Licențiat în Inginerie Radio
inginer stagiar la filiala NVision Group CJSC NVision-Siberia
Masterand la SibGUTI
Consultant: Maramzin Valery Valentinovich, inginer principal proiectant Direcția de rețele și sisteme de transmisie a datelor NVision Group
Adnotare:
Articolul descrie elementele metodologiei de determinare a topologiei rețelei la nivelul legăturii de date și a rețelei
Acest articol descrie elementele metodologiei pentru determinarea topologiei rețelei la nivelul conexiunii de date și a rețelei
Cuvinte cheie:
topologie, protocoale
topologie, protocoale
UDC 004.722
În prezent, fiecare companie mare are propria infrastructură internă de rețea locală. Rețeaua internă include atât stațiile de lucru în sine, cât și orice alte dispozitive de rețea care se încadrează sub conceptul de „gazdă”.
Gazdă (din engleză Host) este nodul final din stiva de protocoale TCP/IP. Cel mai adesea, aceste dispozitive dintr-o rețea sunt routere și comutatoare.
Cum companie mai mare, cu atât mai mare și mai extinsă rețeaua sa, care include atât resurse intranet, cât și alte servicii și structuri imbricate care trebuie menținute și monitorizate în mod constant. Este în scopul monitorizării rețelei de înaltă calitate, depanării rapide și situațiilor de urgență, identificarea obstacolelor canalului și rezolvarea altor probleme de care aveți nevoie să cunoașteți topologia rețelei.
Topologia rețelei este configurația unui graf, ale cărui vârfuri corespund nodurilor terminale ale rețelei (calculatoare) și echipamentelor de comunicație (routere, comutatoare), iar marginile corespund conexiunilor fizice sau informaționale dintre vârfuri.
În cele mai multe cazuri, tipul de topologie este un arbore ierarhic parțial conectat, atunci când întreaga rețea web diverge de la unul sau mai multe servere rădăcină puternice, routere. Și cu cât rețeaua locală este mai mare, cu atât este mai dificilă întreținerea acesteia și detectarea defecțiunilor în absența cunoașterii arhitecturii acesteia.
Desigur, există în prezent câteva soluții gata făcute capabile să vizualizeze un grafic de rețea care indică toate nodurile sale. Acestea includ diverse pachete de gestionare a rețelei care funcționează mod automatși nu reflectând întotdeauna corect starea reală a obiectelor.
De exemplu, HP OpenView Network Node Manager de la Hewlett-Packard și diverse produse similare oferă informații despre topologia la nivel L3, dar nu oferă multe informații despre conectarea și deconectarea dispozitivelor de rețea. Adică, pentru a detecta eficient nodurile de rețea și conexiunile existente între ele, este necesar să se opereze cu instrumente de detectare a topologiei la nivelul L2, lucrând în modul de detectare a conexiunii la nivelul comutatoarelor și al routerelor.
Există și alte soluții de la producători specifici mari de echipamente de rețea, precum Cisco Systems, Nortel Networks, care și-au dezvoltat propriile protocoale CDP, LLDP - un standard pentru deservirea rețelelor de întreprinderi mari. Dar problema este aceasta: adesea multe rețele sunt implementate pe hardware diferiți producători, selectat dintr-un motiv sau altul, parametri sau preferințe.
Prin urmare, este nevoie de dezvoltare metoda universala pentru a determina topologia rețelelor, indiferent de furnizorul de echipamente și de alte condiții, care ar folosi un algoritm ramificat pentru analiza rețelei și nodurilor acesteia și ar oferi, de asemenea, rezultatele într-o formă vizuală simplificată, de exemplu, prin construirea unei conectivități de rețea grafic.
Acest lucru poate fi implementat după cum urmează. Datele de intrare pentru algoritm vor fi parametrii de autentificare ai unuia dintre dispozitivele rădăcină din rețea și adresa sa IP. De acolo, colectarea de informații despre fiecare dispozitiv va începe printr-un sondaj SNMP secvenţial folosind o anumită secvenţă de acţiuni.
Mai întâi trebuie să stabiliți ce protocoale sunt active și acceptate. dispozitiv specific, pe dispozitivul în cauză. Analiza primară ar trebui să includă verificarea activității protocoalelor LLDP și CDP - cele mai simple modalități de a detecta proximitatea dintre dispozitivele din rețea. Link Layer Discovery Protocol (LLDP) - protocol strat de legătură, permițând dispozitivelor din rețea să anunțe în rețea informații despre ele însele și capacitățile lor, precum și să colecteze aceste informații despre dispozitivele învecinate.
Cisco Discovery Protocol (CDP) este un protocol de nivel de legătură dezvoltat de Cisco Systems care vă permite să descoperiți cei conectați (direct sau prin intermediul dispozitivelor de prim nivel) hardware de rețea Cisco, numele său, versiunea IOS și adresele IP.
Astfel, dacă un dispozitiv acceptă unul dintre aceste protocoale, algoritmul accesează imediat secțiunile corespunzătoare din tabelul MIB (Management Information Base), care conține toate informațiile despre dispozitivele învecinate, dacă și-au făcut publicitate despre ei înșiși. Acestea includ adrese IP, informații despre porturi, informații despre șasiu și tipuri de dispozitive.
Dacă nu există suport LLDP/CDP, al doilea pas al verificării va fi un sondaj SNMP al MIB-ului local al dispozitivului curent pentru a obține informații despre interfețele sale active și tabelul ARP.
În acest caz, în primul rând, procedura de verificare este lansată pe comutatoare. Folosind tabelul ARP (Address Resolution Protocol) al switch-ului, algoritmul va obține informații despre fiecare dispozitiv conectat sub forma unei corespondențe MAC-adress ̶ IP-address ̶ interfață ̶ TTL
Căutarea dispozitivelor învecinate ar trebui efectuată prin sondare unicast secvențială a tuturor celor găsite în Tabelul ARP adrese MAC m. Răspunsul la o solicitare ARP de la dispozitivul dorit prin adresa MAC și fixarea interfeței de la care a fost primit răspunsul va deveni un fapt de detectare a dispozitivului în rețea. După ce am identificat vecinătatea, efectuăm procedura de potrivire a adreselor MAC: dacă interfața primului dispozitiv primește un răspuns la o solicitare pentru adresa MAC a celui de-al doilea dispozitiv și invers, interfața celui de-al doilea dispozitiv primește un răspuns la cererea pentru prima adresă MAC, atunci aceasta este o linie de comunicație garantată între două noduri. Ca urmare, informațiile de vecinătate conțin nu numai linia de comunicație între noduri, ci și informații despre interfețele prin care acestea sunt conectate.
Determinarea proximității dispozitivelor prin adrese MAC
În continuare, algoritmul trece la următorul comutator și repetă procedura de verificare, lăsând o înregistrare în fișierul jurnal despre dispozitivele deja vizitate și parametrii acestora, parcurgând astfel fiecare nod din rețea secvențial.
La proiectare aceasta metodași dezvoltarea algoritmului, nu trebuie să pierdeți din vedere câteva condiții pentru funcționarea corectă a acestuia:
- Dispozitivele trebuie să aibă suport pentru protocolul SNMP activat, de preferință versiunea 3.
- Algoritmul trebuie să poată distinge interfețe virtuale din cele reale și construiește un grafic de conectivitate bazat pe conexiuni fizice reale.
Bibliografie:
1. Olifer V.G., Olifer N.A. Retele de calculatoare. Principii, tehnologii, protocoale (ed. a IV-a) - Sankt Petersburg: Peter, 2010. - 944p
2. Link Layer Discovery Protocol (LLDP). Mod de acces: http://xgu.ru/wiki/LLDP (data accesării 03/12/2014)
3. Mod de acces Cisco Discovery Protocol (CDP): http://ru.wikipedia.org/wiki/CDP (accesat la 12 martie 2014)
Recenzii:
13.03.2014, 21:09 Klinkov Georgy Todorov
Revizuire: De asemenea, este necesar să se țină cont de faptul că topologia rețelei necesită rutare eficientă și comutare de date, în special în ceea ce privește tehnologia firewall - topologie Active-Active, rutare asimetrică Cisco MSFC și FWSM. Echilibrare FWSM folosind rutare PBR sau ECMP; NAC – locație în topologie; Arhitectura IDS și IPS.
13.03.2014, ora 22:08 Nazarova Olga Petrovna
Revizuire: Ultimul paragraf reprezintă recomandări. Nicio concluzie. Finalizează-l.
17.03.2014, ora 9:44 Nazarova Olga Petrovna
Revizuire: Recomandat pentru imprimare.
Acesta este primul articol din seria „Rețea pentru cei mici”. Maxim aka Gluck și cu mine ne-am gândit mult timp de unde să începem: rutare, VLAN-uri, configurarea echipamentelor.În final, am decis să începem cu lucrul fundamental și, s-ar putea spune, cel mai important: planificarea.Deoarece ciclul este conceput pentru începători completi, vom merge de la început până la sfârșit.
Se presupune că ați citit cel puțin despre modelul de referință OSI, stiva de protocoale TCP/IP, știți despre tipurile de VLAN-uri existente, despre cel mai popular VLAN bazat pe porturi acum și despre adresele IP. Înțelegem că „OSI” și „TCP/IP” sunt cuvinte înfricoșătoare pentru începători. Dar nu-ți face griji, nu le folosim pentru a te speria. Acestea sunt lucruri cu care va trebui să te confrunți în fiecare zi, așa că pe parcursul acestei serii vom încerca să le dezvăluim sensul și relația cu realitatea.
Să începem prin a preciza problema. Există o anumită companie angajată, de exemplu, în producția de lifturi care urcă doar în sus și, prin urmare, se numește Lift My Up LLC. Sunt situate într-o clădire veche de pe Arbat, iar firele putrede înfipte în întrerupătoarele arse și arse din era 10Base-T nu așteaptă conectarea noilor servere prin carduri gigabit. Deci, au o nevoie catastrofală de infrastructură de rețea și banii sunt strânși, ceea ce vă oferă posibilitatea de a avea opțiuni nelimitate. Acesta este visul oricărui inginer. Și ieri ai trecut de interviu și, după o luptă grea, ai primit pe bună dreptate funcția de administrator de rețea. Și acum ești primul și singurul din felul tău în ea. Felicitări! Ce urmeaza?
Situația ar trebui să fie puțin mai precisă:
- ÎN acest moment compania are două birouri: 200 de metri pătrați pe Arbat pentru spații de lucru și o sală de servere. Există mai mulți furnizori reprezentați acolo. Celălalt este pe Rublyovka.
- Există patru grupuri de utilizatori: contabilitate (B), departament financiar și economic (FED), departament de producție și tehnic (PTO), alți utilizatori (D). Există și servere (C), care sunt plasate într-un grup separat. Toate grupurile sunt delimitate și nu au acces direct unul la celălalt.
- Utilizatorii grupelor C, B și FEO se vor afla doar în biroul Arbat, PTO și D se vor afla în ambele birouri.
După estimarea numărului de utilizatori, a interfețelor necesare și a canalelor de comunicare, pregătiți o diagramă de rețea și un plan IP.
Când proiectați o rețea, ar trebui să încercați să respectați un model de rețea ierarhic, care are multe avantaje în comparație cu o „rețea plată”:
- simplifică înțelegerea organizării rețelei
- modelul presupune modularitate, ceea ce înseamnă că este ușor să crești capacitatea exact acolo unde este nevoie
- mai ușor de găsit și izolat problema
- toleranță crescută la erori datorită duplicării dispozitivelor și/sau conexiunilor
- distribuția de funcții pentru a asigura funcționalitatea rețelei pe diferite dispozitive.
Conform acestui model, rețeaua este împărțită în trei niveluri logice: miezul rețelei(Stratul de bază: dispozitive de înaltă performanță, scopul principal este transportul rapid), rata de prevalență(Stratul de distribuție: impune politicile de securitate, QoS, agregarea și rutarea în VLAN-uri, definește domeniile de difuzare) și nivel de acces(Strat de acces: de obicei comutatoare L2, scop: conectarea dispozitivelor finale, marcarea traficului pentru QoS, protejarea împotriva inelelor de rețea (STP) și furtunilor de difuzare, furnizarea de energie pentru dispozitivele PoE).
La o scară ca a noastră, rolul fiecărui dispozitiv este neclar, dar rețeaua poate fi împărțită logic.
Să facem o diagramă aproximativă:
În diagrama prezentată, nucleul va fi routerul 2811, comutatorul 2960 va fi clasificat ca nivel de distribuție, deoarece agregează toate VLAN-urile într-un trunchi comun. Cele 2950 de comutatoare vor fi dispozitive Access. Utilizatorii finali, echipamentele de birou și serverele se vor conecta la ei.
Vom denumi dispozitivele astfel: numele prescurtat al orașului ( msk) — localizare geografică (stradă, clădire) ( arbat) — rolul dispozitivului în rețea + numărul de ordine.
Le selectăm în funcție de rolurile și locația lor nume de gazdă:
- Router 2811: msk-arbat-gw1(gw=GateWay=gateway);
- comutator 2960: msk-arbat-dsw1(dsw=Comutator de distribuție);
- 2950 comutatoare: msk-arbat-aswN, msk-rubl-asw1(asw=Comutator de acces).
Documentația rețelei
Întreaga rețea trebuie să fie strict documentată: de la diagramă schematică, la numele interfeței.
Înainte de a începe configurarea, aș dori să vă ofer o listă de documente și acțiuni necesare:
- diagrame de rețea L1, L2, L3 în conformitate cu nivelurile modelului OSI (fizic, canal, rețea);
- IP addressing plan = plan IP;
- Lista VLAN;
- semnături ( Descriere) interfețe;
- lista de dispozitive (pentru fiecare ar trebui să indicați: modelul hardware, versiunea instalată IOS, volumul RAM\NVRAM, lista de interfețe);
- marcaje pe cabluri (de unde vine și unde merge), inclusiv pe cablurile și dispozitivele de alimentare și de împământare;
- un singur regulament care să definească toți parametrii de mai sus și alții.
Ceea ce vom monitoriza în programul simulator este evidențiat cu caractere aldine. Desigur, toate modificările de rețea trebuie incluse în documentație și configurare, astfel încât să fie la zi.
Când vorbim despre etichete/autocolante pe cabluri, ne referim la asta:
Această fotografie arată clar că fiecare cablu este marcat, semnificația fiecărei mașini de pe panoul din rack, precum și fiecare dispozitiv.
Vom pregăti documentele de care avem nevoie:
Lista VLAN
Fiecare grup va fi alocat unui vlan separat. În acest fel vom limita domeniile de difuzare. Vom introduce, de asemenea, un VLAN special pentru managementul dispozitivelor. Numerele VLAN de la 4 la 100 sunt rezervate pentru utilizare ulterioară.
plan IP
Alocarea subrețelelor este în general arbitrară, corespunzătoare doar numărului de noduri din aceasta retea locala luând în considerare o posibilă creștere. ÎN în acest exemplu toate subrețelele au o mască standard /24 (/24=255.255.255.0) - acestea sunt adesea folosite în rețelele locale, dar nu întotdeauna. Vă recomandăm să citiți despre clasele de rețea. În viitor, ne vom întoarce la adresarea fără clasă (cisco). Înțelegem că linkurile către articole tehnice de pe Wikipedia sunt proaste maniere, dar dau o definiție bună și, la rândul nostru, vom încerca să transferăm acest lucru în imaginea lumii reale.
Prin rețea punct la punct înțelegem conectarea unui router la altul în modul punct la punct. De obicei sunt luate adrese cu o mască de 30 (revenind la subiectul rețelelor fără clasă), adică conținând două adrese de noduri. Mai târziu va deveni clar despre ce vorbim.
| adresa IP | Notă | VLAN |
|---|---|---|
| 172.16.0.0/16 | ||
| 172.16.0.0/24 | Ferma de servere | 3 |
| 172.16.0.1 | Poarta de acces | |
| 172.16.0.2 | Web | |
| 172.16.0.3 | Fişier | |
| 172.16.0.4 | Poștă | |
| 172.16.0.5 — 172.16.0.254 | Rezervat | |
| 172.16.1.0/24 | Control | 2 |
| 172.16.1.1 | Poarta de acces | |
| 172.16.1.2 | msk-arbat-dsw1 | |
| 172.16.1.3 | msk-arbat-asw1 | |
| 172.16.1.4 | msk-arbat-asw2 | |
| 172.16.1.5 | msk-arbat-asw3 | |
| 172.16.1.6 | msk-rubl-aswl | |
| 172.16.1.6 — 172.16.1.254 | Rezervat | |
| 172.16.2.0/24 | Rețea punct la punct | |
| 172.16.2.1 | Poarta de acces | |
| 172.16.2.2 — 172.16.2.254 | Rezervat | |
| 172.16.3.0/24 | VETERINAR | 101 |
| 172.16.3.1 | Poarta de acces | |
| 172.16.3.2 — 172.16.3.254 | Piscina pentru utilizatori | |
| 172.16.4.0/24 | FEO | 102 |
| 172.16.4.1 | Poarta de acces | |
| 172.16.4.2 — 172.16.4.254 | Piscina pentru utilizatori | |
| 172.16.5.0/24 | Contabilitate | 103 |
| 172.16.5.1 | Poarta de acces | |
| 172.16.5.2 — 172.16.5.254 | Piscina pentru utilizatori | |
| 172.16.6.0/24 | Alți utilizatori | 104 |
| 172.16.6.1 | Poarta de acces | |
| 172.16.6.2 — 172.16.6.254 | Piscina pentru utilizatori |
Plan de conectare a echipamentelor pe porturi
Desigur, acum există switch-uri cu o grămadă de porturi Ethernet de 1Gb, există switch-uri cu 10G, există 40Gb pe hardware avansat de operator care costă multe mii de dolari, 100Gb sunt în dezvoltare (și conform zvonurilor, există chiar și astfel de plăci care au intrat în producţia industrială). În consecință, puteți alege comutatoare și routere în lumea reală, în funcție de nevoile dvs., ținând cont de bugetul dvs. În special, un switch gigabit poate fi cumpărat acum ieftin (20-30 mii) și asta cu o rezervă pentru viitor (dacă nu sunteți furnizor, desigur). Un router cu porturi gigabit este deja semnificativ mai scump decât unul cu porturi de 100Mbps, dar merită, deoarece modelele FE (100Mbps FastEthernet) sunt depășite și debitul lor este foarte scăzut.
Însă în programele de emulator/simulator pe care le vom folosi, din păcate, există doar modele hardware simple, așa că la modelarea rețelei vom pleca de la ceea ce avem: routerul Cisco2811, switch-urile Cisco2960 și 2950.
| Nume dispozitiv | Port | Nume | VLAN | |
|---|---|---|---|---|
| Acces | Trompă | |||
| msk-arbat-gw1 | FE0/1 | UpLink | ||
| FE0/0 | msk-arbat-dsw1 | 2,3,101,102,103,104 | ||
| msk-arbat-dsw1 | FE0/24 | msk-arbat-gw1 | 2,3,101,102,103,104 | |
| GE1/1 | msk-arbat-asw1 | 2,3 | ||
| GE1/2 | msk-arbat-asw3 | 2,101,102,103,104 | ||
| FE0/1 | msk-rubl-asw1 | 2,101,104 | ||
| msk-arbat-asw1 | GE1/1 | msk-arbat-dsw1 | 2,3 | |
| GE1/2 | msk-arbat-asw2 | 2,3 | ||
| FE0/1 | Web-server | 3 | ||
| FE0/2 | File-server | 3 | ||
| msk-arbat-asw2 | GE1/1 | msk-arbat-asw1 | 2,3 | |
| FE0/1 | Mail-Server | 3 | ||
| msk-arbat-asw3 | GE1/1 | msk-arbat-dsw1 | 2,101,102,103,104 | |
| FE0/1-FE0/5 | PTO | 101 | ||
| FE0/6-FE0/10 | FEO | 102 | ||
| FE0/11-FE0/15 | Contabilitate | 103 | ||
| FE0/16-FE0/24 | Alte | 104 | ||
| msk-rubl-asw1 | FE0/24 | msk-arbat-dsw1 | 2,101,104 | |
| FE0/1-FE0/15 | PTO | 101 | ||
| FE0/20 | administrator | 104 | ||
Vom explica de ce VLAN-urile sunt distribuite în acest fel în următoarele părți.
Diagrame de rețea
Pe baza acestor date, toate cele trei diagrame de rețea pot fi întocmite în această etapă. Pentru a face acest lucru, puteți utiliza Microsoft Visio, unele aplicație gratuită, dar cu referire la formatul dvs., sau editorii grafici (puteți face manual, dar va fi greu să îl țineți la zi :)).
Nu de dragul propagandei open source, ci de dragul varietății de mijloace, să folosim Dia. O consider una dintre cele mai bune aplicații schematice pentru Linux. Există o versiune pentru Windows, dar, din păcate, nu există compatibilitate în Vizio.
L1
Adică pe diagrama L1 reflectăm dispozitivele fizice ale rețelei cu numere de port: ce este conectat unde.
L2
Pe diagrama L2 indicăm VLAN-urile noastre.
L3
În exemplul nostru, diagrama de nivel al treilea s-a dovedit a fi destul de inutilă și nu foarte clară, din cauza prezenței unui singur dispozitiv de rutare. Dar cu timpul va dobândi mai multe detalii.
După cum puteți vedea, informațiile din documente sunt redundante. De exemplu, numerele VLAN sunt repetate atât în diagramă, cât și în planul portului. E ca și cum cineva se pricepe la ceva aici. Faceți tot ce vă este mai convenabil. Această redundanță îngreunează actualizarea dacă se modifică configurația, deoarece trebuie să o remediați în mai multe locuri deodată, dar, pe de altă parte, face mai ușor de înțeles.
Vom reveni la acest prim articol de mai multe ori în viitor, așa cum va trebui întotdeauna să reveniți la ceea ce ați planificat inițial. De fapt, sarcina este pentru cei care abia încep să învețe și sunt gata să facă un efort: citiți multe despre vlan-uri, adrese IP, găsiți programele Packet Tracer și GNS3. În ceea ce privește cunoștințele teoretice fundamentale, vă sfătuim să începeți să citiți presa Cisco. Acesta este ceva ce trebuie neapărat să știți. În următoarea parte, totul va fi ca un adult, cu un videoclip, vom învăța cum să ne conectăm la echipament, să înțelegem interfața și să vă spunem ce să faceți unui administrator neglijent care a uitat parola.
Articol original:
Etichete
CiscoCumpărați comutatorul L2
Comutatoarele sunt cea mai importantă componentă rețele moderne comunicatii. Această secțiune a catalogului conține atât switch-uri Layer 2 gestionate, Gigabit Ethernet, cât și switch-uri neadministrate Fast Ethernet. În funcție de sarcinile care se rezolvă, se selectează comutatoare de nivel de acces (2 straturi), agregare și nucleu, sau comutatoare cu multe porturi și magistrală de înaltă performanță.
Principiul de funcționare al dispozitivelor este de a stoca date despre corespondența porturilor lor cu adresa IP sau MAC a dispozitivului conectat la comutator.
Diagrama rețelei
Pentru realizare viteze mari Tehnologia de transmitere a informațiilor folosind un switch Gigabit Ethernet (GE) și 10 Gigabit Ethernet (10GE) este utilizată pe scară largă. Transferați informații la viteze mari, în special în rețele scară largă, implică alegerea unei topologii de rețea care să permită distribuția flexibilă a fluxurilor de mare viteză.
O abordare pe mai multe niveluri a creării unei rețele, folosind switch-uri de strat 2 gestionate, rezolvă în mod optim astfel de probleme, deoarece implică crearea unei arhitecturi de rețea sub formă de niveluri ierarhice și permite:
- scala rețeaua la fiecare nivel fără a afecta întreaga rețea;
- adăugați diferite niveluri;
- extinde funcţionalitate rețele după cum este necesar;
- minimizați costurile cu resursele pentru depanare;
- rezolva rapid problemele legate de congestionarea rețelei.
Principalele aplicații ale rețelei bazate pe echipamentele propuse sunt serviciile Triple Play (IPTV, VoIP, Date), VPN, implementate printr-un transport universal al diferitelor tipuri de trafic - o rețea IP.
Switch-urile de nivel 2 gestionate ale tehnologiei Gigabit Ethernet vă permit să creați o arhitectură de rețea constând din trei niveluri de ierarhie:
- Stratul de bază. Format din comutatoare la nivel de bază. Comunicarea între dispozitive se realizează prin cablu de fibră optică folosind o schemă „inel cu redundanță”. Switch-urile la nivel de bază acceptă un debit mare al rețelei și permit transmiterea în flux la viteze de 10 Gigabit între noduri mari aşezări, de exemplu, între zonele urbane. Trecerea la următorul nivel al ierarhiei - nivelul de distribuție - se realizează printr-un canal optic la o viteză de 10 Gigabit prin porturile optice XFP. O caracteristică a acestor dispozitive este lățimea de bandă largă și procesarea pachetelor de la L2 la L4.
- Stratul de distribuție. Format din comutatoare de margine. Comunicarea se realizează prin cablu de fibră optică folosind o schemă „inel cu redundanță”. Acest nivel vă permite să organizați transmisia fluxului la o viteză de 10 Gigabit între punctele utilizator, de exemplu, între zone rezidențiale sau un grup de clădiri. Conectarea comutatoarelor de nivel de distribuție la nivelul inferior - nivelul de acces se realizează prin canale optice 1Gigabit Ethernet prin porturile optice SFP. Caracteristici ale acestor dispozitive: lățime de bandă largă și procesare de pachete de la L2 la L4, precum și suport pentru protocolul EISA, care vă permite să restabiliți comunicarea în 10 ms dacă inelul optic este rupt.
- Strat de acces. Este format din comutatoare Layer 2 gestionate. Comunicarea se realizează prin cablu de fibră optică la viteze de 1 Gigabit. Switch-urile de nivel de acces pot fi împărțite în două grupe: cele cu doar o interfață electrică și cele cu porturi optice SFP suplimentare pentru crearea unui inel la nivelul lor și conectarea la nivelul de distribuție.
Cu un zâmbet amabil ne amintim acum cum omenirea a așteptat cu nerăbdare sfârșitul lumii în 2000. Atunci acest lucru nu s-a întâmplat, dar s-a întâmplat un eveniment complet diferit și, de asemenea, foarte semnificativ.
Din punct de vedere istoric, la acea vreme lumea a intrat într-o adevărată revoluție a computerelor v. 3.0. - start tehnologii cloud stocarea distribuită și prelucrarea datelor. În plus, dacă „a doua revoluție” anterioară a fost o tranziție masivă la tehnologiile „client-server” în anii 80, atunci prima poate fi considerată începutul lucrului simultan al utilizatorilor care utilizează terminale separate conectate la așa-numitele. „mainframe” (în anii 60 ai secolului trecut). Aceste schimbări revoluționare au avut loc în mod pașnic și neobservat de utilizatori, dar au afectat întreaga lume a afacerilor împreună cu tehnologia informației.
La transferul infrastructurii IT către centre de date la distanță (centre de procesare a datelor), problema cheie devine imediat organizarea canalelor de comunicare fiabile de la client. Pe Internet întâlniți adesea oferte de la furnizori: „linie fizică închiriată, fibră optică”, „canal L2”, „VPN” și așa mai departe... Să încercăm să ne dăm seama ce se află în spatele acestui lucru în practică.
Canale de comunicare - fizice și virtuale
1. Organizare " linie fizică„sau „canal de al doilea nivel, L2” este de obicei numit serviciul unui furnizor care furnizează un cablu dedicat (cupru sau fibră optică) sau un canal radio între birouri și acele site-uri în care sunt instalate echipamentele centrelor de date. Comandând acest serviciu, în practică, cel mai probabil veți primi spre închiriere un canal de fibră optică dedicat. Această soluție este atractivă deoarece furnizorul este responsabil pentru comunicarea fiabilă (și în cazul deteriorării cablului, restabilește în mod independent funcționalitatea canalului). Cu toate acestea, în viața reală, un cablu nu este solid pe toată lungimea sa - este format din multe fragmente conectate (sudate) între ele, ceea ce îi reduce oarecum fiabilitatea. Pe parcursul așezării unui cablu de fibră optică, furnizorul trebuie să folosească amplificatoare, splittere și modemuri la punctele finale.
În materialele de marketing, această soluție este clasificată condiționat ca nivelul L2 (Data-Link) al modelului de rețea OSI sau TCP/IP - vă permite să lucrați ca și cum la nivelul comutării cadrelor Ethernet în LAN, fără să vă faceți griji pentru multe a problemelor de rutare a pachetelor la următorul nivel de rețea IP. Există, de exemplu, posibilitatea de a continua să utilizați așa-numitele adrese IP „private” în rețelele virtuale client în loc de adrese publice unice înregistrate. Deoarece este foarte convenabil să utilizați adrese IP private în rețelele locale, utilizatorii au fost alocați game speciale din principalele clase de adresare:
- 10.0.0.0 - 10.255.255.255 în clasa A (cu mască 255.0.0.0 sau /8 într-un format alternativ de înregistrare cu mască);
- 100.64.0.0 - 100.127.255.255 în clasa A (cu mască 255.192.0.0 sau /10);
- 172.16.0.0 - 172.31.255.255 in clasa B (cu masca 255.240.0.0 sau /12);
- 192.168.0.0 - 192.168.255.255 în clasa C (cu mască 255.255.0.0 sau /16).
Astfel de adrese sunt auto-selectate de către utilizatori pentru „utilizare internă” și pot fi repetate simultan în mii de rețele client, astfel încât pachetele de date cu adrese private în antet nu sunt direcționate pe Internet - pentru a evita confuzia. Pentru a accesa Internetul, trebuie să utilizați NAT (sau altă soluție) pe partea clientului.
Notă: NAT - Network Address Translation (un mecanism de înlocuire a adreselor de rețea ale pachetelor de tranzit în rețelele TCP/IP, folosit pentru a direcționa pachetele din rețeaua locală a clientului către alte rețele/Internet și în sens invers - în interiorul rețelei LAN a clientului, către destinaţie).
Această abordare (și vorbim despre un canal dedicat) are și un dezavantaj evident - dacă biroul clientului se mută, pot apărea dificultăți serioase de conectare la noua locație și poate fi necesară schimbarea furnizorului.
Afirmația că un astfel de canal este mult mai sigur, mai bine protejat de atacurile intrușilor și de erorile personalului tehnic slab calificat, la o examinare mai atentă se dovedește a fi un mit. În practică, problemele de securitate apar mai des (sau sunt create intenționat de un hacker) direct de partea clientului, cu participarea factorului uman.
2. Canalele virtuale și rețelele private VPN (Virtual Private Network) construite pe ele sunt răspândite și pot rezolva majoritatea problemelor clienților.
Furnizarea unui „VPN L2” de către un furnizor implică alegerea dintre mai multe servicii posibile de „nivelul doi”, L2:
VLAN - clientul primește o rețea virtuală între birourile sale, sucursale (în realitate, traficul clientului trece prin echipamentul activ al furnizorului, ceea ce limitează viteza);
Conexiune punct la punct PWE3(cu alte cuvinte, „emularea pseudowire end-to-end” în rețelele cu comutare de pachete) permite ca cadrele Ethernet să fie transmise între două noduri ca și cum ar fi conectate direct prin cablu. Pentru clientul din această tehnologie, este important ca toate cadrele transmise să fie livrate la punctul la distanță fără modificări. Același lucru se întâmplă în sens invers. Acest lucru este posibil datorită faptului că cadrul clientului care ajunge la routerul furnizorului este apoi încapsulat (adăugat) într-un bloc de date de nivel superior (pachet MPLS) și preluat la punctul final;
Notă: PWE3 - Pseudo-Wire Emulation Edge to Edge (un mecanism prin care, din punctul de vedere al utilizatorului, acesta primește o conexiune dedicată).
MPLS - MultiProtocol Label Switching (o tehnologie de transmisie a datelor în care pachetelor li se atribuie etichete de transport/serviciu, iar calea de transmitere a pachetelor de date în rețele este determinată numai pe baza valorii etichetelor, indiferent de mediul de transmisie, folosind orice protocol. În timpul rutare, pot fi adăugate noi etichete (dacă este necesar) sau șterse când funcția lor este finalizată (conținutul pachetelor nu este analizat sau modificat).
VPLS este o tehnologie pentru simularea unei rețele locale cu conexiuni multipunct. În acest caz, rețeaua furnizorului arată din partea clientului ca un singur comutator care stochează un tabel de adrese MAC ale dispozitivelor de rețea. Un astfel de „comutator” virtual distribuie cadrul Ethernet care vine din rețeaua clientului la destinație - în acest scop, cadrul este încapsulat într-un pachet MPLS și apoi recuperat.
Notă: VPLS - Virtual Private LAN Service (un mecanism în care, din punctul de vedere al utilizatorului, rețelele sale dispersate geografic sunt conectate prin conexiuni virtuale L2).
MAC - Media Access Control (metoda de control al accesului media - un identificator de adresă unic de 6 octeți al unui dispozitiv de rețea (sau interfețelor acestuia) în rețelele Ethernet).
3. În cazul implementării „L3 VPN”, rețeaua furnizorului în ochii clientului arată ca un router cu mai multe interfețe. Prin urmare, interfața dintre rețeaua locală a clientului și rețeaua furnizorului are loc la nivelul L3 al modelului de rețea OSI sau TCP/IP.
Adresele IP publice pentru punctele de joncțiune ale rețelei pot fi stabilite prin acord cu furnizorul (aparțin clientului sau pot fi primite de la furnizor). Adresele IP sunt configurate de client pe routerele lor de pe ambele părți (private - din rețeaua locală, publice - de la furnizor), rutarea ulterioară a pachetelor de date este furnizată de furnizor. Din punct de vedere tehnic, pentru a implementa o astfel de soluție, se utilizează MPLS (vezi mai sus), precum și tehnologiile GRE și IPSec.
Notă: GRE - Generic Routing Encapsulation (protocol de tunelare, pachete de rețea de ambalare, care vă permite să stabiliți o conexiune logică sigură între două puncte finale - folosind încapsularea protocolului la nivel de rețea L3).
IPSec - IP Security (un set de protocoale de protecție a datelor care sunt transmise folosind IP. Sunt utilizate autentificarea, criptarea și verificarea integrității pachetelor).
Este important de înțeles că infrastructura modernă de rețea este construită în așa fel încât clientul să vadă doar acea parte a acesteia care este determinată de contract. Resurse dedicate (servere virtuale, routere, stocare de date operaționale și Rezervă copie), precum și programele care rulează și conținutul memoriei sunt complet izolate de alți utilizatori. Mai multe servere fizice pot funcționa coerent și simultan pentru un singur client, din punctul de vedere al căruia vor arăta ca un grup puternic de servere. Și invers, pe unul server fizic multe pot fi create simultan mașini virtuale(fiecare va arăta astfel pentru utilizator calculator separat Cu sistem de operare). Pe lângă cele standard, oferim soluții personalizate care îndeplinesc și cerințele acceptate privind securitatea prelucrării și stocării datelor clienților.
În același timp, configurația rețelei „nivel L3” implementată în cloud permite scalarea la dimensiuni aproape nelimitate (Internetul și centrele mari de date sunt construite pe acest principiu). Protocoalele de rutare dinamică, cum ar fi OSPF și altele din rețelele cloud L3, vă permit să selectați cele mai scurte căi pentru rutarea pachetelor de date, să trimiteți pachete simultan pe mai multe căi pentru cea mai bună încărcare și extindere lățime de bandă canale.
În același timp, este posibilă implementarea unei rețele virtuale la „nivelul L2”, care este tipic pentru centrele de date mici și aplicațiile client vechi (sau foarte specifice). În unele astfel de cazuri, chiar folosesc tehnologia „L2 peste L3” pentru a asigura compatibilitatea rețelei și funcționalitatea aplicației.
Să rezumam
Astăzi, sarcinile utilizator/client în majoritatea cazurilor pot fi rezolvate eficient prin organizarea de rețele private virtuale VPN folosind tehnologiile GRE și IPSec pentru securitate.
Nu sens special contrastează L2 și L3, așa cum nu are sens să consideri oferta unui canal L2 cea mai bună soluție pentru construirea unei comunicații fiabile în rețeaua ta, un panaceu. Canalele moderne de comunicare și echipamentele furnizorilor permit trecerea unei cantități uriașe de informații, iar multe canale dedicate închiriate de utilizatori sunt, de fapt, chiar subîncărcate. Este rezonabil să utilizați L2 numai în cazuri speciale când specificul sarcinii o impune, luați în considerare limitările privind posibilitatea extinderii viitoare a unei astfel de rețele și consultați un specialist. Pe de alta parte, rețele virtuale VPN L3, toate celelalte lucruri fiind egale, este mai versatil și mai ușor de utilizat.
Această recenzie enumeră pe scurt modern soluții standard, care sunt utilizate la transferul infrastructurii IT locale către centrele de date la distanță. Fiecare dintre ele are propriul său consumator, avantaje și dezavantaje; alegerea corectă a soluției depinde de sarcina specifică.
În viața reală, ambele niveluri ale modelului de rețea L2 și L3 lucrează împreună, fiecare fiind responsabil pentru propria sa sarcină și, prin contrastul lor în publicitate, furnizorii sunt în mod deschis lipsiți de sinceritate.
Comutator L3 Poate efectua doar rutare IP pură - nu cunoaște NAT, harta rutei sau forma traficului, numărarea traficului. Switch-urile nu sunt capabile să funcționeze cu tuneluri VPN (Site-to-site VPN, Remote Access VPN, DMVPN), nu pot cripta traficul sau efectua funcții de firewall complete și nu pot fi utilizate ca server de telefonie (PBX digital).
Principalul avantaj al unui comutator de nivel 3 este rutarea rapidă a traficului de la diferite segmente L3 unul către celălalt, cel mai adesea acesta este trafic intern fără acces la Internet. .
Routerul vă va oferi acces la Internet. NAT este de asemenea configurat pe router.
Rutarea unui număr mare de rețele locale este practic imposibilă pe un router; există o probabilitate mare de degradare a serviciului atunci când se utilizează QoS, ACL NBAR și alte funcții care duc la analiza traficului care vine la interfețe. Cel mai probabil, problemele vor începe atunci când viteza traficului local depășește 100 Mbit/s (în funcție de modelul unui anumit router). Comutatorul, dimpotrivă, poate face față cu ușurință acestei sarcini.
Motivul principal este că comutatorul direcţionează traficul pe baza tabelelor CEF.
Cisco Express Forwarding (CEF) este o tehnologie de rutare/comutație de pachete de mare viteză utilizată în routere și comutatoare de nivel trei de la Cisco Systems, care permite procesarea mai rapidă și mai eficientă a traficului de tranzit.
Un router poate folosi și CEF, dar dacă utilizați funcții pe router care duc la analiza întregului trafic, atunci traficul va trece prin procesor. Comparați în tabelul de performanță al routerului dat la început ce performanță are routerul cu „Comutare rapidă\CEF” (folosind tabele) și ce cu „Comutare proces” (decizia de rutare este luată de procesor).
În rezumat, un router diferă de un comutator L3 prin faptul că routerul poate gestiona traficul foarte flexibil, dar are performanțe relativ scăzute atunci când operează într-o rețea locală, Comutator L3 dimpotrivă, are performanta ridicata, dar nu poate influența traficul sau îl poate procesa.
Putem spune despre switch-urile L2 că acestea sunt utilizate doar la nivel de acces, oferind conexiune la utilizatorul final (nu echipamentele de rețea)
Când să folosiți comutatoarele L2 și când să folosiți comutatoarele L3?
Într-o ramură mică de până la 10 persoane, este suficient să instalați un router cu un comutator încorporat (seria 800) sau un modul de extensie ESW instalat (seria 1800, 1900) sau ESG.
Într-un birou pentru 50 de persoane, puteți instala un router de performanță medie și un switch L2 cu 48 de porturi (eventual două cu 24 de porturi).
Într-o ramură de până la 200 de persoane vom folosi un router și câteva switch-uri de nivel al doilea. Este important să înțelegeți că dacă ați împărțit rețeaua în segmente la nivelul adresei IP în mai multe subrețele și sunteți rutat între rețele pe router, atunci veți avea cu siguranță o încărcare mare a procesorului, ceea ce va cauza o lipsă de performanță și va termina. - plângerile utilizatorilor cu privire la pierderile de pachete. Dacă majoritatea utilizatorilor comunică numai cu computere, servere, imprimante și altele dispozitive de rețea numai în segmentul lor L3 și lăsați acest spațiu de adrese doar pentru a accesa Internetul, atunci acest design de rețea va fi satisfăcător. Când rețeaua se extinde, numărul de departamente în care traficul nu ar trebui să iasă din acest departament, dacă diferite departamente (în cazul nostru, acestea sunt subrețele sau segmente de rețea) sunt forțate să facă schimb de date între ele, atunci performanța routerului va nu mai fi suficient.
Într-un birou atât de mare (peste 200 de angajați), achiziționarea unui comutator Layer 3 performant devine obligatorie. Sarcinile sale vor include sprijinirea tuturor „gateway-urilor implicite” ale segmentelor locale. Comunicarea între acest comutator și gazde se va face prin interfețe de rețea logice (interfață VLAN sau SVI). Routerul va avea doar două conexiuni - la Internet și la dvs Comutator L3. Utilizatorii vor trebui să se conecteze prin Comutatoare L2, conectat în stea sau inel la switch-ul L3 folosind conexiuni Gigabit, astfel vom avea nevoie de un switch L3 cu porturi Gigabit. Astfel, centrul rețelei va fi just Comutator L3, care va fi responsabil pentru funcțiile de bază și de distribuție simultan, switch-uri L2 la nivel de acces și un router ca gateway pentru conectarea la Internet sau pentru comunicarea cu birourile la distanță prin tuneluri.
În rețelele de campus cu adevărat MARI, cu peste 500 de persoane și cu cerințe ridicate de performanță și funcționalitate, poate fi necesar să instalați switch-uri L3 chiar și la nivelul de acces pentru a conecta utilizatorii. Acest lucru se poate datora următoarelor motive:
Performanță insuficientă a comutatoarelor L2 (în special cu porturi gigabit și când sunt utilizate ca ferme de servere)
Număr insuficient de rețele virtuale virtuale active acceptate (255 față de 1000 pentru L3)
Lipsa funcționalității Q-n-Q
Număr insuficient de intrări ACL acceptate (pentru 2960 - 512, pentru 3560 - 2000)
Capabilitati limitate pentru lucrul cu multicast-uri
Capacități QoS insuficiente pe comutatoarele L2
Arhitectura de rețea „Acces L3” - adică Punctele de rutare ale subrețelelor locale sunt aduse la nivelul de acces, iar rutele deja rezumate sunt trimise până la nivelul de distribuție...
Lipsa L2 și STP la nivel de distribuție.
