Информационная система на основе технологии VLAN

Размещено на http://www.allbest.ru/

Оглавление

Введение

Глава 1.Определение, основные понятия

1.1 Виртуальные локальные сети

1.2 Коммутация и Виртуальные Локальные сети VLAN

1.2.1 Контроль за широковещательным трафиком

1.2.2 Функциональные рабочие группы

1.2.3 Повышенная безопасность

Глава 2. Назначение VLAN

Глава 3. Создание VLAN на основе одного коммутатора

3.1 Создание VLAN на основе нескольких коммутаторов

Глава 4. Стандарт IEEE 802.1Q

Глава 5 Протокол Spanning-Tree и VLAN

Глава 6. Настройка VLAN по умолчанию

6.1 Настройка VLAN через домен

6.2 Настройка сетей VLAN, используя имена

Глава 7. Группирование портов коммутатора в VLAN

7.1 Объединение портов коммутатора в VLAN

7.2 Разрешение опции Portfast

Глава 8. Настройка VLAN Транков

Заключение

Список использованной литературы



Введение

VLAN (Virtual Local Area Network, Виртуальная Локальная Сеть) - группа устройств, взаимодействующая напрямую на канальном уровне, хотя на физическом уровне все эти устройства подключены к разным коммутаторам. Устройства, находящиеся в разных виртуальных сетях, невидимы друг для друга на канальном уровне, даже если они подключены к одному и тому же коммутатору. А взаимодействие между устройствами осуществляется только на сетевом или других, более высоких уровнях. Виртуальные локальные сети используются для создания логической топологии сети, которая никак не зависит от физической топологии. По сравнению с реализацией на раздельных коммутаторах, VLAN уменьшает количество оборудования и сетевого кабеля, но требует обязательного использования более дорогих управляемых коммутаторов. Цель курсовой работы - изучить теоретический материал по тематике курсовой работы и разработать информационную систему с учетом технологий VLAN

Для достижения поставленной цели были выделены следующие задачи:

*проанализировать литературу по теме курсовой работы;

*рассмотреть и изучить понятия: «Виртуальная локальная сеть» и «Коммутация».

*Изучить принцип работы коммутатора;

Структура курсовой работы: работа состоит из введения, восьми глав, заключения, списка литературы, включающего в себя 8 источников.



Глава 1. Определение, основные понятия

1.1 Виртуальные локальные сети

Виртуальные ЛКС - это виртуальная локальная компьютерная сеть, представляющая собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств.

Современный подход к построению сетей имеет девиз «коммутаторы -- по возможности, маршрутизаторы -- по необходимости». При этом на коммутаторы возлагаются задачи не только уменьшения размеров доменов коллизий (сегментация), но и локализации широковещательного и группового трафика, а также ограничения распространения кадров с неизвестными адресами назначения. Интеллектуальные коммутаторы служат средством построения виртуальных локальных сетей (ВЛС).

Кроме своего основного назначения -- повышения пропускной способности связей в сети -- коммутатор позволяет локализовывать потоки информации в сети, а также контролировать эти потоки и управлять ими, опираясь на механизм пользовательских фильтров. Однако пользовательский фильтр может запретить передачи кадров только по конкретным адресам, а широковещательный трафик он передает всем сегментам сети. Так требует алгоритм работы моста, который реализован в коммутаторе, поэтому сети, созданные на основе мостов и коммутаторов, иногда называют плоскими -- из-за отсутствия барьеров на пути широковещательного трафика. Технология виртуальных локальных сетей (Virtual LAN, VLAN), которая появилась несколько лет тому назад в коммутаторах, позволяет преодолеть указанное ограничение. Виртуальной сетью называется группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети. Это означает, что передача кадров между разными виртуальными сетями на основании адреса канального уровня невозможна, независимо от типа адреса -- уникального, группового или широковещательного. В то же время внутри виртуальной сети кадры передаются по технологии коммутации, то есть только на тот порт, который связан с адресом назначения кадра. Изначально коммутаторы не обеспечивали возможности создания Виртуальных Локальных сетей, так как они использовались для простой пересылки фреймов между устройствами. Рынок коммутаторов начал быстро расти, когда концентраторы коллективного доступа к среде передачи данных (hubs) начали не справляться с растущими запросами на расширение полосы пропускания сети в связи с использованием приложений клиент-сервер, обеспечивающих Графический Интерфейс Пользователя (GUI).

Виртуальные сети могут пересекаться, если один или несколько компьютеров входят в состав более чем одной виртуальной сети. Это значит, что его кадры передаются коммутаторами всем компьютерам, входящим в эти сети. Если же какой-то компьютер входит в состав только виртуальной сети 3, то его кадры до сети 4 доходить не будут, но он может взаимодействовать с компьютерами сети 4 через общий почтовый сервер. Такая схема не полностью защищает виртуальные сети друг от друга -- так, широковещательный шторм, возникший на сервере электронной почты, захлестнет и сеть 3, и сеть 4. Говорят, что виртуальная сеть образует домен широковещательного трафика (broadcast domain), по аналогии с доменом коллизий, который образуется повторителями сетей Ethernet



1.2 Коммутация и Виртуальные Локальные сети VLAN

Изначально коммутаторы не обеспечивали возможности создания Виртуальных Локальных сетей, так как они использовались для простой пересылки фреймов между устройствами. Рынок коммутаторов начал быстро расти, когда концентраторы коллективного доступа к среде передачи данных (hubs) начали не справляться с растущими запросами на расширение полосы пропускания сети в связи с использованием приложений клиент-сервер, обеспечивающих Графический Интерфейс Пользователя (GUI).

