RSS-канал сайта Моя Заря
Моя Заря - сайт микрорайонов Заря и Северный города Балашиха
19 | 11 | 2018
Заря Балашиха Северный
Храм преподобного Саввы Сторожевского
Меню сайта Моя ЗАРЯ
Odyssey RB1
Пользовательское меню
Для школы
Авто
Компьютеры
-- О сайте Моя ЗАРЯ --

Присылайте Ваши новости на адрес MyZarya@yandex.ru с пометкой для сайта Моя Заря.

143922, Микрорайон Заря, город Балашиха, Московская область
143930, Микрорайон Северный, город Балашиха, Московская область

Создание и поддержка сайта:
Вятских Иван Вячеславович
myzarya@yandex.ru
"Народный проект"
2005
Информация о мкр. Северный:
 

Награда сайта Моя ЗАРЯ на конкурсе Золотая паутина Подмосковья 2007

Диплом сайту Моя Заря от Администрации Балашихи

Благодарственное письмо сайту Моя ЗАРЯ

Рейтинг@Mail.ru

"Моя Заря" в социальных сетях:
"В Контакте"
Facebook
Одноклассники
Google+
Twitter
YouTube 1
YouTube 2
YouTube 3

QR-code MYZARYA.RU

 
Новые комментарии
Популярные материалы:


 
Уважаемые посетители сайта Моя ЗАРЯ!
Сайт микрорайона Заря и микрорайона Северный города Балашиха рад приветствовать Вас!
На сайте собраны информационные материалы, которые помогут Вам ориентироваться в наших микрорайонах.
Если Вы хотите подать объявление о купле или продаже, милости просим на форум, требуется регистрация с указанием правильного адреса электронной почты. Если у Вас возникают проблемы с регистрацией или размещением объявлений, пишите через форму обратной связи, постараюсь помочь.
С уважением, Вятских Иван Вячеславович.
 Цветочная лавка "РОМАШКА" 8 (495) 011-29-55 анализы экспертного уровня CMD
ПОСТРОЕНИЕ КОММУТИРУЕМЫХ КОМПЬЮТЕРНЫХ СЕТЕЙ Учебное пособие Печать E-mail
Информационные материалы - Полезная информация в мкр. Заря г. Балашиха
Автор: Иван Вятских   
30.03.2018 18:02
ПОСТРОЕНИЕ КОММУТИРУЕМЫХ КОМПЬЮТЕРНЫХ СЕТЕЙ Учебное пособие

Основы информационных технологий


 

ПОСТРОЕНИЕ КОММУТИРУЕМЫХ КОМПЬЮТЕРНЫХ СЕТЕЙ

Учебное пособие


 

Допущено Учебно-методическим объединением вузов по университетскому политехническому образованию в качестве учебного пособия для студентов

высших учебных заведений, обучающихся по направлению 230100 «Информатика и вычислительная техника»


 

image image

Национальный Открытый Университет «ИНТУИТ» www.intuit.ru

БИНОМ.

Лаборатория знаний

www.lbz.ru


 

Москва 2011

УДК 004.7(075.8) ББК 32.973.202я73-1

П63


 

Авторский коллектив:

Е.В. Смирнова, А.В. Пролетарский, И.В. Баскаков, Р.А. Федотов


 

П63 Построение коммутируемых компьютерных сетей: учебное посо- бие / Е.В. Смирнова и др. — М.: Национальный Открытый Универ- ситет «ИНТУИТ»: БИНОМ. Лаборатория знаний, 2011. — 367 с.: ил., табл. — (Основы информационных технологий).


 

ISBN 978-5-9963-0685-5


 

В книге описаны принципы построения и обслуживания коммутируемых компьютерных сетей, приведено полное описание фундаментальных технологий коммутации, таких как коммутация 2-го уровня, коммутация 3-го уровня, IEEE 802.1Q, IEEE 802.1p, RSTP, MSTP, IGMP и многих других. Большой объем практических занятий посвящен самостоятельному конфигурированию, администрированию и мониторингу сетей на примере коммутаторов компании D-Link. В конце книги приведен обширный глоссарий.

Адресовано студентам, обучающимся по направлению «Информатика и вычислительная техника», аспирантам, сетевым администраторам, специалистам предприятий, внедряющим новые информационные технологии.

УДК 004.7(075.8) ББК 32.973.202я73-1


 

image

Данная книга написана совместно сотрудниками компании D-Link и преподавателями МГТУ им. Н.Э. Баумана

и Центра сетевых технологий «МГТУ – D-Link


 

Полное или частичное воспроизведение или размножение каким-либо способом, в том числе и публикация в Сети, настоящего издания допускается

только с письменного разрешения Национального Открытого Университета «ИНТУИТ».


 

По вопросам приобретения обращаться:

«БИНОМ. Лаборатория знаний» Телефон (499) 157-1902, (499) 157-5272,

e-mail: binom@Lbz.ru, http://www.Lbz.ru


 


 

ISBN 978-5-9963-0685-5

© Национальный Открытый Университет «ИНТУИТ», 2011

© БИНОМ. Лаборатория знаний, 2011

О проекте


 

Национальный Открытый Университет «ИНТУИТ» – это первое в России высшее учебное заведение, которое предоставляет возможность получить дополнительное образование во Всемирной сети. Web-сайт уни- верситета находится по адресу www.intuit.ru.

Мы рады, что вы решили расширить свои знания в области компью- терных технологий. Современный мир – это мир компьютеров и инфор- мации. Компьютерная индустрия – самый быстрорастущий сектор эконо- мики, и ее рост будет продолжаться еще долгое время. Во времена жесткой конкуренции от уровня развития информационных технологий, достиже- ний научной мысли и перспективных инженерных решений зависит успех не только отдельных людей и компаний, но и целых стран. Вы выбрали са- мое подходящее время для изучения компьютерных дисциплин. Профес- сионалы в области информационных технологий сейчас востребованы везде: в науке, экономике, образовании, медицине и других областях, в го- сударственных и частных компаниях, в России и за рубежом. Анализ дан- ных, прогнозы, организация связи, создание программного обеспечения, построение моделей процессов – вот далеко не полный список областей применения знаний для компьютерных специалистов.

Обучение в университете ведется по собственным учебным планам, разработанным ведущими российскими специалистами на основе между- народных образовательных стандартов Computer Curricula 2001 Computer Science. Изучать учебные курсы можно самостоятельно по учебникам или на сайте Интернет-Университета, задания выполняются только на сайте. Для обучения необходимо зарегистрироваться на сайте университета. Удостоверение об окончании учебного курса или специальности выдает- ся при условии выполнения всех заданий к лекциям и успешной сдачи итогового экзамена.

Книга, которую вы держите в руках, – очередная в многотомной серии «Основы информационных технологий», выпускаемой Интернет- Университетом Информационных Технологий. В этой серии будут вы- пущены учебники по всем базовым областям знаний, связанным с ком- пьютерными дисциплинами.

Добро пожаловать в

Интернет-Университет Информационных Технологий!


 

Анатолий Шкред

anatoli@shkred.ru

Об авторах


 

Смирнова Елена Викторовна – кандидат технических наук, менеджер по образовательным проектам компании D-Link.


 

Пролетарский Андрей Викторович – доктор технических наук, про- фессор МГТУ имени Н. Э. Баумана.


 

Баскаков Игорь Владимирович – кандидат технических наук, доцент МГТУ имени Н. Э. Баумана.


 

Федотов Роман Анатольевич – технический директор ЗАО «2В Сервис», преподаватель МГТУ имени Н. Э. Баумана.

Лекции

Лекция 1. Основы коммутации 11

Лекция 2. Начальная настройка коммутатора 44

Лекция 3. Обзор функциональных возможностей коммутаторов 61

Лекция 4. Виртуальные локальные сети (VLAN) 62

Лекция 5. Функции повышения надежности

и производительности 97

Лекция 6. Качество обслуживания (QoS) 142

Лекция 7. Функции обеспечения безопасности

и ограничения доступа к сети 157

Лекция 8. Многоадресная рассылка 193

Лекция 9. Функции управления коммутаторами 203

Лекция 10. Обзор коммутаторов D-Link 224

Оглавление


 

Введение 10

Лекция 1. Основы коммутации 12

    1. Эволюция локальных сетей 12

    2. Функционирование коммутаторов локальной сети 15

    3. Методы коммутации 18

    4. Конструктивное исполнение коммутаторов 19

    5. Физическое стекирование коммутаторов 20

    6. Типы интерфейсов коммутаторов 21

    7. Архитектура коммутаторов 26

    8. Характеристики, влияющие на производительность коммутаторов 35

    9. Управление потоком в полудуплексном

      и дуплексном режимах 38

    10. Технологии коммутации и модель OSI 40

    11. Программное обеспечение коммутаторов 41

    12. Общие принципы сетевого дизайна 41

    13. Трехуровневая иерархическая модель сети 42

Лекция 2. Начальная настройка коммутатора 44

    1. Классификация коммутаторов по возможности управления . . . 44

    2. Средства управления коммутаторами 44

    3. Подключение к коммутатору 45

    4. Начальная конфигурация коммутатора 48

    5. Подключение к Web-интерфейсу управления

      коммутатора 56

    6. Загрузка нового программного обеспечения

      на коммутатор 58

    7. Загрузка и резервное копирование

конфигурации коммутатора 59

Лекция 3. Обзор функциональных возможностей коммутаторов 61

Лекция 4. Виртуальные локальные сети (VLAN) 62

    1. Типы VLAN 64

    2. VLAN на основе портов 65

    3. VLAN на основе стандарта IEEE 802.1Q 66

    4. Статические и динамические VLAN 77

    5. Протокол GVRP 77

    6. Q-in-Q VLAN 82

    7. VLAN на основе портов и протоколов –

      стандарт IEEE 802.1v 89

    8. Асимметричные VLAN 92

    9. Функция Traffic Segmentation 94

Лекция 5. Функции повышения надежности и производительности . . . 97 5.1. Протоколы Spanning Tree 97

    1. Spanning Tree Protocol (STP) 97

    2. Rapid Spanning Tree Protocol 108

    3. Multiple Spanning Tree Protocol 119

    4. Дополнительные функции защиты от петель 132

    5. Функции безопасности STP 134

    6. Агрегирование каналов связи 135

Лекция 6. Качество обслуживания (QoS) 142

    1. Модели QoS 142

    2. Приоритизация пакетов 143

    3. Классификация пакетов 144

    4. Маркировка пакетов 146

    5. Управление перегрузками и механизмы

      обслуживания очередей 146

    6. Механизм предотвращения перегрузок 149

    7. Контроль полосы пропускания 150

    8. Пример настройки QoS 154

Лекция 7. Функции обеспечения безопасности

и ограничения доступа к сети 157

    1. Списки управления доступом (ACL) 158

    2. Функции контроля над подключением узлов

      к портам коммутатора 166

    3. Аутентификация пользователей 802.1Х 173

    4. 802.1Х Guest VLAN 181

    5. Функции защиты ЦПУ коммутатора 189

Лекция 8. Многоадресная рассылка 193

    1. Адресация многоадресной IP-рассылки 193

    2. МАС-адреса групповой рассылки 195

    3. Подписка и обслуживание групп 196

    4. Управление многоадресной рассылкой

      на 2-м уровне модели OSI (IGMP Snooping) 197

    5. Функция IGMP Snooping Fast Leave 201

Лекция 9. Функции управления коммутаторами 203

    1. Управление множеством коммутаторов 203

    2. Протокол SNMP 214

    3. RMON (Remote Monitoring) 219

    4. Функция Port Mirroring 222

Лекция 10. Обзор коммутаторов D-Link 224

    1. Неуправляемые коммутаторы 224

    2. Коммутаторы серии Smart 227

    3. Управляемые коммутаторы 228

Приложение 237

Занятие №1. Основные команды коммутаторов.

Управление коммутаторами 239

Занятие №2. Команды обновления программного обеспечения коммутатора и сохранения/восстановления

конфигурационных файлов 247

Занятие №3. Команды управления таблицами МАС, IP, ARP . . . 251 Занятие №4. Команды VLAN на основе портов

и стандарта IEEE 802.1Q 255

Занятие №5. Команды протокола GVRP

(продвижение информации о VLAN в сети) 264

Занятие №6. Команды настройки асимметричных VLAN

и сегментации трафика 270

Занятие №7. Команды настройки функции Q-in-Q

(Double VLAN) 276

Занятие №8. Команды настройки протоколов

связующего дерева STP, RSTP, MSTP 280

Занятие №9. Функция предотвращения

петлеобразования (LoopBack Detection) 293

Занятие №10. Команды агрегирования каналов 298

Занятие №11. Списки управления доступом

(Access Control List) 306

Занятие №12. Контроль над подключением узлов

к портам коммутатора. Функция Port Security 315

Занятие №13. Контроль над подключением узлов

к портам коммутатора. Функция IP-MAC-Port Binding 321

Занятие №14. Ограничение административного

доступа к управлению коммутатором 328

Занятие №15. Команды протокола IEEE 802.1Х 334

Занятие №16. Управление полосой пропускания 338

Занятие №17. Настройка QoS. Приоритизация трафика 340

Занятие №18. Команды зеркалирования портов

(Port Mirroring) 344

Занятие №19. Команды мониторинга 347

Глоссарий 350

Литература 367

Введение


 

По мере развития сетевых технологий современные коммутаторы становятся все более сложными устройствами. Для успешного построе- ния и обслуживания сетей ключевым моментом является понимание фундаментальных основ наиболее распространенных сетевых техноло- гий, таких как коммутация 2-го уровня, коммутация 3-го уровня, IEEE 802.1Q, IEEE 802.1p, RSPT, MSTP, IGMP и многих других, а также знание того, как данные технологии можно применить на практике наиболее эф- фективно.

Книга «Построение коммутируемых компьютерных сетей» появи- лась благодаря многолетнему сотрудничеству компании D-Link и ведуще- го технического университета страны — МГТУ им. Н. Э. Баумана. Книга направлена на глубокое изложение теории и формирование практических знаний. В ее основу легли учебные материалы компании D-Link, а также практические занятия, проводимые в учебном центре D-Link — МГТУ им. Н. Э. Баумана.

Книга содержит полное описание фундаментальных технологий коммутации локальных сетей, примеры их использования, а также наст- ройки на коммутаторах D-Link. Она будет полезна студентам, обучаю- щимся по направлению «Информатика и вычислительная техника», ас- пирантам, сетевым администраторам, специалистам предприятий, внед- ряющим новые информационные технологии, а также всем, кто интересуется современными сетевыми технологиями и принципами по- строения коммутируемых сетей.

Авторы хотят поблагодарить всех людей, вовлеченных в процесс кон- сультирования, редактирования и подготовки рисунков для книги. Авторы выражают благодарность руководителям Представительства компании

«Д-Линк Интернешнл ПТЕ Лтд» и МГТУ им. Н. Э. Баумана, специалис- там компании D-Link Павлу Козику, Руслану Бигарову, Александру Зайце- ву, Евгению Рыжову и Денису Евграфову, Александру Щадневу за техни- ческие консультации; Ольге Кузьминой за редактирование книги; Алесе Дунаевой за помощь в подготовке иллюстраций. Большую помощь в под- готовке рукописи и тестировании практических занятий оказали препода- ватели МГТУ им. Н. Э. Баумана Михаил Калинов, Дмитрий Чирков.


 

Обозначения, используемые в книге

image

Введение


 

В тексте книги используются следующие пиктограммы для обозна- чения сетевых устройств различных типов:


 

image


 

Синтаксис команд


 

Следующие символы используются для описания ввода команд, ожидаемых значений и аргументов при настройке коммутатора через ин- терфейс командной строки (CLI).


 

Таблица 1.


 

Символ

Назначение

<угловые скобки >

Содержат ожидаемую переменную или значе- ние, которое должно быть указано

[квадратные скобки]

Содержат требуемое значение или набор требуе- мых аргументов. Может быть указано одно зна- чение или аргумент

| вертикальная черта

Отделяет два или более взаимно исключающих пунктов из списка, один из которых должен быть введен/указан

{фигурные скобки}

Содержит необязательное значение или набор необязательных аргументов

Лекция 1. Основы коммутации


 

    1. Эволюция локальных сетей


       

      Эволюция локальных сетей неразрывно связана с историей развития технологии Ethernet, которая по сей день остается самой распространен- ной технологией локальных сетей.

      Первоначально технология локальных сетей рассматривалась как времясберегающая и экономичная технология, обеспечивающая совме- стное использование данных, дискового пространства и дорогостоящих периферийных устройств. Снижение стоимости персональных компью- теров и периферии привело к их широкому распространению в бизнесе, и количество сетевых пользователей резко возросло. Одновременно изме- нились архитектура приложений («клиент-сервер») и их требования к вы- числительным ресурсам, а также архитектура вычислений (распределен- ные вычисления). Стал популярным downsizing (разукрупнение) — пере- нос информационных систем и приложений с мэйнфреймов на сетевые платформы. Все это привело к смещению акцентов в использовании се- тей: они стали обязательным инструментом в бизнесе, обеспечив наибо- лее эффективную обработку информации.

      В первых сетях Ethernet (10Base-2 и 10Base-5) использовалась шин- ная топология, когда каждый компьютер соединялся с другими устройст- вами с помощью единого коаксиального кабеля, используемого в качест- ве среды передачи данных. Сетевая среда была разделяемой и устройства, прежде чем начать передавать пакеты данных, должны были убедиться, что она свободна. Несмотря на то, что такие сети были простыми в уста- новке, они обладали существенными недостатками, заключающимися в ограничениях по размеру, функциональности и расширяемости, недоста- точной надежности, а также неспособностью справляться с экспоненци- альным увеличением сетевого трафика. Для повышения эффективности работы локальных сетей требовались новые решения.

      Следующим шагом стала разработка стандарта 10Base-T с топологией типа «звезда», в которой каждый узел подключался отдельным кабелем к центральному устройству — концентратору (hub). Концентратор работал на физическом уровне модели OSI и повторял сигналы, поступавшие с одного из его портов на все остальные активные порты, предварительно восстанав- ливая их. Использование концентраторов позволило повысить надежность сети, т.к. обрыв какого-нибудь кабеля не влек за собой сбой в работе всей се- ти. Однако, несмотря на то, что использование концентраторов в сети упро- стило задачи ее управления и сопровождения, среда передачи оставалась разделяемой (все устройства находились в одном домене коллизий). Поми-

      мо этого, общее количество концентраторов и соединяемых ими сегментов сети было ограничено из-за временных задержек и других причин.

      Задача сегментации сети, т.е. разделения пользователей на группы (сегменты) в соответствии с их физическим размещением с целью умень- шения количества клиентов, соперничающих за полосу пропускания, бы- ла решена с помощью устройства, называемого мостом (bridge). Мост был разработан компанией Digital Equipment Corporation (DEC) в начале 1980-х годов и представлял собой устройство канального уровня модели OSI (обычно двухпортовое), предназначенное для объединения сегментов се- ти. В отличие от концентратора, мост не просто пересылал пакеты данных из одного сегмента в другой, а анализировал и передавал их только в том случае, если такая передача действительно была необходима, то есть адрес рабочей станции назначения принадлежал другому сегменту. Таким обра- зом, мост изолировал трафик одного сегмента от трафика другого, умень- шая домен коллизий и повышая общую производительность сети.

      Однако мосты были эффективны лишь до тех пор, пока количество рабочих станций в сегменте оставалось относительно невелико. Как толь- ко оно увеличивалось, в сетях возникала перегрузка (переполнение при- емных буферов сетевых устройств), которая приводила к потере пакетов. Увеличение количества устройств, объединяемых в сети, повышение мощности процессоров рабочих станций, появление мультимедийных прило- жений и приложений «клиент-сервер» требовали большей полосы пропуска- ния. В ответ на эти растущие требования фирмой Kalpana в 1990 г. на рынок был выпущен первый коммутатор (switch), получивший название EtherSwitch. Коммутатор представлял собой многопортовый мост и также функци- онировал на канальном уровне модели OSI. Основное отличие коммутато-


       

      image


       

      Рис. 1.1. Коммутатор локальной сети

      image

      image

      image

      image

      image

      image

      ра от моста заключалось в том, что он мог устанавливать одновременно не- сколько соединений между разными парами портов. При передаче пакета че- рез коммутатор в нем создавался отдельный виртуальный (либо реальный, в зависимости от архитектуры) канал, по которому данные пересылались напрямую от порта-источника к порту-получателю с максимально возмож- ной для используемой технологии скоростью. Такой принцип работы полу- чил название «микросегментация». Благодаря микросегментации коммута- торы получили возможность функционировать в режиме полного дуплекса (full duplex), что позволяло каждой рабочей станции одновременно переда- вать и принимать данные, используя всю полосу пропускания в обоих на- правлениях. Рабочей станции не приходилось конкурировать за полосу пропускания с другими устройствами, в результате чего не происходили коллизии и повышалась производительность сети.


       

      image image image


       

      Рис. 1.2. Микросегментация


       

      В настоящее время коммутаторы являются основным строительным блоком для создания локальных сетей. Современные коммутаторы Ethernet превратились в интеллектуальные устройства со специализиро- ванными процессорами для обработки и перенаправления пакетов на вы- соких скоростях и реализации таких функций, как организация резерви- рования и повышения отказоустойчивости сети, агрегирование каналов, создание виртуальных локальных сетей (VLAN), маршрутизация, управ- ление качеством обслуживания (Quality of Service, QoS), обеспечение без- опасности и многих других. Также усовершенствовались функции управ- ления коммутаторов, благодаря чему системные администраторы получи-

      ли удобные средства настройки сетевых параметров, мониторинга и ана- лиза трафика.

      С появлением стандарта IEEE 802.3af-2003 PoE, описывающего техно- логию передачи питания по Ethernet (Power over Ethernet, PoE), разработчи- ки начали выпускать коммутаторы с поддержкой данной технологии, что позволило использовать их в качестве питающих устройств для IP-телефо- нов, Интернет-камер, беспроводных точек доступа и другого оборудования. С ростом популярности технологий беспроводного доступа в корпо- ративных сетях производители оборудования выпустили на рынок уни- фицированные коммутаторы с поддержкой технологии PoE для питания подключаемых к их портам точек беспроводного доступа и централизо-

      ванного управления как проводной, так и беспроводной сетью.

      Повышение потребностей заказчиков и тенденции рынка стимули- руют разработчиков коммутаторов более или менее регулярно расширять аппаратные и функциональные возможности производимых устройств, позволяющие предоставлять в локальных сетях новые услуги, повышать их надежность, управляемость и защищенность.


       

    2. Функционирование коммутаторов локальной сети

      Коммутаторы локальных сетей обрабатывают кадры на основе алго- ритма прозрачного моста (transparent bridge), который определен стандар- том IEEE 802.1D. Процесс работы алгоритма прозрачного моста начина- ется с построения таблицы коммутации (Forwarding DataBase, FDB).

      Изначально таблица коммутации пуста. При включении питания, одновременно с передачей данных, коммутатор начинает изучать распо- ложение подключенных к нему сетевых устройств путем анализа МАС- адресов источников получаемых кадров. Например, если на порт 1 ком- мутатора, показанного на рис. 1.3, поступает кадр от узла А, то он создает в таблице коммутации запись, ассоциирующую МАС-адрес узла А с но- мером входного порта. Записи в таблице коммутации создаются динами- чески. Это означает, что, как только коммутатором будет прочитан новый МАС-адрес, то он сразу будет занесен в таблицу коммутации. Дополни- тельно к МАС-адресу и ассоциированному с ним порту в таблицу комму- тации для каждой записи заносится время старения (aging time). Время старения позволяет коммутатору автоматически реагировать на переме- щение, добавление или удаление сетевых устройств. Каждый раз, когда идет обращение по какому-либо МАС-адресу, соответствующая запись получает новое время старения. Записи, к которым не обращались долгое время, из таблицы удаляются. Это позволяет хранить в таблице коммута- ции только актуальные МАС-адреса, что уменьшает время поиска соот-

      ветствующей записи в ней и гарантирует, что она не будет использовать слишком много системной памяти.


       

      image


       

      Рис. 1.3. Построение таблицы коммутации


       

      Помимо динамического создания записей в таблице коммутации в процессе самообучения коммутатора, существует возможность создания статических записей таблицы коммутации вручную. Статическим запи- сям, в отличие от динамических, не присваивается время старения, по- этому время их жизни не ограничено.

      Статическую таблицу коммутации удобно использовать с целью по- вышения сетевой безопасности, когда необходимо гарантировать, что только устройства с определенными МАС-адресами могут подключаться к сети. В этом случае необходимо отключить автоизучение МАС-адресов на портах коммутатора.


       

      Внимание: как правило, размер статической таблицы коммутации мень- ше размера динамической таблицы коммутации. Размеры обеих таблиц также зависят от модели коммутатора. Обычно производители указыва- ют размеры таблиц коммутации в спецификациях на устройства.


       

      Как только в таблице коммутации появляется хотя бы одна запись, коммутатор начинает использовать ее для пересылки кадров. Рассмотрим пример, показанный на рис. 1.4, описывающий процесс пересылки кад- ров между портами коммутатора.


       

      image


       

      Рис. 1.4. Передача кадра с порта на порт коммутатора


       

      Когда коммутатор получает кадр, отправленный компьютером А компьютеру В, он извлекает из него МАС-адрес приемника и ищет этот МАС-адрес в своей таблице коммутации. Как только в таблице коммута- ции будет найдена запись, ассоциирующая МАС-адрес приемника (ком- пьютера В) с одним из портов коммутатора, за исключением порта-источ- ника, кадр будет передан через соответствующий выходной порт (в при- веденном примере — порт 2). Этот процесс называется продвижением (forwarding) кадра.

      Если бы оказалось, что выходной порт и порт-источник совпадают, то передаваемый кадр был бы отброшен коммутатором. Этот процесс на- зывается фильтрацией (filtering).

      В том случае, если МАС-адрес приемника в поступившем кадре не- известен (в таблице коммутации отсутствует соответствующая запись), коммутатор создает множество копий этого кадра и передает их через все свои порты, за исключением того, на который он поступил. Этот процесс называется лавинaной передачей (flooding). Несмотря на то, что процесс ла- винной передачи занимает полосу пропускания, он позволяет коммутато- ру избежать потери кадров, когда МАС-адрес приемника неизвестен, и осуществлять процесс самообучения.

      Помимо лавинной передачи одноадресных кадров, коммутаторы также выполняют лавинную передачу многоадресных и широковещательных кад- ров, которые генерируются сетевыми мультимедийными приложениями.

    3. Методы коммутации


       

      Первым шагом, который выполняет коммутатор прежде чем при- нять решение о передаче кадра, является его получение и анализ содер- жимого. В коммутаторе может быть реализован один из трех режимов ра- боты, определяющих его поведение при получении кадра:

      • коммутация с промежуточным хранением (store-and-forward);

      • коммутация без буферизации (cut-through);

      • коммутация с исключением фрагментов (fragment-free).

        При коммутации с промежуточным хранением (store-and-forward) ком- мутатор, прежде чем передать кадр, полностью копирует его в буфер и про- изводит проверку на наличие ошибок. Если кадр содержит ошибки (не совпадает контрольная сумма или кадр меньше 64 байт или больше 1518 байт), то он отбрасывается. Если кадр не содержит ошибок, то коммутатор нахо- дит МАС-адрес приемника в своей таблице коммутации и определяет вы- ходной порт. Затем, если не определены никакие фильтры, коммутатор пе- редает кадр через соответствующий порт устройству назначения.

        Несмотря на то, что этот способ передачи связан с задержками (чем больше размер кадра, тем больше времени требуется на его прием и проверку на наличие ошибок), он обладает двумя существенными преимуществами:

      • коммутатор может быть оснащен портами, поддерживающими раз-

        ные технологии и скорости передачи, например, 10/100 Мбит/с, 1000 Мбит/с и 10 Гбит/с;

      • коммутатор может проверять целостность кадра, благодаря чему

      поврежденные кадры не будут передаваться в соответствующие сегменты.

      В коммутаторах D-Link реализован этот метод коммутации. Благо- даря использованию в устройствах высокопроизводительных процессо- ров и контроллеров ASIC (Application-Specific Integrated Circuit) задерж- ка, вносимая коммутацией store-and-forward при передаче пакетов, ока- зывается незначительной.

      Коммутация без буферизации (cut-through) была реализована в первом коммутаторе Ethernet, разработанном фирмой Kalpana в 1990 г. При рабо- те в этом режиме коммутатор копирует в буфер только МАС-адрес назна- чения (первые 6 байт после префикса) и сразу начинает передавать кадр, не дожидаясь его полного приема. Коммутация без буферизации умень- шает задержку, но проверку на ошибки не выполняет. Данный метод ком- мутации может использоваться только в том случае, когда порты комму- татора поддерживают одинаковую скорость.

      Коммутация с исключением фрагментов (fragment-free) является ком- промиссным решением между методами store-and-forward и cut-through. При этом методе коммутации коммутатор принимает в буфер первые

      image


       

      Рис. 1.5. Методы коммутации


       

      64 байта кадра, что позволяет ему отфильтровывать коллизионные кадры перед их передачей. В соответствии со спецификацией Ethernet коллизия может произойти во время передачи первых 64 байт. Поэтому все кадры с длиной больше 64 байт считаются правильными. Этот метод коммута- ции ожидает, пока полученный кадр не будет проверен на предмет колли- зии, и только после этого начинает его передачу.


       

    4. Конструктивное исполнение коммутаторов


       

      В зависимости от конструктивного исполнения (габаритных разме- ров) можно выделить три группы коммутаторов:

      • настольные коммутаторы (Desktop switch);

      • автономные коммутаторы, монтируемые в телекоммуникацион- ную стойку (Rack mounted switch);

      • коммутаторы на основе шасси (Chassis switch).

      Как следует из названия, настольные коммутаторы предназначены для размещения на столах, иногда они могут оснащаться входящими в комплект поставки скобами для крепления на стену. Обычно такие ком- мутаторы обладают корпусом обтекаемой формы с относительно неболь- шим количеством фиксированных портов (у коммутаторов D-Link коли- чество портов варьируется от 5 до 16), внешним или внутренним блоком питания и небольшими ножками (обычно резиновыми) для обеспечения вентиляции нижней поверхности устройства. Чаще всего коммутаторы настольного форм-фактора используются в сетях класса SOHO (Small Office, Home Office), где не требуется высокая производительность и рас-

      ширенные сетевые функции. В качестве примера коммутатора в настоль- ном исполнении можно привести коммутатор D-Link модели DES-1008А. Автономные коммутаторы в стоечном исполнении высотой 1U обла- дают корпусом для монтажа в 19” стойку, встроенным блоком питания и фиксированным количеством портов (у коммутаторов D-Link количест- во портов может достигать 52-х штук). По сравнению с настольными ком- мутаторами коммутаторы, монтируемые в стойку, обеспечивают более высокую производительность и надежность, а также предлагают широкий набор сетевых функций и интерфейсов. Как правило, такие коммутаторы используются на уровнях доступа и распределения сетей малых и средних предприятий (Small to Medium Business, SMB), корпоративных сетей и се-

      тей провайдеров услуг (Internet Service Provider, ISP).

      Среди коммутаторов в стоечном исполнении с фиксированным ко- личеством портов можно выделить отдельную группу устройств — стеко- вые коммутаторы. Эти устройства представляют собой коммутаторы, ко- торые могут работать как автономно, так как выполнены в отдельном корпусе, так и совместно, благодаря наличию специальных интерфейсов, позволяющих объединять коммутаторы в одно логическое устройство с целью увеличения количества портов, удобства управления и мониторин- га. Говорится, что в этом случае отдельные коммутаторы образуют стек.

      Коммутаторы на основе шасси содержат слоты, которые могут быть использованы для установки интерфейсных модулей расширения, ре- зервных источников питания и процессорных модулей. Модульное реше- ние обеспечивает гибкость применения, высокую плотность портов и возможность резервирования критичных для функционирования комму- татора компонентов. Модули такого коммутатора поддерживают техно- логию hot swap («горячая замена»), то есть допускают замену на ходу, без выключения питания коммутатора. Коммутаторы на основе шасси пред- назначены для применения на магистрали сети крупных корпоративных сетей, городских сетей или сетей операторов связи.


       

    5. Физическое стекирование коммутаторов


       

      Под физическим стекированием понимается объединение нескольких коммутаторов в одно логическое устройство с целью увеличения количе- ства портов, удобства управления и мониторинга. Объединенные в стек коммутаторы имеют общие таблицы коммутации и маршрутизации (для коммутаторов 3 уровня).

      В коммутаторах D-Link используются 2 топологии стекирования:

      «кольцо» (ring) и «цепочка» (chain).

      Стек типа «кольцо» (кольцевая топология) строится по следующей схеме: каждое устройство в стеке подключается к вышележащему и ниже-

      image


       

      Рис. 1.6. Топологии стекирования «кольцо» и «цепочка»


       

      лежащему, при этом самый нижний и самый верхний коммутатор в стеке также соединяются. При передаче данных пакет последовательно переда- ется от одного устройства стека к другому до тех пор, пока не достигнет порта назначения. Система автоматически определяет оптимальный путь передачи трафика, что позволяет достичь полного использования полосы пропускания. Преимуществом топологии «кольцо» является то, что при выходе одного устройства из строя или обрыве связи остальные устройст- ва стека будут продолжать функционировать в обычном режиме.

      В стеке типа «цепочка» (линейная топология) каждое устройство со- единено с вышележащим и нижележащим. Самый верхний и самый ниж- ний коммутаторы не соединяются.

      Физическое стекирование по линейной и кольцевой топологии ре- ализовано в семи сериях коммутаторов D-Link. Коммутаторы серии DGS-3120-xx позволяют объединить в стек до 6 устройств, коммутаторы серии DGS-3610-xx – до 8 устройств, а коммутаторы серий DGS-3420-xx и DGS-36xx, DGS-3620-xx – до 12 устройств, используя интерфейсы 10 Gigabit Ethernet (10GE). Коммутаторы серии DGS-31xx объединяются в стек через интерфейсы HDMI. Максимальное количество коммутато- ров в стеке равно 6. Коммутаторы серии DES-3528/3552 поддерживают физическое стекирование через интерфейсы Gigabit Ethernet и позволя- ют объединить в стек до 8 устройств.

      Все устройства стека управляются через один IP-адрес. Передача данных между ними ведется в полнодуплексном режиме.


       

    6. Типы интерфейсов коммутаторов


       

      В зависимости от выполняемых задач коммутаторы могут быть обору- дованы различным количеством и типом портов. В таблице 1.1 приведены

      типы наиболее часто используемых интерфейсов и их основные характери- стики в соответствии со стандартом IEEE 802.3-2008.

      Наиболее распространенными интерфейсами, реализуемыми в ком- мутаторах, являются фиксированные интерфейсы с разъемом RJ-45 на основе витой пары, поддерживающие технологию Fast или Gigabit Ethernet, автосогласование скоростей, полудуплексного или дуплексного режима работы и автоматического определения полярности витой пары MDI/MDIX. Для обеспечения большей гибкости в выборе типа подключения многие коммутаторы оборудованы специальными слотами для установки компактных сменных интерфейсных модулей GBIC (Gigabit Interface Converter), SFP (Small Form Factor Pluggable), XFP (10 Gigabit Small Form Factor Pluggable) и SFP+ (Enhanced Small Form Factor Pluggable), поддерживающих режим горячей замены.


       

      Таблица 1.1.


       

      Стандарт

      Тип кабеля

      Максимальное расстояние передачи, м

      10BASE-T

      Кабель на основе витой пары категории 3 или 5

      100

      100BASE-TX

      Кабель на основе витой пары категории 5

      100

      100BASE-FX

      Многомодовый оптический кабель

      412 (полудуплекс)

      2000 (дуплекс)

      100BASE-BX10

      Одноволоконный одномодовый оптический кабель (длина волны: 1310 нм – восходящий поток, 1550 нм – нисходящий)

      10 000

      100BASE-LX10

      Одномодовый оптический кабель (длина волны 1310 нм)

      10 000

      1000BASE-T

      Кабель на основе витой пары категории 5, 5e, 6 или 7

      100

      1000BASE-SX

      Многомодовый оптический кабель 62.5/125 микрон/ 50/125 микрон

      220/550

      1000BASE-LX

      Одномодовый оптический кабель

      5 000

      Многомодовый оптический кабель

      550

      1000BASE-LX10

      Одномодовый оптический кабель (длина волны 1310 нм)

      10 000

      Многомодовый оптический кабель (длина волны 1310 нм)

      550

      1000BASE-BX10

      Одноволоконный одномодовый оптический кабель (длина волны: 1310 нм – восходящий поток, 1550 нм – нисходящий)

      10 000

      1000BASE-ZX

      Одномодовый оптический кабель (длина волны 1550 нм)

      80 000

      1000BASE-LH

      (Long Haul)

      Одномодовый оптический кабель

      50 000

      10GBASE-CX4

      Экранированный сбалансирован- ный медный кабель

      15

      10GBASE-SR

      Многомодовый оптический кабель

      300

      10GBASE-LR

      Одномодовый оптический кабель

      10 000

      10GBASE-ER

      Одномодовый оптический кабель

      40 000


       

      Самой первой спецификацией на компактные сменные интерфейс- ные модули была спецификация SFF-8053 комитета SFF, описывающая конвертеры гигабитного интерфейса (Gigabit Interface Converter, GBIC). Модули GBIC поддерживают стандарты Gigabit Ethernet или Fibre Channel для передачи данных, голоса и видео по медным или оптическим кабелям, но преимущественно представляют собой оптические трансиверы для при- ема или передачи сигнала по многомодовому или одномодовому волокну. Компания D-Link выпускает большой перечень модулей GBIC с поддерж- кой технологии Gigabit Ethernet с оптическими и медными интерфейсами.


       

      image

      Рис. 1.7. Модуль GBIC DGS-703 с одним портом 1000Base-LX для одномодового оптического кабеля


       

      Спустя несколько лет после появления спецификации GBIC разра- ботчики предложили усовершенствованную, компактную модификацию сменного интерфейса (Small Form Factor Pluggable, SFP). Модули SFP в два раза меньше своих предшественников по габаритным размерам. По- садочный размер SFP (форм-фактор) определяется величиной медного разъема RJ-45. Интерфейсы SFP поддерживают практически любые су- ществующие протоколы: Ethernet (на 10, 100, 1000 Мбит/с), SONET/SDH (OC3/ 12/48 и STM 1/4/16), Fibre Channel (1 и 2 Гбит/с). Компания

        1. ink выпускает модули SFP, поддерживающие стандарты Fast и Gigabit Ethernet и предназначенные для работы с разнообразным оптическим ка- белем — одномодовым, одноволоконным одномодовым для систем с тех- нологией WDM (Wavelength Division Multiplexing) и многомодовым.


           

          image


           

          Рис. 1.8. Модуль SFP DEM-310GT с одним портом 1000Base-LX для одномодового оптического кабеля


           

          Технология сменных модулей оказалась очень эффективной в систе- мах оптического уплотнения (Wavelength Division Multiplexing, WDM), широко применяемых в сетях передачи данных и в телекоммуникацион- ной отрасли. Основной принцип, на котором базируется работа этих уст- ройств — модуляция сигнала для смещения спектра несущего сигнала в другой диапазон. Сигналы каждого канала переносятся в собственном диапазоне частот. Далее они собираются в мультиплексоре и передаются уже по одному волокну, образуя широкополосный канал. Таким образом, по одному волокну параллельно передается несколько независимых ка- налов (каждый на своей длине волны), что позволяет повысить пропуск- ную способность системы передачи в целом. Задача объединения или раз- деления частот решается на уровне приемника или передатчика.

          Компания D-Link производит модули SFP с использованием техно- логии WDM, поддерживающие скорости передачи 100 и 1000 Мбит/с. Эти


           

          image

          Рис. 1.9. Модули SFP DEM-331R и DEM-331T с одним портом 1000BASE-BX10 с поддержкой технологии WDM

          модули позволяют одновременно передавать и получать сигналы на дли- нах волн 1310 нм и 1550 нм по одному оптическому волокну на расстоя- ние до 40 км. Это достигается путем установки SFP-модуля передатчика и SFP-модуля приемника на разных концах линии связи.

          Модули SFP могут поддерживать важные функции цифровой диа- гностики (описанные в спецификации SFF-8472), позволяющие в реаль- ном времени осуществлять мониторинг таких параметров, как мощность передатчика, чувствительность приемника, напряжение питания и тем- пература каждого оптического компонента. Информация о поддержке этой функции обычно указывается в спецификации на устройство.

          Каждый модуль SFP выпускается с собственной электронной мет- кой, где содержатся сведения об идентификационном номере устройства и спецификации внешнего порта. Информация о внешнем порте может включать данные о длине волны, характеристиках волокна, скорости пе- редачи данных, поддерживаемых протоколах, а также о длине канала. Идентификация SFP полезна при инвентаризации: с ее помощью отсле- живается установка и замена компонентов и определяется местонахожде- ние того или иного модуля.

          Следующей ступенью эволюции сменных интерфейсов стала раз- работка оптических трансиверов XFP (10 Gigabit Small Form Factor Pluggable) для волн 850, 1310 и 1550 нм. Они поддерживают 10GE, 10 Gigabit SONET/SDH, Fibre Channel и еще некоторые высокоскорост- ные протоколы. XFP имеют несколько большие размеры, чем трансиверы SFP. Модули могут поддерживать систему цифровой диагностики для мо- ниторинга состояния оптических линий.

          В настоящее время компания D-Link выпускает трансиверы XFP 10 GE, предназначенные для работы с одномодовым и многомодовым оптичес- ким кабелем разной дальности передачи.

          Новым поколением оптических сменных интерфейсных модулей с поддержкой скоростей 10 Гбит/с стали трансиверы SFP+. Требования к модулям SFP+, которые являются расширенной версией SFP, определе- ны в спецификации SFF-8431. Несмотря на то, что модули SFP+ имеют


           

          image


           

          Рис. 1.10. Модуль XFP DEM-423XT с одним портом

          10GE (10GBASE-ER) для одномодового оптического кабеля

          ряд усовершенствований по сравнению с классическими модулями SFP, в коммутаторах D-Link слоты SFP+ поддерживают установку модулей SFP. По сравнению с трансиверами XFP, модули SFP+ обладают мень- шими габаритными размерами и тепловыделением, что позволяет повы- сить плотность размещения портов 10 Гбит/с на корпусе телекоммуника-

          ционных устройств.

          Модули SFP+, так же как и модули SFP, могут поддерживать систе- му цифровой диагностики в соответствии со спецификацией SFF-8472.

          Компания D-Link производит широкий спектр трансиверов SFP+ с поддержкой и без поддержки функции цифровой диагностики. Разли- чают модули, предназначенные для работы как с одномодовым или мно- гомодовым оптическим кабелем на длинах волн 850, 1310 и 1550 нм, так и с одноволоконным с поддержкой технологии WDM, использующие дли- ны волн 1330 и 1270 нм для приема/передачи сигналов.


           

          image


           

          Рис. 1.11. Модуль SFP+ DEM-432XT-DD с одним портом 10GE (10GBASE-LR) для одномодового оптического кабеля и поддержкой функции цифровой диагностики


           

    7. Архитектура коммутаторов


       

      Одним из основных компонентов всего коммутационного оборудо- вания является коммутирующая матрица (switch fabric). Коммутирующая матрица представляет собой чипсет, соединяющий множество входов с множеством выходов на основе фундаментальных технологий и прин- ципов коммутации. Коммутирующая матрица выполняет три функции:

          • переключает трафик с одного порта матрицы на другой, обеспечи-

            вая их равнозначность;

          • предоставляет качество обслуживания (Quality of Service, QoS);

          • обеспечивает отказоустойчивость.

      Поскольку коммутирующая матрица является ядром аппаратной платформы, к ней предъявляются требования по масштабированию про- изводительности и возможности быстрого развития системы QoS.

      Производительность коммутирующей матрицы (switch capacity) опреде- ляется как общая полоса пропускания (bandwidth), обеспечивающая ком- мутацию без отбрасывания пакетов трафика любого типа (одноадресного, многоадресного, широковещательного).

      «Неблокирующей» коммутирующей матрицей (non-blocking switch fabric) является такая матрица, у которой производительность и QoS не зависят от типа трафика, коммутируемого через матрицу, и производительность равна сумме скоростей всех портов:


       

      image image

      где N — количество портов, Cpi — максимальная производительность протокола, поддерживаемого i-м портом коммутатора.


       

      Например, производительность коммутатора с 24 портами 10/100 Мбит/с и 2 портами 1 Гбит/с вычисляется следующим образом:

      ((24 100 Мбит/с) + (2 1 Гбит/с)) х 2 = 8.8 Гбит/с Коммутатор обеспечивает портам равноправный доступ к матрице,

      если в системе не установлено преимущество одних портов над другими.

      Поскольку коммутирующая матрица располагается в ядре платфор- мы коммутатора, то одним из наиболее важных вопросов остается ее от- казоустойчивость. Этот вопрос решается за счет реализации отказоустой- чивой архитектуры, предусматривающей резервирование критичных для работы коммутатора блоков.

      Одним из ключевых компонентов архитектуры современных комму- таторов является контроллер ASIC (Application Specific Integrated Circuit). Контроллеры ASIC представляют собой быстродействующие и относи- тельно недорогие кремниевые кристаллы, которые предназначены для выполнения определенных операций. Использование в архитектуре ком- мутаторов контроллеров ASIC повышает производительность системы, т.к. ASIC выполняет операции аппаратно, благодаря чему не возникают накладные расходы, связанные с выборкой и интерпретацией хранимых команд. Современные контроллеры ASIC часто содержат на одном крис- талле 32-битные процессоры, блоки памяти, включая ROM, RAM, EEPROM, Flash, и встроенное программное обеспечение. Такие ASIC по- лучили название System-on-a-Chip (SoC).

      В настоящее время существует много типов архитектур коммутиру- ющих матриц. Выбор архитектуры матрицы во многом определяется ро- лью коммутатора в сети и количеством трафика, которое ему придется об- рабатывать. В действительности, матрица обычно реализуется на основе комбинации двух или более базовых архитектур. Рассмотрим самые рас- пространенные типы архитектур коммутирующих матриц.


       

      image

      • Умножение на 2 для дуплексного режима работы.

        1. Архитектура с разделяемой шиной


           

          Архитектура с разделяемой шиной (Shared Bus), как следует из ее на- звания, использует в качестве разделяемой среды шину, которая обеспе- чивает связь подключенных к ней устройств ввода-вывода (портов). Ши- на используется в режиме разделения времени, т.е. в каждый момент вре- мени только одному источнику разрешено передавать по ней данные. Управление доступом к шине осуществляется через централизованный арбитр, который предоставляет источнику право передавать данные.

          Применительно к системам с разделяемой шиной под термином «не- блокирующая» понимается то, что сумма скоростей портов матрицы меньше, чем скорость шины. Т.е. производительность системы ограничена производи- тельностью шины. Даже если общая полоса пропускания ниже производи- тельности шины, количество и производительность устройств ввода-вывода ограничены производительностью централизованного арбитра.


           

          image

          Рис. 1.12. Архитектура с разделяемой шиной


           

        2. Архитектура с разделяемой памятью


           

          Улучшения архитектуры с разделяемой шиной привели к появлению высокопроизводительной архитектуры с разделяемой памятью (Shared Memory). Архитектура с разделяемой памятью обычно основана на исполь- зовании быстрой памяти RAM большой емкости в качестве общего буфера коммутационной системы, предназначенного для хранения входящих па- кетов перед их передачей. Память обычно организуется в виде множества выходных очередей, ассоциирующихся с одним из устройств ввода-вывода или портом. Для обеспечения неблокирующей работы полоса пропуска- ния памяти для операции «запись» и операции «чтение» должна быть рав- на максимальной суммарной полосе пропускания всех входных портов.

          Типовая архитектура коммутаторов с разделяемой памятью показана на рис. 1.12. Входящие пакеты преобразуются из последовательного фор- мата в параллельный и затем записываются в двухпортовую память. Запись в память осуществляется по принципу мультиплексирования с разделени- ем по времени (Time Division Multiplexing, TDM), поэтому в каждый мо- мент времени только один входной порт может поместить кадр в ячейку разделяемой памяти. Заголовки каждого кадра передаются в контроллер памяти. На основе этой информации он определяет выходной порт назна- чения и выходную очередь, в которую необходимо поместить кадр. Поря- док, в котором выходные кадры будут считываться из памяти, определяет- ся контроллером памяти с помощью механизма арбитража. Считанные ка- дры отправляются на соответствующие выходные порты (выходные кадры демультиплексируются с разделением по времени таким образом, что толь- ко один выходной порт может получить доступ к разделяемой памяти), где они вновь преобразуются из параллельного формата в последовательный.

          Одним из преимуществ использования общего буфера для хранения пакетов является то, что он позволяет минимизировать количество выход- ных буферов, требуемых для поддержания скорости потери пакетов на низ-


           

          image


           

          image image image


           

          Рис. 1.13. Архитектура с разделяемой памятью

          ком уровне. С помощью централизованного буфера можно воспользовать- ся преимуществами статического разделения буферной памяти. При высо- кой скорости трафика на одном из портов он может захватить большее бу- ферное пространство, если общий буферный пул не занят полностью.

          Архитектура с разделяемой памятью обладает рядом недостатков. Так как пакеты записываются и считываются из памяти одновременно, она должна обладать суммарной пропускной способностью портов, т.е. операции записи и чтения из памяти должны выполняться в N (количест- во портов) раз выше скорости работы портов. Т.к. доступ к памяти физи- чески ограничен, необходимость ускорения работы в N раз ограничивает масштабируемость архитектуры. Более того, контроллер памяти должен обрабатывать пакеты с той же скоростью, что и память. Такая задача мо- жет быть трудно выполнимой в случае управления множеством классов приоритетов и сложными операциями планирования. Коммутаторы с разделяемой памятью обладают единой точкой отказа, поскольку добав- ление еще одного общего буфера является сложным и дорогим. В резуль- тате этого в чистом виде архитектура с разделяемой памятью использует- ся для построения коммутаторов с небольшим количеством портов.


           

        3. Архитектура на основе коммутационной матрицы


           

          Параллельно с появлением архитектуры с разделяемой памятью (в середине 1990-х годов) была разработана архитектура на основе комму- тационной матрицы (Crossbar architecture). Эта архитектура используется для построения коммутаторов различных типов.

          Существует множество вариаций архитектуры этого типа. Базовая ар- хитектура на основе коммутационной матрицы N N непосредственно со- единяет N входных портов с N выходными портами в виде матрицы. В мес- тах пересечения проводников, соединяющих входы и выходы, находятся коммутирующие устройства, которыми управляет специальный контроллер. В каждый момент времени, анализируя адресную информацию, контроллер сообщает коммутирующим устройствам, какой выход должен быть подклю- чен к какому входу. В том случае, если два входящих пакета от разных пор- тов-источников будут переданы на один и тот же выходной порт, он будет за- блокирован. Существуют различные подходы к решению этой проблемы: повышение производительности матрицы по сравнению с производитель- ностью входных портов или использование буферов памяти и арбитров.

          Несмотря на простой дизайн, одной из фундаментальных проблем ар- хитектуры на основе коммутационной матрицы остается ее масштабируе- мость. При увеличении количества входов и выходов усложняется схемо- техника матрицы и в особенности контроллера. Поэтому для построения многопортовых коммутационных матриц используется другой подход, ко-

          торый заключается в том, что простые коммутационные матрицы связыва- ются между собой, образуя одну большую коммутационную матрицу.


           

          image image


           

          Рис. 1.14. Архитектура на основе коммутационной матрицы


           

          Можно выделить два типа коммутаторов на основе коммутационной матрицы:

          • коммутаторы на основе коммутационной матрицы с буферизаци-

            ей (buffered crossbar);

          • коммутаторы на основе коммутационной матрицы с арбитражем (arbitrated crossbar).

        1. Коммутаторы на основе коммутационной матрицы с буферизацией


           

          В коммутаторах на основе коммутационной матрицы с буферизацией буферы расположены на трех основных стадиях: на входе и выходе и непо- средственно на коммутационной матрице. Благодаря наличию очередей на трех стадиях эта архитектура позволяет избежать сложностей, связанных с реализацией механизма централизованного арбитража. На выходе каждой из стадий осуществляется управление очередями с помощью одного из ал- горитмов диспетчеризации.

          Несмотря на то, что эта архитектура является простейшей архитекту- рой коммутаторов, из-за независимости стадий для нее существуют сложно- сти с реализацией качества обслуживания (QoS) в пределах коммутатора.

        2. Коммутаторы на основе коммутационной матрицы с арбитражем


           

          Эта архитектура характеризуется наличием безбуферных коммутиру- ющих элементов и арбитра, который управляет передачей трафика между входами и выходами матрицы. Отсутствие буферов у коммутирующих элементов компенсируется наличием буферов входных и выходных пор- тов. Обычно разработчики используют один из трех методов буфериза- ции: выходные буферы, входные буферы, комбинированные входные и выходные буферы.

          В коммутаторах с входными очередями (Input-Queued Switch) память каж- дого входного порта организована в виде очереди типа FIFO (First Input First Output — «первым пришел, первым ушел»), которая используется для буфе- ризации пакетов перед началом процесса коммутации. Одной из проблем этого типа коммутационной матрицы является блокировка первым в очереди (Head-Of-Line blocking, HOL). Она возникает в том случае, когда коммутатор пытается одновременно передать пакеты из нескольких входных очередей на один выходной порт. При этом пакеты, находящиеся в начале этих очередей, блокируют все остальные пакеты, находящиеся за ними. Для принятия ре- шения о том, какой пакет и из какой очереди может получить доступ к мат- рице, используется арбитр. Перед передачей пакета входные порты направ- ляют арбитру запросы на подключение к разделяемому ресурсу (в данном случае — пути матрицы) и получают от него право на подключение.

          Арбитр принимает решение о последовательности передачи пакетов из входных очередей на основе алгоритма диспетчеризации (scheduling algorithm).


           

          image


           

          Рис. 1.15. Архитектура на основе коммутационной матрицы с входными очередями


           

          image


           

          Рис. 1.16. Архитектура на основе коммутационной матрицы с выходными очередями


           

          В коммутаторах с выходными очередями (output-queued switch) пакеты буферизируются только на выходных портах после завершения процесса коммутации. В этом случае удается избежать проблемы, связанной с бло- кированием очередей HOL. Коммутаторы этой архитектуры используют арбитр для управления временем, за которое пакеты коммутируются че- рез матрицу. При правильно разработанном арбитре коммутаторы с вы- ходными очередями могут обеспечивать качество обслуживания (QoS).

          Следует отметить, что выходной буфер каждого порта требует боль- шего объема памяти по сравнению с входным буфером. Это позволяет из- бежать блокирования на выходе, когда все входные порты пытаются под- ключиться к одному выходу. Еще одним важным фактором является ско- рость выполнения операции «запись» коммутируемых пакетов в выходную очередь. По этим двум причинам архитектура с выходными очередями должна быть реализована на высокоскоростных элементах, что делает ее очень дорогостоящей.

          Коммутаторы с виртуальными очередями (Virtual Output Queues, VOQ) поз- воляют преодолеть проблему блокировки очередей HOL, не внося издержек по сравнению с коммутаторами с выходными очередями. В этой архитектуре память каждого входного порта организована в виде N (где N — количество выходных портов) логических очередей типа FIFO, по одной для каждого вы- ходного порта. Эти очереди используются для буферизации пакетов, поступа- ющих на входной порт и предназначенных для выходного порта j (j = 1,….N). В том случае, если существует несколько виртуальных очередей, мо-

          жет возникнуть проблема, связанная с одновременным доступом к ком-


           

          image


           

          Рис. 1.17. Архитектура на основе коммутационной матрицы с виртуальными очередями


           

          мутационной матрице и блокировкой очередей. Для решения этой про- блемы используется арбитр, который на основе алгоритма диспетчериза- ции выбирает пакеты из разных очередей.

          В коммутаторах с комбинированными входными и выходными очередя- ми (Combined Input and Output Queued, CIOQ) буферы памяти подключены как к входным, так и к выходным портам. Память каждого из входных портов организована в виде N виртуальных выходных очередей типа FIFO, по одной для каждого выходного порта. Каждый из N выходных портов также содержит очередь типа FIFO, которая используется для бу- феризации пакетов, ожидающих передачи через него. Система коммута- ции работает по принципу конвейера, каждая стадия которого называет- ся временным слотом (time slot). В течение временного слота 1, который называется стадией прибытия, пакеты поступают на входные порты. Для передачи внутри коммутатора все пакеты сегментируются на ячейки фик- сированного размера. Размер такой ячейки данных определяется произ- водителем коммутатора. Каждая ячейка снабжается меткой с указанием размера, номера входного порта и порта назначения и помещается в вир- туальную выходную очередь соответствующего выходного порта. Вход- ные порты отправляют «запросы на подключение к выходам» централи- зованному арбитру, а все выходные порты отправляют ему «информацию о перегрузке» (переполнении выходных буферов).

          Во временной слот 2, который называется стадией диспетчеризации, ячейки передаются из входных очередей в выходные. Последовательность передачи ячеек определяется централизованным арбитром с помощью алго-


           

          image


           

          Рис. 1.18. Архитектура на основе коммутационной матрицы с CIOQ


           

          ритма диспетчеризации. Для того чтобы выходные очереди быстро заполня- лись пакетами из входных очередей (с целью уменьшения задержки переда- чи пакетов и обеспечения QoS), алгоритм диспетчеризации должен обеспе- чивать циклическое высокоскоростное сопоставление входных и выходных очередей. Это сопоставление используется для настройки управляемых пе- реключателей матрицы перед передачей пакетов с входов на выходы.

          Во временной слот 3, который называется стадией передачи, осуще- ствляется сборка пакетов и их передача с выходных портов.


           

          1.8. Характеристики, влияющие

          на производительность коммутаторов

          Производительность коммутатора — характеристика, на которую се- тевые интеграторы и опытные администраторы обращают внимание в первую очередь при выборе устройства.

          Основными показателями коммутатора, характеризующими его производительность, являются:

          • скорость фильтрации кадров;

          • скорость продвижения кадров;

          • пропускная способность;

          • задержка передачи кадра.

            Кроме того, существует несколько характеристик коммутатора, ко- торые в наибольшей степени влияют на указанные характеристики про- изводительности. К ним относятся:

          • тип коммутации;

          • размер буфера (буферов) кадров;

          • производительность коммутирующей матрицы;

          • производительность процессора или процессоров;

          • размер таблицы коммутации.


 

      1. Скорость фильтрации и скорость продвижения кадров


         

        Скорость фильтрации и продвижения кадров — это две основные характеристики производительности коммутатора. Эти характеристики являются интегральными показателями и не зависят от того, каким обра- зом технически реализован коммутатор.

        Скорость фильтрации (filtering) определяет скорость, с которой ком- мутатор выполняет следующие этапы обработки кадров:

        • прием кадра в свой буфер;

        • отбрасывание кадра, в случае обнаружения в нем ошибки (не сов- падает контрольная сумма, или кадр меньше 64 байт или больше 1518 байт);

        • отбрасывание кадра для исключения петель в сети;

        • отбрасывание кадра в соответствии с настроенными на порте фильтрами;

        • просмотр таблицы коммутации с целью поиска порта назначения на

          основе МАС-адреса приемника кадра и отбрасывание кадра, если узел-отправитель и получатель кадра подключены к одному порту.

          Скорость фильтрации практически у всех коммутаторов является неблокирующей — коммутатор успевает отбрасывать кадры в темпе их поступления.

          Скорость продвижения (forwarding) определяет скорость, с которой коммутатор выполняет следующие этапы обработки кадров:

        • прием кадра в свой буфер;

        • просмотр таблицы коммутации с целью нахождения порта назна- чения на основе МАС-адреса получателя кадра;

        • передача кадра в сеть через найденный по таблице коммутации

          порт назначения.

          Как скорость фильтрации, так и скорость продвижения измеряется обычно в кадрах в секунду. Если в характеристиках коммутатора не уточня- ется, для какого протокола и для какого размера кадра приведены значения скоростей фильтрации и продвижения, то по умолчанию считается, что эти показатели даются для протокола Ethernet и кадров минимального размера, то есть кадров длиной 64 байт (без преамбулы) с полем данных в 46 байт. Применение в качестве основного показателя скорости обработки коммута- тором кадров минимальной длины объясняется тем, что такие кадры всегда

          создают для коммутатора наиболее тяжелый режим работы по сравнению с кадрами другого формата при равной пропускной способности передавае- мых пользовательских данных. Поэтому при проведении тестирования ком- мутатора режим передачи кадров минимальной длины используется как на- иболее сложный тест, который должен проверить способность коммутатора работать при наихудшем сочетании параметров трафика.

          Пропускная способность коммутатора (throughput) измеряется количе- ством пользовательских данных (в мегабитах или гигабитах в секунду), пе- реданных в единицу времени через его порты. Так как коммутатор работа- ет на канальном уровне, для него пользовательскими данными являются те данные, которые переносятся в поле данных кадров протоколов канально- го уровня — Ethernet, Fast Ethernet и т. д. Максимальное значение пропуск- ной способности коммутатора всегда достигается на кадрах максимальной длины, так как при этом доля накладных расходов на служебную информа- цию кадра гораздо ниже, чем для кадров минимальной длины, а время вы- полнения коммутатором операций по обработке кадра, приходящееся на один байт пользовательской информации, существенно меньше. Поэтому коммутатор может быть блокирующим для кадров минимальной длины, но при этом иметь очень хорошие показатели пропускной способности.

          Задержка передачи кадра (forward delay) измеряется как время, про- шедшее с момента прихода первого байта кадра на входной порт комму- татора до момента появления этого байта на его выходном порту. Задерж- ка складывается из времени, затрачиваемого на буферизацию байт кадра, а также времени, затрачиваемого на обработку кадра коммутатором, а именно на просмотр таблицы коммутации, принятие решения о продви- жении и получение доступа к среде выходного порта.

          Величина вносимой коммутатором задержки зависит от используе- мого в нем метода коммутации. Если коммутация осуществляется без бу- феризации, то задержки обычно невелики и составляют от 5 до 40 мкс, а при полной буферизации кадров — от 50 до 200 мкс (для кадров мини- мальной длины).


           

      2. Размер таблицы коммутации


         

        Максимальная емкость таблицы коммутации определяет предельное количество MAC-адресов, которыми может одновременно оперировать коммутатор. В таблице коммутации для каждого порта могут храниться как динамически изученные МАС-адреса, так и статические МАС- адреса, которые были созданы администратором сети.

        Значение максимального числа МАС-адресов, которое может хра- ниться в таблице коммутации, зависит от области применения коммута- тора. Коммутаторы D-Link для рабочих групп и малых офисов обычно

        поддерживают таблицу МАС-адресов емкостью от 1К до 8К. Коммутато- ры крупных рабочих групп поддерживают таблицу МАС-адресов емкос- тью от 8К до 16К, а коммутаторы магистралей сетей — как правило, от 16К до 64К адресов и более.

        Недостаточная емкость таблицы коммутации может служить причи- ной замедления работы коммутатора и засорения сети избыточным тра- фиком. Если таблица коммутации полностью заполнена, и порт встреча- ет новый МАС-адрес источника в поступившем кадре, коммутатор не сможет занести его в таблицу. В этом случае ответный кадр на этот МАС- адрес будет разослан через все порты (за исключением порта-источника), т.е. вызовет лавинную передачу.


         

      3. Объем буфера кадров


 

Для обеспечения временного хранения кадров в тех случаях, когда их невозможно немедленно передать на выходной порт, коммутаторы, в зависи- мости от реализованной архитектуры, оснащаются буферами на входных, выходных портах или общим буфером для всех портов. Размер буфера влия- ет как на задержку передачи кадра, так и на скорость потери пакетов. Поэто- му чем больше объем буферной памяти, тем менее вероятны потери кадров. Обычно коммутаторы, предназначенные для работы в ответствен-

ных частях сети, обладают буферной памятью в несколько десятков или сотен килобайт на порт. Общий для всех портов буфер обычно имеет объ- ем в несколько мегабайт.


 

    1. Управление потоком в полудуплексном и дуплексном режимах

      Механизм управления потоком (Flow Control) позволяет предотвратить потерю данных в случае переполнения буфера принимающего устройства. Для управления потоком в полудуплексном режиме обычно использу-

      ется метод обратного давления (Backpressure). Принимающее устройство (порт коммутатора) в случае переполнения его буфера отправляет искус- ственно созданный сигнал обнаружения коллизии или отправляет обрат- но устройству-отправителю его кадры.

      Для управления потоком в дуплексном режиме используется стандарт IEEE 802.3х. Согласно этому стандарту управление потоком осуществля- ется между МАС-уровнями с помощью специального кадра-паузы, кото- рый автоматически формируется МАС-уровнем принимающего устрой- ства. В случае переполнения буфера принимающее устройство отправля- ет кадр-паузу с указанием периода времени, на который требуется остановить передачу данных, либо на уникальный МАС-адрес соответст-

      вующей станции, либо на специальный групповой адрес 01-80-C2-00-00-01. Если переполнение буфера будет ликвидировано до истечения периода ожидания, то для восстановления передачи принимающая станция от- правляет второй кадр-паузу с нулевым значением времени ожидания.

      Общая схема управления потоком показана на рис. 1.19. Дуплексный режим работы и сопутствующее ему управление пото-

      ком являются дополнительными режимами для всех МАС-уровней Ethernet независимо от скорости передачи. Кадры-паузы идентифициру- ются как управляющие МАС-кадры по уникальным значениям полей

      «Длина/тип» (88-08) и «Код операции управления МАС» (00-01).

      Правильно сконфигурированная функция управления потоком на устройствах позволяет повысить общую производительность сети за счет уменьшения потери данных и повторных передач. Управление потоком


       

      image


       

      Рис. 1.19. Последовательность управления потоком IEEE 802.3x


       

      image


       

      Рис. 1.20. Формат кадра-паузы

      данных IEEE 802.3х большинства интерфейсных сетевых карт и встроен- ных сетевых карт включено по умолчанию. Коммутаторы D-Link имеют разные настройки функции IEEE 802.3х по умолчанию:

      • неуправляемые коммутаторы — управление потоком IEEE 802.3х

        включено;

      • коммутаторы серии Smart — управление потоком IEEE 802.3х от- ключено;

      • управляемые коммутаторы — управление потоком IEEE 802.3х

        отключено.

        Поэтому для корректной работы функции IEEE 802.3х на порте ком- мутатора должна быть активизирована функция управления потоком.


         

    2. Технологии коммутации и модель OSI


       

      Коммутаторы локальных сетей можно классифицировать в соответ- ствии с уровнями модели OSI, на которых они передают, фильтруют и коммутируют кадры. Различают коммутаторы уровня 2 (Layer 2 (L2) Switch) и коммутаторы уровня 3 (Layer 3 (L3) Switch).

      Коммутаторы уровня 2 анализируют входящие кадры, принимают решение об их дальнейшей передаче и передают их пунктам назначения на основе МАС-адресов канального уровня модели OSI. Основное пре- имущество коммутаторов уровня 2 — прозрачность для протоколов верх- него уровня. Т.к. коммутатор функционирует на 2-м уровне, ему нет необ- ходимости анализировать информацию верхних уровней модели OSI.

      Коммутация 2-го уровня — аппаратная. Она обладает высокой про- изводительностью. Передача кадра в коммутаторе может осуществляться специализированным контроллером ASIC. В основном коммутаторы 2-го уровня используются для сегментации сети и объединения рабочих групп.

      Несмотря на преимущества коммутации 2-го уровня, она все же име- ет некоторые ограничения. Наличие коммутаторов в сети не препятствует распространению широковещательных кадров по всем сегментам сети.

      Коммутаторы уровня 3 осуществляют коммутацию и фильтрацию на основе адресов канального (уровень 2) и сетевого (уровень 3) уровней мо- дели OSI. Коммутаторы 3-го уровня выполняют коммутацию в пределах рабочей группы и маршрутизацию между различными подсетями или виртуальными локальными сетями (VLAN).

      Коммутаторы уровня 3 осуществляют маршрутизацию пакетов ана- логично традиционным маршрутизаторам. Они поддерживают протоко- лы маршрутизации RIP (Routing Information Protocol), OSPF (Open Shortest Path First), BGP (Border Gateway Protocol) для обеспечения связи с другими коммутаторами уровня 3 или маршрутизаторами и построения

      таблиц маршрутизации, осуществляют маршрутизацию на основе поли- тик, управление многоадресным трафиком.

      Существует две разновидности маршрутизации: аппаратная (комму- тация 3 уровня) и программная. При аппаратной реализации пересылка па- кетов осуществляется посредством специализированных контроллеров ASIC. При программной реализации для пересылки пакетов устройство ис- пользует центральный процессор. Обычно в коммутаторах 3-го уровня и старших моделях маршрутизаторов маршрутизация пакетов аппаратная, что позволяет выполнять ее на скорости канала связи, а в маршрутизаторах общего назначения функция маршрутизации выполняется программно.


       

    3. Программное обеспечение коммутаторов


       

      Программное обеспечение коммутаторов D-Link предоставляет на- бор программных сервисов, предназначенных для выполнения различ- ных функций, обеспечивающих безопасность, отказоустойчивость сети, управление многоадресной рассылкой, качество обслуживания (QoS), а также развитые средства настройки и управления. Помимо этого, про- граммное обеспечение коммутаторов взаимодействует с приложениями D-Link D-View v.6, представляющими собой прикладные программы се- тевого управления. Эти управляющие программы поддерживаются всей линейкой управляемых коммутаторов D-Link.

      Системное программное обеспечение располагается во Flash-памя- ти коммутатора, размер которой, в зависимости от модели, может быть до 32 Мбайт. Компания D-Link предоставляет возможность бесплатного об- новления программного обеспечения коммутаторов по мере появления новых версий с обновленным функционалом.


       

    4. Общие принципы сетевого дизайна


       

      Грамотный сетевой проект основывается на многих принципах, ба- зовыми из которых являются:

      • изучение возможных точек отказа сети. Для того чтобы единичный

        отказ не мог изолировать какой-либо из сегментов сети, в ней может быть предусмотрена избыточность. Под избыточностью понимается резервирование жизненно важных компонентов сети и распределе- ние нагрузки. Так, в случае отказа в сети может существовать альтер- нативный или резервный путь к любому ее сегменту. Распределение нагрузки используется в том случае, если к пункту назначения име- ется два или более пути, которые могут использоваться в зависимо- сти от загруженности сети. Требуемый уровень избыточности сети меняется в зависимости от ее конкретной реализации;

      • определение типа трафика сети. Например, если в сети используют- ся клиент-серверные приложения, то поток вырабатываемого ими трафика является критичным для эффективного распределения ре- сурсов, таких как количество клиентов, использующих определен- ный сервер, или количество клиентских рабочих станций в сегменте;

      • анализ доступной полосы пропускания. Например, в сети не должно

        быть большого различия в доступной полосе пропускания между различными уровнями иерархической модели (описание иерархи- ческой модели сети находится в следующем разделе). Важно по- мнить, что иерархическая модель ссылается на концептуальные уровни, которые обеспечивают функциональность;

      • создание сети на базе иерархической или модульной модели. Иерар-

        хия позволяет объединить через межсетевые устройства отдель- ные сегменты, которые будут функционировать как единая сеть. Фактическая граница между уровнями не обязательно должна проходить по физическому каналу связи — ею может быть и вну- тренняя магистраль определенного устройства.

    5. Трехуровневая иерархическая модель сети


       

      Иерархическая модель определяет подход к проектированию сетей и включает в себя три логических уровня (рис. 1.21):

      • уровень доступа (access layer);

      • уровень распределения/агрегации (distribution layer);

      • уровень ядра (core layer).


         

        image


         

        Рис. 1.21. Трехуровневая модель сети

        Для каждого уровня определены свои функции. Три уровня не обяза- тельно предполагают наличие трех различных устройств. Если провести ана- логию с иерархической моделью OSI, то в ней отдельный протокол не всегда соответствует одному из семи уровней. Иногда протокол соответствует более чем одному уровню модели OSI, а иногда несколько протоколов реализованы в рамках одного уровня. Так и при построении иерархических сетей, на одном уровне может быть как несколько устройств, так и одно устройство, выполня- ющее все функции, определенные на двух соседних уровнях.

        Уровень ядра находится на самом верху иерархии и отвечает за на- дежную и быструю передачу больших объемов данных. Трафик, передава- емый через ядро, является общим для большинства пользователей. Сами пользовательские данные обрабатываются на уровне распределения, ко- торый, при необходимости, пересылает запросы к ядру.

        Для уровня ядра большое значение имеет его отказоустойчивость, поскольку сбой на этом уровне может привести к потере связности меж- ду уровнями распределения сети.

        Уровень распределения, который иногда называют уровнем рабочих групп, является связующим звеном между уровнями доступа и ядра. В за- висимости от способа реализации уровень распределения может выпол- нять следующие функции:

      • обеспечение маршрутизации, качества обслуживания и безопас-

        ности сети;

      • агрегирование каналов;

      • переход от одной технологии к другой (например, от 100Base-TX к 1000Base-T).

        Уровень доступа управляет доступом пользователей и рабочих групп к ресурсам объединенной сети. Основной задачей уровня доступа являет- ся создание точек входа/выхода пользователей в сеть. Уровень выполняет следующие функции:

      • управление доступом пользователей и политиками сети;

      • создание отдельных доменов коллизий (сегментация);

      • подключение рабочих групп к уровню распределения;

      • использование технологии коммутируемых локальных сетей.

        Лекция 2. Начальная настройка коммутатора


         

          1. Классификация коммутаторов по возможности управления

            Коммутаторы локальной сети можно классифицировать по возмож- ности управления. Существует три категории коммутаторов:

      • неуправляемые коммутаторы;

      • управляемые коммутаторы;

      • настраиваемые коммутаторы.

      Неуправляемые коммутаторы не поддерживают возможности управ- ления и обновления программного обеспечения.

      Управляемые коммутаторы являются сложными устройствами, позво- ляющими выполнять расширенный набор функций 2-го и 3-го уровня мо- дели OSI. Управление коммутаторами может осуществляться посредством Web-интерфейса, командной строки (CLI), протокола SNMP, Telnet и т.д.

      Настраиваемые коммутаторы занимают промежуточную позицию между ними. Они предоставляют пользователям возможность настраи- вать определенные параметры сети с помощью интуитивно понятных утилит управления, Web-интерфейса, упрощенного интерфейса команд- ной строки, протокола SNMP.


       

        1. Средства управления коммутаторами


           

          Большинство современных коммутаторов поддерживают различные функции управления и мониторинга. К ним относятся дружественный пользователю Web-интерфейс управления, интерфейс командной строки (Command Line Interface, CLI), Telnet, SNMP-управление. В коммутато- рах D-Link серии Smart также реализована поддержка начальной наст- ройки и обновления программного обеспечения через утилиту D-Link SmartConsole Utility.

          Web-интерфейс управления позволяет осуществлять настройку и мониторинг параметров коммутатора, используя любой компьютер, ос- нащенный стандартным Web-браузером. Браузер представляет собой уни- версальное средство доступа и может непосредственно подключаться к коммутатору по протоколу HTTP.

          Главная страница Web-интерфейса обеспечивает доступ к различ- ным настройкам коммутатора и отображает всю необходимую информа- цию об устройстве. Администратор может быстро посмотреть статус уст- ройства, статистику по производительности и т.д., а также произвести не- обходимые настройки.

          Доступ к интерфейсу командной строки коммутатора осуществляет- ся путем подключения к его консольному порту терминала или персо- нального компьютера с установленной программой эмуляции терминала. Это метод доступа наиболее удобен при первоначальном подключении к коммутатору, когда значение IP-адреса неизвестно или не установлено, в случае необходимости восстановления пароля и при выполнении расши- ренных настроек коммутатора. Также доступ к интерфейсу командной строки может быть получен по сети с помощью протокола Telnet.

          Пользователь может использовать для настройки коммутатора лю- бой удобный ему интерфейс управления, т.к. набор доступных через раз- ные интерфейсы управления функций одинаков для каждой конкретной модели.

          Еще один способ управления коммутатором – использование прото- кола SNMP (Simple Network Management Protocol). Протокол SNMP яв- ляется протоколом 7-го уровня модели OSI и разработан специально для управления и мониторинга сетевыми устройствами и приложениями свя- зи. Это выполняется путем обмена управляющей информацией между агентами, располагающимися на сетевых устройствах, и менеджерами, расположенными на станциях управления. Коммутаторами D-Link под- держивается протокол SNMP версий 1, 2с и 3.

          Также стоит отметить возможность обновления программного обес- печения коммутаторов (за исключением неуправляемых). Это обеспечи- вает более долгий срок эксплуатации устройств, т.к. позволяет добавлять новые функции либо устранять имеющиеся ошибки по мере выхода но- вых версий ПО, что существенно облегчает и удешевляет использование устройств. Компания D-Link распространяет новые версии ПО бесплат- но. Сюда же можно включить возможность сохранения настроек комму- татора на случай сбоев с последующим восстановлением или тиражирова- нием, что избавляет администратора от выполнения рутинной работы.


           

        2. Подключение к коммутатору


           

          Перед тем, как начать настройку коммутатора, необходимо устано- вить физическое соединение между ним и рабочей станцией. Существуют два типа кабельного соединения, используемых для управления коммута- тором. Первый тип – через консольный порт (если он имеется у устрой- ства), второй – через порт Ethernet (по протоколу Telnet или через Web- интерфейс). Консольный порт используется для первоначальной конфи- гурации коммутатора и обычно не требует настройки. Для того чтобы получить доступ к коммутатору через порт Ethernet, в браузере необходи- мо ввести IP-адрес по умолчанию его интерфейса управления (обычно он указан в руководстве пользователя).

          При подключении к медному (разъем RJ-45) порту Ethernet комму- татора Ethernet-совместимых серверов, маршрутизаторов или рабочих станций используется четырехпарный кабель UTP категории 5, 5е или 6 для Gigabit Ethernet. Поскольку коммутаторы D-Link поддерживают функцию автоматического определения полярности (MDI/MDIX), мож- но использовать любой тип кабеля (прямой или кроссовый).


           

          image


           

          Рис. 2.1. Подключение компьютера к коммутатору


           

          Для подключения к медному (разъем RJ-45) порту Ethernet другого коммутатора также можно использовать любой четырехпарный кабель UTP категории 5, 5е, 6, при условии, что порты коммутатора поддержи- вают автоматическое определение полярности. В противном случае надо использовать кроссовый кабель.


           

          image


           

          Рис. 2.2. Подключение коммутатора к обычному (не Uplink) порту коммутатора с помощью прямого или кроссового кабеля


           

          Правильность подключения поможет определить светодиодная ин- дикация порта. Если соответствующий индикатор горит, то связь между коммутатором и подключенным устройством установлена. Если индика- тор не горит, возможно, что не включено питание одного из устройств,

          или возникли проблемы с сетевым адаптером подключенного устройства, или имеются неполадки с кабелем. Если индикатор загорается и гаснет, возможно, есть проблемы с автоматическим определением скорости и ре- жимом работы (дуплекс/полудуплекс) (за подробным описанием сигна- лов индикаторов необходимо обратиться к руководству пользователя коммутатора конкретной модели).


           

          1. Подключение к консоли интерфейса командной строки коммутатора


             

            Управляемые коммутаторы D-Link оснащены консольным портом. В зависимости от модели коммутатора консольный порт может обладать разъемом DB-9 или RJ-45. С помощью консольного кабеля, входящего в комплект поставки, коммутатор подключается к последовательному пор- ту компьютера. Подключение по консоли иногда называют «Out-of- Band»-подключением. Это означает, что консоль использует отличную от обычного сетевого подключения схему (не использует полосу пропуска- ния портов Ethernet).

            После подключения к консольному порту коммутатора на персо- нальном компьютере необходимо запустить программу эмуляции терми- нала VT100 (например, программу HyperTerminal в Windows). В програм- ме следует установить следующие параметры подключения, которые, как правило, указаны в документации к устройству:


             

            Скорость (бит/с): 9600 или 115200*

            Биты данных: 8

            Четность: нет

            Стоповые биты: 1

            Управление потоком: нет


             

            При соединении коммутатора с консолью появится следующее окно (только для коммутаторов, имеющих поддержку интерфейса командной строки CLI) (рис. 2.3).

            Если окно не появилось, необходимо нажать Ctrl+r, чтобы его обно- вить.

            Все управляемые коммутаторы обладают защитой от доступа неавто- ризованных пользователей, поэтому после загрузки устройства появится приглашение ввести имя пользователя и пароль. По умолчанию имя пользователя и пароль не определены, поэтому необходимо дважды на-


             

            image

            • Этот параметр зависит от модели коммутатора и указывается в руководстве пользователя.

              image


               

              Рис. 2.3. Первоначальное окно консоли


               

              жать клавишу Enter. После этого в командной строке появится следующее приглашение, например DЕS-3528#. Теперь можно вводить команды.


               

        3. Начальная конфигурация коммутатора


           

          1. Вызов помощи по командам


             

            Существует большое количество команд CLI. Команды бывают сложные, многоуровневые, требующие ввода большого количества пара- метров, и простые, состоящие из одного параметра. Наберите в команд- ной строке «?» и нажмите клавишу «Enter», для того чтобы вывести на эк- ран список всех команд данного уровня.

            Используйте знак вопроса «?» также в том случае, если вы не знаете параметров команды. Например, если надо узнать возможные варианты синтаксиса команды show, введите в командной строке:


             

            DЕS-3528#show + пробел


             

            Далее можно ввести «?» или нажать кнопку Enter. На экране появят- ся все возможные завершения команды. Также можно воспользоваться кнопкой TAB, которая будет последовательно выводить на экран все воз- можные завершения команды.


             

            image


             

            Рис. 2.4. Результат выполнения команды «?»


             

            Внимание: при работе в CLI можно вводить сокращенный вариант команды. Например, если ввести команду «sh sw», то коммутатор ин- терпретирует эту команду как «show switch».


             

            image


             

            Рис. 2.5. Результат вызова помощи о возможных параметрах команды show

            Внимание: далее в книге примеры настроек приведены для коммута- торов серии DES-3528, если не указано иное.


             

          2. Базовая конфигурация коммутатора


             

            Шаг 1. Обеспечение защиты коммутатора от доступа неавторизован- ных пользователей.

            Самым первым шагом при создании конфигурации коммутатора явля- ется обеспечение его защиты от доступа неавторизованных пользователей. Самая простая форма безопасности – создание учетных записей для пользо- вателей с соответствующими правами. Создавая учетную запись для пользо- вателя, можно задать один из следующих уровней привилегий: Admin, Operator или User. Учетная запись Admin имеет наивысший уровень привилегий.

            Создать учетную запись пользователя можно с помощью следующих команд CLI:


             

            create account [admin | operator | user] <username 15>


             

            Далее появится приглашение для ввода пароля и подтверждения ввода:


             

            Enter a case-sensitive new password:

            Enter the new password again for confirmation:


             

            Максимальная длина имени пользователя и пароля – от 0 до 15 сим- волов. На коммутаторе можно создать до 10 учетных записей пользовате- лей. После успешного создания учетной записи на экране появится слово Success.


             

            Внимание: все команды чувствительны к регистру. Перед вводом ко- манды удостоверьтесь, что отключен Caps Lock или другие нежела- тельные функции, которые изменят регистр текста.


             

            Ниже приведен пример создания учетной записи с уровнем приви- легий «admin» и именем пользователя (Username) «dlink» на коммутаторе DES-3528:


             

            DES-3528#create account admin dlink Command: create account admin dlink Enter a case-sensitive new password:****

            Enter the new password again for confirmation:**** Success.

            Изменить пароль для пользователя с существующей учетной запи- сью, можно с помощью команды


             

            config account <username> {encrypt [plain_text | sha_1]

            <password>}


             

            Ниже приведен пример создания на коммутаторе DES-3528 нового пароля для учетной записи dlink:


             

            DES-3528#config account dlink Command: config account dlink Enter a old password:****

            Enter a case-sensitive new password:****

            Enter the new password again for confirmation:**** Success


             

            Проверить созданную учетную запись можно с помощью команды


             

            show account


             

            Ниже приведен пример выполнения этой команды на коммутаторе DES-3528.


             

            DES-3528#show account

            Command: show account


             

            Current Accounts:

            Username Access Level

            ———————- ——————

            dlink Admin


             

            Total Entries: 1


             

            Удалить учетную запись можно, выполнив команду


             

            delete account <username>


             

            Ниже приведен пример удаления учетной записи dlink на коммута- торе DES-3528.


             

            DES-3528#delete account dlink

            Command: delete account dlink

            Are you sure to delete the last administrator account?(y/n) Success.


             

            Шаг 2. Настройка IP-адреса.

            Для того чтобы коммутатором можно было удаленно управлять через Web-интерфейс или Telnet, ему необходимо назначить IP-адрес из адресного пространства сети, в которой планируется его использо- вать. IP-адрес может быть задан автоматически, с помощью протоко- лов DHCP или BOOTP, или статически, с помощью следующих команд CLI:


             

            config ipif System dhcp

            config ipif System ipaddress xxx.xxx.xxx.xxx/yyy.yyy.yyy.yyy


             

            где xxx.xxx.xxx.xxx – IP-адрес, yyy.yyy.yyy.yyy – маска подсети, System – имя управляющего интерфейса коммутатора.


             

            Ниже приведен пример использования команды присвоения IP- адреса управляющему интерфейсу на коммутаторе DES-3528:


             

            DES-3528#config ipif System ipaddress 192.168.100.240/255.255.255.0

            Command: config ipif System ipaddress 192.168.100.240/24 Success.


             

            Шаг 3. Настройка параметров портов коммутатора.

            По умолчанию порты всех коммутаторов D-Link поддерживают ав- томатическое определение скорости и режима работы (дуплекса). Но мо- жет возникнуть ситуация, в которой автоопределение будет действовать некорректно и потребуется ручная установка скорости и режима. В этом случае ручную настройку параметров необходимо выполнить на обоих концах канала связи.

            Для установки параметров портов, таких как скорость передачи, дуплексный/полудуплексный режим работы, активизация/отключение управления потоком, изучение МАС-адресов, автоматическое определе- ние полярности и т.д., на коммутаторах D-Link можно воспользоваться командой config ports.

            Ниже приведен пример настройки параметров портов на коммутато- ре DES-3528. Для портов 1, 2, 3 производятся следующие настройки: ско- рость передачи устанавливается равной 10 Мбит/с, активизируются дуп- лексный режим работы, изучение МАС-адресов, управление потоком, порты переводятся в состояние «включен».

            DES-3528#config ports 1-3 speed 10_full learning enable state enable flow_control enable

            Command: config ports 1-3 speed 10_full learning enable state enable flow_control enable

            Success


             

            Команда show ports <список портов> выведет на экран информацию о настройках портов коммутатора. Ниже показан результат выполнения команды show ports на коммутаторе DES-3528.


             

            DES-3528#show ports 1-3

            Command: show

            ports 1-3

             

            Port State/

            Settings

            Connection

            Address

            MDIX

            Speed/Duplex/

            Speed/Duplex/

            Learning

             

            FlowCtrl

            FlowCtrl

             

            ——— —————-

            ————————————————

            —————————————

            ——————

            1

            Enabled

            10M/Full/Enabled

            Link

            Down

            Enabled

             

            Auto

                   

            2

            Enabled

            10M/Full/Enabled

            Link

            Down

            Enabled

             

            Auto

                   

            3

            Enabled

            10M/Full/Enabled

            Link

            Down

            Enabled

             

            Auto

                   


             

            Шаг 4. Сохранение текущей конфигурации коммутатора в энергонеза- висимую память NVRAM. Для этого необходимо выполнить команду save.


             

            DES-3528#save Command: save

            Saving all settings to NV-RAM……….Done


             

            Внимание: активная конфигурация хранится в оперативной памяти SDRAM. При отключении питания конфигурация, хранимая в этой памяти, будет потеряна. Для того чтобы сохранить конфигурацию в энергонезависимой памяти NVRAM, необходимо выполнить коман- ду «save».


             

            Шаг 5. Перезагрузка коммутатора с помощью команды reboot.


             

            DES-3528#reboot Command: reboot

            Are you sure you want to proceed with the system reboot? (y/n) Please wait, the switch is rebooting...

            Сброс настроек коммутатора к заводским установкам выполняется с помощью команды


             

            reset {[config | system]} {force_agree}


             

            Если в команде не будет указано никаких ключевых слов, то все па- раметры, за исключением IP-адреса, учетных записей пользователей и Log-файла, будут возвращены к заводским параметрам по умолчанию. Коммутатор не сохранит настройки в энергонезависимой памяти NVRAM и не перегрузится.

            Если указано ключевое слово config, на коммутаторе восстановятся все заводские настройки по умолчанию, включая IP-адрес интерфейса управления, учетные записи пользователей и журнал регистрации. Ком- мутатор не сохранит настройки в энергонезависимой памяти NVRAM и не перезагрузится.

            Если указано ключевое слово system, на коммутаторе восстановятся все заводские настройки по умолчанию в полном объеме. Коммутатор со- хранит эти настройки в энергонезависимой памяти NVRAM и перезагру- зится.

            Параметр force_agree позволяет произвести безусловное выполнение команды reset. Не нужно вводить «Y/N». На коммутаторе восстановятся все заводские настройки по умолчанию, исключая IP-адрес, учетные за- писи пользователей и журнал регистрации.


             

            DES-3528#reset Command: reset Success


             

            Шаг 6. Просмотр конфигурации коммутатора.

            Получить информацию о коммутаторе (посмотреть его общую кон- фигурацию) можно с помощью команды show switch.


             

            DES-3528#show switch

            Command: show switch

            Device Type : DES-3528 Fast Ethernet Switch MAC Address : 00-1E-58-50-15-10

            IP Address : 192.168.100.241 (Manual)

            VLAN Name : default

            Subnet Mask : 255.255.255.0

            Default Gateway : 0.0.0.0

            Boot PROM Version : Build 1.00.B007 Firmware Version : Build 2.20.B028

            Hardware Version : A1

            Serial Number : P1UM186000004

            System Name :

            System Location :

            System Contact :

            Spanning Tree : Disabled

            GVRP : Disabled

            IGMP Snooping : Disabled

            MLD Snooping : Disabled

            VLAN Trunk : Disabled

            TELNET : Enabled (TCP 23)

            WEB : Enabled (TCP 80)

            SNMP : Disabled

            SSL Status : Disabled


             

            Команды «Show» являются удобным средством проверки состояния и параметров коммутатора, предоставляя информацию, требуемую для мониторинга и поиска неисправностей в работе коммутаторов. Ниже приведен список наиболее общих команд «Show».


             

            show config

            эта команда используется для отображения конфи- гурации, сохраненной в NV RAM или созданной

            в текущий момент

            show fdb

            эта команда используется для отображения текущей таблицы коммутации

            show switch

            эта команда используется для отображения общей информации о коммутаторе

            show device_status

            эта команда используется для отображения состоя- ния внутреннего и внешнего питания коммутатора

            show error ports

            эта команда используется для отображения ста- тистики об ошибках для заданного диапазона портов

            show packet ports

            эта команда используется для отображения статис- тики о переданных и полученных портом пакетах

            show firmware information

            эта команда используется для отображения информации о программном обеспечении коммута- тора (прошивке)

            show ipif

            эта команда используется для отображения инфор- мации о настройках IP-интерфейса на коммута- торе

            show log

            эта команда используется для просмотра Log-файла коммутатора

        4. Подключение к Web-интерфейсу управления коммутатора

          Коммутаторы D-Link позволяют выполнять настройки через Web- интерфейс управления, который состоит из дружественного пользова- тельского графического интерфейса (GUI), запускающегося на клиенте, и НТТР-сервера, запускающегося на коммутаторе.

          Web-интерфейс является альтернативой командной строки, обеспе- чивает графическое представление интерфейса управления коммутатора в режиме реального времени и предоставляет подробную информацию о состоянии портов, модулей, их типе и т.д.

          Связь между клиентом и сервером обычно осуществляется через TCP/IP соединение с номером порта НТТР равным 80.

          При первом подключении к НТТР-серверу на коммутаторе, необхо- димо выполнить следующие шаги:

          1. проверить, что IP-адрес компьютера, с которого осуществляется управление, принадлежит той же подсети, что и IP-адрес комму- татора, если в сети не настроена маршрутизация. На компьютере запустить Web-браузер, в адресной строке которого ввести IP- адрес интерфейса управления коммутатора по умолчанию (обычно он указывается в руководстве пользователя);

          2. в появившемся окне аутентификации поля User name и Password необходимо оставить пустыми и нажать кнопку OK. После этого появится окно Web-интерфейса управления коммутатора.

Если требуется изменить IP-адрес интерфейса управления на новый, то в случае использования управляемого коммутатора необходимо под- ключиться к его консольному порту и, используя интерфейс командной строки, выполнить следующую команду:


 

config ipif System ipaddress xxx.xxx.xxx.xxx/yyy.yyy.yyy.yyy ,

где xxx.xxx.xxx.xxx – IP-адрес, yyy.yyy.yyy.yyy – маска подсети Проверить правильность настройки IP-адреса коммутатора можно с

помощью команды: show ipif


 

DES-3528#show ipif

Command: show ipif


 

IP Interface : System

VLAN Name : default

Interface Admin State : Enabled

DHCPv6 Client State : Disabled

Link Status : LinkUp

IPv4 Address : 192.168.100.241/24 (Manual) Primary

Proxy ARP : Disabled (Local : Disabled)

IPv4 State : Enabled

IPv6 State : Enabled


 

Total Entries: 1


 

При использовании настраиваемых коммутаторов изменить IP- адрес можно с помощью программы SmartConsole Utility, установленной на рабочую станцию управления.

Условно пользовательский интерфейс можно разделить на 3 обла- сти, как показано на рис. 2.6. Область 1 содержит список папок, объе- диняющих семейство функций, предназначенных для выполнения той или иной задачи. Например, в папке Configuration находятся функции, предназначенные для выполнения базовой конфигурации коммутато- ра, включая настройку IP-адреса, учетных записей пользователей, кон- фигурации портов и т.д. В папке L2 Features находятся функции 2-го уровня, включая Jumbo Frame, 802.1Q VLAN, QinQ, 802.1v Protocol VLAN и т.д.


 


 

image


 

Рис. 2.6. Web-интерфейс управления

Если щелкнуть кнопкой мыши по одной из папок и выбрать необхо- димую функцию, то в области 3 Web-интерфейса появится окно, предназ- наченное для ввода и/или выбора данных.

Область 2 представляет собой графическое изображение передней панели коммутатора в режиме реального времени. Эта область отражает порты и модули расширения коммутатора и их состояние.


 

    1. Загрузка нового программного обеспечения на коммутатор

      В результате добавления нового функционала или исправления ошибок появляются новые версии программного обеспечения для ком- мутаторов D-Link, которые можно бесплатно загрузить с FTP-сервера компании ftp.dlink.ru.

      Новое программное обеспечение загружается на коммутатор с помо- щью протокола TFTP (Trivial File Transfer Protocol). В рабочую папку уста- новленного на рабочую станцию сервера TFTP необходимо поместить новое программное обеспечение. Сервер TFTP должен быть включен и находиться в той же IP-подсети, что и коммутатор, если в сети не настро- ена маршрутизация. В процессе обновления ПО нельзя выключать пита- ние коммутатора.

      Некоторые модели управляемых коммутаторов D-Link могут хра- нить в памяти две версии прошивки, что позволяет обеспечить работо- способность устройства в случае проблем с одной из них. Пользователи могут указать, какая из прошивок будет загружаться при старте коммута- тора.

      Для загрузки прошивки на коммутатор используется следующая команда (здесь приводится синтаксис коммутатора модели DES- 3528; синтаксис команды в других моделях коммутаторов может от- личаться):


       

      download firmware_fromTFTP <ipaddr> <path_filename 64> {image_id

      <int 1-2>}


       

      В качестве параметров команды надо указать IP-адрес сервера TFTP, путь к загружаемому файлу и его имя, например, C:\3528.had (можно не указывать полный путь к файлу, если он находится в рабочей директории TFTP-сервера), а также идентификатор загружаемой при старте прошив- ки. Например:


       

      DES-3528#download firmware_fromTFTP 10.48.74.121 3528.had image_id 1

      Посмотреть информацию о хранимых в памяти коммутатора про- шивках можно с помощью команды


       

      show firmware information


       

      DES-3528#show firmware information

      Command: show firmware information


       

      ID Version Size(B) Update Time From User

      -— ——————--- ————--— ——————————--------- ————------——— —-----——— 1 1.00-T003 2103164 2000/01/02 01:21:21 10.90.90.11(R) Anonymous

      *2 1.03.B008 2317149 days 00:00:00 Serial Port Unknown

      (Prom)


       

      ‘*’ means boot up firmware

      (R) means firmware update through Serial Port(RS232)

      (T) means firmware update through TELNET

      (S) means firmware update through SNMP

      (W) means firmware update through WEB (SSH) means firmware update through SSH

      (SIM) means firmware update through Single IP Management

      Для того чтобы изменить номер, загружаемой при старте коммутато- ра прошивки, необходимо выполнить команду:


       

      config firmware image_id <int 1-2> boot_up


       

      Удалить файл ПО коммутатора можно с помощью команды:


       

      config firmware image_id <int 1-2> delete


       

    2. Загрузка и резервное копирование конфигурации коммутатора

Управляемые коммутаторы позволяют осуществлять загрузку и ре- зервное копирование конфигурации на TFTP-сервер.

Так же, как и в случае загрузки ПО, сервер TFTP должен быть вклю- чен и находиться в той же IP-подсети, что и коммутатор, если в сети не настроена маршрутизация.

Для загрузки конфигурации на коммутатор используется следующая команда:


 

download cfg_fromTFTP <ipaddr> <path_filename 64>


 

В качестве параметров команды надо указать IP-адрес сервера TFTP, путь к загружаемому файлу конфигурации, его имя.

