6. Сопоставление стандарта 802.1Q с технологией
advertisement
Виртуальные сети 1. Введение В сегодняшней экономике доходность и мобильность предприятий и организаций являются важнейшими факторами их существования и развития в условиях жесткой конкуренции. Чтобы деятельность предприятий оставалась эффективной и доходной, они должны быть гибкими по отношению к изменениям в деловом климате, а их деловые операции должны проводится динамично, чтобы быстро реагировать на эти изменения. Коммерческие и некоммерческие организации, финансовые институты и предприятия должны становиться все более маневренными, чтобы уменьшить используемые ими ресурсы и увеличить эффективность их использования. Для этого выполнение работы должно производиться как можно меньшим количеством людей, а временные рабочие группы, создаваемые для решения какой-либо задачи, должны быть переформированы при ее завершении. Такая динамичная среда требует гибкой организации сети, поддерживающей быстро изменяющиеся условия и потребности предприятий в процессе их функционирования и развития. В этих условиях компьютерные сети предприятий становятся важнейшей частью информационной инфраструктуры, которая обеспечивает условия для успешной работы предприятия. Сетевая инфраструктура должна быть гибкой, наращиваемой, достаточно производительной, защищенной и хорошо управляемой, чтобы обеспечивать функционирование информационной инфраструктуры предприятия без существенных затрат. Сети с использованием разделяемой среды (концентраторы) не обеспечивают достаточно хорошо ни одного из перечисленных свойств сети. Такие сетевые технологии как коммутация и маршрутизация также не решают многих проблем функционирования сети. При использовании коммутации плохо управляется широковещательный трафик, невелики возможности обеспечения безопасности, имеются потенциально “узкие места”. Маршрутизация увеличивает накладные расходы и усложняет администрирование сети. Использование перечисленных технологий не исключает ручного вмешательства администратора, когда для организации логической группы необходимо физически произвести переключение рабочей станции с одного сегмента ЛВС на другой. Ручная коммутация требует довольно много времени и усилий и может закончиться установкой некорректного соединения. Технология виртуальных сетей, вобравшая в себя лучшее из современных сетевых технологий, решает множество проблем функционирования сети. 2. Концепция виртуальной сети Концепция технологии построения виртуальных ЛВС (VLAN) заключается в том, что администратор сети может создавать в ней логические группы пользователей независимо от того, к какому участку сети они подключены. Объединять пользователей в логические рабочие группы можно, например, по признакам общности выполняемой работы или совместно решаемой задачи. При этом группы пользователей могут взаимодействовать между собой или быть совершенно невидимыми друг для друга. Членство в группе можно изменять, и пользователь может быть членом нескольких логических групп. Концепция виртуальных сетей была создана на основе технологии коммутации в ЛВС, которая появилась в 1991 и теперь активно развивается. Коммутаторы могут пересылать пакеты Ethernet, Fast Ethernet, Token Ring, или FDDI между сегментами ЛВС или пользователями, непосредственно подключенными к порту коммутатора. Большинство коммутаторов работают в пределах второго уровня модели OSI (Data Link Layer). Другими словами, они работают как мосты, коммутируя пакеты между источником и получателем, определяемым по MAC-адресу получателя из заголовка пакета. Некоторые коммутаторы в настоящее время поддерживает третий уровень OSI (Network Layer), маршрутизируя пакеты по признаку сетевого адреса. Это ключевое различие между двумя типами коммутации определяет разницу в гибкости и функциональности виртуальных сетей, создаваемых на основе коммутаторов второго или третьего уровня. Виртуальные сети формируют логические широковещательные домены, ограничивая прохождение широковещательных пакетов по сети, так же, как и маршрутизаторы, изолирующие широковещательный трафик между сегментами ЛВС. Таким образом, виртуальная сеть предотвращает возникновение широковещательных штормов, так как широковещательные сообщения ограничены членами виртуальной сети и не могут быть получены членами других виртуальных сетей. Виртуальные сети могут разрешать доступ членам другой виртуальной сети в случаях, где это необходимо для доступа в общие ресурсы, типа файловых серверов или серверов приложений, или где общая задача, например работа с банковскими клиентами, требует взаимодействия различных служб, например кредитных и расчетных подразделений. Виртуальные сети могут создаваться по признакам портов коммутатора, физических (MAC) адресов устройств, включаемых в сеть (второй уровень модели OSI) и логических адресов протоколов третьего уровня модели OSI. Виртуальные сети, создаваемые по портам коммутаторов, наименее гибки в администрировании, для организации связи виртуальных сетей между собой может потребоваться маршрутизатор, что влечет за собой дополнительные накладные расходы и материальные затраты. Виртуальные сети второго уровня более гибки в администрировании, для связи виртуальных сетей между собой может потребоваться маршрутизатор. Трудоемкость установки этих двух типов виртуальных сетей определяется системой управления, которую предоставляет производитель активного оборудования, и, в случае только интерфейса командной строки и большого количества пользователей, трудоемкость окажется весьма существенной. Преимущество состоит в высокой скорости работы коммутаторов, так как современные коммутаторы содержат специализированный набор интегральных схем (ASIC) специально разработанных для решения задач коммутации на втором уровне модели OSI. Виртуальные сети третьего уровня наиболее просты в установке, если не требуется переконфигурация клиентов сети, наиболее сложны в администрировании, т.к. любое действие с клиентом сети требует либо переконфигурации самого клиента либо маршрутизатора, и наименее гибки, так как для связи виртуальных сетей требуется маршрутизация, что увеличивает стоимость системы и снижает ее производительность. 3. Построение виртуальных сетей на основе стандарта IEEE 802.1Q Стандарт IEEE 802.1Q определяет организацию виртуальных сетей по портам, т.е. построение виртуальных сетей первого уровня. Построение виртуальных сетей на коммутаторах 802.1Q осуществляется через назначение портам идентификаторов VLAN, которые называются Port VLAN ID (PVID). Для обмена данными между коммутаторами, а также коммутаторов с другими устройствами, распознающими кадры 802.1Q, предусмотрен формат маркировки кадров идентификаторами виртуальных сетей. Данный стандарт предусматривает два режима работы VLAN-коммутаторов: совместное изучение и независимое изучение информации в разных виртуальных сетях (соответственно, Shared VLAN Learning (SVL) и Independent VLAN Learning (IVL)). SVL-режим позволяет создавать VLAN-конфигурации, при которых допустимо множественное членство определенных портов в разных виртуальных сетях. Это значит, что определенный пользователь из одного VLAN может видеть некоторых определенных пользователей из других виртуальных сетей, а также членов своей группы. Эта конфигурация может использоваться для организации доступа членов разных виртуальных сетей к некоторым общим ресурсам. IVL-режим означает полную изоляцию разных виртуальных сетей друг от друга. В этом режиме общение между виртуальными сетями осуществляется на втором уровне (например, через традиционный мост, при выключенном протоколе Spanning Tree) или на третьем уровне (через маршрутизатор). Все ограничения доступа между виртуальными группами устанавливаются на маршрутизаторе. 3.1. Примеры топологии Так как протокол 802.1Q поддерживает протокол Spanning Tree, препятствующий образованию петель в сети, то имеется возможность создания запасных связей между коммутаторами, однако запасная связь будет выключена до тех пор, пока не выключится основная. Стандарт 802.1Q не предусматривает возможности распределения нагрузки по разным каналам передачи данных, что не исключает возможностей построения высокоскоростных магистралей на основе объединения параллельных каналов связи в один логический канал на аппаратном уровне коммутатора (например, технологии SmartTrunk для коммутаторов Cabletron Systems, EtherChannel – для коммутаторов Cisco Systems). В случае наличия в сети устройств с одинаковыми MAC-адресами или устройств с несколькими интерфейсами, имеющими один и тот же MAC-адрес, необходимо, чтобы эти интерфейсы находились в разных виртуальных сетях, а коммутатор работал в режиме IVL. При соединении двух виртуальных сетей на втором уровне (например, через традиционный мост) необходимо, чтобы коммутатор работал в режиме IVL. Логичная и полезная работа протокола Spanning Tree не позволяет по стандарту использовать резервные каналы для передачи трафика. Собственные алгоритмы производителей устраняют это ограничение, таким образом, что организуются ветвления Spanning Tree для каждой группы портов, образующих виртуальную сеть. Таким образом, для одной виртуальной группы резервным может быть один канал, а для другой группы – другой канал. На рисунке 3.1 представлен пример топологии сети, построенной на коммутаторах, поддерживающих 802.1Q. В этом примере существует два домена виртуальных сетей, разделенных маршрутизатором. Рабочие станции в разных виртуальных сетях показаны разным цветом. Коммутаторы соединяются друг с другом высокоскоростными каналами связи, передающие кадры, содержащие идентификаторы 802.1Q. Эти каналы (Trunk) позволяют организовать магистраль для передачи данных от разных виртуальных сетей между коммутаторами. В этой топологии показан сервер, понимающий формат пакетов 802.1Q, что позволяет ему взаимодействовать со станциями, работающими в разных виртуальных сетях. Маршрутизатор, поддерживающий 802.1Q позволяет организовать членство в одной виртуальной группе станциям, расположенным в разных доменах. Соединение коммутаторов в треугольник иллюстрирует возможность использования Spanning Tree для разных виртуальных групп. Также здесь представлен пример подключения традиционного моста, через который к домену могут подключаться другие устройства. В таком случае все устройства, подключенные к коммутатору 802.1Q, становятся членами виртуальной сети по признаку порта этого коммутатора. 802.1Q Trunk 802.1Q Trunk 802.1Q Trunk Q 2.1 80 r unk T 80 2 Tr .1Q un k 802.1Q Trunk Маршрутизатор 802.1Q Trunk Станция в VLAN1 Мост 802.1d Станция в VLAN2 Коммутатор 802.1Q Станция в VLAN3 Сервер с поддержкой на сетевом интерфейсе транка 802.1Q Рис. 3.1. Пример топологии сети, построенной на коммутаторах 802.1Q 3.2. Принцип работы коммутаторов 802.1Q В работе коммутаторов 802.1Q можно выделить следующие основные этапы: 1) Получение и идентификация пакета; 2) Изучение топологии; 3) Коммутация пакета; 4) Пересылка пакета. 3.2.1. Получение и идентификация пакета Пакет, полученный на порту коммутатора, может быть обработан в соответствии как с типом порта, так и с принадлежностью его к определенной виртуальной группе. Если тип порта - Trunk, то пакеты идентифицируются согласно VID в метке пакета, а VLAN-непомеченные пакеты, приходящие на порт, отбрасываются. Если тип порта - Hybrid, то VLAN-помеченные пакеты идентифицируются по их VID в метке, а VLAN-непомеченные пакеты идентифицируются по PVID порта. Если тип порта - Access, то непомеченные пакеты идентифицируются по PVID порта, а помеченные - отбрасываются. 3.2.2. Изучение топологии В процесссе изучения топологии коммутатор создает или модифицирует динамические строки фильтрации в своей базе данных фильтрации в соответствии с параметрами принятого им пакета. Динамическая строка фильтрации создается или модифицируется, если: 1) Порт, куда поступил пакет, находится в состоянии изучения (Learning); 2) В поле "Адрес источника" кадра записан конкретный (Unicast) MAC-адрес; 3) Количество строк базы данных фильтрации не превышает своего максимального объема; 4) В строке регистрации базы данных фильтрации VID пакета включает, по крайней мере, один порт. 3.2.3. Коммутация пакета Этот процесс включает в себя: 1) Проверку ограничений топологии, т. е. проверку активного состояния входного и выходного портов, проверку того, что кадр не будет передан обратно на порт, принявший этот фрейм, проверку соответствия размера фрейма параметрам среды передачи; 2) Фильтрацию кадров по отсутствию MAC-адреса адресата или VID кадра в базе данных фильтрации, либо согласно установленному фильтру; 3) Постановку кадров в очередь на передачу, согласно их приоритетности; 4) Выборка кадров из очереди для передачи; 5) Вычисление контрольной суммы кадров. 3.3. Режимы IVL и SVL Один из примеров применения виртуальных сетей 802.1Q был представлен на рисунке 3.1. Данная схема предполагает работу коммутаторов в режиме IVL, что означает изоляцию станций, расположенных в разных виртуальных сетях. Соединение их возможно только через маршрутизатор, на котором прописываются и все ограничения на взаимодействие станций из разных виртуальных сетей. Работа коммутатора в режиме SVL позволяет более гибко строить сеть, связывать станции из разных виртуальных сетей на уровне MAC-адресов, организовывать доступ к общим ресурсам из разных виртуальных сетей. Примеры использования таких возможностей SVL-режима приведены ниже. Членст в о в VLAN 100 - порт ы 1, 3, 25 200 - порт ы 2, 4, 25 300 - порт ы 1, 2 Port 1 1 Port 2 PVID 100 Hybrid Передача непомеченных кадров 100 - порт ы 1, 3, 25 200 - порт ы 2, 4, 25 300 - порт ы 1, 2 Port 3 3 PVID 200 Hybrid PVID Hybrid 300 Port 25 2 Port 4 4 Port 2 PVID PVID Серв 100 200ер Простейшая схема подразумевает, что порт с определенным PVID является Hybrid Hybridчленом виртуальной сети с этим VID. Асимметричная схема предполагает, что для двух портов с разными PVID, каждый из них является членом противоположного VLAN. Если при этом он остается членом своего VLAN (чей VID=PVID порта), то этот порт будет видеть членов своей виртуальной сети, а также порты другого VLAN, которые находятся в числе членов его 3 4 виртуальной сети. Такое возможно 3потому, PVID и членство портов конфигурируются раздельно. Данная схема приведена на рисунке 3.2. Членство в VLAN 100 - Порты 1,2,3 200 - Порты 1,2,4 Port 1 1 Посылка непомеченных фреймов 100 - Порты 1,2,3 200 - Порты 1,2,4 2 Port Port Рис. 3.2. Пример работы коммутатора в режиме SVL 4 В данной схеме широковещательный пакет от станции 1 приходит на порт 1 и классифицируется, как принадлежащий к VLAN 100. Далее MAC-адрес станции 1 заносится в базу данных фильтрации с его VID 100. Затем из базы данных определяется, что членом VLAN 100 является порт 2, а формат пересылаемого фрейма - непомеченный. Поэтому кадр пересылается на порт 2 как непомеченный. Станция 2 отвечает станции 1 одноадресным кадром. Данный кадр классифицируется, как принадлежащий к VLAN 200, после чего по информации базы данных фильтрации определяется, что станция 1 находится на порту 1, а затем MACадрес станции 2 заносится в базу. Далее просматриваются выходные параметры и подтверждается членство порта 1 в VLAN 200 и определяется непомеченный формат пересылаемого кадра. Поэтому кадр пересылается на порт 1 как непомеченный. Следующую схему можно использовать для организации взаимодействия разных виртуальных групп с некоторыми устройствами общего доступа (рисунок 3.3). Станции 1 и 2 находятся в разных виртуальных сетях и отделены друг от друга, но обе они обращаются к серверу. Станции 3 и 4 работают только в своей виртуальной сети. Рис. 3.3. Пример использования устройств общего доступа 4. Технология построения виртуальных сетей компании Cabletron Systems Подход компании Cabletron Systems к технологии виртуальных сетей и стратегии построения сетей основан на следующих принципах: защита инвестиций клиентов (долгий срок морального старения сетевых продуктов, интеграция старых и новых технологий) существенное уменьшение стоимости администрирования сети (интеллектуальные средства управления) построение ориентированных на соединения виртуальных сетей, которые поддерживают любую топологию ЛВС Компания проповедует стратегию построения виртуальных сетей, которая предоставляет пользователям возможность плавного перехода от традиционных локальных сетей к коммутируемым виртуальным сетям, что позволяет пользователям мигрировать к технологии виртуальных сетей в их собственном темпе. Такой подход заложен в корпоративной концепции, называемой Smart Network. Smart Network используется как название архитектуры виртуальных сетей и стратегии организации сетей, синтезирующей функции многопротокольного маршрутизатора в сети без недостатков, присущих маршрутизаторам. Концепция Smart Network основывается как на действующих стандартах (например, 802.1d/p/Q), на дальнейшем развитии этих стандартов, так и на своих собственных фирменных разработках. В данной главе описывается концепция Smart Network в части фирменной технологии SecureFast Virtual Networking, состоящей из нескольких основных элементов: 1. Инфраструктура - физический уровень сети, которая включает концентраторы, коммутаторы LAN и ATM, средства интеграции SNA/LAN, маршрутизаторы, и технологию защищенной быстрой коммутации пакетов (SecureFast Packet Switching - SFPS). 2. Автоматизированное управление SecureFast Virtual Network Services (SFVNS) которое включает: службу управления доступом к сетевой среде (Policy Management Service) службу управления соединениями между узлами (Call Management Service) службу учета вызовов на установление соединений (Call Accounting Service) Cоздаваемая виртуальная сеть представляет собой широковещательный домен (широковещательные пакеты не выходят за пределы виртуальной группы), формируемый по двум признакам: 1. На основе назначения принадлежности портов коммутаторов Cabletron Systems, связанных между собой соединением типа точка-точка. 2. На основе MAC-адресов пользователей, что позволяет им физически перемещаться внутри сетевой инфраструктуры без изменения конфигурации виртуальной сети. В отличии от стандартных 802.1Q коммутаторов, ориентируемые на соединения коммутаторы, работающие по технологии SFPS, используют систему автоматического управления соединениями (Automated Connection Management System - ACMS). Коммутаторы SFPS используют алгоритм установления соединения подобный тому, который функционирует в сетях ATM. Программные агенты SFS, работающие как часть программного обеспечения коммутаторов (firmware), перехватывают и транслируют запросы сетевого уровня в запросы, аналогичные запросам установления соединения ATM UNI. Широковещательные пакеты от любого клиента, типа ARP-запросов пользователя или сервера, перехватываются SFS-агентом коммутатора. Таким образом, в сети не возникает неконтролируемый широковещательный трафик. Любые адресные пакеты, которым не находится соответствия в базе данных подключений коммутатора, также не рассылаются по сети, а обрабатываются SFS-агентом. SFS-агенты используют адреса уровня MAC и сетевого уровня, содержащиеся в каждом пакете, чтобы в соответствии со своими таблицами адресов обнаружить, где и на каком порту находится конечный пользователь. Эта функция названа исследованием конечного адреса станции. SFS-агенты посылают информацию, полученную в процессе такого исследования другим агентам для модификации их таблиц, каждый раз, когда новая станция обнаружена на любом порту коммутатора. Это позволяет службе ACMS обучаться адресам новых конечных пользователей и следить за пользователями, которые перемещаются от одного порта на другой. SecureFast VNS - это сервис, который функционирует как часть программного обеспечения коммутатора и распределяет обычные функциональные возможности маршрутизации по всей сети, позволяет администраторам сетей легко производить переконфигурацию сети (добавление, изменение и удаление пользователей, контроль полосы пропускания, осуществлять стратегии предоставления прав доступа и безопасности). Виртуальная сеть SecureFast состоит из трех главных компонентов: 1. Коммутаторы SFPS - устанавливают соединение, коммутацию и виртуальную маршрутизацию для Ethernet, Fast Ethernet, Token Ring, FDDI, Gigabit Ethernet и пакетов SNA с производительностью коммутаторов ATM. 2. SecureFast Virtual Network Services (SFVNS) - обеспечивает функционирование служб виртуальной маршрутизации, управления доступом, учета запросов и управления соединениями. 3. SecureFast VLAN Management Application - приложение, обеспечивающее доступ администратора к управлению конфигурацией виртуальных сетей, определения прав доступа и контроля соединений. Характерные особенности сетей SecureFast: Сеть ориентирована на установление соединений - коммутируемая виртуальная сеть, в которой устанавливаются соединения между источником и получателем и доставляются пакеты по установленному маршруту, подобно тому, как это происходит в телефонной сети. Этот метод гарантирует доставку пакетов в точку назначения, в отличие от традиционных технологий ЛВС и виртуальных ЛВС (с разделяемой средой доступа), которые не являются ориентированными на установление соединений и не гарантирует доставку пакета. Поддержка различных протоколов и сред передачи данных - обеспечение поддержки различных протоколов для всех сетевых топологий, в том числе Ethernet/Fast/Gigabit Ethernet, Token Ring, FDDI, и ATM LAN Emulation (LANE). Высокое быстродействие - cервис виртуальной маршрутизации (Virtual Routing Service) устанавливает соединения, исследуя заголовок адреса только первого пакета в потоке, что более эффективно по скорости передачи, чем технологии традиционной маршрутизации. После установления соединения происходит только коммутация по установленному пути, что позволяет получить высокое быстродействие системы. Наличие службы управления доступом, которая обрабатывает запросы на основе информации о правах и привилегиях доступа пользователя к сети. Эта проверка выполняется один раз во время установки соединения, в отличие от мостов и маршрутизаторов в которых каждый пакет фильтруется, что существенно увеличивает задержки в сети. Служба учета запросов, осуществляющая сбор статистики по каждому установленному соединению, что позволяет осуществлять планирование пропускной способности сети и составлять отчеты по каждому клиенту. Служба управления соединениями, позволяющая устанавливать соединения по коммутируемым или постоянным виртуальным каналам типа point-to-point, point-to-multipoint, multipoint-to-multipoint. Это позволяет администратору сети наблюдать за активными соединениями и исследовать их, используя анализаторы протоколов. 4.1. Архитектура и функционирование виртуальных сетей SecureFast Виртуальные сети создаваемые в рамках стратегии SecureFast Virtual Networking имеют доменную структуру. Каждый домен содержит группу коммутаторов SmartSwitch, переведенных в режим коммутации SFPS с установленными элементами сервиса VNS и соединенных соединениями типа точка-точка, или коммутаторы могут быть включены в разделяемую среду. Например, допустимой конфигурацией является соединение в кольце FDDI как двух, так и более коммутаторов SFS. Так как каждый коммутатор может соединяться со многими коммутаторами в рамках своего домена, то формируется ячеистая структура с множественными возможными путями следования пакетов от одной точки в другую. Если в традиционных сетях конфликты, связанные с такой ситуацией, разрешаются на основе алгоритма Spanning Tree, функционирующего на мостах, то в сетях SecureFast эти проблемы решаются посредством протокола VLSP (Virtual Link State Protocol), разработанным компанией Cabletron Systems, являющегося аналогом протокола OSPF (Open Shortest Path First). Коммутаторы могут быть соединены тремя параллельными линиями связи с равной ценой пути, при этом все три соединения будут оставаться активными и механизм, основанный на протоколе VLSP, обеспечит сбалансированную загрузку этих каналов в соответствии с требуемым количеством логических соединений. При использовании четырех и более линий соединения между коммутаторами они будет являться “горячим резервом”. В случае использования линий связи, имеющих различную пропускную способность, в первую очередь используются линии имеющие более низкую цену пути, которая вычисляется как результат деления скорости в 1 Гбит/с на скорость передачи в этой линии связи, т. е. наиболее скоростные. Коммутаторы, составляющие домен, периодически обмениваются друг с другом информацией о том, с какими коммутаторами они непосредственно связаны и какие типы соединений для этого используются. Таким образом, каждый коммутатор строит полную топологическую карту своего домена, что позволяет ему быстро и оптимально определять путь следования пакетов во время установления соединения. Домены соединяются между собой маршрутизаторами. В рамках каждого домена, состоящего из группы коммутаторов, организуются виртуальные сети по нескольким возможным критериям. 1. Виртуальная сеть, основанная на группировке портов коммутаторов домена в виртуальную сеть. В этом случае любой пользователь, подключенный к какому-либо порту, принадлежащему конкретной виртуальной сети, приобретает членство и права в этой виртуальной сети, определенные ее статусом. 2. Виртуальная сеть, основанная на группировке MAC-адресов пользователей и сетевых устройств в виртуальную сеть. Пользователь, являющийся членом виртуальной сети, может свободно перемещаться физически по сетевой инфрастуктуре домена и подключаться к любому порту в его рамках. При этом не возникает необходимости административного вмешательства для переподключения пользователя, так как он имеет одинаковые права и ограничения, определенные свойствами той виртуальной сети, членом которой он является. 3. Виртуальная сеть, основанная на группировке пользователей по протоколам и адресам третьего уровня. Так же, как и во втором случае, без всякого административного вмешательства пользователь может свободно перемещаться физически по сетевой инфрастуктуре домена и подключаться к любому порту в его рамках. Кроме этого, пользователь становится членом данной виртуальной сети автоматически, при соответствии его адреса третьего уровня установленным критериям данной виртуальной сети. На пользователя и порт не накладываются ограничения принадлежности к одной виртуальной сети, поэтому они могут быть членами сразу нескольких виртуальных сетей. Создание виртуальных сетей по второму и третьему критериям исключает попадание в чужую виртуальную сеть пользователя из-за ошибочного его подключения к портам коммутатора. Для исключения попадания в чужую виртуальную сеть, созданную по первому критерию, свободным портам коммутатора присваивается статус Lock Port. В виртуальных сетях Secure Fast функционирует модель обеспечения безопасности, в соответствии с которой виртуальные ЛВС разделяются на два класса, имеющих разную степень защиты: 1. Открытые виртуальные сети (Open VLAN) позволяют имеющим в них членство пользователям свободно взаимодействовать между собой без дополнительных внешних устройств маршрутизации, используя механизмы установления соединения и распознавания адресов. 2. Защищенные виртуальные сети (Secure VLAN) разрешают пользователям взаимодействовать только в рамках той виртуальной сети, членами которой они являются. Взаимодействие с пользователями, находящимися за пределами защищенной виртуальной сети, возможно только через маршрутизатор. Каждая виртуальная сеть моделирует область широковещательных запросов традиционной ЛВС, однако, даже внутри виртуальных сетей реальный широковещательный трафик значительно ниже, чем в традиционных сетях. Это возможно благодаря функционированию в коммутаторах Secure Fast механизма интеллектуального распознавания адресов, перехвата и анализа широковещательных сообщений. Использование операции Flooding блокирует передачу широковещательных сообщений в рамках отдельной виртуальной сети. Домен ABC User 1; VLAN B Домен XYZ User 2; VLAN C User 1; VLAN X Sw itch 3, Port 1; VLAN B, C SERVER; VLAN B, C SERVER Sw itch 5, Port 1; VLAN X, Y User 2; VLAN Y Sw itch 2 Sw itch 6 Sw itch 1 Sw itch 3 Router Sw itch 3, Port 2; VLAN A Sw itch 4 Sw itch 7 User 3; VLAN X User 3; VLAN B Sw itch 4, Port 1; VLAN B VLAN Manager, SNMP Manager Sw itch 4, Port 2; VLAN A HUB User 5 User 4; VLAN Y User 4; VLAN A User 6 Рис. 4.1. Пример организации виртуальных сетей SecureFast На рисунке 