무선 공학 학사
NVision Group CJSC NVision-Siberia 지사 연수생 엔지니어
SibSUTI 석사
컨설턴트: Maramzin Valery Valentinovich, 수석 설계 엔지니어 네트워크 및 데이터 전송 시스템 방향 NVision Group
주석:
이 문서에서는 링크 및 네트워크 수준에서 네트워크 토폴로지를 결정하기 위한 방법론의 요소에 대해 설명합니다.
이 문서에서는 데이터 링크 및 네트워크 계층에서 네트워크 토폴로지를 결정하기 위한 방법론의 요소를 설명합니다.
키워드:
토폴로지, 프로토콜
토폴로지, 프로토콜
UDC 004.722
현재 각 대기업에는 자체 내부 로컬 네트워크 인프라가 있습니다. 내부 네트워크에는 직접 워크스테이션과 "호스트" 개념에 속하는 기타 네트워크 장치가 모두 포함됩니다.
호스트(영어 호스트에서) - TCP/IP 프로토콜 스택의 끝 노드입니다. 가장 일반적인 네트워크 장치는 라우터와 스위치입니다.
회사가 클수록 인트라넷 리소스와 기타 서비스 및 지속적으로 유지 관리하고 모니터링해야 하는 중첩된 구조를 모두 포함하는 네트워크가 더 방대하고 다양해집니다. 고품질 네트워크 모니터링, 빠른 문제 해결 및 비상 상황, 채널 장애 식별 및 네트워크 토폴로지를 알아야 하는 기타 문제 해결을 위한 것입니다.
네트워크 토폴로지는 그래프의 구성으로, 정점은 네트워크(컴퓨터) 및 통신 장비(라우터, 스위치)의 끝 노드에 해당하고 가장자리는 정점 사이의 물리적 또는 정보 링크에 해당합니다.
대부분의 경우 토폴로지 유형은 네트워크의 전체 웹이 하나 이상의 강력한 루트 서버인 라우터에서 분기될 때 느슨하게 연결된 계층적 트리입니다. 그리고 로컬 네트워크가 클수록 아키텍처에 대한 지식이 없는 상태에서 오작동을 유지하고 감지하기가 더 어렵습니다.
물론 현재로서는 네트워크 그래프에 포함된 모든 노드의 표시와 함께 네트워크 그래프를 시각화할 수 있는 기성 솔루션이 있습니다. 여기에는 자동 모드에서 작동하고 개체의 실제 상태를 항상 올바르게 표시하지 않는 다양한 네트워크 관리 패키지가 포함됩니다.
예를 들어, Hewlett-Packard의 HP OpenView 네트워크 노드 관리자 및 이와 유사한 제품은 L3 토폴로지 정보를 제공하지만 네트워크 장치 연결 및 연결 해제에 대한 정보는 거의 제공하지 않습니다. 즉, 네트워크 노드와 이들 사이의 기존 연결을 효과적으로 검색하려면 L2 수준에서 토폴로지를 결정하는 수단으로 작동하고 스위치 및 라우터 수준에서 연결 검색 모드로 작동해야 합니다.
자체 CDP 프로토콜을 개발한 Cisco Systems, Nortel Networks와 같은 특정 대규모 네트워크 장비 제조업체의 다른 솔루션이 있으며 LLDP는 대규모 엔터프라이즈 네트워크 서비스를 위한 표준입니다. 그러나 문제는 다음과 같습니다. 종종 많은 네트워크가 여러 제조업체의 장비에 구현되고 여러 가지 이유로 매개 변수 또는 기본 설정이 선택됩니다.
따라서 장비 공급업체 및 기타 조건에 관계없이 네트워크 및 해당 노드를 분석하기 위해 분기 알고리즘을 사용하고 결과를 단순화된 시각적으로 제공하는 네트워크 토폴로지를 결정하는 보편적인 방법을 개발해야 합니다. 예를 들어, 네트워크 연결 그래프를 구축함으로써 형성할 수 있습니다.
이것은 다음과 같이 할 수 있습니다. 알고리즘에 대한 입력 데이터는 네트워크 루트 장치 중 하나와 해당 IP 주소의 인증 매개변수가 됩니다. 거기에서 각 장치에 대한 정보 수집은 일련의 특정 작업을 사용하여 직렬 SNMP 폴링을 통해 시작됩니다.
먼저 해당 장치의 특정 장치에서 활성화되고 지원되는 프로토콜을 설정해야 합니다. 초기 분석에는 LLDP 및 CDP의 활동 확인이 포함되어야 합니다. 이는 네트워크에서 장치 간의 근접성을 감지하는 가장 간단한 방법입니다. LLDP(Link Layer Discovery Protocol)는 네트워크 장치가 자신과 해당 기능에 대한 정보를 네트워크에 알리고 인접 장치에 대한 이 정보를 수집할 수 있도록 하는 링크 계층 프로토콜입니다.
CDP(Cisco Discovery Protocol)는 연결된(직접 또는 첫 번째 레이어 장치를 통해) Cisco 네트워크 장비, 이름, IOS 버전 및 IP 주소를 검색할 수 있도록 하는 Cisco Systems에서 개발한 링크 레이어 프로토콜입니다.
따라서 장치가 이러한 프로토콜 중 하나를 지원하는 경우 알고리즘은 인접 장치에 대한 모든 정보가 포함된 MIB 테이블(Management Information Base)의 해당 섹션에 즉시 액세스합니다. 여기에는 IP 주소, 포트 정보, 섀시 정보 및 장치 유형이 포함됩니다.
LLDP/CDP 지원이 없는 경우 확인의 두 번째 단계는 활성 인터페이스 및 ARP 테이블에 대한 정보를 얻기 위해 현재 장치의 로컬 MIB에 대한 SNMP 폴링입니다.
이 경우 우선 스위치에서 확인 절차가 시작됩니다. 스위치의 ARP 테이블(Address Resolution Protocol)을 사용하여 알고리즘은 MAC 주소 — IP 주소 — 인터페이스 — TTL 간의 대응 형태로 연결된 각 장치에 대한 정보를 수신합니다.
인접 장치에 대한 검색은 ARP 테이블에서 찾은 모든 MAC 주소에 대한 순차 유니캐스트 폴링을 통해 수행되어야 합니다. MAC 주소로 검색된 장치의 ARP 요청에 대한 응답과 응답을 받은 인터페이스를 수정하면 해당 장치가 네트워크에서 발견된 사실이 됩니다. 이웃을 식별한 후 MAC 주소 일치 절차를 수행합니다. 두 번째 장치의 MAC 주소 요청에 대한 응답이 첫 번째 장치의 인터페이스에 도착하고 그 반대의 경우 두 번째 장치의 인터페이스에서 응답을 수신합니다. 첫 번째 MAC 주소의 요청에 따라 이것은 두 노드 간의 보장된 통신 회선입니다. 결과적으로 이웃에 대한 정보에는 노드 간의 통신 회선뿐만 아니라 노드가 연결된 인터페이스에 대한 정보도 포함됩니다.
MAC 주소로 장치의 이웃 확인
그런 다음 알고리즘은 다음 스위치로 전환하고 검증 절차를 반복하여 이미 방문한 장치와 해당 매개변수에 대한 항목을 로그 파일에 남기고 네트워크의 각 노드를 순차적으로 통과합니다.
이 방법을 설계하고 알고리즘을 개발할 때 올바른 작동을 위한 몇 가지 조건을 놓치지 않아야 합니다.
- 장치에는 SNMP 프로토콜이 활성화되어 있어야 하며 버전 3이 바람직합니다.
- 알고리즘은 가상 인터페이스를 실제 인터페이스와 구별하고 실제 물리적 연결을 기반으로 연결 그래프를 작성할 수 있어야 합니다.
서지 목록:
1. 올리퍼 V.G., 올리퍼 N.A. 컴퓨터 네트워크. 원칙, 기술, 프로토콜(4판) - SPb .: Peter, 2010 .-- 944s
2. LLDP(링크 계층 탐색 프로토콜). 액세스 모드: http://xgu.ru/wiki/LLDP (액세스 날짜 2014년 3월 12일)
3. Cisco Discovery Protocol(CDP) 액세스 모드: http://ru.wikipedia.org/wiki/CDP(액세스 날짜 03/12/2014)
리뷰:
2014년 3월 13일, 21:09 클린코프 게오르기 토도로프
검토: 네트워크 토폴로지는 특히 방화벽 기술(Active-Active 토폴로지, 비대칭 라우팅 Cisco MSFC 및 FWSM)과 관련하여 효율적인 라우팅 및 데이터 교환이 필요하다는 점을 염두에 두어야 합니다. PBR 또는 ECMP 라우팅을 사용하여 FWSM 균형 조정 NAC - 토폴로지의 위치. IDS와 IPS의 아키텍처.
2014년 3월 13일, 22:08 Nazarova Olga Petrovna
검토: 마지막 단락은 지침입니다. 철수 없음. 수정하다.
2014년 3월 17일, 오전 9시 44분 Nazarova Olga Petrovna
검토: 인쇄용으로 권장합니다.
이것은 "어린이를 위한 네트워크" 시리즈의 첫 번째 기사입니다. Maxim(Gluck)과 저는 라우팅, VLAN "s, 장비 구성 등 어디서부터 시작해야 할지 오랫동안 생각했습니다. 결국 우리는 기본적으로 시작하기로 결정했으며 가장 중요한 것은 계획이라고 할 수 있습니다. 주기 이후 완전히 초보자를 위해 설계되었습니다. 우리는 처음부터 끝까지 갈 것입니다.
최소한 OSI 참조 모델, TCP/IP 프로토콜 스택, 기존 VLAN 유형, 현재 가장 널리 사용되는 포트 기반 VLAN 및 IP 주소에 대해 알고 있다고 가정합니다. 우리는 OSI와 TCP/IP가 초보자에게 무서운 단어라는 것을 알고 있습니다. 그러나 걱정하지 마십시오. 우리는 당신을 위협하는 데 사용하지 않습니다. 이것은 당신이 매일 만나야 하는 것이므로 이 주기 동안 우리는 그것들의 의미와 현실과의 관계를 밝히려고 노력할 것입니다.
문제를 설정하여 시작하겠습니다. 예를 들어 위쪽으로만 올라가는 엘리베이터를 생산하는 회사가 있어서 LLC Lift mi ap이라고 합니다. 그들은 Arbat의 오래된 건물에 있으며, 타서 타버린 10Base-T 스위치에 걸린 썩은 전선은 기가비트 카드를 통해 새 서버가 연결될 것으로 기대하지 않습니다. 따라서 그들은 네트워크 인프라에 대한 치명적인 요구를 가지고 있으며 암탉은 돈을 쪼아 먹지 않기 때문에 무제한 선택이 가능합니다. 이것은 모든 엔지니어에게 멋진 꿈입니다. 그리고 어제 면접을 통과했고 어려운 투쟁에서 네트워크 관리자의 자리를 정당하게 얻었습니다. 그리고 이제 당신은 그 분야에서 처음이자 유일한 사람입니다. 축하합니다! 무엇 향후 계획?
상황은 다소 구체적이어야 합니다.
- 현재 회사에는 두 개의 사무실이 있습니다. 아르바트에 200개의 작업 공간과 서버 룸이 있습니다. 여러 공급자가 표시됩니다. Rublevka에 대한 또 다른.
- 네 개의 사용자 그룹이 있습니다: 회계(B), 재무 및 경제 부서(FEO), 생산 및 기술 부서(PTO), 기타 사용자(D). 또한 별도의 그룹에 배치된 서버(C)가 있습니다. 모든 그룹은 구분되며 서로 직접 액세스할 수 없습니다.
- 그룹 C, B 및 FEO의 사용자는 Arbat의 사무실에만 있고 PTO 및 D는 두 사무실에 모두 있습니다.
사용자 수, 필요한 인터페이스, 통신 채널을 추정한 후 네트워크 다이어그램과 IP 계획을 준비합니다.
네트워크를 설계할 때 "평면 네트워크"에 비해 많은 이점이 있는 계층적 네트워크 모델을 고수해야 합니다.
- 네트워크 구성에 대한 이해를 단순화합니다.
- 이 모델은 모듈화를 의미합니다. 즉, 필요한 곳에 정확히 용량을 늘리는 것이 쉽습니다.
- 문제를 더 쉽게 찾고 격리
- 장치 및/또는 연결의 중복으로 인한 내결함성 증가
- 다양한 장치에 걸쳐 네트워크의 운용성을 보장하기 위한 기능의 분배.
이 모델에 따르면 네트워크는 세 가지 논리적 수준으로 나뉩니다. 네트워크의 핵심(코어 레이어: 고성능 장치, 주요 목적은 빠른 전송), 유통율(분산 계층: VLAN에서 보안 정책, QoS, 집계 및 라우팅을 시행하고 브로드캐스트 도메인을 정의), 액세스 수준(액세스 계층: 일반적으로 L2 스위치, 목적: 최종 장치 연결, QoS를 위한 트래픽 표시, 네트워크의 링(STP) 및 브로드캐스트 폭풍에 대한 보호, PoE 장치에 전원 공급).
우리와 같은 규모에서는 각 장치의 역할이 희석되지만 네트워크를 논리적으로 분리하는 것은 가능합니다.
대략적인 다이어그램을 만들어 보겠습니다.
제시된 다이어그램에서 코어(Core)는 라우터 2811이 되고 스위치 2960은 모든 VLAN을 공통 트렁크로 집계하기 때문에 분배 레벨(Distribution)로 지칭됩니다. 2950 스위치는 액세스 장치가 됩니다. 최종 사용자, 사무 장비 및 서버가 여기에 연결됩니다.
우리는 장치의 이름을 다음과 같이 지정할 것입니다. 축약된 도시 이름( MSK) - 지리적 위치(거리, 건물)( 아르바트) - 네트워크에서 장치의 역할 + 시퀀스 번호.
역할과 위치에 따라 선택합니다. 호스트 이름:
- 라우터 2811: msk-arbat-gw1(gw = 게이트웨이 = 게이트웨이);
- 스위치 2960: msk-arbat-dsw1(dsw = 분배 스위치);
- 스위치 2950: msk-arbat-aswN, msk-rubl-asw1(asw = 액세스 스위치).
네트워크 문서
전체 네트워크는 회로도에서 인터페이스 이름에 이르기까지 엄격하게 문서화되어야 합니다.
구성을 진행하기 전에 필요한 문서 및 작업 목록을 제공하고 싶습니다.
- OSI 모델(물리적, 채널, 네트워크)의 계층에 따른 네트워크 다이어그램 L1, L2, L3;
- IP 주소 지정 계획 = IP 계획;
- VLAN 목록;
- 서명( 설명) 인터페이스;
- 장치 목록(각각에 대해 하드웨어 모델, 설치된 IOS 버전, RAM \ NVRAM 크기, 인터페이스 목록을 지정해야 함);
- 전원 및 접지 케이블 및 장치를 포함하여 케이블의 레이블(어디서 어디로 가는지)
- 위의 모든 매개변수 및 기타 매개변수를 정의하는 단일 규정.
시뮬레이션 프로그램에서 따라야 할 내용은 굵은 글씨로 강조 표시되어 있습니다. 물론 문서 및 구성을 최신 상태로 유지하려면 모든 네트워크 변경 사항을 적용해야 합니다.
케이블의 라벨/스티커에 대해 이야기할 때 다음을 의미합니다.
이 사진에서 각 케이블이 표시되어 있음을 명확하게 알 수 있으며 랙의 대시보드에 있는 각 기계의 의미와 각 장치를 확인할 수 있습니다.
우리는 필요한 서류를 준비할 것입니다:
VLAN 목록
각 그룹은 별도의 VLAN에 할당됩니다. 이렇게 하면 브로드캐스트 도메인이 제한됩니다. 또한 장치 관리를 위한 특수 VLAN도 도입할 예정입니다. VLAN 번호 4~100은 향후 사용을 위해 예약되어 있습니다.
IP 계획
서브넷 할당은 일반적으로 임의적이며 가능한 성장을 고려하여 이 로컬 네트워크의 노드 수에만 해당합니다. 이 예에서 모든 서브넷에는 표준 마스크 / 24(/24=255.255.255.0)가 있습니다. 이는 로컬 네트워크에서 자주 사용되지만 항상 그런 것은 아닙니다. 네트워크 클래스에 대해 읽는 것이 좋습니다. 앞으로 우리는 클래스리스 주소 지정(cisco)으로 전환할 것입니다. 우리는 Wikipedia의 기술 기사에 대한 링크가 나쁜 매너라는 것을 이해하지만 좋은 정의를 제공하고 이것을 실제 세계의 그림으로 옮기도록 노력할 것입니다.
