Configurazione avanzata della rete Relatore: Gianni Caldonazzi L'obiettivo: Introdurre argomenti di rete avanzati semplicemente.

Argomenti Modello di comunicazione ISO/OSI Posizionare: repeater, switch o hub, router, firewall, gateway Ragionamento: Cosa avviene quando richiedo la pagina sul modello di comunicazione OSI? Com'è la catena di comunicazione tra host e host Vlan Tagging e untagging, trasportare una Vlan su switch differenti Collegamenti ridondati Layer2 Trunk STP, RSTP, MSTP Prioritizzazione DSCP rilettura del campo TOS Collegamenti ridondati Layer3 RIP VRRP La gestione dei dispositivi Monitoraggio tramite SNMP

Posizionamento apparati

Repeater o Hub Vecchio dispositivo per superare i limiti di trasmissione su cavo rame. Esempio: la distanza su ethernet rame è di 100 metri Hub vecchio dispositivo, i pacchetti vengono propagati su tutte le porte

Switch layer2 Realizzano la rete ethernet. Switch miglior efficienza

Switch layer3 e router Switch L3 hanno funzioni di instradamento Router sono dispositivi che interconnettono differenti reti anche di topologie differenti fra di loro

Firewall Secondo voi a che livello lavorano i firewall? Si gestiscono porte ed IP quindi siamo:

I Gateway (applicativi) Sono dispositivi che servono a tradurre Si posizionano quindi nei livelli applicativi (host) Possono convertire: Il protocollo di comunicazione (TCP-SNA) La forma di rappresentazione del dato (ODBC)..... {esempio un po' improprio per capire}

La comunicazione sul modello OSI Vi siete mai chiesti cosa accade quando apro il browser e digito ? Proviamo a confrontare i due stack, teorico e pratico, e ragionare sui pacchetti!

Catena di comunicazione Imbustamento: ovvero ogni livello nasconde al successivo la complessità sottostante Fisico Collegament o Rete Trasporto Sessione Presentazion e Applicazione Host A Fisic o Collegament o Fisic o Switch Fisico Collegament o Rete Fisico Collegament o Router Iternet Fisico Collegament o Rete Fisico Collegament o Router Fisico Collegament o Rete Trasporto Sessione Presentazion e Applicazione Host B Fisic o Collegament o Fisic o Switch

Cos'è una VLan? Tecnica che permette di segmentare il dominio di brodcast in sottoreti non comunicanti tra di loro. Letteralmente suddividere in reti virtuali Le porte possono essere: Tagged = Etichettate, impostano l'etichetta della VLan a cui appartiene la porta se il pacchetto viene spedito oppure gestiscono l'etichetta del pacchetto che ricevono UnTagged = Non etichettate, non gestiscono le etichette delle Vlan. Tutto viene passato alla Vlan a cui appartiene la porta

VLan Lan 1 Lan 2 VLan 1 VLan 2

Tagging Porta le Vlan in giro....assegnando etichette prestabilite Workgroup Switch Catalyst CiscoSystems Workgroup Switch Catalyst CiscoSystems Workgroup Switch Catalyst CiscoSystems VLan 1 VLan 2 VLan 3 VLan 2 VLan 1

Cos'è l'aggregazione di porte 802.3ad? Tecnica che permette di raggruppare due o più porte di uno switch per: Sicurezza Velocità = somma delle singole porte Può essere usata in sala macchine per poter collegare in Bonding macchine Linux; in questo caso potrò avere: Load Balancing switch assisted, vera 802.3ad Load Balancing non assistita Failover Vedremo dopo in dettaglio la configurazione quando parleremo della sala macchine

Aggregazione - Trunk Workgroup Switch Catalyst CiscoSystems Trunk 200Mb Workgroup Switch Catalyst CiscoSystems Porta 100Mb

Cos'è STP, RSTP o MSTP? Sono protocolli per eliminare eventuali loop intenzionali o meno a livello 2 STP = Spanning Tree Protocol (semplificando) manda dei pacchetti speciali (BPDU) su tutte le porte dello switch verificando che non tornino indietro se si vede tornare indietro il pacchetto provvederà a disabilitare (blocked) la porta che lo Tx o Rx RSTP = Rapid STP Migliora l'algoritmo di gestione velocizzandolo MSTP = Multi STP Gestisce la chiusura differenziata fra VLans

STP Fonti:

Cos'è il DIFFServ? E' una rilettura del campo TOS (type of service) del pacchetto IP Permette di differenziare meglio il traffico Lo switch usa le code hw per instradare il traffico sulle porte: Code a più alta priorità vengono svuotate prima Tipicamente le code possono essere: Da 0 (bassa) a 7 (alta) Da 0 a 3 Da 0 a 1

DSCP contro TOS Fonte: Nel TOS solo i primi 3 bits classificano la precedenza Nel DSCP sono i primi 6 a generare i vari livelli DSCP più granulare rispetto al TOS

Le code Workgroup Switch Catalyst CiscoSystems Prima si svuota la cada a più alta priorità (3) Poi si svuotano in successione discendente le altre Va da se che se un pacchetto è già partito finisce di essere trasmesso Trasmissione seriale Prossima trasmissione prioritizzata Pacchetti già trasmessi e quindi non in sequenza

Perchè il DiffServ? Non dipende dalle Vlan Posso usarlo anche se alcune connessioni tra switch sono Untagged, tipicamente sulle dorsali Posso facilmente modificare la precedenza od impostarla associando un'altra coda a quello specifico Code-Point del DiffServ (pregio ma anche difetto)

