Маршрутизатор третьего уровня: Отличие коммутатора 3-го уровня от маршрутизатора ~ NetSkills

Содержание

Отличие коммутатора 3-го уровня от маршрутизатора ~ NetSkills

Как только в локальной сети появляется хотя бы два сегмента (пример: сегмент пользователей, сегмент серверов), возникает необходимость использования маршрутизирующего оборудования, которое функционирует на третьем уровне модели OSI. В этом случае может возникнуть вопрос: “Что использовать? Коммутатор третьего уровня или маршрутизатор? В чем разница, какие отличия?”. Попытаемся разобраться.

Изначально у этих двух устройств различное предназначение.

Коммутатор 3-го уровня (L3 switch) — это прежде всего устройство для локальной вычислительной сети (LAN — Local Area Network). Т.е. данный коммутатор должен маршрутизировать трафик в локальной сети между существующими сегментами. Обычно он используется на уровне распределения (Distribution Layer) в иерархической модели сети.

Маршрутизатор предназначен для подключения локальной сети (LAN) к Глобальной компьютерной сети (WAN — Wide Area Network), т.е. осуществляет маршрутизацию трафика во внешний мир (Интернет, филиалы, удаленные сотрудники) и обратно.

Может возникнуть вопрос: “Зачем нужен коммутатор 3-го уровня, если его функции может выполнять маршрутизатор?”

Если не вдаваться в подробности, то коммутатор третьего уровня можно сравнить с очень быстрым маршрутизатором. Он также умеет работать с протоколами динамической маршрутизации (OSPF, RIP) и абсолютно совместим с обычным маршрутизатором. Доступна настройка списков доступа (так называемые access листы) и многое другое. 

Ответ кроется в производительности и цене. Дело в том, что современные коммутаторы 3-го уровня превосходят по производительности маршрутизаторы в десятки и даже сотни раз. Обусловлено это применением в коммутаторах набора специализированных микросхем (ASIC). Маршрутизация (обработка пакетов) происходит на аппаратном уровне, а программная поддержка остается для процедур, которые напрямую не связаны с обработкой трафика: расчет таблиц маршрутизации, списки доступа и т.д.

У обычного маршрутизатора этот механизм (обработка пакетов) реализован программно, и он как правило функционирует на процессоре общего назначения. Однако стоит отметить, что некоторые современные маршрутизаторы так же имеют специальные выделенные микросхемы для ускорения обработки пакетов без использования процессора, но такие маршрутизаторы гораздо дороже коммутаторов 3-го уровня.

Представьте ситуацию, когда у вас в организации расположен датацентр и требуется маршрутизация трафика на больших скоростях — десятки Гигабит в секунду. В этом случае вам подходит только коммутатор 3-го уровня. Маршрутизатор с такой пропускной способностью просто не справится или будет стоить огромных денег.

И опять может возникнуть вопрос: “Зачем использовать маршрутизатор, если его функции может выполнять коммутатор 3-го уровня? Ведь он быстрее и дешевле?”

Не вдаваясь в технические подробности, если более детально рассматривать функции маршрутизации, то коммутатор третьего уровня проигрывает по возможностям традиционному маршрутизатору. Современный маршрутизатор можно с легкостью превратить в полноценный Межсетевой экран (МЭ) с помощью дополнительных лицензий (отличие маршрутизатора от межсетевого экрана мы рассмотрим чуть позже).

Со временем грань между коммутаторами и маршрутизаторами становится все тоньше. Не исключено что в скором времени ее и вовсе не будет видно.

Таким образом, в случае подключения локальной сети к Интернет или построении VPN канала с удаленными филиалами (а так же удаленное подключение пользователей) необходимо использовать маршрутизатор.

Трёхуровневая модель сети и технологии VLAN, DHCP, OSPF, STP, SNMP, ACL, NTP на Cisco и D-link / Хабр

Статья поможет новичкам понять как настраивать оборудование Cisco и D-Link в трёхуровневой модели сети. Конфигурация, представленная тут, не является эталонной или базовой — она для примера и понимания сути вещей, т.к. для каждого сетевого решения применяются свои параметры и технологии.

Теория трёхуровневой модели

Рассмотрим следующую схему трёхуровневой иерархической модели, которая используется во многих решениях построения сетей:

Распределение объектов сети по уровням происходит согласно функционалу, который выполняет каждый объект, это помогает анализировать каждый уровень независимо от других, т.е. распределение идёт в основном не по физическим понятиям, а по логическим.
Базовый уровень (Core)

На уровне ядра необходима скоростная и отказоустойчивая пересылка большого объема трафика без появления задержек. Тут необходимо учитывать, что ACL и неоптимальная маршрутизация между сетями может замедлить трафик.
Обычно при появлении проблем с производительностью уровня ядра приходиться не расширять, а модернизировать оборудование, и иногда целиком менять на более производительное. Поэтому лучше сразу использовать максимально лучшее оборудование не забывая о наличии высокоскоростных интерфейсов с запасом на будущее. Если применяется несколько узлов, то рекомендуется объединять их в кольцо для обеспечения резерва.
На этом уровне применяют маршрутизаторы с принципом настройки — VLAN (один или несколько) на один узел уровня Distribution.
Уровень распространения (Distribution)

Тут происходит маршрутизация пользовательского трафика между сетями VLAN’ов и его фильтрация на основе ACL. На этом уровне описывается политика сети для конечных пользователей, формируются домены broadcast и multicast рассылок. Также на этом уровне иногда используются статические маршруты для изменения в маршрутизации на основе динамических протоколов. Часто применяют оборудование с большой ёмкостью портов SFP. Большое количество портов обеспечит возможность подключения множества узлов уровня доступа, а интерфейс SFP предоставит выбор в использовании электрических или оптических связей на нижестоящий уровень. Также рекомендуется объедение нескольких узлов в кольцо.
Часто применяются коммутаторы с функциями маршрутизации (L2/3) и с принципом настройки: VLAN каждого сервиса на один узел уровня Access.
Уровень доступа (Access)

К уровню доступа непосредственно физически присоединяются сами пользователи.
Часто на этом уровне трафик с пользовательских портов маркируется нужными метками DSCP.
Тут применяются коммутаторы L2 (иногда L2/3+) с принципом настройки: VLAN услуги на порт пользователя + управляющий VLAN на устройство доступа.
Практическое применение сетевых технологий в трёхуровневой модели

При рассмотрении следующих технологий используется оборудование уровня ядра и распределения Cisco Catalyst, а для уровня доступа — D-Link DES. На практике такое разделение брендов часто встречается из-за разницы в цене, т.к. на уровень доступа в основном необходимо ставить большое количество коммутаторов, наращивая ёмкость портов, и не все могут себе позволить, чтобы эти коммутаторы были Cisco.

Соберём следующую схему:

Схема упрощена для понимания практики: каждое ядро включает в себя только по одному узлу уровня распределения, и на каждый такой узел приходится по одному узлу уровня доступа.

На практике при больших масштабах сети смысл подобной структуры в том, что трафик пользователей с множества коммутаторов уровня доступа агрегируется на родительском узле распределения, маршрутизируется или коммутируется по необходимости на вышестоящее ядро, на соседний узел распределения или непосредственно между самими пользователями с разных узлов доступа. А каждое ядро маршрутизирует или коммутирует трафик между несколькими узлами распределения, которые непосредственно включены в него, или между соседними ядрами.

VLAN — Virtual Local Area Network

VLAN — это логическое разделение сети на независимые группы хостов.
Благодаря использованию VLAN можно осуществить следующие вещи:
  • разделить одно физическое устройство (коммутатор) на несколько логических по уровню L2
  • если назначить подсети различным VLAN’ам, то хосты подключенные в одно и тоже устройство (содержащее несколько VLAN’ов) будут иметь различные подсети, также можно хосты с разных устройств объединять в одни подсети
  • сегментация трафика VLAN’ами приводит к образованию независимых широковещательных доменов, тем самым уменьшая количество широковещательного трафика на сети в целом
  • разделение трафика на VLAN’ы также обеспечивает безопасность между разными сетями

Распределим VLAN’ы по схеме:

Начнём с уровня доступа.
На коммутаторе DES_1 (D-Link) создадим VLAN 100 для управления:
create vlan 100 tag 100

Добавим его тегированным на 25 порт:
config vlan 100 add tagged 25

Лучше запретить управляющий VLAN на портах (1-24), к которым подключаются пользователи:
config vlan 100 add forbidden 1-24

Дефолтный VLAN устройства удалим:
config vlan default delete 1-26

Поставим IP адрес коммутатора в управляющий VLAN:
config ipif System vlan 100 ipaddress 172.16.0.2/24 state enable

Пропишем шлюз, которым будет являться логический интерфейс устройства на вышестоящем уровне распределения:

create iproute default 172.16.0.1 1

Создадим VLAN 500, в котором предоставляется сервис DHCP (сам DHCP сервер будет находиться на уровне распределения) и сделаем его нетегированным на пользовательских портах (1-24) и тегированным на аплинке (25):
create vlan 500 tag 500
config vlan 500 add untagged 1-23
config vlan 500 add tagged 25

На DES_2 все те же настройки, кроме IP адреса (172.16.1.2) и шлюза (172.16.1.1).

Теперь перейдём к уровню распределения.
Настраиваем Cat_1.
Если мы используем коммутатор Catalyst, то VLAN’ы создаются в режиме конфигурации (conf t) следующим образом:
Vlan <список VLAN’ов через запятую>

Предварительно лучше VTP переключить в прозрачный режим:
vtp mode transparent

Необходимо создать три VLAN’а: управление узлами доступа – VLAN 100, для связи между

Cat_1 и Core_1 — VLAN 20 и у нас один узел доступа на каждый уровень распределения, поэтому для сервиса DHCP создаётся один VLAN – 500, на реальной сети нужно на каждый коммутатор доступа по своему VLAN’у с DHCP:
Vlan 100,20,500

Добавим VLAN 20 на интерфейс (gi 0/1), к которому подключено ядро.
Входим в режим конфигурации:
Cat_1#conf t

Конфигурация интерфейса gi 0/1:
Cat_1(config)#int gigabitEthernet 0/1

Указываем использование стандарта 802.1Q:
Cat_1(config-if)#switchport trunk encapsulation dot1q

Переводим порт в режим транка:
Cat_1(config-if)#switchport mode trunk

Добавляем VLAN:
Cat_1(config-if)#switchport trunk allowed vlan 20

Если на порту уже есть какие-то VLAN’ы, то необходимо использовать команду: switchport trunk allowed vlan add <список VLAN’ов>

, т.к. если не указать add, то уже существующие VLAN’ы пропадут.
Теми же командами добавляем VLAN’ы 100, 500 на gi 0/2 к которому подключен DES_1.

Для конфигурации сразу нескольких интерфейсов одновременно можно делать так:
Cat_1(config)#int range gigabitEthernet 0/2-3

Укажем сеть для управления уровнем доступа:
Cat_1(config)#int Vlan100
Cat_1(config-if)#ip address 172.16.0.1 255.255.255.0

Укажем IP для Cat_1:
Cat_1(config)#int Vlan20
Cat_1(config-if)#ip address 10.10.0.2 255.255.255.248

Cat_2 настраиваем так же, только меняем адреса в VLAN’ах 100 и 20. VLAN 100 – 172.16.1.1 255.255.255.0, VLAN 20 – 10.20.0.2 255.255.255.248
На Core_1 создаём VLAN’ы 10 и 20, добавляем 10 на gi 0/1, куда подключен Core_2 и 20 на интерфейс gi 0/2, к которому подключен узел уровня распределения, ставим IP адреса: VLAN 10 – 10.0.0.1 255.255.255.248, VLAN 20 – 10.10.0.1 255.255.255.248.
На Core_2 создаём также VLAN’ы 10 и 20, добавляем 10 на gi 0/1, куда подключен Core_1 и 20 на интерфейс gi 0/2, к которому подключен Cat_2, ставим IP адреса: VLAN 10 – 10.0.0.2 255.255.255.248, VLAN 20 – 10.20.0.1 255.255.255.248.

DHCP — Dynamic Host Configuration Protocol

DHCP – это клиент-серверный протокол для автоматической настройки IP адреса и других параметров у хоста сети.
В роли DHCP сервера будет выступать уровень распределения. В клиентском VLAN’е 500 создадим DHCP пул с сетью 192.168.0.0 255.255.255.224 для Cat_1 и 192.168.1.0 255.255.255.224 для Cat_2.
Настраиваем Cat_1.
Указываем DHCP пул:
Cat_1(config)#ip dhcp pool Vlan500

Указываем сеть, из которой будут выдаваться адреса:
Cat_1(dhcp-config)#network 192.168.0.0 255.255.255.224

Указываем шлюз по умолчанию, который получит клиент DHCP:
Cat_1(dhcp-config)#default-router 192.168.0.1

Присваиваем клиенту dns сервера:
Cat_1(dhcp-config)#dns-server <IP_DNS_Server_1> <IP_DNS_server_2>

Задаём время аренды в днях:
Cat_1(dhcp-config)#lease 14

Можно указать имя домена:
Cat_1(dhcp-config)#domain-name workgroup_1

После этого выходим из режима конфигурации DHCP и исключаем ip адрес шлюза по умолчанию из DHCP пула:
Cat_1(dhcp-config)#ex
Cat_1(config)#ip dhcp excluded-address 192.168.0.1

Создаём логический интерфейс, который будет шлюзом по умолчанию для пользователей.
Создаём сам интерфейс:
Cat_1(config)#int Vlan500

Ставим IP адрес:
Cat_1(config-if)# ip address 192.168.0.1 255.255.255.224

Для Cat_2 делаем по аналогии, используя в VLAN’е 500 сеть 192.168.1.0 255.255.255.224
После этого пользователи DES_1 и DES_2 будут получать адреса по DHCP.

OSPF — Open Shortest Path First

OSPF — удобный протокол динамической маршрутизации с учётом состояния каналов. Он позволяет составить полную схему сети, а затем выбрать на основе этого оптимальный маршрут. Функционирование основано на получении данных о состоянии сетевых связей или каналов. Подробное описание есть в википедии. Мы будем использовать именно этот протокол.

В реальной сети каждое ядро содержит area 0 (для связи с другими ядрами) и несколько других зон, в которые входят узлы уровня распределения. Эти узлы в пределах одной зоны удобно объединять в кольца, благодаря чему будет резерв и оптимальная маршрутизация. Например, это может выглядеть так:

Определим зоны в нашей сети:

Настройка Core_1.
Включим маршрутизацию:
Core_1(config)# ip routing
Core_1(config)# ip classless
Core_1(config)# ip subnet-zero

Включим процесс OSPF и укажем proccess-id (берётся произвольно, в нашем случае — 111):
Core_1(config)#router ospf 111

Укажем сети для каждой из зон, в которые входит Core_1 (надо использовать инверсию маски):
Core_1 (config-router)# network 10.0.0.0 0.0.0.7 area 0
Core_1 (config-router)# network 10.10.0.0 0.0.0.7 area 10

Обычно прописывают ещё вручную Router-id (идентификатор маршрутизатора), указывая при этом IP адрес этого маршрутизатора. Если этого не делать, то Router-id будет выбран автоматически.

На Core_2 делаем всё точно также как и на Core_1.

При настройке Cat_1 включаем также маршрутизацию и процесс ospf с id 111. Указываем сеть 10.10.0.0 255.255.255.248 в area 10:
Cat_1(config)# ip routing
Cat_1(config)# ip classless
Cat_1(config)# ip subnet-zero
Cat_1(config)#router ospf 111
Cat_1(config-router)# network 10.10.0.0 0.0.0.7 area 10

Необходимо указать редистрибьюцию сети для DHCP (она в int Vlan500) в этот процесс ospf. Делается это командой:
Cat_1(config-router)# redistribute connected metric 5 metric-type 1 subnets

5 — это метрика для перераспределённого маршрута
1 – это тип внешней метрики – OSPF

После этой команды все сети в VLAN’ах Cat_1 будут доступны через ospf.
Редистрибьюцию пользовательских сетей DHCP также можно сделать через route-map и access-list или целиком указать в network x.x.x.x x.x.x.x area x. Всё это зависит от того, как и что нужно анонсировать в маршрутизации по сети.
Cat_2 настраиваем аналогично, только в area 10 надо указать network 10.20.0.0 0.0.0.7

По сути, теперь мы имеем работающую сеть, в которой пользователи с разных коммутаторов уровня доступа смогут обмениваться трафиком.

STP — Spanning Tree Protocol

STP – протокол связующего дерева, предназначен для избавления от ненужных циклов трафика и используется для построения резервов по L2.
Протокол работает следующим образом:
  • на сети выбирается root bridge
  • все не root узлы вычисляют оптимальный путь к root bridge, и порт (через который проходит этот путь) становится root port
  • если путь к root bridge проходит через какой то узел, то такой узел сети становиться designated bridge и порт соответственно designated port
  • порты, участвующие в дереве stp и не являющиеся root или designated блокируются

Сделаем кольцо следующего вида:

Cat_3 и Cat_2 находятся в одной area, работая по VLAN’у 20 и соединены непосредственно друг с другом для резерва по L2.
На Core_2, Cat_2 и Cat_3 включаем rapid-pvst. Rapid-Per-VLAN-Spanning Tree позволяет строить дерево на каждый VLAN отдельно.
Cat_1(config)#spanning-tree mode rapid-pvst

Указываем, что все существующие VLAN’ы должны участвовать в STP с приоритетом этого узла. Чтобы Core_2 был root bridge, ему надо поставить priority меньшее чем у Cat_3 и Cat_2, у которых в свою очередь priority может быть одинаковым.
Core_2:
Core_2(config)#spanning-tree vlan 1-4094 priority 4096

Cat_3:
Cat_3(config)#spanning-tree vlan 1-4094 priority 8192

Cat_2:
Cat_2(config)#spanning-tree vlan 1-4094 priority 8192

После этого Core_2 станет root bridge, а один из портов Cat_3 или Cat_2 заблокируется для передачи трафика по VLAN’у 20 в сторону Core_2. Если необходимо указать, чтобы определённый VLAN не участвовал в STP, то делается это такой командой:
no spanning-tree vlan <имя_VLAN'а>

Следует заметить, что BPDU пакеты Cisco и D-Link, при помощи которых строится STP, не совместимы между собой, поэтому stp между оборудованием этих двух производителей скорее всего построить будет очень затруднительно.

SNMP — Simple Network Management Protocol

SNMP – протокол простого управления сетью. При помощи него как правило собирается статистика работы оборудования, и он часто используется при автоматизации выполнения каких-либо операций на этом оборудовании.
На узлах всех уровней определим community, которое определяет доступ к узлу на read или write по этому протоколу, при условии, что это community совпадает у источника и получателя.

На Cisco:
Read — snmp-server community <название_snmp_community> RO
Write — snmp-server community <название_snmp_community> RW
Название snmp_community чувствительно к регистру.

На всех узлах ядра и распределения выполняем эти команды:
Core_1(config)# snmp-server community CISCO_READ RO
Core_1(config)# snmp-server community CISCO_WRITE RW

На D-link:
Удаляем всё дефолтное:
delete snmp community public
delete snmp community private
delete snmp user initial
delete snmp group initial
delete snmp view restricted all
delete snmp view CommunityView all

Создаём community на read — DLINK_READ и на write — DLINK_WRITE:
create snmp view CommunityView 1 view_type included
create snmp group DLINK_READ v1 read_view CommunityView notify_view CommunityView
create snmp group DLINK_READ v2c read_view CommunityView notify_view CommunityView
create snmp group DLINK_WRITE v1 read_view CommunityView write_view CommunityView notify_view CommunityView
create snmp group DLINK_WRITE v2c read_view CommunityView write_view CommunityView notify_view CommunityView
create snmp community DLINK_READ view CommunityView read_only
create snmp community DLINK_WRITE view CommunityView read_write

ACL — Access Control List

Списки контроля доступа – это условия, которые проходят проверку при выполнении каких-либо операций.
ACL используется в связке со многими протоколами и сетевыми механизмами, фильтруя трафик на интерфейсах и протоколах NTP, OSPF и других.

Создадим правило для закрытия доступа из пользовательской сети Cat_1 (192.168.0.0 255.255.255.224) в сеть Cat_2, которая находится в VLAN’е 500:
Cat_2(config)#ip access-list extended Access_denided_IN
Cat_2(config)#deny ip 192.168.0.0 0.0.0.31 any
Cat_2(config)#deny udp 192.168.0.0 0.0.0.31 any

Как видите, в extended access листах используется инверсия маски.
После создания списка доступа его необходимо применить на нужном интерфейсе:
Cat_2(config)#int Vlan500
Cat_2(config-if)# ip access-group Access_denided_IN in

Тем самым запретив на int vlan500 Cat_2 входящий трафик ip и udp от 192.168.0.0 255.255.255.224 на любой адрес.

NTP — Network Time Protocol

Cisco:
Синхронизация внутреннего времени узла с внешним сервером (можно использовать несколько серверов):
ntp server <IP вашего NTP сервера>

Указание часового пояса (GMT +3):
clock timezone MSK 3

Начальная и конечная дата перехода на летнее время:
clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 3:00

Эти команды следует выполнить на всех узлах сети, либо указать на роутере ядра ntp master и остальные узлы синхронизировать с ним.

Также можно указать время вручную:
clock set 18:00:00 20 Feb 2011
Но это делать крайне не рекомендуется — лучше использовать NTP.

D-Link:
Используем SNTP – более простая версия NTP.

Включаем SNTP:
enable sntp

Указание часового пояса (GMT +3):
config time_zone operator + hour 3 min 0

Задаём NTP сервера:
config sntp primary <IP вашего NTP сервера_1> secondary <IP вашего NTP сервера_2> poll-interval 600

poll-interval — интервал времени в секундах между запросами на обновление SNTP информации.

Начальная и конечная дата перехода на летнее время:

config dst repeating s_week 1 s_day sun s_mth 4 s_time 0:3 e_week last e_day sun e_mth 10 e_time 0:3 offset 60

Мы рассмотрели теорию трёхуровневой модели сети и некоторые базовые технологии, которые помогут в изучении таких сетей.

Как настроить коммутаторы cisco 3 уровня, на примере cisco 3560

настроить cisco 3560

Всем привет, сегодня хочу рассмотреть вопрос, о том как настроить коммутаторы cisco 3 уровня модели OSI, на примере cisco 3560. Напомню, что коммутаторы cisco 3 уровня не используются для выхода в интернет в качестве шлюза, а только маршрутизируют трафик между vlan в локальной сети. Для выхода в интернет cisco как и все вендоры предоставляет маршрутизатор? ниже представлена самая распространенная схема подключения.

Оборудование и схема сети

Предположим, что у меня коммутатор 3 уровня cisco 3560 24 порта, он выглядит как то вот так.

Он будет маршрутизировать трафик между vlan в моей локальной сети, и к нему допустим будут подключены 3 коммутатора 2 уровня модели OSI, уровня доступа, коммутаторы cisco 2960, а сам cisco 3560 будет выступать в качестве коммутатора уровня распределения. Напомню, что на втором уровне коммутируется трафик на основе mac адресов. Уровень доступа это куда подключаются конечные устройства, в нашем случае компьютеры, сервера или принтеры.. Ниже схема.

Что такое коммутатор второго уровня

Коммутатор второго уровня это железка работающая на втором уровне сетевой модели OSI

  • Коммутирует трафик на основе мак адресов
  • Используется в качестве уровня доступа
  • Служит для первичного сегментирования локальных сетей
  • Самая маленькая стоимость за порт/пользователь

В технической документации коммутатор второго уровня обозначает в виде вот такого значка

Что такое коммутатор третьего уровня

Коммутатор третьего уровня это железка работающая на третьем уровне модели OSI умеющая:

  • IP маршрутизация
  • Агрегирование коммутаторов уровня доступа
  • Использование в качестве коммутаторов уровня распределения
  • Высокая производительность

В технической документации коммутатор третьего уровня обозначает в виде вот такого значка

Помогать мне будет в создании тестового стенда программа симулятор сети, Cisco packet tracer 6.2. Скачать Cisco packet tracer 6.2, можно тут. Вот более детальная схема моего тестового полигона. В качестве ядра у меня cisco catalyst 3560, на нем два vlan: 2 и 3, со статическими ip адресами VLAN2 192.168.1.251 и VLAN3 192.168.2.251. Ниже два коммутатора уровня доступа, используются для организации VLAN и как аплинки. В локальной сети есть 4 компьютера, по два в каждом vlan. Нужно чтобы компьютер PC3 из vlan2 мог пинговать компьютер PC5 из vlan3.

С целью мы определились можно приступать. Напоминать, про то что такое vlan я не буду можете почитать тут.

Настройка cisco коммутатора 2 уровня

Настройка коммутатора второго уровня очень простая. Начнем настройку cisco catalyst 2960, как вы видите у меня компьютеры PC03 и PC04 подключены к Switch0, портам fa0/1 и fa0/2. По плану наш Switch0 должен иметь два vlan. Приступим к их созданию. Переходим в привилегированный режим и вводим команду

enable

теперь в режим конфигурации

conf t

Создаем VLAN2 и VLAN3. Для этого пишем команду

vlan 2

задаем имя пусть так и будет VLAN2

name VLAN2

Выходим из него

exit

Аналогичным образом создаем VLAN3.

Теперь добавим интерфейс fa0/1 в vlan 2, а интерфейс fa0/2 в vlan 3.  Пишем команду.

int fa 0/1

Говорим что порт будет работать в режиме доступа

switchport mode access

закидываем его в VLAN2

switchport access vlan 2

exit

Теперь добавим fa0/2 в vlan 3.

int fa 0/2

switchport mode access

switchport access vlan 3

exit

Теперь сохраним это все в памяти коммутатора командой

Настроим теперь trunk порт. В качестве trunk порта у меня будет гигабитный порт gig 0/1. Вводим команду для настройки порта gig 0/1.

Сделаем его режим trunk

И разрешим через транк нужные вланы

switchport trunk allowed vlan 2,3

Сохраняем настройки. Все настройка коммутатора второго уровня почти закончена.

Теперь таким же методом настраивает коммутатор Switch2 и компьютеры  PC5 в VLAN2 и  PC6 в VLAN3. Все на втором уровне модели OSI мы закончили, переходим к 3 уровню.

Настройка cisco 3560

Настройка cisco 3560, будет производится следующим образом. так как наше ядро должно маршрутизировать внутренний локальный трафик, то мы должны создать такие же vlan, задать им ip адреса, так как они будут выступать в роли шлюзов по умолчанию, а так же trunk порты.

Начнем с транк портов, у нас это gig 0/1 и gig 0/2.

enable

config t

заходим в настройку интерфейса gig 0/1 и gig 0/2

int range gig 0/1-2

Попытаемся включить режим транка

switchport mode trunk 

но в итоге вы получите вот такую подсказку: Command rejected: An interface whose trunk encapsulation is «Auto» can not be configured to «trunk» mode. Смысл ее в том, что вам сначала предлагают включить инкапсуляцию пакетов. Давайте настроим инкапсуляцию на cisco 3560.

switchport trunk encapsulation dot1q

Теперь укажем режим и разрешенные vlan

switchport mode trunk

switchport trunk allowed vlan 2,3

Сохраним настройки Cisco

do wr mem 

Далее создадим vlan и назначим им ip адреса, которые будут выступать в роли шлюзов.

vlan 2

name VLAN2

exit

vlan3

name VLAN3

exit

Назначим ip адреса для каждого из них, напомню для vlan 2 это 192.168.1.251/24, а для vlan 3 192.168.2.251/24

int vlan 2

ip address 192.168.1.251 255.255.255.0

no shutdown

exit

int vlan 3

ip address 192.168.2.251 255.255.255.0

no shutdown

exit 

Теперь включим маршрутизацию между vlan, делается это командой

Проверка доступности

Открываем командную строку на PC3 и пробуем пропинговать его самого, шлюз и PC5. Вводим по очереди

ping 192.168.1.1

ping 192.168.1.251

ping 192.168.1.2

Видим, что все отлично пингуется, значит связь есть.

Проверим теперь с PC3 соседа из VLAN3 PC6

Как видим, первый запрос потерялся, это происходит по тому, что перестроилась arp таблица, а дальше видим пакеты доходят до адресата.

Как видите настройка коммутатора второго уровня и третьего закончена. Задача выполнена. Вот как можно использовать коммутаторы cisco 3 уровня, и создать отличное ядро локальной сети. Если у вас есть вопросы и пожелания пишите в комментариях.

Материал сайта pyatilistnik.org

Применение коммутаторов L3

Новости.

С публичной TV-порки начался спуск собак на сети. Пока достоверно неизвестно кто этим занимается, зачем, и что хочет получить в результате процесса. Рассказ о нелегальных домашних сетях показывался по ТВЦ (в Москве) 26 сентября в 23-50 на программе Петровка, 38 (краткий и безграмотный анонс в сети можно смотреть тут).

Говорили, что сетей много (более 300), пользы от них мало, а вред большой (ну чисто как в Китае при хунвейбинах с воробьями боролись). Обманывают абонентов и не дают работать честным провайдерам. Да еще народную электроэнергию воруют посредством подключения страшных устройств — хабов.

Управление «Р» ГУВД Москвы отработалось по сети «Академ-нет». Деятельность компании остановлена, имущество арестовано, оборудование и линии связи ликвидированы, гендиректор под следствием.

Данная сеть конечно не «Юкос», но своих 800 абонентов имелось (для Москвы это средняя сеть, ближе к небольшой). Полной информации еще нет, и не понятно до конца будет ли, так как маски-шоу в России могут заканчиваться с любым итогом — от освобождения всех схваченных через 2 часа до длительных сроков заключения.

Собственно, докопаться в России можно до любого бизнеса. Особенно такого технически сложного, как сети. Поэтому важно понять, случаен ли разгром «Академ-нет» (может быть там все на самом деле было плохо, или денег кому-то недодали, или подвернулись под горячую руку кому-то), или это начало спланированной волны по монополизации отрасли в Москве.

Не слишком верится (повторюсь, достоверной информации нет), что это исходит от чиновников. Такие действия — не их стиль, да и зачем поднимать шум, когда можно просто не давать выхода на домовые коммуникации.

Скорее похоже на «помощь» конкурентов. Но так или иначе, очередной «гудок тепловоза» о необходимости легализации прозвучал. Судя по всему отрасль (пока только в Москве) накопила достаточно денег для серьезных действий по консолидации рынка в руках нескольких десятков крупных операторов. Поезд трогается от перрона — кто не успеет — тот опоздал. Процесс этот хоть и циничный, но, к сожалению, неизбежный.

Ну а провайдерам остальных городов остается продолжить размещение в вагонах согласно затраченным деньгам и усилиям. И считать месяца (или года) до готовности состава к движению.

Обновления разделов.

 

Применение коммутаторов L3.

Начало этому материалу положили участившиеся письма читателей, которые спрашивали что либо о коммутаторах 3-го уровня. Причем многие видели в них что-то вроде универсального средства решения всех проблем сети — от увеличения производительности до обеспечения защиты от воровства трафика.

В принципе, такую постановку вопроса нельзя считать неверной — хороший коммутатор L3 действительно способен кардинально изменить возможности управления сетью. Но применение теории к реальности (да еще Российской) никогда не было простым. Поэтому вопросов выходит много, и отвечать на них проще оптом.

Немного теории для тех, кто ее подзабыл. Если сузить поле применения стандартов до конкретной реальности домашних сетей, то уровень 2 (по семиуровневой модели OSI) соответствует кадрам Ethernet. Соответственно их передвижение происходит согласно MAC-адресам известных CAM-таблицам коммутаторов. Свитчи, которые «не знают» ничего выше по стеку протоколов называются коммутаторами 2-го уровня.

При этом они могут производить весьма сложные операции. Например, ставить и убирать метки VLAN, распознавать приоритеты (QoS), устанавливать кадры в очереди, определять атаки, считать Ethernet-трафик, шейпить его, фильтровать по номерам портов, и т.п. Классическим типом «продвинутого» L2 можно считать 3com SuperStack 3300 или Catalyst 2924.

Соединять разные сети Ethernet (т.е. реальные и виртуальные сети 2-го уровня) должны маршрутизаторы, которые обрабатывают данные на 3-м уровне (IP пакетов). Заголовки IP идут по сети Ethernet как данные, и обычным коммутаторам 2-го уровня недоступны.

Ранее сети Ethernet соединялись друг с другом при помощи иной (не Ethernet) канальной средой передачи данных (WAN). Например Frame Relay, X.25, ATM, G.703, и т.п. Для преобразования была нужна гибкость, универсальность, сложный софт, и… хватало небольшой скорости.

Когда сети Ethernet сделались большими, то необходимость в таком подходе отпала, и даже более того, стала мешать (как и любая избыточность возможностей). Тут и появились коммутаторы 3-го уровня, способные в добавление к обычным функциям маршрутизировать трафик между портами на IP-уровне. Быстро, но с весьма ограниченными возможностями (как правило нельзя подсчитать трафик, построить сложные фильтры, добавить скрипты, NAT, и т.п.). Хотя конечно есть и монстры типа Catalyst 6509…

Можно только добавить, что история эта была длинная, и она еще не совсем закончена. Так, сначала различали маршрутизирующую коммутацию, коммутация потоков и коммутирующую маршрутизацию. Эти термины сейчас можно считать в некотором роде анахронизмом, но корни той же MPLS растут из них, и в дальнейшем смогут сильно изменить дизайн сетей. Но это уже лежит далеко за рамками рассматриваемой темы.

Вернемся к сетям. Вернее, к условной схеме сети.

Собственно, большинство небольших сетей так или иначе сводятся к такой простой картинке. А из нескольких подобных сегментов можно построить уже вполне крупную инфраструктуру.

Перечислим варианты установки оборудования.

  1. Полностью неуправляемые коммутаторы. Вариант конечно реальный, но для рассмотрения не интересный. Да и перспективность его в общем сомнительна — слишком много неудобств. Достоинство только одно — сверхнизкая стоимость.
  2. S7, S5, S10 — управляемые свитчи 2-го уровня, остальные неуправляемые. Такое построение не даст заметного выигрыша. Если два управляемых коммутатора 2-го уровня разделены неуправляемым (с подключенными пользователями) то не все, но большинство функций (VLAN, QoS) будет потеряно. Поэтому имеет смысл поставить мощные устройства только в точках S7 и S5 — тогда их можно будет использовать эффективно.
  3. S7, S5, S10 — управляемые 3-го уровня, остальные неуправляемые. Вполне эффективное использование для разделения сегментов в точках S5, S10, но в S7, рядом с маршрутизатором, функции 3-го уровня могут быть излишни. Ну а в остальных точках контроль над сетью будет неполным.
  4. Все коммутаторы управляемые 2-го уровня. Этот вариант дает возможность полностью контролировать и при необходимости маршрутизировать каждый порт сети. Для мультисервисного использования возможно соблюдение QoS, мультикастинг, и прочие функции. Как недостаток — необходим отдельный мощный маршрутизатор, через который пойдет весь междусегментный трафик.
  5. S7, S5, S10 — управляемые 3-го уровня, остальные — управляемые 2-го уровня. Этот вариант на сегодня фактически стандарт для серьезных корпоративных сетей, но для Ethernet-провайдеров рекомендовать его явно рановато.
  6. Все коммутаторы управляемые 3-го уровня. Это вариант возможно и неплох, но на сегодня избыточен даже для корпоративных решений. Про домашние и говорить нечего.

Из краткого перечисления вариантов видно, что при выборе направления развития можно использовать варианты 3 и 4. Кстати сказать, производители оборудования пришли (судя по продаваемым линейкам) к похожим выводам, но к этому придется вернуть после небольшого отступления.

Сначала надо ответить на вопрос — «зачем нужно разделять трафик на уровне IP?».

Когда сети строились на хабах, ответ был тривиален — нужно разделять коллизионные домены, поэтому маршрутизаторы (коммутаторы L3 были непозволительной роскошью) ставились между каждыми 5-8 хабами (или 30-40 пользователями). Если этого не делать, то наступала быстрая деградация производительности сети.

Однако, в коммутируемой сети такого ограничения нет. И ее размер ограничивается только бродкастовым трафиком, который постепенно заполняет полосу пропускания. Считается, что «бродкастовый шторм» может наступить при количестве пользователей около 300-500. И это не предел, если в центре сети использовать оборудование с фильтрацией на 4-м уровне (т.е. по протоколам).

Много ли найдется домашних сетей, в которых возможно собрать столько пользователей на территории, не разделенной каналами WAN? Только единичные случаи. Тем более количество одновременно работающих компьютеров в сети провайдера как минимум в 2-3 раза меньше, чем в корпоративной, и предел можно поднять еще выше.

Для чего может быть нужно разделение на отдельные сегменты в случае 4? Подсчет локального трафика, ограничение скорости отдельных сегментов, фильтрация, построение закрытых корпоративных локалок. В остальном сеть и так полностью управляемая, в ней отдельно можно маршрутизировать каждый отдельный порт. Да и с мультисервисными услугами проблем не возникнет.

Минусов два. Приличная стоимость управляемого железа и проведение межсегментного трафика через центральный узел, что плохо сказывается на пропускной способности основной магистрали. Собственно последнее и ограничивает размеры плоской сети Ethernet на управляемых коммутаторах 2-го уровня.

Для варианта 3 вероятные причины сегментирования иные. Подсчет трафика на недорогих коммутаторах 3-го уровня делать затруднительно (а при отсутствии финансовых проблем см. вариант 5). Закрытые корпоративные сети то же не сделать — разве что ставить управляемые свитчи во всех точках подключения таких пользователей. Так что единственный смысл решения — повысить производительность и управляемость сети в целом, локализовать неисправности, ограничить доступ абонентов друг до друга.

Достоинство — не нужен выделенный маршрутизатор, нет лишнего трафика через центральные магистрали.
Недостаток — из-за многократной маршрутизации на IP-уровне сильно повышается сложность сети — лишние подсети, лишние проблемы. По неволе придется поднимать OSPF, RIP-2 или что-то подобное.

Теперь можно перейти к сравнению коммутаторов L3, например D-Link DES-3326S ($800) и Catalyst 3550-24 ($4500). Конечно не на уровне технических параметров, а по парадигме использования.

Первый, вероятно, предназначен к использованию по варианту 3, только в расчете на небольшие офисные сети, а не на провайдеров (кто про них в Китае думал?). Так же хорошо вписываются в подобную схему коммутаторы от D-Link с портовыми, нетегированными виланами, для которых L3 на ближайшей развилке — хорошее решение проблемы как скорости, так и безопасности. Но большую разветвленную сеть построить таким образом будет достаточно сложно.

Ну а Cisco 3550 конечно «заточена» под варианта 5, и проходит в связке с Catalyst 2950 через пособия по дизайну сетей. Как раз один 3550 или 3550-12G, и к нему звездой — десяток-другой 2950. Это позволяет достичь максимальной скорости передачи данных. Кстати, нет в линейке этого производителя свитчей с портовыми виланами, а вот поддержка тегированных 802.1q на маршрутизирующих портах становится принципиально необходимой…

Таким образом, можно сказать, что главная причина применения L3 в корпоративных сетях — повышение скорости передачи данных. Но… Для провайдера актуальность этого момента сомнительна. Основной трафик невелик, и имеет вертикальную структуру (от серверов к пользователю и обратно). Межпользовательский обмен данными прибыли не приносит, и во многих случаях просто вреден.

Что же выбрать, на какой путь ориентировать сеть? Сказать сложно — факторов много, и они весьма разные. Кто-то перейдет на снижение внутреннего обменного трафика ограничительным путем или на его прямой подсчет. Да и поставить стремительно дешевеющий гигабит на магистрали не сложно, разгрузив узкое место для прохода межвилановых данных.

Кому-то покажется проще брать абонентскую плату и поднимать скорость сети, замыкая трафик на свитчах L3. Это особенно удобно в небольших, но многочисленных сетях, связанных между собой xDSL. В этом случае ставить маршрутизатор на каждый сегмент дорого, а расширение магистрали трудноосуществимо.

Решений много, выбирать или комбинировать нужно в каждом конкретном случае по разному. Но на мой взгляд, даже широкое применение устройств L3 с неуправляемыми или частично управляемыми коммутаторами (без поддержки полных возможностей L2) не позволяет получить значительных преимуществ для продажи услуг сети. По крайней мере до тех пор, пока с избытком хватает гигабита.

Однако безусловно, есть локальные варианты использования, в которых свитч L3 будет очень удобен, или даже незаменим. Поэтому о их наличии стоит помнить при проектировании сети. Но так же надо учитывать, что «третий уровень» совсем не волшебное средство решания всех проблем, а лишь инструмент. Который нужно применять к месту и в нужных количествах. Как лекарство. 🙂

Интересное в сети.

Вот что бывает если позволять пользователям слишком много и при этом не следить за проходящим трафиком. Этим могут быстро воспользоваться непорядочные конкуренты, выстроив коммерческие туннели через чужую сеть.

Интересную новость прислал Юрий. Asus выпустила серию материнских плат AI (например P4P800) с сетевым контроллером 3Com 3C940 на борту. В комплекте с платой идёт программа-кабельный тестер.

Кабельный тестер

Кажется не слишком вероятным, но сетевая карта измеряет (кроме прочего) расстояние до обрыва конкретной пары. Таким образом, можно собрать очень бюджетный и универсальный кабельный тестер.

 


Сеть Академ-нет из Новосибирска запустила интернет-вещание ТВ канала Fashion в формате MPEG-4, 640х480 25 кадров (т.е. лучше, чем VHS). С учетом мультикастинга на основных магистралях поток занимает всего 2 мегабита.

Но вот видео-серверу приходится тяжело. У разогнанного Атлона 2500(333) утилизация составляет до 99%. Так что без специальных видео-ускорителей вещание через IP будет непростой, но перспективной задачей.

 


Еще один «бесконечно далекий» от реальности обзор технологий выделенных линий. Читать только если хочется немного развлечься (ссылку прислал Grumbler).

 


Внутренности свитча Xnet SH9016A (прислал argus). Агрегат проработал не выключаясь около полутора лет, потом вышел из строя. Вскрытие показало, что это произошло из-за некачественных конденсаторов в блоке питания.

Но самое интересное обнаружилось с обратной стороны платы.

неонацисты из Китая

Не иначе, постарались неонацисты из Китая.

 


Небольшая ссылка от Michail — Локальные сети Ethernet в АСУ ТП. К сожалению, в сеть выложены только анонсы.

 


Ведомство Чубайса создает свою сеть передачи данных. Хоть строительство и не такое масштабное как у Транстелекома (предполагается активно использовать сети сторонних операторов), все равно тенденция проглядывает знакомая…

 


Заметка Школа остается с пустой «тарелкой» (прислал Aleksei). Собственно, давно не понимаю, почему проблема информатизации сельских школ не решена простым спутниковым способом.

Односторонний канал с единой по России программой стоит в общем копейки как для вещающей стороны (одна полоса), так и принимающей (односторонняя тарелка стоит не более $200). Объем данных, которые можно без труда «свалить» с орбиты, очень велик — можно уложить как часовые обновления нескольких сот ведущих новостных сайтов, так и неторопливо пополнять файловые архивы.

При современной стоимости жестких дисков каждая школа может позволить себе вполне актуальный микроинтернет гигабайт на 300. Это очень много при разумном использовании. И будет работать даже на полярной зимовке, там, где нет никакой связи.

Ну а обратный канал… Если есть телефон — нет проблем. Но в заметке пишут, что 22 тысячи школ не имеют экстренной связи. Однако, отправить почту и немного сообщений можно через межгород по радио — пусть на скорости 9600 или 2400 (и черт с ним, с качеством кабелей). Или даже на дискете отнести до сельсовета — если там есть компьютеры.

В общем, совершенно не понимаю, зачем зарывать большие деньги в какую-то программу. Достаточно обеспечить централизованное вещание, и предложить (обязать) школы поставить тарелки. Ну может быть еще софт специальный (дуракоустойчивый) написать и распространить. Если у них есть компьютеры, уж 200 баксов найдут или в своем бюджете, или соберут в конце концов с родителей.

Вот только преодолеть бы проблемы в мышлении. Когда не хотят что-то делать, находят поводы. Ну а способы, судя по всему, никто искать еще и не пробовал…

Фотозарисовки.

Данный материал прислали из Ульяновска. Для начала, несмотря на фактическое окончание сезона, опубликую еще одну грозовую фотографию. Красивая и опасная стихия.

Красивая и опасная стихия

Что бы Ethernet-провайдеры не сильно расслаблялись, и помнили о неизбежном приходе лета. А то уж скоро 7 лет как в Екатеринбурге весна наступает неожиданно. 🙂

 


Далее, радиосеть в г. Ульяновске (есть все нужные лицензии и разрешения на частоты).

Базовая станция на высоте 120 метров расположена на законсервированной трубе ТЭЦ1.

Радиосеть в Ульяновске Радиосеть в Ульяновске

Монтажник-высотник Илья (слева) и параболическая антенна на расстояние 62,4 км (справа).

Вверху большая белая всенаправленная антенна 12db для раздачи интернета части города. Вверх ногами работает лучше по неизвестной (несмотря на более чем 6-ти летний опыт работы) причине.

Радиосеть в Ульяновске Радиосеть в Ульяновске

Слева маленькая антенка 9db для раздачи инета части другой города (вверх ногами работает лучше).

Внизу справа лючек, где расположено все оборудование (Cisco BR342 2шт. Orinoco AP-2 1шт). Есть еще несколько D-Link, но их антенны расположены ниже ярусом чтобы не было помех на основные каналы.

Радиосеть в Ульяновске Радиосеть в Ульяновске

Вид на город. На фото слева антенна Harvest, с его помощью получается использовать телефонную связь почти по всей области. Справа — вида на завод УАЗ. Вдали река Волга.

Хождение админа в народ.

Кто-то спрашивал: «…как обеспечить точку доступа на улице?».

Хождение админа а народ

Как видно на фото (прислал Sergey) легко, и не только точку, но и рабочее место самого админа.

Анонс

 

  • Муниципальная городская информационная сеть города Северска (Томская область).
  • Cсылки на интересные места Сети. Присылайте письма — они очень нужны для обзоров. Обязательно сообщайте, нужна ли Ваша подпись, ссылка, или лучше обойтись без нее;

Маршрутизаторы Работают на Уровнях 1, 2 и 3

Маршрутизатор принимает свое основное решение о передаче на Уровне 3, но как мы видели ранее, он участвует в процессах Уровня 1 и Уровня 2 также.

После того, как маршрутизатор исследовал целевой IP-адрес пакета и просмотрел свою таблицу маршрутизации, чтобы принять решение о передаче, он может передать этот пакет на соответствующий интерфейс к его месту назначения. Маршрутизатор инкапсулирует пакет IP Уровня 3 в часть данных фрейма канала передачи данных Уровня 2, подходящего для интерфейса выхода. Тип фрейма может быть Ethernet, HDLC или некоторая другая инкапсуляция Уровня 2 — смотря какая инкапсуляция используется на этом конкретном интерфейсе. Фрейм Уровня 2 кодируются в физический сигнал Уровня 1, которые используются, чтобы представить биты на физической связи.

Чтобы понять этот процесс лучше, обратитесь к рисунку. Заметьте, что PC1 работает на всех семи уровнях, инкапсулируя данные и передавая кадр как поток закодированных битов к R1, его шлюзу по умолчанию.

R1 получает поток закодированных битов на свой интерфейс. Биты декодируются и передаются на Уровень 2, где R1 декапсулирует фрейм. Маршрутизатор исследует адрес получателя фрейма канала передачи данных, чтобы определить, соответствует ли он интерфейсу получения, включая широковещательный или групповой адрес. Если есть соответствие в части данных фрейма, пакет IP передается на Уровень 3, где R1 делает свое решение по маршрутизации. R1 тогда повторно инкапсулирует пакет в новый фрейм канала передачи данных Уровня 2 и передает его на исходящий интерфейс как поток закодированных битов.

R2 получает поток битов, и процесс повторяется. R2 декапсулирует фрейм и передает порцию данных фрейма, пакет IP, к Уровню 3, где R2 делает свое решение по маршрутизации. R2 затем повторно инкапсулирует пакет в новый фрейм канала передачи данных Уровня 2 и передает его на исходящий интерфейс как поток закодированных битов.

Этот процесс повторяется еще раз маршрутизатором R3, который передает пакет IP, инкапсулированный во фрейме канала передачи данных, и закодированный в виде битов, к PC2.

Каждый маршрутизатор в маршруте от источника к месту назначения выполняет этот тот же самый процесс декапсуляции, осуществляя поиск в таблице маршрутизации, и затем повторной инкапсуляции.

Далее: Проверка изменений в таблице маршрутизации

Коммутаторы третьего уровня — Студопедия

Функции и технические характеристики маршрутизаторов

Маршрутизаторы

В разделе 7.3.2. были рассмотрены основные функции маршрутизаторов, которые состоят в составлении таблицы маршрутизации и организации передачи данных на основе этой таблицы через сложную составную сеть, состоящую из подсетей, построенных по разным локальным и глобальным технологиям.

Основными характеристиками маршрутизаторов являются: общая производительность в пакетах в секунду, набор поддерживаемых сетевых протоколов и протоколов маршрутизации, набор поддерживаемых сетевых интерфейсов глобальных и локальных сетей.

К числу дополнительных функций маршрутизаторов относятся одновременная поддержка сразу нескольких сетевых протоколов и нескольких протоколов маршрутизации, возможность приоритетной обработки трафика, разделение функций построения таблиц маршрутизации и продвижения пакетов между маршрутизаторами разного класса на основании готовых таблиц маршрутизации. Это примеры тех функции, которые расширяют возможности основных функций, связанных с маршрутизацией трафика. Однако, современные аппаратные IP- маршрутизаторы снабжаются целым рядом дополнительных функций, которые превращают его в многофункциональное устройство по обработке трафика. Это автоматическая настройка стека TCP/IP на компьютерах сети по протоколу DHCP, средства защиты сети от внешних атак – межсетевые экраны и анализаторы вторжений, технологии трансляции сетевых адресов NAT, поддержка защищенных внешних соединений VPN, организация группового вещания по протоколу IGMP и многое другое.


С технической точки зрения типичный аппаратный маршрутизатор представляет собой сложный специализированный компьютер, работающий под управлением специализированной операционной системы, оптимизированной для выполнения операций построения таблиц маршрутизации и перемещения пакетов на основе этих таблиц. Многие такие системы в свое время разрабатывались на основе UNIX.

Маршрутизатор часто строится по многопроцессорной схеме, причем используется симметричная многопроцессорность. Наиболее рутинные операции обработки пакетов выполняются программно и аппаратно специализированными процессорами или чисто аппаратно большими интегральными схемами (БИС/АSIC). Более высокоуровневые действия выполняют программно универсальные процессоры.


По конструктивному исполнению наиболее часто встречаются маршрутизаторы с фиксированным количеством портов и модульные.

По областям применения маршрутизаторы делятся на: магистральные маршрутизаторы, маршрутизаторы региональных подразделений, маршрутизаторы удаленных офисов и маршрутизаторы локальных сетей – коммутаторы третьего уровня.

Магистральные маршрутизаторы – это наиболее мощные устройства, способные обрабатывать сотни тысяч или миллионы пакетов в секунду, оснащенные большим количеством интерфейсов локальных и глобальных сетей. Чаще всего магистральный маршрутизатор конструктивно выполняется по модульной схеме на основе шасси с большим количеством слотов – до 12-14. Большое внимание в магистральных маршрутизаторах уделяется надежности и отказоустойчивости маршрутизатора, которая достигается за счет системы терморегуляции, избыточных источников питания, модулей «горячей замены» (hot-swap) и симметричной многопроцессорности.

Маршрутизаторы региональных отделений – это обычно несколько упрощенные версии магистральных маршрутизаторов. Количество слотов в его шасси – обычно до 4-5. Возможны и решения с фиксированным количеством портов. Поддерживаемые интерфейсы локальных и глобальных сетей – менее скоростные.

Маршрутизаторы удаленных офисов соединяют, как правило, единственную локальную сеть удаленного офиса с центральной сетью или региональным отделением по глобальной связи, поэтому имеют небольшое фиксированное количество портов.. Маршрутизатор удаленного офиса в качестве резервной связи для выделенного канала может поддерживать работу по коммутируемой телефонной линии. Существует очень много типов маршрутизаторов удаленных офисов. Их производительность обычно составляет от 5 до 20-30 тысяч пакетов в секунду.

Маршрутизаторы локальных сетей (коммутаторы третьего уровня) предназначены для разделения крупных локальных сетей на подсети. Основное требование, предъявляемое к ним – высокая скорость маршрутизации, так как в такой сети все порты – скоростные, не менее 10 Мб/с.

Объем внешнего трафика в ЛВС постоянно растет. В недалеком прошлом наметился разрыв между производительностью типичного коммутатора в ЛВС и маршрутизатора, объединяющего подсети ЛВС.

Решение данной проблемы шло по двум направлениям:

1. отказ от маршрутизации там, где это возможно;

2. увеличение производительности маршрутизаторов.

Коммутаторы третьего уровня – это устройства, совмещающие функции коммутаторов и маршрутизаторов. Функции коммутации и маршрутизации могут совмещаться двумя способами:

2. классический способ – маршрутизация выполняется по каждому пакету, требующему передачи из сети в сеть, а коммутация – для пакетов, принадлежащих одной сети.

3. нестандартный способ – маршрутизируются первые несколько пакетов устойчивого потока, а все остальные пакеты этого потока коммутируются на основе MAC-адресов.

В первом способе, если кадр имеет MAC-адрес назначения, отличный от MAC-адреса порта маршрутизатора, то кадр коммутируется, а если кадр направлен непосредственно порту маршрутизатора, то маршрутизируется. Характерная особенность устройств данного типа – использование специализированных заказных БИС, многопроцессорность, распараллеливание с помощью специальных процессоров портов, как у коммутаторов. Максимальная скорость достигается, когда вместо универсальных или специализированных процессоров используются специализированные БИС, то есть используется не программная, а аппаратная реализация алгоритмов. Так как реализация жесткая, то в аппаратную часть переносятся несколько базовых сетевых протоколов (IP, IPX).

Во втором способе выявление долговременных потоков выполняется на основании совпадения адресов отправителей и получателей, поля качества обслуживания у определенного количества кадров в их IP-пакетах.Когда поток выявлен, первый коммутатор на пути следования потока выполняет нестандартную обработку пакета – он помещает в кадр канального протокола, например, Ethernet, не MAC-адрес порта следующего маршрутизатора, а MAC-адрес узла назначения. Как только эта замена произведена, кадр с таким MAC-адресом перестает поступать на блоки маршрутизации второго и последующих коммутаторов/маршрутизаторов, а проходит через блоки коммутации этих устройств. Процесс передачи пакетов действительно ускоряется, так как они не проходят многократно повторяющиеся этапы маршрутизации. В то же время маршрутизируются первые пакеты, поэтому сохраняется фильтрация широковещательного шторма, защита от несанкционированного доступа и другие преимущества сети, разделенной на подсети.

Основной проблемой данного подхода является то, на основании какой информации первый маршрутизатор узнает MAC-адрес узла назначения. Этот узел обычно находится за пределами непосредственно подключенных к первому маршрутизатору сетей, и протокол ARP здесь бессилен. Именно здесь начинаются различия между большинством фирменных технологий ускоренной маршрутизации. Многие компании разработали собственные протоколы определения таких адресов и передачи их между маршрутизаторами. Эти протоколы используют как распределенный подход, когда все маршрутизаторы в равной степени задействованы в определении MAC-адреса, так и централизованный, когда в сети существует выделенный маршрутизатор, который занимается такими задачами по запросам от других.

Сети для Самых Маленьких. Микровыпуск №5. FAQ по сетевым технологиям / Хабр

Пока весь мир с замиранием ждёт 11-го выпуска СДСМ, посвящённого MPLS BGP L3VPN, я решил сделать вольный перевод неплохой статьи Джереми Стреча с Packetlife.net.

Это подборка небольших FAQ для новичков.

#На каком уровне OSI работает протокол Ч?
#Какая разница между маршрутизатором и многоуровневым коммутатором?
#Какая разница между forwarding и control planes?
#Какая разница между MTU и MSS?
#Какая разница между интерфейсами VLAN и BVI?
#Как работает туннельный интерфейс?
#Что означают четыре типа адресов в NAT?
#Могу ли я использовать адрес сети и широковещательный адрес в NAT-пуле?
#Почему нам нужны IP-адреса? Разве нам не хватит MAC-адресации для всего?
#Позволяет ли QoS расширить пропускную способность?

#На каком уровне OSI работает протокол Ч?


Первая вещь, с которой сталкивается любой, кто изучает сети — это модель OSI (Open Systems Interconnection). Это семиуровневая эталонная модель, официально определённая в IOS/IEC 7498-1. Вы встретите её в любой когда либо напечатанной учебной литературе. Это совершенно обычное дело — ссылаться на OSI при обсуждении взаимодействия между протоколами. Так, например, TCP — это протокол четвёртого уровня, и он сидит на шее IP — протоколе третьего уровня.

Но что это значит на самом деле? Кто решает какому уровню принадлежит протокол? Модель OSI была задумана ещё в 70-е годы, как часть семейства протоколов OSI, которая на полном серьёзе позиционировалась как соперник стеку TCP/IP (спойлер: TCP/IP таки выиграл). Если исключить горстку выживших (наверняка, вы слышали про протокол динамической маршрутизации IS-IS), то протоколы OSI сейчас фактически не используются. Однако эталонная модель OSI, описывающая, как они должны были взаимодействовать, живее всех живых. Что, впрочем, заставляет нас привязывать протоколы одного семейства к уровням, определённым для другого.

По большей части всё работает прекрасно: TCP и UDP едут верхом на IP, который в свою очередь передвигается на Ethernet, PPP или чём бы там ни было другом. Но сорокалетняя модель не всегда может удовлетворить нужны современных протоколов. Возьмём для примера MPLS. Часто его относят к уровню 2,5, потому что он работает поверх канального, но ниже сетевого, не осуществляя при этом ни формирования фреймов ни сквозную адресацию (в отличии от IP-адресов, метки MPLS меняются на каждом узле по мере продвижения пакета к точке назначения). Разумеется, добавление нового уровня между двумя другими разрушает стандартную модель.

Строго говоря, ни один протокол из стека TCP/IP не закреплён официально за каким-либо уровнем OSI именно по той причине, что это разные семейства. Яблоки и апельсины. Эталонная модель — это эталон (Прим. переводчика: всё-таки русское название немного не соответствует Reference Model, эталон предполагает свою идеальность и стремление ему соответствовать). OSI помогает иллюстрировать зависимость одних протоколов от других, и кто кем погоняет, но она не может диктовать, как им функционировать.

Но если вдруг кто-то спросит, отвечайте, что MPLS — это протокол третьего уровня.



#Какая разница между маршрутизатором и многоуровневым коммутатором?


В стародавние времена, маршрутизаторы служили для того чтобы передавать пакеты на основе IP-адресов и предоставляли широкий диапазон интерфейсов: Ethernet, E1, Serial, OC-3 итд. В то же время коммутатор передавал пакеты (кадры, прим. для лиги зануд), основываясь на MAC-адресах, и имели только порты Ethernet.

Но в начале 2000-х нашему чёткому пониманию этой разницы пришёл конец — вырисовывались две важные тенденции. Во-первых, появились многоуровневые коммутаторы, которые не просто получили право передавать пакеты, основываясь на IP-адресах, но и участвовать в протоколах динамической маршрутизации, как самые настоящие маршрутизаторы. Во-вторых, операторы начали необратимый процесс миграции с технологий с коммутацией каналов на модерновый Ethernet, предоставляющий высокие скорости за низкую плату. Сегодня совершенно в порядке вещей, если маршрутизатор имеет только Ethernet-интерфейсы, как будто бы он коммутатор.

Где лежит граница между маршрутизатором и многоуровневым коммутатором? Существует ли ещё эта граница?
Фактическая разница между ними сводится к следующим нескольким пунктам:

  • Плотность портов. Коммутаторы уровня Enterprise обычно несут на борту 24 или 48 портов. Иногда они могут стекироваться для ещё большего расширения. Основная цель: засунуть настолько много интерфейсов, насколько позволяет передняя панель. Маршрутизатор напротив обычно имеет намного меньше интерфейсов, возможно, разнесённых по разным сменным платам. (Прим. переводчика: если речь идёт о оборудовании операторского класса, то плотность портов на линейных платах маршрутизатора вполне сравнится с коммутаторскими).
  • Скорость. Коммутаторы созданы для того, чтобы молотить трафик. Сейчас даже скромные офисные коммутаторы зачастую предоставляют пропускную способность на скорости линии. Это достигается засчёт того, что обработка трафика происходит на аппаратных чипсетах без участия CPU. (Прим. переводчика: следует и тут заметить, что и маршрутизаторы сейчас преимущественно используют для передачи трафика FPGA и ASIC и в своей пропускной способности не уступают коммутаторам).
  • Интеллект. Ключевое же различие, которое может вынудить вас выбрать маршрутизатор — интеллектуальная начинка. Маршрутизатор предоставляет такие функции, как NAT, DPI, Stateful файрвол, шифрование итд — всё это, как правило, не поддерживается коммутатором.

Как бы то ни было, современный мир зиждется на оборудовании, изготовленном под конкретные нужды. Однако, если заглянуть в завтра с виртуальными эплайнсами, NFV и SDN, мы приходим к тому, что одна и та же коробочка может выполнять совершенно разные роли в зависимости от своего положения в сети.


#Какая разница между forwarding и control planes?


Для новичков это, несомненно, источник путаницы.

Forwarding plane часто называют Data Plane, а по-русски самый удачный вариант — плоскость коммутации. Её задача — доставить пакет из пункта А в пункт Б. Плоскость коммутации коммутирует.

Control plane — плоскость управления — обслуживает функции предписывающие, как должна работать плоскость коммутации. Плоскость управления управляет.

Вот например, у вас есть маршрутизатор с OSPF. Он обменивается маршрутной информацией с соседними маршрутизаторами OSPF, составляет граф всей сети и вычисляет маршруты. Когда таблица маршрутизации (RIB) построена, маршрутизатор инсталлирует лучший маршрут до каждой известной точки назначения в таблицу коммутации (FIB). Это функции control plane.

Когда тот же маршрутизатор получает IP-пакет, он ищет адрес назначения в своей таблице коммутации, чтобы определить интерфейс, в который пакет нужно отправить. Далее пакет передаётся в буфер выходного интерфейса и затем в кабель. Это функции forwarding plane.

Чувствуете различие? Плоскость коммутации отвечает за приём и передачу пакетов, в то время как плоскость управления — за то, как именно принимается решение о передаче пакета.

Плоскость коммутации реализована, как правило, в железе, иными словами выполняется специальными чипсетами (например, Network Processor обращается к TCAM, чтобы быстро извлечь выходной интерфейс из FIB), не требуя обращения к CPU.

Плоскость управления же работает на CPU и в обычной памяти, что очень похоже на работу персонального компьютера. Дело в том, что уровень управления выполняет очень сложные функции, которые с одной стороны не нужны в реальном времени, а с другой их проблематично реализовать в железе. Например, совершенно не важна задержка в несколько миллисекунд, когда маршрутизатор инсталлирует маршрут в таблицу коммутации, в то время как для уровня коммутации это может быть серьёзной деградацией производительности.



#Какая разница между MTU и MSS?


Maximum transmission unit (MTU) говорит о максимальном объёме данных, который может нести один пакет. Обычно мы говорим о MTU в отношении Etherner (хотя другие протоколы, конечно, тоже имеют свои MTU). MTU по умолчанию на большинстве платформ — 1500 байтов. Это означает, что узел может передать кадр, несущий 1500 байтов полезной нагрузки. Сюда не включены 14 байтов заголовка Ethernet (18 в случае 802.1q) и 4 байта поля FSC. Итоговый же размер кадра 1518 байтов (1522 в случае 802.1q). Многие узлы сейчас поддерживают джамбофреймы (jumbo), для этого стандартный MTU увеличивается до 9000+ байтов.

Maximum segment size (MSS) — это величина характерная для TCP, которая показывает максимальную полезную TCP нагрузку в пакете, фактически это MTU для TCP. TCP MSS вычисляется, исходя из значения Ethernet MTU (а, может, и не Ethernet) на интерфейсе. Поскольку TCP должен втиснуться в кадр Ethernet, MSS должен быть меньше, чем MTU. В идеале MSS должен быть максимально возможным: MTU-размер заголовка IP-размер заголовка TCP.

Предположим MTU 1500 байтов, вычитаем из него 20 байтов IPv4 адреса и ещё 20 байтов TCP и получаем MSS 1460 байтов. IPv6 с его удлинённым заголовком оставит для MSS всего 1440 байтов.

TCP MSS определяется один раз в ходе установления соединения. Каждый узел включает свой MSS в опции TCP в первый пакет (тот, что с флагом SYN), и оба узла выбирают наименьшее значение из двух как MSS сессии. Однажды установленный MSS уже не меняется в течение жизни сессии.



#Какая разница между интерфейсами VLAN и BVI?


VLAN-интерфейс, известный также как SVI (Switch Virtual Interface) или RVI (Routed VLAN Interface) — это виртуальный интерфейс на многоуровневом коммутаторе. Он обеспечивает маршрутизацию и часто служит шлюзом по умолчанию для локального сегмента сети. VLAN-интерфейс обычно ведёт себя и настраивается как физический интерфейс маршрутизатора: на него можно назначить IP, он участвует в VRRP, может иметь ACL итд. Вы можете представить себе, что это физический интерфейс внутри коммутатора, а можете, наоборот, вообразить, что это маршрутизирующий интерфейс вне коммутатора, на котором терминируется данный VLAN.

Bridge group Virtual Interface (BVI) служит похожим целям, но существует на маршрутизаторе, на котором нет концепции VLAN, потому что всего его порты обычно работают на L3 (Прим. переводчика: на маршрутизаторах концепция VLAN вполне может присутствовать). Bridge group заставляет два или более портов работать на L2, разделяя между ними широковещательный домен. BVI связывает интерфейсы в Bridge Group и служит виртуальными L3-интерфейсом для всех сегментов, подключенных к нему. Когда маршрутизатор работает одновременно на L2 и L3, его называют Integrated Routing and Bridging (IRB).

В то время, как VLAN-интерфейс — жизненная необходимость многоуровневого коммутатора, IRB — нишевая вещь, которая может использоваться, например, на точках доступа WiFi.



#Как работает туннельный интерфейс?


Многие люди испытывают трудности с пониманием концепции туннельных интерфейсов (Прим. переводчика: действительно?). Туннелирование — это просто инкапсуляция одних пакетов внутрь других при передаче их между двумя точками. Туннельный интерфейс используется для достижения такой инкапсуляции для маршрутизируемых VPN, которые позволяют защититься и абстрагироваться от топологии нижележащей сети. Существует много методов инкапсуляции, включающие IPSec, GRE, MPLS итд.

Несмотря на то, что туннельный интерфейс имеет виртуальную природу, ведёт себя он как и любой другой, когда дело доходит до маршрутизации, с той лишь разницей, что когда пакет выходит через туннельный интерфейс, он упаковывается в новый пакет, для которого снова принимается решение о маршрутизации. Новый беременный пакет отправляется в среду и достигает в конечном счёте точки назначения. На другом конце туннеля внешние заголовки снимаются, и на свет выходит оригинальный пакет, над которым снова принимается решение о маршрутизации.



#Что означают четыре типа адресов в NAT?


Существует четыре класса IP-адресов в контексте NAT:
  • Inside global
  • Inside local
  • Outside local
  • Outside global

К сожалению, эти термины редко объясняются в документации достаточно понятно.
Каждый из них описывает два атрибута: местоположение (location) и точка зрения (perspective).
Местоположение сообщает о каком узле идёт речь. Внутри сети (до NAT) — Inside; во внешней сети (после NAT) — Outside.
Точка зрения сообщает о том, откуда мы смотрим на этот узел. Изнутри нашей сети — Local; из внешней сети — Global.

Возьмём для примера случай, когда вы с компьютера с приватным адресом 192.168.0.10 хотите зайти по telnet на адрес в Интернете 94.142.241.111. Из пула NAT вам выделен IP-адрес 192.0.2.10.
Вот так будет выглядеть таблица трансляций:

R2# show ip nat translations
Pro Inside global      Inside local                Outside local                      Outside global
tcp 192.0.2.10:32978  192.168.0.10:32978  94.142.241.111:23    94.142.241.111:23

Разберёмся?

Inside Global — как внутренний узел выглядит извне. Сервер в Интернете действительно видит адрес из вашего пула NAT.
Inside Local — как внутренний адрес выглядит изнутри — приватный адрес компьютера
Outside Local — как внешний адрес выглядит инзнутри — видим его публичный адрес и порт 23.
Outside Global — тут должно быть то, как выглядит внешний адрес извне, но ваш NAT таких трансляций не умеет, поэтому адрес совпадает с Outside Local.



#Могу ли я использовать адрес сети и широковещательный адрес в NAT-пуле?


Да.

Во-первых, в контексте пула NAT вообще нет понятий маски адрес сети и широковещательный адрес.

Далее прим. переводчика.

Во-вторых адрес сети и широковещательный адрес определяются маской подсети — без неё они теряют смысл. Поэтому считать ли адрес 192.168.0.255 широковещательным адресом, а 192.168.1.0 адресом сети зависит целиком и полностью от маски: для /23 ответ нет, для /24 и более ответ да, а для /32 снова нет.

Поэтому адрес 192.168.0.255 вы можете не только указать в пуле, но даже настроить на интерфейсе с маской /23.



#Почему нам нужны IP-адреса? Разве нам не хватит MAC-адресации для всего?


Когда новичок начинает изучение MAC-адресов, он видит, что они должны быть уникальными глобально. И возникает закономерный вопрос, почему бы не использовать MAC-адреса для сквозной адресации через весь Интернет, не прибегая вообще к IP? Однако существует несколько достаточно весомых причин привлечь IP.

Во-первых, не все сети имеют MAC-адресацию. Вообще такой тип свойственен только семейству 802. Очень легко забыть об этом в мире, где практически всё — Ethernet или его вариации (например IEEE 802.11 WiFi). Но во времена юности Ethernet несколько десятилетий назад буйствовало беззаконие в сфере протоколов: Token Ring, Ethernet, Frame Relay, ATM боролись за место в маршрутизаторе. И обеспечить взаимодействие узлов из Token Ring с узлами из ATM посредством MAC-адресов было проблематично — нужен был протокол сетевого уровня.

Во-вторых, IP-адреса мобильны — они могут назначаться администраторами или даже выдаваться автоматически, в то время, как MAC-адреса вшиты в сетевой адаптер на веки вечные. Технически MAC-адрес, конечно, тоже можно поменять, но это не предполагалось изначально и сейчас нет никаких средств для удобного управления ими.

Но самая главная причина третья — IP масштабируем и может связывать огромные сети, а Ethernet — удел небольших сегментов. Пространство IP-адресов иерархично, MAC-адресов — плоско. 254 узла одной локальной сети могут быть агрегированы в одну подсеть /24. 8 подсетей /24 могут быть агрегированы в одну /21. Это возможно, потому что блоки адресов обычно располагаются рядом в Интернете. Всё, о чём нужно заботиться в этом случае маршрутизатору — как добраться до подсети.

MAC-адреса же каждый сам по себе, так как назначаются псевдослучайным образом на производстве, и два адреса, различающихся только в последнем бите, могут оказаться в диаметральных концах планеты. Если вдруг кому-то взбредёт в голову использовать MAC-адреса для сквозной адресации в Интернете, он столкнётся с тем, что маршрутизаторам будет нужно знать адрес каждого отдельно взятого узла в глобальной сети. Здравствуй, интернет вещей.

Далее прим. переводчика.
Освещённый в оригинальной статье вопрос на самом деле простой — одного отсутствия масштабирования достаточно для того, чтобы отказаться от этой идеи.

Гораздо интереснее обратный вопрос: Почему нам нужны MAC-адреса? Разве нам не хватит IP-адресации для всего? Тут всё не так однозначно. Почему бы действительно в современном мире, где скоро название стека можно менять на TCP/IP/Ethernet, не отказаться совсем от адресации на L2 и позволить узлам в сегменте взаимодействовать по IP?

ARP больше не нужен — пакет коммутируется по IP (кстати, уже сейчас существуют коммутаторы, которые действительно могут производить IP Learning вместо MAC Learning). Широковещание доступно так же через адрес 255.255.255.255.

При этом, я не предлагаю отказаться от Ethernet или L2 совсем, нет — утот уровень абстракции необходим — сетевой не должен работать напрямую с физическим, заниматься фреймингом, проверкой целостности итд; мы просто убираем адресацию из L2.

Сложность начинается на самом деле при передаче пакета из одной подсети в другую через череду маршрутизаторов. Тут даёт о себе знать широковещательная природа Ethernet. В заголовке IP, адрес назначения фиксирован и не меняется по мере продвижения пакета. Поэтому встаёт вопрос, как правильно переслать пакет между маршрутизаторами. Сейчас как раз для этого используются MAC-адреса Next-Hop. Дело в том, что за Ethernet-интерфейсом маршрутизатора может быть не один соседний маршрутизатор, а два, три, десяток, и здесь придётся добавлять ещё какой-то идентификатор Next-hop.

В реальном мире в 99,9% мы используем P2P линии между маршрутизаторами и тут нет необходимости в добавлении адреса Next-hop в пакет — больше ведь и слать некому — просто отправляем кадр в кабель. Тут можно вспомнить PPP, где хоть формально поле «адрес» и есть, но оно фактически не используется.

Но концепция Ethernet, который изначально планировался только для локальных сегментов с пользовательскими машинами, не предусматривает сценарий P2P отдельно.

В итоге адресацию с уровня Ethernet мы не можем убрать. Однако тут до сих пор остаётся вопрос — зачем MAC-адреса, ведь в заголовке Ethernet мы могли бы указывать IP-адрес Next-Hop, который менялся бы также на каждом узле.

В целом это верно, но такой подход ломает идеологию стека протоколов, предполагающую независимость уровней друг от друга. Сейчас, например, легко можно выкинуть Ethernet и вместо него использовать xDSL или PON или, прости Лейбниц, Frame Relay — сложности лишь административные и финансовые. Также, поверх Ethernet технически вы можете пустить собственный сетевой протокол IPЧ — и это всё будет работать с минимальными изменениями (добавить новый Ethertype).

Замечу, что этот вопрос нельзя обсуждать в отрыве от исторического и административного контекста. Даже если мы возьмём на себя смелость предположить, что мы нашли идеальное сочетание идеальных протоколов IP+Ethernet, и ближайшие 300 лет нам не грозят глобальные изменения, нужно помнить, что 20 лет назад мир был другим, как мы уже говорили выше, и Ethernet был лишь одним из. Мы не могли так жёстко связывать сетевой и канальный уровни. А теперь сети, которые уже работают, и нам для этого как правило не нужно прилагать титанических усилий, никто не будет переделывать просто потому, что кажется избыточным одновременное использование IP и MAC-адресации.

Кстати, возможно, вы будете несколько удивлены, но часть описанных идей войдут в нашу с вами жизнь в лице IPv6 с его концепцией Link-Local адресов.




#Позволяет ли QoS расширить пропускную способность?


Среди новичков иногда существует заблуждение, что QoS — это волшебная технология, позволяющая пропихнуть через линию больше пакетов, чем она может. Это не так. К примеру, если ваш интернет-канал ограничен 10Мб/с, вы никогда не сможете отправить в него больше. Задача QoS — отдавать предпочтения одним типам трафика над другими. Таким образом во время перегрузки на линии (при попытке отправить больше 10 Мб/с) менее важный трафик будет отброшен в пользу свободной передачи более приоритетного.

Обычно QoS применяется для того, чтобы защитить трафик реального времени, такой как голос или видеоконференции от трафика, терпимого к задержкам и потерям — WEB, почта, FTP, Torrent итд. Кроме того QoS поможет избежать оккупирования всей полосы передачей большого объёма трафика, типа резервного копирования серверов.

Рассмотрим ситуацию, когда у вас есть офис, подключенный через два канала E1 с общей пропускной способностью 4Мб/с. По этой линии передаётся и голос и данные. Чтобы во время перегрузки голосовой трафик не испытывал деградацию, с помощью QoS можно выделить гарантированную полосу для него. Оставшаяся часть будет доступна для данных. Однако если после этого трафик с данными заметно ухудшится, то QoS уже не поможет — в этом случае придётся расширять канал.

Переводчик позволил себе некоторые вольности в русскоязычных терминах, которые позволят, как ему кажется, лучше понять смысл.

Коммутатор

уровня 3 и маршрутизатор — узнайте разницу 2020

Коммутатор

уровня 3 против маршрутизатора

В модели OSI мы узнали, что коммутаторы относятся к уровню 2, а маршрутизаторы — к уровню 3. Под коммутаторами понимается пересылка трафика на основе MAC-адреса , в то время как маршрутизаторы выполняют пересылку на основе IP-адреса. ]

Однако коммутатор уровня 3 — это еще один термин, который может озадачить новичков в сети. 1 st Вопрос, который приходит на ум — что такое коммутатор уровня 3 и чем он отличается от маршрутизатора?

Коммутатор уровня 3 является одновременно коммутатором и маршрутизатором .Мы можем назвать это маршрутизатором с несколькими портами Ethernet и функцией коммутации.

Он переключает пакеты, проверяя как их IP-адреса, так и их MAC-адреса . Таким образом, коммутаторы уровня 3 разделяют порты на виртуальные локальные сети ( VLAN, ) и выполняют маршрутизацию между ними в дополнение к поддержке таких протоколов маршрутизации, как RIP, OSPF и EIGRP. Другое название коммутатора уровня 3 — « Multilayer Switch ».

При взгляде на 1 st может показаться, что коммутатор L3 и маршрутизатор выполняют те же функции, однако глубокий анализ обоих терминов откроет некоторые ключевые факты различий.

Для получения дополнительной информации о различиях в коммутаторах уровня 3 или коммутаторах и маршрутизаторах третьего уровня можно ознакомиться с помощью этой сравнительной таблицы.

Коммутатор уровня 3 против маршрутизатора —

Поддержка интерфейса
АТРИБУТ
ПЕРЕКЛЮЧАТЕЛЬ СЛОЯ 3 МАРШРУТИЗАТОР
Область действия
LAN для офиса, центра обработки данных или кампуса
WAN для среды офиса, центра обработки данных или кампуса
Основные функции
Маршруты через разные подсети или VLANS в локальной сети кампуса
Маршруты через разные сети через WAN передаются и маршрутизируются маршрутизатором
Услуги MPLS и VPN
Не поддерживает услуги MPLS и VPN
Маршрутизатор предоставляет услуги MPLS и VPN, такие как PPP и т. Д.
Edge Technologies Support
Не поддерживается.
NAT, межсетевой экран, туннелирование, IPSec
Размер таблицы маршрутизации
Меньшая таблица маршрутизации по сравнению с маршрутизатором
Значительно больше для поддержки нескольких записей маршрута.
Решение о перенаправлении
Перенаправление выполняется специализированными ASIC
Выполняется программным обеспечением
Примеры маршрутизаторов
Cisco серий 3650, 3560 и 6500 являются примерами коммутаторов уровня 3.
Маршрутизаторы ISR Cisco 3900, 4000 серий

Коммутаторы L3 в общем случае поддерживают порты Ethernet (медный и оптический). Не поддерживает SONET, OC-N, T-1 / T-3
Поддержка портов Ethernet (оптоволоконный и медный). Также поддерживает такие интерфейсы, как SONT, OC-N, T1 / T3 и т. Д.
На всем протяжении
Высокая пропускная способность
Коммутаторы ниже уровня 3
Коммутационная способность
Высокая коммутационная способность
Коммутаторы ниже уровня 3
Стоимость
Низкая стоимость
Высокая стоимость
Плотность порта
Высокая Низкая

Загрузите таблицу различий здесь.








Сводка основных отличий —

Итак, давайте подведем итог, некоторые ключевые различия между коммутатором уровня 3 и маршрутизатором —

  • Стоимость — Коммутаторы уровня 3 гораздо более экономичны, чем маршрутизаторы, для обеспечения высокоскоростной маршрутизации между VLAN. Высокопроизводительные маршрутизаторы обычно намного дороже коммутаторов уровня 3.
  • Плотность портов — Коммутаторы уровня 3 имеют гораздо большее количество портов, а маршрутизаторы имеют меньшую плотность портов, чем коммутаторы уровня 3.
  • Гибкость — Коммутаторы уровня 3 позволяют смешивать и согласовывать коммутацию уровня 2 и уровня 3, что означает, что вы можете настроить коммутатор уровня 3 для работы в качестве обычного коммутатора уровня 2 или включить переключение уровня 3 по мере необходимости.
  • Поддержка технологий WAN — Коммутатор уровня 3 ограничен использованием в среде LAN, где может выполняться маршрутизация между VLAN, однако, когда дело доходит до работы с WAN и периферийными технологиями, коммутатор уровня 3 отстает.
    Маршрутизатор является лидером в таком сценарии, когда необходимо развивать такие технологии WAN, как Frame Relay или ATM.
  • Принятие решения об аппаратном / программном обеспечении — Ключевое различие между коммутаторами уровня 3 и маршрутизаторами заключается в аппаратной технологии, используемой для принятия решения о пересылке. В случае коммутаторов уровня 3 для принятия решения о пересылке используются специализированные ASIC, тогда как в случае маршрутизаторов в целом, это программная логика, которую он использует.

.

Как настроить маршрутизацию коммутатора Cisco Layer3-InterVLAN без маршрутизатора

ОБНОВЛЕНО: 2020 — Коммутаторы Cisco Catalyst, оснащенные улучшенным многоуровневым образом (EMI), могут работать как устройства уровня 3 с полными возможностями маршрутизации. Например, некоторые модели коммутаторов, которые поддерживают маршрутизацию уровня 3: 3550, 3750, 3560 и т. Д.

На коммутаторе с поддержкой Layer3 интерфейсы портов по умолчанию работают как порты доступа уровня 2, но вы также можете настроить их как «Маршрутизированные порты », которые действуют как обычные интерфейсы маршрутизатора.

То есть вы можете назначить IP-адрес прямо на маршрутизируемый порт. Кроме того, вы также можете настроить виртуальный интерфейс коммутатора ( SVI ) с помощью команды « interface vlan », которая действует как виртуальный интерфейс уровня 3 на коммутаторе Layer3.

Вышеупомянутая функция означает, что вы можете реализовать функциональность уровня 3 в своей сети без использования обычного маршрутизатора.

Если у вас нет коммутатора Layer3, вы также можете настроить маршрутизацию InterVLAN с помощью простого коммутатора Layer2 и маршрутизатора (также называемого Router-on-a-Stick).

Маршрутизация между VLAN на коммутаторе уровня 3

В этом посте я опишу сценарий с коммутатором уровня 3, действующим как устройство « Inter Vlan Routing », вместе с двумя коммутаторами уровня 2, действующими как коммутаторы доступа к шкафу.

Более того, межсетевой экран Cisco ASA обеспечит подключение к Интернету для всех внутренних подсетей. Маршрутизируемый порт будет настроен между коммутатором уровня 3 и внутренним интерфейсом ASA для маршрутизации пакетов к Интернету (через ASA).

В этой статье мы расскажем, как настроить коммутаторы Layer2 и Layer3 для обеспечения маршрутизации между VLAN с использованием обычных коммутаторов-катализаторов на базе IOS.Похожий сценарий с использованием новых коммутаторов Cisco Nexus описан в статье здесь.

В конце этой статьи вы найдете также важные команды настройки маршрутизации для ASA, а также то, как использовать списки управления доступом (ACL) на коммутаторе уровня 3 для управления трафиком (разрешить или запретить) между VLAN на уровне Layer3.

Это довольно популярный сетевой сценарий, который я видел во многих корпоративных сетях.

Чтобы получить полную картину, см. Схему ниже:

.

Поддерживаемые топологии для маршрутизации через виртуальный канал порта на платформах Nexus

Введение

В этом документе описываются поддерживаемые и неподдерживаемые топологии при создании протокола маршрутизации или смежности PIM между внешними устройствами уровня 3 (L3) и коммутаторами Cisco Nexus в среде виртуального канала порта (vPC). Термин «протокол смежности» используется в этом документе для обозначения формирования взаимосвязи между протоколами между упомянутыми устройствами.В этой статье VPC + не рассматривается.

Предварительные требования

Cisco рекомендует иметь общее представление о том, как протоколы маршрутизации настроены на коммутаторах Nexus и других устройствах L3. Также рекомендуется понимать конфигурацию и работу vPC, включая характеристики пересылки, поведение параметров конфигурации однорангового шлюза и однорангового маршрутизатора уровня 3 .

Примечание : Информация в этом документе была создана на устройствах в лабораторной среде.Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если ваша сеть обрабатывает производственный трафик, убедитесь, что вы понимаете потенциальное влияние любой команды, прежде чем вносить изменения в среду.

Поддерживаемые топологии для маршрутизации в среде vPC

Топология, показанная на рисунке 1, будет использоваться для демонстрации различных вариантов подключения для смежности протоколов в среде vPC. Коммутаторы Nexus находятся в домене vPC со следующими данными:

  • Пара похожих коммутаторов Nexus, настроенных в домене vPC.
  • Три устройства уровня 3 (L3-A, L3-B и L3-C), подключенные к паре коммутаторов Nexus.
  • L3-A подключен к сиротскому порту.
  • L3-B и L3-C подключены с vPC к Nexus-A и Nexus-B.
  • Nexus-A и Nexus-B имеют дополнительные каналы Layer2 и Layer3 между собой.

Рисунок 1: Поддерживаемые топологии для маршрутизации в среде vPC

На основе топологии на рисунке 1 в таблице 1 описывается, какие физические каналы поддерживают смежность протоколов между двумя коммутаторами Nexus и между коммутатором Nexus и устройством L3, подключенным к своему одноранговому узлу vPC.Каждый тип канала, используемый для обеспечения смежности протокола, подробно описан и ссылается на любые применимые предостережения, которые подробно описаны в таблице 1.

Таблица 1: Смежности протоколов маршрутизации, поддерживаемые через физические интерфейсы

Ссылка
Коммутатор Nexus серии Протокол связи между Nexus-A и Nexus-B Протокол связи между L3-A и Nexus-B

Nexus 95xx-R и 3xxxx-R

Ссылка

L3: поддерживается

L2 канал: поддерживается

Peer Link: поддерживается

Смежность PIM по одноранговой ссылке: поддерживается ***

Ссылка L3: Н / Д

Ссылка L2: поддерживается%

Peer Link: поддерживается в соответствии с требованиями таблицы 2

PIM Adjaceny: поддерживается **

Nexus 3000/3100/3200/3400/3600 серии

Ссылка

L3: поддерживается

L2 канал: поддерживается *

Peer Link: поддерживается

Смежность PIM по одноранговой ссылке: поддерживается ***

Ссылка L3: Н / Д

Ссылка L2: поддерживается *%

Peer Link: поддерживается в соответствии с требованиями таблицы 2

PIM Adjaceny: поддерживается **

Nexus серии 3500 Ссылка

L3: поддерживается

L2 link: не поддерживается

Peer Link: поддерживается

Смежность PIM по одноранговой ссылке: поддерживается ***

Ссылка L3: Н / Д

L2 link: не поддерживается

Peer Link: поддерживается, см. Требования таблицы 2

PIM Adjaceny: поддерживается **

Nexus серии 5000 Ссылка

L3: поддерживается

L2 link: не поддерживается

Peer Link: поддерживается

Смежность PIM по одноранговой ссылке: поддерживается ***

Ссылка L3: Н / Д

L2 link: не поддерживается

Peer Link: поддерживается, см. Требования таблицы 2

PIM Adjaceny: поддерживается **

Nexus серии 6000 Ссылка

L3: поддерживается

L2 link: не поддерживается

Peer Link: поддерживается

Смежность PIM по одноранговой ссылке: поддерживается ***

L3: н / д

L2 link: не поддерживается

Peer Link: поддерживается, см. Требования таблицы 2

PIM Adjaceny: поддерживается **

Nexus 7000 серии Ссылка

L3: поддерживается

L2 канал: поддерживается

Peer Link: поддерживается

Смежность PIM по одноранговой ссылке: поддерживается ***

Ссылка L3: Н / Д

Ссылка L2: поддерживается%

Peer Link: поддерживается, см. Требования таблицы 2

PIM Adjaceny: поддерживается **

Nexus серии 9000 Ссылка

L3: поддерживается

L2 канал: поддерживается *

Peer Link: поддерживается

Смежность PIM по одноранговой ссылке: поддерживается ***

Ссылка L3: Н / Д

Ссылка L2: поддерживается *%

Peer Link: поддерживается, см. Требования таблицы 2

PIM Adjaceny: поддерживается **

* Настроить определяемый пользователем MAC-адрес для виртуального интерфейса коммутатора VLAN (SVI).

** Хотя L3-A поддерживается как лишний порт, смежность PIM не поддерживается для L3-B или L3-C с Nexus-A и Nexus-B.

*** Между Nexus-A и Nexus-B поддерживается смежность PIM, однако тип поддерживаемого разреженного режима PIM (например, SSM, ASM, BiDIR) зависит от платформы. См. Руководства по настройке платформы.

% В качестве альтернативы можно использовать функцию однорангового маршрутизатора Layer3 и использовать одноранговый канал vPC (без параллельного канала L2).

В таблице 2 показано, какие смежности протоколов маршрутизации поддерживаются в виртуальных локальных сетях vPC на основе топологии на рисунке 1.

Примечание : С введением функции однорангового маршрутизатора Layer3 все коммутационные платформы Nexus теперь поддерживают смежность протоколов одноадресной маршрутизации через одноранговую связь vPC. До разработки этой функции поддержка варьировалась в зависимости от платформы. Обновление до версии NX-OS, которая содержит поддержку функции однорангового маршрутизатора Layer3 из более ранней версии, может нарушить существующие топологии до тех пор, пока команда однорангового маршрутизатора Layer3 не будет включена в конфигурации vPC.

Таблица 2: Поддержка смежности протоколов маршрутизации через виртуальные локальные сети vPC

Коммутатор Nexus серии

L3-A до L3-B
или
L3-A до L3-C

L3-A, L3-B или L3-C от
до
Nexus-A или Nexus-B

Nexus серий 95xx-R и 3xxxx-R

Есть

* 7.0 (3) F3 (3) и выше с настроенным одноранговым маршрутизатором Layer3

Nexus 3000/3100/3200/3400/3600 серии

Есть

* 7.0 (3) I5 (1) и выше с настроенным одноранговым маршрутизатором Layer3

Nexus серии 3500

Есть

* 6.0 (2) A8 и более поздние версии с настроенным одноранговым маршрутизатором Layer3

Nexus серии 5000

Есть

* 7.3 (0) N1 (1) и выше с настроенным одноранговым маршрутизатором Layer3

Nexus серии 6000

Есть

* 7.3 (0) N1 (1) и выше с настроенным одноранговым маршрутизатором Layer3

Nexus серии 7000

Есть

* ** 7.2 (0) D1 (1) и выше с настроенным одноранговым маршрутизатором уровня 3

Nexus серии 9000

Есть

* 7.0 (3) I5 (1) и выше с настроенным одноранговым маршрутизатором Layer3

* Функция требует явной конфигурации «одноранговый маршрутизатор уровня 3».

** Не поддерживается линейными картами серий M1, F1, F2, M2.

Важные примечания и предостережения

    Пиринг
  • L3-A к Nexus-A всегда поддерживается для L2 / L3.
  • Пиринг от L3-B к L3-C всегда поддерживается для L2 / L3.
  • Когда сеанс BFD проходит через SVI с использованием однорангового канала виртуального порта-канала (vPC), функция эха BFD не поддерживается.Вы должны отключить функцию эха BFD для всех сеансов через SVI между одноранговыми узлами vPC, не используя эхо bfd на уровне конфигурации SVI.
  • Если одноранговое соединение vPC настроено на модуле Cisco Nexus с 32 портами 1/10 Gigabit Ethernet (серия F1) (N7K-F132XP-15), необходимо включить VLAN с резервной маршрутизацией L3 в список VLAN, указанный в . команда peer-gateway exclude-vlan .
  • Для коммутаторов Nexus 5000, где смежность PIM не поддерживается по одноранговому каналу vPC, требуется подключение уровня 3 от маршрутизатора к каждому Nexus 5000.
  • Кроме того, если у вас есть топология vPC с потерянными портами или соединениями уровня 3 и многоадресный трафик должен проходить через одноранговую связь, чтобы достичь этих получателей, он не отправляется получателю, если у вас нет команды vpc bind-vrf default vlan vlan_id . Для каждого VRF должен быть настроен отдельный vlan_id, где VLAN еще не используется для производственного трафика. См. Ссылку Привязка экземпляра VRF к vPC .

Дополнительная информация

,

Коммутатор Cisco Layer2 Layer3 Дизайн и конфигурация

Коммутаторы Layer2 и Layer3 являются основой любой сети. В конце концов, любые сетевые устройства (маршрутизаторы, межсетевые экраны, компьютеры, серверы и т. Д.) Должны быть подключены к коммутатору. Рано или поздно, как сетевой инженер, вы столкнетесь с задачей развертывания сети коммутатора для клиента или для вашей собственной компании. Таким образом, изучение некоторых основных принципов конструкции и настройки коммутатора окажется полезным для вашей профессиональной карьеры.

Один простой и популярный сценарий разработки коммутатора будет показан в следующем руководстве. Этот сценарий подходит для большинства сетей SMB (или даже более крупных), которые имеют несколько виртуальных локальных сетей уровня 2 и, следовательно, несколько сетевых подсетей уровня 3. Хорошим принципом проектирования является разделение сетевых узлов по отделам или по аналогичной группе пользователей.

Сетевой сценарий

В нашем сетевом сценарии ниже мы разделили сеть на 7 VLAN уровня 2 (и, следовательно, 7 подсетей уровня 3), как указано ниже:

  • VLAN10: VLAN управления сетевыми устройствами (10.10.10.0 / 24)
  • VLAN20: Отдел колл-центра (10.10.20.0/24)
  • VLAN30: Отдел продаж (10.10.30.0/24)
  • VLAN40: Бухгалтерский и финансовый отдел (10.10.40.0/24)
  • VLAN50 : Отдел поддержки (10.10.50.0/24)
  • VLAN60: Серверы компании (10.10.60.0/24)
  • VLAN100: Менеджеры компании (10.10.100.0/24)

Что касается дизайна, я постараюсь использовать Иерархическая модель межсетевого взаимодействия Cisco (уровни распределения, агрегации и доступа) с некоторыми изменениями.Для предлагаемого сценария уровни распределения и агрегации будут объединены на одном коммутаторе уровня 3, чтобы упростить дизайн и улучшить понимание.

Сетевая диаграмма

На схеме выше показан один коммутатор уровня 3, используемый для агрегирования, три коммутатора уровня 2, используемые для целей доступа, и один маршрутизатор для подключения к Интернету.

Компания X имеет несколько отделов, сгруппированных на нескольких уровнях здания. Это отделы Callenter, Продажи, Бухгалтерия, Поддержка и Менеджмент.Единственным отделом, которому разрешен доступ к Интернету, является отдел управления. Каждому из отделов была выделена сеть VLAN уровня 2 и диапазон частных адресов IPv4 класса C. Все коммутаторы подключаются по каналам порт-канал для большей пропускной способности и лучшего резервирования.

Конфигурация

Конфигурация коммутатора агрегации уровня 3

Используемая модель коммутатора: Cisco ME-C3750-24TE (образ IOS c3750me-i5k91-mz.122-55.SE6.bin)

Шаг 1: доступ, управление и конфигурация ведения журнала

имя пользователя, права администратора 15 секрет Strongpasshere <—– создает пользователя-администратора с наивысшими привилегиями 15
ведение журнала с буферизацией 1024000 отладка <—– включает ведение журнала с использованием локального хранилища. Максимальный размер файла журнала составляет 1024000 бит, и в него будут записываться журналы отладки.
Сервисное шифрование паролей <—— Сделать все пароли безопасными
включить секретный Strongpasshere <—— создать пароль включения
line vty 0 4 <—— включает удаленный вход в сеть
транспортный вход telnet ssh <—— включает telnet и ssh на коммутаторе
локальный вход <——- использует учетные данные локальной базы данных для входа

линия консоли 0
пароль Strongpasshere

логин

Шаг 2: Конфигурация VLAN уровня 2

vlan 10
имя Device_Management
!
vlan 20
имя Callcenter
!
vlan 30
имя Продажи
!
vlan 40
name Бухгалтерия и финансы
!
vlan 50
имя Поддержка
!
vlan 60
Серверы имен
!
vlan 100
наименование Company_Management

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *