МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РЕСПУБЛИКИ КАЗАХСТАН

  Некоммерческое акционерное общество

«Алматинский институт энергетики и связи»

   

 

К.С.Чежимбаева

С.А.Калиева

 

Применение сетевого оборудования для локальных сетей

 

Учебное пособие

 

 

 

Алматы 2010

 

УДК 621.391 (075.8)

ББК 31.29-5 я 73

Ч 35. Учебное пособие/ К.С.Чежимбаева, С.А.Калиева.

Применение сетевого оборудования для локальных сетей

АИЭС. Алматы, 2010. – 80 с.

ISBN9965-850-39-9

 

 

В учебном пособии  излагаются  вопросы построения коммутируемых сетей на оборудование D-Link.

В учебном пособии описаны базовые технологии коммутации, а также информация о возможностях оборудования компании D-Link, некоторые советы по применению и ограничению тех или иных технологий.

В учебном пособие детально описаны Виртуальные Локальные Сети и протокол связующего дерева: эти две технологии являются основой для построения любых сетей на основе коммутаторов и используются практически во всех топологиях. Приведено также детальное описание частной технологии компании D-Link – асимметричных VLAN, которые предоставляют дополнительные возможности для распределения и управления потоками трафика.

Ил.-15, табл.-7, библиогр.- 7 назв.

 

ББК 31.29-5 я 73

 

Рецензенты: канд.тех.наук., доцент КазНТУ Сарсенбаев Н.С. 

канд.тех.наук., проф., кафедры АЭС Туманбаева К.Х.,

 

Введение

 

В нынешнем мире сетевые технологии играют огромное значение: банковские операции, электронный бизнес, реклама в Интернет, предоставление различных сервисов, начиная с электронных почтовых ящиков и сайтов компаний и заканчивая удалённым обучением. Книги и периодические издания переводятся в электронный вид, появляются всё новые и новые развлечения, которые используют сеть как основу. Компании держат практически всю свою информацию на цифровых носителях: крупные сделки и переговоры на высоком уровне проходят с использованием сетевых технологий видеоконференции. Этот список можно продолжать достаточно долго, и он постоянно пополняется. Сеть стала одним из основных и наиболее быстрых способов поиска необходимой информации любого характера, начиная от товаров и услуг и заканчивая новостями во всех сферах жизни. Всё это называется всемирная паутина – World Wide Web.

Скоро будет трудно найти офис компании, у которой нет своей локальной сети. ЛВС является основой для взаимодействия людей в рабочих группах, отделах и между ними, через сеть осуществляется взаимодействие между главным офисом компании и филиалами, работниками и клиентами. Последние несколько лет стремительный рост получили домашние сети, провайдеры Ethernet To Home, предоставляющие практически любые возможные сервисы, которые привычно получать в другом виде, например, цифровое видео по требованию или практически бесплатная IP-телефония, с помощью которой стало возможным общаться без ограничений со всем миром.

Помимо клиентского оборудования, такого, как персональные цифровые помощники, стационарные компьютеры и ноутбуки сеть включает в себя достаточно большое количество различных служебных устройств. Эти устройства создают сетевую инфраструктуру и управляют потоками информации, предоставляют различные дополнительные сервисы, защищают от злоумышленников и вирусов, задают правила и политики работы сети.

Одним из видов таких служебных устройств являются коммутаторы, которые первыми стоят на пути информации от клиентских устройств и связывают компьютеры воедино. Именно о коммутаторах и пойдёт речь в этом  учебном пособии.

 

 

Глава 1. Технологии коммутации

 

1.1 Преимущества использования коммутаторов LAN в сетях

 

Большинство первых локальных сетей использовало концентраторы для организации соединения между рабочими станциями сети. По мере роста сети, появлялись следующие проблемы:

  Маштабируемость сети (Scalability) – в сети, построенной на концентраторах, ограниченная совместно используемая полоса пропускания сильно затрудняет рост сети без потери производительности, а современные приложения требуют большие полосы пропускания, чем раньше.

  Задержка (Latency) – количество времени, которое требуется пакету, чтобы достичь пункта назначения.  Т.к. каждый узел в сети, построенной на концентраторах, должен ждать появления возможности передачи данных во избежание коллизий, то задержка может значительно увеличиться при наращивании узлов в сеть. Или, если кто-то передает по сети большой файл, все остальные узлы должны ждать окончания его передачи, чтобы получить возможность отправить свои данные.

  Сбой в сети (Network failure) – в обычной сети, одно устройство, подключенное к концентратору, может вызвать проблемы у остальных устройств, подключенных к нему из-за несоответствия скоростей работы (100 Мбит/с сетевой адаптер и 10 Мбит/с концентратор) или большого числа широковещательных сообщений (broadcast).  Коммутаторы могут быть сконфигурированы для ограничения количества широковещательных пакетов.

  Коллизии (Collisions) – в полудуплексном Ethernet используется метод Carrier Sense Multiple Access /Collision Detection (CSMA/CD) для доступа к разделяемой среде передачи данных. При этом способе доступа узел не сможет отправить свой пакет до тех пор, пока не убедиться, что среда передачи свободна. Если два узла обнаружили, что среда передачи свободна, и начали передачу в одно и то же время, возникает коллизия и пакет теряется. Часть сети Ethernet, все узлы которой распознают коллизию независимо от того, в какой части сети эта коллизия возникла, называется доменом коллизий (collision domain). Сеть Ethernet, построенная на концентраторах, всегда образует один домен коллизий.

Простая замена концентраторов на коммутаторы позволяет значительно повысить эффективность локальных сетей, при этом не требуется замена кабельной проводки или сетевых адаптеров. Коммутаторы делят сеть на отдельные логические сегменты, изолируя трафик одного сегмента от трафика другого сегменты, создавая при этом  небольшие по размеру домены коллизий.

Разделение большой сети на несколько автономных сегментов при помощи  коммутаторов имеет несколько преимуществ. Поскольку перенаправлению подвергается только часть трафика, коммутаторы уменьшают трафик, принимаемый устройствами во всех сегментах сети. Коммутаторы могут выполнять функции межсетевого экрана (брандмауэра), не пропускающего некоторые потенциально опасные сетевые ошибки, и обеспечивать обмен данными между большим количеством устройств. Коммутаторы увеличивают фактический размер сети, позволяя подключать к ней удаленные станции, которые иначе подключить нельзя. Для сетей Fast Ethernet или Gigabit Ethernet коммутатор является эффективным способом преодоления ограничения более “двух повторителей” при построении сети на концентраторах. Коммутаторы могут соединять локальные сети с различной полосой пропускания. Например, с помощью коммутатора можно соединить 10-мегабитную и 100-мегабитную локальные сети Ethernet. Некоторые коммутаторы поддерживают коммутацию без буферизации пакетов (cut-through switching), что уменьшает задержки в сети.

Еще одно существенное преимущество коммутаторов над концентраторами  - следующее. Все узлы, подключенные к концентратору, делят между собой всю полосу пропускания. Коммутаторы предоставляют каждому узлу (если он подключен непосредственно к порту коммутатора) отдельную полосу пропускания, чем уменьшают вероятность коллизий в сетевых сегментах.

Например, если к 10 Мбит/с концентратору подключено 10 устройств, то каждый узел получит пропускную способность, равную 1 Мбит/с (10/N Мбит/с, где N-количество рабочих станций), даже если не все устройства будут передавать данные. Если вместо концентратора поставить коммутатор, то каждый узел сможет функционировать на скорости 10 Мбит/с.

До появления коммутаторов сети Ethernet были полудуплексными, т.е. только одно устройство могло передавать данные в любой момент времени.  Коммутация позволила сети Ethernet работать в полнодуплексном режиме.

Полнодуплексный режим – это дополнительная возможность одновременной двухсторонней передачи по линии связи "точка – точка" на МАС - подуровне. Функционально дуплексная передача намного проще полудуплексной, т.к. она не вызывает в среде передачи коллизий, не требует составления расписания повторных передач и добавления битов расширения в конец коротких кадров. В результате не только увеличивается время, доступное для передачи данных, но и удваивается полезная полоса пропускания канала, поскольку каждый канал обеспечивает полноскоростную одновременную двустороннюю передачу. Технология коммутации представляет новый шаг в развитии локальных сетей по отношению к сетевым мостам, так как обеспечивает меньшее время задержки. Хотя для целей сегментирования локальной сети модно использовать и маршрутизаторы, но стоимость приобретения и владения делают такое решение неразумным. В данный момент коммутаторы являются идеальным решением для увеличения пропускной способности локальной сети.

 

1.2 Коммутация 2-го уровня

 

Коммутаторы обычно работают на канальном уровне модели OSI. Они анализируют входящие кадры, принимают решение об их дальнейшей передаче на основе МАС - адресов  и передают кадры пунктам назначения. Основное преимущество коммутаторов – прозрачность для протоколов верхнего уровня. Т.к.коммутатор функционирует на 2-м уровне, ему нет необходимости анализировать информацию верхних уровней модели OSI.

Коммутация 2-го уровня – аппаратная. Передача кадра в коммутаторе обрабатывается специализированным контроллером, называемым Application-Specific Integrated Circuits (ASIC). Эта технология, разработанная для коммутаторов, позволяет поддерживать гигабитные скорости с небольшой задержкой. Существуют две основные причины использования коммутаторов 2-го уровня – сегментация сети и объединение рабочих групп. Высокая производительность коммутаторов позволяет разработчикам сетей значительно уменьшить количество узлов в физическом сегменте. Деление крупной сети на логические сегменты повышает производительность сети (за счет разгрузки сегментов), а также гибкость построения сети, увеличивая степень защиты данных, и облегчает управление сетью. Несмотря на преимущества коммутации 2-го уровня, она все же имеет некоторые ограничения. Наличие коммутаторов в сети не препятствует распространению широковещательных кадров (broadcast) по всем сегментам сети, сохраняя ее прозрачность. Таким образом, очевидно, что сети необходима функциональность 3-го уровня OSI модели.

 

1.3 Коммутация 3-го уровня

 

Коммутация 3-го уровня – это аппаратная маршрутизация, где передача пакетов обрабатывается контроллерами ASICs. В отличие от коммутаторов 2-го уровня, коммутаторы 3-го уровня принимают решения на основе информации сетевого уровня, а не на основе МАС - адресов. Основная цель коммутации 3-го уровня – получить скорость коммутации 2-го уровня и масштабируемость  маршрутизации. Обработку пакетов коммутатор 3-го уровня выполняет таким же образом, как и у маршрутизатор:

-  на основе информации 3-го уровня (сетевых адресов) определяет путь к месту назначения пакета;

-  проверяет целостность заголовка 3-го уровня, вычисляя контрольную сумму;

-  проверяет время жизни пакета;

-  обрабатывает и отвечает на любую дополнительную информацию;

-  обновляет статистику в Информационной базе управления (Management Information Base -MIB);

-  обеспечивает управление безопасностью (если необходимо);

-  обеспечивает необходимое качество сервиса (QoS) для мультимедийных приложений чувствительных к задержкам передачи.

Основное отличие между маршрутизаторами и коммутаторами 3-го уровня заключается  в том, что в основе коммутации 3-го уровня лежит аппаратная реализация. В маршрутизаторах общего назначения коммутация пакетов обычно выполняется программным образом. Т.к. коммутаторы 3-го уровня обычно быстрее и дешевле маршрутизаторов, то их использование в локальных сетях очень привлекательно. В качестве примеров коммутаторов 3-го уровня можно привести D-Link DES-3326S и DES-3326SR, DES-3350SR.

 

1.4 Коммутация 4-го уровня

 

Коммутация 4-го уровня основывается на аппаратной маршрутизации сетевого уровня, которая отвечает за управляющую информацию 4-го уровня. Информация в заголовках пакета обычно включает адресацию сетевого уровня, тип протокола 3-го уровня, время жизни (TTL) и   контрольную сумму. В пакете также содержится информация о протоколах верхних уровней такая, как тип протокола и номер порта.

Простое определение коммутации 4-го уровня – это возможность принимать решение о передаче пакета, основываясь не только на МАС или IP адресах, но и на параметрах 4-го уровня таких, как номер порта.

Маршрутизаторы умеют управлять трафиком, основываясь на информации транспортного уровня. Одним из методов является создание расширенных списков доступа (extended access lists).  Когда коммутаторы выполняют функции 4-го уровня, они читают поля TCP и UDP внутри заголовка и определяют, какой тип информации передается в этом пакете. Администратор сети может запрограммировать коммутатор  обрабатывать трафик в соответствии с приоритетом приложений. Эта функция позволяет определить качество сервиса для конечных пользователей. Когда задано качество сервиса, коммутация 4-го уровня будет выделять, например, трафику видеоконференции, большую полосу пропускания по сравнению, например, с почтовым сообщением или пакетом FTP.

Коммутация 4-го уровня необходима, если выбранная политика предполагает разделение управления трафиком по приложениям или требуется учет количества трафика, вырабатываемого каждым приложением. Однако следует заметить, что коммутаторам, выполняющим коммутацию 4-го уровня, требуется возможность определять и хранить большое число таблиц коммутации, особенно если коммутатор используется внутри ядра корпоративной сети.

 

1.5 Технологическая реализация коммутаторов

 

Коммутаторы ЛВС отличаются большим разнообразием возможностей и, следовательно, цен - стоимость одного порта колеблется в диапазоне от 50 до 1000 долларов. Одной из причин столь больших различий является то, что они предназначены для решения различных классов задач. Коммутаторы высокого класса должны обеспечивать высокую производительность и плотность портов, а также поддерживать широкий спектр функций управления. Такие устройства зачастую кроме традиционной коммутации на MAC-уровне, выполняют функции маршрутизации. Простые и дешевые коммутаторы имеют обычно небольшое число портов и не способны поддерживать функции управления.

Одним из основных различий является используемая в коммутаторе архитектура. Поскольку большинство современных коммутаторов работают на основе патентованных контроллеров ASIC, устройство этих микросхем и их интеграция с остальными модулями коммутатора (включая буферы ввода-вывода) играют важнейшую роль. Коммутаторы, реализующие также функции сетевого уровня (маршрутизацию), оснащены, как правило, RISC-процессорами для выполнения ресурсоемких программ маршрутизации.

Контроллеры ASIC для коммутаторов ЛВС делятся на 2 класса - большие ASIC, способные обслуживать множество коммутируемых портов (один контроллер на устройство), и небольшие ASIC, обслуживающие несколько портов и объединяемые в матрицы коммутации. Вопросы масштабирования и стратегия разработчиков коммутаторов в области организации магистралей и/или рабочих групп определяют выбор ASIC и, следовательно, - скорость продвижения коммутаторов на рынок.

Существует три варианта архитектуры коммутаторов:

-   на основе коммутационной матрицы (cross-bar);

-   с разделяемой многовходовой памятью (shared memory);

-   на основе общей высокоскоростной шины.

В настоящее время коммутаторы используют в качестве базовой одну из трех схем взаимодействия своих блоков или модулей:

-    коммутационная матрица;

-    разделяемая многовходовая память;

-    общая шина.

Часто эти три способа взаимодействия комбинируются в одном коммутаторе.

 

1.6 Характеристики, влияющие на производительность коммутаторов

 

Производительность коммутатора - то свойство, которое сетевые интеграторы и администраторы ждут от этого устройства в первую очередь.

Основными показателями коммутатора, характеризующими его производительность, являются:

-   скорость фильтрации кадров;

-   скорость продвижения кадров;

-   пропускная способность;

-   задержка передачи кадра.

Кроме того, существует несколько характеристик коммутатора, которые в наибольшей степени влияют на указанные характеристики производительности. К ним относятся:

-   тип коммутации - «на лету» или с промежуточным хранением;

-   размер буфера (буферов) кадров;

-   производительность внутренней шины;

-   производительность процессора или процессоров;

-   размер внутренней адресной таблицы.

Скорость фильтрации и скорость продвижения.

Скорость фильтрации и продвижения кадров - это две основные характеристики производительности коммутатора. Эти характеристики являются интегральными показателями, они не зависят от того, каким образом технически реализован коммутатор.

Скорость фильтрации (filtering) определяет скорость, с которой коммутатор выполняет следующие этапы обработки кадров:

-      прием кадра в свой буфер;

-      просмотр адресной таблицы с целью нахождения порта для адреса назначения кадра;

-      уничтожение кадра, так как его порт назначения и порт источника принадлежат одному логическому сегменту.

Скорость фильтрации практически у всех коммутаторов является неблокирующей - коммутатор успевает отбрасывать кадры в темпе их поступления.

Скорость продвижения (forwarding) определяет скорость, с которой коммутатор выполняет следующие этапы обработки кадров:

-   прием кадра в свой буфер;

-   просмотр адресной таблицы с целью нахождения порта для адреса назначения кадра;

-   передача кадра в сеть через найденный по адресной таблице порт назначения.

Как скорость фильтрации, так и скорость продвижения измеряются обычно в кадрах в секунду. Если в характеристиках коммутатора не уточняется, для какого протокола и для какого размера кадра приведены значения скоростей фильтрации и продвижения, то по умолчанию считается, что эти показатели даются для протокола Ethernet и кадров минимального размера, то есть кадров длиной 64 байт (без преамбулы) с полем данных в 46 байт. Если скорости указаны для какого-либо определенного протокола, например, Token Ring или FDDI, то они также даны для кадров минимальной длины этого протокола (например, кадров длины 29 байт для протокола FDDI). Применение в качестве основного показателя скорости работы коммутатора кадров минимальной длины объясняется тем, что такие кадры всегда создают для коммутатора наиболее тяжелый режим работы по сравнению с кадрами другого формата при равной пропускной способности переносимых пользовательских данных. Поэтому при проведении тестирования коммутатора режим передачи кадров минимальной длины используется как наиболее сложный тест, который должен проверить способность коммутатора работать при наихудшем сочетании параметров трафика. Кроме того, для пакетов минимальной длины скорость фильтрации и продвижения максимальна, что имеет немаловажное значение при рекламе коммутатора.

Пропускная способность коммутатора измеряется количеством пользовательских данных (в мегабитах в секунду), переданных в единицу времени через его порты. Так как коммутатор работает на канальном уровне, для него пользовательскими данными являются те данные, которые переносятся в поле данных кадров протоколов канального уровня - Ethernet, Token Ring, FDDI и т. п. Максимальное значение пропускной способности коммутатора всегда достигается на кадрах максимальной длины: при этом доля накладных расходов на служебную информацию кадра гораздо ниже, чем для кадров минимальной длины, а время выполнения коммутатором операций по обработке кадра, приходящееся на один байт пользовательской информации, существенно меньше. Поэтому коммутатор может быть блокирующим для кадров минимальной длины, но при этом иметь очень хорошие показатели пропускной способности.

Задержка передачи кадра измеряется как время, прошедшее с момента прихода первого байта кадра на входной порт коммутатора до момента появления этого байта на его выходном порту. Задержка складывается из времени, затрачиваемого на буферизацию байт кадра, а также времени, затрачиваемого на обработку кадра коммутатором, - просмотра адресной таблицы, принятия решения о фильтрации или продвижении и получения доступа к среде выходного порта.

Величина вносимой коммутатором задержки зависит от режима его работы. Если коммутация осуществляется «на лету», то задержки обычно невелики и составляют от 5 до 40 мкс, а при полной буферизации кадров - от 50 до 200 мкс (для кадров минимальной длины).

Коммутатор - это многопортовое устройство, поэтому для него принято все приведенные выше характеристики (кроме задержки передачи кадра) давать в двух вариантах. Первый вариант - суммарная производительность коммутатора при одновременной передаче трафика по всем его портам, второй вариант - производительность, приведенная в расчете на один порт. Обычно производители коммутаторов указывают общую максимальную пропускную способность устройства.

Коммутация с промежуточным хранением и «на лету». При коммутации с промежуточным хранением (store-and-forward) – коммутатор копирует весь фрейм в буфер и только затем его передает. Перед отправкой фрейма читаются его адрес назначения и адрес источника, если надо, к ним применяется соответствующий фильтр, и только после этого кадр передается на выходной порт. Естественно, что этот способ передачи связан с задержками, при этом чем больше кадр, тем больше времени требуется на его прием. Во время приема кадра происходит его проверка  на наличие ошибок.

Коммутация «на лету» (cut-through) – коммутатор локальной сети копирует во внутренние буферы только адрес приемника (первые 6 байт после префикса) и сразу начинает передавать кадр, не дожидаясь его полного приема. Этот режим уменьшает задержку, но проверка на ошибки в нем не выполняется. Существует две формы коммутации «на лету»:

Коммутация с быстрой передачей  (fast-forward switching) – это форма коммутации предлагает низкую задержку за счет того, что кадр начинает передаваться немедленно, как только будет прочитан адрес назначения. Передаваемый кадр может содержать ошибки. В этом случае сетевой адаптер, которому предназначен этот кадр, отбросит его, что вызовет необходимость повторной передачи этого кадра. Другая форма коммутации уменьшает количество пакетов передаваемых с ошибками.

Коммутация со свободными фрагментами (fragment-free switching) фильтрует коллизионные кадры перед их передачей. В правильно работающей сети кадр, содержащий коллизию, должен быть меньше 64 байт. Все  кадры, с длиной больше 64 байт, считаются правильными. Этот метод коммутации ждет, пока полученный кадр не будет проверен на предмет коллизии, и только после этого начнет его передачу.

Размер адресной таблицы. Максимальная емкость адресной таблицы определяет предельное количество MAC-адресов, с которыми может одновременно оперировать коммутатор. Так как коммутаторы чаще всего используют для выполнения операций каждого порта выделенный процессорный блок со своей памятью для хранения экземпляра адресной таблицы, то размер адресной таблицы для коммутаторов обычно приводится в расчете на один порт. Экземпляры адресной таблицы разных процессорных модулей не обязательно содержат одну и ту же адресную информацию - скорее всего, повторяющихся адресов будет не так много, если только распределение трафика каждого порта между остальными портами не полностью равновероятно. Каждый порт хранит только те наборы адресов, с которыми он работал в последнее время.

Значение максимального числа МАС - адресов, которое может запомнить процессор порта, зависит от области применения коммутатора. Коммутаторы рабочих групп обычно поддерживают всего несколько адресов на порт, так как они предназначены для образования микросегментов. Коммутаторы отделов должны поддерживать несколько сотен адресов, а коммутаторы магистралей сетей - до нескольких тысяч, обычно 4000-8000 адресов.

Недостаточная емкость адресной таблицы может служить причиной замедления работы коммутатора и засорения сети избыточным трафиком. Если адресная таблица процессора порта полностью заполнена, а он встречает новый адрес источника в поступившем пакете, процессор должен вытеснить из таблицы какой-либо старый адрес и поместить на его место новый. Эта операция сама по себе отнимет у процессора часть времени, но главные потери производительности будут наблюдаться при поступлении кадра с адресом назначения, который пришлось удалить из адресной таблицы. Так как адрес назначения кадра неизвестен, то коммутатор должен передать этот кадр на все остальные порты. Эта операция будет создавать лишнюю работу для многих процессоров портов, кроме того, копии этого кадра будут попадать и на те сегменты сети, где они совсем не обязательны.

Объем буфера кадров. Внутренняя буферная память коммутатора нужна для временного хранения кадров данных в тех случаях, когда их невозможно немедленно передать на выходной порт. Буфер предназначен для сглаживания кратковременных пульсаций трафика. Ведь даже если трафик хорошо сбалансирован и производительность процессоров портов, а также других обрабатывающих элементов коммутатора достаточна для передачи средних значений графика, это не гарантирует, что их производительности хватит при пиковых значениях нагрузок. Например, трафик может в течение нескольких десятков миллисекунд поступать одновременно на все входы коммутатора, не давая ему возможности передавать принимаемые кадры на выходные порты. Для предотвращения потерь кадров при кратковременном многократном превышении среднего значения интенсивности трафика (а для локальных сетей часто встречаются значения коэффициента пульсации трафика в диапазоне 50-100) единственным средством служит буфер большого объема. Как и в случае адресных таблиц, каждый процессорный модуль порта обычно имеет свою буферную память для хранения кадров. Чем больше объем этой памяти, тем менее вероятны потери кадров при перегрузках, хотя при несбалансированности средних значений трафика буфер все равно рано или поздно переполнится.

Обычно коммутаторы, предназначенные для работы в ответственных частях сети, имеют буферную память в несколько десятков или сотен килобайт на порт. Хорошо, когда эту буферную память можно перераспределять между несколькими портами, так как одновременные перегрузки по нескольким портам маловероятны. Дополнительным средством защиты может служить общий для всех портов буфер в модуле управления коммутатором. Такой буфер обычно имеет объем в несколько мегабайт.

 

1.7 Понятие неуправляемых, управляемых и настраиваемых коммутаторов

 

Коммутаторы можно классифицировать по управлению.

Управляемы коммутаторы поддерживают широкий набор функций управления и настройки, включающие Web-интерфейс управления, интерфейс командной строки (CLI), Telnet, SNMP (Simple Network Management Protocol), TFTP (Trivial File Transfer Protocol) и др. В качестве примера можно привести коммутаторы D-Link DES-3226, DES-3226S, DES-3250TG, DES-6300, DGS-3212SR, DGS-3224SR и др.

Неуправляемы коммутаторы – функции управления и настройки не поддерживают. Примером могут служить коммутаторы D-Link серии DxS-10xx.

Настраиваемые коммутаторы занимают промежуточную позицию между ними. Эти коммутаторы позволяют выполнять настройку определенных параметров, но не поддерживают управление по SNMP. Примером таких коммутаторов являются  DES-1218R/26R.

Примеры коммутаторов по параметру управляемости.

 

C:\Documents and Settings\Alex\Desktop\Work copy\D-Link Switches Database\D-LINK - Коммутаторы - DES-1005D.files\DES-1005D.jpgC:\Documents and Settings\Alex\Desktop\Work copy\D-Link Switches Database\D-LINK - Коммутаторы - DES-1024D.files\des1024d.jpgC:\Documents and Settings\Alex\Desktop\Work copy\D-Link Switches Database\D-LINK - Коммутаторы - DES-1026G.files\des1026g.jpg

 

Рисунок 1.1 - Неуправляемые коммутаторы

Примерами неуправляемых коммутаторов могут быть: DES-1005D, DES-1024D, DES-1026G и другие.

Управляемые коммутаторы DES-3626, DES-3828.

Большинство современных управляемых коммутаторов обеспечивают возможность конфигурации на основе Web, что позволяет использовать в качестве станции управления любой компьютер, оснащенный Web-браузером, независимо от операционной системы. Также стоит отметить возможность обновления программного обеспечения коммутатора. Это обеспечивает более долгий срок службы устройств, т.к., позволяет добавлять новые функции либо устранять имеющиеся ошибки по мере выхода новых версий ПО, что существенно облегчает и удешевляет использование устройств, т.к. как правило, новые версии поставщики распространяют бесплатно. Сюда же можно включить возможность сохранения настроек коммутатора на случай сбоев с последующим восстановлением или тиражированием, что избавляет администратора от выполнения рутинной работы.

 

1.8 Конструктивное исполнение коммутаторов

 

В конструктивном отношении коммутаторы делятся на следующие типы:

-   автономные коммутаторы с фиксированным количеством портов;

-   модульные коммутаторы на основе шасси;

-   коммутаторы с фиксированным количеством портов, собираемые в стек.

Первый тип коммутаторов обычно предназначен для организации небольших рабочих групп. Модульные коммутаторы на основе шасси чаще всего предназначены для применения на магистрали сети. Поэтому они выполняются на основе какой-либо комбинированной схемы, в которой взаимодействие модулей организуется по быстродействующей шине или же на основе быстрой разделяемой памяти большого объема. Модули такого коммутатора выполняются на основе технологии «hot swap», то есть допускают замену на ходу, без выключения коммутатора, так как центральное коммуникационное устройство сети не должно иметь перерывов в работе. Шасси обычно снабжается резервированными источниками питания и резервированными вентиляторами в тех же целях. Примерами модульных коммутаторов D-Link могут служить DES-1200M, DES-3200, DES-6000, DES-6300, DES-7000.

С технической точки зрения определенный интерес представляют стековые коммутаторы. Эти устройства представляют собой коммутаторы, которые могут работать автономно, так как выполнены в отдельном корпусе, но имеют специальные интерфейсы, которые позволяют их объединять в общую систему, работающую как единый коммутатор. Говорят, что в этом случае отдельные коммутаторы образуют стек. Компания D-Link производит стековые  коммутаторы 2-го и 3-го уровня, примерами которых могут служить DES-3226S, DES-3326S, DGS-3312SR, DES-3624 и др. 

Существуют 2 подхода для объединения коммутаторов в стек.

Вариант 1. Соединение «цепочкой» – стек типа «кольцо»

В качестве примера рассмотрим коммутаторы DES-3326S. Один специальный интерфейс для стекирования подключается к вышележащему коммутатору, а второй - к нижележащему, при этом самый нижний и самый верхний коммутатор в стеке также объединяются. Коммутаторы объединяются с высокоскоростной шиной с производительностью 1 Гбит/с. Структура стека на коммутаторах DES-3326S коммутаторов, соединяемых по скоростным специальным портам, показана на рисунке.

 

Рисунок 1.2

 

Стек на коммутаторах DES-3326S

 

 

 

 

 

 

 


Рисунок 1.3

 

Стек коммутаторов, объединяемых по высокоскоростным каналам стандартным способом (в кольцо).

Вариант 2. Соединение «точка-точка» - стек типа «звезда». Получить такой стек можно, используя коммутаторы D-Link DGS-3212SR и/или DGS-3312SR в качестве агрегирующего устройства. Они позволяют объединить в стек до 8 устройств DES-3226S/3326S по топологии «звезда», получив до 192 портов 10/100 Мбит/с  Fast Ethernet и 12 портов Gigabit Ethernet, и управлять ими как единым сетевым узлом. В результате получается более производительное решение, по сравнению с предыдущим вариантом, поскольку каждое соединение точка-точка является полнодуплексным 2Гбит/с соединением.

 

 

Рисунок 1.4 - Стек типа «звезда» на коммутатора DGS-3212SR (в центре) и DES-3226S

 

1.9 Продукты компании D-Link

 

Коммутаторы уровня доступа. Уровень доступа является ближайшим к пользователю уровнем и предоставляет ему доступ к ресурсам сети. Размещенные на этом уровне коммутаторы должны поддерживать подключение отдельных компьютеров к объединенной сети. Коммутаторы уровня доступа D-Link представлены следующими моделями:

-      DES-1010G/1026G –неуправляемые коммутаторы, которые обеспечивают каналы связи скоростью 10/100Мбит/с и возможность подключения до 26 пользователей для сетей малых и средних офисов;

-      DGS-1005D/08D/16T/24T – неуправляемые коммутаторы, которые обеспечивают гигабитные каналы связи для высокоскоростного подключения серверов и рабочих станций;

-      DES-12xxR и DGS-12xxT – настраиваемые коммутаторы, которые обеспечивают коммутируемые каналы 10/100 Мбит/с и  10/100/1000Мбит/с  и поддерживающие до 24 пользователей и 2 порта Gigabit Ethernet для серверов;

-      DES-3226/3226L/3226S/DHS-3226 – управляемые коммутаторы, предоставляющие возможность подключения до 144 пользователей с помощью 10/100 Мбит/с каналов связи и 6 серверов через порты Gigabit Ethernet.

Коммутаторы уровня распределения. Коммутаторы уровня распределения служат местом концентрации для нескольких коммутаторов уровня доступа и должны справляться с большими объемами передаваемых данных. Такие возможности имеют следующие коммутаторы D-Link, DES-3226S/3326S, DES-3250TG, DES-3350SR, DGS-3224SR, DGS-3324SRi, многофункциональные, управляемые коммутаторы поддерживают до 192 портов 10/100Мбит/с, до  288 портов 10/100/1000Мбит/с и до 12 портов Gigabit Ethernet.

DES-6000/6300, коммутаторы этой серии поддерживают до 128 портов 10/100 Мбит/с, до 96 оптических портов 100Base-FX, до 16 портов Gigabit Ethernet. Коммутаторы этой серии являются эффективным решением для уровня распределения. Они поддерживают большое количество интерфейсов для разных сред передачи и разных скоростей, имеют возможности резервирования и обладают функциональностью, необходимой этому уровню (фильтрация, маршрутизация, управление доступом).

Коммутаторы уровня ядра. Уровень ядра имеет высокую производительность. К коммутаторам этого уровня можно отнести следующие модели:

-  DES-6000/6300 – модульные высокопроизводительные коммутаторы, предназначенные для работы в сетях операторов связи;

-  DES-7000 –EoVDSL – коммутатор, предназначенный для сетей крупных операторов связи, предоставляющий высокопроизводительную коммутацию и высокий уровень доступности.

 

1.10 Дополнительные функции коммутаторов

 

Так как коммутатор представляет собой довольно сложное вычислительное устройство, имеющее несколько процессорных модулей, то помимо выполнения основной функции передачи кадров с порта на порт по алгоритму моста, вполне логично включить в него дополнительные функции, полезные при построении современных, расширяемых, надежных и гибких сетей. Большинство современных коммутаторов, независимо от производителя, поддерживают несколько дополнительных возможностей, отвечающих общепринятым стандартам. Среди них самые распространенные и наиболее используемые на сегодня это:

-  технологии Виртуальных Сетей – VLAN;

-  поддержка протокола Spanning Tree;

-  объединение портов – Trunking;

-  поддержка SNMP – управления;

-  управление потоком и др.

В настоящее время одной из самых важных характеристик любой компьютерной сети помимо производительности является надежность каналов связи - в связи с развитием электронного бизнеса и повышения роли компьютерной связи при ведении практически уже любого рода коммерческой деятельности, простой сети может стать причиной колоссальных убытков компании. Поэтому следует обратить особое внимание на те функции сетевого оборудования, которые позволяют обеспечивать отказоустойчивость сети, ее надежность и защищенность от несанкционированного доступа.

Глава 2 Технология VLAN

 

2.1 Технология VLAN

 

Virtual Local Area Network (VLAN) или Виртуальные Локальные Сети – технология, которая коренным образом изменила и преобразила жизнь многих коммутаторов. Всем коммутируемым сетям присуще одно ограничение. Поскольку коммутатор не имеет дел с протоколами сетевого уровня, он не может знать, куда направлять широковещательные пакеты. Хотя трафик с конкретными адресами (соединения "точка-точка") изолирован парой портов, широковещательные пакеты передаются во всю сеть (на каждый порт). Широковещательные пакеты – это пакеты, передаваемые на все узлы сети. Они необходимы для работы многих сетевых протоколов таких как, ARP, BOOTP или DHCP, с их помощью рабочая станция оповещает другие компьютеры о своем появлении в сети, так же широковещательные пакеты могут возникать из-за некорректно работающего сетевого адаптера. Широковещательные пакеты могут привести к насыщению полосы пропускания и росту числа коллизий, особенно в крупных сетях. Для того чтобы этого не происходило, важно ограничить область распространения широковещательного трафика - организовать небольшие широковещательные домены или виртуальные ЛВС (Virtual LAN, VLAN).

Виртуальной сетью называется логическая группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети. Это означает, что передача кадров между разными виртуальными сетями на основании MAC-адреса невозможна, независимо от типа адреса - уникального, группового или широковещательного. В то же время внутри виртуальной сети кадры передаются по технологии коммутации, то есть только на тот порт, который связан с адресом назначения кадра. Таким образом, с помощью виртуальных сетей решается проблема распространения широковещательных пакетов и вызываемых ими следствий, которые могут развиться в широковещательные штормы и существенно снизить производительность сети.

Итак, VLAN обладают следующими преимуществами:

-  Гибкость внедрения. VLAN являются эффективным способом группировки сетевых пользователей в виртуальные рабочие группы, несмотря на их физическое размещение в сети.

-  VLAN обеспечивают возможность контроля широковещательных сообщений, что увеличивает полосу пропускания, доступную для пользователя.

-  VLAN усиливают безопасность сети, определяя сетевые узлы, которые могут взаимодействовать друг с другом.

 

2.2 Типы VLAN

 

В коммутаторах могут использоваться три типа VLAN и широковещательных доменов:

  VLAN на базе портов;

  широковещательные домены на базе MAC-адресов;

  VLAN на основе меток в дополнительном поле кадра – стандарт IEEE 802.1Q.

VLAN на базе портов. При использовании VLAN на базе портов, каждый порт назначается в определенную VLAN, независимо от того, какой пользователь или компьютер подключен к этому порту. Это означает, что все пользователи, подключенные к этому порту, будут членами одной VLAN. Конфигурация портов статическая и может быть изменена только вручную. Основные характеристики:

1.    Применяются в основном в пределах одного коммутатора. Если необходимо организовать несколько рабочих групп в пределах небольшой сети на основе одного коммутатора, например, необходимо разнести технический отдел и отдел продаж, то решение VLAN на базе портов оптимально подходит для данной задачи.

2.    Простота настройки. Создание виртуальных сетей на основе группирования портов не требует от администратора большого объема ручной работы: достаточно каждому порту, находящемуся в одной VLAN,  присвоить один и тот же идентификатор VLAN (VLAN ID) .

3.    Возможность изменения логической топологии сети без физического перемещения станций – достаточно всего лишь изменить настройки порта, с одной VLAN (например, VLAN технического отдела) на другую (VLAN отдела продаж), и рабочая станция сразу же получает возможность совместно использовать ресурсы с членами в новой VLAN. Таким образом, VLAN обеспечивают гибкость при перемещениях, изменениях и наращивании сети.

4.    Каждый порт может входить только в один VLAN. Поэтому для объединения виртуальных подсетей как внутри одного коммутатора, так и между двумя коммутаторами нужно использовать уровень IP – один из портов каждого VLAN подключается к маршрутизатору, и на нем настраивается таблица маршрутизации для пересылки пакетов из одной подсети в другую.

Недостатком такого решения является то, что один порт каждого VLAN’а необходимо подключать к маршрутизатору, при этом порты и кабели используются очень расточительно, плюс затраты на маршрутизатор. Решить данную проблему можно двумя способами: во-первых, использовать коммутаторы, которые на основе фирменного решения позволяют включать порт в несколько VLAN. Второе решение заключается в использовании коммутаторов 3-го уровня.

 

2.3 VLAN на базе MAC-адресов

 

Второй способ, который используется для образования виртуальных сетей, основан на группировании МАС-адресов. При существовании в сети большого количества узлов этот способ требует выполнения большого количества ручных операций от администратора. Однако он оказывается более гибким при построении виртуальных сетей на основе нескольких коммутаторов, чем способ группирования портов. Группирование МАС-адресов в сеть на каждом коммутаторе избавляет от необходимости их связи несколькими портами, однако, требует выполнения большого количества ручных операций по маркировке МАС-адресов на каждом коммутаторе сети.

Рисунок 2.1

 

Широковещательные домены на базе MAC-адресов позволяют физически перемещать станцию, позволяя оставаться ей в одном и том же широковещательном домене без каких-либо изменений в настройках конфигурации

Настройка виртуальной сети на основе MAC-адресов может отнять много времени - представьте себе, что вам потребуется связать с VLAN адреса 1000 устройств. Кроме того, MAC-адреса "наглухо зашиты" в оборудование, и может потребоваться много времени на выяснение адресов устройств в большой, территориально распределенной сети.

 

2.4 VLAN на базе меток – стандарт 802.1Q

 

Описанные два подхода основаны только на добавлении дополнительной информации к адресным таблицам моста и не используют возможности встраивания информации о принадлежности кадра к виртуальной сети в передаваемый кадр. Метод организации VLAN на основе меток, тэгов, использует дополнительные поля кадра для сохранения информации о принадлежности кадра при его перемещениях между коммутаторами сети.

Рисунок 2.2

 

Стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети.

К кадру Ethernet добавлены два байта. Эти 16 бит содержат информацию по принадлежности кадра Ethernet к VLAN и о его приоритете. Тремя битами кодируется до восьми уровней приоритета, 12 бит позволяют различать трафик до 4096 VLAN, а один бит зарезервирован для обозначения кадров сетей других типов (Token Ring, FDDI), передаваемых по магистрали Ethernet.

С точки зрения удобства и гибкости настроек, VLAN на основе меток является лучшим решением. Преимущества VLAN:

1.    Гибкость и удобство в настройке и изменении можно создавать необходимые комбинации VLAN как в пределах одного коммутатора, так и во всей сети, построенной на коммутаторах с поддержкой стандарта 802.1Q. Способность добавления меток позволяет VLAN распространяться через множество 802.1Q-совместимых коммутаторов по одному физическому соединению.

2.     Позволяет активизировать алгоритм покрывающего дерева (Spanning Tree) на всех портах и работать в обычном режиме. Протокол Spanning Tree оказывается весьма полезным для применения в крупных сетях, построенных на нескольких коммутаторах, и позволяет коммутаторам автоматически определять древовидную конфигурацию связей в сети при произвольном соединении портов между собой. Для нормальной работы коммутатора требуется отсутствие замкнутых маршрутов в сети. Эти маршруты могут создаваться администратором специально для образования резервных связей или же возникать случайным образом, что вполне возможно, если сеть имеет многочисленные связи, а кабельная система плохо структурирована или документирована. С помощью протокола Spanning Tree коммутаторы после построения схемы сети блокируют избыточные маршруты, т.о., автоматически предотвращается возникновение петель в сети.

3.    Способность VLAN 802.1Q добавлять и извлекать метки из заголовков пакетов позволяет VLAN работать с коммутаторами и сетевыми адаптерами серверов и рабочих станций, которые не распознают метки. (Единственной оговоркой здесь может служить то, что устройство должно уметь работать с максимальным размером кадра Ethernet 1522 байт).

4.    Устройства разных производителей, поддерживающие стандарт могут работать вместе, т.е. не зависимо от какого-либо фирменного решения.

5.    Не нужно применять маршрутизаторы, чтобы связать подсети на сетевом уровне, достаточно включить нужные порты в несколько VLAN для возможности обмена трафиком. Например, для обеспечения доступа к серверу из различных VLAN нужно включить порт коммутатора, к которому подключен сервер во все подсети и создать еще одну VLAN, в которую будут входить все порты, с которых необходимо обращаться к серверу.

В силу указанных свойств, VLAN на базе тэгов используются на практике гораздо чаще остальных типов, поэтому остановимся подробно на принципах работы такой схемы и вариантов, которые можно с ее помощью организовать.

Существуют два основных понятия для понимания IEEE 802.1Q VLAN:

1.    VLAN-идентификатор порта - VLAN ID (PVID).

2.    Номер VLAN ID (VID).

Оба этих значения присваиваются порту коммутатора, но между ними есть важные отличия. PVID определят, в какой VLAN коммутатор направит пакет с подключенного к порту сегмента, когда пакет нужно передать на другой порт коммутатора или в другую часть сети. С другой стороны, пользователь может определить порт, как входящий в несколько VLAN, позволяя сегменту, подключенному  к данному порту, принимать пакеты от нескольких VLAN в сети. Таким образом, эти два параметра контролируют способность порта принимать и передавать VLAN-трафик, и различия между ними обеспечивают сегментацию сети с одновременным сохранением возможности получать доступ к общим сетевым ресурсам из различных VLAN..

Для примера рассмотрим ситуацию: Порт 1 входит в VLAN 1 и имеет PVID=1. Если пакет нужно передать на другой порт, например, Порт 3 (найденный обычным способом в таблице коммутатора), то коммутатор, прежде чем передать пакет смотрит, входит ли Порт 3 в VLAN 1 и может ли соответственно получать пакеты, предназначенные для этого VLAN. Если Порт 3 не является членом VLAN 1, то пакет отбрасывается коммутатором и соответственно не будет передан получателю. Если Порт 3 входит в VLAN 1, то пакет будет передан. Таким образом, Порт 1 может передавать и принимать пакеты для VLAN 1, т.к. его PVID=1. Порт 3, у которого PVID может быть другим, может принимать пакеты из VLAN 1, т.к. входит в этот VLAN, но он не может передавать пакеты в VLAN 1, пока  его PVID не будет установлен в 1.

VLAN’ы могут работать между несколькими коммутаторами в вашей сети. Следует учитывать два момента: во-первых, поддерживает ли коммутатор стандарт IEEE 802.1Q и должны ли быть VLAN-пакеты маркированы – tagged или размаркированы – untagged.

Вот определения некоторых терминов, необходимых для понимания работы VLAN в сети:

1.    Tagging (Маркировка пакета) процесс добавления информации о принадлежности к 802.1Q VLAN в заголовок кадра. Порты, на которых включена маркировка пакетов, могут добавлять в заголовки всех передаваемых пакетов номер VID, информацию о приоритете и пр. Если пакет приходит на порт уже маркированным, то данный пакет не изменяется, таким образом, при пересылке сохраняется вся информация о VLAN. Маркировка пакетов в основном применяется для пересылки пакетов между устройствами, поддерживающими стандарт 802.1Q VLAN.

2.     Untagging – процесс извлечения информации 802.1Q VLAN из заголовка пакета. Порты, на которых включена данная функция, извлекают все информацию, касающуюся VLAN из заголовков как входящих, так и исходящих пакетов, проходящих через данный порт. Если же пакет не содержит тэг VLANa, то порт не изменяет такой пакет. Данная функция коммутатора применяется при передаче пакетов от коммутаторов, поддерживающих стандарт 802.1Q на устройствах, не поддерживающих этот стандарт.

Рисунок 2.3

 

3.    Для согласования работы устройств, поддерживающих формат кадра 802.1 Q, с теми устройствами, которые не понимают этот формат, разработчики стандарта предложили делить весь трафик в сети на несколько типов.

4.    Трафик входного порта (Ingress Port). Каждый кадр, достигающий коммутируемой сети и идущий либо от маршрутизатора, либо от рабочей станции, имеет определенный порт-источник. На основании его номера коммутатор должен "принять решение" о приеме (или отбрасывании) кадра и передаче его в ту или иную VLAN. Коммутатор проверяет пакет на наличие информации VLAN и на ее основании принимает решение о пересылке пакета.

Если пакет содержит информацию о VLAN, входной порт сначала определяет, является ли он сам членом данного VLAN. Если нет, то пакет отбрасывается. Если да, то определяется, является ли порт назначения членом данного VLAN. Если оба порта являются членами одного VLAN’а, то пакет пересылается.

Если пакет не содержит в заголовке информацию VLAN, т.е. является немаркированным пакетом (untagged), то входящий порт добавляет в заголовок пакета метку в соответствии со своим PVID (если он является маркированным портом (tagged)). Затем определяется, принадлежат ли входной порт и порт назначения одному VLAN (имеют одинаковые VID). Если нет, пакет отбрасывается. Если да, то пакет передается.

Если же входящий порт является немаркированным портом, то перед пересылкой проверяется только, являются ли входной порт и порт назначения членами одной VLAN.

Этот процесс называется ingress filtering(входной фильтрацией) и используется для сохранения пропускной способности внутри коммутатора.

Трафик выходного порта (Egress Port). Чтобы попасть в межсетевой маршрутизатор или в оконечную рабочую станцию, кадр должен выйти за пределы коммутатора сети. Коммутатор "решает", какому порту (или портам) нужно передать пакет и есть ли необходимость удалять из него служебную информацию, предусмотренную стандартом 802.1Q.

Дело в том, что традиционные рабочие станции невсегда воспринимают информацию о VLAN по стандарту 802.1Q, но сервер, обслуживающий несколько подсетей с помощью единственного интерфейса, должен ее активно использовать. Если выходной порт подключен к коммутатору, поддерживающему стандарт 802.1Q, то следует включить маркировку пакетов на данном порту, чтобы другой коммутатор мог получать информацию о VLAN и на ее основе принимать решения о передаче пакета. Если выходной порт подключен к устройству, не поддерживающему стандарт 802.1Q, то тэги должны извлекаться из заголовка пакета и теперь уже обычный пакет Ethernet может быть принят конечным устройством.

Поддержка VLAN между 802.1Q-совместимыми коммутаторами

Если имеется несколько коммутаторов, поддерживающих 802.1Q, и необходимо настроить между ними VLAN, то в таком случае можно использовать маркировку пакетов. Маркировка пакетов добавляет информацию о 802.1Q VLAN в заголовок каждого пакета, позволяя другому коммутатору, поддерживающему 802.1Q, передавать пакет по назначению. Таким образом, можно использовать возможности стандарта 802.1Q и строить сеть на нескольких коммутаторах с поддержкой тэгов, информации о приоритете пакета и др.

Объединение виртуальных сетей в общую сеть выполняется на сетевом уровне, переход на который возможен с помощью отдельного маршрутизатора или программного обеспечения коммутатора. Последний в этом случае становится комбинированным устройством — так называемым коммутатором третьего уровня.

 

2.5 Протокол GVRP

 

Рассмотрим такую ситуацию: у вас есть два сегмента сети с рабочими станциями, которые находятся в одном (или нескольких) VLAN. Между этими коммутаторами с VLAN находятся ещё несколько коммутаторов, которые являются связующим звеном, но не поддерживают ваши VLAN. Для того чтобы трафик между VLAN проходил через корпоративную сеть, необходимо понастроить все коммутаторы на пути этого трафика, то есть создать на каждом из транзитных коммутаторов такой же VLAN и включить в списки портов для этого VLAN, два или более порта, которые связывают коммутаторы между собой. В случае, если компания имеет развитую сетевую структуру с большим количеством работников, бизнес-ролей и сетевых ресурсов для использования этими работниками, да ещё и с соблюдением определённых норм отказоустойчивости через избыточность устройств и каналов связи в топологии и распределение общих ресурсов на несколько серверов в разных уголках топологии. Постоянное переконфигурирование большого количества коммутаторов может привести к затрате огромного количества рабочих ресурсов и поставить под угрозу стабильность работы сети.

 

Рисунок 2.4

 

Другая и ещё более сложная ситуация, которая показана на рисунке, это когда ваши сегменты сети соединяются силами другой компании или другого отдела и Вы не несёте никакой ответственности за работу промежуточных устройств и не знаете о топологии сети провайдера. Тогда подстройка промежуточной сети под требования вашего отдела или компании, это вопросы предоставления дополнительных услуг, новые договорённости, процедура согласования требований и возможностей и т.д. Понятно, что подобная ситуация никоем образом не отразится на скорости внедрения VLAN и при большом количестве изменений могут возникать постоянные задержки, неувязки, неточности и проблемы в работе. При возникновении инцидентов, будет проблематично вести совместный поиск и устранение неисправностей: как показывает опыт, большее количество времени идёт на согласование, кто виноват и кто должен устранять поломку, нежели на её устранение.

Решением всех этих проблем может частично стать внедрение протокола общей регистрации VLAN Generic VLAN Registration Protocol. Основная задача протокола – автоматическое анонсирование VLAN и подстройка коммутаторов для проведения через них трафика различных Виртуальных Локальных Сетей, которые не настроены на этих коммутаторах. Что даёт этот протокол в сетях, построенных на коммутаторах компании D-Link:

  распространённые идентификаторы VLAN по сети и анонсирование их для других коммутаторов. Таким образом, коммутаторы узнают о существовании новых VLAN и автоматически подстраивают свою конфигурацию для прохождения трафика;

  возможность назначать портам коммутатора PVID вручную, необходимо для точного определения номера тега, который будет присвоен фрейму, пришедшему без тега на тегированный порт коммутатора;

  возможность подключать сервера и другие общие ресурсы к нескольким VLAN;

  возможность создавать ассиметричные VLAN.

Последние три пункта очень тесно взаимосвязаны и подкрепляют частную технологию компании D-Link - ассиметричные VLAN. С использованием этой технологии становиться возможным ассоциировать один нетегированный порт к нескольким VLAN.

 

2.6 Ассиметричные VLAN

 

Ассиметричные VLAN являются достаточно удобным и простым выходом для создания сетей, в которых есть необходимость в использовании общих ресурсов группами устройств, которые не общаются между собой. Ассиметричные VLAN:

-  разработка компании D-Link, которая не поддерживается на устройствах других производителей, а значит, влечёт за собой использование только коммутаторов компании D-Link;

-  позволяют включать в несколько VLAN нетегированные порты;

-  используются для предоставления доступа из нескольких VLAN к общему ресурсу без применения маршрутизации или покупки специального оборудования.

Необходимо дать доступ к серверам, компьютерам из обоих VLAN, но при этом общения между компьютерами быть не должно. При использовании обычных VLAN возникала бы проблема зачисления портов серверов, которые в данном примере нетегированны в оба VLAN, что не позволяется самой технологией. Для решения можно было бы приобрести дополнительные сетевые серверные карты, которые понимали бы сетевой тегированный трафик и сами могли вставлять во фреймы теги перед отправкой в сеть. Заметим, что во все три VLAN включены нетегированные порты 9 – 16. Теперь давайте разберёмся, как это работает. Допустим, одна из станций решила отправить фрейм на сервер, тогда:

1.  Фрейм приходит, допустим, на порт № 24.

2.  Коммутатор проверяет наличие тега во фрейме: тега нет.

3.  Коммутатор проверяет таблицу коммутации и смотрит, на какой порт адресован этот фрейм.

4.  Допустим, что сервер подключён к порту №15.

5.  Коммутатор проверяет, а входит ли порт №15 в VLAN, к которому относится порт №24, с которого надо переслать фрейм. В конфигурацию мы включали порты общих ресурсов во все возможные VLAN, значит, порт входит.

6.  Пересылает фрейм на нужный порт (№15).

7.  Проверяем, порт не тегирован, значит, никаких тегов не добавляем, а просто отправляем фрейм.

Итак, от станции к серверу фрейм дошёл, теперь разберём, как сервер будет отвечать.

 

 

Рисунок 2.5

1.  От сервера пришёл фрейм на порт №15.

2.  Смотрим, какой у порта 15 Port VLAN ID, PVID=3, значит, все фреймы, которые приходят от сервера являются частью VLAN 3.

3.  Смотрим по таблице коммутации, на какой порт необходимо переслать фрейм для выхода к указанному сервером МАС адресу рабочей станции.

4.  Это порт №24, с которого пришёл предыдущий фрейм.

5.  Проверка, принадлежит ли порт 24 к VLAN 3. В конфигурации мы указали, что в VLAN 3 входят абсолютно все порты, соответственно – входит.

6.  Пересылаем фрейм на порт 24.

7.  Проверяем, порт 24 тегирован? Нет. Значит, не надо добавлять никаких тегов.

8.  Отправляем фрейм к рабочей станции.

Всё, что необходимо для создания ассиметричных VLAN, это просто включить режим асимметрии в настройках коммутатора, после чего он позволит ассоциировать один и тот же нетегированный порт к нескольким VLAN.

Глава 3 Протокол связующего дерева

 

Второй метод, использующийся для повышения отказоустойчивости компьютерной сети, - это Spanning Tree Protocol. Разработанный достаточно давно, в 1983 г., он до сих пор остается актуальным. В сетях Ethernet, коммутаторы поддерживают только древовидные связи, т.е. которые не содержат петель. Это означает, что для организации альтернативных каналов требуются особые протоколы и технологии, выходящие за рамки базовых, к которым относится Ethernet.

Алгоритм Spanning Tree (STA) позволяет коммутаторам автоматически определять древовидную конфигурацию связей в сети при произвольном соединения портов между собой.

Коммутаторы, поддерживающие протокол STP, автоматически создают древовидную конфигурацию связей без петель в компьютерной сети. Такая конфигурация называется покрывающим деревом - Spanning Tree (иногда ее называют остовым деревом). Конфигурация покрывающего дерева строится коммутаторами автоматически с использованием обмена служебными пакетами

 

3.1 Алгоритм работы протокола STP

 

Алгоритм STA требует, чтобы каждому мосту был присвоен идентификатор. Идентификатор моста– 8-байтное поле, которое состоит из двух частей: 2-байтного приоритета, назначенного администратором, и 6 байтного МАС-адреса его блока управления. Каждому порту также назначается уникальный идентификатор в пределах моста, как правило, это его МАС-адрес. Каждому порту моста ставится в соответствие стоимость маршрута, соответствующая затратам на передачу кадра по локальной сети через данный порт.

Процесс вычисления связующего дерева начинается с выбора корневого моста (root switch), от которого будет строиться дерево. В качестве корневого моста выбирается коммутатор с наименьшим значением идентификатора. Иногда такой выбор может оказаться далеко не рациональным. Для того чтобы в качестве корневого моста было выбрано определенное устройство (исходя из структуры сети), администратор может повлиять на процесс выборов, присвоив соответствующему коммутатору  наименьший идентификатор вручную.

Второй этап работы  STP – выбор корневого порта (root port) для каждого из остальных коммутаторов сети.

Корневой порт коммутатора – это порт, который имеет по сети кратчайшее расстояние до корневого коммутатора.

Третий шаг работы STP – определение назначенных портов.

Каждый сегмент в коммутируемой сети имеет один назначенный порт (designated port). Этот порт функционирует как единственный порт моста, т.е. принимает пакеты от сегмента и передает их в направлении корневого моста через корневой порт данного коммутатора. Коммутатор, содержащий назначенный порт для данного сегмента называется назначенным мостом (designated bridge) этого сегмента.  Назначенный порт сегмента имеет наименьшее расстояние до корневого моста, среди всех портов, подключенных к данному сегменту. Назначенный порт у сегмента может быть только один. У корневого моста все порты являются назначенными, а их расстояние до корня полагается равным нулю. Корневого порта у корневого моста нет.

При построении покрывающего дерева важную роль играет понятие расстояния. По этому критерию выбирается единственный порт, соединяющий каждый коммутатор с корневым коммутатором, и единственный порт, соединяющий каждый сегмент сети с корневым коммутатором. Все остальные порты переводятся в резервное состояние, то есть такое, при котором они не передают обычные кадры данных. При таком выборе активных портов в сети исключаются петли, и оставшиеся связи образуют покрывающее дерево.

В качестве расстояния в STA используется метрика стоимость пути  (Path Cost) – она определяется как суммарное условное время на передачу данных от порта данного коммутатора до порта корневого коммутатора Условное время сегмента рассчитывается как время передачи одного бита информации и измеряется в 10-наносекундных единицах. Так, для сегмента Ethernet на 10 Мбит/с условное время равно 10 условным единицам.

Вычисление связующего дерева происходит при включении коммутатора и при изменении топологии. Эти вычисления требуют периодического обмена информацией между коммутаторами связующего дерева, что достигается при помощи специальных пакетов, называемых блоками данных протокола моста - BPDU (Bridge Protocol Data Unit).

Пакеты BPDU содержат основную информацию, необходимую для построения топологии сети без петель:

-      идентификатор коммутатора, на основании которого выбирается корневой коммутатор;

-      расстояние от коммутатора-источника до корневого коммутатора (стоимость корневого маршрута);

-      идентификатор порта.

Пакеты BPDU помещаются в поле данных кадров канального уровня, например, кадров Ethernet.

Коммутаторы обмениваются BPDU через равные интервалы времени (обычно 1-4с). В случае отказа моста (что приводит к изменению топологии) соседние коммутаторы, не получив BPDU, начинают пересчет связующего дерева.

Пакет BPDU имеет следующие поля:

-  идентификатор версии протокола STA - 2 байта. Коммутаторы должны поддерживать одну и ту же версию протокола STA, иначе может установиться активная конфигурация с петлями;

-  тип BPDU - 1 байт. Существует два типа BPDU - конфигурационный BPDU, то есть заявка на возможность стать корневым коммутатором, на основании которой происходит определение активной конфигурации, и BPDU уведомления о реконфигурации, которое посылается коммутатором, обнаружившим событие, требующее проведения реконфигурации - отказ линии связи, отказ порта, изменение приоритетов коммутатора или портов;

-  флаги - 1 байт. Один бит содержит флаг изменения конфигурации, второй бит - флаг подтверждения изменения конфигурации;

-  идентификатор корневого коммутатора - 8 байтов;

-  расстояние до корня - 2 байта;

-  идентификатор коммутатора - 8 байтов;

-  идентификатор порта - 2 байта;

-  время жизни сообщения - 2 байта. Измеряется в единицах по 0.5 с, служит для выявления устаревших сообщений. Когда пакет BPDU проходит через коммутатор, тот добавляет ко времени жизни пакета время его задержки данным коммутатором;

-  максимальное время жизни сообщения - 2 байта. Если пакет BPDU имеет время жизни, превышающее максимальное, то он игнорируется коммутаторами;

-  интервал hello (время приветствия), через который посылаются пакеты BPDU;

-  задержка смены состояний - 2 байта. Минимальное время перехода портов коммутатора в активное состояние. Такая задержка необходима, чтобы исключить возможность временного возникновения альтернативных маршрутов при неодновременной смене состояний портов во время реконфигурации.

У пакета BPDU уведомления о реконфигурации отсутствуют все поля, кроме двух первых.

 

3.2 Пример работы STP

 

Для примера рассмотрены 3 коммутатора, подключенные с образованием петли. Т.о., в сети могут возникнуть проблемы с зацикливанием пакетов. Например, пусть какой-либо компьютер в сети LAN1 посылает широковещательный пакет. В соответствии с логикой работы коммутаторов, коммутатор А передаст этот пакет во все подключенные к нему сегменты, за исключением того, из которого он пришел. Коммутатор B получит этот пакет и передаст его коммутатору С. Коммутатор С также получит широковещательный пакет от коммутатора А и передаст его коммутатору В. Тот в свою очередь вернет его коммутатору A и так далее. Т.е., пакеты могут ходить по сети бесконечно долго, что может привести к нарушению работоспособности сети. В этом примере с помощью STP блокируется соединение между коммутаторами С и B.

Рисунок 3.1

 

Итак, после включения питания и загрузки каждый коммутатор начинает считать себя корневым. Когда он генерирует BPDU (через интервал hello), он помещает свой идентификатор в поле «идентификатор корневого коммутатора»,  расстояние до корня устанавливается в 0, а в качестве идентификатора порта указывается идентификатор того порта, через который будет передаваться BPDU.

Как только коммутатор получает BPDU, в котором имеется идентификатор корневого коммутатора меньше его собственного, он перестает генерировать свои собственные кадры BPDU и начинает ретранслировать только кадры нового претендента на звание корневого коммутатора. При ретрансляции кадров он наращивает расстояние до корня, указанное в пришедшем BPDU, на условное время сегмента, через который принят данный кадр.

При ретрансляции кадров каждый коммутатор для каждого своего порта запоминает минимальное расстояние до корня. При завершении процедуры установления конфигурации покрывающего дерева, каждый коммутатор находит свой корневой порт - это порт, который ближе других портов находится по отношению к корню дерева.

Когда коммутатор A (корневой мост) посылает BPDUs, они содержат стоимость пути к корневому мосту, равную 0. Когда коммутатор B получает эти BPDU, он добавляет стоимость пути Port 1 (4) к стоимости, указанной в полученном BPDU (0).  Коммутатор B затем использует значение 4 и посылает BPDUs со стоимостью пути к корню, равной 4 через Port 3 и Port 2.

Когда коммутатор C получает BPDU от коммутатора B, он увеличивает стоимость пути к корню до 23 (4 + 19). Однако  коммутатор C также получает BPDU от корневого коммутатора А через Port 1. Стоимость пути к корню в этом BPDU равна 0 и коммутатор C увеличивает ее стоимость до 4 (стоимость его Port 1 равна 4). Теперь коммутатор C должен выбрать единственный корневой порт. Коммутатор C выбирает Port 1 в качестве корневого, поскольку его стоимость пути к корню меньше.  После этого коммутатор C начинает объявлять стоимость пути до корня, равную 4 нижележащим коммутаторам. Выборы корневого порта коммутатора В происходят аналогично.

 

Рисунок 3.2

 

Кроме этого, коммутаторы выбирают для каждого сегмента сети назначенный порт. Для этого они исключают из рассмотрения свой корневой порт, а для всех своих оставшихся портов сравнивают принятые по ним минимальные расстояния до корня с расстоянием до корня своего корневого порта. Если у своего порта это расстояние меньше принятых, то это значит, что он является назначенным портом. Все порты, кроме назначенных, переводятся в заблокированное состояние, и на этом построение покрывающего дерева заканчивается.

Когда имеется несколько портов с одинаковым кратчайшим расстоянием до корневого коммутатора, выбирается порт с наименьшим идентификатором.

На коммутаторе В назначенным портом становится Port 2. Он имеет наименьшую стоимость пути к корню (19) по сравнению с Port 3 (23). Port 3 на коммутаторе В блокируется. На коммутаторе С назначенным портом становится Port 3 (стоимость пути равна 19), Port 2 –блокируется.

 

3.3 Состояния работы портов

 

STP предусматривает пять различных режимов работы портов коммутаторов:

-  Blocking - При инициализации коммутатора все порты (за исключением отключенных) автоматически переводятся в состояние «Заблокирован». В этом случае порт генерирует, принимает, обрабатывает и ретранслирует только пакеты BPDU. Все остальные пакеты не передаются.

-  Listening – В начальный момент работы алгоритма STA порты коммутатора переходят в состояние «Прослушивание». В этот момент пакеты BPDU от других коммутаторов еще не получены и коммутатор считает себя корневым, а все свои порты – назначенными. В том режиме порт может находится до истечения таймера смены состояний (Forwarding Timer). Интервал, выдерживаемый с помощью таймера может изменяться от 4 до 30 с. и нужен он для получения BPDU от всех коммутаторов сети. В этом режиме порт продолжает генерировать, принимать, обрабатывать и ретранслировать BPDU. Если в течение этого времени порт получит BPDU с лучшими параметрами, чем собственные (расстояние, идентификатор коммутатора или порта), то он перейдет в состояние «Заблокирован». В противном случае порт переводится в состояние «Обучение».

-  Learning – Обучение – порт начинает принимать пакеты и на основе адресов источника строить таблицу коммутации. Порт в этом состоянии все еще не продвигает пакеты. Порт продолжает участвовать в работе алгоритма STA, и при поступлении BPDU с лучшими параметрами переходит в состояние Blocking «Заблокирован».

-  Forwarding – Продвижение - только после двукратной выдержки по таймеру порт переходит в состояние Продвижение и обрабатывает пакеты данных в соответствии с построенной таблицей

-  Disable – Отключен – в это состояние порт переводит администратор. Отключенный порт не участвует ни в работе протокола STP, ни в продвижении пакетов данных. Порт можно также вручную включить и он сначала перейдет в состояние Blocking.

В процессе нормальной работы корневой коммутатор продолжает генерировать служебные пакеты BPDU, а остальные коммутаторы продолжают их принимать своими корневыми портами и ретранслировать назначенными. Если по истечении максимального времени жизни сообщения (по умолчанию — 20 с) корневой порт любого коммутатора сети не получит служебный пакет BPDU, то он инициализирует новую процедуру построения покрывающего дерева. При этом на все порты генерируется и передается BPDU, в котором коммутатор указывает себя в качестве корневого.

Коммутаторы D-Link также поддерживают протокол Rapid STP (IEEE 802.1w), который обладает лучшим временем сходимости по сравнению с STP (меньше 1 секунды). 802.1w обратно совместим с  802.1d.

 

3.4 Rapid Spanning Tree Protocol (IEEE 802.1w)

 

Программное обеспечение управляемых коммутаторов D-Link поддерживает две версии протокола Spanning Tree Protocol, Rapid Spanning Tree Protocol (RSTP), как определено в спецификации IEEE 802.1w и версию, совместимую с IEEE 802.1d STP. RSTP может работать с оборудованием, поддерживающим STP, однако все преимущества от его использования будут потеряны.

Протокол IEEE 802.1w Rapid Spanning Tree Protocol (RSTP) является развитием стандарта 802.1d STP. Он был разработан для преодоления отдельных ограничений STP, которые мешали внедрению некоторых новых функций коммутаторов, например, функций 3-его уровня, всё больше и больше применяемых в коммутаторах Ethernet.

Существенным отличием протоколов STP 802.1d и RSTP 802.1w является способ перехода портов в состояние продвижения и то, каким образом этот переход влияет на роль порта в топологии. RSTP объединяет состояния Disabled, Blocking и Listening, используемые в STP и создает единственное состояние Discarding (Отбрасывание), при котором порт не активен.

Выбор активной топологии завершается присвоением протоколом RSTP определенной роли каждому порту. Роли корневой порт и назначенный порт включают порт в активную топологию. В RSTP существуют 2 роли – альтернативный порт (Alternate) и резервный порт (Backup), соответствующие состоянию «Заблокирован» в STP и исключающие порт из активной топологии. Альтернативный порт предлагает альтернативный основному пути путь в направлении корневого моста.

Резервный порт предназначен для резервирования пути, предоставляемого выделенным портом в направлении сегментов сети. Резервные порты существуют только в конфигурациях, где есть два или более соединения данного моста с данной сетью (сегментом сети).

