LAN Switching and Wireless

LAN Switching and Wireless
Module 1. LAN Design.
Cechy sieci skalowalnych
•
•
•
•
Szybkość i pewność zapewnienie Quality of Service (QoS) dla aplikacji i protokołów bez degradacji
prędkości dostępu do sieci
Wydajność optymalizacja uŜycia pasma (ograniczenie ilości pakietów rozgłoszeniowych, ustawienia
serwerów)
Adaptacyjność moŜliwość uruchomienia róŜnych protokołów, aplikacji i rozwiązań sprzętowych (IP,
IPX, AppleTalk)
Dostępność i bezpieczeństwo wiele moŜliwości połączenia klientów z siecią (Ethernet, T1/E1, Frame
Relay, ATM), ale pełna kontrola dostępu (access-listy, 802.1x)
Warstwa rdzeniowa (core)
•
•
•
•
•
Centralna część sieci zaprojektowana do szybkiego i bezbłędnego przesyłania danych (uŜycie
redundantnych połączeń do wszystkich routerów w sieci rdzeniowej – najlepiej symetrycznych – o
równej prędkości, uŜycie wielu zasilaczy typu hot-swap) Nie stosujemy tutaj filtrów (np. ACL), które
wprowadzają opóźnienia
UŜytkownicy końcowi nie powinni mieć dostępu do tej warstwy
Nie przeprowadzamy tutaj Ŝadnych operacji na pakietach (NAT)
UŜywamy w niej najszybszych routerów, gdyŜ tylko one gwarantują moŜliwie najszybsze przełączanie
pakietów oraz obsługują interfejsy fizyczne o największych prędkościach (routery Cisco serii: 7600,
12000, ASR 1000)
Nie musi być oparta tylko routery L3 - moŜna wykorzystać np. gigabitową sieć L2 i przełączniki
rodziny Cisco Catalyst 6500, 4000 przełączanie pakietów w warstwie drugiej jest o wiele szybsze niŜ w
trzeciej, a dodatkowo do tych przełączników moŜna dodać moduły, które zajmą się routingiem L3
Warstwa dystrybucyjna (distribution)
• Zajmuje się przetwarzaniem reguł ograniczających i kontrolujących dostęp do warstwy rdzeniowej
• Routery mają tutaj mniej interfejsów i mniejszą prędkość przełączania
• Funkcje warstwy dystrybucyjnej:
Access-listy
Sumaryzacja tras
Listy dystrybucyjne
Route-mapy
Inne reguły określające jak router powinien obsługiwać ruch i uaktualnienia tablic routingu
Warstwa dostępowa (access)
•
•
•
Warstwa, w której pracują uŜytkownicy końcowi - dostęp do zasobów
UmoŜliwienie dostępu do sieci dla lokalizacji zdalnych (Frame- Relay, ISDN)
Początkowa kontrola ruchu wchodzącego do sieci (accesslisty określające prawo do skorzystania z
sieci)
Dostępność i niezawodność sieci
•
•
•
•
•
Wsparcie dla skalowalnych protokołów routingu routery w warstwie rdzeniowej powinny zapewniać
szybką zbieŜność wewnątrz systemu autonomicznego. Dobrym wyborem będzie uŜycie OSPF, IS-IS lub
EIGRP
Dodatkowe (alternatywne) ścieŜki dzięki redundancji sieć będzie niezawodna i dostępna, dlatego linki
w warstwie rdzeniowej powinny być zawsze projektowane z uwzględnieniem dodatkowych ścieŜek. W
krytycznych przypadkach redundancji powinny podlegać takŜe urządzenia sieciowe. W celu redukcji
kosztów moŜna ograniczyć redundancję warstwy dystrybucyjnej tylko do najwaŜniejszych punktów
sieci
Tunelowanie protokołów moŜliwość przeniesienia obcych protokołów (np. IPX) w postaci
zaenkapsulowanej do pakietu IP.
