Несмотря на большие функциональные возможности, и сравнительно не большую скорость, маршрутизаторы практически не применяются в локальных сетях. В них просто нет надобности, а большие потенциальные возможности обычно оборачиваются малой надежностью и сложностью в эксплуатации. Поэтому применять маршрутизацию желательно как можно реже, только в случаях, когда от нее невозможно отказаться.
Классический пример их использования в простых провайдинговых схемах - граница между локальной сетью и Интернет. Вот незаменимые преимущества маршрутизаторов в этой технологической нише:
- обеспечивает более высокий уровень локализации трафика, чем мост, так как позволяет фильтровать широковещательные кадры, не имеющие корректных адресов назначения (нет угрозы бродкастовых штормов);
- развитые возможности защиты от несанкционированного доступа из-за возможности использования фильтрации трафика на более высоких уровнях модели OSI (сетевом и транспортном);
- сеть, части которой соединены через маршрутизаторы, не имеют ограничений на число узлов;
- обеспечивают возможность настройки параметров качества (Quality of Service, QoS), настройку системы приоритетов, ширины полосы пропускания для каждого типа трафика;
- поддерживают основные протоколы динамической маршрутизации, такие как RIP, OSPF, BGP-4, IPX RIP/SAP, могут связывать несколько IP сетей одновременно;
Последняя возможность очень важна для построения действительно больших телекоммуникационных сетей со сложной, и часто многосвязной топологией. При этом задача максимально эффективной и быстрой доставки отправленного пакета решается совсем не просто. Распространены два основных алгоритма выбора наиболее выгодного пути и способа: RIP и OSPF.
При использовании протокола RIР, основным критерием выбора является минимальное число сетевых устройств между устройством-отправителем и получателем. Технически это просто реализуется, не требует существенных вычислительных ресурсов, и достаточно часто применяется в простых сетях.
Однако, понятно, что лучше 10 ретрансляторов на оптоволокне, чем одно модемное соединение. Поэтому при использовании RIP на практике появляется много дополнительных ограничений, серьезно затрудняющих управление.
OSPF лишен этих недостатков, поскольку который кроме числа "хопов" учитывает производительности сети, задержки при передаче пакета и т.п. критерии. Оборотной стороной, как обычно, является относительно высокая сложность управления, и требовательность к аппаратным ресурсам.
Производительность маршрутизаторов принято измерять в PPS (Packets Per Second), т.е. количество маршрутизируемых пакетов в секунду.
3.4 Пассивное оборудование
К пассивному сетевому оборудованию относится: кабели, патч-корды, различные розетки, кросс-панели, соединительные шнуры, кабельные разъёмы, модульные гнёза информационные розетки, а также монтажные шкафы используемые для размещения и защиты телекоммуникационного оборудования, коммутационных панелей и соединительных кабелей.
4. "Локальные" виртуальные соединения.
Рассмотрим подробнее "локальный" метод. По сути, он сводится к организации виртуальных сетей (иначе говоря, Virtual LAN, VLAN) "поверх" общего Ethernet'а при помощи специального активного оборудования ЛВС .
Существует несколько способов построения виртуальных сетей. Ниже приведены три наиболее распространенных:
- Группировка портов. Трафик каждого порта можно отнести к той, или иной виртуальной сети. Так же можно назначить на один порт несколько виртуальных сетей. При этом информация о таком VLAN содержится только непосредственно на коммутаторе, и по сети не передается.
- Группировка МАС-адресов. В этом случае кадр относится к какой-либо Vlan на основании МАС-адреса (по специальной таблице, заполняемой администратором сети).
- Использование дополнительных меток (тегов) в поле данных кадра Ethernet. При этом к кадру Ethernet добавляются два байта, которые содержат информацию по его принадлежности к Vlan, и о его приоритете (тремя битами кодируется до восьми уровней приоритета, 12 бит позволяют различать до 4096 Vlan, а один бит зарезервирован для обозначения кадров сетей других типов).
При одинаковом названии и области применения способы создания виртуальных сетей отличаются друг от друга кардинально, и требует рассмотрения в отдельных параграфах.
4.1 Организация VLAN с помощью тэгов.
Наиболее очевидным (но далеко не самым простым технически) способом разделения сетей будет присваивать каждому кадру Ethernet специальной метки (тэги), в соответствии с которым свитчи будут коммутировать их путь по сети. Для этого было придумано не мало корпоративных решений (ISL Cisco, VLT 3com), но в конце концов появился единый стандарт IEEE 802.1q, который в настоящее время можно считать общепринятым.
Тегированные кадры позволяют построить виртуальную сеть для каждого пользователя (или их группы). Связь между различными виртуальными сетями должна осуществляться на сервере (или коммутаторе 3-го уровня) посредством IP маршрутизации на 3-ем (сетевом) уровне модели OSI,
При этом создается полное ощущение, что каждый пользователь имеет свой свою выделенную линию (с негарантированной скоростью) до центрального узла, и подключен к отдельному сетевому адаптеру маршрутизатора.
Технически подобная схема выглядит следующим образом:
Каждый пользователь находится в своей, виртуальной сети (VLAN). Кадр, попадая от него в коммутатор, получает 2-х байтовую метку (тэг), которая назначена на данный порт. Он размещается в поле данных кадра Ethernet, из-за чего его длина увеличивается (и может быть неправильно обработана какими-либо устройствами). Далее кадр может пройти несколько свитчей, которые будут направлять его в соответствии с установленными правилами. В случае, если коммутатор не имеет функции распознавания тэгов, кадр будет обработан в соответствии с общими правилами коммутируемого Ethernet.
Можно выделить три типа порта. Входной, на котором тэги устанавливаются, выходной, на котором они убираются, и транковый, через который они передаются между активными устройствами (в одном физическом канале несколько виртуальных сетей). Таким образом может быть построена защищенная сеть очень больших размеров.
Нужно специально отметить, что имеется в виду именно транк (объединение) на уровне протокола. Дело в том, что такой термин может означать нечто совсем иное - а именно объединение портов в группу, для увеличения скорости передачи данных между двумя коммутаторами (или коммутатором и многопортовой сетевой картой). Такая линия с точки зрения пользователя выглядит как один более скоростной порт. Получается передача со скоростью 200, 300, 400... до 800 Мбит, соответственно, при объединении 2,3,4...8 портов.
Рис. 4.1.1 Виртуальные сети на основе тэгов
Что нужно для работы по такой привлекательной схеме? Всего-то поддержку устройствами стандарта IEEE 802.1q, или собственного корпоративного аналога. При этом двух байт, добавленных в кадр Ethernet, вполне хватает для распознавания "своих" данных (и не только для этого).
Следует отметить, что VLAN может быть настроен как вручную, так и фирменными средствами производителя оборудования. Например, Cisco использует протокол VTP, который служит для распространения информацией о виртуальных сетях. Он позволяет вести их базу централизовано, и распространять ее по технологии клиент-сервер.
4.2 VLAN'ы, использующие группировку портов.
Очевидно, что стоимость коммутатора в немалой части состоит из цены использованного программного обеспечения. При разработке устройства VLAN (как многие сложные протоколы работы) требуют высоких затрат. Можно на них идти (что неизбежно скажется на итоговой цене конечного продукта), можно обойтись меньшим, выпустив на рынок промежуточный вариант.
Пока вся сеть состоит только из одного такого устройства, механизм прекрасно работает. Имеет смысл даже представить большой коммутатор в виде нескольких более маленьких. А если нужно маршрутизировать разные сети через сервер - в него можно установить несколько реальных (физических) сетевых карт, соединить их реальными кабелями с реальными портами, прописать нужные Vlan. Только таким способом можно получить полностью изолированные "виртуальные" сети.
Рис. 4.2.1 Vlan, использующий группировку портов устройства.
Такое "экстравагантное" решение имеет вполне осмысленное экономическое обоснование - мощное управляемое устройство намного удобнее, и обычно дешевле, чем несколько более слабых. Да и пользователей в группы можно помещать удаленно, не производя физических переключений. Так что для небольшой офисной ЛВС такой инструмент может оказаться даже более удобным, чем Vlan на основе протоколов. Просто, надежно, достаточно безопасно и не дорого.
Однако для сети передачи данных (или даже крупной ЛВС), обеспечить работу пользователей в отдельных виртуальных сетях не удастся полностью. Но разумный компромисс возможен, особенно для сетей, имеющих явно выраженную "древовидную" структуру доступа к данным.
Рис. 6.3. Подключение пользователей через серверный порт.
Логика работы (но не алгоритм) при этом относительно запутанная, и часто зависит от производителя. В большинстве случаев все исходящие кадры (2-го сетевого уровня по модели OSI) пересылаются на единственный серверный порт, и оттуда уходят в сеть передачи данных.
Очевидно, что полной защиты пользователей друг от друга такая сеть не имеет. Тем не менее, с некоторыми допущениями можно сказать, что с помощью VLAN на основе группировки портов можно построить сеть, в которой абоненты не смогут обмениваться трафиком иначе, чем через сервер (шлюз).