Istituto Nazionale di Fisica Nucleare Laboratori Nazionali di Frascati Angelo Veloce Via E. Fermi,40 00044 Frascati (RM) Italy angelo.veloce@lnf.infn.it
Lo switch termina domini di collisione Broadcast Domain Collision Domain 1 Collision Domain 2
Limiti di un unico Dominio di Broadcast In un singolo dominio di collisione i frame sono visibili da tutti i device sulla LAN e sono possibili collisioni Con gli switches si segmenta la LAN in distinti domini di collisione. I frame sono inoltrati solo sui segmenti che contengono il destination address del frame Con gli switches i frame broadcast sono inoltrati su tutti i segmenti di rete ad esso connesso IP Address Resolution Protocol Request NetBIOS name request Questo tipo di traffico broadcast “inonda” l’intera rete
Limiti di un unico Dominio di Broadcast I broadcasts possono consumare tutta la banda disponibile (Broadcast storm) Ciascun device che riceve un broadcast frame e’ “costretto” ad analizzarlo Questo comporta degli interrupts alla CPU con degrado delle performance
I° Soluzione per localizzare il traffico Broadcast LAN Broadcasts terminano sulle interfacce dei router 10.1.1.0 10.1.2.0 10.1.3.0
II° Soluzione per localizzare il traffico Broadcast VLANs contengono il traffico di Broadcast VLAN 1 VLAN 3 VLAN 2
VLAN Le VLAN definiscono un dominio di broadcast Tutti gli host “mappati” sulla stessa VLAN e’ come se condividessero uno stesso media fisico Possono partecipare ad una VLAN gruppi di porte lacalizzate in Switches diversi CISCO raccomanda la corrispondenza uno ad uno tra IP subnet, di 254 hosts e ciascuna VLAN
VLAN E’ necessario un Router per “ruotare” il traffico tra domini di Broadcast (VLAN) VLAN 1 VLAN 2
Vantaggi delle VLAN Efficiente utilizzazione della banda Sicurezza Tutto il traffico Broadcast e Multicast e’ contenuto nella VLAN cui corrisponde “normalmente” una IP subnet La complessita’ del routing tra VLAN e’ scaricata sul router Sicurezza Isolamento dei problemi
Come partecipano gli utenti ad una VLAN VLAN statiche Vengono assegnate gruppi di porte sullo switch a delle VLAN. L’utente partecipa alla VLAN mappata sulla propria porta dello switch VLAN dinamiche L’utente partecipa alla VLAN in base al proprio MAC Address. In questo modo si garantisce la mobilita’ dell’utente nell’edificio.
Configurare Static VLANs Collegamento Trunk Network Layer 192.20.21.0 192.20.22.0 192.20.23.0 Data Link Layer Broadcast Domains VLAN Amministrazione VLAN kloe VLAN Finuda Physical Layer LAN Switch Human Layer Primo piano Secondo piano Terzo piano
Trunk Links Ha la capacita’ di portare multiple VLANs E’ utilizzato per connettere tra di loro due switches o uno switch con un router Cisco supporta i trunk link su porte Fast Ethernet e Gigabit Ethernet Per distinguere il traffico delle VLANs nei trunk si utlizzano due metodi: Cisco Inter-Switch Link o ISL (Proprietario) IEEE 802.1Q (Standard)
VLAN Trunk Protocol (VTP) Grazie a questo protocollo e’ possibile definire, su uno Switch VTP Server, il database delle VLAN, che sara’ visibile su tutti gli Switch VTP Client Su questo switch e’ possibile definire e cancellare VLANs Switch VTP Server Su questi switches non sono possibili cambiamenti sul Database delle VLANs Switches VTP Client