Например:


 

DES-3528#download cfg_fromTFTP 10.48.74.121 /cfg/setting.txt


 

Для сохранения текущей конфигурации на сервере TFTP, необходи- мо выполнить команду:


 

upload cfg_toTFTP <ipaddr> <path_filename 64>


 

Например:


 

DES-3528#upload cfg_toTFTP 10.48.74.121 /cfg/setting.txt

Лекция 3 Обзор функциональных возможностей коммутаторов

image


 

Лекция 3. Обзор функциональных возможностей коммутаторов


 

Так как коммутатор представляет собой довольно сложное вычисли- тельное устройство, имеющее несколько процессорных модулей, то, по- мимо выполнения основной функции передачи кадров с порта на порт по алгоритму моста, в нем реализованы дополнительные функции, полезные при построении современных, расширяемых, надежных и гибких сетей. Большинство современных коммутаторов, независимо от производителя, поддерживают множество дополнительных возможностей, отвечающих общепринятым стандартам. Среди них самые распространенные и наибо- лее используемые сегодня:

    • виртуальные локальные сети (VLAN);

    • семейство протоколов Spanning Tree – IEEE 802.1D, 802.1w, 802.1s;

    • статическое и динамическое по протоколу IEEE 802.3ad агрегиро- вание каналов Ethernet;

    • сегментация трафика;

    • обеспечение качества обслуживания QoS;

    • функции обеспечения безопасности, включая аутентификацию 802.1Х, функции Port Security, IP-MAC-Port Binding и т.д.;

    • протоколы поддержки Multicast-вещания;

    • SNMP-управление и др.

      Лекция 4. Виртуальные локальные сети (VLAN)


       

      Поскольку коммутатор Ethernet является устройством канального уровня, то в соответствии с логикой работы он будет рассылать широкове- щательные кадры через все порты. Хотя трафик с конкретными адресами (соединения «точка – точка») изолирован парой портов, широковещатель- ные кадры передаются во всю сеть (на каждый порт). Широковещательные кадры – это кадры, передаваемые на все узлы сети. Они необходимы для ра- боты многих сетевых протоколов, таких как ARP, BOOTP или DHCP. С их помощью рабочая станция оповещает другие компьютеры о своем появле- нии в сети. Так же рассылка широковещательных кадров может возникать из-за некорректно работающего сетевого адаптера. Широковещательные кадры могут привести к нерациональному использованию полосы пропус- кания, особенно в крупных сетях. Для того чтобы этого не происходило, важно ограничить область распространения широковещательного трафика (эта область называется широковещательным доменом) – организовать не- большие широковещательные домены, или виртуальные локальные сети (Virtual LAN, VLAN).

      Виртуальной локальной сетью называется логическая группа узлов се- ти, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети. Это означает, что пе- редача кадров между разными виртуальными сетями на основании MAC- адреса невозможна независимо от типа адреса – уникального, группового или широковещательного. В то же время внутри виртуальной сети кадры передаются по технологии коммутации, то есть только на тот порт, кото- рый связан с адресом назначения кадра. Таким образом с помощью вирту- альных сетей решается проблема распространения широковещательных кадров и вызываемых ими следствий, которые могут развиться в широко- вещательные штормы и существенно снизить производительность сети.

      VLAN обладают следующими преимуществами:

    • гибкость внедрения. VLAN являются эффективным способом группировки сетевых пользователей в виртуальные рабочие груп- пы, несмотря на их физическое размещение в сети;

    • VLAN обеспечивают возможность контроля широковещательных

      сообщений, что увеличивает полосу пропускания, доступную для пользователя;

    • VLAN позволяют повысить безопасность сети, определив с помо-

      щью фильтров, настроенных на коммутаторе или маршрутизато- ре, политику взаимодействия пользователей из разных виртуаль- ных сетей.

      Рассмотрим пример, показывающий эффективность использования логической сегментации сетей с помощью технологии VLAN при реше-

      нии типовой задачи организации доступа в Интернет сотрудникам офиса. При этом трафик каждого отдела должен быть изолирован.

      Предположим, что в офисе имеется несколько комнат, в каждой из которых располагается небольшое количество сотрудников. Каждая ком- ната представляет собой отдельную рабочую группу.

      При стандартном подходе к решению задачи с помощью физической сегментации трафика каждого отдела потребовалось бы в каждую комна- ту устанавливать отдельный коммутатор, который бы подключался к мар- шрутизатору, предоставляющему доступ в Интернет. При этом маршрути- затор должен обладать достаточным количеством портов, обеспечиваю- щим возможность подключения всех физических сегментов (комнат) сети. Данное решение плохо масштабируемо и является дорогостоящим, т.к. при увеличении количества отделов увеличивается количество необ- ходимых коммутаторов, интерфейсов маршрутизатора и магистральных кабелей.


       

      image


       

      Рис. 4.1. Физическая сегментация сети


       

      При использовании виртуальных локальных сетей уже не требуется подключать пользователей одного отдела к отдельному коммутатору, что позволяет сократить количество используемых устройств и магистраль-

      ных кабелей. Коммутатор, программное обеспечение которого поддер- живает функцию виртуальных локальных сетей, позволяет выполнять ло- гическую сегментацию сети путем соответствующей программной наст- ройки. Это дает возможность подключать пользователей, находящихся в разных сегментах, к одному коммутатору, а также сокращает количество необходимых физических интерфейсов на маршрутизаторе.


       

      image


       

      Рис. 4.2. Логическая группировка сетевых пользователей в VLAN


       

        1. Типы VLAN


           

          В коммутаторах могут быть реализованы следующие типы VLAN:

    • на основе портов;

    • на основе стандарта IEEE 802.1Q;

    • на основе стандарта IEEE 802.1ad (Q-in-Q VLAN);

    • на основе портов и протоколов IEEE 802.1v;

    • на основе MAC-адресов;

    • асимметричные.

Также для сегментирования сети на канальном уровне модели OSI в коммутаторах могут использоваться другие функции, например функция Traffic Segmentation.

    1. VLAN на основе портов


       

      При использовании VLAN на основе портов (Port-based VLAN) каж- дый порт назначается в определенную VLAN, независимо от того, какой пользователь или компьютер подключен к этому порту. Это означает, что все пользователи, подключенные к этому порту, будут членами одной VLAN. Конфигурация портов статическая и может быть изменена только вручную.


       

      image

      Рис. 4.3. VLAN на основе портов


       

      Основные характеристики VLAN на основе портов:

      1. применяются в пределах одного коммутатора. Если необходимо организовать несколько рабочих групп в пределах небольшой се- ти на основе одного коммутатора, например, необходимо разнес- ти технический отдел и отдел продаж, то решение VLAN на базе портов оптимально подходит для данной задачи;

      2. простота настройки. Создание виртуальных сетей на основе груп- пирования портов не требует от администратора большого объема ручной работы – достаточно всем портам, помещаемым в одну VLAN, присвоить одинаковый идентификатор VLAN (VLAN ID);

      3. возможность изменения логической топологии сети без физичес- кого перемещения станций. Достаточно всего лишь изменить на- стройки порта с одной VLAN (например, VLAN технического от- дела) на другую (VLAN отдела продаж), и рабочая станция сразу же получает возможность совместно использовать ресурсы с чле- нами новой VLAN. Таким образом, VLAN обеспечивают гибкость при перемещениях, изменениях и наращивании сети;

      4. каждый порт может входить только в одну VLAN. Для объедине- ния виртуальных подсетей как внутри одного коммутатора, так и

      между двумя коммутаторами, нужно использовать сетевой уро- вень OSI-модели. Один из портов каждой VLAN подключается к интерфейсу маршрутизатора, который создает таблицу маршрути- зации для пересылки кадров из одной подсети (VLAN) в другую (IP-адреса подсетей должны быть разными).


       

      image


       

      Рис. 4.4. Объединение VLAN с помощью маршрутизирующего устройства


       

      Недостатком такого решения является то, что один порт каждой VLAN необходимо подключать к маршрутизатору. Это приводит к допол- нительным расходам на покупку кабелей и маршрутизаторов, а также порты коммутатора используются очень расточительно. Решить данную проблему можно двумя способами: использовать коммутаторы, которые на основе фирменного решения позволяют включать порт в несколько VLAN, или использовать коммутаторы уровня 3.


       

    2. VLAN на основе стандарта IEEE 802.1Q


 

Построение VLAN на основе портов основано только на добавле- нии дополнительной информации к адресным таблицам коммутатора и не использует возможности встраивания информации о принадлежно- сти к виртуальной сети в передаваемый кадр. Виртуальные локальные

сети, построенные на основе стандарта IEEE 802.1Q, используют до- полнительные поля кадра для хранения информации о принадлежнос- ти к VLAN при его перемещении по сети. С точки зрения удобства и гибкости настроек, VLAN стандарта IEEE 802.1Q является лучшим ре- шением по сравнению с VLAN на основе портов. Его основные преиму- щества:

  1. гибкость и удобство в настройке и изменении – можно создавать необходимые комбинации VLAN как в пределах одного коммута- тора, так и во всей сети, построенной на коммутаторах с поддерж- кой стандарта IEEE 802.1Q. Способность добавления тегов позво- ляет информации о VLAN распространяться через множество 802.1Q-совместимых коммутаторов по одному физическому со- единению (магистральному каналу, Trunk Link);

  2. позволяет активизировать алгоритм связующего дерева (Spanning Tree) на всех портах и работать в обычном режиме. Протокол Spanning Tree оказывается весьма полезным для при- менения в крупных сетях, построенных на нескольких коммута- торах, и позволяет коммутаторам автоматически определять древовидную конфигурацию связей в сети при произвольном соединении портов между собой. Для нормальной работы ком- мутатора требуется отсутствие замкнутых маршрутов в сети. Эти маршруты могут создаваться администратором специально для образования резервных связей или же возникать случайным об- разом, что вполне возможно, если сеть имеет многочисленные связи, а кабельная система плохо структурирована или доку- ментирована. С помощью протокола Spanning Tree коммутато- ры после построения схемы сети блокируют избыточные марш- руты. Таким образом, автоматически предотвращается возник- новение петель в сети;

  3. способность VLAN IEEE 802.1Q добавлять и извлекать теги из за- головков кадров позволяет использовать в сети коммутаторы и се- тевые устройства, которые не поддерживают стандарт IEEE 802.1Q;

  4. устройства разных производителей, поддерживающие стандарт, могут работать вместе, независимо от какого-либо фирменного решения;

  5. чтобы связать подсети на сетевом уровне, необходим маршрутиза- тор или коммутатор L3. Однако для более простых случаев, напри- мер, для организации доступа к серверу из различных VLAN, мар- шрутизатор не потребуется. Нужно включить порт коммутатора, к которому подключен сервер, во все подсети, а сетевой адаптер сервера должен поддерживать стандарт IEEE 802.1Q.


 

image


 

Рис. 4.5. Передача кадров разных VLAN по магистральному каналу связи


 

      1. Некоторые определения IEEE 802.1Q


         

        • Tagging («Маркировка кадра») – процесс добавления информации о принадлежности к 802.1Q VLAN в заголовок кадра.

        • Untagging («Извлечение тега из кадра») – процесс извлечения ин-

          формации о принадлежности к 802.1Q VLAN из заголовка кадра.

        • VLAN ID (VID) – идентификатор VLAN.

        • Port VLAN ID (PVID) – идентификатор порта VLAN.

        • Ingress port («Входной порт») – порт коммутатора, на который по- ступают кадры, и при этом принимается решение о принадлежно- сти к VLAN.

        • Egress port («Выходной порт») – порт коммутатора, с которого ка-

          дры передаются на другие сетевые устройства, коммутаторы или рабочие станции, и, соответственно, на нем должно приниматься решение о маркировке.

          Любой порт коммутатора может быть настроен как tagged (маркиро- ванный) или как untagged (немаркированный). Функция untagging позво- ляет работать с теми сетевыми устройствами виртуальной сети, которые не понимают тегов в заголовке кадра Ethernet. Функция tagging позволя- ет настраивать VLAN между несколькими коммутаторами, поддерживаю- щими стандарт IEEE 802.1Q.


           

          image


           

          Рис. 4.6. Маркированные и немаркированные порты VLAN


           

      2. Тег VLAN IEEE 802.1Q


         

        Стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети. На рис. 4.7 изображен формат тега 802.1Q VLAN. К кадру Ethernet добавлены 32 бита (4 байта), которые увеличивают его размер до 1522 байт. Первые 2 байта (поле Tag Protocol Identifier, TPID) с фиксированным значением 0х8100 определяют, что кадр содержит тег протокола 802.1Q. Остальные 2 байта со- держат следующую информацию:

          • Priority («Приоритет») – 3 бита поля приоритета передачи кодиру- ют до восьми уровней приоритета (от 0 до 7, где 7 – наивысший приоритет), которые используются в стандарте 802.1р;

          • Canonical Format Indicator (CFI) – 1 бит индикатора каноническо-

            го формата зарезервирован для обозначения кадров сетей других типов (Token Ring, FDDI), передаваемых по магистрали Ethernet;

          • VID (VLAN ID) – 12-битный идентификатор VLAN определяет,

            какой VLAN принадлежит трафик. Поскольку под поле VID отве- дено 12 бит, то можно задать 4094 уникальных VLAN (VID 0 и VID 4095 зарезервированы).


             

            image


             

            image


             

            Рис. 4.7. Маркированный кадр Ethernet


             

      3. Port VLAN ID


         

        Каждый физический порт коммутатора имеет параметр, называемый идентификатор порта VLAN (PVID). Этот параметр используется для того, чтобы определить, в какую VLAN коммутатор направит входящий немарки- рованный кадр с подключенного к порту сегмента, когда кадр нужно пере- дать на другой порт (внутри коммутатора в заголовки всех немаркированных кадров добавляется идентификатор VID, равный PVID порта, на который они были приняты). Этот механизм позволяет одновременно существовать в од- ной сети устройствам с поддержкой и без поддержки стандарта IEEE 802.1Q. Коммутаторы, поддерживающие протокол IEEE 802.1Q, должны хранить таблицу, связывающую идентификаторы портов PVID с иденти- фикаторами VID сети. При этом каждый порт такого коммутатора может иметь только один PVID и столько идентификаторов VID, сколько под-

        держивает данная модель коммутатора.

        Если на коммутаторе не настроены VLAN, то все порты по умолча- нию входят в одну VLAN с PVID = 1.


         

      4. Продвижение кадров VLAN IEEE 802.1Q


         

        Решение о продвижении кадра внутри виртуальной локальной сети принимается на основе трех следующих видов правил.

          • Правила входящего трафика (ingress rules) – классификация полу-

            чаемых кадров относительно принадлежности к VLAN.

          • Правила продвижения между портами (forwarding rules) – приня- тие решения о продвижении или отбрасывании кадра.

          • Правила исходящего трафика (egress rules) – принятие решения о сохранении или удалении в заголовке кадра тега 802.1Q перед его передачей.


             

            Правила входящего трафика выполняют классификацию каждого получаемого кадра относительно принадлежности к определенной VLAN, а также могут служить для принятия решения о приеме кадра для дальнейшей обработки или его отбрасывании на основе формата приня- того кадра.

            Классификация кадра по принадлежности VLAN осуществляется следующим образом:

            а) если кадр не содержит информацию о VLAN (немаркированный кадр), то в его заголовок коммутатор добавляет тег с идентифика- тором VID, равным идентификатору PVID порта, через который этот кадр был принят;

            б) если кадр содержит информацию о VLAN (маркированный кадр), то его принадлежность к конкретной VLAN определяется по иденти- фикатору VID в заголовке кадра. Значение тега в нем не изменяется. Активизировав функцию проверки формата кадра на входе, админи- стратор сети может указать, кадры каких форматов будут приниматься коммутатором для дальнейшей обработки. Управляемые коммутаторы D-Link позволяют настраивать прием портами либо только маркирован- ных кадров (tagged_only), либо обоих типов кадров – маркированных и

            немаркированных (admit_all).


             

            Внимание: внутри коммутатора все кадры являются маркированными.


             

            Правила продвижения между портами осуществляют принятие реше- ния об отбрасывании или передаче кадра на порт назначения на основе его информации о принадлежности конкретной VLAN и МАС-адреса узла-приемника.


             

            image


             

            Рис. 4.8. Правила входящего трафика


             

            Если входящий кадр маркированный, то коммутатор определяет, яв- ляется ли входной порт членом той же VLAN, путем сравнения иденти- фикатора VID в заголовке кадра и набора идентификаторов VID, ассоци- ированных с портом, включая его PVID. Если нет, то кадр отбрасывается. Этот процесс называется ingress filtering (входной фильтрацией) и исполь- зуется для сохранения пропускной способности внутри коммутатора пу- тем отбрасывания кадров, не принадлежащих той же VLAN, что и вход- ной порт, на стадии их приема.

            Если кадр немаркированный, входная фильтрация не выполняется. Далее определяется, является ли порт назначения членом той же VLAN. Если нет, то кадр отбрасывается. Если же выходной порт входит в данную VLAN, то коммутатор передает кадр в подключенный к нему сег-

            мент сети.


             


             

            image


             

            Рис. 4.9. Правила исходящего трафика

            Правила исходящего трафика определяют формат исходящего кад- ра – маркированный или немаркированный. Если выходной порт являет- ся немаркированным (untagged), то он будет извлекать тег 802.1Q из заго- ловков всех выходящих через него маркированных кадров. Если выход- ной порт настроен как маркированный (tagged), то он будет сохранять тег 802.1Q в заголовках всех выходящих через него маркированных кадров.

            На рис. 4.10–4.13 приведен пример передачи немаркированного и маркированного кадра через маркированный и немаркированный порты коммутатора.


             

            image


             

            Рис. 4.10. Входящий немаркированный кадр


             

            image


             

            image

            image

            image

            Рис. 4.11. Немаркированный кадр, передаваемый через маркированный и немаркированный порты


             

            image


             

            Рис. 4.12. Входящий маркированный кадр


             


             

            image


             

            image


             

            Рис. 4.13. Маркированный кадр, передаваемый через маркированный и немаркированный порты


             

      5. Пример настройки VLAN IEEE 802.1Q


 

На рис. 4.14 показана схема сети, состоящая из двух групп VLAN. В качестве примера передачи данных между устройствами одной VLAN,

построенной на нескольких коммутаторах, рассмотрим пересылку кадра с порта 5 коммутатора 1 на порт 6 коммутатора 3.

    • Порт 5 коммутатора 1 является немаркированным портом VLAN v2

      (PVID=2). Поэтому, когда любой немаркированный кадр посту- пает на порт 5, коммутатор снабжает его тегом 802.1Q со значени- ем VID, равным 2.

    • Далее коммутатор 1 проверяет в своей таблице коммутации, через

      какой порт необходимо передать кадр и принадлежит ли этот порт VLAN v2. Кадр может быть передан через порт 1, т.к. он является маркированным членом VLAN v2. После передачи кадра через порт 1 тег 802.1Q в нем будет сохранен.

    • После этого маркированный кадр поступит на порт 1 коммута-

      тора 2. Прежде чем передать кадр дальше, порт 1 проверит, яв- ляется ли он сам членом VLAN v2. Поскольку порт 1 коммута- тора 2 является маркированным членом VLAN v2, он примет кадр и передаст его на порт 2, согласно таблице коммутации. После передачи кадра через порт 2 коммутатора 2 тег 802.1Q в нем будет сохранен, т.к. порт 2 является маркированным пор- том VLAN v2.

    • Порт 1 коммутатора 3 примет поступивший кадр. После провер-

      ки на принадлежность к VLAN порт 1 передаст кадр на порт 6, найденный обычным образом в таблице коммутации коммутато- ра 3. Порт 6 является немаркированным портом VLAN v2, поэто- му при выходе кадра через этот порт тег 802.1Q из него будет уда- лен.


       

      image


       

      Рис. 4.14. Схема сети VLAN

      Ниже приведен пример настройки коммутаторов, позволяющий ре- ализовать заданную схему сети VLAN.


       

      Настройка коммутатора 1

    • Удалить соответствующие порты из VLAN по умолчанию (default VLAN) и создать новые VLAN.


       

      config vlan default delete 1-12 create vlan v2 tag 2

      create vlan v3 tag 3


       

    • В созданные VLAN добавить порты, для которых необходимо указать, какие из них являются маркированными и немаркиро- ванными.


       

      config vlan v2 add untagged 5-8 config vlan v2 add tagged 1-2 config vlan v3 add untagged 9-12 config vlan v3 add tagged 1-2


       

      Настройка коммутатора 2


       

      config vlan default delete 1-2 create vlan v2 tag 2

      create vlan v3 tag 3

      config vlan v2 add tagged 1-2 config vlan v3 add tagged 1-2


       

      Настройка коммутаторов 3


       

      config vlan default delete 1-12 create vlan v2 tag 2

      create vlan v3 tag 3

      config vlan v2 add untagged 5-8 config vlan v2 add tagged 1 config vlan v3 add untagged 9-12 config vlan v3 add tagged 1


       

      Внимание: заводские установки по умолчанию назначают все порты коммутатора в default VLAN с VID = 1. Перед созданием новой VLAN необходимо удалить из default VLAN все порты, которые требуется сде- лать немаркированными членами новой VLAN.

        1. Статические и динамические VLAN


           

          Для корректной работы виртуальной локальной сети требуется, что- бы в базе данных фильтрации (Filtering Database) содержалась информа- ция о членстве в VLAN. Эта информация необходима для принятия пра- вильного решения (переслать или отбросить) при передаче кадров между портами коммутатора.

          Существуют два основных способа, позволяющие устанавливать членство в VLAN:

    • статические VLAN;

    • динамические VLAN.

      В статических VLAN установление членства осуществляется вручную администратором сети. При изменении топологии сети или перемещении пользователя на другое рабочее место администратору требуется вручную выполнять привязку порт-VLAN для каждого нового соединения.

      Членство в динамических VLAN может устанавливаться динамичес- ки на магистральных интерфейсах коммутаторов на основе протокола GVRP (GARP VLAN Registration Protocol). Протокол GARP (Generic Attribute Registration Protocol) используется для регистрации и отмены ре- гистрации атрибутов, таких как VID.

      Статические записи о регистрации в VLAN (Static VLAN Registration Entries) используются для представления информации о статических VLAN в базе данных фильтрации. Эти записи позволяют задавать точные настройки для каждого порта VLAN: идентификатор VLAN, тип порта (маркированный или немаркированный), один из управляющих элементов протокола GVRP:

    • Fixed (порт всегда является членом данной VLAN);

    • Forbidden (порту запрещено регистрироваться как члену данной VLAN);

    • Normal (обычная регистрация с помощью протокола GVRP).

      Управляющие элементы GVRP используются для активизации рабо- ты протокола на портах коммутатора, а также для указания того, может ли данная VLAN быть зарегистрирована на порте.

      Динамические записи о регистрации в VLAN (Dynamic VLAN Registration Entries) используются для представления в базе данных фильт- рации информации о портах, членство в VLAN которых установлено ди- намически. Эти записи создаются, обновляются и удаляются в процессе работы протокола GVRP.


       

        1. Протокол GVRP


           

          Протокол GVRP определяет способ, посредством которого коммута- торы обмениваются информацией о сети VLAN, чтобы автоматически за-

          регистрировать членов VLAN на портах во всей сети. Он позволяет дина- мически создавать и удалять VLAN стандарта IEEE 802.1Q на магистраль- ных портах, автоматически регистрировать и исключать атрибуты VLAN (под регистрацией VLAN подразумевается включение порта в VLAN, под исключением – удаление порта из VLAN).

          Протокол GVRP использует сообщения GVRP BPDU (GVRP Bridge Protocol Data Units), рассылаемые на многоадресный МАС-адрес 01-80- C2-00-00-21 для оповещения устройств-подписчиков о различных собы- тиях. Оповещения (advertisement) могут содержать информацию о выпол- нении следующих действий:

    • Join message – регистрация порта в VLAN.


       

      JoinEmpty: VLAN на локальном подписчике не настроена;

      JoinIn: VLAN на локальном подписчике зарегистрирована;


       

    • Leave message – удаление VLAN с конкретного порта.


       

      LeaveEmpty: VLAN на локальном подписчике не настроена;

      LeaveIn: VLAN на локальном подписчике удалена;


       

    • Leave message – удаление всех, зарегистрированных на порте VLAN. Это сообщение отправляется после того, как истечет вре- мя, заданное таймером LeaveAll Timer;

    • Empty message – требование повторного динамического оповеще-

      ния и статической настройки VLAN.

          1. Таймеры GVRP


             

    • Join Timer – время в миллисекундах (100-100000), через которое отправляются сообщения JoinIn или JoinEmpty. Определяет про- межуток времени между моментом получения коммутатором ин- формации о вступлении в VLAN и фактическим моментом вступ- ления в VLAN. По умолчанию установлено значение 200 миллисе- кунд.

    • Leave Timer – когда коммутатор получает сообщение об исключе-

      нии порта из VLAN (Leave message) от другого подписчика GVRP, он ожидает заданный период времени (от 100 до 100000 миллисе- кунд), определяемый таймером Leave Timer, чтобы убедиться, что информация о данной VLAN больше не существует в сети. Напри- мер, когда коммутатор получает сообщение Leave, он не удаляет мгновенно информацию о соответствующей VLAN, а запускает Leave Timer и ждет, когда его время истечет. Если за это время не

      будет получено сообщение JoinIn с информацией об удаляемой VLAN, то она будет коммутатором удалена. Обычно значение тай- мера Leave Timer устанавливают в два раза больше значения тай- мера Join Timer. По умолчанию значение таймера равно 600 мил- лисекунд.

    • LeaveAll Timer – интервал времени в миллисекундах (100-100000),

      через который отправляется сообщение LeaveAll. Когда коммута- тор – подписчик GVRP получает это сообщение, он перезапуска- ет все таймеры, включая LeaveAll Timer. Обычно значение тайме- ра LeaveAll устанавливают в два раза больше значения таймера Leave Timer. По умолчанию значение таймера равно 10000 милли- секунд.

      На рис. 4.15 показан процесс распространения информации о VLAN по сети с использованием протокола GVRP. На коммутаторе 1 созданы статические виртуальные сети VLAN v10, v20 и v30. Порт 25 является мар- кированным членом всех VLAN. Коммутатор 1 отправляет оповещение о VLAN v30 через порт 25 коммутатору 2 (сообщение JoinEmpty). Коммута- тор 2 получает это оповещение, динамически создает VLAN v30 и включа- ет в нее порт 25. Порт 26 коммутатора 2 отправляет оповещение о VLAN v30 коммутатору 3 (сообщение JoinEmpty), но сам не становится членом этой VLAN.

      Коммутатор 3 получает оповещение, динамически создает VLAN v30 и включает в нее порт 26. Далее коммутатор 3 изменяет состояние VLAN v30 с динамического на статическое и отправляет через порт 26 сообще- ние JoinIn о регистрации виртуальной сети. Коммутатор 2 получает это


       

      image


       

      Рис. 4.15. Процесс распространения информации о регистрации VLAN по сети

      оповещение и регистрирует порт 26 в VLAN v30, которая уже была созда- на ранее. Сообщение о регистрации VLAN v30 отправляется через порт 25 коммутатору 1. Получив это сообщение, коммутатор 1 перестает рассы- лать оповещения о VLAN v30.


       

      Внимание: порт с поддержкой протокола GVRP подключается к сети VLAN только в том случае, если он непосредственно получает опо- вещение о ней. Если порт с поддержкой протокола GVPR передает оповещение, полученное от другого порта коммутатора, он не под- ключается к этой сети VLAN.


       

      Рис. 4.16 показывает процесс распространения информации об уда- лении VLAN по сети. На коммутаторе 1 удалена статическая VLAN v30, и он отправляет сообщение LeaveIn через порт 25 коммутатору 2. Когда коммутатор 2 получит оповещение об удалении VLAN v30, он исключит порт 25 из этой VLAN и отправит сообщение LeaveIn коммутатору 3 через порт 26. Коммутатор 3 получит оповещение об удалении VLAN v30, но удалит ее не сразу, а по истечении периода, установленного таймером Leave Timer. После удаления VLAN v30 коммутатор 3 отправит через порт 26 сообщение LeaveEmpty. После получения этого сообщения коммутатор 2 исключит порт 26 из VLAN v30 и удалит ее по истечении периода, уста- новленного таймером Leave Timer. Через порт 25 будет передано сообще- ние LeaveEmpty коммутатору 1. Коммутатор 1 исключит свой порт 25 из динамической VLAN v30.


       

      image


       

      Рис. 4.16. Процесс распространения информации об удалении VLAN по сети

          1. Пример настройки протокола GVRP


       

      В примере, показанном на рис. 4.17, требуется настроить возмож- ность динамического распространения по сети информации о VLAN v30 с использованием протокола GVRP. Ниже приведены настройки комму- таторов.


       


       

      image

      image image image


       

      image image image


       

      Рис. 4.17. Схема сети VLAN


       

      Настройка коммутаторов 1, 3

    • Удалить соответствующие порты из VLAN по умолчанию (default VLAN) и создать новые VLAN.


       

      config vlan default delete 1-24 create vlan v10 tag 10

      create vlan v20 tag 20 create vlan v30 tag 30


       

    • В созданные VLAN добавить порты, для которых необходимо указать, какие из них являются маркированными и немаркиро- ванными.

      config vlan v10 add untagged 1-8 config vlan v20 add untagged 9-16 config vlan v30 add untagged 17-24 config vlan v10 add tag 25-26 config vlan v20 add tag 25-26


       

    • Активизировать протокол GVRP и функцию оповещения о соот- ветствующей VLAN (в данном примере VLAN v30) по сети.


       

      config vlan v30 advertisement enable enable gvrp

      config port_vlan 25-26 gvrp_state enable


       

      Настройка коммутатора 2


       

      config vlan default delete 1-24 create vlan v10 tag 10

      create vlan v20 tag 20

      config vlan v10 add untagged 1-12 config vlan v20 add untagged 13-24 config vlan v10 add tagged 25-26 config vlan v20 add tagged 25-26 enable gvrp

      config port_vlan 25-26 gvrp_state enable


       

        1. Q-in-Q VLAN

          Функция Q-in-Q, также известная как Double VLAN, соответствует стандарту IEEE 802.1ad, который является расширением стандарта IEEE 802.1Q. Она позволяет добавлять в маркированные кадры Ethernet второй тег IEEE 802.1Q.

          Благодаря функции Q-in-Q провайдеры могут использовать их соб- ственные уникальные идентификаторы VLAN (называемые Service Provider VLAN ID или SP-VLAN ID) при оказании услуг пользователям, в сетях которых настроено несколько VLAN. Это позволяет сохранить ис- пользуемые пользователями идентификаторы VLAN (Customer VLAN ID или CVLAN ID), избежать их совпадения и изолировать трафик разных клиентов во внутренней сети провайдера.


           

              1. Формат кадра Q-in-Q


                 

                На рис. 4.18 изображены форматы обычного кадра Ethernet, кадра Ethernet с тегом 802.1Q, кадра Ethernet с двумя тегами 802.1Q.


                 

                image


                 

                Рис. 4.18. Формата кадра Ethernet с двумя тегами 802.1Q


                 

                Инкапсуляция кадра Ethernet вторым тегом происходит следующим образом: тег, содержащий идентификатор VLAN сети провайдера (внеш- ний тег), вставляется перед внутренним тегом, содержащим клиентский идентификатор VLAN. Передача кадров в сети провайдера осуществляет- ся только на основе внешнего тега SP-VLAN ID, внутренний тег пользо- вательской сети CVLAN ID при этом скрыт.

                Функция Q-in-Q позволяет расширить доступное пространство идентификаторов и использовать до 4094 4094 = 16 760 836 уникальных виртуальных локальных сетей.


                 

              2. Реализации Q-in-Q


                 

                Существует две реализации функции Q-in-Q: Port-based Q-in-Q и Selective Q-in-Q. Функция Port-based Q-in-Q по умолчанию присваивает любому кадру, поступившему на порт доступа граничного коммутатора провайдера, идентификатор SP-VLAN, равный идентификатору PVID порта. Порт маркирует кадр независимо от того, является он маркиро- ванным или немаркированным. При поступлении маркированного ка- дра в него добавляется второй тег с идентификатором, равным SP-VLAN. Если на порт пришел немаркированный кадр, в него добавля- ется только тег с SP-VLAN порта.

                Функция Selective Q-in-Q является более гибкой по сравнению с Port- based Q-in-Q. Она позволяет:

    • маркировать кадры внешними тегами с различными идентифика-

      торами SP-VLAN в зависимости от значений внутренних иденти- фикаторов CVLAN;

    • задавать приоритеты обработки кадров внешних SP-VLAN на основе значений приоритетов внутренних пользовательских CVLAN;

    • добавлять к немаркированным пользовательским кадрам помимо

      внешнего тега SP-VLAN внутренний тег CVLAN.

          1. Значения TPID в кадрах Q-in-Q


             

            В теге VLAN имеется поле идентификатора протокола тега (TPID, Tag Protocol IDentifier), который определяет тип протокола тега. По умол- чанию значение этого поля для стандарта IEEE 802.1Q равно 0x8100.

            На устройствах разных производителей TPID внешнего тега VLAN кадров Q-in-Q может иметь разные значения по умолчанию. Для того чтобы кадры Q-in-Q могли передаваться по общедоступным сетям через устройства разных производителей, рекомендуется ис- пользовать значение TPID внешнего тега равное 0x88A8, согласно стандарту IEEE 802.1ad.


             

          2. Роли портов в Port-based Q-in-Q и Selective Q-in-Q


             

            Все порты граничного коммутатора, на котором используются функции Port-based Q-in-Q или Selective Q-in-Q, должны быть настроены как порты доступа (UNI) или Uplink-порты (NNI):

    • UNI (User-to-Network Interface) – эта роль назначается портам, че-

      рез которые будет осуществляться взаимодействие граничного коммутатора провайдера с клиентскими сетями;

    • NNI (Network-to-Network Interface) – эта роль назначается портам,

      которые подключаются к внутренней сети провайдера или другим граничным коммутаторам.