Ключевая разница между коммутатором и концентратором заключается в том, как они работают с фреймами. Концентратор получает фрейм, затем копирует и передает (повторяет) фрейм во все другие порты. В этом случае сигнал повторяется, в основном продляя длину сетевого сегмента до всех подключенных станций. Коммутатор повторяет фрейм во все порты кроме того, из которого этот фрейм был получен: unicast фреймы (адресованные на конкретный MAC адрес), broadcast фреймы, (адресованные для всех MAC адресов в локальном сегменте), и multicast фреймы (адресованные для набора устройств в сегменте). Это делает их неприемлемыми для большого числа пользователей, так как каждая рабочая станция и сервер, подключенный к коммутатору, должен проверять каждый фрейм для того, чтобы определить, адресован ли этот фрейм ему или нет. В больших сетях, с большим количеством фреймов, обрабатываемых сетевой картой, теряется ценное процессорное время. Это приемлемо для небольших рабочих групп, где передача данных имеет кратковременную «взрывную» природу.

Коммутатор работает с фреймами «с пониманием» - он считывает MAC адрес входящего фрейма и сохраняет эту информацию в таблице коммутации. Эта таблица содержит MAC адреса и номера портов, связанных с ними. Коммутатор строит таблицу в разделенной памяти и поэтому он знает, какой адрес связан с каким портом. Коммутаторы Catalyst создают эту таблицу, проверяя каждый фрейм, попавший в память, и добавляют новые адреса, которые не были занесены туда ранее. Маршрутизаторы Cisco создали эту таблицу, адресуя ее по содержимому (content-addressable memory). Эта таблица обновляется и строится каждый раз при включении коммутатора, но вы можете настраивать таймер обновления таблицы в зависимости от ваших нужд.

Столбец VLAN ссылается на номер VLAN, которой принадлежит порт назначения. Столбец Destination MAC ссылается на MAC адрес, обнаруженный в порту. Помните, что один порт может быть связан с несколькими MAC адресами, поэтому проверьте количество MAC адресов, которое может поддерживать ваш коммутатор. Destination Ports описывает порт, из которого коммутатор узнал MAC адрес.

Далее, коммутатор проверяет MAC адрес назначения фрейма и немедленно смотрит в таблицу коммутации. Если коммутатор нашел соответствующий адрес, он копирует фрейм только в этот порт. Если он не может найти адрес, он копирует фрейм во все порты. Unicast фреймы посылаются на необходимые порты, тогда как multicastи broadcast фреймы передаются во все порты.

Коммутация была объявлена как «новая» технология, которая увеличивает пропускную способность и увеличивает производительность, но на самом деле коммутаторы это высокопроизводительные мосты (bridges) с дополнительными функциями. Коммутация это термин, используемый в основном для описания сетевых устройств Уровня 2, которые переправляют фреймы, основываясь на MAC адресе получателя.

Два основных метода, наиболее часто используемых производителями для передачи трафика это cut-through и store and forward.

Коммутация cut-through обычно обеспечивает меньшее время задержки, чем store-and-forward потому, что в этом режиме коммутатор начинает передачу фрейма в порт назначения еще до того, как получен полностью весь фрейм. Коммутатору достаточно того, что он считал MAC адреса отправителя и получателя, находящиеся в начале Token Ring и Ethernet фреймов. Большинство cut-through коммутаторов начинает пересылку фрейма, получив только первые 30-40 байт заголовка фрейма.

Store and forward копирует весь фрейм перед тем, как пересылать фрейм. Этот метод дает большую задержку, но имеет больше преимуществ. Возможности фильтрации, управления и контроля за потоком информации являются главными преимуществами этого метода. В дополнение, неполные и поврежденные фреймы не пересылаются, так как они не являются правильными фреймами. Коммутаторы должны иметь буферную память для чтения и сохранения фреймов во время принятия решения, что увеличивает стоимость коммутатора.

По мере улучшения технологий и захвата рынка новомодной технологией, начали возникать VLAN. Простейший путь понять Виртуальные сети - сравнить их с физической сетью. Физическая сеть может состоять из конечных станций, связанных маршрутизатором (или маршрутизаторами), которые используют одно физическое соединение. VLAN это логическое комбинирование конечных станций в одном сегменте на Уровне 2 и Уровне 3, которые связаны напрямую, без маршрутизатора. Обычно пользователям, разделенным физически, требуется маршрутизатор для связи с другим сегментом. Коммутаторы с возможностью построения VLAN изначально были внедрены в основных учебных городках и небольших рабочих группах. Сначала коммутация разрабатывалась по мере надобности, но сейчас это является обычной практикой внедрять коммутаторы и VLAN в настольных системах.

Каждая рабочая станция в VLAN (и только эти конечные станции) обрабатывают широковещательный трафик, посылаемый другим членам VLAN. Например, рабочие станции A, B, и C присоединены в VLAN 1. VLAN 1 состоит из трех коммутаторов Catalyst 5500. Все коммутаторы расположены на разных этажах и соединены между собой оптоволокном и связаны транковым протоколом. Рабочая станция A присоединена с коммутатором A, рабочая станция B присоединена в коммутатор B и рабочая станция C присоединена в коммутатор C. Если станция A посылает широковещательный пакет, станции B и C получат этот фрейм, даже если они физически присоединены в другие коммутаторы. Рабочая станция D присоединена в коммутатор A, но объявлена в VLAN 2. Когда D посылает широковещательный пакет, станция A не увидит этот трафик, хотя она находится в том же физическом коммутаторе, но так как она находится не в той же виртуальной LAN, коммутатор не будет пересылать этот трафик на A. Помните, что VLAN работают на Уровне 2, поэтому связь между VLAN требует принятия решений маршрутизации на Уровне 3. Так же станции B и C не увидят трафик от станции D.

Виртуальные сети (VLAN) предлагают следующие преимущества:

1.Контроль за широковещательным трафиком

2.Функциональные рабочие группы

3.Повышенная безопасность

1.2.1 Контроль за широковещательным трафиком

В отличие от традиционных LAN, построенных при помощи маршрутизаторов/мостов, VLAN может быть рассмотрен как широковещательный домен с логически настроенными границами. VLAN предлагает больше свободы, чем традиционные сети. Ранее используемые разработки были основаны на физическом ограничении сетей, построенных на основе концентраторов; в основном физические границы LAN сегмента ограничивались эффективной дальностью, на которую электрический сигнал мог пройти от порта концентратора. Расширение LAN сегментов за эти границы требовало использования повторителей (repeaters), устройств, которые усиливали и пересылали сигнал. VLAN позволяет иметь широковещательный домен вне зависимости от физического размещения, среды сетевого доступа, типа носителя и скорости передачи. Члены могут располагаться там, где необходимо, а не там, где есть специальное соединение с конкретным сегментом. VLAN увеличивают производительность сети, помещая широковещательный трафик внутри маленьких и легко управляемых логических доменов. В традиционных сетях с коммутаторами, которые не поддерживают VLAN, весь широковещательный трафик попадает во все порты. Если используется VLAN, весь широковещательный трафик ограничивается отдельным широковещательным доменом.

1.2.2.Функциональные рабочие группы

Наиболее фундаментальным преимуществом технологии VLAN является возможность создания рабочих групп, основываясь на функциональности, а не на физическом расположении или типе носителя. Традиционно администраторы группировали пользователей функционального подразделения физическим перемещением пользователей, их столов и серверов в общее рабочее пространство, например в один сегмент. Все пользователи рабочей группы имели одинаковое физическое соединение для того, чтобы иметь преимущество высокоскоростного соединения с сервером. VLAN позволяет администратору создавать, группировать и перегруппировывать сетевые сегменты логически и немедленно, без изменения физической инфраструктуры и отсоединения пользователей и серверов. Возможность легкого добавления, перемещения и изменения пользователей сети - ключевое преимущество VLAN.

1.2.3 Повышенная безопасность

VLAN также предлагает дополнительные преимущества для безопасности. Пользователи одной рабочей группы не могут получить доступ к данным другой группы, потому что каждая VLAN это закрытая, логически объявленная группа. Представьте компанию, в которой Финансовый департамент, который работает с конфиденциальной информацией, расположен на трех этажах здания. Инженерный департамент и отдел Маркетинга также расположены на трех этажах. Используя VLAN, члены Инженерного отдела и отдела Маркетинга могут быть расположены на всех трех этажах как члены двух других VLAN, а Финансовый департамент может быть членом третьей VLAN, которая расположена на всех трех этажах. Сейчас сетевой трафик, создаваемый Финансовым департаментом, будет доступен только сотрудникам этого департамента, а группы Инженерного и отдела Маркетинга не смогут получить доступ к конфиденциальным данным Финансового департамента. Очевидно, есть другие требования для обеспечения полной безопасности, но VLAN может быть частью общей стратегии сетевой безопасности.

Построение VLAN через физические границы

Когда VLAN объявлены для устройств, они могут быть легко и быстро изменены для добавления, перемещения или изменения пользователя по мере надобности.

Сети VLAN могут быть определены по:

Порту (наиболее частое использование)

MAC адресу (очень редко)

Идентификатору пользователя User ID (очень редко)

Сетевому адресу (редко в связи с ростом использования DHCP)

VLAN, базирующиеся на номере порта позволяют определить конкретный порт в VLAN. Порты могут быть определены индивидуально, по группам, по целым рядам и даже в разных коммутаторах через транковый протокол. Это наиболее простой и часто используемый метод определения VLAN. Это наиболее частое применение внедрения VLAN, построенной на портах, когда рабочие станции используют протокол Динамической Настройки TCP/IP (DHCP).

VLAN, базирующиеся на MAC адресах позволяет пользователям находиться в той же VLAN, даже если пользователь перемещается с одного места на другое. Этот метод требует, чтобы администратор определил MAC адрес каждой рабочей станции и затем внес эту информацию в коммутатор. Этот метод может вызвать большие трудности при поиске неисправностей, если пользователь изменил MAC адрес. Любые изменения в конфигурации должны быть согласованы с сетевым администратором, что может вызывать административные задержки.

Виртуальные сети, базирующиеся на сетевых адресах, позволяют пользователям находиться в той же VLAN, даже когда пользователь перемещается с одного места на другое. Этот метод перемещает VLAN, связывая ее с сетевым адресом Уровня 3 рабочей станции для каждого коммутатора, к которому пользователь подключен. Этот метод может быть очень полезным в ситуации, когда важна безопасность и когда доступ контролируется списками доступа в маршрутизаторах. Поэтому пользователь «безопасной» VLAN может переехать в другое здание, но остаться подключенным к тем же устройствам потому, что у него остался тот же сетевой адрес. Сеть, построенная на сетевых адресах, может потребовать комплексного подхода при поиске неисправностей.



Глава 2. Назначение VLAN

Назначение технологии VLAN состоит в облегчении процесса создания изолированных сетей, которые затем должны связываться с помощью маршрутизаторов, реализующих какой-либо протокол сетевого уровня, например IP. Такое построение сети создает гораздо более мощные барьеры на пути ошибочного трафика из одной сети в другую. Сегодня считается, что любая крупная сеть должна включать маршрутизаторы, иначе потоки ошибочных кадров, например широковещательных, будут периодически «затапливать» всю сеть через прозрачные для них коммутаторы, приводя ее в неработоспособное состояние. Технология виртуальных сетей создает гибкую основу для построения крупной сети, соединенной маршрутизаторами, так как коммутаторы позволяют создавать полностью изолированные сегменты программным путем, не прибегая к физической коммутации. До появления технологии VLAN для создания отдельной сети использовались либо физически изолированные сегменты коаксиального кабеля, либо несвязанные между собой сегменты, построенные на повторителях и мостах. Затем эти сети связывались маршрутизаторами в единую составную сеть.

Изменение состава сегментов (переход пользователя в другую сеть, дробление крупных сегментов) при таком подходе подразумевает физическую перекоммутацию разъемов на передних панелях повторителей или в кроссовых панелях, что не очень удобно в больших сетях -- много физической работы, к тому же высока вероятность ошибки. Поэтому для устранения необходимости физической перекоммутации узлов стали применять многосегментные концентраторы, что дало возможность программировать состав разделяемого сегмента без физической перекоммутации. Однако решение задачи изменения состава сегментов с помощью концентраторов накладывает большие ограничения на структуру сети -- количество сегментов такого повторителя обычно невелико, поэтому выделить каждому узлу свой сегмент, как это можно сделать с помощью коммутатора, нереально. Кроме того, при таком подходе вся работа по передаче данных между сегментами ложится на маршрутизаторы, а коммутаторы со своей высокой производительностью остаются «не у дел». Поэтому сети, построенные на основе повторителей с конфигурационной коммутацией, по-прежнему основаны на разделении среды передачи данных между большим количеством узлов и, следовательно, обладают гораздо меньшей производительностью по сравнению с сетями, построенными на основе коммутаторов. При использовании технологии виртуальных сетей в коммутаторах одновременно решаются две задачи:

*повышение производительности в каждой из виртуальных сетей, так как коммутатор передает кадры в такой сети только узлу назначения;

*изоляция сетей друг от друга для управления правами доступа пользователей и создания защитных барьеров на пути широковещательных штормов.

Для связи виртуальных сетей в общую сеть требуется привлечение сетевого уровня. Он может быть реализован в отдельном маршрутизаторе, а может работать и в составе программного обеспечения коммутатора, который тогда становится комбинированным устройством -- так называемым коммутатором 3-го уровня. Коммутаторы 3-го уровня рассматриваются в части IV книги. Технология образования и работы виртуальных сетей с помощью коммутаторов долгое время не стандартизировалась, хотя и была реализована в очень широком спектре моделей коммутаторов разных производителей. Такое положение изменилось после принятия в 1998 году стандарта IEEE 802.1Q, который определяет базовые правила построения виртуальных локальных сетей, не зависящие от протокола канального уровня, поддерживаемого коммутатором. В виду долгого отсутствия стандарта на VLAN каждый крупный производитель коммутаторов разработал свою технологию виртуальных сетей, которая, как правило, была несовместима с технологиями других производителей. Поэтому, несмотря на появление стандарта, не так уж редко встречается ситуация, когда виртуальные сети, созданные на коммутаторах одного производителя, не распознаются и, соответственно, не поддерживаются коммутаторами другого производителя.



Глава 3. Создание VLAN на основе одного коммутатора

При создании виртуальных сетей на основе одного коммутатора обычно используется механизм группирования в сети портов коммутатора. При этом каждый порт приписывается той или иной виртуальной сети. Кадр, пришедший от порта, принадлежащего, например, виртуальной сети 1, никогда не будет передан порту, который не принадлежит этой виртуальной сети. Порт можно приписать нескольким виртуальным сетям, хотя на практике так делают редко -- пропадает эффект полной изоляции сетей. Группирование портов для одного коммутатора -- наиболее логичный способ образования VLAN, так как виртуальных сетей, построенных на основе одного коммутатора, не может быть больше, чем портов. Если к одному порту подключен сегмент, построенный на основе повторителя, то узлы такого сегмента не имеет смысла включать в разные виртуальные сети -- все равно трафик этих узлов будет общим. Создание виртуальных сетей на основе группирования портов не требует от администратора большого объема ручной работы -- достаточно каждый порт приписать к одной из нескольких заранее поименованных виртуальных сетей. Обычно такая операция выполняется с помощью специальной программы, прилагаемой к коммутатору. Администратор создает виртуальные сети путем перетаскивания мышью графических символов портов на графические символы сетей.

Второй способ образования виртуальных сетей основан на группировании МАС-адресов. Каждый МАС-адрес, который изучен коммутатором, приписывается той или иной виртуальной сети. При существовании в сети множества узлов этот способ требует выполнения большого количества ручных операций от администратора. Однако при построении виртуальных сетей на основе нескольких коммутаторов он оказывается более гибким, чем способ группирования портов.



3.1 Создание VLAN на основе нескольких коммутаторов

Если узлы какой-либо виртуальной сети подключены к разным коммутаторам, то для соединения коммутаторов каждой такой сети должна быть выделена своя пара портов. В противном случае, если коммутаторы будут связаны только одной парой портов, информация о принадлежности кадра той или иной виртуальной сети при передаче из коммутатора в коммутатор будет утеряна. Таким образом, коммутаторы с группированием портов требуют для своего соединения столько портов, сколько виртуальных сетей они поддерживают. Порты и кабели используются при таком способе очень расточительно. Кроме того, при соединении виртуальных сетей через маршрутизатор для каждой виртуальной сети выделяется отдельный кабель и отдельный порт маршрутизатора, что также приводит к большим накладным расходам.

Группирование МАС-адресов в виртуальную сеть на каждом коммутаторе избавляет от необходимости их связи по нескольким портам, поскольку в этом случае МАС-адрес является меткой виртуальной сети. Однако этот способ требует выполнения большого количества ручных операций по маркировке МАС-адресов на каждом коммутаторе сети.

Описанные два подхода основаны только на добавлении дополнительной информации к адресным таблицам моста, и в них отсутствует возможность встраивания в передаваемый кадр информации о принадлежности кадра к виртуальной сети. Остальные подходы используют имеющиеся или дополнительные поля кадра для сохранения информации о принадлежности кадра при его перемещениях между коммутаторами сети. При этом нет необходимости запоминать в каждом коммутаторе принадлежность всех МАС-адресов интерсети виртуальным сетям. Дополнительное поле с пометкой о номере виртуальной сети используется только тогда, когда кадр передается от коммутатора к коммутатору, а при передаче кадра конечному узлу оно обычно удаляется. При этом модифицируется протокол взаимодействия «коммутатор--коммутатор», а программное и аппаратное обеспечение конечных узлов остается неизменным. Примеров таких фирменных протоколов много, но общий недостаток у них один -- они не поддерживаются другими производителями. Компания Cisco предложила в качестве стандартной добавки к кадрам любых протоколов локальных сетей заголовок протокола 802.10, предназначенного для поддержки функций безопасности вычислительных сетей. Сама компания использует этот метод в тех случаях, когда коммутаторы объединяются между собой по протоколу FDDI. Однако эта инициатива не была поддержана другими ведущими производителями коммутаторов. Для хранения номера виртуальной сети в стандарте IEEE 802.1Q предусмотрен дополнительный заголовок в два байта, который этот протокол делит с протоколом 802.1р. Помимо 3 бит для хранения приоритета кадра, описанных стандартом 802.1р, в этом заголовке 12 бит используются для хранения номера виртуальной сети, к которой принадлежит кадр. Эта дополнительная информация называется тегом виртуальной сети (VLAN TAG) и позволяет коммутаторам разных производителей создавать до 4096 общих виртуальных сетей. Такой кадр называют «помеченным» (tagged). Длина помеченного кадра Ethernet увеличивается на 4 байта, так как помимо двух байтов собственно тега добавляются еще два байта. При добавлении заголовка 802.1p/Q поле данных уменьшается на четыре байта.

Введение стандарта 802.1Q позволило производителям оборудования преодолеть различия в фирменных реализациях VLAN и добиться совместимости при построении виртуальных локальных сетей. Поддерживают технику VLAN производители как коммутаторов, так и сетевых адаптеров. В последнем случае сетевой адаптер может генерировать и принимать помеченные кадры Ethernet, содержащие поле VLAN TAG. Если сетевой адаптер генерирует помеченные кадры, то тем самым он определяет их принадлежность к той или другой виртуальной локальной сети, поэтому коммутатор должен обрабатывать их соответствующим образом, то есть передавать или не передавать на выходной порт в зависимости от принадлежности порта. Драйвер сетевого адаптера может получить номер своей (или своих) виртуальной локальной сети путем ручного конфигурирования его администратором сети, либо от некоторого приложения, работающего на данном узле. Такое приложение может работать и централизованно на одном из серверов сети и управлять структурой всей сети. При поддержке VLAN сетевыми адаптерами можно обойтись без статического конфигурирования путем приписывания порта определенной виртуальной сети. Тем не менее техника статического конфигурирования VLAN остается популярной, так как она позволяет создать структурированную сеть без привлечения программного обеспечения конечных узлов.



Глава 4. Стандарт IEEE 802.1Q

Если задуматься о том, как же работают виртуальные сети, то в голову приходит Мысль, что все дело не в отправляющей машине, а в самом кадре ВЛВС. Если бы был какой-нибудь способ идентифицировать ВЛВС по заголовку кадра, отпала бы необходимость просмотра его содержимого. По крайней мере, в новых сетях tHna 802.11 или 802.16 вполне можно было бы просто добавить специальное поле заголовка. Вообще-то Идентификатор кадра в стандарте 802.16 -- это как раз нечто в этом духе. Но что делать с Ethernet -- доминирующей сетью, у которой нет никаких «запасных» полей, которые можно было бы отдать под идентификатор виртуальной сети? Комитет IEEE 802 озаботился этим вопросом в 1995 году. После долгих дискуссий было сделано невозможное -- изменен формат заголовка кадра Ethernet!? Новый формат было опубликован под именем 802.1Q, в 1998 году. В заголовок кадра был вставлен флаг ВЛВС, который мы сейчас вкратце рассмотрим. Понятно, что внесение изменений в нечто уже устоявшееся, такое как Ethernet, должно быть произведено каким-то нетривиальным образом. Встают, например, следующие вопросы:

1.И что, теперь надо будет выбросить на помойку несколько миллионов уже существующих сетевых карт Ethernet?

2.Если нет, то кто будет заниматься генерированием новых полей кадров?

3.Что произойдет с кадрами, которые уже имеют максимальный размер?

Конечно, комитет 802 тоже был озабочен этими вопросами, и решение, несмотря ни на что, было найдено.

Идея состоит в том, что на самом деле поля ВЛВС реально используются только мостами да коммутаторами, а не машинами пользователей. Так, скажем, сеть не очень-то волнует их наличие в каналах, идущих от оконечных станций, до тех пор, пока кадры не доходят до мостов или коммутаторов. Таким образом, чтобы была возможна работа с виртуальными сетями, про их существование должны знать мосты и коммутаторы, но это требование и так понятно. Теперь же мы выставляем еще одно требование: они должны знать про существование 802.1Q. Уже выпускается соответствующее оборудование. Что касается старых сетевых, карт Ethernet, то выкидывать их не приходится. Комитет 802.3 никак не мог заставить людей изменить поле Тип на поле Длина. Вы можете себе представить, какова была бы реакция на заявление о том, что все существующие карты Ethernet можно выбросить? Тем не менее, на рынке появляются новые модели, и есть надежда, что они теперь будут 802.1Ј)-совместимыми и смогут корректно заполнять поля идентификации виртуальных сетей.

Если отправитель не генерирует поле признака виртуальной сети, то кто же этим занимается? Ответ таков: первый встретившийся на пути мост или коммутатор, обрабатывающий кадры виртуальных сетей, вставляет это поле, а последний -- вырезает его. Но как он узнает, в какую из виртуальных сетей передать? локальная сеть маршрутизатор трафик

Для этого первое устройство, которое вставляет поле ВЛВС, может присвоить номер виртуальной сети порту, проанализировать МАС-адрес или (не дай Бог, конечно) подсмотреть содержимое поля данных. Пока все не перейдут на Ethernet-карты, совместимые со стандартом 802.1Q, все именно так и будет. Остается надеяться на то, что все сетевые платы гигабитного Ethernet будут придерживаться стандарта 802.1Q, с самого начала их производства, и таким образом всем пользователям гигабитного Ethernet этой технологии автоматически станут доступны возможности 802.1Q. Что касается проблемы кадров, длина которых превышает 1518 байт, то в стандарте 802.1Q она решается путем повышения лимита до 1522 байт. При передаче данных в системе могут встречаться как устройства, которым сокращение ВЛВС не говорит ровным счетом ни о чем (например, классический или быстрый Ethernet), так и совместимая с виртуальными сетями аппаратура (например, гигабитный Ethernet). Здесь затененные символы означают ВЛВС-совместимые устройства, а пустые квадратики -- все остальные. Для простоты мы предполагаем, что все коммутаторы ВЛВС-совместимы. Если же это не так, то первый такой ВЛВС-совместимый коммутатор добавит в кадр признак виртуальной сети, основываясь на информации, взятой из MAC- или IP-адреса.

ВЛВС-совместимые сетевые платы Ethernet генерируют кадры с флагами (то есть кадры стандарта 802.1Q), и дальнейшая маршрутизация производится уже с использованием этих флагов. Для осуществления маршрутизации коммутатор, как и раньше, должен знать, какие виртуальные сети доступны на всех портах. Информация о том, что кадр принадлежит серой виртуальной сети, еще, по большому счету, ни о чем не говорит, поскольку коммутатору еще нужно знать, какие порты соединены с машинами серой виртуальной сети. Таким образом, коммутатору нужна таблица соответствия портов виртуальным сетям, из которой также можно было бы узнать, являются ли порты ВЛВС совместимыми. Когда обычный, ничего не подозревающий о существовании виртуальных сетей компьютер посылает кадр на коммутатор виртуальной сети, последний генерирует новый кадр, вставляя в него флаг ВЛВС. Информацию для этого флага он получает с виртуальной сети отправителя (для ее определения используется номер порта, MAC- или IP-адрес.) Начиная с этого момента никто больше не переживает из-за того, что отправитель является машиной, не поддерживающей стандарт 802.1Q, Таким же образом коммутатор, желающий доставить кадр с флагом на такую машину, должен привести его к соответствующему формату. Теперь рассмотрим собственно формат 802.1Q. Единственное изменение -- это пара 2-байтовых полей. Первое называется Идентификатор протокола ВЛВС. Оно всегда имеет значение 0x8100. Поскольку это число превышает 1500, то все сетевые карты Ethernet интерпретируют его как «тип», а не как «длину». Неизвестно, что будет делать карта, несовместимая с 802.1Q, поэтому такие кадры, по идее, не должны к ней никоим образом попадать.

Во втором двухбайтовом поле есть три вложенных поля. Главным из них является идентификатор ВЛВС, который занимает 12 младших битов. Он содержит ту информацию, из-за которой все эти преобразования форматов, собственно, и были затеяны: в нем указано, какой виртуальной сети принадлежит кадр. Трехбитовое поле Приоритет не имеет совершенно ничего общего с виртуальными сетями. Просто изменение формата Ethernet-кадра -- это такой ежедекадный ритуал, который занимает три года и исполняется какой-то сотней людей. Почему бы не оставить память о себе в виде трех дополнительных бит, да еще и с таким привлекательным назначением. Поле Приоритет позволяет различать трафик с жесткими требованиями к реальности масштаба времени, трафик со средними требованиями и трафик, для которого время передачи не критично. Это позволяет обеспечить более высокое качество обслуживания в Ethernet. Оно используется также при передаче голоса по Ethernet (хотя вот уже четверть века в IP имеется подобное поле, и никому никогда не требовалось его использовать). Последний бит, CFI (Canonical Format Indicator -- индикатор классического формата), следовало бы назвать Индикатором эгоизма компании. Изначально он предназначался для того, чтобы показывать, что применяется формат МАС-адреса с прямым порядком байтов (или, соответственно, с обратным порядком), однако в пылу дискуссий об этом как-то забыли. Его присутствие сейчас означает, что поле данных содержит усохший кадр 802.5, который ищет еще одну сеть формата 802.5 и в Ethernet попал совершенно случайно. То есть на самом деле он просто использует Ethernet в качестве средства передвижения. Все это, конечно, практически никак не связано с обсуждаемыми в данном разделе виртуальными сетями. Но политика комитета стандартизации не сильно отличается от обычной политики: если ты проголосуешь за введение в формат моего бита, то я проголосую за твой бит. Как уже упоминалось ранее, когда кадр с флагом виртуальной сети приходит на ВЛВС-совместимый коммутатор, последний использует идентификатор виртуальной сети в качестве индекса таблицы, в которой он ищет, на какой бы порт послать кадр. Но откуда берется эта таблица? Если она разрабатывается вручную, это означает возврат в исходную точку: ручное конфигурирование коммутаторов. Вся прелесть прозрачности мостов состоит в том, что они настраиваются автоматически и не требуют для этого никакого вмешательства извне. Было бы очень стыдно потерять это свойство. К счастью, мосты для виртуальных сетей также являются самонастраивающимися. Настройка производится на основе информации, содержащейся во флагах приходящих кадров. Если кадр, помеченный как ВЛВС 4, приходит на порт 3, значит, несомненно, одна из машин, подключенных к этому порту, находится в виртуальной сети 4. Стандарт 802.1Q вполне четко поясняет, как строятся динамические таблицы. При этом делаются ссылки на соответствующие части алгоритма Перлмана (Perlman), который вошел в стандарт 802.ID. Прежде чем завершить разговор о маршрутизации в виртуальных сетях, необходимо сделать еще одно замечание. Многие пользователи сетей Интернет и Ethernet фанатично привязаны к сетям без установления соединения и неистово противопоставляют их любым системам, в которых есть хотя бы намек на соединение на сетевом уровне или уровне передачи данных. Однако в виртуальных сетях один технический момент как-раз-таки очень сильно напоминает установку соединения. Речь идет о том, что работа виртуальной сети невозможна без того, чтобы в каждом кадре был идентификатор, использующийся в качестве индекса таблицы, встроенной в коммутатор. По этой таблице определяется дальнейший вполне определенный маршрут кадра. Именно это и происходит в сетях, ориентированных на соединение. В системах без установления соединения маршрут определяется по адресу назначения, и там отсутствуют какие-либо идентификаторы конкретных линий, через которые должен пройти кадр.



Глава5. Протокол Spanning-Tree и VLAN

Протокол Spanning-Tree позволяет иметь избыточные физические связи в мостовых сетях, но иметь только одно физическое соединение, пересылающее фреймы. Этот протокол переводит избыточные физические соединения с сегментом назначения в режим блокирования. Когда происходят события, изменяющие топологию сети, STP протокол производит ре-калькуляцию, какие соединения будут переправлять фреймы, а остальные останутся в заблокированном состоянии. Имеется два главных метода мостового соединения - прозрачное (transparent) и маршрутизируемое источником (source-route). STP протокол используется в прозрачном мостовом соединении для избежания циклов в сетевых сегментах, обеспечивая также избыточность на случай неисправностей.

