Uvod u virtualne lokalne mreže: (virtualni LAN). Mrežna infrastruktura podatkovnog centra postat će fleksibilnija

31.10.2017 | Vladimir Hazov

Glavna zadaća pružatelja internetskih usluga je pružanje komunikacijskih usluga pretplatnicima (pristup internetu, telefonija, digitalna televizija i drugo). A da bi se omogućio pristup tim uslugama, potrebno je izgraditi mrežu. U prošlosti smo govorili o glavnim koracima za stvaranje Internet providera, u ovom ćemo se detaljnije zadržati na izgradnji mreže.

Na slici je prikazan referentni model za izgradnju mreže. To je topologija stabla (kombinacija nekoliko topologija zvijezda) s dodatnim redundantnim vezama. Redundancija kompenzira glavni nedostatak ove topologije (kvar jednog od čvorova utječe na rad cijele mreže), ali i udvostručuje ionako preveliku potrošnju kabela. Kako bi smanjile troškove kabela, mnoge organizacije "pojačavaju" samo najznačajnije dijelove mreže.

Treba imati na umu da je ovo samo model, pa stoga podjela na razine može biti uvjetna - neki uređaji mogu implementirati obje razine odjednom, a neke razine mogu biti potpuno odsutne.

Kao što vidite, ovaj model se sastoji od četiri razine:

• razina pristupa;
• razina agregacije;
• razina jezgre mreže;
• razini poslužitelja.

Analizirajmo svaki od njih zasebno.

Razina pristupa

Glavni proces na ovoj razini je povezivanje klijentove opreme (računalo, Wi-Fi router) na mrežu pružatelja usluga. Ovdje su oprema davatelja preklopnici (ukoliko se radi o lokalnoj mreži i planirano je povezivanje putem žičanog medija) ili bazne stanice (ako se veza ostvaruje putem bežičnog medija). U pravilu se za organiziranje upravljane mreže koriste prekidači druge razine (L2), rjeđe - treći (L3). Neki pružatelji usluga u fazi izgradnje lokalne mreže preferiraju neupravljane preklopnike, što naknadno može utjecati na kvalitetu pružene usluge.

Također, radi smanjenja troškova povezivanja koriste se uređaji s maksimalnim brojem fizičkih sučelja 24/48. Serije Cisco Catalyst 2900, 3500 i 3700 dokazale su se kao upravljani preklopnici druge razine, ali mnogi operateri odabiru Eltex, SNR i druge ruske razvoje kao pristupačnije.

Prekidači L3 na ovoj razini prilično su rijetki, jer su skuplji od L2, a njihovo postavljanje u tehničke prostorije visokih zgrada povezano je s određenim rizicima. Ako se L3 sklopke nalaze na razini pristupa, onda samo u kombinaciji razine pristupa i razine agregacije. Poseban primjer korištenja je ured u uredu ili odjelu, au slučaju davatelja usluga stambena zgrada ili stambeni dio u toj zgradi.

Treba napomenuti da pri izgradnji mreže svaki pružatelj odabire stupanj svoje segmentacije. Mrežni segment ili VLAN (Virtual Local Area Network) omogućuje spajanje grupe korisnika u jednu logičku mrežu ili razdvajanje svakoga zasebno. Smatra se vrlo lošim manirama kada je mreža "ravna", odnosno da su klijenti, preklopnici, usmjerivači i poslužitelji na istom logičkom segmentu. Takva mreža ima dosta nedostataka. Ispravnije rješenje je podijeliti cijelu mrežu na manje podmreže, idealno dodijeliti VLAN-ove za svakog klijenta.

Razina agregacije

Srednja razina između jezgre mreže i razine pristupa. U pravilu se ova razina implementira na L3 sklopkama, rjeđe na usmjerivačima zbog njihove visoke cijene i, opet, osobitosti rada u određenim vrstama prostora. Glavna zadaća opreme je kombinirati veze s prekidača razine pristupa na "backbone" prekidaču u topologiji "star".

Udaljenost od pristupnih sklopki do sklopki ove skupine može doseći nekoliko kilometara. Ako se L2 preklopnici koriste na razini pristupa, a mreža je segmentirana, tada su L3 sučelja za VLAN-ove navedene na razini pristupa organizirana na ovoj razini. Ovaj pristup može donekle rasteretiti mrežnu jezgru, budući da u ovom slučaju jezgra nema zapise o samim VLAN-ovima i parametrima VLAN sučelja, već ima samo rutu do konačne podmreže.

Najpopularnija oprema koju davatelji koriste za implementaciju ovog sloja je serija Cisco Catalyst 3750 i 3550, posebno WS-C3550-24-FX-SMI.

Potonji je stekao popularnost zbog najvećeg broja optičkih sučelja, ali je, nažalost, zastario i ne zadovoljava moderne zahtjeve za izgradnju mreže. Oprema iz Foundry (sada Brocade), Nortel (zastario), Extreme, SNR i Eltex također se prilično dobro nosi sa zadacima ove razine. Hardver koji nudi Foundry/Brocade omogućuje vam korištenje kućišta i utora za proširenje i povećanje performansi prema potrebi.

Razina jezgre

Jezgra je sastavni dio svake mreže. Ova je razina implementirana na usmjerivačima, rjeđe na L3 preklopnicima visokih performansi (opet, kako bi se smanjio trošak same mreže.) Kao što je ranije spomenuto, ovisno o mrežnoj arhitekturi, kernel može "čuvati" statičke rute ili imati postavke za dinamičko usmjeravanje.

Razina poslužitelja

Implementiraju ga, kao što naziv implicira, mrežnim poslužiteljima. Implementacija može biti i na poslužiteljskim platformama i na specijaliziranom hardveru. Softver za poslužiteljske platforme danas predstavljaju različiti proizvođači i pod različitim vrstama licenci, kao i OS na kojima će se taj softver izvoditi. Standardni davatelj postavljen na ovoj razini:

• DHCP poslužitelj
• DNS poslužitelj;
• jedan ili više pristupnih poslužitelja (ako ih ima);
• AAA poslužitelj (radijus ili promjer);
• poslužitelj za naplatu;
• poslužitelj baze podataka;
• poslužitelj za pohranu statistike protoka i podataka o naplati;
• poslužitelj za nadzor mreže;
• usluge zabave za korisnike (opcionalno);
• poslužitelji sadržaja (kao što je Google Cache).

O ovim uslugama bit će detaljnije riječi u sljedećem članku.

granična razina

Rubnog sloja obično nema na dijagramima danim na samom početku, budući da radi izvan glavne mreže, iako se može implementirati na razini jezgre. Ali za te je svrhe bolje dodijeliti neovisni uređaj. Na ovoj razini promet se razmjenjuje između pružatelja i uzvodnog pružatelja ili između AS-a (autonomnog sustava) operatera s drugim autonomnim sustavima (u slučaju korištenja BGP-a). Na početku izgradnje mreže razinu je moguće implementirati i na pristupnom poslužitelju, no kasnije, čim bude potrebno dodati još jedan pristupni poslužitelj, postavlja se pitanje podmreže s vlastitih stvarnih adresa.

Ova se potreba može implementirati na usmjerivačima ili na L3 preklopnicima - dovoljno je usmjeriti vanjski skup adresa iz vlastite vanjske podmreže na IP adresu koju izdaje pružatelj usluga kada je povezan.

Konačna shema ISP mreže može izgledati ovako, ali u praksi je modificirana za određene zadatke.

U sljedećim člancima govorit ćemo o glavnim uslugama koje je potrebno koristiti u ISP mreži, kao io načinima konvergiranja nekih od njih pomoću .

Za više informacija o prednostima modernog sustava dubinske analize prometa SCAT DPI, njegovoj učinkovitoj upotrebi na mrežama telekom operatera, kao i migraciji s drugih platformi, možete saznati od stručnjaka tvrtke, programera i dobavljača DPI sustava za analizu prometa.

(). Razumijemo da su "OSI" i "TCP/IP" zastrašujuće riječi za početnike. Ali ne brinite, ne koristimo ih da vas prestrašimo. To je ono s čime ćete se svakodnevno suočavati, pa ćemo kroz ovaj ciklus pokušati razotkriti njihovo značenje i odnos prema stvarnosti.

Počnimo s postavljanjem zadatka. Postoji određena tvrtka koja se bavi, na primjer, proizvodnjom dizala koja idu samo gore, pa se stoga i zove Lift Me Up LLC. Smješteni su u staroj zgradi na Arbatu, a trule žice utaknute u spaljene i spaljene 10Base-T vremenske sklopke ne očekuju nove servere koji će se spajati preko gigabitnih kartica. Dakle, imaju katastrofalnu potrebu za mrežnom infrastrukturom i kokoši ne kljukaju novac, što vam daje mogućnost neograničenog izbora. Ovo je prekrasan san svakog inženjera. I vi ste jučer prošli razgovor i u teškoj borbi s pravom ste dobili mjesto mrežnog administratora. I sad si prvi i jedini takve vrste u njemu. Čestitamo! Što je sljedeće?

Potrebno je malo precizirati situaciju:

1. Trenutno tvrtka ima dva ureda: 200 četvornih metara na Arbatu za poslove i serversku sobu. Postoji nekoliko pružatelja usluga. Još jedan na Rubljovki.
2. Postoje četiri skupine korisnika: računovodstvo (B), financijsko-ekonomska služba (FEO), proizvodno-tehnička služba (PTO), ostali korisnici (D). A tu su i poslužitelji ©, koji su smješteni u posebnu grupu. Sve grupe su odvojene i nemaju izravan pristup jedna drugoj.
3. Korisnici grupa C, B i FEO bit će samo u uredu Arbat, PTO i D bit će u oba ureda.

Nakon procjene broja korisnika, potrebnih sučelja, komunikacijskih kanala, pripremate dijagram mreže i IP plan.

Prilikom projektiranja mreže trebali biste se pokušati pridržavati hijerarhijskog mrežnog modela koji ima mnoge prednosti u usporedbi s „ravnom mrežom“:

• lakše razumijevanje mrežne organizacije
• model podrazumijeva modularnost, što znači da je lako proširiti kapacitet upravo tamo gdje je potrebno
• lakše pronaći i izolirati problem
• povećana tolerancija na pogreške zbog dupliciranja uređaja i/ili veza
• distribucija funkcija za osiguranje performansi mreže na različitim uređajima.

Prema ovom modelu mreža je podijeljena na tri logičke razine: jezgra mreže(Osnovni sloj: uređaji visokih performansi, glavna svrha je brz transport), razina distribucije(Distribucijski sloj: pruža provedbu sigurnosnih pravila, QoS, VLAN agregaciju i usmjeravanje, definira domene emitiranja), i razina pristupa(Pristupni sloj: obično L2 sklopke, svrha: povezivanje krajnjih uređaja, označavanje prometa za QoS, zaštita od mrežnih prstenova (STP) i oluja emitiranja, osiguranje napajanja za PoE uređaje).

Na skali poput naše, uloga svakog uređaja je zamagljena, ali je moguće logično razdvojiti mrežu.
Napravimo približni dijagram:

U prikazanom dijagramu, jezgra (Core) će biti usmjerivač 2811, preklopnik 2960 će biti dodijeljen distribucijskoj razini (Distribution), budući da su svi VLAN-ovi agregirani u zajednički trunk na njemu. 2950 prekidača bit će Access uređaji. Na njih će biti povezani krajnji korisnici, uredska oprema, serveri.

Uređaje ćemo imenovati na sljedeći način: skraćeni naziv grada ( msk) - geografski položaj (ulica, zgrada) ( arbat) - uloga uređaja u mreži + serijski broj.
Odabiremo prema njihovim ulogama i lokaciji ime hosta:
Usmjerivač 2811: msk-arbat-gw1(gw=GateWay=pristupnik)
Prekidač 2960: msk-arbat-dsw1(dsw=Distribucijska sklopka)
Prekidači 2950: msk-arbat-aswN, msk-rubl-asw1(asw=Pristupni prekidač)

Mrežna dokumentacija

Cijela mreža mora biti strogo dokumentirana: od sheme sklopa do naziva sučelja.
Prije nego što nastavim s postavljanjem, želio bih navesti potrebne dokumente i radnje:

• Mrežni dijagrami L1, L2, L3 u skladu sa slojevima OSI modela (fizički, kanal, mreža)
• Plan IP adresa = IP plan
• Popis VLAN-a
• Potpisi ( opis) sučelja
• Popis uređaja (za svaki trebate navesti: model hardvera, instaliranu verziju iOS-a, količinu RAM-a \ NVRAM-a, popis sučelja)
• Oznake na kabelima (odakle i gdje ide), uključujući naponske i uzemljene kabele i uređaje
• Jedinstveni propis koji definira sve navedene parametre i dr

Podebljano je ono što ćemo pratiti u sklopu programa simulatora. Naravno, sve promjene na mreži moraju se izvršiti u dokumentaciji i konfiguraciji kako bi bile ažurne.

Kada govorimo o naljepnicama/naljepnicama na kabelima, mislimo na ovo:

Ova fotografija jasno pokazuje da je svaki kabel označen, vrijednost svake mašine na štitu u stalku, kao i svaki uređaj.

Pripremimo dokumente koji su nam potrebni:

Popis VLAN-a

Svaka grupa će biti dodijeljena zasebnom vlan-u. Na ovaj način ćemo ograničiti emitirane domene. Uvest ćemo i poseban VLAN za upravljanje uređajima.
VLAN brojevi 4 do 100 rezervirani su za buduću upotrebu.

IP plan

IP adresa	Bilješka	VLAN
172.16.0.0/16
172.16.0.0/24	Farma poslužitelja	3
172.16.0.1	Gateway
172.16.0.2	mreža
172.16.0.3	datoteka
172.16.0.4	pošta
172.16.0.5 - 172.16.0.254	Rezervirano
172.16.1.0/24	Kontrolirati	2
172.16.1.1	Gateway
172.16.1.2	msk-arbat-dsw1
172.16.1.3	msk-arbat-asw1
172.16.1.4	msk-arbat-asw2
172.16.1.5	msk-arbat-asw3
172.16.1.6	msk-rubl-aswl
172.16.1.6 - 172.16.1.254	Rezervirano
172.16.2.0/24	Mreža od točke do točke
172.16.2.1	Gateway
172.16.2.2 - 172.16.2.254	Rezervirano
172.16.3.0/24	VETERINAR	101
172.16.3.1	Gateway
172.16.3.2 - 172.16.3.254	Bazen za korisnike
172.16.4.0/24	FEO	102
172.16.4.1	Gateway
172.16.4.2 - 172.16.4.254	Bazen za korisnike
172.16.5.0/24	Računovodstvo	103
172.16.5.1	Gateway
172.16.5.2 - 172.16.5.254	Bazen za korisnike
172.16.6.0/24	Ostali korisnici	104
172.16.6.1	Gateway
172.16.6.2 - 172.16.6.254	Bazen za korisnike

Dodjela podmreža općenito je proizvoljna, odgovara samo broju čvorova u ovoj lokalnoj mreži, uzimajući u obzir mogući rast. U ovom primjeru, sve podmreže imaju standardnu ​​masku /24 (/24=255.255.255.0) - one se često koriste u lokalnim mrežama, ali ne uvijek. Savjetujemo vam da pročitate o klasama mreža. U budućnosti ćemo se okrenuti besklasnom adresiranju (cisco). Razumijemo da su poveznice na tehničke članke na Wikipediji loša manira, ali daju dobru definiciju, a mi ćemo je zauzvrat pokušati prenijeti na sliku stvarnog svijeta.
Pod Point-to-Point mrežom podrazumijevamo povezivanje jednog usmjerivača s drugim u načinu rada od točke do točke. Obično se uzimaju adrese s maskom 30 (vratimo se na temu bezklasnih mreža), odnosno koje sadrže dvije host adrese. Kasnije će se pokazati što je u pitanju.

Plan spajanja opreme po priključcima

Naravno, sada postoje preklopnici s hrpom Ethernet portova od 1Gb, postoje preklopnici s 10G, postoje 40Gb na naprednom operatorskom hardveru koji košta mnogo tisuća dolara, 100Gb je u razvoju (a prema glasinama, čak ih ima takve ploče koje su otišle u industrijsku proizvodnju). Sukladno tome, u stvarnom svijetu možete odabrati preklopnike i usmjerivače prema svojim potrebama, ne zaboravljajući svoj proračun. Konkretno, gigabitni prekidač sada se može kupiti jeftino (20-30 tisuća) i to je s maržom za budućnost (naravno, ako niste pružatelj usluga). Usmjerivač s gigabitnim priključcima već je znatno skuplji od onog sa 100Mbps priključcima, ali se isplati jer su FE modeli (100Mbps FastEthernet) zastarjeli i njihova propusnost je vrlo niska.
Ali u programima emulatora / simulatora koje ćemo koristiti, nažalost, postoje samo jednostavni modeli opreme, tako da ćemo pri modeliranju mreže krenuti od onoga što imamo: cisco2811 ruter, cisco2960 i 2950 preklopnici.

Naziv uređaja	Luka	Ime	VLAN
Pristup	Deblo
msk-arbat-gw1	FE0/1	uzlazna veza
	FE0/0	msk-arbat-dsw1		2,3,101,102,103,104
msk-arbat-dsw1	FE0/24	msk-arbat-gw1		2,3,101,102,103,104
	GE1/1	msk-arbat-asw1		2,3
	GE1/2	msk-arbat-asw3		2,101,102,103,104
	FE0/1	msk-rubl-asw1	2,101,104
msk-arbat-asw1	GE1/1	msk-arbat-dsw1		2,3
	GE1/2	msk-arbat-asw2		2,3
	FE0/1	web poslužitelj	3
	FE0/2	Fileserver	3
msk-arbat-asw2	GE1/1	msk-arbat-asw1		2,3
	FE0/1	poslužitelj pošte	3
msk-arbat-asw3	GE1/1	msk-arbat-dsw1		2,101,102,103,104
	FE0/1-FE0/5	PTO	101
	FE0/6-FE0/10	FEO	102
	FE0/11-FE0/15	Računovodstvo	103
	FE0/16-FE0/24	ostalo	104
msk-rubl-asw1	FE0/24	msk-arbat-dsw1	2,101,104
	FE0/1-FE0/15	PTO	101
	FE0/20	administrator	104

Zašto su VLAN-ovi raspoređeni na ovaj način, objasnit ćemo u sljedećim dijelovima.

Mrežni dijagrami

Na temelju ovih podataka u ovoj fazi mogu se nacrtati sva tri mrežna dijagrama. Za to možete koristiti Microsoft Visio, neku besplatnu aplikaciju, ali vezanu uz vaš format, ili grafičke uređivače (možete i slobodnom rukom, ali teško ćete biti u toku :)).

Ne za propagandu otvorenog koda, već za razna sredstva, upotrijebimo Dia. Smatram da je to jedna od najboljih aplikacija za izradu dijagrama za Linux. Postoji verzija za Windows, ali, nažalost, ne postoji kompatibilnost u Visio.

L1

To jest, u dijagramu L1 odražavamo fizičke uređaje mreže s brojevima priključaka: što je gdje povezano.

L2

U L2 dijagramu označavamo naše VLAN-ove

L3

U našem primjeru, shema trećeg sloja pokazala se prilično beskorisnom i ne baš vizualnom, zbog prisutnosti samo jednog uređaja za usmjeravanje. Ali s vremenom će dobiti detalje.

Kao što vidite, podaci u dokumentima su suvišni. Na primjer, VLAN brojevi se ponavljaju iu dijagramu iu planu priključaka. Kao da je netko na tragu nečega. Čim vam bude ugodnije, učinite to. Ova redundancija otežava ažuriranje u slučaju promjene konfiguracije, jer je potrebno popraviti na više mjesta odjednom, ali s druge strane, olakšava razumijevanje.

Na ovaj prvi članak vratit ćemo se više puta u budućnosti, kao što ćete se i vi uvijek morati vraćati na ono što ste prvotno planirali.
Pravi zadatak za one koji tek počinju učiti i spremni su se potruditi za ovo: pročitajte puno o vlanovima, ip-adresiranju, pronađite Packet Tracer i GNS3 programe.
Što se tiče temeljnih teorijskih znanja, savjetujemo vam da počnete čitati Cisco press. Ovo je nešto što apsolutno morate znati.
U sljedećem dijelu sve će biti na način za odrasle, uz video, naučit ćemo kako se spojiti na opremu, pozabaviti se sučeljem i reći što učiniti nemarnom administratoru koji je zaboravio lozinku.
p.s. Hvala koautoru članka - Maximu aka glucku.
P.P.S. Za one koji imaju što pitati, a nemaju priliku ovdje postaviti svoje pitanje, dobrodošli ste na

Uvod u VLAN-ove: (virtualni LAN)
U komutiranim mrežama sloja 2, mreža se čini "ravnom" (vidi sliku 1). Svaki paket emitiranja šalje se svim uređajima, bez obzira na to treba li uređaj primiti te podatke.

Budući da komutacija sloja 2 generira zasebne domene kolizije za svaki uređaj spojen na komutator, postoje manja ograničenja na duljinu Ethernet segmenta, tj. mogu se graditi veće mreže. Povećanje broja korisnika i uređaja rezultira povećanjem broja emitiranja i paketa koje obrađuje svaki uređaj. Drugi problem s ravnom komutacijom sloja 2 je mrežna sigurnost. Imajte na umu da svi korisnici "vide" sve uređaje. Ne možete otkazati emitiranja uređaja i odgovore korisnika na ta emitiranja. Povećanje razine sigurnosti omogućuje zaštitu poslužitelja i drugih uređaja lozinkama. Stvaranje VLAN-a pomaže u rješavanju mnogih problema s prebacivanjem sloja 2, što će biti prikazano u nastavku.

