Introduzione alle reti locali virtuali: (LAN virtuale). L'infrastruttura di rete del data center diventerà più flessibile

17.06.2019 Televisori (Smart TV)

31/10/2017 | Vladimir Khazov

Il compito principale di un provider Internet è fornire servizi di comunicazione agli abbonati (accesso a Internet, telefonia, televisione digitale e altri). E per fornire l'accesso a questi servizi, è necessario costruire una rete. In passato abbiamo parlato dei passaggi principali per creare un provider Internet, in questo ci soffermeremo sulla costruzione di una rete in modo più dettagliato.

La figura mostra un modello di riferimento per la realizzazione di una rete. È una topologia ad albero (combinazione di più topologie a stella) con collegamenti ridondanti aggiuntivi. La ridondanza compensa il principale inconveniente di questa topologia (il guasto di uno dei nodi pregiudica il funzionamento dell'intera rete), ma raddoppia anche il già eccessivo consumo di cavi. Per ridurre i costi dei cavi, molte organizzazioni "rafforzano" solo le parti più significative della rete.

Va ricordato che questo è solo un modello e, pertanto, la divisione in livelli potrebbe essere condizionale: alcuni dispositivi potrebbero implementare entrambi i livelli contemporaneamente e alcuni livelli potrebbero essere completamente assenti.

Come puoi vedere, questo modello è composto da quattro livelli:

livello di accesso;
livello di aggregazione;
livello centrale della rete;
livello di server.

Analizziamo ciascuno di essi separatamente.

Livello di accesso

Il processo principale a questo livello è la connessione delle apparecchiature del cliente (computer, router Wi-Fi) alla rete del provider. Qui, le apparecchiature del provider sono switch (se si tratta di una rete locale ed è prevista la connessione tramite un supporto cablato) o stazioni base (se la connessione viene effettuata tramite un supporto wireless). Di norma, per organizzare una rete gestita, vengono utilizzati switch di secondo livello (L2), meno spesso - il terzo (L3). Alcuni provider nella fase di costruzione di una rete locale preferiscono switch non gestiti, che possono successivamente influire sulla qualità dei servizi forniti.

Inoltre, per ridurre i costi di connessione, vengono utilizzati dispositivi con il numero massimo di interfacce fisiche 24/48. Cisco Catalyst serie 2900, 3500 e 3700 si sono dimostrati switch gestiti di secondo livello, ma molti operatori scelgono Eltex, SNR e altri sviluppi russi come più convenienti.

Gli interruttori L3 a questo livello sono piuttosto rari, poiché sono più costosi di L2 e il loro posizionamento nei locali tecnici dei grattacieli è associato a determinati rischi. Se gli switch L3 si trovano a livello di accesso, solo nella combinazione del livello di accesso e del livello di aggregazione. Un particolare esempio di utilizzo è un ufficio in un ufficio o un reparto e, nel caso di un fornitore, un condominio o una parte residenziale di questo edificio.

Va notato che quando si costruisce una rete, ogni provider sceglie il grado della sua segmentazione. Un segmento di rete, o VLAN (Virtual Local Area Network), consente di combinare un gruppo di utenti in un'unica rete logica o separarli separatamente. Sono considerate pessime maniere quando la rete è "piatta", ovvero client, switch, router e server si trovano sullo stesso segmento logico. Una tale rete ha molti svantaggi. Una soluzione più corretta è dividere l'intera rete in sottoreti più piccole, idealmente per allocare VLAN per ciascun client.

Livello di aggregazione

Un livello intermedio tra il core della rete e il livello di accesso. Di norma, questo livello è implementato sugli switch L3, meno spesso sui router a causa del loro alto costo e, ancora, delle peculiarità del funzionamento in alcune tipologie di locali. Il compito principale dell'apparecchiatura è combinare i collegamenti dagli interruttori del livello di accesso sullo switch "backbone" nella topologia "a stella".

La distanza dagli interruttori di accesso agli interruttori di questo gruppo può raggiungere diversi chilometri. Se gli switch L2 vengono utilizzati a livello di accesso e la rete è segmentata, le interfacce L3 per le VLAN specificate a livello di accesso vengono organizzate a questo livello. Questo approccio può in qualche modo scaricare il core della rete, poiché in questo caso il core non ha record sulle VLAN stesse e sui parametri delle interfacce VLAN, ma ha solo un percorso verso la sottorete finale.

L'apparecchiatura più diffusa utilizzata dai provider per implementare questo livello è la serie Cisco Catalyst 3750 e 3550, in particolare il WS-C3550-24-FX-SMI.

Quest'ultimo ha guadagnato popolarità grazie al maggior numero di interfacce ottiche, ma, sfortunatamente, è obsoleto e non soddisfa i requisiti moderni per la costruzione di reti. Anche l'equipaggiamento di Foundry (ora Brocade), Nortel (obsoleto), Extreme, SNR ed Eltex affronta abbastanza bene i compiti di questo livello. L'hardware fornito da Foundry/Brocade consente di utilizzare lo chassis e gli slot di espansione e di aumentare le prestazioni secondo necessità.

Livello del kernel

Il core è parte integrante di qualsiasi rete. Questo livello è implementato sui router, meno spesso sugli switch L3 ad alte prestazioni (di nuovo, per ridurre il costo della rete stessa). Come accennato in precedenza, a seconda dell'architettura di rete, il kernel può "mantenere" percorsi statici o avere impostazioni per instradamento dinamico.

Livello del server

È implementato, come suggerisce il nome, dai server di rete. L'implementazione può essere sia su piattaforme server che su hardware specializzato. Il software per piattaforme server oggi è rappresentato da diversi produttori e con diversi tipi di licenze, nonché dal sistema operativo su cui verrà eseguito questo software. Provider standard impostato a questo livello:

Server DHCP
server DNS;
uno o più server di accesso (se presenti);
Server AAA (raggio o diametro);
server di fatturazione;
server di database;
server per la memorizzazione delle statistiche di flusso e delle informazioni di fatturazione;
server di monitoraggio della rete;
servizi di intrattenimento per utenti (facoltativi);
server di contenuti (come Google Cache).

Questi servizi saranno discussi in dettaglio nel prossimo articolo.

livello di confine

L'edge layer di solito manca dai diagrammi all'inizio, poiché funziona al di fuori della rete principale, sebbene possa essere implementato a livello di core. Ma è meglio allocare un dispositivo indipendente per questi scopi. A questo livello il traffico viene scambiato tra il provider e il provider a monte o tra l'AS (sistema autonomo) dell'operatore con altri sistemi autonomi (nel caso di utilizzo di BGP). All'inizio della costruzione della rete, il livello può essere implementato anche sul server di accesso, ma in seguito, non appena sarà necessario aggiungere un altro server di accesso, sorgerà la questione di una sottorete dai propri indirizzi reali.

Questa esigenza può essere implementata su router o switch L3: è sufficiente instradare un pool esterno di indirizzi dalla propria sottorete esterna all'indirizzo IP emesso dal provider al momento della connessione.

Lo schema finale della rete ISP può assomigliare a questo, ma in pratica viene modificato per determinati compiti.

Nei seguenti articoli parleremo dei principali servizi che devono essere utilizzati nella rete ISP, nonché dei modi per far convergere alcuni di essi utilizzando il .

Per ulteriori informazioni sui vantaggi del moderno sistema di analisi approfondita del traffico SCAT DPI, sul suo utilizzo efficace sulle reti degli operatori di telecomunicazioni e sulla migrazione da altre piattaforme, puoi imparare dagli specialisti dell'azienda, dallo sviluppatore e fornitore del DPI sistema di analisi del traffico.

(). Comprendiamo che "OSI" e "TCP/IP" sono parole spaventose per i principianti. Ma non preoccuparti, non li stiamo usando per spaventarti. Questo è ciò con cui dovrai fare i conti ogni giorno, quindi durante questo ciclo cercheremo di scoprirne il significato e la relazione con la realtà.

Iniziamo con l'impostazione dell'attività. C'è una certa azienda impegnata, ad esempio, nella produzione di ascensori che salgono solo in alto, e quindi si chiama Lift Me Up LLC. Si trovano in un vecchio edificio sull'Arbat e i cavi marci collegati a interruttori orari 10Base-T bruciati non prevedono la connessione di nuovi server tramite schede gigabit. Quindi, hanno un bisogno catastrofico di infrastrutture di rete e i polli non beccano soldi, il che ti dà l'opportunità di una scelta illimitata. Questo è il sogno meraviglioso di qualsiasi ingegnere. E ieri hai superato l'intervista e, in una difficile lotta, hai giustamente ricevuto la posizione di amministratore di rete. E ora sei il primo e unico nel suo genere. Congratulazioni! Qual è il prossimo?

È necessario specificare un po' la situazione:

Attualmente l'azienda dispone di due sedi: 200 mq sull'Arbat per i lavori e una sala server. Ci sono diversi fornitori. Un altro su Rublyovka.
Ci sono quattro gruppi di utenti: contabilità (B), dipartimento finanziario ed economico (FEO), dipartimento tecnico e produttivo (PTO), altri utenti (D). E ci sono anche i server ©, che sono inseriti in un gruppo separato. Tutti i gruppi sono separati e non hanno accesso diretto l'uno all'altro.
Gli utenti dei gruppi C, B e FEO saranno solo negli uffici di Arbat, PTO e D in entrambi gli uffici.

Dopo aver stimato il numero di utenti, le interfacce richieste, i canali di comunicazione, si prepara un diagramma di rete e un piano IP.

Quando si progetta una rete, dovresti cercare di aderire a un modello di rete gerarchico, che presenta molti vantaggi rispetto a una "rete piatta":

una più facile comprensione dell'organizzazione della rete
il modello implica modularità, il che significa che è facile espandere la capacità esattamente dove è necessario
più facile trovare e isolare il problema
maggiore tolleranza ai guasti dovuta alla duplicazione di dispositivi e/o connessioni
distribuzione delle funzioni per garantire le prestazioni della rete su vari dispositivi.

Secondo questo modello, la rete è suddivisa in tre livelli logici: nucleo di rete(Strato principale: dispositivi ad alte prestazioni, lo scopo principale è il trasporto veloce), livello di distribuzione(Livello di distribuzione: fornisce l'applicazione dei criteri di sicurezza, QoS, aggregazione e routing VLAN, definisce i domini di trasmissione) e livello di accesso(Livello di accesso: solitamente switch L2, scopo: collegare dispositivi terminali, contrassegnare il traffico per QoS, protezione contro anelli di rete (STP) e broadcast storm, fornire alimentazione ai dispositivi PoE).

Su una scala come la nostra, il ruolo di ogni dispositivo è sfocato, ma è possibile separare logicamente la rete.
Facciamo un diagramma approssimativo:

Nel diagramma presentato, il core (Core) sarà il router 2811, lo switch 2960 sarà assegnato al livello di distribuzione (Distribution), poiché tutte le VLAN sono aggregate su di esso in un trunk comune. Gli switch 2950 saranno dispositivi Access. Gli utenti finali, le apparecchiature per ufficio, i server saranno collegati a loro.

Denomineremo i dispositivi come segue: il nome abbreviato della città ( msk) - posizione geografica (via, edificio) ( arbat) - il ruolo del dispositivo nella rete + numero di serie.
In base ai loro ruoli e posizione, selezioniamo Nome host:
Router 2811: msk-arbat-gw1(gw=GateWay=gateway)
Interruttore 2960: msk-arbat-dsw1(dsw=interruttore di distribuzione)
Interruttori 2950: msk-arbat-aswN, msk-rubl-asw1(asw=Interruttore di accesso)

Documentazione di rete

L'intera rete deve essere rigorosamente documentata: dallo schema elettrico al nome dell'interfaccia.
Prima di procedere con l'installazione, vorrei elencare i documenti e le azioni necessarie:

Schemi di rete L1, L2, L3 secondo gli strati del modello OSI (Fisico, canale, rete)
Piano di indirizzamento IP = Piano IP
Elenco VLAN
firme ( descrizione) interfacce
Elenco dei dispositivi (per ciascuno è necessario specificare: modello hardware, versione di IOS installata, quantità di RAM \ NVRAM, elenco delle interfacce)
Etichette sui cavi (da dove va e dove), compresi i cavi e i dispositivi di alimentazione e di terra
Un unico regolamento che definisce tutti i parametri di cui sopra e altri

Il grassetto è ciò che monitoreremo come parte del programma del simulatore. Naturalmente, tutte le modifiche alla rete devono essere apportate alla documentazione e alla configurazione per mantenerle aggiornate.

Quando parliamo di etichette/adesivi sui cavi, intendiamo questo:

Questa foto mostra chiaramente che ogni cavo è contrassegnato, il valore di ogni macchina sullo schermo nel rack, così come ogni dispositivo.

Prepariamo i documenti di cui abbiamo bisogno:

Elenco VLAN

Ogni gruppo sarà assegnato a un vlan separato. In questo modo limiteremo i domini di trasmissione. Introdurremo anche una VLAN speciale per la gestione dei dispositivi.
I numeri VLAN da 4 a 100 sono riservati per un uso futuro.

Piano IP

indirizzo IP	Nota	VLAN
172.16.0.0/16
172.16.0.0/24	Server farm	3
172.16.0.1	Gateway
172.16.0.2	ragnatela
172.16.0.3	file
172.16.0.4	Posta
172.16.0.5 - 172.16.0.254	riservato
172.16.1.0/24	Controllo	2
172.16.1.1	Gateway
172.16.1.2	msk-arbat-dsw1
172.16.1.3	msk-arbat-asw1
172.16.1.4	msk-arbat-asw2
172.16.1.5	msk-arbat-asw3
172.16.1.6	msk-rubl-aswl
172.16.1.6 - 172.16.1.254	riservato
172.16.2.0/24	Rete punto a punto
172.16.2.1	Gateway
172.16.2.2 - 172.16.2.254	riservato
172.16.3.0/24	VETERINARIO	101
172.16.3.1	Gateway
172.16.3.2 - 172.16.3.254	Piscina per gli utenti
172.16.4.0/24	FEO	102
172.16.4.1	Gateway
172.16.4.2 - 172.16.4.254	Piscina per gli utenti
172.16.5.0/24	Contabilità	103
172.16.5.1	Gateway
172.16.5.2 - 172.16.5.254	Piscina per gli utenti
172.16.6.0/24	Altri utenti	104
172.16.6.1	Gateway
172.16.6.2 - 172.16.6.254	Piscina per gli utenti

L'allocazione delle sottoreti è generalmente arbitraria, corrispondente solo al numero di nodi in questa rete locale, tenendo conto della possibile crescita. In questo esempio, tutte le sottoreti hanno la maschera standard /24 (/24=255.255.255.0) - spesso usata nelle reti locali, ma non sempre. Ti consigliamo di leggere le classi di reti. In futuro, passeremo all'indirizzamento senza classi (cisco). Comprendiamo che i collegamenti ad articoli tecnici su Wikipedia sono cattive maniere, ma danno una buona definizione e noi, a nostra volta, cercheremo di trasferirlo nell'immagine del mondo reale.
Per rete Point-to-Point si intende la connessione di un router ad un altro in modalità point-to-point. Di solito vengono presi indirizzi con una maschera di 30 (tornando all'argomento delle reti senza classi), ovvero contenenti due indirizzi host. Più tardi sarà chiaro quale sia la posta in gioco.

Piano di collegamento delle apparecchiature per porti

Ovviamente ora ci sono switch con un mucchio di porte Ethernet da 1Gb, ci sono switch con 10G, ci sono 40Gb su hardware operatore avanzato che costa un sacco di migliaia di dollari, 100Gb è in fase di sviluppo (e secondo alcune indiscrezioni, ci sono anche tali schede che sono entrate nella produzione industriale). Di conseguenza, nel mondo reale, puoi scegliere switch e router in base alle tue esigenze, senza dimenticare il tuo budget. In particolare, ora è possibile acquistare a buon mercato uno switch gigabit (20-30mila) e questo con un margine per il futuro (se non si è provider, ovviamente). Un router con porte gigabit è già molto più costoso di uno con porte 100Mbps, ma ne vale la pena perché i modelli FE (100Mbps FastEthernet) sono obsoleti e il loro throughput è molto basso.
Ma nei programmi di emulazione/simulatore che useremo, purtroppo, ci sono solo modelli di apparecchiature semplici, quindi quando modelliamo la rete, inizieremo da quello che abbiamo: router cisco2811, switch cisco2960 e 2950.

Nome del dispositivo	Porta	Nome	VLAN
Accesso	Tronco
msk-arbat-gw1	FE0/1	collegamento in salita
	FE0/0	msk-arbat-dsw1		2,3,101,102,103,104
msk-arbat-dsw1	FE0/24	msk-arbat-gw1		2,3,101,102,103,104
	GE1/1	msk-arbat-asw1		2,3
	GE1/2	msk-arbat-asw3		2,101,102,103,104
	FE0/1	msk-rubl-asw1	2,101,104

msk-arbat-asw1	GE1/1	msk-arbat-dsw1		2,3
	GE1/2	msk-arbat-asw2		2,3
	FE0/1	server web	3
	FE0/2	File server	3

msk-arbat-asw2	GE1/1	msk-arbat-asw1		2,3
	FE0/1	server email	3

msk-arbat-asw3	GE1/1	msk-arbat-dsw1		2,101,102,103,104
	FE0/1-FE0/5	presa di forza	101
	FE0/6-FE0/10	FEO	102
	FE0/11-FE0/15	Contabilità	103
	FE0/16-FE0/24	Altro	104

msk-rubl-asw1	FE0/24	msk-arbat-dsw1	2,101,104
	FE0/1-FE0/15	presa di forza	101
	FE0/20	amministratore	104

Perché le VLAN sono distribuite in questo modo, spiegheremo nelle parti seguenti.

Diagrammi di rete

Sulla base di questi dati, in questa fase è possibile disegnare tutti e tre i diagrammi di rete. Per farlo potete utilizzare Microsoft Visio, qualche applicazione gratuita, ma legata al suo formato, oppure editor grafici (si possono anche usare a mano libera, ma sarà difficile tenersi aggiornati :)).

Non per propaganda open source, ma per una varietà di mezzi, usiamo Dia. La considero una delle migliori applicazioni di diagrammi per Linux. C'è una versione per Windows, ma, sfortunatamente, non c'è compatibilità in Visio.

L1

Cioè, nel diagramma L1, riflettiamo i dispositivi fisici della rete con i numeri di porta: cosa è connesso dove.

L2

Nel diagramma L2 indichiamo le nostre VLAN

L3

Nel nostro esempio, lo schema del terzo strato si è rivelato piuttosto inutile e poco visivo, a causa della presenza di un solo dispositivo di routing. Ma nel tempo acquisirà dettagli.

Come puoi vedere, le informazioni nei documenti sono ridondanti. Ad esempio, i numeri VLAN vengono ripetuti sia nel diagramma che nel piano delle porte. È come se qualcuno avesse a che fare con qualcosa. Quando ti senti più a tuo agio, fallo. Questa ridondanza rende difficile l'aggiornamento in caso di modifica della configurazione, perché è necessario ripararlo in più punti contemporaneamente, ma d'altra parte lo rende più facile da capire.

Torneremo su questo primo articolo più di una volta in futuro, proprio come dovrai sempre tornare a ciò che avevi pianificato originariamente.
Il vero compito per coloro che stanno appena iniziando a imparare e sono pronti a fare uno sforzo per questo: leggere molto su vlan, indirizzi IP, trovare i programmi Packet Tracer e GNS3.
Per quanto riguarda le conoscenze teoriche fondamentali, ti consigliamo di iniziare a leggere la stampa Cisco. Questo è qualcosa che devi assolutamente sapere.
Nella parte successiva, tutto sarà in modo adulto, con un video impareremo come connetterci all'attrezzatura, gestire l'interfaccia e dirti cosa fare a un amministratore negligente che ha dimenticato la password.
PS Grazie al coautore dell'articolo - Maxim alias gluck.
P.P.S Per coloro che hanno qualcosa da chiedere, ma non hanno l'opportunità di porre la loro domanda qui, siete invitati a

Introduzione alle VLAN: (LAN virtuale)
Nelle reti commutate di livello 2, la rete sembra essere "piatta" (vedere la figura 1). Qualsiasi pacchetto di trasmissione viene inviato a tutti i dispositivi, indipendentemente dal fatto che il dispositivo debba ricevere questi dati.

Poiché la commutazione di livello 2 genera domini di collisione separati per ciascun dispositivo collegato allo switch, ci sono meno restrizioni sulla lunghezza di un segmento Ethernet, ad es. possono essere costruite reti più grandi. Un aumento del numero di utenti e dispositivi comporta un aumento del numero di trasmissioni e pacchetti elaborati da ciascun dispositivo. Un altro problema con la commutazione piatta di livello 2 è la sicurezza della rete. Tieni presente che tutti gli utenti "vedono" tutti i dispositivi. Non è possibile annullare le trasmissioni del dispositivo e le risposte degli utenti a tali trasmissioni. Aumentare il livello di sicurezza consente di proteggere server e altri dispositivi con password. La creazione di una VLAN aiuta a risolvere molti problemi di commutazione di livello 2, che verranno mostrati di seguito.

Le trasmissioni sono native di qualsiasi protocollo, ma la loro frequenza dipende dalle specifiche del protocollo in esecuzione sulla rete delle applicazioni e da come vengono utilizzati i servizi di rete. A volte devi riscrivere le vecchie applicazioni per ridurre il numero di trasmissioni. Tuttavia, le applicazioni di nuova generazione sono affamate di larghezza di banda e occupano tutte le risorse che scoprono. Le applicazioni multimediali fanno un uso massiccio di trasmissioni e multicast. L'intensità della trasmissione dell'applicazione è influenzata da guasti hardware, segmentazione inadeguata e firewall mal progettati. Si raccomanda una particolare attenzione durante la progettazione della rete perché le trasmissioni sono distribuite su una rete commutata. Per impostazione predefinita, i router restituiscono tali trasmissioni solo alla rete di origine, ma trasferiscono le trasmissioni dirette a tutti i segmenti. Ecco perché la rete è chiamata "piatta", perché si sta formando un unico dominio di trasmissione. È responsabilità dell'amministratore di rete assicurarsi che la segmentazione della rete sia corretta in modo che i problemi di un singolo segmento non si diffondano all'intera rete. Il modo più efficiente per farlo è attraverso lo switching e il routing. Poiché lo switch ha un migliore rapporto costo-prestazioni, molte aziende stanno passando da reti flat a reti completamente commutate o a VLAN. Tutti i dispositivi nella VLAN sono membri dello stesso dominio di trasmissione e ricevono tutte le trasmissioni. Per impostazione predefinita, le trasmissioni vengono filtrate su tutte le porte dello switch che non sono membri della stessa VLAN. Router, switch Layer 3 e moduli di commutazione del percorso RSM (route switch module) devono essere utilizzati insieme agli switch per fornire connessioni tra le VLAN e impedire la propagazione delle trasmissioni nella rete. Sicurezza Un altro problema con le reti flat è la sicurezza, che è determinata dalla connessione di hub e switch tramite router. La sicurezza della rete è fornita dai router. Tuttavia, chiunque si connetta alla rete fisica ha accesso alle sue risorse. Inoltre, l'utente può collegare un analizzatore di rete a un hub e osservare tutto il traffico di rete. Un ulteriore problema è legato all'inclusione di un utente in un gruppo di lavoro: è sufficiente collegare una stazione di rete a un hub. L'utilizzo di VLAN e la creazione di più gruppi di trasmissione consentirà all'amministratore di controllare ogni porta e utente. Gli utenti non saranno più in grado di collegare in modo indipendente le proprie workstation a una porta switch arbitraria e ottenere l'accesso alle risorse di rete. L'amministratore controlla ogni porta e tutte le risorse fornite agli utenti. I gruppi vengono formati in base ai requisiti dell'utente per le risorse di rete, quindi lo switch può essere configurato per notificare alla stazione di gestione della rete qualsiasi accesso non autorizzato alle risorse di rete. Se c'è comunicazione tra VLAN, è possibile implementare restrizioni di accesso tramite router. Vengono applicate restrizioni su indirizzi hardware, protocolli e applicazioni. Flessibilità e scalabilità Lo switch di livello 2 non filtra, ma legge solo i frame, poiché non analizza le informazioni sul protocollo del livello di rete. Ciò fa sì che lo switch reindirizzi tutte le trasmissioni. Tuttavia, la creazione di una VLAN genera domini di trasmissione. Queste trasmissioni da un nodo in una VLAN non verranno indirizzate alle porte in un'altra VLAN. Assegnando porte e utenti commutati a un gruppo VLAN specifico di un singolo switch o un gruppo di switch collegati (tale gruppo è chiamato fabbricacommutazione - switch fabric), aumentiamo la flessibilità per aggiungere un utente a un solo dominio di trasmissione, indipendentemente dalla posizione fisica dell'utente. Ciò impedisce che le tempeste di trasmissione si propaghino in tutta la rete quando una scheda di interfaccia di rete (NIC) o un'applicazione si guastano. Quando una VLAN diventa molto grande, è possibile formare nuove VLAN senza consentire alle trasmissioni di occupare troppa larghezza di banda. Meno utenti in una VLAN, meno utenti sono interessati dalle trasmissioni. Per capire che aspetto ha una VLAN dal punto di vista di uno switcher, è utile considerare innanzitutto i trunk localizzati convenzionali. Sulla fig. La Figura 2 mostra una dorsale collassata creata collegando LAN fisiche a un router. Ciascuna rete è connessa al router e dispone di un proprio numero di rete logico. Ciascun nodo su una rete fisica separata deve rispettare questo numero di rete per poter comunicare sulla rete risultante. Considera lo stesso circuito basato su switch. Riso. 3 mostra come lo switch elimini i confini fisici della comunicazione nella rete. Uno switch è più flessibile e scalabile di un router. È possibile raggruppare gli utenti in comunità di interesse, chiamata struttura organizzativa della VLAN.

L'uso di uno switch sembra eliminare la necessità di un router. Questo non è vero. Sulla fig. 3 mostra quattro VLAN (domini broadcast). Gli host in ciascuna VLAN possono comunicare tra loro, ma non con altre VLAN o con i loro host. Durante la configurazione VLAN, gli host devono trovarsi all'interno di una dorsale localizzata (vedere la figura 2). Cosa fa l'ospite in fig. 2 per contattare un host o un host su un'altra rete? L'host deve contattare tramite un router o un altro dispositivo di livello 3, come per la comunicazione all'interno di una VLAN (vedere la Figura 3). L'interazione tra le VLAN, nonché tra le reti fisiche, deve essere effettuata tramite dispositivo di livello 3.

Iscrizione VLAN

Una VLAN viene solitamente creata da un amministratore che le assegna porte switch. Questo metodo è chiamato rete locale virtuale statica (VLAN statica). Se l'amministratore fa un piccolo sforzo e assegna gli indirizzi hardware di tutti gli host tramite il database, lo switch può essere configurato per creare dinamicamente una VLAN. VLAN statiche VLAN statiche sono un modo tipico di formare tali reti e sono altamente sicuri. Le porte switch assegnate da VLAN rimangono sempre attive fino a quando l'amministratore non esegue una nuova assegnazione di porte. Questo tipo di VLAN è facile da configurare e monitorare e le VLAN statiche sono adatte alle reti in cui è controllato il movimento degli utenti. I programmi di gestione della rete ti aiuteranno con le assegnazioni delle porte. Tuttavia, tali programmi non sono richiesti. VLAN dinamiche VLAN dinamiche traccia automaticamente le assegnazioni dei nodi. L'uso di software di gestione della rete intelligente consente la formazione di VLAN dinamiche basate su indirizzi hardware (MAC), protocolli e persino applicazioni. Si supponga che l'indirizzo MAC sia stato inserito nell'applicazione di gestione centrale VLAN. Se la porta viene quindi collegata a una porta dello switch non assegnata, il database di gestione della VLAN troverà l'indirizzo hardware, lo assegnerà e configurerà la porta dello switch per la VLAN corretta. Ciò semplifica la gestione amministrativa e le attività di configurazione. Se l'utente si sposta in una posizione diversa sulla rete, la porta dello switch verrà automaticamente riassegnata alla VLAN corretta. Tuttavia, per il riempimento iniziale del database, l'amministratore dovrà lavorare.

Gli amministratori di rete Cisco possono utilizzare il servizio VMPS (VLAN Management Policy Server) per configurare un database di indirizzi MAC da utilizzare durante la creazione di VLAN dinamiche. VMPS è un database per la traduzione di indirizzi MAC in VLAN.

Identificazione VLAN Una VLAN può estendersi su più switch collegati. I dispositivi in un tale switch fabric tengono traccia sia dei frame stessi che della loro appartenenza a una VLAN specifica. Per questo, viene eseguita la codifica dei frame. Gli switch saranno in grado di instradare i frame alle porte appropriate. In un tale ambiente di commutazione, esistono due diversi tipi di connessione: Collegamenti di accesso(Link di accesso) Collegamenti che appartengono a una sola VLAN e sono considerati il collegamento principale di una determinata porta dello switch. Qualsiasi dispositivo connesso al collegamento di accesso non è a conoscenza della propria appartenenza alla VLAN. Questo dispositivo si considera parte del dominio di trasmissione, ma non è a conoscenza della sua effettiva appartenenza alla rete fisica. Gli switch rimuovono tutte le informazioni VLAN prima che il frame venga inviato al collegamento di accesso. I dispositivi sui collegamenti di accesso non possono comunicare con i dispositivi al di fuori della loro VLAN, a meno che i pacchetti non passino attraverso un router. Collegamenti alla spina dorsale(Collegamento trunk) I collegamenti trunk sono in grado di servire più VLAN. Il nome di queste linee è preso in prestito dai sistemi telefonici, dove le linee urbane sono in grado di trasportare contemporaneamente più conversazioni telefoniche. Nelle reti di computer, i backbone vengono utilizzati per connettere switch a switch, router e persino server. I collegamenti trunk supportano solo i protocolli Fast Ethernet o Gigabit Ethernet. Per identificare l'in-frame appartenente a una specifica VLAN Ethernet, lo switch Cisco supporta due diversi schemi di autenticazione: ISL e 802.lq. I collegamenti trunk vengono utilizzati per trasportare le VLAN tra dispositivi e possono essere configurati per supportare tutte o solo alcune VLAN. I collegamenti trunk mantengono l'appartenenza alla VLAN "nativa" (ovvero la VLAN predefinita) utilizzata quando il trunk si guasta.

Marcatura del telaio

Lo switch Internetwork deve tenere traccia degli utenti e dei frame che passano attraverso la struttura e la VLAN. Una struttura di switch è un gruppo di switch che condividono le stesse informazioni VLAN. Identificazione (marcatura) dei telai comporta l'assegnazione ai frame di un identificatore univoco definito dall'utente. Questo è spesso indicato come assegnazione dell'ID VLAN o assegnazione del colore. Cisco ha sviluppato un metodo di marcatura dei frame che viene utilizzato per trasportare i frame Ethernet sui collegamenti backbone. Il tag VLAN viene rimosso prima che il frame esca dal trunk. Qualsiasi switch che riceve un frame deve identificare l'ID VLAN per determinare cosa fare con il frame in base alla tabella dei filtri. Se un frame colpisce uno switch collegato a un altro trunk, il frame viene instradato a una porta su quel trunk. Quando un frame arriva alla fine di un collegamento trunk e sta per entrare in un collegamento di accesso, lo switch rimuove l'ID VLAN. Il dispositivo finale riceverà il frame senza alcuna informazione VLAN.

Metodi di identificazione VLAN

L'identificatore VLAN viene utilizzato per tenere traccia dei frame che si muovono attraverso la struttura dello switch. Contrassegna l'appartenenza dei frame a una VLAN specifica. Esistono diversi metodi per tracciare i frame nei collegamenti trunk: protocollo ISL Il protocollo ISL (Inter-Switch Link) è concesso in licenza per gli switch Cisco e viene utilizzato solo su reti FastEthernet e Gigabit Ethernet. Il protocollo può essere applicato a una porta switch, a un'interfaccia router oa un'interfaccia di scheda di rete su un server che funge da backbone. Un tale server backbone è adatto per creare VLAN che non violano la regola 80/20. Il server backbone è un membro di tutte le VLAN (domini broadcast) contemporaneamente. Gli utenti non devono attraversare un dispositivo di livello 3 per accedere a un server condiviso in un'organizzazione. IEEE 802.1q Il protocollo è stato creato dall'IEEE come metodo standard per la marcatura dei frame. Il protocollo prevede l'inserimento di un campo aggiuntivo nel frame per identificare la VLAN. Per creare un collegamento trunk tra le linee commutate Cisco e uno switch di terze parti, è necessario utilizzare il protocollo 802.lq per far funzionare il collegamento trunk. LANE Il protocollo LANE (Emulazione LAN) viene utilizzato per l'interazione di più VLAN su ATM. 802.10 (FDDI) Consente l'inoltro di informazioni VLAN su FDDL. Utilizza il campo SAID nell'intestazione del frame per identificare la VLAN. Il protocollo è concesso in licenza per i dispositivi Cisco. protocollo ISL Il protocollo ISL (Inter-Switch Link) è un modo per contrassegnare esplicitamente le informazioni VLAN nei frame Ethernet. Il tagging consente di multiplexare le VLAN sui collegamenti trunk utilizzando un metodo di incapsulamento esterno. Con LSL, più switch possono essere interconnessi mantenendo le informazioni VLAN, spostando il traffico sia attraverso lo switch che il backbone. Il protocollo ISL offre bassa latenza e prestazioni a livello di linea elevate per FastEthernet in half e full duplex. Il protocollo ISL è stato sviluppato da Cisco, quindi ISL è considerato concesso in licenza solo per i dispositivi Cisco. Se hai bisogno di un protocollo senza licenza per la VLAN, usa 802.lq (vedi il libro CCNP: Guida allo studio del cambio). L'ISL è un processo di etichettatura esterno, ad es. il frame originale non viene modificato in alcun modo, ma viene integrato con una nuova intestazione ISL a 26 byte. Inoltre, alla fine del telegramma viene inserito un secondo campo a 4 byte della sequenza di controllo del frame FCS (sequenza di controllo del frame). Poiché il frame è incapsulato, solo i dispositivi che supportano il protocollo ISL possono leggerlo. I frame non devono superare i 1522 byte. Un dispositivo che riceve un frame ISL potrebbe considerare il frame troppo grande, dato che Ethernet ha una lunghezza massima del segmento di 1518 byte. Nelle porte multi-VLAN (trunk port), ogni frame viene contrassegnato quando entra nello switch. Una scheda di rete (NIC, scheda di interfaccia di rete) che supporta il protocollo ISL consente al server di ricevere e inviare frame con tag per più VLAN. Inoltre, i frame possono passare attraverso diverse VLAN senza attraversare il router, il che riduce il ritardo. Questa tecnologia può essere utilizzata in sonde di rete e analizzatori. L'utente potrà connettersi al server senza attraversare il router ogni volta che accede a qualsiasi risorsa informativa. Ad esempio, un amministratore di rete può utilizzare la tecnologia ISL per abilitare un file server su più VLAN contemporaneamente.È importante comprendere che le informazioni VLAN ISL vengono aggiunte al frame solo quando inoltrate a una porta configurata per la modalità trunk. L'incapsulamento ISL viene rimosso dal frame non appena entra nell'associazione di accesso. Collegamenti alla spina dorsale I trunk sono connessioni point-to-point a 100 o 1000 Mbps tra due switch, tra uno switch e un router o tra uno switch e un server. I collegamenti trunk sono in grado di fornire traffico a più VLAN (da 1 a 1005 reti supportate contemporaneamente). Non è consentito lavorare connessioni trunk in linee a 10 Mbit/s. Il trunking consente di rendere una porta membro di più VLAN contemporaneamente, in modo che, ad esempio, un server backbone possa trovarsi in due domini di trasmissione contemporaneamente. Gli utenti potranno evitare di dover attraversare un dispositivo di livello 3 (router) durante l'accesso e l'utilizzo del server. Inoltre, collegando gli switch, il trunking consentirà di trasferire alcune o tutte le informazioni VLAN sul collegamento. Se non si crea un collegamento trunk tra gli switch, per impostazione predefinita questi dispositivi saranno in grado di comunicare solo le informazioni di una VLAN. Tutte le VLAN sono configurate con collegamenti trunk a meno che non vengano create manualmente dall'amministratore. Gli switch Cisco utilizzano DTP (Dynamic Trunking Protocol) per gestire il failover nel motore software dello switch Catalyst 4.2 o versioni successive e utilizzano il protocollo ISL o 802.lq. DTP è un protocollo point-to-point progettato per trasportare informazioni di collegamento trunk su linee trunk 802.lq.

