Uvod u virtuelne lokalne mreže: (virtuelni LAN). Mrežna infrastruktura data centra će postati fleksibilnija

31.10.2017 | Vladimir Khazov

Osnovni zadatak Internet provajdera je pružanje komunikacionih usluga pretplatnicima (pristup Internetu, telefonija, digitalna televizija i dr.). A da bi se omogućio pristup ovim uslugama, potrebno je izgraditi mrežu. U prošlosti smo govorili o glavnim koracima za stvaranje internet provajdera, u ovom ćemo se detaljnije zadržati na izgradnji mreže.

Na slici je prikazan referentni model za izgradnju mreže. To je topologija stabla (kombinacija nekoliko topologija zvijezda) sa dodatnim redundantnim vezama. Redundancija kompenzira glavni nedostatak ove topologije (kvar jednog od čvorova utiče na rad cijele mreže), ali i udvostručuje već prekomjernu potrošnju kabela. Da bi smanjile troškove kablova, mnoge organizacije "pojačavaju" samo najvažnije delove mreže.

Treba imati na umu da je ovo samo model, pa stoga podjela na nivoe može biti uslovna - neki uređaji mogu implementirati oba nivoa odjednom, a neki nivoi mogu biti potpuno odsutni.

Kao što vidite, ovaj model se sastoji od četiri nivoa:

• nivo pristupa;
• nivo agregacije;
• nivo mrežnog jezgra;
• nivo servera.

Analizirajmo svaku od njih posebno.

Nivo pristupa

Glavni proces na ovom nivou je povezivanje opreme klijenta (računar, Wi-Fi ruter) na mrežu provajdera. Ovdje su oprema provajdera svičevi (ako se radi o lokalnoj mreži i planira se povezivanje pomoću žičanog medija) ili bazne stanice (ako se veza ostvaruje putem bežičnog medija). U pravilu, za organiziranje upravljane mreže koriste se prekidači drugog nivoa (L2), rjeđe - trećeg (L3). Neki provajderi u fazi izgradnje lokalne mreže preferiraju neupravljane prekidače, što može naknadno uticati na kvalitet pruženih usluga.

Takođe, radi smanjenja troškova povezivanja, koriste se uređaji sa maksimalnim brojem fizičkih interfejsa 24/48. Cisco Catalyst serije 2900, 3500 i 3700 su se dokazale kao upravljani svičevi drugog nivoa, ali mnogi operateri biraju Eltex, SNR i druge ruske razvoje kao pristupačnije.

L3 prekidači na ovom nivou su prilično rijetki, jer su skuplji od L2, a njihovo postavljanje u tehničke prostorije visokih zgrada povezano je s određenim rizicima. Ako se L3 prekidači nalaze na nivou pristupa, onda samo u kombinaciji nivoa pristupa i nivoa agregacije. Poseban primjer korištenja je kancelarija u kancelariji ili odjelu, a u slučaju provajdera stambena zgrada ili stambeni dio u ovoj zgradi.

Treba napomenuti da prilikom izgradnje mreže svaki provajder bira stepen svoje segmentacije. Mrežni segment, ili VLAN (virtuelna lokalna mreža), omogućava vam da kombinujete grupu korisnika u jednu logičku mrežu ili da odvojite svakog posebno. Smatra se veoma lošim ponašanjem kada je mreža "ravna", odnosno klijenti, svičevi, ruteri i serveri su na istom logičkom segmentu. Takva mreža ima dosta nedostataka. Ispravnije rješenje je podijeliti cijelu mrežu na manje podmreže, idealno da se dodijele VLAN-ovi za svakog klijenta.

Nivo agregacije

Srednji nivo između jezgre mreže i nivoa pristupa. U pravilu se ovaj nivo implementira na L3 prekidačima, rjeđe na ruterima zbog njihove visoke cijene i, opet, posebnosti rada u određenim vrstama prostorija. Glavni zadatak opreme je da kombinuje veze sa prekidača nivoa pristupa na prekidaču "kičma" u topologiji "zvezda".

Udaljenost od pristupnih prekidača do prekidača ove grupe može doseći nekoliko kilometara. Ako se L2 prekidači koriste na nivou pristupa, a mreža je segmentirana, tada su L3 interfejsi za VLAN specificirane na nivou pristupa organizovani na ovom nivou. Ovaj pristup može donekle rasteretiti jezgro mreže, jer u ovom slučaju jezgro nema zapise o samim VLAN-ovima i parametrima VLAN interfejsa, već ima samo rutu do konačne podmreže.

Najpopularnija oprema koju provajderi koriste za implementaciju ovog sloja je Cisco Catalyst 3750 i 3550 serije, posebno WS-C3550-24-FX-SMI.

Potonji je stekao popularnost zbog najvećeg broja optičkih sučelja, ali je, nažalost, zastario i ne ispunjava moderne zahtjeve za izgradnju mreže. Oprema iz Foundry (sada Brocade), Nortel (zastarjela), Extreme, SNR i Eltex također se prilično dobro nosi sa zadacima ovog nivoa. Hardver koji pruža Foundry/Brocade omogućava vam da koristite šasiju i utore za proširenje za to i povećate performanse po potrebi.

Nivo kernela

Jezgro je sastavni dio svake mreže. Ovaj nivo se implementira na ruterima, rjeđe na L3 prekidačima visokih performansi (opet, da bi se smanjili troškovi same mreže.) Kao što je ranije spomenuto, u zavisnosti od mrežne arhitekture, kernel može "čuvati" statičke rute ili imati postavke za dinamičko rutiranje.

Nivo servera

Implementiraju ga, kao što naziv govori, mrežni serveri. Implementacija može biti i na serverskim platformama i na specijalizovanom hardveru. Softver za serverske platforme danas predstavljaju različiti proizvođači i pod različitim vrstama licenci, kao i OS na kojem će ovaj softver raditi. Standardni provajder postavljen na ovom nivou:

• DHCP server
• DNS server;
• jedan ili više pristupnih servera (ako ih ima);
• AAA server (radijus ili prečnik);
• server za naplatu;
• server baze podataka;
• server za pohranjivanje statistike toka i informacija o naplati;
• server za praćenje mreže;
• Zabavne usluge za korisnike (opcionalno);
• serveri sadržaja (kao što je Google Cache).

O ovim uslugama će se detaljno govoriti u sljedećem članku.

granični nivo

Rubni sloj obično nema na dijagramima datim na samom početku, jer radi izvan glavne mreže, iako se može implementirati na nivou kernela. Ali bolje je dodijeliti neovisni uređaj za ove svrhe. Na ovom nivou, saobraćaj se razmenjuje između provajdera i upstream provajdera ili između AS (autonomnog sistema) operatera sa drugim autonomnim sistemima (u slučaju korišćenja BGP). Na početku izgradnje mreže nivo se može implementirati i na pristupni server, ali kasnije, čim bude potrebno dodati još jedan pristupni server, postavlja se pitanje podmreže sa vaših pravih adresa.

Ova potreba se može implementirati na ruterima ili na L3 prekidačima - dovoljno je da usmjerite eksterni skup adresa iz vlastite eksterne podmreže na IP adresu koju izdaje provajder kada je povezan.

Konačna šema ISP mreže može izgledati ovako, ali u praksi je modificirana za određene zadatke.

U sljedećim člancima govorit ćemo o glavnim uslugama koje je potrebno koristiti u ISP mreži, kao io načinima za konvergiranje nekih od njih pomoću .

Za više informacija o prednostima savremenog sistema dubinske analize saobraćaja SCAT DPI, njegovoj efektivnoj upotrebi na mrežama telekom operatera, kao io migraciji sa drugih platformi, možete saznati od stručnjaka kompanije, programera i dobavljača DPI sistem za analizu saobraćaja.

(). Razumijemo da su "OSI" i "TCP/IP" strašne riječi za početnike. Ali ne brinite, ne koristimo ih da vas uplašimo. To je ono s čime ćete se morati svakodnevno baviti, pa ćemo tokom ovog ciklusa pokušati otkriti njihovo značenje i odnos prema stvarnosti.

Počnimo sa postavljanjem zadatka. Postoji određena firma koja se bavi, na primjer, proizvodnjom liftova koji idu samo gore i zato se zove Lift Me Up LLC. Nalaze se u staroj zgradi na Arbatu, a trule žice priključene na pregorele i izgorele vremenske sklopke 10Base-T ne očekuju da se novi serveri povezuju preko gigabitnih kartica. Dakle, imaju katastrofalnu potrebu za mrežnom infrastrukturom i kokoške ne kljucaju za novac, što vam daje mogućnost neograničenog izbora. Ovo je divan san svakog inženjera. I juče ste položili intervju i u teškoj borbi s pravom ste dobili poziciju mrežnog administratora. A sada ste prvi i jedini te vrste u njemu. Čestitamo! Šta je sledeće?

Potrebno je malo precizirati situaciju:

1. U ovom trenutku kompanija ima dve kancelarije: 200 kvadratnih metara na Arbatu za poslove i server sobu. Postoji nekoliko provajdera. Drugi na Rubljovki.
2. Postoje četiri grupe korisnika: računovodstvo (B), finansijsko-ekonomsko odjeljenje (FEO), proizvodno-tehničko odjeljenje (PTO), ostali korisnici (D). A tu su i serveri ©, koji su stavljeni u posebnu grupu. Sve grupe su odvojene i nemaju direktan pristup jedna drugoj.
3. Korisnici grupa C, B i FEO biće samo u kancelariji Arbat, PTO i D će biti u obe kancelarije.

Nakon procjene broja korisnika, potrebnih interfejsa, komunikacionih kanala, pripremate mrežni dijagram i IP plan.

Prilikom dizajniranja mreže, trebali biste pokušati da se pridržavate hijerarhijskog mrežnog modela, koji ima mnogo prednosti u odnosu na „ravnu mrežu“:

• lakše razumijevanje organizacije mreže
• model podrazumijeva modularnost, što znači da je lako proširiti kapacitet upravo tamo gdje je to potrebno
• lakše pronaći i izolovati problem
• povećana tolerancija grešaka zbog dupliranja uređaja i/ili priključaka
• distribucija funkcija za osiguranje performansi mreže na različitim uređajima.

Prema ovom modelu, mreža je podijeljena na tri logička nivoa: mrežno jezgro(Sloj jezgre: uređaji visokih performansi, glavna namjena je brz transport), nivo distribucije(Sloj distribucije: obezbeđuje sprovođenje bezbednosne politike, QoS, VLAN agregaciju i rutiranje, definiše domene emitovanja) i nivo pristupa(Pristupni sloj: obično L2 prekidači, svrha: povezivanje krajnjih uređaja, označavanje saobraćaja za QoS, zaštita od mrežnih prstenova (STP) i oluja emitovanja, obezbeđivanje napajanja za PoE uređaje).

U razmjerima poput naše, uloga svakog uređaja je zamagljena, ali je moguće logički razdvojiti mrežu.
Napravimo približan dijagram:

U prikazanom dijagramu, jezgro (Core) će biti ruter 2811, prekidač 2960 će biti dodijeljen nivou distribucije (Distribution), budući da su svi VLAN-ovi agregirani u zajednički trunk na njemu. Prekidači 2950 će biti pristupni uređaji. Na njih će biti povezani krajnji korisnici, kancelarijska oprema, serveri.

Uređaje ćemo imenovati na sljedeći način: skraćeni naziv grada ( msk) - geografski položaj (ulica, zgrada) ( arbat) - uloga uređaja u mreži + serijski broj.
Prema njihovim ulogama i lokaciji, biramo ime hosta:
Ruter 2811: msk-arbat-gw1(gw=GateWay=gateway)
Switch 2960: msk-arbat-dsw1(dsw=Prekidač za distribuciju)
Prekidači 2950: msk-arbat-aswN, msk-rubl-asw1(asw=pristupni prekidač)

Mrežna dokumentacija

Cijela mreža mora biti striktno dokumentirana: od dijagrama kola do naziva sučelja.
Prije nego što nastavim s postavljanjem, želio bih navesti potrebne dokumente i radnje:

• Mrežni dijagrami L1, L2, L3 u skladu sa slojevima OSI modela (fizički, kanal, mreža)
• Plan IP adresiranja = IP plan
• VLAN lista
• Potpisi ( opis) interfejsi
• Spisak uređaja (za svaki treba navesti: model hardvera, instaliranu verziju IOS-a, količinu RAM-a \ NVRAM-a, listu interfejsa)
• Oznake na kablovima (odakle ide i kuda), uključujući i kablove i uređaje za napajanje i uzemljenje
• Jedinstven propis koji definira sve gore navedene parametre i druge

Podebljano je ono što ćemo pratiti kao dio programa simulatora. Naravno, sve promjene na mreži moraju se izvršiti u dokumentaciji i konfiguraciji kako bi bile ažurne.

Kada govorimo o naljepnicama/naljepnicama na kablovima, mislimo na ovo:

Na ovoj fotografiji se jasno vidi da je svaki kabel označen, vrijednost svake mašine na oklopu u racku, kao i svaki uređaj.

Hajde da pripremimo dokumente koji su nam potrebni:

VLAN lista

Svaka grupa će biti dodijeljena zasebnom vlan-u. Na ovaj način ćemo ograničiti broadcast domene. Uvest ćemo i poseban VLAN za upravljanje uređajima.
VLAN brojevi od 4 do 100 su rezervisani za buduću upotrebu.

IP plan

IP adresa	Bilješka	VLAN
172.16.0.0/16
172.16.0.0/24	Farma servera	3
172.16.0.1	Gateway
172.16.0.2	web
172.16.0.3	fajl
172.16.0.4	Mail
172.16.0.5 - 172.16.0.254	rezervisano
172.16.1.0/24	Kontrola	2
172.16.1.1	Gateway
172.16.1.2	msk-arbat-dsw1
172.16.1.3	msk-arbat-asw1
172.16.1.4	msk-arbat-asw2
172.16.1.5	msk-arbat-asw3
172.16.1.6	msk-rubl-aswl
172.16.1.6 - 172.16.1.254	rezervisano
172.16.2.0/24	Mreža od tačke do tačke
172.16.2.1	Gateway
172.16.2.2 - 172.16.2.254	rezervisano
172.16.3.0/24	VET	101
172.16.3.1	Gateway
172.16.3.2 - 172.16.3.254	Bazen za korisnike
172.16.4.0/24	FEO	102
172.16.4.1	Gateway
172.16.4.2 - 172.16.4.254	Bazen za korisnike
172.16.5.0/24	Računovodstvo	103
172.16.5.1	Gateway
172.16.5.2 - 172.16.5.254	Bazen za korisnike
172.16.6.0/24	Ostali korisnici	104
172.16.6.1	Gateway
172.16.6.2 - 172.16.6.254	Bazen za korisnike

Alokacija podmreža je generalno proizvoljna, odgovara samo broju čvorova u ovoj lokalnoj mreži, uzimajući u obzir mogući rast. U ovom primjeru, sve podmreže imaju standardnu ​​masku /24 (/24=255.255.255.0) - one se često koriste u lokalnim mrežama, ali ne uvijek. Savjetujemo vam da pročitate o klasama mreža. U budućnosti ćemo se okrenuti besklasnom adresiranju (cisco). Razumijemo da su veze do tehničkih članaka na Wikipediji loše manire, ali daju dobru definiciju, a mi ćemo zauzvrat pokušati to prenijeti na sliku stvarnog svijeta.
Pod Point-to-Point mrežom podrazumijevamo vezu jednog rutera s drugim u point-to-point modu. Obično se uzimaju adrese s maskom od 30 (vraćajući se na temu besklasnih mreža), odnosno koje sadrže dvije adrese hosta. Kasnije će biti jasno šta je u pitanju.

