Kategoria: Warstwa Druga modelu OSI

Router on the Stick

Zalety funkcji ROAS

• Działa na wszystkich przełącznikach (L2 oraz L3).
• Umożliwia komunikacje pomiędzy sieciami VLAN.
• Jest prosta w implementacji.

Wady funkcji ROAS

• Ruter stanowi pojedynczy punkt awarii.
• Wykorzystuje jeden link, który może być przeciążony.
• Ramki wielokrotnie pokonują tą samą drogę, przez ten sam link (Przełącznik -> ruter {ruter podejmuje decyzja routingu} ruter -> przełącznik).

Troubleshooting ROAS

• Podczas Troubleshooting-u funkcji ROAS należy sprawdzić czy:
  • Adres IP skonfigurowany na pod-interfejsie należy do odpowiedniej sieci VLAN.
  • Wszystkie używane sieci VLAN są skonfigurowane na przełącznikach.
  • Protokół STP nie blokuje interfejsu podłączonego do rutera.
  • VLAN natywny jest taki sam na przełączniku jak i na ruterze.

Konfiguracja Router on the Stick

Konfiguracja rutera

(config)# interface interfejs

Przechodzi do konfiguracji interfejsu fizycznego.

(config-if)# no shutdown

Włącza interfejs fizyczny.

(config-if)# interface interfejs.numer

Przechodzi do konfiguracji pierwszego pod-interfejsu (Numer pod-interfejsu nie musi być taki sam jak wartość ID obsługiwanego przez niego VLAN-u. Jednak dobrą praktyką jest aby liczby te były takie same, dzięki czemu administrator uniknie pomyłek w przyszłości).

(config-if)# encapsulation {dot1q / isl} VLAN-ID [native]

Określa enkapsulację połączenia Trunk-owego.

W przypadku skonfigurowania pod-interfejsu bez użycia komendy „encapsulation”, interfejs będzie działał w VLAN-ie natywnym (Domyślnie jest to VLAN pierwszy). Pod komenda „native” informuje ruter jaka sieć jest VLAN jest natywna.

(config-if)# ip address adres-IP maska

Przypisuje adres IP, do konfigurowanego pod-interfejsu.

Komendy SHOW

# show vlans

Wyświetla interfejsy wraz z pod-interfejsami skonfigurowanymi do współpracy z sieciami VLAN. Zawiera informację o enkapsulacji pod-interfejsów oraz skonfigurowanym adresie IP.

Pozostałe tematy związane ze wstępem do warstwy drugiej

• Hierarchiczny model sieci
• Zasady działania przełączników
• Rodzaje przełączników
• Budowa fizyczna przełącznika
• Budowa przełącznika L2
• Budowa przełącznika L3
• Pamięć TCAM
• Cisco Express Forwarding
• Troubleshooting przełączników sieciowych
• Multi Layer Switching troubleshooting
• Konfiguracja przełączników sieciowych
• Multi Layer Switch
• Router on the Stick

Troubleshooting wydajności przełącznika

Budowa przełącznika Cisco Catalyst Switch

• Ports – Zarówno fizyczne jak i logiczne interfejsy przełącznika umożliwiają komunikację z innymi urządzeniami.
• Forwarding Logic – Przełączniki zawierają fizyczne komponenty umożliwiające podejmowanie decyzji na temat routingu.
• Backplane – Łączy ze sobą wszystkie interfejsy przełącznika umożliwiając wewnętrzną komunikacje w obrębie jednego urządzenia. Nadchodzące ramki są przesyłane z interfejsu wejściowego (Ingress Port) na interfejs wyjściowy (Egress Port).
• Control Plane – Kontroluje prace systemu IOS tworząc niezbędne struktury (NP. tablice „MAC Address Table”).

Show interface interfejs counters [errors]

• Komenda [show interface interfejs counters] oraz komenda [show interface interfejs counters errors] umożliwia wykrywanie podstawowych błędów związanych z odbieraniem ramek Ethernet-owych.
• Wydruk komendy [show interface interfejs counters errors] wygląda następująco:

# show interfaces fastEthernet 1/0/1 counters errors Port        Align-Err     FCS-Err    Xmit-Err     Rcv-Err  UnderSize  OutDiscards Fa1/0/1        0                  0               0                 0               0                    0 Port      Single-Col  Multi-Col   Late-Col  Excess-Col  Carri-Sen      Runts     Giants Fa1/0/1            0           0                  0                0                 0                  0            0

• Align-Err – An alignment error occurs when frames do not end with an even number of octets, while simultaneously having a bad cyclic redundancy check (CRC). An alignment error normally suggests a Layer 1 issue, such as cabling or port (either switchport or network interface card [NIC] port) issues.
• FCS-Err – A frame check sequence (FCS) error occurs when a frame has an invalid checksum, although the frame has no framing errors. Like the Align-Err error, an FCS-Err often points to a Layer 1 issue, but it also occurs when there is a duplex mismatch.
• Xmit-Err – A transmit error (that is, Xmit-Err) occurs when a port’s transmit buffer overflows. A speed mismatch between inbound and outbound links often results in a transmit error.
• Rcv-Err – A receive error (that is, Rcv-Err) occurs when a port’s receive buffer overflows. Congestion on a switch’s backplane could cause the receive buffer on a port to fill to capacity, as frames await access to the switch’s backplane. However, most likely, a Rcv-Err is indicating a duplex mismatch.
• UnderSize – An undersized frame is a frame with a valid checksum but a size less than 64 bytes. This issue suggests that a connected host is sourcing invalid frame sizes.
• Single-Col – A Single-Col error occurs when a single collision occurs before a port successfully transmits a frame. Common reasons for a Single-Col error include high bandwidth utilization on an attached link or a duplex mismatch.
• Multi-Col – A Multi-Col error occurs when more than one collision occurs before a port successfully transmits a frame. Similar to the Single-Col error, common reasons for a Multi-Col error include high bandwidth utilization on an attached link or a duplex mismatch.
• Late-Cor – A late collision is a collision that is not detected until well after the frame has begun to be forwarded. While a Late-Col error could indicate that the connected cable is too long, this is an extremely common error seen in mismatched duplex conditions.
• Excess-Col – The Excess-Col error occurs when a frame experiences 16 successive collisions, after which the frame is dropped. This error could result from high bandwidth utilization, a duplex mismatch, or too many devices on a segment.
• Carri-Sen – The Carri-Sen counter is incremented when a port wants to send data on a half-duplex link. This is normal and expected on a half-duplex port, because the port is checking the wire to make sure that no traffic is present prior to sending a frame. This operation is the carrier sense procedure described by the carrier sense multiple access with collision detect (CSMA/CD) operation used on half-duplex connections. Full-duplex connections, however, do not use CSMA/CD.
• Runts – A runt is a frame that is less than 64 bytes in size and has a bad CRC. A runt could result from a duplex mismatch or a Layer 1 issue.
• Giants – A giant is a frame size greater than 1518 bytes (assuming that the frame is not a jumbo frame) that has a bad FCS. Typically, a giant is caused by a problem with the NIC in an attached host. The jumbo frame has a frame size greater than 1518 bytes, but it has a valid FCS.

Duplex Mismatched

• Jeżeli urządzenie podłączone do przełącznika wspiera jedynie tryb „half-duplex” to dany interfejs automatycznie wynegocjuje zmianę statusu z trybu „full-duplex” na tryb „half-duplex” (Opcja auto negocjacji musi być włączona).
• W przypadku braku możliwości automatycznego wynegocjowania trybu pracy interfejsu sieciowego, przełącznik automatycznie przejdzie w tryb „half-duplex”. Jeżeli jednak dojdzie do sytuacji  w której obydwie strony połączenia będą pracowały w innych trybach, komunikacja może zostać zaburzona. Objawem błędnej konfiguracji trybu „duplex” jest stale zwiększający się licznik błędów „FCS-Err” oraz „Late-Col”, widoczny za pomocą komendy [show interface interfejs counters errors].

Encapsulation Mismatched

• Enkapsulacja połączeń Trunk-owych może być
  osiągnięta za pomocą jednego z dwóch dostępnych protokołów: ogólnodostępnego
  802.1Q ustandaryzowanego przez IEEE bądź ISL stworzonego przez Cisco. Domyślnie
  urządzenia Cisco wspierające obydwa rozwiązania będą próbowały wynegocjować
  połączenie ISL za pomocą protokołu DTP.
• W przypadku łączenia przełączników Cisco z
  przełącznikami innych firm należy ręcznie skonfigurować połączenie na
  enkapsulacje 802.1Q ponieważ ani protokół DTP ani enkapsulacja ISL nie są
  wspierane przez innych producentów.

Funkcja Auto-MDIX

• Funkcja „Auto-MDIX”
  umożliwia wykrycie trybu pracy urządzenia podłączonego do jednego z
  interfejsu przełącznika, sprawdzając czy urządzenia są podłączone odpowiednim
  kablem „Crossover” bądź „Straight-though”. Jeżeli podłączony
  został niewłaściwy kabel funkcja „Auto-MDIX”
  automatycznie dopasuje metodę nadawania i odbierania sygnałów.

Wykorzystanie procesora CPU

Pamięć TCAM a procesor CPU

• Poziom wykorzystania procesora CPU w przełącznikach Cisco Catalyst jest przeważnie bardzo niski, ponieważ większa część operacji związanych z przekierowywaniem pakietów (Routingiem) jest obsługiwana na poziomie sprzętu fizycznego (Hardware) przy wsparciu pamięci TCAM. Bieżący poziom utylizacji procesora CPU można wyświetlić za pomocą komendy [show processes cpu], która to oprócz bieżącego procentowego zużycia procesora wyświetla procent utylizacji w ciągu ostatniej minuty oraz pięciu ostatnich minut.
• Wysokie zużycie procesora CPU może negatywnie wpłynąć na wydajność przełącznika, powodując powstawanie opóźnień w obsłudze nadchodzącego ruchu sieciowego. Jedną z przyczyn takiego stanu może być bardzo duża ilość operacji wymagających interwencji procesora, najbardziej wymagające zadania to operacje:
  • ARP Input Process – W przypadku niewłaściwej konfiguracji statycznych tras routingu operacje protokołu ARP mogą znacząco zwiększyć zużycie procesora CPU. Przykładem błędnego użycia trasy statycznej jest trasa domyślna kierowana na interfejs fizyczny np. [ip route 0.0.0.0 0.0.0.0 gigabitethernet 0/0]. W takim przypadku zapytania ARP będą generowane dla każdego pakietu kierowanego na inny docelowy adres IP. Jest to wynikiem braku określenia adresu IP następnego przeskoku, a tym samym adres ten musi być wykryty za pomocą zapytań protokołu ARP.
  • Net Background Process – W przypadku zapełnienia wszystkich wejściowych buforów interfejsu sieciowego, dane mogą zostać przekierowane do głównego bufora, co wymaga użycia procesora CPU. Sytuacja ta może być wykryta w sytuacji zwiększających się wartości „Throttles”, „Ignored” oraz „Overrun” względem określonego interfejsu sieciowego, co jest szczególnie widoczne wydruku komendy [show interface interfejs].
  • IP Background Process – Zmiana statusu interfejsu z aktywnego up/up na pasywny down/down bądź zmiana adresu IP, wymaga każdorazowej interwencji procesora CPU.
  • TCP Timer Process – Procesy związane z połączeniami protokołu TCP obciążają procesor CPU, jeżeli są nawiązywane w dużej ilości, szczególnie jeżeli komunikacja „Three-Way Handshake” nie zostanie poprawnie zakończona, a tym samym zasoby urządzenia będą cały czas blokowane (Sytuacja tak może stanowić atak DDoS).

Komendy SHOW wykorzystywane w procesie troubleshooting-u utylizacji procesora CPU

# show ip arp

Wyświetla zawartość tablicy „ARP Cache”.

# show interface interfejs

Wyświetla szczegółowe informacje na temat danego interfejsu sieciowego.

# show tcp statistics

Wyświetla statystyki związane z protokołem TCP.

# show processes cpu

Wyświetla utylizacje procesora CPU.

# show processes cpu history

Wyświetla historie utylizacji procesora CPU.

Tworzenie kopi informacji o błędach krytycznych (Dump)

# write core [ENTER] adres-IP [ENTER] nazwa-pliku-docelowego

W przypadku wystąpienia błędu krytycznego, urządzenie wyśle zrzut własnej pamięci operacyjnej na wskazany w komendzie adres IP (Przy użyciu protokołu TFTP).

Zrzutu pamięci z użyciem protokołu FTP

Zrzut pamięci zostanie wykonany w przypadku zajścia błędu krytycznego.

(config)# ip ftp username login

Określa nazwę użytkownika usługi FTP.

(config)# ip ftp password hasło

Określa hasła użytkownika usługi FTP.

(config)# exception protocol ftp

Określa za pomocą jakiego protokołu zostanie wykonany zrzut pamięci.

(config)# exception dump {nazwa-domenowa / adres-IP}

Określa urządzenie na jakie zostanie wykonany zrzut pamięci.

Zrzutu pamięci z użyciem protokołu TFTP / RCP

(config)# exception protocol {tftp / rcp)

Określa za pomocą jakiego protokołu zostanie wykonany zrzut pamięci.

(config)# exception dump {nazwa-domenowa / adres-IP}

Określa urządzenie na jakie zostanie wykonany zrzut pamięci.

Problemy związane z wysokim poziomem utylizacji pamięci

Memory Leak

• W sytuacji rozpoczęcia nowego procesu, system IOS wydziela na jego utrzymanie cześć własnej pamięci. Po zakończeniu wykonywania operacji pamięć ta winna być zwrócona, jeżeli jednak tak się nie stanie dochodzi do sytuacji zwanej „Memory Leak”. Obecne wykorzystanie pamięci przez system operacyjny IOS można zaobserwować za pomocą wydruku komendy [show memory allocating-process totals].

# show memory allocating-process totals Head         Total(b)        Used(b)         Free(b)       Lowest(b)     Largest(b) Processor   433A7F0    68159248    31930556    36228692    34345180     16768896 I/O         6400000    12582912     8668852     3914060      3794516        3912032 Driver te     2E00000     1048576           44            1048532      1048532       1048532 Allocator PC Summary for: Processor PC                 Total      Count            Name 0x024B0BEC 4276620       1      LC message chunk 0x016DA424 4231044      19     Init 0x0138955C 3676596    3979   *Packet Header* 0x020A8098 2689356       9       Init 0x01BCC67C 2460948     317    Process Stack 0x021D02D0 1148240      63     COLL: coll rec 0x024AE640 680140        1       MDFS SPD Chunks …

• Head – Określa adres alokacji pamięci.
• Total – Określa całkowitą ilość pamięci.
• Used – Określa całkowitą ilość wykorzystywanej pamięci.
• Free – Określa całkowitą wolnej pamięci.
• Lowest – Określa najniższą ilość wykorzystywanej pamięci, od momentu uruchomienia systemu IOS.
• Largest – Określa najwyższą ilość wykorzystywanej pamięci, od momentu uruchomienia systemu IOS.
• Buffer Leak – Stanowi problem podobny do „Memory Leak”, z tymże dotyczący buforów a nie pamięci. Poziom wykorzystania buforów można określić za pomocą komendy [show interfaces] jak i komendy [show buffers].

Pytania i odpowiedzi

• ? Informacja: The FIB and RIB receive routing updates at the same time.
• ? Informacja: CEF–A single database of routing information is built for the switching hardware.
• ! Problem 1: Komenda „show mac-address-table” nie wyświetla interfejsu ani sieci VLAN do której należy adres MAC.
• $ Rozwiązanie 1: Host wysłał ramkę, której przełącznik nie może zrozumieć lub wykorzystuje dwie karty sieciowe do wysyłania jak i odbierania ruchu pomiędzy urządzeniami (NP. korzysta z funkcji Load balancing).
• ! Problem 2: Jakie kroki należy podjąć w celu zbadania problemów dotyczących „Duplex Mismatch”?
• $ Rozwiązanie 2: Pola „auto-speed” jak i „auto-dupleks” powinny być takie same na obydwóch interfejsach określonego połączenia. Ponad to wartość „runts”  jak i wartość „input errors” winna wynosić 0 i nie ulegać zwiększeniu.
• ? Pytanie 1: Jakie stwierdzenie opisuje przełącznik wykorzystujący funkcję CEF?
• $ Odpowiedź 1: Pojedyncza baza routingu jest stworzona w strukturze sprzętowej przełącznika.
• ? Pytanie 2: W jaki sposób można opisać operację zachodzące w pamięci FIB?
• $ Odpowiedź 2: Pamięć FIB przetrzymuje trasy dotarcia do hostów jak i najbardziej szczegółowy wpis (prefix) sieci wraz z adresem następnego przeskoku. Zawartość pamięci FIB może być wyświetlona za pomocą komendy [show ip cef vlan].

Pozostałe tematy związane ze wstępem do warstwy drugiej

• Hierarchiczny model sieci
• Zasady działania przełączników
• Rodzaje przełączników
• Budowa fizyczna przełącznika
• Budowa przełącznika L2
• Budowa przełącznika L3
• Pamięć TCAM
• Cisco Express Forwarding
• Troubleshooting przełączników sieciowych
• Multi Layer Switching troubleshooting
• Konfiguracja przełączników sieciowych
• Multi Layer Switch
• Router on the Stick

Multi Layer Switching troubleshooting

Rodzaje wielowarstwowego Switching-u MLS

• Process Switching (Stosowany jedynie w starszych ruterach Cisco) – Stanowi najstarszą, najwolniejszą metodę kontroli przepływu danych, w której wszystkie nadchodzące pakiety są pojedynczo przetwarzane na poziomie systemu operacyjnego IOS, przez procesor (CPU). Proces ten znacząco zmniejsza wydajności urządzenia, przez co jest używany w ostateczności lub podczas rozwiązywania problemów sieciowych związanych z przepływem pakietów (Troubleshooting-u).
  • Komenda [show processes cpu] wyświetla listę aktywnych procesów obecnie przetwarzanych przez procesor CPU. Znajdujący się na tej liście proces „IP Input” określa ilość odwołań procesu przełączania pakietów do procesora CPU.
  • W przypadku metody Process Switching funkcja Load-balancing działa zgodnie z zasadą (Per-packet), kierującąc każdy następujący pakiet inną drogą.
  • Konfiguracja metody Process Switching, jest możliwa za pomocą komendy [ip router-cache], wydanej w trybie konfiguracji globalnej.

• Router Cache Switching / Fast Switching (Flow-based Switching / Demand-Based Switching / Router once, Switch many / NetFlow Switching) – Wykorzystuje procesor routingu (RP) do określenia drogi docelowej względem pierwszego nadesłanego pakietu, dalsza część komunikacji jest przetwarzana przez silnik przełącznika (SE). Należy przy tym pamiętać, że dla pakietu z innym adresem docelowym (IPv4 czy IPv6), procesor routingu musi przeprowadzić nowe poszukiwanie interfejsu docelowego.
  • W przypadku metody Fast Switching funkcja Load-balancing działa zgodnie z zasadą (Per-destination), kierującąc każdy następujący przepływ (Flow) inną drogą, na podstawie docelowego adresu IP.

• Topology Based Switching (CEF – Cisco Express Forwarding) – Wykorzystuje procesor routingu (RP) wraz z informacjami warstwy trzeciej w celu stworzenia wydajnej, sprzętowej tablicy FIB (Forwarding Information Base). Zawierającej trasy pobrane z tablicy routingu, w celu osiągnięcia szybkiego przepływu nadchodzących pakietów. Dzięki temu rozwiązaniu procesor routingu (RP) jest używany jedynie w sytuacji zmiany topologii sieciowej, bądź w przypadku odebrania pakietu kierowanego bezpośrednio do lokalnego urządzenia.
  • W przypadku metody Cisco Expres Forwarding funkcja Load-balancing działa zgodnie z zasadą (Per-destination), kierującąc każdy następujący przepływ (Flow) inną drogą, na podstawie docelowego adresu IP.
  • Konfiguracja metody CEF, jest możliwa za pomocą komendy [ip cef], wydanej w trybie konfiguracji globalnej.

Obecnie domyślnie wykorzystywana jest metoda Cisco express Forwarding (CEF).

Troubleshooting problemów z opóźnieniami powstającymi na trasie

1. Korzystając z komendy Traceroute należy określić miejsce powstawania przestojów w strukturze sieci (Opóźnień).
2. Po określeniu urządzenia sprawiającego problemy, należy sprawdzić poziom utylizacji jego procesora [show process cpu]
3. Korzystając z komendy [show ip route adres-IP] należy określić czy ruter posiada trasę do określonej sieci.
4. Korzystając z komendy [show ip cef] należy określić czy interfejsy urządzenia wykorzystują funkcję CEF.
5. Korzystając z komendy [show ip cef adres-IP 255.255.255.255] należy określić czy wskazany adres znajduje się w pamięci FIB, jak i czy posiada adres następnego przeskoku.
6. Korzystając z komendy [show adjacency interfejs detail] oraz komendy [show ip arp] należy sprawdzić czy tablica sąsiedztwa posiada adres MAC odpowiadający adresowi IP następnego przeskoku dla danej trasy.
7. Łącząc się z urządzeniem następnego przeskoku należy zweryfikować na nim punkt 6.

Komendy SHOW dla Troubleshooting-u Packet-Switching-u

# show ip interface interfejs

Wyświetla szczegółowe informacje na temat danego interfejsu w tym jego statystyki.

# show ip cache

Wyświetla zawartość pamięci „Route Cache” (Dla trybu Fast Switching).

# show process cpu | include IP Input

Wyświetla ilość procesów routingu bezpośrednio obciążających procesor CPU.

# show ip cef

Wyświetla zawartość tablicy FIB. Trasy opisane jako „Receive” są przetwarzane przez procesor CPU.

# show ip cef adjacency interfejs-wychodzący adres-IP-następnego-przeskoku detail

Wyświetla sieci docelowe, osiągalne za pomocą kombinacji wskazanego interfejsu wyjściowego jak i adresu następnego przeskoku.

# show adjacency interfejs detail

Wyświetla  zawartość tablicy „Adjacency Table”. Docelowy oraz źródłowy adres MAC, wraz z kodem określającym protokół IPv4 (0800) jest podany w jednym ciągu znaków.

Pozostałe tematy związane ze wstępem do warstwy drugiej

• Hierarchiczny model sieci
• Zasady działania przełączników
• Rodzaje przełączników
• Budowa fizyczna przełącznika
• Budowa przełącznika L2
• Budowa przełącznika L3
• Pamięć TCAM
• Cisco Express Forwarding
• Troubleshooting przełączników sieciowych
• Multi Layer Switching troubleshooting
• Konfiguracja przełączników sieciowych
• Multi Layer Switch
• Router on the Stick

Konfiguracja pamięci CAM oraz TCAM

Podstawowa konfiguracja interfejsów

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# duplex-{full / half / auto}

Określa tryb pracy określonego interfejsu sieciowego.

(config-if)# speed {10-1000 / auto}

Określa przepustowość określonego interfejsu sieciowego.

(config-if)# [no] mdix auto

Wyłącza / Włącza auto funkcję „Auto-MDIX”.

(config-if)# [no] negotiation auto

Wyłącza / Włącza auto negocjacje.

Konfiguracja pamięci przełącznika

Ustawienia pamięci CAM (MAC Address Table)

(config)# mac address-table aging-time 0-1000000(300)

Określa czas, po upływie którego wpisy zawarte w tablicy „mac address-table” (pamięci CAM) zostaną usunięte. W przypadku nadejścia ramki Ethernet-owej czas ten jest resetowany.

(config)# mac address-table static adres-MAC vlan vlan-ID interface interfejs

Przypisuje podany adres MAC do określonego interfejsu sieciowego jak i przyłączonej do niego sieci wirtualnej VLAN.

(config)# [no] mac address-table learning {vlan vlan-ID / interface interfejs}

Wyłącza / Włącza funkcję uczenia się przez przełącznik, adresów MAC dla określonej sieci VLAN bądź interfejsu sieciowego.

Powiadomienia (snmp, logging) związane z pamięcią CAM (MAC Address Table)

(config)# mac address-table notification mac-move [counter [syslog]]

Generuje wiadomość systemową w przypadku flap-owania adresów MAC, pomiędzy interfejsami danego przełącznika.

(config)# mac address-table notification threshold limit 0-100

Generuje wiadomość systemową w przypadku zapełnienia tablicy „MAC Address Table” w określonym procencie.

(config)# snmp-server enabled traps mac-notification

Włącza opcje wysyłania wiadomości Traps w przypadku flap-owania adresów MAC, pomiędzy interfejsami określonego przełącznika, w przypadku użycia komendy [mac address-table notification threshold limit 0-100] wiadomości Trap będą również generowane w przypadku zapełnienia tablicy „MAC Address Table” w określonym procencie.

Włączanie / wyłączanie funkcji CEF na interfejsie

(config)# [no] ip cef …

Globalnie wyłącza / Włącza funkcję CEF na konfigurowanym urządzeniu.

Funkcja CEF nie może być wyłączona na przełącznikach wielowarstwowych.

(config)# sdm interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# [no] ip route-cache cef …

Wyłącza / Włącza funkcję CEF względem określonego interfejsu.

Ustawienia pamięci TCAM i procesu CEF

(config)# sdm prefer {access / default / routing / vlan}

Określa wzorzec alokacji pamięci TCAM.

(config)# sdm prefer dual-ipv4-and-ipv6 {default / routing / vlan}

Dopuszcza używanie adresacji IPv6 oraz określa wzorzec alokacji pamięci TCAM, względem protokołu IPv4 jak i IPv6.

Blokowanie adresów MAC

Blokowanie adresów MAC za pomocą funkcji Port Blocking

(config)# interface interfejs

Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# switchport protected

Blokuje ruch sieciowy (Unknown Unicast, Multicast oraz Broadcast) nadchodzący z innych interfejsów sieciowych, działających w trybie chronionym „Protected” (Ruch kontrolny nie jest blokowany).

(config-if)# switchport block unicast

Blokuje wymianę ruchu sieciowego (Unknown Unicast).

(config-if)# switchport block multicast

Blokuje wymianę ruchu sieciowego (Unknown Multicast).

Blokowanie adresów MAC za pomocą tablicy MAC Address Table

(config)# mac address-table static adres-MAC vlan vlan-ID drop

Blokuje ruch sieciowy nadchodzący z określonego adresu MAC (Jedynie ruch Unicast może być blokowany).

Komendy SHOW

Komendy SHOW-CAM / CLEAR

# show mac address-table dynamic [interface interfejs / vlan vlan-ID]

Wyświetla dynamicznie dodane adresy MAC.

# show mac address-table count [vlan vlan-ID]

Wyświetla ilość adresów MAC przypisanych do każdej sieci VLAN.

# clear mac address-table dynamic

Czyści zawartość tablicy CAM (Dynamicznie dodane adresy MAC).

Inne komendy SHOW

# show platform tcam utilization

Wyświetla ilość zarezerwowanych zasobów pamięci TCAM.

# show sdm prefer

Wyświetla dane menadżera pamięci TCAM (Wraz z wzorcem alokacji pamięci).

# show cef not-cef-switched

Wyświetla pakiety przekierowywane metodą inną niż CEF.

# show ip cef

Wyświetla zawartość tablicy FIB.

# show ip cef [brak / interfejs / vlan vlan-ID / adres-IP maska] longer-prefixes

Wyświetla zawartość tablicy FIB. W przypadku wpisania adresu sieci wraz z maską, wyświetla najbardziej szczegółowy wpis z tablicy CEF. Pod komenda „longer-prefix” dodatkowo wyświetla wszystkie wpisy dopasowane do danej sieci.

# show ip cef 10.0.1.0 255.255.0.0 longer-prefix Prefix               Next Hop             Interface 192.168.1.1/32       receive              Vlan1 192.168.1.0/32       receive              Vlan1 192.168.1.255/32     receive             Vlan1

• Version – Określa czas ostatniej aktualizacji.

# show ip cef [brak / interfejs / vlan vlan-ID / adres-IP] [detail]

Wyświetla zawartość tablicy FIB.

# show ip cef 83.238.255.248 detail 83.238.255.248/29, epoch 3, flags rib only nolabel, rib defined all labels   recursive via 10.200.36.22 attached to Vlan998

• Version – Określa czas ostatniej aktualizacji.
• Epoch – Określa ilość przetworzeń procesu CEF.
• Valid adjacency – Wyświetla stan tablicy sąsiedztwa (drop / glean / null / punt).

# show ip cef adjacency [drop / glean / null / punt]

Wyświetla tablicę sąsiedztwa.

# show adjacency {interfejs / vlan vlan-ID} [summary / detail]

Wyświetla tablicę sąsiedztwa.

# show ip interface [interfejs / vlan vlan-ID]

Wyświetla szczegółowe informacje ustawień interfejsu w tym:
* Stan procesów CEF.
* Wielkość MTU.
* Ustawienia adresu IP i maski sieci.
* Stan list ACL.
* Stan Split-horizon.

Monitorowanie procesów przełącznika & rutera

# show processes cpu [sorted {5sec / 1min / 5min}]

Wyświetla listę aktywnych procesów.

# show processes cpu extended

Wyświetla statystyki utylizacji procesora CPU (Ostatnie 5 sekund).

# show processes cpu history

Wyświetla historię utylizacji procesora CPU w postaci graficznej.

# show processes ID-procesu

Wyświetla szczegółowe informacje na temat danego procesu.

Pozostałe tematy związane ze wstępem do warstwy drugiej

• Hierarchiczny model sieci
• Zasady działania przełączników
• Rodzaje przełączników
• Budowa fizyczna przełącznika
• Budowa przełącznika L2
• Budowa przełącznika L3
• Pamięć TCAM
• Cisco Express Forwarding
• Troubleshooting przełączników sieciowych
• Multi Layer Switching troubleshooting
• Konfiguracja przełączników sieciowych
• Multi Layer Switch
• Router on the Stick

Multi Layer Switch

• Domyślnie przełącznik L3 pracuje jedynie w warstwie drugiej, jednak za pomocą komendy [ip routing] można włączyć na nim funkcjonalność warstwy trzeciej, czyniąc go w pewnym sensie ruterem.
• Aby podłączone do przełącznika L3 sieci VLAN, mogły się ze sobą komunikować (Inter-VLAN routing), należy stworzyć wirtualne interfejsy SVI (Switch Virtual Interface) dla każdej sieci VLAN, wraz z przypisanym do nich adresem IP bramy domyślnej. Aby utworzony interfejs SVI był aktywny, przynajmniej jeden z portów przełącznika musi należeć do sieci VLAN, do której należy dany interfejs SVI.
• Niektóre przełączniki mają wyłączoną funkcjonalność warstwy trzeciej, aby ją włączyć należy użyć komendy [sdm prefer lanbase-routing] a następnie zresetować urządzenie. Po ponownym włączeniu przełącznika należy aktywować routing za pomocą komendy [ip routing].

Warunki stworzenia interfejsu wirtualnego SVI

• Wykorzystywana do stworzenia interfejsu sieć VLAN musi być aktywna na danym urządzeniu.
• Przynajmniej jeden z interfejsów przełącznika, musi należeć do wskazanej sieci VLAN.
• Stworzony interfejs musi być aktywny [no shutdown].

Troubleshooting switch L3

• Podczas troubleshooting-u przełącznika L3 należy sprawdzić czy:
  • Funkcja routingu została włączona poprzez globalną komendę [ip routing].
  • Sieci VLAN podpięte do interfejsów SVI, istnieją na przełączniku i są aktywne.
  • Przynajmniej jeden z interfejsów należy do tej samej sieci VLAN, co interfejs SVI (Access, Trunk).
  • Funkcja VTP nie wpływa negatywnie na istniejące sieci VLAN.
  • Przynajmniej jeden interfejs ma włączony protokół STP i jest w stanie „forwarding”.

Konfiguracja Multi Layer Switch

Konfiguracja interfejsu SVI

(config)# [no] ip routing

Wyłącza/ Włącza funkcje routing-u na konfigurowanym urządzeniu.

(config)# interface vlan vlan-ID

Tworzy nowy interfejs SVI (Podany VLAN musi istnieć na urządzeniu).

(config-if)# ip address adres-IP maska

Przypisuje adres IP, do konfigurowanego interfejsu wirtualnego.

(config)# interface interfejs

Przechodzi do konfiguracji interfejsu fizycznego.

(config-if)# switchport autostate exclude

Wyłącza na danym interfejsie, funkcję podtrzymywania aktywności SVI. Aby interfejs wirtualny mógł być w pełni funkcjonalny muszą zostać spełnione pewne warunki, wymagają one między innymi, aby przynajmniej jeden z interfejsów danego urządzenia należał do sieci VLAN w której został stworzony dany interfejs SVI. Powyższa komenda blokuje określony interfejs w podtrzymywaniu aktywności interfejsu wirtualnego SVI przez co nie liczy się on w procesie badania czy warunki dotyczące aktywności sieci VLAN zostały spełnione.

Aby interfejs SVI funkcjonował porwanie, przynajmniej jeden z interfejsów musi należeć do wskazanej sieci VLAN.

Konfiguracja interfejsów przełącznika

(config)# [no] ip routing

Wyłącza/ Włącza funkcje routing-u na konfigurowanym urządzeniu.

(config)# interface interfejs

Przechodzi do konfiguracji interfejsu fizycznego.

(config-if)# no switchport

Włącza funkcje warstwy trzeciej na określonym interfejsie (Routed Switch Port).

(config-if)# ip address adres-IP maska

Przypisuje adres IP, do konfigurowanego interfejsu sieciowego.

(config-if)# switchport

Wyłącza funkcje warstwy trzeciej na określonym interfejsie.

Komendy SHOW

# show interface status

Wyświetla skrócone informacje o interfejsach przełącznika, wraz z informacjami do jakiej sieci VLAN należą oraz w jakim są stanie (Jeśli interfejs działa w warstwie trzeciej, będzie widoczny jako VLAN „routed”).

# show interface interfejs switchport

Wyświetla status interfejsu warstwy drugiej. Jeżeli interfejs ma włączoną  funkcje warstwy trzeciej to komenda wyświetli następującą treść:

# show interface gigabitethernet 0/1 switchport Name: Gi0/1      Switchport: Disabled

Pozostałe tematy związane ze wstępem do warstwy drugiej

• Hierarchiczny model sieci
• Zasady działania przełączników
• Rodzaje przełączników
• Budowa fizyczna przełącznika
• Budowa przełącznika L2
• Budowa przełącznika L3
• Pamięć TCAM
• Cisco Express Forwarding
• Troubleshooting przełączników sieciowych
• Multi Layer Switching troubleshooting
• Konfiguracja przełączników sieciowych
• Multi Layer Switch
• Router on the Stick

Pamięć TCAM

Budowa pamięci TCAM

• Pamięć TCAM jest wykorzystywana w wielowarstwowych przełącznikach, do sprzętowej (Hardwar-owej) obsługi list dostępu ACL czy priorytetowania danych zgodnie z politykami QoS. W większości przypadków przełączniki posiadają wiele oddzielnych pamięci TCAM dzięki czemu mogą odseparować wychodzące listy ACL od przychodzących oraz pogrupować poszczególne polityki QoS, wykonując obydwie operacje jednocześnie.
• Pamięć TCAM znajdująca się w przełącznikach formy Cisco, składa się z dwóch następujących komponentów:
  • FM (Feature Manager) – Po stworzeniu nowej listy ACL oprogramowanie FM kompiluje bądź łączy poszczególne wpisy ACE (Access Control Entities) danej listy ACL, w jeden wpis tablicy TCAM. Dzięki czemu wszelkie operacje filtrowania ruchu sieciowego mogą być wykonywane z prędkością przetwarzania ramki „Frame-Forwarding Speed”.
  • SDM (Switching Database Manager) – Stanowi oprogramowanie zarządzające pamięcią TCAM (Komenda [sdm prefer] umożliwia zmianę domyślnego sposobu alokacji pamięci TCAM).

Struktura pamięci TCAM

• Pamięć TCAM umożliwia wykonywanie abstrakcyjnych operacji których wynikiem oprócz wartości 1 (zgadza się), 0 (nie zgadza się) jest wartość X oznaczająca dane bez znaczenia.
• Struktura pamięć TCAM składa się trzech wartości VMR (Value, Mask and Result) które można opisać następująco:
  • Value – 134-bitowa wartość określającą adres źródłowy bądź docelowy oraz wiele innych istotnych informacji dotyczących wybranego protokołu. Dane pobierane są bezpośrednio z wpisów ACE, a mogą być następujące:
  • Mask – 134-bitowa wartość odpowiadającą danym zawartym w polu Value. Umożliwia wykonanie logicznej operacji porównania poszczególnych wartość Maski z poszczególnymi wartościami Value, w celu określenia jaka część informacji ma znaczenie a jaka nie ma (Metoda ta działa identycznie jak maska podsieci).
  • Result – Numeryczna wartość reprezentującą akcje jaką należy podjąć po znalezieniu pasującego wpisu w tablicy TCAM. W przeciwieństwie do tradycyjnych list dostępu, ofertujących dwie wartości wyjściowe Permit oraz Deny, tablica TCAM umożliwia zwrócenie wartości Permit, Deny, QoS value bądź adresu next-hop.

Typ listy dostępu	Wartość Value oraz Mask (ilość bitów)
Ethernet	Source MAC (48), destination MAC (48), EtherType (16).
ICMP	Source IP (32), destination IP (32), protocol (16), ICMP code(8), ICMP type (4), IP type of service (ToS) (8).
Extended IP using TCP/UDP	Source IP (32), destination IP (32), protocol (16), IP ToS (8), source port (16), source operator (4), destination port (16), destination operator (4).
Other IP	Source IP (32), destination IP (32), protocol (16), IP ToS (8).
IGMP	Source IP (32), destination IP (32), protocol (16), IP ToS (8), IGMP message type (8).

Dane zawarte w wartości Value oraz Mask, względem wybranego protokołu L2 bądź L3

W przypadku zapisu list ACL opartych o adresy IPv6. Pamięć TCAM musi zapisać większe 128 bitowe wartości adresów IPv6, co znacząco ogranicza jej pojemność. Związku z tym wymagana jest dodatkowa kompresja przetrzymywanych wpisów ACE.

LOU (Logical Operation Unit)

• Pamięć TCAM umożliwia określenie portu TCP/UDP za pomocą komendy ACL np. „eq www” bądź „any”. Istnieją jednak wpisy ACE które wymagają wykonania dodatkowych operacji logicznych, zwiększając tym samym zapotrzebowanie na zasoby obliczeniowe przełącznika. Są to wpisy określające zakresy portów TCP/UDP np. „gt 1024” bądź „2000 2002”. Do wykonania powyższych operacji przełączniki wielowarstwowe wykorzystują funkcje LOU (Logical Operation Unit), umożliwia ona wykonanie operacji logicznych przy określaniu zakresów portów warstwy czwartej.
• Poszczególne wartości LOU mogą być przyporządkowane do wielu wpisów ACE, dzięki czemu możliwe staje się ograniczenie wykorzystywanych zasobów przełącznika wielowarstwowego.

Ilość możliwych do stworzenia list ACE z wykorzystaniem LOU jest ograniczona ilością pamięci jaką posada przełącznik.

Operacje logiczne wykonywane za pomocą funkcji LOU są następujące: „neq”, „range”, „gt”, „it” czy „port port”.

Przy dopasowaniu zawartości nadchodzącego pakietu do wpisów ACE określonej listy ACL. Wszystkie wpisy pamięci TCAM są porównywane jednocześnie.

SDM (Switch Database Management)

• SDM – sprawuje kontrolę nad pamięcią TCAM, rozdzielając posiadane zasoby przełącznika pomiędzy funkcjami warstwy drugiej oraz warstwy trzeciej. Dzięki podziałowi na tryby, administrator może wybrać jeden z gotowych szablonów określających ile pamięci zostanie przeznaczonych na każdą z funkcji przełącznika. Tryby pracy są następujące:
  • Default – Domyślny, zrównoważony tryb pracy pamięci przełącznika. Umożliwia zapisanie dużej ilości adresów MAC jak i wspiera tworzenie list dostępu ACL oraz zasad QoS.
  • Routing – Zwiększa ilość zasobów przeznaczonych na routing (Współpracuje jedynie z protokołem IPv4).
  • Access – Zwiększa ilość zasobów przeznaczonych na utrzymanie list ACL.
  • VLAN – Zwiększa ilość zasobów przeznaczonych na adresy MAC (Wyłącza wsparcie routingu IPv4).
  • Dual IPv4 and IPv6 – Umożliwia konfigurację protokołu IPv6 na przełączniku. Wraz z nie mniejszą komendą należy wybrać jedną z trzech poniższych opcji, zarządzania pamięcią TCAM:
    • Default – Przeznacza większą część miejsca na listy ACL oraz routing IPv4/IPv6, zmniejszając tym samym pojemność urządzenia względem adresów MAC w tablicy „MAC address table”.
    • Routing – Zwiększa ilość zasobów przeznaczonych na routing (Współpracuje protokołem IPv4 jak i IPv6).
    • VLAN – Zwiększa ilość zasobów przeznaczonych na adresy MAC (Wyłącza wsparcie routingu IPv4 / IPv6).

Pozostałe tematy związane ze wstępem do warstwy drugiej

• Hierarchiczny model sieci
• Zasady działania przełączników
• Rodzaje przełączników
• Budowa fizyczna przełącznika
• Budowa przełącznika L2
• Budowa przełącznika L3
• Pamięć TCAM
• Cisco Express Forwarding
• Troubleshooting przełączników sieciowych
• Multi Layer Switching troubleshooting
• Konfiguracja przełączników sieciowych
• Multi Layer Switch
• Router on the Stick

CEF and FIB Table

• Wielowarstwowe przełączniki wspierające funkcjonalność CEF wykorzystują w procesie routingu dwa bloki funkcyjne. Pierwszy silnik warstwy trzeciej (Layer 3 engine) defa kto stanowiący serce urządzenia, przetwarza informacje uzyskane poprzez routing statyczny jak i dynamiczny, generując na ich podstawie zawartość tablicy routingu. Następnie dane te są przenoszone do tablicy FIB (Forwarding Information Base) stanowiącej drugi blok fizyczny (Layer 3 Forwarding Engine). Dzięki temu zabiegowi SE (Switch Engine) zyskuje możliwość szybkiego przetwarzania danych.
• Za każdym razem, kiedy dochodzi do zmian w topologii sieci (Następuje zmiana adresu IP bądź adresu MAC następnego przeskoku), zmianie ulega zawartość tablicy routingu, co wymusza aktualizację danych zawartych w tablicy FIB.
• Tablica FIB przechowuje trasy dotarcia do sieci, zacząwszy od najbardziej dokładnych wpisów (np. 10.1.1.1/24) po te mniej szczegółowe (np. 10.1.0.0/16), wraz z adresem IP następnego przeskoku. Zawartość tablicy można wyświetlić za pomocą komendy [show ip cef vlan vlan-ID].

Wyjątki w przetwarzaniu pakietów przez funkcję CEF

• Istnieją pakiety które nie mogą być obsłużone w szybkim procesie switching-u (z wykorzystaniem tablicy FIB). W tej sytuacji zwanej „CEF punt” pakiety są przekierowywane do silnika warstwy trzeciej. Możliwe przyczyny powstania tak owych wyjątków są następujące:
  • Wyjście dla danego pakietu nie zostało znalezione w tablicy FIB.
  • Tablica FIB jest przepełniona.
  • Wartość TTL pakietu IP została przekroczona (Jeśli spadnie do wartości 0) .
  • Wartość MTU została przekroczona.
  • Odebrano komunikat ICMP.
  • Typ enkapsulacji nie jest wspierany.
  • Pakiet jest tunelowany.
  • Wymagana jest operacja translacji NAT.

Jeżeli adres docelowy pakietu nie znajduje się w tablicy FIB, pakiet zostanie porzucony.

Platformy sprzętowe obsługujące funkcję CEF

• Funkcja CEF może być obsługiwana przez jedną z wielu platform sprzętowych, umożliwiających współpracę wielu niezależnych procesorów na jednym przełączniku, tym samym zwiększając jego wydajność.
  • Accelerated CEF (aCEF) – Umożliwia rozprowadzenie funkcji CEF pomiędzy wieloma silnikami warstwy trzeciej, bez możliwości kopiowania całej zawartości tablicy FIB na poszczególne silniki podległe. Jeżeli pobrana część tablicy okaże się niewystarczająca, istnieje możliwość pobrania dodatkowych danych z silnika głównego.
  • Distributed CEF (dCEF) – Umożliwia rozprowadzenie funkcjonalności CEF pomiędzy wieloma silnikami warstwy trzeciej, z zamian zapewniając znacznie większą wydajność w przetwarzaniu pakietów. Przełączniki wspierające funkcję dCEF posiadają wiele tablic CEF rozlokowanych na rożnych fizycznych kartach (Line Card), zawierających oddzielne dedykowane silniki (Layer 3 Forwarding Engine), tablice FIB jak i tablice „Adjacency Table”. Tym samym umożliwiając wykonywanie wielu operacji routingu jednocześnie. Nad wszystkimi kartami (Line Card) piecze sprawuje jeden główny procesor wraz z główną tablicą FIB oraz główną tablicą „Adjacency Table”, których cała zawartość jest kopiowana do podległych procesorów.

Adjacency Table

• Domyślnie procesor warstwy trzeciej (Layer 3 Engine) przetrzymuje w tablicy routingu dane dotyczące sieci docelowej, wraz z adresem IP następnego przeskoku, natomiast w tablicy ARP informacje warstwy drugiej, takie jak adres MAC odpowiadający powyższemu adresowi następnego przeskoku. Oby dwie tablice są przetrzymywane niezależnie, jednak zawarte w nich dane są niezbędne do stworzenia poprawnego pakietu jak i ramki Ethernet-owej.
• W funkcji CFE (Layer 3 Forwarding Engine), rolę tablicy routingu przejmuję tablica FIB natomiast rolę tablicy ARP przejmuję tablica sąsiedztwa Adjacency Table.
• Zawartość tablicy „Adjacency Table” jest uzupełniana na podstawie zawartości pamięci ARP cache lokalnego przełącznika. Może jednak zaistnieć sytuacja (zwana „CEF glean”)w której tablica ARP nie posiada adresu MAC address następnego przeskoku dla danego wyjścia (Next Hop), wymuszając tym samym użycie silnika warstwy trzeciej, mającego wysłać zapytanie ARP.  W czasie oczekiwania na odpowiedź ARP wszelkie pakiety kierowane do danej sieci docelowej są natychmiast porzucane, aby nie spowodować wysłania zduplikowanego zapytania ARP co nazywamy „ARP throttling / throttling adjacency”. Jeśli odpowiedź ARP nie nadejdzie w ciągu 2 sekund zostaje ponowiona, do momentu otrzymania odpowiedzi zawierającej adres MAC. Który zostaje od razu wpisany do tablicy sąsiedztwa (Adjacency Table).
• Tablica sąsiedztwa (Adjacency Table) zawiera wpisy znajdujące się w różnym stanie. A są one następujące:
  • Stan Glean Adjacency – Występuje w przypadku braku adresu MAC, następnego przeskoku.
  • Stan Null adjacency – Jest używany dla pakietów kierowanych na interfejs NULL (Jest to interfejs logiczny używany przez routery jak i przełączniki do wchłaniania pakietów bez ich dalszego przetwarzania).
  • Stan Drop Adjacency – Jest skierowany dla pakietów które nie mogą być normalnie przetworzone (np. w przypadku błędu enkapsulacji, niewspieranego protokołu lub braku aktualnej trasy) (Komenda [show cef drop]).
  • Stan Discard Adjacency – Występuje w przypadku pakietów odrzucony z powodu np. listy ACL, czy kierowanych na wirtualny interfejs Looback.
  • Stan Punt Adjacency – Występuje w przypadku pakietów wymagających dodatkowego przetworzenia przez procesor (RP) (Komenda [show cef not-cef-switched]).
• Zawartość tablicy sąsiedztwa (Adjacency Table) można wyświetlić za pomocą komendy [show adjacency [summary / detail]], [show adjacency interfejs [detail]], [show adjacency vlan vlan-ID [detail]].

Rewrite Engine

• Po przetworzeniu pakietów w procesie routingu dane zawarte w ramce Ethernet-owej takie jak docelowy oraz źródłowy adres MAC, ulegają zmianie. Aby umożliwić szybkie zaktualizowane nagłówka ramki Ethernet-owej wielowarstwowy przełącznik MLS posiada dodatkowy blok umożliwiający zmianę danych w czasie rzeczywistym. Zmianie może ulec:
  • Docelowy adres MAC ramki.
  • Źródłowy adres MAC ramki.
  • Suma kontrolna ramki.
  • Czas TTL pakietu.
  • Suma kontrolna pakietu.

Pozostałe tematy związane ze wstępem do warstwy drugiej

• Hierarchiczny model sieci
• Zasady działania przełączników
• Rodzaje przełączników
• Budowa fizyczna przełącznika
• Budowa przełącznika L2
• Budowa przełącznika L3
• Pamięć TCAM
• Cisco Express Forwarding
• Troubleshooting przełączników sieciowych
• Multi Layer Switching troubleshooting
• Konfiguracja przełączników sieciowych
• Multi Layer Switch
• Router on the Stick

Budowa fizyczna i działanie przełącznika L3

Tablica RIB oraz  FIB

• RIB (Router Information Base) – Przetrzymuje trasy routingu (Routing Table).
• FIB (Forwarding Information Base) – Przetrzymuje podstawowe informacje na temat tras routingu, pobierając je bezpośrednio z tablicy (RIB). Przetrzymywane trasy routingu pozbawione są dodatkowych informacji zbędnych z punktu trasowania a przydatnych protokołom routingu dynamicznego. Są to informacje dotyczące metryki czy tagowania. Zawartość tablicy FIB można wyświetlić za pomocą komendy [show ip cef [detail]], [show ip cef adres-IP maska-sieci [detail]].

Rodzaje wielowarstwowego Switching-u MLS (Multilayer Switching)

• Process Switching (Stosowany jedynie w starszych ruterach Cisco) – Stanowi najstarszą, najwolniejszą metodę kontroli przepływu danych, w której wszystkie nadchodzące pakiety są pojedynczo przetwarzane na poziomie systemu operacyjnego Cisco IOS, przez procesor (CPU). Proces ten znacząco zmniejsza wydajności urządzenia przez co jest używany w ostateczności lub podczas rozwiązywania problemów sieciowych z przepływem danych (Troubleshooting-u).
  • Komenda [show processes cpu] wyświetla listę aktywnych procesów przetwarzanych przez procesor CPU. Znajdujący się na tej liście proces „IP Input” określa ilość odwołań procesu przełączania do procesora CPU.
• Router Cache Switching / Fast Switching (Flow-based Switching / Demand-Based Switching / Router once, Switch many / NetFlow Switching) – Wykorzystuje procesor routingu (RP) do określenia drogi docelowej dla pierwszego nadesłanego pakietu, dalsza część komunikacji jest przetwarzana przez silnik przełącznika (SE). Należy przy tym pamiętać, że dla pakietu z innym adresem docelowym, procesor routingu musi wykonać nowe poszukiwanie interfejsu docelowego.
• Topology Based Switching, CEF (Cisco express Forwarding) – Wykorzystuje procesor routingu (RP) wraz z informacjami warstwy trzeciej w celu stworzenia wydajnej, sprzętowej tablicy FIB (Forwarding Information Base). Zawierającej trasy pobrane z tablicy routingu, w celu osiągnięcia szybkiego przepływu nadchodzących pakietów. Dzięki temu rozwiązaniu procesor routingu (RP) jest używany jedynie w sytuacji zmiany topologii sieciowej, bądź w przypadku odebrania pakietu kierowanego bezpośrednio do lokalnego urządzenia.

Obecnie domyślnie wykorzystywana jest metoda Cisco Express Forwarding (CEF).

Zasady działania MLS (Multi Layer Switching)

• Wszystkie decyzje podejmowane przez wielowarstwowy przełącznik są podejmowane jednocześnie na poziomie sprzętu fizycznego (hardware) przy użyciu następujących funkcji:
  • Tablica przekierowania L2 (L2 Forwarding Table / Pamięć CAM) – Wykorzystuje docelowy adres MAC jako indeks wyszukiwania w tablicy CAM. Jednak, jeśli otrzymany pakiet L3 ma być przesłany do innej sieci, a jego docelowy adres MAC odpowiada adresowi przypisanemu do interfejsu warstwy trzeciej danego urządzenia, to jedynym zadaniem tablicy CAM będzie stwierdzenie, że otrzymana ramka musi być przetworzona w warstwie trzeciej.
  • Tablica przekierowania L3 (L3 Forwarding Table / Pamięć FIB) – Wykorzystuje docelowy adres IP jako indeks wyszukiwania w tablicy FIB, którą przeszukuję w celu znalezienia najbardziej dopasowanego wpisu na podstawie wartości maski oraz adresu IP sieci. Wybrany wpis posiada przyporządkowany adres IP następnego skoku oraz odpowiadający mu adres MAC interfejsu wyjściowego dla danego pakietu.
  • Zasady Security ACLs (Pamięć TCAM) – Wykorzystuje listy dostępu ACL do filtracji nadchodzących ramek, pod kontem zgodności z adresem MAC, rodzajem protokołu (pole type L2), adresem IP, protokołem (TCP, UDP czy IP) oraz numerem portu. Do swojego działania listy ACL wykorzystują pamięć TCAM.
  • Zasady QoS ACLs (Pamięć TCAM) – Kolejkuje przepływający ruch sieciowy pod kontem priorytetu, dzięki czemu dane z wyższą wartością przesyłane jako pierwsze a tym samym nie giną „lost in the shuffle” w dużym natłoku przesyłanych informacji. Do swojego działania zasady QoS wykorzystują pamięć TCAM.

Po przetworzeniu pakietu przez przełącznik wielowarstwowy dane w nim zawarte takie jak wartość TTL czy źródłowy oraz docelowy adres MAC mogą ulec zmianie. W takim przypadku zachodzi potrzeba ponownego przeliczenia wartości kontrolnej pola FCS zawartego w nagłówku ramki Ethernet-owej.

Wyjątki w przetwarzaniu danych przez MLS

• Przeważnie pakiety wysyłane pomiędzy hostami są
  przetwarzane przez CEF bez
  wykonywania dodatkowych operacji. Istnieją jednak pewne pakiety, których
  zawartość musi być dodatkowo przetworzona, oznaczona (Flagged) a następnie
  przesyłana do procesora urządzenia (CPU) w celu dalszej obróbki. Do pakietów
  tych należą między innymi:
  • Zapytania ARP „Requests” oraz „Replies”.
  • Pakiety IP wymagające odpowiedzi od rutera
    (Przekroczona wartość TTL bądź MTU, potrzeba fragmentacji ITD.).
  • Aktualizacje procesu routingu.
  • Pakiety CDP.
  • Pakiety wymagające enkrypcji.
  • Pakiety wymagające translacji NAT.
  • Pakiety „Multiprotocol” (IPX, AppleTalk
    ITD.).
  • Brak wpisu w tablicy FIB.
  • ICMP Redirect (NOT ICMP reply)

Pozostałe tematy związane ze wstępem do warstwy drugiej

• Hierarchiczny model sieci
• Zasady działania przełączników
• Rodzaje przełączników
• Budowa fizyczna przełącznika
• Budowa przełącznika L2
• Budowa przełącznika L3
• Pamięć TCAM
• Cisco Express Forwarding
• Troubleshooting przełączników sieciowych
• Multi Layer Switching troubleshooting
• Konfiguracja przełączników sieciowych
• Multi Layer Switch
• Router on the Stick

Budowa fizyczna i działanie przełącznika L2

• Komponenty fizyczne przełącznika (CAM, TCAM):
  • Tablica przekierowania L2 (L2 Forwarding Table) – Jest wykorzystywana do przesyłu danych na poziomie warstwy drugiej. Jej zawartość jest przetrzymywana w szybkiej pamięci CAM, dzięki czemu operacje poszukiwania interfejsu wyjściowego dla nadchodzących ramek Ethernet-owych (Na podstawie adresu MAC), nie generują opóźnień.
  • Zasady Security ACLs – Wykorzystują listy dostępu ACL do filtracji nadchodzących ramek Ethernet-owych, pod kontem zgodności z adresem MAC, rodzajem protokołu (pole type L2), adresem IP, protokołem (TCP, UDP czy IP) oraz numerem portu. Do funkcjonowania listy ACL wykorzystują pamięć TCAM.
  • Zasady QoS ACLs – Kolejkuje przepływający ruch sieciowy pod kontem priorytetu, dzięki czemu dane z wyższą wartością przesyłane jako pierwsze a tym samym nie giną „lost in the shuffle” w dużym natłoku przesyłanych informacji. Do swojego działania zasady QoS wykorzystują pamięć TCAM.

Wszystkie operacje (Security ACLs, QoS ACLs oraz L2 Forwarding) są wykonywane jednocześnie.

Pozostałe tematy związane ze wstępem do warstwy drugiej

• Hierarchiczny model sieci
• Zasady działania przełączników
• Rodzaje przełączników
• Budowa fizyczna przełącznika
• Budowa przełącznika L2
• Budowa przełącznika L3
• Pamięć TCAM
• Cisco Express Forwarding
• Troubleshooting przełączników sieciowych
• Multi Layer Switching troubleshooting
• Konfiguracja przełączników sieciowych
• Multi Layer Switch
• Router on the Stick

Budowa fizyczna przełącznika

Podstawowe komponenty przełącznika warstwy trzeciej MLS

• Switching Processor – Przetwarza protokoły związane z warstwą drugą modelu OSI, takie jak STP, CDP, VTP czy DTP.
• Routing Processor – Przetwarza protokoły związane z warstwą trzecią modelu OSI, takie jak Routing, ACL czy ARP.
  • W zależności od modelu przełącznika, procesor warstwy drugiej oraz trzeciej może stanowić jeden fizyczny komponent (Router and Switch Processor) bądź dwa odrębne komponenty RP oraz SP.
• Switch Fabric – Stanowi wewnętrzne łącze pomiędzy interfejsami przełącznika oraz innymi komponentami fizycznymi.
• ASIC (Application-Specyfic Integrated Circuit) – Komponent fizyczny (Hardware) wyspecjalizowany do wykonywania jednego bądź wielu zadań. Np. przetwarzania nadchodzących ramek Ethernetowych czy szyfrowania pakietów IP.
• Memory – Przełączniki wielowarstwowe posiadają wiele rodzajów wyspecjalizowanej pamięci fizycznej:
  • Pamięć Flash – Przetrzymuje obraz startowy systemu Cisco IOS.
  • Pamięć DRAM – Przetrzymuje zawartość tablicy Routingu, tablicy odwzorowania adresów ARP, tablicy FIB, oraz tablicy Adjacency Table jak i zawartość aktualnej, aktywnej konfiguracji urządzenia (Running Config).
  • Pamięć NVRAM – Przetrzymuje konfigurację startową systemu Cisco IOS.
  • Pamięć CAM – Przetrzymuje zawartość tablicy MAC Address Table.
  • Pamięć TCAM – Przetrzymuje zawartość tablicy FIB.
  • Pamięć SRAM – Przetrzymuje zawartość tablicy Adjacency Table.

Pamięć DRAM przechowuje niektóre komponenty systemu IOS, takie jak bieżącą konfigurację systemu (Running Config) tablicę routingu, tablicę odwzorowania adresów ARP, tablicę FIB czy tablicę Adjacency Table. Cześć powyższych komponentów jest kopiowana a następnie przetrzymywana w pamięć TCAM (Tablica FIB oraz tablica Adjacency Table). Jako że pamięć DRAM jest bardziej pojemna od pamięci TCAM istnieje możliwość, że z powodu ograniczonego miejsca pamięć TCAM ulegnie przepełnieniu. Co może wiązać się z znaczącym wzrostem procesów „IP Input” przetwarzanych przez procesor CPU. Wynikających z baku możności zapisu tras routingu w szybkiej pamięci TCAM.

Komponenty fizyczne urządzenia sieciowego

• Interface Processor – Wyspecjalizowany chip (ASIC) stanowiący część interfejsu sieciowego, zajmującego się dekodowaniem elektrycznych bądź optycznych sygnałów docierających do interfejsu sieciowego za pomocą nośnika fizycznego. Przetwarza nadchodące sygnały w dane binarne czy wychodzące dane w sygnały elektryczne bądź świetlne.
• Central Processing Unit – Główna jednostką CPU na której operuje system Cisco IOS.
• Memory – Pamięć wykorzystywana w urządzeniach sieciowych do buforowania nadchodzących jak i wychodzących ramek, przetrzymywania tablicy routingu czy switching-u oraz zapisu reszty danych wykorzystywanych przez system IOS.
  • DRAM (Dynamic Random-Access Memory).
  • SDRAM (Synchronous Dynamic Random-Access Memory).
• Backplanes & Switch Fabric – Ramki Ethernetowe przychodzące na interfejs sieciowy, trafiają do lokalnego bufora pamięci, skąd po przetworzeniu są kierowane na bufor wyjściowy innego interfejsu sieciowego. Aby wykonać ten proces, w urządzeniu musi istnieć wewnętrzna komunikacja. Wewnętrzną wymianą danych w obrębie jednego urządzenia, zajmuje się moduł Switch Fabric, wykorzystujący jedną z następujących technologii:
  • Shared Memory – Nadchodzące ramki są kopiowane do szybkiej pamięci współdzielonej przez szereg interfejsów sieciowych. W tym wypadku główne ograniczenie wydajności stanowi przepustowość pamięci współdzielonej.
  • Crossbar Switching Fabric – Każdy z interfejsów posiada wyspecjalizowaną jednostkę podejmującą decyzje o drodze następnego przeskoku, dzięki czemu wszystkie interfejsy mogą być ze sobą połączone bezpośrednio.
  • Bus Backplane – Interfejsy sieciowe są połączone z pamięcią współdzieloną za pomocą szyny Bus.

Wizualizacja budowy wewnętrznej urządzenia sieciowego

• Rx/Tx Buffer – Każda nadchodąca jak i wychodząca ramka Ethernet-owa jest przetrzymywana w buforze pamięci określonego interfejsu. W zależności od modelu przełącznika, każdy z interfejsów może posiadać własny bufor pamięci bądź współdzielić go z grupą innych interfejsów sieciowych czy wszystkimi interfejsami danego urządzenia.
• Interfejs ASIC – Stanowi wyspecjalizowany rodzaj modułu ASIC, zajmującego się wykrywaniem kolizji (CSMA/CD) czy tagowaniem wychodzących ramek Ethernetowych na połączeniach Trunk-owych. W przypadku urządzeń posiadających dedykowany bufor względem każdego interfejsu przełącznika, moduł „interface ASIC” zarządza wymianą danych pomiędzy buforami (Rx/Tx) a szyną Switch Fabric.
• Forwarding Engine – W zależności od rodzaju modelu, przełącznik może posiadać wiele modułów Forwarding Engine współpracujących z odpowiadającymi im pamięciami TCAM. Zarówno moduł Forwarding Engine jak i pamięci TCAM może być dedykowana do konkretnych zadań takich jak switching L2 , routing L3, polityki QoS czy listy ACL

Rodzaje modułów Switch Fabric

• Shared Bus Switch Fabric – Wewnętrznie łączy interfejsy przełącznika w topologii szyny (Bus topology), w której dane pomiędzy interfejsami a silnikiem Forwarding Engine, nie mogą być przesyłane jednocześnie (Każdy z interfejsów musi poczekać na wolne pasmo, kontrolowane za pomocą odpowiednich komponentów fizycznych (Main Bus Controler)).

• Shared Ring Switch Fabric – Wewnętrznie łączy interfejsy przełącznika w topologii pierścienia (Ring topology). W tym przypadku każdy z interfejsów posiada swój własny silnik Forwarding Engine, a pierścień łączący interfejsy służy do przesyłania ramek Ethernetowych z interfejsu wejściowego (Ingress) na interfejs wyjściowy (Engress). Tak samo jak w przypadku modułu Shared Bus, w Switch Fabric dane nie mogą być nadawane jednocześnie.

Rodzaje pamięci wykorzystywanych w przełącznikach

• Pamięć CAM (Content Addressable Memory) – Przechowuje zawartość tablicy „MAC address table” danego przełącznika. Dzięki swojej budowie umożliwia szybkie porównywanie adresu docelowego MAC address, odebranej ramki Ethernetowej z zawartością tablicy „MAC address table” zapisanej w pamięci CAM, umożliwiając tym samym szybką identyfikację właściwego interfejsu wyjściowego. W pamięci CAM zawarte są informacje o:
  • Aresie MAC (Dane pozyskane z nadchodzących ramek Ethernet-owych).
  • Interfejsie, z którego nadeszła dana ramka Ethernet-owa.
  • Sieci VLAN do której należy dany interfejs.

Pamięć CAM jest pamięcią binarną która dostarcza dwa rodzaje odpowiedzi: 0 lub 1.

• Pamięć TCAM (Ternary Content Addressable Memory) – Przechowuje skompilowane wpisy, skonfigurowanych na przełączniku list ACL oraz polityk protokołu QoS. Przenosząc je z postaci wpisów systemowych na poziom sprzętowej pamięci fizycznej TCAM. W porównaniu do pamięci CAM, pamięć TCAM dodaje dodatkowy trzeci bit odpowiedzi X. W sumie zawierając trzy (Ternary) rodzaje odpowiedzi: zgadza się 1, nie zgadza się 0 oraz nie ma znaczenia X.
• Pamięć TCAM składa się z trzech wartości VMR: Value (134 Bits), Mask (134 Bits) oraz Result. Z których pierwsza wartość zawiera poniższe informacje, druga określa dane użyteczne zawarte w pierwszej wartości, natomiast trzecia definiuje akcję jaką należy podjąć po przeszukaniu zawartości pamięci TCAM:
  • IP protocol.
  • IP ToS (Type of Service).
  • Source IP.
  • Source port.
  • Source port LOU (Logical Operation Unit).
  • Destination IP.
  • Destination port.
  • Destination port LOU (Logical Operation Unit).

Przeważnie przełączniki wielowarstwowe posiadają wiele oddzielnych pamięci TCAM, dzięki czemu mogą np. odseparować listy wychodzące od przychodzących.

Podział funkcjonalności przełącznika

• Warstwa Management Plane – Nadzoruje proces zarządzania systemem IOS, za pomocą protokołu SSH, Telnet, HTTP bądź HTTPS. Umożliwiając zdalną kontrolę oraz monitoring urządzenia, jak i jego systemu.
• Warstwa Control Plane – Nadzoruje proces wymiany danych pomiędzy sąsiednimi urządzeniami warstwy trzeciej, uzupełniając na ich podstawie zawartość tablicy routingu.
• Warstwa Data, Forwarding Plane – Kieruje przepływem danych nadchodzących do lokalnego przełącznika. Dzięki tablicy CAM przełącznik wie na który interfejs wychodzący skierować nadchodzącą ramkę Ethernet-ową, natomiast dzięki tablicy FIB (Forwarding Information Base) przełącznik zarządza przepływem pakietów warstwy trzeciej.

Tryby pracy interfejsów przełącznika MLS

• Access. Trunk. Dynamic auto / desirable (All Layer 2).
• Layer 3 Interface.
• SVI (Switch Virtual Interface).
• EthernetChanel.
• Privat-VLAN.

Pozostałe tematy związane ze wstępem do warstwy drugiej

• Hierarchiczny model sieci
• Zasady działania przełączników
• Rodzaje przełączników
• Budowa fizyczna przełącznika
• Budowa przełącznika L2
• Budowa przełącznika L3
• Pamięć TCAM
• Cisco Express Forwarding
• Troubleshooting przełączników sieciowych
• Multi Layer Switching troubleshooting
• Konfiguracja przełączników sieciowych
• Multi Layer Switch
• Router on the Stick

Rodzaje urządzeń warstwy pierwszej oraz drugiej

HUB (Urządzenie warstwy pierwszej)

• Współdzieli pasmo pomiędzy wszystkimi interfejsami sieciowymi.
• Stanowi jedną domenę rozgłoszeniową oraz jedną domenę kolizji.

Sieć oparta na hub-ach nazywana jest „Shared Media Network”.

Mostek (Transparent Bridge)

• Jest urządzeniem, którego funkcje są zaimplementowane w strukturze oprogramowania (Software).
• Zwiększa pasmo sieci poprzez rozdzielenie dwóch domen kolizji z oddzielnymi wartościami pasma.
• Posiada dwa porty Ethernet-owe.
• Rozdziela dwie domeny kolizji.
• Tworzy jedną domenę rozgłoszeni-ową.

Przełącznik L2 (Ethernet Transparent Bridges)

• Ogranicza istniejącą domenę kolizji do poziomu pojedynczego interfejsu, który może pracować zarówno w trybie Full-Duplex (z wyłączoną funkcją CSMA/CD) jak i Half-Duplex (z włączoną funkcją CSMA/CD). W przypadku podłączenia hub-a lub innego urządzenia sieciowego do jednego z interfejsów przełącznika, może dojść do powstania kolizji sieciowej.
• Stanowi pojedynczą domenę rozgłoszeniową, opcjonalnie podzieloną za pomocą rutera bądź sieci wirtualnych VLAN.
• Stanowi urządzenie, którego funkcje są zaimplementowane w strukturze fizycznej (Hardware).
• Kontroluje przepływ danych, blokując rozprzestrzenianie się uszkodzonych ramek Ethernetowych. Dzięki czemu każda przychodząca ramka jest sprawdzana pod kontem błędów (CRC) a następnie puszczana dalej (Store-and-forward).
• Nie współdzieli pojedynczej wartości pasma pomiędzy swoimi interfejsami, dzięki czemu każdy z interfejsów posiada zarezerwowaną wartość pasma do nadawania bądź odbierania danych.
• Wspiera protokoły warstw wyższych zaimplementowane w strukturze fizycznej (Hardware), takie jak routing.
• Wspiera protokoły warstw wyższych zaimplementowane w strukturze oprogramowania (Software), takie jak tunele.
• Wykorzystuje inteligentne filtrowanie (ACL, QoS).

Przełącznik może być również nazwany wieloportowym mostem „Multiport Bridge”.

Metody przesyłania danych w warstwie drugiej (Switching)

• Metoda Store-and-forward Switching – Przetrzymuje nadchodzące ramki Ethernet-owe w buforze pamięci, gdzie są analizowane pod kontem docelowego adresu MAC oraz sumy kontrolnej CRC (Cyclic Redundancy Check). Po sprawdzeniu spójności danych, ramka Ethernetowa może być przekazywana do interfejsu wyjściowego.
• Metoda Cut-through Switching – Przetrzymuje nadchodzące ramki Ethernet-owe w buforze pamięci, gdzie są analizowane pod kontem docelowego adresu MAC. Po ustaleniu interfejsu docelowego na podstawie tablicy „MAC address table” ramka jest przekierowywana, bez sprawdzenia spójności sumy kontrolnej CRC.
• Metoda Fragment-free – Odbiera nadchodzące ramki Ethernet-owe sprawdzając czy w sieci dochodzi do fragmentacji.

Rodzaje przełączników sieciowych

Rodzaje przełączników

• Fixed-Configuration Switches – Zwykły przełącznik sieciowy, stanowiący pojedyńcza bryłę (Nie posiada funkcji rozbudowy o dodatkowe moduły np. nowe interfejsy. Może być łączony z innymi przełącznikami (Stacking)).
• Modular Switches – Przełącznik w postaci modularnej obudowy, zezwalającej na montaż opcjonalnych modułów.

Budowa przełączników modularnych

• Supervisor – Główny moduł zarządzający przełącznikiem modularnym. Zawierający między innymi komponent Forwarding Engine, procesor switching-u (L2) procesor routingu (L3) jak inne elementy przełącznika wielowarstwowego.

Pozostałe tematy związane ze wstępem do warstwy drugiej

• Hierarchiczny model sieci
• Zasady działania przełączników
• Rodzaje przełączników
• Budowa fizyczna przełącznika
• Budowa przełącznika L2
• Budowa przełącznika L3
• Pamięć TCAM
• Cisco Express Forwarding
• Troubleshooting przełączników sieciowych
• Multi Layer Switching troubleshooting
• Konfiguracja przełączników sieciowych
• Multi Layer Switch
• Router on the Stick