Ethernet Switching und VLAN s mit Cisco Markus Keil IBH Prof. Dr. Horn GmbH Gostritzer Str. 61-63 01217 Dresden http://www.ibh.de/ info@ibh.de
Der klassische Switch Aufgaben: Segmentierung belasteter Netzwerke á la Bridge (Verkleinerung der Broadcast Domains) Backbone Switching zwischen Servern und Netzwerksegmenten Bedarf an hoher Bandbreite decken
Merkmale / Anforderungen Auswahlkriterien (klassisch) Größe / Lernfähigkeit der MAC - Tabelle Latenzzeiten / Delay Durchsatz / Kapazität der Backplane Worst Case (alle Ports bei Full Duplex und Wire Speed) muß verkraftet werden!
Neue Aufgaben Neue Topologiekonzepte fordern: Switched Ports bis an den Arbeitsplatz flexible Anordnung der Arbeitsplätze im Unternehmen bei gleichzeitig hohem Zugriffsschutz Bedarfsorientierte Zuteilung der Netzwerkresourcen Das bringt zusätzlich mit sich: Virtuelle LAN s Port Trunking Layer 3 Switching
Das Schichtenmodell: Alles fängt mit OSI an... 7 Application Layer 6 Presentation Layer 5 Session Layer 4 Transport Layer 3 Network Layer 2 Data Link Layer 1 Physical Layer Applikationsspezifische Schichten Logische Netzwerkschichten Datenübertragungsschichten
Hubs und Repeater 1 Hubs / Repeater als Layer 1 Signalverstärker 7 Application Layer 6 Presentation Layer 5 Session Layer 4 Transport Layer 3 Network Layer 2 Data Link Layer Protokoll Protokoll Protokoll Protokoll Protokoll Protokoll Application Layer Presentation Layer Session Layer Transport Layer Network Layer Data Link Layer 1 Physical Layer Repeater Physical Layer
Hubs und Repeater 2 Probleme: alle angeschlossenen Stationen sind Teilnehmer am gemeinsamen Repeaterbus Zugriff erfolgt gleichberechtigt per CSMA/CD Kommunikation auf allen Ports ist kollisionsbehaftet Kollisionshäufigkeit steigt mit der Mediengeschwindigkeit Broadcast Domain wächst mit mit dem Netz Segmentlängenbegrenzung
Bridges und Switches 1 Vermittlung von Layer 2 Frames auf MAC - Adress - Basis 7 Application Layer 6 Presentation Layer 5 Session Layer 4 Transport Layer 3 Network Layer Protokoll Protokoll Protokoll Protokoll Protokoll Application Layer Presentation Layer Session Layer Transport Layer Network Layer 2 1 Data Link Layer Physical Layer Bridge Switch Data Link Layer Physical Layer
Bridges und Switches 2 Vorteile gegenüber Layer 1 Geräten: da nicht mehr alle Rechner dasselbe shared Medium benutzen, erreicht man Lasttrennung diesseits und jenseits der Bridge Verringerung der Collisions Reduzierung des Segmentlängenproblems Erhöhung der Abhörsicherheit (Datenschutz) Nachteil: Paketverzögerung
Switches Switch bietet zusätzlich: eigene Collision Domain je Port Speicherung der MAC - Adressen in einer Tabelle zum zielgerichteten Switching der Frames Parallelisierung von gleichzeitigen unabhängigen Verbindungen über die Backplane Erhöhung des Durchsatzes Full Duplex ermöglicht zudem kollisionsfreie Punkt-zu- Punkt-Verbindungen bei maximaler Distanz
IP Routing mit Switches: Layer 3 Switching Routing des ersten Paketes eines Dataflows Caching der Routinginformation Switching weiterer Pakete auf MAC - Adressebene im Layer 2 4 3 2 1 Transport Layer Network Layer Data Link Layer Physical Layer IP TCP-Protokoll IP- Switch IP Transport Layer Network Layer Data Link Layer Physical Layer
...wer soll das bezahlen? Trennung in Netzsegmente ist erfolgt Segmente sollen geroutet werden Frage: Ist nun für jedes Segment ein eigener Switch vonnöten?
VLAN 1 Antwort: Nein. Die Idee, die hinter den Virtual LAN s steckt: ein Switch verwaltet mehrere, voneinander unabhängige Broadcast Domains.
VLAN 2 VLAN s: Zerlegung des echten Switches in mehrere logische virtuelle Switches Gruppierung von Ports je nach Bedarf Isolation von Broadcasts / Multicasts / unknown Unicasts auf die gruppierten Ports / Rechner Fehlerisolation und erhöhte Abhörsicherheit
VLAN 3 Ansätze: MAC - address based VLAN s (scheinbar flexibel, aber verwaltbar?) Port based VLAN s jeder Port ist in einem der VLAN s Die einfachste Betrachtungsweise sieht einen einzelnen Switch mit mehreren VLAN s. Sind diese VLAN s über mehrere Switches hinweg ausdehnbar?
Ein Beispiel: VLAN 4
Trunking 1 Die Antwort lautet: VLAN Trunking Kopplung von Switches über High Speed Uplink Interfaces Verteilung der VLAN s über einen physikalischen Link Unterscheidung der Frames, die zu einem bestimmten VLAN gehören, durch Tagging (Kennzeichnung) Diverse herstellereigene Ansätze sind im aktuellen Standard ( 802.1q ) aufgegangen.
Zu beachten: Trunking 2 Switches müssen sich über Trunking abstimmen (sonst Fehlinterpretationen getagter Frames) VLAN s müssen auf allen getrunkten Switches konsistent propagiert werden Abhilfe schafft das Dynamic Trunking Protocol ( DTP ), vormals VTP (VLAN Trunking Protocol), entwickelt von Cisco. Entscheidungen über die Einrichtung von sog. VTP - Domains sind sinnvollerweise vor der VLAN - Konfiguration zu treffen!
Spanning Tree Protocol 1 STP Link Management Protocol bietet redundante Netzwerkpfade verhindert ungewünschte Loops im Netz pro konfiguriertes VLAN läuft eine STP - Instanz Einschränkung: auf Nicht - Cisco - Switches gibt es nur eine Instanz STP für alle VLAN s
Spanning Tree Protocol 2 Zwischen 2 Stationen darf nur ein aktiver Pfad existieren, sonst treten Loops auf! STP berechnet besten loop - free path STP packets werden in Intervallen ausgetauscht Topologiebaum wird durch STP definiert, um Redundanz bei Ausfall eines Pfades zu bieten redundante Pfade werden auf StandBy / Blocked gesetzt bei Ausfall wird durch STP - Algorithmus die Topologie neu berechnet und StandBy - Pfade reaktiviert
Die Catalyst 3500 XL Serie bis zu 48 Fast Ethernet Ports und 2 bis 8 GBIC Slots
Konfigurationsmöglichkeiten (wenigstens) 2 unterschiedliche Wege: per CLI (Command Line Interface) für Cisco IOS - Kundige per Webinterface (zunächst muß aber per CLI eine IP - Adresse vergeben werden!) Man beachte: HTTP - Server bei direkt anliegender Internet - Verbindung deaktivieren, da u.u. angreifbar!
...soweit die Theorie...auf geht s