vlan - tti.unipa.it _reti_l.s/vlan.pdf · router consente il routing inter-vlan ricordiamo che i...

VLAN 1

Universitàdi Palermo LA

VLAN

VLAN

VLAN 2


Switches

Funzionamento degli switch di layer 2Ricordiamo che le reti Ethernet con media condiviso che usano gli hub,molti host sono connessi ad un singolo dominio broadcast e di collisione

Le reti Ethernet con media condiviso operano nel livello 1 di OSI

Le reti switched operano ad un livello 2, 3 o 4

A livello base uno switch opera a livello 2 e opera l’instradamentobasandosi sui MAC address

Lo switch inizialmente non conosce dove instradare un pacchettocon un dato Destination MAC address

VLAN 3


Switches (2)

Lo switch man mano che riceve dei pacchetti costruisce una tabella adue colonne in ogni riga della quale vi è il Source MAC address e la

porta attraverso cui è stato ricevuto

Quando deve trasmettere un pacchetto verso un dato MAC addresslo switch ricerca il MAC address nella tabella e, se lo trova, pone in

uscita il pacchetto sulla porta corrispondente a quel MAC address

Se nella MAC Address Table non è presente quell’address loswitch pone il pacchetto in uscita su tutte le porte (flooding)


VLAN

Virtual Local Access NetworkUn gruppo di host accomunati da un qualche requirement che

comunicano come se fossero connessi sullo stesso segmento

di network anche se non lo sono

LE VLAN si comportano come reti fisiche anche se non lo sono

La gestione di queste network virtuali viene fatta via software

Le VLAN operano a livello 2, mentre le subnet IP operano a livello 3

In una LAN che utilizza le VLAN esiste spesso una corrispondenza

biunivoca tra VLAN e subnet IP

Si tratta di LAN di tipo switched

VLAN 5


VLAN sketch

Piano 3

Piano 2

Piano 1

RepartoAmmin.

RepartoTecnico

RepartoCommerc.

VLAN 6


Tipi di VLAN

4 tipi di VLAN

� Port-Based VLAN: Ogni porta di switch è configurata con una access list

che specifica l’appartenenza ad un insieme di VLAN

� MAC-based VLAN: Uno switch è configurato con una access list

che accoppia i MAC address con a la VLAN

� Protocol-based VLAN: Uno switch è configurato con una lista che unisce

i protocolli di layer 3 all’appartenenza ad una VLAN

� ATM VLAN – fanno uso del protocollo LAN Emulation (LANE) per mappare

i pacchetti Ethernet in celle ATM e consegnarli alla loro destinazione

convertendo MAC address Ethernet in un ATM address

VLAN 7


Standard VLAN

In pratica con una VLAN si possono mettere in contatto tra loro – come se

fossero sulla stessa LAN – degli host che si trovano su LAN differenti

Le VLAN non furono previste nel protocollo IEEE 802 originario

Esse sono state introdotte successivamente con lo standard 801.Q

Non tutte le LAN fanno uso delle tag VLAN e quindi, oltre al valore

delle tag si è dovuto definire come specificare l’esistenza delle VLAN

Per quel che riguarda la VLAN Ethernet si fa riferimento a IEEE 802.3ac

che definisce l’estensione del formato del frame necessaria

per supportare le etichette (tag) VLAN sulle LAN Ethernet

VLAN 8


IEEE 802.1Q

Meccanismo standard per consentire l’esistenza di più reti bridged checondividono in modo trasparente gli stessi link fisici senza che vi siatra esse scambio di informazione

Lo standard 802.1Q definisce con precisione il concetto di Virtual Lano VLAN come LAN switched e quindi basate su un bridging al layer MAC,suddivise logicamente in rapporto alla funzione, team o applicazionesenza riguardo alla locazione fisica

Sempre lo standard 802.1Q definisce il rapporto tra VLAN elo spanning-tree protocol IEEE 802.1D

VLAN 9


Field Ether/Type

Il formato del frame Ethernet come definito nella IEEE 802.3 è:

8 byte 6 byte 6 byte 2 byte 46 – 1550 byte 4 byte

SFD DestMAC addr

SourceMAC addr

TypeLength Payload FCSPreamble

1 byte

Per il field Type/Length vale la convenzione che i valori tra 0 e 1500indicano l’uso del formato Ethernet 802.3 originale con un campo Lengthmentre i valori ≥ 1536 (H0600) indicano l’uso del formato DIX con uncampo Type che è un identificatore dell’Upper Layer Protocol

H0800 IPv4

H86DD IPv6

H0806 ARP. . . . . . . . . . .

VLAN 10


Field Ether/type

Lo standard IEEE 802.3ac ha introdotto per consentire la presenza del Q tagun nuovo field di 2 + 2 byte che precede il field Type/Length

PRE SFD DA SA Type/Length Data PAD FCS

802.1QTPID

Tag ControlInformation

VLAN field

802.1Q Tag Protocol ID (TPID) è H8100. Quando un frame che contiene questo

valore dichiara di contenere un tag IEEE 802.1Q/802.1P. Questo valore non può

essere confuso con quello di un field Length/Type

UserPriority CFI VLAN ID

3 bit 1 bit 12 bit

Tag ControlInformation

VLAN 11


IEEE 802.3ac

Tag Control Information contiene 3 sub-field:

VLAN tagging porta la lunghezza massima del frame Ethernet da 1518 a 1522 byte

� VLAN ID di 12 bit che permette l’identificazione

di 2^12 = 4096 VLAN

� User Priority di 3 bit presenta il livello di priorità per il frame(uso definito in IEEE 802.1P)

� CFI (Canonical Format Indicator) di 1 bit per indicare

la presenza di un Routing Information Field

Il VLAN ID 0 è usato per indicare i priority frames e il valore 4095 (FFF)

è riservato, rimangono quindi 4,094 possibili identificatori

CFI è sempre posto a 0 dagli gli switch Ethernet,

esiste per compatibilità tra Ethernet e Token Ring

VLAN 12


IEEE 802.3ac

L’elemento MAC che riceve il frame legge il valore del reserved type, che si trova

nella posizione in cui normalmente è il field Length/Type, e tratta il frame

ricevuto come un frame VLAN

� Se l’elemento MAC è installato nella porta di uno switch, il frame è inoltrato

secondo la sua priorità a tutte le porte che sono associate con il VLAN ID

Successivamente

� Se l’elemento MAC è installato in una end station, il VLAN header viene

rimosso e il frame è trattato nel modo normale

Il VLAN tagging richiede che tutti i nodi coinvolti in un gruppo VLAN

supportino l’option VLAN

Una end station normalmente ignora di far parte di una VLAN e quindi

il VLAN header viene inserito dallo porta dello switch cui essa è connessa

VLAN 13


Utilità

Un esempio dell’utilità delle VLAN è quello di una istituzione che desidera fornire

una rete logica separata a ciascun dipartimento usando un’unica rete di società

A ciascun dipartimento, anche con sedi geograficamente distanti,

viene assegnata una VLAN unica

Si configurano gli edge switch della rete per inserire un opportuno tag di

VLAN in tutti i frame dati in arrivo da dispositivi in un dato dipartimento

Dopo che i frame sono routed attraverso la rete, la tag di VLAN è

è eliminata prima che il frame sia inviato ad un dispositivo di

dipartimento che si trova possibilmente in un’altra località

I router possono essere configurati per instradare nel modo voluto i frame

delle varie VLAN (che sono assegnate a subnet differenti)

In questo modo un dipartimento non può essere infiltrato e/o spiato da un altro

VLAN 14


Rete di campus

Dep. 1

Dep. 1

Dep. 2

Dep. 2Dep. 3

Dep. 4

INTERNET

VLAN 15


Double tagging

Frequentemente il traffico tra differenti VLAN viene instradato su retidi Internet Service Provider che a loro volta usano delle proprie VLAN

La tag outer viene per prima seguita dalla inner tag

La outer tag, dovendo essere distinta dalla inner tag, deve esseredifferente e la norma specifica per questo caso il valore 88a8

In questi casi è necessario aggiungere alla tag originaria (inner tag)un’altra tag esterna (outer) fornita dall’Internet Service Provider

Spesso gli ISP usano valori diversi dallo standard

VLAN 16


Trunking

Nelle reti switched i link che connettono un device a unoswitch trasportano il traffico di una VLAN, ma gli switchdevono essere connessi tra loro con dei link che trasportano

il traffico appartenente a più VLAN differenti

Le trunk lines, trasportando su un singolo link il traffico di piùVLAN permettono di estendere le VLAN sull’intera rete

Una possibile suddivisione delle linee di telecomunicazioni è quella inaccess lines e trunk lines Le prime sono delle risorse indivise usateper il traffico di un utente (linee di utente) mentre le seconde sono dellerisorse condivise usate per il traffico fra gli autocommutatori

Questi sono link di trunking o trunk lines o trunk

VLAN 17


Trunking (2)

Con le VLAN il traffico broadcast o multicast si sviluppa soltantonella VLAN pertinente, diminuendo quindi il traffico complessivo

Un fattore molto importante è costituito dalla estensionedella rete che viene suddivisa in VLAN

Se questa rete è tale che tutti i device sono connessi ad un unicoswitch la gestione delle VLAN è problema interno allo switch

Differente la situazione se la rete fa capo a più di uno switch in cui(è la situazione più frequente) su ogni switch operano le diverse VLAN

In questo caso vi saranno dei link tra gli switch e tra questi e i routersu cui vi sarà il traffico di più VLAN ossia saranno delle trunk lines

VLAN 18


Trunking (3)

Perché il meccanismo di trunking possa funzionare serve un protocollo

Per consentire la presenza di pacchetti di più VLAN su un linkè necessario poter distinguere i pacchetti delle diverse VLAN

La procedura più comune è quella che permette di distinguere i framein base al tag IEEE 802.1Q che è un’etichetta per le varie VLAN

Esistono anche altri meccanismi come Inter Switch Link (ISL) che èun protocollo proprietario della Cisco e LANE usato nei sistemi ATM

In ambienti multivendor si usa sempre lo standard 802.1Q

VLAN 19


Trunking (4)

In pratica quindi il trunking viene effettuato tramite una sortadi incapsulamento (tipicamente IEEE 802.1Q)

In altre parole una trunk line che connette uno switch ad unrouter consente il routing inter-VLAN

Ricordiamo che i frame appartenenti ad una VLAN si propaganonell’ambito di quella VLAN

Quindi host appartenenti a VLAN differenti possono comunicaretra loro soltanto attraverso un router

Le interfacce consentono diversi modi di trunking dipendenti dal tipodi interfaccia (Ethernet, Token ring, etc) e dall’O.S. dello switch

VLAN 20


Trunking (5)

Tratteremo soltanto delle VLAN Ethernet

Le interfacce Ethernet sopportano diversi trunking mode

In ogni modo un’interfaccia è ad un’estremità di un link punto-puntoe deve operare in modo compatibile con quello dell’altra estremità,risultato raggiungibile configurando manualmente nello stesso modo

le due estremità o con una negoziazione tre le due estremità

Il Dynamic Trunking Protocol (DTP) è un protocollo proprietariosviluppato da Cisco per la negoziazione del trunking su un link

tra due switch facenti parte di una VLAN e per la negoziazionedel tipo di trunking encapsulation da usare

Attenzione: Non tutti i dispositivi supportano il DTP

VLAN 21


Trunk mode

La porta di uno switch può essere impostata in 6 modi

Dynamic auto – La porta può accettare di entrare in modo trunk e lo fa sel’altra estremità è in modo trunk o dynamic desirable (default)

Trunk – La porta è in modo trunking permanente

Access - La porta è in modo non-trunking permanente

Dynamic desirable – La porta tenta attivamente di entrare in modo trunk elo fa se l’altra estremità è in modo trunk, dynamic autoo dynamic desirable

Nonegotiate - La porta non tenta in alcun modo di negoziare

Dot1q-tunnel – La porta è configurata in modo tunnel verso un’altraporta 802.1Q

VLAN 22


Encapsulation

Dopo che una porta è stata posta in modo trunk bisognaspecificare quale tipo di incapsulamento si vuole

Encapsulation dot1q – Incapsulamento 802.1Q

Encapsulation isl – Incapsulamento ISL

Encapsulation negotiate – Incapsulamento da negoziarecon l’altra estremità

VLAN 23


Native VLAN

La native VLAN è automaticamente presente

I frame che appartengono alla native VLAN non vengonomodificati allorché trasmessi su un trunk

In sostanza ai frame della native VLAN, con l’incapsulamento802.1Q, non vengono aggiunti i 4 byte che definiscono la VLAN

Ovviamente può esistere una sola native VLAN

Lo standard IEEE 802.1Q introduce il concetto di native VLAN

Qualsiasi porta 802.1Q può avere solo una native VLAN, ma ogniporta su di un dispositivo può avere una diversa native VLAN

VLAN 24


VTP

Il VTP (VLAN Trunking Protocol) è un protocollo di Layer 2 per loscambio di messaggi che mantiene la consistenza della configurazionedelle VLAN gestendo l’aggiunta, eliminazione e ridenominazione

delle VLAN su tutta la rete

La configurazione e amministrazione delle VLAN su una rete può essereeffettuata agendo manualmente su ogni singolo dispositivo o

in modo centralizzato tramite un server e un protocollo opportuno

VTP è un protocollo proprietario Cisco

La procedura manuale può essere effettuata solo su piccole reti,diversamente risulta faticosa e provoca facilmente inconsistenze

VLAN 25


VTP (2)

Tre modi di funzionamento dei vari dispositivi: � Server

� Client

� Transparent

In server mode (default) sono ammesse tutte le variazioni locali equeste variazioni sono propagate sulla rete

In client mode non è possibile effettuare manualmente sul singolodispositivo alcuna variazione mentre le si può tramite un server

In transparent mode la configurazione delle VLAN può esserevariata localmente ma l’informazione non è propagata sulla rete,inoltre il dispositivo si lascia attraversare dai messaggi di update

VLAN 26


VTP (3)

I server VTP pubblicizzano a tutti gli switch abilitati a VTPesistenti nel domain VTP le informazioni circa le VLAN

Le informazioni circa la configurazione delle VLAN èconservata dai server VTP in una memoria non volatile

I client VTP conservano le informazioni circa la configurazionedelle VLAN nella loro RAM

VLAN 27


VTP (4)

In una rete con molti dispositivi se ne configurerà uno (o anche due)come server e tutti gli altri come client

Tutte le variazioni verranno effettuate sul server che lecomunicherà a tutti i client

Prima che il sistema possa funzionare è necessario definireun domain VTP

Il server VTP trasmette ogni 5 minuti o ogni volta che si effettua uncambiamento nel database delle VLAN un advertisement

VLAN 28


VTP (5)

Un Domain VTP è formato da un insieme di switch interconnessi

Tutti gli switches in un domain VTP condividono i parametri delleVLAN che vengono comunicati usando advertisement VTP

Il confine di un domain VTP è costituito da un routero da uno switch di livello 3

R-1

Domain A Domain B

VLAN 29


VTP (6)

Il messaggio di advertisement contiene:

� Il domain name VTP

� Il configuration revision number

� Update identity and update timestamp

� Digest MD5

� Formato del frame

Informazioniglobali

� VLAN ID

� VLAN name

� VLAN type

� VLAN state

� Informazioni specifiche per la VLAN

Informazionispecificheper ogni VLAN

VLAN 30


VTP pruning

Esistono diverse VLANma soltanto la porta xdi S1 e la porta y di S7sono assegnate allaVLAN auditing

S1

S7

S2 S3

S4

S5

S6S8

p. y

p. x

L’host connesso a S1invia un broadcast

Si verifica unaquantità ditraffico inutileche intasa la rete

VLAN 31


VTP pruning

S1

S7

S2 S3

S4

S5

S6S8

p. y

p. x

Il pruning blocca il trafficoflooded non necessario versole VLAN sulle porte di trunkche sono incluse nellapruning-eligible list

Il pruning aumenta labanda disponibile nellarete limitando il trafficoflooded a quei trunklink che si devonousare perraggiungere idispositivi didestinazione

VLAN 32


VTP pruning

Il VTP pruning non funziona in VTP transparent mode

Le VLAN vengono dichiarate pruning-eligible oppure no e soloquelle dichiarate pruning-eligible sono trattate

Il pruning viene attivato tramite VTP quindi si parla di VTP pruning

Il VTP pruning si applica alle porte di trunk

VLAN 33


Port mirroring

L’avvento delle reti switched ha comportato un notevole aumentodelle difficoltà di monitorare il traffico

Nelle reti basate su hub o su bus basta porre uno snifferin ascolto sulla rete ed questo intercetta tutto il traffico

In una rete switched su un link scorre solo il traffico diretto aquella porta mentre è disabilitato ogni traffico bidirezionale

La soluzione normale è quella di duplicare il traffico in/outdi una porta su un’altra porta (mirroring)

La porta su cui viene mirrored il traffico deve essere liberae non ha traffico suo proprio

VLAN 34


IP & MAC filtering

Negli switch è possibile attivare diversi sistema di sicurezza

Possibile basarsi sugli IP address definendo una apposita ACL

La ACL può essere statica o definita dinamicamente tramite DHCP

Possibile pure effettuare il filtraggio basandosi sui MAC address

Queste procedure di sicurezza sono in pratica molto deboliperché un host può facilmente cambiare il suo IP address

come pure il suo MAC address

VLAN 35


Spanning tree

Negli switch, al fine di evitare la formazione di loop, è necessariodefinire uno spanning-tree e quindi serve un protocollo apposito

Normalmente si fa uso di STP (Spanning-Tree Protocol) che è unprotocollo definito nello standard IEEE 802.1D

STP, oltre a prevenire la formazione di loop,fornisce la path redundancy

Lo Spanning Tree Protocol è un protocollo di livello 2 OSI

STP crea uno spanning tree all’interno di una rete magliata formatada switch di livello 2, disabilitando i link che non fanno parte dell’albero

e lasciando un unico path attivo tra qualsiasi due nodi della rete

VLAN 36


Logica di STP

8

12

19 47

16

36

23

VLAN 37


Funzioni di STP

Elezione di un root bridge

Ciascun bridge ha un suo MAC address

Ciascun bridge ha un suo priority number (configurabile da admin)

Il cosiddetto bridge ID (BID) è formato priority number e MAC address

Definizione dei path

BID

2B 6B

Bridgepriority

MACaddress

Determinazione dei ruoli delle porte

Perché STP possa svolgere le sue funzioni serve lo scambio di informazioni

VLAN 38


Funzioni di STP (2)

Ciò viene fatto tramite lo scambio di opportune PDU:le Bridge Protocol Data Unit (BPDU)

Con le BPDU i bridge si scambiano informazioni circa iBID e i costi dei diversi path

Le BPDU sono scambiate di default ogni 2 secondi

I bridge trasmettono i frame BPDU usando come source addressil MAC address della porta e come destination address un

multicast address specifico di STP e cioè 01:80:C2:00:00:00

VLAN 39


BPDU

Le parti di una BPDU sono:

Root BID

Path cost to root bridge

Sender BID

Port ID

VLAN 40


Elezione root

Ogni porta di uno switch ha un suoID lungo 16 bit con due parti:6 bit priority e 10 bit port number

Inizialmente ciascuno switch considera se stesso come il root bridge

Quando uno switch viene connesso alla rete trasmette una BPDUcon il suo BID come root BID

Quando l’altro switch riceve la BPDU, confronta la BID che ricevecon la sua (che aveva conservata considerandola come root BID)

Se la nuova root BID ha un valore più basso, sostituisce quella conservata

Come root bridge viene scelto quello con il più basso BID

Il confronto viene effettuato prima sui priority number e dopo sui MAC address

Volendo forzare la scelta di un bridge gli si darà un’alta priority

vlan - tti.unipa.it _reti_l.s/vlan.pdf · router consente il routing inter-vlan ricordiamo che i...

Documents