Przełączniki L2 i l3. Jaka jest „warstwa” przełącznika L1, L2, L3, L4

To pierwszy artykuł z serii „Sieci dla najmłodszych”. Maxim aka Gluck i ja długo zastanawialiśmy się, od czego zacząć: routing, VLANy, konfiguracja sprzętu. W końcu postanowiliśmy zacząć od podstawowej i, można powiedzieć, najważniejszej rzeczy: planowania. Od cyklu jest przeznaczony dla zupełnie początkujących, przejdziemy całą drogę od początku do końca.

Zakłada się, że znasz przynajmniej model referencyjny OSI, stos protokołów TCP/IP, wiesz o typach istniejących sieci VLAN, o najpopularniejszej obecnie sieci VLAN opartej na portach oraz o adresach IP. Rozumiemy, że OSI i TCP/IP to przerażające słowa dla początkujących. Ale nie martw się, nie używamy ich, by cię zastraszyć. To jest coś, z czym będziesz musiał się spotykać każdego dnia, dlatego podczas tego cyklu postaramy się ujawnić ich znaczenie i związek z rzeczywistością.

Zacznijmy od ustawienia problemu. Istnieje pewna firma zajmująca się na przykład produkcją wind, które jeżdżą tylko w górę, dlatego nazywa się Lift mi ap LLC. Znajdują się one w starym budynku na Arbacie, a spróchniałe przewody zakleszczone w spalonych i spalonych przełącznikach 10Base-T nie spodziewają się podłączenia nowych serwerów za pomocą kart gigabitowych. Tak więc mają katastrofalne zapotrzebowanie na infrastrukturę sieciową, a pieniądze nie są dziobane przez kurczaki, co daje nieograniczony wybór. To wspaniałe marzenie każdego inżyniera. A wczoraj zdałeś rozmowę kwalifikacyjną iw trudnej walce słusznie dostałeś stanowisko administratora sieci. A teraz jesteś w nim pierwszym i jedynym w swoim rodzaju. Gratulacje! Co dalej?

Sytuacja powinna być dość specyficzna:

1. V ten moment firma posiada dwa biura: 200 placów na Arbacie dla stacji roboczych oraz serwerownię. Reprezentowanych jest tam kilku dostawców. Kolejny na Rublewce.
2. Istnieją cztery grupy użytkowników: księgowość (B), dział finansowo-ekonomiczny (FEO), dział produkcyjno-techniczny (POM), pozostali użytkownicy (D). A także są serwery (C), które są umieszczone w osobnej grupie. Wszystkie grupy są oddzielone i nie mają do siebie bezpośredniego dostępu.
3. Użytkownicy z grup C, B i FEO będą przebywać tylko w biurze na Arbat, PTO i D będą w obu biurach.

Po oszacowaniu liczby użytkowników, wymaganych interfejsów, kanałów komunikacji przygotowujesz schemat sieci i plan IP.

Projektując sieć, należy starać się stosować hierarchiczny model sieci, który ma wiele zalet w porównaniu z „siecią płaską”:

• ułatwia zrozumienie networkingu
• model zakłada modułowość, co oznacza, że ​​łatwo jest zwiększyć wydajność dokładnie tam, gdzie jest to potrzebne
• łatwiej znaleźć i wyizolować problem
• zwiększona odporność na awarie z powodu powielania urządzeń i/lub połączeń
• dystrybucja funkcji w celu zapewnienia działania sieci na różnych urządzeniach.

Zgodnie z tym modelem sieć podzielona jest na trzy logiczne poziomy: rdzeń sieci(Warstwa rdzeniowa: urządzenia o wysokiej wydajności, głównym celem jest szybki transport), wskaźnik dystrybucji(Warstwa dystrybucji: wymusza polityki bezpieczeństwa, QoS, agregację i routing w sieciach VLAN, definiuje domeny rozgłoszeniowe) oraz poziom dostępu(Warstwa dostępu: zazwyczaj przełączniki L2, przeznaczenie: podłączanie urządzeń końcowych, znakowanie ruchu dla QoS, ochrona przed pierścieniami w sieci (STP) i burzami rozgłoszeniowymi, zasilanie urządzeń PoE).

W skali takiej jak nasza rola każdego urządzenia jest rozmyta, ale możliwe jest logiczne rozdzielenie sieci.

Zróbmy przybliżony diagram:

Na przedstawionym schemacie rdzeń (Core) będzie routerem 2811, przełącznik 2960 będzie odnoszony do poziomu dystrybucji (Distribution), ponieważ wszystkie sieci VLAN są na nim agregowane we wspólną magistralę. Przełączniki 2950 będą urządzeniami Access. Podłączeni będą do nich użytkownicy końcowi, sprzęt biurowy i serwery.

Nazwiemy urządzenia w następujący sposób: skrócona nazwa miasta ( msk) - położenie geograficzne (ulica, budynek) ( arbata) - rola urządzenia w sieci + numer kolejny.

Zgodnie z ich rolami i lokalizacją, wybieramy nazwa hosta:

• router 2811: msk-arbat-gw1(gw = Brama = Brama);
• przełącznik 2960: msk-arbat-dsw1(dsw = przełącznik dystrybucyjny);
• przełączniki 2950: msk-arbat-aswN, msk-rubl-asw1(asw = Przełącznik dostępu).

Dokumentacja sieci

Cała sieć musi być ściśle udokumentowana: od schemat, przed nazwą interfejsu.

