Що таке комутатор lan | Будуємо домашню мережу. Що розумного буває в розумних мережевих комутаторах? Що таке Мости та Комутатори

Вибір маршрутизатора, який слід використовувати, визначається інтерфейсами Ethernet, які відповідають технології комутаторів у центрі LAN. Важливо відзначити, що маршрутизатори пропонують багато служб та функцій для LAN.

Кожна LAN має маршрутизатор, який використовується як шлюз для з'єднання LAN з іншими мережами. LAN має один або більше концентраторів або комутаторів, щоб з'єднувати кінцеві пристрої з LAN.

Маршрутизатори є основними пристроями, які використовуються для підключення мереж. Кожен порт на маршрутизаторі з'єднується з різною мережею та спрямовує пакети між мережами. Маршрутизатори можуть розбивати широкомовні домени та домени колізій.

Маршрутизатори також використовуються для підключення мереж, які використовують різні технології. Вони можуть бути і LAN, і WAN інтерфейси.

Інтерфейси LAN маршрутизаторів дозволяють з'єднуватися з носіями LAN. Зазвичай це кабельні з'єднання UTP, але можуть бути додані модулі для використання волоконну оптику. Залежно від серії або моделі маршрутизаторів вони можуть мати кілька типів інтерфейсів для кабельних з'єднань WAN і LAN.

Пристрої інтрамережі

Щоб створити LAN, потрібно вибрати відповідні пристрої, щоб з'єднати кінцеві вузли з мережею. Два найбільш поширені пристрої - концентратори і комутатори.

Концентратор

Концентратор отримує сигнал, регенерує його та відправляє на всі порти. Використання концентраторів створює логічну шину. Це означає, що LAN використовує носій у режимі мультидоступу. Порти використовують підхід спільного використання смуги пропускання, що часто призводить до зменшення продуктивності в LAN через колізії та відновлення. Хоча можна поєднати кілька концентраторів, все одно залишиться єдиний домен колізій.

Концентратори менш дорогі, ніж комутатори. Концентратор зазвичай вибирається як посередницький пристрій для дуже невеликої LAN, яка має низькі вимоги до пропускної спроможності, або при обмежених фінансах.

Комутатор

Комутатор приймає кадр та регенерує кожен біт кадру на відповідний порт призначення. Цей пристрій використовується для сегментації мережі на кілька доменів колізій. На відміну від концентратора, комутатор зменшує кількість колізій у LAN. Кожен порт на комутатор створює окремий домен колізій. Це створює логічну топологію точка-точка для пристрою на кожному порту. Крім того, комутатор надає виділену смугу пропускання кожному порту, що може збільшити продуктивність LAN. LAN-комутатор також може використовуватися, щоб з'єднувати сегменти мережі з різними швидкостями.

Взагалі, для підключення пристроїв до LAN вибираються комутатори. Хоча комутатор дорожчий, ніж концентратор, його покращена продуктивність та надійність роблять його економічно вигідним.

Існує цілий спектр доступних комутаторів з безліччю функцій, які дозволяють з'єднати безліч комп'ютерів у типову установку LAN підприємства.

Питання побудови локальних мереж представляються користувачам-нефахівцям дуже складними через велику термінологічного словника. Хаби та свитчі малюються в уяві складним обладнанням, що нагадує телефонні АТСі створення локальної домашньої мережі стає приводом для звернення до фахівців. Насправді ж не такий страшний свитч, як його назва: обидва пристрої являють собою елементарні вузли мережі, що володіють мінімальною функціональністю, що не вимагають знань щодо встановлення та експлуатації та цілком доступні кожному.

Визначення

Хаб— мережевий концентратор, призначений об'єднання комп'ютерів у єдину локальну мережу з допомогою підключення Ethernet-кабелей.

Світч(switch - перемикач) - мережевий комутатор, призначений для об'єднання у локальну мережу кількох комп'ютерів через Ethernet-інтерфейс.

Порівняння

Як бачимо з визначення, різниця між хабом та свитчем пов'язана з видом пристроїв: концентратор та комутатор. Незважаючи на одне завдання - організацію локальної мережі за допомогою Ethernet - підходять до вирішення пристрою по-різному. Хаб є найпростішим розгалужувачем, що забезпечує пряме з'єднання між клієнтами мережі. Світч — розумніший пристрій, що розподіляє пакети даних між клієнтами відповідно до запиту.

Хаб, отримуючи сигнал від одного вузла, передає його всім підключеним пристроям, і прийом повністю залежить від адресата: комп'ютер повинен сам розпізнати, чи призначений пакет. Звичайно, відповідь передбачає ту ж саму схему. Сигнал торкається всіх сегментів мережі, поки не знайде той, який його прийме. Ця обставина знижує пропускну здатність мережі (і швидкість обміну даними відповідно). Світч, отримуючи пакет даних від комп'ютера, спрямовує його саме за тією адресою, яку було задано відправником, позбавляючи мережу від навантаження. Мережа, організована за допомогою комутатора, вважається безпечнішою: обмін трафіком відбувається безпосередньо між двома клієнтами, та інші не можуть обробляти сигнал, призначений не їм. На відміну від хаба, свитч забезпечує високу пропускну здатність створеної мережі.

Хаб Logitec LAN-SW/PS

Світч вимагає правильного налаштування мережевий картикомп'ютера-клієнта: IP адреса і маска підмережі повинні відповідати один одному (маска підмережі вказує частину IP-адреси як адреси мережі, а іншу частину - як адреси клієнта). Хаб налаштувань не вимагає, тому що працює фізично мережевої моделі OSI, транслюючи сигнал. Світч працює на рівні канальному, здійснюючи обмін пакетами даних. Ще одна особливість хаба - зрівняння вузлів щодо швидкості передачі даних, орієнтуючись на найнижчі показники.

Висновки сайт

1. Хаб – концентратор, свитч – комутатор.
2. Хаб пристрій найпростіший, свитч - більш "інтелектуальний".
3. Хаб передає сигнал усім клієнтам мережі, свитч – лише адресату.
4. Продуктивність мережі, організованої через свитч, вища.
5. Світч забезпечує вищий рівень безпеки передачі.
6. Хаб працює фізично мережевої моделі OSI, свитч — на канальном.
7. Світч вимагає правильного настроювання мережевих карток клієнтів мережі.

