1

LANs, VLANs e redes IP

(2 trabalho laboratorial)
FEUP/DEEC
Redes de Computadores
MIEEC 2010/11
Jos Ruela
2
Laboratrio I 321 bancada de trabalho
3
Bancada de trabalho (lab I 321) equipamento
Existem seis bancadas no laboratrio
Cada bancada inclui
Trs ou quatro computadores tuxxy
x indica a bancada (1 a 6) e y usado para identificar os computadores na
bancada respectiva (1 a 4)
Inicialmente (e por omisso) todos os computadores tuxxy devem estar
configurados na mesma subrede IP 172.16.1.0/24
tuxx1 172.16.1.x1 , tuxx2 172.16.1.x2
tuxx3 172.16.1.x3 , tuxx4 172.16.1.x4
Um bastidor com um comutador (tux-swx) e um router (tux-rtrx)
tux-swx: 172.16.1.x0
tux-rtrx: 172.16.1.x9
Os computadores de uma bancada devem ligar-se ao respectivo
comutador
http://netlab.fe.up.pt/doku.php?id=documentation:lab:i321
Nota: o laboratrio I 320 estequipado de forma idntica ao I 321 (ver anexo) as
mquinas designam-se gnuxy, gnu-swx e gnu-rtrx e a rede do laboratrio 172.16.2.0/24
4
Protocolos bsicos de LANs IP
(1 parte)
5
Objectivos
Familiarizaocom protocolosbsicosdapilhaprotocolar TCP/IP em
ambienteLAN (aplicaode conhecimentostericos)
ARP Address Resolution Protocol (resoluode endereosMAC, dado
um endereoIP alvo)
ICMP Internet Control Message Protocol (utilizadopor ping)
STP Spanning Tree Protocol (usadopor bridges / comutadoresde LAN)
Configuraode interfaces de rede(e.g., Ethernet) endereosIP e
mscaras
Utilizaode umaferramentade anlisede redes(Wireshark) para
monitorizaoe anlisede protocolos
Anlisee configuraode tabelasARP e de encaminhamento
Na primeiraparte do trabalhoserconfiguradaumanicaLAN / LAN
Virtual (Virtual LAN VLAN) emcadabancada(vlan1, quea VLAN
de gesto)
6
Uma nica LAN / VLAN
Por omisso todas as portas de um comutador pertencem vlan1, que
a VLAN de gesto
Na primeira parte do trabalho nenhuma outra VLAN serconfigurada
em qualquer bancada
Inicialmente os computadores devem ter endereos na mesma rede IP
(172.16.1.0/24) e as bancadas esto isoladas entre si
Existeconectividadeentre computadoresnamesmabancada porqu?
Quandose ligamcomutadoresde duasoumaisbancadas(ver teste1.5),
deveexistir conectividadeentre todososcomputadoresdas bancadas
respectivas(mantendo-se as configuraesiniciais) porqu?
O protocolospanning tree deveestar activado(situaopor omissono
arranquedo comutador) de modoa criar-se umatopologialgicaaberta
(semciclos), umavez quea topologiafsicapodeser fechada(por
exemplo, se foremligadastrsbancadasouestabelecidasligaes
redundantesentre duasbancadas)
7
1.1. Testes bsicos de conectividade
O comutador deve estar isolado da rede do laboratrio
Verificar a conectividade entre mquinas (com ping) e de que modo as tabelas
ARP so actualizadas
Registar a configurao de cada computador e actualiz-la se necessrio
Registar o contedo das tabelas ARP antes e depois de cada ping exemplos:
tuxx1#ping 172.16.1.x2 (e no sentido oposto)
tuxx1#ping 172.16.1.x4 (e no sentido oposto)
No caso de as tabelas ARP no estarem vazias no incio dos testes, limpar o
respectivo contedo e repetir os testes anteriores
Analisar e explicar os resultados
tuxx1
switch
tuxx2 tuxx3 tuxx4
8
Usar Wireshark no tuxx1 e guardar os logs
Limpar as tabelas ARP, comear a captura de trfego e repetir os testes
de conectividade anteriores (teste 1.1)
Realizar ospassosseguintes
tuxx2#ping 172.16.1.x4
Limpar a tabela de endereos MAC do comutador (ou configurar um
aging time curto)
tuxx2#ping 172.16.1.x4
Analisar e explicar os resultados (especialmente o comportamentodo
comutador no encaminhamento de tramas, tal como visto pelo tuxx1)
1.2. Monitorizao de trfego
tuxx1
switch
tuxx2 tuxx3 tuxx4
monitoring
9
1.3. Alterao do endereo IP de uma mquina
Alterar o endereode um computador (e.g., tuxx2) paraumagama
diferentede endereosIP
Exemplo usar 172.16.x0.x2 comonovo endereodo tuxx2
TodososcomputadorespermanecemnamesmaVLAN (vlan1)
Iniciar a capturade trfegoe verificar conectividadecom computador
cujoendereofoi alterado(tuxx2)
tuxx1#ping 172.16.x0.x2
tuxx2#ping 172.16.1.x1
No final destestestes repor o endereoIP original do tuxx2
Analisar e explicar os resultados
10
1.4. Monitorizao de trfego TCP/IP
Este conjuntode testes requer estabelecer sessesTCP com servidores
noligadosrede172.16.1.0/24
O comutador deveser ligado(atravsdo painel central) aorouter do
laboratrio(com endereo172.16.1.254)
Os testes devemser realizadosno tuxx1
Verificar se a tabelade encaminhamentodo tuxx1 tem umaentrada
default (parao router do laboratrio) casoafirmativo, elimin-la
Para monitorizar protocolosde alto nvel, iniciar a capturade trfegoe
entoestabelecer umasessoFTP e depoisumasessoHTTP (com
recursoa um browser) paraservidoresexternos
Adicionar natabelade encaminhamentodo tuxx1 umaentradadefault
parao router do laboratrio
Repetir ostestes anterioresde monitorizaode protocolosde alto nvel
Analisar e explicar os resultados
11
1.5. Ligao entre dois comutadores
Estabelecer umaligaofsicaentre doiscomutadores
Directamenteouatravsdo comutador no bastidor central (usando, neste
caso, ligaesparao painel central)
Verificar conectividadeentre computadoresemduasbancadas,
repetindoostestes bsicosde conectividade(com ping), e registar
Contedodas tabelasARP
Contedodas tabelasde endereosMAC noscomutadores, antes e depois
darealizaodos testes de conectividade
Capturade trfegonostuxx1 (emcadabancada)
Analisar e explicar os resultados
12
Relatrio (1 parte)
Deveser produzidoum relatriono prazode umasemanaapsa
conclusodaprimeiraparte do trabalho
Deveser enviadaumaversoelectrnicaparajruela@fe.up.pt
Deveser igualmenteentregueumacpiaempapel
O relatriodeveincluir, paracadateste
A(s) figura(s) correspondente(s) aocenriode comunicaoobjectode
teste
Os comandosusadosparaconfiguraodos sistemase as configuraes
resultantes
Todososresultados, incluindoas capturasde trfegorelevantese o
contedode tabelas, (e.g., tabelasARP), quandoapropriado
Interpretaoe comentriosdos resultados(paraalmdas respostass
questescolocadas)
13
VLANs e redes IP
(2 parte)
14
LANs Virtuais / Virtual LANs (VLANs)
Na primeira parte do trabalho foi configurada uma nica VLAN em cada
comutador por omisso a vlan1, que tambm a VLAN de gesto
Uma VLAN uma LAN comutada baseada em segmentao lgica (no fsica),
isto , as estaes numa VLAN formam um grupo lgico e pertencem ao mesmo
domnio de difuso (na camada MAC), independentemente da respectiva
localizao fsica
O critrio bsico para criar VLANs atribui (associa) portas do comutador a VLANs
Uma VLAN pode ser criada em mltiplos comutadores
possvel configurar mltiplas VLANs num comutador (e portanto em vrios)
Uma estao pode pertencer a mais do que uma VLAN casos tpicos so routers e
servidores
Quando necessrio criar vrias redes IP num ambiente LAN, aconselhvel
associar cada rede IP a uma VLAN diferente
Um VLAN garante conectividade na camada MAC entre estaes de uma rede IP
Conectividade de nvel 3 (entre estaes em redes IP diferentes) assegurada por
routers (algus routers podem tambm comutar tramas MAC router switches)
15
Objectivos
Criao de mltiplas VLANs
Verificar conectividade numa VLAN (mesmo que configurada em
vrios comutadores)
Distinguir access ports e trunk ports
Identificar necessidade de etiquetagem (tagging / IEEE 802.1Q)
Formao de uma spanning tree
Verificar conectividade entre VLANs por meio de routers
Caso simples um computador configurado com traffic forwarding
Uso de um router (tux-rtrx)
Configurao esttica de rotas
Configurao de NAT (Network Address Translation)
O router (tux-rtrx) permite atribuir a uma porta fsica mltiplos endereos
IP (interfaces virtuais) a porta deve ser configurada para pertencer s
VLANs associadas s redes IP respectivas
Sugesto: manter uma gama de portas sempre na vlan1; se uma estao tiver de ser
configurada numa outra rede IP (e portanto pertencer a outra VLAN), simplesmente
atribuir outra porta a essa VLAN e ligar a estao a essa porta
16
2.1. Configurao do Spanning Tree Protocol
Interligar 3 comutadores por forma a formar um tringulo realizado com as
portas Gigabit Ethernet (o Spanning Tree Protocol estactivo por omisso)
Para simplificar, os testes devem ser realizados com uma nica VLAN configurada
(vlan1) caso fossem configuradas mltiplas VLANs, a execuo do SPT deveria
criar uma spanning tree por cada VLAN configurada
Identificar o root switch e as portas bloqueadas (porqu estas e no outras?)
Retirar um dos cabos que faz parte da rvore, esperar algum tempo e verificar
de novo a configurao da spanning tree (root switch e estado das portas)
Qual a nova configurao da rvore? Porqu?
Voltar a establecer a ligao, esperar algum tempo e forar por configurao
outro comutador a assumir o papel de root switch
Que portas se encontram agora bloqueadas? Porqu?
Analisar e interpretar os resultados
Nota: podem ser usadas sesses SPAN
para observar as mensagens do STP
trocadas entre os comutadores
switch
switch
switch
17
2.2. Criao de VLANs num comutador (1/2)
No comutador x (tux-swx)
Criar vlan x0 (e.g., vlan10 na bancada 1)
Adicionar vlan x0 as portas onde se devem ligar o tuxx1 e o tuxx2
Reconfigurar o tuxx1 e o tuxx2
Rede: 172.16.x0.0/24
tuxx1: 172.16.x0.x1
tuxx2: 172.16.x0.x2
Usar Wireshark no tuxx1 para captura de trfego
tuxx1 tuxx2
vlan x0
switch
172.16.x0.0/24
tuxx3 tuxx4
vlan 1
172.16.1.0/24
18
2.2. Criao de VLANs num comutador (2/2)
Verificar conectividade entre o tuxx1 e o tuxx2
Verificar isolamento entre o tuxx1 e o tuxx4 (porqu?)
Mudar o tuxx1 para uma porta configurada na vlan1 (qualquer porta que no
tenha sido adicionada vlan x0), sem alterar a sua configurao anterior
(172.16.x0.x1)
Verificar isolamento entre o tuxx1 e o tuxx4, apesar de estarem na mesma VLAN
(porqu?)
Verificar que o tuxx1 fica tambm isolado do tuxx2, apesar de terem endereos na
mesma subrede 172.16.x0.0/24 (porqu?)
Mudar novamente o tuxx1 para a porta anterior configurada na vlan x0,
configurar a interface eth1 do tuxx2 (172.16.1.x2) e lig-la a uma porta da vlan1,
activar ip forwarding no tuxx2 e criar as entradas adequadas nas tabelas de
encaminhamento das outras mquinas
Verificar conectividade entre mquinas em VLANs / subredes diferentes (Porqu?)
Analisar e interpretar os resultados
19
2.3. Criao de VLANs em 2 comutadores (1/2)
tuxz1
vlan x0
172.16.x0.0/24 172.16.xz.0/24
Trunk / tagging
vlan xz
tuxxy
tuxx1 tuxx2 tuxx4
vlan 1
172.16.z0.0/24
172.16.xz.0/24
vlan z0
tuxzy
tuxz2 tuxz4
vlan 1
vlan xz
Bancadax Bancadaz
20
2.3. Criao de VLANs em 2 comutadores (2/2)
Configurar a vlan xz e adicionar as portas do tuxx4 e do tuxz4 vlan xz
Escolher a porta Gigabit Ethernet 0/2 como porta de trunking (trunk port)
Uma trunk port suporta mais do que uma VLAN
necessrio etiquetar tramas (tagging) para transportar trfego de duas ou mais
VLANs numa trunk port
possvel configurar uma VLAN nativa (native vlan), cujo trfego transportado sem
etiquetagem por omisso, a VLAN nativa a vlan1
Associar a vlan xz trunk port (requer a utilizao de tagging 802.1Q)
Monitorizar o trfego que atravessa a trunk port
Usar, por exemplo, uma sesso SPAN
Usar Wireshark num computador associado a uma porta de destino SPAN
Verificar
Conectividade entre 2 computadores da vlan xz em comutadores diferentes, bem
como da vlan1 (assumindo que a vlan1 comum a ambos os comutadores)
Verificar se as tramas associadas vlan1 so transmitidas tagged ou untagged
Isolamento entre computadores associados a VLANs diferentes
Analisar e interpretar os resultados
21
2.4. Configurao de redes IP numa bancada
Criar duas VLANs no comutador (para alm da vlan1)
Associar uma rede IP a cada VLAN
Configurar o router (tux-rtrx) por forma a que seja possvel trocar trfego entre
dois quaisquer computadores (por exemplo, executando ping)
As trs VLANs devem ser associadas a uma das portas do router
Devero ser configuradas rotas apropriadas
Fazer testes de conectividade (ping)
Analisar e interpretar os resultados
tuxx1
vlanx0 vlanx1 vlan1
tux-swx
tux-rtrx
tuxx2 tuxx3 tuxx4
22
2.5. Conectividade externa com NAT
Pretende-se garantir conectividade com o exterior atravs do router do laboratrio, que tem
interfaces para a rede 172.16.1.0/24 (com endereo 172.16.1.254) e para a rede 192.168.110.0/24
(com endereo 192.168.110.253), que dacesso ao exterior
As redes criadas em cada bancada (excluindo a rede 172.16.1.0/24) no so conhecidas pelo router
do laboratrio, pelo que o router tux-rtrx deve realizar NAT (Network Address Translation)
Aps configurao de NAT no tux-rtrx devem ser feitos testes gerais de conectividade nos
computadores de cada bancada (ping e traceroute)
Analisar e interpretar os resultados
Nota: A ligao do tux-rtrx (endereo 172.16.1.x9 na rede 172.16.1.0/24)
ao router do laboratrio (na mesma rede) pode ser feita de dois modos:
1. pela porta trunk configurada no passo anterior (suporta a vlan1)
2. pela segunda porta (com endereo 172.16.1.x9), que deve ser associada
vlan1 no comutador; a vlan1 deve ser removida do trunk
Em qualquer dos casos deve existir uma ligao (na vlan1) entre o
comutador da bancada e o comutador central (no representado)
tuxx1
vlanx0 vlanx1 vlan1
tux-swx
tux-rtrx
tuxx2 tuxx3
172.16.1.x9
.254 192.168.110.0/24
vlan1
172.16.1.0/24 .253
192.168.109.0/24
.254
.254
172.16.2.0/24
(I 320)
(servidores)
23
Relatrio (2 parte)
Deveser produzidoum relatriono prazode umasemanaapsa
conclusodasegundaparte do trabalho
Deveser enviadaumaversoelectrnicaparajruela@fe.up.pt
Deveser igualmenteentregueumacpiaempapel
O relatriodeveincluir, paracadateste
A(s) figura(s) correspondente(s) aocenriode comunicaoobjectode
teste
Os comandosusadosparaconfiguraodos sistemase as configuraes
resultantes
Todososresultados, incluindoas capturasde trfegorelevantese o
contedode tabelas, (e.g., tabelasde encaminhamento), quando
apropriado
Interpretaoe comentriosdos resultados(paraalmdas respostass
questescolocadas)
24
Anexo
25
Laboratrio I 320 bancada de trabalho
26
Configuraes de rede em Linux
Re-inicializaodo subsistemade comunicao
/etc/init.d/networking restart
Configuraodo tuxxy
activar interface eth0
root#ifconfigeth0 up
listar configuraesactuaisdas interfaces de rede
root#ifconfig
configurar eth0 com endereoip-address (host) e mscarade n bits
root#ifconfigeth0 ip-address/n
adicionar rota parasubrede com endereoip-address (net) e mscarade n bits
root#route add -net ip-address/n gwip-address
adicionar rota default paranext hop (gateway) com endereoip-address (gw)
root#route add default gwip-address
listar rotas actuais(tabelade routing)
root#route -n
listar tabelaarp
root#arp
activar ip forwarding
root#echo 1 >/proc/sys/net/ipv4/ip_forward
27
Comutador configurao
Ligao ao comutador
Porta srie (/dev/ttyS0), em qualquer computador gtkterm
Password necessria
Por telnet ou ssh endereo 172.16.1.x0
Username e password necessrios
Limpar e copiar configuraes
http://netlab.fe.up.pt/doku.php?id=courses:static:miniguide:start
Exemplo: limpar configurao
del flash:vlan.dat
copy flash:tuxX-clean startup-config (X nmerodabancada)
reload
28
Comutador modos de comando (1)
29
Comutador modos de comando (2)
30
Comutador tabela de endereos MAC
Valorespor omisso
Remoode entradascom endereosdinmicos
31
Comutador alterao do tempo de vida de endereos
32
Configurao de VLANs no comutador
Creating an Ethernet VLAN
configure terminal
vlanvlan-id
end
show vlanid vlan-id
Deleting a VLAN
configure terminal
no vlanvlan-id
end
show vlanbrief
Add port z to a VLAN
configure terminal
interface interface-id
interface-id =slot/port sendo slot =0
exemplos: fastethernet 0/z, gigabitethernet 0/z
switchport mode access
switchport access vlanvlan-id
end
show running-configinterface interface-id
show interfaces interface-id switchport
33
Configurao de Trunk Port
Configuring a Trunk Port and defining the allowed VLANson the Trunk
configure terminal
interface interface-id
switchport trunk encapsulation dot1Q (necessriono Catalyst 3560 / lab I 321)
switchport mode trunk
switchport trunk allowed vlan{add | all | except | remove} vlan-list
end
show interfaces interface-id switchport
show interfaces interface-id trunk
34
Criao de sesso SPAN
Creating a SPAN session
configure terminal
no monitor session {session_number | all | local | remote}
monitor session session_number source {interface interface-id | vlanvlan-id}
[, | -] [both | rx| tx]
monitor session session_number destination {interface interface-id [, | -]
[encapsulation {dot1q | replicate}]}
end
show monitor [session session_number]
show running-config
35
Configurao de Spanning Tree
Disabling Spanning Tree
configure terminal
no spanning-tree vlanvlan-id
end
show spanning-tree vlanvlan-id
Configuring the Root Switch
configure terminal
spanning-tree vlanvlan-id root primary [diameter net-diameter [hello-time seconds]]
end
show spanning-tree detail
Displaying the Spanning Tree status
show spanning-tree active
show spanning-tree detail
show spanning-tree interface interface-id
show spanning-tree summary
Enabling Spanning Tree
configure terminal
spanning-tree mode pvst
end
36
Configurao do router interfaces e rotas
Interface de rede
configure terminal
interface interface-id
EncaminhamentosobreIEEE 802.1 Q (trunk port / interfaces virtuais)
interface-id =slot/port.subinterface-number sendo slot =0
exemplo: gigabitethernet 0/0.1
encapsulation dot1Q vlan-id (no casode interfaces virtuais/ IEEE 802.1Q)
ipaddress ip-address mask
no shutdown
exit
show interface interface-id
Rotas Estticas
iprouteprefix mask {ip-address | interface-type interface-number [ip-address]}
show iproute
37
Configurao do router NAT
Network Address Translation (NAT)
configure terminal
interface interface-id {netmasknetmask | prefix-length prefix-length}
ipaddress ip-address mask
no shutdown
ipnat inside / ipnat outside (conformese tratede umainterface interna ouexterna)
exit
ipnat pool name start-ip end-ip {netmasknetmask | prefix-length prefix-length}
ipnat inside source {list access-list-number} {interface type number | pool name} [overload]
access-list access-list-number {deny | permit} source [source-wildcard]
Exemplos(bancadax)
ipnat pool ovrld172.16.1.x9 172.16.1.x9 prefix-length 24 (pool name ovrld)
ipnat inside source list 1 pool ovrld overload (pool name ovrld; access list 1 )
access-list 1 permit 172.16.x0.0 0.0.0.7 (access list 1)
(autorizapacotescom endereosde origementre 172.16.x0.0 e 172.16.x0.7)
Nota: considerou-se apenaso casode se usar a opooverloading osendereosinternos so
traduzidosparaum nicoendereoexterno (172.16.1.x9)
Consultar: http://www.cisco.com/application/pdf/paws/13772/12.pdf
38
Bridging algoritmo spanning tree
1. Seleccionar a root bridge entre todasas bridges
A root bridge a bridge com o menor bridge ID
2. Determinar a root port paracadabridge (exceptoa root bridge)
A root port a portacom o percursode menor custoparaa root bridge
A root bridge notem root ports
3. Seleccionar a designated bridge paracadaLAN
A designated bridge a bridge queofereceo percursode menor custoda
LAN paraa root bridge
A designated port ligaa LAN designated bridge
Todasas portasdaroot bridge sodesignated ports
4. Todasas root ports e todasas designated ports socolocadasno
estadoforwarding
Estassoas nicasportasautorizadasa enviar tramas
As restantesportassocolocadasno estadoblocking
39
Exemplo topologia fsica
LAN1
LAN2
LAN3
B1 B2
B3
B4
B5
LAN4
(1)
(2)
(1)
(1)
(1)
(1)
(2)
(2)
(2)
(2)
(3)
Nota: assume-se queoscustosassociadossportasdas bridges soiguais
40
Exemplo passo 1
LAN1
LAN2
LAN3
B1 B2
B3
B4
B5
LAN4
(1)
(2)
(1)
(1)
(1)
(1)
(2)
(2)
(2)
(2)
(3)
Bridge 1 seleccionada
comoroot bridge
41
Root port seleccionada
paracadabridge
(exceptoroot bridge)
LAN1
LAN2
LAN3
B1 B2
B3
B4
B5
LAN4
(1)
(2)
(1)
(1)
(1)
(1)
(2)
(2)
(2)
(2)
(3)
R
R
R
R
Exemplo passo 2
42
Designated bridge
seleccionadaparacadaLAN
LAN1
LAN2
LAN3
B1 B2
B3
B4
B5
LAN4
(1)
(2)
(1)
(1)
(1)
(1)
(2)
(2)
(2)
(2)
(3)
R
R
R
R
D
D
D D
Exemplo passo 3
43
Todasas root ports e
designated ports colocadas
no estadoforwarding
LAN1
LAN2
LAN3
B1 B2
B3
B4
B5
LAN4
(1)
(2)
(1)
(1)
(1)
(1)
(2)
(2)
(2)
(2)
(3)
R
R
R
R
D
D
D D
Exemplo passo 4
44
Links teis
Manual do Catalyst 3560
http://www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_55_se/configura
tion/guide/3560_scg.html
http://www.fe.up.pt/DOC/3560sg.pdf
Manual do Catalyst 2960
http://www.fe.up.pt/DOC/2960sg.pdf
Manual do Cisco Router 1900 / 2900 / 3900
http://www.cisco.com/en/US/docs/routers/access/1900/software/configuration/guide/Software_Conf
iguration.html
http://www.fe.up.pt/DOC/2900sg.pdf
Manual do Cisco Router 1800
http://www.fe.up.pt/~jruela/DOC/1800sg.pdf
Manual de Wireshark
http://www.fe.up.pt/~jruela/DOC/Wireshark-user-guide-a4_v1.0.0.pdf
NetlabFEUP
http://netlab.fe.up.pt/doku.php
http://netlab.fe.up.pt/doku.php?id=documentation:lab:i321
http://netlab.fe.up.pt/doku.php?id=courses:static:miniguide:start
http://netlab.fe.up.pt/doku.php?id=documentation:equipment:cisco
CISCO
http://www.cisco.com/