girişL2 ve l3 anahtarları. L1, L2, L3, L4 anahtarının "katmanı" nedir?
Bu, "Küçükler için Ağlar" serisinin ilk makalesidir. Maxim aka Gluck ve ben uzun bir süre nereden başlayacağımızı düşündük: yönlendirme, VLAN "lar, ekipman konfigürasyonu. Sonunda, temel ve en önemli şeyle başlamaya karar verdik: planlama. Döngüden beri tamamen yeni başlayanlar için tasarlandı, baştan sona kadar gideceğiz.
En azından OSI referans modelini, TCP / IP protokol yığınını, mevcut VLAN'ların türlerini, şu anda en popüler port tabanlı VLAN'ı ve IP adreslerini bildiğiniz varsayılmaktadır. OSI ve TCP / IP'nin yeni başlayanlar için korkutucu kelimeler olduğunu anlıyoruz. Ama merak etmeyin, onları sizi korkutmak için kullanmıyoruz. Bu, her gün karşılaşmanız gereken bir şey, bu yüzden bu döngü sırasında anlamlarını ve gerçeklikle olan ilişkisini ortaya çıkarmaya çalışacağız.
Sorunu belirleyerek başlayalım. Örneğin, yalnızca yukarı çıkan asansörlerin üretimiyle uğraşan belirli bir şirket var ve bu nedenle Lift mi ap LLC olarak adlandırılıyor. Arbat üzerinde eski bir binada bulunuyorlar ve yanmış ve yanmış 10Base-T anahtarlarına takılan çürük teller, gigabit kartlar aracılığıyla yeni sunucuların bağlanmasını beklemiyor. Bu nedenle, ağ altyapısına feci bir ihtiyaç duyuyorlar ve para tavuklar tarafından gagalanmıyor, bu da size sınırsız seçenek sunuyor. Bu, herhangi bir mühendis için harika bir rüya. Ve dün röportajı geçtiniz ve zorlu bir mücadelede haklı olarak ağ yöneticisi pozisyonunu aldınız. Ve şimdi sen türünün ilk ve tek örneğisin. Tebrikler! Sıradaki ne?
Durum biraz spesifik olmalıdır:
- V şu anşirketin iki ofisi var: Arbat'ta iş istasyonları için 200 kare ve bir sunucu odası. Orada birkaç sağlayıcı temsil edilmektedir. Rublevka'da bir tane daha.
- Dört kullanıcı grubu vardır: muhasebe (B), mali ve ekonomik departman (FEO), üretim ve teknik departman (PTO), diğer kullanıcılar (D). Ayrıca ayrı bir gruba yerleştirilmiş sunucular (C) vardır. Tüm gruplar sınırlandırılmıştır ve birbirlerine doğrudan erişimleri yoktur.
- C, B ve FEO grubu kullanıcıları sadece Arbat'ta ofiste olacak, PTO ve D her iki ofiste olacak.
Kullanıcı sayısını, gerekli arayüzleri, iletişim kanallarını tahmin ederek bir ağ şeması ve bir IP planı hazırlarsınız.
Bir ağ tasarlarken, "düz ağ" a göre birçok avantajı olan hiyerarşik bir ağ modeline bağlı kalmaya çalışmalısınız:
- ağ anlayışını basitleştirir
- model modülerliği ima eder, bu da kapasiteyi tam olarak ihtiyaç duyulan yerde artırmanın kolay olduğu anlamına gelir
- sorunu bulmak ve izole etmek daha kolay
- cihazların ve/veya bağlantıların kopyalanması nedeniyle artan hata toleransı
- ağın çeşitli cihazlar arasında işlerliğini sağlamak için işlevlerin dağıtımı.
Bu modele göre ağ üç mantıksal düzeye ayrılır: ağın çekirdeği(Çekirdek katman: yüksek performanslı cihazlar, asıl amaç hızlı ulaşımdır), dağıtım oranı(Dağıtım katmanı: VLAN'larda güvenlik ilkeleri, QoS, toplama ve yönlendirme uygular, yayın alanlarını tanımlar) ve erişim seviyesi(Erişim katmanı: genellikle L2 anahtarları, amaç: uç cihazları bağlamak, QoS için trafik işaretlemesi, ağdaki halkalara (STP) ve yayın fırtınalarına karşı koruma, PoE cihazları için güç sağlama).
Bizimki gibi bir ölçekte, her cihazın rolü belirsizdir, ancak ağı mantıksal olarak ayırmak mümkündür.
Kaba bir diyagram yapalım:
Sunulan şemada, çekirdek (Çekirdek) 2811 yönlendirici olacak, 2960 anahtarı dağıtım seviyesine (Dağıtım) yönlendirilecek, çünkü tüm VLAN'lar ortak bir devrede toplanacak. 2950 anahtarları Erişim cihazları olacaktır. Son kullanıcılar, ofis ekipmanı ve sunucular bunlara bağlanacaktır.
Cihazları şu şekilde adlandıracağız: kısaltılmış şehir adı ( msk) - coğrafi konum (cadde, bina) ( arbat) - cihazın ağdaki rolü + sıra numarası.
Rollerine ve konumlarına göre seçiyoruz ana bilgisayar adı:
- yönlendirici 2811: msk-arbat-gw1(gw = GateWay = ağ geçidi);
- 2960 anahtarı: msk-arbat-dsw1(dsw = Dağıtım anahtarı);
- 2950 anahtarları: msk-arbat-aswN, msk-rubl-asw1(asw = Erişim anahtarı).
Ağ belgeleri
Tüm ağ kesinlikle belgelenmelidir: şematik diyagram, arayüz adından önce.
Yapılandırmaya geçmeden önce, gerekli belgelerin ve eylemlerin bir listesini sağlamak istiyorum:
- OSI modelinin katmanlarına göre L1, L2, L3 ağ şemaları (fiziksel, kanal, ağ);
- IP Adresleme Planı = IP Planı;
- VLAN listesi;
- imzalar ( tanım) arayüzler;
- cihaz listesi (her biri için belirtmelisiniz: donanım parçasının modeli, yüklü sürüm IOS, RAM miktarı \ NVRAM, arayüz listesi);
- güç ve topraklama kabloları ve cihazları da dahil olmak üzere kablolar üzerindeki etiketler (nereden ve nereye gittikleri);
- yukarıdaki parametrelerin tümünü ve diğerlerini tanımlayan tek bir düzenleme.
