Плоская сеть. Введение в виртуальные Локальные Сети: (Virtual LAN). Иерархические и плоские сети

Еще одной новой проблемой, которую нужно учитывать при объединении трех и более компьютеров, является проблема их адресации, точнее адресации их сетевых интерфейсов. Один компьютер может иметь несколько сетевых интерфейсов. Например, для создания полносвязной структуры из N компьютеров необходимо, чтобы у каждого из них имелся N - 1 интерфейс.

По количеству адресуемых интерфейсов адреса можно классифицировать следующим образом:

Уникальный адрес (unicast) используется для идентификации отдельных интерфейсов;

Групповой адрес (multicast) идентифицирует сразу несколько интерфейсов, поэтому данные, помеченные групповым адресом, доставляются каждому из узлов,входящих в группу;

Данные, направленные по широковещательному адресу (broadcast), должны быть до ставлены всем узлам сети;

Адрес произвольной рассылки (anycast), определенный в новой версии протокола IPv6, так же, как и групповой адрес, задает группу адресов, однако данные, посланные по этому адресу, должны быть доставлены не всем адресам данной группы, а любому из них.

Адреса могут быть числовыми (например, 129.26.255.255 или 81.la.ff.fF) и символьными

(site.domen.ru, willi-winki) .

Символьные адреса (имена) предназначены для запоминания людьми и поэтому обычно несут смысловую нагрузку. Для работы в больших сетях символьное имя может иметь иерархическую структуру, например ftp-arch1 .ucl.ac.uk. Этот адрес говорит о том, что данный компьютер поддерживает ftp-архив в сети одного из колледжей Лондонского университета (University College London - ucl) и эта сеть относится к академической ветви (ас) Интернета Великобритании (United Kingdom - uk). При работе в пределах сети Лондонского университета такое длинное символьное имя явно избыточно и вместо него можно пользоваться кратким символьным именем ftp-arch 1. Хотя символьные имена удобны для людей, из-за переменного формата и потенциально большой длины их передача по сети не очень экономична.

Множество всех адресов, которые являются допустимыми в рамках некоторой схемы адресации, называется адресным пространством.

Адресное пространство может иметь плоскую (линейную) организацию (рис. 1) или иерархическую организацию (рис. 2). При плоской организации множество адресов никак не структурировано. Примером плоского числового адреса является МАС-адрес, предназначенный для однозначной идентификации сетевых интерфейсов в локальных сетях. Такой адрес обычно используется только аппаратурой, поэтому его стараются сделать по возможности компактным и записывают в виде двоичного или шестнадцатеричного числа, например 0081005е24а8. При задании МАС-адресов не требуется выполнение ручной работы, так как они обычно встраиваются в аппаратуру компанией-изготовителем, поэтому их называют также аппаратными адресами (hardware address). Использование плоских адресов является жестким решением - при замене аппаратуры, например сетевого адаптера, изменяется и адрес сетевого интерфейса компьютера.

При иерархической организации адресное пространство структурируется в виде вложенных друг в друга подгрупп, которые, последовательно сужая адресуемую область, в конце концов, определяют отдельный сетевой интерфейс. В показанной на рис. 2 трехуровневой структуре адресного пространства адрес конечного узла задается тремя составляющими: идентификатором группы (К), в которую входит данный узел, идентификатором подгруппы (I) и, наконец, идентификатором узла (и), однозначно определяющим его в подгруппе. Иерархическая адресация во многих случаях оказывается более рациональной, чем плоская. В больших сетях, состоящих из многих тысяч узлов, использование плоских адресов приводит к большим издержкам - конечным

узлам и коммуникационному оборудованию приходится оперировать таблицами адресов, состоящими из тысяч записей. В противоположность этому иерархическая система адресации позволяет при перемещении данных до определенного момента пользоваться только старшей составляющей адреса (например, идентификатором группы К), затем для дальнейшей локализации адресата задействовать следующую по старшинству часть (I)и в конечном счете - младшую часть (п).

Типичными представителями иерархических числовых адресов являются сетевые IP - и IPX-адреса. В них поддерживается двухуровневая иерархия, адрес делится на старшую часть - номер сети и младшую - номер узла. Такое деление позволяет передавать сообщения между сетями только на основании номера сети, а номер узла требуется уже после доставки сообщения в нужную сеть; точно так же, как название улицы используется почтальоном только после того, как письмо доставлено в нужный город.

На практике обычно применяют сразу несколько схем адресации, так что сетевой интерфейс компьютера может одновременно иметь несколько адресов-имен. Каждый адрес задействуется в той ситуации, когда соответствующий вид адресации наиболее удобен. А для преобразования адресов из одного вида в другой используются специальные вспомогательные протоколы, которые называют протоколами разрешения адресов. Пользователи адресуют компьютеры иерархическими символьными именами, которые автоматически заменяются в сообщениях, передаваемых по сети, иерархическими числовыми адресами. С помощью этих числовых адресов сообщения доставляются из одной сети в другую, а после доставки сообщения в сеть назначения вместо иерархического числового адреса используется плоский аппаратный адрес компьютера. Проблема установления соответствия между адресами различных типов может решаться как централизованными, так и распределенными средствами.

При централизованном подходе в сети выделяется один или несколько компьютеров (серверов имен), в которых хранится таблица соответствия имен различных типов, например символьных имен и числовых адресов. Все остальные компьютеры обращаются к серверу имен с запросами, чтобы по символьному имени найти числовой номер необходимого компьютера.

При распределенном подходе каждый компьютер сам хранит все назначенные ему адреса разного типа. Тогда компьютер, которому необходимо определить по известному иерархическому числовому адресу некоторого компьютера его плоский аппаратный адрес, посылает в сеть широковещательный запрос. Все компьютеры сети сравнивают содержащийся в запросе адрес с собственным. Тот компьютер, у которого обнаружилось совпадение, посылает ответ, содержащий искомый аппаратный адрес. Такая схема использована в протоколе разрешения адресов (Address Resolution Protocol, ARP) стека TCP/IP .

Достоинство распределенного подхода состоит в том, что он позволяет отказаться от выделения специального компьютера в качестве сервера имен, который, к тому же, часто требует ручного задания таблицы соответствия адресов. Недостатком его является необходимость широковещательных сообщений, перегружающих сеть. Именно поэтому распределенный подход используется в небольших сетях, а централизованный - в больших.

