Switche i netværk. Switching Lidt om Ethernet Topologi Access metode Ethernet Frame eller mere korrekt IEEE802.3 frame...

Transkript

1 Indhold Switching Lidt om Ethernet Topologi... 5 Access metode... 6 Ethernet Frame eller mere korrekt IEEE802.3 frame Power over Ethernet (PoE) Routing contra switching Data frame typer i et netværk Hvordan virker en switch Opbygning af MAC adresse tabellen ARP processen Symetrisk/Asymetrisk switching Forwarding metoder Duplex Indtroduktion til konfigurering af netværksudstyr OSI modellen Virtual Local Area Network (VLAN) VLAN medlemskab Implicit versus explicit VLAN Transport af VLAN frames Routing mellem VLANs AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 1

2 Multilayer switching (MLS) Circuit-switching versus Packet switching Spanning Tree Protokollen (STP) Stacking/Cascading Link Aggregation Sikkerhed og sikkerhedsproblemer i switchede netværk Fejlfinding i lokalnetværk INDEX: AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 2

3 Switching. Eksempel på switche fra hhv. D-Link, NETGEAR, HP og Cisco. I et lokalnetværk, også kaldet LAN Local Area Network, kan der være mange typer data der skal sendes rundt og deles mellem brugere. Netværksudstyr som routere og switche, servere, printere osv. taler også sammen og sender dermed data rundt i netværket. Et lokalnetværk (LAN) er en gruppe af computere og andet udstyr der er forbundet og befinder sig indenfor et begrænset geografisk område, som eksempelvis en bygning eller nogle nærtliggende bygninger. Udstyret deler kommunikationsliner (kobber/fiber/trådløst) og kan bestå af nogle få enheder eller tusindvis af enheder. Den mest almindelige netværksteknologi for LAN er Ethernet, som også er den teknologi dette kursus beskæftiger sig med. Eksempel på en anden teknologi kan være Token Ring. Når en afsender ønsker at tale med en modtager, skal der være en måde at få data fra afsenderen frem til modtageren. På et lokalnetværk er det switchens opgave at aflevere data til den rigtige modtager. Switching er, kort fortalt, det der sker når en switch modtager data på en port og videresender ud på en anden port. Hvordan switchen mere præcist bærer sig ad med det, beskrives i senere afsnit. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 3

4 Lidt om Ethernet. Ethernet er den mest brugte LAN teknologi i verden. Ethernettets store succes skyldes at det er enkelt at vedligeholde, det er let at integrere ny teknologi, det er pålideligt og det er (forholdsvis) billigt at installere og opgradere. Da fiberoptik/lyslederen kom frem, adopterede Ethernet den og udnyttede fordelene ved høj båndbredde og lav fejl-ratio. Gigabit Ethernet startede som en LAN teknologi. Kan nu bruges over så store afstande at det også er MAN og WAN standard 1. Idéen til Ethernet startede ved at nogle fik den tanke at de gerne ville kunne dele samme medium mellem flere brugere uden at de enkelte brugeres signaler forstyrrede hinanden. Man kaldte problemet/ønsket multiple user access to a shared medium og det var der nogle folk der arbejdede med på Hawaii s universitet i starten af 1970 erne. De opfandt Alohanet, som bandt forskellige hoster (computere) på Hawaii øerne sammen, ved at give dem adgang til shared (delt) radiofrekvens i atmosfæren. Så den teknologi vi i dag kender som Ethernet, udviklet ud fra Alohanet, var oprindeligt baseret på wireless (Ether = æter). De der opfandt og standardiserede Ethernet protokollen har været forudseende, idét den samme basis protocol som i 1973 transporterede data med 3 Mbps, nu overfører data med 10 Gbps eller mere. I begyndelsen af 1980 erne var hastigheden 10Mbps over tykt coax kabel og kunne række op til 2 km (uden hubs og switche osv de var endnu ikke opfundet. 2 ) I 1985 kom standarden for 100 Mbps Ethernet I 1998 kom standarden for 1 Gbps Ethernet I 2002 kom standarden for 10 Gbps Ethernet En Ethernet frame kan fx starte i et 10Mbps netværk, passere en 10Gbps fiber linie og ende i et 100Mbps netværk. Så længe framen bliver på et Ethernetværk ændrer den sig ikke. Ethernet standarden hedder formelt IEEE MAN=Metropolitan Area Network. WAN=Wide Area Network 2 Den første Ethernet switch blev præsenteret af firmaet Kalpana i Kalpana fabrikerede bl.a. netværksudstyr og blev i 1994 opkøbt af Cisco. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 4

5 IEEE (Institute of Electrical and Electronic Engineers) er en professionel organisation som definerer netværks standarder. Alle lokalnetværk (LAN) standarder starter med IEEE802. Den første IEEE 3 LAN standard blev offentliggjort i TIA/EIA definerer kablestandarder. TIA = Telecommunications Industry Associations EIA=Electronic Industry Aliance. I forbindelse med Ethernet, hedder de standarder vi bruger til vores twisted pair kabling T568A og T568B som regel kaldet TIA/EIA-568A og TIA/EIA-568B. Det er disse standarder der angiver hvad de enkelte ledere i kablet bruges til. Topologi Grundlæggende findes der 3 forskellige netværkstopologier - Stjernetopologi - Ringtopologi - Bustopologi Token Ring er logisk en ringtopologi, fysisk en stjernetopologi hvor en MAU (Multi-station Access Unit) fungerer som fordeler/koncentrator. En MAU kan sammenlignes med en Ethernet HUB. Ethernet er logisk en bustopologi, fysisk en stjernetopologi hvor en switch er centrum. 3 IEEE udtales som [ai-tripl-i:] AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 5

6 Access metode I modsætning til Token Ring netværk, hvor der sendes efter tur og kun den enhed der har stafetten kan sende, er Ethernet bygget op, så enhver der har noget at sende, kan gøre det, så snart mediet er ledigt. Denne access metode kaldes Carrier Sense Multiple Access with Collosion Detection, forkortet CSMA/CD. Metoden er populært fortalt, at netkortet lytter ud på mediet om der er trafik. Hvis ikke, sendes data. Hvis mediet ikke er ledigt, ventes et øjeblik og der lyttes igen, indtil data kan sendes. Ethernet Frame eller mere korrekt IEEE802.3 frame. Når der skal sendes data f.eks. en mail - ud på et netværk, bliver datastrømmen opdelt i passende klumper der hver især bliver adresseret med afsender og modtager, og nu kaldes Ethernet Frames. En Ethernet frame kan indeholde højst 1500 byte data. Det kaldes også en MTU 4 på 1500 byte. Denne størrelse inkluderer ikke header og checkfelt. Ethernet headeren fylder 14 bytes og CRC checkfeltet 4 byte. Dermed bliver en normal Ethernet frame i alt 1518 byte 5. Den mindste gyldige Ethernet frame indeholder 46 byte data - hvilket inklusiv header og check felter giver en samlet minimum størrelse på 64 byte. Heri er ikke medregnet Preamble og Start of frame, på hhv. 7 og 1 byte. De regnes ikke som en rigtig del af framen, men hæftes på for synkroniserings skyld. Preamble 7 byte Start of Frame 1 byte Modtager MAC adresse 6 byte Afsender MAC adresse 6 byte Længde af data 2 byte Data byte Checksum 4 byte 4 MTU = Maximum Transmission Unit 5 I tilfælde af VLAN tagging tillægges endnu et 4 byte felt, så framen kommer til at fylde 1522 bytes. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 6

7 Ethernet framen indeholder: Preamble Felt: Synkroniserings mønster af 0 er og 1-taller ( gentaget 7 gange) Frame Start Felt: Signal der fortæller at her starter en ny frame ( ) Modtager og Afsender Adresse felter:mac adresser Længde felt: Den nøjagtige længde af framen. Data felt: Data (incl lag 3 adresser) + evt. padding bytes. Frame Check Sequence Felt: Indeholder et tal baseret på indholdet af data i framen. Tallet er beregnet af afsender computeren. Når modtager computeren modtager framen, beregner den også FCS tallet og sammenligner med FCS i FCS feltet. Hvis de to tal er forskellige er der fejl i framen og den droppes. Som det ses af Ethernet framen, er afsender og modtager adresserne MAC adresser 6. En MAC adresse består af 12 hexadecimale tal (48 bit). De 6 første hex tal angiver producenten af udstyret (vendor), de sidste 6 tal bestemmer producenten selv kan f.eks. være et løbenummer. Principielt er en MAC adresse unik og fastbrændt i en chip eller et kredsløb på netværkskortet. Og der bør egentlig ikke findes to ens adresser i hele verden. I hvert fald må der under ingen omstændigheder findes to ens MAC adresser i samme netværk. Adressen kan ikke ændres, derfor kaldes den også for en fysisk adresse. I dag er det dog muligt på adskillige enkle måder at overskrive MAC adressen. Det kan gøres ved hjælp af programmer der er lige til at downloade fra Internettet. Et af programmerne hedder SMAC. Det virker med både Windows XP, Windows 2003 og Windows Vista. Ved at bruge et sådant program virker det som om adressen er blevet ændret. Dette at skjule sin oprindelige MAC adresse kaldes MAC spoofing og tages op i senere afsnit om sikkerhed. 6 MAC = Media Access Control. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 7

8 Ønsker man at ændre sin MAC adresse, kan man endda gøre det ganske enkelt, uden hjælp af ekstra software. I Windows gøres det sådan: Åbn Netværksforbindelser, højreklik på det netværkskort du ønsker at ændre, vælg Egenskaber, vælg Konfigurer, vælg Avanceret og klik ned på Locally Administered Address. Indtast den nye/ønskede MAC adresse i feltet til højre og klik på OK. Understøtter Windows eller dit netværkskort ikke denne metode, kan du ændre direkte i Registreringsdatabasen. Dette anbefales absolut ikke, medmindre man ved hvad man har med at gøre!!! AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 8

9 Alle enheder der skal kunne kommunikere på netværket har en MAC adresse. Den PC der er brugt til at skrive dette kompendium på, har både et trådløst netkort og et almindeligt gammeldags RJ45 netkort. Nedenstående billede viser de to netkorts MAC adresser (+ en Bluetooth MAC adresse), fundet vha. kommandoen ipconfig /all i kommandoprompten. MAC adresserne er angivet som fysiske adresser. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 9

10 Power over Ethernet (PoE). Power over Ethernet eller PoE teknologien beskriver hvordan der i et Ethernet kan sendes elektrisk energi/strøm over vores eksisterende twisted pair kabling, samtidig med at der stadig sendes data. Ved at levere forsynings spænding via datakablerne er man fri for at have selvstændig strømforsyning til den enhed der er tilsluttet netværket. Dette kræver en switch der understøtter PoE. Der er mange typer af udstyr som kan udnytte denne forholdsvis nye teknologi. IP-telefoner, webcams og access-points var nogle af de enheder som meget hurtigt tog muligheden til sig, men også radioer, måleinstrumenter og mere kuriøse enheder er på markedet, som eksemplerne herunder viser. Der er endda små PC er på markedet som kan nøjes med PoE spændingen. Hvad med et eller flere ure rund om i virksomheden, som er koblet til netværket og synkroniseret via en tidsserver? Og uden strømkabel selvfølgelig. Eller barbermaskinen til den travle mand? AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 10