RównowaŜenie obciąŜenia (load balancing) redundantne linie nie muszą koniecznie być zarezerwowane
do przenoszenia ruchu w czasie awarii łącza podstawowego. MoŜna rozłoŜyć do jednego celu na wiele
linków
Zapasowe łącza wydzwaniane marginalnie wykorzystać moŜna opcję automatycznego uruchamiania
wdzwanianych połączeń zapasowych (np. ISDN)
Wydajność sieci
•
•
•
•
•
•
•
•
•
Kolejkowanie ruchu w oparciu o wybrane parametry (np. numery portów TCP) Dzięki temu krytycznie
waŜne dane są transmitowane szybciej niŜ zwykły ruch (waŜne w przypadku aplikacji głosowych).
Kolejkowanie to proces, w którym interfejs routera określa, które pakiety powinny być obsłuŜone
szybciej niŜ inne i dokonuje reorganizacji kolejności wysyłania pakietów
Metody kolejkowania:
FIFO (first-in, first-out) Priorytet zdefiniowany przez administratora
WQF (weighted fair queuing) Tylko jedna metoda moŜe być uruchomiona jednocześnie na jednym
interfejsie
Konieczność filtracji zbędnego ruchu w sieciach WAN oraz zmniejszenie ilości aktualizacji tablic
routingu poprzez:
Access-listy - umoŜliwiają filtrację ruchu zbędnego i niepoŜądanego, kontrolują uaktualnienia tablic
routingu, uruchamiają route-mapy oraz umoŜliwiają limitowanie ruchu.
DDR (dial-on-demand routing) - ekonomiczna alternatywa dla sieci, które okazjonalnie potrzebują
dostępu do sieci WAN. Link DDR zostanie uaktywniony dopiero wtedy, kiedy router wykryje
interesujący (zdefiniowany przez administratora) ruch. UŜywany najczęściej w przypadku połączeń
ISDN.
Sumaryzacja tras - umoŜliwia redukcję ilości wpisów w tablicy routingu poprzez reprezentację wielu
sieci za pomocą jednego adresu i jednej maski.
Przyrostowe uaktualnienia tablic routingu - OSPF, IS-IS, EIGRP wysyłają tylko uaktualnienia o trasach,
które się zmieniły
Module 2. Basic Switch Concepts and Configuration.
Mechanizm port-security
•
•
•
Wykorzystywany w celu ograniczenia dostępu do portu przełącznika dla zidentyfikowanych adresów
MAC
Po przypisaniu adresu MAC (adresów) do zabezpieczonego portu przełącznik nie zaakceptuje ramek z
innymi niŜ wskazane źródłowymi adresami MAC
Po przekroczeniu skonfigurowanej ilości dozwolonych adresów MAC na porcie generowany jest
•
"security violation"
Jeśli skonfigurowany adres MAC pojawi się na innym od przypisanego mu porcie równieŜ występuje
"security violation"
Konfiguracja port-security
•
Konfiguracja maksymalnej dozwolonej ilości adresów MAC na porcie przełącznika
switchport port-security maximum liczba
•
Wskazanie „bezpiecznych” adresów MAC wpis statyczny:
switchport port-security mac-address adres
•
wpis dynamiczny przechowywany w tablicy adresów MAC i usuwany przy restarcie przełącznika wpis
„sticky”:
switchport port-security mac-address sticky
•
Jeśli chcemy, aby skonfigurowane wpisy statyczne lub zapamiętane adresy „sticky” nie zostały utracone
przy restarcie przełącznika to naleŜy wydać polecenie zapisujące konfigurację przełącznika
Typy „security violation”
•
•
•
•
Po osiągnięciu określonej w konfiguracji interfejsu ilości adresów MAC pakiety z nieznanym adresem
źródłowym są odrzucane ale przełącznik moŜe podjąć róŜne działania:
Protect brak powiadamiania administratora o wystąpieniu zdarzenia
Restrict powiadamianie administratora (SNMP trap, wiadomość syslog, zwiększenie licznika „violation
count”)
Shutdown wyłączenie interfejsu, powiadomienie administratora
Konfiguracja port-security
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport access vlan 21
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security violation restrict
Switch(config-if)# switchport port-security mac-address sticky
Konfiguracja „starzenia się” adresów MAC
switchport port-security aging {static | time liczba | type {absolute | inactivity}}
•
