Kontakty

Aká je "úroveň" spínača L1, L2, L3, L4. Komunikačné kanály L2 a L3 VPN - Rozdiely medzi fyzickými a virtuálnymi kanálmi rôznych úrovní Princípy sietí na úrovni l2 l3

  • 21.06.2021

Bakalár rádiového inžinierstva

stážista v pobočke NVision Group spoločnosti NVision-Siberia

Magisterský študent SibSUTI

Konzultant: Maramzin Valery Valentinovich, vedúci konštruktér Smerovanie sietí a systémov prenosu dát NVision Group

Anotácia:

Článok popisuje prvky metodiky určovania topológie siete na úrovni linky a siete.

Tento článok popisuje prvky metodológie určovania topológie siete na dátovom spoji a sieťových vrstvách

Kľúčové slová:

topológia, protokoly

topológia, protokoly

MDT 004.722

V súčasnosti má každá veľká spoločnosť vlastnú internú lokálnu sieťovú infraštruktúru. Interná sieť zahŕňa priamo pracovné stanice a akékoľvek iné sieťové zariadenia, ktoré spadajú pod pojem „hostiteľ“.

Host (z anglického Host) - koncový uzol v zásobníku TCP / IP protokolov. Najbežnejšími sieťovými zariadeniami sú smerovače a prepínače.

Čím väčšia spoločnosť, tým objemnejšia a rozvetvenejšia jej sieť, ktorá zahŕňa intranetové zdroje a ďalšie služby a vnorené štruktúry, ktoré je potrebné neustále udržiavať a monitorovať. Pre účely kvalitného monitorovania siete, rýchleho odstraňovania porúch a havarijných situácií, identifikácie prekážok kanála a riešenia iných problémov je potrebné poznať topológiu siete.

Topológia siete je konfigurácia grafu, ktorého vrcholy zodpovedajú koncovým uzlom siete (počítače) a komunikačným zariadeniam (smerovače, prepínače) a okraje zodpovedajú fyzickým alebo informačným prepojeniam medzi vrcholmi.

Vo väčšine prípadov je typ topológie voľne prepojený hierarchický strom, keď sa celá sieť siete odchyľuje od jedného alebo viacerých výkonných koreňových serverov, smerovačov. A čím väčšia je lokálna sieť, tým ťažšie je udržiavať a zisťovať poruchy bez znalosti jej architektúry.

Samozrejme, v súčasnosti existuje niekoľko hotových riešení schopných vizualizovať sieťový graf s vyznačením všetkých uzlov v ňom zahrnutých. Patria sem rôzne balíčky pre správu siete, ktoré pracujú v automatickom režime a nie vždy správne odrážajú skutočný stav objektov.

Napríklad HP OpenView Network Node Manager spoločnosti Hewlett-Packard a podobné produkty poskytujú informácie o topológii L3, ale poskytujú len málo informácií o pripájaní a odpájaní sieťových zariadení. To znamená, že pre efektívne zisťovanie sieťových uzlov a existujúcich spojení medzi nimi je potrebné pracovať s prostriedkami určovania topológie na úrovni L2, pracujúcimi v režime zisťovania spojení na úrovni prepínačov a smerovačov.

Existujú aj ďalšie riešenia od konkrétnych veľkých výrobcov sieťových zariadení, ako sú Cisco Systems, Nortel Networks, ktoré vyvinuli vlastné protokoly CDP, LLDP - štandard pre obsluhu sietí veľkých podnikov. Problém však spočíva v nasledujúcom: často je veľa sietí implementovaných na zariadeniach od rôznych výrobcov, vybraných z jedného alebo druhého dôvodu, parametrov alebo preferencií.

Preto je potrebné vyvinúť univerzálnu metódu na určovanie topológie sietí bez ohľadu na dodávateľa zariadenia a ďalšie podmienky, ktorá by využívala rozvetvený algoritmus na analýzu siete a jej uzlov a zároveň by poskytovala výsledky v zjednodušenom vizuálnom zobrazení. vytvoriť napríklad graf sieťovej konektivity.

Dá sa to urobiť nasledovne. Vstupnými údajmi pre algoritmus budú autentifikačné parametre jedného zo sieťových koreňových zariadení a jeho IP adresa. Odtiaľ sa začne zhromažďovanie informácií o každom zariadení pomocou sériového SNMP dotazovania s použitím špecifickej postupnosti akcií.

Najprv musíte zistiť, ktoré protokoly sú aktívne a podporované konkrétnym zariadením na príslušnom zariadení. Počiatočná analýza by mala zahŕňať kontrolu aktivity LLDP a CDP – najjednoduchších spôsobov zisťovania susedstva medzi zariadeniami v sieti. Link Layer Discovery Protocol (LLDP) je protokol linkovej vrstvy, ktorý umožňuje sieťovým zariadeniam oznamovať informácie o sebe a svojich schopnostiach do siete, ako aj zhromažďovať tieto informácie o susedných zariadeniach.

Cisco Discovery Protocol (CDP) je linkový protokol vyvinutý spoločnosťou Cisco Systems, ktorý vám umožňuje zistiť pripojené (priamo alebo prostredníctvom zariadení prvej vrstvy) sieťové zariadenia Cisco, jeho názov, verziu IOS a IP adresy.

Ak teda zariadenie podporuje niektorý z týchto protokolov, algoritmus okamžite pristupuje k príslušným sekciám tabuľky MIB (Management Information Base), ktorá obsahuje všetky informácie o susedných zariadeniach, ak to o sebe aj oznámili. Zahŕňa adresy IP, informácie o portoch, informácie o šasi a typy zariadení.

Ak neexistuje podpora LLDP / CDP, druhým krokom kontroly bude SNMP dotazovanie lokálneho MIB aktuálneho zariadenia s cieľom získať informácie o jeho aktívnych rozhraniach a tabuľke ARP.

V tomto prípade sa najskôr na prepínačoch spustí overovací postup. Pomocou tabuľky ARP (Address Resolution Protocol) prepínača dostane algoritmus informácie o každom pripojenom zariadení vo forme korešpondencie medzi MAC adresou ̶ IP adresou ̶ rozhraním ̶ TTL

Vyhľadávanie susedných zariadení by sa malo vykonávať pomocou sekvenčného unicast pollingu pre všetky MAC adresy nájdené v tabuľke ARP. Odpoveď na požiadavku ARP z hľadaného zariadenia podľa MAC adresy a oprava rozhrania, z ktorého bola odpoveď prijatá, sa stane skutočnosťou, že sa zariadenie nájde v sieti. Po identifikácii okolia vykonáme postup priraďovania MAC adries: ak odpoveď na požiadavku na MAC adresu druhého zariadenia dorazí na rozhranie prvého zariadenia a naopak, na rozhranie druhého zariadenia príde odpoveď. na vyžiadanie prvej MAC adresy, potom ide o garantovanú komunikačnú linku medzi dvoma uzlami. Výsledkom je, že informácie o susedstve obsahujú nielen komunikačnú linku medzi uzlami, ale aj informácie o rozhraniach, cez ktoré sú pripojené.

Určenie susedstva zariadení podľa MAC adries

Potom sa algoritmus prepne na ďalší prepínač a zopakuje overovací postup, pričom v protokolovom súbore ponechá záznam o už navštívených zariadeniach a ich parametroch, čím postupne prechádza každým uzlom v sieti.

Pri navrhovaní tejto metódy a vývoji algoritmu by ste nemali stratiť zo zreteľa niekoľko podmienok pre jej správne fungovanie:

  1. Zariadenia musia mať povolený protokol SNMP, najlepšie verziu 3.
  2. Algoritmus musí byť schopný rozlíšiť virtuálne rozhrania od skutočných a zostaviť graf konektivity založený na skutočných fyzických pripojeniach.
Po splnení nevyhnutných prevádzkových podmienok a implementácii tohto druhu algoritmu sa vo výsledku vyvinie univerzálna metóda na určenie topológie siete, ktorú je možné použiť tak na jednoduchú vizualizáciu grafu sieťovej konektivity, ako aj na začlenenie ako modul do iného komplexnejší algoritmus na identifikáciu a odstraňovanie porúch na úrovniach L2, L3

Bibliografia:


1. Olifer V.G., Olifer N.A. Počítačové siete. Princípy, technológie, protokoly (4. vydanie) - SPb .: Peter, 2010 .-- 944s
2. Link Layer Discovery Protocol (LLDP). Režim prístupu: http://xgu.ru/wiki/LLDP (dátum prístupu 3/12/2014)
3. Cisco Discovery Protocol (CDP) Režim prístupu: http://ru.wikipedia.org/wiki/CDP (dátum prístupu 3.12.2014)

Recenzie:

13.03.2014, 21:09 Klinkov Georgij Todorov
Preskúmanie: Treba mať tiež na pamäti, že topológia siete vyžaduje efektívne smerovanie a komutáciu dát, najmä vo vzťahu k technológii firewallu – Active-Active topológia, asymetrické smerovanie Cisco MSFC a FWSM. Vyvažovanie FWSM pomocou smerovania PBR alebo ECMP; NAC - umiestnenie v topológii; Architektúra IDS a IPS.

13.03.2014, 22:08 Nazarova Oľga Petrovna
Preskúmanie: Posledný odsek je orientačný. Žiadne stiahnutie. Upraviť.


17.03.2014, 9:44 Nazarova Oľga Petrovna
Preskúmanie: Odporúča sa na tlač.

Často pri výbere konkrétneho sieťového zariadenia pre vašu sieť budete počuť frázy ako „L2 switch“ alebo „L3 device“.

V tomto prípade hovoríme o vrstvách v modeli siete OSI.

Zariadenie úrovne L1 je zariadenie fungujúce na fyzickej úrovni, v podstate „nerozumejú“ ničomu o dátach, ktoré prenášajú a pracujú na úrovni elektrických signálov – signál prišiel, prenáša sa ďalej. Tieto zariadenia zahŕňajú takzvané "rozbočovače", ktoré boli populárne na začiatku ethernetových sietí, ako aj širokú škálu opakovačov. Tieto typy zariadení sa bežne označujú ako rozbočovače.

Zariadenia L2 pracujú na vrstve dátového spojenia a vykonávajú fyzické adresovanie. Práca na tejto úrovni sa vykonáva s rámami, alebo ako sa niekedy tiež nazýva "rámy". Na tejto úrovni neexistujú žiadne ip-adresy, zariadenie identifikuje odosielateľa a príjemcu iba podľa MAC adresy a prenáša medzi nimi rámce. Takéto zariadenia sa zvyčajne nazývajú prepínače, niekedy sa uvádza, že ide o „prepínač L2“

Zariadenia L3 fungujú na sieťovej vrstve, ktorá je navrhnutá tak, aby určovala cestu prenosu dát a porozumela IP adresám zariadení, určila najkratšie trasy. Zariadenia tejto úrovne sú zodpovedné za vytváranie rôznych typov spojení (PPPoE a podobne). Tieto zariadenia sa bežne označujú ako smerovače, aj keď sa často označujú ako „prepínač L3“

Zariadenia L4 sú zodpovedné za zabezpečenie spoľahlivého prenosu dát. Ide o, povedzme, „pokročilé“ prepínače, ktoré na základe informácií z hlavičiek paketov pochopia, že prevádzka patrí rôznym aplikáciám, a na základe týchto informácií môžu rozhodovať o presmerovaní takejto prevádzky. Názov takýchto zariadení sa neustálil, niekedy sa nazývajú "inteligentné spínače" alebo "spínače L4".

správy

Firma „1C“ informuje o technickom oddelení verzií PROF a CORP platformy „1C: Enterprise 8“ (s dodatočnou ochranou licencií na úrovni CORP) a zavedení množstva obmedzení na používanie licencií úroveň PROF od 11.02.2019.

Zdroj z Federálnej daňovej služby však RBC vysvetlil, že rozhodnutie daňových úradov by sa nemalo považovať za oneskorenie. Ak však podnikateľ nestihne aktualizovať registračnú pokladnicu a od 1. januára pokračuje vo vystavovaní šekov s DPH 18 %, pričom vo výkaze premietne správnu sadzbu 20 %, daňová služba to nebude považovať za porušenie, potvrdil.

    L2 VPN, ALEBO DISTRIBUOVANÝ ETHERNET Kategória L2 VPN zahŕňa širokú škálu služieb: od emulácie vyhradených kanálov point-to-point (E-Line) po organizovanie viacbodových pripojení a emuláciu funkcií ethernetových prepínačov (E-LAN, VPLS). Technológie L2 VPN sú „transparentné“ voči protokolom vyšších vrstiev, preto umožňujú napríklad prenášať IPv4 alebo IPv6 prevádzku bez ohľadu na to, akú verziu IP protokolu operátor používa. Ich „nízka úroveň“ sa pozitívne prejavuje v prípadoch, keď je potrebné prenášať prevádzku SNA, NetBIOS, SPX / IPX. Teraz, v období všeobecnej „ipizácie“, sa však tieto príležitosti vyžadujú čoraz menej. Bude to chvíľu trvať a nová generácia sieťových špecialistov vo všeobecnosti pravdepodobne nebude vedieť, že existovali časy, keď sieťam „dominovali“ protokoly NetWare OS a SPX / IPX.

    Služby L2 VPN sa zvyčajne používajú na budovanie podnikových sietí v rámci toho istého mesta (alebo mesta a blízkeho okolia), preto je tento pojem často vnímaný takmer ako synonymum pre pojem Metro Ethernet. Takéto služby sa vyznačujú vysokými rýchlosťami kanálov pri nižších (v porovnaní s L3 VPN) nákladmi na pripojenie. Výhodou L2 VPN je aj podpora jumbo rámcov, relatívna jednoduchosť a nízka cena klientskeho zariadenia inštalovaného na hranici s poskytovateľom (L2).

    Rastúca popularita služieb L2 VPN je do značnej miery spôsobená potrebami geograficky distribuovaných dátových centier odolných voči chybám: na „cestovanie“ virtuálnych strojov je potrebné priame spojenie medzi uzlami na úrovni L2. Takéto služby vám v skutočnosti umožňujú rozšíriť doménu L2. Ide o dobre odladené riešenia, ktoré si však často vyžadujú komplexnú konfiguráciu. Najmä pri pripájaní dátového centra k sieti poskytovateľa služieb vo viacerých bodoch – a to je veľmi žiadúce pre zvýšenie odolnosti voči poruchám – sú potrebné dodatočné mechanizmy na zabezpečenie optimálneho využitia pripojenia a elimináciu výskytu „prepínacích slučiek“.

    Existujú aj riešenia navrhnuté špeciálne na prepojenie sietí dátových centier na úrovni L2, ako je napríklad technológia Overlay Transport Virtualization (OTV) implementovaná v prepínačoch Cisco Nexus. Funguje nad IP sieťami a využíva všetky výhody smerovania na úrovni L3: dobrá škálovateľnosť, vysoká odolnosť voči chybám, pripojenie na viacerých bodoch, prenos prevádzky cez viacero ciest atď. riešenia / LAN "pre rok 2010).

    VPN L2 ALEBO L3

    Ak sa v prípade nákupu služieb L2 VPN bude musieť podnik postarať o smerovanie prevádzky medzi svojimi uzlami, tak v systémoch L3 VPN tento problém rieši poskytovateľ služby. Hlavným účelom L3 VPN je prepojiť lokality nachádzajúce sa v rôznych mestách vo veľkej vzdialenosti od seba. Tieto služby majú zvyčajne vyššie náklady na pripojenie (keďže je zapojený smerovač, nie prepínač), vysoké nájomné a nízku šírku pásma (zvyčajne do 2 Mbps). Cena sa môže výrazne zvýšiť v závislosti od vzdialenosti medzi bodmi pripojenia.

    Dôležitou výhodou L3 VPN je jej podpora pre QoS a funkcie prevádzkového inžinierstva, čo zabezpečuje požadovanú úroveň kvality pre služby IP telefónie a videokonferencie. Ich nevýhodou je nepriehľadnosť pre ethernetové služby, nedostatočná podpora pre príliš veľké ethernetové rámce a vyššia cena v porovnaní so službami Metro Ethernet.

    Všimnite si, že technológiu MPLS možno použiť na organizáciu VPN L2 aj L3. Úroveň služby VPN nie je určená úrovňou technológie, ktorá sa na ňu používa (MPLS je vo všeobecnosti ťažké odkázať na akúkoľvek konkrétnu úroveň modelu OSI, skôr je to technológia L2.5), ale „vlastnosťami spotrebiteľa“: ak sieť operátora smeruje klientsky prenos, potom je to L3, ak emuluje spojenia spojovej vrstvy (alebo funkcie ethernetového prepínača) - L2. Súčasne je možné na vytvorenie L2 VPN použiť aj iné technológie, napríklad 802.1ad Provider Bridging alebo 802.1ah Provider Backbone Bridges.

    Riešenia 802.1ad Provider Bridging, tiež známe pod mnohými inými názvami (vMAN, Q-in-Q, Tag Stacking, VLAN Stacking), vám umožňujú pridať druhý 802.1Q VLAN tag do ethernetového rámca. Poskytovateľ služby môže ignorovať interné značky VLAN nastavené klientskym zariadením – externé značky stačia na presmerovanie prevádzky. Táto technológia odstraňuje limit 4096 VLAN ID, ktorý sa nachádza v klasickej ethernetovej technológii, čo výrazne zvyšuje škálovateľnosť služieb. Riešenia 802.1ah Provider Backbone Bridge (PBB) poskytujú pridanie druhej MAC adresy do rámca, zatiaľ čo MAC adresy cieľového zariadenia sú skryté pred chrbticovými prepínačmi. PBB poskytuje až 16 miliónov identifikátorov služieb.

Vložiť údaje RAW

L2 VPN, ALEBO DISTRIBUOVANÝ ETHERNET Kategória L2 VPN zahŕňa širokú škálu služieb: od emulácie vyhradených point-to-point kanálov (E-Line) po viacbodové pripojenia a emuláciu funkcií ethernetových prepínačov (E-LAN, VPLS). Technológie L2 VPN sú „transparentné“ voči protokolom vyšších vrstiev, preto umožňujú napríklad prenášať IPv4 alebo IPv6 prevádzku bez ohľadu na to, akú verziu IP protokolu operátor používa. Ich „nízka úroveň“ sa pozitívne prejavuje v prípadoch, keď je potrebné prenášať prevádzku SNA, NetBIOS, SPX / IPX. Teraz, v období všeobecnej „ipizácie“, sa však tieto príležitosti vyžadujú čoraz menej. Bude to chvíľu trvať a nová generácia sieťových špecialistov vo všeobecnosti pravdepodobne nebude vedieť, že existovali časy, keď sieťam „dominovali“ protokoly NetWare OS a SPX / IPX. Služby L2 VPN sa zvyčajne používajú na budovanie podnikových sietí v rámci toho istého mesta (alebo mesta a blízkeho okolia), preto je tento pojem často vnímaný takmer ako synonymum pre pojem Metro Ethernet. Takéto služby sa vyznačujú vysokými rýchlosťami kanálov pri nižších (v porovnaní s L3 VPN) nákladmi na pripojenie. Výhodou L2 VPN je aj podpora jumbo rámcov, relatívna jednoduchosť a nízka cena klientskeho zariadenia inštalovaného na hranici s poskytovateľom (L2). Rastúca popularita služieb L2 VPN je do značnej miery spôsobená potrebami geograficky distribuovaných dátových centier odolných voči chybám: na „cestovanie“ virtuálnych strojov je potrebné priame spojenie medzi uzlami na úrovni L2. Takéto služby vám v skutočnosti umožňujú rozšíriť doménu L2. Ide o dobre odladené riešenia, ktoré si však často vyžadujú komplexnú konfiguráciu. Najmä pri pripájaní dátového centra k sieti poskytovateľa služieb vo viacerých bodoch – a to je veľmi žiaduce na zvýšenie odolnosti voči poruchám – sú potrebné dodatočné mechanizmy na zabezpečenie optimálneho využitia pripojenia a elimináciu výskytu „smyčiek spínania“. Existujú aj riešenia navrhnuté špeciálne pre prepojenie dátových centier na úrovni L2, ako napríklad technológia Overlay Transport Virtualization (OTV) implementovaná v prepínačoch Cisco Nexus. Funguje nad IP sieťami a využíva všetky výhody smerovania na úrovni L3: dobrá škálovateľnosť, vysoká odolnosť voči chybám, pripojenie na viacerých bodoch, prenos prevádzky cez viacero ciest atď. riešenia / LAN "pre rok 2010). L2 ALEBO L3 VPN Ak sa pri nákupe L2 VPN služieb musí podnik postarať o smerovanie prevádzky medzi svojimi uzlami, tak v L3 VPN systémoch tento problém rieši poskytovateľ služby. Hlavným účelom L3 VPN je prepojiť lokality nachádzajúce sa v rôznych mestách vo veľkej vzdialenosti od seba. Tieto služby majú zvyčajne vyššie náklady na pripojenie (keďže je zapojený smerovač, nie prepínač), vysoké nájomné a nízku šírku pásma (zvyčajne do 2 Mbps). Cena sa môže výrazne zvýšiť v závislosti od vzdialenosti medzi bodmi pripojenia. Dôležitou výhodou L3 VPN je jej podpora pre QoS a funkcie prevádzkového inžinierstva, čo zabezpečuje požadovanú úroveň kvality pre služby IP telefónie a videokonferencie. Ich nevýhodou je nepriehľadnosť pre ethernetové služby, nedostatočná podpora pre príliš veľké ethernetové rámce a vyššia cena v porovnaní so službami Metro Ethernet. Všimnite si, že technológiu MPLS možno použiť na organizáciu VPN L2 aj L3. Úroveň služby VPN nie je určená úrovňou technológie, ktorá sa na ňu používa (MPLS je vo všeobecnosti ťažké odkázať na akúkoľvek konkrétnu úroveň modelu OSI, skôr je to technológia L2.5), ale "vlastnosti spotrebiteľa": ak sieť operátora smeruje klientsky prenos, potom je to L3, ak emuluje spojenia spojovej vrstvy (alebo funkcie ethernetového prepínača) - L2. Súčasne je možné na vytvorenie L2 VPN použiť aj iné technológie, napríklad 802.1ad Provider Bridging alebo 802.1ah Provider Backbone Bridges. Riešenia 802.1ad Provider Bridging, tiež známe pod mnohými inými názvami (vMAN, Q-in-Q, Tag Stacking, VLAN Stacking), vám umožňujú pridať druhý 802.1Q VLAN tag do ethernetového rámca. Poskytovateľ služby môže ignorovať interné značky VLAN nastavené klientskym zariadením – externé značky stačia na presmerovanie prevádzky. Táto technológia odstraňuje limit 4096 VLAN ID, ktorý sa nachádza v klasickej ethernetovej technológii, čo výrazne zvyšuje škálovateľnosť služieb. Riešenia 802.1ah Provider Backbone Bridge (PBB) poskytujú pridanie druhej MAC adresy do rámca, zatiaľ čo MAC adresy cieľového zariadenia sú skryté pred chrbticovými prepínačmi. PBB poskytuje až 16 miliónov identifikátorov služieb.

S láskavým úsmevom si teraz spomínam, ako ľudstvo s napätím očakávalo koniec sveta v roku 2000. Potom sa to nestalo, ale stala sa úplne iná udalosť a tiež veľmi významná.

Historicky v tom čase svet vstúpil do skutočnej počítačovej revolúcie v. 3.0. - začať cloudové technológie distribuovaného ukladania a spracovania dát... Navyše, ak predchádzajúca „druhá revolúcia“ bola masívnym prechodom na „klient-server“ technológie v 80. rokoch, tak prvú možno považovať za začiatok súbežnej práce používateľov využívajúcich samostatné terminály napojené na tzv. "Mainframes" (v 60. rokoch minulého storočia). Tieto revolučné zmeny prebehli pokojne a pre používateľov nepostrehnuteľne, no ovplyvnili celý svet podnikania spolu s informačnými technológiami.

Pri prenose IT infraštruktúry do a vzdialených dátových centier (centrá na spracovanie dát) sa kľúčovou otázkou okamžite stáva organizácia spoľahlivých komunikačných kanálov zo strany klienta. Na internete sa často objavujú návrhy od poskytovateľov: „fyzický prenajatý okruh, optické vlákno“, „kanál L2“, „VPN“ atď... Skúsme prísť na to, čo sa za tým v praxi skrýva.

Komunikačné kanály - fyzické a virtuálne

1. Organizácia "fyzickej linky" alebo "kanálu druhej úrovne, L2" sa zvyčajne nazýva služba poskytovania vyhradeného kábla (medeného alebo optického vlákna) poskytovateľom alebo rádiového kanála medzi kanceláriami a tými lokalitami, kde sa údaje je nasadené vybavenie centra. Objednaním tejto služby v praxi s najväčšou pravdepodobnosťou dostanete na prenájom vyhradený optický kanál. Toto riešenie je atraktívne, pretože za spoľahlivú komunikáciu je zodpovedný poskytovateľ (a v prípade poškodenia kábla sám obnoví prevádzkyschopnosť kanála). V reálnom živote však kábel nie je celý pevný - pozostáva z mnohých spojených (zvarených) fragmentov, čo trochu znižuje jeho spoľahlivosť. Pri ukladaní optického kábla musí poskytovateľ na koncových bodoch použiť zosilňovače, rozbočovače a modemy.

V marketingových materiáloch je toto riešenie označované ako L2 (Data-Link) vrstva modelu siete OSI alebo TCP/IP podmienene - umožňuje pracovať akoby na úrovni prepínania ethernetových rámcov v LAN, bez obáv o veľa problémov so smerovaním paketov na ďalšej vrstve siete IP. V klientskych virtuálnych sieťach je napríklad možné naďalej používať ich takzvané „súkromné“ IP adresy namiesto registrovaných unikátnych verejných adries. Keďže je veľmi výhodné používať súkromné ​​​​IP adresy v lokálnych sieťach, používateľom boli pridelené špeciálne rozsahy z hlavných tried adresovania:

  • 10.0.0.0 - 10.255.255.255 v triede A (s maskou 255.0.0.0 alebo / 8 v alternatívnom formáte zápisu masky);
  • 100.64.0.0 - 100.127.255.255 v triede A (s maskou 255.192.0.0 alebo / 10);
  • 172.16.0.0 - 172.31.255.255 v triede B (s maskou 255.240.0.0 alebo / 12);
  • 192.168.0.0 - 192.168.255.255 v triede C (s maskou 255.255.0.0 alebo / 16).

Takéto adresy si vyberajú sami užívatelia na „interné použitie“ a môžu sa opakovať súčasne v tisíckach klientskych sietí, takže dátové pakety so súkromnými adresami v hlavičke nie sú na internete smerované – aby nedošlo k zámene. Pre prístup na internet musíte na strane klienta použiť NAT (alebo iné riešenie).

