С межсетевого уровня поступает IP-дейтаграмма для передачи в физический канал (Ethernet), вместе с дейтаграммой передается, среди прочих параметров, IP-адрес узла назначения. Если в arp-таблице не содержится записи об Ethernet-адресе, соответствующем нужному IP-адресу, модуль arp ставит дейтаграмму в очередь и формирует широковещательный запрос. Запрос получают все узлы, подключенные к данной сети; узел, опознавший свой IP-адрес, отправляет arp-ответ (arp-response) со значением своего адреса Ethernet (см. рис.9). Полученные данные заносятся в таблицу, ждущая дейтаграмма извлекается из очереди и передается на инкапсуляцию в кадр Ethernet для последующей отправки по физическому каналу. Протокол ARP может поддерживать не только Ethernet, но и другие типы физических сред.
Рис. 9
Следует отметить что события будут развиваться по вышеописанному сценарию в том случае если IP адрес получающей стороны находится в той же подсети что и IP адрес стороны, посылающей данные. В противном случае, передача пакета в другую IP подсеть осуществляется посредством маршрутизатора.
3.2.11 Работа протокола ARP совместно с протоколом IP
Дейтаграмма, направленная во внешнюю (в другую) подсеть, должна быть передана маршрутизатору. Предположим, хост А отправляет дейтаграмму хосту В через маршрутизатор G. Несмотря на то, что в заголовке дейтаграммы, отправляемой из А, в поле “Destination” указан IP-адрес В, кадр Ethernet, содержащий эту дейтаграмму, должен быть доставлен маршрутизатору. Это достигается тем, что IP-модуль при вызове ARP-модуля передает тому вместе с дейтаграммой в качестве IP-адреса узла назначения адрес маршрутизатора, извлеченный из таблицы маршрутов. Таким образом, дейтаграмма с адресом В инкапсулируется в кадр с MAC-адресом G (см. рис.10а). Модуль Ethernet на маршрутизаторе G получает из сети этот кадр, так как кадр адресован ему, извлекает из кадра данные (то есть дейтаграмму) и отправляет их для обработки модулю IP. Модуль IP обнаруживает, что дейтаграмма адресована не ему, а хосту В, и по своей таблице маршрутов определяет, куда ее следует переслать. Далее дейтаграмма опять опускается на нижний уровень, к соответствующему физическому интерфейсу, которому передается в качестве IP-адреса узла назначения адрес следующего маршрутизатора, извлеченный из таблицы маршрутов, или сразу адрес хоста В, если маршрутизатор G может доставить дейтаграмму непосредственно к нему (см. рис.10б).
Рис. 10а
Рис. 10б
3.3 Технология VLAN. Протокол STP
3.3.1 Введение
Коммутация в локальных сетях (ЛВС) является одной из основ происходящего сегодня перехода к использованию технологий следующего поколения. Традиционные ЛВС рассчитаны на совместное использование ресурсов пользователями небольшого числа станций (обычно до 50). К числу разделяемых ресурсов относятся файлы и периферийные устройства (принтеры, модемы и т. п.). Поскольку картина трафика в таких сетях имеет ярко выраженный взрывной характер, использование разделяемой между всеми пользователями полосы может приводить к существенному замедлению работы. Стандарты Ethernet и token ring регулируют доступ сетевых устройств к разделяемой среде передачи. Когда одно из устройств передает данные в сеть, все остальные должны ждать окончания передачи, не делая попыток передать в сеть свои данные.
Такая схема разделения доступа к среде очень эффективна в небольших сетях, используемых для совместного использования файлов или принтеров. Сегодня размер и сложность локальных сетей значительно возросли, а число устройств измеряется тысячами. В сочетании с ростом потребностей пользователей недетерминистический характер традиционных сетевых архитектур (таких как Ethernet и token ring) начал ограничивать возможности сетевых приложений. Коммутация ЛВС является популярной технологией, способной продлить жизнь существующих ЛВС на базе Ethernet и token ring. Преимущества коммутации заключаются в сегментировании сетей - делении их на более мелкие фрагменты со значительным снижением числа станций в каждом сегменте. Изоляция трафика в небольшом сегменте приводит к многократному расширению доступной каждому пользователю полосы, а поддержка виртуальных ЛВС (VLAN) значительно повышает гибкость системы.
Коммутационные устройства относятся ко второму (канальному) уровню модели OSI. Среди них можно выделить следующие:
• Концентратор (hub) – просто повторяет полученный кадр на всех своих портах, кроме того, из которого этот кадр пришел.
• Коммутатор (switch) - считывает MAC адрес источника входящего фрейма и сохраняет эту информацию в таблице коммутации. Эта таблица содержит MAC адреса и номера портов, связанных с ними. Далее, коммутатор проверяет MAC адрес назначения фрейма и немедленно смотрит в таблицу коммутации. Если коммутатор нашел соответствующий адрес, он копирует фрейм только в этот порт. Если он не может найти адрес, он копирует фрейм во все порты.
• Мост (bridge). Разница между мостом и коммутатором состоит в том, что мост в каждый момент времени может осуществлять передачу кадров только между одной парой портов, а коммутатор одновременно поддерживает потоки данных между всеми своими портами. Другими словами, мост передает кадры последовательно, а коммутатор параллельно. Следует отметить, что в последнее время локальные мосты полностью вытеснены коммутаторами. Мосты используются только для связи локальных сетей с глобальными, то есть как средства удаленного доступа, поскольку в этом случае необходимость в параллельной передаче между несколькими парами портов просто не возникает.
Ниже показан пример таблицы коммутации для коммутатора с поддержкой технологии VLAN. В первом поле каждой записи указан номер VLAN, к которой принадлежит MAC-адрес получателя, во втором поле непосредственно сам MAC-адрес, и в третьем поле указан номер порта, в который необходимо передать кадр в случае адресации его на тот или иной MAC-адрес.
VLAN | Destination MAC | Destination Ports or VCs |
1 | 00-60-2f-9d-a9-00 | 3 |
1 | 00-b0-2f-9d-b1-00 | 3 |
1 | 00-60-2f-86-ad-00 | 1 |
1 | 00-c0-0c-0a-bd-4b | 4 |
1 | 00-11-2f-cc-da-a6 | 6 |
Методы коммутации
В настоящее время, в аппаратуре вторго уровня OSI используются следующие методы коммутации.
Коммутация "на лету" (On-the-fly) или "сквозная пересылка" (Cut-through)
Во время коммутации "на лету" передача пакета в выходной порт начинается практически сразу после начала приема. Передача пакета в выходной порт начинается после получения заголовка пакета и прочтения МАС-адреса получателя, по которому определяется необходимый порт в соответствии с таблицей МАС-адресов. Таким образом, не тратится время на запись пакета в буфер, проверку контрольной суммы и размера пакета. К недостаткам таких коммутаторов, помимо отсутствия механизма определения ошибочных пакетов, относится невозможность поддержки интерфейсов, работающих с различными скоростями.
Коммутация с промежуточной буферизацией (Store-and-forward)
При использовании этого метода коммутатор должен принять пакет полностью, прежде чем он будет направлен в другой порт. Пакет записывается в буфер коммутатора. Вычисляется контрольная сумма для принятых пакетов, и при обнаружении несоответствия значений пакет отбрасывается как ошибочный. Кроме того, отбрасываются пакеты некорректных размеров (меньше 64 байтов и больше 1518 байтов). Заметим также, что этот метод позволяет создавать коммутаторы, интерфейсы которых могут работать с различными скоростями (например, 10 и 100 Мбит/с).
Бесфрагментная коммутация (Fragment-Free)
Этот метод является улучшенным вариантом коммутации "на лету". Основное отличие заключается в том, что при бесфрагментной коммутации передача пакета на выходной порт начинается лишь после приема первых 64 байтов пакета. В результате анализа этих 64 байтов можно обнаружить большинство ошибочных пакетов. Коммутаторы такого типа также не позволяют использовать в одном устройстве интерфейсы, работающие с различными скоростями.
Гибридная коммутация (Hybrid)
Некоторые коммутаторы способны поддерживать два или три метода коммутации. Для определения метода применительно к отдельно взятому пакету используются различные алгоритмы. Коммутаторы этого типа позволяют воспользоваться преимуществами любого из перечисленных методов.
3.3.2 Преимущества коммутации
Сегментирование сетей - деление их на более мелкие фрагменты со значительным снижением числа станций в каждом сегменте. Коммутаторы ЛВС сегментируют сеть - делят ее на меньшие сегменты, которые в свою очередь являются коллизионными доменами (collision domains) – частями сети, в которых происходит конкурентная борьба рабочих станций за среду передачи и соответственно возникают коллизии, а затем соединяют эти сегменты, давая им возможность связаться друг с другом. Путем сокращения числа узлов в сегменте сегментация сокращает число коллизий и увеличивает доступную пропускную способность в расчете на один узел. А путем соединения сегментов через коммутаторы формируется единая ЛВС с потенциальной пропускной способностью, во много раз превышающей пропускную способность первоначальной односегментной ЛВС. В настоящее время, как правило применяется микросегментация – метод, при котором с каждым порт коммутатора соединен не сегмент сети, а одна рабочая станция. Это позволяет использовать всю возможную пропускную способность сети, без конкуренции с другими рабочими станциями.
Также, использование коммутаторов дает возможность фильтрации кадров и использования различных классов обслуживания (потоки с более высоким классом обслуживания получают приоритет перед остальными).
3.3.3 Назначение и преимущества использования протокола STP
Основное предназначение STP (Spanning Tree Protocol)— удаление петель в топологии сети и автоматическое управление топологией сети с дублирующими каналами. Действительно, если сетевое оборудование связано для надежности избыточным числом соединений, то без принятия дополнительных мер, кадры будут доставляться получателю в нескольких экземплярах, что приведет к сбоям и возникновению широковещательных штормов (broadcast storm) в случае отправки широковещательных кадров. Следовательно, в каждый момент времени должен быть задействован только один из параллельных каналов, но при этом необходимо иметь возможность переключения при отказах или физическом изменении топологии. С этой задачей может вручную справиться администратор, однако более элегантным и экономичным решением, освобождающим от необходимости круглосуточного мониторинга состояния системы человеком, является использование STP.
Для своей работы STP строит граф, называемый также «деревом», создание которого начинается с корня (root). Корнем становится одно из STP-совместимых устройств, выигравшее выборы. Каждое STP-совместимое устройство (это может быть коммутатор, маршрутизатор или другое оборудование, но для простоты далее мы будем называть такое устройство мостом) при включении считает, что оно является корнем. При этом оно периодически посылает на все свои порты специальные блоки данных — Bridge Protocol Data Units (BPDU). Адрес получателя в пакетах, несущих BPDU, является групповым, что обеспечивает его пропуск неинтеллектуальным оборудованием.
В данном случае под адресом понимается MAC-адрес, так как протокол STP функционирует на уровне управления доступом к среде передачи (Media Access Control, MAC). Из этого также следует, что все дальнейшие рассуждения о STP и его уязвимостях не привязаны к какому-то одному методу передачи, т. е. в равной мере относятся к Ethernet, Token Ring и т. д.
Получив очередной BPDU от другого устройства, мост сравнивает полученные параметры со своими и, в зависимости от результата, перестает или продолжает оспаривать статус корня. В результате корнем становится устройство c наименьшим значением идентификатора моста (Bridge ID). Последний представляет собой комбинацию MAC-адреса и заданного для моста приоритета. Очевидно, что в сети с единственным STP-совместимым устройством оно и будет корнем.
Выбранный корень, или назначенный корневой мост (Designated Root Bridge, в соответствии с терминологией стандарта), не несет никакой дополнительной нагрузки — он всего лишь служит отправной точкой для построения топологии.
Для всех остальных мостов в сети определяется корневой порт (Root Port), т. е. ближайший к корневому мосту порт. От других портов, соединенных с корневым мостом непосредственно или через другие мосты, он отличается своим идентификатором — комбинации из его номера и задаваемым администратором «веса».
На процесс выборов влияет и стоимость пути до корня (Root Path Cost) — она складывается из стоимости пути до корневого порта данного моста и стоимости путей до корневых портов мостов по всему маршруту до корневого моста. Эта стоимость может определяться временем передачи по линку, а также стоимостью портов, через которые происходит передача. Стоимость портов может задаваться вручную администратором.
Помимо выделенного корневого моста в STP вводится логическое понятие назначенного моста (Designated Bridge) — владелец этого статуса считается главным в обслуживании данного сегмента локальной сети. Статус назначенного моста также выборный и может переходить от одного устройства к другому.
Аналогичным образом вводится логическое понятие выборного назначенного порта (Designated Port, он обслуживает данный сегмент сети), а для него — понятие соответствующей стоимости пути (Designated Cost).
После окончания всех выборов наступает фаза стабильности, характеризуемая следующими условиями.
1. В сети только одно устройство считает себя корнем, а остальные периодически анонсируют его как корень.
2. Корневой мост регулярно посылает на все свои порты пакеты с BPDU. Интервал времени, через который происходит рассылка, называется интервалом приветствия (Hello Time).
3. В каждом сегменте сети имеется единственный назначенный порт, через который происходит обмен трафиком с корневым мостом. Он имеет наименьшее значение стоимости пути до корня по сравнению с другими портами в сегменте. При равенстве этой величины в качестве назначенного выбирается порт с наименьшим идентификатором порта (MAC-адрес порта и его приоритет).
4. BPDU принимаются и отправляются STP-совместимым устройством на всех его портах, даже на тех, которые были "отключены" в результате работы STP. Однако BPDU не принимаются на портах, которые были "отключены" администратором.
5. Каждый мост осуществляет пересылку (Forwarding) пакетов только между корневым портом и назначенными портами соответствующих сегментов. Все остальные находятся в блокированном состоянии (Blocking).
Как следует из последнего пункта, STP управляет топологией путем изменения состояния портов, которое может принимать следующие значения:
· блокирован (Blocking). Порт заблокирован, однако, в отличие от пользовательских кадров, кадры с пакетами STP (BPDU) принимаются и обрабатываются;
· ожидает (Listening). Первый этап подготовки к состоянию пересылки. В отличие от пользовательских кадров, кадры с пакетами STP (BPDU) принимаются и обрабатываются. Обучения не происходит, так как в этот период в таблицу коммутации может попасть недостоверная информация;
· обучается (Learning). Второй этап подготовки к состоянию пересылки. Кадры с пакетами STP (BPDU) принимаются и обрабатываются, а пользовательские кадры мост принимает для построения таблицы коммутации, но не пересылает данные;
· передает (Forwarding). Рабочее состояние портов, когда передаются как кадры с пакетами STP, так и кадры пользовательских протоколов.
· Отключен (Disabled). Порт не предпринимает никакой активности.
3.3.4 Основы технологий VLAN
Kроме своего основного назначения — повышения пропускной способности соединений в сети, коммутатор позволяет локализовать потоки информации, а также контролировать эти потоки и управлять ими с помощью механизма пользовательских фильтров. Однако пользовательский фильтр способен воспрепятствовать передаче кадров лишь по конкретным адресам, тогда как широковещательный трафик он передает всем сегментам сети. Таков принцип действия реализованного в коммутаторе алгоритма работы моста, поэтому сети, созданные на основе мостов и коммутаторов, иногда называют плоскими — из-за отсутствия барьеров на пути широковещательного трафика. Таким образом, мосты и коммутаторы делят коллизионные домены на части, с помощью сегментации, но при этом оставляют неизменным один общий широковещательный домен (broadcast domain - часть сети, в которой свободно распространяется широковещательный трафик).
Технология виртуальных локальных сетей (Virtual LAN, VLAN) позволяет преодолеть указанное ограничение. Виртуальной сетью называется группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов (см. рис.). Это означает, что непосредственная передача кадров между разными виртуальными сетями невозможна, независимо от типа адреса — уникального, группового или широковещательного. В то же время внутри виртуальной сети кадры передаются в соответствии с технологией коммутации, т. е. только на тот порт, к которому приписан адрес назначения кадра.
Виртуальные сети могут пересекаться, если один или несколько компьютеров включено в состав более чем одной виртуальной сети. На рисунке сервер электронной почты входит в состав виртуальных сетей 3 и 4, и поэтому его кадры передаются коммутаторами всем компьютерам, входящим в эти сети. Если же какой-то компьютер отнесен только к виртуальной сети 3, то его кадры до сети 4 доходить не будут, но он может взаимодействовать с компьютерами сети 4 через общий почтовый сервер. Данная схема не полностью изолирует виртуальные сети друг от друга — так, инициированный сервером электронной почты широковещательный шторм захлестнет и сеть 3, и сеть 4.
3.3.5 Типы VLAN
Сети VLAN могут быть определены по:
· Порту (наиболее частое использование)
· MAC адресу (очень редко)
· Идентификатору пользователя User ID (очень редко)
· Сетевому адресу (редко в связи с ростом использования DHCP)
В данном пособии мы подробно рассмотрим наиболее часто используемый тип VLAN – VLAN определенные на основе портов. При использовании VLAN на основе портов каждый порт коммутатора назначается в определённую VLAN, независимо от того, какой пользователь или компьютер подключен к данному порту. Это означает, что все пользователи, подключенные к этому порту, будут членами одной VLAN. Создание виртуальных сетей на основе группирования портов не требует от администратора большого объема ручной работы – достаточно каждому порту, находящемуся в одной VLAN, присвоить один и тот же идентификатор VLAN (VLAN ID). При применении данной технологии VLAN, каждому порту должен быть присвоен тип: tagged порт или untagged порт. Untagged порты – принадлежат только одной VLAN и через них никогда не проходят кадры других VLAN. В свою очередь tagged порты – могут принадлежать к нескольким VLAN. Они используются для обмена информацией между коммутаторами. Для различения кадров одной VLAN от другой при прохождении через tagged порт в заголовок каждого кадра ставится специальная метка – tag. Кроме данных двух типов портов существует еще термин транковый (trunk) порт. Транковый порт – понятие неоднозначное. В формулировке компании Cisco - это по сути tagged порт или вообще порт используемый транковыми протоколами. В формулировке других компаний (например 3Com, Allied Telesyn, HP) – это порт повышенной пропускной способности, в том числе несколько портов, объединенных в один виртуальный в целях повышения его пропускной способности. На рисунке показан пример использования транкового порта в локальной сети.
Термин «транковые протоколы», включает в себя все протоколы, используемые для создания и поддержания VLAN на коммутаторах. Именно с помощью этих протоколов портам коммутатора назначаются типы tagged и untagged, а также расставляются tag метки в заголовках кадров.
Рассмотрим несколько транковых протоколов подробнее. На сегодняшний день, наиболее распространенным и используемым транковым протоколом является технология IEEE 802.1Q. В виртуальных сетях, основанных на стандарте IEEE 802.1Q, информация о принадлежности передаваемых Ethernet-кадров к той или иной виртуальной сети встраивается в сам передаваемый кадр. Таким образом, стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети.
К кадру Ethernet добавляется метка (Tag) длиной 4 байта - такие кадры называют кадрами с метками (Tagged frame). Дополнительные биты содержат информацию по принадлежности кадра Ethernet к виртуальной сети и о его приоритете (см. рис.).
Добавляемая метка кадра включает в себя двухбайтовое поле TPID (Tag Protocol Identifier) и двухбайтовое поле TCI (Tag Control Information). Поле TCI, в свою очередь, состоит из полей Priority, CFI и VID. Поле Priotity длиной 3 бита задает восемь возможных уровней приоритета кадра. Поле VID (VLAN ID) длиной 12 бит является идентификатором виртуальной сети. Эти 12 бит позволяют определить 4096 различных виртуальных сетей, однако идентификаторы 0 и 4095 зарезервированы для специального использования, поэтому всего в стандарте 802.1Q возможно определить 4094 виртуальные сети. Поле CFI (Canonical Format Indicator) длиной 1 бит зарезервировано для обозначения кадров сетей других типов (Token Ring, FDDI), передаваемых по магистрали Ethernet, и для кадров Ethernet всегда равно 0. Изменение формата кадра Ethernet приводит к тому, что сетевые устройства, не поддерживающие стандарт IEEE 802.1Q (такие устройства называют Tag-unaware), не могут работать с кадрами, в которые вставлены метки, а сегодня подавляющее большинство сетевых устройств (в частности, сетевые Ethernet-контроллеры конечных узлов сети) не поддерживают этот стандарт. Поэтому для обеспечения совместимости с устройствами, поддерживающими стандарт IEEE 802.1Q (Tag-aware-устройства), коммутаторы стандарта IEEE 802.1Q должны поддерживать как традиционные Ethernet-кадры, то есть кадры без меток (Untagged), так и кадры с метками (Tagged). Входящий и исходящий трафики, в зависимости от типа источника и получателя, могут быть образованы и кадрами типа Tagged, и кадрами типа Untagged - только в этом случае можно достигнуть совместимости с внешними по отношению к коммутатору устройствами. Трафик же внутри коммутатора всегда образуется пакетами типа Tagged. Поэтому для поддержки различных типов трафиков и для того, чтобы внутренний трафик коммутатора образовывался из пакетов Tagged, на принимаемом и передающем портах коммутатора кадры должны преобразовываться в соответствии с предопределенными правилами.
3.3.6 Правила входящего порта (Ingress rules)
Рассмотрим более подробно процесс передачи кадра через коммутатор (см. рис.). По отношению к трафику каждый порт коммутатора может быть как входным, так и выходным. После того как кадр принят входным портом коммутатора, решение о его дальнейшей обработке принимается на основании предопределенных правил входного порта (Ingress rules). Поскольку принимаемый кадр может относиться как к типу Tagged, так и к типу Untagged, то правилами входного порта определяется, какие типы кадров должны приниматься портом, а какие отфильтровываться. Возможны следующие варианты: прием только кадров типа Tagged, прием только кадров типа Untagged, прием кадров обоих типов. По умолчанию для всех коммутаторов правилами входного порта устанавливается возможность приема кадров обоих типов. Если правилами входного порта определено, что он может принимать кадр Tagged, в котором имеется информация о принадлежности к конкретной виртуальной сети (VID), то этот кадр передается без изменения. А если определена возможность работы с кадрами типа Untagged, в которых не содержится информации о принадлежности к виртуальной сети, то прежде всего такой кадр преобразуется входным портом коммутатора к типу Tagged (напомним, что внутри коммутатора все кадры должны иметь метки о принадлежности к виртуальной сети). Чтобы такое преобразование стало возможным, каждому порту коммутатора присваивается уникальный PVID (Port VLAN Identifier), определяющий принадлежность порта к конкретной виртуальной сети внутри коммутатора (по умолчанию все порты коммутатора имеют одинаковый идентификатор PVID=1). Кадр типа Untagged преобразуется к типу Tagged, для чего дополняется меткой VID (см. рис.). Значение поля VID входящего Untagged-кадра устанавливается равным значению PVID входящего порта, то есть все входящие Untagged-кадры автоматически приписываются к той виртуальной сети внутри коммутатора, к которой принадлежит входящий порт.
Правила продвижения пакетов (Forwarding Process)
После того как все входящие кадры отфильтрованы, преобразованы или оставлены без изменения в соответствии с правилами входящего порта, решение об их передаче к выходному порту основывается на предопределенных правилах продвижения пакетов. Правило продвижения пакетов внутри коммутатора заключается в том, что пакеты могут передаваться только между портами, ассоциированными с одной виртуальной сетью. Как уже отмечалось, каждому порту присваивается идентификатор PVID, который используется для преобразования принимаемых Untagged-кадров, а также для определения принадлежности порта к виртуальной сети внутри коммутатора с идентификатором VID=PVID. Таким образом, порты с одинаковыми идентификаторами внутри одного коммутатора ассоциируются с одной виртуальной сетью. Если виртуальная сеть строится на базе одного коммутатора, то идентификатора порта PVID, определяющего его принадлежность к виртуальной сети, вполне достаточно. Правда, создаваемые таким образом сети не могут перекрываться, поскольку каждому порту коммутатора соответствует только один идентификатор. В этом смысле создаваемые виртуальные сети не обладали бы такой гибкостью, как виртуальные сети на основе портов. Однако стандарт IEEE 802.1Q с самого начала задумывался для построения масштабируемой инфраструктуры виртуальных сетей, включающей множество коммутаторов, и в этом состоит его главное преимущество по сравнению с технологией образования VLAN на основе портов. Но для того, чтобы расширить сеть за пределы одного коммутатора, одних идентификаторов портов недостаточно, поэтому каждый порт может быть ассоциирован с несколькими виртуальными сетями, имеющими различные идентификаторы VID. Если адрес назначения пакета соответствует порту коммутатора, который принадлежит к той же виртуальной сети, что и сам пакет (могут совпадать VID пакета и VID порта или VID пакета и PVID порта), то такой пакет может быть передан. Если же передаваемый кадр принадлежит к виртуальной сети, с которой выходной порт никак не связан (VID пакета не соответствует PVID/VID порта), то кадр не может быть передан и отбрасывается.
Правила выходного порта (Egress rules)
После того как кадры внутри коммутатора переданы на выходной порт, их дальнейшее преобразование зависит от правил выходного порта. Как уже говорилось, трафик внутри коммутатора создается только пакетами типа Tagged, a входящий и исходящий трафики могут быть образованы пакетами обоих типов. Соответственно правилами выходного порта (правило контроля метки - Tag Control) определяется, следует ли преобразовывать кадры Tagged к формату Untagged. Каждый порт коммутатора может быть сконфигурирован как Tagged или Untagged Port. Если выходной порт определен как Tagged Port, то исходящий трафик будет создаваться кадрами типа Tagged с информацией о принадлежности к виртуальной сети. Следовательно, выходной порт не меняет тип кадров, оставляя их такими же, какими они были внутри коммутатора. К указанному порту может быть подсоединено только устройство, совместимое со стандартом IEEE 802.1Q, например коммутатор или сервер с сетевой картой, поддерживающей работу с виртуальными сетями данного стандарта. Если же выходной порт коммутатора определен как Untagged Port, то все исходящие кадры преобразуются к типу Untagged, то есть из них удаляется дополнительная информация о принадлежности к виртуальной сети. К такому порту можно подключать любое сетевое устройство, в том числе коммутатор, не совместимый со стандартом IEEE 802.1Q, или ПК конечных клиентов, сетевые карты которых не поддерживают работу с виртуальными сетями этого стандарта. Конфигурирование виртуальных сетей стандарта IEEE 802.1Q Рассмотрим конкретные примеры конфигурирования виртуальных сетей стандарта IEEE 802.1Q. Чтобы сформировать VLAN-сеть в соответствии со стандартом IEEE 802.1Q, необходимо проделать следующие действия:
· задать имя виртуальной сети (например, VLAN#1) и определить ее идентификатор (VID);
· выбрать порты, которые будут относиться к данной виртуальной сети;
· задать правила входных портов виртуальной сети (возможность работы с кадрами всех типов, только с кадрами Untagged или только с кадрами Tagged);
· установить одинаковые идентификаторы PVID портов, входящих в виртуальную сеть;
· задать для каждого порта виртуальной сети правила выходного порта, сконфигурировав их как Tagged Port или Untagged Port.
Далее необходимо повторить вышеперечисленные действия для следующей виртуальной сети. При этом нужно помнить, что каждому порту можно задать только один идентификатор PVID, но один и тот же порт может входить в состав различных виртуальных сетей, то есть ассоциироваться одновременно с несколькими VID.
Рассмотренные примеры виртуальных сетей относились к так называемым статическим виртуальным сетям (Static VLAN), в которых все порты настраиваются вручную, что хотя и весьма наглядно, но при развитой сетевой инфраструктуре является довольно рутинным делом. Кроме того, при каждом перемещении пользователей в пределах сети приходится производить перенастройку сети с целью сохранения их членства в заданных виртуальных сетях, а это, конечно, крайне нежелательно. Существует и альтернативный способ конфигурирования виртуальных сетей, а создаваемые при этом сети называются динамическими виртуальными сетями (Dynamic VLAN). В таких сетях пользователи могут автоматически регистрироваться в сети VLAN, для чего служит специальный протокол регистрации GVRP (GARP VLAN Registration Protocol). Этот протокол определяет способ, посредством которого коммутаторы обмениваются информацией о сети VLAN, чтобы автоматически зарегистрировать членов VLAN на портах во всей сети. Все коммутаторы, поддерживающие функцию GVRP, могут динамически получать от других коммутаторов (и, следовательно, передавать другим коммутаторам) информацию VLAN - регистрации, включающую данные об элементах текущей VLAN, о порте, через который можно осуществлять доступ к элементам VLAN и т. д. Для связи одного коммутатора с другим в протоколе GVRP используется сообщения GVRP BPDU (GVRP Bridge Protocol Data Units). Любое устройство с поддержкой протокола GVPR, получающее такое сообщение, может динамически подсоединяться к той сети VLAN, о которой оно оповещено.
Существует и еще один транковый протокол - протокол VTP (VLAN Trunk Protocol), который обеспечивает для каждого устройства (маршрутизатора или коммутатора локальной сети) возможность передачи анонсов в кадрах транкового порта. Эти кадры анонсирования передаются по групповым адресам и принимаются всеми соседними устройствами (но не пересылаются мостами, использующими стандартные процедуры). Анонсы содержат имя области управления (management domain) устройства, номер варианта конфигурации, список известных VLAN вместе с некоторыми их параметрами. Прослушивая эти анонсы, каждое устройство домена управления узнает обо всех новых VLAN, сконфигурированных на передающем анонс устройстве. Использование такого метода позволяет при создании или настройке VLAN проводить все операции на одном устройстве, а все остальные устройства управляемой области получат нужные сведения автоматически. Протокол VTP разработан компанией Cisco.
Ну и напоследок, следует упомянуть транковый протокол ISL Протокол ISL (Inter-Switch Link – межкоммутаторное соединение) используется для соединения коммутаторов Ethernet, поддерживающих VLAN и использующих среды Ethernet MAC и Ethernet. Пакеты в каналах ISL содержат стандартные кадры Ethernet, FDDI или Token Ring, а также связанную с кадром информацию VLAN. Кроме того, в кадре присутствует дополнительная информация. На рисунке показан формат заголовка кадра ISL.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 |
