Přepínání Josef Horálek

Obsah Základní principy přepínaných sítí Redundance na druhé vrstvě STP protokoly VLAN

MAC adresa Je jedinečný identifikátor síťového zařízení Přiřazována síťové kartě NIC bezprostředně při její výrobě - celosvětově jedinečná Skládá se ze 48 bitů Podle standardu by se měla zapisovat jako tři skupiny čtyř hexadecimálních čísel (např. 0123.4567.89ab) Častěji jako šestice dvojciferných hexadecimálních čísel oddělených pomlčkami nebo dvojtečkami (např. 01-23-45-67- 89-AB nebo 01:23:45:67:89:AB)

Speciální MAC adresy Všesměrová (broadcast) - adresa označující všechna připojená zařízení - (ff:ff:ff:ff:ff:ff) Takto adresovaný paket bude přijat všemi zařízeními v dané lokální síti. Skupinová (multicast) - adresa označuje skupinu připojených zařízení Skupinové adresy mají v nejméně významném bitu prvního bajtu jedničku (01 při zápisu adresy). Lokálně spravovaná - adresa je přidělována správcem sítě Nastaven druhý nejméně významný bit prvního bajtu (02 v zápisu adresy)

Způsoby přeposílání paketů Store and forward Data jsou v průběhu cesty od odesílatele k příjemci uložena v kompletní formě na mezistanici – odeslána jsou k příjemci později Mezistanice nebo uzel ověřuje integritu dat před tím, než je odešle dál Cut-through switching Switch začne s odesíláním přijímaného ethernetového rámce ještě před tím, než ho přijme celý - nejmenší latence (zpoždění) Adaptive switching Efektivně optimalizuje výkon switche v závislosti na podmínkách (Store and forward vers. Cut-through switching) Cut-through switching - Metoda cut-thourgh začne s odesíláním ve chvíli, kdy je známa MAC adresa příjemce. Vzhledem k tomu, že adresa příjemce je v ethernetovém rámci hned na začátku, je zpoždění způsobené průchodem rámce skrze switch pouze 7+1+6 oktetů (preambule, SFD, MAC adresa příjemce). Cut-through znatelně snižuje latenci síťového pro mezi odesílatelem a příjemcem, avšak doručeny jsou i poškozené rámce. Data jsou switchem při metodě cut-through přijímána a odesílána jako kontinuální proud dat. Proto může být tato metoda použita jen tam, kde je rychlost výstupního rozhraní menší nebo rovna rychlosti vstupního rozhraní, protože by po chvíli nebyla k dispozici data pro odeslání. Problém latence se snižuje se zvyšující se rychlostí přenosových rychlostí.

Funkce přepínače na L2 Zjišťování adresy Využívají Backward Learning Algorithm pro zjištění zdrojové MAC adresy k každého rámce přijatého na rozhraní Vytváří databázi MAC – tabulka předávání a filtrování Rozhodování o předávání a filtrování Po přijetí rámce zjištěna cílová MAC adresa a vyhledáno výstupní rozhraní v databázi MAC Předcházení smyčkám Nasazení protokolu STP pro předcházení smyčkám

Funkce přepínače na L2 Zjišťování adresy

Funkce přepínače na L2 Zjišťování adresy

Funkce přepínače na L2 Předávání a filtrování

Funkce přepínače na L2 Vyrovnávání rámců

Funkce přepínače na L2 Předcházení smyčkám Možná nebezpečí Broadcast storm Zacyklení aktualizace tabulky MAC Vícenásobné smyčky Řešení Spanning Tree Protocol nebo technologie pro redunanci v sítích

Redundance Cílem redundantní topologie je eliminovat síťové výpadky způsobené výpadkem centrálních prvků sítě Potřebujeme redundanci v síti Existence záložních prvků a cest Všechny sítě potřebují redundanci pro zvýšení spolehlivosti a dostupnosti komunikační služby

Jednoduchá redundantní přepínaná topologie

Problémy s konektivitou 1. Router přijme více kopií toho samého rámce – plýtvání zdroji – musí je zpracovávat Příklad HostX ARP cache obsahuje RouterY mapování Přepínače mají mapovany RouterY MAC/port, HostX/port Když hostX pošle unicast rámec na RouterY, přijmou ho i přepínače Když switche vědí Y MAC adresu směrovače, přepnou rámec na směrovač.

