Inter VLAN routing

pomocou L3 smerovača
a Multilayer prepínača

300-115 SWITCH – Module 5

1
Čo nás čaká

 Router on Stick
 MLS SVI
 IP CEF
 DHCP

2
 Otázky ohľadne Inter-VLAN spolupráce a
riešenia
 Z pohľadu zabezpečenia konektivity VLAN užívateľov vyvstávajú
dva problémy:
 Potreba používateľov dosiahnuť nelokálne zariadenia
 Potreba používateľov komunikovať s inými zariadeniami/užívateľmi
na iných VLAN-ach
 Riešenie: ROUTING
 Pomocou Externého routra – Router on a Stick
 Pomocou Multilayer prepínača (MLS)

 Z pohľadu dizajnu
 Routing na distro or core vrstve

3
From switched to routed campus design

 Vďaka vývoju sieťových technológii presun od L2

switched dizajnu na L3 routed dizajn v Campus sieťach

4
Smerovanie
do detailu

5
Ako vyzerá paket pred a po smerovaní?
1. Kontrola FCS
prijatého rámca

2. Deenkaps .
payload a
kontrola
zavezpeč. IP
paketu

3. Vykonané
smerovacie
rozhodnutie

4. TTL-1, výpočet
CRC pre IP
hlavičku

5. Vytvor frame,
vyplň adresy

6. Vypočítaj FCS
pre frame a pošli
outgoing 6
Z akých krokov sa skladá unicastové
smerovanie v IPv4 sieťach?

1. Má rámec korektnú veľkosť a je jeho FCS správne?

 Ak áno, pokračujeme ďalšími krokmi
 Ak nie, rámec zahodíme bez pokračovania
2. Má hlavička IP paketu správnu kontrolnú sumu?
 Ak áno, pokračujeme ďalšími krokmi
 Ak nie, paket zahodíme bez pokračovania
3. Je paket podľa IP adresy príjemcu určený pre lokálnu IP adresu?
 Ak áno, patrí samotnému routeru – nebudeme ho smerovať
 Ak nie, pokračujeme ďalšími krokmi
4. Je hodnota TTL v hlavičke IP paketu väčšia ako 1?
 Ak áno, pokračujeme ďalšími krokmi
 Ak nie, paket zahodíme a odosielateľa upozorníme ICMP správou

7
Z akých krokov sa skladá unicastové
smerovanie v IPv4 sieťach?

5. K IP adrese príjemcu vyhľadáme v smerovacej tabuľke

vyhovujúci záznam
 Smerovacia tabuľka je usporiadaná zostupne podľa masiek
 Hľadáme prvý riadok tabuľky, v ktorom platí:
 IP adr. príjemcu & Sieťová maska = Číslo siete
 Ak nie, paket zahodíme a odosielateľa upozorníme ICMP
správou
6. Ukazuje vyhľadaný riadok smerovacej tabuľky na východzie
rozhranie, ktorým má paket odísť?
 Ak áno, pokračujeme ďalším krokom
 Ak nie, potom obsahuje IP adresu next hop routera. Tú si
zapamätáme a s ňou sa vrátime na krok 5
7. K výstupnému rozhraniu a naposledy zapamätanej IP adrese
next hop routera vyhľadáme Layer2 informáciu pre vytvorenie
rámca
 ARP tabuľka pre Ethernet, Mapovacia tabuľka pre Frame Relay
8
Z akých krokov sa skladá unicastové
smerovanie v IPv4 sieťach?

8. V IP pakete dekrementujeme pole TTL a prepočítame

kontrolnú sumu
9. IP paket enkapsulujeme do príslušného rámca
pomocou informácií vyhľadaných v kroku 7
a odošleme rozhraním vyhľadaným v kroku 6
Pozn.
 Vykonávam pre každý paket zvlášť
 Tento spôsob smerovania sa nazýva „Process
routing or Process switching“ a je to najpomalší
spôsob smerovania
 Rýchlosť spracovania závisí od architektúry, od
zaťaženia CPU a ten závisí od počtu vstupujúcich
paketov
9
 Efektívnosť smerovania
 Opísaný algoritmus pre jednoduchosť nerieši špecifické situácie
 Fragmentácia IP paketov
 ACL
 Tunelovanie, šifrovanie/dešifrovanie
 Preklad adries a mnohé ďalšie osobitné operácie
 Jeho najzdĺhavejšie kroky sú 5. – 7.
 Vyhľadávanie rôznych informácií v rôznych databázach pre každý
jeden paket, ktorý musíme smerovať
 Na kontrolné sumy sa dá navrhnúť špecializovaný integrovaný obvod
 Veľké úsilie sa v posledných rokoch venovalo práve tomu, ako
smerovaču uľahčiť život a ako tieto operácie zjednodušiť a tým
urýchliť
 Existujú viaceré vylepšenia
 Process switching, Fast switching, Autonomous switching, Silicon
switching engine (SSE) switching, Optimum switching, Distributed fast
switching, Cisco Express Forwarding (CEF), Distributed Cisco Express
Forwarding (dCEF) 10
 Fast Switching
 Document ID: 13706 , „How to Choose the Best Router Switching Path for Your
Network“
 Fast Switching je takisto známy ako route cache (NetFlow switching, Topology
switching, apod. )
 Idea:
 Prvý paket idúci do istého cieľa prejde pôvodným algoritmom
 Tak isto ako pri Process switching
 Výsledok tohto algoritmu (výstupné rozhranie) sa však zapamätá v tzv. route cache (or
Fast Cache)
 Špeciálna dátová štruktúra s rýchlym prístupom a vyhľadávaním
 Viacúrovňový binárny (32 úrovní) alebo znakový (256 vetiev a štyri úrovne) strom
 Každý ďalší paket do toho istého cieľa môže využiť predpripravené informácie z route
cache
 „Route once, forward many times“

 Nevýhody:
 Route cache sa tvorí iba tokom paketov
 Jej položky pre potreby synchronizácie je potrebné priebežne nechávať exspirovať (5%
náhodne každú minútu)
 Zmena v ARP tabuľkách znamená prebudovanie časti route cache

11
 Cisco Express Forwarding (CEF)
 CEF je ďalším vylepšením route cache (topology based switching)
 Idea:
 Zorganizovať si položky zo smerovacej tabuľky do samostatnej dátovej
štruktúry, tzv. Forwarding Information Base (FIB), v ktorej sa dá veľmi rýchlo
vyhľadávať (one to one mapping)
 Informácie o prepise rámca si predpripraviť ihneď, ako je to možné,
a organizovať si ich v tzv. adjacency databáze
 DB L2 adries next hopov (priamo dosiahnuteľných susedov a ReWrite info) budovaná
z napr. ARP, inARP a pod.
 Jednotlivé položky vo FIB budú pomocou smerníkov ukazovať na položky v
adjacency DB
 Vlastnosti:
 Oddelenie „Control plane HW“ od „Data plane HW“
 Control Plane: Budovanie FIB a ADJ
 Data Plane HW: rýchly switching
 FIB a adjacency DB sa vytvárajú z existujúcich položiek (hotová smerovacia
tabuľka, hotové L2 informácie)
 Zmena v adjacency DB si nevyžaduje zmeny vo FIB
12
Cisco Express Forwarding
 Existujú dve realizácie CEF
 Softvérová
 Hardvérová
 Softvérová realizácia CEF
 Stromová časť je FIB, principiálne sa
jedná o tzv. znakový strom (trie resp.
mtrie)
 Trie or mtrie znamená, že strom
neobsahuje hľadané dáta ale pointer na ne
 Obsahuje aj next hop IP add. a VLAN info
 Tabuľka obsahuje adjacency DB
 Obe štruktúry sú v RAM
 Informácia o prepise sa priamo vo FIB
nenachádza
 Softvérové CEF využívajú najmä bežné
Cisco smerovače

13
Cisco Express Forwarding
 Hardvérová implementácia CEF využíva špecializované integrované
obvody na uchovávanie FIB
 Ternary Content Addressable Memory (TCAM)
 CAM a TCAM sú dva typy cache pamätí
 CAM obvykle obsahuje informácie pre L2 switching
 TCAM obsahuje informácie pre L3 switching, ACL, QoS
 CAM hľadá presne zadaný reťazec (úplná zhoda)
 Používa bity 0 (true ) a 1 (false)
 Vhodné pre „exact match“ vyhľadávanie

 TCAM hľadá buď najdlhší zhodný alebo prvý zhodný reťazec

 Je možné povedať, ktoré bity reťazca nás nezaujímajú
 Vstup 0, 1, a X (don’t care) bit values = ternary combination.
 Môže byť rozdelená na regióny s rôznou politikou vyhľadávania
 Využitie TCAM na udržiavanie FIB je typickou doménou multilayer
prepínačov (MLS) a high-end smerovačov
 Catalyst môže bez degradácie rýchlosti spraviť viaceré CAM a TCAM
dotazy paralélne 14
 CAM a TCAM používajú aj L2 prepínače

 Prehľadávací kľúč pri  TCAM používa

CAM  0, 1, a X, ktoré umožňuje
 napr. VLAN ID a cieľovú špecifikovať
MAC prehľadávanie podľa
prefixu
 Kľúč do hash fcie.
 TCAM podelená na regióny
 Tá vráti odkaz na
 ACL región (first match), IP
položku v CAM kam prefixes (longest match), IP
prepnúť rámec multicast (Longest match), L2
switching (Exact match), UDP
flooding (Exact match)
15
Cisco Express Forwarding
Usporiadané od
najkonkrétnejších

Ak je TCAM plná,
na konci sa aplikuje
Wildcard na CPU
switching

16
Tok paketov cez CEF MLS

17
 Činnosť MLS
• Predpokladom je správna informácia vo FIB a správna
rewrite informácia v Adjacency Table

MLS prepíše požadované

3 polia v pakete a rámci, a
prepne paket na hosta B

MLS prepínač na základe

2 MAC cieľovej adresy zistí,
že rámec je jeho a má byť
smerovaný. MLS vykoná
CEF lookup pre IP hosta 2
B. Z FIB vytiahne adj
položku s rewrite údajmi.
3
1
Host A pošle unicast
1 packet na host B

18
Cisco Express Forwarding

 Zapnutie CEF:
Router(config)# ip cef

 Na multilayer prepínačoch nie je možné CEF vypnúť

 Aktivácia/deaktivácia CEF na rozhraní
Router(config)# int fa0/1
Router(config-if)# [no] ip route-cache cef

 CEF sa zásadne aktivuje alebo deaktivuje na vstupnom rozhraní

 Route-cache sa aktivuje alebo deaktivuje na výstupnom rozhraní
 Zobrazenie informácií vo FIB a ADB
Router# show ip cef
Router# show adjacency

19
 Príklad CEF
sw-vd-FRI#show ip cef 194.160.136.5 detail
194.160.136.0/24, epoch 1
nexthop 158.193.26.1 Vlan26

sw-vd-FRI#show adjacency 158.193.26.1 detail

Protocol Interface Address
IP Vlan26 158.193.26.1(11)
2 packets, 116 bytes
epoch 0
sourced in sev-epoch 88
Encap length 14
00E04C38C6D5001B8F8FDE410800
ARP
sw-vd-FRI#show ip arp 158.193.26.1
Protocol Address Age (min) Hardware Addr Type Iface
Internet 158.193.26.1 0 00e0.4c38.c6d5 ARPA Vlan26
20
 Príklad CEF
! Zobrazí obsah FIB daného prepínača
sw-vd-FRI#sh ip cef Default route
Prefix Next Hop Interface FIB
0.0.0.0/0 158.193.7.158 Vlan709
0.0.0.0/32 receive
158.193.7.84/30 158.193.7.158 Vlan709
158.193.7.92/30 158.193.7.158 Vlan709
158.193.7.152/29 attached Vlan709
158.193.7.152/32 receive Vlan709
158.193.7.157/32 receive Vlan709
158.193.7.158/32 attached Vlan709
158.193.7.159/32 receive Vlan709
158.193.26.0/24 attached Vlan26
158.193.26.0/32 receive Vlan26
158.193.26.1/32 attached Vlan26
158.193.26.6/32 receive Vlan26
158.193.26.20/32 attached Vlan26
158.193.26.21/32 attached Vlan26
--More--

21
 CEF položky – príznaky
 Attached  Recursive
 Položka vytvorená ak cieľ je  Rekurzívny lookup
priamo pripojený k MLS or
smerovaču  Default Route Handler
 Next hop poukazuje na jedno z  Položka pre default routing
rozhraní smerovača
 ADJFIB
 Connected
 Learned from IGPs
 Položka pre cieľovú sieť, z ktorej
rozsahu ma MLS or router  Označené ako valid cache
pridelenú IP adresu adjacency
 Položka je aj attached
 Položky prefixov sieti
 Receive naučených cez routing
 Ak cieľová IP adresa je IP adresa  Najbežnejšie v CEF
nejakého MLS rozhrania, je aj
attached
 MLS musí prijať a spracovať tento
paket
22
Generické CEF položky

 0.0.0.0/32 receive
 Položka umožňuje prijať pakety posielané na 0.0.0.0 bcast adresu
 Napr. RIP route update
 224.0.0.0/4 drop
 Drop mcast pakety na túto adresu ak nie je zapnutý mcast routing
 224.0.0.0/24 receive
 Prijmi a spracuj pakety od 224.0.0.1-.224.0.0.255
 Link local
 Používajú napr. routing protokoly ako EIGRP, OSPF, RIPv2 apod.
 255.255.255.255/32 receive
 Spracovanie paketov posielaných na link-local broadcast adresu

23
 Príklad CEF
sw-vd-FRI# sh ip cef summary
IPv4 CEF is enabled for distributed and running
VRF Default:
461 prefixes (461/0 fwd/non-fwd)
Default network 0.0.0.0/0
Table id 0
Database epoch: 2 (461 entries at this epoch)

24
 Príklad CEF
! Zoznam všetkých sieti a IP dostupných cez SVI int vlan 26
sw-vd-FRI# show ip cef vlan 26
158.193.26.0/24
attached to Vlan26
158.193.26.1/32
attached to Vlan26
158.193.26.20/32
attached to Vlan26
158.193.26.21/32
attached to Vlan26
194.160.136.0/24
nexthop 158.193.26.1 Vlan26
194.160.186.0/24
nexthop 158.193.26.1 Vlan26

25
 Príklad CEF
sw-vd-FRI# sh ip cef vlan 26 detail
IPv4 CEF is enabled for distributed and running
VRF Default:
467 prefixes (467/0 fwd/non-fwd)
Default network 0.0.0.0/0
Table id 0
Database epoch: 2 (467 entries at this epoch)

158.193.26.0/24, epoch 2, flags attached, connected, cover dependents, need deagg

Covered dependent prefixes: 6
need deagg: 3
notify cover updated: 3
attached to Vlan26
158.193.26.1/32, epoch 2, flags attached
Adj source: IP adj out of Vlan26, addr 158.193.26.1 03A7DDC0
Dependent covered prefix type adjfib cover 158.193.26.0/24
attached to Vlan26
158.193.26.20/32, epoch 2, flags attached
Adj source: IP adj out of Vlan26, addr 158.193.26.20 03A70D80
Dependent covered prefix type adjfib cover 158.193.26.0/24
attached to Vlan26
158.193.26.21/32, epoch 2, flags attached
Adj source: IP adj out of Vlan26, addr 158.193.26.21 03A70BC0
Dependent covered prefix type adjfib cover 158.193.26.0/24
attached to Vlan26
194.160.136.0/24, epoch 2
nexthop 158.193.26.1 Vlan26
194.160.186.0/24, epoch 2
nexthop 158.193.26.1 Vlan26
26
 Príklad ADJ
! Zoznam všetkých next hop routrov a pripojených hostov
sw-vd-FRI# sh adjacency
Protocol Interface Address
...
...
IP Vlan139 158.193.139.189(8)
IP Vlan139 158.193.139.190(8)
IP Vlan139 158.193.139.191(8)
IP Vlan139 158.193.139.192(8)
IP Vlan139 158.193.139.198(8)
IP Vlan139 158.193.139.199(8)
IP Vlan139 158.193.139.219(8)
IP Vlan139 158.193.139.247(8)
IPV6 Vlan139 2001:4118:300:122:20A:5EFF:FE64:90CA(8)
IPV6 Vlan139 2001:4118:300:122:20C:29FF:FE59:1C48(8)
IPV6 Vlan139 2001:4118:300:122:214:85FF:FEC8:ADE5(8)
IPV6 Vlan139 2001:4118:300:122:250:4FF:FE2A:475F(8)
IPV6 Vlan139 FE80::20A:5EFF:FE64:90CA(3)
...
...

27
 Príklad ADJ
sw-vd-FRI# sh adjacency summary
Adjacency table has 271 adjacencies:
each adjacency consumes 388 bytes (56 bytes platform extension)
270 complete adjacencies
1 incomplete adjacency
240 adjacencies of linktype IP
239 complete adjacencies of linktype IP
1 incomplete adjacency of linktype IP
0 adjacencies with fixups of linktype IP
0 adjacencies with IP redirect of linktype IP
0 adjacencies post encap punt capable of linktype IP
31 adjacencies of linktype IPV6
31 complete adjacencies of linktype IPV6
0 incomplete adjacencies of linktype IPV6

Adjacency database high availability:

Database epoch: 0 (271 entries at this epoch)

Adjacency manager summary event processing:

Summary events epoch is 0
Summary events queue contains 0 events (high water mark 4 events)
RP adjacency component enabled

28
 Príklad ADJ
! Info o všetkých next Hop Ipčkach dostupných cez int vlan 26
sw-vd-FRI# sh adjacency vlan 26
Protocol Interface Address
IP Vlan26 158.193.26.1(13)
IP Vlan26 158.193.26.20(8)
IP Vlan26 158.193.26.21(8)

29
 Príklad ADJ
! Info o všetkých next Hop Ipčkach dostupných cez int vlan 26
sw-vd-FRI# sh adjacency vlan 26 detail
Protocol Interface Address
IP Vlan26 158.193.26.1(13)
2 packets, 116 bytes
epoch 0
sourced in sev-epoch 0
Encap length 14
0011D81BBE8F001B8F8FDE410800
L2 destination address byte offset 0
L2 destination address byte length 6
Link-type after encap: ip
ARP
IP Vlan26 158.193.26.20(8)
0 packets, 0 bytes
epoch 0
sourced in sev-epoch 0
Encap length 14
001B549640AE001B8F8FDE410800
L2 destination address byte offset 0
L2 destination address byte length 6
Link-type after encap: ip
ARP
IP Vlan26 158.193.26.21(8)
1 packets, 58 bytes
30
Druhy špeciálnych adjacencies v CEF
• CEF mechanizmus rozlišuje v ADJDB niekoľko druhov adjacencies
 Punt  Drop
 Pre pakety, ktoré nie je možné  Pakety sa majú zahodiť, no
spracovať v CEF prípadne sa môže poslať ICMP
 Spracované ďalšou najlepšou upozornenie o ich zahodení
metódou (Fast Switching)  Discard
 Glean  Pakety sa majú v tichosti zahodiť
 Zastupuje zatiaľ neznáme  ICMP negenerované
stanice na priamo pripojenej sieti
 Null
 Nie je známa ich MAC adresa
 Pakety sa majú preposlať
 Prefix siete je Glean adj. rozhraním Null0, t.j. drop
 ARP throtling
 Pri Glean adj kým nemám
odozvu na ARP, adj nastavené
na drop

31
 Host A pošle nový unicast paket na
7 host B

ARP throttling 8
HW engine vykoná CEF lookup, nájde
požadovanú adj položku
L3 engine pošle ARP L3 engine doplní
request na IP hosta B. chýbajúcu adjacency MLS prepíše odpovedajúce položky
5 Nastaví adj DROP. Host B 6 informáciu do ADJ DB,
9 (zdrojová a cieľová MAC adresa),
odpovie ARP reply odstraní drop adjacency vypočíta CRC a prepne paket na hosta
B
L3 engine nastaví v adj.
DB ARP throttling stav
pre IP adresu hosta B, 6
4 pretože chýba ARP 4
informácia potrebná na 5
prepis. A a B ešte spolu
nekomunikovali
3 8
MLS pošle paket do L3
3 engine na L3 processing.
HW engine nemôže 2
poslať paket ďalej, chýba
rewrite informácia
MLS prepínač na základe 1
2 MAC cieľovej adresy zistí,
že rámec je jeho a má byť
smerovaný. MLS vykoná 9
CEF lookup pre IP hosta 7
B. Z FIB vytiahne adj
GLEAN – adj neexistuje
Host A pošle unicast
1 packet na host B
32
 Príklad druhov ADJ
sw-vd-FRI# sh ip cef adjacency ?
adj-null Null Adjacency
discard Discard Adjacency
drop Drop Adjacency
fcpa Fiber Channel
glean Glean Adjacency
punt Punt Adjacency

sw-vd-FRI# sh ip cef adjacency glean

Prefix Next Hop Interface
158.193.7.152/29 attached Vlan709
158.193.26.0/24 attached Vlan26
158.193.128.0/24 attached Vlan128

sw-vd-FRI# sh ip arp 158.193.7.152

33
Sh cef not-cef-switched

 Ukazuje stat pre PUNT adj

Switch# show cef not-cef-switched
CEF Packets passed on to next switching layer
Slot No_adj No_encap Unsupp'ted Redirect Receive Options Access Frag
RP 3579706 0 0 0 41258564 0 0 0
Switch#

34
Cisco Express Forwarding

 Nie všetky pakety môžu byť spracované v CEF

 Cisco Express Forwarding nepodporuje:
 Pakety, pre ktoré v CEF neexistuje platný záznam
 Pakety určené pre samotný router resp. switch
 Broadcasty a multicasty
 IP pakety, ktoré využívajú voliteľné časti hlavičky (options)
 IP pakety, ktoré musia byť fragmentované
 IP pakety, ktorým expiruje TTL
 Network Address Translation
 Šifrovanie počas prenosu

35
Cisco Express Forwarding

 Podľa verzie Cisco zariadenia môže CEF pracovať

v centralizovanom alebo distribuovanom režime
(dCEF)
 V centralizovanom režime sa všetky rozhodnutia
o forwardovaní paketu realizujú nad spoločnou
centralizovanou databázou a centrálnym ASIC pre všetky
rozhrania
 Príklad 4500 a 6500 bez Distributed Forwarding Cards (DFC)
 Hardware switching je realizovaný cez centrálny forwarding
engine a prepínaciu maticu (bus switching)
 V distribuovanom režime sa vybrané časti CEF štruktúr
nahrávajú do procesorov na zásuvných moduloch, ktoré
potom vedia realizovať forwarding vo svojej vlastnej réžii
 CEF v distribuovanom režime sa nazýva dCEF
 6500 so Supervisot Engine (720) a DFC modulmi 36
Inter VLAN routing
- Použitie externého
routra
- „Router on a Stick“

37
 VLAN1

Inter VLAN komunikácia -  192.168.1.0/24

VLAN2
Dedikované porty  192.168.20.0/24
VLAN3
VLAN 1 VLAN 1192.168.30.0/24
Dedikované porty
Nevýhody:
- Veľká spotreba portov
na zabezpečenie
prepojenia VLAN VLAN 2

VLAN 2

VLAN 2
VLAN 3
Predpokladajme dva
prepínače s VLAN 3 Na komunikáciu Na inter VLAN
nakonfigurovanými 3 medzi prepínačmi komunikáciu
VLAN-ami. Ako a VLAN určíme potrebujeme smerovač.
zabezpečiť ich separátne fyzické Na smerovači pre
prepojenie? porty pre každú každú VLAN vyhradené
VLAN. rozhranie (port). 38
 Riešenie problému dedikovaných portov =
„Router on a Stick“ a 802.1q – Inter VLAN
komunikácia
VLAN 1
VLAN 1

1 rámec
Trunk
VLAN 2
VLAN 1
rámec 2

VLAN 2

VLAN 2
VLAN 3
VLAN 3

Príklad: Router on a Stick:

Komunikácia medzi Použijem fyzický port smerovača a logicky
stanicami v rôznych ho per VLAN podelím
VLAN (Inter VLAN)

39
 Rozdelenie fyzického rozhrania na
Subinterface
Fa 0/0 Na prepínači Fast Ethernet
Fa 0/24
musí byť TRUNK
Gi 1/2 Gi 1/2
Gi 1/1 Gi 1/1

Switch1 Switch2

Router(config)# interface fastethernet 0/0

Router(config-if)# no shutdown
Router(config-if)# interface fastethernet 0/0.1
Router(config-subif)# description Routing for Native VLAN
Router(config-subif)# encapsulation dot1q 1 native
Router(config-subif)# ip address 192.168.1.254 255.255.255.0
Router(config-if)# interface fastethernet 0/0.2
Router(config-subif)# description Routing for VLAN 2
Router(config-subif)# encapsulation dot1q 2
Router(config-subif)# ip address 192.168.20.254 255.255.255.0
Router(config-if)# interface fastethernet 0/0.3
Router(config-subif)# description Routing for VLAN 3
Router(config-subif)# encapsulation dot1q 3
Router(config-subif)# ip address 192.168.30.254 255.255.255.0
…
Router(config)# router rip
Router(config-router)# network 192.168.1.0
Router(config-router)# network 192.168.20.0
Router(config-router)# network 192.168.30.0
40
Rozdelenie fyzického rozhrania na
Subinterface – Ethernet a IOS < 12.1(3)

Router(config)# interface ethernet 0

Router(config-if)# no shutdown
Router(config-bif)# description Routing for Native VLAN
Router(config-if)# encapsulation dot1q 1 native
Router(config-if)# ip address 192.168.1.254 255.255.255.0
Router(config-if)# interface ethernet 0.2
Router(config-subif)# description Routing for VLAN 2
Router(config-subif)# encapsulation dot1q 2
Router(config-subif)# ip address 192.168.20.254 255.255.255.0
Router(config-if)# interface ethernet 0.3
Router(config-subif)# description Routing for VLAN 3
Router(config-subif)# encapsulation dot1q 3
Router(config-subif)# ip address 192.168.30.254 255.255.255.0
…
Router(config)# router rip
Router(config-router)# network 192.168.1.0
Router(config-router)# network 192.168.20.0
Router(config-router)# network 192.168.30.0
…

41
Overenie činnosti
 Inter VLAN ping, telnet, tracert
 Overenie smerovania
 Sh ip protocols
 Smerovacia tabuľka
 Sh ip route
 Stav rozhraní
 Sh ip int brief
 Sh interface
 Bežiaca konfigurácia
 Sh run
 Info o vlan
 Sh vlan
 Niektoré IOS

42
Výhody a nevýhody

 Výhody:
 Jednoduchá implementácia
 Nepotrebujem L3 prepínač, resp. L3 služby na prepínači
 Komunikáciu medzi VLAN rieši router

 Nevýhody
 Router je centrálny bod chyby
 Pozn. Môžeme odstrániť cez redundanciu
 Možnosť zahltenia linky a smerovača
 Nižšia priepustnosť
 Vyššia latencia pri spracovávaní na L3 smerovači

43
Konfigurácia
multilayer
prepínačov
pre smerovanie

44
Smerované rozhrania na MLS
 MLS switche používajú dva druhy smerovaných rozhraní
 Switched Virtual Interface (SVI)
 Fyzické smerované rozhrania (routed)
 Ako na smerovači

 SVI je jednoducho „interface VLAN X“

 Defaultne je vytvorené len rozhranie pre VLAN 1
 Za účelom manažmentu MLS
 Ostatné softvérové rozhrania môžeme podľa ľubovôle vytvoriť či
zrušiť
 Na rozdiel od L2 switchov, kde má zmysel vytvárať spravidla iba
jedno takéto rozhranie, MLS switche môžu mať pre každú VLAN
samostatné SVI
 SVI je vlastne rozhraním interného routera v MLS do danej VLAN
siete
 Asociované s VLAN
45
Typy portov na MLS prepínači

46
 SVI rozhrania na MLS
Switch(config)# ip routing
Switch(config)# vlan 10,20
Switch(config-vlan)# exit
Switch(config)# int vlan10
Switch(config-if)# ip address 10.1.1.1 255.255.255.0
Switch(config-if)# int vlan20
Switch(config-if)# ip address 10.2.2.1 255.255.255.0
Switch(config)# router SMEROVACI_PROCES
 Príkaz ip routing aktivuje
podporu pre L3 switching
 Po zadaní tohto príkazu je
možné na MLS pracovať ako
na routeri
 Smerovacia tabuľka
 Smerovacie protokoly
47
SVI rozhrania na MLS

 SVI nie je „večne živé“ rozhranie, aj keď je softvérové

 SVI je v stave „up, line protocol up“ práve vtedy, keď
1. Rozhranie je zapnuté príkazom „no shutdown“
2. VLAN, do ktorej SVI patrí, je vytvorená a aktívna
3. Na switchi sa nachádza živý port v danej VLAN
a) Buď access port v danej VLAN
b) Alebo trunk, na ktorom je táto VLAN povolená

 Toto správanie je potrebné, aby sa v smerovacej

tabuľke MLS a v jeho smerovacom protokole
neudržiavali siete, ku ktorým router vo vnútri MLS
nemá pripojenie
48
Fyzické smerované rozhrania na MLS

 Fyzické L3 rozhrania sa používajú rovnako ako fyzické

rozhrania na bežných smerovačoch s pár výnimkami
 Nepatria do nijakej konkrétnej VLAN
 Nepodporujú trunking Príkazom switchport
definujeme či je port
 Nepodporujú subinterfejsy L2 alebo L3. Vypnutím
na MLS robíme z L2
 Vytvorenie fyzického L3 rozhrania: fyzic. portu L3 port

Switch(config)# ip routing
Switch(config)# int fa0/5
Switch(config-if)# no switchport
Switch(config-if)# ip address 10.0.3.1 255.255.255.0

49
Vytvorenie spätne L2 rozhrania
Switch(config)# int fa0/5
Switch(config-if)# no ip address
Switch(config-if)# switchport

50
 Konfigurácia Layer 3 EtherChannels
! Assign and Configure the Physical Interfaces
! =======================
Switch# configure terminal
Switch(config)# interface range gigabitethernet0/1 -2
Switch(config-if-range)# no ip address
Switch(config-if-range)# no switchport
Switch(config-if-range)# channel-group 5 mode desirable
Switch(config-if-range)# end

! Create and configure Port-Channel Logical Interfaces

! =======================
Switch# configure terminal
Switch(config)# interface port-channel 5
Switch(config-if)# no switchport
Switch(config-if)# ip address 172.10.20.10 255.255.255.0
Switch(config-if)# end

51
Overenie

 Príkazy ako pri overovaní smerovania

 Sh run
 Sh ip route
 Sh ip int brief
 Sh ip int TYPE SVI_NUMBER
 Sh int TYPE SVI_NUMBER
 Sh vlan
 Ping, traceroute

53
Diagnostika inter VLAN smerovania

 Chyba
 Chýbajúca VLAN alebo nefungujúci trunk
 Over či je VLAN definovaná, či je povolená, aký je stav VLAN a
trunkov ne prepínačoch, VLAN nie je povolená na trunku apod.
 Iný L2 problém
 STP blokuje linku
 L3 konfiguračná chyba
 SVI má zlú IP a masku, je down, SVI číslo sa nezhoduje s číslom
VLAN
 Smerovanie
 Smerovanie nie je povolené, je chybne nakonfigurované, over
smerovanie
 Chybná konfigurácia hostov
 Zlá IP, maska, def. gw.,
54
Dynamic Host
Configuration
Protocol - DHCP

RFC 2131

55
 Dynamic Host Configuration Protocol
 Dynamic Host Configuration Protocol
(DHCP)
 Klient / Server protokol
 Umožňuje klientom (koncovým staniciam)
vyžiadať od servera sieťové konfiguračné
parametre
 Najpoužívanejšie parametre
 IP adresa, subsieťová maska, IP adresa default
gateway, IP adresa DNS
 Pracuje na aplikačnej vrstve
 UDP port 67 a 68
 DHCP komponenty
 DHCP klient (Má ho väčšina moderných OS)
 DHCP Server
 Relay Agent (Prechod DHCP žiadosti cez
smerovač)
 Cisco IOS prepínačov podporuje aj server aj
relay
 Vhodné umiesnitť na Distro vrstvu or dedik. server
56
DHCP činnosť
Client A Server
IP: ?? 192.168.1.254/24

Ethernet II Frame IP UDP DHCP Request

SRC MAC: MAC A SRC IP: ? UDP CIADR: ? GIADDR: ?
DST MAC: FF:FF:FF:FF:FF:FF DST IP: 255.255.255.255 67 Mask: ? CHADDR: MAC A

SRC MAC: MAC DHCP Serv SRC IP: 192.168.1.254 UDP CIADR: 192.168.1.10 GIADDR: 192.168.1.1
DST MAC: MAC A DST IP: 192.168.1.10 68 Mask: 255.255.255.0 CHADDR: MAC A

MAC: Media Access Control Address

CIADDR: Client IP Address
GIADDR: Gateway IP Address
CHADDR: Client Harware Address

57
DHCP činnosť - správy

58
Konfigurácia DHCP servera na
smerovači Cisco
Romulus(config)# service dhcp
Romulus(config)# ip dhcp pool Moj_DHCP

 Spustenie DHCP služby a pomenovanie

adresného rozsahu („pool“)
 Zmenil sa prompt
 Som v submode konfigurácie DHCP služby
Romulus(dhcp-config)# network 172.16.255.0 255.255.255.128
Romulus(dhcp-config)# default-router 172.16.255.1
Romulus(dhcp-config)# dns-server 195.146.132.59
Romulus(dhcp-config)# lease [infinite | days
[hours[minutes]]]
Romulus(dhcp-config)# exit

 Nastavenie adresného rozsahu, ktorý bude DHCP

služba riadiť pri prideľovaní IP adries
59
 Vyčlenenie určitého rozsahu IP adries z
DHCP rozsahu
 Využitie ak chcem vyčleniť z adresného priestoru DHCP servera časť
adries ktoré sa nebudú dynamicky prideľovať
 Napr. prvých 50 adries
Romulus#configure terminal
Romulus(config)#ip dhcp excluded-address 172.16.255.1 172.16.255.50

Od: Dolná Do: Horná

IP addresa IP addresa

Manuálne pridelenie adresy klientovi

Switch(config)# ip dhcp pool my-pc
Switch(dhcp-config)# host 192.168.1.99
255.255.255.0
Switch(dhcp-config)# client-identifier
0100.50b6.5bc0.b5
Switch(dhcp-config)# exit  Overiť či v poole alebo v samostatn
Switch(config)# exit poole
60
Konfigurácia OPTIONS

 Switch(dhcp-config)# option OPTION-NUM VALUE

 Ponúknutie ďalších informácii, napr. kto ponúka

danú službu

62
Overenie činnosti DHCP

 Príkaz privilegovaného módu sh ip dhcp binding

vypíše zoznam pridelených ip adries
Romulus#show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
172.16.255.2 0100.1c23.203a.28 Jan 10 2008 09:23 AM Automatic

63
Vymazanie DHCP štatistík
Romulus# show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease
expiration Type
Hardware address/
User name
172.16.255.2 0100.1c23.203a.28 Jan 10 2008
09:23 AM Automatic
Romulus# clear ip dhcp binding
% Incomplete command.
Romulus# clear ip dhcp binding *
Romulus#show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease
expiration Type
Hardware address/
User name
Romulus#

64
Diagnostika DHCP
Romulus# debug ip dhcp server events
Romulus#

*Jan 9 10:02:16.063: DHCPD: Sending notification of DISCOVER:

*Jan 9 10:02:16.063: DHCPD: htype 1 chaddr 001c.2320.3a28
*Jan 9 10:02:16.063: DHCPD: remote id 020a0000ac10ff0101000000
*Jan 9 10:02:16.063: DHCPD: circuit id 00000000
*Jan 9 10:02:16.063: DHCPD: Seeing if there is an internally
specified pool class:
*Jan 9 10:02:16.063: DHCPD: htype 1 chaddr 001c.2320.3a28
*Jan 9 10:02:16.063: DHCPD: remote id 020a0000ac10ff0101000000
*Jan 9 10:02:16.063: DHCPD: circuit id 00000000
*Jan 9 10:02:18.063: DHCPD: client requests 172.16.255.51.
*Jan 9 10:02:18.063: DHCPD: Adding binding to radix tree
(172.16.255.51)
*Jan 9 10:02:18.063: DHCPD: Adding binding to hash tree
*Jan 9 10:02:18.063: DHCPD: assigned IP address 172.16.255.51 to
client 0100.1c23.203a.28.
...
Output omitted
65
Diagnostika DHCP – štatistiky
Remulus# sh ip dhcp server statistics
Memory usage 23340
Address pools 1
Database agents 0
Automatic bindings 1
Manual bindings 0
Expired bindings 0
Malformed messages 0
Secure arp entries 0

Message Received
BOOTREQUEST 0
DHCPDISCOVER 1
DHCPREQUEST 2
DHCPDECLINE 0
DHCPRELEASE 0
DHCPINFORM 0

Message Sent
BOOTREPLY 0
DHCPOFFER 1
DHCPACK 2
DHCPNAK 0 66
 Diagnostika DHCP – stav rozsahu
Remulus# sh ip dhcp pool

Pool Moj_DHCP :
Utilization mark (high/low) : 100 / 0
Subnet size (first/next) : 0 / 0
Total addresses : 126
Leased addresses : 1
Pending event : none
1 subnet is currently in the pool :
Current index IP address range Leased addresses
172.16.255.3 172.16.255.1 - 172.16.255.126 1

67
DHCP Relay

68
 Spustenie DHCP relay
Remulus(config-if)# ip helper-address IP_ADRESA

 Preposiela nasledujúce UDP služby:

 Port 37: Time
 Port 49: TACACS
 Port 53: DNS
 Port 67: DHCP/BOOTP server
 Port 68: DHCP/BOOTP client
 Port 69: TFTP
 Port 137: NetBIOS name service
 Port 138: NetBIOS datagram service
 Špecifikácia ďalších cez:
 ip forward-protocol
69
Overenie činnosti DHCP

 Zisti či nie je vypnutá DHCP služba

 Hľadaj v running no service dhcp
 Zisti či nie je IP adresný konflikt
 Sh ip address conflict
 Overenie fyzickej topológie
 Či mám priamo dostupný DHCP server
 Ak je v inej LAN or VLAN - ip helper-address
 Testnutie konektivity
 pridelením statickej adresy a ping
 Zistiť či DHCP prideľuje IP adresu zo správneho
rozsahu

70
 Overenie či server prijíma DHCP
Remulus#debug ip packet detail
Remulus#undebug all
! Dost obsiahle vypisy
! Zadefinujeme ACL, ktore bude filtrovat vystup co nas
! Zaujima
Remulus#conf t
Remulus(config)#access-list 100 permit ip host 0.0.0.0 host 255.255.255.255
Remulus(config)#exit
Remulus#debug ip packet detail 100
*Mar 1 00:01:54.623: %SYS-5-CONFIG_I: Configured from console by consoleIP packet debugging is
on (detailed) for access list 100
*Mar 1 00:02:47.795: IP: s=0.0.0.0 (FastEthernet0/0), d=255.255.255.255, len 32 8, rcvd 2
*Mar 1 00:02:47.799: UDP src=68, dst=67
*Mar 1 00:02:49.863: IP: s=0.0.0.0 (FastEthernet0/0), d=255.255.255.255, len 35 3, rcvd 2
*Mar 1 00:02:49.867: UDP src=68, dst=67

71
 Overenie či server prijíma DHCP
Remulus#debug ip dhcp server events
*Mar 1 00:04:22.823: DHCPD: Sending notification of DISCOVER:
*Mar 1 00:04:22.827: DHCPD: htype 1 chaddr 0200.4c4f.4f50
*Mar 1 00:04:22.827: DHCPD: remote id 020a0000ac10ff0100000000
*Mar 1 00:04:22.827: DHCPD: circuit id 00000000
*Mar 1 00:04:22.831: DHCPD: Seeing if there is an internally specified pool cla
ss:
*Mar 1 00:04:22.831: DHCPD: htype 1 chaddr 0200.4c4f.4f50
*Mar 1 00:04:22.835: DHCPD: remote id 020a0000ac10ff0100000000
*Mar 1 00:04:22.835: DHCPD: circuit id 00000000
*Mar 1 00:04:24.839: DHCPD: client requests 172.16.255.2.
*Mar 1 00:04:24.839: DHCPD: Adding binding to radix tree (172.16.255.2)
*Mar 1 00:04:24.843: DHCPD: Adding binding to hash tree
*Mar 1 00:04:24.843: DHCPD: assigned IP address 172.16.255.2 to client 0102.004
c.4f4f.50.
*Mar 1 00:04:24.863: DHCPD: Sending notification of ASSIGNMENT:
*Mar 1 00:04:24.867: DHCPD: address 172.16.255.2 mask 255.255.255.0
*Mar 1 00:04:24.867: DHCPD: htype 1 chaddr 0200.4c4f.4f50
*Mar 1 00:04:24.871: DHCPD: lease time remaining (secs) = 86400
*Mar 1 00:04:26.907: DHCPD: checking for expired leases.

72
DHCPv6

Implementing DHCP for IPv6

73
 SLAAC a DHCPv6
SLAAC a DHCPv6

 IPv6 podporuje tri možnosti

pridelenia IP adresy
1. Stateless
autoconfiguration
(serverless client config)
 Icmpv6 RA, RS
 M flag 0, Oflasg 0
 RA má všetko čo
potrebuješ = Prefix, mask,
DG
2. SLAAC a DHCPv6
 IPv6 adresa a maska cez
SLACC, DNS cec
DHCPv6
3. Statefull DHCPv6
 M flag 1
 Všetko z DHCP 74
SLAAC a DHCPv6
Stateless Address Autoconfiguration

 Stateless Address Autoconfiguration (SLAAC) umožňuje bez

prítomnosti DHCP servera získať klientovi globálnu IPv6 adresu

75
SLAAC and DHCPv6
Stateful DHCP Option

76
SLAAC a DHCPv6
DHCPv6 činnosť

77
Konfigurácia

78
SLLAC

 Na SVI rozhraní priraď IPv6 adresu

 MLS hneď začne posielať ICMPv6 RA
Switch(config)# interface vlan 5
Switch(config-if)# ipv6 address 2001:db8:a::1/64
Switch(config-if)# no shutdown

79
Stateless DHCPv6
Konfigurácia prepínača ako Stateless
DHCPv6 Server (DHCPv6 Lite)
Switch(config)# ipv6 dhcp pool pool-name
Switch(config-dhcpv6)# dns-server dns-address
Switch(config-dhcpv6)# domain-name name
Switch(config-dhcpv6)# exit
Switch(config)# interface type numember/module/number
Switch(config-if)# ipv6 address ipv6-address
Switch(config-if)# ipv6 dhcp server pool-name
Switch(config-if)# no shutdown

Switch(config)# ipv6 dhcp pool IPV6-STATELESS

Switch(config-dhcpv6)# dns-server 2001:db8:c12::10
Switch(config-dhcpv6)# domain-name mydomain.com
Switch(config-dhcpv6)# exit
Switch(config)# interface vlan 5
Switch(config-if)# ipv6 address 2001:db8:a::1/64
Switch(config-if)# ipv6 dhcp server IPV6-STATELESS
Switch(config-if)# ipv6 nd other-config-flag
80
Stateless DHCPv6
Konfigurácia prepínača ako Statefull
DHCPv6 Server
Switch(config)# ipv6 unicast-routing
Switch(config)# ipv6 dhcp pool IPV6-STATEFULL
Switch(config-dhcpv6)# address prefix 2001:db8:a::/64
Switch(config-dhcpv6)# dns-server 2001:db8:c12::10
Switch(config-dhcpv6)# domain-name mydomain.com
Switch(config-dhcpv6)# exit
Switch(config)# interface vlan 5
Switch(config-if)# ipv6 address 2001:db8:a::1/64
Switch(config-if)# ipv6 dhcp server IPV6-STATEFULL
Switch(config-if)# ipv6 nd managed-config-flag
Switch(config-if)# no shutdown

82
DHCPv6
DHCPv6 relay
Switch(config-if)# ipv6 dhcp relay destination ipv6-
address

83
DHCPv6
Overenie DHCPv6
 Príkazy
show ipv6 dhcp pool
show ipv6 dhcp binding

84
Stateful DHCPv6
Configuring a Router as a Stateful DHCPv6
Relay Agent

85
Troubleshooting DHCPv6
Debugging DHCPv6

86