Przed przystąpieniem do konfiguracji chciałbym podać listę wymaganych dokumentów i czynności:

• schematy sieciowe L1, L2, L3 zgodne z warstwami modelu OSI (fizyczne, kanałowe, sieciowe);
• Plan adresowania IP = Plan IP;
• Lista VLAN;
• podpisy ( opis) interfejsy;
• listę urządzeń (dla każdego należy podać: model danego elementu sprzętowego, zainstalowana wersja IOS, ilość pamięci RAM \ NVRAM, lista interfejsów);
• etykiety na kablach (skąd i gdzie idą), w tym na kablach i urządzeniach zasilających i uziemiających;
• jedno rozporządzenie, które definiuje wszystkie powyższe parametry i inne.

To, co będziemy śledzić w programie symulacyjnym, zostało wyróżnione pogrubieniem. Oczywiście wszystkie zmiany sieciowe muszą być wprowadzane w dokumentacji i konfiguracji, aby były aktualne.

Kiedy mówimy o etykietach / naklejkach na kablach, mamy na myśli to:

Na tym zdjęciu wyraźnie widać, że każdy kabel jest oznaczony, znaczenie każdej maszyny na desce rozdzielczej w stelażu, a także każde urządzenie.

Przygotujemy potrzebne nam dokumenty:

Lista VLAN

Każda grupa zostanie przydzielona do osobnego vlana. Ograniczy to domeny rozgłoszeniowe. Wprowadzimy również specjalną sieć VLAN do zarządzania urządzeniami. Numery VLAN od 4 do 100 są zarezerwowane do wykorzystania w przyszłości.

Plan IP

Przydział podsieci jest na ogół arbitralny, odpowiadający tylko liczbie węzłów w tej sieci lokalna sieć biorąc pod uwagę możliwy wzrost. W tym przykładzie wszystkie podsieci mają maskę standardową / 24 (/24=255.255.255.0) - są one często używane w sieciach lokalnych, ale nie zawsze. Radzimy przeczytać o klasach sieci. W przyszłości przejdziemy do adresowania bezklasowego (cisco). Rozumiemy, że linki do artykułów technicznych w Wikipedii to złe maniery, ale dają dobrą definicję, a my postaramy się przenieść to na obraz świata rzeczywistego.

Sieć typu punkt-punkt to połączenie typu punkt-punkt z jednego routera do drugiego. Zazwyczaj brane są adresy z maską 30 (powracając do tematu sieci bezklasowych), czyli zawierające dwa adresy hostów. Później stanie się jasne, o co chodzi.

Plan podłączenia sprzętu według portów

Oczywiście teraz są przełączniki z garścią portów 1Gb Ethernet, są przełączniki z 10G, na zaawansowanym sprzęcie operatorskim kosztującym wiele tysięcy dolarów jest 40Gb, 100Gb jest w fazie rozwoju (a według plotek są nawet takie płyt, które zostały dopuszczone do produkcji przemysłowej). W związku z tym możesz wybrać przełączniki i routery w świecie rzeczywistym zgodnie ze swoimi potrzebami, nie zapominając o budżecie. W szczególności przełącznik gigabitowy można teraz kupić niedrogo (20-30 tys.) i to z marginesem na przyszłość (jeśli oczywiście nie jesteś dostawcą). Router z portami gigabitowymi jest już znacznie droższy niż router z portami 100Mbps, ale warto, bo modele FE (100Mbps FastEthernet) są przestarzałe, a ich przepustowość jest bardzo niska.

Ale w programach emulatora/symulatora, z których będziemy korzystać, występują niestety tylko proste modele sprzętu, więc modelując sieć zaczniemy od tego, co mamy: router cisco2811, switche cisco2960 i 2950.

Dlaczego w ten sposób przydzielane są sieci VLAN, zostanie wyjaśnione w kolejnych sekcjach.

Schematy sieciowe

Na podstawie tych danych można na tym etapie sporządzić wszystkie trzy schematy sieciowe. Aby to zrobić, możesz użyć programu Microsoft Visio, dowolnego darmowa aplikacja, ale w odniesieniu do jego formatu, czy edytorów graficznych (można to zrobić ręcznie, ale trudno będzie je na bieżąco aktualizować :)).

Nie po to, by promować open source, ale różne fundusze w celu korzystania z Dia. Uważam go za jednego z najlepsze aplikacje do pracy z diagramami pod Linuksem. Istnieje wersja dla systemu Windows, ale niestety nie ma kompatybilności w VISIO.

L1

Oznacza to, że na diagramie L1 odzwierciedlamy fizyczne urządzenia sieci z numerami portów: co jest podłączone gdzie.

L2

Na diagramie L2 wskazujemy nasze sieci VLAN.

L3

W naszym przykładzie schemat trzeciego poziomu okazał się raczej bezużyteczny i niezbyt przejrzysty, ze względu na obecność tylko jednego urządzenia routującego. Ale z czasem porośnie szczegółami.

Jak widać, informacje w dokumentach są zbędne. Na przykład numery VLAN są powtarzane zarówno na diagramie, jak iw planie według portów. Tutaj niejako, kto jest do czego dobry. Ponieważ jest to dla Ciebie wygodniejsze, zrób to. Ta nadmiarowość utrudnia aktualizację w przypadku zmiany konfiguracji, ponieważ trzeba ją naprawić w kilku miejscach jednocześnie, ale z drugiej strony ułatwia to zrozumienie.

