Zaawansowane Przeczanie IP

dr in. ukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/

ZPIP - v2015

Poczony model sieci

ZPIP - v2015

Hierarchiczny model sieci

WAN Edge

Core Tier

WAN Edge
Router

WAN Edge
Router

L2/L3
Switch

L2/L3
Switch

Aggregation
Tier
SSL VPN
Firewall
IPSec VPN
IPS
L2/L3
Switch

Security Sprawl
Hard to manage
STP in a flat L2
access network

L2/L3
Switch

Access
Tier L2
Switch
Servers +
Storage

ZPIP - v2015

Hierarchiczny model sieci

Zalety modelu hierarchicznego:

Skalowalno
Utrzymanie, konserwacja, przywracanie po
awariach (modularna budowa)

Nadmiarowo

Wydajno

Bezpieczestwo

Zarzdzanie
ZPIP - v2015

Hierarchiczny model sieci

Poczenie warstw Dystrybucji i Rdzenia

w jedn.
Multi-Tier

Collapsed distribution & core

Core

Distribution

Access

ZPIP - v2015

Hierarchiczny model sieci

Poczenie wszystkich warstw w jedn

(Data Center), innych charakter ruchu.
Client

Client Server Architecture

95%

25%

Server
Server

Server

Server
A

Service Oriented Architecture

C
Server

75%
Server

DB

ZPIP - v2015

Hierarchiczny model sieci

Poczenie wszystkich warstw w jedn

(Data Center).

ZPIP - v2015

Hierarchiczny model sieci

BUILDING A

BUILDING B

EX4300VC-3a

EX6200-1b

WLC
Cluster

WLA

WLA

WLA

EX4300VC-2a

LAG

Centralized
DHCP and
other services

WLA
EX3300VC-1a

App Servers

WLA

WLA

WLA

8
LAG

SRX Series
Cluster
Internet
LAG

LAG

EX4600VC-1a

ZPIP - v2015

EX9200-1b

Przeczanie w warstwie 2
Bridging Mechanisms
Learning

Forwarding

Flooding

Filtering

Aging

Bridge Table

MAC Address
00:26:88:02:74:86
00:26:88:02:74:87
00:26:88:02:74:88
00:26:88:02:74:89

Switch

User A
MAC: 00:26:88:02:74:86

ge-0/0/9

ge-0/0/6

Interface
ge-0/0/6
ge-0/0/7
ge-0/0/7
ge-0/0/9

User D
MAC: 00:26:88:02:74:89

ge-0/0/7

Hub
User B
MAC: 00:26:88:02:74:87
Pre DA

SA Type

Data

User C
MAC: 00:26:88:02:74:88

LAN
VLAN

FCS

ZPIP - v2015

Poczenia nadmiarowe

ZPIP - v2015

10

Ptla (loop)
W topologii opartej na przecznikach
(L2) istnienie aktywnych, alternatywnych
cieek oznacza powstanie ptli!
Ramki kr w nieskoczono, wolumen
ruchu ronie.
Brak mechanizmw ochronnych (w
protokole Eth lub poza nim) np. TTL

ZPIP - v2015

11

Ptla (loop)
Broadcast lub brak znajomoci
docelowego MAC oczywista
oczywisto zduplikowane
ramki krce w
nieskoczono.
Unicast i znany docelowy MAC
efekt flip flop adresu MAC w
tablicy przeczania (bo raz na
jednym raz na innym porcie
si ten sam MAC pojawia),
bardzo obciajcy dla CPU.

