Multilayer Switching et CEF

F. Nolot ©2013 1
 Multilayer Switching et CEF

Introduction

F. Nolot ©2013 2
Introduction

Routage Inter-Vlan avec un routeur : router-on-a-stick

Fa0/0 interface FastEthernet0/0

interface
no FastEthernet0/0
ip address
no ip address
interface FastEthernet0/0.10
interface FastEthernet0/0.10
encapsulation dot1Q 10
encapsulation
ip dot1Q 10
address 192.168.10.254 255.255.255.0
interface FastEthernet0/0.20255.255.255.0
ip address 192.168.10.254
interface FastEthernet0/0.20
encapsulation dot1Q 20
encapsulation dot1Q 20
ip address 192.168.20.254 255.255.255.0
ip address 192.168.20.254 255.255.255.0
Vlan 10 Vlan 20

Inconvénient
Diminution de la bande passante par vlan sur la liaison Switch – Routeur
Complexité d'administration
Solutions en entreprises
Switching niveau 3 : Multilayer Switching

F. Nolot ©2013 3
 Multilayer Switching et CEF

Multilayer Switching ?

F. Nolot ©2013 4
Multilayer Switch Interfaces

Logical Interface (SVI)

Fonctionnalité de switching niveau 2 et de routage InterVLAN

Interface Couche 2 : ports en access ou trunk
Interface Couche 3
Avoir une IP sur l'interface
Interface physique
Comme sur un router
Interface logique
Représente tout un VLAN
Appelé Switched Virtual Interface (SVI)
Exemple : interface vlan 10
F. Nolot ©2013 5
Activation de la couche 3 ?

Switch>sh int fa 0/1 switchport

Switch>sh
Name: Fa0/1int fa 0/1 switchport
Name: Fa0/1 Enabled
Switchport:
…Switchport: Enabled
…
Switch(config)#int fa 0/1
Switch(config)#int fa
Switch(config-if)#no 0/1
switchport Conversion en interface de couche 3
Switch(config-if)#no switchport

Switch>sh int fa 0/1 switchport

Switch>sh
Name: Fa0/1int fa 0/1 switchport
Name: Fa0/1 Disabled
Switchport:
Switchport: Disabled
Switch(config)#int fa 0/1
Switch(config)#int fa 0/1
Switch(config-if)#switchport
Switch(config-if)#switchport Conversion en interface de couche 2
Switch>sh int fa 0/1 switchport
Switch>sh
Name: Fa0/1int fa 0/1 switchport
Name: Fa0/1 Enabled
Switchport:
Switchport: Enabled

F. Nolot ©2013 6
 Multilayer Switching et CEF

Fonctionnement

F. Nolot ©2013 7
Fonctionnement du Multilayer Switching

Multilayer Switching : capacité pour un switch de faire de la commutation et du

routage
Possibilité d'avoir des fonctions des couches 4 à 7
Route processor (fonction de couche 3) exécuté par un soft

F. Nolot ©2013 8
MLS Traditionnel

RP

SE

Utilisation de 2 composantes du switch

Route Processor (RP)
Switching Engine (SE)
RP : analyse du paquet pour prise de décision
SE : Application Specific Integrated Circuits (ASIC) en charge de la ré-écriture du
packet (MAC source, MAC destination et CRC)

F. Nolot ©2013 9
Netflow Switching ?

Switching Engine : lecture du 1er paquet d'un échange

Route processeur
Identification des champs suivants
IP source et destination
Ports source et destination
Type de protocole Couche 3
Octet ToS
Interface logique d'entrée
Décision prise par le RP pour informer le SE
Ces 7 critères identifient un « flow »
Un cache Netflow est rempli pour chaque nouveau « flow »
Pour les prochains paquets avec les mêmes informations, le SE fera un forward
sans passer par le RP, utilisation directe du Netflow Cache
Cette technique s'appelle le NetFlow Switching

F. Nolot ©2013 10
Exemple Traditional MLS

IP: 10.1.1.254 IP: 10.2.2.254

MAC: 00:00:00:11:11:11 MAC: 00:00:00:22:22:22

IP Header IP Data
Ethernet

Vlan 1 Dst 00:00:00:11:11:11 Src 00:00:00:0A:0A:0A IP Src 10.1.1.1 IP Dst 10.2.2.2

Forward du 1er paquet (1er « flow ») au Layer 3 engine

Analyse, ré-écriture des MAC, CRC et envoie

F. Nolot ©2013 11
Exemple Traditional MLS

IP: 10.1.1.254 IP: 10.2.2.254

MAC: 00:00:00:11:11:11 MAC: 00:00:00:22:22:22

IP Header IP Data
Ethernet

Vlan 2 Dst 00:00:00:0B:0B:0B Src 00:00:00:22:22:22 IP Src 10.1.1.1 IP Dst 10.2.2.2

Forward du 1er paquet (1er « flow ») au Layer 3 engine

Analyse, ré-écriture des MAC, CRC et envoie

F. Nolot ©2013 12
Exemple Traditional MLS

IP: 10.1.1.254 IP: 10.2.2.254

MAC: 00:00:00:11:11:11 MAC: 00:00:00:22:22:22

IP Header IP Data
Ethernet

Vlan 1 Dst 00:00:00:11:11:11 Src 00:00:00:0A:0A:0A IP Src 10.1.1.1 IP Dst 10.2.2.2

Prochain paquet, «  flow » existant par identification des 7 critères

Transmission directe dans passage par le Layer 3 Engine
Utilisation de la MLS Cache (en Fast Switching ou Netflow Switching)
F. Nolot ©2013 13
Netflow Switching vs Fast Switching ?

Utilisation dans les 2 cas d'un cache

Permet d'éviter de passer systématiquement par le Layer 3 Engine
En Netflow, une table de statistiques des flux est construite
Permet de faire de l'analyse de flux
En Fast Switching, pas de statistique

F. Nolot ©2013 14
Comment aller plus vite ?

Netflow et Fast Switching évitent d’utiliser systématiquement le Routing Engine

pour chaque paquet
MAIS fabrication du cache uniquement quand un 1ère paquet passe !
Cisco Express Forwarding : fabrication du cache automatiquement, à partir de la
table de routage
Pas d'attente du 1er paquet pour construire un switching cache

F. Nolot ©2013 15
Cisco Express Forwarding

Utilisation de 2 tables
Forward Information Base : c'est une image optimisée de la table de routage
Adjacency Table : contient les adresses de couche 2 des prochains sauts

F. Nolot ©2013 16
La Forward Information Base

La table de routage est ré-organisée dans la FIB qui contient alors :

les informations de la table de routage du plus précis au plus général ;
le next-hop pour chaque entrée
A chaque mise à jour de la table de routage, la FIB est également mise à jour
Si une destination n'est pas connue de la FIB, le paquet est marqué « CEF punt »
Envoie dans ce cas au Layer 3 Engine
Raisons d'envoi au Layer 3 Engine
Non présent dans la FIB
Table FIB pleine
TTL IP arrivé à expiration
MTU exceeded et fragmentation nécessaire
ICMP redirect est impliqué
Encapsulation non supporté
Paquets tunnelés avec besoin de compression ou chiffrement
Access list avec log activé
NAT doit être effectué
F. Nolot ©2013 17
Les techniques CEF

CEF centralisé
Disponible sur les équipements comme les 3560 par exemple
Accelerated CEF (aCEF)
CEF est distribué entre le Layer 3 Engine et la line card (sur un 6500)
La capacité de la line card ne peut pas stocké toute la FIB
Utilisation d'une FIB cache sur la line card et chargement depuis le Layer 3 Engine en
cas de besoin du reste de la FIB
Distributed CEF (dCEF)
La FIB est répartie sur plusieurs Layer 3 Engine pour plus de performance
Les Catalyst 6500 ont des line card qui gèrent leur propre CEF
La central Layer 3 engine (MSFC2 par exemple) maintien la table de routage et génère
les FIB

F. Nolot ©2013 18
Adjacency Table

Maintien une table qui contient les adresses MAC des next hop de la FIB
L'adjacency table contient
Les adresses IP et l'adresse MAC du next-hop
Table construite à partir des tables ARP
Si entrée ARP n'existe pas, dans la FIB c'est marqué CEF Glean
Envoie alors en Layer 3 engine pour générer les ARP request
Null adjacency
A destination de l'interface Null (destruction du paquet)
Drop adjacency
Suppression du paquet car impossible de le forwarder
Discard adjacency
Une access list ou règle de sécurité indiquant la destruction du paquet
Punt adjacency
Besoin d'envoie en Layer 3 engine pour les raisons évoquées dans les précédents
slides sur la FIB
F. Nolot ©2013 19
Exemple (1/3)
S1/6120#sh ip cef
S1/6120#sh ip cef
Prefix Next Hop Interface
Prefix
0.0.0.0/0 Next Hop
192.168.10.253 Interface
FastEthernet0/11
0.0.0.0/0
0.0.0.0/8 192.168.10.253
drop FastEthernet0/11
0.0.0.0/8
0.0.0.0/32 drop
receive
0.0.0.0/32
10.10.10.0/24 receive
attached Vlan10
Fa0/0 10.10.10.0/24
10.10.10.0/32 attached
receive Vlan10
Vlan10
10.10.10.0/32
10.10.10.254/32 receive
receive Vlan10
Vlan10
10.10.10.254/32
10.10.10.255/32 receive
receive Vlan10
Vlan10
10.10.10.255/32
10.10.20.0/24 receive
attached Vlan10
Vlan20
10.10.20.0/24
10.10.20.0/32 attached
receive Vlan20
Vlan20
10.10.20.0/32
10.10.20.254/32 receive
receive Vlan20
Vlan20
10.10.20.254/32
10.10.20.255/32 receive
receive Vlan20
Vlan20
10.10.20.255/32
127.0.0.0/8 receive
drop Vlan20
127.0.0.0/8
192.168.10.0/24 drop
attached FastEthernet0/11
192.168.10.0/24 attached FastEthernet0/11
Vlan 10 Vlan 20 192.168.10.0/32
192.168.10.0/32
receive
receive
FastEthernet0/11
FastEthernet0/11
192.168.10.254/32 receive FastEthernet0/11
192.168.10.254/32
192.168.10.255/32 receive
receive FastEthernet0/11
FastEthernet0/11
192.168.10.255/32
224.0.0.0/4 receive
drop FastEthernet0/11
224.0.0.0/4
224.0.0.0/24 drop
receive
224.0.0.0/24
240.0.0.0/4 receive
drop
240.0.0.0/4
255.255.255.255/32 drop
receive
S1/6120#sh ip route 255.255.255.255/32 receive
S1/6120#sh ip route
Gateway of last resort is 192.168.10.253 to network 0.0.0.0
Gateway of last resort is 192.168.10.253 to network 0.0.0.0
C 192.168.10.0/24 is directly connected, FastEthernet0/11
C 192.168.10.0/24
10.0.0.0/24 is directly
is subnetted, connected, FastEthernet0/11
2 subnets
C 10.0.0.0/24 is subnetted, 2 subnets Vlan10
10.10.10.0 is directly connected,
CC 10.10.10.0is
10.10.20.0 isdirectly
directlyconnected,
connected,Vlan20
Vlan10
S*C 10.10.20.0 is directly connected,
0.0.0.0/0 [1/0] via 192.168.10.253 Vlan20
S* 0.0.0.0/0 [1/0] via 192.168.10.253
S1/6120#
S1/6120#

F. Nolot ©2013 20
Exemple (2/3)

S1/6120#sh adjacency detail

S1/6120#sh
Protocol adjacency detail
Interface Address
ProtocolFastEthernet0/11
IP Interface Address
192.168.10.253(5) (incomplete)
IP FastEthernet0/11 0192.168.10.253(5)
packets, 0 bytes (incomplete)
0 packets,
epoch 0 0 bytes
epoch 0 in sev-epoch 1
sourced
sourced
punts in sev-epoch
packets 1
(ratelimited)
punts
no src packets
set (ratelimited)
IP Vlan10 no src set
10.10.10.1(8) Pas encore de rêquete ARP
IP Vlan10 10.10.10.1(8)
0 packets, 0 bytes Présent car IP de Next-hop
Mac source 0 packets,
epoch 0 0 bytes
PC du vlan 10 epoch 0 in sev-epoch 1
sourced
sourced
Encap in sev-epoch
length 14 1
10.10.10.1 Encap length 14
0018DE000037D4D748DF5BC40800
0018DE000037D4D748DF5BC40800
L2 destination address byte offset 0
L2 destination
L2 destination address
address byte
byte length
offset 60
L2 destination address
Link-type after encap: ip byte length 6
Fa0/0 Link-type after encap: ip
ARP
ARP

Vlan 10 Vlan 20

F. Nolot ©2013 21
Exemple (3/3)

S1/6120#sh adjacency detail

S1/6120#sh
Protocol adjacency detail
Interface Address
ProtocolFastEthernet0/11
IP Interface Address
192.168.10.253(12)
IP FastEthernet0/11 0192.168.10.253(12)
packets, 0 bytes
0 packets, 0 bytes Mac de sortie (int Fa0/11)
epoch 0
epoch 0 in sev-epoch 1
sourced
sourced
Encap in sev-epoch
length 14 1
Encap length 14
001BD5A5EDF2D4D748DF5BC30800
001BD5A5EDF2D4D748DF5BC30800
L2 destination address byte offset 0
L2 destination address
L2 destination address byte
byte length
offset 60
L2 destination
Link-type after address
encap: ipbyte length 6
Link-type after encap: ip
ARP
IP Vlan10 ARP
10.10.10.1(8)
IP Vlan10 010.10.10.1(8)
packets, 0 bytes
0 packets, 0 bytes Mac de sortie (Vlan 10)
epoch 0
epoch 0 in sev-epoch 1
sourced
Fa0/0 sourced in sev-epoch 1 EtherType
MAC 00:1B:D5:A5:ED:F2
Encap length 14
Encap length 14
0018DE000037D4D748DF5BC40800
0018DE000037D4D748DF5BC40800
L2 destination address byte offset 0
Fa0/11 L2 destination
destination address
address byte
byte length
offset 60
L2
L2 destination address
Link-type after encap: ip byte length 6
Link-type after encap: ip
ARP
ARP

Vlan 10 Vlan 20

F. Nolot ©2013 22
 Multilayer Switching et CEF

Merci pour votre attention

F. Nolot ©2013 23