Examensarbete på grundnivå

Transkript

1 Examensarbete på grundnivå Independent degree project first cycle Datateknik Computer science LAN Segmentering Implementering av VTP version 3 och MST Per Axell

2 MITTUNIVERSITETET Avdelningen för informationssystem och -teknologi Examinator: Lennart Franked, Handledare: Magnus Eriksson, Författare: Per Axell, Utbildningsprogram: Nätverksdrift, 120 hp Huvudområde: Datateknik Kurs: DT140G Självständigt arbete för nätverksdrift, 15 hp Termin, år: 4, 2017

3 Sammanfattning Företaget är mitt uppe med att segmentera deras nätverk och anledningen till detta är att få en säkrare produktion med att skapa en kontrollerad och isolerad miljö, skydda mot spridning av virus och andra hot samt skapa en kostnadsbesparing genom att slippa uppdatera eller uppgradera utrustningar i onödan bara för att uppfylla nätverkspolicyn. För att underlätta företagets behov för segmentering har det här självständiga arbetet gått ut på att implementera VTP version 3 och MST. VTP skickar ut VLAN och MST uppdateringar runt i nätverket och underlättar vid användning av PVLAN. MST är ett Spanning Tree protokoll som gör det möjligt att mappa VLAN till instanser för på det sättet kunna spara CPU-belastning på switcharna samt att spara in på antal olika VLAN när PVLAN används. Metoden som användes var att sätta upp en testmiljö från backupper från riktiga nätet där det testades att implementera de nya protokollen samt att se hur de fungerade. En utvärdering av nätet gjordes där utvalda switchar och interfaces mättes innan implementationen för att senare jämföras med samma mätningar efter att implementationen var klar. Det visade sig att resultaten före implementeringen var så pass låga att implementeringen av MST sköts upp till att nätverkssegmenteringen var utförd. VTP version 3 implementerades utan problem och tre olika scenarier med färdiga konfigurationer skapades för att hjälpa företaget att ta steget över till MST i framtiden. 3 (54)

4 Abstract The company is on the verge of segmenting their network and the reasons for this are to get a more secure production by creating a controlled and isolated environment, protecting against the spread of virus and other threats and aswell creating cost savings by not updating or upgrading unnecessary equipment just to meet the network policy. In order to facilitate the company s segmentation needs, this independent project has been about implementing VTP version 3 and MST. VTP sends out VLAN and MST updates around the network and ease the use of PVLAN. MST is a Spanning Tree protocol that enables VLAN to be mapped to instances to save CPU utilization on the switches as well to help load balance the network. The method used was to set up a test environment from backups from the real network where it was tested to implement the new protocols and to see how they acted. An evaluation of the network was made where selected switches and interfaces were measured before the implementation to be compared later with the same measurements after the implementation was completed. It turned out that the results before implementation were low enough that the implementation of MST was postponed until the network segmentation was completed. VTP version 3 was implemented without any problems and three different scenarios with complete configuration were created to help the company take the leap to MST in the future. 4 (54)

5 Innehåll 1 Inledning Problemmotivering Syfte Mål Avgränsningar Frågeställning Dokumentets Struktur Lager två redundans Spanning Tree Protocol Rapid Spanning Tree Protocol Virtual Local Area Network Per-VLAN Spanning Tree och Per-VLAN Spanning Tree Plus Rapid Per-Vlan Spanning tree Multiple Spanning Tree VLAN Trunking Protocol version 1 och VTP version Private Virtual Local Area Network Telnet Secure Shell Nätverkstopologi Tidigare utveckling Metod Utvärdering av nät Testmiljö Planering Implementering Programvaror DIA Wireshark PuTTY Resultat CPU före implementering Interfaces innan implementering Wireshark captures Andra testresultat Planering och placering av protokollen VTP MST Scenario Scenario Scenario SSH (54)

6 5 Slutsats Diskussion Etiska och samhälleliga aspekter Framtida arbete Referenser 46 A Konfigurering av MST och VTP 48 A.1 VTP v A.2 MST A.2.1 Scenario A.2.2 Scenario A.2.3 Scenario B MST instanser 51 B.1 Scenario B.2 Scenario B.3 Scenario Figurer 1 Spanning-tree port-roller Topologiförändring PVST Multiple Spanning Tree Multiple Spanning Tree regioner VTP version 1 och VTP version 3 med MST Private VLAN Nätverkstopologi Simplifierad Topologi CPUs som ska mätas Interfaces som ska mätas En topologi över labbmiljön Switch 116 CPU-belastning Switch 118 CPU-belastning Switch 125 CPU-belastning Switch 126 CPU-belastning Switch 127 CPU-belastning Switch 190 CPU-belastning Switch 289 CPU-belastning Graf: Switch 101. Received på Gigabitethernet 1/ Graf: Switch 101. Transmitted på Gigabitethernet 1/ Graf: Switch 101. Received på Gigabitethernet 1/61/11 och 1/ Graf: Switch 101. Transmitted på Gigabitethernet 1/61/11 och 1/ Graf: Switch 101. Received på interface Gigabitethernet 3/7 och 3/ (54)

7 26 Graf: Switch 101. Transmitted på interface Gigabitethernet 3/7 och 3/ Graf: Switch 102. Received på interface Gigabitethernet 3/7 och 3/ Graf: Switch 102. Transmitted på interface Gigabitethernet 3/7 och 3/ Graf: Switch 102. Received på interface Gigabitethernet 1/ Graf: Switch 102. Received på interface Gigabitethernet 1/ Graf: Switch 102. Received på interface Gigabitethernet 3/8 och 3/ Graf: Switch 102. Transmitted på interface Gigabitethernet 3/8 och 3/ VTP version 1 paket VTP version 3 paket Övergång till MST Övergång till VTP version Switch version VTP Domäner MST: Scenario MST: Scenario MST: Scenario Tabeller 1 En tabell över Labbmiljön Visar CPU-belastningen på utvalda switchar under en veckas tid Sammanställd belastning interfaces MST Instanser vid full lastbalansering Scenario 1: MST Instanser Scenario 2: MST Instanser Scenario 3: MST Instanser (54)

8 1 Inledning 1.1 Problemmotivering Digitaliseringen som sker överallt har även skett inom industrin med avancerade maskiner och robotar som kräver ständig uppkoppling mot nätverket för att till exempel kunna hämta ordrar, program, uppdrag eller skicka varningar och felmeddelanden till berörda operatörer eller reparatörer. I och med att allt blir mera uppkopplat krävs det också att tillgängligheten på nätverket är god och säker. Företaget håller på att segmentera (dela upp i mindre delar) sitt nätverk och de främsta anledningarna till detta är: Skapa en kontrollerad/isolerad miljö för maskinutrustning och datorer som därmed minskar/minimerar risken för störningar i produktion (ökad tillgänglighet). Skydda maskinutrustning och datorer mot skadlig kod/virus och andra hot. Ge möjlighet till att ansluta icke-supportade utrustningar (t.ex. en dator med Windows XP installerat) i nätverket, det vill säga ansluta utrustning till nätverket som inte är stämmer överens med nätverkspolicyn. Minska behovet av uppgraderingen av operativsystemet och mjukvaror för att uppfylla kraven i deras nätverkspolicy (kostnadsbesparing). För att lösa detta vill företaget använda nya metoder och nätverksprotokoll som inte tidigare använts inom nätverket och detta leder fram till mitt projektarbete. 1.2 Syfte För att kunna uppfylla företagets behov för segmenteringen och PVLAN kommer det här självständiga arbete att fokusera på att utvärdera företagets nätverk, planera, dokumentera, testa och implementera VTP v3 samt MST. Om tid finns ska även all fjärrstyrningsinloggning på nätverksenheterna säkerställas så att SSH måste användas istället för Telnet. Företaget använder idag Rapid-PVST och VTP version 1 i nätverket. 1.3 Mål Målet med det här självständiga arbetet är att implementera VTP v3 och MST för att sänka switcharnas CPU-belastning genom att mappa VLAN till instanser samt underlätta för företaget att använda PVLAN till att segmentera nätverket. 8 (54)

9 1.4 Avgränsningar Utvärderingen av nätet kommer basera resultat före och efter implementeringen av de nya protokollen för att kunna se om implementeringen har lett till förbättring eller försämring. Mätresultaten kommer ske i Cisco Prime [1] vilket är Ciscos egna Network Management System (NMS) program som används på företaget. 1.5 Frågeställning Behövs switcharnas mjukvara uppdateras så att de får stöd för de nya protokollen? Hur många VTP domäner ska användas? Kommer de nya protokollen kräva ökad CPU-kapacitet från switcharna? Kommer nätverkets tillgänglighet att påverkas när de nya protokollen implementeras? Hur ska VLAN:en mappas till MST instanserna? 1.6 Dokumentets Struktur Kapitel 1 beskriver syftet och bakgrunden till självständiga arbetet. Kapitel 2 förklarar och visar vad som behövs för att förstå rapporten. Kapitel 3 visar och beskriver hur mätningar, tester, planering och implementering ska utföras. Kapitel 4 är ett resultat kapitel där alla resultat och mätningar visas samt planering och placering av de nya protkollen. Kapitel 5 är ett slutsatskapitel där rapportens frågeställningar besvaras och lösningar samt eventuella frågetecken förklaras. Kapitel 6 listar alla referenser. Bilaga A går igenom all konfigurering som behövs för att implementera VTP version 3 och MST. Bilaga B visar upp hur MST instanserna är placerade i tabeller. 9 (54)

10 2 Lager två redundans I dagens nätverksmiljöer nämns ordet tillgänglighet och redundans ofta och brukar mätas i antal nior. Ett nätverk på tre nior motsvarar en tillgänglighet på minst 99.9% vilket betyder att det nätverket inte kommer att vara tillgängligt 8.76 timmar per år. För att öka antal nior krävs mera redundans vilket kan vara fler nätverksenheter i form av switchar och routrar eller byta eller justera olika protokoll som dem använder. För att bygga redundans på lager två (switchar) måste ett protokoll som heter Spanning Tree användas för att förebygga loopar i nätverket. Lager två ramar har inte någon TTL (time-to-live räknare) som lager tre har och så länge switchar fortsätter att skicka runt paketet i loopen kommer det att fortsätta tills att en switch eller länk går ner [2]. Nackdelen med Spanning-tree är att det inte går att lastbalansera trafiken på olika länkar utan all trafik kommer att gå samma väg fram och tillbaka. 2.1 Spanning Tree Protocol Den första versionen Spanning Tree Protocol (STP) uppfanns av Radia Perlman 1985 och blev en IEEE standard 1990 (802.1D). STP räknar ut ett bridge ID från prioritets värde och MAC-adressen. Den switch som har lägst Bridge ID kommer att bli root-bridge. En port mellan switchar kan antingen vara root-, designated- eller backup/alternate-port. En root-port är den bästa vägen mot root-bridge från en icke root-switch. Designated-port är mot en port som expedierar varje LAN segment. Backup/alternate-port är en annan väg mot rootbryggan som har en högre kostnad och kommer vara blockerad tills att något sker på nätverket som till exempel att root-switchen går ner eller att root-port länken bryts [3]. I exemplet som visas i figur 1 så har en spanning-tree uträking gjorts och switcharnas port-roller fördelas. I figur 2 visas ett exempel på hur en topologiförändring (SW 1 slutar att fungera) skapar en ny spanning-tree uträkning och nya port-roller utses att förändras och efter det kommer nätverket att fungera igen. 2.2 Rapid Spanning Tree Protocol Rapid Spanning Tree Protocol (RSTP) blev en IEEE standard 2001 (802.1w). STP kan ta upp till 50 sekunder på sig att svara på en topologiförändring vilket är en väldigt lång tid i nätverkssammanhang. Med RSTP kan den tiden förkortas avsevärt och beroende på vilken hello intervall som är inställd (standard är 2 sekunder) räknas tiden ut såhär: 3 2(hellointervallet) = 6sekunder 2004 tog RSTP över som original STP standard [3]. 2.3 Virtual Local Area Network Virtual Local Area Network (VLAN) gör det möjligt att virtuellt skapa ett mindre nätverk med användare även om de befinner sig på olika platser inom 10 (54)

11 Figur 1: Spanning-tree port-roller. Figur 2: Topologiförändring samma nätverk. Användare inom till exempel VLAN 10 kommer fungera som att de är anslutna till en och samma switch även fast de kan sitta på olika platser eller i en annan byggnad. Ett VLAN kan användas till att dela upp och isolera nätverket för att säkra upp och skapa mindre broadcast domäner vilket minskar trafiken på nätverket [4]. 11 (54)

12 2.4 Per-VLAN Spanning Tree och Per-VLAN Spanning Tree Plus Per-VLAN Spanning Tree (PVST) skapar separata STP för varje VLAN vilket gör det möjligt att lastbalansera olika VLAN på olika länkar. Varje VLAN kommer att få en egen STP uträkning. Största skillnaden mellan PVST och Per-VLAN Spanning Tree Plus (PVST+) är att PVST bara fungerar med ISL (Ciscos protokoll för VLAN inkapsling) medan PVST+ fungerar med 802.1Q standarden för VLAN inkapsling. PVST och PVST+ kräver mycket CPUkapacitet och desto fler VLAN som används desto mer CPU-kapacitet krävs [5, Kapitel 4, sidor ]. I exemplet som visas i figur 3 är SW2 root-switch för VLAN 1 och SW3 är root-switch för VLAN 2. SW1 kommer att blockera porten mot SW3 och porten mot SW2 blir en root-port för VLAN 1 och tvärtom för VLAN2 vilket gör det möjligt att utnyttja båda länkarna för lastbalansering. Figur 3: PVST 2.5 Rapid Per-Vlan Spanning tree Rapid Per-Vlan Spanning tree (Rapid-PVST/RPVST) är Ciscos egna variant av PVST. Fördelen med Rapid-PVST kontra PVST och PVST+ är att Rapid- PVST använder RSTP uträkning istället för STP uträkning vilket minskar omslagstiden vid ändringar i nätverket [6]. 12 (54)

13 2.6 Multiple Spanning Tree Multiple Spanning Tree (MST) kombinerar både RSTP och PVST+ genom att mappa in VLAN till instanser. Varje instans mappas till en eller flera VLAN och får en egen STP root-switch uträkning. Från processorns perspektiv kommer MST kräva mindre resurser än PVST+ eftersom att många VLAN kan mappas in till en instans som switchen behöver hålla koll på istället för många olika VLAN. MST gör det också möjligt att lastbalansera trafiken och den är även bakåtkompatibel med PVST+ [5, Kapitel 4, sidor ]. För att se en överskådlig bild på hur MST fungerar kan vi titta på exemplet som visas i figur 4, där mappas varje instans med x antal VLAN. SW2 är root för instans 1 och SW2 är root för instans 2. SW1 kommer att blockera porten mot SW3 och porten mot SW2 blir en root-port för instans 1 och tvärtom för VLAN2 vilket gör det möjligt att utnyttja båda länkarna för lastbalansering. För att en instans ska kunna gå mellan switchar måste hela instansens VLAN vara tillåtna att passera. Om till exempel endast ett av instansens alla VLAN inte vara tillåten, leder detta till att inget VLAN i instansen kan passera. Detta kan leda till att alla eller många trunkportar kan behöva konfigureras om när MST implementeras för att tillåta rätt VLAN som instanserna kräver. MST kräver mera planering än PVST och PVST+ då det kan vara svårt och tidskrävande att mappa VLAN till instanser. Ska flera MST regioner användas kommer en RSTP uträkning att skapas mellan regionerna, det vill säga att bara tillåta att en väg är möjlig för att undvika loopar vilket tar bort lastbalanseringsmöjligheten mellan regionerna, se figur 5 för att se en figur på hur det kan se ut [7]. Figur 4: Multiple Spanning Tree. 13 (54)

14 Figur 5: Multiple Spanning Tree regioner. 2.7 VLAN Trunking Protocol version 1 och 2 VLAN Trunking Protocol (VTP) är patentskyddat av Cisco och kan endast användas i Cisco catalyst switchar. För att underlätta administreringen av VLAN i switcharna kan VTP användas, genom att använda VTP räcker det att ändra på en switch för att få ändringen att spridas över nätverket. Detta är speciellt bra när fler switchar används då det kan vara lätt att råka skriva fel någonstans när ändringarna görs manuellt i alla switchar, vilket kan leda till tidskrävande felsökning. Den största skillnaden mellan VTP version 1 och 2 är att version 2 har stöd för token ring. En switch kan ställas in att vara i VTP server, klient eller transparent läge. När en ändring görs i en VTP server kommer först revisionsnumret att plussas på med ett och sedan kommer ändringen att skickas vidare till alla andra servrar och klienter i samma VTP domän som uppdateras med den nya ändringen. Transparent mode är som en egen server, ändringar som görs i detta läge stannar endast på den switchen och skickas inte vidare till några andra switchar, däremot skickar den vidare ändringar som är gjorda på en server till klienter och servrar. Ett exempel på detta kan visas i figur 6 där PC1 är kopplad till SW1 och väljer att lägga in till exempel VLAN 200 i VTP domänen. Revisionsnumret kommer att ökas på med ett och sedan kommer SW1 förmedla ändringarna till SW2 och SW3. SW2 och SW3 kollar först på revisionsnumret, om det är ett högre revisionsnummer kommer switcharna först att uppdatera sitt revisionsnummer till det och sedan lägga in VLAN 200 i VTP domänen. Detta upprepas 14 (54)

15 till alla klienter och servrar i domänen har fått ändringen och ändrat på sitt revisonsnummer. Observera att SW4 är i Transparent läge och kommer inte att göra några ändringar eller uppdatera sitt revisionsnummer utan kommer bara att skicka vidare ändringen till SW6. Revisionsnumret är viktigt att det är lika på alla switchar (bortsett från transparenta switchar), varje gång en ändring görs kommer numret att öka med ett och detta är viktigt för switcharna ska veta att ändringen är en ny ändring och inte en gammal. Kommer det en ändring med lägre revisionsnummer kommer switchen att strunta i den. För att en ändring ska ske i en VTP-domän måste domännamn, lösenord, revisionsnummer och version stämma överens annars struntar switchen i att ändra. I VTP 1 och 2 är det lätt att radera hela VLAN databasen när en switch konfigureras att gå med in i VTP domänen. Om switchen som sätts in har ett högre revisionsnummer och är i server läge (som är standardläget för nya switchar) kommer den att skicka ut uppdateringar med sina egna VLAN (som kan vara vilka som helst) och när en annan switch får den uppdateringen och ser att revisionsnumret är högre än det som den har så kommer den skriva över med nya VLAN och sedan skicka detta vidare i VTP-domänen och alla tidigare ändringarna som är gjorda i VTP domänen är borta [5, Kapitel 3, sida 87]. Det går att ha flera olika VTP domäner i ett och samma nätverk och kan vara bra när det handlar om stora nätverk där många har tillgång till att göra ändringar i switcharna. Skulle någon råka göra fel, till exempel att ta bort ett fel VLAN kommer då alla switchar i samma domän att ta bort samma VLAN. Detta kan då göra att användare eller utrustningar (datorer, servrar, maskiner med mera) tappar anslutningen till nätverket och kan inte längre utföra sina uppgifter. Genom att dela upp nätverket i mindre VTP domäner kan detta lindras men då krävs det mera konfigurering för att alla ändringar som görs i en domän stannar i den domänen. I version 1 och 2 kan lösenordet haschas med en MD5 algoritm för att skydda det men lösenordet kommer fortfarande att sparas i klartext i vlan.dat filen som ligger lokalt på varje switch. Om en användare eller angripare har tillgång till en switch kan personen bara titta in i vlan.dat filen, använda lösenordet för att komma in till VTP domänen och sedan kunna modifiera VLAN databasen [8][5, Kapitel 3, sida 87]. 2.8 VTP version 3 Med version 3 kom det flera nya funktioner som stöd för upp till 4095 VLAN, stöd för att uppdatera VTP Domänen med information rörande Private VLANs (PVLAN) och stöd för utöver en VLAN databas även en för MST databas. I VTP version 1 och 2 var det lätt att radera hela VLAN databasen när en ny switch kopplades in och för att lösa detta har version 3 en funktion som heter VTP Server Primary. Detta gäller när något behöver ändras i VTP domänen så måste switchen befinna sig i VTP server primary och det är bara en switch per VTP domän som kan vara server primary. Varje gång en switch försöker bli server primary sker en undersökning i nätverket för att se om det är någon 15 (54)

16 Figur 6: VTP version 1 och 2. annan switch som är VTP server primary, om den är en annan switch som är det kommer switchen som försöker att bli det nekas. Om det inte finns någon switch som är det kommer switchen att kunna göra ändringar i domänen. Version 3 sköter även om lösenord på ett bättre sätt genom en funktion som heter hidden och detta gör så att lösenordet inte visas i klartext i vlan.dat filen. I VTP v3 går det också att förmedla MST på samma sätt som med VLAN. Endast en switch kan vara VTP Server Primary MST åt gången och krävs för att kunna göra ändringar. För att kunna använda VTP version 3 krävs Cisco IOS version 12.2(54) eller senare. VTP version 3 är bakåtkompatibel med version 1 och 2 [9] [10]. I exemplet som visas i figur 7 är PC1 är kopplad till SW1 och väljer att lägga in till exempel VLAN 200 till instans 1 i VTP domänen. Revisionsnumret kommer att ökas på med ett och sedan kommer SW1 förmedla ändringarna till SW2 och SW3. SW2 och SW3 kollar först på revisionsnumret, om det är ett högre revisionsnummer kommer switcharna först att uppdatera sitt revisionsnummer till det och sedan lägga in VLAN 200 in i instans 1 i VTP domänen. Detta upprepas till alla klienter och servrar i domänen har fått ändringen och ändrat på sitt revisonsnummer. Observera att SW4 är i transparent läge och kommer inte att göra några ändringar eller uppdatera sitt revisionsnummer utan kommer bara att skicka vidare ändringen till SW Private Virtual Local Area Network Private Virtual Local Area Network (PVLAN) gör det möjligt att isolera enheter i ett VLAN så att de inte ska kunna kommunicera med andra enheter i det VLAN:et men ändå kunna kommunicera med lager tre switchar/routrar eller nätverkstjänster. VLAN:et delas upp i ett primärt och ett sekundärt VLAN. Det primära VLAN:et är hela VLAN:et och inkluderar även sekundära VLAN. Sekundära VLAN är de olika port-rollerna som kan behövas i det primära VLAN:et. Det finns tre olika port-lägen inom PVLAN. Isolated-, community- 16 (54)

17 Figur 7: VTP version 3 med MST. och promiscuous-port. En port som är isolerad kan inte kommunicera med någon annan port i samma VLAN utan måste gå genom en router eller lager tre switch. Community gör det möjligt att gruppera upp ett antal enheter så de kan kommunicera med varandra. Promiscuous port tillhör Primära VLAN:et och kan kommunicera med alla portar i VLAN:et, isolated och community portar inkluderade. En port som pekar uppåt i hierarkin till en router eller lager tre switch ska konfigureras som en promiscuous port. Både isolated och community kommer inte kunna vara under samma VLAN utan då måste sekundära VLAN skapas [5, Kapitel 10, sidor ]. Ett exempel på detta visas i figur 8 där PC1 och PC2 är isolerade och i sekundära VLAN:et 101. De kan inte kommunicera med varandra eller med andra datorer i det primära VLAN:et utan att gå via en router eller lager tre switch. PC3 och PC4 är isolerade i ett community i sekundära VLAN:et 102 vilket betyder att PC3 och PC4 kan kommunicera direkt med varandra men inte till någon annan dator i VLAN:et utan att först gå igenom en router eller lager tre switch Telnet Telnet är protokoll som gör det möjligt att fjärrstyra en terminalanslutning till exempel till en switch, router eller dator. Telnet protokollet utvecklades 1969 och är faktiskt ett av de första Internet Standarder och nämndes redan i RFC 15 [11]. När Telnet utvecklades 1969 hade man inte säkerhet i fokus och allt som i Telnet skrivs i skickas i klartext mellan sändaren och mottagaren [12] [13] Secure Shell Secure Shell (SSH) gör likt Telnet det möjligt att fjärrstyra en terminal som till exempel en switch, router eller dator. SSH är utvecklat med säkerhet i fokus och skapar en säker kanal över ett osäkert nätverk med en anslutning mellan en klient och server och krypterar trafiken däremellan så att ingen kan läsa av eller modifiera trafiken. SSH är tänkt som en efterträdare till Telnet [14]. 17 (54)

18 Figur 8: Private VLAN Nätverkstopologi Cisco Prime är Ciscos egna Network Management Software (NMS) som underlättar övervakning och kontrollen över nätverket [1] Med detta verktyg går det att se en nätverkstopologi över de olika delarna av nätverket. Figur 9 visar en bild from Cisco Prime över hur alla switchar i område 1 och hur de är kopplade. Utifrån det verktyget skapades figur 10 som visar en mer överskådlig bild hur nätverket är uppbyggt Tidigare utveckling Det finns en del guider att gå över från PVST+ till MST men de är flera år gamla och omfattar inte en övergång med VTP v3. Configuration example to migrate Spanning Tree from PVST+ to MST [15] går igenom hur en övergång kan se ut och beskriver även vilka vanliga problem som kan uppstå. Den har varit väldigt nyttig under planeringsstadiet då flera problem kom upp med övergången och var tvungna att lösas innan testningen börjades. Ett av problemen som kom fram i rapporten var att trunking för instanser i 18 (54)

19 Figur 9: Nätverkstopologi. Figur 10: Simplifierad Topologi. MST måste antingen vara tillåten för hela instansen eller inte alls vilket gjorde planeringen mera problematisk då nätverket innehåller ca 130 switchar och ca 60 VLAN. Det finns även en vitbok från Cisco som beskriver hur VTP v3 19 (54)

20 fungerar och hur den kan konfiguras upp [10]. Den har används till att planera hur övergången bör ske och även visat hur MST kan konfigureras upp med hjälp av VTP v3. 20 (54)

21 3 Metod 3.1 Utvärdering av nät Utvärderingen sker med hjälp av Cisco Prime där CPU-belastning och hur hög belastning interfacen har i både received (Rx) och transmitted (Tx) trafik går att mäta. Mätningen kommer att ske under sju dagar före och efter implementeringen av VTP version med MST. En vecka valdes för att få in så många olika produktionskift och dagar som möjligt in i mätningen. Det finns många olika skiftformer för de anställda på företaget och då hade belastningen kunna antingen varit högre eller lägre beroende på hur många som jobbar och vilken dag det är. I verktyget går det att se hur mycket belastning som switcharna har i nuläget och då valdes sju access switchar som är kopplade till core switcharna, som visas i figur 11. Dessa switchar valdes för enligt Cisco Prime var de switcharna de mest belastade i nätet. Interfacen som mättes är de som går mot core-switchen från switcharna 116, 118, 125, 126, 127, 190 och 289, som visas i figur 12. För att ta reda på vilken IOS version som switcharna använder körs kommandot: show v e r s i o n Om versionen är lägre än 12.2(54) kommer den att behöva uppdateras till en nyare version. 3.2 Testmiljö För att testa hur en övergång kan ske från de olika protokollen kommer en labb med 6st Cisco switchar att sättas upp och visas i figur 13. Switcharna kommer att ha en backup inladdad från switchar i det riktiga nätverket. En switch kommer att agera core/distribution-switch och resten kommer att agera access-switchar, se tabell 1. Tabell 1: En tabell över Labbmiljön. Namn Modell Switch version Roll H17t cx 15.2(2)E2 Access H17t cx 15.2(4)E2 Access H17t cx 15.2(4)E2 Access H17t cx 15.2(4)E2 Access H17t x 12.2(55)SE5 Core/distribution H17tp1 IE (4)EA1 Aceess Det som ska testas är följande: Gå direkt från VTP version 1 till 3. Skillnad mellan VTP version 1 och 3 när det gäller säkerhet. Implementera MST genom VTP version (54)

22 Figur 11: CPUs som ska mätas. Säkerhetsställa att SSH måste användas för fjärrinloggning på switcharna. För att se skillnaden mellan VTP version 1 och 3 kommer Wireshark [16] att användas för att kunna fånga VTP uppdateringar som skickas från switcharna. För att kunna fånga paket med Wireshark kommer en dator att kopplas in på en av switcharna. Den switchen konfigureras att den skickar alla paket som skickas och tas emot på en port mot en annan switch till den porten som datorn är inkopplad på. Kommandot som kommer att användas i switchen är: monitor s e s s i o n 1 source i n t e r f a c e GigabitEthernet 1/0/1 both monitor s e s s i o n 1 d e s t i n a t i o n i n t e r f a c e GigabitEthernet 1/0/48 e n c a p s u l a t i o n r e p l i c a t e Datorn sitter i port 1/0/48 och kommer att få allt som skickas och tas emot från interface GigabitEthernet 1/0/1. 22 (54)

23 Figur 12: Interfaces som ska mätas. För att testa om nätet går ner kommer det pingas kontinuerligt (kommandot ping och sedan byta ut antal ping från 5 till t.ex ) från en switch mot en annan switch som byter från Rapid-PVST till MST och VTP version 1 till 3 och se om någon ping kommer att misslyckas för att då kunna konstatera att nätet går ner vid en övergång. 3.3 Planering Efter testningen och utvärderingen är klar kommer planeringen kunna göras. Under planeringsstadiet kommer antal VTP domäner och MST instanser planeras. 3.4 Implementering En template kommer att skapas som innehåller konfigueringraderna för att uppdatera till VTP version 3 och MST. Detta kommer att skickas med verktyget Cisco Prime (vilket i sig använder SNMP) till de berörda switcharna. 23 (54)

24 Figur 13: En topologi över labbmiljön. 3.5 Programvaror DIA DIA är ett diagramritningsverktyg som används för att rita upp topologier i den här rapporten [17] Wireshark Wireshark har använts till att fånga paket och att analysera paketen som fångades i nätverket [16] PuTTY PuTTY har använts till att fjärransluta till switcharna med antingen Telnet eller SSH [18]. 24 (54)

25 4 Resultat 4.1 CPU före implementering Här kommer CPU mätningarna först att visas med en graf för varje switch och sedan sammanställs med tabell 2. Se bild för respektive switch, switch , switch , switch , switch , switch , switch och switch Figur 14: Switch 116 CPU-belastning. Figur 15: Switch 118 CPU-belastning. 4.2 Interfaces innan implementering Här kommer resultaten från interfacen att visas, först grafer för switcharna och sedan en sammanställningstabell 3 som visar i medelvärden per interface och typ av mätning. Mätningarna kommer vara uppdelade i received (Rx) och transmitted (Tx). Interfacen som mäts är från core-switcharna 101 och 102 mot access-switcharna som CPU-belastningsmätningen baserades på. Se bild för respektive switch och interface, switch 101 interface Gigabitet- 25 (54)

26 Figur 16: Switch 125 CPU-belastning. Figur 17: Switch 126 CPU-belastning. Figur 18: Switch 127 CPU-belastning. hernet 1/6 received 21 och transmitted 22, switch 101 interface Gigabitethernet 1/11 och 1/12 received 23 och transmitted 24, switch 101 interface Gigabitethernet 3/7 och 3/11 received 25 och transmitted 26, switch 102 interface 26 (54)

27 Figur 19: Switch 190 CPU-belastning. Figur 20: Switch 289 CPU-belastning. Tabell 2: Visar CPU-belastningen på utvalda switchar under en veckas tid. CPU-Belastning innan implementering Switchar Medelbelastning i % (avrundat till heltal) Switch Switch Switch Switch Switch Switch Switch Gigabitethernet 1/8 received 29 och transmitted 30, switch 102 interface Gigabitethernet 1/6 och 1/12 received 27 och transmitted 28 samt switch 102 interface Gigabitethernet 3/7 och 3/11 received 31 och transmitted (54)

28 Figur 21: Graf: Switch 101. Received på Gigabitethernet 1/6 Figur 22: Graf: Switch 101. Transmitted på Gigabitethernet 1/6 4.3 Wireshark captures Här kommer VTP version 133 och 334 wireshark fångningar att visas. 4.4 Andra testresultat Att gå från VTP version 1 till VTP version 3 skedde problemfritt, se figur 36. När MST implementerades på en av switcharna pingades den kontinuerligt från en annan switch. När MST implementerades var det en liten period (2-3 sekunder) som pingen inte lyckades att nå den switchen. I exemplet som visas i figur35 körs Ping samtidigt som övergången från Rapid-PVST till MST. Utropstecken (!) är en lyckad ping och punkt (.) är en misslyckad ping. Detta betyder att det inte går att implementera MST utan att tillgängligheten till nätverket påverkas under övergången även fast MST är bakåtkompatibel med Rapid-PVST. Detta besvarar frågan Kommer nätet att gå ner när de nya protokollen implementeras? som ställdes i kapitel 1. Ett antal switchar kommer att behöva uppdateras till en senare version för att kunna få stöd för VTP version 3, se figur 37. Switcharna måste ha 28 (54)

29 Figur 23: Graf: Switch 101. Received på Gigabitethernet 1/61/11 och 1/12. Tabell 3: Sammanställd belastning interfaces. Interface belastning i % Switch 101 Rx Tx Gigabit 1/6 0,38 1,95 Gigabit 1/11 0,37 0 Gigabit 1/ Gigabit 3/7 0 0 Gigabit 3/ Switch 102 Rx Tx Gigabit 1/6 0 0 Gigabit 1/8 0,04 0,01 Gigabit 1/ Gigabit 3/7 0 0 Gigabit 3/ version 12.2(54) eller senare för att ha stöd för VTP version 3 [9]. Detta besvarar frågan Behövs switcharnas mjukvara uppdateras så att de får stöd för de nya protokollen? som ställdes i kapitel (54)

30 Figur 24: Graf: Switch 101. Transmitted på Gigabitethernet 1/61/11 och 1/ (54)

31 Figur 25: Graf: Switch 101. Received på interface Gigabitethernet 3/7 och 3/ (54)

32 Figur 26: Graf: Switch 101. Transmitted på interface Gigabitethernet 3/7 och 3/ (54)

33 Figur 27: Graf: Switch 102. Received på interface Gigabitethernet 3/7 och 3/ (54)

34 Figur 28: Graf: Switch 102. Transmitted på interface Gigabitethernet 3/7 och 3/11. Figur 29: Graf: Switch 102. Received på interface Gigabitethernet 1/8. 34 (54)

35 Figur 30: Graf: Switch 102. Received på interface Gigabitethernet 1/8. Figur 31: Graf: Switch 102. Received på interface Gigabitethernet 3/8 och 3/ (54)

36 Figur 32: Graf: Switch 102. Transmitted på interface Gigabitethernet 3/8 och 3/11. Figur 33: VTP version 1 paket. 36 (54)

37 Figur 34: VTP version 3 paket. Figur 35: Övergång till MST. Figur 36: Övergång till VTP version (54)

38 Figur 37: Switch version. 38 (54)

39 4.5 Planering och placering av protokollen VTP Designen som valdes var att använda en stor VTP domän för båda områdena, se figur 38. Detta valdes främst för att underlätta konfigureringen. Core switch 3 kommer att agera primary server, Core switch 1 kommer agera server och resten av alla switchar kommer att vara clients. Anledningen till att coreswitcharna ska agera server är att det är endast en handfull personer som har tillgång till dem och många som har tillgång till accesswitcharna (elektriker, vissa reparatörer med flera) för att till exempel ansluta en dator och lägga in den i rätt VLAN eller att byta ut en trasig switch. Detta besvarar frågan Hur många VTP domäner ska användas? som ställdes i kapitel 1. Figur 38: VTP Domäner MST Utan att behöva röra om så mycket i nätverket har 62 olika VLAN mappas in till 43 instanser. Med de här 43 instanserna har tre olika scenarion planeras. VLAN:en har delas upp i tre grupper. Område 1, Område 2 och Överallt. VLAN för område 1 ska bara användas på område 1, VLAN för område 2 ska bara användas på område 2 och Överallt kommer att användas på båda områderna. Detta besvarar frågan Hur ska VLAN:en mappas till MST instanserna? som ställdes i kapitel 1. I nuläget används bara två av fyra core switchar som lager tre men företaget kan i framtiden använda alla fyra core switchar som lager tre och därför skapades tre MST scenarion. Två av scenarierna använder alla fyra core switchar som lager tre switchar och en använder bara två lager tre switchar. 39 (54)

40 Scenario 1 MST planeras med två regioner. Fördelen med detta är att kunna använda en jämn lastbalansering i access-switcharna och även minska antal instanser genom att begränsa områdena med till exempel inte placera alla områdes 2 instanser i område 1. Nackdelen med detta är att en RSTP uträkning görs mellan de två regionerna vilket betyder att bara en väg kommer att vara öppen mellan områdena och inte tillåta någon lastbalansering mellan core switcharna. Detta scenario kräver att alla fyra core switchar använder lager tre. I figur 39 visas ett exempel hur instansernas root switch är placerade och även hur de olika instanserna kommer att skicka sin trafik. För att se hur scenario 1 konfigureras upp visas det i A.2.1. Figur 39: MST: Scenario Scenario 2 MST planeras med en stor region. Fördelen med detta är att få en lastbalansering både bland core switcharna och i access-switcharna. Nackdelen med detta är att det kommer kräva ett extra hopp för ett x antal instanser för att nå sin root-switch. Detta scenario kräver att alla fyra core switchar använder lager tre. I figur 40 visas ett exempel hur instansernas root switch är placerade och även hur de olika instanserna kommer att skicka sin trafik. Vi ser att instans 40 (54)

41 1 och 2 beroende på område kommer kräva ett extra hopp för att nå sin rootswitch. För att se hur scenario 2 konfigureras upp visas det i A.2.2. Figur 40: MST: Scenario Scenario 3 MST planeras med en stor region. Fördelar är att MST implementeras och VLAN mappas in till instanser. Nackdelen med detta är att ingen lastbalansering sker automatiskt, varken mellan core-switcharna eller access-switcharna. I figur 41 visas ett exempel hur instansernas root switch är placerade och även hur de olika instanserna kommer att skicka sin trafik. Vi ser att all trafik kommer att gå samma väg mot root-switcharna. För att se hur scenario 1 konfigureras upp visas det i A SSH För att ersätta Telnet med SSH när switchar fjärrstyrs kommer de här kommandona behöva läggas in på varje switch i nätverket: l i n e vty 0 15 t r a n s p o r t input ssh 41 (54)

42 Figur 41: MST: Scenario 3. Detta gör att om en switch ska fjärrstyras måste den anslutningen ske med SSH. 42 (54)

43 5 Slutsats För att underlätta företagets behov för nätverkssegmentering (dela upp nätverket i mindre delar) har det här självständiga arbetet gått ut på att implementera VTP version 3 och MST. VTP skickar ut VLAN och MST uppdateringar runt i nätverket och underlättar vid användning av PVLAN. MST är ett Spanning tree protokoll som gör det möjligt att mappa VLAN till instanser för på det sättet kunna spara CPU-belastning på switcharna samt att spara in på VLAN när PVLAN används. Metoden som användes var att sätta upp en testmiljö från backupper från riktiga nätet där det testades att implementera de nya protokollen samt att se hur de fungerade. En utvärdering av nätet gjordes där utvalda switchar och interfaces mättes innan implementationen för att senare jämföras med samma mätningar efter att implementationen var klar. I och med att belastningen på switcharna och interfacen var så pass låg när det mättes och LAN segmenteringen redan är ett stort projekt har det beslutats att skjuta upp implementeringen av MST. Anledningen till detta är att behovet till att byta från Rapid-PVST till MST inte är akut i dagsläget. Företaget planerar dock att implementera MST efter att LAN segmenteringen är klar. Detta gör att frågan Kommer de nya protokollen kräva mera CPU-kapacitet från switcharna? som ställdes i kapitel ett inte kommer kunna besvaras i den här rapporten. VTP version 3 har efter testning valts att implementeras och gjordes med hjälp av Cisco Prime där tre templates (clients, server, primary server) skapades med konfigureringen och skickades runt på nätverket. Designen blev en VTP domän som täcker båda områden, jag ville hålla nere antal VTP domäner till det minimala för att många VLAN behöver användas på båda områdena. Säkerhetsmässigt är den största vinsten med VTP version 3 att primary server kan användas då endast en switch kan vara primary i domänen samt att lösenordet som ligger i VLAN.dat inte längre står i klartext om kommandot hidden används kombinerat med vtp password. Det är endast ett fåtal personer som har tillgång till serverswitcharna vilket minimerar risken för felkonfigurering. VTP version 1 och 3 paket analyserades med Wireshark och det gick att se exakt samma information mellan de olika versionerna. När VTP version 3 skulle implementerades på klienterna misslyckades de på 80 enheter på grund av att en del av switcharna inte har kunnat uppdateras (kräver omstart och då kommer nätet gå ner), gamla 2955T switchar som inte stödjer nya uppdateringar och 2960 switchar med endast fast-ethernet stöd som ska bytas. Eftersom att VTP version 3 är bakåtkompatibel med version 1 och 2 kommer inte detta att bli något problem då alla switchar som använder version 1 och 2 kommer att vara klienter. Detta gör det möjligt för företaget att kunna uppdatera switcharna vid ett planerat produktionsstopp och byta ut de switchar som är för gamla vid ett senare tillfälle. Företaget använder idag två av fyra core switchar som lager tre men kan eventuellt i framtiden använda alla fyra som lager tre och därför valde jag att skapa tre olika scenarier med komplett konfiguration för att underlätta för 43 (54)

44 företaget att ta steget till MST i framtiden. Scenario 1 och 2 kräver fyra lager tre switchar medan scenario 3 använder två lager tre switchar. Scenario 1 använder två MST regioner vilket ger en jämn lastbalansering på access lagret men ingen lastbalansering mellan core switcharna. Scenario 2 använder en MST region vilket ger en bra lastbalansering både på access och core/distribution nivå och scenario 3 vilket endast tar vara på fördelarna med att köra MST. Ingen lastbalansering kommer ske vid detta scenario. 5.1 Diskussion När det beslutades att inte implementera MST gjorde det att en del av min rapport inte kunde genomföras då jag hade tänkt att jämföra rapid-pvst mot MST och se hur stor påverkan de hade på switcharnas CPU och interfaces som går mellan core/distribution och access switcharna. Jag tror att om MST implementeras kommer CPU-belastningen sjunka lite genom att det blir färre Spanning Tree uträkningar för processorn att räkna på. Metoddelen av rapporten hade också kunnat göras annorlunda om jag hade vetat om att MST inte skulle implementeras under självständiga arbetet. Jag hade kunna utvärdera nätverket på ett annat sätt som till exempel se över möjlighet att kunna implementera Virtual Switch System (VSS) på core/distribution switcharna vilket troligtvis skulle ge en jämn lastbalansering på coreswitcharna [19]. 5.2 Etiska och samhälleliga aspekter Fokuset på det självständiga arbetet när det gäller etik har varit att inte exponera några känsliga uppgifter, eller att på något sett kunna leda det här självständiga arbetet till företaget. Jag har haft en dialog med företaget om hur mycket jag får ta med i den här rapporten angående informaration om VLAN och IP-adresser (från resultat graferna). Angående VLAN så har jag valt att inte beskriva eller gå in på VLAN:en i detalj utan bara angett dem i ett nummer. Till exempel genom att skriva VLAN 32 utan att beskriva VLAN:ets roll eller namn. Alla exponerade IP-adresser i den här rapporten har censurerats för att undvika att en publik IP-address exponeras. Samhällsnyttan i det här självständiga arbetet är att när implementering av MST görs kommer det troligtvis innebära en minskad CPU-belastning på switcharna i företagets nätverk. En lägre CPU-belastning ger en lägre energiförbrukning och en kostnadsbesparing för att företaget kan använda sin nuvarande nätverksutrustning längre innan den behöver bytas ut. En lägre energiförbrukning är gynnsamt för både företaget och miljön. 5.3 Framtida arbete Det som finns kvar att göra i ett framtida arbete är att implementera MST och sedan jämföra mätresultaten för att se hur stor skillnad det blev. En annan sak som skulle kunna göras är att planera om hela nätverket med MST i åtanke. 44 (54)

45 Det borde då gå att få bort ett tiotal instanser på nätverket vilket borde kunna spara ännu mera CPU-belastning på switcharna. 45 (54)

46 6 Referenser Referenser [1] Cisco prime for it and service providers,. URL http: // prime.html. Hämtad 18 April [2] Default ttl values in tcp/ip. URL map.meteoswiss.ch/map-doc/ftp-probleme.htm. Hämtad 18 April [3] Attacking the spanning tree protocol. URL http: // Hämtad 18 April [4] What is a vlan? how to setup a vlan on a cisco switch. URL Hämtad 18 April [5] Erum Frahim Richard Froom. Implementing Cisco IP Switched Networks (Switch). Cisco Press, 800 East 96th Street, Indianapolis, IN 46240, second printing, december 2015 edition, ISBN [6] Rapid-pvst,. URL en/us/td/docs/switches/datacenter/nexus5000/sw/configuration/ guide/cli/cliconfigurationguide/rpvspanningtree.html. Hämtad 18 April [7] Configuring mst,. URL cisco.com/c/en/us/td/docs/switches/datacenter/nexus5000/sw/ configuration/guide/cli_rel_4_0_1a/cliconfigurationguide/mst. html. Hämtad 24 Maj [8] Understanding vlan trunk protocol (vtp),. URL html. Hämtad 18 April [9] Configuring vtp,. URL c/en/us/td/docs/switches/lan/catalyst3560/software/release/ 12-2_52_se/configuration/guide/3560scg/swvtp.html. Hämtad 18 April [10] Vtp version 3,. URL products/collateral/switches/catalyst-6500-series-switches/ solution_guide_c78_ html. Hämtad 18 April [11] Network subsystem for time sharing hosts,. URL https: //tools.ietf.org/html/rfc15. Hämtad 18 April [12] Telnet protocol specification,. URL org/html/rfc854. Hämtad 18 April (54)

47 [13] Difference between telnet and ssh. URL difference-between-telnet-and-ssh/. Hämtad 18 April [14] The secure shell (ssh) rfc 4252,. URL org/html/rfc4252. Hämtad 18 April [15] Configuration example to migrate spanning tree from pvst+ to mst,. URL switches/catalyst-6500-series-switches/72844-mst.html. Hämtad 18 April [16] Wireshark. URL org/. Hämtad 18 April [17] installer.de/. Dia diagram editor. URL dia-installer.de/. Hämtad 18 April [18] Putty. URL Hämtad 18 April [19] Virtual switching systems (vss),. URL https: // ios/12-2sx/configuration/guide/book/vss.html. Hämtad 26 Maj (54)

48 A Konfigurering av MST och VTP A.1 VTP v3 För Klienter: vtp v e r s i o n 3 vtp mode c l i e n t vtp domain gimo vtp password x hidden vtp mode c l i e n t mst För Server: vtp v e r s i o n 3 vtp mode s e r v e r vtp domain gimo vtp password x hidden vtp mode s e r v e r mst För Primary Server: vtp primary mst/ vlan För att mappa alla VLAN till instanser kommer detta konfigureras till Primary Servern på respektive område: vtp primary mst spanning t r e e mst c o n f i g u r a t i o n name gimo r e v i s i o n 1 private vlan s y n c h r o n i z e i n s t a n c e 1 vlan 1 i n s t a n c e 2 vlan 2 i n s t a n c e 3 vlan 3 i n s t a n c e 7 vlan 7 i n s t a n c e 8 vlan 8 i n s t a n c e 9 vlan 9,16,24,200,201,204 i n s t a n c e 10 vlan 10 i n s t a n c e 11 vlan 11 i n s t a n c e 12 vlan 12 i n s t a n c e 13 vlan 13 i n s t a n c e 14 vlan 14 i n s t a n c e 15 vlan 15 i n s t a n c e 17 vlan 17 i n s t a n c e 18 vlan 18 i n s t a n c e 19 vlan 19 i n s t a n c e 20 vlan (54)