Сравнение маршрутизатора и L3-коммутатора Cisco. Каналы связи L2 и L3 VPN - Отличия физических и виртуальных каналов разного уровня Полноценные коммутаторы l2 уровня

Бакалавр Радиотехники

инженер-стажер филиала ЗАО «Энвижн Груп» Энвижн-Сибирь

Магистрант СибГУТИ

Консультант: Марамзин Валерий Валентинович, Ведущий инженер-конструктор Направление сетей и систем передачи данных NVision Group

Аннотация:

В статье описаны элементы методики определения топологии сети на канальном и сетевом уровнях

This article describes the elements of methodology for determining of the network topology at the data link and network layers

Ключевые слова:

топология, протоколы

topology, protocols

УДК 004.722

В настоящее время каждая крупная компания располагает своей внутренней локальной сетевой инфраструктурой. Во внутреннюю сеть входят как непосредственно рабочие станции, так и любые другие сетевые устройства, попадающие под понятие «хост».

Хост (от англ. Host) - конечный узел в стеке протоколов TCP/IP . Чаще всего этими устройствами в сети являются маршрутизаторы и коммутаторы.

Чем крупнее компания, тем объемнее и разветвленней ее сеть, которая включает в себя как внутрисетевые ресурсы, так и прочие сервисы и вложенные структуры, которые необходимо постоянно обслуживать и наблюдать. Именно с целью качественного мониторинга сети, быстрой ликвидации неполадок и внештатных ситуаций, выявления непроходимостей канала и решения прочих проблем необходимо знать топологию сети.

Топология сети - конфигурация графа, вершинам которого соответствуют конечные узлы сети (компьютеры) и коммуникационное оборудование (маршрутизаторы, коммутаторы), а ребрам — физические или информационные связи между вершинами.

В большинстве случаев типом топологии является неполносвязное иерархическое дерево, когда от одного или нескольких корневых мощных серверов, маршрутизаторов, расходится вся паутина сети. И чем крупнее локальная сеть, тем сложнее ее обслуживать и детектировать неисправности в условиях отсутствия знаний ее архитектуры.

Разумеется, в настоящее время имеются некоторые готовые решения способные визуализировать граф сети с указанием всех входящих в нее узлов. В их число входят разные пакеты сетевого менеджмента, работающих в автоматическом режиме и не всегда корректно отображающих реальное состояние объектов.

Например, пакет HP OpenView Network Node Manager компании Hewlett-Packard и разного рода подобные ему продукты предоставляют информацию о топологии на уровне L3, но предоставляют не много сведений о подключении и отключении сетевых устройств. То есть для эффективного обнаружения узлов сети и существующих соединений между ними необходимо оперировать средствами определения топологии на уровне L2 работая в режиме обнаружения соединений на уровне коммутаторов и маршрутизаторов.

Существуют другие решения от конкретных крупных производителей сетевого оборудования, таких как Cisco Systems, Nortel Networks, разработавших собственные протоколы CDP, LLDP - стандарт для обслуживания сетей крупных предприятий. Но проблема заключена в следующем: зачастую многие сети реализованы на оборудовании разных производителей, подобранном по тем или иным причинам, параметрам или предпочтениям.

Следовательно, появляется необходимость разработать универсальный метод по определению топологии сетей, вне зависимости от поставщика оборудования и прочих условий, который использовал бы разветвленный алгоритм анализа сети и ее узлов, а также предоставлял бы результаты в упрощенном наглядном виде, например, строя граф связности сети.

Реализовать это можно следующим образом. Входными данными для алгоритма станут аутентификационные параметры одного из корневых устройств сети и его IP-адрес. С него и начнется сбор информации о каждом устройстве посредством последовательного SNMP-опроса, используя определенную последовательность действий.

Для начала необходимо установить, какие протоколы активны и поддерживаются конкретным устройством, на рассматриваемом устройстве. Первичный анализ должен заключать в себяпроверку активности протокола LLDP и CDP - наиболее простых путей обнаружения соседства между устройствами в сети. Link Layer Discovery Protocol (LLDP) — протокол канального уровня, позволяющий сетевым устройствам анонсировать в сеть информацию о себе и о своих возможностях, а также собирать эту информацию о соседних устройствах.

Cisco Discovery Protocol (CDP) - протокол канального уровня, разработанный компанией Cisco Systems, позволяющий обнаруживать подключённое (напрямую или через устройства первого уровня) сетевое оборудование Cisco, его название, версию IOS и IP-адреса.

Таким образом, если устройством поддерживается один из этих протоколов, алгоритм сразу же обращается к соответствующим разделам MIB-таблицы (Management Information Base), в которой находится вся информация о соседних устройствах, если они также анонсировали ее о себе. В нее входят IP-адреса, информация о портах, шасси и типах устройств.

Если же поддержка LLDP/CDP отсутствует, вторым шагом проверки станет SNMP-опрос локальной MIB текущего девайса на предмет получения информации об его активных интерфейсах и ARP-таблице.

При этом, в первую очередь процедура проверки запускается на коммутаторах. Используя ARP-таблицу (Address Resolution Protocol) коммутатора, алгоритм получит информацию о каждом подключенном устройстве в виде соответствия MAC-address ̶ IP-address ̶ interface ̶ TTL

Поиск соседних устройств должен осуществляться посредством последовательного unicast опроса по всем найденным в ARP таблице MAC адресам. Ответ на ARP-запрос от искомого устройства по MAC-адресу и фиксация интерфейса, с которого ответ получен, станет фактом обнаружения устройства в сети. Идентифицировав соседство, производим процедуру сопоставления MAC-адресов: если на интерфейс первого устройства приходит ответ на запрос по MAC-адресу второго устройства и наоборот, на интерфейс второго устройства приходит ответ по запросу первого MAC адреса, то это гарантированная линия связи между двумя узлами. В итоге информация о соседстве содержит не только линию связи между узлами, но и информацию об интерфейсах, через которые они соединены.

Определение соседства устройств по MAC-адресам

Далее алгоритм переключается на следующий коммутатор и повторяет процедуру проверки, оставив запись в log-файле об уже посещенных девайсах и их параметрах, таким образом пройдя последовательно каждый узел в сети.

При проектировании данного метода и разработке алгоритма, не следует выпускать из вида несколько условий корректной его работы:

1. На устройствах должна быть обязательно включена поддержка SNMP протокола, предпочтительно версии 3.
2. Алгоритм должен уметь отличить виртуальные интерфейсы от реальных и строить граф связности по реальным физическим соединениям.

Библиографический список:

Рецензии:

13.03.2014, 21:09 Клинков Георгий Тодоров
Рецензия : Нужно иметь в виду и тот факт, что сетевая топология требует еффективной маршрутизаций и комутации данных, особенно по отношению технологии firewall’ов – Active-Active топологии, асимметричная маршрутизация Cisco MSFC и FWSM. Балансировка FWSM используя PBR или ECMP-маршрутизацию; NAC – расположение в топологии; архитектура IDS и IPS.

13.03.2014, 22:08 Назарова Ольга Петровна
Рецензия : Последний абзац представляет собой рекомендации. Нет вывода. Доработать.

Как правило, если вы хотите подключить все сетевые и клиентские устройства к сети, является одним из основных, наиболее подходящих для этой цели устройством. По мере увеличения разнообразия сетевых приложений и увеличения количества конвергентных сетей новый сетевой коммутатор уровня 3, эффективно используется как в центрах обработки данных, так и в комлексных корпоративных сетях, коммерческих приложениях и в более сложных клиентских проектах.

Что такое коммутатор уровня 2?

Коммутатор уровня 2 (Layer2 или L2) предназначен для соединения нескольких устройств локальной вычислительной сети (LAN) или нескольких сегментов данной сети. Коммутатор уровня 2 обрабатывает и регистрирует МАС–адреса поступающих фреймов, осуществляет физическую адресацию и управления потоком данных (VLAN, мультикаст фильтрация, QoS).

Термины ‘’Уровень 2’’ & ‘’Уровень 3’’ изначально получены из Протокола взаимодействия открытых сетей (OSI), который является одной из основных моделей, используемых для описания и объяснения принципов работы сетевых коммуникаций. Модель OSI определяет семь уровней взаимодейтсвия систем: прикладной уровень, представительский уровень, сеансовый уровень, транспортный уровень, сетевой уровень, уровень канала передачи данных (канальный уровень) и физический уровень, среди которых сетевой уровень - уровень 3, а уровень канала передачи данных - уровень 2.

Рисунок 1: Уровень 2 и Уровень 3 в Протоколе взаимодействия открытых сетей (OSI).

Уровень 2 обеспечивает прямую передачу данных между двумя устройствами в локальной сети. При работе коммутатор уровня 2 сохраняет таблицу MAC-адресов, в которой обрабатываются и регистрируются MAC-адреса поступающих фреймов и запоминается оборудование, подключаемое через порт. Массивы данных переключаются в MAC-адресах только внутри локальной сети, что позволяет сохранять данные только в пределах сети. При использовании коммутатора уровня 2 возможно выбрать определенные порты коммутатора для управления потоком данных (VLAN). Порты, в свою очередь, находятся в разных подсетях уровня 3.

Что такое коммутатор уровня 3?

(Layer 3 или L3) фактически являются маршрутизаторами, которые реализуют механизмы маршрутизации (логическая адресация и выбор пути доставки данных (маршрута) с использованием протоколов маршрутизации (RIP v.1 и v.2, OSPF, BGP, проприетарные протоколы маршрутизации и др.) не в программном обеспечении устройства, а с помощью специализированных аппаратных средств (микросхем).

Маршрутизатор является наиболее распространенным сетевым устройством, относящимся к Уровню 3. Данные коммутаторы выполняет функции маршрутизации (логическую адресацию и выбор пути доставки) пакетов на IP-адрес получателя (Интернет-протокол). Коммутаторы уровня 3 проверяют IP-адреса источника и получателя каждого пакета данных в своей таблице IP-маршрутизации и определяют лучший адрес для последующей пересылки пакета (маршрутизатору или коммутатору). Если IP-адрес назначения не найден в таблице, пакет не будет отправлен до тех пор, пока не будет определен конечный муршрутизатор. По этой причине процесс маршрутизации осуществляется с определенной временной задержкой.

Коммутаторы уровня 3 (или многоуровневого коммутатора) имеют часть функций коммутаторов уровня 2 и маршрутизаторов. По сути, это три разных устройства, предназначенных для разных приложений, которые в значительной степени зависят от доступных функций. Однако, все три устройства также имеют часть общих функций.

Коммутатор уровня 2 VS Коммутатор уровня 3: В чём разница?

Основное различие между коммутаторами уровня 2 и уровня 3 - это функция маршрутизации. Коммутатор уровня 2 работает только с MAC-адресами, игнорируя IP-адреса и элементы более высоких уровней. Коммутатор уровня 3 выполняет все функции коммутатора уровня 2. Кроме того, он может осуществлять статическую и динамическую маршрутизацию. Это значит, что коммутатор уровня 3 имеет как таблицу MAC-адресов, так и таблицу маршрутизации IP-адресов, а также соединяет несколько устройств локальной вычислительной сети VLAN и обеспечивает маршрутизацию пакетов между различными VLAN. Коммутатор, который осуществляет только статическую маршрутизацию обычно называется Layer 2+ или Layer 3 Lite. Помимо пакетов маршрутизации коммутаторы уровня 3 также включают в себя некоторые функции, требующие наличие информации о данных IP-адресов в коммутаторе, таких как маркирование трафика VLAN на основе IP-адреса вместо ручной настройки порта. Более того, коммутаторы уровня 3 имеют большую потребляемую мощность и повышенные требования безопасности.

Коммутатор уровня 2 vs Коммутатор уровня 3: Как выбрать?

При выборе между коммутаторами уровня 2 и уровня 3, стоит заранее продумать, где и как коммутатор будет использоваться. В случае наличия домена уровня 2, вы можете просто использовать коммутатор уровня 2. Однако, если вам необходима маршрутизация между внутренней локальной сетью VLAN, следует использовать коммутатор уровня 3. Домен уровня 2 - это место подключения хостов, которое позволяет гарантировать стабильную работу коммутатора уровня 2. Обычно в топологии сети это называется уровнем доступа. Если необходимо переключиться на агрегирование множественных переключателей доступа и выполнить маршрутизацию между VLAN, необходимо использовать коммутатор уровня 3. В сетевой топологии это называется слоем распределения.

Рисунок 2: случаи использования роутера, коммутатора уровня 2 и коммутатора уровня 3

Поскольку коммутатор уровня 3 и маршрутизатор имеют функцию маршрутизации, следует определить разницу между ними. На самом деле не так важно, какое устройство выбрать для маршрутизации, поскольку каждое из них обладает своими преимуществами. Если вам требуется большое количество маршрутизаторов с функциями коммутаторов для построения локальной сети VLAN, и вы не нуждаетесь в дальнейшей маршрутизации (ISP)/WAN, тогда можно спокойно использовать коммутатор уровня 3. В другом случае вам необходимо выбрать маршрутизатор с большим количеством функций уровня 3.

Коммутатор уровня 2 VS Коммутатор уровня 3: Где купить?

Если вы собираетесь купить коммутатор уровня 2 или уровня 3 для построения сетевой инфраструктуры, существуют определенные ключевые параметры, на которые мы рекомендуем вам обратить внимание. В частности, скорость пересылки пакетов, пропускная способность объединительной системной платы, количество VLAN, память MAC-адресов, задержка в передаче данных и др.

Скорость пересылки (или пропускная способность) - это возможность пересылки объединительной системной платы (или коммутационной матрицы). Когда возможности пересылки больше, чем суммарная скорость всех портов, объединительную плату называют неблокирующей. Скорость пересылки выражается в пакетах в секунду (pps). Формула ниже позволяет рассчитать скорость пересылки коммутатора:

Скорость пересылки (pps) = количество портов 10 Гбит/с * 14,880,950 pps + количество портов 1 Гбит/с * 1,488,095 pps + количество портов 100 Мбит/с * 148,809 pps

Следующий параметр, который следует рассмотреть, пропускная способность объединительной платы или пропускная способность коммутатора, которая вычисляется, как суммарная скорость всех портов. Скорость всех портов подсчитывается дважды, одна для направления Tx и одна для направления Rx. Полоса пропускания объединительной платы выражается в битах в секунду (бит/с или бит/с). Пропускная способность объединительной платы (бит/с) = номер порта * скорость передачи данных порта * 2

Другим важным параметром является настраиваемое количество VLAN. Как правило, 1K = 1024 VLAN достаточно для коммутатора уровня 2, а стандартное количество VLAN для коммутатора уровня 3 - 4k = 4096. Память таблицы MAC-адресов - это количество MAC-адресов, которое может храниться в коммутаторе, обычно выражаемое как 8k или 128k. Задержка - это время, на которое переносится передача данных. Время задержки должно быть как можно короче, поэтому латентность обычно выражается в наносекундах (нс).

Вывод

Сегодня мы попытались разобраться в различиях между уровнями 2 и 3 и в устройствах, обычно используемых на этих уровнях, включая коммутатор уровня 2, коммутатор уровня 3 и маршрутизатор. Основной вывод, который хотелось бы выделить сегодня, это то, что не всегда более совершенное устройство лучше и эффективнее. Сегодня важно понимать для чего, вы собирается использовать коммутатор, каковы ваши требования и условия. Четко понимание исходных данных поможет правильно подобрать наиболее подходящее для вас устройство.

Теги:

 0

 2

Многие задавались вопросом, что такое L2-VPN, как он работает и зачем он нужен. L2-VPN это сервис виртуальной частной сети (англ. Virtual Private Network - виртуальная частная сеть), предоставляемый операторами связи по типу точка-точка. Сеть провайдера для клиента в данной услуге абсолютно прозрачна.

Где это может понадобиться?

Допустим, вы частный предприниматель, у вас есть офис в г. Урюпинск и г. Воронеж. Вы хотите объединить 2 сети в 1 большую локальную сеть. С точки зрения вас (клиента) данная услуга будет выглядеть так, как показано на рисунке 1.

Т.е. как подключение к одному большому L2-коммутатору. В случае необходимости вы можете самостоятельно устанавливать в своем vpn канале дополнительные сервисы сетевой защиты, шифрования, аутентификации, например IPSec-туннель и т.д.

Как это выглядит с точки зрения провайдера?

Здесь будет немного сложнее. Заявив ему, что вы хотите данную услугу, выбранный вами провайдер подключит оба офиса в свои ближайшие коммутаторы, произведет манипуляции на оборудовании, и вы получите заветную услугу. Сеть провайдера может быть огромна. Чтобы вашим пакетикам из Урюпинска дойти до Воронежа и обратно, им придется преодолеть нцать коммутаторов, несколько роутеров и много-много километров пути. Если схематично, то можно представить так, как показано на рисунке 2.

Данную услугу провайдеры предоставляют на основе своей сети IP/MPLS. Стоимость данной услуги, провайдер рассчитывает исходя от расстояния, емкости канала, совокупных затрат на содержание и эксплуатацию оборудования, амортизационных отчислений и тд. Однако, при всем при этом цена является в несколько раз завышена для клиента.

Заключение

Данная услуга является одной из самых популярных среди клиентов провайдеров Она очень проста и не требует настроек на оборудовании клиента.

Преимущества:

• ускоренный обмен файлами и сообщениями внутри сети;
• высокая безопасность передачи информации;
• совместная работа над документами и базами данных;
• доступ к корпоративным информационным http — серверам;
• организация между офисами высококачественной видеоконференцсвязи и видео трансляций

Однако есть и недостатки. Т.к. услуга является L2, то операторам связи очень сложно отслеживать проблемы на данной услуге и практически всегда они узнают о проблеме от клиента. По сути, клиент сам берет на себя всю диагностику и работу с провайдером, поэтому если существуют какие-то проблемы то их решение очень затягивается.

Существует и более интересная услуга, позволяющая организовывать соединения точка-многоточка на уровне L2 модели OSI — это VPLS подробнее про нее можно прочитать перейдя по .

Купить\Заказать услугу L2VPN можно .

L3-коммутатор способен выполнить только чистый IP-роутинг - он не умеет NAT, route-map или traffic-shape, подсчет трафика. Коммутаторы не способны работать с VPN-туннелями (Site-to-site VPN, Remote Access VPN, DMVPN), не могут шифровать трафик или выполнять функции statefull firewall, нет возможности использовать в качестве сервера телефонии (цифровой АТС).

Главное достоинство коммутатора 3го уровня - быстрая маршрутизация трафика разных L3-сегментов между собой,чаще всего это внутренний трафик без выхода в сеть Интернет. .

Как раз выход в Интернет вам обеспечит маршрутизатор. NAT настраивается также на маршрутизаторе.

Маршрутизация большого количества локальных сетей практически невозможна на маршрутизаторе, высока вероятность деградации сервиса при использовании QoS, ACL NBAR и других функций, приводящих к анализу приходящего на интерфейсы трафика. Скорее всего, проблемы начнутся при превышении скорости локального трафика более, чем до 100Мбит/с (в зависимости от модели конкретного маршрутизатора). Коммутатор, наоборот, с легкостью справится с этой задачей.

Основная причина в том, что коммутатор маршрутизирует трафик на основе CEF-таблиц .

Cisco Express Forwarding (CEF ) - технология высокоскоростной маршрутизации/коммутации пакетов, использующаяся в маршрутизаторах и коммутаторах третьего уровня фирмы Cisco Systems, и позволяющая добиться более быстрой и эффективной обработки транзитного трафика.

Маршрутизатор тоже может использовать CEF, но если вы используете на маршрутизаторе функции, приводящие к анализу всего трафика, то трафик пойдет уже через процессор. Сравните в таблице производительности маршрутизаторов, приведенную в самом начале, какая производительность у маршрутизатора при "Fast\CEF switching" (с помощью таблиц) и какая при "Process switching" (решение о маршрутизации принимается процессором).

Итого, маршрутизатор отличается от L3-коммутатора тем, что маршрутизатор умеет очень гибко управлять трафиком, но обладает сравнительно низкой производительностью при работе внутри локальной сети, L3-коммутатор же наоборот обладает высокой производительностью, но не может влиять на трафик, обрабатывать его.

Про L2-коммутаторы можно сказать, что они применяются только на уровне доступа, обеспечивая подключение конечного пользовательского (не сетевого оборудования)

Когда использовать L2-свитчи, а когда L3-коммутаторы?

В небольшомм бренче до 10 человек достаточно поставить один маршрутизатор со встроенным свитчом (серии 800) или установленным модулем модулем расширения ESW (серии 1800,1900)или ESG.

В офисе на 50 человек можно установить один маршрутизатор средней производительности и один 48-портовый L2-коммутатор (возможно два 24-портовых).

В филиале до 200 человек будем использовать маршрутизатор и несколько коммутаторов второго уровня. Важно понимать, что если вы разделили сеть на сегменты на уровне IP-адресов на несколько подсетей и производите роутинг между сетями на маршрутизаторе, то вам совершенно точно обеспечена высокая нагрузка на процессор, что вызовет недостаток производительности и жалобы конечных пользователей на дропание пакетов. Если большинство пользователи общаются только с компьютерами, серверами, принтерами и другими сетевыми устройствами только внутри своего L3-сегмента, и покидают пределы этого адресного пространства только для выхода в интернет, то данный дизайн сети будет удовлетворительным. При расширении сети, количества отделов, внутри которых трафик не должен вылезать наружу этого отдела, если разные отделы (в нашем случае это подсети или сегменты сети) вынуждены вести обмен данными между собой, то производительности маршрутизатора уже не хватит.

В таком крупном офисе (свыше 200 сотрудников) становится обязательным покупка высокопроизводительного коммутатора 3третьего уровня. В его задачи будет входить поддержка всех "шлюзов по умолчанию" локальных сегментов. Связь между этим коммутатором и хостами будет осуществляться через логические сетевые интерфейсы (interface VLAN или SVI). Маршрутизатор достаточно будет иметь всего два подключения - в интернет и к вашему L3-коммутатору . Пользователей же необходимо будет подключать через L2-коммутаторы , подключенные звездой или кольцом к L3-коммутатору с помощью гигабитных соединений, таким образом нам пригодится L3-коммутатор с Гигабитными портами. Таким образом, центром сети станет как раз L3-коммутатор , который будет отвечать за функции ядра и распределения одновременно, L2-коммутаторы на уровне доступа и маршрутизатор в качестве шлюза для подключения к Интернету или для связи с удаленными офисами посредством туннелей.

В действительно же БОЛЬШИХ кампусных сетях численностью более 500 человек и с высокими требованиями к производительности и функциональности может возникнуть необходимость даже на уровень доступа для подключения пользователей ставить L3-коммутаторы. Это может быть вызвано следующими причинами:

Недостаточная производительность L2 коммутаторов (особенно с гигабитными портами и при использовании в качестве серверных ферм)

Недостаточное кол-во поддерживаемых active vlan (255 против 1000 у L3)

Отсутствие функционала Q-n-Q

Недостаточное кол-во поддерживаемых записей ACL (у 2960 - 512, у 3560 - 2000)

Ограниченные возможности работы с мультикастами

Недостаточные возможности QoS на L2-коммутаторах

Архитектура сети "L3-access" - т.е. точки маршрутизации локальных подсетей выносятся на уровень доступа, а наверх на уровень распределения отдаются уже суммированные маршруты...

Отсутствие L2 и STP на уровне распределения.

Это первая статья из серии «Сети для самых маленьких». Мы с Максимом aka Gluck долго думали с чего начать: маршрутизация, VLAN"ы, настройка оборудования. В итоге решили начать с вещи фундаментальной и, можно сказать, самой важной: планирование. Поскольку цикл рассчитан на совсем новичков, то и пройдём весь путь от начала до конца.

Предполагается, что вы, как минимум, читали о эталонной модели OSI, о стеке протоколов TCP/IP, знаете о типах существующих VLAN’ов, о наиболее популярном сейчас port-based VLAN и о IP адресах. Мы понимаем, что для новичков «OSI» и «TCP/IP» — это страшные слова. Но не переживайте, не для того, чтобы запугать вас, мы их используем. Это то, с чем вам придётся встречаться каждый день, поэтому в течение этого цикла мы постараемся раскрыть их смысл и отношение к реальности.

Начнём с постановки задачи. Есть некая фирма, занимающаяся, допустим, производством лифтов, идущих только вверх, и потому называется ООО «Лифт ми ап». Расположены они в старом здании на Арбате, и сгнившие провода, воткнутые в пожжёные и прожжёные коммутаторы времён 10Base-T не ожидают подключения новых серверов по гигабитным карточкам. Итак, у них катастрофическая потребность в сетевой инфраструктуре и денег куры не клюют, что даёт вам возможность безграничного выбора. Это чудесный сон любого инженера. А вы вчера выдержали собеседование, и в сложной борьбе по праву получили должность сетевого администратора. И теперь вы в ней первый и единственный в своём роде. Поздравляем! Что дальше?

Следует несколько конкретизировать ситуацию:

1. В данный момент у компании есть два офиса: 200 квадратов на Арбате под рабочие места и серверную. Там представлены несколько провайдеров. Другой на Рублёвке.
2. Есть четыре группы пользователей: бухгалтерия (Б), финансово-экономический отдел (ФЭО), производственно-технический отдел (ПТО), другие пользователи (Д). А так же есть сервера (С), которые вынесены в отдельную группу. Все группы разграничены и не имеют прямого доступа друг к другу.
3. Пользователи групп С, Б и ФЭО будут только в офисе на Арбате, ПТО и Д будут в обоих офисах.

Прикинув количество пользователей, необходимые интерфейсы, каналы связи, вы готовите схему сети и IP-план.

При проектировании сети следует стараться придерживаться иерархической модели сети, которая имеет много достоинств по сравнению с “плоской сетью”:

• упрощается понимание организации сети
• модель подразумевает модульность, что означает простоту наращивания мощностей именно там, где необходимо
• легче найти и изолировать проблему
• повышенная отказоустойчивость за счет дублирования устройств и/или соединений
• распределение функций по обеспечению работоспособности сети по различным устройствам.

Согласно этой модели, сеть разбивается на три логических уровня: ядро сети (Core layer: высокопроизводительные устройства, главное назначение — быстрый транспорт), уровень распространения (Distribution layer: обеспечивает применение политик безопасности, QoS, агрегацию и маршрутизацию в VLAN, определяет широковещательные домены), и уровень доступа (Access-layer: как правило, L2 свичи, назначение: подключение конечных устройств, маркирование трафика для QoS, защита от колец в сети (STP) и широковещательных штормов, обеспечение питания для PoE устройств).

В таких масштабах, как наш, роль каждого устройства размывается, однако логически разделить сеть можно.

Составим приблизительную схему:

На представленной схеме ядром (Core) будет маршрутизатор 2811, коммутатор 2960 отнесём к уровню распространения (Distribution), поскольку на нём агрегируются все VLAN в общий транк. Коммутаторы 2950 будут устройствами доступа (Access). К ним будут подключаться конечные пользователи, офисная техника, сервера.

Именовать устройства будем следующим образом: сокращённое название города (msk ) — географическое расположение (улица, здание) (arbat ) — роль устройства в сети + порядковый номер.

Соответственно их ролям и месту расположения выбираем hostname :

• маршрутизатор 2811: msk-arbat-gw1 (gw=GateWay=шлюз);
• коммутатор 2960: msk-arbat-dsw1 (dsw=Distribution switch);
• коммутаторы 2950: msk-arbat-aswN, msk-rubl-asw1 (asw=Access switch).

Документация сети

Вся сеть должна быть строго документирована: от принципиальной схемы, до имени интерфейса.

Прежде, чем приступить к настройке, я бы хотел привести список необходимых документов и действий:

• схемы сети L1, L2, L3 в соответствии с уровнями модели OSI (физический, канальный, сетевой) ;
• план IP-адресации = IP-план ;
• список VLAN ;
• подписи (description ) интерфейсов ;
• список устройств (для каждого следует указать: модель железки, установленная версия IOS, объем RAM\NVRAM, список интерфейсов);
• метки на кабелях (откуда и куда идёт), в том числе на кабелях питания и заземления и устройствах;
• единый регламент, определяющий все вышеприведённые параметры и другие.

Жирным выделено то, за чем мы будем следить в рамках программы-симулятора. Разумеется, все изменения сети нужно вносить в документацию и конфигурацию, чтобы они были в актуальном состоянии.

Говоря о метках/наклейках на кабели, мы имеем ввиду это:

На этой фотографии отлично видно, что промаркирован каждый кабель, значение каждого автомата на щитке в стойке, а также каждое устройство.

Подготовим нужные нам документы:

Список VLAN

Каждая группа будет выделена в отдельный влан. Таким образом мы ограничим широковещательные домены. Также введём специальный VLAN для управления устройствами. Номера VLAN c 4 по 100 зарезервированы для будущих нужд.

IP-план

Выделение подсетей в общем-то произвольное, соответствующее только числу узлов в этой локальной сети с учётом возможного роста. В данном примере все подсети имеют стандартную маску /24 (/24=255.255.255.0) — зачастую такие и используются в локальных сетях, но далеко не всегда. Советуем почитать о классах сетей . В дальнейшем мы обратимся и к бесклассовой адресации (cisco). Мы понимаем, что ссылки на технические статьи в википедии — это моветон, однако они дают хорошее определение, а мы попробуем в свою очередь перенести это на картину реального мира.

Под сетью Point-to-Point подразумеваем подключение одного маршрутизатора к другому в режиме точка-точка. Обычно берутся адреса с маской 30 (возвращаясь к теме бесклассовых сетей), то есть содержащие два адреса узла. Позже станет понятно, о чём идёт речь.

План подключения оборудования по портам

Разумеется, сейчас есть коммутаторы с кучей портов 1Gb Ethernet, есть коммутаторы с 10G, на продвинутых операторских железках, стоящих немалые тысячи долларов есть 40Gb, в разработке находится 100Gb (а по слухам уже даже есть такие платы, вышедшие в промышленное производство). Соответственно, вы можете выбирать в реальном мире коммутаторы и маршрутизаторы согласно вашим потребностям, не забывая про бюджет. В частности гигабитный свич сейчас можно купить незадорого (20-30 тысяч) и это с запасом на будущее (если вы не провайдер, конечно). Маршрутизатор с гигабитными портами стоит уже ощутимо дороже, чем со 100Mbps портами, однако оно того стоит, потому что FE-модели (100Mbps FastEthernet), устарели и их пропускная способность очень невысока.

Но в программах эмуляторах/симуляторах, которые мы будем использовать, к сожалению, есть только простенькие модели оборудования, поэтому при моделировании сети будем отталкиваться от того, что имеем: маршрутизатор cisco2811, коммутаторы cisco2960 и 2950.

Почему именно так распределены VLAN"ы, мы объясним в следующих частях.

Схемы сети

На основании этих данных можно составить все три схемы сети на этом этапе. Для этого можно воспользоваться Microsoft Visio, каким-либо бесплатным приложением, но с привязкой к своему формату, или редакторами графики (можно и от руки, но это будет сложно держать в актуальном состоянии:)).

Не пропаганды опен сорса для, а разнообразия средств ради, воспользуемся Dia. Я считаю его одним из лучших приложений для работы со схемами под Linux. Есть версия для Виндоус, но, к сожалению, совместимости в визио никакой.

L1

То есть на схеме L1 мы отражаем физические устройства сети с номерами портов: что куда подключено.

L2

На схеме L2 мы указываем наши VLAN’ы.

L3

В нашем примере схема третьего уровня получилась довольно бесполезная и не очень наглядная, из-за наличия только одного маршрутизирующего устройства. Но со временем она обрастёт подробностями.

Как видите, информация в документах избыточна. Например, номера VLAN повторяются и на схеме и в плане по портам. Тут как бы кто на что горазд. Как вам удобнее, так и делайте. Такая избыточность затрудняет обновление в случае изменения конфигурации, потому что нужно исправиться сразу в нескольких местах, но с другой стороны, облегчает понимание.

К этой первой статье мы не раз ещё вернёмся в будущем, равно как и вам придётся всегда возвращаться к тому, что вы изначально напланировали. Собственно задание для тех, кто пока только начинает учиться и готов приложить для этого усилия: много читать про вланы, ip-адресацию, найти программы Packet Tracer и GNS3. Что касается фундаментальных теоретических знаний, то советуем начать читать Cisco press. Это то, что вам совершенно точно понадобится знать. В следующей части всё будет уже по-взрослому, с видео, мы будем учиться подключаться к оборудованию, разбираться с интерфейсом и расскажем, что делать нерадивому админу, забывшему пароль.

Оригинал статьи:

Теги