Процесс вычисления связующего дерева у обоих протоколов одинаков. Однако при работе RSTP порт может перейти в состояние продвижения значительно быстрее – он больше не зависит от конфигурации таймеров. Порты больше не должны ждать стабилизации топологии, чтобы перейти в режим продвижения. Для того чтобы обеспечить быстрый переход в это состояние, протокол RSTP вводит две новые переменные: пограничный порт (edge port) и порт типа «точка-точка» (point-to-point , P2P).

Пограничным (Edge) портом объявляется порт, непосредственно подключенный к сегменту, в котором не могут быть созданы петли. Например, порт непосредственно подключен к рабочей станции. Порт, который определен как пограничный, мгновенно переходит в состояние продвижения, минуя состояния прослушивания и обучения. Пограничный порт теряет свой статус и становится обычным портом связующего дерева в том случае, если получит пакет BPDU.

P2P порт, обычно используемый для подключения к другим мостам, также способен быстро перейти в состояние продвижения. При работе RSTP все порты, функционирующие в полнодуплексном режиме, рассматриваются как порты Р2Р до тех пор, пока не будут переконфигурированы вручную.

Сравнение протоколов STP 802.1d и RSTP 802.1w

1. Время схождения:

-  STP 802.1d: 30 сек;

-  RSTP 802.1w: меньше 1 сек.

2.Диаметр сети:

-      STP 802.1d и 802.1w: 7 переходов, 14 для типа «кольцо»;

-      RSTP 802.1w обратно совместим с STP 802.1d.

Совместимость 802.1d/802.1w. Протокол RSTP способен взаимодействовать с оборудованием, поддерживающим STP и, если необходимо, может автоматически преобразовывать пакеты BPDU в формат 802.1d. Однако преимущество быстрой сходимости этого протокола (когда все коммутаторы переходят в состояние пересылки или блокировки и обладают тождественной информацией) теряется. Протокол также предоставляет возможность использования переменной для миграции в случае обновления программного обеспечения оборудования в сегменте сети для использования RSTP.

 

 

3.5 Протокол Multiple Spanning Tree, MSTP

 

MSTP расширяет стандарт IEEE 802.1w (RSTP) для поддержки нескольких копий STP. Это расширение обеспечивает как быструю сходимость сети, так и возможность баланса нагрузки в сети с настроенными VLAN. Стандарт 802.1s MSTP также вносит дополнения и в стандарт 802.1Q.

Протокол MSTP обратно совместим с протоколами 802.1D STP и 802.1w Rapid Spanning Tree Protocol (RSTP) и позволяет настраивать несколько независимых «деревьев» STP в разных VLAN – администратор может группировать и назначать VLAN на отдельные «связующие деревья» (spanning tree). Каждое такое «дерево» может иметь свою независимую от других «деревьев» топологию.

Подобная новая архитектура обеспечивает несколько разных вариантов для передачи данных и позволяет организовать баланс нагрузки. Это свойство улучшает отказоустойчивость сети к возможным сбоям, т.к. сбой соединений в отдельном «дереве» (маршруте передачи данных) не отразится на других «деревьях» и, соответственно, возможных маршрутах.

Также благодаря MSTP облегчается задача администрирования и управления крупными сетями: можно использовать резервные маршруты передачи данных путем настройки нескольких VLAN и настройкой независимых «деревьев» на поучившихся сегментах сети:

-       стандартизирован IEEE 802.1s.

-       MSTP позволяет использовать более одной копии STP в сети с 802.1q VLAN. Он позволяет одни VLAN связать с одной копией STP, а другие с другой, обеспечивая несколько связей между коммутаторами.

-       также MSTP предоставляет возможность распределения нагрузки.

-       каждая копия (покрывающее дерево) MSTP также использует протокол RSTP для более быстрой сходимости сети.

Регион MSTP это связанная группа коммутаторов с поддержкой MSTP с одинаковой конфигурацией MST. Преимущества MSTP могут быть использованы только внутри региона. В разных регионах используется только одна копия STP для всех VLAN.

Для того чтобы добиться одинаковой конфигурации MST, нужно задать следующие одинаковые параметры:

-       конфигурационное имя;

-       конфигурационный номер ревизии;

-       карту привязки VLAN к копиям STP.

Пример работы MSTP.

Сеть состоит из трех коммутаторов, соединенных между собой. В сети настроены два VLAN с VID 10 и 20. На коммутаторе 1 VLAN 10 и 20 настроены на разных портах таким образом, что трафик для обоих VLAN 10 и 20 передается по разным соединениям. На первый взгляд, такая конфигурация достаточно обычна и хорошо подходит для балансировки нагрузки при передаче трафика двух различных VLAN. Однако в сети настроен протокол STP.

Если коммутатор 3 будет выбран корневым коммутатором для STP, то соединение между коммутаторами 1 и 2 будет заблокировано. В этом случае трафик из VLAN 20 не сможет передаваться по сети. Эта проблема возникает потому, что коммутаторы рассматривают VLAN 10 и 20 как независимые сети, в то время как протокол STP рассматривает топологию сети как одну целую сеть. 802.1S решает поставленную задачу:

Если назначить VLAN 10 на копию MSTP под номером 1, а VLAN 20 сопоставить с копией 2. Т.о., получится две независимых топологии дерева STP. Коммутатор 3 становится корневым для копии MSTP номер 2 и блокирует прохождение трафика между коммутаторами 1 и 2. В отличие от протокола 802.1D STP, это соединение блокируется только для прохождения трафика из VLAN 10. Трафик из VLAN 20 будет передаваться по этому соединению.

Аналогичным образом копия MSTP под номером 2 выберет коммутатор 2 в качестве корневого и заблокирует соединение между коммутаторами 1 и 3 для трафика из VLAN 20.

Рисунок 3.3

 

Таким образом, достигается требуемая работа сети: осуществляется баланс нагрузки при передаче трафика нескольких VLAN по разным соединениям и в то же время в сети отсутствуют логические «петли».

 

Рисунок 3.4

Порядок настройки MSTP:

-      включить STP на каждом устройстве;

-      изменить версию STP на MSTP. (По умолчанию RSTP);

-      задать имя региона MSTP и ревизию;

-      создать копию и проассоциировать VLAN;

-      сконфигурировать приоритет STP так, чтобы явно задать корневой коммутатор. По умолчанию это 32768. Чем меньше номер, тем больше приоритет. По умолчанию чем меньше значение MAC, тем больше вероятность стать корневым коммутатором;

-      задать приоритеты на портах так, чтобы задать порт в VLAN, который будет заблокирован;

-      задать пограничный порт.

 

 

 

 

 

Глава 4. Агрегирование каналов

 

4.1 Проблема пропускной способности

 

Во все  поколения развития сетей существовала проблема, с которой практически невозможно справиться. Эта проблема не решена до сих пор и вряд ли будут вообще решена, проблема, касающаяся вечной гонки потребностей и возможностей, новых сервисов и технологий для их предоставления.

Слишком большие потоки информации необходимо каким-либо образом пропустить через достаточно узкий канал связи.

Образование в сети узких мест (bottlenecks) ведёт к:

-  постоянным перегрузкам оборудования, так как каналы связи постоянно забиты выше 90% и процессоры не успевают обрабатывать такое количество трафика;

-  расформированию фреймов, которое неизбежно при огромной нагрузке на коммутатор. В случае переполнения буфера коммутатора у него нет выбора, и он просто перестаёт на время принимать данные;

-  низкому качеству обслуживания, так как большое количество фреймов не будет обрабатываться должным образом;

-  большим задержкам в сети, что обусловлено большим количеством запросов на пересылку одних и тех же пакетов, фреймы которых были расформированы, к тому же очереди в буферах на пересылку фреймов между портами будут большими, что также создаст задержки;

-  проблемам у администраторов связанных с плохой работой сети;

-  недовольным пользователям, которые будут терроризировать системных администраторов из-за плохого качества предоставления тех или иных услуг связанных с работой сети.

Некоторые характеристики:

-  кардинальное решение проблемы. Решение о переходе на новую технологию даёт достаточный прирост к пропускной способности для того, чтобы справиться с существующей нагрузкой без всяких проблем;

-  высокая масштабируемость: выход из того, что новое поколение систем передачи данных сможет поддерживать до 10 старых, таким образом, не будут возникать проблемы при расширении сети, и докупка или замена текущих каналов связи и связанного с ними оборудования не понадобится;

-  планирование на будущее. Ставка на новые технологии снизит время устаревания инфраструктуры сети и оттянет время полной замены всех элементов топологии;

-  увеличение пропускной способности на порядок.

Выход второй: агрегирование портов (создание транков).

Некоторые характеристики:

-  временное решение проблемы при увеличении трафика. При тенденции к постоянному росту количества трафика в сети, причем, обычно при внедрении новых программных продуктов намечается геометрическая прогрессия, агрегирование каналов не сможет решить проблему навсегда. Через некоторое время всё равно придётся менять технологию передачи данных, но создание магистральных соединений может на время оттянуть момент перехода и является страховкой перед переходом;

-  быстрая интеграция. Поскольку создание агрегированного канала связи не подразумевает покупку дополнительного оборудования и решение осуществляется с помощью возможностей операционной системы коммутаторов, а не на уровне физики, создание агрегированного канала займёт несколько минут времени системного администратора;

-  необходимо наличие свободных портов коммутаторов. Обязательное условие и достаточно веский фактор при выборе, так как свободных портов может и не быть, тогда придётся покупать ещё один коммутатор и разносить всех клиентов уже по двум коммутаторам, создавая уже два агрегированных канала.

Понятие «Транк». В сетевой терминологии транками называю магистральные линии, которые предназначены для передачи больших объёмов информации между служебными устройствами такими, как коммутаторы или маршрутизаторы

Транк может быть представлен как одним физическим соединением, так и группой соединений, которые логически представляют собой один канал передачи данных Создание одного логического канала передачи данных, используя несколько физических соединений, называется агрегированием (Link Aggregation).

Алгоритм агрегирования каналов (конфигурируется для всего устройства) используется для определения, какой из портов в группе будет использоваться для передачи пакетов. Существует шесть алгоритмов. По умолчанию, задан алгоритм MAC-source (МАС-адрес источника):

-  mac_source;

-  mac_destination;

-  mac_source_dest;

-  ip_source;

-  ip_destination;

-  ip_source_dest.

Настройка агрегирования каналов между коммутаторами D-Link. Динамическое агрегирование каналов:

Рисунок  4.1

 

Настройка агрегирования каналов. Для коммутатора A (члены группы -порты 2, 4, 6 и 8). Рекомендуемая последовательность действий:

1. Создайте группу агрегированных каналов.

create link_aggregation group_id 1 type lacp

config link_aggregation algorithm mac_destination.

2. Назначьте членов группы.

config link_aggregation group_id 1 master_port 2 ports 2,4,6,8 state enabled

config lacp ports 2,4,6,8 mode active

Для коммутатора B (члены группы - порты 1, 3, 5 и 7). Рекомендуемая последовательность действий:

1. Создайте группу агрегированных каналов.

DES-3226S#create link_aggregation group_id 1 type lacp

DES-3226S#config link_aggregation algorithm mac_source.

2. Назначьте членов группы.

DES-3226S#config link_aggregation group_id 1 master_port 1 ports 1,3,5,7 state enabled 3) Просмотр статуса LACP коммутаторов:

DES-3226S#show link_aggregation.

 

4.2 Управление пропускной способностью портов. Сегментирование трафика

 

Управление пропускной способностью даёт возможность устанавливать потолочные значения утилизации пропускной способности на передачу данных и на приём на каждом порту коммутатора. Эта функция очень полезна для сервис-провайдеров, которые могут создавать более дешёвые и доступные тарифы для пользователей, ограничивая их трафик.

Настройка коммутаторов позволяет установить ограничения на одно или оба направления протекания трафика.

 

Рисунок  4.2

 

Также очень полезное свойство коммутаторов, которое даёт возможность разделение потоков трафика без применения технологии  VLAN  в масштабах одного коммутатора. Администратор получает возможность вручную настроить, какой порт на какой может посылать трафик и с какого порта получать. Эту функцию очень часто используют провайдеры Ethernet to Home из-за её прозрачности и простоты настройки, кроме того, подобные ограничения положительно отражаются на уровне безопасности сети.

 

 

Рисунок  4.3

 

Некоторые единичные пользователи, которые не хотят общаться с другими пользователями в этом же доме, получают доступ только к выходному каналу коммутатора для предоставления услуг доступа в Интернет, другие же могут организовывать группы и совместно использовать сегменты сети для передачи информации между собой, не загружая таким образом магистральное соединение.

На топологии имеем 4 независимых пользователя, которые имеют доступ только к магистральному каналу, две группы пользователей, которые могут общаться между собой и выходить в Интернет. В одной из групп есть сервер, который может использоваться членами группы, но при этом не обязательно доступен из внешней сети.

 

4.3 Контроль трафика

 

Для сети вполне нормальным состояние является лавинная рассылка многоадресных или широковещательных пакетов. Иногда потоки этого трафика могут быть созданы неправильно настроенными или некорректно работающими устройствами, в этом случае, пакеты пересылаются без необходимости и зря загружают сеть. С увеличением количества такого трафика могут возникнуть серьёзные проблемы в работе сети, и первой проблемой будет постоянная перегрузка коммутаторов, которые подключены к устройствам генерирующим ненужный трафик. Для того, чтобы подобные ситуации не повлияли на работу сети и коммутатора, коммутаторы оснащены специальной технологией контроля штормов трафика в сети, с помощью которых возможно уберечься от перегрузок и взять ситуацию под контроль.

Отслеживание и определение широковещательного шторма происходит по количеству широковещательных или многоадресных пакетов в сети. Лимит пакетов, после превышения которого считается, что в сети происходит шторм, проставляется вручную пользователем и может изменяться в зависимости от необходимости. Существует два различных способа борьбы с лавинными рассылками:

-  расформирование;

-  отключение порта.

При установке коммутатора для расформирования избыточного трафика, коммутатор после превышения лимита нормального количества широковещательных или многоадресных пакетов будет расформировывать все остальные до тех пор, пока ситуация не нормализуется.

Вторым способом является закрытие проблемного порта. После превышения значения счётчика нормального количества широковещательного трафика в сети коммутатор заблокирует весь трафик на порту кроме пакетов протокола связующего дерева STP. Коммутатор будет отслеживать широковещательный шторм во времени и как только значение специального таймера Countdown, которое также выставляется пользователем, будет превышено, а шторм будет продолжаться, порт, который подвержен влиянию шторма будет переведён в режим постоянного отключения. Включить обратно порт может вручную системный администратор, никаких динамических включений после завершения широковещательного шторма не происходит.  Countdown таймер по умолчанию установлен на 0, что означает, что порт будет закрыть немедленно после обнаружения шторма, значения, которые можно выставлять – 5-30 минут. После отключения порта коммутатор всё равно будет принимать через этот порт BPDU, но для топологии дерева STA, этот порт будет помечен, как находящийся в режиме Discarding. При возникновении штормов можно настроить механизм извещения администратора о произошедших событиях. Коммутаторы компании D-Link имеют четыре опции выбора для извещения администратора:

-      None – не извещать вообще, чтобы ни происходило;

-      Storm Ocured – извещать о превышении счётчика нормального количества широковещательных пакетов;

-      Storm Cleared – окончание шторма;

-      Both – извещать в начале шторма и после окончания.

Рисунок  4.4

 

Что даёт Broadcast Storm Control:

1.      Защищает коммутатор от перегрузок, сохраняя буферное пространство портов от бессмысленного засорения, процессорные циклы и оперативную память. Перегрузка коммутатора ведёт к неработоспособности всех соединений, к которым он подключен;

2.      Защищает остальную сеть от штормов. В случае работы коммутаторов, которые не поддерживают функцию контроля штормов, широковещательные пакеты будут проходить через такие коммутаторы дальше в сеть, засоряя тем самым рабочие сегменты сети. Из-за нехватки пропускной способности могут пострадать полезные пакеты, которые будут отброшены из-за нехватки места в буферах, которые заполнены ненужным трафиком;

3.      Даёт возможность локализации проблемы и нахождения устройства-причины для штормов. В случае, если широковещательный вредоносный трафик пройдёт в другие сегменты сети, отыскать корень проблемы будет намного сложнее, а это означает более продолжительное время простоя сети в целом.

 

4.4 Зеркалирование портов

 

Зеркалирование портов достаточно часто применяется для тестирования новых сегментов сети, мониторинга и оценки нормального состояния сети. Кроме того, в сетях с необходимостью в повышенном уровне безопасности зеркалирование применяется как дополнительное средство для прослушивания и анализа трафика в сегменте сети. Зеркалирование портов, это возможность копировать трафик, который проходит через один или несколько портов, и отправлять его на выделенный отдельный порт для анализа. Коммутаторы D-Link дают возможность зеркалирования портов по следующим критериям:

-  номер порта;

-  входящий трафик;

-  исходящий трафик;

-  трафик в любом направлении.

Можно зеркалировать любое количество портов в один порт, при условии, что пропускная способность каждого из этих портов будет не меньше пропускной способности зеркального порта. То есть,  нельзя зеркалировать порт с пропускной способностью в 1Гбит/с в порт с 100Мбит/с.  

Возможность зеркалирования портов используют для подключения различных средств мониторинга сети в реальном времени. Например, такими средствами могут быть компьютеры с установленным и включённым снифером в целях статистики или целевого прослушивания. Снифер – это программа, которая переводит сетевой адаптер в неселективный режим и престаёт принимать трафик только с МАС адресом, который ему присвоен. Аппаратные или программные средства обнаружения вторжений, которые на основе определённых сигнатур поведения трафика в сети могут опознать некоторые распространённые атаки на сеть, также являются хорошим примером использования зеркалирования портов.

 

 

 

Глава 5. Защита информации в сетях и коммутаторы D-Link

 

5.1 Стандарт 802.1х

 

Некоторые требования  к современным коммутируемым сетям:

     централизованная аутентификация, ориентированная на пользователя, а не на устройство;

     использование сервера аутентификации, авторизации и учёта (authentication, authorization and accounting AAA), которое позволяет создавать учётные записи отдельных пользователей и работать с ними (изменение, удаление);

     наличие отдельных ключей для каждого пользователя;

     наличие динамических, временных ключей, которые выдаются серверами;

     взаимная (двухсторонняя) аутентификация.

Для решения всех этих задач был создан стандарт, который был разработан комитетом IEEE 802.1х. Протокол IEEE 802.1х определяет доступ на основе модели Клиент/Сервер и протокола аутентификации, который не позволяет неавторизованным устройствам подключаться к локальной сети через порты коммутатора. Сервер аутентификации (RADIUS) проверяет права доступа каждого клиента, подключаемого к порту коммутатора прежде, чем разрешить доступ к любому из сервисов, предоставляемых коммутатором или локальной сетью.

До тех пор, пока клиент не будет аутентифицирован, управление доступом протокола IEEE 802.1х позволит только трафику протокола Extensible Authentication Protocol over LAN (EAPOL) проходить через порт, к которому подключен клиент. После успешной аутентификации обычный трафик может передаваться через порт.

802_1_x

Рисунок 5.1

IEEE принял стандарт для проводных и беспроводных сетей 802.1х, имея модульное структурное строение, этот стандарт использует протокол EAP (Extensible Authentication Protocol) – расширяемый  протокол аутентификации для работы с клиентами.

802.1х не регламентирует особого алгоритма аутентификации, всё что необходимо – клиент и сервер поддерживают алгоритм EAP аутентификации.

 

 

Рисунок 5.2

 

Сам протокол написан для любой среды передачи на физическом уровне, с точки зрения способов аутентификации у пользователей есть практически полная свобода выбора. Протокол позволяет использовать как программные решения с шифрованием данных и установкой туннелей между сервером и клиентов, так и аппаратные, например, системы биометрической защиты (отпечатки пальцев, сканеры сетчатки глаза), SIM и Smart карты, различную адресацию (МАС, IP) и многое другое.

Некоторые из протоколов с кратким описанием:

-  EAP TLS (Transport Layer Security) Взаимная аутентификация с использованием цифровых сертификатов и создания туннеля для пользователя;

-  MD5 – односторонняя аутентификация с использованием пароля, зашифрованного алгоритмом MD5;

-  Protected EAP – двухсторонняя аутентификация, где сервер аутентифицируется с помощью цифрового сертификата, а клиенты любым другим способом;

-  EAP TTLS (Tunneled Transport Layer Security) Схож с PEAP, стандарт, разработанный двумя компаниями: Certicom и Funk Software. Для его использования необходим Radius Server от Funk Software;

-  Lightweight - EAP (Cisco Systems Proprietary) – первый протокол такого типа, нужны длинные пароли для хорошего уровня безопасности.

 

 

5.2 Роли устройств

 

При 802.1х аутентификации на основе портов, устройства в сети выполняют определенные роли.

802_1_x_client

Рисунок 5.3

 

Клиент – это рабочая станция, которая запрашивает доступ к локальной сети и сервисам коммутатора и отвечает на запросы от коммутатора. На рабочей станции должно быть установлено клиентское ПО для 802.1x, например, то, которое встроено в ОС Microsoft Windows XP.

802_1_x_server

Рисунок 5.4

 

Сервер аутентификации выполняет фактическую аутентификацию клиента. Сервер аутентификации проверяет подлинность клиента и информирует коммутатор предоставлять или нет клиенту доступ к локальной сети. RADIUS работает в модели клиент/сервер, в которой информация об аутентификации передается между сервером и клиентами RADIUS. Так как коммутатор работает в режиме прокси, сервис аутентификации прозрачен для клиента.

802_1_x_switch

 

Рисунок 5.5

 

Коммутатор управляет физическим доступом к сети, основываясь на статусе аутентификации клиента. Коммутатор работает как посредник между клиентом и сервером аутентификации, получая запрос на проверку подлинности от клиента, проверяя данную информацию при помощи сервера аутентификации и пересылая ответ клиенту. Коммутатор включает клиент RADIUS, который отвечает за инкапсуляцию и деинкапсуляцию кадров EAP и взаимодействие с сервером аутентификации.

Инициировать процесс аутентификации может или коммутатор, или клиент.

Клиент  инициирует аутентификацию, посылая кадр EAPOL-start, который вынуждает коммутатор отправить ему запрос на идентификацию. Когда клиент отправляет ЕАР – ответ со своей идентификацией, коммутатор начинает играть роль посредника, передающего кадры ЕАР между клиентом и сервером аутентификации до успешной или неуспешной аутентификации. Если аутентификация завершилась успешно, порт коммутатора становится авторизованным.

Схема обмена ЕАР кадрами зависит от используемого метода аутентификации. На рисунке показана схема обмена, инициируемая клиентом, использующая метод аутентификации с использованием одноразовых паролей (One-Time-Password, OTP) сервером RADIUS.

Аутентификация 802.1х может быть выполнена как на основе МАС-адресов, так и на основе портов:

При аутентификации 802.1x на основе MAC-адресов сервер проверяет не только имя пользователя/пароль, но и максимальное количество MAC-адресов, доступных для работы на порту. Если предел достигнут, то он блокирует новый MAC-адрес. Для того чтобы выйти из ситуации, когда несколько клиентов подключены к одному физическому порту, коммутатор создаёт логические порты под каждый МАС адрес и контролирует эту базу протокол ЕАР.

 

 

Рисунок 5.6

 

При аутентификации 802.1x на основе портов, после того как порт был аутентифицирован, любой пользователь, подключенный к порту, может получить доступ к локальной сети. Подобный подход является слабым местом с точки зрения безопасности сети.

 

5.3 Состояние портов коммутатора

 

Состояние порта коммутатора определяется получил или не получил клиент право доступа к сети. Первоначально порт находится в неавторизованном состоянии. В этом состоянии он запрещает прохождение всего входящего и исходящего трафика, за исключением пакетов протокола IEEE 802.1х. Когда клиент аутентифицирован, порт переходит в авторизованное состояние, позволяя передачу любого трафика от него.

Возможны варианты, когда клиент или коммутатор не поддерживают IEEE 802.1х.

Если клиент, который не поддерживает IEEE 802.1х, подключается к неавторизованному порту IEEE 802.1х, коммутатор посылает клиенту запрос на аутентификацию. Поскольку в этом случае клиент не ответит на запрос, порт останется в неавторизованном состоянии и клиент не получит доступ к сети.

В другом случае, когда клиент с поддержкой IEEE 802.1х, подключается к порту, на котором не запущен протокол IEEE 802.1х, клиент начинает процесс аутентификации, посылая кадр EAPOL-start. Не получив ответа, клиент посылает запрос определенное количество раз. Если после этого ответ не получен, клиент, считая, что порт находится в авторизованном состоянии, начинает посылать кадры.

В случае, когда и клиент и коммутатор поддерживают IEEE 802.1х, при успешной аутентификации клиента, порт переходит в авторизованное состояние и начинает передавать все кадры клиента. Если в процессе аутентификации возникли ошибки, порт остается в неавторизованном состоянии, но аутентификация может быть восстановлена. Если сервер аутентификации не может быть достигнут, коммутатор может повторно передать запрос. Если от сервера не получен ответ после определенного количества попыток,  в доступе к сети будет отказано из-за ошибок аутентификации.

Когда клиент завершает сеанс работы, он посылает сообщение EAPOL-logoff, переводящее порт коммутатора в неавторизованное состояние.

Если состояние канала связи порта переходит из активного (up) в неактивное (down), или получен кадр  EAPOL-logoff, порт возвращается в неавторизованное состояние.

 

5.4 Защита портов коммутатора и функция Port Security

 

Не считая стационарных станций и ноутбуков, коммутаторы являются первыми сетевыми устройствами, которые могут защитить инфраструктуру сети от вторжений и атак. Коммутаторы – первая линия обороны, хотя она не является достаточно сильной, так как задачи безопасности не являются прямыми обязанностями коммутаторов, а лишь дополнением к их основным функциям передачи фреймов между портами, стоит сказать о ней несколько слов. Понятно, что наиболее защищённая сеть будет та, где каждый МАС адрес будет прикреплён к своему порту, а неиспользуемые порты – отключены, но Вы можете себе представить, какой объём работы необходимо проделать в сети из 100 компьютеров для прописывания всех адресов вручную, а если ваша сеть насчитывает 1000 компьютеров, то повсеместное применение статических записей в таблицах коммутации вообще будет практически неосуществимо. Количество ресурсов, которые необходимо затратить на подобные меры защиты, в большинстве случаев не оправдают те риски, которые могут возникать из-за проколов в сетевой безопасности.  К тому же необходимо учитывать людской фактор и связанные с этим ошибки при наборе МАС адресов.

Существует достаточно простое и не проигрывающее по уровню защищённости решение на основе технологии Port Security.

Возможность дополнительного подключения неавторизированного узла может быть остановлена ограничением количества МАС адресов, которые могут быть изучены на порту.

Например, 1 хост = 1 адрес, первый полученный адрес будет закреплён за портом.

Установка на порте ограничения в 1 адрес означает, что любой другой адрес не попадёт в таблицу, а значит, не сможет корректно работать в сети.

На топологии, которая находится выше, цифрами указано количество МАС адресов, которое может запомнить коммутатор, исходя из настроек Port Security. Таким образом, мы имеем по одному адресу для портов с прямым соединением к рабочим станциям и серверу и четыре адреса для порта, который соединяет два коммутатора. Получим примитивную, но эффективную систему безопасности, основанную на невозможности добавления новых станций в сегмент сети: любое подключение можно будет отследить и увидеть с помощью журнала событий коммутатора.

Примечание. Port Security не спасает при подмене МАС адреса сетевого устройства, подобные меры защиты относятся к системам аутентификации по знанию или обладанию особенных качеств или свойств (например знание пароля или наличие смарт-карты). Port Security не может существовать как основная система защиты вашей сети и является лишь дополнительной для выявления злоумышленников со слабыми знаниями в области взлома или сетевых технологий.

Настройка Port Security на коммутаторах предусматривает один из трёх режимов времени жизни записи:

Permanent – постоянная «нестареющая» запись, наиболее защищённый режим, так как вы можете, единожды проверив таблицу коммутации на портах, больше не беспокоится о возможных её изменениях.

DeleteOnTimeout  удаляется при старении записи таблицы коммутации, динамический режим, который блокирует количество записей до истечения времени aging таймера. Этот режим имеет свои позитивные стороны, эффективен в сети с частыми перемещениями портативных компьютеров от одного физического места в другое. К негативным сторонам относится ситуация, когда злоумышленник может выжидать отключения одного из авторизированных в сети компьютеров для того, чтобы самому получить доступ в сеть.

DeleteOnReset  удаляется при очищении записей политики Port Security

Примечание. Все записи политики Port Security так же, как и записи таблицы коммутации сберегаются в оперативной памяти коммутатора (RAM) и в случае его выключения или перезагрузки будут вытерты. После возобновления работы Port Security опять зарегистрирует заданное количество МАС адресов на каждом порту и работа механизм защиты будет восстановлен. Посмотреть статус портов и количество записей для каждого порта можно при выводе таблицы Port Security.

 

6 Глава. Многоадресная передача

 

Современные компьютерные сети уже давно вышли за пределы своего старого назначения: улучшение взаимодействия для рабочих групп или скоростной метод передачи критичной информации. Сейчас компьютерная сеть ассоциируется с поиском информации и развлечениями, массовые установки домашних сетей скорее говорят об удобстве использования нежели о необходимости. Большинство аналоговых сервисов переводят в цифровые сети, так как это дёшево и удобно, есть возможность предоставления комплексных услуг. Так большинство нынешних провайдеров делают большие ставки на развлекательные сервисы, такие как видео по требованию, видео- и IP-телефония. Требования клиентов тоже не заставляют себя ждать, пользователи услуг хотят смотреть фильм или футбольный матч, не тогда, когда он идёт по телевизору, а когда им захочется, причём с возможностью паузы и перемотки. Понятно, что такие требования обычное телевидение обеспечить никак не может, а вот сети могут обеспечить хорошее качество обслуживания и индивидуальный подход.  

 

6.1 Преимущества многоадресной рассылки

 

С развитием сетевой инфраструктуры и увеличением количества  и качества предоставления различных сервисов величина нагрузки на сеть стала стремительно и неуклонно расти. Такие сервисы, как видео-телефония, телевидение с дополнительными функциями вызова по требованию, видео-конференции существенно добавили трафика в сеть, причём при увеличении количества клиентов в сети эта нагрузка увеличивается пропорционально. 

В свою очередь внедрение многоадресных рассылок оптимизировало нагрузку на сеть и сняло необходимость передавать копии потоков одинаковых данных для различных пользователей, что существенно экономит пропускную способность каналов связи.

Ниже приведена топология, в которой видео данные доставляются через всю структуру сети. Для четырёх клиентов, которые находятся в одном из участков сети создано четыре отдельных потока трафика, причём если пользователи, к примеру, смотрят один и тот же фильм, то должны передаваться четыре потока одинаковых данных. Понятно, что такая избыточность никаким образом не оправдана и не нужна, мы получаем только постоянный колоссальных расход ресурсов пропускной способности всех каналов связи, через которые проходит этот трафик. А если клиентов будет, например 200-500, мы вообще не сможем предоставлять видео услуги по сети, так как у нас элементарно не хватит пропускной способности, либо такие решения будут просто сказочно дорогими и вряд ли окупят себя.

Теперь рассмотрим ситуацию, в которой топология работает с протоколами многоадресной рассылки, которые позволяют передавать только один поток одинаковых данных для любого количества клиентов, а затем, клонировать его для предоставления конкретным станциям уже для «последней мили».

 

6.2 Адресация многоадресной рассылки сетевого уровня

 

Unicast IP адреса могут адресовать только одно конкретное устройство в сети, в то время, как Multicast IP адреса созданы для адресации целой группы устройств, при этом количество различных устройств в группе значения не имеет. Те станции, которые хотят получать трафик из многоадресной рассылки  должны прежде зарегистрироваться и быть зачисленными в группу. Назначением групповых адресов управляет IANA (Internet Assigned Numbers Authority, Агентство по выделению имен и уникальных параметров протоколов Интернет). Оно выделило для групповой IP-адресации адреса сети класса D.

Напомним некоторые характеристики класса D:

Адреса этого класса, в отличие от предыдущих трёх, не выдаются конкретным хостам и не могут быть логическим адресом сетевого уровня какого-либо устройства.

В отличие от классов A,B, и C, класс не имеет иерархических задатков или ограничений, состоит из абсолютно независимых дискретных адресов.

Адреса класса D не дополняются маской сети, так как на класс не распространяется понятие бесклассовой маршрутизации, разбиение на подсети или создание суперсетей.

 

 

Рисунок 6.1

 

IP адреса, которые находятся в диапазоне 224.0.0.0 – 224.0.0.255 – зарезервированы под различные стандартные протоколы и службы, для работы частных приложений с необходимостью использования многоадресной рассылки рекомендуют выбирать любые другие из оставшихся в классе D адресов.

 

6.3 Адресация многоадресной рассылки канального уровня

 

Как правило, рабочие станции локальной сети получают и обрабатывают пакеты только в случае совпадения МАС адреса назначения пакета с их собственным МАС адресом или  если МАС адрес – широковещательный. Существует несколько средств для того, чтобы несколько узлов многоадресной группы могли получить один и тот же пакет.

Многоадресная рассылка IP формирует МАС адрес на основе адреса групповой рассылки IP третьего уровня. Кадр МАС имеет стандартный префикс из 24 битов. Этот префикс «01-00-05» – используется для всех адресов многоадресной рассылки Ethernet.

 

Рисунок 6.2

 

При этом оставшиеся 24 бита используются для создания МАС адреса многоадресной рассылки. Когда создается МАС адрес, 25-й бит (или бит высокого порядка) приравнивается к 0, и затем последние 23 бита IP-адреса преобразуются в остальные 23 бита МАС адреса. Поскольку  при преобразовании теряются 5 битов 1-го октета IP-адреса, получившийся адрес не является уникальным. На самом деле одному МАС адресу соответствует 32 группы многоадресной рассылки.

Ситуация, когда в сети будут совпадения адресации различных мультикастовых групп могут привести к проблемам в сети. Каждый раз, когда будут проходить пакеты от нескольких групп с одинаковым адресом, хосты, которые зачислены хотя бы в одну из этих групп будут получать весь трафик и им придётся распечатывать все пакеты и затем отбрасывать те, которые не принадлежат к их группе. Понятно, что подобные операции будут только зря расходовать процессорные ресурсы станций.