•
•
•
static - włącza starzenie dla statycznie skonfigurowanych adresów MAC
time - określenie w minutach czasu „starzenia się”
type absolute - obowiązkowe usuwanie adresów MAC przypisanych do interfejsu co zadany interwał
czasowy
type inactivity - usuwanie nieaktywnych (nie wysyłających ramek) adresów MAC przypisanych do
interfejsu co zadany interwał czasowy
Switch(config)# interface GigabitEthernet0/1
Switch(config if)# switchport port-security aging time 2
Switch(config if)# switchport port-security aging type inactivity
Mechanizm DHCP Snooping
•
UmoŜliwia zabezpieczenie sieci wykorzystujących serwery DHCP poprzez filtrowanie
nieautoryzowanych wiadomości DHCP oraz kontrolowanie przyporządkowania otrzymanych z serwera
•
•
•
•
DHCP dzierŜaw adresów IP
Działanie to moŜna przyrównać do firewalla pomiędzy niezaufanymi hostami i serwerami DHCP. W
konfiguracji przełącznika wskazywane są niezaufane interfejsy, do których są przyłączone urządzenia
uŜytkowników oraz interfejsy zaufane, do których przyłączane są serwery DHCP oraz inne przełączniki
Baza mapowania DHCP Snooping zawiera adres MAC, adres IP, okres dzierŜawy adresu, typ
mapowania, numer VLAN oraz informację o lokalnym niezaufanym interfejsie przełącznika
W momencie otrzymania pakietu na niezaufanym interfejsie naleŜącym do VLANu, w którym
uruchomiony został DHCP Snooping przełącznik porównuje adres MAC nadawcy pakietu z informacją
otrzymaną z serwera DHCP. Jeśli adresy zgadzają się to pakiet jest przenoszony, jeśli nie – odrzucany
Dodatkowo moŜna wykorzystać bazę tworzoną przez DHCP Snooping do włączenia mechanizmu IP
Source Guard, który weryfikuje adres IP nadawcy pakietu
Konfiguracja DHCP Snooping
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10
Switch(config)# ip dhcp snooping information option
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# ip dhcp snooping limit rate 100
Autentykacja IEEE 802.1x
•
•
•
Autentykacja IEEE 802.1x zapobiega uzyskaniu dostępu do sieci nieznanym urządzeniom (klientom)
Standard określa metody kontroli dostępu do sieci w oparciu o architekturę klient-serwer
Do momentu pomyślnej autentykacji klienta z wykorzystaniem IEEE 802.1x przełącznik Cisco na
swoim porcie zezwala klientowi tylko na przesyłanie następujących typów pakietów:
EAPOL (Extensible Authentication Protocol over LAN)
CDP (Cisco Discovery Protocol)
STP (Spanning Tree Protocol)
Mechanizm Cisco BPDU Guard
•
Jeśli na port, który jest w stanie Port Fast zostanie wysłana ramka BPDU taki port zostanie wyłączony
(error-disable state)
• MoŜna go uruchomić na 2 sposoby
globalnie: spanning-tree portfast bpduguard default
per port: spanning-tree bpduguard enable
• Jeśli nie chcemy aby switch wyłączył port, na którym wykryto niechciane BPDU a tylko zablokował
dostęp do VLANu na tym porcie w konfiguracji globalnej wydajemy polecenie:
errdisable detect cause bpduguard shutdown vlan
Mechanizm Cisco BPDU Filtering
Blokuje wysyłanie i odbieranie ramek BPDU na portach skonfigurowanych w tryb Port Fast
• Jeśli na takim interfejsie pojawi się ramka BPDU switch automatycznie wyłączy mechanizm BPDU
Filtering
• MoŜna go uruchomić na 2 sposoby
globalnie: spanning-tree portfast bpdufilter default
per port: spanning-tree bpdufilter enable
Module 3. VLANs.
•
•
•
•
•
•
Wirtualne sieci lokalne
VLAN to programowo stworzona forma wirtualnego przełącznika w obrębie fizycznego switcha (lub
wielu switchy)
VLAN ogranicza zasięg domeny broadcastowej
W warstwie 3 VLAN moŜna przełoŜyć na podsieć IP
Komunikacja pomiędzy portami naleŜącymi do róŜnych VLAN jest moŜliwa tylko poprzez routing L3
VLAN to obowiązkowy składnik budowy kaŜdej nowoczesnej sieci
VLAN jest identyfikowany przez jego numer (VLAN ID) a nie przez jego nazwę!
Zalety uŜywania VLANów
• Bezpieczeństwo
Separacja ruchu w kaŜdym VLAN jak w fizycznej podsieci
• Redukcja kosztów
Lepsze wykorzystanie sprzętu sieciowego
• WyŜsza wydajność
Zamknięcie niepoŜądanego ruchu (np. broadcast) w obrębie VLAN
• Zwiększone moŜliwości zarządzania siecią
Proste grupowanie uŜytkowników we wspólne podsieci
Prostsze budowanie sieci na Ŝądanie
•
•
•
•
•
•
VLANy na switchach Cisco
Switche Cisco automatycznie mają stworzone VLANy 1, 1002-1005, których nie moŜna usunąć
UŜytkownicy mogą definiować własne VLANy w zakresie od 2 do 1001
Definicje VLANów 1-1005 są domyślnie przechowywane w pamięci FLASH w pliku vlan.dat
Maksymalnie moŜna zdefiniować 4094 VLAN ID
Definicje VLANów 1006-4094 są przechowywane w pliku konfiguracyjnym switcha (flash:config.text)
Standardowe switche Cisco obsługują do 255 VLANów jednocześnie
Klasyfikacja VLANów
• Data VLAN
przeznaczony do przenoszenia zwykłego ruchu sieciowego enerowanego przez uŜytkowników
• Default VLAN
Domyślny VLAN dostępny na switchu bez konfiguracji (VLAN ID=1) rzenoszący informacje kontrolne
switcha (np. CDP, STP)
• Native VLAN
przenosi ruch nietagowany na portach typu trunk 802.1Q
• Management VLAN
skonfigurowany do zarządzania przełącznikiem przez sieć (SSH, Web)
• Voice VLAN
do przenoszenia ruchu głosowego z telefonów IP
Przyporządkowanie VLANu do portu
• Static VLAN
Porty przełącznika są ręcznie przyporządkowywane przez administratora do określonych VLANów
Przyporządkowanie VLANu do portu
• Dynamic VLAN
Porty przełącznika są przydzielane do VLANów na podstawie adresu AC urządzenia włączonego do danego
portu
•
Przyporządkowanie VLANu do portu
Voice VLAN
Statyczne VLANy przyporządkowane dla komunikacji z telefonem IP i komputerem
•
•
•
•
•
•
VLAN trunk
Trunk to połączenie point-to-point pomiędzy dwoma urządzeniami sieciowymi zdolne do przenoszenia
informacji z więcej niŜ jednego VLANu
Dzięki nim nie ma ograniczenia zasięgu działania VLANów do pojedynczego urządzenia
VLAN trunk jest określony przez standard IEEE 802.1Q
To nie jest dedykowany port fizyczny na urządzeniu - administrator w konfiguracji określa, który port
ma pracować w trybie trunk
Nazwa trunk jest wykorzystywana przez Cisco. Inni producenci nazywają ten mechanizm tagowaniem
NaleŜy pamiętać o zabezpieczeniu interfejsów trunk ograniczając listę wysyłanych VLANów do
niezbędnego minimum!
Protokół Cisco DTP
• Dynamic Trunking Protocol
Własnościowy protokół firmy Cisco, który zarządza automatycznym wykrywaniem i konfiguracją interfejsów
typu trunk
• Tryby pracy DTP
ON (trunk zawsze właczony)
switchport mode trunk
Dynamic auto (trunk zestawiany automatycznie z portami „ON” lub „dynamic desirable”)
switchport mode dynamic auto
Dynamic desirable (trunk zestawiany automatycznie z portami „ON”, „dynamic auto” „dynamic desirable”)
switchport mode dynamic desirable
OFF (protokół DTP wyłączony)
switchport nonegotiate
Module 4. VTP.
•
•
•
•
Cisco VLAN Trunking Protocol (VTP)
Zapewnia automatyczną propagację informacji o stworzonych VLANach na wiele przełączników
Protokół informacyjny warstwy 2
Obsługuje tylko VLANy z zakresu 1 - 1005
Administrator określa, które przełączniki pracują w trybie VTP server, a które jako VTP client
Zalety wykorzystywania VTP
• UmoŜliwia zabezpieczenie rozgłoszeń hasłem
• Protokół własnościowy Cisco - działa tylko na przełącznikach Cisco Catalyst
• UmoŜliwia wykonywanie zmian w jednym centralnym punkcie i przeniesienie ich na wszystkie inne
switche w zdefiniowanym segmencie sieci
• Spójna informacja o konfiguracji VLANów w obrębie sieci (lub zdefiniowanej grupy przełączników)
• MoŜliwość dokładnego śledzenia i monitorowania istniejących i powstających w sieci VLANów
• Dynamiczna konfiguracja interfejsów typu trunk przy dodawaniu VLANów w sieci
Wady wykorzystywania VTP
• Konieczność utrzymywania dodatkowego protokołu w sieci
• W przypadku błędnej lub nieuwaŜnej konfiguracji moŜna nadpisać właściwą konfigurację przez
niewłaściwą
• Redystrybucja informacji o wszystkich VLANach na wszystkie przełączniki (nawet te, na których
danych VLANów nie wykorzystujemy)
•
Obsługiwany tylko przez switche Cisco
Podstawowe pojęcia VTP
• VTP Domain - Zbiór połączonych ze sobą switchy skonfigurowanych do pracy we wspólnej domenie
VTP
• VTP Advertisements - Ramki protokołu VTP przenoszące informacje VTP
• VTP Pruning - Mechanizm ograniczający przesyłanie ruchu do tych przełączników, które muszą
pośredniczyć w jego przesyłaniu. Bez tego mechanizmu switch flooduje broadcasty, multicasty oraz
nieznane unicasty na wszystkie połączenia typu trunk wewnątrz domeny VTP pomimo tego, Ŝe switche,
do których ten ruch dotrze odrzucą go
• VTP Mode (tryb pracy protokołu VTP):
1. VTP Server - rozgłasza informację o VLANach w obrębie domeny VTP, moŜe tworzyć,
modyfikować i usuwać informacje o VLANach. Przechowuje informacje w pliku flash:vlan.dat.
Tryb domyślnie włączony
2. VTP Client - rozgłasza informację o VLANach w obrębie domeny VTP ale nie moŜe tworzyć,
modyfikować ani usuwać informacji o VLANach. Przy restarcie switcha traci informacje o
VLANach
3. VTP Transparent - przekazuje dalej otrzymane rozgłoszenia VTP od serwerów i klientów ale nie
stosuje do siebie tych informacji. Tworzy VLANy tylko dla siebie
Domyślna konfiguracja VTP
• Switche Cisco Catalyst domyślnie mają włączony protokół VTP z następującymi ustawieniami:
VTP Version = 1
VTP Domain Name = null
VTP Mode = server
Config revision = 0
VLANs = 1
•
Jeśli do istniejącej sieci przełączników Cisco Catalyst pracujących na ustawieniach fabrycznych dodasz
kolejny przełącznik Cisco Catalyst ze skonfigurowanym juŜ VTP to moŜe on nadpisać konfigurację
VLANów w całej istniejącej sieci!
Działanie VTP
• Switche, których VTP Domain = null po otrzymaniu ramki VTP zawierającej określoną domenę VTP
dołączają do tej domeny
• Jeśli mamy skonfigurowane hasło dostępu do domeny VTP to musimy je podać na nowo dołączanym
przełączniku
• Switche określają, który z nich posiada najświeŜszą konfigurację VLANów poprzez porównywanie
numerów VTP Revision Number, który jest zwiększany przy kaŜdej modyfikacji bazy VLANów na
switchu
• Zmiana domeny VTP resetuje revision number do zera
• Summary Advertisements rozsyłane do wszystkich co 5 minut
• Subset Advertisements rozsyłane są do wszystkich natychmiast po dokonaniu zmian w bazie VLANów
• Request Adertisements rozsyłane w przypadku:
1. zmiany domeny VTP, do której naleŜy switch
2. otrzymania summary advertisement z numerem revision wyŜszym niŜ
3. posiadany
4. otrzymania niepełnej informacji VTP
5. przeładowania switcha
• Współdzielona jest tylko informacja o konfiguracji VLANów - informacja o przyporządkowaniu
portów do VLANów musi być konfigurowana osobno i niezaleŜnie na kaŜdym urządzeniu!
• Rozgłoszenia VTP obsługiwane są przez management (native) VLAN
• Po osiągnięciu maksymalnego numeru konfiguracji (2.147.483.648) powraca on do wartości 0
• Wersje VTP 1 oraz VTP 2 nie są ze sobą kompatybilne
Mechanizm VTP Pruning
• Pozwala na lepsze wykorzystanie pasma poprzez ograniczenie wysyłania pakietów typu broadcast,
multicast, unicast do nieznanego odbiorcy do przełączników na których nie występują porty typu access
dla danego VLANu
• Domyślnie wyłączony
• Management (native) VLAN ma zawsze vtp pruning wyłączony
NaleŜy pamiętać o tym, Ŝe w sieci powinny być minimum 2 switche pracujące jako VTP server aby w
przypadku uszkodzenia któregokolwiek z nich nadal była moŜliwość dokonywania zmian w konfiguracji
VLANów.
Module 5. STP.
Znaczenie redundancji w sieciach
• Redundancja to dodanie do sieci nadmiarowych (zapasowych) połączeń i urządzeń w celu zmniejszenia
prawdopodobieństwa przerwania pracy sieci w przypadku wystąpienia awarii
• Sieć nie jest juŜ tylko dodatkiem do pracy firmy - sieć jest podstawowym składnikiem niezbędnym do
poprawnego funkcjonowania firmy
Zjawisko pętli L2
• Wprowadzenie urządzeń i połączeń redundantnych bez odpowiednich zabezpieczeń = pętla w sieci L2
• Ramki Ethernet nie mają zabezpieczenia przed nieskończonym przesyłaniem jak mają to pakiety IP
(TTL)
• Powstanie pętli L2 prowadzi do:
1. zwiększenia obciąŜenia CPU wszystkich przełączników w segmencie sieci, aŜ do momentu
całkowitego ich wykorzystania
2. broadcast storm - wysycenie pasma dostępnego dla uŜytkowników
3. duplikacji ramek unicast
• Sieć staje się niedostępna dla uŜytkowników
Spanning Tree Protocol
• Rolą protokołu STP jest wykrywanie i eliminacja pętli w warstwie drugiej sieci powstałych np. w
wyniku redundancji
• STP blokuje przesyłanie ruchu na portach switcha, na których wykryje istnienie redundantnej ścieŜki
• W przypadku kiedy podstawowa trasa przestanie działać STP odblokuje połączenie redundantne
• Spanning Tree Protocol wykorzystuje do tego celu ramki BPDU (Bridge Protocol Data Unit) oraz
algorytm STA (Spanning Tree Algorithm)
• STP jest zdefiniowany w standardzie IEEE 802.1D
• Od 2004 roku połączono protokoły STP i RSTP w standardzie IEEE 802.1D-2004
Podstawowe pojęcia STP
• Root Bridge - pojedynczy switch wybrany przez algorytm STA z najniŜszym BID jako punkt
referencyjny dla obliczeń dostępnych w sieci ścieŜek
• Bridge ID (BID) identyfikuje konkretny switch w sieci STP
• Root ports - porty przełączników podłączone najbliŜej Root Bridge
• Designated ports - wszystkie inne niŜ Root Port porty przełączników, na których STP nie blokuje
przenoszenia ruchu
• Non-designated ports - wszystkie porty blokowane przez STP
Bridge Protocol Data Unit (BPDU)
• Protokół Spanning Tree do swojego działania wymaga przenoszenia wiadomości BPDU przez
•
przełączniki
Ramki protokołu BPDU są przenoszone takŜe na portach zablokowanych przez STP - dzięki temu mogą
zostać uruchomione w przypadku awarii głównego łącza
Bridge ID
• SłuŜy do identyfikacji kaŜdego switcha
• Jest wykorzystywany m. in. do ustalenia centrum sieci (Root Bridge)
• Składa się z dwóch komponentów:
1. Bridge Priority (2 bajty) - wartości od 1 do 65. 536 (domyślna wartość na switchach Cisco 32.768)
2. Adres MAC (6 bajtów)
• Jeśli uŜywamy PVST (Per Vlan Spanning Tree) pole bridge priority zostaje podzielone na dwa:
1. Bridge Priority (4 bity) - wartości z granulacją co 4096
2. Extended System ID (12 bitów) - ID VLANu, z którego pochodzi switch
• Switch z najniŜszym Bridge ID zostaje wybrany Root Bridge
• Jeśli wszystkie urządzenia mają taki sam Bridge ID to na Root Bridge zostaje wybrany switch z
najniŜszym adresem MAC
Path Cost
• Wykorzystywany przez switche do określenia swojej odległości od innych switchy
• Posiada zdefiniowane przez IEEE wartości (tabelka)
• MoŜliwa jest modyfikacja kosztu przez administratora
• W połączeniu z Bridge ID (BID) umoŜliwia stworzenie topologii wolnej od pętli
Ogólny opis działania STP
• Wybór jednego switcha, który będzie korzeniem (Root Bridge) dla drzewa spanning tree
• Obliczenie najkrótszej drogi od kaŜdego switcha do korzenia
• W kaŜdym segmencie sieci wybór jednego przełącznika najbliŜszego korzenia (Designated Switch) Wybrany switch obsługuje całą komunikację z segmentu do Root Bridge
• Wybór jednego z portów jako Root-Port na kaŜdym przełączniku nie będącym Root Bridge – Ten
interfejs zapewnia najlepszą ścieŜkę do root bridge
• Wybór portów naleŜących do ścieŜki spanning tree (Designated Ports)
• Zablokowanie portów niewybranych - redundantnych (Nondesignated Ports)
Podejmowanie decyzji przez STP
• STP wykorzystuje 4-krokową sekwencję przy podejmowaniu decyzji:
Krok 1 - najniŜszy BID
Krok 2 - najniŜszy Path Cost do Root Bridge
Krok 3 - najniŜszy Sender BID
Krok 4 - najniŜszy Port ID
Podejmowanie decyzji przez STP
• Bridge zachowuje kopię najlepszego BPDU otrzymanego na kaŜdym porcie
• Pod uwagę brane są wszystkie otrzymane ramki BPDU jak teŜ te, które zostałyby wysłane na danym
porcie
• Po otrzymaniu kaŜdej ramki BPDU jest ona sprawdzana wg 4-krokowej sekwencji decyzyjnej aby
sprawdzić czy jest lepsza niŜ aktualnie zapisana na porcie (czy posiada niŜszą wartość)
• Tylko najniŜsza wartość z BPDU jest zapisywana
• Bridge rozsyłają Configuration BPDU dopóki nie otrzymają lepszej wartości BPDU
Początkowa konwergencja STP
Krok 1 - wybór Root Bridge („root war”)
• Początkowo w sieci wszystkie bridge rozsyłają swoje BPDU ogłaszając siebie jako Root Bridge
(wstawiając swój BID w polu Root BID w ramce BPDU)
• Jednocześnie switche rozpoczynają 4-krokową sekwencję decyzyjną
• Switche muszą wybrać wśród siebie jeden Root Bridge
• Switch z najniŜszym Bridge ID wygrywa i staje się Root Bridge
Krok 2 - wybór portów Root Port
• Root Port to port najbliŜszy do switcha wybranego na Root Bridge
• KaŜdy przełącznik niewybrany na Root Bridge wybiera jeden port typu Root Port na podstawie
sumarycznego kosztu dotarcia do Root Bridge (port z najniŜszym kosztem)
Krok 3 - wybór portów Designated Ports
• Designated Port to wybrany pojedynczy port który odbiera i wysyła ruch pomiędzy wybranym
segmentem a Root Bridge
• Designated Port jest wybierany na podstawie Root Path Cost
• BID switcha Cat-B jest niŜszy, więc jego port zostaje wybrany jako Designated Port dla segmentu 3
Stany portów w STP oraz BPDU Timers
• Propagacja informacji STP wymaga odpowiedniego czasu
• W kaŜdym ze stanów STP porty przełączników wykonują swoje zadania w określonym maksymalnie
czasie
• Wartości czasowe zostały wyliczone dla topologii z maksymalnie 7 przełącznikami na drodze do Root
Bridge
Rapid Spanning Tree (RSTP)
• Zdefiniowany w standardzie IEEE 802.1w
• Znacząco szybszy od standardowego protokołu STP oraz niektórych wersji własnościowych protokołów
Cisco
• Zalecany przez Cisco do jak najszybszego wdroŜenia i zastąpienia klasycznego STP
• Kompatybilny wstecznie z protokołem STP
• Inaczej niŜ STP określa stany i role portów
• Nie wymaga stosowania timerów
Podstawowe pojęcia RSTP
• RSTP określa 3 typy połączeń: point-to-point, edge-type, shared
• Połączenia point-to-point oraz edge-type mogą natychmiast przejść do stanu forwarding
• Konwergencja sieci jest osiągana w ok. 6 sekund
Mechanizm Cisco BPDU Guard
• Jeśli na port, który jest w stanie Port Fast zostanie wysłana ramka BPDU taki port zostanie wyłączony
(error-disable state)
• MoŜna go uruchomić na 2 sposoby
globalnie: spanning tree portfast bpduguard default
per port: spanning tree bpduguard enable
•
Jeśli nie chcemy aby switch wyłączył port, na którym wykryto niechciane BPDU a tylko zablokował
dostęp do VLANu na tym porcie w konfiguracji globalnej wydajemy polecenie:
errdisable detect cause bpduguard shutdown vlan
•
•
Blokuje wysyłanie i odbieranie ramek BPDU na portach skonfigurowanych w tryb Port Fast
Jeśli na takim interfejsie pojawi się ramka BPDU switch automatycznie wyłączy mechanizm BPDU
Filtering
• MoŜna go uruchomić na 2 sposoby
globalnie: spanning tree portfast bpdufilter default
per port: spanning tree bpdufilter enable
Module 6. Inter-VLAN Routing.
Routing w sieciach VLAN
• Dwie proste zasady dotyczące VLANów:
1.
VLANy nie mogą się komunikować bezpośrednio ze sobą tj. przy uŜyciu komunikacji w warstwie
drugiej (L2)
2.
Do takiej komunikacji jest niezbędne urządzenie warstwy trzeciej (L3), czyli router lub przełącznik z
obsługą routingu
• Trzy proste metody na skomunikowanie VLANów ze sobą:
1. Dedykowane połączenia pomiędzy routerem i kaŜdym VLANem
2. Współdzielone łącze typu tagowanego z routerem
3. Wykorzystanie przełącznika z obsługą routingu
Metody łączenia routerów z VLAN
1. Dedykowane połączenie kaŜdego VLANu do oddzielnego fizycznego interfejsu routera
• Z punktu widzenia przełącznika będzie to port typu „access”
• Zalety: dedykowane interfejsy na routerze i switchu umoŜliwiające komunikację urządzeń z pełną
prędkością linku
• Wady: rozwiązanie mało elastyczne i kosztowne w implementacji
2. Współdzielone połączenie typu „trunk” pomiędzy jednym portem switcha i jednym portem routera
• Nazywane często „router-on-a-stick”
• Wykorzystuje mechanizm tworzenia subinterfejsów, czyli podziału jednego fizycznego interfejsu
routera na wiele interfejsów logicznych
• Zalety: moŜliwość podłączenia wielu VLANów bez konieczności wykorzystywania wielu
fizycznych interfejsów
• Wady: współdzielone pasmo do routera dla wszystkich VLANów
3. Metody łączenia routerów z VLAN
• Wykorzystanie switcha typu „multi-layer” do routingu pakietów i obsługi VLANów
• Zalety: duŜa szybkość komunikacji i brak konieczności zakupu routera
• Wady: ograniczenia sprzętowe i programowe przełącznika warstwy 3
Konfiguracja switcha L3
• Utwórz potrzebne VLANy na przełącznikach (chyba, Ŝe VTP juŜ to zrobiło)
• Na switchu L3 uruchom obsługę routingu IP
catalyst switch(config)# ip routing
•
Skonfiguruj adresy IP na interfejsach wirtualnych EtherSVI o numerach odpowiadających ID VLANu
catalyst switch(config)# interface VLAN 10
catalyst switch(config if)# ip address 10.0.0.1 255.0.0.0
•
Skonfiguruj protokół routingu jak na zwykłym routerze
catalyst switch(config)# router OSPF 1
catalyst switch(config router)# network 10.0.0.0 0.0.0.255 area0
Module 7. Basic Wireless Concepts and Configuration
Exam
Accessing the WAN
Module 1 Introduction to WANS.
Module 2. PPP.
Module 3. Frame Relay.
Module 4. Network Security.
Module 5. ACLs.
Module 6. Teleworker Services.
Module 7. IP Addressing Services.
Module 8. Network Troubleshooting.
Exam