QSD f1-ed 14 dynamic - n y 0:0 dest cd-00-e dynamic - n y 0:0 dest b db 7 dynamic - n y 0:0 dest e-b8-c0 16 dynamic - n y 0:0 dest b-d2-f7 10 dynamic - n y 0:0 dest c-b0 25 dynamic - n y 0:0 dest f-1d-d0 25 dynamic - n y 0:0 dest b3-99-de 25 dynamic - n y 0:0 dest Layer2 Filtering
2012 Prof. Guido Russo E’ possibile Filtrare uno specifico Mac address di destinazione verso una specifica VLAN, questo può essere fatto aggiungendolo manualmente nelle "entries" del FDB – ADD SWItch FILter ACTION=DISCARD DESTADDRESS=macadd POrt=port [ENTRY=entry] [VLAN={vlan-name | }] Layer2 Filtering Inserire una static lookup entry: ACTION=FORWARD Il filtraggio si comporta come una static entry nella MAC address table (FDB) – ADD SWItch FILter ACTION=FORWARD DESTADDRESS=macadd POrt=port [ENTRY=entry] [VLAN={vlan-name | }] – Esempio: ADD SWItch FILter ACTION=DISCARD DESTADDRESS=00-E0-18-2C-35- D7 POrt=1 00-E0-18-2C-35-D7 è il MAC address del PC remoto ( per lo switch #1 e vice-versa)
2012 Prof. Guido Russo Configurazione L2 filter sulla porta 1 e filter out a PC Switch # Switch # Layer2 Filtering
2012 Prof. Guido Russo Per visualizzare il Filtering, si usa il comando: – SHOw SWItch FILter [POrt={port-list | ALL}] [DESTADDRESS=macadd] [ENTRY=entrylist] [VLAN={vlan-name | }] Switch Filters Entry VLAN Destination Address Port Action Source default (1) Discard Static 0 default (1) Forward Static Layer2 Filtering
2012 Prof. Guido Russo Per eliminare un L2 filter, usare il comando: – DELETE SWItch FILter POrt=portlist ENTRY=entry-list L2 filters è usato per filtrare il traffico in uscita, basato sulla combinazione del MAC address di destinazione e della porta L2 filtering lavora solo se i pacchetti sono forwarded A livello L2 Layer2 Filtering
2012 Prof. Guido Russo È possibile visualizzare il Forwarding Database per vedere se due “entries” sono presenti: – SHOw SWItch FDB Switch Forwarding Database (software) VLAN MAC Address Port Status Discard L3 Hit QOS QSD static dest n y 0:0 dest static - n y 0:0 dest “Real” L2 filter discarding entry Static forwarding entry – ac=forward Forwarding DataBase
2012 Prof. Guido Russo È possibile elencare la lista dei MAC che “appartengono” ad una porta – SHOw SWItch FDB POrt=portlist O cercare uno specifico MAC – SHOw SWItch FDB ADDRESS=macadd – SHOw SWItch FDB POrt=2,12 – SHOw SWItch FDB A= Forwarding DataBase