          1. Политики назначения внешнего тега и приоритета в Q-in-Q


             

            Функция Selective Q-in-Q позволяет добавлять в кадры различные внешние теги VLAN, основываясь на значениях внутренних тегов. Для этого на портах UNI граничного коммутатора необходимо задать правила соответствия идентификаторов CVLAN идентификаторам SP-VLAN (vlan translation).

            Помимо этого, на коммутаторах D-Link с поддержкой функции Q-in-Q, можно активизировать режим Missdrop. При настройке Selective Q-in-Q, включение этого режима позволит отбрасывать кад-

            ры, не подходящие ни под одно из правил соответствия идентифика- торов. При настройке Port-based Q-in-Q, режим Missdrop надо отклю- чать, чтобы порт коммутатора мог принимать кадры не подходящие ни под одно из правил vlan translation. В этом случае входящим кадрам бу- дет присваиваться внешний тег равный PVID соответствующего порта UNI.

            Значение приоритета внешнего тега по умолчанию равно значению приоритета внутреннего тега, если кадр является маркированным. Если приоритет в полученном кадре отсутствует, то в качестве приоритета веш- него тега будет использоваться приоритет соответствующего входного порта UNI.


             

          2. Базовая архитектура сети с функцией Port-based Q-in-Q


             

            На рис. 4.19 показана базовая архитектура сети провайдера услуг с функцией Port-based Q-in-Q. Граничные коммутаторы сети провайдера услуг PE-1 и PE-2 позволяют обрабатывать трафик виртуальных локаль- ных сетей двух подключенных к ним клиентских сетей. Каждому клиенту провайдером присвоен уникальный идентификатор VLAN: SP-VLAN 50 для клиента A и SP-VLAN 100 для клиента B. При передаче кадра из кли- ентской сети в сеть провайдера, в его заголовок будет добавляться второй тег 802.1Q: для сети А – SP-VLAN 50, для сети В – SP-VLAN 100. При пе- редаче кадра из сети провайдера в клиентскую сеть второй тег будет уда- ляться граничным коммутатором.


             

          3. Пример настройки функции Port-based Q-in-Q


             

            Рассмотрим пример настройки функции Port-based Q-in-Q на ком- мутаторах D-Link. На рис. 4.20 приведена схема подключения двух кли- ентских VLAN к сети провайдера услуг. Граничными коммутаторами яв- ляются коммутаторы Gigabit Ethernet 3-го уровня. В сети клиента исполь- зуются коммутаторы Fast Ethernet 2-го уровня.


             

            Внимание: функцию Q-in-Q VLAN необходимо настраивать только на устройствах сети провайдера услуг.


             

            Настройка коммутатора DGS-3627

    • Активизировать функцию Q-in-Q VLAN на коммутаторе.


       

      enable qinq


       


       

      image

      Курс

      Курс

       

      Построение коммутируемых компьютерных сетей

      Построение коммутируемых компьютерных сетей

       

      86

      86

       

      Рис. 4.19. Базовая архитектура сети провайдера с применением функции Port-based Q-in-Q


       


       

      image


       

      image


       

      Рис. 4.20. Схема подключения клиентских VLAN к сети провайдера услуг


       

    • Удалить соответствующие порты из Q-in-Q VLAN по умолчанию и создать новые VLAN.


       

      сonfig vlan default delete 1-24 create vlan d100 tag 100

      create vlan d200 tag 200


       

    • Назначить порты доступа в созданных Q-in-Q VLAN.


       

      config vlan d100 add untagged 1-12 config vlan d200 add untagged 13-24


       

    • Назначить Uplink-порты в созданных Q-in-Q VLAN.


       

      config vlan d100 add tagged 25-27 config vlan d200 add tagged 25-27


       

    • Настроить роли портов доступа в Q-in-Q и отключить режим Missdrop на них.


       

      config qinq ports 1-24 role uni missdrop disable

      Настройка коммутаторов 1, 2, 3, 4

    • Удалить соответствующие порты из VLAN по умолчанию (default VLAN) и создать новые VLAN.


       

      config vlan default delete 1-26 create vlan v2 tag 2

      create vlan v3 tag 3 create vlan v4 tag 4


       

    • В созданные VLAN добавить порты, для которых необходимо указать, какие из них являются маркированными и немаркиро- ванными.


       

      config vlan v2 add untagged 1-8 config vlan v2 add tagged 25-26 config vlan v3 add untagged 9-16 config vlan v3 add tagged 25-26 config vlan v4 add untagged 17-24 config vlan v4 add tagged 25-26


       

          1. Пример настройки функции Selective Q-in-Q


       

      На рис. 4.21 показана схема подключения двух клиентских VLAN к граничным коммутаторам провайдера. Каждому клиенту провайдером назначен уникальный идентификатор: SP-VLAN 1000 для клиента CVLAN 200 и SP-VLAN 1001 для клиента CVLAN 300. В качестве гранич- ных коммутаторов используются коммутаторы Fast Ethernet 2-го уровня. Порты 9 обоих граничных коммутаторов служат для подключения к поль- зовательским сетям (UNI-порты), передача данных в сеть провайдера осуществляется через порты 11 (NNI-порты).

      Для того чтобы граничные коммутаторы могли осуществлять пере- дачу пользовательских кадров с использованием функции Selective Q-in-Q, на них необходимо выполнить следующие настройки.


       

      Настройка коммутаторов 1, 2

    • Создать требуемые VLAN и добавить порты, для которых необхо- димо указать, какие из них являются маркированными и немар- кированными.

      create vlan v1000 tag 1000 create vlan v1001 tag 1001


       

      image


       

      image

      Рис. 4.21. Схема подключения клиентских VLAN к пограничным коммутаторам сети провайдера услуг


       


       

      config vlan v1000 add tag 9,11 config vlan v1001 add tag 9,11


       

    • Активизировать функцию Q-in-Q VLAN, указать значения TPID внутреннего и внешнего тега, роли портов и задать прави- ла соответствия идентификаторов CVLAN идентификаторам SP-VLAN.


       

      enable qinq

      config qinq ports all 0x8100 config qinq ports 9 role uni

      create vlan_translation ports 9 cvid 200 add svid 1000

      create vlan_translation ports 9 cvid 300 add svid 1001


       

        1. VLAN на основе портов и протоколов – стандарт IEEE 802.1v

          Стандарт IEEE 802.1v является расширением стандарта IEEE 802.1Q. Он позволяет объединять узлы сети в виртуальные локальные сети на ос-

          нове поддерживаемых ими протоколов. При определении членства в VLAN стандарт классифицирует немаркированные кадры по типу протоко- ла и порту. Формат тега 802.1v аналогичен формату тега 802.1Q.

          В стандарте IEEE 802.1v определены следующие правила классифи- кации входящих кадров:

    • при поступлении на порт немаркированного кадра, коммутатором

      осуществляется проверка заголовка канального уровня и типа протокола вышележащего уровня. Если тип протокола соответст- вует типу VLAN 802.1v на этом порте, то в заголовок кадра добав- ляется тег с идентификатором VID, равным идентификатору со- ответствующей VLAN 802.1v. Если совпадения не найдены, то в заголовок кадра добавляется тег с идентификатором VID, равным идентификатору входного порта PVID;

    • при поступлении на порт маркированного кадра значение тега

      VLAN в нем не изменяется.


       

      image


       

      Рис. 4.22. Правила классификации входящих кадров


       

      Внутри коммутатора все кадры являются маркированными. Переда- ча кадров осуществляется на основе таблицы VLAN путем сравнения зна-

      чений идентификаторов VID. Если порт назначения является членом той же VLAN, что и входной порт, то он передает кадр в подключенный к не- му сегмент сети. В противном случае кадр отбрасывается.

      Для выходных портов действуют такие же правила, как для стандар- та IEEE 802.1Q.

      Механизм классификации 802.1v требует, чтобы на коммутаторе были настроены группы протоколов. Каждый протокол в группе определяется ти- пом кадра (Ethernet II, IEEE 802.3 SNAP или IEEE 802.3 LLC) и значением поля идентификации протокола в нем. Порт может быть ассоциирован с не- сколькими группами протоколов, что позволяет классифицировать посту- пающие немаркированные кадры по принадлежности к разным VLAN в за- висимости от их содержимого. Одна и та же группа протоколов может быть ассоциирована с разными портами коммутатора, при этом на каждом вход- ном порте ей должны быть присвоены уникальные идентификаторы VLAN.


       

          1. Пример настройки IEEE 802.1v VLAN


       

      На рис. 4.23 показано типовое подключение клиентов к сети провай- дера услуг. Пользователи локальной сети находятся в выделенной VLAN


       

      image


       

      Рис. 4.23. Схема сети VLAN

      (VLAN 20). Их подключение в Интернет осуществляется через РРРоЕ- сервер (VLAN 10). Для того чтобы трафик локальной сети был отделен от трафика РРРоЕ, на коммутаторе для протокола РРРоЕ создана VLAN 802.1v с идентификатором VID=10.


       

      Настройка коммутатора

    • Создание новых VLAN 802.1Q.


       

      config vlan default delete 1-28 create vlan pppoe tag 10

      config vlan pppoe add untagged 1-24 config vlan pppoe add tagged 26 create vlan base tag 20

      config vlan base add tagged 26 config vlan base add untagged 1-24


       

    • Настройка PVID портов, к которым подключены пользователи.


       

      config port_vlan 1-24 pvid 20


       

    • Создание VLAN 802.1v для протокола РРРоЕ (первая группа протоколов настроена для кадров РРРоЕ, передаваемых на стадии исследования, вторая – для кадров РРРоЕ установленной сессии).


       

      create dot1v_protocol_group group_id 1 group_name pppoe_disc

      config dot1v_protocol_group group_id 1 add protocol ethernet_2 8863 create dot1v_protocol_group group_id 2 group_name pppoe_session config dot1v_protocol_group group_id 2 add protocol ethernet_2 8864 config port dot1v ports 1-24 add protocol_group group_id 1 vlan pppoe config port dot1v ports 1-24 add protocol_group group_id 2 vlan pppoe


       

        1. Асимметричные VLAN


           

          Для обеспечения возможности использования разделяемых ресур- сов (серверов, Интернет-шлюзов и т.д.) пользователями из разных се- тей VLAN в программном обеспечении коммутаторов 2-го уровня D- Link реализована поддержка функции Asymmetric VLAN (ассиметричные VLAN). Эта функция позволяет клиентам из разных VLAN взаимодей- ствовать с разделяемыми устройствами (например, серверами), не под- держивающими тегирование 802.1Q, через один физический канал свя- зи с коммутатором, не требуя использования внешнего маршрутизато-

          ра. Активизация функции Asymmetric VLAN на коммутаторе 2-го уров- ня позволяет сделать его немаркированные порты членами нескольких виртуальных локальных сетей. При этом рабочие станции остаются пол- ностью изолированными друг от друга. Например, асимметричные VLAN могут быть настроены так, чтобы обеспечить доступ к почтовому серверу всем почтовым клиентам. Клиенты смогут отправлять и полу- чать данные через порт коммутатора, подключенный к почтовому сер- веру, но прием и передача данных через остальные порты будет для них запрещена.

          При активизации асимметричных VLAN каждому порту коммутато- ра назначается уникальный PVID в соответствии с идентификатором VLAN, членом которой он является. При этом каждый порт может полу- чать кадры от VLAN по умолчанию.


           

          Внимание: функция Asymmetric VLAN не поддерживается комму- таторами 3-го уровня. Организация обмена данными между уст- ройствами различных VLAN, не поддерживающих тегирование, реализуется в таких коммутаторах с помощью маршрутизации и списков управления доступом (ACL), ограничивающих доступ ус- тройств к сети.


           

          Основное различие между базовым стандартом 802.1Q VLAN (или симметричными VLAN) и асимметричными VLAN заключается в том, как выполняется отображение МАС-адресов. Симметричные VLAN используют отдельные адресные таблицы, и, таким образом, не проис- ходит пересечения МАС-адресов между виртуальными локальными сетями. Асимметричные VLAN используют одну общую таблицу МАС- адресов.

          При использовании асимметричных VLAN существует следующее ограничение: не функционирует механизм IGMP Snooping.

          По умолчанию асимметричные VLAN на коммутаторах D-Link от- ключены.


           

          1. Примеры настройки асимметричных VLAN


             

            На рис. 4.24 показана схема реализации ассиметричных VLAN в пределах одного коммутатора. Пользователи VLAN v2 и v3 могут получать доступ к разделя- емым серверам и Интернет-шлюзу, находящимся в VLAN v1. Виртуальные ло- кальные сети VLAN v2 и v3 изолированы друг от друга.

            Для реализации этой схемы на коммутаторе D-Link необходимо вы- полнить следующие настройки:

            Настройка коммутатора


             

            enable

            asymmetric_vlan

             

            create

            vlan v2 tag 2

            create

            vlan v3 tag 3

            config

            vlan v2 add untagged

            9-24

            config

            vlan v3 add untagged

            1-8,17-24

            config

            gvrp 1-8 pvid 3

             

            config

            gvrp 9-16 pvid 2

             

            config

            gvrp 17-24 pvid 1

             


             


             

            image


             

            image

            image

            image

            Рис. 4.24. Асимметричные VLAN в пределах одного коммутатора


             

        2. Функция Traffic Segmentation


       

      Функция Traffic Segmentation (сегментация трафика) служит для раз- граничения доменов на канальном уровне. Она позволяет настраивать порты или группы портов коммутатора таким образом, чтобы они были полностью изолированы друг от друга, но в то же время имели доступ к разделяемым портам, используемым для подключения серверов или ма- гистрали сети. Этот метод изоляции трафика аналогичен функции Asymmetric VLAN, но его применение ограничено пределами одного ком- мутатора или нескольких коммутаторов в стеке, т.к. членство в группе портов не может распространяться по сети.

      Можно выделить следующие преимущества функции Traffic Segmentation по сравнению с Asymmetric VLAN:

    • простота настройки;

    • поддерживается работа IGMP Snooping;

    • функция Traffic Segmentation может быть представлена в виде ие- рархического дерева (при иерархическом подходе разделяемые ре- сурсы должны быть на «вершине» дерева);

    • нет ограничений на создание количества групп портов.

      Функция сегментации трафика может использоваться с целью сокраще- ния трафика внутри сетей VLAN 802.1Q, позволяя разбивать их на более ма- ленькие группы. При этом правила VLAN имеют более высокий приоритет при передаче трафика. Правила Traffic Segmentation применяются после них.


       

      4.9.1. Примеры использования и настройки функции Traffic Segmentation


       

      В качестве примера рассмотрим решение задачи совместного ис- пользования ресурсов сети разными группами пользователей с использо- ванием функции Traffic Segmentation (рис. 4.25).


       

      image


       

      image image

      image image

      image image


       

      Рис. 4.25. Пример использования функции Traffic Segmentation


       

      Пользователи групп 2 и 3 имеют доступ к совместно используемому FTP-серверу и Интернет-шлюзу, но обмен данными между группами 2 и 3 запрещен.

      Настройка коммутатора


       

      config traffic_segmentation 1-8 forward_list 1-24

      config traffic_segmentation 9-16 forward_list 1-16

      config traffic_segmentation 17-24 forward_list 1-8,17-24


       

      Используя возможности построения иерархического дерева функ- ции Traffic Segmentation, можно решать типовые задачи изоляции портов в сетях с многоуровневой структурой.

      В примере, показанном на рис. 4.26, все компьютеры от А до Q, на- ходящиеся в одной IP-подсети, не могут принимать/отправлять пакеты данных друг другу, но при этом имеют доступ к серверам и Интернету. Все коммутаторы сети поддерживают иерархию Traffic Segmentation.


       

      image


       

      Рис. 4.26. Иерархическая структура Traffic Segmentation


       

      Настройка коммутатора 1


       

      config traffic_segmentation 1-4 forward_list 1-26

      config traffic_segmentation 5 forward_list 1-5

      config traffic_segmentation 6 forward_list 1-4, 6

      config traffic_segmentation 7 forward_list 1-4, 7


       

      Настройка коммутаторов 2, 3, 4


       

      config traffic_segmentation 1 forward_list 1-26

      config traffic_segmentation 2-26 forward_list 1

      Лекция 5. Функции повышения надежности и производительности


       

      В настоящее время для повышения надежности и производительно- сти каналов связи в распоряжении интеграторов и сетевых администрато- ров имеется целый набор протоколов и функций. Наиболее распростра- ненным является создание резервных связей между коммутаторами на ос- нове двух технологий:

      1. резервирование соединений с помощью протоколов семейства Spanning Tree;

      2. балансировка нагрузки, обеспечивающая параллельную передачу данных по всем альтернативным соединениям с помощью меха- низма агрегирования портов.


       

        1. Протоколы Spanning Tree


           

          Протокол связующего дерева Spanning Tree Protocol (STP) является протоколом 2 уровня модели OSI, который позволяет строить древовид- ные, свободные от петель, конфигурации связей между коммутаторами локальной сети. Помимо этого, алгоритм обеспечивает возможность ав- томатического резервирования альтернативных каналов связи между коммутаторами на случай выхода активных каналов из строя.

          В настоящее время существуют следующие версии протоколов свя- зующего дерева:

    • IEEE 802.1D Spanning Tree Protocol (STP);

    • IEEE 802.1w Rapid Spanning Tree Protocol (RSTP);

    • IEEE 802.1s Multiple Spanning Tree Protocol (MSTP).

        1. Spanning Tree Protocol (STP)

          1. Понятие петель

            Если для обеспечения избыточности между коммутаторами создает- ся несколько соединений, то могут возникать коммутационные петли. Петля предполагает существование нескольких маршрутов по промежу- точным сетям, а сеть с несколькими маршрутами между источником и приемником отличается повышенной отказоустойчивостью. Хотя нали- чие избыточных каналов связи очень полезно, петли, тем не менее, созда- ют проблемы, самые актуальные из которых:

    • широковещательные штормы;

    • множественные копии кадров;

    • множественные петли.

      Широковещательный шторм.

      Распространение широковещательных сообщений в сетях с петлями представляет серьезную проблему. Предположим, что первый кадр, по- ступивший от одного из узлов, является широковещательным. Тогда все коммутаторы будут пересылать кадры бесконечно, как показано на рис. 5.1 (пример 1), используя всю доступную полосу пропускания сети и блоки- руя передачу других кадров во всех сегментах.


       

      Множественные копии кадров.

      Еще одна проблема заключается в том, что коммутатор нередко полу- чает несколько копий одного кадра, одновременно приходящих из несколь- ких участков сети. В этом случае таблица коммутации не сможет определить расположение устройства, потому что коммутатор будет получать кадр из нескольких каналов. Может случиться так, что коммутатор вообще не смо- жет переслать кадр, т.к. будет постоянно обновлять таблицу коммутации.


       

      Множественные петли.

      Одна из самых сложных проблем – это множественные петли, обра- зующиеся в объединенной сети. Возможно появление петли внутри дру- гих петель. Если за этим последует широковещательный шторм, то сеть не сможет выполнять коммутацию кадров.


       

      image image


       

      Рис. 5.1. Примеры петель между коммутаторами


       

      Для решения этих проблем и был разработан протокол связующего дерева, который был определен в стандарте IEEE 802.1D-1998.

      Коммутаторы, поддерживающие протокол STP, автоматически со- здают древовидную конфигурацию связей без петель в компьютерной се-

      ти. Такая конфигурация называется связующим деревом – Spanning Tree (иногда ее называют остовым или покрывающим деревом). Конфигура- ция связующего дерева строится коммутаторами автоматически с исполь- зованием обмена служебными кадрами, называемыми Bridge Protocol Data Units (BPDU).


       

          1. Построение активной топологии связующего дерева


             

            Для построения устойчивой активной топологии с помощью протоко- ла STP необходимо с каждым коммутатором сети ассоциировать уникаль- ный идентификатор моста (Bridge ID), а с каждым портом коммутатора ас- социировать стоимость пути (Path Cost) и идентификатор порта (Port ID).

            Процесс вычисления связующего дерева начинается с выбора корне- вого моста (Root Bridge), от которого будет строиться дерево. В качестве корня дерева выбирается коммутатор с наименьшим значением иденти- фикатора моста. Идентификатор моста – это 8-байтное поле, которое со- стоит из 2-х частей: приоритета моста (2 байта), назначаемого админист- ратором сети, и МАС-адреса блока управления коммутатора (6 байт). При сравнении идентификаторов двух коммутаторов сначала сравнива- ются значения приоритетов. Корневым мостом становится коммутатор с наименьшим значением приоритета. Если они одинаковы (по умолча- нию приоритет равен 32768), то корневой мост определяется по наимень- шему МАС-адресу.

            Для того чтобы в качестве корневого моста было выбрано опреде- ленное устройство (исходя из структуры сети), администратор может вручную назначить соответствующему коммутатору наименьший при- оритет.

            Второй этап работы STP – выбор корневых портов (Root Port).

            Когда процесс выбора корневого моста завершен, оставшиеся ком- мутаторы сети определяют стоимость каждого возможного пути от себя до корня дерева. Стоимость пути рассчитывается как суммарное условное вре- мя на передачу данных от порта данного коммутатора до порта корневого моста. Условное время сегмента рассчитывается как время передачи од- ного бита информации через канал с определенной полосой пропуска- ния. Стоимости пути по умолчанию для каждого канала определены в стандарте IEEE 802.1D-1998.

            Сравнив стоимости всех возможных маршрутов до корня, каждый коммутатор выбирает среди них один с наименьшим значением стоимос- ти. Порт, соединяющий коммутатор с этим маршрутом, становится кор- невым портом. В случае если минимальные стоимости пути нескольких маршрутов окажутся одинаковыми, корневым портом станет порт, имею- щий наименьшее значение идентификатора порта.


             

            image


             


             

            image


             

            Рис. 5.2. Пример функционирования протокола STP

            Третий шаг работы STP – определение назначенных портов

            (Designated Port).

            Каждый сегмент в коммутируемой сети имеет один назначенный порт. Этот порт функционирует как единственный порт моста, т.е. прини- мает кадры от сегмента и передает их в направлении корневого моста че- рез корневой порт данного коммутатора. Коммутатор, содержащий на- значенный порт для данного сегмента, называется назначенным мостом (Designated Bridge) этого сегмента. Назначенный порт сегмента определя- ется путем сравнения значений стоимости пути всех маршрутов от данно- го сегмента до корневого моста. Им становится порт, имеющий наимень- шее значение стоимости, среди всех портов, подключенных к данному сегменту. Если минимальные значения стоимости пути окажутся одина- ковыми у двух или нескольких портов, то для выбора назначенного порта сегмента STP принимает решение на основе последовательного сравне- ния идентификаторов мостов и идентификаторов портов.

            У корневого моста все порты являются назначенными, а их расстояние до корня полагается равным нулю. Корневого порта у корневого моста нет. После выбора корневых и назначенных портов все остальные порты коммутаторов сети переводятся в состояние Blocking («Блокировка»), то есть такое, при котором они принимают и передают только кадры BPDU. При таком выборе активных портов в сети исключаются петли, и остав-

            шиеся связи образуют связующее дерево.


             

          2. Bridge Protocol Data Unit (BPDU)


             

            Вычисление связующего дерева происходит при включении комму- татора и при изменении топологии. Эти вычисления требуют периодиче- ского обмена информацией между коммутаторами связующего дерева, что достигается при помощи специальных кадров, называемых блоками данных протокола моста – BPDU (Bridge Protocol Data Unit).

            Коммутатор отправляет BPDU, используя уникальный МАС-адрес порта в качестве адреса-источника и многоадресный МАС-адрес протокола STP 01-80-C2-00-00-00 в качестве адреса-приемника. Кадры BPDU помеща- ются в поле данных кадров канального уровня, например, кадров Ethernet.


             

            Внимание: иногда, с целью повышения безопасности, сетевым адми- нистраторам необходимо отключать возможность передачи кадров BPDU на граничные коммутаторы сети, чтобы избежать получения случайных кадров BPDU клиентскими портами, которые могут рас- пространить вычисления STP по клиентским сетям. Управляемые коммутаторы D-Link поддерживают возможность включения и от- ключения передачи кадров BPDU для каждого порта.

            Существует три типа кадров BPDU:

    • Configuration BPDU (CBPDU) – конфигурационный кадр BPDU, который используется для вычисления связующего дерева (тип сообщения: 0x00);

    • Topology Change Notification (TCN) BPDU – уведомление об изме-

      нении топологии сети (тип сообщения: 0x80);

    • Topology Change Notification Acknowledgement (TCA) – подтверж- дение о получении уведомления об изменении топологии сети.

      image

      image

      image

      image

      image

      image

      Коммутаторы обмениваются BPDU через равные интервалы време- ни (по умолчанию 2 сек.), что позволяет им отслеживать состояние топо- логии сети.


       

      image


       


       

      image


       

      image


       

      image


       

      image


       

      image


       

      image


       

      image


       

      image image


       

      image


       

      image


       

      image


       

      image


       

      image

      image

      image

      image

      image

      image

      Рис. 5.3. Формат кадра BPDU


       

      Кадр BPDU состоит из следующих полей:

    • идентификатор протокола (Protocol Identifier) – 2 байта. Значение всегда равно 0;

    • версия протокола STP (Protocol Version Identifier) – 1 байт. Значе-

      ние всегда равно 0;

    • тип BPDU (BPDU Type) – 1 байт. Значение «00» – конфигураци- онный BPDU, «01» – изменение топологии;

    • флаги (Flags) – 1 байт. Бит 1 – флаг изменения топологии, бит 8 – флаг подтверждения изменения топологии;

    • идентификатор корневого моста (Root Identifier) – 8 байтов.

      Идентификатор текущего корневого моста;

    • расстояние до корневого моста (Root Path Cost) – 2 байта. Сум- марная стоимость пути до корневого моста;

    • идентификатор моста (Bridge Identifier) – 8 байтов. Идентифика-

      тор текущего моста;

    • идентификатор порта (Port Identifier) – 2 байта. Уникальный идентификатор порта, который отправил этот BPDU;

    • время жизни сообщения (Message Age) – 2 байта. Нефиксирован-

      ный временной интервал в секундах, прошедший с момента от- правки BPDU корневым мостом. Служит для выявления устарев- ших сообщений BPDU. Первоначальное значение равно нулю. По мере передачи кадра BPDU по сети каждый коммутатор добав- ляет ко времени жизни сообщения время его задержки данным коммутатором. По умолчанию оно равно 1 сек. Значение параме- тра Message Age должно быть меньше значения таймера Max Age;

    • максимальное время жизни сообщения (Max Age) – 2 байта. Вре-

      менной интервал в секундах, определяющий максимальное время хранения конфигурации STP, прежде чем коммутатор ее отбросит;

    • время приветствия (Hello Time) – 2 байта. Временной интервал в

      секундах, через который посылаются кадры BPDU;

    • задержка смены состояний (Forward Delay) – 2 байта. Временной интервал в секундах, в течение которого порт коммутатора нахо- дится в состояниях «Прослушивание» и «Обучение».

          1. Состояния портов


             

            В процессе построения топологии сети каждый порт коммутатора проходит несколько стадий:

    • Blocking («Блокировка») – при инициализации коммутатора все

      порты (за исключением отключенных) автоматически переводят- ся в состояние «Заблокирован». В этом случае порт принимает и обрабатывает только кадры BPDU. Все остальные кадры отбрасы- ваются;

    • Listening («Прослушивание») – в этом состоянии порт продолжа-

      ет принимать, обрабатывать и ретранслировать только кадры BPDU. Из этого состояния порт может перейти в состояние «За- блокирован», если получит BPDU с лучшими параметрами, чем его собственные (стоимость пути, идентификатор моста или пор- та). В противном случае, при истечении периода, установленного

      таймером задержки смены состояний (Forward Delay), порт перей- дет в следующее состояние «Обучение»;

  • Learning («Обучение») – порт начинает принимать все кадры и на

    основе МАС-адресов источника строить таблицу коммутации. Порт в этом состоянии все еще не продвигает кадры. Порт про- должает участвовать в работе алгоритма STP и при поступлении BPDU с лучшими параметрами переходит в состояние «Заблоки- рован». В противном случае, при истечении периода, установлен- ного таймером задержки смены состояний, порт перейдет в следу- ющее состояние «Продвижение»;

  • Forwarding («Продвижение») – в этом состоянии порт может обра-

    батывать кадры данных в соответствии с построенной таблицей коммутации. Также продолжают приниматься, передаваться и об- рабатываться кадры BPDU;

  • Disable («Отключен») – в это состояние порт переводит админис-

    тратор. Отключенный порт не участвует ни в работе протокола STP, ни в продвижении кадров данных. Порт можно также вруч- ную включить, и первоначально он перейдет в состояние «Забло- кирован».


     


     

    image


     

    Рис. 5.4. Состояния портов

    В процессе нормальной работы корневой мост продолжает генери- ровать служебные кадры BPDU, а остальные коммутаторы продолжают их принимать своими корневыми портами и ретранслировать назначен- ными. Если по истечении максимального времени жизни сообщения (по умолчанию – 20 секунд) корневой порт любого коммутатора сети не по- лучит служебный кадр BPDU, то он инициализирует новую процедуру построения связующего дерева.


     

        1. Таймеры STP


           

          Для того чтобы все коммутаторы сети имели возможность получить точную информацию о конфигурации связующего дерева, в протоколе STP используются следующие таймеры.

          • Hello Time – это интервал времени, через который корневой мост

            отправляет конфигурационные BPDU. Значение таймера Hello Time, настроенное на корневом мосте, будет определять значения таймеров Hello Time на всех некорневых коммутаторах, т.к. они просто пересылают конфигурационные BPDU, когда получают их от корня. Значение таймера Hello Time по умолчанию 2 секунды: диапазон возможных значений от 1 до 10 секунд.

          • Forward Delay – это интервал времени, в течение которого порт

            коммутатора находится в состояниях «Прослушивание» и «Обуче- ние». Такая задержка смены состояний необходима, чтобы исклю- чить возможность временного возникновения альтернативных маршрутов при неодновременной смене состояний портов во вре- мя реконфигурации. Значение таймера Forward Delay по умолча- нию 15 секунд. диапазон возможных значений от 4 до 30 секунд.

          • Max Age – это интервал времени, в течение которого коммутатор

            хранит параметры текущей конфигурации связующего дерева. Значение таймера Max Age устанавливается корневым мостом и позволяет гарантировать, что все коммутаторы сети обладают одинаковой информацией о времени хранения конфигурации STP. Если период времени, определенный таймером, истек, а ком- мутатор за это время не получил кадр BPDU от корневого моста, то он начинает считать себя корневым мостом и рассылает свои собственные BPDU всем коммутаторам сети, инициируя новую процедуру построения связующего дерева. Значение таймера Max Age по умолчанию 20 секунд, диапазон возможных значений от 6 до 40 секунд.

            Значения таймеров Hello Time, Forward Delay и Max Age могут быть вручную настроены администратором сети на коммутаторе. Обычно эти настройки выполняются только на коммутаторе, являющемся корневым

            для данной топологии связующего дерева. При настройке важно по- мнить, что неправильно подобранные значения таймеров могут значи- тельно увеличить время сходимости топологии STP и снизить производи- тельность сети, поэтому рекомендуется использовать значения таймеров по умолчанию.


             

        2. Изменение топологии


           

          Коммутатор отправляет BPDU с уведомлением об изменении топо- логии (Topology Change Notification BPDU, TCN BPDU) в случае возник- новения одного из следующих событий:

          • некорневой мост получает сообщение TCN BPDU на свой назна-

            ченный порт;

          • после истечения времени, определенного таймером Forward Delay, порт переходит в состояние Forwarding, но коммутатор уже имеет назначенный порт для данного сегмента;

          • порт, находившийся в состоянии Forwarding или Listening, перехо-

            дит в состояние Blocking (в случае проблем с каналом связи);

          • когда коммутатор становится корневым мостом.

            TCN BPDU отправляется коммутатором в тот сегмент сети, к кото- рому подключен его корневой порт. Эти BPDU будут передаваться через интервал Hello до тех пор, пока коммутатор не получит подтверждение Topology Change Notification Acknowledgement (TCN-ACK) от вышестоя- щего коммутатора. Соседний коммутатор продолжит трансляцию TCN BPDU через свой корневой порт в направлении корневого моста сети, ис- пользуя такую же процедуру. Этот процесс будет продолжаться до тех пор, пока TCN BPDU не достигнет корневого моста.

            Когда корневой мост получает TCN BPDU или сам изменяет топо- логию, он устанавливает во всех передаваемых конфигурационных BPDU

            image

            флаг изменения топологии (Topology Change, TC) на период времени, равный сумме значений таймеров Forward Delay и Max Age. Когда ниже- лежащие коммутаторы получат конфигурационные BPDU с флагом Topology Change, они установят значения таймеров старения записей ад- ресных таблиц (Aging Timer) равными длительности таймера задержки пе- редачи Forward Delay.

            Управляемые коммутаторы D-Link при настройке функции STP позволяют включать и отключать на каждом порте возможность приема TCN BPDU с помощью параметра restricted_tcn. По умолчанию пара- метр restricted_tcn отключен. Использование данного параметра позво- ляет избежать сетевых атак, связанных с отправкой ложных кадров TCN BPDU.


             

        3. Настройка STP


           

          image

          image

          image

          Рассмотрим пример настройки STP на коммутаторах D-Link в сети, показанной на рис. 5.6.


           

          image image


           

          Рис. 5.6. Схема сети


           

          Внимание: по умолчанию протокол STP на коммутаторах D-Link от- ключен.


           

          Настройка коммутатора 1

          • Активизировать STP


             

            enable stp

            config stp version stp

          • Установить коммутатору 1 наименьшее значение приоритета, что- бы он был выбран корневым мостом (приоритет по умолчанию равен 32768)

            config stp priority 4096 instance_id 0


             

          • Настроить порты STP


             

            config stp ports 1-24 edge true


             

            Настройка коммутатора 2


             

            enable stp

            config stp version stp

            config stp ports 1-24 edge true


             

      1. Rapid Spanning Tree Protocol


         

        Протокол Rapid Spanning Tree Protocol (RSTP) является развитием протокола STP и в настоящее время определен в стандарте IEEE 802.1D-2004 (ранее был определен в стандарте IEEE 802.1w-2001). Он был разработан для преодоления отдельных ограничений протокола STP, связанных с его производительностью. Протокол RSTP значительно ускоряет время схо- димости коммутируемой сети за счет мгновенного перехода корневых и назначенных портов в состояние продвижения.

        RSTP может работать с оборудованием, поддерживающим STP, од- нако все преимущества от его использования будут потеряны.

        image

        image

        image

        image

        Основные понятия и терминология протоколов STP и RSTP одина- ковы. Существенным их отличием является способ перехода портов в со- стояние продвижения и то, каким образом этот переход влияет на роль порта в топологии. RSTP объединяет состояния Disabled, Blocking и Listening, используемые в STP, и создает единственное состояние Discarding («Отбрасывание»), при котором порт не активен.


         

        image


         

        image

        image

        image

        Рис. 5.7. Состояния портов протоколов STP и RSTP

        Таблица 5.1. Различия между состояниями портов в STP и RSTP


         

        Состояние порта STP

        Административное состояние порта коммутатора

        Порт изучает МАС-адреса?

        Состояние порта RSTP

        Роль порта в активной топологии

        Disable

        Disabled

        Нет

        Discarding

        Исключен (Disabled)

        Disable

        Enabled

        Нет

        Discarding

        Исключен (Disabled)

        Blocking

        Enabled

        Да

        Discarding

        Исключен (Alternate, Backup)

        Listening

        Enabled

        Да

        Discarding

        Включен (Root, Designated)

        Learning

        Enabled

        Да

        Learning

        Включен (Root, Designated)

        Forwarding

        Enabled

        Да

        Forwarding

        Включен (Root, Designated)


         

        1. Роли портов


           

          Выбор активной топологии завершается присвоением протоколом RSTP определенной роли каждому порту. Эти роли следующие:

          • корневой порт (Root Port);

          • назначенный порт (Designated Port);

          • альтернативный порт (Alternate Port);

          • резервный порт (Backup Port).


             

            Корневой порт – это порт коммутатора, который имеет по сети крат- чайшее расстояние (в терминах стоимости пути) до корневого коммута- тора.

            Порт является назначенным, если он посылает BPDU с наилучшими параметрами в тот сегмент, к которому подключен.

            Роли «корневой порт» и «назначенный порт» включают порт в ак- тивную топологию.

            В RSTP существуют две дополнительные роли – альтернативный порт (Alternate) и резервный порт (Backup), соответствующие состоянию

            «Заблокирован» в STP и исключающие порт из активной топологии.


             

            image


             

            Рис. 5.8. Корневой порт


             


             

            image


             

            Рис. 5.9. Назначенный порт


             

            Альтернативный порт предлагает альтернативный основному марш- руту путь в направлении корневого моста и может заменить корневой порт в случае выхода его из строя.


             


             

            image


             

            Рис. 5.10. Альтернативный порт


             

            Резервный порт предназначен для резервирования пути, предостав- ляемого назначенным портом в направлении сегментов сети, и не может гарантировать альтернативное подключение к корневому мосту. Резерв-

            ные порты существуют только в конфигурациях, где есть два или более соединения данного моста с данной сетью (сегментом сети).


             

            image image


             

            Рис. 5.11. Резервный порт


             

        2. Формат BPDU


           

          Формат кадра BPDU протокола RSTP аналогичен формату BPDU протокола STP за исключением следующего:

          • поля версии протокола и типа BPDU RSTP содержат значение 2;

          • в поле Flag BPDU протокола STP используются только два бита, которые определяют флаги изменения топологии TC и подтверж- дения TC (TCA). В поле Flag протокола RSTP используются все 8 бит. Бит 1 – флаг изменения топологии (Topology Change), бит 2 – флаг предложения (Proposal), биты 3 и 4 предназначены для коди- рования роли порта (Port Role), бит 5 – флаг изучения (Learning), бит 6 – флаг продвижения (Forwarding), бит 7 – флаг соглашения (Agreement), бит 8 – флаг подтверждения TC (Topology Change Acknowledgment).

          • кадр BPDU протокола RSTP имеет дополнительное поле Version 1

            Length длиной 1 байт. Это поле содержит значение 0000 0000 и по- казывает, что BPDU не содержит никакой информации протоко- ла STP версии 1.

        3. Быстрый переход в состояние продвижения


           

          Процесс построения связующего дерева у протоколов STP и RSTP одинаков. Однако при работе RSTP порт может перейти в состояние про- движения значительно быстрее, т.к. он больше не зависит от настроек таймеров. Протокол RSTP предоставляет механизм предложений и согла- шений, который обеспечивает быстрый переход корневых и назначенных портов в состояние Forwarding, а альтернативных и резервных портов –


           

          image


           


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image image


           

          image


           

          image


           

          image


           

          image


           

          image image image image


           

          image

          image

          image

          image

          image

          image

          image

          image

          image

          image

          image

          image

          image

          Рис. 5.12. Формат кадра BPDU протокола RSTP


           

          в состояние Discarding. Для этого протокол RSTP вводит два новых поня- тия: граничный порт и тип соединения.

          Граничным портом (Edge Port) объявляется порт, непосредственно подключенный к сегменту сети, в котором не могут быть созданы петли. Например, порт подключен к рабочей станции, которая может периоди- чески включаться или выключаться и активизировать механизм уведом- ления об изменении топологии или чтобы избежать распространения вы- числений STP по клиентским сетям, с целью повышения безопасности. Граничный порт мгновенно переходит в состояние продвижения, минуя состояния прослушивания и обучения. Граничный порт теряет свой ста- тус и становится обычным портом связующего дерева в том случае, если получит кадр BPDU.

          При работе протокола RSTP назначенный порт может выполнять быстрый переход в состояние продвижения в соединениях типа «точка – точка» (Point-to-Point, P2P), т.е. если он подключен только к одному ком- мутатору.

          Порты, удовлетворяющие, по крайней мере, одному из следующих ус- ловий, автоматически рассматриваются протоколом RSTP как порты Р2Р:

          • порт принадлежит агрегированному каналу связи;

          • на порте включена функция автосогласования и она определила работу в полнодуплексном режиме;

          • работа в полнодуплексном режиме на порте была настроена вруч-

            ную администратором сети.

            Администратор сети может вручную включать или выключать стату- сы Edge и P2P либо устанавливать их работу в автоматическом режиме, выполнив соответствующие настройки порта коммутатора.


             

            image


             

            image


             

            Рис. 5.13. Граничные порты и порты «точка – точка»


             

        4. Механизм предложений и соглашений


           

          На рис. 5.14 показан процесс работы механизма предложений и со- глашений. Коммутаторы А и В соединены между собой каналом типа

          «точка – точка». Предположим, что коммутатор А является корневым мос- том сети. Коммутатор А посылает коммутатору В кадр BPDU с установ- ленным флагом Proposal (шаг 1 на рис. 5.14), предлагая себя в качестве на- значенного моста этого сегмента (BPDU-предложение будет передаваться только в том случае, если порт находится в состоянии Discarding или Learning). После получения предложения коммутатор В выберет в качест- ве нового корневого порта тот порт, через который этот BPDU был полу- чен (порт р2), и переведет все неграничные порты в заблокированное со-

          стояние. Все остальные порты будут синхронизированы с новой информа- цией, чтобы иметь непротиворечивую информацию о топологии сети.

          Порт является синхронизированным «in-sync», если он удовлетворя- ет следующим критериям:

          • он находится в заблокированном состоянии (это состояние Discarding в стабильной топологии);

          • он является граничным портом.

            Чтобы продемонстрировать действие метода синхронизации на раз- личные типы портов, предположим, что в коммутаторе В имеются гра- ничные порты p3 и р5 и назначенный порт p4. Порты p3 и p5 уже удовле- творяют одному из условий синхронизации. Чтобы находиться в режиме синхронизации (шаг 2 на рис. 5.14), коммутатору В необходимо заблоки- ровать порт р4, переведя его в состояние Discarding.

            После того, как коммутатор В убедится, что все порты синхронизи- рованы, он разблокирует свой новый корневой порт (шаг 3 на рис. 5.14) и отправит через него коммутатору А согласие на предложение. Это сооб- щение является копией BPDU-предложения, в котором вместо бита Proposal установлен бит Agreement. Благодаря этому порт p1 коммутатора А точно знает, какому предложению соответствует полученное согласие.


             

            image

            image


             

            Рис. 5.14. Механизм предложений и соглашений

            После этого коммутатор А мгновенно переведет свой назначенный порт р1 в состояние продвижения.

            Находясь в заблокированном состоянии порт р4 коммутатора В нач- нет отсылать предложения нижележащему коммутатору и пытаться быст- ро перейти в состояние продвижения (шаг 4 на рис. 5.14).


             

        5. Новый механизм изменения топологии


           

          1. Определение изменений топологии.

            В протоколе RSTP только неграничные порты, переходя в состояние продвижения, могут вызвать процесс изменения топологии. Это означает, что разрыв соединения больше не рассматривается как изменение в тополо- гии, в отличие от протокола STP, т.е. при переходе порта в заблокированное состояние соответствующий коммутатор не генерирует TCN BPDU. Когда мост RSTP обнаруживает изменение топологии, происходит следующее:

            • коммутатор устанавливает начальное значение таймера TC While

              равным удвоенному интервалу Hello для всех неграничных назна- ченных портов и корневого порта. While Timer – это интервал вре- мени, в течение которого мост RSTP активно информирует ос- тальные мосты в сети об изменении топологии;

            • удаляет МАС-адреса, ассоциированные со всеми неграничными

              назначенными портами и корневым портом;

            • до тех пор, пока не истечет время, установленное таймером TC While, запущенным на порте, в BPDU, отправляемых через него, будет установлен бит ТС.


               

          2. Распространение информации об изменении топологии.

          Когда коммутатор получает от соседа BPDU с установленным битом ТС, происходит следующее:

          • коммутатор удаляет все МАС-адреса, изученные его неграничными

            назначенными портами и корневым портом, за исключением того порта, который получил информацию об изменении топологии;

          • коммутатор запускает таймер TC While и отправляет BPDU с установ-

            ленным битом ТС через все неграничные порты (RSTP не использует специальные TCN BPDU, за исключением случаев, когда требуется уведомить коммутатор, поддерживающий только протокол STP).

            Коммутатор-отправитель BPDU с битом ТС непосредственно распространяет информацию об изменении топологии через всю сеть (в отличие от STP, где это может выполнить только корневой мост). Этот механизм распространения информации об изменении топологии быстрее, чем его аналог в протоколе STP, т.к. нет необходимости ждать, когда будет уведомлен корневой мост, и потом поддерживать состояние

            изменения топологии для всей сети в течение периода времени, равного сумме значений таймеров Forward Delay и Max Age.


             

            image

            image


             

            image


             

            Рис. 5.15. Новый механизм изменения топологии


             

        6. Стоимость пути RSTP


           

          Протокол RSTP определяет следующие рекомендованные значения сто- имости пути по умолчанию для портов коммутаторов. Эти значения вычисля- ются в соответствии со скоростью канала связи, к которому подключен порт.


           

          Таблица 5.2. Стоимость пути RSTP


           

          Параметр

          Скорость канала

          Рекомендованное значение

          Рекомендованный диапазон

          Диапазон значений

          Стоимость пути

          10 Мбит/с

          2 000 000

          200 000–

          20 000 000

          1–

          200 000 000

          Стоимость пути

          100 Мбит/с

          200 000

          20 000–

          2 000 000

          1–

          200 000 000

          Стоимость пути

          1 Гбит/с

          20 000

          2 000–200 000

          1–

          200 000 000

          Стоимость пути

          10 Гбит/с

          2 000

          200–20 000

          1–

          200 000 000

        7. Совместимость с STP


           

          Протокол RSTP может взаимодействовать с оборудованием, поддер- живающим STP, и, если необходимо, автоматически преобразовывать ка- дры BPDU в формат 802.1D. Однако преимущество быстрой сходимости RSTP (когда все коммутаторы быстро переходят в состояние пересылки или блокировки и обладают тождественной информацией) теряется.

          Каждый порт хранит переменную, определяющую тип протокола, используемого в соответствующем сегменте. При включении порта акти- визируется таймер задержки миграции (Migration delay timer) длительнос- тью 3 секунды. При запуске этого таймера текущий режим (STP или RSTP) ассоциированный с портом, блокируется. Как только истечет время за- держки миграции, порт начнет работать в режиме, соответствующем типу следующего полученного им BPDU. Если в результате получения BPDU порт изменил свой режим работы, таймер задержки миграции запускается вновь, что позволяет ограничить частоту возможной смены режимов.

          Предположим, что коммутаторы А и В (рис. 5.16) работают в режиме RSTP. Коммутатор А является выделенным мостом этого сегмента. К су- ществующему каналу связи подключается коммутатор С, который явля- ется коммутатором с поддержкой протокола STP. Так как коммутаторы STP игнорируют BPDU протокола RSTP и отбрасывают их, то коммута- тор С считает, что в этом сегменте сети больше коммутаторов нет и начи- нает отправлять BPDU формата 802.1D.


           

          image


           

          image

          Рис. 5.16. Пример совместной работы коммутаторов STP и RSTP Коммутатор А получает эти BPDU и после истечения периода време-

          ни, установленного таймером задержки миграции, переходит на этом порте

          в режим работы STP. В результате коммутатор С начинает понимать BPDU коммутатора А и признает его назначенным коммутатором этого сегмента.

          Следует отметить, что если бы в этом частном случае коммутатор С был удален из сегмента, то коммутатор А остался бы работать в режиме STP на этом порте, хотя он мог бы эффективно работать в режиме RSTP со своим единственным соседом коммутатором В. Т.е. у коммутатора А нет возмож- ности узнать, что коммутатор С удален из этого сегмента. В этом частном случае для перезагрузки протокола, используемого на порте коммутатора, требуется вмешательство администратора сети. Когда порт находится в ре- жиме, совместимом с 802.1D, он также может обрабатывать уведомления об изменении топологии TCN BPDU с установленными битами ТС и ТСА.


           

        8. Настройка RSTP


           

          image

          image

          Настройка протокола RSTP на коммутаторах D-Link аналогична на- стройке протокола STP. Рассмотрим пример настройки RSTP в сети, по- казанной на рис. 5.17.


           


           

          Рис. 5.17. Схема сети


           

          Настройка коммутатора 1

          • Активизировать RSTP


             

            enable stp

            config stp version rstp

          • Установить коммутатору 1 наименьшее значение приоритета, что- бы он был выбран корневым мостом (приоритет по умолчанию равен 32768)


             

            config stp priority 4096 instance_id 0


             

          • Настроить граничные порты RSTP config stp ports 1-24 edge true Настройка коммутатора 2

            enable stp

            config stp version rstp

            config stp ports 1-24 edge true


             

      2. Multiple Spanning Tree Protocol


         

        Несмотря на то, что протокол RSTP обеспечивает быструю сходи- мость сети, он так же, как и протокол STP, обладает следующим недостат- ком – не поддерживает возможность создания отдельного связующего де- рева для каждой VLAN, настроенной в сети. Это означает, что резервные каналы связи не могут блокироваться на основе VLAN и все VLAN образу- ют одну логическую топологию, не обладающую достаточной гибкостью.

        Протокол Multiple Spanning Tree Protocol (MSTP), являющийся рас- ширением протокола RSTP, преодолевает это ограничение. В дополнение к обеспечению быстрой сходимости сети он позволяет настраивать от- дельное связующее дерево для любой VLAN или группы VLAN, создавая множество маршрутов передачи трафика и позволяя осуществлять балан- сировку нагрузки. Первоначально протокол MSTP был определен в стан- дарте IEEE 802.1s, но позднее был добавлен в стандарт IEEE 802.1Q-2003. Протокол MSTP обратно совместим с протоколами STP и RSTP.


         

        1. Логическая структура MSTP


           

          Протокол MSTP делит коммутируемую сеть на регионы MST (Multiple Spanning Tree (MST) Region), каждый из которых может содержать множество копий связующих деревьев (Multiple Spanning Tree Instance, MSTI) с независимой друг от друга топологией. Другими словами, регион MST, представляющий собой набор физически подключенных друг к дру- гу коммутаторов, делит данную физическую топологию на множество ло- гических.

          image


           

          Рис. 5.18. Физическая и логическая топология региона MST


           

          image


           


           

          Рис. 5.19. Регион MST

          Для того чтобы два и более коммутатора принадлежали одному реги- ону MST, они должны обладать одинаковой конфигурацией MST.

          Конфигурация MST включает такие параметры, как номер ревизии MSTP (MSTP revision level number), имя региона (Region name), карту при- вязки VLAN к копии связующего дерева (VLAN-to-instance mapping).

          Внутри коммутируемой сети может быть создано множество MST- регионов.

          Протокол MSTP определяет следующие типы связующих деревьев:

          • Internal Spanning Tree (IST) – специальная копия связующего де- рева, которая по умолчанию существует в каждом MST-регионе. IST присвоен номер 0 (Instance 0). Она может отправлять и полу- чать кадры BPDU и служит для управления топологией внутри ре- гиона. По умолчанию все VLAN одного региона привязаны к IST. Если в регионе создано несколько MSTI, то VLAN, не ассоцииро- ванные с ними, остаются привязанными к IST. Динамические VLAN, созданные с помощью протокола GVRP, также ассоцииру- ются с IST;

          • Common Spanning Tree (CST) – единое связующее дерево, вычис-

            ленное с использованием протоколов STP, RSTP, MSTP и объеди- няющее все регионы MST и мосты SST (Single Spanning Tree (SST) Bridge);

          • Common and Internal Spanning Tree (CIST) – единое связующее де-

            рево, объединяющее CST и IST каждого MST-региона;


             

            image


             

            image


             

            Рис. 5.20. Логическая структура MSTP

          • Single Spanning Tree (SST) Bridge – мост, поддерживающий только- единственное связующее дерево, CST. Это единственное связую- щее дерево может поддерживать протокол STP или протокол RSTP.

        2. Multiple Spanning Tree Instance (MSTI)


           

          По умолчанию все VLAN данного MST-региона назначены в IST. Помимо IST, в каждом MST-регионе может быть дополнительно создано множество связующих деревьев с независимой друг от друга архитектурой – MSTI. К каждой MSTI администратор сети может вручную привязать со- ответствующие сети VLAN.

          MSTI обладают следующими характеристиками:

          • MSTI является копией связующего дерева, существующей только внутри региона;

          • MSTI не может отправлять BPDU за пределы своего региона (от-

            правлять и получать BDPU может только IST);

          • все MSTI внутри региона могут нумероваться 1, 2, 3, 4 и т.д. (мак- симальное количество MSTI зависит от модели коммутатора и версии программного обеспечения);

          • MSTI не отправляет индивидуальные BPDU. Вся информация о

            данной MSTI помещается в конфигурационное сообщение MSTI (MSTI Configuration Message, M-record), которое инкапсулируется в кадры MSTP BPDU, рассылаемые IST.

            Для того чтобы каждая MSTI представляла собой отдельную от IST логическую топологию, администратор сети может присвоить коммута- торам и портам внутри MSTI собственные значения приоритетов и стои- мости пути.


             

        3. Формат MSTP BPDU


           

          Формат MSTP BPDU аналогичен формату RSTP BPDU, за исключением полей, предназначенных для передачи информации об IST, каждой MSTI (если они созданы в регионе) и конфигурации MST.


           

        4. Вычисления в MSTP


           

          Прежде чем начать рассматривать вопрос вычисления активной то- пологии MSTP, следует отметить, что спецификация MSTP рассматрива- ет MST-регион как один виртуальный мост RSTP, и вычисление активной топологии внутри региона отделено от вычисления топологии всей ком- мутируемой сети. Другими словами, соединения между мостами внутри региона не зависят от внешних соединений между MST-регионами.


           

          image


           

          Рис. 5.21. Формат MSTP BPDU


           

          Процесс вычисления в MSTP начинается с выбора корневого моста CIST (CIST Root) сети. При выборе CIST Root используется тот же фунда- ментальный алгоритм, который описан в стандарте IEEE 802.1D-2004.

          Первоначально каждый коммутатор сети считает себя корневым мос- том CIST и рассылает BPDU, в поле CIST Root Bridge ID которых указано значение его идентификатора, а внешняя стоимость пути до корня (CIST External Root Path Cost) равна нулю. Эти два параметра являются основны- ми для определения активной топологии всей коммутируемой сети.

          Коммутатор перестанет заявлять себя в качестве корневого моста CIST, как только получит BPDU с меньшим значением идентификатора моста. В качестве CIST Root будет выбран коммутатор, обладающий наи- меньшим значением идентификатора моста среди всех коммутаторов сети. Одновременно с выбором корневого моста CIST в каждом регионе выбирается региональный корневой мост CIST (CIST Regional Root).

          Им становится коммутатор, обладающий наименьшей внешней стоимос- тью пути к корню CIST среди всех коммутаторов принадлежащих данно- му региону. Внешняя стоимость пути до корня CIST представляет собой суммарное условное время пути от граничного коммутатора МST-регио- на или моста SST до порта корневого моста CIST. Следует отметить, что значение CIST External Root Path Cost не изменяется при передаче кон- фигурационного BPDU между коммутаторами внутри региона. Это зна- чение увеличивается на условное время передачи только портами гранич- ных коммутаторов, подключающих данный регион к другим регионам. В протоколе MSTP рекомендованные значения стоимости пути аналогич- ны значениям, определенным в RSTP.

          В случае наличия в регионе коммутаторов с одинаковой стоимос- тью пути в качестве CIST Regional Root будет выбран коммутатор с наи- меньшим значением идентификатора моста. При этом маршрут от это- го коммутатора до CIST Root не должен проходить через другие комму- таторы этого региона. Т.е. в качестве CIST Regional Root выбирается коммутатор, находящийся на границе региона. Следует отметить, что регион, содержащий CIST Root, использует его также в качестве CIST Regional Root.

          Протокол MSTP, используя механизм предложений и соглашений RSTP, блокирует все избыточные каналы связи от всех CIST Regional Root к CIST Root, делая их резервными или альтернативными.

          При наличии в регионе отдельных связующих деревьев MSTI, для каждой MSTI, независимо от остальных, выбирается региональный корне- вой мост MSTI (MSTI Regional Root). Им становится коммутатор, облада- ющий наименьшим значением идентификатора моста среди всех комму- таторов данной MSTI этого MST-региона. Определение роли портов и блокирование избыточных связей происходит аналогично процедурам, описанным в RSTP.


           

        5. Роли портов MSTP


           

          Протокол MSTP определяет роли портов, которые участвуют в про- цессе вычисления активной топологии CIST и MSTI, аналогичные прото- колам STP и RSTP:

          • корневой порт (Root Port);

          • назначенный порт (Designated Port);

          • альтернативный/резервный порт (Alternate/Backup Port).

            Дополнительно в MSTI используется еще одна роль, которая может быть присвоена порту, – мастер-порт (Master Port).

            Роли портов CIST определяют роли каждого порта коммутатора, участвующего в построении активной топологии CIST.

            Корневой порт (Root Port) – это порт, который обладает минимальной стоимостью пути от коммутатора до корневого моста CIST (в случае если мост не является CIST Root) через региональный мост (в том случае, если коммутатор не является региональным корнем CIST).

            Назначенный порт (Designated Port) – это порт, обладающий наимень- шей стоимостью пути от подключенного сегмента сети до корневого мос- та CIST.

            Альтернативный/резервный порт (Alternate/Backup Port) – это порт, ко- торый обеспечивает подключение, если происходит потеря соединения с какими-либо коммутаторами или сегментами сети.

            Роли портов MSTI определяют роли каждого порта коммутатора, участвующего в построении активной топологии MSTI внутри границы региона.

            Корневой порт (Root Port) – это порт, который обладает минимальной стоимостью пути от коммутатора до регионального корневого моста MSTI (в случае если мост не является региональным корнем для этой MSTI).

            Назначенный порт (Designated Port) – это порт, обладающий наимень- шей стоимостью пути от подключенного сегмента сети до регионального корневого моста MSTI.


             

            image


             

            image


             

            Рис. 5.22. Роли портов

            Рис. 5.23. Пример топологии MSTP

            Рис. 5.23. Пример топологии MSTP

             


             

            image

            Альтернативный/резервный порт (Alternate/Backup Port) – это порт, ко- торый обеспечивает подключение, если происходит потеря соединения с какими-либо коммутаторами или сегментами сети.

            Мастер-порт (Master Port) – это порт, который обеспечивает подклю- чение региона к корневому мосту CIST, находящемуся за пределами дан- ного региона. Корневой порт CIST регионального корневого моста CIST является мастером-портом для всех MSTI.

            Протокол MSTP вводит еще одну роль, которая может быть присво- ена порту, – пограничный порт (Boundary Port). Пограничным портом яв- ляется порт, который подключает MST-регион к другому региону или SST-мосту.


             

        6. Пример топологии MSTP


           

          Рассмотрим пример топологии MSTP, приведенный на рис. 5.23. Сеть разбита на 3 MST-региона, в каждом регионе все коммутаторы ассо- циированы с Instance 0.

          1. Коммутатор 1 (SW-1) выбран в качестве корневого моста CIST, т.к. он обладает наименьшим среди всех коммутаторов сети значени- ем идентификатора моста.

          2. Коммутаторы 1, 2 и 3 (SW-1, SW-2, SW-3) находятся в одном MST- регионе с номером 1, т.к. обладают одинаковым идентификатором MST-конфигурации. Коммутаторы 2 и 3 находятся в одном регио- не с корневым мостом CIST (коммутатор 1), поэтому их внешняя стоимость пути равна 0 и их региональный мост CIST совпадает с корневым мостом CIST.

          3. Коммутаторы 4-10 (SW-4-SW-10) принадлежат одному региону, т.к. имеют одинаковые идентификаторы MST-конфигурации. Коммутатор 4 (SW-4) является региональным корневым мостом CIST для MST-региона 2, т.к. обладает наименьшей внешней сто- имостью пути к CIST Root.

          4. Коммутаторы 11, 12 и 13 (SW-11-SW-13) принадлежат к MST- региону 3, т.к. обладают одинаковыми идентификаторами MST- конфигурации. Коммутатор 11 (SW-11) выбран в качестве регио- нального корневого моста CIST для MST-региона 3, т.к. обладает наименьшей внешней стоимостью пути к CIST Root.


           

        7. Состояние портов MSTP


           

          В протоколе MSTP определены состояния, в которых могут нахо- диться порты, аналогичные протоколу RSTP:

          • Learning («Обучение») – порт может принимать/отправлять кадры BPDU, изучать МАС-адреса и строить таблицу коммутации. Порт в этом состоянии не передает пользовательские кадры;

          • Forwarding («Продвижение») – в этом состоянии порт может пере-

            давать пользовательские кадры, изучать новые МАС-адреса и принимать/отправлять кадры BPDU;

          • Discarding («Отбрасывание») – в этом состоянии порт может толь-

            ко принимать кадры BPDU, передача пользовательского трафика и изучение МАС-адресов не выполняется.

        8. Счетчик переходов MSTP


           

          При вычислении активной топологии связующего дерева IST и MSTI не используют значения полей Max Age и Message Age конфигура- ционного BPDU для отбрасывания устаревших сообщений. Вместо этого используется механизм счетчика переходов (Hop count).

          С помощью команды config stp maxhops на коммутаторах D-Link можно настроить максимальное число переходов между устройствами внутри региона, прежде чем кадр BPDU будет отброшен. Значение счет- чика переходов устанавливается региональным корневым мостом MSTI или CIST и уменьшается на 1 каждым портом коммутатора, получившим кадр BPDU.


           

          Внимание: значение счетчика переходов зависит от модели коммута- тора. По умолчанию используется значение счетчика переходов, равное 20.


           

          После того как значение счетчика станет равным 0, кадр BPDU бу- дет отброшен и информация, хранимая портом, будет помечена как уста- ревшая.

          Следует отметить, что коммутаторы не изменяют данные, хранимые в полях Max Age и Message Age конфигурационных BPDU, при их переда- че через коммутаторы MST-региона. Значение Message Age изменяется только коммутаторами, расположенными на границе региона, чтобы обеспечить совместимость с мостами STP и RSTP, которые могут исполь- зоваться в сети.


           

        9. Настройка протокола MSTP на коммутаторах


           

          Ниже приведены основные шаги, которые позволяют настроить протокол MSTP на коммутаторах D-Link.

          1. Активизировать STP на всех устройствах.

          2. Изменить версию STP на MSTP (по умолчанию используется RSTP).

          3. Настроить имя MST-региона и ревизию.

          4. Создать MSTI и карту привязки VLAN к MSTI.

          5. Задать приоритет STP для выбора корневого моста. По умолчанию используется приоритет 32768.

          6. Настроить приоритеты портов.

          7. Настроить граничные порты.

          image

          Рассмотрим пример, показанный на рис. 5.24. В сети созданы две виртуальные локальные сети – VLAN v2 и VLAN v3. Каждая VLAN при- вязывается к одной копии связующего дерева.


           

          image


           

          image

          image

          image

          Рис. 5.24. Схема сети


           

          Настройка коммутатора 1

          • Создание VLAN


             

            config vlan default delete 1-8,17-24 create vlan v2 tag 2

            config vlan v2 add untagged 1-8 create vlan v3 tag 3

            config vlan v3 add untagged 17-24


             

          • Настройка MSTP


             

            enable stp

            config stp version mstp

            config stp mst_config_id name dlink revision_level 1 create stp instance_id 2

            config stp instance_id 2 add_vlan 2 create stp instance_id 3

            config stp instance_id 3 add_vlan 3

            config stp priority 4096 instance_id 0

            config stp priority 4096 instance_id 2

            config stp priority 4096 instance_id 3 config stp ports 7,23 edge true


             

            Настройка коммутатора 2

          • Создание VLAN


             

            config vlan default delete 1-8,17-24 create vlan v2 tag 2

            config vlan v2 add untagged 1-8 create vlan v3 tag 3

            config vlan v3 add untagged 17-24


             

          • Настройка MSTP


 

enable stp

config stp version mstp

config stp mst_config_id name dlink revision_level 1 create stp instance_id 2

config stp instance_id 2 add_vlan 2 create stp instance_id 3

config stp instance_id 3 add_vlan 3 config stp ports 7,23 edge true


 

Рассмотрим второй пример настройки протокола MSTP, позволяю- щий осуществлять балансировку нагрузки между каналами связи.

В примере, показанном на рис. 5.25, каждая VLAN привязывается к одной копии связующего дерева. Порты 25 и 26 являются маркированны- ми портами обеих VLAN. Порт 25 используется в качестве активного ка- нала связи для VLAN v2, порт 26 используется в качестве активного кана- ла связи для VLAN v3. Т.к. для каждой VLAN будет построена своя собст- венная активная топология связующего дерева, то кадры VLAN v2 и VLAN v3 будут передаваться по разным маршрутам (через порты 25 и 26 соответственно), благодаря чему будет обеспечена балансировка нагруз- ки. В случае если один из каналов связи выйдет из строя, трафик VLAN v2 и VLAN v3 будет передаваться по одному оставшемуся каналу.

Настройка коммутатора 1

  • Создание VLAN


     

    config vlan default delete 1-8,17-24 create vlan v2 tag 2

    config vlan v2 add tagged 25-26 config vlan v2 add untagged 1-8 create vlan v3 tag 3

    config vlan v3 add tagged 25-26 config vlan v3 add untagged 17-24


     

  • Настройка MSTP


     

    enable stp

    config stp version mstp

    config stp mst_config_id name dlink revision_level 1 create stp instance_id 2

    config stp instance_id 2 add_vlan 2 create stp instance_id 3

    config stp instance_id 3 add_vlan 3 config stp ports 7,23 edge true


     

    Настройка коммутатора 2

  • Создание VLAN


     

    config vlan default delete 1-8,17-24 create vlan v2 tag 2

    config vlan v2 add tagged 25-26 config vlan v2 add untagged 1-8 create vlan v3 tag 3

    config vlan v3 add tagged 25-26 config vlan v3 add untagged 17-24


     

  • Настройка MSTP


     

    enable stp

    config stp version mstp

    config stp mst_config_id name dlink revision_level 1 create stp instance_id 2

    config stp instance_id 2 add_vlan 2 create stp instance_id 3

    config stp instance_id 3 add_vlan 3

    config stp mst_ports 25 instance_id 2 priority 96

    config stp mst_ports 26 instance_id 2 priority 128

    config stp mst_ports 25 instance_id 3 priority 128

    image

    image

    image

    image

    image

    image

    image

    image

    config stp mst_ports 26 instance_id 3 priority 96 config stp ports 7,23 edge true


     


     


     

    image

    Рис. 5.25. Балансировка нагрузки с помощью MSTP


     

      1. Дополнительные функции защиты от петель


         

        Функция LoopBack Detection (LBD) обеспечивает дополнительную защиту от образования петель на уровне 2 модели OSI. Существует две ре- ализации этой функции:

        • STP LoopBack Detection;

        • LoopBack Detection Independent STP.

          На рис. 5.26 показана ситуация, когда к порту управляемого комму- татора подключен неуправляемый коммутатор, порты которого соедине- ны с образованием петли. В этом случае в сети может возникнуть широ- ковещательный шторм и ее работоспособность будет нарушена.

          Функция STP LoopBack Detection предназначена для отслеживания таких ситуаций и временного блокирования тех портов коммутатора, на которых обнаружены петли, тем самым предотвращая проблемы в сети. Коммутатор определяет наличие петли, когда отправленный им кадр BPDU вернулся назад на другой его порт. В этом случае порт-источник кадра BPDU и порт-приемник будут автоматически заблокированы и ад- министратору сети будет отправлен служебный пакет-уведомление. Пор- ты будут находиться в заблокированном состоянии до истечения периода

          времени, установленного таймером LBD Recover Timer. По умолчанию на коммутаторах D-Link эта функция отключена. Следует отметить, что функция STP LoopBack Detection не определяет петлю, когда отправлен- ный кадр BPDU вернулся назад на этот же порт.


           

          image


           

          Рис. 5.26. Пример работы функции LoopBack Detection Independent STP


           

          В отличие от STP LoopBack Detection функция LoopBack Detection Independent STP не требует настройки протокола STP на портах, на кото- рых необходимо определять наличие петли. В этом случае наличие петли обнаруживается путем отправки портом специального служебного кадра ECTP (Ethernet Configuration Testing Protocol). При получении кадра ECTP этим же портом он блокируется на указанное в таймере время.

          Следует отметить, что функция LoopBack Detection Independent STP версии 4.03 также может определять петли, возникающие между портами одного коммутатора.


           

          Внимание: чтобы получить информацию о поддержке коммутатором функции LBD v.4.03, необходимо обратиться в службу технической поддержки D-Link.


           

          Существуют два режима работы этой функции: Port-Based и VLAN- Based (начиная с LBD версии v.4.00).

          В режиме Port-Based при обнаружении петли происходит автомати- ческая блокировка порта, и никакой трафик через него не передается.

          В режиме VLAN-Based порт будет заблокирован для передачи тра- фика только той VLAN, в которой обнаружена петля. Остальной трафик через этот порт будет передаваться.

          1. Настройка функции LoopBack Detection


     

    В качестве примера приведем настройку функций STP LoopBack Detection и LoopBack Detection Independent STP в режимах Port-Based и VLAN-Based для ситуации, показанной на рис. 5.26.


     

    Настройка функции STP LoopBack Detection


     

    enable stp

    config stp ports 1-24 state enable edge true lbd enable config stp lbd_recover_timer 60


     

    Настройка функции LoopBack Detection Independent STP (Port-Based)


     

    enable loopdetect

    config loopdetect recover_timer 60 config loopdetect interval 10 config loopdetect mode port-based

    config loopdetect ports 1-24 state enabled


     

    Настройка функции LoopBack Detection Independent STP (VLAN-Based)


     

    enable loopdetect

    config loopdetect recover_timer 60 config loopdetect interval 10 config loopdetect mode vlan-based

    config loopdetect ports 1-24 state enabled


     

    Внимание: таймер recover_timer – интервал времени в секундах, че- рез который будет проверяться статус заблокированного функцией LBD порта. Если установить значение таймера равным 0, заблокиро- ванный порт не сможет быть автоматически разблокирован и для его восстановления потребуется вмешательство администратора. Значе- ние таймера задается глобально на коммутаторе.


     

    loopdetect interval – временной интервал в секундах между отсылае- мыми кадрами ECTP (Ethernet Configuration Testing Protocol).


     

      1. Функции безопасности STP


         

        Из-за ошибок в конфигурации или вредоносных атак в сети может возникнуть ситуация, когда корневой мост получит кадр BPDU, содержа-

        щий лучший приоритет, и потеряет свою позицию. При настройке прото- колов RSTP или MSTP на управляемых коммутаторах, расположенных на границе сети, с помощью параметра restricted_role можно ограничить ро- ли выполняемые портом в активной топологии. При активизации этого параметра порт не будет выбран в качестве корневого порта даже в том случае, если получит BPDU с наилучшим приоритетом. После выбора корневого порта этот порт будет выбран в качестве альтернативного. По умолчанию функция restricted_role отключена.


         

        Настройка коммутатора


         

        enable stp

        config stp version rstp

        config stp priority 32768 instance_id 0

        config stp ports 1-24 edge true restricted_role true restricted_tcn true state enable

        config stp ports 25-28 edge false state enable fbpdu enable


         

      2. Агрегирование каналов связи


     

    Агрегирование каналов связи (Link Aggregation) – это объединение нескольких физических портов в одну логическую магистраль на каналь-


     

    image


     

    image image image image


     

    Рис. 5.27. Пример агрегированного канала связи между коммутаторами

    ном уровне модели OSI с целью образования высокоскоростного канала передачи данных и повышения отказоустойчивости.

    В отличие от протокола STP, все избыточные связи в одном агреги- рованном канале остаются в рабочем состоянии, а имеющийся трафик распределяется между ними для достижения балансировки нагрузки. При отказе одной из линий, входящих в такой логический канал, трафик рас- пределяется между оставшимися линиями.

    Включенные в агрегированный канал порты называются членами

    группы агрегирования (Link Aggregation Group).


     

    Внимание: количество портов в группе зависит от модели коммутато- ра. В управляемых коммутаторах в группу можно объединить до 8 портов.


     

    Один из портов в группе выступает в качестве мастера-порта (master port). Так как все порты агрегированной группы должны работать в одном режиме, конфигурация мастера-порта распространяется на все порты в группе. Таким образом, при конфигурировании портов в группе агреги- рования достаточно настроить мастер-порт.

    Важным моментом при реализации объединения портов в агрегиро- ванный канал является распределение трафика по ним. Если пакеты од- ного сеанса будут передаваться по разным портам агрегированного кана- ла, то может возникнуть проблема на более высоком уровне модели OSI. Например, если два или более смежных кадров одного сеанса станут пе- редаваться через разные порты агрегированного канала, то из-за неоди- наковой длины очередей в их буферах может возникнуть ситуация, когда из-за неравномерной задержки передачи кадра более поздний кадр обго- нит своего предшественника. Поэтому в большинстве реализаций меха- низмов агрегирования используются методы статического, а не динами- ческого распределения кадров по портам, т.е. закрепление за определен- ным портом агрегированного канала потока кадров определенного сеанса между двумя узлами. В этом случае все кадры будут проходить через одну и ту же очередь и их последовательность не изменится. Обычно при ста- тическом распределении выбор порта для конкретного сеанса выполня- ется на основе выбранного алгоритма агрегирования портов, т.е. на осно- вании некоторых признаков поступающих пакетов. В коммутаторах D-Link поддерживается 9 алгоритмов агрегирования портов:

    1. mac_source – МАС-адрес источника;

    2. mac_destination – МАС-адрес назначения;

    3. mac_source_dest – МАС-адрес источника и назначения;

    4. ip_source – IP-адрес источника;

    5. ip_destination – IP-адрес назначения;

    6. ip_source_dest – IP-адрес источника и назначения;

    7. l4_src_port – TCP/UDP-порт источника;

    8. l4_dest_port – TCP/UDP-порт назначения;

    9. l4_src_dest_port – TCP/UDP-порт источника и назначения.

    В коммутаторах D-Link по умолчанию используется алгоритм

    mac_source (МАС-адрес источника).


     

    image image


     

    Рис. 5.28. Распределение потоков данных по каналам агрегированной линии связи для алгоритма mac_source_dest


     

    Объединение каналов следует рассматривать как вариант настройки сети, используемый преимущественно для соединений «коммутатор – коммутатор» или «коммутатор – файл-сервер», требующих более высо- кой скорости передачи, чем может обеспечить одиночная линия связи. Также эту функцию можно применять для повышения надежности важ- ных каналов связи. В случае повреждения линии связи объединенный ка- нал быстро перенастраивается (не более чем за 1 сек.), а риск дублирова- ния и изменения порядка кадров незначителен.

    Программное обеспечение коммутаторов D-Link поддерживает два типа агрегирования каналов связи:

    • статическое;

    • динамическое, на основе стандарта IEEE 802.3ad (LACP).

      При статическом агрегировании каналов (установлено по умолча- нию), все настройки на коммутаторах выполняются вручную, и они не допускают динамических изменений в агрегированной группе.

      Для организации динамического агрегирования каналов между коммутаторами и другими сетевыми устройствами используется про- токол управления агрегированным каналом – Link Aggregation Control Protocol (LACP). Протокол LACP определяет метод управления объе- динением нескольких физических портов в одну логическую группу и

      предоставляет сетевым устройствам возможность автосогласования каналов (их добавления или удаления) путем отправки управляющих кадров протокола LACP непосредственно подключенным устройст- вам с поддержкой LACP. Пакеты LACP отправляются устройством че- рез все порты, на которых активизирован протокол. Порты, на кото- рых активизирован протокол LACP, могут быть настроены для работы в одном из двух режимов: активном (active) или пассивном (passive). При работе в активном режиме порты выполняют обработку и рас- сылку управляющих кадров протокола LACP. При работе в пассивном режиме порты выполняют только обработку управляющих кадров LACP.

      Для того чтобы динамический канал обладал функцией автосогла- сования, рекомендуется порты, входящие в агрегированную группу, с одной стороны канала настраивать как активные, а с другой – как пас- сивные.

      Следует отметить, что у портов, объединяемых в агрегированный ка- нал, нижеперечисленные характеристики должны обладать одинаковыми настройками:

    • тип среды передачи;

    • скорость;

    • режим работы – полный дуплекс;

    • метод управления потоком (Flow Control) .

      При объединении портов в агрегированный канал на них не должны быть настроены функции аутентификации 802.1Х, зеркалирования тра- фика и блокировки портов.


       

      5.7.1. Настройка статических и динамических агрегированных каналов


       

      Рассмотрим пример, показанный на рис. 5.29. Для повышения про- пускной способности канала связи между коммутатором 1, к которому подключен сервер, и коммутатором 2, к которому подключены пользова- тели, требуется объединить порты коммутаторов в статический агрегиро- ванный канал.

      На коммутаторах необходимо выполнить следующую настройку:


       

      Настройка коммутатора 1

    • Создать группу агрегирования (тип канала Static) и задать алго- ритм агрегирования.


       

      create link_aggregation group_id 1 type static config link_aggregation algorithm mac_destination


       

      image


       

      image image image image


       

      Рис. 5.29. Схема сети


       

    • Включить порты 21, 22, 23, 24 в группу и выбрать порт 21 в каче- стве мастера-порта.


       

      config link_aggregation group_id 1 master_port 21 ports 21,22,23,24 state enabled


       

      Настройка коммутатора 2

    • Создать группу агрегирования и задать алгоритм агрегирования.


       

      create link_aggregation group_id 1 type static config link_aggregation algorithm mac_source


       

    • Включить порты 21, 22, 23, 24 в группу и выбрать порт 21 в каче- стве мастера-порта.


 

config link_aggregation group_id 1 master_port 21 ports 21,22,23,24 state enabled


 

Рассмотрим пример настройки коммутаторов при создании динами- ческого агрегированного канала связи.


 

image


 

Рис. 5.30. Схема сети


 

Настройка коммутатора 1

  • Создать группы агрегирования (тип канала LACP) и задать алго- ритм агрегирования.


     

    create link_aggregation group_id 1 type lacp create link_aggregation group_id 2 type lacp config link_aggregation algorithm mac_destination


     

  • Включить порты 1, 2, 3, 4 в группу 1 и выбрать порт 1 в качестве мастера-порта.


     

    config link_aggregation group_id 1 master_port 1 ports 1-4 state enabled


     

  • Включить порты 5, 6, 7, 8 в группу 2 и выбрать порт 5 в качестве мастера-порта.


     

    config link_aggregation group_id 2 master_port 5 port 5-8 state enabled

    • Настроить для портов 1-8 активный режим работы.

      config lacp_port 1-8 mode active


       

      Настройка коммутаторов 2 и 3 (на портах 1-4 этих коммутаторов включено автосогласование)


       

      create link_aggregation group_id 1 type lacp config link_aggregation algorithm mac_source

      config link_aggregation group_id master_port 1 ports 1-4 state enabled


       

      Внимание:

      1. Если один конец агрегированного канала настроен как LACP, дру- гой конец должен также иметь тип LACP. Если один конец имеет тип LACP, а другой Static, то соединение установлено не будет.

      2. Если коммутатор с поддержкой LACP требуется подключить к коммутатору, поддерживающему только статическое агрегирова- ние, то тип агрегированного канала на коммутаторе LACP необхо- димо установить в Static.

      3. Не соединяйте физически соответствующие порты устройств до тех пор, пока не настроено агрегирование каналов, т.к. в коммути- руемой сети может возникнуть петля.

      Лекция 6. Качество обслуживания (QoS)


       

        1. Модели QoS


           

          Для поддержки передачи по одной сети трафика потоковых мультиме- дийных приложений (Voice over IP (VoIP), IPTV, видеоконференции, он- лайн игры и др.) и трафика данных с различными требованиями к пропуск- ной способности необходимы механизмы, обеспечивающие возможность дифференцирования и обработки различных типов сетевого трафика в за- висимости от предъявляемых ими требований. Негарантированная достав- ка данных (best effort service), традиционно используемая в сетях, построен- ных на основе коммутаторов, не предполагала проведения какой-либо классификации трафика и не обеспечивала надежную доставку трафика приложений, гарантированную пропускную способность канала и опреде- ленный уровень потери пакетов. Для решения этой проблемы было введе- но такое понятие, как качество обслуживания (Quality of Service, QoS).

          Функции качества обслуживания в современных сетях заключаются в обеспечении гарантированного и дифференцированного уровня обслу- живания сетевого трафика, запрашиваемого теми или иными приложе- ниями на основе различных механизмов распределения ресурсов, огра- ничения интенсивности трафика, обработки очередей и приоритизации.

          Можно выделить три модели реализации QoS в сети.

    • Негарантированная доставка данных (Best Effort Service) – обеспечива- ет связь между узлами, но не гарантирует надежную доставку данных, время доставки, пропускную способность и определенный приоритет.

    • Интегрированные услуги (Integrated Services, IntServ) – эта модель

      описана в RFC 1633 и предполагает предварительное резервиро- вание сетевых ресурсов с целью обеспечения предсказуемого по- ведения сети для приложений, требующих для нормального функ- ционирования гарантированной выделенной полосы пропуска- ния на всем пути следования трафика. В качестве примера можно привести приложения IP-телефонии, которым для обеспечения приемлемого качества передачи голоса требуется канал с мини- мальной пропускной способностью 64 Кбит/с (для кодека G.711). Модель IntServ использует сигнальный протокол RSVP (Resource

      Reservation Protocol, протокол резервирования ресурсов) для резервиро- вания ресурсов для каждого потока данных, который должен поддержи- ваться каждым узлом на пути следования трафика. Эту модель также час- то называют жестким QoS (hard QoS) в связи с предъявлением строгих требований к ресурсам сети.

    • Дифференцированное обслуживание (Differentiated Service, DiffServ)

      эта модель описана в RFC 2474, RFC 2475 и предполагает разделе-

      ние трафика на классы на основе требований к качеству обслужи- вания. В архитектуре DiffServ каждый передаваемый пакет снаб- жается информацией, на основании которой принимается реше- ние о его продвижении на каждом промежуточном узле сети, в со- ответствии с политикой обслуживания трафика данного класса (Per-Hop Behavior, PHB).

      Модель дифференцированного обслуживания занимает промежу- точное положение между негарантированной доставкой данных и моде- лью IntServ и сама по себе не предполагает обеспечение гарантий предо- ставляемых услуг, поэтому дифференцированное обслуживание часто на- зывают мягким QoS (soft QoS).


       

        1. Приоритизация пакетов


           

          Для обеспечения QoS на канальном уровне модели OSI коммутаторы поддерживают стандарт IEEE 802.1р. Стандарт IEEE 802.1р позволяет задать до 8 уровней приоритетов (от 0 до 7, где 7 – наивысший), определяющих спо- соб обработки кадра, используя 3 бита поля приоритета тега IEEE 802.1Q.

          Для обеспечения QoS на сетевом уровне модели OSI в заголовке прото- кола IPv4 предусмотрено 8-битное поле ToS (Type of Service). Этот байт может быть заполнен либо значением приоритета IP Precedence, либо значением DSCP (Differentiated Services Code Point) в зависимости от решаемой задачи.

          Поле IP Precedence имеет размерность 3 бита и может принимать значения от 0 до 7. Оно используется для указания относительного при- оритета обработки пакета на сетевом уровне.


           

          image


           

          image


           

          Рис. 6.1. Формат кадра 802.1Q с битами приоритета 802.1р

          image

          image

          Поле DSCP было стандартизировано IETF с появлением модели DiffServ. Оно занимает 6 старших бит байта ToS и позволяют задать до 64 уровней приоритетов (от 0 до 63). По сути код DSCP является расшире- нием 3-битового поля IP Precedence и обладает обратной совместимостью с IP-приоритетом.


           


           

          image


           

          image


           

          image


           

          image


           


           

          image


           


           

          image


           

          image


           


           

          image


           

          image


           

          image


           

          image


           


           


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image


           

          image

          image


           

          image

          image

          image

          Рис. 6.2. Байт ToS заголовка IPv4


           

        2. Классификация пакетов


           

          Для обеспечения дифференцированного обслуживания трафика коммутаторы поддерживают в зависимости от модели от 4 до 8 аппарат- ных очередей приоритетов на каждом из своих портов. Для обеспечения требуемой очередности передачи пакетов данных в коммутаторе необхо- димо настроить алгоритм обслуживания очередей и карту привязки при- оритетов 802.1р, ToS, DSCP к очередям.

          По умолчанию в коммутаторах D-Link используются следующие карты привязки пользовательских приоритетов 802.1р к аппаратным оче- редям:


           

    • 4 очереди приоритетов


       

      Приоритет

      Номер очереди

      0

      Q1

      1

      Q0

      2

      Q0

      3

      Q1

      4

      Q2

      5

      Q2

      6

      Q3

      7

      Q3

    • 8 очередей приоритетов


       

      Приоритет

      Номер очереди

      0

      Q2

      1

      Q0

      2

      Q1

      3

      Q3

      4

      Q4

      5

      Q5

      6

      Q6

      7

      Q6


       

      Внимание: класс 7 в коммутаторах D-Link с поддержкой 8 очередей приоритетов зарезервирован для внутреннего использования и по- этому не настраивается.


       

      В коммутаторах с поддержкой 4-х очередей приоритетов очереди нумеруются от 0 до 3, где оче редь 3 обладает наивысшим приоритетом, очередь 0 – низшим. В коммутаторах с поддержкой 8-ми очередей при- оритетов очереди нумеруются от 0 (низший приоритет) до 7 (наивысший приоритет).

      Программное обеспечение коммутаторов позволяет настраивать карты привязки приоритетов 802.1р, ToS, DSCP к очередям в соответст- вии с требованиями пользователей.

      Для того чтобы поместить пакет в одну из очередей приоритетов в соответствии с заданной политикой QoS, коммутатор анализирует содер- жимое одного или нескольких полей его заголовка – приоритет 802.1р, IP-приоритет или поле DSCP в байте ToS. Этот процесс называется клас- сификацией пакетов (packet classification).

      Следует отметить, что при этом коммутатор не изменяет значения приоритетов внутри пакетов данных, а только определяет очередность и способ их обработки выходным портом, основываясь на реализованной в нем политике QoS.

      В том случае, если на входной порт коммутатора поступает немарки- рованный кадр (заголовок кадра не содержит битов приоритета), то его классификация осуществляется на основе значения приоритета 802.1р, по умолчанию назначенного данному порту.

      Также для классификации пакетов данных на основании различных параметров их заголовков, например МАС-адреса, IP-адреса, номера порта TCP/UDP, тега VLAN и т.д., могут использоваться списки управле- ния доступом (Access Control List, ACL).

        1. Маркировка пакетов


           

          После процесса классификации коммутатор может осуществить маркировку пакетов (packet marking). Маркировка пакетов определяет способ записи/перезаписи значений битов приоритета (DSCP, 802.1p или IP Precedence) входящих пакетов данных. Обычно процесс марки- ровки выполняется на граничных устройствах и позволяет последую- щим коммутаторам/маршрутизаторам использовать новое значение приоритета пакета для отнесения его к одному из поддерживаемых в се- ти классов обслуживания. Изменить значения битов приоритета в заго- ловках входящих пакетов данных можно с помощью списков управле- ния доступом.


           

          image


           

          Рис. 6.3. Маркировка пакетов


           

        2. Управление перегрузками

          и механизмы обслуживания очередей

          Наиболее часто перегрузка сети возникает в местах соединения коммутаторами сетей с разной полосой пропускания. В случае возник- новения перегрузки сети пакеты данных начинают буферизироваться и распределяться по очередям. Порядок передачи через выходной интер- фейс поставленных в очередь пакетов на основе их приоритетов опреде-


           


           

          image


           

          Рис. 6.4. Возникновение перегрузки в сети

          ляется механизмом обслуживания очередей (Queuing mechanism), который позволяет управлять пропускной способностью сети при возникнове- нии перегрузок.

          Механизм управления перегрузками (Congestion management) включа- ет следующие механизмы обслуживания очередей:

    • механизм FIFO (First-In, First-Out);

    • очереди приоритетов (Priority Queuing);

    • взвешенный алгоритм кругового обслуживания (Weighted Round Robin, WRR);

    • настраиваемые очереди (Custom Queuing).

      В коммутаторах D-Link для обслуживания очередей используются взвешенный алгоритм кругового обслуживания, очереди приоритетов и комбинации этих методов.

      Механизм обслуживания очередей FIFO («первым пришел, пер- вым ушел») передает пакеты, поставленные в очередь в том порядке, в котором они поступили в нее. Этот механизм не обеспечивает класси- фикации пакетов и рассматривает их как принадлежащие одному классу.


       

      image


       

      Рис. 6.5. Очередь FIFO


       

      Очереди приоритетов со строгим режимом (Strict Priority Queue) пред- полагают передачу трафика строго в соответствии с приоритетом выход- ных очередей. В этом механизме предусмотрено наличие 4-х очередей – с высоким, средним, обычным и низким приоритетами обслуживания. Па- кеты, находящиеся в очереди с высоким приоритетом, обрабатываются первыми. Пакеты из следующей по приоритету обслуживания очереди начнут передаваться только после того, как опустеет высокоприоритетная очередь. Например, пакеты из средней по приоритету очереди не будут передаваться до тех пор, пока не будут обслужены пакеты из высокопри- оритетной очереди. Пакеты из очереди с нормальным приоритетом не начнут передаваться до тех пор, пока не опустеет очередь со средним при- оритетом и т.д.

      Следует отметить, что пакеты очереди с высоким приоритетом все- гда получают предпочтение при обслуживании независимо от количества пакетов в других очередях и времени, прошедшего с момента передачи последнего пакета из очереди с низким приоритетом. В некоторых случа-

      ях это может привести к «зависанию» обслуживания низкоприоритетно- го трафика, т.е. пакеты из очередей с низким приоритетом долго не будут обрабатываться.

      По умолчанию на коммутаторах D-Link настроены очереди приори- тетов со строгим режимом.


       

      image


       

      Рис. 6.6. Очереди приоритетов со строгим режимом


       

      image

      Еще одним механизмом обслуживания очередей является взвешенный алгоритм кругового обслуживания (Weighted Round Robin, WRR). Этот ме- ханизм исключает главный недостаток очередей приоритетов, обеспечи- вая обработку очередей в соответствии с назначенным им весом и предо- ставляя полосу пропускания для пакетов из низкоприоритетных очередей.


       

      Рис. 6.7. Обслуживание очередей с использованием алгоритма WRR Процесс обработки очередей осуществляется по круговому принци-

      пу, начиная с самой приоритетной очереди. Из каждой непустой очереди передается некоторый объем трафика, пропорциональный назначенному ей весу, после чего выполняется переход к следующей по убыванию при- оритета очереди и т.д. по кругу.

        1. Механизм предотвращения перегрузок


           

          Механизм предотвращения перегрузок (Congestion avoidance) – это про- цесс выборочного отбрасывания пакетов во избежание перегрузок в сети в случае достижения выходными очередями своей максимальной длины (в пакетах).

          Традиционной политикой обработки пакетов коммутаторами в слу- чае переполнения всех выходных очередей является их отбрасывание, ко- торое продолжается до тех пор, пока длина очередей не уменьшится за счет передачи находящихся в них пакетов. Такой алгоритм управления длиной выходных очередей получил название «отбрасывание хвоста» (Tail-Drop). Отбрасывание пакета будет служить сигналом о перегрузке сети источнику ТСР-соединения, т.к. он не получит подтверждения о до- ставке пакета от приемника ТСР-соединения. В этом случае он уменьшит скорость передачи путем уменьшения размера окна перегрузки до одного сегмента и перезапустит алгоритм медленного старта (slow start).

          Поскольку коммутатор обрабатывает множество ТСР-потоков в один момент времени, отбрасывание пакетов послужит сигналом о пере- грузке тысячам источникам ТСР-соединений, которые снизят скорость передачи. При этом почти все источники ТСР-соединений будут исполь- зовать одинаковое время таймеров задержки перед началом увеличения скорости передачи. Значения этих таймеров достигнут своего лимита практически одновременно, что вызовет увеличение интенсивности тра- фика и переполнение очередей, которое приведет к отбрасыванию паке- тов, и весь процесс повторится вновь.

          Процесс, когда каждый источник ТСР-соединения уменьшает и уве- личивает скорость передачи одновременно с другими источниками ТСР- соединений, получил название эффекта глобальной синхронизации (global synchronization). Эффект глобальной синхронизации приводит к неэффек- тивному использованию полосы пропускания, а также к возрастанию за- держки передачи пакетов.

          Для решения проблемы поведения источников ТСР-соединения в момент отбрасывания пакетов был разработан алгоритм произвольного раннего обнаружения (Random Early Detection, RED).

          В отличие от алгоритма «отбрасывания хвоста», алгоритм RED от- брасывает поступающие пакеты вероятностно, на основе оценки средне- го размера очередей. Он не дожидается полного заполнения очередей, а начинает отбрасывать пакеты с некоторой вероятностью, когда средний размер очереди превысит определенное минимальное пороговое значе- ние. Это позволяет избежать эффекта глобальной синхронизации, т.к. бу- дут отбрасываться не все пакеты, а только пакеты произвольным образом выбранных потоков.

          В коммутаторах D-Link поддерживается простой алгоритм произ- вольного раннего обнаружения (Simple Random Early Detection, SRED), кото- рый является расширенной версией алгоритма RED, реализованной на основе ASIC, и выполняет вероятностное отбрасывание входящих «окра- шенных» пакетов. «Окрашивание» пакетов позволяет реализовать разные политики обслуживания пакетов (различную вероятность отбрасывания) на основе их приоритетов. Так пакеты, «окрашенные» в зеленый цвет об- ладают наивысшим приоритетом. Пакеты «окрашенные» в желтый цвет – средним, в красный цвет – низшим приоритетом.

          Алгоритм SRED позволяет задавать два пороговых значения размера для каждой очереди – минимальное и максимальное. Если длина очереди меньше минимального порогового значения, то пакеты будут помещать- ся в очередь. Если размер очереди будет находиться в интервале между минимальным и максимальным пороговыми значениями, т.е. будет на- блюдаться умеренная перегрузка, то пакеты, «окрашенные» в красные и желтые цвета, будут отбрасываться с заданной вероятностью. Если длина очереди превысит максимальное пороговое значение, то пакеты любых цветов будут отбрасываться с заданной вероятностью. Т.е. алгоритм SRED обеспечивает возможность настройки более интенсивного отбрасывания пакетов низкоприоритетного трафика и менее интенсивного отбрасыва- ния пакетов высокоприоритетного трафика.

          В коммутаторах D-Link при настройке SRED существует возмож- ность выбора из восьми значений скоростей (вероятностей) отбрасыва- ния пакетов:


           

           

          Скорость отбрасывания

          1

          100%

          2

          6.25%

          3

          3.125%

          4

          1.5625%

          5

          0.78125%

          6

          0.390625%

          7

          0.1953125%

          8

          0.09765625%


           

        2. Контроль полосы пропускания


           

          Современные коммутаторы позволяют регулировать интенсивность трафика на своих портах с целью обеспечения функций качества обслу- живания. Для этого они используют механизмы, называемые Traffic Policing (ограничение трафика) и Traffic Shaping (выравнивание трафика).


           

          image image


           

          image image


           

          image image


           

          image image


           

          image image


           

          image image


           

          Рис. 6.8. Механизмы Traffic Policing и Traffic Shaping


           

          Механизм Traffic Policing служит для ограничения скорости трафика, получаемого или отправляемого с интерфейса коммутатора. Когда эта функция активна, администратор может устанавливать различные поро- говые значения скорости передачи на каждом из выходных портов ком- мутатора. Трафик, скорость которого меньше или равна пороговому зна- чению, будет передаваться; трафик, скорость которого превышает поро- говое значение, будет обрабатываться в соответствии с настроенной политикой, например, отбрасываться или маркироваться новым значе- нием приоритета.

          Основным средством, используемым для ограничения трафика, яв- ляется хорошо известный алгоритм «корзина маркеров» (token bucket). Этот алгоритм предполагает наличие следующих параметров:

    • согласованная скорость передачи (Committed Information Rate, CIR) – средняя скорость передачи трафика через интерфейс коммутато- ра/маршрутизатора. Этот параметр также определяет скорость по- мещения маркеров в корзину;

    • согласованный размер всплеска (Committed Burst Size, CBS) – это

      объем трафика (в битах), на который может быть превышен раз- мер корзины маркеров в отдельно взятый момент всплеска;

    • расширенный размер всплеска (Extended Burst Size, EBS) – это объ- ем трафика (в битах), на который может быть превышен размер корзины маркеров в экстренном случае.

      На рис. 6.9 показана схема реализации алгоритма «корзина марке- ров» в рамках механизма Traffic Policing.

      Размер стандартной корзины маркеров (максимальное число марке- ров, которое она может вместить) равен согласованному размеру всплес- ка (CBS). Маркеры генерируются и помещаются в корзину с определен- ной скоростью (CIR). Если корзина полна, то поступающие избыточные маркеры отбрасываются. Для того чтобы передать пакет из корзины вы- нимается число маркеров, равное размеру пакета в битах. Если маркеров в корзине достаточно, то пакет передается. Если размер пакета оказался больше, чем маркеров в корзине, то маркеры из корзины не извлекаются, а пакет рассматривается как не удовлетворяющий (non-conform) задан- ному профилю или избыточный. Для избыточных пакетов могут приме- няться различные способы обработки: они могут отбрасываться или пере- маркировываться.


       


       

      image


       

      Рис. 6.9. Алгоритм «корзина маркеров» в рамках механизма Traffic Policing

      Стандартная корзина маркеров не поддерживает экстренное увели- чение размера всплеска, поэтому в такой реализации расширенный раз- мер всплеска (ЕBS) равен согласованному размеру всплеска (CBS).

      В корзине маркеров с возможностью экстренного увеличения разме- ра всплеска расширенный размер всплеска (ЕBS) больше согласованного размера всплеска (CBS). Объем трафика (в битах), на который может быть превышен размер корзины, рассчитывается по формуле:


       

      CBS = 1,5 CIR/8 ЕBS = 2 CBS


       

      При такой реализации корзины маркеров, в случае нехватки марке- ров, необходимых для передачи пакета, учитывается расширенный раз- мер всплеска.

      Механизм Traffic Shaping служит для сглаживания исходящего с ин- терфейсов коммутатора трафика. В отличие от механизма Traffic Policing, который в случае превышения скорости трафика заданного порогового значения может отбрасывать пакеты, механизм Traffic Shaping помещает избыточные пакеты в буфер.

      В качестве средства выравнивания трафика механизм Traffic Shaping также использует алгоритм «корзина маркеров». В соответствии с меха-


       

      image


       

      image


       

      Рис. 6.10. Алгоритм «корзина маркеров» в рамках механизма Traffic Shaping

      низмом Traffic Shaping из корзины вынимается число маркеров, равное размеру пакета в битах. Если в корзине имелось достаточное количество маркеров, то пакет передается. В противном случае пакет маркируется как неудовлетворяющий заданному профилю и ставится в очередь (буфе- ризируется) для последующей передачи. Как только в корзине накопит- ся количество маркеров, достаточное для передачи пакета, он будет пе- редан.

      Следует отметить, что механизм Traffic Shaping вносит задержку в пе- редачу трафика, что критично для приложений, чувствительных к за- держкам, таким как IP-телефония, потоковое видео и т.д. Однако этот ме- ханизм более дружествен к ТСР-потокам, т.к. благодаря буферизации уменьшается количество отбрасываемых пакетов и число их повторных передач.

      Для управления полосой пропускания входящего и исходящего тра- фика на портах Ethernet коммутаторы D-Link поддерживают функцию Bandwidth control, которая использует для ограничения скорости механизм Traffic Policing. Администратор может вручную устанавливать требуемую скорость соединения на порте в диапазоне от 64 Кбит/с до максимально поддерживаемой скорости интерфейса с шагом 64 Кбит/с.

      В качестве примера приведем настройку ограничения скорости до 128 Кбит/с для трафика, передаваемого с интерфейса 5 коммутатора.


       

      config bandwidth_control 5 tx_rate 128


       

      Более гибким решением ограничения полосы пропускания является функция per-flow Bandwidth control, реализованная на старших моделях уп- равляемых коммутаторов D-Link. Эта функция позволяет ограничивать полосу пропускания не всему трафику, получаемому или передаваемому с интерфейса коммутатора, а конкретным потокам данных, определенным администратором сети.

      Функция per-flow Bandwidth control использует механизм списков управления доступом для просмотра определенного типа трафика и ог- раничения для него полосы пропускания. Весь этот процесс происхо- дит на микросхемах портов ASIC. Таким образом, это не влияет на за- грузку ЦПУ, соответственно, не снижает производительности коммута- тора.


       

        1. Пример настройки QoS


       

      На рис. 6.11 приведена схема локальной сети, в которой пользовате- ли 1 и 3 используют приложения IP-телефонии. Голосовому трафику пользователей 1 и 3 требуется обеспечить наивысшее качество обслужи-

      вания по сравнению с трафиком других приложений, выполняемых на компьютерах остальных пользователей сети.


       

      image


       

      Рис. 6.11. Пример настройки QoS


       

      Настройка коммутатора 1

    • Для того чтобы внутри коммутатора могла обрабатываться инфор- мация о приоритетах 802.1р, состояние портов коммутатора, к ко- торым подключены пользователи, необходимо перевести из «не- маркированные» в «маркированные».


       

      config vlan default add tagged 1-6


       

    • Изменить приоритет порта 18, к которому подключен пользова- тель 3, использующий приложения IP-телефонии, с 0 (установле- но по умолчанию) на 7. Пакеты с приоритетом 7 будут помещать- ся в очередь Q6, которая имеет наивысший приоритет обработки.


       

      config 802.1p default_priority 18 7


       

      Настройка коммутатора 2

    • Изменить состояния портов с «немаркированные» на «маркиро- ванные»


       

      config vlan default add tagged 1-6


       

    • Изменить приоритет порта 16, к которому подключен пользова- тель 1, использующий приложения IP-телефонии, с 0 (установле-

      но по умолчанию) на 7. Пакеты с приоритетом 7 будут помещать- ся в очередь Q6, которая имеет наивысший приоритет обработки.


       

      config 802.1p default_priority 16 7


       

      Карта привязки приоритетов 802.1р к очередям и механизм обслу- живания очередей не изменяются и используют параметры, настроенные по умолчанию.

      Лекция 7. Функции обеспечения безопасности и ограничения доступа к сети


       

      На сегодняшний день для любого системного администратора одной из самых острых проблем остается обеспечение безопасности компьютер- ной сети. Казалось бы, такие задачи призваны решать межсетевые экра- ны, однако подчас первый удар принимают на себя именно коммутаторы. Хотя это и не основная их задача, тем не менее, на данный момент ком- мутаторы обладают широким функционалом для успешного решения по- добного рода задач. Речь идет не только о защите сетей от атак извне, но и о всевозможных атаках внутри сети, таких как подмена DHCP-сервера, атаки типа DoS, ARP Spoofing, неавторизованный доступ и т.д. В некото- рых случаях коммутаторы не способны полностью защитить сеть от по- добного рода атак, но способны значительно ослабить угрозы их возник- новения. Данная глава будет посвящена принципам обеспечения сетевой безопасности на базе оборудования D-Link.

      D-Link предлагает комплексный подход к решению вопросов обес- печения безопасности End-to-End Security (E2ES), который включает в се- бя следующие решения:

    • Endpoint Security («Защита конечного пользователя») – обеспечи- вает защиту внутренней сети от внутренних атак;

    • Gateway Security («Защита средствами межсетевых экранов») – обеспечивает защиту внутренней сети от внешних атак;

    • Joint Security («Объединенная безопасность») – связующее звено между Endpoint и Gateway Security, объединяющее использование межсетевых экранов и коммутаторов для защиты сети.

      Решение Endpoint Security включает следующие функции, обеспечи- вающие аутентификацию и авторизацию пользователей, контроль над трафиком, узлами и их адресацией в сети:

    • функции аутентификации пользователей:

      • аутентификация IEEE 802.1Х;

      • MAC-based Access Control (MAC);

      • WEB-based Access Control (WAC);

    • функция авторизации:

      • Guest VLAN;

    • функции контроля над трафиком:

      • Traffic Segmentation;

      • Access Control List (ACL);

    • функции контроля над подключением/адресацией узлов в сети:

      • Port Security;

      • IP-MAC-Port Binding (IMPB);

    • функции ослабления атак в сети:

      • Access Control List (ACL);

      • IP-MAC-Port Binding (IMPB);

      • Broadcast Storm Control;

      • ARP Spoofing Prevention;

      • LoopBack Detection (LBD).


         

        Решение Joint Security включает в себя функции:

    • Zone Defense;

    • NAP.

      Помимо основных функций безопасности, в коммутаторах D-Link реализованы дополнительные решения, позволяющие обнаруживать ано- мальные потоки кадров в сети Ethernet и уменьшать загрузку ЦПУ в ре- зультате множественных широковещательных запросов, вызванных ата- ками типа ARP Flood:

    • D-Link Safeguard Engine;

    • Traffic Storm Control.

      Прежде чем приступить к рассмотрению темы, уточним некоторые понятия.

      Аутентификация – процедура проверки подлинности субъекта на ос- нове предоставленных им данных.

      Авторизация – предоставление определенных прав лицу на выполне- ние некоторых действий.

      Как правило, за аутентификацией следует авторизация.


       

        1. Списки управления доступом (ACL)


           

          Списки управления доступом (Access Control List, ACL) являются мощ- ным средством фильтрации потоков данных без потери производительнос- ти, т.к. проверка содержимого пакетов выполняется на аппаратном уровне. Фильтруя потоки данных, администратор может ограничить типы прило- жений, разрешенных для использования в сети, контролировать доступ пользователей к сети и определять устройства, к которым они могут под- ключаться. Также ACL могут использоваться для определения политики QoS путем классификации трафика и переопределения его приоритета.

          ACL представляют собой последовательность условий проверки па- раметров пакетов данных. Когда сообщения поступают на входной порт, коммутатор проверяет параметры пакетов данных на совпадение с крите- риями фильтрации, определенными в ACL, и выполняет над пакетами одно из действий: Permit («Разрешить») или Deny («Запретить»). Крите- рии фильтрации могут быть определены на основе следующей информа- ции, содержащейся в пакете:

    • порт коммутатора;

    • MAC/ IP-адрес;

    • тип Ethernet/ тип протокола;

    • VLAN;

      802.1p/ DSCP;

    • порт TCP/ UDP (тип приложения);

      image

      image

    • первые 80 байт пакета, включая поле данных.


       


       

      Рис. 7.1. Списки управления доступом (ACL)


       

      Внимание: наборы критериев фильтрации ACL могут отличаться у разных моделей коммутаторов, поэтому прежде чем приступать к конфигурированию функции, необходимо ознакомиться с докумен- тацией на используемое устройство.


       

          1. Профили доступа и правила ACL


             

            Списки управления доступом состоят из профилей доступа (Access Profile) и правил (Rule). Профили доступа определяют типы критериев фильтрации, которые должны проверяться в пакете данных (MAC-адрес, IP-адрес, номер порта, VLAN и т.д.), а в правилах непосредственно указы- ваются значения их параметров. Каждый профиль может состоять из множества правил.

            Когда коммутатор получает кадр, он проверяет его поля на совпа- дение с типами критериев фильтрации и их параметрами, заданными в профилях и правилах. Последовательность, в которой коммутатор про- веряет кадр на совпадение с параметрами фильтрации, определяется по- рядковым номером профиля (Profile ID) и порядковым номером прави- ла (Rule ID). Профили доступа и правила внутри них работают последо- вательно, в порядке возрастания их номеров. Т.е. кадр проверяется на соответствие условиям фильтрации, начиная с первого профиля и пер-


             

            image

            Рис. 7.2. Принцип работы ACL

            вого правила в нем. Так, кадр сначала будет проверяться на соответствие условиям, определенным в правиле 1 профиля 1. Если параметры кадра не подходят под условия проверки, то далее кадр будет проверяться на совпадение с условиями, определенными в правиле 2 профиля 1 и т.д. Если ни одно из правил текущего профиля не совпало с параметрами кадра, то коммутатор продолжит проверку на совпадение параметров кадра с условиями правила 1 следующего профиля. При первом совпа- дении параметров кадра с правилом к кадру будет применено одно из действий, определенных в правиле: «Запретить», «Разрешить» или «Из- менить содержимое поля пакета» (приоритет 802.1р/ DSCP). Дальше кадр проверяться не будет. Если ни одно из правил не подходит, приме- няется политика по умолчанию, разрешающая прохождение всего тра- фика.

            Следует отметить, что коммутаторы имеют ограничения по количе- ству обрабатываемых профилей и правил. Информацию о максимальном количестве поддерживаемых профилей и правил можно найти в докумен- тации на используемое устройство.


             

            Типы профилей доступа

            В коммутаторах D-Link существует три типа профилей доступа: Ethernet, IP и Packet Content Filtering (фильтрация по содержимому пакета).

            Профиль Ethernet (Ethernet Profile) позволят фильтровать кадры по следующим типам критериев:

    • VLAN;

    • MAC-адрес источника;

    • MAC-адрес назначения;

      802.1p;

    • тип Ethernet.


       

      Профиль IP (IP Profile) поддерживает следующие типы критериев фильтрации:

    • VLAN;

    • маска IP-источника;

    • маска IP-назначения;

    • DSCP;

    • протокол (ICMP, IGMP, TCP, UDP);

    • номер порта TCP/UDP.


       

      Профиль фильтрации по содержимому пакета (Packet Content Filtering Profile) используется для идентификации пакетов, путем побайтного ис- следования их заголовков Ethernet.

      Внимание: не все модели коммутаторов поддерживают Packet Content Filtering Profile. За информацией о поддержке функции не- обходимо обратиться к документации на используемый коммутатор.


       

      Процесс создания профиля доступа

      Процесс создание профиля доступа можно разделить на следующие основные шаги:

    • проанализируйте задачи фильтрации и определитесь с типом про-

      филя доступа – Ethernet, IP или Packet Content Filtering;

    • определите стратегию фильтрации. Например:

      • отбрасывать кадры некоторых узлов и принимать кадры от всех остальных узлов – эта стратегия применима для сетевой среды с несколькими узлами/протоколами портов/подсетями, для ко- торых необходимо выполнять фильтрацию;

      • принимать кадры от некоторых узлов и отбрасывать кадры всех ос- тальных узлов – эта стратегия применима для сетевой среды с не- сколькими узлами/протоколами портов/подсетями, кадры от кото- рых разрешены в сети. Трафик остальных узлов будет отбрасываться.

        Основываясь на выбранной стратегии, определите, какая маска про- филя доступа (Access Profile Mask) необходима, и создайте ее (команда create access_profile). Маска профиля доступа используется для указания, какие биты значений полей IP-адрес, МАС-адрес, порт ТСР/UDP и т.д. должны проверяться в пакете данных, а какие игнорироваться;

    • добавьте правило профиля доступа (Access Profile Rule), связанное

с этой маской (команда config access_profile).

Правила профиля доступа проверяются в соответствии с номером access_id. Чем меньше номер, тем раньше проверяется правило. Если ни одно правило не сработало, кадр пропускается.

В среде QoS, после того как срабатывает правило, перед отправкой пакета данных биты 802.1p/DSCP могут быть заменены на новые низ- ко/высокоприоритетные значения.


 

Вычисление маски профиля доступа

Маска профиля доступа определяет, какие биты в значениях полей

«IP-адрес», «МАС-адрес», «порт ТСР/UDP» и т.д. приходящих на комму- татор кадров должны проверяться, а какие игнорироваться. Биты маски имеют следующие значения:

«0» – означает игнорирование значения соответствующего бита поля пакета данных;

«1» – означает проверку значения соответствующего бита поля пакета данных.

image

image

image

image

image

image

Предположим, администратору сети необходимо запретить про- хождение трафика от узла с МАС-адресом 01-00-00-00-АС-11. Маска профиля доступа для этого адреса будет равна FF-FF-FF-FF-FF-FF. Если необходимо запретить или разрешить прохождение через коммута- тор трафика любого узла из подсетей 192.168.16.0/24 – 192.168.31.0/24, то маска профиля доступа будет вычисляться, как показано на рисунке ниже.


 


 

image


 

Рис. 7.3. Вычисление маски профиля


 

Первые два октета IP-адресов из проверяемого диапазона имеют одинаковое значение – «192.168». Они будут использоваться при провер- ке пакета, поэтому соответствующие биты маски содержат все 1. Послед- ний октет IP-адреса будет игнорироваться, т.к. нет заинтересованности в проверке индивидуальных адресов узлов подсетей. Поэтому последний октет маски профиля содержит все 0. В третьем октете значение маски бу- дет равно 240 (11110000), т.к. оно охватывает все номера с 16 (00010000) до

31 (0001111), имеющие одинаковые значения (0001) первых четырех би- тов. Последние четыре бита третьего октета IP-адреса маска профиля бу- дет игнорировать, как малозначащие.


 

      1. Примеры настройки ACL


         

        Предположим, что администратору сети необходимо разрешить до- ступ в Интернет только некоторым пользователям, а остальным пользо-

        вателям запретить. Пользователи идентифицируются по МАС-адресам их компьютеров.

        В примере, показанном на рис. 7.4, пользователи ПК 1 и ПК 2 полу- чат доступ в Интернет, т.к. их МАС-адреса указаны в разрешающем пра- виле 1. Как только пользователи других компьютеров попытаются выйти в Интернет, сработает правило 2, которое запрещает прохождение через коммутатор кадров с МАС-адресом назначения, равным МАС-адресу Ин- тернет-шлюза.


         


         

        image


         

        image


         

        Рис. 7.4. Пример ACL для профиля Ethernet


         

        Настройка коммутатора для профиля Ethernet

        • Правило 1: если МАС-адрес источника SourceMAC равен МАС- адресам ПК 1 или ПК 2 – разрешить (Permit).


           

          create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 1 profile_name Permit_Internet

          config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-50-ba-11-11-11 port 1 permit

          config access_profile profile_id 1 add access_id 2 ethernet source_mac 00-50-ba-22-22-22 port 10 permit


           

        • Правило 2: если МАС-адрес назначения DestMAC равен MAC- адресу Интернет-шлюза – запретить (Deny).

          create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 2 profile_name Deny_Internet

          config access_profile profile_id 2 add access_id 1 ethernet des- tination_mac 00-50-ba-99-99-99 port 11 deny


           

        • Иначе – по умолчанию разрешить доступ всем узлам.


           

          В качестве второго примера приведем настройку ACL с профилем IP. Предположим, что администратору необходимо разрешить доступ в Ин- тернет только пользователям с IP-адресами с 192.168.0.1/24 по 192.168.0.63/24. Остальным пользователем сети 192.168.0.0/24 с адресами, не входящими в разрешенный диапазон, доступ в Интернет запрещен.


           

          image


           

          image


           

          Рис. 7.5. Пример ACL для профиля IP


           

          Настройка в коммутаторе L3 профиля IP

        • Правило 1: если IP-адрес источника Source IP равен IP-адресам из диапазона с 192.168.0.1 по 192.168.0.63 – разрешить (Permit).


           

          create access_profile ip source_ip_mask 255.255.255.192 profile_id 1 config access_profile profile_id 1 add access_id 1 ip source_ip 192.168.0.0 port 24 permit

        • Правило 2: если IP-адрес источника Source IP принадлежит сети 192.168.0.0/24, но не входит в разрешенный диапазон адресов – запретить (Deny).


           

          create access_profile ip source_ip_mask 255.255.255.0 profile_id 2 config access_profile profile_id 2 add access_id 1 ip source_ip 192.168.0.0 port 24 deny


           

        • Иначе – по умолчанию разрешить доступ всем узлам.

    1. Функции контроля над подключением узлов к портам коммутатора


       

      В том случае, если какой-либо порт на коммутаторе активен, к нему может подключиться любой пользователь и получить несанкци- онированный доступ к сети. Этот пользователь может начать генери- ровать вредоносный трафик, который попадет в сеть и создаст про- блемы внутри нее. Для защиты от подобных ситуаций, а также для контроля подключения узлов к портам коммутаторы D-Link предо- ставляют функции безопасности, которые позволяют указывать МАС- и/или IP-адреса устройств, которым разрешено подключаться к данному порту, и блокировать доступ к сети узлам с неизвестными коммутатору адресами.


       

      1. Функция Port Security


 

Функция Port Security позволяет настроить какой-либо порт комму- татора так, чтобы доступ к сети через него мог осуществляться только оп- ределенными устройствами. Устройства, которым разрешено подклю- чаться к порту, определяются по МАС-адресам. МАС-адреса могут быть изучены динамически или вручную настроены администратором сети. Помимо этого, функция Port Security позволяет ограничивать количество изучаемых портом МАС-адресов, тем самым ограничивая количество подключаемых к нему узлов.


 

Внимание: для функции Port Security существуют ограничения по ко- личеству МАС-адресов, которые может обслуживать каждый порт. Эти ограничения различны для разных моделей коммутаторов. Для получения информации о максимальном количестве обслуживае- мых портом МАС-адресов необходимо обратиться к спецификации на используемое устройство.

Существует три режима работы функции Port Security:

  • Permanent («Постоянный») – занесенные в таблицу коммутации МАС-адреса никогда не устаревают, даже если истекло время, ус- тановленное таймером FDB Aging Time, или коммутатор был пе- резагружен;

  • Delete on Timeout («Удалить по истечении времени») – занесенные в

    таблицу коммутации МАС-адреса устареют после истечения вре- мени, установленного таймером FDB Aging Time, и будут удалены. Если состояние канала связи на подключенном порте изменяется,

    МАС-адреса, изученные на нем, удаляются из таблицы коммутации, что аналогично выполнению действий при истечении времени, установлен- ного таймером FDB Aging Time;

  • Delete on Reset («Удалить при сбросе настроек») – занесенные в

    таблицу коммутации МАС-адреса будут удалены после переза- грузки коммутатора (этот режим используется по умолчанию).

    При подключении неавторизованного пользователя к порту комму- татора он будет заблокирован, а коммутатор отправит сообщение SNMP Trap или создаст запись в Log-файле, если администратор настроил вы- полнение этих действий. Порт коммутатора будет отбрасывать трафик, поступающий с неизвестного МАС-адреса.


     

    image


     

    image image


     

    Рис. 7.6. Функция Port Security

    7.2.1.1. Пример настройки функции Port Security


     

    В качестве примера рассмотрим ситуацию, показанную на рис. 7.6. На портах 1-3 управляемого коммутатора настроено ограничение по ко- личеству подключаемых пользователей (к каждому порту может подклю- читься не более двух пользователей). МАС-адреса подключаемых пользо- вателей изучаются портами 1-3 динамически.


     

    Настройка коммутатора


     

    config port_security ports 1-3 admin_state enabled max_learning_addr 2 lock_address_mode DeleteOnTimeout


     

    В приведенном примере конфигурации используется режим Delete on Timeout. Это означает, что изученные на порте МАС-адреса будут уда- лены из таблицы коммутации по истечении времени, установленного таймером Aging Time, если по ним не было обращений (например, рабо- чая станция отключилась от сети). В этом случае к сети смогут подклю- читься новые пользователи, МАС-адреса, которых будут динамически изучены портом (рис. 7.7).


     

    image


     

    Рис. 7.7. Функция Port Security в режиме Delete on Timeout

    При использовании режима работы Permanent адреса, изученные портом, будут добавлены в статическую таблицу МАС-адресов и будут храниться в ней даже после включения/выключения питания и переза- грузки коммутатора.

    Функция Port Security оказывается весьма полезной при построении домовых сетей, сетей провайдеров Интернета и локальных сетей с повы- шенным требованием по безопасности, где требуется исключить доступ незарегистрированных рабочих станций к услугам сети.

    Используя функцию Port Security, можно полностью запретить дина- мическое изучение МАС-адресов указанными или всеми портами комму- татора. В этом случае доступ к сети получат только те пользователи, МАС-адреса которых указаны в статической таблице коммутации.


     

    Настройка коммутатора

  • Активизировать функцию Port Security на соответствующих портах и запретить изучение МАС-адресов (параметр max_learning_addr установить равным 0).


     

    config port_security ports 1-24 admin_state enabled max_learning_addr 0


     

  • Создать записи в статической таблице МАС-адресов (имя VLAN в примере “default”).


     

    create fdb default 00-50-ba-00-00-01 port 2 create fdb default 00-50-ba-00-00-02 port 2 create fdb default 00-50-ba-00-00-03 port 2 create fdb default 00-50-ba-00-00-04 port 2 create fdb default 00-50-ba-00-00-05 port 8 (аналогично для всех требуемых портов)


     

    7.2.2 Функция IP-MAC-Port Binding


     

    Функция IP-MAC-Port Binding (IMPB), реализованная в коммута- торах D-Link, позволяет контролировать доступ компьютеров в сеть на основе их IP- и MAC-адресов, а также порта подключения. Админист- ратор сети может создать записи («белый лист»), связывающие МАС- и IP-адреса компьютеров с портами подключения коммутатора. На осно- ве этих записей, в случае совпадения всех составляющих, клиенты бу- дут получать доступ к сети со своих компьютеров. В том случае, если при подключении клиента связка MAC-IP-порт будет отличаться от па- раметров заранее сконфигурированной записи, коммутатор заблокиру-

    ет MAC-адрес соответствующего узла с занесением его в «черный лист».


     

    image


     

    Рис. 7.8. Функция IP-MAC-Port Binding


     

    Функция IP-MAC-Port Binding специально разработана для управле- ния подключением узлов в сетях ETTH (Ethernet-To-The-Home) и офис- ных сетях. Помимо этого функция IMPB позволяет бороться с атаками типа ARP Spoofing, во время которых злонамеренные пользователи пере- хватывают трафик или прерывают соединение, манипулируя пакетами ARP.

    Функция IP-MAC-Port Binding включает три режима работы: ARP mode (по умолчанию), ACL mode и DHCP Snooping mode.

    ARP mode является режимом, используемым по умолчанию при наст- ройке функции IP-MAC-Port Binding на портах. При работе в режиме ARP коммутатор анализирует ARP-пакеты и сопоставляет параметры IP- MAC ARP-пакета с предустановленной администратором связкой IP- MAC. Если хотя бы один параметр не совпадает, то МАС-адрес узла будет занесен в таблицу коммутации с отметкой «Drop» («Отбрасывать»). Если все параметры совпадают, МАС-адрес узла будет занесен в таблицу ком- мутации с отметкой «Allow» («Разрешен»).

    При функционировании в ACL mode коммутатор на основе предуста- новленного администратором «белого листа» IMPB создает правила ACL. Любой пакет, связка IP-MAC которого отсутствует в «белом листе», будет блокироваться ACL. Если режим ACL отключен, правила для записей IMPB будут удалены из таблицы ACL. Следует отметить, что этот режим не поддерживается коммутаторами, в которых отсутствуют аппаратные

    таблицы ACL (информацию о поддержке или отсутствии режима ACL можно найти в спецификации на соответствующую модель коммутатора). Режим DHCP Snooping используется коммутатором для динамическо-

    го создания записей IP-MAC на основе анализа DHCP-пакетов и привязки их к портам с включенной функцией IMPB (администратору не требуется создавать записи вручную). Таким образом, коммутатор автоматически со- здает «белый лист» IMPB в таблице коммутации или аппаратной таблице ACL (если режим ACL включен). При этом для обеспечения корректной работы сервер DHCP должен быть подключен к доверенному порту с вы- ключенной функцией IMPB. Администратор может ограничить макси- мальное количество создаваемых в процессе автоизучения записей IP- MAC на порт, т.е. ограничить для каждого порта с активизированной функ- цией IMPB количество узлов, которые могут получить IP-адрес c DHCP-сервера. При работе в режиме DHCP Snooping коммутатор не будет создавать записи IP-MAC для узлов с IP-адресом установленным вручную.


     

    Внимание: режим DHCP Snooping отдельно от режимов ARP или ACL не используется.


     

    При активизации функции IMPB на порте администратор должен указать режим его работы:

  • Strict Mode – в этом режиме порт по умолчанию заблокирован.

    Прежде чем передавать пакеты, он будет отправлять их на ЦПУ для проверки совпадения их параметров IP-MAC с записями в

    «белом листе». Таким образом, порт не будет передавать пакеты до тех пор, пока не убедится в их достоверности. Порт проверяет все IP и ARP-пакеты;

  • Loose Mode –в этом режиме порт по умолчанию открыт. Порт бу-

дет заблокирован, как только через него пройдет первый недосто- верный пакет. Порт проверяет только пакеты ARP и IP Broadcast.

        1. Пример настройки функции IP-MAC-Port Binding


           

          На рис. 7.9 показан пример работы функции IP-MAC-Port Binding в режиме ARP. Хакер инициировал атаку типа ARP Spoofing. Коммутатор обнаруживает, что на порт 10 приходят пакеты ARP, связка IP-MAC для которых отсутствует в «белом листе» IMPB, и блокирует МАС-адрес узла.


           

          Настройка коммутатора

          • Создать запись IP-MAC-Port Binding, связывающую IP-MAC- адрес узла с портами подключения, и указать режим работы функции.

            image


             

            image

            Рис. 7.9. Пример работы функции IP-MAC-Port Binding в режиме ARP


             

            create address_binding ip_mac ipaddress 192.168.0.10 mac_address 00-C0-9F-86-C2-5C ports 1-10 mode arp


             

          • Активизировать функцию на требуемых портах и указать режим работы портов.


             

            config address_binding ip_mac ports 1-10 state enable loose


             

            image


             

            image image


             

            image

            Рис. 7.10. Пример работы функции IP-MAC-Port Binding в режиме DHCP Snooping

            На рис. 7.10 приведен пример работы функции IP-MAC-Port Binding в режиме DHCP Snooping. Коммутатор динамически создает запись IMPB после того, как клиент получит IP-адрес от DHCP-сервера.


             

            Настройка коммутатора

          • Активизировать функцию IP-MAC-Port Binding в режиме DHCP Snooping глобально на коммутаторе.


             

            enable address_binding dhcp_snoop


             

          • Указать максимальное количество создаваемых в процессе авто- изучения записей IP-MAC на порт.


             

            config address_binding dhcp_snoop max_entry ports 1-10 limit 10


             

          • Активизировать функцию IP-MAC-Port Binding в режиме DHCP Snooping на соответствующих портах.


             

            config address_binding ip_mac ports 1-10 state enable


             

              1. Аутентификация пользователей 802.1Х


                 

                Стандарт IEEE 802.1Х (IEEE Std 802.1Х-2010) описывает использо- вание протокола EAP (Extensible Authentication Protocol) для поддержки аутентификации с помощью сервера аутентификации и определяет про- цесс инкапсуляции данных ЕАР, передаваемых между клиентами (запра- шивающими устройствами) и серверами аутентификации. Стандарт IEEE 802.1Х осуществляет контроль доступа и не позволяет неавторизо- ванным устройствам подключаться к локальной сети через порты комму- татора.

                Сервер аутентификации Remote Authentication in Dial-In User Service (RADIUS) проверяет права доступа каждого клиента, подключаемого к порту коммутатора, прежде чем разрешить доступ к любому из сервисов, предоставляемых коммутатором или локальной сетью.

                До тех пор, пока клиент не будет аутентифицирован, через порт ком- мутатора, к которому он подключен, будет передаваться только трафик протокола Extensible Authentication Protocol over LAN (EAPOL). Обычный трафик начнет передаваться через порт коммутатора сразу после успеш- ной аутентификации клиента.


                 

                Внимание: протокол 802.1Х не поддерживает работу на агрегирован- ных каналах связи.


                 

                image


                 

                Рис. 7.11. Сеть с аутентификацией 802.1Х


                 


                 

                1. Роли устройств в стандарте 802.1Х


                   

                  В стандарте IEEE 802.1Х определены следующие три роли, которые могут выполнять устройства:

          • клиент (Client/Supplicant);

          • аутентификатор (Authenticator);

          • сервер аутентификации (Authentication Server).


             

            Клиент (Client/Supplicant) – это рабочая станция, которая запраши- вает доступ к локальной сети и сервисам коммутатора и отвечает на за- просы от коммутатора. На рабочей станции должно быть установлено клиентское ПО для 802.1Х, например, то, которое встроено в ОС Microsoft Windows XP.


             

            Сервер аутентификации (Authentication Server) выполняет факти- ческую аутентификацию клиента. Он проверяет подлинность клиента и информирует коммутатор, предоставлять или нет клиенту доступ к локальной сети. RADIUS (Remote Authentication Dial-In User Service) работает в модели «клиент-сервер», в которой информация об аутен- тификации передается между сервером RADIUS и клиентами RADIUS.


             

            image


             

            Рис. 7.12. Клиент 802.1Х


             


             

            image


             

            Рис. 7.13. Сервер аутентификации


             

            Аутентификатор (Authenticator) управляет физическим доступом к се- ти, основываясь на статусе аутентификации клиента. Эту роль выполняет коммутатор. Он работает как посредник (Proxy) между клиентом и серве- ром аутентификации: получает запрос на проверку подлинности от кли- ента, проверяет данную информацию при помощи сервера аутентифика- ции и пересылает ответ клиенту. Коммутатор поддерживает клиент RADIUS, который отвечает за инкапсуляцию и деинкапсуляцию кадров EAP и взаимодействие с сервером аутентификации.

            Инициировать процесс аутентификации могут или коммутатор, или клиент.

            Клиент инициирует аутентификацию, посылая кадр EAPOL-start, который вынуждает коммутатор отправить ему запрос на идентифика- цию. Когда клиент отправляет ЕАР-ответ со своей идентификацией, ком- мутатор начинает играть роль посредника, предающего кадры ЕАР между


             

            image


             


             

            Рис. 7.14. Аутентификатор


             

            клиентом и сервером аутентификации до успешной или неуспешной ау- тентификации. Если аутентификация завершилась успешно, порт комму- татора становится авторизованным.

            Схема обмена ЕАР-кадрами зависит от используемого метода аутен- тификации. На рис. 7.15 показана схема обмена, инициируемого клиен- том, где сервером RADIUS используется метод аутентификации One- Time-Password (OTP).


             

            image


             

            Рис. 7.15. Процесс аутентификации 802.1Х

            В коммутаторах D-Link поддерживаются две реализации аутентифи- кации 802.1Х:

          • Port-Based 802.1Х (802.1Х на основе портов);

          • MAC-Based 802.1Х (802.1Х на основе МАС-адресов).


             

                1. Port-Based 802.1Х


                   

                  При аутентификации 802.1Х на основе портов (Port-Based 802.1Х), после того как порт был авторизован, любой пользователь, подключен- ный к нему, может получить доступ к сети.

                  image

                  Рассмотрим пример настройки функции Port-Based 802.1Х для схе- мы, показанной на рис. 7.16.


                   

                     
                     


                   

                  Рис. 7.16. Аутентификация 802.1Х на основе портов


                   

                  Настройка коммутатора DGS-3627

          • Настроить проверку подлинности пользователей на сервере RADIUS.


             

            config 802.1x auth_protocol radius_eap

          • Настроить тип аутентификации 802.1Х: port-based.


             

            config 802.1x auth_mode port_based


             

          • Настроить порты, к которым подключаются клиенты в качестве аутентификатора (на uplink-портах к вышестоящим коммутато- рам не следует настраивать режим «authenticator»).