VLAN - Università di Palermo

VLANVLANUniversitàdi PalermoVLAN 1LA

SwitchesFunzionamento degli switch di layer 2Ricordiamo che le reti Ethernet con media condiviso che usano gli hub,molti host sono connessi ad un singolo dominio broadcast e di collisioneLe reti Ethernet con media condiviso operano nel livello 1 di OSILe reti switched operano ad un livello 2, 3 o 4A livello base uno switch opera a livello 2 e opera l’instradamentobasandosi sui MAC addressLo switch inizialmente non conosce dove instradare un pacchettocon un dato Destination MAC addressUniversitàdi PalermoVLAN 2LA

Switches (2)Lo switch man mano che riceve dei pacchetti costruisce una tabella adue colonne in ogni riga della quale vi è il Source MAC address e laporta attraverso cui è stato ricevutoQuando deve trasmettere un pacchetto verso un dato MAC addresslo switch ricerca il MAC address nella tabella e, se lo trova, pone inuscita il pacchetto sulla porta corrispondente a quel MAC addressSe nella MAC Address Table non è presente quell’address loswitch pone il pacchetto in uscita su tutte le porte (flooding)Universitàdi PalermoVLAN 3LA

VLANVirtual Local Access NetworkUn gruppo di host accomunati da un qualche requirement checomunicano come se fossero connessi sullo stesso segmentodi network anche se non lo sonoLE VLAN si comportano come reti fisiche anche se non lo sonoLa gestione di queste network virtuali viene fatta via softwareSi tratta di LAN di tipo switchedLe VLAN operano a livello 2, mentre le subnet IP operano a livello 3In una LAN che utilizza le VLAN esiste spesso una corrispondenzabiunivoca tra VLAN e subnet IPUniversitàdi PalermoLA

VLAN sketchPiano 3Piano 2Piano 1Universitàdi PalermoRepartoAmmin.RepartoTecnicoRepartoCommerc.VLAN 5LA

4 tipi di VLANTipi di VLAN Port-Based VLAN: Ogni porta di switch è configurata con una access listche specifica l’appartenenza ad un insieme di VLAN MAC-based VLAN: Uno switch è configurato con una access listche accoppia i MAC address con a la VLAN Protocol-based VLAN: Uno switch è configurato con una lista che uniscei protocolli di layer 3 all’appartenenza ad una VLAN ATM VLAN – fanno uso del protocollo LAN Emulation (LANE) per mapparei pacchetti Ethernet in celle ATM e consegnarli alla loro destinazioneconvertendo MAC address Ethernet in un ATM addressUniversitàdi PalermoVLAN 6LA

Standard VLANIn pratica con una VLAN si possono mettere in contatto tra loro – come sefossero sulla stessa LAN – degli host che si trovano su LAN differentiLe VLAN non furono previste nel protocollo IEEE 802 originarioEsse sono state introdotte successivamente con lo standard 801.QPer quel che riguarda la VLAN Ethernet si fa riferimento a IEEE 802.3acche definisce l’estensione del formato del frame necessariaper supportare le etichette (tag) VLAN sulle LAN EthernetNon tutte le LAN fanno uso delle tag VLAN e quindi, oltre al valoredelle tag si è dovuto definire come specificare l’esistenza delle VLANUniversitàdi PalermoVLAN 7LA

IEEE 802.1QMeccanismo standard per consentire l’esistenza di più reti bridged checondividono in modo trasparente gli stessi link fisici senza che vi siatra esse scambio di informazioneLo standard 802.1Q definisce con precisione il concetto di Virtual Lano VLAN come LAN switched e quindi basate su un bridging al layer MAC,suddivise logicamente in rapporto alla funzione, team o applicazionesenza riguardo alla locazione fisicaSempre lo standard 802.1Q definisce il rapporto tra VLAN elo spanning-tree protocol IEEE 802.1DUniversitàdi PalermoVLAN 8LA

Field Ether/TypeIl formato del frame Ethernet come definito nella IEEE 802.3 è:8 byte 1 byte 6 byte 6 byte 2 byte 46 – 1550 byte 4 bytePreambleSFDDestMAC addrSourceMAC addrTypeLengthPayloadFCSPer il field Type/Length vale la convenzione che i valori tra 0 e 1500indicano l’uso del formato Ethernet 802.3 originale con un campo Lengthmentre i valori ≥ 1536 (H0600) indicano l’uso del formato DIX con uncampo Type che è un identificatore dell’Upper Layer ProtocolH0800 IPv4H86DD IPv6H0806. . . . .ARP. . . . . .Universitàdi PalermoVLAN 9LA

Field Ether/typeLo standard IEEE 802.3ac ha introdotto per consentire la presenza del Q tagun nuovo field di 2 + 2 byte che precede il field Type/LengthVLAN fieldPRE SFD DA SA Type/Length Data PAD FCS802.1QTPIDTag ControlInformation802.1Q Tag Protocol ID (TPID) è H8100. Quando un frame che contiene questovalore dichiara di contenere un tag IEEE 802.1Q/802.1P. Questo valore non puòessere confuso con quello di un field Length/TypeTag ControlInformationUniversitàdi PalermoUserPriorityCFIVLAN ID3 bit 1 bit 12 bitVLAN 10LA

Universitàdi PalermoIEEE 802.3acTag Control Information contiene 3 sub-field: User Priority di 3 bit presenta il livello di priorità per il frame(uso definito in IEEE 802.1P) CFI (Canonical Format Indicator) di 1 bit per indicarela presenza di un Routing Information FieldCFI è sempre posto a 0 dagli gli switch Ethernet,esiste per compatibilità tra Ethernet e Token Ring VLAN ID di 12 bit che permette l’identificazionedi 2^12 = 4096 VLANIl VLAN ID 0 è usato per indicare i priority frames e il valore 4095 (FFF)è riservato, rimangono quindi 4,094 possibili identificatoriVLAN tagging porta la lunghezza massima del frame Ethernet da 1518 a 1522 byteVLAN 11LA

IEEE 802.3acL’elemento MAC che riceve il frame legge il valore del reserved type, che si trovanella posizione in cui normalmente è il field Length/Type, e tratta il framericevuto come un frame VLANSuccessivamente Se l’elemento MAC è installato nella porta di uno switch, il frame è inoltratosecondo la sua priorità a tutte le porte che sono associate con il VLAN ID Se l’elemento MAC è installato in una end station, il VLAN header vienerimosso e il frame è trattato nel modo normaleIl VLAN tagging richiede che tutti i nodi coinvolti in un gruppo VLANsupportino l’option VLANUna end station normalmente ignora di far parte di una VLAN e quindiil VLAN header viene inserito dallo porta dello switch cui essa è connessaUniversitàdi PalermoVLAN 12LA

UtilitàUn esempio dell’utilità delle VLAN è quello di una istituzione che desidera fornireuna rete logica separata a ciascun dipartimento usando un’unica rete di societàA ciascun dipartimento, anche con sedi geograficamente distanti,viene assegnata una VLAN unicaSi configurano gli edge switch della rete per inserire un opportuno tag diVLAN in tutti i frame dati in arrivo da dispositivi in un dato dipartimentoDopo che i frame sono routed attraverso la rete, la tag di VLAN èè eliminata prima che il frame sia inviato ad un dispositivo didipartimento che si trova possibilmente in un’altra localitàI router possono essere configurati per instradare nel modo voluto i framedelle varie VLAN (che sono assegnate a subnet differenti)In questo modo un dipartimento non può essere infiltrato e/o spiato da un altroUniversitàdi PalermoVLAN 13LA

Rete di campusDep. 1INTERNETDep. 1Dep. 2Dep. 4Dep. 3Dep. 2Universitàdi PalermoVLAN 14LA

Double taggingFrequentemente il traffico tra differenti VLAN viene instradato su retidi Internet Service Provider che a loro volta usano delle proprie VLANIn questi casi è necessario aggiungere alla tag originaria (inner tag)un’altra tag esterna (outer) fornita dall’Internet Service ProviderLa tag outer viene per prima seguita dalla inner tagLa outer tag, dovendo essere distinta dalla inner tag, deve esseredifferente e la norma specifica per questo caso il valore 88a8Spesso gli ISP usano valori diversi dallo standardUniversitàdi PalermoVLAN 15LA

TrunkingUna possibile suddivisione delle linee di telecomunicazioni è quella inaccess lines e trunk linesLe prime sono delle risorse indivise usateper il traffico di un utente (linee di utente) mentre le seconde sono dellerisorse condivise usate per il traffico fra gli autocommutatoriNelle reti switched i link che connettono un device a unoswitch trasportano il traffico di una VLAN, ma gli switchdevono essere connessi tra loro con dei link che trasportanoil traffico appartenente a più VLAN differentiQuesti sono link di trunking o trunk lines o trunkLe trunk lines, trasportando su un singolo link il traffico di piùVLAN permettono di estendere le VLAN sull’intera reteUniversitàdi PalermoVLAN 16LA

Trunking (2)Con le VLAN il traffico broadcast o multicast si sviluppa soltantonella VLAN pertinente, diminuendo quindi il traffico complessivoUn fattore molto importante è costituito dalla estensionedella rete che viene suddivisa in VLANSe questa rete è tale che tutti i device sono connessi ad un unicoswitch la gestione delle VLAN è problema interno allo switchDifferente la situazione se la rete fa capo a più di uno switch in cui(è la situazione più frequente) su ogni switch operano le diverse VLANIn questo caso vi saranno dei link tra gli switch e tra questi e i routersu cui vi sarà il traffico di più VLAN ossia saranno delle trunk linesUniversitàdi PalermoVLAN 17LA

Trunking (3)Perché il meccanismo di trunking possa funzionare serve un protocolloPer consentire la presenza di pacchetti di più VLAN su un linkè necessario poter distinguere i pacchetti delle diverse VLANLa procedura più comune è quella che permette di distinguere i framein base al tag IEEE 802.1Q che è un’etichetta per le varie VLANEsistono anche altri meccanismi come Inter Switch Link (ISL) che èun protocollo proprietario della Cisco e LANE usato nei sistemi ATMIn ambienti multivendor si usa sempre lo standard 802.1QUniversitàdi PalermoVLAN 18LA

Trunking (4)In pratica quindi il trunking viene effettuato tramite una sortadi incapsulamento (tipicamente IEEE 802.1Q)Ricordiamo che i frame appartenenti ad una VLAN si propaganonell’ambito di quella VLANQuindi host appartenenti a VLAN differenti possono comunicaretra loro soltanto attraverso un routerIn altre parole una trunk line che connette uno switch ad unrouter consente il routing inter-VLANLe interfacce consentono diversi modi di trunking dipendenti dal tipodi interfaccia (Ethernet, Token ring, etc) e dall’O.S. dello switchUniversitàdi PalermoVLAN 19LA

Trunking (5)Tratteremo soltanto delle VLAN EthernetLe interfacce Ethernet sopportano diversi trunking modeIn ogni modo un’interfaccia è ad un’estremità di un link punto-puntoe deve operare in modo compatibile con quello dell’altra estremità,risultato raggiungibile configurando manualmente nello stesso modole due estremità o con una negoziazione tre le due estremitàIl Dynamic Trunking Protocol (DTP) è un protocollo proprietariosviluppato da Cisco per la negoziazione del trunking su un linktra due switch facenti parte di una VLAN e per la negoziazionedel tipo di trunking encapsulation da usareAttenzione: Non tutti i dispositivi supportano il DTPUniversitàdi PalermoVLAN 20LA

Trunk modeLa porta di uno switch può essere impostata in 6 modiAccess - La porta è in modo non-trunking permanenteTrunk – La porta è in modo trunking permanenteDynamic auto – La porta può accettare di entrare in modo trunk e lo fa sel’altra estremità è in modo trunk o dynamic desirable (default)Dynamic desirable – La porta tenta attivamente di entrare in modo trunk elo fa se l’altra estremità è in modo trunk, dynamic autoo dynamic desirableNonegotiate - La porta non tenta in alcun modo di negoziareDot1q-tunnel – La porta è configurata in modo tunnel verso un’altraporta 802.1QUniversitàdi PalermoVLAN 21LA

EncapsulationDopo che una porta è stata posta in modo trunk bisognaspecificare quale tipo di incapsulamento si vuoleEncapsulation dot1q – Incapsulamento 802.1QEncapsulation isl – Incapsulamento ISLEncapsulation negotiate – Incapsulamento da negoziarecon l’altra estremitàUniversitàdi PalermoVLAN 22LA

Native VLANLo standard IEEE 802.1Q introduce il concetto di native VLANI frame che appartengono alla native VLAN non vengonomodificati allorché trasmessi su un trunkIn sostanza ai frame della native VLAN, con l’incapsulamento802.1Q, non vengono aggiunti i 4 byte che definiscono la VLANOvviamente può esistere una sola native VLANLa native VLAN è automaticamente presenteQualsiasi porta 802.1Q può avere solo una native VLAN, ma ogniporta su di un dispositivo può avere una diversa native VLANUniversitàdi PalermoVLAN 23LA

VTPLa configurazione e amministrazione delle VLAN su una rete può essereeffettuata agendo manualmente su ogni singolo dispositivo oin modo centralizzato tramite un server e un protocollo opportunoLa procedura manuale può essere effettuata solo su piccole reti,diversamente risulta faticosa e provoca facilmente inconsistenzeIl VTP (VLAN Trunking Protocol) è un protocollo di Layer 2 per loscambio di messaggi che mantiene la consistenza della configurazionedelle VLAN gestendo l’aggiunta, eliminazione e ridenominazionedelle VLAN su tutta la reteVTP è un protocollo proprietario CiscoUniversitàdi PalermoVLAN 24LA

VTP (2)Tre modi di funzionamento dei vari dispositivi: Server Client TransparentIn server mode (default) sono ammesse tutte le variazioni locali equeste variazioni sono propagate sulla reteIn client mode non è possibile effettuare manualmente sul singolodispositivo alcuna variazione mentre le si può tramite un serverIn transparent mode la configurazione delle VLAN può esserevariata localmente ma l’informazione non è propagata sulla rete,inoltre il dispositivo si lascia attraversare dai messaggi di updateUniversitàdi PalermoVLAN 25LA

VTP (3)I server VTP pubblicizzano a tutti gli switch abilitati a VTPesistenti nel domain VTP le informazioni circa le VLANLe informazioni circa la configurazione delle VLAN èconservata dai server VTP in una memoria non volatileI client VTP conservano le informazioni circa la configurazionedelle VLAN nella loro RAMUniversitàdi PalermoVLAN 26LA

VTP (4)In una rete con molti dispositivi se ne configurerà uno (o anche due)come server e tutti gli altri come clientTutte le variazioni verranno effettuate sul server che lecomunicherà a tutti i clientPrima che il sistema possa funzionare è necessario definireun domain VTPIl server VTP trasmette ogni 5 minuti o ogni volta che si effettua uncambiamento nel database delle VLAN un advertisementUniversitàdi PalermoVLAN 27LA

VTP (5)Un Domain VTP è formato da un insieme di switch interconnessiTutti gli switches in un domain VTP condividono i parametri delleVLAN che vengono comunicati usando advertisement VTPIl confine di un domain VTP è costituito da un routero da uno switch di livello 3Domain ADomain BR-1Universitàdi PalermoVLAN 28LA

VTP (6)Il messaggio di advertisement contiene: Il domain name VTPInformazioniglobali Il configuration revision number Update identity and update timestamp Digest MD5 Formato del frame VLAN IDInformazionispecificheper ogni VLAN VLAN name VLAN type VLAN stateUniversitàdi Palermo Informazioni specifiche per la VLANVLAN 29LA

VTP pruningEsistono diverse VLANma soltanto la porta xdi S1 e la porta y di S7sono assegnate allaVLAN auditingS7p. yL’host connesso a S1invia un broadcastS6S8Si verifica unaquantità ditraffico inutileche intasa la reteS2p. xS3S4S5Universitàdi PalermoS1VLAN 30LA

VTP pruningIl pruning blocca il trafficoflooded non necessario versole VLAN sulle porte di trunkche sono incluse nellapruning-eligible listS7p. yIl pruning aumenta labanda disponibile nellarete limitando il trafficoflooded a quei trunklink che si devonousare perraggiungere idispositivi didestinazioneUniversitàdi PalermoS2p. xS1VLAN 31S6S3S4S8S5LA

VTP pruningIl pruning viene attivato tramite VTP quindi si parla di VTP pruningIl VTP pruning non funziona in VTP transparent modeLe VLAN vengono dichiarate pruning-eligible oppure no e soloquelle dichiarate pruning-eligible sono trattateIl VTP pruning si applica alle porte di trunkUniversitàdi PalermoVLAN 32LA

Port mirroringL’avvento delle reti switched ha comportato un notevole aumentodelle difficoltà di monitorare il trafficoNelle reti basate su hub o su bus basta porre uno snifferin ascolto sulla rete ed questo intercetta tutto il trafficoIn una rete switched su un link scorre solo il traffico diretto aquella porta mentre è disabilitato ogni traffico bidirezionaleLa soluzione normale è quella di duplicare il traffico in/outdi una porta su un’altra porta (mirroring)La porta su cui viene mirrored il traffico deve essere liberae non ha traffico suo proprioUniversitàdi PalermoVLAN 33LA

IP & MAC filteringNegli switch è possibile attivare diversi sistema di sicurezzaPossibile basarsi sugli IP address definendo una apposita ACLLa ACL può essere statica o definita dinamicamente tramite DHCPPossibile pure effettuare il filtraggio basandosi sui MAC addressQueste procedure di sicurezza sono in pratica molto deboliperché un host può facilmente cambiare il suo IP addresscome pure il suo MAC addressUniversitàdi PalermoVLAN 34LA

Spanning treeNegli switch, al fine di evitare la formazione di loop, è necessariodefinire uno spanning-tree e quindi serve un protocollo appositoNormalmente si fa uso di STP (Spanning-Tree Protocol) che è unprotocollo definito nello standard IEEE 802.1DSTP, oltre a prevenire la formazione di loop,fornisce la path redundancyLo Spanning Tree Protocol è un protocollo di livello 2 OSISTP crea uno spanning tree all’interno di una rete magliata formatada switch di livello 2, disabilitando i link che non fanno parte dell’alberoe lasciando un unico path attivo tra qualsiasi due nodi della reteUniversitàdi PalermoVLAN 35LA

Logica di STP82336121619 47Universitàdi PalermoVLAN 36LA

Funzioni di STPElezione di un root bridgeDefinizione dei pathDeterminazione dei ruoli delle porteCiascun bridge ha un suo MAC addressCiascun bridge ha un suo priority number (configurabile da admin)Il cosiddetto bridge ID (BID) è formato priority number e MAC addressBridgepriorityMACaddress2B6BUniversitàdi PalermoBIDPerché STP possa svolgere le sue funzioni serve lo scambio di informazioniVLAN 37LA

Funzioni di STP (2)Ciò viene fatto tramite lo scambio di opportune PDU:le Bridge Protocol Data Unit (BPDU)Con le BPDU i bridge si scambiano informazioni circa iBID e i costi dei diversi pathLe BPDU sono scambiate di default ogni 2 secondiI bridge trasmettono i frame BPDU usando come source addressil MAC address della porta e come destination address unmulticast address specifico di STP e cioè 01:80:C2:00:00:00Universitàdi PalermoVLAN 38LA

BPDULe parti di una BPDU sono:Root BIDPath cost to root bridgeSender BIDPort IDUniversitàdi PalermoVLAN 39LA

Elezione rootCome root bridge viene scelto quello con il più basso BIDOgni porta di uno switch ha un suoID lungo 16 bit con due parti:6 bit priority e 10 bit port numberIl confronto viene effettuato prima sui priority number e dopo sui MAC addressVolendo forzare la scelta di un bridge gli si darà un’alta priorityInizialmente ciascuno switch considera se stesso come il root bridgeQuando uno switch viene connesso alla rete trasmette una BPDUcon il suo BID come root BIDQuando l’altro switch riceve la BPDU, confronta la BID che ricevecon la sua (che aveva conservata considerandola come root BID)Se la nuova root BID ha un valore più basso, sostituisce quella conservataUniversitàdi PalermoVLAN 40LA