Quelle est la différence entre les commutateurs l2 et l3. Canaux de communication VPN L2 et L3 - Différences entre canaux physiques et virtuels de différents niveaux
Ceci est le premier article de la série « Réseautage pour les tout-petits ». Maxim alias Gluck et moi avons longuement réfléchi à par où commencer : le routage, les VLAN, la configuration des équipements. Finalement, nous avons décidé de commencer par la chose fondamentale et, pourrait-on dire, la plus importante : la planification puisque le cycle est conçu. pour les débutants complets, nous irons du début à la fin.
On suppose que vous avez au moins lu des informations sur modèle de référence OSI, à propos de la pile de protocoles TCP/IP, vous connaissez les types de VLAN existants, les VLAN désormais basés sur les ports les plus populaires et les adresses IP. Nous comprenons que « OSI » et « TCP/IP » sont des mots effrayants pour les débutants. Mais ne vous inquiétez pas, nous ne les utilisons pas pour vous effrayer. Ce sont des choses auxquelles vous devrez faire face tous les jours, c'est pourquoi au cours de cette série nous essaierons de révéler leur signification et leur relation avec la réalité.
Commençons par énoncer le problème. Il existe une certaine entreprise engagée, par exemple, dans la production d'ascenseurs qui montent uniquement et s'appelle donc Lift My Up LLC. Ils sont situés dans un ancien bâtiment d'Arbat, et les fils pourris coincés dans les commutateurs brûlés et grillés de l'ère 10Base-T n'attendent pas la connexion de nouveaux serveurs via des cartes gigabit. Ils ont donc un besoin catastrophique en infrastructure de réseau et les moyens financiers sont limités, ce qui vous donne la possibilité d’avoir des choix illimités. C'est le rêve de tout ingénieur. Et hier, vous avez passé un entretien et, après une lutte difficile, vous avez légitimement obtenu le poste d'administrateur réseau. Et maintenant, vous êtes le premier et le seul de votre espèce. Félicitations! Quelle est la prochaine étape ?
La situation doit être un peu plus précise :
- DANS à l'heure actuelle l'entreprise dispose de deux bureaux : 200 mètres carrés sur Arbat pour les espaces de travail et une salle de serveurs. Plusieurs prestataires y sont représentés. L'autre est à Rublyovka.
- Il existe quatre groupes d'utilisateurs : comptabilité (B), service financier et économique (FED), service de production et technique (PTO), autres utilisateurs (D). Il existe également des serveurs (C) placés dans un groupe distinct. Tous les groupes sont délimités et n’ont pas d’accès direct les uns aux autres.
- Les utilisateurs des groupes C, B et FEO seront uniquement dans le bureau d'Arbat, PTO et D seront dans les deux bureaux.
Après avoir estimé le nombre d'utilisateurs, les interfaces requises et les canaux de communication, vous préparez un schéma de réseau et un plan IP.
Lors de la conception d'un réseau, vous devez essayer d'adhérer à un modèle de réseau hiérarchique, qui présente de nombreux avantages par rapport à un « réseau plat » :
- simplifie la compréhension de l’organisation du réseau
- le modèle implique la modularité, ce qui signifie qu'il est facile d'augmenter la capacité exactement là où elle est nécessaire
- plus facile de trouver et d'isoler le problème
- tolérance aux pannes accrue en raison de la duplication d'appareils et/ou de connexions
- répartition des fonctions pour garantir la fonctionnalité du réseau sur divers appareils.
Selon ce modèle, le réseau est divisé en trois niveau logique: noyau de réseau(Couche centrale : appareils hautes performances, dont l'objectif principal est un transport rapide), taux de prévalence(Couche de distribution : applique les politiques de sécurité, la QoS, l'agrégation et le routage dans les VLAN, définit les domaines de diffusion), et niveau d'accès(Couche d'accès : généralement des commutateurs L2, objectif : connexion appareils finaux, marquage du trafic pour la QoS, protection contre les anneaux de réseau (STP) et les tempêtes de diffusion, fourniture d'énergie pour les appareils PoE).
À une échelle comme la nôtre, le rôle de chaque appareil est flou, mais le réseau peut être logiquement divisé.
Faisons un schéma approximatif :
Dans le schéma présenté, le noyau (Core) sera le routeur 2811, le commutateur 2960 sera classé comme niveau de distribution (Distribution), car il regroupe tous les VLAN dans un tronc commun. Les commutateurs 2950 seront des appareils Access. Les utilisateurs finaux, les équipements de bureau et les serveurs s'y connecteront.
Nous nommerons les appareils comme suit : nom abrégé de la ville ( msk) — situation géographique (rue, bâtiment) ( arbat) — rôle de l'appareil dans le réseau + numéro de séquence.
Nous les sélectionnons en fonction de leurs rôles et de leur localisation nom d'hôte:
- Routeur 2811 : msk-arbat-gw1(gw=GateWay=passerelle) ;
- commutateur 2960 : msk-arbat-dsw1(dsw=Commutateur de distribution) ;
- 2950 commutateurs : msk-arbat-aswN, msk-rubl-asw1(asw=Commutateur d'accès).
Documentation réseau
L'ensemble du réseau doit être strictement documenté : de diagramme schématique, au nom de l'interface.
Avant de commencer la mise en place, je souhaite fournir une liste de documents et d'actions nécessaires :
- schémas de réseau L1, L2, L3 selon les niveaux du modèle OSI (physique, canal, réseau);
- Plan d'adressage IP = plan IP;
- Liste des VLAN;
- signatures ( description)interfaces;
- liste des appareils (pour chacun vous devez indiquer : le modèle du matériel, version installée IOS, volume RAM\NVRAM, liste des interfaces) ;
- des marques sur les câbles (d'où ils viennent et où ils vont), y compris sur les câbles et appareils d'alimentation et de mise à la terre ;
- un règlement unique définissant tous les paramètres ci-dessus et autres.
Ce que nous surveillerons dans le programme du simulateur est mis en évidence en gras. Bien entendu, toutes les modifications du réseau doivent être incluses dans la documentation et la configuration afin qu'elles soient à jour.
Lorsque nous parlons d'étiquettes/autocollants sur les câbles, nous entendons ceci :
Cette photo montre clairement que chaque câble est marqué, la signification de chaque machine sur le panneau du rack, ainsi que chaque appareil.
Nous préparerons les documents dont nous avons besoin :
Liste des VLAN
Chaque groupe sera attribué à un VLAN distinct. De cette façon, nous limiterons les domaines de diffusion. Nous introduirons également un VLAN spécial pour la gestion des appareils. Les numéros de VLAN 4 à 100 sont réservés pour une utilisation future.
Forfait IP
L'attribution des sous-réseaux est généralement arbitraire, correspondant uniquement au nombre de nœuds dans ce réseau local en tenant compte d'une éventuelle croissance. Dans cet exemple, tous les sous-réseaux ont un masque /24 standard (/24=255.255.255.0) - ceux-ci sont souvent utilisés dans les réseaux locaux, mais pas toujours. Nous vous recommandons de lire sur les classes en réseau. À l'avenir, nous nous tournerons vers l'adressage sans classe (cisco). Nous comprenons que les liens vers des articles techniques sur Wikipédia sont de mauvaises manières, mais ils donnent une bonne définition, et nous essaierons à notre tour de transférer cela à l'image du monde réel.
Par réseau point à point, nous entendons connecter un routeur à un autre en mode point à point. Habituellement, des adresses avec un masque de 30 sont prises (revenant au sujet des réseaux sans classe), c'est-à-dire contenant deux adresses de nœuds. Plus tard, nous comprendrons clairement de quoi nous parlons.
| Adresse IP | Note | VLAN |
|---|---|---|
| 172.16.0.0/16 | ||
| 172.16.0.0/24 | Batterie de serveurs | 3 |
| 172.16.0.1 | Porte | |
| 172.16.0.2 | Internet | |
| 172.16.0.3 | Déposer | |
| 172.16.0.4 | ||
| 172.16.0.5 — 172.16.0.254 | Réservé | |
| 172.16.1.0/24 | Contrôle | 2 |
| 172.16.1.1 | Porte | |
| 172.16.1.2 | msk-arbat-dsw1 | |
| 172.16.1.3 | msk-arbat-asw1 | |
| 172.16.1.4 | msk-arbat-asw2 | |
| 172.16.1.5 | msk-arbat-asw3 | |
| 172.16.1.6 | msk-rubl-aswl | |
| 172.16.1.6 — 172.16.1.254 | Réservé | |
| 172.16.2.0/24 | Réseau point à point | |
| 172.16.2.1 | Porte | |
| 172.16.2.2 — 172.16.2.254 | Réservé | |
| 172.16.3.0/24 | VÉTÉRINAIRE | 101 |
| 172.16.3.1 | Porte | |
| 172.16.3.2 — 172.16.3.254 | Piscine pour les utilisateurs | |
| 172.16.4.0/24 | FÉO | 102 |
| 172.16.4.1 | Porte | |
| 172.16.4.2 — 172.16.4.254 | Piscine pour les utilisateurs | |
| 172.16.5.0/24 | Comptabilité | 103 |
| 172.16.5.1 | Porte | |
| 172.16.5.2 — 172.16.5.254 | Piscine pour les utilisateurs | |
| 172.16.6.0/24 | Autres utilisateurs | 104 |
| 172.16.6.1 | Porte | |
| 172.16.6.2 — 172.16.6.254 | Piscine pour les utilisateurs |
Plan de raccordement des équipements par ports
Bien sûr, il existe maintenant des commutateurs avec un tas de ports Ethernet 1 Go, il existe des commutateurs avec 10 Go, il y a 40 Go sur du matériel opérateur avancé qui coûte plusieurs milliers de dollars, 100 Go sont en développement (et selon les rumeurs, il existe même de telles cartes qui sont entrés en production industrielle). En conséquence, vous pouvez choisir monde réel des switchs et routeurs selon vos besoins, sans oublier votre budget. En particulier, un commutateur Gigabit peut désormais être acheté à moindre coût (20 à 30 000) et ceci avec une réserve pour l'avenir (si vous n'êtes pas fournisseur, bien sûr). Un routeur doté de ports Gigabit est déjà nettement plus cher qu'un routeur doté de ports 100 Mbps, mais cela en vaut la peine, car les modèles FE (FastEthernet 100 Mbps) sont obsolètes et leur débit est très faible.
Mais dans les programmes d'émulateur/simulateur que nous utiliserons, il n'y a malheureusement que des modèles matériels simples, donc lors de la modélisation du réseau, nous partirons de ce que nous avons : le routeur Cisco2811, les commutateurs Cisco2960 et 2950.
| Nom de l'appareil | Port | Nom | VLAN | |
|---|---|---|---|---|
| Accéder | Tronc | |||
| msk-arbat-gw1 | FE0/1 | Liaison montante | ||
| FE0/0 | msk-arbat-dsw1 | 2,3,101,102,103,104 | ||
| msk-arbat-dsw1 | FE0/24 | msk-arbat-gw1 | 2,3,101,102,103,104 | |
| GE1/1 | msk-arbat-asw1 | 2,3 | ||
| GE1/2 | msk-arbat-asw3 | 2,101,102,103,104 | ||
| FE0/1 | msk-rubl-asw1 | 2,101,104 | ||
| msk-arbat-asw1 | GE1/1 | msk-arbat-dsw1 | 2,3 | |
| GE1/2 | msk-arbat-asw2 | 2,3 | ||
| FE0/1 | Serveur Web | 3 | ||
| FE0/2 | Serveur de fichiers | 3 | ||
| msk-arbat-asw2 | GE1/1 | msk-arbat-asw1 | 2,3 | |
| FE0/1 | Serveur de messagerie | 3 | ||
| msk-arbat-asw3 | GE1/1 | msk-arbat-dsw1 | 2,101,102,103,104 | |
| FE0/1-FE0/5 | 101 | |||
| FE0/6-FE0/10 | FÉO | 102 | ||
| FE0/11-FE0/15 | Comptabilité | 103 | ||
| FE0/16-FE0/24 | Autre | 104 | ||
| msk-rubl-asw1 | FE0/24 | msk-arbat-dsw1 | 2,101,104 | |
| FE0/1-FE0/15 | 101 | |||
| FE0/20 | administrateur | 104 | ||
Nous expliquerons pourquoi les VLAN sont distribués de cette manière dans les parties suivantes.
Diagrammes de réseau
Sur la base de ces données, les trois schémas de réseau peuvent être élaborés à ce stade. Pour ce faire, vous pouvez utiliser Microsoft Visio, certains application gratuite, mais en référence à votre format, ou aux éditeurs graphiques (vous pouvez le faire à la main, mais il sera difficile de le maintenir à jour :)).
Pas par souci de propagande open source, mais par souci de variété de moyens, utilisons Dia. Je le considère comme l'un des meilleures applications pour travailler avec des circuits sous Linux. Il existe une version pour Windows, mais malheureusement, il n'y a pas de compatibilité dans Vizio.
L1
Autrement dit, sur le diagramme L1, nous reflétons les périphériques physiques du réseau avec les numéros de port : ce qui est connecté où.
L2
Sur le schéma L2 nous indiquons nos VLAN.
L3
Dans notre exemple, le schéma de troisième niveau s'est avéré assez inutile et peu clair, du fait de la présence d'un seul dispositif de routage. Mais avec le temps, il acquerra plus de détails.
Comme vous pouvez le constater, les informations contenues dans les documents sont redondantes. Par exemple, les numéros de VLAN sont répétés à la fois dans le diagramme et dans le plan de port. C’est comme si quelqu’un était bon dans quelque chose ici. Faites ce qui vous convient le mieux. Cette redondance rend difficile la mise à jour en cas de changement de configuration, car il faut la corriger à plusieurs endroits à la fois, mais d'un autre côté, elle facilite la compréhension.
Nous reviendrons plus d’une fois sur ce premier article dans le futur, tout comme vous devrez toujours revenir à ce que vous aviez initialement prévu. En fait, la tâche s'adresse à ceux qui commencent tout juste à apprendre et sont prêts à faire un effort : lisez beaucoup sur les vlans, l'adressage IP, trouvez les programmes Packet Tracer et GNS3. Quant aux connaissances théoriques fondamentales, nous vous conseillons de commencer par lire la presse Cisco. C'est quelque chose que vous devez absolument savoir. Dans la partie suivante, tout se passera comme un adulte, avec une vidéo, nous apprendrons comment se connecter à l'équipement, comprendre l'interface et vous dire quoi faire à un administrateur imprudent qui a oublié le mot de passe.
Article original :
Balises
CiscoVPN L2, OU ETHERNET DISTRIBUÉ La catégorie VPN L2 comprend une large gamme de services : de l'émulation de canaux point à point dédiés (E-Line) à l'organisation de connexions multipoints et à l'émulation des fonctions d'un commutateur Ethernet (E-LAN, VPLS) . Les technologies VPN L2 sont « transparentes » pour les protocoles de niveau supérieur, elles permettent donc la transmission, par exemple, du trafic IPv4 ou IPv6, quelle que soit la version du protocole IP utilisée par l'opérateur. Leur caractère « bas niveau » se manifeste également positivement dans les cas où il est nécessaire de transmettre du trafic SNA, NetBIOS, SPX/IPX. Cependant, aujourd’hui, dans la période d’« IPisation » générale, ces capacités sont de moins en moins requises. Un certain temps passera et la nouvelle génération de spécialistes des réseaux ne saura probablement pas du tout qu'il fut un temps où les protocoles NetWare OS et SPX/IPX « dominaient » les réseaux.
Les services VPN L2 sont généralement utilisés pour créer réseaux d'entreprise au sein d'une même ville (ou d'une ville et de ses environs immédiats), ce concept est donc souvent perçu presque comme un synonyme du terme Metro Ethernet. Ces services se caractérisent par des vitesses de canal élevées à des coûts de connexion inférieurs (par rapport au VPN L3). Les avantages du VPN L2 sont également la prise en charge de tailles de trame plus grandes (trames jumbo), la relative simplicité et le faible coût de l'équipement client installé à la frontière avec le fournisseur (L2).
La popularité croissante des services VPN L2 est en grande partie due aux besoins des centres de données tolérants aux pannes et géographiquement répartis : pour les « voyages » machines virtuelles nécessite une connexion directe entre les nœuds au niveau L2. De tels services vous permettent essentiellement d’étendre le domaine L2. Ce sont des solutions bien établies, mais qui nécessitent souvent une configuration complexe. En particulier, lors de la connexion d'un centre de données au réseau du fournisseur de services en plusieurs points - et ceci est hautement souhaitable pour augmenter la tolérance aux pannes - il est nécessaire d'utiliser des mécanismes supplémentaires pour assurer une charge optimale des connexions et éliminer l'apparition de « boucles de commutation ».
Il existe également des solutions conçues spécifiquement pour interconnecter les réseaux des centres de données au niveau L2, par exemple la technologie Overlay Transport Virtualization (OTV) implémentée dans les commutateurs Cisco Nexus. Il fonctionne au-dessus des réseaux IP, en utilisant tous les avantages du routage au niveau L3 : bonne scalabilité, haute tolérance aux pannes, connexion en plusieurs points, transmission du trafic sur plusieurs chemins, etc. (pour plus de détails, voir l'article de l'auteur « On interdata center backbones" dans le numéro de novembre de "Networking Magazine" solutions/LAN" pour 2010).
VPN L2 OU L3
Si, dans le cas de l'achat de services VPN L2, l'entreprise elle-même doit s'occuper du routage du trafic entre ses nœuds, alors dans les systèmes VPN L3, cette tâche est résolue par le fournisseur de services. L’objectif principal du VPN L3 est de connecter des sites situés dans différentes villes, très éloignés les uns des autres. Ces services ont généralement des coûts de connexion plus élevés (puisqu'ils impliquent un routeur plutôt qu'un commutateur), des frais de location élevés et une faible bande passante (généralement jusqu'à 2 Mbps). Le prix peut augmenter considérablement en fonction de la distance entre les points de connexion.
