1

Istituto Nazionale di Fisica Istituto Nazionale di Fisica NucleareNucleare

Laboratori Nazionali di Laboratori Nazionali di FrascatiFrascati

Angelo VeloceAngelo VeloceVia E. Fermi,40 Via E. Fermi,40

00044 Frascati00044 Frascati (R(RMM) Italy) Italyangelo.veloce@lnf.infn.itangelo.veloce@lnf.infn.it

2

Collision Domain 1 Collision Domain 2

Broadcast Domain

Lo switch termina domini di collisione

3

Limiti di un unico Dominio di Broadcast

• In un singolo dominio di collisione i frame sono visibili da tutti i device sulla LAN e sono possibili collisioni

• Con gli switches si segmenta la LAN in distinti domini di collisione. I frame sono inoltrati solo sui segmenti che contengono il destination address del frame

• Con gli switches i frame broadcast sono inoltrati su tutti i segmenti di rete ad esso connesso– IP Address Resolution Protocol Request

– NetBIOS name request

• Questo tipo di traffico broadcast “inonda” l’intera rete

4

Limiti di un unico Dominio di Broadcast

• I broadcasts possono consumare tutta la banda disponibile (Broadcast storm)

• Ciascun device che riceve un broadcast frame e’ “costretto” ad analizzarlo– Questo comporta degli interrupts alla CPU con

degrado delle performance

5

I° Soluzione per localizzare il traffico Broadcast

• LAN Broadcasts terminano sulle interfacce dei router

10.1.1.0 10.1.2.0

10.1.3.0

6

II° Soluzione per localizzare il traffico Broadcast

• VLANs contengono il traffico di Broadcast

VLAN 1 VLAN 3

VLAN 2

7

VLAN

• Le VLAN definiscono un dominio di broadcast

• Tutti gli host “mappati” sulla stessa VLAN e’ come se condividessero uno stesso media fisico

• Possono partecipare ad una VLAN gruppi di porte lacalizzate in Switches diversi

• CISCO raccomanda la corrispondenza uno ad uno tra IP subnet, di 254 hosts e ciascuna VLAN

8

VLAN

• E’ necessario un Router per “ruotare” il traffico tra domini di Broadcast (VLAN)

VLAN 1 VLAN 2

9

Vantaggi delle VLAN

• Efficiente utilizzazione della banda– Tutto il traffico Broadcast e Multicast e’

contenuto nella VLAN cui corrisponde “normalmente” una IP subnet

– La complessita’ del routing tra VLAN e’ scaricata sul router

• Sicurezza

• Isolamento dei problemi

10

Come partecipano gli utenti ad una VLAN

• VLAN statiche– Vengono assegnate gruppi di porte sullo switch a

delle VLAN. L’utente partecipa alla VLAN mappata sulla propria porta dello switch

• VLAN dinamiche– L’utente partecipa alla VLAN in base al proprio

MAC Address. In questo modo si garantisce la mobilita’ dell’utente nell’edificio.

11

Configurare Static VLANs

Network Layer

Data Link LayerBroadcast Domains

Physical LayerLAN Switch

Human Layer

VLANAmministrazione

Primo piano

Secondopiano

Terzopiano

192.20.21.0 192.20.22.0 192.20.23.0

Collegamento Trunk

VLANkloe

VLANFinuda

12

Trunk Links• Ha la capacita’ di portare multiple VLANs

• E’ utilizzato per connettere tra di loro due switches o uno switch con un router

• Cisco supporta i trunk link su porte Fast Ethernet e Gigabit Ethernet

• Per distinguere il traffico delle VLANs nei trunk si utlizzano due metodi:– Cisco Inter-Switch Link o ISL (Proprietario)– IEEE 802.1Q (Standard)

13

VLAN Trunk Protocol (VTP)

• Grazie a questo protocollo e’ possibile definire, su uno Switch VTP Server, il database delle VLAN, che sara’ visibile su tutti gli Switch VTP Client

Switch VTP Server

Switches VTP Client

Su questo switch e’ possibile definire e cancellare VLANs

Su questi switches non sono possibili cambiamenti sul Database delle VLANs

14

Comandi per impostare il VTP

• set vtp domain infn• set vtp mode client/server• set vtp passwd ******

• VTP Pruning:– Grazie a questa funzionalita’ e’ possibile

ottimizzare il traffico sui trunk. – Verra’ inoltrato sui trunk, il traffico delle

VLANs effettivamente utilizzate dagli switches.

• set vtp pruning enable/disable

15

Configurare una VLAN statica

• Usare il comando set vlan per mappare delle porte o gruppi di porte ad una VLAN

Switch> (enable) set vlan vlan_num mod_num/port_list

Console> (enable) set vlan 850 3/4-7

VLAN 850 modified.

VLAN 1003 modified.

VLAN Mod/Ports

---- -----------------------

850 3/4-7

16

VLAN dinamiche• In questo esempio il VMPS server e il

VMPS client sono su switch separati

• Switch 1 e’ il primary VMPS server

• Switch 3 e 10 sono secondary VMPS servers

• Gli host sono connessi sui due Switch client 2 e 9

• Il database di configurazione e memorizzato sul TFTP Server con IP 172.20.22.7

17

Console> (enable) download vmps Re-initialization of Vlan Membership Policy Server with the downloaded configuration file is in progress. 6/14/1998,17:37:29:VMPS-2:PARSER: 82 lines parsed, Errors 0

Console> (enable) set vmps downloadserver 192.168.69.100 vmps_config.1 IP address of the server set to 192.168.69.100 VMPS configuration filename set to vmps_config.1

Impostazioni sul primary VMPS server•Impostiamo un server TFTP dal quale scaricare il database dei mac-address

•Forziamo il download dal TFTP server precedentemente indicato a seguito di cambiamenti sul database che vogliamo implementare

Console> (enable) set vmps state enable Vlan membership Policy Server enabled.

•Abilitiamo il VMPS

18

Impostazioni sui client VMPS

Console> (enable) set vmps server 192.168.10.140 primary 192.168.10.140 added to VMPS table as primary domain server. Console> (enable) set vmps server 192.168.69.171 192.168.69.171 added to VMPS table as backup domain server.

•Impostiamo i VMPS server ai quali inviare le query

Console> (enable) set port membership 3/1-3 dynamic Ports 3/1-3 vlan assignment set to dynamic. Spantree port fast start option enabled for ports 3/1-3.

Console> (enable) set port membership 3/1-3 static Ports 3/1-3 vlan assignment set to static.

•Impostiamo la modalita’ con cui le porte partecipano alla VLANs

19

Configurazione delle VLANs ai LNF

VLAN 131 o LANesterna mappata sulla network pubblica 192.84.131.X/24.Su questa VLAN vengono proiettati gli utenti ospiti i cui MAC sono sconosciuti dal VMPS. Inoltre sono collegati a questa VLAN tutti gli access point del wireless.Servizi disponibili: DHCP aperto senza che sia conosciuto il MAC, libero accesso ad Internet.Limiti: gli utenti su questa VLAN sono a tutti gli effetti utenti esterni e sono sottoposti alle stesse politiche dei filtri (access-list) di un qualsiasi utente del mondo Internet.

Attraverso il VMPS sono mappati su queste VLANs gli utenti i cui MAC sono noti e quindi sono presenti nel VMPS database.Servizi disponibili: DHCP solo per gli utenti con MAC noto.Sicurezza: le VLANs sono protette attraverso filtri dal mondo Internete dalla VLAN 131 degli ospiti.

Access PointVC 32MbpsVerso il GARR

Ospiti

Utenti interni

20

Suddivisione utenti interni

Vlan kloe

Vlan ac

Vlan Printers

Vlan HiddenPr

Vlan dante

Vlan default

Vlan sunr1

193.206.80.0/21 - LAN LNF

192.135.25.0/24 - LAN kloe1192.135.26.0/24 - LAN kloe2

192.84.129.0/24 - LANAmministrazione Centrale

192.168.132.0/24 LAN Stampanti LNF

192.168.128.0/24LAN Stampanti nascoste LNF (gestite dal calcolo)

192.168.192.0/24LAN Controllo Dafne

192.168.193.0/24LAN Controllo Dafne

Vlan ospiti

192.84.131.0/24 - LAN Esterna LNF

VC 32MbpsVerso il GARR

Print serverIndirizziPubblici

IndirizziPrivati

21

VLAN configurate e gestite con il VTP

swlnf1> (enable) show vlan

VLAN Name Status IfIndex Mod/Ports, Vlans---- -------------------------------- --------- ------- ------------------------1 default active 5 1/1 2/1-2 4/1-9,4/11-13,4/15-24 6/1-242 kloe active 341 128 HiddenPrinters active 343 4/10129 ac active 351 130 acprinter active 352 131 LANesterna active 342 4/14132 Printers active 344 160 PCMaster active 345 161 LabMaster active 347 176 Master active 346 192 dante active 348 193 sunr1 active 349 194 sunr2 active 350

22

File di configurazione residente sul TFTP Server

!vmps domain <domain-name>! The VMPS domain must be defined.!vmps mode { open | secure }! The default mode is open.!vmps fallback <vlan-name>!vmps no-domain-req { allow | deny }!! The default value is allow.vmps domain lnfvmps mode openvmps fallback LANesternavmps no-domain-req deny!!!MAC Addresses!vmps-mac-addrs!

23

File di configurazione residente sul TFTP Server

!vmps-mac-addrs!! address <addr> vlan-name <vlan_name>!! Network DANTE!address 0800.20ae.149c vlan-name danteaddress 0080.420b.b056 vlan-name dante!! SUNray Dafne 192.168.193.x!address 0800.20bd.4c6c vlan-name sunr1address 0800.20b9.0598 vlan-name sunr1!! SUNray Dafne 192.168.194.x!address 0800.20bc.daee vlan-name sunr2address 0800.20f8.8c6c vlan-name sunr2!! Lista PC e MAC dell' amministrazione centrale!address 0050.e46e.c301 vlan-name ac

24

File di configurazione residente sul TFTP Server

!Port Groups!!vmps-port-group <group-name>! device <device-id> { port <port-name> | all-ports }!vmps-port-group dinamico device 172.16.36.1 all-ports device 172.16.36.101 all-ports!!VLAN groups!!vmps-vlan-group <group-name>! vlan-name <vlan-name>vmps-vlan-group Laboratori vlan-name default vlan-name dante vlan-name sunr1 vlan-name sunr2!!VLAN port Policies!!vmps-port-policies {vlan-name <vlan_name> | vlan-group <group-name> }! { port-group <group-name> | device <device-id> port <port-name> }!vmps-port-policies vlan-group Laboratori port-group dinamico

25

Gestione degli utenti sul Primary VMPS Server

swlnf1> (enable) show vmps mac 00-00-39-db-60-eb default 172.16.36.101 4/26 367,08:16:27 Success 08-00-20-b0-fc-5d sunr1 172.16.9.1 6/34 367,08:13:27 Success 08-00-20-c3-fe-a4 dante 172.16.9.1 6/1 367,09:13:28 Success 08-00-20-fd-99-04 sunr2 0.0.0.0 0,00:00:00 Success 08-00-20-f8-8c-6c sunr2 172.16.9.1 6/35 367,09:13:28 Success 00-c0-85-2a-ef-bb HiddenPri 172.16.36.2 6/42 367,08:21:23 Success 00-c0-85-2b-9f-da HiddenPri 172.16.36.201 6/31 367,10:17:03 Success 00-80-ad-07-77-1e ac 0.0.0.0 0,00:00:00 Success 00-01-02-f5-ca-ec default 172.16.36.101 4/15 367,10:16:27 Success 00-01-02-f5-ca-ef default 172.16.36.201 4/28 367,08:17:00 Success

26

Vantaggi

• Minimizzazione del carico amministrativo per il network manager o per l’utente:– Garanzia di mobilita’ per gli host interni– Possibilita’ di connessione degli utenti

occasionali

• Sicurezza:– Controllo su base MAC degli host– Abilitazione sicura di prese non presidiate

27

Svantaggi

• VMPS proprietario CISCO

• Supportato sugli switch layer 2– Catalyst 2900, 3500, 4000, 5000 e 6000 families

• Supportato sugli switch layer 2 / 3– Nelle soluzioni ibride CATOS e IOS

• Startup difficoltoso per il censimento dei MAC Address

28

Evoluzione

• IEEE 802.1x autenticazione su base porta attraverso Server RADIUS– Assegnazione di VLAN in funzione della

username

• Client nativo solo su Microsoft XP

29

Domande?

angelo.veloce@lnf.infn.it