Kapcsolási szintek l1 l2 l3. Cisco Router és L3 kapcsoló összehasonlítása

Ez az első cikk a "Hálózatok a kicsiknek" sorozatban. Maxim aka Gluck és én sokáig gondolkodtunk, hol kezdjük: útválasztás, VLAN-ok, berendezések beállítás, ennek eredményeként úgy döntöttünk, hogy az alapvető és mondhatni a legfontosabb dologgal kezdjük: a tervezéssel. teljesen kezdőknek az elejétől a végéig végigmegyünk.

Feltételezzük, hogy legalább olvasott az OSI referenciamodellről, a TCP / IP protokoll veremről, ismeri a létező VLAN-ok típusait, a jelenleg legnépszerűbb port-alapú VLAN-t és az IP-címeket. Megértjük, hogy az "OSI" és a "TCP/IP" ijesztő szavak a kezdők számára. De ne aggódjon, nem arra használjuk őket, hogy megijesztjük. Ez az, amivel nap mint nap meg kell küzdened, ezért ebben a ciklusban megpróbáljuk feltárni a jelentésüket és a valósághoz való viszonyukat.

Kezdjük a feladat beállításával. Van egy bizonyos cég, amely például csak felfelé közlekedő felvonókat gyárt, ezért Lift Me Up LLC-nek hívják. Az Arbat egyik régi épületében találhatók, és a kiégett és leégett 10Base-T időkapcsolókra dugva korhadt vezetékek nem számítanak arra, hogy új szerverek csatlakozzanak gigabites kártyákon keresztül. Tehát katasztrofálisan szükségük van a hálózati infrastruktúrára, és a csirkék nem keresik a pénzt, ami korlátlan választási lehetőséget ad. Ez minden mérnök csodálatos álma. Tegnap pedig átmentél az interjún, és egy nehéz küzdelemben joggal kaptad meg a hálózati rendszergazdai pozíciót. És most te vagy az első és egyetlen a maga nemében. Gratulálunk! Mi a következő lépés?

Egy kicsit pontosítani kell a helyzetet:

  1. A cégnek jelenleg két irodája van: az Arbaton 200 négyzetméteres munkahelyek és egy szerverterem. Több szolgáltató is létezik. Egy másik Rubljovkán.
  2. Négy felhasználói csoport van: számviteli (B), pénzügyi és gazdasági osztály (FEO), termelési és műszaki osztály (PTO), egyéb felhasználók (D). És vannak szerverek is (C), amelyek külön csoportba kerülnek. Minden csoport külön van, és nincs közvetlen hozzáférésük egymáshoz.
  3. A C, B és FEO csoport felhasználói csak az Arbat irodában, a PTO és a D mindkét irodában lesznek.

A felhasználók számának, a szükséges interfészeknek, kommunikációs csatornáknak a becslése után hálózati diagramot és IP tervet készít.

A hálózat tervezésénél törekedni kell egy hierarchikus hálózati modellhez, amelynek számos előnye van a „lapos hálózathoz” képest:

  • a hálózatépítés könnyebb megértése
  • a modell modularitást rejt magában, ami azt jelenti, hogy könnyen bővíthető a kapacitás pontosan ott, ahol szükség van rá
  • könnyebb megtalálni és elkülöníteni a problémát
  • fokozott hibatűrés az eszközök és/vagy csatlakozások megkettőzése miatt
  • funkciók elosztása a hálózati teljesítmény biztosítása érdekében a különböző eszközök között.

E modell szerint a hálózat három logikai szintre oszlik: hálózati mag(Alapréteg: nagy teljesítményű eszközök, fő cél a gyors szállítás), elosztási szint(Disztribúciós réteg: biztosítja a biztonsági szabályzat érvényesítését, a QoS-t, a VLAN-összevonást és az útválasztást, meghatározza a szórási tartományokat), és hozzáférési szint(Hozzáférési réteg: általában L2 kapcsolók, cél: végberendezések csatlakoztatása, forgalom QoS-hez való jelölése, hálózati csengések (STP) és broadcast viharok elleni védelem, PoE eszközök tápellátása).

A miénkhez hasonló léptékben az egyes eszközök szerepe elmosódott, de lehetséges a hálózat logikai elkülönítése.

Készítsünk hozzávetőleges diagramot:


A bemutatott diagramon a mag (Core) a 2811-es router lesz, a 2960-as switch a terjesztési szinthez (Distribution) lesz rendelve, mivel az összes VLAN egy közös trönkbe van összesítve rajta. A 2950-es kapcsolók Access eszközök lesznek. Végfelhasználók, irodai berendezések, szerverek csatlakoznak hozzájuk.

A készülékeket a következőképpen nevezzük el: a város rövidített neve ( msk) - földrajzi elhelyezkedés (utca, épület) ( arbat) — az eszköz szerepe a hálózatban + sorozatszám.

Szerepük és helyük szerint választunk gazdagépnév:

  • 2811-es router: msk-arbat-gw1(gw=GateWay=átjáró);
  • kapcsoló 2960: msk-arbat-dsw1(dsw=Elosztó kapcsoló);
  • 2950 kapcsolók: msk-arbat-aswN, msk-rubl-asw1(asw=Hozzáférés kapcsoló).

Hálózati dokumentáció

A teljes hálózatot szigorúan dokumentálni kell: a kapcsolási rajztól az interfész megnevezéséig.

Mielőtt folytatná a beállítást, szeretném felsorolni a szükséges dokumentumokat és műveleteket:

  • hálózati diagramok L1, L2, L3 az OSI modell rétegeinek megfelelően (fizikai, csatorna, hálózati);
  • IP-cím terv = IP-terv;
  • VLAN lista;
  • aláírások ( leírás) interfészek;
  • eszközök listája (mindegyiknél meg kell adni: a hardver modelljét, a telepített IOS verziót, a RAM\NVRAM mennyiségét, az interfészek listáját);
  • címkék a kábeleken (honnan és hová megy), beleértve a táp- és földkábeleket és eszközöket is;
  • egyetlen szabályozás, amely meghatározza az összes fenti paramétert és egyebeket.

A szimulátor program részeként félkövér betűvel fogunk figyelni. Természetesen a hálózaton minden változtatást el kell végezni a dokumentációban és a konfigurációban, hogy azok naprakészek legyenek.

Amikor a kábeleken lévő címkékről/matricákról beszélünk, a következőkre gondolunk:

Ezen a képen jól látható, hogy minden kábel meg van jelölve, az egyes gépek értéke a rackben lévő pajzson, valamint minden eszköz.

Készítsük elő a szükséges dokumentumokat:

VLAN lista

Minden csoport külön vlan-hez lesz hozzárendelve. Így korlátozzuk a szórási tartományokat. Ezenkívül bevezetünk egy speciális VLAN-t az eszközkezeléshez. A 4-től 100-ig terjedő VLAN-számok későbbi használatra vannak fenntartva.

IP terv

Az alhálózatok kiosztása általában tetszőleges, csak a helyi hálózat csomópontjainak számának felel meg, figyelembe véve a lehetséges növekedést. Ebben a példában minden alhálózat szabványos /24 maszkot tartalmaz (/24=255.255.255.0) – ezeket gyakran használják a helyi hálózatokban, de nem mindig. Javasoljuk, hogy olvassa el a hálózatok osztályait. A jövőben áttérünk az osztály nélküli címzésre (cisco). Tisztában vagyunk vele, hogy a Wikipédián található műszaki cikkekre mutató linkek rossz modor, de jó definíciót adnak, mi pedig megpróbáljuk ezt átvinni a való világ képébe.

Pont-pont hálózaton az egyik útválasztónak a másikhoz való kapcsolódását értjük pont-pont módban. Általában a 30-as maszkkal ellátott címeket veszik (visszatérve az osztály nélküli hálózatok témájához), azaz két gazdagépcímet tartalmaznak. Később kiderül, mi a tét.

IP terv
IP-címjegyzetVLAN
172.16.0.0/16
172.16.0.0/24 Szerverfarm 3
172.16.0.1 Átjáró
172.16.0.2 web
172.16.0.3 fájlt
172.16.0.4 Levél
172.16.0.5 — 172.16.0.254 fenntartott
172.16.1.0/24 Ellenőrzés 2
172.16.1.1 Átjáró
172.16.1.2 msk-arbat-dsw1
172.16.1.3 msk-arbat-asw1
172.16.1.4 msk-arbat-asw2
172.16.1.5 msk-arbat-asw3
172.16.1.6 msk-rubl-aswl
172.16.1.6 — 172.16.1.254 fenntartott
172.16.2.0/24 Pont-pont hálózat
172.16.2.1 Átjáró
172.16.2.2 — 172.16.2.254 fenntartott
172.16.3.0/24 ÁLLATORVOS 101
172.16.3.1 Átjáró
172.16.3.2 — 172.16.3.254 Pool a felhasználók számára
172.16.4.0/24 HADERŐ MŰSZAKI FŐTISZT 102
172.16.4.1 Átjáró
172.16.4.2 — 172.16.4.254 Pool a felhasználók számára
172.16.5.0/24 Könyvelés 103
172.16.5.1 Átjáró
172.16.5.2 — 172.16.5.254 Pool a felhasználók számára
172.16.6.0/24 Más felhasználók 104
172.16.6.1 Átjáró
172.16.6.2 — 172.16.6.254 Pool a felhasználók számára

Berendezés csatlakozási terv kikötők szerint

Persze most vannak switchek egy rakás 1Gb Ethernet porttal, vannak switchek 10G-vel, van 40Gb fejlett kezelői hardveren, ami sok ezer dollárba kerül, 100 Gb fejlesztés alatt van (és a pletykák szerint még ilyen táblák, amelyek ipari termelésbe kerültek). Ennek megfelelően a való világban igényei szerint választhat switcheket és routereket, anélkül, hogy megfeledkezne a költségvetéséről. Konkrétan egy gigabites switchet lehet most olcsón megvenni (20-30 ezer), és ez a jövőre nézve tartalék (persze ha nem szolgáltató). Egy gigabites porttal rendelkező router már lényegesen drágább, mint a 100 Mb/s-os portokkal rendelkező router, de megéri, mert az FE modellek (100 Mbps FastEthernet) elavultak, átviteli sebességük pedig nagyon alacsony.

De az általunk használt emulátor / szimulátor programokban sajnos csak egyszerű berendezésmodellek vannak, így a hálózat modellezésekor abból indulunk ki, amink van: cisco2811 router, cisco2960 és 2950 switchek.

Eszköz neveKikötőNévVLAN
HozzáférésTörzs
msk-arbat-gw1FE0/1uplink
FE0/0msk-arbat-dsw1 2,3,101,102,103,104
msk-arbat-dsw1FE0/24msk-arbat-gw1 2,3,101,102,103,104
GE1/1msk-arbat-asw1 2,3
GE1/2msk-arbat-asw3 2,101,102,103,104
FE0/1msk-rubl-asw1 2,101,104
msk-arbat-asw1GE1/1msk-arbat-dsw1 2,3
GE1/2msk-arbat-asw2 2,3
FE0/1web szerver3
FE0/2Fájlszerver3
msk-arbat-asw2GE1/1msk-arbat-asw1 2,3
FE0/1levelezőszerver3
msk-arbat-asw3GE1/1msk-arbat-dsw1 2,101,102,103,104
FE0/1-FE0/5TLT101
FE0/6-FE0/10HADERŐ MŰSZAKI FŐTISZT102
FE0/11-FE0/15Könyvelés103
FE0/16-FE0/24Egyéb104
msk-rubl-asw1FE0/24msk-arbat-dsw1 2,101,104
FE0/1-FE0/15TLT101
FE0/20adminisztrátor104

A VLAN-ok ilyen módon történő elosztása miért történik, a következő részekben elmagyarázzuk.

Hálózati diagramok

Ezen adatok alapján ebben a szakaszban mindhárom hálózati diagram megrajzolható. Ehhez használhatjuk a Microsoft Visio-t, valamilyen ingyenes, de formátumához kötött alkalmazást, vagy grafikus szerkesztőket (szabadkézi is, de nehéz lesz naprakészen tartani :)).

Nem nyílt forráskódú propagandára, hanem sokféle eszközre használjuk a Dia-t. Szerintem ez az egyik legjobb diagramkészítő alkalmazás Linuxra. Van egy Windows-verzió, de sajnos nincs kompatibilitás a Visio-val.

L1

Azaz az L1 diagramon portszámokkal tükrözzük a hálózat fizikai eszközeit: mi hova csatlakozik.


L2

Az L2 diagramban jelezzük a VLAN-jainkat.


L3

Példánkban a harmadik réteg séma meglehetősen haszontalannak és nem túl vizuálisnak bizonyult, mivel csak egy útválasztó eszköz volt jelen. Idővel azonban részletekbe kerül.


Amint látja, a dokumentumokban szereplő információk feleslegesek. Például a VLAN-számok mind a diagramban, mind a porttervben ismétlődnek. Mintha valaki foglalkozna valamivel. Ahogy kényelmesebben érzed magad, csináld. Ez a redundancia nehezíti a frissítést konfigurációváltás esetén, mert egyszerre több helyen kell javítani, másrészt viszont könnyebben érthető.

A jövőben többször visszatérünk ehhez az első cikkhez, ahogyan mindig vissza kell térnie ahhoz, amit eredetileg tervezett. Az igazi feladat azoknak, akik most kezdik a tanulást, és készek erre: olvassanak sokat a vlanokról, az ip-címzésről, keressenek Packet Tracer és GNS3 programokat. Ami az alapvető elméleti ismereteket illeti, azt tanácsoljuk, hogy kezdje el a Cisco Press olvasását. Ezt feltétlenül tudnia kell. A következő részben már minden felnőtt módra, videóval, megtanuljuk, hogyan kell berendezésekhez csatlakozni, kezelni a felületet és elmondjuk mit kell tenni egy hanyag adminnak, aki elfelejtette a jelszót.

Eredeti cikk:

címkéket

Cisco

Általános szabály, hogy ha az összes hálózati és kliens eszközt a hálózathoz kívánja csatlakoztatni, az az egyik legmegfelelőbb eszköz erre a célra. A hálózati alkalmazások sokféleségének növekedésével és a konvergens hálózatok számának növekedésével az új 3. rétegű hálózati kapcsolót hatékonyan használják mind adatközpontokban, mind összetett vállalati hálózatokban, kereskedelmi alkalmazásokban és összetettebb ügyfélprojektekben.

Mi az a 2. réteg kapcsoló?

A 2. rétegű kapcsoló (Layer2 vagy L2) több eszköz csatlakoztatására szolgál egy helyi hálózaton (LAN) vagy egy adott hálózat több szegmensén. A Layer 2 switch feldolgozza és regisztrálja a bejövő keretek MAC-címét, fizikai címzést és adatfolyam-vezérlést végez (VLAN, multicast szűrés, QoS).

A "Layer 2" és "Layer 3" kifejezések eredetileg az Open Network Interconnection Protocol-ból (OSI) származnak, amely a hálózati kommunikáció működésének leírására és magyarázatára használt egyik fő modell. Az OSI modell a rendszer interakciójának hét szintjét határozza meg: az alkalmazási réteget, a megjelenítési réteget, a munkamenet réteget, a szállítási réteget, a hálózati réteget, az adatkapcsolati réteget (kapcsolati réteget) és a fizikai réteget, amelyek között a hálózati réteg a réteg. 3, az adatkapcsolati réteg pedig a 2. réteg.

1. ábra: 2. és 3. réteg az Open Network Interconnection (OSI) protokollban.

A 2. réteg közvetlen adatátvitelt tesz lehetővé két eszköz között a helyi hálózaton. Működés közben a 2. rétegű kapcsoló egy MAC-címtáblázatot tart fenn, amely feldolgozza és regisztrálja a bejövő keretek MAC-címét, és megjegyzi a porton keresztül csatlakoztatott berendezéseket. Az adattömbök csak a helyi hálózaton belül kapcsolnak MAC-címeket, ami lehetővé teszi az adatok csak a hálózaton belüli tárolását. 2. rétegű kapcsoló használatakor lehetőség van konkrét kapcsolóportok kiválasztására az adatfolyam-vezérléshez (VLAN). A portok viszont különböző 3. rétegű alhálózatokon vannak.

Mi az a 3. réteg kapcsoló?

(Layer 3 vagy L3) valójában olyan útválasztók, amelyek útválasztási mechanizmusokat valósítanak meg (logikai címzés és az adatszállítási útvonal (útvonal) kiválasztása útválasztási protokollok (RIP v.1 és v.2, OSPF, BGP, saját fejlesztésű útválasztási protokollok stb.) segítségével. nem a készülék szoftverében, hanem speciális hardver (mikroáramkörök) segítségével.

A router a legelterjedtebb Layer 3 hálózati eszköz, amely a csomagok cél IP (Internet Protocol) címre történő irányítási (logikai címzés és szállítási útvonal kiválasztása) funkcióit látja el. A 3. rétegbeli kapcsolók minden egyes adatcsomag forrás- és cél IP-címét vizsgálják az IP-útválasztási táblázatukban, és meghatározzák a legjobb címet a csomag továbbításához (útválasztó vagy kapcsoló). Ha a cél IP-címe nem található a táblázatban, a csomag nem kerül elküldésre mindaddig, amíg meg nem határozta a cél útválasztót. Emiatt az útválasztási folyamat bizonyos késleltetéssel történik.

A 3. rétegbeli kapcsolók (vagy többrétegű kapcsolók) rendelkeznek a 2. rétegű kapcsolók és útválasztók néhány funkciójával. Alapvetően három különböző eszközről van szó, amelyeket különböző alkalmazásokhoz terveztek, amelyek nagymértékben függenek az elérhető funkcióktól. Mindazonáltal mindhárom eszköznek van néhány közös tulajdonsága is.

2. réteg kapcsoló VS 3. réteg kapcsoló: mi a különbség?

A 2. és 3. réteg kapcsolói közötti fő különbség az útválasztási funkció. A 2. réteg kapcsolója csak MAC-címekkel működik, figyelmen kívül hagyva az IP-címeket és a magasabb rétegű elemeket. A 3. rétegű kapcsoló a 2. rétegű kapcsoló összes funkcióját ellátja, emellett statikus és dinamikus útválasztást is végrehajthat. Ez azt jelenti, hogy a 3. rétegbeli kapcsolónak van MAC-címtáblázata és IP-cím-útválasztó táblája is, emellett több VLAN-eszközt is összeköt, és csomag-útválasztást biztosít a különböző VLAN-ok között. A csak statikus útválasztást végző kapcsolót általában Layer 2+ vagy Layer 3 Lite néven nevezik. A 3. rétegbeli kapcsolók a csomagok útválasztásán túlmenően tartalmaznak néhány olyan szolgáltatást is, amelyek a kapcsolóban lévő IP-címadatok ismeretét igénylik, például a VLAN-forgalom IP-cím alapján történő címkézése a port kézi konfigurálása helyett. Ezenkívül a Layer 3 kapcsolók magasabb energiafogyasztással és magasabb biztonsági követelményekkel rendelkeznek.

2. réteg kapcsoló vs 3. réteg kapcsoló: Hogyan válasszunk?

A Layer 2 és Layer 3 kapcsolók közötti választásnál érdemes végiggondolni, hogy a kapcsolót hol és hogyan fogják használni. Ha van 2. rétegbeli tartománya, akkor csak egy 2. rétegbeli kapcsolót használhat. Ha azonban a belső VLAN-ok között kell útvonalat vezetnie, használjon 3. rétegbeli kapcsolót. A 2. réteg tartománya az a hely, ahol a gazdagépek csatlakoznak, hogy biztosítsák a a 2. réteg kapcsoló Ezt általában hozzáférési rétegnek nevezik a hálózati topológiában. Ha több hozzáférési kapcsoló összevonására kell váltania, és VLAN-ok között útválasztást kell végrehajtania, akkor 3. rétegbeli kapcsolót kell használnia. A hálózati topológiában ezt terjesztési rétegnek nevezik.

2. ábra: Router, 2. réteg kapcsoló és 3. réteg kapcsoló használati esetei

Mivel egy Layer 3 switch és egy router rendelkezik útválasztási funkcióval, meg kell határozni a köztük lévő különbséget. Teljesen mindegy, hogy melyik eszközt válasszuk az útválasztáshoz, hiszen mindegyiknek megvannak a maga előnyei. Ha egy VLAN felépítéséhez nagyszámú, switch funkciós routerre van szüksége, és nincs szükség további útválasztásra (ISP) / WAN, akkor nyugodtan használhatja a 3. rétegű switchet, ellenkező esetben olyan útválasztót kell választania a 3. réteg funkcióiból.

Layer 2 Switch VS Layer 3 Switch: Hol vásárolhat?

Ha 2. vagy 3. rétegű kapcsolót szeretne vásárolni a hálózati infrastruktúra kiépítéséhez, javasoljuk, hogy vegye figyelembe bizonyos kulcsfontosságú paramétereket. Különösen a csomagtovábbítási sebesség, a hátlap sávszélessége, a VLAN-ok száma, a MAC-címmemória, az adatátviteli késleltetés stb.

Az átviteli sebesség (vagy áteresztőképesség) a hátlap (vagy kapcsolószövet) továbbítási képessége. Ha a továbbítási képesség nagyobb, mint az összes port együttes sebessége, a hátlapról azt mondják, hogy nem blokkol. Az átviteli sebességet a másodpercenkénti csomagokban (pps) fejezzük ki. Az alábbi képlet kiszámítja a kapcsoló továbbítási sebességét:

Továbbítási sebesség (pps) = 10 Gbps portok száma * 14 880 950 pps + 1 Gbps portok száma * 1 488 095 pps + 100 Mbps portok száma * 148 809 pps

A következő figyelembe veendő paraméter a hátlapi sávszélesség vagy a kapcsoló sávszélessége, amely az összes port sebességének összegeként kerül kiszámításra. Az összes port sebességét kétszer számolja, egyet a Tx irányhoz és egyet az Rx irányhoz. A hátlap sávszélességét bit per másodpercben fejezik ki (bps vagy bps). Háttér sávszélessége (bps) = portszám * port átviteli sebessége * 2

Egy másik fontos paraméter a VLAN-ok konfigurálható száma. Általában 1K = 1024 VLAN elegendő egy 2. rétegű kapcsolóhoz, a 3. rétegű kapcsolóhoz pedig a VLAN-ok szabványos száma 4k = 4096. A MAC-címtábla memória a kapcsolóban tárolható MAC-címek száma, általában kifejezve. mint 8k vagy 128k. A késleltetés az adatátvitel késleltetett időtartama. A késleltetési időnek a lehető legrövidebbnek kell lennie, ezért a késleltetést általában nanoszekundumban (ns) fejezik ki.

Kimenet

Ma megpróbáltuk megérteni a 2. és 3. réteg közötti különbségeket, valamint az ezekben a rétegekben általánosan használt eszközöket, beleértve a 2. rétegbeli kapcsolót, a 3. rétegbeli kapcsolót és az útválasztót. A fő következtetés, amit ma szeretném kiemelni, az az, hogy egy fejlettebb eszköz nem mindig jobb és hatékonyabb. Ma fontos megérteni, miért fogja használni a kapcsolót, milyen követelmények és feltételek vannak. A kezdeti adatok világos megértése segít kiválasztani a megfelelő eszközt.

Címkék:

 0

 2

Kedves mosollyal, most jut eszembe, mennyire izgatottan várta az emberiség a 2000-es világvégét. Aztán nem ez történt, hanem egy teljesen más esemény történt, és szintén nagyon jelentős.

Történelmileg abban az időben a világ valóságos számítógépes forradalomba lépett v. 3.0. - Rajt felhőtechnológiák az elosztott tároláshoz és adatfeldolgozáshoz. Sőt, ha az előző „második forradalom” egy masszív átállás volt a „kliens-szerver” technológiákra a 80-as években, akkor az első a felhasználók egyidejű munkájának kezdetének tekinthető, akik külön terminálokat használnak az ún. "nagyszámítógépek" (a múlt század 60-as éveiben). Ezek a forradalmi változások békésen és a felhasználók által észrevétlenül mentek végbe, de az információtechnológiával együtt az egész üzleti világot érintették.

Az informatikai infrastruktúra távoli adatközpontokba (adatfeldolgozó központokba) történő átvitelekor azonnal kulcskérdéssé válik a megbízható kommunikációs csatornák megszervezése az ügyféltől. Gyakran vannak ajánlatok a weben a szolgáltatóktól: „fizikai bérelt vonal, optikai szál”, „L2 csatorna”, „VPN” és így tovább... Próbáljuk meg kitalálni, mi áll ennek hátterében a gyakorlatban.

Kommunikációs csatornák - fizikai és virtuális

1. A „fizikai vonal” vagy „második szintű, L2 csatorna” megszervezését általában dedikált kábel (réz vagy száloptikai) vagy rádiócsatorna biztosításának szolgáltatásának nevezik az irodák és azon telephelyek között, ahol az adatközponti berendezések vannak. bevetve. A szolgáltatás megrendelésekor a gyakorlatban nagy valószínűséggel egy dedikált optikai csatorna bérelhető. Ez a megoldás azért vonzó, mert a szolgáltató felelős a megbízható kommunikációért (kábelsérülés esetén pedig önállóan állítja helyre a csatornát). A való életben azonban a kábel teljes hosszában nem szilárd - sok egymáshoz kapcsolódó (hegesztett) töredékből áll, ami némileg csökkenti a megbízhatóságát. Az optikai kábel lefektetésének útján a szolgáltatónak erősítőket, elosztókat és modemeket kell használnia a végpontokon.

A marketinganyagokban ezt a megoldást feltételesen az OSI vagy a TCP / IP hálózati modell L2 (Data-Link) rétegére utalják - lehetővé teszi, hogy a LAN-ban, aggodalom nélkül, az Ethernet keretváltási szinten működjön. sok csomag-útválasztási problémáról a következő IP hálózati rétegben. Például továbbra is lehetséges az úgynevezett „privát” IP-címek használata a kliens virtuális hálózataiban a regisztrált egyedi nyilvános címek helyett. Mivel nagyon kényelmes a privát IP-címek használata a helyi hálózatokban, speciális tartományokat osztottak ki a felhasználók számára a fő címzési osztályokból:

  • 10.0.0.0 - 10.255.255.255 az A osztályban (255.0.0.0 maszkkal vagy /8 alternatív maszkjelölési formátumban);
  • 100.64.0.0 - 100.127.255.255 az A osztályban (255.192.0.0 vagy /10 maszkkal);
  • 172.16.0.0 - 172.31.255.255 a B osztályban (maszk: 255.240.0.0 vagy /12);
  • 192.168.0.0 - 192.168.255.255 a C osztályban (255.255.0.0 vagy /16 maszk).

Az ilyen címeket a felhasználók saját maguk választják ki „belső használatra”, és több ezer kliens hálózatban egyidejűleg megismételhetők, így a fejlécben privát címeket tartalmazó adatcsomagok nem kerülnek továbbításra az interneten – a félreértések elkerülése érdekében. Az internet eléréséhez a NAT-ot (vagy más megoldást) kell használnia a kliens oldalon.

Megjegyzés: A NAT - Network Address Translation (a TCP / IP hálózatokban lévő átviteli csomagok hálózati címeinek cseréjére szolgáló mechanizmus, a csomagok továbbítására szolgál a kliens helyi hálózatából más hálózatokba / Internetbe, és ellenkező irányban - az ügyfél LAN-ján belül, a az úticél).

Ennek a megközelítésnek (és dedikált csatornáról beszélünk) van egy nyilvánvaló hátulütője - ha az ügyfél iroda elköltözik, komoly nehézségek adódhatnak az új helyhez való csatlakozással, és szolgáltatóváltásra is szükség lehet.

Az az állítás, hogy egy ilyen csatorna sokkal biztonságosabb, jobban védett a behatolók támadásaival és az alacsonyan képzett műszaki személyzet hibáival szemben, közelebbről megvizsgálva, mítosznak bizonyul. A gyakorlatban a biztonsági problémák gyakran közvetlenül a kliens oldalon, az emberi tényező közreműködésével merülnek fel (vagy szándékosan hoz létre egy hacker).

2. A virtuális áramkörök és az ezekre épített VPN-ek (Virtual Private Networks) széles körben elterjedtek, és lehetővé teszik a legtöbb ügyfél feladatának megoldását.

Az „L2 VPN” szolgáltatója által nyújtott szolgáltatás magában foglalja a „második réteg”, L2 több lehetséges szolgáltatás kiválasztását:

VLAN - az ügyfél virtuális hálózatot kap irodái, fiókjai között (valójában az ügyfél forgalma a szolgáltató aktív berendezésén megy keresztül, ami korlátozza a sebességet);

Pont-pont kapcsolat PWE3(más szóval "pseudowire end-to-end emuláció" a csomagkapcsolt hálózatokban) lehetővé teszi az Ethernet-keretek átadását két csomópont között, mintha közvetlenül kábellel lennének összekötve. Ebben a technológiában a kliens számára elengedhetetlen, hogy minden továbbított keret változtatás nélkül kerüljön a távoli pontra. Ugyanez történik az ellenkező irányban is. Ez annak a ténynek köszönhető, hogy a szolgáltató útválasztójához érkező kliens keretet egy magasabb szintű adatblokkhoz (MPLS csomag) tovább zárják (adják), és a végponton lekérik;


Megjegyzés: PWE3 – Pseudo-Wire Emulation Edge to Edge (olyan mechanizmus, amellyel a felhasználó szemszögéből dedikált kapcsolatot kap).

MPLS - MultiProtocol Label Switching (adatátviteli technológia, amelyben a csomagokhoz szállítási / szolgáltatási címkéket rendelnek, és az adatcsomagok átviteli útvonalát a hálózatokban csak a címkék értéke alapján határozzák meg, függetlenül az átviteli közegtől, bármilyen protokoll segítségével. Útválasztás, új címkék adhatók hozzá (ha szükséges) vagy távolíthatók el, ha funkciójuk véget ért (a csomagok tartalma nem kerül elemzésre vagy módosításra).

A VPLS egy többpontos kapcsolatokkal rendelkező LAN szimulációs technológia. Ebben az esetben a szolgáltató hálózata a kliens oldaláról egyetlen kapcsolónak tűnik, amely a hálózati eszközök MAC-címeit tartalmazó táblázatot tárolja. Egy ilyen virtuális „kapcsoló” a kliens hálózatáról érkezett Ethernet keretet rendeltetési helye szerint osztja szét – ehhez a keretet MPLS csomagba foglalják, majd kibontják.


Megjegyzés: VPLS – Virtual Private LAN Service (olyan mechanizmus, amellyel a felhasználó szempontjából földrajzilag szétszórt hálózatait virtuális L2-kapcsolatok kötik össze).

MAC - Media Access Control (médiahozzáférés-vezérlési módszer - egy hálózati eszköz (vagy interfészeinek) egyedi 6 bájtos címazonosítója Ethernet hálózatokban).


3. Az "L3 VPN" telepítése esetén a szolgáltató hálózata a kliens szemében egyetlen routernek tűnik, több interfésszel. Ezért az ügyfél helyi hálózatának a szolgáltató hálózatával való találkozása az OSI vagy TCP/IP hálózati modell L3 szintjén történik.

A hálózati csatlakozási pontok nyilvános IP-címei a szolgáltatóval egyetértésben határozhatók meg (az ügyfélé vagy a szolgáltatótól szerezhetők be). Az IP-címeket a kliens mindkét oldalon konfigurálja a routerein (privát - a helyi hálózata oldaláról, nyilvános - a szolgáltatótól), az adatcsomagok további továbbítását a szolgáltató biztosítja. Technikailag az MPLS-t használják egy ilyen megoldás megvalósítására (lásd fent), valamint a GRE és IPSec technológiákat.


Megjegyzés: GRE - Generic Routing Encapsulation (alagútkezelési protokoll, hálózati csomagcsomagolás, amely lehetővé teszi biztonságos logikai kapcsolat létrehozását két végpont között - protokoll beágyazást használva az L3 hálózati rétegen).

IPSec – IP Security (IP-n keresztül továbbított adatvédelmi protokollok készlete. Hitelesítés, titkosítás és csomagintegritás-ellenőrzés használatos).

Fontos megérteni, hogy a modern hálózati infrastruktúra úgy van kiépítve, hogy az ügyfél csak azt a részét látja, amelyet a szerződés meghatároz. A dedikált erőforrások (virtuális szerverek, útválasztók, élő adatok és mentési tárolók), valamint a futó programok és a memóriatartalmak teljesen el vannak szigetelve a többi felhasználótól. Több fizikai szerver is működhet összehangoltan és egyidejűleg egy kliens számára, ebből a szempontból úgy néznek ki, mint egy erős szerverkészlet. Ezzel szemben sok virtuális gép hozható létre egyszerre egy fizikai szerveren (mindegyik külön számítógépnek fog kinézni operációs rendszerrel a felhasználó számára). A szabványos megoldások mellett egyedi megoldásokat kínálnak, amelyek megfelelnek az ügyféladatok feldolgozásának és tárolásának biztonsága tekintetében elfogadott követelményeknek is.

Ugyanakkor a felhőben telepített „L3 szintű” hálózat konfigurációja szinte korlátlan méretre skálázást tesz lehetővé (az internet és a nagy adatközpontok erre az elvre épülnek). A dinamikus útválasztási protokollok, mint például az OSPF és mások az L3 felhőhálózatokban, lehetővé teszik az adatcsomagok továbbításához a legrövidebb útvonal kiválasztását, a csomagok többféle módon történő egyidejű küldését a legjobb terhelés érdekében és növelik a csatorna sávszélességét.

Ugyanakkor lehetőség van virtuális hálózat kiépítésére „L2 szinten”, ami jellemző a kis adatközpontokra és az elavult (vagy erősen specifikus) kliens alkalmazásokra. Néhány esetben még az „L2 over L3” technológiát is alkalmazzák a hálózati kompatibilitás és az alkalmazások működőképességének biztosítására.

Összegezve

A mai napig a felhasználó/kliens feladatai a legtöbb esetben hatékonyan megoldhatók virtuális magánhálózatok VPN megszervezésével a biztonság érdekében GRE és IPSec technológiák használatával.

Nincs értelme szembeszállni az L2-vel és az L3-mal, mint ahogy azt sem, hogy az L2 csatorna a legjobb megoldás a hálózat megbízható kommunikációjának kiépítésére, csodaszer. A modern kommunikációs csatornák és a szolgáltató berendezései hatalmas mennyiségű információ átjutását teszik lehetővé, és sok, a felhasználók által bérelt dedikált csatorna valójában még alul van terhelve. Az L2 használata csak speciális esetekben indokolt, amikor a feladat sajátosságai ezt megkövetelik, figyelembe kell venni egy ilyen hálózat jövőbeni bővítésének lehetőségét, és konzultálni kell szakemberrel. Másrészt, az L3 VPN-ek, ha más feltételek nem változnak, sokoldalúbbak és könnyebben kezelhetők.

Ez az áttekintés röviden felsorolja a modern szabványos megoldásokat, amelyeket a helyi IT-infrastruktúra távoli adatközpontokba való migrálásakor használnak. Mindegyiknek megvan a maga fogyasztója, előnyei és hátrányai, a megfelelő megoldás kiválasztása az adott feladattól függ.

A való életben az L2 és az L3 hálózati modell mindkét szintje együtt működik, mindegyik felelős a feladatáért, és a reklámozásban szembeszáll velük, a szolgáltatók őszintén ravaszak.

Vásároljon L2 kapcsolót

A kapcsolók a modern kommunikációs hálózatok legfontosabb elemei. A katalógus ezen része felügyelt Layer 2 switcheket, Gigabit Ethernetet és nem felügyelt Fast Ethernet switcheket is tartalmaz. A megoldandó feladatoktól függően hozzáférési szint kapcsolók (2 szint), aggregáció és magok, vagy sok porttal és nagy teljesítményű busszal rendelkező switchek kerülnek kiválasztásra.

Az eszközök működési elve, hogy portjaik és a switch-hez csatlakoztatott eszköz IP- vagy MAC-címének megfelelő adatait tárolják.

Hálózati diagram

A Gigabit Ethernet (GE) és a 10 Gigabit Ethernet (10GE) kapcsolótechnológiát széles körben használják nagy sebességek eléréséhez. Az információ nagy sebességű átvitele, különösen nagy hálózatokban, olyan hálózati topológia megválasztását jelenti, amely lehetővé teszi a nagy sebességű adatfolyamok rugalmas elosztását.

A menedzselt Layer 2 kapcsolókkal történő hálózat létrehozásának többszintű megközelítése optimálisan megoldja az ilyen problémákat, mivel magában foglalja a hálózati architektúra létrehozását hierarchikus szintek formájában, és lehetővé teszi:

  • méretezheti a hálózatot minden szinten anélkül, hogy az egész hálózatot érintené;
  • különböző szintek hozzáadása;
  • szükség szerint bővítse a hálózat funkcionalitását;
  • minimalizálja a hibaelhárítás erőforrásköltségeit;
  • gyorsan megoldja a hálózati torlódásokkal kapcsolatos problémákat.

A javasolt berendezéseken alapuló hálózat fő alkalmazásai a Triple Play szolgáltatások (IPTV, VoIP, Data), a VPN, amelyek különféle típusú forgalom univerzális szállításán keresztül valósulnak meg - IP-hálózat.

A Gigabit Ethernet réteg 2 felügyelt kapcsolói lehetővé teszik egy három szintű hierarchiából álló hálózati architektúra létrehozását:

  1. Core Layer. Magszintkapcsolók alkotják. Az eszközök közötti kommunikáció optikai kábelen keresztül történik a „redundáns gyűrű” séma szerint. A központi kapcsolók nagy hálózati sávszélességet támogatnak, és 10 gigabites forgalmat tesznek lehetővé a nagy lakossági központok, például a városi területek között. Az átmenet a hierarchia következő szintjére - az elosztási szintre - optikai csatornán keresztül történik, 10 gigabites sebességgel, optikai XFP portokon keresztül. Ezen eszközök jellemzője a széles sávszélesség és a csomagfeldolgozás L2-től L4-ig.
  2. Elosztási réteg. Határkapcsolók alkotják. A kommunikáció optikai kábelen keresztül történik a "redundáns gyűrű" séma szerint. Ez a szint lehetővé teszi a 10 gigabites adatfolyam átvitelének megszervezését a felhasználók torlódási pontjai között, például lakóterületek vagy épületcsoportok között. Az elosztási szintkapcsolók az alsó szinthez – hozzáférési szinthez – 1 Gigabit Ethernet optikai csatornákon keresztül, optikai SFP portokon keresztül csatlakoznak. Ezen eszközök jellemzői: széles sávszélesség és csomagfeldolgozás L2-től L4-ig, valamint az EISA protokoll támogatása, amely lehetővé teszi a kommunikáció visszaállítását 10 ms-on belül, ha az optikai gyűrű megszakad.
  3. Access Layer. Felügyelt 2. rétegbeli kapcsolókból áll. A kommunikáció optikai kábelen keresztül történik 1 Gigabit sebességgel. A hozzáférési szintkapcsolók két csoportra oszthatók: csak elektromos interfésszel és optikai SFP-porttal rendelkezőkre, amelyek szintjükön gyűrűt hoznak létre, és csatlakoznak az elosztási szinthez.

Cisco eszközökön fogunk kiépíteni egy ilyen hálózatot

Hálózat leírása:
VLAN1 (alapértelmezett IT) - 192.168.1.0/24
VLAN2(SHD) - 10.8.2.0/27
VLAN3(SERV) - 192.168.3.0/24
VLAN4(LAN) - 192.168.4.0/24
VLAN5(BUH) - 192.168.5.0/24
VLAN6(TELEFON) - 192.168.6.0/24
VLAN7 (KAMERÁK) - 192.168.7.0/24

VLAN9(WAN) - 192.168.9.2/24

Eszközök:
Kapcsolók cisco s2960 L2-level - 3db
Cisco s3560 L2 és L3 szintű kapcsoló - 1 db
Minden kapcsoló VLAN1-ben lesz, és a hálózatuk 192.168.1.0/24

Bármilyen router (nekem Mikrotik RB750 van) - 1 db

Server Win2008 (DHCP) - IP-címek terjesztéséhez
Minden VLAN-on 2 számítógép van végeszközként.

Kezdjük.


Először is konfiguráljuk az sw1 szint cisco L2 kapcsolóját
Alapértelmezés szerint az összes port a VLAN1-ben van, ezért nem hozzuk létre.
  1. Csatlakozunk a konzolhoz: telnet 192.168.1.1
  2. Írd be a jelszót
  3. sw1>engedélyezze(Parancsok beírásához lépjen privilegizált módba)
  1. sw# conf-t (lépjen konfigurációs módba)
  2. sw(config)# vlan 2 (VLAN létrehozása)
  3. sw(config-vlan)# név SHD (nevet rendelünk ehhez a VLAN2-höz)
  4. sw(config-vlan)# kijárat
  5. sw#

Portokat határozunk meg a számítógépek VLAN2-hez való csatlakoztatásához

Az első és a második switch porton VLAN1 lesz

A harmadik és negyedik VLAN2 porton

Az ötödik és hatodik VLAN3-on

  1. sw# conf-t (lépjen konfigurációs módba)
  2. sw(config)# int fa0/3 (egy porthoz Select interfész)
  3. sw(config)# int fa0 / 3-4 (több porthoz egyszerre Válasszon interfészt)
  4. sw(config-if)#
  5. sw(config-if)# switchport access vlan 2 (VLAN2 hozzárendelése ehhez a porthoz)
  6. sw(config-if)#
  7. sw(config-if)# kijárat
  8. sw#

A kapcsolónk (sw1 -cisco 2960-L2) csatlakoztatása a kapcsolóhoz (sw2 -cisco 3560-L2L3)

a létrehozott VLAN-okat (ha szükséges) át kell vinnünk egy másik switchre, ehhez a TRUNK portot konfiguráljuk (a mi VLAN-jaink a trunk porton járnak)

Kiválasztjuk a leggyorsabb portot (mivel több VLAN (alhálózat) jár rajta)

  1. sw# conf-t (lépjen konfigurációs módba)
  2. sw(config)#
  3. sw(config)#
  4. sw(config-if)#
  5. sw(config-if)# switchport trank engedélyezett vlan 2.3, (adja meg, melyik VLAN menjen keresztül)
  6. sw(config-if)# nincs leállítás (interfész engedélyezése)
  7. sw(config-if)# kijárat
  8. Ismételje meg a lépéseket a szükséges portokhoz

ÖSSZEFOGLALÁS az L2 kapcsoló beállításáról:

  1. Mivel ez az L2 készülékünk van, nem érti, mi az ip-cím.
  2. Ezekhez csatlakoztatott számítógépek portok láthatják egymást a megadott határokon belül VLAN. Vagyis a VLAN1-ből nem fogok bejutni a VLAN2-be és fordítva.
  3. Konfigurált egy gigabites portot a VLAN átvitelhez a switch felé sw2-cisco 3560-L2L3.
______________________________________

Hozzáadjuk a már létrehozott hálózathoz az L2 kapcsolót (sw1), a switchet (sw2) cisco-3560 L2L3

Állítsuk be a 3560 L3-as eszközünket (megérti az ip-címeket és útválasztást készít a VLAN-ok között)


 1. Létre kell hoznia minden VLAN-t, amely leírja a hálózati topológiát, mivel ez az L3 kapcsoló irányítja a forgalmat a VLAN-ok között.

VLAN létrehozása (a vlan parancsai minden eszközön azonos módon jönnek létre)

  1. sw# conf-t (lépjen konfigurációs módba)
  2. sw(config)# vlan 4 (VLAN létrehozása)
  3. sw(config-if)# név LAN (nevet rendelünk ehhez a VLAN2-höz)
  4. sw(config-if)# kijárat
  5. Ismételje meg a lépéseket, ha VLAN-t kell hozzáadnia
  6. sw# mutasd meg a vlan rövid leírását (lásd, mely VLAN-ok jöttek létre)
2. Határozza meg a számítógépek csatlakoztatásához szükséges portokat.

- a switch első portján VLAN9 lesz

- a harmadik és a negyedik VLAN7 porton

  1. sw# conf-t (lépjen konfigurációs módba)
  2. sw(config)# int fa0/1 (egy porthoz Select interfész)
  3. sw(config)# int fa0 / 3-7 (több porthoz egyszerre Válasszon interfészt)
  4. sw(config-if)# kapcsolóport mód hozzáférés (Adja meg, hogy ez a port az eszközök számára lesz)
  5. sw(config-if)# switchport access vlan 9 (VLAN9 hozzárendelése ehhez a porthoz)
  6. sw(config-if)# nincs leállítás (interfész engedélyezése)
  7. sw(config-if)# kijárat
  8. Ismételje meg a lépéseket a szükséges portokhoz
  9. sw# bemutató futás (nézze meg, milyen eszközbeállítások)
3. Hozzon létre trönk portokat

Kiválasztjuk a leggyorsabb portot (mivel több VLAN (alhálózat) jár rajta)

  1. sw# conf-t (lépjen konfigurációs módba)
  2. sw(config)# int gi0/1 (egy porthoz Select interfész)
  3. sw(config)# int gi0 / 1-2 (több porthoz egyszerre Válasszon interfészt)
  4. Mivel L3-at állítunk be, át kell vinnünk az IP-címeket a fizikai portról a virtuális portra és fordítva (beágyazás)
  5. sw(config-if)# switchport trunk beágyazás dot1q (adja meg a tokozást)
  6. sw(config-if)# switchport mode trunk (jelezzük, hogy ez a port a VLAN-hoz lesz)
  7. sw(config-if)# switchport trank engedélyezett vlan 1-7, (adja meg, melyik VLAN megy keresztül)
  8. sw(config-if)# nincs leállítás (interfész engedélyezése)
  9. sw(config-if)# kijárat
  10. Ismételje meg a lépéseket a szükséges portokhoz
4. Állítsa át az útválasztót L3 módba
  1. sw# conf-t (lépjen konfigurációs módba)
  2. sw(config)# ip routing (útválasztás engedélyezése)
5. Mivel a kapcsolónk L3 szintű, a VLAN-ok ip-címeit a forgalom irányításához a portokon rögzítjük.
VLAN együttműködéshez (hogy VLAN2-ről VLAN3-ra tudjon eljutni stb.)

Minden virtuális interfész VLAN, ip címét beállítjuk

  1. sw# conf-t (lépjen konfigurációs módba)
  2. sw(config)# int vlan 2 (a VLAN2-n felakasztjuk az ip-címet)
  3. sw(config)# IP-cím 10.8.2.1 255.255.255.224 (ez a cím lesz az alhálózat átjárója)
  4. sw(config-if)# nincs leállítás (interfész engedélyezése)
  5. sw(config-if)# kijárat
  1. sw# conf-t (lépjen konfigurációs módba)
  2. sw(config)# int vlan 3 (a VLAN3-on felakasztjuk az ip-címet)
  3. sw(config)# IP-cím 192.168.3.1 255.255.255.0 (ez a cím lesz az alhálózat átjárója)
  4. sw(config-if)# nincs leállítás (interfész engedélyezése)
  5. sw(config-if)# kijárat
  6. Ismételje meg a lépéseket a szükséges interfészekhez