Istituto Nazionale di Fisica Nucleare
Laboratori Nazionali di Frascati
Angelo Veloce
Via E. Fermi,40
00044 Frascati (RM) Italy
[email protected]
1
Lo switch termina domini di
collisione
Broadcast Domain
Collision Domain 1
Collision Domain 2
2
Limiti di un unico Dominio di
Broadcast
• In un singolo dominio di collisione i frame sono visibili
da tutti i device sulla LAN e sono possibili collisioni
• Con gli switches si segmenta la LAN in distinti domini di
collisione. I frame sono inoltrati solo sui segmenti che
contengono il destination address del frame
• Con gli switches i frame broadcast sono inoltrati su tutti i
segmenti di rete ad esso connesso
– IP Address Resolution Protocol Request
– NetBIOS name request
• Questo tipo di traffico broadcast “inonda” l’intera rete
3
Limiti di un unico Dominio di
Broadcast
• I broadcasts possono consumare tutta la banda
disponibile (Broadcast storm)
• Ciascun device che riceve un broadcast frame e’
“costretto” ad analizzarlo
– Questo comporta degli interrupts alla CPU con
degrado delle performance
4
I° Soluzione per localizzare il
traffico Broadcast
• LAN Broadcasts terminano sulle interfacce dei
router
10.1.1.0
10.1.2.0
10.1.3.0
5
II° Soluzione per localizzare il
traffico Broadcast
• VLANs contengono il traffico di Broadcast
VLAN 1
VLAN 3
VLAN 2
6
VLAN
• Le VLAN definiscono un dominio di broadcast
• Tutti gli host “mappati” sulla stessa VLAN e’ come
se condividessero uno stesso media fisico
• Possono partecipare ad una VLAN gruppi di porte
lacalizzate in Switches diversi
• CISCO raccomanda la corrispondenza uno ad uno tra
IP subnet, di 254 hosts e ciascuna VLAN
7
VLAN
• E’ necessario un Router per “ruotare” il
traffico tra domini di Broadcast (VLAN)
VLAN 1
VLAN 2
8
Vantaggi delle VLAN
• Efficiente utilizzazione della banda
– Tutto il traffico Broadcast e Multicast e’
contenuto nella VLAN cui corrisponde
“normalmente” una IP subnet
– La complessita’ del routing tra VLAN e’ scaricata
sul router
• Sicurezza
• Isolamento dei problemi
9
Come partecipano gli utenti ad una
VLAN
• VLAN statiche
– Vengono assegnate gruppi di porte sullo switch a
delle VLAN. L’utente partecipa alla VLAN mappata
sulla propria porta dello switch
• VLAN dinamiche
– L’utente partecipa alla VLAN in base al proprio
MAC Address. In questo modo si garantisce la
mobilita’ dell’utente nell’edificio.
10
Configurare Static VLANs
Collegamento Trunk
Network Layer
Data Link Layer
Broadcast
Domains
192.20.21.0
192.20.22.0
192.20.23.0
VLAN
Amministrazione
VLAN
kloe
VLAN
Finuda
Physical Layer
LAN Switch
Human Layer
Primo
piano
Secondo
piano
Terzo
piano
11
Trunk Links
• Ha la capacita’ di portare multiple VLANs
• E’ utilizzato per connettere tra di loro due switches o
uno switch con un router
• Cisco supporta i trunk link su porte Fast Ethernet e
Gigabit Ethernet
• Per distinguere il traffico delle VLANs nei trunk si
utlizzano due metodi:
– Cisco Inter-Switch Link o ISL (Proprietario)
– IEEE 802.1Q (Standard)
12
VLAN Trunk Protocol (VTP)
• Grazie a questo protocollo e’ possibile
definire, su uno Switch VTP Server, il
database delle VLAN, che sara’ visibile su
tutti gli Switch VTP Client
Switch VTP Server
Su questo switch e’ possibile definire e
cancellare VLANs
Su questi switches non sono possibili
cambiamenti sul Database delle VLANs
Switches VTP Client
13
Comandi per impostare il VTP
• set vtp domain infn
• set vtp mode client/server
• set vtp passwd ******
• VTP Pruning:
– Grazie a questa funzionalita’ e’ possibile
ottimizzare il traffico sui trunk.
– Verra’ inoltrato sui trunk, il traffico delle
VLANs effettivamente utilizzate dagli switches.
• set vtp pruning enable/disable
14
Configurare una VLAN statica
• Usare il comando set vlan per mappare
delle porte o gruppi di porte ad una
VLAN
Switch> (enable) set vlan vlan_num mod_num/port_list
Console> (enable) set vlan 850 3/4-7
VLAN 850 modified.
VLAN 1003 modified.
VLAN
Mod/Ports
---- ----------------------850
3/4-7
15
VLAN dinamiche
• In questo esempio il VMPS server e il
VMPS client sono su switch separati
• Switch 1 e’ il primary VMPS server
• Switch 3 e 10 sono secondary VMPS
servers
• Gli host sono connessi sui due Switch
client 2 e 9
• Il database di configurazione e
memorizzato sul TFTP Server con IP
172.20.22.7
16
Impostazioni sul primary VMPS server
•Impostiamo un server TFTP dal quale scaricare il database
dei mac-address
Console> (enable) set vmps downloadserver 192.168.69.100 vmps_config.1
IP address of the server set to 192.168.69.100 VMPS configuration
filename set to vmps_config.1
•Abilitiamo il VMPS
Console> (enable) set vmps state enable
Vlan membership Policy Server enabled.
•Forziamo il download dal TFTP server precedentemente
indicato a seguito di cambiamenti sul database che vogliamo
implementare
Console> (enable) download vmps
Re-initialization of Vlan Membership Policy Server with the
downloaded configuration file is in progress.
6/14/1998,17:37:29:VMPS-2:PARSER: 82 lines parsed, Errors 0
17
Impostazioni sui client VMPS
•Impostiamo i VMPS server ai quali inviare le query
Console> (enable) set vmps server 192.168.10.140 primary
192.168.10.140 added to VMPS table as primary domain server.
Console> (enable) set vmps server 192.168.69.171
192.168.69.171 added to VMPS table as backup domain server.
•Impostiamo la modalita’ con cui le porte partecipano alla VLANs
Console> (enable) set port membership 3/1-3 dynamic
Ports 3/1-3 vlan assignment set to dynamic. Spantree port fast start
option enabled for ports 3/1-3.
Console> (enable) set port membership 3/1-3 static
Ports 3/1-3 vlan assignment set to static.
18
Configurazione delle VLANs ai LNF
Utenti interni
Attraverso il VMPS sono mappati su queste VLANs gli utenti i cui
MAC sono noti e quindi sono presenti nel VMPS database.
Servizi disponibili: DHCP solo per gli utenti con MAC noto.
Sicurezza: le VLANs sono protette attraverso filtri dal mondo Internet
e dalla VLAN 131 degli ospiti.
VC 32Mbps
Verso il GARR
Access Point
Ospiti
VLAN 131 o LANesterna mappata sulla network pubblica 192.84.131.X/24.
Su questa VLAN vengono proiettati gli utenti ospiti i cui MAC sono sconosciuti dal VMPS.
Inoltre sono collegati a questa VLAN tutti gli access point del wireless.
Servizi disponibili: DHCP aperto senza che sia conosciuto il MAC, libero accesso ad Internet.
Limiti: gli utenti su questa VLAN sono a tutti gli effetti utenti esterni e sono sottoposti
19
alle stesse politiche dei filtri (access-list) di un qualsiasi utente del mondo Internet.
Suddivisione utenti interni
VC 32Mbps
Verso il GARR
Vlan default
193.206.80.0/21 - LAN LNF
Vlan kloe
192.135.25.0/24 - LAN kloe1
192.135.26.0/24 - LAN kloe2
Print server
Vlan ac
Vlan Printers
Vlan HiddenPr
Vlan ospiti
192.84.129.0/24 - LAN
Amministrazione Centrale
192.168.132.0/24
LAN Stampanti LNF
192.168.128.0/24
LAN Stampanti nascoste LNF
(gestite dal calcolo)
Vlan dante
192.168.192.0/24
LAN Controllo Dafne
Vlan sunr1
192.168.193.0/24
LAN Controllo Dafne
192.84.131.0/24 - LAN Esterna LNF
Indirizzi
Pubblici
Indirizzi
Privati
20
VLAN configurate e gestite con il
VTP
swlnf1> (enable) show vlan
VLAN Name
Status
IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- -----------------------1
default
active
5
1/1
2/1-2
4/1-9,4/11-13,4/15-24
6/1-24
2
kloe
active
341
128 HiddenPrinters
active
343
4/10
129 ac
active
351
130 acprinter
active
352
131 LANesterna
active
342
4/14
132 Printers
active
344
160 PCMaster
active
345
161 LabMaster
active
347
176 Master
active
346
192 dante
active
348
193 sunr1
active
349
194 sunr2
active
350
21
File di configurazione residente sul
TFTP Server
!vmps domain <domain-name>
! The VMPS domain must be defined.
!vmps mode { open | secure }
! The default mode is open.
!vmps fallback <vlan-name>
!vmps no-domain-req { allow | deny }
!
! The default value is allow.
vmps domain lnf
vmps mode open
vmps fallback LANesterna
vmps no-domain-req deny
!
!
!MAC Addresses
!
vmps-mac-addrs
!
22
File di configurazione residente sul
TFTP Server
!
vmps-mac-addrs
!
! address <addr> vlan-name <vlan_name>
!
! Network DANTE
!
address 0800.20ae.149c vlan-name dante
address 0080.420b.b056 vlan-name dante
!
! SUNray Dafne 192.168.193.x
!
address 0800.20bd.4c6c vlan-name sunr1
address 0800.20b9.0598 vlan-name sunr1
!
! SUNray Dafne 192.168.194.x
!
address 0800.20bc.daee vlan-name sunr2
address 0800.20f8.8c6c vlan-name sunr2
!
! Lista PC e MAC dell' amministrazione centrale
!
address 0050.e46e.c301 vlan-name ac
23
File di configurazione residente sul
TFTP Server
!Port Groups
!
!vmps-port-group <group-name>
! device <device-id> { port <port-name> | all-ports }
!
vmps-port-group dinamico
device 172.16.36.1 all-ports
device 172.16.36.101 all-ports
!
!VLAN groups
!
!vmps-vlan-group <group-name>
! vlan-name <vlan-name>
vmps-vlan-group Laboratori
vlan-name default
vlan-name dante
vlan-name sunr1
vlan-name sunr2
!
!VLAN port Policies
!
!vmps-port-policies {vlan-name <vlan_name> | vlan-group <group-name> }
! { port-group <group-name> | device <device-id> port <port-name> }
!
24
vmps-port-policies vlan-group Laboratori
port-group dinamico
Gestione degli utenti sul Primary
VMPS Server
swlnf1> (enable) show vmps mac
00-00-39-db-60-eb default
172.16.36.101
4/26
367,08:16:27
Success
08-00-20-b0-fc-5d
08-00-20-c3-fe-a4
08-00-20-fd-99-04
08-00-20-f8-8c-6c
00-c0-85-2a-ef-bb
00-c0-85-2b-9f-da
00-80-ad-07-77-1e
00-01-02-f5-ca-ec
00-01-02-f5-ca-ef
172.16.9.1
172.16.9.1
0.0.0.0
172.16.9.1
172.16.36.2
172.16.36.201
0.0.0.0
172.16.36.101
172.16.36.201
6/34
6/1
367,08:13:27
367,09:13:28
0,00:00:00
367,09:13:28
367,08:21:23
367,10:17:03
0,00:00:00
367,10:16:27
367,08:17:00
Success
Success
Success
Success
Success
Success
Success
Success
Success
sunr1
dante
sunr2
sunr2
HiddenPri
HiddenPri
ac
default
default
6/35
6/42
6/31
4/15
4/28
25
Vantaggi
• Minimizzazione del carico amministrativo
per il network manager o per l’utente:
– Garanzia di mobilita’ per gli host interni
– Possibilita’ di connessione degli utenti
occasionali
• Sicurezza:
– Controllo su base MAC degli host
– Abilitazione sicura di prese non presidiate
26
Svantaggi
• VMPS proprietario CISCO
• Supportato sugli switch layer 2
– Catalyst 2900, 3500, 4000, 5000 e 6000 families
• Supportato sugli switch layer 2 / 3
– Nelle soluzioni ibride CATOS e IOS
• Startup difficoltoso per il censimento dei
MAC Address
27
Evoluzione
• IEEE 802.1x autenticazione su base porta
attraverso Server RADIUS
– Assegnazione di VLAN in funzione della
username
• Client nativo solo su Microsoft XP
28
Domande?
[email protected]
29
Scarica

VMPS - VLAN dinamiche - Laboratori Nazionali di Frascati