Sieci komputerowe Zasada działania i konfigurowanie przełączników dr Zbigniew Lipiński Instytut Matematyki i Informatyki ul. Oleska 48 50-204 Opole zlipinski@math.uni.opole.pl
Domena kolizyjna, zadania przełączników Przełącznik (switch) jest urządzeniem warstwy łącza danych modelu referencyjnego dla OSI. Przełączniki przekazują ramki na podstawie adresów MAC (Medium Access Control). Główne funkcje przełączników: przełączanie pakietów w obrębie domeny kolizyjnej (segmentu sieci), izolowanie ruchu między segmentami sieci, dzielenie sieci na segmenty (poddomeny kolizyjne). Funkcje i usługi przełączników: zabezpieczenia portów, obsługa sieci wirtualnych LAN (VLAN), zasilanie przez Ethernet, agregacja łączy (EtherChannel), usługi QoS (Qulity of Service).
Tablica adresów MAC, pamięć Content-Addressable Memory Przełącznik buduje tablicę adresów MAC poprzez odczytywanie z każdej odebranej ramki: adresu źródłowego MAC, portu, z którego odebrano daną ramkę. Uzyskane informacje przełącznik zapisuje w pamięci Content-Addressable Memory (CAM). Czas przechowywania adresów MAC w tablicy adresów (aging time, czas starzenia się) można konfigurować. Domyślna wartość to 5 min (300 sekund). Jeżeli w ciągu 5 min nie zostaną odebrane ramki od urządzeń, których adres został uprzednio uzyskany i zapisany w tablicy adresów MAC, wpis dotyczący tego adresu jest automatycznie usuwany. Podczas wysyłania ramek, jeżeli adres MAC odbiorcy nie zostanie odnaleziony w pamięci CAM, przełącznik wysyła ramkę na wszystkie porty oprócz tego, przez który została odebrana (rozgłaszanie rozpływowe). Jeżeli, adres MAC odbiorcy zostanie odnaleziony w tablicy adresów i jest powiązany z portem, przez który został odebrany, ramka zostaje odrzucona.
Obwód i sieć wirtualna Domena kolizyjna (segment sieci) to obszar sieci CSMA/CD w której może nadawać tylko węzeł. Jeżeli w tym samym czasie nadaje więcej niż jeden węzeł dochodzi do kolizji. W celu zmniejszenia domen kolizyjnych przełączniki stosują mikrosegmentację, tzn. przed transmisją danych między dwoma urządzeniami tworzą na portach połączenie typu punkt-punkt zwane obwodem wirtualnym. Zbiór połączeń typu punkt-punkt nazwa się siecią wirtualną. Przełączniki przekazują ramki rozgłoszeniowe do wszystkich portów w danym segmencie sieci.
Buforowanie ramek Przełącznik może buforować ramki podczas ich przesyłania. Metody przesyłania ramek: buforowanie oparte na portach, buforowanie w pamięci współużytkowanej. Buforowanie w pamięci współużytkowanej powoduje umieszczanie wszystkich ramek we wspólnym buforze pamięci, z którego korzystają wszystkie porty przełącznika. Przełącznik przechowuje mapę połączeń ramek z portami zawierającą informacje, gdzie należy przesłać dany pakiet.
Przełączanie ramek Przełączanie w zależności od sposobu przydzielenia przepustowości do portów dzieli się na symetryczne, połączenia między portami o jednakowej przepustowości. asymetryczne, połączenia między portami o różnych przepustowościach, np. między portami 10 Mb/s i 100 Mb/s. Tryby przełączania ramek: store-and-forward, zanim ramka zostanie przekazana do odbiorcy, jest odbierana w całości. cut-through, ramka jest przesyłana do odbiorcy, zanim zostanie odebrana w całości. Dwa rodzaje przełączania cut-through : - fast-forward, przesyłanie pakietu następuje po odczytaniu docelowego adresu MAC. - fragment-free, przesyłanie pakietu następuje po odczytaniu 64 bajtów (minimalna wielkość ramki ethernetowej).
Wirtualne sieci LAN - sieci VLAN Sieć VLAN jest logiczną grupą urządzeń sieciowych, które nie są ograniczone fizycznym segmentem sieci LAN. Sieci VLAN logicznie dzielą sieć na domeny rozgłoszeniowe, dlatego pakiety są przesyłane tylko między portami przypisanymi do danej sieci VLAN. Komunikacja pomiędzy sieciami VLAN może się odbywać tylko za pośrednictwem routera.
Wirtualne sieci LAN (VLAN) Zakresy sieci VLAN: sieci z zakresu normalnego, VLAN 1-1005, konfiguracja zapisywana jest w pliku vlan.dat w pamięci flash, sieci z zakresu rozszerzonego, VLAN 1006-4094, konfiguracja zapisywana jest w bieżącej konfiguracji przełącznika, protokół VLAN Trunking Protocol nie obsługuje sieci z tego zakresu. Ruch między sieciami wirtualnymi VLAN nazywa się ruchem znakowanym (tagged traffic). Ruch pochodzący z poza sieci VLAN nazywa się ruchem nieoznakowanym (untagged traffic).
Wirtualne sieci LAN (VLAN) Zalety stosowania wirtualnych sieci LAN: bezpieczeństwo, (separowanie różnych grup użytkowników), redukcja kosztów (lepsze wykorzystanie szerokości pasma), większa wydajność, ograniczenia wielkości domen broadcastowych, ułatwione zarządzanie siecią.
Rodzaje sieci VLAN: Sieci VLAN Transmisji Danych (Data VLAN), wirtualne sieci zaprojektowane do transmisji danych między hostami sieci.
Rodzaje sieci VLAN: Sieci VLAN Transmisji Danych (Data VLAN), wirtualne sieci zaprojektowane do transmisji danych między hostami sieci. Sieć zarządzania VLAN (Management VLAN), zdefiniowana przez administratora, sieć VLAN służąca do zarządzania przełącznikiem. Sieci zarządzania VLAN należy przypisać adres IP, maskę, adres domyślnej bramy w celu umożliwienia dostępu do przełącznika poprzez Telnet, SSH, serwer WWW. Nie należy wybierać sieci VLAN 1 na sieć zarządzania.
Rodzaje sieci VLAN: Sieci VLAN Transmisji Danych (Data VLAN), wirtualne sieci zaprojektowane do transmisji danych między hostami sieci. Sieć zarządzania VLAN (Management VLAN), zdefiniowana przez administratora, sieć VLAN służąca do zarządzania przełącznikiem. Sieci zarządzania VLAN należy przypisać adres IP, maskę, adres domyślnej bramy w celu umożliwienia dostępu do przełącznika poprzez Telnet, SSH, serwer WWW. Nie należy wybierać sieci VLAN 1 na sieć zarządzania. Domyślna sieć VLAN (Default VLAN), w początkowej konfiguracji przełącznika wszystkie porty należą do domyślnej sieci VALN 1. Sieci VLAN 1, jako jedynej, nie można zmienić nazwy ani usunąć. Domyślnie, ruch kontrolny protokołów CDP, STP jest zdefiniowany tylko dla sieci VLAN1. Zaleca się, aby domyślną siecią VLAN była sieć różna od VLAN1 (tzn. wszystkie porty należy przypisać do innej sieci VLAN). Sieć VLAN typu czarna dziura to sieć, do której przypisano wszystkie nieużywane porty.
Rodzaje sieci VLAN: Sieci VLAN Transmisji Danych (Data VLAN), wirtualne sieci zaprojektowane do transmisji danych między hostami sieci. Sieć zarządzania VLAN (Management VLAN), zdefiniowana przez administratora, sieć VLAN służąca do zarządzania przełącznikiem. Sieci zarządzania VLAN należy przypisać adres IP, maskę, adres domyślnej bramy w celu umożliwienia dostępu do przełącznika poprzez Telnet, SSH, serwer WWW. Nie należy wybierać sieci VLAN 1 na sieć zarządzania. Domyślna sieć VLAN (Default VLAN), w początkowej konfiguracji przełącznika wszystkie porty należą do domyślnej sieci VALN 1. Sieci VLAN 1, jako jedynej, nie można zmienić nazwy ani usunąć. Domyślnie, ruch kontrolny protokołów CDP, STP jest zdefiniowany tylko dla sieci VLAN1. Zaleca się, aby domyślną siecią VLAN była sieć różna od VLAN1 (tzn. wszystkie porty należy przypisać do innej sieci VLAN). Sieć VLAN typu czarna dziura to sieć, do której przypisano wszystkie nieużywane porty. Pierwotna sieć VLAN (Native VLAN), sieć przypisana do portu magistrali IEEE 802.1Q. Port magistrali obsługuje ruch między sieciami VLAN i ruch z poza sieci VLAN. Port magistrali umieszcza nieoznakowany ruch w pierwotnej sieci VLAN.
Rodzaje sieci VLAN: Sieci VLAN Transmisji Danych (Data VLAN), wirtualne sieci zaprojektowane do transmisji danych między hostami sieci. Sieć zarządzania VLAN (Management VLAN), zdefiniowana przez administratora, sieć VLAN służąca do zarządzania przełącznikiem. Sieci zarządzania VLAN należy przypisać adres IP, maskę, adres domyślnej bramy w celu umożliwienia dostępu do przełącznika poprzez Telnet, SSH, serwer WWW. Nie należy wybierać sieci VLAN 1 na sieć zarządzania. Domyślna sieć VLAN (Default VLAN), w początkowej konfiguracji przełącznika wszystkie porty należą do domyślnej sieci VALN 1. Sieci VLAN 1, jako jedynej, nie można zmienić nazwy ani usunąć. Domyślnie, ruch kontrolny protokołów CDP, STP jest zdefiniowany tylko dla sieci VLAN1. Zaleca się, aby domyślną siecią VLAN była sieć różna od VLAN1 (tzn. wszystkie porty należy przypisać do innej sieci VLAN). Sieć VLAN typu czarna dziura to sieć, do której przypisano wszystkie nieużywane porty. Pierwotna sieć VLAN (Native VLAN), sieć przypisana do portu magistrali IEEE 802.1Q. Port magistrali obsługuje ruch między sieciami VLAN i ruch z poza sieci VLAN. Port magistrali umieszcza nieoznakowany ruch w pierwotnej sieci VLAN. Sieci VLAN transmisji głosu (Voice over IP).
Magistrala VLAN Magistrala VLAN (VLAN trunk) to ethernetowe łącze punkt-punkt między ethernetowym interfejsem przełącznika a ethernetowym interfejsem innego urządzenia sieciowego (routera, przełącznika). Magistrala VLAN służy jako kanał transmisyjny między przełącznikami, na których utworzono wiele sieci VLAN. Wiele połączeń między sieciami VLAN na różnych przełącznikach jest zastępowane magistralą VLAN. Rysunek. Magistrala VLAN łączy dwa przełączniki Sa i Sb.
Magistrala VLAN Celem stosowania magistral VLAN jest zmniejszenie liczby wykorzystywanych portów podczas budowania połączeń między dwoma urządzeniami w sieci LAN. Przesyłanie ramek magistralami VLAN powoduje, konieczność rozróżnienia ramek należących do różnych sieci VLAN. Każda ramka wysyłana z sieci VLAN za pośrednictwem magistrali jest znakowana informacjami o sieci VLAN, do której należy. Nieoznakowany ruch (untagged traffic) port magistrali umieszcza w pierwotnej sieci VLAN.
Znakowanie ramek W celu przesyłania ramek między sieciami VLAN, przełączniki stosują znakowanie ramek. Do znakowania ramek służy pole TCI (Tag Control Information) w nagłówku ramki ethernetowej. Format ramki z polem TCI określa standard IEEE 802.1Q (Virtual Bridged Local Area Networks). Do obsługi konfiguracji portów magistrali używa się protokołów: Inter-Switch Link, protokół firmy Cisco, wychodzi z użycia. Dynamic Trunking Portocol (DTP).
Znakowanie ramek Tryb obsługi magistrali DTP określa sposób negocjacji między portami przy użyciu protokołu DTP. Tryby obsługi magistrali: lokalny port wysyła okresowo ramki DTP do portu odległego w celu ogłoszenia, że przechodzi dynamicznie w tryb obsługi magistrali. lokalny port wysyła okresowo ramki DTP do portu odległego informując, że port odległy może (nie musi) przejść w tryb obsługi magistrali. lokalny port wysyła okresowo ramki DTP do portu odległego informując, że port odległy powinien przejść w tryb obsługi magistrali. Jeżeli port lokalny wykryje, że port odległy jest skonfigurowany do trybu trwałego (on), pożądanego (desirable) lub automatycznego (auto) to przełącza się w tryb magistrali. Jeżeli port odległy działa w trybie bez negocjacji to port lokalny nie przechodzi w tryb obsługi magistrali. 18
Znakowanie IEEE 802.1Q Do każdego nagłówka odbieranej ramki jest dodawany unikalny identyfikator. Identyfikator określa pochodzenie pakietu z konkretnej sieci VLAN. Po dotarciu pakietu do sieci docelowej identyfikator sieci VLAN jest usuwany przez sąsiadujący przełącznik i przekazywany do odbiorcy. W standardzie IEEE 802.1Q do nagłówka ramki ethernetowej dodano znacznik TCI (Tag Control Information). 19
Standard ramki IEEE 802.3 Pole: Preambuła. 64 bity, zawiera ciąg bitów 1010.10 Służy odbiorcy do synchronizacji zegara. Preambuła składa się z: 7 bajtów + 1 bajtu SFD, Start of Frame Delimiter, wartość 10101011. Pole: Adres odbiorcy. Wielkość: 48 bitów. Pole zawiera fizyczny adres MAC odbiorcy ramki. Pole: Adres nadawcy. Wielkość: 48 bitów. Pole zawiera fizyczny adres MAC nadawcy ramki. Pole: Typ ramki. Wielkosc:16 bitów. Pole: Dane. Wielkość: zmienna od 46 do 1500 bitów. Pole zawiera dane ramki. Pole: FCS, (Frame Check Sequence). Wielkość: 32 bity. Suma kontrolna (liczona metodą CRC). W spacyfikacji nagłwóka IEEE 802.2 dodano 8 bajtowe pole 'LLC SNAP. 20
Standard ramki IEEE 802.1Q Znacznik TCI VLAN skład się z: pola Ethernet Type, 2 bajty, w polu wpisywana jest wartość 0x8100 (zmiast standardowej wartości 0x800). pola TCI (Tag Control Information), 2 bajty. Struktura pola TCI: 3 bity, określają priorytet użytkownika, 1 bit, CFI (Canonical Format Identifier), umożliwia przesyłanie ramek Token Ring, 12 bitów, identyfikator sieci VLAN portu dostępu (VID). 21
Protokół VTP (VLAN Trunking Protocol) VTP jest protokołem warstwy łącza danych modelu Referencyjnego dla OSI. Protokół VTP służy do zarządzania sieciami VLAN, zapewnia obsługę dynamicznego informowania zmianach przełączników w konfiguracji sieci VLAN. Protokół obsługuje tylko sieci VLAN z zakresu normalnego 1 1005. 22
Protokół VTP (VLAN Trunking Protocol) Tryby działania VTP: tryb serwera, domyślny trybem. Serwery VTP mogą tworzyć, modyfikować i usuwać sieci VLAN i ich parametry konfiguracyjne dla całej domeny. Serwery VTP zapisują informacje o konfiguracji sieci VLAN w pamięci NVRAM przełącznika. Serwery wysyłają komunikaty protokołu VTP na wszystkich portach magistrali. tryb klienta. Klienci VTP nie mogą tworzyć, modyfikować ani usuwać informacji o sieciach VLAN. Jedynym zadaniem klientów VTP jest przetwarzanie zmian dotyczących sieci VLAN i wysyłanie komunikatów VTP na wszystkich portach magistrali. tryb przeźroczysty/transparentny. Przełączniki w trybie przeźroczystym przekazują ogłoszenia tego protokołu, ale ignorują informacje zawarte w komunikatach. 23
Protokół VTP (VLAN Trunking Protocol) Protokół VTP działa z wykorzystaniem pojęcia tzw. domeny VTP. Domena VTP składa się z jednego lub więcej połączonych ze sobą urządzeń, które mają wspólną nazwę domeny VTP. Dany przełącznik może należeć tylko do jednej domeny VTP. Komunikaty VTP: ogłoszenia skonsolidowane (summary advertisments), komunikat wysyłany przez serwer VTP, ogłoszenia szczegółowe (subset advertisments), komunikat wysyłany przez serwer VTP, żądanie ogłoszenia (advertisments requests), komunikat wysyłany przez klienta VTP, połączone wiadomości VTP, (VTP join messages). 24
Protokół VTP (VLAN Trunking Protocol) Wysyłanie ogłoszeń szczegółowych może być wyzwalane przez następujące czynności: usunięcie lub dodanie sieci VLAN, zawieszenie lub aktywacja sieci VLAN, zmiana nazwy sieci VLAN, zmiana maksymalnej jednostki transmisyjnej MTU dla sieci VLAN. W przypadku zainstalowania protokołu VTP, każdy przełącznik ogłasza na swoich portach magistralowych informacje o swojej domenie zarządzania, numerze wersji konfiguracji, informacje o znanych sobie sieciach VLAN oraz niektóre parametry tych sieci. Ramki ogłoszeń są wysyłane na adres grupowy, tak aby mogły dotrzeć do wszystkich sąsiednich urządzeń. Wszystkie urządzenia należące do tej samej domeny zarządzania dowiadują się o wszystkich nowych sieciach VLAN skonfigurowanych na urządzeniu wysyłającym. 25
Przycinanie VTP Przycinanie VTP (pruning VTP) funkcja przełącznika umożliwiająca zwiększenie szerokości pasma poprzez ograniczenie ruchu broadcastowego, grupowego na poszczególnych magistralach sieci VLAN. Przycinanie zapobiega przekazywaniu ramek rozgłoszeniowych z jednej sieci VLAN przez wszystkie porty magistralowe w danej domenie VTP. 26
Routing między sieciami VLAN Komunikacja pomiędzy sieciami VLAN może się odbywać tylko za pośrednictwem routera. Do połączenia wielu sieci VLAN (skonfigurowanych na tym samym przełączniku) wymagana jest wiele interfejsów na przełączniku i na routerze. Router na patyku (router-on-a-stick) typ konfiguracji routera, w której jeden interfejs fizyczny przekierowuje ruch do wielu sieci VLAN. 27
Routing między sieciami VLAN Interfejs routera jest skonfigurowany do obsługi magistrali z przełącznikiem. Router przekierowuje ramki między sieciami VLAN za pomocą podinterfesjów. 28
Podinterfejsy routera Podinterfejs jest interfejsem logicznym wyodrębnionym z interfejsu fizycznego, np. z interfejsu Fast Ethernet routera. W jednym interfejsie fizycznym może istnieć wiele podinterfejsów logicznych. Każdy podinterfejs obsługuje jedną sieć VLAN i ma przypisany jeden adres IP. Aby zdefiniować podinterfejsy w interfejsie fizycznym, należy: wskazać pod-interfejs, zdefiniować sposób obsługi interfejsu dla sieci VLAN, przypisać adres IP interfejsowi. 29