Презентация "Реализация виртуальных локальных сетей" – проект, доклад

Реализация виртуальных локальных сетей

Глава 9

В рамках этой темы…

Концепция VLAN

Локальная сеть (LAN) объединяет все устройства в том же широковешательном домене.

Коммутатор VLAN может настроить часть интерфейсов на один широковещательный домен, а часть на другой , создав в результате два широковещательных домена (2 виртуальные локальные сети (virtual LAN - VLAN)).

Причины применения VLAN

Сокращение дополнительных затрат процессоров всех устройств за счет сокращения количества устройств, получающих каждый широковещательный фрейм. Улучшение защиты за счет сокращения количества хостов, получающих копии фреймов при их лавинной рассылке коммутатором (широковещание, групповая передача и одноадресатные фреймы с неизвестным получателем). Улучшение защиты хостов, пересылающих важные данные, за счет их помещения в отдельную сеть VLAN. Возможность более гибкого объединения пользователей в группы (например, по отделам) вместо физического разделения по местоположению. Упрощение поиска проблемы в сети, поскольку большинство проблем локализуется в области набора устройств, формирующих широковещательный домен. Сокращение дополнительных затрат на работу протокола распределенного связующего дерева (STP) за счет ограничения VLAN одним коммутатором доступа.

Магистральное соединение VLAN

Когда сети VLAN используются в сетях с несколькими соединенными между собой коммутаторами, на каналах связи между ними применяется магистральное соединение VLAN (VLAN trunking). Магистральное соединение VLAN подразумевает использование коммутаторами процесса назначения тегов VLAN (VLAN tagging): передающий коммутатор добавляет к фрейму дополнительный заголовок перед его передачей по магистральному каналу, включающий поле идентификатора VLAN (VLAN ID), позволяющего передающему и получающему коммутаторам ассоциировать фрейм с конкретной сетью VLAN.

VLAN без магистрального соединения

Концепция тегов

Магистральное соединение VLAN создает между коммутаторами один канал связи, способный поддерживать столько сетей VLAN, сколько необходимо.

10 20

Пересылка фреймов

Протокол магистралей VLAN 802.1Q

Протокол 802.1Q использует дополнительное 4-байтовое поле - заголовок 802.1Q в заголовке Ethernet первоначального фрейма 12-битовое поле способно идентифицировать максимум 2^12 (4096) сетей VLAN, хотя на практике доступно максимум 4094 значения. (0 и 4095 - зарезервированы). Коммутаторы Cisco разделяют диапазон идентификаторов VLAN ( 1 -4094) на два диапазона: нормальный (1-1005) и расширенный (1005 - 4094). Правила использования коммутаторами расширенного диапазона идентификаторов VLAN зависят от конфигурации протокола создания магистралей VLAN (VLAN Trunking Protocol - VТР).

Собственная сеть VLAN

Для каждого магистрального канала стандарт 802.1Q определяет также один специальный идентификатор VLAN, обозначающий собственную сеть VLAN (native VLAN): протокол 802.1Q не добавляет заголовок 802.1Q к фреймам в собственной сети VLAN. когда коммутатор с другой стороны магистрального канала получает фрейм без заголовка 802.1Q, он понимает, что фрейм принадлежит собственной сети VLAN. оба коммутатора должны "договориться", какую сеть VLAN считать собственной.

Коммутаторы уровней

Коммутаторы LAN, передающие данные на основании логики уровня 2, называют коммутаторами уровня 2 (Layer 2 switch). Есть коммутаторы, способные выполнять некоторые функции маршрутизатора, - они используют дополнительную логику, определенную протоколами уровня 3. Эти коммутаторы называют многоуровневыми коммутаторами (multilayeг switch), или коммутаторами уровня З ( Layer 3 switch).

Маршрутизация между VLAN

Все устройства сети VLAN находятся в одной подсети, а устройства в разных сетях VLAN принадлежат разным подсетям.

Логика уровня 2 не позволяет коммутатору уровня 2 перенаправлять фреймы Ethernet уровня 2 (L2PDU) между сетями VLAN. Однако маршрутизаторы могут перенаправить пакеты уровня 3 (L3PDU) между подсетями.

Теперь маршрутизатор R1 использует магистральное соединение VLAN вместо отдельного канала связи для каждой сети VLAN .

такой проект сети называют "маршрутизатор на палочке" (router-on-a-stick).

Маршрутизация между VLAN (коммутаторы уровня 3)

У маршрутизации пакетов с использованием физического маршрутизатора есть одна серьезная проблема: производительность. Для ее решения производители начали объединять аппаратные и программные средства коммутаторов уровня 2 с маршрутизаторами уровня 3, выпуская коммутаторы уровня З (они же многоуровневые коммутаторы).

Настройка VLAN

Чтобы коммутатор Cisco начал перенаправлять фреймы в определенную сеть VLAN: его нужно настроить, указав на существование еще одной сети VLAN. у коммутатора должны быть немагистральные интерфейсы (интерфейсы доступа (access interface)), принадлежащие этой сети VLAN, и (или) магистральные каналы, поддерживающие эту VLAN.

Например, если порты коммутатора следует распределить по трем сетям VLAN (11, 12 и 13), нужно : ввести три команды vlan 11 , vlan 12 и vlan 13. затем для каждого интерфейса ввести команду switchport access vlan 11 (или 12, или 13 ), чтобы присвоить соответствующий интерфейс надлежащей сети VLAN.

Полная настройка VLAN: пример 1

Сокращенная настройка VLAN: пример 2

Протокол создания магистралей VLAN (VТР)

Протокол создания магистралей VLAN (VLAN Trucking Protocol VTР) - это собственный протокол компании Cisco, выполняющийся на ее коммутаторах: он анонсирует каждую сеть VLAN, настроенную на одном коммутаторе командой vlan номер, чтобы о ней узнали все остальные коммутаторы в территориальной локальной сети.

Каждый коммутатор может работать в одном из трех режимов VТР: серверном, клиентском или прозрачном.

Если коммутатор будет использовать серверный или клиентский режим VTР, то обнаружится следующее: серверные коммутаторы могут настраивать сети VLAN только в стандартном диапазоне (1-1005); клиентские коммутаторы не могут настраивать сети VLAN; команда show running-config не отображает команды vlan.

Для включения прозрачного режима протокола VTР используется глобальная команда vtp mode transparent, а для его отключения - глобальная команда vtp mode off.

Настройка магистрального соединения

Достаточно добавить одну подкоманду интерфейса для порта коммутатора на каждой стороне канала связи – switchport mode trunk, и будет получен магистральный канал VLAN, поддерживаемый всеми сетями VLAN , известными каждому коммутатору (статическое соединение). Конфигурация магистрали на коммутаторах Cisco имеет несколько вариантов для динамических переговоров о разных параметрах магистрали: тип магистрального соединения: протокол ISL, протокол 802.1Q или переговоры о применяемом протоколе. административный режим: всегда магистральный канал, никогда магистральный канал или переговоры.

Протокол DTP

Коммутаторы Cisco, поддерживающие протоколы ISL и 802.1Q, способны вести переговоры об используемом типе при помощи протокола динамического согласования магистральных каналов ( Dynamic Trunk Protocol - DTP). Протокол DTP позволяет также согласовать административный режим локальных портов коммутаторов (команда switchport mode) и параметры:

Магистральные соединения: пример 3

переговоры DTP можно отключить с помощью подкоманды интерфейса switch port nonegotiate

Команда show interfaces trunk выводит информацию обо всех интерфейсах магистральных каналов, работающих в настоящий момент, т.е. она перечисляет интерфейсы, которые в настоящее время используют магистральное соединение VLAN. Не перечисляя интерфейсы, эта команда также подтверждает, что канал связи между коммутаторами не является магистральным соединением.

Результаты переговоров DTP

Контроль сетей VLAN

Список разрешенных сетей VLAN (allowed VLAN list) - это механизм, позволяющий административно отключать сети VLAN от магистрального канала. Стандартно коммутаторы включают в список разрешенных сетей VLAN каждой магистрали все возможные сети VLAN (от VLAN 1 до VLAN 4094). Однако впоследствии можно сократить количество сетей VLAN, которым разрешено использовать магистральный канал подкомандой интерфейса:

Причины невозможности передачи трафика по VLAN

Сеть VLAN удалена из списка разрешенных сетей VLAN для магистрального канала. Сеть VLAN отсутствует в конфигурации коммутатора (как свидетельствует вывод команды show vlan). Сеть VLAN существует, но административно отключена (командой shutdown). Сеть VLAN автоматически отсечена протоколом VТР. Экземпляр STP сети VLAN перевел магистральный интерфейс в состояние блокировки.

Команда show interfaces trunk

Команда show interfaces trunk выводит список идентификаторов VLAN. Вывод указанной команды содержит продолжение в виде трех списков сетей VLAN, поддерживаемых магистральным каналом: сети VLAN, разрешенные на магистральном канале (стандартно 1 - 4094). сети VLAN настроенные и активные (не отключенные). сети VLAN не отсеченные протоколом VТР и не блокированные протоколом STP.

Отключение VLAN: пример 4

Ключевые темы