CISCO Helpdesk

Gli switch sono apparati che operano al livello 2 dell'OSI. Questi

processando i frame in ingresso apprendono leggendo il MAC

sorgente dietro quale porta è posizionato un host e memorizzano questa

informazione in una tabella chiamata CAM table che

associa i MAC appresi con le porte dello switch dietro cui son ubicati

tali MAC.

La CAM table può essere riempita in modo dinamico in base ai frame che

arrivano allo switch o in modod statico settando a

mano l'associazione MAC_HOST/INTERFACCIA_SWITCH/VLAN

Per smistare un frame viene letto il MAC di destinazione e viene

consultat la CAM table.

Dal punto di vista dello SWITCHING si possono presentare 2 casi.

SWITCHING DI FRAME UNICAST (destinatario è un solo HOST) SWITCHING DI FRAME BROADCAST

(il frame è destinato a tutti) o MULTICAST (frame destinato ad un gruppo di host).

Il caso di SWITCHING UNICAST si possono presentare due casi.

a- MAC di destinazione noto (resente nella CAM) - il frame è switchato

solo fuori della porta indicata nella CAM table

b- MAC di destinazione non conosciuto (non presente nella CAM) - il

frame è smistato fuori di tutte le porte eccetto quella di

provenienza.

Nel caso di un frame BROADCAST il comportamento è simile a quello di UNICAST sconosciuto solo che il MAC di destinazione è costituito da FF-FF-FF-FF-FF-FF. Il multicast può essere visto come un

caso particolare del BROADCAST il MAC di destinazione va da 01-00-5E-00-00-00 a 01-00-5E-7F-FF-FF

Esistone 3 metodologie di switching:

STORE AND FORWARD - viene letto tutto il FRAME e viene controllato il campo CRC (controlla che il frame sia integro) e poi in base al MAC di destinazione e all'informazione nella CAM esegue lo smistamento

CUT through - non legge tutto il frame ma si ferma a leggere non appena a letto il MAC di destinazione. Letta tale MAC smista il FRAME. Questo metodo può portare ad errori in quanto non si

assicura dell'integrità del frame.

FRAGMENT FREE- è una via di mezzo tra i due metodi precedenti. Legge i primi 64Byte del frame in quanto la maggior parte degli errori si verificano prima del 64bytes (RUNTS). In base al MAC

di destinazione prende la decisione. Vi ricordo che nel FRAME ETHERNET il campo MAC destinazione precede il campo MAC sorgente.

Sempre a proposito degli SWITCH abbiamo detto che ogni porta di uno switch crea un dominio di collisione cioè un segmento (un tratto) di rete.

Definizione di Dominio di Collisione:   è l'insieme di tutti i device che concorrono per accedere al mezzo condiviso. Se ad ogni porta di uno switch è connesso un solo host la rete si dice MICROSEGMENTATA.

Definizione di dominio di BROADCAST :è l'insieme che i nodi che ricevono una richiesta broadcast inviata da un device.

Lo switch è in grado solo di segmentare la rete e quindi disuddividerla in dominio di collisione, NON è in grado di arrestare i domini di BROADCAST infatti come detto sopra li processa inoltrandoli fuori di tutte le sue porte attive. In realtà un frame broadcast viene inoltreato fuori di tutte le sue porte attive appartenenti alla medesima VLAN di provenienza del FRAME.

Di seguito il concetto di VLAN. Per spezzare i domini di BROADCAST ci vuole un apparato che opera al

livello 3 del OSI, ci vuole un ROUTER per capirci. Cerchiamo di capire cosa sia una VLAN (LAN virtuale) e a cosa serve con un esempio. Inizialmente quando non esisteva il concetto di VLAN se si aveva

necessita di gestire 3 gruppi di individui (COMMERCIALI,TECNICI,AMMINISTRATIVI) separati per mansioni era necessario usare uno switch per ciascun gruppo. Molto spesso questa suddivisione si traduceva anche in una separazione tra piani o areee del palazzo (PIANO 1 i tecnici, 2 COMMERCIALI, 3 AMMINISTRATIVI) portando le persone ad alzarsi e a lasciare il loro posto quando dovevano effettivamente comunicare tra loro per motivi di lavoro. Le VLAN consentono di suddividere lo switch fisico in N sotto SWITCH virtuali (N numero di VLAN, nel caso dell'esempio N=3)

avente ciascuno un certo numero di porte. In questo è possibile far lavorare persone che hanno mansioni diverse (COMMERCIALI/TECNICI/AMMINISTARTIVI) in postazioni fisiche vicine connesse allo stesso switch fisico mantenedo separati i ruoli in quanto il COMMERCIALE sarà connesso ad una porta appartenente alla VLAN dei COMMERCIALI il TECNICO a quella dei TECNICI e così per

gli amministrativi.

L'associazione di un host ad una VLAN può essere fatta in due modi:

1- STATICO o port BASED - la porta, una volta creata la VLAN, è

associata alla data VLAN

2- DINAMICO :Ogni VLAN è un separato dominio di broadcast.

Il concetto di VLAN è un concetto di livello 2 , dal punto di vista del livello 3 una VLAN rappresenta una sottorete. Per ruotare il traffico tra due VLAN è necessario un apparato di livello 3.

Due host appartenenti alla stessa rete (esempio 192.168.1.0/24) se connessi a due VLAN diverse tra di loro non si pingano -- Un tale disegno di rete è errato ma serve per capire che ogni vlan è un mondo a se.

Per finire la teoria sugli SWITCH, le operazioni fondamentali che esegue uno switch sono:

1- Apprendere i MAC ADDRESS e gestione della CAM table

2- Smistamento dei FRAME

3- Rimozione dei loop di livello2.

Un loop di livello 2 si realizza connettendo tra loro un certo numero di switch (almeno 2) in modo che si formi un ciclo. Un loop di livello 2 porta ad intasare la rete e a renderla man mano

inutilizzabile.

Per risolvere i problemi di livello 2 si utilizza il protocollo di SPANNING TREE (STP). L’algoritmo di STP consente di creare un percorso di collegamento tra tutti gli switch libero da loop.

Per creare una topologia libera da loop ciascun switch invia dei messaggi chiamati BPDU ogni 2 secondi in multicast in cui viene indicato il BRIDGE ID dello switch. Il BRIDGE ID contiene la priorità dello switch che di default è 32 è il MAC dello Switch

L’algoritmo elegge un root switch, il quale è lo switch con più bassa priorita’ a parità di priorità quello con MAC più basso. Tale switch avrà tutte le porte nello stato di fowarding (attive) i restatnti SWITCH invece avranno delle porte settate nello stato di fowarding e altre (quelle non da usare) nello stato di BLOCKING.

STP definisce 4 stati per le porte:

Blocking: In questo stato la porta riceve solo BPDU e scarta ogni altro tipo di frame. Una porta rimane in blocking per 20 secondi. Questo è lo stato inziale durante il processo di elezione del root bridge e quello finale per le porte non usate.

Listening: Continua ad ascoltare solo BPDU e comincia ad ipotizzare la topologia. Una porta rimane in questo stato per 15 secondi

Learning: In questo stato lo switch comincia a ricevere i frame ed ad apprendere i Mac Address e a popolare la CAM table, ma non forwarda i frame. Ci rimane per 20 sec

Forwarding: Le porte che erano in learning diventono attive e consentono il forwarding del frame. Una porta in questo stato apprende i MAC e inoltra i frame

Esiste un altro stato in cui una porta può trovaresi ed è lo stato di DISABILITATA ma questo non è una stato dello STP.

Per quanto concerne la sicurezza di rete a livello 2 un buon amministartore di rete esegue le seguenti attività:

1- Tutte le porte non connesse vengono poste in shutdown

2- Tutte queste porte sono poste in una VLAN pozzo (non usata)

3- Le porte attive vengono securizzate in modo che solo l'host che deve essere connesso a quella porta può fare traffico. La sicurezza di una porta dello SWITCH consiste nel associare un certo numero di MAC address  (1 default, 132 massimo) alla porta e indicare alla porta come comportarsi se si vede arrivare del

traffico proviente da uno MAC non censito.

I possibili comportamenti sono:

Protect: scarta il traffico

Restrict: scarta il traffico ed invia un log anche via SNMP o syslog server

Shutdown: scarta il traffico – invia un log e disabilita l’interfaccia (comportamento di default)

FISICA DEGLI SWITCH – STRUTTURA

Uno SWITCH dal punto di vista fisico si presenta con un certo numero di porte nella porta frontale, mentre sul retro è presente una porta console, l'alimentazione (senza interruttore) e un connettore per un alimentazione esterna (RPS).

Sulla parte frontale sono presente dei LED per monitorare:

SYSTEM - stato dello switch. verde OK, Arancione c'è un fault, nessun colore l'apparato è spento.

RPS - indica se è presente un alimentatore esterno e se è in uso e se la'limentatore esterno è sano. Verde RPS connesso e operativo, Arancio – RPS connesso ma non operativo, Arancione Lampeggiante – sono installati sia l’alimentatore esterno che RPS ma sta funzionando solo RPS,

Spento – RPS non è installato

DUPLEX - indica quali porte attiva lavorano in full duplex (VERDE) e quali in HALF (nessun colore)

SPEED - indica quali porte vanno a 10Mb (Spento), 100 (Verde), 1000 (Flashing Verde)

STAT - indica le statistiche di traffico, il valore varia da modello a modello ma quasi per tutti, se sono accese tutte le porte eccetto l'ultima (23 porte su 24) significa un'occupazione di banda del 50%.

Per cambiare il significato del LED cliccare sul pulsante MODE.

Ciascun apparato Cisco contiene 4 memorie:

ROM - esegue il POST (power on self test) ed il processo di bootstrap che indica dove trovare IOS (sistema operativo), e la configurazione di partenza (startup-config).

RAM - contiene la configurazione corrente (running-config) e la CAM table.

NVRAM (ram non volatile) - contiene la startup-config

FLASH - contiene il sistema operativo IOS e il file database delle

vlan (VLAN.dat)

Nel laboratorio fatto in classe abbiamo visto i comandi base per configurare lo switch e quelli di editing.

Dalla modalità utente indicata dal > siamo passati in modalità privilegiata # con il comando ENABLE.

In queste due modalità è possible eseguire dei comandi di show di base nella > e più avanzati nella #.

In modalità # è possibile eseguire lo SHOW della configurazione e della tabella dei MAC ADDRESS, il DEBUG e la copia della configurazione corrente con i comandi:

COPY RUNNING-CONFIG STARTUP-CONFIG

COPY RUNNING-CONFIG TFTP:

COPY STARTUP-CONFIG TFTP:

SHOW RUNNING-CONFIG

SHOW MAC-ADDRESS-TABLE

e gli inversi.

La differenza tra show e debug e come quella tra una foto e un film. Dalla modalità # siamo passati alla modalità di configurazione globale (config)# editando il comando configure-terminal o abbreviato conf t.

Nella modalità (config)# è possibile settare:

Il nome host - hostname nome_host

Password per l'accesso in modalità privilegiata - enable secret valore_password

Default-Gatewy - ip default-gateway indirizzo_IP_GATEWAY

Vari tipi di banner. Banner MOTD (messaggio del giorno),

BANNER login (visualizzato dopo MOTD  e prima del login),

BANNER exec (visualizzato una volta acceduti al device)

Settare i MAC address staticamente nella CAM table tramite il comando

mac-address-table static <mac-address of host> interface FastEthernet

<Ethernet numer>  vlan vlan name>

Sempre dalla modalità (config)# è possibile accedere ai vari sottomenù. Di seguito i vari sottomenù

Accesso in console (config-line)#. Si accede a tale menù editando il comando LINE CONSOLE 0 e in questa modalità è possibile, con i comandi password .... e login, settare la password per l'accesso in console Accesso remoto per telnet (config-line)#.

Si accede a tale menù editando il comando LINE  VTY 0 15 e da qui eseguire il comando

password ... e login.

Configurazione VLAN (config-vlan)# Si accede a tale menù editando il comando vlan numero_vlan. Da tale sottomenù è possibile nominare la vlan prima di applicare ed uscire con il comando name nome_vlan.

Esiste anche un comando desueto per creare le vlan che viene eseguito da modalità # ed è il comando vlan database. Con questo comando si entra in modalità (vlan)# e da qui è possibile creare una vlan con il

comando vlan numero_vlan name nome_vlan

Confiurazione interfaccia (config-if)#. Esistono due tipi di interfacce quelle fisiche (fastethernet 0/x e GigabitEthernet 0/y) e quelle virtuali (VLAN). Su entrambe è possibile settare una descrizione con il comando description e porle in shutdown (stato di DOWN) e in no shutdown (stato di UP).

Le interfacce fisiche sono tutte attive di default quelle di tipo VLAN sono down e rimangono down anche se abilitate se non esiste alcune interfaccia fisicia attiva associata a tale VLAN.

Sulle interfacce fisiche è possible settare il duplexing  e lo speed con i comandi duplex full o half e lo speed 10 o 100 o 1000. Sull'interfaccia VLAN x è possibile settare un IP di management con il comando ip address indirizzo_ip SUBNET_MASK. Non necesariamente la VLAN di management deve essere la VLAN 1 anche se spesso lo è. Di default tutte le interfacce fisiche appartengono alla VLAN 1.

Le interfacce fisiche possono essere associate ad un data VLAN con i comandi switchport mode access e switchport access vlan numero_vlan. Per correttezza la vlan deve essere stata creata in precedenza. Il primo dei due comandi indica che la porta è di tipo access cioè consente il traffico di una sola VLAN, il seconda indica la VLAN a cui è associata. E' necessario specificare il tipo di porta poichè la porta potrebbe essere impostata per portare il traffico di più/tutte le vlan (porta TRUNK) o un particolare tipo di traffico quello voce (VOICE).

Sempre a livello di interfaccia fisica è possibile configurare la sicurezza con i comandi:

switchport mode access (porta associata a singola vlan)

switchport port-security (attiva la sicurezza)

switchport port-security maximum

numbero_mac_address_massimo_dietro_tale_porta (1 default - comando non obbligatorio se la

richiesta è 1 MAC address) switchport port-security violatio tipo_di_comportamento_in_caso_di_violazione. Possibili valori sonoshutdown/Protect/Restrict. Il significato è stato spiegato sopra. In caso di shutdown il comando non è necessario in quanto il default. switchport port-security mac-address valore_MAC_address o switchport port-security mac-address sticky per associare il MAC del host alla porta. Il primo dei due comandi (quello con valore_MAC_address) lo fa in modo statico, mentre quello con lo sticky lo fa in modo dinamico. Con lo sticky lo switch ritiene consentiti i primi N MAC_ADDRESS che apprende dietro tale

porta con N indicato dal comando switchport port-secur_ity maximum.