mario baldi pietro nicoletti - studioreti.itstudioreti.it/slide/05_vlan_i_a.pdf · vlan...
Post on 29-Aug-2018
250 Views
Preview:
TRANSCRIPT
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 1
VLAN
Mario BaldiPolitecnico di Torino
http://staff.polito.it/mario.baldi
Basato sul capitolo 5 di: M. Baldi, P. Nicoletti, “Switched LAN”, McGraw-Hill, 2002, ISBN 88-386-3426-2
Pietro NicolettiStudio Reti
http://www.studioreti.it
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 2
Nota di CopyrightQuesto insieme di trasparenze (detto nel seguito slide) è protetto dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo ed i copyright relativi alle slide (ivi inclusi, ma non limitatamente, ogni immagine, fotografia, animazione, video, audio, musica e testo) sono di proprietà degli autori indicati a pag. 1.Le slide possono essere riprodotte ed utilizzate liberamente dagli istituti di ricerca, scolastici ed universitari afferenti al Ministero della Pubblica Istruzione e al Ministero dell’Università e Ricerca Scientifica e Tecnologica, per scopi istituzionali, non a fine di lucro. In tal caso non è richiesta alcuna autorizzazione.Ogni altra utilizzazione o riproduzione (ivi incluse, ma non limitatamente, le riproduzioni su supporti magnetici, su reti di calcolatori e stampate) in toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte degli autori. L’informazione contenuta in queste slide è ritenuta essere accurata alla data della pubblicazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, reti, ecc. In ogni caso essa è soggetta a cambiamenti senza preavviso. Gli autori non assumono alcuna responsabilità per il contenuto di queste slide (ivi incluse, ma non limitatamente, la correttezza, completezza, applicabilità, aggiornamento dell’informazione). In ogni caso non può essere dichiarata conformità all’informazione contenuta in queste slide.In ogni caso questa nota di copyright non deve mai essere rimossa e deve essere riportata anche in utilizzi parziali.
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 3
Reti parallele indipendentiEsigenza di avere delle reti separate, per ragione di riservatezza o sicurezza, che si sviluppano per un intero edificio o comprensorio
nReti = nMezzi-trasmissivi + nApparati-di-rete per ogni punto di distribuzionespreco di risorseseparazione massima
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 4
Esempio di reti parallele
LAN A
LAN A
LAN A
LAN B
LAN B
LAN B
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 5
LAN virtuali (VLAN)Le LAN estese, quando crescono troppo di dimensione, sono fonte di problemi
elevato traffico di multicast/broadcastnecessità di fare routing tra le sottoreti IPproblemi legati alla sicurezza
Grazie al concetto di LAN virtualisi evita di dover realizzare reti parallelesi può avere un’unica infrastruttura fisicasi possono definire più sottoreti logiche separate
Le LAN virtuali possono coprireun singolo switchl’intera LAN estesa
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 6
Impiego delle VLANPer ragioni di sicurezza
si possono mantenere completamente separate le reti tramite l’impiego delle VLAN
non c’è comunicazione tra le VLAN (separazione totale!)
si possono connettere le VLAN in modo più o meno sicuro tramite Access-List su router, Layer 3 Switch o Firewall
Per risolvere conflitti di competenze tra enti diversi di una grande organizzazione
le VLAN vengono connesse tramite router, Layer 3 Switch Per limitare il traffico di broadcast
le VLAN vengono connesse tramite router, Layer 3 Switch
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 7
VLAN Intra-Switch e Inter-SwitchLe prime soluzioni di VLAN di tipo Intra-Switch erano molto semplici ed erano applicabili solo in una rete costituita da Switch a centro stella e Hub in periferia
raggruppamento di porte dello switch in diversi domini di broadcast
Oggi gli standard e i prodotti del mercato offrono soluzioni VLAN Inter-Switch applicabili sia a reti Full-Switched, sia a reti di tipo Segment-Switching
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 8
Lan produzioneLan produzione
Lan amministrazioneLan amministrazione
Lan progettazioneLan progettazione
Lan presidenzaLan presidenza
VLAN Intra-SwitchSi possono raggruppare due o più porte dello switch in un dominio di broadcast
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 9
Lan produzione
Lan amministrazione
Lan progettazione
Lan presidenza
VLAN intra-switch e hub segmentabili
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 10
VLAN 8 VLAN 2 VLAN 2 VLAN 8
Switch
VLAN 8 VLAN 2
Trunk BackboneVLAN 8
Switch
VLAN Inter-SwitchSi creano delle LAN differenti sullo stesso mezzo trasmissivo in modo virtuale
Occorre distinguere quali pacchetti sono destinati a quali VLAN
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 11
VLAN: marcatura dei pacchetti Frame Tagging
si utilizza la tecnica di incapsulamento il pacchetto Ethernet, Token Ring o FDDI viene incapsulato in un pacchetto proprietario
soluzione Cisco con ISLPacket Tagging
si inserisce un header aggiuntivo (VLAN-ID) nella busta MAC; metodo previsto da 802.1Q
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 12
Destination Address
Source Address
Length/Type = TPID
Tag Control Information
Client Length/Type
MAC Client DATA
PAD
FCS
6
2
2
2
42-
1500
4
Definito in:IEEE 802.3acIEEE 802.1pIEEE 802.1Q
userpriority CFI
VID (VLAN ID) - 12 bit
3 1
81-00801.1Q Tag
6
Codifica del tag: IEEE 802.1Q
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 13
VLAN: gli standard coinvoltiLo standard IEEE 802.1Q, che definisce le funzioni e le specifiche inerenti le VLAN coinvolge altri standard IEEE:
802.3ac per la definizione del nuovo formato di pacchetto Ethernet che richiede l’inserimento del campo TAG dove inserire l’informazione VLAN ID802.1p per due ragioni:
il campo TAG può contenere sia l’informazione di prioritàassociabile al pacchetto (problematica affrontata da 802.1p), sia il VLAN IDil protocollo GVRP che serve per annunciare gli attributi inerenti le VLAN agli switch adiacenti si basa sulle specifiche più generiche contenute nel protocollo GARP definite in 802.1p
GARP = Generic Attribute Registration ProtocolGVRP = GARP VLAN Registration Protocol
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 14
ForwardingProcess
IngressRules
EgressRules
FrameTransmission
Port StateInformation
Port StateInformation
FrameReception
Filteringdatabase
Funzione di inoltro del bridge 802.1Q
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 15
Caratteristiche di 802.1QL’assegnazione di VLAN è per porta
Prevede l’utilizzo di criteri diversi per l’assegnazione di VLAN ad una porta
Prevede un unico spanning treeAmmette filtering database multipli identificati con il FID (Filtering Indentifier)
il FID è assegnato dal bridge per identificare un set di VID (Virtual Lan Identificator)
può esistere una sola entry per ogni indirizzo MAC nel filtering databaseun indirizzo MAC può essere presente in diversi filtering database
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 16
Port-based VLANViene assegnata una VLAN per porta
La porta può essere definita come access o trunk port
VLAN 11
VLAN 24
accesslink trunk
link
VLAN 11
VLAN 24
accesslink
Pacchetti Untagged Pacchetti Untagged
Pacchetti Tagged
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 17
Tipi di apparati e di LinkTipi di apparati:
VLAN-Aware trattano i pacchetti di tipo tagged e untagged e sono conformi a 802.1QVLAN-Unaware non trattano i pacchetti di tipo tagged
Access link:su porte che ricevono e trasmettono pacchetti Untagged impiegate per la connessione di interfacce di rete tradizionali (caso più comune e condizione di default sugli switch)
Trunk link:su porte che ricevono e trasmettono pacchetti Tagged impiegate per la connessione tra gli switch o tra switch e interfacce di rete che lavorano in modalità trunk 802.1Q
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 18
Configurazione di VLAN sugli switchSi può riassumere in tre fasi:
creazione delle VLAN necessarie su ogni switch;associazione di porte a VLAN;definizione delle porte Trunk
il default sugli switch è lo stato di Access
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 19
SW-ProvaSW-A SW-B
Esempio di configurazione VLANRete prima della configurazione delle VLAN
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 20
Stato delle porte prima della configurazione delle VLAN
SW-Prova#sho vlan briefVLAN Name Status Ports---- -------------------- --------- -------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4,
Fa0/5, Fa0/6, Fa0/7, Fa0/8,Fa0/9, Fa0/10, Fa0/11, Fa0/12,Fa0/13, Fa0/14, Fa0/15, Fa0/16,Fa0/17, Fa0/18, Fa0/19, Fa0/20,Fa0/21, Fa0/22, Fa0/23, Fa0/24,Fa0/25, Fa0/26, Fa0/27, Fa0/28,Fa0/29, Fa0/30, Fa0/31, Fa0/32,Fa0/33, Fa0/34, Fa0/35, Fa0/36,Fa0/37, Fa0/38, Fa0/39, Fa0/40,Fa0/41, Fa0/42, Fa0/43, Fa0/44,Fa0/45, Fa0/46, Fa0/47, Fa0/48,Gi0/1, Gi0/2
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 21
VLAN da creare
TRUNKTRUNK
(tagged)
ACCESS(untagged)
VLA
N 1
VLA
N 2
VLA
N 3
VLA
N 4
VLA
N 5
VLA
N 6
VLA
N 1
00
ACCESS(untagged)
SW-Prova
VLA
N 1
VLA
N 2
VLA
N 3
VLA
N 4
VLA
N 5
VLA
N 6
VLA
N 1
00ACCESS(untagged)
VLA
N 1
VLA
N 2
VLA
N 5
VLA
N 6
TRUNKTRUNK
(tagged)
SW-A SW-B
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 22
Creazione delle VLAN SW-Prova#vlan database
Switch(vlan)#vlan 2 name AmministrazioneVLAN 2 added:
Name: AmministrazioneSwitch(vlan)#vlan 3 name VenditeVLAN 3 added:
Name: VenditeSwitch(vlan)#vlan 4 name prova-1VLAN 4 added:
Name: prova-1Switch(vlan)#vlan 5 name prova-2VLAN 5 added:
Name: prova-2Switch(vlan)#vlan 6 name prova-3VLAN 6 added:
Name: prova-3Switch(vlan)#vlan 100 name ProduzioneVLAN 100 added:
Name: ProduzioneSW-Prova(vlan)#exitAPPLY completed.Exiting....SW-Prova#
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 23
Associazione di porte a VLAN
SW-Prova(config)#int fastEthernet 0/12SW-Prova(config-if)#switchport access vlan 100Switch(config-if)#exit…….SW-Prova(config)#int fastEthernet 0/16SW-Prova(config-if)#switchport access vlan 2SW-Prova(config-if)#exit……..SW-Prova(config)#int fastEthernet 0/20SW-Prova(config-if)#switchport access vlan 3SW-Prova(config-if)#exit……..SW-Prova(config)#int fastEthernet 0/24SW-Prova(config-if)#switchport access vlan 4SW-Prova(config-if)#exit…….SW-Prova(config)#int fastEthernet 0/28SW-Prova(config-if)#switchport access vlan 5SW-Prova(config-if)#exit……..SW-Prova(config)#int fastEthernet 0/32SW-Prova(config-if)#switchport access vlan 6SW-Prova(config-if)#exit……..
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 24
Porte e VLAN sullo switch dopo la configurazione
SW-Prova#show vlan briefVLAN Name Status Ports---- -------------------- --------- -------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4,
Fa0/5, Fa0/6, Fa0/7, Fa0/8,Fa0/9, Fa0/10, Fa0/11, Fa0/36,Fa0/37, Fa0/38, Fa0/39, Fa0/40,Fa0/41, Fa0/42, Fa0/43, Fa0/44,Fa0/45, Fa0/46, Fa0/47, Fa0/48,Gi0/1, Gi0/2
2 Amministrazione active Fa0/16, Fa0/17, Fa0/18, Fa0/19
3 Vendite active Fa0/20, Fa0/21, Fa0/22, Fa0/23
4 prova-1 active Fa0/24, Fa0/25, Fa0/26, Fa0/27
5 prova-2 active Fa0/28, Fa0/29, Fa0/30, Fa0/31
6 prova-3 active Fa0/32, Fa0/33, Fa0/34, Fa0/35
100 Produzione active Fa0/12, Fa0/13, Fa0/14, Fa0/15
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 25
Definizione delle porte trunkAbilitazione statica di VLAN su porte trunk senza l’impiego dl protocollo GVRP
SW-Prova(config)#interface GigabitEthernet 0/1SW-Prova(config-if)#switchport mode trunkSW-Prova(config-if)#switchport trunk allowed vlan add 1,2,5,6SW-Prova(config-if)#exitSW-Prova(config)#interface GigabitEthernet 0/2SW-Prova(config-if)#switchport mode trunkSW-Prova(config-if)#switchport trunk allowed vlan all
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 26
Gestione anarchica delle VLAN su rete Switched
Switch A
TRUNK(tagged)
TRUNK TRUNK
TRUNK TRUNKTRUNKTRUNK
Switch B
Switch C Switch D
TRUNK(tagged)
TRUNK(tagged)
TRUNK(tagged)
(tagged)
(tagg
ed)
(tagg
ed)
Tutte le interfacce dei computer devono essere di tipo aware e
devono essere configurate come trunk o tagged!
GESTIONE ANARCHICA DELLE VLAN!
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 27
Il problema della mobilitàL’assegnazione VLAN per porta su porte di tipo Access non permette la mobilitàAd utente connesso su una particolare porta di uno switch è assegnata una certa VLAN, se si lo sposta su un’altra porta o switch, non la mantiene automaticamente, ma è necessario l’intervento del gestore di rete
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 28
Esempio di mobilità degli utenti
TRUNKTRUNK
(tagged)
VLA
N 1
VLA
N 2
VLA
N 3
VLA
N 4
VLA
N 5
VLA
N 6
VLA
N 1
00SW-Prova
VLA
N 1
VLA
N 2
VLA
N 3
VLA
N 4
VLA
N 5
VLA
N 6
VLA
N 1
00
VLA
N 1
VLA
N 2
VLA
N 5
VLA
N 6
TRUNKTRUNK
(tagged)
SW-A SW-B
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 29
Soluzioni per la mobilitàGestione anarchica della rete tramite l’impiego di interfacce di rete che supportano l’imbustamento 802.1Q e vengono configurate come Trunk
applicabile su reti shared (basata solo su HUB) e switchedl’utente può definire l’appartenenza della propria macchina macchina ad una particolare VLAN
Gestione mista con impiego di porte Access (elevato numero) e Trunk (poche) per connettere le stazioni
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 30
Gestione mista con porte Access e TrunkSwitch A
ACCESS(untagged)
TRUNK TRUNK
TRUNK TRUNKTRUNKTRUNK
Switch B
Switch C Switch D
ACCESS(untagged)
ACCESS(untagged)
ACCESS(untagged)
(tagged)
(tagg
ed)
(tagg
ed)
TRUNK
TRUNK
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 31
Hybrid LinkSu una porta di questo genere transitano pacchetti sia
tagged sia untagged
VLAN 10
VLAN 20
Accesslink
VLAN-awarebridge
Hybridlink
Accesslink
VLAN-awarebridge
VLAN-awareend station
VLAN-unawareend station
VLAN-unawareend station
VLAN 10
VLAN 20
Associate daibridge
alla VLAN 30
VLAN-unawareend station VLAN 30
Accesslink
VLAN 20
LAN XY
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 32
Il protocollo GVRPGARP VLAN Registration Protocol
serve per registrare o cancellare attributi riguardanti le VLAN
uno switch sulla base della presenza di determinate VLAN sullo switch adiacente, comunicategli da questo tramite il protocollo GVRP, può stabilire quali pacchetti convogliare sulla porta trunk
alternativa alla definizione statica delle VLAN da trasportare sui Trunk Linkgli switch che adottano il protocollo GVRP sono considerati GVRP-Aware
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 33
GARP: generalitàRegistra o cancella attributi di vario tipo in un’entitàinterna all’apparato denominata GID
Il GID (GARP Information Distribution) è un insieme di macchine a stati che definisce lo stato corrente delle registrazioni e dichiarazioni per tutti i valori degli attributila registrazione o cancellazione di un attributo ha luogo soltanto sulla porta che riceve la GARP PDU contenente la dichiarazione
ra registrazione può aver luogo anche sulle porte che sono state poste in Blocking state dallo STP
GIP (GARP Information Propagation)Entità responsabile della propagazione delle informazioni tra i GARP Participant
internamente ad un singolo bridgetra bridge diversi (basato su LLC di tipo 1)
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 34
GARP: entità e architettura
End StationBridge
GARP participant
LLC
FrameRX
FrameTX
GARPapplication
GID
MACrelayentity
GARP participant
LLC
FrameRX
FrameTX
GARP participant
LLC
FrameRX
FrameTX
GID GID
GARPapplication
GARPapplication
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 35
Il formato del pacchetto GVRP
Multicast01-80-C2-00-00-21
SinglecastIndirizzo
del BridgeXY
LengthDSAP SSAP
042H 042H
DSAP SSAP
XID
Control
GVRP PDU FCS
Protocol Identifier: 00-01 1÷23456 ÷7
Attribute Type: 00-01Attribute Length: 04
Attribute Event VLAN ID
Attributo 1
Attribute Length: 04 Attribute Event
VLAN ID Attributo n
End Mark 00
Lista degli attibuti
0 = LeaveALL1= JoinEmpty2= JoinIn3= Leave Empty4= LeaveIN5= Empty
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 36
Bridge/Switch di tipo SVL e IVLBridge SVL (Shared VLAN):
dispone di un unica tabella d'inoltro (filtering database) che viene condivisa da tutte le VLAN
Bridge IVL (Indipendent VLAN):si crea una tabella di inoltro, identificata con un parametro denominato FID (Filtering Identifier), per ogni VLAN creata
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 37
Bridge/Switch di tipo SVL
Port MAC adress Ag. Time VLAN
4 08-00-2b-16-50-a0 1 2
7 08-00-2b-c4-e6-aa 2 4
5 08-00-2b-20-10-56 7 2
2 08-00-5a-10-40-e1 12 6
Switch SVL
4 5 6 7 8 9
08-00-2b-16-50-a0
08-00-2b-c4-e6-aa
08-00-2b-20-10-56
08-00-5a-10-40-e1
VLA
N 2
VLA
N 2
VLA
N 2
VLA
N 4
VLA
N 4
VLA
N 6
VLA
N 6
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 38
Bridge/Switch di tipo IVLSwitch IVL
VLA
N 2
VLA
N 2
VLA
N 2
VLA
N 4
VLA
N 4
VLA
N 6
VLA
N 6
Port MAC adress Ag. Time
4 5 6 7 8 9
08-00-2b-16-50-a0
4 08-00-2b-16-50-a0 1
5 08-00-2b-20-10-56 7
7 08-00-2b-c4-e6-aa 2
2 08-00-5a-10-40-e1 12
08-00-2b-c4-e6-aa
08-00-5a-10-40-e1
FID # 1VLAN 2
FID # 2VLAN 4
FID # 3VLAN 6
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 39
La condivisione di più VLAN da parte di un apparato di rete
Condivisione su Switch di tipo IVL:se sull’apparato (esempio un server) si dispone di un’interfaccia di rete che supporta il trunk 802.1q (VLA-Aware)
si configurano l’interfaccia di rete e la porta dello switch in modalità Trunk
se l’interfaccia di rete non è di tipo VLAN-Aware nel caso Cisco è possibile collegarla ad una porta dello switch che viene configurata di tipo Multi VLAN.
Condivisione su Switch di tipo SVL:interfaccia di rete di tipo Access sull’apparato che deve condividere più VLANnecessita di una configurazione complessa sullo Switch in cui vengono associate VLAN e porte fisiche dello Switch
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 40
Server che condivide più VLAN su Trunk Link
Switch IVL
Client A Client B
Porta 3 TRUNK
Porta 2VLAN 15VLAN 10
Server
VLAN 10
VLAN 15
Switch(config)#int fastEthernet 0/3Switch(config-if)#switchport mode trunkSwitch(config-if)#switchport trunk allowed vlan add 10,15Switch(config-if)#end
Porta 1
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 41
Server che condivide più VLAN su porta Multi VLAN
Switch IVL
Client A Client B
Porta 3
Porta 2VLAN 15VLAN 10
Server
VLAN 10
VLAN 15
Switch(config)#int fastEthernet 0/3Switch(config-if)#switchport mode multiSwitch(config-if)#switchport multi vlan add 10Switch(config-if)#switchport multi vlan add 15Switch(config-if)#end
Porta 1
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 42
Server che condivide più VLAN su Switch di tipo SVL
Switch SVL
Client A Client B
Porta 3
Porta 2Porta 1 VLAN 15VLAN 10
VLAN 20VLAN Porte condivise
VLAN - Tabella di condivisione
20 porta 1 e 210 porta 315 porta 3
Server
VLAN 20
VLAN 10
VLAN 15
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 43
Trunk link(tutte le VLAN)
BridgeVLAN-aware
BridgeVLAN-aware
Access linkVLAN 15 Spanning tree
porta Blocking
1o Caso
BridgeVLAN-aware
BridgeVLAN-aware
Access linkVLAN 15
Spanning treeporta Blocking
2o Caso
Trunk link(tutte le VLAN)
802.1Q problema di spanning treeBlocco non critico effettuato da STP
Blocco critico effettuato da STP
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 44
Convivenza tra bridge 802.1Q e 802.1DBlocco critico effettuato da STP
Server B(VLAN 15)
Server A(VLAN 10)
Client del Server B
bridge 802.1DVLAN -unaware
Bridge 802.1QVLAN-aware STP
porta Blocking
Client del Server A
1o Caso
VLAN 15
VLAN 10
bridge 802.1DVLAN -unaware
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 45
Convivenza tra bridge 802.1Q e 802.1DBlocco che non permette la connessione dai client a Server A
bridge 802.1DVLAN -unaware
Server B(VLAN 15)
Server A(VLAN 10)
Client del Server B
bridge 802.1DVLAN -unaware
Bridge 802.1QVLAN-aware
STPPorta Blocking
Client del Server A
2o Caso
VLAN 15
VLAN 10
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 46
STANDARD IEEE 802.1vAssegnazione VLAN per protocollo
Classificazione VLAN Port-and-Protocol-based È possibile associare indipendentemente:
Una VLAN alla porta di ricezione (per port VLAN)Più VLAN sulla medesima porta in base al protocollo dei pacchetti entranti (per protocol VLAN)
Classificazione dei pacchetti ricevuti:Su base protocollare se trasportano uno dei protocolli per cui è stata definita un’associazione a VLAN Gli altri assumono la VLAN associata alla porta d'ingresso (per port VLAN)
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 47
Identificazione del protocollo trasportatoSi prendono in esame campi differenti a seconda del
formato del pacchetto:Ethernet V 2.0IEEE 802.3 conforme alla RFC 1042IEEE 802.3 allo standard IEEE 802.1HIEEE 802.3 con Private SNAPTutti gli altri casi di formati IEEE 802.3
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 48
Campi per la classificazione
DA/SA Type ……….
DA/SA Length LLC DSAP/SSAP ……….
DA/SA Length AA-AA-03 00-00-00 Type ……….
DA/SA Length AA-AA-03 PID ……….
DA/SA Length AA-AA-03 00-00-F8 Type ……….
1 – Ethernet V 2.0
2 - 802.3 RFC 1042
3 - 802.3 Private SNAP
4 - 802.3 conforme a802.1H
5 - 802.3 con altriindirizzi LLC
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 49
Pilastri su cui 802.1v basa le sue funzioniProtocol Group Database
Codice dei protocolli classificabili Group ID (identifier)
I Group ID sono associati alle VLAN in modo flessibile:Una VLAN per ogni Group IDPiù Group ID alla medesima VLAN
Più VLAN ID (VID) per porte che ricevono traffico di tipo untagged
Classificazione Port-and-Protocol-based
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 50
Esempio di assegnazione multiple VID sulle porte dello switch
Tipo di pacchetto
Ether Type/ LLC Group ID
Ethernet 08-00 A
Ethernet 08-06 B
RFC 1042 08-00 C
RFC 1042 08-06 F
Protocol Group Database
Group ID VIDA 234B 567C 234D 567
1
Group ID VIDA 123B 123
789
Insieme diVID per la
porta 1
Insieme diVID per la
porta 2
PVID porta 1
PVID porta 2
(Port VLAN ID)
DA/SA Type ……….
DA/SA Length AA-AA-03 00-00-00 Type ……….
Ethernet
802.3 RFC 1042
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 51
Inter Switch Link (ISL) di CiscoIl frame originale viene incapsulato con un header ISL ed una nuova FCS
Si tratta di un metodo di two level taggingPermette il supporto di 1024 VLANSpanning multilpli (uno per VLAN)Realizzato in ASIC per garantire prestazioni wire speed
ISL Header26 bytes Encapsulated frame 1 ... 24.5 KBytes FCS
4 bytes
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 52
Formato dell’header ISLI primi 40 bit del MAC DA identificano un indirizzo di destinazione multicastGli altri 8 bit sono usati come campo type e user
MACMAC--DSAPDSAP
DA Type User SA Len AA-AA-03 HSA VLAN BPDU Index Res
01-00-0c-00-00
Type: tipo della tramaEthernet, Token Ring, FDDI,…
User: user prioritysimile alla priorità definita in IEEE 802.1p
© M. Baldi: see page 2Copyright ©2002 - M. Baldi - P. Nicoletti: see page 205-VLAN - 53
Spanning tree per VLAN su ISL
ST VLAN-2
ST VLAN-8
S1
S3S2
top related