miun.diva-portal.org1110589/FULLTEXT01.pdf · from backups from the real network where it was tested to implement the new protocols and to see how they acted. An evaluation of the

Examensarbete på grundnivåIndependent degree project – first cycle

Datateknik

Computer science

LAN Segmentering

Implementering av VTP version 3 och MST

Per Axell

MITTUNIVERSITETETAvdelningen för informationssystem och -teknologi

Examinator: Lennart Franked, [email protected]: Magnus Eriksson, [email protected]örfattare: Per Axell, [email protected]: Nätverksdrift, 120 hpHuvudområde: Datateknik Kurs: DT140G Självständigt arbete för nätverksdrift, 15 hpTermin, år: 4, 2017

Sammanfattning

Foretaget ar mitt uppe med att segmentera deras natverk och anled-ningen till detta ar att fa en sakrare produktion med att skapa en kon-trollerad och isolerad miljo, skydda mot spridning av virus och andra hotsamt skapa en kostnadsbesparing genom att slippa uppdatera eller upp-gradera utrustningar i onodan bara for att uppfylla natverkspolicyn. Foratt underlatta foretagets behov for segmentering har det har sjalvstandigaarbetet gatt ut pa att implementera VTP version 3 och MST. VTP skic-kar ut VLAN och MST uppdateringar runt i natverket och underlattarvid anvandning av PVLAN. MST ar ett Spanning Tree protokoll som gordet mojligt att mappa VLAN till instanser for pa det sattet kunna sparaCPU-belastning pa switcharna samt att spara in pa antal olika VLAN narPVLAN anvands. Metoden som anvandes var att satta upp en testmiljofran backupper fran riktiga natet dar det testades att implementera de nyaprotokollen samt att se hur de fungerade. En utvardering av natet gjor-des dar utvalda switchar och interfaces mattes innan implementationen foratt senare jamforas med samma matningar efter att implementationen varklar. Det visade sig att resultaten fore implementeringen var sa pass lagaatt implementeringen av MST skots upp till att natverkssegmenteringenvar utford. VTP version 3 implementerades utan problem och tre olikascenarier med fardiga konfigurationer skapades for att hjalpa foretaget attta steget over till MST i framtiden.

3 (54)

Abstract

The company is on the verge of segmenting their network and thereasons for this are to get a more secure production by creating a con-trolled and isolated environment, protecting against the spread of virusand other threats and aswell creating cost savings by not updating or up-grading unnecessary equipment just to meet the network policy. In orderto facilitate the company’s segmentation needs, this independent projecthas been about implementing VTP version 3 and MST. VTP sends outVLAN and MST updates around the network and ease the use of PVLAN.MST is a Spanning Tree protocol that enables VLAN to be mapped toinstances to save CPU utilization on the switches as well to help loadbalance the network. The method used was to set up a test environmentfrom backups from the real network where it was tested to implement thenew protocols and to see how they acted. An evaluation of the networkwas made where selected switches and interfaces were measured before theimplementation to be compared later with the same measurements afterthe implementation was completed. It turned out that the results beforeimplementation were low enough that the implementation of MST waspostponed until the network segmentation was completed. VTP version 3was implemented without any problems and three different scenarios withcomplete configuration were created to help the company take the leap toMST in the future.

4 (54)

Innehall

1 Inledning 81.1 Problemmotivering . . . . . . . . . . . . . . . . . . . . . . . . . . 81.2 Syfte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81.3 Mal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81.4 Avgransningar . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91.5 Fragestallning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91.6 Dokumentets Struktur . . . . . . . . . . . . . . . . . . . . . . . . 9

2 Lager tva redundans 102.1 Spanning Tree Protocol . . . . . . . . . . . . . . . . . . . . . . . 102.2 Rapid Spanning Tree Protocol . . . . . . . . . . . . . . . . . . . 102.3 Virtual Local Area Network . . . . . . . . . . . . . . . . . . . . . 102.4 Per-VLAN Spanning Tree och Per-VLAN Spanning Tree Plus . . 122.5 Rapid Per-Vlan Spanning tree . . . . . . . . . . . . . . . . . . . . 122.6 Multiple Spanning Tree . . . . . . . . . . . . . . . . . . . . . . . 132.7 VLAN Trunking Protocol version 1 och 2 . . . . . . . . . . . . . 142.8 VTP version 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152.9 Private Virtual Local Area Network . . . . . . . . . . . . . . . . 162.10 Telnet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172.11 Secure Shell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172.12 Natverkstopologi . . . . . . . . . . . . . . . . . . . . . . . . . . . 182.13 Tidigare utveckling . . . . . . . . . . . . . . . . . . . . . . . . . . 18

3 Metod 213.1 Utvardering av nat . . . . . . . . . . . . . . . . . . . . . . . . . . 213.2 Testmiljo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213.3 Planering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233.4 Implementering . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233.5 Programvaror . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

3.5.1 DIA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243.5.2 Wireshark . . . . . . . . . . . . . . . . . . . . . . . . . . . 243.5.3 PuTTY . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

4 Resultat 254.1 CPU fore implementering . . . . . . . . . . . . . . . . . . . . . . 254.2 Interfaces innan implementering . . . . . . . . . . . . . . . . . . . 254.3 Wireshark captures . . . . . . . . . . . . . . . . . . . . . . . . . . 284.4 Andra testresultat . . . . . . . . . . . . . . . . . . . . . . . . . . 284.5 Planering och placering av protokollen . . . . . . . . . . . . . . . 39

4.5.1 VTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394.5.2 MST . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

4.5.2.1 Scenario 1 . . . . . . . . . . . . . . . . . . . . . 404.5.2.2 Scenario 2 . . . . . . . . . . . . . . . . . . . . . 404.5.2.3 Scenario 3 . . . . . . . . . . . . . . . . . . . . . 41

4.6 SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

5 (54)

5 Slutsats 435.1 Diskussion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445.2 Etiska och samhalleliga aspekter . . . . . . . . . . . . . . . . . . 445.3 Framtida arbete . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

6 Referenser 46

A Konfigurering av MST och VTP 48A.1 VTP v3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48A.2 MST . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

A.2.1 Scenario 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . 49A.2.2 Scenario 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . 50A.2.3 Scenario 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

B MST instanser 51B.1 Scenario 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51B.2 Scenario 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51B.3 Scenario 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

Figurer

1 Spanning-tree port-roller. . . . . . . . . . . . . . . . . . . . . . . 112 Topologiforandring . . . . . . . . . . . . . . . . . . . . . . . . . . 113 PVST . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 Multiple Spanning Tree. . . . . . . . . . . . . . . . . . . . . . . . 135 Multiple Spanning Tree regioner. . . . . . . . . . . . . . . . . . . 146 VTP version 1 och 2. . . . . . . . . . . . . . . . . . . . . . . . . . 167 VTP version 3 med MST. . . . . . . . . . . . . . . . . . . . . . . 178 Private VLAN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 Natverkstopologi. . . . . . . . . . . . . . . . . . . . . . . . . . . . 1910 Simplifierad Topologi. . . . . . . . . . . . . . . . . . . . . . . . . 1911 CPUs som ska matas. . . . . . . . . . . . . . . . . . . . . . . . . 2212 Interfaces som ska matas. . . . . . . . . . . . . . . . . . . . . . . 2313 En topologi over labbmiljon. . . . . . . . . . . . . . . . . . . . . . 2414 Switch 116 CPU-belastning. . . . . . . . . . . . . . . . . . . . . . 2515 Switch 118 CPU-belastning. . . . . . . . . . . . . . . . . . . . . . 2516 Switch 125 CPU-belastning. . . . . . . . . . . . . . . . . . . . . . 2617 Switch 126 CPU-belastning. . . . . . . . . . . . . . . . . . . . . . 2618 Switch 127 CPU-belastning. . . . . . . . . . . . . . . . . . . . . . 2619 Switch 190 CPU-belastning. . . . . . . . . . . . . . . . . . . . . . 2720 Switch 289 CPU-belastning. . . . . . . . . . . . . . . . . . . . . . 2721 Graf: Switch 101. Received pa Gigabitethernet 1/6 . . . . . . . . 2822 Graf: Switch 101. Transmitted pa Gigabitethernet 1/6 . . . . . . 2823 Graf: Switch 101. Received pa Gigabitethernet 1/61/11 och 1/12. 2924 Graf: Switch 101. Transmitted pa Gigabitethernet 1/61/11 och

1/12. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3025 Graf: Switch 101. Received pa interface Gigabitethernet 3/7 och

3/11. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

6 (54)

26 Graf: Switch 101. Transmitted pa interface Gigabitethernet 3/7och 3/11. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

27 Graf: Switch 102. Received pa interface Gigabitethernet 3/7 och3/11. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

28 Graf: Switch 102. Transmitted pa interface Gigabitethernet 3/7och 3/11. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

29 Graf: Switch 102. Received pa interface Gigabitethernet 1/8. . . 3430 Graf: Switch 102. Received pa interface Gigabitethernet 1/8. . . 3531 Graf: Switch 102. Received pa interface Gigabitethernet 3/8 och

3/11. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3532 Graf: Switch 102. Transmitted pa interface Gigabitethernet 3/8

och 3/11. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3633 VTP version 1 paket. . . . . . . . . . . . . . . . . . . . . . . . . . 3634 VTP version 3 paket. . . . . . . . . . . . . . . . . . . . . . . . . . 3735 Overgang till MST. . . . . . . . . . . . . . . . . . . . . . . . . . . 3736 Overgang till VTP version 3. . . . . . . . . . . . . . . . . . . . . 3737 Switch version. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3838 VTP Domaner. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3939 MST: Scenario 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . 4040 MST: Scenario 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . 4141 MST: Scenario 3. . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Tabeller

1 En tabell over Labbmiljon. . . . . . . . . . . . . . . . . . . . . . 212 Visar CPU-belastningen pa utvalda switchar under en veckas tid. 273 Sammanstalld belastning interfaces. . . . . . . . . . . . . . . . . 294 MST Instanser vid full lastbalansering. . . . . . . . . . . . . . . . 525 Scenario 1: MST Instanser . . . . . . . . . . . . . . . . . . . . . . 536 Scenario 2: MST Instanser . . . . . . . . . . . . . . . . . . . . . . 537 Scenario 3: MST Instanser . . . . . . . . . . . . . . . . . . . . . . 54

7 (54)

1 Inledning

1.1 Problemmotivering

Digitaliseringen som sker overallt har aven skett inom industrin med avancerademaskiner och robotar som kraver standig uppkoppling mot natverket for atttill exempel kunna hamta ordrar, program, uppdrag eller skicka varningar ochfelmeddelanden till berorda operatorer eller reparatorer. I och med att allt blirmera uppkopplat kravs det ocksa att tillgangligheten pa natverket ar god ochsaker.

Foretaget haller pa att segmentera (dela upp i mindre delar) sitt natverkoch de framsta anledningarna till detta ar:

• Skapa en kontrollerad/isolerad miljo for maskinutrustning och datorersom darmed minskar/minimerar risken for storningar i produktion (okadtillganglighet).

• Skydda maskinutrustning och datorer mot skadlig kod/virus och andrahot.

• Ge mojlighet till att ansluta ”icke-supportade utrustningar” (t.ex. en datormed Windows XP installerat) i natverket, det vill saga ansluta utrustningtill natverket som inte ar stammer overens med natverkspolicyn.

• Minska behovet av uppgraderingen av operativsystemet och mjukvaror foratt uppfylla kraven i deras natverkspolicy (kostnadsbesparing).

For att losa detta vill foretaget anvanda nya metoder och natverksprotokollsom inte tidigare anvants inom natverket och detta leder fram till mitt projekt-arbete.

1.2 Syfte

For att kunna uppfylla foretagets behov for segmenteringen och PVLAN kom-mer det har sjalvstandiga arbete att fokusera pa att utvardera foretagets natverk,planera, dokumentera, testa och implementera VTP v3 samt MST. Om tid finnsska aven all fjarrstyrningsinloggning pa natverksenheterna sakerstallas sa attSSH maste anvandas istallet for Telnet. Foretaget anvander idag Rapid-PVSToch VTP version 1 i natverket.

1.3 Mal

Malet med det har sjalvstandiga arbetet ar att implementera VTP v3 och MSTfor att sanka switcharnas CPU-belastning genom att mappa VLAN till instansersamt underlatta for foretaget att anvanda PVLAN till att segmentera natverket.

8 (54)

1.4 Avgransningar

Utvarderingen av natet kommer basera resultat fore och efter implementering-en av de nya protokollen for att kunna se om implementeringen har lett tillforbattring eller forsamring.

Matresultaten kommer ske i Cisco Prime [1] vilket ar Ciscos egna NetworkManagement System (NMS) program som anvands pa foretaget.

1.5 Fragestallning

• Behovs switcharnas mjukvara uppdateras sa att de far stod for de nyaprotokollen?

• Hur manga VTP domaner ska anvandas?

• Kommer de nya protokollen krava okad CPU-kapacitet fran switcharna?

• Kommer natverkets tillganglighet att paverkas nar de nya protokollen im-plementeras?

• Hur ska VLAN:en mappas till MST instanserna?

1.6 Dokumentets Struktur

• Kapitel 1 beskriver syftet och bakgrunden till sjalvstandiga arbetet.

• Kapitel 2 forklarar och visar vad som behovs for att forsta rapporten.

• Kapitel 3 visar och beskriver hur matningar, tester, planering och imple-mentering ska utforas.

• Kapitel 4 ar ett resultat kapitel dar alla resultat och matningar visas samtplanering och placering av de nya protkollen.

• Kapitel 5 ar ett slutsatskapitel dar rapportens fragestallningar besvarasoch losningar samt eventuella fragetecken forklaras.

• Kapitel 6 listar alla referenser.

• Bilaga A gar igenom all konfigurering som behovs for att implementeraVTP version 3 och MST.

• Bilaga B visar upp hur MST instanserna ar placerade i tabeller.

9 (54)

2 Lager tva redundans

I dagens natverksmiljoer namns ordet tillganglighet och redundans ofta ochbrukar matas i antal nior. Ett natverk pa tre nior motsvarar en tillganglighetpa minst 99.9% vilket betyder att det natverket inte kommer att vara tillgangligt8.76 timmar per ar. For att oka ”antal nior” kravs mera redundans vilket kanvara fler natverksenheter i form av switchar och routrar eller byta eller justeraolika protokoll som dem anvander.

For att bygga redundans pa lager tva (switchar) maste ett protokoll somheter Spanning Tree anvandas for att forebygga loopar i natverket. Lager tvaramar har inte nagon TTL (time-to-live raknare) som lager tre har och sa langeswitchar fortsatter att skicka runt paketet i loopen kommer det att fortsattatills att en switch eller lank gar ner [2]. Nackdelen med Spanning-tree ar att detinte gar att lastbalansera trafiken pa olika lankar utan all trafik kommer att gasamma vag fram och tillbaka.

2.1 Spanning Tree Protocol

Den forsta versionen Spanning Tree Protocol (STP) uppfanns av Radia Perlman1985 och blev en IEEE standard 1990 (802.1D). STP raknar ut ett bridge IDfran prioritets varde och MAC-adressen. Den switch som har lagst Bridge IDkommer att bli root-bridge. En port mellan switchar kan antingen vara root-,designated- eller backup/alternate-port. En root-port ar den basta vagen motroot-bridge fran en icke root-switch. Designated-port ar mot en port som expe-dierar varje LAN segment. Backup/alternate-port ar en annan vag mot root-bryggan som har en hogre kostnad och kommer vara blockerad tills att nagotsker pa natverket som till exempel att root-switchen gar ner eller att root-portlanken bryts [3]. I exemplet som visas i figur 1 sa har en spanning-tree utrakinggjorts och switcharnas port-roller fordelas.

I figur 2 visas ett exempel pa hur en topologiforandring (SW 1 slutar attfungera) skapar en ny spanning-tree utrakning och nya port-roller utses attforandras och efter det kommer natverket att fungera igen.

2.2 Rapid Spanning Tree Protocol

Rapid Spanning Tree Protocol (RSTP) blev en IEEE standard 2001 (802.1w).STP kan ta upp till 50 sekunder pa sig att svara pa en topologiforandring vilketar en valdigt lang tid i natverkssammanhang. Med RSTP kan den tiden forkortasavsevart och beroende pa vilken hello intervall som ar installd (standard ar 2sekunder) raknas tiden ut sahar:

3 ∗ 2(hellointervallet) = 6sekunder

2004 tog RSTP over som original STP standard [3].

2.3 Virtual Local Area Network

Virtual Local Area Network (VLAN) gor det mojligt att virtuellt skapa ettmindre natverk med anvandare aven om de befinner sig pa olika platser inom

10 (54)

Figur 1: Spanning-tree port-roller.

Figur 2: Topologiforandring

samma natverk. Anvandare inom till exempel VLAN 10 kommer fungera somatt de ar anslutna till en och samma switch aven fast de kan sitta pa olikaplatser eller i en annan byggnad. Ett VLAN kan anvandas till att dela upp ochisolera natverket for att sakra upp och skapa mindre broadcast domaner vilketminskar trafiken pa natverket [4].

11 (54)

2.4 Per-VLAN Spanning Tree och Per-VLAN SpanningTree Plus

Per-VLAN Spanning Tree (PVST) skapar separata STP for varje VLAN vil-ket gor det mojligt att lastbalansera olika VLAN pa olika lankar. Varje VLANkommer att fa en egen STP utrakning. Storsta skillnaden mellan PVST ochPer-VLAN Spanning Tree Plus (PVST+) ar att PVST bara fungerar med ISL(Ciscos protokoll for VLAN inkapsling) medan PVST+ fungerar med 802.1Qstandarden for VLAN inkapsling. PVST och PVST+ kraver mycket CPU-kapacitet och desto fler VLAN som anvands desto mer CPU-kapacitet kravs[5, Kapitel 4, sidor 130-133].

I exemplet som visas i figur 3 ar SW2 root-switch for VLAN 1 och SW3 arroot-switch for VLAN 2. SW1 kommer att blockera porten mot SW3 och portenmot SW2 blir en root-port for VLAN 1 och tvartom for VLAN2 vilket gor detmojligt att utnyttja bada lankarna for lastbalansering.

Figur 3: PVST

2.5 Rapid Per-Vlan Spanning tree

Rapid Per-Vlan Spanning tree (Rapid-PVST/RPVST) ar Ciscos egna variantav PVST. Fordelen med Rapid-PVST kontra PVST och PVST+ ar att Rapid-PVST anvander RSTP utrakning istallet for STP utrakning vilket minskar om-slagstiden vid andringar i natverket [6].

12 (54)

2.6 Multiple Spanning Tree

Multiple Spanning Tree (MST) kombinerar bade RSTP och PVST+ genom attmappa in VLAN till instanser. Varje instans mappas till en eller flera VLANoch far en egen STP root-switch utrakning. Fran processorns perspektiv kommerMST krava mindre resurser an PVST+ eftersom att manga VLAN kan mappasin till en instans som switchen behover halla koll pa istallet for manga olikaVLAN. MST gor det ocksa mojligt att lastbalansera trafiken och den ar avenbakatkompatibel med PVST+ [5, Kapitel 4, sidor 179-181].

For att se en overskadlig bild pa hur MST fungerar kan vi titta pa exempletsom visas i figur 4, dar mappas varje instans med x antal VLAN. SW2 ar rootfor instans 1 och SW2 ar root for instans 2. SW1 kommer att blockera portenmot SW3 och porten mot SW2 blir en root-port for instans 1 och tvartom forVLAN2 vilket gor det mojligt att utnyttja bada lankarna for lastbalansering.

For att en instans ska kunna ga mellan switchar maste hela instansens VLANvara tillatna att passera. Om till exempel endast ett av instansens alla VLANinte vara tillaten, leder detta till att inget VLAN i instansen kan passera. Det-ta kan leda till att alla eller manga trunkportar kan behova konfigureras omnar MST implementeras for att tillata ratt VLAN som instanserna kraver.MST kraver mera planering an PVST och PVST+ da det kan vara svart ochtidskravande att mappa VLAN till instanser. Ska flera MST regioner anvandaskommer en RSTP utrakning att skapas mellan regionerna, det vill saga att baratillata att en vag ar mojlig for att undvika loopar vilket tar bort lastbalanse-ringsmojligheten mellan regionerna, se figur 5 for att se en figur pa hur det kanse ut [7].

Figur 4: Multiple Spanning Tree.

13 (54)

Figur 5: Multiple Spanning Tree regioner.

2.7 VLAN Trunking Protocol version 1 och 2

VLAN Trunking Protocol (VTP) ar patentskyddat av Cisco och kan endastanvandas i Cisco catalyst switchar. For att underlatta administreringen avVLAN i switcharna kan VTP anvandas, genom att anvanda VTP racker detatt andra pa en switch for att fa andringen att spridas over natverket. Dettaar speciellt bra nar fler switchar anvands da det kan vara latt att raka skrivafel nagonstans nar andringarna gors manuellt i alla switchar, vilket kan leda tilltidskravande felsokning. Den storsta skillnaden mellan VTP version 1 och 2 aratt version 2 har stod for token ring.

En switch kan stallas in att vara i VTP server, klient eller transparent lage.Nar en andring gors i en VTP server kommer forst revisionsnumret att plussas pamed ett och sedan kommer andringen att skickas vidare till alla andra servraroch klienter i samma VTP doman som uppdateras med den nya andringen.Transparent mode ar som en egen server, andringar som gors i detta lage stannarendast pa den switchen och skickas inte vidare till nagra andra switchar, daremotskickar den vidare andringar som ar gjorda pa en server till klienter och servrar.

Ett exempel pa detta kan visas i figur 6 dar PC1 ar kopplad till SW1 ochvaljer att lagga in till exempel VLAN 200 i VTP domanen. Revisionsnumretkommer att okas pa med ett och sedan kommer SW1 formedla andringarna tillSW2 och SW3. SW2 och SW3 kollar forst pa revisionsnumret, om det ar etthogre revisionsnummer kommer switcharna forst att uppdatera sitt revisions-nummer till det och sedan lagga in VLAN 200 i VTP domanen. Detta upprepas

14 (54)

till alla klienter och servrar i domanen har fatt andringen och andrat pa sittrevisonsnummer. Observera att SW4 ar i Transparent lage och kommer inte attgora nagra andringar eller uppdatera sitt revisionsnummer utan kommer baraatt skicka vidare andringen till SW6.

Revisionsnumret ar viktigt att det ar lika pa alla switchar (bortsett frantransparenta switchar), varje gang en andring gors kommer numret att oka medett och detta ar viktigt for switcharna ska veta att andringen ar en ny andringoch inte en gammal. Kommer det en andring med lagre revisionsnummer kom-mer switchen att strunta i den. For att en andring ska ske i en VTP-domanmaste domannamn, losenord, revisionsnummer och version stamma overens an-nars struntar switchen i att andra.

I VTP 1 och 2 ar det latt att radera hela VLAN databasen nar en switchkonfigureras att ga med in i VTP domanen. Om switchen som satts in harett hogre revisionsnummer och ar i server lage (som ar standardlaget for nyaswitchar) kommer den att skicka ut uppdateringar med sina egna VLAN (somkan vara vilka som helst) och nar en annan switch far den uppdateringen ochser att revisionsnumret ar hogre an det som den har sa kommer den skriva overmed nya VLAN och sedan skicka detta vidare i VTP-domanen och alla tidigareandringarna som ar gjorda i VTP domanen ar borta [5, Kapitel 3, sida 87].

Det gar att ha flera olika VTP domaner i ett och samma natverk och kanvara bra nar det handlar om stora natverk dar manga har tillgang till att goraandringar i switcharna. Skulle nagon raka gora fel, till exempel att ta bort ettfel VLAN kommer da alla switchar i samma doman att ta bort samma VLAN.Detta kan da gora att anvandare eller utrustningar (datorer, servrar, maskinermed mera) tappar anslutningen till natverket och kan inte langre utfora sinauppgifter. Genom att dela upp natverket i mindre VTP domaner kan dettalindras men da kravs det mera konfigurering for att alla andringar som gors ien doman stannar i den domanen.

I version 1 och 2 kan losenordet haschas med en MD5 algoritm for att skyddadet men losenordet kommer fortfarande att sparas i klartext i vlan.dat filen somligger lokalt pa varje switch. Om en anvandare eller angripare har tillgang tillen switch kan personen bara titta in i vlan.dat filen, anvanda losenordet for attkomma in till VTP domanen och sedan kunna modifiera VLAN databasen [8][5,Kapitel 3, sida 87].

2.8 VTP version 3

Med version 3 kom det flera nya funktioner som stod for upp till 4095 VLAN,stod for att uppdatera VTP Domanen med information rorande Private VLANs(PVLAN) och stod for utover en VLAN databas aven en for MST databas. IVTP version 1 och 2 var det latt att radera hela VLAN databasen nar en nyswitch kopplades in och for att losa detta har version 3 en funktion som heterVTP Server Primary. Detta galler nar nagot behover andras i VTP domanensa maste switchen befinna sig i VTP server primary och det ar bara en switchper VTP doman som kan vara server primary. Varje gang en switch forsokerbli server primary sker en undersokning i natverket for att se om det ar nagon

15 (54)

Figur 6: VTP version 1 och 2.

annan switch som ar VTP server primary, om den ar en annan switch som ardet kommer switchen som forsoker att bli det nekas. Om det inte finns nagonswitch som ar det kommer switchen att kunna gora andringar i domanen.

Version 3 skoter aven om losenord pa ett battre satt genom en funktion somheter ’hidden’ och detta gor sa att losenordet inte visas i klartext i vlan.datfilen.

I VTP v3 gar det ocksa att formedla MST pa samma satt som med VLAN.Endast en switch kan vara VTP Server Primary MST at gangen och kravs for attkunna gora andringar. For att kunna anvanda VTP version 3 kravs Cisco IOSversion 12.2(54) eller senare. VTP version 3 ar bakatkompatibel med version 1och 2 [9] [10].

I exemplet som visas i figur 7 ar PC1 ar kopplad till SW1 och valjer att laggain till exempel VLAN 200 till instans 1 i VTP domanen. Revisionsnumret kom-mer att okas pa med ett och sedan kommer SW1 formedla andringarna till SW2och SW3. SW2 och SW3 kollar forst pa revisionsnumret, om det ar ett hogrerevisionsnummer kommer switcharna forst att uppdatera sitt revisionsnummertill det och sedan lagga in VLAN 200 in i instans 1 i VTP domanen. Detta upp-repas till alla klienter och servrar i domanen har fatt andringen och andrat pasitt revisonsnummer. Observera att SW4 ar i transparent lage och kommer inteatt gora nagra andringar eller uppdatera sitt revisionsnummer utan kommerbara att skicka vidare andringen till SW6.

2.9 Private Virtual Local Area Network

Private Virtual Local Area Network (PVLAN) gor det mojligt att isolera enhe-ter i ett VLAN sa att de inte ska kunna kommunicera med andra enheter i detVLAN:et men anda kunna kommunicera med lager tre switchar/routrar ellernatverkstjanster. VLAN:et delas upp i ett primart och ett sekundart VLAN.Det primara VLAN:et ar hela VLAN:et och inkluderar aven sekundara VLAN.Sekundara VLAN ar de olika port-rollerna som kan behovas i det primaraVLAN:et. Det finns tre olika port-lagen inom PVLAN. Isolated-, community-

16 (54)

Figur 7: VTP version 3 med MST.

och promiscuous-port. En port som ar isolerad kan inte kommunicera med nagonannan port i samma VLAN utan maste ga genom en router eller lager tre swit-ch. Community gor det mojligt att gruppera upp ett antal enheter sa de kankommunicera med varandra. Promiscuous port tillhor Primara VLAN:et ochkan kommunicera med alla portar i VLAN:et, isolated och community portarinkluderade. En port som pekar uppat i hierarkin till en router eller lager treswitch ska konfigureras som en promiscuous port. Bade isolated och communitykommer inte kunna vara under samma VLAN utan da maste sekundara VLANskapas [5, Kapitel 10, sidor 451-454].

Ett exempel pa detta visas i figur 8 dar PC1 och PC2 ar isolerade och isekundara VLAN:et 101. De kan inte kommunicera med varandra eller medandra datorer i det primara VLAN:et utan att ga via en router eller lager treswitch. PC3 och PC4 ar isolerade i ett community i sekundara VLAN:et 102vilket betyder att PC3 och PC4 kan kommunicera direkt med varandra meninte till nagon annan dator i VLAN:et utan att forst ga igenom en router ellerlager tre switch.

2.10 Telnet

Telnet ar protokoll som gor det mojligt att fjarrstyra en terminalanslutning tillexempel till en switch, router eller dator. Telnet protokollet utvecklades 1969och ar faktiskt ett av de forsta Internet Standarder och namndes redan i RFC15 [11]. Nar Telnet utvecklades 1969 hade man inte sakerhet i fokus och allt somi Telnet skrivs i skickas i klartext mellan sandaren och mottagaren [12] [13].

2.11 Secure Shell

Secure Shell (SSH) gor likt Telnet det mojligt att fjarrstyra en terminal som tillexempel en switch, router eller dator. SSH ar utvecklat med sakerhet i fokusoch skapar en saker kanal over ett osakert natverk med en anslutning mellanen klient och server och krypterar trafiken daremellan sa att ingen kan lasa aveller modifiera trafiken. SSH ar tankt som en eftertradare till Telnet [14].

17 (54)

Figur 8: Private VLAN.

2.12 Natverkstopologi

Cisco Prime ar Ciscos egna Network Management Software (NMS) som un-derlattar overvakning och kontrollen over natverket [1] Med detta verktyg gardet att se en natverkstopologi over de olika delarna av natverket. Figur 9 vi-sar en bild from Cisco Prime over hur alla switchar i omrade 1 och hur de arkopplade.

Utifran det verktyget skapades figur 10 som visar en mer overskadlig bildhur natverket ar uppbyggt.

2.13 Tidigare utveckling

Det finns en del guider att ga over fran PVST+ till MST men de ar flera ar gamlaoch omfattar inte en overgang med VTP v3. ”Configuration example to migrateSpanning Tree from PVST+ to MST” [15] gar igenom hur en overgang kan se utoch beskriver aven vilka vanliga problem som kan uppsta. Den har varit valdigtnyttig under planeringsstadiet da flera problem kom upp med overgangen ochvar tvungna att losas innan testningen borjades.

Ett av problemen som kom fram i rapporten var att trunking for instanser i

18 (54)

Figur 9: Natverkstopologi.

Figur 10: Simplifierad Topologi.

MST maste antingen vara tillaten for hela instansen eller inte alls vilket gjordeplaneringen mera problematisk da natverket innehaller ca 130 switchar och ca60 VLAN. Det finns aven en vitbok fran Cisco som beskriver hur VTP v3

19 (54)

fungerar och hur den kan konfiguras upp [10]. Den har anvands till att planerahur overgangen bor ske och aven visat hur MST kan konfigureras upp med hjalpav VTP v3.

20 (54)

3 Metod

3.1 Utvardering av nat

Utvarderingen sker med hjalp av Cisco Prime dar CPU-belastning och hur hogbelastning interfacen har i bade received (Rx) och transmitted (Tx) trafik garatt mata. Matningen kommer att ske under sju dagar fore och efter implemen-teringen av VTP version med MST. En vecka valdes for att fa in sa mangaolika produktionskift och dagar som mojligt in i matningen. Det finns mangaolika skiftformer for de anstallda pa foretaget och da hade belastningen kunnaantingen varit hogre eller lagre beroende pa hur manga som jobbar och vilkendag det ar. I verktyget gar det att se hur mycket belastning som switcharnahar i nulaget och da valdes sju access switchar som ar kopplade till core swit-charna, som visas i figur 11. Dessa switchar valdes for enligt Cisco Prime var deswitcharna de mest belastade i natet. Interfacen som mattes ar de som gar motcore-switchen fran switcharna 116, 118, 125, 126, 127, 190 och 289, som visas ifigur 12.

For att ta reda pa vilken IOS version som switcharna anvander kors kom-mandot:

show ve r s i on

Om versionen ar lagre an 12.2(54) kommer den att behova uppdateras tillen nyare version.

3.2 Testmiljo

For att testa hur en overgang kan ske fran de olika protokollen kommer enlabb med 6st Cisco switchar att sattas upp och visas i figur 13. Switcharnakommer att ha en backup inladdad fran switchar i det riktiga natverket. Enswitch kommer att agera core/distribution-switch och resten kommer att ageraaccess-switchar, se tabell 1.

Tabell 1: En tabell over Labbmiljon.Namn Modell Switch version RollH17t1 2960-cx 15.2(2)E2 AccessH17t2 2960-cx 15.2(4)E2 AccessH17t3 2960-cx 15.2(4)E2 AccessH17t4 2960-cx 15.2(4)E2 AccessH17t5 3750-x 12.2(55)SE5 Core/distribution

H17tp1 IE2000 15.2(4)EA1 Aceess

Det som ska testas ar foljande:

• Ga direkt fran VTP version 1 till 3.

• Skillnad mellan VTP version 1 och 3 nar det galler sakerhet.

• Implementera MST genom VTP version 3.

21 (54)

Figur 11: CPUs som ska matas.

• Sakerhetsstalla att SSH maste anvandas for fjarrinloggning pa switcharna.

For att se skillnaden mellan VTP version 1 och 3 kommer Wireshark [16] attanvandas for att kunna fanga VTP uppdateringar som skickas fran switcharna.

For att kunna fanga paket med Wireshark kommer en dator att kopplas inpa en av switcharna. Den switchen konfigureras att den skickar alla paket somskickas och tas emot pa en port mot en annan switch till den porten som datornar inkopplad pa.

Kommandot som kommer att anvandas i switchen ar:

monitor s e s s i o n 1 source i n t e r f a c eGigabitEthernet 1/0/1 both

monitor s e s s i o n 1 d e s t i n a t i o n i n t e r f a c eGigabitEthernet 1/0/48 encapsu la t i on r e p l i c a t e

Datorn sitter i port 1/0/48 och kommer att fa allt som skickas och tas emotfran interface GigabitEthernet 1/0/1.

22 (54)

Figur 12: Interfaces som ska matas.

For att testa om natet gar ner kommer det pingas kontinuerligt (kommandotping och sedan byta ut antal ping fran 5 till t.ex. 100000) fran en switch moten annan switch som byter fran Rapid-PVST till MST och VTP version 1 till3 och se om nagon ping kommer att misslyckas for att da kunna konstatera attnatet gar ner vid en overgang.

3.3 Planering

Efter testningen och utvarderingen ar klar kommer planeringen kunna goras.Under planeringsstadiet kommer antal VTP domaner och MST instanser pla-neras.

3.4 Implementering

En template kommer att skapas som innehaller konfigueringraderna for att upp-datera till VTP version 3 och MST. Detta kommer att skickas med verktygetCisco Prime (vilket i sig anvander SNMP) till de berorda switcharna.

23 (54)

Figur 13: En topologi over labbmiljon.

3.5 Programvaror

3.5.1 DIA

DIA ar ett diagramritningsverktyg som anvands for att rita upp topologier iden har rapporten [17].

3.5.2 Wireshark

Wireshark har anvants till att fanga paket och att analysera paketen somfangades i natverket [16].

3.5.3 PuTTY

PuTTY har anvants till att fjarransluta till switcharna med antingen Telneteller SSH [18].

24 (54)

4 Resultat

4.1 CPU fore implementering

Har kommer CPU matningarna forst att visas med en graf for varje switch ochsedan sammanstalls med tabell 2.

Se bild for respektive switch, switch 116 14, switch 118 15, switch 125 16,switch 126 17, switch 127 18, switch 190 19 och switch 289 20.

Figur 14: Switch 116 CPU-belastning.


4.2 Interfaces innan implementering

Har kommer resultaten fran interfacen att visas, forst grafer for switcharnaoch sedan en sammanstallningstabell 3 som visar i medelvarden per interfaceoch typ av matning. Matningarna kommer vara uppdelade i received (Rx) ochtransmitted (Tx). Interfacen som mats ar fran core-switcharna 101 och 102 motaccess-switcharna som CPU-belastningsmatningen baserades pa.

Se bild for respektive switch och interface, switch 101 interface Gigabitet-

25 (54)




hernet 1/6 received 21 och transmitted 22, switch 101 interface Gigabitethernet1/11 och 1/12 received 23 och transmitted 24, switch 101 interface Gigabi-tethernet 3/7 och 3/11 received 25 och transmitted 26, switch 102 interface

26 (54)



Tabell 2: Visar CPU-belastningen pa utvalda switchar under en veckas tid.CPU-Belastning innan implementering

Switchar Medelbelastning i % (avrundat till heltal)Switch 116 47Switch 118 34Switch 125 40Switch 126 40Switch 127 46Switch 190 40Switch 289 23

Gigabitethernet 1/8 received 29 och transmitted 30, switch 102 interface Gi-gabitethernet 1/6 och 1/12 received 27 och transmitted 28 samt switch 102interface Gigabitethernet 3/7 och 3/11 received 31 och transmitted 32.

27 (54)

Figur 21: Graf: Switch 101. Received pa Gigabitethernet 1/6

Figur 22: Graf: Switch 101. Transmitted pa Gigabitethernet 1/6

4.3 Wireshark captures

Har kommer VTP version 133 och 334 wireshark fangningar att visas.

4.4 Andra testresultat

Att ga fran VTP version 1 till VTP version 3 skedde problemfritt, se figur36. Nar MST implementerades pa en av switcharna pingades den kontinuerligtfran en annan switch. Nar MST implementerades var det en liten period (2-3 sekunder) som pingen inte lyckades att na den switchen. I exemplet somvisas i figur35 kors Ping samtidigt som overgangen fran Rapid-PVST till MST.Utropstecken (!) ar en lyckad ping och punkt (.) ar en misslyckad ping. Dettabetyder att det inte gar att implementera MST utan att tillgangligheten tillnatverket paverkas under overgangen aven fast MST ar bakatkompatibel medRapid-PVST. Detta besvarar fragan ”Kommer natet att ga ner nar de nyaprotokollen implementeras?” som stalldes i kapitel 1.

Ett antal switchar kommer att behova uppdateras till en senare versionfor att kunna fa stod for VTP version 3, se figur 37. Switcharna maste ha

28 (54)

Figur 23: Graf: Switch 101. Received pa Gigabitethernet 1/61/11 och 1/12.

Tabell 3: Sammanstalld belastning interfaces.Interface belastning i %Switch 101 Rx TxGigabit 1/6 0,38 1,95Gigabit 1/11 0,37 0Gigabit 1/12 0 0Gigabit 3/7 0 0Gigabit 3/11 0 0

Switch 102 Rx TxGigabit 1/6 0 0Gigabit 1/8 0,04 0,01Gigabit 1/12 0 0Gigabit 3/7 0 0Gigabit 3/11 0 0

version 12.2(54) eller senare for att ha stod for VTP version 3 [9]. Detta besvararfragan ”Behovs switcharnas mjukvara uppdateras sa att de far stod for de nyaprotokollen?” som stalldes i kapitel 1.

29 (54)

Figur 24: Graf: Switch 101. Transmitted pa Gigabitethernet 1/61/11 och 1/12.

30 (54)

Figur 25: Graf: Switch 101. Received pa interface Gigabitethernet 3/7 och 3/11.

31 (54)

Figur 26: Graf: Switch 101. Transmitted pa interface Gigabitethernet 3/7 och3/11.

32 (54)


33 (54)


Figur 29: Graf: Switch 102. Received pa interface Gigabitethernet 1/8.

34 (54)

Figur 30: Graf: Switch 102. Received pa interface Gigabitethernet 1/8.


35 (54)


Figur 33: VTP version 1 paket.

36 (54)

Figur 34: VTP version 3 paket.

Figur 35: Overgang till MST.

Figur 36: Overgang till VTP version 3.

37 (54)

Figur 37: Switch version.

38 (54)

4.5 Planering och placering av protokollen

4.5.1 VTP

Designen som valdes var att anvanda en stor VTP doman for bada omradena, sefigur 38. Detta valdes framst for att underlatta konfigureringen. Core switch 3kommer att agera primary server, Core switch 1 kommer agera server och restenav alla switchar kommer att vara clients. Anledningen till att coreswitcharna skaagera server ar att det ar endast en handfull personer som har tillgang till democh manga som har tillgang till accesswitcharna (elektriker, vissa reparatorermed flera) for att till exempel ansluta en dator och lagga in den i ratt VLANeller att byta ut en trasig switch.

Detta besvarar fragan ”Hur manga VTP domaner ska anvandas?” somstalldes i kapitel 1.

Figur 38: VTP Domaner.

4.5.2 MST

Utan att behova rora om sa mycket i natverket har 62 olika VLAN mappasin till 43 instanser. Med de har 43 instanserna har tre olika scenarion planeras.VLAN:en har delas upp i tre grupper. Omrade 1, Omrade 2 och Overallt. VLANfor omrade 1 ska bara anvandas pa omrade 1, VLAN for omrade 2 ska baraanvandas pa omrade 2 och Overallt kommer att anvandas pa bada omraderna.Detta besvarar fragan ”Hur ska VLAN:en mappas till MST instanserna?” somstalldes i kapitel 1.

I nulaget anvands bara tva av fyra core switchar som lager tre men foretagetkan i framtiden anvanda alla fyra core switchar som lager tre och darfor skapadestre MST scenarion. Tva av scenarierna anvander alla fyra core switchar somlager tre switchar och en anvander bara tva lager tre switchar.

39 (54)

4.5.2.1 Scenario 1

MST planeras med tva regioner. Fordelen med detta ar att kunna anvanda enjamn lastbalansering i access-switcharna och aven minska antal instanser genomatt begransa omradena med till exempel inte placera alla omrades 2 instanseri omrade 1. Nackdelen med detta ar att en RSTP utrakning gors mellan detva regionerna vilket betyder att bara en vag kommer att vara oppen mellanomradena och inte tillata nagon lastbalansering mellan core switcharna. Dettascenario kraver att alla fyra core switchar anvander lager tre.

I figur 39 visas ett exempel hur instansernas root switch ar placerade ochaven hur de olika instanserna kommer att skicka sin trafik. For att se hur scenario1 konfigureras upp visas det i A.2.1.

Figur 39: MST: Scenario 1

4.5.2.2 Scenario 2

MST planeras med en stor region. Fordelen med detta ar att fa en lastbalanse-ring bade bland core switcharna och i access-switcharna. Nackdelen med dettaar att det kommer krava ett extra hopp for ett x antal instanser for att na sinroot-switch. Detta scenario kraver att alla fyra core switchar anvander lager tre.

I figur 40 visas ett exempel hur instansernas root switch ar placerade ochaven hur de olika instanserna kommer att skicka sin trafik. Vi ser att instans

40 (54)

1 och 2 beroende pa omrade kommer krava ett extra hopp for att na sin root-switch. For att se hur scenario 2 konfigureras upp visas det i A.2.2.

Figur 40: MST: Scenario 2

4.5.2.3 Scenario 3

MST planeras med en stor region. Fordelar ar att MST implementeras ochVLAN mappas in till instanser. Nackdelen med detta ar att ingen lastbalanse-ring sker automatiskt, varken mellan core-switcharna eller access-switcharna.

I figur 41 visas ett exempel hur instansernas root switch ar placerade ochaven hur de olika instanserna kommer att skicka sin trafik. Vi ser att all tra-fik kommer att ga samma vag mot root-switcharna. For att se hur scenario 1konfigureras upp visas det i A.2.3.

4.6 SSH

For att ersatta Telnet med SSH nar switchar fjarrstyrs kommer de har kom-mandona behova laggas in pa varje switch i natverket:

l i n e vty 0 15

t ranspor t input ssh

41 (54)

Figur 41: MST: Scenario 3.

Detta gor att om en switch ska fjarrstyras maste den anslutningen ske medSSH.

42 (54)

5 Slutsats

For att underlatta foretagets behov for natverkssegmentering (dela upp natverketi mindre delar) har det har sjalvstandiga arbetet gatt ut pa att implementeraVTP version 3 och MST. VTP skickar ut VLAN och MST uppdateringar runti natverket och underlattar vid anvandning av PVLAN. MST ar ett Spanningtree protokoll som gor det mojligt att mappa VLAN till instanser for pa detsattet kunna spara CPU-belastning pa switcharna samt att spara in pa VLANnar PVLAN anvands. Metoden som anvandes var att satta upp en testmiljofran backupper fran riktiga natet dar det testades att implementera de nyaprotokollen samt att se hur de fungerade. En utvardering av natet gjordes darutvalda switchar och interfaces mattes innan implementationen for att senarejamforas med samma matningar efter att implementationen var klar.

I och med att belastningen pa switcharna och interfacen var sa pass lag nardet mattes och LAN segmenteringen redan ar ett stort projekt har det beslutatsatt skjuta upp implementeringen av MST. Anledningen till detta ar att behovettill att byta fran Rapid-PVST till MST inte ar akut i dagslaget. Foretagetplanerar dock att implementera MST efter att LAN segmenteringen ar klar.

Detta gor att fragan ”Kommer de nya protokollen krava mera CPU-kapacitetfran switcharna?” som stalldes i kapitel ett inte kommer kunna besvaras i denhar rapporten.

VTP version 3 har efter testning valts att implementeras och gjordes medhjalp av Cisco Prime dar tre templates (clients, server, primary server) ska-pades med konfigureringen och skickades runt pa natverket. Designen blev enVTP doman som tacker bada omraden, jag ville halla nere antal VTP domanertill det minimala for att manga VLAN behover anvandas pa bada omradena.Sakerhetsmassigt ar den storsta vinsten med VTP version 3 att primary ser-ver kan anvandas da endast en switch kan vara primary i domanen samt attlosenordet som ligger i VLAN.dat inte langre star i klartext om kommandot’hidden’ anvands kombinerat med vtp password. Det ar endast ett fatal perso-ner som har tillgang till serverswitcharna vilket minimerar risken for felkonfi-gurering. VTP version 1 och 3 paket analyserades med Wireshark och det gickatt se exakt samma information mellan de olika versionerna. Nar VTP version3 skulle implementerades pa klienterna misslyckades de pa 80 enheter pa grundav att en del av switcharna inte har kunnat uppdateras (kraver omstart och dakommer natet ga ner), gamla 2955T switchar som inte stodjer nya uppdatering-ar och 2960 switchar med endast fast-ethernet stod som ska bytas. Eftersom attVTP version 3 ar bakatkompatibel med version 1 och 2 kommer inte detta attbli nagot problem da alla switchar som anvander version 1 och 2 kommer attvara klienter. Detta gor det mojligt for foretaget att kunna uppdatera switchar-na vid ett planerat produktionsstopp och byta ut de switchar som ar for gamlavid ett senare tillfalle.

Foretaget anvander idag tva av fyra core switchar som lager tre men kaneventuellt i framtiden anvanda alla fyra som lager tre och darfor valde jagatt skapa tre olika scenarier med komplett konfiguration for att underlatta for

43 (54)

foretaget att ta steget till MST i framtiden. Scenario 1 och 2 kraver fyra la-ger tre switchar medan scenario 3 anvander tva lager tre switchar. Scenario 1anvander tva MST regioner vilket ger en jamn lastbalansering pa access lag-ret men ingen lastbalansering mellan core switcharna. Scenario 2 anvander enMST region vilket ger en bra lastbalansering bade pa access och core/distribu-tion niva och scenario 3 vilket endast tar vara pa fordelarna med att kora MST.Ingen lastbalansering kommer ske vid detta scenario.

5.1 Diskussion

Nar det beslutades att inte implementera MST gjorde det att en del av minrapport inte kunde genomforas da jag hade tankt att jamfora rapid-PVST motMST och se hur stor paverkan de hade pa switcharnas CPU och interfacessom gar mellan core/distribution och access switcharna. Jag tror att om MSTimplementeras kommer CPU-belastningen sjunka lite genom att det blir farreSpanning Tree utrakningar for processorn att rakna pa.

Metoddelen av rapporten hade ocksa kunnat goras annorlunda om jag ha-de vetat om att MST inte skulle implementeras under sjalvstandiga arbetet.Jag hade kunna utvardera natverket pa ett annat satt som till exempel seover mojlighet att kunna implementera Virtual Switch System (VSS) pa co-re/distribution switcharna vilket troligtvis skulle ge en jamn lastbalansering pacoreswitcharna [19].

5.2 Etiska och samhalleliga aspekter

Fokuset pa det sjalvstandiga arbetet nar det galler etik har varit att inte ex-ponera nagra kansliga uppgifter, eller att pa nagot sett kunna leda det harsjalvstandiga arbetet till foretaget. Jag har haft en dialog med foretaget om hurmycket jag far ta med i den har rapporten angaende informaration om VLANoch IP-adresser (fran resultat graferna). Angaende VLAN sa har jag valt att in-te beskriva eller ga in pa VLAN:en i detalj utan bara angett dem i ett nummer.Till exempel genom att skriva VLAN 32 utan att beskriva VLAN:ets roll ellernamn. Alla exponerade IP-adresser i den har rapporten har censurerats for attundvika att en publik IP-address exponeras.

Samhallsnyttan i det har sjalvstandiga arbetet ar att nar implementeringav MST gors kommer det troligtvis innebara en minskad CPU-belastning paswitcharna i foretagets natverk. En lagre CPU-belastning ger en lagre ener-giforbrukning och en kostnadsbesparing for att foretaget kan anvanda sin nu-varande natverksutrustning langre innan den behover bytas ut. En lagre ener-giforbrukning ar gynnsamt for bade foretaget och miljon.

5.3 Framtida arbete

Det som finns kvar att gora i ett framtida arbete ar att implementera MST ochsedan jamfora matresultaten for att se hur stor skillnad det blev. En annan saksom skulle kunna goras ar att planera om hela natverket med MST i atanke.

44 (54)

Det borde da ga att fa bort ett tiotal instanser pa natverket vilket borde kunnaspara annu mera CPU-belastning pa switcharna.

45 (54)

6 Referenser

Referenser

[1] www.cisco.com. Cisco prime for it and service providers, . URL http:

//www.cisco.com/c/en/us/products/cloud-systems-management/

prime.html. Hamtad 18 April 2017.

[2] www.map.meteoswiss.ch. Default ttl values in tcp/ip. URL http://www.

map.meteoswiss.ch/map-doc/ftp-probleme.htm. Hamtad 18 April 2017.

[3] www.ciscopress.com. Attacking the spanning tree protocol. URL http:

//www.ciscopress.com/articles/article.asp?p=1016582. Hamtad 18April 2017.

[4] www.petri.com. What is a vlan? how to setup a vlan on a cisco switch.URL https://www.petri.com/csc_setup_a_vlan_on_a_cisco_switch.Hamtad 18 April 2017.

[5] Erum Frahim Richard Froom. Implementing Cisco IP Switched Networks(Switch). Cisco Press, 800 East 96th Street, Indianapolis, IN 46240, secondprinting, december 2015 edition, 2015. ISBN 978-1-58720-664-1.

[6] http://www.cisco.org/. Rapid-pvst, . URL http://www.cisco.com/c/

en/us/td/docs/switches/datacenter/nexus5000/sw/configuration/

guide/cli/CLIConfigurationGuide/RPVSpanningTree.html. Hamtad18 April 2017.

[7] http://www.cisco.org/. Configuring mst, . URL http://www.

cisco.com/c/en/us/td/docs/switches/datacenter/nexus5000/sw/

configuration/guide/cli_rel_4_0_1a/CLIConfigurationGuide/MST.

html. Hamtad 24 Maj 2017.

[8] www.cisco.com. Understanding vlan trunk protocol (vtp), . URLhttp://www.cisco.com/c/en/us/support/docs/lan-switching/vtp/

10558-21.html. Hamtad 18 April 2017.

[9] http://www.cisco.org/. Configuring vtp, . URL http://www.cisco.com/

c/en/us/td/docs/switches/lan/catalyst3560/software/release/

12-2_52_se/configuration/guide/3560scg/swvtp.html. Hamtad 18April 2017.

[10] www.cisco.com. Vtp version 3, . URL http://www.cisco.com/c/en/us/

products/collateral/switches/catalyst-6500-series-switches/

solution_guide_c78_508010.html. Hamtad 18 April 2017.

[11] www.ietf.org. Network subsystem for time sharing hosts, . URL https:

//tools.ietf.org/html/rfc15. Hamtad 18 April 2017.

[12] www.ietf.org. Telnet protocol specification, . URL https://tools.ietf.

org/html/rfc854. Hamtad 18 April 2017.

46 (54)

http://www.cisco.com/c/en/us/products/cloud-systems-management/prime.html



http://www.map.meteoswiss.ch/map-doc/ftp-probleme.htm

http://www.map.meteoswiss.ch/map-doc/ftp-probleme.htm

http://www.ciscopress.com/articles/article.asp?p=1016582

http://www.ciscopress.com/articles/article.asp?p=1016582

https://www.petri.com/csc_setup_a_vlan_on_a_cisco_switch

http://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus5000/sw/configuration/guide/cli/CLIConfigurationGuide/RPVSpanningTree.html



http://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus5000/sw/configuration/guide/cli_rel_4_0_1a/CLIConfigurationGuide/MST.html




http://www.cisco.com/c/en/us/support/docs/lan-switching/vtp/10558-21.html

http://www.cisco.com/c/en/us/support/docs/lan-switching/vtp/10558-21.html

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3560/software/release/12-2_52_se/configuration/guide/3560scg/swvtp.html



http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500-series-switches/solution_guide_c78_508010.html



https://tools.ietf.org/html/rfc15




[13] www.differencebetween.net. Difference between telnet and ssh.URL http://www.differencebetween.net/technology/internet/

difference-between-telnet-and-ssh/. Hamtad 18 April 2017.

[14] www.ietf.org. The secure shell (ssh) rfc 4252, . URL https://tools.ietf.

org/html/rfc4252. Hamtad 18 April 2017.

[15] www.cisco.com. Configuration example to migrate spanning tree frompvst+ to mst, . URL http://www.cisco.com/c/en/us/support/docs/

switches/catalyst-6500-series-switches/72844-MST.html. Hamtad18 April 2017.

[16] https://www.wireshark.org/. Wireshark. URL https://www.wireshark.

org/. Hamtad 18 April 2017.

[17] http://dia installer.de/. Dia diagram editor. URL http://

dia-installer.de/. Hamtad 18 April 2017.

[18] http://www.putty.org/. Putty. URL http://www.putty.org/. Hamtad18 April 2017.

[19] http://www.cisco.org/. Virtual switching systems (vss), . URL https:

//www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/

ios/12-2SX/configuration/guide/book/vss.html. Hamtad 26 Maj2017.

47 (54)

http://www.differencebetween.net/technology/internet/difference-between-telnet-and-ssh/

http://www.differencebetween.net/technology/internet/difference-between-telnet-and-ssh/



http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/72844-MST.html

http://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/72844-MST.html

https://www.wireshark.org/

https://www.wireshark.org/

http://dia-installer.de/

http://dia-installer.de/

http://www.putty.org/

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/configuration/guide/book/vss.html



A Konfigurering av MST och VTP

A.1 VTP v3

For Klienter:

vtp v e r s i o n 3vtp mode c l i e n tvtp domain gimovtp password x hiddenvtp mode c l i e n t mst

For Server:

vtp v e r s i o n 3vtp mode s e r v e rvtp domain gimovtp password x hiddenvtp mode s e r v e r mst

For Primary Server:

vtp primary mst/ vlan

For att mappa alla VLAN till instanser kommer detta konfigureras till Pri-mary Servern pa respektive omrade:

vtp primary mstspanning−t r e e mst c o n f i g u r a t i o nname gimor e v i s i o n 1pr ivate−vlan synchron izei n s t anc e 1 vlan 1in s t anc e 2 vlan 2in s t anc e 3 vlan 3in s t anc e 7 vlan 7in s t anc e 8 vlan 8in s t anc e 9 vlan 9 ,16 ,24 ,200 ,201 ,204in s t anc e 10 vlan 10in s t anc e 11 vlan 11in s t anc e 12 vlan 12in s t anc e 13 vlan 13in s t anc e 14 vlan 14in s t anc e 15 vlan 15in s t anc e 17 vlan 17in s t anc e 18 vlan 18in s t anc e 19 vlan 19in s t anc e 20 vlan 20

48 (54)

i n s t anc e 21 vlan 21in s t anc e 22 vlan 22in s t anc e 23 vlan 23in s t anc e 25 vlan 25in s t anc e 26 vlan 26in s t anc e 27 vlan 27in s t anc e 28 vlan 28in s t anc e 29 vlan 29in s t anc e 30 vlan 30in s t anc e 31 vlan 31in s t anc e 32 vlan 32in s t anc e 33 vlan 33in s t anc e 34 vlan 34in s t anc e 35 vlan 35in s t anc e 36 vlan 99in s t anc e 37 vlan 190in s t anc e 38 vlan 191−193in s t anc e 40 vlan 195−197in s t anc e 41 vlan 202in s t anc e 42 vlan 210in s t anc e 43 vlan 211in s t anc e 44 vlan 220in s t anc e 45 vlan 222in s t anc e 46 vlan 666in s t anc e 47 vlan 800in s t anc e 48 vlan 820 ,822 ,823in s t anc e 49 vlan 1002−1005spanning−t r e e mode mst

A.2 MST

A.2.1 Scenario 1

Har visas hur core switcharna ska konfigureras i scenario 1. Ska flera regioneranvandas kommer aven VTP domanenen att behova justeras lite sa att namegimo”inte ar lika pa de tva omradena.

Core switch 1:

spanning−t r e e mst 1 ,2 ,7 −10 ,12 ,17 ,18 ,20 ,23 ,27 ,28 ,30 ,36 ,38 ,41−48 root primary

spanning−t r e e mst 11 ,34 root secondary

Core switch 2:

spanning−t r e e mst 11 ,34 root primary

49 (54)

spanning−t r e e mst 1 ,2 ,7 −10 ,12 ,17 ,18 ,20 ,23 ,27 ,28 ,30 ,36 ,38 ,41−48 root secondary

Core switch 3:

spanning−t r e e mst 1 ,2 ,7 −10 ,12 ,17 ,18 ,20 ,23 ,27 ,28 ,30,36 ,38 ,41−48 root primary

spanning−t r e e mst 3 ,13 −15 ,19 ,21 ,22 ,25 ,26 ,29 ,31−33 ,35 ,37 ,40 root secondary

Core switch 4:

spanning−t r e e mst 3 ,13 −15 ,19 ,21 ,22 ,25 ,26 ,29 ,31−33 ,35 ,37 ,40 root primary

spanning−t r e e mst 1 ,2 ,7 −10 ,12 ,17 ,18 ,20 ,23 ,27 ,28 ,30 ,36 ,38 ,41−48 root secondary

A.2.2 Scenario 2

Har visas hur core switcharna ska konfigureras i scenario 2.

Core switch 1:

spanning−t r e e mst 1 ,2 , 7 , 9 , 12 ,17 , 28 ,36 ,42−45 root primary

spanning−t r e e mst 11 ,34 root secondary

Core switch 2:

spanning−t r e e mst 11 ,34 root primary

spanning−t r e e mst 1 ,2 , 7 , 9 , 12 ,17 , 28 ,36 ,42−45 root secondary

Core switch 3:

spanning−t r e e mst 8 ,10 ,18 ,20 ,23 ,27 ,30 ,38 ,41 ,46−48 root primary

spanning−t r e e mst 3 ,13 −15 ,19 ,21 ,22 ,25 ,26 ,29 ,31−33 ,35 ,37 ,40 root secondary

50 (54)

Core switch 4:

spanning−t r e e mst 3 ,13 −15 ,19 ,21 ,22 ,25 ,26 ,29 ,31−33 ,35 ,37 ,40 root primary

spanning−t r e e mst 8 ,10 ,18 ,20 ,23 ,27 ,30 ,38 ,41 ,46−48 root secondary

A.2.3 Scenario 3

Har visas hur core switcharna ska konfigureras i scenario 3.

Core switch 1:

spanning−t r e e mst 1 ,2 , 7 , 9 , 11 , 12 , 17 , 28 ,34 ,36 ,38 ,42−45 root primary

spanning−t r e e mst 3 ,8 ,10 ,13−15 ,18−23 ,25−27 ,29−33 ,35 ,37 ,40 ,41 ,46−48 root secondary

Core switch 3:

spanning−t r e e mst 3 ,8 ,10 ,13−15 ,18−23 ,25−27 ,29−33 ,35 ,37 ,40 ,41 ,46 −48 root primary

spanning−t r e e mst 1 ,2 , 7 , 9 , 11 , 12 , 17 , 28 ,34 ,36 ,38 ,42−45 root secondary

B MST instanser

I tabell 4 visas hur MST instanserna ar placerade pa vid en full lastbalanseringpa bade access och core switcharna. Core 1 och 3 delar pa gruppen overallt, core2 tar grupp omrade 1 och core 4 tar grupp omrade 2. De fargade instansernahar flera VLAN mappade till sig.

B.1 Scenario 1

I tabell 5 visas hur MST instanserna ar placerade vid scenario 1.

B.2 Scenario 2


51 (54)

Tabell 4: MST Instanser vid full lastbalansering.Omrade1 Omrade 2

Core 1 Core2 Core3 Core 41 11 8 32 34 10 137 18 149 20 1512 23 1917 27 2128 30 2236 47 2538 41 2642 46 2943 48 3144 3245 33

353740

B.3 Scenario 3


52 (54)

Tabell 5: Scenario 1: MST InstanserOmrade1 Omrade 2

Core 1 Core2 Core4 Core41 11 1 32 34 2 137 7 148 8 159 9 1910 10 2112 12 2217 17 2518 18 2620 20 2923 23 3127 27 3228 28 3330 30 3536 36 3738 38 4041 4142 4243 4344 4445 4546 4647 4748 48


Core 1 Core2 Core4 Core41 11 8 32 34 10 137 18 149 20 1512 23 1917 27 2128 30 2236 38 2542 41 2643 46 2944 47 3145 48 32

33353740

53 (54)


Core 1 Core2 Core4 Core41 32 87 109 1311 1412 1517 1828 1934 2036 2138 2242 2343 2544 2645 27

293031323335374041464748

54 (54)

Documents

miun.diva-portal.org1110589/FULLTEXT01.pdf · from backups from the real network where it was tested to implement the new protocols and to see how they acted. An evaluation of the