Cos'è il RIP Routing Internet Protocol: E' forse il più semplice protocollo per la compilazione automatica delle tabelle di instradamento La versione 2, rispetto alla 1, permette di trasmettere anche la maschera di sottorete, permettendo così di avere tabelle aggiornate anche con sottoreti personalizzate rispetto a quelle standard (vedermo un esempio nei collegamenti tra sedi) Esistono altri protocolli: IGRP, EIGRP (entrambi di Cisco), OSPF, BGP; però sono più complicati o proprietari rispetto a RIP e non vale la pena

Rip A B C D E

La sala macchine IT Come promesso un rapido accenno alla sala macchine. Posso riassumere così: Trattiamo la sala macchine a Layer 2 Usiamo MSTP o RSTP Possiamo usare il trunk (802.3ad) per la connessione di alcuni server Converrebbe raddoppiare lo switch centrale e usare VRRP (Virtual Router Redundant Protocol)

Cos'è VRRP E' un protocollo per assumere l'IP gestito da un'altro switch, se questo si guasta, per poter dare continuità di servizio al default gateway impostato sui server Praticamente i due switch della sala macchine hanno una configurazione uguale come Vlan e contengono anche un riferimento incrociato all'altro switch Uno è master per un IP, mentre l'altro è slave Al presentarsi di un guasto lo slave diventa momentaneamente master dell'IP non più disponibile

Virtual Router Redundant Protocol Workgroup Switch Catalyst CiscoSystems Workgroup Switch Catalyst CiscoSystems Master = /24 Slave = /24 Master = /24 Slave = /24 Server connesso in fault tollerance

Cosa sono l'SNMP e le Trap Simple Network Managemend Protocol: Permette di interrogare gli apparati per averne lo stato Permette di impostare alcuni valori e quindi modificare il comportamento dell'apparato Trap: E' un messaggio di notifica di un evento „anomalo” Può o meno avere importanza per un amministratore Normalmente vi è un programma che riceve le Trap e agisce di conseguenza avvisando o meno chi di dovere

Esempio di SMNP Grafico giornaliero Grafico mensile Grafico annuale

Impostare su Debian l'aggregazione di due eth Il sito di riferimento è: Verifichiamo il buon funzionamento delle schede: # mii-tool eth0: negotiated 100baseTx-FD flow-control, link ok eth1: negotiated 100baseTx-FD flow-control, link ok Per la verità il tool mii è un po' datato, sarebbe meglio usare ethtool, che però va installato

Verifiche sul kernel Va verificato che il kernel supporti il bonding, la sequenza di comandi elencati qui verificano ciò: # modprobe –list | grep bonding /lib/modules/ /kernel/drivers/net/bonding/bonding.ko # cat /boot/config-$(uname -r) | grep -i bonding CONFIG_BONDING=m Visto che lo strumento mii è quello di default, sarà usato da noi per il monitoraggio delle schede. Verifichiamo che nel kernel sia configurato correttamente: # cat /boot/config-$(uname -r) | grep -i mii CONFIG_MII = y # modprobe –list | grep -i mii /lib/mosules/ /kernel/drivers/net/mii.ko

Installazione e configurazione Aggiungiamo il pacchetto ifenslave che servirà per la gestione del bond: # apt-get update && apt-get install ifenslave Creiamo l'alias per il bonding modificando il file /etc/modprobe.d/aliases: #Bonding ethernet tratto da howtoforge.net/nic_bonding # Le mie eth sono delle bnx2 alias bond0 bnx2 alias bond1 bnx2 options bonding mode=1 miimon=100 La cosa migliore per capire le varie opzioni è quella di ricercare il file bonding.txt in google, pizzicando l'ultima versione disponibile (al momento 12 Nov 2007)

Riassunto del parametro mode Mode = 0, Bilanciamento Round Robin; spedisce alternativamente sulle varie eth. Si ha load-balancing e fault tollerance Mode = 1, Active-backup; una sola eth è attiva, le atre si attiveranno in sequenza solo al fallimento della precedente Si ha solo fault tollerance Mode = 2, bilanciamento xor; la scelta viene fatta con politica hash, tipo MAC-src XOR MAC-dst Si ha load-balancing e fault tollerance Mode = 3, broadcast; invia su tutte le schede Si ha solo fault tollerance Mode = 4, 802.3ad Dynamic link aggregation; lo switch deve supportarlo ma è il vero trunk Si ha load-balancing e fault tollerance Mode = 5 e 6, sono molto particolari ed è meglio leggerli direttamente da bonding.txt; necessitano di prerequisiti

Completamento configurazione Creiamo il file /etc/modulis/actions e aggiungiamo: probeall bond0 eth0 eth1 bonding NOTA: Forse sull'ultima versione di Debian non serve nemmeno, ma essendo una riga... Ora aggiungiamo i moduli: # update-modules Modificamo il file /etc/network/interfaces: # Bonding auto bond0 iface bond0 inet static address netmask network broadcast gateway up ifenslave bond0 eth0 eth1 down ifenslave -d bond0 eth0 eth1

Verifiche e riavvio Proviamo a caricare il modulo: # modprobe bonding Riavviamo la rete oppure un reboot e tutto dovrebbe andare: # /etc/init.d/networking restart

Riferimenti

Licenza della presentazione Autore: Gianni Caldonazzi Licenza: Creative Commons Attribuzione-Condividi allo stesso modo 2.5 Italia License Info: