В каких режимах могут работать порты коммутаторов
VLAN (Virtual Local Area Network) - это технология, позволяющая объединять устройства в сети в сегменты на основе функций, приложений или требований управления. Виртуальные сегменты могут формироваться в независимости от физического расположения устройств. VLAN имеют те же свойства, что и физические LAN, за исключением того, что VLAN представляет собой логическое объединение, а не физическое. Поэтому во VLAN можно объединять устройства, независимо от того, где они находятся физически, а широковещательный, многоадресный и одноадресный трафик в одном VLAN отделен от других VLAN.
Стандарт IEEE 802.1Q определяет процедуру передачи трафика VLAN.
Основная идея технологии VLAN заключается в том, что большая локальная сеть может быть динамически разделена на отдельные широковещательные области, удовлетворяющие различным требованиям, каждый VLAN представляет собой отдельный широковещательный домен.
Рисунок 19.1 - логическое разделение сети на VLAN
Благодаря этим функциям технология VLAN предоставляет следующие возможности:
- Повышение производительности сети;
- Сохранение сетевых ресурсов;
- Оптимизация сетевого управления;
- Снижение стоимости сети;
- Повышение безопасности сети;
Ethernet-порт коммутатора может работать в трех режимах: Access, Trunk и Hybrid, каждый режим имеет различный метод обработки при передаче кадров с тэгом или без.
Порт в режиме Access относится только к одному VLAN, обычно используется для подключения конечных устройств, таких как персональный компьютер или WI-FI маршрутизатор в квартире или офисе.
Порт в режиме Trunk относится к нескольким VLAN и может принимать и отправлять кадры одновременно в нескольких VLAN. Обычно используется для соединения коммутаторов.
Порт в режиме Hybrid, также как и Trunk, относится к нескольким VLAN и может принимать и отправлять кадры одновременно в нескольких VLAN. Может использоваться как для подключения персональных компьютеров, так и для соединения коммутаторов.
Ethernet-порты в режимах Hybrid и Trunk могут принимать данные одним, но отправляют разными способами: Hybrid порт может отправлять пакеты в нескольких VLAN в нетэгированном виде, в то время как Trunk может отправлять трафик в нескольких VLAN только с тэгом, за исключением nativeVLAN.
1.2. Конфигурация VLAN
- Создание и удаление VLAN
- Назначение и удаление имени VLAN
- Назначение портов коммутатора для VLAN
- Выбор типа порта коммутатора
- Настройка порта в режиме Trunk
- Настройка порта в режиме Access
- Настройка порта в режиме Hybrid
- Включение/выключение vlan ingress rules глобально
- Настройка private vlan
- Настройка ассоциаций private vlan
1. Создание и удаление VLAN
Команда
Описание
! В режиме глобальной конфигурации
Cоздание VLAN, вход в режим конфигурирования VLAN
2. Назначение и удаление имени VLAN
Команда
Описание
no name <Vlan-name>
! В режиме конфигурации VLAN
Назначение имени VLAN
Удаление имени VLAN
3. Назначение портов коммутатора для VLAN
Команда
Описание
switchport interface <interface-list>
no switchport interface <interface-list>
! В режиме конфигурации VLAN
Добавление портов коммутатора во VLAN
Удаление портов коммутатора из VLAN
4. Выбор типа порта коммутатора
Команда
Описание
switchport mode <trunk|access|hybrid>
! В режиме конфигурации порта
Установка текущего порта в режим Trunk, Access или Hybrid
5. Настройка порта в режиме Trunk
Команда
Описание
switchport trunk allowed vlan
no switchport trunk allowed vlan
! В режиме конфигурации порта
Добавление VLAN в Trunk
Вернуть значение по-умолчанию
switchport trunk native vlan <vlan-id>
no switchport trunk native vlan
! В режиме конфигурации порта
установка PVID для интерфейса
возвращение значений по-умолчанию
6. Настройка порта в режиме Access
Команда
Описание
switchport access vlan <Vlan-id>
no switchport access vlan <Vlan-id>
! В режиме конфигурации порта
Добавление текущего порта в определенный VLAN.
Вернуть значение по-умолчанию
7. Настройка порта в режиме Hybrid
Команда
Описание
switchport hybrid allowed vlan <WORD| all| add WORD><tag|untag>
no switchport hybrid allowed vlan
! В режиме конфигурации порта
Создание/удаление VLAN, вход в режим конфигурирования VLAN
switchport hybrid native vlan <vlan-id>
no switchport hybrid native vlan
! В режиме конфигурации порта
установка PVID для интерфейса
возвращение значений по-умолчанию
8. Включение/выключение vlan ingress rules глобально
Команда
Описание
vlan ingress enable <Vlan-id>
no ingress disable <Vlan-id>
! В режиме конфигурации порта
Включение VLAN ingress rules
выключение VLAN ingress rules
9. Настройка private vlan
Команда
Описание
no private vlan
! В режиме конфигурации VLAN
Настройка текущего vlan в качестве Private VLAN.
Возвращение настроек по-умолчанию
10. Настройка ассоциаций private vlan
Команда
Описание
private vlan association <secondary-vlan-list>
no private vlan association <Vlan-id>
! В режиме конфигурации VLAN
Выбрать vlan для ассоциации с private vlan
1.3. Пример конфигурации VLAN
Сценарий:
Рисунок 19.2 - Топология для примера настройки VLAN
Представленная на рисунке 19.2, сеть разделена на 3 VLAN: VLAN2, VLAN100, VLAN200 по используемым приложениям, а также по соображениям безопасности. Эти VLAN расположены в разных локациях: A и B. Каждый из двух коммутаторов размещен в своей локации. Устройства в разных локациях могут быть объединены виртуальную локальную сеть, если трафик будет передаваться между коммутаторами A и B.
пункт конфигурации
описание
Коммутатор A и B: порт 2-4
Коммутатор A и B: порт 5-7
Коммутатор A и B: порт 11
Соедините порты в режиме trunk на коммутаторах A и B друг с другом, подключите остальные сетевые устройства к соответствующим портам.
Коммутатор A:
Коммутатор B:
1.3.1. Пример конфигурации Hybrid порта
Сценарий:
Рисунок 19.3 - Пример применения Hybrid Port
ПК 1 подключен к интерфейсу Ethernet 1/0/7 Коммутатора “Switch B”, ПК2 подключен к интерфейсу Ethernet 1/0/9 коммутатора “Switch B”, интерфейс Ethernet 1/0/10 “Switch A” подключен к порту Ethernet 1/0/10 коммутатора “Switch B”
Для безопасности ПК1 и ПК2 не должны иметь возможность взаимодействовать друг с другом, но должны иметь доступ к сетевым ресурсам, находящимся за “Switch A”.
Итак, разберемся немного с режимами портов управляемых коммутаторов.
Режимы портов
Access port (порт доступа) — порт, находящийся в определенном VLAN и передающий не тегированные кадры. Как правило, это порт, смотрящий на конечное устройство.
- Trunk port (магистральный порт) — порт, передающий тегированный трафик. Как правило, этот порт поднимается между сетевыми устройствами.
Access порты
Об этом режиме основы уже описаны здесь
Trunk порты
Для того чтобы передать через порт трафик нескольких VLAN, порт переводится в режим trunk.
Режимы интерфейса (режим по умолчанию зависит от модели коммутатора):
По умолчанию в транке разрешены все VLAN. Для того чтобы через соответствующий VLAN в транке передавались данные, как минимум, необходимо чтобы VLAN был активным. Активным VLAN становится тогда, когда он создан на коммутаторе и в нём есть хотя бы один порт в состоянии up/up.
VLAN можно создать на коммутаторе с помощью команды vlan. Кроме того, VLAN автоматически создается на коммутаторе в момент добавления в него интерфейсов в режиме access.
Перейдем к демонстрационной схеме. Предположим, что вланы на всех коммутаторах уже созданы (можно использовать протокол VTP).
Настройка статического транка
Создание статического транка:
На некоторых моделях коммутаторов (на которых поддерживается ISL) после попытки перевести интерфейс в режим статического транка, может появится такая ошибка:
Это происходит из-за того, что динамическое определение инкапсуляции (ISL или 802.1Q) работает только с динамическими режимами транка. И для того, чтобы настроить статический транк, необходимо инкапсуляцию также настроить статически.
Для таких коммутаторов необходимо явно указать тип инкапсуляции для интерфейса:
И после этого снова повторить команду настройки статического транка (switchport mode trunk).
Динамическое создание транков (DTP)
Dynamic Trunk Protocol (DTP) — проприетарный протокол Cisco, который позволяет коммутаторам динамически распознавать настроен ли соседний коммутатор для поднятия транка и какой протокол использовать (802.1Q или ISL). Включен по умолчанию.
Режимы DTP на интерфейсе:
Перевести интерфейс в режим auto:
Перевести интерфейс в режим desirable:
Перевести интерфейс в режим nonegotiate:
Проверить текущий режим DTP:
По умолчанию в транке разрешены все VLAN. Можно ограничить перечень VLAN, которые могут передаваться через конкретный транк.
Указать перечень разрешенных VLAN для транкового порта fa0/22:
Добавление ещё одного разрешенного VLAN:
Удаление VLAN из списка разрешенных:
Для предотвращения коллизий крупные локальные сети делятся на сегменты или домены коллизий , с помощью маршрутизаторов ( routers ) или коммутаторов (switches). Непосредственно к маршрутизатору конечные узлы (компьютеры) обычно не подключаются; подключение обычно выполняется через коммутаторы. Каждый порт коммутатора оснащен процессором, память которого позволяет создавать буфер для хранения поступающих кадров. Общее управление процессорами портов осуществляет системный модуль .
Каждый сегмент, образованный портом (интерфейсом) коммутатора с присоединенным к нему узлом (компьютером) или с концентратором со многими узлами, является доменом (сегментом) коллизий . При возникновении коллизии в сети, реализованной на концентраторе, сигнал коллизии распространяется по всем портам концентратора . Однако на другие порты коммутатора сигнал коллизии не передается.
Существует два режима двусторонней связи: полудуплексный (halfduplex) и полнодуплексный (full- duplex ). В полудуплексном режиме в любой момент времени одна станция может либо вести передачу, либо принимать данные. В полнодуплексном режиме абонент может одновременно принимать и передавать информацию, т. е. обе станции в соединении "точка- точка" могут передавать данные в любое время, независимо от того, передает ли другая станция. Для разделяемой среды полудуплексный режим является обязательным. Ранее создававшиеся сети Ethernet на коаксиальном кабеле были только полудуплексными. Неэкранированная витая пара UTP и оптическое волокно могут использоваться в сетях, работающих в обоих режимах. Новые высокоскоростные сети 10-GigabitEthernet работают только в полнодуплексном режиме. Большинство коммутаторов могут использовать как полудуплексный, так и полнодуплексный режим .
В случае присоединения компьютеров (хостов) индивидуальными линиями к портам коммутатора каждый узел вместе с портом образует микросегмент. В сети, узлы которой соединены с коммутатором индивидуальными линиями и работающей в полудуплексном режиме, возможны коллизии , если одновременно начнут работать передатчики коммутатора и сетевого адаптера узла.
В полнодуплексном режиме работы коллизий при микросегментации не возникает. При одновременной передаче данных от двух источников одному адресату буферизация кадров позволяет запомнить и передать кадры поочередно и, следовательно, избежать их потери. Отсутствие коллизий обусловило широкое применение топологии сети с индивидуальным подключением узлов к портам коммутатора.
Коммутатор является устройством второго (канального) уровня семиуровневой модели ISO OSI , в котором для адресации используются МАС-адреса. Адресация происходит на основе МАС-адресов сетевых адаптеров узлов ( рис. 4.3).
Для передачи кадров применяется алгоритм , определяемый стандартом 802.1D. Реализация алгоритма происходит за счет создания статических или динамических записей адресной таблицы коммутации . Статические записи таблицы создаются администратором. Важно отметить, что коммутатор можно не конфигурировать, он будет работать по умолчанию, создавая записи адресной таблицы в динамическом режиме. При этом в буферной памяти порта запоминаются все поступившие на порт кадры.
Первоначально информация о том, какие МАС-адреса имеют подключенные к конкретному порту узлы, в коммутаторе отсутствует. Поэтому коммутатор , получив кадр , передает его на все свои порты, за исключением того, на который кадр был получен, и одновременно анализирует МАС- адрес источника и запоминает его в адресной таблице. Например, если узел с МАС-адресом 0В1481182001 передает кадр данных узлу 0АА0С9851004 ( рис. 4.3), то в таблице (таблица 4.4) появится первая запись . В этой записи указано, что узел с МАС-адресом 0В1481182001 присоединен к порту № 1. При передаче данных от узла 0АА0С9851004 узлу 0002В318А102 в табл. 4.4 появится вторая запись и т. д. Таким образом, число записей в адресной таблице может быть равно числу узлов в сети, построенной на основе коммутатора.
Когда адресная таблица коммутации сформирована, продвижение кадров с входного интерфейса коммутатора на выходной происходит на основании записей в адресной таблице. При получении кадра коммутатор проверяет, существует ли МАС- адрес узла назначения в таблице коммутации . При обнаружении адресата в таблице коммутатор производит еще одну проверку: находятся ли адресат и источник в одном сегменте. Если они в разных сегментах, то коммутатор производит продвижение ( forwarding ) кадра в порт , к которому подключен узел назначения. Если адресат и источник находятся в одном сегменте, например оба подключены к одному концентратору ( рис. 4.3), то передавать кадр на другой порт не нужно. В этом случае кадр должен быть удален из буфера порта, что называется фильтрацией ( filtering ) кадров.
С появлением в сети новых узлов адресная таблица пополняется. Если в течение определенного времени (обычно 300 с) какой-то узел не передает данные, то считается, что он в сети отсутствует, тогда соответствующая запись из таблицы удаляется. При необходимости администратор может включать в таблицу статические записи, которые не удаляются динамически. Такую запись может удалить только сам администратор . Эти вопросы рассмотрены в лекции 15.
Рис. 4.4. Деление сети на широковещательные домены
Быстродействие или производительность коммутатора определяются рядом параметров: скоростью фильтрации кадров, скоростью продвижения кадров, пропускной способностью, длительностью задержки передачи кадра.
Скорость фильтрации определяется временем приема кадра, запоминанием его в буфере, обращением к адресной таблице коммутации и удалением кадра из буферной памяти, если адресат и источник находятся в одном сегменте. Коммутатор обычно успевает фильтровать кадры в темпе их поступления в интерфейс , поэтому фильтрация не вносит дополнительной задержки.
Скорость продвижения кадров определяется временем приема кадра, запоминанием его в буфере, обращением к адресной таблице и передачей кадра с входного порта на выходной, который связан с устройством назначения. Скорость фильтрации и скорость продвижения задаются в кадрах в секунду, причем для оценки этих параметров обычно берутся кадры минимальной длины 64 байта.
Пропускная способность коммутатора определяется количеством передаваемых данных, содержащихся в поле " Data " кадра в единицу времени. Пропускная способность достигает своего максимального значения при передаче кадров максимальной длины.
Задержка передачи кадров определяется временем от момента появления первого байта кадра на входном порте коммутатора до момента появления этого байта на выходном порте. В зависимости от режима коммутации время задержки составляет от единиц до сотен микросекунд.
Режимы коммутации
Коммутаторы могут работать в нескольких режимах, при изменении которых меняются задержка и надежность. Для обеспечения максимального быстродействия коммутатор может начинать передачу кадра сразу, как только получит МАС-адрес узла назначения. Такой режим получил название сквозной коммутации или коммутации "на лету" ( cut -through switching), он обеспечивает наименьшую задержку при прохождении кадров через коммутатор. Однако в этом режиме невозможен контроль ошибок, поскольку поле контрольной суммы находится в конце кадра. Следовательно, этот режим характеризуется низкой надежностью.
Во втором режиме коммутатор получает кадр целиком, помещает его в буфер, проверяет поле контрольной суммы ( FCS ) и затем пересылает адресату. Если получен кадр с ошибками, то он отбрасывается ( discarded ) коммутатором. Поскольку кадр перед отправкой адресату назначения запоминается в буферной памяти, такой режим коммутации получил название коммутации с промежуточным хранением или буферизацией ( store -and- forward switching). Таким образом, в этом режиме обеспечивается высокая надежность, но низкая скорость коммутации .
Промежуточное положение между сквозной коммутацией "на лету" и буферизацией занимает режим коммутации свободного фрагмента ( fragment - free mode). В этом режиме читаются первые 64 байта, которые включают заголовок кадра и поле данных минимальной длины. После этого начинается передача кадра до того, как будет получен и прочитан весь кадр целиком. При этом производится верификация адресации и информации LLC -протокола, чтобы убедиться, что данные будут правильно обработаны и доставлены адресату.
Когда используется режим сквозной коммутации "на лету", порты устройств источника и назначения должны иметь одинаковую скорость передачи. Такой режим называется симметричной коммутацией . Если скорости не одинаковы, то кадр должен запоминаться (буферизироваться) перед тем, как будет передаваться с другой скоростью. Такой режим называется асимметричной коммутацией , при этом должен применяться режим с буферизацией .
Асимметричная коммутация обеспечивает связь между портами с разной полосой пропускания . Данный режим является характерным, например, для потока данных между многими клиентами и сервером, при котором многие клиенты могут одновременно соединяться с сервером. Поэтому на это соединение должна быть выделена широкая полоса пропускания.
Протокол охватывающего дерева (Spanning-Tree Protocol)
Когда сеть строится с использованием топологии иерархического дерева, коммутационные петли отсутствуют. Однако сети часто проектируются с избыточными путями, чтобы обеспечить надежность и устойчивость сети ( рис. 4.5). Избыточные пути могут приводить к образованию коммутационных петель, что в свою очередь может привести к широковещательному шторму и падению сети.
Рис. 4.5. Образование маршрутных петель в сетях на коммутаторах
Протокол охватывающего дерева (Spanning-Tree Protocol – STP) относится к протоколам, которые используются, чтобы избежать маршрутных (коммутационных) петель. Коммутаторы применяют алгоритм STA , чтобы перевести в резервное состояние избыточные пути, которые не соответствуют иерархической топологии. Запасные избыточные пути задействуются, если основные выходят из строя.
Таким образом, STP используется для создания логической иерархии без петель, т. е. при наличии физических петель логические петли отсутствуют.
Каждый коммутатор в локальной сети рассылает уведомления STP во все свои порты, чтобы позволять другим коммутаторам знать об их существовании. Эта информация нужна, чтобы выбрать корневой коммутатор для сети.
Каждый порт коммутатора, который использует STP , находится в одном из следующих 5 состояний:
- Блокировка (Blocking);
- Прослушивание ( Listening );
- Обучение ( Learning );
- Продвижение ( Forwarding );
- Выключен ( Disabled ).
При инициализации коммутатора все порты, за исключением находящихся в выключенном состоянии ( Disabled ), переводятся в состояние блокировки (Blocking). В этом состоянии порты передают, принимают и обрабатывают уведомления STP , т. е. участвуют в процессе управления , но не передают информационные данные.
В начальный момент работы алгоритма STA порты устанавливаются в состояние прослушивания ( Listening ) на время, определяемое таймером. Если за время работы таймера порт получит уведомление STP с лучшей метрикой , чем у него, то он перейдет в состояние блокировки (Blocking). Если принятая метрика хуже его собственной, порт перейдет в состояние обучения ( Learning ), чтобы принимать, но еще не продвигать пакеты данных и создавать адресную таблицу коммутации . Длительность состояния Learning также задается таймером.
После окончания заданного таймером времени порт переходит в состояние продвижения ( Forwarding ), т. е. начинает полноценную обработку пакетов.
Переход порта в состояние выключения ( Disabled ) и выход из него может быть реализован только по командам конфигурирования.
Существенным недостатком протокола STP является слишком долгое время формирования новой конфигурации сети, которое может составлять значение порядка 1 мин.
Сегодня мы поговорим о том, как все же работает коммутатор.
Как мы уже знаем коммутаторы являются L2 устройствами, так как работают на канальном уровне. Они обрабатывают заголовок Ethernet кадра, а точнее MAC адреса получателя и отправителя, а также контрольную сумму.
Каждый коммутатор составляет таблицу MAC адресов (CAM table) всех хостов, подключенных в его порты.
Каким же образом он составляет эту таблицу ?
При включении питания коммутатора его таблица пуста.
Далее начинается процесс обучения, который представлен ниже
При поступлении каждого кадра на вход коммутатора, МАС адрес отправителя вносится в таблицу МАС адресов с указанием интерфейса, принявшего данный кадр.
Далее анализируется МАС адрес получателя. Если его нет в таблице, то коммутатор ретранслирует принятые кадры на все порты, кроме принявшего.
Если же МАС адрес получателя найден в таблице, то кадр направляется указанному в таблице интерфейсу.
Таблица адресов динамическая и сохраняется только в оперативной памяти, то есть при отключении питания таблица удаляется.
Все МАС адреса хранятся в таблице ограниченное время ( aging-time ), которое в некоторых коммутаторах можно изменить.
Почему нельзя сохранять адреса вечно?
Дело в том, что может понадобиться реконфигурация сети и некоторые хосты могут быть отключены от портов коммутатора, поэтому таблица адресов уже будет неактуальна, что приведет к неправильному функционированию сети.
Коммутаторы могут работать в одном из 3-х режимов:
- С промежуточным хранением ( Store and forward ). Коммутатор принимает кадр, затем проверяет на наличие ошибок. Если кадр не содержит ошибок, то коммутатор пересылает его получателю.
- Сквозной ( Cut-through ). Коммутатор считывает МАС адрес получателя и сразу пересылает его получателю. Проверка на ошибки в данном режиме отсутствует.
- Бесфрагментный ( Fragment-free ). Принимаются первые 64 байта, которые анализируются на наличие ошибок и коллизий, а затем кадр пересылается получателю.
В целом процесс коммутации происходит довольно быстро.
А с чем это связано?
Во-первых, сам процесс происходит на втором уровне (канальный уровень), что снижает время на обработку данных. Во-вторых, коммутация происходит не программно, а аппаратно. То есть для этого используются специализированные чипы ASIC.
Это специальные микросхемы, которые разрабатываются для решения узкопрофильных задач. Кроме того, они отличаются быстротой работы.
Широковещательный домен и домен коллизий
Как мы знаем, благодаря коммутации, каждому хосту выделяется канал связи. В то время, как в концентраторе эта возможность отсутствует. То есть имеется общий канал для всех хостов, благодаря чему и возникают коллизии. Поэтому такое подключение или сеть (с общим каналом) называют доменом коллизий.
Как видно из рисунка в сети с концентратором в определенный момент времени может вести передачу только один компьютер. В то время как остальные ждут, когда он закончит. Такой режим связи называется полудуплексным (half duplex).
Ситуация усугубляется, когда в сети растет количество компьютеров, так как времени на передачу для каждого компьютера выделяется все меньше и меньше.
То есть, чем больше компьютеров и концентраторов, тем хуже?
Верно. Пропускная способность такой сети (домена коллизий) значительно снижается.
А как называется подключение с коммутатором?
Так как в коммутаторе коллизии в принципе исключены, то каждый его порт считается доменом коллизий. То есть в принципе, к порту можно подключить несколько хостов посредством концентратора, но пропускная способность при этом изменится только в рамках конкретного порта, к которому подключен концентратор. В сети с коммутаторами все хосты могут принимать и передавать данные одновременно, не мешая друг другу. Такой режим связи называется дуплексным (full duplex).
Сама же сеть, в которой присутствуют только коммутаторы называется широковещательным доменом, так как коммутаторы обрабатывают и пропускают широковещательный (broadcast) трафик.
Что такое широковещательный (broadcast) трафик?
Это когда в качестве получателя указывается адрес, говорящий, что данный пакет/кадр предназначен всем хостам.
Как выглядит такой адрес?
В МАС адресе устанавливаются все единицы, то есть FF.FF.FF.FF.FF.
Как называется обычный трафик, когда в качестве получателя указывается конкретный получатель?
Такой трафик называется одноадресатный (unicast).
Маршрутизаторы широковещательный трафик не пропускают, поэтому каждый порт маршрутизатора образует широковещательный домен.
Читайте также: