Tunelování VLAN a servisních protokolů 2. vrstvy v síti poskytovatele

Podobné dokumenty
Technologie počítačových sítí

Přepínače: VLANy, Spanning Tree

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

Projekt VRF LITE. Jiří Otisk, Filip Frank

Případová studie datové sítě

Základy IOS, Přepínače: Spanning Tree

Vyvažování zátěže na topologii přepínačů s redundandními linkami

Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc

Popis a ověření možností přepínacího modulu WIC- 4ESW pro směrovače Cisco

Projekt IEEE 802, normy ISO 8802

VLAN Membership Policy Server a protokol VQP Dynamické přiřazování do VLANů.

Konfigurace sítě s WLAN controllerem

Průzkum a ověření konfigurace Private VLAN na Cisco Catalyst 3560

VŠB - Technická univerzita Ostrava

VLSM Statické směrování

Virtální lokální sítě (VLAN)

Přepínaný Ethernet. Virtuální sítě.

12. VLAN, inter VLAN routing, VTP

Loop-Free Alternative (LFA)

VPLS, redundance přípojných linek na bázi MLAG

Část l«rozbočovače, přepínače a přepínání

Propojování sítí,, aktivní prvky a jejich principy

Switch - příklady. Příklady konfigurací pro switch.

Město Litvínov se sídlem Městský úřad Litvínov, náměstí Míru 11, Litvínov odbor systémového řízení

MPLS MPLS. Label. Switching) Michal Petřík -

Podpora QoS (L2, L3) na DSLAM Zyxel IP Express IES 1000

Směrovací protokoly, propojování sítí

SPS Úvod Technologie Ethernetu

Platforma Juniper QFabric

VPN - Virtual private networks

Windows Server 2003 Active Directory

EXTRAKT z technické normy ISO

Aktivní prvky: přepínače

Obsah. Úvod 13. Věnování 11 Poděkování 11

Nezávislé unicast a multicast topologie s využitím MBGP

Podstatou služby je přenos dat účastníka ve formě Ethernet rámců mezi rozhraními Ethernet/Fast Ethernet, event. Gigabit Ethernet, účastníka.

Počítačové sítě internet

BEZTŘÍDNÍ SMĚROVÁNÍ, RIP V2 CLASSLESS ROUTING, RIP V2

Zone-Based Firewall a CBAC na Cisco IOS

VLSM Statické směrování

L2 multicast v doméně s přepínači CISCO

L2 multicast v doméně s přepínači CISCO

Principy ATM sítí. Ing. Vladimír Horák Ústav výpočetní techniky Univerzity Karlovy Operační centrum sítě PASNET

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Popis Služby Ethernet Line

Bridging na Linuxu - příkaz brctl - demonstrace (všech) voleb na vhodně zvolených topologiích.

Cisco IOS TCL skriptování využití SMTP knihovny

Autentizace bezdrátových klientů jejich přiřazování do VLAN podle databáze FreeRADIUS

CCNA I. 3. Connecting to the Network. CCNA I.: 3. Connecting to the network

Semestrální projekt do předmětu SPS

Konfigurace směrovače, CDP

Virtuální sítě 2.část VLAN

Local Interconnect Network - LIN

Cisco IOS 3 - nastavení interface/portu - access, trunk, port security

Zajištění kvality služby (QoS) v operačním systému Windows

CARRIER ETHERNET MULTI POPIS SLUŽBY, CENY ZA PRODEJ, INSTALACI A SERVIS

NWA Příručka k rychlé instalaci. Dvoupásmový bezdrátový přístupový bod N třídy business

Kompletním IT Servery Docházkové systémy Počítačové stanice Tiskárny Zabezpečovací systémy Kamerové systémy Počítačové sítě

Počítačové sítě I. 9. Internetworking Miroslav Spousta,

Private VLANs - podpora u různých výrobců síťových prvků a ve VMWare

Budování sítě v datových centrech

Abychom se v IPv6 adresách lépe orientovali, rozdělíme si je dle způsobu adresování do několika skupin:

CCNA Network Upgrade

Projekt k předmětu Směrované a přepínané sítě. Ověření kompatibility implementací OSPF na Cisco IOS a Linuxu - různé typy oblastí

Projekt. Howto VRF/VPN na CISCO routerech v. 2. Zpracoval:BU KOVÁ Dagmar, BUC061

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

Route reflektory protokolu BGP

Použití Virtual NAT interfaces na Cisco IOS

Podpora a možnosti konfigurace VLAN GVRP a autentizace 802.1x na DSLAM Zyxel IES-1000

e1 e1 ROUTER2 Skupina1

Počítačové sítě 1 Přednáška č.7 Přepínané LAN sítě

Příkazy Cisco IOS. 1 Přehled módů. 1.2 Uživatelský mód (User Mode) 1.3 Privilegovaný mód (Privileged Mode) 1.1 Klávesové zkratky

Budování sítě v datových centrech

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Autentizace uživatele připojeného přes 802.1X k přepínači Cisco Catalyst 2900/3550 pomocí služby RADIUS

Datum vytvoření. Vytvořeno 18. října Očekávaný výstup. Žák chápe pojmy URL, IP, umí vyjmenovat běžné protokoly a ví, k čemu slouží

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

Zone-Based Firewall a CBAC na Cisco IOS

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Definice pojmů a přehled rozsahu služby

Systémy pro sběr a přenos dat

SIMATIC S IT. Micro Automation. Promoters Meeting October Představení CP IT SPIDER CONTROL TELESERVIS. TESTOVACÍ server.

EXTRAKT z české technické normy

ID listu: DATA_ETHERNET _ (poslední dvojčíslí označuje verzi listu)

Základní normalizované datové přenosy

MPLS Penultimate Hop Popping

STATUTÁRNÍ MĚSTO TEPLICE zastoupené Magistrátem města Teplice, oddělením informatiky a výpočetní techniky Náměstí Svobody 2, Teplice

Datové centrum pro potřeby moderního města. Koncepce, stav projektu, budoucí rozvoj B.Brablc, 06/16/09

Access přístupové a docházkové systémy

Počítačové sítě 1 Přednáška č.5

Služba GTS Ethernet line je navržena v souladu s technickými specifikacemi standardů MEF 6.1 a MEF 10.2.

Základní příkazy Cisco IOS pro správu směrovačů a přepínačů

Vítáme Vás 1 COPYRIGHT 2011 ALCATEL-LUCENT. ALL RIGHTS RESERVED.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Hlas. Robert Elbl COPYRIGHT 2011 ALCATEL-LUCENT ENTERPRISE. ALL RIGHTS RESERVED.

Počítačové sítě Implementace RM OSI. Počítačové sítě - Vrstva datových spojů 1

Transkript:

Tunelování VLAN a servisních protokolů 2. vrstvy v síti poskytovatele Jan Vavříček, Jan Gaura 10.6.2006 Obsah 1 Úvod aneb K čemu je tunelování protokolů dobré 2 2 802.1q 2 2.1 Trocha historie................................. 2 2.2 Tvar 802.1q rámce............................... 2 2.3 Tunelování VLANů............................... 4 3 802.1q over 802.1q 4 4 Konfigurace Q-in-Q na přepínačích Cisco 5 5 Tunelování STP a CDP 7 6 Závěr 8 A Konfigurace zákaznického přepínače 9 B Konfigurace přepínače poskytovatele 10 1

1 Úvod aneb K čemu je tunelování protokolů dobré Díky technologii tunelování jsme schopni před směrovači, nebo přepínači zamaskovat zařízení, které se nachází na spoji mezi nimi. Představme si tuto situaci na příkladu (který je použit i v dalších odstavcích) firmy, které má na dvou geograficky rozdílných místech svoje pobočky, ale z nějakého důvodu požaduje, aby celá její sít (v první a druhé pobočce dohromady) tvořila jednu broadcast doménu (spojitá na 2. vrstvě) a přitom aby v síti nebylo možno odhalit zařízení poskytovatele (realizující propojení poboček). Ono zamaskování zařízení poskytovatele spočívá v podstatě v nevměšování se do protokolů např.: STP (Spanning Tree Protocol), CDP (Cisco Discovery Protokol),... Není těžké si uvědomit, že STP běžící na sít ové topologii složené ze dvou komponent (v našem příkladu LAN jednotlivých poboček) a prvku je spojující, dopadne rozdilně, pokud tento spojovací prvek bude do STP vstupovat, nebo bude tvořit pouze spojovací tunel. Podobná situace je i u dalších protololů 2. vrstvy. Než přistoupíme k vlastní konfiguraci, připoměnme si co jsou a k čemu slouží VLANy (norma 802.1q) - budeme je při konfiguraci potřebovat. 2 802.1q 2.1 Trocha historie Historie virtuálních sítě začíná rokem 1995. Tehdy, rok po uvedení prvních přepínačů, se objevily první proprietární implementace VLAN. Ihned si získaly pozornost uživatelů tím, že umožní správcům snadnou segmentaci sítě do logických subsítí, které jsou nezávislé na fyzické vrstvě, virtuální sítě mohou zjednodušit úlohy managementu, jako jsou např. přesun či přidání pracovní stanice a vytváření logických pracovních skupin. 2.2 Tvar 802.1q rámce Technologie, která stojí za virtuálními sítěmi, je tedy založena na přepínačích. Virtuální sítě posouvají segmentaci sítí o krok dále tím, že oddělují fyzickou vrstvu sítě (první vrstvu dle OSI modelu) od logické sít ové topologie. Fungování 802.1q je poměrně triviální ethernetový rámec, který prochází z jednoho přepínače do druhého, aby dosahl cílové stanice, která se nachází ve stejném VLANu, je označen značnou (tagem) to jsou čtyři byty ke každému rámci navíc (čili overhead této technologie je víceméně zanedbatelný - viz obrázek 1). 2

Obrázek 1: Formát ethernetového rámce podle normy 802.1q Popis položek 802.1q rámce: TPID Pole TPID má definovanou hodnotu 8100 (hex). Má-li tedy toto pole (EtherType) hodnotu 8100, rámec nese informace IEEE 802.1q/ 802.1p Priority umožňuje zakódování až osmi úrovní priority rámců (0-7, nula je přitom nejnižší priorita) dle standardu 802.1p. VID jednoznačně identifikuje VLAN, do které rámec přísluší. Z velikosti pole (12 bitů) plyne teoretický max. počet virtuálních sítí (2 12 = 4096). Při používání 802.1q můžeme identifikovat dva základní režimy provozu portů na přepínačích jednak tzv. přístupové (access porty), po nichž teče provoz již netagovaný (typicky přepínač u odchozího rámce tag odstraní a naopak příchozí rámec tagem označí), a pak tzv. trunk porty, na nichž veškerý provoz naopak otagovaný je. Označování rámců má pochopitelně smysl jen při propojení více přepínačů dohromady. Pro snadnější pochopení uved me jednoduchý příklad: mějme dva přepínače, které jsou propojeny dohromady (např.: každý náleží jednomu patru budovy, přičemž potředujeme mít jednotlivá patra propojena). V některých portech přepínačů (a tedy i různých patrech) jsou připojeni například administratoři a v jiných ekonomové. Chceme zajistit, aby provoz administrátorů a ekonomů byl od sebe oddělen a přitom byli propojeni všichni admi- nistrátoři, respektive ekonomové. Řešení nám nabízí 802.1q: na obou přepínačích přidělíme portům administratorům jedno VID (VLAN ID) a ekonomům druhé (např.: 0x111 a 0x666) tím z nich uděláme access porty. Tímto zajístíme, že na JEDNOTLIVÝCH přepínačích se provoz nebude míchat. My ale potřebujeme mít propojeny administrátory respektive ekonomy z více přepínačů (pater) Toho dosáhneme propojením přepínačů trunk portem. Ted již máme sít v požadavaném stavu. 3

Za jediné úskalí používání 802.1q lze považovat délku rámce, která může překročit velikost bufferu ovladače sít ových karet nebo přímo HW, jehož obvyklá velikost pro 10/100Base- T činí 1518 bajtů. 2.3 Tunelování VLANů Mějme znovu příklad naší firmy se dvěmi oddělenými pobočkami. Navíc tato firma používá VLANy a tedy potřebuje, aby otagované rámce procházely mezi pobočkami. Spojení ale ve skutečnosti prochází přes poskytovatele připojení a ten nejspíš také využívá VLANy. Takže pokud by bylo připojení realizováno pouze trunk portem, provoz zákazníka a poskytovatele by se míchal a provoz by nemusel dorazit ke správnému cíli. Když poskytovatel, který vlastní 802.1q infrastrukturu, prodá zákazníkovi spoj v rámci své sítě, prodává mu vlastně jen jednu VLAN. Nicméně zákazník také využívá 802.1q a chce přes tento spoj přenášet své, již tagované, rámce a tedy více VLANů. Existují samozřejmě polovičatá řešení tohoto problému, jako je varianta nabídnout zákazníkovi k dotyčnému spoji více VLAN (a fyzickou realizaci přípojky provést jako trunk), ale to je záležitost z hlediska administrace a zejména koordinace se zákazníkem poměrně náročná a to jak při samotné instalaci, tak samozřejmě i při řešení provozních problémů či údržbě. Takové řešení není ideální pro zákazníka a už vůbec ne pro poskytovatele, mimo jiné i proto, že VLANů je pouze 2 12. Řešení problému však existuje je jím technologie 802.1q over 802.1q, zkráceně Q- in-q. O co jde? Myšlenka je poměrně jednoduchá když mohu označit rámec jednou, proč jej neoznačit vícekrát? Již otagovaný rámec je tedy otagován znovu. První otagování rámce provede kupříkladu zařízení zákazníka, druhé otagování přístupové zařízení poskytovatele. 3 802.1q over 802.1q Co je na celé věci zajímavé, je skutečnost, že Q-in-Q nemusejí podporovat ani zařízení zákazníka, ani všechna zařízení poskytovatele na trase, ale pouze ta zařízení, která provádějí druhé označení rámce (a pochopitelně zároveň odstranění značky v opačném směru) tzv. edge přepínač (zapojení na obrázku 2 bylo použito k testování Q-in-Q). Ostatní zařízení si přečtou pouze druhý (tedy přesněji v dotyčném rámci v pořadí první, jako druhý byl přidán) tag, považují tento rámec za součást jedné VLAN a další obsah rámce je nezajímá. Na edge zařízeních přibývá kromě režimu linek trunk a access další režim fungování portu režim dot1q-tunnel, v němž se port přepínače chová víceméně jako v režimu access, s rozdílem že otaguje všechny rámce nezávisle na tom, zda již nějaký tag mají či nikoli (čili již otagované rámce otaguje znovu respektive odstrani vnější tag z 2x tagovaných rámců). Zařízení zákazníka, zapojené proti portu v režimu dot1q-tunnel, je nakonfigurováno v běžném režimu trunk. Jediné, co je nezbytné vyladit, je délka rámců, která nám o další čtyři byty roste každým zabalením. Na portu přepínače, nastaveného v režimu dot1q-tunnel, je možné zapnout tunelování různých L2 protokolů, jako je STP, CDP, apod., takže pro zákazníka se Q-in-Q tunel může 4

Obrázek 2: Testované zapojení, realizující tunelování tvářit jako čistý point-to-point spoj bez další L2 infrastruktrury na trase. Ted se pochopitelně nabízí otázka, zda je možné otagovat rámec ještě vícekrát (tedy Q-in-Q-in-Q nebo Q-in-Q-in-Q-in-Q atd). Pochopitelně to možné je a víceméně v dalším tagování nikomu nic nebrání, kromě nutnosti postupného rozbalování rámců v kaskádě přepínačů a také hlídání maximální délky rámce. Teoreticky je tedy při MTU 9 kb možné 1518 bajtů dlouhý netagovaný rámec otagovat zhruba 1750x, přičemž overhead v takovém případě činí cca 800 %, u kratších rámců i mnohem více. Otázka pochopitelně zní, k čemu je to dobré. 4 Konfigurace Q-in-Q na přepínačích Cisco Rozdělme si přepínače na dvě skupiny přepínače zákazníka a poskytovatele. Naši snahou bude nakonfigurovat Q-in-Q pokud možno tak, aby zákazník NIC nevědel a tedy nemusel nic specialního nastavovat. Na obrázku 2 je naznačeno testovací zapojení. Zákazník má na svých přepínačích nastaveny pouze VLANy a to podle svých potřeb. Port vedoucí k poskytovateli (v obrázku 2 a testovaných konfiguracích má číslo 1) je v režimu trunk. To je veškeré požadované nastavení na straně zákazníka postačí mu tedy přepínače rozumící si pouze s VLANy (v testovacím zapojení použity přepínače Cisco 2950). Konfigurace přepínače poskytovatele není nijak obtížná. Port příslušející konkrétnímu zákazníkovi patří do VLANu, kterým si tohoto zákazníka označíme (jeho specifická identifikace). Tímto identifikátorem VLANu je označen znovu 802.1q rámec přicházející od zákazníka (který má rámec označet svým VLANem jde tedy o zmínený vnější tag) označován jako metro VLAN. Takový Q-in-Q rámec odchází trunk portem do sítě poskytovatele. Na cestu k druhéhu edge přepínači jsou kladeny dva nároky: MTU (Maximal Transfer Unit) musí být zvětšena (na edge přepínačích i přepinačích na cestě) a provoz musí procházet skrze trunk porty. 5

Část konfigurace zákaznického přepínače (kompletní konfigurace jsou v přílohách): vlan 2 name customer-vlan2 vlan 3 name customer-vlan3 vlan 5 name customer-vlan5 interface FastEthernet0/1 switchport mode trunk interface FastEthernet0/4 switchport access vlan 2 interface FastEthernet0/6 interface FastEthernet0/10 switchport access vlan 5 Část konfigurace přepínače poskytovatele: system mtu 1525 vlan 3 name MyCustomer-VLAN3 interface FastEthernet0/1 switchport mode dot1q-tunnel l2protocol-tunnel cdp l2protocol-tunnel stp l2protocol-tunnel vtp interface FastEthernet0/5 switchport trunk encapsulation dot1q switchport mode trunk interface FastEthernet0/10 switchport mode dot1q-tunnel l2protocol-tunnel cdp l2protocol-tunnel stp l2protocol-tunnel vtp 6

Příkazy l2protocol-tunnel slouží k tunelování protolů 2. vrstvy. Lze je použít i bez tunelovaní VLANů (Q-in-Q) a obdobně Q-in-Q lze taky provozovat bez tunelování protokolů 2. vrstvy viz další odstavce. 5 Tunelování STP a CDP Na obrázku 3 je zapojení, které požadujeme co si ale počít, pokud jsou přepínače zapojený do nějakého centrálního přepínače (kterým chceme podobné topologie vytvářet elektronicky bez nutnosti fyzického zásahu do propojení přepínačů), jak je to zobrazeno v obrázku 4? Řešení je jednoduché využijeme tunelování. Obrázek 3: Požadované logické zapojení přepínačů Obrázek 4: Realizace propojení přepínačů z obrázku 3 Nejprve propojíme sousední přepínače pomocí VLANů definovaných na centrálním přepínači, jak bylo naznačeno na obrázku 4. Ted již máme přepínače propojený, ale centralní prvek se nám bude plest do STP (Spanning Tree Protocol) a bude se objevovat v CDP (Cisco Discovery Protocol) namísto sousedních přepínačů. Touto konfigurací dosáhneme potřebného efektu ted se centrálni prvek nebude projevovat v STP a nebude se propagovat do CDP, ale bude tyto protokoly propuštět. 7

Konfigurace jednoho z portů na centrálním prvku: interface FastEthernet0/1 switchport mode access l2protocol-tunnel cdp l2protocol-tunnel stp l2protocol-tunnel vtp no cdp enable 6 Závěr Pokud se vrátíme k našemu příkladu s firmou, uvedením příkazů pro tunelování protokolů 2. vrstvy získamé na edge přepínači (spolu s již nastaveným Q-in-Q) tunel, kterým nezměněně prochází SPT, CDP a 802.1q takže celý spoj mezi pobočkami (který může být osazen mnoha prvky) se pro nás bude jevit jako spojení point-to-point. 8

A Konfigurace zákaznického přepínače version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption hostname SW3 ip subnet-zero no ip domain-lookup vtp mode transparent spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id vlan 2 name customer-vlan2 vlan 3 name customer-vlan3 vlan 5 name customer-vlan5 interface FastEthernet0/1 switchport mode trunk interface FastEthernet0/4 switchport access vlan 2 interface FastEthernet0/5 interface FastEthernet0/6 interface FastEthernet0/10 switchport access vlan 5 ip http server line con 0 logging synchronous line vty 0 4 login line vty 5 15 login end 9

B Konfigurace přepínače poskytovatele version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption hostname SW-RS2-ISP ip subnet-zero no ip domain-lookup ip ssh time-out 120 ip ssh authentication-retries 3 vtp domain cisco vtp mode transparent spanning-tree mode pvst spanning-tree extend system-id vlan 3 name MyCustomer-VLAN3 interface FastEthernet0/1 switchport mode dot1q-tunnel l2protocol-tunnel cdp l2protocol-tunnel stp l2protocol-tunnel vtp interface FastEthernet0/2 interface FastEthernet0/3 interface FastEthernet0/4 interface FastEthernet0/5 switchport trunk encapsulation dot1q switchport mode trunk interface FastEthernet0/6 interface FastEthernet0/7 interface FastEthernet0/8 interface FastEthernet0/9 interface FastEthernet0/10 switchport mode dot1q-tunnel interface FastEthernet0/11 interface FastEthernet0/12 interface FastEthernet0/13 interface FastEthernet0/14 interface FastEthernet0/15 ip classless ip http server line con 0 logging synchronous line vty 0 4 login line vty 5 15 login end 10

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář