Nivele de comutare l1 l2 l3. Comparație între routerul Cisco și comutatorul L3

Acesta este primul articol din seria „Rețele pentru cei mici”. Maxim alias Gluck și cu mine ne-am gândit mult timp de unde să începem: rutare, VLAN-uri, configurarea echipamentelor. Ca urmare, am decis să începem cu lucrul fundamental și, s-ar putea spune, cel mai important: planificarea. Din moment ce ciclul este conceput pentru începători completi, vom merge până la capăt de la început până la sfârșit.

Se presupune că ați citit cel puțin despre modelul de referință OSI, despre stiva de protocoale TCP / IP, știți despre tipurile de VLAN-uri care există, despre cel mai popular VLAN bazat pe porturi acum și despre adrese IP. Înțelegem că „OSI” și „TCP/IP” sunt cuvinte înfricoșătoare pentru începători. Dar nu-ți face griji, nu le folosim pentru a te speria. Cu asta va trebui să vă confruntați în fiecare zi, așa că în timpul acestui ciclu vom încerca să le descoperim semnificația și relația cu realitatea.

Să începem cu stabilirea sarcinii. Există o anumită companie angajată, de exemplu, în producția de lifturi care urcă doar în sus și, prin urmare, se numește Lift Me Up LLC. Sunt situate într-o clădire veche de pe Arbat, iar firele putrede conectate la întrerupătoarele de timp 10Base-T arse și arse nu se așteaptă ca noi servere să fie conectate prin carduri gigabit. Deci, au o nevoie catastrofală de infrastructură de rețea și puii nu ciugulesc după bani, ceea ce vă oferă posibilitatea de a alege fără limite. Acesta este un vis minunat al oricărui inginer. Și ai trecut de interviu ieri și, într-o luptă grea, ai primit pe bună dreptate funcția de administrator de rețea. Și acum ești primul și singurul de acest fel în ea. Felicitări! Ce urmeaza?

Este necesar să precizați puțin situația:

  1. În acest moment, compania are două birouri: 200 de metri pătrați pe Arbat pentru locuri de muncă și o sală de servere. Există mai mulți furnizori. Altul pe Rublyovka.
  2. Există patru grupuri de utilizatori: contabilitate (B), departament financiar și economic (FEO), departament de producție și tehnic (PTO), alți utilizatori (D). Și există și servere (C), care sunt plasate într-un grup separat. Toate grupurile sunt separate și nu au acces direct unul la celălalt.
  3. Utilizatorii grupelor C, B și FEO se vor afla doar în biroul Arbat, PTO și D se vor afla în ambele birouri.

După estimarea numărului de utilizatori, a interfețelor necesare, a canalelor de comunicare, pregătiți o diagramă de rețea și un plan IP.

Când proiectați o rețea, ar trebui să încercați să respectați un model de rețea ierarhic, care are multe avantaje în comparație cu o „rețea plată”:

  • înțelegere mai ușoară a rețelei
  • modelul presupune modularitate, ceea ce înseamnă că este ușor să extinzi capacitatea exact acolo unde este nevoie
  • mai ușor de găsit și izolat problema
  • toleranță crescută la erori datorită duplicării dispozitivelor și/sau conexiunilor
  • distribuția de funcții pentru a asigura performanța rețelei pe diferite dispozitive.

Conform acestui model, rețeaua este împărțită în trei niveluri logice: miezul rețelei(Strat de bază: dispozitive de înaltă performanță, scopul principal este transportul rapid), nivelul de distributie(Stratul de distribuție: asigură aplicarea politicii de securitate, QoS, agregare și rutare VLAN, definește domeniile de difuzare) și nivel de acces(Strat de acces: de obicei comutatoare L2, scop: conectarea dispozitivelor finale, marcarea traficului pentru QoS, protecție împotriva inelelor de rețea (STP) și furtunilor de difuzare, furnizarea de energie pentru dispozitivele PoE).

La o scară ca a noastră, rolul fiecărui dispozitiv este estompat, dar este posibilă separarea logică a rețelei.

Să facem o diagramă aproximativă:


În diagrama prezentată, nucleul (Core) va fi routerul 2811, comutatorul 2960 va fi atribuit nivelului de distribuție (Distribuție), deoarece toate VLAN-urile sunt agregate pe acesta într-un trunchi comun. Cele 2950 de comutatoare vor fi dispozitive de acces. Utilizatorii finali, echipamentele de birou, serverele vor fi conectate la ei.

Vom denumi dispozitivele după cum urmează: numele prescurtat al orașului ( msk) - localizare geografică (stradă, clădire) ( arbat) — rolul dispozitivului în rețea + număr de serie.

În funcție de rolurile și locația lor, selectăm nume de gazdă:

  • router 2811: msk-arbat-gw1(gw=GateWay=gateway);
  • comutator 2960: msk-arbat-dsw1(dsw=Comutator de distribuție);
  • 2950 comutatoare: msk-arbat-aswN, msk-rubl-asw1(asw=Comutator de acces).

Documentația de rețea

Întreaga rețea trebuie să fie strict documentată: de la schema circuitului până la denumirea interfeței.

Înainte de a continua cu configurarea, aș dori să enumerez documentele și acțiunile necesare:

  • diagrame de rețea L1, L2, L3 în conformitate cu straturile modelului OSI (fizic, canal, rețea);
  • IP address plan = plan IP;
  • Lista VLAN;
  • semnături ( Descriere) interfețe;
  • o listă de dispozitive (pentru fiecare, trebuie să specificați: modelul hardware, versiunea IOS instalată, cantitatea de RAM\NVRAM, lista de interfețe);
  • etichete pe cabluri (de unde și unde se duce), inclusiv pe cablurile și dispozitivele de alimentare și de împământare;
  • un singur regulament care definește toți parametrii de mai sus și alții.

