Логическая топология сети передачи данных
Помимо физической топологии сети передачи данных, предполагается и логическая топология сети. Логическая топология определяет маршруты передачи данных в сети. Существуют такие конфигурации, в которых логическая топология отличается от физической. Например, сеть с физической топологией «звезда» может иметь логическую топологию «шина» – все зависит от того, каким образом устроен сетевой коммутатор или интернет-шлюз, маршрутизатор (VLAN, наличие VPN, и т.п.).
Чтобы определить логическую топологию сети, необходимо понять, как в ней принимаются сигналы:
· в логических шинных топологиях каждый сигнал принимается всеми устройствами;
· в логических кольцевых топологиях каждое устройство получает только те сигналы, которые были посланы конкретно ему.
Кроме того, важно знать, каким образом сетевые устройства получают доступ к среде передачи информации.
Разделение сети на логические сегменты
Кабельная система информационно вычислительной сети — самая «консервативная» часть информационной системы предприятия. Любое ее изменение сопряжено с существенными материальными затратами. Однако возможность переконфигурирования инфраструктуры часто может существенно повысить управляемость и надежность всей системы. Например, объединение портов управляемых по сети устройств (коммутаторы, аварийные источники питания и т. п.) в «физически обособленную» сеть существенно повышает уровень безопасности системы, исключая доступ к таким элементам с произвольных рабочих станций. Кроме того, выделение, например, компьютеров бухгалтерии в отдельную сеть исключает доступ к ним по сети всех остальных пользователей.
Подобная возможность изменения конфигурации сетевой конфигурации реализуется путем создания виртуальных сетей (англ. Virtual local area network, VLAN).
VLAN представляет собой логически (программно) обособленный сегмент основной сети. Обмен данными происходит только в пределах одной VLAN. Сетевые устройства разных VLAN не видят друг друга. Самое главное, что из одной VLAN в другую не передаются широковещательные сообщения.
VLAN можно создать только на управляемых устройствах. Одна VLAN может объединять порты нескольких коммутаторов (VLAN с одинаковым номером на разных коммутаторах считаются одной и той же VLAN).
Варианты создания VLAN
На практике существует несколько технологий создания VLAN.
· В простейшем случае порт коммутатора приписывается к VLAN определенного номера (port based VLAN или группировка портов). При этом одно физическое устройство логически разбивается на несколько: для каждой VLAN создается «отдельный» коммутатор. Очевидно, что число портов такого коммутатора можно легко изменить: достаточно добавить или исключить из VLAN соответствующий физический порт.
· Второй, часто используемый способ, заключается в отнесении устройства к той или иной VLAN на основе МАС-адреса. Например, так можно обособить камеры видео наблюдения, IP-телефоны и т.п. При переносе устройства из одной точки подключения в другую, оно останется в прежней VLAN, никакие параметры настройки менять не придется.
· Третий способ заключается в объединении устройств в сеть VLAN по сетевым протоколам. Например, можно «отделить» протокол IPX от IP, «поместить» их в разные VLAN и направить по различным путям.
· Четвертый способ создания VLAN состоит в многоадресной группировке.
VLAN открывают практически безграничные возможности для конфигурирования сетевой инфраструктуры, соответствующей требованиям конкретной организации. Один и тот же порт коммутатора может принадлежать одновременно нескольким виртуальным сетям, порты различных коммутаторов — быть включенными в одну VLAN и т. п. Обычно рекомендуется включать магистральные порты коммутаторов (порты, соединяющие коммутаторы) во все VLAN, существующие в системе. Это значительно облетает администрирование сетевой структуры, поскольку иначе в случае отказа какого-либо сегмента и последующего автоматического изменения маршрута придется анализировать все варианты передачи данных VLAN. Важно помнить, что ошибка в таком анализе, неправильный учет какого-либо фактора приведет к разрыву VLAN.
На рисунке 12 показан пример построения VLAN из компьютеров, подключенных к различным коммутаторам. Обратите внимание, что при использовании агрегированных каналов (на рисунке для связи устройств Switch 2 и Switch 3) в состав VLAN на каждом коммутаторе должны включаться именно агрегированные порты (обычно получают названия AL1, AL2 и т. д.).
Агрегация каналов (англ. Link aggregation, trunking) или IEEE 802.3ad — технология объединения нескольких физических каналов в один логический. Это способствует не только значительному увеличению пропускной способности магистральных каналов коммутатор—коммутатор или коммутатор—сервер, но и повышению их надежности.
Рисунок 12. Пример построения VLAN
Теги 802.1Q
В соответствии со стандартом IEEE 802.l Q номер VLAN передается в специальном поле кадра Ethernet, которое носит название TAG. Поэтому пакеты, содержащие такое поле, стали называть тегированными (англ. tagged), а пакеты без этого поля — не тегированными (англ. untagged). Поле TAG включает в себя данные QoS (поэтому все пакеты, содержащие информацию о качестве обслуживания, являются тегированными) и номер VLAN, на который отведено 12бит. Таким образом, максимально возможное число VLAN составляет 4096.
Сетевые адаптеры рабочих станций обычно не поддерживают теги, поэтому порты коммутаторов уровня доступа настраиваются в варианте не тегированными (untagged). Для того, чтобы через один порт можно было передать пакеты нескольких VLAN, он включается в соответствующие VLAN в режиме тегирования (обычно это магистральные порты или порты соединения двух коммутаторов). Коммутатор будет анализировать поля TAG принятых пакетов, и пересылать данные только в ту VLAN, номер которой содержится в поле. Таким образом, через один порт можно безопасно передавать информацию сразу для нескольких VLAN.
При соединениях «точка — точка» порты для одинаковых VLAN должны быть либо оба тегированными, либо оба не тегированными.
IEEE 802.1Q — открытый стандарт, который описывает процедуру тегирования трафика для передачи информации о принадлежности к VLAN.
Так как 802.1Q не изменяет заголовки кадра, то сетевые устройства, которые не поддерживают этот стандарт, могут передавать трафик без учёта его принадлежности к VLAN.
Рисунок 13. Фрейм Ethernet с тегом 802.1Q
IEEE 802.1Q помещает внутрь фрейма тег, который передает информацию о принадлежности трафика к VLAN. Размер тега — 4 байта. Он состоит из таких полей:
Tag Protocol Identifier (TPID)- Идентификатор протокола тегирования. Размер поля — 16 бит. Указывает, какой протокол используется для тегирования. Для 802.1 Q используется значение 0x8100.
Priority - приоритет. Размер поля — 3 бита. Используется стандартом IEEE 802.1p для задания приоритета передаваемого трафика.
Canonical Format Indicator (CFI) - Индикатор канонического формата. Размер поля - 1 бит. Указывает на формат MAC -адреса. 1 - канонический, 0 - не канонический.
VLAN Identifier (VID) - идентификатор VLAN. Размер поля - 12 бит. Указывает, к какому VLAN принадлежит фрейм. Диапазон возможных значений VID от 0 до 4095.
При использовании стандарта Ethernet II, 802.1Q вставляет тег перед полем «Тип протокола». Так как фрейм изменился, пересчитывается контрольная сумма.
VLAN 1
При создании VLAN следует учитывать тот факт, что служебная сетевая информация пересылается не тегированными пакетами. Для правильной работы сети администратору необходимо обеспечить передачу таких пакетов по всем направлениям. Самый простой способ настройки заключается в использовании VLAN по умолчанию (VLAN 1). Соответственно, все порты компьютеров необходимо включать в VLAN с другими номерами.
В VLAN 1 по умолчанию находятся интерфейсы управления коммутаторами, причем ранее выпускавшиеся модели коммутаторов не позволяют сменить номер для VLAN управления. Поэтому администратору следует тщательно продумать систему разбиения на VLAN, чтобы не допустить случайного доступа к управлению коммутаторами посторонних лиц, например, можно переместить все порты доступа коммутатора в другую VLAN, оставив для VLAN 1 только магистральный порт. Таким образом, пользователи не смогут подключиться к управлению коммутатором.
GVRP
Протокол GVRP предназначен для автоматического создания VLAN 802.1Q. С его помощью можно автоматически назначать порты во все вновь создаваемые VLAN. Несмотря на определенные удобства, такое решение является существенной брешью в системе обеспечения сетевой безопасности. Администратор должен представлять структуру VLAN и производить назначения портов ручными операциями.
Дата добавления: 2019-09-30; просмотров: 662;