Cursul 5

5
VLAN
30-31 octombrie 2012

Obiective

Rolul VLAN-urilor n reele Stabilirea conectivitii ntre VLAN-uri STP

Cursul 5

VLAN
Probleme n LAN-uri Ce este un VLAN Trunking Comutarea n VLAN-uri Exemple

Probleme n LAN-uri
Securitate
Broadcast-urile ajung la toate dispozitivele din reea i pot conine date confideniale Un host poate ncerca s acceseze orice alt host din reeaua sa Soluie: blocarea accesului direct ntre dispozitive din departamente diferite

Securitate

Probleme n LAN-uri
Eficien
ntr-o reea cu multe switch-uri, impactul unui broadcast poate fi foarte costisitor Soluie: limitarea domeniilor de broadcast

Securitate Eficien

Probleme n LAN-uri
Administrare
ntr-o reea pot exista politici diferite (de securitate, de adresare, de control al calitii) pentru departamente cu scop diferit, dar locaie comun Soluie: aplicarea unor politici per departament i nu per switch

Securitate Eficien Administrare

Probleme n LAN-uri
Calitate (QoS)
Unele dispozitive (IP phones, Videoconferencing) necesit politici speciale pentru asigurarea calitii Soluie: separarea traficului pe o reea dedicat, cu o politic proprie

Securitate Eficien Administrare Calitate

Probleme n LAN-uri
Cost
Echipamentele folosite trebuie s asigure cerinele fr s necesite investiii mult prea mari Soluie: gsirea unei metode software pentru a rezolva toate cerinele, folosind echipamentele existente

Securitate Eficien Administrare Calitate Cost

Soluia

Securitate

Pentru unele lucruri exist

Eficien Administrare Calitate Cost

pentru acestea exist VLAN-uri

De ce nu un ruter?

Uneori dispozitive de la departamente diferite pot fi situate n aceeai locaie fizic Ruterele sunt mai scumpe Ruterele fac operaii mai costisitoare deci impun o laten mai mare Segmenteaz domeniile de broadcast i vrem ca staiile unui departament s fie n acelai domeniu

10

Ce este un VLAN?
Virtual LAN Reprezint un domeniu de broadcast compus doar din anumite porturi ale unor switch-uri Un VLAN este definit prin porturile ce i aparin

Fa0/1 Fa0/2 Fa0/3 Fa0/4

Fa0/1 Fa0/2 Fa0/3 Fa0/4

11

Ce este un VLAN?
Dispozitive din dou VLAN-uri diferite nu pot comunica ntre ele n absena unui dispozitiv de nivel 3 care s fac rutarea Un broadcast se va propaga doar n VLAN-ul respectiv:

Broadcast
Fa0/1 Fa0/2 Fa0/3 Fa0/4 Fa0/1 Fa0/2 Fa0/3 Fa0/4

Broadcast

Broadcast

12

Ce este un VLAN?
VLAN-urile sunt identificate prin numere numite VLAN ID Un VLAN ID este reprezentat pe 12 bii (1 4096) Intern, fiecare switch asociaz unui port un VLAN ID Pe switch-urile Cisco, toate porturile aparin iniial VLAN-ului 1 Un port ce aparine unui singur VLAN poart numele de Access Port Pentru staiile conectate la un Access Port, faptul c aparin unui VLAN este transparent

13

Configurarea VLAN-urilor

Un VLAN trebuie creat pe un switch nainte s i fie asociate porturi Pentru a comuta trafic aparinnd VLAN-ului <X> un switch trebuie s aib configurat VLAN-ul <X>

14

Trunking
Ce se ntmpl cnd dou switch-uri trebuie s transporte date aparinnd mai multor VLAN-uri ntre ele?

VLAN 10 VLAN 20 VLAN 30

Prea multe porturi folosite pentru a transporta toate VLAN-urile Soluia: trunking

15

Trunking
Porturile nu pot funciona doar ca Access Ports, ci i ca Trunk Ports Acestea au proprietatea c pot trimite trafic aparinnd mai multor VLAN-uri pe acelai port O linie trunk trebuie s aib la ambele capete port-uri configurate ca Trunk Ports
n loc de 3 port-uri, este folosit doar unul VLAN 10 VLAN 20 VLAN 30 Trunk

16

Trunking
Setul de VLAN-uri ce pot fi trimise pe o linie trunk este configurabil i trebuie stabilit de administrator Implicit, setul va include toate VLAN-urile Problem: dac switch-ul 1 trimite un cadru aparinnd VLAN-ului 10, cum i d seama switch-ul 2 n ce VLAN s-l plaseze?

VLAN 10 VLAN 20 VLAN 30 Trunk

17

Formatul 802.1q
Soluia: 802.1q Recapitulare formatul Ethernet:
Adres Destinaie Adres Surs Lungime/ Tip Date FCS

Pentru a reine informaia de VLAN, se introduce un cmp nou format din 4 octei: 802.1q tag
Adres Destinaie Adres Surs 802.1Q Tag Lungime/ Tip Date FCS

Noul format al cadrului poart numele de formatul 802.1q i e folosit pe legturile trunk

18

VLAN nativ
O legtur trunk are un VLAN special numit VLAN nativ Cadrele aparinnd VLAN-ului nativ circul pe trunk n format Ethernet standard (nu 802.1q) Porturile de la captul legturii trebuie s aib configurat acelai VLAN nativ

Nativ: 30

VLAN 10 VLAN 20 VLAN 30 Trunk

19

Topologia exemplu

A
SW1

B
VLAN 10 VLAN 20 VLAN 30 Trunk

Nativ: 10
SW0 SW2

20

Exerciiul 1: Broadcast A
A
SW1

B
VLAN 10 VLAN 20 VLAN 30 Trunk

Nativ: 10
SW0 SW2

A trimite un broadcast; la ce staii va ajunge respectivul broadcast?

R: B

Pe ce cale ajunge la fiecare destinaie?

R: A SW1 SW0 SW2 B
21

Exerciiul 1: Broadcast A
A
SW1

B
VLAN 10 VLAN 20 VLAN 30 Trunk

Nativ: 10
SW0 SW2

Ce format va avea broadcastul anterior pe legtura SW0 SW1?

R: Ethernet

Ce format va avea broadcastul anterior pe legtura SW0 SW2?

R: Ethernet
22

Exerciiul 2: Unicast E C
A
SW1

B
VLAN 10 VLAN 20 VLAN 30 Trunk

Nativ: 10
SW0 SW2

Staia E trimite un unicast ctre staia C; toate switch-urile au tabela CAM vid; la ce dispozitive de reea va ajunge unicast-ul?
R: SW0, SW1, SW2, C (switch-urile fac flood)

Ce format va avea cadrul pe legtura SW2 SW1?

R: Ethernet
23

Exerciiul 2: Unicast E C
A
SW1

B
VLAN 10 VLAN 20 VLAN 30 Trunk

Nativ: 10
SW0 SW2

Ce format va avea cadrul pe legtura SW0 SW2?

R: 802.1q (VLAN 20 este coninut n dot1q tag)

24

Cursul 5

Rutare inter-VLAN
Conectivitatea ntre VLAN-uri Ce este un ruter Soluia clasic Soluia router-on-a-stick

25

Necesitatea rutrii
A
SW1

B
VLAN 10 VLAN 20 VLAN 30 Trunk

Nativ: 10
SW0 SW2

A vrea s comunice cu E; cum ar putea trimite un cadru ctre E n topologia de mai sus?
R: nu se poate, este necesar un Ruter

26

Ruterul
Ruterul este un echipament ce funcioneaz la nivelul 3.Reea al stivei OSI Funcia lui este de a dirija trafic ntre domenii de broadcast distincte Ruterul i procesul de rutare vor fi discutate n detaliu n cursul 6

SW1

R1

SW1

27

Rutare Inter-VLAN

Putem folosi un ruter pentru a asigura conectivitatea ntre VLANuri diferite Traficul va intra n ruter pe un VLAN i va iei pe un altul Exist dou soluii:
Soluia clasic Soluia router-on-a-stick

28

Soluia clasic
A
SW1 Fa0/1 Fa0/2 R1 Fa0/3

B
VLAN 10 VLAN 20 VLAN 30 Trunk

Nativ: 10
SW0 SW2

Folosete multiple interfee pe ruter

fiecare interfa se va gsi ntr-un VLAN diferit

29

Soluia clasic: Exemplu

A
SW1 Fa0/1 Fa0/2 R1 Fa0/3

B
VLAN 10 VLAN 20 VLAN 30 Trunk

Nativ: 10
SW0 SW2

A i trimite un cadru lui E; switch-urile au tabele CAM complete

A SW1 Fa0/1 R1 Are loc procesul de rutare n R1: Fa0/1 R1 Fa0/2 R1 Fa0/2 R1 SW1 SW2 E
30

Soluia clasic
Avantaje:
Apartenena la VLAN-uri este transparent ruterului Folosete eficient capacitatea de transfer a mediului

Dezavantaje:
Interfeele pe rutere sunt puine i abordarea consum un numr mare de interfee Este necesar o cantitate mare de cabluri pentru a realiza legturile Nu scaleaz
31

Soluia Router-on-a-stick
A
SW1 Fa0/1 R1

B
VLAN 10 VLAN 20 VLAN 30 Trunk

Nativ: 10
SW0 SW2

Folosete o singur interfa fizic

Interfaa fizic este separat n mai multe interfee logice numite subinterfee

32

Soluia Router-on-a-stick: Subinterfee

O interfa fizic poate fi mprit n mai multe subinterfee Abordarea router-on-a-stick presupune crearea unei subinterfee pentru fiecare VLAN Fiecare subinterfa va avea adresa sa proprie de nivel 3 Subinterfeele sunt identificate prin id-ul de subinterfa (de exemplu Fa0/1 poate avea subinterfaa cu id-ul 42: Fa0/1.42

Aspect fizic

Fa0/1 R1

Aspect logic

Fa0/1 R1

Fa0/1.30 Fa0/1.20

Fa0/1.10

33

Soluia Router-on-a-stick: Subinterfee

Legtura dintre switch i ruter va fi configurat ca trunk Fiecare subinterfa trebuie informat c traficul va veni n format 802.1q i nu Ethernet Cnd se configureaz ncapsularea 802.1q se asociaz i VLAN-ul corespunztor subinterfeei

Fa0/1.30 802.1q; VLAN 30

Fa0/1 R1 Fa0/1.30 Fa0/1.20 Fa0/1.10

Fa0/1.10 802.1q, VLAN 10 Fa0/1.20 802.1q; VLAN 20

34

Soluia Router-on-a-stick: Exemplu

A
SW1 Fa0/1 R1

B
VLAN 10 VLAN 20 VLAN 30 Trunk

Nativ: 10
SW0 SW2

A i trimite un cadru lui E; switch-urile au tabele CAM complete

A SW1 Fa0/1 R1 R1 vede n tag-ul 802.1q c VLAN-ul e 10 i primete pe Fa0/1.10 Are loc procesul de rutare n R1: Fa0/1.10 Fa0/1.20 R1 trimite pe Fa0/1.20 cadrul n format 802.1q cu VLAN-ul 20 Fa0/1 R1 SW1 SW2 E
35

Soluia Router-on-a-stick
Avantaje:
Este utilizat o singur interfa a ruterului Este necesar un numr redus de legturi Scaleaz bine

Dezavantaje:
Limea de band a interfeei fizice este mprit ntre cele logice (poate aprea un bottleneck) Funcionalitatea nu este disponibil pe toate ruterele VLAN-urile nu mai sunt transparente ruterului
36

Cursul 5

STP
Redundana n reea STP Algoritmul STA Exemple Variante STP

Redundana n reele
SW3

SW1

SW2

Staia B

Staia A

Dac legtura dintre SW1 i SW2 cade, staiile nu mai pot comunica ntre ele Soluia este introducerea unei legturi alternative ca backup n cazul cderii legturii principale

38

Redundana n reele
SW3

SW1

SW2

Staia B

Staia A

Redundana se poate implementa la nivele diferite

La nivel de link (2 uplink-uri) La nivel de dispozitiv de nivel 2 (multiple ci prin bucle fizice nivel 2) La nivel de dispozitiv de nivel 3 (multiple gateway-uri HSRP, VRRP)

39

Probleme introduse de redundan - 1

SW3

SW1

SW2

Staia B

Staia A

Staia A trimite un broadcast

Cum va circula cadrul ntre switch-uri?

T Cadre 1
A SW1

Dac TTL iniial e 40, la ce pas va fi aruncat cadrul? 6

SW3 SW2 SW2 SW3 SW2 B

2
SW1 SW3 SW1 SW2

3
SW3 SW2 SW2 SW3 SW2 B

4
SW2 SW1 SW2 B SW3 SW1

5
SW1 SW3 SW1 SW2 SW1 A SW1 A

40

Probleme introduse de redundan - 2

SW3

SW1

SW2

Staia B

Staia A

Staia A trimite un broadcast

Va ajunge pachetul la destinaie?

R: Da, de o infinitate de ori.
T Cadre 1
A SW1

2
SW1 SW3 SW1 SW2

3
SW3 SW2 SW2 SW3 SW2 B

4
SW2 SW1 SW2 B SW3 SW1

5
SW1 SW3 SW1 SW2 SW1 A SW1 A

6
SW3 SW2 SW2 SW3 SW2 B

41

Probleme introduse de redundan - 3

SW3

SW1
Fa0/1

Fa0/3

SW2

Staia B

Fa0/2

Staia A

Staia A trimite un broadcast

Dup cteva secunde, pe ce port crede SW1 c este staia A?

R: Fa0/2 sau Fa0/3
T Cadre 1
A SW1

2
SW1 SW3 SW1 SW2

3
SW3 SW2 SW2 SW3 SW2 B

4
SW2 SW1 SW2 B SW3 SW1

5
SW1 SW3 SW1 SW2 SW1 A SW1 A

6
SW3 SW2 SW2 SW3 SW2 B

42

Motivaia pentru STP

Avem nevoie de redundan n reea
dar crem bucle (fizice i logice)

Un broadcast storm este cauzat de buclele logice (din cauza modului n care funcioneaz switching-ul ntr-o bucl fizic)
trebuie deci eliminate buclele logice

Ideea protocolului STP:

se accept existena unei bucle fizice (redundan) nchiderea temporar a unei bucle logice prin nchiderea la nivel logic a unui port din bucl deschiderea portului blocat n cazul n care un uplink cedeaz

43

STP
Spanning Tree Protocol Specificat n standardul 802.1d Opereaz pe o reea de switch-uri Elimin buclele din reea prin nchiderea unor porturi Algoritmul STP poart numele de STA (Spanning Tree Algorithm) Operaie similar cu determinarea arborelui de acoperire pe un graf

44

Rolurile switch-urilor
n terminologia STP, switch-ul poart numele de bridge Exist dou roluri pentru switch-uri:
Root bridge rdcina arborelui de switch-uri Non-root bridge toate celelalte switch-uri

45

Rolurile porturilor
Exist trei roluri pentru porturi:
Designated port trimite i primete trafic de date Root port trimite i primete trafic de date; reprezint calea cea mai eficient spre root bridge Blocked port nu trimite i nu primete trafic de date

Pe o legtur, exist urmtoarele dou perechi de roluri:

Designated Root:
Dac legtura face parte din arborele de acoperire

Designated Blocked:
Dac legtura nu face parte din arborele de acoperire

46

Costurile legturilor
Costul unei muchii din graful STA este dependent de limea de band a legturii respective:
Lime de band 10 Mbps 100 Mbps 1 Gbps 10 Gbps Cost 100 19 4 2

n cazul unor switch-uri cu legturi mult mai rapide, se pot folosi alte sisteme de costuri:
Lime de band 10 Mbps 100 Mbps 1 Gbps 10 Gbps Cost 2,000,000 200,000 20,000 2,000
47

Bridge ID
Fiecare switch are un ID unic (BID) Valoare pe 64 bii
16 bii prioritatea 48 bii adresa MAC

Prioritatea este implicit 32768 Switch-ul cu BID-ul cel mai mic va deveni root bridge

Bridge Priority = 2 bytes

MAC = 6 bytes

Bridge Priority
BID = 8 bytes

MAC address

48

BPDU
Mesajele folosite de STP pentru a comunica informaii ntre bridge-uri Transmise o dat la dou secunde pe toate porturile Informaii transmise:
root bridge ID cost pn la root bridge bridge ID port ID

Observaie: blocked ports nc primesc BPDU-uri

49

Paii STA
1. Alegerea root bridge

2. Alegerea unui root port pe fiecare bridge (cu excepia root bridge)

3. Alegerea designated ports

4. Alegerea i nchiderea blocked ports

50

Pasul 1 Alegerea Root Bridge

Bridge-urile trimit BPDU-uri pn cnd toate cunosc cel mai mic BID din reeaua de bridge-uri Bridge-ul cu ID-ul minim devine Root Bridge Cine ar deveni root bridge n fiecare din situaiile urmtoare?
Nume A B C D Prioritate 32768 32768 32768 32768 MAC 00E0.A3C9.6AB8 0001.97DA.86E8 00D0.BC0C.844D 0003.E496.C80E Nume A B C D E F Prioritate 16384 32768 8192 16384 8192 8192 MAC 00E0.A3C9.6AB8 0001.97DA.86E8 00D0.BC0C.844D 0003.E496.C80E 0060.2F07.EB2B 0060.7058.D0A5

R: B n prima situaie. E n a doua situaie.

51

Pasul 2: Root ports

Fiecare switch non-root trebuie s aib un root port
Root Bridge
A

Eth0/4 Fa0/3 Eth0/1

D

Fa0/2

Fa0/1
B

Fa0/1 Fa0/3 Fa0/2

C

Fa0/3 Fa0/4

Fa0/5

Fa0/5

Costul via Fa0/3: 38 Costul via Eth0/1: 100

Fa0/2 1Gbps (4) 100 Mbps (19) 10 Mbps (100)

E

Fa0/3 Root Port Designated Port

Costul via Fa0/2: 38 Costul via Fa0/3: 38 ???

Blocked Port
52

Pasul 2: Root ports - tiebreaker

Bridge-ul E va decide root port-ul pe baza BID-ul vecinului
Root Bridge
A

Eth0/4 Fa0/3 Eth0/1

D

Fa0/2

Prioritate: 32768 MAC: BBBB.BBBB.BBBB

Fa0/1
B

Fa0/1 Fa0/3 Fa0/2

C

Fa0/3 Fa0/4

Fa0/5

Fa0/5

Fa0/2 1Gbps (4) 100 Mbps (19) 10 Mbps (100)

E

Fa0/3

Prioritate: 32768 MAC: CCCC.CCCC.CCCC

Root Port Designated Port

Costul via Fa0/2: 38 Costul via Fa0/3: 38 BID B < BID C

Blocked Port
53

Pasul 3: Designated ports

Un root port este cuplat pe link cu un designated port
Root Bridge Root Bridge-ul are ntotdeauna numai designated ports
A

Eth0/4 Fa0/3 Eth0/1

D

Fa0/2

Fa0/1
B

Fa0/1 Fa0/3 Fa0/2

C

Fa0/3 Fa0/4

Fa0/5

Fa0/5

Fa0/2 1Gbps (4) 100 Mbps (19) 10 Mbps (100)

E

Fa0/3 Root Port Designated Port Blocked Port

54

Pasul 3: Designated ports

Pe fiecare legtur trebuie s existe un designated port
Root Bridge
A

Eth0/4 Fa0/3

A e root bridge deci portul lui va fi designated

Fa0/2

Eth0/1
D

Fa0/1
B

Fa0/1 Fa0/3 Fa0/2

C

Fa0/3 Fa0/4

Fa0/5

Fa0/5

Costul via B: 19 Costul via C: 19 ???

1Gbps (4) 100 Mbps (19) 10 Mbps (100)

Fa0/2
E

Fa0/3

C trece portul n designated, deoarece are costul mai mic ctre root bridge
Root Port Designated Port Blocked Port
55

Pasul 3: Designated ports - tiebreaker

Pe fiecare legtur trebuie s existe un designated port
Root Bridge
A

Eth0/4 Fa0/3 Eth0/1

D

Fa0/2

Prioritate: 32768 MAC: BBBB.BBBB.BBBB

Fa0/1
B

Fa0/1 Fa0/3 Fa0/2

C

Fa0/3 Fa0/4

Fa0/5

Fa0/5

B trece portul n designated deoarece are BID-ul mai mic pe link

1Gbps (4) 100 Mbps (19) 10 Mbps (100)

Fa0/2
E

Fa0/3

Prioritate: 32768 MAC: CCCC.CCCC.CCCC

Root Port Designated Port Blocked Port
56

Pasul 4: Blocked ports

Toate porturile rmase sunt blocked ports
Root Bridge
A

Eth0/4 Fa0/3 Eth0/1

D

Fa0/2

Fa0/1
B

Fa0/1 Fa0/3 Fa0/2

C

Fa0/3 Fa0/4

Fa0/5

Fa0/5

Fa0/2 1Gbps (4) 100 Mbps (19) 10 Mbps (100)

E

Fa0/3 Root Port Designated Port Blocked Port

57

Topologie logic final

Fa0/2

Fa0/3

Fa0/1
B

Fa0/1
C

Fa0/3 Fa0/4

Fa0/5

Fa0/2 1Gbps (4) 100 Mbps (19) 10 Mbps (100)

58 E

Un ultim tiebreaker
Poate aprea situaia n care costurile i BID-urile sunt egale:
Root Bridge

Fa0/7
A

Fa0/3
B

Root Port Designated Port Blocked Port

Fa0/4

Fa0/9

Pentru aceast situaie se definete conceptul de PID (Port ID), care este un numr format din:
prioritatea portului (configurat static de administrator) indexul portului (de exemplu 7 pentru Fa0/7)

Va fi folosit legtura care are PID-ul mai mic pe bridge-ul mai prioritar (root bridge, cost minim ctre root, BID mai mic) n cazul acesta, Fa0/9 devine root port deoarece Fa0/4 are un port id mai mic dect Fa0/7
59

Stri Porturi n STP

n decursul STA, un port face tranziia ntre mai multe stri:
Stare port Disabled Blocking Listening Learning Aciune la nivel de Switch Nu se accept nici un fel de trafic Se primesc doar BPDU-uri Se construiete topologia STP Se construiete tabela de adrese MAC Aciune la nivel de Port Nu se transmit cadre Nu se transmit BPDU-uri Nu se transmit cadre Se primesc BPDU-uri Nu se transmit cadre Se transmit BPDU-uri Nu se transmit cadre Se nva adrese MAC Se transmit BPDU-uri Se transmit cadre Se nva adrese MAC Se transmit BPDU-uri

Forwarding

Se transmite traficul normal

60

Timpi de tranziie
Timere de tranziie
stabilite de root bridge Hello time: 2 sec Forwarding delay: 15 sec Max Age: 20 sec

Blocking

Max Age (20 sec)

Listening

Forward Delay (15 sec)

Learning

Forward Delay (15 sec)

Forwarding

timp total de convergen: 50 sec

61

Exemplu
A B C

Fa0/5

Fa0/6

Gi0/2

Eth0/1

Fa0/6
D E

Fa0/5

Gi0/2
F

Eth0/1

Nume A B C D E F

Prioritate 16384 32768 8192 16384 8192 8192

MAC 00E0.A3C9.6AB8 0001.97DA.86E8 00D0.BC0C.844D 0003.E496.C80E 0060.7058.EB2B 0060.702E.D0A5

1Gbps (4) 100 Mbps (19) 10 Mbps (100) Root Port Designated Port Blocked Port
62

Exemplu
A B C

Fa0/5

Fa0/6

Gi0/2

Eth0/1

Fa0/6
D E

Fa0/5

Gi0/2
F

Eth0/1

Nume A B C D E F

Prioritate 16384 32768 8192 16384 8192 8192

MAC 00E0.A3C9.6AB8 0001.97DA.86E8 00D0.BC0C.844D 0003.E496.C80E 0060.7058.EB2B 0060.702E.D0A5

1Gbps (4) 100 Mbps (19) 10 Mbps (100)

Root Bridge

Root Port Designated Port Blocked Port

63

Variante STP

Deoarece calculele STP dureaz foarte mult, s-a introdus RSTP care are o vitez de calcul a arborelui mult mai bun Deoarece VLAN-urile separ domeniile de broadcast, dei exist bucle fizice pot s nu fie bucle logice Pentru a funciona n reele cu VLAN-uri, au fost introduse variante noi de STP:
PVST, RPVST (Cisco) MSTP (IEEE)

64

Cuvinte cheie
STA Rutare BPDU STP Subinterfa Bridge ID Port ID 802.1q VLAN VLAN ID VLAN nativ Router-ona-stick
65

Root port Blocked Port

Designated Port

Access port
Trunk port

The End

?
66