Прозрачное мостовое соединение в основном используется в окружении Ethernet. Этот метод возлагает ответственность за определение пути от источника к приемнику на мост. Ethernet фреймы не содержат поле RIF информации о маршруте (Routing Information Field) как, например, фреймы Token Ring, поэтому устройства просто посылают фреймы и подразумевают, что они достигнут пункта назначения. Процесс, используемый мостами для переправки фреймов, подобен тому, как работают коммутаторы Уровня 2. Прозрачное объединение проверяет входящие фреймы и запоминает MAC адрес получателя. Мост ищет этот адрес в таблице; Если он нашел его, он переправляет фрейм в соответствующий порт. Если MAC адрес не был найден, он копирует и переправляет фрейм во все порты, кроме того, из которого фрейм пришел.

Соединение, маршрутизируемое источником, используется в окружении Token Ring. Этот метод возлагает ответственность поиска устройства назначения на передающую станцию. Устройство Token Ring посылает тестовый фрейм для определения, располагается ли устройство назначения в локальном кольце. Если не было получено ответа, устройство посылает поисковый фрейм как широковещательный пакет. Широковещательный пакет пересекает сеть через другие мосты и каждый мост добавляет номер кольца и номер моста, в котором это кольцо существует пока фрейм не достигнет получателя. Комбинация номера кольца и номера моста содержится в поле RIF. Устройство-получатель отвечает на поисковый фрейм и, в конечном счете, устройство-источник получает фрейм-ответ. Теперь связи начинается с того, что каждая станция добавляет поле RIF в каждый фрейм. Соединение, маршрутизируемое источником, переправляет фреймы, основываясь на информации поля RIF, и не строит таблицу MAC адресов и портов, так как конечные устройства обеспечивают информацию о пути от источника к приемнику в поле RIF.

Для обсуждения мы рассмотрим проблему, связанную с циклами и прозрачным объединением сетей, так как это наиболее распространено сегодня. Представьте себе два сетевых сегмента, сегмент A и сегмент B с одной рабочей станцией в каждом: станция A и станция B соответственно. Два прозрачных моста присоединены к обоим сегментам A и B, создавая цикл в сети. Станция A посылает широковещательный фрейм для станции B, и оба моста считывают фрейм с их сегмента A и переправляют его в сегмент B. Оба моста связывают адрес станции A с их сегментом A в таблице адресов. Ethernet фрейм имеет адресом источника станцию A и адресом получателя широковещательный адрес. После того, как мосты переправили фрейм в сегмент B, он имеет тот же адрес отправителя и получателя, так как мосты работают на Уровне 2 и не изменяют адресов, когда переправляют фреймы. Фрейм, полученный обоими мостами в сегменте B, аккуратно переправляется назад в сегмент A, так как моты переправляют фреймы на все остальные порты. В дополнение, мосты обновляют их таблицы, связывая адрес станции A с их интерфейсом сегмента B. Мосты будут продолжать переправлять эти фреймы снова и снова. Очевидно, что это приведет к снижению производительности сети, так как каждое устройство в сети будет обрабатывать эти фреймы снова и снова, теряя процессорное время на каждом устройстве и уменьшая пропускную способность сети.

Главной причиной разработки протокола Spanning-Tree Protocol было устранение циклов в сети. Протокол Spanning-Tree гарантирует отсутствие циклов, блокируя один из портов моста («blocking mode»), предотвращая передачу пакетов. Обратите внимание, что блокировка может быть снята, если текущий активный порт переходит в нерабочее состояние. Когда происходит изменение топологии сети, мост производит ре-калькуляцию состояния, рассылая пакеты BPDU (Bridge Protocol Data Units). При помощи BPDU, мосты обмениваются информацией, определяя, какие порты нужно блокировать.

Сейчас, когда мы понимаем основы Spanning Tree, как это относится к коммутаторам. Коммутаторы функционируют подобно мостам, поэтому каждый коммутатор принимает участие в процессе spanning-tree, если это не отключено в конфигурации. Вы должны иметь достаточно оснований для того, чтобы запретить обработку spanning tree на вашем коммутатору, так как это может вызвать серьезные проблемы. Коммутаторы гарантируют отсутствие циклов в топологии, используя алгоритм spanning-tree (STA). Алгоритм spanning-tree осуществляет топологию без циклов для каждой сети VLAN, настроенной в вашем коммутаторе. Поэтому присоединение любых сетевых устройств (кроме серверов или рабочих станций) может вызвать цикл в вашей сети, если запрещена обработка протокола spanning-tree. Главная проблема, создаваемая циклами в сети, это широковещательный шторм (broadcast storm). Это состояние сети, когда коммутаторы или мосты продолжают переправлять широковещательные пакеты во все подключенные порты; другие коммутаторы и мосты, присоединенные в ту же сеть, создавая цикл, продолжают переправлять те же фреймы назад в посылающий коммутатор или мост. Эта проблема сильно уменьшает производительность сети, так как сетевые устройства постоянно заняты копированием широковещательных пакетов во все порты.



Глава 6. Настройка VLAN по умолчанию

Коммутаторы Catalyst имеют несколько VLAN, объявленных по умолчанию. Сеть VLAN 1 объявлена всегда, и все активные порты сгруппированы в нее по умолчанию. Если вам требуется добавить больше виртуальных сетей, вам нужно создать их, используя команду SET VLAN. VLAN 1 будет показываться, используя имя DEFAULT в любой команде SHOW VLAN. Дополнительно объявлены сети VLAN 1002-1005 для FDDI и Token Ring. Вам не нужно волноваться об удалении этих сетей, так как они являются частью конфигурации по умолчанию.

Просмотр сетей VLAN в Catalyst 5500

Разработка любой сетевой конфигурации должна включать в себя сбор информации о потребностях пользователей для наиболее эффективного, простого и логичного использования сетевых ресурсов. Перед тем, как создавать VLAN в ваших коммутаторах, вы должны затратить время для создания логической схемы вашей сети. Полезные вопросы, на которые стоит ответить:

Сколько пользователей будет в каждой VLAN?

Разделены ли VLAN физически?

Сколько требуется усилий для создания новой VLAN?

Для обмена информацией о VLAN между коммутаторами вы должны создать транковые порты. Транковый порт это порт или группа портов, используемые для передачи информации о VLAN в другие сетевые устройства, присоединенные к этому порту и использующие транковый протокол. Транковый протокол это «язык», который коммутаторы используют для обмена информацией о VLAN. Примеры транковых протоколов - ISL и IEEE 802.1Q. Обратите внимание, что обычные порты не рекламируют информацию о VLAN, но любой порт может быть настроен для приема/передачи информации о VLAN. Вы должны активизировать транковый протокол на нужных портах, так как он выключен по умолчанию. Транковый порт это порт, предназначенный исключительно для пересылки VLAN информации используя транковый протокол. Cisco коммутаторы в основном используют протокол Inter-Switch Link (ISL) для обеспечения совместимости информации.

Для автоматического обмена информацией о VLAN через транковые порты, вам нужно настроить Cisco VLAN Trunk Protocol (VTP), который позволяет коммутаторам посылать информацию о VLAN в форме «рекламы» соседним устройствам. Передаваемая информация включает домен, номер версии, активные VLAN и другую информацию. Вы настроите сервер и, по выбору, клиентов. Преимуществом использования VTP является то, что вы можете контролировать добавление, удаление или изменение сетей VLAN в дизайне вашего коммутатора. Недостатком является ненужный трафик, создаваемый на транковых портах для устройств, которым возможно не нужна эта информация. Коммутаторы Cisco возможность ограничения VLAN информации, пересылаемой через транковый порт, используя возможность «отсечения» (pruning option). Используя VTP, вы можете гарантировать, что ваш VLAN дизайн будет распространен во все коммутаторы, использующие протокол VTP в том же домене. VTP посылает VLAN информацию через транковые порты на групповой адрес (multicast address), но не пересылает ее на обычные (не транковые) порты коммутатора.

Другая возможность - настройка коммутатора для режима прозрачной передачи и настройка каждой VLAN в каждом коммутаторе вручную. Это очень важное решение в разработке вашей сети. Если ваша сеть будет содержать много коммутаторов, содержащих много виртуальных сетей, расположенных в разных коммутаторах, возможно, имеет смысл использовать VTP. Если ваша сеть останется достаточно статической, VLAN не будут добавляться или изменяться по отношению к начальной конфигурации, прозрачное соединение может работать лучше. VTP требует использования программы сетевого управления Cisco VLAN Director для управления вашими коммутаторами. Если вы беспокоитесь об административном управлении, VTP может обеспечить решение проблемы. Вы имеете возможность установить пароль на VTP домен для контроля изменения VLAN информации вашей сети. Дополнительно, оставив активными опции по умолчанию в ваших основных коммутаторах, вы можете контролировать процесс обновления информации. После настройки ваших коммутаторов как VTP серверов, остальные коммутаторы вашей сети могут быть настроены как клиенты, которые только получают VLAN информацию.

6.1 Настройка VLAN через домен

Загрузитесь в коммутатор, используя консольный порт. Если у коммутатора настроен IP адрес и маршрут по умолчанию (default route),вы можете использовать Telnet.

Перейдите в привилегированный режим (enable mode).

Объявите VTP домен, набрав команду set vtp domain name.

Вы можете разрешить режим отсечения (pruning), набрав set vtp pruning enable.

Вы можете установить пароль, набрав set vtp password password.

Создайте VLAN, набрав set vlan 2.

Проверьте, что вы настроили VTP, используя команду SHOW VTP STATISTICS.

Отображение VTP статистики в коммутаторе Catalyst 5500

Имя домена задается, когда вы используете команду SET VTP DOMAIN. Локальный режим определяет режим сервера, клиента или прозрачный режим. Серверы могут обновлять VLAN информацию в VTP домене; клиенты только получают VLAN информацию. Поле Vlan-Count показывает число сетей VLAN, настроенных в коммутаторе.

Отображение VTP конфигурации в коммутаторе Catalyst 5500

Другой возможностью при настройке VLAN является использование дружественных имен при добавлении сетей VLAN в вашу сеть. На практике, проще использовать номера и документировать то, что вы настроили в ваших коммутаторах. Это может быть проще для пользователей, ссылаться на VLAN 1 как на Marketing VLAN, или ссылаться на VLAN 2 как на Sales VLAN. Если ваша организация решила вложить деньги в Cisco Route Switch Module (RSM), вы, возможно, захотите заняться цифровой схемой вашей VLAN. RSM это полнофункциональный Cisco маршрутизатор, устанавливаемый в коммутатора серии Catalyst 5x00. RSM не имеет внешних интерфейсных портов, потому что он имеет интерфейс на соединительной плате коммутатора Catalyst. Интерфейсы настраиваются как сети VLAN в карте RSM, и согласуется с виртуальными сетями, объявленными в вашем коммутаторе Catalyst. Для административных целей проще ссылаться на цифры, поэтому если пользователи находятся в VLAN 2, вам проще запомнить, какой интерфейс маршрутизатора нужно проверить для решения проблем. Однако если вы решили использовать дружественные имена, коммутатор Catalyst будет поддерживать и их.

6.2 Настройка сетей VLAN, используя имена

1.Загрузитесь в коммутатор, используя консольный порт. Если у коммутатора настроен IP адрес и маршрут по умолчанию (default route),вы можете использовать Telnet.

2.Перейдите в привилегированный режим (enable mode).

3.Разрешите протокол VTP версии 2, набрав set vtp v2 enable.

4.Объявите VTP домен, набрав set vtp domain name.

5.Переведите коммутатор в режим сервера, набрав set vtp mode server.

6.Вы можете разрешить режим отсечения (pruning), набрав set vtp pruning enable.

7.Вы можете установить пароль, набрав set vtp password password.

8.Создайте виртуальную сеть VLAN, набрав set vlan 2 name vlan_name state active.

...