Emitiranja su izvorna za svaki protokol, ali njihova učestalost ovisi o specifičnostima protokola koji se izvodi na međumreži aplikacija i načinu na koji se mrežne usluge koriste. Ponekad morate ponovno napisati stare aplikacije kako biste smanjili broj emitiranja. Međutim, aplikacije sljedeće generacije su gladne propusnosti i zauzimaju sve resurse koje otkriju. Multimedijske aplikacije intenzivno koriste emitiranje i multicast. Na intenzitet emitiranja aplikacije utječu kvarovi hardvera, neadekvatna segmentacija i loše dizajnirani vatrozidi. Preporuča se posebna pažnja tijekom projektiranja mreže jer se emitiranja distribuiraju preko komutirane mreže. Prema zadanim postavkama, usmjerivači vraćaju takva emitiranja samo u izvorišnu mrežu, ali prebacuju izravna emitiranja na sve segmente. Zato se mreža naziva "ravna", jer se formira jedinstvena domena emitiranja. Odgovornost mrežnog administratora je osigurati da je segmentacija mreže ispravna kako se problemi jednog segmenta ne bi proširili na cijelu mrežu. Najučinkovitiji način da to učinite je preklapanje i usmjeravanje. Budući da prekidač ima bolji omjer cijene i učinka, mnoge tvrtke prelaze s ravnih mreža na potpuno komutirane mreže ili na VLAN-ove. Svi uređaji u VLAN-u članovi su iste domene emitiranja i primaju sva emitiranja. Prema zadanim postavkama, emitiranja se filtriraju na svim priključcima preklopnika koji nisu članovi istog VLAN-a. Usmjerivači, preklopnici sloja 3 i RSM (modul preklopnika ruta) moduli preklopne staze trebali bi se koristiti u kombinaciji sa preklopnicima kako bi se omogućile veze između VLAN-ova i spriječilo širenje emitiranja kroz mrežu. Sigurnost Drugi problem s ravnim mrežama je sigurnost, koja je određena povezivanjem čvorišta i preklopnika preko usmjerivača. Sigurnost mreže osiguravaju usmjerivači. Međutim, svatko tko se spoji na fizičku mrežu ima pristup njezinim resursima. Osim toga, korisnik može spojiti mrežni analizator na čvorište i promatrati sav mrežni promet. Dodatni problem je vezan uz uključivanje korisnika u radnu grupu - dovoljno je spojiti mrežnu stanicu na hub. Korištenje VLAN-ova i stvaranje više grupa za emitiranje omogućit će administratoru da kontrolira svaki port i korisnika. Korisnici više neće moći samostalno spojiti svoje radne stanice na proizvoljni port preklopnika i dobiti pristup mrežnim resursima. Administrator kontrolira svaki port i sve resurse koji se daju korisnicima. Grupe se formiraju na temelju zahtjeva korisnika za mrežnim resursima, tako da se preklopnik može konfigurirati da obavijesti stanicu za upravljanje mrežom o svakom neovlaštenom pristupu mrežnim resursima. Ako postoji komunikacija između VLAN-ova, možete implementirati ograničenja pristupa putem usmjerivača. Ograničenja su postavljena na hardverske adrese, protokole i aplikacije. Fleksibilnost i skalabilnost Prekidač sloja 2 ne filtrira, već samo čita okvire, jer ne analizira podatke protokola mrežnog sloja. To uzrokuje da prekidač preusmjerava sve emisije. Međutim, stvaranje VLAN-a generira domene emitiranja. Ova emitiranja s čvora u jednom VLAN-u neće biti usmjerena na priključke u drugom VLAN-u. Dodjeljivanjem prosutnih priključaka i korisnika određenoj VLAN grupi jednog preklopnika ili grupe povezanih preklopnika (takva se grupa naziva tvornicaprebacivanje - switch fabric), povećavamo fleksibilnost za dodavanje korisnika samo jednoj domeni emitiranja, bez obzira na fizičku lokaciju korisnika. To sprječava širenje oluja emitiranja kroz internetsku mrežu kada kartica mrežnog sučelja (NIC) ili aplikacija ne uspije. Kada VLAN postane jako velik, mogu se formirati novi VLAN-ovi bez dopuštanja da emitiranje zauzme previše propusnosti. Što je manje korisnika u VLAN-u, emitiranje utječe na manje korisnika. Da biste razumjeli kako VLAN izgleda sa stajališta preklopnika, korisno je prvo razmotriti konvencionalne lokalizirane spojne linije. Na sl. Slika 2 prikazuje kolapsiranu okosnicu stvorenu povezivanjem fizičkih LAN-ova s ​​usmjerivačem. Svaka mreža povezana je s usmjerivačem i ima svoj logički mrežni broj. Svaki čvor na zasebnoj fizičkoj mreži mora poštovati ovaj mrežni broj kako bi komunicirao na rezultirajućoj međumreži. Razmotrimo isti sklop temeljen na prekidaču. Riža. Slika 3 pokazuje kako prekidač eliminira fizičke granice komunikacije u međumreži. Switch je fleksibilniji i skalabilniji od routera. Možete grupirati korisnike u interesne zajednice, što se naziva organizacijska struktura VLAN-a.

Čini se da uporaba preklopnika eliminira potrebu za usmjerivačem. Ovo nije istina. Na sl. 3 prikazuje četiri VLAN-a (broadcast domene). Domaćini u svakom VLAN-u mogu međusobno komunicirati, ali ne i s drugim VLAN-ovima ili njihovim hostovima. Tijekom konfiguracije VLAN-a, hostovi moraju biti unutar lokalizirane okosnice (vidi sliku 2). Što znači host na sl. 2 za kontaktiranje glavnog računala ili glavnog računala na drugoj mreži? Domaćin treba kontaktirati putem usmjerivača ili drugog uređaja sloja 3, kao kod komunikacije unutar VLAN-a (pogledajte sliku 3). Interakcija između VLAN-ova, kao i između fizičkih mreža, mora biti provodi se putem uređaja razine 3.

VLAN članstvo

VLAN obično kreira administrator koji mu dodjeljuje portove prekidača. Ova metoda se naziva statička virtualna lokalna mreža (statički VLAN). Ako se administrator malo potrudi i dodijeli hardverske adrese svih računala kroz bazu podataka, preklopnik se može konfigurirati za dinamičko stvaranje VLAN-a. Statički VLAN-ovi Statički VLAN-ovi su tipičan način formiranja takvih mreža i vrlo su sigurni. Priključci preklopnika dodijeljeni VLAN-om uvijek ostaju na snazi ​​sve dok administrator ne izvrši novu dodjelu priključka. Ovu vrstu VLAN-a lako je konfigurirati i nadzirati, a statički VLAN-ovi dobro su prilagođeni mrežama u kojima se kontrolira kretanje korisnika. Programi za upravljanje mrežom pomoći će vam s dodjeljivanjem priključaka. Međutim, takvi programi nisu potrebni. Dinamički VLAN-ovi Dinamički VLAN-ovi automatski pratiti dodjele čvorova. Korištenje softvera za inteligentno upravljanje mrežom omogućuje formiranje dinamičkih VLAN-ova na temelju hardverskih (MAC) adresa, protokola, pa čak i aplikacija. Pretpostavimo da je MAC adresa unesena u aplikaciju središnjeg upravljanja VLAN-om. Ako je port zatim spojen na nedodijeljeni port preklopnika, baza podataka za upravljanje VLAN-om će pronaći hardversku adresu, dodijeliti je i konfigurirati port preklopnika za ispravan VLAN. To pojednostavljuje administrativno upravljanje i konfiguracijske zadatke. Ako se korisnik preseli na drugo mjesto na mreži, port preklopnika automatski će se vratiti ispravnom VLAN-u. Međutim, za početno punjenje baze podataka administrator će morati raditi.

Administratori Cisco mreže mogu koristiti uslugu VMPS (VLAN Management Policy Server) za postavljanje baze podataka MAC adresa koja se koristi pri stvaranju dinamičkih VLAN-ova. VMPS je baza podataka za prevođenje MAC adresa u VLAN-ovima.

Identifikacija VLAN-a VLAN može obuhvatiti više povezanih preklopnika. Uređaji u takvoj strukturi preklopnika prate i same okvire i njihovu pripadnost određenom VLAN-u. Za to se izvodi označavanje okvira. Preklopnici će moći usmjeriti okvire na odgovarajuće priključke. U takvom komutacijskom okruženju postoje dvije različite vrste veza: Linkovi za pristup(Pristupna veza) Veze koje pripadaju samo jednom VLAN-u i smatraju se primarnom vezom određenog porta preklopnika. Svaki uređaj spojen na pristupnu vezu nije svjestan svog članstva u VLAN-u. Ovaj uređaj sebe smatra dijelom domene emitiranja, ali nije svjestan svog stvarnog fizičkog članstva u mreži. Prekidači uklanjaju sve VLAN informacije prije nego što se okvir pošalje na pristupnu vezu. Uređaji na pristupnim vezama ne mogu komunicirati s uređajima izvan svog VLAN-a, osim ako paketi ne prolaze kroz usmjerivač. Okosnice veza(Trunk link) Trunk linkovi mogu opsluživati ​​više VLAN-ova. Naziv ovih linija je posuđen iz telefonskih sustava, gdje glavne linije mogu istovremeno voditi nekoliko telefonskih razgovora. U računalnim mrežama okosnice se koriste za povezivanje preklopnika sa preklopnicima, usmjerivačima, pa čak i poslužiteljima. Magistralne veze podržavaju samo protokole Fast Ethernet ili Gigabit Ethernet. Za identifikaciju pripadnosti unutar okvira određenom Ethernet VLAN-u, Cisco preklopnik podržava dvije različite sheme provjere autentičnosti: ISL i 802.lq. Magistralne veze koriste se za prijenos VLAN-ova između uređaja i mogu se konfigurirati da podržavaju sve ili samo nekoliko VLAN-ova. Magistralne veze zadržavaju članstvo u "nativnom" VLAN-u (to jest, zadanom VLAN-u) koji se koristi kada deblo zakaže.

