Устройства уровня l2 от l3. Что такое "уровень" коммутатора L1, L2, L3, L4. План подключения оборудования по портам

С доброй улыбкой теперь вспоминается, как человечество с тревогой ожидало в 2000 году конца света. Тогда этого не случилось, но зато произошло совсем другое событие и тоже очень значимое.

Исторически, в то время мир вошел в настоящую компьютерную революцию v. 3.0. - старт облачных технологий распределенного хранения и обработки данных . Причем, если предыдущей «второй революцией» был массовый переход к технологиям «клиент-сервер» в 80-х годах, то первой можно считать начало одновременной работы пользователей с использованием отдельных терминалов, подключенных к т.н. «мейнфреймам» (в 60-х прошлого столетия). Эти революционные перемены произошли мирно и незаметно для пользователей, но затронули весь мир бизнеса вместе с информационными технологиями.

При переносе IT-инфраструктуры на и удаленные ЦОД (центры обработки данных) ключевым вопросом сразу же становится организация надежных каналов связи от клиента . В Сети нередко встречаются предложения провайдеров: «физическая выделенная линия, оптоволокно», «канал L2», «VPN» и так далее… Попробуем разобраться, что за этим стоит на практике.

Каналы связи - физические и виртуальные

1. Организацией «физической линии» или «канала второго уровня, L2» принято называть услугу предоставления провайдером выделенного кабеля (медного или оптоволоконного), либо радиоканала между офисами и теми площадками, где развернуто оборудование дата-центров. Заказывая эту услугу, на практике скорее всего вы получите в аренду выделенный оптоволоконный канал. Это решение привлекательно тем, что за надежную связь отвечает провайдер (а в случае повреждения кабеля самостоятельно восстанавливает работоспособность канала). Однако, в реальной жизни кабель на всем протяжении не бывает цельным - он состоит из множества соединенных (сваренных) между собой фрагментов, что несколько снижает его надежность. На пути прокладки оптоволоконного кабеля провайдеру приходится применять усилители, разветвители, а на оконечных точках - модемы.

В маркетинговых материалах к уровню L2 (Data-Link) сетевой модели OSI или TCP/IP это решение относят условно - оно позволяет работать как бы на уровне коммутации фреймов Ethernet в LAN, не заботясь о многих проблемах маршрутизации пакетов на следующем, сетевом уровне IP. Есть, например, возможность продолжать использовать в клиентских виртуальных сетях свои, так называемые «частные», IP-адреса вместо зарегистрированных уникальных публичных адресов. Поскольку использовать частные IP-адреса в локальных сетях очень удобно, пользователям были выделены специальные диапазоны из основных классов адресации:

• 10.0.0.0 - 10.255.255.255 в классе A (с маской 255.0.0.0 или /8 в альтернативном формате записи маски);
• 100.64.0.0 - 100.127.255.255 в классе A (с маской 255.192.0.0 или /10);
• 172.16.0.0 - 172.31.255.255 в классе B (с маской 255.240.0.0 или /12);
• 192.168.0.0 - 192.168.255.255 в классе C (с маской 255.255.0.0 или /16).

Такие адреса выбираются пользователями самостоятельно для «внутреннего использования» и могут повторяться одновременно в тысячах клиентских сетей, поэтому пакеты данных с частными адресами в заголовке не маршрутизируются в Интернете - чтобы избежать путаницы. Для выхода в Интернет приходится применять NAT (или другое решение) на стороне клиента.

Примечание: NAT - Network Address Translation (механизм замены сетевых адресов транзитных пакетов в сетях TCP/IP, применяется для маршрутизации пакетов из локальной сети клиента в другие сети/Интернет и в обратном направлении - вовнутрь LAN клиента, к адресату).

У этого подхода (а мы говорим о выделенном канале) есть и очевидный недостаток - в случае переезда офиса клиента, могут быть серьезные сложности с подключением на новом месте и возможна потребность в смене провайдера.

Утверждение, что такой канал значительно безопаснее, лучше защищен от атак злоумышленников и ошибок низкоквалифицированного технического персонала при близком рассмотрении оказывается мифом. На практике проблемы безопасности чаще возникают (или создаются хакером умышленно) прямо на стороне клиента, при участии человеческого фактора.

2. Виртуальные каналы и построенные на них частные сети VPN (Virtual Private Network) распространены широко и позволяют решить большинство задач клиента.

Предоставление провайдером «L2 VPN» предполагает выбор из нескольких возможных услуг «второго уровня», L2:

VLAN - клиент получает виртуальную сеть между своими офисами, филиалами (в действительности, трафик клиента идет через активное оборудование провайдера, что ограничивает скорость);

Соединение «точка-точка» PWE3 (другими словами, «эмуляция сквозного псевдопровода» в сетях с коммутацией пакетов) позволяет передавать фреймы Ethernet между двумя узлами так, как если бы они были соединены кабелем напрямую. Для клиента в такой технологии существенно, что все переданные фреймы доставляются до удалённой точки без изменений. То же самое происходит и в обратном направлении. Это возможно благодаря тому, что фрейм клиента приходя на маршрутизатор провайдера далее инкапсулируется (добавляется) в блок данных вышестоящего уровня (пакет MPLS), а в конечной точке извлекается;

Примечание: PWE3 - Pseudo-Wire Emulation Edge to Edge (механизм, при котором с точки зрения пользователя, он получает выделенное соединение).

MPLS - MultiProtocol Label Switching (технология передачи данных, при которой пакетам присваиваются транспортные/сервисные метки и путь передачи пакетов данных в сетях определяется только на основании значения меток, независимо от среды передачи, используя любой протокол. Во время маршрутизации новые метки могут добавляться (при необходимости) либо удаляться, когда их функция завершилась. Содержимое пакетов при этом не анализируется и не изменяется).

VPLS - технология симуляции локальной сети с многоточечными соединениями. В этом случае сеть провайдера выглядит со стороны клиента подобной одному коммутатору, хранящему таблицу MAC-адресов сетевых устройств. Такой виртуальный «коммутатор» распределяет фрейм Ethernet пришедший из сети клиента, по назначению - для этого фрейм инкапсулируется в пакет MPLS, а после извлекается.

Примечание: VPLS - Virtual Private LAN Service (механизм, при котором с точки зрения пользователя, его разнесенные географически сети соединены виртуальными L2 соединениями).

MAC - Media Access Control (способ управления доступом к среде - уникальный 6-байтовый адрес-идентификатор сетевого устройства (или его интерфейсов) в сетях Ethernet).

3. В случае развертывания «L3 VPN» сеть провайдера в глазах клиента выглядит подобно одному маршрутизатору с несколькими интерфейсами. Поэтому, стык локальной сети клиента с сетью провайдера происходит на уровне L3 сетевой модели OSI или TCP/IP.

Публичные IP-адреса для точек стыка сетей могут определяться по согласованию с провайдером (принадлежать клиенту либо быть полученными от провайдера). IP-адреса настраиваются клиентом на своих маршрутизаторах с обеих сторон (частные - со стороны своей локальной сети, публичные - со стороны провайдера), дальнейшую маршрутизацию пакетов данных обеспечивает провайдер. Технически, для реализации такого решения используется MPLS (см. выше), а также технологии GRE и IPSec.

Примечание: GRE - Generic Routing Encapsulation (протокол тунеллирования, упаковки сетевых пакетов, который позволяет установить защищенное логическое соединение между двумя конечными точками - с помощью инкапсуляции протоколов на сетевом уровне L3).

IPSec - IP Security (набор протоколов защиты данных, которые передаются с помощью IP. Используется подтверждение подлинности, шифрование и проверка целостности пакетов).

Важно понимать, что современная сетевая инфраструктура построена так, что клиент видит только ту ее часть, которая определена договором. Выделенные ресурсы (виртуальные серверы, маршрутизаторы, хранилища оперативных данных и резервного копирования), а также работающие программы и содержимое памяти полностью изолированы от других пользователей. Несколько физических серверов могут согласованно и одновременно работать для одного клиента, с точки зрения которого они будут выглядеть одним мощным серверным пулом. И наоборот, на одном физическом сервере могут быть одновременно созданы множество виртуальных машин (каждая будет выглядеть для пользователя подобно отдельному компьютеру с операционной системой). Кроме стандартных, предлагаются индивидуальные решения, которые также соответствует принятым требованиям относительно безопасности обработки и хранения данных клиента.

При этом, конфигурация развернутой в облаке сети «уровня L3» позволяет масштабирование до практически неограниченных размеров (по такому принципу построен Интернет и крупные дата-центры). Протоколы динамической маршрутизации, например OSPF, и другие в облачных сетях L3, позволяют выбрать кратчайшие пути маршрутизации пакетов данных, отправлять пакеты одновременно несколькими путями для наилучшей загрузки и расширения пропускной способности каналов.

