Zaawansowane Przeczanie IP

dr in. ukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/

ZPIP - v2015

Hierarchiczny model sieci

WAN Edge

Core Tier

WAN Edge
Router

WAN Edge
Router

L2/L3
Switch

L2/L3
Switch

Aggregation
Tier
SSL VPN
Firewall
IPSec VPN
IPS
L2/L3
Switch

Security Sprawl
Hard to manage
STP in a flat L2
access network

L2/L3
Switch

Access
Tier L2
Switch
Servers +
Storage

ZPIP - v2015

Hierarchiczny model sieci

Warstwa dostpu do sieci

Jest punktem, w ktrym urzdzenia takie jak stacje robocze, serwery uzyskuj
dostp do sieci (zostaj do niej przyczone).
W korporacyjnej sieci LAN urzdzeniem stosowanym w warstwie dostpu do sieci
moe by: przecznik, punkt dostpowy.

Funkcje warstwy dostpu obejmuj rwnie kontrol, ktre urzdzenia mog si

komunikowa i w jaki sposb poprzez sie:

Bezpieczestwo portw (port-security, DAI, DHCP snooping)

VLAN

Agregacja czy, STP

QoS

PoE

1000 Mbit/s

KSBG (v2013)

Hierarchiczny model sieci

Warstwa dystrybucji sieci

Agregacja danych otrzymanych z warstwy dostpowej, przetwarzanie ich
a nastpnie przekazanie do warstwy szkieletowej skd wysyane s do

wza docelowego.
Urzdzenia (przeczniki L3) stosowane w warstwie dystrybucji: wysoka

wydajno (1/10Gb Ethernet), wysoka dostpno (nadmiarowo,

niezawodno).
Operacje wykonywane w ramach warstwy dystrybucji:

kontrola ruchu (polityka bezpieczestwa) np. ACL

rozdzielanie domen broadcastowych (routing pomidzy VLAN)

agregacja czy (ang. link agregation), STP

QoS
KSBG (v2013)

Hierarchiczny model sieci

Warstwa szkieletowa

Agregacja danych z urzdze warstwy dystrybucji.

Maksymalna wydajno:

10Gb Ethernet,

brak dodatkowych operacji na pakietach.

Przeczniki L3:

redundancja,

dostpno (nadmiarowo, niezawodno).

Agregacja czy (ang. link agregation)

QoS

KSBG (v2013)

Hierarchiczny model sieci

Zalety modelu hierarchicznego:

Skalowalno
Utrzymanie, konserwacja, przywracanie po
awariach (modularna budowa)

Nadmiarowo

Wydajno

Bezpieczestwo

Zarzdzanie
ZPIP - v2015

Rozliczenie ZPIP
VC
LAG
QoS
skrtka,
DAC,
wiatowody

VC

LAG

LAG
VC

VC

ZPIP - v2015

QoS / CoS

EX3300 Quality of Service (QoS)

Layer 2 QoS (interface)

Layer 3 QoS (interface)
Ingress policing: 1 rate 2 color
Hardware queues per port: 8
Scheduling methods (egress): Strict Priority (SP), SDWRR
802.1p, DiffServ Code Point (DSCP/IP) precedence trust and marking
L2-L4 classification criteria, including Interface, MAC address,
Ethertype, 802.1p, VLAN, IP address, DSCP/IP precedence, and
TCP/UDP port numbers
Congestion avoidance capabilities: Tail drop

ZPIP - v2015

Ingress policing: 1 rate 2 color

Limitowanie pasma:

policing (drop gubienie nadmiaru)

Pomiar prdkoci (np. bps) i jedna z 3 akcji:

Allow
Drop
Remark the packet with a different DSCP / IP precedence value.

shaping (buffer buforowanie nadmiaru)

ZPIP - v2015

Ingress policing: 1 rate 2 color

Przy limitowaniu pasma za pomoc

policing moliwe s trzy kategorie
przypisywane do danego ruchu:
Conforming (packet falls within the traffic
contract)
Exceeding (packet is using up the excess
burst capability)
Violating (packet is totally out of the traffic
contract rate)

ZPIP - v2015

10

Ingress policing: 1 rate 2 color

Single rate, two color

(one token bucket jedno wiadro z tokenami)

Tokeny s uzupeniane w wiadrze tokenw (jak? kiedy?).

Kiedy pakiet przybywa policer sprawdza czy jest wystarczajca liczba
tokenw w wiadrze aby przepuci pakiet (jak przelicza tokeny na
pakiety?); jeli tak to przepuszcza pakiet i pobiera odpowiednia liczb
tokenw z wiadra.

Token = 1 bajt
Liczba uzupenianych tokenw (dziaa w momencie przybycia pakietu):
(Packet arrival time - Previous packet arrival time) * Police Rate / 8

ZPIP - v2015

11

Ingress policing: 1 rate 2 color

https://networklessons.com/quality-of-service/qos-traffic-policing-explained/
ZPIP - v2015

12

Scheduling methods (egress)

Firewall Filters

ZPIP - v2015

13

Classification

Klasyfikacja na podstawie:
Interfejs
Adres MAC
Pole Ethertype
802.1p
VLAN
Adres IP
DSCP/IP
Numer portu TCP/UDP

ZPIP - v2015

14

Classification

Dwa typy klasyfikatorw:

Behavior aggregate (Ba): rozrnianie ruchu na podstawie

802.1p, DSCP/IP
Multifield (Mf): rozrnianie ruchu na podstawie wielu pl
(kombinacje rdowych i docelowych adresw L2/L3, L2/L3
QoS, portw TCP/UDP)

ZPIP - v2015

15

IEEE 802.1P

IEEE 802.1P: LAN Layer 2 QoS/CoS

Protocol for Trafc Prioritization

TPID = 8100 hex = IEEE 802.1Q / 802.1P

TCI Tag Control Information:

Network Protocols Handbook

2nd Edition.
Copyright 2004 - 2005 Javvin Technologies Inc.
ZPIP - v2015

16

IEEE 802.1P
User Priority: PCP (Priority Code Point)
Rekomendacja IEEE:

PCP

Priority

Acronym Traffic types

0 (lowest)

BK

Background

BE

Best Effort

EE

Excellent Effort

CA

Critical Applications

VI

Video, < 100 ms latency and jitter

VO

Voice, < 10 ms latency and jitter

IC

Internetwork Control

7 (highest)

NC

Network Control

ZPIP - v2015

17

Differentiated Services Code Point (DSCP)

Usuga DSCP (Differentiated Services Code Point) to

pole w pakiecie IP, ktre umoliwia przypisywanie
ruchowi w sieci rnych poziomw usug.
Osiga si to przez oznaczenie kadego pakietu w sieci
kodem DSCP i dostosowanie do niego odpowiedniego
poziomu usug.
Pole DSCP stanowi kombinacj pl Pierwszestwo IP
oraz Typ usugi.

ZPIP - v2015

18

Differentiated Services Code Point (DSCP)

0
1
2
3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Version| IHL |Type of Service|
Total Length
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Identification
|Flags|
Fragment Offset
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Time to Live |
Protocol
|
Header Checksum
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Source Address
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Destination Address
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|
Options
|
Padding
|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
RFC: 791
INTERNET PROTOCOL
DARPA INTERNET PROGRAM
PROTOCOL SPECIFICATION
September 1981

ZPIP - v2015

19

Differentiated Services Code Point (DSCP)

Bits 0-2: Precedence.
Bit
3: 0 = Normal Delay,
1 = Low Delay.
Bits
4: 0 = Normal Throughput, 1 = High Throughput.
Bits
5: 0 = Normal Relibility, 1 = High Relibility.
Bit 6-7: Reserved for Future Use.
0
1
2
3
4
5
6
7
+-----+-----+-----+-----+-----+-----+-----+-----+
|
|
|
|
|
|
|
|
PRECEDENCE
| D | T | R | 0 | 0 |
|
|
|
|
|
|
|
+-----+-----+-----+-----+-----+-----+-----+-----+
Precedence
111
110
101
100
011
010
001
000

Network Control
Internetwork Control
CRITIC/ECP
Flash Override
Flash
Immediate
Priority
Routine

RFC: 791
INTERNET PROTOCOL
DARPA INTERNET PROGRAM
PROTOCOL SPECIFICATION
September 1981

ZPIP - v2015

20

Firewall Filters

JEX_11.a_C6_DeviceSecurity_and_FirewallFilters.ppt

ZPIP - v2015

21

Scheduling

Scheduling methods (egress):

Strict Priority (SP)
Scheduled Deficit Weighted Round Robin
(SDWRR)

ZPIP - v2015

22

ZPIP - v2015

23

Zwyczajowo mamy FIFO

ZPIP - v2015

24

Strict Priority (SP)

ZPIP - v2015

25

Scheduled Deficit Weighted Round Robin

(SDWRR)

ZPIP - v2015

26

CTI laboratoria sieciowe

ZPIP - v2015

27

CTI laboratoria sieciowe

Konsola urzdze sieciowych dostpna poprzez serwer

terminali (Opengear).
Wszystkie urzdzenia, zgromadzone w laboratorium,
maj porty konsolowe podczone do serwera
terminali.
Poprzez SSH np. putty naley poczy si z serwerem
terminali, nr portu TCP zwizany jest z nr fizycznego
portu w serwerze terminali.

ZPIP - v2015

28

Zadanie 1

Przygotowa:

2 przeczniki EX3300 (szafy D, E, F),

(maks. 2 osoby w podgrupie):
Przywrci fabryczn konfiguracj
Nada unikatow nazw
Skonfigurowa haso dla root

ZPIP - v2015

29

Usuwanie hase z urzdze

ZPIP - v2015

30

Kasowanie konfiguracji startowych

ZPIP - v2015

31

Kasowanie konfiguracji startowych

Z menu urzdzenia:

MAINTENANCE:
SYSTEM REBOOT?
FACTORY DEFAULT?

IDLE
STATUS
MAINT

ZPIP - v2015

32

Konfigurowanie nazwy urzdzenia

ZPIP - v2015

33

Zadanie 2
1Gb/s
C

1Gb/s
A

trunk
100Mb/s

1Gb/s
B
D

1Gb/s

A, B VLAN Pracownik
C, D VLAN Telefony

ZPIP - v2015

34

Zadanie
Utworzy 2 VLANy
W kadym doda dwa PC, jak na topologii.
Wykona testy za pomoc IPerf + ping: jednoczesna
transmisja pomidzy A i B oraz C i D.
Jaki jest podzia pasma na czu trunk?
Skonfigurowa QoS / CoS tak aby w czasie
jednoczesnej transmisji VLAN Telefony mia ponad
75% dostpnego pasma oraz nie traci pakietw za
VLAN Pracownicy mia poniej 25 pasma i mg traci
pakiety.

ZPIP - v2015

35

Konfiguracja
{master:0}[edit]
root# show firewall
family ethernet-switching {
filter xxxxxxxxx {
term xxxxxxxxx {
from {
vlan xxxxxxxxx;
source-address xxxxxxxxx
protocol xxxxxxxxx
source-port xxxxxxxxxx
}
then {
forwarding-class xxxxxxxxx;
loss-priority xxxxxxxxx;
}
}
}
}

ZPIP - v2015

36

Konfiguracja
{master:0}[edit]
root# show class-of-service
forwarding-classes {
class xxxxxx queue-num 0-7;
}
interfaces {
ge-0/0/xx {
scheduler-map xxxxxx;
}
}
scheduler-maps {
xxxxxx {
forwarding-class xxxxxx scheduler xxxxxx;}
}
schedulers {
xxxxxx {
transmit-rate percent xxxxxx;
shaping-rate xxxxxx;
buffer-size percent xxxxxx;
priority xxxxxx;
}
}
ZPIP - v2015

37

Konfiguracja
ge-0/0/xx {
description pracownicy-ingress-port;
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members pracownicy;
}
filter {
input xxxxxxx;
}
}
}
}

ZPIP - v2015

38

ZPIP

KONIEC
ZPIP - v2015

39