Kenalan

Apakah "tahap" suis L1, L2, L3, L4. Saluran komunikasi L2 dan L3 VPN - Perbezaan antara saluran fizikal dan maya peringkat berbeza Prinsip rangkaian pada tahap l2 l3

  • 21.06.2021

Sarjana Muda Kejuruteraan Radio

jurutera pelatih cawangan NVision Group NVision-Siberia

Pelajar sarjana SibSUTI

Perunding: Maramzin Valery Valentinovich, Jurutera reka bentuk terkemuka Arah rangkaian dan sistem penghantaran data Kumpulan NVision

Anotasi:

Artikel tersebut menerangkan elemen metodologi untuk menentukan topologi rangkaian pada peringkat pautan dan rangkaian.

Artikel ini menerangkan elemen metodologi untuk menentukan topologi rangkaian pada pautan data dan lapisan rangkaian

Kata kunci:

topologi, protokol

topologi, protokol

UDC 004.722

Pada masa ini, setiap syarikat besar mempunyai infrastruktur rangkaian tempatan dalaman sendiri. Rangkaian dalaman termasuk kedua-dua stesen kerja secara langsung dan mana-mana peranti rangkaian lain yang berada di bawah konsep "hos".

Hos (daripada Hos Bahasa Inggeris) - nod akhir dalam timbunan protokol TCP / IP. Peranti rangkaian yang paling biasa ialah penghala dan suis.

Lebih besar syarikat, lebih banyak dan bercabang rangkaiannya, yang merangkumi kedua-dua sumber intranet dan perkhidmatan lain serta struktur bersarang yang mesti sentiasa diselenggara dan dipantau. Ia adalah untuk tujuan pemantauan berkualiti tinggi rangkaian, penghapusan cepat kerosakan dan situasi kecemasan, mengenal pasti halangan saluran dan menyelesaikan masalah lain, adalah perlu untuk mengetahui topologi rangkaian.

Topologi rangkaian ialah konfigurasi graf, bucunya sepadan dengan nod akhir rangkaian (komputer) dan peralatan komunikasi (penghala, suis), dan tepi sepadan dengan pautan fizikal atau maklumat antara bucu.

Dalam kebanyakan kes, jenis topologi ialah pokok hierarki yang disambungkan secara longgar, apabila keseluruhan web rangkaian menyimpang daripada satu atau lebih pelayan akar yang berkuasa, penghala. Dan semakin besar rangkaian kawasan setempat, semakin sukar untuk mengekalkan dan mengesan kerosakan tanpa pengetahuan seni binanya.

Sudah tentu, pada masa ini terdapat beberapa penyelesaian siap sedia yang mampu menggambarkan graf rangkaian dengan petunjuk semua nod yang disertakan di dalamnya. Ini termasuk pelbagai pakej pengurusan rangkaian yang berfungsi dalam mod automatik dan tidak selalu mencerminkan keadaan sebenar objek dengan betul.

Contohnya, Pengurus Nod Rangkaian OpenView HP Hewlett-Packard dan produk sepertinya menyediakan maklumat topologi L3, tetapi memberikan sedikit maklumat tentang menyambung dan memutuskan sambungan peranti rangkaian. Iaitu, untuk penemuan berkesan nod rangkaian dan sambungan sedia ada di antara mereka, adalah perlu untuk beroperasi dengan cara menentukan topologi pada tahap L2, bekerja dalam mod penemuan sambungan pada tahap suis dan penghala.

Terdapat penyelesaian lain daripada pengeluar besar peralatan rangkaian tertentu, seperti Cisco Systems, Nortel Networks, yang telah membangunkan protokol CDP mereka sendiri, LLDP - piawaian untuk menservis rangkaian perusahaan besar. Tetapi masalahnya terletak pada perkara berikut: selalunya banyak rangkaian dilaksanakan pada peralatan dari pengeluar yang berbeza, dipilih untuk satu sebab atau yang lain, parameter atau keutamaan.

Oleh itu, adalah perlu untuk membangunkan kaedah universal untuk menentukan topologi rangkaian, tanpa mengira pembekal peralatan dan keadaan lain, yang akan menggunakan algoritma bercabang untuk menganalisis rangkaian dan nodnya, dan juga akan memberikan hasil dalam visual yang dipermudahkan. bentuk, sebagai contoh, dengan membina graf sambungan rangkaian.

Ini boleh dilakukan seperti berikut. Data input untuk algoritma akan menjadi parameter pengesahan salah satu peranti akar rangkaian dan alamat IPnya. Dari situ, pengumpulan maklumat tentang setiap peranti akan bermula melalui tinjauan SNMP bersiri, menggunakan urutan tindakan tertentu.

Mula-mula, anda perlu menetapkan protokol yang aktif dan disokong oleh peranti tertentu pada peranti berkenaan. Analisis awal harus termasuk menyemak aktiviti LLDP dan CDP - cara paling mudah untuk mengesan kedekatan antara peranti pada rangkaian. Protokol Penemuan Lapisan Pautan (LLDP) ialah protokol lapisan pautan yang membenarkan peranti rangkaian untuk mengumumkan maklumat tentang diri mereka sendiri dan keupayaannya kepada rangkaian, serta mengumpul maklumat ini tentang peranti jiran.

Cisco Discovery Protocol (CDP) ialah protokol lapisan pautan yang dibangunkan oleh Cisco Systems yang membolehkan anda menemui peralatan rangkaian Cisco yang disambungkan (secara langsung atau melalui peranti lapisan pertama), namanya, versi IOS dan alamat IP.

Oleh itu, jika peranti menyokong salah satu daripada protokol ini, algoritma segera mengakses bahagian sepadan jadual MIB (Pangkalan Maklumat Pengurusan), yang mengandungi semua maklumat tentang peranti jiran, jika mereka juga mengumumkannya tentang diri mereka sendiri. Ia termasuk alamat IP, maklumat port, maklumat casis dan jenis peranti.

Jika tiada sokongan LLDP / CDP, langkah kedua semakan adalah tinjauan SNMP MIB tempatan peranti semasa untuk mendapatkan maklumat tentang antara muka aktifnya dan jadual ARP.

Dalam kes ini, pertama sekali, prosedur pengesahan dilancarkan pada suis. Menggunakan jadual ARP (Address Resolution Protocol) suis, algoritma akan menerima maklumat tentang setiap peranti yang disambungkan dalam bentuk surat-menyurat antara MAC-address ̶ IP-address ̶ antara muka ̶ TTL

Pencarian untuk peranti jiran harus dilakukan dengan cara pengundian unicast berjujukan untuk semua alamat MAC yang terdapat dalam jadual ARP. Respons kepada permintaan ARP daripada peranti yang dicari melalui alamat MAC dan membetulkan antara muka yang menerima respons akan menjadi fakta bahawa peranti itu ditemui pada rangkaian. Setelah mengenal pasti kawasan kejiranan, kami melaksanakan prosedur pemadanan alamat MAC: jika respons kepada permintaan untuk alamat MAC peranti kedua tiba pada antara muka peranti pertama dan sebaliknya, respons diterima pada antara muka peranti kedua atas permintaan alamat MAC pertama, maka ini adalah talian komunikasi yang terjamin antara kedua-dua nod. Akibatnya, maklumat tentang kejiranan mengandungi bukan sahaja talian komunikasi antara nod, tetapi juga maklumat tentang antara muka yang disambungkan.

Menentukan kejiranan peranti dengan alamat MAC

Kemudian algoritma beralih ke suis seterusnya dan mengulangi prosedur pengesahan, meninggalkan entri dalam fail log tentang peranti yang telah dilawati dan parameternya, dengan itu melalui setiap nod dalam rangkaian secara berurutan.

Apabila mereka bentuk kaedah ini dan membangunkan algoritma, seseorang tidak sepatutnya melupakan beberapa syarat untuk operasi yang betul:

  1. Peranti mesti mempunyai protokol SNMP yang didayakan, sebaik-baiknya versi 3.
  2. Algoritma mesti dapat membezakan antara muka maya daripada yang sebenar dan membina graf ketersambungan berdasarkan sambungan fizikal sebenar.
Selepas memenuhi syarat operasi yang diperlukan dan melaksanakan algoritma jenis ini, sebagai hasilnya, kaedah universal untuk menentukan topologi rangkaian akan dibangunkan, yang boleh digunakan hanya untuk menggambarkan graf sambungan rangkaian, dan untuk memasukkan sebagai modul dalam yang lain. algoritma yang lebih kompleks untuk mengenal pasti dan menghapuskan kerosakan pada tahap L2, L3

Bibliografi:


1. Oliver V.G., Olife N.A. Jaringan komputer. Prinsip, teknologi, protokol (edisi ke-4) - SPb .: Peter, 2010 .-- 944s
2. Protokol Penemuan Lapisan Pautan (LLDP). Mod akses: http://xgu.ru/wiki/LLDP (tarikh akses 03/12/2014)
3. Mod akses Cisco Discovery Protocol (CDP): http://ru.wikipedia.org/wiki/CDP (tarikh akses 03/12/2014)

Ulasan:

03/13/2014, 21:09 Klinkov Georgy Todorov
Semakan: Perlu diingat bahawa topologi rangkaian memerlukan penghalaan yang cekap dan penukaran data, terutamanya berkaitan dengan teknologi tembok api - topologi Aktif-Aktif, penghalaan asimetri Cisco MSFC dan FWSM. Mengimbangi FWSM menggunakan penghalaan PBR atau ECMP; NAC - lokasi dalam topologi; IDS dan seni bina IPS.

13.03.2014, 22:08 Nazarova Olga Petrovna
Semakan: Perenggan terakhir adalah garis panduan. Tiada pengeluaran. Ubah suai.


17/03/2014, 9:44 AM Nazarova Olga Petrovna
Semakan: Disyorkan untuk mencetak.

Selalunya apabila memilih peranti rangkaian khusus untuk rangkaian anda, anda akan mendengar frasa seperti "suis L2", atau "peranti L3".

Dalam kes ini, kita bercakap tentang lapisan dalam model rangkaian OSI.

Peranti tahap L1 adalah peranti yang beroperasi pada tahap fizikal, pada dasarnya, mereka "tidak memahami" apa-apa tentang data yang mereka hantar, dan berfungsi pada tahap isyarat elektrik - isyarat telah tiba, ia dihantar lebih jauh . Peranti ini termasuk apa yang dipanggil "hab" yang popular pada zaman awal rangkaian Ethernet, serta pelbagai jenis pengulang. Jenis peranti ini biasanya dirujuk sebagai hab.

Peranti L2 beroperasi pada lapisan pautan data dan melakukan pengalamatan fizikal. Kerja pada tahap ini dilakukan dengan bingkai, atau kerana ia kadang-kadang juga dipanggil "bingkai". Tiada alamat ip pada tahap ini, peranti mengenal pasti pengirim dan penerima hanya melalui alamat MAC dan menghantar bingkai di antara mereka. Peranti sedemikian biasanya dipanggil suis, kadangkala menyatakan bahawa ini ialah "suis L2"

Peranti L3 beroperasi pada lapisan rangkaian, yang direka untuk menentukan laluan penghantaran data, dan memahami alamat IP peranti, menentukan laluan terpendek. Peranti peringkat ini bertanggungjawab untuk mewujudkan pelbagai jenis sambungan (PPPoE dan seumpamanya). Peranti ini biasanya dirujuk sebagai penghala, walaupun ia sering dirujuk sebagai "suis L3"

Peranti L4 bertanggungjawab untuk memastikan penghantaran data yang boleh dipercayai. Ini adalah, katakan, suis "lanjutan", yang, berdasarkan maklumat daripada pengepala paket, memahami bahawa trafik adalah milik aplikasi yang berbeza dan boleh membuat keputusan tentang mengubah hala trafik tersebut berdasarkan maklumat ini. Nama peranti sedemikian belum diselesaikan, kadangkala ia dipanggil "suis pintar", atau "suis L4".

berita

Firma "1C" memaklumkan tentang pemisahan teknikal versi PROF dan CORP platform "1C: Enterprise 8" (dengan perlindungan tambahan bagi lesen peringkat CORP) dan pengenalan beberapa sekatan ke atas penggunaan lesen peringkat PROF dari 11.02.2019.