Questo è il primo articolo della collana "Reti per i più piccoli". Maxim alias Gluck ed io abbiamo pensato a lungo da dove cominciare: routing, VLAN, setup delle apparecchiature. Di conseguenza, abbiamo deciso di iniziare con la cosa fondamentale e, si potrebbe dire, più importante: la pianificazione. Poiché il ciclo è progettato per i principianti assoluti, andremo dall'inizio alla fine.

Si presume che tu abbia almeno letto del modello di riferimento OSI, dello stack del protocollo TCP / IP, dei tipi di VLAN esistenti, della VLAN basata su porta più popolare ora e degli indirizzi IP. Comprendiamo che "OSI" e "TCP/IP" sono parole spaventose per i principianti. Ma non preoccuparti, non li stiamo usando per spaventarti. Questo è ciò con cui dovrai fare i conti ogni giorno, quindi durante questo ciclo cercheremo di scoprirne il significato e la relazione con la realtà.

È necessario specificare un po' la situazione:

Attualmente l'azienda dispone di due sedi: 200 mq sull'Arbat per i lavori e una sala server. Ci sono diversi fornitori. Un altro su Rublyovka.
Ci sono quattro gruppi di utenti: contabilità (B), dipartimento finanziario ed economico (FEO), dipartimento tecnico e produttivo (PTO), altri utenti (D). E ci sono anche i server (C), che sono inseriti in un gruppo separato. Tutti i gruppi sono separati e non hanno accesso diretto l'uno all'altro.
Gli utenti dei gruppi C, B e FEO saranno solo negli uffici di Arbat, PTO e D in entrambi gli uffici.

Dopo aver stimato il numero di utenti, le interfacce richieste, i canali di comunicazione, si prepara un diagramma di rete e un piano IP.

Quando si progetta una rete, dovresti cercare di aderire a un modello di rete gerarchico, che presenta molti vantaggi rispetto a una "rete piatta":

una più facile comprensione dell'organizzazione della rete
il modello implica modularità, il che significa che è facile espandere la capacità esattamente dove è necessario
più facile trovare e isolare il problema
maggiore tolleranza ai guasti dovuta alla duplicazione di dispositivi e/o connessioni
distribuzione delle funzioni per garantire le prestazioni della rete su vari dispositivi.

Su una scala come la nostra, il ruolo di ogni dispositivo è sfocato, ma è possibile separare logicamente la rete.

Facciamo un diagramma approssimativo:

Denomineremo i dispositivi come segue: il nome abbreviato della città ( msk) - posizione geografica (via, edificio) ( arbat) — il ruolo del dispositivo nella rete + numero di serie.

In base ai loro ruoli e posizione, selezioniamo Nome host:

router 2811: msk-arbat-gw1(gw=GateWay=gateway);
interruttore 2960: msk-arbat-dsw1(dsw=Interruttore di distribuzione);
2950 interruttori: msk-arbat-aswN, msk-rubl-asw1(asw=Interruttore di accesso).

Documentazione di rete

L'intera rete deve essere rigorosamente documentata: dallo schema elettrico al nome dell'interfaccia.

Prima di procedere con l'installazione, vorrei elencare i documenti e le azioni necessarie:

schemi di rete L1, L2, L3 secondo gli strati del modello OSI (fisico, canale, rete);
Piano indirizzo IP = Piano IP;
Elenco VLAN;
firme ( descrizione) interfacce;
un elenco di dispositivi (per ciascuno è necessario specificare: il modello hardware, la versione IOS installata, la quantità di RAM\NVRAM, l'elenco delle interfacce);
etichette sui cavi (da dove e dove va), compresi cavi e dispositivi di alimentazione e di terra;
un unico regolamento che definisce tutti i parametri di cui sopra ed altri.

Quando parliamo di etichette/adesivi sui cavi, intendiamo questo:

Questa foto mostra chiaramente che ogni cavo è contrassegnato, il valore di ogni macchina sullo schermo nel rack, così come ogni dispositivo.

Prepariamo i documenti di cui abbiamo bisogno:

Elenco VLAN

Ogni gruppo sarà assegnato a un vlan separato. In questo modo limiteremo i domini di trasmissione. Introdurremo anche una VLAN speciale per la gestione dei dispositivi. I numeri VLAN da 4 a 100 sono riservati per un uso futuro.

Piano IP

Per rete Point-to-Point si intende la connessione di un router ad un altro in modalità point-to-point. Di solito vengono presi indirizzi con una maschera di 30 (tornando all'argomento delle reti senza classi), ovvero contenenti due indirizzi host. Più tardi sarà chiaro quale sia la posta in gioco.

Piano IP

indirizzo IP	Nota	VLAN
172.16.0.0/16
172.16.0.0/24	Server farm	3
172.16.0.1	Gateway
172.16.0.2	ragnatela
172.16.0.3	file
172.16.0.4	Posta
172.16.0.5 — 172.16.0.254	riservato
172.16.1.0/24	Controllo	2
172.16.1.1	Gateway
172.16.1.2	msk-arbat-dsw1
172.16.1.3	msk-arbat-asw1
172.16.1.4	msk-arbat-asw2
172.16.1.5	msk-arbat-asw3
172.16.1.6	msk-rubl-aswl
172.16.1.6 — 172.16.1.254	riservato
172.16.2.0/24	Rete punto a punto
172.16.2.1	Gateway
172.16.2.2 — 172.16.2.254	riservato
172.16.3.0/24	VETERINARIO	101
172.16.3.1	Gateway
172.16.3.2 — 172.16.3.254	Piscina per gli utenti
172.16.4.0/24	FEO	102
172.16.4.1	Gateway
172.16.4.2 — 172.16.4.254	Piscina per gli utenti
172.16.5.0/24	Contabilità	103
172.16.5.1	Gateway
172.16.5.2 — 172.16.5.254	Piscina per gli utenti
172.16.6.0/24	Altri utenti	104
172.16.6.1	Gateway
172.16.6.2 — 172.16.6.254	Piscina per gli utenti

Piano di collegamento delle apparecchiature per porti

Ma nei programmi di emulazione/simulatore che useremo, purtroppo, ci sono solo modelli di apparecchiature semplici, quindi quando modelliamo la rete, inizieremo da quello che abbiamo: router cisco2811, switch cisco2960 e 2950.

Nome del dispositivo	Porta	Nome	VLAN
Nome del dispositivo	Porta	Nome	Accesso	Tronco
msk-arbat-gw1	FE0/1	collegamento in salita
	FE0/0	msk-arbat-dsw1		2,3,101,102,103,104

msk-arbat-dsw1	FE0/24	msk-arbat-gw1		2,3,101,102,103,104
	GE1/1	msk-arbat-asw1		2,3
	GE1/2	msk-arbat-asw3		2,101,102,103,104
	FE0/1	msk-rubl-asw1		2,101,104

msk-arbat-asw1	GE1/1	msk-arbat-dsw1		2,3
	GE1/2	msk-arbat-asw2		2,3
	FE0/1	server web	3
	FE0/2	File server	3

msk-arbat-asw2	GE1/1	msk-arbat-asw1		2,3
	FE0/1	server email	3

msk-arbat-asw3	GE1/1	msk-arbat-dsw1		2,101,102,103,104
	FE0/1-FE0/5	presa di forza	101
	FE0/6-FE0/10	FEO	102
	FE0/11-FE0/15	Contabilità	103
	FE0/16-FE0/24	Altro	104

msk-rubl-asw1	FE0/24	msk-arbat-dsw1		2,101,104
	FE0/1-FE0/15	presa di forza	101
	FE0/20	amministratore	104

Perché le VLAN sono distribuite in questo modo, spiegheremo nelle parti seguenti.

Diagrammi di rete

L1

Cioè, nel diagramma L1, riflettiamo i dispositivi fisici della rete con i numeri di porta: cosa è connesso dove.

L2

Nel diagramma L2 indichiamo le nostre VLAN.

L3

Nel nostro esempio, lo schema del terzo strato si è rivelato piuttosto inutile e poco visivo, a causa della presenza di un solo dispositivo di routing. Ma nel tempo acquisirà dettagli.

Torneremo su questo primo articolo più di una volta in futuro, proprio come dovrai sempre tornare a ciò che avevi pianificato originariamente. Il vero compito per coloro che stanno appena iniziando a imparare e sono pronti a fare uno sforzo per questo: leggere molto su vlan, indirizzi IP, trovare i programmi Packet Tracer e GNS3. Per quanto riguarda le conoscenze teoriche fondamentali, ti consigliamo di iniziare a leggere la stampa Cisco. Questo è qualcosa che devi assolutamente sapere. Nella parte successiva, tutto sarà in modo adulto, con un video impareremo come connetterci all'attrezzatura, gestire l'interfaccia e dirti cosa fare a un amministratore negligente che ha dimenticato la password.

Negli ultimi anni, gli esperti nel campo delle reti locali sono sempre più inclini a ritenere che le reti con centinaia, migliaia o anche decine di migliaia di nodi debbano essere strutturate secondo un modello gerarchico, la cui superiorità su un modello piatto e non gerarchico il modello sembra convincente

Sembrerebbe che dopo la sostituzione dei router lenti con switch L3 più efficienti, nulla possa impedire la diffusione di questo modello. Tuttavia, la riduzione del costo degli switch contribuisce alla scelta a favore di soluzioni completamente basate sul secondo livello. I vantaggi delle reti strutturate vengono ignorati.

VANTAGGI DEL MODELLO GERARCHICO

In un modello gerarchico, l'intera rete è suddivisa in più livelli, che vengono gestiti separatamente. Ciò semplifica notevolmente il compito del progetto, poiché ogni singolo livello può essere implementato in base ai requisiti specifici di un particolare ambito. La riduzione delle dimensioni delle sottoreti consente di ottenere una riduzione del numero di collegamenti di comunicazione di ciascun dispositivo finale. Ad esempio, le tempeste di trasmissione crescono rapidamente all'aumentare del numero di sistemi in una rete piatta.

La responsabilità di mantenere le singole sottoaree dell'albero della rete in un modello gerarchico è facilmente delegabile senza grossi problemi di interfaccia, cosa che non è possibile nel caso di una rete flat. Inoltre, la visibilità della struttura della rete nel caso di un modello gerarchico si giustifica anche nella ricerca degli errori. Con una costruzione gerarchica di una rete, vari tipi di modifiche sono molto più facili da implementare, poiché, di norma, interessano solo una parte del sistema. In un modello piatto, possono interessare l'intera rete. Questa circostanza semplifica notevolmente la crescita delle reti gerarchiche: viene implementata aggiungendo una nuova area di rete al livello esistente o al livello successivo senza la necessità di ridisegnare l'intera struttura.

DAL ROUTING AL LAYER 3 COMMUTAZIONE

Per molto tempo, il costo elevato e le basse prestazioni dei dispositivi esistenti hanno impedito la diffusione di successo di uno schema di rete gerarchico. I router classici non potevano competere con gli switch di secondo livello né in termini di velocità di trasferimento dei pacchetti né di costi delle porte. L'implementazione della necessaria combinazione di routing e commutazione di livello 2 si è rivelata problematica nella pratica. Pertanto, in molte aziende, la scelta per le comunicazioni all'interno di sottoreti IP o reti locali virtuali (Virtual Local Area Network, VLAN) è stata fatta a favore della combinazione di commutazione di frame Layer 2 e ATM. Nel frattempo, non esistevano apparecchiature ad alte prestazioni per le comunicazioni IP tra reti virtuali. Finalmente è diventato disponibile con l'avvento del passaggio al terzo livello (con la correzione delle carenze iniziali, può essere considerato ormai abbastanza maturo).

Gli switch di livello 3 instradano ogni pacchetto individualmente utilizzando i circuiti integrati specifici delle applicazioni (ASIC), mentre analizzano il contenuto dei pacchetti e prendono decisioni sul percorso in base alle informazioni provenienti dai livelli superiori. La comunicazione tra le VLAN è veloce come all'interno, ovvero con la massima larghezza di banda della rete. Sul mercato sono già apparsi prodotti con velocità di trasferimento fino a 100 milioni di pacchetti al secondo.

Sostituire i router esistenti con switch Layer 3 è molto semplice: devi solo sostituire i dispositivi appropriati. Tutte le competenze e il potenziale di know-how accumulati negli anni di funzionamento dei router possono essere utilizzati in ulteriori lavori.

Gli switch Layer 2 e Layer 3 attualmente non differiscono molto tra loro in termini di prestazioni, quindi la scelta del tipo di dispositivo dipende - insieme alla funzionalità - dal costo delle porte. Allo stesso tempo, nonostante la notevole riduzione del costo degli switch Layer 3, i semplici switch Layer 2 costano ancora molto meno. Pertanto, l'ambito del primo è principalmente i trunk di rete e il secondo - i gruppi di lavoro.

CHIARA PRESENTAZIONE LOCALE

La tecnologia VLAN correlata allo switching di livello 2 è nata dal desiderio di ridurre al minimo le comunicazioni tra le sottoreti IP mentre si verificano su collegamenti lenti ai router. Puoi aumentare la quota di comunicazioni all'interno delle VLAN e ridurla tra le VLAN mappando le sottoreti IP e le strutture organizzative dedicate alle VLAN. In questo caso, la stessa sottorete può estendersi a più edifici: di norma, la geografia non ha importanza per le reti locali virtuali.

Figura 2. Rete ridondante di livello 2/3.

Il passaggio al terzo livello offre ancora una possibilità per l'implementazione coerente dei principi gerarchici della costruzione di una rete. Pertanto, la questione del cosiddetto approccio piatto o gerarchico acquisisce di nuovo un significato speciale. La struttura logica di una rete piatta non strutturata corrisponde al diagramma mostrato in Figura 1. Non esiste alcuna connessione tra la posizione dei dispositivi finali e i loro indirizzi IP. Il terzo ottetto dell'indirizzo IP (nella figura: "1", "2" o "3") non fornisce alcuna informazione sulla posizione del dispositivo finale.

Un'alternativa potrebbe essere un'infrastruttura di livello 3 al centro della rete con switch di livello 2 collegati, forse come mostrato nella Figura 2. La rete strutturata segue il diagramma logico mostrato nella Figura 3, che mostra chiaramente la relazione tra la posizione dei dispositivi finali e i loro indirizzi IP. . Il terzo ottetto dell'indirizzo IP fornisce la posizione esatta del dispositivo finale. Il quarto e ultimo ottetto specifica dispositivi finali specifici.

Figura 3. Struttura logica della rete di terzo livello.

RETI STRUTTURATE DI SECONDO/TERZO LIVELLO

Nell'esaminare i vantaggi e gli svantaggi delle topologie considerate, si può ancora trovare un aspetto positivo significativo delle reti flat di secondo livello: quando si spostano le apparecchiature, non è necessario modificare gli indirizzi IP e non è necessario riconfigurare le applicazioni che utilizzano Indirizzi IP come identificatori.

Tuttavia, questo può essere contrastato da una serie di vantaggi delle reti strutturate di secondo/terzo livello:

l'assenza di conseguenze negative di potenziali duplicazioni di indirizzi IP per l'intera rete nel suo insieme;
separazione dei domini broadcast e, quindi, una significativa riduzione del carico sui dispositivi finali;
corrispondenza onnipresente degli indirizzi del livello di rete agli edifici e agli switch: gli indirizzi "parlanti" facilitano la localizzazione degli errori che si verificano;
la capacità di implementare funzioni di sicurezza ai confini tra le sottoreti;
garantire la qualità del servizio desiderata a livello di rete e di trasporto, ad esempio determinando la priorità per alcune applicazioni;
una gestione più efficiente delle trasmissioni attraverso l'uso dell'instradamento del traffico di trasmissione negli switch di livello 3;
una significativa riduzione dei tempi necessari per garantire la convergenza nell'implementazione delle connessioni ridondanti. Ad esempio, con la selezione prioritaria del percorso più breve (Open Shortest Path First, OSPF), questo richiederà solo pochi secondi, mentre il protocollo Spanning Tree impiega da 40 a 50 secondi. A livello di sottorete IP, è possibile utilizzare il protocollo Hot Standby Router Protocol/Virtual Router Redundancy Protocol (HSRP/VRRP) come meccanismo di ridondanza del router predefinito.

APPROCCI CONCORRENTI ALLA PROGETTAZIONE

La rete strutturata Layer 2/Layer 3 sembra essere la più adatta per garantire un funzionamento sicuro e stabile anche in reti di grandi dimensioni. Quasi tutti gli architetti di rete giungono a questa conclusione, ma recentemente molti aderenti hanno ricevuto un nuovo approccio alla progettazione della rete, che si basa esclusivamente su switch Layer 2. Ciò è dovuto al fatto che molte imprese sono costrette a cercare opportunità per ridurre gli investimenti, anche nelle reti locali.

Tali concetti si basano principalmente sull'uso di interruttori di secondo strato a basso costo e consistono nel comporli, ad esempio, in una struttura ad anello. Il meccanismo per l'implementazione della ridondanza nelle strutture ad anello si basa sul protocollo Rapid Spanning Tree. Questo approccio è supportato dallo standard IEEE 802.1w, che definisce la riconfigurazione dello spanning tree veloce, progettata per ridurre a pochi secondi il tempo di convergenza del protocollo Spanning Tree notoriamente lento.

Tali schemi "poco costosi", in cui il modello di una struttura di rete gerarchica è tralasciato, sembrano attraenti a prima vista: i risparmi sono calcolati in decine di punti percentuali. Tuttavia, un po' di scetticismo non guasta. Gli switch Layer 2 economici devono avere codici stabili per supportare Rapid Spanning Tree. Tuttavia, questo sembra un presupposto molto audace dato il tempo impiegato dall'algoritmo originale per diventare più o meno stabile. Inoltre, non bisogna dimenticare che il piccolo valore del tempo di convergenza in presenza di connessioni ridondanti è solo uno dei motivi per cui viene utilizzata l'infrastruttura di terzo livello. Ma che dire degli indirizzi IP "parlanti", della protezione da indirizzi errati, della riduzione del traffico broadcast e di una gestione più efficiente del traffico broadcast nelle reti di terzo livello?

Da questo punto di vista, l'aspetto del prezzo diventa relativo, perché, in fondo, questi due approcci alla progettazione di rete non possono essere confrontati. Naturalmente, un design a doppia stella completamente ridondante costa molto di più di una struttura a cascata con componenti economici. Tuttavia, un progetto di rete che utilizza dispositivi di terzo livello può essere anche un po' più economico: non è affatto necessario prendere "troppo" hardware come base. Ciò contribuirà a costruire una rete di terzo livello e a risparmiare circa il 35% del suo costo.

Beroc Moayeri lavora per Comconsult Beratung und Planung. Può essere contattato a:

Introduzione alle reti locali virtuali: (LAN virtuale). L'infrastruttura di rete del data center diventerà più flessibile

Livello di accesso

Livello di aggregazione

Livello del kernel

Livello del server

livello di confine

Documentazione di rete

Elenco VLAN

Piano IP

Piano di collegamento delle apparecchiature per porti

Diagrammi di rete

L1

L2

L3

Documentazione di rete

Elenco VLAN

Piano IP

Piano di collegamento delle apparecchiature per porti

Diagrammi di rete

L1

L2

L3

VANTAGGI DEL MODELLO GERARCHICO

DAL ROUTING AL LAYER 3 COMMUTAZIONE

CHIARA PRESENTAZIONE LOCALE

RETI STRUTTURATE DI SECONDO/TERZO LIVELLO

APPROCCI CONCORRENTI ALLA PROGETTAZIONE

Articoli correlati in alto