 

6.4 Internet Group Management Protocol

 

Протокол IGMP (Internet Group Management Protocol) используется для динамической регистрации отдельных узлов в многоадресной группе локальной сети. Узлы сети определяют принадлежность к группе, посылая IGMP-сообщения на свой локальный многоадресный маршрутизатор. По протоколу IGMP маршрутизаторы получают IGMP-сообщения и периодически посылают запросы, чтобы определить, какие группы активны или неактивны в данной сети.

Доставка многоадресного трафика в первую очередь возлагается на маршрутизаторы, они следят за тем, нуждается ли сегмент сети в этом трафике или нет. Многоадресная рассылка осуществляется на базе интерфейсов маршрутизатора, который отслеживает наличие клиентских станций, которые подключены к конкретному интерфейсу и зачислены в многоадресную группу. Если в подключённом к интерфейсу маршрутизатора сегменте есть хотя бы один клиент для получения многоадресного трафика, значит, многоадресный поток данных будет транслироваться в этот сегмент.

IGMP сообщения переносятся внутри дейтаграмм протокола IP и имеют следующие поля

 

Рисунок 6.3

 

Version установлено на значение 1Type. В протоколе первой версии существует два типа сообщений:

-      Membership Query;

-      Membership Report.

Checksum. Шестнадцатибитовое поле контроля суммы

Group Address. Если послан membership report, то это поле вмещает адрес многоадресной рассылки, в том случае, если послан membership query, это поле пустое и игнорируется хостами.

 

6.5 Процесс ответа на запросы

 

Допустим у нас есть сеть состоящая из трёх хостов и двух маршрутизаторов, один из маршрутизаторов (А) является ответственным за рассылку многоадресного трафика в этот сегмент сети, второй маршрутизатор не является ответственным, он просто слушает и записывает запросы и ответы хостов в этом сегменте. Допустим хосты А и В хотят получать многоадресный трафик с адресом 224.1.1.1, а компьютер С – 224.2.2.2.

Рассмотрим процесс общения маршрутизаторов с хостами:

Шаг 1. Маршрутизатор, который является ответственным за рассылку многоадресного трафика в сегменте периодически (по умолчанию 60 секунд) передаёт в сеть запросы, которые адресованы всем клиентам многоадресного трафика 224.0.0.1. Все хосты, которые хотят получать многоадресный трафик должны прослушивать эфир на предмет таких сообщений.

Шаг 2. Все хосты в сегменте получают запросы от маршрутизатора. Допустим, хост А первым отправит сообщение Membership Report, о том, что он является членом группы с адресом 224.1.1.1 и хочет получать трафик этой группы.

Шаг 3. Компьютер В принадлежит той же группе, что и компьютер А. Он услышит передачу сообщения от компьютера А и не станет сам отправлять запрос. Так как для распространения многоадресного трафика по сегменту необходим хотя бы один компьютер, заинтересованный в его получении и этим компьютером является компьютер А. Механизм подавления лишних сообщений существенно экономит пропускную способность канала. 

Шаг 4. Компьютер С также получил запрос от маршрутизатора и будет отвечать сообщением о том, что он заинтересован в получении трафика для группы 224.2.2.2.

После обмена сообщениями, маршрутизатор А знает, что в сегменте сети есть необходимость в трафике для групп с адресами 224.1.1.1 и 224.2.2.2.

Отправка запросов от нескольких маршрутизаторов в один и тот же сегмент является нецелесообразной и влечёт нерациональное использование пропускной способности. Выборы ответственного за сегмент маршрутизатора проводятся на основе алгоритмов заложенных в протоколах маршрутизации многоадресных пакетов.

Процесс регистрации в группу.

Процесс достаточно простой, компьютер может зачислить себя в группу многоадресной рассылки в любое время, для этого ему необходимо отправить сообщение на маршрутизатор. Хост не обязан ждать запроса от маршрутизатора и может сам независимо формировать Membership Report.

К примеру, если компьютер В рахочет принимать трафик для группы с адресом рассылки 224.3.3.3, он сформирует Membership Report запрос и отправит этот запрос на маршрутизатор А, который, затем, определит, что в его сегменте появилась необходимость в трансляции нового потока трафика.

Процесс выхода из группы.

Этот процесс ещё более прост чем предыдущий. Для того, чтобы станция вышла из группы многоадресной рассылки, ей не надо ничего делать, просто «уйти по-английски», не посылать более никакого трафика, который касается многоадресного вещания. Станция перестаёт обрабатывать многоадресный трафик своей бывшей группы, в случае, если в сегменте ещё есть станции, которые хотят получать этот трафик, маршрутизатор продолжает его рассылать, если же, в сегменте более нет станций, которым трафик этой группы был бы интересен, по прохождению определённого времени, маршрутизатор перестаёт вещать, и ликвидирует эту группу.

Маршрутизаторы используют таймеры для поддержания активных групп, если маршрутизатором получено сообщение Membership Report от какой-либо группы, таймер этой группы обнуляется. Таймер имеет значения по умолчанию равные трём интервалам отправки запроса, что, в свою очередь, обычно составляет три минуты. Такое значение таймера оговаривает рассылку трафика в течение трёх минут после того, как в сегменте сети уже не осталось ни одного устройства, которое было бы заинтересовано в получении этого трафика.

 

6.6 IGMP v 2

 

Основными отличиями между протоколами первой и второй версии являются алгоритмы зачисления и выхода из группы. Протокол второй версии также содержит сообщения Membership Report  и Membership Query, но есть некоторые отличия.

Например, в новой версии протокола Membership Query  делится на две группы:

-   General Queries, эти сообщения выполняют роль стандартных Membership Query в протоколе первой версии;

-   Group Specific Queries, этот тип запросов адресован только одной группе.

Вторым отличием являются коды в поле типа сообщения Membership Report. Новая структура сообщения приведена ниже:

 

Рисунок 6.4

 

Как видно из рисунка, в сообщении более нет поля «версия», это поле было решено объединить вместе с полем типа.

Помимо новых типов сообщений запросов, новым типом сообщения является запрос на выход из многоадресной группы, чего не было в предыдущей версии.

Maximum Response Time Field – поле, которое не использовалось в предыдущей версии протокола. Это поле используется только в сообщениях типа Membership Query и указывает время, в течение которого можно отправить сообщение о причастности к группе рассылки. Измеряется это время интервалами по 0.1 секунды и по умолчанию установлено значение 100, что равно 10 секунд. Это время используется хостами как верхний порог для назначения случайного времени ответа на запрос,  каждая станция выбирает случайную задержку до максимального значения интервала выжидания и после прохождения необходимого времени отправляет сообщение Membership Query. Алгоритм случайных задержек препятствует отправке ответов от всех станций всех групп одновременно и, исходя из алгоритма, который был заимствован из первой версии протокола, для каждой группы необходимо отправить всего один запрос. Этот запрос будет отправлен станцией с наименьшим значением таймера случайной задержки, остальные станции в этой группе услышат этот запрос и не будут отправлять свои сообщения, чем сэкономят часть пропускной способности.

 

6.7 Подстройка максимального времени ожидания

 

На маршрутизатрах есть возможность менять параметр максимального времени ожидания для улучшения работы сети. Величиной максимального времени ожидания можно контролировать стремительность формирования и отправки сообщений типа Membership Query от хостов сегмента. Это очень важно в случае наличия достаточно большого количества многоадресных групп, тогда отправка сообщений может быть растянута на некоторый промежуток времени. В случае небольшого интервала времени все сообщения всех групп будут отправлены практически одновременно, что может привести к периодичным перегрузкам сети.

Например, имея в сети 18 различных групп, 18 сообщений будут примерно равномерно распределены во времени от получения самого запроса и до окончания таймера максимальной задержки.

Увеличивая таймер максимально задержки отправки Membership Query, мы также увеличиваем и задержки при решении о закрытии группы, так как маршрутизаторам необходимо будет ждать дольше, поэтому необходимо балансировать это значение между производительностью сети, скоростью реакции и задержкой закрытия группы.

 

6.8 Процесс выхода из группы IGMPv2

 

Протокол IGMPv2 определяет новый вид сообщений, специально предназначенный для оповещения маршрутизаторов клиентскими устройствами о их выходе из многоадресной рассылки. Этот тип сообщенй посылается всем мулткастовым маршрутизаторам сегмента, то есть на адрес назначения – 224.0.0.2.

Второй новый запрос, который был введён в работу протокола это  Group Specific Queries, он необходим для того, чтобы можно было опросить какую-либо конкретную группу, а не все, как ранее, на предмет наличия заинтересованных в трафике хостов, что уменьшит время закрытия группы. Этот запрос обрабатывается клиентскими машинами также как и обычный общий запрос.

Рассмотрим алгоритм выхода из группы на примере топологии. Допустим компьютер В хочет выйти из группы многоадресной рассылки, для этого он формирует сообщение Leave Group. Он отправляет его на все маршрутизаторы в сегменте, которые работают с многоадресным трафиком.

После получения этого сообщения маршрутизатор отправит запрос, который касается только той группы устройств, в которой находился компьютер-источник сообщения. Таким образом, маршрутизатор проверит наличие хотя бы одного хоста в сегменте, который хотел бы принимать трафик для этой группы.

Компьютер С, который находится в группе 224.1.1.1 услышит запрос и отправит сообщение Membership Query, которое будет означать, что в сети есть компьютеры, которые хотят получать многоадресный трафик группы 224.1.1.1.

Теперь, если компьютер С захочет покинуть группу, первые два шага будут абсолютно аналогичны предыдущему примеру. После отправки маршрутизатором запроса на наличие хостов в сети, которые хотели получать трафик группы, он не получит ответа. Маршрутизаторы, которые работают с протоколом IGMPv2 выжидают ответ от хостов своего сегмента достаточно малое количество времени (по умолчанию одна секунда), в случае, если маршрутизатор в течение этого времени не получает сообщение от хостов, он посылает второй такой запрос и опять ждёт. По умолчанию маршрутизаторы посылают только два таких запроса, после отсутствия ответа во второй раз, маршрутизатор удалит группу многоадресной рассылки.

Протокол IGMP v2. В версии 2 протокола IGMP существуют четыре типа IGMP-сообщений:

-    запрос о принадлежности к группе;

-    ответ о принадлежности к группе по версии 1;

-    ответ о принадлежности к группе по версии 2;

-    покинуть группу.

В основном работа IGMP 2 не отличается от IGMP 1. Разница заключается в наличие сообщений о выходе из группы. Теперь узлы сами могут сообщить локальному многоадресному маршрутизатору о намерении покинуть группу. В ответ маршрутизатор отсылает группе специальный запрос, чтобы определить, остались ли в ней еще узлы, желающие получать данный трафик. Если ответа не поступит, маршрутизатор отключает группу и прекращает передачу трафика. Это может значительно сократить задержки, связанные с прекращение членства в группе, по сравнению с IGMP 1. Нежелательный и ненужный трафик может быть прекращен гораздо быстрее.

 

 

Рисунок 6.5  Принцип работы протокола IGMP. Первый рисунок показывает процесс подписки на группу, второй – выход из группы

 

6.9 Управление многоадресной рассылкой на 2 уровне

 

Стандартное поведение коммутатора 2 уровня заключается в передаче всего многоадресного трафика на каждый порт, принадлежащий локальной сети-приемнику на данном коммутаторе. Это связано с тем, что коммутатор не находит записи об МАС-адресе групповой рассылки в своей таблице коммутации, и поэтому рассылает пакеты через все порты. Это противоречит основному назначению коммутатора, которое заключается в ограничении трафика и доставке его только тем портам, для которых такие данные действительно предназначены.

 

 

Рисунок 6.6 - Передача многоадресного трафика без поддержки управления им на коммутаторе

 

Управление многоадресной рассылкой на коммутаторе может быть выполнено несколькими способами:

Виртуальные локальные сети VLAN могут определять соответствующие границы многоадресной группы. Этот подход прост, однако он не поддерживает динамическое добавление или исключение членов из группы.

Второй метод, который поддерживается коммутаторами D-Link IGMP-прослушивание (IGMP-snooping).  IGMP-прослушивание – это проверки или прослушивание локальной сети на наличие в IGMP-пакетах, передаваемых между узлом и маршрутизатором, некоторой информации 3 уровня. Когда коммутатор получает IGMP-отчет узла для многоадресной группы, он заносит номер порта узла в запись своей ассоциированной многоадресной таблицы. Когда коммутатор получает IGMP-сообщение о выходе узла из группы, он удаляет номер порта этого узла из записи таблицы.

Поскольку управляющие IGMP-сообщения передаются в виде многоадресных пакетов, они неотличимы  от  многоадресных данных 2 уровня. Коммутатор на котором осуществляется IGMP-прослушивание, проверяет все многоадресные пакеты и ищет среди них те, которые содержат управляющую информацию. IGMP-прослушивание сильно загружает центральный процессор и может снизить производительность коммутатора. Поэтому в коммутаторах обычно используются специализированные микросхемы, которые проверяют IGMP-сообщения на аппаратном уровне.

 

 

 

Рисунок 6.7 - Передача многоадресного трафика с поддержкой IGMP-snooping

 

Настройка IGMP- snooping с помощью CLI. В таблице приведены команды для настройки IGMP-snooping с помощью CLI.

 

 

Пример 1. Настроить IGMP-snooping.

 

 

Параметр host_timeout <sec> - Задаёт максимальное время, в течение которого узел может быть членом группы без получения коммутатором отчёта узла о нахождении в группе. Время по умолчанию 260 сек.

 

Пример 2. Включить IGMP-snooping на коммутаторе.

 

Пример 3. Проверить текущий статус IGMP-snooping на коммутаторе.

 

Глава 7. Качества обслуживания, QoS.

 

802.1р – стандарт, который оговаривает классификацию всего трафика, который может находиться в сети. Различные приложения имеют свои требования к обработке пакетов, например, для некоторых очень критичными являются задержки в сети (видео, телефония, управление сетью), другие же работают в фоновом режиме и не имеют жестких требований, например, протокол передачи файлов FTP. Для того, чтобы можно было каким-то образом разбить трафик по приоритетам и подстроить параметры обработки, под конкретный приоритет давая более «капризному» трафику несколько улучшенные условия для передачи были предусмотрены несколько алгоритмов, которые получили название Quality of service или качество обслуживания.

Стандарт оговаривает создание восемь независимых классов трафика с нулевого по седьмой, которые будут получать приоритеты по нарастанию номера класса, так третий класс будет иметь приоритет ниже чем пятый, а пятый – ниже чем седьмой.

 

Рисунок 7.1

 

Коммутаторы D-Link имеют четыре различных класса в которые укладываются восемь приоритетных классов стандарта. Соответственно каждый порт коммутатора имеет четыре очереди в которые записываются пакеты согласно назначенному классу обслуживания. Пакеты, которые приходят уже имею принадлежность к какому-либо классу по стандарту 802.1р распределяются по очередям согласно схеме, представленной выше, те же, которые не имеют принадлежности, будут дополнены информацией о качестве обслуживания опираясь на значения приоритета трафика по умолчанию, который настроен на порту, откуда этот пакет пришёл.

 

Т а б л и ц а 7.1 - Описание приоритета

Приоритет 802.1D

Описание приоритета или типа трафика

1

Низкий приоритет

2

Низкий приоритет

0

Нейтральный

3

Сигнализация/контроль

4

Видеозондирование

5

Видео

6

Голос

7

Управление сетью

 

В таблице, отображено соответствие различных типов трафика для различных классов стандарта. Таким образом, стандартом указано, что управление и передача голоса будет иметь самый высокий приоритет, всё, что связано с передачей видео находится на один класс ниже, но всё равно имеет достаточно высокий приоритет. Первая очередь занята нормальным трафиком, то есть, трафиком, который имеет обычный приоритет, к пакетам такого типа можно отнести, например, просмотр Web-страниц, ну и последний – нулевой класс имеет самый низкий приоритет, сюда относятся различные службы, которые не нуждаются в срочной пересылке данных и работают в фоновом режиме.

 

7.1 Алгоритмы качества обслуживания

 

Коммутаторы компании D-Link поддерживают два различных алгоритма качества обслуживания:

Приоритетная жёсткая зависимость – алгоритм, который наиболее лоялен к трафику с самыми высокими приоритетами и обычно используется в среде с большим количеством различных служб, для которых задержки являются критичными. Алгоритм берёт на обработку класс с самым высоким приоритетом и не переходит к обработке следующего до тех пор, пока в этом классе есть хотя бы один пакет. В случае появления пакетов классом выше, коммутатор переключится на обработку класса выше. Этот подход достаточно неплох, за исключением того, что могут возникнуть ситуации, когда трафика с высоким приоритетом будет настолько много, что обрабатывать, придётся только его, а все остальные классы будут оставлены без внимания.

 

 

Рисунок 7.2

 

Взвешенный циклический алгоритм имеет более справедливое отношение к различным классам трафика и более высокий показатель гибкости в настройке. Для каждого класса трафика определяется дополнительный вес. Это значение зависит от настроек вручную и фактически является дополнительным параметром приоритета внутри приоритетов стандарта. Параметр веса проставляется вручную и может иметь значения от 8 до 0, при этом, чем меньше будет указанный вес, тем приоритетнее будут пакеты. В случае, когда всем классам трафика будет предоставлен одинаковый вес, коммутатор будет по циклу обрабатывать по одному пакеты из каждого класса, давая таким образом пробиться трафику любого приоритета и предоставляя равные возможности для всех классов приоритетов. Если одному или нескольким классам будет установлен вес в значение равное нулю, эти классы  обрабатываются по схеме жёсткой зависимости и до тех пор, пока в очереди будут находиться пакеты с весом равным нулю, коммутатор не будет переходить к обработке других очередей.  

 

Рисунок 7.3

 

7.2 Назначение расписания

 

Изменение выходного расписания очередей на коммутаторах повлияет на всю работу предоставления качества обслуживания. Применяя любые свои параметры и изменяя настройки по умолчанию, Вы должны точно знать как эти новшества повлияют на трафик более низких уровней приоритета, и не возникнет ли такая ситуация, когда какой либо класс вообще не получит доступа к пропускной способности, что приведёт к потере трафика этого класса и проблемам в работе сети. В случае же, если Вы все-таки решились на перемену параметров классов обслуживания. Мы должны проводить мониторинг сети с целью выявления каких-либо проблем с прохождением трафика того или иного класса. Такие тесты следует проводить особенно в случаях пиковой нагрузки, так как будет наблюдаться дефицит пропускной способности и все проблемы проявят себя. Для очередей, возможно, настроить следующие параметры работы очередей:

-  Махimum Packets – максимальное количество пакетов, которое можно передавать в пределах одного класса обслуживания до перехода к другому классу. Возможно установить значения от 0 до 255;

-  Maximum Latency – это максимальное количество времени, в протекание которого коммутатор имеет право работать только с одной очередью, после окончания этого указанного интервала времени, даже если в очереди ещё остались пакеты, коммутатор обязан перейти к обработке другого класса обслуживания для предоставления возможности передачи для всех классов. Время, которое можно указать определяется относительными величинами в диапазоне от 0 до 255. После указания числа, оно умножается на 16 миллисекунд и мы получаем максимальное время работы с одной очередью.

7.3 Приоритет по умолчанию

 

Для каждого порта можно выставить приоритет по умолчанию, который будет присвоен всему трафику, который не имеет информации о приоритете передачи при прохождении через порт. Таким образом, зная, какие устройства подключены к тому или иному порту есть возможность управлять качеством обслуживания.

 

 

Рисунок 7.4

 

1.  Группа обыкновенных рабочих станций, основная задача которых – предоставление доступа в Интернет для просмотра Web-страниц и получения почты;

2.  Компьютер системного администратора, который большую часть времени работает с протоколом управления сетью SNMP;

3.  Терминал для служб передачи голоса по сетям IP с программным обеспечением Skype;

4.  Станция для работы с графическими приложениями без особой необходимости в сети Интернет;

5.  Компьютер бухгалтерии;

6.  Группа станций для видеоконференций;

7.  FTP сервер с образами программного обеспечения и резервными копиями различной рабочей документации;

8.  База данных клиентов и бухгалтерии;

9.  Система обнаружения вторжений, Radius Server, сервер сетевых логов.

Т а б л и ц а 7.1 - Класс обслуживания

Номер устройств

Назначенный приоритет 802.1p

Класс обслуживания

1

0

1

2

7

3

3

6

3

4

2

0

5

3

1

6

5

2

7

1

0

8

3

1

9

7

3

 

Таким образом, расставляя приоритеты для различных типов трафика можно добиться улучшенной производительности Вашей сети.

 

7.4 Списки доступа

 

Сетевым администраторам иногда необходимо предотвращать распространение некоторого трафика в сети и предоставлять доступ к ресурсам только для авторизированных пользователей. Стандартные решения безопасности для таких нужд, такие как пароли, физические ограничения, системы аутентификации и авторизации, вполне справляются с поставленной задачей, но есть некоторые проблемы с гибкостью, сложностью настройки и поддержки подобных решений. Примером такой задачи, может быть разграничение использования различных протоколов на базе одного пользователя, например, он может получить доступ в Интернет, но не должен работать с протоколом Telnet.

Коммутаторы компании D-Link имеют возможность фильтровать трафик на основе некоторых указанных признаков.

Правило доступа это логическое выражение, которое разрешает или запрещает прохождение конкретного пакета на основе какого-либо признака.

Профиль доступа – это набор однотипных правил доступа, который позволяет сформировать политику запрета или разрешения прохождения трафика, основываясь на некотором количестве признаков.

Списки доступа можно использовать для выполнения следующих задач:

-  ограничивать прохождения трафика в сети для повышения производительности, например, ограничивать видео потоки;

-  обеспечивать начальный уровень безопасности для получения доступа к ресурсам, разделять доступ к различным физическим ресурсам для различных пользователей в сети;

-  разделять доступ к различным логическим ресурсам для различных пользователей в сети. Примером может быть использование различных служб, сервисов (электронная почта, Интернет, IP-телефония);

-  контролировать зоны, в которые может попасть тот или иной пользователь, в зависимости от уровня доступа.

Профиль управления доступом дает возможность управлять трафиком и просматривать определенные пакеты, применяя списки доступа (ACL) на всех интерфейсах коммутатора.

В коммутаторах D-Link существует два основных типа профилей управления доступом: Ethernet и IP. Фильтрация в этих типах профилей может выполняться на основе МАС-адресов источника и приемника, VLAN, IP-адресов, номеров портов. Кроме этого коммутаторы позволяют фильтровать трафик по контенту пакетов (информации, которая хранится внутри пакета).

 

Рисунок 7.5

 

Структура профиля напоминает файловою систему. Профиль похож на каталог, который вмещает в себя файлы конкретного назначения, принадлежащие либо одной программе, либо отсортированные по другому признаку. Правило похоже на файл, который находится в каталоге и является частью чего-то большего, программы или, например, коллекции фотографий.

Ниже показана информация, которая может быть изъята из фрейма для принятия решения о пересылке или блокировке.

 

Рисунок 7.6

 

С точки  зрения логики алгоритм обработки фреймов через профили и списки доступа работает так:

-      на коммутатор приходит фрейм;

-      коммутатор берёт свой первый профиль доступа (это определяется порядковым номером, который присвоен этому профилю) и подставляет фрейм под общий критерий этого профиля;

-      если фрейм не подходит по общему критерию, то он сравнивается со следующим профилем;

-      если ни один из сконфигурированных профилей не соответствует параметрам фрейма, к нему применяется правило по умолчанию, которое разрешает прохождение таких фреймов;

-      если один из профилей подошёл по общему критерию, то к этому фрейму начинают применяться правила, которые прописаны в этом профиле;

-      правила применяются, начиная с самого верхнего и заканчивая самым нижним, в случае соответствия фрейма и указанного критерия правила, принимается выбор, который оговорен в правиле;

-      если ни одно из правил в указанном профиле не удовлетворяет параметрам фрейма, фрейм будет отброшен, так как последним правилом, идёт правило по умолчанию, которое называется полный запрет (implicit deny). Это правило всегда находится в конце любого списка правил и запрещает всё, что было явно не разрешено предыдущими правилами.

После нахождения совпадения какого-либо правила и принятия решения на его основе все последующие правила и профили не рассматриваются что достаточно критично для формирования политики профилей и списков доступа. Последовательность правил в каждом профиле задана жёстко, что задаёт явную последовательность применения правил к каждому фрейму и расстановка одних и тех же правил на различных позициях может в корне поменять политику пропускания и блокировки трафика. Логическая схема работы профилей и списков доступа.

 

 

Рисунок 7.7

 

Алгоритм создания профиля доступа. Проанализируйте  задачи фильтрации и определите:

-  какой профиль доступа использовать: Ethernet или IP;

-  определитесь со стратегией и запишите ее;

-  основываясь на стратегии, определите, какие маски профиля доступа Access Profile Mask нужны и создайте их;

-  добавьте правила Access Profile Rule связанные с маской.

В коммутаторах существуют ограничения на максимальное количество профилей доступа и правил, определенных для них. Так, например, коммутатор DES-3226S может поддерживать максимально 10 профилей доступа, содержащих максимум 50 правил (50 правил – суммарное количество правил для всех 10  определенных профилей), коммутатор DES-3526 – 9 профилей и до 800 правил.

Создание профилей доступа (с использованием Web-интерфейса). Процесс создание профиля доступа делится на две основные части:

-      создание маски профиля доступа - указывается какую часть или части кадра будет проверять коммутатор, например МАС адрес источника или IP адрес назначения;

-      создание правил профиля доступа: вводится условие, которое коммутатор будет использовать для определения действий над кадром (принять или отбросить).

 

         

 

Рисунок 7.8

 

Шаг 1: Создание маски профиля (Access Profile Mask).

1.  Зайдите на Web-интерфейс управления коммутатором. Выберите пункт Configuration/Access Profile Table.

2.  Щелкните на кнопке Add на странице таблицы настройки масок профилей Access Profile Table. Появится новое меню. Используйте его для создания профиля доступа и укажите, какие условия использовать для проверки кадра. Как только профиль будет создан, к профилю можно будет применить правила.

3.  Задайте следующие параметры маски профиля доступа:

а)  Идентификатор профиля (Profile ID): Наберите уникальный идентификационный номер для профиля или разрешите установить этот номер автоматически, выбрав опцию Auto Assign. Это значение может быть в диапазоне от 1 до 255;

б) Тип профиля доступа (Type): Выберите профиль Ethernet, IP, или PacketContentMask. Вид меню изменится в соответствии с требованиями для выбранного типа профиля. Используйте Ethernet, для того, чтобы коммутатор исследовал часть заголовка 2-го уровня каждого пакета. Используйте IP, для того, чтобы коммутатор исследовал IP адрес в заголовке каждого кадра. Используйте PacketContentMask для обработки пакетов по первым 80-ти байтам заголовка пакетов.

в)  VLAN: Выберите эту опцию, для того, чтобы коммутатор исследовал поле VLAN заголовка каждого пакета и использовал его в качестве критерия или части критерия для принятия решения о передаче пакетов.

Для профиля Ethernet:

-  маска адреса источника MAC (Source MAC Mask): Маска адреса источника MAC – введите маску MAC адреса для MAC адреса источника.

-  маска адреса назначения MAC (Destination MAC Mask): Маска адреса назначения MAC – введите маску MAC адреса для MAC адреса назначения.

-  802.1p: Выберите эту опцию, для того, чтобы коммутатор исследовал значение приоритета IEEE 802.1p заголовка каждого пакета и использовал его в качестве критерия или части критерия для принятия решения о передаче пакетов.

-  Ethernet Type: Выберите эту опцию для того, чтобы коммутатор исследовал значение типа Ethernet в заголовке каждого кадра.

Для профиля IP:

-  маска адреса источника IP (Source IP Mask): Маска адреса источника IP - введите маску IP адреса  для IP адреса источника;

-  маска адреса назначения IP (Destination IP Mask): Маска адреса назначения IP - введите маску IP адреса  для IP адреса назначения;

-  DSCP: Выберите эту опцию, для того, чтобы коммутатор исследовал DiffServ Code Point (DSCP) поле каждого пакета и использовал его в качестве критерия или части критерия для принятия решения о передаче пакетов;

-  Protocol: Выберите эту опцию для того, чтобы коммутатор исследовал определенные поля соответствующих протоколов (ICMP, IGMP, TCP, UDP) в заголовке каждого кадра. Для протоколов TCP и UDP в качестве критерия указываются номера портов приложений. Можно использовать либо номер порта источника, либо номер порта приемника, либо оба критерия вместе. В поле Source Port Mask Ox укажите маску  порта TCP/UDP для порта источника в шестнадцатеричном виде (hex 0x0-0xffff).В поле Destination Port Mask Ox укажите маску  порта TCP/UDP для порта приемника в шестнадцатеричном виде (hex 0x0-0xffff).

Для профиля PacketContentMask: Offset: по какому смещению располагаются обрабатываемые поля. 80 байт разбиты на 5 блоков по 16 байт.

Шаг 2: Создание правила для маски профиля доступа.

-      выберите нужный профиль доступа в таблице настроек масок профилей и нажмите кнопку Modify;

-      создайте новое правило для профиля доступа, щелкнув на кнопке Add. Удалить, ранее созданное правило, можно, нажав напростив него кнопку Delete;

-      введите значения в соответствие с ранее заданной маской профиля;

-      укажите к каким физическим портам будет привязано правило;

-      укажите каким будет правило Permit (разрешающее) или Deny (запрещающее).

В случае необходимости, при совпадении профиля, значения тега для IEEE 802.1p может быть заменено новым, меняющим приоритет пакета. Для этого надо выбрать опцию priority и ввести нужное значение в соседнем поле. Самый низший приоритет имеет значение 0, наивысший –7.

  

 

Список литературы

 

1.     Руководства пользователя коммутаторов D-Link DES-3526, DES-3828 и других.

2.     Материалы для тренингов D-Link.

3.     Якубайтис Э.А. Информационные сети и системы: Справочная книга. – М.: Финансы и статистика, 1996.

4.     Бэрри Нанс. Компьютерные сети пер. с англ. – М.: БИНОМ, 1996.

5.     Учебное пособие: Коммутаторы локальных сетей D-Link

6.     Стандарты группы IEEE для ЛВС.

7.     Гольдштейн А.Б., Гольдштейн Б.С. Технология и протоколы MPLS. Изд-во «БХВ – Санк-Петербург»,- 2005г.

8.     Гольдштейн Б.С., Пинчук А.В., Суховицкий А.Л. IP – телефония. Изд-во «Радио и связь»,- М., 2001 г.

9.     Шринивас Вегешна. Качествао обслуживания в сетях IP. Изд-во «Вильямс»,- Москва,Санк-Петербург, Киев., 2003 г.

10. Шелухин О.И., Лукьянцев Н.Ф. Цифровая обработка и передача речи. Изд-во «Радио и связь»,- М., 2000 г.

11. Бертсекас Д., Галлагер Р. Сети передачи данных. Изд-во «Мир» .- 1989г.

12. Дэвис Д., Барбер Д., Прайс У., Соломонидес С.  Вычислительные сети и сетевые протоколы. Изд-во «Мир», - 1982г.

13. Синхронные сети передачи данных, под ред. Шварцмана В.О. Изд-во «Радио и связь», - 1988 г.

14. Мартин Дж. Вычислительные сети и распределенная обработка данных, т.1,2; Изд-во «Мир». - 1986г.

15. Якубайтис Э.А. Архитектура вычислительных сетей. Изд-во «Статистика», -1980г.

16. Шварц М. Сети связи: протоколы, моделирования и анализ. 1,2 часть. Изд-во «Наука», - 1992г.

 

Содержание 

Введение                                                                                                                3

Глава 1. Технологии коммутации                                                                       4

1.1 Преимущества использования коммутаторов LAN в сетях                       4

1.2 Коммутация 2-го уровня                                                                                6

1.3 Коммутация 3-го уровня                                                                                6

1.4 Коммутация 4-го уровня                                                                                7

1.5 Технологическая реализация коммутаторов                                               8

1.6 Характеристики, влияющие на производительность коммутаторов        9

1.7 Понятие неуправляемых, управляемых и

настраиваемых коммутаторов                                                                           13

1.8 Конструктивное исполнение коммутаторов                                              14

1.9 Продукты компании D-Link                                                                        16

1.10 Дополнительные функции коммутаторов                                               17

Глава 2 Технология VLAN                                                                                18

2.1 Технология VLAN                                                                                        18

2.2 Типы VLAN                                                                                                  19

2.3 VLAN на базе MAC-адресов                                                                       20

2.4 VLAN на базе меток – стандарт 802.1Q                                                     21

2.5 Протокол GVRP                                                                                            25

2.6 Ассиметричные VLAN                                                                                27

Глава 3 Протокол связующего дерева                                                              29

3.1 Алгоритм работы протокола STP                                                               29

3.2 Пример работы STP                                                                                     31

3.3 Состояния работы портов                                                                            34

3.4 Rapid Spanning Tree Protocol (IEEE 802.1w)                                              35

3.5 Протокол Multiple Spanning Tree, MSTP                                                    37

Глава 4. Агрегирование каналов                                                                       40

4.1 Проблема пропускной способности                                                           40

4.2 Управление пропускной способностью портов.

Сегментирование трафика                                                                                 42

4.3 Контроль трафика                                                                                        44

4.4 Зеркалирование портов                                                                                46

Глава 5. Защита информации в сетях и коммутаторы D-Link                       47

5.1 Стандарт 802.1х                                                                                            47

5.2 Роли устройств                                                                                             49

5.3 Состояние портов коммутатора                                                                  51

5.4 Защита портов коммутатора и функция Port Security                               52

6 Глава. Многоадресная передача                                                                    54

6.1 Преимущества многоадресной рассылки                                                  54

6.2 Адресация многоадресной рассылки сетевого уровня                             55

6.3 Адресация многоадресной рассылки канального уровня                        56

6.4 Internet Group Management Protocol                                                            57

6.5 Процесс ответа на запросы                                                                          57

6.6 IGMP v 2                                                                                                        59

6.7 Подстройка максимального времени ожидания                                       60

6.8 Процесс выхода из группы IGMPv2                                                           61

6.9 Управление многоадресной рассылкой на 2 уровне                                 62

7 Глава. Качества обслуживания, QoS.                                                            66

7.1 Алгоритмы качества обслуживания                                                           67

7.2 Назначение расписания                                                                               69

7.3 Приоритет по умолчанию                                                                            70

7.4 Списки доступа                                                                                             71

Список литературы                                                                                            77