ZPIP - v2015

12

Dostpno, nadmiarowo
HA

High Availability:

VC

Virtual Chassis
STP Spanning Tree Protocol
RTG Redundant Trunk Groups
LAG Link Aggregation Groups

ZPIP - v2015

13

VC, STP, RTG, LAG

VC

LAG

LAG
VC

VC

JEX_11.a_C7_HighAvailability.ppt
ZPIP - v2015

14

VC Virtual Chassis
LAG Link Aggregation Groups
CLOSET 1

EXSeries
Virtual Chassis

10GbE/40GbE
uplinks

WLA

10/40GbE
10/40G VCP

CLOSET 2

WLA

Aggregation/
Core

Access

ZPIP - v2015

15

STP Spanning Tree Protocol

RTG Redundant Trunk Groups

Switch-1

ge-0/0/1

Switch-2

RSTP
ge-0/0/2
Aggregation
Access

RTG
Switch-3

Switch-4

ZPIP - v2015

Switch-5

16

CTI laboratoria sieciowe

ZPIP - v2015

17

CTI laboratoria sieciowe

Konsola urzdze sieciowych dostpna poprzez serwer

terminali (Opengear).
Wszystkie urzdzenia, zgromadzone w laboratorium,
maj porty konsolowe podczone do serwera
terminali.
Poprzez SSH np. putty naley poczy si z serwerem
terminali, nr portu TCP zwizany jest z nr fizycznego
portu w serwerze terminali.

ZPIP - v2015

18

Zadanie 1

Przygotowa 2 przeczniki EX3300 do

zadania (maks. 2 osoby w podgrupie):
Przywrci fabryczn konfiguracj
Nada unikatow nazw
Skonfigurowa haso dla root

ZPIP - v2015

19

Usuwanie hase z urzdze

ZPIP - v2015

20

Kasowanie konfiguracji startowych

ZPIP - v2015

21

Kasowanie konfiguracji startowych

Z menu urzdzenia (EX3300):

MAINTENANCE:
SYSTEM REBOOT?
FACTORY DEFAULT?

IDLE
STATUS
MAINT

ZPIP - v2015

22

Konfigurowanie nazwy urzdzenia

ZPIP - v2015

23

Zadanie 2

Skonfigurowa na obu przecznikach

wszystkie porty Ethernet RJ45 jako L2 z
szybkoci 100Mb/s.

ZPIP - v2015

24

Tryb L2 pracy portu/interfejsu

{master:0}[edit interfaces]
{master:0}[edit interfaces]
user@switch-1# show
user@switch-1# show
interface-range nazwa {
ge-x/y/z {
member ge-0/0/1;
unit 0 {
member ge-0/0/3;
family ethernet-switching;
member ge-0/0/4;
}
member-range ge-0/0/6 to ge-0/0/9;
unit 0 {
description opis;
family ethernet-switching;
ether-options {
}
link-mode tryb;
description opis;
speed {
ether-options {
szybkosc;
link-mode tryb;
speed {
}
szybkosc;
}
}
}
}
}
ZPIP - v2015

25

show interfaces terse

Layer 2 interfaces should show the

eth-switch value under the Proto column.

ZPIP - v2015

26

show interfaces extensive

ZPIP - v2015

27

Zadanie 3

Przygotowa topologi zgodnie z

rysunkiem:
A

Sprawdzi i zinterpretowa tablic

przeczania.
ZPIP - v2015

28

Sprawdzenie tablicy przeczania

ethernet-switching table

ZPIP - v2015

29

Czyszczenie tablicy przeczania

clear ethernet-switching table

ZPIP - v2015

30

Statyczne wpisy do tablicy przeczania

(pierwszestwo maj wpisy dynamiczne)

{master:0}[edit ethernet-switching-options]
user@switch# show
static {
vlan default {
mac 08:00:27:d2:e9:97 next-hop ge-0/0/22.0;
mac 08:00:27:d2:e9:98 next-hop ge-0/0/11.0;
mac 08:00:27:d2:e9:99 next-hop ge-0/0/10.0;
}
}

ZPIP - v2015

31

Zadanie 4

Wyczy na obu przecznikach

mechanizmy ochrony przed ptlami
w warstwie L2:

Storm Control:

JEX_11.a_C6_DeviceSecurity_and_FirewallFilters.ppt

Spanning Tree Protocol (i wszelkie jego

A
odmiany):

JEX_11.a_C4_SpanningTree.ppt
B

ZPIP - v2015

32

Zarzdzanie mechanizmem
Storm Control

Wyczenie Storm Control dla ruchu

broadcast, multicast, unknown-unicast:
{master:0}[edit]
root# show ethernet-switching-options
storm-control {
interface all {
no-broadcast;
no-unknown-unicast;
no-multicast;
}
}

ZPIP - v2015

33

Zarzdzanie protokoem
Spanning Tree Protocol

Wyczenie wszystkich wersji STP:

{master:0}[edit]
root# show protocols
stp {
interface all {
disable;
}
}
rstp {
interface all {
disable;
}
}
mstp {
interface all {
disable;
}
}
vstp {
vlan default {
interface all {
disable;
}
}
}

ZPIP - v2015

34

Test
Uruchomi ping pomidzy hostami.
Uruchomi wireshark na hostach.

Jakie s opnienia dla ping?

Jakie jest wykorzystanie pasma na
aktywnych linkach?
Jakie jest obcienie CPU?
Czy zmienia si tablica przeczania, jeli tak
to co i dlaczego?

ZPIP - v2015

35

Zadanie 5

Doda dodatkowe poczenie pomidzy

przecznikami.

ZPIP - v2015

36

Test
Uruchomi ping pomidzy hostami.
Uruchomi wireshark na hostach.

Jakie s opnienia dla ping?

Jakie jest wykorzystanie pasma na
aktywnych linkach?
Jakie jest obcienie CPU?
Czy zmienia si tablica przeczania, jeli tak
to co i dlaczego?

ZPIP - v2015

37

Zadanie 6

Wczy na obu przecznikach

mechanizm Storm Control.

ZPIP - v2015

38

Wczenie Storm Control z ustawieniami domylnymi

ethernet-switching-options storm-control
interface all

ZPIP - v2015

39

Test
Uruchomi ping pomidzy hostami.
Uruchomi wireshark na hostach.

Jakie s opnienia dla ping?

Jakie jest wykorzystanie pasma na
aktywnych linkach?

Ustawi opcje Storm Control tak aby

opnienie ping spado poniej 10ms.
ZPIP - v2015

40

Zadanie 7

Wczy na obu przecznikach

mechanizm ochrony przed ptlami
w warstwie L2:

RSTP:

JEX_11.a_C4_SpanningTree.ppt

Zmieni aktywne poczenie.

A

ZPIP - v2015

41

Wczenie RSTP

Wczenie RSTP z domylnymi

ustawieniami:

[edit protocols]
user@switch# set rstp

Okrelenie kosztw interfejsw:

[edit protocols]
user@switch# set rstp interface all cost x
user@switch# set rstp interface int-name cost x
ZPIP - v2015

42

show spanning-tree

ZPIP - v2015

43

Testy

Ktre poczenie zostao zablokowane?

Jakie jest wykorzystanie pasma na

aktywnych linkach?
Jakie jest obcienie CPU?
Czy zmienia si tablica przeczania, jeli tak
to co i dlaczego?

ZPIP - v2015

44

Testy

W trakcie przesyania danych (iPerf + monitor

Windows) pomidzy hostami A i B:

rozczy link, ktry na obu portach jest w stanie FWD,

po chwili podczy ponownie rozczony link.
A

Czy nastpiy przerwy w transferze danych?

ZPIP - v2015

45

Testy
Przesya dane (iPerf + monitor
Windows) pomidzy A i B oraz w tym
samym czasie pomidzy C i D.
Jakie transfery zostay osignite, dlaczego?

B
D

ZPIP - v2015

46

Zadanie 8

Wyczy na jednym przeczniku (access)

mechanizmy ochrony przed ptlami w warstwie
L2:

RSTP

Drugi przecznik (distribution) pozostaje z

wczonym RSTP.
Wczy na pierwszym przeczniku:

RTG

JEX_11.a_C7_HighAvailability.ppt
B

ZPIP - v2015

47

Konfiguracja RTG

Wyczy RSTP
Utworzenie grupy interfejsw i dodanie do niej
dwch interfejsw z czego jeden jako gwny
primary.
Ustawienie czasu, po ktrym interfejs primary
zacznie ponownie przesya dane
(po rozczeniu i ponownym podczeniu).

ZPIP - v2015

48

Konfiguracja RTG
{master:0}[edit ethernet-switching-options]
root# show
redundant-trunk-group {
group nazwa_grupy{
preempt-cutover-timer czas;
interface interfejs1;
interface interfejs2 {
primary;
}
}
{master:0}[edit protocols]
}
root# show

rstp {
interface all {
disable;
}
}
ZPIP - v2015

49

show redundant-trunk-group

ZPIP - v2015

50

Testy
Ktre poczenie jest aktywne w ramach RTG?
Jaki jest status RSTP na przeczniku
distribution ?

Jakie jest wykorzystanie pasma na aktywnych

linkach?
Jakie jest obcienie CPU?
Czy zmienia si tablica przeczania, jeli tak
to co i dlaczego?

ZPIP - v2015

51

Testy

W trakcie przesyania danych (iPerf + monitor

Windows) pomidzy hostami A i B:

rozczy link, ktry na obu portach jest w stanie FWD,

po chwili podczy ponownie rozczony link.
A

Czy nastpiy przerwy w transferze danych?

ZPIP - v2015

52

Testy
Przesya dane (iPerf + monitor
Windows) pomidzy A i B oraz w tym
samym czasie pomidzy C i D.
Jakie transfery zostay osignite, dlaczego?

B
D

ZPIP - v2015

53

Zadanie 9

Wyczy na obu przecznikach mechanizmy

ochrony przed ptlami w warstwie L2:

RSTP i RTG

Zagregowa w jedno poczenie logiczne

wszystkie poczenia pomidzy oboma
przecznikami:

LAG

JEX_11.a_C7_HighAvailability.ppt

ZPIP - v2015

54

Konfiguracja LAG

Tworzenie zagregowanego interfejsu

Ethernet:

{master:0}[edit chassis]
user@Switch-1# run show interfaces terse | match ae0
{master:0}[edit chassis]
user@Switch-1# set aggregated-devices ethernet device-count liczba
{master:0}[edit chassis]
user@Switch-1# commit
configuration check succeeds commit complete

{master:0}[edit chassis]
user@Switch-1# run show interfaces terse | match ae0
ae0
up
down

ZPIP - v2015

55

Konfiguracja LAG

Przypisanie pocze fizycznych do LAG:

{master:0}[edit interfaces]
user@Switch-1# set ae0 unit 0 family ethernet-switching
{master:0}[edit interfaces]
user@Switch-1# set ae0 aggregated-ether-options lacp tryb
{master:0}[edit interfaces]
user@Switch-1# set int_name1 ether-options 802.3ad ae0
{master:0}[edit interfaces]
user@Switch-1# set int_name2 ether-options 802.3ad ae0

{master:0}[edit interfaces]
user@Switch-1# commit
configuration check succeedscommit complete
{master:0}[edit interfaces]
user@Switch-1# run show interfaces
ge-0/0/12.0
up
up
ge-0/0/13.0
up
up
ae0
up
up
ae0.0
up
up

terse | match ae0

aenet
--> ae0.0
aenet
--> ae0.0
eth-switch

ZPIP - v2015

56

show interfaces ?

ZPIP - v2015

57

show lacp ?

ZPIP - v2015

58

Testy
Czy jakiekolwiek poczenie pomidzy
przecznikami zostao zablokowane?
Jaka jest przepustowo zagregowanego
poczenia?
Jakie jest wykorzystanie pasma na
aktywnych linkach?
Jakie jest obcienie CPU?
Czy zmienia si tablica przeczania, jeli tak
to co i dlaczego?

ZPIP - v2015

59

Testy

W trakcie przesyania danych (iPerf + monitor

Windows) pomidzy hostami A i B:

rozczy link, przez ktry przesyane s dane,

po chwili podczy ponownie rozczony link.
A

Czy nastpiy przerwy w transferze danych?

ZPIP - v2015

60

Testy
Przesya dane (iPerf + monitor
Windows) pomidzy A i B oraz w tym
samym czasie pomidzy C i D.
Jakie transfery zostay osignite, dlaczego?

B
D

ZPIP - v2015

61

ZPIP

KONIEC
ZPIP - v2015

62