SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
Učební texty
Datové sítě IV Vypracovala: Ing. Daniela Krupičková
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
1
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
Obsah 1.
Sítě LAN ............................................................................................................................. 4 Architektura sítí LAN............................................................................................................. 4 Logická a fyzická struktura sítě ............................................................................................. 5 Výhody hierarchického uspořádání sítě ................................................................................. 5 Konvergované a nekonvergované sítě .................................................................................... 5
2.
Přepínače ............................................................................................................................. 6 Obecná charakteristika ........................................................................................................... 6 Základní funkce přepínačů ..................................................................................................... 8
3.
Protokol STP (Spanning Tree Protocol) ........................................................................... 15 Základní pojmy .................................................................................................................... 15 Druhy STP ............................................................................................................................ 17 Činnost STP.......................................................................................................................... 18 Stavy portů protokolu STP ................................................................................................... 19 Konvergence......................................................................................................................... 20 Funkce PortFast protokolu STP ........................................................................................... 21 Funkce UplinkFast protokolu STP ....................................................................................... 22 Funkce BackboneFast protokolu STP .................................................................................. 22 Protokol RSTP (Rapid Spanning Tree Protocol) ................................................................. 22
4.
Virtuální sítě LAN (VLAN) .............................................................................................. 24 Úvod do problematiky VLAN.............................................................................................. 24 Druhy VLAN........................................................................................................................ 26 Konfigurace statické VLAN................................................................................................. 27 Druhy portů .......................................................................................................................... 29 Značkování rámců (Frame Tagging) .................................................................................... 32 Metody identifikace VLAN.................................................................................................. 32 Změny nebo úpravy nativní trunkové sítě VLAN ................................................................ 34
5.
Protokol VTP (VLAN Trunking Protocol) ....................................................................... 35 Režimy činnosti VTP ........................................................................................................... 35 VTP domény ........................................................................................................................ 36 Redukce VTP (Pruning) ....................................................................................................... 36 Konfigurace protokolu VTP ................................................................................................. 37
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
2
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
6.
Směrování mezi VLANy (Inter-VLAN Routing) ............................................................. 40 Konfigurace směrování mezi různými VLANy ................................................................... 41
7.
Bezdrátové technologie – WiFi ........................................................................................ 45 Technologie WiFi ................................................................................................................. 45 Komponenty bezdrátových sítí ............................................................................................. 48 Druhy útoků na WiFi síť ...................................................................................................... 48 Zabezpečení WiFi sítí........................................................................................................... 48 Komunikace klient – AP ...................................................................................................... 49 Přístupová metoda CSMA/CA ............................................................................................. 50 Konfigurace bezdrátové datové sítě – příklad ...................................................................... 51
8.
Otázky k procvičení .......................................................................................................... 55
Výukové cíle Orientovat se v problematice sítí LAN (hierarchická struktura, síťové komponenty), vysvětlit funkci a vlastnosti přepínačů, ovládat jejich základní konfiguraci. Chápat princip, vlastnosti, účel a použití protokolů VTP a STP. Vysvětlit a používat nastavení virtuálních sítí VLAN, rozumět důvodům použití směrovače při konfiguraci sítě s VLANy, orientovat se v základní problematice bezdrátových sítí WiFi.
Předpokládané vstupní znalosti a dovednosti Úspěšné zakončení modulu: DASI, DASII a DASIII
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
3
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
1. Sítě LAN Architektura sítí LAN Hierarchický síťový model Umožňuje snadnou administraci, rozšiřitelnost a odstraňování problémů Rozděluje síť na oddělené vrstvy - každá vrstva plní svou specifickou funkci Nejčastěji se síť rozděluje do tří vrstev – přístupová, distribuční a páteřní Páteřní
Distribuční
Přístupová
Přístupová vrstva Zajišťuje propojení vyšších vrstev sítě s koncovými zařízeními (IP telefony, PC, tiskárny, notebooky, ...) Může zahrnovat také směrovače, přepínače, mosty, rozbočovače nebo přístupové body bezdrátové sítě Hlavním účelem této vrstvy je zajistit propojení koncových zařízení s vyššími vrstvami sítě Distribuční vrstva Sdružuje data přijatá z přepínačů na přístupové vrstvě Data jsou předává dále páteřní vrstvě, kde jsou směrována do cílových sítí
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
4
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Řídí síťový provoz, vymezuje broadcast domény, zajišťuje směrování mezi VLANy VLAN – rozděluje sítě LAN na podsítě podle účelu (fakulta, studenti, hosté) Obsahuje výkonné přepínače Páteřní vrstva Představuje vysokorychlostní páteř pro přeposílání dat mezi sítěmi
Logická a fyzická struktura sítě Logická struktura - schéma propojení jednotlivých síťových komponent Fyzická struktura - rozmístění síťových komponent v rámci budovy (kampusu)
Výhody hierarchického uspořádání sítě Hierarchicky strukturované sítě lze snadno rozšiřovat Distribuční a páteřní úroveň sítě je obvykle naddimenzovaná a zálohovaná, což zajišťuje její snadnou dostupnost z nižších úrovní sítě Výkonnost sítě se zajišťuje použitím vysokorychlostních přepínačů na distribuční a páteřní úrovni a nízkou agregací Bezpečnost je zajištěna na úrovni přístupové sítě (přístupová hesla apod.) i na úrovni distribuční sítě (komunikační protokoly) Snadná ovladatelnost - každá vrstva tohoto uspořádání plní své specifické funkce Modulární a hierarchická struktura umožňuje snadnou rozšiřitelnost sítě, aniž by se výrazně zvýšily nároky na její údržbu
Konvergované a nekonvergované sítě Nekonvergované sítě - oddělené hlasové, video a datové služby Konvergence je proces spojující hlas a video v datových sítích - přenos v reálném čase = náročné na rychlost datového toku a síťová zařízení, tyto sítě vyžadují vysokou QoS (Quality of Service)
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
5
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
2. Přepínače
Obecná charakteristika Pracují na 2.vrstvě OSI (v LAN) Segmentují sítě – zmenšují a tříští kolizní domény Neprovádějí fragmentaci rámců (předpoklad stejných síťových segmentů) Používají se v prostředí lokálních sítí, nepřipojují se k rozlehlým sítím Realizují dedikované propojení - každá stanice dostane jen rámce jí určené a rámce posílané na všeobecnou adresu Rámec, který přepínač nezpracuje, zahazuje a zdrojová stanice se o zničení rámce nedozví
Režimy zpracování rámců Režim „ulož a pošli“ (store and forward) Rámce se nejprve celé načtou a uloží
Zdrojová MAC
Cílová MAC
CZ.1.07/2.1.00/32.0045
DATA
CRC
ICT moderně a prakticky
6
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Poté se zjišťuje, na který výstupní port se má rámec poslat, a to na základě porovnání cílové MAC v rámci a tabulce MAC adres
Přepínací tabulka (Switching Table)
Podle kontrolního součtu CRC se provede kontrola rámců (zničení chybných rámců)
CRC 435869123 435869123
Vlastnosti a použití Nižší výkon vnitřního přepínání Vhodné v sítích s vysokou chybovostí
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
7
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Režim „průběžného zpracování“ (cut-through, on the fly) Ihned po zjištění cílové MAC a výstupního portu začne přepínač vysílat rámec na výstupní port, aniž by dokončil jeho příjem Neprovádí kontrolní součet ani jinou kontrolu rámce Vlastnosti a použití Efektivní – je využit maximální výkon přepínače Používá se ve spolehlivých sítích s minimálním počtem chybných rámců Přepínání na 3. vrstvě OSI Přepínače 3.úrovně mohou směrovat data na základě IP adresy
Mohou směrovat pakety mezi různými LAN segmenty podobně jako routery, ale nemohou je ve všech funkcích zcela nahradit
Základní funkce přepínačů Zjišťování adresy – pamatují si zdrojovou HW adresu (MAC) každého přijatého rámce a ukládají ji do tabulky MAC adres Rozhodování o předávání a filtrování – pokud je na rozhraní přijat rámec, přepínač zjistí jeho cílovou MAC adresu, v tabulce MAC adres vyhledá výstupní rozhraní a vyšle ho na cílový port Prevence vzniku smyček – síťové smyčky vznikají v případě použití redundantních spojení (nadbytečná spojení pro zajištění vyšší spolehlivosti), k odstranění smyček při zachování redundance se používá protokol STP
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
8
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Zjišťování adresy Při prvním zapnutí přepínače je jeho MAC tabulka prázdná
Linkový rámec Zdrojová MAC1
Cílová MAC2
Port 1
Port 2
PC1 (MAC1)
PC2 (MAC2)
Port 3
Tabulka MAC adres Port 1 Port 2 Port 3
PC3 (MAC3)
Po přijetí rámce od koncového zařízení (PC1) si přepínač uloží zdrojovou adresu (MAC1) do tabulky MAC adres (přepínací tabulky) Protože nemá informace o tom, na kterém portu je připojen cílový počítač (PC2) s cílovou adresou (MAC2), rozešle rámec na všechny své porty s výjimkou portu, ze kterého rámec přišel (chová se jako rozbočovač)
Linkový rámec Zdrojová MAC1
Port 1
Cílová MAC2
Port 2
PC1 (MAC1)
Linkový rámec Zdrojová MAC1
PC2 (MAC2)
Port 3 Tabulka MAC adres
Cílová MAC2
Port 1
MAC1
Port 2 Port 3
PC3 (MAC3)
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
9
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Koncové zařízení PC2 obdrží rámec od PC1 a odpoví Přepínač si uloží MAC adresu PC2 (MAC2) do své tabulky MAC adres a rámec pošle pouze na Port 1, protože jeho tabulka MAC adres už potřebnou informaci obsahuje (portu 1 je přiřazena MAC adresa MAC1)
Linkový rámec Zdrojová MAC2
Cílová MAC1
Port 1
Port 2
PC1 (MAC1)
PC2 (MAC2)
Port 3 Tabulka MAC adres Port 1
MAC1
Port 2
MAC2
Port 3
PC3 (MAC3)
Rozhodování o předávání a filtrování
Filtrování rámců (Frame Filtering) Cílová HW adresa rámce je porovnána s databází MAC adres (tabulka MAC adres) Jestliže je cílová MAC adresa známa a uvedena v databázi, je rámec odeslán z odpovídajícího výstupního rozhraní (tento způsob rozesílání rámců šetří šířku pásma v jiných síťových segmentech) Pokud cílová MAC adresa není uvedena v tabulce MAC adres, je rámec hromadně rozeslán na všechna aktivní rozhraní (s výjimkou rozhraní odkud byl rámec doručen)
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
10
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
Tabulka MAC adres Přepínač si vytváří tabulku MAC adres, ve které jsou obsaženy všechny uzly připojené na jeho porty Tabulku MAC adres můžeme zobrazit příkazem
Switch#show mac address-table Mac Address Table ------------------------------------------Vlan
1 1 1 1 1 1
Mac Address ---- -----------
0001.637a.b5e2 0001.c9bd.ee33 0030.a330.8a2b 0060.472a.8d85 0060.4790.5d3e 00d0.58a4.752e
Type Ports -------- ----DYNAMIC DYNAMIC DYNAMIC DYNAMIC DYNAMIC DYNAMIC
Fa0/3 Fa0/1 Fa0/6 Fa0/4 Fa0/5 Fa0/2
Informace v tabulce se uchovávají po dobu 300s. Pokud na danou adresu nepřijde po tuto dobu žádný rámec, jsou z tabulky vymazány Pokud jsou informace v MAC tabulce neplatné (například z důvodu přepojení sítě) můžeme ji smazat příkazem
Switch#clear mac address-table Switch#show mac address-table Mac Address Table ------------------------------------------Vlan
Mac Address ---- -----------
Type Ports -------- -----
Switch#
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
11
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Zabezpečení portů Slouží k zabránění neoprávněného připojení koncového zařízení nebo rozbočovače na port přepínače Switch(config)#interface fa0/7 Switch(config-if)#switchport port-security ? mac-address Secure mac address maximum Max secure addresses violation Security violation mode
Každému portu lze přiřazovat koncové zařízení s konkrétní MAC adresou, to je časově velmi náročné Switch(config-if)#switchport port-security mac-address 0030.A330.8A2B
Port lze nastavit tak, aby umožňoval připojení pouze jediného koncového zařízení (toho, které se připojí jako první) – maximum 1 V případě pokusu o připojení jiného zařízení se port vypne – violation shutdown Switch(config-if)#switchport port-security maximum 1 Switch(config-if)#switchport port-security violation shutdown
K danému portu můžeme „přilepit“ (sticky) první MAC adresu Tato MAC adresa se bude v tabulce MAC adres jevit jako static. Switch(config)#int fa0/5 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security maximum 2 Switch(config-if)#switchport port-security violation shutdown
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
12
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Prevence vzniku smyček Výhody redundantních spojení Redundantní spojení - nadbytečná spojení mezi přepínači Redundance v sítích LAN slouží jako prevence ztráty spojení při selhání síťových prvků
Propojení přepínačů bez redundance
Propojení přepínačů s redundantními spoji, vznik smyček
Nevýhody redundantních spojení Díky redundantním spojům mohou vznikat v sítích LAN smyčky Ethernetovské rámce nemají počítadla TTL, která by je po určité době zlikvidovala, proto rámce mohou ve smyčkách obíhat donekonečna a stále se množit Rámce se mohou šířit po všech redundantních smyčkách současně
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
13
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Zálohování (redundance) může mít za následek až odstavení sítě Přepínače rozesílají všesměrová vysílání po celé datové síti, ve smyčce dochází k všesměrové bouři (broadcast storm) Zařízení může přijmout více kopií téhož rámce, který dorazí z různých směrů (zvýšení zátěže sítě) Přepínač může přijmout rámec z různých míst v síti – neustále aktualizuje svou tabulku MAC adres, což omezuje jeho činnost Vícenásobné smyčky – smyčky v rámci jiných smyček
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
14
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
3. Protokol STP (Spanning Tree Protocol) STP (Spanning Tree protocol) - protokol přemosťovacího stromu STA (Spanning Tree Algorithm) - nejprve vytvoří topologickou databázi a poté vyhledá a zablokuje redundantní linky, aby vznikla stromová (bezsmyčková) topologie Rámce jsou předávány pouze po vybraných nejlepších spojích, které byly zvoleny na základě protokolu STP
Základní pojmy
Root Bridge Kořenový most Most s nejlepší (nejnižší) hodnotou ID Je zvolen ostatními přepínači v síti Slouží jako ústřední bod sítě
BPDU (Bridge Protocol Data Unit) Datová jednotka přemosťovacího protokolu Slouží k výměně informací mezi přepínači (volba Root Bridge, následná konfigurace sítě)
Bridge ID ID mostu Pomocí ID sleduje STP všechny přepínače v síti Jeho hodnota závisí na kombinaci priority mostu (Cisco standardně 32 768) a základní MAC adresy
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
15
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Jiné než kořenové mosty Všechny ostatní mosty vyjma kořenových Vyměňují si BPDU se všemi ostatními mosty a aktualizují databázi STP Zabraňují vzniku smyček a zajišťují ochranu před výpadkem linek
Cena portu Určuje optimální trasu, když žádná z linek nevede ke kořenovému portu Cena portu je odvozena od šířky pásma linky Kořenový port (Root Port) Označuje linky připojené ke kořenovému mostu (nejkratší trasu ke kořenovému mostu)
Designated Port Určený port Port, u kterého byly zjištěny nejnižší náklady (cena) Je určen pro přeposílání rámců
Non-designated Port Neurčený port Má vyšší náklady než určený port Není určen pro přeposílání rámců
Forwarding Port Předávací port, přeposílá rámce
Blocking Port Blokovaný port, nepřeposílá rámce
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
16
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
Root Bridge Designated Port
F0/2
Trunk 3
S2
S3
F0/1 Root Port
F0/2
F0/1 Designated Port
Non - Designated Port Trunk 2
Trunk 1
F0/1 Root Port
F0/2 Designated Port
S1
Druhy STP
CST
Common Spanning Tree
IEEE 802.1d pro všechny VLANy jediná instance STP
PVST
Per-VLAN Spanning Tree
IEEE 802.1d
PVST+ Per-VLAN Spanning Tree + RSTP
IEEE 802.1d používá 802.1q trunk rychlá konvergence (cca 1s), revizí 2004 sloučen do 802.1d
Rapid Spanning Tree Protocol
IEEE 802.1w
Rapid Per-VLAN Spanning Tree
IEEE 802.1w RST běží pro každou VLANu zvlášť
RPVST+ +
MSTP
pro každou VLANu samostatná instance STP, používá ISL trunk
rychlé jako RST, umožňuje mapovat několik Multiple Spanning Tree Protocol IEEE 802.1s VLAN do jedné STP instance, běží nad RSTP, revizí 2003 sloučen do 802.1q
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
17
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
Činnost STP Výběr kořenového mostu (Root Bridge) K výběru slouží hodnota ID ID má délku 8 bajtů, obsahuje prioritu (defaultně 32 768) + MAC adresu Pokud mají dva přepínače stejnou prioritu, pro volbu kořenové ho mostu se používá MAC adresa Kořenovým mostem se stává ten přepínač, jehož MAC adresa je nižší
ID 32 769 MAC 0090.2BDC.5D83
S2
ID 32 769 MAC 0007.ECD6.68C7
S3
S3#show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 32769 Address 0007.ECD6.68C7 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) Address 0007.ECD6.68C7 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
18
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
S2#show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 32769 Address 0007.ECD6.68C7 Cost 19 Port 2(FastEthernet0/2) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) Address 0090.2BDC.5D83 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20
Změny kořenového mostu lze dosáhnout změnou priority zvoleného přepínače S2(config)#spanning-tree vlan 1 priority 4096
S2#show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 4097 Address 0090.2BDC.5D83 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 4097 (priority 4096 sys-id-ext 1) Address 0090.2BDC.5D83 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20
Stavy portů protokolu STP Blocking (Blokování) Blokování portu zabraňuje vzniku smyček Blokovaný port nepředává rámce Naslouchá datovým jednotkám přemosťovacího protokolu (BPDU) V tomto stavu jsou defaultně všechny porty po zapnutí přepínače
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
19
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Listening (Naslouchání) Naslouchá datovým jednotkám přemosťovacího protokolu (BPDU) Je připraven k předání datových rámců bez zaplnění tabulky MAC adres Learning (Zjišťování) Naslouchá datovým jednotkám přemosťovacího protokolu (BPDU) Zjišťuje všechny trasy v přepínané síti Vyplňuje tabulku MAC adres Nepředává datové rámce Přechod z režimu Listening do režimu Learning = zpoždění předávání (Forward Delay), standardně je nastaveno na 15 s Forwarding (Předávání) Port odesílá a přijímá všechny datové rámce na přemostěném portu Disabled (Zakázán) Port v tomto stavu nefunguje Byl administrativně odstaven
Konvergence Stav konvergence nastává, když jsou všechny porty přepínačů v režimu předávání nebo blokování Během dosahování stavu konvergence nedochází k přenosu hostitelských dat (nepřenášejí se datové rámce) V tomto stavu mají všechna zařízení stejnou databázi
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
20
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
Funkce PortFast protokolu STP Přechod z režimu blokování do režimu předávání trvá 50 sekund To může způsobit například problémy při získávání IP adres z DHCP serveru (konvergence STP může trvat za běžných podmínek tak dlouho, že mezitím vyprší časový limit požadavku DHCP) Použití této funkce urychlí STP konvergenci, ale vyžaduje zvýšenou opatrnost (musíme si být jistí, že při vypnutí STP na daném portu nemůže vzniknout smyčka) Na trunk portech mezi přepínači se obvykle funkce PortFast nepoužívá S2(config)#interface fa0/1 S2(config-if)#spanning-tree portfast %Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc... to this interface when portfast is enabled, can cause temporary bridging loops. Use with CAUTION %Portfast has been configured on FastEthernet0/1 but will only have effect when the interface is in a non-trunking mode.
Konfigurace více portů současně (porty fa0/1 až fa0/12) S2(config)#interface range fa0/1 - 12 S2(config-if-range)#spanning-tree portfast
BPDUGuard Používá se v kombinaci s příkazem PortFast Ochraňuje port, který je určen pro koncovou stanici nebo server Pokud na tento port přijde BPDU, port se vypne (error-disable)
BPDUFilter Slouží k filtrování STP provozu na portech určených pro koncovou stanici nebo server Zabrání přijímání a odesílání BPDU paketů
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
21
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
Switch(config)#int f0/1 Switch(config-if)#spanning-tree bpduguard enable Switch(config-if)#%SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/1 with BPDU Guard enabled. Disabling port. Switch(config-if)#spanning-tree bpdufilter enable
Funkce UplinkFast protokolu STP Zkracuje čas konvergence STP v případě selhání linky (přepínač může najít alternativní trasy před výpadkem primárního spojení) Lze použít tehdy, pokud má přepínač alespoň jeden alternativní nebo záložní kořenový port (ve stavu blokování) Používá se u přepínačů přístupové vrstvy Switch(config)#spanning-tree uplinkfast
Funkce BackboneFast protokolu STP Používá se k urychlení konvergence v případě, že dojde k selhání linky, jež není přímo připojená k přepínači Umožňuje detekci nepřímých výpadků linky Urychluje začátek rekonfigurace protokolu STP až o 20 sekund Switch(config)#spanning-tree backbonefast
Protokol RSTP (Rapid Spanning Tree Protocol) Původní protokol STP podle standardu IEEE 802.1d je proprietárním protokolem firmy Cisco Protokol RSTP podle standardu IEEE802.1w je kompatibilní pro přepínače i od jiných výrobců
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
22
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
Pro správnou funkci musí být nastaven na všech přepínačích v dané síti Řeší problémy původního STP protokolu s rychlostí konvergence
Switch(config)#spanning-tree mode rapid-pvst Switch(config)#do show spanning-tree VLAN0001 Spanning tree enabled protocol rstp Root ID Priority 32769 Address 0007.ECD6.68C7 Cost 19 Port 1(FastEthernet0/1) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) Address 00D0.BCC9.7D3C Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20 Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- -------------------------------Fa0/1 Root FWD 19 128.1 P2p Fa0/2 Altn BLK 19 128.2 P2p
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
23
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
4. Virtuální sítě LAN (VLAN)
Úvod do problematiky VLAN Bez použití VLAN Do jedné skupiny počítačů patří ty, které jsou připojené na jeden přepínač (například na jednom patře budovy) Počítače dané skupiny připojené na daný přepínač tvoří jednu broadcast doménu Každé oddělení má svou síť s jinou adresou Jednotlivé sítě jsou spojeny přes směrovač
Studenti
Učitelé
Administrativa
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
24
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 S použitím VLAN Skupiny lze vytvářet libovolně bez vazby na přepínač (na témže přepínači lze použít různé porty pro různé VLANy) Vytvoření VLAN umožňuje dělit síť logicky podle funkce, druhu uživatelů nebo používaných aplikací, nejen podle fyzického a prostorového uspořádání Výhody Změny v síti (přidávání, přesuny stanic) lze provést pouze konfigurací portu do příslušné VLAN Sítě VLAN značně posilují zabezpečení sítě (skupinu uživatelů, kteří vyžadují mimořádnou úroveň zabezpečení, lze přesunout do vlastní VLAN) VLANy zvyšují počet všesměrových domén a snižují jejich velikost (každý broadcast se šíří pouze v rámci dané VLANy)
Studenti
Učitelé
Administrativa
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
25
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
Druhy VLAN Statická VLAN Porty se ručně přiřadí do VLAN Nejobvyklejší a nejbezpečnější způsob konfigurace Statické VLAN se konfigurují pomocí příkazového řádku nebo pomocí grafického rozhraní Dynamická VLAN Porty se přiřazují automaticky podle MAC adresy Porty přiřazuje VLAN server (VMPS – VLAN Membership Policy Server) Když se stanice přestěhuje na jiný port nebo dokonce switch, server automaticky přiřadí port správné VLAN Hlasová VLAN Port se konfiguruje tak, aby podporoval IP telefon Nejdřív musíme vytvořit jednu VLAN pro hlas a druhou pro data Síť musí být konfigurována tak, aby hlasový provoz přenášela přednostně Když poprvé připojíme VoIP telefon k portu v hlasovém módu, přepínač poskytne telefonu VLAN ID a konfiguraci Telefon pak označuje svoje rámce tímto přiděleným ID a síť hlasové rámce přenáší po hlasové VLAN VLAN 1 Defaultní VLAN, patří do ní všechny porty přepínače, pokud nejsou nakonfigurovány jiné VLAN Nelze ji změnit ani odstranit Slouží jako nativní síť všech přepínačů Cisco doporučuje, aby byla tato síť používána pro administrativní účely
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
26
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
Konfigurace statické VLAN Pokud nejsou VLAN nakonfigurovány, všechny porty patří do VLAN1 Switch#show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig1/1, Gig1/2
Vytvoření tří samostatných sítí VLAN (VLAN s identifikátorem 2 a se jménem Ucitele, VLAN s identifikátorem 3 a se jménem Studenti a VLAN s identifikátorem 4 a se jménem Administrativa) Switch(config)#vlan 2 Switch(config-vlan)#name Ucitele Switch(config-vlan)#vlan 3 Switch(config-vlan)#name Studenti Switch(config-vlan)#vlan 4 Switch(config-vlan)#name Administrativa
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
27
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
Switch#show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4 Fa0/5, Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig1/1, Gig1/2 2 Ucitele active 3 Studenti active 4 Administrativa active
Přiřazení portů přepínače do sítí VLAN Pro přiřazení více portů najednou lze použít příkaz interface range Switch(config)#interface fastethernet0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 2 Switch(config-if)#int fa0/2 Switch(config-if)#sw mode access Switch(config-if)#sw access vlan 2 . . . Switch(config-if)#int fa0/12 Switch(config-if)#sw mode access Switch(config-if)#sw access vlan 4
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
28
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
Switch#show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/13, Fa0/14, Fa0/15, Fa0/16 Fa0/17, Fa0/18, Fa0/19, Fa0/20 Fa0/21, Fa0/22, Fa0/23, Fa0/24 Gig1/1, Gig1/2 2 Ucitele active Fa0/1, Fa0/2, Fa0/3, Fa0/4 3 Studenti active Fa0/5, Fa0/6, Fa0/7, Fa0/8 4 Administrativa active Fa0/9, Fa0/10, Fa0/11, Fa0/12
Druhy portů Přístupové porty (Access Ports) Patří do jediné sítě VLAN, přenášejí provoz pouze této sítě Provoz se přijímá a odesílá v nativním formátu (bez značkování) Trunkové porty Dvoubodové spojení mezi přepínači, přepínačem a směrovačem nebo přepínačem a serverem, které přenáší provoz do více různých sítí VLAN
Bez trunků Pro každou VLAN musí být mezi přepínači jeden fyzický spoj a na každém přepínači jeden port, protože běžné porty v módu access je možno přiřadit jen do jedné VLAN → na každém přepínači je třeba vyhradit port pro každou VLAN
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
29
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
VLAN20 – Studenti 172.17.20.22/24
VLAN30 – Učitelé VLAN10 – Administrativa 172.17.30.23/24 172.17.10.25/24
S trunky Pro všechny VLANy stačí jeden společný spoj ( = trunk)
VLAN20 – Studenti 172.17.20.22/24
VLAN30 – Učitelé VLAN10 – Administrativa 172.17.30.23/24 172.17.10.25/24
Konfigurace trunkových portů Switch(config)#int fa0/16 Switch(config-if)#switchport mode trunk %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/16, changed state to up
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
30
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
DTP (Dynamic Trunking Protocol) Pro přepínače firmy Cisco
F0/1 switchport mode trunk
F0/3
S1
switchport mode dynamic auto
F0/1
F0/3
switchport mode trunk
switchport mode dynamic auto
S2
S3
Switchport mode trunk Převede rozhraní do trvalého trunkového režimu a vyjedná převod sousední linky na trunkovou Zůstává trvale v trunking módu Switchport mode dynamic auto Dokáže převést linku na trunkovou Rozhraní se změní na trunk, jestliže je sousední rozhraní nastaveno do režimu trunk nebo desirable Výchozí režim u všech nových Cisco přepínačů
Switchport mode dynamic desirable Rozhraní se aktivně pokusí převést linku na trunkovou, pokud je sousední rozhraní nastaveno do trunkového, desirable nebo dynamic auto režimu
Switchport negotiate Zabrání generování rámců DTP rozhraním Používá se, pokud je rozhraní nastaveno jako access nebo trunk
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
31
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
Značkování rámců (Frame Tagging) Tato metoda každému rámci přiřazuje jedinečnou uživatelsky definovanou hodnotu ID Když PC z datové VLAN vyšle datový rámec, je tento rámec označen značkou VLAN ID Tato značka určuje, do které VLAN rámec patří Přepínač po doručení rámce zjistí ID sítě VLAN Ve filtrovací tabulce určí, zda se rámec předá na další přepínač přes trunk nebo zda se pošle na přístupový port Pokud má být rámec předán na přístupový port, odstraní přepínač identifikátor sítě VLAN V případě, že by nebyl identifikátor odstraněn, rámec by byl zahozen
Metody identifikace VLAN Inter-Switch Link Dovoluje explicitně značkovat informace sítě VLAN do rámce Ethernet Externí metoda zapouzdření (ISL) Zapouzdřuje datový rámec s novým záhlavím a kontrolním součtem CRC (Cyclic Redundancy Check) Pouze u přepínačů Cisco u spojů FastEthernet a GigabitEthernet
IEEE 802.1Q Standardní metoda značkování rámců Do rámce vkládá pole identifikující VLAN Postup - určíme všechny porty, které se budou používat jako trunk se zapouzdřením 802.1Q, ke konkrétnímu ID přiřadíme VLAN, takže slouží jako nativní síť VLAN Porty, které patří do stejné trunkové linky, vytvářejí skupinu v rámci této nativní sítě VLAN Každý port je pak označen odpovídajícím identifikačním číslem (jako výchozí se používá VLAN1)
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
32
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Přepínače Cisco Catalyst řady 2960 jsou kompatibilní pouze s protokolem 802.1Q Přepínače Cisco Catalyst 3560 poskytují služby vrstvy 3 a podporují metody zapouzdření ISL i 802.1Q Switch(config)#int fa0/16 Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk
Definování povolených/zakázaných sítí VLAN u trunkové linky (na portu fa0/16 je nakonfigurována trunková linka, tento port zahodí veškerý odeslaný a přijatý provoz sítě VLAN 4) Switch(config-if)#switchport trunk allowed vlan remove 4
Pokud chceme odstranit rozsah sítí VLAN Switch(config-if)#switchport trunk allowed vlan remove 2-4
Obnovení výchozího nastavení – povolení všech VLAN Switch(config-if)#switchport trunk allowed vlan all
Jiná varianta obnovení výchozího nastavení Switch(config-if)#no switchport trunk allowed vlan
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
33
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
Změny nebo úpravy nativní trunkové sítě VLAN Změna čísla nativní VLAN se někdy provádí z bezpečnostních důvodů Switch(config)#int fa0/16 Switch(config-if)#sw mode trunk Switch(config-if)#sw trunk native vlan 40
Switch#show running-config Building configuration... Current configuration : 1093 bytes ! . . . interface FastEthernet0/16 switchport trunk native vlan 40 switchport mode trunk
Stejná nativní VLAN musí být nastavena na všech trunkových linkách, jinak se začne objevovat následující chyba %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/16 (40), with Switch FastEthernet0/1 (1).
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
34
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
5. Protokol VTP (VLAN Trunking Protocol) Umožňuje přidávat a odstraňovat sítě VLAN a měnit jejich názvy Konfiguraci provedeme pouze na jednom přepínači (server) Příslušné informace pak šíří ostatním přepínačům v doméně VTP
VTP server
VLAN30
F0/1
F0/3
VLAN30
VLAN30
F0/1
F0/3
S3
Režimy činnosti VTP Server Na serveru můžeme tvořit, měnit a mazat VLAN Všechny změny pak server přeposílá ostatním přepínačům Když dostane odjinud zprávu o změně VLAN, vezme ji na vědomí, uloží si ji a zachová se podle ní Informace ukládá do NVRAM V každé doméně musí být alespoň jeden server Defaultní nastavení přepínače je server
Klient Řídí se konfigurací, kterou dostane od jiných přepínačů Vhodné pro přepínače, které nemají dost paměti na uložení rozsáhlých informací o VLAN Informace ukládá pouze do paměti do RAM
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
35
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Transparent (průhledný) Do sítě ostatních přepínačů a jejich VLAN vůbec nepatří, nečte jejich zprávy, neřídí se jimi, pouze přeposílá informace
VTP domény VTP doména se skládá z několika přepínačů, kterým bylo přiděleno jméno stejné domény Slouží k usnadnění správy sítě (případná chyba se šíří jen po hranice domény) Nové VLAN na VTP serveru lze vytvářet až po přidělení jména domény
VTP doména 1
VTP doména 2
Redukce VTP (Pruning) Zabrání odesílání zbytečných paketů (broadcast, multicast, neznámé) na přepínače, kde není žádný port v dané VLAN a ani přes něj nevede funkční cesta dál Příklad - S2 neposílá pakety pro VLAN10 doprava, protože ví, že tam už žádné počítače připojené na VLAN10 nejsou
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
36
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
VLAN10 F0/1
172.17.10.21
F0/18
VLAN20 172.17.20.22
VLAN20
S1
F0/1
F0/3
F0/3
172.17.20.24
F0/18
VLAN20
F0/11
F0/11
S2
S3
F0/6
172.17.20.25
F0/6
VLAN20
VLAN10
172.17.20.26
172.17.10.23
Konfigurace protokolu VTP Všechny přepínače Cisco jsou ve výchozím nastavení nakonfigurovány jako servery VTP Pokud chceme nastavit protokol VTP, nejprve musíme nakonfigurovat příslušný název domény (kromě názvu lze nastavit i heslo, provozní režim, funkce pruning) Switch1(config)#vtp mode server Device mode already VTP SERVER. Switch1(config)#vtp domain Skola Changing VTP domain name from NULL to Skola Switch1(config)#vtp password class Setting device VLAN database password to class
Switch1(config)#do show vtp status VTP Version :2 Configuration Revision :0 Maximum VLANs supported locally : 255 Number of existing VLANs :5 VTP Operating Mode : Server VTP Domain Name : Skola VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0x42 0x18 0x69 0x20 0x16 0xEB 0xD0 0x1B Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00 Local updater ID is 0.0.0.0 (no valid interface found)
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
37
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 V názvech domén protokolu VTP se rozlišují velká a malá písmena Konfigurace druhého přepínače jako klienta Switch2(config)#vtp mode client Setting device to VTP CLIENT mode. Switch2(config)#vtp domain Skola Domain name already set to Skola. Switch2(config)#vtp password class Setting device VLAN database password to class
Switch2(config)#do show vtp status VTP Version :2 Configuration Revision :0 Maximum VLANs supported locally : 255 Number of existing VLANs :5 VTP Operating Mode : Client VTP Domain Name : Skola VTP Pruning Mode : Disabled VTP V2 Mode : Disabled VTP Traps Generation : Disabled MD5 digest : 0x42 0x18 0x69 0x20 0x16 0xEB 0xD0 0x1B Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00
VLAN byly nakonfigurovány na přepínači Switch1, který je nastaven jako server (kráceno) Switch1#sh vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/13, Fa0/14, Fa0/15, Fa0/17 Fa0/18, Fa0/19, Fa0/20, Fa0/21 Fa0/22, Fa0/23, Fa0/24, Gig1/1 Gig1/2 2 Ucitele active Fa0/1, Fa0/2, Fa0/3, Fa0/4 3 Studenti active Fa0/5, Fa0/6, Fa0/7, Fa0/8 4 Administrativa active Fa0/9, Fa0/10, Fa0/11, Fa0/12
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
38
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Stejné VLAN se objeví i na druhém přepínači Switch2 (kráceno) Switch2#sh vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/8, Fa0/9 Fa0/10, Fa0/11, Fa0/12, Fa0/13 Fa0/14, Fa0/15, Fa0/16, Fa0/17 Fa0/18, Fa0/19, Fa0/20, Fa0/21 Fa0/22, Fa0/23, Fa0/24, Gig1/1 Gig1/2 2 Ucitele active 3 Studenti active 4 Administrativa active
VTP je užitečný při udržování konzistentních názvů sítí VLAN v rámci přepínané sítě
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
39
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
6. Směrování mezi VLANy (Inter-VLAN Routing) Koncová zařízení mezi sebou mohou na úrovni 2.vrstvy komunikovat v rámci společné VLAN Pokud chceme realizovat komunikaci mezi VLANy, je nutné do sítě zapojit směrovač a komunikaci uskutečňovat na úrovni 3. vrstvy Klasické připojení Pro každou VLAN připojenou k routeru by musela být samostatná linka a samostatné rozhraní ( = fyzický konektor) na routeru Router má obvykle velmi omezený počet ethernetových rozhraní (umožňuje připojit jen omezený počet VLAN)
Router-on-a-Stick Všechny VLANy jsou k routeru připojené jedinou linkou přes jediné rozhraní Toto rozhraní je virtuálně rozděleno na tolik podrozhraní (subinterfaces) kolik je VLANů. Jednotlivá podrozhraní se označují například fastethernet 0/0.1, fastethernet 0/0.2 ….
F0/0 F0/16
F0/5
VLAN 3 – Studenti
CZ.1.07/2.1.00/32.0045
F0/1 F0/17
F0/1
VLAN 2 – Učitelé
Trunk
F0/5
VLAN 3 – Studenti
ICT moderně a prakticky
F0/0 F0/16
F0/1
VLAN 2 – Učitelé
40
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
Konfigurace směrování mezi různými VLANy
Gig0/0
Subinterface: Gig0/0.2 172.16.2.1/24 Gig0/0.3 172.16.3.1/24 Gig0/0.4 172.16.4.1/24
Trunk
Gig1/1 VLAN 1 – default 172.16.1.2/24 Brána 172.16.12.1
F0/9
F0/1 F0/5
VLAN 2 – Učitelé 172.16.2.2/24 Brána 172.16.2.1
VLAN 3 – Studenti VLAN 4 – Administrativa 172.16.3.2/24 172.16.4.2/24 Brána 172.16.3.1 Brána 172.16.4.1
Konfigurace přepínače Nastavíme IP adresu a bránu pro VLAN 1 Switch1(config)#int vlan 1 Switch1(config-if)#ip address 172.16.1.2 255.255.255.0 Switch1(config-if)#ip default-gateway 172.16.1.1 Switch1(config-if)#no shutdown
Rozhraní Gig1/1 nastavíme jako trunk Switch1(config)#int gig1/1 Switch1(config-if)#sw mode trunk
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
41
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Vytvoříme VLANy Ucitele, Studenti a Administrativa a do každé z nich přiřadíme čtyři po sobě následující porty Switch(config)#vlan 2 Switch(config-vlan)#name Ucitele Switch(config-vlan)#vlan 3 Switch(config-vlan)#name Studenti Switch(config-vlan)#vlan 4 Switch(config-vlan)#name Administrativa Switch(config-vlan)#exit Switch(config)#int range fa0/1 -4 Switch(config-if-range)#sw mode access Switch(config-if-range)#sw access vlan 2 Switch(config-if-range)#exit Switch(config)#int range fa0/5 - 8 Switch(config-if-range)#sw mode access Switch(config-if-range)#sw access vlan 3 Switch(config-if-range)#exit Switch(config)#int range fa0/9 - 12 Switch(config-if-range)#sw mode access Switch(config-if-range)#sw access vlan 4
Ověříme konfiguraci přepínače (značně kráceno) Switch1#sh run Building configuration... ... interface FastEthernet0/1 switchport access vlan 2 switchport mode access ... interface FastEthernet0/9 switchport access vlan 4 switchport mode access ... interface GigabitEthernet1/1 switchport mode trunk ... interface Vlan1 ip address 172.16.1.2 255.255.255.0 ! ip default-gateway 172.16.1.1
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
42
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Konfigurace směrovače Každé z logických rozhraní musí mít takovou IP adresu, aby patřilo do stejné VLAN jako příslušné stanice Danému rozhraní musíme definovat typ označování rámců (dot1q) a přidat popis, do které VLAN rozhraní patří Nastavení rozhraní pro VLAN 1 Router(config)#interface GigabitEthernet0/0 Router(config-if)#ip address 172.16.1.1 255.255.255.0 Router(config-if)#no shutdown
Rozhraní 0/0.2 bude směrovat tok dat do virtuální sítě VLAN 2, proto musí mít stejnou adresu sítě jako tato VLAN (Ucitele) Router(config)#int gig0/0.2 Router(config-subif)#encapsulation dot1q 2 Router(config-subif)#ip address 172.16.2.1 255.255.255.0
Rozhraní 0/0.3 bude směrovat tok dat do virtuální sítě VLAN 3, proto musí mít stejnou adresu sítě jako tato VLAN (Studenti) Router(config)#int gig0/0.3 Router(config-subif)#encapsulation dot1q 3 Router(config-subif)#ip address 172.16.3.1 255.255.255.0
Rozhraní 0/0.4 bude směrovat tok dat do virtuální sítě VLAN 4, proto musí mít stejnou adresu sítě jako tato VLAN (Administrativa) Router(config)#int gig0/0.4 Router(config-subif)#encapsulation dot1q 4 Router(config-subif)#ip address 172.16.4.1 255.255.255.0
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
43
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Kontrola konfigurace routeru Router#sh run Building configuration... . interface GigabitEthernet0/0 ip address 172.16.1.1 255.255.255.0 duplex auto speed auto ! interface GigabitEthernet0/0.2 encapsulation dot1Q 2 ip address 172.16.2.1 255.255.255.0 ! interface GigabitEthernet0/0.3 encapsulation dot1Q 3 ip address 172.16.3.1 255.255.255.0 ! interface GigabitEthernet0/0.4 encapsulation dot1Q 4 ip address 172.16.4.1 255.255.255.0
IP adresy, masky a brány jednotlivým počítačům nastavíme dle obrázku Nastavení PC ve VLAN Ucitele
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
44
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
7. Bezdrátové technologie – WiFi WLAN (Wireless LAN) – bezdrátové LAN
Druhy mikrovlnné spoje (Wi-Fi, Bluetooth) IR spoje (300 – 428THz) Vlastnosti Nevyžaduje kabeláž – prvky sítě spolu komunikují prostřednictvím rádiového signálu o určité frekvenci Výhody Rychlá a snadná realizace datové sítě bez nutnosti pokládky kabelů Mobilita účastníků, flexibilita a snadná rozšiřitelnost sítě
Technologie WiFi Frekvenční pásma Použití rádiových frekvenčních pásem podléhá regulaci ČTU (Český telekomunikační úřad). Nelicencované pásmo (ISM - Industrial Scientific and Medical). 2,4 až 2,4835 GHz 5 až 5,825 GHz IEEE specifikovalo standard bezdrátové sítě pracující v pásmu ISM pod číslem 802.11 (definuje pouze dvě nejnižší vrstvy OSI modelu – fyzickou a spojovou)
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
45
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Přehled základních standardů 802.11 pro bezdrátové sítě
Protokol
Maximální rychlost Frekvence Zveřejněn přenosu [GHz] dat [Mbps]
Modulace
Přibližný Přibližný dosah na dosah v volném budovách prostranství [m] [m]
802.11
1997
2,4
2
DSSS, FHSS
20
100
802.11a
1999
5
54
OFDM
35
120
802.11b
1999
2,4
11
DSSS
35
140
802.11g
2003
2,4
54
OFDM, DSSS
38
140
802.11n
2009
2,4 a 5
600
OFDM-MIMO
70
250
Vysílání v rozprostřeném spektru Pomocí matematických funkcí se signál na vysílači rozptýlí do širokého frekvenčního bloku, přijímač opačnou operací převede signál zpět na úzkopásmový Výhoda – eliminace interferencí úzkopásmových zdrojů Techniky rozprostřeného spektra FHSS (Frequency Hopping Spread Spectrum) - systém s rozprostřeným spektrem a kmitočtovým skákáním DSSS (Direct Sequence Spread Spectrum) - systém s rozprostřeným spektrem s přímou sekvencí OFDM (Othogonal Frequency Division Multiplexing) – ortogonální multiplex s kmitočtovým dělením OFDM - MIMO (Multiple Input, Multiple Output) – multianténní komunikační systém využívající techniku OFDM
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
46
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Přehled všech standardů 802.11
Standard
Stručná charakteristika
IEEE 802.11a
standard 54 Mbps, 5GHz
IEEE 802.11b
rozšíření základního standardu 802.11 o podporu rychlosti 5,5 a 11Mbps
IEEE 802.11c
procedury fungování mostu, zahrnuto v IEEE 802.11d
IEEE 802.11d
rozšíření o mezinárodní roaming
IEEE 802.11e
technologie QoS (Quality of service)
IEEE 802.11F
protokol IAPP (Inter-Access Point Protocol)
IEEE 802.11g
standard 54 Mbps, 2,4GHz, zpětně kompatibilní s 802.11b
IEEE 802.11h
technologie DFS (Dynamic Frequency Selection) a TPC na frekvenci 5GHz
IEEE 802.11i
vylepšené zabezpečení
IEEE 802.11j
rozšíření pro veřejné zabezpečení v Japonsku a USA
IEEE 802.11k
rozšíření pro měření rádiových prostředků
IEEE 802.11m
údržba standardu, drobné dodatky
IEEE 802.11n
vyšší propustnost pomocí antén MIMO (Multiple Input, Multiple Output)
IEEE 802.11p
WAVE (Wireless Access for the Vehicular Enviroment)
IEEE 802.11r
rychlý roaming
IEEE 802.11s
topologické sítě typu ESS (Extended Service Set)
IEEE 802.11T
WPP (Wireless Performance Prediction)
IEEE 802.11u
propojení se sítěmi jiného typu než 802 (např. mobilními)
IEEE 802.11v
správa bezdrátové sítě
IEEE 802.11w
chráněné rámce pro správu
IEEE 802.11y
provoz 3650 - 3700 v USA
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
47
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
Komponenty bezdrátových sítí Aktivní prvky Access Point (AP) - přístupový bod, řídící stanice pro klienty, rádiový „server“ Wireless Bridge - bezdrátový most, spojuje dvě LAN Wireless Router - oproti bridge umí spojit i různé sítě, mívá Ethernet Switch Interní karty (PCI,PCMCIA) - umožňují klientské funkce (připojení k AP) Pasivní prvky Kabely - propojení antény a WiFi zařízení, používají se kabely s impedancí 50Ω Konektory - přechodová ztráta se udává v dB/jeden spoj (typy N, R-SMA, TNC, ….) Antény – všesměrové (svislý dipól, malý zisk), sektorové (Quad, 4Quad, Trell, pokrytí 60-120°), směrové (parabolické, vysoký zisk)
Druhy útoků na WiFi síť Volný přístup k Internetu přes nezabezpečenou síť Zneužití soukromých informací Neoprávněné AP v síti, které mohou zachycovat komunikaci klientů, jejich MAC adresy, stahovat soubory ze serveru Útoky typu Man-in-the Middle Odmítnutí služby (DoS, DDoS)
Zabezpečení WiFi sítí SSID (Service Set IDentifier) – jedinečný identifikátor bezdrátové WiFi sítěFiltrování pomocí MAC adres WEP (Wired Equivalent Privacy) - klíč dlouhý 40 (+ 24 = 64) nebo 104 (+ 24 = 128) nebo 232 (+ 24 = 256) bitů, 24b inicializační vektor (IV) WPA (WiFi Protected Access) a 802.11-šifruje pomocí dynamického klíče TKIP CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
48
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
Komunikace klient – AP AP (Access Point) – přístupový bod AP vysílá pravidelně svůj identifikátor (SSID) v takzvaném majákovém rámci a klienti si tam mohou vybrat, ke které bezdrátové síti se připojí
AP
Průzkum (Probing)
SSID Podporované rychlosti
AP
SSID Podporované rychlosti Zabezpečení
Ověření komunikujících stran (Authentication)
Spojení (otevřené, šifrované) Sdílený klíč (pro šifrované)
AP
Typ spojení Klíč „Úspěšné/neúspěšné“
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
49
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Připojení (Association)
MAC klienta BSSID (MAC AP) ESSID
AP
„Úspěšné/neúspěšné“ AID (Association IDentifier)
Přístupová metoda CSMA/CA Protokol CSMA/CA (Carrier Sense, Multiple Access with Collision Avoidance) – metoda mnohonásobného přístupu se zamezením kolizí Odesílatel pošle RTS (Request to Send) s adresou cíle a předpokládanou délkou vysílání Na základě RTS se v každém uzlu vypočítá NAV (Network Allocation Vector) – počítadlo, jak dlouho bude médium obsazené příjemce odpovídá vysláním CTS (Clear to Send) a potvrdí délku přenosu vysílající posílá data cílová stanice je potvrdí ACK (Acknowledge) kolize nastávají jen u RTS, zbytek je časově plánován
AP
RTS CTS data
čas
čas
ACK
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
50
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
Konfigurace bezdrátové datové sítě – příklad Konfigurace WiFi routeru přes webové rozhraní Do vyhledávače zadáme pro daný WiFi router IP adresu 10.0.0.138 a vyplníme přihlašovací jméno a heslo Základní nastavení
Filtrování na základě MAC adres
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
51
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Nastavení zabezpečení
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
52
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Nastavení dalších parametrů
Připojení stanice do WiFi sítě Nabídka Start → Ovládací panely → Centrum síťových připojení a sdílení Připojit k síti – v novém okně se objeví všechny bezdrátové sítě v dosahu stanice (jejich SSID a síla signálu) Po najetí myší na příslušný řádek se zobrazí rámeček s podrobnějšími informacemi
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
53
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
54
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
8. Otázky k procvičení Kapitola 1 1. Uveďte alespoň tři výhody hierarchického modelu sítí LAN 2. V čem spočívá redundance v sítích LAN? 3. Uveďte způsoby zabezpečení v sítích LAN (alespoň 2). 4. Co znamená při návrhu sítí LAN pojem Network Diameter? 5. Co znamenají zkratky PoE, SAN a QoS? 6. Vysvětlete rozdíl mezi symetrickým a asymetrickým přepínáním. Kapitola 2 7. Přepínače v režimu „ulož a pošli“ (U) a „průběžné zpracování“ (P). Uveďte, která charakteristika patří příslušnému režimu Chybné rámce jsou přepínačem zničeny …………. Přeposílá rámce na výstupní port aniž by dokončil jeho příjem …………… Rámce se celé načtou a uloží …………. 8. Uveďte konfigurační režimy přepínače podle začátku CLI Switch> Switch# Switch(config)# Switch(config-if)# 9. Popište, co udělá přepínač, když bdrží rámec s neznámou MAC adresou . 10. Popište, co udělá přepínač,kdyžobdrží rámec se známou MAC adresou 11. Popište, co udělá přepínač, kdyžbdrží rámec s MAC adresou, kterou nemá ve své přepínací tabulce 12. Vysvětlete, jaký je rozdíl mezi statickou, dynamickou a sticky MAC adresou. Kapitola 3 13. Zkratka VLAN znamená ………………………………… 14. Uveďte důvody, proč se zavádějí VLAN (alespoň 2). 15. Jaké znáte druhy VLAN? 16. Vysvětlete pojem statická a dynamická VLAN 17. K čemu slouží VMPS (VLAN Server)? 18. Co je to trunk? K čemu slouží VLAN ID? 19. Co je to DTP? 20. V jakých módech se mohou nacházet porty přepínače CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
55
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
Kapitola 4 21. Zkratka VTP znamená ………………………………………… 22. K čemu VTP slouží? 23. Co je to doména? 24. Jakým způsobem se při konfiguraci vytvoří doména? 25. Z jakého důvodu se domény vytvářejí? 26. Do jakých režimů může být nastaven přepínač? (uveďte 3) 27. V jakém režimu je přepínač v defaultním nastavení? 28. V jakém režimu ukládá svou konfiguraci do NVRAM? 29. V jakém režimu ukládá konfiguraci pouze do RAM? 30. K čemu slouží Configuration Revision? Jakým způsobem ho lze vynulovat? 31. Jaké znáte druhy oznámení? 32. Co je to pruning mode? Kapitola 5 33. Spanning tree protocol slouží k ……………………………………. 34. Co je to redundance sítě LAN? V čem spočívá její výhoda? 35. Jaké problémy v síti může redundance způsobit? (uveď 2) 36. Co je to Root Bridge? 37. V jakých režimech se může nacházet port přepínače? 38. Uveďte tři kroky STP konvervence a stručně je popište Kapitola 6 39. Pokud jsou všechny VLANy připojeny k routeru jedinou linkou přes jediné rozhraní, nazývá se toto propojení routeru do LAN ……… 40. Lze provádět směrování mezi VLANy pouze za použití switchů? 41. Co je subinterface? 42. Uveďte alespoň tři výhody vytvoření subinterface oproti fyzickému řešení (každá VLAN má vlastní fyzické rozhraní) Kapitola 7 43. Jaký standard definuje WiFi sítě a jeké jsou jego alternativy? 44. K čemu slouží access point? 45. Jaké druhy antén lze použít pro WiFi sítě? Která z nich má největší zisk? 46. Co je Fresnelova zóna? 47. Vysvětlete zkratku SSID 48. V jakých třech základních krocích probíhá navázání komunikace klient-AP? 49. Uveďte druhy útoků na WiFi síť (alespoň 2) 50. Jaké znáte způsoby zabezpečení WiFi sítí (alespoň 2)
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
56
SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402 Doporučená literatura a zdroje informací 1.
Rita Pužmanová: TCP/IP v kostce, 1. vydání, KOPP,České Budějovice, 2004
2.
Todd Lammle: CCNA Výukový průvodce přípravou na zkoušku 640-802, Computer Press, a.s., Brno, 2010
3.
http://www.samuraj-cz.com/clanek/cisco-ios-9-spanning-tree-protocol/
4.
http://www.samuraj-cz.com/clanek/cisco-ios-7-konfigurace-vlan-vtp/
5.
http://www.samuraj-cz.com/clanek/cisco-ios-18-inter-vlan-routing-a-acl-smerovanimezi-vlany/
6.
http://www.samuraj-cz.com/clanek/novinky-ve-switchich-rady-catalyst-3750x-a-2960s/
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
57