Layer 2 and Layer 3 Switchstst.elia.pub.ro/news/RC/Teme_RC_IVA_2011_12/Fratila... · Web viewSecuritatea poate fi marita prin limitarea accesului la servere cu parole, dar problema

ETTI-RC

SWITCH-ul de nivel 2 si de nivel 3

Proiect RCAutori:

Fratila Dragos Sorin 443A

Petrescu Mihai Cristian 443A

Capitolul 1: Introducere - Fratila Dragos Sorin (443 A)3

Capitolul 2: Switch-ul de nivel 2 - Petrescu Mihai Cristian (443A) 5

2.1.Introducere in comutarea de nivel 2..................................................................................5

2.2.Cum functioneaza comutarea de baza...........................................................................5

2.3.Functiile unui switch.....................................................................................................7

2.4.Functionarea switchului.................................................................................................9

2.5.1.Spanning Tree..........................................................................................................10

2.5.2.Network Looping......................................................................................................11

2.5.3.Punti si comutatoare transparente (802.1d).............................................................12

2.6.Coliziunea si domenii de coliziune.................................................................................12

2.7.Retele Locale Virtuale (VLAN)......................................................................................14

2.7.1.Generalitati...............................................................................................................14

2.7.2.Definitie....................................................................................................................15

2.7.3.Caracteristici.............................................................................................................15

2.7.4.Asignarea porturilor in VLAN-uri............................................................................18

2.7.5.Identificarea VLAN-urilor........................................................................................19

2.5.6.Etichetarea Cadrului.................................................................................................19

2.8.Protocolul Arborelui de Acoperire (STP - Spanning Tree Protocol 802.1d).................21

2.8.1.Functionarea STP.....................................................................................................21

2.8.2.Parametrii STP..........................................................................................................23

2.9.VTP (Virtual Trunking Protocol)....................................................................................25

Capitolul 3: Switch-ul de nivel 3 - Fratila Dragos Sorin (443A) 28

3.1.Notiuni introductive........................................................................................................28

3.2.Switch-ul de nivel 2 vs. Switch-ul de nivel 3..................................................................29

3.3.Diferente dintre Switch-ul de nivel 3 si ruterul...............................................................30

3.4.Implementarea planului de control si a planului de date.................................................32

3.5.Arhitecturi de comutare la nivelul 3 bazate pe hardware................................................33

3.6.Memoria Buffer la Switch-urile de nivel 3.....................................................................34

3.7.Standarde intalnite la nivelul 3........................................................................................34

3.7.1.Protocolul informatiei de rutare (RIP)......................................................................38

3.7.2.Protocolul SPF , OSPF (Open Shortest Path First)..................................................42

3.8.Managementul si configurarea switch-urilor de nivel 3..................................................48

Bibliografie: 50

Capitolul 1: Introducere - Fratila Dragos Sorin (443 A)

Un switch sau un hub de comutare este un dispozitiv de retea prin intermediul caruia se conecteaza segmente dintr-o retea. Termenul de switch se refera la un bridge de retea multi-port ce dispune de mai multe porturi si care proceseaza sau ruteaza datele la nivelul legaturii de date al modelului OSI. Exista si switch-uri care pot procesa datele la nivelul 3(retea) si acestea sunt denumite in mod obisnuit, switch-uri de nivel 3 sau switch-uri multinivel [1]. Switch-ul joaca un rol important in majoritatea retelelor locale moderne. Retelele locale medii si mari contin un anumit numar de switch-uri interconectate. Aplicatiile mai mici, in general, folosesc un singur switch sau un dispozitv ce poate indeplinii mai multe functii. Un switch lucreaza la nivelul legaturii de date si creeaza un domeniu de coliziune pentru fiecare port al sau . Aceastea realizeaza microsegmentare, ce permine computerelor sa aibe o latine de banda anume pe o conexiunea de tip punct la punct la retea, asadar functionand in mod full duplex fara coliziuni. Switch-urile pot opera la unul sau mai multe nivele ale modelului OSI incluzand nivelul legaturii de date si nivelul de retea. Un dispozitiv ce functioneaza simultan la mai mult de un nivel, este cunoscut sub numele dedispozitiv multi nivel [2]. La switch-urile destinate comertului, cu tip modular sau integrat, se pot conecta la interfetele lor diferite tipuri de retele cum ar fii ethernet, fiber channel, 802.11. Nivelul 2, al legaturii de date, este adecvat pentru modificare latimii de banda a unei singure tehnologii pe cand la nivelul 3 , este mai usoara interconectarea mai multor tehnologii cum ar fii “Ethernet” cu “Token ring”. Dispozitivele ce lucreaza la nivelul 3 al modelului OSI sunt cunoscute in mod obisnuit sub numele de rutere, asadar si switch-urile de nivel 3 pot fi privite asemenea lor. In cazul unor anumite imprejurari unde este o nevoie mare de analiza a performantei si securitatii, switch-urile pot fi conectate intre ruterele conectate la retele de tip “wide area network” in locul modulelor analitice. Drumul de la un switch la altul intr-o retea se numeste hop . Durata tramsiterii unei anumite unitati de date catre o destinatie a unui switch se numeste latenta. Pretul platit pentru a obtine flexibilitatea pe care switch-urile o au in retea este dat de aceasta latenta. Ele se gasesc la nivelurile inferioare ale retelei unde o retea se conecteaza cu alta [2]. O cale intr-o retea poate fi folosita exclusiv pentru o anumita durata de doua sau mai multe parti in cauza si apoi este comutata pentru alt set de parti .Acest tip de comutare este cunoscut sub numele de comutare prin circuit si reprezinta o cale dedicata si continuu conectata pe intreaga sa durata. Majoritatea datelor din ziua de azi sunt trimise folosind semnale digitale, prin retele care folosesc comutare de pachete. Prin folosirea acesteia, toti utilizatorii retelei pot imparti aceleasi cai la acelasi moment de timp iar ruta particulara pe care o unitate de date o parcurge poate fi schimbata in timp ce si anumite conditii se schimba. Un mesaj este impartit in pachete [1] care sunt unitati de un anumit numar de octeti. Adresa de retea a expediatorului si destinatia sunt adaugate in pachet. Fiecare punct al retelei priveste la pachet sa vada unde va fi trimis mai departe. Pachetele ce apartin aceluiasi mesaj pot

parcurge rute diferite si pot sa nu ajunga in aceeasi ordine la destinatie fata de ordinea in care au fost trimise. La destinatie pachetele unui mesaj sunt adunate si reasamblate pentru a forma mesajul original. La dezvoltarea unei topologii de retea este recomandata folosirea modelului ierarhic. Acesta presupune impartirea retele in nivele distincte [2] . Fiecare nivel realizeaza functii specifice ce ii definesc rolul in intreaga retea . Prin separarea numeroaselor functii ce exista intr-o retea , dezvoltarea retelei devine modulara , lucru ce faciliteaza scalabilitatea si performanta.

Modelul ierarhic general este impartit in trei nivele : acces , distributie si miez .

Exemplu demodel ierarhic retea structurat pe cele trei nivele

La nivelul de acces , se realizeaza conectarea cu dispozitive terminale cum ar fii PC-uri , imprimante sau alte echipamente pentru a le da accesul la restul retelei . Acest nivel poate include rutere , switch-uri , bridge-uri , hub-uri . Principalul scop al acestui nivel este de a da mijloace de conectare a dispozitivelor la retea si de a controla care dispozitiv este voie sa comunice prin retea. Nivelul de distributie realizeaza agregarea datelor primite de la switch-urile din nivelul de acces inainte de a fi transmise la nivelul urmator (miez) pentru rutarea catredestinatia finala . Acest nivel controleaza fluxul de trafic de pe retea folosind politici si delimiteaza domeniile de broadcast prin realizarea functiilor de rutare intre VLAN-urile definite in nivelul de acces . VLAN-urile permit segmentarea traficului printr-un switch in subretele separate. Miezul retelei este critic in conectivitatea dintre dispozitivele de la nivelul de acces , deci este important ca acesta sa fie redundant si sa lucreze la viteze mult mai mari . Aceasta parte poate fi conectata la Internet . Acest nivel realizeaza agregarea traficului de la toate dispozitivele din nivelul de distributie deci trebuie sa fie capabil sa proceseze cantitati mari de date foarte rapid.

Capitolul 2: Switch-ul de nivel 2 - Petrescu Mihai Cristian (443A)

2.1.Introducere in comutarea de nivel 2

Un switch (comutator) este un dispozitiv de retea ce are ca functie principala canalizarea datelor de intrare ce provin de la diverse porturi de intrare, spre porturile de iesire specifice destinatiei dorite.

Switch-ul de nivel 2 [2] functioneaza la nivelul legaturii de date a modelul de comunicare OSI (Open Systems Interconnection). Nivelul legaturii de date se ocupa cu mutarea datelor prin conexiunile fizice in retele. Intr-o retea local cablata (LAN), acest lucru inseamna ca switch-ul se uita in fiecare pachet sau unitate de date si determina prin adresa MAC (Media Access Control) carui dispozitiv ii este destinata unitatea de date pe care o trimite catre dispozitivul de iesire al destinatiei.

2.2.Cum functioneaza comutarea de baza Switch-urile [1] lucreaza cu o viteza dubla de transmitere a datelor si sunt mai bune decat hub-urile traditionale ce lucreaza la viteza normala (mai incet). Intr-o retea partajata ce foloseste hub-ul, cand un calculator se conecteaza la o retea si vrea sa trimita date, acesta trebuie sa asculte daca mai exista trafic in segmentul de retea pentru a se asigura ca reteaua este libera inainte de a incerca sa trimita date. Acesta lucru inseamna ca un singur semnal poate fi transmis in retea intr-un anumit moment. Daca doua sau mai multe calculatoare incearca sa trimita date in acealsi timp atunci are loc o coliziune. Calculatorul va incerca sa retrimita datele dupa un timp aleator. Intregul proces este denumit „carrier sense multiple access with collision detection” (CSMA/CD). Cu cat mai mule dispozitive sunt conectate la aceasta retea, vor aparea coliziuni mai multe, ducand la scaderea performantei generale a retelei. Folosing switch-uri, aceste coliziuni pot fi prevenite.

Intr-o retea bazata pe switch-uri, fiecarui calculator conectat la switch ii este atribuit un segment dedicat. Aceasta izolare a dispozitivelor individuale in segmente diferite este denumita microsegmentare. Folosind microsegmentarea, coliziunile dispozitivelor nu mai sunt o problema. Cand sunt transmite date de la un calculator la switch, acesta examineaza adresa de destinatie si inainteaza datele catre segmentul potrivit. Daca datele primite sunt in acelasi segment precum segmentul din care provin, acestea sunt filtrate si inlaturate.

Figura 1. Switched vs Shared Network

Switch-uri diferite suporta moduri diferte de operare. Unu din cele mai comune moduri implementate se numeste store-and-forward (pastreaza-si-inainteaza). Un switch ce foloseste store-and-forward va asteapta sa primeasca si sa verifice pentru erori date complete sau un cadru inainte de a le inainta. Datorita acestor conditii, switch-urile ce foloses store-and-forward sunt bineinteles incete. Datele ce nu trec verificarea CRC (cyclic redundancy check) sau sunt foarte mari (mai mult de 1518 biti) sau foarte mici (mai putin de 64 biti) sunt filtrate si inlaturate. [4]

Figura 2. Modul in care functioneaza Store-and-Forward

Un alt mod utilizat de switch-uri este cunoscut sub numele de operatia cut-through [4] (taie-prin). Operatia cut-through nu executa verificarea de erori si nu asteapta data complete sa fie primite inainte de a fi inaintate. Acesta inainteaza datele imediat cum swith-ul determina adresa de destinatie din antetul cadrului. Avantajul acestei metode consta in lucrul rapid. Folosind acest mod, latenta dintre portul de intrare si cel de iesire poate fi micsorata semnificativ (cat dureaza pana datele ajung de la portul de intrare la portul de iesire). Bineintes dezavantajul consta in faptul ca datele cu cadre corupte nu vor fi filtrate deoarece nu sunt executate verificari de erori.

Figura 3. Operatia Cut-Through

Modul de operare al unui switch ce valorifica avantajele modurilor store-and-forward si cut-through este intitulat fragment-free [4] , cunoscut si ca un cut-throgh modificat. Switch-ul asteapta fereastra de coliziune sa treaca de primii 64 biti pentru a inainta orice date. Comutatea fragmenta-free se asigura ca datele mai mici de 64 biti nu sunt inaintate catre alte segmente de retea. Datele eronate apar aproape intotdeauna in primii 64 biti si datele mai mici de 64 biti sunt de obicei cauza aparitiei fragmentelor de coliziune. Prin operarea fragment-free, are loc o verficare mai buna decat in cazul modului cut-through si latenta este pastrata la minim. Totusi operarea fragment-free nu identifica datele foarte mari, adica peste 1518 biti.

2.3.Functiile unui switchSwitch-urile au ajuns astazi sa fie considerate componenta fundamentala prin care se

realizeaza segementarea celor mai multe retele. Permit utilizatorilor dintr-o retea satransmita informatii, prin acelasi mediu, in acelasi timp, fara a incetini traficul. Asa cumrouterele permit diferitor retele sa comunice unele cu altele, switch-urile permit diferitornoduri (nod = un punct de conexiune dintr-o retea, de obicei un calculator) din retea sacomunice direct unele cu altele, intr-o maniera eficienta. [11]

Prin porturile sale (8, 16 sau 24) un switch imparte reteaua in mai multe canale decomunicatie. Aceste canale independente cres rawndamentul switchului in ceea ce privestelatimea de banda folosita. Switchurile mai simple sint autoconfigurabile, prin urmare nueste nevoie de personal specializat pentru punerea lor in functiune.

In cuvinte simple, modul de functionare al unui switch este urmatorul: pentru unsegment de retea atasat la un port al switchului, CSMA/CD va controla accesul al mediul detransmisie pentru respectivul segment. Daca la respectivul port este atasata o singura statiede lucru nu este nevoie de nici un mecanism prin care sa se controleze accesul al mediu.

Switchl verifica adresele MAC sursa si destinatie ale cadrele pe care le receptioneaza sitransmite respectivele cadre catre porturile corespunzatorare.

Prin urmare, comutarea pachetelor la nivelul 2 OSI se bazeaza pe hardware sau altfelspus foloseste adrese fizice(MAC).

Un switch indeplineste doua functii principale [11]: Comutarea cadrelor. Aceasta functie are loc atunci cand un cadru ajunge la

switch dintr-un anumit mediu sau de pe un anumit port si este transferat catre unalt mediu/port

Gestionarea operatiilor de comutare. Switchul creeaza si intretine tabele decomutare sau de filtrarea folosind ASIC – Application Specific IntegratedCircuits.

Fiecare switch folosit intr-o retea Ethernet induce latenta. Un switch interpus intre unserver si o statie de lucru creste timpul de transmisie cu 21 microsecunde. Un pachet de 1000 bytes are un timp de transmisie de 800 microsecunde. [11] Daca comutarea realizata deswitch este de tip store and foreward latenta indusa creste.

Tot la capitolul generalitati mentionam cele doua tipuri de switching: de nivel 2 sau denivel 3. Diferenta intre aceste doua tipuri de comutari consta in tipul informatiilor continutein cadru: la nivel 2 se foloseste adresa MAC, iar la nivel 3 informatiile nivelului 3. [2]

Switchul nu analizeaza informatiile de nivel 3 continute de un cadru ci doar adresaMAC a destinatarului. Daca adresa este cunoscuta, cadrul este transmis catreinterfata/portul corespunzatoare. Switchul construieste tabele cu adresele MACcorespunzatoare fiecarui port in parte.

Daca nu se cunoaste adresa destinatarului, cadrul este transmis catre toate porturile(broadcast) pentru ca switchul sa-i poata “invata” destinatia corecta. Cand este reprimitcadrul, switchul adauga adresa in tabela cu adrese MAC a portului respectiv.

Adresele de nivel 2 sint atribuite de catre producatorii de astfel de echipamente si sint alcatuite din doua parti: codul producatorulu si un identificator unic al respectivului

dispozitiv. Codul producatorului este stabilit de catre IEEE in timp ce identificatorul este atribuit chiar de catre producator.

Cu exceptia SNA (Systems Network Architecture), utilizatorii nu au control asupradreselor de nivel 2. In majoritatea retelelor, administratorilor le revine sarcina de a atribuidoar adrese de nivel 3. In acest caz putem spune ca administratorii creeaza retele locale cese comporta ca un singur spatiu de adresare (blocul-strada-orasul-tara).

Un switch Ethernet poate “invata” adresa oricarui dispozitiv din retea prin citireaadresei sursa continuta in fiecare pachet si notarea portului prin care cadrul a “intrat” inswitch. Aceste adrese sint memorate intr-o baza de date. Adresele echipamentelor din reteasint memorate in mod dinamic, altfel spus, pe masura ce apare un dispozitiv nou, adresa saeste citita, invatata si memorata intr-o zona de memorie (CAM-content addressablememory). Cand switchul identifica o adresa pe care nu o regaseste in CAM, o memoreazapentru o utilizare viitoare. In momentul memorarii, adresa este “stampilata” si cu data canda fost adaugata in CAM. Ori de cate ori o adresa este referita sau adaugata in CAM i seinregistreaza si noua data (inclusiv ora) la care a avut loc operatiunea. Adresele la care nuse face referire o anumita perioada de timp sint sterse din CAM. Prin acest mecanism, bazade date cu adresele MAC ale dispozitivelor din retea este actualizata in mod constant. [11]

2.4.Functionarea switchului

Pornind de la imaginea de mai sus vom incerca sa vedem mai in detaliu cumfunctioneaza un switch. La pornire, tabela cu adrese MAC nu contine nici o inregistrare.Cand un calculator (1) transmite si un port receptioneaza un cadru, switchul preia adresaMAC a calculatorului sursa si o plaseaza in tabela de filtrare impreuna cu portul de unde afost preluat. Avand in vedere ca destinatarul nu este cunoscut, switch-ul nu va avea de alessi va trebui sa “inunde” reteaua cu acest cadru. [11]

Daca un calculator din retea (3) raspunde si trimite inapoi un cadru, switchul va preluaadresa sursa din acest cadru si o va inregistra in baza de date cu adrese MAC in asociere cuportul de pe care a fost primit. Din acest moment, switchul va putea realiza o conexiunepuncat-la-punct, cadrele fiind transmisie doar intre cele doua calculatoare. [11]

De fiecare data cand un cadru este receptionat pe un anumit port, adresa MAC destinatie va fi comparata cu inregistrarile din baza de date a switchului. Daca aceasta adresa este cunoscuta si apare in baza de date, cadrul va fi transmis catre portul corespunzator. In cazcontrar, cadru este transmis broadcast (mai putin portul pe care a fost receptionat), adresacalculatorului care raspunde la broadcast urmand a fi inregistrata in baza de date cu adrese

MAC.Daca tot am pomenit de broadcast, trebuie facuta o precizare: cadrele broadcast si

multicast nu specifica adrese MAC destinatare. Adresa sursa va fi intotdeauna adresa MACa dispozitivului care transmite cadrul, in timp ce adresa destinatie poate fi o adresabroadcast (toti bitii 1) sau una multicast (bitii din portiunea host au valoarea 1). Broadcastulva fi transmis catre toate retelele si hosturile acestora in timp ce multicastul va fi transmistuturor hosturilor unei anumite retele. [11]

Ce se intampla insa atunci cand o legatura se intrerupe? [11] Am putea spune ca intr-o retea ar fi bine sa existe legaturi redundante. Corect. Aceasta rezolvare insa, mai mult incurcadecat ajuta. Atat timp cit brodcastul este transmis tuturor retelelor, furtuna broadcast saualtfel spus circulatia mesajelor in bucla nu poate fi evitata. Ce se intampla in astfel desituatii? Un calculator va primi copii ale aceluiasi cadru, dar de la surse diferite, de pesegmente de retea diferite. Tabela cu adrese MAC de pe switch nu mai stie ce sainregistreze. Switchul nu stie care cadru trebuie transmis in retea deoarece tabela MAC esteactualizata continuu. Aceasta situatie are o rezolvare si se numeste Spanning Tree Protocol.

Comutarea simetrica a pachetelor [11] caracterizeaza o retea in care switchul aloca latimea de banda in mod egal fiecarui port. Un switch simetric ofera deci conexiuni intre porturi cu aceeasi latime de banda: 10Mbps sau 100Mbps. Spre deosebire de acesta, un switch asimetric ofera conexiuni intre porturi cu latimi de banda diferite, cum ar fi o combinatie10-100Mbps.

Switch-urile asimetrice [11] sunt folosite mai ales in cazul traficului generat de aplicatii client-server. Intr-un astfel de switch bufferingul memoriei trebuie sa permita traficului de pe portul pe 100Mbps sa fie transmis catre portul pe 10Mbps fara sa conduca la blocarea acestuia din urma.

Un switch Ethernet foloseste o tehnica buffering prin care memoreaza si transmitepachetele catre porturile corecte. Zona de memorie in care se pastreaza datele ce trebuietransmise se numeste buffer. Aceasta zona de memorie poate folosi doua metode detransmise a pachetelor: port-based memory buffering sau shared memory buffering. [11]

In bufferingul de tip port-based [11], pachetele sint memorate intr-o coada de asteptare in functie de portul pe care au “intrat”. Un pachet este transmis catre destinatie abia cand toatepachetele dinaintea sa au fost transmise. Acest lucru face posibil ca un singur pachet saintarzie intreaga transmisie a pachetelor din memorie ca urmare a ocuparii portuluidestinatie (de exemplu.). Aceasta intarziere apare chiar daca alte pachete pot fi transmisecatre porturi care sint libere.

In bufferingul de tip shared memory [11], switchul depoziteaza pachetele intr-o zona de memorie care este partajata intre toate porturile. Memoria alocata unui port depinde de cit“cere” fiecare port la un moment dat, altfel spus este alocata in mod dinamic. Pachetele dinbuffer sint asociate dinamic portului care transmite. Aceasta ofera posibilitatea ca un pachetsa fie receptionat pe un port si transmis pe un altul fara ca datele sa mai “stea la coada”.

Switchul intretine o harta a tuturor porturilor catre care trebuie transmis un pachet.Dupa ce transmisia pachetului s-a facut cu succes, aceasta harta este stearsa. Ca efect almemoriei partajate, dimensiunea unui pachet este limitata la dimensiunea bufferului si nudoar la cea alocata unui anumit port. Ce inseamna aceasta? Se pot transmite pachete maimari daca se distrug cateva pachete de dimensiuni reduse. Este o facilitate foarte importantain cazul switch-urilor 10/100Mbps, in care un port pe 100 poate sa transmita un pachetcatre un port pe 10 Mbps. [11]

2.5.1.Spanning Tree Retelele comutate pot fi concepute in doua moduri: fizic sau logic. [2] Configurarea retelei din punct de vedere fizic permite dispozitivlor precum calculatoare, switch-uri, rutere si

serverelor sa comunica una cu cealalta. Pentru a planifica controlul resurselor retelei pentru perfomanta optimia si pentru a crea o retea eficienta, pot fi folosite mai multe tehnici diferite. Spre exemplu, de controlul traficului retelei sa se ocupe subretele specifice si sa fie folosite conexiuni redundante pentru a mentine integritatea retelei.

Configurarea retelei din punct de vedere logic este determinata prin modul in care trece traficul prin reteaua fizica. Tehnici diferite sunt folosite pentru a minimiza „bottleneck”-urile (stragularile) si legaturile ce sunt fortate foarte mult. Spre exemplu, managementul modului in care trece traficul, prioritizarea si calitatea serviciului.

2.5.2.Network Looping Buclele de retea apar atunci cand exista trafic de difuzare intre subretele. [2] Pachetele de difuzare inaintate de la o sursa catre multiple porturi printr-o singura legatura vor returna o difuzare catre sursa originala prin legatura redundanta daca mai mult de o legatura este conectata la 2 subretele. Acest lucru poate declansa repetarea procesului si va duce la repetarea infinita a debitului logic al pachetelor de-a lungul retelei fizica.

Figura 4. Network Looping

Spre exemplu, un calculator aflat in subreteaua A trimita date catre un alt calculator afla in subreteaua B. Swtich-urie subretelelor C si D nu stiu care este portul de inaintare al dispozitivului de destinatie, asadar transmit catre toate porturile. Cand switch-ul din subreteaua B gaseste dispozitivul de destinatie, acesta incheie transmisia. Subreteaua B insa schimba semnale de diuzare cu subreteaua C si D, iar C si D deasemenea vor intoarce semnalul de difuzare catre subreteaua B. Subreteaua B va raspunde din nou semnalului de difuzare si va incepe un ciclu intre subreteaua A, C si D. Tot traficul de difuzare care ajunge in subreteaua B va fi inaintat catre dispozitivul de destinatie, dar cu mai multe duplicari,

ducand la o bucla infinita in retea. Acest lucru poate duce la intarzieri al altor cerinte legitime de trafic.

O tehnica pemtru a opri aparitia buclelor din retea si de a pune la dispozitie managementul efectiv al legaturilor redundante este Spanning Tree Protocol (802.1d).

2.5.3.Punti si comutatoare transparente (802.1d) Comutatoarele sunt echipamente de interconectare de subnivel MAC. La momentul propunerii primei variante de standard (anii ‘80) echipamentele de interconectare care functionau la subnivel MAC erau puntile (bridge), dar in ultimii ani comutatoarele au inlocuit puntile, datorita performantelor mult mai ridicate. Astfel, la nivel functional MAC, un comutator este o punte cu mai multe porturi (o punte are in principiu, doar doua porturi). Desi puntile au fost eliminate de comutatoare, terminologia din standard, precum si toate functiile similare au pastrat termenii folositi in contextul puntilor (Bridge). [2]

Prin definitie, o punte transparenta are urmatoarele functii [4]:- nu produce modificari cadrelor pe care le redirecteaza;- invatarea adreselor MAC prin ascultare (learning by listening). Aceste adrese sunt

invatate de catre comutator pe baza campului de adresa MAC sursa al cadrelor receptionate pefiecare port, iar informatia este stocata in tabela de adrese. Astfel, adresele sunt associateportului pe care au fost receptionate cadrele MAC, iar comutatorul va presupune incontinuare ca statiile cu aceste adrese MAC sunt disponibile pe porturile asociate;

- retransmite fiecare cadru de difuzare (broadcast) pe toate porturile sale, cu exceptia portului pe care l-a primit;

- daca adresa MAC (unicast) a sistemului destinatie nu este cunoscuta, atunci retransmite cadrul pe toate porturile sale, cu exceptia portului pe care l-a primit. Aceasta procedura se numeste inundare (flooding).

2.6.Coliziunea si domenii de coliziune

Coliziunea [11] apare in momentul in care bitii transmisi de doua calculatoare se intilnesc pe acelasi mediu de transmisie. Fizic, in cazul cablurilor bazate pe cupru acest lucru inseamna un plus de voltaj in respectivul mediu, lucru care nu este permis in sistemele binare care sint capabile sa inteleaga doar doua valori ale voltajului.

Majoritatea tehnologiilor de retea se confrunta cu aceasta problema. In unele cazuri,coliziunile sint parte componenta a retelei. Prea multe coliziuni insa pot conduce laincetinirea retelei sau chiar la intreruperea functionarii acesteia. Daca exista reguli in bazacarora aceasta problema sa poata fi controlata, lucrurile nu sint deloc complicate. [11]

Retelele Ethernet folosesc mecanismul CSMA/CD prin care identifica coliziunileaparute la un moment dat.

Portiunea de retea in care pachetele transmise intra in coliziune se numeste domeniu decoliziune. [11] Acest fenomen apare in toate cazurile in care mediul de transmisie este partajatintre mai multe calculatoare. Toate conexiunile care se fac prin intermediul dispozitivelorde nivel 1 fac parte dintr-un domeniu de coliziune.

Pachetele implicate intr-o coliziune sint distruse bit cu bit. [11] Spuneam ca pentru a se evita astfel de situatii, reteaua trebuie sa detina un mecanism (CSMA/CD, de exemplu) prin care sa gestioneze conflictele care apar. In functie de tehnologia folosita, numarulcalculatoarelor care pot folosi impreuna un mediu de transmisie (denumit segment) este

limitat.

Despre huburi (repetoare) am spus ca sint dispozitivele care regenereaza traficul uneiretele fara insa a filtra in vreun fel informatiile pe care le receptioneza/transmit. Informatiileprimite de un port al unui hub sint transmise tuturor celorlalte porturi. Prin urmare folosireaacestor dispozitive conduce la extinderea unui domeniu de coliziune.

Exista o regula care trebuie respectata in retelele Ethernet: numarul maxim de huburiintre doua calculatoare din retea trebuie sa fie 4! Aceasta deoarece fiecare hub inducelatenta, iar depasirea acestui numar duce la cresterea numarului de coliziuni intirziate.Coliziunea intirziata apare dupa transmiterea primilor 64 bytes din cadru. Chipseturileplacilor de retea nu au capacitatea de a retransmite informatiile in urma aparitiei uneicoliziuni intirziate. [11]

In practica aceasta regula este cunoscuta sub denumirea 5-4-3-2-1: cinci sectiuni deretea, 4 repetoare, 3 segmente cu hosturi, 2 segemente de legatura si un domeniu decoliziune. [11]

Chiar daca sint dispozitive ieftine, repetoarele sint principalele echipamente carecontribuie la extinderea domeniilor de coliziune. Rezolvarea acestui neajuns consta insegmentarea retelei cu ajutorul switch-urilor si ruterelor.

Doua sint motivele pentru care vom dori sa segmentam o retea: izolarea traficului intre segementele retelei obtinerea unei latimi de banda mai mari pentru utilizatori prin crearea

unor domenii de coliziune reduse.Fara segementare, o retea mai mare decit cea destinata unui grup de lucru (de obicei

maximum 10 calculatoare), va deveni foarte repede “inundata’ de coliziuni, ba chiar virtual,

ar ajunge in situatia de a nu mai avea disponibila latime de banda.O retea Ethernet care foloseste switch-uri conduce la o topologie care se comporta ca

si cind ar exista doar doua noduri in respectiva retea: un nod sursa si un nod destinatie. Acestedoua noduri partajeaza, de exemplu, 10 Mbps intre ele, ceea ce inseamna intreaga latime debanda disponibila pentru transmisia datelor.

Folosirea acestor echipamente permite retelei sa functioneze mult mai eficient deoarece disponibilitatea latimei de banda se apropie de 100%.

In cazul unui switch [11], fiecare nod reprezinta o conexiune catre un segment de retea. Crearea acestor microsegmente de retea conduce la eliminarea coliziunilor dintr-undomeniu. Fiecare nod este conectat direct la un port al switch-ului, sau la un segment careeste conectat la un port. Prin aceasta se creaza o conexiune pe 10 Mbps intre fiecare nod sifiecare segment al switch-ului. Un calculator conectat direct la un port al switch-ului vareprezenta propriul sau domeniu de coliziune si va avea acces la intreaga latime de banda:10Mbps.

Switch-ul citeste adresa sursa si/sau destinatie a fiecarui cadru pe care il primeste. Infunctie de informatiile acumulate va hotari ce decizie trebuie luata: daca trebuie comutatcatre un alt segment sau nu.

Daca switchul [4] este considerat un echipament pasiv ce actioneaza doar la nivelullegatura date, routerul actioneaza la nivelul retea si ia decizii pe baza adresleor folosite deprotocoalele acestui nivel. Acest lucru presupune examinarea adreselor destinatie continutein fiecare pachet si consultarea tabelelor de rutare cu privire la instructiunile ce trebuieurmate.

Cu ajutorul acestor echipamente se atinge cel mai ridicat nivel de segmentare datoritacapacitatii lor de a decide cu exactitate unde trebuie sa ajunga un pachet si ce cale trebuie saurmeze. Aceste actiuni induc insa inevitabil latenta. [4]

2.7.Retele Locale Virtuale (VLAN)

2.7.1.Generalitati Retele comutate de nivel 2 sunt definite drept retele plane “flat networks”. [2] Orice pachetde difuzare transmis ajunge la fiecare echipament din retea, netinand cont daca echipamentul are sau nu nevoie de el. Spre deosebire de rutere care permit difuzare decat in interiorul retelei care a emis pachetul de difuzare, comutatoarele permit difuzarea in intreaga retea. Ele se

comporta precum o retea plana, deoarece creeaza un singur domeniu de difuzare si nu datorita arhitecturii plane. Marele avantaj al retelelor cu comutatoare este crearea domeniilor individuale de coliziune pe porturi (pe fiecare port este un domeniu de coliziune) determinand eliberarea de constrangerile din Ethernet referitoare la eliminarea coliziunilor. Astfel se pot crea un numarmai mare de retele.

Dezavantajele cele mai mari create astfel sunt [2]:1. marirea numarului de statii ce determina marirea numarului de pachete de difuzare

pe care comutatoarele trebuie sa le prelucreze;2. securitate precara: intr-o retea de nivel 2 fiecare statie are acces la oricare alt

echipament din retea.

Securitatea poate fi marita prin limitarea accesului la servere cu parole, dar problema difuzarii nu poate fi rezolvata. Prin utilizarea VLAN-urilor se pot elimina unele din dezavantajele mentionate, deoarece prin definirea VLAN-urilor lor se mareste numarul domeniilor de difuzare si se micsoreaza numarul domeniilor de coliziune.VLAN-urile simplifica administrarea retelei: schimbarile in retea pot fi facute prin simplaasignare a unui port la un anumit VLAN. VLAN-urile intaresc securitatea: un grup de utilizatori cu nevoi de securitate ridicata pot fi pusi in acelasi VLAN la care nu au acces restul utilizatorilor. [2]

2.7.2.Definitie O retea locala virtuala (VLAN) reprezinta o grupare logica a resurselor si utilizatorilor de retea in functie de o organizare administrativa a porturilor comutatorului. VLAN-urile nu depind de asezarea geografica sau configuratia fizica.Prin utilizarea VLAN-urilor exista posibilitatea de a crea domenii de difuzare mai mici intr-oretea de nivel 2 prin asignarea porturilor la diferite subretele.Un VLAN se comporta ca o subretea [2] (domeniu de difuzare) prin urmare cadrele de difuzare sunt comutate doar pe porturile apartinand aceluiasi VLAN. Implicit statiile de lucru dintr-un VLAN nu pot comunica cu statii de lucru ce nu apartin aceluiasi VLAN. Pentru a realiza comunicarea intre statii aflate in VLAN-uri diferite este nevoie de un ruter.Pentru a comunica in Internet fiecare VLAN trebuie asociat cu o subretea, iar adresele de nivel 3 (adresele IP) ale statiilor trebuie alocate corespunzator cu subreteaua asociata VLAN-ului.

2.7.3.Caracteristici

A. Controlul Difuzarii (Broadcast Control)

Difuzarea este specifica oricarui protocol, dar cat de des apare depinde de trei lucruri :tipul protocolului, aplicatia rulata si modul de utilizare al serviciilor oferite de retea.Unele aplicatii mai vechi au fost rescrise pentru a micsora necesarul de banda, dar in contextul dezvoltarii noilor aplicatii multimedia (IPTV, VOIP) care sunt mari consumatoare de banda este necesara o reconsiderare a designului retelei pentru a asigura izolarea problemelor si impiedicarea propagarii lor in toata reteaua. [4]Aplicatiile multimedia folosesc des mesaje de difuzare si mesaje multicast ca metoda de propagare, iar daca in retea se gasesc echipamente defecte sau nu este realizata o segmentare

adecvata, efectul difuzarii este mult intensificat determinand chiar blocarea retelei. Pentru a izola problemele ce apar datorita noii generatii de aplicatii este necesara o segmentare adecvata a retelei prin intermediul comutatoarelor si ruterelor. Varianta mai eficienta din punct de vedere economic(dar si practic in cazul retelelor locale) este utilizarea comutatoarelor ce pot implementa retele locale virtuale (VLAN), avand in vedere ca echipamentele de nivel 3 (ruterele) sunt mai costisitoare si mai greu de configurat si administrat. Toate statiile din acelasi VLAN apartin aceluiasi domeniu de difuzare. Pachetele de difuzare primite pe un port sunt filtrate daca nu provin de la un echipament apartinand aceluiasi VLAN.

B. Securitate

Intr-o retea plana [4], creaa prin interconectarea hub-urilor, puntilor, comutatoarelor siruterelor, singurul echipament care se ocupa de securitate este ruterul (presupunand ca in retea nu avem configurat un firewall).

O astfel de retea prezinta urmatoarele dezavantaje :- Orice statie sau echipament conectate la retea poate avea acces la resursele retelei;- Oricine poate sa vada traficul prin simpla conectare a unui analizator de retea in hub;

In concluzie nu se asigura securitate.

Prin crearea VLAN-urilor, respectiv segmentarea grupurilor de difuzare (microsegmentare)administratorul detine controlul asupra oricarui port si resursele pe care acesta le poate accesa.Se pot impune restrictii pe resurse de tip hardware, restrictii de accesare a anumitor adreseMAC(de nivel 2) sau IP(de nivel 3) sau de accesare a unor aplicatii etc.De aseamenea comutatoarele pot fi configurate sa informeze o statie de management despreorice incercare neautorizata de accesare a resurselor.

C. Flexibilitate si Scalabilitate

Prin configurarea unor porturi ale comutatorului astfel incat ele sa apartina unui anumitVLAN sau prin adaugarea statiilor de lucru la un anumit VLAN pe baza adreselor de nivel 2(adresele MAC) creste flexibilitatea retelei deoarece se pot adauga, intr-un domeniu de difuzare, doar utilizatorii care trebuie sa apartina acelui domeniu indiferent de locatia lor fizica. [4]

Pentru a intelege cum lucreaza un VLAN este necesar sa-l comparam cu o arhitecturatraditionala. In figura de mai jos este prezentaa o retea obtinuta prin conectarea directa a unor hub-uri la rutere.

Exemplu arhitectura cu HUB-uri

Fiecare hub e folosit de catre un departament cu resurse specifice si este pozitionat inlocatii diferite. Prin conectarea la un port al hub-ului corespunzator unui departament,se potaccesa toate resursele departamentului respectiv. Sa presupunem ca s-a marit numarulangajatilor din departamentul de vanzari, dar nu mai exista locuri in hub-ul lor. In acelasi timp exista destule porturi libere in hub-ul destinat departamentului de finante. Daca noul angajat ar folosi unul din porturile ramase libere destinate celuilalt departament el automat va avea acces la resursele destinate departamentului de finante. Aici apare o problema de securitate pentru ca noul angajat se afla in acelasi domeniu de difuzare cu ceilalti colegi de la departamentul de finante si totodata este ineficient, deoarece pentru a utiliza resursele departamentului sau va trebui, prin intermediul ruterului, sa intre pe serverul de vanzari. Dezavantajele arhitecturii traditionale nu mai apar atunci cand folosim comutatoare cepot implementa VLAN-uri. Pentru fiecare departament se creaza un VLAN cu anumite drepturi. Cand apare un nou angajat intr-un department, un port liber din oricare comutator este configurat sa apartina VLAN-ului corespunzator departamentului in care se afla noul angajat. Astfel in exemplu din figura de mai jos daca avem un nou angajat in departamentul de IT pur si simplu asignam un port din comutatorul 1 este asignat VLANului IT.

Exemplu arhitectura cu VLAN-uri

2.7.4.Asignarea porturilor in VLAN-uri

In functie de cum se face asignarea porturilor in VLAN-uri exista 2 tipuri de VLAN-uri:asignare de tip static si asignare de tip dinamic.

VLAN-urile cu porturile asignate static sunt cele mai frecvente si cele mai sigure. Asocierea(port, VLAN) este permanenta. Asignarea portului poate fi schimbata doar manual de catreadministrator. Usor de instalat si monitorizat. Acest tip de VLAN e folosit in retele in careutilizatorii nu isi schimba des locatiile. [2]

VLAN-urile cu porturile asignate dinamic asigneaza automat un anumit VLAN unui port.Asignarea se poate face in functie de adresa MAC a statiei respective, protocoale sau aplicatii.Exemplu: Adresele MAC au fost introduse intr-o aplicatie de management a VLAN-urilorcentralizata. Daca un echipament este conectat la un port neasignat, atunci aplicatia cauta in baza de date MAC-ul respectiv si il asigneaza VLAN-ului corespunzator. [2]Mai usor de instalat decat varianta statica, dar necesita o munca initiala pentru a crea baza dedate. Pentru retele in care utilizatorii isi schimba des locatiile (se muta tot departamentul in alta locatie sau pentru cei care folosesc echipamente wireless).CISCO: VMPS VLAN Management Policy Server mapeaza MAC-urile pe VLAN.

2.7.5.Identificarea VLAN-urilor

Comutatoarele trebuie sa poata identifica cadrele primate si sa decida ce sa faca cu ele infunctie de adresa MAC. Cadrele sunt procesate diferit in functie de tipul legaturii pe care iltraverseaza. [4] Exista doua tipuri de legaturi:

A. Legaturi de tip acces (access links)

Acest tip de legatura face parte dintr-un singur VLAN numit VLAN-ul nativ al portului.Orice statie sau echipament conectate la un comutator printr-o legatura de tip acces nu stiedespre existenta VLAN-urilor. Comutatorul elimina informatia despre VLAN la iesirea dincomutator pe o legatura de tip acces. Echipamentele conectate prin legaturi de tip acces nu potcomunica cu echipamente care apartin altui VLAN decat prin intermediul unui ruter (echipament de nivel 3).

B. Legaturi de tip trunchi (trunk links)

Acest tip de legatura poate transporta cadre ce apartin unor VLAN-uri diferite (de la 1 la 1005 odata). Numele de trunchi (trunk) a fost imprumutat din retelele de telefonie, unde reprezinta o legatura ce poate transporta mai multe conversatii telefonice diferite.O legatura de tip trunchi este o legatura punct la punct intre doua comutatoare, un comutator si un ruter sau un comutator si un server. Avand in vedere ca acest tip de legaturi transporta traficul apartinand diferitelor VLAN-uri, este recomandat ca ele sa fie legaturi de 100/1000 Mbps. Prin stabilirea unei legaturi de tip trunchi, un port poate sa apatina mai multor VLAN-uri.

Exemplu: Portul asignat unui server de mail.

2.5.6.Etichetarea Cadrului

Fiecarui cadru ii este asociat un “VLAN ID” care identifica VLAN-ul sursa al cadrului.Fiecare comutator identifica VLAN ID-ul din eticheta si decide ce sa faca cu cadrul pe bazainformatiilor din tabela de filtrare. Daca cadrul a ajuns intr-un comutator care are legaturi de tip trunchi, atunci cadrul e trimis si pe acele legaturi. Cand acesta ajunge pe o legatura de tip acces care are acelasi VLAN ID, eticheta de identificare a VLAN-ului este eliminata si statia

de lucru primeste cadrul MAC fara a fi nevoita sa aiba informatii despre VLAN-urile din retea.

A. Inter-Switch Link (ISL)

Metoda de etichetare proprietara CISCO ce poate fi folosita pentru legaturile FastEthernet si GigabitEthernet pentru identificarea VLAN-ului atunci cand cadrul trece peste o legatura de tip trunchi. [10]Identificarea se realizeaza prin incapsularea fiecarui cadru cu un antet si un trailer.Oricecomutator CISCO sau ruter cofigurat cu ISL poate procesa si recunoaste informatia referitoarela VLAN.Desi ISL a fost creat in principal pentru transmiterea cadrelor de tip Ethernet, el poate transmite si alte tipuri de cadre cum ar fi Token Ring, FDDI, sau ATM intr-un cadru Ethernet ISL. ( Headerul ISL contine un camp intitulat Tipul Cadrului ). [10]Presupunem ca un cadru a fost emis de o statie si el trebuie sa traverseze o legatura de tip trunchi ca sa ajunga la destinatie, ca in figura de mai jos. Cand este transmis de Comutator 1 pe o legatura de tip trunchi catre un alt comutator sau ruter, ISL adauga un antet de 26 de octeti si un trailer de 4 octeti. VLAN-ul sursa este identificat de 15 biti (VID) continuti in antet.Trailerul contine CRC pentru a asigura integritatea datelor.Cand cadrul este emis pe o legatura de tip acces,incapsularea ISL este eliminata.

Deoarece informatia de etichetare este adaugata atat la inceput cat si la sfarsit, ISL mai estecunoscut cu numele de dubla etichetare.

B. IEEE 802.1Q

Reprezinta o metoda de etichetare creata de IEEE.Standardul IEEE 802.1Q defineste o arhitectura pentru folosirea VLAN-ului, serviciile oferitede VLAN, protocoalele si algoritmii folositi pentru a oferi servicii.Spre deosebire de ISL care realizeaza o incapsulare a cadrului, 802.1Q introduce informatia de etichetare in interiorul cadrului. Metoda se mai numeste etichetare simpla sau etichetareinterna. [12]

802.1Q introduce conceptul de VLAN nativ; cadrele apartinand VLANului nativ nu suntincapsulate cu informatie de etichetare. Astfel echipamentele care nu inteleg metoda deincapsulare pot sa aiba acces prin intermediul acestuia.Intr-un cadru Ethernet, 802.1Q adauga 4 octeti de eticheta dupa campul ce reprezinta adresa

sursa.

TPID (Tag Protocol Identifier) 2 Octeti-au tot timpul valoarea 0x8100.

TCI (Tag Control Information) 2 Octeti:3 biti PF (Priority Field) folositi pentru implementarea Class of Service1 bit CFI (Canonical Format Identifier) arata daca adresa MAC este de tip Ethernet sau TokenRing.12 biti VID (VLAN Identifier) are valori intre 0 si 4095 si identifica VLANul sursa al era cadrului.

Nota:

Atat ISL cat si 802.1Q introduc biti suplimentari la lungimea unui cadru. ISL introduce 30 deocteti pe cand 802.1Q introduce 4 octeti. Deoarece lungimea maxima a unui cadru Ethernet este de 1518 octeti informatia aditionala de etichetare poate introduce erori prin nerecunoasterea cadrului de catre comutatoare. [12]

2.8.Protocolul Arborelui de Acoperire (STP - Spanning Tree Protocol 802.1d)

2.8.1.Functionarea STP Intr-o retea Ethernet extinsa pot exista cai multiple de propagare intre doua sau mai multesisteme, ceea ce determina scaderea eficientei retelei. Existenta a doua sau mai multe cai paralele de propagare determina inchiderea unei bucle de propagare a cadrelor MAC. Problemele legate de blocarea nedorita a cadrelor “unicast” de inundare, dar si de crestere in avalansa a cadrelor de difuzare (fenomen denumit “broadcast storm”) sunt determinate de existenta buclelor de propagare. Functia protocolului STP (Spanning Tree Protocol, IEEE 802.1D) [4] este tocmai aceea de a intrerupe la nivel logic buclele de propagare, fara a elimina redundanta de nivel fizic. De altfel, redundanta fizica este dorita in cele mai multe retele de telecomunicatii, dar in cazul Ethernet propagarea trebuie sa se faca numai pe o singura cale, la un moment dat. Solutia

adoptata in IEEE 802.1D este sa se gaseasca un asa numit “arbore de acoperire” folosind un algoritm care lucreaza distribuit, doar in nodurile active la nivelul legatura de date (comutatoare). Fiecare comutator are un identificator unic format dintr-o parte mai semnificativa ce poate fi configurata si o parte mai putin semnificativa ce asigura unicitatea identificatorului si este chiar adresa MAC a comutatorului. [2] Comutatorul cu identificatorul cel mai mic este ales ca fiind nodul radacina al arborelui (Root Bridge). Algoritmul ST este folosit apoi pentru a realiza la nivelul legatura de date, arborele de cai optime ce ajung in nodul radacina de la fiecare nod al retelei. Selectia caii optime se bazeaza pe un criteriu de cost. Astfel, fiecare comutator alege un singur port optim catre radacina (Root Port), cel de cost minim, dintre porturile sale active (aflate in starea Designated Port). Exceptie de la aceasta regula face comutatorul radacina care nu are nevoie de Root Port si care are toate porturile instarea Designated Port. Ca regula, o bucla este intotdeauna intrerupta la nivelul a doua comutatoare secundare (care nu sunt Root Bridge) [2], care au fiecare cel putin cate doua cai catre radacina si care sunt conectate intre ele (direct, la nivelul legatura de date) printr-o alta legatura. Pentru fiecare segment, mai intai se alege dintre cele doua comutatoare secundare un comutator Designated Bridge, care va fi plasat pe scara ierarhica din ST mai aproape de radacina decat celalalt comutator. Astfel, selectia caii optime catre radacina si intreruperea efectiva a buclei prin inchiderea de porturi, vor fi realizate de catre comutatorul care nu a fost ales Designated Bridge. Intreruperea buclei se va realiza prin intreruperea legaturii dintre cele doua comutatoare secundare prin blocarea portului care apartine comutatorului care nu a fost alesDesignated Bridge. Astfel, portul care apartine comutatorului Designated Bridge ramane deschis (in starea Designated Port sau “forwarding”), iar portul care apartine celuilalt comutator secundar este blocat (in starea Non-Designated Port).

Modul de lucru distribuit al STP este implementat prin transmiterea de catre fiecare comutator, la intervale regulate de timp, a unor pachete BPDU (Bridge Protocol Data Unit) catre nodurile vecine, care contin urmatoarele informatii [4]:

• Care este nodul radacina, specificat prin identificatorul sau Root ID;• Costul caii optime pana la radacina de la comutatorul curent (costul minim);• Identificatorul comutatorului ce a emis BPDU, Bridge ID;• Identificatorul portului pe care este emis BPDU, Port ID;• Valori ale contoarelor de timp utilizate pentru controlul convergentei arborelui.

Pachetele BPDU sunt transmise in cadrele MAC folosind o adresa de destinatie unica de tip multicast. In prima etapa a algoritmului ST [4], fiecare comutator va transmite un BPDU in care specifica Bridge ID Root (pentru radacina) cu aceeasi valoare ca propriul Bridge ID. Prin urmare, la initializare fiecare comutator pleaca din starea de radacina a arborelui. Astfel, costul pe care il anunta, al legaturii optime catre radacina, este zero. La primirea unui astfel de pachet [4], un comutator compara informatiile din pachetul primit cu valorile pe care le are deja memorate pentru a stabili rolul pe care il va avea in topologia STP. La primirea unui BPDU de la un comutator vecin, fiecare comutator verifica mai intai relatia dintre propriu Bridge ID Root si cel anuntat de vecin. In cazul in care identificatorul radacinii este mai bun decat cel memorat anterior se trece la calcularea costului caii noi catre radacina prin adunarea la valoarea costului anuntat de vecin a costului portului local pe care a fost primit acest BPDU. Daca ceea ce stia el ca fiind valoarea costului minim catre radacina este mai mare decat suma dintre costul raportat in BPDU si costul portului pe care a fost primit BPDU, atunci ajusteaza costul sau minim catre radacina corespunzator si

presupune ca cel mai scurt drum catre radacina este prin portul pe unde tocmai a primit pachetul BPDU. Asa cum a fost prezentat anterior, se considera ca arborele STP este stabil (la convergena)atunci cand a fost ales un comutator radacina (Root ID) si fiecare comutator a ales un Root Port, Designated Bridge si unul sau mai multe mai multe Designated Port. De obicei decizia de blocare a unui port se ia atunci cand costul caii de la acest port pana laradacina este mai mare decat al altei cai disponibile. Totusi sunt situatii cand decizia nu se poate lua numai pe baza costurilor. [4] Astfel, este posibil ca pornind de la un anumit comutator, din punct de vedere al costului, sa existe doua cai de costuri egale pana la radacina. In astfel de situatii, se alege intotdeauna calea care include comutatorul vazut catre radacina, cu Bridge ID minim. Uneori, un comutator este legat prin mai multe porturi la acelasi LAN. Daca se intalnesc situatii in care costurile sunt identice se alege portul cu identificatorul (Port ID) mai mic, deoarece Bridge ID al primului comutator vazut spre radacina are aceeasi valoare. Din acest motiv, pachetele BPDU contin si identificatorul comutatorului emitent, precum si identificatorul portului pe care a fost emis. Prin urmare, decizia se ia folosind in ordine aceste trei criterii pana unul dintre ele este satisfacut: costul caii, Bridge ID emitator si Port ID. Identificatorul de port este util in cazul in care se formeaza o bucla intre doua comutatoare vecine (cea mai mica bucla posibila). Atunci cand un port este blocat nu redirecteaza cadre de informatie pentru utilizatori, dar transmite si receptioneaza in continuare cadrele care contin BPDU. Astfel, desi portul nu este activ pentru traficul de date, comutatorul monitorizeaza parametrii STP pentru caile determinate pe acest port. Prin urmare, in cazul in care se intrerupe calea optima catre radacina (cea care condus la blocarea acestui port) este necesara reactivarea acestui port, deoarece noua cale optima il include. Atunci cand apare o modificare de topologie [4], ca urmare a schimbarii starii unui port sau a unei legaturi, comutatorul radacina trimite in tot arborele un mesaj de anuntare a modificarii topologiei. Aceasta procedura permite ajustarea informatiei despre caile optime memorate in celelalte comutatoare active din retea. Astfel, acestea recalculeaza costurile si verifica parametrii STP numai pentru noile cai anuntate. In cazul in care comutatoarele permit formarea de retele LAN virtuale (VLAN) [2], atunci se poate activa separat cate o instanta de protocol STP pentru fiecare VLAN. Astfel, pentru fiecare VLAN se va alege o radacina si se efectueaza in paralel si independent operatiile STP. In cazul in care se utilizeaza cate o instana de protocol pentru fiecare VLAN, protocolul poarta numele de PVST (Per VLAN STP).

2.8.2.Parametrii STP Deoarece valoarea Bridge ID determina pozitia comutatorului in ierarhia STP, identificatorul trebuie sa indeplineasca doua conditii [4]:

- unicitatea – nu pot exista doua comutatoare care sa ocupe aceeasi pozitie in arbore;- scalabilitatea – uneori pozitia in arbore trebuie sa poata fi stabilita manual de catre

administrator si deci, acesta trebuie sa poata modifica valoarea Bridge ID.

La o prima analiza se pare ca cele doua conditii se exclud reciproc, deoarece unicitateapresupune, de cele mai multe ori, o alocare statica a valorilor adreselor. Totusi, in cazul STP problema s-a rezolvat prin impartirea in doua a cuvantului de reprezentare pentru valoarea Bridge ID. Astfel, bitii cei mai semnificativi ai Bridge ID (primii 2 octeti) constituie campul de prioritate care poate fi modificat de catre administrator. In mod implicit (fara interventia administratorului) acest camp de prioritate este fixat la valoarea 32768 (8000H), care reprezinta in zecimal valoarea de la jumatatea intervalului posibil de reprezentat cu doi octeti. Bitii cei mai putin semnificativi (ultimii 6 octeti) sunt reprezentati de o adresa MAC a comutatorului (unica pentru fiecare VLAN). Astfel, unicitatea Bridge ID este asigurata de

adresa MAC din partea mai putin semnificativa, deoarece adresele MAC sunt unice (IEEE), iar scalabilitatea este asigurata de capul de prioritate. Fara interventia administratoruluitoate comutatoarele au prioritati egale, iar decizia radacinii se va face doar pe baza adresei MAC din Bridge ID (cea mai mica adresa MAC va determina Root Bridge). Administratorul poate stabili un mecanism de prioritati in formarea topologiei STP prin acordarea de valori pentru Bridge ID sub cea implicita.

Starile in care se poate afla un port la nivelul legatura de date, dintr-un comutator pe care este activa instanta STP sunt urmatoarele [4]:

- Blocare (Blocking, non-Designated Port) – un port aflat in aceasta stare nu poate redirecta cadrele de informatie pentru utilizatori; totusi, portul urmareste pachetele BPDUreceptioneaza pentru a identifica comutatorul radacina;

- Ascultare (Listening) – un port trece in starea de ascultare numai dupa ce algoritmul STP a determinat arborele optim, din pachetele BPDU receptionate. In acest moment, portul poate transmite si recepiona pachete BPDU. Daca portul transmite pachete BPDU inseamna ca acesta se pregateste sa participe la topologia activa STP si informeaza comutatoarele vecine despre acest lucru. Valoarea implicita a timpului in care un port se afla in starea de ascultare (forward delay) este de 15 s;

- Invatare (Learning) – portul aflat in starea aceasta se pregateste sa devina activ pentru traficul de informatie (sa treaca in starea de redirectare) prin invatarea adreselor MAC. Valoarea implicita a timpului in care un port se afla in starea de invatare (forward delay) este tot de 15 s;

- Redirectare (Forwarding) – portul face parte din topologia activa STP, redirecteaza cadre de informatie si transmite/receptioneaza pachete BPDU;

- Inactivare (Disabled) – portul nu face parte din topologia activa STP, astfel nu redirecteaza cadre de informatie si nici nu transmite/receptioneaza pachete BPDU. Contoarele de timp sunt folosite pentru actualizarea informatiei arborelui STP. Astfel,contoarele de timp sunt utilizate pentru a stabili dupa cat timp trebuie sa comute un port dintr-o stare in alta. De asemenea, STP foloseste temporizatoarele pentru a determina gradul de disponibilitate pentru formarea arborelui STP al comutatoarelor vecine, precum si timpul maxim de pastrare a adreselor MAC din tabelele de adrese (cele invatate dinamic). Semnificatiile valorilor de timp asociate acestor contoare sunt urmatoarele:

- Hello time – intervalul dintre emisiile a doua pachete BPDU successive. Valoarea implicita este de 2 s;

- Maximum Age Time – intervalul de timp in care trebuie sa se afle un comutator (receptor al acestui BPDU) in starea de blocare inainte de a trece in starea de ascultare. Valoarea implicita este de 20 s;

- Forward delay – intervalul de timp in care trebuie sa se afle un comutator (receptor al acestui BPDU) in starea de ascultare inainte de a trece in starea de invatare si in starea deinvatare inainte de a trece in starea de redirectare. Valoarea implicita este de 15 s.

Valorile implicite ale acestor contoare sunt indicate pentru o gama larga de configuratii siscenarii de functionare. [2] Totusi, aceste valori pot fi modificate pentru a determina o functionare optima intr-un caz particular. Pe de alta parte, fixarea unor valori neadecvate ale acestor valori de timp poate conduce la instabilitatea retelei. Costul utilizat de ST se determina la nivelul fiecarui comutator, calculat independent la cele doua capete ale unei legaturi si depinde numai de debitul maxim al portului respectiv. Deoarece deciziase ia pe baza minimului, costul unui port se afla intr-o relatie de ordine inversa si neliniara fata de debitul portului (exprimat in Mb/s). In tabelul 8.1 sunt prezentate corespondentele dintre debitul portului si costul STP, pentru doua variante de protocol.

D (Mb/s) Cost (IEEE, versiune noua) Cost (IEEE, versiune veche)

10000 2 1

1000 4 1

100 19 10

10 100 100

Relatia dintre debitul portului si costul STP

2.9.VTP (Virtual Trunking Protocol)

VTP [2] este un protocol de transmiterea mesajelor ce functioneaza la nivelul 2 (nivelulLegatura de Date) si care este folosit pentru a mentine o configuratie unitara a VLAN-urilor intro retea comutata prin administrarea adaugarii, stergerii sau redenumirii de VLAN-uri. Fara VTP este necesar ca pe fiecare comutator din retea sa fie adaugate, sterse sau redenumite manual toate VLAN-urile din reteaua comutaa.VTP simplifica procesul de configurare al comutatoarelor si permite ca toate schimbarile intr-o retea comutata cu VLAN-uri multiple sa fie facute pe un singur comutator care se numeste VTP server.

Comutatorul care este in modul VTP server distribuie si sincronizeaza informatia despre VLANuri in toata reteaua comutata. Astfel sunt reduse si problemele cauzate de o configuratie gresita sau inconsistenta.Odata cu stabilirea legaturilor de tip trunchi intre comutatoarele retelei mesaje VTP vor fischimbate intre server si client sau preluate si transmise mai departe de comutatoarele care sunt in modul VTP transparent in cadrul aceluiasi domeniu VTP. Daca legatura de tip trunchi dintre comutatoare este intrerupta sau configurata gresit (de exemplu doar unul din porturi este in modul trunk) atunci nu se vor mai transmite mesaje VTP.Fiecare comutator care apartine aceluiasi domeniu VTP transmite periodic mesaje VTP de tip anunt (VTP advertisement) pe fiecare port care apartine unei legaturi de tip trunchi, catre o adresa MAC rezervat (01 00 0C CC CC CC). Aceste anunturi sunt receptionate decomutatoarele invecinate care isi modifica configurtia in ceea ce priveste VLANurile daca este necesar.

Exista trei tipuri de mesaje VTP anunt [2] :

A. Anunt rezumat (Summary Advertisement)

Aceste mesaje sunt trimise periodic (la 5 minute) de un comutator VTP server sau client pentru a informa comutatoarele vecine asupra informatiilor pe care le detine despre domeniul VTP in care se afla. Informatia esentiala transmisa prin acest tip de mesaje este numarul de configuratie (VTP configuration revision number).Daca configuratia pe un VTP server este modificata (implicit se modifica si numarul deconfiguratie) atunci acest tip de mesaj este transmis imediat.

B. Anunt submultime (Subset Advertisement)

Aceste mesaje sunt transmise daca configuratia VLAN-urilor s-a modificat sau ca raspuns la un mesaj de tip anunt cerere.Mai multe mesaje de acest tip pot fi trimise in functie de lungimea listei de VLANuri. Uncomutator VTP server poate trimite catre un comutator VTP client 2 mesaje anunt submultime daca lista cu VLAN-uri pe care trebuie sa o transmita ocupa mai mult de un mesaj.Observatie : Lungimea cadrelor este limitata.

C. Anunt cerere (Adverisement Request)

Atunci cand un comutator VTP server primeste un anunt cerere de la un comutator VTP client, el ii transmite si un mesaj anunt rezumat si un mesaj anunt submultime.

Un comutator va transmite un mesaj de tip anunt cerere in urmatoarele situatii :

1. numele domeniului VTP a fost modificat;2. a primit un anunt rezumat cu numarul de configuratie mai mare ca al sau;3. nu a receptionat corect mesajul anunt submultime;4. comutatorul a fost resetat.

VTP permite divizarea unei retele comutate de dimensiuni mari prin crearea de domeniiVTP. Acest lucru ajuta la reducerea administrarii VLAN-urilor intr-o retea mare (cu un numar mare de comutatoare) si in plus, prin definirea domeniilor VTP, este limitata zona in care mesajele VTP se pot propaga in retea daca o eroare s-a produs.Am precizat anterior ca fiecare comutator poate fi intr-unul din modurile VTP (client, server sau transparent).

In continuare vom detalia aceste moduri de lucru VTP [2].

A. VTP server

Un comutator care este configurat ca VTP server poate adauga, sterge sau redenumi VLAN-uri. De asemenea el anunta numele domeniului VTP, configuratia VLAN-urilor si numarul de configuratie catre toate celelalte comutatoare in cadrul aceluiasi domeniu VTP. El mentine o lista a VLAN-urilor din domeniul VTP in NVRAM, putand sa o recupereze chiar daca este resetat.

B. VTP client

Un comutator care este configurat ca VTP client nu poate adauga, sterge sau redenumi VLANuri. Orice modificare de acest tip poate fi facuta doar de un comutator VTP server. El mentine o listaa VLAN-urilor din domeniul VTP, dar nu o stocheaza in NVRAM (ca un VTP server) si astfel, daca este resetat, isi pierde informatia despre VLAN-uri putand insa sa o recupereze de la un server VTP din acelasi domeniu. De obicei VTP client este un comutator cu o memorie NVRAM redusa. Un comutator este configurat ca VTP client pentru a limita numarul de puncte din retea ce pot modifica configuratia VTP.

C. VTP transparent

Un comutator care este configurat ca VTP transparent trebuie sa aiba informatia despre VLANuri introdusa manual. El nu participa in schimbul de mesaje VTP si nu anunta informatia pe care o are despre VLAN-uri catre celelalte comutatoare, comportandu-se ca un

releu cu mesajele VTP pe care le primeste (adica le transmite mai departe). Acest mod este util cand se doreste ca VLAN-urile sa fie configurate manual pe comutator sau cand VLAN-urile de pe un comutator au doar semnificatie locala si nu este necesar ca ele sa fie cunoscute de catre intreaga retea comutata.

Observatii importante :

- VTP functioneaza doar pe legaturi de tip trunk.- Inainte de a adauga VLAN-uri pe un comutator, trebuie configurat modul VTP (server

| client | transparent ) si numele domeniului VTP.- Un comutator configurat ca VTP transparent nu isi modifia numarul de configuratie

(el ramane mereu 0).- Numarul de configuratie al unui VTP server este incrementat de fiecare data cand

VLAN-uri sunt adaugate sau sterse.- Numarul de configuratie devine 0 (e resetat) cand numele domeniului VTP este

schimbat.- Pentru VTP versiunea 1 si 2 mesajele VTP sunt schimbate de comutatoarele care

apartin aceluiasi domeniu VTP.

Capitolul 3: Switch-ul de nivel 3 - Fratila Dragos Sorin (443A)

3.1.Notiuni introductive

Switch-urile de nivel 3 , sunt “rutere” foarte rapide ce realizeaza inaintarea la nivel 3 a pachetelor IP prin anumite modalitati. Poate face decizii de comutare sau filtrare la nivelele 2 si 3 si poate decide dinamic cand sa faca rutarea sau comutare a traficului ce trece prin ele . Aceasta implica o cautare a unei rute si decrementarea campului TTL (Time to Live) , recalcularea checksum-ului si inaintarea pachetului cu antetul MAC corespunzator si portul portul corect de iesire [2] .

(Formatul pachetului IP)

Cautarile pot fi facute prin hardware la fel ca si decrementarea campului TTL si recalcularea checksum-ului. Ruterele ruleaza anumite protocoale de rutare cum ar fii OSPF (Open Shortest Path First) sau RIP (Routing Information Protocol) pentru a comunica cu alte switch-uri de nivel 3 sau rutere si pentru a-si construi tabelele de rutare [7] . In aceste tabele se va cauta mai apoi pentru a determina ruta pe care o va parcurge un anumit pachet. Switch-urile de nivel 3 nu au intotdeauna functionalitate si la nivel 2 . Acestea se pot comporta ca ruterele traditionale la care se conecteaza mai multe switch-uri de nivel 2 pentru a realiza comunicarea intre VLAN-urile acestora . Dar in acest caz , functionalitatea de nivel 2 nu mai este necesara , deci switch-urile de nivel 2 si chiar ruterele pot fi eliminate dintr-o configuratie anterioara dupa cum exemplificam in schema de mai jos. Acest tip de switch-uri se gasesc in mod obisnuit in nivelul de distributie sau in miez in modelul ierarhic de desigal unei retele .

(Retea folosind switch de nivel 2 si router) (Retea folosind switch de nivel 3)

3.2.Switch-ul de nivel 2 vs. Switch-ul de nivel 3

Termenii de switch de nivel 2 si switch de nivel 3 vin de la modelul OSI [1] , ce reprezinta o modalitate teoretica de a impartii arhitectura unei retele cu functionalitati , servicii , dependenta si aplicatie .

Stiva OSI

Observam ca in model nivelul al doilea este reprezentat de nivelul legaturii de date iar nivelul al treilea de nivelul retelei . Switch-urile de nivel 2 nu pot comuta pachete decat in interiorul unei singure retele (VLAN) . Dar acestea sunt suficinet de inteligente pentru a retine adresele MAC ale fiecarui dispozitiv sursa sau destinatie al fiecarui pachet si comuta fiecare pachet intr-un singur domeniu . Acesta nu poate sa transporte pachete dintr-o retea in alta si nici sa prioritizeze pachetele pentru a garanta o latime de banda . Conectarea dispozitivelor la un swtich de nivel 2 formeaza un segment local de dimensiuni mari denumit ce poarta numele de domeniu de broadcast . La switch-uri VLAN-urile sunt creeate pentru a imparti unui switch in mai multe domenii de broadcast in care vom putea asigna porturi diferite pentru subretele diferite . Switch-urile folosesc VLAN-urile pentru a controla traficul de tip broadcast , multicast sau unicast de tip necunoscut cu il fac cu alte dispozitive de nivel 2 . La acest nivel se folosesc anumite protocoale cum ar fii STP pentru a pastra redundanta intr-o retea in timp ce se previn si buclele de comutare . Pentru comunicarea intre VLAN-urile unui switch de nivel 2 va trebuie sa fie folosit fie un switch de nivel 3 , fie un ruter. Switch-urile de nivel 3 se comporta ca si rutere traditionale [3] adica permit ca diferite segmente de retea sa fie legate intre ele . La acesta se poate face comutarea datelor de la o anumita retea la alta . Prioritizarea pachetelor poate fi realizata si acest tip de switch este capabil sa retina care rute sunt cele mai bune intre anumite retele . In timp ce switch-urile de nivel 2 comuta pachetele pe baza MAC-ului , cele de nivel 3 o fac pe baza adresei IP . Au capabilitatea de a separa logic retelele in VLAN-uri , marind astfel si securitatea si reducand accesul neautorizat intre retele . Au fost introduse in principal pentru a depasi limitarile , cum ar fii supraincarcarea si lipsa legaturilor multiple ce implementeaza astfel logica de inaintare a pachetelor de pe router prin mecanisme hardware. La fel ca si in cazul switch-urilor de nivel 2 , switch-urile de nivel 3 permit alocarea unei latimi de banda individuala [2] pentru fiecare subretea . Nu toate interfetele sunt creeate in mod egal , astfel abilitatea de a grupa porturile , fie bazat pe anumite caracteristici fizice sau pe informatiile de protocol , reprezinta o modalitate foarte utilizata de desingnerii de retele ce se ocupa de planificarea capacitatii acesteora . Aceasta arhitectura este scalabila si capabila sa suporte numeroase switch-uri de nivel 2 care sunt amplasate in data center . Un astfel de model pastreaza infrastructura impartita deja in retele si de asemenea marind

performantele acestora . Conceptul de conservare a spatiului de adrese este cheia ce permite migrarea efectiva si fara probleme a retelei .

3.3.Diferente dintre Switch-ul de nivel 3 si ruterul

In general , un swich de nivel 3 este in principal un switch dar care a fost inzestrat cu anumite capabilitati de a realiza si rutare [4] . Un ruter este un dispozitiv de nivelul 3 ce realizeaza numai operatia de rutare . Mai multi factori au creeat o anumita confuzie cu privire la switch-ul de nivel 3 si operatiile pe care acestea le executa . Cateva din aceste confuzii provin de la recenta imbinare a catorva tehnologii . La inceput , switch-urile si ruterele erau separate si reprezentau dispozitive diferite . Termenul de switch a fost rezervat pentru platforme ce se bazeaza pe hardware si functioneaza in general la nivelul o al modelului OSI . CA exemplu putem lua switch-urile ATM (Asynchronus Transfer Mode) , ce realizeaza inaintare a pachetelor bazata pe hardware si care in general functioneaza la nivelul 2 . Termenul de ruter , a fost folosit pentru a se referi la un dispozitiv pe carese ruleaza anumite protocoale de rutare pentru a se descoperi topologia la nivelul 3 si face decizii de inaintare a pachetelor bazate pe adresele de nivel 3 si anume adresele IP . Din cauza complexitatii acestor sarcini , ruterele sunt dispozitive bazate pe soft . Ele au de asemenea o mare varietate de caracteristici ce ii dau valoarea cum ar fii: tunneling-ul , DLSw (data link switching) , DHCP (Dynamic Host Configuration Protocol) . Ca o categorie mai extinsa , switch-urile ce permit rutarea [10] folosesc hardware pentru a creea scurtaturi prin mijlocul retelei prin evitarea rutarii bazate pe software . Cu toate acestea , spre deosebire de rutere care folosesc unitati centrare de prelucrare de uz general functiile planului de control si de date , switch-urile de nivel 2 folosesc circuite integrate specifice de mare viteza (ASIC) pentru planul de date . Prin indepartarea unitatilor centrale de prelucrare de pe calea de inaintare a planului de date poate fi obtinuta o performanta sporita , astfel vor fi mai rapide decat ruterele traditionale .

Caracteristica Switch de nivel 3 RuterRutare la nivel 3 suportat suportatManagementul traficului suportat suportatSuport pentru WIC suportatProtocoale de rutare avansate suportatRutare de mare viteza suportat

(caracteristici switch de nivel 3 si Ruter)

In general se foloseste ruter-ul cand cea mai mare parte din timp dispozitivul face rutare iar daca dispozitivul isi ocupa cea mai mare din timp cu comutarea pachetelor , se foloseste switch-ul . Ideea crearii switch-ului de nivel 3 este de a face mai eficient rutarea inter-VLAN sau de a face rutare interna intre multiple domenii de broadcast (mai multe retele locale cu subneturi diferite) in timp ce se pastreaza si caracteristicile switch-ului de nivel 2 cum ar fii STP-ul (Spanning Tree Protocol) sau trunk-ingul (capabilitatea de a putea trece pe aceeasi legatura trafic din VLAN-uri diferite) . Cu toate acestea , la marginea sau granita retelei unde STP-ul sau trunk-ingul nu prea au mare importanta , este folosit ruter-ul deoarece acesta este in sinea lui proiectat pentru a manevra traficul de la marginea retelei . Inabilitatea de a manipula mai multe functii BGP in rutarea autonoma inter sistem si multe alte caracteristici eficiente sunt cateva dezavantaje cand se foloseste un switch de nivel 3 ca un inlocuitor pentru un router .

Dar folosirea switch-ului de nivel 3 pentru rutarea inter-VLAN , spre deosebire de folosirea ruterelor traditionale , se face din urmatoarele motive :

Performanta si cost – Switch-urile de nivel 3 sunt mult mai eficiente din punct de vedere al costului si realizeaza si rutarea inter-VLAN la o viteza mult mai mare . Ruterele de mare performanta sunt in general mult mai scumpe decat switch-urile de nivel 3 .

Densitatea porturilor – Swtich-urile de nivel 3 reprezinta switch-uri de nivel 2 imbunatatite si , asadar , aceeasi densitate mare de porturi care o au ascestea spre deosebire de rutere , care dispun de mult mai putine porturi .

Flexibilitate – Switch-urile de nivel 3 ne permit sa imbinam si sa cumutarea la nivel 2 si la nivel 3 , adica putem configura un switch de nivel 3 sa lucreze ca si unul de nivel 2 sau sa-i activam si comutarea la nivelul 3 .

Comutarea la nivelul 3 este ieftina deoarece switch-urile de nivel 3 sunt facute special pentru rutarea inter-VLAN [2] , unde sunt folosite in pare parte numai tehnologii Ethernet . Aceasta face ca furnizorii cum ar fii CISCO sa dezvolte switch-uri de nivel 3 de inalta performanta , si chip-uri hardware (ASIC-urile) ce realizeaza in exclusivitatea rutarea traficului intre retelele Ethernet , fara a-si pune probleme de suportarea si altor tehnologii cum ar fii cele WAN , ATM sau Frame Relay . Rutarea peste retele WAN poate de asemenea fi facuta prin cumplarea unui ruter traditional ce concteaza reteaua WAN cu cea LAN .

Conceptul de comutare de nivel 3

3.4.Implementarea planului de control si a planului de date

Operatiile pe planul de control [7] necesita o intelegere a protocoalelor de rutare, a algoritmilor complecsi si a structurilor de date asociate cu protocoalele cum ar fii (ex:OSPF). Depinzand de configuratia protocoalelor de rutare , operatiile necesare pe planul de control , pot varia foarte multe intre diferite dispozitive de rutare . Pe de-o parte , operatiile de pe planul de date sunt simple si fixate in implementarea lor deoarece modul de rutare al unui pachet este acelasi , indiferent de protocolul de rutare care a fost folosit pentru a invata unde sa foe rutat un anumit pachet . Cu toate ca operatiile de pe plaul de date sunt simple , ele sunt de asemenea realizatea mult mai frecvent decat cele din planul de control deoarece ele trebuie realizate pentru fiecare pachet care este rutat , in timp ce operatiile din cadrul planului de control trebuie realizate numai pentru schimbarile in topologia de rutare . Din acestea reiese ca performanta implementarii planului de date da si viteza de rutare a dispozitivului .

Deoarece operatiile din planul de control sunt complexe, majoritatea dezvolatorilor folosesc unitati centrale de prelucrare de uz general capabile sa suporte limbaje de programare de nivel inalt pentru ca acestia sa poate dezvolta cu usurinta si intretine codul complex asociat cu diferitele protocoale de rutare suportate . In aceasta consideratie , planul de control este implementat in software , ceea ce inseamna ca softul dezvoltat printr-un limbaj de nivel inalt asigura operatia in planul de control . Ambele tipuri de dispozitive , ruterele si switch-urile de nivel 3 folosesc aceeasi implementare a operatiilor planului de control asocite cu rutare pachetelor IP folosind software ce necesita o unitate centrala de prelucrare de uz general . In comparatie cu operatiile din cadrul planului de control , cele din planul de date sunt foarte simple . In tabelul de mai jos sunt descrise operatiile care se efectueaza in cadrul planului de date prin exemplificare trimiterii unui pachet de la un host numit “host sursa” la un alt host numit “Host destinatie” print-un ruter .

MAC sursa MAC sursa

IP destinatie IP sursa TTL Checksum

Cadru primit

Adresa MAC ruter

MAC host sursa

host destinatie

host sursa

n valoare 1

Cadru rescris

Adresa MAC urmatorul hop

Adresa MAC ruter

host destinatie

host sursa

n-1 valoare 2

In tabel, sunt indicate detaliile cadrului receptionat si apoi sunt aratate detaliile necesare rescrierii cadrului care este transmis dupa rutare [5] . Se poate observa ca urmatoarele campuri trebuie modificate pentru cadrul rescris care este inaintat urmatorului hop :

Adresa MAC destinatie – Adresa MAC a urmatorului hop trebuie sa fie scris in cadrul rescris

Adresa MAC sursa – Adresa MAC sursa trebuie scrisa la adresa MAC a ruterului . TTL – Acesta trebuie decrementat cu 1 in conformitate cu regulile IP de rutare Checksum – Acesta trebuie recalculat deoarece campul TTL s-a schimbat

Procesul prin care se arata cum sunt implementate operatiile din planul de date aratate in tabelul de mai sus reprezinta exact in ce consta diferentele dintre ruterul traditional si switch-ul de nivel 3 [2] . Ruterul foloseste aceeeasi unitate centrala de prelucrare pentru a realiza operatii pe planul de control si de asemenea pentru a implementa operatiile din planul de date , insemnand ca acestea vor fi realizate prin modalitati software . Un switch de nivel 3 pe de alta parte foloseste un ASIC [10] pentru a realiza acestea deoarece este foarte usor de programat aceste operatii pe un ASIC . In aceasta consideratie , planul de date este implementat in hardware deoarece o serie de operatii hardware sunt programate in ASIC , ce realizeaza operatiile din planul de date necesare pentru rutarea unui pachet . O unitate centrala de prelucrare de uz general [10] este proiectata pentru a realiza numeroare functii , pe cand un ASIC nu poate realiza decat o anumita functie sau cateva functii specifice cum ar fi realizarea operatiilor de pe planul de date necesare pentru rutarea unui pachet . Aceasta inseamna ca un ASIC poate opera mult mai rapid din cauza ca arhitectura interna a lui poate fi optimizata numai pentru realizarea operatiilor necesare pentru operatiile planului de date , pe cand o unitate centrala de procesare de uz general trebuie sa fie proiectata pentru a suporta o serie de functii generice ce nu se leaga de operatiile din planul de date . Un limbaj de nivel inalt combina functiile generice a unei unitati centrale de prelucrare de uz general pentru a realiza functiile specifice necesare operatiilor de pe planul de date . Aceasta abordare permite flexibilitate dar vine cu pretul performantei . Asadar , un switch de nivel 3 ce realizeaza operatiile de pe planul de date folosind ASIC-uri , ruteaza pachetele mult mai rapid decat un ruter traditional .

3.5.Arhitecturi de comutare la nivelul 3 bazate pe hardware

Cu toate ca operatiile de pe planul de date necesare pentru rutarea pachetelor IP pot fi cu usurinta marita viteza lor prin folosirea ASIC-urilor si este de retinut ca o necesitate fundamentala pentru operatiile din cadrul planului de date este aflarea adresei IP a urmatorului hop pentru ca adresa IP destinatie a pachetului si adresa MAC asociata sa poata fi scrise in cadrul rescris [10] . Componentele ce implementeaza operatiile de pe planul de date trebuie sa caute aceasta informatie . Aceasta operatie de cautare poate reprezenta in sinea ei o ingustare . Pentru a asigura ca procesul acesta de cautare nu intarzie in mod singnifiant procesul de rescriere din cadrul operatiile din planul de date , switch-urile de nivel 3 folosesc structuri de date specializate ce permit cautari rapide.

Aceastea pot fi impartite in doua categorii : Cache-ul cu rute – Aceste este populat cu informatie ce defineste modul in care

switch-ul de nivel 3 asociaza cadrele cu un flux anume . Un flux identifica unic traficul de tip conversatie in retea , si fiecare astfel de intrare de tip flux contine informatia necesara pentru a comuta pachetele la nivelul 3 ce au fost primite pentru acel flux . Aceste intrari sunt construite prin rutarea primului pachet prin software , unde valorile relevante in primul cadru rescris au fost folosite pentru a umple informatia necesara pentru intrarea unui anumit flux . Pachetele ce vor urma si sunt asociate acelui flux vor fi apoi comutate la nivel 3 prin modalitati hardware bazate pe informatiile invatate din intrarea acelui flux

Cautarea optimizata a rutei in tabela – O modalitate de a realiza procesul de cautare este de a folosi tabela de rutare . Dar , aceasta contine informatii ce nu sunt relevante pentru operatiile de pe planul de date , cum ar fii protocolul de rutare ce a invatat o anumita ruta . Tabela de rutare de asemenea nu contine informatiile cu privire la adresa MAC a urmatorului hop . Aceasta trebuie determinata fie printr-o operatie in cadrul planului de control (prin folosirea ARP) sau prin citirea memoriei temporare a ARPului. Switch-urile de nivel 3 de ultima generatie folosesc o cautare optimizata in tabela de rutare ceea , care organizeaza numai informatiile necesare rutarii pentru operatiile de pe planul de date si de asemenea include un pointer catre urmatorul tabel adiacent optimizat , care descrie adresa MAC asociata cu diferitele dispozitive definite ca urmator hop in retea .

Este importat de retinut ca in plus fata de mecanismul performant de cautare , multe switch-uri de nivel 3 de asemenea dispun de hardware specializat care poate fi folosit pentru a asigura clasificare QoS si securitate in controlul accesului pentru pachete , in acelasi timp fiind implementata cautarea urmatorului hop [4] . Acestea caracteristici pot fi pornite dar cu costul performantei.

3.6.Memoria Buffer la Switch-urile de nivel 3

Un switch analizeaza cateva sau toate pachetele inainte de a le trimite la host-ul destinatie bazadu-se pe metoda de inaintare [10]. Switch-ul stocheaza pachetele pentru o perioada de timp intr-un buffer de memorie . Un switch poate folosi o tehnica buffer pentru stocarea cadrelor inainte de a le inainta . Aceasta poate fi folosita cand portul destinatie este

ocupat si cadrul este stocat pana a putut fi transmis . Folosirea memoriei pentru stocarea datelor este numita tehnica de buffering al memoriei . Aceasta este implementata in hardwareul switch-ului si nu este configurabila . Exista doua metode de buffering al memoriei : bazat pe port si memorie partajata [2].

i) Buffering al memoriei bazat pe port . In cazul acestuia , cadrele sunt stocare din cozi care sunt legate la porturi specifice de iesire . Un cadru este transmis catre portul de iesire numai cand toate cadrele inaintea lui in coada au fost transmise cu succes . Este posibil ca un singur cadru sa intarzie transimiterea pentru toate cadrele din memorie din cauza indisponibilitatii portului destinatie . Aceasta intarziere apare chiar si atunci cand celelalte cadre pot fi transmise catre porturile destinatie deschise .

ii) Buffering al memoriei de tip partajatAcesta depoziteaza toate cadrele intr-o memorie buffer comuna pentru toate porturile switchului . Cantitatea de memorie buffer necesara unui port este alocata in mod dinamic . Cadrele din buffer sunt legate dinamic la portul destinatie . Aceasta permite ca pachetul sa fie primit pe un port si sa fie transmis prin altul fara a-l muta intr-o coada diferita. Switch-ul pastreaza o harta a legaturilor dintre cadre si porturi aratand unde trebuie sa fie transmis un pachet . Aceaste legaturi sunt sterse dupa ce pachetul a fost transmis . Numarul de cadre stocat in buffer este restrictionat de dimensiunea intregii memorii buffer si nu este limitata la un singur port . Aceasta permite ca pachetele mai mari sa fie transmise cu cateva cadre pierdute . Aceasta este important pentru comutarea de tip asimetrica unde cadrele sunt interschimbate intre diferite porturi .

3.7.Standarde intalnite la nivelul 3

Dintre standardele intalnite la nivelul al 3-lea al modelului OSI implementate intr-un switch de nivel 3 , reprezentative sunt protocoalele de rutare . Rutarea reprezinta algoritmul prin care se determina drumul dintre sursa si destinatie. In cazul incare sistemul sursa si cel destinatie nu se afla in aceeasi retea locala se pot utiliza mai multe strategii de rutare [4]. Sa presupunem ca un nod intermediar (ruter sau switch de nivel 3) de pe traseul dintre sursa si destinatie primeste un pachet si trebuie sa-l trimita mai departe. Atunci, posibilitatile de rutare sunt:

daca pachetul contine in antet intreaga informatie de rutare, nodul nu are de luat nici o decizie, ci trimite direct pachetul la nodul urmator. Aceasta metoda se numeste rutare sursa si presupune ca nodul S cunoaste calea completa catre destinatie.

nodul intermediar poate sa cunoasca dinainte ruta catre destinatie, deci nici in acest caz nu are de luatnici o decizie. Aceasta presupune ca fiecare nod intermediar sa aiba o tabela cu rutele corecte pentru toate destinatiile posibile .

nodul nu cunoaste dinainte calea catre destinatie si ia pe loc o decizie in functie de informatiile de care dispune. Aceste informatii includ caile catre nodurile vecine, incarcarea lor, etc. Fiecare nod trebuie sa aiba posibilitatea sa comunice cu alte noduri pentru a-si actualiza acesteinformatii. Protocoalele de rutare din familia TCP/IP utilizeaza acest procedeu, folosind obaza de date numita tabela de rutare in fiecare dintre nodurile intermediare. Metoda presupune ca in fiecare retea locala exista cel putin un nod (numit gateway) care mentine o tabela de rutare suficient de complexa pentru a trimite pachetul pe calea cea mai buna, catre unul dintre nodurile vecine. Toate sistemele din reteaua locala trebuie doar sa stie care este gateway-ul insarcinat cu rutarea. Din motive de redundanta pot fi mai multe astfel de gateway-uri in fiecare retea si intodeauna se definesc mai multe rute posibile, stabilindu-se niste prioritati de selectie a acestora. In concluzie, pentru rutarea din reteaua TCP/IP s-a ales un model distribuit de rutare, in care sa nu existe o singura autoritate centralizata de care sa depinda functionarea intregii retele.

Algoritmul general al deciziilor de rutare IP

Definirea unui sistem autonom (SA) este esentiala in cadrul unui protocol de rutare. Se defineste un SA ca fiind o portiune logica dintr-o retea IP [3] . De obicei, un SA reprezinta o inter-retea din cadrul unei organizatii. Acesta este administrat de catre o singura autoritate de management. Un SA se poate conecta cu alte SA administrate de aceeasi organizatie.Pe de alta parte, un SA se poate conecta cu alte retele publice sau private. Unele protocoale de rutare sunt utilizate pentru a determina rutele optime dintr-un SA. Alte protocoale de rutare sunt utilizate pentru a interconecta mai multe SA . In interiorul unui SA se pot utiliza mai multe procese IGP. In acest caz, sistemul SA trebuie sa anunte in exterior un plan de rutare coerent, ca si in cazul utilizarii unui singur proces IGP. Astfel , acest SA trebuie sa prezinte imagine consistenta a tuturor destinatiilor interne .

Sisteme autonome

Rutarea pachetelor se realizeaza prin intermediul ruterilor (sau swtich de nivel 3) care, in acest scop, utilizeaza tabele de rutare. Tabelul de rutare al unui ruter contine perechi (N, R), in care N este adresa IP a retelei de destinatie iar R este adresa IP a primului ruter pe calea spre reteaua N (numit gateway) . Exista doua metode principale de construire a tabelei de rutare : rutare statica ( rutarea statica utilizeaza definiri programate anterior reprezentand cai posibile in retea ) si rutarea dinamica ( algoritmii de rutare dinamica permit ruterilor sa descopere automat si sa anunte rutele in cadrul retelei. Aceasta descoperire automata poate utiliza mai multe protocoale de rutare dinamica disponibile. Aceste protocoale se diferentiaza prin modul in care descopera si calculeaza rutele noi catre retelele de destinatie).

Rutarea statica [3] ,se efectueaza manual de catre administratorul retelei. Administratorul este responsabil pentru descoperirea si propagarea (anuntarea) rutelor in cadrul retelei. Aceste asocieri sunt programate manual in fiecare ruter din cadrul retelei. Dupa ce un nou ruter a fost configurat manual, acesta doar va redirecta pachete catre porturile de iesire predeterminate. Nu exista nici un schimb intre ruteri de informatii referitoare la topologia curenta a retelei. In retelele de dimensiuni mici, cu o redundanta minima, acest proces manual este relativ simplu de administrat. Totusi, exista cateva dezavantaje ale acestei

metode de mentinere a tabelei de rutare IP: rutele statice necesita un efort considerabil de coordonare si intretinere in retelele de dimensiuni mai mari; rutele statice nu se pot adapta dinamic la starea curenta de operare a retelei. Daca o retea destinatie devine inaccesibila, atunci rutele statice care indica aceasta retea raman in tabela de rutare. Traficul va fi in continuare redirectionat pe aceste rute statice. In cazul in care administratorul retelei nu actualizeaza rutele statice pentru a reflecta noua topologie, traficulnu poate fi redirectionat pe rutele alternative existente.

Un prim exemplu de protocoale de rutare dinamica il reprezinta algoritmii de tip vector distanta[3] . Acesti algoritmi permit ca fiecare echipament din retea sa construiasca si sa mentina, in mod automat , o tabela locala de rutare IP. Principiul rutarii de tip vector distanta este simplu. Fiecare ruter din retea mentine o lista cu toate distantele (costurile) asociate cailor de la el la toate destinatiile cunoscute. Costul unei cai determina selectia acestei cai pentru dirijarea pachetelor la destinatie. Caile cu un cost mai mic sunt preferate cailor cu un cost mai mare. Calea cu costul minim dintre caile disponibile va fi aleasa (solutia optima) pentru a ajunge la destinatie. Aceasta informatie este mentinuta intr-o tabela vector distanta (distance vector). Aceasta tabela (a unui ruter) este transmisa periodic catre toti ruterii vecini. Atunci cand primeste tabela, fiecare ruter prelucreaza informatiile din tabela primita pentru a determina cea mai buna cale prin retea catre fiecare destinatie cunoscuta. Avantajul principal al algoritmilor vector distanta il reprezinta simplitatea implementarii si depanarii. Acesti algoritmi sunt foarte eficienti atunci cand sunt utilizati in retele de dimensiuni mici cu o redundanta scazuta . In cazul apariiei unei modificari in cadrul reelei, se pune problema reconvergentei continutului tabelelor de rutare pentru a reflecta modificarea de topologie. Intervalul de timp necesar fiecarui ruter din retea pentru a avea o tabela de rutare actualizata se numeste timp de convergenta. In retelele mari si cu redundanta crescuta, timpul de convergena al algoritmilor vector distanta poate atinge valori excesiv de mari. Este posibil ca in intervalul in care tabelele de rutare tind sa convearga, reteaua sa utilizeze informatii de rutare eronate. Astfel se pot produce bucle de rutare sau alte tipuri de redirectari instabile de pachete . De obicei, pentru a reduce timpul de convergenta se impune un numar maxim de noduri (ruteri sau hop-uri) care pot fi parcurse de catre o singura ruta. Caile valide care depasesc aceasta valoare limita nu sunt utilizate in retelele de tip vector distanta . Tabelele de rutare vector distanta sunt transmise periodic catre nodurile vecine . Aceste tabele sunt transmise chiar si in cazul in care nu s-au produs modificari in continutul acesteia. Acest lucru poate determina o incarcare excesiva a retelei, mai ales in retelele de capacitate redusa.

Rutarea de tip stare legatura (Link state) [3] , cresterea dimensiunilor si a complexitatii retelelelor, din ultimii ani, a determinat dezvoltarea unor algoritmi de rutare mai robusti. La elaborarea acestor algortimi s-a urmarit eliminarea dezavantajelor observate in cazul protocoalelor de tip vector distanta. Acesti algoritmi utilizeaza principiul mesajelor de tip stare legatura (link state) pentru a determina topologia retelei. Un mesaj stare legatura reprezinta o descriere a interfetei unui ruter (spre exemplu, poate contine informatiile: adresa IP, masca subretea, tipul retelei), precum si relatiile cu ruterii vecini. Baza de date de tip stare legatura contine mai multe informatii de tip stare legatura.

3.7.1.Protocolul informatiei de rutare (RIP)

Protocolul RIP (Routing Information Protocol) [3], este un exemplu de protocol de rutare in interiorul unui sistem autonom de dimensiuni mici si este de tip vector distanta .

3.7.1.1.Tipuri de pachete RIP

Protocolul RIP specifica doua tipuri de pachete. Aceste pachete pot fi transmise de catre orice nod in care ruleaza protocolul RIP:

pachete cerere: un pachet de cerere solicita nodurilor RIP vecine sa transmita tabela lor de vectori distanta. In cerere se specifica daca nodul vecin trebuie sa transmita numai un subset de vectori sau sa transmita intregul continut al tabelei;

pachete raspuns: un pachet de raspuns este transmis de catre un nod pentru a anunta informatia mentinuta in tabela locala de vectori distanta. Tabela este transmisa in urmatoarele situatii:

o In mod automat, la fiecare 30 de secunde;o Ca raspuns la un pachet de cerere generat de un alt nod RIP;o Daca este disponibila functia de actualizare declansata (triggered update),

tabela este transmisa atunci cand apare o modificare a tabelei de vectori distanta.

Atunci cand se receptioneaza un pachet de raspuns la un nod, informatia continuta in acesta este comparata cu cea din tabela locala de vectori distanta. Daca pachetul de raspuns anunta o ruta catre o destinatie cu un cost mai mic, atunci tabela este actualizata cu noua cale. Pachetele RIP sunt transmise in cadrul datagramelor UDP. RIP transmite si receptioneaza datagrame folosind portul UDP cu numarul 520 . Datagramele RIP contin maxim 512 octeti. Informatiile de actualizare mai mari decat aceasta dimensiune maxima sunt transmise in mai multe datagrame succesive. In retelele LAN, datagramele RIP sunt transmise folosind adresa de difuzare MAC si adresa de difuzare IP (MAC broadcast and IP broadcast). In cazul unei conexiuni punct la punct sau in retele fara difuzare, datagramele sunt adresate unei anumite destinatii.

Formatul pachetului RIP

Pachetul RIP [7] , contine campurile cu urmatoarele semnificatii: Comanda – acest camp specifica rolul acestui pachet. Valoarea acestui camp

determina rolul pachetului RIP, dupa cum urmeaza: Comanda = 1 (cerere catre nodul vecin de a trimite tabela de rutare, partial sau total) si Comanda = 2 (raspuns la cererea unui nod vecin sau un mesaj de actualizare generat la initiativa ruterului sursa; acest pachet contine tabela de rutare, partial sau total) .

Versiune – Intotdeauna cu valoarea 1, in cazul versiunii RIP-1.

AFI (Address Family Identifier) – Identificatorul modului de adresare si implicit, al protocolului rutat. RIP a fost proiectat pentru a ruta pachete pentru orice tip de protocol de nivel 3. In retelele Internet (protocolul IP) se utilizeaza valoarea 2 pentru acest camp.

Adresa IP – adresa IP a retelei sau a unui statii de lucru (host) de destinatie. Metrica – Metrica (de obicei, in numar de hop-uri) pana la destinatia specificata in

campul anterior. Valorile uzuale sunt intre 1 si 15 (inclusiv), dar exista si valoarea 16care specifica o destinatie inaccesibila.

Rezervat – aceste campuri sunt scrise cu valoarea 0. Informatia de anuntare a unei rute incepe cu campul AFI si se incheie cu campul de

metrica (20 octeti pentru fiecare ruta). Un pachet de 512 octeti permite transmiterea a unui numar maxim de 25 de informatii de rutare in cadrul unui singur pachet RIP.

3.7.1.2.Modurile de operare RIP

Nodurile RIP au doua moduri de operare dupa cum urmeaza [3] . Modul activ , in care nodurile care lucreaza in modul activ transmit tabelele lor de vectori distanta si receptioneaza actualizari de rutare de la nodurile RIP vecine. De obicei, ruterii suntconfigurati sa functioneze implicit in modul activ. Modul pasiv (silentios): Echipamentelele care lucreaza in acest mod, doar receptioneaza actualizari de rutare de la nodurile RIP vecine. Aceste echipamente nu transmit tabela de vectori distanta. De obicei, statiile de capat sunt configurate sa lucreze in modul pasiv.

3.7.1.3.Algoritmul de calcul al vectorilor distanta

De fiecare data cand un nod primeste un mesaj de anuntare a unei tabele de rutare, acesta proceseaza informatiile din mesaj pentru a identifica existenta unei cai de cost mai mic catre fiecare destinatie cunoscuta. Aceasta functie este realizata cu ajutorul algoritmului vector distanta RIP [9]. Algoritmul se desfasoara astfel :

La initializare, fiecare ruter contine o tabela de vectori distanta care specifica fiecare retea conectata direct si costul configurat. In mod uzual, fiecarei retele i se asociaza costul cu valoarea 1. Acest cost reprezinta o cale cu un singur nod intermediar pana la destinatie. Numarul total de noduri intermediare (hop) dintr-o ruta este egal cu costul total al rutei. Totusi, costul poate fi modificat pentru a reflecta si alte masuri, cum ar fi: utilizarea, viteza sau fiabilitatea.

Fiecare ruter transmite periodic (uzual, la fiecare 30 de secunde) catre ruterii vecini tabela proprie de vectori distanta. Un ruter poate transmite tabela si atunci cand se produce o modificare a topologiei. Fiecare ruter utilizeaza aceste informatii pentru a actualiza propria tabela de vectori distanta . Costul total al caii pentru o anumita destinatie este calculat prin adunarea costului raportat in tabela transmisa de nodul vecin la costul legaturii cu acel nod. Calea cu costul minim este salvata in tabela de vectori distanta . In tabela de vectori distanta toate informatiile de actualizare

inlocuiesc informatiile anterioare. Aceasta functie permite ca RIP sa mentina integritatea rutelor din tabela de rutare.

Tabela de rutare IP este actualizata pentru a contine calea de cost minim catre fiecare destinatie . Dupa un interval de timp suficient de mare, algoritmul va calcula corect tabela de vectori distanta pentru fiecare nod. Totusi, pe durata acestui timp de convergenta, informatii despre rute eronate se pot propaga prin retea . Exista mai multe metode de imbunatatire a algoritmului clasic vector distanta .

3.7.1.4.Metode de imbunatatire a timpului de convergenta

Una din aceste metode o reprezinta „Despicarea orizontului” (Split horizon) [9] . In cazul acesteia timpul de convergenta excesiv de mare cauzat de numararea la infinit poate fi redus prin metoda de despicare a orizontului. Aceasta noua regula impune ca informatia de rutare sa nu fie retransmisa de un ruter pe aceeasi interfata pe care a primit aceasta informatie. Introducerea functiei de despicare a orizontului modifica secventa de actualizari de rutare. Dezavantajul acestei metode este acela ca fiecare nod trebuie sa astepte sa expire timpul pentru ruta catre destinatia inaccesibila, inainte ca aceasta ruta sa fie eliminata din tabela de vectori distanta. In mediile RIP, acest timp de expirare este de cel putin trei minute din momentul ultimei actualizari a informatiei respective. Pe durata acestui interval, ruterul continua sa transmita informatii eronate despre destinatia inaccesibila catre nodurile vecine. Acest fapt conduce la persistenta buclelor de rutare si a altor probleme de rutare.

Metoda de „Despicarea orizontului cu intoarcere otravita „(Split horizon with poison reverse) , reprezinta o imbunatatire adusa implementarii despicarii orizontului. Astfel, cu intoarcerea otravita toate retelele cunoscute sunt anuntate in fiecare mesaj de actualizarea tabelei de rutare. Modificarea esentiala fata de varianta anterioara este ca retelele invatate din mesajele sosite printr-o anumita interfata sunt anuntate ca fiind inaccesibile in mesajele de rutare transmise prin aceeasi interfata . Aceasta modificare reduce considerabil timpul de convergenta in retelele complexe, cu redundanta mare. Cu intoarcerea otravita, atunci cand un mesaj de actualizare indica o retea ca fiind inaccesibila, rutele sunt eliminate imediat din tabela de rutare. Astfel, se intrerup buclele de rutare, inainte ca informatiile despre acestea sa se propage in retea, spre deosebire de aplicarea regulii clasice de despicare a orizontului, unde rutele sunt eliminate numai dupa expirarea unui temporizator. Intoarcerea otravita nu ofera nici un avantaj in retelele fara redundanta. Un alt dezavantaj al acestei metode este posibilitatea de a creste semnificativ numarul de mesajelor de rutare schimbate intre noduri, deoarece toate rutele (chiar si cele inaccesibile) sunt incluse in fiecare mesaj.

Metoda „Actualizarilor declansate” (Triggered updates) , face ca si in cazul despicarii orizontului cu intoarcere otravita, algoritmii care utilizeaza actualizari declansate vizeaza reducerea timpului de convergena. In cazul utilizarii actualizarilor declansate, un ruter transmite imediat tabela de vectori distana catre nodurile vecine, de fiecare data cand se schimba costul unei rute. Acest mecanism asigura anunarea modificarilor de topologie cat mai repede si nu in mod periodic, ca in varianta clasica .

S-au observat mai multe limitari in mediile cu RIP .

Valorile limita ale costurilor rutelor: O solutie la problema numararii la infinit impunespecificarea unui cost maxim pentru o ruta. Aceasta determina o limita superioara a diametrului retelei. Retelele care solicita rute cu mai mult de 15 noduri intermediare trebuie sa utilizeze un alt protocol de rutare.

Incarcarea retelei datorita actualizarii tabelelor: Difuzarea periodica a tabelelor de vectori distanta poate determina utilizarea excesiva a resurselor retelei. Aceasta poate crea probleme pe anumite segmente de retea de capacitate redusa.

Convergenta relativ lenta: ca si alte protocoale de tip vector distanta, RIP converge relativlent. Acesti algoritmi depind de temporizatoare pentru a initia transmiterea mesajelor de actualizare a tabelelor de rutare.

Nu suporta subretele de dimensiune variabila (VLSM): mesajele de anuntare a rutelor nu includ masca subretelelor. Prin urmare, in retelele RIP este imposibila utilizarea VLSM.

3.7.2.Protocolul SPF , OSPF (Open Shortest Path First)

Protocolul deschis SPF, OSPF (Open Shortest Path First) [9] , reprezinta un alt tip de protocol de rutare in interiorul unui SA. Termenul “deschis” se refera la tipul de recomandare IETF, care este deschisa pentru modificari ulterioare . Protocolul SPF permite utilizarea unor metrici multiple pentru calcularea costului unei legaturi, cum ar fi: intarziere, debit, cost monetar si eficienta . OSPF a fost elaborat pentru a oferi o alternativa la RIP care sa rezolve problemele acestuia. Versiunea cea mai utilizata de OSPF pentru IPv4 este definita de RFC 2328 . OSPF implementeaza un numar de functii pe care protocoalele de tip vector distanta nu le prezinta. Astfel, OSPF a devenit cel mai utilizat protocol de rutare in retelele de dimensiuni mari. Functiile care au contribuit la succesul standardului OSPF:

Echilibrarea incarcarii retelei pentru cai de cost egal (Equal cost load balancing): Utilizarea simultana a cailor multiple permite utilizarea mai eficienta a resurselor retelei.

Divizarea logica a retelei (Logical partitioning of the network): Aceasta functie reducepropagarea informatiilor neactualizate in cazul unor conditii defavorabile (modificari de topologie). De asemenea, permite cumularea anunturilor de rutare (aggregate routing announcements) care limiteaza anuntarea informatiilor inutile.

Mecanisme de autentificare: OSPF permite autentificarea fiecarui nod care transmite mesaje de anuntare a rutelor. Aceasta previne ca surse frauduloase (ruteri neautorizati) sa modifice continutul tabelelor de rutare.

Timp de convergenta mai mic: OSPF permite propagarea instantanee a informatiilor despre modificarea rutelor. Astfel, actualizarea informatiilor de topologie se realizeaza mult mai rapid.

Suporta CIDR si VLSM: Aceste functii permit o alocare eficienta a adreselor IP.

OSPF este un protocol de tip stare a legaturii (link state) [3] . Fiecare ruter OSPF executa algoritmul SPF (Shortest-Path First), pentru a procesa informatiile salvate inbaza de date a starilor legaturilor (link state database). Algoritmul genereaza arborele de cai

minime (shortest-path tree) care prezinta rutele optime catre toate retelele de destinatie. Algoritmul SPF este utilizat pentru a procesa informatia din baza de date a topologiei. Algoritmul furnizeaza o reprezentare a retelei sub forma de arbore. Nodul retelei pe care ruleaza algoritmul SPF este ales nod radacina (root) in arbore. Rezultatul rularii algoritmului este lista de cai de distanta (cost) minima (shortest paths) pana la fiecare retea destinatie.

3.7.2.1.Ariile OSPF

Retelele OSPF sunt divizate in mai multe arii [9]. O arie reprezinta o grupare logica de retele si ruteri. O arie poate coincide cu o zona geografica sau administrativa. Fiecare arie este identificata unic prin intermediul unui identificator de 32 de biti, denumit ID arie . Intr-o arie, fiecare ruter mentine o baza de date a topologiei (topology database) care descrie ruterii si legaturile din aceasta arie. Acesti ruteri nu detin informatii despre topologii aflate in exteriorul ariei, ci detin numai rutele catre aceste destinatii externe. Astfel, se reduc considerabil dimensiunile bazei de date a topologiei, detinute de fiecare ruter . Divizarea in arii reduce posibila crestere a numarului de actualizari de stare a legaturilor. Astfel, cele mai multe LSA sunt distribuite numai in interiorul unei arii . Se reduce timpul de procesare CPU necesar pentru a mentine baza de date a topologiei . Algoritmul SPF se limiteaza la a administra modificarile numai dintr-o arie. Toate retelele OSPF contin cel putin o singura arie. Aceasta arie este aria 0 sau aria coloana vertebrala (backbone). Se pot adauga si alte arii, in functie de topologia reala a retelei sau de alte cerinte de proiectare. In retelele care contin mai multe arii, aria backbone se conecteaza fizic cu toate celelalte arii. Toate ariile vor anunta informatiile de rutare, direct in backbone. Apoi, din backbone se vor transmite aceste informatii catre celelalte arii.

Arii si tipuri de ruteri OSPF

Fiecare ruter este identificat prin intermediul unui identificator unic de 32 de biti, denumit ID ruter, RID (router ID). O solutie des intalnita de implementare a RID consta in utilizarea celei mai mici adrese IP, configurate la ruter, drept RID-ul sau . OSPF trateaza in mod diferit tipuri

diferite de segmente de retea [3]. Frecventa mesajelor si tipul de comunicatie dintre ruterii OSPF depind de tipul retelei. Astfel, exista urmatoarele trei tipuri de retele fizice OSPF:

Punct-la-punct: O retea punct-la-punct leaga direct doi ruteri. Acces multiplu: Retelele de acces multiplu permit legaturi intre mai multi ruteri (peste

doi). Punct-la-multipunct: Aceasta retea reprezinta un caz particular de retea de acces

multiplu fara difuzare. Intr-o retea punct-la-multipunct nu este necesar ca un ruter sa aiba cate o conexiune directa cu fiecare alt ruter. Aceasta configuratie mai este cunoscuta sub numele de retea plasa partiala (partially meshed).

3.7.2.2.Ruteri vecini si adiacente

Ruterii care impart un segment comun de retea pot stabili o relatie de invecinare la nivel logic [9] . In acest caz, pentru a stabili o relatie de invecinare, ruterii trebuie sa convina asupra urmatoarelor informatii: ID arie (ruterii trebuie sa apartina aceleiasi arii OSPF) , intervalele Hello si intervalele moarte si fanionul de arie ciot (stub) . Dupa ce doi ruteri au stabilit o relatie de invecinare, se poate stabili o relatie de adiacenta intre acestia. Ruteri vecini sunt considerati ruteri adiacenti dupa ce si-au sincronizat reciproc bazele de date de topologie. Sincronizarea bazelor de date se realizeaza prin schimbul de mesaje de stare a legaturii.

Schimbul excesiv de mesaje de stare a legaturii dintre ruterii vecini poate crea in retea un volum semnificativ de trafic [3]. Pentru a reduce acest trafic necesar sincronizarii bazelor de date s-a impus ca un ruter sa nu stabileasca (neaparat) adiacente cu fiecare ruter vecin . Fiecare retea de acces multiplu stabileste un ruter desemnat, DR (designated router) si un ruterdesemnat de rezerva, BDR (backup designated router). Un DR indeplineste urmatoarele douafunctii pentru un segment de retea: Stabileste adiacente cu toti ruterii din reteaua de acces multiplu , genereaza mesaje LSA, care anunta fiecare ruter conectat in reteaua de acces multiplu . Fiecarui ruter i se asociaza o prioritate reprezentata pe 8 biti, care indica sansele ca ruterul respectiv sa fie ales DR sau BDR. Un ruter cu prioritatea zero nu poate fi ales nici DR, nici BDR. Prioritatea este configurata pentru fiecare interfata a ruterului.

Relatiile dintre adiacente si invecinare.

Atunci cand un ruter genereaza sau modifica un mesaj LSA, acesta trebuie sa comunice aceasta modificare in cadrul retelei. Mai intai, ruterul transmite mesajul LSA fiecarui sistem adiacent. La receptionarea LSA-ului, acesti vecini salveaza informatia in propriile baze de date a starilor legaturilor si la randul lor, comunica LSA-ul vecinilor lor. Aceasta activitate de tipul “salveaza si trimite mai departe” (store and forward) continua pana cand toate sistemele primesc acest LSA . Acest proces poarta numele de inundare eficienta (reliable flooding) [9] .

3.7.2.3.Tipuri de pachete OSPF

Pachetele OSPF sunt transmise in datagramele IP si nu sunt incaptulate in pachetele TCP sau UDP. Antetul IP contine in campul de identificare a protocolului valoarea 89. De asemenea, valoarea campului care defineste tipul serviciului (type of service) are valoarea 0. Acest mecanism este utilizat pentru a impune o procesare speciala a pachetelor [9] . Atunci cand este posibil, un ruter OSPF utilizeaza transmisia multipla (multicast) pentru a comunica cu ruterii vecini . In retelele cu difuzare si in configuratiile punct-la-punct, pachetele transmise au adresa de destinatie de tip multicast 224.0.0.5. In mediile fara difuzare pachetele sunt transmise cu adresa IP de destinatie a ruterului vecin (unicast) .

Antetul pachetelor OSPF.

Pentru a determina setul optim de rute prin retea, fiecare ruter OSPF schimba LSA-uri cu alti ruteri din retea . Astfel, se definesc trei actiuni necesare pentru a efectua schimbul de informatii: descoperirea vecinilor , alegerea unui ruterului desemnat (DR) , stabilirea adiacentelor si sincronizarea bazelor de date.

Protocolul Hello , are ca functii descoperirea si mentinerea relatiilor dintre nodurile vecine. Pachetele Hello sunt transmise periodic pe fiecare interfata a ruterului. Pachetele contin identificatorii RID ai altor ruteri, ale caror pachete Hello au fost deja receptionate pe interfata respectiva. Atunci cand un ruter descopera propriul RID in pachetul generat de un alt ruter, aceste doua noduri stabilesc relatia de invecinare. Pachetul Hello contine si prioritatea ruterului, identificatorii DR si BDR. Acesti parametri sunt utilizati pentru a alege ruterul DR in reteaua de acces multiplu.

3.7.2.4.Alegerea ruterului desemnat stabilirea adiacentelor si sincronizarea bazelor de date

Fiecare retea de acces multiplu trebuie sa aiba cate un DR [3]. De asemenea, un ruter BDR poate fi ales. Acest ruter de rezerva asigura continuitatea rutarii in cazul in care DR se defecteaza. Ruterii DR si BDR sunt alesi pe baza informatiilor din pachetele Hello. Ruterul OSPF care are cea mai mare prioritate, din cadrul unui segment, devine ruterul desemnat al acelui segment. Acelasi proces este reluat pentru alegerea unui BDR. In cazul in care prioritatile sunt egale, ruterul care are cel mai mare RID este ales DR sau BDR. Ruterul care este ales DR nu mai poate deveni BDR. Dupa incheierea procesului de alegeri, ruterii DR si BDR incep sa formeze adiacente cu toti ceilalti ruteri din segmentul de acces multiplu.

Ruterii vecini sunt considerati adiacenti atunci cand si-au sincronizat reciproc bazele lor de date pentru starile legaturilor. Un ruter nu stabileste adiacente cu oricare nod vecin. In retelele de acces multiplu adiacentele sunt stabilite numai cu ruterii DR si BDR. In prima etapa a sincronizarii bazelor de date se realizeaza schimbul bazelor de date. Acestproces incepe imediat dupa ce doi ruteri vecini au stabilit o relatie de invecinare si consta intr-un schimb de pachete de descriere a bazei de date. Aceste pachete contin o lista de LSA-uri stocate in baza de date locala . Pe parcursul efectuarii schimbului de baze de date, ruterii stabilesc o relatie de tip “masterslave”. Ruterul “master” este cel care transmite primul. Fiecare pachet este identificat printrun numar de secventa, pe baza caruia ruterul “slave” confirma fiecare pachet de descriere a bazei de date receptionat de la ruterul “master”. In pachetele de confirmare, ruterul “slave” introduce si propriile descrieri ale LSA-urilor.

Pe durata efectuarii schimbului de baze de date, fiecare ruter noteaza antetele LSA (link state headers) pentru care vecinul sau detine o varianta mai noua (toate mesajele contin etichete de timp). Dupa incheirea acestui proces, fiecare ruter solicita vecinului sau informatiile cele mai recente detinute de acesta din urma. Cererea aceasta este realizata printr-un pachet de tip cerere de stare a legaturii. Atunci cand un ruter receptioneaza o cerere de stare a legaturii, trebuie sa raspunda cu un set de pachete de tip actualizare de stare a legaturii, care sa furnizeze LSA-urile solicitate. Fiecare LSA transmis este confirmat de catre receptor. Acest proces este similar procedurii de inundare fiabila utilizata pentru transmiterea modificarilor de topologie. Fiecare LSA contine un camp de vechime (age) care indica timpul in secunde trecut de la generarea anuntului. Vechimea creste continuu dupa ce LSA-ul este salvat in baza de date a topologiei. De asemenea, vechimea creste si dupa parcurgerea fiecarui nod

intermediar (hop) in procesul de inundare. Atunci cand vechimea atinge o valoare maxima, LSA-ul nu mai este utilizat pentru determinarea informatiei de rutare si este eliminat din baza de stare a legaturii. Aceasta vechime este utilizata deasemenea, pentru a face distinctia dintre doua copii identice (cu exceptia vechimii) ale aceluiasi LSA.

3.7.2.5.Stari ale vecinilor (neighbour states)

Standardul OSPF defineste un set de stari ale vecinilor (neighbor states), precum si evenimentele care determina tranzitiile unui vecin dintr-o stare in alta. Starile in care se poate afla un nod vecin sunt urmatoarele:

Oprit (Down): Aceasta este starea initiala si indica faptul ca recent nu s-au recptionat informatii de la nici un ruter din segment.

Incercare (Attempt): Aceasta stare este utilizata in retelele fara difuzare. Aceasta semnaleazaca un vecin pare sa fie inactiv. In aceasta stare se incearca (in mod repetat) restabilirea contactului.

Initializare (Init): S-a initiat comunicatia cu un vecin, dar nu s-a stabilit inca o comunicatie bidirectionala. In realitate, un pachet Hello a fost receptionat de la vecin, dar RID-ul ruterului local nu apare in acest pachet.

Duplex (2-way): S-a stabilit o comunicatie bidirectionala intre cei doi vecini. In aceasta stare se pot stabili adiacente, iar fiecare vecin poate fi ales ruter desemnat DR sau BDR.

ExStart: Vecinii incep stabilirea unei relatii de adiacenta.

Modificare (Exchange): Cei doi vecini fac schimb de baze de date de topologie.

Incarcare (Loading): Cei doi vecini isi sincronizeaza bazele de date de topologie.

Complet (Full): Cei doi vecini se afla intr-o relatie completa de adiacenta, iar bazele lor de date de topologie sunt sincronizate.

3.7.2.6.Redistribuirea si sumarizarea rutelor OSPF

Redistribuirea rutelor [3] este procesul prin care se introduc rutele externe intr-o retea OSPF. Aceste rute pot fi rute statice sau rute invatate prin intermediul altui protocol de rutare. Aceste rute sunt anuntate intr-o retea OSPF de catre un ruter ASBR si devin rute OSPF externe. Ruterul ASBR anunta aceste rute prin inundarea intregii retele OSPF cu LSA-uri pentru SA externe . Rutele descriu o cale capat-la-capat care este formata din doua parti:

Portiunea externa: Aceasta defineste portiunea de cale din afara retelei OSPF. Atunci cand aceste rute sunt distribuite in reteaua OSPF, ruterul ASBR le asociaza un cost initial. Acest cost reprezinta costul extern asociat parcurgerii portiunii externe a caii.

Portiunea interna: Aceasta defineste portiunea de cale din interiorul retelei OSPF. Costurileacestei portiuni sunt calculate folosind algoritmii OSPF standard.

Sumarizarea rutelor reprezinta procesul prin care mai multe informatii consecutive (In tabela de rutare) de rutare sunt combinate si transmise Impreuna Intr-un singur anunt. Acest proces permite reducerea dimensiunilor bazei de date a starilor legaturilor si a tabelei de rutare IP. Intr-o retea OSPF, sumarizarea este efectuata de catre un ruter de granita. Astfel, exista doa tipuri de sumarizari:

Sumarizarea rutelor dintre arii diferite (Inter-area route summarization): Sumarizarea aceasta este efectuata de ruterul ABR al acelei arii. Sumarizarea se aplica anunturilor informatiilor de rutare generate din interiorul ariei. Ruta sumarizata este anuntata in reteaua coloana vertebrala, care la randul ei, transmite anuntul sumarizat in celelalte arii.

Sumarizarea rutelor externe (External route summarization): Sumarizarea aceasta se aplica numai rutelor, injectate în reteaua OSPF. Aceasta sumarizare este realizata de ruterul ASBR care distribuie rutele în reteaua OSPF.

In functie de configuratia ruterului ASBR, rutele sumarizate pentru arii diferite pot fi redistribuite si in reteaua RIP.

3.8.Managementul si configurarea switch-urilor de nivel 3

Configurarea unui switch de nivel 3 este o controversa importanta . Cand switch-urile de nivel 3 realizeaza in acelasi timp si comutare la nivel 2 , acestea retin adresele MAC pe porturi , sigura configurare ce mai este necesara este cea a VLAN-urilor . Pentru comutarea la nivel 3 , switch-urile pot fi configurate cu porturile ce corespund fiecarei subretele sau acestea pot realiza invatarea adreselor IP . Acest proces presupune cautarea in antetul IP al cadrelor MAC si determinarea adresei subretelei pe portul de la adresa ip sursa . Cand un switch de nivel 3 se comporta ca un router pentru un switch de nivel 2 , acelasi port poate avea atribuit mai multe adrese IP. Managementul switch-urilor de nivel 3 este de obicei facut prin SNMP [5] (Simple Network Management Protocol) . Ele de asemenea pot avea o anumita adresa MAC pe fiecare port al lor sau pot avea aceeasi adresa mac pentru toate porturile . Switch-urile de nivel 3 folosesc de regula aceasta adresa MAC pentru SNMP sau telnet . Telnet-ul este un protocol de

retea care se foloseste in internet si in retelele de calculatoare de tip LAN la comunicatia textuala , bidirectionala si interactiva , bazata pe realizaea unei conexiuni virtuale cu statia de lucru destinatara (in acest caz , switch-ul de nivel 3) .

Exemplu de mod de conectare pentru configurare

Unul din factorii criticali de succes pentru switch-ul de nivel 2 a fost implementarea lui operarea simplista . Amplasarea lui a fost de obicei la fel de usoara ca si pornirea switch-ului , atribuindu-i o adresa IP , si facand conexiunile fizice ale retelei . Ruterele pe de alta parte , necesita o pregatire mai mare si forteaza utilizatorii sa aleaga dintr-o multitudine de comenzi codate . La switch-urile de nivel 3 s-a scos aceasta complexitate . Instalarea unui mediu rutat este la fel de simplu ca instalarea unui switch de nivel 2 , definind interfata rutata , si validand protocoalele de rutare . Pentru managementul retelei din perspectiva aplicatiei un switch de nivel 3 se comporta exact ca si un ruter . Din cauza componentei sale de nivel 2 , sunt disponibile si capabilitatile de monitorizare la distanta (RMON) . Cu toate acestea , cum capabilitatile de nivel 3 si 4 sunt prezente la switch-ul de nivel 3 , monitorizarea de nivel mai mare este disponibila cu tehnologia RMON2 [2] .

Bibliografie:

[1] CISCO Network Fundamentals

[2] CISCO Lan Swtiching & Wireless

[3] CISCO Routing protocols & Concepts

[4] Computer Networks 4th Ed - Andrew S. Tanenbaum

[5] TCP/IP Protocol Suite , McGraw Hill

[6] Internet Protocol," Jon Postel, RFC 791, 1981.

[7]Requirements for IP Version 4 Routers," Fred Baker, RFC 1812, June 1995.

[8] Interconnections: Bridges and Routers, Radia Perlman

[9] http://www.ietf.org/rfc/rfc2328.txt

[10] An engineering approach to computer networking, S. Keshav

[11] http://www.scribd.com/doc/74483572/52130367-Retele-Locale-de-Calculatoare-Proiectare-Si-Administrare-Ro

[12] http://grouper.ieee.org/groups/802/1/pages/802.1Q.html

Documents

Layer 2 and Layer 3 Switchstst.elia.pub.ro/news/RC/Teme_RC_IVA_2011_12/Fratila... · Web viewSecuritatea poate fi marita prin limitarea accesului la servere cu parole, dar problema