Poznámka: NAT - Network Address Translation (mechanizmus na nahradenie sieťových adries tranzitných paketov v TCP/IP sieťach, slúži na smerovanie paketov z lokálnej siete klienta do iných sietí/internetu a opačným smerom – do LAN klienta, do adresát).

Tento prístup (a hovoríme o dedikovanom kanáli) má aj zjavnú nevýhodu – ak sa kancelária klienta presťahuje, môžu nastať vážne problémy s pripojením na nové miesto a je možná potreba zmeniť poskytovateľa.

Tvrdenie, že takýto kanál je výrazne bezpečnejší, lepšie chránený pred zlomyseľnými útokmi a chybami nekvalifikovaného technického personálu, sa pri bližšom skúmaní ukazuje ako mýtus. V praxi často vznikajú (alebo sú zámerne vytvorené hackerom) bezpečnostné problémy priamo na strane klienta za účasti ľudského faktora.

2. Virtuálne kanály a na nich vybudovaná VPN (Virtual Private Network) sú rozšírené a umožňujú riešiť väčšinu úloh klienta.

Poskytovanie „L2 VPN“ poskytovateľom predpokladá výber z niekoľkých možných služieb „druhej úrovne“, L2:

VLAN - klient dostáva virtuálnu sieť medzi svojimi kanceláriami, pobočkami (v skutočnosti ide klientova prevádzka cez aktívne zariadenie poskytovateľa, čo obmedzuje rýchlosť);

Point-to-Point PWE3(inými slovami, "pseudo-end-to-end emulácia" v sieťach s prepínaním paketov) umožňuje prenos ethernetových rámcov medzi dvoma uzlami, ako keby boli priamo prepojené káblom. Pre klienta v tejto technológii je nevyhnutné, aby všetky prenášané rámce boli doručené do vzdialeného bodu nezmenené. To isté sa deje v opačnom smere. Je to možné vďaka skutočnosti, že rámec klienta prichádzajúci do smerovača poskytovateľa je ďalej zapuzdrený (pridaný) do dátového bloku vyššej úrovne (MPLS paket) a extrahovaný v koncovom bode;


Poznámka: PWE3 - Pseudo-Wire Emulation Edge to Edge (mechanizmus, ktorým z pohľadu používateľa prijíma vyhradené pripojenie).

MPLS - MultiProtocol Label Switching (technológia prenosu dát, pri ktorej sú paketom priradené transportné/servisné štítky a prenosová cesta dátových paketov v sieťach je určená len na základe hodnoty štítkov, bez ohľadu na prenosové médium, pomocou akéhokoľvek protokolu. Počas smerovanie, môžu byť pridané nové štítky (v prípade potreby) alebo vymazané po ukončení ich funkcie (obsah balíkov sa neanalyzuje ani nezmení).

VPLS je viacbodová simulačná technológia LAN. V tomto prípade sieť poskytovateľa vyzerá ako jeden prepínač zo strany klienta, ktorý ukladá tabuľku MAC adries sieťových zariadení. Takýto virtuálny „prepínač“ distribuuje ethernetový rámec, ktorý prišiel z klientskej siete, podľa zamýšľaného účelu – na tento účel je rámec zapuzdrený do paketu MPLS a následne extrahovaný.


Poznámka: VPLS je služba virtuálnej súkromnej siete LAN (mechanizmus, pomocou ktorého sú z pohľadu používateľa jeho geograficky rozptýlené siete prepojené virtuálnymi pripojeniami L2).

MAC - Media Access Control (metóda riadenia prístupu k médiám - jedinečný 6-bajtový adresový identifikátor sieťového zariadenia (alebo jeho rozhraní) v sieťach Ethernet).


3. V prípade nasadenia „L3 VPN“ vyzerá sieť poskytovateľa v očiach klienta ako jeden router s viacerými rozhraniami. Preto sa spojenie lokálnej siete klienta so sieťou poskytovateľa vyskytuje na úrovni L3 modelu siete OSI alebo TCP / IP.

Verejné IP adresy pre sieťové spojovacie body je možné určiť po dohode s poskytovateľom (patria klientovi alebo ich možno získať od poskytovateľa). IP adresy si klient konfiguruje na svojich routeroch na oboch stranách (súkromné ​​- zo strany ich lokálnej siete, verejné - od poskytovateľa), ďalšie smerovanie dátových paketov zabezpečuje poskytovateľ. Technicky sa na implementáciu takéhoto riešenia používa MPLS (pozri vyššie), ako aj technológie GRE a IPSec.


Poznámka: GRE - Generic Routing Encapsulation (tunelovací protokol, balenie paketov, ktoré umožňuje vytvoriť bezpečné logické spojenie medzi dvoma koncovými bodmi – pomocou zapuzdrenia protokolu na sieťovej vrstve L3).

IPSec - IP Security (súbor protokolov na ochranu dát prenášaných pomocou IP. Používa sa autentifikácia, šifrovanie a kontrola integrity paketov).

Je dôležité pochopiť, že moderná sieťová infraštruktúra je vybudovaná tak, že klient vidí len tú jej časť, ktorá je definovaná zmluvou. Vyhradené zdroje (virtuálne servery, smerovače, úložiská a zálohovacie úložiská), ako aj spustené programy a obsah pamäte sú úplne izolované od ostatných používateľov. Niekoľko fyzických serverov môže pracovať v súhre a súčasne pre jedného klienta, z pohľadu ktorého budú vyzerať ako jeden výkonný server pool. Naopak, na jednom fyzickom serveri môže byť súčasne vytvorených veľa virtuálnych strojov (každý bude pre používateľa vyzerať ako samostatný počítač s operačným systémom). Okrem štandardných sú ponúkané individuálne riešenia, ktoré spĺňajú aj akceptované požiadavky na bezpečnosť spracovania a uchovávania údajov o zákazníkoch.

Konfigurácia siete „L3 level“ nasadená v cloude zároveň umožňuje škálovanie až do prakticky neobmedzených veľkostí (na tomto princípe je vybudovaný internet a veľké dátové centrá). Dynamické smerovacie protokoly, ako je OSPF a ďalšie v cloudových sieťach L3, vám umožňujú vybrať si najkratšie trasy pre smerovanie dátových paketov, odosielať pakety súčasne niekoľkými spôsobmi pre čo najlepšie sťahovanie a rozširovanie šírky pásma kanálov.

Zároveň je možné nasadiť virtuálnu sieť na „úrovni L2“, ktorá je typická pre malé dátové centrá a zastarané (alebo vysoko špecifické) klientske aplikácie. V niektorých z týchto prípadov sa dokonca používa technológia L2 oproti L3 na zabezpečenie kompatibility siete a výkonu aplikácií.

Poďme si to zhrnúť

Úlohy používateľa/klienta sa dnes vo väčšine prípadov dajú efektívne vyriešiť organizovaním virtuálnych privátnych sietí VPN pomocou technológií GRE a IPSec na zabezpečenie.

Nemá zmysel stavať sa proti L2 a L3, rovnako ako nemá zmysel považovať návrh kanála L2 za najlepšie riešenie na vybudovanie spoľahlivej komunikácie vo vašej sieti, za všeliek. Moderné komunikačné kanály a vybavenie poskytovateľov umožňujú odovzdávať obrovské množstvo informácií a mnohé špecializované kanály prenajaté užívateľmi sú v skutočnosti dokonca nedostatočne využívané. L2 je rozumné používať len v špeciálnych prípadoch, keď si to vyžadujú špecifiká úlohy, brať do úvahy obmedzenia možnosti budúceho rozšírenia takejto siete a poradiť sa s odborníkom. Na druhej strane, siete L3 VPN, ak sú všetky ostatné veci rovnaké, sú všestrannejšie a ľahšie sa používajú.

Tento prehľad stručne uvádza moderné typické riešenia, ktoré sa používajú pri prenose lokálnej IT infraštruktúry do vzdialených dátových centier. Každý z nich má svojho spotrebiteľa, výhody a nevýhody, správna voľba riešenia závisí od konkrétnej úlohy.

V reálnom živote obe úrovne sieťového modelu L2 a L3 spolupracujú, každá je zodpovedná za svoju vlastnú úlohu a proti nim v reklame, poskytovatelia sú otvorene prefíkaní.

Takúto sieť postavíme na zariadeniach cisco

Popis siete:
VLAN1 (predvolená IT) - 192.168.1.0/24
VLAN2 (SHD) - 10.8.2.0/27
VLAN3 (SERV) - 192.168.3.0/24
VLAN4 (LAN) - 192.168.4.0/24
VLAN5 (BUH) - 192.168.5.0/24
VLAN6 (TELEFÓN) - 192.168.6.0/24
VLAN7 (KAMERY) - 192.168.7.0/24

VLAN9 (WAN) - 192.168.9.2/24

Zariadenia:
Cisco spínače c2960 L2-level - 3 kusy
Cisco c3560 L2 a L3-úrovňový spínač - 1 kus
Všetky prepínače budú vo VLAN1 a budú mať sieť 192.168.1.0/24

Akýkoľvek router (mám Mikrotik RB750) - 1ks

Win2008 server (DHCP) - na distribúciu IP adries
Každá VLAN má 2 počítače ako koncové body.

Začnime.


Najprv nakonfigurujme prepínač cisco L2 úrovne sw1
Štandardne sú všetky porty vo VLAN1, takže ju nevytvoríme.
  1. Pripojíme sa ku konzole: telnet 192.168.1.1
  2. Zadajte svoje heslo
  3. sw1>povoliť(Prechádzame do privilegovaného režimu na zadávanie príkazov)
  1. sw # conf-t (prejdi do konfiguračného režimu)
  2. sw (config) # vlan 2 (Vytvoriť VLAN)
  3. sw (config-vlan) # názov SHD (priraďte názov tejto VLAN2)
  4. sw (config-vlan) # východ
  5. sw #

Definujte porty na pripojenie počítačov k VLAN2

Na prvom a druhom porte switchu budem mať VLAN1

Na treťom a štvrtom porte VLAN2

Na piatom a šiestom VLAN3

  1. sw # conf-t (prejdi do konfiguračného režimu)
  2. sw (config) # int fa0 / 3 (pre jeden port Vyberte rozhranie)
  3. sw (config) # int fa0 / 3-4 (pre niekoľko portov naraz vyberieme rozhranie)
  4. sw (config-if) #
  5. sw (config-if) # Switchport access vlan 2 (priraďte VLAN2 tomuto portu)
  6. sw (config-if) #
  7. sw (config-if) # východ
  8. sw #

Na pripojenie nášho prepínača (sw1 -cisco 2960-L2) k prepínaču (sw2 -cisco 3560-L2L3)

musíme preniesť vytvorené VLAN (ak je to potrebné) do iného prepínača, na tento účel nakonfigurujeme TRUNK port (naše VLAN chodia v trunk porte)

Vyberieme najrýchlejší port (pretože po ňom bude chodiť niekoľko VLAN (podsietí))

  1. sw # conf-t (prejdi do konfiguračného režimu)
  2. sw (config) #
  3. sw (config) #
  4. sw (config-if) #
  5. sw (config-if) # switchport trank povolený vlan 2,3, (označíme, ktorá VLAN prejde)
  6. sw (config-if) #žiadne vypnutie (zapnite rozhranie)
  7. sw (config-if) # východ
  8. Opakujeme kroky pre potrebné porty

ZHRNUTIE konfigurácie prepínača L2:

  1. Keďže toto zariadenie je L2, nerozumie tomu, čo sú IP adresy.
  2. Počítače, ktoré sú k nim pripojené prístavov môžu vidieť jeden druhého v rámci svojich daností VLAN. Tj z VLAN1 sa nedostanem do VLAN2 a naopak.
  3. Nakonfigurovaný gigabitový port na prenos VLAN do prepínača sw2 -cisco 3560-L2L3.
______________________________________

Pridajte do nami už vytvorenej siete na prepínači L2 (sw1), prepínač (sw2) cisco-3560 L2L3

Poďme nakonfigurovať naše zariadenie 3560 L3 (rozumie IP adresám a robí smerovanie medzi VLAN)


 1. Je potrebné vytvoriť všetky VLAN, ktoré budú popisovať topológiu vašej siete, keďže tento L3 prepínač bude smerovať prevádzku medzi VLAN.

Vytvoriť VLAN (príkazy pre vlan sa vytvárajú na všetkých zariadeniach rovnakým spôsobom)

  1. sw # conf-t (prejdi do konfiguračného režimu)
  2. sw (config) # vlan 4 (vytvoriť VLAN)
  3. sw (config-if) # názov LAN (tejto VLAN2 priraďujeme názov)
  4. sw (config-if) # východ
  5. Ak je potrebné pridať VLAN, kroky zopakujeme
  6. sw # zobraziť skratku vlan (pozrite si, čo vytvorili siete VLAN)
2. Definujte porty na pripojenie počítačov.

- na prvom porte switchu budem mat VLAN9

- na treťom a štvrtom porte VLAN7

  1. sw # conf-t (prejdi do konfiguračného režimu)
  2. sw (config) # int fa0 / 1 (pre jeden port Vyberte rozhranie)
  3. sw (config) # int fa0 / 3-7 (pre niekoľko portov naraz vyberieme rozhranie)
  4. sw (config-if) # prístup do režimu switchport (Uvádzame, že tento port bude pre zariadenia)
  5. sw (config-if) # Switchport access vlan 9 (priraďte VLAN9 tomuto portu)
  6. sw (config-if) #žiadne vypnutie (zapnite rozhranie)
  7. sw (config-if) # východ
  8. Opakujeme kroky pre potrebné porty
  9. sw # zobraziť beh (pozrite si aké nastavenia zariadenia)
3. Vytvorte hlavné porty

Vyberieme najrýchlejší port (pretože po ňom bude chodiť niekoľko VLAN (podsietí))

  1. sw # conf-t (prejdi do konfiguračného režimu)
  2. sw (config) # int gi0 / 1 (pre jeden port Vyberte rozhranie)
  3. sw (config) # int gi0 / 1-2 (pre niekoľko portov naraz, vyberte rozhranie)
  4. Keďže konfigurujeme L3, musíme preniesť z fyzického portu na virtuálny port IP adresy a naopak (zapuzdrenie)
  5. sw (config-if) # zapuzdrenie kmeňa prepínača dot1q (Určite zapuzdrenie)
  6. sw (config-if) # kmeň v režime switchport (Uvádzame, že tento port bude pre VLAN)
  7. sw (config-if) # switchport trank povolený vlan 1-7, (označíme, ktorá VLAN prejde)
  8. sw (config-if) #žiadne vypnutie (zapnite rozhranie)
  9. sw (config-if) # východ
  10. Opakujeme kroky pre potrebné porty
4. Router prepneme do režimu L3
  1. sw # conf-t (prejdi do konfiguračného režimu)
  2. sw (config) # ip smerovanie (povoliť smerovanie)
5. Keďže náš prepínač je na úrovni L3, zavesíme IP adresy na VLAN na porty, aby sme smerovali prevádzku.
Pre spoluprácu VLAN (aby ste sa dostali z VLAN2 do VLAN3 atď.)

Nastaviť všetky virtuálne rozhrania VLAN, IP adresy

  1. sw # conf-t (prejdi do konfiguračného režimu)
  2. sw (config) # int vlan 2 (zavesíme IP adresu na VLAN2)
  3. sw (config) # IP adresa 10.8.2.1 255.255.255.224 (táto adresa bude bránou pre túto podsieť)
  4. sw (config-if) #žiadne vypnutie (zapnite rozhranie)
  5. sw (config-if) # východ
  1. sw # conf-t (prejdi do konfiguračného režimu)
  2. sw (config) # int vlan 3 (zavesíme IP adresu na VLAN3)
  3. sw (config) # IP adresa 192.168.3.1 255.255.255.0 (táto adresa bude bránou pre túto podsieť)
  4. sw (config-if) #žiadne vypnutie (zapnite rozhranie)
  5. sw (config-if) # východ
  6. Opakujeme kroky pre požadované rozhrania



Súvisiace články

Najnovšie články
Populárne články
Voľba redaktora
rzdoro.ru