Un avantage important du VPN L3 est sa prise en charge des fonctions de QoS et d'ingénierie du trafic, qui vous permet de garantir le niveau de qualité requis pour les services de téléphonie IP et de vidéoconférence. Leurs inconvénients sont qu'ils ne sont pas transparents pour les services Ethernet, ne prennent pas en charge des tailles de trame Ethernet plus grandes et sont plus chers que les services Metro Ethernet.
Notez que la technologie MPLS peut être utilisée pour organiser les VPN L2 et L3. Le niveau d'un service VPN n'est pas déterminé par le niveau de technologie utilisé (le MPLS est généralement difficile à attribuer à un niveau spécifique du modèle OSI ; il s'agit plutôt de la technologie L2.5), mais par les « propriétés du consommateur » : si le réseau de l'opérateur achemine le trafic client, alors il s'agit de L3, s'il émule les connexions de couche liaison (ou les fonctions de commutateur Ethernet) - L2. Dans le même temps, d'autres technologies peuvent être utilisées pour former un VPN L2, par exemple le pontage de fournisseur 802.1ad ou les ponts de dorsale de fournisseur 802.1ah.
Les solutions 802.1ad Provider Bridging, également connues sous de nombreux autres noms (vMAN, Q-in-Q, Tag Stacking, VLAN Stacking), permettent d'ajouter une deuxième balise VLAN 802.1Q à une trame Ethernet. Le fournisseur de services peut ignorer les balises VLAN internes, équipement installé client - les balises externes suffisent pour transférer le trafic. Cette technologie supprime la limitation de 4096 ID VLAN qui existe dans technologie classique Ethernet, qui augmente considérablement l'évolutivité des services. Les solutions PBB (Provider Backbone Bridges) 802.1ah impliquent l'ajout d'une deuxième adresse MAC à la trame, tandis que les adresses MAC de l'équipement final sont cachées aux commutateurs de base. PBB fournit jusqu'à 16 millions d'identifiants de service.
Coller les données RAW
VPN L2, OU ETHERNET DISTRIBUÉ La catégorie VPN L2 comprend une large gamme de services : de l'émulation de canaux point à point dédiés (E-Line) à l'organisation de connexions multipoints et à l'émulation des fonctions d'un commutateur Ethernet (E-LAN, VPLS) . Les technologies VPN L2 sont « transparentes » pour les protocoles de niveau supérieur, elles permettent donc la transmission, par exemple, du trafic IPv4 ou IPv6, quelle que soit la version du protocole IP utilisée par l'opérateur. Leur caractère « bas niveau » se manifeste également positivement dans les cas où il est nécessaire de transmettre du trafic SNA, NetBIOS, SPX/IPX. Cependant, aujourd’hui, dans la période d’« IPisation » générale, ces capacités sont de moins en moins requises. Un certain temps passera et la nouvelle génération de spécialistes des réseaux ne saura probablement pas du tout qu'il fut un temps où les protocoles NetWare OS et SPX/IPX « dominaient » les réseaux. Les services VPN L2 sont généralement utilisés pour construire des réseaux d'entreprise au sein d'une ville (ou d'une ville et de ses environs immédiats), ce concept est donc souvent perçu presque comme synonyme du terme Metro Ethernet. Ces services se caractérisent par des vitesses de canal élevées à des coûts de connexion inférieurs (par rapport au VPN L3). Les avantages du VPN L2 sont également la prise en charge de tailles de trame plus grandes (trames jumbo), la relative simplicité et le faible coût de l'équipement client installé à la frontière avec le fournisseur (L2). La popularité croissante des services VPN L2 est en grande partie due aux besoins des centres de données tolérants aux pannes et géographiquement répartis : pour que les machines virtuelles « voyagent », une connexion directe entre les nœuds au niveau L2 est nécessaire. De tels services vous permettent essentiellement d’étendre le domaine L2. Ce sont des solutions bien établies, mais qui nécessitent souvent une configuration complexe. En particulier, lors de la connexion d'un centre de données au réseau d'un fournisseur de services en plusieurs points - et cela est hautement souhaitable pour augmenter la tolérance aux pannes - il est nécessaire d'utiliser des mécanismes supplémentaires pour assurer une charge optimale des connexions et éliminer l'apparition de « boucles de commutation ». Il existe également des solutions conçues spécifiquement pour interconnecter les réseaux des centres de données au niveau L2, par exemple la technologie Overlay Transport Virtualization (OTV) implémentée dans les commutateurs Cisco Nexus. Il fonctionne au-dessus des réseaux IP, en utilisant tous les avantages du routage au niveau L3 : bonne scalabilité, haute tolérance aux pannes, connexion en plusieurs points, transmission du trafic sur plusieurs chemins, etc. (pour plus de détails, voir l'article de l'auteur « On interdata center backbones" dans