Конечной целью данных, пересылаемых по сети, являются не сетевые интерфейсы или компьютеры, а выполняемые на этих устройствах программы - процессы. Поэтому в адресе назначения наряду с информацией, идентифицирующей интерфейс устройства, должен указываться адрес процесса, которому предназначены посылаемые по сети данные.

Очевидно, что достаточно обеспечить уникальность адреса процесса в пределах компьютера. Примером адресов процессов являются номера портов TCP и UDP, используемые в стеке TCP/IP .

Введение в виртуальные Локальные Сети: (Virtual LAN)
В коммутируемых сетях уровня 2 сеть представляется "плоской" (см. рис.1). Любой широковещательный пакет пересылается всем устройствам, вне зависимости от того, нужно ли устройству принимать эти данные.

Поскольку коммутация на уровне 2 формирует отдельные домены конфликтов для каждого подключенного к переключателю устройства, снижаются ограничения на длину сегмента Ethernet, т.е. можно строить более крупные сети. Увеличение количества пользователей и устройств приводит к увеличению количества широковещательных рассылок и пакетов, обрабатываемых каждым устройством. Еще одной проблемой "плоской" коммутации уровня 2 является безопасность сети. Имейте в виду, что все пользователи "видят" все устройства. Нельзя отменить широковещательные рассылки в устройстве и ответы пользователей на эти рассылки. Увеличить уровень безопасности позволяет защита паролями серверов и других устройств. Создание виртуальной локальной сети VLAN помогает решить многие проблемы коммутации уровня 2, что и будет показано ниже.

Широковещательные рассылки свойственны любому протоколу, но их частота зависит от особенностей протокола, исполняемых в объединенной сети приложений и методов использования сетевых служб. Иногда приходится переписывать старые приложения, чтобы сократить количество широковещательных рассылок. Однако приложения нового поколения требовательны к полосе пропускания и занимают все ресурсы, которые обнаруживают. Мультимедийные приложения интенсивно пользуются широковещательными и многоадресными рассылками. На степень интенсивности широковещательных рассылок приложения влияют сбои оборудования, неадекватная сегментация и плохо разработанные брандмауэры. Во время проектирования сети рекомендуется принимать специальные меры, поскольку широковещательные рассылки распространяются по коммутируемой сети. По умолчанию маршрутизаторы возвращают такие рассылки только в исходную сеть, но переключатели направляют широковещательные рассылки во все сегменты. Именно поэтому сеть называется "плоской", ведь формируется единый домен широковещательных рассылок. Сетевой администратор обязан гарантировать правильность сегментации сети, чтобы проблемы отдельного сегмента не распространялись на всю сеть. Эффективнее всего сделать это с помощью коммутации и маршрутизации. Поскольку переключатель имеет лучшее отношение стоимости к эффективности, многие компании переходят от "плоских" сетей к сетям с полной коммутацией или к сетям VLAN. Все устройства сети VLAN являются членами одного широковещательного домена и получают все широковещательные рассылки. По умолчанию широковещательные рассылки фильтруются на всех портах переключателей, которые не являются членами одной сети VLAN. Маршрутизаторы, переключатели уровня 3 и модули коммутации путей RSM (route switch module) надо использовать совместно с переключателями, чтобы предоставить соединения между сетями VLAN и предотвращения распространения по всей сети широковещательных рассылок. Безопасность Еще одной проблемой плоских сетей является безопасность, что определяется соединением концентраторов и переключателей через маршрутизаторы. Защита сети обеспечивается маршрутизаторами. Однако любой человек, подключившийся к физической сети, получает доступ к ее ресурсам. Кроме того, пользователь может подключить сетевой анализатор к концентратору и наблюдать весь сетевой трафик. Дополнительная проблема связана с включением пользователя в рабочую группу - достаточно подключить сетевую станцию к концентратору. Использование VLAN и создание нескольких групп широковещательных рассылок позволит администратору управлять каждым портом и пользователем. Пользователи уже не смогут самостоятельно подключать свои рабочие станции к произвольному порту переключателя и получать доступ к сетевым ресурсам. Администратор контролирует каждый порт и все предоставляемые пользователям ресурсы. Группы формируются на основе требований пользователей к сетевым ресурсам, поэтому переключатель можно настроить на режим уведомления сетевой станции управления о любых попытках неавторизованного доступа к сетевым ресурсам. Если присутствуют коммуникации между сетями VLAN, можно реализовать ограничения на доступ через маршрутизаторы. Ограничения накладываются на аппаратные адреса, протоколы и приложения. Гибкость и масштабируемость Переключатель уровня 2 не фильтрует, а только читает кадры, поскольку не анализирует сведения протокола сетевого уровня. Это приводит к перенаправлению переключателем всех широковещательных рассылок. Однако создание сети VLAN формирует домены широковещательных рассылок. Эти рассылки из узла одной сети VLAN не будут направлены в порты другой сети VLAN. За счет присваивания коммутируемых портов и пользователей определенной группе VLAN одного переключателя или группы связанных переключателей (такая группа называется фабрикой коммутации - switch fabric) мы увеличиваем гибкость при добавлении пользователя только в один домен широковещательной рассылки, причем вне зависимости от физического местоположения пользователя. Это предотвращает распространение во всей объединенной сети шторма широковещательных рассылок при неисправности сетевого адаптера (NIC, network interface card) или приложения. Когда сеть VLAN становится очень большой, можно сформировать новые сети VLAN, не позволив широковещательным рассылкам занять слишком много полосы пропускания. Чем меньше пользователей в сети VLAN, тем на меньшее количество пользователей действуют широковещательные рассылки. Для понимания того, как VLAN выглядит с точки зрения переключателя, полезно сначала рассмотреть обычные локализованные магистрали. На рис. 2 показана локализованная магистраль (collapsed backbone), созданная за счет подключения физических локальных сетей к маршрутизатору. Каждая сеть подключена к маршрутизатору и имеет собственный логический номер сети. Каждый узел отдельной физической сети должен соблюдать этот сетевой номер для взаимодействия в полученной объединенной сети. Рассмотрим ту же схему на основе переключателя. Рис. 3 показывает, как переключатель устраняет физические границы взаимодействия в объединенной сети. Переключатель обладает большей гибкостью и масштабируемостью, чем маршрутизатор. Можно группировать пользователей в сообщества по интересам, что называется организационной структурой сети VLAN.

Использование переключателя вроде бы отменяет необходимость в маршрутизаторе. Это не так. На рис. 3 видны четыре сети VLAN (домены широковещательных рассылок). Узлы в каждой сети VLAN могут взаимодействовать друг с другом, но не с другими сетями VLAN или с их узлами. Во время конфигурации VLAN узлы должны находиться в пределах локализованной магистрали (см. рис. 2). Что же нужно хосту на рис. 2 для обращения к узлу "или хосту другой сети? Хосту необходимо обратиться через маршрутизатор или другое устройство уровня 3, как и при коммуникации внутри VLAN (см. рис. 3). Взаимодействие между сетями VLAN, как и между физическими сетями, должно проводиться через устройство уровня 3.

Членство в сети VLAN

Сеть VLAN обычно создается администратором, который присваивает ей порты переключателя. Такой способ называется статической виртуальной локальной, сетью (static VLAN) . Если администратор немного постарается и присвоит через базу данных аппаратные адреса всех хостов, переключатель можно настроить на динамическое создание сети VLAN. Статические сети VLAN Статические сети VLAN являются типичным способом формирования.таких сетей и отличаются высокой безопасностью. Присвоенные сети VLAN порты переключателей всегда сохраняют свое действие, пока администратор не выполнит новое присваивание портов. Этот тип VLAN легко конфигурировать и отслеживать, причем статические VLAN хорошо подходят для сетей, где контролируется перемещение пользователей. Программы сетевого управления помогут выполнить присваивание портов. Однако подобные программы использовать не обязательно. Динамические сети VLAN Динамические сети VLAN автоматически отслеживают присваивание узлов. Использование интеллектуального программного обеспечения сетевого управления допускает формирование динамических VLAN на основе аппаратных адресов (MAC), протоколов и даже приложений. Предположим, МАС-адрес был введен в приложение централизованного управления VLAN. Если порт будет затем подключен к неприсвоенному порту переключателя, база данных управления VLAN найдет аппаратный адрес, присвоит его и сконфигурирует порт переключателя для нужной сети VLAN. Это упрощает административные задачи по управлению и настройке. Если пользователь перемещается в другое место сети, порт переключателя будет автоматически присвоен снова в нужную сеть VLAN. Однако для первоначального наполнения базы данных администратору придется поработать.

Администраторы сетей Cisco могут пользоваться службой VMPS (VLAN Management Policy Server, сервер политики управления виртуальной локальной сетью) для установки базы данных МАС-адресов, которая используется при создании динамических сетей VLAN. VMPS - это база данных для преобразования МАС-адресов в сети VLAN.

Идентификация сетей VLAN Сеть VLAN может распространяться на несколько соединенных переключателей. Устройства в такой коммутационной фабрике отслеживает как сами кадры, так и их принадлежность определенной сети VLAN. Для этого выполняется маркирование кадров (frame tagging). Переключатели смогут направлять кадры в соответствующие порты. В такой среде коммутации существуют два разных типа связей: Связи доступа (Access link) Связи, принадлежащие только одной сети VLAN и считающиеся основной связью отдельного порта переключателя. Любое устройство, подключенное к связи доступа, не подозревает о своем членстве в сети VLAN. Это устройство считает себя частью широковещательного домена, но не подозревает о реальном членстве в физической сети. Переключатели удаляют всю информацию о VLAN еще до передачи кадра в связь доступа. Устройства на связях доступа не могут взаимодействовать с устройствами вне своей сети VLAN, если только пакеты не проходят через маршрутизатор. Магистральные связи (Trunk link) Магистральные линии способны обслуживать несколько сетей VLAN. Название этих линий заимствовано из телефонных систем, где магистральные линии способны одновременно передавать несколько телефонных переговоров. В компьютерных сетях магистральные линии служат для связи переключателей с переключателями, маршрутизаторами и даже с серверами. В магистральных связях поддерживаются только протоколы Fast Ethernet или Gigabit Ethernet. Для идентификации в кадре принадлежности к определенной сети VLAN, построенной на технологии Ethernet, переключатель Cisco поддерживает две разные схемы идентификации: ISL и 802. lq. Магистральные связи служат для транспорта VLAN между устройствами и могут настраиваться на поддержку всех или только нескольких сетей VLAN. Магистральные связи сохраняют принадлежность к "родной" VLAN (т.е. виртуальной локальной сети по умолчанию), которая используется при отказе магистральной линии.

Маркировка кадров

Переключателю объединенной сети необходимо отслеживать пользователей и кадры, которые проходят через коммутационную фабрику и сеть VLAN. Коммутационной фабрикой называют группу переключателей, совместно использующих одинаковую информацию о сети VLAN. Идентификация {маркировка) кадров предполагает присваивание кадрам уникального идентификатора, определенного пользователем. Часто это называют присваиванием VLAN ID или присваиванием цвета. Компания Cisco разработала метод маркировки кадров, используемый для передачи кадров Ethernet по магистральным связям. Маркер (тег) сети VLAN удаляется перед выходом кадра из магистральной связи. Любой получивший кадр переключатель обязан идентифицировать VLAN ID, чтобы определить дальнейшие действия с кадром на основе таблицы фильтрации. Если кадр попадает в переключатель, подключенный к другой магистральной связи, кадр направляется в порт этой магистральной линии. Когда кадр попадает в конец магистральной связи и должен поступить в связь доступа, переключатель удаляет идентификатор VLAN. Оконечное устройство получит кадр без какой-либо информации о сети VLAN.

Методы идентификации VLAN

Для отслеживания кадров, перемещающихся через коммутационную фабрику, используется идентификатор VLAN. Он отмечает принадлежность кадров определенной сети VLAN . Существует несколько методов отслеживания кадров в магистральных связях: Протокол ISL Протокол ISL (Inter-Switch Link - связи между переключателями) лицензирован для переключателей компании Cisco и используется только в линиях сетей FastEthernet и Gigabit Ethernet. Протокол может применяться к порту переключателя, интерфейсу маршрутизатора или интерфейсу сетевого адаптера на сервере, который является магистральным. Такой магистральный сервер пригоден для создания сетей VLAN, не нарушающих правила "80/20". Магистральный сервер одновременно является членом всех сетей VLAN (доменов широковещательных рассылок). Пользователям не нужно пересекать устройство уровня 3 для доступа к серверу, совместно используемому в организации. IEEE 802.1q Протокол создан институтом IEEE в качестве стандартного метода маркирования кадров. Протокол предполагает вставку в кадр дополнительного поля для идентификации VLAN. Для создания магистральной связи между коммутируемыми линиями Cisco и переключателем другого производителя придется использовать протокол 802.lq, который обеспечит работу магистральной связи. LANE Протокол эмуляции локальной сети LANE (LAN emulation) служит для взаимодействия нескольких VLAN поверх ATM. 802.10 (FDDI) Позволяет пересылать информацию VLAN поверх FDDL. Использует поле SAID в заголовке кадра для идентификации VLAN. Протокол лицензирован для устройств Cisco. Протокол ISL Протокол ISL (Inter-Switch Link) является способом явного маркирования информации о VLAN в кадрах Ethernet. Маркировка позволяет мультиплексировать VLAN в магистральных линиях с помощью внешнего метода инкапсуляции. За счет LSL можно обеспечить межсоединения нескольких переключателей при сохранении информации о VLAN, причем при перемещении трафика как через переключатель, так и по магистральной связи. Протокол ISL характеризуется небольшой задержкой и высокой производительностью на уровне линий связи для FastEthernet в полу и полнодуплексном режиме. Протокол ISL разработан компанией Cisco, поэтому ISL считают лицензионным только для устройств Cisco. Если необходим нелицензионный протокол для VLAN, используйте 802.lq (см. в книге CCNP: Switching Study Guide). ISL является внешним процессом маркирования, т.е. исходный кадр никак не изменяется, но дополняется новым 26-байтным заголовком ISL. Кроме того, в конец кадра вставляется второе 4-байтное поле проверочной последовательности кадра FCS (frame check sequence). Поскольку кадр инкапсулируется, прочитать его смогут только устройства, поддерживающие протокол ISL. Кадры не должны превышать 1522 байтов. Получившее кадр ISL устройство может посчитать этот кадр слишком большим, учитывая, что в Ethernet максимальная длина сегмента равна 1518 байт. В портах нескольких VLAN (магистральные порты) каждый кадр маркируется при поступлении в переключатель. Сетевой адаптер (NIC, network interface card), поддерживающий протокол ISL, позволяет серверу получать и отправлять маркированные кадры для нескольких сетей VLAN. Причем кадры могут проходить по нескольким VLAN без пересечения маршрутизатора, что снижает задержку. Такая технология может использоваться в сетевых зондах и анализаторах. Пользователь сможет подключиться к серверу, не пересекая маршрутизатор при каждом обращении к любому информационному ресурсу. Например, сетевой администратор может п ользоваться технологией ISL для одновременного включения файлового сервера в несколько сетей VLAN.Важно понять, что информация протокола ISL о VLAN добавляется в кадр только при перенаправлении в порт, настроенный на режим магистральной связи. Инкапсуляция ISL удаляется из кадра, как только он попадает в связь доступа. Магистральные связи Магистральные линии являются соединениями "точка-точка" на скорости 100- или 1000 Мбит/с между двумя переключателями, между переключателем и маршрутизатором или между переключателем и сервером. Магистральные связи способны доставлять трафик в несколько сетей VLAN (одновременно поддерживается от 1 до 1005 сетей). Не допускается работа магистральных связей в линиях 10 Мбит /с. Магистральная связь позволяет одновременно сделать порт членом нескольких сетей VLAN, чтобы, например, магистральный сервер смог одновременно находиться в двух широковещательных доменах. Пользователи смогут не пересекать устройство уровня 3 (маршрутизатор) при входе и использовании сервера. Кроме того, при соединении переключателей магистральная связь позволит переносить по линии отдельную или всю информацию VLAN. Если не сформировать магистральную связь между переключателями, то по умолчанию эти устройства смогут передавать по связи только информацию одной сети VLAN. Все сети VLAN конфигурируются с магистральными связями, если только они не создаются администратором вручную. Переключатели Cisco используют протокол DTP (Dynamic Trunking Protocol, протокол динамических магистральных взаимодействий) для управления отказом от магистрального режима в программном двигателе переключателя Catalyst версии 4.2 или выше и использования протокола ISL или 802.lq. DTP - это протокол "точка-точка", который создан для передачи информации о магистральных связях по магистральным линиям 802. lq.

B последние годы специалисты в области локальных сетей все чаще склоняются к тому, что сети с сотнями, тысячами или даже десятками тысяч узлов должны быть структурированы в соответствии с иерархической моделью, превосходство которой перед плоской, неиерархической, моделью кажется убедительным.

Казалось бы, после замены медленных маршрутизаторов на более производительные коммутаторы третьего уровня ничто больше не сможет помешать распространению этой модели. Однако удешевление коммутаторов способствует выбору в пользу решений полностью на базе второго уровня. Преимущества структурированных сетей при этом игнорируются.

ПРЕИМУЩЕСТВА ИЕРАРХИЧЕСКОЙ МОДЕЛИ

В иерархической модели вся сеть делится на несколько уровней, работа с которыми производится по отдельности. Это весьма облегчает постановку задач при проектировании, поскольку каждый отдельный уровень можно реализовать в соответствии со специфическими требованиями определенной области охвата. Уменьшение размеров подсетей позволяет добиться снижения числа коммуникационных связей каждого конечного устройства. Так, например, широковещательные «штормы» быстро растут вместе с увеличением числа систем в плоской сети.

Ответственность за обслуживание отдельных подобластей сетевого дерева в иерархической модели легко делегируется без каких-либо серьезных проблем с интерфейсом, что невозможно в случае плоской сети. Кроме того, наглядность сетевой структуры в случае иерархической модели также оправдывает себя при поиске ошибок. При иерархическом построении сети различного рода изменения реализовать гораздо проще, поскольку, как правило, они затрагивают лишь часть системы. В плоской же модели они способны повлиять на всю сеть. Это обстоятельство значительно упрощает наращивание иерархических сетей: оно реализуется добавлением новой сетевой области к существующему уровню или следующего уровня без необходимости перекройки всей структуры.

ОТ МАРШРУТИЗАЦИИ К КОММУТАЦИИ НА ТРЕТЬЕМ УРОВНЕ

Долгое время успешному распространению иерархической схемы построения сети мешали высокая стоимость и низкая производительность имеющихся устройств. Классические маршрутизаторы не могли соперничать с коммутаторами второго уровня ни по скорости передачи пакетов, ни по стоимости портов. Реализация необходимой комбинации маршрутизации и коммутации второго уровня на практике оказалась проблематичной. Поэтому на многих предприятиях выбор для коммуникаций в пределах подсетей IP или виртуальных локальных сетей (Virtual Local Area Network, VLAN) был сделан в пользу комбинированной коммутации кадров второго уровня и АТМ. Между тем высокопроизводительного оборудования для коммуникаций по IP между виртуальными сетями не было. Оно наконец-то стало доступным с появлением коммутации на третьем уровне (с исправлением первоначальных недостатков ее можно теперь считать вполне зрелой).

Коммутаторы третьего уровня осуществляют маршрутизацию каждого пакета в отдельности с помощью специализированных интегральных схем (Applications Specific Integrated Circuit, ASIC), при этом они анализируют содержимое пакетов и принимают решения о выборе пути на основе информации с более высоких уровней. Коммуникация между VLAN происходит так же быстро, как и внутри, т. е. с максимальной пропускной способностью сети. На рынке уже появились продукты со скоростью передачи до 100 млн пакетов в секунду.

Замена имеющихся маршрутизаторов на коммутаторы третьего уровня осуществляется очень просто: заменить требуется только соответствующие устройства. Все навыки и потенциал ноу-хау, накопленный за годы эксплуатации маршрутизаторов, могут быть использованы в дальнейшей работе.

Коммутаторы второго и третьего уровней в настоящее время мало чем отличаются друг от друга в плане производительности, поэтому вопрос выбора типа устройства зависит - наряду с функциональностью - от стоимости портов. Вместе с тем, даже несмотря на заметное удешевление коммутаторов третьего уровня, простые коммутаторы второго уровня по-прежнему стоят намного меньше. Тем самым область применения первых - главным образом сетевые магистрали, а последних - рабочие группы.

ЧЕТКОЕ ЛОКАЛЬНОЕ ПОДЧИНЕНИЕ

Связанная с коммутацией второго уровня технология виртуальных локальных сетей появилась вследствие стремления свести к минимуму коммуникации между подсетями IP, поскольку они осуществляются по медленным соединениям с маршрутизаторами. Увеличить долю коммуникаций внутри VLAN и снизить таковую между VLAN можно путем отображения на виртуальные локальные сети подсетей IP и выделенных организационных структур. При этом одна и та же подсеть может распространяться на несколько зданий - как правило, для виртуальных локальных сетей география не имеет никакого значения.

Рисунок 2. Избыточная сеть второго/третьего уровня.

Коммутация третьего уровня все же дает шанс на последовательное претворение в жизнь иерархических принципов построения сети. Тем самым особое значение снова приобретает вопрос о так называемом плоском или иерархическом подходе. Логическая структура плоской неструктурированной сети соответствует представленной на Рисунке 1 схеме. Связь между местоположением конечных устройств и их IP-адресами отсутствует. Третий октет IP-адреса (на рисунке: «1», «2» или «3») не дает никакой информации о расположении конечного устройства.

Альтернативой может быть инфраструктура третьего уровня в ядре сети с подключенными коммутаторами второго уровня, возможно, так, как это представлено на Рисунке 2. Структурированная сеть соответствует изображенной на Рисунке 3 логической схеме, в которой отчетливо прослеживается зависимость между местоположением конечных устройств и их IP-адресами. Третий октет IP-адреса дает точную информацию о том, где находится конечное устройство. В четвертом и последнем октете указываются конкретные конечные устройства.

Рисунок 3. Логическая структура сети третьего уровня.

СТРУКТУРИРОВАННЫЕ СЕТИ ВТОРОГО/ТРЕТЬЕГО УРОВНЕЙ

При исследовании достоинств и недостатков рассматриваемых топологий все-таки можно найти один значительный позитивный аспект плоских сетей второго уровня: при перемещениях оборудования не требуется менять IP-адреса и не надо перенастраивать приложения, в которых IP-адреса используются в качестве идентификационных признаков.

Однако этому можно противопоставить целый ряд преимуществ структурированных сетей второго/третьего уровня:

• отсутствие отрицательных последствий потенциального дублирования IP-адресов для всей сети в целом;
• разделение доменов широковещательной рассылки и, тем самым, значительное снижение нагрузки на конечные устройства;
• повсеместное соответствие адресов сетевого уровня зданиям и коммутаторам: «говорящие» адреса облегчают локализацию возникающих ошибок;
• возможность реализации функций безопасности на границах между подсетями;
• обеспечение нужного качества сервиса на сетевом и транспортном уровнях, например путем определения приоритета для некоторых приложений;
• более эффективное управление широковещательными рассылками благодаря применению маршрутизации широковещательного трафика в коммутаторах третьего уровня;
• значительное сокращение времени, необходимого для обеспечения сходимости при реализации избыточных соединений. К примеру, при первоочередном выборе кратчайшего маршрута (Open Shortest Path First, OSPF) для этого понадобится всего несколько секунд, в то время как протоколу Spanning Tree - от 40 до 50 с. На уровне подсетей IP в качестве механизма избыточности для маршрутизатора по умолчанию можно применять протокол маршрутизатора «горячего» резерва/виртуальный протокол избыточной маршрутизации (Hot Standby Router Protocol/Virtual Router Redundancy Protocol, HSRP/VRRP).

КОНКУРИРУЮЩИЕ ПОДХОДЫ К ДИЗАЙНУ

Структурированная сеть второго/третьего уровня, по-видимому, лучше всего подходит для обеспечения безопасной и стабильной работы даже в крупных сетях. К таким выводам приходят практически все архитекторы сетей, однако в последнее время немало приверженцев получают новый подход к дизайну сети, в основу которого положены исключительно коммутаторы второго уровня. Это связано с тем, что многие предприятия вынуждены искать возможности для уменьшения инвестиций, в том числе и в локальные сети.

Подобные концепции базируются преимущественно на применении недорогих коммутаторов второго уровня и заключаются в составлении из них, к примеру, кольцевой структуры. Механизм реализации избыточности в кольцевых структурах опирается на протокол Rapid Spanning Tree. Этот подход поддерживается стандартом IEEE 802.1w, где определена быстрая реконфигурация покрывающего дерева, целью разработки которого было сокращение до нескольких секунд времени сходимости протокола Spanning Tree, пользующегося за свою медлительность дурной славой.

Подобные «недорогие» схемы, где модель иерархической сетевой структуры остается за бортом, на первый взгляд выглядят привлекательными: экономия исчисляется в десятках процентов. Однако умеренный скепсис не повредит. Дешевые коммутаторы второго уровня должны иметь стабильные коды для поддержки Rapid Spanning Tree. Однако это кажется очень смелым предположением с учетом того, сколько времени потребовалось, чтобы исходный алгоритм стал работать более-менее стабильно. К тому же нельзя забывать, что малое значение времени сходимости при наличии избыточных соединений - всего лишь одна из причин, по которым применяется инфраструктура третьего уровня. А как же тогда «говорящие» IP-адреса, защита от ошибочно заданных адресов, сокращение широковещательного трафика и более эффективное управление широковещательным трафиком в сетях на третьем уровне?

При такой точке зрения ценовый аспект приобретает относительный характер, ведь, в конце концов, эти два подхода к сетевому дизайну нельзя сравнивать. Конечно же, полностью избыточный дизайн с топологией «двойная звезда» стоит гораздо больше каскадной структуры с недорогими компонентами. Впрочем, проект сети с применением устройств третьего уровня тоже можно несколько удешевить: вовсе не обязательно брать за основу аппаратное обеспечение «с избытком». Это поможет построить сеть третьего уровня и сэкономить при этом порядка 35% ее стоимости.

Бероц Моайери работает в Comconsult Beratung und Planung. С ним можно связаться по адресу:

Современные организации стремятся внедрять новые сервисы и приложения, но зачастую камнем преткновения становится устаревшая сетевая инфраструктура, неспособная поддерживать инновации. Решить эту проблему призваны технологии, созданные на основе открытых стандартов.

Сегодня в ИТ прочные позиции завоевал подход, основанный на стандартах, – заказчики почти всегда отдают предпочтения стандартным решениям. С уходом эпохи, когда господствовали мейнфреймы, стандарты завоевали прочные позиции. Они позволяют комбинировать оборудование разных производителей, выбирая «лучшие в своем классе» продукты и оптимизировать стоимость решения. Но в сетевой отрасли не все так однозначно.

На сетевом рынке до сих пор доминируют закрытые системы, а совместимость решений разных производителей обеспечивается в лучшем случае на уровне интерфейсов. Несмотря на стандартизацию интерфейсов, стеков протоколов, сетевых архитектур, сетевое и коммуникационное оборудование разных вендоров нередко представляет собой проприетарные решения. Например, даже развертывание современных «сетевых фабрик» Brocade Virtual Cluster Switch, Cisco FabricPath или Juniper QFabric предполагает замену имеющихся коммутаторов, а это не дешевый вариант. Что уж говорить про технологии «прошлого века», которые еще работают, но тормозят дальнейшее развитие сетей и функционирующих в них приложений.

Эволюция сетей. От проприетарных к открытым решениям.

Проводимые в последние годы исследования показывают, что существует разрыв между предложениями вендоров сетевого оборудования и предпочтениями его покупателей. Например, по данным одного из опросов, 67% заказчиков считают, что проприетарных продуктов по возможности следует избегать, 32% допускают их использование. Лишь 1% респондентов уверены, что проприетарные продукты и средства обеспечивают лучшую интеграцию и совместимость, чем стандартные. То есть в теории большинство заказчиков предпочитает основанные на стандартах решения, но предлагаются в основном проприетарные сетевые продукты.

На практике же при покупке нового оборудования или расширении сетевой инфраструктуры заказчики нередко выбирают решения того же вендора или то же семейство продуктов. Причины – инерция мышления, желание свести к минимуму риски при обновлении критичных систем. Однако основанные на стандартах продукты намного проще заменить, даже если это продукты разных производителей. К тому же при определенных условиях комбинация систем разных вендоров функциональное сетевое решение за разумную цену и снизить совокупную стоимость владения.

Это не означает, что не стоит покупать проприетарные, фирменные технологии, не описываемые открытым стандартом, а являющиеся уникальной технологией определенного вендора. Именно они обычно реализуют инновационные функции и средства. Использование проприетарных решений и протоколов зачастую позволяет получить лучшие показатели по сравнению с открытыми стандартами, но при выборе подобных технологий, необходимо максимально сокращать (а лучше - исключать) их применение на границах отдельных сегментов или технологических узлов сетевой инфраструктуры, что особенно важно в мультивендорных сетях. Примерами таких сегментов могут служить уровни доступа, агрегации или ядра сети, граница между локальной и глобальной сетями, сегменты, реализующие сетевые с приложения (например, балансировка нагрузки, оптимизация трафика) и т.п.

Проще говоря, применение проприетарных технологий должно ограничиваться их использованием внутри границ сегментов, реализующих специализированные сетевые функции и/или приложения (своего рода типовые «строительные блоки» сети). В случаях, когда нестандартные фирменные технологии используются в качестве основы всей корпоративной сети или больших сетевых доменов, это увеличивает риск «привязки» заказчика к одному производителю.

Иерархические и плоские сети

Цель построения корпоративных сетей передачи данных (КСПД), будь то сеть географически распределенной компании или сеть ЦОД, – обеспечение работы бизнес-приложений. КСПД - один из важнейших инструментов развития бизнеса. В компании с территориально-распределенной структурой бизнес нередко зависит от надежности и гибкости совместной работы ее подразделений. В основе построения КСПД лежит принцип разделения сети на «строительные блоки» – каждый характеризуется свойственными ему функциями и особенностями реализации. Принятые в отрасли стандарты позволяют использовать в качестве таких строительных блоков сетевое оборудование разных вендоров. Частные (проприетарные) протоколы ограничивают свободу выбора для заказчиков, что в результате приводит к ограничению гибкости бизнеса и повышает издержки. Применяя стандартизированные решения, заказчики могут выбрать лучший продукт в интересующей их области и интегрировать его с другими продуктами, используя открытые стандартные протоколы.

Современные крупные сети очень сложны, поскольку определяются множеством протоколов, конфигурациями и технологиями. С помощью иерархии можно упорядочить все компоненты в легко анализируемой модели. Иерархическая модель помогает в разработке, внедрении и обслуживании масштабируемых, надежных и эффективных в стоимостном выражении объединенных сетей.

Трехуровневая архитектура корпоративной сети.

Традиционная архитектура корпоративной сети включает в себя три уровня: уровень доступа, агрегирования/распределения и ядра. На каждом из них выполняются специфические сетевые функции.

Уровень ядра – основа всей сети. Для достижения максимальной производительности функции маршрутизации и политики управления трафиком выносятся на уровень агрегирования/распределения. Именно он отвечает за надлежащую маршрутизацию пакетов, политики трафика. Задачей уровня распределения является агрегирование/объединение всех коммутаторов уровня доступа в единую сеть. Это позволяет существенно уменьшить количество соединений. Как правило, именно к коммутаторам распределения подключаются самые важные сервисы сети, другие ее модули. Уровень доступа служит для подключения клиентов к сети. По аналогичной схеме строились и сети ЦОД.

Устаревшая архитектура трехуровневой сети в центре обработки данных.

Традиционные трехуровневые архитектуры ориентированы на клиент-серверную парадигму сетевого трафика. С дальнейшим развитием технологий виртуализации и интеграции приложений возрастает поток сетевого трафика между серверами. Аналитики говорят () о смене парадигмы сетевого трафика с направления «север-юг», на «восток-запад», т.е. на существенное преобладание трафика между серверами в отличие от обмена между сервером и клиентами.

То есть трафик между серверами проходит через уровни доступа, агрегации, ядра сети и обратно неоптимальным образом, за счет необоснованного увеличения общей длины сетевого сегмента и количества уровней обработки пакетов сетевыми устройствами. Иерархические сети недостаточно приспособлены для обмена данными между серверами, не вполне отвечают требованиям современных ЦОД с высокой плотностью серверных ферм и интенсивным межсерверным трафиком. В такой сети обычно используются традиционные протоколы защиты от петель, резервирования устройств и агрегированных соединений. Ее особенности: существенные задержки, медленная сходимость, статичность, ограниченная масштабируемость и т.п. Вместо традиционной древовидной топологии сети необходимо использовать более эффективные топологии (CLOS/ Leaf-Spine/ Collapsed), позволяющие уменьшить количество уровней и оптимизировать пути передачи пакетов.

HP упрощает архитектуру сети с трёхуровневой (характерной для традиционных сетевых архитектур Cisco) до двух- или одноуровневой.

Сейчас тенденция такова, что все больше заказчиков при построении своих сетей ориентируются на построение сетей передачи данных второго уровня (L2) с плоской топологией. В сетях ЦОД переход к ней стимулируется увеличением числа потоков «сервер – сервер» и «сервер – система хранения». Такой подход упрощает планирование сети и внедрение, а также снижает операционные расходы и общую стоимость вложений, делает сеть более производительной.

В ЦОД плоская сеть (уровня L2) лучше отвечает потребностям виртуализации приложений, эффективно перемещать виртуальные машины между физическими хостами. Еще одно преимущество, которое реализуется при наличии эффективных технологий кластеризации/стекирования – отсутствие необходимости в протоколах STP/RSTP/MSTP. Такая архитектура в сочетании с виртуальными коммутаторами обеспечивает защиту от петель без использования STP, а в случае сбоев сеть сходится на порядок быстрее, чем при использовании традиционных протоколов семейства STP.

Архитектура сети современных ЦОД должна обеспечивать эффективную поддержку передачи больших объемов динамического трафика. Динамический трафик обусловлен существенным ростом количества виртуальных машин и уровня интеграции приложений. Здесь необходимо отметить все возрастающую роль различных технологий виртуализации информационно-технологической (ИТ) инфраструктуры на базе концепции программно-определяемых сетей (SDN).

Концепция SDN в настоящее время широко распространяется не только на уровень сетевой инфраструктуры отдельных площадок, но и на уровни вычислительных ресурсов и систем хранения как в рамках отдельных, так и географически-распределенных ЦОД (примерами последних являются HP Virtual Cloud Networking – VCN и HP Distributed Cloud Networking – DCN).

Ключевой особенностью концепции SDN является объединение физических и виртуальных сетевых ресурсов и их функционала в рамках единой виртуальной сети. При этом важно понимать, что несмотря на то, что решения сетевой виртуализации (overlay) могут работать поверх любой сети, производительность/доступность приложений и сервисов в значительной степени зависят от работоспособности и параметров физической инфраструктуры (underlay). Таким образом, объединение преимуществ оптимизированной физической и адаптивной виртуальной сетевых архитектур, позволяет строить унифицированные сетевые инфраструктуры для эффективной передачи больших потоков динамического трафика по запросам приложений.

Архитектура HP FlexNetwork

Для построения плоских сетей вендоры разрабатывают соответствующее оборудование, технологии и сервисы. В числе примеров – Cisco Nexus, Juniper QFabric, HP FlexFabric. В основе решения HP – открытая и стандартизированная архитектура HP FlexNetwork.

HP FlexNetwork включает в себя четыре взаимосвязанных компонента: FlexFabric, FlexCampus, FlexBranch и FlexManagement. Решения HP FlexFabric, HP FlexCampus и HP FlexBranch оптимизируют сетевые архитектуры, соответственно центров обработки данных, кампусов и филиалов предприятий, позволяя по мере роста поэтапно мигрировать от традиционных иерархических инфраструктур к унифицированным виртуальным, высокопроизводительным, конвергентным сетям или сразу строить такие сети на основе эталонных архитектур, рекомендованных НР.

HP FlexManagement предоставляет возможности комплексного мониторинга, автоматизации развертывания/настройки/контроля мультивендорных сетей, унифицированного управления виртуальными и физическими сетями с единой консоли, что ускоряет развертывание сервисов, упрощает управление, повышает доступность сети, избавляет от сложностей, связанных с применением множества систем администрирования. Причем система может управлять устройствами десятков других производителей сетевого оборудования.

HP FlexFabric поддерживает коммутацию в сетях до 100GbE на уровне ядра и до 40GbE на уровне доступа, использует технологию HP Virtual Connect. Внедряя архитектуру FlexFabric, организации могут поэтапно перейти от трехуровневых сетей на оптимизированные двух- и одноуровневые сети.

Заказчики могут поэтапно переходить от проприетарных устаревших сетей к архитектуре HP FlexNetwork с помощью HP Technology Services. HP предлагает услуги по миграции от проприетарных сетевых протоколов, например Cisco EIGRP (хотя в Cisco этот протокол называют «открытым стандартом»), к действительно стандартным протоколам маршрутизации OSPF v2 и v3. Кроме того, HP предлагает сервисы администрирования FlexManagement и набор услуг, касающихся жизненного цикла каждого модульного «строительного блока» HP FlexNetwork, включая планирование, проектирование, внедрение и сопровождение корпоративных сетей.

HP продолжает улучшать возможности своего оборудования, как на уровне аппаратных платформ, так и на основе концепции Software Defined Network (SDN), внедряя различные протоколы динамического управления коммутаторами и маршрутизаторами (OpenFlow, NETCONF, OVSDB). Для построения масштабируемых Ethernet фабрик в ряде моделей сетевых устройств HP внедрены такие технологии как TRILL, SPB, VXLAN (перечень устройств с поддержкой этих протоколов постоянно расширяется). В дополнение к стандартным протоколам категории DCB (в частности VPLS), HP разработаны и активно развиваются фирменные технологии эффективного объединения географически распределенных ЦОД в единую L2 сеть. Например, текущая реализация протокола HP EVI (Ethernet Virtual Interconnect) позволяет подобным образом объединить до 64-площадок ЦОД. Совместное же использование HP EVI и протокола виртуализации устройств HP MDC (Multitenant Device Context) предоставляет дополнительные возможности по расширению, повышение надежности и безопасности распределенных виртуализированных L2 сетей.

Выводы

В каждом конкретном случае выбор архитектуры сети зависит от множества факторов – технических требований к КСПД или ЦОД, пожеланий конечных пользователей, планов развития инфраструктуры, опыта, компетенции и т.д. Что касается проприетарных и стандартных решений, то первые подчас позволяют справиться с задачами, для которых не подходят стандартные решения. Однако на границе сегментов сети, построенной на оборудовании разных вендоров, возможности их использования крайне ограничены.

Масштабное применение проприетарных протоколов в качестве основы для корпоративной сети, может серьезно ограничить свободу выбора, что в конечно счете влияет на динамичность бизнеса и увеличит его издержки.

Открытые, основанные на стандартах решения помогают компаниям переходить с унаследованных архитектур к современным гибким сетевым архитектурам, отвечающие таким актуальным задачам как облачные вычисления, миграция виртуальных машин, унифицированные коммуникации и доставка видео, высокопроизводительный мобильный доступ. Организации могут выбирать лучшие в своем классе решения, отвечающие потребностям бизнеса. Использование открытых, стандартных реализаций протоколов снижает риски и стоимость изменений сетевой инфраструктуры. Кроме того, открытые сети, с объединенными физическими и виртуальными сетевыми ресурсами и их функционалом, упрощают перенос приложений в частное и публичное облако.

Наши предыдущие публикации:

Подсети сегментируют сети на небольшие области, в которых используется свое собственное пространство, они являются аналогом классовых сетей, только содержащими меньше хостов. Для создания адресов подсетей, «заимствуются» часть битов из адреса хоста в IP адресе.

Сетевым администраторам часто необходимо разделять сети, особенно большие, на маленькие сети. Эти небольшие части сети называются подсетями (subnetworks или subnets), которые предоставляют возможность гибкой адресации. В этом разделе описываются назначение и функции подсетей и их схемы адресации.

Компания, занимающая трех этажное здание, может иметь сеть, разделенную по этажам, а затем на каждом этаже разбитую по офисам. Представим здание как сеть, этажи это три подсети, а офисы — персональные адреса хостов.

Подсеть разделяет хосты внутри сети. Без подсетей, сеть имеет плоскую топологию (flat topology). Плоская топология обладает небольшой таблицей маршрутизации, и она основывается на втором уровне на основе MAC адресов для доставки пакетов. MAC адреса имеет не иерархической структуру, однако, при росте сети, использование пропускной способности канала становится все менее эффективным.

Здесь приведены недостатки плоской сети:

Все устройства используют одну полосу пропускания.
Все устройства используют общий широковещательный домен уровня 2.
Сложно использовать политику безопасности, потому что нет границ между устройствами.

В Ethernet сети, соединенной концентраторами, каждый хост видит все пакеты данных отправляемых в сеть. В сети с коммутаторами хост будет видеть только все широковещательные рассылки. В ситуации, когда очень большой трафик, это может привести к увеличению коллизий. Коллизии происходят, когда два или более устройства передают данные одновременно в один сегмент сети. Устройства, обнаружившие коллизию, останавливают передачу, а затем начинают повторную отправку через случайный интервал времени. Для пользователей это процесс ощущается как замедление работы сети. В этой ситуации могут использоваться маршрутизаторы, выполняющие помимо других функций, разделение сетей на несколько подсетей.

Здесь приведен ряд преимуществ, которые получаются при разделении сети на подсети:

Небольшие сети проще в управлении и отображении по географическим или функциональным признакам.
Перегрузка сети уменьшается, что может улучшить характеристики.
Проще накладывать ограничения по безопасности при установке соединений между сетями, чем в целой сети.

При такой сетевой конфигурации, каждая подсеть может быть соединена к Интернету через один маршрутизатор. В этом примере, сеть подразделяется на несколько подсетей. Реальная внутренняя структура сети и каким образом сеть разделена на множество подсетей является неважным для других IP сетей.