Comandi per impostare il VTP set vtp domain infn set vtp mode client/server set vtp passwd ****** VTP Pruning: Grazie a questa funzionalita’ e’ possibile ottimizzare il traffico sui trunk. Verra’ inoltrato sui trunk, il traffico delle VLANs effettivamente utilizzate dagli switches. set vtp pruning enable/disable
Configurare una VLAN statica Usare il comando set vlan per mappare delle porte o gruppi di porte ad una VLAN Switch> (enable) set vlan vlan_num mod_num/port_list Console> (enable) set vlan 850 3/4-7 VLAN 850 modified. VLAN 1003 modified. VLAN Mod/Ports ---- ----------------------- 850 3/4-7
VLAN dinamiche In questo esempio il VMPS server e il VMPS client sono su switch separati Switch 1 e’ il primary VMPS server Switch 3 e 10 sono secondary VMPS servers Gli host sono connessi sui due Switch client 2 e 9 Il database di configurazione e memorizzato sul TFTP Server con IP 172.20.22.7
Impostazioni sul primary VMPS server Impostiamo un server TFTP dal quale scaricare il database dei mac-address Console> (enable) set vmps downloadserver 192.168.69.100 vmps_config.1 IP address of the server set to 192.168.69.100 VMPS configuration filename set to vmps_config.1 Abilitiamo il VMPS Console> (enable) set vmps state enable Vlan membership Policy Server enabled. Forziamo il download dal TFTP server precedentemente indicato a seguito di cambiamenti sul database che vogliamo implementare Console> (enable) download vmps Re-initialization of Vlan Membership Policy Server with the downloaded configuration file is in progress. 6/14/1998,17:37:29:VMPS-2:PARSER: 82 lines parsed, Errors 0
Impostazioni sui client VMPS Impostiamo i VMPS server ai quali inviare le query Console> (enable) set vmps server 192.168.10.140 primary 192.168.10.140 added to VMPS table as primary domain server. Console> (enable) set vmps server 192.168.69.171 192.168.69.171 added to VMPS table as backup domain server. Impostiamo la modalita’ con cui le porte partecipano alla VLANs Console> (enable) set port membership 3/1-3 dynamic Ports 3/1-3 vlan assignment set to dynamic. Spantree port fast start option enabled for ports 3/1-3. Console> (enable) set port membership 3/1-3 static Ports 3/1-3 vlan assignment set to static.
Configurazione delle VLANs ai LNF Utenti interni Attraverso il VMPS sono mappati su queste VLANs gli utenti i cui MAC sono noti e quindi sono presenti nel VMPS database. Servizi disponibili: DHCP solo per gli utenti con MAC noto. Sicurezza: le VLANs sono protette attraverso filtri dal mondo Internet e dalla VLAN 131 degli ospiti. VC 32Mbps Verso il GARR Access Point Ospiti VLAN 131 o LANesterna mappata sulla network pubblica 192.84.131.X/24. Su questa VLAN vengono proiettati gli utenti ospiti i cui MAC sono sconosciuti dal VMPS. Inoltre sono collegati a questa VLAN tutti gli access point del wireless. Servizi disponibili: DHCP aperto senza che sia conosciuto il MAC, libero accesso ad Internet. Limiti: gli utenti su questa VLAN sono a tutti gli effetti utenti esterni e sono sottoposti alle stesse politiche dei filtri (access-list) di un qualsiasi utente del mondo Internet.
Suddivisione utenti interni Print server Vlan default 193.206.80.0/21 - LAN LNF VC 32Mbps Verso il GARR 192.135.25.0/24 - LAN kloe1 192.135.26.0/24 - LAN kloe2 Indirizzi Pubblici Vlan kloe 192.84.129.0/24 - LAN Amministrazione Centrale Vlan ac 192.168.132.0/24 LAN Stampanti LNF Vlan Printers Vlan ospiti 192.84.131.0/24 - LAN Esterna LNF 192.168.128.0/24 LAN Stampanti nascoste LNF (gestite dal calcolo) Vlan HiddenPr Indirizzi Privati 192.168.192.0/24 LAN Controllo Dafne Vlan dante 192.168.193.0/24 LAN Controllo Dafne Vlan sunr1
VLAN configurate e gestite con il VTP swlnf1> (enable) show vlan VLAN Name Status IfIndex Mod/Ports, Vlans ---- -------------------------------- --------- ------- ------------------------ 1 default active 5 1/1 2/1-2 4/1-9,4/11-13,4/15-24 6/1-24 2 kloe active 341 128 HiddenPrinters active 343 4/10 129 ac active 351 130 acprinter active 352 131 LANesterna active 342 4/14 132 Printers active 344 160 PCMaster active 345 161 LabMaster active 347 176 Master active 346 192 dante active 348 193 sunr1 active 349 194 sunr2 active 350
File di configurazione residente sul TFTP Server !vmps domain <domain-name> ! The VMPS domain must be defined. !vmps mode { open | secure } ! The default mode is open. !vmps fallback <vlan-name> !vmps no-domain-req { allow | deny } ! ! The default value is allow. vmps domain lnf vmps mode open vmps fallback LANesterna vmps no-domain-req deny !MAC Addresses vmps-mac-addrs
File di configurazione residente sul TFTP Server ! vmps-mac-addrs ! address <addr> vlan-name <vlan_name> ! Network DANTE address 0800.20ae.149c vlan-name dante address 0080.420b.b056 vlan-name dante ! SUNray Dafne 192.168.193.x address 0800.20bd.4c6c vlan-name sunr1 address 0800.20b9.0598 vlan-name sunr1 ! SUNray Dafne 192.168.194.x address 0800.20bc.daee vlan-name sunr2 address 0800.20f8.8c6c vlan-name sunr2 ! Lista PC e MAC dell' amministrazione centrale address 0050.e46e.c301 vlan-name ac
File di configurazione residente sul TFTP Server !Port Groups ! !vmps-port-group <group-name> ! device <device-id> { port <port-name> | all-ports } vmps-port-group dinamico device 172.16.36.1 all-ports device 172.16.36.101 all-ports !VLAN groups !vmps-vlan-group <group-name> ! vlan-name <vlan-name> vmps-vlan-group Laboratori vlan-name default vlan-name dante vlan-name sunr1 vlan-name sunr2 !VLAN port Policies !vmps-port-policies {vlan-name <vlan_name> | vlan-group <group-name> } ! { port-group <group-name> | device <device-id> port <port-name> } vmps-port-policies vlan-group Laboratori port-group dinamico
Gestione degli utenti sul Primary VMPS Server swlnf1> (enable) show vmps mac 00-00-39-db-60-eb default 172.16.36.101 4/26 367,08:16:27 Success 08-00-20-b0-fc-5d sunr1 172.16.9.1 6/34 367,08:13:27 Success 08-00-20-c3-fe-a4 dante 172.16.9.1 6/1 367,09:13:28 Success 08-00-20-fd-99-04 sunr2 0.0.0.0 0,00:00:00 Success 08-00-20-f8-8c-6c sunr2 172.16.9.1 6/35 367,09:13:28 Success 00-c0-85-2a-ef-bb HiddenPri 172.16.36.2 6/42 367,08:21:23 Success 00-c0-85-2b-9f-da HiddenPri 172.16.36.201 6/31 367,10:17:03 Success 00-80-ad-07-77-1e ac 0.0.0.0 0,00:00:00 Success 00-01-02-f5-ca-ec default 172.16.36.101 4/15 367,10:16:27 Success 00-01-02-f5-ca-ef default 172.16.36.201 4/28 367,08:17:00 Success
Vantaggi Minimizzazione del carico amministrativo per il network manager o per l’utente: Garanzia di mobilita’ per gli host interni Possibilita’ di connessione degli utenti occasionali Sicurezza: Controllo su base MAC degli host Abilitazione sicura di prese non presidiate
Svantaggi VMPS proprietario CISCO Supportato sugli switch layer 2 Catalyst 2900, 3500, 4000, 5000 e 6000 families Supportato sugli switch layer 2 / 3 Nelle soluzioni ibride CATOS e IOS Startup difficoltoso per il censimento dei MAC Address
Evoluzione IEEE 802.1x autenticazione su base porta attraverso Server RADIUS Assegnazione di VLAN in funzione della username Client nativo solo su Microsoft XP
Domande? angelo.veloce@lnf.infn.it