le numéro de novembre de "Networking Magazine" solutions/LAN" pour 2010). VPN L2 OU L3 Si, dans le cas de l'achat de services VPN L2, une entreprise doit s'occuper du routage du trafic entre ses nœuds, alors dans les systèmes VPN L3, cette tâche est résolue par le fournisseur de services. L’objectif principal du VPN L3 est de connecter des sites situés dans différentes villes, très éloignés les uns des autres. Ces services ont généralement des coûts de connexion plus élevés (puisqu'ils impliquent un routeur plutôt qu'un commutateur), des frais de location élevés et une faible bande passante (généralement jusqu'à 2 Mbps). Le prix peut augmenter considérablement en fonction de la distance entre les points de connexion. Un avantage important du VPN L3 est sa prise en charge des fonctions de QoS et d'ingénierie du trafic, qui vous permet de garantir le niveau de qualité requis pour les services de téléphonie IP et de vidéoconférence. Leurs inconvénients sont qu'ils ne sont pas transparents pour les services Ethernet, ne prennent pas en charge des tailles de trame Ethernet plus grandes et sont plus chers que les services Metro Ethernet. Notez que la technologie MPLS peut être utilisée pour organiser les VPN L2 et L3. Le niveau d'un service VPN n'est pas déterminé par le niveau de technologie utilisé (le MPLS est généralement difficile à attribuer à un niveau spécifique du modèle OSI ; il s'agit plutôt de la technologie L2.5), mais par les « propriétés du consommateur » : si le réseau de l'opérateur achemine le trafic client, alors il s'agit de L3, s'il émule les connexions au niveau lien (ou les fonctions d'un commutateur Ethernet) - L2. Dans le même temps, d'autres technologies peuvent être utilisées pour former un VPN L2, par exemple le pontage de fournisseur 802.1ad ou les ponts de dorsale de fournisseur 802.1ah. Les solutions 802.1ad Provider Bridging, également connues sous de nombreux autres noms (vMAN, Q-in-Q, Tag Stacking, VLAN Stacking), permettent d'ajouter une deuxième balise VLAN 802.1Q à une trame Ethernet. Le fournisseur de services peut ignorer les balises VLAN internes définies par l'équipement du client ; les balises externes sont suffisantes pour transférer le trafic. Cette technologie supprime la limitation des 4096 VLAN ID que l'on retrouve dans la technologie Ethernet classique, ce qui augmente considérablement l'évolutivité des services. Les solutions PBB (Provider Backbone Bridges) 802.1ah impliquent l'ajout d'une deuxième adresse MAC à la trame, tandis que les adresses MAC de l'équipement final sont cachées aux commutateurs de base. PBB fournit jusqu'à 16 millions d'identifiants de service.
Souvent, lorsque vous choisissez un périphérique réseau spécifique pour votre réseau, vous entendrez des expressions telles que « commutateur L2 » ou « périphérique L3 ».
Dans ce cas, nous parlons de niveaux en modèle de réseau OSI.
Un appareil de niveau L1 est un appareil qui fonctionne au niveau physique ; en principe, ils ne « comprennent » rien aux données qu'ils transmettent et fonctionnent au niveau des signaux électriques - le signal est arrivé, il est transmis plus loin. Ces dispositifs comprennent ce que l'on appelle les « hubs », qui étaient populaires à l'aube des réseaux Ethernet, ainsi qu'une grande variété de répéteurs. Les appareils de ce type sont généralement appelés hubs.
Les appareils L2 fonctionnent au niveau de la couche liaison de données et effectuent un adressage physique. Le travail à ce niveau se fait avec des cadres, ou comme on les appelle parfois « cadres ». À ce niveau, il n'y a pas d'adresses IP ; l'appareil identifie le destinataire et l'expéditeur uniquement par l'adresse MAC et transmet des trames entre eux. De tels dispositifs sont généralement appelés interrupteurs, précisant parfois qu'il s'agit d'un « interrupteur de niveau L2 ».
Les appareils de niveau L3 fonctionnent au niveau de la couche réseau, qui est conçue pour déterminer le chemin de transmission des données, comprendre les adresses IP des appareils et déterminer les itinéraires les plus courts. Les appareils à ce niveau sont responsables de l'installation différents types connexions (PPPoE et similaires). Ces appareils sont généralement appelés routeurs, bien qu'ils soient aussi souvent appelés « commutateur L3 ».
Les appareils de niveau L4 sont chargés d’assurer la fiabilité de la transmission des données. Il s'agit, disons, de commutateurs « avancés » qui, sur la base des informations provenant des en-têtes de paquets, comprennent que le trafic appartient à différentes applications et peuvent prendre des décisions concernant la redirection de ce trafic en fonction de ces informations. Le nom de ces dispositifs n'a pas été établi ; ils sont parfois appelés « commutateurs intelligents » ou « commutateurs L4 ».
Nouvelles
La société 1C informe de la séparation technique des versions PROF et CORP de la plateforme 1C:Enterprise 8 (avec protection supplémentaire pour les licences de niveau CORP) et de l'introduction d'un certain nombre de restrictions sur l'utilisation des licences de niveau PROF à partir du 11/02/ 2019.
Cependant, une source du Service fédéral des impôts a expliqué à RBC que la décision du fisc ne devrait pas être qualifiée de sursis. Mais si un entrepreneur n'a pas le temps de mettre à jour la caisse enregistreuse et, à partir du 1er janvier, continue d'émettre des chèques avec une TVA de 18 %, tout en reflétant le taux correct de 20 % dans le reporting, le service des impôts ne considérera pas cela comme une infraction. , a-t-il confirmé.
Commutateur L3 Il ne peut effectuer que du routage IP pur - il ne connaît pas le NAT, la feuille de route ou la forme du trafic, ni le comptage du trafic. Les commutateurs ne sont pas capables de fonctionner avec des tunnels VPN (VPN de site à site, VPN d'accès à distance, DMVPN), ne peuvent pas crypter le trafic ni exécuter de fonctions de pare-feu complet et ne peuvent pas être utilisés comme serveur de téléphonie (PBX numérique).
Le principal avantage d'un commutateur de couche 3 est le routage rapide du trafic des différents segments L3 les uns vers les autres, il s'agit le plus souvent d'un trafic interne sans accès à Internet. .
Le routeur vous fournira un accès Internet. NAT est également configuré sur le routeur.
Routage grande quantité les réseaux locaux sont presque impossibles sur un routeur ; il existe une forte probabilité de dégradation du service lors de l'utilisation de la QoS, de l'ACL NBAR et d'autres fonctions conduisant à l'analyse du trafic arrivant aux interfaces. Très probablement, les problèmes commenceront lorsque la vitesse du trafic local dépassera 100 Mbit/s (selon le modèle d'un routeur particulier). Le commutateur, au contraire, peut facilement faire face à cette tâche.
La raison principale est que le commutateur achemine le trafic en fonction des tables CEF.
Transfert Cisco Express (CEF) est une technologie de routage/commutation de paquets à grande vitesse utilisée dans les routeurs et les commutateurs de troisième niveau de Cisco Systems, qui permet un traitement plus rapide et plus efficace du trafic de transit.
Un routeur peut également utiliser CEF, mais si vous utilisez des fonctions sur le routeur qui conduisent à l'analyse de tout le trafic, alors le trafic passera par le processeur. Comparez dans le tableau des performances du routeur donné au tout début les performances du routeur avec la « commutation Fast\CEF » (à l'aide de tableaux) et celles avec la « commutation de processus » (la décision de routage est prise par le processeur).
En résumé, un routeur diffère d'un commutateur L3 dans le sens où il peut gérer le trafic de manière très flexible, mais a des performances relativement faibles lorsqu'il fonctionne au sein d'un réseau local. Commutateur L3 au contraire, il a des performances élevées, mais ne peut ni influencer ni traiter le trafic.
On peut dire des commutateurs L2 qu'ils sont utilisés uniquement au niveau de l'accès, assurant la connexion à l'utilisateur final (pas à l'équipement réseau)
Quand utiliser les commutateurs L2 et quand utiliser les commutateurs L3 ?
Dans une petite succursale pouvant accueillir jusqu'à 10 personnes, il suffit d'installer un routeur avec un commutateur intégré (série 800) ou un module d'extension ESW installé (séries 1800, 1900) ou ESG.
Dans un bureau de 50 personnes, vous pouvez installer un routeur de moyenne performance et un commutateur L2 à 48 ports (éventuellement deux à 24 ports).
Dans une succursale pouvant accueillir jusqu'à 200 personnes, nous utiliserons un routeur et plusieurs commutateurs de deuxième niveau. Il est important de comprendre que si vous avez divisé le réseau en segments au niveau de l'adresse IP en plusieurs sous-réseaux et que vous effectuez un routage entre les réseaux sur le routeur, vous aurez certainement une charge CPU élevée, ce qui entraînera un manque de performances et finira par -Plaintes des utilisateurs concernant les pertes de paquets. Si la plupart des utilisateurs communiquent uniquement avec des ordinateurs, des serveurs, des imprimantes et autres périphériques réseau uniquement au sein de leur segment L3, et quittent cet espace d'adressage uniquement pour accéder à Internet, alors cette conception de réseau sera satisfaisante. Lorsque le réseau s'étend, le nombre de départements au sein desquels le trafic ne doit pas sortir de ce département, si différents départements (dans notre cas, il s'agit de sous-réseaux ou de segments de réseau) sont obligés d'échanger des données entre eux, alors les performances du routeur seront ne suffit plus.
Dans un bureau aussi grand (plus de 200 employés), l’achat d’un commutateur de couche 3 hautes performances devient obligatoire. Ses tâches consisteront notamment à prendre en charge toutes les « passerelles par défaut » des segments locaux. La communication entre ce switch et les hôtes se fera via des interfaces réseau logiques (interface VLAN ou SVI). Le routeur n'aura que deux connexions : à Internet et à votre Commutateur L3. Les utilisateurs devront se connecter via Commutateurs L2, connecté en étoile ou en anneau au commutateur L3 à l'aide de connexions Gigabit, nous aurons donc besoin d'un commutateur L3 avec des ports Gigabit. Ainsi, le centre du réseau sera juste Commutateur L3, qui sera responsable simultanément des fonctions de base et de distribution, des commutateurs L2 au niveau de l'accès et un routeur comme passerelle pour se connecter à Internet ou pour communiquer avec des bureaux distants via des tunnels.
Dans les très GRANDS réseaux de campus comptant plus de 500 personnes et ayant des exigences élevées en matière de performances et de fonctionnalités, il peut être nécessaire d'installer des commutateurs L3 même au niveau d'accès pour connecter les utilisateurs. Cela peut être dû aux raisons suivantes :
Performances insuffisantes des commutateurs L2 (surtout avec les ports Gigabit et lorsqu'ils sont utilisés comme fermes de serveurs)
Nombre insuffisant de VLAN actifs pris en charge (255 contre 1 000 pour L3)
Manque de fonctionnalité QnQ
Nombre insuffisant d'entrées ACL prises en charge (pour 2960 - 512, pour 3560 - 2000)
Capacités limitées pour travailler avec des multidiffusions
Capacités QoS insuffisantes sur les commutateurs L2
Architecture réseau "accès L3" - c'est-à-dire Les points de routage des sous-réseaux locaux sont amenés au niveau d'accès, et les routes déjà résumées sont envoyées jusqu'au niveau de distribution...
Manque de L2 et STP au niveau de la distribution.
Une vulnérabilité (CVE-2019-18634) a été identifiée dans l'utilitaire sudo, qui permet d'organiser l'exécution de commandes pour le compte d'autres utilisateurs, ce qui vous permet d'augmenter vos privilèges dans le système. Problème […]
La version de WordPress 5.3 améliore et étend l'éditeur de blocs introduit dans WordPress 5.0 avec un nouveau bloc, une interaction plus intuitive et une accessibilité améliorée. Nouvelles fonctionnalités dans l'éditeur […]
Après neuf mois de développement, est disponible le package multimédia FFmpeg 4.2, qui comprend un ensemble d'applications et une collection de bibliothèques pour les opérations sur différents formats multimédia (enregistrement, conversion et […]
Linux Mint 19.2 est une version de support à long terme qui sera prise en charge jusqu'en 2023. Il est livré avec une mise à jour logiciel et contient des améliorations et de nombreuses nouvelles […]
La sortie du kit de distribution Linux Mint 19.2 a été présentée, la deuxième mise à jour de la branche Linux Mint 19.x, formée sur le batch Basé sur Ubuntu 18.04 LTS et pris en charge jusqu'en 2023. La distribution est entièrement compatible [...]
De nouvelles versions du service BIND sont disponibles et contiennent des corrections de bugs et des améliorations de fonctionnalités. Les nouvelles versions peuvent être téléchargées à partir de la page de téléchargement du site Web du développeur : […]
Exim est un agent de transfert de messages (MTA) développé à l'Université de Cambridge pour être utilisé sur les systèmes Unix connectés à Internet. Il est disponible gratuitement conformément aux [...]
Après presque deux ans de développement, la sortie de ZFS sur Linux 0.8.0 est présentée, mise en œuvre système de fichiers ZFS, conditionné sous forme de module pour le noyau Linux. Le fonctionnement du module a été testé avec Noyaux Linux du 2.6.32 au […]
L'IETF (Internet Engineering Task Force), qui développe des protocoles et une architecture Internet, a réalisé une RFC pour le protocole ACME (Automatic Certificate Management Environment) […]
L'autorité de certification à but non lucratif Let's Encrypt, contrôlée par la communauté et fournissant des certificats gratuitement à tous, a résumé les résultats de l'année écoulée et a parlé de ses projets pour 2019. […]