W przyszłości wrócimy do tego pierwszego artykułu więcej niż raz, tak jak zawsze będziesz musiał wracać do tego, co pierwotnie zaplanowałeś. Właściwie to zadanie jest dla tych, którzy dopiero zaczynają się uczyć i są gotowi podjąć wysiłek: czytaj dużo o vlanach, adresowaniu IP, znajdź programy Packet Tracer i GNS3. Jeśli chodzi o podstawową wiedzę teoretyczną, radzimy rozpocząć lekturę prasy Cisco. To na pewno będziesz musiał wiedzieć. W kolejnej części wszystko będzie w dorosły sposób, z filmikiem nauczymy się łączyć ze sprzętem, radzić sobie z interfejsem i podpowiadać, co zrobić z nieostrożnym administratorem, który zapomniał hasła.

Oryginalny artykuł:

Tagi

Z miłym uśmiechem przypominam sobie teraz, jak ludzkość z niepokojem oczekiwała końca świata w 2000 roku. Wtedy tak się nie stało, ale wydarzyło się zupełnie inne wydarzenie, również bardzo znaczące.

Historycznie w tym czasie świat wszedł w prawdziwą rewolucję komputerową v. 3.0. - początek technologie chmurowe rozproszone przechowywanie i przetwarzanie danych... Co więcej, jeśli poprzednią „drugą rewolucją” było masowe przejście na technologie „klient-serwer” w latach 80tych, to pierwszą można uznać za początek jednoczesnej pracy użytkowników korzystających z oddzielnych terminali podłączonych do tzw. „Mainframe” (w latach 60. ubiegłego wieku). Te rewolucyjne zmiany zaszły spokojnie i niepostrzeżenie dla użytkowników, ale wpłynęły na cały świat biznesu wraz z informatyką.

Przy przenoszeniu infrastruktury IT do i zdalnych centrów danych (centrów przetwarzania danych) kluczową kwestią od razu staje się organizacja niezawodnych kanałów komunikacji od klienta. W Internecie często pojawiają się propozycje od dostawców: „fizyczna linia dzierżawiona, światłowód”, „kanał L2”, „VPN” i tak dalej… Spróbujmy dowiedzieć się, co za tym kryje się w praktyce.

Kanały komunikacji - fizyczne i wirtualne

1. Organizacja „linii fizycznej” lub „kanału drugiego poziomu, L2” nazywana jest zwykle usługą dostarczenia przez dostawcę dedykowanego kabla (miedzianego lub światłowodowego) lub kanału radiowego pomiędzy urzędami a tymi obiektami, w których dane wyposażenie centrum jest wdrażane. Zamawiając tę ​​usługę w praktyce najprawdopodobniej otrzymasz do wynajęcia dedykowany kanał światłowodowy. Rozwiązanie to jest atrakcyjne, ponieważ dostawca odpowiada za niezawodną komunikację (a w przypadku uszkodzenia kabla samodzielnie przywraca sprawność kanału). Jednak w rzeczywistości kabel nie jest solidny – składa się z wielu połączonych (spawanych) fragmentów, co nieco obniża jego niezawodność. W drodze ułożenia światłowodu dostawca musi zastosować w punktach końcowych wzmacniacze, rozgałęźniki i modemy.

W materiałach marketingowych do L2 (Data-Link) model sieci OSI lub TCP/IP odwołuje się do tego rozwiązania warunkowo - pozwala ono pracować niejako na poziomie przełączania ramek Ethernet w sieci LAN, bez obaw o wiele problemów z routingiem pakietów na kolejnej, warstwie sieci IP. Na przykład możliwe jest dalsze używanie ich tak zwanych „prywatnych” adresów IP w sieciach wirtualnych klientów zamiast zarejestrowanych unikalnych adresów publicznych. Ponieważ korzystanie z prywatnych adresów IP w sieciach lokalnych jest bardzo wygodne, użytkownikom przydzielono specjalne zakresy z głównych klas adresowania:

• 10.0.0.0 - 10.255.255.255 w klasie A (z maską 255.0.0.0 lub / 8 w alternatywnym formacie zapisu maski);
• 100.64.0.0 - 100.127.255.255 w klasie A (z maską 255.192.0.0 lub / 10);
• 172.16.0.0 - 172.31.255.255 w klasie B (z maską 255.240.0.0 lub / 12);
• 192.168.0.0 - 192.168.255.255 w klasie C (z maską 255.255.0.0 lub /16).

Takie adresy są wybierane przez samych użytkowników do „użytku wewnętrznego” i mogą być powtarzane jednocześnie w tysiącach sieci klienckich, dzięki czemu pakiety danych z prywatnymi adresami w nagłówku nie są kierowane w Internecie – aby uniknąć nieporozumień. Aby uzyskać dostęp do Internetu, musisz użyć NAT (lub innego rozwiązania) po stronie klienta.

Uwaga: NAT — translacja adresów sieciowych (mechanizm zastępowania) adresy sieciowe pakiety tranzytowe w sieciach TCP/IP, służy do trasowania pakietów z sieci lokalnej klienta do innych sieci/Internetu oraz w kierunku przeciwnym - wewnątrz sieci LAN klienta, do adresata).

Takie podejście (a mówimy o kanale dedykowanym) ma też oczywistą wadę – w przypadku przeprowadzki biura klienta mogą pojawić się poważne trudności z podłączeniem do nowej lokalizacji i możliwa jest konieczność zmiany dostawcy.

Twierdzenie, że taki kanał jest znacznie bezpieczniejszy, lepiej chroniony przed złośliwymi atakami i błędami nisko wykwalifikowanego personelu technicznego, po bliższym zbadaniu okazuje się mitem. W praktyce problemy bezpieczeństwa często pojawiają się (lub są celowo kreowane przez hakera) bezpośrednio po stronie klienta, przy udziale czynnika ludzkiego.

2. Kanały wirtualne i zbudowane na nich VPN (Virtual Private Network) są szeroko rozpowszechnione i pozwalają na rozwiązanie większości zadań klienta.

Zapewnienie „L2 VPN” przez dostawcę zakłada wybór kilku możliwych usług „drugiego poziomu”, L2:

VLAN - klient otrzymuje wirtualną sieć między swoimi biurami, oddziałami (w rzeczywistości ruch klienta przechodzi przez aktywny sprzęt dostawcy, co ogranicza prędkość);

Punkt-punkt PWE3(innymi słowy, „pseudo-end-to-end emulacja” w sieciach z komutacją pakietów) umożliwia przesyłanie ramek Ethernet między dwoma węzłami tak, jakby były bezpośrednio połączone kablem. Dla klienta w tej technologii istotne jest, aby wszystkie przesyłane ramki były dostarczane do punktu zdalnego w niezmienionej postaci. To samo dzieje się w przeciwnym kierunku. Jest to możliwe dzięki temu, że ramka klienta docierająca do routera dostawcy jest dalej enkapsulowana (dodawana) do bloku danych wyższego poziomu (pakiet MPLS) i wyodrębniana w punkcie końcowym;

Uwaga: PWE3 - Pseudo-Wire Emulation Edge to Edge (mechanizm, dzięki któremu z punktu widzenia użytkownika otrzymuje dedykowane połączenie).

MPLS - MultiProtocol Label Switching (technologia transmisji danych, w której pakietom przypisywane są etykiety transportowe/usługowe, a ścieżka transmisji pakietów danych w sieciach jest określana wyłącznie na podstawie wartości etykiet, niezależnie od medium transmisyjnego, przy użyciu dowolnego protokołu. Podczas trasowanie, nowe etykiety mogą być dodawane (w razie potrzeby) lub usuwane po zakończeniu ich funkcji (zawartość paczek nie jest analizowana ani zmieniana).

VPLS to technologia symulacji wielopunktowej sieci LAN. W tym przypadku sieć dostawcy wygląda jak pojedynczy przełącznik od strony klienta, który przechowuje tablicę adresów MAC urządzeń sieciowych. Taki wirtualny „przełącznik” dystrybuuje ramkę Ethernet, która pochodzi z sieci klienta, zgodnie z jej przeznaczeniem – w tym celu ramka jest enkapsulowana w pakiecie MPLS, a następnie wyodrębniana.

Uwaga: VPLS to usługa wirtualnej prywatnej sieci LAN (mechanizm, dzięki któremu, z punktu widzenia użytkownika, jego rozproszone geograficznie sieci są połączone wirtualnymi połączeniami L2).

MAC - Media Access Control (metoda kontroli dostępu do mediów - unikalny 6-bajtowy identyfikator adresu urządzenia sieciowego (lub jego interfejsów) w sieciach Ethernet).

3. W przypadku wdrożenia „L3 VPN” sieć dostawcy wygląda w oczach klienta jak jeden router z kilkoma interfejsami. Dlatego połączenie sieci lokalnej klienta z siecią dostawcy następuje na poziomie L3 modelu sieci OSI lub TCP/IP.

Publiczne adresy IP dla punktów styku sieci można ustalić w porozumieniu z dostawcą (należą do klienta lub można je uzyskać od dostawcy). Adresy IP są konfigurowane przez klienta na swoich routerach po obu stronach (prywatne - od strony sieci lokalnej, publiczne - od dostawcy), dalszy routing pakietów danych zapewnia dostawca. Technicznie do wdrożenia takiego rozwiązania wykorzystywany jest MPLS (patrz wyżej), a także technologie GRE i IPSec.

Uwaga: GRE - Generic Routing Encapsulation (protokół tunelujący, pakujący pakiety sieciowe, który pozwala na ustanowienie bezpiecznego połączenia logicznego między dwoma punktami końcowymi - przy użyciu enkapsulacji protokołu w warstwie sieci L3).

IPSec - IP Security (zestaw protokołów do ochrony danych przesyłanych przy użyciu protokołu IP. Stosowane jest uwierzytelnianie, szyfrowanie i sprawdzanie integralności pakietów).

Ważne jest, aby zrozumieć, że nowoczesna infrastruktura sieciowa jest zbudowana w taki sposób, że klient widzi tylko tę jej część, która jest określona umową. Dedykowane zasoby (wirtualne serwery, routery, live storage i Zarezerwuj kopię), a także uruchomione programy i zawartość pamięci są całkowicie odizolowane od innych użytkowników. Kilka serwerów fizycznych może pracować jednocześnie i jednocześnie dla jednego klienta, z punktu widzenia którego będą wyglądały jak jedna potężna pula serwerów. I odwrotnie, na jednym serwer fizyczny można stworzyć wiele maszyn wirtualnych w tym samym czasie (każda będzie wyglądać podobnie do użytkownika) do osobnego komputera z system operacyjny). Oprócz standardowych, oferowane są rozwiązania indywidualne, spełniające również przyjęte wymagania dotyczące bezpieczeństwa przetwarzania i przechowywania danych klientów.

Jednocześnie konfiguracja sieci „poziomu 3” wdrożonej w chmurze pozwala na skalowanie do praktycznie nieograniczonych rozmiarów (na tej zasadzie budowane są Internet i duże centra danych). Protokoły routingu dynamicznego, takie jak OSPF i inne w sieciach chmurowych L3, pozwalają wybrać najkrótsze trasy dla routingu pakietów danych, wysyłać pakiety jednocześnie na kilka sposobów najlepszy ładunek oraz rozszerzenie pojemności kanału.

Jednocześnie możliwe jest wdrożenie sieci wirtualnej na „poziomie L2”, co jest typowe dla małych centrów danych i przestarzałych (lub wysoce specyficznych) aplikacji klienckich. W niektórych z tych przypadków nawet technologia L2 nad L3 jest wykorzystywana w celu zapewnienia zgodności sieci i wydajności aplikacji.

Podsumujmy

Dziś zadania użytkownika/klienta w większości przypadków można skutecznie rozwiązać, organizując wirtualną prywatność Sieci VPN korzystanie z technologii GRE i IPSec dla bezpieczeństwa.

Nie ma sensu przeciwstawiać się L2 i L3, tak jak nie ma sensu rozważać oferty kanału L2 najlepszym rozwiązaniem zbudowanie niezawodnej komunikacji w Twojej sieci, panaceum. Nowoczesne kanały komunikacji i wyposażenie dostawców pozwalają na przekazywanie ogromnej ilości informacji, a wiele dedykowanych kanałów dzierżawionych przez użytkowników jest wręcz niewykorzystanych. Zasadne jest stosowanie L2 tylko w szczególnych przypadkach, gdy wymaga tego specyfika zadania, uwzględnij ograniczenia możliwości przyszłej rozbudowy takiej sieci i skonsultuj się ze specjalistą. Z drugiej strony, sieci wirtualne Sieci VPN L3, przy wszystkich innych parametrach, są bardziej wszechstronne i łatwiejsze w użyciu.

W tym przeglądzie pokrótce wymieniono nowoczesne typowe rozwiązania, które są używane podczas przenoszenia lokalnej infrastruktury IT do zdalnych centrów danych. Każdy z nich ma swojego konsumenta, zalety i wady, właściwy wybór rozwiązania zależy od konkretnego zadania.

W rzeczywistości oba poziomy modelu sieciowego L2 i L3 współpracują ze sobą, każdy odpowiada za swoje własne zadanie i przeciwstawiając się im w reklamie, dostawcy są otwarcie przebiegli.

Kup przełącznik L2

Przełączniki są najważniejszym elementem nowoczesnych sieci komunikacyjnych. W tej sekcji katalogu prezentowane są jako zarządzane przełączniki warstwy 2, Gigabit Ethernet i niezarządzane przełączniki Fast Ethernet. W zależności od zadań do rozwiązania wybierane są przełączniki poziomu dostępu (2 poziomy), agregacji i rdzeni lub przełączniki z wieloma portami i wysokowydajną magistralą.

Zasadą działania urządzeń jest przechowywanie danych o zgodności ich portów z adresem IP lub MAC urządzenia podłączonego do switcha.

Schemat sieci

Aby osiągnąć wysokie prędkości, szeroko stosowana jest technologia przesyłania informacji przy użyciu przełącznika Gigabit Ethernet (GE) i 10 Gigabit Ethernet (10GE). Transmisja informacji z dużymi prędkościami, zwłaszcza w sieciach o dużej skali, implikuje wybór takiej topologii sieci, która umożliwia elastyczną dystrybucję szybkich strumieni.

Wielowarstwowe podejście do tworzenia sieci z wykorzystaniem zarządzanych przełączników warstwy 2 optymalnie rozwiązuje takie problemy, ponieważ implikuje stworzenie architektury sieci w postaci poziomów hierarchicznych i umożliwia:

• skalować sieć na każdym poziomie bez wpływu na całą sieć;
• dodaj różne poziomy;
• zwiększać funkcjonalność sieci w razie potrzeby;
• zminimalizować koszty zasobów do rozwiązywania problemów;
• szybko rozwiązuj problemy z przeciążeniem sieci.

Głównymi aplikacjami sieciowymi opartymi na proponowanym sprzęcie są usługi Triple Play (IPTV, VoIP, Data), VPN, realizowane poprzez uniwersalny transport różnego rodzaju ruchu - sieć IP.

Zarządzalne przełączniki II poziomu technologii Gigabit Ethernet pozwalają na stworzenie architektury sieciowej składającej się z trzech poziomów hierarchii:

1. Warstwa rdzeniowa... Tworzone przez przełączniki rdzeniowe. Komunikacja między urządzeniami odbywa się za pomocą kabla światłowodowego zgodnie ze schematem „redundantnego pierścienia”. Przełączniki rdzeniowe obsługują wysoką przepustowość sieci i umożliwiają przesyłanie strumieniowe 10 Gigabit między dużymi węzłami rozliczenia np. między obszarami miejskimi. Przejście na kolejny poziom hierarchii - poziom dystrybucji, odbywa się kanałem optycznym z prędkością 10Gigabit przez optyczne porty XFP. Cechami tych urządzeń są wysoka przepustowość i przetwarzanie pakietów od L2 do L4.
2. Warstwa dystrybucyjna... Tworzone przez przełączniki krawędziowe. Komunikacja odbywa się za pomocą kabla światłowodowego zgodnie ze schematem „redundantnego pierścienia”. Poziom ten pozwala zorganizować transmisję strumienia z prędkością 10Gigabit pomiędzy punktami zagęszczenia użytkowników, na przykład pomiędzy osiedlami mieszkalnymi lub grupą budynków. Połączenie przełączników warstwy dystrybucyjnej z warstwą dolną - warstwa dostępowa realizowane jest poprzez optyczne kanały 1Gigabit Ethernet poprzez porty optyczne SFP. Cechy tych urządzeń: szerokie pasmo i przetwarzanie pakietów od L2 do L4, a także obsługa protokołu EISA, który pozwala na przywrócenie komunikacji w ciągu 10ms przy zerwaniu pierścienia optycznego.
3. Dostęp do warstwy... Składa się z zarządzanych przełączników L2. Komunikacja odbywa się za pomocą kabla światłowodowego z prędkością 1Gigabit. Przełączniki poziomu dostępu można podzielić na dwie grupy: tylko z interfejsem elektrycznym, a także posiadające optyczne porty SFP do tworzenia pierścienia na ich poziomie i łączenia z poziomem dystrybucji.