Simülasyon programında izleyeceklerimiz koyu renkle vurgulanmıştır. Tabii ki, tüm ağ değişiklikleri, bunları güncel tutmak için belgelerde ve yapılandırmada yapılmalıdır.
Kablolardaki etiketler/çıkartmalar hakkında konuştuğumuzda şunu kastediyoruz:
Bu fotoğrafta, her kablonun işaretlendiğini, raftaki gösterge panelindeki her makinenin ve her cihazın anlamını açıkça görebilirsiniz.
İhtiyacımız olan belgeleri hazırlayacağız:
VLAN listesi
Her grup ayrı bir vlan'a tahsis edilecektir. Bu, yayın alanlarını sınırlayacaktır. Ayrıca cihaz yönetimi için özel bir VLAN tanıtacağız. 4 ile 100 arasındaki VLAN numaraları ileride kullanılmak üzere ayrılmıştır.
IP planı
Alt ağların tahsisi genellikle keyfidir ve yalnızca bu ağdaki düğüm sayısına karşılık gelir. yerel ağ olası büyümeyi göz önünde bulundurarak Bu örnekte, tüm alt ağların standart bir maskesi / 24 (/24=255.255.255.0) vardır - bunlar genellikle yerel ağlarda kullanılır, ancak her zaman değil. Ağ sınıfları hakkında okumanızı tavsiye ederiz. Gelecekte, sınıfsız adreslemeye (cisco) döneceğiz. Wikipedia'daki teknik makalelere bağlantıların kötü bir davranış olduğunu anlıyoruz, ancak iyi bir tanım veriyorlar ve biz de bunu gerçek dünyanın resmine aktarmaya çalışacağız.
Noktadan Noktaya ağ, bir yönlendiriciden diğerine noktadan noktaya bağlantıdır. Genellikle, 30 maskeli adresler alınır (sınıfsız ağlar konusuna dönersek), yani iki ana bilgisayar adresi içerir. Bunun neyle ilgili olduğu daha sonra anlaşılacaktır.
| IP adresi | Not | VLAN |
|---|---|---|
| 172.16.0.0/16 | ||
| 172.16.0.0/24 | Sunucu çiftliği | 3 |
| 172.16.0.1 | geçit | |
| 172.16.0.2 | ağ | |
| 172.16.0.3 | Dosya | |
| 172.16.0.4 | Posta | |
| 172.16.0.5 — 172.16.0.254 | Rezerve | |
| 172.16.1.0/24 | Kontrol | 2 |
| 172.16.1.1 | geçit | |
| 172.16.1.2 | msk-arbat-dsw1 | |
| 172.16.1.3 | msk-arbat-asw1 | |
| 172.16.1.4 | msk-arbat-asw2 | |
| 172.16.1.5 | msk-arbat-asw3 | |
| 172.16.1.6 | msk-ruble-aswl | |
| 172.16.1.6 — 172.16.1.254 | Rezerve | |
| 172.16.2.0/24 | Noktadan Noktaya Ağ | |
| 172.16.2.1 | geçit | |
| 172.16.2.2 — 172.16.2.254 | Rezerve | |
| 172.16.3.0/24 | VETERİNER | 101 |
| 172.16.3.1 | geçit | |
| 172.16.3.2 — 172.16.3.254 | kullanıcı havuzu | |
| 172.16.4.0/24 | FEO | 102 |
| 172.16.4.1 | geçit | |
| 172.16.4.2 — 172.16.4.254 | kullanıcı havuzu | |
| 172.16.5.0/24 | Muhasebe Departmanı | 103 |
| 172.16.5.1 | geçit | |
| 172.16.5.2 — 172.16.5.254 | kullanıcı havuzu | |
| 172.16.6.0/24 | Diğer kullanıcılar | 104 |
| 172.16.6.1 | geçit | |
| 172.16.6.2 — 172.16.6.254 | kullanıcı havuzu |
Bağlantı noktalarına göre ekipman bağlantı planı
Tabii ki, şimdi bir sürü 1Gb Ethernet bağlantı noktasına sahip anahtarlar var, 10G'li anahtarlar var, binlerce dolara mal olan gelişmiş operatör bezlerinde 40Gb mevcut, 100Gb geliştirme aşamasında (ve söylentilere göre, öyle kartlar bile var ki, endüstriyel üretime geçmiştir). Buna göre, bütçeyi unutmadan gerçek dünyada ihtiyaçlarınıza göre anahtar ve yönlendiricileri seçebilirsiniz. Özellikle, bir gigabit anahtarı artık ucuza (20-30 bin) satın alınabilir ve bu, gelecek için bir marjla (elbette sağlayıcı değilseniz). Gigabit bağlantı noktalarına sahip bir yönlendirici, 100 Mb/sn bağlantı noktalarına sahip bir yönlendiriciden önemli ölçüde daha pahalıdır, ancak buna değer çünkü FE modelleri (100 Mb/sn FastEthernet) modası geçmiş ve bant genişlikleri çok düşük.
Ama kullanacağımız emülatör/simülatör programlarında ne yazık ki sadece basit ekipman modelleri var, bu yüzden ağı modellerken elimizdekilerden başlayacağız: cisco2811 router, cisco2960 ve 2950 switch'ler.
| Cihaz adı | Liman | İsim | VLAN | |
|---|---|---|---|---|
| Erişim | Gövde | |||
| msk-arbat-gw1 | FE0 / 1 | UpLink | ||
| FE0 / 0 | msk-arbat-dsw1 | 2,3,101,102,103,104 | ||
| msk-arbat-dsw1 | FE0 / 24 | msk-arbat-gw1 | 2,3,101,102,103,104 | |
| GE1 / 1 | msk-arbat-asw1 | 2,3 | ||
| GE1 / 2 | msk-arbat-asw3 | 2,101,102,103,104 | ||
| FE0 / 1 | msk-rubl-asw1 | 2,101,104 | ||
| msk-arbat-asw1 | GE1 / 1 | msk-arbat-dsw1 | 2,3 | |
| GE1 / 2 | msk-arbat-asw2 | 2,3 | ||
| FE0 / 1 | Web sunucusu | 3 | ||
| FE0 / 2 | Dosya sunucusu | 3 | ||
| msk-arbat-asw2 | GE1 / 1 | msk-arbat-asw1 | 2,3 | |
| FE0 / 1 | Posta sunucusu | 3 | ||
| msk-arbat-asw3 | GE1 / 1 | msk-arbat-dsw1 | 2,101,102,103,104 | |
| FE0 / 1-FE0 / 5 | kuyruk mili | 101 | ||
| FE0 / 6-FE0 / 10 | FEO | 102 | ||
| FE0 / 11-FE0 / 15 | Muhasebe | 103 | ||
| FE0 / 16-FE0 / 24 | Başka | 104 | ||
| msk-rubl-asw1 | FE0 / 24 | msk-arbat-dsw1 | 2,101,104 | |
| FE0 / 1-FE0 / 15 | kuyruk mili | 101 | ||
| FE0 / 20 | yönetici | 104 | ||
VLAN'ların neden bu şekilde tahsis edildiği ilerleyen bölümlerde açıklanacaktır.
Ağ diyagramları
Bu verilere dayanarak, bu aşamada üç ağ diyagramının tamamı çizilebilir. Bunu yapmak için Microsoft Visio'yu kullanabilirsiniz. ücretsiz uygulama, ancak formatına veya grafik editörlerine atıfta bulunarak (elle mümkündür, ancak güncel tutmak zor olacaktır :)).
Açık kaynağı teşvik etmek için değil, Dia'yı kullanmak için çeşitli fonlar. onu biri olarak görüyorum en iyi uygulamalar Linux altında diyagramlarla çalışmak için. Windows için bir sürümü var, ancak ne yazık ki VISIO'da uyumluluk yok.
L1
Yani, L1 şemasında, ağın fiziksel cihazlarını port numaralarıyla yansıtırız: neyin nereye bağlı olduğu.
L2
L2 diyagramında VLAN'larımızı belirtiyoruz.
L3
Örneğimizde, yalnızca bir yönlendirme cihazının varlığından dolayı üçüncü seviye şemasının oldukça yararsız olduğu ve çok net olmadığı ortaya çıktı. Ama zamanla, ayrıntılarla büyüyecek.
Gördüğünüz gibi, belgelerdeki bilgiler gereksizdir. Örneğin VLAN numaraları hem diyagramda hem de planda portlara göre tekrarlanır. Burada olduğu gibi, kimin neye iyi geldiği. Sizin için daha uygun olduğu için yapın. Bu fazlalık, bir konfigürasyon değişikliği durumunda güncellemeyi zorlaştırır, çünkü aynı anda birkaç yerde düzeltmeniz gerekir, ancak diğer yandan anlaşılmasını kolaylaştırır.
Her zaman başlangıçta planladığınız şeye geri dönmek zorunda kalacağınız gibi, bu ilk makaleye gelecekte bir kereden fazla döneceğiz. Aslında görev, öğrenmeye yeni başlayan ve bunun için çaba göstermeye hazır olanlar içindir: vlans, ip-adresleme hakkında çok şey okuyun, Packet Tracer ve GNS3 programlarını bulun. Temel teorik bilgilere gelince, Cisco basınını okumaya başlamanızı tavsiye ederiz. Kesinlikle bilmeniz gereken şey bu. Bir sonraki bölümde, her şey yetişkin bir şekilde olacak, bir video ile, ekipmana bağlanmayı, arayüzle uğraşmayı ve şifreyi unutan dikkatsiz bir yöneticiye ne yapmanız gerektiğini anlatacağız.
Orijinal makale:
Etiketler
CiscoNazik bir gülümsemeyle, insanlığın 2000 yılında dünyanın sonunu nasıl endişeyle beklediğini şimdi hatırlıyorum. Sonra bu olmadı, ama tamamen farklı ve aynı zamanda çok önemli bir olay oldu.
Tarihsel olarak, o zaman dünya gerçek bir bilgisayar devrimine girdi v. 3.0. - Başlat bulut teknolojileri dağıtılmış veri depolama ve işleme... Ayrıca, önceki "ikinci devrim", 80'lerde "istemci-sunucu" teknolojilerine büyük bir geçiş olsaydı, ilki, sözde bağlı ayrı terminaller kullanan kullanıcıların eşzamanlı çalışmasının başlangıcı olarak kabul edilebilir. "Ana bilgisayarlar" (geçen yüzyılın 60'larında). Bu devrim niteliğindeki değişiklikler, kullanıcılar için barışçıl ve belirsiz bir şekilde gerçekleşti, ancak bilgi teknolojisi ile birlikte tüm iş dünyasını etkiledi.
BT altyapısını uzak veri merkezlerine (veri işleme merkezleri) aktarırken, anahtar konu hemen müşteriden güvenilir iletişim kanallarının organizasyonu haline gelir. İnternette genellikle sağlayıcılardan teklifler var: "fiziksel kiralık hat, fiber optik", "L2 kanalı", "VPN" ve benzeri ... Pratikte bunun arkasında ne olduğunu anlamaya çalışalım.
İletişim kanalları - fiziksel ve sanal
1. Bir "fiziksel hat" veya "ikinci seviye kanal, L2" organizasyonuna genellikle bir sağlayıcı tarafından tahsis edilmiş bir kablo (bakır veya fiber optik) veya ofisler ile bu siteler arasında bir radyo kanalı sağlama hizmeti denir. merkezi ekipman konuşlandırılır. Bu hizmeti sipariş ederek, pratikte, büyük olasılıkla kiralık bir fiber optik kanal alacaksınız. Bu çözüm caziptir çünkü sağlayıcı güvenilir iletişimden sorumludur (ve kablonun zarar görmesi durumunda kanalın işlerliğini kendi kendine geri yükler). Bununla birlikte, gerçek hayatta kablo tamamen sağlam değildir - güvenilirliğini bir şekilde azaltan birçok bağlı (kaynaklı) parçadan oluşur. Fiber optik kablonun döşenmesi yolunda, sağlayıcı uç noktalarda amplifikatörler, ayırıcılar ve modemler kullanmak zorundadır.
Pazarlama materyallerinde L2'ye (Veri Bağlantısı) ağ modeli OSI veya TCP / IP, bu çözüme koşullu olarak atıfta bulunur - bir sonraki IP ağ katmanında birçok paket yönlendirme sorunu hakkında endişelenmeden LAN'daki Ethernet çerçeve anahtarlama düzeyinde olduğu gibi çalışmanıza izin verir. Örneğin, kayıtlı benzersiz genel adresler yerine istemci sanal ağlarında "özel" olarak adlandırılan IP adreslerini kullanmaya devam etmek mümkündür. Yerel ağlarda özel IP adreslerinin kullanılması çok uygun olduğundan, kullanıcılara ana adresleme sınıflarından özel aralıklar tahsis edildi:
- A sınıfında 10.0.0.0 - 10.255.255.255 (255.0.0.0 maskesiyle veya alternatif bir maske gösterimi biçiminde / 8 ile);
- A sınıfında 100.64.0.0 - 100.127.255.255 (255.192.0.0 veya / 10 maskesiyle);
- 172.16.0.0 - B sınıfında 172.31.255.255 (255.240.0.0 veya / 12 maskesiyle);
- 192.168.0.0 - 192.168.255.255 sınıf C'de (255.255.0.0 veya / 16 maskesiyle).
Bu tür adresler "dahili kullanım" için kullanıcıların kendileri tarafından seçilir ve binlerce istemci ağında aynı anda tekrarlanabilir, bu nedenle başlıkta özel adreslere sahip veri paketleri - karışıklığı önlemek için İnternette yönlendirilmez. İnternete erişmek için istemci tarafında NAT (veya başka bir çözüm) kullanmanız gerekir.
Not: NAT - Ağ Adresi Çevirisi (değiştirme mekanizması ağ adresleri TCP / IP ağlarında geçiş paketleri, paketleri müşterinin yerel ağından diğer ağlara / İnternet'e ve ters yönde - müşterinin LAN'ı içinde, alıcıya yönlendirmek için kullanılır).
Bu yaklaşımın (ve özel bir kanaldan bahsediyoruz) ayrıca bariz bir dezavantajı vardır - müşterinin ofisi taşınırsa, yeni bir yere bağlanma konusunda ciddi zorluklar olabilir ve sağlayıcıyı değiştirme ihtiyacı mümkündür.
Böyle bir kanalın önemli ölçüde daha güvenli olduğu, kötü niyetli saldırılara ve düşük vasıflı teknik personelin hatalarından daha iyi korunduğu iddiası daha yakından incelendiğinde bir efsane olduğu ortaya çıkıyor. Uygulamada, güvenlik sorunları genellikle bir insan faktörünün katılımıyla doğrudan müşteri tarafında ortaya çıkar (veya bir bilgisayar korsanı tarafından kasıtlı olarak oluşturulur).
2. Sanal kanallar ve üzerlerine kurulan VPN (Sanal Özel Ağ) yaygındır ve müşterinin görevlerinin çoğunun çözülmesine izin verir.
Sağlayıcı tarafından "L2 VPN" sağlanması, birkaç olası "ikinci düzey" hizmet seçeneği olduğunu varsayar, L2:
VLAN - müşteri ofisleri, şubeleri arasında sanal bir ağ alır (aslında müşterinin trafiği, hızı sınırlayan sağlayıcının aktif ekipmanından geçer);
Noktadan Noktaya PWE3(diğer bir deyişle, paket anahtarlamalı ağlarda "sözde uçtan uca öykünme") Ethernet çerçevelerinin iki düğüm arasında doğrudan kabloluymuş gibi iletilmesine olanak tanır. Bu teknolojideki müşteri için, iletilen tüm çerçevelerin değişmeden uzak bir noktaya iletilmesi esastır. Aynı şey ters yönde de olur. Bu, sağlayıcının yönlendiricisine gelen istemci çerçevesinin daha yüksek seviyeli bir veri bloğuna (MPLS paketi) kapsüllenmesi (eklenmesi) ve uç noktada çıkarılması nedeniyle mümkündür;
Not: PWE3 - Pseudo-Wire Emulation Edge to Edge (kullanıcının bakış açısından özel bir bağlantı aldığı bir mekanizma).
MPLS - MultiProtocol Label Switching (paketlere taşıma/servis etiketleri atandığı ve ağlardaki veri paketlerinin iletim yolunun herhangi bir protokol kullanılarak iletim ortamından bağımsız olarak yalnızca etiketlerin değerine göre belirlendiği bir veri iletim teknolojisi. yönlendirme, yeni etiketler eklenebilir (gerektiğinde) veya işlevleri sona erdiğinde silinebilir (paketlerin içeriği analiz edilmez veya değiştirilmez).
VPLS, çok noktalı bir LAN simülasyon teknolojisidir. Bu durumda, sağlayıcının ağı, istemci tarafından ağ cihazlarının MAC adresleri tablosunu saklayan tek bir anahtar gibi görünür. Böyle bir sanal "anahtar", istemcinin ağından gelen Ethernet çerçevesini amacına göre dağıtır - bunun için çerçeve bir MPLS paketinde kapsüllenir ve ardından çıkarılır.
Not: VPLS, bir Sanal Özel LAN Hizmetidir (kullanıcının bakış açısından, coğrafi olarak dağınık ağlarının sanal L2 bağlantıları ile bağlandığı bir mekanizma).
MAC - Medya Erişim Kontrolü (bir medya erişim kontrolü yöntemi - Ethernet ağlarında bir ağ cihazının (veya arayüzlerinin) benzersiz 6 baytlık adres tanımlayıcısı).
3. “L3 VPN” dağıtımı durumunda, sağlayıcının ağı, istemcinin gözünde birkaç arayüze sahip tek bir yönlendirici gibi görünür. Bu nedenle, istemcinin yerel ağının sağlayıcının ağıyla birleşimi, OSI veya TCP/IP ağ modelinin L3 düzeyinde gerçekleşir.
Ağ bağlantı noktaları için genel IP adresleri, sağlayıcı ile anlaşarak belirlenebilir (istemciye aittir veya sağlayıcıdan alınabilir). IP adresleri, istemci tarafından her iki taraftaki yönlendiricilerinde (özel - yerel ağlarının yanından, genel - sağlayıcıdan) yapılandırılır, veri paketlerinin daha fazla yönlendirilmesi sağlayıcı tarafından sağlanır. Teknik olarak MPLS, GRE ve IPSec teknolojilerinin yanı sıra böyle bir çözümü (yukarıya bakın) uygulamak için kullanılır.
Not: GRE - Genel Yönlendirme Kapsülleme (tünelleme protokolü, iki uç nokta arasında güvenli bir mantıksal bağlantı kurmanıza izin veren paket sarma - L3 ağ katmanında protokol kapsülleme kullanarak).
IPSec - IP Güvenliği (IP kullanılarak iletilen verileri korumaya yönelik bir dizi protokol. Kimlik doğrulama, şifreleme ve paket bütünlüğü kontrolleri kullanılır).
Modern ağ altyapısının, müşterinin yalnızca sözleşmeyle tanımlanan kısmını görebileceği şekilde inşa edildiğini anlamak önemlidir. Özel kaynaklar (sanal sunucular, yönlendiriciler, canlı depolama ve Yedek kopya) yanı sıra çalışan programlar ve bellek içerikleri diğer kullanıcılardan tamamen yalıtılmıştır. Birkaç fiziksel sunucu, tek bir güçlü sunucu havuzu gibi görünecekleri bakış açısından, bir istemci için aynı anda ve aynı anda çalışabilir. Buna karşılık, bir fiziksel sunucu aynı anda birçok sanal makine oluşturulabilir (her biri kullanıcıya benzer ayrı bir bilgisayara ile birlikte işletim sistemi). Standart çözümlere ek olarak, müşteri verilerinin işlenmesi ve saklanmasının güvenliği ile ilgili kabul edilen gereksinimleri de karşılayan bireysel çözümler sunulmaktadır.
Aynı zamanda, bulutta dağıtılan “L3 seviyesi” ağın konfigürasyonu, pratik olarak sınırsız boyuta kadar ölçeklendirmeye izin verir (İnternet ve büyük veri merkezleri bu prensip üzerine kuruludur). OSPF ve L3 bulut ağlarındaki diğerleri gibi dinamik yönlendirme protokolleri, veri paketlerini yönlendirmek için en kısa yolları seçmenize, paketleri aynı anda birkaç yolla göndermenize izin verir. en iyi yük ve kanal kapasitesinin genişletilmesi.
Aynı zamanda, küçük veri merkezleri ve eski (veya oldukça spesifik) istemci uygulamaları için tipik olan "L2 düzeyinde" bir sanal ağ kurmak da mümkündür. Bu durumların bazılarında, ağ uyumluluğunu ve uygulama performansını sağlamak için L3 üzerinden L2 teknolojisi bile kullanılır.
özetleyelim
Bugün, çoğu durumda kullanıcının / müşterinin görevleri sanal özel organize edilerek etkin bir şekilde çözülebilir. VPN ağları güvenlik için GRE ve IPSec teknolojilerini kullanmak.
L2 kanalının teklifini düşünmenin bir anlamı olmadığı gibi, L2 ve L3'e karşı çıkmanın özel bir anlamı yoktur. en iyi çözüm ağınızda güvenilir iletişim kurmak için her derde deva. Modern iletişim kanalları ve sağlayıcıların ekipmanı, büyük miktarda bilginin iletilmesine izin verir ve aslında, kullanıcılar tarafından kiralanan birçok özel kanal, hatta yeterince kullanılmaz. L2'yi yalnızca özel durumlarda, görevin özellikleri gerektirdiğinde kullanmak mantıklıdır, böyle bir ağın gelecekteki genişleme olasılığının sınırlamalarını dikkate alın ve bir uzmana danışın. Diğer tarafta, sanal ağlar L3 VPN'ler, diğer her şey eşit olduğunda, daha çok yönlüdür ve kullanımı daha kolaydır.
Bu genel bakış, yerel BT altyapısını uzak veri merkezlerine aktarırken kullanılan modern tipik çözümleri kısaca listeler. Her birinin kendi tüketicisi, avantajları ve dezavantajları vardır, çözümün doğru seçimi belirli göreve bağlıdır.
Gerçek hayatta, ağ modeli L2 ve L3'ün her iki seviyesi birlikte çalışır, her biri kendi görevinden sorumludur ve reklamcılıkta onlara karşı çıkar, sağlayıcılar açıkça kurnazdır.
L2 anahtarı satın al
Anahtarlar, modern iletişim ağlarının en önemli bileşenidir. Kataloğun bu bölümünde, yönetilen Katman 2 anahtarları olarak sunulur, Gigabit Ethernet ve yönetilmeyen Hızlı Ethernet anahtarları. Çözülecek görevlere bağlı olarak, erişim seviyesi (2 seviye), toplama ve çekirdek anahtarları veya birden çok bağlantı noktasına ve yüksek performanslı bir veri yoluna sahip anahtarlar seçilir.
Cihazların çalışma prensibi, anahtara bağlı cihazın IP veya MAC adresine portlarının yazışmaları hakkında veri depolamaktır.
ağ şeması
Yüksek hızlara ulaşmak için, Gigabit Ethernet (GE) ve 10 Gigabit Ethernet (10GE) anahtarı kullanılarak bilgi aktarım teknolojisi yaygın olarak kullanılmaktadır. Özellikle büyük ölçekli ağlarda yüksek hızlarda bilgi iletimi, yüksek hızlı akışların esnek dağıtımına izin veren böyle bir ağ topolojisinin seçimini gerektirir.
Yönetilen Katman 2 anahtarlarını kullanarak bir ağ oluşturmaya yönelik çok katmanlı bir yaklaşım, hiyerarşik düzeyler biçiminde bir ağ mimarisinin oluşturulmasını gerektirdiğinden ve aşağıdakilere izin verdiğinden, bu tür sorunları en iyi şekilde çözer:
- tüm ağı etkilemeden ağı her düzeyde ölçeklendirin;
- farklı seviyeler ekleyin;
- genişletmek işlevsellik gerektiği gibi ağlar;
- sorun giderme için kaynak maliyetlerini en aza indirin;
- ağ tıkanıklığı ile ilgili sorunları derhal çözün.
Önerilen ekipmana dayanan ana ağ uygulamaları, çeşitli trafik türlerinin evrensel bir aktarımı - bir IP ağı aracılığıyla uygulanan Üçlü Oyun hizmetleri (IPTV, VoIP, Veri), VPN'dir.
2. seviye Gigabit Ethernet teknolojisinin yönetilen anahtarları, üç hiyerarşi seviyesinden oluşan bir ağ mimarisi oluşturmaya izin verir:
- Çekirdek Katmanı... Çekirdek anahtarlardan oluşur. Cihazlar arasındaki iletişim, "yedek halka" şemasına göre fiber optik kablo üzerinden gerçekleştirilir. Çekirdek anahtarlar, yüksek ağ bant genişliğini destekler ve büyük düğümler arasında 10 Gigabit akışa izin verir Yerleşmelerörneğin kentsel alanlar arasında. Hiyerarşinin bir sonraki düzeyine - dağıtım düzeyine geçiş, optik XFP bağlantı noktaları aracılığıyla 10Gigabit hızında bir optik kanal üzerinden gerçekleştirilir. Bu cihazların özellikleri, yüksek bant genişliği ve L2'den L4'e kadar paket işlemedir.
- Dağıtım Katmanı... Kenar anahtarlarından oluşur. İletişim, "yedek halka" şemasına göre fiber optik kablo üzerinden gerçekleştirilir. Bu seviye, örneğin yerleşim alanları veya bir grup bina arasında, kullanıcıların tıkanıklık noktaları arasında 10Gigabit hızında bir akışın iletimini düzenlemeye izin verir. Dağıtım katmanının anahtarlarının alt katmana bağlantısı - erişim katmanı, optik SFP bağlantı noktaları aracılığıyla optik 1Gigabit Ethernet kanalları aracılığıyla gerçekleştirilir. Bu cihazların özellikleri: L2'den L4'e geniş bant genişliği ve paket işlemenin yanı sıra, optik halka kırıldığında iletişimi 10 ms içinde geri yüklemenizi sağlayan EISA protokolü desteği.
- Erişim Katmanı... L2 yönetilen anahtarlardan oluşur. Haberleşme fiber optik kablo ile 1Gigabit hızlarda gerçekleştirilir. Erişim seviyesi anahtarları iki gruba ayrılabilir: sadece bir elektrik arayüzü ile ve ayrıca seviyelerinde bir halka oluşturmak ve dağıtım seviyesine bağlanmak için optik SFP bağlantı noktalarına sahip.
Kural olarak, tüm ağ ve istemci cihazlarını ağa bağlamak istiyorsanız, bu amaç için ana, en uygun cihazlardan biridir. Ağ uygulamalarının çeşitliliği arttıkça ve yakınsanan ağların sayısı arttıkça, yeni Katman 3 ağ anahtarı hem veri merkezlerinde hem de karmaşık sistemlerde etkin bir şekilde kullanılmaktadır. kurumsal ağlar, ticari uygulamalarda ve daha karmaşık müşteri projelerinde.
Katman 2 Anahtarı nedir?
Katman 2 anahtarı (Katman2 veya L2), yerel alan ağının (LAN) birkaç cihazını veya belirli bir ağın birkaç bölümünü bağlamak için tasarlanmıştır. Katman 2 anahtarı, gelen çerçevelerin MAC adreslerini işler ve kaydeder, fiziksel adresleme ve veri akışı kontrolü (VLAN, çok noktaya yayın filtreleme, QoS) gerçekleştirir.
"Seviye 2" ve "Seviye 3" terimleri orijinal olarak Etkileşim Protokolünden türetilmiştir. açık ağlar(OSI) nasıl çalıştığını açıklamak ve açıklamak için kullanılan ana modellerden biridir. ağ iletişimi. OSI modeli sistemler arasında yedi etkileşim düzeyi tanımlar: uygulama düzeyi, temsil düzeyi, oturum düzeyi, taşıma düzeyi, ağ katmanı, veri iletim kanalının katmanı (veri bağlantı katmanı) ve ağ katmanının katman 3 olduğu fiziksel katman ve veri aktarım kanalı katmanı katman 2'dir.
Şekil 1: Açık Ağ Bağlantısı (OSI) Protokolündeki Katman 2 ve Katman 3.
Katman 2, yerel bir ağdaki iki cihaz arasında doğrudan veri aktarımı sağlar. İşlem sırasında, Katman 2 anahtarı, gelen çerçevelerin MAC adreslerinin işlendiği ve kaydedildiği ve bağlantı noktası aracılığıyla bağlanan ekipmanın hatırlandığı bir MAC adres tablosu kaydeder. Veri dizileri yalnızca yerel ağ içinde MAC adreslerinde değiştirilir, bu da verilerin yalnızca ağ içinde depolanmasına izin verir. Katman 2 anahtarı kullanırken, akış kontrolü (VLAN) için belirli anahtar bağlantı noktaları seçmek mümkündür. Bağlantı noktaları, sırayla, farklı katman 3 alt ağlarındadır.
Katman 3 Anahtarı nedir?
(Katman 3 veya L3), aslında yönlendirme protokollerini (RIP v.1 ve v.2, OSPF, BGP, özel yönlendirme protokolleri, vb.) değil yazılım cihazlar, ancak özel donanım (mikro devreler) kullanıyor.
Yönlendirici, Katman 3 ile ilgili en yaygın ağ aygıtıdır. Bu anahtarlar, paketlerin alıcının IP adresine (İnternet Protokolü) yönlendirilmesi (mantıksal adresleme ve teslimat yolunun seçimi) işlevlerini yerine getirir. Katman 3 anahtarları, IP yönlendirme tablosundaki her veri paketinin kaynak ve hedef IP adreslerini kontrol eder ve paketi iletmek için en iyi adresi (yönlendirici veya anahtar) belirler. Hedef IP adresi tabloda bulunamazsa, hedef yönlendirici belirlenene kadar paket gönderilmeyecektir. Bu nedenle yönlendirme işlemi belirli bir zaman gecikmesi ile gerçekleşir.
Katman 3 (veya çok katmanlı) anahtarlar, Katman 2 anahtarlarının ve yönlendiricilerinin bazı işlevlerine sahiptir. Aslında bunlar üç farklı cihazlar yönelik farklı uygulamalar mevcut işlevlere büyük ölçüde bağımlıdır. Ancak, her üç cihaz da bazı ortak işlevleri paylaşır.
Katman 2 Anahtarı VS Katman 3 Anahtarı: Fark Nedir?
Katman 2 ve Katman 3 anahtarları arasındaki temel fark, yönlendirme işlevleridir. Katman 2 anahtarı yalnızca MAC adresleriyle çalışır, IP adreslerini ve daha üst düzey öğeleri yok sayar. Katman 3 anahtarı, Katman 2 anahtarının tüm işlevlerini yerine getirir, ayrıca statik ve dinamik yönlendirme yapabilir. Bu, Katman 3 anahtarının hem MAC adres tablosuna hem de IP yönlendirme tablosuna sahip olduğu ve birden çok LAN VLAN cihazını bağladığı ve paketleri farklı VLAN'lar arasında yönlendirdiği anlamına gelir. Yalnızca statik yönlendirme sağlayan bir anahtara genellikle Katman 2+ veya Katman 3 Lite denir. Katman 3 anahtarları, yönlendirme paketlerine ek olarak, anahtardaki bu IP adresleri hakkında bilgi gerektiren bazı özellikleri de içerir; örneğin, VLAN trafiğini IP adresine göre işaretlemek gibi. manuel ayar Liman. Ayrıca, Katman 3 anahtarları daha yüksek güç tüketimine ve artırılmış güvenlik gereksinimlerine sahiptir.
Katman 2 Anahtarı ve Katman 3 Anahtarı: Nasıl Seçilir?
Katman 2 ve Katman 3 anahtarları arasında seçim yaparken anahtarın nerede ve nasıl kullanılacağını düşünün. Katman 2 etki alanınız varsa, yalnızca Katman 2 anahtarı kullanabilirsiniz.Ancak, dahili LAN VLAN'ınız arasında yönlendirmeye ihtiyacınız varsa, bir Katman 3 anahtarı kullanmalısınız.Katman 2 alanı, kararlı Katman sağlamak için ana bilgisayarların bağlandığı yerdir. 2 anahtar performansı Bu genellikle ağ topolojisinde erişim katmanı olarak adlandırılır. Birden çok erişim anahtarı toplamaya geçmeniz ve VLAN'lar arasında yönlendirme yapmanız gerekiyorsa, bir Katman 3 anahtarı kullanmanız gerekir. ağ topolojisi buna dağıtım katmanı denir.
Şekil 2: Yönlendirici, Katman 2 Anahtarı ve Katman 3 Anahtarı için Kullanım Örnekleri
Katman 3 anahtarı ve yönlendirici yönlendirme işlevine sahip olduğundan, ikisi arasında ayrım yapmanız gerekir. Yönlendirme için hangi cihazı seçtiğiniz gerçekten önemli değil, çünkü her birinin kendi avantajları var. Yerel bir VLAN oluşturmak için anahtar işlevli çok sayıda yönlendiriciye ihtiyacınız varsa ve daha fazla yönlendirmeye (ISS) / WAN'a ihtiyacınız yoksa, o zaman bir Katman 3 anahtarını güvenle kullanabilirsiniz.Aksi takdirde, bir yönlendirici seçmeniz gerekir. büyük miktar 3. seviyenin işlevleri.
Layer 2 Switch VS Layer 3 Switch: Nereden Satın Alınır?
Ağ altyapınızı oluşturmak için Layer 2 veya Layer 3 switch satın almak istiyorsanız, dikkat etmenizi önerdiğimiz bazı temel parametreler vardır. Özellikle, paket iletme hızı, arka panel bant genişliği, VLAN sayısı, MAC belleği, veri gecikmesi ve daha fazlası.
Yönlendirme hızı (veya bant genişliği), arka düzlemin (veya yapının) iletme yeteneğidir. Yönlendirme yeteneği, tüm bağlantı noktalarının birleşik hızından daha büyük olduğunda, arka düzlemin bloke olmadığı söylenir. İletim hızı, saniyede paket (pps) olarak ifade edilir. Aşağıdaki formül, anahtarın iletme hızını hesaplar:
Yönlendirme hızı (pps) = 10 Gbps bağlantı noktası * 14.880.950 pps + 1 Gbps bağlantı noktası * 1.488.095 pps + 100 Mbps bağlantı noktası * 148.809 pps
Dikkate alınacak bir sonraki parametre, tüm bağlantı noktalarının hızının toplamı olarak hesaplanan arka panel bant genişliği veya anahtar bant genişliğidir. Tüm bağlantı noktalarının hızı, biri Tx yönü için diğeri Rx yönü için olmak üzere iki kez sayılır. Arka panel bant genişliği saniyede bit (bps veya bps) olarak ifade edilir. Arka panel bant genişliği (bps) = bağlantı noktası numarası * bağlantı noktası baud hızı * 2
Bir diğer önemli parametre ise yapılandırılabilir VLAN sayısıdır. Tipik olarak bir Katman 2 anahtarı için 1K = 1024 VLAN yeterlidir ve bir Katman 3 anahtarı için tipik VLAN sayısı 4k = 4096'dır. MAC Adres Tablosu Belleği, anahtarda depolanabilen MAC adreslerinin sayısıdır ve genellikle şu şekilde ifade edilir: 8k veya 128k ... Gecikme, veri aktarımının ertelendiği süredir. Gecikmeyi mümkün olduğunca kısa tutun, böylece gecikme genellikle nanosaniye (ns) olarak ifade edilir.
Çıktı
Bugün, Katman 2 ve 3 ile Katman 2 anahtarı, Katman 3 anahtarı ve yönlendirici dahil olmak üzere bu Katmanlarda yaygın olarak kullanılan cihazlar arasındaki farkları anlamaya çalıştık. Bugün vurgulamak istediğim ana sonuç, daha mükemmel bir cihazın her zaman daha iyi ve daha verimli olmadığıdır. Bugün anahtarı neden kullanacağınızı, gereksinimlerinizin ve koşullarınızın neler olduğunu anlamak önemlidir. Ham verilerin net bir şekilde anlaşılması, sizin için doğru cihazı seçmenize yardımcı olacaktır.
Etiketler:
0
2
L3 anahtarı yalnızca saf IP yönlendirmesi gerçekleştirebilir - NAT, rota haritası veya trafik şekli, trafik sayımının nasıl yapıldığını bilmez. Anahtarlar, VPN tünelleriyle (Siteden siteye VPN, Uzaktan Erişim VPN, DMVPN) çalışamazlar, trafiği şifreleyemezler veya durum dolu bir güvenlik duvarının işlevlerini yerine getiremezler, bunları bir telefon sunucusu (dijital) olarak kullanmanın bir yolu yoktur. PBX).
Katman 3 anahtarının ana avantajı, farklı L3 segmentlerinden gelen trafiğin kendi aralarında hızlı bir şekilde yönlendirilmesidir, çoğu zaman İnternet erişimi olmayan dahili trafiktir. ...
Bir yönlendirici size İnternet erişimi sağlayacaktır. NAT, yönlendiricide de yapılandırılmıştır.
Bir yönlendiricide çok sayıda yerel ağı yönlendirmek neredeyse imkansızdır, QoS, NBAR ACL ve arayüzlere gelen trafiğin analizine yol açan diğer işlevleri kullanırken yüksek bir hizmet bozulması olasılığı vardır. Büyük olasılıkla, yerel trafik 100 Mbps'den fazla hızı aştığında (belirli bir yönlendiricinin modeline bağlı olarak) sorunlar başlayacaktır. Öte yandan, anahtar bu görevi kolaylıkla halledebilir.
Bunun ana nedeni anahtar, trafiği CEF tablolarına göre yönlendirir.
Cisco Ekspres Yönlendirme (CEF), Cisco Systems'ın üçüncü seviyesinin yönlendiricilerinde ve anahtarlarında kullanılan ve transit trafiğin daha hızlı ve daha verimli işlenmesini sağlayan yüksek hızlı yönlendirme / paket anahtarlama teknolojisidir.
Yönlendirici de CEF kullanabilir, ancak yönlendiricide tüm trafiğin analizine yol açan işlevleri kullanırsanız, trafik işlemciden geçer. Yönlendirici performansının başında verilen yönlendirici performans tablosunda "Hızlı \ CEF anahtarlama" (tabloları kullanarak) ve "Süreç anahtarlama" (yönlendirme kararı işlemci tarafından verilir) ile karşılaştırın.
Toplamda, bir yönlendirici bir L3 anahtarından farklıdır, çünkü yönlendirici trafiği yönetmede çok esnektir, ancak yerel bir ağ içinde çalışırken nispeten düşük bir performansa sahiptir. L3 anahtarı tam tersine performansı yüksektir, ancak trafiği etkileyemez, işleyebilir.
L2 anahtarları konusunda ise sadece erişim seviyesinde kullanıldıklarını ve son kullanıcının (ağ ekipmanı değil) bağlantısını sağladığını söyleyebiliriz.
L2 anahtarları ne zaman ve L3 anahtarları ne zaman kullanılır?
10 kişiye kadar olan küçük bir şubede, yerleşik bir anahtara (800 serisi) veya kurulu bir ESW genişletme modülüne (1800,1900 serisi) veya ESG modülüne sahip bir yönlendirici koymak yeterlidir.
50 kişilik bir ofise, bir orta performanslı yönlendirici ve bir adet 48 bağlantı noktalı L2 anahtarı (muhtemelen iki adet 24 bağlantı noktalı) kurabilirsiniz.
200 kişiye kadar olan bir şubede, bir yönlendirici ve birkaç ikinci seviye anahtar kullanacağız. Ağı IP adresleri düzeyinde birkaç alt ağa böldüyseniz ve yönlendiricideki ağlar arasında yönlendirme yapıyorsanız, işlemci üzerinde kesinlikle yüksek bir yüke sahip olacağınızı ve bunun da eksikliğe neden olacağını anlamak önemlidir. paket düşüşleriyle ilgili performans ve son kullanıcı şikayetleri. Çoğu kullanıcı yalnızca bilgisayarlar, sunucular, yazıcılar ve diğerleri ile iletişim kurarsa ağ cihazları sadece L3-segmentinin içinde ve bu adres alanının sınırlarını sadece İnternet'e erişmek için bırakın, o zaman bu ağ tasarımı tatmin edici olacaktır. Ağı genişletirken, trafiğin bu bölümün dışına çıkmaması gereken bölümlerin sayısı, farklı bölümler (bizim durumumuzda bunlar alt ağlar veya ağ bölümleridir) birbirleriyle veri alışverişi yapmak zorunda kalırsa, yönlendiricinin performansı olmayacaktır. yeterli ol.
Bu kadar büyük bir ofiste (200'den fazla çalışan), yüksek performanslı bir Katman 3 anahtarı satın almak bir zorunluluk haline gelir. Yerel segmentlerdeki tüm "varsayılan ağ geçitlerinin" korunmasından sorumlu olacaktır. Bu anahtar ve ana bilgisayarlar arasındaki iletişim, mantıksal ağ arabirimleri (arayüz VLAN'ı veya SVI) aracılığıyla olacaktır. Yönlendiricinin yalnızca iki bağlantısı olması gerekir - İnternete ve L3 anahtarı... Kullanıcıların şu yollarla bağlanması gerekecek: L2 anahtarları Gigabit bağlantılarını kullanarak bir yıldız veya halka olarak bir L3 anahtarına bağlanır, bu nedenle Gigabit bağlantı noktalarına sahip bir L3 anahtarı bizim için yararlıdır. Böylece, ağın merkezi sadece L3 anahtarıçekirdek ve dağıtım işlevlerinden aynı anda sorumlu olacak, erişim düzeyinde L2 anahtarları ve internete bağlanmak veya tüneller aracılığıyla uzak ofislerle iletişim kurmak için bir ağ geçidi olarak bir yönlendirici.
500'den fazla kişiden oluşan ve performans ve işlevsellik için yüksek gereksinimleri olan gerçekten BÜYÜK kampüs ağlarında, kullanıcıları bağlamak için erişim düzeyinde bile L3 anahtarlarının kurulması gerekebilir. Bu, aşağıdaki nedenlerden dolayı olabilir:
L2 anahtarlarının yetersiz performansı (özellikle gigabit bağlantı noktaları ile ve sunucu çiftlikleri olarak kullanıldığında)
Desteklenen etkin vlan sayısı yetersiz (L3 için 1000'e karşı 255)
Q-n-Q işlevselliğinin olmaması
Yetersiz sayıda desteklenen ACL girişi (2960 - 512, 3560 - 2000)
Çok noktaya yayınlarla çalışmak için sınırlı seçenekler
L2 Anahtarlarında Yetersiz QoS Yetenekleri
"L3-erişim" ağ mimarisi - yani. yerel alt ağların yönlendirme noktaları erişim düzeyine taşınır ve önceden özetlenmiş olan yollar dağıtım düzeyine kadar verilir ...
Dağıtım düzeyinde L2 ve STP eksikliği.