Hyrje në Rrjetet Virtuale Lokale: (Virtual LAN). Infrastruktura e rrjetit të qendrave të të dhënave do të bëhet më fleksibël

31.10.2017 | Vladimir Khazov

Detyra kryesore e një ofruesi të internetit është të ofrojë shërbime komunikimi për pajtimtarët (qasja në internet, telefonia, televizioni dixhital dhe të tjerët). Dhe për të siguruar akses në këto shërbime, është e nevojshme të ndërtohet një rrjet. Në të fundit, ne folëm për hapat kryesorë për krijimin e një ofruesi të Internetit, në këtë do të ndalemi më në detaje në ndërtimin e një rrjeti.

Figura tregon një model referimi për ndërtimin e një rrjeti. Është një topologji pemësh (bashkimi i topologjive të shumëfishta yjesh) me lidhje shtesë të tepërta. Redundancia kompenson disavantazhin kryesor të kësaj topologjie (dështimi i njërit prej nyjeve ndikon në funksionimin e të gjithë rrjetit), por gjithashtu dyfishon konsumin tashmë të tepruar të kabllove. Për të ulur kostot e kabllove, shumë organizata "përforcojnë" vetëm pjesët më të rëndësishme të rrjetit.

Duhet mbajtur mend se ky është vetëm një model, dhe për këtë arsye, ndarja në nivele mund të jetë e kushtëzuar - disa pajisje mund të zbatojnë të dy nivelet menjëherë, dhe disa nivele mund të mungojnë plotësisht.

Siç mund ta shihni, ky model përbëhet nga katër nivele:

• niveli i aksesit;
• niveli i grumbullimit;
• niveli kryesor i rrjetit;
• niveli i serverit.

Le të hedhim një vështrim në secilën prej tyre veç e veç.

Niveli i aksesit

Procesi kryesor në këtë nivel është lidhja e pajisjeve të klientit (kompjuter, router Wi-Fi) me rrjetin e ofruesit. Këtu, pajisjet e ofruesit janë çelësat (nëse është një rrjet lokal dhe planifikoni të lidheni duke përdorur një medium me tel) ose stacionet bazë (nëse lidhja është bërë nëpërmjet një mediumi pa tel). Si rregull, për të organizuar një rrjet të menaxhuar, përdoren çelsat e nivelit të dytë (L2), më rrallë - i treti (L3). Disa ofrues në fazën e ndërtimit të një rrjeti lokal u japin përparësi ndërprerësve të pamenaxhuar, më vonë kjo mund të ndikojë në cilësinë e shërbimeve të ofruara.

Gjithashtu, për të ulur koston e lidhjes, përdoren pajisje me një numër maksimal ndërfaqesh fizike 24/48. Seritë Cisco Catalyst 2900, 3500 dhe 3700 e kanë provuar veten mirë në rolin e ndërprerësve të menaxhuar L2, por shumë operatorë zgjedhin Eltex, SNR dhe zhvillime të tjera ruse si më të përballueshme.

Ndërprerësit L3 në këtë nivel janë mjaft të rrallë, pasi janë më të shtrenjtë se L2 dhe vendosja e tyre në ambientet teknike të ndërtesave të larta shoqërohet me rreziqe të caktuara. Nëse çelsat L3 hasen në nivelin e aksesit, atëherë vetëm në kombinimin e nivelit të aksesit dhe nivelit të grumbullimit. Një shembull i veçantë përdorimi është një zyrë në një zyrë ose një departament, dhe në rastin e një ofruesi, një ndërtesë apartamentesh ose një seksion banimi në këtë ndërtesë.

Duhet të theksohet se gjatë ndërtimit të një rrjeti, secili ofrues zgjedh shkallën e segmentimit të tij. Një segment rrjeti, ose VLAN (Virtual Local Area Network), ju lejon të kombinoni një grup përdoruesish në një rrjet logjik ose të ndani secilin veç e veç. Konsiderohet formë shumë e keqe kur rrjeti është “flat”, pra klientët, switch-at, ruterët dhe serverët janë në të njëjtin segment logjik. Ky rrjet ka shumë disavantazhe. Një zgjidhje më e saktë është ndarja e të gjithë rrjetit në nënrrjeta më të vogla, në mënyrë ideale, për të ndarë VLAN për çdo klient.

Niveli i grumbullimit

Një nivel i ndërmjetëm midis bërthamës së rrjetit dhe nivelit të aksesit. Si rregull, ky nivel zbatohet në çelsat L3, më rrallë në ruter për shkak të kostos së tyre të lartë dhe, përsëri, veçorive të funksionimit në ambiente të një lloji të caktuar. Detyra kryesore e pajisjes zbret në kombinimin e lidhjeve nga çelsat e nivelit të aksesit në një çelës "backbone" në një topologji "yll".

Distanca nga çelsat e aksesit te çelsat e këtij grupi mund të jetë deri në disa kilometra. Nëse çelësat L2 përdoren në nivelin e aksesit dhe rrjeti është i segmentuar, atëherë ndërfaqet L3 për VLAN-et e regjistruara në nivelin e aksesit organizohen në këtë nivel. Kjo qasje është në gjendje të lehtësojë disi bërthamën e rrjetit, pasi në këtë rast bërthama nuk ka të dhëna për vetë VLAN-et dhe parametrat e ndërfaqes VLAN, por ka vetëm një rrugë për në nënrrjetin përfundimtar.

Pajisjet më të njohura të përdorura nga ofruesit për të zbatuar këtë shtresë janë seritë Cisco Catalyst 3750 dhe 3550, në veçanti WS-C3550-24-FX-SMI.

Ky i fundit fitoi popullaritet për shkak të numrit më të madh të ndërfaqeve optike, por, për fat të keq, është i vjetëruar dhe nuk plotëson kërkesat moderne për ndërtimin e rrjeteve. Pajisjet e Foundry (tani Brocade), Nortel (i vjetëruar), Extreme, SNR dhe Eltex gjithashtu përballen mirë me detyrat e këtij niveli. Pajisja e ofruar nga Foundry / Brocade ju lejon të përdorni shasinë dhe hapësirat e zgjerimit në të dhe të rrisni performancën sipas nevojës.

Niveli i kernelit

Kerneli është një pjesë integrale e çdo rrjeti. Kjo shtresë zbatohet në ruterë, më rrallë në ndërprerës L3 me performancë të lartë (përsëri, për të ulur koston e vetë rrjetit.) Siç u përmend më herët, në varësi të arkitekturës së rrjetit, bërthama mund të "mbajë" rrugë statike ose të ketë cilësime për drejtim dinamik.

Niveli i serverit

Ai zbatohet, siç nënkupton edhe emri, nga serverët e rrjetit. Zbatimi mund të jetë si në platformat e serverëve ashtu edhe në pajisje të specializuara. Sot softueri për platformat e serverëve prezantohet nga prodhues të ndryshëm dhe nën lloje të ndryshme licencash, si dhe OS në të cilin do të funksionojë ky softuer. Grupi standard i ofruesit në këtë nivel:

• server DHCP;
• server DNS;
• një ose më shumë serverë aksesi (nëse kërkohet);
• Server AAA (rrezja ose diametri);
• serveri i faturimit;
• serveri i bazës së të dhënave;
• server për ruajtjen e statistikave të rrjedhës dhe informacionit të faturimit;
• server monitorimi i rrjetit;
• shërbime argëtimi për përdoruesit (opsionale);
• serverët e përmbajtjes (si p.sh. Coogle Cache).

Ne do t'i hedhim një vështrim më të afërt këtyre shërbimeve në artikullin vijues.

Niveli i kufirit

Shtresa kufitare zakonisht mungon në diagramet e dhëna në fillim, pasi ajo funksionon jashtë rrjetit kryesor, megjithëse mund të zbatohet në nivelin e kernelit. Por është më mirë të ndani një pajisje të pavarur për këto qëllime. Në këtë nivel, trafiku shkëmbehet midis ofruesit dhe ofruesit në rrjedhën e sipërme ose midis AS (sistemi autonom) i operatorit me sisteme të tjera autonome (në rastin e përdorimit të BGP). Në fillim të ndërtimit të rrjetit, niveli mund të zbatohet në serverin e aksesit, por më vonë, sapo të bëhet e nevojshme të shtohet një server tjetër aksesi, do të lindë çështja e nënrrjetit nga adresat e veta reale.

Kjo nevojë mund të realizohet në ruterë ose në ndërprerës L3 - mjafton të varrosni grupin e jashtëm të adresave nga nënrrjeti juaj i jashtëm në adresën IP të lëshuar nga ofruesi kur lidheni.

Skema përfundimtare e rrjetit të ofruesit të internetit mund të duket kështu, por në praktikë ajo modifikohet për detyra specifike.

Në artikujt e mëposhtëm, do të flasim për shërbimet kryesore që duhen përdorur në rrjetin e një ISP-je, si dhe se si disa prej tyre konvergojnë duke përdorur platformën.

Për informacion më të detajuar në lidhje me avantazhet e sistemit modern të analizës së thellë të trafikut VAS DPI, përdorimin efektiv të tij në rrjetet e operatorëve të telekomit, si dhe për migrimin nga platforma të tjera, ju lutemi kontaktoni specialistët e kompanisë, zhvilluesi dhe furnizuesi i sistemit të analizës së trafikut DPI.

(). Ne e kuptojmë se OSI dhe TCP / IP janë fjalë të frikshme për fillestarët. Por mos u shqetësoni, ne nuk po i përdorim ato për t'ju frikësuar. Kjo është diçka që do të duhet ta takoni çdo ditë, ndaj gjatë këtij cikli do të përpiqemi të zbulojmë kuptimin dhe lidhjen e tyre me realitetin.

Le të fillojmë duke vendosur problemin. Është një kompani e caktuar që merret p.sh me prodhimin e ashensorëve që shkojnë vetëm lart dhe për këtë quhet Lift mi ap LLC. Ato janë të vendosura në një ndërtesë të vjetër në Arbat dhe telat e kalbur të mbërthyer në çelsat 10Base-T të djegur dhe të djegur nuk presin që serverët e rinj të lidhen përmes kartave gigabit. Pra, ata kanë një nevojë katastrofike për infrastrukturën e rrjetit dhe paratë nuk përqendrohen nga pulat, gjë që ju jep zgjedhje të pakufizuar. Kjo është një ëndërr e mrekullueshme për çdo inxhinier. Dhe dje e kaluat intervistën dhe në një luftë të vështirë morët me të drejtë pozicionin e administratorit të rrjetit. Dhe tani ju jeni i pari dhe i vetmi në llojin tuaj në të. urime! Ç'pritet më tej?

Situata duhet të jetë disi specifike:

1. Për momentin kompania ka dy zyra: 200 sheshe në Arbat për vendet e punës dhe një dhomë serveri. Aty janë të përfaqësuar disa ofrues. Një tjetër në Rublevka.
2. Ekzistojnë katër grupe përdoruesish: kontabiliteti (B), departamenti financiar dhe ekonomik (FEO), departamenti i prodhimit dhe teknikës (PTO), përdoruesit e tjerë (D). Dhe gjithashtu ka serverë ©, të cilët vendosen në një grup të veçantë. Të gjitha grupet janë të kufizuara dhe nuk kanë qasje të drejtpërdrejtë me njëri-tjetrin.
3. Përdoruesit e grupeve C, B dhe FEO do të jenë vetëm në zyrë në Arbat, PTO dhe D do të jenë në të dyja zyrat.

Pasi të keni vlerësuar numrin e përdoruesve, ndërfaqet e kërkuara, kanalet e komunikimit, ju përgatitni një diagram rrjeti dhe një plan IP.

Kur dizajnoni një rrjet, duhet të përpiqeni t'i përmbaheni një modeli hierarkik të rrjetit, i cili ka shumë përparësi ndaj një "rrjeti të sheshtë":

• thjeshton të kuptuarit e rrjeteve
• modeli nënkupton modularitet, që do të thotë se është e lehtë të rritet kapaciteti pikërisht aty ku nevojitet
• më e lehtë për të gjetur dhe izoluar problemin
• rritja e tolerancës së gabimeve për shkak të dyfishimit të pajisjeve dhe/ose lidhjeve
• shpërndarja e funksioneve për të siguruar funksionimin e rrjetit nëpër pajisje të ndryshme.

Sipas këtij modeli, rrjeti ndahet në tre nivele logjike: bërthama e rrjetit(Shtesa bazë: pajisje me performancë të lartë, qëllimi kryesor është transporti i shpejtë), norma e shpërndarjes(shtresa e shpërndarjes: zbaton politikat e sigurisë, QoS, grumbullimin dhe rrugëzimin në VLAN, përcakton domenet e transmetimit) dhe niveli i aksesit(Shtesa e aksesit: zakonisht çelsat L2, qëllimi: lidhja e pajisjeve fundore, shënjimi i trafikut për QoS, mbrojtja kundër unazave në rrjet (STP) dhe stuhitë e transmetimit, sigurimi i energjisë për pajisjet PoE).

Në një shkallë si e jona, roli i secilës pajisje është i paqartë, por është e mundur të ndahet logjikisht rrjeti.
Le të bëjmë një diagram të përafërt:

Në diagramin e paraqitur, bërthama (Bërthama) do të jetë ruteri 2811, ndërprerësi 2960 do t'i referohet nivelit të shpërndarjes (Shpërndarja), pasi të gjitha VLAN-et janë grumbulluar në të në një trung të përbashkët. Çelësat 2950 do të jenë pajisje Access. Përdoruesit përfundimtarë, pajisjet e zyrës dhe serverët do të lidhen me ta.

Ne do t'i emërtojmë pajisjet si më poshtë: emri i shkurtuar i qytetit ( msk) - vendndodhja gjeografike (rruga, ndërtesa) ( arbat) - roli i pajisjes në rrjet + numri i sekuencës.
Sipas roleve dhe vendndodhjes së tyre, ne zgjedhim emri i hostit:
Ruteri 2811: msk-arbat-gw1(gw = GateWay = portë)
Ndërprerësi 2960: msk-arbat-dsw1(dsw = Ndërprerësi i shpërndarjes)
Switches 2950: msk-arbat-aswN, msk-rubl-asw1(asw = Çelësi i hyrjes)

Dokumentacioni i rrjetit

I gjithë rrjeti duhet të dokumentohet rreptësisht: nga diagrami skematik deri te emri i ndërfaqes.
Para se të vazhdoj me konfigurimin, do të doja të ofroj një listë të dokumenteve dhe veprimeve të kërkuara:

• Diagramet e rrjetit L1, L2, L3 në përputhje me shtresat e modelit OSI (Fizik, kanal, rrjet)
• Plani i Adresimit IP = Plani IP
• Lista VLAN
• Nënshkrimet ( përshkrim) ndërfaqet
• Lista e pajisjeve (për secilën duhet të specifikoni: modelin e harduerit, versionin e instaluar të IOS, vëllimin RAM \ NVRAM, listën e ndërfaqeve)
• Etiketat në kabllo (ku dhe ku shkojnë), duke përfshirë kabllot dhe pajisjet e energjisë dhe tokës
• Një rregullore e vetme që përcakton të gjithë parametrat e mësipërm dhe të tjerët

Ajo që do të ndjekim në programin e simulimit është e theksuar me shkronja të zeza. Natyrisht, të gjitha ndryshimet e rrjetit duhet të bëhen në dokumentacion dhe konfigurim për t'i mbajtur ato të përditësuara.

Kur flasim për etiketa / ngjitëse në kabllo, nënkuptojmë këtë:

Në këtë foto, mund të shihni qartë se çdo kabllo është e shënuar, kuptimi i secilës makinë në pultin në raft, si dhe çdo pajisje.

Ne do të përgatisim dokumentet që na duhen:

Lista VLAN

Secili grup do të ndahet në një vlan të veçantë. Kjo do të kufizojë domenet e transmetimit. Do të prezantojmë gjithashtu një VLAN të veçantë për menaxhimin e pajisjeve.
Numrat VLAN 4 deri në 100 janë të rezervuar për përdorim në të ardhmen.

plani IP

adresa IP	shënim	VLAN
172.16.0.0/16
172.16.0.0/24	Fermë serverash	3
172.16.0.1	Porta
172.16.0.2	Web
172.16.0.3	Skedari
172.16.0.4	Postë
172.16.0.5 - 172.16.0.254	Rezervuar
172.16.1.0/24	Kontrolli	2
172.16.1.1	Porta
172.16.1.2	msk-arbat-dsw1
172.16.1.3	msk-arbat-asw1
172.16.1.4	msk-arbat-asw2
172.16.1.5	msk-arbat-asw3
172.16.1.6	msk-rubl-aswl
172.16.1.6 - 172.16.1.254	Rezervuar
172.16.2.0/24	Rrjeti pikë-për-pikë
172.16.2.1	Porta
172.16.2.2 - 172.16.2.254	Rezervuar
172.16.3.0/24	AFP	101
172.16.3.1	Porta
172.16.3.2 - 172.16.3.254	Grupi i përdoruesve
172.16.4.0/24	FEO	102
172.16.4.1	Porta
172.16.4.2 - 172.16.4.254	Grupi i përdoruesve
172.16.5.0/24	Departamenti i Kontabilitetit	103
172.16.5.1	Porta
172.16.5.2 - 172.16.5.254	Grupi i përdoruesve
172.16.6.0/24	Përdorues të tjerë	104
172.16.6.1	Porta
172.16.6.2 - 172.16.6.254	Grupi i përdoruesve

Shpërndarja e nën-rrjeteve është përgjithësisht arbitrare, që korrespondon vetëm me numrin e nyjeve në këtë rrjet lokal, duke marrë parasysh rritjen e mundshme. Në këtë shembull, të gjitha nënrrjetat kanë një maskë standarde / 24 (/24=255.255.255.0) - këto përdoren shpesh në rrjetet lokale, por jo gjithmonë. Ne ju këshillojmë të lexoni për klasat e rrjeteve. Në të ardhmen, do t'i drejtohemi adresimit pa klasë (cisco). Ne e kuptojmë se lidhjet me artikujt teknikë në Wikipedia janë sjellje të këqija, por ato japin një përkufizim të mirë dhe ne do të përpiqemi ta transferojmë këtë në pamjen e botës reale.
Një rrjet pikë-për-pikë është një lidhje pikë-për-pikë nga një ruter në tjetrin. Zakonisht, merren adresa me një maskë prej 30 (duke u kthyer në temën e rrjeteve pa klasë), domethënë, që përmbajnë dy adresa pritës. Më vonë do të bëhet e qartë se për çfarë bëhet fjalë.

Plani i lidhjes së pajisjeve sipas porteve

Sigurisht, tani ka ndërprerës me një mori portash Ethernet 1 Gb, ka çelësa me 10G, 40 Gb është i disponueshëm në pajisje të avancuara operatori që kushtojnë mijëra dollarë, 100 Gb është në zhvillim (dhe thashethemet thonë se ka edhe karta të tilla që kanë kaloi në prodhim industrial). Prandaj, ju mund të zgjidhni çelsat dhe ruterat në botën reale sipas nevojave tuaja, pa harruar buxhetin. Në veçanti, një ndërprerës gigabit tani mund të blihet me çmim të ulët (20-30 mijë) dhe kjo me një diferencë për të ardhmen (nëse nuk jeni ofrues, sigurisht). Një ruter me porte gigabit është tashmë dukshëm më i shtrenjtë se një ruter me porte 100 Mbps, por ia vlen sepse modelet FE (100 Mbps FastEthernet) janë të vjetruara dhe gjerësia e brezit të tyre është shumë e ulët.
Por në programet emulator / simulator që do të përdorim, për fat të keq, ekzistojnë vetëm modele të thjeshta pajisjesh, kështu që gjatë modelimit të rrjetit do të fillojmë nga ajo që kemi: një ruter cisco2811, çelsat cisco2960 dhe 2950.

Emri i pajisjes	Port	Emri	VLAN
Qasja	Trungu
msk-arbat-gw1	FE0/1	UpLink
	FE0 / 0	msk-arbat-dsw1		2,3,101,102,103,104
msk-arbat-dsw1	FE0 / 24	msk-arbat-gw1		2,3,101,102,103,104
	GE1 / 1	msk-arbat-asw1		2,3
	GE1/2	msk-arbat-asw3		2,101,102,103,104
	FE0/1	msk-rubl-asw1	2,101,104
msk-arbat-asw1	GE1 / 1	msk-arbat-dsw1		2,3
	GE1/2	msk-arbat-asw2		2,3
	FE0/1	Web-server	3
	FE0 / 2	File-server	3
msk-arbat-asw2	GE1 / 1	msk-arbat-asw1		2,3
	FE0/1	Mail-Server	3
msk-arbat-asw3	GE1 / 1	msk-arbat-dsw1		2,101,102,103,104
	FE0 / 1-FE0 / 5	PTO	101
	FE0 / 6-FE0 / 10	FEO	102
	FE0 / 11-FE0 / 15	Kontabiliteti	103
	FE0 / 16-FE0 / 24	Të tjera	104
msk-rubl-asw1	FE0 / 24	msk-arbat-dsw1	2,101,104
	FE0 / 1-FE0 / 15	PTO	101
	FE0 / 20	administratori	104

Përse ndahen kështu VLAN-et do të shpjegohet në seksionet në vijim.

Diagramet e rrjetit

Bazuar në këto të dhëna, të tre diagramet e rrjetit mund të hartohen në këtë fazë. Për ta bërë këtë, mund të përdorni Microsoft Visio, një aplikacion falas, por i lidhur me formatin e tij, ose redaktorët grafikë (mund ta shkruani edhe me dorë, por do të jetë e vështirë ta mbani të përditësuar :)).

Jo për të promovuar burim të hapur, por një shumëllojshmëri fondesh për hir të përdorimit të Dia. Unë e konsideroj atë si një nga aplikacionet më të mira të skemave për Linux. Ekziston një version për Windows, por, për fat të keq, nuk ka asnjë pajtueshmëri në VISIO.

L1

Kjo do të thotë, në diagramin L1, ne pasqyrojmë pajisjet fizike të rrjetit me numrat e portit: çfarë është e lidhur ku.

L2

Në diagramin L2, ne tregojmë VLAN-et tona

L3

Në shembullin tonë, skema e nivelit të tretë doli të ishte mjaft e padobishme dhe jo shumë e qartë, për shkak të pranisë së vetëm një pajisjeje kursimi. Por me kalimin e kohës, ajo do të bëhet e tejmbushur me detaje.

Siç mund ta shihni, informacioni në dokumente është i tepërt. Për shembull, numrat VLAN përsëriten si në diagram ashtu edhe në plan sipas porteve. Ja, si të thuash, kush është i mirë për çfarë. Meqenëse është më e përshtatshme për ju, bëjeni këtë. Kjo tepricë e bën të vështirë përditësimin në rast të ndryshimit të konfigurimit, sepse duhet ta rregulloni në disa vende njëherësh, por nga ana tjetër, e bën më të lehtë për t'u kuptuar.

Ne do t'i kthehemi këtij artikulli të parë më shumë se një herë në të ardhmen, ashtu si gjithmonë do t'ju duhet të ktheheni në atë që keni planifikuar fillimisht.
Në fakt, detyra është për ata që sapo kanë filluar të mësojnë dhe janë të gatshëm të bëjnë një përpjekje për këtë: lexoni shumë për vlans, adresimin ip, gjeni programet Packet Tracer dhe GNS3.
Sa i përket njohurive themelore teorike, ju këshillojmë të filloni të lexoni shtypin Cisco. Kjo është ajo që patjetër do t'ju duhet të dini.
Në pjesën tjetër, gjithçka do të jetë në një mënyrë të rritur, me një video, do të mësojmë të lidhemi me pajisjet, të merremi me ndërfaqen dhe t'ju tregojmë se çfarë të bëni me një administrator të pakujdesshëm që ka harruar fjalëkalimin.
P.S. Faleminderit bashkautorit të artikullit - Maxim aka gluck.
P.P.S Për ata që kanë çfarë të pyesin, por nuk kanë mundësi të bëjnë pyetjen e tyre këtu, jeni të mirëpritur të

Hyrje në Rrjetet Virtuale Lokale: (LAN virtual)
Në rrjetet me komutim të shtresës 2, rrjeti duket të jetë "i sheshtë" (shih Figurën 1). Çdo paketë transmetimi përcillet te të gjitha pajisjet, pavarësisht nëse pajisja duhet t'i marrë këto të dhëna.

Meqenëse ndërrimi i Layer 2 gjeneron domene të veçanta përplasjeje për secilën pajisje të lidhur me çelësin, kufizimet në gjatësinë e segmentit Ethernet, d.m.th. mund të ndërtohen rrjete më të mëdha. Rritja e numrit të përdoruesve dhe pajisjeve çon në një rritje të numrit të transmetimeve dhe paketave të përpunuara nga çdo pajisje. Një problem tjetër me ndërrimin e sheshtë të Layer 2 është siguria e rrjetit. Mbani në mend se të gjithë përdoruesit "i shohin" të gjitha pajisjet. Nuk mund të anuloni transmetimet e pajisjes dhe përgjigjet e përdoruesve ndaj atyre transmetimeve. Për të rritur nivelin e sigurisë, mbrojtja me fjalëkalim të serverëve dhe pajisjeve të tjera lejon. Krijimi i një VLAN ndihmon në zgjidhjen e shumë problemeve të ndërrimit të Layer 2, siç tregohet më poshtë.

Transmetimet janë vendase për çdo protokoll, por frekuenca e tyre varet nga të dhënat e protokollit, aplikacionet që funksionojnë në internet dhe mënyra se si përdoren shërbimet e rrjetit. Ndonjëherë ju duhet të rishkruani aplikacione të vjetra për të zvogëluar numrin e transmetimeve. Megjithatë, aplikacionet e gjeneratës së ardhshme janë të uritur për gjerësi brezi dhe marrin të gjitha burimet që zbulojnë. Aplikacionet multimediale përdorin shumë transmetime dhe transmetime multimediale. Dështimet e harduerit, segmentimi i pamjaftueshëm dhe muret e zjarrit të dizajnuara keq mund të ndikojnë në intensitetin e transmetimeve të aplikacionit. Rekomandohen masa paraprake të veçanta gjatë projektimit të rrjetit, sepse transmetimet udhëtojnë përmes një rrjeti të ndërruar. Si parazgjedhje, ruterët i kthejnë këto transmetime vetëm në rrjetin origjinal, por i kalon transmetimet në të gjitha segmentet. Kjo është arsyeja pse rrjeti quhet "i sheshtë", sepse po formohet një domen i vetëm transmetimi. Është përgjegjësi e administratorit të rrjetit të sigurojë që segmentimi i rrjetit të jetë i saktë në mënyrë që problemet e një segmenti të vetëm të mos përhapen në të gjithë rrjetin. Mënyra më efikase për ta bërë këtë është përmes ndërrimit dhe rrugëtimit. Për shkak se switch-i ka një raport më të mirë kosto-performancë, shumë kompani po lëvizin nga rrjetet e sheshta në rrjete plotësisht të ndërruara ose VLAN. Të gjitha pajisjet VLAN janë anëtarë të të njëjtit domen transmetimi dhe marrin të gjitha transmetimet. Si parazgjedhje, transmetimet filtrohen në të gjitha portat e ndërprerës që nuk janë anëtarë të të njëjtit VLAN. Ruterat, çelsat e shtresës 3 dhe modulet e ndërrimit të rrugës (RSM) duhet të përdoren së bashku me çelësat për të siguruar lidhje ndërmjet VLAN-ve dhe për të parandaluar përhapjen e transmetimeve në të gjithë rrjetin. Siguria Siguria është një çështje tjetër me rrjetet e sheshta, e cila përcaktohet nga lidhja e shpërndarësve dhe ndërprerësve përmes ruterave. Mbrojtja e rrjetit sigurohet nga ruterat. Megjithatë, kushdo që lidhet me rrjetin fizik fiton akses në burimet e tij. Përveç kësaj, përdoruesi mund të lidhë një analizues rrjeti me një shpërndarës dhe të vëzhgojë të gjithë trafikun e rrjetit. Një problem shtesë lidhet me përfshirjen e një përdoruesi në një grup pune - mjafton të lidhni një stacion rrjeti me një shpërndarës. Përdorimi i VLAN-ve dhe krijimi i grupeve të shumta të transmetimit do t'i lejojë administratorit të menaxhojë çdo port dhe përdorues. Përdoruesit nuk do të jenë më në gjendje të lidhin në mënyrë të pavarur stacionet e tyre të punës me një portë arbitrare në çelës dhe të kenë akses në burimet e rrjetit. Administratori kontrollon çdo port dhe të gjitha burimet e ofruara për përdoruesit. Grupet formohen bazuar në kërkesat e përdoruesve për burimet e rrjetit, kështu që çelësi mund të konfigurohet për të njoftuar stacionin e menaxhimit të rrjetit për çdo përpjekje të paautorizuar të aksesit në burimet e rrjetit. Nëse komunikimi ndërmjet VLAN-ve është i pranishëm, mund të zbatohen kufizime në aksesin përmes ruterave. Kufizimet vendosen në adresat e harduerit, protokollet dhe aplikacionet. Fleksibiliteti dhe shkallëzueshmëria Ndërprerësi Layer 2 nuk filtron, ai lexon vetëm kornizat, pasi nuk analizon informacionin e protokollit të shtresës së rrjetit. Kjo bën që çelësi të ridrejtojë të gjitha transmetimet. Megjithatë, krijimi i një VLAN krijon domene transmetimi. Këto transmetime nga një host në një VLAN nuk do të drejtohen në portet në një VLAN tjetër. Duke caktuar portet e ndërruara dhe përdoruesit në një grup specifik VLAN të një ndërprerësi ose një grupi të ndërprerësve të lidhur (ky grup quhet fabrikakomutim - ndërroni pëlhurën), ne rrisim fleksibilitetin për të shtuar një përdorues në vetëm një domen transmetimi, pavarësisht vendndodhjes fizike të përdoruesit. Kjo parandalon përhapjen e një stuhie transmetimi në të gjithë internetin kur një kartë e ndërfaqes së rrjetit (NIC) ose një aplikacion dështon. Kur VLAN-i bëhet shumë i madh, VLAN-et e reja mund të formohen pa lejuar që transmetimet të marrin shumë gjerësi bande. Sa më pak përdorues në një VLAN, aq më pak përdorues transmetohen. Për të kuptuar se si duket një VLAN nga këndvështrimi i ndërprerësit, është e dobishme që fillimisht të shikojmë trunk-et e zakonshme të lokalizuara. Në fig. Figura 2 tregon një shtyllë të kolapsuar të krijuar nga lidhja e rrjeteve LAN fizike me një ruter. Çdo rrjet është i lidhur me një ruter dhe ka numrin e vet logjik të rrjetit. Çdo nyje në një rrjet fizik të veçantë duhet të respektojë këtë numër rrjeti në mënyrë që të komunikojë në punën e internetit që rezulton. Konsideroni të njëjtin qark të bazuar në ndërprerës. Oriz. 3 tregon se si ndërprerësi heq kufijtë fizikë të ndërveprimit në internet. Një switch është më fleksibël dhe më i shkallëzueshëm se një router. Ju mund të gruponi përdoruesit në komunitetet e interesit, e cila quhet një strukturë organizative VLAN.

Përdorimi i një ndërprerës duket se mënjanon nevojën për një ruter. Kjo nuk eshte e vertete. Në fig. 3, katër VLAN (domene të transmetimit) janë të dukshme. Hostët në çdo VLAN mund të komunikojnë me njëri-tjetrin, por jo me ose me VLAN të tjerë. Gjatë konfigurimit VLAN, hostet duhet të jenë brenda shtyllës kurrizore të lokalizuar (shih Figurën 2). Çfarë i duhet hostit në fig. 2 për t'iu referuar një hosti "ose një hosti në një rrjet tjetër? Pritësi duhet të hyjë përmes një ruteri ose pajisje tjetër të shtresës 3, ashtu si komunikimi intra-VLAN (shih Figurën 3). Komunikimi midis VLAN-ve, si dhe ndërmjet rrjeteve fizike , duhet të jetë përmes nivelit 3 të pajisjes.

Anëtarësimi në VLAN

Një VLAN zakonisht krijohet nga një administrator i cili i cakton portat e ndërprerësit. Kjo metodë quhet VLAN statike. Nëse administratori përpiqet pak dhe cakton adresat e harduerit të të gjithë hosteve përmes bazës së të dhënave, çelësi mund të konfigurohet për të krijuar në mënyrë dinamike një VLAN. VLAN statike VLAN statike janë një mënyrë tipike e formimit të rrjeteve të tilla dhe janë shumë të sigurta. Portat e ndërprerësve të caktuara nga VLAN mbeten gjithmonë në fuqi derisa administratori t'i ricaktojë portat. Ky lloj VLAN është i lehtë për t'u konfiguruar dhe monitoruar, dhe VLAN-et statike janë të përshtatshme për rrjetet ku kontrollohet lëvizja e përdoruesve. Softueri i menaxhimit të rrjetit do t'ju udhëheqë përmes caktimeve të portit. Megjithatë, nuk është e nevojshme të përdoren programe të tilla. VLAN dinamike VLAN dinamike gjurmoni automatikisht caktimin e nyjeve. Përdorimi i softuerit inteligjent të menaxhimit të rrjetit lejon që VLAN-et dinamike të gjenerohen bazuar në adresat e harduerit (MAC), protokollet dhe madje edhe aplikacionet. Supozoni se adresa MAC është futur në aplikacionin VLAN Management Central. Nëse porta lidhet më pas me një portë ndërprerëse të pacaktuar, baza e të dhënave të menaxhimit VLAN do të gjejë adresën e harduerit, do ta caktojë atë dhe do të konfigurojë portën e ndërprerësit për VLAN-in e dëshiruar. Kjo thjeshton menaxhimin administrativ dhe detyrat e konfigurimit. Nëse përdoruesi lëviz në një vend tjetër në rrjet, porta e kalimit automatikisht do t'i caktohet përsëri VLAN-it të duhur. Megjithatë, administratori do të duhet të punojë shumë për të mbushur bazën e të dhënave fillimisht.

Administratorët e rrjetit Cisco mund të përdorin VLAN Management Policy Server (VMPS) për të ngritur një bazë të dhënash të adresave MAC që përdoret për të krijuar VLAN dinamike. VMPS është një bazë të dhënash për përkthimin e adresave MAC në VLAN.

Identifikimi VLAN Një VLAN mund të përfshijë disa çelësa të lidhur. Pajisjet në një pëlhurë të tillë ndërprerëse mbajnë gjurmët e vetë kornizave dhe përkatësinë e tyre në një VLAN të veçantë. Për këtë, kryhet etiketimi i kornizës. Çelësat do të jenë në gjendje të drejtojnë kornizat në portat e duhura. Në një mjedis të tillë ndërrimi, ekzistojnë dy lloje të ndryshme lidhjesh: Hyni në lidhje(Lidhja e aksesit) Lidhjet që i përkasin vetëm një VLAN dhe konsiderohen si lidhja kryesore e një porti të vetëm switch. Çdo pajisje e bashkangjitur në lidhjen e aksesit nuk është në dijeni të anëtarësimit të saj në VLAN. Kjo pajisje e konsideron veten pjesë të domenit të transmetimit, por nuk është në dijeni të anëtarësimit aktual fizik në rrjet. Çelësat heqin të gjithë informacionin VLAN edhe përpara se korniza të dërgohet në lidhjen e aksesit. Pajisjet në lidhjet e aksesit nuk mund të komunikojnë me pajisjet jashtë VLAN-it të tyre përveç nëse paketat kalojnë përmes një ruteri. Lidhjet e shtyllës kurrizore(Trunk link) Lidhjet trunk janë të afta të shërbejnë VLAN të shumta. Emrat e këtyre linjave janë huazuar nga sistemet telefonike, ku linjat kryesore janë të afta të kryejnë biseda të shumta telefonike në të njëjtën kohë. Në rrjetet kompjuterike, linjat e trungut përdoren për të lidhur çelësat me çelësat, ruterat dhe madje edhe serverët. Backbones mbështesin vetëm Fast Ethernet ose Gigabit Ethernet. Ndërprerësi Cisco mbështet dy skema të ndryshme identifikimi, ISL dhe 802. lq, për të identifikuar një VLAN specifik Ethernet në një kornizë. Lidhjet trunk transportojnë VLAN midis pajisjeve dhe mund të konfigurohen për të mbështetur të gjitha ose vetëm disa VLAN. Lidhjet e trunkut ruajnë VLAN-in e tyre origjinal (dmth. VLAN i paracaktuar) që përdoret kur trungu dështon.