Z reguły, jeśli chcesz podłączyć wszystkie urządzenia sieciowe i klienckie do sieci, jest to jedno z głównych, najbardziej odpowiednich urządzeń do tego celu. Wraz ze wzrostem różnorodności aplikacji sieciowych i liczby sieci konwergentnych, nowy przełącznik sieciowy warstwy 3 jest efektywnie wykorzystywany zarówno w centrach danych, jak i złożonych sieci korporacyjne, aplikacje komercyjne oraz w bardziej złożonych projektach klienckich.

Co to jest przełącznik warstwy 2?

Przełącznik warstwy 2 (Layer2 lub L2) jest przeznaczony do łączenia kilku urządzeń sieci lokalnej (LAN) lub kilku segmentów danej sieci. Przełącznik warstwy 2 przetwarza i rejestruje adresy MAC przychodzących ramek, realizuje fizyczne adresowanie i kontrolę przepływu danych (VLAN, filtrowanie multicast, QoS).

Terminy „Poziom 2” i „Poziom 3” pochodzą pierwotnie z Protokołu interakcji otwarte sieci(OSI), który jest jednym z głównych modeli używanych do opisu i wyjaśniania, jak to działa komunikacja sieciowa. Model OSI definiuje siedem poziomów interakcji między systemami: poziom aplikacji, poziom reprezentatywny, poziom sesji, poziom transportu, Warstwa sieci, warstwa kanału transmisji danych (warstwa łącza danych) i warstwa fizyczna, wśród których warstwa sieci to warstwa 3, a warstwa kanału transmisji danych to warstwa 2.

Rysunek 1: Warstwa 2 i Warstwa 3 w protokole Open Network Interconnection (OSI).

Warstwa 2 zapewnia bezpośredni transfer danych między dwoma urządzeniami w sieci lokalnej. Podczas pracy przełącznik warstwy 2 zapisuje tablicę adresów MAC, w której przetwarzane i rejestrowane są adresy MAC przychodzących ramek oraz zapamiętywany jest sprzęt podłączony przez port. Tablice danych są przełączane w adresach MAC tylko w obrębie sieci lokalnej, co pozwala na przechowywanie danych tylko wewnątrz sieci. W przypadku korzystania z przełącznika warstwy 2 można wybrać określone porty przełącznika do sterowania przepływem (VLAN). Z kolei porty znajdują się w różnych podsieciach warstwy 3.

Co to jest przełącznik warstwy 3?

(Warstwa 3 lub L3) to w rzeczywistości routery, które implementują mechanizmy routingu (logiczne adresowanie i wybór ścieżki dostarczania danych (trasy) przy użyciu protokołów routingu (RIP v.1 i v.2, OSPF, BGP, zastrzeżone protokoły routingu itp.) nie w oprogramowanie urządzenia, ale przy użyciu specjalistycznego sprzętu (mikroukładów).

Router jest najczęściej spotykanym urządzeniem sieciowym związanym z Warstwą 3. Przełączniki te pełnią funkcje routingu (adresowania logicznego i wyboru ścieżki dostarczania) pakietów na adres IP odbiorcy (protokół internetowy). Przełączniki warstwy 3 sprawdzają źródłowe i docelowe adresy IP każdego pakietu danych w swojej tabeli routingu IP i określają najlepszy adres, do którego należy przekazać pakiet (router lub przełącznik). Jeśli docelowy adres IP nie zostanie znaleziony w tabeli, pakiet nie zostanie wysłany, dopóki nie zostanie określony router docelowy. Z tego powodu proces routingu odbywa się z pewnym opóźnieniem.

Przełączniki warstwy 3 (lub wielowarstwowe) mają niektóre funkcje przełączników i routerów warstwy 2. W rzeczywistości są to trzy różne urządzenia przeznaczony różne aplikacje które są wysoce zależne od dostępnych funkcji. Jednak wszystkie trzy urządzenia mają również pewne wspólne funkcje.

Przełącznik warstwy 2 a przełącznik warstwy 3: jaka jest różnica?

Główną różnicą między przełącznikami warstwy 2 i warstwy 3 jest ich funkcja routingu. Przełącznik warstwy 2 działa tylko z adresami MAC, ignorując adresy IP i elementy wyższego poziomu. Przełącznik warstwy 3 pełni wszystkie funkcje przełącznika warstwy 2. Ponadto może wykonywać routing statyczny i dynamiczny. Oznacza to, że przełącznik warstwy 3 ma zarówno tabelę adresów MAC, jak i tabelę routingu IP, a także łączy wiele urządzeń sieci LAN VLAN i kieruje pakiety między różnymi sieciami VLAN. Przełącznik, który zapewnia tylko routing statyczny, jest zwykle nazywany Layer 2+ lub Layer 3 Lite. Oprócz routingu pakietów przełączniki warstwy 3 zawierają również pewne funkcje, które wymagają informacji o tych adresach IP w przełączniku, takie jak oznaczanie ruchu VLAN na podstawie adresu IP zamiast ustawienie ręczne Port. Ponadto przełączniki warstwy 3 charakteryzują się wyższym zużyciem energii i zwiększonymi wymaganiami w zakresie bezpieczeństwa.

Przełącznik warstwy 2 a przełącznik warstwy 3: jak wybrać?

Wybierając między przełącznikami warstwy 2 i warstwy 3, należy rozważyć, gdzie i w jaki sposób przełącznik będzie używany. Jeśli masz domenę warstwy 2, możesz po prostu użyć przełącznika warstwy 2. Jeśli jednak potrzebujesz routingu między wewnętrzną siecią LAN VLAN, powinieneś użyć przełącznika warstwy 3. Domena warstwy 2 to miejsce, w którym hosty są połączone, aby zapewnić stabilność warstwy 2. Wydajność przełącznika Jest to powszechnie określane jako warstwa dostępu w topologii sieci. Jeśli musisz przełączyć się na agregację przełączników z wieloma dostępami i przekierować między sieciami VLAN, musisz użyć przełącznika warstwy 3. Topologia sieci nazywa się to warstwą dystrybucyjną.

Rysunek 2: Przypadki użycia routera, przełącznika warstwy 2 i przełącznika warstwy 3

Ponieważ przełącznik warstwy 3 i router mają funkcję routingu, należy je rozróżnić. To naprawdę nie ma znaczenia, które urządzenie wybierzesz do routingu, ponieważ każde ma swoje zalety. Jeśli potrzebujesz dużej liczby routerów z funkcjami przełącznika do zbudowania lokalnej sieci VLAN, a nie potrzebujesz dalszego routingu (ISP) / WAN, możesz bezpiecznie użyć przełącznika warstwy 3. W przeciwnym razie musisz wybrać router z duża ilość funkcje poziomu 3.

Przełącznik warstwy 2 VS Przełącznik warstwy 3: gdzie kupić?

Jeśli chcesz kupić przełącznik warstwy 2 lub warstwy 3 do budowy infrastruktury sieciowej, zalecamy zwrócić uwagę na pewne kluczowe parametry. W szczególności prędkość przesyłania pakietów, przepustowość płyty montażowej, liczba sieci VLAN, pamięć MAC, opóźnienie danych i inne.

Szybkość przekazywania (lub przepustowość) to zdolność przekazywania płyty bazowej (lub sieci szkieletowej). Gdy zdolność przekazywania jest większa niż łączna prędkość wszystkich portów, mówi się, że płyta montażowa nie blokuje się. Szybkość przesyłania jest wyrażona w pakietach na sekundę (pps). Poniższy wzór oblicza prędkość przekazywania przełącznika:

Szybkość przekazywania (pps) = porty 10 Gb/s * 14 880 950 p/s + porty 1 Gb/s * 1 488 095 p/s + porty 100 Mb/s * 148 809 p/s

Następnym parametrem do rozważenia jest przepustowość płyty montażowej lub przepustowość przełącznika, która jest obliczana jako suma szybkości wszystkich portów. Szybkość wszystkich portów jest liczona dwukrotnie, jeden dla kierunku Tx i jeden dla kierunku Rx. Przepustowość płyty montażowej jest wyrażona w bitach na sekundę (bps lub bps). Przepustowość płyty montażowej (bps) = numer portu * szybkość transmisji portu * 2

Kolejnym ważnym parametrem jest konfigurowalna liczba sieci VLAN. Zazwyczaj 1 tys. = 1024 sieci VLAN wystarcza dla przełącznika warstwy 2, a typowa liczba sieci VLAN dla przełącznika warstwy 3 wynosi 4 tys. = 4096. Pamięć tabeli adresów MAC to liczba adresów MAC, które można przechowywać w przełączniku, zwykle wyrażona jako 8k lub 128k ... Opóźnienie to czas opóźnienia przesyłania danych. Utrzymuj opóźnienie tak krótkie, jak to możliwe, więc opóźnienie jest zwykle wyrażane w nanosekundach (ns).

Wyjście

Dzisiaj próbowaliśmy zrozumieć różnice między warstwami 2 i 3 a urządzeniami powszechnie używanymi w tych warstwach, w tym przełącznikiem warstwy 2, przełącznikiem warstwy 3 i routerem. Główny wniosek, który chciałbym dziś podkreślić, jest taki, że doskonalsze urządzenie nie zawsze jest lepsze i wydajniejsze. Dziś ważne jest, aby zrozumieć, dlaczego zamierzasz korzystać z przełącznika, jakie są Twoje wymagania i warunki. Dokładne zrozumienie surowych danych pomoże Ci wybrać odpowiednie urządzenie dla Ciebie.

Tagi:

 0

 2

Przełącznik L3 jest w stanie wykonać tylko czysty routing IP - nie wie, jak NAT, mapa trasy lub kształt ruchu, zliczanie ruchu. Przełączniki nie mogą pracować z tunelami VPN (Site-to-site VPN, Remote Access VPN, DMVPN), nie mogą szyfrować ruchu ani pełnić funkcji zapory stanowej, nie ma możliwości wykorzystania ich jako serwera telefonii (cyfrowe centrali telefonicznej).

Główną zaletą przełącznika warstwy 3 jest szybki routing ruchu z różnych segmentów L3 między sobą, najczęściej jest to ruch wewnętrzny bez dostępu do Internetu. ...

Router zapewni Ci dostęp do Internetu. NAT jest również skonfigurowany na routerze.

Routing dużej liczby sieci lokalnych jest prawie niemożliwy na routerze, istnieje duże prawdopodobieństwo pogorszenia jakości usług w przypadku korzystania z QoS, list ACL NBAR i innych funkcji, które prowadzą do analizy ruchu przychodzącego do interfejsów. Najprawdopodobniej problemy zaczną się, gdy ruch lokalny przekroczy prędkość ponad 100 Mb/s (w zależności od modelu konkretnego routera). Z drugiej strony przełącznik może z łatwością poradzić sobie z tym zadaniem.

Głównym powodem jest to, że przełącznik kieruje ruch w oparciu o tabele CEF.

Przekazywanie Cisco Express (CEF) to technologia szybkiego routingu / przełączania pakietów, stosowana w routerach i przełącznikach trzeciego poziomu Cisco Systems, pozwalająca na osiągnięcie szybszego i wydajniejszego przetwarzania ruchu tranzytowego.

Router może również używać CEF, ale jeśli użyjesz funkcji na routerze, które prowadzą do analizy całego ruchu, ruch będzie przechodził przez procesor. Porównaj w tabeli wydajności routera podanej na początku wydajności routera z „Fast \ CEF switching” (przy użyciu tabel) oraz „Process switching” (decyzja o routingu jest podejmowana przez procesor).

W sumie router różni się od przełącznika L3 tym, że router jest bardzo elastyczny w zarządzaniu ruchem, ale ma stosunkowo niską wydajność podczas pracy w sieci lokalnej, Przełącznik L3 wręcz przeciwnie, ma wysoką wydajność, ale nie może wpływać na ruch, przetwarzać go.

O przełącznikach L2 można powiedzieć, że są one używane tylko na poziomie dostępowym, zapewniającym podłączenie użytkownika końcowego (nie sprzętu sieciowego)

Kiedy używać przełączników L2, a kiedy L3?

W małym oddziale do 10 osób wystarczy postawić jeden router z wbudowanym switchem (seria 800) lub zainstalowanym modułem rozszerzeń ESW (seria 1800,1900) lub modułem ESG.

W biurze na 50 osób można zainstalować jeden router średniej wydajności i jeden 48-portowy switch L2 (ewentualnie dwa 24-portowe).

W oddziale liczącym do 200 osób wykorzystamy router i kilka przełączników drugiego poziomu. Ważne jest, aby zrozumieć, że jeśli podzieliłeś sieć na segmenty na poziomie adresów IP na kilka podsieci i routujesz między sieciami na routerze, to na pewno będziesz miał duże obciążenie procesora, co spowoduje brak wydajności i skarg użytkowników końcowych na spadek pakietów. Jeśli większość użytkowników komunikuje się tylko z komputerami, serwerami, drukarkami i innymi osobami urządzenia sieciowe tylko wewnątrz swojego segmentu L3 i pozostawienie granic tej przestrzeni adresowej tylko w celu uzyskania dostępu do Internetu, wtedy taki projekt sieci będzie zadowalający. Przy rozbudowie sieci liczba wydziałów, w ramach których ruch nie powinien wydostawać się poza ten wydział, jeśli różne wydziały (w naszym przypadku są to podsieci lub segmenty sieci) są zmuszone do wymiany danych między sobą, to wydajność routera nie będzie być wystarczającym.

W tak dużym biurze (ponad 200 pracowników) zakup wysokowydajnego przełącznika warstwy 3 staje się koniecznością. Będzie odpowiedzialny za utrzymanie wszystkich „bram domyślnych” w segmentach lokalnych. Komunikacja między tym przełącznikiem a hostami będzie odbywać się przez logiczne interfejsy sieciowe (interfejs VLAN lub SVI). Router będzie musiał mieć tylko dwa połączenia - z Internetem i z twoim Przełącznik L3... Użytkownicy będą musieli być połączeni przez Przełączniki L2 podłączony w gwiazdę lub pierścień do przełącznika L3 za pomocą połączeń Gigabit, więc przełącznik L3 z portami Gigabit jest dla nas przydatny. W ten sposób centrum sieci będzie po prostu Przełącznik L3, który będzie jednocześnie odpowiadał za funkcje rdzeniowe i dystrybucyjne, przełączniki L2 na poziomie dostępowym oraz router jako brama do łączenia się z Internetem lub do komunikacji z odległymi biurami przez tunele.

W naprawdę DUŻYCH sieciach kampusowych liczących ponad 500 osób i przy wysokich wymaganiach dotyczących wydajności i funkcjonalności, może być konieczne zainstalowanie przełączników L3 nawet na poziomie dostępu w celu połączenia użytkowników. Może to wynikać z następujących przyczyn:

Niewystarczająca wydajność przełączników L2 (zwłaszcza z portami gigabitowymi i gdy są używane jako farmy serwerów)

Niewystarczająca liczba obsługiwanych aktywnych sieci Vlan (255 w porównaniu do 1000 dla L3)

Brak funkcjonalności Q-n-Q

Niewystarczająca liczba obsługiwanych wpisów ACL (2960 - 512, 3560 - 2000)

Ograniczone opcje pracy z multicastami

Niewystarczające możliwości QoS na przełącznikach L2

Architektura sieci „dostęp L3” – tj. punkty routingu podsieci lokalnych są przenoszone na poziom dostępu, a trasy już zsumowane przekazywane są do poziomu dystrybucji...

Brak L2 i STP na poziomie dystrybucji.