Kişiler

L1, L2, L3, L4 anahtarının "seviyesi" nedir? İletişim kanalları L2 ve L3 VPN - Farklı seviyelerdeki fiziksel ve sanal kanallar arasındaki farklar l2 l3 seviyesindeki ağların ilkeleri

  • 21.06.2021

Radyo Mühendisliği Lisans

NVision Group CJSC NVision-Sibirya şubesinin stajyer mühendisi

SibSUTI'nin yüksek lisans öğrencisi

Danışman: Maramzin Valery Valentinovich, Lider tasarım mühendisi Ağların ve veri iletim sistemlerinin yönetimi NVision Group

Dipnot:

Makale, bağlantı ve ağ düzeylerinde ağ topolojisini belirlemeye yönelik metodolojinin unsurlarını açıklamaktadır.

Bu makale, veri bağlantısı ve ağ katmanlarında ağ topolojisinin belirlenmesi için metodolojinin unsurlarını açıklamaktadır.

Anahtar Kelimeler:

topoloji, protokoller

topoloji, protokoller

UDC 004.722

Şu anda, her büyük şirketin kendi dahili yerel ağ altyapısı vardır. Dahili ağ, hem doğrudan iş istasyonlarını hem de "ana bilgisayar" kavramına giren diğer ağ cihazlarını içerir.

Ana Bilgisayar (İngilizce Ana Bilgisayardan) - TCP / IP protokol yığınındaki bir uç düğüm. En yaygın ağ cihazları yönlendiriciler ve anahtarlardır.

Şirket ne kadar büyükse, hem intranet kaynaklarını hem de diğer hizmetleri ve sürekli olarak korunması ve izlenmesi gereken iç içe geçmiş yapıları içeren ağı o kadar hacimli ve dallıdır. Ağ topolojisini bilmeniz gereken yüksek kaliteli ağ izleme, hızlı sorun giderme ve acil durumlar, kanal tıkanıklıklarını tespit etmek ve diğer sorunları çözmek amaçlıdır.

Ağ topolojisi, köşeleri ağın (bilgisayarlar) ve iletişim ekipmanının (yönlendiriciler, anahtarlar) uç düğümlerine karşılık gelen grafiğin konfigürasyonudur ve kenarlar, köşeler arasındaki fiziksel veya bilgi bağlantılarına karşılık gelir.

Çoğu durumda, topoloji türü, ağın tüm ağı bir veya daha fazla güçlü kök sunucudan, yönlendiricilerden ayrıldığında, gevşek bağlı bir hiyerarşik ağaçtır. Ve yerel ağ ne kadar büyükse, mimarisi hakkında bilgi sahibi olmadan bakım ve arızaları tespit etmek o kadar zor olur.

Tabii ki, şu anda, içerdiği tüm düğümlerin bir göstergesiyle bir ağ grafiğini görselleştirebilen bazı hazır çözümler var. Bunlar, otomatik modda çalışan ve nesnelerin gerçek durumunu her zaman doğru şekilde göstermeyen çeşitli ağ yönetim paketlerini içerir.

Örneğin, Hewlett-Packard'ın HP OpenView Ağ Düğüm Yöneticisi ve buna benzer ürünler L3 topoloji bilgisi sağlar, ancak ağ aygıtlarını bağlama ve bağlantılarını kesme hakkında çok az bilgi sağlar. Yani ağ düğümlerinin ve aralarındaki mevcut bağlantıların etkin bir şekilde keşfedilmesi için, L2 düzeyinde topoloji belirleme araçları ile çalışmak, anahtarlar ve yönlendiriciler düzeyinde bağlantı bulma modunda çalışmak gerekir.

Cisco Systems, Nortel Networks gibi kendi CDP protokollerini (LLDP - büyük kurumsal ağlara hizmet vermek için bir standart) geliştiren belirli büyük ağ ekipmanı üreticilerinin başka çözümleri de vardır. Ancak sorun şunda yatmaktadır: çoğu zaman, bir nedenden ötürü, parametreler veya tercihler için seçilen farklı üreticilerin ekipmanlarına birçok ağ uygulanır.

Sonuç olarak, ekipman tedarikçisinden ve diğer koşullardan bağımsız olarak, ağı ve düğümlerini analiz etmek için dallı bir algoritma kullanacak ve ayrıca sonuçları basitleştirilmiş bir görsel olarak sağlayacak, ağların topolojisini belirlemek için evrensel bir yöntem geliştirmek gerekli hale gelir. örneğin bir ağ bağlantı grafiği oluşturarak.

Bu şöyle yapılabilir. Algoritma için giriş verileri, ağ kök cihazlarından birinin kimlik doğrulama parametreleri ve onun IP adresi olacaktır. Oradan, her bir cihaz hakkında bilgi toplama, belirli bir eylem dizisi kullanılarak seri bir SNMP yoklaması yoluyla başlayacaktır.

İlk olarak, söz konusu cihazda hangi protokollerin aktif olduğunu ve belirli bir cihaz tarafından desteklendiğini belirlemeniz gerekir. İlk analiz, ağdaki cihazlar arasındaki komşuluğu tespit etmenin en basit yolu olan LLDP ve CDP'nin etkinliğini kontrol etmeyi içermelidir. Bağlantı Katmanı Keşif Protokolü (LLDP), ağ cihazlarının kendileri ve yetenekleri hakkındaki bilgileri ağa duyurmasına ve komşu cihazlar hakkında bu bilgileri toplamasına olanak tanıyan bir bağlantı katmanı protokolüdür.

Cisco Discovery Protocol (CDP), Cisco Systems tarafından geliştirilen ve bağlı (doğrudan veya birinci katman cihazlar aracılığıyla) Cisco ağ ekipmanını, adını, IOS sürümünü ve IP adreslerini keşfetmenizi sağlayan bir bağlantı katmanı protokolüdür.

Bu nedenle, bir cihaz bu protokollerden birini destekliyorsa, algoritma kendileri hakkında da duyurdularsa, komşu cihazlarla ilgili tüm bilgileri içeren MIB tablosunun (Yönetim Bilgi Tabanı) ilgili bölümlerine anında erişir. Buna IP adresleri, bağlantı noktası bilgileri, kasa bilgileri ve cihaz türleri dahildir.

LLDP / CDP desteği yoksa, kontrolün ikinci adımı, aktif arayüzleri ve ARP tablosu hakkında bilgi almak için mevcut cihazın yerel MIB'sinin SNMP sorgulaması olacaktır.

Bu durumda öncelikle switchler üzerinde doğrulama işlemi başlatılır. Anahtarın ARP tablosunu (Adres Çözümleme Protokolü) kullanarak algoritma, bağlı her cihaz hakkında MAC adresi ile ̶ IP adresi ile ̶ arayüz ̶ TTL arasında bir yazışma şeklinde bilgi alacaktır.

Komşu cihazların aranması, ARP tablosunda bulunan tüm MAC adresleri için sıralı tek noktaya yayın yoklama yoluyla gerçekleştirilmelidir. Aranan cihazdan MAC adresine göre bir ARP isteğine yanıt verilmesi ve yanıtın alındığı arabirimin sabitlenmesi, cihazın ağda keşfedildiği gerçeğini oluşturacaktır. Komşuluğu belirledikten sonra, MAC adreslerini eşleştirme prosedürünü gerçekleştiririz: ikinci cihazın MAC adresi için bir talebe ilk cihazın arayüzüne bir yanıt gelirse ve bunun tersi, ikinci cihazın arayüzüne bir yanıt alınır. cihaz, ilk MAC adresinin talebi üzerine, o zaman bu, iki düğüm arasında garantili bir iletişim hattıdır. Sonuç olarak, komşuluk bilgisi sadece düğümler arasındaki iletişim hattını değil, aynı zamanda bağlı oldukları arayüzler hakkında da bilgi içerir.

MAC adreslerine göre cihazların komşuluğunu belirleme

Ardından algoritma bir sonraki anahtara geçer ve doğrulama prosedürünü tekrarlar, günlük dosyasına önceden ziyaret edilen cihazlar ve parametreleri hakkında bir giriş bırakarak, böylece ağdaki her bir düğümden sırayla geçer.

Bu yöntemi tasarlarken ve bir algoritma geliştirirken, doğru çalışması için birkaç koşulu gözden kaçırmamak gerekir:

  1. Cihazlarda SNMP protokolü etkinleştirilmiş, tercihen sürüm 3 olmalıdır.
  2. Algoritma, sanal arayüzleri gerçek olanlardan ayırt edebilmeli ve gerçek fiziksel bağlantılara dayalı bir bağlantı grafiği oluşturabilmelidir.
Gerekli çalışma koşulları sağlandıktan ve bu tür bir algoritma uygulandıktan sonra, hem ağ bağlantı grafiğini basit bir şekilde görselleştirmek için hem de başka bir modül olarak bir modül olarak dahil etmek için kullanılabilecek ağ topolojisinin belirlenmesi için evrensel bir yöntem geliştirilecektir. L2, L3 seviyelerindeki arızaları belirlemek ve ortadan kaldırmak için daha karmaşık algoritma

Bibliyografik liste:


1. Olifer V.G., Olifer N.A. Bilgisayar ağları. İlkeler, teknolojiler, protokoller (4. baskı) - SPb.: Peter, 2010 .-- 944s
2. Bağlantı Katmanı Keşif Protokolü (LLDP). Erişim modu: http://xgu.ru/wiki/LLDP (erişim tarihi 03/12/2014)
3. Cisco Keşif Protokolü (CDP) Erişim modu: http://ru.wikipedia.org/wiki/CDP (erişim tarihi 03/12/2014)

Yorumlar:

03/13/2014, 21:09 Klinkov Georgy Todorov
Gözden geçirmek: Ağ topolojisinin, özellikle güvenlik duvarı teknolojisi - Aktif-Aktif topoloji, asimetrik yönlendirme Cisco MSFC ve FWSM ile ilgili olarak verimli yönlendirme ve veri komütasyon gerektirdiği unutulmamalıdır. PBR veya ECMP yönlendirme kullanarak FWSM'yi dengeleme; NAC - topolojideki konum; IDS ve IPS mimarisi.

13.03.2014, 22:08 Nazarova Olga Petrovna
Gözden geçirmek: Son paragraf bir kılavuzdur. Geri çekilme yok. Değiştir.


17.03.2014, 09:44 Nazarova Olga Petrovna
Gözden geçirmek: Yazdırma için önerilir.

Genellikle ağınız için belirli bir ağ cihazı seçerken, "L2 anahtarı" veya "L3 cihazı" gibi ifadeler duyarsınız.

Bu durumda OSI ağ modelindeki katmanlardan bahsediyoruz.

L1 seviyesindeki bir cihaz, fiziksel seviyede çalışan bir cihazdır, temel olarak ilettikleri veriler hakkında hiçbir şey "anlamazlar" ve elektrik sinyalleri seviyesinde çalışırlar - sinyal geldi, daha fazla iletilir. Bu cihazlar, Ethernet ağlarının ilk günlerinde popüler olan sözde "hub'ları" ve çok çeşitli tekrarlayıcıları içerir. Bu tür cihazlara genel olarak hub denir.

L2 cihazları, veri bağlantı katmanında çalışır ve fiziksel adresleme gerçekleştirir. Bu seviyedeki çalışmalar çerçevelerle veya bazen "çerçeveler" olarak da adlandırılır. Bu seviyede ip adresi yoktur, cihaz göndericiyi ve alıcıyı sadece MAC adresi ile tanımlar ve aralarında çerçeveler iletir. Bu tür cihazlara genellikle anahtarlar denir ve bazen bunun bir "L2 anahtarı" olduğunu belirtir.

L3 cihazları, veri iletim yolunu belirlemek ve cihazların IP adreslerini anlamak, en kısa yolları belirlemek için tasarlanmış ağ katmanında çalışır. Bu seviyedeki cihazlar, farklı bağlantı türleri (PPPoE ve benzerleri) kurmaktan sorumludur. Bu cihazlara genellikle yönlendiriciler denir, ancak genellikle "L3 anahtarı" olarak adlandırılırlar.

L4 cihazları, güvenilir veri iletimini sağlamaktan sorumludur. Bunlar, paket başlıklarından gelen bilgilere dayanarak, trafiğin farklı uygulamalara ait olduğunu anlayan ve bu bilgilere dayanarak bu tür trafiği yeniden yönlendirme konusunda kararlar alabilen "gelişmiş" anahtarlardır. Bu tür cihazların adı oturmadı, bazen "akıllı anahtarlar" veya "L4 anahtarları" olarak adlandırılırlar.

Haberler

1C şirketi, 1C: Enterprise 8 platformunun PROF ve CORP sürümlerinin teknik olarak ayrılması (CORP düzeyinde lisansların ek koruması ile) ve 02/'den itibaren PROF düzeyinde lisansların kullanımına bir dizi kısıtlama getirilmesi hakkında bilgi verir. 11/2019.

Ancak Federal Vergi Servisi'ndeki bir kaynak, RBC'ye vergi makamlarının kararının gecikme olarak adlandırılmaması gerektiğini açıkladı. Ancak girişimcinin yazar kasayı güncellemek için zamanı yoksa ve 1 Ocak'tan itibaren% 18 KDV ile çek vermeye devam ederken, raporlamada% 20'lik doğru oranı yansıtırsa, vergi hizmeti bunu bir ihlal olarak kabul etmeyecektir, onaylanmış.

    L2 VPN VEYA DAĞITILMIŞ ETHERNET L2 VPN kategorisi çok çeşitli hizmetleri içerir: özel kanalların noktadan noktaya (E-Line) öykünmesinden çok noktalı bağlantıların organizasyonuna ve Ethernet anahtar işlevlerinin öykünmesine (E-LAN, VPLS) . L2 VPN teknolojileri, daha yüksek katmanların protokollerine "şeffaftır", bu nedenle, örneğin operatörün kullandığı IP protokolünün hangi sürümünü kullandığına bakılmaksızın IPv4 veya IPv6 trafiğinin iletilmesine izin verir. SNA, NetBIOS, SPX / IPX trafiğini iletmenin gerekli olduğu durumlarda "düşük seviyeleri" olumlu bir şekilde kendini gösterir. Ancak şimdi, genel "ipleşme" döneminde, bu fırsatlara giderek daha az ihtiyaç duyulmaktadır. Bir süre sonra, yeni nesil ağ uzmanları, NetWare OS ve SPX / IPX protokollerinin ağlara "egemen" olduğu bir zaman olduğunu muhtemelen hiç bilemeyecekler.

    L2 VPN hizmetleri genellikle aynı şehir (veya şehir ve yakın çevre) içinde kurumsal ağlar oluşturmak için kullanılır, bu nedenle bu kavram genellikle Metro Ethernet terimiyle neredeyse eşanlamlı olarak algılanır. Bu tür hizmetler, daha düşük (L3 VPN ile karşılaştırıldığında) bağlantı maliyetinde yüksek kanal hızlarıyla karakterize edilir. L2 VPN'nin avantajları aynı zamanda jumbo çerçeveler için destek, göreceli basitlik ve sağlayıcı sınırına kurulan istemci ekipmanının düşük maliyetidir (L2).

    L2 VPN hizmetlerinin artan popülaritesi, büyük ölçüde hataya dayanıklı coğrafi olarak dağıtılmış veri merkezlerinin ihtiyaçlarından kaynaklanmaktadır: sanal makineler 'seyahat', L2 düzeyindeki düğümler arasında doğrudan bir bağlantı gerektirir. Bu tür hizmetler aslında L2 alanını genişletmenize izin verir. Bunlar iyi hata ayıklanmış çözümlerdir, ancak genellikle karmaşık yapılandırma gerektirir. Özellikle, bir veri merkezini bir servis sağlayıcının ağına birkaç noktadan bağlarken - ve bu, hata toleransını artırmak için oldukça arzu edilir - optimum bağlantı kullanımını sağlamak ve "anahtarlama döngüleri" oluşumunu ortadan kaldırmak için ek mekanizmalar gereklidir.

    Cisco Nexus anahtarlarında uygulanan Overlay Transport Virtualization (OTV) teknolojisi gibi, L2 düzeyinde veri merkezi ağlarını birbirine bağlamak için özel olarak tasarlanmış çözümler de vardır. L3 düzeyinde yönlendirmenin tüm avantajlarından yararlanarak IP ağlarının üzerinde çalışır: iyi ölçeklenebilirlik, yüksek hata toleransı, birden çok noktada bağlantı, birden çok yol üzerinden trafik iletimi vb. çözümler / LAN ”2010 için).

    L2 VEYA L3 VPN

    L2 VPN hizmetlerinin satın alınması durumunda, işletmenin düğümleri arasındaki trafiği yönlendirmekle ilgilenmesi gerekecekse, L3 VPN sistemlerinde bu görev hizmet sağlayıcı tarafından çözülür. L3 VPN'in temel amacı, farklı şehirlerde bulunan siteleri birbirinden çok uzakta birbirine bağlamaktır. Bu hizmetler daha yüksek bağlantı maliyetlerine (çünkü bir anahtar değil yönlendirici dahil), yüksek kiralara ve düşük bant genişliğine (genellikle 2 Mbps'ye kadar) sahip olma eğilimindedir. Bağlantı noktaları arasındaki mesafeye bağlı olarak fiyat önemli ölçüde artabilir.

    L3 VPN'nin önemli bir avantajı, IP telefon ve video konferans hizmetleri için gerekli kalite düzeyini sağlayan QoS ve trafik mühendisliği işlevlerine verdiği destektir. Dezavantajları, Ethernet hizmetleri için opaklık, büyük boyutlu Ethernet çerçeveleri için destek eksikliği ve Metro Ethernet hizmetlerine kıyasla daha yüksek maliyettir.

    MPLS teknolojisinin hem L2 hem de L3 VPN'yi düzenlemek için kullanılabileceğini unutmayın. Bir VPN hizmetinin düzeyi, onun için kullanılan teknoloji düzeyine göre değil (MPLS'nin, OSI modelinin herhangi bir belirli düzeyine atıfta bulunmak genellikle zordur, bunun yerine L2.5 teknolojisidir), ancak "tüketici özellikleri" ile belirlenir: eğer operatörün ağı istemci trafiğini yönlendirir, o zaman bağlantı katmanı bağlantılarını (veya Ethernet anahtar işlevlerini) öykünüyorsa L3'tür - L2. Aynı zamanda, L2 VPN oluşturmak için 802.1ad Sağlayıcı Köprüleme veya 802.1ah Sağlayıcı Omurga Köprüleri gibi başka teknolojiler de kullanılabilir.

    Diğer birçok adla da bilinen (vMAN, Q-in-Q, Etiket Yığınlama, VLAN Yığınlama) 802.1ad Sağlayıcı Köprüleme çözümleri, bir Ethernet çerçevesine ikinci bir 802.1Q VLAN etiketi eklemenize olanak tanır. Servis sağlayıcı, istemci ekipmanı tarafından ayarlanan dahili VLAN etiketlerini yok sayabilir - trafiği iletmek için harici etiketler yeterlidir. Bu teknoloji, klasik Ethernet teknolojisinde bulunan 4096 VLAN ID sınırlamasını ortadan kaldırarak hizmet ölçeklenebilirliğini önemli ölçüde artırır. 802.1ah Sağlayıcı Omurga Köprüleri (PBB) çözümleri, çerçeveye ikinci bir MAC adresinin eklenmesine izin verirken, hedef ekipmanın MAC adresleri omurga anahtarlarından gizlenir. PBB, 16 milyona kadar hizmet tanımlayıcısı sağlar.

RAW Yapıştır Verileri

L2 VPN VEYA DAĞITILMIŞ ETHERNET L2 VPN kategorisi çok çeşitli hizmetleri içerir: özel kanalların noktadan noktaya (E-Line) öykünmesinden çok noktalı bağlantıların organizasyonuna ve Ethernet anahtar işlevlerinin öykünmesine (E-LAN, VPLS) . L2 VPN teknolojileri, daha yüksek katmanların protokollerine "şeffaftır", bu nedenle, örneğin operatörün kullandığı IP protokolünün hangi sürümünü kullandığına bakılmaksızın IPv4 veya IPv6 trafiğinin iletilmesine izin verir. SNA, NetBIOS, SPX / IPX trafiğini iletmenin gerekli olduğu durumlarda "düşük seviyeleri" olumlu bir şekilde kendini gösterir. Ancak şimdi, genel "ipleşme" döneminde, bu fırsatlara giderek daha az ihtiyaç duyulmaktadır. Bir süre sonra, yeni nesil ağ uzmanları, NetWare OS ve SPX / IPX protokollerinin ağlara "egemen" olduğu bir zaman olduğunu muhtemelen hiç bilemeyecekler. L2 VPN hizmetleri genellikle aynı şehir (veya şehir ve yakın çevre) içinde kurumsal ağlar oluşturmak için kullanılır, bu nedenle bu kavram genellikle Metro Ethernet terimiyle neredeyse eşanlamlı olarak algılanır. Bu tür hizmetler, daha düşük (L3 VPN ile karşılaştırıldığında) bağlantı maliyetinde yüksek kanal hızlarıyla karakterize edilir. L2 VPN'nin avantajları aynı zamanda jumbo çerçeveler için destek, göreceli basitlik ve sağlayıcı sınırına kurulan istemci ekipmanının düşük maliyetidir (L2). L2 VPN hizmetlerinin artan popülaritesi, büyük ölçüde hataya dayanıklı coğrafi olarak dağıtılmış veri merkezlerinin ihtiyaçlarından kaynaklanmaktadır: sanal makineler 'seyahat', L2 düzeyindeki düğümler arasında doğrudan bir bağlantı gerektirir. Bu tür hizmetler aslında L2 alanını genişletmenize izin verir. Bunlar iyi hata ayıklanmış çözümlerdir, ancak genellikle karmaşık yapılandırma gerektirir. Özellikle, bir veri merkezini bir servis sağlayıcının ağına birkaç noktadan bağlarken - ve bu, hata toleransını arttırmak için oldukça arzu edilir - bağlantıların optimal yükünü sağlamak ve "anahtarlama döngülerinin" oluşumunu ortadan kaldırmak için ek mekanizmalar gereklidir. Ayrıca, Cisco Nexus anahtarlarında uygulanan Overlay Transport Virtualization (OTV) teknolojisi gibi L2 düzeyinde veri merkezi ağlarını birbirine bağlamak için özel olarak tasarlanmış çözümler de vardır. L3 düzeyinde yönlendirmenin tüm avantajlarından yararlanarak IP ağlarının üzerinde çalışır: iyi ölçeklenebilirlik, yüksek hata toleransı, birden çok noktada bağlantı, birden çok yol üzerinden trafik iletimi vb. çözümler / LAN ”2010 için). L2 VEYA L3 VPN Bir kuruluş, L2 VPN hizmetlerini satın alırken düğümleri arasındaki trafiği yönlendirmek zorundaysa, L3 VPN sistemlerinde bu sorun hizmet sağlayıcı tarafından çözülür. L3 VPN'in temel amacı, farklı şehirlerde bulunan siteleri birbirinden çok uzakta birbirine bağlamaktır. Bu hizmetler daha yüksek bağlantı maliyetlerine (çünkü bir anahtar değil yönlendirici dahil), yüksek kiralara ve düşük bant genişliğine (genellikle 2 Mbps'ye kadar) sahip olma eğilimindedir. Bağlantı noktaları arasındaki mesafeye bağlı olarak fiyat önemli ölçüde artabilir. L3 VPN'nin önemli bir avantajı, IP telefon ve video konferans hizmetleri için gerekli kalite düzeyini sağlayan QoS ve trafik mühendisliği işlevlerine verdiği destektir. Dezavantajları, Ethernet hizmetleri için opaklık, büyük boyutlu Ethernet çerçeveleri için destek eksikliği ve Metro Ethernet hizmetlerine kıyasla daha yüksek maliyettir. MPLS teknolojisinin hem L2 hem de L3 VPN'yi düzenlemek için kullanılabileceğini unutmayın. Bir VPN hizmetinin düzeyi, onun için kullanılan teknolojinin düzeyine göre değil (MPLS'nin OSI modelinin herhangi bir belirli düzeyine atfedilmesi genellikle zordur, bunun yerine L2.5 teknolojisidir), ancak "tüketici özellikleri" ile belirlenir: operatörün ağı istemci trafiğini yönlendiriyorsa, bağlantı katmanı bağlantılarını (veya Ethernet anahtar işlevlerini) öykünüyorsa L3'tür - L2. Aynı zamanda, L2 VPN oluşturmak için 802.1ad Sağlayıcı Köprüleme veya 802.1ah Sağlayıcı Omurga Köprüleri gibi başka teknolojiler de kullanılabilir. Diğer birçok adla da bilinen (vMAN, Q-in-Q, Etiket Yığınlama, VLAN Yığınlama) 802.1ad Sağlayıcı Köprüleme çözümleri, bir Ethernet çerçevesine ikinci bir 802.1Q VLAN etiketi eklemenize olanak tanır. Servis sağlayıcı, istemci ekipmanı tarafından ayarlanan dahili VLAN etiketlerini yok sayabilir - trafiği iletmek için harici etiketler yeterlidir. Bu teknoloji, klasik Ethernet teknolojisinde bulunan 4096 VLAN ID sınırlamasını ortadan kaldırarak hizmet ölçeklenebilirliğini önemli ölçüde artırır. 802.1ah Sağlayıcı Omurga Köprüleri (PBB) çözümleri, çerçeveye ikinci bir MAC adresinin eklenmesine izin verirken, hedef ekipmanın MAC adresleri omurga anahtarlarından gizlenir. PBB, 16 milyona kadar hizmet tanımlayıcısı sağlar.

Nazik bir gülümsemeyle, insanlığın 2000 yılında dünyanın sonunu nasıl endişeyle beklediğini şimdi hatırlıyorum. Sonra bu olmadı, ama tamamen farklı ve aynı zamanda çok önemli bir olay oldu.

Tarihsel olarak, o zaman dünya gerçek bir bilgisayar devrimine girdi v. 3.0. - Başlat dağıtılmış veri depolama ve işleme bulut teknolojileri... Ayrıca, önceki "ikinci devrim", 80'lerde "istemci-sunucu" teknolojilerine büyük bir geçiş olsaydı, o zaman birincisi, sözde bağlı ayrı terminaller kullanarak eşzamanlı kullanıcı çalışmasının başlangıcı olarak kabul edilebilir. "Ana bilgisayarlar" (geçen yüzyılın 60'larında). Bu devrim niteliğindeki değişiklikler, kullanıcılar için barışçıl ve fark edilmeden gerçekleşti, ancak bilgi teknolojisi ile birlikte tüm iş dünyasını etkiledi.

BT altyapısını uzak veri merkezlerine (veri işleme merkezleri) aktarırken, anahtar konu anında müşteriden gelen güvenilir iletişim kanallarının organizasyonu haline gelir. İnternette genellikle sağlayıcılardan teklifler vardır: "fiziksel kiralık hat, fiber optik", "L2 kanalı", "VPN" ve benzeri... Pratikte bunun arkasında ne olduğunu anlamaya çalışalım.

İletişim kanalları - fiziksel ve sanal

1. "Fiziksel hat" veya "ikinci seviye kanal, L2" organizasyonuna genellikle bir sağlayıcı tarafından özel bir kablo (bakır veya fiber optik) veya ofisler ve veri merkezinin bulunduğu siteler arasında bir radyo kanalı sağlama hizmeti denir. ekipman konuşlandırılır. Bu hizmeti sipariş ederek, pratikte, büyük olasılıkla kiralık bir fiber optik kanal alacaksınız. Bu çözüm caziptir çünkü sağlayıcı güvenilir iletişimden sorumludur (ve kablonun zarar görmesi durumunda kanalın işlerliğini kendi kendine geri yükler). Bununla birlikte, gerçek hayatta, kablo tamamen entegre değildir - güvenilirliğini bir şekilde azaltan birçok bağlı (kaynaklı) parçadan oluşur. Fiber optik kablo döşeme yolunda, sağlayıcı uç noktalarda amplifikatörler, ayırıcılar ve modemler kullanmak zorundadır.

Pazarlama malzemelerinde bu çözüm, koşullu olarak OSI veya TCP / IP ağ modelinin L2 (Veri Bağlantısı) katmanı olarak adlandırılır - endişelenmeden LAN'daki Ethernet çerçevelerini değiştirme düzeyinde çalışmanıza izin verir. bir sonraki IP ağ katmanında birçok paket yönlendirme sorunu. Örneğin, "özel" olarak adlandırılan IP adreslerini, kayıtlı benzersiz genel adresler yerine istemci sanal ağlarında kullanmaya devam etmek mümkündür. Yerel ağlarda özel IP adreslerinin kullanılması çok uygun olduğundan, kullanıcılara ana adresleme sınıflarından özel aralıklar tahsis edildi:

  • A sınıfında 10.0.0.0 - 10.255.255.255 (255.0.0.0 maskesiyle veya alternatif bir maske gösterimi biçiminde / 8 ile);
  • A sınıfında 100.64.0.0 - 100.127.255.255 (255.192.0.0 veya / 10 maskesiyle);
  • 172.16.0.0 - B sınıfında 172.31.255.255 (255.240.0.0 veya / 12 maskesiyle);
  • 192.168.0.0 - 192.168.255.255 sınıf C'de (255.255.0.0 veya / 16 maskesiyle).

Bu tür adresler "dahili kullanım" için kullanıcıların kendileri tarafından seçilir ve binlerce istemci ağında aynı anda tekrarlanabilir, bu nedenle başlıkta özel adreslere sahip veri paketleri - karışıklığı önlemek için İnternette yönlendirilmez. İnternete erişmek için istemci tarafında NAT (veya başka bir çözüm) kullanmanız gerekir.

Not: NAT - Ağ Adresi Çevirisi (TCP/IP ağlarındaki geçiş paketlerinin ağ adreslerini değiştirmek için bir mekanizma, paketleri istemcinin yerel ağından diğer ağlara/İnternet'e ve ters yönde - istemcinin LAN'ı içinde yönlendirmek için kullanılır. muhatap).

Bu yaklaşımın (ve özel bir kanaldan bahsediyoruz) ayrıca bariz bir dezavantajı vardır - müşterinin ofisi taşınırsa, yeni bir yere bağlanma konusunda ciddi zorluklar olabilir ve sağlayıcıyı değiştirme ihtiyacı mümkündür.

Böyle bir kanalın önemli ölçüde daha güvenli olduğu, kötü niyetli saldırılara ve düşük vasıflı teknik personelin hatalarından daha iyi korunduğu iddiası daha yakından incelendiğinde bir efsane olduğu ortaya çıkıyor. Uygulamada, güvenlik sorunları genellikle insan faktörünün katılımıyla doğrudan müşteri tarafında ortaya çıkar (veya kasıtlı olarak bir bilgisayar korsanı tarafından oluşturulur).

2. Sanal kanallar ve üzerlerine kurulan VPN (Sanal Özel Ağ) yaygındır ve müşterinin görevlerinin çoğunun çözülmesine izin verir.

Sağlayıcı tarafından "L2 VPN" sağlanması, birkaç olası "ikinci düzey" hizmet seçeneği olduğunu varsayar, L2:

VLAN - müşteri ofisleri, şubeleri arasında sanal bir ağ alır (gerçekte müşterinin trafiği, hızı sınırlayan sağlayıcının aktif ekipmanından geçer);

Noktadan Noktaya PWE3(diğer bir deyişle, paket anahtarlamalı ağlarda "sözde uçtan uca öykünme") Ethernet çerçevelerinin iki düğüm arasında doğrudan kabloluymuş gibi iletilmesine olanak tanır. Bu teknolojide, iletilen tüm çerçevelerin değişmeden uzak noktaya iletilmesi müşteri için esastır. Aynı şey ters yönde de olur. Bu, sağlayıcının yönlendiricisine gelen istemci çerçevesinin daha yüksek seviyeli bir veri bloğunda (MPLS paketi) kapsüllenmesi (eklenmesi) ve uç noktada çıkarılması nedeniyle mümkündür;


Not: PWE3 - Pseudo-Wire Emulation Edge to Edge (kullanıcının bakış açısından özel bir bağlantı aldığı bir mekanizma).

MPLS - MultiProtocol Label Switching (paketlere taşıma/servis etiketleri atandığı ve ağlardaki veri paketlerinin iletim yolunun herhangi bir protokol kullanılarak iletim ortamından bağımsız olarak yalnızca etiketlerin değerine göre belirlendiği bir veri iletim teknolojisi. yönlendirme, yeni etiketler eklenebilir (gerektiğinde) veya işlevleri sona erdiğinde silinebilir (paketlerin içeriği analiz edilmez veya değiştirilmez).

VPLS, çok noktalı bir LAN simülasyon teknolojisidir. Bu durumda, sağlayıcının ağı, istemci tarafından ağ cihazlarının MAC adresleri tablosunu saklayan tek bir anahtar gibi görünür. Böyle bir sanal "anahtar", istemcinin ağından gelen Ethernet çerçevesini amacına göre dağıtır - bunun için çerçeve bir MPLS paketinde kapsüllenir ve ardından çıkarılır.


Not: VPLS, Virtual Private LAN Service (kullanıcının bakış açısından, coğrafi olarak dağınık ağlarının sanal L2 bağlantıları ile bağlandığı bir mekanizma) anlamına gelir.

MAC - Medya Erişim Kontrolü (bir ortama erişimi kontrol etme yöntemi - Ethernet ağlarında bir ağ cihazının (veya arayüzlerinin) benzersiz 6 baytlık adres tanımlayıcısı).


3. “L3 VPN” dağıtımı durumunda, sağlayıcının ağı, istemcinin gözünde birden fazla arabirime sahip tek bir yönlendirici gibi görünür. Bu nedenle, istemcinin yerel ağının sağlayıcının ağı ile birleşimi, OSI veya TCP/IP ağ modelinin L3 seviyesinde gerçekleşir.

Ağ bağlantı noktaları için genel IP adresleri, sağlayıcı ile anlaşarak belirlenebilir (istemciye aittir veya sağlayıcıdan alınabilir). IP adresleri, istemci tarafından her iki taraftaki yönlendiricilerinde (özel - yerel ağlarının tarafında, genel - sağlayıcı tarafında) yapılandırılır, veri paketlerinin daha fazla yönlendirilmesi sağlayıcı tarafından sağlanır. Teknik olarak MPLS, GRE ve IPSec teknolojilerinin yanı sıra böyle bir çözümü (yukarıya bakın) uygulamak için kullanılır.


Not: GRE - Genel Yönlendirme Kapsülleme (tünelleme protokolü, iki uç nokta arasında güvenli bir mantıksal bağlantı kurmanıza izin veren paket sarma - L3 ağ katmanında protokol kapsülleme kullanarak).

IPSec - IP Güvenliği (IP kullanılarak iletilen verileri korumaya yönelik bir dizi protokol. Kimlik doğrulama, şifreleme ve paket bütünlüğü kontrolleri kullanılır).

Modern ağ altyapısının, müşterinin yalnızca sözleşmeyle belirlenen kısmını görebileceği şekilde inşa edildiğini anlamak önemlidir. Özel kaynaklar (sanal sunucular, yönlendiriciler, depolama ve yedek depolama) ile çalışan programlar ve bellek içerikleri diğer kullanıcılardan tamamen yalıtılmıştır. Birkaç fiziksel sunucu, tek bir güçlü sunucu havuzu gibi görünecekleri bakış açısından, bir istemci için aynı anda ve aynı anda çalışabilir. Tersine, birçok sanal makine aynı anda tek bir fiziksel sunucuda oluşturulabilir (her biri kullanıcıya işletim sistemi olan ayrı bir bilgisayar gibi görünecektir). Standart çözümlere ek olarak, müşteri verilerinin işlenmesi ve saklanmasının güvenliği ile ilgili kabul edilen gereksinimleri de karşılayan bireysel çözümler sunulmaktadır.

Aynı zamanda, bulutta dağıtılan “L3 seviyesi” ağın konfigürasyonu, neredeyse sınırsız boyuta kadar ölçeklendirmeye izin verir (İnternet ve büyük veri merkezleri bu prensip üzerine kuruludur). OSPF ve L3 bulut ağlarındaki diğerleri gibi dinamik yönlendirme protokolleri, veri paketlerini yönlendirmek için en kısa yolları seçmenize, en iyi indirme için paketleri aynı anda birkaç yolla göndermenize ve kanalların bant genişliğini genişletmenize olanak tanır.

Aynı zamanda, küçük veri merkezleri ve eski (veya oldukça spesifik) istemci uygulamaları için tipik olan "L2 düzeyinde" bir sanal ağ dağıtmak da mümkündür. Bu durumların bazılarında, ağ uyumluluğunu ve uygulama performansını sağlamak için L3 üzerinden L2 teknolojisi bile kullanılır.

özetleyelim

Bugün, çoğu durumda kullanıcının / istemcinin görevleri, güvenlik için GRE ve IPSec teknolojilerini kullanarak sanal özel VPN ağları düzenleyerek etkin bir şekilde çözülebilir.

L2 kanal önerisini ağınızda her derde deva güvenilir iletişim kurmak için en iyi çözüm olarak görmenin anlamsız olması gibi, L2 ve L3'e karşı çıkmak da pek mantıklı değildir. Modern iletişim kanalları ve sağlayıcıların ekipmanı, büyük miktarda bilginin iletilmesine izin verir ve kullanıcılar tarafından kiralanan birçok özel kanal aslında yeterince kullanılmamaktadır. L2'yi yalnızca görevin özellikleri gerektirdiğinde özel durumlarda kullanmak mantıklıdır, böyle bir ağın gelecekteki genişleme olasılığının sınırlamalarını dikkate alın ve bir uzmana danışın. Öte yandan, L3 VPN'ler, diğer her şey eşit olduğunda, daha çok yönlü ve kullanımı daha kolaydır.

Bu genel bakış, yerel BT altyapısını uzak veri merkezlerine aktarırken kullanılan modern tipik çözümleri kısaca listeler. Her birinin kendi tüketicisi, avantajları ve dezavantajları vardır, çözümün doğru seçimi belirli göreve bağlıdır.

Gerçek hayatta, ağ modeli L2 ve L3'ün her iki seviyesi birlikte çalışır, her biri kendi görevinden sorumludur ve reklamcılıkta onlara karşı çıkar, sağlayıcılar açıkça kurnazdır.

Cisco cihazlarında böyle bir ağ kuracağız

Ağ açıklaması:
VLAN1 (varsayılan BT) - 192.168.1.0/24
VLAN2 (SHD) - 10.8.2.0/27
VLAN3 (SERV) - 192.168.3.0/24
VLAN4 (LAN) - 192.168.4.0/24
VLAN5 (BUH) - 192.168.5.0/24
VLAN6 (TELEFON) - 192.168.6.0/24
VLAN7 (KAMERALAR) - 192.168.7.0/24

VLAN9 (WAN) - 192.168.9.2/24

Cihazlar:
Cisco anahtarları c2960 L2 seviyesi - 3 adet
Cisco c3560 L2 ve L3 seviye anahtarı - 1 adet
Tüm anahtarlar VLAN1'de olacak ve 192.168.1.0/24 ağına sahip olacak

Herhangi bir yönlendirici (Mikrotik RB750'im var) - 1 adet

Win2008 sunucusu (DHCP) - ip adreslerinin dağıtımı için
Her VLAN'ın uç nokta olarak 2 bilgisayarı vardır.

Hadi başlayalım.


İlk önce sw1 seviyesinin cisco L2 anahtarını yapılandıralım
Varsayılan olarak, tüm bağlantı noktaları VLAN1'dedir, bu nedenle onu oluşturmayacağız.
  1. Konsola bağlanıyoruz: telnet 192.168.1.1
  2. Şifrenizi girin
  3. sw1>etkinleştirme(Komutları girmek için ayrıcalıklı moda geçiyoruz)
  1. İsveç # conf-t (yapılandırma moduna gidin)
  2. sw (yapılandırma) # vlan 2 (VLAN Oluştur)
  3. sw (config-vlan) # ad SHD (bu VLAN2'ye bir ad atayın)
  4. sw (config-vlan) #çıkış
  5. İsveç #

Bilgisayarları VLAN2'ye bağlamak için bağlantı noktalarını tanımlayın

Anahtarın birinci ve ikinci bağlantı noktasında VLAN1'e sahip olacağım

Üçüncü ve dördüncü bağlantı noktası VLAN2'de

Beşinci ve altıncı VLAN3'te

  1. İsveç # conf-t (yapılandırma moduna gidin)
  2. sw (yapılandırma) # int fa0 / 3 (bir port için arayüzü seçin)
  3. sw (yapılandırma) # int fa0 / 3-4 (bir kerede birkaç bağlantı noktası için arayüzü seçin)
  4. sw (yapılandırma-if) #
  5. sw (yapılandırma-if) # switchport erişim vlan 2 (bu bağlantı noktasına VLAN2 atayın)
  6. sw (yapılandırma-if) #
  7. sw (yapılandırma-if) #çıkış
  8. İsveç #

Anahtarımızı (sw1 -cisco 2960-L2) anahtara (sw2 -cisco 3560-L2L3) bağlamak için

oluşturulan VLAN'ları (gerekirse) başka bir anahtara aktarmamız gerekiyor, bunun için TRUNK portunu yapılandıracağız (VLAN'larımız bagaj portunda yürüyor)

En hızlı bağlantı noktasını seçiyoruz (birkaç VLAN (alt ağ) üzerinde yürüyeceğinden)

  1. İsveç # conf-t (yapılandırma moduna gidin)
  2. sw (yapılandırma) #
  3. sw (yapılandırma) #
  4. sw (yapılandırma-if) #
  5. sw (yapılandırma-if) # switchport trank'e izin verildi vlan 2,3, (hangi VLAN'ın geçeceğini belirtiyoruz)
  6. sw (yapılandırma-if) # kapanma yok (arayüzü açın)
  7. sw (yapılandırma-if) #çıkış
  8. Gerekli portlar için adımları tekrarlıyoruz

L2 anahtar yapılandırmasının ÖZETİ:

  1. Bu cihaz L2 olduğu için ip adreslerinin ne olduğunu anlamaz.
  2. Bunlara bağlı bilgisayarlar limanlar verilenler içinde birbirlerini görebilirler VLAN. Yani VLAN1'den VLAN2'ye girmeyeceğim ve tam tersi.
  3. Anahtara VLAN iletimi için bir gigabit bağlantı noktası yapılandırıldı sw2 -cisco 3560-L2L3.
______________________________________

L2 anahtarında (sw1) tarafımızdan oluşturulmuş ağa ekleyin, anahtarı (sw2) cisco-3560 L2L3

3560 L3 cihazımızı yapılandıralım (ip adreslerini anlar ve VLAN'lar arasında yönlendirme yapar)


 1. Bu L3 anahtarı, VLAN'lar arasındaki trafiği yönlendireceğinden, ağ topolojinizi tanımlayacak tüm VLAN'ları oluşturmanız gerekir.

VLAN Oluştur (vlan komutları tüm cihazlarda aynı şekilde oluşturulur)

  1. İsveç # conf-t (yapılandırma moduna gidin)
  2. sw (yapılandırma) # vlan 4 (VLAN Oluştur)
  3. sw (yapılandırma-if) # LAN adı (bu VLAN2'ye bir ad veriyoruz)
  4. sw (yapılandırma-if) #çıkış
  5. VLAN eklemek gerekirse adımları tekrarlıyoruz
  6. İsveç # vlan özetini göster (hangi VLAN'ların oluşturduğunu görün)
2. Bilgisayarları bağlamak için bağlantı noktalarını tanımlayın.

- anahtarın ilk bağlantı noktasında VLAN9'a sahip olacağım

- üçüncü ve dördüncü bağlantı noktası VLAN7'de

  1. İsveç # conf-t (yapılandırma moduna gidin)
  2. sw (yapılandırma) # int fa0 / 1 (bir port için arayüzü seçin)
  3. sw (yapılandırma) # int fa0 / 3-7 (birkaç bağlantı noktası için aynı anda arayüzü seçin)
  4. sw (yapılandırma-if) # switchport modu erişimi (Bu portun cihazlar için olacağını belirtiyoruz)
  5. sw (yapılandırma-if) # switchport erişim vlan 9 (bu bağlantı noktasına VLAN9 atayın)
  6. sw (yapılandırma-if) # kapanma yok (arayüzü açın)
  7. sw (yapılandırma-if) #çıkış
  8. Gerekli portlar için adımları tekrarlıyoruz
  9. İsveç #çalıştırmayı göster (hangi cihaz ayarlarını görün)
3. Ana bağlantı noktaları oluşturun

En hızlı bağlantı noktasını seçiyoruz (birkaç VLAN (alt ağ) üzerinde yürüyeceğinden)

  1. İsveç # conf-t (yapılandırma moduna gidin)
  2. sw (yapılandırma) # int gi0 / 1 (bir port için arayüzü seçin)
  3. sw (yapılandırma) # int gi0 / 1-2 (birkaç bağlantı noktası için aynı anda arabirimi seçin)
  4. L3'ü yapılandırdığımız için, fiziksel bağlantı noktasından ip adresinin sanal bağlantı noktasına aktarmamız gerekiyor ve bunun tersi de (kapsülleme)
  5. sw (yapılandırma-if) # switchport gövde kapsülleme dot1q (kapsüllemeyi belirtin)
  6. sw (yapılandırma-if) # switchport mode trunk (Bu portun VLAN için olacağını belirtiyoruz)
  7. sw (yapılandırma-if) # switchport trank'e izin verildi vlan 1-7, (hangi VLAN'ın geçeceğini belirtin)
  8. sw (yapılandırma-if) # kapanma yok (arayüzü açın)
  9. sw (yapılandırma-if) #çıkış
  10. Gerekli portlar için adımları tekrarlıyoruz
4. Yönlendiriciyi L3 moduna alıyoruz
  1. İsveç # conf-t (yapılandırma moduna gidin)
  2. sw (yapılandırma) # ip yönlendirme (yönlendirmeyi etkinleştir)
5. Anahtarımız L3 seviyesinde olduğu için, trafiği yönlendirmek için portlardaki VLAN'lara ip adresleri asıyoruz.
VLAN interworking için (VLAN2'den VLAN3'e vb. alabilirsiniz)

Tüm sanal arayüzleri VLAN, ip adreslerini ayarlayın

  1. İsveç # conf-t (yapılandırma moduna gidin)
  2. sw (yapılandırma) # int vlan 2 (ip adresini VLAN2'ye asıyoruz)
  3. sw (yapılandırma) # ip adresi 10.8.2.1 255.255.255.224 (bu adres bu alt ağ için ağ geçidi olacaktır)
  4. sw (yapılandırma-if) # kapanma yok (arayüzü açın)
  5. sw (yapılandırma-if) #çıkış
  1. İsveç # conf-t (yapılandırma moduna gidin)
  2. sw (yapılandırma) # int vlan 3 (ip adresini VLAN3'e asıyoruz)
  3. sw (yapılandırma) # ip adresi 192.168.3.1 255.255.255.0 (bu adres bu alt ağ için ağ geçidi olacaktır)
  4. sw (yapılandırma-if) # kapanma yok (arayüzü açın)
  5. sw (yapılandırma-if) #çıkış
  6. Gerekli arayüzler için adımları tekrarlıyoruz



İlgili Makaleler

En son makaleler
Popüler Makaleler
Editörün Seçimi
rzdoro.ru