Plan povezivanja opreme po lukama

Naravno, sada postoje svičevi sa gomilom 1Gb Ethernet portova, postoje svičevi sa 10G, postoje 40Gb na naprednom operaterskom hardveru koji košta mnogo hiljada dolara, 100Gb je u razvoju (a prema glasinama ima čak takve ploče koje su ušle u industrijsku proizvodnju). U skladu s tim, u stvarnom svijetu možete birati prekidače i rutere prema svojim potrebama, a da pritom ne zaboravite na budžet. Konkretno, gigabitni prekidač se sada može kupiti jeftino (20-30 hiljada) i to je uz rezervu za budućnost (ako niste provajder, naravno). Ruter sa gigabitnim portovima je već znatno skuplji od rutera sa 100Mbps portovima, ali se isplati jer su FE modeli (100Mbps FastEthernet) zastareli i njihova propusnost je veoma mala.
Ali u programima emulatora/simulatora koje ćemo koristiti, nažalost, postoje samo jednostavni modeli opreme, pa ćemo pri modeliranju mreže krenuti od onoga što imamo: cisco2811 ruter, cisco2960 i 2950 prekidači.

Naziv uređaja	Luka	Ime	VLAN
Pristup	Prtljažnik
msk-arbat-gw1	FE0/1	uplink
	FE0/0	msk-arbat-dsw1		2,3,101,102,103,104
msk-arbat-dsw1	FE0/24	msk-arbat-gw1		2,3,101,102,103,104
	GE1/1	msk-arbat-asw1		2,3
	GE1/2	msk-arbat-asw3		2,101,102,103,104
	FE0/1	msk-rubl-asw1	2,101,104
msk-arbat-asw1	GE1/1	msk-arbat-dsw1		2,3
	GE1/2	msk-arbat-asw2		2,3
	FE0/1	web server	3
	FE0/2	Fileserver	3
msk-arbat-asw2	GE1/1	msk-arbat-asw1		2,3
	FE0/1	mailserver	3
msk-arbat-asw3	GE1/1	msk-arbat-dsw1		2,101,102,103,104
	FE0/1-FE0/5	PTO	101
	FE0/6-FE0/10	FEO	102
	FE0/11-FE0/15	Računovodstvo	103
	FE0/16-FE0/24	Ostalo	104
msk-rubl-asw1	FE0/24	msk-arbat-dsw1	2,101,104
	FE0/1-FE0/15	PTO	101
	FE0/20	administrator	104

Zašto se VLAN-ovi distribuiraju na ovaj način, objasnićemo u narednim delovima.

Mrežni dijagrami

Na osnovu ovih podataka u ovoj fazi mogu se nacrtati sva tri mrežna dijagrama. Da biste to uradili, možete koristiti Microsoft Visio, neku besplatnu aplikaciju, ali vezanu za njen format, ili grafičke uređivače (možete i slobodnom rukom, ali biće teško da budete u toku :)).

Ne za propagandu otvorenog koda, već za razna sredstva, koristimo Dia. Smatram da je to jedna od najboljih aplikacija za dijagramiranje za Linux. Postoji verzija za Windows, ali, nažalost, Visio nema kompatibilnost.

L1

Odnosno, u L1 dijagramu odražavamo fizičke uređaje mreže s brojevima portova: što je gdje povezano.

L2

U L2 dijagramu označavamo naše VLAN-ove

L3

U našem primjeru, shema trećeg sloja se pokazala prilično beskorisnom i ne baš vizualnom, zbog prisustva samo jednog uređaja za usmjeravanje. Ali s vremenom će dobiti detalje.

Kao što vidite, informacije u dokumentima su suvišne. Na primjer, VLAN brojevi se ponavljaju i na dijagramu i na planu porta. Kao da je neko na nečemu. Kako se osjećate ugodnije, učinite to. Ova redundantnost otežava ažuriranje u slučaju promjene konfiguracije, jer je potrebno popraviti na nekoliko mjesta odjednom, ali s druge strane olakšava razumijevanje.

Na ovaj prvi članak ćemo se vraćati više puta u budućnosti, kao što ćete se uvijek morati vraćati na ono što ste prvobitno planirali.
Pravi zadatak za one koji tek počinju da uče i koji su spremni da se za to potrude: čitati dosta o vlansovima, ip adresiranju, pronaći Packet Tracer i GNS3 programe.
Što se tiče osnovnih teorijskih znanja, savjetujemo vam da počnete čitati Cisco press. Ovo je nešto što apsolutno morate znati.
U narednom dijelu sve će biti na način za odrasle, uz video ćemo naučiti kako se spojiti na opremu, pozabaviti se interfejsom i reći šta da radiš nemarnom administratoru koji je zaboravio lozinku.
P.S. Hvala koautoru članka - Maximu aka Gluck.
P.P.S Za one koji imaju šta da pitaju, ali nemaju priliku da postave svoje pitanje ovdje, dobrodošli ste

Uvod u VLAN: (Virtuelni LAN)
U mrežama sa komutacijom sloja 2, mreža izgleda kao "ravna" (vidi sliku 1). Svaki emitovani paket se šalje svim uređajima, bez obzira da li uređaj treba da primi ove podatke.

S obzirom na to da komutacija sloja 2 generiše odvojene kolizione domene za svaki uređaj povezan sa komutatorom, manje su ograničenja na dužinu Ethernet segmenta, tj. mogu se izgraditi veće mreže. Povećanje broja korisnika i uređaja rezultira povećanjem broja emitiranja i paketa koje obrađuje svaki uređaj. Još jedan problem sa ravnim prebacivanjem sloja 2 je sigurnost mreže. Imajte na umu da svi korisnici "vide" sve uređaje. Ne možete otkazati emitiranje uređaja i korisničke odgovore na ta emitiranja. Povećanje nivoa sigurnosti omogućava vam da zaštitite servere i druge uređaje pomoću lozinki. Kreiranje VLAN-a pomaže u rješavanju mnogih problema s prebacivanjem sloja 2, koji će biti prikazani u nastavku.

Emitovanje je izvorno za bilo koji protokol, ali njihova učestalost zavisi od specifičnosti protokola koji radi na mreži aplikacija i načina na koji se mrežni servisi koriste. Ponekad morate prepisati stare aplikacije kako biste smanjili broj emitiranja. Međutim, aplikacije sljedeće generacije su gladne propusnog opsega i zauzimaju sve resurse koje otkriju. Multimedijalne aplikacije u velikoj mjeri koriste emitiranje i multicast. Na intenzitet emitiranja aplikacije utiču kvarovi hardvera, neadekvatna segmentacija i loše dizajnirani zaštitni zidovi. Posebna pažnja se preporučuje tokom projektovanja mreže jer se emitovanja distribuiraju preko komutirane mreže. Podrazumevano, ruteri samo vraćaju takve emisije izvornoj mreži, ali prebacuju direktno emitovanje na sve segmente. Zbog toga se mreža naziva "flat", jer se formira jedinstvena broadcast domena. Odgovornost je mrežnog administratora da osigura da je segmentacija mreže ispravna kako se problemi jednog segmenta ne bi proširili na cijelu mrežu. Najefikasniji način da se to uradi je prebacivanje i rutiranje. Budući da prekidač ima bolji omjer cijene i učinka, mnoge kompanije prelaze sa ravnih mreža na potpuno komutirane mreže ili na VLAN. Svi uređaji u VLAN-u su članovi iste domene emitovanja i primaju sve emisije. Podrazumevano, emitovanja se filtriraju na svim portovima komutatora koji nisu članovi istog VLAN-a. Ruteri, prekidači sloja 3 i moduli za komutaciju staza RSM (modul za prebacivanje rute) moraju se koristiti zajedno sa prekidačima kako bi se obezbijedile veze između VLAN-ova i spriječilo širenje emitiranja kroz mrežu. Sigurnost Drugi problem kod ravnih mreža je sigurnost, koja je određena vezom čvorišta i prekidača preko rutera. Mrežnu sigurnost obezbjeđuju ruteri. Međutim, svako ko se poveže na fizičku mrežu ima pristup njenim resursima. Osim toga, korisnik može povezati mrežni analizator na čvorište i promatrati sav mrežni promet. Dodatni problem je vezan za uključivanje korisnika u radnu grupu - dovoljno je povezati mrežnu stanicu na čvorište. Korišćenje VLAN-a i kreiranje više grupa za emitovanje omogućiće administratoru da kontroliše svaki port i korisnika. Korisnici više neće moći samostalno da povežu svoje radne stanice na proizvoljni port prekidača i dobiju pristup mrežnim resursima. Administrator kontrolira svaki port i sve resurse koji se pružaju korisnicima. Grupe se formiraju na osnovu korisničkih zahtjeva za mrežne resurse, tako da se prekidač može konfigurirati da obavijesti stanicu za upravljanje mrežom o svakom neovlaštenom pristupu mrežnim resursima. Ako postoji komunikacija između VLAN-ova, možete implementirati ograničenja pristupa putem rutera. Ograničenja su postavljena na hardverske adrese, protokole i aplikacije. Fleksibilnost i skalabilnost Prekidač sloja 2 ne filtrira, već samo čita okvire, jer ne analizira informacije o protokolu mrežnog sloja. Ovo uzrokuje da prekidač preusmjerava sve emisije. Međutim, kreiranje VLAN-a generiše domene emitovanja. Ovi prijenosi iz čvora u jednom VLAN-u neće biti usmjereni na portove u drugom VLAN-u. Dodeljivanjem komutiranih portova i korisnika određenoj VLAN grupi jednog prekidača ili grupe povezanih komutatora (takva grupa se naziva fabrikaprebacivanje - switch fabric), povećavamo fleksibilnost dodavanja korisnika samo na jednu domenu emitiranja, bez obzira na fizičku lokaciju korisnika. Ovo sprječava širenje oluja emitiranja kroz mrežu kada mrežna kartica (NIC) ili aplikacija pokvari. Kada VLAN postane veoma velik, novi VLAN-ovi se mogu formirati bez dopuštanja emitovanja da zauzme previše propusnog opsega. Što je manje korisnika u VLAN-u, na manje korisnika utječu emitiranja. Da biste razumjeli kako VLAN izgleda sa stajališta prekidača, korisno je prvo razmotriti konvencionalne lokalizirane trankove. Na sl. Slika 2 prikazuje srušenu kičmu stvorenu povezivanjem fizičkih LAN-ova na ruter. Svaka mreža je povezana na ruter i ima svoj logički mrežni broj. Svaki čvor na zasebnoj fizičkoj mreži mora poštovati ovaj broj mreže kako bi komunicirao na rezultirajućoj mreži. Razmotrimo isto kolo bazirano na prekidaču. Rice. 3 pokazuje kako prekidač eliminiše fizičke granice komunikacije u mreži. Prekidač je fleksibilniji i skalabilniji od rutera. Možete grupisati korisnike u interesne zajednice, što se naziva organizacijska struktura VLAN-a.

Čini se da upotreba prekidača eliminira potrebu za ruterom. Ovo nije istina. Na sl. 3 prikazuje četiri VLAN-a (broadcast domene). Hostovi u svakom VLAN-u mogu komunicirati jedni s drugima, ali ne i sa drugim VLAN-ovima ili njihovim domaćinima. Tokom VLAN konfiguracije, hostovi moraju biti unutar lokalizirane okosnice (pogledajte sliku 2). Šta radi domaćin na sl. 2 da kontaktira hosta ili hosta na drugoj mreži? Host treba da kontaktira preko rutera ili drugog uređaja sloja 3, kao kod komunikacije unutar VLAN-a (pogledajte sliku 3). Interakcija između VLAN-ova, kao i između fizičkih mreža, mora biti vrši preko uređaja nivoa 3.

VLAN članstvo

VLAN obično kreira administrator koji mu dodeljuje portove komutatora. Ova metoda se naziva statička virtuelna lokalna mreža (statična VLAN). Ako se administrator malo potrudi i dodijeli hardverske adrese svim hostovima kroz bazu podataka, prekidač se može konfigurirati da dinamički kreira VLAN. Statički VLAN-ovi Statički VLAN-ovi su tipičan način formiranja takvih mreža i vrlo su sigurni. VLAN-dodijeljeni portovi prekidača uvijek ostaju na snazi ​​dok administrator ne izvrši novu dodjelu porta. Ovu vrstu VLAN-a je lako konfigurirati i nadgledati, a statički VLAN-ovi su vrlo pogodni za mreže u kojima se kontrolira kretanje korisnika. Programi za upravljanje mrežom pomoći će vam u dodjeli portova. Međutim, takvi programi nisu potrebni. Dinamički VLAN-ovi Dinamički VLAN-ovi automatski pratiti dodjelu čvorova. Upotreba softvera za inteligentno upravljanje mrežom omogućava formiranje dinamičkih VLAN-ova zasnovanih na hardverskim (MAC) adresama, protokolima, pa čak i aplikacijama. Pretpostavimo da je MAC adresa unesena u aplikaciju centralnog upravljanja VLAN-om. Ako je port tada povezan sa nedodijeljenim portom komutatora, baza podataka za upravljanje VLAN-om će pronaći hardversku adresu, dodijeliti je i konfigurirati port switch za ispravan VLAN. Ovo pojednostavljuje administrativno upravljanje i zadatke konfiguracije. Ako se korisnik preseli na drugu lokaciju na mreži, port komutatora će automatski biti dodijeljen ispravnom VLAN-u. Međutim, za početno popunjavanje baze, administrator će morati poraditi.

Cisco mrežni administratori mogu koristiti VMPS (VLAN Management Policy Server) uslugu za postavljanje baze podataka MAC adresa koja se koristi prilikom kreiranja dinamičkih VLAN-ova. VMPS je baza podataka za prevođenje MAC adresa u VLAN.

VLAN identifikacija VLAN može obuhvatiti više povezanih prekidača. Uređaji u takvoj strukturi prekidača prate i same okvire i njihovu pripadnost određenom VLAN-u. Za to se vrši označavanje okvira. Prekidači će moći usmjeriti okvire na odgovarajuće portove. U takvom komutacijskom okruženju postoje dvije različite vrste veza: Pristupne veze(Pristupna veza) Veze koje pripadaju samo jednom VLAN-u i smatraju se primarnom vezom određenog porta komutatora. Bilo koji uređaj povezan na pristupnu vezu nije svjestan svog VLAN članstva. Ovaj uređaj sebe smatra dijelom domene emitiranja, ali nije svjestan svog stvarnog fizičkog članstva u mreži. Prekidači uklanjaju sve informacije o VLAN-u prije nego što se okvir pošalje na pristupnu vezu. Uređaji na pristupnim vezama ne mogu komunicirati sa uređajima izvan svog VLAN-a, osim ako paketi ne prolaze kroz ruter. Backbone veze(Trank link) Trank veze su sposobne da opslužuju više VLAN-ova. Naziv ovih linija je pozajmljen iz telefonskih sistema, gde su magistralne linije sposobne da istovremeno vode nekoliko telefonskih razgovora. U računarskim mrežama, okosnice se koriste za povezivanje prekidača sa prekidačima, ruterima, pa čak i serverima. Trank veze podržavaju samo Fast Ethernet ili Gigabit Ethernet protokole. Za identifikaciju unutar okvira koji pripada određenom Ethernet VLAN-u, Cisco switch podržava dvije različite šeme provjere autentičnosti: ISL i 802.lq. Trank veze se koriste za transport VLAN-ova između uređaja i mogu se konfigurirati da podržavaju sve ili samo nekoliko VLAN-ova. Trank veze zadržavaju članstvo u "nativnom" VLAN-u (tj. podrazumevanom VLAN-u) koji se koristi kada trank ne uspe.

Označavanje okvira

Mrežni prekidač treba da prati korisnike i okvire koji prolaze kroz tkaninu i VLAN. Mreža prekidača je grupa prekidača koji dijele iste informacije o VLAN-u. Identifikacija (označavanje) okvira uključuje dodeljivanje okvira jedinstvenog identifikatora koji je definisao korisnik. Ovo se često naziva dodjeljivanje VLAN ID-a ili dodjela boja. Cisco je razvio metod označavanja okvira koji se koristi za transport Ethernet okvira preko okosnih veza. VLAN oznaka se uklanja prije nego što okvir izađe iz debla. Svaki prekidač koji primi okvir mora identificirati VLAN ID kako bi odredio šta da radi sa okvirom na osnovu tabele filtera. Ako okvir udari u prekidač spojen na drugi trunk, okvir se usmjerava na port tog trank-a. Kada okvir stigne na kraj trank veze i sprema se da uđe u pristupnu vezu, prekidač uklanja VLAN ID. Krajnji uređaj će primiti okvir bez ikakvih informacija o VLAN-u.

Metode identifikacije VLAN-a

VLAN identifikator se koristi za praćenje okvira koji se kreću kroz strukturu prekidača. Označava pripadnost okvira određenom VLAN-u. Postoji nekoliko metoda za praćenje okvira u trunk linkovima: ISL protokol ISL (Inter-Switch Link) protokol je licenciran za Cisco svičeve i koristi se samo na FastEthernet i Gigabit Ethernet mrežama. Protokol se može primijeniti na port komutatora, sučelje rutera ili sučelje mrežnog adaptera na serveru koji je okosnica. Takav backbone server je pogodan za kreiranje VLAN-ova koji ne krše pravilo 80/20. Backbone server je član svih VLAN-ova (broadcast domena) u isto vrijeme. Korisnici ne moraju prelaziti preko uređaja Layer 3 da bi pristupili serveru koji se dijeli u organizaciji. IEEE 802.1q Protokol je kreirao IEEE kao standardnu ​​metodu za označavanje okvira. Protokol uključuje umetanje dodatnog polja u okvir za identifikaciju VLAN-a. Da biste kreirali magistralnu vezu između Cisco dial-up linija i komutatora treće strane, morate koristiti protokol 802.lq da bi trunk veza radila. LANE Protokol LANE (LAN emulacija) se koristi za interakciju nekoliko VLAN-ova preko ATM-a. 802.10 (FDDI) Omogućava prosljeđivanje VLAN informacija preko FDDL-a. Koristi polje SAID u zaglavlju okvira za identifikaciju VLAN-a. Protokol je licenciran za Cisco uređaje. ISL protokol ISL (Inter-Switch Link) protokol je način da se eksplicitno označi VLAN informacije u Ethernet okvirima. Označavanje omogućava da se VLAN-ovi multipleksiraju na magistralnim vezama korištenjem metode eksterne enkapsulacije. Sa LSL-om, više komutatora može biti međusobno povezano uz održavanje informacija o VLAN-u, dok se promet prenosi i preko sviča i okosnice. ISL protokol karakteriše nisko kašnjenje i visoke performanse na nivou linije za FastEthernet u polu i punom dupleksu. ISL protokol je razvio Cisco, tako da se ISL smatra licenciranim samo za Cisco uređaje. Ako vam je potreban nelicencirani protokol za VLAN, koristite 802.lq (pogledajte knjigu CCNP: Vodič za učenje o prebacivanju). ISL je eksterni proces označavanja, tj. originalni okvir nije promijenjen ni na koji način, ali je dopunjen novim 26-bajtnim ISL zaglavljem. Dodatno, drugo 4-bajtno polje sekvence za provjeru okvira FCS (provjera okvira) je umetnuto na kraj okvira. Pošto je okvir inkapsuliran, samo uređaji koji podržavaju ISL protokol mogu ga čitati. Okviri ne smiju prelaziti 1522 bajta. Uređaj koji prima ISL okvir može smatrati da je okvir prevelik, s obzirom da Ethernet ima maksimalnu dužinu segmenta od 1518 bajtova. U multi-VLAN portovima (trunk portovi), svaki okvir je označen kada ulazi u komutator. Mrežni adapter (NIC, mrežna kartica) koji podržava ISL protokol omogućava serveru da prima i šalje označene okvire za više VLAN-ova. Štaviše, okviri mogu proći kroz nekoliko VLAN-ova bez prelaska rutera, što smanjuje kašnjenje. Ova tehnologija se može koristiti u mrežnim sondama i analizatorima. Korisnik će moći da se poveže sa serverom bez prelaska rutera svaki put kada pristupi bilo kom informacionom resursu. Na primjer, mrežni administrator može koristiti ISL da omogući server datoteka na više VLAN-ova u isto vrijeme.Važno je razumjeti da se ISL VLAN informacije dodaju okviru samo kada se prosljeđuju na port konfiguriran za trunk mod. ISL enkapsulacija se uklanja iz okvira čim uđe u asocijaciju pristupa. Backbone veze Trankovi su 100 ili 1000 Mbps point-to-point veze između dva prekidača, između sviča i rutera ili između komutatora i servera. Trank veze su sposobne da isporuče saobraćaj na više VLAN-ova (od 1 do 1005 podržanih mreža istovremeno). Nije dozvoljeno raditi trunk veze u linijama od 10 Mbit/s. Trunking vam omogućava da port postane član više VLAN mreža u isto vrijeme, tako da, na primjer, backbone server može biti u dva domena emitiranja u isto vrijeme. Korisnici će moći da izbjegnu potrebu da prelaze uređaj sloja 3 (ruter) kada se prijavljuju i koriste server. Pored toga, povezivanjem prekidača, tranking će omogućiti da se neke ili sve informacije o VLAN-u prenesu preko veze. Ako ne kreirate trunk vezu između prekidača, tada će po defaultu ovi uređaji moći komunicirati samo informacije jednog VLAN-a. Svi VLAN-ovi su konfigurisani sa trunk vezama osim ako ih administrator nije kreirao ručno. Cisco svičevi koriste DTP (Dynamic Trunking Protocol) za upravljanje prelaskom na grešku u Catalyst verziji 4.2 ili novijoj softverskoj mašini i koriste ISL ili 802.lq. DTP je point-to-point protokol dizajniran da prenosi informacije o trank linku preko 802.lq trank linija.

Ovo je prvi članak u seriji "Mreže za najmlađe". Maxim aka Gluck i ja smo dugo razmišljali odakle da počnemo: rutiranje, VLAN, postavljanje opreme. Kao rezultat toga, odlučili smo da počnemo s osnovnom i, moglo bi se reći, najvažnijom stvari: planiranjem. Pošto je ciklus osmišljen za potpune početnike, ići ćemo sve od početka do kraja.

Pretpostavlja se da ste barem pročitali o referentnom modelu OSI, o steku TCP/IP protokola, da znate o tipovima VLAN-ova koji postoje, o trenutno najpopularnijim VLAN-ovima baziranim na portovima i o IP adresama. Razumijemo da su "OSI" i "TCP/IP" strašne riječi za početnike. Ali ne brinite, ne koristimo ih da vas uplašimo. To je ono s čime ćete se morati svakodnevno baviti, pa ćemo tokom ovog ciklusa pokušati otkriti njihovo značenje i odnos prema stvarnosti.

Počnimo sa postavljanjem zadatka. Postoji određena firma koja se bavi, na primjer, proizvodnjom liftova koji idu samo gore i zato se zove Lift Me Up LLC. Nalaze se u staroj zgradi na Arbatu, a trule žice priključene na pregorele i izgorele vremenske sklopke 10Base-T ne očekuju da se novi serveri povezuju preko gigabitnih kartica. Dakle, imaju katastrofalnu potrebu za mrežnom infrastrukturom i kokoške ne kljucaju za novac, što vam daje mogućnost neograničenog izbora. Ovo je divan san svakog inženjera. I juče ste položili intervju i u teškoj borbi s pravom ste dobili poziciju mrežnog administratora. A sada ste prvi i jedini te vrste u njemu. Čestitamo! Šta je sledeće?

Potrebno je malo precizirati situaciju:

1. U ovom trenutku kompanija ima dve kancelarije: 200 kvadratnih metara na Arbatu za poslove i server sobu. Postoji nekoliko provajdera. Drugi na Rubljovki.
2. Postoje četiri grupe korisnika: računovodstvo (B), finansijsko-ekonomsko odjeljenje (FEO), proizvodno-tehničko odjeljenje (PTO), ostali korisnici (D). A tu su i serveri (C) koji su stavljeni u posebnu grupu. Sve grupe su odvojene i nemaju direktan pristup jedna drugoj.
3. Korisnici grupa C, B i FEO biće samo u kancelariji Arbat, PTO i D će biti u obe kancelarije.

Nakon procjene broja korisnika, potrebnih interfejsa, komunikacionih kanala, pripremate mrežni dijagram i IP plan.

Prilikom dizajniranja mreže, trebali biste pokušati da se pridržavate hijerarhijskog mrežnog modela, koji ima mnogo prednosti u odnosu na „ravnu mrežu“:

• lakše razumijevanje organizacije mreže
• model podrazumijeva modularnost, što znači da je lako proširiti kapacitet upravo tamo gdje je to potrebno
• lakše pronaći i izolovati problem
• povećana tolerancija grešaka zbog dupliranja uređaja i/ili priključaka
• distribucija funkcija za osiguranje performansi mreže na različitim uređajima.

Prema ovom modelu, mreža je podijeljena na tri logička nivoa: mrežno jezgro(Sloj jezgre: uređaji visokih performansi, glavna namjena je brz transport), nivo distribucije(Sloj distribucije: obezbeđuje sprovođenje bezbednosne politike, QoS, VLAN agregaciju i rutiranje, definiše domene emitovanja) i nivo pristupa(Pristupni sloj: obično L2 prekidači, svrha: povezivanje krajnjih uređaja, označavanje saobraćaja za QoS, zaštita od mrežnih prstenova (STP) i oluja emitovanja, obezbeđivanje napajanja za PoE uređaje).

U razmjerima poput naše, uloga svakog uređaja je zamagljena, ali je moguće logički razdvojiti mrežu.

Napravimo približan dijagram:

U prikazanom dijagramu, jezgro (Core) će biti ruter 2811, prekidač 2960 će biti dodijeljen nivou distribucije (Distribution), budući da su svi VLAN-ovi agregirani u zajednički trunk na njemu. Prekidači 2950 će biti pristupni uređaji. Na njih će biti povezani krajnji korisnici, kancelarijska oprema, serveri.

Uređaje ćemo imenovati na sljedeći način: skraćeni naziv grada ( msk) - geografski položaj (ulica, zgrada) ( arbat) — uloga uređaja u mreži + serijski broj.

Prema njihovim ulogama i lokaciji, biramo ime hosta:

• ruter 2811: msk-arbat-gw1(gw=GateWay=gateway);
• prekidač 2960: msk-arbat-dsw1(dsw=Distribucijski prekidač);
• 2950 prekidača: msk-arbat-aswN, msk-rubl-asw1(asw=Pristupni prekidač).

Mrežna dokumentacija

Cijela mreža mora biti striktno dokumentirana: od dijagrama kola do naziva sučelja.

Prije nego što nastavim s postavljanjem, želio bih navesti potrebne dokumente i radnje:

• mrežni dijagrami L1, L2, L3 u skladu sa slojevima OSI modela (fizički, kanal, mreža);
• Plan IP adrese = IP plan;
• VLAN lista;
• potpisi ( opis) interfejsi;
• spisak uređaja (za svaki treba navesti: model hardvera, instaliranu verziju IOS-a, količinu RAM\NVRAM-a, listu interfejsa);
• naljepnice na kablovima (odakle i kamo ide), uključujući na kablovima i uređajima za napajanje i uzemljenje;
• jedinstven propis koji definiše sve gore navedene parametre i druge.

Podebljano je ono što ćemo pratiti kao dio programa simulatora. Naravno, sve promjene na mreži moraju se izvršiti u dokumentaciji i konfiguraciji kako bi bile ažurne.

Kada govorimo o naljepnicama/naljepnicama na kablovima, mislimo na ovo:

Na ovoj fotografiji se jasno vidi da je svaki kabel označen, vrijednost svake mašine na oklopu u racku, kao i svaki uređaj.

Hajde da pripremimo dokumente koji su nam potrebni:

VLAN lista

Svaka grupa će biti dodijeljena zasebnom vlan-u. Na ovaj način ćemo ograničiti broadcast domene. Uvest ćemo i poseban VLAN za upravljanje uređajima. VLAN brojevi od 4 do 100 su rezervisani za buduću upotrebu.

IP plan

Alokacija podmreža je generalno proizvoljna, odgovara samo broju čvorova u ovoj lokalnoj mreži, uzimajući u obzir mogući rast. U ovom primjeru, sve podmreže imaju standardnu ​​masku /24 (/24=255.255.255.0) - one se često koriste u lokalnim mrežama, ali ne uvijek. Savjetujemo vam da pročitate o klasama mreža. U budućnosti ćemo se okrenuti besklasnom adresiranju (cisco). Razumijemo da su veze do tehničkih članaka na Wikipediji loše manire, ali daju dobru definiciju, a mi ćemo zauzvrat pokušati to prenijeti na sliku stvarnog svijeta.

Pod Point-to-Point mrežom podrazumijevamo vezu jednog rutera s drugim u point-to-point modu. Obično se uzimaju adrese s maskom od 30 (vraćajući se na temu besklasnih mreža), odnosno koje sadrže dvije adrese hosta. Kasnije će biti jasno šta je u pitanju.

IP plan

IP adresa	Bilješka	VLAN
172.16.0.0/16
172.16.0.0/24	Farma servera	3
172.16.0.1	Gateway
172.16.0.2	web
172.16.0.3	fajl
172.16.0.4	Mail
172.16.0.5 — 172.16.0.254	rezervisano
172.16.1.0/24	Kontrola	2
172.16.1.1	Gateway
172.16.1.2	msk-arbat-dsw1
172.16.1.3	msk-arbat-asw1
172.16.1.4	msk-arbat-asw2
172.16.1.5	msk-arbat-asw3
172.16.1.6	msk-rubl-aswl
172.16.1.6 — 172.16.1.254	rezervisano
172.16.2.0/24	Mreža od tačke do tačke
172.16.2.1	Gateway
172.16.2.2 — 172.16.2.254	rezervisano
172.16.3.0/24	VET	101
172.16.3.1	Gateway
172.16.3.2 — 172.16.3.254	Bazen za korisnike
172.16.4.0/24	FEO	102
172.16.4.1	Gateway
172.16.4.2 — 172.16.4.254	Bazen za korisnike
172.16.5.0/24	Računovodstvo	103
172.16.5.1	Gateway
172.16.5.2 — 172.16.5.254	Bazen za korisnike
172.16.6.0/24	Ostali korisnici	104
172.16.6.1	Gateway
172.16.6.2 — 172.16.6.254	Bazen za korisnike

Plan povezivanja opreme po lukama

Naravno, sada postoje svičevi sa gomilom 1Gb Ethernet portova, postoje svičevi sa 10G, postoje 40Gb na naprednom operaterskom hardveru koji košta mnogo hiljada dolara, 100Gb je u razvoju (a prema glasinama ima čak takve ploče koje su ušle u industrijsku proizvodnju). U skladu s tim, u stvarnom svijetu možete birati prekidače i rutere prema svojim potrebama, a da pritom ne zaboravite na budžet. Konkretno, gigabitni prekidač se sada može kupiti jeftino (20-30 hiljada) i to je uz rezervu za budućnost (ako niste provajder, naravno). Ruter sa gigabitnim portovima je već znatno skuplji od rutera sa 100Mbps portovima, ali se isplati jer su FE modeli (100Mbps FastEthernet) zastareli i njihova propusnost je veoma mala.

Ali u programima emulatora/simulatora koje ćemo koristiti, nažalost, postoje samo jednostavni modeli opreme, pa ćemo pri modeliranju mreže krenuti od onoga što imamo: cisco2811 ruter, cisco2960 i 2950 prekidači.

Naziv uređaja	Luka	Ime	VLAN
			Pristup	Prtljažnik
msk-arbat-gw1	FE0/1	uplink
	FE0/0	msk-arbat-dsw1		2,3,101,102,103,104
msk-arbat-dsw1	FE0/24	msk-arbat-gw1		2,3,101,102,103,104
	GE1/1	msk-arbat-asw1		2,3
	GE1/2	msk-arbat-asw3		2,101,102,103,104
	FE0/1	msk-rubl-asw1		2,101,104
msk-arbat-asw1	GE1/1	msk-arbat-dsw1		2,3
	GE1/2	msk-arbat-asw2		2,3
	FE0/1	web server	3
	FE0/2	Fileserver	3
msk-arbat-asw2	GE1/1	msk-arbat-asw1		2,3
	FE0/1	mailserver	3
msk-arbat-asw3	GE1/1	msk-arbat-dsw1		2,101,102,103,104
	FE0/1-FE0/5	PTO	101
	FE0/6-FE0/10	FEO	102
	FE0/11-FE0/15	Računovodstvo	103
	FE0/16-FE0/24	Ostalo	104
msk-rubl-asw1	FE0/24	msk-arbat-dsw1		2,101,104
	FE0/1-FE0/15	PTO	101
	FE0/20	administrator	104

Zašto se VLAN-ovi distribuiraju na ovaj način, objasnićemo u narednim delovima.

Mrežni dijagrami

Na osnovu ovih podataka u ovoj fazi mogu se nacrtati sva tri mrežna dijagrama. Da biste to uradili, možete koristiti Microsoft Visio, neku besplatnu aplikaciju, ali vezanu za njen format, ili grafičke uređivače (možete i slobodnom rukom, ali biće teško da budete u toku :)).

Ne za propagandu otvorenog koda, već za razna sredstva, koristimo Dia. Smatram da je to jedna od najboljih aplikacija za dijagramiranje za Linux. Postoji verzija za Windows, ali, nažalost, Visio nema kompatibilnost.

L1

Odnosno, u L1 dijagramu odražavamo fizičke uređaje mreže s brojevima portova: što je gdje povezano.

L2

U L2 dijagramu označavamo naše VLAN-ove.

L3

U našem primjeru, shema trećeg sloja se pokazala prilično beskorisnom i ne baš vizualnom, zbog prisustva samo jednog uređaja za usmjeravanje. Ali s vremenom će dobiti detalje.

Kao što vidite, informacije u dokumentima su suvišne. Na primjer, VLAN brojevi se ponavljaju i na dijagramu i na planu porta. Kao da je neko na nečemu. Kako se osjećate ugodnije, učinite to. Ova redundantnost otežava ažuriranje u slučaju promjene konfiguracije, jer je potrebno popraviti na nekoliko mjesta odjednom, ali s druge strane olakšava razumijevanje.

Na ovaj prvi članak ćemo se vraćati više puta u budućnosti, kao što ćete se uvijek morati vraćati na ono što ste prvobitno planirali. Pravi zadatak za one koji tek počinju da uče i koji su spremni da se za to potrude: čitati dosta o vlansovima, ip adresiranju, pronaći Packet Tracer i GNS3 programe. Što se tiče osnovnih teorijskih znanja, savjetujemo vam da počnete čitati Cisco press. Ovo je nešto što apsolutno morate znati. U narednom dijelu sve će biti na način za odrasle, uz video ćemo naučiti kako se spojiti na opremu, pozabaviti se interfejsom i reći šta da radiš nemarnom administratoru koji je zaboravio lozinku.

Poslednjih godina stručnjaci iz oblasti lokalnih mreža sve su skloniji verovanju da mreže sa stotinama, hiljadama ili čak desetinama hiljada čvorova treba da budu strukturisane u skladu sa hijerarhijskim modelom čija je superiornost nad ravnim, nehijerarhijskim model deluje ubedljivo.

Čini se da nakon zamjene sporih rutera efikasnijim L3 prekidačima ništa ne može zaustaviti širenje ovog modela. Međutim, smanjenje cijene prekidača doprinosi izboru u korist rješenja u potpunosti zasnovanih na drugom nivou. Prednosti strukturiranih mreža se zanemaruju.

PREDNOSTI HIJERARHIJSKOG MODELA

U hijerarhijskom modelu, cijela mreža je podijeljena na nekoliko nivoa, kojima se rukuje zasebno. Ovo uvelike pojednostavljuje zadatak dizajna, budući da se svaki pojedinačni sloj može implementirati prema specifičnim zahtjevima određenog opsega. Smanjenje veličine podmreža omogućava vam da postignete smanjenje broja komunikacijskih veza svakog krajnjeg uređaja. Na primjer, oluje emitiranja brzo rastu kako se povećava broj sistema u ravnoj mreži.

Odgovornost za održavanje pojedinačnih podoblasti mrežnog stabla u hijerarhijskom modelu lako se delegira bez većih problema sa interfejsom, što nije moguće u slučaju ravne mreže. Osim toga, vidljivost strukture mreže u slučaju hijerarhijskog modela opravdava se i pri traženju grešaka. Uz hijerarhijsku konstrukciju mreže, razne vrste promjena su mnogo lakše implementirane, jer po pravilu utiču samo na dio sistema. U ravnom modelu mogu utjecati na cijelu mrežu. Ova okolnost uvelike pojednostavljuje rast hijerarhijskih mreža: implementira se dodavanjem novog mrežnog područja na postojeći ili sljedeći nivo bez potrebe za ponovnim crtanjem cijele strukture.

SA RUTIRANJA NA SLOJ 3 PRELAZAK

Dugo vremena, visoka cijena i niske performanse postojećih uređaja sprječavale su uspješno širenje hijerarhijske šeme umrežavanja. Klasični ruteri nisu mogli da se takmiče sa prekidačima drugog nivoa ni u pogledu brzine prenosa paketa ni troškova porta. Implementacija neophodne kombinacije rutiranja i komutacije sloja 2 pokazala se problematičnom u praksi. Stoga je u mnogim preduzećima izbor za komunikaciju unutar IP podmreža ili virtuelnih lokalnih mreža (Virtual Local Area Network, VLAN) napravljen u korist kombinovanog prebacivanja okvira Layer 2 i ATM-a. U međuvremenu, nije bilo opreme visokih performansi za IP komunikaciju između virtuelnih mreža. Konačno je postao dostupan dolaskom prebacivanja na treći nivo (uz ispravljanje početnih nedostataka, sada se može smatrati prilično zrelim).

Prekidači sloja 3 usmjeravaju svaki paket pojedinačno koristeći Application Specific Integrated Circuits (ASIC), dok analiziraju sadržaj paketa i donose odluke o putanji na osnovu informacija sa viših slojeva. Komunikacija između VLAN-ova je brza kao i unutra, odnosno sa maksimalnom propusnošću mreže. Na tržištu su se već pojavili proizvodi sa brzinama prijenosa do 100 miliona paketa u sekundi.

Zamjena postojećih rutera prekidačima Layer 3 je vrlo jednostavna: trebate samo zamijeniti odgovarajuće uređaje. Sve vještine i potencijal znanja akumulirani tokom godina rada rutera mogu se iskoristiti u daljem radu.

Prekidači Layer 2 i Layer 3 trenutno se ne razlikuju mnogo jedni od drugih u pogledu performansi, tako da izbor tipa uređaja zavisi - zajedno sa funkcionalnošću - o ceni portova. U isto vrijeme, čak i uprkos primjetnom smanjenju cijene Layer 3 prekidača, jednostavni Layer 2 prekidači i dalje koštaju mnogo manje. Dakle, opseg prvih su uglavnom mrežni trankovi, a drugi - radne grupe.

JASNA LOKALNA PODNOSKA

VLAN tehnologija vezana za komutaciju sloja 2 nastala je iz želje da se minimizira komunikacija između IP podmreža jer se odvija preko sporih veza do rutera. Možete povećati udio komunikacija unutar VLAN-a i smanjiti taj između VLAN-ova mapiranjem IP podmreža i namjenskih organizacijskih struktura u VLAN-ove. U ovom slučaju, ista podmreža može se proširiti na nekoliko zgrada - po pravilu geografija nije bitna za virtualne lokalne mreže.

Slika 2. Redundantni sloj 2/3 mreže.

Prebacivanje trećeg nivoa i dalje daje šansu za doslednu implementaciju hijerarhijskih principa izgradnje mreže. Dakle, pitanje takozvanog ravnog ili hijerarhijskog pristupa ponovo dobija poseban značaj. Logička struktura ravne nestrukturirane mreže odgovara dijagramu prikazanom na slici 1. Ne postoji veza između lokacije krajnjih uređaja i njihovih IP adresa. Treći oktet IP adrese (na slici: "1", "2" ili "3") ne daje nikakve informacije o lokaciji krajnjeg uređaja.

Alternativa bi bila infrastruktura sloja 3 u jezgri mreže sa povezanim prekidačima sloja 2, možda kao što je prikazano na slici 2. Strukturirana mreža slijedi logički dijagram prikazan na slici 3, koji jasno pokazuje odnos između lokacije krajnjih uređaja i njihove IP adrese. Treći oktet IP adrese daje tačnu lokaciju krajnjeg uređaja. Četvrti i posljednji oktet specificira specifične krajnje uređaje.

Slika 3. Logička struktura mreže trećeg sloja.

STRUKTURIRANE MREŽE DRUGOG/TREĆEG NIVOA

Kada se ispitaju prednosti i nedostaci razmatranih topologija, ipak se može pronaći jedan značajan pozitivan aspekt ravnih mreža drugog nivoa: kada se oprema premjesti, nema potrebe za promjenom IP adresa i nema potrebe za rekonfiguracijom aplikacija koje koriste IP adrese kao identifikatori.

Međutim, tome se može suprotstaviti niz prednosti strukturiranih mreža drugog/trećeg nivoa:

• odsustvo negativnih posljedica potencijalnog dupliciranja IP adresa za cijelu mrežu u cjelini;
• razdvajanje domena emitovanja i, samim tim, značajno smanjenje opterećenja na krajnjim uređajima;
• sveprisutna korespondencija adresa mrežnog sloja sa zgradama i prekidačima: adrese koje govore olakšavaju lokalizaciju grešaka koje se javljaju;
• sposobnost implementacije sigurnosnih funkcija na granicama između podmreža;
• osiguranje željenog kvaliteta usluge na mrežnim i transportnim slojevima, na primjer, određivanjem prioriteta za neke aplikacije;
• efikasnije upravljanje emitovanjem putem korišćenja rutiranja emitovanog saobraćaja u komutatorima Layer 3;
• značajno smanjenje vremena potrebnog za osiguranje konvergencije pri implementaciji redundantnih veza. Na primjer, sa prioritetnim odabirom najkraće rute (Open Shortest Path First, OSPF), to će trajati samo nekoliko sekundi, dok protokol Spanning Tree traje od 40 do 50 sekundi. Na nivou IP podmreže, Hot Standby Router Protocol/Virtual Router Redundancy Protocol (HSRP/VRRP) može se koristiti kao podrazumevani mehanizam redundanse rutera.

KONKURENTNI PRISTUPI DIZAJNU

Čini se da je strukturirana mreža sloja 2/sloja 3 najprikladnija da osigura siguran i stabilan rad čak i u velikim mrežama. Gotovo svi mrežni arhitekti dolaze do ovog zaključka, ali nedavno je mnogo pristalica primilo novi pristup mrežnom dizajnu, koji se zasniva isključivo na prekidačima Layer 2. To je zbog činjenice da su mnoga poduzeća prisiljena tražiti mogućnosti za smanjenje ulaganja, uključujući i lokalne mreže.

Takvi koncepti se uglavnom zasnivaju na upotrebi jeftinih prekidača drugog sloja i sastoje se od njihovog sastavljanja, na primjer, u prstenastu strukturu. Mehanizam za implementaciju redundantnosti u prstenaste strukture baziran je na protokolu Rapid Spanning Tree. Ovaj pristup je podržan standardom IEEE 802.1w, koji definira brzu rekonfiguraciju razapinjućeg stabla, koja je dizajnirana da smanji vrijeme konvergencije notorno sporog protokola Spanning Tree na nekoliko sekundi.

Takve "jeftine" sheme, gdje je model hijerarhijske mrežne strukture izostavljen, na prvi pogled izgledaju atraktivno: uštede se računaju u desetinama posto. Međutim, malo skepticizma ne škodi. Jeftini prekidači sloja 2 moraju imati stabilne kodove za podršku Rapid Spanning Tree. Međutim, ovo izgleda kao vrlo hrabra pretpostavka s obzirom na to koliko je vremena trebalo originalnom algoritmu da postane manje-više stabilan. Osim toga, ne smijemo zaboraviti da je mala vrijednost vremena konvergencije u prisustvu redundantnih veza samo jedan od razloga zašto se koristi infrastruktura trećeg nivoa. Ali šta je sa "govornim" IP adresama, zaštitom od pogrešnih adresa, smanjenjem emitovanog saobraćaja i efikasnijim upravljanjem emitovanim saobraćajem u mrežama na trećem nivou?

Sa ove tačke gledišta, aspekt cene postaje relativan, jer se, na kraju krajeva, ova dva pristupa projektovanju mreže ne mogu porediti. Naravno, potpuno redundantni dizajn sa dvostrukom zvijezdom košta mnogo više od kaskadne strukture s jeftinim komponentama. Međutim, mrežni projekt koji koristi uređaje trećeg nivoa može biti i nešto jeftiniji: uopće nije potrebno uzimati "previše" hardvera kao osnovu. Ovo će pomoći u izgradnji mreže trećeg nivoa i uštedjeti oko 35% njenih troškova.

Beroc Moayeri radi za Comconsult Beratung und Planung. Možete ga kontaktirati na: