Beralih level l1 l2 l3. Perbandingan Cisco Router vs. L3 Switch

Ini adalah artikel pertama dalam seri "Jaringan untuk Si Kecil". Maxim alias Gluck dan saya berpikir lama untuk memulai dari mana: perutean, VLAN, pengaturan peralatan. Akibatnya, kami memutuskan untuk memulai dengan yang mendasar dan, bisa dikatakan, hal yang paling penting: perencanaan. Karena siklusnya dirancang untuk pemula yang lengkap, kami akan melakukannya dari awal hingga akhir.

Diasumsikan bahwa Anda setidaknya telah membaca tentang model referensi OSI, tentang tumpukan protokol TCP / IP, tahu tentang jenis VLAN yang ada, tentang VLAN berbasis port yang paling populer saat ini, dan tentang alamat IP. Kami memahami bahwa "OSI" dan "TCP/IP" adalah kata yang menakutkan bagi pemula. Tapi jangan khawatir, kami tidak menggunakannya untuk menakut-nakuti Anda. Inilah yang harus Anda hadapi setiap hari, jadi selama siklus ini kami akan mencoba mengungkap makna dan hubungannya dengan kenyataan.

Mari kita mulai dengan mengatur tugas. Ada perusahaan tertentu yang bergerak, misalnya, dalam produksi lift yang hanya naik, dan karena itu disebut Lift Me Up LLC. Mereka terletak di gedung tua di Arbat, dan kabel busuk yang dicolokkan ke sakelar waktu 10Base-T yang terbakar dan terbakar tidak mengharapkan server baru terhubung melalui kartu gigabit. Jadi, mereka memiliki kebutuhan besar untuk infrastruktur jaringan dan ayam tidak mematuk uang, yang memberi Anda kesempatan untuk pilihan tanpa batas. Ini adalah mimpi indah dari setiap insinyur. Dan Anda lulus wawancara kemarin, dan dalam perjuangan yang sulit, Anda berhak menerima posisi administrator jaringan. Dan sekarang Anda adalah yang pertama dan satu-satunya di dalamnya. Selamat! Apa berikutnya?

Penting untuk menentukan situasinya sedikit:

  1. Saat ini, perusahaan memiliki dua kantor: 200 meter persegi di Arbat untuk pekerjaan dan ruang server. Ada beberapa penyedia. Lain di Rublyovka.
  2. Ada empat kelompok pengguna: akuntansi (B), departemen keuangan dan ekonomi (FEO), departemen produksi dan teknis (PTO), pengguna lain (D). Dan ada juga server (C) yang ditempatkan di grup tersendiri. Semua kelompok dipisahkan dan tidak memiliki akses langsung satu sama lain.
  3. Pengguna grup C, B dan FEO hanya akan berada di kantor Arbat, PTO dan D akan berada di kedua kantor.

Setelah memperkirakan jumlah pengguna, antarmuka yang diperlukan, saluran komunikasi, Anda menyiapkan diagram jaringan dan rencana IP.

Saat mendesain jaringan, Anda harus mencoba mematuhi model jaringan hierarkis, yang memiliki banyak keunggulan dibandingkan dengan "jaringan datar":

  • pemahaman jaringan yang lebih mudah
  • model menyiratkan modularitas, yang berarti mudah untuk memperluas kapasitas tepat di tempat yang dibutuhkan
  • lebih mudah untuk menemukan dan mengisolasi masalah
  • peningkatan toleransi kesalahan karena duplikasi perangkat dan/atau koneksi
  • distribusi fungsi untuk memastikan kinerja jaringan di berbagai perangkat.

Menurut model ini, jaringan dibagi menjadi tiga level logis: inti jaringan(Lapisan inti: perangkat berkinerja tinggi, tujuan utamanya adalah transportasi cepat), tingkat distribusi(Lapisan distribusi: menyediakan penegakan kebijakan keamanan, QoS, agregasi dan perutean VLAN, mendefinisikan domain siaran), dan tingkat akses(Lapisan akses: biasanya sakelar L2, tujuan: menghubungkan perangkat akhir, menandai lalu lintas untuk QoS, perlindungan terhadap cincin jaringan (STP) dan badai siaran, menyediakan daya untuk perangkat PoE).

Pada skala seperti kami, peran setiap perangkat kabur, tetapi dimungkinkan untuk memisahkan jaringan secara logis.

Mari kita membuat diagram perkiraan:


Dalam diagram yang disajikan, inti (Core) akan menjadi router 2811, sakelar 2960 akan ditetapkan ke tingkat distribusi (Distribusi), karena semua VLAN digabungkan ke dalam batang umum di atasnya. Saklar 2950 akan menjadi perangkat Access. Pengguna akhir, peralatan kantor, server akan terhubung dengan mereka.

Kami akan memberi nama perangkat sebagai berikut: nama kota yang disingkat ( msk) - lokasi geografis (jalan, gedung) ( arbat) — peran perangkat dalam jaringan + nomor seri.

Menurut peran dan lokasi mereka, kami memilih nama host:

  • perute 2811: msk-arbat-gw1(gw=GateWay=gerbang);
  • beralih 2960: msk-arbat-dsw1(dsw=Sakelar distribusi);
  • 2950 sakelar: msk-arbat-aswN, msk-rubl-asw1(asw=Sakelar akses).

Dokumentasi Jaringan

Seluruh jaringan harus didokumentasikan secara ketat: dari diagram sirkuit hingga nama antarmuka.

Sebelum melanjutkan dengan penyiapan, saya ingin membuat daftar dokumen dan tindakan yang diperlukan:

  • diagram jaringan L1, L2, L3 sesuai dengan lapisan model OSI (fisik, saluran, jaringan);
  • Paket alamat IP = paket IP;
  • daftar VLAN;
  • tanda tangan ( keterangan) antarmuka;
  • daftar perangkat (untuk masing-masing, Anda harus menentukan: model perangkat keras, versi IOS yang diinstal, jumlah RAM\NVRAM, daftar antarmuka);
  • label pada kabel (dari mana dan ke mana ia pergi), termasuk pada kabel dan perangkat daya dan arde;
  • peraturan tunggal yang mendefinisikan semua parameter di atas dan lainnya.

Bold inilah yang akan kami pantau sebagai bagian dari program simulator. Tentu saja, semua perubahan pada jaringan harus dilakukan pada dokumentasi dan konfigurasi agar tetap mutakhir.

Ketika kita berbicara tentang label / stiker pada kabel, yang kita maksud adalah ini:

Foto ini dengan jelas menunjukkan bahwa setiap kabel ditandai, nilai setiap mesin pada pelindung di rak, serta setiap perangkat.

Mari siapkan dokumen yang kita butuhkan:

Daftar VLAN

Setiap grup akan dialokasikan ke vlan terpisah. Dengan cara ini kami akan membatasi domain broadcast. Kami juga akan memperkenalkan VLAN khusus untuk manajemen perangkat. Nomor VLAN 4 hingga 100 dicadangkan untuk penggunaan di masa mendatang.

paket IP

Alokasi subnet umumnya sewenang-wenang, hanya sesuai dengan jumlah node di jaringan lokal ini, dengan mempertimbangkan kemungkinan pertumbuhan. Dalam contoh ini, semua subnet memiliki topeng standar /24 (/24=255.255.255.0) - ini sering digunakan di jaringan lokal, tetapi tidak selalu. Kami menyarankan Anda untuk membaca tentang kelas jaringan. Di masa depan, kita akan beralih ke pengalamatan tanpa kelas (cisco). Kami memahami bahwa tautan ke artikel teknis di Wikipedia adalah perilaku yang buruk, tetapi tautan tersebut memberikan definisi yang baik, dan kami, pada gilirannya, akan mencoba mentransfernya ke gambaran dunia nyata.

Dengan jaringan Point-to-Point, yang kami maksud adalah koneksi dari satu router ke router lain dalam mode point-to-point. Biasanya, alamat dengan topeng 30 diambil (kembali ke topik jaringan tanpa kelas), yaitu, berisi dua alamat host. Nanti akan menjadi jelas apa yang dipertaruhkan.

paket IP
alamat IPCatatanVLAN
172.16.0.0/16
172.16.0.0/24 Peternakan server 3
172.16.0.1 gerbang
172.16.0.2 jaring
172.16.0.3 Mengajukan
172.16.0.4 Surat
172.16.0.5 — 172.16.0.254 disimpan
172.16.1.0/24 Kontrol 2
172.16.1.1 gerbang
172.16.1.2 msk-arbat-dsw1
172.16.1.3 msk-arbat-asw1
172.16.1.4 msk-arbat-asw2
172.16.1.5 msk-arbat-asw3
172.16.1.6 msk-rubl-aswl
172.16.1.6 — 172.16.1.254 disimpan
172.16.2.0/24 Jaringan titik-ke-titik
172.16.2.1 gerbang
172.16.2.2 — 172.16.2.254 disimpan
172.16.3.0/24 DOKTER HEWAN 101
172.16.3.1 gerbang
172.16.3.2 — 172.16.3.254 Kolam renang untuk pengguna
172.16.4.0/24 FEO 102
172.16.4.1 gerbang
172.16.4.2 — 172.16.4.254 Kolam renang untuk pengguna
172.16.5.0/24 Akuntansi 103
172.16.5.1 gerbang
172.16.5.2 — 172.16.5.254 Kolam renang untuk pengguna
172.16.6.0/24 Pengguna lain 104
172.16.6.1 gerbang
172.16.6.2 — 172.16.6.254 Kolam renang untuk pengguna

Rencana koneksi peralatan berdasarkan port

Tentu saja, sekarang ada sakelar dengan sekelompok port Ethernet 1Gb, ada sakelar dengan 10G, ada 40Gb pada perangkat keras operator canggih yang harganya ribuan dolar, 100Gb sedang dalam pengembangan (dan menurut rumor, bahkan ada papan seperti itu yang telah masuk ke produksi industri). Dengan demikian, di dunia nyata, Anda dapat memilih sakelar dan router sesuai dengan kebutuhan Anda, tanpa melupakan anggaran Anda. Secara khusus, sakelar gigabit sekarang dapat dibeli dengan murah (20-30 ribu) dan ini dengan margin untuk masa depan (jika Anda bukan penyedia, tentu saja). Router dengan port gigabit sudah jauh lebih mahal daripada router dengan port 100Mbps, tetapi itu sepadan karena model FE (FastEthernet 100Mbps) sudah usang dan throughputnya sangat rendah.

Namun dalam program emulator/simulator yang akan kita gunakan, sayangnya hanya ada model peralatan sederhana, jadi ketika memodelkan jaringan, kita akan mulai dari apa yang kita miliki: router cisco2811, cisco2960 dan 2950 switch.

Nama perangkatPelabuhanNamaVLAN
MengaksesBelalai
msk-arbat-gw1FE/1tautan ke atas
FE0/0msk-arbat-dsw1 2,3,101,102,103,104
msk-arbat-dsw1FE0/24msk-arbat-gw1 2,3,101,102,103,104
GE1/1msk-arbat-asw1 2,3
GE1/2msk-arbat-asw3 2,101,102,103,104
FE/1msk-rubl-asw1 2,101,104
msk-arbat-asw1GE1/1msk-arbat-dsw1 2,3
GE1/2msk-arbat-asw2 2,3
FE/1server web3
FE0/2Server file3
msk-arbat-asw2GE1/1msk-arbat-asw1 2,3
FE/1server surat3
msk-arbat-asw3GE1/1msk-arbat-dsw1 2,101,102,103,104
FE0/1-FE0/5PTO101
FE0/6-FE0/10FEO102
FE0/11-FE0/15Akuntansi103
FE0/16-FE0/24Lainnya104
msk-rubl-asw1FE0/24msk-arbat-dsw1 2,101,104
FE0/1-FE0/15PTO101
FE0/20administrator104

Mengapa VLAN didistribusikan dengan cara ini, kami akan menjelaskannya di bagian berikut.

Diagram jaringan

Berdasarkan data tersebut, ketiga diagram jaringan dapat dibuat pada tahap ini. Untuk melakukan ini, Anda dapat menggunakan Microsoft Visio, beberapa aplikasi gratis, tetapi terikat pada formatnya, atau editor grafis (Anda juga dapat menggunakan tangan bebas, tetapi akan sulit untuk tetap up to date :)).

Bukan untuk propaganda open source, tapi untuk berbagai cara, mari kita gunakan Dia. Saya menganggapnya sebagai salah satu aplikasi diagram terbaik untuk Linux. Ada versi untuk Windows, tetapi, sayangnya, tidak ada kompatibilitas di Visio.

L1

Artinya, dalam diagram L1, kami mencerminkan perangkat fisik jaringan dengan nomor port: apa yang terhubung di mana.


L2

Dalam diagram L2, kami menunjukkan VLAN kami.


L3

Dalam contoh kami, skema lapisan ketiga ternyata agak tidak berguna dan tidak terlalu visual, karena hanya ada satu perangkat perutean. Namun seiring waktu, itu akan memperoleh detail.


Seperti yang Anda lihat, informasi dalam dokumen itu berlebihan. Misalnya, nomor VLAN diulang baik dalam diagram dan dalam rencana port. Ini seperti seseorang sedang melakukan sesuatu. Saat Anda merasa lebih nyaman, lakukanlah. Redundansi ini mempersulit pembaruan jika terjadi perubahan konfigurasi, karena Anda perlu memperbaikinya di beberapa tempat sekaligus, tetapi di sisi lain membuatnya lebih mudah untuk dipahami.

Kami akan kembali ke artikel pertama ini lebih dari sekali di masa mendatang, sama seperti Anda akan selalu harus kembali ke apa yang Anda rencanakan semula. Tugas sebenarnya bagi mereka yang baru mulai belajar dan siap berusaha untuk ini: banyak membaca tentang vlan, pengalamatan ip, temukan program Packet Tracer dan GNS3. Adapun pengetahuan teoritis dasar, kami menyarankan Anda untuk mulai membaca pers Cisco. Ini adalah sesuatu yang benar-benar perlu Anda ketahui. Di bagian selanjutnya, semuanya akan menjadi dewasa, dengan video, kita akan belajar cara menghubungkan ke peralatan, menangani antarmuka dan memberi tahu Anda apa yang harus dilakukan kepada admin yang lalai yang lupa kata sandinya.

Artikel asli:

tag

Cisco

Sebagai aturan, jika Anda ingin menghubungkan semua perangkat jaringan dan klien ke jaringan, adalah salah satu perangkat utama yang paling cocok untuk tujuan ini. Ketika keragaman aplikasi jaringan meningkat dan jumlah jaringan yang terkonvergensi meningkat, switch jaringan layer 3 yang baru secara efektif digunakan baik di pusat data dan jaringan perusahaan yang kompleks, aplikasi komersial, dan proyek klien yang lebih kompleks.

Apa itu sakelar lapisan 2?

Sakelar Layer 2 (Layer2 atau L2) dirancang untuk menghubungkan beberapa perangkat di jaringan area lokal (LAN) atau beberapa segmen jaringan tertentu. Layer 2 switch memproses dan mendaftarkan alamat MAC dari frame yang masuk, melakukan pengalamatan fisik dan kontrol aliran data (VLAN, penyaringan multicast, QoS).

Istilah ''Layer 2'' & ''Layer 3'' awalnya berasal dari Open Network Interconnection Protocol (OSI), yang merupakan salah satu model utama yang digunakan untuk menggambarkan dan menjelaskan cara kerja komunikasi jaringan. Model OSI mendefinisikan tujuh tingkat interaksi sistem: lapisan aplikasi, lapisan presentasi, lapisan sesi, lapisan transport, lapisan jaringan, lapisan data link (lapisan tautan) dan lapisan fisik, di antaranya adalah lapisan jaringan. 3, dan lapisan data link adalah lapisan 2.

Gambar 1: Layer 2 dan Layer 3 pada protokol Open Network Interconnection (OSI).

Layer 2 memungkinkan transfer data langsung antara dua perangkat di jaringan lokal. Selama operasi, sakelar lapisan 2 memelihara tabel alamat MAC, yang memproses dan mendaftarkan alamat MAC dari bingkai yang masuk dan mengingat peralatan yang terhubung melalui port. Array data beralih di alamat MAC hanya di dalam jaringan lokal, yang memungkinkan data disimpan hanya di dalam jaringan. Saat menggunakan sakelar lapisan 2, dimungkinkan untuk memilih port sakelar khusus untuk kontrol aliran data (VLAN). Port, pada gilirannya, berada di subnet layer 3 yang berbeda.

Apa itu sakelar lapisan 3?

(Layer 3 atau L3) sebenarnya adalah router yang menerapkan mekanisme perutean (pengalamatan logis dan pemilihan jalur pengiriman data (rute) menggunakan protokol perutean (RIP v.1 dan v.2, OSPF, BGP, protokol perutean berpemilik, dll.) tidak dalam perangkat lunak perangkat, tetapi dengan bantuan perangkat keras khusus (sirkuit mikro).

Router adalah perangkat jaringan Layer 3 yang paling umum. Sakelar ini menjalankan fungsi perutean (pengalamatan logis dan pemilihan jalur pengiriman) paket ke alamat IP (Protokol Internet) tujuan. Sakelar Layer 3 melihat alamat IP sumber dan tujuan dari setiap paket data dalam tabel perutean IP mereka dan menentukan alamat terbaik untuk meneruskan paket ke (router atau switch). Jika alamat IP tujuan tidak ditemukan dalam tabel, paket tidak akan dikirim sampai router tujuan ditentukan. Untuk itu proses routing dilakukan dengan delay waktu tertentu.

Sakelar lapisan 3 (atau sakelar multilayer) memiliki beberapa fungsi sakelar dan router lapisan 2. Pada dasarnya, mereka adalah tiga perangkat berbeda yang dirancang untuk aplikasi berbeda, yang sangat bergantung pada fitur yang tersedia. Namun, ketiga perangkat juga berbagi beberapa fitur umum.

Layer 2 Switch VS Layer 3 Switch: Apa bedanya?

Perbedaan utama antara switch layer 2 dan layer 3 adalah fungsi peruteannya. Sakelar lapisan 2 hanya berfungsi dengan alamat MAC, mengabaikan alamat IP dan elemen lapisan yang lebih tinggi. Sakelar lapisan 3 melakukan semua fungsi sakelar lapisan 2. Selain itu, ia dapat melakukan perutean statis dan dinamis. Ini berarti bahwa sakelar lapisan 3 memiliki tabel alamat MAC dan tabel perutean alamat IP, dan juga menghubungkan beberapa perangkat VLAN dan menyediakan perutean paket antara VLAN yang berbeda. Sakelar yang hanya melakukan perutean statis biasanya disebut sebagai Layer 2+ atau Layer 3 Lite. Selain paket perutean, sakelar Layer 3 juga menyertakan beberapa fitur yang memerlukan pengetahuan tentang data alamat IP di sakelar, seperti menandai lalu lintas VLAN berdasarkan alamat IP alih-alih mengonfigurasi port secara manual. Selain itu, sakelar Layer 3 memiliki konsumsi daya yang lebih tinggi dan persyaratan keamanan yang lebih tinggi.

Layer 2 Switch vs Layer 3 Switch: Bagaimana Memilih?

Saat memilih antara sakelar Layer 2 dan Layer 3, ada baiknya mempertimbangkan di mana dan bagaimana sakelar akan digunakan. Jika Anda memiliki domain layer 2, Anda bisa menggunakan switch layer 2. Namun, jika Anda perlu merutekan antara VLAN internal, Anda harus menggunakan switch layer 3. Domain layer 2 adalah tempat host terhubung untuk memastikan operasi yang stabil dari switch layer 2 Ini biasanya disebut sebagai layer akses dalam topologi jaringan. Jika Anda perlu beralih untuk menggabungkan beberapa sakelar akses dan melakukan perutean antar VLAN, Anda harus menggunakan sakelar lapisan 3. Dalam topologi jaringan, ini disebut lapisan distribusi.

Gambar 2: Kasus Penggunaan Router, Layer 2 Switch, dan Layer 3 Switch

Karena sakelar Layer 3 dan router memiliki fungsi perutean, perbedaan di antara keduanya harus ditentukan. Tidak masalah perangkat mana yang dipilih untuk perutean, karena masing-masing memiliki kelebihannya sendiri. Jika Anda membutuhkan banyak router dengan fungsi sakelar untuk membangun VLAN, dan Anda tidak memerlukan perutean lebih lanjut (ISP) / WAN, maka Anda dapat dengan aman menggunakan sakelar lapisan 3. Jika tidak, Anda harus memilih router dengan banyak dari fungsi lapisan 3.

Layer 2 Switch VS Layer 3 Switch: Beli Dimana?

Jika Anda ingin membeli switch layer 2 atau layer 3 untuk membangun infrastruktur jaringan Anda, ada parameter kunci tertentu yang kami sarankan untuk Anda perhatikan. Secara khusus, kecepatan penerusan paket, bandwidth backplane, jumlah VLAN, memori alamat MAC, latensi transfer data, dll.

Kecepatan transfer (atau throughput) adalah kemampuan penerusan dari backplane (atau switch fabric). Ketika kemampuan forwarding lebih besar dari kecepatan gabungan semua port, backplane dikatakan non-blocking. Kecepatan transfer dinyatakan dalam paket per detik (pps). Rumus di bawah ini menghitung kecepatan penerusan sakelar:

Laju penerusan (pps) = jumlah port 10 Gbps * 14.880.950 pps + jumlah port 1 Gbps * 1.488.095 pps + jumlah port 100 Mbps * 148.809 pps

Parameter berikutnya yang perlu dipertimbangkan adalah bandwidth backplane atau bandwidth switch, yang dihitung sebagai jumlah kecepatan semua port. Kecepatan semua port dihitung dua kali, satu untuk arah Tx dan satu untuk arah Rx. Bandwidth backplane dinyatakan dalam bit per detik (bps atau bps). Backplane bandwidth (bps) = nomor port * port baud rate * 2

Parameter penting lainnya adalah jumlah VLAN yang dapat dikonfigurasi. Umumnya, 1K = 1024 VLAN cukup untuk switch layer 2, dan jumlah standar VLAN untuk switch layer 3 adalah 4k = 4096. Memori tabel alamat MAC adalah jumlah alamat MAC yang dapat disimpan dalam sebuah switch, biasanya dinyatakan sebagai 8k atau 128k. Latensi adalah jumlah waktu penundaan transfer data. Waktu tunda harus sesingkat mungkin, sehingga latensi biasanya dinyatakan dalam nanodetik (ns).

Keluaran

Hari ini kami mencoba memahami perbedaan antara lapisan 2 dan 3 dan perangkat yang biasa digunakan di lapisan ini, termasuk sakelar lapisan 2, sakelar lapisan 3, dan router. Kesimpulan utama yang ingin saya soroti hari ini adalah bahwa perangkat yang lebih canggih tidak selalu lebih baik dan lebih efisien. Hari ini penting untuk memahami mengapa Anda akan menggunakan sakelar, apa persyaratan dan ketentuan Anda. Pemahaman yang jelas tentang data awal akan membantu Anda memilih perangkat yang tepat untuk Anda.

Tag:

 0

 2

Dengan senyum ramah, sekarang saya ingat bagaimana umat manusia dengan cemas mengharapkan akhir dunia pada tahun 2000. Kemudian ini tidak terjadi, tetapi peristiwa yang sama sekali berbeda terjadi, dan juga sangat signifikan.

Secara historis, saat itu dunia memasuki revolusi komputer yang nyata v. 3.0. - Mulailah teknologi cloud untuk penyimpanan terdistribusi dan pemrosesan data. Selain itu, jika "revolusi kedua" sebelumnya adalah transisi besar-besaran ke teknologi "server klien" di tahun 80-an, maka yang pertama dapat dianggap sebagai awal dari pekerjaan simultan pengguna menggunakan terminal terpisah yang terhubung ke apa yang disebut. "mainframe" (di tahun 60-an abad terakhir). Perubahan revolusioner ini berlangsung dengan damai dan tidak terlihat oleh pengguna, tetapi mempengaruhi seluruh dunia bisnis bersama dengan teknologi informasi.

Saat mentransfer infrastruktur TI ke dan pusat data jarak jauh (pusat pemrosesan data), organisasi saluran komunikasi yang andal dari klien segera menjadi masalah utama. Seringkali ada penawaran dari penyedia di Web: "jalur sewa fisik, serat optik", "saluran L2", "VPN" dan seterusnya ... Mari kita coba mencari tahu apa yang ada di balik ini dalam praktik.

Saluran komunikasi - fisik dan virtual

1. Organisasi "jalur fisik" atau "saluran tingkat kedua, L2" biasanya disebut layanan penyediaan kabel khusus (tembaga atau serat optik) atau saluran radio antara kantor dan tempat-tempat di mana peralatan pusat data berada dikerahkan. Saat memesan layanan ini, dalam praktiknya, kemungkinan besar Anda akan menerima saluran serat optik khusus untuk disewa. Solusi ini menarik karena penyedia bertanggung jawab atas komunikasi yang andal (dan jika terjadi kerusakan kabel, ia akan memulihkan salurannya sendiri). Namun, dalam kehidupan nyata, kabel sepanjang seluruh panjangnya tidak solid - terdiri dari banyak fragmen yang saling berhubungan (dilas), yang agak mengurangi keandalannya. Pada jalur peletakan kabel serat optik, penyedia harus menggunakan amplifier, splitter, dan modem di titik akhir.

Dalam materi pemasaran, solusi ini dirujuk ke lapisan L2 (Data-Link) dari model jaringan OSI atau TCP / IP secara kondisional - ini memungkinkan Anda untuk bekerja, seolah-olah, pada tingkat peralihan bingkai Ethernet di LAN, tanpa khawatir tentang banyak masalah perutean paket di lapisan jaringan IP berikutnya. Misalnya, dimungkinkan untuk terus menggunakan apa yang disebut alamat IP "pribadi" Anda di jaringan virtual klien alih-alih alamat publik unik yang terdaftar. Karena sangat nyaman untuk menggunakan alamat IP pribadi di jaringan lokal, rentang khusus telah dialokasikan untuk pengguna dari kelas pengalamatan utama:

  • 10.0.0.0 - 10.255.255.255 di kelas A (dengan mask 255.0.0.0 atau /8 dalam format notasi mask alternatif);
  • 100.64.0.0 - 100.127.255.255 di kelas A (dengan topeng 255.192.0.0 atau /10);
  • 172.16.0.0 - 172.31.255.255 di kelas B (bertopeng 255.240.0.0 atau /12);
  • 192.168.0.0 - 192.168.255.255 di kelas C (bertopeng 255.255.0.0 atau /16).

Alamat tersebut dipilih sendiri oleh pengguna untuk "penggunaan internal" dan dapat diulang secara bersamaan di ribuan jaringan klien, sehingga paket data dengan alamat pribadi di header tidak dialihkan di Internet - untuk menghindari kebingungan. Untuk mengakses Internet, Anda harus menggunakan NAT (atau solusi lain) di sisi klien.

Catatan: NAT - Network Address Translation (mekanisme penggantian alamat jaringan paket transit di jaringan TCP / IP, digunakan untuk merutekan paket dari jaringan lokal klien ke jaringan / Internet lain dan dalam arah yang berlawanan - di dalam LAN klien, ke tempat tujuan).

Pendekatan ini (dan kita berbicara tentang saluran khusus) memiliki kelemahan yang jelas - jika kantor klien pindah, mungkin ada kesulitan serius dengan menghubungkan ke lokasi baru dan mungkin ada kebutuhan untuk mengubah penyedia.

Pernyataan bahwa saluran seperti itu jauh lebih aman, lebih terlindungi dari serangan penyusup dan kesalahan personel teknis berketerampilan rendah, setelah diperiksa lebih dekat, ternyata hanyalah mitos. Dalam praktiknya, masalah keamanan sering muncul (atau sengaja dibuat oleh peretas) tepat di sisi klien, dengan partisipasi faktor manusia.

2. Sirkuit virtual dan VPN (Virtual Private Networks) yang dibangun di atasnya didistribusikan secara luas dan memungkinkan penyelesaian sebagian besar tugas klien.

Penyediaan "L2 VPN" melibatkan pilihan beberapa kemungkinan layanan "lapisan kedua", L2:

VLAN - klien menerima jaringan virtual antara kantornya, cabang (pada kenyataannya, lalu lintas klien melewati peralatan aktif penyedia, yang membatasi kecepatan);

Koneksi titik-ke-titik PWE3(dengan kata lain, "emulasi ujung ke ujung semu" dalam jaringan packet-switched) memungkinkan frame Ethernet dilewatkan di antara dua node seolah-olah mereka terhubung langsung dengan kabel. Untuk klien dalam teknologi ini, penting bahwa semua frame yang ditransmisikan dikirimkan ke titik jarak jauh tanpa perubahan. Hal yang sama terjadi dalam arah yang berlawanan. Ini dimungkinkan karena fakta bahwa bingkai klien yang tiba di router penyedia selanjutnya dienkapsulasi (ditambahkan) ke blok data tingkat yang lebih tinggi (paket MPLS), dan diambil di titik akhir;


Catatan: PWE3 - Emulasi Pseudo-Wire Edge to Edge (mekanisme di mana, dari sudut pandang pengguna, ia menerima koneksi khusus).

MPLS - MultiProtocol Label Switching (teknologi transfer data di mana paket diberi label transport / layanan dan jalur transmisi paket data dalam jaringan ditentukan hanya berdasarkan nilai label, terlepas dari media transmisi, menggunakan protokol apa pun. Selama perutean, label baru dapat ditambahkan (bila perlu) atau dihapus ketika fungsinya telah berakhir (isi paket tidak diuraikan atau diubah).

VPLS adalah teknologi simulasi LAN dengan koneksi multipoint. Dalam hal ini, jaringan penyedia terlihat dari sisi klien seperti sakelar tunggal yang menyimpan tabel alamat MAC perangkat jaringan. "Sakelar" virtual semacam itu mendistribusikan bingkai Ethernet yang berasal dari jaringan klien, sesuai dengan tujuannya - untuk ini, bingkai dienkapsulasi dalam paket MPLS, dan kemudian diekstraksi.


Catatan: VPLS - Layanan LAN Pribadi Virtual (mekanisme di mana, dari sudut pandang pengguna, jaringannya yang tersebar secara geografis dihubungkan oleh koneksi L2 virtual).

MAC - Kontrol Akses Media (metode kontrol akses media - pengenal alamat unik 6-byte dari perangkat jaringan (atau antarmukanya) dalam jaringan Ethernet).


3. Dalam kasus penggelaran "L3 VPN", jaringan penyedia di mata klien tampak seperti satu router dengan beberapa antarmuka. Oleh karena itu, sambungan jaringan lokal klien dengan jaringan penyedia terjadi pada tingkat L3 model jaringan OSI atau TCP/IP.

Alamat IP publik untuk titik persimpangan jaringan dapat ditentukan dalam kesepakatan dengan penyedia (milik klien atau diterima dari penyedia). Alamat IP dikonfigurasi oleh klien di router mereka di kedua sisi (pribadi - dari sisi jaringan lokal mereka, publik - dari penyedia), perutean paket data lebih lanjut disediakan oleh penyedia. Secara teknis, MPLS digunakan untuk mengimplementasikan solusi tersebut (lihat di atas), serta teknologi GRE dan IPSec.


Catatan: GRE - Enkapsulasi Perutean Generik (protokol tunneling, pengepakan paket jaringan, yang memungkinkan Anda membuat koneksi logis yang aman antara dua titik akhir - menggunakan enkapsulasi protokol pada lapisan jaringan L3).

IPSec - Keamanan IP (satu set protokol perlindungan data yang ditransmisikan menggunakan IP. Otentikasi, enkripsi, dan integritas paket digunakan).

Penting untuk dipahami bahwa infrastruktur jaringan modern dibangun sedemikian rupa sehingga klien hanya melihat bagian yang ditentukan oleh kontrak. Sumber daya khusus (server virtual, router, data langsung, dan penyimpanan cadangan), serta program yang berjalan dan konten memori sepenuhnya diisolasi dari pengguna lain. Beberapa server fisik dapat bekerja bersama dan secara bersamaan untuk satu klien, dari sudut pandang mereka akan terlihat seperti satu kumpulan server yang kuat. Sebaliknya, banyak mesin virtual dapat dibuat secara bersamaan pada satu server fisik (masing-masing akan terlihat seperti komputer terpisah dengan sistem operasi bagi pengguna). Selain yang standar, solusi individual juga ditawarkan, yang juga memenuhi persyaratan yang diterima terkait keamanan pemrosesan dan penyimpanan data pelanggan.

Pada saat yang sama, konfigurasi jaringan "level L3" yang digunakan di cloud memungkinkan penskalaan ke ukuran yang hampir tidak terbatas (Internet dan pusat data besar dibangun berdasarkan prinsip ini). Protokol perutean dinamis, seperti OSPF, dan lainnya di jaringan cloud L3, memungkinkan Anda memilih jalur terpendek untuk perutean paket data, mengirim paket dalam beberapa cara pada saat yang sama untuk beban terbaik dan meningkatkan bandwidth saluran.

Pada saat yang sama, dimungkinkan untuk menyebarkan jaringan virtual di "tingkat L2", yang khas untuk pusat data kecil dan aplikasi klien yang sudah ketinggalan zaman (atau sangat spesifik). Dalam beberapa kasus ini, bahkan teknologi "L2 over L3" digunakan untuk memastikan kompatibilitas jaringan dan pengoperasian aplikasi.

Menyimpulkan

Sampai saat ini, tugas pengguna / klien dalam banyak kasus dapat diselesaikan secara efektif dengan mengatur jaringan pribadi virtual VPN menggunakan teknologi GRE dan IPSec untuk keamanan.

Tidak masuk akal untuk menentang L2 dan L3, sama seperti tidak masuk akal untuk menganggap saluran L2 menawarkan solusi terbaik untuk membangun komunikasi yang andal di jaringan Anda, sebuah obat mujarab. Saluran komunikasi modern dan peralatan penyedia memungkinkan sejumlah besar informasi untuk melewati, dan banyak saluran khusus yang disewa oleh pengguna, pada kenyataannya, bahkan kekurangan muatan. Masuk akal untuk menggunakan L2 hanya dalam kasus-kasus khusus ketika diperlukan oleh spesifikasi tugas, mempertimbangkan batasan kemungkinan perluasan jaringan semacam itu di masa depan dan berkonsultasi dengan spesialis. Di sisi lain, VPN L3, jika dianggap sama, lebih fleksibel dan lebih mudah dioperasikan.

Ikhtisar ini secara singkat mencantumkan solusi standar modern yang digunakan saat memigrasi infrastruktur TI lokal ke pusat data jarak jauh. Masing-masing dari mereka memiliki konsumen, kelebihan dan kekurangannya sendiri, pilihan solusi yang tepat tergantung pada tugas tertentu.

Dalam kehidupan nyata, kedua level model jaringan L2 dan L3 bekerja bersama, masing-masing bertanggung jawab atas tugasnya dan menentangnya dalam periklanan, penyedia terus terang licik.

Beli Sakelar L2

Switch adalah komponen terpenting dari jaringan komunikasi modern. Bagian katalog ini menampilkan sakelar Layer 2 yang dikelola, Gigabit Ethernet, dan sakelar Fast Ethernet yang tidak dikelola. Tergantung pada tugas yang harus diselesaikan, sakelar tingkat akses (2 tingkat), agregasi dan inti, atau sakelar dengan banyak port dan bus berkinerja tinggi dipilih.

Prinsip pengoperasian perangkat adalah menyimpan data pada korespondensi port mereka ke alamat IP atau MAC perangkat yang terhubung ke sakelar.

Diagram Jaringan

Teknologi sakelar Gigabit Ethernet (GE) dan 10 Gigabit Ethernet (10GE) banyak digunakan untuk mencapai kecepatan tinggi. Transmisi informasi dengan kecepatan tinggi, terutama dalam jaringan skala besar, menyiratkan pilihan topologi jaringan yang memungkinkan distribusi fleksibel aliran berkecepatan tinggi.

Pendekatan multi-level untuk membuat jaringan menggunakan sakelar Layer 2 yang dikelola secara optimal memecahkan masalah seperti itu, karena ini menyiratkan pembuatan arsitektur jaringan dalam bentuk level hierarkis dan memungkinkan Anda untuk:

  • skala jaringan di setiap tingkat tanpa mempengaruhi seluruh jaringan;
  • tambahkan level yang berbeda;
  • memperluas fungsionalitas jaringan sesuai kebutuhan;
  • meminimalkan biaya sumber daya untuk pemecahan masalah;
  • cepat memecahkan masalah dengan kemacetan jaringan.

Aplikasi utama jaringan berdasarkan peralatan yang diusulkan adalah layanan Triple Play (IPTV, VoIP, Data), VPN, yang diimplementasikan melalui transportasi universal berbagai jenis lalu lintas - jaringan IP.

Sakelar terkelola Gigabit Ethernet layer 2 memungkinkan Anda membuat arsitektur jaringan yang terdiri dari tiga tingkat hierarki:

  1. Lapisan Inti. Dibentuk oleh sakelar tingkat inti. Komunikasi antar perangkat dilakukan melalui kabel serat optik sesuai dengan skema "cincin redundan". Sakelar inti mendukung bandwidth jaringan yang tinggi dan memungkinkan lalu lintas 10 Gigabit antara pusat populasi besar, seperti antar daerah perkotaan. Transisi ke tingkat hierarki berikutnya - tingkat distribusi, dilakukan melalui saluran optik dengan kecepatan 10Gigabit melalui port XFP optik. Fitur dari perangkat ini adalah bandwidth yang lebar dan pemrosesan paket dari L2 ke L4.
  2. Lapisan Distribusi. Dibentuk oleh sakelar batas. Komunikasi dilakukan melalui kabel serat optik sesuai dengan skema "cincin redundan". Level ini memungkinkan Anda untuk mengatur transmisi aliran dengan kecepatan 10Gigabit di antara titik-titik kemacetan pengguna, misalnya, antara area perumahan atau sekelompok bangunan. Sambungan sakelar tingkat distribusi ke tingkat yang lebih rendah - tingkat akses dilakukan melalui saluran optik Ethernet 1Gigabit melalui port SFP optik. Fitur perangkat ini: bandwidth lebar dan pemrosesan paket dari L2 ke L4, serta dukungan untuk protokol EISA, yang memungkinkan Anda memulihkan komunikasi dalam 10 ms saat cincin optik rusak.
  3. Lapisan Akses. Ini terdiri dari sakelar Layer 2 yang dikelola. Komunikasi dilakukan melalui kabel serat optik dengan kecepatan 1Gigabit. Sakelar tingkat akses dapat dibagi menjadi dua kelompok: dengan hanya antarmuka listrik dan sakelar dengan port SFP optik untuk membuat cincin di tingkatnya dan terhubung ke tingkat distribusi.

Kami akan membangun jaringan seperti itu di perangkat cisco

Deskripsi jaringan:
VLAN1 (default-IT) - 192.168.1.0/24
VLAN2 (SHD) - 10.8.2.0/27
VLAN3(SERV) - 192.168.3.0/24
VLAN4(LAN) - 192.168.4.0/24
VLAN5(BUH) - 192.168.5.0/24
VLAN6(PHONE) - 192.168.6.0/24
VLAN7(KAMERA) - 192.168.7.0/24

VLAN9(WAN) - 192.168.9.2/24

Perangkat:
Saklar cisco s2960 L2-level - 3pcs
Switch cisco s3560 L2 dan L3-level - 1 pc
Semua sakelar akan berada di VLAN1 dan memiliki jaringan 192.168.1.0/24

Router apa saja (saya punya Mikrotik RB750) - 1 pc

Server Win2008 (DHCP) - untuk mendistribusikan alamat ip
Setiap VLAN memiliki 2 komputer sebagai perangkat akhir.

Ayo mulai.


Pertama, mari kita konfigurasikan sakelar cisco L2 level sw1
Secara default, semua port ada di VLAN1, jadi kami tidak akan membuatnya.
  1. Kami terhubung ke konsol: telnet 192.168.1.1
  2. Masukkan kata kunci
  3. sw1>memungkinkan(Pergi ke mode istimewa untuk memasukkan perintah)
  1. sw# conf-t (masuk ke mode konfigurasi)
  2. sw(konfigurasi)# vlan 2 (Buat VLAN)
  3. sw(config-vlan)# nama SHD (kami menetapkan nama untuk VLAN ini2)
  4. sw(config-vlan)# keluar
  5. sw#

Kami mendefinisikan port untuk menghubungkan komputer ke VLAN2

Pada port sakelar pertama dan kedua saya akan memiliki VLAN1

Pada port ketiga dan keempat VLAN2

Pada VLAN kelima dan keenam

  1. sw# conf-t (masuk ke mode konfigurasi)
  2. sw(konfigurasi)# int fa0/3 (untuk satu port Pilih antarmuka)
  3. sw(konfigurasi)# int fa0 / 3-4 (untuk beberapa port sekaligus Pilih antarmuka)
  4. sw(config-if)#
  5. sw(config-if)# akses switchport vlan 2 (tetapkan VLAN2 ke port ini)
  6. sw(config-if)#
  7. sw(config-if)# keluar
  8. sw#

Untuk menghubungkan sakelar kami (sw1 -cisco 2960-L2) ke sakelar (sw2 -cisco 3560-L2L3)

kita perlu mentransfer VLAN yang dibuat (jika perlu) ke sakelar lain, untuk ini kami akan mengonfigurasi port TRUNK (VLAN kami berjalan di port trunk)

Kami memilih port tercepat (karena beberapa VLAN (subnet) akan berjalan di atasnya)

  1. sw# conf-t (masuk ke mode konfigurasi)
  2. sw(konfigurasi)#
  3. sw(konfigurasi)#
  4. sw(config-if)#
  5. sw(config-if)# switchport trank diperbolehkan vlan 2.3, (tentukan VLAN mana yang akan dilalui)
  6. sw(config-if)# tidak ada shutdown (aktifkan antarmuka)
  7. sw(config-if)# keluar
  8. Ulangi langkah untuk port yang diperlukan

RINGKASAN menyiapkan sakelar L2:

  1. Karena kami memiliki perangkat L2 ini, ia tidak mengerti apa itu alamat ip.
  2. Komputer yang terhubung ke ini pelabuhan dapat melihat satu sama lain dalam batas yang diberikan VLAN. Yaitu dari VLAN1 saya tidak akan masuk ke VLAN2 dan sebaliknya.
  3. Mengkonfigurasi port gigabit untuk transmisi VLAN ke sakelar sw2-cisco 3560-L2L3.
______________________________________

Kami menambah jaringan yang telah kami buat di sakelar L2 (sw1), sakelar (sw2) cisco-3560 L2L3

Mari kita konfigurasikan perangkat 3560 L3 kita (memahami alamat ip dan membuat perutean antar VLAN)


 1. Anda perlu membuat semua VLAN yang akan menjelaskan topologi jaringan Anda, karena sakelar L3 ini akan merutekan lalu lintas antar VLAN.

Buat VLAN (perintah untuk vlan dibuat di semua perangkat dengan cara yang sama)

  1. sw# conf-t (masuk ke mode konfigurasi)
  2. sw(konfigurasi)# vlan 4 (Buat VLAN)
  3. sw(config-if)# nama LAN (kami menetapkan nama untuk VLAN ini2)
  4. sw(config-if)# keluar
  5. Ulangi langkah-langkahnya jika Anda perlu menambahkan VLAN
  6. sw# tampilkan vlan brief (lihat VLAN mana yang telah dibuat)
2. Tentukan port untuk menghubungkan komputer.

- pada port pertama sakelar saya akan memiliki VLAN9

- pada port ketiga dan keempat VLAN7

  1. sw# conf-t (masuk ke mode konfigurasi)
  2. sw(konfigurasi)# int fa0/1 (untuk satu port Pilih antarmuka)
  3. sw(konfigurasi)# int fa0 / 3-7 (untuk beberapa port sekaligus Pilih antarmuka)
  4. sw(config-if)# akses mode switchport (Tentukan port ini untuk perangkat)
  5. sw(config-if)# akses switchport vlan 9 (tetapkan VLAN9 ke port ini)
  6. sw(config-if)# tidak ada shutdown (aktifkan antarmuka)
  7. sw(config-if)# keluar
  8. Ulangi langkah untuk port yang diperlukan
  9. sw# show run (lihat pengaturan perangkat apa)
3. Buat port trunk

Kami memilih port tercepat (karena beberapa VLAN (subnet) akan berjalan di atasnya)

  1. sw# conf-t (masuk ke mode konfigurasi)
  2. sw(konfigurasi)# int gi0/1 (untuk satu port Pilih antarmuka)
  3. sw(konfigurasi)# int gi0 / 1-2 (untuk beberapa port sekaligus Pilih antarmuka)
  4. Karena kita sedang menyiapkan L3, kita perlu mentransfer alamat IP dari port fisik ke port virtual dan sebaliknya (enkapsulasi)
  5. sw(config-if)# switchport trunk enkapsulasi dot1q (Tentukan enkapsulasi)
  6. sw(config-if)# switchport mode trunk (Kami menunjukkan bahwa port ini akan untuk VLAN)
  7. sw(config-if)# switchport trank diperbolehkan vlan 1-7, (tentukan VLAN mana yang akan dilalui)
  8. sw(config-if)# tidak ada shutdown (aktifkan antarmuka)
  9. sw(config-if)# keluar
  10. Ulangi langkah untuk port yang diperlukan
4. Transfer router ke mode L3
  1. sw# conf-t (masuk ke mode konfigurasi)
  2. sw(konfigurasi)# perutean ip (aktifkan perutean)
5. Karena sakelar kami adalah level L3, kami menutup alamat ip pada VLAN pada port untuk perutean lalu lintas.
Untuk interworking VLAN (sehingga Anda bisa mendapatkan dari VLAN2 ke VLAN3, dll.)

Kami mengatur semua antarmuka virtual VLAN, alamat ip

  1. sw# conf-t (masuk ke mode konfigurasi)
  2. sw(konfigurasi)# int vlan 2 (di VLAN2 kami menggantung alamat ip)
  3. sw(konfigurasi)# alamat ip 10.8.2.1 255.255.255.224 (alamat ini akan menjadi gateway untuk subnet ini)
  4. sw(config-if)# tidak ada shutdown (aktifkan antarmuka)
  5. sw(config-if)# keluar
  1. sw# conf-t (masuk ke mode konfigurasi)
  2. sw(konfigurasi)# int vlan 3 (pada VLAN3 kami menggantung alamat ip)
  3. sw(konfigurasi)# alamat ip 192.168.3.1 255.255.255.0 (alamat ini akan menjadi gateway untuk subnet ini)
  4. sw(config-if)# tidak ada shutdown (aktifkan antarmuka)
  5. sw(config-if)# keluar
  6. Ulangi langkah untuk antarmuka yang diperlukan