LAN Switching and Wireless

Transkrypt

1 LAN Switching and Wireless Module 1. LAN Design. Cechy sieci skalowalnych Szybkość i pewność zapewnienie Quality of Service (QoS) dla aplikacji i protokołów bez degradacji prędkości dostępu do sieci Wydajność optymalizacja uŝycia pasma (ograniczenie ilości pakietów rozgłoszeniowych, ustawienia serwerów) Adaptacyjność moŝliwość uruchomienia róŝnych protokołów, aplikacji i rozwiązań sprzętowych (IP, IPX, AppleTalk) Dostępność i bezpieczeństwo wiele moŝliwości połączenia klientów z siecią (Ethernet, T1/E1, Frame Relay, ATM), ale pełna kontrola dostępu (access-listy, 802.1x) Warstwa rdzeniowa (core) Centralna część sieci zaprojektowana do szybkiego i bezbłędnego przesyłania danych (uŝycie redundantnych połączeń do wszystkich routerów w sieci rdzeniowej najlepiej symetrycznych o równej prędkości, uŝycie wielu zasilaczy typu hot-swap) Nie stosujemy tutaj filtrów (np. ACL), które wprowadzają opóźnienia UŜytkownicy końcowi nie powinni mieć dostępu do tej warstwy Nie przeprowadzamy tutaj Ŝadnych operacji na pakietach (NAT) UŜywamy w niej najszybszych routerów, gdyŝ tylko one gwarantują moŝliwie najszybsze przełączanie pakietów oraz obsługują interfejsy fizyczne o największych prędkościach (routery Cisco serii: 7600, 12000, ASR 1000) Nie musi być oparta tylko routery L3 - moŝna wykorzystać np. gigabitową sieć L2 i przełączniki rodziny Cisco Catalyst 6500, 4000 przełączanie pakietów w warstwie drugiej jest o wiele szybsze niŝ w trzeciej, a dodatkowo do tych przełączników moŝna dodać moduły, które zajmą się routingiem L3 Warstwa dystrybucyjna (distribution) Zajmuje się przetwarzaniem reguł ograniczających i kontrolujących dostęp do warstwy rdzeniowej Routery mają tutaj mniej interfejsów i mniejszą prędkość przełączania Funkcje warstwy dystrybucyjnej: Access-listy Sumaryzacja tras Listy dystrybucyjne Route-mapy Inne reguły określające jak router powinien obsługiwać ruch i uaktualnienia tablic routingu Warstwa dostępowa (access) Warstwa, w której pracują uŝytkownicy końcowi - dostęp do zasobów UmoŜliwienie dostępu do sieci dla lokalizacji zdalnych (Frame- Relay, ISDN) Początkowa kontrola ruchu wchodzącego do sieci (accesslisty określające prawo do skorzystania z sieci) Dostępność i niezawodność sieci

2 Wsparcie dla skalowalnych protokołów routingu routery w warstwie rdzeniowej powinny zapewniać szybką zbieŝność wewnątrz systemu autonomicznego. Dobrym wyborem będzie uŝycie OSPF, IS-IS lub EIGRP Dodatkowe (alternatywne) ścieŝki dzięki redundancji sieć będzie niezawodna i dostępna, dlatego linki w warstwie rdzeniowej powinny być zawsze projektowane z uwzględnieniem dodatkowych ścieŝek. W krytycznych przypadkach redundancji powinny podlegać takŝe urządzenia sieciowe. W celu redukcji kosztów moŝna ograniczyć redundancję warstwy dystrybucyjnej tylko do najwaŝniejszych punktów sieci Tunelowanie protokołów moŝliwość przeniesienia obcych protokołów (np. IPX) w postaci zaenkapsulowanej do pakietu IP. RównowaŜenie obciąŝenia (load balancing) redundantne linie nie muszą koniecznie być zarezerwowane do przenoszenia ruchu w czasie awarii łącza podstawowego. MoŜna rozłoŝyć do jednego celu na wiele linków Zapasowe łącza wydzwaniane marginalnie wykorzystać moŝna opcję automatycznego uruchamiania wdzwanianych połączeń zapasowych (np. ISDN) Wydajność sieci Kolejkowanie ruchu w oparciu o wybrane parametry (np. numery portów TCP) Dzięki temu krytycznie waŝne dane są transmitowane szybciej niŝ zwykły ruch (waŝne w przypadku aplikacji głosowych). Kolejkowanie to proces, w którym interfejs routera określa, które pakiety powinny być obsłuŝone szybciej niŝ inne i dokonuje reorganizacji kolejności wysyłania pakietów Metody kolejkowania: FIFO (first-in, first-out) Priorytet zdefiniowany przez administratora WQF (weighted fair queuing) Tylko jedna metoda moŝe być uruchomiona jednocześnie na jednym interfejsie Konieczność filtracji zbędnego ruchu w sieciach WAN oraz zmniejszenie ilości aktualizacji tablic routingu poprzez: Access-listy - umoŝliwiają filtrację ruchu zbędnego i niepoŝądanego, kontrolują uaktualnienia tablic routingu, uruchamiają route-mapy oraz umoŝliwiają limitowanie ruchu. DDR (dial-on-demand routing) - ekonomiczna alternatywa dla sieci, które okazjonalnie potrzebują dostępu do sieci WAN. Link DDR zostanie uaktywniony dopiero wtedy, kiedy router wykryje interesujący (zdefiniowany przez administratora) ruch. UŜywany najczęściej w przypadku połączeń ISDN. Sumaryzacja tras - umoŝliwia redukcję ilości wpisów w tablicy routingu poprzez reprezentację wielu sieci za pomocą jednego adresu i jednej maski. Przyrostowe uaktualnienia tablic routingu - OSPF, IS-IS, EIGRP wysyłają tylko uaktualnienia o trasach, które się zmieniły Module 2. Basic Switch Concepts and Configuration. Mechanizm port-security Wykorzystywany w celu ograniczenia dostępu do portu przełącznika dla zidentyfikowanych adresów MAC Po przypisaniu adresu MAC (adresów) do zabezpieczonego portu przełącznik nie zaakceptuje ramek z innymi niŝ wskazane źródłowymi adresami MAC Po przekroczeniu skonfigurowanej ilości dozwolonych adresów MAC na porcie generowany jest

3 "security violation" Jeśli skonfigurowany adres MAC pojawi się na innym od przypisanego mu porcie równieŝ występuje "security violation" Konfiguracja port-security Konfiguracja maksymalnej dozwolonej ilości adresów MAC na porcie przełącznika switchport port-security maximum liczba Wskazanie bezpiecznych adresów MAC wpis statyczny: switchport port-security mac-address adres wpis dynamiczny przechowywany w tablicy adresów MAC i usuwany przy restarcie przełącznika wpis sticky : switchport port-security mac-address sticky Jeśli chcemy, aby skonfigurowane wpisy statyczne lub zapamiętane adresy sticky nie zostały utracone przy restarcie przełącznika to naleŝy wydać polecenie zapisujące konfigurację przełącznika Typy security violation Po osiągnięciu określonej w konfiguracji interfejsu ilości adresów MAC pakiety z nieznanym adresem źródłowym są odrzucane ale przełącznik moŝe podjąć róŝne działania: Protect brak powiadamiania administratora o wystąpieniu zdarzenia Restrict powiadamianie administratora (SNMP trap, wiadomość syslog, zwiększenie licznika violation count ) Shutdown wyłączenie interfejsu, powiadomienie administratora Konfiguracja port-security Switch(config)# interface GigabitEthernet0/1 Switch(config-if)# switchport access vlan 21 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 2 Switch(config-if)# switchport port-security violation restrict Switch(config-if)# switchport port-security mac-address sticky Konfiguracja starzenia się adresów MAC switchport port-security aging {static time liczba type {absolute inactivity}} static - włącza starzenie dla statycznie skonfigurowanych adresów MAC time - określenie w minutach czasu starzenia się type absolute - obowiązkowe usuwanie adresów MAC przypisanych do interfejsu co zadany interwał czasowy type inactivity - usuwanie nieaktywnych (nie wysyłających ramek) adresów MAC przypisanych do interfejsu co zadany interwał czasowy Switch(config)# interface GigabitEthernet0/1 Switch(configif)# switchport port-security aging time 2 Switch(configif)# switchport port-security aging type inactivity Mechanizm DHCP Snooping UmoŜliwia zabezpieczenie sieci wykorzystujących serwery DHCP poprzez filtrowanie nieautoryzowanych wiadomości DHCP oraz kontrolowanie przyporządkowania otrzymanych z serwera

4 DHCP dzierŝaw adresów IP Działanie to moŝna przyrównać do firewalla pomiędzy niezaufanymi hostami i serwerami DHCP. W konfiguracji przełącznika wskazywane są niezaufane interfejsy, do których są przyłączone urządzenia uŝytkowników oraz interfejsy zaufane, do których przyłączane są serwery DHCP oraz inne przełączniki Baza mapowania DHCP Snooping zawiera adres MAC, adres IP, okres dzierŝawy adresu, typ mapowania, numer VLAN oraz informację o lokalnym niezaufanym interfejsie przełącznika W momencie otrzymania pakietu na niezaufanym interfejsie naleŝącym do VLANu, w którym uruchomiony został DHCP Snooping przełącznik porównuje adres MAC nadawcy pakietu z informacją otrzymaną z serwera DHCP. Jeśli adresy zgadzają się to pakiet jest przenoszony, jeśli nie odrzucany Dodatkowo moŝna wykorzystać bazę tworzoną przez DHCP Snooping do włączenia mechanizmu IP Source Guard, który weryfikuje adres IP nadawcy pakietu Konfiguracja DHCP Snooping Switch(config)# ip dhcp snooping Switch(config)# ip dhcp snooping vlan 10 Switch(config)# ip dhcp snooping information option Switch(config)# interface GigabitEthernet0/1 Switch(config-if)# ip dhcp snooping limit rate 100 Autentykacja IEEE 802.1x Autentykacja IEEE 802.1x zapobiega uzyskaniu dostępu do sieci nieznanym urządzeniom (klientom) Standard określa metody kontroli dostępu do sieci w oparciu o architekturę klient-serwer Do momentu pomyślnej autentykacji klienta z wykorzystaniem IEEE 802.1x przełącznik Cisco na swoim porcie zezwala klientowi tylko na przesyłanie następujących typów pakietów: EAPOL (Extensible Authentication Protocol over LAN) CDP (Cisco Discovery Protocol) STP (Spanning Tree Protocol) Mechanizm Cisco BPDU Guard Jeśli na port, który jest w stanie Port Fast zostanie wysłana ramka BPDU taki port zostanie wyłączony (error-disable state) MoŜna go uruchomić na 2 sposoby globalnie: spanning-tree portfast bpduguard default per port: spanning-tree bpduguard enable Jeśli nie chcemy aby switch wyłączył port, na którym wykryto niechciane BPDU a tylko zablokował dostęp do VLANu na tym porcie w konfiguracji globalnej wydajemy polecenie: errdisable detect cause bpduguard shutdown vlan Mechanizm Cisco BPDU Filtering Blokuje wysyłanie i odbieranie ramek BPDU na portach skonfigurowanych w tryb Port Fast Jeśli na takim interfejsie pojawi się ramka BPDU switch automatycznie wyłączy mechanizm BPDU Filtering MoŜna go uruchomić na 2 sposoby globalnie: spanning-tree portfast bpdufilter default per port: spanning-tree bpdufilter enable Module 3. VLANs.

5 Wirtualne sieci lokalne VLAN to programowo stworzona forma wirtualnego przełącznika w obrębie fizycznego switcha (lub wielu switchy) VLAN ogranicza zasięg domeny broadcastowej W warstwie 3 VLAN moŝna przełoŝyć na podsieć IP Komunikacja pomiędzy portami naleŝącymi do róŝnych VLAN jest moŝliwa tylko poprzez routing L3 VLAN to obowiązkowy składnik budowy kaŝdej nowoczesnej sieci VLAN jest identyfikowany przez jego numer (VLAN ID) a nie przez jego nazwę! Zalety uŝywania VLANów Bezpieczeństwo Separacja ruchu w kaŝdym VLAN jak w fizycznej podsieci Redukcja kosztów Lepsze wykorzystanie sprzętu sieciowego WyŜsza wydajność Zamknięcie niepoŝądanego ruchu (np. broadcast) w obrębie VLAN Zwiększone moŝliwości zarządzania siecią Proste grupowanie uŝytkowników we wspólne podsieci Prostsze budowanie sieci na Ŝądanie VLANy na switchach Cisco Switche Cisco automatycznie mają stworzone VLANy 1, , których nie moŝna usunąć UŜytkownicy mogą definiować własne VLANy w zakresie od 2 do 1001 Definicje VLANów są domyślnie przechowywane w pamięci FLASH w pliku vlan.dat Maksymalnie moŝna zdefiniować 4094 VLAN ID Definicje VLANów są przechowywane w pliku konfiguracyjnym switcha (flash:config.text) Standardowe switche Cisco obsługują do 255 VLANów jednocześnie Klasyfikacja VLANów Data VLAN przeznaczony do przenoszenia zwykłego ruchu sieciowego enerowanego przez uŝytkowników Default VLAN Domyślny VLAN dostępny na switchu bez konfiguracji (VLAN ID=1) rzenoszący informacje kontrolne switcha (np. CDP, STP) Native VLAN przenosi ruch nietagowany na portach typu trunk 802.1Q Management VLAN skonfigurowany do zarządzania przełącznikiem przez sieć (SSH, Web) Voice VLAN do przenoszenia ruchu głosowego z telefonów IP Przyporządkowanie VLANu do portu Static VLAN Porty przełącznika są ręcznie przyporządkowywane przez administratora do określonych VLANów Przyporządkowanie VLANu do portu Dynamic VLAN Porty przełącznika są przydzielane do VLANów na podstawie adresu AC urządzenia włączonego do danego portu Voice VLAN Przyporządkowanie VLANu do portu

6 Statyczne VLANy przyporządkowane dla komunikacji z telefonem IP i komputerem VLAN trunk Trunk to połączenie point-to-point pomiędzy dwoma urządzeniami sieciowymi zdolne do przenoszenia informacji z więcej niŝ jednego VLANu Dzięki nim nie ma ograniczenia zasięgu działania VLANów do pojedynczego urządzenia VLAN trunk jest określony przez standard IEEE 802.1Q To nie jest dedykowany port fizyczny na urządzeniu - administrator w konfiguracji określa, który port ma pracować w trybie trunk Nazwa trunk jest wykorzystywana przez Cisco. Inni producenci nazywają ten mechanizm tagowaniem NaleŜy pamiętać o zabezpieczeniu interfejsów trunk ograniczając listę wysyłanych VLANów do niezbędnego minimum! Protokół Cisco DTP Dynamic Trunking Protocol Własnościowy protokół firmy Cisco, który zarządza automatycznym wykrywaniem i konfiguracją interfejsów typu trunk Tryby pracy DTP ON (trunk zawsze właczony) switchport mode trunk Dynamic auto (trunk zestawiany automatycznie z portami ON lub dynamic desirable ) switchport mode dynamic auto Dynamic desirable (trunk zestawiany automatycznie z portami ON, dynamic auto dynamic desirable ) switchport mode dynamic desirable OFF (protokół DTP wyłączony) switchport nonegotiate Module 4. VTP. Cisco VLAN Trunking Protocol (VTP) Zapewnia automatyczną propagację informacji o stworzonych VLANach na wiele przełączników Protokół informacyjny warstwy 2 Obsługuje tylko VLANy z zakresu Administrator określa, które przełączniki pracują w trybie VTP server, a które jako VTP client Zalety wykorzystywania VTP UmoŜliwia zabezpieczenie rozgłoszeń hasłem Protokół własnościowy Cisco - działa tylko na przełącznikach Cisco Catalyst UmoŜliwia wykonywanie zmian w jednym centralnym punkcie i przeniesienie ich na wszystkie inne switche w zdefiniowanym segmencie sieci Spójna informacja o konfiguracji VLANów w obrębie sieci (lub zdefiniowanej grupy przełączników) MoŜliwość dokładnego śledzenia i monitorowania istniejących i powstających w sieci VLANów Dynamiczna konfiguracja interfejsów typu trunk przy dodawaniu VLANów w sieci Wady wykorzystywania VTP Konieczność utrzymywania dodatkowego protokołu w sieci W przypadku błędnej lub nieuwaŝnej konfiguracji moŝna nadpisać właściwą konfigurację przez niewłaściwą Redystrybucja informacji o wszystkich VLANach na wszystkie przełączniki (nawet te, na których danych VLANów nie wykorzystujemy)

7 Obsługiwany tylko przez switche Cisco Podstawowe pojęcia VTP VTP Domain - Zbiór połączonych ze sobą switchy skonfigurowanych do pracy we wspólnej domenie VTP VTP Advertisements - Ramki protokołu VTP przenoszące informacje VTP VTP Pruning - Mechanizm ograniczający przesyłanie ruchu do tych przełączników, które muszą pośredniczyć w jego przesyłaniu. Bez tego mechanizmu switch flooduje broadcasty, multicasty oraz nieznane unicasty na wszystkie połączenia typu trunk wewnątrz domeny VTP pomimo tego, Ŝe switche, do których ten ruch dotrze odrzucą go VTP Mode (tryb pracy protokołu VTP): 1. VTP Server - rozgłasza informację o VLANach w obrębie domeny VTP, moŝe tworzyć, modyfikować i usuwać informacje o VLANach. Przechowuje informacje w pliku flash:vlan.dat. Tryb domyślnie włączony 2. VTP Client - rozgłasza informację o VLANach w obrębie domeny VTP ale nie moŝe tworzyć, modyfikować ani usuwać informacji o VLANach. Przy restarcie switcha traci informacje o VLANach 3. VTP Transparent - przekazuje dalej otrzymane rozgłoszenia VTP od serwerów i klientów ale nie stosuje do siebie tych informacji. Tworzy VLANy tylko dla siebie Domyślna konfiguracja VTP Switche Cisco Catalyst domyślnie mają włączony protokół VTP z następującymi ustawieniami: VTP Version = 1 VTP Domain Name = null VTP Mode = server Config revision = 0 VLANs = 1 Jeśli do istniejącej sieci przełączników Cisco Catalyst pracujących na ustawieniach fabrycznych dodasz kolejny przełącznik Cisco Catalyst ze skonfigurowanym juŝ VTP to moŝe on nadpisać konfigurację VLANów w całej istniejącej sieci! Działanie VTP Switche, których VTP Domain = null po otrzymaniu ramki VTP zawierającej określoną domenę VTP dołączają do tej domeny Jeśli mamy skonfigurowane hasło dostępu do domeny VTP to musimy je podać na nowo dołączanym przełączniku Switche określają, który z nich posiada najświeŝszą konfigurację VLANów poprzez porównywanie numerów VTP Revision Number, który jest zwiększany przy kaŝdej modyfikacji bazy VLANów na switchu Zmiana domeny VTP resetuje revision number do zera Summary Advertisements rozsyłane do wszystkich co 5 minut Subset Advertisements rozsyłane są do wszystkich natychmiast po dokonaniu zmian w bazie VLANów Request Adertisements rozsyłane w przypadku: 1. zmiany domeny VTP, do której naleŝy switch 2. otrzymania summary advertisement z numerem revision wyŝszym niŝ 3. posiadany 4. otrzymania niepełnej informacji VTP 5. przeładowania switcha Współdzielona jest tylko informacja o konfiguracji VLANów - informacja o przyporządkowaniu portów do VLANów musi być konfigurowana osobno i niezaleŝnie na kaŝdym urządzeniu! Rozgłoszenia VTP obsługiwane są przez management (native) VLAN Po osiągnięciu maksymalnego numeru konfiguracji ( ) powraca on do wartości 0 Wersje VTP 1 oraz VTP 2 nie są ze sobą kompatybilne

