Progettazione di una rete Campus
Architettura Gerarchica
Alessandro Mancini
Istituto Informatica e Telematica Unità Tecnologica
Computer and communication networks
[email protected]
Download
https://deliverone.iit.cnr.it/cs_02_10/
• Campus Network
• Progettazione, architettura, modelli gerarchici
• Esempi
• Documentazione
• Considerazioni sull’utilizzo di VLAN durante la progettazione
Rappresentazione
Campus Network
• Rete Campus: rete interna che collega diversi edifici. E’ un’interconnessione di reti locali (LAN) in una ristretta area geografica (es. Ospedali, grandi aziende, Università…)
• La progettazione di una rete Campus dipende dalle esigenze specifiche della realtà in cui si va ad operare
• La qualità del progetto dipende dal disegno (topologia) più che dagli apparati di rete utilizzati
Sfide per il gestore di rete
• Assicurare il funzionamento efficiente della LAN e che i servizi utilizzati dagli utenti siano supportati (Quality of Experience)
• Minimizzare guasti / alta affidabilità
• Conoscere e saper gestire il flusso del traffico di rete (network management)
• Conoscere gli aspetti di sicurezza e gli strumenti (ISD, IPS, Firewall…)
• Scalabilità, poter crescere nel tempo con minimi interventi progettuali ed economici
• Crescita del traffico (10/100/1000… 2.5Gbit, 10Gbit…)
• Supporto nuovi protocolli
• Possibilità di utilizzare nuove interfacce, nuovi moduli
Tipologie di apparati attivi
• Layer 2 Switching
• Supporto evoluto (VLAN, Spanning tree, IP Management, SNMP…)
• Omogeneità (modello, marca)
• Switching basato su indirizzi MAC
• Switching in hardware
• Utenti finali normalmente collegati a switch periferici
• Layer 3 switing o L3 routing
• Swithcing L2, routing (L3) in hardware
• Layer 4 switching
• Switching L2, routing L3 in hardware e decisioni opzionali sulla base di informazioni L4 (port number)
• Forwarding su base MAC, indirizzo IP, port number
• QoS granulare
• Apparati distinti per routing e switching (preferibile)
• ASIC (Application-specific Integrated Circuit)
• HW specializzato per gestire il forwarding di frame
Hub, Switch, Router
HUB
• Riproduce il pacchetto su tutte le porte connesse (i dati sono copiati)
• Tutti i computer ricevono i dati (anche se non sono i destinatari)
• Crea traffico non necessario sulla rete
• Vecchio, inefficiente, insicuro…
Hub, Switch, Router
Switch
• Costruisce una tabella di indirizzi e porte
• Quando un pacchetto viene inviato allo switch, viene inoltrato solo sulla porta giusta
• Molto più efficiente
Port MAC
1 00:3C:61:AA:18:01 2 0C:25:AB:61:55:00 3 00:44:A3:12:7C:77 4 0B:61:2D:71:11:90
Hub, Switch, Router
Router
• Inoltra pacchetti da una rete all’altra
• Ragiona su indirizzo IP
• Se il pacchetto è destinato a una rete diversa lo inoltra sulla porta giusta
• Gateway
Port Network
1 192.168.1.0/24 2 172.18.5.0/24
3 0.0.0.0/0
4
Layer 2 switching (modello OSI)
Layer 3 switching
Layer 3 Switching
• Hardware-based routing
8
Layer 4 switching
Layer 4 Switching
9
MLS (Multi-Layer Switching)
Suggerimento: Switching e Routing con apparati distinti
Esempio: rete Ethernet
• Rete di Switch
• Non scalabile
Non conosce la destinazione: flooding
Minimizzare il traffico broadcast!
VLAN
Trunk
• VLAN trunks sono collegamenti tra switch che supportano il passaggio di dati di più VLAN.
• Protocollo standard: IEEE 802.1q
• Protocollo proprietario CISCO: ISL (InterSwitch Link Protocol), non è più raccomandato
VLAN
• Permette la segmentazione della rete, riduce i domini di broadcast
• Può essere pensato come un dominio di broadcast definito su un insieme di switch
• Migliora la scalabilità, la sicurezza e la gestione della rete:
• Ridondanza dei collegamento tra switch
• Mobilità degli utenti
• Riduzione dei domini di collisione
• Sicurezza (impossibile captare traffici unicast)
• Due VLAN diverse possono essere messe in comunicazione attraverso un Router
• I Router filtrano il traffico broadcast, possono applicare access-list e prendere decisioni sul flusso di traffico tra una VLAN e l’altra.
Posta Tradizionale
Pacchetto IPv4
Packet switched
Concetto di packet switched network
Criteri di distribuzione
REGOLA 80/20
80% traffico locale, 20% traffico remoto (VECCHIA)
Traffico locale: stesso dominio di broadcast (stessa rete)
Traffico remoto: attraversa il backbone, verso servizi remoti, Internet…
Criteri di distribuzione
REGOLA 20/80
20% traffico locale, 80% traffico remoto CYBERSECURITY
• Non vale più il raggruppamento
dell’utenza in base alla localizzazione geografica o funzionale
• Molte app web
• Cloud computing
• Concetto client/server per migliorare ridondanza, sicurezza, affidabilità…
End-to-End VLANs
Caratteristiche di una rete scalabile
Affidabilità
• Piccoli guasti non devono bloccare il funzionamento della rete
• Ridondanza apparati hardware
• Ridondanza dei collegamenti
• Ridondanza alimentazione
• Utilizzo di protocolli di routing scalabili
• Load balancing / Rapida convergenza Efficienza
• Ottimizzare l’uso delle risorse
• Scelta dei protocolli adeguati per routing e switching
• Route summarization
• Incremental update (es. OSPF)
Caratteristiche di una rete scalabile
• Adattabile
• Capace di adattarsi all’utilizzo di nuovi protocolli o tipologie di hw
• Accessibile, ma sicuro
• Gli utenti remoti devono accedere alle risorse in modo non troppo complicato
• Meccanismi di sicurezza PKI, radius, 802.1x, access-list, VPN
• Responsive
• Misurato da utenti finali
• Over Provisioning
• Nella fase di progettazione pensare alla eventuale crescita, fare un sovra dimensionamento
(aiuta ad avere maggiore affidabilità nell’immediato e maggiore resistenza nel tempo)
Ridondanza default gateway (HSRP / VRRP)
ARP
10.1.1.1 18:15:c0:07:02:aa
10.1.1.1
10.1.1.254
18:15:c0:07:02:aa
10.1.1.253
18:15:c0:15:ac:28 10.1.1.1
00:00:5e:00:01:55 ARP
10.1.1.1 00:00:5e:00:01:55
Active
Virtual Router Standby
10.1.1.254
18:15:c0:07:02:aa
10.1.1.253
18:15:c0:15:ac:28 10.1.1.1
00:00:5e:00:01:55 ARP
10.1.1.1 00:00:5e:00:01:55
Active
Virtual Router
Modello di progettazione
gerarchico a 3 livelli
Modello astratto
Internet
Core Layer
• Smista i pacchetti il più velocemente possibile
• Backbone della rete
• Non deve manipolare i dati (per motivi di velocità)
• Può essere un core L3
• No ACL (per motivi di velocità)
• Può essere un core L3 (sicuramente più veloce)
• Apparati modulari
• Alta densità di porte
• Ridondanza hw e alimentazione
Distribution Layer
Divide il core e l’accesso, aiuta a definire:
• Gli accessi di vari gruppi di utenza verso il core
• Di solito L3
• Riduce i domini di broadcast
• Routing tra le diverse VLAN
• ACL per policy di sicurezza
• Manipolazione del traffico (es. QoS)
• Meno interfacce rispetto al Core e Accesso
• Meno potenza di calcolo e velocità rispetto al Core
Access Layer
Il livello di accesso è il punto in cui gli utenti finali accedono alla rete
• Banda condivisa
• Rischio di attacchi Cyber
• Micro-segmentation VLAN
• Filtraggio MAC
Building Blocks
Switch block
Costituito da Switch e Router
• Access Layer (AL)
• Switch L2 (workgroup)
• Distribution Layer (DL)
• Dispositivi L2/L3 multilayer switch
• L2 e L3 separati
• Ridondanza L3 utilizzando protocolli come VRRP o HSRP
Dimensionare un Switch block
Un switch block è dimensionato male (grande) se:
• Si ha un collo di bottiglia sul router di distribuzione per sovraccarico della CPU o saturazione banda
• Eccessivo traffico broadcast, multicast che degrada il funzionamento della rete
• Manipolazione di access-list o policy based routing
Core block
• Necessario se ci sono due o più switch block
• Il traffico da un Switch block ad un altro transita dal Core block (deve essere veloce)
Collapsed Core
• Lo strato di Distribuzione e Core è svolto dagli stessi apparati
• Soluzione adatta per reti di media dimensione o Data Center
Documentazione di una rete
Network configuration documentation
• Il tipo di dispositivo, modello
• Device network hostname
• Posizione (edificio, piano, stanza, rack, pannello…)
• Se modulare, elenco dei moduli installati e posizione
• Indirizzo Data link layer
• Indirizzo di rete
• Ogni informazione aggiuntiva che può essere di aiuto
nell’individuazione (compreso l’aspetto)
Documentare un router
Documentare Switch
Componenti di topology diagram
Esempio di Topology Diagram
Esempio di end-system-configuration table
Esempio di topology diagram contenente gli
end-system
Baseline diagram
Considerazione su VLAN in
fase di progettazione
VLAN e indirizzi IP
• Raccomandazione: ci deve essere una corrispondenza uno-a-uno tra VLAN e indirizzo IP
• Ogni sottorete, adeguatamente dimensionata, ha anche una vlan distinta
• Quando due enti (reti) si fondono possono coesistere due sottoreti sulla stessa VLAN
• Le sottoreti devono poter crescere senza cambiare indirizzi di rete
• Progettare un piano di indirizzamento classless e lunghezza variabile
Bad design
Il traffico del gruppo Accounting passa attraverso la rete del gruppo Engineering Utilizzando VLAN si potevano ridurre i ritardi
Esempio VLAN end-to-end
• Le diverse VLAN sono presenti ovunque
• Facilita il movimento per gli utenti appartenenti alla stessa VLAN
• La rete è magliata, utilizzo del protocollo STP
• (se usato male, STP è instabile)
Assegnazione di una porta a una VLAN
Assegnazione STATICA
• Port based – VLAN assegnata ad una porta
• Configurato da amministratore
• Semplice e sicuro
VLAN dinamica
• Creata e controllata via software
• 802.1x
• VLAN Manager Policy Server (VMPS)
Esempio VLAN statica
Trunk
Con trunking Senza trunking
IEEE 802.1q
Protocollo supportato da quasi tutti gli apparati di rete (router, switch) e schede PC
• «baby giant» frame (1522 byte)
• Gli apparati di rete normalmente rimuovono l’incapsulamento 802.1q prima di inviare il frame sulla porta di accesso
TPID (Tag Protocol Identifier)
• Valore 0x8100 indica 802.1q PRI (Priority)
CFI (Canonical Format Indicator)
• Bit 0 per Ethernet VID (Vlan-ID)
• Identifica VLAN (12 bit = 4096)
• ID=0 e ID=4095 riservati
Fine
CISCO Packet Tracer
Strumento di simulazione www.netacad.com
