Wykorzystuje jeden link, który może być
przeciążony.
Ramki wielokrotnie pokonują tą samą drogę, przez
ten sam link (Przełącznik -> ruter {ruter podejmuje decyzja routingu} ruter
-> przełącznik).
Troubleshooting ROAS
Podczas Troubleshooting-u funkcji ROAS należy
sprawdzić czy:
Adres IP skonfigurowany na pod-interfejsie
należy do odpowiedniej sieci VLAN.
Wszystkie używane sieci VLAN są skonfigurowane
na przełącznikach.
Protokół STP nie blokuje interfejsu podłączonego
do rutera.
VLAN natywny jest taki sam na przełączniku jak i
na ruterze.
Konfiguracja Router on the Stick
Konfiguracja rutera
(config)# interface interfejs
Przechodzi do konfiguracji interfejsu fizycznego.
(config-if)# no shutdown
Włącza interfejs fizyczny.
(config-if)# interface interfejs.numer
Przechodzi do konfiguracji pierwszego pod-interfejsu (Numer pod-interfejsu nie musi być taki sam jak wartość ID obsługiwanego przez niego VLAN-u. Jednak dobrą praktyką jest aby liczby te były takie same, dzięki czemu administrator uniknie pomyłek w przyszłości).
W przypadku skonfigurowania pod-interfejsu bez użycia komendy „encapsulation”, interfejs będzie działał w VLAN-ie natywnym (Domyślnie jest to VLAN pierwszy). Pod komenda „native” informuje ruter jaka sieć jest VLAN jest natywna.
(config-if)# ip address adres-IP maska
Przypisuje adres IP, do konfigurowanego pod-interfejsu.
Komendy SHOW
# show vlans
Wyświetla interfejsy wraz z pod-interfejsami skonfigurowanymi do współpracy z sieciami VLAN. Zawiera informację o enkapsulacji pod-interfejsów oraz skonfigurowanym adresie IP.
Pozostałe tematy związane ze wstępem do warstwy drugiej
Ports– Zarówno fizyczne jak i logiczne interfejsy przełącznika umożliwiają komunikację z innymi urządzeniami.
ForwardingLogic – Przełączniki zawierają fizyczne komponenty umożliwiające podejmowanie decyzji na temat routingu.
Backplane– Łączy ze sobą wszystkie interfejsy przełącznika umożliwiając wewnętrzną komunikacje w obrębie jednego urządzenia. Nadchodzące ramki są przesyłane z interfejsu wejściowego (Ingress Port) na interfejs wyjściowy (Egress Port).
Control Plane – Kontroluje prace systemu IOS tworząc niezbędne struktury (NP. tablice „MAC Address Table”).
Show interface interfejs counters [errors]
Komenda [show interface interfejs counters] oraz komenda [show interface interfejs counters errors] umożliwia wykrywanie podstawowych błędów związanych z odbieraniem ramek Ethernet-owych.
Align-Err – An alignment error occurs when frames do not end with an even number of octets, while simultaneously having a bad cyclic redundancy check (CRC). An alignment error normally suggests a Layer 1 issue, such as cabling or port (either switchport or network interface card [NIC] port) issues.
FCS-Err – A frame check sequence (FCS) error occurs when a frame has an invalid checksum, although the frame has no framing errors. Like the Align-Err error, an FCS-Err often points to a Layer 1 issue, but it also occurs when there is a duplex mismatch.
Xmit-Err – A transmit error (that is, Xmit-Err) occurs when a port’s transmit buffer overflows. A speed mismatch between inbound and outbound links often results in a transmit error.
Rcv-Err– A receive error (that is, Rcv-Err) occurs when a port’s receive buffer overflows. Congestion on a switch’s backplane could cause the receive buffer on a port to fill to capacity, as frames await access to the switch’s backplane. However, most likely, a Rcv-Err is indicating a duplex mismatch.
UnderSize– An undersized frame is a frame with a valid checksum but a size less than 64 bytes. This issue suggests that a connected host is sourcing invalid frame sizes.
Single-Col– A Single-Col error occurs when a single collision occurs before a port successfully transmits a frame. Common reasons for a Single-Col error include high bandwidth utilization on an attached link or a duplex mismatch.
Multi-Col – A Multi-Col error occurs when more than one collision occurs before a port successfully transmits a frame. Similar to the Single-Col error, common reasons for a Multi-Col error include high bandwidth utilization on an attached link or a duplex mismatch.
Late-Cor– A late collision is a collision that is not detected until well after the frame has begun to be forwarded. While a Late-Col error could indicate that the connected cable is too long, this is an extremely common error seen in mismatched duplex conditions.
Excess-Col – The Excess-Col error occurs when a frame experiences 16 successive collisions, after which the frame is dropped. This error could result from high bandwidth utilization, a duplex mismatch, or too many devices on a segment.
Carri-Sen– The Carri-Sen counter is incremented when a port wants to send data on a half-duplex link. This is normal and expected on a half-duplex port, because the port is checking the wire to make sure that no traffic is present prior to sending a frame. This operation is the carrier sense procedure described by the carrier sense multiple access with collision detect (CSMA/CD) operation used on half-duplex connections. Full-duplex connections, however, do not use CSMA/CD.
Runts– A runt is a frame that is less than 64 bytes in size and has a bad CRC. A runt could result from a duplex mismatch or a Layer 1 issue.
Giants– A giant is a frame size greater than 1518 bytes (assuming that the frame is not a jumbo frame) that has a bad FCS. Typically, a giant is caused by a problem with the NIC in an attached host. The jumbo frame has a frame size greater than 1518 bytes, but it has a valid FCS.
Duplex Mismatched
Jeżeli urządzenie podłączone do przełącznika wspiera jedynie tryb „half-duplex” to dany interfejs automatycznie wynegocjuje zmianę statusu z trybu „full-duplex” na tryb „half-duplex” (Opcja auto negocjacji musi być włączona).
W przypadku braku możliwości automatycznego wynegocjowania trybu pracy interfejsu sieciowego, przełącznik automatycznie przejdzie w tryb „half-duplex”. Jeżeli jednak dojdzie do sytuacji w której obydwie strony połączenia będą pracowały w innych trybach, komunikacja może zostać zaburzona. Objawem błędnej konfiguracji trybu „duplex” jest stale zwiększający się licznik błędów „FCS-Err” oraz „Late-Col”, widoczny za pomocą komendy [show interface interfejs counters errors].
Encapsulation Mismatched
Enkapsulacja połączeń Trunk-owych może być osiągnięta za pomocą jednego z dwóch dostępnych protokołów: ogólnodostępnego 802.1Q ustandaryzowanego przez IEEE bądź ISL stworzonego przez Cisco. Domyślnie urządzenia Cisco wspierające obydwa rozwiązania będą próbowały wynegocjować połączenie ISL za pomocą protokołu DTP.
W przypadku łączenia przełączników Cisco z przełącznikami innych firm należy ręcznie skonfigurować połączenie na enkapsulacje 802.1Q ponieważ ani protokół DTP ani enkapsulacja ISL nie są wspierane przez innych producentów.
Funkcja Auto-MDIX
Funkcja „Auto-MDIX” umożliwia wykrycie trybu pracy urządzenia podłączonego do jednego z interfejsu przełącznika, sprawdzając czy urządzenia są podłączone odpowiednim kablem „Crossover” bądź „Straight-though”. Jeżeli podłączony został niewłaściwy kabel funkcja „Auto-MDIX” automatycznie dopasuje metodę nadawania i odbierania sygnałów.
Wykorzystanie procesora CPU
Pamięć TCAM a procesor CPU
Poziom wykorzystania procesora CPU w przełącznikach Cisco Catalyst jest przeważnie bardzo niski, ponieważ większa część operacji związanych z przekierowywaniem pakietów (Routingiem) jest obsługiwana na poziomie sprzętu fizycznego (Hardware) przy wsparciu pamięci TCAM. Bieżący poziom utylizacji procesora CPU można wyświetlić za pomocą komendy [show processes cpu], która to oprócz bieżącego procentowego zużycia procesora wyświetla procent utylizacji w ciągu ostatniej minuty oraz pięciu ostatnich minut.
Wysokie zużycie procesora CPU może negatywnie wpłynąć na wydajność przełącznika, powodując powstawanie opóźnień w obsłudze nadchodzącego ruchu sieciowego. Jedną z przyczyn takiego stanu może być bardzo duża ilość operacji wymagających interwencji procesora, najbardziej wymagające zadania to operacje:
ARP Input Process– W przypadku niewłaściwej konfiguracji statycznych tras routingu operacje protokołu ARP mogą znacząco zwiększyć zużycie procesora CPU. Przykładem błędnego użycia trasy statycznej jest trasa domyślna kierowana na interfejs fizyczny np. [ip route 0.0.0.0 0.0.0.0 gigabitethernet 0/0]. W takim przypadku zapytania ARP będą generowane dla każdego pakietu kierowanego na inny docelowy adres IP. Jest to wynikiem braku określenia adresu IP następnego przeskoku, a tym samym adres ten musi być wykryty za pomocą zapytań protokołu ARP.
Net Background Process – W przypadku zapełnienia wszystkich wejściowych buforów interfejsu sieciowego, dane mogą zostać przekierowane do głównego bufora, co wymaga użycia procesora CPU. Sytuacja ta może być wykryta w sytuacji zwiększających się wartości „Throttles”, „Ignored” oraz „Overrun” względem określonego interfejsu sieciowego, co jest szczególnie widoczne wydruku komendy [show interface interfejs].
IP Background Process – Zmiana statusu interfejsu z aktywnego up/up na pasywny down/down bądź zmiana adresu IP, wymaga każdorazowej interwencji procesora CPU.
TCP Timer Process – Procesy związane z połączeniami protokołu TCP obciążają procesor CPU, jeżeli są nawiązywane w dużej ilości, szczególnie jeżeli komunikacja „Three-Way Handshake” nie zostanie poprawnie zakończona, a tym samym zasoby urządzenia będą cały czas blokowane (Sytuacja tak może stanowić atak DDoS).
Komendy SHOW wykorzystywane w procesie troubleshooting-u utylizacji procesora CPU
#show ip arp
Wyświetla zawartość tablicy „ARP Cache”.
#show interface interfejs
Wyświetla szczegółowe informacje na temat danego interfejsu sieciowego.
#show tcp statistics
Wyświetla statystyki związane z protokołem TCP.
#show processes cpu
Wyświetla utylizacje procesora CPU.
#show processes cpu history
Wyświetla historie utylizacji procesora CPU.
Tworzenie kopi informacji o błędach krytycznych (Dump)
W przypadku wystąpienia błędu krytycznego, urządzenie wyśle zrzut własnej pamięci operacyjnej na wskazany w komendzie adres IP (Przy użyciu protokołu TFTP).
Zrzutu pamięci z użyciem protokołu FTP
Zrzut pamięci zostanie wykonany w przypadku zajścia błędu krytycznego.
(config)#ip ftp username login
Określa nazwę użytkownika usługi FTP.
(config)#ip ftp password hasło
Określa hasła użytkownika usługi FTP.
(config)# exception protocol ftp
Określa za pomocą jakiego protokołu zostanie wykonany zrzut pamięci.
Określa urządzenie na jakie zostanie wykonany zrzut pamięci.
Problemy związane z wysokim poziomem utylizacji pamięci
Memory Leak
W sytuacji rozpoczęcia nowego procesu, system IOS wydziela na jego utrzymanie cześć własnej pamięci. Po zakończeniu wykonywania operacji pamięć ta winna być zwrócona, jeżeli jednak tak się nie stanie dochodzi do sytuacji zwanej „Memory Leak”. Obecne wykorzystanie pamięci przez system operacyjny IOS można zaobserwować za pomocą wydruku komendy [show memory allocating-process totals].
# show memory allocating-process totals Head Total(b) Used(b) Free(b) Lowest(b) Largest(b) Processor 433A7F0 68159248 31930556 36228692 34345180 16768896 I/O 6400000 12582912 8668852 3914060 3794516 3912032 Driver te 2E00000 1048576 44 1048532 1048532 1048532 Allocator PC Summary for: Processor
PC Total Count Name 0x024B0BEC 4276620 1 LC message chunk 0x016DA424 4231044 19 Init 0x0138955C 3676596 3979 *Packet Header* 0x020A8098 2689356 9 Init 0x01BCC67C 2460948 317 Process Stack 0x021D02D0 1148240 63 COLL: coll rec 0x024AE640 680140 1 MDFS SPD Chunks …
Head – Określa adres alokacji pamięci.
Total – Określa całkowitą ilość pamięci.
Used – Określa całkowitą ilość wykorzystywanej pamięci.
Free – Określa całkowitą wolnej pamięci.
Lowest – Określa najniższą ilość wykorzystywanej pamięci, od momentu uruchomienia systemu IOS.
Largest – Określa najwyższą ilość wykorzystywanej pamięci, od momentu uruchomienia systemu IOS.
Buffer Leak – Stanowi problem podobny do „Memory Leak”, z tymże dotyczący buforów a nie pamięci. Poziom wykorzystania buforów można określić za pomocą komendy [show interfaces] jak i komendy [show buffers].
Pytania i odpowiedzi
? Informacja: The FIB and RIB receive routing updates at the same time.
? Informacja: CEF–A single database of routing information is built for the switching hardware.
! Problem 1: Komenda „show mac-address-table” nie wyświetla interfejsu ani sieci VLAN do której należy adres MAC.
$ Rozwiązanie 1: Host wysłał ramkę, której przełącznik nie może zrozumieć lub wykorzystuje dwie karty sieciowe do wysyłania jak i odbierania ruchu pomiędzy urządzeniami (NP. korzysta z funkcji Load balancing).
! Problem 2: Jakie kroki należy podjąć w celu zbadania problemów dotyczących „Duplex Mismatch”?
$ Rozwiązanie 2: Pola „auto-speed” jak i „auto-dupleks” powinny być takie same na obydwóch interfejsach określonego połączenia. Ponad to wartość „runts” jak i wartość „input errors” winna wynosić 0 i nie ulegać zwiększeniu.
? Pytanie 1: Jakie stwierdzenie opisuje przełącznik wykorzystujący funkcję CEF?
$ Odpowiedź 1: Pojedyncza baza routingu jest stworzona w strukturze sprzętowej przełącznika.
? Pytanie 2: W jaki sposób można opisać operację zachodzące w pamięci FIB?
$ Odpowiedź 2: Pamięć FIB przetrzymuje trasy dotarcia do hostów jak i najbardziej szczegółowy wpis (prefix) sieci wraz z adresem następnego przeskoku. Zawartość pamięci FIB może być wyświetlona za pomocą komendy [show ip cef vlan].
Pozostałe tematy związane ze wstępem do warstwy drugiej
Process Switching(Stosowany jedynie w starszych ruterach Cisco) – Stanowi najstarszą, najwolniejszą metodę kontroli przepływu danych, w której wszystkie nadchodzące pakiety są pojedynczo przetwarzane na poziomie systemu operacyjnego IOS, przez procesor (CPU). Proces ten znacząco zmniejsza wydajności urządzenia, przez co jest używany w ostateczności lub podczas rozwiązywania problemów sieciowych związanych z przepływem pakietów (Troubleshooting-u).
Komenda [show processes cpu] wyświetla listę aktywnych procesów obecnie przetwarzanych przez procesor CPU. Znajdujący się na tej liście proces „IP Input” określa ilość odwołań procesu przełączania pakietów do procesora CPU.
W przypadku metody Process Switching funkcja Load-balancing działa zgodnie z zasadą (Per-packet), kierującąc każdy następujący pakiet inną drogą.
Konfiguracja metody Process Switching, jest możliwa za pomocą komendy [ip router-cache], wydanej w trybie konfiguracji globalnej.
Przepływ danych w modelu Fast Switching
Router Cache Switching / Fast Switching (Flow-based Switching / Demand-Based Switching / Router once, Switch many / NetFlow Switching) – Wykorzystuje procesor routingu (RP) do określenia drogi docelowej względem pierwszego nadesłanego pakietu, dalsza część komunikacji jest przetwarzana przez silnik przełącznika (SE). Należy przy tym pamiętać, że dla pakietu z innym adresem docelowym (IPv4 czy IPv6), procesor routingu musi przeprowadzić nowe poszukiwanie interfejsu docelowego.
W przypadku metody Fast Switching funkcja Load-balancing działa zgodnie z zasadą (Per-destination), kierującąc każdy następujący przepływ (Flow) inną drogą, na podstawie docelowego adresu IP.
Przepływ danych w modelu Cisco Express Forwarding
Topology Based Switching(CEF – Cisco Express Forwarding) – Wykorzystuje procesor routingu (RP) wraz z informacjami warstwy trzeciej w celu stworzenia wydajnej, sprzętowej tablicy FIB(Forwarding Information Base). Zawierającej trasy pobrane z tablicy routingu, w celu osiągnięcia szybkiego przepływu nadchodzących pakietów. Dzięki temu rozwiązaniu procesor routingu(RP) jest używany jedynie w sytuacji zmiany topologii sieciowej, bądź w przypadku odebrania pakietu kierowanego bezpośrednio do lokalnego urządzenia.
W przypadku metody Cisco Expres Forwarding funkcja Load-balancing działa zgodnie z zasadą (Per-destination), kierującąc każdy następujący przepływ (Flow) inną drogą, na podstawie docelowego adresu IP.
Konfiguracja metody CEF, jest możliwa za pomocą komendy [ip cef], wydanej w trybie konfiguracji globalnej.
Obecnie domyślnie wykorzystywana jest metoda Cisco express Forwarding (CEF).
Troubleshooting problemów z opóźnieniami powstającymi na trasie
Korzystając z komendy Traceroute należy określić miejsce powstawania przestojów w strukturze sieci (Opóźnień).
Po określeniu urządzenia sprawiającego problemy, należy sprawdzić poziom utylizacji jego procesora [show process cpu]
Korzystając z komendy [show ip route adres-IP] należy określić czy ruter posiada trasę do określonej sieci.
Korzystając z komendy [show ip cef] należy określić czy interfejsy urządzenia wykorzystują funkcję CEF.
Korzystając z komendy [show ip cef adres-IP 255.255.255.255] należy określić czy wskazany adres znajduje się w pamięci FIB, jak i czy posiada adres następnego przeskoku.
Korzystając z komendy [show adjacency interfejs detail] oraz komendy [show ip arp] należy sprawdzić czy tablica sąsiedztwa posiada adres MAC odpowiadający adresowi IP następnego przeskoku dla danej trasy.
Łącząc się z urządzeniem następnego przeskoku należy zweryfikować na nim punkt 6.
Komendy SHOW dla Troubleshooting-u Packet-Switching-u
#show ip interface interfejs
Wyświetla szczegółowe informacje na temat danego interfejsu w tym jego statystyki.
#show ip cache
Wyświetla zawartość pamięci „Route Cache” (Dla trybu Fast Switching).
#show process cpu | include IP Input
Wyświetla ilość procesów routingu bezpośrednio obciążających procesor CPU.
#show ip cef
Wyświetla zawartość tablicy FIB. Trasy opisane jako „Receive” są przetwarzane przez procesor CPU.
#show ip cef adjacency interfejs-wychodzący adres-IP-następnego-przeskoku detail
Wyświetla sieci docelowe, osiągalne za pomocą kombinacji wskazanego interfejsu wyjściowego jak i adresu następnego przeskoku.
#show adjacency interfejs detail
Wyświetla zawartość tablicy „Adjacency Table”. Docelowy oraz źródłowy adres MAC, wraz z kodem określającym protokół IPv4 (0800) jest podany w jednym ciągu znaków.
Pozostałe tematy związane ze wstępem do warstwy drugiej
Określa czas, po upływie którego wpisy zawarte w tablicy „mac address-table” (pamięci CAM) zostaną usunięte. W przypadku nadejścia ramki Ethernet-owej czas ten jest resetowany.
Włącza opcje wysyłania wiadomości Traps w przypadku flap-owania adresów MAC, pomiędzy interfejsami określonego przełącznika, w przypadku użycia komendy [mac address-table notification threshold limit 0-100] wiadomości Trap będą również generowane w przypadku zapełnienia tablicy „MAC Address Table” w określonym procencie.
Włączanie / wyłączanie funkcji CEF na interfejsie
(config)#[no] ip cef …
Globalnie wyłącza / Włącza funkcję CEF na konfigurowanym urządzeniu.
Funkcja CEF nie może być wyłączona na przełącznikach wielowarstwowych.
(config)#sdm interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.
(config-if)#[no] ip route-cache cef …
Wyłącza / Włącza funkcję CEF względem określonego interfejsu.
Dopuszcza używanie adresacji IPv6 oraz określa wzorzec alokacji pamięci TCAM, względem protokołu IPv4 jak i IPv6.
Blokowanie adresów MAC
Blokowanie adresów MAC za pomocą funkcji Port Blocking
(config)#interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.
(config-if)#switchport protected
Blokuje ruch sieciowy (Unknown Unicast, Multicast oraz Broadcast) nadchodzący z innych interfejsów sieciowych, działających w trybie chronionym „Protected” (Ruch kontrolny nie jest blokowany).
(config-if)#switchport block unicast
Blokuje wymianę ruchu sieciowego (Unknown Unicast).
(config-if)#switchport block multicast
Blokuje wymianę ruchu sieciowego (Unknown Multicast).
Blokowanie adresów MAC za pomocą tablicy MAC Address Table
(config)#mac address-table static adres-MAC vlan vlan-ID drop
Blokuje ruch sieciowy nadchodzący z określonego adresu MAC (Jedynie ruch Unicast może być blokowany).
Komendy SHOW
Komendy SHOW-CAM / CLEAR
#show mac address-table dynamic [interface interfejs / vlan vlan-ID]
Wyświetla dynamicznie dodane adresy MAC.
#show mac address-table count [vlan vlan-ID]
Wyświetla ilość adresów MAC przypisanych do każdej sieci VLAN.
Wyświetla zawartość tablicy FIB. W przypadku wpisania adresu sieci wraz z maską, wyświetla najbardziej szczegółowy wpis z tablicy CEF. Pod komenda „longer-prefix” dodatkowo wyświetla wszystkie wpisy dopasowane do danej sieci.
# show ip cef 10.0.1.0 255.255.0.0 longer-prefix Prefix Next Hop Interface 192.168.1.1/32 receive Vlan1 192.168.1.0/32 receive Vlan1 192.168.1.255/32 receive Vlan1
Version – Określa czas ostatniej aktualizacji.
#show ip cef [brak /interfejs/ vlan vlan-ID/ adres-IP] [detail]
Wyświetla zawartość tablicy FIB.
# show ip cef 83.238.255.248 detail 83.238.255.248/29, epoch 3, flags rib only nolabel, rib defined all labels recursive via 10.200.36.22 attached to Vlan998
Wyświetla szczegółowe informacje ustawień interfejsu w tym: * Stan procesów CEF. * Wielkość MTU. * Ustawienia adresu IP i maski sieci. * Stan list ACL. * Stan Split-horizon.
Monitorowanie procesów przełącznika & rutera
# show processes cpu [sorted {5sec / 1min / 5min}]
Wyświetla listę aktywnych procesów.
# show processes cpu extended
Wyświetla statystyki utylizacji procesora CPU (Ostatnie 5 sekund).
# show processes cpu history
Wyświetla historię utylizacji procesora CPU w postaci graficznej.
# show processes ID-procesu
Wyświetla szczegółowe informacje na temat danego procesu.
Pozostałe tematy związane ze wstępem do warstwy drugiej
Domyślnie przełącznik L3 pracuje jedynie w warstwie drugiej, jednak za pomocą komendy [ip routing] można włączyć na nim funkcjonalność warstwy trzeciej, czyniąc go w pewnym sensie ruterem.
Aby podłączone do przełącznika L3 sieci VLAN, mogły się ze sobą komunikować (Inter-VLAN routing), należy stworzyć wirtualne interfejsy SVI(Switch Virtual Interface) dla każdej sieci VLAN, wraz z przypisanym do nich adresem IP bramy domyślnej. Aby utworzony interfejs SVI był aktywny, przynajmniej jeden z portów przełącznika musi należeć do sieci VLAN, do której należy dany interfejs SVI.
Niektóre przełączniki mają wyłączoną funkcjonalność warstwy trzeciej, aby ją włączyć należy użyć komendy [sdm prefer lanbase-routing] a następnie zresetować urządzenie. Po ponownym włączeniu przełącznika należy aktywować routing za pomocą komendy [ip routing].
Warunki stworzenia interfejsu wirtualnego SVI
Wykorzystywana do stworzenia interfejsu sieć VLAN musi być aktywna na danym urządzeniu.
Przynajmniej jeden z interfejsów przełącznika, musi należeć do wskazanej sieci VLAN.
Stworzony interfejs musi być aktywny [no shutdown].
Troubleshooting switch L3
Podczas troubleshooting-u przełącznika L3 należy sprawdzić czy:
Funkcja routingu została włączona poprzez globalną komendę [ip routing].
Sieci VLAN podpięte do interfejsów SVI, istnieją na przełączniku i są aktywne.
Przynajmniej jeden z interfejsów należy do tej samej sieci VLAN, co interfejs SVI (Access, Trunk).
Funkcja VTP nie wpływa negatywnie na istniejące sieci VLAN.
Przynajmniej jeden interfejs ma włączony protokół STP i jest w stanie „forwarding”.
Konfiguracja Multi Layer Switch
Konfiguracja interfejsu SVI
(config)#[no] ip routing
Wyłącza/ Włącza funkcje routing-u na konfigurowanym urządzeniu.
(config)#interface vlan vlan-ID
Tworzy nowy interfejs SVI (Podany VLAN musi istnieć na urządzeniu).
(config-if)#ip address adres-IP maska
Przypisuje adres IP, do konfigurowanego interfejsu wirtualnego.
(config)#interface interfejs
Przechodzi do konfiguracji interfejsu fizycznego.
(config-if)#switchport autostate exclude
Wyłącza na danym interfejsie, funkcję podtrzymywania aktywności SVI. Aby interfejs wirtualny mógł być w pełni funkcjonalny muszą zostać spełnione pewne warunki, wymagają one między innymi, aby przynajmniej jeden z interfejsów danego urządzenia należał do sieci VLAN w której został stworzony dany interfejs SVI. Powyższa komenda blokuje określony interfejs w podtrzymywaniu aktywności interfejsu wirtualnego SVI przez co nie liczy się on w procesie badania czy warunki dotyczące aktywności sieci VLAN zostały spełnione.
Aby interfejs SVI funkcjonował porwanie, przynajmniej jeden z interfejsów musi należeć do wskazanej sieci VLAN.
Konfiguracja interfejsów przełącznika
(config)#[no] ip routing
Wyłącza/ Włącza funkcje routing-u na konfigurowanym urządzeniu.
(config)#interface interfejs
Przechodzi do konfiguracji interfejsu fizycznego.
(config-if)#no switchport
Włącza funkcje warstwy trzeciej na określonym interfejsie (Routed Switch Port).
(config-if)#ip address adres-IP maska
Przypisuje adres IP, do konfigurowanego interfejsu sieciowego.
(config-if)#switchport
Wyłącza funkcje warstwy trzeciej na określonym interfejsie.
Komendy SHOW
#show interface status
Wyświetla skrócone informacje o interfejsach przełącznika, wraz z informacjami do jakiej sieci VLAN należą oraz w jakim są stanie (Jeśli interfejs działa w warstwie trzeciej, będzie widoczny jako VLAN „routed”).
#show interface interfejs switchport
Wyświetla status interfejsu warstwy drugiej. Jeżeli interfejs ma włączoną funkcje warstwy trzeciej to komenda wyświetli następującą treść:
# show interface gigabitethernet 0/1 switchport Name: Gi0/1 Switchport: Disabled
Pozostałe tematy związane ze wstępem do warstwy drugiej
Pamięć TCAM jest wykorzystywana w wielowarstwowych przełącznikach, do sprzętowej (Hardwar-owej) obsługi list dostępu ACLczy priorytetowania danych zgodnie z politykami QoS. W większości przypadków przełączniki posiadają wiele oddzielnych pamięci TCAM dzięki czemu mogą odseparować wychodzące listy ACL od przychodzących oraz pogrupować poszczególne polityki QoS, wykonując obydwie operacje jednocześnie.
Pamięć TCAM znajdująca się w przełącznikach formy Cisco, składa się z dwóch następujących komponentów:
FM(Feature Manager) – Po stworzeniu nowej listy ACL oprogramowanie FM kompiluje bądź łączy poszczególne wpisy ACE(Access Control Entities) danej listy ACL, w jeden wpis tablicy TCAM. Dzięki czemu wszelkie operacje filtrowania ruchu sieciowego mogą być wykonywane z prędkością przetwarzania ramki „Frame-Forwarding Speed”.
SDM(Switching Database Manager) – Stanowi oprogramowanie zarządzające pamięcią TCAM (Komenda [sdm prefer] umożliwia zmianę domyślnego sposobu alokacji pamięci TCAM).
Struktura pamięci TCAM
Pamięć TCAM umożliwia wykonywanie abstrakcyjnych operacji których wynikiem oprócz wartości 1 (zgadza się), 0 (nie zgadza się) jest wartośćX oznaczająca dane bez znaczenia.
Struktura pamięć TCAM składa się trzech wartości VMR (Value, Maskand Result) które można opisać następująco:
Value– 134-bitowa wartość określającą adres źródłowy bądź docelowy oraz wiele innych istotnych informacji dotyczących wybranego protokołu. Dane pobierane są bezpośrednio z wpisów ACE, a mogą być następujące:
Mask– 134-bitowa wartość odpowiadającą danym zawartym w polu Value. Umożliwia wykonanie logicznej operacji porównania poszczególnych wartość Maski z poszczególnymi wartościami Value, w celu określenia jaka część informacji ma znaczenie a jaka nie ma (Metoda ta działa identycznie jak maska podsieci).
Result– Numeryczna wartość reprezentującą akcje jaką należy podjąć po znalezieniu pasującego wpisu w tablicy TCAM. W przeciwieństwie do tradycyjnych list dostępu, ofertujących dwie wartości wyjściowe Permit oraz Deny, tablica TCAM umożliwia zwrócenie wartości Permit, Deny, QoS value bądź adresu next-hop.
Typ listy dostępu
Wartość Value oraz Mask (ilość bitów)
Ethernet
Source MAC (48), destination MAC (48), EtherType (16).
ICMP
Source IP (32), destination IP (32), protocol (16),
ICMP code(8), ICMP type (4), IP type of service (ToS) (8).
Extended IP using TCP/UDP
Source IP (32), destination IP (32), protocol (16), IP
ToS (8), source port (16), source operator (4), destination port (16),
destination operator (4).
Other IP
Source IP (32), destination IP (32), protocol (16), IP
ToS (8).
IGMP
Source IP (32),
destination IP (32), protocol (16), IP ToS (8), IGMP message type (8).
Dane zawarte w wartości Value oraz Mask, względem wybranego protokołu L2 bądź L3
W przypadku zapisu list ACL opartych o adresy IPv6. Pamięć TCAM musi zapisać większe 128 bitowe wartości adresów IPv6, co znacząco ogranicza jej pojemność. Związku z tym wymagana jest dodatkowa kompresja przetrzymywanych wpisów ACE.
LOU (Logical Operation Unit)
Pamięć TCAM umożliwia określenie portu TCP/UDP za pomocą komendy ACL np. „eq www” bądź „any”. Istnieją jednak wpisy ACE które wymagają wykonania dodatkowych operacji logicznych, zwiększając tym samym zapotrzebowanie na zasoby obliczeniowe przełącznika. Są to wpisy określające zakresy portów TCP/UDP np. „gt 1024” bądź „2000 2002”. Do wykonania powyższych operacji przełączniki wielowarstwowe wykorzystują funkcje LOU(Logical Operation Unit), umożliwia ona wykonanie operacji logicznych przy określaniu zakresów portów warstwy czwartej.
Poszczególne wartości LOU mogą być przyporządkowane do wielu wpisów ACE, dzięki czemu możliwe staje się ograniczenie wykorzystywanych zasobów przełącznika wielowarstwowego.
Ilość możliwych do stworzenia list ACE z wykorzystaniem LOU jest ograniczona ilością pamięci jaką posada przełącznik.
Operacje logiczne wykonywane za pomocą funkcji LOU są następujące: „neq”, „range”, „gt”, „it” czy „port port”.
Przy dopasowaniu zawartości nadchodzącego pakietu do wpisów ACE określonej listy ACL. Wszystkie wpisy pamięci TCAM są porównywane jednocześnie.
SDM (Switch Database Management)
SDM – sprawuje kontrolę nad pamięcią TCAM, rozdzielając posiadane zasoby przełącznika pomiędzy funkcjami warstwy drugiej oraz warstwy trzeciej. Dzięki podziałowi na tryby, administrator może wybrać jeden z gotowych szablonów określających ile pamięci zostanie przeznaczonych na każdą z funkcji przełącznika. Tryby pracy są następujące:
Default– Domyślny, zrównoważony tryb pracy pamięci przełącznika. Umożliwia zapisanie dużej ilości adresów MAC jak i wspiera tworzenie list dostępu ACL oraz zasad QoS.
Routing– Zwiększa ilość zasobów przeznaczonych na routing (Współpracuje jedynie z protokołem IPv4).
Access– Zwiększa ilość zasobów przeznaczonych na utrzymanie list ACL.
VLAN– Zwiększa ilość zasobów przeznaczonych na adresy MAC (Wyłącza wsparcie routingu IPv4).
Dual IPv4 and IPv6 – Umożliwia konfigurację protokołu IPv6 na przełączniku. Wraz z nie mniejszą komendą należy wybrać jedną z trzech poniższych opcji, zarządzania pamięcią TCAM:
Default– Przeznacza większą część miejsca na listy ACL oraz routing IPv4/IPv6, zmniejszając tym samym pojemność urządzenia względem adresów MAC w tablicy „MAC address table”.
Routing– Zwiększa ilość zasobów przeznaczonych na routing (Współpracuje protokołem IPv4 jak i IPv6).
VLAN– Zwiększa ilość zasobów przeznaczonych na adresy MAC (Wyłącza wsparcie routingu IPv4 / IPv6).
Pozostałe tematy związane ze wstępem do warstwy drugiej
Wielowarstwowe przełączniki wspierające funkcjonalność CEF wykorzystują w procesie routingu dwa bloki funkcyjne. Pierwszy silnik warstwy trzeciej (Layer 3 engine) defa kto stanowiący serce urządzenia, przetwarza informacje uzyskane poprzez routing statyczny jak i dynamiczny, generując na ich podstawie zawartość tablicy routingu. Następnie dane te są przenoszone do tablicy FIB(Forwarding Information Base) stanowiącej drugi blok fizyczny (Layer 3 Forwarding Engine). Dzięki temu zabiegowi SE (Switch Engine) zyskuje możliwość szybkiego przetwarzania danych.
Za każdym razem, kiedy dochodzi do zmian w topologii sieci (Następuje zmiana adresu IP bądź adresu MAC następnego przeskoku), zmianie ulega zawartość tablicy routingu, co wymusza aktualizację danych zawartych w tablicy FIB.
Tablica FIB przechowuje trasy dotarcia do sieci, zacząwszy od najbardziej dokładnych wpisów (np. 10.1.1.1/24) po te mniej szczegółowe (np. 10.1.0.0/16), wraz z adresem IP następnego przeskoku. Zawartość tablicy można wyświetlić za pomocą komendy [show ip cef vlan vlan-ID].
Wyjątki w przetwarzaniu pakietów przez funkcję CEF
Istnieją pakiety które nie mogą być obsłużone w szybkim procesie switching-u (z wykorzystaniem tablicy FIB). W tej sytuacji zwanej „CEF punt” pakiety są przekierowywane do silnika warstwy trzeciej. Możliwe przyczyny powstania tak owych wyjątków są następujące:
Wyjście dla danego pakietu nie zostało znalezione w tablicy FIB.
Tablica FIB jest przepełniona.
Wartość TTL pakietu IP została przekroczona (Jeśli spadnie do wartości 0) .
Wartość MTU została przekroczona.
Odebrano komunikat ICMP.
Typ enkapsulacji nie jest wspierany.
Pakiet jest tunelowany.
Wymagana jest operacja translacji NAT.
Jeżeli adres docelowy pakietu nie znajduje się w tablicy FIB, pakiet zostanie porzucony.
Platformy sprzętowe obsługujące funkcję CEF
Funkcja CEF może być obsługiwana przez jedną z wielu platform sprzętowych, umożliwiających współpracę wielu niezależnych procesorów na jednym przełączniku, tym samym zwiększając jego wydajność.
Accelerated CEF(aCEF) – Umożliwia rozprowadzenie funkcji CEF pomiędzy wieloma silnikami warstwy trzeciej, bez możliwości kopiowania całej zawartości tablicy FIB na poszczególne silniki podległe. Jeżeli pobrana część tablicy okaże się niewystarczająca, istnieje możliwość pobrania dodatkowych danych z silnika głównego.
Distributed CEF (dCEF) – Umożliwia rozprowadzenie funkcjonalności CEF pomiędzy wieloma silnikami warstwy trzeciej, z zamian zapewniając znacznie większą wydajność w przetwarzaniu pakietów. Przełączniki wspierające funkcję dCEF posiadają wiele tablic CEF rozlokowanych na rożnych fizycznych kartach (Line Card), zawierających oddzielne dedykowane silniki (Layer 3 Forwarding Engine), tablice FIBjak i tablice „Adjacency Table”. Tym samym umożliwiając wykonywanie wielu operacji routingu jednocześnie. Nad wszystkimi kartami (Line Card) piecze sprawuje jeden główny procesor wraz z główną tablicą FIB oraz główną tablicą „Adjacency Table”, których cała zawartość jest kopiowana do podległych procesorów.
Adjacency Table
Domyślnie procesor warstwy trzeciej (Layer 3 Engine) przetrzymuje w tablicy routingu dane dotyczące sieci docelowej, wraz z adresem IP następnego przeskoku, natomiast w tablicy ARP informacje warstwy drugiej, takie jak adres MAC odpowiadający powyższemu adresowi następnego przeskoku. Oby dwie tablice są przetrzymywane niezależnie, jednak zawarte w nich dane są niezbędne do stworzenia poprawnego pakietu jak i ramki Ethernet-owej.
W funkcji CFE (Layer 3 Forwarding Engine), rolętablicy routingu przejmuję tablica FIBnatomiast rolę tablicy ARP przejmuję tablica sąsiedztwa Adjacency Table.
Zawartość tablicy „Adjacency Table” jest uzupełniana na podstawie zawartości pamięci ARP cache lokalnego przełącznika. Może jednak zaistnieć sytuacja (zwana „CEF glean”)w której tablica ARP nie posiada adresu MAC address następnego przeskoku dla danego wyjścia (Next Hop), wymuszając tym samym użycie silnika warstwy trzeciej, mającego wysłać zapytanie ARP. W czasie oczekiwania na odpowiedź ARP wszelkie pakiety kierowane do danej sieci docelowej są natychmiast porzucane, aby nie spowodować wysłania zduplikowanego zapytania ARP co nazywamy „ARP throttling / throttling adjacency”. Jeśli odpowiedź ARP nie nadejdzie w ciągu 2 sekund zostaje ponowiona, do momentu otrzymania odpowiedzi zawierającej adres MAC. Który zostaje od razu wpisany do tablicy sąsiedztwa (Adjacency Table).
Tablica sąsiedztwa (Adjacency Table) zawiera wpisy znajdujące się w różnym stanie. A są one następujące:
StanGlean Adjacency– Występuje w przypadku braku adresu MAC, następnego przeskoku.
StanNull adjacency – Jest używany dla pakietów kierowanych na interfejs NULL (Jest to interfejs logiczny używany przez routery jak i przełączniki do wchłaniania pakietów bez ich dalszego przetwarzania).
StanDrop Adjacency– Jest skierowany dla pakietów które nie mogą być normalnie przetworzone (np. w przypadku błędu enkapsulacji, niewspieranego protokołu lub braku aktualnej trasy) (Komenda [show cef drop]).
StanDiscard Adjacency – Występuje w przypadku pakietów odrzucony z powodu np. listy ACL, czy kierowanych na wirtualny interfejs Looback.
StanPunt Adjacency – Występuje w przypadku pakietów wymagających dodatkowego przetworzenia przez procesor (RP) (Komenda [show cef not-cef-switched]).
Zawartość tablicy sąsiedztwa (Adjacency Table) można wyświetlić za pomocą komendy [show adjacency [summary / detail]], [show adjacency interfejs [detail]], [show adjacency vlan vlan-ID[detail]].
Rewrite Engine
Po przetworzeniu pakietów w procesie routingu
dane zawarte w ramce Ethernet-owej takie jak docelowy oraz źródłowy adres MAC, ulegają
zmianie. Aby umożliwić szybkie zaktualizowane nagłówka ramki Ethernet-owej
wielowarstwowy przełącznik MLS posiada dodatkowy blok umożliwiający zmianę
danych w czasie rzeczywistym. Zmianie może ulec:
Docelowy adres MAC ramki.
Źródłowy adres MAC ramki.
Suma kontrolna ramki.
Czas TTL pakietu.
Suma kontrolna pakietu.
Pozostałe tematy związane ze wstępem do warstwy drugiej
RIB(Router Information Base) – Przetrzymuje trasy routingu (Routing Table).
FIB (Forwarding Information Base) – Przetrzymuje podstawowe informacje na temat tras routingu, pobierając je bezpośrednio z tablicy (RIB). Przetrzymywane trasy routingu pozbawione są dodatkowych informacji zbędnych z punktu trasowania a przydatnych protokołom routingu dynamicznego. Są to informacje dotyczące metryki czy tagowania. Zawartość tablicy FIB można wyświetlić za pomocą komendy [show ip cef [detail]], [show ip cef adres-IP maska-sieci[detail]].
Process Switching (Stosowany jedynie w starszych ruterach Cisco) – Stanowi najstarszą, najwolniejszą metodę kontroli przepływu danych, w której wszystkie nadchodzące pakiety są pojedynczo przetwarzane na poziomie systemu operacyjnego Cisco IOS, przez procesor (CPU). Proces ten znacząco zmniejsza wydajności urządzenia przez co jest używany w ostateczności lub podczas rozwiązywania problemów sieciowych z przepływem danych (Troubleshooting-u).
Komenda [show processes cpu] wyświetla listę aktywnych procesów przetwarzanych przez procesor CPU. Znajdujący się na tej liście proces „IP Input” określa ilość odwołań procesu przełączania do procesora CPU.
Router Cache Switching / Fast Switching(Flow-based Switching/ Demand-Based Switching / Router once, Switch many / NetFlow Switching) – Wykorzystujeprocesor routingu(RP) do określenia drogi docelowej dla pierwszego nadesłanego pakietu, dalsza część komunikacji jest przetwarzana przezsilnik przełącznika(SE). Należy przy tym pamiętać, że dla pakietu z innym adresem docelowym, procesor routingu musi wykonać nowe poszukiwanie interfejsu docelowego.
Topology Based Switching,CEF (Cisco express Forwarding) – Wykorzystuje procesor routingu (RP) wraz z informacjami warstwy trzeciej w celu stworzenia wydajnej, sprzętowej tablicy FIB(Forwarding Information Base). Zawierającej trasy pobrane z tablicy routingu, w celu osiągnięcia szybkiego przepływu nadchodzących pakietów. Dzięki temu rozwiązaniu procesor routingu (RP) jest używany jedynie w sytuacji zmiany topologii sieciowej, bądź w przypadku odebrania pakietu kierowanego bezpośrednio do lokalnego urządzenia.
Obecnie domyślnie wykorzystywana jest metoda Cisco Express Forwarding (CEF).
Zasady działania MLS (Multi Layer Switching)
Budowa przełącznika warstwy trzeciej – Pamięć CAM, TCAM oraz FIB
Wszystkie decyzje podejmowane przez wielowarstwowy przełącznik są podejmowane jednocześnie na poziomie sprzętu fizycznego (hardware) przy użyciu następujących funkcji:
Tablica przekierowania L2 (L2 Forwarding Table /PamięćCAM) – Wykorzystuje docelowy adres MAC jako indeks wyszukiwania w tablicy CAM. Jednak, jeśli otrzymany pakiet L3 ma być przesłany do innej sieci, a jego docelowy adres MAC odpowiada adresowi przypisanemu do interfejsu warstwy trzeciej danego urządzenia, to jedynym zadaniem tablicy CAM będzie stwierdzenie, że otrzymana ramka musi być przetworzona w warstwie trzeciej.
Tablica przekierowania L3 (L3 Forwarding Table/PamięćFIB) – Wykorzystuje docelowy adres IP jako indeks wyszukiwania w tablicy FIB, którą przeszukuję w celu znalezienia najbardziej dopasowanego wpisu na podstawie wartości maski oraz adresu IP sieci. Wybrany wpis posiada przyporządkowany adres IP następnego skoku oraz odpowiadający mu adres MAC interfejsu wyjściowego dla danego pakietu.
Zasady Security ACLs (PamięćTCAM) – Wykorzystuje listy dostępu ACL do filtracji nadchodzących ramek, pod kontem zgodności z adresem MAC, rodzajem protokołu (pole type L2), adresem IP, protokołem (TCP, UDP czy IP) oraz numerem portu. Do swojego działania listy ACL wykorzystują pamięć TCAM.
Zasady QoS ACLs(PamięćTCAM) – Kolejkuje przepływający ruch sieciowy pod kontem priorytetu, dzięki czemu dane z wyższą wartością przesyłane jako pierwsze a tym samym nie giną „lost in the shuffle” w dużym natłoku przesyłanych informacji. Do swojego działania zasady QoS wykorzystują pamięć TCAM.
Po przetworzeniu pakietu przez przełącznik wielowarstwowy dane w nim zawarte takie jak wartość TTL czy źródłowy oraz docelowy adres MAC mogą ulec zmianie. W takim przypadku zachodzi potrzeba ponownego przeliczenia wartości kontrolnej pola FCS zawartego w nagłówku ramki Ethernet-owej.
Porównanie tablicy CAM z tablicą FIB
Wyjątki w przetwarzaniu danych przez MLS
Przeważnie pakiety wysyłane pomiędzy hostami są przetwarzane przez CEF bez wykonywania dodatkowych operacji. Istnieją jednak pewne pakiety, których zawartość musi być dodatkowo przetworzona, oznaczona (Flagged) a następnie przesyłana do procesora urządzenia (CPU) w celu dalszej obróbki. Do pakietów tych należą między innymi:
Zapytania ARP „Requests” oraz „Replies”.
Pakiety IP wymagające odpowiedzi od rutera (Przekroczona wartość TTL bądź MTU, potrzeba fragmentacji ITD.).
Aktualizacje procesu routingu.
Pakiety CDP.
Pakiety wymagające enkrypcji.
Pakiety wymagające translacji NAT.
Pakiety „Multiprotocol” (IPX, AppleTalk ITD.).
Brak wpisu w tablicy FIB.
ICMP Redirect (NOT ICMP reply)
Pozostałe tematy związane ze wstępem do warstwy drugiej
Tablica przekierowania L2 (L2 Forwarding Table) – Jest wykorzystywana do przesyłu danych na poziomie warstwy drugiej. Jej zawartość jest przetrzymywana w szybkiej pamięci CAM, dzięki czemu operacje poszukiwania interfejsu wyjściowego dla nadchodzących ramek Ethernet-owych (Na podstawie adresu MAC), nie generują opóźnień.
Zasady Security ACLs – Wykorzystują listy dostępu ACL do filtracji nadchodzących ramek Ethernet-owych, pod kontem zgodności z adresem MAC, rodzajem protokołu (pole type L2), adresem IP, protokołem (TCP, UDP czy IP) oraz numerem portu. Do funkcjonowania listy ACL wykorzystują pamięć TCAM.
Zasady QoS ACLs – Kolejkuje przepływający ruch sieciowy pod kontem priorytetu, dzięki czemu dane z wyższą wartością przesyłane jako pierwsze a tym samym nie giną „lost in the shuffle” w dużym natłoku przesyłanych informacji. Do swojego działania zasady QoS wykorzystują pamięć TCAM.
Wszystkie operacje (Security ACLs, QoS ACLs oraz L2 Forwarding) są wykonywane jednocześnie.
Budowa przełącznika sieciowego – Pamięć CAM oraz TCAM
Pozostałe tematy związane ze wstępem do warstwy drugiej
Podstawowe komponenty przełącznika warstwy trzeciej MLS
Switching Processor – Przetwarza protokoły związane z warstwą drugą modelu OSI, takie jak STP, CDP, VTP czy DTP.
Routing Processor– Przetwarza protokoły związane z warstwą trzecią modelu OSI, takie jak Routing, ACL czy ARP.
W zależności od modelu przełącznika, procesor warstwy drugiej oraz trzeciej może stanowić jeden fizyczny komponent (Router and Switch Processor) bądź dwa odrębne komponenty RPoraz SP.
Switch Fabric– Stanowi wewnętrzne łącze pomiędzy interfejsami przełącznika oraz innymi komponentami fizycznymi.
ASIC(Application-Specyfic Integrated Circuit) – Komponent fizyczny (Hardware) wyspecjalizowany do wykonywania jednego bądź wielu zadań. Np. przetwarzania nadchodzących ramek Ethernetowych czy szyfrowania pakietów IP.
Memory– Przełączniki wielowarstwowe posiadają wiele rodzajów wyspecjalizowanej pamięci fizycznej:
Pamięć Flash – Przetrzymuje obraz startowy systemu Cisco IOS.
Pamięć DRAM – Przetrzymuje zawartość tablicy Routingu, tablicy odwzorowania adresów ARP, tablicy FIB, oraz tablicy Adjacency Table jak i zawartość aktualnej, aktywnej konfiguracji urządzenia (Running Config).
Pamięć NVRAM – Przetrzymuje konfigurację startową systemu Cisco IOS.
Pamięć CAM – Przetrzymuje zawartość tablicy MAC Address Table.
Pamięć DRAM przechowuje niektóre komponenty systemu IOS, takie jak bieżącą konfigurację systemu (Running Config) tablicę routingu, tablicę odwzorowania adresów ARP, tablicę FIB czy tablicę Adjacency Table. Cześć powyższych komponentów jest kopiowana a następnie przetrzymywana w pamięć TCAM (Tablica FIB oraz tablica Adjacency Table). Jako że pamięć DRAM jest bardziej pojemna od pamięci TCAM istnieje możliwość, że z powodu ograniczonego miejsca pamięć TCAM ulegnie przepełnieniu. Co może wiązać się z znaczącym wzrostem procesów „IP Input” przetwarzanych przez procesor CPU. Wynikających z baku możności zapisu tras routingu w szybkiej pamięci TCAM.
Komponenty fizyczne urządzenia sieciowego
Interface Processor – Wyspecjalizowany chip (ASIC) stanowiący część interfejsu sieciowego, zajmującego się dekodowaniem elektrycznych bądź optycznych sygnałów docierających do interfejsu sieciowego za pomocą nośnika fizycznego. Przetwarza nadchodące sygnały w dane binarne czy wychodzące dane w sygnały elektryczne bądź świetlne.
Central Processing Unit– Główna jednostką CPU na której operuje system Cisco IOS.
Memory – Pamięć wykorzystywana w urządzeniach sieciowych do buforowania nadchodzących jak i wychodzących ramek, przetrzymywania tablicy routingu czy switching-u oraz zapisu reszty danych wykorzystywanych przez system IOS.
DRAM (Dynamic Random-Access Memory).
SDRAM (Synchronous Dynamic Random-Access Memory).
Backplanes & Switch Fabric – Ramki Ethernetowe przychodzące na interfejs sieciowy, trafiają do lokalnego bufora pamięci, skąd po przetworzeniu są kierowane na bufor wyjściowy innego interfejsu sieciowego. Aby wykonać ten proces, w urządzeniu musi istnieć wewnętrzna komunikacja. Wewnętrzną wymianą danych w obrębie jednego urządzenia, zajmuje się moduł Switch Fabric, wykorzystujący jedną z następujących technologii:
Shared Memory – Nadchodzące ramki są kopiowane do szybkiej pamięci współdzielonej przez szereg interfejsów sieciowych. W tym wypadku główne ograniczenie wydajności stanowi przepustowość pamięci współdzielonej.
Crossbar Switching Fabric– Każdy z interfejsów posiada wyspecjalizowaną jednostkę podejmującą decyzje o drodze następnego przeskoku, dzięki czemu wszystkie interfejsy mogą być ze sobą połączone bezpośrednio.
Bus Backplane– Interfejsy sieciowe są połączone z pamięcią współdzieloną za pomocą szyny Bus.
Wizualizacja budowy wewnętrznej urządzenia sieciowego
Wizualizacja budowy wewnętrznej przełącznika warstwy trzeciej
Rx/Tx Buffer – Każda nadchodąca jak i wychodząca ramka Ethernet-owa jest przetrzymywana w buforze pamięci określonego interfejsu. W zależności od modelu przełącznika, każdy z interfejsów może posiadać własny bufor pamięci bądź współdzielić go z grupą innych interfejsów sieciowych czy wszystkimi interfejsami danego urządzenia.
Interfejs ASIC – Stanowi wyspecjalizowany rodzaj modułu ASIC, zajmującego się wykrywaniem kolizji (CSMA/CD) czy tagowaniem wychodzących ramek Ethernetowych na połączeniach Trunk-owych. W przypadku urządzeń posiadających dedykowany bufor względem każdego interfejsu przełącznika, moduł „interface ASIC” zarządza wymianą danych pomiędzy buforami (Rx/Tx) a szyną Switch Fabric.
Forwarding Engine– W zależności od rodzaju modelu, przełącznik może posiadać wiele modułów Forwarding Engine współpracujących z odpowiadającymi im pamięciami TCAM. Zarówno moduł Forwarding Engine jak i pamięci TCAM może być dedykowana do konkretnych zadań takich jak switching L2 , routing L3, polityki QoS czy listy ACL
Rodzaje modułów Switch Fabric
Shared Bus Switch Fabric – Wewnętrznie łączy interfejsy przełącznika w topologii szyny (Bus topology), w której dane pomiędzy interfejsami a silnikiem Forwarding Engine, nie mogą być przesyłane jednocześnie (Każdy z interfejsów musi poczekać na wolne pasmo, kontrolowane za pomocą odpowiednich komponentów fizycznych (Main Bus Controler)).
Wizualizacja modułu Shared Bus Switch Fabric
Shared Ring Switch Fabric – Wewnętrznie łączy interfejsy przełącznika w topologii pierścienia (Ring topology). W tym przypadku każdy z interfejsów posiada swój własny silnik Forwarding Engine, a pierścień łączący interfejsy służy do przesyłania ramek Ethernetowych z interfejsu wejściowego (Ingress) na interfejs wyjściowy (Engress). Tak samo jak w przypadku modułu Shared Bus, w Switch Fabric dane nie mogą być nadawane jednocześnie.
Wizualizacja modułu Shared Ring Switch Fabric
Rodzaje pamięci wykorzystywanych w przełącznikach
PamięćCAM (Content Addressable Memory) – Przechowuje zawartość tablicy „MAC address table” danego przełącznika. Dzięki swojej budowie umożliwia szybkie porównywanie adresu docelowego MAC address, odebranej ramki Ethernetowej z zawartością tablicy „MAC address table” zapisanej w pamięci CAM, umożliwiając tym samym szybką identyfikację właściwego interfejsu wyjściowego. W pamięci CAM zawarte są informacje o:
Aresie MAC (Dane pozyskane z nadchodzących ramek Ethernet-owych).
Interfejsie, z którego nadeszła dana ramka Ethernet-owa.
Sieci VLAN do której należy dany interfejs.
Pamięć CAM jest pamięcią binarną która dostarcza dwa rodzaje odpowiedzi: 0 lub 1.
PamięćTCAM (TernaryContent Addressable Memory) – Przechowuje skompilowane wpisy, skonfigurowanych na przełączniku list ACL oraz polityk protokołu QoS. Przenosząc je z postaci wpisów systemowych na poziom sprzętowej pamięci fizycznej TCAM. W porównaniu do pamięci CAM, pamięć TCAM dodaje dodatkowy trzeci bit odpowiedzi X. W sumie zawierając trzy (Ternary) rodzaje odpowiedzi: zgadza się1, nie zgadza się0 oraz nie ma znaczeniaX.
Pamięć TCAM składa się z trzech wartości VMR: Value(134 Bits), Mask(134 Bits) oraz Result. Z których pierwsza wartość zawiera poniższe informacje, druga określa dane użyteczne zawarte w pierwszej wartości, natomiast trzecia definiuje akcję jaką należy podjąć po przeszukaniu zawartości pamięci TCAM:
IP protocol.
IP ToS (Type of Service).
Source IP.
Source port.
Source port LOU (Logical Operation Unit).
Destination IP.
Destination port.
Destination port LOU (Logical Operation Unit).
Przeważnie przełączniki wielowarstwowe posiadają wiele oddzielnych pamięci TCAM, dzięki czemu mogą np. odseparować listy wychodzące od przychodzących.
Podział funkcjonalności przełącznika
WarstwaManagement Plane – Nadzoruje proces zarządzania systemem IOS, za pomocą protokołu SSH, Telnet, HTTP bądź HTTPS. Umożliwiając zdalną kontrolę oraz monitoring urządzenia, jak i jego systemu.
WarstwaControl Plane – Nadzoruje proces wymiany danych pomiędzy sąsiednimi urządzeniami warstwy trzeciej, uzupełniając na ich podstawie zawartość tablicy routingu.
WarstwaData, Forwarding Plane – Kieruje przepływem danych nadchodzących do lokalnego przełącznika. Dzięki tablicy CAM przełącznik wie na który interfejs wychodzący skierować nadchodzącą ramkę Ethernet-ową, natomiast dzięki tablicyFIB(Forwarding InformationBase) przełącznik zarządza przepływem pakietów warstwy trzeciej.
Tryby pracy interfejsów przełącznika MLS
Access. Trunk. Dynamic auto / desirable (All Layer 2).
Layer 3 Interface.
SVI (Switch Virtual Interface).
EthernetChanel.
Privat-VLAN.
Pozostałe tematy związane ze wstępem do warstwy drugiej
Współdzieli pasmo pomiędzy wszystkimi
interfejsami sieciowymi.
Stanowi jedną domenę rozgłoszeniową oraz jedną
domenę kolizji.
Sieć oparta na hub-ach nazywana jest „Shared Media Network”.
Mostek (Transparent Bridge)
Jest urządzeniem, którego funkcje są zaimplementowane w strukturze oprogramowania (Software).
Zwiększa pasmo sieci poprzez rozdzielenie dwóch domen kolizji z oddzielnymi wartościami pasma.
Posiada dwa porty Ethernet-owe.
Rozdziela dwie domeny kolizji.
Tworzy jedną domenę rozgłoszeni-ową.
Przełącznik L2 (Ethernet Transparent Bridges)
Ogranicza istniejącą domenę kolizji do poziomu pojedynczego interfejsu, który może pracować zarówno w trybie Full-Duplex (z wyłączoną funkcją CSMA/CD) jak i Half-Duplex (z włączonąfunkcją CSMA/CD). W przypadku podłączenia hub-a lub innego urządzenia sieciowego do jednego z interfejsów przełącznika, może dojść do powstania kolizji sieciowej.
Stanowi pojedynczą domenę rozgłoszeniową, opcjonalnie podzieloną za pomocą rutera bądź sieci wirtualnych VLAN.
Stanowi urządzenie, którego funkcje są zaimplementowane w strukturze fizycznej (Hardware).
Kontroluje przepływ danych, blokując rozprzestrzenianie się uszkodzonych ramek Ethernetowych. Dzięki czemu każda przychodząca ramka jest sprawdzana pod kontem błędów (CRC) a następnie puszczana dalej (Store-and-forward).
Nie współdzieli pojedynczej wartości pasma pomiędzy swoimi interfejsami, dzięki czemu każdy z interfejsów posiada zarezerwowaną wartość pasma do nadawania bądź odbierania danych.
Wspiera protokoły warstw wyższych zaimplementowane w strukturze fizycznej (Hardware), takie jak routing.
Wspiera protokoły warstw wyższych zaimplementowane w strukturze oprogramowania (Software), takie jak tunele.
Wykorzystuje inteligentne filtrowanie (ACL, QoS).
Przełącznik może być również nazwany wieloportowym mostem „Multiport Bridge”.
Metody przesyłania danych w warstwie drugiej (Switching)
MetodaStore-and-forward Switching – Przetrzymuje nadchodzące ramki Ethernet-owe w buforze pamięci, gdzie są analizowane pod kontem docelowego adresu MAC oraz sumy kontrolnej CRC (Cyclic Redundancy Check). Po sprawdzeniu spójności danych, ramka Ethernetowa może być przekazywana do interfejsu wyjściowego.
MetodaCut-through Switching – Przetrzymuje nadchodzące ramki Ethernet-owe w buforze pamięci, gdzie są analizowane pod kontem docelowego adresu MAC. Po ustaleniu interfejsu docelowego na podstawie tablicy „MAC address table” ramka jest przekierowywana, bezsprawdzenia spójności sumy kontrolnej CRC.
MetodaFragment-free – Odbiera nadchodzące ramki Ethernet-owe sprawdzając czy w sieci dochodzi do fragmentacji.
Rodzaje przełączników sieciowych
Rodzaje przełączników
Fixed-Configuration Switches – Zwykły przełącznik sieciowy, stanowiący pojedyńcza bryłę (Nie posiada funkcji rozbudowy o dodatkowe moduły np. nowe interfejsy. Może być łączony z innymi przełącznikami (Stacking)).
Modular Switches – Przełącznik w postaci modularnej obudowy, zezwalającej na montaż opcjonalnych modułów.
Budowa przełączników modularnych
Supervisor– Główny moduł zarządzający przełącznikiem modularnym. Zawierający między innymi komponent Forwarding Engine, procesor switching-u (L2) procesor routingu (L3) jak inne elementy przełącznika wielowarstwowego.
Pozostałe tematy związane ze wstępem do warstwy drugiej
Jeżeli przynajmniej jedna ze stron połączenia sieciowego nie wspiera auto-negocjacji, tryb pracy interfejsu (Full duplex mode) nie zostanie wynegocjowany a tym samym połączenie będzie działało w trybie Half Duplex.
Rodzaje standardówFast Ethernet:
100BASE-TX– (Kabel EIA/TIA Kategorii 5 UTP), 2 pary, 100 metrów.
100BASE-T2– (Kabel EIA/TIA Kategorii 3,4,5 UTP), 2 pary, 100 metrów.
100BASE-T4– (Kabel EIA/TIA Kategorii 3,4,5 UTP), 4 pary, 100 metrów.
Interfejs Ten Gigabit oraz inne interfejsy z większą przepustowością, mogą pracować jedynie w trybie Ful Duplex Mode.
Analiza komendy SHOW INTERFACE
Komenda [show interface] może być użyta w celu zlokalizowania problemów z:
Prędkością (Speed) oraz dupleksem (duplex) w którym pracuje określony interfejs. W tym celu należy zweryfikować funkcję aut-duplex oraz auto-speed na obydwóch końcach połączenia sieciowego jak i sprawdzić czy wartość „runts” wynosi zero i nie ulega zwiększeniu.
# show interfaces gigabitEthernet 0/1 GigabitEthernet0/1 is up, line protocol is up (connected) Hardware is iGbE, address is fa16.3e36.e468 (bia fa16.3e36.e468) MTU 1500 bytes, BW 1000000 Kbit/sec, DLY 10 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Auto Duplex, Auto Speed, link type isauto, media type is unknown media type output flow-control is unsupported, input flow-control is unsupported Full-duplex, Auto-speed, link type is auto, media type is RJ45 input flow-control is off, output flow-control is unsupported ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:00, output 00:00:13, output hang never Last clearing of “show interface” counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 5000 bits/sec, 4 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 399267 packets input, 66052549 bytes, 0 no buffer Received 420023 broadcasts (420023 multicasts) 0runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 420023 multicast, 0 pause input 8870 packets output, 1161302 bytes, 0 underruns 0 output errors, 0 collisions, 2 interface resets 0 unknown protocol drops 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier, 0 pause output 0 output buffer failures, 0 output buffers swapped out
Input drops– Zlicza porzucone pakiety przychodzące na określony interfejs.
Output drops – Zlicza porzucone pakiety wychodzące z danego interfejsu (Należy pamiętać, że pakiety porzucone na wyjściu z interfejsu mają mniejszy wpływ na wydajność urządzenia niż te porzucone przy wejściu).
No buffer– Zlicza pakiety porzucone z powodu przepełnienia bufora pamięci danego interfejsu.
Broadcasts – Zlicza wszystkie ramki broadcast otrzymane na danym interfejsie.
Runts – Zlicza nadesłane na interfejs sieciowy ramki Ethernet-owe, krótsze niż 64 bajty.
Giants – Zlicza nadesłane na interfejs sieciowy ramki Ethernet-owe, dłuższe niż 1518 bajtów.
Throttles – Zlicza liczbę zapytań wysłanych z lokalnego interfejsu sieciowego do innych interfejsów routera, z prośbą o zwolnienie w nadawaniu kolejnych pakietów.
Input errors– Zlicza ilość otrzymanych błędnych ramek, pakietów na danym interfejsie (Do błędów tych zalicza się: wiadomości No buffer, Runts, Giants, CRCs, Frame, Overrun, Ignored, and Aborts).
CRC – Zlicza pakiety odrzucone na wejściu z określonego interfejsu sieciowego z powodu niezgodności sumy CRC.
Frame – Number of frames received that did not end on a 8-bit byte boundary.
Overrun – The number of times the receiver hardware was unable to hand received data to a hardware buffer because the input rate exceeded the receiver’s ability to handle the data.
Ignored – Packets dropped because the interface hardware buffers ran low on internal buffers. These buffers are different from the system buffers mentioned previously.
Abort – An illegal sequence of 1’s bits was detected in a frame received.
Dribble condition detected– Dribble bit error indicates that a frame is slightly too long. This frame error counter is incremented just for informational purposes; the router accepts the frame.
Underruns– The number of times the transmitter has been running faster than the router can handle. This may never be reported on some interfaces.
Output errors– A sum of all output errors. This may not tally with the output error.
Collisions– The count of frames that were transmitted successfully after one collision. (Transmitted on the second attempt.)
Interface resets – The number of times the interface had a reset. Normally a result of missed keepalives.
Babbles– Count of frames transmitted greater than 1518 bytes.
Late collision– A collision that occurs after the interface has started transmitting its frame.
Deferred– The count of frames that were transmitted successfully after waiting because the media was busy.
Lost carrier – The number of times the carrier was lost during transmission.
No carrier – The number of times the carrier was not present during the transmission.
Output buffer failures– The number of times a packet was not output from the output hold queue because of a shortage of MEMD shared memory.
Output buffers swapped out – The number of packets stored in main memory when the output queue is full; swapping buffers to main memory prevents packets from being dropped when output is congested. The number is high when traffic is bursty.
Zasady działania przełącznika sieciowego
Przełączniki sieciowe w zależności od zawartości odebranej ramki Ethernetowej, mogą ją: porzucić, przesłać na ustalony za pomocą tablicy „MAC Address Table” interfejs sieciowy czy w przypadku braku wpisu na temat docelowego adresu MAC, rozesłać ją na wszystkie interfejsy sieciowe zgodnie z zasadą dobrej wiary (Best effort), że dotrze ona do urządzenia docelowego. Szczegółowy opis zachowań przełącznika względem napływającego ruchu sieciowego:
W przypadku ruchu rozgłoszeni-owego (broadcast, multicast) oraz nieznanego ruchu unicast (unknown unicast) – Nadchodząca ramka jest rozsyłana na wszystkie interfejsy, poza tym z którego została nadesłana. (W przypadku nieznanego ruchu unicast (unknown unicast) proces rozsyłania ramek jest nazywany (Unknown unicast flooding)).
W przypadku znanego ruchu Unicast – Nadchodząca ramka jest wysyłana na interfejs, do którego został przypisany taki sam adres MAC, jaki stanowi adres docelowy samej ramki Ethernetowej. W przypadku, w którym docelowy adres MAC jest przypisany do interfejsu, z którego została nadesłana dana wiadomość, ramka zostaje porzucona.
Nauka adresów MAC– Adres źródłowy MAC każdej nadchodzącej ramki, jest przypisywany do interfejsu, na którym dana ramka została odebrana. Poszczególne wpisy oprócz adresu MAC oraz przypisanego mu interfejsu, zawierają informację na temat sieci VLAN do której należy jak i wartości czasu przez który dane te będą przechowywane w pamięci urządzenia, domyślna wartość czasu „Aging Time” wynosi 300 sekund.
Akcje wykonywane przez przełącznik
Forward – Przesyła nadchodzący ruch sieciowy poprzez określony interfejs wyjściowy (Engress Port).
Flood – Rozsyła nadchodzący ruch sieciowy na wszystkie interfejsy sieciowe, poza tym z którego został nadesłany.
Discard – Porzuca nadchodzący ruch sieciowy.
Proces przepływu danych przez przełącznik
Każda nadchodząca do przełącznika ramka Ethernetowa, trafia do bufora pamięci (Ingress Queues) danego interfejsu wejściowego. Interfejs może posiadać wiele kolejek wejściowych różniących się np. priorytetem określonym przez zasady QoS. Dzięki czemu ruch sieciowy wrażliwy na opóźnienia czasowe może być szybciej obsłużony, a tym samym zniwelowane zostanie zagrożenie przestoju zwanego „lost in the shuffle”.
Następnie ramka przechodzi proces weryfikacji integralności na podstawie sumy kontrolnej CRC, w przypadku wykrycia uszkodzenia zostaje odrzucona. Po pozytywnym rozstrzygnięciu integralności docelowy adres MAC jest porównywany z zawartością lokalnej tablicy „MAC address table”. W przypadku znalezienia pasującego wpisu ramka zostaje przesłana do kolejki wyjściowej (Engress Queues) interfejsu docelowego.
W przypadku, w którym ramka Ethernetowa kierowana jest na wewnętrzny adres MAC interfejsu fizycznego bądź logicznego przełącznika, zachodzi potrzeba jej dodatkowego przetworzenia. Jeżeli dany interfejs pracuje w warstwie trzeciej, ramka jest de-enkapsulowana do postaci pakietu a następnie przetwarzana przez tablicę FIB.
Po przetworzeniu pakietu dane w nim zawarte, takie jak wartość TTL mogą ulec zmianie. W takim wypadku zachodzi potrzeba ponownego przeliczenia wartości kontrolnej. Dodatkowo po enkapsulacji do postaci ramki zmianie ulegną obydwa adresy MAC przez co konieczne staję się wyliczenie wartości kontrolnej CRC warstwy drugiej.
Decyzje dotyczące tego, gdzie, jak i w jakiej kolejności, należy przesyłać nadchodzące do przełącznika ramki Ethernetowe, są podejmowane jednocześnie przez różne komponenty fizyczne urządzenia, takie jak pamięć CAM, TCAM czy FIB.
Rodzaje ruchu sieciowego i adresów MAC
MAC Known unicast address – Stanowi adres MAC przypisany do jednego z interfejsów przełącznika, dzięki czemu urządzenie wie, że wszystkie ramki z danym adresem MAC występującym w roli adresu docelowego, mają być kierowane na dany interfejs wyjściowy.
MAC Unknown unicast address – Stanowi adres MAC nie przypisany do żadnego z interfejsów przełącznika.
MAC broadcast address(ffff.ffff.ffff) – Stanowi adres MAC kierowany do wszystkich urządzeń znajdujących się w danej domenie rozgłoszeniowej. Jest wysyłany na wszystkie interfejsy należące do tej samej sieci VLAN.
MAC multicast address (dla IPv4 – 01xx.xxxx.xxx/ dla IPv6 – 3333.xxxx.xxxx).
Podstawowe zagadnienia warstwy drugiej (Ethernet)
Protokół CSMA/CD(Carrier Sense Multiple Access / with Collision Detection) – Nasłuchuje czy medium transmisji jest wolne po czym rozpoczyna proces transmisji danych. Ze względu na skończoną prędkość rozchodzenia się sygnału w przewodzie jak i czas transmisji, może dojść do sytuacji, w której dwa hosty nadadzą komunikat w tym samym czasie, przez co dojdzie do postania kolizji sieciowej. W takiej sytuacji obydwa urządzenia odczekają pewien losowy interwał czasowy po czym wznowią transmisje. W przypadku wystąpienia kolejnej kolizji interwał oczekiwania zostanie wydłużony, do próby szesnastej, kiedy to wiadomość zostanie porzucona.
Pozostałe tematy związane ze wstępem do warstwy drugiej
Przewidywalny dostęp do celu(Predictable Access) – Droga wysłanej wiadomości jest możliwa do przewidzenia w zależności od lokalizacji, w której znajdują się komunikujące ze sobą urządzenia (Przykładowa ścieżka wygląda następująco: Access > Distribution > Core layers > Distribution > Access).
Celem podziału sieci na warstwy (Hierarchical Design), jest stworzenie bardziej przewidywalnej oraz skalowalnej sieci.
Modele sieci „Enterprise Network”
Three-Tier Campus Design – Model sieciowy wykorzystujący warstwę Dostępu, Dystrybucji oraz Rdzenia.
Two-Tier Campus Design, Collapsed Core – Model sieciowy wykorzystujący warstwę Dostępu oraz warstwę Dystrybucji z pominięciem warstwy Rdzenia. Jego stosowanie jest polecane w przypadku sieci obsługujących mniej niż 2000 pracowników bądź w przypadku sieci nie posiadających złożonych wzorów aplikacji.
Podział sieci LAN na “Switch Block”
Warstwa dostępu do sieci (Building Access)
Warstwa dostępu do sieci umożliwia połącznie użytkowników końcowych do sieci lokalnej LAN, zapewniając im wysoki poziom bezpieczeństwa ze szczególnym uwzględnieniem autentykacji 802.1X, dopuszczającej do użytkowania sieci jedynie osoby do tego upoważnione. Ponadto warstwa ta powinna posiadać następujące cechy:
Wysoką dostępność (High Availability).
Niski koszt eksplantacji jak i zakupu (Low Cost per switch port).
Dużą ilość portów (High port density).
Zasilanie PoE (Power over Ethernet)
Skalowalność połączeń z warstwą wyższą (RedundantUplink).
Funkcje bezpieczeństwa (802.1X, ARP Inspection, Port security ITD).
Warstwa dostępu do sieci wykorzystuje przełączniki L2 oraz punkty dostępu AP.
Warstwa dostępu do sieci jest zbudowana w topologii gwiazdy (Star topology).
Przełączniki warstwy dostępowej nie powinny być łączone pomiędzy sobą (Nie licząc przełączników Stack).
Warstwa dystrybucji (Building Distribution)
Łączy ze sobą wszystkie urządzenia warstwy dostępowej umożliwiając im komunikację z rdzeniem sieci. Dzięki wykorzystaniu wydajnych przełączników L3 współpracuje zarówno z protokołami warstwy drugiej (ARP, STP) jak i warstwy trzeciej (Routingiem, listami dostępu ACL). Ponadto warstwa ta powinna posiadać następujące cechy:
Połączenie nadmiarowe pomiędzy przełącznikami znajdującymi się w warstwie (Aggregation).
Nadmiarowe połączenia zarówno z warstwą wyższą jak i niższą (Redundancy).
Zasady bezpieczeństwa np. listy ACL czy filtrowanie pakietów (ACLs).
Funkcje wspierające QoS (QoS function).
Warstwa dystrybucji stanowi granice pomiędzy siecią L3 a domenami rozgłoszeni-owymi L2.
Warstwa dystrybucji jest zbudowana w topologii częściowej siatki (Partial mesh topology).
Warstwa rdzenia (Campus Backbone)
Dzięki wykorzystaniu najbardziej wydajnych przełączników warstwy trzeciej oraz zredukowaniu działających na nich usług, warstwa rdzenia zapewnia szybki transfer pomiędzy warstwą dystrybucji a krawędzią sieci. Ponadto warstwa ta powinna posiadać następujące cechy:
Bardzo wysoką wydajność routingu (Wery highLayer 3 Throughput).
Brak dodatkowy usług takich jak listy dostępu ACL czy filtrowania pakietów (No ACLs).
Warstwa Rdzenia jest zbudowana w topologii częściowej siatki (Partial mesh topology).
Inne zagadnienia
Krawędź sieci (Edge Distribution) – Łączy ze sobą całą sieć lokalną LAN, z wykorzystaniem ruterów bądź przełączników warstwy trzeciej. W przypadku dużych firm łączy np. serwerownię z przełącznikami warstwy rdzenia.
Brama(Internet Gateways) – Zawiera rutery łączące sieć lokalną z Internetem czy biurami zdalnymi.
Agregacja sieci WAN (WAN Aggregation) – Wykorzystuje różne technologie łączności takie jak MPLS, PPP czy Frame Relay do łączenia głównego biura HQ z innymi oddziałami firmy.
Ważne zagadnienia dotyczące modelu Hierarchicznego
Rodzaje ruchu wyróżniane w modelu Hierarchicznym
Rodzaje łączności pomiędzy urządzeniami w strukturze Hierarchicznej
Połączenia lokalne (Local Connection) – Łączy urządzenia z jednego segmentu, sieci VLAN (Access Only).
Połączenia zdalne (Remote Connection) – Łączy urządzenia z wielu segmentów, sieci VLAN (Access -> Distribution)
Połączenia globalne(Enterprise Connection) – Łączą ze sobą wszystkie urządzenia w danej strukturze (Access -> Distribution -> Core -> Distribution -> Access).
Bloki sieciowe
Blok sieci (Switch block) – Stanowi grupę przełączników warstwy dostępowej połączonych do jednego bądź dwóch przełączników warstwy dystrybucyjnej. Ilość użytkowników podłączonych do jednego bloku nie powinna przekraczać 2000, jednak bardziej rzeczowe ograniczenie stanowi rodzaj wykorzystywanego ruchu sieciowego.
Przy określaniu wielkości pojedynczego bloku należy kierować się następującymi czynnikami:
Typem oraz wzorcem ruchu sieciowego.
Rozmiarem jak i liczbą grup roboczych.
Ilością przełączników L3 w warstwie dystrybucji.
Stworzenie zbyt dużego bloku sieciowego, może spowodować:
Przeciążenie CPU przełączników L3 w warstwie dystrybucji.
Powstawanie wąskich gardeł (bottlenecks).
Przeciążenie kolejek (Queue) L2 oraz list dostępu.
Powstanie zbyt dużego ruchu rozgłoszeniowego.
Projektowanie topologii wolnej od pętli (Loop Free):
Aby zapobiec powstawaniu pętli w warstwie drugiej, należy umieścić każdy przełącznik warstwy dostępowej w innej sieci VLAN oraz połączyć przełączniki warstwy dystrybucji połączeniem L3.
Dzięki zablokowaniu rozprzestrzeniania się sieci VLAN na inne przełączniki z jednego „Switch bloku”, protokół STP nie będzie blokował nadmiarowych połączeń pomiędzy warstwą dostępu a warstwą dystrybucji.
Sieć wolna od pętli jest znacznie bardziej stabilna jak i niezależna od ograniczeń protokołu STP.
Topologia wolna od pętli jest szczególnie przydatna w sieci wykorzystującej protokoły z rodziny NHRP, w szczególności protokołu GLBP. Ponieważ wszystkie uplink-i pomiędzy warstwą dostępową a warstwą dystrybucji są aktywne, tym samym zapewniając pełny, bezpośredni dostęp warstwy dostępowej do wszystkich przełączników warstwy dystrybucyjnej. W przypadku topologii opartej na protokole STP część z połączeń pomiędzy warstwami jest blokowana, a tym samym ruch może poruszać się okrężną drogą.
Zasady tworzenia sieci Hierarchicznej
Podczas projektowania sieci hierarchicznej należy:
Stosować podwójną ilość przełączników w warstwie dystrybucyjnej oraz warstwie rdzenia.
Wykorzystać nadmiarowe połączenia pomiędzy warstwami.
Podczas projektowania sieci hierarchicznej nie należy:
Łączyć między sobą przełączników warstwy dostępowej (Wyjątek stanowi wykorzystanie technologii „Stack”).
Rozprzestrzeniać jednej sieci VLAN pomiędzy przełącznikami.
Używać połączeń L2 ponad warstwą dystrybucyjną.
Ważne nazewnictwo
Dual Core– Określa topologię wykorzystującą dwa przełączniki działające w warstwie rdzenia.
MultinodeCore – Określa połączenie dwóch par przełączników warstwy rdzenia (Full mesh), z których każda para jest podłączona do innej struktury hierarchicznej.
Pozostałe tematy związane ze wstępem do warstwy drugiej