4.1 представлен пример организации виртуальных сетей SecureFast. В данном примере имеются две сети, объединенных маршрутизатором. Каждая сеть состоит из нескольких коммутаторов, соединенных между собой по правилам виртуальных сетей SecureFast. Сети, подключенные к маршрутизатору, образуют домены - домен ABC и домен XYZ. В домене ABC созданы виртуальные сети VLAN A, VLAN B и VLAN C. VLAN A является открытой, VLAN B и VLAN C - защищенными. В данном примере предполагается, что членам виртуальных сетей VLAN B и VLAN C необходимо взаимодействовать между собой. Для этого на одном порту маршрутизатора настраивается маршрутизация между VLAN B и VLAN C, и этому порту присваивается членство в VLAN B и VLAN C. Второй порт маршрутизатора используется, если требуется связать VLAN A с VLAN B и VLAN C. Станция VLAN Manager (VLAN B), подключенная к порту 1 коммутатора 4, обеспечивает управление обоими доменами в плане виртуальных сетей. Эта станция может также управлять сетевой инфраструктурой по протоколу SNMP. Пользователи User 4 (коммутатор 3), User 5, User 6 и концентратор, к которому они подключены, объединены в виртуальную сеть VLAN A - таким образом можно интегрировать технологию виртуальных сетей и локальные сети, построенные с использованием традиционных сетевых технологий - разделяемых сред доступа и мостовых соединений. В домене XYZ существуют виртуальные сети VLAN X и VLAN Y, для которых организован доступ к виртуальным сетям домена ABC через маршрутизатор. Если требуется обеспечить выборочное взаимодействие членов разных виртуальных групп и доменов, то для этого на маршрутизаторе устанавливаются фильтры, блокирующие прохождение через него данных. Программное обеспечение SecureFast VLAN Manager управляет виртуальными сетями, функционирующими на коммутаторах семейства SmartSwitch в режиме SFPS. VLAN Manager позволяет управлять всеми коммутаторами SFPS в сети. Простой и удобный в использовании графический оконный интерфейс позволяет администратору производить управление виртуальными сетями и наблюдение за их работой. Домены, виртуальные сети, коммутаторы, и пользователи могут создаваться и управляться при помощи команд меню, инструментальной панели и работой в стиле drag-and-drop. Используя VLAN Manager, можно управлять доступом пользователей в виртуальные сети, применяя модель безопасности, реализованную в виртуальных сетях SecureFast. Можно также контролировать виртуальные сети, коммутаторы, порты, пользователей, подключения, соединения и топологию сети, используя детализированные представления. VLAN Manager устанавливается как автономное приложение или интегрируется в систему управления SPECTRUM Enterprise Manager. VLAN Manager совместим со всеми коммутаторами, поддерживающими технологию коммутации SFPS. VLAN Manager использует команды протокола SNMP для коммутаторов виртуальной сети. конфигурирования и контроля всех Система управления вычислительной сетью Система управления виртуальными сетями VLAN Manager SNMP UDP UDP SNMP VLAN Manager Client SNMP SNMP SNMP SNMP VLANServer Коммутатор SFPS Коммутатор SFPS Сетевые порты Сетевые порты Порты доступа Порты доступа Пользователи Рис. 4.2. Диаграмма взаимодействия компонент сетей SecureFast На рисунке 4.2 представлена диаграмма взаимодействия компонент сетей SecureFast. Система VLAN Manager состоит из двух модулей. Модуль VLANServer хранит модели коммутаторов SFPS, сетевых узлов, подключенных к ним, конфигурацию виртуальных сетей, таблицы соединений. Модели непрерывно собирают данные относительно объектов, которые они представляют. Работа VLANServer не зависит от того, работает или нет модуль VLAN Manager Client, являющийся клиентской частью системы управления виртуальными сетями VLAN Manager. VLAN Manager Client обеспечивает доступ администратора сети к функциональным возможностям технологии SecureFast. Взаимодействуя с VLANServer и получая из его базы данных информацию об объектах управления, при помощи удобного графического оконного интерфейса, VLAN Manager Client позволяет администратору производить управление виртуальными сетями и наблюдение за их работой. Система управления виртуальными сетями имеет нескольких клиентов VLAN Manager к модулю компьютерах. Каждый такой клиент может иметь Распределенность предоставляет гибкость и виртуальными сетями. распределенную структуру. Возможно одновременное подключение VLANServer. Причем оба модуля могут находиться на разных собственные права и ограничения доступа к модулю VLANServer. увеличение вычислительной мощности системы управления VLANServer и VLAN Manager Client взаимодействуют через компоненту стека протокола TCP/IP UDP, а VLANServer непосредственно взаимодействует с коммутаторами SFPS по протоколу SNMP. Поскольку VLAN Manager управляет только коммутаторами и пользователями, то система управления сетью продолжает выполнять свои функции, взаимодействуя со всеми сетевыми устройствами по протоколу SNMP. Доступ клиента VLAN Manager к модулю VLANServer, а системы управления сетью к сетевым устройствам в виртуальных сетях определяются их членством в соответствующих виртуальных сетях. Коммутаторы SFPS хранят информацию о конфигурации домена в своей оперативной памяти. Поэтому при их включении или перезагрузке они должны иметь возможность обнаружить станцию VLAN Manager, которая должна быть включена в домен непосредственно или иметь доступ к нему через маршрутизатор, чтобы загрузить конфигурацию домена. После инициализации домена присутствие в сети VLAN Manager не требуется. Если домен включается при отсутствии VLAN Manager, коммутаторы настраиваются на конфигурацию "по умолчанию", когда в домене создается одна общая открытая виртуальная сеть, называемая Base. Следует иметь в виду, что если VLAN Manager включается, когда домен уже сконфигурирован и работает, то для обеспечения корректности работы домена необходимо время для синхронизации информации, хранящейся в коммутаторах и в базе данных VLAN Manager. Если VLAN Manager не хранит информацию о домене, которым требуется управлять, то функция автопостроения обеспечит для VLAN Manager создание базы данных об этом домене. Система VLAN Manager существует как функционирующее автономно программное обеспечение, так и как версия для интеграции с системой управления SPECTRUM Enterprise Manager, что позволяет: моделировать домены виртуальных сетей и составляющие их коммутаторы, запускать VLANserver и клиента VLAN Manager из SPECTRUM, управлять базой данных VLAN Manager из SPECTRUM. При помощи VLAN Manager можно производить следующие операции: Операции над доменами виртуальных сетей - создание, удаление, открытие, переименование, конфигурирование и исследование доменов виртуальных сетей (рис. 4.3). Домены составляют основу конфигурации виртуальных сетей. Каждая группа взаимосвязанных коммутаторов SFPS, ограниченная маршрутизатором, составляет домен. Каждый домен получает в процессе создания уникальное имя. При создании домена необходимо указать корневой коммутатор домена. Функционально этот коммутатор не имеет каких-либо специфических функций, отличающих его от других коммутаторов домена. Им может стать любой из коммутаторов домена, просто с этого коммутатора VLAN Manager начнет исследование домена и его топологии. Можно управлять любым доменом, известным VLANServer (и виртуальными сетями, в нем созданными), но в каждый момент времени только одним. Гибкость VLAN Manager позволяет выполнять многие из задач управления доменами, используя “мастера” создания домена VLAN Manager или другие операции из меню. Обычно, “мастер” используется в момент первого запуска VLAN Manager, чтобы создать и исследовать домены. Позже, выполняя задачи администрирования домена, используются команды меню (рис. 4.4). Рис. 4.З. Окно исследования доменов Рис. 4.4. Вид главного окна VLAN Manager: панели управления виртуальными сетями (слева) и коммутаторами (справа) Операции над виртуальными сетями - создание, удаление, назначение членов виртуальной сети, просмотр информации о сети, изменение режима работы сети - защищенная/открытая, пропускать широковещательные пакеты в пределах сети или нет, включить/отключить сеть. Расширенные операции над виртуальными сетями (Advanced VLAN Policy) – создание политик попарного взаимодействия виртуальных сетей. Имеется возможность позволить/запретить соединение пользователей двух виртуальных сетей независимо от режима безопасности этих сетей (защищенные/открытые) и распространение широковещательного трафика между данной парой сетей в двунаправленном или однонаправленном режиме (рис. 4.5). Рис. 4.5. Окно расширенных операций над виртуальными сетями (Advanced VLAN Policy) Операции над коммутаторами - добавление и удаление коммутаторов в доменах виртуальных сетей, просмотр таблицы соединений, добавление и удаление пользователей на портах, сведения о нарушениях, перезагрузка, замена, опрос, переконфигурация коммутаторов, сброс соединений коммутатора. Операции над пользователями - управление пользователями осуществляется из окна каталога и из меню пользователя. Окно каталога предоставляет информацию о каждом пользователе - члене текущего домена. Это окно позволяет изменять некоторые параметры пользователя. Установка параметров поиска и фильтра позволяет быстро находить специфического пользователя или группу пользователей без необходимости анализировать весь список. Меню пользователя содержит команды, позволяющие создавать новых пользователей в текущем домене, удалять пользователя из виртуальной сети (если пользователь не является членом любой другой виртуальной сети, эта операция возвращает его в виртуальную сеть, к которой приписан порт коммутатора и к которому подключен пользователь), удалять пользователя (пользователи, которые удалены таким образом, удаляются со всех портов, виртуальных сетей и полностью удаляются из базы данных VLANServer), сбрасывать все соединения пользователя. В меню «Свойства пользователя» имеется возможность ограничивать мобильность пользователя, т.е. привязывать MAC-адрес пользователя к конкретному адресу третьего уровня и/или порту коммутатора (Restrict User/Restrict Port). В случае нарушения данных установок, пользователь выделяется желтым цветом и помещается в таблицу нарушений (рис. 4.6) для последующего принятия мер. Таблицы нарушений имеются на каждый коммутатор и суммарная - на весь домен. Рис. 4.6. Таблица нарушений Операции над портами - открытие, закрытие и изменение статуса; при подключении к закрытому порту пользователь может иметь членство только в той виртуальной сети, к которой приписан этот порт коммутатора, если порт открыть, то пользователь, кроме членства в виртуальной сети, к которой приписан порт коммутатора, может быть членом других виртуальных сетей по признаку его MAC-адреса, установка/снятие статуса резервного порта или порта маршрутизатора. Просмотр топологии сети - обеспечивает графическое представление всех коммутаторов и их связей для текущего домена (рис. 4.7). Отображаемая схема топологии сети содержит символические изображения коммутаторов и актуальное состояние их связей между собой, количество пользователей подключенных к каждому коммутатору. Пиктограммы коммутаторов содержат поле цветового индикатора текущего состояния коммутатора. Можно также просматривать каталог пользователей коммутатора, таблицы соединений между коммутаторами и таблицы соединений пользователей. Рис. 4.7. Вид топологии сети Управление протоколами (Protocol Control) – позволяет сетевому администратору подавлять определенные протоколы и/или связанные с ними типы кадров (рис. 4.8). Применяется или во всем домене, или на конкретном коммутаторе. Создается таблица (рис. 4.6), в которую заносятся пользователи, пытавшиеся передавать в запрещенном протоколе. Рис. 4.8. Окно управления протоколами Управление активными соединениями - таблица соединений предоставляет детальную информацию относительно всех активных соединений, по выбранному объекту: коммутатору, порту или пользователю. Можно сбросить любое из установленных соединений, установить параметры их функционирования (время жизни, политику сброса неактивных соединений), создавать/удалять соединение типа точка-точка. Мониторинг соединений при помощи внешнего анализатора возможен благодаря реализации функции копирования трафика конкретного соединения на какой-либо порт коммутатора (call tap). Создание и сброс постоянных соединений (provision call) - возможно установление постоянных соединений, передающих широковещательные пакеты между двумя конечными точками (рис. 4.9). Однажды созданные, эти постоянные соединения всегда доступны для передачи данных. На них не оказывает влияния значение такого параметра как время жизни соединения. Такие соединения могут быть удалены только через VLAN Manager или при сбросе коммутатора. Возможность создания постоянных виртуальных каналов чрезвычайно полезна в ситуации, когда нужно передавать широковещательные данные от исходного узла до одного или большего количества узлов без необходимости устанавливать новые соединения всякий раз, когда это необходимо. Рис. 4.9. Окно создания постоянного соединения Управление соединениями ATM – создание и администрирование ELAN и соединений PVC в среде ATM при помощи ATM Administrator (рис. 4.10). Рис. 4.10. Главное окно администратора ATM Выбор и установка системных сообщений (Trap) в каждом SFS коммутаторе (рис. 4.11). Позволяет выбрать специфичные для SFS виртуальных сетей события, сообщения о которых будут передаваться на станцию управления. Рис. 4.11. Окно настройки системных сообщений (Trap) 4.2. Текущая версия сервиса виртуальных сетей Программное обеспечение Рекомендованный минимум требований к оборудованию станции управления Поддерживаемое оборудование Sun Solaris 2.6 Windows NT(Intel) 4.0 VLAN MANAGER 1.9 rev.0 Микропрограммное обеспечение (firmware) 1.09.03 96 MB RAM 192 MB - дисковое пространства для свопинга 200 МВ - свободное пространство на диске SmartSwitch 9000 (MMAC Plus): 9A426-01, 9A426-02 (ATM) 9E423-36, 9E428-12, 9E428-36, 9E429-12, 9E429-36 (Ethernet); 9F426-02, 9F426-03 (FDDI); 9H422-12, 9H421-12, 9H423-28, 9H429-12 (Fast Ethernet); SmartSwitch 2200, 6000 (Ethernet и Fast Ethernet) Реализованы следующие возможности управления и функционирования виртуальных сетей: Поддержка множественных путей следования пакетов (Active Mesh Topology) Связь между виртуальными сетями с помощью или без помощи маршрутизатора. Отображение топологии: Соединения коммутаторов отображаются динамически; Допускаются сетевые соединения в разделяемой среде; Динамическое отображение состояния линии связи; традиционного Отображение магистральных каналов ATM и граничных устройств ATM; Фильтрация на экране информации о виртуальных сетях; Количество подключенных узлов к коммутатору отображается на иконке его модели. Управление множеством доменов виртуальных сетей Полная мобильность пользователя в виртуальной сети - пользователь-член виртуальной сети сохраняет привязку к ней, даже если он будет перемещен с одного порта коммутатора на другой или с одного коммутатора на другой в пределах своего домена Таблица соединений отображает сеансы связи активных конечных пользователей Графическое отображение пути прохождения связи между двумя узлами и коммутаторов, обеспечивающих ее Служба каталогов Привязка сетевого адреса к MAC-адресу, а также отображение узла на порту коммутатора Фильтрация по каждому полю таблицы соединений Обнаружение повторяющегося адреса третьего уровня Экспорт и импорт данных Полностью многопротокольный, ориентируемый на соединения сервис с расширенными услугами распознавания для IP (IP ARP) Сдерживание неразрешимых широковещательных передач рамками виртуальной сети (IPX SAP, IP RIP, AppleTalk, NetBIOS) Автоматическое исследование параметров конечных пользователей Автоматическое исследование соседних коммутаторов Автоматическое перенаправление соединений в случае отказа линии связи или перемещения пользователей Определение пути, основанное на суммировании метрик линий связи (используется протокол VLSP) Сбалансированная загрузка соединений с равными ценами путей Защита виртуальных сетей (открытые и защищенные VLAN) В открытых виртуальных сетях связь между ними осуществляется при помощи службы установления соединений и систему распознавания адресов В защищенных виртуальных сетях связь между ними осуществляется только через маршрутизатор Однонаправленный или двунаправленный трафик соединений может копироваться на порт любого коммутатора внутри домена, или на пользователя с выбранным MAC-адресом (Call Tapping) Множественное членство в виртуальных сетях, как по признаку порта, так и MAC-адреса Назначение резервного порта связи на коммутаторе для подключенного сетевого устройства Наследование членства в виртуальной сети, к которой приписан порт коммутатора для пользователей, не имеющих собственного членства в виртуальной сети Возможность жесткой привязки порта к виртуальной сети (Port Lock). В этом случае членство пользователя, подключенного к этому порту, в своих сетях прекращается. При снятии жесткой привязки членство пользователя в своих виртуальных сетях восстанавливается Возможность разрешения и запрещения распространения широковещательных передач в рамках виртуальной сети (Flooding) Возможность задания шлюза (Default Gateway) для всего домена SecureFast. Все пакеты с адресами назначения, не принадлежащими к внутренним сетям домена, автоматически направляются на порт подключения шлюза. Возможность назначение статуса порта Router Port, с определением внешних сетей и отключением процесса исследования параметров конечных пользователей на данном порту. Возможность создания постоянных соединений для передачи широковещательных сообщений (Provision Call) Поддержка виртуальных сетей для граничных коммутаторов ATM. Работа виртуальной сети в открытом режиме обеспечивает прозрачную коммутацию между устройствами, подключенными к ATM непосредственно и устройствами, подключенными к сети, например, через Ethernet Конфигурирование PVC для граничных устройств ATM Назначение один-к-одному виртуальной сети эмулируемой сети (ELAN). Максимум до 16 ELAN на один интерфейс модулей 9A426-01/02 Автоматическая регистрация конечных пользователей в виртуальных сетях (Automatic Membership Registration, AMR) по признаку распространяемых широковещательных пакетов. Поддерживаются следующие типы AMR VLAN - IP-подсети, IPX-сеть/кадр, NetBIOS-IP, NetBIOS-IPX, NetBUI, DECNet, AppleTalk, VINES, BPDU. Позволяет автоматически разделять пользователей по используемым протоколам и по принадлежности к различным сетям. Членство в AMR VLAN не влияет на членство в других VLAN и не уменьшает максимального количества виртуальных сетей в домене, членом которых может быть один пользователь (8 VLAN). Группы многоадресной рассылки по протоколу IP (IP Multicast) автоматически образуются при обнаружении пакетов IGMP версий 1 и 2 (RFC1112 и RFC2236) и привязываются к конкретному адресу многоадресной рассылки (IP адрес класса D, например 224.0.1.24). Эти группы конфигурируются на базе портов, также можно вручную назначить порты приемников многоадресной рассылки. Пакеты многоадресной рассылки распространяются только внутри своей группы, дополнительно можно задать проверку на принадлежность к определенным VLAN. Расширенные правила взаимодействия виртуальных сетей (Advanced VLAN Policy) – позволяют задавать правила взаимодействия пары VLAN, неважно, открытых или защищенных. На настоящий момент работает при количестве VLAN не более 128 и при отключенных AMR VLAN, множественное членство пользователей в VLAN становится не только не имеющим смысла, но и приводящим к трудно предсказуемым результатам. Управление протоколами (Protocol Control) – на настоящий момент могут быть подавлены следующие протоколы - IPX, NetBIOS-IP, NetBIOS-IPX, NetBUI, AppleTalk, протоколы маршрутизации, BPDU и все типы кадров. Ограничение подключаемых к портам пользователей (Restrict Port) – резервирует конкретные МАС-адреса для подключения к портам коммутатора, пользователь, пытающийся подключиться к “restricted port” с МАС-адресом, не указанном для этого порта, будет занесен в таблицу нарушителей для последующего принятия мер системным администратором и ему будет отказано в доступе к сети. Защита конфигурации пользователей (Restrict User) – привязывает адрес третьего уровня, имя хоста, членство в VLAN и МАС-адрес пользователя к конкретному порту. Защищает критически важные ресурсы, такие как маршрутизаторы и серверы, путем ограничения других пользователей и устройств в использовании известных адресов третьего уровня. Также ограничивает мобильность важных ресурсов, при нарушении – заносится в таблицу нарушителей. Создание виртуальной сети DHCP Server VLAN - ограничивает область распространения DHCP запросов. Этим достигается не только уменьшение широковещательного трафика, но и добавляется уровень безопасности. Создание агента трансляции DHCP (DHCP Relay Agent) позволяет определить области адресов в одиночном DHCP сервере и связать виртуальные сети с соответствующими областями адресов. Возможность конфигурации на коммутаторах специфических для SFS VLAN событий (Trap), по наступлению которых на станцию управления посылается сообщение. Интеграция с системой управления SPECTRUM Enterprise Manager одновременная работа на одной машине моделирование домена виртуальной сети Количество поддерживаемых доменов - не регламентировано Количество виртуальных сетей в домене - 1024 Количество пользователей в одной виртуальной сети - 8192 Количество пользователей в одном домене - 8192 Количество виртуальных сетей в домене, членом которых может быть один пользователь - 8 Количество коммутаторов в домене - 255 (рекомендуемое значение - 128) Количество последовательных соединений коммутаторов (диаметр сети SecureFast) - 7 Возможность расширения количества коммутаторов в домене и увеличения диаметра сети SecureFast при использовании технологии концевых коммутаторов (Uplink Switching). 5. Особенности реализации виртуальных ЛВС компании Cisco Systems Виртуальные сети компании Cisco Systems создаются по признаку порта. Для связи виртуальных сетей на соединениях между коммутаторами используется фирменный протокол Inter-Switch Link (ISL), через соединение FDDI используется модифицированный 802.10 Security Protocol (рис. 5.1), через ATM – стандартные средства LANE. VLAN 1 VLAN 2 Catalyst 2900 FDDI 802.10 Cisco 7500 VLAN 3 Catalyst 5000 VLAN 3 VLAN 2 VLAN 1 VLAN 2 ISL Catalyst Fast 5000 Ethernet ISL VLAN 1 Gigabit Ethernet VLAN 3 Catalyst 2900 Catalyst 5000 ISL Catalyst 5000 VLAN 3 VLAN 2 VLAN 1 Catalyst 5000 Рис. 5.1. Распространение VLAN через магистрали FDDI и Fast/Gigabit Ethernet Подобно стандарту 802.1Q в протоколе ISL используется технология меченых пакетов (frame tagging), т. е. каждый пакет имеет десятибитный идентификатор VLAN (VLAN ID), которому он принадлежит, пакеты разных виртуальных сетей мультиплексируются на магистрали по протоколу ISL, а затем на приемной стороне разбираются коммутатором и передаются на порты в соответствии с VLAN ID (рис. 5.2). Рис. 5.2. Пример конфигурирования коммутаторов Кадр ISL содержит следующие поля: заголовок ISL (26 байт), инкапсулированный кадр Ethernet (отведен размер до 22,5 Кб), четырехбайтный код коррекции ошибок (CRC), т. е. размер обычного кадра увеличивается на 30 байт. Заголовок ISL состоит из следующих парметров: адрес назначения (адрес устройства Cisco), тип инкапсулированного кадра, поле User, в котором может находиться приоритет (4 уровня), MAC-адрес передающего коммутатора, стандартный заголовок LLC 802.2, идентификатор производителя оборудования, 15-тибитный VLAN ID (используется 10 бит), идентификатор BPDU (является ли данный кадр кадром BPDU или информационным), несколько резервных байтов. ISL-кадр может передаваться только между коммутаторами и/или маршрутизаторами и в нем может переноситься информация протокола Spanning Tree. Из этого следует, что каждая сконфигурированная виртуальная сеть может иметь свои собственные настройки Spanning Tree и, соответственно, возможны параллельные пути для следования пакетов разных виртуальных сетей, что повышает надежность и полосу пропускания соединений между коммутаторами (рис. 5.3). Маршрутизат ор Cisco Catalyst 5000 VLAN 1-6 VLAN 4-6 VLAN 1-3 VLAN 1-6 Catalyst 5000 VLAN 1-3 VLAN 4-6 Распределение в ирту альных сетей по нескольким каналам Catalyst 5000 Рис. 5.3. Множественные соединения коммутаторов Для взаимодействия пользователей, находящихся в разных виртуальных сетях, необходим маршрутизатор, и, в случае использования маршрутизатора компании Cisco Systems, на его интерфейсах можно включить протокол ISL. Совместно используемые сетевые ресурсы (например, серверы) следует подключать к маршрутизатору, а при наличии специальных сетевых карт, работающих с протоколом ISL – к коммутатору по порту ISL. Протокол ISL также может работать на соединении EtherChannel, которое обеспечивает расширение полосы пропускания каналов Ethernet и Fast/Gigabit Ethernet. 6. Сопоставление стандарта 802.1Q с технологией SecureFast 1) 2) 3) 4) 5) Организация виртуальных сетей. Виртуальные сети 802.1Q выделяются статически путем назначения их на порты коммутаторов. Принадлежность виртуальным сетям SecureFast определяется или по портам коммутаторов или по MAC-адресам. Такая схема включения более гибкая, чем VLAN по порту 802.1Q, так как каждый пользователь, переключающийся внутри своего домена, остается в своей виртуальной сети. Это повышает безопасность системы, потому что попасть в другую виртуальную сеть невозможно простым переключением из розетки в розетку. Также в SecureFast VLAN v.1.9 имеется возможность динамического выделения виртуальных сетей по параметрам 3 и 4 уровней: IP-подсетям, IPX-сетям, параметрам NetBIOS. Обмен данными между виртуальными сетями. Как в 802.1Q, так и в SecureFast имеется возможность множественного членства в виртуальных группах. Данная возможность предоставляется только в режиме Open в SecureFast и в режиме SVL в 802.1Q. В отличие от 802.1Q, SecureFast позволяет осуществлять взаимодействие по протоколу TCP/IP между виртуальными сетями без маршрутизатора. Режимы Secure в SecureFast и IVL в 802.1Q работают практически одинаково - общение между виртуальными сетями идет через маршрутизатор. Сетевая топология. Так как в 802.1Q используется протокол Spanning Tree для предотвращения образования петель, то передавать трафик одной виртуальной сети по нескольким альтернативным путям невозможно. В SecureFast возможно использование до трех активных каналов (с равной ценой пути) между коммутаторами SFS. Это возможно потому, что каждый коммутатор SecureFast знает о структуре домена и может рассчитывать пути передачи пакетов (подобно алгоритму маршрутизации OSPF). Поддержка сред доступа. Оба алгоритма поддерживают Ethernet/Fast Ethernet, FDDI. В SecureFast поддерживается также и ATM. Стандарт 802.1Q по своим параметрам также не предполагает появления проблем при общении с ATM. Количественные ограничения: Количество поддерживаемых доменов Количество виртуальных сетей в домене Количество пользователей в одной виртуальной сети Количество пользователей в одном домене Количество виртуальных сетей в домене, членом которых может быть один пользователь SecureFast v.1.9 Не ограничено Стандарт 802.1Q Не ограничено 1024 8192 4094* Не ограничено 8192 Не ограничено 8 Не ограничено Количество коммутаторов в домене 255 Ограничения традиционных LAN (Spanning Tree) Количество последовательных соединений 7 Ограничения традиционных LAN (Spanning коммутаторов Tree) *) – максимально возможное значение, производители ограничивают количество VLAN на коммутатор. 6) 7) Требования к сетевым устройствам и надежность. Протокол 802.1Q не предусматривает для коммутатора знание структуры домена и перевычисление путей передачи данных при изменении топологии сети. Коммутатор 802.1Q хранит только информацию о MAC-адресах подобно традиционному мосту. Поэтому коммутатору 802.1Q требуется не на много больше вычислительных ресурсов. Технология SecureFast позволяет создавать между коммутаторами множественные активные соединения, что значительно повышает надежность и пропускную способность сети. Стандартизация. 802.1Q в отличие от SecureFast является стандартом. Однако, 802.1Q определяет только нижний уровень организации и взаимодействия виртуальных сетей и не препятствует дальнейшему развитию на основе стандарта алгоритмов работы VLAN более высокого уровня.
