Curso de extensão em Administração de Redes

(1)

Curso de extensão em Administração de Redes

Italo Valcy da Silva Brito1,2

1_{Gestores da Rede Acadêmica de Computação}

Departamento de Ciência da Computação Universidade Federal da Bahia

2_{Ponto de Presença da RNP na Bahia}

(2)

Italo Valcy Administração de Redes 2

Licença de uso

Todo o material aqui disponível pode, posteriormente, ser utilizado sobre os termos da:

Creative Commons License:

Atribuição - Uso não comercial - Permanência da Licença

http://creativecommons.org/licenses/by-nc-sa/3.0/

Parte desta apresentação foi baseada no mini-curso “Administração de Redes: uma abordagem prática”, de Luiz Barreto (PoP-BA/RNP), disponível em: http://www.pop-ba.rnp.br/~luiz/WTR/

(3)

Agenda

Camada de enlace

Comutação em L2 VLAN

(4)

Conceitos iniciais

Equipamentos de rede Rede Enlace Física

Roteador Layer 3 Switch

Bridge Switch

(5)

Conceitos iniciais

(6)

Conceitos iniciais

Domínio de colisão e broadcast Domínio de colisão:

Domínio de Colisão

(7)

Conceitos iniciais

Domínio de colisão e broadcast

Divisão do domínio de colisão:

(8)

Conceitos iniciais

Domínio de colisão e broadcast Domínio de broadcast: Domínio de Colisão 1 Domínio de Colisão 2 Domínio de Broadcast

(9)

Conceitos iniciais

Domínio de colisão e broadcast

Divisão do domínio de broadcast:

Domínio de Broadcast 1

(10)

Conceitos iniciais

Comutação

Processo de alocação de recursos para transferência de informações

Comutação de Circuitos vs Comutação de pacotes

Comutação por camada:

Layer 1 – Sinais elétricos Layer 2 – Endereço MAC Layer 3 – Endereço IP

(11)

Comutação em L2

Leva em consideração o endereço físico

Para redes diferentes, os endereços de origem e destino mudam a cada roteador

Realizada pelos switches

Unidade de transmissão: quadros

(12)

Comutação em L2

Presente em todos os dispositivos de rede Endereço individual e único *

Composto por 48 bits

24 bits representam o fabricante 24 bits representam a placa

* Possível modificar via software

Endereçamento Físico

(13)

Comutação em L2

Endereçamento Físico

Como um host troca dados com outro na rede?

Sabemos o IP de destino, mas e o MAC?

Um host deve conhecer o endereço MAC de todos os dispositivos de rede?

(14)

Comutação em L2

Address Resolution Protocol – ARP

Problema: máquina A quer enviar dados para máquina C.

(15)

Comutação em L2

Passo 1: máquina A envia uma mensagem de “ARP request” para FF:FF:FF:FF:FF:FF

(16)

Comutação em L2

Passo 2: O ARP request é replicado para todos os hosts da rede (exceto para o host de origem)

(17)

Comutação em L2

Passo 3: O dono do endereço requisitado (host C) responde com um “ARP reply” para A

(18)

Comutação em L2

Passo 4: máquina A recebe o ARP reply e aprende o endereço físico de C

(19)

Comutação em L2

Passo 5: A pode, enfim, enviar os dados

diretamente para C colocando no cabeçalho do pacote o endereço 00:12:A3:07:AC:17

(20)

Comutação em L2

Address Resolution Protocol – ARP Tabela ARP em um host:

(21)

Comutação em L2

(22)

Comutação em L2

Aprendizado de MAC no switch

Problema: como os switches “aprendem” o(s) MAC(s) em cada porta? (Tabela MAC)

(23)

Comutação em L2

Passo 1: A envia um “ARP request” (broadcast)

Switch: “humm... novo MAC de origem na porta 1: atualizar tabela!”

MAC Porta

00:12:A3:19:9A:BD 1

(24)

Comutação em L2

Passo 2: O ARP request é replicado para todos os hosts da rede (exceto para o host de origem)

MAC Porta

00:12:A3:19:9A:BD 1

(25)

Comutação em L2

Passo 3: C envia um “ARP reply” para A (unicast)

Switch: “humm... novo MAC de origem na porta 4: atualizar tabela!”

MAC Porta

00:12:A3:19:9A:BD 1 00:12:A3:07:AC:17 4

(26)

Comutação em L2

Passo 4: A recebe o ARP reply e aprende o

endereço físico de C. O switch envia somente para a porta 1, aprendida no passo anterior.

MAC Porta

00:12:A3:19:9A:BD 1 00:12:A3:07:AC:17 4

(27)

Comutação em L2

Pacotes enviados para endereço de broadcast:

O switch envia para todas as portas, exceto a porta de entrada

Pacotes enviados para endereço de unicast desconhecido*:

O switch envia para todas as portas, exceto a porta de entrada

Pacotes enviados para endereço de unicast conhecido:

O switch envia para a porta contida na tabela MAC

* A envia para B, mas o endereço de B não está na tabela MAC Comutação em L2 – Resumo

(28)

VLAN

O Problema – Domínio de Broadcast

Domínio de Colisão 1 Domínio de Colisão 2 Domínio de Broadcast

Quanto maior a LAN, maior o domínio de broadcast Def.: Uma LAN inclui todos os dispositivos no

(29)

VLAN

O Problema – Domínio de Broadcast

Principais consequências:

Segurança: interfaces em modo promiscuo podem capturar o tráfego enviado por difusão

Ataques de mac-flooding agravam o problema

Carga: algumas redes possuem maior carga de utilização que outras. Seria interessante separá-las

Comunicação por difusão: quando mais broadcast na rede, maior o tempo de processamento de cada pacote Flexibilidade: agrupar hosts baseado em algum critério lógico (departamentos, tipo de usuários, etc.), independente da localização física

(30)

VLAN

Solução: dividir o domínio de broadcast

IMPORTANTE: desacoplar a topologia lógica da

(31)

VLAN

VLAN – Virtual LAN

Separação de LANs independente da organização física (várias LANs em um switch, mesma LAN em switches diferentes, etc.)

(32)

VLAN

Característica apresentada por alguns switches Permite agrupamento lógico de hosts,

independente de sua localização física

Pode ser composta por portas de diferentes switches

Uma VLAN define um domínio de broadcast

Ao receber um frame, o switch encaminha para todas as portas na mesma VLAN (broadcast ou unicast desconhecido) – exceto origem

(33)

VLAN

(34)

VLAN

(35)

VLAN

Cada VLAN possui um identificador único

TAG ou marcação

Número inteiro de 1 à 4096

O tag separa as tabelas MAC por VLAN Todo switch que suporta VLAN, vem pré-configurado com a VLAN 1 (vlan default) Implementação

(36)

VLAN

Padronizado pelo IEEE na norma 802.1Q, modificando o cabeçalho Ethernet e

adicionando alguns campos

Padrões fechados (e.g. ISL da Cisco)

Vantagem: aproveita features específicas do switch Desvantagem: sem interoperabilidade

(37)

VLAN

Cabeçalho IEEE 802.1q Implementação

Antes

(38)

VLAN

Tipos de VLAN

Como saber para onde enviar?

Cada porta é associada a alguma VLAN Cada MAC é associado a alguma VLAN

Cada protocolo L3 ou endereço IP é associado a alguma VLAN (não recomendado)

(39)

VLAN

Port-based VLAN VLAN Portas VLAN 1 1-6, 13-18 VLAN 2 7-12, 19-24 Tabela de VLANs

(40)

VLAN

Port-based VLAN

(41)

VLAN

Tagged VLAN

As diversas VLANs são transmitidas por uma única porta

Melhor utilização das portas

Conceitos

Tag / VLAN ID

Trunk port (tagged) vs Access port (untagged)

Observações:

Modo tagged: mais de uma VLAN por porta Modo untagged: uma única VLAN por porta

(42)

VLAN

Tagged VLAN

Problema: desperdício de portas

(43)

VLAN

(44)

VLAN

Inclusão e remoção de tags

Geralmente as estações de trabalho não tem suporte a VLAN

O tag é adicionado pelo switch nas portas de acesso (untagged)

Na entrega do frame, o processo inverso deve ser feito

(45)

VLAN

(46)

VLAN

VLANs na Cisco

Simularemos a configuração de VLANs no GNS

O GNS não simula switches

Utilizaremos o módulo NM-16ESW no roteador c3600 para adicionar funcionalidades de switch

(47)

VLAN

VLANs na Cisco

Criação de novas VLANs: router# vlan database

router(vlan)# vlan 154 name laboratorio154

VLAN 154 created:

(48)

VLAN

VLANs na Cisco

Configuração de VLAN em uma porta (modo

access/untagged)

router# configure terminal

router(config)# interface fastEthernet 0/1 router(config-if)# switchport mode access

router(config-if)# switchport access vlan 154 router(config-if)# no shutdown

(49)

VLAN

(50)

VLAN

VLANs na Cisco

Configuração de VLAN em uma porta (modo

trunk/tagged)

router# configure terminal

router(config)# interface fastEthernet 0/1 router(config-if)# switchport mode trunk

router(config-if)# switchport trunk enc dot1q router(config-if)# no shutdown

(51)

VLAN

(52)

(53)

Spanning-tree

Links redundantes

Redes confiáveis são possíveis graças a

equipamentos confiáveis e topologias de rede tolerantes a falhas

Projeta-se a rede para convergir, assim a falha é ocultada

Tolerância a falhas é alcançada com redundância

Redundância significa estar em excesso com o que necessário ou natural

(54)

Spanning-tree

Revisão – Tipos de tráfego

Unicast conhecido: O endereço de destino está

na tabela MAC do switch

Unicast desconhecido: O endereço de destino

não está na tabela MAC do switch

Multicast: o tráfego é enviado a um grupo de

endereços

Broadcast: o tráfego é encaminhado a todas as

(55)

Spanning-tree

Revisão – Tipos de tráfego

(56)

Spanning-tree

Revisão – Comutação L2

O switch aprende os MACs por porta, assim eles podem ser encaminhados corretamente

O switch usa o MAC de origem dos frames para popular a tabela MAC (aprender o MAC)

Switches fazem flood dos frames desconhecidos (unicast) até aprender o MAC do host

Broadcast e multicast também são encaminhados em flood

(57)

Spanning-tree

(58)

Spanning-tree

Topologia de switches redundantes Maior tolerância a falhas

(59)

Spanning-tree

Topologia de switches redundantes

Por outro lado, quando inexiste um mecanismo de controle de loop (e.g. STP desabilitado),

podem ocorrer os seguintes problemas:

Broadcast storm

Instabilidade da tabela MAC Entrega duplicada

(60)

Spanning-tree

O Problema – Broadcast storm

Suponha que Bob envie um frame em broadcast. O switch deve encaminhar o frame para todas as portas, exceto a porta de entrada

(61)

Spanning-tree

O Problema – Broadcast storm

Suponha que Bob envie um frame em broadcast. O switch deve encaminhar o frame para todas as portas, exceto a porta de entrada

(62)

Spanning-tree

O Problema – Instabilidade da tabela MAC

Suponha que Bob envie um frame em broadcast.

Switch: “Hmmm... o MAC de origem é 0200.3333.3333, e ele

vem da porta Fa0/13. Atualizar tabela MAC!!”

MAC Porta VLAN

0200.3333.3333 Fa0/13 VLAN 1

(63)

Spanning-tree

vem da porta Gi0/1. Atualizar tabela MAC!!”

0200.3333.3333 Gi0/1 VLAN 1

(64)

Spanning-tree

vem da porta Gi0/2. Atualizar tabela MAC!!”

0200.3333.3333 Gi0/2 VLAN 1

(65)

Spanning-tree

O Problema – Entrega duplicada

Suponha que Bob envia um quadro para Larry, mas nenhum switch conhece o MAC de Larry ainda. Ou seja, o pacote é enviado a todas as interfaces (exceto a interface de entrada):

(66)

Spanning-tree

O Problema

Em resumo:

Faz-se necessário mecanismos de controle de loop

Padrão aberto

Spanning Tree Protocol (IEEE 802.1d)

Padrões proprietários

EAPS (Extreme) ...

(67)

Spanning-tree

Funcionamento do STP

STP previne o loop colocando cada interface do switch no estado Forwarding ou Blocking

Forwarding: envia e recebe quadros normalmente Blocking: somente processa quadros do STP

(68)

Spanning-tree

Funcionamento do STP

Exemplo:

Com STP, os switches não utilizam o link SW2-SW3 para tráfego da VLAN

(69)

Spanning-tree

Algoritmo do STP

O processo usado pelo STP (Spanning Tree Algorithm – STA), decide quais portas colocar em estado Forwarding (FWD). As demais

ficarão em estado de Blocking (BLK)

São usado três critérios para decidir quando colocar uma interface em modo Forwarding

Caso a topologia mude, é necessário recalcular essa configuração. Inicia-se o processo de

(70)

Spanning-tree

Algoritmo do STP – Conceitos

Na execução do algoritmo do STP, alguns conceitos são importantes:

Bridge ID

Root switch Path cost BPDU

(71)

Spanning-tree

Algoritmo do STP – Bridge ID

O Bridge ID (BID) identifica unicamente cada bridge ou switch na rede

O BID será usado na eleição do root switch Consiste em dois componentes:

(72)

Spanning-tree

Algoritmo do STP – Bridge ID

ALSwitch#show spanning-tree VLAN0001

Spanning tree enabled protocol ieee Root ID Priority 32768

Address 0003.e334.6640 Cost 19

Port 23 (FastEthernet0/23)

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (priority 32768 sys-id-ext 1)

Address 000b.fc28.d400

Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300

Interface Port ID Designated Port ID Name Prio.Nbr Cost Sts Cost Bridge ID Prio.Nbr - --- - ---- ---Fa0/23 128.23 19 FWD 0 32768 0003.e334.6640 128.25 ALSwitch#

(73)

Spanning-tree

Algoritmo do STP – Root switch

O root-switch é uma especie de nó de referência no processo STP. A partir dessa referência, é feito o calculo dos caminhos existentes (e possivelmente redundantes)

(74)

Spanning-tree

Algoritmo do STP – Path Cost

Switches usam o conceito de custo para mensurar quão próximo ele está dos outros

Menor custo == melhor

Isso será usado na criação da topologia livre de loop O custo geralmente está associado com a velocidade do enlace, o IEEE padronizou da seguinte forma

(tabela incompleta):

Link Speed Custo

10 Gbps 2

1 Gbps 4

100 Mbps 19

(75)

Spanning-tree

(76)

Spanning-tree

Algoritmo do STP – BPDU

Mensagens trocadas pelos switches para configuração do STP

Bridge Protocol Data Unit (BPDU)

(77)

Spanning-tree

Algoritmo do STP

STP elege o root switch. Todas as interfaces do root switch são colocadas em FWD

STP escolhe a interface de menor custo para o root switch, chamada root port (RP), e a configura em FWD

Cada designated port (DP) nas LAN's entre switches (porta com menor custo para o root switch), são configuradas em modo FWD

Todas as outras portas são configuradas como BLK

(78)

Spanning-tree

Algoritmo do STP – escolha do root-switch

1. O nó com menor ID é escolhido para ser o root switch

(79)

Spanning-tree

Algoritmo do STP – escolha do root-switch

1. O nó com menor ID é escolhido para ser o root switch (SW1 vence)

(80)

Spanning-tree

Algoritmo do STP – definição das root-ports

2. Cada switch (não root) escolhe uma, única,

root port (RP) (porta com menor custo para o

root switch) e a configura em modo FWD:

Como calcular o custo para o root-switch?

(81)

Spanning-tree

(82)

Spanning-tree

(83)

Spanning-tree

Algoritmo do STP – definição das designated-ports

3. São determinadas as designated ports (DP) nas LAN's entre switches (porta que divulga o menor custo no pacote Hello BPDU em um

segmento LAN), configurando-a em modo FWD. - Vamos ao exemplo...

(84)

Spanning-tree

(85)

Spanning-tree

(86)

Spanning-tree

Algoritmo do STP – Blocking nas outras

4. As outras portas, são configuradas em modo Blocking...

(87)

Spanning-tree

Algoritmo do STP – resultado Root-switch Root-port Root-port Designated-port FWD FWD FWD FWD FWD

(88)

Spanning-tree

Algoritmo do STP – resultado Root-switch Root-port Root-port Designated-port FWD FWD FWD FWD FWD

x

(89)

Spanning-tree

Algoritmo do STP – resultado

Portas no modo Blocking não encaminham

pacotes normais, exceto pacotes Hello BPDU, evitando a situação de loop.

(90)

Spanning-tree

Reagindo a mudanças na rede

Uma vez que a topologia STP foi determinada, ela não mudará a menos que ocorram

mudanças na topologia.

O root-switch envia um novo Hello BPDU a

cada dois segundos, os switches encaminham o Hello modificando os campos Sender BID e

Root Cost.

Um switch considera o enlace como

indisponível se passarem MaxAge * HelloTime segundos sem receber mensagens Hello.

(91)

Spanning-tree

Contadores de tempo do Algoritmo STP

Hello: Tempo entre as mensagens Hello

enviadas pelo root-switch. Default: 2 segundos Max Age: Timeout para recebimento do Hello. Default: 10 vezes Hello

Forward delay: delay que afeta o processo

quando uma interface muda de Blocking para Forward (ela passa pelos estados de Listening e Lerning). Default: 15 segundos

(92)

Spanning-tree

(93)

Spanning-tree

Se o switch passar MaxAge segundos sem

receber um Hello BPDU, ele inicia o processo de mudança da topologia STP:

SW3 precisa reagir a mudança, já SW2 não precisa (ele continua recebendo as mensagens Hello)

Eleição de root

Rever as Root-ports

(94)

Spanning-tree

Reagindo a mudanças na rede Eleição de root-switch

SW1 continua sendo o root (BPDU recebida de SW2)

Rever as root-ports

Como só tem uma porta, ela será a de menor custo, logo será a root-port

Verificar as designated-ports nas LAN's

(95)

Spanning-tree

Reagindo a mudanças na rede Problemas:

Convergência demorada (com valores padrões, é necessário 50 segundos)

Solução proposta:

(96)

Spanning-tree

Spanning-tree na Cisco

Já vem habilitado por padrão na VLAN 1 Listar configurações do spanning-tree:

show spanning-tree

Configurações:

configure terminal spanning-tree ?

(97)

Spanning-tree

Prática

Baixar o packet-tracer (simulador proprietário da Cisco) tar -xzf PacketTracer531.tar.gz cd PacketTracer53 ./install Localização: /var/lib/tmp/pt /var/lib/tmp/pt/packettracer

(98)

Spanning-tree

Prática

Configure IP nos PCs

Modifique o nome dos switches

(99)