Правила выходного порта (Egress rules)

После того как кадры внутри коммутатора переданы на выходной порт, их дальнейшее преобразование зависит от правил выходного порта. Как уже говорилось, трафик внутри коммутатора создается только пакетами типа Tagged, а входящий и исходящий трафики могут быть образованы пакетами обоих типов. Соответственно правилами выходного порта (правило контроля метки — Tag Control) определяется, следует ли преобразовывать кадры Tagged к формату Untagged.

Каждый порт коммутатора может быть сконфигурирован как Tagged или Untagged Port. Если выходной порт определен как Tagged Port, то исходящий трафик будет создаваться кадрами типа Tagged с информацией о принадлежности к виртуальной сети. Следовательно, выходной порт не меняет тип кадров, оставляя их такими же, какими они были внутри коммутатора. К указанному порту может быть подсоединено только устройство, совместимое со стандартом IEEE 802.1Q, например коммутатор или сервер с сетевой картой, поддерживающей работу с виртуальными сетями данного стандарта.

Если же выходной порт коммутатора определен как Untagged Port, то все исходящие кадры преобразуются к типу Untagged, то есть из них удаляется дополнительная информация о принадлежности к виртуальной сети. К такому порту можно подключать любое сетевое устройство, в том числе коммутатор, не совместимый со стандартом IEEE 802.1Q, или ПК конечных клиентов, сетевые карты которых не поддерживают работу с виртуальными сетями этого стандарта.

14.2.6. Конфигурирование виртуальных сетей стандарта IEEE 802.1Q

Рассмотрим конкретные примеры конфигурирования виртуальных сетей стандарта IEEE 802.1Q.

Чтобы сформировать VLAN-сеть в соответствии со стандартом IEEE 802.1Q, необходимо проделать следующие действия:

  • задать имя виртуальной сети (например, VLAN#1) и определить ее идентификатор (VID);
  • выбрать порты, которые будут относиться к данной виртуальной сети;
  • задать правила входных портов виртуальной сети (возможность работы с кадрами всех типов, только с кадрами Untagged или только с кадрами Tagged);
  • установить одинаковые идентификаторы PVID портов, входящих в виртуальную сеть;
  • задать для каждого порта виртуальной сети правила выходного порта, сконфигурировав их как Tagged Port или Untagged Port.

Далее необходимо повторить вышеперечисленные действия для следующей виртуальной сети. При этом нужно помнить, что каждому порту можно задать только один идентификатор PVID, но один и тот же порт может входить в состав различных виртуальных сетей, то есть ассоциироваться одновременно с несколькими VID.

Правила выходного порта (Egress rules) - student2.ru

Таблица 1. Задание характеристик портов при создании виртуальных сетей на базе одного коммутатора

Примеры построения VLAN-сетей на основе коммутаторов, совместимых со стандартом IEEE 802.1Q

А теперь рассмотрим типичные примеры построения виртуальных сетей на основе коммутаторов, поддерживающих стандарт IEEE 802.1Q.

Если имеется всего один коммутатор, к портам которого подключаются компьютеры конечных пользователей, то для создания полностью изолированных друг от друга виртуальных сетей все порты должны быть объявлены как Untagget Ports для обеспечения совместимости с сетевыми Ethernet-контроллерами клиентов. Принадлежность узлов сети к той или иной VLAN определяется заданием идентификатора порта PVID.

Возьмем восьмипортовый коммутатор, на базе которого создаются три изолированные виртуальные сети VLAN#1, VLAN#2 и VLAN#3 (рис. 7).

Для обеспечения совместимости с конечным оборудованием (предполагается, что к портам коммутатора подключаются ПК клиентов сети, сетевые карты которых не совместимы со стандартом IEEE 802.1Q) все порты необходимо сконфигурировать как Untagged.

Правила выходного порта (Egress rules) - student2.ru

Рис. 7. Организация трех VLAN-сетей по стандарту IEEE 802.1Q на основе двух коммутаторов

Чтобы сконфигурировать указанные виртуальные сети, необходимо прежде всего определить на каждом из коммутаторов по три виртуальные сети VLAN#1, VLAN#2 и VLAN#3, задав их идентификаторы (VID=1 для VLAN#1, VID=2 для VLAN#2 и VID=3 для VLAN#3).

На первом коммутаторе порты 1 и 2 должны входить в состав VLAN#1, для чего этим портам присваивается PVID=1. Порт 3 первого коммутатора необходимо приписать к VLAN#2, для чего идентификатору порта присваивается значение PVID=2. Аналогично, для портов 5 и 4 первого коммутатора устанавливаются идентификаторы PVID=3, так как эти порты относятся к VLAN#3. Все указанные порты первого коммутатора должны быть сконфигурированы как Untagged Port для обеспечения совместимости с сетевыми картами клиентов.

Порт 6 первого коммутатора используется для связи со вторым коммутатором и должен передавать кадры всех трех виртуальных сетей без изменения второму коммутатору. Поэтому его необходимо сконфигурировать как Tagged Port и включить в состав всех трех виртуальных сетей (ассоциировать с VID=1, VID=2 и VID=3). При этом идентификатор порта не имеет значения и может быть любым (в нашем случае PVID=4).

Аналогичная процедура конфигурации виртуальных сетей осуществляется и на втором коммутаторе. Конфигурации портов двух коммутаторов представлены в табл. 2.

Правила выходного порта (Egress rules) - student2.ru

Таблица 2. Задание характеристик портов при создании виртуальных сетей на основе двух коммутаторов


Автоматическая регистрация в виртуальных сетях стандарта IEEE 802.1Q

Рассмотренные примеры виртуальных сетей относились к так называемым статическим виртуальным сетям (Static VLAN), в которых все порты настраиваются вручную, что хотя и весьма наглядно, но при развитой сетевой инфраструктуре является довольно рутинным делом. Кроме того, при каждом перемещении пользователей в пределах сети приходится производить перенастройку сети с целью сохранения их членства в заданных виртуальных сетях, а это, конечно, крайне нежелательно.

Существует и альтернативный способ конфигурирования виртуальных сетей, а создаваемые при этом сети называются динамическими виртуальными сетями (Dynamic VLAN). В таких сетях пользователи могут автоматически регистрироваться в сети VLAN, для чего служит специальный протокол регистрации GVRP (GARP VLAN Registration Protocol). Этот протокол определяет способ, посредством которого коммутаторы обмениваются информацией о сети VLAN, чтобы автоматически зарегистрировать членов VLAN на портах во всей сети.

Все коммутаторы, поддерживающие функцию GVRP, могут динамически получать от других коммутаторов (и, следовательно, передавать другим коммутаторам) информацию VLAN о регистрации, включающую данные об элементах текущей VLAN, о порте, через который можно осуществлять доступ к элементам VLAN и т.д. Для связи одного коммутатора с другим в протоколе GVRP используется сообщения GVRP BPDU (GVRP Bridge Protocol Data Units). Любое устройство с поддержкой протокола GVPR, получающее такое сообщение, может динамически подсоединяться к той сети VLAN, о которой оно оповещено.

15. Лекция №15. Сетевое оборудование (часть 3)

15.1. Маршрутизатор (router)

Маршрутизаторы необходимы в крупных сетях, для объединения сегментов, построенных на концентраторах, мостах и коммутаторах. Маршрутизатор может быть реализован в виде отдельного высокопроизводительного устройства (например, маршрутизаторы компании Cisco Systems), или функцию маршрутизации может выполнять сетевая операционная система обычного компьютера, подключенного одновременно к нескольким сетям, при помощи нескольких сетевых карт (шлюз). Маршрутизаторы работают на сетевом уровне модели OSI и не накладывают ограничений на топологию сети. Если для мостов и коммутаторов обязательно отсутствие петлевых маршрутов в сети (древовидная структура), то маршрутизатор работает в сетях с произвольной топологией и обеспечивает выбор оптимального маршрута для доставки пакетов. Использование древовидной структуры для крупных сетей нерационально, т.к. в таком случае на корневой коммутатор (мост) приходится слишком большая нагрузка, а его отказ приводит к распадению сети на отдельные фрагменты и потере пользователями доступа к большому количеству ресурсов сети. Поэтому рационально строить сети по децентрализованному принципу, когда между любыми двумя компьютерами может существовать множество маршрутов. Именно нахождением и ведением таблицы таких маршрутов (таблицы маршрутизации) и доставкой пакетов по оптимальному маршруту занимается маршрутизатор.

Другой функцией маршрутизаторов является объединение в единую сеть сегментов, работающих на различных протоколах канального уровня. Например, объединение сегментов Fast Ethernet и FDDI. Маршрутизатор работает на сетевом уровне модели OSI (например, по протоколу IP), и для него не существенно какие протоколы канального уровня используются в сегментах. Трансляция протоколов (кадры Fast Ethernet в кадры FDDI) может осуществляться и некоторыми моделями коммутаторов, однако такая возможность появилась сравнительно недавно, и исторически для объединения разнородных сетей используют маршрутизаторы. Кроме того, коммутаторы в некоторых случаях не могут корректно выполнить трансляцию кадров. Например, коммутаторами не поддерживается функция фрагментации кадров и, если в объединяемых сетях не совпадают максимально допустимые размеры кадров, то коммутатор не сможет транслировать очень большие кадры.

Сегодня считается, что любая крупная сеть должна включать изолированные сегменты, соединенные маршрутизаторами, иначе потоки ошибочных кадров, например широковещательных, будут периодически затапливать всю сеть через прозрачные для них коммутаторы (мосты), приводя ее в неработоспособное состояние. Кроме того, использование маршрутизаторов позволяет структурировать сеть (подсеть отдела кадров, подсеть бухгалтерии и т.п.) и легче реализовывать политику безопасности, за счет использования межсетевых экранов. Межсетевой экран (firewall, брандмауэр) – это специальное программное обеспечение, которое установлено на маршрутизаторе, или компьютере-шлюзе, выполняющем функции маршрутизатора, и позволяющее контролировать доступ пользователей к тем или иным ресурсам сети. Для межсетевого экрана задаются правила фильтрации вида: "через межсетевой экран допускается прохождение пакетов с IP-адресом отправителя 172.18.10.1 (порт 80) и IP-адресом получателя 192.168.1.1 (порт 21), в четверг с 15.00 до 19.00". Пакеты, не удовлетворяющие правилам фильтрации отбрасываются, а факт их наличия регистрируется в специальном журнале.

В крупных сетях выбор наилучшего маршрута часто является достаточно сложной задачей, с математической точки зрения. Особенно интенсивных вычислений требуют протоколы OSPF, NLSP, IS-IS, вычисляющие оптимальный путь на графе. Кроме того маршрутизатор вынужден выполнять буферизацию, фильтрацию, фрагментацию пакетов и другие задачи. При этом очень важна производительность маршрутизатора, поэтому типичный маршрутизатор крупных сетей является мощным вычислительным устройством с одним или даже несколькими процессорами (часто специализированными или построенными на RISC-архитектуре) и сложным программным обеспечением, работающим под управлением специализированной операционной системы реального времени. Многие разработчики маршрутизаторов построили в свое время такие операционные системы на базе ОС Unix, естественно, значительно ее переработав.

15.2. Алгоритмы маршрутизации

Маршрутизация – это выбор маршрута доставки пакета. Частично, алгоритм маршрутизации уже был рассмотрен в лекции, посвященной протоколу IP. Здесь будет рассмотрена только общая классификация алгоритмов маршрутизации, не упоминавшихся ранее.

По степени распределенности схемы маршрутизации выделяют следующие алгоритмы маршрутизации:

- Одношаговые алгоритмы. Наиболее широко распространены в сетях. В таблице маршрутизации хранится информация только об одном шаге маршрута (ближайший маршрутизатор на пути к адресату). При отсутствии возможности доставки пакета напрямую (когда маршрутизатор различными сетевыми интерфейсами одновременно подключен и к сети отправителя и к сети адресата), пакет доставляется на следующий ближайший маршрутизатор на пути к адресату, который анализирует свои таблицы маршрутизации и занимается дальнейшей доставкой пакета. Подробнее см. лекции по протоколу IP.

- Многошаговые алгоритмы. В таблице маршрутизации указываются все шаги маршрута (промежуточные маршрутизаторы), которые должен пройти пакет. Схема работы - аналогично мостам, с маршрутизацией от источника (см. ранее). В сетях распространена мало. Однако в новой версии протокола IP (IPv6), наряду с классической одношаговой маршрутизацией, будет разрешена и маршрутизация от источника.

По способу построения таблиц маршрутизации выделяют следующие алгоритмы маршрутизации:

- Алгоритмы статической маршрутизации. Все записи в таблице маршрутизации задаются админстратором вручную. Пригоден только для небольших сетей. В крупных сетях применяется только совместно с алгоритмом динамической маршрутизации.

- Алгоритмы динамической маршрутизации (таблицы маршрутизации составляются и обновляются автоматически, на основании имеющейся информации о непосредственно подключенных к маршрутизатору сетях и информации от соседних маршрутизаторов, передаваемой по протоколам RIP, OSPF, NLSP, подробнее см. ниже).

- Алгоритмы простой маршрутизации. В сетях практически не применяются. Используется случайная маршрутизация (прибывший пакет посылается в первом попавшемся случайном направлении, кроме исходного), лавинная маршрутизация (пакет широковещательно посылается по всем возможным направлениям, кроме исходного), маршрутизация по предыдущему опыту (выбор маршрута осуществляется аналогично выбору маршрута в прозрачных мостах).

По использованию маски подсети в процессе маршрутизации IP-пакетов выделяют:

- Маршрутизацию на основании классов IP-адресов, без использования маски подсети.

- Бесклассовая междоменная маршрутизация, с использованием маски подсети.

При маршрутизации на основании классов IP-адресов, в таблицах маршрутизации маски подсетей не хранятся. Решение о том, является ли данный IP-адрес адресом сети или адресом конкретного компьютера принимается на основании класса IP-адреса (у сетей класса C адрес компьютера находится в последнем октете, у сетей класса B адрес компьютера находится в последних двух октетах и т.д.). Такой подход прост, но создает неудобства, т.к. минимальный размер подсети составляет 253 компьютера (сеть класса C), что является нерациональным расходованием адресов и не позволяет структуризировать сеть на более мелкие подсети. Поэтому постепенно в сетях происходит переход на маршрутизацию с использованием масок подсети - бесклассовая междоменная маршрутизация (CIDR, Classless Inter-Domain Routing). При этом подходе подсетям выделяются непрерывные диапазоны IP-адресов так, чтобы номер компьютера и номер сети можно было описать при помощи маски подсети (подробнее см. лекции по протоколу IP). При обмене информацией между маршрутизаторами (например, по протоколу RIPv2), вместе с информацией о маршру-тах передается и информация о масках подсетей для соответствующих IP-адресов.

Наши рекомендации