Zaawansowane Przełączanie IP

ZPIP - v2015 1

dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/

Połączony model sieci

ZPIP - v2015 2

ZPIP - v2015 3

Hierarchiczny model sieci

SSL VPNFirewallIPSec VPN

IPS

L2 Switch

L2/L3 Switch

L2/L3Switch

L2/L3Switch

WAN Edge Router

WAN Edge Router

Servers + Storage

L2/L3 Switch

Hard to manage

STP in a flat L2

access network

Security Sprawl

WAN Edge

Core Tier

Aggregation

Tier

Access

Tier

Hierarchiczny model sieci

Zalety modelu hierarchicznego:

Skalowalność

Utrzymanie, konserwacja, przywracanie po

awariach (modularna budowa)

Nadmiarowość

Wydajność

Bezpieczeństwo

Zarządzanie

ZPIP - v2015 4

Hierarchiczny model sieci

Połączenie warstw Dystrybucji i Rdzenia w jedną.

ZPIP - v2015 5

Distribution

Access

Core

Multi-Tier Collapsed distribution & core

Hierarchiczny model sieci

Połączenie wszystkich warstw w jedną (Data Center), innych charakter ruchu.

ZPIP - v2015 6

Client – Server Architecture Service Oriented Architecture

Server Server

Server

Server

Server

Server

95%25%

Client

A

D

CB

DB

A

D

CB

DB

75%

Hierarchiczny model sieci

Połączenie wszystkich warstw w jedną (Data Center).

ZPIP - v2015 7

ZPIP - v2015

8

WLA

BUILDING A BUILDING B

WLA

WLA

EX4300VC-2a

WLA

EX4300VC-3a

WLA

EX3300VC-1a

LAG

EX4600VC-1a

LAG

WLA

EX6200-1b

SRX Series

Cluster

LAG

WLA

App Servers

Centralized

DHCP and

other services

LAG

EX9200-1b

WLC

Cluster

Internet

Hierarchiczny model sieci

Przełączanie w warstwie 2

ZPIP - v2015 9

Bridging Mechanisms

Learning Forwarding Flooding Filtering Aging

LAN

VLAN

SwitchUser A

MAC: 00:26:88:02:74:86User D

MAC: 00:26:88:02:74:89

User B

MAC: 00:26:88:02:74:87

User C

MAC: 00:26:88:02:74:88

ge-0/0/6 ge-0/0/9

Hub

ge-0/0/7

MAC Address Interface

00:26:88:02:74:86 ge-0/0/6

00:26:88:02:74:87 ge-0/0/7

00:26:88:02:74:88 ge-0/0/7

00:26:88:02:74:89 ge-0/0/9Bridge Table

Pre TypeDA SA FCSData

Połączenia nadmiarowe

ZPIP - v2015 10

Pętla (loop)

W topologii opartej na przełącznikach (L2) istnienie aktywnych, alternatywnych ścieżek oznacza powstanie pętli!

Ramki krążą w nieskończoność, wolumen ruchu rośnie.

Brak mechanizmów ochronnych (w protokole Eth lub poza nim) np. TTL

ZPIP - v2015 11

Pętla (loop)

ZPIP - v2015 12

A

B

Broadcast lub brak znajomości docelowego MAC – oczywista oczywistość – zduplikowane ramki krążące w nieskończoność.

Unicast i znany docelowy MAC – efekt flip flop adresu MAC w tablicy przełączania (bo raz na jednym raz na innym porcie się ten sam MAC pojawia), bardzo obciążający dla CPU.

Dostępność, nadmiarowość

HA – High Availability:

VC – Virtual Chassis

STP – Spanning Tree Protocol

RTG – Redundant Trunk Groups

LAG – Link Aggregation Groups

ZPIP - v2015 13

VC, STP, RTG, LAG

ZPIP - v2015 14

JEX_11.a_C7_HighAvailability.ppt

VC

VCVC

LAGLAG

VC – Virtual Chassis

LAG – Link Aggregation Groups

15

EXSeries

Virtual Chassis

CLOSET 2

Aggregation/

CoreAccess

10GbE/40GbE

uplinks

10/40GbE

10/40G VCP

CLOSET 1

WLA

WLA

ZPIP - v2015

STP – Spanning Tree ProtocolRTG – Redundant Trunk Groups

ZPIP - v2015 16

Access

Aggregation

ge-0/0/1

ge-0/0/2

Switch-1 Switch-2

Switch-3 Switch-4 Switch-5

RSTP

RTG

CTI – laboratoria sieciowe

ZPIP - v2015 17

CTI – laboratoria sieciowe

Konsola urządzeń sieciowych dostępna poprzez serwer terminali (Opengear).

Wszystkie urządzenia, zgromadzone w laboratorium, mają porty konsolowe podłączone do serwera terminali.

Poprzez SSH np. putty należy połączyć się z serwerem terminali, nr portu TCP związany jest z nr fizycznego portu w serwerze terminali.

ZPIP - v2015 18

Zadanie 1 Przygotować 2 przełączniki EX3300 do

zadania (maks. 2 osoby w podgrupie):

Przywrócić fabryczną konfigurację

Nadać unikatową nazwę

Skonfigurować hasło dla root

ZPIP - v2015 19

Usuwanie haseł z urządzeń

ZPIP - v2015 20

Kasowanie konfiguracji startowych

ZPIP - v2015 21

Kasowanie konfiguracji startowych

Z menu urządzenia (EX3300):

MAINTENANCE:

SYSTEM REBOOT?

FACTORY DEFAULT?

ZPIP - v2015 22

IDLE

STATUS

MAINT

Konfigurowanie nazwy urządzenia

ZPIP - v2015 23

Zadanie 2 Skonfigurować na obu przełącznikach

wszystkie porty Ethernet RJ45 jako L2 z szybkością 100Mb/s.

ZPIP - v2015 24

Tryb L2 pracy portu/interfejsu

{master:0}[edit interfaces]

user@switch-1# show

ge-x/y/z {

unit 0 {

family ethernet-switching;

}

description opis;

ether-options {

link-mode tryb;

speed {

szybkosc;

}

}

}

ZPIP - v2015 25

{master:0}[edit interfaces]user@switch-1# showinterface-range nazwa {

member ge-0/0/1;member ge-0/0/3;member ge-0/0/4;member-range ge-0/0/6 to ge-0/0/9;unit 0 {

family ethernet-switching;}description opis;ether-options {

link-mode tryb;speed {

szybkosc;}

}}

show interfaces terse

Layer 2 interfaces should show the eth-switch value under the Proto column.

ZPIP - v2015 26

show interfaces extensive

ZPIP - v2015 27

Zadanie 3 Przygotować topologię zgodnie z

rysunkiem:

Sprawdzić i zinterpretować tablicę przełączania.

ZPIP - v2015 28

A

B

Sprawdzenie tablicy przełączania

ethernet-switching table

ZPIP - v2015 29

Czyszczenie tablicy przełączaniaclear ethernet-switching table

ZPIP - v2015 30

Statyczne wpisy do tablicy przełączania(pierwszeństwo mają wpisy dynamiczne)

ZPIP - v2015 31

{master:0}[edit ethernet-switching-options]user@switch# show static {

vlan default {mac 08:00:27:d2:e9:97 next-hop ge-0/0/22.0;mac 08:00:27:d2:e9:98 next-hop ge-0/0/11.0;mac 08:00:27:d2:e9:99 next-hop ge-0/0/10.0;

}}

Zadanie 4 Wyłączyć na obu przełącznikach

mechanizmy ochrony przed pętlami w warstwie L2:

Storm Control: JEX_11.a_C6_DeviceSecurity_and_FirewallFilters.ppt

Spanning Tree Protocol (i wszelkie jego odmiany): JEX_11.a_C4_SpanningTree.ppt

ZPIP - v2015 32

A

B

Zarządzanie mechanizmem Storm Control

Wyłączenie Storm Control dla ruchu broadcast, multicast, unknown-unicast:

ZPIP - v2015 33

{master:0}[edit]root# show ethernet-switching-optionsstorm-control {

interface all {no-broadcast;no-unknown-unicast;no-multicast;

}}

Zarządzanie protokołem Spanning Tree Protocol

Wyłączenie wszystkich wersji STP:

ZPIP - v2015 34

{master:0}[edit]root# show protocolsstp {

interface all {disable;

}}rstp {

interface all {disable;

}}mstp {

interface all {disable;

}}vstp {

vlan default {interface all {

disable;}

}}

Test

Uruchomić ping pomiędzy hostami.

Uruchomić wireshark na hostach.

Jakie są opóźnienia dla ping?

Jakie jest wykorzystanie pasma na aktywnych linkach?

Jakie jest obciążenie CPU?

Czy zmienia się tablica przełączania, jeśli tak to co i dlaczego?

ZPIP - v2015 35

Zadanie 5 Dodać dodatkowe połączenie pomiędzy

przełącznikami.

ZPIP - v2015 36

B

A

Test

Uruchomić ping pomiędzy hostami.

Uruchomić wireshark na hostach.

Jakie są opóźnienia dla ping?

Jakie jest wykorzystanie pasma na aktywnych linkach?

Jakie jest obciążenie CPU?

Czy zmienia się tablica przełączania, jeśli tak to co i dlaczego?

ZPIP - v2015 37

Zadanie 6 Włączyć na obu przełącznikach

mechanizm Storm Control.

ZPIP - v2015 38

B

A

Włączenie Storm Control z ustawieniami domyślnymiethernet-switching-options storm-controlinterface all

ZPIP - v2015 39

Test

Uruchomić ping pomiędzy hostami.

Uruchomić wireshark na hostach.

Jakie są opóźnienia dla ping?

Jakie jest wykorzystanie pasma na aktywnych linkach?

Ustawić opcje Storm Control tak aby opóźnienie ping spadło poniżej 10ms.

ZPIP - v2015 40

Zadanie 7 Włączyć na obu przełącznikach

mechanizm ochrony przed pętlami w warstwie L2:

RSTP: JEX_11.a_C4_SpanningTree.ppt

Zmienić aktywne połączenie.

ZPIP - v2015 41

B

A

Włączenie RSTP

Włączenie RSTP z domyślnymi ustawieniami:

[edit protocols]

user@switch# set rstp

Określenie kosztów interfejsów:[edit protocols]

user@switch# set rstp interface all cost x

user@switch# set rstp interface int-name cost x

ZPIP - v2015 42

show spanning-tree

ZPIP - v2015 43

Testy

Które połączenie zostało zablokowane?

Jakie jest wykorzystanie pasma na aktywnych linkach?

Jakie jest obciążenie CPU?

Czy zmienia się tablica przełączania, jeśli tak to co i dlaczego?

ZPIP - v2015 44

Testy

W trakcie przesyłania danych (iPerf + monitor Windows) pomiędzy hostami A i B:

rozłączyć link, który na obu portach jest w stanie FWD,

po chwili podłączyć ponownie rozłączony link.

Czy nastąpiły przerwy w transferze danych?

ZPIP - v2015 45

B

A

Testy

Przesyłać dane (iPerf + monitor Windows) pomiędzy A i B oraz w tym samym czasie pomiędzy C i D.

Jakie transfery zostały osiągnięte, dlaczego?

ZPIP - v2015 46

C

B

A

D

Zadanie 8 Wyłączyć na jednym przełączniku (access)

mechanizmy ochrony przed pętlami w warstwie L2:

RSTP

Drugi przełącznik (distribution) pozostaje z włączonym RSTP.

Włączyć na pierwszym przełączniku:

RTG JEX_11.a_C7_HighAvailability.ppt

ZPIP - v2015 47

B

A

Konfiguracja RTG

Wyłączyć RSTP

Utworzenie grupy interfejsów i dodanie do niej dwóch interfejsów z czego jeden jako główny primary.

Ustawienie czasu, po którym interfejs primaryzacznie ponownie przesyłać dane (po rozłączeniu i ponownym podłączeniu).

ZPIP - v2015 48

Konfiguracja RTG

ZPIP - v2015 49

{master:0}[edit ethernet-switching-options]root# showredundant-trunk-group {

group nazwa_grupy{preempt-cutover-timer czas;interface interfejs1;interface interfejs2 {

primary;}

}}

{master:0}[edit protocols]root# showrstp {

interface all {disable;

}}

show redundant-trunk-group

ZPIP - v2015 50

Testy

Które połączenie jest aktywne w ramach RTG?

Jaki jest status RSTP na przełączniku distribution ?

Jakie jest wykorzystanie pasma na aktywnych linkach?

Jakie jest obciążenie CPU?

Czy zmienia się tablica przełączania, jeśli tak to co i dlaczego?

ZPIP - v2015 51

Testy

W trakcie przesyłania danych (iPerf + monitor Windows) pomiędzy hostami A i B:

rozłączyć link, który na obu portach jest w stanie FWD,

po chwili podłączyć ponownie rozłączony link.

Czy nastąpiły przerwy w transferze danych?

ZPIP - v2015 52

B

A

Testy

Przesyłać dane (iPerf + monitor Windows) pomiędzy A i B oraz w tym samym czasie pomiędzy C i D.

Jakie transfery zostały osiągnięte, dlaczego?

ZPIP - v2015 53

C

B

A

D

Zadanie 9 Wyłączyć na obu przełącznikach mechanizmy

ochrony przed pętlami w warstwie L2:

RSTP i RTG

Zagregować w jedno połączenie logiczne wszystkie połączenia pomiędzy oboma przełącznikami:

LAG JEX_11.a_C7_HighAvailability.ppt

ZPIP - v2015 54

B

A

Konfiguracja LAG

Tworzenie zagregowanego interfejsu Ethernet:

ZPIP - v2015 55

{master:0}[edit chassis]user@Switch-1# run show interfaces terse | match ae0

{master:0}[edit chassis]user@Switch-1# set aggregated-devices ethernet device-count liczba

{master:0}[edit chassis]user@Switch-1# commitconfiguration check succeeds commit complete

{master:0}[edit chassis]user@Switch-1# run show interfaces terse | match ae0ae0 up down

Konfiguracja LAG

Przypisanie połączeń fizycznych do LAG:

ZPIP - v2015 56

{master:0}[edit interfaces]user@Switch-1# set ae0 unit 0 family ethernet-switching

{master:0}[edit interfaces]user@Switch-1# set ae0 aggregated-ether-options lacp tryb

{master:0}[edit interfaces]user@Switch-1# set int_name1 ether-options 802.3ad ae0

{master:0}[edit interfaces]user@Switch-1# set int_name2 ether-options 802.3ad ae0

{master:0}[edit interfaces]user@Switch-1# commitconfiguration check succeedscommit complete

{master:0}[edit interfaces]user@Switch-1# run show interfaces terse | match ae0ge-0/0/12.0 up up aenet --> ae0.0ge-0/0/13.0 up up aenet --> ae0.0ae0 up upae0.0 up up eth-switch

show interfaces ?

ZPIP - v2015 57

show lacp ?

ZPIP - v2015 58

Testy

Czy jakiekolwiek połączenie pomiędzy przełącznikami zostało zablokowane?

Jaka jest przepustowość zagregowanego połączenia?

Jakie jest wykorzystanie pasma na aktywnych linkach?

Jakie jest obciążenie CPU?

Czy zmienia się tablica przełączania, jeśli tak to co i dlaczego?

ZPIP - v2015 59

Testy

W trakcie przesyłania danych (iPerf + monitor Windows) pomiędzy hostami A i B:

rozłączyć link, przez który przesyłane są dane,

po chwili podłączyć ponownie rozłączony link.

Czy nastąpiły przerwy w transferze danych?

ZPIP - v2015 60

B

A

Testy

Przesyłać dane (iPerf + monitor Windows) pomiędzy A i B oraz w tym samym czasie pomiędzy C i D.

Jakie transfery zostały osiągnięte, dlaczego?

ZPIP - v2015 61

C

B

A

D

ZPIP

ZPIP - v2015 62

KONIEC