Kandidatexamen i radioteknik
praktikantingenjör vid NVision Group-filialen i NVision-Sibirien
Masterstudent på SibSUTI
Konsult: Maramzin Valery Valentinovich, ledande konstruktionstekniker Direktion av nätverk och dataöverföringssystem NVision Group
Anteckning:
Artikeln beskriver elementen i metoden för att bestämma nätverkstopologin på länk- och nätverksnivå.
Denna artikel beskriver metodelementen för bestämning av nätverkstopologin vid datalänken och nätverkslagren
Nyckelord:
topologi, protokoll
topologi, protokoll
UDC 004.722
För närvarande har varje stort företag sin egen interna lokala nätverksinfrastruktur. Det interna nätverket inkluderar både arbetsstationer direkt och alla andra nätverksenheter som faller under begreppet "värd".
Värd (från den engelska värden) - en slutnod i TCP / IP -protokollstacken. De vanligaste nätverksenheterna är routrar och switchar.
Ju större företaget är, desto mer omfattande och fördjupat nätverket, som innehåller både intranätresurser och andra tjänster och kapslade strukturer som ständigt måste underhållas och övervakas. Den är avsedd för högkvalitativ nätverksövervakning, snabb felsökning och nödsituationer, identifierar kanalhinder och löser andra problem som du behöver för att känna till nätverkstopologin.
Nätverkstopologi är grafens konfiguration, vars hörn motsvarar nätets slutdatorer (datorer) och kommunikationsutrustning (routrar, switchar) och kanterna motsvarar fysiska eller informativa länkar mellan hörnen.
I de flesta fall är typen av topologi ett löst anslutet hierarkiskt träd, när hela nätet i nätverket avviker från en eller flera kraftfulla rotservrar, routrar. Och ju större det lokala nätverket är, desto svårare är det att underhålla och upptäcka funktionsfel i avsaknad av kunskap om dess arkitektur.
Naturligtvis finns det för närvarande några färdiga lösningar som kan visualisera nätverksdiagrammet med en indikation på alla noder som ingår i den. Dessa inkluderar olika nätverkshanteringspaket som fungerar i automatiskt läge och inte alltid korrekt visar objektens verkliga tillstånd.
Till exempel ger Hewlett-Packards HP OpenView Network Node Manager och liknande produkter L3-topologiinformation, men ger lite information om att ansluta och koppla bort nätverksenheter. Det vill säga, för effektiv upptäckt av nätverksnoder och befintliga anslutningar mellan dem, är det nödvändigt att arbeta med hjälp av bestämning av topologin på L2 -nivå, arbeta i anslutningsupptäcktsläget på nivån för switchar och routrar.
Det finns andra lösningar från specifika stora tillverkare av nätverksutrustning, till exempel Cisco Systems, Nortel Networks, som har utvecklat sina egna CDP -protokoll, LLDP - en standard för service av stora företagsnätverk. Men problemet ligger i följande: ofta implementeras många nätverk på utrustning från olika tillverkare, valda av en eller annan anledning, parametrar eller preferenser.
Följaktligen blir det nödvändigt att utveckla en universell metod för att bestämma nätverkets topologi, oavsett utrustningsleverantör och andra förhållanden, som skulle använda en grenad algoritm för att analysera nätverket och dess noder, och skulle också ge resultaten i en förenklad visuell form, till exempel genom att bygga en graf för nätverksanslutning.
Detta kan göras enligt följande. Inmatningsdata för algoritmen kommer att vara autentiseringsparametrar för en av nätverksrotenheterna och dess IP -adress. Därifrån börjar insamlingen av information om varje enhet med hjälp av en seriell SNMP -undersökning med en specifik sekvens av åtgärder.
Först måste du fastställa vilka protokoll som är aktiva och stöds av en viss enhet på den aktuella enheten. Den första analysen bör inkludera kontroll av aktiviteten för LLDP och CDP - de enklaste sätten att upptäcka grannskap mellan enheter i nätverket. Link Layer Discovery Protocol (LLDP) är ett länklagerprotokoll som gör att nätverksenheter kan meddela information om sig själva och sina möjligheter till nätverket, samt samla in denna information om angränsande enheter.
Cisco Discovery Protocol (CDP) är ett länklagerprotokoll som utvecklats av Cisco Systems som låter dig upptäcka ansluten (direkt eller via första lagers enheter) Cisco-nätverksutrustning, dess namn, IOS-version och IP-adresser.
Således, om en enhet stöder ett av dessa protokoll, kommer algoritmen omedelbart åtkomst till motsvarande avsnitt i MIB -tabellen (Management Information Base), som innehåller all information om angränsande enheter, om de också meddelade det om sig själva. Detta inkluderar IP -adresser, portinformation, chassiinformation och enhetstyper.
Om det inte finns något LLDP / CDP -stöd är det andra steget i kontrollen SNMP -undersökning av den lokala MIB: n för den aktuella enheten för att få information om dess aktiva gränssnitt och ARP -tabellen.