Bold este ceea ce vom monitoriza ca parte a programului de simulare. Desigur, toate modificările rețelei trebuie făcute în documentație și configurație pentru a le menține la zi.

Când vorbim despre etichete / autocolante pe cabluri, ne referim la asta:

Această fotografie arată clar că fiecare cablu este marcat, valoarea fiecărei mașini pe scutul din rack, precum și fiecare dispozitiv.

Să pregătim documentele de care avem nevoie:

Lista VLAN

Fiecare grup va fi alocat unui vlan separat. În acest fel vom limita domeniile de difuzare. Vom introduce, de asemenea, un VLAN special pentru managementul dispozitivelor. Numerele VLAN de la 4 la 100 sunt rezervate pentru utilizare ulterioară.

plan IP

Alocarea subrețelelor este în general arbitrară, corespunzătoare doar numărului de noduri din această rețea locală, ținând cont de posibila creștere. În acest exemplu, toate subrețelele au masca standard /24 (/24=255.255.255.0) - acestea sunt adesea folosite în rețelele locale, dar nu întotdeauna. Vă sfătuim să citiți despre clasele de rețele. În viitor, vom apela la adresarea fără clasă (cisco). Înțelegem că linkurile către articole tehnice de pe Wikipedia sunt proaste maniere, dar dau o definiție bună, iar noi, la rândul nostru, vom încerca să transferăm acest lucru în imaginea lumii reale.

Prin o rețea Point-to-Point, înțelegem conectarea unui router la altul în modul punct-la-punct. De obicei, se iau adrese cu o mască de 30 (revenind la subiectul rețelelor fără clasă), adică conținând două adrese gazdă. Mai târziu va deveni clar ce este în joc.

plan IP
adresa IPNotăVLAN
172.16.0.0/16
172.16.0.0/24 Ferma de servere 3
172.16.0.1 Poarta de acces
172.16.0.2 web
172.16.0.3 fişier
172.16.0.4 Poștă
172.16.0.5 — 172.16.0.254 rezervat
172.16.1.0/24 Control 2
172.16.1.1 Poarta de acces
172.16.1.2 msk-arbat-dsw1
172.16.1.3 msk-arbat-asw1
172.16.1.4 msk-arbat-asw2
172.16.1.5 msk-arbat-asw3
172.16.1.6 msk-rubl-aswl
172.16.1.6 — 172.16.1.254 rezervat
172.16.2.0/24 Rețea punct la punct
172.16.2.1 Poarta de acces
172.16.2.2 — 172.16.2.254 rezervat
172.16.3.0/24 VETERINAR 101
172.16.3.1 Poarta de acces
172.16.3.2 — 172.16.3.254 Piscina pentru utilizatori
172.16.4.0/24 FEO 102
172.16.4.1 Poarta de acces
172.16.4.2 — 172.16.4.254 Piscina pentru utilizatori
172.16.5.0/24 Contabilitate 103
172.16.5.1 Poarta de acces
172.16.5.2 — 172.16.5.254 Piscina pentru utilizatori
172.16.6.0/24 Alți utilizatori 104
172.16.6.1 Poarta de acces
172.16.6.2 — 172.16.6.254 Piscina pentru utilizatori

Plan de conectare a echipamentelor pe porturi

Desigur, acum există switch-uri cu o grămadă de porturi Ethernet de 1Gb, sunt switch-uri cu 10G, există 40Gb pe hardware avansat de operator care costă o mulțime de mii de dolari, 100Gb este în dezvoltare (și conform zvonurilor, există chiar și astfel de plăci care au intrat în producție industrială). În consecință, în lumea reală, puteți alege comutatoare și routere în funcție de nevoile dvs., fără a uita bugetul. În special, un comutator gigabit poate fi acum cumpărat ieftin (20-30 mii) și asta cu o marjă pentru viitor (dacă nu sunteți furnizor, desigur). Un router cu porturi gigabit este deja semnificativ mai scump decât unul cu porturi de 100Mbps, dar merită pentru că modelele FE (100Mbps FastEthernet) sunt depășite și debitul lor este foarte scăzut.

Însă în programele de emulator/simulator pe care le vom folosi, din păcate, există doar modele de echipamente simple, așa că la modelarea rețelei, vom pleca de la ceea ce avem: router cisco2811, switch-uri cisco2960 și 2950.

Nume dispozitivPortNumeVLAN
AccesTrompă
msk-arbat-gw1FE0/1uplink
FE0/0msk-arbat-dsw1 2,3,101,102,103,104
msk-arbat-dsw1FE0/24msk-arbat-gw1 2,3,101,102,103,104
GE1/1msk-arbat-asw1 2,3
GE1/2msk-arbat-asw3 2,101,102,103,104
FE0/1msk-rubl-asw1 2,101,104
msk-arbat-asw1GE1/1msk-arbat-dsw1 2,3
GE1/2msk-arbat-asw2 2,3
FE0/1server web3
FE0/2Fileserver3
msk-arbat-asw2GE1/1msk-arbat-asw1 2,3
FE0/1server de mail3
msk-arbat-asw3GE1/1msk-arbat-dsw1 2,101,102,103,104
FE0/1-FE0/5PTO101
FE0/6-FE0/10FEO102
FE0/11-FE0/15Contabilitate103
FE0/16-FE0/24Alte104
msk-rubl-asw1FE0/24msk-arbat-dsw1 2,101,104
FE0/1-FE0/15PTO101
FE0/20administrator104

De ce VLAN-urile sunt distribuite în acest fel, vom explica în următoarele părți.

Diagrame de rețea

Pe baza acestor date, toate cele trei diagrame de rețea pot fi desenate în această etapă. Pentru a face acest lucru, poți folosi Microsoft Visio, o aplicație gratuită, dar legată de formatul acesteia, sau editori grafici (poți și cu mâna liberă, dar va fi greu să ții la curent :)).

Nu pentru propagandă open source, ci pentru o varietate de mijloace, să folosim Dia. Consider că este una dintre cele mai bune aplicații de diagramare pentru Linux. Există o versiune pentru Windows, dar, din păcate, nu există compatibilitate în Visio.

L1

Adică, în diagrama L1, reflectăm dispozitivele fizice ale rețelei cu numere de port: ce este conectat unde.


L2

În diagrama L2, indicăm VLAN-urile noastre.


L3

În exemplul nostru, schema al treilea strat sa dovedit a fi destul de inutilă și nu foarte vizuală, din cauza prezenței unui singur dispozitiv de rutare. Dar în timp, va dobândi detalii.


După cum puteți vedea, informațiile din documente sunt redundante. De exemplu, numerele VLAN sunt repetate atât în ​​diagramă, cât și în planul portului. E ca și cum cineva s-a gândit la ceva. Pe măsură ce te simți mai confortabil, fă-o. Această redundanță îngreunează actualizarea în cazul unei modificări a configurației, deoarece trebuie să o remediați în mai multe locuri deodată, dar, pe de altă parte, o face mai ușor de înțeles.

Vom reveni la acest prim articol de mai multe ori în viitor, așa cum va trebui întotdeauna să reveniți la ceea ce ați planificat inițial. Sarcina propriu-zisă pentru cei care abia încep să învețe și sunt gata să depună un efort în acest sens: citiți multe despre vlan-uri, adrese IP, găsiți programele Packet Tracer și GNS3. În ceea ce privește cunoștințele teoretice fundamentale, vă sfătuim să începeți să citiți presa Cisco. Acesta este ceva ce trebuie neapărat să știți. În partea următoare, totul va fi într-un mod adult, cu un videoclip, vom învăța cum să ne conectăm la echipament, să ne ocupăm de interfață și să vă spunem ce să faceți unui admin neglijent care a uitat parola.

Articol original:

Etichete

Cisco

De regulă, dacă doriți să conectați toate dispozitivele de rețea și client la rețea, este unul dintre dispozitivele principale cel mai potrivit în acest scop. Pe măsură ce diversitatea aplicațiilor de rețea crește și numărul de rețele convergente crește, noul comutator de rețea de nivel 3 este utilizat în mod eficient atât în ​​centrele de date, cât și în rețelele complexe ale întreprinderilor, în aplicațiile comerciale și în proiectele client mai complexe.

Ce este un comutator de nivel 2?

Un comutator Layer 2 (Layer2 sau L2) este proiectat pentru a conecta mai multe dispozitive la o rețea locală (LAN) sau mai multe segmente ale unei rețele date. Comutatorul de nivel 2 procesează și înregistrează adresele MAC ale cadrelor de intrare, efectuează adresarea fizică și controlul fluxului de date (VLAN, filtrare multicast, QoS).

Termenii „Layer 2” și „Layer 3” sunt derivați inițial din Open Network Interconnection Protocol (OSI), care este unul dintre modelele principale utilizate pentru a descrie și explica modul în care funcționează comunicațiile de rețea. Modelul OSI definește șapte niveluri de interacțiune a sistemului: stratul de aplicație, stratul de prezentare, stratul de sesiune, stratul de transport, stratul de rețea, stratul de legătură de date (stratul de legătură) și stratul fizic, printre care stratul de rețea este stratul. 3, iar stratul de legătură de date este stratul 2.

Figura 1: Layer 2 și Layer 3 în protocolul Open Network Interconnection (OSI).

Nivelul 2 permite transferul direct de date între două dispozitive dintr-o rețea locală. În timpul funcționării, comutatorul de nivel 2 menține un tabel de adrese MAC, care procesează și înregistrează adresele MAC ale cadrelor de intrare și reține echipamentele conectate prin port. Matricele de date comută adresele MAC numai în cadrul rețelei locale, ceea ce permite stocarea datelor numai în rețea. Când utilizați un comutator de nivel 2, este posibil să selectați anumite porturi de comutare pentru controlul fluxului de date (VLAN). Porturile, la rândul lor, sunt pe diferite subrețele de nivel 3.

Ce este un comutator de nivel 3?

(Layer 3 sau L3) sunt de fapt routere care implementează mecanisme de rutare (adresare logică și selectare a căii de livrare a datelor (rută) folosind protocoale de rutare (RIP v.1 și v.2, OSPF, BGP, protocoale de rutare proprietare etc.) nu în software-ul dispozitivului, ci cu ajutorul hardware-ului specializat (microcircuite).

Routerul este cel mai comun dispozitiv de rețea Layer 3. Aceste comutatoare îndeplinesc funcțiile de rutare (adresare logică și selectare a căii de livrare) a pachetelor către adresa IP de destinație (Internet Protocol). Switch-urile de nivel 3 analizează adresele IP sursă și destinație ale fiecărui pachet de date din tabelul lor de rutare IP și determină cea mai bună adresă la care să redirecționeze pachetul (router sau comutator). Dacă adresa IP de destinație nu este găsită în tabel, pachetul nu va fi trimis până când routerul de destinație nu este determinat. Din acest motiv, procesul de rutare se realizează cu o anumită întârziere.

Switch-urile de layer 3 (sau switch-urile multistrat) au o parte din funcționalitatea switch-urilor și routerelor de layer 2. Practic, sunt trei dispozitive diferite concepute pentru aplicații diferite, care depind foarte mult de caracteristicile disponibile. Cu toate acestea, toate cele trei dispozitive au și unele caracteristici comune.

Comutator Layer 2 VS Switch Layer 3: Care este diferența?

Principala diferență dintre comutatoarele de layer 2 și layer 3 este funcția de rutare. Comutatorul de nivel 2 funcționează numai cu adrese MAC, ignorând adresele IP și elementele de nivel superior. Un comutator de nivel 3 îndeplinește toate funcțiile unui comutator de nivel 2. În plus, poate efectua rutare statică și dinamică. Aceasta înseamnă că un comutator de nivel 3 are atât un tabel de adrese MAC, cât și un tabel de rutare a adresei IP și, de asemenea, conectează mai multe dispozitive VLAN și oferă rutarea pachetelor între diferite VLAN-uri. Un comutator care efectuează doar rutare statică este de obicei denumit Layer 2+ sau Layer 3 Lite. Pe lângă rutarea pachetelor, comutatoarele Layer 3 includ și unele caracteristici care necesită cunoașterea datelor despre adrese IP în comutator, cum ar fi etichetarea traficului VLAN pe baza adresei IP în loc să configureze manual un port. Mai mult, comutatoarele Layer 3 au un consum mai mare de energie și cerințe de securitate mai ridicate.

Comutator de nivel 2 vs comutator de strat 3: Cum să alegi?

Când alegeți între comutatoarele Layer 2 și Layer 3, merită să vă gândiți unde și cum va fi utilizat comutatorul. Dacă aveți un domeniu de nivel 2, puteți utiliza doar un comutator de nivel 2. Cu toate acestea, dacă trebuie să rutați între VLAN-ul intern, ar trebui să utilizați un comutator de nivel 3. Domeniul de nivel 2 este locul unde gazdele se conectează pentru a asigura funcționarea stabilă a comutatorul de nivel 2 Acesta este denumit în mod obișnuit stratul de acces în topologia rețelei. Dacă trebuie să treceți la agregarea mai multor comutatoare de acces și să efectuați rutarea între VLAN-uri, trebuie să utilizați un comutator de nivel 3. În topologia rețelei, acesta se numește strat de distribuție.

Figura 2: Cazuri de utilizare a routerului, a comutatorului Layer 2 și a comutatorului Layer 3

Deoarece un switch Layer 3 și un router au o funcție de rutare, diferența dintre ele trebuie definită. Nu contează cu adevărat ce dispozitiv să alegeți pentru rutare, deoarece fiecare are propriile sale avantaje. Dacă aveți nevoie de un număr mare de routere cu funcții de comutare pentru a construi un VLAN și nu aveți nevoie de rutare suplimentară (ISP) / WAN, atunci puteți utiliza în siguranță un comutator de nivel 3. În caz contrar, trebuie să alegeți un router cu multe ale funcțiilor de layer 3.

Switch Layer 2 VS Layer 3 Switch: De unde să cumpărați?

Dacă doriți să cumpărați un comutator de nivel 2 sau de nivel 3 pentru a vă construi infrastructura de rețea, există anumiți parametri cheie cărora vă recomandăm să le acordați atenție. În special, viteza de redirecționare a pachetelor, lățimea de bandă a backplane-ului, numărul de VLAN-uri, memoria adresei MAC, latența transferului de date etc.

Rata de transfer (sau debitul) este capacitatea de redirecționare a backplane-ului (sau a fabricii de comutare). Când capacitatea de redirecționare este mai mare decât viteza combinată a tuturor porturilor, se spune că backplane-ul nu este blocant. Rata de transfer este exprimată în pachete pe secundă (pps). Formula de mai jos calculează viteza de redirecționare a unui comutator:

Rata de redirecționare (pps) = numărul de porturi de 10 Gbps * 14.880.950 pps + numărul de porturi de 1 Gbps * 1.488.095 pps + numărul de porturi de 100 Mbps * 148.809 pps

Următorul parametru de luat în considerare este lățimea de bandă a backplane-ului sau lățimea de bandă a comutatorului, care este calculată ca suma vitezelor tuturor porturilor. Viteza tuturor porturilor este numărată de două ori, una pentru direcția Tx și una pentru direcția Rx. Lățimea de bandă a panoului de fundal este exprimată în biți pe secundă (bps sau bps). Lățimea de bandă a panoului de fundal (bps) = numărul portului * rata baud portului * 2

Un alt parametru important este numărul configurabil de VLAN-uri. În general, 1K = 1024 VLAN-uri este suficient pentru un comutator de nivel 2, iar numărul standard de VLAN-uri pentru un comutator de nivel 3 este 4k = 4096. Memoria tabelului de adrese MAC este numărul de adrese MAC care pot fi stocate într-un comutator, de obicei exprimat ca 8k sau 128k. Latența este perioada de timp în care transferul de date este întârziat. Timpul de întârziere ar trebui să fie cât mai scurt posibil, astfel încât latența este de obicei exprimată în nanosecunde (ns).

Concluzie

Astăzi am încercat să înțelegem diferențele dintre straturile 2 și 3 și dispozitivele utilizate în mod obișnuit în aceste straturi, inclusiv un comutator de nivel 2, un comutator de nivel 3 și un router. Principala concluzie pe care aș dori să o subliniez astăzi este că un dispozitiv mai avansat nu este întotdeauna mai bun și mai eficient. Astăzi este important să înțelegeți de ce veți folosi comutatorul, care sunt cerințele și condițiile dvs. O înțelegere clară a datelor inițiale vă va ajuta să alegeți dispozitivul potrivit pentru dvs.

Etichete:

 0

 2

Cu un zâmbet amabil, acum îmi amintesc cum omenirea se aștepta cu nerăbdare la sfârșitul lumii în 2000. Apoi nu s-a întâmplat acest lucru, ci s-a întâmplat un eveniment complet diferit și, de asemenea, foarte semnificativ.

Din punct de vedere istoric, la acea vreme lumea a intrat într-o adevărată revoluție a computerelor v. 3.0. - start tehnologii cloud pentru stocarea distribuită și procesarea datelor. Mai mult decât atât, dacă „a doua revoluție” anterioară a fost o tranziție masivă la tehnologiile „client-server” în anii 80, atunci prima poate fi considerată începutul lucrului simultan al utilizatorilor care utilizează terminale separate conectate la așa-numitele. „mainframe” (în anii 60 ai secolului trecut). Aceste schimbări revoluționare au avut loc în mod pașnic și imperceptibil pentru utilizatori, dar au afectat întreaga lume a afacerilor împreună cu tehnologia informației.

La transferul infrastructurii IT către și centrele de date la distanță (centre de procesare a datelor), organizarea canalelor de comunicare fiabile de la client devine imediat o problemă cheie. Pe web, există adesea oferte de la furnizori: „linie fizică închiriată, fibră optică”, „canal L2”, „VPN” și așa mai departe ... Să încercăm să ne dăm seama ce se află în spatele acestui lucru în practică.

Canale de comunicare - fizice și virtuale

1. Organizarea unei „linii fizice” sau „canal de al doilea nivel, L2” se numește de obicei serviciul de furnizare a unui cablu dedicat (cupru sau fibră optică) sau a unui canal radio între birouri și acele site-uri în care se află echipamentele centrelor de date. dislocat. Atunci când comandați acest serviciu, în practică, cel mai probabil veți primi spre închiriere un canal de fibră optică dedicat. Această soluție este atractivă deoarece furnizorul este responsabil pentru o comunicare fiabilă (și în cazul deteriorării cablului, reface singur canalul). Cu toate acestea, în viața reală, cablul pe toată lungimea sa nu este solid - este format din multe fragmente interconectate (sudate), ceea ce îi reduce oarecum fiabilitatea. Pe calea așezării unui cablu de fibră optică, furnizorul trebuie să folosească amplificatoare, splittere și modemuri la punctele finale.

În materialele de marketing, această soluție se referă la stratul L2 (Data-Link) al modelului de rețea OSI sau TCP / IP în mod condiționat - vă permite să lucrați, așa cum ar fi, la nivelul de comutare a cadrului Ethernet în LAN, fără să vă faceți griji despre multe probleme de rutare a pachetelor la următorul nivel de rețea IP. De exemplu, puteți continua să utilizați așa-numitele adrese IP „private” în rețelele virtuale client în loc de adrese publice unice înregistrate. Deoarece este foarte convenabil să utilizați adrese IP private în rețelele locale, au fost alocate intervale speciale utilizatorilor din principalele clase de adresare:

  • 10.0.0.0 - 10.255.255.255 în clasa A (cu mască 255.0.0.0 sau /8 în format alternativ de notare a mască);
  • 100.64.0.0 - 100.127.255.255 în clasa A (cu mască 255.192.0.0 sau /10);
  • 172.16.0.0 - 172.31.255.255 în clasa B (mascat 255.240.0.0 sau /12);
  • 192.168.0.0 - 192.168.255.255 în clasa C (mascat 255.255.0.0 sau /16).

Astfel de adrese sunt auto-selectate de către utilizatori pentru „utilizare internă” și pot fi repetate simultan în mii de rețele de clienți, astfel încât pachetele de date cu adrese private în antet nu sunt direcționate pe Internet - pentru a evita confuzia. Pentru a accesa Internetul, trebuie să utilizați NAT (sau altă soluție) pe partea clientului.

Notă: NAT - Network Address Translation (mecanismul de înlocuire a adreselor de rețea ale pachetelor de tranzit în rețelele TCP/IP, este folosit pentru a direcționa pachetele din rețeaua locală a clientului către alte rețele/Internet și în sens invers - în interiorul rețelei LAN a clientului, pentru a destinatia).

Această abordare (și vorbim despre un canal dedicat) are un dezavantaj evident - dacă biroul clientului se mută, pot apărea dificultăți serioase la conectarea la o nouă locație și poate fi necesară schimbarea furnizorului.

Afirmația că un astfel de canal este mult mai sigur, mai bine protejat de atacurile intrușilor și de erorile personalului tehnic slab calificat, la o examinare mai atentă, se dovedește a fi un mit. În practică, problemele de securitate apar adesea (sau sunt create în mod deliberat de un hacker) chiar de partea clientului, cu participarea factorului uman.

2. Circuitele virtuale și VPN-urile (Virtual Private Networks) construite pe ele sunt distribuite pe scară largă și permit rezolvarea majorității sarcinilor clientului.

Furnizarea de către furnizor a „L2 VPN” implică alegerea mai multor servicii posibile ale „al doilea strat”, L2:

VLAN - clientul primește o rețea virtuală între birourile sale, filiale (de fapt, traficul clientului trece prin echipamentul activ al furnizorului, ceea ce limitează viteza);

Conexiune punct la punct PWE3(cu alte cuvinte, „emularea pseudowire end-to-end” în rețelele cu comutare de pachete) permite ca cadrele Ethernet să fie trecute între două noduri ca și cum ar fi conectate direct printr-un cablu. Pentru clientul din această tehnologie, este esențial ca toate cadrele transmise să fie livrate la punctul la distanță fără modificări. Același lucru se întâmplă în sens invers. Acest lucru este posibil datorită faptului că cadrul clientului care ajunge la routerul furnizorului este încapsulat (adăugat) în continuare la un bloc de date de nivel superior (pachet MPLS) și extras la punctul final;


Notă: PWE3 - Pseudo-Wire Emulation Edge to Edge (un mecanism prin care, din punctul de vedere al utilizatorului, acesta primește o conexiune dedicată).

MPLS - MultiProtocol Label Switching (tehnologie de transfer de date în care pachetelor li se atribuie etichete de transport/serviciu și calea de transmitere a pachetelor de date în rețele se determină numai pe baza valorii etichetelor, indiferent de mediul de transmisie, folosind orice protocol. În timpul rutare, pot fi adăugate noi etichete (când este necesar) sau eliminate când funcția lor s-a încheiat (conținutul pachetelor nu este analizat sau modificat).

VPLS este o tehnologie de simulare LAN cu conexiuni multipunct. În acest caz, rețeaua furnizorului arată din partea clientului ca un singur comutator care stochează un tabel cu adrese MAC ale dispozitivelor din rețea. Un astfel de „comutator” virtual distribuie cadrul Ethernet care a venit din rețeaua clientului, în funcție de destinație - pentru aceasta, cadrul este încapsulat într-un pachet MPLS și apoi extras.


Notă: VPLS - Virtual Private LAN Service (un mecanism prin care, din punctul de vedere al utilizatorului, rețelele sale dispersate geografic sunt conectate prin conexiuni virtuale L2).

MAC - Media Access Control (metoda de control al accesului media - un identificator de adresă unic de 6 octeți al unui dispozitiv de rețea (sau al interfețelor sale) în rețelele Ethernet).


3. În cazul implementării „L3 VPN”, rețeaua furnizorului în ochii clientului arată ca un singur router cu mai multe interfețe. Prin urmare, joncțiunea rețelei locale a clientului cu rețeaua furnizorului are loc la nivelul L3 al modelului de rețea OSI sau TCP/IP.

Adresele IP publice pentru punctele de joncțiune ale rețelei pot fi stabilite de comun acord cu furnizorul (aparțin clientului sau pot fi primite de la furnizor). Adresele IP sunt configurate de client pe routerele sale de ambele părți (private - din partea rețelei locale, publice - de la furnizor), rutarea ulterioară a pachetelor de date este furnizată de furnizor. Din punct de vedere tehnic, MPLS este folosit pentru a implementa o astfel de soluție (vezi mai sus), precum și tehnologiile GRE și IPSec.


Notă: GRE - Generic Routing Encapsulation (protocol de tunel, pachet de pachete de rețea, care vă permite să stabiliți o conexiune logică sigură între două puncte finale - folosind încapsularea protocolului la nivelul rețelei L3).

IPSec - IP Security (un set de protocoale de protecție a datelor care sunt transmise folosind IP. Sunt utilizate autentificarea, criptarea și integritatea pachetelor).

Este important de înțeles că infrastructura modernă de rețea este construită în așa fel încât clientul să vadă doar acea parte a acesteia care este definită prin contract. Resursele dedicate (servere virtuale, routere, date live și stocare de rezervă), precum și programele care rulează și conținutul de memorie sunt complet izolate de alți utilizatori. Mai multe servere fizice pot funcționa împreună și simultan pentru un singur client, din punctul de vedere al căruia vor arăta ca un grup puternic de servere. În schimb, multe mașini virtuale pot fi create simultan pe un server fizic (fiecare va arăta ca un computer separat cu un sistem de operare pentru utilizator). Pe lângă cele standard, sunt oferite soluții individuale care îndeplinesc și cerințele acceptate privind securitatea prelucrării și stocării datelor clienților.

În același timp, configurația rețelei „nivel L3” implementată în cloud permite scalarea la dimensiuni aproape nelimitate (Internetul și centrele mari de date sunt construite pe acest principiu). Protocoalele de rutare dinamică, cum ar fi OSPF și altele din rețelele cloud L3, vă permit să alegeți cele mai scurte căi pentru rutarea pachetelor de date, să trimiteți pachete în mai multe moduri în același timp pentru cea mai bună încărcare și să creșteți lățimea de bandă a canalului.

În același timp, este posibilă implementarea unei rețele virtuale la „nivelul L2”, care este tipic pentru centrele de date mici și aplicațiile client învechite (sau foarte specifice). În unele dintre aceste cazuri, chiar și tehnologia „L2 peste L3” este utilizată pentru a asigura compatibilitatea rețelei și operabilitatea aplicației.

Rezumând

Până în prezent, sarcinile utilizatorului/clientului în majoritatea cazurilor pot fi rezolvate eficient prin organizarea rețelelor private virtuale VPN folosind tehnologiile GRE și IPSec pentru securitate.

Nu are sens să te opui L2 și L3, așa cum nu are sens să consideri că canalul L2 oferă cea mai bună soluție pentru construirea unei comunicații fiabile în rețeaua ta, un panaceu. Canalele moderne de comunicare și echipamentele furnizorului permit trecerea unei cantități uriașe de informații, iar multe canale dedicate închiriate de utilizatori sunt, de fapt, chiar subîncărcate. Este rezonabil să utilizați L2 numai în cazuri speciale când este cerut de specificul sarcinii, luați în considerare limitările posibilității de extindere viitoare a unei astfel de rețele și consultați un specialist. Pe de altă parte, VPN-urile L3, celelalte lucruri fiind egale, sunt mai versatile și mai ușor de operat.

Această prezentare generală listează pe scurt soluțiile standard moderne care sunt utilizate la migrarea infrastructurii IT locale către centrele de date la distanță. Fiecare dintre ele are propriul său consumator, avantaje și dezavantaje, alegerea corectă a soluției depinde de sarcina specifică.

În viața reală, ambele niveluri ale modelului de rețea L2 și L3 lucrează împreună, fiecare fiind responsabil pentru sarcina sa și opunându-le în publicitate, furnizorii sunt sincer vicleni.

Cumpărați comutatorul L2

Comutatoarele sunt cea mai importantă componentă a rețelelor moderne de comunicații. Această secțiune a catalogului conține atât switch-uri Layer 2 gestionate, Gigabit Ethernet, cât și switch-uri Fast Ethernet neadministrate. În funcție de sarcinile de rezolvat, sunt selectate comutatoare de nivel de acces (2 nivele), agregare și nuclee, sau comutatoare cu multe porturi și o magistrală de înaltă performanță.

Principiul de funcționare al dispozitivelor este de a stoca date cu privire la corespondența porturilor lor cu adresa IP sau MAC a dispozitivului conectat la comutator.

Diagrama de rețea

Tehnologia de comutare Gigabit Ethernet (GE) și 10 Gigabit Ethernet (10GE) este utilizată pe scară largă pentru a atinge viteze mari. Transmiterea de informații la viteze mari, în special în rețelele de mare amploare, presupune alegerea unei topologii de rețea care să permită distribuția flexibilă a fluxurilor de mare viteză.

O abordare pe mai multe niveluri a creării unei rețele utilizând comutatoare Layer 2 gestionate rezolvă în mod optim astfel de probleme, deoarece implică crearea unei arhitecturi de rețea sub formă de niveluri ierarhice și vă permite să:

  • scala rețeaua la fiecare nivel fără a afecta întreaga rețea;
  • adăugați diferite niveluri;
  • extinde funcționalitatea rețelei după cum este necesar;
  • minimizați costurile cu resursele pentru depanare;
  • rezolva rapid problemele legate de congestionarea rețelei.

Principalele aplicații ale rețelei bazate pe echipamentele propuse sunt serviciile Triple Play (IPTV, VoIP, Date), VPN, implementate prin transportul universal al diferitelor tipuri de trafic - rețea IP.

Switch-urile gestionate Gigabit Ethernet layer 2 vă permit să creați o arhitectură de rețea constând din trei niveluri de ierarhie:

  1. Stratul de bază. Format din comutatoare de nivel de bază. Comunicarea între dispozitive se realizează prin cablu de fibră optică conform schemei „inel redundant”. Switch-urile de bază acceptă lățime de bandă mare și permit trafic de 10 Gigabit între centrele mari de populație, cum ar fi între zonele urbane. Trecerea la următorul nivel al ierarhiei - nivelul de distribuție, se realizează printr-un canal optic la o viteză de 10 Gigabit prin porturi optice XFP. O caracteristică a acestor dispozitive este o lățime de bandă largă și procesarea pachetelor de la L2 la L4.
  2. Stratul de distribuție. Format din comutatoare de frontieră. Comunicarea se realizează prin cablu de fibră optică conform schemei „inel redundant”. Acest nivel vă permite să organizați transmiterea unui flux la o viteză de 10 Gigabit între punctele de aglomerație ale utilizatorilor, de exemplu, între zone rezidențiale sau un grup de clădiri. Conectarea comutatoarelor de nivel de distribuție la nivelul inferior - nivelul de acces se realizează prin canale optice Ethernet de 1 Gigabit prin porturi optice SFP. Caracteristicile acestor dispozitive: lățime de bandă largă și procesare de pachete de la L2 la L4, precum și suport pentru protocolul EISA, care vă permite să restabiliți comunicarea în 10 ms atunci când inelul optic este rupt.
  3. Strat de acces. Este alcătuit din comutatoare Layer 2 gestionate. Comunicarea se realizează prin cablu de fibră optică la viteze de 1 Gigabit. Switch-urile de nivel de acces pot fi împărțite în două grupe: cu doar o interfață electrică și cele cu porturi optice SFP pentru a crea un inel la nivelul lor și a se conecta la nivelul de distribuție.

Vom construi o astfel de rețea pe dispozitive Cisco

Descrierea rețelei:
VLAN1 (implicit-IT) - 192.168.1.0/24
VLAN2(SHD) - 10.8.2.0/27
VLAN3(SERV) - 192.168.3.0/24
VLAN4(LAN) - 192.168.4.0/24
VLAN5(BUH) - 192.168.5.0/24
VLAN6(TELEFON) - 192.168.6.0/24
VLAN7(CAMERS) - 192.168.7.0/24

VLAN9(WAN) - 192.168.9.2/24

Dispozitive:
Comutatoare cisco s2960 L2-level - 3buc
Comutator cisco s3560 nivel L2 și L3 - 1 buc
Toate switch-urile vor fi în VLAN1 și vor avea o rețea de 192.168.1.0/24

Orice router (eu am Mikrotik RB750) - 1 buc

Server Win2008 (DHCP) - pentru distribuirea adreselor IP
Fiecare VLAN are 2 computere ca dispozitive finale.

Să începem.


Mai întâi, să configuram comutatorul Cisco L2 de nivel sw1
În mod implicit, toate porturile sunt în VLAN1, așa că nu îl vom crea.
  1. Ne conectăm la consola: telnet 192.168.1.1
  2. Introdu parola
  3. sw1>permite(Mergeți în modul privilegiat pentru a introduce comenzi)
  1. sw# conf-t (treceți în modul de configurare)
  2. sw(config)# vlan 2 (Creează VLAN)
  3. sw(config-vlan)# nume SHD (atribuim un nume acestui VLAN2)
  4. sw(config-vlan)# Ieșire
  5. sw#

Definim porturi pentru conectarea computerelor la VLAN2

Pe primul și al doilea port de comutare voi avea VLAN1

Pe al treilea și al patrulea port VLAN2

Pe al cincilea și al șaselea VLAN3

  1. sw# conf-t (treceți în modul de configurare)
  2. sw(config)# int fa0/3 (pentru o interfață de selectare a unui port)
  3. sw(config)# int fa0 / 3-4 (pentru mai multe porturi simultan Alegeți o interfață)
  4. sw(config-if)#
  5. sw(config-if)# switchport access vlan 2 (alocați VLAN2 acestui port)
  6. sw(config-if)#
  7. sw(config-if)# Ieșire
  8. sw#

Pentru a conecta comutatorul nostru (sw1 -cisco 2960-L2) la comutatorul (sw2 -cisco 3560-L2L3)

trebuie să transferăm VLAN-urile create (dacă este necesar) pe un alt comutator, pentru aceasta vom configura portul TRUNK (VLAN-urile noastre merg în portul trunk)

Selectăm cel mai rapid port (din moment ce mai multe VLAN-uri (subrețele) vor merge pe el)

  1. sw# conf-t (treceți în modul de configurare)
  2. sw(config)#
  3. sw(config)#
  4. sw(config-if)#
  5. sw(config-if)# switchport trank permis vlan 2.3, (specificați prin care VLAN va trece)
  6. sw(config-if)# fără oprire (activare interfață)
  7. sw(config-if)# Ieșire
  8. Repetați pașii pentru porturile necesare

REZUMAT privind configurarea comutatorului L2:

  1. Din moment ce avem acest dispozitiv L2, nu înțelege ce sunt adresele ip.
  2. Calculatoare conectate la acestea porturi se pot vedea unul pe celălalt în cadrul dat VLAN. Adica de la VLAN1 nu voi intra in VLAN2 si invers.
  3. S-a configurat un port gigabit pentru transmisia VLAN către comutator sw2-cisco 3560-L2L3.
______________________________________

Adăugăm la rețeaua pe care am creat-o deja pe comutatorul L2 (sw1), comutatorul (sw2) cisco-3560 L2L3

Să ne configuram dispozitivul 3560 L3 (înțelege adresele IP și face rutarea între VLAN-uri)


 1. Trebuie să creați toate VLAN-urile care vor descrie topologia rețelei dvs., deoarece acest comutator L3 va direcționa traficul între VLAN-uri.

Creați VLAN (comenzile pentru vlan sunt create pe toate dispozitivele în același mod)

  1. sw# conf-t (treceți în modul de configurare)
  2. sw(config)# vlan 4 (Creează VLAN)
  3. sw(config-if)# nume LAN (atribuim un nume acestui VLAN2)
  4. sw(config-if)# Ieșire
  5. Repetați pașii dacă trebuie să adăugați un VLAN
  6. sw# Afișați scurt VLAN (vezi ce VLAN-uri au fost create)
2. Determinați porturile pentru conectarea computerelor.

- pe primul port al switch-ului voi avea VLAN9

- pe al treilea și al patrulea port VLAN7

  1. sw# conf-t (treceți în modul de configurare)
  2. sw(config)# int fa0/1 (pentru o interfață de selectare a unui port)
  3. sw(config)# int fa0 / 3-7 (pentru mai multe porturi simultan Alegeți o interfață)
  4. sw(config-if)# acces în modul switchport (specificați că acest port va fi pentru dispozitive)
  5. sw(config-if)# switchport access vlan 9 (alocați VLAN9 acestui port)
  6. sw(config-if)# fără oprire (activare interfață)
  7. sw(config-if)# Ieșire
  8. Repetați pașii pentru porturile necesare
  9. sw# arată rularea (vezi ce setări ale dispozitivului)
3. Creați porturi trunchi

Selectăm cel mai rapid port (din moment ce mai multe VLAN-uri (subrețele) vor merge pe el)

  1. sw# conf-t (treceți în modul de configurare)
  2. sw(config)# int gi0/1 (pentru o interfață de selectare a unui port)
  3. sw(config)# int gi0 / 1-2 (pentru mai multe porturi simultan Alegeți o interfață)
  4. Deoarece setăm L3, trebuie să transferăm adrese IP de la portul fizic la portul virtual și invers (încapsulare)
  5. sw(config-if)# switchport trunk encapsulation dot1q (Specificați încapsularea)
  6. sw(config-if)# trunk mod switchport (indicăm că acest port va fi pentru VLAN)
  7. sw(config-if)# switchport trank permis vlan 1-7, (specificați prin care VLAN va trece)
  8. sw(config-if)# fără oprire (activare interfață)
  9. sw(config-if)# Ieșire
  10. Repetați pașii pentru porturile necesare
4. Transferați routerul în modul L3
  1. sw# conf-t (treceți în modul de configurare)
  2. sw(config)# rutare ip (activare rutare)
5. Deoarece comutatorul nostru este la nivel L3, închidem adresele IP pe VLAN-uri pe porturi pentru rutarea traficului.
Pentru interfuncționarea VLAN (astfel încât să puteți trece de la VLAN2 la VLAN3 etc.)

Setăm toate interfețele virtuale VLAN, adrese IP

  1. sw# conf-t (treceți în modul de configurare)
  2. sw(config)# int vlan 2 (pe VLAN2 blocăm adresa ip)
  3. sw(config)# adresa ip 10.8.2.1 255.255.255.224 (această adresă va fi gateway-ul pentru această subrețea)
  4. sw(config-if)# fără oprire (activare interfață)
  5. sw(config-if)# Ieșire
  1. sw# conf-t (treceți în modul de configurare)
  2. sw(config)# int vlan 3 (pe VLAN3 blocăm adresa ip)
  3. sw(config)# adresa ip 192.168.3.1 255.255.255.0 (această adresă va fi gateway-ul pentru această subrețea)
  4. sw(config-if)# fără oprire (activare interfață)
  5. sw(config-if)# Ieșire
  6. Repetați pașii pentru interfețele necesare