vlan, link aggregation, spanning tree · su switch, in più reti locali logicamente non comunicanti...
TRANSCRIPT
VLAN, Link Aggregation, Spanning
tree
Orazio Battaglia
Introduzione alle VLAN (Virtual LAN)
Definizione di dominio di broadcast: Un dominio di broadcast è un insieme di computer in una rete che possono scambiare dati a livello datalink, senza che questi debbano risalire fino al livello di rete in altri nodi dello stesso insieme. Più domini di broadcast sono collegati tra di loro mediante l’uso dei router.
Prima dell’introduzione delle VLAN la separazione dei domini di broadcast era possibile solo usando switch fisicamente separati.
Le VLAN permettono di segmentare il dominio di broadcast, che si crea in una rete locale basata su switch, in più reti locali logicamente non comunicanti tra loro, ma che condividono globalmente la stessa infrastruttura fisica di rete locale.
2 Tecnico di Reti Informatiche, modulo 2
Introduzione alle VLAN
La separazione dei domini di broadcast riduce il
traffico sugli switch e permette l’applicazione di
politiche di sicurezza diverse ad ogni rete.
Principali vantaggi delle VLAN:
La riconfigurazione della rete viene fatta via software.
Non è necessario usare switch separati e questo implica
l’ottimizzazione delle risorse hardware
Facilità di gestione della infrastruttura di rete. Potendo
intervenire sulla configurazione software la gestione della
infrastruttura di rete è fortemente semplificata
Flessibilità della gestione della infrastruttura di rete. La
riconfigurazione delle reti viene fatta via software.
3 Tecnico di Reti Informatiche, modulo 2
Confronto tra infrastruttura tradizionale e
infrastruttura basata su VLAN (1/2)
In una infrastruttura tradizionale la separazione delle reti
deve essere fisica. Devo usare 2 switch. Nell’esempio lo
«Switch Inside» collega le workstation mentre lo «Switch
DMZ» collega i server. Il collegamento tra le reti avviene
tramite il router.
4 Tecnico di Reti Informatiche, modulo 2
Confronto tra infrastruttura tradizionale e
infrastruttura basata su VLAN (2/2)
In una infrastruttura basata sulle VLAN la separazione delle reti è
logica. Supponendo di avere uno switch con 24 porte, mediante
configurazione software, ne uso 12 per la rete «Inside» e 12 per
la rete «DMZ». Le prime 12 porte costituiscono il dominio di
broadcast della rete delle workstation. Le altre 12 il dominio di
broadcast della rete dei server.
Il collegamento tra le reti avviene tramite il router.
5 Tecnico di Reti Informatiche, modulo 2
VLAN definizioni
Le VLAN sono definite dallo standard ISO IEEE 802.1Q (http://en.wikipedia.org/wiki/IEEE_802.1Q)
802.1Q VLAN ID (VID): identificatore della VLAN, può assumere valori compresi tra 1 e 4094
La DEFAULT_VLAN configurata di default sulla maggior parte degli switch ha VID=1
Name: nome descrittivo della VLAN
Untagged port: porta untagged
Tagged port: porta tagged
6 Tecnico di Reti Informatiche, modulo 2
VLAN esempi di configurazione
Supponiamo di avere uno switch 10 porte da
usare per 2 reti logiche.
Usiamo le prime 5 per la rete «Inside» delle
workstation. Queste 5 porte le lasciamo sulla
DEFAULT_VLAN con VID=1.
Usiamo le altre 5 porte per la rete «DMZ» dei
server. Queste 5 porte le inseriamo nella VLAN
DMZ con VID=10.
7 Tecnico di Reti Informatiche, modulo 2
VLAN esempi di configurazione
La DEFAULT_VLAN è già configurata con VID=1.
8 Tecnico di Reti Informatiche, modulo 2
VLAN esempi di configurazione
Aggiungiamo la VLAN per la rete DMZ con VID=10 e Name=DMZ.
9 Tecnico di Reti Informatiche, modulo 2
VLAN esempi di configurazione
Le porte 0-4 appartengono di default alla VLAN 1. Non modifichiamo la configurazione.
10 Tecnico di Reti Informatiche, modulo 2
VLAN esempi di configurazione
Configuriamo le porte 5-9 in modo che facciano parte delle rete DMZ e quindi della VLAN 10. E’ sufficiente selezionare ogni singola porta e poi spuntare nella casella combinata VLAN la VLAN con VID=10.
11 Tecnico di Reti Informatiche, modulo 2
VLAN esempi di configurazione
Abbiamo configurato lo switch dividendolo in due
domini di broadcast. Il primo per ospitare la
DEFAULT_VLAN con VID=1 per le workstation e
il secondo per ospitare i server della VLAN DMZ
con VID=10. Tra le reti non esiste nessuna
connessione fino a quando non viene interposto
un router. Si realizza in questo modo la
separazione dei traffici delle reti necessaria per
l’implementazione delle politiche di sicurezza.
12 Tecnico di Reti Informatiche, modulo 2
Propagazione delle VLAN
Il router ha due schede di rete dedicate rispettivamente alla rete Inside e alla rete DMZ. Lo switch 1 ha 10 porte. Le prime 2 ricevono rispettivamente le reti Inside e DMZ. Divido le altre porte tra le due reti e lascio l’ultima per propagare le VLAN, tramite un solo collegamento, allo switch 2. Quale tecnica usare per propagare le VLAN sullo switch 2?
E’ necessario usare le porte tagged. Le porte tagged, l’ultima dello switch 1 e la prima dello switch 2 ad esempio, saranno configurate per ricevere il traffico delle VLAN in modo taggato. Taggare il traffico sugli switch significa aggiungere ai frame (di livello 2 quindi) l’identificativo della VLAN (VID) a cui il frame appartiene.
13 Tecnico di Reti Informatiche, modulo 2
Propagazione delle VLAN
Configuriamo la porta 9 dello switch 1 in modo che faccia passare il traffico della VLAN 1 e il traffico della VLAN 10. Devo configurare un trunk vlan e selezionare le due VLAN che fanno parte del trunk. La stessa configurazione sarà fatta sulla porta 1 dello switch 2.
14 Tecnico di Reti Informatiche, modulo 2
Propagazione delle VLAN
A questo punto ci si pone la domanda: come fa lo switch 1 a capire a quale rete appartengono i frame che transitano per la porta 9?
La risposta viene data dall’operazione di aggiunta dei tag ai frame che transitano sullo switch.
15
In pratica al frame Ethernet vengono aggiunti 4 byte (la parte azzurra nell’immagine). Di questi 4 byte 12 bit vengono usati per il VID. In questo modo ogni frame viene marchiato con il VID della VLAN a cui appartiene e lo switch riesce ad individuarlo e a smistarlo.
Nota: con 12 bit posso rappresentare 2^12=4096 valori. Considerando che 0 e 4095 sono riservati posso usare i valori da 1 a 4094 per assegnare i VID alle mie VLAN!
Per altri dettagli http://en.wikipedia.org/wiki/IEEE_802.1Q
Tecnico di Reti Informatiche, modulo 2
Propagazione delle VLAN, altro esempio
16
In questo esempio sullo switch sono state definite 2 vlan: Vlan1 e Vlan2.
La Vlan1 è definita sulle porte 1,2,3,4.
La Vlan2 è definita sulle porte 1,5,6,7.
La porta 1 dello switch è attraversata da frame delle due vlan. Uso i tag del frame Ethernet per distinguere i frame destinati alla Vlan1 dai frame destinati alla Vlan2.
Tecnico di Reti Informatiche, modulo 2
Link Aggregation
17
Il Link Aggregation viene usato per mettere
insieme più schede di rete in modo da avere
maggiore banda di trasmissione, bilanciamento di
carico e fault tolerance.
Tipici casi d’uso includono:
Il collegamento di switch di backbone. Switch
che aggregano molto traffico possono
beneficiare della maggiore banda offerta dal Link
Aggregation
Il collegamento in bilanciamento di carico e fault
tolerance dei server fisici agli switch
Tecnico di Reti Informatiche, modulo 2
Link Aggregation
18
Il Link Aggregation viene anche chiamato:
NIC Bonding in ambiente Linux
NIC Teaming in ambiente Windows
Port trunking in ambiente Hardware (da non
confondere con il trunk delle VLAN)
Indipendentemente dall’ambiente a cui ci si
riferisce più schede di rete in Link Aggregation
vengono viste come una unica scheda di rete
logica e con unico MAC address
Tecnico di Reti Informatiche, modulo 2
Link Aggregation
19
Le principali modalità di funzionamento del Link Aggregation sono:
Round-robin: i pacchetti vengono trasmessi in ordine sequenziale dalla prima interfaccia fino all’ultima in maniera ciclica. In questa modalità sono garantiti bilanciamento di carico e tolleranza ai guasti
Active-backup: solamente una interfaccia di rete alla volta è attiva, le altre restano passive ed entrano in gioco (una per volta), solo in caso di guasto di quella attiva. Questa modalità garantisce solo tolleranza ai guasti
XOR: in questa modalità ogni comunicazione con un MAC di destinazione continuerà sempre nella stessa scheda di rete. Si ottiene più un bilanciamento delle connessioni che non un bilanciamento del carico vero e proprio. Garantisce bilanciamento di carico e tolleranza ai guasti
Broadcast: ogni pacchetto viene mandato su ogni interfaccia di rete. Fornisce tolleranza ai guasti ma non bilanciamento di carico. Anzi il carico viene replicato su ogni scheda di rete
IEEE 802.3ad Dynamic link aggregation
Versione statica: le schede di rete da aggregare vengono definite in modo manuale
Versione dinamica: usa il protocollo LACP per scambiare messaggi tra gli switch. In base ai messaggi scambiati si creano gruppi di porte con stessa tipologia (half/full duplex) e stessa velocità (10/100/1000 Mbit/s)
Sia nella versione statica che in quella dinamica ogni comunicazione con un MAC di destinazione continuerà sempre nella stessa scheda di rete (come XOR). Questo garantisce bilanciamento delle connessioni e tolleranza ai guasti
I due estremi della comunicazione in Link Aggregation devono essere configurati allo stesso modo.
Tecnico di Reti Informatiche, modulo 2
Link Aggregation
20
Esempio di configurazione da switch HP Procurve 2510
Tecnico di Reti Informatiche, modulo 2
Spanning Tree
21
Lo Spanning Tree è un algoritmo utilizzato per realizzare reti complesse con percorsi ridondanti utilizzando tecnologie di livello Collegamento (il livello 2 del modello OSI).
Una LAN in generale è costituita da una serie di apparati di livello 2, tipicamente switch, interconnessi ma privi di cicli.
Se così non fosse alcuni pacchetti verrebbero replicati all’infinito sulla rete causando rapidamente la saturazione degli apparati.
Una LAN senza percorsi ridondanti è piuttosto fragile poiché la rottura di un apparato spezza la LAN in due reti distinte
Lo Spanning Tree viene attivato sugli apparati di livello Collegamento, tipicamente sugli switch, e mantiene inattive alcune interfacce in modo da garantire che la rete rimanga connessa ma priva di loop.
Tecnico di Reti Informatiche, modulo 2
Spanning Tree
22
L’algoritmo di Spanning Tree è un algoritmo distribuito, che opera su tutti gli apparati di livello 2, facendo in modo che in ogni istante la rete sia connessa ma priva di cicli, ovvero che il grafo dei collegamenti disponibili sia «coperto» da un albero.
Tecnico di Reti Informatiche, modulo 2
Spanning Tree
23
In generale è sufficiente abilitare lo Spanning Tree su tutti gli apparati della LAN.
L’algoritmo tende automaticamente a mantenere attivi i collegamenti con capacità superiore ma talvolta può essere necessario intervenire sui parametri per modificarne il comportamento.
L’algoritmo di Spanning Tree presenta alcuni limiti:
I tempi di convergenza, ovvero i tempi di reazione alla rottura di un apparato , tendono a crescere all’aumentare del numero di apparati presenti nella LAN
Il protocollo genera a sua volta traffico sulla LAN
La capacità dei collegamenti in stand-by non viene sfruttata
Tecnico di Reti Informatiche, modulo 2