Shënimi i kornizës

Ndërprerësi i Internetwork duhet të mbajë gjurmët e përdoruesve dhe kornizave që kalojnë nëpër strukturën e ndërprerësit dhe VLAN. Pëlhura e ndërprerësit është një grup çelsash që ndajnë të njëjtin informacion VLAN. Identifikimi (shënjimi) i kornizave përfshin caktimin e një identifikuesi unik të përcaktuar nga përdoruesi për kornizat. Kjo shpesh quhet caktim VLAN ID ose caktim ngjyrash. Cisco ka zhvilluar një metodë të etiketimit të kornizës që përdoret për të transportuar kornizat Ethernet mbi shtyllat kurrizore. Etiketa (etiketa) VLAN hiqet përpara se korniza të largohet nga trungu. Çdo ndërprerës që merr kornizën duhet të identifikojë ID-në VLAN në mënyrë që të përcaktojë veprime të mëtejshme me kornizën bazuar në tabelën e filtrimit. Nëse një kornizë godet një çelës që është i lidhur me një trunk tjetër, korniza drejtohet në një port në atë trunk. Kur korniza godet fundin e trungut dhe duhet të shkojë te lidhja e aksesit, çelësi heq ID-në VLAN. Terminali do të marrë kornizën pa asnjë informacion VLAN.

Metodat e identifikimit VLAN

ID VLAN përdoret për të gjurmuar kornizat që udhëtojnë nëpër strukturën e çelësit. Ai shënon përkatësinë e kornizave në një VLAN specifik. Ekzistojnë disa metoda për gjurmimin e kornizave në shtyllat kurrizore: Protokolli ISL ISL (Inter-Switch Link) është i licencuar për çelsat Cisco dhe përdoret vetëm në linjat FastEthernet dhe Gigabit Ethernet. Protokolli mund të aplikohet në një port switch, një ndërfaqe ruteri ose një ndërfaqe të përshtatësit të rrjetit në një server që është një shtyllë. Ky server kryesor është i përshtatshëm për krijimin e VLAN-ve që nuk shkelin rregullin 80/20. Serveri i shtyllës kurrizore është njëkohësisht një anëtar i të gjitha VLAN-ve (domaineve të transmetimit). Përdoruesit nuk kanë nevojë të kalojnë një pajisje të nivelit 3 për të hyrë në një server që ndahet në të gjithë organizatën. IEEE 802.1q Protokolli u krijua nga IEEE si një metodë standarde për etiketimin e kornizave. Protokolli supozon futjen e një fushe shtesë në kornizë për të identifikuar VLAN-in. Për të krijuar një lidhje trunk midis linjave të ndërruara Cisco dhe një ndërprerës të palës së tretë, do t'ju duhet të përdorni 802.lq, i cili do të mundësojë funksionimin e trungut. Protokolli LANE LANE (emulimi LAN) përdoret për komunikimin e shumë VLAN-ve mbi ATM. 802.10 (FDDI) Lejon përcjelljen e informacionit VLAN përmes FDDL. Përdor fushën SAID në kokën e kornizës për të identifikuar VLAN-in. Protokolli është i licencuar për pajisjet Cisco. Protokolli ISL ISL (Inter-Switch Link) është një mënyrë për të shënuar në mënyrë të qartë informacionin VLAN në kornizat Ethernet. Etiketimi lejon që VLAN-të të multipleksohen në trunk duke përdorur një metodë të kapsulimit të jashtëm. LSL mund të ndërlidhë çelësa të shumtë duke ruajtur informacionin VLAN ndërsa lëviz trafikun si nëpër çelës ashtu edhe përgjatë trungut. ISL ka vonesë të ulët dhe performancë të nivelit të lartë të linjës për FastEthernet në modalitetin gjysmë dhe të plotë të dyfishtë. ISL u zhvillua nga Cisco, kështu që ISL konsiderohet i licencuar vetëm për pajisjet Cisco. Nëse keni nevojë për një protokoll VLAN të palicencuar, përdorni 802.lq (shih librin CCNP: Switching Study Guide). ISL është një proces i jashtëm etiketimi, d.m.th. korniza origjinale nuk ndryshon në asnjë mënyrë, por shtohet me një kokë të re ISL prej 26 bajtësh. Përveç kësaj, një fushë e dytë FCS (sekuenca e kontrollit të kornizës) prej 4 bajtësh futet në fund të kornizës. Meqenëse korniza është e kapsuluar, vetëm pajisjet që mbështesin protokollin ISL mund ta lexojnë atë. Kornizat nuk duhet të kalojnë 1522 bajt. Pajisja që ka marrë kornizën ISL mund ta konsiderojë kornizën shumë të madhe, duke pasur parasysh se Ethernet ka një gjatësi maksimale të segmentit prej 1518 bajt. Në portet e shumë VLAN-eve (portet trunk), çdo kornizë etiketohet kur hyn në çelës. Një kartë e ndërfaqes së rrjetit (NIC) që mbështet protokollin ISL lejon një server të marrë dhe të dërgojë korniza të etiketuara për shumë VLAN. Për më tepër, kornizat mund të kalojnë nëpër disa VLAN pa kaluar routerin, gjë që redukton vonesën. Kjo teknologji mund të përdoret në sondat dhe analizuesit e rrjetit. Përdoruesi do të jetë në gjendje të lidhet me serverin pa kaluar ruterin në çdo akses në çdo burim informacioni. Për shembull, një administrator rrjeti mund të përdorë ISL për të përfshirë një server skedari në shumë VLAN në të njëjtën kohë. Është e rëndësishme të kuptohet që informacioni ISL VLAN shtohet në kornizë vetëm kur ridrejtohet në një port të konfiguruar për modalitetin trunk. Enkapsulimi ISL hiqet nga korniza sapo hyn në lidhjen e aksesit. Lidhjet e shtyllës kurrizore Trunk-et janë lidhje pikë-për-pikë me 100 Mbps ose 1000 Mbps ndërmjet dy ndërprerësve, midis një ndërprerës dhe një ruteri, ose midis një ndërprerës dhe një serveri. Lidhjet trunk janë të afta të ofrojnë trafik në shumë VLAN (nga 1 në 1005 rrjete mbështeten njëkohësisht). Funksionimi i lidhjeve të shtyllës kurrizore në linjat 10 Mbit / s nuk lejohet. Trunking lejon që një port të bëhet anëtar i shumë VLAN-ve në të njëjtën kohë, në mënyrë që, për shembull, një server trunk të mund të jetë në dy domene transmetimi në të njëjtën kohë. Përdoruesit do të jenë në gjendje të shmangin kalimin e pajisjes së shtresës 3 (ruterit) kur hyjnë dhe përdorin serverin. Përveç kësaj, duke lidhur çelësat, trunking do të lejojë që disa ose të gjitha informacionet VLAN të barten në linjë. Nëse nuk krijoni një lidhje trunk midis çelsave, atëherë si parazgjedhje këto pajisje do të jenë në gjendje të komunikojnë vetëm një informacion VLAN përmes lidhjes. Të gjitha VLAN-et janë konfiguruar me trunking, përveç nëse krijohen manualisht nga administratori. Çelësat Cisco përdorin Protokollin Dynamic Trunking (DTP) për të kontrolluar dështimin e modalitetit të trungut në versionin 4.2 të softuerit të kalimit Catalyst ose më të ri dhe përdorin ISL ose 802.lq. DTP është një protokoll pikë-për-pikë që është krijuar për të bartur informacion trunk mbi 802. lq trunks.

Ky është artikulli i parë i serisë “Rrjetet për të vegjlit”. Maxim aka Gluck dhe unë menduam për një kohë të gjatë se ku të fillonim: drejtimin, VLAN-et, konfigurimin e pajisjeve. Në fund, vendosëm të fillojmë me një gjë themelore dhe, mund të thuhet, më e rëndësishmja: planifikimin. Që nga cikli është projektuar për fillestarët plotësisht, ne do të shkojmë nga fillimi në fund.

Supozohet se të paktën keni lexuar për modelin e referencës OSI, për grumbullin e protokolleve TCP/IP, dini për llojet e VLAN-ve ekzistuese, për VLAN-in më të njohur të bazuar në port tani dhe për adresat IP. Ne e kuptojmë se OSI dhe TCP / IP janë fjalë të frikshme për fillestarët. Por mos u shqetësoni, ne nuk po i përdorim ato për t'ju frikësuar. Kjo është diçka që do të duhet ta takoni çdo ditë, ndaj gjatë këtij cikli do të përpiqemi të zbulojmë kuptimin dhe lidhjen e tyre me realitetin.

Le të fillojmë duke vendosur problemin. Është një kompani e caktuar që merret p.sh me prodhimin e ashensorëve që shkojnë vetëm lart dhe për këtë quhet Lift mi ap LLC. Ato janë të vendosura në një ndërtesë të vjetër në Arbat dhe telat e kalbur të mbërthyer në çelsat 10Base-T të djegur dhe të djegur nuk presin që serverët e rinj të lidhen përmes kartave gigabit. Pra, ata kanë një nevojë katastrofike për infrastrukturën e rrjetit dhe paratë nuk përqendrohen nga pulat, gjë që ju jep zgjedhje të pakufizuar. Kjo është një ëndërr e mrekullueshme për çdo inxhinier. Dhe dje e kaluat intervistën dhe në një luftë të vështirë morët me të drejtë pozicionin e administratorit të rrjetit. Dhe tani ju jeni i pari dhe i vetmi në llojin tuaj në të. urime! Ç'pritet më tej?

Situata duhet të jetë disi specifike:

1. Për momentin kompania ka dy zyra: 200 sheshe në Arbat për vendet e punës dhe një dhomë serveri. Aty janë të përfaqësuar disa ofrues. Një tjetër në Rublevka.
2. Ekzistojnë katër grupe përdoruesish: kontabiliteti (B), departamenti financiar dhe ekonomik (FEO), departamenti i prodhimit dhe teknikës (PTO), përdoruesit e tjerë (D). Dhe gjithashtu ka serverë (C), të cilët vendosen në një grup të veçantë. Të gjitha grupet janë të kufizuara dhe nuk kanë qasje të drejtpërdrejtë me njëri-tjetrin.
3. Përdoruesit e grupeve C, B dhe FEO do të jenë vetëm në zyrë në Arbat, PTO dhe D do të jenë në të dyja zyrat.

Pasi të keni vlerësuar numrin e përdoruesve, ndërfaqet e kërkuara, kanalet e komunikimit, ju përgatitni një diagram rrjeti dhe një plan IP.

Kur dizajnoni një rrjet, duhet të përpiqeni t'i përmbaheni një modeli hierarkik të rrjetit, i cili ka shumë përparësi ndaj një "rrjeti të sheshtë":

• thjeshton të kuptuarit e rrjeteve
• modeli nënkupton modularitet, që do të thotë se është e lehtë të rritet kapaciteti pikërisht aty ku nevojitet
• më e lehtë për të gjetur dhe izoluar problemin
• rritja e tolerancës së gabimeve për shkak të dyfishimit të pajisjeve dhe/ose lidhjeve
• shpërndarja e funksioneve për të siguruar funksionimin e rrjetit nëpër pajisje të ndryshme.

Sipas këtij modeli, rrjeti ndahet në tre nivele logjike: bërthama e rrjetit(Shtesa bazë: pajisje me performancë të lartë, qëllimi kryesor është transporti i shpejtë), norma e shpërndarjes(shtresa e shpërndarjes: zbaton politikat e sigurisë, QoS, grumbullimin dhe rrugëzimin në VLAN, përcakton domenet e transmetimit) dhe niveli i aksesit(Shtesa e aksesit: zakonisht çelsat L2, qëllimi: lidhja e pajisjeve fundore, shënjimi i trafikut për QoS, mbrojtja kundër unazave në rrjet (STP) dhe stuhitë e transmetimit, sigurimi i energjisë për pajisjet PoE).

Në një shkallë si e jona, roli i secilës pajisje është i paqartë, por është e mundur të ndahet logjikisht rrjeti.

Le të bëjmë një diagram të përafërt:

Në diagramin e paraqitur, bërthama (Bërthama) do të jetë ruteri 2811, ndërprerësi 2960 do t'i referohet nivelit të shpërndarjes (Shpërndarja), pasi të gjitha VLAN-et janë grumbulluar në të në një trung të përbashkët. Çelësat 2950 do të jenë pajisje Access. Përdoruesit përfundimtarë, pajisjet e zyrës dhe serverët do të lidhen me ta.

Ne do t'i emërtojmë pajisjet si më poshtë: emri i shkurtuar i qytetit ( msk) - vendndodhja gjeografike (rruga, ndërtesa) ( arbat) - roli i pajisjes në rrjet + numri i sekuencës.

Sipas roleve dhe vendndodhjes së tyre, ne zgjedhim emri i hostit:

• ruteri 2811: msk-arbat-gw1(gw = GateWay = portë);
• switch 2960: msk-arbat-dsw1(dsw = Ndërprerësi i shpërndarjes);
• çelsat 2950: msk-arbat-aswN, msk-rubl-asw1(asw = Çelësi i aksesit).

Dokumentacioni i rrjetit

I gjithë rrjeti duhet të dokumentohet rreptësisht: nga diagrami skematik deri te emri i ndërfaqes.

Para se të vazhdoj me konfigurimin, do të doja të ofroj një listë të dokumenteve dhe veprimeve të kërkuara:

• diagramet e rrjetit L1, L2, L3 në përputhje me shtresat e modelit OSI (fizik, kanal, rrjet);
• Plani i Adresimit IP = Plani IP;
• Lista VLAN;
• nënshkrime ( përshkrim) ndërfaqet;
• lista e pajisjeve (për secilën, duhet të specifikoni: modelin e harduerit, versionin e instaluar të IOS, sasinë e RAM \ NVRAM, listën e ndërfaqeve);
• etiketat në kabllo (nga ku dhe ku shkojnë), duke përfshirë kabllot dhe pajisjet e energjisë dhe tokës;
• një rregullore e vetme që përcakton të gjithë parametrat e mësipërm dhe të tjerët.

Ajo që do të ndjekim në programin e simulimit është e theksuar me shkronja të zeza. Natyrisht, të gjitha ndryshimet e rrjetit duhet të bëhen në dokumentacion dhe konfigurim për t'i mbajtur ato të përditësuara.

Kur flasim për etiketa / ngjitëse në kabllo, nënkuptojmë këtë:

Në këtë foto, mund të shihni qartë se çdo kabllo është e shënuar, kuptimi i secilës makinë në pultin në raft, si dhe çdo pajisje.

Ne do të përgatisim dokumentet që na duhen:

Lista VLAN

Secili grup do të ndahet në një vlan të veçantë. Kjo do të kufizojë domenet e transmetimit. Do të prezantojmë gjithashtu një VLAN të veçantë për menaxhimin e pajisjeve. Numrat VLAN 4 deri në 100 janë të rezervuar për përdorim në të ardhmen.

plani IP

Shpërndarja e nën-rrjeteve është përgjithësisht arbitrare, që korrespondon vetëm me numrin e nyjeve në këtë rrjet lokal, duke marrë parasysh rritjen e mundshme. Në këtë shembull, të gjitha nënrrjetat kanë një maskë standarde / 24 (/24=255.255.255.0) - këto përdoren shpesh në rrjetet lokale, por jo gjithmonë. Ne ju këshillojmë të lexoni për klasat e rrjeteve. Në të ardhmen, do t'i drejtohemi adresimit pa klasë (cisco). Ne e kuptojmë se lidhjet me artikujt teknikë në Wikipedia janë sjellje të këqija, por ato japin një përkufizim të mirë dhe ne do të përpiqemi ta transferojmë këtë në pamjen e botës reale.

Një rrjet pikë-për-pikë është një lidhje pikë-për-pikë nga një ruter në tjetrin. Zakonisht, merren adresa me një maskë prej 30 (duke u kthyer në temën e rrjeteve pa klasë), domethënë, që përmbajnë dy adresa pritës. Më vonë do të bëhet e qartë se për çfarë bëhet fjalë.

plani IP

adresa IP	shënim	VLAN
172.16.0.0/16
172.16.0.0/24	Fermë serverash	3
172.16.0.1	Porta
172.16.0.2	Web
172.16.0.3	Skedari
172.16.0.4	Postë
172.16.0.5 — 172.16.0.254	Rezervuar
172.16.1.0/24	Kontrolli	2
172.16.1.1	Porta
172.16.1.2	msk-arbat-dsw1
172.16.1.3	msk-arbat-asw1
172.16.1.4	msk-arbat-asw2
172.16.1.5	msk-arbat-asw3
172.16.1.6	msk-rubl-aswl
172.16.1.6 — 172.16.1.254	Rezervuar
172.16.2.0/24	Rrjeti pikë-për-pikë
172.16.2.1	Porta
172.16.2.2 — 172.16.2.254	Rezervuar
172.16.3.0/24	AFP	101
172.16.3.1	Porta
172.16.3.2 — 172.16.3.254	Grupi i përdoruesve
172.16.4.0/24	FEO	102
172.16.4.1	Porta
172.16.4.2 — 172.16.4.254	Grupi i përdoruesve
172.16.5.0/24	Departamenti i Kontabilitetit	103
172.16.5.1	Porta
172.16.5.2 — 172.16.5.254	Grupi i përdoruesve
172.16.6.0/24	Përdorues të tjerë	104
172.16.6.1	Porta
172.16.6.2 — 172.16.6.254	Grupi i përdoruesve

Plani i lidhjes së pajisjeve sipas porteve

Sigurisht, tani ka ndërprerës me një mori portash Ethernet 1 Gb, ka çelësa me 10G, 40 Gb është i disponueshëm në pajisje të avancuara operatori që kushtojnë mijëra dollarë, 100 Gb është në zhvillim (dhe thashethemet thonë se ka edhe karta të tilla që kanë kaloi në prodhim industrial). Prandaj, ju mund të zgjidhni çelsat dhe ruterat në botën reale sipas nevojave tuaja, pa harruar buxhetin. Në veçanti, një ndërprerës gigabit tani mund të blihet me çmim të ulët (20-30 mijë) dhe kjo me një diferencë për të ardhmen (nëse nuk jeni ofrues, sigurisht). Një ruter me porte gigabit është tashmë dukshëm më i shtrenjtë se një ruter me porte 100 Mbps, por ia vlen sepse modelet FE (100 Mbps FastEthernet) janë të vjetruara dhe gjerësia e brezit të tyre është shumë e ulët.

Por në programet emulator / simulator që do të përdorim, për fat të keq, ekzistojnë vetëm modele të thjeshta pajisjesh, kështu që gjatë modelimit të rrjetit do të fillojmë nga ajo që kemi: një ruter cisco2811, çelsat cisco2960 dhe 2950.

Emri i pajisjes	Port	Emri	VLAN
			Qasja	Trungu
msk-arbat-gw1	FE0/1	UpLink
	FE0 / 0	msk-arbat-dsw1		2,3,101,102,103,104
msk-arbat-dsw1	FE0 / 24	msk-arbat-gw1		2,3,101,102,103,104
	GE1 / 1	msk-arbat-asw1		2,3
	GE1/2	msk-arbat-asw3		2,101,102,103,104
	FE0/1	msk-rubl-asw1		2,101,104
msk-arbat-asw1	GE1 / 1	msk-arbat-dsw1		2,3
	GE1/2	msk-arbat-asw2		2,3
	FE0/1	Web-server	3
	FE0 / 2	File-server	3
msk-arbat-asw2	GE1 / 1	msk-arbat-asw1		2,3
	FE0/1	Mail-Server	3
msk-arbat-asw3	GE1 / 1	msk-arbat-dsw1		2,101,102,103,104
	FE0 / 1-FE0 / 5	PTO	101
	FE0 / 6-FE0 / 10	FEO	102
	FE0 / 11-FE0 / 15	Kontabiliteti	103
	FE0 / 16-FE0 / 24	Të tjera	104
msk-rubl-asw1	FE0 / 24	msk-arbat-dsw1		2,101,104
	FE0 / 1-FE0 / 15	PTO	101
	FE0 / 20	administratori	104

Përse ndahen kështu VLAN-et do të shpjegohet në seksionet në vijim.

Diagramet e rrjetit

Bazuar në këto të dhëna, të tre diagramet e rrjetit mund të hartohen në këtë fazë. Për ta bërë këtë, mund të përdorni Microsoft Visio, një aplikacion falas, por i lidhur me formatin e tij, ose redaktorët grafikë (mund ta shkruani edhe me dorë, por do të jetë e vështirë ta mbani të përditësuar :)).

Jo për të promovuar burim të hapur, por një shumëllojshmëri fondesh për hir të përdorimit të Dia. Unë e konsideroj atë si një nga aplikacionet më të mira të skemave për Linux. Ekziston një version për Windows, por, për fat të keq, nuk ka asnjë pajtueshmëri në VISIO.

L1

Kjo do të thotë, në diagramin L1, ne pasqyrojmë pajisjet fizike të rrjetit me numrat e portit: çfarë është e lidhur ku.

L2

Në diagramin L2, ne tregojmë VLAN-et tona.

L3

Në shembullin tonë, skema e nivelit të tretë doli të ishte mjaft e padobishme dhe jo shumë e qartë, për shkak të pranisë së vetëm një pajisjeje kursimi. Por me kalimin e kohës, ajo do të bëhet e tejmbushur me detaje.

Siç mund ta shihni, informacioni në dokumente është i tepërt. Për shembull, numrat VLAN përsëriten si në diagram ashtu edhe në plan sipas porteve. Ja, si të thuash, kush është i mirë për çfarë. Meqenëse është më e përshtatshme për ju, bëjeni këtë. Kjo tepricë e bën të vështirë përditësimin në rast të ndryshimit të konfigurimit, sepse duhet ta rregulloni në disa vende njëherësh, por nga ana tjetër, e bën më të lehtë për t'u kuptuar.

Ne do t'i kthehemi këtij artikulli të parë më shumë se një herë në të ardhmen, ashtu si gjithmonë do t'ju duhet të ktheheni në atë që keni planifikuar fillimisht. Në fakt, detyra është për ata që sapo kanë filluar të mësojnë dhe janë të gatshëm të bëjnë një përpjekje për këtë: lexoni shumë për vlans, adresimin ip, gjeni programet Packet Tracer dhe GNS3. Sa i përket njohurive themelore teorike, ju këshillojmë të filloni të lexoni shtypin Cisco. Kjo është ajo që patjetër do t'ju duhet të dini. Në pjesën tjetër, gjithçka do të jetë në një mënyrë të rritur, me një video, do të mësojmë të lidhemi me pajisjet, të merremi me ndërfaqen dhe t'ju tregojmë se çfarë të bëni me një administrator të pakujdesshëm që ka harruar fjalëkalimin.

Vitet e fundit, ekspertët në fushën e rrjeteve lokale janë gjithnjë e më të prirur të besojnë se rrjetet me qindra, mijëra apo edhe dhjetëra mijëra nyje duhet të strukturohen sipas një modeli hierarkik, epërsia e të cilit mbi një të sheshtë, jo- modeli hierarkik duket bindës.

Duket se pas zëvendësimit të ruterave të ngadaltë me çelsin më efikas të Layer 3, asgjë nuk mund ta ndalojë përhapjen e këtij modeli. Megjithatë, ulja e kostos së çelsave inkurajon zgjedhjen në favor të zgjidhjeve të bazuara tërësisht në shtresën e dytë. Përparësitë e rrjeteve të strukturuara nuk merren parasysh.

PËRPARËSITË E MODELIT HIERARKIK

Në një model hierarkik, i gjithë rrjeti ndahet në disa nivele, të cilat trajtohen veçmas. Kjo e bën shumë të lehtë përcaktimin e qëllimeve të projektimit, pasi çdo nivel individual mund të zbatohet në përputhje me kërkesat specifike të një qëllimi të caktuar. Zvogëlimi i madhësisë së nënrrjeteve ju lejon të arrini një reduktim të numrit të lidhjeve të komunikimit për çdo pajisje fundore. Për shembull, "stuhitë" e transmetimit po rriten me shpejtësi me një rritje të numrit të sistemeve në një rrjet të sheshtë.

Përgjegjësia për mbajtjen e nën-rajoneve individuale të pemës së rrjetit në modelin hierarkik delegohet lehtësisht pa ndonjë problem të madh të ndërfaqes, gjë që nuk është e mundur në rastin e një rrjeti të sheshtë. Për më tepër, dukshmëria e strukturës së rrjetit në rastin e një modeli hierarkik gjithashtu justifikon veten kur kërkoni për gabime. Me një strukturë hierarkike të rrjetit, llojet e ndryshme të ndryshimeve janë shumë më të lehta për t'u zbatuar, pasi, si rregull, ato prekin vetëm një pjesë të sistemit. Në një model të sheshtë, ato mund të ndikojnë në të gjithë rrjetin. Kjo rrethanë thjeshton shumë ndërtimin e rrjeteve hierarkike: realizohet duke shtuar një zonë të re rrjeti në nivelin ekzistues ose në nivelin tjetër pa pasur nevojë të rivizatohet e gjithë struktura.

NGA RUTIMI NË KALIMIN NË NIVELIN E TRETË

Për një kohë të gjatë, kostoja e lartë dhe performanca e ulët e pajisjeve ekzistuese penguan përhapjen e suksesshme të dizajnit hierarkik të rrjetit. Ruterët klasikë nuk mund të konkurronin me çelsat e Layer 2 për sa i përket shpejtësisë së transferimit të paketave ose kostos së portit. Zbatimi i kombinimit të kërkuar të rrugëzimit dhe ndërrimit të Layer 2 në praktikë është dëshmuar të jetë problematik. Prandaj, në shumë ndërmarrje, zgjedhja për komunikime brenda nën-rrjeteve IP ose rrjeteve lokale virtuale (VLAN) është bërë në favor të ndërrimit të kornizës së shtresës 2 të kombinuar dhe ATM-së. Ndërkohë, nuk kishte pajisje me performancë të lartë për komunikime përmes IP ndërmjet rrjeteve virtuale. Më në fund u bë i disponueshëm me ardhjen e ndërrimit të Layer 3 (me korrigjimin e të metave fillestare, tani mund të konsiderohet i pjekur).

Çelësat e shtresës 3 drejtojnë secilën paketë individualisht duke përdorur qarqet e integruara specifike të aplikacioneve (ASIC) dhe analizojnë përmbajtjen e paketave dhe marrin vendime për rrugën bazuar në informacionin nga shtresat më të larta. Komunikimi midis VLAN-ve është po aq i shpejtë sa brenda, domethënë me gjerësi maksimale të brezit të rrjetit. Produktet me shpejtësi transmetimi deri në 100 milionë paketa në sekondë janë shfaqur tashmë në treg.

Zëvendësimi i ruterave ekzistues me çelësat e shtresës 3 është shumë i thjeshtë: ju duhet vetëm të zëvendësoni pajisjet përkatëse. Të gjitha aftësitë dhe njohuritë e mundshme të grumbulluara gjatë viteve të funksionimit të ruterëve mund të përdoren në punë të mëtejshme.

Ndërprerësit e nivelit të dytë dhe të tretë aktualisht ndryshojnë pak nga njëri-tjetri për sa i përket performancës, kështu që zgjedhja e llojit të pajisjes varet - së bashku me funksionalitetin - nga kostoja e porteve. Në të njëjtën kohë, edhe përkundër uljes së dukshme të kostos së çelsave të Shtresës 3, çelësat e thjeshtë të Shtresës 2 ende kushtojnë shumë më pak. Pra, fusha e aplikimit të të parës janë kryesisht shtyllat e rrjetit, dhe të dytët, grupet e punës.

DORËZIM I QARTË LOKALE

Teknologjia VLAN e lidhur me ndërrimin e Layer 2 u shfaq si rezultat i dëshirës për të minimizuar komunikimin midis nënrrjetave IP, siç ndodh gjatë lidhjeve të ngadalta me ruterat. Është e mundur të rritet pjesa e komunikimeve brenda VLAN-ve dhe të zvogëlohet ajo ndërmjet VLAN-ve duke hartuar nënrrjetat IP dhe strukturat organizative të dedikuara për VLAN-të. Në këtë rast, i njëjti nënrrjet mund të shpërndahet në disa ndërtesa - si rregull, për VLAN-et, gjeografia nuk ka rëndësi.

Figura 2. Rrjeti i Shtresës së tepërt 2/3.

Ndërrimi i nivelit të tretë ende jep një shans për zbatimin e qëndrueshëm të parimeve hierarkike të ndërtimit të një rrjeti. Kështu, çështja e të ashtuquajturës qasje e sheshtë ose hierarkike merr përsëri një rëndësi të veçantë. Struktura logjike e një rrjeti të sheshtë të pastrukturuar korrespondon me diagramin e paraqitur në Figurën 1. Nuk ka asnjë lidhje midis vendndodhjes së pajisjeve fundore dhe adresave të tyre IP. Okteti i tretë i adresës IP (në figurën: "1", "2" ose "3") nuk jep asnjë informacion në lidhje me vendndodhjen e pajisjes së synuar.

Një alternativë do të ishte një infrastrukturë e shtresës 3 në bërthamën e rrjetit me ndërprerës të lidhur të shtresës 2, ndoshta siç tregohet në figurën 2. Rrjeti i strukturuar ndjek diagramin logjik të paraqitur në figurën 3, i cili tregon qartë marrëdhënien midis vendndodhjes së pajisjeve fundore dhe adresat e tyre IP. Okteti i tretë i adresës IP jep vendndodhjen e saktë të pajisjes fundore. Okteti i katërt dhe i fundit identifikon pajisje specifike të synuara.

Figura 3. Struktura logjike e rrjetit të nivelit të tretë.

RRJETET E STRUKTUARA TË NIVELIT TË DYTË/TRETË

Kur shqyrtohen avantazhet dhe disavantazhet e topologjive në shqyrtim, megjithatë mund të gjendet një aspekt pozitiv domethënës i rrjeteve të sheshta të nivelit të dytë: kur lëvizni pajisjet, nuk keni nevojë të ndryshoni adresat IP dhe nuk keni nevojë të rikonfiguroni aplikacionet në të cilat IP adresat përdoren si shenja identifikimi.

Sidoqoftë, kjo mund të krahasohet me një numër avantazhesh të rrjeteve të strukturuara të nivelit të dytë / të tretë:

• asnjë pasojë negative e adresave IP të dyfishta të mundshme për të gjithë rrjetin në tërësi;
• ndarja e domeneve të transmetimit dhe, në këtë mënyrë, një reduktim i ndjeshëm i ngarkesës në pajisjet fundore;
• korrespondenca e kudondodhur e adresave të shtresave të rrjetit me ndërtesat dhe çelësat: adresat "të folura" lehtësojnë lokalizimin e gabimeve që ndodhin;
• aftësia për të zbatuar funksionet e sigurisë në kufijtë midis nënrrjeteve;
• sigurimi i cilësisë së kërkuar të shërbimit në rrjetin dhe shtresat e transportit, për shembull, duke i dhënë përparësi aplikacioneve të caktuara;
• menaxhim më efikas i transmetimit përmes përdorimit të rrugëzimit të trafikut të transmetimit në ndërprerësit e Layer 3;
• reduktim të ndjeshëm në kohën e nevojshme për të arritur konvergjencën gjatë zbatimit të bashkimeve të tepërta. Për shembull, kur zgjidhni fillimisht "Hapni shtegun më të shkurtër të parë" (OSPF), kjo do të zgjasë vetëm disa sekonda, ndërsa protokolli "Spanning Tree" zgjat nga 40 deri në 50 sekonda. Në nivelin e nënrrjetit IP, Protokolli Hot Standby Router / Virtual Router Redundancy Protocol (HSRP / VRRP) mund të përdoret si mekanizmi i parazgjedhur i tepricës së ruterit.

QASJET KONKURRETIVE NDAJ DIZAJNIT

Rrjeti i strukturuar i shtresës 2/3 duket se është më i përshtatshmi për të siguruar funksionim të sigurt dhe të qëndrueshëm edhe në rrjete të mëdha. Pothuajse të gjithë arkitektët e rrjetit vijnë në përfundime të tilla, por kohët e fundit shumë adhurues kanë marrë një qasje të re për hartimin e rrjetit, i cili bazohet vetëm në ndërprerës të nivelit të dytë. Kjo për faktin se shumë ndërmarrje janë të detyruara të kërkojnë mundësi për të reduktuar investimet, duke përfshirë edhe rrjetet lokale.

Koncepte të tilla bazohen kryesisht në përdorimin e çelsave të lira të shtresës 2 dhe konsistojnë në përbërjen e tyre, për shembull, një strukturë unazore. Mekanizmi për zbatimin e tepricës në strukturat unazore bazohet në protokollin Rapid Spanning Tree. Kjo qasje mbështetet nga standardi IEEE 802.1w, i cili përcakton rikonfigurimin e shpejtë të pemës me shtrirje, i cili është projektuar për të reduktuar kohën e konvergjencës së protokollit famëkeq Spanning Tree në disa sekonda.

Skema të tilla "të lira", ku modeli i strukturës hierarkike të rrjetit është lënë jashtë, në pamje të parë duken tërheqëse: kursimet arrijnë në dhjetëra për qind. Megjithatë, skepticizmi i butë nuk dëmton. Ndërprerësit L2 me kosto të ulët duhet të kenë kode të qëndrueshme për të mbështetur Pemën e Përhapjes së Shpejtë. Sidoqoftë, ky duket si një supozim shumë i guximshëm duke marrë parasysh se sa kohë iu desh që algoritmi origjinal të funksiononte pak a shumë i qëndrueshëm. Gjithashtu, mbani në mend se koha e ulët e konvergjencës në prani të lidhjeve të tepërta është vetëm një nga arsyet pse përdoret infrastruktura e Shtresës 3. Por ç'të themi për adresat IP të folur, mbrojtjen nga adresat e keqdrejtuara, reduktimin e trafikut të transmetimit dhe menaxhimin më të mirë të trafikut të transmetimit në rrjetet e Layer 3?

Me këtë këndvështrim, aspekti i çmimit bëhet relativ, sepse, në fund të fundit, të dy qasjet në projektimin e rrjetit nuk mund të krahasohen. Sigurisht, një dizajn krejtësisht i tepërt me dy yje kushton shumë më tepër se një strukturë kaskadë me komponentë të lirë. Sidoqoftë, një projekt rrjeti që përdor pajisje të nivelit të tretë mund të jetë gjithashtu disi më i lirë: nuk është aspak e nevojshme të merret si bazë hardueri "të tepërt". Kjo do të ndihmojë në ndërtimin e një rrjeti të nivelit të tretë dhe do të kursejë rreth 35% të kostos së tij.

Berotz Moyeri punon për Comconsult Beratung und Planung. Mund ta kontaktoni në: