2.3. Виртуальные сети VLAN вместо физически разделенных подсетей

Коммутаторы могут повысить пропускную способность сети, но не могут создать надежные барьеры на пути ошибочного и нежелательного трафика. Классическим примером такого трафика может служить трафик, создаваемый широковещательными пакетами некорректно работающего узла. Можно привести и другие ситуации, когда трафик нужно отфильтровывать по соображениям защиты данных от несанкционированного доступа.

56

До массового применения в сетях коммутаторов проблема возведения барьеров на пути нежелательного трафика решалась с помощью разделения сети на физически несвязные сегменты и объединения их с помощью маршрутизаторов. (рис.2.12).

Рис. 2.12. Интерсеть, состоящая из сетей, построенных на основе повторителей и маршрутизаторов

У маршрутизаторов гораздо больше шансов решить проблему фильтрации трафика, так как они анализируют заголовки сетевого и при необходимости транспортного уровней и имеют гораздо больше информации для принятия решения.

Первая волна массового применения коммутаторов создала иллюзию того, что на коммутаторах можно строить локальные сети практически любых размеров. Примером такого подхода служит сеть компании Circus, проект которой создавался с участием сотрудников BayNetworks и тем не менее не включил маршрутизацию в локальные сети здания. Однако, скоро пришло понимание того, что только объединить сегменты и узлы недостаточно, нужно также создать между ними надежные и гибкие барьеры. А эту задачу маршрутизаторы традиционно делали неплохо, поэтому они вернулись в локальные сети. Однако, коммутаторы внесли в решение проблемы "объединения-разъединения" новый механизм - технологию виртуальных сетей (VirtualLAN, VLAN). С появлением этой технологии отпала необходимость образовывать изолированные сегменты физическим путем - его заменил программный способ, более гибкий и удобный.

2.3.1. Что такое "виртуальные локальные сети", когда их нужно применять

Виртуальной сетью называется группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети. Это означает, что передача кадров между разными виртуальными сегментами на основании адреса канального уровня невозможна, независимо от типа адреса - уникального, группового или широковещательного. В то же время внутри виртуальной сети кадры передаются по технологии коммутации, то есть только на тот порт, который связан с адресом назначения кадра.

57

Виртуальные сети - это логическое завершение процесса повышения гибкости механизма сегментации сети, первоначально выполняемого на физически раздельных сегментах. Так как при изменении состава сегментов (переход пользователя в другую сеть, дробление крупных сегментов) при таком подходе приходится производить физическую перекоммутацию разъемов на передних панелях повторителей или в кроссовых панелях, то в больших сетях это превращается в постоянную и обременительную работу, которая приводит к многочисленным ошибкам в соединениях.

Промежуточным этапом совершенствования технологии сегментации стали многосегментные повторители (рис.2.13). В наиболее совершенных моделях таких повторителей приписывание отдельного порта к любому из внутренних сегментов производится программным путем, обычно с помощью удобного графического интерфейса. Примерами таких повторителей могут служить концентратор Distributed 5000 компании BayNetworks и концентратор PortSwitch компании 3Com. Программное приписывание порта сегменту часто называют статической или конфигурационной коммутацией.

Рис. 2.13. Многосегментный повторитель с конфигурационной коммутацией

Однако, решение задачи изменения состава сегментов с помощью повторителей накладывает некоторые ограничения на структуру сети - количество сегментов такого повторителя обычно невелико, поэтому выделить каждому узлу свой сегмент, как это можно сделать с помощью коммутатора, нереально. Поэтому сети, построенные на основе повторителей с конфигурационной коммутацией, по прежнему основаны на разделении среды передачи данных между большим количеством узлов, и, следовательно, обладают гораздо меньшей производительностью по сравнению с сетями. построенными на основе коммутаторов.

При использовании технологии виртуальных сетей в коммутаторах одновременно решаются две задачи:

1.

повышение производительности в каждой из виртуальных сетей, так как коммутатор передает кадры в такой сети только узлу назначения;

2.

изоляция сетей друг от друга для управления правами доступа пользователей и создания защитных барьеров на пути широковещательных штормов.

Для связи виртуальных сетей в интерсеть требуется привлечение сетевого уровня. Он может быть реализован в отдельном маршрутизаторе, а может работать и как программный модуль в составе коммутатора.

58

При создании виртуальных сетей на основе одного коммутатора обычно используется механизм группирования в сети портов коммутатора 

Это логично, так как виртуальных сетей, построенных на основе одного коммутатора, не может быть больше, чем портов. Если к одному порту подключен сегмент, построенный на основе повторителя, то узлы такого сегмента не имеет смысла включать в разные виртуальные сети - все равно трафик этих узлов будет общим.

Создание виртуальных сетей на основе группирования портов не требует от администратора большого объема ручной работы - достаточно каждый порт приписать к нескольким заранее проименованным виртуальным сетям. Обычно такая операция выполняется путем перетаскивания мышью графических символов портов на графические символы сетей.

Маршрутизатор, объединяющий виртуальные сети, должен быть подключен одним портом к порту коммутатора, принадлежащего одной виртуальной сети, а другим - к другой виртуальной сети.

2.3.2. Совместимость виртуальных сетей от разных производителей

Технология образования и работы виртуальных сетей с помощью коммутаторов пока не стандартизована, хотя и реализуется в очень широком спектре моделей коммутаторов разных производителей. Положение может скоро измениться, если будет принят стандарт 802.1q, разработанный в рамках института IEEE. Задержка с его окончательным принятием связана с сопротивлением компаний, уже имеющих похожие, но все же отличающиеся в деталях собственные схемы. Технология одного производителя, как правило, не совместима с технологией других производителей. Поэтому виртуальные сети можно создавать пока на оборудовании одного производителя. Исключение составляют только виртуальные сети, построенные на основе спецификации LANE (LANEmulation), предназначенной для обеспечения взаимодействия АТМ-коммутаторов с традиционным оборудованием локальных сетей.

Все способы построения виртуальных сетей можно разбить на несколько основных схем:

59

•

группировка портов;

•

группировка МАС-адресов;

•

добавление к кадрам меток номеров виртуальных сетей;

•

использование стандарта LANE для образования виртуальных сетей в сетях, построенных на коммутаторах АТМ;

•

использование сетевого уровня.

Все способы за исключением последнего решают проблему создания виртуальных сетей на канальном уровне и поэтому не зависят от протоколов, работающих в сети на верхних уровнях. Последний способ требует, чтобы во всех узлах сети работал какой-либо протокол сетевого уровня - IP, IPX, AppleTalk и т.п. В этом случае концепция виртуальной сети совпадает с пониманием этого термина на сетевом уровне, то есть виртуальная сеть IP является подсетью IP, а виртуальная сеть IPX является сетью IPX.

Группировка портов - самый простой способ образования виртуальной сети, плохо работает в сетях, построенных на нескольких коммутаторах. Это объясняется тем, что при переходе кадра от одного коммутатора информация о его принадлежности виртуальной сети теряется, если только коммутаторы не связаны между собой столькими портами, сколько всего имеется виртуальных сетей.

Группировка МАС адресов свободна от этого недостатка, но обладает другим - нужно помечать номерами виртуальных сетей все МАС-адреса, имеющиеся в таблицах каждого коммутатора.

Последние три способа объединяет то, что они используют специальное поле для хранения номера виртуальной сети в самом кадре.

В третьем способе к обычному кадру локальной сети формата Ethernet, TokenRing или FDDI добавляется специальное поле для хранения номера виртуальной сети. Оно используется только тогда, когда кадр передается от коммутатора к коммутатору, а при передаче кадра конечному узлу оно удаляется. При этом модифицируется протокол взаимодействия "коммутатор-коммутатор", а программное и аппаратное обеспечение конечных узлов остается неизменным. Примеров таких фирменных протоколов много, но общий недостаток у них один - они не поддерживаются другими производителями. Компания Cisco предложила использовать в качестве стандартной добавки к кадрам любых протоколов локальных сетей заголовок протокола 802.10, предназначенного для поддержки функций безопасности вычислительных сетей. Сама компания использует этот метод в тех случаях. когда коммутаторы объединяются между собой по протоколу FDDI. Однако, эта инициатива не была поддержана другими ведущими производителями коммутаторов, поэтому до принятия стандарта 802.1q фирменные протоколы маркировки виртуальных сетей будут преобладать. Стандарт 802.1q просто узаконивает один из форматов этого поля.

Существует два способа построения виртуальных сетей, которые использует уже имеющиеся поля для маркировки принадлежности кадра виртуальной сети, однако эти поля принадлежат не кадрам канальных протоколов, а пакетам сетевого уровня или ячейкам технологии АТМ.

В случае работы через АТМ номер виртуальной сети отождествляется с номером виртуального пути VPI/VCI, используемого для передачи трафика этой виртуальной локальной сети через коммутаторы АТМ. Способ стандартизован в протоколе LANE, 60

разработанном АТМ Forum, и поддерживается всеми производителями коммутаторов АТМ для локальных сетей.

При использовании последнего подхода коммутаторы должны для образования виртуальной сети понимать какой-либо сетевой протокол. Поэтому такие коммутаторы называют коммутаторами 3-го уровня.

Коммутаторы 3-го уровня

Коммутатор 3-го уровня - это устройство, которое совмещает функции коммутатора и маршрутизатора. Однако, производители коммутаторов обычно избегают произносить слово "маршрутизация" по маркетинговым соображениям, им хочется, чтобы все думали, что они выпускают нечто такое, чего до недавнего времени в природе не существовало.

У коммутатора третьего уровня имеется несколько особенностей, которые отличают их от традиционных маршрутизаторов и традиционных коммутаторов, работающих только на 2-ом уровне:

•

поддержка интерфейсов и протоколов только локальных сетей;

•

усеченные функции маршрутизации;

•

реализация функций маршрутизации "в силиконе", то есть не в виде программного обес- печения, работающего на универсальном процессоре типа Intel или Motorola, а в специализированной интегральной схеме, ASIC;

•

поддержка механизма виртуальных сетей;

•

тесная интеграции функций коммутации и маршрутизации, наличие удобных для администратора операций по заданию маршрутизации между виртуальными сетями.

Усеченные функции маршрутизации выражаются у разных производителей по разному. Часто коммутаторы не поддерживают функции автоматического построения таблиц маршрутизации, которые поддерживаются протоколами маршрутизации, такими как RIP или OSPF. Такие коммутаторы должны работать в паре с маршрутизатором и получать от него готовые таблицы маршрутизации. По такой схеме взаимодействует коммутатор Catalist 5000 компании Cisco с маршрутизаторами этой же компании.

Если же коммутатор третьего уровня поддерживает протоколы RIP и OSPF (последний в силу своей сложности реализуется в коммутаторах третьего уровня реже), то его ограниченность часто проявляется в поддержке только протокола IP, или же IP и IPX.

Тесная интеграция коммутации и маршрутизации удобна для администратора и часто повышает производительность. Во первых потому, что можно определить сначала виртуальные сети на основании информации только второго уровня, например, с помощью группировки портов, а затем, при необходимости объявить эти виртуальные сети подсетями IP и организовать в этом же устройстве их связь за счет маршрутизации

Если же коммутатор не поддерживает функций сетевого уровня, то его виртуальные сети могут быть объединены только с помощью внешнего маршрутизатора. Некоторые компании выпускают специальные маршрутизаторы для применения совместно с коммутаторами. Примером такого маршрутизатора служит маршрутизатор Vgate компании RND. 

Этот маршрутизатор имеет один физический порт для связи с портом коммутатора, но этот порт может поддерживать до 64 МАС-адресов, что позволяет маршрутизатору объединять до 64 виртуальных сетей.

Интеграция функций коммутатора и маршрутизатора проявилась в последнее время еще в одном новшестве - динамическом переходе от маршрутизации к коммутации для долговременных потоков данных. Впервые такую технологию применила в начале 1996 года компания Ipsilon для коммутаторов АТМ. В связи с тем, что Ipsilon реализовала свою идею только для сетевого протокола IP, то более детально ее технология рассматривается в разделе, посвященном влиянию Internet и стека TCP/IP на корпоративные сети.

Затем эту идею подхватили все ведущие производители коммуникационного оборудования - 3Com, Digital, IBM, Cisco и т.д. Каждый из них реализовал ее по своему и общего стандарта пока нет, хотя Ipsilon и Cisco подали свои предложения для начла процедуры превращения технологию в стандарт Internet. 

Предполагается, что магистраль сети состоит из коммутаторов 3-го уровня. которые могут работать как обычные маршрутизаторы и как коммутаторы второго уровня. Первый коммутатор магистрали - пограничный - занимается анализом поступающего на него трафика с целью выявления устойчивых долговременных потоков данных. Такие потоки образуются, например, при передаче файлов большой длины, компонент Web-страниц и т.п. В сети также существуют кратковременные потоки - например, запросы к DNS, ARP-запросы, обращения к справочной службе сети типа NDS. Пакеты кратковременных пакетов, требующих маршрутизации (например, идущие от одной виртуальной сети к другой) пограничный коммутатор и все последующие обрабатывают как обычные маршрутизаторы, то есть путем просмотра заголовка третьего уровня, просмотра таблицы маршрутизации и перенаправления пакета следующему коммутатору-маршрутизатору. Пакеты же долговременных потоков обрабатываются по другому. Пограничный маршрутизатор должен распознавать пакеты, принадлежащие потоку и заменять в нем адресную информацию второго уровня так, чтобы последующие коммутаторы 3-го уровня обрабатывали бы этот пакет как кадр второго уровня, то есть при получении кадра не отправляли бы его к модулю маршрутизации, а переправляли на выходной порт по MAC-адресу, действуя как коммутаторы второго уровня, то есть очень быстро.

Например, если пограничный коммутатор распознает, что пришедший кадр направлен ему для маршрутизации из одной виртуальной сети в другую, то он заменяет MAC-адрес в пришедшем кадре со своего MAC-адреса на МАС-адрес сетевого адаптера узла назначения (он его узнает из IP-адреса в пришедшем пакете). Далее коммутаторы магистрали передают образованный пакет друг другу на основании этого МАС-адреса как обычные коммутаторы второго уровня, не задерживая пакет в каждом коммутаторе для выполнения функции маршрутизации. Процедура присваивания МАС-адреса на основании сетевого адреса называется отображением (mapping) адреса.

Пограничный маршрутизатор обычно идентифицирует принадлежность пакета потоку по сетевым адресам источника и получателя, а также по адресам приложений (портам TCP или UDP).

Дополнительная работа по отображению сетевого адреса на адрес второго уровня компенсируется многократным выигрышем от ускоренной обработки большого количества пакетов в потоке. Для кратковременных потоков нет смысла применять эту схему, так как число пакетов в потоке невелико и выигрыша во времени обработки может и не быть.

Эта очень упрощенная общая схема реализована (или реализуется) в конкретных схемах различных производителей:

•

Cisco - NetFlow и TagSwitching;

•

3Com - FastIP;

•

Cabletron - SecureFastVirtualNetworking;

•

Cascade - IPNavigator;

•

DEC - IPpacketswitching;

•

FrameRelayTechnologies - FramenetVirtualWANSwitching;

•

IBM - ARIS (AggregateRoute-basedIPSwitching);

•

Ipsilon - IPSwitching;

•

Toshiba -CellSwitchRouter.

Этот подход применяется не только для локальных сетей, но и для глобальных, так как технологии famerelay и ATM - это технологии канального уровня.

В частных реализациях описанная схема может значительно усложняться. Например, компания Cisco в своей технологии TagSwitching отображает в пограничном коммутаторе-маршрутизаторе сетевой адрес не на МАС-адрес, а на специальный короткий номер - tag, на основании которого все последующие маршрутизаторы продвигают пакет. Это требует изменения программного обеспечения стандартной маршрутизации.

Реализация ускоренных методов других производителей также часто требует изменения существующего программного обеспечения в элементах сети, например, подход 3Сom требует изменения в драйверах сетевых адаптеров, подход Ipsilon требует изменения программного обеспечения коммутаторов АТМ и т.п.

64

Из лидеров только компания BayNetworks заявила, что не собирается ничего изменять в стандартных алгоритмах коммутации и маршрутизации, а просто будет выпускать очень быстрые маршрутизаторы и коммутаторы 3-го уровня с обычным программным обеспечением маршрутизации. Ник Липпис назвал коммутаторы третьего уровня, работающие по стандартным алгоритмам маршрутизации, коммутаторами "пакет-за-пакетом", подчеркивая тот факт, что они маршрутизируют каждый пакет, независимо от того, принадлежит ли он потоку или нет.

2.4. Применение АТМ в локальных сетях: когда оправданы затраты на высокое качество обслуживания

Кроме коммутаторов, поддерживающих стандартные протоколы локальных сетей и передающих кадры с порта на порт по алгоритмам моста, в локальных сетях стали применяться коммутаторы другого вида, а именно коммутаторы технологии АТМ. В связи с этим коротко рассмотрим основные принципы работы таких коммутаторов и способы их взаимодействия с коммутаторами технологий локальных сетей.

Технология АТМ (AsynchronousTransferMode - режим асинхронной передачи) разрабатывалась изначально для совмещения синхронного голосового трафика и асинхронного компьютерного трафика в рамках одной территориальной сети. Затем сфера применения технологии АТМ была расширена и на локальные сети.

Технология АТМ обладает следующими основными особенностями, которые обеспечивают ее выдающиеся возможности для поддержки качества обслуживания основных типов трафика сегодняшних локальных и глобальных сетей:

•

иерархия битовых скоростей: 25 Мб/c, 155 Мб/c, 622 Мб/c;

•

небольшой и постоянный размер пакета - 53 байта;

•

транспортный сервис с установлением соединений - коммутируемые и постоянные виртуальные каналы;

•

обеспечение требуемого качества обслуживания для каждого приложения.

•

использование индивидуальных полнодуплексных связей конечного узла с сетью;

•

поддержка на физическом уровне основных сред передачи данных - оптоволокна, витой пары категории 5, коаксиального кабеля (в каналах доступа к территориальным сетям). Поддержка стандартных методов кодирования сигнала на физическом уровне - SONET/SDH, FDDI, T1/E1.

Все эти особенности, собранные вместе в одной технологии, построенной "с нуля", а не в результате модификации существующей, обеспечивают гарантии требуемого качества обслуживания (тип и числовые параметры) по схеме "приложение - приложение".

Фиксированный формат ячейки

АТМ-станции и АТМ-коммутаторы обмениваются между собой кадрами фиксированного размера в 53 байта. Эти кадры принято называть ячейками. Поле данных ячейки занимает 48 байт, а заголовок - 5 байт. Размер поля данных - результат компромисса между "телефонистами" и "компьютерщиками". При скорости 155 Мб/c - основной скорости работы АТМ-сетей, задержка пакетизации составляет менее 6 мс. Правда, служебная информация составляет около 10% от полезной информации, что гораздо больше, чем у других протоколов локальных сетей, но при битовой скорости в 155 Мб/c скорость передачи пользовательских данных все равно остается достаточно высокой - около 136 Мб/c в каждую сторону. Задержки в коммутаторах АТМ из-за ожидания обработки 65

неприоритетных ячеек при их фиксированном и небольшом размере также оказываются предсказуемыми и небольшими.

Однако, один размер ячейки сам по себе не дает гарантированного качества обслуживания. Его поддерживают и другие особенности технологии АТМ.

Заказ и резервирование пропускной способности при установлении соединения

Сеть АТМ всегда использует процедуру установления соединения перед передачей пользовательских данных. При этом используется стандартная для глобальных сетей техника коммутации данных с помощью виртуальных каналов (VirtualChannel). Такая техника давно использовалась в сетях Х.25, а затем нашла применение и в новых технологиях территориальных сетей - framerelay и АТМ. Для того, чтобы пакеты содержали адресную информацию, необходимую для принятия решения о коммутации, и в то же время процент служебной информации не был большим по сравнению с размером поля данных пакета, длинный адрес конечного узла передается только в первой ячейке, несущей запрос на установление соединения. При прокладке виртуального канала через коммутаторы сети каждый коммутатор отождествляет этот виртуальный канал с его локальным номером VCI (VirualChannelIdentifier), который имеет смысл только для данного коммутатора и даже для данного порта коммутатора. После установления соединения все ячейки, относящиеся к данному соединению, отмечаются узлом-отправителем определенным значением VCI, тем самым, которое использовалось и при запросе на установление соединения. Так как коммутаторы при прохождении запроса на установление соединения уже составили для своих портов таблицы коммутации для данного VCI, то продвижение ячеек с порта на порт осуществляется далее очень быстро - ячейка не преобразуется при продвижении, а просмотр таблиц коммутации происходит быстро, так как их размер у каждого порта небольшой.