Problémy s konektivitou 1. Přepínače se naučí nesprávné mapovaní (MAC addressinstability). Vznikne Bridging loop a zacyklevní rámců + router příjme více kopií rámce A Příklad Host X zná MAC adresu směrovače Y Přepínač nemají mapovaní Router Y MAC/port, HostX/port Když host X pošle unicast rámec na Router Y, přijmou ho i přepínače. Nevědí Y adresu, přepnou rámec na všechny výstupní porty A přijme rámec od B a B od A. Naučí se nové mapování a musí přepsat mapování sítě A posílá rámce na všechny výstupní porty, protože nezná mapovaní Y na port. B přijme rámec od A, A od B...opakování

Problémy –Broadcast storm Přidáním druhého přepínače vznikla v síti smyčka Velká část LAN ethernet komunikace je ovliněná Broadcastem, t.j. je určená veškerým uzlům v síti Přijatý Broadcast musí přepínač poslat na všechny výstupní porty To samé dělá i druhý přepínač Když rámce nemají TTL, vznikne ve smyčce nekonečné rozesílání Broadcast rámců Oba přepínače přepínají rámce donekonečna: BroadcastStorm prudce klesá propustnost blokuje se přenos jiných rámců

Spanning Tree Protocol (STP) Topologické L2 smyčky: Vznikají při přidávaní redundantních prvků do sítě Existuje více cest mezi uzly sítě (zdroj, přijímač) L2 zařízení je sám o sobě neumí řešit Mohou vést ke zhroucení sítě Problémy s konektivitou, broadcastové bouřky Bezpečné řešení vzniklých smyček je nasazení Spanning Tree Protocol(STP)

Spanning Tree Protocol (STP) Standardizovaný jako IEEE 802.1d Pracuje na L2 vrstvě Zabraňuje vzniku smyček v přepínaných sítích Detekuje redundantní linky a ty blokuje Do každého cíle jen jedna cesta Ochrana proti brodcast bouřkám a problémů s konektivitou Umožňuje přepínačům navzájem spolu komunikovat Posíláním BPDU rámců (každé2 sekundy) Používá Spanning Tree Algoritmus (STA) Ten volí v síti referenční bod, ROOT přepínač (RB) Ostatní přepínače si určují nejlepší cestu k RB Na základě ceny (rychlosti) linky tvořících cestu Když jsou dvě cesty, lepší je AKTÍVNÍ, horší BLOKOVANÁ

Pojmy z protokolu (STP) Kořenový most (root bridge) Most s nejlepší hodnotou ID Datová jednotka přemosťovacího protokolu (BPDU) Rámec s informacemi odesílaný sousedovi, s jednotkou přijatou od jiného souseda – porovnání parametrů ID mostu (bridge ID) Identifikace mostu v síti – kombinace priority mostu a základní MAC adresy – nejnižší IP →kořenový most Jiné než kořenové mosty Všechny mosty, které nejsou root brige Náklady na port Závisí na šířce pásma – určuje optimální trasu mezi přepínači

Pojmy z protokolu (STP) Kořenový port Označuje linky připojené k root bridge V případě více linek volen ten s nejnižšími náklady Více linek stejnou cenu -volíme ten s nějnižším zveřejněním ID mostu Určený port (designated port) Port s optimálními náklady Jiný než určený port Port předávání (forwarding port) Předává rámce Blokovaný port Nepředává rámce – nevznikají tak síťové smyčky

STP BPDU rámce Dva typy BPDU Po zapnutí přepínače ROOT ID = Bridge ID Bytes Field 2 Protocol ID 1 Version Message type Flags 8 Root ID 4 Cost of path Bridge ID Port ID Message age Max age Hello time Forward delay Dva typy BPDU configuration BPDU Topology change notification TCN BPDU Posílají se každé 2 sekundy Kdo je root bridge Jak daleko je root bridge Přes který port byl BPDU odeslán Po zapnutí přepínače ROOT ID = Bridge ID

STP BPDU umožňuje Přepínače za pomoci komunikce přes BPDU (BridgedProtocolDataUnit) 1.krok: Zvolí RootBridge(RB) Referenční bod stromu 2. krok: Zvolí ROOT ports 3. krok: Určují Designated Bridge pro každý segment 4. krok: Určují Designated porty pro každý segment Výsledkem je bez smyčková(LOOP FREE)topologie Dokáže aktivně přehodnocovat aktuální topologii reagovat na změny v síti Jedná topologie pro celou přepínanou síť, nebo pro všechny VLAN v ní Každý přepínač si pamatuje poslední nejlepší BID

STP Bridge Identity (BID) a Cost Každý přepínač Je identifikovaný BID(BridgeID) (8 Bytov) 2B: Priority Může nastavit administrátor Default: 32768 6B: MAC adresa MAC adresa přepínače Každý port přepínače: Má přidělený identifikátor(Port Identifier) Jedinečný v rámci přepínače Má přidělenou cenu (PathCost) Na základě rychlosti rozhraní Má přidělenou prioritu (Port Priority)

STP Bridge Identity (BID) a Cost Link speed Cost (Revised IEEE spec) Cost (Previous IEEE spec) 10 Gbps 2 1 1 Gbps 4 100 Mbps 19 10 10 Mbps 100

Stavy portů protokolu STP Blocking (Blokování) Nepředává rámce jen naslouchá Zabraňuje vzniku smyček Defaultní nastavení všech portů po zapnutí přepínače Listening (Naslouchání) Naslouchá datovým jednotkám, aby před předáním nevznikli smyčky Port připraven k předání datových rámců bez zaplnění MAC address table

Stavy portů protokolu STP Learning (Zjišťování) Naslouchá datovým jednotkám pro zjištění všech tras v přepínané síti Plní MAC address table Nepředává rámce Zpoždění = přechod od Listening do Learning Forwarding (Předávání) Odesílá a přijímá všechny datové rámce Disabled (Zakázáno) Administrativně zakázaný stav Neúčastní se předávání rámců Naúčastní se fungování STP

Role portů v STP topologii Popis Root Port Port na non-root přepínačích. Je to port na nejkratší cestě k RootBridge. Existuje pouze jeden RootPort pro přepínač. Designated Port Existuje jak na RB tak na non-RB. Je to port, který forwarduje data směrem k RB. Na RB všechny porty jsou Designated. Na non-RB jen jeden per segment, pokud víc přepínačů musí byť volba. Non Designated Port Port v stave BLOCKING, neforwarduje žádná uživ. data. Disable Port Port který je SHUT DOWN.

STP časovače Hello Time Popis Hello Time Čas mezi dvěma BPDU poslanými přes port. Default je 2 s. Možné hodnoty <1, 10> sek. Forward delay Čas strávený v Listening a Learning stavu. Definovaný je 15 sek. Možné hodnoty <4, 30> sek. Maximum age Čas, na který si přepínač per port ukládá nejlepší přijaté BPDU. Definované je 20 sek., možné hodnoty <6, 40> sek. Když do jeho uplynutí nepřijaté BPDU –iniciovaná nová volba RB.

Rozhodovací proces STP Při vytváření bezsmyčkové topologie STP vždy používá na rozhodnutí co je nejlepší pomocí pěti kroků rozhodovacího procesu: Step 1 -Lowest BID Step 2 -Lowest Path Cost to Root Bridge Step 3 -Lowest Sender BID Step 4 -Lowest Port Priority Step 5 -Lowest Port ID

Šíření informací o změnách v topologii při STP Most vytváří TCN BPDU ve dvou případech: Při přechodu portu do stavu Forwarding Při přechode portu ze stavu Forwarding nebo Learning do stavu Blocking

Šíření informací o změnách v topologii při STP Most vyšší příjme TCN BPDU přes svůj Designated Port

Šíření informací o změnách v topologii při STP Most vyšší nastaví Topology Change Acknowledgment Flag v následující konfigurační BPDU a pošle ho zpět Po přijetí TCA v TCN BPDU most přestane generovat TCN BPDU.

Šíření informací o změnách v topologii při STP Most vyšší přepošle TCN BPDU přes jeho Root Port bližší k RootBridge Kroky 2 a 4 se opakují dokud RootBridge nedostane TCN BPDU

Šíření informací o změnách v topologii při STP RootBridge zpětně potvrdí TCA v následujícím jeho BPDU nastaví TC Flag, rozpošle všem

Šíření informací o změnách v topologii při STP RootBridge posílá konfigurační BPDU s TC flagem Po dobu ForwardDelay + Max Age sekund Přijetí BPDU s nastaveným TC Instruuje všechny mosty, aby zkrátili jejich časy zdržení informace v Bridge table z přednastavené hodnoty 300 na aktuální Forward Delay hodnotu (15 sekund)

STP - konvergence Konvergence STP proces se spouští STP konvergence Když všechny přepínače mají porty buď ve forwarding nebo blocking stavech BPDU jsou neustále posílané STP proces se spouští Při změně topologie Přidání, odebraní přepínače v síti Ztráta konektivity s root bridge Časté přepočty STP můžou vést ke smyčkám STP konvergence Trvá od 30 do 50 sekund V některých případech těžko akceptovatelné

Konvergované STP Po přeběhnutí STP algoritmu Loop free topologie Jeden Root bridge per L2 net. Jeden root port per non-root bridge. Jeden designated port per segment. Každý non-designated port je nepoužívaný (blokovaný)

Rapid Spanning Tree (RSTP) Urychluje přepočítávání spanning-tree stromu při změnách topologie Evoluce STP 802.1d Dnes je zahrnutý do standardu IEEE 802.1D-2004 Zpětně kompatibilní s STP Konvergence od 1 do max. 15 sekund Preferovaná volba do full-duplex přepínaného prostředí Při half-duplex rychlost není výrazně lepší Nasazaní tam, kde STP konvergence je pomalá Nepoužívá STP časovače, je proaktivní Definovaný jako IEEE 802.1w

Odlišnosti STP od RSTP Mění definici stavů portů Mění definici rolí portů Zavádí Edge porty. Rychlý přechod do Forwarding Cisco PortFast vlastnost Mění definici linek BPDU verze 2 Proaktivní jednání Posílá každý přepínač, ne jen RB jako v STP

RSTP stavy portů Discarding(blockingv STP) Learning(ako v STP) STP Port State RSTP port State Is Port Included in Active Topology ? Is Port Learning MAC Addresses ? Disabled NO Blocking Listening YES Learning Forwarding Discarding(blockingv STP) Nepřeposílá datové rámce Learning(ako v STP) Buduje MAC tabulky přepínače, aby zbytečně nešířil neznámé unicastové rámce na všechny porty. Forwarding(ako v STP) Přeposílá datové rámce.

RSTP – změna definice rolí portů Role portu Popis Root port Port na každém nonroot přepínači, který je vybraný jako nejbližší cesta k RootBridge(RB). Na každém nonroot přepínači může byt jen jeden root port. Rootport je ve stavu Forwarding v ustálené aktivní topologii. Designated port Každý segment má aspoň jeden designated port. V ustálené aktivní topologii, přepínač s portem designated přijímá rámce na segmentech, které jsou určené pro RB. Designated port pracuje ve stavu Forwarding. Na non-RB jen jeden per segment, když víc přepínačů musí byt volba.

RSTP – změna definice rolí portů Role portu Popis Alternate port Port přepínače, který je alternativní cestou k RB. Alternate port je ve stavu discarding v ustálené aktivní topologii. Alternate port je přítomný na nondesignated přepínačích, dovoluje přechod na designated port když aktuální designated port selže. Backup port Port na designated přepínači s redundantní linkou do segmentu, kde je přepínač Designated. Backup port má vyšší port ID než designated port na designated přepínači. Backup port je ve stavu blocking v ustálené aktivní topologii.

RSTP – změna definice rolí portů Role portu Popis Edge port Port, na kterém se nepředpokládá připojení jiného přepínače (jen koncová stanice). Přechází okamžitě po aktivaci do Forward stavu. Odpovídá Port Fast. Změny na něm negenerují TopoChanges. Objevení PBDU –změna na běžný port.

RSTP typy linek Typ linky předurčuje aktivní úlohu v RSTP Edge port Nepředpokládá se že by mohl vytvořit smyčku Přechází přímo do Forward stavu Při příjmu BPDU se stává běžným STP portem

RSTP typy linek Non-Edge linky Point-to-point Shared Port Port pracuje v módu full-duplex. Předpokládá se, že tento port bude připojený na jiný přepínač. Může přecházet přímo do Forward Shared Port Pracuje v módu half-duplex. Předpokládá se, že tento port bude připojený na sdílené médium, na které může být připojených více přepínačů Musí přejít celým STP procesem

Šíření informací o změnách v topologii při RSTP TopoChange je přijatý jen při změně do FW stavu (není down) Přepínač sníží time pro MAC adresy na forward delay pro daný port, designated porty a root port Flushne MAC adresy pro daný port, designated porty a rootport Pošle outbound BPDU přes roota desiganed porty, kde nastavíTC flag2

Šíření informací o změnách v topologii při STP Přepínač který příjme TCN Sníží timer pro MAC adresy na forward delay pro designated porty a root port Flushne všechny MAC Nastaví timer na TC-while (2xHello)

Šíření informací o změnách v topologii při STP Pošle BPDU s nastaveným TC přes všechny výstupní porty

Link Aggregation přes EtherChannel Původně Cisco technologie Technologie umožňující logicky seskupovat fyzicky přepínané Poskytuje větší propustnost Vytváří logické porty vysokých rychlostí Switch-switch, switch-router, switch-server Můžeme sdružovat 2, 4 nebo 8 fyzických portů do jednoho logického Všechny fyzické rozhraní musí mít stejnou rychlost, duplex a VLAN info Snižuje zahlcení Poskytuje load-balance přes fyzické linky EtherChannelu Zjednodušuje konfiguraci Konfigurujeme logický port a ne jednotlivé fyzické Zvyšuje redundanci Když selže jedna fyzická linka, stále můžeme používat zbývající

Implementace agregace linky PaGP(Port AggregationProtocol) Cisco proprietární PAgP porty posílají každých 30s PAgP správy – a to jak PGaP identifikuje shodující se Eth. linky = vytvoří z linek EtherChannel EtherChannel je jeden port STP LACP (LinkAggregationProtocol) IEEE standard 802.3ad To samé co PAgP–Preferovaná volba do mixovaného prostředí různých výrobců

Základní přehled o VLAN sítích Virtuální Lokální Sítě umožňují segmentovat fyzickou část lokální sítě do logicky oddělených celků VLAN přináší výhody Úspora nákladů Zvýšení bezpečnosti Zjednodušení správy sítě Úspora prostředků/režiji sítě VLAN omezují broadcastové, tak jako směrovače Umožňují segmentovat sítě podle rolí v týmu, organizačích složek apod.

Rozdělení VLAN VLAN sítě je možné rozdělit do dvou základních kategorií Statické Nutnost manuálně konfigurovat členství ve VLAN Zpravidla jsou konfigurovány jako PORT MEBERSHIP Přepínač neví co je za portem, ale je schopen přiřadit členství na základě portů Výhodou je zjednodušená konfigurace, oproti malé škálovatelnosti a nemožnosti dynamického přesunu členů/zařízení po síti Dynamické Dynamická přidělování členství vyžaduje AAA mechanismy pro ověření a správu členství v jednotlivých VLAN Výhodou je vysoká škálovatelnost a mobilnost členů/zařízení uvnitř oproti složitější konfiguraci a nutnosti konfigurovat službu/server VLAN MEBERSHIP POLICY SERVER (VPMS)

Dynamické VLAN – ověření oproti ACTIVE DIRECTORY Dynamické VLAN je možné dělit na základě členství dle: MAC adresy IP adresy Seznamu uživatelů ve směrovači Ověření pomocí AAA či adresářových služeb (LDAP, ACTIVE DIRECTORY …

Ohraničení VLAN Ohraničení dělí VLAN sítě do dvou kategorií END TO END Členství ve VLAN je platné v celé fyzické topologii od jádra sítě, distribuční vrstvu až po jádro sítě Nevýhodou jsou zvýšené nároky na konfiguraci sítě a výkon zařízení Výhodou je maximální flexibilita uživatelů sítě Řešení je doporučené jen v určitých případech, reprezentuje členství na základě funkčnosti než geografické polohy LOCAL VLAN Lokální sítě nepřekračují do jádra sítě, segmentace je doporučena na přístupové a distribuční vrstvě (VLAN končí v rozvaděči) Jednodušší správa, konfiguraci L3 směrování a dalších služeb

ROZSAHY VLAN

Spojování VLAN Každý port, respektive zařízení za portem patří do určité VLAN Pro zajištění plné komunikace je nutné přepínače a směrovače spojit takovým počtem kabelů kolik existuje VLAN sítí = extrémně neefektivní při větším počtu VLAN Jednotlivé VLAN sítě je možné spojit pomocí multiplexingu = vytvoření TRUNK SPOJE TRUNKový spoj umožňuje označkovat (TAGOVAT), zabalit rámce z jednotlivých sítí a odeslat na jiný přepínač, respektive směrovač Přepínač na druhé straně musí mít shodně konfigurovaný protokol = rozumí enkapsulaci a používaném protokolu

TRUNK protokoly ISL (INTERSWITCH LINK PROTOCOL) 802.1q CISCO proprietární protokol, který není kompatibilní s 802.1q K rámci přidává hlavičku s VLAN ID De facto se již nepoužívá, byl nahrazen „otevřeným“ standardem 802.1q Stejná idea značkovacího mechanizmu jako ISL IEEE protokol je rozšířen o další vlastnosti Je kompatibilní a implementovaný na různých HW zařízeních a operačních systémech Alternativní název = dot1q (používá se i při konfiguraci CISCO prvků)

VLAN TRUNK

VLAN TRUNK – TAG parametry TPID Identifikuje rámec jako dot1q enkapsulaci Ethernetové sítě mají hodnotu 0x8100 Priority definuje dle 802.1p schématu CFI nabývá hodnot 0 nebo 1, deklaruje zda je MAC adresa v kanonickém formátu VID definuje do které VLAN patří rámec = její číslo (0 – 4095)

VLAN TRUNK – TAG parametry DTP (Dynamic Trunking Protocol) CISCO proprietární protokol umožňující autokonfiguraci Umožňuje zabezpečit komunikaci mezi VTP doménami pomocí zabezpečené komunikace (hash otisků)

Konec Děkuji Vám za pozornost