11 Der er to standarder for PoE: Begge standarder er en udvidelse af IEEE802.3 Ethernet standarden. - IEEE802.3af, som blev godkendt som endelig standard i juni Denne standard yder max. 12,95W (spænding = 48 volt) - IEEE802.3at, også kaldet PoE+. Allerede i brug men stadig med draft status 7. Der er endnu ikke helt enighed om hvor meget man kan belaste kablet, nogle siger helt op til 110W. Standarden er bagud kompatibel med IEEE802.3af. PoE udstyr opdeles i Power Sourcing Equipment (PSE) som leverer forsynings spænding gennem Cat5/6 netværkskablet, og Powered Device (PD) som får spænding fra netværkskablet. PSE og PD enhederne opdeles i 5 forskellige klasser, alt efter hvor meget effekt de leverer eller forbruger. - Klasse 0: En general betegnelse for udstyr der kræver op til 12,95 Watt. - Klasse 1: Enheder der kræver op til 3,84 Watt - Klasse 2: Enheder der kræver mellem 3,85 og 6,49 Watt - Klasse 3: Enheder der kræver mellem 6,5 og op til maximum på 12,95 Watt. - Klasse 4: Reserveret til fremtidigt brug. 7 Standarder med draft status er i brug men ikke endeligt godkendte endnu. Kan sammenlignes med programmers Beta version. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 11

12 Grundlæggende er der i IEEE802.3af standarden to forskellige måder hvorpå der kan leveres strøm gennem datakablerne. I et 100Mbps Ethernet bruges kun to af de fire par ledere i kablet til datatransport. En af metoderne, er at bruge de to ledige par til formålet. - Lederne 4 & 5 i RJ-45 stikket forsyner med 48 volt positiv spænding (+) eller faktisk nul volt; lederne 7 & 8 forsyner med 48V negativ spænding (-). En anden metode er at sende strømmen med i samme ledere, som sender data. - Sammen med data-lederne: Lederne 3 & 6 i RJ-45 stikket forsyner med 48 volt positiv spænding (+) eller faktisk nul volt; lederne 1 & 2 forsyner med 48V negativ spænding (-). Eller omvendt! AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 12

13 Standarden tillader ikke begge teknikker at blive brugt samtidig. Enten bruges de overskydende ledere, eller også sendes i samme ledere som data. Der sendes omkring 48 volt fra switchen. Modtager enheden har en converter der omformer de 48 volt til en lavere spænding, der passer til enheden f.eks. IP telefonen. For at sikre at der ikke sendes strøm til enheder der ikke understøtter Power over Ethernet, sender PoE switchen en lille smule spænding ud på porten for at undersøge om enheden i den anden ende af kablet, har en 25k ohm modstand. Kun hvis denne modstand er til stede, sendes 48 volt. Enheden der trækker strøm skal gøre det konstant. Hvis enheden slukkes, holder switchen op med at sende strøm. Nogle PoE switche kan administreres ved hjælp af SNMP (Simple Network Management Protocol), hvilket gør det muligt for eksempel at slukke for strømmen om natten. Så snart PoE standarden var frigivet, begyndte brugerne at efterspørge mere kraft. 13 Watt er tilstrækkeligt til IP-telefoner osv, mens motordrevne kameraer og store farveskærme stiller større krav. IEEE802.3at (PoE+) standarden anvender alle 4 lederpar samtidig så den kan belastes meget mere. Tiden vil vise hvor standarden lander. Vær opmærksom på at nogle PoE switche ikke kan levere elektrisk spænding på alle porte samtidig, men har en øvre grænse for hvor mange PoE enheder der kan trække strøm på samme tid. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 13

14 Routing contra switching. Hvornår bruger man routing og hvornår bruger man switching i netværks kommunikation? Det kan forklares meget enkelt: En router og dermed routing bruges hvor forskellige netværk skal tale sammen. Et velkendt eksempel er når vi sender en mail til en bekendt på en anden arbejdsplads eller måske i et helt andet land. For at en router kan finde det netværk som mailen skal sendes til, behøver den en IP 8 adresse. Internt i vores eget lokalnetværk sørger en switch for at aflevere vores data. En almindelig switch kan ikke læse IP adresser og switchen bruger MAC adresser til at finde modtageren. Det vender vi tilbage til i et senere afsnit. Opgave Evt. omregning mellem Hexadecimale og decimale talsystemer. 8 IP = Internet Protocol AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 14

15 Data frame typer i et netværk. I et netværk kan der forekomme 3 forskellige typer frames: o Unicast frames er frames der sendes fra en afsender til én forudbestemt (adresseret) modtager. o Multicast frames er frames der sendes fra en afsender til flere forudbestemte (adresserede) modtagere. Altså en bestemt gruppe af modtagere. En MAC adresse består som tidligere nævn af 48 bit. En MAC multicast adresse har altid de første 24 bit ens ( E-nn-nn-nn) o Broadcast frames sendes til alle enheder i et netværk/broadcastdomæne. Broadcast MAC adressen er FF-FF-FF-FF-FF-FF. Hvilket er den højeste adresse man kan få med 48 bit. Hvordan virker en switch. Genkald dig at Ethernet logisk set er et BUS netværk. I gamle dage inden switching var muligt var Ethernet også rent fysisk et BUS netværk. De tidlige var kablet med 10Base5 tykke gule kabler (bussen), også kaldet Thick-Net. Denne bus sad ofte som en slags skyggelister rundt i bygningerne. På bussen sad vampyr taps med jævne mellemrum, som havde dropkabler ned til PC erne, printerne, faxmaskinerne og de øvrige netværksenheder. Denne topologi betyder at alle tilsluttede enheder deler et samlet netværkssegment og modtager alle afsendte data frames uanset om de har relevans for enheden eller ej. Alle enheder må deles om båndbredden. I ét stort segment er der stor risiko for sammenstød mellem frames, der er afsendt fra forskellige enheder, samtidig eller næsten samtidig. Èt fælles segment er også ét fælles kollisionsdomæne, ligesom det er ét fælles broadcast domæne. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 15

16 Brugen af HUBs udvider både kollisionsdomænet og broadcast domænet. For at løse problemet med for store kollisionsdomæner og samtidig begrænsningen på længden/udbredelsen af et netværk, blev bridgen indført. En bridge opdeler netværket i to segmenter. Og repeterer samtidig signalet. Fordelen ved en bridge er, at den ved hvilke MAC adresser der hører til på hver side af bridgen. Hvis en PC på segment 1 sender data ud på netværket, vil data framen kun blive sendt over på segment 2 hvis modtageren hører til i segment 2. Eller hvis der er tale om en broadcast frame. Bridgen kan også, i hvert fald til dels, se om framen er beskadiget. I det tilfælde, droppes framen, så der ikke sendes støj fra den ene side af bridgen til den anden. Ved at opdele netværket i flere segmenter, formindskes kollisionsdomænerne. Men der er stadig risiko for kollisioner! AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 16

17 Fremkomsten af switchen har løst problemet med kollisioner. På en switch virker hver enkelt port som et selvstændigt kollisionsdomæne og alle enheder har hver især adgang til den fulde båndbredde. Tegningen viser en switch med 4 porte i brug. Hver port er et selvstændigt kollisionsdomæne. Switching kaldes også for "transparent bridging". Transparent fordi en switch er usynlig for enhederne på netværket, bridging fordi en switch i virkeligheden bare er en multiport bridge. Switchen ændrer dog ikke på broadcast domænet. Der skal en router (OSI lag 3 enhed) til at opdele et broadcast domæne. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 17

18 En switch arbejder på den måde, at den skaber en midlertidig forbindelse mellem to porte ad gangen. Det er den logiske bus, der her skabes. Forbindelsen eksistere kun så længe der skal transporteres data. Derefter kan en ny forbindelse skabes. Opbygning af MAC adresse tabellen. Lad os forestille os en helt ny switch, lige pakket ud af kassen og ikke på nogen måde konfigureret. Der bliver tilsluttet 4 PC er, som vist på tegningen. Switchen ved endnu ingenting om hvor de forskellige PC er er tilkoblet. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 18

19 PC A ønsker at tale med PC D. Når switchen modtager en frame fra PCA, ved den at PC A er tilsluttet port 2. Denne oplysning lægges i MAC adresse tabellen. MAC adresse Switchport AA-AA-AA-AA-AA-AA 2 Switchen ved endnu ikke noget om hvor PC D er, så beskeden sendes ud på alle porte, undtagen port 2 hvor beskeden kom fra. Når PC D sender svar tilbage kan switchen se at svaret kommer fra port 12. Denne oplysning lægges i tabellen. MAC adresse Switchport AA-AA-AA-AA-AA-AA 2 DD-DD-DD-DD-DD-DD 12 Switchen ved nu hvor PC A og PC D befinder sig. Efterhånden som der sendes trafik fra de øvrige PC er kan MAC adresse tabellen udfyldes. MAC adresse Switchport AA-AA-AA-AA-AA-AA 2 DD-DD-DD-DD-DD-DD 12 BB-BB-BB-BB-BB-BB 4 CC-CC-CC-CC-CC-CC 10 AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 19

20 Metoden hvor switchen sender data frames ud på alle porte broadcaster trafikken - indtil den ved hvor modtageren sidder, kaldes også for frame flooding. Oversigten over sammenkoblingen af hvilke switchporte der fører til hvilke MAC adresser ligger i en særlig hukommelse, der hedder Content-Addressable Memory, forkortet CAM. CAM er i familie med RAM (Random Access Memory) men med hurtigere svartider. En sådan CAM hukommelse har en begrænset størrelse, hvilket automatisk betyder at en MAC adresse tabel også har begrænsninger. Hvis CAM hukommelsen bliver fyldt op, kan switchen ikke nå at slå MAC adresserne op, og bliver nødt til at broadcaste alle frames den modtager. Switchen kommer altså til at arbejde som en HUB. Det resulterer både i tidligere beskrevne problemer med båndbredde og problemer med sikkerheden. Sikkerhedsproblemet tager vi fat om i et senere afsnit. ARP processen. Nu har vi set på hvordan en switch kun arbejder med MAC adresser og hvordan den sørger for at videresende frames fra en afsender til en modtager indenfor eget lokalnet. Problemet er, at de fleste slutbruger programmer som eksempelvis mailprogrammer, bruger IP adresser til at identificere afsender og modtager. Ikke MAC adresser. Heldigvis er vores netkort på PC en, foruden den faste MAC adresse, som regel også konfigureret med en IP adresse. IP er en forkortelse af Internet Protocol. Lad os forestille sig at to PC er i netværket vil e sammen. Mailprogrammet sender beskeden til netkortet, som ser om der er en modtager MAC adresse på beskeden. Det er der ikke! Så kigger netkortet en gang mere på data pakken, og ser at der er en IP modtager adresse. PC en har en lille tabel der kaldes en ARP Cache som den slår op i, for at se om IP adressen skulle stå i den. Hvis IP adressen står i tabellen, står også dens modsvarende MAC adresse. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 20

21 Hvis IP adressen IKKE står i ARP Cache tabellen, må netkortet sende en ARP request ud på netværket. En ARP request er en broadcast meddelelse som alle andre enheder på netværket modtager. Meddelelsen siger: Hvem har denne IP adresse (x.x.x.x)? Send venligst svar tilbage med din MAC adresse! De PC er der ikke har den pågældende IP adresse ignorerer meddelelsen, mens PC en med IP adressen pænt svarer tilbage med en ARP reply og opgiver sin MAC adresse, som afsenderen kan tilføje i sin ARP Cache. Afsenderen af mailen kan nu tilføje MAC adressen til data framen og sende framen til switchen, som ved hvilken port den skal videresende framen til, for at nå modtageren. En ARP request eller ARP reply fylder 28 bytes. Alle enheder på netværket har deres egen ARP Cache som associerer IP adresser med MAC adresser. For at se ARP Cache på egen PC: Gå i kommandoprompt. C:\>arp /a Eksempel på et Ethernet. Vi ser på ARP Cache for PC en med MAC adresse og IP adresse AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 21

22 ARP Cache for IP adresse MAC adresse ARP Cache er en flygtig størrelse. Hvis der i et stykke tid ikke har været kontakt til en af enhederne, forsvinder oplysningen fra cachen. Ligeledes forsvinder hele cachen hvis PC en slukkes. Hvis ikke oplysningerne forsvinder efter en vis tid, risikerer vi at cachen har forkerte oplysninger og så går det galt med afleveringen af data. Opgave Symetrisk/Asymetrisk switching. Begrebet symetrisk switching henviser til at den båndbredde der tildeles hver enkelt switchport er ens for alle porte. I asymetrisk switching tildeles derimod forskellig båndbredde til portene. Asymetrisk switching er især velegnet til client/server trafik hvor flere klienter samtidig kan kontakte en server. Derfor skal linket til serveren bruge mere båndbredde, end de øvrige forbindelser. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 22

23 Forwarding metoder. Den proces en switch udfører, når den modtager en frame og sender den videre ud på den rigtige port i retning af modtageren, kaldes på engelsk forwarding. Når switchen modtager en frame, er der grundlægende to forskellige metoder den kan benytte, når framen skal videresendes. - Store and Forward hvor switchen undersøger hele framen. - Cut-througt hvor switchen kun læser oplysninger nok til at forwarde framen. Genkald hvordan en Ethernet frame er opbygget: Preamble 7 byte Start of Frame 1 byte Modtager MAC adresse 6 byte Afsender MAC adresse 6 byte Længde af data 2 byte Data byte Checksum 4 byte Store And Forward metoden er baseret på at hele framen kopieres ind i switchen s buffer, checkes for fejl og videresendes til modtageren hvis den er fejlfri. Denne metode er den sikreste, da alle fejlbehæftede frames vil blive droppet af switchen. Det er naturligvis også en langsom (vi snakker under 1 millisekund!) metode, da hele framen skal læses og kontroleres. Switchen checker bl.a. om framen er en gyldig Ethernet frame dvs. om framen er mellem 64 og 1518 byte stor. Derudover kontrolleres om checksummen stemmer med den checksum der er angivet i framen. Hvis ikke, er der sket ændringer i framen siden den blev afsendt, og framen droppes. Stemmer både størrelse og checksum, slår switchen modtageradressen op i sin MAC adresse tabel og hvis adressen findes, forwarder switchen framen ud på den aktuelle switchport. Denne forwarding metode er standard på mange switche. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 23

24 I Cut-through eller FastForward switching, starter switchen videreforsendelsen så snart der er oplysninger nok til at videresende. Preamble og Start of Frame felterne bliver switchen naturligvis nødt til først at modtage. Derefter følger MAC adressen på modtageren, afsenderen og type/lændefeltet. Altså læses kun 14 byte af selve Ethernet framen, inden switchen kan slå adressen op i sin MAC adresse tabel og videresende framen. Preamble 7 byte Start of Frame 1 byte Modtager MAC adresse 6 byte Afsender MAC adresse 6 byte Længde af data 2 byte Data byte Checksum 4 byte På denne måde får switchen ikke en chance for at undersøge framen for fejl. Til gengæld er metoden hurtig. Man siger at latency 9 er lavere end ved Store and Forward. Hvis der er fejl i framen, bliver den alligevel sendt videre til modtageren, som så selv må foretage kontrollen og droppe framen hvis den er fejlbehæftet. Selvom metoden er langt den hurtigste, nogle få mikrosekunders latency, er den ikke nødvendigvis den bedste. Hvis der forekommer og videresendes mange fejlbehæftede frames, belaster det netværket og enhederne der modtager dem. Derfor er der en tredje mulighed, som kaldes Fragment-Free. Fragment-Free metoden hører til kategorien Cut-through men kombinerer Store and Forward metodens større sikkerhed, ved at undersøge for de mest almindelige fejl - og Cut-through metodens mindre latency. Metoden virker på den måde, at switchen læser de første 64 byte af Ethernet framen. 64 byte er, som tidligere nævnt, den mindste gyldige størrelse på en Ethernet frame. Preamble 7 byte Start of Frame 1 byte Modtager MAC adresse 6 byte Afsender MAC adresse 6 byte Længde af data 2 byte Data byte Checksum 4 byte 9 Latency = forsinkelse. Den forsinkelse der opstår hver gang data skal passere en netværksenhed. Selve mediet som data rejser på, bidrager i sig selv også til latency. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 24

25 På denne måde frasorteres eksempelvis rester af kollisioner/runts eller støj der kan være skabt af defekte netkort osv. Hvis framen overholder minimums størrelsen på en Ethernet frame og der ikke er fejl inden for de første 64 byte, er der en stor sandsynlighed for at der ikke er fejl i framen. Metoden giver naturligt nok lidt større latency end Cut-through, men vi taler stadig om en forsinkelse på under 10 mikrosekunder, på en almindelig professionel switch ved 100 Mbps. Cut-through Fragment-free Store-and-forward Forsinkelse Lav Medium Høj Hvor meget af framen læses 14 bytes: Modtager adr. + Afsender adr. + Længde feltet 64 bytes: Mindste gyldige Ethernet frame Hele framen Opdagelse af fejl Ingen Opdager kollisions fragmenter og runts Alle Brug Èn bruger pr. port. Hvor der kræves lav forsinkelse. Flere brugere pr. port (f.eks. HUB). Belastede netværk. Kommunikation mellem netværk med forskellige hastigheder. Ved mange fejl. En del switche bruger Cut-through eller Fragment-Free som standard men kan automatisk skifte mellem de forskellige metoder, alt efter hvad der er mest effektivt i netop det netværk de sidder i. Denne metode kaldes Adaptive forwarding mode. Cut-through Fragment-free Store-and-forward Problem Mange CRC fejl Mange runts Mange CRC fejl Få runts Få CRC fejl Få CRC fejl + runts Adaptiv mode ændrer swithing mode til: Store-and forward Fragment-free Store-and-forward Cut-through Fragment-free Cut-through AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 25

26 Det kan lade sig gøre, fordi metoden angiver hvornår switchen starter videreforsendelsen. Switchen kan alligevel godt efterfølgende, efterhånden som framen modtages, samtidig undersøge for fejl. Bliver der konstateret for mange fejl (som jo allerede er videresendt) af en switch der bruger Cut-through, kan den slå over og anvende Fragment-free eller Store and Forward metoden. En vigtig ting at vide om både Cut-through og Fragment-free metoderne, er at de ikke er i stand til at sende mellem et netværkssegment med høj hastighed til et netværkssegment med lavere hastighed. Eksempelvis kan metoden ikke bruges til en switch der har både 100Mbps porte og Gbps porte. Fordi switchen ikke opsamler hele framen inden den videresendes, men sender i samme hastighed som den modtager - bare lidt forskudt, kan det ikke lade sig gøre at aflevere på denne måde mellem en Gbps port og en 100Mbps port. Switchen kan simpelthen ikke komme af med data, lige så hurtigt som de modtages! AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 26

27 Duplex. Som beskrevet i afsnittet Hvordan virker en switch, havde man inden switchens opfindelse typisk en HUB som center og fordeler i sit netværk. En HUB virker på den måde at den modtager en frame på én port og kopierer den ud på alle øvrige porte. Alle netværksenheder, som f.eks. PC er, modtager en kopi. Meddelelsen bliver undersøgt for modtager adresse og ignoreret hvis den ikke er til denne enhed. Fordi HUB en broadcaster alle meddelelser, er der en masse trafik på det medie som deles af alle enhederne der er forbundet til HUB en. Et netværkskort på en PC eller anden netværksenhed, har både en modtager og en sender. Når en netværksenhed ønsker at sende trafik ud på netværker, lytter netværkskortet ud på mediet for at sikre sig at det er ledigt, så der ikke opstår kollision. Fordi det er nødvendigt at lytte efter anden trafik, kan netværkskortet enten sende eller modtage ikke begge dele på én gang. Det kaldes halv duplex. Det kan sammenlignes med en walkie-talkie, som jo både kan sende og modtage, bare ikke samtidig. I dag hvor switchen har overtaget rollen som center og fordeler, er det ikke nødvendigt for netværkskortet at lytte ud på mediet, for at sikre det er ledigt. Hver eneste swithport er et selvstændigt segment, hvorpå der ikke kan ske kollisioner. Derfor kan netværksenhederne i et switched netværk både sende og modtage samtidig. Det kaldes fuld duplex og er selvfølgeligt meget mere effektivt end halv duplex. Tænk på to mennesker der taler sammen i telefon. De kan godt tale samtidig (selvom det måske ikke er så høfligt). Der findes endnu en transmissionsform, nemlig simplex. Simplex er énvejs kommunikation. Vi kender det bedst fra TV og radio signalers udbredelse. Opgave AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 27

28 Indtroduktion til konfigurering af netværksudstyr. Der er grundlæggende to forskellige måder at komme i kontakt med sit netværksudstyr første gang. Hvis udstyret understøtter web adgang og er pre-konfigureret med IP adresse, kan man ved hjælp af en Internet browser komme til et grafisk baseret stykke værktøj, hvor man kan klikke sig igennem konfigureringen. For at få adgang via Internet kræves det at udstyret og PC en der skal bruges til konfigurering, er i samme netværk. En anden mulighed er at bruge et terminal-emulering program, som Hyperterminal, TerraTerm, PuTTY eller tilsvarende til Windows. Metoden kræver at PC en der har terminal-emulering programmet installeret, er sluttet direkte til udstyrets consol port. Herunder vises forskellige eksempler på adgang via Web browser, for hhv. HP switch, 3Com switch, Allied Telesyn switch og D-Link switch. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 28

29 AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 29

30 Konfigurering gennem consol porten ved hjælp af et terminal emulering program giver ingen mulighed for grafisk interface. Man konfigurerer i kommando linier der ligner LINUX eller DOS kommando linier. Her er to eksempler på hvordan man lægger IP adresser på switchen, så man kan tilgå dem uden at være direkte forbundne med kabel til consol porten. Eksemplerne er fra hhv. HP og Cisco switche: HP_Switch 2626# configure HP_Switch 2626(config)# VLAN 1 HP_Switch 2626(vlan-1)# ip address HP_Switch 2626(vlan-1)# end Cisco_Switch#configure Cisco_Switch(config)#interface VLAN1 Cisco_Switch(config-if)#ip address Cisco_Switch(config-if)#end Vi gennemgår senere hvorfor vi lægger IP adressen på VLAN 1! Når der er lagt IP adresse på switchene, kan man desuden komme i kontakt med dem ved at bruge Telnet eller den mere sikre SSH (SecureShell) protokol, Telnet direkte i PC ens kommandoprompt og SSH via et program som PuTTY eller TerraTerm. Til Macintosh findes et tilsvarende program der hedder Better Telnet. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 30

31 Opgave AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 31

32 OSI modellen Open Systems Interconnection (OSI) 10 modellen er en såkaldt referencemodel, der udstikker retningslinier for hvordan forskellige netværksenheder bringes i stand til at tale sammen over et netværk, samt hvordan data fra programmer eller applikationer (software) kan forstås og tolkes ens, i udstyr leveret af forskellige producenter. Hvis vi bruger PC en som eksempel, består den af mange, mange mindre komponenter. Inden vi rigtigt kan bruge den til noget på et netværk, skal der være et netværkskort, der kan sørge for kommunikation med de andre enheder på netværket. Det kan være andre PC er eller printere eller en router der giver adgang til Internettet. Der skal også være det software vi skal bruge i vores hverdag, som regel inklusiv et program. For at give producenterne af netværkskort og programmer en mulighed for at udvikle deres produkter, så de kan bruges uanset fabrikat af PC og benytte standardiserede grænseflader, tager producenterne udgangspunkt i nogle modeller, der beskriver disse grænseflader. OSI modellen er netop sådan en model. Modellen er opdelt i 7 forskellige lag, der hver især beskriver en funktion. Nedenstående viser en oversigt over de forskellige lag i modellen, samt en kort beskrivelse af funktionen i de enkelte lag. Efterfølgende vil hvert enkelt lag blive nærmere beskrevet. 10 Opfundet i 1984 af International Organization for Standardization (ISO) AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 32

33 Lag nr. Navn Indhold OSI Modellen 7 Application Udveksler information med brugerens software 6 Presentation Oversætter måske fra ét sprog til et andet, så eksempelvis LINUX og Windows kan tale sammen. Der kan også foretages kryptering. 5 Session Sørger for en logisk forbindelse med modparten. Synkroniserer kommunikationen. Fortæller Transport laget når forbindelsen er klar. 4 Transport Hakker strømmen af data i passende stykker. Holder øje med om data kommer frem eller skal gensendes. 3 Network Her bliver de stumper af data, leveret af Transport laget pakket ind og forsynet med afsender og modtager IP adresse. Og afleveres til DataLink laget. 2 DataLink Pakkerne fra Network laget forsynes med MAC adresser og kaldes nu Frames (hvis vi taler Ethernet!). Afleveres til Physical laget. 1 Physical Dette lag har styr på hvilket medie der bruges og omsætter datastrømmen til elektriske impulser, lyssignaler eller radiofrekvenser alt sammen 0 er eller 1-taller, og afleverer til mediet. Ovenstående beskriver et forløb med afsendelse af data. Ved modtagelse sker processen i omvendt rækkefølge. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 33

34 Afsender Modtager Application Presentation Session Transport Network DataLink Physical Hvis vi tager udgangspunkt i ovenstående skitse, har vi en afsender der sender data til en modtager. Programmet der bruges af afsenderen, afleverer data til Application laget. Application lag: Her tilbydes en grænseflade (API) 11 mod det software brugeren benytter, for at give programmet mulighed for at sende data til netværket. Laget samarbejder med operativsystemet og diverse programmer og tilbyder services som fil-overførsel, f.eks. FTP (File Transfer Protocol), Simple Mail Transfer Protocol (SMTP) og mange andre services. Nogle kendte protokoller og små programmer på dette lag er: FTP, SMTP, Telnet, DNS og ikke mindst HTTP. Når Application laget er færdig med data, sendes de videre til Presentationslaget. 11 API står for Aplication Programe Interface. Indeholder rutiner og protokoller, udover nogle simple programmer/værktøjer. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 34

35 Presentation lag: Data modtaget fra Application laget, oversættes til et standard format, som alle lagene kan forstå uafhængigt af om data stammer fra et mailprogram, en browser eller et regneark. F.eks. kan det være EBDIC 12 kode der skal oversættes til ASCII kode. Laget kan også sørge for at kryptere og komprimere data. Kryptering kan dog også foregå på Application, Session, Transport eller Network lagene! Protokollerne på dette lag er ikke så alment kendte, men der er eksempelvis EBCDIC, ASCII og RDP (Remote Desktop Protocol) Efter Presentation laget har afsluttet arbejdet, videresender det data til Session laget. Session lag: Laget etablerer en logisk forbindelse til modtageren. Sikrer at det er den rigtige enhed der sendes til. Åbner, vedligeholder og lukker sessionen efter brug. Undersøger om der kan kommunikeres i halv- eller fuld duplex. Kendte protokoller på Session lag er bl.a. NFS (Network File System), SQL (Structured Query Language) og XWINDOWS (en grafisk brugergrænseflade). Session laget sender derefter data videre til Transport laget. Transport lag: Her foretages fejl-check og flow kontrol. Hvis en pakke ikke når frem til modtageren, er det en transport lag protokol der sørger for at gensende pakken. Det er også her datastrømmen opdeles i passende blokke, der kan indeholdes i en Ethernet frame. Blokkene eller segmenterne - nummereres, så modtageren kan samle dem i rigtig rækkefølge hvis de skulle nå frem i tilfældig orden. Det er Transportlagets opgave at levere til den rigtige applikation, når data når frem til modtageren. Derfor forsynes data blokkene med et portnummer, som repæsenterer den applikation der har genereret datastrømmen, og den applikation der skal bruges til at læse data hos modtageren. Mest kendte protokoller i dette lag er TCP og UDP fra TCP/IP protokol stakken. Herefter flyttes segmenterne videre til Network laget. 12 EBCDIC = Extended Binary Coded Decimal Interchange Code. Sprog brugt af IBM mainframes. ASCII = American Standard Code for Information Exchange AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 35

36 Network Lag: Dette lag tager sig primært af den del der har med IP adressering og routing at gøre. Datablokkene fra Transport lag indkapsles eller pakkes ind, med en ny header der indeholder afsender og modtager IP adresse. Laget holder også øje med om der bliver trafikpropper på netværket. I så tilfælde sørger laget for at give brugere af netværket besked om at drosle lidt ned med hensyn til afsendelse af data, indtil flaskehalsen er opløst. Datablokkene med IP adresser kaldes nu for Packets. Vigtigste protokoller på Network laget er ARP (Address Resolution Protocol), ICMP (Internet Control Message Protocol) og selvfølgelig IP (Internet Protocol)! Pakkerne fortsætter til DataLink laget. DataLink lag: Pakkerne der kommer fra Network laget pakkes endnu en gang ind og får en ny header der indeholder modtager og afsender MAC adresserne. Kaldes nu Ethernet Frames og kan afleveres på lokalnetværket. Framen oversættes til bits, en strøm af 0 er og 1- taller der kan afleveres til Physical laget. DataLink laget består i virkeligheden af 2 lag: MAC (Media Access Contol) laget og LLC (Logic Link Contol) laget. Som navnet antydet, håndterer MAC laget adgangen til det fysiske medie, i forbindelse med Ethernet ved hjælp af CSMA/CD. LLC laget sørger for synkronisering af frames, flowkontrol og fejl-check. Protokoller er eksempelvis HDLC (High-level Data Link Control) og nogle varianter af den: LAPB(Link Access Protocol, Balanced) og LAPD (Link Access Procedures, D channel). Protokollerne er såkaldte bit-orienterede protokoller. Data er nu klar til at blive sendt ud på mediet hvad enten det er kobberkabel, trådløst eller fiber og sendes til Physical laget. Physical lag: Her transporteres bitstrømmen ud på det fysiske medie. Derfor har laget styr på definitioner af kabler, netværkskort og de fysiske standarder der benyttes. Dette lag er det eneste hardware lag i OSI modellen. Den bruger ingen software eller protokoller. Nu transporteres datastrømmen, i form af rå signaler, frem til modtageren. Hos modtageren gentager processen sig bare i omvendt rækkefølge! AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 36

37 OSI Lag PDU Netværksenheder Application Datastrøm PC Presentation Session Transport Datastrøm Datastrøm Segment Network Packet Router/L3 switch DataLink Frame Switch Physical Bit HUB/Repeater AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 37

38 Virtual Local Area Network (VLAN). Først et tilbageblik: De første Ethernet netværk var baseret på en coax løsning, enten RG58 (10BASE2) eller det tykke gule kabel Thick Ethernet (10BASE5). Og både fysisk og logisk set, et BUS netværk. Når vi taler om gammeldags BUS Ethernet, havde vi to udfordringer, kollisions domæner og broadcast domæner. Èt kollisons domæne og ét broadcast domæne I et BUS netværk, har vi ét samlet kollision domæne (område) og ét samlet broadcast domæne. Ethernet bruger access metoden Carrier Sence Multiple Acces with Collision Detection (CSMA/CD). Det er en metode der i et netværk med få brugere er effektivt og resulterer i et hurtigt netværk. Men netværket fyldes med broadcasts af f.eks. ARP requests og med kollisioner, når flere enheder forsøger at sende data på samme tidspunkt. Disse to egenskaber er normale på grund af accessmetoden, og selv om de er generende, og gør nettet langsommere, er det normalt. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 38

39 Set i det lys, var switchen en kærkommen forbedring, idét kollisionsdomænerne blev meget små ét pr. switchport. Man slap altså for kollisioner, men hele det samlede netværk er stadig et samlet broadcastdomæne. Med Bridge/Switch: Flere kollisions domæner, stadig ét broadcast domæne. For at bryde et stort broadcast domæne ned i mindre enheder, er det nødvendigt at opdele netværket i mindre netværk eller undernetværk. Den eneste måde at opdele et broadcast domæne, er ved at indføre en OSI lag 3 enhed i netværket. Denne enhed kan være en router eller en Layer3/multilayer switch. Mere om multilayer switche i et senere afsnit. Med en router: Flere kollisions domæner, flere broadcast domæner. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 39

40 Med en Layer3 switch: Typisk mange flere porte end en router. Dermed også flere kollisions domæner og broadcast domæner. Vi ønsker os altså en løsning med passende opdeling af både kollisions domæner og broadcast domæner. Og helst en billig og enkel løsning. Her er det VLANs kommer ind i billedet. Et VLAN er en logisk gruppe af netværksenheder og services som opfattes som et selvstændigt netværk, selvom det deler udstyr og kabling med andre logiske grupper. VLANs kan f.eks.opbygges efter brugernes jobfunktion uafhængigt af hvor de fysisk befinder sig. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 40

41 I nedenstående figur har vi en virksomhed med medarbejdere spredt over 3 etager i en bygning. På hver etage sidder både medarbejdere med salgsfunktion, økonomifunktion og udviklingsfunktion. Medarbejderne i hver funktion skal kunne dele dokumenter, programmer og andre services med andre i samme funktion, uanset hvor i bygningen de er placeret. Samtidig må medarbejderne i salgsafdelingen hverken kunne se regnskaber eller udviklingsprojekter. Udviklingsafdelingens medarbejdere må heller ikke kunne komme til økonomiafdelingens sager osv. Vi ønsker ikke at lægge særskilt netværkskabling, til hver enkelt funktion. Det er med nutidens switche ganske enkelt at opdele et samlet netværk i mindre logiske enheder, kaldet Virtual Local Area Network altså VLAN. Opdelingen sker på OSI lag 2 og kræver altså ikke nogen ændring af den fysiske topologi. I hver afdeling er både Workstations (WS)/PC er og specialiserede servere. Økonomiafdelingen har måske en Navision server eller måske et FrontAccounting eller SAP system. Udviklingsafdelingen kan have AutoCAD eller andre 3D programmer, som ingen andre har brug for, ligesom der også findes forskellige salgsstyrings programmer. Kun WS og servere i samme VLAN kan tale sammen. Et VLAN er et selvstændigt kollisionsdomæne og selvstændigt broadcastdomæne. Ovennævnte opdeling af enheder, bestemt efter funktion, kaldes end-to-end VLAN. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 41

42 Der findes en anden måde at opdele netværkene på, nemlig efter enhedernes geografiske placering. 2.sal 1.sal Stueetage End-to-end VLAN: Baseret på funktion, snarere end på geografisk placering. Medlemskabet ændres ikke fordi man bytter plads. Samme sikkerhed/policy for alle medlemmer. Geografisk VLAN: Den fysiske placering bestemmer medlemsskabet af VLAN. HUSK at Workstations, eller andre netværksenheder, i forskellige VLANs ikke kan udveksle data. Der skal bruges en router (eller en layer3 switch) til at kommunikere på tværs af VLANs. En switch med VLANs har en switch-tabel (MAC adresse tabel) for hvert VLAN. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 42

43 VLAN medlemskab. Når man pakker en ny switch ud af emballagen, eller nulstiller en brugt switch tilbage til fabriksindstillinger, er der allerede ét VLAN konfigureret på switchen. Nemlig VLAN1, eller default VLAN. Så længe der ikke er konfigureret andre VLANs på switchen, hører alle portene til VLAN1, som også bruges som management VLAN. Alle porte hører altså til samme logiske netværk. Management VLAN er det VLAN der kan kontaktes fra en computer der ikke er sluttet direkte til switchens management port, og på den måde kan switchen fjernstyres. Det kan ikke lade sig gøre, før der er konfigureret en IP adresse på dette VLAN. VLAN1 kan (må) ikke slettes. Der skal være mindst en port på VLAN1 for at man kan konfigurere VLAN et og dermed få adgang til at fjernsupportere switchen. VLANs er lette at administrere. Det er let at oprette VLANs samt at flytte, tilføje eller fjerne medlemmer af VLANs. Herunder vises eksempel på hvordan man opretter VLANs via Webinterface. Der kan være lidt forskel på hvordan det gøres i forskellige fabrikater af switche. Her er brugt en HP switch. Vælg ADD/REMOVE VLANs AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 43

44 Tryk på Add VLAN knappen. Det nye VLAN kan nu ses i listen til venstre. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 44

45 Så skal der flyttes porte over i det nye VLAN. Vælg Modify for det aktuelle VLAN. Marker de porte der skal flyttes over i VLAN 10 og vælg Untagged i Mode drop-down boksen. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 45

46 Switch portene kan nu ses i VLAN 10. Hvis man hellere vil bruge CLI (Command Line Interface) er det ret enkelt. Nedenstående gælder for både Cisco og HP switche. Switch# show vlan10 AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 46

47 Det er også muligt at konfigurere sin switch ved hjælp af indtastning i kommandolinier (CLI). Herunder vises hvordan det gøres på en Cisco switch. Der oprettes to VLANs: Switch#vlan database Switch(vlan)#vlan 2 name VLAN2 Switch(vlan)#vlan 3 name VLAN3 Switch(vlan)#exit Nu er der oprettet 2 VLANs med navnene VLAN2 og VLAN3. Herefter kan vi tilføje porte til de to VLANs Switch#configure terminal Switch(config)#interface fastethernet 0/2 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 2 Første skridt i konfigureringen, er at komme ind i konfigurations mode. Det gøres med kommandoen configure terminal. Kommandoen interface fastethernet 0/2 åbner for konfiguration af Ethernetporten fastethernet 0/2. Switchport kommandoen switchport mode access fortæller at fastethernet port 0/2 bruges til access til netværket altså at der kan tilsluttes en netværksenhed til porten. Kommandoen switchport access vlan 2 melder porten ind i VLAN2. Dette skal udføres for alle porte. På en HP switch kan det gøres på denne måde: Switch(config)#vlan 100 Switch(config-vlan-100)#untagged ethernet 2 Kommandoen untagged ethernet 2 fortæller switchen at trafik fra denne port skal mærkes som VLAN 100 trafik (og at trafikken ikke på forhånd er mærket). AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 47

48 Hver switch port kan dedikeres til et VLAN. En access port kan kun være medlem af ét VLAN. De porte der bruges til at transportere data mellem switche, mellem switch og router eller mellem switch og server, kan godt tilhøre flere VLANs samtidig, idét det på den måde kun er nødvendigt at bruge én port/et link. En sådan port kan kaldes en trunkport og linket kaldes ofte en trunk. Det hører vi mere om lidt senere. Porte der tilhører samme VLAN deler broadcasts. Porte der ikke hører til VLAN et modtager ikke disse broadcasts. På denne måde fik vi ved hjælp af forholdsvis billigt OSI L2 udstyr opdelt vores netværk i mindre selvstændige enheder! Der findes 3 forskellige typer VLANs: - port-baseret VLAN (Statisk) - MAC adresse baseret VLAN(dynamisk) - Protokol-baseret VLAN (IP eller anden protokol dynamisk) Port-baseret - eller statisk - VLAN er den letteste metode at konfigurere. Man går ind på porten og melder den ind i det relevante VLAN, som vist tidligere. Hvis en switchport tilhører VLAN2, vil en PC der forbinder sig til porten, automatisk blive medlem af VLAN2. Flytter PC en over til en anden port der tilhører VLAN3, vil PC en komme til at blive medlem af VLAN3. Dynamisk VLAN MAC adresse baseret - kræver at switchen har en liste over hvilke MAC adresser, der er medlem af hvilket VLAN. Det betyder at en PC kan koble sig på en hvilken som helst port og blive medlem af det rigtige VLAN. Porten tilhører ikke noget bestemt VLAN, før en PC s MAC adresse bestemmer hvilket VLAN porten lige nu tilhører. Samme princip gælder for Protokol-baseret VLAN. Denne type bruges dog stort set ikke længere, da de fleste netværk i dag uddeler IP adresser ved hjælp af en DHCP server og enhederne derfor leaser deres IP adresse for en begrænset periode. Derefter kan de risikere at skifte adresse. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 48

49 I begyndelse af dette afsnit talte vi om VLAN 1, som alle switchporte fra fødslen tilhører og som ikke må/kan slettes. Ud over default VLAN management VLAN er der endnu et VLAN det kan betale sig at gøre sig nogle overvejelser over, nemlig Native VLAN. Selv når der ikke er brugertrafik på et lokalnetværk, er der en del frames der bevæger sig rundt. Det er bl.a. netværksudstyret eller snarere de protokoller der bruges i netværket - der taler sammen. Disse oplysninger der sendes rundt hører ikke til i et bestemt VLAN og bliver dermed ikke tagged med en VLAN ID. Derfor bliver vi nødt til at fortælle switchene noget om hvordan disse frames skal transporteres. Èt VLAN til det formål oprettes og bliver udnævnt til Native VLAN, som bærer vores untagged frames. Husk derfor at tillade Native VLAN et på trunken/transport linket. Implicit versus explicit VLAN. Når data transporteres mellem switche er der to forskellige metoder der kan bruges når VLAN tilhørsforhold skal bestemmes. Implicit medlemskab betyder at medlemskabet er underforstået. Framen bruger ikke et felt til at fortælle hvilket VLAN den stammer fra. Det må afgøres ud fra MAC adressen på den enhed der har skabt framen. Denne metode kræver at alle switche har MAC adresse tabeller over alle enheder i hele netværket, så det ud fra tabellerne kan afgøres hvilket VLAN framen tilhører. MAC adresse baseret VLAN bruger denne metode. I Explicit tagging har hver enkelt frame et felt der entydigt angiver VLAN et den stammer fra. Denne metode er defineret i IEEE802.1Q standarden. Portbaseret VLAN bruger denne metode. Dermed er denne metode den mest udbredte i dag. Opgave 15 AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 49

50 Transport af VLAN frames. VLAN1 VLAN2 VLAN3 Tegningen viser 3 VLANs. Det ses at de enkelte VLANs breder sig over flere switche. Derfor har vi brug for at kunne transportere VLAN data mellem switchene. Den enkleste måde at gøre det på, ville være at bruge en port pr. VLAN, så blev frames fra de forskellige VLANs aldrig blandet sammen. Til gengæld ville det kræve mange porte! Det smarteste er at nøjes med at bruge én port/et link og så overføre data fra alle VLANs på denne forbindelse. Det kræver at data fra hvert enkelt VLAN er mærket, så de kan kendes fra hinanden. Et sådan link der transporterer data fra flere VLANs, kaldes somme tider en trunk Vær opmærksom på at begrebet Trunk i nogle fabrikanters verden betyder noget andet. HP bruger ordet Trunk om en gruppering af porte/links for at få et logisk link med større båndbredde = link aggregation. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 50

51 Når en frame sendes gennem en switchport der tilhører et bestemt VLAN sætter porten en tag eller et mærke på framen med VLAN ets ID. Vi benytter os altså af explicit tagging. På nedenstående frame ses at taggen sættes ind lige efter MAC adressefelterne. Tag feltet fylder 4 byte. Preamble 7 byte Start of Frame 1 byte Modtager MAC adresse 6 byte Afsender MAC adresse 6 byte VLAN Tag 4 byte Længde af data 2 byte Data byte Checksum 4 byte Det betyder at Ethernet framen udvides fra 1518 byte til 1522 byte. Standarden blev offentliggjort sidst i 1990 erne, så langt det meste udstyr der er i brug i dag, understøttet frames i den størrelse. Udstyr der ikke understøtter VLANs, opfatter en frame på 1522 byte som en jumbo frame. En jumbo frame er en Ethernet frame med et datafelt på mere end 1500 byte. De fleste Gigabit switche kan håndtere jumbo frames, men almindelige FastEthernet switche kan ikke. Når framen er blevet tilføjet et ekstra felt, skal checksummen beregnes igen. Standarden for VLAN tagging hedder formelt IEEE802.1Q kaldet dot1q. Nu er data frames blevet mærket, så de kan kendes fra hinanden og kan herefter transporteres på et fælles medie, uden at blive forvekslet. Man kan forestille sig at frames fra VLAN10 får et runde tags, trafik fra VLAN20 får firkantede tags og trafik fra VLAN30 mærkes med trekantede tags. I virkeligheden er det naturligvis bare et bit-mønster, ikke farver eller figurer der adskiller frames fra de enkelte VLANs, på mediet. Switchene skal nu konfigureres til at genkende og transportere de taggede frames. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 51

52 På en HP eller Cisco switch gøres det på følgende måde: Switchporten skal først gøres klar til at transportere data fra forskellige VLANs. Når switchporten er blevet til en transportport/trunkport ved den, at det er IEEE802.1Q protokollen der anvendes 14. Fordi det er standard protokollen i dag. Nu kan vi sende VLAN trafik mellem flere switche og altså dermed have medlemmer af samme VLAN koblet til forskellige switche og alligevel have mulighed for at tale sammen. Trunk Trunk Trunk VLAN10 VLAN20 VLAN30 Opgave Ældre switche især Cisco switche - kan dog have behov for at vide at det er dot1q protokollen der bruges. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 52

53 Routing mellem VLANs. At vi nu kan kommunikere på tværs af flere switche er godt, men vi har for det meste også brug for at kunne tale sammen på tværs af VLANs, og som regel også behov for at kunne komme i kontakt med andre netværk ude i verden. Som tidligere nævnt har vi brug for en router til at læse denne opgave. En OSI L3 switch har typisk ikke nogen WAN port og kan altså ikke løse opgaven med Internetadgang for os. Men L3 switchen kan godt route mellem vores egne forskellige VLANs. Husk på at en almindelig switch arbejder på OSI L2 og dermed videresender frames på baggrund af MAC adresser. Man kan ikke route MAC adresser! Routing foregår på OSI lag 3, ved hjælp af IP adresser. Vi har altså brug for at give vores VLANs IP netværksadresser. Lad os forestille os, at vi har besluttet at give VLAN10 netværksadressen /16 15, VLAN20 netværksadressen /16 og VLAN30 netværksadressen /16. Tidligere blev det nævnt at en switch kun behøver en hostadresse/ip adresse hvis man vil have mulighed for at tilgå den via f.eks. telnet eller en Internet browser. Den behøver ingen IP adresse for at fungere som switch. Især når vi skal fejlfinde, kan det dog være en fordel at give vores VLANs IP adresser. Det gøres ved at oprette nogle logiske porte der repræsenterer de enkelte VLANs, og give disse porte IP adresser. En port på en switch eller router kaldes et interface. Nu kan vi give PC er og andet netværksudstyr i de enkelte VLANs IP adresser der hører hjemme i de respektive netværk. Vores VLANs er nu blevet gjort klar til at der kan routes imellem dem. Vi mangler kun en router der kan klare opgaven. Routeren skal naturligvis også konfigureres, så den kender netværkene vi vil route imellem. Routeren forbindes til switchen med et ganske almindeligt straight-through netværkskabel. Vær opmærksom på at den port routeren forbindes til på switchen, skal være en port vi har udnævnt og konfigureret til at være transportport/trunkport. 15 /16 = subnetmaske AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 53

54 Nu opstår spørgsmålet: Hvilken IP adresse skal vi give routerens port? Vi har jo 3 forskellige netværk på swichen. nemlig , og Derfor er en router indrettet så snedigt at det kan lade sig gøre at opdele et fysisk interface/en port i flere logiske, som kan få hver deres IP adresse. Fysisk Logisk IP: IP: IP: IP: På ovenstående figur er det fysiske FastEthernet 0/0 interface opdelt i 3 logiske interfaces: FastEthernet 0/0.10 med IP adressen subnetmaske FastEthernet 0/0.20 med IP adressen subnetmaske FastEthernet 0/0.30 med IP adressen subnetmaske IP adresserne vi har givet de logiske interfaces, er (næsten) tilfældigt valgt. Det kunne have været en hvilken som helst adresse i det pågældende netværk. Routeren kender nu alle vores VLANs og ved hvilke IP adresser der hører til hvert enkelt VLAN, og har dermed de oplysninger den skal bruge, for at kunne route mellem dem. De adresser vi har givet de logiske router interfaces, er de adresser vi skal bruge som standardgateway på vores PC er. Gateway adressen bruger PC en, når den skal sende data pakker ud af sit eget netværk. Så sendes pakkerne direkte til gateway adressen, og routeren sørger for at videresende dem. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 54

55 For god ordens skyld skal det lige indskydes at det kan være endog meget problematisk at få VLANs til at arbejde sammen på tværs af forskellige switch fabrikater! AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 55

56 Multilayer switching (MLS). For at tale sammen på tværs af VLANs er det nødvendigt at bruge en netværksenhed der kan forstå IP adresser. En OSI lag 3 enhed. En router hører til på OSI lag 3 og er den enhed der indtil for ganske få år siden blev brugt til formålet. En switch er typisk billigere end en router og har flere porte. En meget vigtig forskel på en router og en switch er desuden hastigheden hvormed de arbejder. En switch er hurtigere end en router. En switch kan starte videreforsendelsen af en frame så snart den har set modtager MAC adressen og holdt den op mod MAC adresse tabellen. En router skal først åbne framen og kigge ned i IP adresse feltet, slå op i sin routing tabel og finde den bedste vej til modtageren, lukke framen igen og derefter switche pakken ud på det relevante interface. En switch er hardwarebaseret og bruger dedikerede kredsløb, ASICs (Application Specific Integrated Circuits), mens en traditionel router er softwarebaseret og har brug for en central CPU til at gøre arbejdet. Typisk kan en router flytte omkring pakker pr. sekund, mens en switch kan flytte millioner af pakker på samme tid. Derfor var der nogle kloge mennesker der fandt på at indbygge et lille routing modul i switchen, så man kunne kombinere routing og switching. Layer3 switchen var opfundet. På en multilayer switch skal routing modulet slåes til/aktiveres. I modsat fald fungerer switchen som en helt almindelig L2 switch. Ret hurtigt fandt man på at det ville være endnu smartere at kunne route/switche på baggrund af hvilke program der har skabt data pakken og hvilket program der skal modtage den. Stammer pakken f.eks. fra en Internet browser, kan pakken ligeså godt straks sendes til en Webserver. Stammer pakken fra et program, kan den sendes direkte til en mailserver. Det der kigges på her, er port adresser, OSI lag 4. Og i dag kan nogle switche arbejde på baggrund af alle OSI lag. Der sker hele tiden forbedringer og switchene bliver mere og mere avancerede. En switch kan selvfølgelig stadig læse MAC adresser, OSI lag 2, så i stedet for at kalde dem for L2, L3, L4 eller L4-7 switche, kaldes de switche der kan håndtere oplysninger over OSI lag 2, samlet for multilayer switche. Hvordan kan en switch så finde ud af at route hurtigere end en router? Den skal jo stadig åbne framen og kigge på IP adresser, slå op i en routing tabel for at finde den bedste vej og derefter lukke pakken igen og først derefter switche pakken ud på den rigtige port. Når switchen modtager en pakke fra en netværksenhed, gør den alt det traditionelle arbejde som en router gør. Finder modtagerens IP adresse og slår adressen op i sin routing tabel. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 56

57 Læser desuden MAC adresserne på modtager og afsender. Og hvis den er i stand til at forstå oplysningerne, kigger den også på L4 7 felterne. Samtidig gemmer switchen oplysningerne i en slags route-cache. Her gemmes oplysninger om afsender og modtager IP adresser, MAC adresser, VLAN tilhørsforhold og evt. port numre og oplysninger om Quality of Service (QoS) og hvad der ellers kan være af øvre OSI lag oplysninger. Når næste pakke fra samme oprindelige datastrøm modtages af switchen, behøver den ikke gennemgå hele rutinen igen, men kigger i sin route-cache og kan gå direkte til switching. Så kort fortalt bliver den første pakke routed og de efterfølgende måske tusindvis af pakker der hører sammen, switched. Eksempel: To hoster, på VLAN5 og på VLAN10, vil gerne kommunikere VLAN5 VLAN 10 Den første pakke der sendes fra modtages af switchen og videresendes til router modulet, som finder ud af den korrekte vej til modtageren. Router modulet fortæller switchen at den skal forwarde pakken ud på port 14. Hvis multilayer switching (MLS) er slået til, kan switchen nu huske hvordan den skal overflytte pakker fra host til host Efterfølgende pakker sendt mellem samme hoster, behøver ikke længere at gå igennem router modulet men kan rejse direkte gennem switchen. Dette nedsætter den tid det tager for pakken at rejse fra den ene host til den anden og forbedrer netværkets effektivitet. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 57

58 Circuit-switching versus Packet switching. Når data pakker skal rejse mellem forskellige netværk, typisk gennem Internettets jungle af switche og routere, er der forskellige teknologier der kan benyttes til at finde vej fra afsender til modtager. Afsenderen kan på forhånd kontakte modtageren og åbne en kanal, eller et kredsløb hele vejen. Denne kanal holdes åben indtil alle pakker er overført. Alle pakkerne vil følge samme rute, nemlig den kanal der er åbnet til formålet. Metoden hedder Circiut-switching og vi kender det alle sammen fra fastnet telefoni, hvor vi næsten kan høre switche undervejs på ruten klikke, inden opkaldet når modtageren, som så forhåbentlig tager telefonen og vi kan begynde at tale sammen. Fordelen ved denne metode er at vi har reserveret kanalen/kredsløbet og ikke risikerer at blive forstyrret eller forsinket af andre der har noget at sende. Ulempen er at der spildes en masse kapacitet ved at reservere en kanal til en enkelt samtale, især hvis der er forskel på båndbredden undervejs. Det tager lang tid at oprette forbindelsen, til gengæld er forsinkelsen lille, når først forbindelsen er oprettet. Man kan godt overføre data med denne teknik, men den er lidt gammeldags og bruges stort set ikke til dataoverførsel længere. En mere moderne teknologi er Packet-switcing hvor hver enkelt pakke i en datastrøm finder sin egen vej gennem Internettet. Pakkerne er jo tidligere blevet forsynet med et sekvensnummer da datastrømmen blev segmenteret, OSI lag 4 så det betyder ikke noget om de når frem til modtageren i en anden rækkefølge end de blev afsendt. Modtageren kan sagtens finde ud af at samle pakkerne, så datastrømmen bliver som før segmenteringen. Det er ligesom at samle et puslespil, bare lettere, fordi brikkerne er nummererede! AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 58

59 Fordelen ved Packet-switching er en bedre udnyttelse af båndbredden. Man skal ikke vente på at forbindelsen bliver oprettet, og en væsentlig faktor er, at pakkerne bare kan finde en anden vej hvis der skulle opstå et problem med defekt udstyr undervejs. Ulempen er især at pakker kan forsvinde undervejs og det er så nødvendig at re-transmittere dem. Opgave 17 AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 59

60 Spanning Tree Protokollen (STP). Oppetiden i vores netværk, skal være så tæt på 100% som man med rimelige udgifter kan komme. Èn af metoderne til at sikre mod udfald, er ved at ved at have redundans på kritiske steder. Det kan være redundante diske i en server, redundante strømforsyninger, redundate links osv. Redundante links mellem switche er ganske enkelt at sætte op. Billedet viser et netværk med full-mesh topologi. Alle switche er forbundet med alle andre switche i netværket. På den måde sikres det, at der er en vej mellem to switche, selvom et link skulle gå ned. En full-mesh topologi er ikke almindelig i normale netværk, men bruges kun i netværk med behov for meget høj sikkerhed, eksempelvis i lufthavne og andre steder hvor det er livsvigtigt altid at have kontakt mellem alle. Løsningen er for dyr i forhold til risikoen, i almindelige netværk. Normalt vil man vælge en løsning med nogle få redundante links mellem de vigtigste switche. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 60

61 A-C A-B-C A-B-D-C A-B-D-E-C A-B-E-D-C A-B-E-C A-D-C A-D-B-C A-D-E-B-C A-D-E-C A-D-B-E-C A-E-D-C A-E-B-C A-E-C A-E-D-B-C A-E-B-D-C For eksemplets skyld holder vi fast i løsningen med full-mesh. Tidligere kiggede vi på en switch s MAC adresse tabel. Tabellen holder styr på hvilke enheder der sidder på hvilke porte. Hvis vi kigger på tegningen, kan vi se at det ikke længere er entydigt, hvordan man kommer fra switch A til switch C. Der er mange veje, som alle er opremset i tabellen til venstre. Når switch A modtager en frame til en modtager med MAC adresse cc-cc-cc-cc-cc-cc, slår den op i sin tabel for at se hvilken port den skal videresende framen til. Modtageren vil kunne nås på 4 forskellige porte, så switchen sender framen ud på alle 4 porte. De øvrige switche modtager framen, slår op i deres tabeller og opdager at modtageren kan nås via 3 forskellige porte de sender ikke framen tilbage hvor den kom fra og sender ud på alle 3 porte. Vi har nu skabt en evighedsmaskine! Framen vil fortsætte rundt, i mange eksemplarer, indtil switchene slukkes eller linkene disconnectes. Man kalder denne løkke der kører rundt og rundt, for et loop. En situation der i løbet af meget kort tid vil få hele netværket til at synke i knæ og blive totalt ubrugeligt. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 61

62 Og den stakkels PC med MAC adressen cc-cc-cc-cccc-cc bliver overdænget med frames og har sikkert for længst opgivet. Løsningen på problemet, er at tillade fysisk redundant kabling men sørge for at der rent logisk kun er én gyldig vej mellem to enheder på et netværk, på et givent tidspunkt. Spanning Tree protokollen (STP) giver os netop denne mulighed, uden at vi manuelt skal tage stilling til ret meget. Spanning Tree bygger - som navnet antyder en træ lignende struktur, som spænder over hele netværket. Logisk set finder den en rod og forgrener sig derfra udad. Og sørger samtidig for at der aldrig er mere end én mulig vej mellem to punkter. Og dermed at der ikke kan være loops i netværket. De overflødige forbindelser holder sig klar som back-up, og er klar til at overtage rollen hvis det primære link går ned. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 62

63 Spanning Tree protokollen har det formelle navn IEEE802.1D. Når træstrukturen skal beregnes, bruges Spanning Tree Algoritmen, som ud fra forskellige parametre beregner hvilke links der skal være primære links, og dermed åbne, og hvilke links der skal være back-up links. STP algoritmen bruger en metode som kaldes Shortest Path First, når den skal vælge hvilke links der skal være primære. Den korteste vej er, set med Spanning Tree protokollens øjne, den hurtigste. Altså det link med højeste hastighed. Men først skal den switch der skal være roden i træ strukturen vælges. Den switch med den laveste ID vælges som Root. En switch ID består af en prioritet + en MAC adresse (2 byte + 6 byte). Forskellige switchproducenter bruger forskellige default prioriteter. Men hvis vi ikke manuelt ændrer prioriteten og vores switche er fra samme producent er det MAC adressen der afgør hvem der bliver Root. Lad os sige at vores switche har MAC adresserne aa-aa-aa-aa-aa-aa, bb-bb-bb-bb-bb-bb, cccc-cc-cc-cc-cc, dd-dd-dd-dd-dd-dd og ee-ee-ee-ee-ee-ee. Vi rører ikke ved standardprioriteten, så vores switch A bliver valgt til Root. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 63

64 Switch A går straks i gang med at beregne forbindelser ud til de øvrige switche. Når det er gjort åbnes eller blokeres de enkelte forbindelser mellem switchene. Hvordan finder switchene ud af hvilke forbindelser der skal være åbne og hvilke der skal blokeres og stå stand-by? Det gør de ved at udveksle nogle små frames der kaldes Bridge Protocol Data Units (BPDUs), der bl.a. indeholder disse informationer: Root Bridge ID hvem er Root Hvor langt væk (cost) er ROOT fra mig Egen Bridge ID Af navnet Bridge ID og Bridge PDU, kan man ane forgængeren for switchen, nemlig bridgen, som kan opfattes som en switch med kun to porte. Det talte vi om i et af de første afsnit. Når man starter STP, tror alle switchene at de selv er Root, og sætter deres egen ID ind i feltet Root Bridge ID. I cost feltet skrives 0 og Egen Brigde ID siger sig selv. Efterhånden som switchene modtager BPDU er fra alle andre switche, sammenligner de Root Bridge ID og finder ud af hvilken ID der er den laveste. Den ID sætter de ind i de efterfølgende BPDU er de sender ud. Efter en tid har alle fået rettet deres BPDU er til, så den switch med laveste ID står i Root ID feltet og Cost til den valgte Root rettes til. Nu ved Root switchen at det er dens opgave at holde styr på hvilke links der skal være åbne og lukkede. Ud fra de BPDU er Root switchen modtager fra de øvrige switche, kan den beregne den korteste/hurtigste ved til alle andre. Man kan manuelt sætte en cost på et link, eller man kan lade switchen selv finde ud af det. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 64

65 Nedenstående tabel viser de værdier der vil blive brugt hvis vi ikke manuelt ændrer dem. Hastighed STP cost (802.1D) 4 Mbps Mbps Mbps Mbps 19 1 Gbps 4 2 Gbps 3 10 Gbps 2 Hvis der er flere veje med samme cost, vælger Root switchen at benytte vejen via den switch med laveste ID. For at holde styr på om der er ændringer i netværket, udveksles disse BPDU er hver 2. sekund. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 65

66 Ud over Root bridgen/switchen navngives også portene. De porte der fører i retning mod Root switchen hedder Root porte. De porte der fører mod netværks-segmenter hedder Designated porte. Alle porte der ikke er Root eller Designated porte, er Blocked porte. Det er de porte der står stand-by og er klar hvis der skulle blive brug for dem. Alle portene gennemgår nogle faser, inden de er klar til at videresende data. Disabled: Porten er administrativt lukket. Deltager ikke i STP. Blocking: Switchen modtager kun BPDU er, står stand-by som backup. Videresender ikke frames. (Går til listening state hvis den ikke modtager BPDU er i 20 sekunder). Alle porte starter i denne status, hvis vi ikke manuelt har disabled dem. Listening: (varer ca. 15 sek. Kaldes forward delay ): Porten undersøger om der er andre veje til Root bridge eller om den selv er den eneste. Hvis den ikke er den eneste og ikke er den med laveste cost, går den tilbage i Blocking mode. Switchen forwarder ikke frames og lærer ikke MAC adresser. Learning: Switchen lytter efter MAC adresser fra den trafik den modtager, men videresender ikke frames. Opbygger sin MAC adresse tabel. Denne fase varer også 15 sek. Og er også en del af forward delay! Forwarding: Switchen videresender nu frames og MAC adresser læres stadig. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 66

67 Hvis der sker ændringer i topologien f.eks. et link der går ned går STP i gang med at beregne en ny træstruktur. Det kan tage op til 50 sekunder. De 20 sekunder der går inden porte i Blocking mode reagerer på ikke at have modtaget BPDU er + 2 x 15 sekunder Forward delay. 50 sekunder er lang tid i denne verden! Derfor er der for længst opfundet en hurtigere metode: Rapid Spanning Tree (RSTP) - IEEE802.1w. Selve funktionaliteten er der ikke ændret meget ved, så hvis man har forstået 802.1D er det ikke svært at arbejde med 802.1w. Det er i portenes faser og roller, der er sket ændringer. Hvis man i STP har en port i Blocking status og en port i Listening status, er der set fra brugerens synspunkt ingen forskel. Porten videresender simpelthen ikke data og lærer ikke MAC adresser! Vi kan ikke se på en port i Forwarding status om den er en Root port eller en Designated port. RSTP har omdefineret status og roller på portene, så der kun er 3 stadier en port kan være i. RSTP Status: Discarding: Indeholder de gamle faser Disabled, Blocking og Listening. I denne fase læres der ikke MAC adresser. Learning: Den samme som i STP. Der bygges MAC adresse tabel Forwarding: Den samme som i STP. Der videresendes frames RSTP Roller: Root porte og Designated porte er som i STP. Den inaktive ports rolle er ændret, så der nu er to typer: Backup og Alternate. Alternate porte modtager BPDU er fra en anden switch, som er bedre end de BPDU er den selv kan bygge. Det betyder at denne port kan åbnes og bruges som alternativt link mod Root og om nødvendigt erstatte Root switchen (kan blive en Root port). AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 67

68 En Backup port modtager også bedre BPDU er end dens egne, men fra en port på samme switch. Det betyder at den kan være backup til netværkssegmentet men den kan ikke garantere en alternativ vej til Root switchen (kan blive en Designated port). Den største ændring fra STP til RSTP, er at portene nu ikke længere nødvendigvis skal igennem alle faser inden de kan forwarde frames. Alle porte der er direkte forbundet til slut udstyr kaldes Edge porte, og går omgående i forwarding state. Hvis porten modtager en BPDU ved den at der er noget galt slut udstyr som PC er og lign. sender ikke BPDU er. I det tilfælde mister den sin status som Edge port og går tilbage til normal procedure med at lytte og lære Direkte overgang til Edge port status kan kun lade sig gøre på point-to-point links (der opererer i fuld duplex). RSTP reagerer på ændringer indenfor ca. 1 sekund. Det er en stor forbedring i forhold til STP s 50 sekunder. Der er mange variationer over Spanning Tree. Nogle spænder over ét VLAN, andre over flere VLANs, ligesom der også findes en del proprietære udgaver. Der findes en Spanning-Tree regel eller snarere en IEEE anbefaling, der angiver at der aldrig må være en diameter på mere end 7 switche hvis STP skal kunne arbejde korrekt. Hermed menes at mellem to arbejdssstationer må der ikke være mere end 7 switche der skal passeres. Denne regel gælder ikke for Rapid STP. Opgave 18 AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 68

69 Stacking/Cascading. Begreberne bruges ofte i flæng i betydningen, at koble sine switche sammen i grupper. I cascading også kaldet clustering - konfigureres hver switch for sig. Switchene er sammenkoblede for at sikre failover og derfor et mere robust design. Dermed er der skabt basis for loops og Spanning Tree reglen om en diameter på max 7 switche skal overholdes hvis STP skal arbejde korrekt. Stacking teknologien er nyere, og får switchene til at fremstå som én logisk enhed med mange porte. Derfor er der ikke noget problem med loops, og STP er ikke en del af teknikken. Når switche stackes kobles de sammen, så de kun har brug for én IP adresse tilsammen. Én af switchene er management-switch og det er herfra alle konfigurationer foregår. Derfor skal man gøre sig klart hvad der sker hvis management-switchen svigter. Nogle producenters switche søger automatisk for at en anden switch tager over. Andre - ældre/billige - har ingen løsning, så hvis management-switchen fejler, tager den hele stacken med sig. Typisk bruges uplink porte til at sammenkoble switchene. Men enhver port kan på de fleste switche bruges. Opgave 19 AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 69

70 Link Aggregation. I afsnittet om symetrisk/asymetrisk switching blev beskrevet hvordan eksempelvis en server kan have behov for mere båndbredde end klienterne. Link aggregation det samme som port aggregation eller link bundling er en metode hvor flere links arbejder sammen og udgør et samlet logisk link. Samarbejdet styres af en protokol der hedder Link Aggregation Control Protocol (LACP). Der er flere standarder på markedet. - IEEE 802.1AX, som blev godkendt i 2008 er den officielle standard, og understøttes af nyere netværks udstyr. Har afløst IEEE802.3ad. - EtherChannel, som er Cisco s bud på en tilsvarende løsning. Har tidligere været ret udbredt og understøttes også af en del ikke-cisco udstyr, f.eks. HP og Intel. Bruges i dag primært i Cisco udstyr, som dog for det meste udstyrs vedkommende også understøtter den officielle standard. - Intel havde tidligere også deres egen standard, som de kaldte Intel Link Aggregation. Denne standard er dog praktisk talt afløst af IEEE 802.1AX. Som nævnt tidligere i kompendiet 16, er der nogle producenter af netværksudstyr som bruger betegnelsen trunking om teknikken, bl.a. 3Com, D-Link og HP. Dette er dog ikke korrekt, idét trunking er lig med standarden IEEE802.1Q, som beskriver hvordan data fra flere VLANs transporteres over samme forbindelse. Link aggregation har to hovedformål. Dels at øge båndbredden på en forbindelse og dels at skabe redundans i netværket. 16 Se afsnittet om Transport af VLANs Frames. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 70

71 Hvis vi kigger på båndbredden, er der nogle store spring mellem de forskellige generationer af Ethernet. 10Mbps/100Mbps/1Gbps/10Gbps osv. Hvis der i et almindeligt 100Mbps LAN viser sig at være trafikpropper visse steder, er det ikke muligt uden videre at opgradere til eksempelvis 200Mbps. Næste trin er Gbps hvilket sandsynligvis kræver nyt netværksudstyr og måske også ny kabling. Det er en dyr løsning og derfor er link aggregation et meget anvendt alternativ. En vigtig detalje er at alle links der deltager i en link aggregation gruppe, skal have samme båndbredde. Også det andet formål, at fjerne single point of failure problemet i kablingen, løses ved at lade flere link arbejde sammen. Går det ene link ned, arbejder det andet link videre alene. Dette betyder naturligvis at den øgede båndbredde ikke længere er til stede. Single point of failure problemet er desværre ikke helt løst ved at have parallelle links. Alle de fysiske porte der deltager i samme link aggregation gruppe skal nemlig være i samme switch, som så bliver et single point of failure. Hvis switchen går ned, går alle links i gruppen med ned. Der er dog allerede kræfter der arbejder på at udvikle en ny IEEE standard hvor portene i en link aggregation gruppe ikke nødvendigvis skal være i samme switch. Asymetrisk Link Aggregation, eller Adaptive Load Balancing, er en speciel type link aggregation hvor trafik upstream og downstream ikke har samme båndbredde. F.eks. kan man forestille sig at trafik til en webserver sendes over et enkelt link, mens svartrafikken fordeles over flere links. Opgave 20 AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 71

72 Sikkerhed og sikkerhedsproblemer i switchede netværk. Når man diskuterer sikkerhed, gælder det altid om at finde en balance mellem at beskytte sine data og overhovedet at kunne bruge netværket. Man kan sagtens beskytte sit netværk næsten 100%, men hvis det kræver et password på 128 karakterer der skal skiftes hver uge, samt ingen Internetadgang osv. osv. bliver det så besværligt at bruge, at folk enten opgiver det, eller lader være med at følge sikkerheds reglerne. Derudover er der selvfølgelig spørgsmålet om værdien af de data man risikerer at miste set i forhold til hvad det koster at sikre dem! Og husk at det er en god idé ind imellem at afprøve om netværket (stadig) er sikret. Der findes forskellige værktøjer til dette, ligesom der er virksomheder der har specialiseret sig i at lede efter sikkerhedshuller og give forslag til sikring. At holde både switchens og netværksenhedernes operativsystemer opdaterede, kan sørge for at lukke kendte sikkerhedshuller, efterhånden som producenterne opdager dem og retter deres systemer til. Der er flere niveauer når man taler om trusler og sikkerhedsrisici i forhold til switchede netværk. Selve switchen: Først og fremmest kan man sørge for at switchen er sikret med password, så uvedkommende ikke kan ændre i konfigurationen! Sørg altid for at ændre eventuelle default adresser og passwords, så det bliver sværere for ikke-administratorer at få adgang til switchens konfigurationer. En anden god og enkel regel er at lukke/disable ubrugte switchporte, så uvedkommende ikke kan slutte en PC til en ledig port og derved få adgang til netværket. Porte der er i brug kan sikres, så kun den enhed der normalt sidder på porten er godkendt. Hvis der sker forsøg på at skifte den normale enhed ud med en anden, skal porte automatisk lukke, og på den måde forhindre uvedkommende adgang til LAN. Overvågning/monitering i en eller anden form kan fortælle en administrator om uregelmæssigheder og/eller forsøg på indtrængen i netværket. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 72

73 Generelle trusler: Trusler mod vores netværk kan opdeles i 4 grundlæggende kategorier: 1) Ustrukturerede trusler: Består for det meste af ukyndige mennesker der benytter hacker værktøjer. Selvom de er ustrukturerede og det måske ikke var meningen at gøre skade, kan det sagtens ske. F.eks. kan en hacket hjemmeside give andre det indtryk at dem der ejer siden, ikke har styr på sikkerheden. 2) Strukturerede trusler: enkeltindivider eller grupper som har viden indenfor området og bruger svaghederne i de forskellige systemer til at brække ind i et netværk. Kan være så dygtigt lavet at det kan være svært at opdage de har været der. 3) Externe trusler: Fra mennesker som ikke har legal adgang til netværket. 4) Interne trusler: Fra mennesker som har legal adgang til nettet (f.eks. medarbejdere) De forskellige typer af mennesker der angriber vores netværk er blevet også kategoriseret: White hat: Kigger efter svagheder i netværket og fortæller ejeren om dem hvis han finder nogle fejl. Gør ingen skade. Hacker: Uautoriseret adgang med det formål at gøre skade. Black hat: Uautoriseret adgang, som regel for økonomisk vinding. En cracker er et eksempel på en Black Hat. Cracker: Et andet ord for en som bryder ind i netværket med onde hensigter. Phreaker: En der manipulerer med telefon netværket for at få adgang til funktioner. Ofte for at foretage gratis opkald. Spammer: En som sender store stakke af s, nogle gange med virus i. Phisher: (identitets tyveri!) Bruger eller andre bisse-tricks for at få andre til at fortælle dem følsomme oplysninger som passwords eller kode på kreditkort. En phisher giver sig ud for at være en man stoler på (f.eks. ebay, MSN, telefonselskab eller web bank), og som man overlader sine følsomme oplysninger. AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 73

74 Når man skal forsøge at minimere truslerne opdeles truslerne i 4 forskellige typer/klasser af angreb : 1) Rekognoscering: En hacker går ind og kortlægger svagheder i systemet som regel som forberedelse til et rigtigt indbrud. (Internet information queries, Ping sweeps, Port scans, Packet sniffers) 2) Access: Der benyttes ofte et værktøj, som scanner for kendte svagheder i adgangssystemet (f.eks. port redirection eller password attacks - packet sniffers, trojanske heste, brute-force [gentagne forsøg] osv). 3) Denial of Service: (DoS) kalder man det, når en hacker gør et system eller en service ukamp-dygtigt, så servicen ikke kan benyttes af de legale brugere. Enten ved at crashe systemet helt eller ved at gøre det så langsomt at det er ubrugeligt. DoS attacks er noget af det mest frygtede. (f.eks. Ping of Death, SYN Flood og Smurf attacks - spoofed broadcast ping messages) 4) Worms, Viruses og Trojan Horses: onskabsfulde programstumper som smugles ind i en host og derefter ødelægger data, eller giver (fjern-)adgang til netværket. Kan måske kopiere sig selv og spredes til andre hoster i netværket. Trusler mod switchens virkemåde: 1) MAC adresse flooding: En teknik som ødelægger switchens vedligeholdelse af MAC adresse tabellen. MAC adresse tabellen gør det muligt for en switch kun at sende data ud på netop den fysiske port hvor modtageren af framen sidder, i stedet for at broadcaste ud på alle porte og dermed komme til at virke som en HUB. En angriber kan oversvømme switchen med frames, som alle indeholder en forskellig modtager MAC adresse. På et tidspunkt kan CAM hukommelsen ikke følge med og nå at holde MAC adresse tabellen ved lige eller den bliver så stor at den størrelse der er afsat ikke kan rumme mere, og swichen må opgive. Switchen har kun den mulighed tilbage at opføre sig som en HUB og broadcaste alle frames 17. I samme øjeblik frames bliver broadcastet, er det muligt at opsnappe dem ved hjælp af et packet sniffer program eksempelvis Wireshark. Ved at læse frames kan data og ukrypterede passwords forholdsvis let stjæles. 17 Kaldes også at switchen går i failopen mode! AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 74

75 2) Address Resolution Protocol (ARP) spoofing, også kendt som ARP poisoning: Alle enheder der er forbundet til et LAN har to adresser, MAC adresse og IP adresse. En Ethernet frame er en IP pakke der er tilføjet en MAC header. Når Datalinklaget skal tilføje MAC adressen på modtageren, kendes denne måske ikke og ARP sender en forespørgsel (ARP request) ud på netværket, for at få modtageren med den pågældende IP adresse til at svare med sin MAC adresse (ARP reply). Oplysningerne gemmes i en ARP cache som kobler IP adresser med sammenhørende MAC adresser. En ARP request er en broadcast. For at minimere antallet af broadcasts på netværket, gemmer netværksenhederne de MAC adresser de kender, i ARP cache. Når en enhed modtager en ARP reply, opdaterer den sin ARP cache. Disse værdier opdateres hver 30. sekund. ARP cachen vil opdatere sig når den modtager en ARP reply, uanset om den har bedt om den eller ej! Det er en svaghed som kan udnyttes. Hvis en ondsindet bruger sender en frame med en spoofed (falsk) MAC adresse som afsender og en IP adresse som allerede eksisterer på netværket, vil denne bruger i 30 sekunder modtage de data der sendes til den IP adresse, som den påstår at være! Den onde bruger kan nu vælge at videresende de modtagne data til et andet sted, eller måske ændre i data og sende dem videre til den rigtige modtager. Eksempel: AA-AA-AA-AA-AA-AA CC-CC-CC-CC-CC-CC BB-BB-BB-BB-BB-BB Computer C sender en ARP reply til computer A og siger den har IP adressen Computer C sender ligeledes en ARP reply til computer B og siger den har IP adresse AMU kursus E622 Underviser: Susanne Nørrelund Sørensen Side 75