В то же время, есть возможность развернуть виртуальную сеть и на «уровне L2», что типично для небольших дата-центров и устаревших (либо узко-специфических) приложений клиента. В некоторых таких случаях, применяют даже технологию «L2 over L3», чтобы обеспечить совместимость сетей и работоспособность приложений.

Подведем итоги

На сегодняшний день задачи пользователя/клиента в большинстве случаев могут быть эффективно решены путём организации виртуальных частных сетей VPN c использованием технологий GRE и IPSec для безопасности.

Нет особого смысла противопоставлять L2 и L3, равно как нет смысла считать предложение канала L2 лучшим решением для построения надёжной коммуникации в своей сети, панацеей. Современные каналы связи и оборудование провайдеров позволяют пропускать громадное количество информации, а многие выделенные каналы, арендуемые пользователями, на самом деле - даже недогружены. Разумно использовать L2 только в особенных случаях, когда этого требует специфика задачи, учитывать ограничения возможности будущего расширения такой сети и проконсультироваться со специалистом. С другой стороны, виртуальные сети L3 VPN, при прочих равных условиях, более универсальны и просты в эксплуатации.

В этом обзоре кратко перечислены современные типовые решения, которые используют при переносе локальной IT-инфраструктуры в удаленные центры обработки данных. Каждое из них имеет своего потребителя, достоинства и недостатки, правильность выбора решения зависит от конкретной задачи.

В реальной жизни, оба уровня сетевой модели L2 и L3 работают вместе, каждый отвечает за свою задачу и противопоставляя их в рекламе, провайдеры откровенно лукавят.

Это первая статья из серии «Сети для самых маленьких». Мы с Максимом aka Gluck долго думали с чего начать: маршрутизация, VLAN"ы, настройка оборудования. В итоге решили начать с вещи фундаментальной и, можно сказать, самой важной: планирование. Поскольку цикл рассчитан на совсем новичков, то и пройдём весь путь от начала до конца.

Предполагается, что вы, как минимум, читали о эталонной модели OSI, о стеке протоколов TCP/IP, знаете о типах существующих VLAN’ов, о наиболее популярном сейчас port-based VLAN и о IP адресах. Мы понимаем, что для новичков «OSI» и «TCP/IP» — это страшные слова. Но не переживайте, не для того, чтобы запугать вас, мы их используем. Это то, с чем вам придётся встречаться каждый день, поэтому в течение этого цикла мы постараемся раскрыть их смысл и отношение к реальности.

Начнём с постановки задачи. Есть некая фирма, занимающаяся, допустим, производством лифтов, идущих только вверх, и потому называется ООО «Лифт ми ап». Расположены они в старом здании на Арбате, и сгнившие провода, воткнутые в пожжёные и прожжёные коммутаторы времён 10Base-T не ожидают подключения новых серверов по гигабитным карточкам. Итак, у них катастрофическая потребность в сетевой инфраструктуре и денег куры не клюют, что даёт вам возможность безграничного выбора. Это чудесный сон любого инженера. А вы вчера выдержали собеседование, и в сложной борьбе по праву получили должность сетевого администратора. И теперь вы в ней первый и единственный в своём роде. Поздравляем! Что дальше?

Следует несколько конкретизировать ситуацию:

1. В данный момент у компании есть два офиса: 200 квадратов на Арбате под рабочие места и серверную. Там представлены несколько провайдеров. Другой на Рублёвке.
2. Есть четыре группы пользователей: бухгалтерия (Б), финансово-экономический отдел (ФЭО), производственно-технический отдел (ПТО), другие пользователи (Д). А так же есть сервера (С), которые вынесены в отдельную группу. Все группы разграничены и не имеют прямого доступа друг к другу.
3. Пользователи групп С, Б и ФЭО будут только в офисе на Арбате, ПТО и Д будут в обоих офисах.

Прикинув количество пользователей, необходимые интерфейсы, каналы связи, вы готовите схему сети и IP-план.

При проектировании сети следует стараться придерживаться иерархической модели сети, которая имеет много достоинств по сравнению с “плоской сетью”:

• упрощается понимание организации сети
• модель подразумевает модульность, что означает простоту наращивания мощностей именно там, где необходимо
• легче найти и изолировать проблему
• повышенная отказоустойчивость за счет дублирования устройств и/или соединений
• распределение функций по обеспечению работоспособности сети по различным устройствам.

Согласно этой модели, сеть разбивается на три логических уровня: ядро сети (Core layer: высокопроизводительные устройства, главное назначение — быстрый транспорт), уровень распространения (Distribution layer: обеспечивает применение политик безопасности, QoS, агрегацию и маршрутизацию в VLAN, определяет широковещательные домены), и уровень доступа (Access-layer: как правило, L2 свичи, назначение: подключение конечных устройств, маркирование трафика для QoS, защита от колец в сети (STP) и широковещательных штормов, обеспечение питания для PoE устройств).

В таких масштабах, как наш, роль каждого устройства размывается, однако логически разделить сеть можно.

Составим приблизительную схему:

На представленной схеме ядром (Core) будет маршрутизатор 2811, коммутатор 2960 отнесём к уровню распространения (Distribution), поскольку на нём агрегируются все VLAN в общий транк. Коммутаторы 2950 будут устройствами доступа (Access). К ним будут подключаться конечные пользователи, офисная техника, сервера.

Именовать устройства будем следующим образом: сокращённое название города (msk ) — географическое расположение (улица, здание) (arbat ) — роль устройства в сети + порядковый номер.

Соответственно их ролям и месту расположения выбираем hostname :

• маршрутизатор 2811: msk-arbat-gw1 (gw=GateWay=шлюз);
• коммутатор 2960: msk-arbat-dsw1 (dsw=Distribution switch);
• коммутаторы 2950: msk-arbat-aswN, msk-rubl-asw1 (asw=Access switch).

Документация сети

Вся сеть должна быть строго документирована: от принципиальной схемы, до имени интерфейса.

Прежде, чем приступить к настройке, я бы хотел привести список необходимых документов и действий:

• схемы сети L1, L2, L3 в соответствии с уровнями модели OSI (физический, канальный, сетевой) ;
• план IP-адресации = IP-план ;
• список VLAN ;
• подписи (description ) интерфейсов ;
• список устройств (для каждого следует указать: модель железки, установленная версия IOS, объем RAM\NVRAM, список интерфейсов);
• метки на кабелях (откуда и куда идёт), в том числе на кабелях питания и заземления и устройствах;
• единый регламент, определяющий все вышеприведённые параметры и другие.

Жирным выделено то, за чем мы будем следить в рамках программы-симулятора. Разумеется, все изменения сети нужно вносить в документацию и конфигурацию, чтобы они были в актуальном состоянии.

Говоря о метках/наклейках на кабели, мы имеем ввиду это:

На этой фотографии отлично видно, что промаркирован каждый кабель, значение каждого автомата на щитке в стойке, а также каждое устройство.

Подготовим нужные нам документы:

Список VLAN

Каждая группа будет выделена в отдельный влан. Таким образом мы ограничим широковещательные домены. Также введём специальный VLAN для управления устройствами. Номера VLAN c 4 по 100 зарезервированы для будущих нужд.

IP-план

Выделение подсетей в общем-то произвольное, соответствующее только числу узлов в этой локальной сети с учётом возможного роста. В данном примере все подсети имеют стандартную маску /24 (/24=255.255.255.0) — зачастую такие и используются в локальных сетях, но далеко не всегда. Советуем почитать о классах сетей . В дальнейшем мы обратимся и к бесклассовой адресации (cisco). Мы понимаем, что ссылки на технические статьи в википедии — это моветон, однако они дают хорошее определение, а мы попробуем в свою очередь перенести это на картину реального мира.

Под сетью Point-to-Point подразумеваем подключение одного маршрутизатора к другому в режиме точка-точка. Обычно берутся адреса с маской 30 (возвращаясь к теме бесклассовых сетей), то есть содержащие два адреса узла. Позже станет понятно, о чём идёт речь.

План подключения оборудования по портам

Разумеется, сейчас есть коммутаторы с кучей портов 1Gb Ethernet, есть коммутаторы с 10G, на продвинутых операторских железках, стоящих немалые тысячи долларов есть 40Gb, в разработке находится 100Gb (а по слухам уже даже есть такие платы, вышедшие в промышленное производство). Соответственно, вы можете выбирать в реальном мире коммутаторы и маршрутизаторы согласно вашим потребностям, не забывая про бюджет. В частности гигабитный свич сейчас можно купить незадорого (20-30 тысяч) и это с запасом на будущее (если вы не провайдер, конечно). Маршрутизатор с гигабитными портами стоит уже ощутимо дороже, чем со 100Mbps портами, однако оно того стоит, потому что FE-модели (100Mbps FastEthernet), устарели и их пропускная способность очень невысока.

Но в программах эмуляторах/симуляторах, которые мы будем использовать, к сожалению, есть только простенькие модели оборудования, поэтому при моделировании сети будем отталкиваться от того, что имеем: маршрутизатор cisco2811, коммутаторы cisco2960 и 2950.

Почему именно так распределены VLAN"ы, мы объясним в следующих частях.

Схемы сети

На основании этих данных можно составить все три схемы сети на этом этапе. Для этого можно воспользоваться Microsoft Visio, каким-либо бесплатным приложением, но с привязкой к своему формату, или редакторами графики (можно и от руки, но это будет сложно держать в актуальном состоянии:)).

Не пропаганды опен сорса для, а разнообразия средств ради, воспользуемся Dia. Я считаю его одним из лучших приложений для работы со схемами под Linux. Есть версия для Виндоус, но, к сожалению, совместимости в визио никакой.

L1

То есть на схеме L1 мы отражаем физические устройства сети с номерами портов: что куда подключено.

L2

На схеме L2 мы указываем наши VLAN’ы.

L3

В нашем примере схема третьего уровня получилась довольно бесполезная и не очень наглядная, из-за наличия только одного маршрутизирующего устройства. Но со временем она обрастёт подробностями.

Как видите, информация в документах избыточна. Например, номера VLAN повторяются и на схеме и в плане по портам. Тут как бы кто на что горазд. Как вам удобнее, так и делайте. Такая избыточность затрудняет обновление в случае изменения конфигурации, потому что нужно исправиться сразу в нескольких местах, но с другой стороны, облегчает понимание.

К этой первой статье мы не раз ещё вернёмся в будущем, равно как и вам придётся всегда возвращаться к тому, что вы изначально напланировали. Собственно задание для тех, кто пока только начинает учиться и готов приложить для этого усилия: много читать про вланы, ip-адресацию, найти программы Packet Tracer и GNS3. Что касается фундаментальных теоретических знаний, то советуем начать читать Cisco press. Это то, что вам совершенно точно понадобится знать. В следующей части всё будет уже по-взрослому, с видео, мы будем учиться подключаться к оборудованию, разбираться с интерфейсом и расскажем, что делать нерадивому админу, забывшему пароль.

Оригинал статьи:

Теги

Купить коммутатор L2

Коммутаторы - важнейшая составляющая современных сетей связи. В этом разделе каталога представлены как управляемые коммутаторы 2 уровня, Gigabit Ethernet, так и неуправляемые коммутаторы Fast Ethernet . В зависимости от решаемых задач подбирают коммутаторы уровня доступа (2 уровня), агрегации и ядра, либо коммутаторы с множеством портов и высокопроизводительной шиной.

Принцип действия устройств состоит в том, чтобы хранить данные о соответствии их портов IP- или MAC-адресу подключенного к коммутатору девайса.

Схема организации сети

Для достижения высоких скоростей широко применяется технология передачи информации с помощью коммутатора Gigabit Ethernet (GE) и 10 Gigabit Ethernet (10GE). Передача информация на больших скоростях, особенно в сетях крупного масштаба, подразумевает выбор такой топологии сети, которая позволяет гибко осуществлять распределение высокоскоростных потоков.

Многоуровневый подход к созданию сети, используя управляемые коммутаторы 2 уровня, оптимально решает подобные задачи, так как подразумевает создание архитектуры сети в виде иерархических уровней и позволяет:

• масштабировать сеть на каждом уровне, не затрагивая всю сеть;
• добавлять различные уровни;
• расширять функциональные возможности сети по мере необходимости;
• минимизировать ресурсные затраты для поиска и устранения неисправностей;
• оперативно решать проблемы с перегрузкой сети.

Основными приложениями сети на базе предлагаемого оборудования являются услуги Triple Play (IPTV, VoIP, Data), VPN, реализуемые через универсальный транспорт трафика различного вида - IP сеть.

Управляемые коммутаторы 2 уровня технологии Gigabit Ethernet позволяют создавать архитектуру сети, состоящую из трех уровней иерархии:

1. Уровень ядра (Core Layer) . Образуется коммутаторами уровня ядра. Связь между устройствами осуществляется по оптоволоконному кабелю по схеме «кольцо с резервированием». Коммутаторы уровня ядра поддерживают высокую пропускную способность сети и позволяют организовать передачу потока со скоростью 10Gigabit между крупными узлами населенных пунктов, например, между городскими районами. Переход на следующий уровень иерархии - уровень распределения, осуществляется по оптическому каналу на скорости 10Gigabit через оптические порты XFP. Особенностью данных устройств являются широкая полоса пропускания и обработка пакетов от уровня L2 до L4.
2. Уровень распределения (Distribution Layer) . Образуется пограничными коммутаторами. Связь осуществляется по оптоволоконному кабелю по схеме «кольцо с резервированием». Данный уровень позволяет организовать передачу потока со скоростью 10Gigabit между пунктами скопления пользователей, например, между жилыми массивами или группой зданий. Подключение коммутаторов уровня распределения к нижестоящему уровню - уровню доступа осуществляется по оптическим каналам 1Gigabit Ethernet через оптические порты SFP. Особенности данных устройств: широкая полоса пропускания и обработка пакетов от уровня L2 до уровня L4, а так же поддержка протокола EISA, позволяющая в течении 10мсек восстанавливать связь при разрыве оптического кольца.
3. Уровень доступа (Access Layer) . Его образуют управляемые коммутаторы 2 уровня. Связь осуществляется по оптоволоконному кабелю на скоростях 1Gigabit. Коммутаторы уровня доступа можно разбить на две группы: только с электрическим интерфейсом и имеющие еще оптические порты SFP для создания кольца на своем уровне и подключения к уровню распределения.

L2 VPN, ИЛИ РАСПРЕДЕЛЕННЫЙ ETHERNETВ категорию L2 VPN входит широкий набор сервисов: от эмуляции выделенных каналов точка – точка (E-Line) до организации многоточечных соединений и эмуляции функций коммутатора Ethernet (E-LAN, VPLS). Технологии L2 VPN «прозрачны» для протоколов вышележащих уровней, поэтому позволяют передавать, например, трафик IPv4 или IPv6 независимо от того, какую версию протокола IP использует оператор. Их «низкоуровневость» положительно проявляет себя и в тех случаях, когда необходимо передавать трафик SNA, NetBIOS, SPX/IPX. Однако сейчас, в период всеобщей «айпизации», эти возможности требуются все реже. Пройдет еще какое-то время, и новое поколение сетевых специалистов вообще, наверное, не будет знать, что были времена, когда в сетях «господствовали» ОС NetWare и протоколы SPX/IPX.

Сервисы L2 VPN обычно используются для построения корпоративных сетей в рамках одного города (или города и ближайших окрестностей), поэтому часто это понятие воспринимается почти как синоним термина Metro Ethernet. Для таких сервисов характерны большие скорости каналов при меньшей (по сравнению с L3 VPN) стоимости соединения. Достоинствами L2 VPN являются также поддержка кадров увеличенного размера (jumbo frame), относительная простота и дешевизна оборудования клиента, устанавливаемого на границе с провайдером (L2).

Рост популярности сервисов L2 VPN во многом связан с потребностями отказоустойчивых территориально распределенных ЦОД: для «путешествий» виртуальных машин требуется прямое подключение между узлами на уровне L2. Такие сервисы, по сути, позволяют растянуть домен L2. Это хорошо отлаженные решения, но часто требующие сложной настройки. В частности, при подключении ЦОД к сети сервис-провайдера в нескольких точках - а это крайне желательно для повышения отказоустойчивости - требуется задействовать дополнительные механизмы, чтобы обеспечить оптимальную загрузку соединений и исключить возникновение «петель коммутации».

Существуют и решения, разработанные специально для межсоединения сетей ЦОД на уровне L2, - например, технология Overlay Transport Virtualization (OTV), реализованная в коммутаторах Cisco Nexus. Она функционирует поверх сетей IP, используя все преимущества маршрутизации на уровне L3: хорошую масштабируемость, высокую отказоустойчивость, подключение в нескольких точках, передачу трафика по множеству путей и пр. (подробнее см. статью автора «На магистралях интерЦОД» в ноябрьском номере «Журнала сетевых решений/LAN» за 2010 год).

L2 ИЛИ L3 VPN

Если в случае покупки услуг L2 VPN предприятию придется самому заботиться о маршрутизации трафика между своими узлами, то в системах L3 VPN эту задачу решает сервис-провайдер. Главное предназначение L3 VPN - соединение площадок, находящихся в разных городах, на большом удалении друг от друга. Эти услуги, как правило, характеризуются большей стоимостью подключения (поскольку задействуется маршрутизатор, а не коммутатор), высокой арендной платой и небольшой пропускной способностью (обычно до 2 Мбит/с). Цена может значительно возрастать в зависимости от расстояния между точками подключения.

Важным достоинством L3 VPN является поддержка функций QoS и инжиниринга трафика, что позволяет гарантировать требуемый уровень качества для сервисов IP-телефонии и видео-конференц-связи. Их недостаток - непрозрачность для услуг Ethernet, отсутствие поддержки кадров Ethernet увеличенного размера, а также более высокая стоимость по сравнению с сервисами Metro Ethernet.

Заметим, что технология MPLS может применяться для организации и L2, и L3 VPN. Уровень услуги VPN определяется не уровнем используемой для нее технологии (MPLS вообще сложно отнести к какому-то определенному уровню модели OSI, скорее это технология L2,5), а «потребительскими свойствами»: если сеть оператора маршрутизирует клиентский трафик, значит, это L3, если эмулирует соединения канального уровня (или функции коммутатора Ethernet) - L2. При этом для формирования L2 VPN могут применяться и другие технологии, например 802.1ad Provider Bridging или 802.1ah Provider Backbone Bridges.

Решения 802.1ad Provider Bridging, известные также под множеством других названий (vMAN, Q-in-Q, Tag Stacking, VLAN Stacking), позволяют добавлять в кадр Ethernet второй тег 802.1Q VLAN. Сервис-провайдер может игнорировать внутренние теги VLAN, установленные оборудованием клиента, - для пересылки трафика достаточно внешних тегов. Эта технология снимает ограничение в 4096 идентификаторов VLAN, имеющее место в классической технологии Ethernet, что существенно повышает масштабируемость сервисов. Решения 802.1ah Provider Backbone Bridges (PBB) предусматривают добавление в кадр второго МАС-адреса, при этом МАС-адреса конечного оборудования оказываются скрыты от магистральных коммутаторов. PBB предоставляет до 16 млн идентификаторов сервисов.

RAW Paste Data

L2 VPN, ИЛИ РАСПРЕДЕЛЕННЫЙ ETHERNETВ категорию L2 VPN входит широкий набор сервисов: от эмуляции выделенных каналов точка - точка (E-Line) до организации многоточечных соединений и эмуляции функций коммутатора Ethernet (E-LAN, VPLS). Технологии L2 VPN «прозрачны» для протоколов вышележащих уровней, поэтому позволяют передавать, например, трафик IPv4 или IPv6 независимо от того, какую версию протокола IP использует оператор. Их «низкоуровневость» положительно проявляет себя и в тех случаях, когда необходимо передавать трафик SNA, NetBIOS, SPX/IPX. Однако сейчас, в период всеобщей «айпизации», эти возможности требуются все реже. Пройдет еще какое-то время, и новое поколение сетевых специалистов вообще, наверное, не будет знать, что были времена, когда в сетях «господствовали» ОС NetWare и протоколы SPX/IPX. Сервисы L2 VPN обычно используются для построения корпоративных сетей в рамках одного города (или города и ближайших окрестностей), поэтому часто это понятие воспринимается почти как синоним термина Metro Ethernet. Для таких сервисов характерны большие скорости каналов при меньшей (по сравнению с L3 VPN) стоимости соединения. Достоинствами L2 VPN являются также поддержка кадров увеличенного размера (jumbo frame), относительная простота и дешевизна оборудования клиента, устанавливаемого на границе с провайдером (L2). Рост популярности сервисов L2 VPN во многом связан с потребностями отказоустойчивых территориально распределенных ЦОД: для «путешествий» виртуальных машин требуется прямое подключение между узлами на уровне L2. Такие сервисы, по сути, позволяют растянуть домен L2. Это хорошо отлаженные решения, но часто требующие сложной настройки. В частности, при подключении ЦОД к сети сервис-провайдера в нескольких точках — а это крайне желательно для повышения отказоустойчивости — требуется задействовать дополнительные механизмы, чтобы обеспечить оптимальную загрузку соединений и исключить возникновение «петель коммутации». Существуют и решения, разработанные специально для межсоединения сетей ЦОД на уровне L2, — например, технология Overlay Transport Virtualization (OTV), реализованная в коммутаторах Cisco Nexus. Она функционирует поверх сетей IP, используя все преимущества маршрутизации на уровне L3: хорошую масштабируемость, высокую отказоустойчивость, подключение в нескольких точках, передачу трафика по множеству путей и пр. (подробнее см. статью автора «На магистралях интерЦОД» в ноябрьском номере «Журнала сетевых решений/LAN» за 2010 год). L2 ИЛИ L3 VPN Если в случае покупки услуг L2 VPN предприятию придется самому заботиться о маршрутизации трафика между своими узлами, то в системах L3 VPN эту задачу решает сервис-провайдер. Главное предназначение L3 VPN — соединение площадок, находящихся в разных городах, на большом удалении друг от друга. Эти услуги, как правило, характеризуются большей стоимостью подключения (поскольку задействуется маршрутизатор, а не коммутатор), высокой арендной платой и небольшой пропускной способностью (обычно до 2 Мбит/с). Цена может значительно возрастать в зависимости от расстояния между точками подключения. Важным достоинством L3 VPN является поддержка функций QoS и инжиниринга трафика, что позволяет гарантировать требуемый уровень качества для сервисов IP-телефонии и видео-конференц-связи. Их недостаток — непрозрачность для услуг Ethernet, отсутствие поддержки кадров Ethernet увеличенного размера, а также более высокая стоимость по сравнению с сервисами Metro Ethernet. Заметим, что технология MPLS может применяться для организации и L2, и L3 VPN. Уровень услуги VPN определяется не уровнем используемой для нее технологии (MPLS вообще сложно отнести к какому-то определенному уровню модели OSI, скорее это технология L2,5), а «потребительскими свойствами»: если сеть оператора маршрутизирует клиентский трафик, значит, это L3, если эмулирует соединения канального уровня (или функции коммутатора Ethernet) — L2. При этом для формирования L2 VPN могут применяться и другие технологии, например 802.1ad Provider Bridging или 802.1ah Provider Backbone Bridges. Решения 802.1ad Provider Bridging, известные также под множеством других названий (vMAN, Q-in-Q, Tag Stacking, VLAN Stacking), позволяют добавлять в кадр Ethernet второй тег 802.1Q VLAN. Сервис-провайдер может игнорировать внутренние теги VLAN, установленные оборудованием клиента, — для пересылки трафика достаточно внешних тегов. Эта технология снимает ограничение в 4096 идентификаторов VLAN, имеющее место в классической технологии Ethernet, что существенно повышает масштабируемость сервисов. Решения 802.1ah Provider Backbone Bridges (PBB) предусматривают добавление в кадр второго МАС-адреса, при этом МАС-адреса конечного оборудования оказываются скрыты от магистральных коммутаторов. PBB предоставляет до 16 млн идентификаторов сервисов.

В утилите sudo, используемой для организации выполнения команд от имени других пользователей, выявлена уязвимость (CVE-2019-18634), которая позволяет повысить свои привилегии в системе. Проблема […]

Выпуск WordPress 5.3 улучшает и расширяет представленный в WordPress 5.0 редактор блоков новым блоком, более интуитивным взаимодействием и улучшенной доступностью. Новые функции в редакторе […]

После девяти месяцев разработки доступен мультимедиа-пакет FFmpeg 4.2, включающий набор приложений и коллекцию библиотек для операций над различными мультимедиа-форматами (запись, преобразование и […]

Доступны новые сервисные релизы BIND, которые содержат исправления ошибок и улучшения функций. Новые выпуски могут быть скачано со страницы загрузок на сайте разработчика: […]

Exim — агент передачи сообщений (MTA), разработанный в Кембриджском университете для использования в системах Unix, подключенных к Интернету. Он находится в свободном доступе в соответствии с […]

После почти двух лет разработки представлен релиз ZFS on Linux 0.8.0, реализации файловой системы ZFS, оформленной в виде модуля для ядра Linux. Работа модуля проверена с ядрами Linux c 2.6.32 по […]

Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил формирование RFC для протокола ACME (Automatic Certificate Management Environment) […]

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, подвёл итоги прошедшего года и рассказал о планах на 2019 год. […]