У переважній кількості домашніх локальних мереж з активного обладнання використовується тільки бездротовий роутер. Однак у випадку, якщо вам потрібно більше чотирьох провідних підключень, потрібно додати мережевий комутатор (хоча сьогодні є роутери і на сім-вісім портів для клієнтів). Другою поширеною причиною для придбання цього обладнання є зручніше розведення мережі. Наприклад, ви можете встановити комутатор біля ТВ, підключити до нього один кабель від роутера, а інші порти — сам телевізор, медіаплеєр, ігрову приставку та інше обладнання.

Найпростіші моделі мережних комутаторів мають лише кілька ключових параметрів - кількість портів і їх швидкість. А враховуючи сучасні вимоги та розвиток елементної бази, можна говорити про те, що якщо не варто цілі економії за будь-яку ціну чи якихось специфічних вимог, варто купувати моделі з гігабітними портами. Мережі FastEthernet зі швидкістю 100 Мбіт/с сьогодні звичайно використовуються, але малоймовірно, що їхні користувачі зіткнуться з проблемою нестачі портів на роутері. Хоча, звичайно, і це можливо, якщо згадати продукти деяких відомих виробників на один або два порти для локальної мережі. Тим більше тут буде доречним застосування гігабітного комутатора для збільшення продуктивності всієї провідної локальної мережі.

Крім цього, при виборі можна також враховувати бренд, матеріал та дизайн корпусу, варіант реалізації блоку живлення (зовнішній або внутрішній), наявність та розташування індикаторів та інші параметри. Що дивно, звична за багатьма іншими пристроями характеристика швидкості роботи в даному випадку практично не має сенсу, що недавно вийшов. У тестах передачі даних моделі абсолютно різних категорій та вартості показують однакові результати.

У цій статті ми вирішили коротко розповісти про те, що може бути цікавого і корисного в «справжніх» комутаторах другого рівня (Level 2). Звичайно, цей матеріал не претендує на максимально докладний і глибокий виклад теми, але, хочеться сподіватися, буде корисним тим, хто зустрівся з більш серйозними завданнями або вимогами при побудові своєї локальної мережі в квартирі, будинку або офісі, ніж поставити роутер і налаштувати Wi- Fi. Крім того, багато тем будуть викладені в спрощеному форматі, що відображатиме лише основні моменти в цікавій та різноманітній темі комутації мережних пакетів.

Попередні статті серії «Будуємо домашню мережу« доступні за посиланнями:

Крім того, корисна інформаціяпро побудову мереж доступна у цьому підрозділі.

Теорія

Спершу згадаємо, як працює «звичайний» мережевий комутатор.

Ця "коробочка" має невеликі розміри, кілька портів RJ45 для підключення мережевих кабелів, набір індикаторів та вхід живлення. Вона працює відповідно до запрограмованих виробником алгоритмів і не має жодних доступних для користувача настройок. Використовується принцип «підключив кабелі – включив живлення – працює». Кожен пристрій (точніше його мережевий адаптер) у локальній мережі має унікальну адресу - MAC-адресу. Він складається із шести байтів і записується у форматі "AA:BB:CC:DD:EE:FF" з шістнадцятковими цифрами. Дізнатися його можна програмним способом або на інформаційній табличці. Формально вважається, що ця адреса видана виробником на етапі виробництва і є унікальною. Але в деяких випадках це не так (унікальність потрібно тільки в межах локального сегмента мережі, а поміняти адресу можна легко в багатьох операційних системах). До речі, за першими трьома байтами іноді можна назва творця чіпа або навіть всього пристрою.

Якщо для глобальної мережі (зокрема Інтернет), адресація пристроїв та обробка пакетів проводиться на рівні IP-адрес, то в кожному окремому локальному сегменті мережі для цього застосовуються MAC-адреси. Усі пристрої однієї локальної мережі повинні мати різні MAC-адреси. Якщо це не так - будуть проблеми з доставкою мережних пакетів та роботою мережі. При цьому даний низький рівень обміну інформацією реалізований усередині мережевих стеків операційних систем та користувачу не потрібно з ним взаємодіяти. Мабуть, насправді поширені буквально пара ситуацій, де може використовуватися MAC-адреса. Наприклад, при заміні роутера на новому пристрої вказати ту ж MAC-адресу порту WAN, що була на старому. Другий варіант — увімкнення на роутері фільтрів MAC-адресою для блокування доступу до Інтернету або Wi-Fi.

Звичайний мережевий комутатор дозволяє об'єднати кілька клієнтів реалізації обміну з-поміж них мережевим трафиком. Причому кожного порту може бути підключений як один комп'ютер чи інший пристрій-клієнт, а й інший комутатор зі своїми клієнтами. Грубо схема роботи комутатора виглядає наступним чином: при вступі на порт пакета він запам'ятовує MAC відправника і записує його в таблицю «клієнти на цьому фізичному порту», ​​адреса одержувача перевіряється за іншими такими ж таблицями і при його знаходженні в одній з них, пакет відправляється в відповідний фізичний порт. Додатково передбачені алгоритми виключення петель, пошуку нових пристроїв, перевірки зміни пристроєм порту та інші. Для реалізації цієї схеми не потрібна будь-яка складна логіка, все працює на досить простих і недорогих процесорах, так що, як ми говорили вище, навіть молодші моделі здатні показати максимальні швидкості.

Керовані або звані іноді «розумними» (Smart) комутатори значно складніші. Вони можуть використовувати більше інформації з мережевих пакетів для реалізації складніших алгоритмів їх обробки. Деякі з цих технологій можуть виявитися корисними і для домашніх користувачів «високого рівня» або з підвищеними вимогами, а також для вирішення деяких спеціальних завдань.

Комутатори другого рівня (Level 2, рівень каналу даних) здатні враховувати при комутації пакетів інформацію, що знаходиться всередині деяких полів мережних пакетів, зокрема VLAN, QoS, мультикаст та інших. Саме про такий варіант ми й поговоримо у цій статті. Більш складні моделі третього рівня (Level 3) можуть вважатися вже маршрутизаторами, оскільки вони оперують IP-адресами та працюють із протоколами третього рівня (зокрема RIP та OSPF).

