La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

1 RETI DI CALCOLATORI Il livello Data Link: Switches prof. G. Russo ) ©2012 ©2012.

Presentazioni simili


Presentazione sul tema: "1 RETI DI CALCOLATORI Il livello Data Link: Switches prof. G. Russo ) ©2012 ©2012."— Transcript della presentazione:

1 1 RETI DI CALCOLATORI Il livello Data Link: Switches prof. G. Russo (grusso@na.infn.it ) grusso@na.infn.itgrusso@na.infn.it ©2012 ©2012

2 2012 Prof. Guido Russo 2 2  Aspetti generali  Uso degli Switches  Switch Ports  Tecniche di Forwarding  Layer 2 Switching  Comandi per Enabling/Disabling/Resetting/Viewing Ports  Autonegotiation  Port Mirroring  Port Security  Layer 2 Filtering Argomenti

3 2012 Prof. Guido Russo 3 3 Caratteristiche per soluzioni avanzate: – Funzionalità stackable: consente di accorpare in un unico dispositivo due dispositivi (scalabilità) – 10/100/1000 auto-sensing: le porte si settano automaticamente la velocità supportata dalla stazione che si collega alla presa di rete (gestione ambiente eterogeneo) – Auto MDI/MDIX: configura automaticamente la polarità delle porte (cavi dritti o crossware) – Funzionalità di management e SNMP (Simple Network Management Protocol): controllo remoto delle funzionalità del dispositivo e generazione di allarmi (analisi del traffico e manutenzione della rete) – Mac Filtering: funzioni che sfruttano la conoscenza del MAC address delle interfacce collegate per garantire maggiore sicurezza alla rete Caratteristiche SWITCHES

4 2012 Prof. Guido Russo 4 4 Sono dei bridge multi-porta – realizzazione in hardware dell’algoritmo – molto veloci E’ un centro stella più evoluto ed anche più costoso Si differenzia per le funzioni logiche che implementa, grazie alle quali è in grado di ottimizzare la banda disponibile e rendere più sicuri i collegamenti Alcuni switch sono costruiti per collegare segmenti di mezzo fisico differenti, in questo caso incorporano anche funzionalità di bridge Comunicazione full-duplex e non broadcast con banda dedicata Caratteristiche SWITCHES

5 2012 Prof. Guido Russo 5 5 SWITCH-Stackable Switches Modulari

6 2012 Prof. Guido Russo 6 6 Il forward dei pacchetti dipende dal tipo di Switches. Cut-Through switching Cut-Through switching Store-and-Forward switching Store-and-Forward switching Fragment-Free Switching Fragment-Free Switching Tipi di switches

7 2012 Prof. Guido Russo 7 7  Concepiti inizialmente da Kalpana come Ethernet Switch hanno spesso la capacità di fare il cut- through switching (detto anche On-The-Fly Switching): – ricevuti parte del pacchetto lo switch decide se e dove ritrasmettere il pacchetto mentre la ricezione è ancora in corso – lascia passare eventuali pacchetti corrotti e frammenti di collisione poiché non può controllare la FCS  Ha le seguenti limitazioni: – tutte le porte devono avere lo stesso MAC – tutte le porte devono essere alla stessa velocità – serve a poco o nulla se il pacchetto è corto Switch Cut-Through

8 2012 Prof. Guido Russo 8 8  Lo switch store and forward se: – la porta di destinazione è occupata  il traffico è multicast o broadcast  La porta di ricezione ha troppi errori  Molti switch aspettano di ricevere almeno 64 byte per non propagare frammenti di collisione – modalità fragment-free Switch store and forward e fragment-free

9 2012 Prof. Guido Russo 9 9 Switch per sala cablaggi di Livello 2/3 per:  Sala cablaggi per impresa  Accesso a reti di area metropolitana (MAN)  Connettività a centro dati ad alta densità Classificazione Switches

10 2012 Prof. Guido Russo 10 10 oSupporto di firewall integrato Full Inspection (opzionale) oSupporto della funzione di Bandwidth Limiting per porta oSupporto dei protocolli di sicurezza per il management SSH e SSL oQuality of Service oSupporto SNMP MIB-II, Private MIB, Web Management, Telnet e CLI oSupporto RMON 4 livelli (1,2,3,9) oRS232 Console Interfaccia Linea comandi oTelnet Interfaccia Linea comandi oSupporto Web-browser (HTTP) oSNMP oMIB II (RFC 1213) Specifiche tecniche Layer2

11 2012 Prof. Guido Russo 11 11 Switch per dorsale di Livello 3 per:  Dorsale di impresa  Dorsale per reti di area – rete MAN  Dorsale LAN per centro dati Internet  Aggregazione Gigabit Ethernet  Storage Area Network (SAN ) Gigabit Classificazione switches

12 2012 Prof. Guido Russo 12 12 Di seguito il dettaglio delle caratteristiche tecniche minime richieste:  Switch Multilayer  4/8 slot per schede di linea  Modulo di switching/management ridondato  Alimentazione ridondata in configurazione N+1  Tutti i moduli Hot-Swap  Wire-speed Layer 3 IP Routing  Supporto di 4096 VLAN  Supporti Ip-Multicast  Funzionalità QoS 802.1p,  Sopporto incluso dei protocolli RIP, RIPv.2, OSPFv.2 e BGP-4 Specifiche tecniche Layer3

13 2012 Prof. Guido Russo 13 13  Supporto incluso dei protocolli IP, IPX ed AppleTalk  Supporto protocolli Spanning Tree, Port Trunking  Supporto di filtri per la gestione delle policy di sicurezza (Access List)  Supporto di security per porta tramite funzione di blocco del MAC Add.  Supporto protocollo Radius  Supporto incluso IPV6  Firewall integrato Full Inspection e attivo  DHCP Server e Client (Relay)  Supporto SNMP MIB-II, Private MIB, Web Management, Telnet e CLI  Supporto RMON 4 livelli (1,2,3,9) Specifiche tecniche Layer3

14 2012 Prof. Guido Russo 14 14 Switch di Livello 4–7  Bilanciamento del carico dei server  Bilanciamento del carico dei server globali  Bilanciamento del carico dei firewall  Accelerazione dei supporti di streaming Classificazione switches

15 2012 Prof. Guido Russo 15 15 commutazione potente dal Livello 4 al Livello 7 con funzionalità integrate di Livello 2/3. commutazione potente dal Livello 4 al Livello 7 con funzionalità integrate di Livello 2/3. consentono ai gestori di rete di controllare e gestire i pesanti flussi di traffico delle odierne transazioni sul Web, delle applicazioni e del commercio elettronico. consentono ai gestori di rete di controllare e gestire i pesanti flussi di traffico delle odierne transazioni sul Web, delle applicazioni e del commercio elettronico. facilita la gestione del sovraccarico del traffico Internet, riduce il peso della gestione delle server farms e consente all’intera infrastruttura della rete di operare alla sue massime capacità. facilita la gestione del sovraccarico del traffico Internet, riduce il peso della gestione delle server farms e consente all’intera infrastruttura della rete di operare alla sue massime capacità. gestione del traffico Internet. gestione del traffico Internet. Switche di livello 4-7: Traffico Internet Gestione Contenuti

16 2012 Prof. Guido Russo 16 16 funzioni di gestione del traffico Internet, compreso il bilanciamento del carico del server locale e globale funzioni di gestione del traffico Internet, compreso il bilanciamento del carico del server locale e globale bilanciamento del carico dei firewall bilanciamento del carico dei firewall Filtraggio pacchetto e assegnazione di priorità Filtraggio pacchetto e assegnazione di priorità Elevata disponibilità del servizio di disaster recovery, Elevata disponibilità del servizio di disaster recovery, Configurazione fissa: Configurazione fissa:  8, 16 o 24 porte 10/100 e 2 porte Gigabit  4 slot con 24 porte Gigabit o 72 porte 10/100  8 slot con 56 porte Gigabit o 168 porte 10/100 Switche di livello 4-7: Traffico Internet Gestione Contenuti

17 2012 Prof. Guido Russo 17 17  PC A necessità di sapere l’indirizzo Mac del PC B (IP è conosciuto)  I pacchetti di ARP sono generati dal PC A  Lo switch di L2 memorizza l'indirizzo di Mac del PC A  PC B riconosce il suo proprio indirizzo di IP; gli altri host non prendono in esame le ARP request Packets D. MAC S. MAC FF-FF00-0A D. IP S. IP.1.11.1.10 PC A MACIP 00-0A.1.10 PC B MACIP 00-0B.1.11 L2 switch MACIP 00-0D.1.200 ARP L2 Switch MAC Table D. MAC Port 00-0A1 L2 Switching

18 2012 Prof. Guido Russo 18 18  PC B risponde al PC A, comunicando il suo indirizzo di Mac  Lo switch memorizza nella sua table l'indirizzo Mac del PC B Packets D. MAC S. MAC 00-0A00-0B D. IP S. IP.1.10.1.11 ARP L2 Switch MAC Table D. MAC Port 00-0A1 00-0B20 L2 Switching L2 switch MACIP 00-0D.1.200 PC A MACIP 00-0A.1.10 PC B MACIP 00-0B.1.11

19 2012 Prof. Guido Russo 19 19  Traffico generato dal PC A destinato al PC B Packets D. MAC S. MAC 00-0B00-0A D. IP S. IP.1.11.1.10 data L2 Switch MAC Table D. MAC Port 00-0A1 00-0B20 PC A MACIP 00-0A.1.10 PC B MACIP 00-0B.1.11 L2 Switching L2 switch MACIP 00-0D.1.200

20 2012 Prof. Guido Russo 20 20 RETI DI CALCOLATORI Il livello Data Link: Configurazione Switches prof. G. Russo (grusso@unina.it) ©2012 ©2012

21 2012 Prof. Guido Russo 21 21 Enabled ports: – ricezione e la trasmissione dei pacchetti – Stato "Amministrative" delle Interfacce MIB è UP Disabled ports: – Non riceve e trasmette i pacchetti – Non inoltra e non riceve alcun frame – I pacchetti in entrata STP-BPDU sono scartati – Stato "Amministrative" delle Interfacce MIB è DOWN Tutte le porte Ethernet sullo switch sono abilitate di default Enabling and Disabling Ports

22 2012 Prof. Guido Russo 22 22 Abilitando le porte dello switch si permette l'inoltro (alle porte abilitate) e la negoziazione dei pacchetti – ENAble SWItch POrt={port-list | ALL} Disabilitando le porte non si permette l'inoltro e la negoziazione dei pacchetti. No STP (Spanning Tree Protocol) – DISable SWItch POrt=port-list Enabling and Disabling Ports Il reset delle porte Ethernet elimina (clear) tutti i frame in ricezione e in trasmissione sulla porta Il restart consente "autonegotiation" delle porte in modalità duplex – RESET SWItch POrt={port-list | ALL}

23 2012 Prof. Guido Russo 23 23 Comando per info sulle porte Ethernet: – SHOw SWItch POrt=[{port-list | ALL}] Port.......................... 1 Description................... To intranet hub, port 4 Status........................ ENABLED Link State.................... Up UpTime........................ 00:10:49 Port Media Type............... ISO8802-3 CSMACD Configured speed/duplex....... Autonegotiate Actual speed/duplex........... 1000 Mbps, full duplex Configured master/slave mode.. Autonegotiate Actual master/slave mode...... Master Acceptable Frame Types........ Admit All Frames Broadcast rate limit.......... 1000/s Multicast rate limit.......... - DLF rate limit................ - Learn limit................... - Viewing Port Information

24 2012 Prof. Guido Russo 24 24 Intrusion action.............. Trap Current learned, lock state... 15, not locked Mirroring..................... Tx, to port 22 Is this port mirror port...... No Enabled flow control.......... Pause Send tagged pkts for VLAN(s).. marketing (87) sales (321) Port-based VLAN............... accounting (42) Ingress Filtering............. OFF Trunk Group................... - STP........................... company Multicast filtering mode...... (B) Forward all unregister groups Comando per info sulle porte Ethernet: – SHOw SWItch POrt=[{port-list | ALL}] {CONTINUED} Viewing Port Information

25 2012 Prof. Guido Russo 25 25 Autonegotiation permette alle porte di sincronizzarsi sulla velocità (modalità duplex) alla stessa velocità dell’apparecchiature connesse a loro Se un'altra apparecchiatura "autonegotiating" è connessa allo switch, entrambe negozieranno alla velocità più alta e maniera duplex Autonegotiation Comando per il cambiare la velocità in modalità duplex sulle porte dello switch: – SET SWItch POrt={port-list | ALL} SPEED={AUTONEGOTIATE | 10MHALF | 10MFULL | 10MHAUTO | 10MFAUTO | 100MHALF | 100MFULL | 100MHAUTO | 100MFAUTO | 1000MHALF | 1000MHALF | 1000MFULL | 1000MHAUTO | 1000MFAUTO} NB:  AUTO = autosensing MDI/MDI-X and autonegotiation enabled  Se le porte sono MDI-X l’AUTONEG è disabilitata

26 2012 Prof. Guido Russo 26 26 RETI DI CALCOLATORI Il livello Data Link: Configurazione Switches Port Mirroring prof. G. Russo (grusso@na.infn.it) ©2012 ©2012

27 2012 Prof. Guido Russo 27 27  Questa caratteristica permette un through di traffico che viene inoltrato attraverso una porta dello switch per essere indirizzato ad un'altra porta dello switch (mirror port)  Si può usare un analizzatore di protocollo per catturare i dati  Il traffico ricevuto, viene trasmesso su una porta e può essere mirrorata (mirrored)  Prima che una porta possa essere messe in modalita mirror, deve essere rimossa da ogni VLANs eccetto dalla VLAN predefinita  La porta in mirror non parteciperà in alcuna commutazione  La porta non può essere parte di un Trunk-port  Il comando per porta in mirror dal set (automaticamente la rimuove dalla VLAN predefinita), è: Port Mirroring SET SWItch MIRRor={NONE | port} SET SWItch POrt={port-list | ALL} MIRRor={BOTH | NONE | RX | TX}

28 2012 Prof. Guido Russo 28 28 Se si vuole mirrorare i pacchetti solo entranti (Rx) sulla porta 24 verso la porta 2 (bisogna connettere analizzatore all porta 2): – SET SWItch MIRRor=2 – SET SWItch POrt=24 MIRRor=RX – ENAble SWItch MIRRor Analyzer Port Mirroring

29 2012 Prof. Guido Russo 29 29 RETI DI CALCOLATORI Il livello Data Link: Configurazione Switches Port Security prof. G. Russo (grusso@unina.it) ©12 ©12

30 2012 Prof. Guido Russo 30 30 La caratteristica del Port Security, permette controlli sulla stazione connessa ad ogni porta dello switche, analizzando gli indirizzi di Mac Se è abilitato su una porta, lo switch imparerà, per quella porta, i Mac address per un definito range di utenti che varia da 1 a 256, poi bloccherà tutti gli altri indirizzi Mac Quando un Mac ignoto è scoperto su una porta, lo switch intraprenderà una di queste azioni: – Scarti il pacchetto e non prendere ulteriore azioni; – Scarti il pacchetto e notifichi al management con una trap SNMP – Scarti il pacchetto, notifichi al management con una trap SNMP e disabiliti la porta Port security

31 2012 Prof. Guido Russo 31 31  Abilitare il security port su una porta, impone un limite per gli indirizzi di Mac  Specifichi l'azione da prendere per indirizzi di Mac ignoti su una security-port  Disabilitare il security port su una porta, metta il limite per Mac a 0 o NONE, tipo: – SET SWItch POrt={port-list | ALL} LEARN={NONE | 0 | 1..256} [INTRUSIONACTION={DISCARD | TRAP | DISABLE}] Port security  Se INTRUSIONACTION è settata in modalità TRAP o DISABLE, l'elenco dei Mac address delle apparecchiature che sono attivi sulla porta, ma alla quale NON è permesso alla porta di memorizzarlo, può essere visualizzato usando il comando: – SHOw SWItch POrt={port-list | ALL} INTRUSION Switch Port Information --------------------------------------------------------------------------- Port 5 - 1 intrusion(s) detected 00-a0-d2-a5-17-33 ---------------------------------------------------------------------------

32 2012 Prof. Guido Russo 32 32 Port security  Una porta dello switch può essere loked manualmente  Prima che essa memorizzi il limite, la porta deve già essere configurata per la port security: – ACTIVATE SWItch POrt={port-list | ALL} LOCK  Gli Indirizzi possono essere aggiunti manualmente su una porta loked, con una lista di MAC address per un totale di 256, ed il limite di memorizzazione può essere anche esteso: ADD SWItch FILTer ACTION=FORWARD DESTADDRESS=mac-add POrt=port [ENTRY=entry] LEARN  Gli indirizzi memorizzati sulle porte loked possono essere salvati come parte della configurazione dello switch – Il comando “ ADD SWItch FILTer ACTION= … LEARN ” Può essere salvato nella configurazione

33 2012 Prof. Guido Russo 33 33 Abiliti il port security sulla porta #1 – il port security, controlla la sorgente del MAC address sulla porta sorgente Switch #1 192.168.1.1 Switch #2 192.168.1.2 192.168.1.10 192.168.1.1 1 Port security

34 2012 Prof. Guido Russo 34 34  Su entrambi gli switch – SET SWItch POrt=1 LEARN=1 INTRUSIONACTION=TRAP  Informazioni sulla porta – SHOw SWItch POrt=1 Switch Port Information ---------------------------------------------------------------- Port.......................... 1 Description................... - Status........................ ENABLED Link State.................... Up... Learn limit................... 1 Intrusion action.............. Trap Current learned, lock state... 1, locked by limit... ---------------------------------------------------------------- Port security

35 2012 Prof. Guido Russo 35 35  Controlla la configurazione dinamica per vedere quale Mac è stato memorizzato – SHOw CONF DYN=SWITCH set switch port=1 learn=1 add switch fil ent=0 vlan=1 dest=00-10-40-02-07-03 po=1 ac=forward learn Salva la configurazione, queste linee che contengono i MAC address sono salvate Port security

36 2012 Prof. Guido Russo 36 36  “SHOw SWItch POrt=1 INTRUSION” lista dei MAC address intrusi Manager > sh swi po=1 intr Switch Port Information ----------------------------------------------------------- Port 1 - 2 intrusion(s) detected 00-00-cd-00-e6-54 00-30-84-0e-b8-c0 ----------------------------------------------------------- Port security

37 2012 Prof. Guido Russo 37 37 RETI DI CALCOLATORI Il livello Data Link: Configurazione Switches Layer2 Filtering prof. G. Russo (grusso@unina.it) ©2012 ©2012

38 2012 Prof. Guido Russo 38 38  Lo swith ha un Forwarding Database, le "entries" determinano se i frame sono inoltrate o filtrate su ogni porta  Le "entries" sono create dinamicamente dal Learning Process. Possono anche, essere create manualmente – SHOw SWItch FDB per visualizzare la MAC table Switch Forwarding Database (software) ------------------------------------------------------------------------ --- VLAN MAC Address Port Status Discard L3 Hit QOS QSD ------------------------------------------------------------------------ --- 1 00-00-39-63-f1-ed 14 dynamic - n y 0:0 dest 1 00-00-cd-00-e6-54 1 dynamic - n y 0:0 dest 1 00-06-5b-05-73-db 7 dynamic - n y 0:0 dest 1 00-30-84-0e-b8-c0 16 dynamic - n y 0:0 dest 1 00-30-84-3b-d2-f7 10 dynamic - n y 0:0 dest 1 00-30-84-97-9c-b0 25 dynamic - n y 0:0 dest 1 00-30-84-9f-1d-d0 25 dynamic - n y 0:0 dest 1 00-30-84-b3-99-de 25 dynamic - n y 0:0 dest ------------------------------------------------------------------------ --- Layer2 Filtering

39 2012 Prof. Guido Russo 39 39  E’ possibile Filtrare uno specifico Mac address di destinazione verso una specifica VLAN, questo può essere fatto aggiungendolo manualmente nelle "entries" del FDB – ADD SWItch FILter ACTION=DISCARD DESTADDRESS=macadd POrt=port [ENTRY=entry] [VLAN={vlan-name | 1..4094}] Layer2 Filtering  Inserire una static lookup entry: ACTION=FORWARD  Il filtraggio si comporta come una static entry nella MAC address table (FDB) – ADD SWItch FILter ACTION=FORWARD DESTADDRESS=macadd POrt=port [ENTRY=entry] [VLAN={vlan-name | 1..4094}] – Esempio: ADD SWItch FILter ACTION=DISCARD DESTADDRESS=00-E0-18-2C-35- D7 POrt=1  00-E0-18-2C-35-D7 è il MAC address del PC remoto (192.168.1.11 per lo switch #1 e vice-versa)

40 2012 Prof. Guido Russo 40 40  Configurazione L2 filter sulla porta 1 e filter out a PC Switch #1 192.168.1.1 Switch #2 192.168.1.2 192.168.1.10 192.168.1.1 1 Layer2 Filtering

41 2012 Prof. Guido Russo 41 41  Per visualizzare il Filtering, si usa il comando: – SHOw SWItch FILter [POrt={port-list | ALL}] [DESTADDRESS=macadd] [ENTRY=entrylist] [VLAN={vlan-name | 1..4094}] Switch Filters ------------------------------------------------------------- Entry VLAN Destination Address Port Action Source ------------------------------------------------------------- 0 default (1) 00-30-30-30-30-30 1 Discard Static 0 default (1) 00-40-40-40-40-40 2 Forward Static ------------------------------------------------------------- Layer2 Filtering

42 2012 Prof. Guido Russo 42 42  Per eliminare un L2 filter, usare il comando: – DELETE SWItch FILter POrt=portlist ENTRY=entry-list  L2 filters è usato per filtrare il traffico in uscita, basato sulla combinazione del MAC address di destinazione e della porta  L2 filtering lavora solo se i pacchetti sono forwarded A livello L2 Layer2 Filtering

43 2012 Prof. Guido Russo 43 43  È possibile visualizzare il Forwarding Database per vedere se due “entries” sono presenti: – SHOw SWItch FDB Switch Forwarding Database (software) -------------------------------------------------------------------- VLAN MAC Address Port Status Discard L3 Hit QOS QSD -------------------------------------------------------------------- 1 00-30-30-30-30-30 1 static dest n y 0:0 dest 1 00-40-40-40-40-40 2 static - n y 0:0 dest -------------------------------------------------------------------- “Real” L2 filter discarding entry Static forwarding entry – ac=forward Forwarding DataBase

44 2012 Prof. Guido Russo 44 44  È possibile elencare la lista dei MAC che “appartengono” ad una porta – SHOw SWItch FDB POrt=portlist  O cercare uno specifico MAC – SHOw SWItch FDB ADDRESS=macadd – SHOw SWItch FDB POrt=2,12 – SHOw SWItch FDB A=00-30-30-30-30-30 Forwarding DataBase


Scaricare ppt "1 RETI DI CALCOLATORI Il livello Data Link: Switches prof. G. Russo ) ©2012 ©2012."

Presentazioni simili


Annunci Google