Označavanje okvira

Međumrežni prekidač treba pratiti korisnike i okvire koji prolaze kroz mrežu i VLAN. Mreža preklopnika je grupa preklopnika koji dijele iste VLAN informacije. Identifikacija (označavanje) okvira uključuje dodjeljivanje okvirima jedinstvenog identifikatora definiranog od strane korisnika. Ovo se često naziva dodjela VLAN ID-a ili dodjela boje. Cisco je razvio metodu označavanja okvira koja se koristi za prijenos Ethernet okvira preko veza okosnice. VLAN oznaka se uklanja prije nego što okvir izađe iz debla. Svaki prekidač koji primi okvir mora identificirati VLAN ID kako bi odredio što učiniti s okvirom na temelju tablice filtera. Ako okvir udari u sklopku povezanu s drugim trunk-om, okvir se usmjerava na port na tom trunk-u. Kada okvir stigne na kraj trunk veze i sprema se ući u pristupnu vezu, preklopnik uklanja VLAN ID. Krajnji uređaj će primiti okvir bez ikakvih informacija o VLAN-u.

Metode identifikacije VLAN-a

Identifikator VLAN-a koristi se za praćenje okvira koji se kreću kroz sklop sklopke. Označava pripadnost okvira određenom VLAN-u. Postoji nekoliko metoda za praćenje okvira u glavnim vezama: ISL protokol Protokol ISL (Inter-Switch Link) licenciran je za Cisco preklopnike i koristi se samo na FastEthernet i Gigabit Ethernet mrežama. Protokol se može primijeniti na port preklopnika, sučelje usmjerivača ili sučelje mrežnog adaptera na poslužitelju koji je okosnica. Takav glavni poslužitelj prikladan je za stvaranje VLAN-ova koji ne krše pravilo 80/20. Poslužitelj okosnice je član svih VLAN-ova (broadcast domena) u isto vrijeme. Korisnici ne moraju prelaziti s uređaja sloja 3 da bi pristupili poslužitelju koji se dijeli u organizaciji. IEEE 802.1q Protokol je kreirao IEEE kao standardnu ​​metodu za označavanje okvira. Protokol uključuje umetanje dodatnog polja u okvir za identifikaciju VLAN-a. Da biste stvorili magistralnu vezu između Cisco komutiranih linija i komutatora treće strane, morate koristiti protokol 802.lq kako bi magistralna veza radila. LANE Protokol LANE (LAN emulacija) koristi se za interakciju nekoliko VLAN-ova preko ATM-a. 802.10 (FDDI) Omogućuje prosljeđivanje VLAN informacija preko FDDL-a. Koristi polje SAID u zaglavlju okvira za identifikaciju VLAN-a. Protokol je licenciran za Cisco uređaje. ISL protokol Protokol ISL (Inter-Switch Link) je način eksplicitnog označavanja VLAN informacija u Ethernet okvirima. Označavanje omogućuje multipleksiranje VLAN-ova na glavnim vezama pomoću vanjske metode enkapsulacije. S LSL-om, više preklopnika može se međusobno povezati uz održavanje informacija o VLAN-u, dok promet premješta preko preklopnika i okosnice. ISL protokol ima nisku latenciju i visoku izvedbu na razini linije za FastEthernet u polu i punom dupleksu. ISL protokol je razvio Cisco, tako da se ISL smatra licenciranim samo za Cisco uređaje. Ako trebate nelicencirani protokol za VLAN, koristite 802.lq (pogledajte knjigu CCNP: Switching Study Guide). ISL je vanjski proces označavanja, tj. izvorni okvir se ni na koji način ne mijenja, već se nadopunjuje novim 26-bajtnim ISL zaglavljem. Dodatno, drugo polje od 4 bajta sekvence za provjeru okvira FCS (sekvenca za provjeru okvira) umetnuto je na kraju okvira. Budući da je okvir enkapsuliran, mogu ga čitati samo uređaji koji podržavaju ISL protokol. Okviri ne smiju premašiti 1522 bajta. Uređaj koji prima ISL okvir mogao bi okvir smatrati prevelikim, s obzirom da Ethernet ima najveću duljinu segmenta od 1518 bajtova. U multi-VLAN portovima (trunk portovima), svaki okvir je označen kada uđe u sklopku. Mrežni adapter (NIC, kartica mrežnog sučelja) koji podržava ISL protokol omogućuje poslužitelju primanje i slanje označenih okvira za više VLAN-ova. Štoviše, okviri mogu proći kroz nekoliko VLAN-ova bez prelaska usmjerivača, što smanjuje kašnjenje. Ova se tehnologija može koristiti u mrežnim sondama i analizatorima. Korisnik će se moći spojiti na poslužitelj bez prelaska usmjerivača svaki put kada pristupi bilo kojem izvoru informacija. Na primjer, mrežni administrator može koristiti ISL tehnologiju za omogućavanje datotečnog poslužitelja na više VLAN-ova u isto vrijeme.Važno je razumjeti da se informacije o ISL VLAN-u dodaju u okvir samo kada se prosljeđuju na priključak konfiguriran za trunk način rada. ISL enkapsulacija uklanja se iz okvira čim uđe u pristupnu asocijaciju. Okosnice veza Trunkovi su 100 ili 1000 Mbps veze od točke do točke između dva preklopnika, između preklopnika i usmjerivača ili između preklopnika i poslužitelja. Magistralne veze mogu isporučivati ​​promet na više VLAN-ova (od 1 do 1005 mreža podržanih istovremeno). Nije dopušten rad magistralnih veza u linijama od 10 Mbit/s. Trunking vam omogućuje da port postane član više VLAN-ova u isto vrijeme, tako da, na primjer, glavni poslužitelj može biti u dvije domene emitiranja u isto vrijeme. Korisnici će moći izbjeći prelazak preko uređaja sloja 3 (usmjerivača) kada se prijavljuju i koriste poslužitelj. Osim toga, povezivanjem preklopnika, trunking će omogućiti prijenos nekih ili svih VLAN informacija preko veze. Ako ne stvorite trunk vezu između preklopnika, prema zadanim postavkama ovi će uređaji moći komunicirati samo informacije o jednom VLAN-u. Svi VLAN-ovi su konfigurirani s glavnim vezama osim ako ih administrator ručno ne stvori. Cisco preklopnici koriste DTP (Dynamic Trunking Protocol) za upravljanje failoverom u softverskom pogonu preklopnika Catalyst 4.2 ili novijem i koriste ISL ili 802.lq protokol. DTP je protokol od točke do točke dizajniran za prijenos informacija glavne veze preko 802.lq glavnih linija.

Ovo je prvi članak iz serije "Mreže za najmlađe". Maxim aka Gluck i ja smo dugo razmišljali gdje započeti: usmjeravanje, VLAN-ovi, konfiguracija opreme. Kao rezultat toga, odlučili smo započeti s temeljnom i, moglo bi se reći, najvažnijom stvari: planiranjem. Budući da je ciklus dizajniran za potpune početnike, proći ćemo cijeli put od početka do kraja.

Pretpostavlja se da ste barem čitali o referentnom modelu OSI, o skupu protokola TCP/IP, znate o vrstama VLAN-ova koji postoje, o trenutno najpopularnijem VLAN-u temeljenom na portu i o IP adresama. Razumijemo da su "OSI" i "TCP/IP" zastrašujuće riječi za početnike. Ali ne brinite, ne koristimo ih da vas prestrašimo. To je ono s čime ćete se svakodnevno suočavati, pa ćemo kroz ovaj ciklus pokušati razotkriti njihovo značenje i odnos prema stvarnosti.

Počnimo s postavljanjem zadatka. Postoji određena tvrtka koja se bavi, na primjer, proizvodnjom dizala koja idu samo gore, pa se stoga i zove Lift Me Up LLC. Smješteni su u staroj zgradi na Arbatu, a trule žice utaknute u spaljene i spaljene 10Base-T vremenske sklopke ne očekuju nove servere koji će se spajati preko gigabitnih kartica. Dakle, imaju katastrofalnu potrebu za mrežnom infrastrukturom i kokoši ne kljukaju novac, što vam daje mogućnost neograničenog izbora. Ovo je prekrasan san svakog inženjera. I vi ste jučer prošli razgovor i u teškoj borbi s pravom ste dobili mjesto mrežnog administratora. I sad si prvi i jedini takve vrste u njemu. Čestitamo! Što je sljedeće?

Potrebno je malo precizirati situaciju:

1. Trenutno tvrtka ima dva ureda: 200 četvornih metara na Arbatu za poslove i serversku sobu. Postoji nekoliko pružatelja usluga. Još jedan na Rubljovki.
2. Postoje četiri skupine korisnika: računovodstvo (B), financijsko-ekonomska služba (FEO), proizvodno-tehnička služba (PTO), ostali korisnici (D). A tu su i poslužitelji (C) koji su smješteni u posebnu grupu. Sve grupe su odvojene i nemaju izravan pristup jedna drugoj.
3. Korisnici grupa C, B i FEO bit će samo u uredu Arbat, PTO i D bit će u oba ureda.

Nakon procjene broja korisnika, potrebnih sučelja, komunikacijskih kanala, pripremate dijagram mreže i IP plan.

Prilikom projektiranja mreže trebali biste se pokušati pridržavati hijerarhijskog mrežnog modela koji ima mnoge prednosti u usporedbi s „ravnom mrežom“:

• lakše razumijevanje mrežne organizacije
• model podrazumijeva modularnost, što znači da je lako proširiti kapacitet upravo tamo gdje je potrebno
• lakše pronaći i izolirati problem
• povećana tolerancija na pogreške zbog dupliciranja uređaja i/ili veza
• distribucija funkcija za osiguranje performansi mreže na različitim uređajima.

Prema ovom modelu mreža je podijeljena na tri logičke razine: jezgra mreže(Osnovni sloj: uređaji visokih performansi, glavna svrha je brz transport), razina distribucije(Distribucijski sloj: pruža provedbu sigurnosnih pravila, QoS, VLAN agregaciju i usmjeravanje, definira domene emitiranja), i razina pristupa(Pristupni sloj: obično L2 sklopke, svrha: povezivanje krajnjih uređaja, označavanje prometa za QoS, zaštita od mrežnih prstenova (STP) i oluja emitiranja, osiguranje napajanja za PoE uređaje).

Na skali poput naše, uloga svakog uređaja je zamagljena, ali je moguće logično razdvojiti mrežu.

Napravimo približni dijagram:

U prikazanom dijagramu, jezgra (Core) će biti usmjerivač 2811, preklopnik 2960 će biti dodijeljen distribucijskoj razini (Distribution), budući da su svi VLAN-ovi agregirani u zajednički trunk na njemu. 2950 prekidača bit će Access uređaji. Na njih će biti povezani krajnji korisnici, uredska oprema, serveri.

Uređaje ćemo imenovati na sljedeći način: skraćeni naziv grada ( msk) - geografski položaj (ulica, zgrada) ( arbat) — uloga uređaja u mreži + serijski broj.

Odabiremo prema njihovim ulogama i lokaciji ime hosta:

• usmjerivač 2811: msk-arbat-gw1(gw=GateWay=gateway);
• prekidač 2960: msk-arbat-dsw1(dsw=Razdjelna sklopka);
• 2950 prekidača: msk-arbat-aswN, msk-rubl-asw1(asw=Pristupni prekidač).

Mrežna dokumentacija

Cijela mreža mora biti strogo dokumentirana: od sheme sklopa do naziva sučelja.

Prije nego što nastavim s postavljanjem, želio bih navesti potrebne dokumente i radnje:

• mrežni dijagrami L1, L2, L3 u skladu sa slojevima OSI modela (fizički, kanalski, mrežni);
• Plan IP adresa = IP plan;
• VLAN popis;
• potpisi ( opis) sučelja;
• popis uređaja (za svaki trebate navesti: model hardvera, instaliranu verziju iOS-a, količinu RAM\NVRAM-a, popis sučelja);
• oznake na kabelima (odakle i kamo ide), uključujući napojne i uzemljujuće kabele i uređaje;
• jedinstveni propis koji definira sve navedene parametre i dr.

Podebljano je ono što ćemo pratiti u sklopu programa simulatora. Naravno, sve promjene na mreži moraju se izvršiti u dokumentaciji i konfiguraciji kako bi bile ažurne.

Kada govorimo o naljepnicama/naljepnicama na kabelima, mislimo na ovo:

Ova fotografija jasno pokazuje da je svaki kabel označen, vrijednost svake mašine na štitu u stalku, kao i svaki uređaj.

Pripremimo dokumente koji su nam potrebni:

Popis VLAN-a

Svaka grupa će biti dodijeljena zasebnom vlan-u. Na ovaj način ćemo ograničiti emitirane domene. Uvest ćemo i poseban VLAN za upravljanje uređajima. VLAN brojevi 4 do 100 rezervirani su za buduću upotrebu.

IP plan

Dodjela podmreža općenito je proizvoljna, odgovara samo broju čvorova u ovoj lokalnoj mreži, uzimajući u obzir mogući rast. U ovom primjeru, sve podmreže imaju standardnu ​​masku /24 (/24=255.255.255.0) - one se često koriste u lokalnim mrežama, ali ne uvijek. Savjetujemo vam da pročitate o klasama mreža. U budućnosti ćemo se okrenuti besklasnom adresiranju (cisco). Razumijemo da su poveznice na tehničke članke na Wikipediji loša manira, ali daju dobru definiciju, a mi ćemo je zauzvrat pokušati prenijeti na sliku stvarnog svijeta.

Pod Point-to-Point mrežom podrazumijevamo povezivanje jednog usmjerivača s drugim u načinu rada od točke do točke. Obično se uzimaju adrese s maskom 30 (vratimo se na temu bezklasnih mreža), odnosno koje sadrže dvije host adrese. Kasnije će se pokazati što je u pitanju.

IP plan

IP adresa	Bilješka	VLAN
172.16.0.0/16
172.16.0.0/24	Farma poslužitelja	3
172.16.0.1	Gateway
172.16.0.2	mreža
172.16.0.3	datoteka
172.16.0.4	pošta
172.16.0.5 — 172.16.0.254	Rezervirano
172.16.1.0/24	Kontrolirati	2
172.16.1.1	Gateway
172.16.1.2	msk-arbat-dsw1
172.16.1.3	msk-arbat-asw1
172.16.1.4	msk-arbat-asw2
172.16.1.5	msk-arbat-asw3
172.16.1.6	msk-rubl-aswl
172.16.1.6 — 172.16.1.254	Rezervirano
172.16.2.0/24	Mreža od točke do točke
172.16.2.1	Gateway
172.16.2.2 — 172.16.2.254	Rezervirano
172.16.3.0/24	VETERINAR	101
172.16.3.1	Gateway
172.16.3.2 — 172.16.3.254	Bazen za korisnike
172.16.4.0/24	FEO	102
172.16.4.1	Gateway
172.16.4.2 — 172.16.4.254	Bazen za korisnike
172.16.5.0/24	Računovodstvo	103
172.16.5.1	Gateway
172.16.5.2 — 172.16.5.254	Bazen za korisnike
172.16.6.0/24	Ostali korisnici	104
172.16.6.1	Gateway
172.16.6.2 — 172.16.6.254	Bazen za korisnike

Plan spajanja opreme po priključcima

Naravno, sada postoje preklopnici s hrpom Ethernet portova od 1Gb, postoje preklopnici s 10G, postoje 40Gb na naprednom operatorskom hardveru koji košta mnogo tisuća dolara, 100Gb je u razvoju (a prema glasinama, čak ih ima takve ploče koje su otišle u industrijsku proizvodnju). Sukladno tome, u stvarnom svijetu možete odabrati preklopnike i usmjerivače prema svojim potrebama, ne zaboravljajući svoj proračun. Konkretno, gigabitni prekidač sada se može kupiti jeftino (20-30 tisuća) i to je s maržom za budućnost (naravno, ako niste pružatelj usluga). Usmjerivač s gigabitnim priključcima već je znatno skuplji od onog sa 100Mbps priključcima, ali se isplati jer su FE modeli (100Mbps FastEthernet) zastarjeli i njihova propusnost je vrlo niska.

Ali u programima emulatora / simulatora koje ćemo koristiti, nažalost, postoje samo jednostavni modeli opreme, tako da ćemo pri modeliranju mreže krenuti od onoga što imamo: cisco2811 ruter, cisco2960 i 2950 preklopnici.

Naziv uređaja	Luka	Ime	VLAN
			Pristup	Deblo
msk-arbat-gw1	FE0/1	uzlazna veza
	FE0/0	msk-arbat-dsw1		2,3,101,102,103,104
msk-arbat-dsw1	FE0/24	msk-arbat-gw1		2,3,101,102,103,104
	GE1/1	msk-arbat-asw1		2,3
	GE1/2	msk-arbat-asw3		2,101,102,103,104
	FE0/1	msk-rubl-asw1		2,101,104
msk-arbat-asw1	GE1/1	msk-arbat-dsw1		2,3
	GE1/2	msk-arbat-asw2		2,3
	FE0/1	web poslužitelj	3
	FE0/2	Fileserver	3
msk-arbat-asw2	GE1/1	msk-arbat-asw1		2,3
	FE0/1	poslužitelj pošte	3
msk-arbat-asw3	GE1/1	msk-arbat-dsw1		2,101,102,103,104
	FE0/1-FE0/5	PTO	101
	FE0/6-FE0/10	FEO	102
	FE0/11-FE0/15	Računovodstvo	103
	FE0/16-FE0/24	ostalo	104
msk-rubl-asw1	FE0/24	msk-arbat-dsw1		2,101,104
	FE0/1-FE0/15	PTO	101
	FE0/20	administrator	104

Zašto su VLAN-ovi raspoređeni na ovaj način, objasnit ćemo u sljedećim dijelovima.

Mrežni dijagrami

Na temelju ovih podataka u ovoj fazi mogu se nacrtati sva tri mrežna dijagrama. Za to možete koristiti Microsoft Visio, neku besplatnu aplikaciju, ali vezanu uz vaš format, ili grafičke uređivače (možete i slobodnom rukom, ali teško ćete biti u toku :)).

Ne za propagandu otvorenog koda, već za razna sredstva, upotrijebimo Dia. Smatram da je to jedna od najboljih aplikacija za izradu dijagrama za Linux. Postoji verzija za Windows, ali, nažalost, ne postoji kompatibilnost u Visio.

L1

To jest, u dijagramu L1 odražavamo fizičke uređaje mreže s brojevima priključaka: što je gdje povezano.

L2

U L2 dijagramu označavamo naše VLAN-ove.

L3

U našem primjeru, shema trećeg sloja pokazala se prilično beskorisnom i ne baš vizualnom, zbog prisutnosti samo jednog uređaja za usmjeravanje. Ali s vremenom će dobiti detalje.

Kao što vidite, podaci u dokumentima su suvišni. Na primjer, VLAN brojevi se ponavljaju iu dijagramu iu planu priključaka. Kao da je netko na tragu nečega. Čim vam bude ugodnije, učinite to. Ova redundancija otežava ažuriranje u slučaju promjene konfiguracije, jer je potrebno popraviti na više mjesta odjednom, ali s druge strane, olakšava razumijevanje.

Na ovaj prvi članak vratit ćemo se više puta u budućnosti, kao što ćete se i vi uvijek morati vraćati na ono što ste prvotno planirali. Pravi zadatak za one koji tek počinju učiti i spremni su se potruditi za ovo: pročitajte puno o vlanovima, ip-adresiranju, pronađite Packet Tracer i GNS3 programe. Što se tiče temeljnih teorijskih znanja, savjetujemo vam da počnete čitati Cisco press. Ovo je nešto što apsolutno morate znati. U sljedećem dijelu sve će biti na način za odrasle, uz video, naučit ćemo kako se spojiti na opremu, pozabaviti se sučeljem i reći što učiniti nemarnom administratoru koji je zaboravio lozinku.

Posljednjih godina stručnjaci u području lokalnih mreža sve su skloniji vjerovati da mreže sa stotinama, tisućama ili čak desecima tisuća čvorova trebaju biti strukturirane u skladu s hijerarhijskim modelom, čija je superiornost nad ravnim, nehijerarhijskim model djeluje uvjerljivo.

Čini se da nakon zamjene sporih routera učinkovitijim L3 switchevima više ništa ne može zaustaviti širenje ovog modela. Međutim, smanjenje troškova prekidača pridonosi izboru u korist rješenja koja se u potpunosti temelje na drugoj razini. Zanemaruju se prednosti strukturiranih mreža.

PREDNOSTI HIJERARHIJSKOG MODELA

U hijerarhijskom modelu cijela je mreža podijeljena na nekoliko razina, kojima se upravlja zasebno. Ovo uvelike pojednostavljuje zadatak dizajna, budući da se svaki pojedinačni sloj može implementirati prema specifičnim zahtjevima određenog opsega. Smanjenje veličine podmreža omogućuje postizanje smanjenja broja komunikacijskih veza svakog krajnjeg uređaja. Na primjer, oluje emitiranja brzo rastu kako se povećava broj sustava u ravnoj mreži.

Odgovornost za održavanje pojedinih podpodručja mrežnog stabla u hijerarhijskom modelu lako se delegira bez većih problema sa sučeljem, što nije moguće u slučaju ravne mreže. Osim toga, vidljivost mrežne strukture u slučaju hijerarhijskog modela također se opravdava pri traženju pogrešaka. Kod hijerarhijske konstrukcije mreže različite vrste promjena je puno lakše provesti jer u pravilu zahvaćaju samo dio sustava. U ravnom modelu mogu utjecati na cijelu mrežu. Ova okolnost uvelike pojednostavljuje rast hijerarhijskih mreža: implementira se dodavanjem novog mrežnog područja na postojeću razinu ili sljedeću razinu bez potrebe ponovnog iscrtavanja cijele strukture.

OD USMJERAVANJA DO SMJEŠTANJA NA SLOJU 3

Visoka cijena i niske performanse postojećih uređaja dugo su sprječavali uspješno širenje hijerarhijske sheme umrežavanja. Klasični usmjerivači nisu se mogli natjecati s preklopnicima druge razine ni u pogledu brzine prijenosa paketa ni u pogledu troškova porta. Implementacija potrebne kombinacije usmjeravanja i komutacije sloja 2 pokazala se problematičnom u praksi. Stoga je u mnogim poduzećima izbor za komunikaciju unutar IP podmreža ili virtualnih lokalnih mreža (Virtual Local Area Network, VLAN) napravljen u korist kombiniranog Layer 2 frame switchinga i ATM-a. U međuvremenu, nije postojala oprema visokih performansi za IP komunikaciju između virtualnih mreža. Konačno je postao dostupan dolaskom prebacivanja na treću razinu (uz ispravljanje početnih nedostataka, sada se može smatrati prilično zrelim).

Prekidači razine 3 usmjeravaju svaki paket zasebno pomoću integriranih sklopova specifičnih za aplikacije (ASIC), dok analiziraju sadržaj paketa i donose odluke o putu na temelju informacija s viših slojeva. Komunikacija između VLAN-ova je brza kao i unutar, tj. s maksimalnom propusnošću mreže. Na tržištu su se već pojavili proizvodi s brzinama prijenosa do 100 milijuna paketa u sekundi.

Zamjena postojećih usmjerivača s Layer 3 preklopnicima vrlo je jednostavna: trebate samo zamijeniti odgovarajuće uređaje. Sve vještine i know-how potencijal akumuliran tijekom godina rada rutera mogu se koristiti u daljnjem radu.

Layer 2 i Layer 3 sklopke trenutno se ne razlikuju mnogo jedna od druge u pogledu performansi, tako da odabir vrste uređaja ovisi - zajedno s funkcionalnošću - o cijeni portova. U isto vrijeme, čak i unatoč primjetnom smanjenju cijene Layer 3 switcheva, jednostavni Layer 2 switchevi i dalje koštaju puno manje. Dakle, djelokrug prvog su uglavnom mrežna debla, a drugi - radne grupe.

JASNO LOKALNO PODNOŠENJE

Layer 2 VLAN tehnologija povezana s prebacivanjem rođena je iz želje da se komunikacije između IP podmreža svedu na najmanju moguću mjeru jer se odvijaju preko sporih veza s usmjerivačima. Možete povećati udio komunikacija unutar VLAN-ova i smanjiti onaj između VLAN-ova mapiranjem IP podmreža i namjenskih organizacijskih struktura u VLAN-ove. U tom se slučaju ista podmreža može proširiti na nekoliko zgrada - u pravilu geografija nije bitna za virtualne lokalne mreže.

Slika 2. Redundantna mreža sloja 2/3.

Prebacivanje treće razine još uvijek daje priliku za dosljednu implementaciju hijerarhijskih principa izgradnje mreže. Stoga pitanje tzv. ravnog ili hijerarhijskog pristupa opet dobiva posebno značenje. Logička struktura ravne nestrukturirane mreže odgovara dijagramu prikazanom na slici 1. Ne postoji veza između lokacije krajnjih uređaja i njihovih IP adresa. Treći oktet IP adrese (na slici: "1", "2" ili "3") ne daje nikakve informacije o lokaciji krajnjeg uređaja.

Alternativa bi bila infrastruktura sloja 3 u jezgri mreže s povezanim preklopnicima sloja 2, možda kao što je prikazano na slici 2. Strukturirana mreža slijedi logički dijagram prikazan na slici 3, koji jasno pokazuje odnos između lokacije krajnjih uređaja i njihove IP adrese. . Treći oktet IP adrese daje točnu lokaciju krajnjeg uređaja. Četvrti i posljednji oktet specificira specifične krajnje uređaje.

Slika 3. Logička struktura mreže trećeg sloja.

STRUKTURIRANE MREŽE DRUGE/TREĆE RAZINE

Kada se ispituju prednosti i nedostaci razmatranih topologija, još uvijek se može pronaći jedan značajan pozitivan aspekt ravnih mreža drugog sloja: kada se oprema premješta, nema potrebe mijenjati IP adrese i nema potrebe ponovno konfigurirati aplikacije koje koriste IP adrese kao identifikatore.

Međutim, tome se može suprotstaviti niz prednosti strukturiranih mreža druge/treće razine:

• nepostojanje negativnih posljedica potencijalnog dupliciranja IP adresa za cijelu mrežu u cjelini;
• odvajanje domena emitiranja i time značajno smanjenje opterećenja krajnjih uređaja;
• sveprisutna korespondencija adresa mrežnog sloja zgradama i sklopkama: adrese koje "govore" olakšavaju lokalizaciju grešaka koje se pojavljuju;
• sposobnost implementacije sigurnosnih funkcija na granicama između podmreža;
• osiguravanje željene kvalitete usluge na mrežnim i transportnim slojevima, na primjer, određivanjem prioriteta za neke aplikacije;
• učinkovitije upravljanje emitiranjem korištenjem usmjeravanja emitiranog prometa u preklopnicima sloja 3;
• značajno smanjenje vremena potrebnog za osiguranje konvergencije pri implementaciji redundantnih veza. Na primjer, s prioritetnim odabirom najkraće rute (Open Shortest Path First, OSPF) to će trajati samo nekoliko sekundi, dok Spanning Tree protokolu treba od 40 do 50 sekundi. Na razini IP podmreže, Hot Standby Router Protocol/Virtual Router Redundancy Protocol (HSRP/VRRP) može se koristiti kao zadani mehanizam redundantnosti usmjerivača.

KONKURENTSKI PRISTUPI DIZAJNU

Čini se da je strukturirano umrežavanje sloja 2/sloja 3 najprikladnije za osiguranje sigurnog i stabilnog rada čak i na velikim mrežama. Gotovo svi mrežni arhitekti dolaze do ovog zaključka, no nedavno je puno pristaša dobilo novi pristup mrežnom dizajnu, koji se temelji isključivo na Layer 2 switchevima. To je zbog činjenice da su mnoga poduzeća prisiljena tražiti prilike za smanjenje ulaganja, uključujući i lokalne mreže.

Takvi koncepti temelje se uglavnom na upotrebi jeftinih prekidača drugog sloja i sastoje se u njihovom sastavljanju, na primjer, u prstenastu strukturu. Mehanizam za implementaciju redundancije u prstenastim strukturama temelji se na protokolu Rapid Spanning Tree. Ovaj pristup je podržan standardom IEEE 802.1w, koji definira brzu rekonfiguraciju razapinjućeg stabla, koji je osmišljen kako bi smanjio vrijeme konvergencije zloglasnog Spanning Tree protokola na nekoliko sekundi.

Takve "jeftine" sheme, u kojima je izostavljen model hijerarhijske mrežne strukture, na prvi pogled izgledaju privlačno: uštede se računaju u desecima postotaka. Ipak, malo skepse ne škodi. Jeftini Layer 2 prekidači moraju imati stabilne kodove za podršku Rapid Spanning Tree. Međutim, ovo se čini kao vrlo hrabra pretpostavka s obzirom na to koliko je vremena trebalo da izvorni algoritam postane koliko-toliko stabilan. Osim toga, ne smijemo zaboraviti da je mala vrijednost vremena konvergencije u prisutnosti redundantnih veza samo jedan od razloga zašto se koristi infrastruktura treće razine. Ali što je s IP adresama koje "govore", zaštitom od pogrešnih adresa, smanjenjem emitiranog prometa i učinkovitijim upravljanjem emitiranim prometom u mrežama na trećoj razini?

S ove točke gledišta, cjenovni aspekt postaje relativan, jer se, uostalom, ova dva pristupa projektiranju mreže ne mogu uspoređivati. Naravno, potpuno suvišan dizajn s dvostrukom zvijezdom košta puno više od kaskadne strukture s jeftinim komponentama. No, mrežni projekt koji koristi uređaje treće razine također može biti nešto jeftiniji: uopće nije potrebno uzeti "previše" hardvera kao osnovu. To će pomoći u izgradnji mreže treće razine i uštedjeti oko 35% njezinih troškova.

Beroc Moayeri radi za Comconsult Beratung und Planung. Može ga se kontaktirati na: