Интеллектуальные коммутаторы

Министерство образования и науки Украины

 

ОДЕССКАЯ НАЦИОНАЛЬНАЯ АКАДЕМИЯ СВЯЗИ им. А.С. ПОПОВА

______________________________________________________________

КАФЕДРА СЕТЕЙ СВЯЗИ

 

 

МЕТОДИЧЕСКИЕ УКАЗАНИЯ

К ЛАБОРАТОРНОЙ РАБОТЕ № 5

 

нормативной дисциплины

 

“ Телекоммуникационные и информационные сети ”

 

образовательно-профессиональной программы подготовки бакалавров

по направлению высшего образования

 

 

 

 

Одесса – 2015


ЛАБОРАТОРНАЯ РАБОТА № 5

Анализ и настройка виртуальной сети с применением программного симулятора Cisco Packet Tracer

ЦЕЛЬ РАБОТЫ

1.1 Анализ функционирования сети с применением VLAN.

1.2 Приобретение практических навыков работы в программной оболочке Cisco Packet Tracer.

КЛЮЧЕВЫЕ ПОЛОЖЕНИЯ

 

Cуществует три основных метода передачи трафика в сетях пакетной передачи, это - Unicast, Broadcast и Multicast.

Каждый из этих трех методов передачи использует различные типы назначения МАС-адресов в соответствии с их задачами.

Unicast (юникаст)– процесс отправки пакета от одного хоста к другому хосту.

Multicast (мультикаст) – процесс отправки пакета от одного хоста к некоторой ограниченной группе хостов.

Broadcast (бродкаст) – процесс отправки пакета от одного хоста ко всем хостам в сети.

Широковещательный фрейм – это фрейм, где в поле Destination Address все биты равны единицы, или в 16-ом виде MAC-адрес будет равен: FF FF FF FF FF FF. И такой фрейм будет переправлен во все порты коммутатора, исключая того, с которого был получен данный фрейм. Все устройства и/или порты, которые получат эти широковещательные фреймы и называются – широковещательным доменом.

 

Широковещательный шторм

Широковещательный шторм неизбежен в сети, где возникла петля. По мере того, как все больше устройств отправляют широковещательные рассылки по сети, все больше трафика попадает в петлю и потребляет ресурсы. В конечном счете это создает широковещательный шторм, что приводит к сбоям в сети (см. рис. 2.1).

1. PC1 передает кадр широковещательной рассылки в сеть, где возникла петля.

2. Кадр широковещательной рассылки циклически передается между всеми соединенными друг с другом коммутаторами в сети.

3. PC4 тоже отправляет кадр широковещательной рассылки в сеть, где возникла петля.

4. Кадр широковещательной рассылки PC4 также попадает в петлю между всеми соединенными друг с другом коммутаторами, как и кадр широковещательной рассылки PC1.

5. По мере того, как все больше устройств отправляют широковещательные рассылки по сети, все больше трафика попадает в петлю и потребляет ресурсы. В конечном счете это создает широковещательный шторм, что приводит к сбоям в сети.

6. Когда сеть полностью насыщена трафиком широковещательной рассылки, который циклически передается между коммутаторами, новый трафик отбрасывается коммутатором, поскольку он не в состоянии его обработать.

 

 

Рисунок 2.1 – Широковещательный шторм

 

Поскольку устройства, подключенные к сети, регулярно отправляют кадры широковещательной рассылки, например, ARP-запросы, широковещательный шторм может возникать за считанные секунды. В результате при возникновении петли коммутируемая сеть быстро выходит из строя.

 

Широковещательный шторм возникает в случае, когда в петлю на 2 уровне попадает столько кадров широковещательной рассылки, что при этом потребляется вся доступная полоса пропускания. Соответственно, для легитимного трафика нет доступной полосы пропускания, и сеть становится недоступной для обмена данными. Описанная ситуация – эффективный отказ в обслуживании.

Широковещательные штормы также имеют и ряд других последствий. Поскольку трафик широковещательной рассылки пересылается из всех портов коммутатора, все подключенные устройства должны обрабатывать трафик широковещательной рассылки, лавинная рассылка которого выполняется бесконечно по сети, в которой возникла петля. Из-за этого могут возникать сбои в работе оконечного устройства ввиду высоких требований к обработке в целях поддержания высокой нагрузки трафика на сетевом адаптере.

Широковещательный фреймы (пакеты) необходимы для работы многих сетевых протоколов, таких как ARP, BOOTP или DHCP, с их помощью рабочая станция оповещает другие компьютеры о своем появлении в сети. Но широковещательные пакеты (фреймы) могут привести к насыщению полосы пропускания, особенно в крупных сетях.

Всем коммутируемым сетям присуще одно ограничение. Поскольку коммутатор не имеет дел с протоколами сетевого уровня, он не может знать, куда направлять их широковещательные пакеты. Хотя трафик с конкретными адресами (соединения “точка-точка”) изолирован парой портов, широковещательные пакеты (фреймы) передаются во всю сеть (на каждый порт).

Коммутаторы не могут создать надежные барьеры на пути ошибочного и нежелательного трафика. Также классическим примером такого трафика может служить трафик, создаваемый широковещательными пакетами некорректно работающего узла. Можно привести и другие ситуации, когда трафик нужно отфильтровывать по соображениям защиты данных от несанкционированного доступа.

У маршрутизаторов гораздо больше шансов решить проблему фильтрации трафика, так как они анализируют заголовки сетевого и при необходимости транспортного уровней и имеют гораздо больше информации для принятия решения. Но это со стороны масштабируемости и массового применения не оправдано очень дорогое решение.

Хотя до массового применения в сетях коммутаторов проблема возведения барьеров на пути нежелательного трафика решалась именно с помощью разделения сети на физически несвязные сегменты и объединения их с помощью маршрутизаторов (см. рис. 2.2).

 

Рисунок 2.2 – Сеть построена на основе концентраторов (hub) и маршрутизатора

Чтобы удешевить и упростить построение сетей разработчики коммутаторов внесли в решение проблемы "объединения-разъединения" новый механизм - ограничение области распространения широковещательного трафика путем организации небольшие широковещательных доменов или виртуальных ЛВС (Virtual LAN, VLAN). С появлением этой технологии отпала необходимость образовывать изолированные сегменты физическим путем (с помощью маршрутизатора) - его заменил программный (логический) способ, более гибкий и удобный.

Интеллектуальные коммутаторы

Кроме своего основного назначения – повышения пропускной способности связей – коммутатор позволяет строить изолированные на логическом уровне сегменты сети, потоки информации которых не пересекаются, а также контролировать эти потоки и управлять ими. Этими функциями наделен так называемый интеллектуальный (управляемый) коммутатор.

Организация логически изолированных сетевых сегментов получила название технологии виртуальных локальных сетей (Virtual LAN, VLAN).

Виртуальной сетью называется группа компьютеров сети, образующих сегмент, трафик которого полностью изолирован от компьютеров других сегментов сети. В то же время внутри виртуальной сети кадры передаются по технологии коммутации, то есть на тот порт, который связан с адресом назначения кадра.

Технология виртуальных сетей позволяет гибко реконфигурировать сеть (менять ее топологию) программным путем, не прибегая к физической реконструкции сети.

Виртуальные сети могут пересекаться, если один или несколько компьютеров входят в состав более чем одной виртуальной сети.

На рис. 2.3 сервер электронной почты входит в состав 1 и 2 виртуальных сетей. Это значит, что его кадры передаются коммутаторами всем компьютерам, входящим в эти сети. Если же какой-то компьютер входит в состав только виртуальной сети 1, то его кадры до сети 2 доходить не будут, но он может взаимодействовать с компьютерами сети 4 через общий почтовый сервер.

Рисунок 2.3 – Виртуальные сети

 

Технология виртуальных сетей отражена в стандарте IEEE 802.1Q, который определяет базовые правила построения виртуальных локальных сетей, не зависящие от протокола канального уровня, который поддерживает коммутатор.

 

IEEE 802.1Q - этот стандарт является открытым. Этот стандарт помечает тот или иной фрейм, который «привязан» к какому-то VLAN тэгированием.

Тэгирование это функция коммутатора (или любого другого устройства, которое «понимает» VLAN ), которая вставляет в фрейм ethernet некий тэг, состоящий из 4 байт. Процедура тэгирования не меняет данные заголовка, таким образом, оборудование, которое не поддерживает технологию VLAN, может без проблем передавать такой фрейм дальше по сети, сохраняя тэг.

 

 

Рисунок 2.5 – Структура фрейма, после вставки тэга VLAN

 

Исходя их рисунка, VLAN tag состоит из 4 полей:

- 2 байта Tag Protocol Identifier (TPID) — это идентификатор протокола, это 802.1Q, в 16-ом виде это поле будет выглядеть как: 0×8100.

- Priority — поле для задания приоритета по стандарту 802.1p. Размер этого поля составляет 3 бита (8 значений 0-7).

- Canonical Format Indicator (CFI). Индикатор канонического формата, размер этого поля составляет 1 бит. Это поле указывает на формат mac адреса (1 — кононический, 0 не канонический.)

- VLAN ID. Идентификатор VLAN. Размер поля 12 бит, может принимать значение от 0 до 4095.

 

При использовании VLAN (тэгирования) по стандарту 802.1Q вносятся изменения в фрейм, следовательно необходимо пересчитать FCS значение, что собственно и делается коммутатором.

В стандарте 802.1Q есть такое понятие как Native VLAN, по умолчанию Native VLAN ID равен единицы (у всех управляемых коммутаторах), Native VLAN характеризуется тем, что этот VLAN не тэгируется.

Также есть стандарт Inter-switch-link (ISL). Протокол, разработанный компанией Cisco и может использоваться только на своем оборудовании. Этот протокол был разработан еще до принятия 802.1Q. и в настоящее время ISL уже не поддерживается на новом оборудовании.

 

При создании виртуальных сетей на основе одного коммутатора обычно используется механизм группирования в сети портов коммутатора(рис. 2.4). При этом каждый порт приписывается той или иной виртуальной сети. Кадр, пришедший от порта, принадлежащего, например, виртуальной сети 1, никогда не будет передан порту, который не принадлежит этой виртуальной сети. Порт можно приписать нескольким виртуальным сетям, хотя на практике так делают редко – пропадает эффект полной изоляции сетей.

 

 

Рисунок 2.4 – Группирование портов коммутатора

 

Группировка портов для одного коммутатора – наиболее логичный способ образования VLAN, так как виртуальных сетей, построенных на основе одного коммутатора, не может быть больше, чем портов. Если к одному порту подключен сегмент, построенный на основе концентратора, то узлы такого сегмента не имеет смысла включать в разные виртуальные сети – все равно трафик этих узлов будет общим.

Создание виртуальных сетей на основе группирования портов не требует от администратора большого объема ручной работы – достаточно каждый порт приписать к одной из нескольких заранее поименованных виртуальных сетей. Обычно такая операция выполняется с помощью специальной программы, прилагаемой к коммутатору. Выполнение этой процедуры предусмотрено в данной лабораторной работе.

 

Второй способ образования виртуальных сетей основан на группировании МАС-адресов. В этом случае нужно помечать номерами виртуальных сетей все МАС-адреса, имеющиеся в таблицах каждого коммутатора. Группирование МАС-адресов в виртуальную сеть на каждом коммутаторе избавляет от необходимости их связи несколькими портами, так как в этом случае МАС-адрес является меткой виртуальной сети. При существовании в сети множества узлов этот способ требует выполнения большого количества ручных операций от администратора. Однако он оказывается более гибким при построении виртуальных сетей на основе нескольких коммутаторов, чем способ группирования портов.

Описанные два подхода основаны только на добавлении дополнительной информации к адресным таблицам моста, и в них отсутствует возможность встраивания информации о принадлежности кадра к виртуальной сети в передаваемый кадр.

Остальные подходы используют имеющиеся или дополнительные поля кадра для хранения информации о принадлежности кадра конкретной VLAN при его перемещениях между коммутаторами сети. Дополнительное поле с пометкой о номере виртуальной сети используется только тогда, когда кадр передается от коммутатора к коммутатору, а при передаче кадра конечному узлу оно удаляется. При этом модифицируется протокол взаимодействия «коммутатор - коммутатор», а программное и аппаратное обеспечение конечных узлов остается неизменным.

Для хранения номера виртуальной сети в стандарте IEEE 802.1Q предусмотрен дополнительный заголовок. В этом заголовке 12 бит используются для хранения номера VLAN, к которой принадлежит кадр. Эта дополнительная информация позволяет коммутаторам разных производителей создавать до 4096 общих виртуальных сетей. Чтобы кадр Ethernet не увеличивался в объеме, при добавлении заголовка поле данных уменьшается на 2 байта.

В случае использования коммутаторов 3-го уровня для создания VLAN могут быть использованы адреса сетевого уровня. В этом случае виртуальная сеть является обычной логической сетью (IP-сетью).

Технология VLAN, кроме всего прочего, позволяет решать частные задачи обеспечения безопасности в сети, а именно управление правами доступа пользователей. Для аутентификации пользователей создается некоторая дежурная VLAN, к которой считается прикрепленным любой пользователь при входе в сеть. Дежурная VLAN обеспечивает его связь с сервером аутентификации для ввода имени и пароля. Для каждого пользователя сервер хранит информацию о VLAN, доступ к которым ему разрешен. Эту информацию сервер загружает в коммутаторы, конфигурируя таким образом различные пути передачи кадров при работе пользователя в сети.

КЛЮЧЕВЫЕ ВОПРОСЫ

 

  1. Какие основные методы передачи трафика Вы знаете? Опишите их.
  2. Что такое широковещательный кадр?
  3. Что такое широковещательный шторм?
  4. Что представляют собой широковещательные домены на коммутаторе применительно к портам?
  5. Что представляют собой коллизионные домены на коммутаторе применительно к портам?
  6. Что такое виртуальные сети?
  7. Что лучше логическое разделение сетей иди физическое? И почему?
  8. Какой стандарт должен поддерживать коммутатор, чтоб на нем можно было построить виртуальные сети?
  9. Для чего применяется технология виртуальных сетей?
  10. По каким принципам можно создавать VLAN?
  11. Если компьютер в сети VLAN 1 отправляет широковещательное сообщение, какие устройства его получат (см. на рис. 2.1)?
  12. Если компьютер в сети VLAN 2 отправляет широковещательное сообщение, какие устройства его получат (см. на рис. 2.2)?
  13. Что происходит с кадром, отправленным с компьютера сети VLAN 1 на компьютер сети VLAN 2? (см. на рис. 2.2).

 

Домашнее задание

4.1 Ответьте на ключевые вопросам пункта 3.

4.2 Составьте план выполнения лабораторной работы, руководствуясь п.5.

 

 


Лабораторное задание