CCNP MLS - Multilayer Switching cch cch
Processeurs de Route Internes • Les Processeurs de Route : - Route Switch Module (RSM) – 4000, 5000, 6000, 7000 - Route Switch Feature Card (RSFC) - 5000 - Multilayer Switch Module (MSM) - 6000 - Multilayer Switch Feature Card (MSFC) - 6000 • Autres termes utilisés - Layer-3 Card, ou Layer-3 “Blade” - MultiLayer Switch Route Processor (MLS-RP) Le routeur dans le réseau (gère le premier paquet dans chaque flux) cch cch
Route Switch Feature Card (RSFC) Catalyst 5000 • Carte fille installée sur Supervisor IIG ou IIIG • La carte RSFC est une carte routeur Cisco IOS totalement fonctionnelle. Elle est disponible sur les Catalyst 5000 Supervisor Engine IIG (WS-X5540) et Supervisor Engine IIIG (WS-X5550). • La carte RSFC requiert les versions Hardware et Software : - Supervisor Engine software release 5.1 ou suivantes sur les modules Supervisor Engine IIG et IIIG de la série Catalyst 5000 - Cisco IOS release 12.0(3c)W5(8) ou suivantes sur la carte RSFC cch cch
Multilayer Switch Module (MSM) Catalyst 6000 • Le module WS-X6302-MSM Multilayer Switch Module pour les commutateurs de la série Catalyst 6000 combine : - Les fonctionnalités sophistiquées de l'IOS Cisco - Une technologie ASIC avancée pour supporter le routage multiprotocole à haut débit - Une plateforme compacte avec gestion • Permet aux utilisateurs de déployer des services de commutation multi-couches et multi-protocoles de très haute performance pour le backbone ou la couche distribution • Le module MSM requiert un seul slot (pas de dépendance de slot) sur les plateformes des Catalyst 6000(WS-C6006 et WS-C6009) ou Catalyst 6500 (WS-6506 et WS-6509). Ce module a été conçu avec une technologie permettant un débit agrégé jusqu'à 6 millions de paquets pour la commutation de couche 3 (IP ,IPX et IP multicast) cch cch
Multilayer Switch Feature Card (MSFC) Catalyst 6000 • La carte MSFC fournit un routage Multiprotocole jusqu'à 15 millons de paquets par seconde avec commutation de couche 3 pour les interfaces Ethernet des commutateurs de la famille Catalyst 6000 • Les logiciels requis sont : - Supervisor Engine pour Catalyst 5000 version logicielle 5.4CSX ou suivantes. - IOS Cisco version 12.0(3) ou suivant sur la carte MSFC • Le matériel requis pour le MLs est le suivant: - PFC -- Un commutateur de la famille Catalyst 6000 avec un PFC fournit des services commutation-LAN de couche 3 - MSFC -- Une carte MFSC pour Catalyst 6000 sur Supervisor Engine fournit des services réseau et de routage multiprotocole basés sur l'IOS Cisco cch cch
Quand Utiliser un RSM? (Routeur Switch Module) • Un RSM est très efficace pour des réseaux de taille moyenne avec des exigences de bande passante de couche 3 modérées • Plus rapide que la majeure partie des implémentations avec un routeur externe. • Le RSM est basé sur du logiciel de routage qui ne peut pas fournir de performances de couche 3 pour de grands réseaux • Un RSM peut être aisément mis à niveau pou fournir un acheminement basé sur le "Hardware" via MLS. cch cch
MLS - Multilayer Switching • MLS (MultiLayer Switching) est une technologie de commutateur Cisco avec routage basé sur Ethernet (Conforme aux standards) • MLS (Routage assisté par "Hardware") est couramment supporté sur deux plateformes : - Catalyst 5000 - Utilise la carte NetFlow Feature Card (NFFC) I ou II - Catalyst 6000 - Utilise la carte MultiLayer Switch Feature Card (MFSC) cch cch
NFFC - NetFlow Feature Card • La carte NFFC est un système à reconnaissance de motifs • Permet au commutateur de reconnaître une grande variété de motifs comme des adresses et des numéros de ports. • Nous verrons uniquement les aspects commutation de la carte NFFC qui a d'autres capacités de services Multicast et Broadcast. • Il est important de rappeler que la carte NFFC n'utilise aucun protocole de routage. • La carte NFFC est connue comme le composant MLS-SE (MLS-Switch Engine) du MLS. cch cch
MLS - Avant et différemment Netflow LAN switching • MLS était connu comme NetFlow Lan Switching qui est un mécanisme de commutation LAN complètement différent. Netflow sur les routeurs • NetFlow sur les routeurs est un puissant outil de collecte de données via Netflow Data Export qui est très différent de MLS. cch cch
opération de reécriture NFFC - Reconnaissance de Motifs • La carte NFFC n'est pas un routeur mais un système à reconnaissance de motifs • Quand la carte NFFC repère un paquet particulier transmis vers le routeur uniquement pour que le routeur le retransmette en arrière par la même interface c'est: "Beaucoup de temps perdu" • La carte NFFC va ensuite acheminer le reste des paquets ou du flux par un chemin direct. NFFC Host A Host B A B Raccourci et opération de reécriture cch cch
Equipements requis pour MLS • Commutateurs des séries Catalyst 2926G, 5000 ou 6000 • Supervisor Engine software release 4.1(1) ou suivantes • IOS 11.3(2)WA4(4) ou suivantes • Supervisor Engine III avec NFFC II ou Supervisor Engine II/IIG • Module RSM • Si routeur externe : routeurs des séries 8500, 7500, 7200, 4700 ou 4500 cch cch
Commutation Multi-couche (MultiLayer Switching) • Fournit une commutation haute performance de couche 3 basée "Hardware" pour les commutateurs Catalyst • Commute les flux de paquets entre sous-réseaux en utilisant un ASIC (Application Specific Integrated Circuit) pour le "hardware" de commutation, déchargeant l'unité centrale des routeurs de la charge intensive de routage des paquets. cch cch
MLS “Route once, Switch many.” cch cch
Les Flux de Trafic • MLS identifie les flux de paquets • Les protocoles de couche 3, tel IP, sont en mode non-connecté et délivrent les paquets indépendamment les uns des autres - Par conséquent, le trafic réseau actuel est constitué de plusieurs communications de bout en bout ou flux entre utilisateurs et applications. • MLS accroît les performances de routage IP en traitant la commutation paquets et par des fonctions de reécriture avec le "Hardware" cch cch
Composants du MLS • MLS Route Processor (MLS-RP) - Le routeur dans le réseau (traite le premier paquet de chaque flux) • MLS Switching Engine (MLS-SE) - La carte NFFC (NetFlow Feature Card) bâtit des entées pour les chemins direct dans une mémoire CAM(Content Adressable Memory) de couche 3. • MultiLayer Switching Protocol (MLSP) - MLSP est un protocole léger utilisé par le MLS-RP pour initialiser le MLS-SE et lui notifier les changements dans la topologie de couche réseau ou dans les exigences de la sécurité. cch cch
MLS en quatre étapes • Etape 1 Le MLS-RP (Routeur couche 3) transmet des paquets MLSP hello • Etape 2 Le MLS-SE (NFFC) identifie les paquets candidats • Etape 3 Le MLS-SE (NFFC) identifie les paquets validés • Etape 4 Le MLS-SE (NFFC) achemine les paquets suivants par un chemin direct cch cch
MLS en quatre étapes 1. Le MLS-RP transmet des paquets MLSP Hello MLS-SE (NFFC) Host A Host B 1/1 3/1 2/1 Fa1/0.1 Address IP: 10.1.1.1/24 Adresse MAC: 00-00-0C-11-11-11 VLAN: 1 Fa1/0.2 Address IP: 10.1.2.1/24 Adresse MAC: 00-00-0C-22-22-22 VLAN: 2 Address IP: 10.1.1.10/24 Adresse MAC: 00-AA-00-11-11-11 Address IP: 10.1.2.20/24 Adresse MAC: 00-AA-00-22-22-22 MLS-RP FastEthernet1/0 Paquets Hello MLSP Maintenant le MLS-SE connaît le MLS-RP cch cch
MLS en quatre étapes 1. Le MLS-RP transmet des paquets MLSP Hello • Quand le route démarre , il transmet des paquets MLSP Hello toutes les 15 secondes. - Ces paquets contiennent des informations sur les VLANs et les adresses MAC utilisés par le routeur. - Il utilise l'adresse multicast 01-00-0C-DD-DD-DD utilisée aussi par CGMP - Les commutateurs non-MLS diffusent ces paquets à travers le VLAN 1. • En écoutant ces paquets Hello, le MLS-SE peut apprendre les attributs de tous les routeurs avec des capacités MLS dans le réseau de couche 2 • le MLS-SE (NFFC) identifie le routeur avec capacité MLS en affectant une valeur XTAG à chaque MLS-RP • Cette information est stockée dans une table CAM de couche 2 - show cam cch cch
MLS en quatre étapes 1. Le MLS-RP transmet des paquets MLSP Hello MLS-SE (NFFC) Host A Host B 1/1 3/1 2/1 Fa1/0.1 Address IP: 10.1.1.1/24 Adresse MAC: 00-00-0C-11-11-11 VLAN: 1 Fa1/0.2 Address IP: 10.1.2.1/24 Adresse MAC: 00-00-0C-22-22-22 VLAN: 2 Address IP: 10.1.1.10/24 Adresse MAC: 00-AA-00-11-11-11 Address IP: 10.1.2.20/24 Adresse MAC: 00-AA-00-22-22-22 MLS-RP FastEthernet1/0 Table CAM XTAG MAC VLAN 1 00-00-0C-11-11-11 1 2 00-00-0C-22-22-22 2 Paquets Hello MLSP CAM Maintenant le MLS-SE connaît le MLS-RP cch cch
MLS en quatre étapes 2. Le MLS-SE identifie les paquets candidats • Le MLS-SE (NFFC) commence à utiliser ses capacités de reconnaissance de motifs pour rechercher les paquets destinés aux MLS-RPs (routeurs). • Si un paquet est destiné au routeur et n'a pas d'entrée dans la table CAM, il est classé comme "paquet candidat" • Le paquet est acheminé par le processus classique d'acheminement couche 2 du commutateur sur le port connecté au routeur • Les paquets candidats doivent respecter les critères suivants: - Ils ont une adresse MAC destination égale à une des adresses MAC de routeur apprises via MLSP - Ils n'ont pas d'entrée dans la table CAM cch cch
MLS en quatre étapes 2. Le MLS-SE identifie les paquets candidats cch Host A Host B 1/1 3/1 2/1 Fa1/0.1 Address IP: 10.1.1.1/24 Adresse MAC: 00-00-0C-11-11-11 VLAN: 1 Fa1/0.2 Address IP: 10.1.2.1/24 Adresse MAC: 00-00-0C-22-22-22 VLAN: 2 Address IP: 10.1.1.10/24 Adresse MAC: 00-AA-00-11-11-11 Address IP: 10.1.2.20/24 Adresse MAC: 00-AA-00-22-22-22 MLS-RP FastEthernet1/0 L'adresse MAC destination est une des adresses d'interfaces du routeur. Il n'y a pas de flux existant aussi je marque ce paquet comme candidat. Paquet candidat VLAN1 Info Paquet Info couche 3 IP-S : 10.1.1.10 IP-D : 10.1.2.20 Info couche 2 MAC-S : 00-AA-00-11-11-11 MAC-D : 00-00-0C-11-11-11 MLS-SE (NFFC) ISL Header Ethernet Header IP Header IP Data VLAN = 1 MAC-D 00-00-0C-11-11-11 MAC-S 00-AA-00-11-11-11 IP-S = 10.1.1.10 IP-D = 10.1.2.20 cch cch
MLS en quatre étapes 3. Le MLS-SE identifie les paquets valides Le Routeur (MLS-RP) • Dans cet exemple, le routeur reçoit et route un paquet normalement • Le routeur a reécrit l'en-tête de couche 2 • Le routeur n'a pas uniquement changé le numéro de VLAN dans l'en-tête ISL mais il a aussi modifié les adresses MAC - Bien que les adresses IP n'aient pas changé, le routeur doit modifier l'en-tête IP en décrémentant le TTL (Time To Live) et mettre à jour la checksum. cch cch
MLS en quatre étapes 3. Le MLS-SE identifie les paquets valides MLS-SE du Commutateur (NFFC) Quand le paquet revient au commutateur 1. L'adresse MAC destination est utilisée pour commuter la trame sur le port 3/1. 2. Le MLS-SE (NFFC) reconnaît l'adresse MAC source comme une des entrées crées à l'étape 1 via le MLSP-Hello 3. Le MLS-SE (NFFC) utilise l'adresse IP destination pour vérifier l'entrée de la table CAM pour le chemin direct créée à l'étape 2 (Paquet Candidat) cch cch
MLS en quatre étapes 3. Le MLS-SE identifie les paquets valides MLS-SE du Commutateur (NFFC) Quand le paquet revient au commutateur 4. Le MLS-SE (NFFC) compare les valeurs XTAG associées à l'adresse MAC source de ce paquet et l'entrée partielle de la table CAM. Comme il y a correspondance, le MLS-SE sait que c'est un paquet valide venant du même routeur identifié par le paquet candidat. 5. Le MLS-SE (NFFC) complète l'entrée de la table CAM Cette entrée contiendra toutes les informations nécessaires pour reécrire l'en-tête des trames. cch cch
MLS en quatre étapes 3. Le MLS-SE identifie les paquets valides cch Host A Host B 1/1 3/1 2/1 Fa1/0.1 Address IP: 10.1.1.1/24 Adresse MAC: 00-00-0C-11-11-11 VLAN: 1 Fa1/0.2 Address IP: 10.1.2.1/24 Adresse MAC: 00-00-0C-22-22-22 VLAN: 2 Address IP: 10.1.1.10/24 Adresse MAC: 00-AA-00-11-11-11 Address IP: 10.1.2.20/24 Adresse MAC: 00-AA-00-22-22-22 MLS-RP FastEthernet1/0 MLS-SE (NFFC) Paquet Valide ISL Header VLAN =2 Ethernet Header Data IP IP-S=10.1.1.10 IP-D=10.1.2.20 MAC-S 00-00-0C-22-22-22 MAC-D 00-AA-00-22-22-22 1. L'adresse MAC destination est utilisée pour commuter la trame (paquet) sur le port 3/1 cch cch
MLS en quatre étapes 3. Le MLS-SE identifie les paquets valides cch Fa1/0.1 Address IP: 10.1.1.1/24 Adresse MAC: 00-00-0C-11-11-11 VLAN: 1 MLS-RP FastEthernet1/0 Fa1/0.2 Address IP: 10.1.2.1/24 Adresse MAC: 00-00-0C-22-22-22 VLAN: 2 Paquet Valide 2. Le MLS-SE (NFFC) reconnaît l'adresse MAC source comme une des entrées crées à l'étape 1 via le processus MLSP Hello 1/1 Host A Host B MLS-SE (NFFC) Address IP: 10.1.1.10/24 Adresse MAC: 00-AA-00-11-11-11 VLAN: 1 Address IP: 10.1.2.20/24 Adresse MAC: 00-AA-00-22-22-22 VLAN: 2 2/1 3/1 ISL Header VLAN =2 Ethernet Header Data IP IP-S=10.1.1.10 IP-D=10.1.2.20 MAC-S 00-00-0C-22-22-22 MAC-D 00-AA-00-22-22-22 cch cch
MLS en quatre étapes 3. Le MLS-SE identifie les paquets valides cch Fa1/0.1 Address IP: 10.1.1.1/24 Adresse MAC: 00-00-0C-11-11-11 VLAN: 1 MLS-RP FastEthernet1/0 Fa1/0.2 Address IP: 10.1.2.1/24 Adresse MAC: 00-00-0C-22-22-22 VLAN: 2 Info paquet candidat Info couche 3 IP-S : 10.1.1.10 IP-D : 10.1.2.20 Info couche 2 MAC-S: 00-AA-00-11-11-11 MAC-D: 00-00-0C-11-11-11 Paquet Valide 3. Le MLS-SE (NFFC) utilise l'adresse IP destination pour vérifier si entrée partielle de chemin direct créee à l'étape 2 existe (Paquet Candidat) 1/1 Host A Host B Address IP: 10.1.1.10/24 Adresse MAC: 00-AA-00-11-11-11 VLAN: 1 Address IP: 10.1.2.20/24 Adresse MAC: 00-AA-00-22-22-22 VLAN: 2 2/1 3/1 MLS-SE (NFFC) ISL Header VLAN =2 Ethernet Header Data IP IP-S=10.1.1.10 IP-D=10.1.2.20 MAC-S 00-00-0C-22-22-22 MAC-D 00-AA-00-22-22-22 cch cch
MLS en quatre étapes 3. Le MLS-SE identifie les paquets valides cch Fa1/0.1 Address IP: 10.1.1.1/24 Adresse MAC: 00-00-0C-11-11-11 VLAN: 1 MLS-RP FastEthernet1/0 Fa1/0.2 Address IP: 10.1.2.1/24 Adresse MAC: 00-00-0C-22-22-22 VLAN: 2 Info paquet candidat Info couche 3 IP-S : 10.1.1.10 IP-D : 10.1.2.20 Info couche 2 MAC-S: 00-AA-00-11-11-11 MAC-D: 00-00-0C-11-11-11 Paquet Valide 4. Le MLS-SE (NFFC) compare les valeurs associées avec l'adresse MAC source de ce paquet et l'entrée partielle de la table CAM. Comme il y a correspon- dance le MLS-SE sait que c'est le paquet enable venant du même routeur repéré par le paquet candidat. CAM Table XTAG MAC VLAN 00-00-0C-11-11-11 1 1 00-00-0C-22-22-22 2 1/1 Host A Host B Address IP: 10.1.1.10/24 Adresse MAC: 00-AA-00-11-11-11 VLAN: 1 Address IP: 10.1.2.20/24 Adresse MAC: 00-AA-00-22-22-22 VLAN: 2 2/1 3/1 MLS-SE (NFFC) ISL Header VLAN =2 Ethernet Header Data IP IP-S=10.1.1.10 IP-D=10.1.2.20 MAC-S 00-00-0C-22-22-22 MAC-D 00-AA-00-22-22-22 cch cch
MLS en quatre étapes 3. Le MLS-SE identifie les paquets valides cch Fa1/0.1 Address IP: 10.1.1.1/24 Adresse MAC: 00-00-0C-11-11-11 VLAN: 1 MLS-RP FastEthernet1/0 Fa1/0.2 Address IP: 10.1.2.1/24 Adresse MAC: 00-00-0C-22-22-22 VLAN: 2 Paquet Valide 5. Le MLS-SE (NFFC) complète l'entrée de chemin direct dans la table CAM. Cette entrée contiendra toutes les informations nécessaires pour reécrire l'en-tête des prochains paquets. 1/1 Host A Host B Address IP: 10.1.1.10/24 Adresse MAC: 00-AA-00-11-11-11 VLAN: 1 Address IP: 10.1.2.20/24 Adresse MAC: 00-AA-00-22-22-22 VLAN: 2 2/1 3/1 MLS-SE (NFFC) Prochains paquets ISL Header Ethernet Header Ethernet Header Data IP VLAN =1 MAC-D 00-0C-00-11-11-11 MAC-S 00-AA-00-11-11-11 IP-S=10.1.1.10 IP-D=10.1.2.20 cch cch
MLS en quatre étapes 3. Le MLS-SE identifie les paquets valides cch Fa1/0.1 Address IP: 10.1.1.1/24 Adresse MAC: 00-00-0C-11-11-11 VLAN: 1 MLS-RP FastEthernet1/0 Fa1/0.2 Address IP: 10.1.2.1/24 Adresse MAC: 00-00-0C-22-22-22 VLAN: 2 Paquet Valide Le commutateur enregistre cette entrée dans le cache MLS 1/1 Host A Host B Address IP: 10.1.1.10/24 Adresse MAC: 00-AA-00-11-11-11 VLAN: 1 Address IP: 10.1.2.20/24 Adresse MAC: 00-AA-00-22-22-22 VLAN: 2 2/1 3/1 MLS-SE (NFFC) Cache MLS IP Dest 10.1.2.20 IP Src Port TCP MAC Dest 00-AA-00-22-22-22 Port Dest Src 23 1238 00-00-0C-22-22-22 VLAN 2 Interface 10.1.1.10 3/1 cch cch
MLS en quatre étapes 4. Le MLS-SE achemine directement les paquets • Dès que les paquets suivants du flux arrivent, le MLS-SE utilise l'adresse IP destination pour rechercher l'entrée correspondante dans le cache MLS crée à l'étape 3 • Si le MLS-SE trouve une correspondance, il utilise la "rewrite engine" pour modifier l'en-tête et ensuite transmettre le paquet directement à la destination (Le paquet n'est pas acheminé par le routeur) • L'opération de reécriture modifie exactement les mêmes champs modifiés initialement par le routeur cch cch
Rewrite Engine Le mécanisme de reécriture peut modifier les champs suivants: - Adresses MAC source et Destination - VLAN ID - TTL - Encapsulation IP (ARPA vers SNAP) - Cheksums - Type of Service/ Class of Service (ToS/CoS) cch cch
Acheminement Direct du Paquet Fa1/0.1 Address IP: 10.1.1.1/24 Adresse MAC: 00-00-0C-11-11-11 VLAN: 1 MLS-RP FastEthernet1/0 Fa1/0.2 Address IP: 10.1.2.1/24 Adresse MAC: 00-00-0C-22-22-22 VLAN: 2 Cache MLS IP Dest 10.1.2.20 IP Src 10.1.1.10 Port TCP MAC Dest 00-AA-00-22-22-22 Dest Src 23 1238 00-00-0C-22-22-22 VLAN 2 Interface 3/1 Paquet émis 1/1 Host A Host B Address IP: 10.1.1.10/24 Adresse MAC: 00-AA-00-11-11-11 VLAN: 1 Address IP: 10.1.2.20/24 Adresse MAC: 00-AA-00-22-22-22 VLAN: 2 2/1 3/1 MLS-SE (NFFC) Paquets suivants ISL Header VLAN =1 Ethernet Header Data IP IP-S=10.1.1.10 IP-D=10.1.2.20 MAC-S 00-AA-00-11-11-11 MAC-D 00-00-0C-11-11-11 cch cch
Acheminement Direct du Paquet Fa1/0.1 Address IP: 10.1.1.1/24 Adresse MAC: 00-00-0C-11-11-11 VLAN: 1 MLS-RP FastEthernet1/0 Fa1/0.2 Address IP: 10.1.2.1/24 Adresse MAC: 00-00-0C-22-22-22 VLAN: 2 Cache MLS IP Dest 10.1.2.20 IP Src 10.1.1.10 Port TCP MAC Dest 00-AA-00-22-22-22 Dest Src 23 1238 00-00-0C-22-22-22 VLAN 2 Interface 3/1 Lecture du cache MLS Paquet émis 1/1 Address IP: 10.1.1.10/24 Adresse MAC: 00-AA-00-11-11-11 VLAN: 1 Host A Host B Address IP: 10.1.2.20/24 Adresse MAC: 00-AA-00-22-22-22 VLAN: 2 2/1 3/1 MLS-SE (NFFC) Paquets suivants ISL Header VLAN =1 Ethernet Header Data IP IP-S=10.1.1.10 IP-D=10.1.2.20 MAC-S 00-AA-00-11-11-11 MAC-D 00-00-0C-11-11-11 cch cch
Acheminement Direct du Paquet Pas de paquet transmis au routeur Fa1/0.1 Address IP: 10.1.1.1/24 Adresse MAC: 00-00-0C-11-11-11 VLAN: 1 MLS-RP FastEthernet1/0 Fa1/0.2 Address IP: 10.1.2.1/24 Adresse MAC: 00-00-0C-22-22-22 VLAN: 2 Cache MLS IP Dest 10.1.2.20 IP Src 10.1.1.10 Port TCP MAC Dest 00-AA-00-22-22-22 Dest Src 23 1238 00-00-0C-22-22-22 VLAN 2 Interface 3/1 Reécriture du paquet Transmission 1/1 Address IP: 10.1.1.10/24 Adresse MAC: 00-AA-00-11-11-11 VLAN: 1 Host A Host B Address IP: 10.1.2.20/24 Adresse MAC: 00-AA-00-22-22-22 VLAN: 2 2/1 3/1 MLS-SE (NFFC) Paquets suivants ISL Header Ethernet Header Ethernet Header Data IP VLAN =2 MAC-D 00-AA-00-22-22-22 MAC-S 00-00-0C-22-22-22 IP-S=10.1.1.10 IP-D=10.1.2.20 cch cch
Quand utiliser MLS? • Besoin d'un débit plus important • Augmenter l'évolutivité • Accroître les performances de routage cch cch
Configuration de MLS • Configuration du module RSM du Catalyst 5000 - http://www.cisco.com/univercd/cc/td/doc/product/lan/ cat5000/cnfg_nts/rsm/4058_01.htm - http://www.cisco.com/univercd/cc/td/doc/product/lan/ cat5000/rel_5_2/layer3/mls.htm • Configuration du MLS-RP • Configuration du MLS-SE cch cch
Configuration du module RSM du Catalyst 5000 Le Catalyst 4000 utilise des Port-Channels alors que le Catalyst 5000 spécifie des VLANS interface vlan 1 ip address 172.16.1.1 255.255.255.0 (Adresse de passerelle par défaut pour le VLAN 1) ip address 172.16.1.1 255.255.255.0 interface vlan 2 ip address 172.16.2.1 255.255.255.0 interface vlan 10 ip address 172.16.10.1 255.255.255.0 interface vlan 20 ip address 172.16.20.1 255.255.255.0 (Adresse de passerelle par défaut pour le VLAN 20) ! ! router eigrp 1 network 172.16.0.0 ip route 0.0.0.0 0.0.0.0 172.16.2.2 cch cch
Configuration du MLS-RP (MultiLayer Switch-Route Processor) Etape 1 - Validation globale de MLS sur le processeur de route Etape 2 - Configuration d'un domaine VTP pour chaque interface Etape 3 - Validation de MLS sur chaque interface Etape 4 - Spécification d'une interface de gestion MLS cch cch
Etape 1 - Validation globale de MLS - Sur le processeur de route (MLS-RP) • Validation de MLS sur le routeur Router(config)# mls rp ip • Vérification Router# show running-config • Dévalidation de MLS sur le routeur Router(config)# no mls rp ip cch cch
Etape 2 - Configuration d'un domaine VTP pour chaque interface • Quand un processeur de route se trouve dans un domaine VTP autre que le domaine dans lequel réside le commutateur, Le commutateur ne peut pas exécuter de fonction MLS pour ce routeur. • Les raisons pour lesquelles un commutateur et un processeur de route résident dans des domaines VTP différents sont: - Vous l'avez fait pour des besoins réels - Le nom de domaine VTP est mal configuré - Vous avez configuré l'interface MLS avant de mettre cette interface dans un domaine VTP - Ceci met l'interface dans un domaine "Null" et elle ne peut pas participer au MLS. cch cch
Etape 2 - Configuration d'un domaine VTP pour chaque interface MLS-RP interface vlan 1 ip address 172.16.10.1 255.255.255.0 mls rp vtp-domain campus mls rp ip Doit être entrée en premier ( Identique au MLS-SE) Doit être entrée par la suite ou le domaine "Null" est crée cch cch
Etape 3 - Validation de MLS sur chaque interface • Validation de MLS sur le routeur Router(config)# interface FastEthernet0/0 Router(config-if)# mls rp ip cch cch
Etape 4 - Spécification d'une interface de gestion MLS • Quand un module RSM ou un MLS-RP est configuré pour faire du "MultiLayer Switching", l'équipement utilise le protocole MLSP pour transmettre des messages Hello, des annonces de modifications de routage et des annonces de VLAN ou d'adresses MAC pour les interfaces sur les équipements qui participent au MLS. • Une de ces interfaces doit être identifiée comme une "Management Interface" au travers de laquelle tous les paquets sont transmis ou reçus. • Cela peut être toute interface MLS du MLS-RP connecté au MLS-SE Router(config)# interface vlan vlan-num Router(config-if)# mls rp management-interface cch cch
Etape 4b - Affectation d'un VLAN ID à une interface "non trunk" sur un routeur Externe • Le MultiLayer Switching est un routage Inter-VLAN • Le MLS requiert que chaque interface de processeur de route externe ait un VLAN ID affecté. • Sur une interface "Trunk", ceci n'est pas nécessaire. Router(config)# interface interface Router(config-if)# mls rp vlan-id vlan-num Exemple: Router(config)# interface FastEthernet 0/0 Router(config-if)# ip address 10.1.1.1 Router(config-if)# mls rp vlan-id 1 Router(config-if)# mls rp vtp-domain campus Router(config-if)# mls rp ip cch cch
Vérification de la configuration MLS Router# show mls rp mls flow mask is destination-ip current flow mask: destination-ip current sequence number: 779898001 current/maximum retry count: 0/10 current domain state: no-change current/next global purge: false/false current/next purge count: 0/0 domain uptime: 00:21:40 keepalive timer expires in 6 secondes retry imer not running change timer nt running 2 mac-vlan(s) configured for multi-layer switching: mac 000.f6b3.d000 vlan id(s) 1 41 42 Multilayer switching is globally enabled mls id is 0010.f6b3.d000 mls ip address 172.16.1.142 number of domains configured for mls 1 vlan domain name: bcmsn 1 management interface(s) currently defined: vlan 1 on Vlan1 router currently aware of following 0 switch(es): Cette adresse MAC apparaît dans le cache MLS Adresse IP attribuée au MLS-SE Le nom de domaine dît correspondre avec celui du MLS-SE Interface transmettant les messages MLSP Nombre de commutateurs pour lesquels le MLS-RP fait du routage cch cch
Configuration du MLS-SE (MultiLayer Switch-Switching Engine) Etape 1 - Validation du MLS sur le MLS-SE Etape 2 - Modification de "aging-time" et "threshold" Etape 3 - Reconnaissance d'un routeur externe(Optionnel) cch cch
Etape 1 - Validation du MLS sur le MLS-SE • Validation de MLS sur le commutateur (validé par défaut) Switch(enable) set mls enable • Vérification Switch(enable) show config • Dévalidation Switch(enable) set mls disable cch cch
Etape 2 - Modification de "aging-time" et "threshold" Durée pendant laquelle l'entrée MLS reste dans le cache Switch(enable) set mls agingtime secs • secs = 8 à 2,032 secondes • 256 secondes par défaut • Valeurs arrondies au multiple de 8secondes le plus proche • Autre entrée: "Candidate entry" reste dans le cache 5 secondes sans entrée validée avant d'expirer. cch cch
Etape 2 - Modification de "aging-time" et "threshold" Nombre de paquets détectés pendant une certaine durée Switch(enable) set mls agingtime fast fastagingtime packet-threshold • Certains flux MLS sont de courte durée ou sporadiques tels les flux DNS • Comme la connexion est terminée après un cycle de requête/réponse, l'entrée du cache MLS est utilisé une seule fois. • Par conséquent, cette entrée MLS consomme de l'espace cache jusqu'à expiration de sa validité (256 secondes) • Détecter et dévalider ces entrées rapidement peut récupérer de l'espace cache pour du trafic réel. • Cette commande stipule que si le MLS-SE ne détecte pas un nombre de paquets spécifié durant une période de temps définie, cette entrée sera retirée du cache MLS. cch cch
Etape 2 - Modification de "aging-time" et "threshold" Nombre de paquets détectés pendant une certaine durée • packet-threshold - C'est le nombre de paquets qui doivent être détectés pendant une durée déterminée. Les valeurs peuvent être 0, 1, 3, 7, 15, 31, 63 ou 127. La valeur par défaut est 0 paquet. • fastagingtime - Durée pendant laquelle une entrée reste dans le cache avant d'être effacée. Les valeurs peuvent être des multiples de 8 secondes. La valeur 0 dévalide l'expiration rapide. Switch(enable)set mls agingtime fast 64 7 • Cette commande stipule que si moins de 7 paquets sont détectés en 64 secondes, cette entrée sera effacée du cache MLS cch cch
Etape 2 - Modification de "aging-time" et "threshold" Nombre de paquets détectés pendant une certaine durée • Usage courant Switch(enable)set mls agingtime fast 32 0 - Une valeur typique pour fastagingtime et pkt_threshold est de 32 secondes et 0 paquet. Cela signifie si pas de paquet détecté dans les 32 secondes qui suivent la création de l'entrée dans le cache MLS, cette entrée sera effacée. - Cisco recommande de maintenir le nombre d'entrée dans le cache MLS en-dessous de 32K. Si cette valeur de 32K est dépassée, quelques flux (moins de 1%) sont transmis au routeur. cch cch
Etape 3 - Reconnaissance d'un routeur externe (MLS-RP) Pour reconnaître un routeur externe (MLS-RP) Switch(enable) set mls include ip-address • L'adresse IP est l'adresse IP MLS du routeur externe (voir MLS-SE Etape 3b) • Pour déterminer cette adresse, utilisez la commande show mls rp sur le routeur externe(MLS-RP) cch cch
Appliquer les masques de flux • Le MLS-SE utilise des modes de masque de flux pour déterminer quelles informations contenues dans le paquet doivent être placées dans le cache MLS. • Le mode de masque de flux est basé sur des ACLs configurées sur les interfaces MLS du routeur ou en utilisant la commande set mls flow sur le MLS-SE. • Le MLS-SE supporte uniquement un masque de flux pour tous les MLS-RP qui sont servis par le MLS-SE. cch cch
Modes de masques de flux Le MLS-SE supporte trois modes de masque de flux: • Adresse IP destination - Pas d'ACL • Adresse IP Source/Destination - ACL Standard sur toute interface MLS • Flux IP - ACL Etendue sur toute interface MLS Le MLS-SE supporte un seul masque de flux pour tous les MLS-RP, sinon il utilise le masque de flux le plus spécifique détecté. • Pour lier le MLS avec les ACLs, il faut entrer la commande suivante en mode de configuration global. Router(config)#mls rp ip input-acl • Pour configurer les masques de flux sans ACL sur le MLS-RP: Switch (enable) set mls flow[destination|destination-source|full] cch cch
Nouvelle entrée dans le cache MLS pour le flux AB Listes d'accès en sortie et MLS IP Source=172.16.10.123 IP Destination=172.16.22.57 MAC Source=0010.f663.d000 MAC Destination=0010.0679.5800 Paquet Candidat Information Couche 3 Information Couche 2 Paquet Valide Information Couche 3 MAC Source=0010.0679.5800 MAC Destination=0090.0b133.7000 0010.f663.d000 172.16.10.123 0090.b133.7000 172.16.22.57 0010.0679.5800 172.16.68.13 IP Destination IP Source Port DstPort SrcPort MAC destination Vlan Port 172.16.22.57 172.16.10.123 TCP 7001 7004 00-90-b1-33-70-00 45 2/9 Nouvelle entrée dans le cache MLS pour le flux AB Masque de flux IP Destination Destination IP Source IP Port DstPrt SrcPrt Destination Mac Vlan Port 172.16.22.57 0.0.0.0 - - - 00-90-b1-33-70-00 45 2/9 Le masque de flux par défaut est le mode IP-Destination. Il est référencé comme masque de flux destination et c'est le moins significatif • Le MLS-SE maintient une entrée MLS pour chaque adresse IP Destination. Tous les flux pour une adresse IP destination utilisent cette entrée. Cette entrée est utilisée s'il n'y a pas d'access-lists configuré sur une des interfaces du routeur MLS. cch cch
Nouvelle entrée dans le cache MLS pour le flux AB Listes d'accès en sortie et MLS IP Source=172.16.10.123 IP Destination=172.16.22.57 MAC Source=0010.f663.d000 MAC Destination=0010.0679.5800 Paquet Candidat Information Couche 3 Information Couche 2 Paquet Valide Information Couche 3 MAC Source=0010.0679.5800 MAC Destination=0090.0b133.7000 0010.f663.d000 172.16.10.123 0090.b133.7000 172.16.22.57 0010.0679.5800 172.16.68.13 IP Destination IP Source Port DstPort SrcPort MAC destination Vlan Port 172.16.22.57 172.16.10.123 TCP 7001 7004 00-90-b1-33-70-00 45 2/9 Nouvelle entrée dans le cache MLS pour le flux AB ip acces-group 10 out Masque de flux IP Source-Destination Destination IP Source IP Port DstPrt SrcPrt Destination Mac Vlan Port 172.16.22.57 172.16.10.123 - - - 00-90-b1-33-70-00 45 2/9 Le second type de masque de flux est le mode IP-Source-Destination. Il est référencé comme masque de flux destination-source. • Le MLS-SE maintient une entrée MLS pour chaque paire d'adresses IP Destination-Source. Tous les flux pour une adresse IP destination et IP source utilisent cette entrée indépendamment des ports. Cette entrée est utilisée s'il y a une access-list standard configurée sur une des interfaces du routeur MLS. cch cch
Nouvelle entrée dans le cache MLS pour le flux AB IP Source=172.16.10.123 IP Destination=172.16.22.57 MAC Source=0010.f663.d000 MAC Destination=0010.0679.5800 Paquet Candidat Information Couche 3 Information Couche 2 Paquet Valide Information Couche 3 MAC Source=0010.0679.5800 MAC Destination=0090.0b133.7000 0010.f663.d000 172.16.10.123 0090.b133.7000 172.16.22.57 0010.0679.5800 172.16.68.13 IP Destination IP Source Port DstPort SrcPort MAC destination Vlan Port 172.16.22.57 172.16.10.123 TCP 7001 7004 00-90-b1-33-70-00 45 2/9 Nouvelle entrée dans le cache MLS pour le flux AB ip acces-group 101 out TCP 7001 7004 Destination IP Source IP Port DstPrt SrcPrt Destination Mac Vlan Port 172.16.22.57 172.16.10.123 TCP 7001 7004 00-90-b1-33-70-00 45 2/9 Le dernier type de masque de flux est le mode IP-flow. Il est référencé comme masque de flux total. Ce mode de flux est le plus significatif. • Le MLS-SE maintient une entrée MLS cache pour chaque flux IP. Une entrée IP-Flow inclut l'adresse IP source, l'adresse IP destination, le protocole et les ports de protocole. Ce mode est utilisé s'il y a une liste d'accès étendue sur une interface MLS. cch cch