Звернемо увагу, що єдиного універсального та стандартного набору можливостей керованих комутаторів немає. Кожен виробник складає власні лінійки продуктів, виходячи зі свого уявлення про вимоги споживачів. Так що в кожному випадку варто звертати увагу на специфікації конкретного продукту та їх відповідність до поставлених завдань. Ні про які «альтернативні» прошивки з ширшими можливостями тут, звичайно, не йдеться.

Як приклад, ми використовуємо пристрій Zyxel GS2200-8HP. Ця модель давно представлена ​​на ринку, але цілком підійде для цієї статті. Сучасні продукти цього сегмента від Zyxel загалом забезпечують подібні можливості. Зокрема, актуальний пристрій такої конфігурації пропонується під артикулом GS2210-8HP.

Zyxel GS2200-8HP є восьмипортовим (у серії є версія і на 24 порти) керований гігабітний комутатор Level 2, в якому також є підтримка PoE і суміщені порти RJ45/SFP, а також деякі функції більш високих рівнів комутації.

За форматом його можна назвати настільною моделлю, але в комплекті поставки передбачено додаткове кріплення для встановлення в стандартну 19″ стійку. Корпус виготовлений із металу. На правому торці ми бачимо решітку вентиляції, а з протилежного боку встановлені два невеликі вентилятори. Ззаду присутні лише вхід мережевого кабелю для вбудованого блока живлення.

Всі підключення традиційно для такого обладнання здійснюються з лицьового боку для зручності застосування у стійках із патч-панелями. Зліва знаходиться вставка з логотипом виробника і назвою пристрою, що підсвічується. Далі йдуть індикатори – живлення, система, тривога, світлодіоди статусу/активності та подачі живлення для кожного порту.

Слідом встановлені основні вісім мережевих роз'ємів, а після них два RJ45 і два дублюючі їх SFP власними індикаторами. Подібні рішення є ще однією характерною особливістюподібних пристроїв. Зазвичай SFP використовується для підключення оптичних ліній зв'язку. Основною їхньою відмінністю від звичної крученої пари є можливість роботи на істотно великих відстанях — до десятків кілометрів.

Через те, що тут можуть використовуватися різні типи фізичних ліній, безпосередньо в комутаторі встановлені порти стандарту SFP, в які необхідно встановлювати спеціальні модулі-трансівери, а вже до них підключаються оптичні кабелі. При цьому порти, що отримуються, не відрізняються за своїми можливостями від інших, звичайно якщо не брати до уваги відсутності підтримки PoE. Їх також можна використовувати як об'єднання портів, сценарії з VLAN та інші технології.

Завершує опис послідовний консольний порт. Він застосовується для сервісного обслуговуваннята інших операцій. Зокрема, зазначимо, що звичної для домашнього обладнання кнопки скидання налаштувань тут немає. У складних випадках втрати контролю доведеться підключатися через послідовний порт і як налагодження перезавантажувати весь файл конфігурації.

Рішення підтримує адміністрування через Web та командний рядок, оновлення прошивки, протокол 802.1x для захисту від несанкціонованих підключень, SNMP для інтеграції в системи моніторингу, пакети з розміром до 9216 байт (Jumbo Frames) для збільшення продуктивності мережі, сервіси комутації другого рівня, можливість для зручності адміністрування.

З восьми основних портів половина підтримує PoE+ з подачею до 30 Вт на порт, інші чотири — PoE з 15,4 Вт. Максимальна споживана потужність становить 230 Вт, у тому числі до 180 Вт може віддаватися через PoE.

Електронна версія посібника користувача налічує понад три сотні сторінок. Так що описані в цій статті функції є лише невеликою частиною можливостей даного пристрою.

Управління та контроль

На відміну від простих мережних комутаторів, "розумні" мають засоби для віддаленого налаштування. У їхній ролі найчастіше виступає звичний Web-інтерфейс, а для «справжніх адмінів» передбачено доступ до командного рядка зі своїм інтерфейсом по telnet або ssh. Аналогічний командний рядок можна отримати через підключення до послідовного порту на комутаторі. Окрім звички, робота з командним рядкоммає перевагу у вигляді зручної можливості автоматизації із застосуванням скриптів. Існує також підтримка протоколу FTP, що дозволяє оперативно завантажувати файли нових прошивок та керувати конфігураціями.

Наприклад, ви можете перевіряти статус підключень, керувати портами та режимами, дозволяти або забороняти доступ і так далі. Крім того, цей варіант менш вимогливий до смуги пропускання (вимагає менше трафіку) і обладнання, що використовується для доступу. Але на скріншотах, звичайно, красивіше виглядає Web-інтерфейс, так що в цій статті для ілюстрацій будемо використовувати його. Захист забезпечується традиційним ім'ям/паролем адміністратора, є підтримка HTTPS, а також можна налаштувати додаткові обмеження доступу до управління комутатором.

Зауважимо, що на відміну від багатьох домашніх пристроїв, інтерфейс має явну кнопку збереження поточної конфігурації комутатора в його енергонезалежну пам'ять. Також на багатьох сторінках можна використовувати кнопку Help для виклику контекстної підказки.

Ще один варіант контролю над роботою комутатора - використання протоколу SNMP. З використанням спеціалізованих програм, ви можете отримати інформацію про апаратний стан пристрою, наприклад, температурі або зникнення лінка на порту. Для великих проектів буде корисна реалізація спеціального режиму керування кількома комутаторами (кластером комутаторів) з єдиного інтерфейсу Cluster Management.

Мінімальні початкові дії при запуску пристрою зазвичай включають оновлення прошивки, зміна пароля адміністратора і налаштування власної IP-адреси комутатора.

Крім того, зазвичай варто звернути увагу на такі опції, як мережеве ім'я, синхронізація вбудованого годинника, відправку журналу подій на зовнішній сервер (наприклад, Syslog).

При плануванні схеми мережі та налаштувань комутатора рекомендується заздалегідь прорахувати та продумати всі моменти, оскільки пристрій не має вбудованих засобів контролю блокувань та протиріч. Наприклад, якщо ви «забудете», що раніше налаштовували агрегацію портів, то VLAN за їх участю можуть вести себе зовсім не так, як потрібно. Не кажучи вже про можливість втрати зв'язку з комутатором, що особливо неприємно при віддаленому підключенні.

Однією з базових розумних функцій комутаторів є підтримка технологій агрегації (об'єднання) мережевих портів. Також для цієї технології застосовують такі терміни, як транкінг (trunking), склеювання адаптерів (bonding), сполучення (teaming). У цьому випадку клієнти або інші комутатори підключаються до цього комутатора не одним кабелем, а кількома. Звичайно, для цього потрібно мати кілька мережевих карт на комп'ютері. Мережеві карти можуть бути як окремими, так і виконаними у вигляді однієї плати розширення з кількома портами. Зазвичай у цьому сценарії йдеться про два або чотири лінки. Основні завдання, що вирішуються таким чином, — збільшення швидкості мережного підключеннята збільшення його надійності (дублювання). Комутатор може підтримувати відразу кілька подібних з'єднань залежно від апаратної конфігурації, зокрема, числа фізичних портів і потужності процесора. Одним із варіантів є з'єднання за такою схемою пари комутаторів, що дозволить збільшити загальну продуктивність мережі та виключити вузькі місця.

Для реалізації схеми бажано використовувати мережеві карти, що явно підтримують цю технологію. Але в загальному випадку реалізація агрегації портів може бути виконана і на програмному рівні. Дана технологіянайчастіше реалізується через відкритий протокол LACP/802.3ad, який застосовується контролю стану лінків і управління ними. Але зустрічаються і окремі варіанти окремих вендорів.

На рівні операційної системиклієнтів після відповідної установки зазвичай просто з'являється новий стандартний мережевий інтерфейс, який має свої MAC- і IP-адреси, так що всі програми можуть працювати з ним без будь-яких спеціальних дій.

Відмовостійкість забезпечується наявністю декількох фізичних з'єднань пристроїв. При відмові з'єднання, трафік автоматично перенаправляється по лінках, що залишилися. Після відновлення лінії знову включиться в роботу.

Щодо збільшення швидкості, то тут ситуація трохи складніша. Формально можна вважати, що продуктивність множиться відповідно до числа використовуваних ліній. Проте реальне зростання швидкості приймання-передачі даних залежить від конкретних завдань та додатків. Зокрема, якщо йдеться про таке просте і поширене завдання, як читання файлів з мережевого накопичувача на комп'ютері, то від об'єднання портів вона нічого не виграє, навіть якщо обидва пристрої підключені до комутатора кількома лінками. А ось якщо об'єднання портів буде налаштовано на мережному накопичувачіі до нього звертатимуться одночасно кілька «звичайних» клієнтів, то цей варіант вже отримає суттєвий виграш у загальній продуктивності.

Деякі приклади використання та результати тестування наводяться у статті. Таким чином, можна говорити про те, що застосування технологій об'єднання портів у домашніх умовах буде корисним лише за наявності кількох швидких клієнтів та серверів, а також досить високого навантаження на мережу.

Налаштування агрегації портів у комутаторі зазвичай нескладне. Зокрема, на Zyxel GS2200-8HP необхідні параметри знаходяться в меню Advanced Application — Link Aggregation. Усього дана модельпідтримує до восьми груп. При цьому обмежень щодо складу груп немає - ви можете використовувати будь-який фізичний порт у будь-якій групі. Комутатор підтримує як статичну схему об'єднання портів, і LACP.

На сторінці статусу можна перевірити поточні призначення груп.

На сторінці настройок вказуються активні групи та їх тип (застосовується для вибору схеми розподілу пакетів за фізичними лінками), а також призначення портів у потрібні групи.

При необхідності включаємо LACP для потрібних груп на третій сторінці.

Далі потрібно налаштувати аналогічні настройки на пристрої з іншого боку лінка. Зокрема на мережному накопичувачі QNAP це робиться таким чином - заходимо в налаштування мережі, вибираємо порти та тип їхнього об'єднання.

Після цього можна перевірити статус портів на комутаторі та оцінити ефективність вирішення у ваших завданнях.

VLAN

При звичайній конфігурації локальної мережі «гуляючі» нею мережеві пакети використовують загальне фізичне середовище, як потоки людей станціях пересадок у метро. Звичайно, комутатори у певному сенсі виключають попадання «чужих» пакетів на інтерфейс вашої мережевої карти, проте деякі пакети, наприклад широкомовні, здатні проникнути в будь-які куточки мережі. Незважаючи на простоту та високу швидкість роботи даної схеми, трапляються ситуації, коли з деяких причин вам необхідно розділити певні види трафіку. Це може бути викликане вимогами безпеки чи необхідністю забезпечення вимог продуктивності чи пріоритезації.

Звичайно, ці питання можна вирішити створенням окремого сегмента фізичної мережі — зі своїми комутаторами та кабелями. Але не завжди це можна продати. Тут може стати в нагоді технологія VLAN (Virtual Local Area Network) - логічної або віртуальної локальної комп'ютерної мережі. Для неї може зустрічатися позначення 802.1q.

У грубому наближенні можна описати роботу даної технології як використання додаткових «міток» для кожного мережевого пакета при його обробці в комутаторі та на кінцевому пристрої. При цьому обмін даними працює лише в межах групи пристроїв з однаковими VLAN. Оскільки не все обладнання використовує VLAN, то у схемі також використовуються такі операції, як додавання та видалення тегів мережного пакета при їх проході через комутатор. Відповідно додається він при отриманні пакета з "звичайного" фізичного порту для відправлення через мережу VLAN, а видаляється при необхідності передачі пакета з мережі VLAN на "звичайний" порт.

Як приклад використання даної технології можна згадати мультисервісні підключення операторів - коли по одному кабелю ви отримуєте доступ до Інтернету, IPTV і телефонію. Це зустрічалося раніше в ADSL-підключення, а сьогодні застосовується в GPON.

Розглянутий комутатор підтримує спрощений режим Port-based VLAN, коли поділ на віртуальні мережі проводиться на рівні фізичних портів. Ця схема менш гнучка, ніж 802.1q, але може бути зручною в деяких конфігураціях. Зазначимо, що цей режим взаємовиключний з 802.1q, а для вибору передбачено відповідний пункт у Web-інтерфейсі.

Для створення VLAN за стандартом 802.1q потрібно на сторінці Advanced Applications — VLAN — Static VLAN вказати ім'я віртуальної мережі, її ідентифікатор, а потім вибрати порти, що беруть участь, і їх параметри. Наприклад, при підключенні звичайних клієнтів варто прибирати з пакетів, що відправляються до них, мітки VLAN.

Залежно від того, чи це підключення клієнтів або з'єднання комутаторів, на сторінці Advanced Applications - VLAN - VLAN Port Settings потрібно налаштувати необхідні опції. Зокрема це стосується додавання міток до пакетів, що надходять на вхід порту, дозволі трансляції через порт пакетів без тегів або з іншими ідентифікаторами та ізоляції віртуальної мережі.

Контроль доступу та автентифікація

Технологія Ethernet спочатку не підтримувала засобів контролю доступу до фізичного середовища. Достатньо було включити пристрій у порт комутатора – і він починав працювати у складі локальної мережі. У багатьох випадках цього достатньо, оскільки захист забезпечується складністю прямого фізичного підключення до мережі. Але сьогодні вимоги до мережевої інфраструктури суттєво змінилися і реалізація протоколу 802.1x дедалі частіше зустрічається у мережному обладнанні.

У цьому сценарії при підключенні до порту комутатора клієнт надає свої автентифікаційні дані і без підтвердження з боку сервера контролю доступу жодного обміну інформацією з мережею не відбувається. Найчастіше схема передбачає наявність зовнішнього сервера, такого як RADIUS або TACACS+. Використання 802.1x забезпечує також додаткові можливостіз контролю мережевої роботи. Якщо в стандартній схемі «прив'язатися» можна тільки до апаратного параметра клієнта (MAC-адреси), наприклад, для видачі IP, установки обмежень швидкості та прав доступу, то робота з акаунтами користувачів буде зручніша у великих мережах, оскільки дозволяє забезпечити мобільність клієнтів та інші можливості верхнього рівня.

Для перевірки використовувався сервер RADIUS на мережному накопичувачі QNAP. Він виконаний у вигляді пакета, що окремо встановлюється, і має власну базу користувачів. Для зазначеного завдання він цілком підходить, хоча загалом можливостей у нього небагато.

Як клієнт виступав комп'ютер з Windows 8.1. Для використання 802.1x на ньому потрібно увімкнути один сервіс і після цього у властивостях мережевої карти з'являється нова закладка.

Зауважимо, що в даному випадку йдеться виключно про контроль доступу до фізичного порту комутатора. Крім того, не забуваємо, що необхідно забезпечити постійний та надійний доступ комутатора до сервера RADIUS.

Для реалізації цієї можливості у комутаторі є дві функції. Перша, найпростіша, дозволяє обмежити вхідний та вихідний трафік на вказаному фізичному порту.

Також цей комутатор дозволяє використовувати пріоритезацію для фізичних портів. В цьому випадку жорстких меж для швидкості немає, але можна вибрати пристрої, трафік яких оброблятиметься в першу чергу.

Друга входить до більш загальну схемуз класифікацією комутованого трафіку за різними критеріями та є лише одним із варіантів її використання.

Спочатку на сторінці Classifier необхідно визначити правила класифікації трафіку. У них застосовуються критерії Level 2 – зокрема MAC-адреси, а також у даній моделі можна застосовувати і правила Level 3 – включаючи тип протоколу, IP-адреси та номери портів.

Далі на сторінці Policy Rule ви вказуєте необхідні дії з відібраним за вибраними правилами трафіком. Тут передбачено такі операції: встановлення мітки VLAN, обмеження швидкості, виведення пакета на заданий порт, встановлення поля пріоритету, відкидання пакета. Ці функції дозволяють, наприклад, обмежити швидкість обміну даними для даних клієнтів або сервісів.

Більш складні схеми можуть використовувати поля пріоритету 802.1p у пакетах мережі. Наприклад, ви можете вказати комутатор спочатку обробляти трафік телефонії, а перегляду сторінок в браузерах виставити найменший пріоритет.

PoE

Ще одна можливість, яка не відноситься безпосередньо до процесу комутації пакетів - забезпечення живлення клієнтських пристроїв через мережевий кабель. Часто це використовується для підключення IP-камер, телефонів та бездротових точок доступу, що дозволяє скоротити кількість проводів і спростити комутацію. При виборі такої моделі важливо враховувати кілька параметрів, основний з яких — стандарт, що використовується клієнтським обладнанням. Справа в тому, що деякі виробники використовують власні реалізації, які несумісні з іншими рішеннями і можуть призвести навіть до поломки «чужого» обладнання. Також варто виділяти «пасивний PoE», коли здійснюється передача живлення із відносно низькою напругою без зворотного зв'язку та контролю одержувача.

Більш правильним, зручним і універсальним варіантом буде використання активного PoE, що працює за стандартами 802.3af або 802.3at і здатного передати до 30 Вт (у нових версіях стандартів зустрічаються і більш високі значення). У цій схемі передавач та одержувач обмінюються між собою інформацією та узгодять необхідні параметри живлення, зокрема споживану потужність.

Для перевірки ми підключили до комутатора камеру Axis, сумісну з PoE 802.3af. На лицьовій панелі комутатора спалахнув відповідний індикатор подачі живлення на цей порт. Далі через Web-інтерфейс ми зможемо проконтролювати статус споживання портами.

Також цікава можливість керування подачею живлення на порти. Оскільки камера під'єднана одним кабелем і знаходиться в важкодоступному місці, для її перезавантаження за потреби потрібно відключати цей кабель або на стороні камери або в комутаційній шафі. А тут ви можете зайти на комутатор будь-яким доступним способом і просто зняти галочку «подавати харчування», а потім поставити її назад. Крім того, у параметрах PoE можна налаштувати систему пріоритетів надання живлення.

Як ми писали раніше, ключовим полем мережевих пакетів у цьому обладнанні є MAC-адреса. Керовані комутатори часто мають набір сервісів, орієнтованих використання цієї інформації.

Наприклад, модель, що розглядається, підтримує статичне призначення MAC-адрес на порт (зазвичай ця операція відбувається автоматично), фільтрацію (блокування) пакетів за MAC-адресами відправника або одержувача.

Крім того, ви можете обмежити кількість реєстрацій MAC-адрес клієнтів на порту комутатора, що також можна вважати додатковою опцією підвищення безпеки.

Більшість мережевих пакетів третього рівня зазвичай односпрямовані - йдуть від одного адресата до одного одержувача. Але деякі послуги застосовують технологію мультикаст, коли одержувачів в одного пакета відразу кілька. Найбільш відомий приклад – це IPTV. Використання мультикаст дозволяє істотно скоротити вимоги до смуги пропускання за необхідності доставки інформації великому числу клієнтів. Наприклад, мультикаст 100 ТВ каналів з потоком 1 Мбіт/с вимагатиме 100 Мбіт/с за будь-якої кількості клієнтів. Якщо використовувати стандартну технологію, то 1000 клієнтів зажадали б 1000 Мбіт/с.

Не будемо вдаватися до подробиць роботи IGMP, відзначимо тільки можливість тонкого налаштування комутатора для ефективної роботипри великому навантаженні цього типу.

У складних мережах можуть застосовуватися спеціальні протоколи контролю за шляхом проходження мережевих пакетів. Зокрема, вони дозволяють виключити топологічні петлі (зациклювання пакетів). Розглянутий комутатор підтримує STP, RSTP та MSTP та має гнучкі налаштування їх роботи.

Ще однією затребуваною у великих мережах функцією є захист від ситуацій типу «широкомовний шторм». Це поняття характеризує істотне збільшення широкомовних пакетів у мережі, що блокують проходження "звичайного" корисного трафіку. Найбільш простим способомБоротьба з цим є встановлення обмежень на обробку певного числа пакетів за секунду для портів комутатора.

Додатково у пристрої є функція Error Disable. Вона дозволяє комутатору відключати порти у разі виявлення надмірного службового трафіку. Це дозволяє зберегти продуктивність та забезпечити автоматичне відновленняроботи після виправлення проблеми.

Ще одне завдання, пов'язане скоріше з вимогами безпеки, — моніторинг трафіку. У звичайному режимі комутатор реалізує схему відправлення пакетів лише їх одержувачам. "Впіймати" на іншому порту "чужий" пакет неможливо. Для реалізації цього завдання використовується технологія «дзеркалювання» портів — на вибраних портах комутатора підключається контрольне обладнання та налаштовується відправка на цей порт всього трафіку із зазначених інших портів.

Функції IP Source Guard, DHCP Snooping ARP Inspection також орієнтовані підвищення безпеки. Перша дозволяє налаштувати фільтри за участю MAC, IP, VLAN та номери порту, через які проходитимуть усі пакети. Друга захищає протокол DHCP, третя автоматично блокує неавторизованих клієнтів.

Висновок

Безумовно, описані вище можливості становлять лише дещицю від доступних сьогодні на ринку технологій мережевої комутації. І навіть із цього невеликого списку знайти реальне застосування у домашніх користувачів можуть далеко не всі. Мабуть, найбільш поширеними можна назвати PoE (наприклад, для живлення мережевих відеокамер), об'єднання портів (у разі великої мережі та необхідності швидкого обміну трафіком), контроль трафіку (для забезпечення роботи потокових додатків при високому навантаженніна канал).

Звичайно, зовсім не обов'язково для вирішення цих завдань використовувати саме устрою бізнес-рівня. Наприклад, у магазинах можна знайти звичайний комутатор з PoE, об'єднання портів є і в деяких топових роутерах, пріоритезація також починає зустрічатися в деяких моделях зі швидкими процесорами та якісним програмним забезпеченням. Але, на наш погляд, варіант придбання більш професійного обладнання, у тому числі і на вторинному ринку, можна розглядати і для домашніх мереж з підвищеними вимогами до продуктивності, безпеки та керованості.

До речі, насправді, є ще один варіант. Як ми говорили вище у всіх «розумних» комутаторах, безпосередньо «розуму» може бути різна кількість. А у багатьох виробників є серії продуктів, які цілком укладаються в домашній бюджет і при цьому здатні забезпечити багато з описаних вище можливостей. Як приклад можна згадати Zyxel GS1900-8HP.

Ця модель має компактний металевий корпус та зовнішній блок живлення, в ній встановлено вісім гігабітних портів з PoE, а для налаштування та керування передбачено Web-інтерфейс.

Прошивка пристрою підтримує агрегацію портів з LACP, VLAN, обмеження швидкості портів, 802.1x, дзеркало портів та інші функції. Але на відміну від описаного вище «справжнього керованого комутатора», це налаштовується виключно через Web-інтерфейс і, при необхідності, навіть з використанням помічника.

Звичайно, не йдеться про близькість цієї моделі описаного вище пристрою за своїми можливостями в цілому (зокрема, тут відсутні засоби класифікації трафіку та функції Level 3). Швидше, це просто більш підходящий для домашнього користувача варіант. Аналогічні моделі можна знайти у каталогах та інших виробників.

18.03.1997 Дмитро Ганьжа

Комутатори займають центральне місце у сучасних локальних мережах. ТИПИ КОМУТАЦІЇ КОМУТУЮЧІ КОНЦЕНТРАТОРИ МЕТОДИ ОБРОБКИ ПАКЕТІВ RISC І ASIC АРХІТЕКТУРА КОМУТАТОРІВ СТАРШОГО КЛАСУ сучасних технологій.

Комутатори займають центральне місце у сучасних локальних мережах.

Комутація – одна з найпопулярніших сучасних технологій. Комутатори витісняють мости та маршрутизатори на периферію локальних мереж, залишаючи за ними роль організації зв'язку через глобальну мережу. Така популярність комутаторів обумовлена ​​в першу чергу тим, що вони дозволяють за рахунок мікросегментації підвищити продуктивність мережі в порівнянні з мережами, що розділяються, з тією ж номінальною пропускною здатністю. Крім поділу мережі на дрібні сегменти, комутатори дають можливість організувати підключені пристрої в логічні мережі та легко перегруповувати їх, коли це необхідно; інакше кажучи, вони дозволяють створювати віртуальні мережі.

Що таке комутатор? Згідно з визначенням IDC, "комутатор - це пристрій, конструктивно виконаний у вигляді концентратора і діє як високошвидкісний багатопортовий міст; вбудований механізм комутації дозволяє здійснювати сегментування локальної мережі та виділяти смугу пропускання кінцевим станціям в мережі" (див. статтю М. Кульгіна "Побудувати мережу, посадити дерево..." у лютневому номері LAN). Однак це визначення відноситься насамперед до комутаторів кадрів.

ТИПИ КОМУТАЦІЇ

Під комутацією зазвичай розуміють чотири різні технології - конфігураційну комутацію, комутацію кадрів, комутацію осередків та перетворення між кадрами та осередками.

Конфігураційна комутація відома також як комутація портів, причому конкретний порт на модулі інтелектуального концентратора приписується до одного з внутрішніх сегментів Ethernet (або Token Ring). Це призначення здійснюється віддаленим чином за допомогою програмного управліннямережею при підключенні або переміщенні користувачів та ресурсів у мережі. На відміну від інших технологій комутації, цей метод не підвищує продуктивність локальної мережі.

Комутація кадрів або комутація в локальній мережі використовує стандартні формати кадрів Ethernet (або Token Ring). Кожен кадр обробляється найближчим комутатором і передається далі через мережу безпосередньо одержувачу. В результаті мережа перетворюється як би на сукупність паралельно працюючих високошвидкісних прямих каналів. Те, як здійснюється комутація кадрів всередині комутатора, ми розглянемо нижче на прикладі концентратора, що комутує.

Комутація осередків застосовується в ATM. Використання невеликих осередків фіксованої довжини дає можливість створити недорогі високошвидкісні структури комутації на апаратному рівні. І комутатори кадрів, і комутатори осередків можуть підтримувати кілька незалежних робочих груп незалежно від їхнього фізичного підключення (див. розділ "Побудова віртуальних мереж").

Перетворення між кадрами та осередками дозволяє, наприклад, станції з платою Ethernet безпосередньо взаємодіяти з пристроями мережі ATM. Ця технологія застосовується під час емуляції локальної мережі.

У цьому уроці нас насамперед цікавитиме комутація кадрів.

КОМУТУЮЧІ КОНЦЕНТРАТОРИ

Перший комутуючий концентратор під назвою EtherSwictch було представлено компанією Kalpana. Цей концентратор дозволяв знизити конкуренцію у мережі за рахунок скорочення кількості вузлів у логічному сегменті за допомогою технології мікросегментації. По суті, кількість станцій в одному сегменті скорочувалася до двох: станція, що ініціює запит, та станція, що відповідає на запит. Ніяка інша станція не бачить інформацію, що передається між ними. Пакети передаються через мост, але без властивої мосту затримки.

У мережі Ethernet, що комутується, кожному члену групи з декількох користувачів може бути одночасно гарантована пропускна здатність 10 Мбіт/с. Зрозуміти, як такий концентратор працює, найкраще допомагає аналогія із звичайним старим телефонним комутатором, у якому учасників діалогу з'єднує коаксіальний кабель. Коли абонент дзвонив за "вічним" 07 і просив з'єднати його з таким номером, оператор перш за все перевіряв, чи доступна лінія; якщо так, то він з'єднував учасників безпосередньо за допомогою шматка кабелю. Ніхто інший (за винятком спецслужб, зрозуміло) не міг чути їхню розмову. Після завершення розмови оператор від'єднував кабель від обох портів і чекав на наступний виклик.

Комутують концентратори діють аналогічно (див. Рисунок 1): вони передають пакети з вхідного порту на вихідний порт через комутуючу матрицю. Коли пакет потрапляє на вхідний порт, комутатор читає його MAC-адресу (тобто адресу другого рівня), і він негайно перенаправляється на порт, пов'язаний із цією адресою. Якщо порт зайнятий, то пакет міститься у чергу. По суті, черга є буфером на вхідному порту, де пакети чекають, коли потрібний порт звільниться. Проте методи буферизації дещо відрізняються.

Малюнок 1.
Комутують концентратори функціонують аналогічно колишнім телефонним комутаторам: вони з'єднують вхідний порт безпосередньо з вихідним через комутуючу матрицю.

МЕТОДИ ОБРОБКИ ПАКЕТІВ

При наскрізній комутації (називається також комутацією на льоту і комутацією без проміжної буферизації) комутатор зчитує тільки адресу пакета, що надходить. Пакет передається далі незалежно від відсутності чи наявності у ньому помилок. Це дозволяє значно скоротити час обробки пакета, оскільки читаються лише кілька перших байт. Тому визначати дефектні пакети і запитувати їх повторну передачу повинна сторона, що приймає. Однак сучасні кабельні системи досить надійні, тому необхідність повторної передачі в багатьох мережах мінімальна. Тим не менш, ніхто не застрахований від помилок у разі пошкодження кабелю, несправності мережної платичи перешкод від зовнішнього електромагнітного джерела.

При комутації з проміжною буферизацією комутатор, отримуючи пакет, не передає його далі, поки не прочитає повністю, або принаймні не прочитає всю необхідну інформацію. Він лише визначає адресу одержувача, а й перевіряє контрольну суму, т. е. може відсікати дефектні пакети. Це дозволяє ізолювати що породжує помилки сегмент. Таким чином, комутація з проміжною буферизацією наголошує на надійність, а не на швидкість.

Крім двох перерахованих вище, деякі комутатори використовують гібридний метод. У звичайних умовах вони здійснюють наскрізну комутацію, але при цьому стежать за кількістю помилок у вигляді перевірки контрольних сум. Якщо кількість помилок досягає заданого порогового значення, вони переходять у режим комутації із проміжною буферизацією. При зниженні кількості помилок до прийнятного рівня, вони повертаються в режим наскрізної комутації. Такий тип комутації називається пороговою або адаптивною комутацією.

RISC І ASIC

Найчастіше комутатори із проміжною буферизацією реалізуються на основі стандартних процесорів RISC. Однією з переваг такого підходу є їхня відносна дешевизна порівняно з комутаторами з інтегральними схемами ASIC, проте він не дуже гарний у разі спеціалізованих додатків. Комутація в таких пристроях здійснюється за допомогою програмного забезпеченнятому їх функціональність може бути змінена за допомогою модернізації встановленого ПЗ. Нестача ж їх у тому, що вони повільніші за комутатори на базі ASIC.

Комутатори з інтегральними схемами ASIC призначені для виконання спеціалізованих завдань: вся їхня функціональність "зашита" в апаратне забезпечення. У такому підході є недолік: коли необхідна модернізація, виробник змушений переробляти схему. ASIC зазвичай здійснюють наскрізну комутацію. Комутуюча матриця ASIC створює виділені фізичні шляхи між вхідним та вихідним портом, як показано на .

АРХІТЕКТУРА КОМУТАТОРІВ СТАРШОГО КЛАСУ

Комутатори старшого класу мають, як правило, модульну структуру, і вони можуть здійснювати як комутацію пакетів, так і комутацію осередків. Модулі такого комутатора здійснюють комутацію між мережами різних типів, у тому числі Ethernet, Fast Ethernet, Token Ring, FDDI та ATM. При цьому основним механізмом комутації таких пристроїв є комутаційна структура ATM. Розглянемо архітектуру таких пристроїв на прикладі Centillion 100 компанії Bay Networks.

Комутація здійснюється за допомогою наступних трьох апаратних компонентів (див. малюнок 2):

(1x1)

Рисунок 2.
У комутаторах старшого класу комутація осередків використовується все частіше завдяки її високій швидкості та простоті міграції до ATM.

Кожен модуль комутатора має порти введення/виводу, буферну пам'ять та CellManager ASIC. Крім того, кожен модуль для локальної мережі має процесор RISC для здійснення комутації кадрів між локальними портами і збирача/розбирача пакетів для перетворення кадрів і осередків один в одного. Всі модулі можуть самостійно здійснювати комутацію між своїми портами, тому тільки трафік, призначений іншим модулям, передається через об'єднувальну панель.

Кожен модуль підтримує свою власну таблицю адрес, а головний процесор зводить їх в одну загальну таблицю, завдяки чому окремий модуль може бачити мережу в цілому. Якщо, наприклад, модуль Ethernet отримує пакет, він визначає, кому цей пакет адресовано. Якщо адреса перебуває у локальній таблиці адрес, то RISC-процесор здійснює комутацію пакета між локальними портами. Якщо адресат знаходиться на іншому модулі, то збирач/розбірник перетворює пакет на комірки. CellManager вказує маску адресата для ідентифікації модуля(-ів) та порту(-ів), яким призначений корисний вантаж осередків. Кожен модуль, біт маски плати якого заданий масці адресата, копіює осередок в локальну пам'ять і передає дані на відповідний вихідний порт відповідно до заданих біт маски портів.

ПОБУДУВАННЯ ВІРТУАЛЬНИХ МЕРЕЖ

Крім підвищення продуктивності, комутатори дозволяють створювати віртуальні мережі. Одним із методів створення віртуальної мережі є створення широкомовного домену за допомогою логічного з'єднання портів усередині фізичної інфраструктури. комунікаційного устрою(це можливо як інтелектуальний концентратор - конфігураційна комутація, і комутатор - комутація кадрів). Наприклад, непарні порти восьмипортового пристрою приписуються до однієї віртуальної мережі, а парні - до іншої. В результаті станція в одній віртуальній мережі виявляється ізольованою від станцій до іншої. Недолік такого методу організації віртуальної мережі полягає в тому, що всі станції, підключені до одного і того ж порту, повинні належати до однієї віртуальної мережі.

Інший спосіб створення віртуальної мережі базується на MAC-адресах підключених пристроїв. При такому способі організації віртуальної мережі будь-який співробітник може підключати, наприклад, свій портативний комп'ютердо будь-якого порту комутатора, і він автоматично визначатиме належність його користувача до тієї чи іншої віртуальної мережі на основі MAC-адреси. Такий спосіб дозволяє також користувачам, підключеним до одного порту комутатора, належати до різних віртуальних мереж. Докладніше про віртуальні мережі див. статтю А. Авдуєвського "Такі реальні віртуальні мережі" у березневому номері LAN за цей рік.

КОМУТАЦІЯ ТРЕТЬОГО РІВНЯ

За всіх їх переваг комутатори мають один істотний недолік: вони не в силах захистити мережу від лавин широкомовних пакетів, а це веде до непродуктивного завантаження мережі і збільшення часу відгуку. Маршрутизатори можуть контролювати та фільтрувати непотрібний широкомовний трафік, але вони працюють на порядок повільніше. Так, згідно з документацією Case Technologies, типова продуктивність маршрутизатора становить 10 000 пакетів на секунду, а це не йде в жодне порівняння з аналогічним показником комутатора - 600 000 пакетів на секунду.

В результаті багато виробників стали вбудовувати в комутатори функції маршрутизації. Щоб робота комутатора не сповільнилася істотно, застосовуються різні методи: наприклад, і комутація другого рівня, і комутація третього рівня реалізуються безпосередньо в апаратному забезпеченні (в інтегральних схемах ASIC). Різні виробники називають цю технологію по-різному, але одна мета: маршрутизуючий комутатор повинен виконувати функції третього рівня з тією ж швидкістю, що і функції другого рівня. Важливим фактором є і ціна такого пристрою в розрахунку на порт: вона також повинна бути невисокою, як і у комутаторів (див. статтю Ніка Ліппіса в наступному номері журналу LAN).

ВИСНОВОК

Комутатори і конструктивно, і функціонально дуже різноманітні; в одній невеликій статті неможливо охопити усі їхні аспекти. У наступному уроці ми докладно розглянемо комутатори ATM.

Дмитро Ганьжа – відповідальний редактор LAN. З ним можна зв'язатися на адресу: [email protected].

Комутатори в локальній мережі