Ethernet –második részw3.tmit.bme.hu/courses/vitt9181-03/materials-ly/vitt9181-19-ETH2... · A VLAN-okonbelül több csoport is elkülöníthető, ezeket a csoportokat 12 biten

1

TÁVKÖZLÉSI ÉS MÉDIAINFORMATIKAI TANSZÉKBUDAPESTI MŰSZAKI ÉS GAZDASÁGTUDOMÁNYI EGYETEM

SZOLGÁLTATÁS-MINŐSÉG BIZTOSÍTÓ INFORMÁCIÓS TECHNOLÓGIÁK LABORATÓRIUMATÁVKÖZLÉSI ÉS MÉDIAINFORMATIKAI TANSZÉK, BME

Moldován István

Ethernet – második rész

Az Ethernet további újdonságai

2

2 | |


VLAN

» LAN (Local Area Network): broadcast tartomány» a tartományon belül mindenki megkapja a szórt üzenetet» kívül senki» a LAN határait a kábelezés szabja meg» kifelé router kell a kommunikációhoz» másik gép megtalálásához is szórt adás kell (ARP)

» VLAN (Virtual LAN): adminisztratív úton létrehozott broadcasttartomány» a rendszer adminisztrátora határozza meg, ki van benne» a határok itt nem fizikaiak, csak virtuálisak» a különböző VLAN-ok nem látják egymás forgalmát

A technológia problémája volt: A kapcsolókból álló hálózaton belül mindenki tudott mindenkivel kapcsolatba kerülni, így megnőtt az ütközés valószínűsége, valamint a felesleges forgalom nagyságaPl.: broadcast ARP üzenetek

Azért, hogy ezeket a broadcast domain-eket leredukálják, bevezették a VLANokat.A két különböző VLAN-on található eszköz teljesen el van szeparálva egymástól.

3

3 | |


A VLAN által nyújtott előnyök és hátrányok

» Előnyök:» könnyebb kezelni a felhasználók helyváltoztatását (mobilitás)» szórt adás kiterjedésének csökkentése» felhasználók virtuális elkülönítése

» hatékonyabb topológia (esetleg átlapolódás is a VLAN-ok között)» biztonság nő» virtuális munkacsoportok

» Hátrányok:» a virtuális munkacsoportoknál túl gyakorivá válhat a tagság változása» Adminisztrációs problémák» WAN-ra kiterjedő VLAN-nál a szórt adás már főbb vonalakat is terhelhet

A felhasználók virtuális elkülönítése:Pl.: Egy épületben szintenként egy kapcsoló, ekkor a különböző szervezeti egységek (melyek lehetnek azonos szinteken) nem jó, ha zavarják egymás forgalmát.VLAN-nal teljesen szétválasztható a forgalmuk.Költséghatékony megoldás, mert csak egy kapcsoló kell a továbbiakban is.

Kétféle VPN van:-Provider provisioned: azaz szolgáltató által menedzselt (a szabad kapacitásait osztja szét, és adja el)-Private VPN: pl.: egy user csatlakozik kívülről (Interneten keresztül) a céges intranethez.

IPSec alkalmazásával biztonságos tunnel-t alakít ki.

A VLAN hasonlít a Provider provisioned VPN-hez.De nem olyan elterjedt a gerinchálózati szinten az Ethernet, hogy ez a technológia ott alkalmazható legyen, ezért ott IP szintű megoldás kell.

4

4 | |


VLAN megoldások

» Megosztott kapcsolók» Csak kapcsolón belül értelmezett» Lehet port alapú, MAC alapú

» IEEE 802.1Q szabvány» Az Ethernet szabvány kiterjesztése» Új mező az Ethernet fejlécben» Egy LAN-on belül értelmezett

A megosztott kapcsolók a legelső menedzselhető kapcsolók.A kapcsolók helyben eldöntik, hogy melyik portjukon kell továbbítani a csomagot, így a döntési mechanizmus csak helyben értelmezett.

IEEE 802.1Q szabvány a VLAN, valamint QoS elemek összeolvadásából ered.Ezzel már megjelenik egy új mező az Ethernet fejlécében, melynek segítségével már nem csak lokálisan értelmezhető a VLAN fogalma.

5

5 | |


Megosztott kapcsoló példa

1. VLAN: 2., 4., 6., 9. port2. VLAN: 17., 19., 21., 23. port

Egymás forgalmát nem látják!

Egymás forgalmát csak egy IP szintű router segítségével láthatják.

A VLAN-oknak külön-külön IP cím tartományuk van. (erre az átlátszóság miatt van szükség)

6

6 | |


IEEE 802.1Q» minden IEEE 802 LAN MAC protokoll felett használható» könnyű adminisztráció (létrehozás, tag hozzáadása, stb.)» két különböző VLAN között nincs forgalom (adatkapcsolati

szinten)» egy LAN-on belül több csoport is elkülöníthető» jól megválasztott csoportok esetén forgalomcsökkenés érhető

el

A VLAN-okon belül több csoport is elkülöníthető, ezeket a csoportokat 12 biten tudjuk csak ábrázolni, tehát kb. 4096 különböző csoport lehet. (azért csak kb., mert van több (legalább két) fentartott csoport, melyek címei nem kioszthatóak)

7

7 | |


Általános jellemzők

» minden VLAN-nak van egy azonosítója: VID» a switch nyilvántartja, melyik porthoz melyik VLAN-ok tartoznak» egy felhasználó több VLAN-nak is tagja lehet» egy port több VLAN-hoz is tartozhat» a VLAN több switchre is kiterjedhet» csökken a szórt adás által felemésztett kapacitás, biztonság nő

Az, hogy a switch nyilvántartja, melyik porthoz melyik VLAN-ok tartoznak, a legelterjedtebb megoldásMikor egy port több VLAN-hoz is tartozhat, akkor gondot jelenthet, hogy ennek a portnak több IP címmel is kell rendelkeznie. (bizonyos alkalmazásoknál nem megoldott)

8

8 | |


VLAN-ok átfedése

9

9 | |


.1Q VLAN keretformátum

» A VLAN tag tárolásához új mezők az Ethernet-keretben» 4 bájtal nő az Ethernet keret

» Helye közvetlenül a forrás MAC cím után» Lehetővé teszi a minőségbiztosítást is

» 802.1p prioritás bitek

A T/L mező szerepe lehet Type, vagy Length, attól függően, hogy milyen Ethernet szabványt használunk (Ethernet II, vagy 802.3)

10

10 | |


Új keretformátum – 2.

» TCI (Tag Control Info): 8100-as értéke mutatja a 802.1p és Q használatát

» P: prioritás (0..7)» C (Canonical Indicator): megmutatja, hogy kanonikus formátumban

vannak-e a MAC-címek» VLAN: a VID-t tárolja (0..4095)

Amint megjelentek a store-and-forward switchek, fontossá vált a csomagok prioritása, mert innentől már beszélhetünk kiszolgálásról, ami pedig a prioritási szintektől függhet – ezekkel lehet az Ethernet kimeneti sorában is QoS-tbiztosítani.

11

11 | |


Változások az új kerettípus miatt

» Régi berendezések:» A TCI mező értéke 0x8100, melyet típusként értelmeznek» Ha nem támogatja, nem tudja értelmezni tehát eldobja a keretet

» megoldás: az új, tag-el rendelkező kereteket támogató eszközök csatlakoztatásánál a régi típusúak felé csatlakozó portokon a tag leválasztása

12

12 | |


VID

» VLAN Identifier» 0-4095 tartomány» 0: alapérték

» ha a keret eredetileg tag nélküli volt, ezt kapja meg» 4095: fenntartva, az ilyen VID-jű kereteket eldobjuk» lehetőség van rá, hogy a tag nélküli keret 0-tól különböző értéket

kapjon (port-based VLAN, Port VID)» Port VID: a switch minden portjának van, azt mutatja, hogy a tag nélküli

keretet melyik VLAN-ba továbbítsák

Egy Ethernet kapcsolóban legalább kétféle port lehet:-Bemeneti interface: csomag beérkezésekor történik egy VLAN-hoz való hozzárendelés-Uplink interface: megadható, hogy milyen típusú csomag menjen rajta.Ez utóbbiak a trönk portok, azaz egy uplink interface-en több VLAN csomagjai is mehetnek.

13

13 | |


Bejövő keret kezelése

» megnézzük a fejlécet» ha nincs tag:

» VID=0 értékkel teszünk bele» ha port alapú VLAN-t használunk, a port PVID-je lesz a VID

» ha van tag, szűrés:» megnézzük, kik a tagjai a VID által mutatott VLAN-nak» ha a fogadó port nincs a VLAN-ban, eldobjuk a keretet» egyébként megnézzük, a cél is tagja-e a VLAN-nak» ha igen, továbbítjuk

PVID: Port VLAN ID

Hogyha célzott csomagról van szó, de az Ethernet kapcsoló nem tudja továbbítani, azaz egyik portján keresztül sem tud ilyen azonosítóval továbbítani, akkor eldobja a csomagot.

14

14 | |


Kimenő keret kezelése

» megnézzük, a másik oldal támogatja-e a tag-elt kereteket» ha nem, levesszük a taget» ha igen, továbbküldjük

» Átjárás VLAN-ok között csak routeren keresztül» Ha egy porton több VLAN van, a router virtuális interfészekként

kezeli» Átjárás csak IP szinten!

15

15 | |


VLAN-ok hozzárendelése

» Port-based VLANs: fizikai interfészenként

» MAC-based VLANs: a kapcsoló rendelkezik egy MAC-VLAN listával

» Protocol-based VLANs: a kapcsolóban be van állítva hogy milyen protokoll milyen VLAN-hoz tartozik

» IP subnet alapú (nem elterjedt)

Felhasználói oldalon: port alapú (ez az alapértelmezett)Szolgáltatói oldalon: (routerben) tetszőleges szűrés megoldható

16

16 | |


Port alapú VLAN

» a legegyszerűbb megoldás» a switch egyes portjaihoz hozzárendeljük a megfelelő VLAN

azonosítóját» egy porthoz legfeljebb egy azonosító tartozhat» a VLAN változtatásakor csak a switch-hez kell nyúlni – a

felhasználó számára átlátszó

17

17 | |


MAC alapú VLAN

» a switchben egy lista van, ez tartalmazza az egyes VLAN-okhoz tartozó eszközök MAC-címét

» előny: » ha egy felhasználó portot változtat a switch-en belül, az nem

igényel semmilyen beavatkozást» hátrányok:

» általában nehézkesebb az adminisztráció (mindenki MAC-címétismerni kell)

Magasabb szintű eszköznél

18

18 | |


Protokoll alapú VLAN

» Különböző protokoll típusokhoz más-más VLAN tag lesz rendelve

» Feltételezi, hogy a kapcsoló megnézi az IP fejlécet

» Nem felhasználót azonosít, hanem szolgáltatást

Ez is elsősorban magasabb szintű hálózati eszköznél jöhet szóbaAzt vizsgálja, milyen szolgáltatásról van szó.

19

19 | |


Q-in-Q (VLAN trönk)» 4096 VLAN nem elég egy nagyobb hálózatban (>4095

felhasználó) » A felhasználók azonosítására használva: C-VLAN

» Bevezetnek egy szolgáltatói VLAN tag-et» S-VLAN

A VLAN mezőt +1 mezővel bővítették, így már 2^24 felhasználó különböztethető meg.

20

20 | |


Q-in-Q

» Előnye hogy a VLAN –ok száma megnő» Léteznek más megoldások is:

» MAC-in-MAC» V-MAN tag bevezetése» MPLS tunnel

» A IEEE 802.1ad provider bridge szabvány a QiQ-t támogatja

Hátránya, hogy nagy hálózatokban a hálózati eszközöknek ismernie kell mindenki MAC címét, aminek hatására óriási táblák jöhetnek létre (azaz ez a megoldás nem skálázható)(megoldás lehet a MAC-in-MAC használata)

21

21 | |


Információk terjesztése a VLAN-ban -működési módok

» Statikus: a VLAN tagság információk manuálisan állíthatóak, a dinamikus terjesztés protokolljai tiltva vannak.

» Dinamikus: GVRP (GARP VLAN Registration Protocol) használatával az információ dinamikusan terjed, ha valami változás történik.

» Vegyes: egyes nyilvántartott VLAN-ok információi csak statikusan, másoké csak dinamikusan változtathatóak.

Hogyan terjeszthetők az információk?Generic Attribute Registration Protocollal

több mindenre használják, pl.: Multicast címek terjesztésére is (GMRP – Generic Multicast Registration Protocol)

22

22 | |


GVRP – GARP VLAN Registration Protocol

» Alapja a GARP (Generic Attribute Registration Protocol).» GARP alkalmazás komponens» GARP Information Declaration (GID)» GARP Information Propagation (GIP)

GIP

LLC

GID

GARP alkalmazás komponens

GID

GARP alkalmazás komponens

LLCAdatbázis

23

23 | |


GVRP – GARP VLAN Registration Protocol

VLAN „A”, tag nélküli keret

VLAN „A”, tag nélküli keret

Switch A

VLAN „A”, tag: 10

GVRP: VLAN „A”, tag: 10-es forgalmat küldd erre is!



Switch B

Switch A-ban kialakítunk egy hozzárendeléstjelzi B-nek, hogy felé is mehetnek a 10-es VLAN-hoz tartozó

csomagokA B ezután minden irányba terjeszti, hogy rajta keresztül is terjed a 10-es VLAN forgalma

Ezt a megoldást NEM HASZNÁLJÁK: helyette egy Cisco-s megoldás terjed el.

24

24 | |


QoS

» Prioritás kezelés a 802.1Q VLAN tag alapján» 3 prioritás bit = 8 osztály

» A prioritás bitek értelmezését a 802.1P szabvány adja meg» A VLAN prioritás és az IP TOS hasonló» Jelen ethernet kapcsolók nem mind támogatják a 8 osztályt

Etherneten általában csak prioritásos sorkezelést valósítanak meg.Nincs meg mind a 8, csak 3, vagy 4 sor kerül megvalósításra.

25

25 | |


Forgalmi osztályok

» Network Control: legnagyobb prioritás » Voice: kisebb mint 10 ms késleltetés» Video: kisebb mint 100 ms késleltetés» Controlled Load: fontosabb alkalmazások» Excellent Effort: fontosabb előfizetők BE forgalma» Best Effort: alap prioritás» Background: letöltések, játékok, stb

4 szokásos osztály:Voice (ennél az osztálynál fontos a késleltetés minimalizálása)Video (ennél az osztálynál a csomagvesztés minimalizálása a cél)Contolled Load + Excellent Effort (itt se legyen csomagvesztés)Best Effort (praktikusan a maradék, best effort jellegű továbbítás)

26

26 | |


IEEE 802.1D forgalmi osztályok kezelése

27

27 | |


802.1P QoS protokoll (Microsoft)

» Prioritásos rendszer» Nincs CAC – túlterhelhető a hálózat» Nincs határ szabva az applikáció forgalma számára –

implementáció kérdése» QoS együttműködés a Subnet Bandwidth Manager (SBM)

alapján

A QoS biztosítása érdekében az Operációs Rendszer fentartja a LAN interfaceforgalmának 10%-20%-át ilyen célokra.SBM-en keresztül tud együttműködni az RSVP-vel.

28

28 | |


Subnet Bandwidth Manager (SBM)

» E2E QoS biztosítása Ethernet és más technológia között» RSVP+802.1P

» SBM egy jelzési protokoll az RSVP alapú CAC-hoz IEEE 802 hálózatok (pl. Ethernet) számára

» Leírja az RSVP-képes eszközök és hálózati szintű eszközök (switchek) működését hogy támogassák az erőforrásfoglalást

» Összehangolja a 802.1p prioritások kezelését a kapcsolókban» Megfelelteti a szolgáltatási osztályokat az RSVP kliensek és az RSVP-t

támogató hálózatok között

Képes átállítani az Ethernet minőség bitjeit.Képes kezelni a kimenő foralmat.

29

29 | |


MSTP

» Az RSTP hátránya: rossz hálózati kihasználás» Cisco: PVST (Per-VLAN feszítőfa)

» Minden VLAN: egy RSTP» Sok VLAN – nem skálázható, fölösleges

» IEEE: MSTP» Lehetővé tesz több feszítőfát» A VLAN-ok a feszítőfákhoz vannak rendelve

MSTP: Multiple Spanning Tree Protocol

Figyelembe veszi a VLANokatPVST: VLAN-onként optimálisMSTP: max 64 fát hoz létre, ezekhez meg KELL adni, hogy melyik VLAN tartozik.

30

30 | |


MSTP működés

» RSTP alapú, a szabvány továbbfejlesztése» Max. 64 fa (MST instance)» Minden fának beállíthatjuk

» A gyökerét» A link cost-okat» A hozzá tartozó VLAN-okat

» Egy VLAN csak 1 fához tartozhat!

31

31 | |


MSTP előnyei

Root 1

Bridge

Bridge

Bridge

Bridge

Bridge

Bridge

Root 2

» Hálózati topológia: 2 kijárat» A gyűrű redundanciát jelent

» Nagyobb megbízhatóság

» STP: Egy feszítőfa » Multiple Spanning Tree» 2 feszítőfa

32

32 | |


MSTP régiók» Az MSTP lehetőséget nyújt régiók kialakítására» A régiókat egymástól adminisztratív módon választhatjuk el

» RG mező» Előnyök:

» egy régión belüli hiba nem zavara a többi régió működését» Negy hálózat felbontása régiókra javítja a skálázhatóságot» A VLAN-ok lokális jelentőséget kepnak

Az RSTP speciális BPDU-kat használ.Ezek jelen esetben küldön címet használnak. CINS (Central Instance) – közös feszítőfa (teljes hálózatot lefedi)+ további InstancesEz osztható fel régiókraKözöttük a CINS-en keresztül lehet kommunikálni

33

33 | |


Multicast

» Speciális Multicast MAC címek» Kevesebb mint IPv4 multicast

» Mapping kell

» GMRP – Multicast regisztráció» GMRP és IGMP együttműködés szükséges

Mapping: Ethernet címeket rendel IP címekhet statikus módonbejövő IP multicast -> átkonvertál -> kiküldi az összes interface-en

(nem skálázható)GMRP: együtt működik az IP multicasttal.Az eredeti megoldás: (IRTF szabvány szerint):

IGMP Snooping(?): IP csomagokból „megtanulják”, hogy merre kell küldeni az adott multicast csomagot.

IEEE válasza volt a GMRPez utóbbi megbukott, ma leginkább az előzőt

használják

34

34 | |


Security

» A broadcast jelleg miatt nagy a veszély» Támadható pontok/területek

» SPT DOS» ARP» MAC címek kicserélése

» A C-VLAN használata leszűkíti támadó lehetőségeit

A broadcast gondot jelent biztonsági szempontból, még switchek esetén is. (MAC cím hamisítható)SPT DoS (30 perces recovery!)

Documents

Ethernet –második részw3.tmit.bme.hu/courses/vitt9181-03/materials-ly/vitt9181-19-ETH2... · A VLAN-okonbelül több csoport is elkülöníthető, ezeket a csoportokat 12 biten