Bagaimanapun, sumber dalam Perkhidmatan Cukai Persekutuan menjelaskan kepada RBC bahawa keputusan pihak berkuasa cukai tidak boleh dipanggil penangguhan. Tetapi jika usahawan tidak mempunyai masa untuk mengemas kini daftar tunai dan mulai 1 Januari terus mengeluarkan cek dengan VAT 18%, sambil mencerminkan kadar yang betul 20% dalam pelaporan, perkhidmatan cukai tidak akan menganggap ini sebagai pelanggaran, dia disahkan.

    VPN L2, ATAU ETHERNET TEREDAR Kategori VPN L2 merangkumi pelbagai perkhidmatan: daripada emulasi saluran titik-ke-titik khusus (E-Line) kepada sambungan berbilang titik dan emulasi fungsi suis Ethernet (E-LAN, VPLS). Teknologi VPN L2 adalah "telus" kepada protokol lapisan yang lebih tinggi, oleh itu, ia membenarkan, sebagai contoh, untuk menghantar trafik IPv4 atau IPv6, tanpa mengira versi protokol IP yang digunakan oleh pengendali. "Tahap rendah" mereka secara positif menunjukkan dirinya dalam kes tersebut apabila perlu untuk menghantar trafik SNA, NetBIOS, SPX / IPX. Walau bagaimanapun, kini, dalam tempoh "ipization" umum, peluang ini diperlukan semakin kurang. Ia akan mengambil sedikit masa, dan generasi baru pakar rangkaian secara amnya, mungkin, tidak akan tahu bahawa terdapat masa apabila protokol NetWare OS dan SPX / IPX "menguasai" rangkaian.

    Perkhidmatan VPN L2 biasanya digunakan untuk membina rangkaian korporat dalam bandar yang sama (atau bandar dan kawasan berhampiran), jadi konsep ini sering dianggap sebagai sinonim untuk istilah Metro Ethernet. Perkhidmatan sedemikian dicirikan oleh kelajuan saluran tinggi pada kos sambungan yang lebih rendah (berbanding dengan L3 VPN). Kelebihan VPN L2 juga adalah sokongan untuk bingkai jumbo, kesederhanaan relatif dan kos rendah peralatan pelanggan yang dipasang di sempadan dengan pembekal (L2).

    Populariti perkhidmatan VPN L2 yang semakin meningkat sebahagian besarnya disebabkan oleh keperluan pusat data yang diedarkan secara geografi yang toleran terhadap kesalahan: untuk mesin maya "mengembara", sambungan terus antara nod pada tahap L2 diperlukan. Perkhidmatan sedemikian, sebenarnya, membolehkan anda meregangkan domain L2. Ini adalah penyelesaian yang dinyahpepijat dengan baik, tetapi selalunya memerlukan konfigurasi yang kompleks. Khususnya, apabila menyambungkan pusat data ke rangkaian pembekal perkhidmatan di beberapa titik - dan ini sangat diingini untuk meningkatkan toleransi kesalahan - mekanisme tambahan diperlukan untuk memastikan penggunaan sambungan yang optimum dan menghapuskan kejadian "gelung beralih".

    Terdapat juga penyelesaian yang direka khusus untuk menghubungkan rangkaian pusat data pada tahap L2, seperti teknologi Overlay Transport Virtualization (OTV) yang dilaksanakan dalam suis Cisco Nexus. Ia beroperasi di atas rangkaian IP, menggunakan semua kelebihan penghalaan pada tahap L3: skalabiliti yang baik, toleransi kesalahan yang tinggi, sambungan pada berbilang titik, penghantaran trafik melalui berbilang laluan, dsb. penyelesaian / LAN "untuk 2010).

    VPN L2 ATAU L3

    Jika, dalam hal membeli perkhidmatan VPN L2, perusahaan perlu menjaga trafik penghalaan antara nodnya, maka dalam sistem VPN L3 masalah ini diselesaikan oleh pembekal perkhidmatan. Tujuan utama L3 VPN adalah untuk menyambungkan tapak yang terletak di bandar yang berbeza, pada jarak yang jauh antara satu sama lain. Perkhidmatan ini cenderung mempunyai kos sambungan yang lebih tinggi (kerana penghala yang terlibat, bukan suis), sewa yang tinggi dan lebar jalur yang rendah (biasanya sehingga 2 Mbps). Harga boleh meningkat dengan ketara bergantung pada jarak antara titik sambungan.

    Kelebihan penting L3 VPN ialah sokongannya untuk QoS dan fungsi kejuruteraan trafik, yang memastikan tahap kualiti yang diperlukan untuk telefon IP dan perkhidmatan persidangan video. Kelemahan mereka ialah kelegapan untuk perkhidmatan Ethernet, kekurangan sokongan untuk bingkai Ethernet bersaiz besar, dan kos yang lebih tinggi berbanding perkhidmatan Metro Ethernet.

    Ambil perhatian bahawa teknologi MPLS boleh digunakan untuk mengatur kedua-dua L2 dan L3 VPN. Tahap perkhidmatan VPN ditentukan bukan oleh tahap teknologi yang digunakan untuknya (MPLS biasanya sukar untuk merujuk kepada mana-mana tahap tertentu model OSI, sebaliknya ia adalah teknologi L2.5), tetapi oleh "sifat pengguna": jika rangkaian pengendali mengarahkan trafik pelanggan, maka ia adalah L3, jika ia meniru sambungan lapisan pautan (atau fungsi suis Ethernet) - L2. Pada masa yang sama, teknologi lain boleh digunakan untuk membentuk L2 VPN, contohnya, 802.1ad Provider Bridging atau 802.1ah Provider Backbone Bridges.

    Penyelesaian 802.1ad Provider Bridging, juga dikenali dengan banyak nama lain (vMAN, Q-in-Q, Tag Stacking, VLAN Stacking), membolehkan anda menambah tag VLAN 802.1Q kedua pada bingkai Ethernet. Pembekal perkhidmatan boleh mengabaikan teg VLAN dalaman yang ditetapkan oleh peralatan klien - teg luaran sudah cukup untuk memajukan trafik. Teknologi ini mengalih keluar had 4096 VLAN ID yang terdapat dalam teknologi Ethernet klasik, yang meningkatkan kebolehskalaan perkhidmatan dengan ketara. Penyelesaian 802.1ah Provider Backbone Bridges (PBB) menyediakan penambahan alamat MAC kedua pada bingkai, manakala alamat MAC peralatan sasaran disembunyikan daripada suis tulang belakang. PBB menyediakan sehingga 16 juta pengecam perkhidmatan.

Data Tampal RAW

VPN L2, ATAU ETHERNET TEREDAR Kategori VPN L2 merangkumi pelbagai perkhidmatan: daripada emulasi saluran titik-ke-titik khusus (E-Line) kepada sambungan berbilang titik dan emulasi fungsi suis Ethernet (E-LAN, VPLS). Teknologi VPN L2 adalah "telus" kepada protokol lapisan yang lebih tinggi, oleh itu, ia membenarkan, sebagai contoh, untuk menghantar trafik IPv4 atau IPv6, tanpa mengira versi protokol IP yang digunakan oleh pengendali. "Tahap rendah" mereka secara positif menunjukkan dirinya dalam kes tersebut apabila perlu untuk menghantar trafik SNA, NetBIOS, SPX / IPX. Walau bagaimanapun, kini, dalam tempoh "ipization" umum, peluang ini diperlukan semakin kurang. Ia akan mengambil sedikit masa, dan generasi baru pakar rangkaian secara amnya, mungkin, tidak akan tahu bahawa terdapat masa apabila protokol NetWare OS dan SPX / IPX "menguasai" rangkaian. Perkhidmatan VPN L2 biasanya digunakan untuk membina rangkaian korporat dalam bandar yang sama (atau bandar dan kawasan berhampiran), jadi konsep ini sering dianggap sebagai sinonim untuk istilah Metro Ethernet. Perkhidmatan sedemikian dicirikan oleh kelajuan saluran tinggi pada kos sambungan yang lebih rendah (berbanding dengan L3 VPN). Kelebihan VPN L2 juga adalah sokongan untuk bingkai jumbo, kesederhanaan relatif dan kos rendah peralatan pelanggan yang dipasang di sempadan dengan pembekal (L2). Populariti perkhidmatan VPN L2 yang semakin meningkat sebahagian besarnya disebabkan oleh keperluan pusat data yang diedarkan secara geografi yang toleran terhadap kesalahan: untuk mesin maya "mengembara", sambungan terus antara nod pada tahap L2 diperlukan. Perkhidmatan sedemikian, sebenarnya, membolehkan anda meregangkan domain L2. Ini adalah penyelesaian yang dinyahpepijat dengan baik, tetapi selalunya memerlukan konfigurasi yang kompleks. Khususnya, apabila menyambungkan pusat data ke rangkaian pembekal perkhidmatan di beberapa titik - dan ini sangat wajar untuk meningkatkan toleransi kesalahan - mekanisme tambahan diperlukan untuk memastikan penggunaan sambungan yang optimum dan menghapuskan kejadian "gelung beralih". Terdapat juga penyelesaian yang direka khusus untuk menghubungkan rangkaian pusat data pada tahap L2, seperti teknologi Overlay Transport Virtualization (OTV) yang dilaksanakan dalam suis Cisco Nexus. Ia beroperasi di atas rangkaian IP, menggunakan semua kelebihan penghalaan pada tahap L3: skalabiliti yang baik, toleransi kesalahan yang tinggi, sambungan pada berbilang titik, penghantaran trafik melalui berbilang laluan, dsb. penyelesaian / LAN "untuk 2010). VPN L2 ATAU L3 Jika, apabila membeli perkhidmatan VPN L2, perusahaan perlu menjaga trafik penghalaan antara nodnya, maka dalam sistem VPN L3 masalah ini diselesaikan oleh pembekal perkhidmatan. Tujuan utama L3 VPN adalah untuk menyambungkan tapak yang terletak di bandar yang berbeza, pada jarak yang jauh antara satu sama lain. Perkhidmatan ini cenderung mempunyai kos sambungan yang lebih tinggi (kerana penghala yang terlibat, bukan suis), sewa yang tinggi dan lebar jalur yang rendah (biasanya sehingga 2 Mbps). Harga boleh meningkat dengan ketara bergantung pada jarak antara titik sambungan. Kelebihan penting L3 VPN ialah sokongannya untuk QoS dan fungsi kejuruteraan trafik, yang memastikan tahap kualiti yang diperlukan untuk telefon IP dan perkhidmatan persidangan video. Kelemahan mereka ialah kelegapan untuk perkhidmatan Ethernet, kekurangan sokongan untuk bingkai Ethernet bersaiz besar, dan kos yang lebih tinggi berbanding perkhidmatan Metro Ethernet. Ambil perhatian bahawa teknologi MPLS boleh digunakan untuk mengatur kedua-dua L2 dan L3 VPN. Tahap perkhidmatan VPN ditentukan bukan oleh tahap teknologi yang digunakan untuknya (MPLS biasanya sukar untuk merujuk kepada mana-mana tahap tertentu model OSI, sebaliknya ia adalah teknologi L2.5), tetapi oleh "sifat pengguna": jika rangkaian pengendali mengarahkan trafik pelanggan, maka ia adalah L3, jika ia meniru sambungan lapisan pautan (atau fungsi suis Ethernet) - L2. Pada masa yang sama, teknologi lain boleh digunakan untuk membentuk L2 VPN, contohnya, 802.1ad Provider Bridging atau 802.1ah Provider Backbone Bridges. Penyelesaian 802.1ad Provider Bridging, juga dikenali dengan banyak nama lain (vMAN, Q-in-Q, Tag Stacking, VLAN Stacking), membolehkan anda menambah tag VLAN 802.1Q kedua pada bingkai Ethernet. Pembekal perkhidmatan boleh mengabaikan teg VLAN dalaman yang ditetapkan oleh peralatan klien - teg luaran sudah cukup untuk memajukan trafik. Teknologi ini mengalih keluar had 4096 VLAN ID yang terdapat dalam teknologi Ethernet klasik, yang meningkatkan kebolehskalaan perkhidmatan dengan ketara. Penyelesaian 802.1ah Provider Backbone Bridges (PBB) menyediakan penambahan alamat MAC kedua pada bingkai, manakala alamat MAC peralatan sasaran disembunyikan daripada suis tulang belakang. PBB menyediakan sehingga 16 juta pengecam perkhidmatan.

Dengan senyuman yang baik, saya kini teringat bagaimana manusia menantikan kiamat pada tahun 2000 dengan penuh cemas. Kemudian ini tidak berlaku, tetapi peristiwa yang sama sekali berbeza berlaku dan juga sangat penting.

Dari segi sejarah, pada masa itu dunia memasuki revolusi komputer sebenar v. 3.0. - mulakan teknologi awan penyimpanan dan pemprosesan data teragih... Lebih-lebih lagi, jika "revolusi kedua" sebelumnya adalah peralihan besar-besaran kepada teknologi "pelayan-pelanggan" pada tahun 80-an, maka yang pertama boleh dianggap sebagai permulaan kerja serentak pengguna menggunakan terminal berasingan yang disambungkan kepada apa yang dipanggil. "Kerangka utama" (dalam 60-an abad yang lalu). Perubahan revolusioner ini berlaku secara aman dan tidak dapat dilihat oleh pengguna, tetapi menjejaskan seluruh dunia perniagaan bersama dengan teknologi maklumat.

Apabila memindahkan infrastruktur IT ke dan pusat data jauh (pusat pemprosesan data), isu utama serta-merta menjadi organisasi saluran komunikasi yang boleh dipercayai daripada pelanggan. Di Internet, sering terdapat cadangan daripada pembekal: "talian pajakan fizikal, gentian optik", "Saluran L2", "VPN" dan sebagainya ... Mari kita cuba memikirkan apa yang ada di sebalik ini dalam amalan.

Saluran komunikasi - fizikal dan maya

1. Organisasi "talian fizikal" atau "saluran tahap kedua, L2" biasanya dipanggil perkhidmatan menyediakan kabel khusus (tembaga atau gentian optik) oleh pembekal, atau saluran radio antara pejabat dan tapak tempat data peralatan pusat digunakan. Dengan memesan perkhidmatan ini, dalam praktiknya, kemungkinan besar anda akan menerima saluran gentian optik khusus untuk disewa. Penyelesaian ini menarik kerana pembekal bertanggungjawab untuk komunikasi yang boleh dipercayai (dan sekiranya berlaku kerosakan kabel, ia memulihkan kebolehkendalian saluran itu sendiri). Walau bagaimanapun, dalam kehidupan sebenar, kabel tidak pepejal sepanjang - ia terdiri daripada banyak serpihan yang disambungkan (dikimpal), yang agak mengurangkan kebolehpercayaannya. Dalam cara meletakkan kabel gentian optik, pembekal perlu menggunakan penguat, pembahagi dan modem pada titik akhir.

Dalam bahan pemasaran, penyelesaian ini dirujuk sebagai lapisan L2 (Data-Link) model rangkaian OSI atau TCP / IP secara bersyarat - ia membolehkan anda bekerja seolah-olah pada tahap menukar bingkai Ethernet dalam LAN, tanpa perlu risau tentang banyak masalah penghalaan paket pada lapisan rangkaian IP seterusnya. Sebagai contoh, adalah mungkin untuk terus menggunakan alamat IP "peribadi" mereka dalam rangkaian maya pelanggan dan bukannya alamat awam unik yang didaftarkan. Memandangkan sangat mudah untuk menggunakan alamat IP peribadi dalam rangkaian tempatan, julat khas daripada kelas pengalamatan utama telah diperuntukkan kepada pengguna:

  • 10.0.0.0 - 10.255.255.255 dalam kelas A (dengan topeng 255.0.0.0 atau / 8 dalam format tatatanda topeng alternatif);
  • 100.64.0.0 - 100.127.255.255 dalam kelas A (dengan topeng 255.192.0.0 atau / 10);
  • 172.16.0.0 - 172.31.255.255 dalam kelas B (dengan topeng 255.240.0.0 atau / 12);
  • 192.168.0.0 - 192.168.255.255 dalam kelas C (dengan topeng 255.255.0.0 atau / 16).

Alamat sedemikian dipilih oleh pengguna sendiri untuk "kegunaan dalaman" dan boleh diulang serentak dalam beribu-ribu rangkaian pelanggan, jadi paket data dengan alamat peribadi dalam pengepala tidak dihalakan di Internet - untuk mengelakkan kekeliruan. Untuk mengakses Internet, anda perlu menggunakan NAT (atau penyelesaian lain) pada bahagian klien.

Nota: NAT - Terjemahan Alamat Rangkaian (mekanisme untuk menggantikan alamat rangkaian paket transit dalam rangkaian TCP / IP, digunakan untuk menghalakan paket dari rangkaian tempatan klien ke rangkaian lain / Internet dan dalam arah yang bertentangan - ke LAN klien, ke penerima).

Pendekatan ini (dan kita bercakap tentang saluran khusus) juga mempunyai kelemahan yang jelas - jika pejabat pelanggan berpindah, mungkin terdapat kesukaran yang serius dengan menyambung ke lokasi baharu dan keperluan untuk menukar pembekal adalah mungkin.

Dakwaan bahawa saluran sedemikian jauh lebih selamat, lebih dilindungi daripada serangan berniat jahat dan kesilapan kakitangan teknikal berkemahiran rendah, apabila diperiksa lebih dekat, ternyata hanya mitos. Dalam amalan, masalah keselamatan sering timbul (atau sengaja dicipta oleh penggodam) secara langsung di pihak pelanggan, dengan penyertaan faktor manusia.

2. Saluran maya dan VPN (Rangkaian Persendirian Maya) yang dibina di atasnya adalah meluas dan membolehkan menyelesaikan kebanyakan tugas pelanggan.

Menyediakan "L2 VPN" oleh pembekal menganggap pilihan beberapa perkhidmatan "peringkat kedua" yang mungkin, L2:

VLAN - pelanggan menerima rangkaian maya antara pejabat, cawangan mereka (sebenarnya, trafik pelanggan melalui peralatan aktif pembekal, yang mengehadkan kelajuan);

Point-to-Point PWE3(dengan kata lain, "emulasi pseudo-end-to-end" dalam rangkaian bertukar paket) membenarkan bingkai Ethernet dihantar antara dua nod seolah-olah ia disambungkan secara langsung. Bagi pelanggan dalam teknologi ini, adalah penting bahawa semua bingkai yang dihantar dihantar ke titik terpencil tidak berubah. Perkara yang sama berlaku dalam arah yang bertentangan. Ini mungkin disebabkan oleh fakta bahawa bingkai pelanggan yang tiba di penghala pembekal dirangkumkan lagi (ditambah) ke dalam blok data peringkat lebih tinggi (paket MPLS), dan diekstrak pada titik akhir;


Nota: PWE3 - Pseudo-Wire Emulation Edge to Edge (mekanisme yang, dari sudut pandangan pengguna, ia menerima sambungan khusus).

MPLS - Penukaran Label BerbilangProtokol (teknologi penghantaran data di mana paket diberikan label pengangkutan / perkhidmatan dan laluan penghantaran paket data dalam rangkaian ditentukan hanya berdasarkan nilai label, tanpa mengira medium penghantaran, menggunakan sebarang protokol. Semasa penghalaan, label baharu boleh ditambah (apabila perlu) atau dipadamkan apabila fungsinya telah tamat (kandungan pakej tidak dianalisis atau diubah).

VPLS ialah teknologi simulasi LAN berbilang titik. Dalam kes ini, rangkaian pembekal kelihatan seperti suis tunggal dari sisi pelanggan yang menyimpan jadual alamat MAC peranti rangkaian. "Suis" maya seperti itu mengedarkan bingkai Ethernet yang datang dari rangkaian pelanggan, mengikut tujuan yang dimaksudkan - untuk ini, bingkai itu dikapsulkan dalam paket MPLS, dan kemudian diekstrak.


Nota: VPLS ialah Perkhidmatan LAN Persendirian Maya (mekanisme yang, dari sudut pandangan pengguna, rangkaiannya yang tersebar secara geografi disambungkan melalui sambungan L2 maya).

MAC - Kawalan Capaian Media (kaedah kawalan akses media - pengecam alamat unik 6-bait bagi peranti rangkaian (atau antara mukanya) dalam rangkaian Ethernet).


3. Dalam kes penggunaan "L3 VPN", rangkaian pembekal kelihatan seperti satu penghala dengan beberapa antara muka di mata pelanggan. Oleh itu, persimpangan rangkaian tempatan pelanggan dengan rangkaian pembekal berlaku pada tahap L3 model rangkaian OSI atau TCP / IP.

Alamat IP awam untuk titik persimpangan rangkaian boleh ditentukan dengan persetujuan dengan pembekal (kepunyaan pelanggan atau diperoleh daripada pembekal). Alamat IP dikonfigurasikan oleh pelanggan pada penghala mereka pada kedua-dua belah pihak (peribadi - dari sisi rangkaian tempatan mereka, awam - dari pembekal), penghalaan selanjutnya paket data disediakan oleh pembekal. Secara teknikal, MPLS digunakan untuk melaksanakan penyelesaian sedemikian (lihat di atas), serta teknologi GRE dan IPSec.


Nota: GRE - Enkapsulasi Penghalaan Generik (protokol terowong, pembungkusan paket rangkaian, yang membolehkan anda mewujudkan sambungan logik yang selamat antara dua titik akhir - menggunakan pengkapsulan protokol pada lapisan rangkaian L3).

IPSec - IP Security (satu set protokol untuk melindungi data yang dihantar menggunakan IP. Pengesahan, penyulitan dan semakan integriti paket digunakan).

Adalah penting untuk memahami bahawa infrastruktur rangkaian moden dibina dengan cara yang pelanggan hanya melihat sebahagian daripadanya yang ditakrifkan oleh kontrak. Sumber khusus (pelayan maya, penghala, storan dan storan sandaran), serta program yang sedang berjalan dan kandungan memori diasingkan sepenuhnya daripada pengguna lain. Beberapa pelayan fizikal boleh berfungsi secara konsert dan pada masa yang sama untuk satu pelanggan, dari sudut pandangan ia akan kelihatan seperti satu kumpulan pelayan yang berkuasa. Sebaliknya, banyak mesin maya boleh dibuat serentak pada satu pelayan fizikal (masing-masing akan melihat kepada pengguna seperti komputer berasingan dengan sistem pengendalian). Sebagai tambahan kepada yang standard, penyelesaian individu ditawarkan yang juga memenuhi keperluan yang diterima mengenai keselamatan pemprosesan dan penyimpanan data pelanggan.

Pada masa yang sama, konfigurasi rangkaian "peringkat L3" yang digunakan dalam awan membolehkan penskalaan sehingga saiz yang hampir tidak terhad (Internet dan pusat data yang besar dibina berdasarkan prinsip ini). Protokol penghalaan dinamik, seperti OSPF, dan lain-lain dalam rangkaian awan L3, membolehkan anda memilih laluan terpendek untuk penghalaan paket data, menghantar paket secara serentak dalam beberapa cara untuk muat turun terbaik dan mengembangkan lebar jalur saluran.

Pada masa yang sama, adalah mungkin untuk menggunakan rangkaian maya pada "peringkat L2", yang tipikal untuk pusat data kecil dan aplikasi pelanggan yang sudah lapuk (atau sangat khusus). Dalam sesetengah kes ini, malah teknologi L2 atas L3 digunakan untuk memastikan keserasian rangkaian dan prestasi aplikasi.

Mari kita ringkaskan

Hari ini, tugas pengguna / pelanggan dalam kebanyakan kes boleh diselesaikan dengan berkesan dengan mengatur rangkaian VPN peribadi maya menggunakan teknologi GRE dan IPSec untuk keselamatan.

Tidak masuk akal untuk menentang L2 dan L3, sama seperti tidak masuk akal untuk menganggap cadangan saluran L2 sebagai penyelesaian terbaik untuk membina komunikasi yang boleh dipercayai dalam rangkaian anda, ubat mujarab. Saluran komunikasi moden dan peralatan pembekal membolehkan menyampaikan sejumlah besar maklumat, dan banyak saluran khusus yang dipajak oleh pengguna, sebenarnya, bahkan kurang digunakan. Adalah munasabah untuk menggunakan L2 hanya dalam kes khas apabila spesifik tugas memerlukannya, mengambil kira batasan kemungkinan pengembangan rangkaian sedemikian pada masa hadapan dan berunding dengan pakar. Sebaliknya, VPN L3, semua perkara lain adalah sama, lebih serba boleh dan lebih mudah digunakan.

Gambaran keseluruhan ini menyenaraikan secara ringkas penyelesaian tipikal moden yang digunakan apabila memindahkan infrastruktur IT tempatan ke pusat data jauh. Setiap daripada mereka mempunyai pengguna sendiri, kelebihan dan kekurangan, pilihan penyelesaian yang betul bergantung pada tugas tertentu.

Dalam kehidupan sebenar, kedua-dua peringkat model rangkaian L2 dan L3 bekerjasama, masing-masing bertanggungjawab untuk tugasnya sendiri dan menentangnya dalam pengiklanan, penyedia secara terbuka licik.

Kami akan membina rangkaian sedemikian pada peranti cisco

Perihalan rangkaian:
VLAN1 (lalai-IT) - 192.168.1.0/24
VLAN2 (SHD) - 10.8.2.0/27
VLAN3 (SERV) - 192.168.3.0/24
VLAN4 (LAN) - 192.168.4.0/24
VLAN5 (BUH) - 192.168.5.0/24
VLAN6 (TELEFON) - 192.168.6.0/24
VLAN7 (CAMERS) - 192.168.7.0/24

VLAN9 (WAN) - 192.168.9.2/24

Peranti:
Suis Cisco c2960 L2-level - 3 keping
Suis peringkat Cisco c3560 L2 dan L3 - 1 keping
Semua suis akan berada dalam VLAN1 dan mempunyai rangkaian 192.168.1.0/24

Mana-mana penghala (saya ada Mikrotik RB750) - 1pc

Pelayan Win2008 (DHCP) - untuk pengedaran alamat ip
Setiap VLAN mempunyai 2 komputer sebagai titik akhir.

Mari mulakan.


Mula-mula, mari kita konfigurasi suis cisco L2 tahap sw1
Secara lalai, semua port berada dalam VLAN1, jadi kami tidak akan menciptanya.
  1. Kami menyambung ke konsol: telnet 192.168.1.1
  2. Masukkan kata laluan anda
  3. sw1>membolehkan(Kami pergi ke mod istimewa untuk memasukkan arahan)
  1. sw # conf-t (pergi ke mod konfigurasi)
  2. sw (konfigurasi) # vlan 2 (Buat VLAN)
  3. sw (config-vlan) # nama SHD (berikan nama kepada VLAN2 ini)
  4. sw (config-vlan) # keluar
  5. sw #

Tentukan port untuk menyambungkan komputer ke VLAN2

Pada port pertama dan kedua suis, saya akan mempunyai VLAN1

Pada port ketiga dan keempat VLAN2

Pada VLAN3 kelima dan keenam

  1. sw # conf-t (pergi ke mod konfigurasi)
  2. sw (konfigurasi) # int fa0 / 3 (untuk satu port Pilih antara muka)
  3. sw (konfigurasi) # int fa0 / 3-4 (untuk beberapa port sekaligus, kami memilih antara muka)
  4. sw (config-if) #
  5. sw (config-if) # akses switchport vlan 2 (tetapkan VLAN2 ke port ini)
  6. sw (config-if) #
  7. sw (config-if) # keluar
  8. sw #

Untuk menyambungkan suis kami (sw1 -cisco 2960-L2) kepada suis (sw2 -cisco 3560-L2L3)

kita perlu memindahkan VLAN yang dibuat (jika perlu) ke suis lain, untuk ini kita akan mengkonfigurasi port TRUNK (VLAN kami berjalan di port trunk)

Kami memilih port terpantas (kerana beberapa VLAN (subnet) akan berjalan di atasnya)

  1. sw # conf-t (pergi ke mod konfigurasi)
  2. sw (konfigurasi) #
  3. sw (konfigurasi) #
  4. sw (config-if) #
  5. sw (config-if) # trak switchport membenarkan vlan 2,3, (kami menunjukkan VLAN mana yang akan lulus)
  6. sw (config-if) # tiada penutupan (hidupkan antara muka)
  7. sw (config-if) # keluar
  8. Kami mengulangi langkah untuk port yang diperlukan

RINGKASAN konfigurasi suis L2:

  1. Memandangkan peranti ini L2, ia tidak memahami apa itu alamat ip.
  2. Komputer yang disambungkan kepada ini pelabuhan boleh melihat satu sama lain dalam yang diberikan VLAN. Iaitu dari VLAN1 saya tidak akan masuk ke VLAN2 dan sebaliknya.
  3. Mengkonfigurasi port gigabit untuk penghantaran VLAN ke suis sw2 -cisco 3560-L2L3.
______________________________________

Tambahkan pada rangkaian yang telah kami buat pada suis L2 (sw1), suis (sw2) cisco-3560 L2L3

Mari konfigurasikan peranti 3560 L3 kami (memahami alamat ip dan membuat penghalaan antara VLAN)


 1. Ia adalah perlu untuk mencipta semua VLAN yang akan menerangkan topologi rangkaian anda, kerana suis L3 ini akan mengarahkan trafik antara VLAN.

Cipta VLAN (arahan untuk vlan dibuat pada semua peranti dengan cara yang sama)

  1. sw # conf-t (pergi ke mod konfigurasi)
  2. sw (konfigurasi) # vlan 4 (Buat VLAN)
  3. sw (config-if) # nama LAN (kami memberikan nama kepada VLAN2 ini)
  4. sw (config-if) # keluar
  5. Kami mengulangi langkah jika perlu menambah VLAN
  6. sw # tunjukkan ringkasan vlan (lihat apa yang telah dibuat oleh VLAN)
2. Tentukan port untuk menyambungkan komputer.

- pada port pertama suis saya akan mempunyai VLAN9

- pada port ketiga dan keempat VLAN7

  1. sw # conf-t (pergi ke mod konfigurasi)
  2. sw (konfigurasi) # int fa0 / 1 (untuk satu port Pilih antara muka)
  3. sw (konfigurasi) # int fa0 / 3-7 (untuk beberapa port sekaligus, kami memilih antara muka)
  4. sw (config-if) # akses mod port suis (Kami menunjukkan bahawa port ini adalah untuk peranti)
  5. sw (config-if) # akses switchport vlan 9 (tetapkan VLAN9 ke port ini)
  6. sw (config-if) # tiada penutupan (hidupkan antara muka)
  7. sw (config-if) # keluar
  8. Kami mengulangi langkah untuk port yang diperlukan
  9. sw # tunjukkan larian (lihat tetapan peranti)
3. Buat port batang

Kami memilih port terpantas (kerana beberapa VLAN (subnet) akan berjalan di atasnya)

  1. sw # conf-t (pergi ke mod konfigurasi)
  2. sw (konfigurasi) # int gi0 / 1 (untuk satu port Pilih antara muka)
  3. sw (konfigurasi) # int gi0 / 1-2 (untuk beberapa port sekaligus, Pilih antara muka)
  4. Oleh kerana kami mengkonfigurasi L3, kami perlu memindahkan dari port fizikal ke port maya alamat ip dan sebaliknya (enkapsulasi)
  5. sw (config-if) # pengkapsulan batang switchport dot1q (Nyatakan pengkapsulan)
  6. sw (config-if) # batang mod switchport (Kami menunjukkan bahawa port ini adalah untuk VLAN)
  7. sw (config-if) # trak switchport membenarkan vlan 1-7, (kami menunjukkan VLAN mana yang akan lulus)
  8. sw (config-if) # tiada penutupan (hidupkan antara muka)
  9. sw (config-if) # keluar
  10. Kami mengulangi langkah untuk port yang diperlukan
4. Kami meletakkan penghala dalam mod L3
  1. sw # conf-t (pergi ke mod konfigurasi)
  2. sw (konfigurasi) # penghalaan ip (dayakan penghalaan)
5. Memandangkan suis kami adalah tahap L3, kami menggantung alamat ip pada VLAN pada port untuk mengarahkan trafik.
Untuk VLAN interworking (supaya anda boleh mendapatkan dari VLAN2 ke VLAN3, dsb.)

Tetapkan semua antara muka maya VLAN, alamat ip

  1. sw # conf-t (pergi ke mod konfigurasi)
  2. sw (konfigurasi) # int vlan 2 (kami menggantung alamat ip pada VLAN2)
  3. sw (konfigurasi) # alamat ip 10.8.2.1 255.255.255.224 (alamat ini akan menjadi pintu masuk untuk subnet ini)
  4. sw (config-if) # tiada penutupan (hidupkan antara muka)
  5. sw (config-if) # keluar
  1. sw # conf-t (pergi ke mod konfigurasi)
  2. sw (konfigurasi) # int vlan 3 (kami menggantung alamat ip pada VLAN3)
  3. sw (konfigurasi) # alamat ip 192.168.3.1 255.255.255.0 (alamat ini akan menjadi pintu masuk untuk subnet ini)
  4. sw (config-if) # tiada penutupan (hidupkan antara muka)
  5. sw (config-if) # keluar
  6. Kami mengulangi langkah untuk antara muka yang diperlukan



artikel berkaitan

Artikel terbaru
Artikel popular
Pilihan Editor
  • 2021-11-11 12:38:28
    Nilai avatar dalam psikologi

    Melalui avatar, anda boleh mengetahui beberapa sifat perwatakan seseorang - kedua-dua anda sendiri dan orang yang anda minati. Ini bukan tentang menguji seseorang sepenuhnya untuk ...

  • 2021-11-11 12:38:28
    Nilai avatar dalam psikologi

    Imej maya kami, bersama-sama dengan imej dalam kehidupan sebenar, secara aktif mempengaruhi kejayaan kerjaya. Tangga kerjaya dalam talian bermula dengan mengisi ...

  • 2021-11-11 12:38:28
    Bagaimana untuk menekankan surat dalam MS Word

    Bahasa Rusia sangat kompleks dan pelbagai rupa, itulah sebabnya ramai orang asing mempelajarinya dengan susah payah. Salah satu ciri menarik bahasa kita ialah makna ...

  • 2021-11-11 12:38:28
    Apa ertinya jika avatar seseorang

    Hari ini di Internet terdapat banyak perkataan baru dan kadang-kadang tidak dapat difahami sepenuhnya untuk kita, seperti skype, spam, banjir, userpic dan banyak lagi. Dalam artikel ini ...

  • 2021-11-11 12:38:28
    Cara Mencipta Momen Twitter Anda Sendiri

    Di Twitter, Moments hanyalah koleksi tweet (dengan gambar, dengan atau tanpa video) tentang acara tertentu dan dikumpulkan ke dalam satu suapan. V...

rzdoro.ru