8 Mechanizm VTP Pruning Pozwala na lepsze wykorzystanie pasma poprzez ograniczenie wysyłania pakietów typu broadcast, multicast, unicast do nieznanego odbiorcy do przełączników na których nie występują porty typu access dla danego VLANu Domyślnie wyłączony Management (native) VLAN ma zawsze vtp pruning wyłączony NaleŜy pamiętać o tym, Ŝe w sieci powinny być minimum 2 switche pracujące jako VTP server aby w przypadku uszkodzenia któregokolwiek z nich nadal była moŝliwość dokonywania zmian w konfiguracji VLANów. Module 5. STP. Znaczenie redundancji w sieciach Redundancja to dodanie do sieci nadmiarowych (zapasowych) połączeń i urządzeń w celu zmniejszenia prawdopodobieństwa przerwania pracy sieci w przypadku wystąpienia awarii Sieć nie jest juŝ tylko dodatkiem do pracy firmy - sieć jest podstawowym składnikiem niezbędnym do poprawnego funkcjonowania firmy Zjawisko pętli L2 Wprowadzenie urządzeń i połączeń redundantnych bez odpowiednich zabezpieczeń = pętla w sieci L2 Ramki Ethernet nie mają zabezpieczenia przed nieskończonym przesyłaniem jak mają to pakiety IP (TTL) Powstanie pętli L2 prowadzi do: 1. zwiększenia obciąŝenia CPU wszystkich przełączników w segmencie sieci, aŝ do momentu całkowitego ich wykorzystania 2. broadcast storm - wysycenie pasma dostępnego dla uŝytkowników 3. duplikacji ramek unicast Sieć staje się niedostępna dla uŝytkowników Spanning Tree Protocol Rolą protokołu STP jest wykrywanie i eliminacja pętli w warstwie drugiej sieci powstałych np. w wyniku redundancji STP blokuje przesyłanie ruchu na portach switcha, na których wykryje istnienie redundantnej ścieŝki W przypadku kiedy podstawowa trasa przestanie działać STP odblokuje połączenie redundantne Spanning Tree Protocol wykorzystuje do tego celu ramki BPDU (Bridge Protocol Data Unit) oraz algorytm STA (Spanning Tree Algorithm) STP jest zdefiniowany w standardzie IEEE 802.1D Od 2004 roku połączono protokoły STP i RSTP w standardzie IEEE 802.1D-2004 Podstawowe pojęcia STP Root Bridge - pojedynczy switch wybrany przez algorytm STA z najniŝszym BID jako punkt referencyjny dla obliczeń dostępnych w sieci ścieŝek Bridge ID (BID) identyfikuje konkretny switch w sieci STP Root ports - porty przełączników podłączone najbliŝej Root Bridge Designated ports - wszystkie inne niŝ Root Port porty przełączników, na których STP nie blokuje przenoszenia ruchu Non-designated ports - wszystkie porty blokowane przez STP Bridge Protocol Data Unit (BPDU) Protokół Spanning Tree do swojego działania wymaga przenoszenia wiadomości BPDU przez

9 przełączniki Ramki protokołu BPDU są przenoszone takŝe na portach zablokowanych przez STP - dzięki temu mogą zostać uruchomione w przypadku awarii głównego łącza Bridge ID SłuŜy do identyfikacji kaŝdego switcha Jest wykorzystywany m. in. do ustalenia centrum sieci (Root Bridge) Składa się z dwóch komponentów: 1. Bridge Priority (2 bajty) - wartości od 1 do (domyślna wartość na switchach Cisco ) 2. Adres MAC (6 bajtów) Jeśli uŝywamy PVST (Per Vlan Spanning Tree) pole bridge priority zostaje podzielone na dwa: 1. Bridge Priority (4 bity) - wartości z granulacją co Extended System ID (12 bitów) - ID VLANu, z którego pochodzi switch Switch z najniŝszym Bridge ID zostaje wybrany Root Bridge Jeśli wszystkie urządzenia mają taki sam Bridge ID to na Root Bridge zostaje wybrany switch z najniŝszym adresem MAC Path Cost Wykorzystywany przez switche do określenia swojej odległości od innych switchy Posiada zdefiniowane przez IEEE wartości (tabelka) MoŜliwa jest modyfikacja kosztu przez administratora W połączeniu z Bridge ID (BID) umoŝliwia stworzenie topologii wolnej od pętli Ogólny opis działania STP Wybór jednego switcha, który będzie korzeniem (Root Bridge) dla drzewa spanning tree Obliczenie najkrótszej drogi od kaŝdego switcha do korzenia W kaŝdym segmencie sieci wybór jednego przełącznika najbliŝszego korzenia (Designated Switch) - Wybrany switch obsługuje całą komunikację z segmentu do Root Bridge Wybór jednego z portów jako Root-Port na kaŝdym przełączniku nie będącym Root Bridge Ten interfejs zapewnia najlepszą ścieŝkę do root bridge Wybór portów naleŝących do ścieŝki spanning tree (Designated Ports) Zablokowanie portów niewybranych - redundantnych (Nondesignated Ports) Podejmowanie decyzji przez STP STP wykorzystuje 4-krokową sekwencję przy podejmowaniu decyzji: Krok 1 - najniŝszy BID Krok 2 - najniŝszy Path Cost do Root Bridge Krok 3 - najniŝszy Sender BID Krok 4 - najniŝszy Port ID Podejmowanie decyzji przez STP Bridge zachowuje kopię najlepszego BPDU otrzymanego na kaŝdym porcie Pod uwagę brane są wszystkie otrzymane ramki BPDU jak teŝ te, które zostałyby wysłane na danym porcie Po otrzymaniu kaŝdej ramki BPDU jest ona sprawdzana wg 4-krokowej sekwencji decyzyjnej aby sprawdzić czy jest lepsza niŝ aktualnie zapisana na porcie (czy posiada niŝszą wartość) Tylko najniŝsza wartość z BPDU jest zapisywana Bridge rozsyłają Configuration BPDU dopóki nie otrzymają lepszej wartości BPDU Początkowa konwergencja STP Krok 1 - wybór Root Bridge ( root war ) Początkowo w sieci wszystkie bridge rozsyłają swoje BPDU ogłaszając siebie jako Root Bridge

10 (wstawiając swój BID w polu Root BID w ramce BPDU) Jednocześnie switche rozpoczynają 4-krokową sekwencję decyzyjną Switche muszą wybrać wśród siebie jeden Root Bridge Switch z najniŝszym Bridge ID wygrywa i staje się Root Bridge Krok 2 - wybór portów Root Port Root Port to port najbliŝszy do switcha wybranego na Root Bridge KaŜdy przełącznik niewybrany na Root Bridge wybiera jeden port typu Root Port na podstawie sumarycznego kosztu dotarcia do Root Bridge (port z najniŝszym kosztem) Krok 3 - wybór portów Designated Ports Designated Port to wybrany pojedynczy port który odbiera i wysyła ruch pomiędzy wybranym segmentem a Root Bridge Designated Port jest wybierany na podstawie Root Path Cost BID switcha Cat-B jest niŝszy, więc jego port zostaje wybrany jako Designated Port dla segmentu 3 Stany portów w STP oraz BPDU Timers Propagacja informacji STP wymaga odpowiedniego czasu W kaŝdym ze stanów STP porty przełączników wykonują swoje zadania w określonym maksymalnie czasie Wartości czasowe zostały wyliczone dla topologii z maksymalnie 7 przełącznikami na drodze do Root Bridge Rapid Spanning Tree (RSTP) Zdefiniowany w standardzie IEEE 802.1w Znacząco szybszy od standardowego protokołu STP oraz niektórych wersji własnościowych protokołów Cisco Zalecany przez Cisco do jak najszybszego wdroŝenia i zastąpienia klasycznego STP Kompatybilny wstecznie z protokołem STP Inaczej niŝ STP określa stany i role portów Nie wymaga stosowania timerów Podstawowe pojęcia RSTP RSTP określa 3 typy połączeń: point-to-point, edge-type, shared Połączenia point-to-point oraz edge-type mogą natychmiast przejść do stanu forwarding Konwergencja sieci jest osiągana w ok. 6 sekund Mechanizm Cisco BPDU Guard Jeśli na port, który jest w stanie Port Fast zostanie wysłana ramka BPDU taki port zostanie wyłączony (error-disable state) MoŜna go uruchomić na 2 sposoby globalnie: spanningtree portfast bpduguard default per port: spanningtree bpduguard enable Jeśli nie chcemy aby switch wyłączył port, na którym wykryto niechciane BPDU a tylko zablokował dostęp do VLANu na tym porcie w konfiguracji globalnej wydajemy polecenie: errdisable detect cause bpduguard shutdown vlan Blokuje wysyłanie i odbieranie ramek BPDU na portach skonfigurowanych w tryb Port Fast Jeśli na takim interfejsie pojawi się ramka BPDU switch automatycznie wyłączy mechanizm BPDU Filtering MoŜna go uruchomić na 2 sposoby globalnie: spanningtree portfast bpdufilter default per port: spanningtree bpdufilter enable

11 Module 6. Inter-VLAN Routing. Routing w sieciach VLAN Dwie proste zasady dotyczące VLANów: 1. VLANy nie mogą się komunikować bezpośrednio ze sobą tj. przy uŝyciu komunikacji w warstwie drugiej (L2) 2. Do takiej komunikacji jest niezbędne urządzenie warstwy trzeciej (L3), czyli router lub przełącznik z obsługą routingu Trzy proste metody na skomunikowanie VLANów ze sobą: 1. Dedykowane połączenia pomiędzy routerem i kaŝdym VLANem 2. Współdzielone łącze typu tagowanego z routerem 3. Wykorzystanie przełącznika z obsługą routingu Metody łączenia routerów z VLAN 1. Dedykowane połączenie kaŝdego VLANu do oddzielnego fizycznego interfejsu routera Z punktu widzenia przełącznika będzie to port typu access Zalety: dedykowane interfejsy na routerze i switchu umoŝliwiające komunikację urządzeń z pełną prędkością linku Wady: rozwiązanie mało elastyczne i kosztowne w implementacji 2. Współdzielone połączenie typu trunk pomiędzy jednym portem switcha i jednym portem routera Nazywane często router-on-a-stick Wykorzystuje mechanizm tworzenia subinterfejsów, czyli podziału jednego fizycznego interfejsu routera na wiele interfejsów logicznych Zalety: moŝliwość podłączenia wielu VLANów bez konieczności wykorzystywania wielu fizycznych interfejsów Wady: współdzielone pasmo do routera dla wszystkich VLANów 3. Metody łączenia routerów z VLAN Wykorzystanie switcha typu multi-layer do routingu pakietów i obsługi VLANów Zalety: duŝa szybkość komunikacji i brak konieczności zakupu routera Wady: ograniczenia sprzętowe i programowe przełącznika warstwy 3 Konfiguracja switcha L3 Utwórz potrzebne VLANy na przełącznikach (chyba, Ŝe VTP juŝ to zrobiło) Na switchu L3 uruchom obsługę routingu IP catalystswitch(config)# ip routing Skonfiguruj adresy IP na interfejsach wirtualnych EtherSVI o numerach odpowiadających ID VLANu catalystswitch(config)# interface VLAN 10 catalystswitch(configif)# ip address Skonfiguruj protokół routingu jak na zwykłym routerze catalystswitch(config)# router OSPF 1 catalystswitch(configrouter)# network area0 Module 7. Basic Wireless Concepts and Configuration Exam Accessing the WAN Module 1 Introduction to WANS. Module 2. PPP. Module 3. Frame Relay. Module 4. Network Security.

12 Module 5. ACLs. Module 6. Teleworker Services. Module 7. IP Addressing Services. Module 8. Network Troubleshooting. Exam