Поиск по этому блогу

воскресенье, 25 января 2015 г.

Cisco Bridging:практика

Bridging в одном вилане
В мое распоряжение попал маршрутизатор Cisco 1921 (имеет два интегрированных порта) и два модуля к нему EHWIC-4ESG (ge 0/1/3-0) (4 порта 10/100/1000), и EHWIC-1GE-SFP-CU (ge-0/0/0) (combo port SFP/RJ45), версия IOS 15.0(1r)M16. С помощью Cisco 1921 предполагалось модернизировать уже имеющуюся сеть. Сама циска располагается в серверной, к ней будит осуществлено 4 подключения: сервер (располагается в серверной), офис, цех и провайдер. Схема новой сети выглядит таким образом

Интегрированный порт ge0/0 смотрит в сторону провайдера, к порту ge0/1 (интегрированный) подключается к коммутатору в офисе, по оптике (порт ge-0/0/0) подключается цех, ну и к оставшимся медным портам (ge 0/1/3-0) будит подключатся оборудование располагающееся в серверной. Все устройства подключенные к портам: ge0/1, ge-0/0/0, ge 0/1/3-0 должны располагаться в одной сети. Было решено использовать для этих целей технологию Transparent bridging.

Для настройки бриджинга на интерфейсе необходимо в режиме глобального конфигурирования выполнить:
bridge 1 protocol ieee - назначаем номер группы (1) и определяем EEE 802.1D Spanning Tree Protocol.
bridge 1 priority 0 - назначаем приоритет (0), для нашей бридж группы (1), помогающий принять решение в определение root в spanning tree. Чем ниже приоритет тем выше вероятность стать root.
Далее необходимо назначить необходимые нам интерфейсы в нашу бридж группу. Для этого переходим в режим конфигурирования интерфейса.
interface g0/1
bridge-group 1 - назначаем интерфейс g0/1 в первую группу
exit
interface g0/0/0
bridge-group 1 - назначаем интерфейс g0/0/0 в первую группу
exit
interface vlan1
bridge-group 1 - назначаем интерфейс vlan1 в первую группу
exit
Так как интерфейсы ge 0/1/3-0 на плате EHWIC-4ESG ведут себя как порты коммутатора, то по умолчанию они находятся в vlan 1, и поэтому принадлежность их к конкретной бридж группе определяет vlan интерфейс.

Теперь необходимо создать виртуальный интерфейс (BVI) или интерфейс виртуального моста функционал Cisco IOS который позволяет объединить несколько портов маршрутизатора в группу, функционирующую как плоский L2 мост и разрешить циске выполнять маршрутизацию между бриджеванными и маршрутизируемыми интерфейсами.

Необходимо в режиме глобального конфигурирования выполнить:
bridge irb - включаетм irb, позволяющий маршрутизировать трафик от бридж интрефейсов.
interface bvi 1 - назначаем bvi, номер соответствующей бридж группы. Каждая бридж группа может иметь один соответствующий bvi.
ip address 192.168.1.254 255.255.255.0 - назначаем адресацию для нашей сети. Можно так же создавать вторичные адреса.
exit
bridge 1 route ip - разрешаем bvi получать и маршрутизировать пакеты полученные от соответсвующей бридж группы

Стоит обратить внимание, что в такой конфигурации при обрыве связи на линии на порту, пропадает порядка 20-30 пакетов (если использовать ping). Для уменьшения количества потерянных пакетов (улучшения сходимости) можно использовать команду spanning-tree portfast на каждом физическом интерфейсе, входящем в bridge. Так в Transparent bridging используется EEE 802.1D Spanning Tree Protocol, а указанная команда позволяет интерфейсу при восстановлении сразу переходить в режим передачи. Это позволит уменьшить количество потерянных пакетов до 8-12.
.................
interface GigabitEthernet0/1/0
 no ip address
 spanning-tree portfast
!
interface GigabitEthernet0/1/1
 no ip address
 spanning-tree portfast
!
interface GigabitEthernet0/1/2
 no ip address
 spanning-tree portfast
!
interface GigabitEthernet0/1/3
 no ip address
 spanning-tree portfast
................

Получился вот такой конфиг
............................
interface GigabitEthernet0/0
 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
 ip address *.*.*.* 255.255.255.0
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
 bridge-group 1
!
interface GigabitEthernet0/0/0
 no ip address
 duplex auto
 speed auto
 media-type sfp
 bridge-group 1
!
interface BVI1
 ip address 192.168.22.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
bridge 1 priority 0
bridge 1 protocol ieee
bridge 1 route ip
Проверяем, что все работает:
show interface bvi 1
BVI1 is up, line protocol is up
..............................


Bridging между vlan
Затем захотелось развести подсети по разным vlan. НА BVI нельзя создать подинтерфейс. Для этого создадим bridge domain.
Домены – это специфическая функция Cisco. Это функция доступна,если в настройках STP указан IEEE. Домен устанавливает внешнию идентификацию BPDU отправляемых из бридж группы. Цели этих идентификаций:
  • Бридж группы определенные в домене могут узнать, что BPDU принадлежат им.
  • Две бриджуемых подсети в разных доменах, которые делят общее соединение могут использовать идентификатор домена для определения своих BPDU и игнорирования BPDU из другого домена.

В домен можно поместить любое количество маршрутизаторов и мостов. Только устройства в одном домене получают одинаковою STP информацию. Когда несколько маршрутизаторов разделяют один кабель и вы хотите использовать только определенные подсети этих маршрутизаторов для обмена информацией STP между собой, устанавливается spanning-tree домен. Эту функцию можно использовать для уменьшения количества общих переконфигураций в большой сети.

Например возьмем конфигурацию из примера выше. И добавим в нее несколько подсетей
  • 192.168.22.254/24 - vlan 1 - сеть передачи данных
  • 10.1.10.254/24 - vlan10 - Devices management
  • 10.1.20.254/24 - vlan20 - Voice
  • 10.1.30.254/24 - vlan30 - Video
Создадим подинтерфейсы для этих вланов, на основных интерфейсах. И помещаем каждый подинтерфейс в отдельную bridge group
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
 bridge-group 1
!
interface GigabitEthernet0/1.10
 description devices_management
 encapsulation dot1Q 10
 bridge-group 2
!
interface GigabitEthernet0/1.20
 description Voice
 encapsulation dot1Q 20
 bridge-group 3
!
interface GigabitEthernet0/1.30
 description Video
 encapsulation dot1Q 30
 bridge-group 4
!
interface GigabitEthernet0/0/0
 no ip address
 duplex auto
 speed auto
 media-type sfp
 bridge-group 1
!
interface GigabitEthernet0/0/0.10
 description devices_management
 encapsulation dot1Q 10
 bridge-group 2
!
interface GigabitEthernet0/0/0.20
 description Voice
 encapsulation dot1Q 20
 bridge-group 3
!
interface GigabitEthernet0/0/0.30
 description Video
 encapsulation dot1Q 30
 bridge-group 4

Создаем также эти vlan, для платы EHWIC-4ESG.
interface Vlan1
 no ip address
 bridge-group 1
!
interface Vlan10
 no ip address
 bridge-group 2
!
interface Vlan20
 no ip address
 bridge-group 3
!
interface Vlan30
 no ip address
 bridge-group 4

Создаем соответствующие BVI интерфейсы и назначаем им адреса из выделенных подсетей
interface BVI1
 ip address 192.168.22.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface BVI2
 descriptiondevices_management
 ip address 10.1.10.254 255.255.255.0
!
interface BVI3
 description Voice
 ip address 10.1.20.254 255.255.255.0
!
interface BVI4
 description Video
 ip address 10.1.30.254 255.255.255.0
 

Ну и объединяем наши BVI интерфейсы в домен
bridge 1 domain 1
bridge 1 priority 0
bridge 1 protocol ieee
bridge 1 route ip
bridge 2 priority 20
bridge 2 protocol ieee
bridge 3 domain 1
bridge 3 priority 30
bridge 3 protocol ieee
bridge 4 domain 1
bridge 4 priority 40
bridge 4 protocol ieee


суббота, 10 января 2015 г.

Cisco Bridging: теория

Bridge - это мост, служит для передачи данных между LAN. Есть 4-е вида мостов:
  1. Transparent bridging (прозрачный мост) – применяется в основном в Ethernet сети и в основном используются для соединения сетей, с одинаковой средой передачи
  2. Source-Route Bridging (SRB) – в основном используются в Token Ring сетях. Мосты только перенаправляют фреймы основываясь на routing indicator, содержащемся во фрейме. Конечные станции несут ответственность за определение и поддержание таблиц адресов назначения и routing indicator (маршрутных индикаторов)
  3. Translational bridging – используется для передачи данных между различными физическими средами. Обычно это используется между Ethernet и FDDI или Token Ring и Ethernet
  4. Source-Route Translational Bridging (SR/TLB) – это комбинация source-route bridging и transparent bridging, которая обеспечивает связь в смешанной среде предприятия Ethernet and Token Ring. Translational bridging без routing indicators (маршрутных индикаторов) между Token Ring и Ethernet также называется SR/TLB

Transparent bridge называется так потому, что его присутствие и работа прозрачна для хостов в сети. Когда Transparent bridge включен, он узнает расположение рабочих станций, анализирую адрес источника входящего фрейма ото всех подключенных сетей. Например, если bridge видит, что фрейм получен на порту 1 от хоста А, он решает, что хост А может быть достижим через сегмент подключенный к порту 1. В ходе этого процесса transparent bridges строит таблицу (процесс обучения) соответствий.

Bridge использует таблицу как основу для передачи трафика. Когда фрейм получен на одном из интерфейсов добавленных в bridge, тогда bridge ищет адрес назначения фрейма по своей внутренней таблице. Если в таблице содержится взаимосвязь между адресом назначения и любым из забриджеванным портом, за исключением порта, на котором фрейм был получен, то фрейм передается на соответствующий порт. Если взаимосвязь не найдена, фрейм распространяется на все порты, кроме того, на котором фрейм был получен. Броадкаст и мультикаст так же распостраняются этим способом.

Transparent bridges успешно изолирует внутрисегментный трафик, тем самым уменьшая видимый трафик на каждом отдельном сегменте. Это называется фильтрацией и происходит, когда MAC адрес источника и назначения расположены в том же интерфейсе моста. Фильтрация обычно улучшает отклик сети. Степень, до которой трафик уменьшается, а время отклика улучшается (уменьшается) зависит от объема внутрисегментного трафика по отношения к общему объему, а так же объема броадкаст и мультикаст трафика

Bridging работает на data-link уровне, который управляет потоком данных, обрабатывает ошибки передачи, предоставляет физическую адресацию и управляет доступом к физической среде. Bridges анализирует входящий фрейм, принимает решение о переадресации основываясь на этом фрейме, и передает фрейм к его адресу назначения. Иногда, например в SRB, фрейм содержит полный путь к адресу назначения. В других случаях, таких как в transparent bridging, фреймы передаются в один хоп за раз к месту назначения.

Мосты могут быть или удаленные или локальные. Локальные мосты предоставляют непосредственное соединение между несколькими сегментами LAN в той же области. Удаленные мосты соединяют сегметы LAN в различных областях, обычно через телекоммуникационные каналы.

Spanning Tree Algorithm (STA) – является важной частью transparent bridging. STA используется для динамического обнаружения loop-free подсетей в сетевой топологии. Чтобы сделать это STA ставит порты моста, которые создают петли, когда активны, в состояние ожидания или блокировки. Заблокированные порты могут быть активированы, если основной порт неисправен, также они предоставляют поддержку избыточности. Для большей информации смотри IEEE 802.1d спецификацию.

Расчет Spanning Tree происходит, когда мост создается или когда обнаружено изменение топологии. Конфигурационные сообщения называются Bridge Protocol Data Units (BPDUs), запускающие расчет.

Пока B1 был единственным мостом, все работало хорошо, но с настройкой B2, появилось два способа соединения между двумя сегментами. Это называет bridging loop network. Без STA, broadcast от хоста из LAN1 стал бы известен двум мостам, и тогда B1 и B2 отправили одно и тоже broadcast сообщение в LAN2. Оба моста (В1 и В2) уверены, что хост подключен к LAN2. В дополнение к этой основной проблемы подключения с broadcast сообщениями в сети с петлями, может быть проблема с пропускной способностью.

С STA, даже когда В1 и В2 настроены, они оба отправляют BPDU сообщения, которые содержат информацию, определяющую кто из низ является root bridge. Если В1 является root bridge, то он становится designated bridge для LAN1 и LAN2. В2 не будит бриджевать никакие пакеты, так как один из его портов будит в заблокированном состоянии.

Integrated Routing and Bridging (IRB)

IRB позволяет бриджевать и маршрутизировать протоколы одновременно и пропускать трафик от бриджеванного интерфейса к маршрутизируемому и наоборот. Например, вы можете переходить от bridged topologies к routed topologies, вам сначала может потребоваться подключить bridged segment к routed networks.

Использую IRB функцию вы можете маршрутизировать определенный протокол между routed interfaces и bridge groups в пределах L3 коммутатора. В частности, локальный или немаршрутизируемый трафик будит передаваться через bridged interfaces в той же bridge group, в то время как маршрутизироуемый трафик будит передаваться через routed interfaces или bridge groups

BVI – это виртуальный интерфейс в L3 коммутаторе, который действует как обычный маршрутизируемый интерфейс (routed interface). BVI не поддерживает bridging, но на самом деле представляет соответствующие bridge group для маршрутизируемого интерфейса L3 коммутатора. Номер интерфейса является связующим звеном между BVI и bridge group.

Программное обеспечение L3 коммутатора поддерживает маршрутизацию IP и IPX между routed interfaces и bridged interfaces на том же L3 коммутаторе.

Перед настройкой IRB необходимо учитывать:
  1. Поведение по умолчанию route/bridge в находящихся в bridge group (когда IRB включен) это bridge всех пакетов. Необходимо убедится, что маршрутизация настроено точно на BVI для протоколов, которые необходимо маршрутизировать
  2. Пакеты не маршрутизируемых протоколов, такие как local-area transport (LAT) всегда бриджуются. Нельзя отключить бриджинг для не маршрутизируемых протоколов.
  3. Bridge соединяет несколько сетевых сегментов в одну большую плоскую сеть. Для прохождения пакета идущего от маршрутизируемого интерфейса среди bridged interfaces, вся bridge group должна быть представлена одним интерфейсом.

Когда на BVI настроена и включена маршрутизация, пакеты пришедшие на маршрутизируемый интерфейс, который является адресом назначения для хоста в сегменте bridge group, перенаправляются к BVI. От BVI пакеты перенаправляются к механизму бриджевания (bridging engine), который направляет их через bridged interface. Это перенаправление основывается на MAC адресе назначения. Аналогично, пакеты, которые пришли на bridged interface, но адрес назначения расположен в маршрутизируемой сети, сперва попадает на BVI. Затем BVI передает пакеты на механизм маршрутизации (routing engine), который направляет их через routed interface. На одном физическом интерфейсе, IRB может быть создан с двумя VLAN (802.1Q tagging) подинтерфейсами; одни VLAN подинтерфейс с IP адресом, используемым для маршрутизации, и другой VLAN подинтерфейс и другим физическим интерфейсом на маршрутизации.




P.SЕсли кто будит пользоваться данной публикацией. Она сосавлена в первую очередь для себя, для лучшего понимания данной тематики, это перевод нескольких цисковских мануалов. Обратите внимание, что точность и правильность перевода не гарантируется, в тексте могут присутствовать орфографические, пунктуационные и другие ошибки. За более полной информацией необходимо обратится к официальной документации. Дополнения, исправления, указания на неточности преветсвуются.