I det här fallet startas först och främst verifieringsproceduren på switcharna. Med hjälp av switchens ARP-tabell (Address Resolution Protocol) får algoritmen information om varje ansluten enhet i form av en korrespondens mellan MAC-adress ̶ IP-adress ̶-gränssnitt ̶ TTL
Sökningen efter angränsande enheter bör utföras med hjälp av sekventiell unicast -undersökning för alla MAC -adresser som finns i ARP -tabellen. Ett svar på en ARP -begäran från sökte efter enhet med MAC -adress och fixa gränssnittet från vilket svaret mottogs kommer att bli det faktum att enheten finns i nätverket. Efter att ha identifierat grannskapet utför vi proceduren för matchning av MAC -adresser: om ett svar på en begäran om MAC -adressen för den andra enheten kommer till gränssnittet för den första enheten och vice versa, mottas ett svar på gränssnittet för den andra enheten enhet på begäran av den första MAC -adressen, då är detta en garanterad kommunikationslinje mellan de två noder. Som ett resultat innehåller informationen om grannskapet inte bara kommunikationslinjen mellan noderna, utan också information om gränssnitten genom vilka de är anslutna.
Bestämma grannskapet för enheter med MAC -adresser
Därefter växlar algoritmen till nästa switch och upprepar verifieringsproceduren och lämnar en post i loggfilen om de enheter som redan besökts och deras parametrar och går därigenom igenom varje nod i nätverket sekventiellt.
När man utformar denna metod och utvecklar en algoritm, bör man inte tappa ur sikte flera villkor för att den ska fungera korrekt:
- Enheterna måste ha SNMP -protokoll aktiverat, helst version 3.
- Algoritmen måste kunna skilja virtuella gränssnitt från verkliga gränssnitt och bygga en anslutningsgraf baserad på verkliga fysiska anslutningar.
Bibliografisk lista:
1. Olifer V.G., Olifer N.A. Dator nätverk. Principer, teknik, protokoll (4: e upplagan)- SPb.: Peter, 2010.- 944s
2. Link Layer Discovery Protocol (LLDP). Åtkomstläge: http://xgu.ru/wiki/LLDP (datum för åtkomst 03/12/2014)
3. Åtkomstläge för Cisco Discovery Protocol (CDP): http://ru.wikipedia.org/wiki/CDP (datum för åtkomst 03/12/2014)
Recensioner:
2013-03-13, 21:09 Klinkov Georgy Todorov
Recension: Man bör komma ihåg att nätverkstopologin kräver effektiv routing och datakommutering, särskilt i förhållande till brandväggsteknik - Active -Active topologi, asymmetrisk routing Cisco MSFC och FWSM. Balansera FWSM med PBR- eller ECMP -routing; NAC - plats i topologin; arkitektur för IDS och IPS.
13.03.2014, 22:08 Nazarova Olga Petrovna
Recension: Det sista stycket är en riktlinje. Inget uttag. Ändra.
2014-03-17, 09:44 Nazarova Olga Petrovna
Recension: Rekommenderas för utskrift.
Detta är den första artikeln i serien "Nätverk för de små". Maxim aka Gluck och jag funderade länge på var vi skulle börja: routing, VLAN, utrustningskonfiguration. Till slut bestämde vi oss för att börja med en grundläggande och, kan man säga, det viktigaste: planering. Sedan cykeln är utformad för helt nybörjare, vi kommer att gå hela vägen från början till slut.
Det antas att du åtminstone har läst om OSI-referensmodellen, om TCP / IP-protokollstacken, vet om typerna av befintliga VLAN, om de mest populära portbaserade VLAN nu och om IP-adresser. Vi förstår att för nybörjare är "OSI" och "TCP / IP" läskiga ord. Men oroa dig inte, vi använder dem inte för att skrämma dig. Detta är något som du måste möta varje dag, så under denna cykel kommer vi att försöka avslöja deras mening och förhållande till verkligheten.
Låt oss börja med att ställa in problemet. Det finns ett visst företag som till exempel engagerar sig i produktion av hissar som bara går uppåt, och därför kallas det LLC Lift mi ap. De ligger i en gammal byggnad på Arbat, och ruttna ledningar som fastnat i brända och brända 10Base-T-switchar förväntar sig inte att nya servrar ska anslutas via gigabit-kort. Så de har ett katastrofalt behov av nätverksinfrastruktur och pengar hackas inte av kycklingar, vilket ger dig obegränsat val. Detta är en underbar dröm för alla ingenjörer. Och du klarade intervjun igår, och i en svår kamp fick du med rätta positionen som nätverksadministratör. Och nu är du den första och enda i ditt slag i den. Grattis! Vad kommer härnäst?
Situationen bör vara något specifik:
- För närvarande har företaget två kontor: 200 torg på Arbat för arbetsplatser och ett serverrum. Flera leverantörer är representerade där. En annan på Rublevka.
- Det finns fyra användargrupper: bokföring (B), finansiell och ekonomisk avdelning (FEO), produktions- och teknisk avdelning (PTO), andra användare (D). Och det finns också servrar (C), som placeras i en separat grupp. Alla grupper är avgränsade och har inte direkt åtkomst till varandra.
- Användare av grupperna C, B och FEO kommer bara att vara på kontoret på Arbat, PTO och D kommer att finnas på båda kontoren.
Efter att ha uppskattat antalet användare, de nödvändiga gränssnitten, kommunikationskanalerna, förbereder du ett nätverksdiagram och en IP -plan.
När du utformar ett nätverk bör du försöka följa en hierarkisk nätverksmodell, som har många fördelar jämfört med ett "platt nätverk":
- förenklar förståelsen av nätverkets organisation
- modellen innebär modularitet, vilket innebär att det är lätt att öka kapaciteten exakt där den behövs
- lättare att hitta och isolera problemet
- ökad feltolerans på grund av dubblering av enheter och / eller anslutningar
- distribution av funktioner för att säkerställa att nätverket fungerar över olika enheter.
Enligt denna modell är nätverket indelat i tre logiska nivåer: kärnan i nätverket(Kärnlager: högpresterande enheter, huvudsyftet är snabb transport), fördelningshastighet(Distributionslager: tillämpar säkerhetspolicyer, QoS, aggregering och routing i VLAN, definierar sändningsdomäner) och åtkomstnivå(Åtkomstlager: vanligtvis L2-switchar, syfte: anslutning av slutenheter, trafikmärkning för QoS, skydd mot ringar i nätverket (STP) och sändningsstormar, som ger ström till PoE-enheter).
På en skala som vår utspäds varje enhets roll, men det är möjligt att logiskt separera nätverket.
Låt oss göra ett grovt diagram:
I det presenterade diagrammet kommer kärnan (Core) att vara routern 2811, switch 2960 kommer att hänvisas till distributionsnivån (Distribution), eftersom den aggregerar alla VLAN i en gemensam trunk. De 2950 switcharna kommer att vara Access -enheter. Slutanvändare, kontorsutrustning och servrar kommer att anslutas till dem.
Vi kommer att namnge enheterna enligt följande: det förkortade stadsnamnet ( msk) - geografiskt läge (gata, byggnad) ( arbat) - enhetens roll i nätverket + sekvensnummer.
Enligt deras roller och plats väljer vi värdnamn:
- router 2811: msk-arbat-gw1(gw = GateWay = gateway);
- switch 2960: msk-arbat-dsw1(dsw = Distributionsomkopplare);
- omkopplare 2950: msk-arbat-aswN, msk-rubl-asw1(asw = åtkomstbrytare).
Nätverksdokumentation
Hela nätverket måste strikt dokumenteras: från det schematiska diagrammet till gränssnittets namn.
Innan jag fortsätter med konfigurationen skulle jag vilja tillhandahålla en lista över nödvändiga dokument och åtgärder:
- nätverksdiagram L1, L2, L3 i enlighet med lagren i OSI -modellen (fysisk, kanal, nätverk);
- IP -adresseringsplan = IP -plan;
- VLAN -lista;
- underskrifter ( beskrivning) gränssnitt;
- lista över enheter (för varje bör du ange: hårdvarumodell, installerad version av IOS, mängd RAM \ NVRAM, lista över gränssnitt);
- etiketter på kablar (varifrån och var de går), inklusive på ström- och jordkablar och enheter;
- en enda förordning som definierar alla ovanstående parametrar och andra.
Vad vi kommer att följa i simuleringsprogrammet markeras med fet stil. Naturligtvis måste alla nätverksändringar göras i dokumentationen och konfigurationen för att hålla dem uppdaterade.
När vi pratar om etiketter / klistermärken på kablar menar vi detta:
På det här fotot kan du tydligt se att varje kabel är markerad, innebörden av varje maskin på instrumentbrädan i racket, liksom varje enhet.
Vi kommer att förbereda de dokument vi behöver:
VLAN -lista
Varje grupp kommer att tilldelas en separat vlan. Detta kommer att begränsa sändningsdomänerna. Vi kommer också att introducera ett speciellt VLAN för enhetshantering. VLAN -nummer 4 till 100 är reserverade för framtida bruk.
IP -plan
Tilldelning av delnät är i allmänhet godtyckligt, vilket endast motsvarar antalet noder i detta lokala nätverk, med beaktande av möjlig tillväxt. I det här exemplet har alla delnät en standardmask / 24 (/24=255.255.255.0) - dessa används ofta i lokala nätverk, men inte alltid. Vi råder dig att läsa om nätverksklasserna. I framtiden kommer vi att vända oss till klasslös adressering (cisco). Vi förstår att länkar till tekniska artiklar på Wikipedia är dåligt sätt, men de ger en bra definition, och vi kommer i sin tur att försöka överföra detta till bilden av den verkliga världen.
Ett Point-to-Point-nätverk är en punkt-till-punkt-anslutning från en router till en annan. Vanligtvis tas adresser med en mask på 30 (återgår till ämnet klasslösa nätverk), det vill säga innehåller två värdadresser. Senare kommer det att bli klart vad det handlar om.
| IP-adress | Notera | VLAN |
|---|---|---|
| 172.16.0.0/16 | ||
| 172.16.0.0/24 | Serverfarm | 3 |
| 172.16.0.1 | Inkörsport | |
| 172.16.0.2 | webb | |
| 172.16.0.3 | Fil | |
| 172.16.0.4 | Post | |
| 172.16.0.5 — 172.16.0.254 | Reserverad | |
| 172.16.1.0/24 | Kontrollera | 2 |
| 172.16.1.1 | Inkörsport | |
| 172.16.1.2 | msk-arbat-dsw1 | |
| 172.16.1.3 | msk-arbat-asw1 | |
| 172.16.1.4 | msk-arbat-asw2 | |
| 172.16.1.5 | msk-arbat-asw3 | |
| 172.16.1.6 | msk-rubl-aswl | |
| 172.16.1.6 — 172.16.1.254 | Reserverad | |
| 172.16.2.0/24 | Point-to-Point-nätverk | |
| 172.16.2.1 | Inkörsport | |
| 172.16.2.2 — 172.16.2.254 | Reserverad | |
| 172.16.3.0/24 | VETERINÄR | 101 |
| 172.16.3.1 | Inkörsport | |
| 172.16.3.2 — 172.16.3.254 | Användarpool | |
| 172.16.4.0/24 | FEO | 102 |
| 172.16.4.1 | Inkörsport | |
| 172.16.4.2 — 172.16.4.254 | Användarpool | |
| 172.16.5.0/24 | Ekonomiavdelningen | 103 |
| 172.16.5.1 | Inkörsport | |
| 172.16.5.2 — 172.16.5.254 | Användarpool | |
| 172.16.6.0/24 | Andra användare | 104 |
| 172.16.6.1 | Inkörsport | |
| 172.16.6.2 — 172.16.6.254 | Användarpool |
Utrustningsanslutningsplan efter hamnar
Naturligtvis finns det nu switchar med ett gäng 1 GB Ethernet -portar, det finns switchar med 10G, 40 GB finns på avancerad operatörshårdvara som kostar många tusentals dollar, 100 GB är under utveckling (och enligt rykten finns det till och med sådana skivor som har släppts ut i industriell produktion). Följaktligen kan du välja switchar och routrar i den verkliga världen efter dina behov, utan att glömma budgeten. I synnerhet kan en gigabit-switch nu köpas billigt (20-30 tusen) och detta med en marginal för framtiden (om du inte är en leverantör, förstås). En router med gigabit -portar är redan betydligt dyrare än en router med 100 Mbps -portar, men det är värt det eftersom FE -modellerna (100 Mbps FastEthernet) är föråldrade och deras bandbredd är mycket låg.
Men i de emulator- / simulatorprogram som vi kommer att använda finns det tyvärr bara enkla utrustningsmodeller, så när vi modellerar nätverket börjar vi med det vi har: en cisco2811 -router, cisco2960- och 2950 -switchar.
| Enhetsnamn | Hamn | namn | VLAN | |
|---|---|---|---|---|
| Tillgång | Trunk | |||
| msk-arbat-gw1 | FE0 / 1 | UpLink | ||
| FE0 / 0 | msk-arbat-dsw1 | 2,3,101,102,103,104 | ||
| msk-arbat-dsw1 | FE0 / 24 | msk-arbat-gw1 | 2,3,101,102,103,104 | |
| GE1 / 1 | msk-arbat-asw1 | 2,3 | ||
| GE1 / 2 | msk-arbat-asw3 | 2,101,102,103,104 | ||
| FE0 / 1 | msk-rubl-asw1 | 2,101,104 | ||
| msk-arbat-asw1 | GE1 / 1 | msk-arbat-dsw1 | 2,3 | |
| GE1 / 2 | msk-arbat-asw2 | 2,3 | ||
| FE0 / 1 | Webbserver | 3 | ||
| FE0 / 2 | Fil server | 3 | ||
| msk-arbat-asw2 | GE1 / 1 | msk-arbat-asw1 | 2,3 | |
| FE0 / 1 | Mejl server | 3 | ||
| msk-arbat-asw3 | GE1 / 1 | msk-arbat-dsw1 | 2,101,102,103,104 | |
| FE0 / 1-FE0 / 5 | Kraftuttag | 101 | ||
| FE0 / 6-FE0 / 10 | FEO | 102 | ||
| FE0 / 11-FE0 / 15 | Bokföring | 103 | ||
| FE0 / 16-FE0 / 24 | Övrig | 104 | ||
| msk-rubl-asw1 | FE0 / 24 | msk-arbat-dsw1 | 2,101,104 | |
| FE0 / 1-FE0 / 15 | Kraftuttag | 101 | ||
| FE0 / 20 | administratör | 104 | ||
Varför detta är hur VLAN fördelas kommer att förklaras i följande avsnitt.
Nätverksdiagram
Baserat på dessa data kan alla tre nätverksdiagram upprättas i detta skede. För att göra detta kan du använda Microsoft Visio, något gratisprogram, men bundet till dess format, eller grafiska redaktörer (du kan också skriva det för hand, men det kommer att vara svårt att hålla det uppdaterat :)).
Inte för att marknadsföra öppen källkod för, utan en mängd olika medel för att använda Dia. Jag anser att det är en av de bästa schematiska applikationerna för Linux. Det finns en version för Windows, men tyvärr finns det ingen kompatibilitet i visio.
L1
Det vill säga på L1 -diagrammet återspeglar vi de fysiska enheterna i nätverket med portnummer: vad är anslutet var.
L2
På L2 -diagrammet anger vi våra VLAN.
L3
I vårt exempel visade sig den tredje nivåplanen vara ganska värdelös och inte särskilt tydlig på grund av att det bara finns en routingsenhet. Men med tiden kommer det att bli övervuxet med detaljer.
Som du kan se är informationen i dokumenten överflödig. Till exempel upprepas VLAN -nummer både i diagrammet och i planen av portar. Här är vem som är bra för vad. Eftersom det är mer bekvämt för dig, gör det. Denna redundans gör det svårt att uppdatera vid en konfigurationsändring, eftersom du måste fixa det på flera ställen samtidigt, men å andra sidan gör det det lättare att förstå.
Vi kommer att återkomma till den här första artikeln mer än en gång i framtiden, precis som du alltid kommer att behöva gå tillbaka till det du ursprungligen planerade. Egentligen är uppgiften för dem som precis börjat lära sig och är redo att anstränga sig för detta: läs mycket om vlans, ip-adressering, hitta Packet Tracer och GNS3-program. När det gäller grundläggande teoretiska kunskaper rekommenderar vi att du börjar läsa Cisco -pressen. Detta är vad du definitivt behöver veta. I nästa del kommer allt att vara på ett vuxet sätt, med en video lär vi oss att ansluta till utrustningen, hantera gränssnittet och berätta vad du ska göra med en slarvig admin som har glömt lösenordet.
Originalartikel:
Taggar:
CiscoKöp L2 -switch
Switchar är den viktigaste komponenten i moderna kommunikationsnätverk. Det här avsnittet i katalogen innehåller både Managed Layer 2 Gigabit Ethernet -switchar och ohanterade Fast Ethernet -switchar. Beroende på vilka uppgifter som ska lösas, väljs switchar för åtkomstnivå (2 nivåer), aggregering och kärnor, eller switchar med flera portar och en högpresterande buss.
Funktionsprincipen för enheter är att lagra data om deras portar överensstämmer med IP- eller MAC -adressen för den enhet som är ansluten till switch.
Nätverksdiagram
För att uppnå höga hastigheter används informationsteknologi i stor utsträckning med en Gigabit Ethernet (GE) och 10 Gigabit Ethernet (10GE) switch. Överföring av information vid höga hastigheter, särskilt i stora nätverk, innebär valet av en sådan nätverkstopologi som möjliggör flexibel distribution av höghastighetsströmmar.
En strategi med flera lager för att skapa ett nätverk med hanterade Layer 2-switchar löser optimalt sådana problem, eftersom det innebär att en nätverksarkitektur skapas i form av hierarkiska nivåer och tillåter:
- skala nätverket på alla nivåer utan att påverka hela nätverket;
- lägg till olika nivåer;
- utöka nätverkets funktionalitet efter behov;
- minimera resurskostnader för felsökning;
- snabbt lösa problem med överbelastning av nätverket.
De huvudsakliga nätverksapplikationerna baserade på den föreslagna utrustningen är Triple Play -tjänster (IPTV, VoIP, Data), VPN, implementerade genom en universell transport av olika typer av trafik - ett IP -nätverk.
Hanterade switchar på andra nivån i Gigabit Ethernet -teknik gör det möjligt att skapa en nätverksarkitektur som består av tre nivåer av hierarki:
- Kärnskikt... Bildas av kärnomkopplare. Kommunikation mellan enheter sker via fiberoptisk kabel enligt "redundant ring" -schemat. Kärnväxlar stöder hög nätverksbandbredd och tillåter 10Gigabit -överföring mellan stora stadscentrum, till exempel mellan stadsområden. Övergången till nästa nivå i hierarkin - distributionsnivån, utförs över en optisk kanal med en hastighet av 10Gigabit genom optiska XFP -portar. Dessa enheter har bred bandbredd och paketbehandling från L2 till L4.
- Distributionsskikt... Bildas av kantbrytare. Kommunikation sker via fiberoptisk kabel enligt schemat "redundant ring". Denna nivå gör det möjligt att organisera överföring av en ström med en hastighet av 10Gigabit mellan trafikstockningar för användare, till exempel mellan bostadsområden eller en grupp byggnader. Distributionslagerswitcharna är anslutna till det nedre lagret, åtkomstskiktet, via optiska 1Gigabit Ethernet -kanaler via optiska SFP -portar. Funktioner hos dessa enheter: bred bandbredd och paketbehandling från L2 till L4, samt stöd för EISA -protokollet, som låter dig återställa kommunikation inom 10 ms när den optiska ringen bryts.
- Åtkomstlager... Det bildas av hanterade Layer 2 -switchar. Kommunikation sker via fiberoptisk kabel vid 1Gigabit -hastigheter. Åtkomstnivåomkopplare kan delas in i två grupper: med bara ett elektriskt gränssnitt och som också har optiska SFP -portar för att skapa en ring på deras nivå och ansluta till distributionsnivån.
Med ett vänligt leende kommer jag nu ihåg hur mänskligheten med spänning väntade världens ände 2000. Då hände detta inte, men en helt annan händelse hände och också mycket betydelsefull.
Historiskt sett, på den tiden gick världen in i en verklig datorrevolution v. 3.0. - Start molnteknologi för distribuerad datalagring och -behandling... Dessutom, om den föregående "andra revolutionen" var en massiv övergång till "klient-server" -teknologi på 80-talet, kan den första betraktas som början på samtidigt användararbete med separata terminaler anslutna till den s.k. "Mainframes" (på 60 -talet av förra seklet). Dessa revolutionära förändringar skedde fredligt och omärkligt för användarna, men påverkade hela näringslivet tillsammans med informationsteknik.
Vid överföring av IT -infrastruktur till och fjärrdatacenter (databehandlingscentra) blir nyckelfrågan omedelbart organisationen av tillförlitliga kommunikationskanaler från klienten. På Internet finns det ofta förslag från leverantörer: "fysisk hyrd linje, fiberoptik", "L2 -kanal", "VPN" och så vidare ... Låt oss försöka ta reda på vad som ligger bakom detta i praktiken.
Kommunikationskanaler - fysiska och virtuella
1. Organisationen av "fysisk linje" eller "kanal på andra nivå, L2" brukar kallas tjänsten att tillhandahålla en dedikerad kabel (koppar eller fiberoptik) av en leverantör, eller en radiokanal mellan kontor och de platser där data centerutrustning används. Genom att beställa denna tjänst, i praktiken, kommer du troligen att få en dedikerad fiberoptisk kanal att hyra. Denna lösning är attraktiv eftersom leverantören är ansvarig för tillförlitlig kommunikation (och vid kabelskador återställer den kanalens funktion på egen hand). Men i verkligheten är kabeln inte fast hela tiden - den består av många anslutna (svetsade) fragment, vilket något minskar dess tillförlitlighet. För att lägga den fiberoptiska kabeln måste leverantören använda förstärkare, delare och modem vid slutpunkterna.
I marknadsföringsmaterial kallas denna lösning villkorligt för L2 (Data -Link) -lagret i OSI- eller TCP / IP -nätverksmodellen - det låter dig arbeta som om du växlar Ethernet -ramar i LAN, utan att oroa dig för många paketdirigeringsproblem vid nästa IP -nätverkslager. Till exempel är det möjligt att fortsätta använda sina så kallade "privata" IP-adresser i klientens virtuella nätverk istället för registrerade unika offentliga adresser. Eftersom det är mycket bekvämt att använda privata IP -adresser i lokala nätverk, tilldelades speciella intervall från huvudadresseringsklasserna till användare:
- 10.0.0.0 - 10.255.255.255 i klass A (med en mask 255.0.0.0 eller / 8 i ett alternativt masknotationsformat);
- 100.64.0.0 - 100.127.255.255 i klass A (med mask 255.192.0.0 eller / 10);
- 172.16.0.0 - 172.31.255.255 i klass B (med mask 255.240.0.0 eller / 12);
- 192.168.0.0 - 192.168.255.255 i klass C (med mask 255.255.0.0 eller / 16).
Sådana adresser väljs av användarna själva för "intern användning" och kan upprepas samtidigt i tusentals klientnätverk, så datapaket med privata adresser i rubriken dirigeras inte på Internet - för att undvika förvirring. För att komma åt Internet måste du använda NAT (eller en annan lösning) på klientsidan.
Obs: NAT - Network Address Translation (en mekanism för att ersätta nätverksadresser för transitpaket i TCP / IP -nätverk, används för att dirigera paket från klientens lokala nätverk till andra nätverk / Internet och i motsatt riktning - inuti klientens LAN, till adressaten).
Detta tillvägagångssätt (och vi pratar om en dedikerad kanal) har också en uppenbar nackdel - om kundens kontor flyttar kan det finnas allvarliga svårigheter med att ansluta till en ny plats och behovet av att byta leverantör är möjligt.
Påståendet att en sådan kanal är betydligt säkrare, bättre skyddad mot skadliga angrepp och lågutbildad teknisk personals misstag, vid närmare granskning, visar sig vara en myt. I praktiken uppstår säkerhetsproblem ofta (eller skapas medvetet av en hackare) direkt på klientsidan, med deltagande av den mänskliga faktorn.
2. Virtuella kanaler och privata VPN -nätverk (Virtual Private Network) som är byggda på dem är utbredda och gör det möjligt att lösa de flesta av klientens uppgifter.
Att tillhandahålla "L2 VPN" av leverantören förutsätter ett val av flera möjliga "andra nivå" -tjänster, L2:
VLAN - klienten tar emot ett virtuellt nätverk mellan sina kontor, filialer (i själva verket går klientens trafik genom leverantörens aktiva utrustning, vilket begränsar hastigheten);
Point-to-Point PWE3(med andra ord "pseudo-end-to-end-emulering" i paketomkopplade nätverk) gör att Ethernet-ramar kan överföras mellan två noder som om de var direktkablade. Det är viktigt för klienten i denna teknik att alla överförda ramar levereras till fjärrpunkten utan ändringar. Samma sak händer i motsatt riktning. Detta är möjligt på grund av det faktum att klientens ram som anländer till leverantörens router ytterligare inkapslas (läggs till) i ett datablock på högre nivå (MPLS-paket) och extraheras vid slutpunkten;
Obs: PWE3 - Pseudo -Wire Emulation Edge to Edge (en mekanism genom vilken den från användarens synvinkel får en dedikerad anslutning).
MPLS - MultiProtocol Label Switching (en dataöverföringsteknik där paket tilldelas transport- / servicetiketter och överföringsvägen för datapaket i nätverk bestäms endast baserat på etikettens värde, oavsett överföringsmedium, med vilket protokoll som helst. Under routing kan nya etiketter läggas till (vid behov) eller raderas när deras funktion har upphört (paketets innehåll analyseras eller ändras inte).
VPLS är en multipunkts LAN -simuleringsteknik. I det här fallet ser leverantörens nätverk ut som en enda switch från klientsidan som lagrar en tabell med MAC -adresser för nätverksenheter. En sådan virtuell "switch" distribuerar Ethernet -ramen som kom från klientens nätverk, i enlighet med dess avsedda syfte - för detta inkapslas ramen i ett MPLS -paket och extraheras sedan.
Obs: VPLS står för Virtual Private LAN Service (en mekanism där, ur användarens synvinkel, hans geografiskt spridda nätverk är anslutna med virtuella L2 -anslutningar).
MAC - Media Access Control (en metod för mediaåtkomstkontroll - en unik 6 -byte adress -identifierare för en nätverksenhet (eller dess gränssnitt) i Ethernet -nätverk).
3. Vid distribution av “L3 VPN” ser leverantörens nätverk ut som en router med flera gränssnitt i klientens ögon. Därför sker övergången mellan klientens lokala nätverk med leverantörens nätverk på L3 -nivån i OSI- eller TCP / IP -nätverksmodellen.
Offentliga IP -adresser för nätverkskopplingspunkter kan bestämmas efter överenskommelse med leverantören (tillhör klienten eller erhållas från leverantören). IP -adresser konfigureras av klienten på sina routrar på båda sidor (privat - från sidan av deras lokala nätverk, offentliga - från leverantören), ytterligare routing av datapaket tillhandahålls av leverantören. Tekniskt används MPLS för att implementera en sådan lösning (se ovan), liksom GRE- och IPSec -teknik.
Obs: GRE - Generic Routing Encapsulation (ett tunnelprotokoll, packning av nätverkspaket, som gör att du kan upprätta en säker logisk anslutning mellan två slutpunkter - med protokollinkapsling i L3 -nätverkslagret).
IPSec - IP Security (en uppsättning protokoll för att skydda data som överförs med hjälp av IP. Autentisering, kryptering och paketintegritetskontroller används).
Det är viktigt att förstå att modern nätverksinfrastruktur är byggd på ett sådant sätt att kunden bara ser den del av den som definieras av kontraktet. Dedikerade resurser (virtuella servrar, routrar, online- och säkerhetskopieringslagring) samt program och minnesinnehåll är helt isolerade från andra användare. Flera fysiska servrar kan fungera tillsammans och samtidigt för en klient, ur den synvinkel de kommer att se ut som en kraftfull serverpool. Omvänt kan många virtuella maskiner skapas samtidigt på en fysisk server (var och en ser ut för användaren som en separat dator med ett operativsystem). Utöver de vanliga erbjuder vi individuella lösningar som också uppfyller de accepterade kraven när det gäller säkerheten vid behandling och lagring av kunddata.
Samtidigt möjliggör konfigurationen av "L3 -nivå" -nätverket som används i molnet skalning till praktiskt taget obegränsade storlekar (Internet och stora datacenter bygger på denna princip). Dynamiska routingprotokoll, till exempel OSPF, och andra i L3 -molnätverk, låter dig välja de kortaste rutterna för routning av datapaket, skicka paket samtidigt på flera sätt för bästa nedladdning och utöka kanalbredden.
Samtidigt är det möjligt att distribuera ett virtuellt nätverk på "L2 -nivå", vilket är typiskt för små datacenter och föråldrade (eller mycket specifika) klientapplikationer. I vissa sådana fall används även L2 över L3 -teknik för att säkerställa nätverkskompatibilitet och applikationsprestanda.
Låt oss summera
Idag kan användarens / klientens uppgifter i de flesta fall effektivt lösas genom att organisera virtuella privata VPN -nätverk med GRE- och IPSec -teknik för säkerhet.
Det är lite meningsfullt att motsätta sig L2 och L3, precis som det är meningslöst att betrakta L2 -kanalförslaget som den bästa lösningen för att bygga pålitlig kommunikation i ditt nätverk, ett universalmedel. Moderna kommunikationskanaler och utrustning från leverantörer gör det möjligt att skicka en enorm mängd information, och många dedikerade kanaler som hyrs ut av användare är faktiskt till och med underutnyttjade. Det är rimligt att använda L2 endast i speciella fall när uppgifterna i uppgiften kräver det, ta hänsyn till begränsningarna av möjligheten för framtida expansion av ett sådant nätverk och rådfråga en specialist. Å andra sidan är L3 VPN, allt annat lika, mer mångsidiga och lättare att använda.
Denna översikt innehåller en kort sammanfattning av moderna typiska lösningar som används vid överföring av lokal IT -infrastruktur till fjärrdatacenter. Var och en av dem har sin egen konsument, fördelar och nackdelar, rätt val av lösning beror på den specifika uppgiften.
I verkliga livet fungerar båda nivåerna i nätverksmodellen L2 och L3 tillsammans, var och en ansvarar för sin egen uppgift och motsätter sig dem i reklam, leverantörer är öppet listiga.
L3 -omkopplare den kan bara utföra ren IP-routing-den vet inte hur man NAT, ruttkarta eller trafikformar, trafikräkning. Växlarna kan inte fungera med VPN-tunnlar (Site-to-site VPN, Remote Access VPN, DMVPN), de kan inte kryptera trafik eller utföra funktionerna i en statlig brandvägg, och det finns inget sätt att använda dem som en telefonserver (digital PBX).
Den största fördelen med en Layer 3 -switch är snabb dirigering av trafik från olika L3 -segment sinsemellan, oftast är det intern trafik utan tillgång till Internet. ...
Routern ger dig tillgång till Internet. NAT är också konfigurerad på routern.
Att dirigera ett stort antal lokala nätverk är nästan omöjligt på en router, det är stor sannolikhet för försämrad tjänst när man använder QoS, NBAR ACL och andra funktioner som leder till att analys av trafik kommer till gränssnitten. Mest troligt kommer problem att starta när den lokala trafiken överstiger hastigheten på mer än 100 Mbps (beroende på modellen för en viss router). Omkopplaren kan däremot enkelt hantera denna uppgift.
Huvudskälet är det växeln leder trafik baserat på CEF -tabeller.
Cisco Express vidarebefordran (CEF) är en teknik för höghastighets routing / paketväxling, som används i routrar och switchar på tredje nivån i Cisco Systems, och som möjliggör snabbare och mer effektiv behandling av transittrafik.
Routern kan också använda CEF, men om du använder funktioner på routern som leder till analys av all trafik, går trafiken genom processorn. Jämför i routerns prestandatabell som ges i början av routerns prestanda med "Snabbt \ CEF -växling" (med hjälp av tabeller) och med "Processväxling" (routingsbeslut fattas av processorn).
Totalt sett skiljer sig en router från en L3 -switch genom att routern är mycket flexibel när det gäller att hantera trafik, men har en relativt låg prestanda när man arbetar inom ett lokalt nätverk, L3 -omkopplare tvärtom, den har hög prestanda, men kan inte påverka trafiken, bearbeta den.
Om L2 -switchar kan vi säga att de endast används på åtkomstnivå, vilket ger anslutning av slutanvändare (inte nätverksutrustning)
När ska man använda L2 -switchar och när ska man använda L3 -switchar?
I en liten gren på upp till 10 personer räcker det att sätta en router med en inbyggd switch (800-serien) eller en installerad ESW-expansionsmodul (1800,1900-serien) eller ESG-modul.
På ett kontor för 50 personer kan du installera en mellanpresterande router och en 48-portars L2-switch (två 24-portar är möjliga).
I en filial med upp till 200 personer kommer vi att använda en router och flera switchar på andra nivå. Det är viktigt att förstå att om du har delat upp nätverket i segment på IP -adressnivå i flera undernät och dirigerar mellan nätverken på routern, så får du definitivt en hög belastning på processorn, vilket kommer att orsaka brist av prestanda och slutanvändarklagomål om paketdroppar. Om majoriteten av användarna bara kommunicerar med datorer, servrar, skrivare och andra nätverksenheter bara inom sitt L3 -segment och lämnar gränserna för detta adressutrymme endast för att komma åt Internet, kommer denna nätverksdesign att vara tillfredsställande. Vid utbyggnad av nätverket, antalet avdelningar inom vilka trafik inte ska komma utanför denna avdelning, om olika avdelningar (i vårt fall är undernät eller nätverkssegment) tvingas utbyta data med varandra, då kommer routerns prestanda inte att vara nog.
På ett så stort kontor (över 200 anställda) blir det obligatoriskt att köpa en högpresterande Layer 3-switch. Det kommer att ansvara för att stödja alla "default gateways" på lokala segment. Kommunikation mellan denna switch och värdar sker via logiska nätverksgränssnitt (gränssnitt VLAN eller SVI). Routern behöver bara ha två anslutningar - till Internet och till din L3 -omkopplare... Användare måste anslutas via L2 -omkopplare ansluten i en stjärna eller ring till en L3 -switch med Gigabit -anslutningar, så en L3 -switch med Gigabit -portar är till nytta. Således kommer mitten av nätverket att vara rättvist L3 -omkopplare som kommer att ansvara för kärn- och distributionsfunktionerna samtidigt, L2 växlar på åtkomstnivå och en router som en gateway för anslutning till Internet eller för kommunikation med fjärrkontor via tunnlar.
I riktigt stora campusnätverk med mer än 500 personer och med höga krav på prestanda och funktionalitet kan det vara nödvändigt att installera L3 -switchar även på åtkomstnivå för att ansluta användare. Detta kan bero på följande skäl:
Otillräcklig prestanda för L2 -switchar (särskilt med gigabit -portar och när de används som serverfarmar)
Otillräckligt antal aktiva vlan stöds (255 kontra 1000 för L3)
Brist på Q-n-Q-funktionalitet
Otillräckligt antal ACL -poster som stöds (2960 - 512, 3560 - 2000)
Begränsade alternativ för att arbeta med multicaster
Otillräckliga QoS -funktioner på L2 -switchar
"L3 -access" nätverksarkitektur - dvs. routningspunkter för lokala delnät flyttas till åtkomstnivån och redan sammanfattade rutter ges upp till distributionsnivån ...
Brist på L2 och STP på distributionsnivå.