지점간 네트워크는 한 라우터에서 다른 라우터로의 지점간 연결입니다. 일반적으로 마스크가 30인 주소가 사용됩니다(클래스 없는 네트워크 주제로 돌아가기). 즉, 두 개의 호스트 주소가 포함됩니다. 나중에 이것이 무엇에 관한 것인지 분명해질 것입니다.
| IP 주소 | 메모 | VLAN |
|---|---|---|
| 172.16.0.0/16 | ||
| 172.16.0.0/24 | 서버 팜 | 3 |
| 172.16.0.1 | 게이트웨이 | |
| 172.16.0.2 | 편물 | |
| 172.16.0.3 | 파일 | |
| 172.16.0.4 | 우편 | |
| 172.16.0.5 — 172.16.0.254 | 예약 된 | |
| 172.16.1.0/24 | 제어 | 2 |
| 172.16.1.1 | 게이트웨이 | |
| 172.16.1.2 | msk-arbat-dsw1 | |
| 172.16.1.3 | msk-arbat-asw1 | |
| 172.16.1.4 | msk-arbat-asw2 | |
| 172.16.1.5 | msk-arbat-asw3 | |
| 172.16.1.6 | msk-rubl-aswl | |
| 172.16.1.6 — 172.16.1.254 | 예약 된 | |
| 172.16.2.0/24 | 지점간 네트워크 | |
| 172.16.2.1 | 게이트웨이 | |
| 172.16.2.2 — 172.16.2.254 | 예약 된 | |
| 172.16.3.0/24 | 수의사 | 101 |
| 172.16.3.1 | 게이트웨이 | |
| 172.16.3.2 — 172.16.3.254 | 사용자 풀 | |
| 172.16.4.0/24 | FEO | 102 |
| 172.16.4.1 | 게이트웨이 | |
| 172.16.4.2 — 172.16.4.254 | 사용자 풀 | |
| 172.16.5.0/24 | 회계 부서 | 103 |
| 172.16.5.1 | 게이트웨이 | |
| 172.16.5.2 — 172.16.5.254 | 사용자 풀 | |
| 172.16.6.0/24 | 다른 사용자 | 104 |
| 172.16.6.1 | 게이트웨이 | |
| 172.16.6.2 — 172.16.6.254 | 사용자 풀 |
항만별 장비 연결 계획
물론 지금은 1Gb 이더넷 포트가 많은 스위치가 있고 10G가 있는 스위치가 있으며 40Gb는 수천 달러에 달하는 고급 운영자 하드웨어에서 사용할 수 있으며 100Gb는 개발 중입니다. 산업 생산으로 출시된 보드). 따라서 예산을 잊지 않고 필요에 따라 실제 세계에서 스위치와 라우터를 선택할 수 있습니다. 특히, 기가비트 스위치는 이제 저렴하게(20-30,000) 구입할 수 있으며 이는 미래에 대한 마진이 있습니다(물론 공급자가 아닌 경우). 기가비트 포트가 있는 라우터는 이미 100Mbps 포트가 있는 라우터보다 훨씬 비싸지만 FE 모델(100Mbps FastEthernet)이 구식이고 대역폭이 매우 낮기 때문에 가치가 있습니다.
그러나 우리가 사용할 에뮬레이터/시뮬레이터 프로그램에는 불행히도 간단한 장비 모델만 있으므로 네트워크를 모델링할 때 cisco2811 라우터, cisco2960 및 2950 스위치에서 시작합니다.
| 장치 이름 | 포트 | 이름 | VLAN | |
|---|---|---|---|---|
| 접속하다 | 트렁크 | |||
| msk-arbat-gw1 | FE0 / 1 | 업링크 | ||
| FE0 / 0 | msk-arbat-dsw1 | 2,3,101,102,103,104 | ||
| msk-arbat-dsw1 | FE0 / 24 | msk-arbat-gw1 | 2,3,101,102,103,104 | |
| GE1 / 1 | msk-arbat-asw1 | 2,3 | ||
| GE1 / 2 | msk-arbat-asw3 | 2,101,102,103,104 | ||
| FE0 / 1 | msk-rubl-asw1 | 2,101,104 | ||
| msk-arbat-asw1 | GE1 / 1 | msk-arbat-dsw1 | 2,3 | |
| GE1 / 2 | msk-arbat-asw2 | 2,3 | ||
| FE0 / 1 | 웹 서버 | 3 | ||
| FE0 / 2 | 파일 서버 | 3 | ||
| msk-arbat-asw2 | GE1 / 1 | msk-arbat-asw1 | 2,3 | |
| FE0 / 1 | 메일 서버 | 3 | ||
| msk-arbat-asw3 | GE1 / 1 | msk-arbat-dsw1 | 2,101,102,103,104 | |
| FE0 / 1-FE0 / 5 | 유급휴가 | 101 | ||
| FE0 / 6-FE0 / 10 | FEO | 102 | ||
| FE0 / 11-FE0 / 15 | 회계 | 103 | ||
| FE0 / 16-FE0 / 24 | 다른 | 104 | ||
| msk-rubl-asw1 | FE0 / 24 | msk-arbat-dsw1 | 2,101,104 | |
| FE0 / 1-FE0 / 15 | 유급휴가 | 101 | ||
| FE0 / 20 | 관리자 | 104 | ||
VLAN이 할당되는 이유는 다음 섹션에서 설명합니다.
네트워크 다이어그램
이 데이터를 기반으로 이 단계에서 세 가지 네트워크 다이어그램을 모두 작성할 수 있습니다. 이렇게 하려면 Microsoft Visio, 일부 무료 응용 프로그램을 사용할 수 있지만 형식에 바인딩되어 있거나 그래픽 편집기를 사용할 수 있습니다(손으로 작성할 수도 있지만 최신 상태로 유지하기는 어려울 것입니다 :)).
오픈 소스를 홍보하기 위한 것이 아니라 Dia를 사용하기 위한 다양한 기금. 나는 그것이 Linux를 위한 최고의 회로도 응용 프로그램 중 하나라고 생각합니다. Windows용 버전이 있지만 불행히도 visio에는 호환성이 없습니다.
L1
즉, L1 다이어그램에서 네트워크의 물리적 장치를 포트 번호로 반영합니다.
L2
L2 다이어그램에서 VLAN을 나타냅니다.
L3
이 예에서 세 번째 수준 체계는 라우팅 장치가 하나만 있기 때문에 다소 쓸모없고 명확하지 않은 것으로 나타났습니다. 그러나 시간이 지남에 따라 세부 사항으로 가득 차게 될 것입니다.
보시다시피 문서의 정보는 중복됩니다. 예를 들어 VLAN 번호는 다이어그램과 계획에서 포트별로 반복됩니다. 여기에서 말하자면, 누가 무엇을 위해 좋은지. 그것이 당신에게 더 편리하기 때문에 그렇게하십시오. 이러한 중복성은 한 번에 여러 곳에서 수정해야 하기 때문에 구성 변경 시 업데이트를 어렵게 하지만 한편으로는 이해하기 쉽게 만듭니다.
항상 원래 계획했던 대로 돌아가야 하는 것처럼 앞으로 이 첫 번째 기사로 다시 돌아올 것입니다. 사실, 이 작업은 이제 막 배우기 시작하고 이를 위해 노력할 준비가 된 사람들을 위한 것입니다. VLAN, IP 주소 지정, 패킷 추적기 및 GNS3 프로그램 찾기에 대해 많이 읽으십시오. 기본적인 이론적 지식에 관해서는 Cisco 언론사를 읽기 시작하는 것이 좋습니다. 이것은 당신이 확실히 알아야 할 것입니다. 다음 부분에서는 비디오를 통해 모든 것이 성인 방식으로 진행되며 장비에 연결하고 인터페이스를 처리하며 비밀번호를 잊어버린 부주의한 관리자에게 어떻게 해야 하는지 알려줍니다.
원본 기사:
태그:
시스코L2 스위치 구매
스위치는 현대 통신 네트워크의 가장 중요한 구성 요소입니다. 카탈로그의 이 섹션에는 관리형 레이어 2 기가비트 이더넷 스위치와 비관리형 고속 이더넷 스위치가 모두 포함됩니다. 해결해야 할 작업에 따라 액세스 수준(2단계), 집선 및 코어의 스위치 또는 다중 포트와 고성능 버스가 있는 스위치가 선택됩니다.
장치의 작동 원리는 스위치에 연결된 장치의 IP 또는 MAC 주소에 대한 포트의 대응에 대한 데이터를 저장하는 것입니다.
네트워킹 다이어그램
고속화를 위해 GE(Gigabit Ethernet) 및 10GE(10Gigabit Ethernet) 스위치를 사용하는 정보 전송 기술이 널리 사용됩니다. 특히 대규모 네트워크에서 고속으로 정보를 전송하려면 고속 스트림을 유연하게 배포할 수 있는 네트워크 토폴로지를 선택해야 합니다.
관리 계층 2 스위치를 사용하여 네트워크를 생성하는 다계층 접근 방식은 이러한 문제를 최적으로 해결합니다. 계층적 수준의 형태로 네트워크 아키텍처 생성을 의미하고 다음을 허용하기 때문입니다.
- 전체 네트워크에 영향을 주지 않고 모든 수준에서 네트워크를 확장합니다.
- 다른 수준을 추가하십시오.
- 필요에 따라 네트워크 기능을 확장합니다.
- 문제 해결을 위한 리소스 비용 최소화
- 네트워크 혼잡 문제를 신속하게 해결합니다.
제안된 장비를 기반으로 하는 네트워크의 주요 응용 프로그램은 다양한 유형의 트래픽(IP 네트워크)의 범용 전송을 통해 구현되는 Triple Play 서비스(IPTV, VoIP, 데이터), VPN입니다.
두 번째 수준의 기가비트 이더넷 기술의 관리형 스위치를 사용하면 세 가지 수준의 계층으로 구성된 네트워크 아키텍처를 만들 수 있습니다.
- 코어 레이어... 코어 스위치로 구성됩니다. 장치 간의 통신은 "중복 링" 방식에 따라 광섬유 케이블을 통해 수행됩니다. 코어 스위치는 높은 네트워크 처리량을 지원하고 주요 도시 센터 간(예: 도시 지역 간) 10기가비트 전송을 허용합니다. 계층의 다음 수준인 배포 수준으로의 전환은 광 XFP 포트를 통해 10기가비트 속도로 광 채널을 통해 수행됩니다. 이 장치는 L2에서 L4까지의 넓은 대역폭과 패킷 처리가 특징입니다.
- 유통층... 에지 스위치에 의해 형성됩니다. 통신은 "중복 링" 방식에 따라 광섬유 케이블을 통해 수행됩니다. 이 수준을 사용하면 주거 지역이나 건물 그룹 사이와 같이 사용자의 혼잡 지점 간에 10기가비트 속도로 스트림 전송을 구성할 수 있습니다. 분배 계층의 스위치를 하위 계층에 연결 - 액세스 계층은 광학 SFP 포트를 통해 광학 1기가비트 이더넷 채널을 통해 수행됩니다. 이러한 장치의 특징: L2에서 L4까지의 광대역 및 패킷 처리, 광학 링이 끊어졌을 때 10ms 이내에 통신을 복원할 수 있는 EISA 프로토콜 지원.
- 액세스 계층... 관리되는 레이어 2 스위치로 구성됩니다. 통신은 1기가비트 속도로 광섬유 케이블을 통해 수행됩니다. 액세스 계층 스위치는 전기 인터페이스만 있는 그룹과 해당 계층에 링을 만들고 분배 계층에 연결하기 위한 광학 SFP 포트도 있는 그룹으로 나눌 수 있습니다.
2000년 인류가 세상의 종말을 애타게 기다리던 모습을 이제 나는 상냥한 미소로 기억합니다. 그런 다음 이것은 일어나지 않았지만 완전히 다른 사건이 발생했으며 매우 중요했습니다.
역사적으로 그 당시 세계는 실제 컴퓨터 혁명 v. 3.0. - 시작 분산 데이터 저장 및 처리의 클라우드 기술... 또한 이전의 "두 번째 혁명"이 80년대 "클라이언트-서버" 기술로의 대규모 전환이었다면 첫 번째는 소위 연결된 별도의 터미널을 사용하는 동시 사용자 작업의 시작으로 간주될 수 있습니다. "메인프레임"(지난 세기의 60년대). 이러한 혁명적 변화는 사용자에게 평화롭고 눈에 띄지 않게 발생했지만 정보 기술과 함께 비즈니스 세계 전체에 영향을 미쳤습니다.
IT 인프라를 원격 데이터 센터(데이터 처리 센터)로 이전할 때 핵심 문제는 즉시 고객과의 안정적인 통신 채널 구성입니다. 인터넷에는 "물리적 임대 회선, 광섬유", "L2 채널", "VPN"등과 같은 공급자의 제안이 종종 있습니다. 실제로 이것 뒤에 무엇이 있는지 알아 보겠습니다.
통신 채널 - 물리적 및 가상
1. "물리적 회선" 또는 "2차 채널, L2"의 구성은 일반적으로 공급자가 전용 케이블(구리 또는 광섬유)을 제공하는 서비스 또는 사무실과 데이터가 있는 사이트 사이의 무선 채널이라고 합니다. 센터 장비가 배치됩니다. 실제로 이 서비스를 주문하면 전용 광섬유 채널을 임대하게 될 가능성이 큽니다. 이 솔루션은 공급자가 안정적인 통신을 담당하기 때문에 매력적입니다(케이블 손상 시 자체적으로 채널의 작동성을 복원함). 그러나 실생활에서 케이블은 전체적으로 견고하지 않습니다. 많은 연결(용접) 조각으로 구성되어 있어 안정성이 다소 떨어집니다. 광섬유 케이블을 부설하는 과정에서 공급자는 끝점에서 증폭기, 분배기 및 모뎀을 사용해야 합니다.
마케팅 자료에서는 이 솔루션을 조건부로 OSI 또는 TCP/IP 네트워크 모델의 L2(Data-Link) 계층이라고 합니다. 다음 IP 네트워크 계층에서 많은 패킷 라우팅 문제가 발생합니다. 예를 들어, 등록된 고유 공용 주소 대신 클라이언트 가상 네트워크에서 소위 "비공개" IP 주소를 계속 사용할 수 있습니다. 로컬 네트워크에서 개인 IP 주소를 사용하는 것이 매우 편리하기 때문에 기본 주소 지정 클래스의 특수 범위가 사용자에게 할당되었습니다.
- 클래스 A의 10.0.0.0 - 10.255.255.255(대체 마스크 표기 형식의 마스크 255.0.0.0 또는 / 8 사용);
- 100.64.0.0 - 100.127.255.255 클래스 A(마스크 255.192.0.0 또는 / 10 사용);
- 172.16.0.0 - 172.31.255.255 클래스 B(마스크 255.240.0.0 또는 / 12 사용);
- 192.168.0.0 - 192.168.255.255 클래스 C(마스크 255.255.0.0 또는 / 16 포함).
이러한 주소는 "내부 사용"을 위해 사용자가 직접 선택하며 수천 개의 클라이언트 네트워크에서 동시에 반복될 수 있으므로 헤더에 개인 주소가 있는 데이터 패킷이 인터넷에서 라우팅되지 않아 혼동을 방지할 수 있습니다. 인터넷에 액세스하려면 클라이언트 측에서 NAT(또는 다른 솔루션)를 사용해야 합니다.
참고: NAT - 네트워크 주소 변환(TCP/IP 네트워크에서 전송 패킷의 네트워크 주소를 대체하는 메커니즘은 클라이언트의 로컬 네트워크에서 다른 네트워크/인터넷으로 패킷을 라우팅하고 반대 방향으로 클라이언트의 LAN으로 라우팅하는 데 사용됩니다. 목적지).
이 접근 방식(그리고 우리는 전용 채널에 대해 이야기하고 있음)에도 분명한 단점이 있습니다. 고객의 사무실이 이동하는 경우 새 위치에 연결하는 데 심각한 어려움이 있을 수 있으며 공급자를 변경해야 할 수도 있습니다.
그러한 채널이 훨씬 더 안전하고 악의적인 공격과 저숙련 기술 인력의 실수로부터 더 잘 보호된다는 주장은 자세히 조사하면 신화로 판명됩니다. 실제로 보안 문제는 인적 요소의 참여와 함께 클라이언트 측에서 직접 발생하는 경우가 많습니다(또는 해커가 의도적으로 생성).
2. 가상 채널과 이를 기반으로 구축된 사설 VPN(가상 사설망) 네트워크가 널리 퍼져 있어 대부분의 클라이언트 작업을 해결할 수 있습니다.
공급자가 "L2 VPN"을 제공하는 것은 몇 가지 가능한 "2차 수준" 서비스인 L2를 선택한다고 가정합니다.
VLAN - 클라이언트는 사무실, 지점 간에 가상 네트워크를 수신합니다(실제로 클라이언트의 트래픽은 속도를 제한하는 공급자의 활성 장비를 통과합니다).
지점간 PWE3(즉, 패킷 교환 네트워크에서 "의사 종단 간 에뮬레이션") 이더넷 프레임이 마치 케이블로 연결된 것처럼 두 노드 간에 전송될 수 있습니다. 이 기술에서 클라이언트는 전송된 모든 프레임을 변경 없이 원격 지점으로 전달하는 것이 필수적입니다. 반대 방향에서도 같은 일이 일어납니다. 이것은 공급자의 라우터에 도달하는 클라이언트의 프레임이 더 높은 수준의 데이터 블록(MPLS 패킷)으로 더 캡슐화(추가)되고 끝점에서 추출된다는 사실 때문에 가능합니다.
참고: PWE3 - Pseudo-Wire Emulation Edge to Edge(사용자의 관점에서 전용 연결을 수신하는 메커니즘).
MPLS - MultiProtocol Label Switching (패킷에 전송/서비스 레이블이 할당되고 네트워크에서 데이터 패킷의 전송 경로가 전송 매체에 관계없이 모든 프로토콜을 사용하여 레이블 값에 의해서만 결정되는 데이터 전송 기술입니다. 라우팅에서 새 레이블을 추가(필요한 경우)하거나 해당 기능이 종료되면 삭제할 수 있습니다(패키지의 내용은 분석되거나 변경되지 않음).
VPLS는 다지점 LAN 시뮬레이션 기술입니다. 이 경우 공급자의 네트워크는 네트워크 장치의 MAC 주소 테이블을 저장하는 클라이언트 측의 단일 스위치처럼 보입니다. 이러한 가상 "스위치"는 클라이언트 네트워크에서 온 이더넷 프레임을 의도된 목적에 따라 배포합니다. 이를 위해 프레임을 MPLS 패킷으로 캡슐화한 다음 추출합니다.
참고: VPLS는 가상 사설 LAN 서비스(사용자의 관점에서 볼 때 지리적으로 분산된 네트워크가 가상 L2 연결로 연결되는 메커니즘)입니다.
MAC - 미디어 액세스 제어(미디어 액세스 제어 방법 - 이더넷 네트워크에서 네트워크 장치(또는 해당 인터페이스)의 고유한 6바이트 주소 식별자).
3. "L3 VPN" 배포의 경우 공급자의 네트워크는 클라이언트의 눈에 여러 인터페이스가 있는 하나의 라우터처럼 보입니다. 따라서 클라이언트의 로컬 네트워크와 공급자의 네트워크의 연결은 OSI 또는 TCP/IP 네트워크 모델의 L3 수준에서 발생합니다.
네트워크 연결 지점에 대한 공용 IP 주소는 공급자와 합의하여 결정할 수 있습니다(클라이언트에 속하거나 공급자로부터 얻음). IP 주소는 양쪽 라우터에서 클라이언트가 구성합니다(개인 - 로컬 네트워크 측, 공개 - 공급자 측). 데이터 패킷의 추가 라우팅은 공급자가 제공합니다. 기술적으로 MPLS는 이러한 솔루션(위 참조)과 GRE 및 IPSec 기술을 구현하는 데 사용됩니다.
참고: GRE - 일반 라우팅 캡슐화(터널링 프로토콜, L3 네트워크 계층에서 프로토콜 캡슐화를 사용하여 두 끝점 사이에 안전한 논리적 연결을 설정할 수 있게 해주는 패킷 래핑).
IPSec - IP 보안(IP를 사용하여 전송되는 데이터를 보호하기 위한 프로토콜 집합. 인증, 암호화 및 패킷 무결성 검사가 사용됨).
현대 네트워크 인프라는 클라이언트가 계약에 의해 정의된 부분만 볼 수 있도록 구축되었음을 이해하는 것이 중요합니다. 전용 리소스(가상 서버, 라우터, 스토리지 및 백업 스토리지)와 실행 중인 프로그램 및 메모리 내용은 다른 사용자로부터 완전히 격리됩니다. 여러 물리적 서버가 하나의 강력한 서버 풀처럼 보이는 관점에서 하나의 클라이언트에 대해 동시에 작동할 수 있습니다. 반대로, 하나의 물리적 서버에서 많은 가상 머신을 동시에 생성할 수 있습니다(각각은 사용자에게 운영 체제가 있는 별도의 컴퓨터처럼 보일 것입니다). 표준 솔루션 외에도 고객 데이터 처리 및 저장 보안과 관련하여 승인된 요구 사항을 충족하는 개별 솔루션이 제공됩니다.
동시에 클라우드에 배치된 "L3 레벨" 네트워크의 구성을 통해 사실상 무제한 크기까지 확장할 수 있습니다(인터넷 및 대규모 데이터 센터는 이 원칙에 따라 구축됨). OSPF 및 기타 L3 클라우드 네트워크와 같은 동적 라우팅 프로토콜을 사용하면 데이터 패킷 라우팅을 위한 최단 경로를 선택하고 최상의 다운로드를 위해 여러 가지 방법으로 패킷을 동시에 전송하고 채널의 대역폭을 확장할 수 있습니다.
동시에 소규모 데이터 센터와 구식(또는 매우 구체적인) 클라이언트 애플리케이션에 일반적으로 사용되는 "L2 수준"에서 가상 네트워크를 배포할 수 있습니다. 이러한 경우에는 네트워크 호환성 및 애플리케이션 성능을 보장하기 위해 L3 over L2 기술도 사용됩니다.
요약하자면
오늘날 대부분의 경우 사용자/클라이언트의 작업은 보안을 위해 GRE 및 IPSec 기술을 사용하여 가상 사설 VPN 네트워크를 구성하여 효과적으로 해결할 수 있습니다.
L2 채널 제안을 만병 통치약인 네트워크에서 안정적인 통신을 구축하기 위한 최상의 솔루션으로 고려하는 것이 이치에 맞지 않는 것처럼 L2 및 L3에 반대하는 것은 거의 이치에 맞지 않습니다. 현대의 통신 채널과 공급자의 장비는 엄청난 양의 정보를 전달할 수 있으며 사용자가 임대한 많은 전용 채널은 실제로 활용도가 낮습니다. 작업의 세부 사항에 필요한 경우에만 L2를 사용하는 것이 합리적이며, 이러한 네트워크의 향후 확장 가능성에 대한 제한을 고려하고 전문가와 상의하십시오. 반면에 L3 VPN은 다른 모든 조건이 동일하므로 더 다양하고 사용하기 쉽습니다.
이 개요는 로컬 IT 인프라를 원격 데이터 센터로 전송할 때 사용되는 현대적인 일반적인 솔루션을 간략하게 나열합니다. 그들 각각은 고유 한 소비자, 장단점이 있으며 솔루션의 올바른 선택은 특정 작업에 따라 다릅니다.
실생활에서 네트워크 모델 L2와 L3의 두 수준이 함께 작동하며 각각은 자체 작업을 담당하고 광고에서 반대하며 공급자는 공개적으로 교활합니다.
L3 스위치순수 IP 라우팅만 수행할 수 있습니다. NAT, route-map 또는 트래픽 모양, 트래픽 카운팅 방법을 모릅니다. 스위치는 VPN 터널(사이트 간 VPN, 원격 액세스 VPN, DMVPN)과 함께 작동할 수 없으며 트래픽을 암호화하거나 상태 전체 방화벽 기능을 수행할 수 없으며 전화 통신 서버(디지털 PBX)로 사용할 수 없습니다.
레이어 3 스위치의 주요 장점은 서로 다른 L3 세그먼트의 트래픽을 빠르게 라우팅한다는 것입니다. 대부분 인터넷에 액세스할 수 없는 내부 트래픽입니다. ...
라우터는 인터넷 액세스를 제공합니다. NAT도 라우터에서 구성됩니다.
라우터에서 많은 수의 로컬 네트워크를 라우팅하는 것은 거의 불가능하며 QoS, NBAR ACL 및 인터페이스로 오는 트래픽 분석으로 이어지는 기타 기능을 사용할 때 서비스 저하 가능성이 높습니다. 대부분의 경우 로컬 트래픽이 100Mbps 이상의 속도를 초과하면 문제가 시작됩니다(특정 라우터 모델에 따라 다름). 반면에 스위치는 이 작업을 쉽게 처리할 수 있습니다.
주된 이유는 스위치는 CEF 테이블을 기반으로 트래픽을 라우팅합니다..
시스코 익스프레스 포워딩 (CEF) 고속 라우팅/패킷 스위칭 기술로 Cisco Systems의 3단계 라우터 및 스위치에 사용되며 전송 트래픽을 보다 빠르고 효율적으로 처리할 수 있습니다.
라우터도 CEF를 사용할 수 있지만 라우터에서 모든 트래픽을 분석하는 기능을 사용하면 트래픽이 프로세서를 통과하게 됩니다. 라우터 성능의 시작 부분에 제공된 라우터 성능 표에서 "Fast \ CEF 스위칭"(표 사용) 및 "프로세스 스위칭"(라우팅 결정은 프로세서에 의해 결정됨)과 비교하십시오.
전체적으로 라우터는 라우터가 트래픽 관리에 있어 매우 유연하지만 로컬 네트워크 내에서 작업할 때 상대적으로 성능이 낮다는 점에서 L3 스위치와 다릅니다. L3 스위치반대로 성능은 높지만 트래픽에 영향을 미치지 않고 처리합니다.
L2 스위치에 대해서는 액세스 수준에서만 사용되어 최종 사용자(네트워크 장비가 아님)의 연결을 제공한다고 말할 수 있습니다.
L2 스위치는 언제 사용하고 L3 스위치는 언제 사용합니까?
10명 이하의 소규모 지사에서는 스위치가 내장된 라우터(800 시리즈)나 ESW 확장 모듈(1800,1900 시리즈) 또는 ESG 모듈이 설치된 라우터 1개면 충분합니다.
50인 사무실에 중급 라우터 1개와 48포트 L2 스위치 1개(24포트 2개 가능)를 설치할 수 있습니다.
최대 200명이 있는 지점에서 라우터와 여러 개의 2단계 스위치를 사용합니다. 네트워크를 IP 주소 수준의 세그먼트로 여러 서브넷으로 나누고 라우터의 네트워크 간에 라우팅하는 경우 프로세서에 부하가 많이 걸리므로 패킷 삭제에 대한 성능 및 최종 사용자 불만. 대다수의 사용자가 L3 세그먼트 내에서만 컴퓨터, 서버, 프린터 및 기타 네트워크 장치와 통신하고 이 주소 공간의 제한을 인터넷 액세스에만 허용한다면 이 네트워크 설계는 만족스러울 것입니다. 네트워크를 확장할 때 트래픽이 이 부서 외부로 들어오지 않아야 하는 부서의 수, 다른 부서(우리의 경우 서브넷 또는 네트워크 세그먼트)가 서로 데이터를 교환해야 하는 경우 라우터의 성능은 충분하다.
직원이 200명 이상인 대규모 사무실에서는 고성능 Layer 3 스위치를 구매해야 합니다. 로컬 세그먼트의 모든 "기본 게이트웨이"를 지원합니다. 이 스위치와 호스트 간의 통신은 논리적 네트워크 인터페이스(인터페이스 VLAN 또는 SVI)를 통해 이루어집니다. 라우터는 인터넷과 사용자의 두 가지 연결만 있으면 됩니다. L3 스위치... 사용자는 다음을 통해 연결해야 합니다. L2 스위치기가비트 연결을 사용하여 L3 스위치에 별 또는 링으로 연결되므로 기가비트 포트가 있는 L3 스위치가 편리합니다. 따라서 네트워크의 중심은 L3 스위치핵심 기능과 배포 기능을 동시에 담당하는 L2 스위치는 액세스 수준의 스위치이며 인터넷에 연결하거나 터널을 통해 원격 사무실과 통신하기 위한 게이트웨이 역할을 하는 라우터입니다.
실제로 500명이 넘는 대규모 캠퍼스 네트워크와 성능 및 기능 요구 사항이 높은 경우 사용자를 연결하기 위해 액세스 수준에서도 L3 스위치를 설치해야 할 수 있습니다. 다음과 같은 이유 때문일 수 있습니다.
L2 스위치의 불충분한 성능(특히 기가비트 포트 및 서버 팜으로 사용되는 경우)
지원되는 활성 VLAN의 수가 충분하지 않음(255 대 L3의 경우 1000)
Q-n-Q 기능 부족
지원되는 ACL 항목 수가 충분하지 않음(2960 - 512, 3560 - 2000)
멀티캐스트 작업을 위한 제한된 옵션
L2 스위치의 불충분한 QoS 기능
"L3 액세스" 네트워크 아키텍처 - 즉. 로컬 서브넷의 라우팅 포인트는 액세스 수준으로 이동하고 이미 요약 된 경로는 배포 수준까지 제공 ...
배포 수준에서 L2 및 STP가 부족합니다.
