Istituto Nazionale di Fisica Nucleare Laboratori Nazionali di Frascati Angelo Veloce Via E. Fermi,40 00044 Frascati (RM) Italy [email protected] 1 Lo switch termina domini di collisione Broadcast Domain Collision Domain 1 Collision Domain 2 2 Limiti di un unico Dominio di Broadcast • In un singolo dominio di collisione i frame sono visibili da tutti i device sulla LAN e sono possibili collisioni • Con gli switches si segmenta la LAN in distinti domini di collisione. I frame sono inoltrati solo sui segmenti che contengono il destination address del frame • Con gli switches i frame broadcast sono inoltrati su tutti i segmenti di rete ad esso connesso – IP Address Resolution Protocol Request – NetBIOS name request • Questo tipo di traffico broadcast “inonda” l’intera rete 3 Limiti di un unico Dominio di Broadcast • I broadcasts possono consumare tutta la banda disponibile (Broadcast storm) • Ciascun device che riceve un broadcast frame e’ “costretto” ad analizzarlo – Questo comporta degli interrupts alla CPU con degrado delle performance 4 I° Soluzione per localizzare il traffico Broadcast • LAN Broadcasts terminano sulle interfacce dei router 10.1.1.0 10.1.2.0 10.1.3.0 5 II° Soluzione per localizzare il traffico Broadcast • VLANs contengono il traffico di Broadcast VLAN 1 VLAN 3 VLAN 2 6 VLAN • Le VLAN definiscono un dominio di broadcast • Tutti gli host “mappati” sulla stessa VLAN e’ come se condividessero uno stesso media fisico • Possono partecipare ad una VLAN gruppi di porte lacalizzate in Switches diversi • CISCO raccomanda la corrispondenza uno ad uno tra IP subnet, di 254 hosts e ciascuna VLAN 7 VLAN • E’ necessario un Router per “ruotare” il traffico tra domini di Broadcast (VLAN) VLAN 1 VLAN 2 8 Vantaggi delle VLAN • Efficiente utilizzazione della banda – Tutto il traffico Broadcast e Multicast e’ contenuto nella VLAN cui corrisponde “normalmente” una IP subnet – La complessita’ del routing tra VLAN e’ scaricata sul router • Sicurezza • Isolamento dei problemi 9 Come partecipano gli utenti ad una VLAN • VLAN statiche – Vengono assegnate gruppi di porte sullo switch a delle VLAN. L’utente partecipa alla VLAN mappata sulla propria porta dello switch • VLAN dinamiche – L’utente partecipa alla VLAN in base al proprio MAC Address. In questo modo si garantisce la mobilita’ dell’utente nell’edificio. 10 Configurare Static VLANs Collegamento Trunk Network Layer Data Link Layer Broadcast Domains 192.20.21.0 192.20.22.0 192.20.23.0 VLAN Amministrazione VLAN kloe VLAN Finuda Physical Layer LAN Switch Human Layer Primo piano Secondo piano Terzo piano 11 Trunk Links • Ha la capacita’ di portare multiple VLANs • E’ utilizzato per connettere tra di loro due switches o uno switch con un router • Cisco supporta i trunk link su porte Fast Ethernet e Gigabit Ethernet • Per distinguere il traffico delle VLANs nei trunk si utlizzano due metodi: – Cisco Inter-Switch Link o ISL (Proprietario) – IEEE 802.1Q (Standard) 12 VLAN Trunk Protocol (VTP) • Grazie a questo protocollo e’ possibile definire, su uno Switch VTP Server, il database delle VLAN, che sara’ visibile su tutti gli Switch VTP Client Switch VTP Server Su questo switch e’ possibile definire e cancellare VLANs Su questi switches non sono possibili cambiamenti sul Database delle VLANs Switches VTP Client 13 Comandi per impostare il VTP • set vtp domain infn • set vtp mode client/server • set vtp passwd ****** • VTP Pruning: – Grazie a questa funzionalita’ e’ possibile ottimizzare il traffico sui trunk. – Verra’ inoltrato sui trunk, il traffico delle VLANs effettivamente utilizzate dagli switches. • set vtp pruning enable/disable 14 Configurare una VLAN statica • Usare il comando set vlan per mappare delle porte o gruppi di porte ad una VLAN Switch> (enable) set vlan vlan_num mod_num/port_list Console> (enable) set vlan 850 3/4-7 VLAN 850 modified. VLAN 1003 modified. VLAN Mod/Ports ---- ----------------------850 3/4-7 15 VLAN dinamiche • In questo esempio il VMPS server e il VMPS client sono su switch separati • Switch 1 e’ il primary VMPS server • Switch 3 e 10 sono secondary VMPS servers • Gli host sono connessi sui due Switch client 2 e 9 • Il database di configurazione e memorizzato sul TFTP Server con IP 172.20.22.7 16 Impostazioni sul primary VMPS server •Impostiamo un server TFTP dal quale scaricare il database dei mac-address Console> (enable) set vmps downloadserver 192.168.69.100 vmps_config.1 IP address of the server set to 192.168.69.100 VMPS configuration filename set to vmps_config.1 •Abilitiamo il VMPS Console> (enable) set vmps state enable Vlan membership Policy Server enabled. •Forziamo il download dal TFTP server precedentemente indicato a seguito di cambiamenti sul database che vogliamo implementare Console> (enable) download vmps Re-initialization of Vlan Membership Policy Server with the downloaded configuration file is in progress. 6/14/1998,17:37:29:VMPS-2:PARSER: 82 lines parsed, Errors 0 17 Impostazioni sui client VMPS •Impostiamo i VMPS server ai quali inviare le query Console> (enable) set vmps server 192.168.10.140 primary 192.168.10.140 added to VMPS table as primary domain server. Console> (enable) set vmps server 192.168.69.171 192.168.69.171 added to VMPS table as backup domain server. •Impostiamo la modalita’ con cui le porte partecipano alla VLANs Console> (enable) set port membership 3/1-3 dynamic Ports 3/1-3 vlan assignment set to dynamic. Spantree port fast start option enabled for ports 3/1-3. Console> (enable) set port membership 3/1-3 static Ports 3/1-3 vlan assignment set to static. 18 Configurazione delle VLANs ai LNF Utenti interni Attraverso il VMPS sono mappati su queste VLANs gli utenti i cui MAC sono noti e quindi sono presenti nel VMPS database. Servizi disponibili: DHCP solo per gli utenti con MAC noto. Sicurezza: le VLANs sono protette attraverso filtri dal mondo Internet e dalla VLAN 131 degli ospiti. VC 32Mbps Verso il GARR Access Point Ospiti VLAN 131 o LANesterna mappata sulla network pubblica 192.84.131.X/24. Su questa VLAN vengono proiettati gli utenti ospiti i cui MAC sono sconosciuti dal VMPS. Inoltre sono collegati a questa VLAN tutti gli access point del wireless. Servizi disponibili: DHCP aperto senza che sia conosciuto il MAC, libero accesso ad Internet. Limiti: gli utenti su questa VLAN sono a tutti gli effetti utenti esterni e sono sottoposti 19 alle stesse politiche dei filtri (access-list) di un qualsiasi utente del mondo Internet. Suddivisione utenti interni VC 32Mbps Verso il GARR Vlan default 193.206.80.0/21 - LAN LNF Vlan kloe 192.135.25.0/24 - LAN kloe1 192.135.26.0/24 - LAN kloe2 Print server Vlan ac Vlan Printers Vlan HiddenPr Vlan ospiti 192.84.129.0/24 - LAN Amministrazione Centrale 192.168.132.0/24 LAN Stampanti LNF 192.168.128.0/24 LAN Stampanti nascoste LNF (gestite dal calcolo) Vlan dante 192.168.192.0/24 LAN Controllo Dafne Vlan sunr1 192.168.193.0/24 LAN Controllo Dafne 192.84.131.0/24 - LAN Esterna LNF Indirizzi Pubblici Indirizzi Privati 20 VLAN configurate e gestite con il VTP swlnf1> (enable) show vlan VLAN Name Status IfIndex Mod/Ports, Vlans ---- -------------------------------- --------- ------- -----------------------1 default active 5 1/1 2/1-2 4/1-9,4/11-13,4/15-24 6/1-24 2 kloe active 341 128 HiddenPrinters active 343 4/10 129 ac active 351 130 acprinter active 352 131 LANesterna active 342 4/14 132 Printers active 344 160 PCMaster active 345 161 LabMaster active 347 176 Master active 346 192 dante active 348 193 sunr1 active 349 194 sunr2 active 350 21 File di configurazione residente sul TFTP Server !vmps domain <domain-name> ! The VMPS domain must be defined. !vmps mode { open | secure } ! The default mode is open. !vmps fallback <vlan-name> !vmps no-domain-req { allow | deny } ! ! The default value is allow. vmps domain lnf vmps mode open vmps fallback LANesterna vmps no-domain-req deny ! ! !MAC Addresses ! vmps-mac-addrs ! 22 File di configurazione residente sul TFTP Server ! vmps-mac-addrs ! ! address <addr> vlan-name <vlan_name> ! ! Network DANTE ! address 0800.20ae.149c vlan-name dante address 0080.420b.b056 vlan-name dante ! ! SUNray Dafne 192.168.193.x ! address 0800.20bd.4c6c vlan-name sunr1 address 0800.20b9.0598 vlan-name sunr1 ! ! SUNray Dafne 192.168.194.x ! address 0800.20bc.daee vlan-name sunr2 address 0800.20f8.8c6c vlan-name sunr2 ! ! Lista PC e MAC dell' amministrazione centrale ! address 0050.e46e.c301 vlan-name ac 23 File di configurazione residente sul TFTP Server !Port Groups ! !vmps-port-group <group-name> ! device <device-id> { port <port-name> | all-ports } ! vmps-port-group dinamico device 172.16.36.1 all-ports device 172.16.36.101 all-ports ! !VLAN groups ! !vmps-vlan-group <group-name> ! vlan-name <vlan-name> vmps-vlan-group Laboratori vlan-name default vlan-name dante vlan-name sunr1 vlan-name sunr2 ! !VLAN port Policies ! !vmps-port-policies {vlan-name <vlan_name> | vlan-group <group-name> } ! { port-group <group-name> | device <device-id> port <port-name> } ! 24 vmps-port-policies vlan-group Laboratori port-group dinamico Gestione degli utenti sul Primary VMPS Server swlnf1> (enable) show vmps mac 00-00-39-db-60-eb default 172.16.36.101 4/26 367,08:16:27 Success 08-00-20-b0-fc-5d 08-00-20-c3-fe-a4 08-00-20-fd-99-04 08-00-20-f8-8c-6c 00-c0-85-2a-ef-bb 00-c0-85-2b-9f-da 00-80-ad-07-77-1e 00-01-02-f5-ca-ec 00-01-02-f5-ca-ef 172.16.9.1 172.16.9.1 0.0.0.0 172.16.9.1 172.16.36.2 172.16.36.201 0.0.0.0 172.16.36.101 172.16.36.201 6/34 6/1 367,08:13:27 367,09:13:28 0,00:00:00 367,09:13:28 367,08:21:23 367,10:17:03 0,00:00:00 367,10:16:27 367,08:17:00 Success Success Success Success Success Success Success Success Success sunr1 dante sunr2 sunr2 HiddenPri HiddenPri ac default default 6/35 6/42 6/31 4/15 4/28 25 Vantaggi • Minimizzazione del carico amministrativo per il network manager o per l’utente: – Garanzia di mobilita’ per gli host interni – Possibilita’ di connessione degli utenti occasionali • Sicurezza: – Controllo su base MAC degli host – Abilitazione sicura di prese non presidiate 26 Svantaggi • VMPS proprietario CISCO • Supportato sugli switch layer 2 – Catalyst 2900, 3500, 4000, 5000 e 6000 families • Supportato sugli switch layer 2 / 3 – Nelle soluzioni ibride CATOS e IOS • Startup difficoltoso per il censimento dei MAC Address 27 Evoluzione • IEEE 802.1x autenticazione su base porta attraverso Server RADIUS – Assegnazione di VLAN in funzione della username • Client nativo solo su Microsoft XP 28 Domande? [email protected] 29