Построение компьютерных сетей на базе коммутаторов Ethernet:

Простое определение  коммутации 4-го уровня – это возможность принимать решение о передаче пакета, основываясь не только на МАС или IP-адресах, но и на параметрах 4-го уровня, таких как номер порта TCP/UDP.

Маршрутизаторы  умеют управлять трафиком, основываясь  на информации транспортного уровня. Одним из методов является создание расширенных списков доступа (extended access lists).

Когда коммутаторы  выполняют функции 4-го уровня, они  читают поля TCP и UDP внутри заголовка и определяют, какой тип информации передается в этом пакете.

Администратор сети может запрограммировать коммутатор, обрабатывать трафик в соответствии с приоритетом приложений. Эта функция позволяет определить качество сервиса для конечных пользователей. Когда задано качество сервиса, коммутация 4-го уровня будет выделять, например, трафику видеоконференции, большую полосу пропускания по сравнению, например, с почтовым сообщением или пакетом FTP.

Коммутация 4-го уровня необходима, если выбранная политика предполагает разделение управления трафиком по приложениям  или требуется учет количества трафика, вырабатываемого каждым приложением. Однако следует заметить, что коммутаторам, выполняющим коммутацию 4-го уровня, требуется возможность определять и хранить большое число таблиц коммутации, особенно если коммутатор используется внутри ядра корпоративной сети.

 

6.5. ОБОРУДОВАНИЕ ДЛЯ БЕСПРОВОДНЫХ СЕТЕЙ

 

 

Пример построения ЛВС, в которой часть компьютеров  подключена с использованием радиодоступа, приведен на рис.6.6. Для организации беспроводного доступа необходимо оснастить клиентские компьютеры беспроводные сетевыми адаптерами, которые могут быть выполнены как в виде сетевых карт, устанавливаемых в один из разъемов материнской платы, так и в виде внешнего устройства, подключенного  к USB порту компьютера. Для подключения компьютеров с  беспроводные сетевыми адаптерами к остальной части ЛВС требуется также специальное устройство, которое в технической литературе обозначается английским термином Wireless Access Point, что обычно переводится как точка доступа [4].

 

 

 

Р и с. 6.6. Организация радиодоступа

 

Точка доступа является аналогом хаба и  обеспечивает подключение к локальной проводной Ethernet сети беспроводных клиентов, находящихся в пределах её зоны радио покрытия. Обычно в помещении на расстоянии  до 40 м  скорость передачи данных составляет  11 Мбит/с, на расстоянии  до 100 м - 1 Мбит/с.  На открытом пространстве скорость 11 Мбит/с может быть достигнута на расстоянии до 244 м, а 1 Мбит/с— до 610 м.

Одна точка доступа  дает  возможность работы с более  чем  2000 пользователям. Однако исходя из средней нагрузки, обычно  это  число  составляет 25-50 компьютеров. Точка доступа имеет стандартные интерфейсы, например  10Base-T для подключения к остальной части ЛВС. Точек доступа может быть несколько. Для того, чтобы беспроводные клиенты могли перемещаться без потери связи обычно предусматривают 10-15% наложение зон радио покрытия. Используя радиоканал,  точки доступа можно последовательно соединять друг с  другом (до 6 устройств), увеличивая тем самым размер ЛВС.

Для подключения небольшой группы рабочей группы, территориально удаленной от основного сегмента ЛВС можно использовать радиомост для рабочей группы - Work Group Bridge. Компьютеры при этом подключаются через хаб к радиомосту, который в свою очередь соединяется через радиоканал с ближайшей точкой доступа. Надо отметить, что поскольку хабы уже повсеместно практически вытеснены коммутаторами, такое решение является морально устаревшим.

7. ВИРТУАЛЬНЫЕ ЛОКАЛЬНЫЕ СЕТИ VLAN

7.1. НАЗНАЧЕНИЕ VLAN

 

Сетям на основе коммутаторов второго уровня  присуще одно ограничение. Поскольку коммутатор не имеет дел с протоколами сетевого уровня, он не может знать, куда направлять их широковещательные пакеты. Хотя трафик с конкретными адресами (соединения «точка-точка») изолирован парой портов,  широковещательные пакеты передаются во всю сеть (на каждый порт). Широковещательные пакеты – это пакеты, передаваемые на все узлы сети. Они необходимы для работы многих сетевых протоколов, таких как ARP, BOOTP или DHCP, с их помощью рабочая станция оповещает другие компьютеры о своем появлении в сети. Широковещательные пакеты могут возникать из-за некорректно работающего сетевого адаптера. Широковещательные пакеты могут привести к насыщению полосы пропускания, особенно в крупных сетях. Для того, чтобы этого не происходило, важно ограничить область распространения широковещательного трафика (эта область называется широковещательным доменом) - организовать небольшие широковещательные домены или виртуальные ЛВС (Virtual LAN, VLAN) [5].

Виртуальной сетью называется логическая группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети. Это означает, что передача кадров между разными виртуальными сетями на основании MAC-адреса невозможна, независимо от типа адреса - уникального, группового или широковещательного. В то же время внутри виртуальной сети кадры передаются по технологии коммутации, т.е. только на тот порт, который связан с адресом назначения кадра. Таким образом, с помощью виртуальных сетей решается проблема распространения широковещательных пакетов и вызываемых ими следствий, которые могут развиться в широковещательные штормы и существенно снизить производительность сети. Итак, VLAN обладают следующими преимуществами:

• Гибкостью внедрения. VLAN являются эффективным способом группировки сетевых пользователей в виртуальные рабочие группы, несмотря на их физическое  размещение в сети;
• VLAN обеспечивают возможность контроля широковещательных сообщений, что увеличивает полосу пропускания, доступную для пользователя;
• VLAN позволяют усилить безопасность сети, определив с помощью фильтров, настроенных на коммутаторе или маршрутизаторе, политику взаимодействия пользователей из разных  виртуальных сетей.

В коммутаторах могут  использоваться три типа VLAN:

• VLAN на базе портов;
• VLAN на базе MAC-адресов;
• VLAN на основе меток в дополнительном поле кадра – стандарт IEEE 802.1q.

7.2. ТИПЫ VLAN

   7.2.1. VLAN НА БАЗЕ ПОРТОВ

 

При использовании VLAN на базе портов, каждый порт назначается в определенную VLAN независимо от того, какой пользователь или компьютер подключен к этому порту [5]. Это означает, что все пользователи, подключенные к этому порту, будут членами одной VLAN. Пример такой VLAN приведен на рис. 7.1. Конфигурация портов статическая и может быть изменена только вручную.

 

 

Р и с. 7.1. Объединение VLAN на 3-м уровне

 

 

Основные характеристики:

• применяются в пределах одного коммутатора. Если необходимо организовать несколько рабочих групп в пределах небольшой сети на основе одного коммутатора,  например, необходимо разнести технический отдел и отдел продаж, то решение VLAN на базе портов оптимально подходит для данной задачи;
• простота настройки. Создание виртуальных сетей на основе группирования портов не требует от администратора большого объема ручной работы – достаточно каждому порту, находящемуся в одной VLAN, присвоить один и тот же идентификатор VLAN (VLAN ID);
• возможность изменения логической топологии сети без физического перемещения станций – достаточно всего лишь изменить настройки порта с одной VLAN (например, VLAN технического отдела) на другую (VLAN отдела продаж) и рабочая станция сразу же получает возможность совместно использовать ресурсы с членами в новой VLAN. Таким образом, VLAN обеспечивают гибкость при перемещении, изменении и наращивании сети;
• каждый порт может входить только в один vlan, поэтому для объединения виртуальных подсетей – как внутри одного коммутатора, так и между двумя коммутаторами, нужно использовать сетевой уровень. Один из портов каждого VLAN подключается к интерфейсу маршрутизатора, который создает таблицу маршрутизации для пересылки пакетов из одной подсети в другую (IP-адреса подсетей должны быть разными).

Недостатком такого решения является то, что  один порт каждого VLAN’а необходимо подключать к маршрутизатору, при этом порты и кабели используются очень расточительно, плюс затраты на маршрутизатор. Решить данную проблему можно двумя способами: во-первых, использовать коммутаторы, которые на основе фирменного решения позволяют включать порт в несколько VLAN. Во-вторых, можно использовать коммутаторы 3-го уровня.

            7.2.2. VLAN НА БАЗЕ MAC-АДРЕСОВ

 

 Следующий способ, который используется для образования виртуальных сетей, основан на группировке МАС-адресов [5]. Пример такой VLAN приведен на рис.7.2. При существовании в сети большого количества узлов этот способ требует выполнения большого количества ручных операций от администратора. Однако он оказывается более гибким при построении виртуальных сетей на основе нескольких коммутаторов, чем способ группировки портов. Группирование МАС-адресов в сеть на каждом коммутаторе избавляет от необходимости их связи несколькими портами, но требует выполнения большого количества ручных операций по маркировке МАС-адресов на каждом коммутаторе сети.

Широковещательные домены на базе MAC-адресов позволяют физически перемещать станцию (подключать к любому порту коммутатора), позволяя оставаться ей в одном и том же широковещательном домене без каких-либо изменений в настройках конфигурации.

 

 

Р и с. 7.2. VLAN на базе МАС-адресов

7.2.3. VLAN НА БАЗЕ МЕТОК – СТАНДАРТ 802.1Q

 

Описанные два  подхода основаны только на добавлении дополнительной информации к адресным таблицам моста и не используют возможности встраивания информации о принадлежности кадра к виртуальной сети в передаваемый кадр [5]. Метод организации VLAN на основе меток – тэгов, использует дополнительные поля кадра для хранения информации о принадлежности кадра при его перемещениях между коммутаторами сети.

Стандарт IEEE 802.1q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети. Пример кадра приведен на рис.7.3. К кадру Ethernet добавлены четыре байта. Первые 2 байта с фиксированным значением 0х8100 определяют, что кадр содержит тег протокола 802.1q/802.1p. Остальные 2 байта содержат следующую информацию:

• 3 бита приоритета передачи кодируют до восьми уровней приоритета (от 0 до 7, где 7-наивысший приоритет), которые используются в стандарте 802.1р;
• 1 бит Canonical Format Indicator   (CFI),   который зарезервирован   для обозначения кадров сетей других типов (Token Ring, FDDI), передаваемых по магистрали Ethernet;
• 12-ти битный идентификатор VLAN, определяющий, какой VLAN принадлежит трафик. 

 

Р и с. 7.3. Маркированный кадр Ethernet

 

Как видно из рис. 7.3, в заголовок Ethernet фрейма вводится дополнительная информация, о принадлежности к VLAN. Так получается помеченный кадр данных (Tagged Vlan), который передается по транковым линиям (802.1Q Trunk). Это позволяет передавать по одному каналу данные нескольких изолированных локальных сетей так, как это показано на рис. 7.4 и 7.5.  Дальнейшая коммутация происходит с учетом 802.1Q метки. На выходе из коммутатора (например, на стороне клиентского порта) метка (Tag) убирается (это называется вхождением порта в нетегированный вилан – Untagged Vlan).

 

 

Р и с. 7.4. Организация на базе одного канала нескольких VLAN

 

 

Р и с.7.5. Организация на базе магистрали нескольких VLAN

 

С точки зрения удобства и гибкости настроек, VLAN на основе меток является лучшим решением. Основные преимущества:

• гибкость и удобство в настройке и изменении. Можно создавать необходимые комбинации VLAN как в пределах одного коммутатора, так и во всей сети, построенной на коммутаторах с поддержкой стандарта 802.1q. Способность добавления меток позволяет VLAN распространяться через множество 802.1q- совместимых коммутаторов по одному физическому соединению:
• позволяет активизировать алгоритм покрывающего дерева (Spanning Tree) на всех портах и работать в обычном режиме. Протокол Spanning Tree оказывается весьма полезным для применения в крупных сетях, построенных на нескольких коммутаторах, и позволяет коммутаторам автоматически определять древовидную конфигурацию связей в сети при произвольном соединении портов между собой. Для нормальной работы коммутатора требуется отсутствие замкнутых маршрутов в сети. Эти маршруты могут создаваться администратором специально для образования резервных связей или же возникать случайным образом, что вполне возможно, если сеть имеет многочисленные связи, а кабельная система плохо структурирована или документирована. С помощью протокола Spanning Tree коммутаторы после построения схемы сети блокируют избыточные маршруты, таким образом, автоматически предотвращается возникновение петель в сети;
• способность VLAN 802.1q добавлять и извлекать метки из заголовков пакетов позволяет VLAN работать с коммутаторами и сетевыми адаптерами серверов и рабочих станций, которые не распознают метки;
• устройства разных производителей, поддерживающие стандарт могут работать вместе, т.е. независимо от какого-либо фирменного решения;
• не нужно применять маршрутизаторы, чтобы связать подсети на сетевом уровне. Достаточно включить нужные порты в несколько VLAN для возможности обмена трафиком. Например, для обеспечения доступа к серверу из различных VLAN, нужно включить порт коммутатора, к которому подключен сервер во все подсети. Единственное ограничение – сетевой адаптер сервера должен поддерживать стандарт IEEE 802.1q.