Kuo skiriasi jungikliai l2 ir l3. Ryšio kanalai L2 ir L3 VPN – Skirtumai tarp skirtingų lygių fizinių ir virtualių kanalų
Tai pirmasis straipsnis iš serijos „Tinklai mažiesiems“. Su Maximu aka Glucku ilgai galvojome, nuo ko pradėti: maršrutą, VLAN, įrangos konfigūraciją. Galiausiai nusprendėme pradėti nuo pagrindinio ir, galima sakyti, svarbiausio dalyko: planavimo sukurtas visiškai pradedantiesiems, nueisime nuo pradžios iki pabaigos.
Daroma prielaida, kad bent jau skaitėte apie etaloninis modelis OSI, apie TCP/IP protokolų krūvą, žinote apie esamų VLAN tipus, apie populiariausią dabar prievadu pagrįstą VLAN ir apie IP adresus. Suprantame, kad „OSI“ ir „TCP/IP“ yra baisūs žodžiai naujokams. Bet nesijaudinkite, mes nenaudojame jų tam, kad jus gąsdintume. Tai dalykai, su kuriais teks susidurti kiekvieną dieną, todėl šios serijos metu bandysime atskleisti jų prasmę ir santykį su tikrove.
Pradėkime nuo problemos apibūdinimo. Yra tam tikra įmonė, užsiimanti, pavyzdžiui, liftų, kurie kyla tik aukštyn, gamyba, todėl vadinasi „Lift My Up LLC“. Jie yra sename Arbato pastate, o supuvę laidai, įstrigę į perdegusius ir perdegusius 10Base-T eros jungiklius, nelaukia naujų serverių prijungimo per gigabitines korteles. Taigi, jiems katastrofiškai reikia tinklo infrastruktūros, o pinigų trūksta, o tai suteikia jums galimybę turėti neribotą pasirinkimą. Tai kiekvieno inžinieriaus svajonė. Vakar praėjote pokalbį ir po sunkios kovos teisėtai gavote tinklo administratoriaus pareigas. Ir dabar jūs esate pirmas ir vienintelis savo rūšies atstovas. Sveikiname! Kas toliau?
Situacija turi būti šiek tiek konkretesnė:
- IN šiuo metuįmonė turi du biurus: 200 kvadratinių metrų Arbate darbo patalpoms ir serverių patalpai. Ten atstovauja keli tiekėjai. Kitas yra ant Rubliovkos.
- Yra keturios vartotojų grupės: buhalterija (B), finansų ir ekonomikos skyrius (FED), gamybos ir techninis skyrius (PTO), kiti vartotojai (D). Taip pat yra serverių (C), kurie yra atskiroje grupėje. Visos grupės yra atskirtos ir neturi tiesioginės prieigos viena prie kitos.
- C, B ir FEO grupių naudotojai bus tik Arbato biure, PTO ir D – abiejuose biuruose.
Įvertinę vartotojų skaičių, reikalingas sąsajas ir komunikacijos kanalus, parengiate tinklo schemą ir IP planą.
Kurdami tinklą, turėtumėte pabandyti laikytis hierarchinio tinklo modelio, kuris turi daug privalumų, palyginti su „plokščiu tinklu“:
- supaprastina tinklo organizavimo supratimą
- modelis reiškia moduliškumą, o tai reiškia, kad nesunku padidinti pajėgumus būtent ten, kur reikia
- lengviau rasti ir išskirti problemą
- padidėjęs atsparumas gedimams dėl įrenginių ir (arba) jungčių dubliavimo
- funkcijų paskirstymas, siekiant užtikrinti tinklo funkcionalumą įvairiuose įrenginiuose.
Pagal šį modelį tinklas yra padalintas į tris logikos lygis: tinklo šerdis(Pagrindinis sluoksnis: didelio našumo įrenginiai, pagrindinis tikslas yra greitas transportavimas), paplitimo rodiklis(Platinimo sluoksnis: užtikrina saugumo politiką, QoS, VLAN agregavimą ir maršruto parinkimą, apibrėžia transliavimo domenus) ir prieigos lygis(Prieigos sluoksnis: paprastai L2 jungikliai, paskirtis: prijungimas galiniai įrenginiai, eismo ženklinimas QoS, apsauga nuo tinklo skambučių (STP) ir transliacijos audrų, energijos tiekimas PoE įrenginiams).
Tokio masto, kaip mūsų, kiekvieno įrenginio vaidmuo yra neryškus, tačiau tinklą galima logiškai padalyti.
Padarykime apytikslę diagramą:
Pateiktoje diagramoje Core bus maršrutizatorius 2811, jungiklis 2960 bus priskirtas paskirstymo lygiui, nes jis sujungia visus VLAN į bendrą kamieną. 2950 jungikliai bus prieigos įrenginiai. Prie jų prisijungs galutiniai vartotojai, biuro įranga ir serveriai.
Įrenginius pavadinsime taip: sutrumpintas miesto pavadinimas ( msk) — geografinė padėtis (gatvė, pastatas) ( arbat) — įrenginio vaidmuo tinkle + eilės numeris.
Atrenkame juos pagal jų vaidmenis ir vietą pagrindinio kompiuterio pavadinimas:
- 2811 maršrutizatorius: msk-arbat-gw1(gw=GateWay=vartai);
- jungiklis 2960: msk-arbat-dsw1(dsw=Paskirstymo jungiklis);
- 2950 jungikliai: msk-arbat-aswN, msk-rubl-asw1(asw = Prieigos jungiklis).
Tinklo dokumentacija
Visas tinklas turi būti griežtai dokumentuotas: nuo schematinė schema, į sąsajos pavadinimą.
Prieš pradedant sąranką, norėčiau pateikti reikalingų dokumentų ir veiksmų sąrašą:
- tinklo diagramos L1, L2, L3 pagal OSI modelio lygius (fizinis, kanalas, tinklas);
- IP adresavimo planas = IP planas;
- VLAN sąrašas;
- parašai ( aprašymas) sąsajos;
- įrenginių sąrašas (kiekvienam turėtumėte nurodyti: aparatinės įrangos modelį, įdiegta versija IOS, RAM\NVRAM apimtis, sąsajų sąrašas);
- žymės ant kabelių (iš kur jis ateina ir kur eina), įskaitant maitinimo ir įžeminimo kabelius ir įrenginius;
- vienas reglamentas, apibrėžiantis visus minėtus parametrus ir kitus.
Tai, ką stebėsime simuliatoriaus programoje, paryškinta pusjuodžiu šriftu. Žinoma, visi tinklo pakeitimai turi būti įtraukti į dokumentaciją ir konfigūraciją, kad jie būtų atnaujinti.
Kai kalbame apie etiketes / lipdukus ant kabelių, turime omenyje tai:
Šioje nuotraukoje aiškiai matyti, kad kiekvienas kabelis yra pažymėtas, kiekvienos mašinos, esančios stovo skydelyje, reikšmė, taip pat kiekvienas įrenginys.
Paruošime reikalingus dokumentus:
VLAN sąrašas
Kiekviena grupė bus priskirta atskiram vlan. Tokiu būdu apribosime transliavimo domenus. Taip pat pristatysime specialų VLAN įrenginių valdymui. VLAN numeriai nuo 4 iki 100 yra rezervuoti naudoti ateityje.
IP planas
Potinklių paskirstymas paprastai yra savavališkas, atitinkantis tik mazgų skaičių vietinis tinklas atsižvelgiant į galimą augimą. Šiame pavyzdyje visi potinkliai turi standartinę /24 kaukę (/24=255.255.255.0) – jie dažnai naudojami vietiniuose tinkluose, bet ne visada. Rekomenduojame perskaityti apie tinklo klases. Ateityje pereisime prie beklasio adresavimo (cisco). Suprantame, kad nuorodos į techninius straipsnius Vikipedijoje yra blogos manieros, tačiau jos suteikia gerą apibrėžimą, ir mes, savo ruožtu, stengsimės tai perkelti į realaus pasaulio vaizdą.
„Taškas į tašką“ tinkle turime omenyje vieno maršrutizatoriaus prijungimą prie kito taško-taško režimu. Paprastai paimami adresai, kurių kaukė yra 30 (grįžtant prie beklasių tinklų temos), tai yra, kuriuose yra du mazgo adresai. Vėliau paaiškės, apie ką mes kalbame.
| IP adresas | Pastaba | VLAN |
|---|---|---|
| 172.16.0.0/16 | ||
| 172.16.0.0/24 | Serverių ferma | 3 |
| 172.16.0.1 | Vartai | |
| 172.16.0.2 | Žiniatinklis | |
| 172.16.0.3 | Failas | |
| 172.16.0.4 | paštas | |
| 172.16.0.5 — 172.16.0.254 | Rezervuota | |
| 172.16.1.0/24 | Kontrolė | 2 |
| 172.16.1.1 | Vartai | |
| 172.16.1.2 | msk-arbat-dsw1 | |
| 172.16.1.3 | msk-arbat-asw1 | |
| 172.16.1.4 | msk-arbat-asw2 | |
| 172.16.1.5 | msk-arbat-asw3 | |
| 172.16.1.6 | msk-rubl-aswl | |
| 172.16.1.6 — 172.16.1.254 | Rezervuota | |
| 172.16.2.0/24 | Tinklas nuo taško iki taško | |
| 172.16.2.1 | Vartai | |
| 172.16.2.2 — 172.16.2.254 | Rezervuota | |
| 172.16.3.0/24 | VET | 101 |
| 172.16.3.1 | Vartai | |
| 172.16.3.2 — 172.16.3.254 | Baseinas vartotojams | |
| 172.16.4.0/24 | FEO | 102 |
| 172.16.4.1 | Vartai | |
| 172.16.4.2 — 172.16.4.254 | Baseinas vartotojams | |
| 172.16.5.0/24 | Apskaita | 103 |
| 172.16.5.1 | Vartai | |
| 172.16.5.2 — 172.16.5.254 | Baseinas vartotojams | |
| 172.16.6.0/24 | Kiti vartotojai | 104 |
| 172.16.6.1 | Vartai | |
| 172.16.6.2 — 172.16.6.254 | Baseinas vartotojams |
Įrangos prijungimo planas pagal uostus
Žinoma, dabar yra komutatorių su krūva 1Gb Ethernet prievadų, yra jungiklių su 10G, yra 40Gb pažangioje operatoriaus aparatūroje, kainuojančioje daugybę tūkstančių dolerių, 100Gb yra kuriama (o, pasak gandų, yra net tokių plokščių kurie pradėjo pramoninę gamybą). Atitinkamai, galite pasirinkti realus pasaulis jungikliai ir maršrutizatoriai pagal jūsų poreikius, nepamirštant savo biudžeto. Visų pirma, gigabitinį jungiklį dabar galima nusipirkti nebrangiai (20–30 tūkst.) ir tai turint rezervą ateičiai (jei nesate tiekėjas, žinoma). Maršrutizatorius su gigabitiniais prievadais jau yra žymiai brangesnis nei turintis 100Mbps prievadus, bet verta, nes FE modeliai (100Mbps FastEthernet) yra pasenę ir jų pralaidumas labai mažas.
Bet emuliatoriaus/simuliatoriaus programose, kurias naudosime, deja, yra tik paprasti aparatūros modeliai, todėl modeliuodami tinklą pradėsime nuo to, ką turime: Cisco2811 maršrutizatoriaus, Cisco2960 ir 2950 jungiklių.
| Įrenginio pavadinimas | Uostas | Vardas | VLAN | |
|---|---|---|---|---|
| Prieiga | Bagažinė | |||
| msk-arbat-gw1 | FE0/1 | UpLink | ||
| FE0/0 | msk-arbat-dsw1 | 2,3,101,102,103,104 | ||
| msk-arbat-dsw1 | FE0/24 | msk-arbat-gw1 | 2,3,101,102,103,104 | |
| GE1/1 | msk-arbat-asw1 | 2,3 | ||
| GE1/2 | msk-arbat-asw3 | 2,101,102,103,104 | ||
| FE0/1 | msk-rubl-asw1 | 2,101,104 | ||
| msk-arbat-asw1 | GE1/1 | msk-arbat-dsw1 | 2,3 | |
| GE1/2 | msk-arbat-asw2 | 2,3 | ||
| FE0/1 | Interneto serveris | 3 | ||
| FE0/2 | Failų serveris | 3 | ||
| msk-arbat-asw2 | GE1/1 | msk-arbat-asw1 | 2,3 | |
| FE0/1 | Pašto serveris | 3 | ||
| msk-arbat-asw3 | GE1/1 | msk-arbat-dsw1 | 2,101,102,103,104 | |
| FE0/1-FE0/5 | GTV | 101 | ||
| FE0/6-FE0/10 | FEO | 102 | ||
| FE0/11-FE0/15 | Apskaita | 103 | ||
| FE0/16-FE0/24 | Kita | 104 | ||
| msk-rubl-asw1 | FE0/24 | msk-arbat-dsw1 | 2,101,104 | |
| FE0/1-FE0/15 | GTV | 101 | ||
| FE0/20 | administratorius | 104 | ||
Kodėl VLAN platinami tokiu būdu, paaiškinsime tolesnėse dalyse.
Tinklo diagramos
Remiantis šiais duomenimis, šiame etape galima sudaryti visas tris tinklo diagramas. Norėdami tai padaryti, galite naudoti kai kuriuos Microsoft Visio nemokama programa, bet atsižvelgiant į jūsų formatą arba grafinius redaktorius (galite tai padaryti ranka, bet bus sunku jį atnaujinti :)).
Ne dėl atvirojo kodo propagandos, o dėl priemonių įvairovės, naudokimės Dia. Laikau jį vienu iš geriausios programos darbui su grandinėmis Linux sistemoje. Yra „Windows“ versija, bet, deja, „Vizio“ nėra suderinamumo.
L1
Tai yra, L1 diagramoje mes atspindime fizinius tinklo įrenginius su prievadų numeriais: kas kur prijungtas.
L2
L2 diagramoje nurodome savo VLAN.
L3
Mūsų pavyzdyje trečiojo lygio diagrama pasirodė gana nenaudinga ir nelabai aiški, nes buvo tik vienas maršruto parinkimo įrenginys. Tačiau laikui bėgant jis įgis daugiau informacijos.
Kaip matote, dokumentuose esanti informacija yra perteklinė. Pavyzdžiui, VLAN numeriai kartojasi ir diagramoje, ir prievado plane. Lyg kažkam čia kažkas gerai. Darykite tai, kas jums patogiau. Šis perteklius apsunkina atnaujinimą, jei pasikeičia konfigūracija, nes reikia taisyti keliose vietose vienu metu, tačiau, kita vertus, tai palengvina supratimą.
Ateityje prie šio pirmojo straipsnio grįšime dar ne kartą, kaip ir visada teks grįžti prie to, ką planavote iš pradžių. Tiesą sakant, užduotis skirta tiems, kurie tik pradeda mokytis ir yra pasirengę pasistengti: daug skaitykite apie vlan, IP adresus, susiraskite Packet Tracer ir GNS3 programas. Kalbant apie pagrindines teorines žinias, patariame pradėti skaityti „Cisco press“. Tai yra kažkas, ką jūs tikrai turite žinoti. Kitoje dalyje viskas bus kaip suaugusiam, su vaizdo įrašu išmoksime prisijungti prie įrangos, suprasime sąsają ir pasakysime, ką daryti neatsargiam slaptažodį pamiršusiam administratoriui.
Originalus straipsnis:
Žymos
CiscoL2 VPN ARBA PASKIRSTYTAS ETHERNETAS L2 VPN kategorija apima platų paslaugų spektrą: nuo dedikuotų tiesioginio taško kanalų emuliavimo (E-Line) iki kelių taškų jungčių organizavimo ir eterneto jungiklio funkcijų emuliavimo (E-LAN, VPLS). . L2 VPN technologijos yra „skaidrios“ aukštesnio lygio protokolams, todėl leidžia perduoti, pavyzdžiui, IPv4 ar IPv6 srautą, nepriklausomai nuo to, kokią IP protokolo versiją naudoja operatorius. Jų „žemo lygio“ pobūdis taip pat teigiamai atsiskleidžia tais atvejais, kai reikia perduoti SNA, NetBIOS, SPX/IPX srautą. Tačiau dabar, bendrojo „IP kūrimo“ laikotarpiu, šių galimybių reikia vis rečiau. Praeis šiek tiek laiko, o naujos kartos tinklo specialistai tikriausiai iš viso nežinos, kad buvo laikai, kai tinkluose „dominavo“ NetWare OS ir SPX/IPX protokolai.
L2 VPN paslaugos paprastai naudojamos kuriant įmonių tinklai tame pačiame mieste (arba mieste ir artimiausioje aplinkoje), todėl ši sąvoka dažnai suvokiama beveik kaip termino Metro Ethernet sinonimas. Tokios paslaugos pasižymi dideliu kanalų greičiu mažesnėmis (lyginant su L3 VPN) ryšio išlaidomis. L2 VPN pranašumai taip pat yra didesnių kadrų dydžių (didžiųjų kadrų) palaikymas, santykinis paprastumas ir maža kliento įrangos kaina, įdiegta pasienyje su teikėju (L2).
Didėjantį L2 VPN paslaugų populiarumą daugiausia lemia gedimams atsparių, geografiškai paskirstytų duomenų centrų poreikiai: „kelionėms“ virtualios mašinos reikalauja tiesioginio ryšio tarp mazgų L2 lygiu. Tokios paslaugos iš esmės leidžia išplėsti L2 domeną. Tai yra nusistovėję sprendimai, tačiau dažnai reikalaujama sudėtingos konfigūracijos. Visų pirma, jungiant duomenų centrą prie paslaugų teikėjo tinklo keliuose taškuose – o tai labai pageidautina siekiant padidinti atsparumą gedimams – būtina naudoti papildomus mechanizmus, kad būtų užtikrinta optimali jungčių apkrova ir išvengta „perjungimo kilpų“.
Taip pat yra sprendimų, sukurtų specialiai duomenų centrų tinklų sujungimui L2 lygiu, pavyzdžiui, „Cisco Nexus“ komutatoriuose įdiegta „Overlay Transport Virtualization“ (OTV) technologija. Jis veikia IP tinklų viršuje, naudodamas visus maršruto parinkimo L3 lygiu privalumus: gerą mastelį, aukštą atsparumą gedimams, ryšį keliuose taškuose, srauto perdavimą keliais keliais ir kt. (daugiau informacijos žr. autoriaus straipsnyje “ Apie tarpduomenų centrų magistrales“ 2010 m. lapkričio mėnesio „Networking Magazine“ sprendimai/LAN“ numeryje).
L2 ARBA L3 VPN
Jei perkant L2 VPN paslaugas pati įmonė turės pasirūpinti srauto nukreipimu tarp savo mazgų, tai L3 VPN sistemose šią užduotį sprendžia paslaugų teikėjas. Pagrindinis L3 VPN tikslas yra sujungti svetaines, esančias skirtinguose miestuose, dideliu atstumu viena nuo kitos. Šios paslaugos paprastai turi didesnes ryšio sąnaudas (nes jose naudojamas maršrutizatorius, o ne jungiklis), dideli nuomos mokesčiai ir mažas pralaidumas (paprastai iki 2 Mbps). Kaina gali gerokai padidėti priklausomai nuo atstumo tarp prisijungimo taškų.
Svarbus L3 VPN pranašumas yra QoS ir eismo inžinerijos funkcijų palaikymas, leidžiantis garantuoti reikiamą IP telefonijos ir vaizdo konferencijų paslaugų kokybės lygį. Jų trūkumas yra tas, kad jie nėra skaidrūs eterneto paslaugoms, nepalaiko didesnių Ethernet rėmelių dydžių ir yra brangesni nei Metro Ethernet paslaugos.
Atminkite, kad MPLS technologija gali būti naudojama tiek L2, tiek L3 VPN tvarkymui. VPN paslaugos lygį lemia ne jai naudojamos technologijos lygis (MPLS paprastai sunku priskirti kokiam nors konkrečiam OSI modelio lygiui; greičiau tai L2.5 technologija), o „vartotojo savybės“: jei operatoriaus tinklas nukreipia kliento srautą, tai yra L3, jei emuliuoja nuorodų sluoksnio ryšius (arba Ethernet komutatoriaus funkcijas) - L2. Tuo pačiu metu L2 VPN formavimui gali būti naudojamos kitos technologijos, pvz., 802.1ad Provider Bridging arba 802.1ah Provider Backbone Bridges.
802.1ad Provider Bridging sprendimai, taip pat žinomi daugeliu kitų pavadinimų (vMAN, Q-in-Q, Tag Stacking, VLAN Stacking), leidžia pridėti antrą 802.1Q VLAN žymą prie eterneto rėmo. Paslaugų teikėjas gali nepaisyti vidinių VLAN žymų, sumontuota įranga klientas – išorinių žymų pakanka srautui persiųsti. Ši technologija pašalina 4096 VLAN ID apribojimą, kuris egzistuoja klasikinė technologija Ethernet, kuris žymiai padidina paslaugų mastelį. „802.1ah Provider Backbone Bridges“ (PBB) sprendimai apima antrojo MAC adreso pridėjimą prie rėmo, o galutinio įrenginio MAC adresai yra paslėpti nuo pagrindinio tinklo jungiklių. PBB teikia iki 16 milijonų paslaugų identifikatorių.
RAW Įklijuoti duomenis
L2 VPN ARBA PASKIRSTYTAS ETHERNETAS L2 VPN kategorija apima platų paslaugų spektrą: nuo dedikuotų tiesioginio taško kanalų emuliavimo (E-Line) iki kelių taškų jungčių organizavimo ir eterneto jungiklio funkcijų emuliavimo (E-LAN, VPLS). . L2 VPN technologijos yra „skaidrios“ aukštesnio lygio protokolams, todėl leidžia perduoti, pavyzdžiui, IPv4 ar IPv6 srautą, nepriklausomai nuo to, kokią IP protokolo versiją naudoja operatorius. Jų „žemo lygio“ pobūdis taip pat teigiamai atsiskleidžia tais atvejais, kai reikia perduoti SNA, NetBIOS, SPX/IPX srautą. Tačiau dabar, bendrojo „IP kūrimo“ laikotarpiu, šių galimybių reikia vis rečiau. Praeis šiek tiek laiko, o naujos kartos tinklo specialistai tikriausiai iš viso nežinos, kad buvo laikai, kai tinkluose „dominavo“ NetWare OS ir SPX/IPX protokolai. L2 VPN paslaugos paprastai naudojamos kuriant įmonių tinklus viename mieste (arba mieste ir jo apylinkėse), todėl ši sąvoka dažnai suvokiama beveik kaip termino Metro Ethernet sinonimas. Tokios paslaugos pasižymi dideliu kanalų greičiu mažesnėmis (lyginant su L3 VPN) ryšio išlaidomis. L2 VPN pranašumai taip pat yra didesnių kadrų dydžių (didžiųjų kadrų) palaikymas, santykinis paprastumas ir maža kliento įrangos kaina, įdiegta pasienyje su teikėju (L2). Augantį L2 VPN paslaugų populiarumą daugiausia lemia gedimams atsparių, geografiškai paskirstytų duomenų centrų poreikiai: kad virtualios mašinos galėtų „keliauti“, reikalingas tiesioginis ryšys tarp mazgų L2 lygiu. Tokios paslaugos iš esmės leidžia išplėsti L2 domeną. Tai yra nusistovėję sprendimai, tačiau dažnai reikalaujama sudėtingos konfigūracijos. Visų pirma, jungiant duomenų centrą prie paslaugų teikėjo tinklo keliuose taškuose – o tai labai pageidautina siekiant padidinti atsparumą gedimams – būtina naudoti papildomus mechanizmus, užtikrinančius optimalią jungčių apkrovą ir pašalinant „perjungimo kilpų“ atsiradimą. Taip pat yra sprendimų, sukurtų specialiai duomenų centrų tinklų sujungimui L2 lygiu, pavyzdžiui, „Cisco Nexus“ komutatoriuose įdiegta „Overlay Transport Virtualization“ (OTV) technologija. Jis veikia IP tinklų viršuje, naudodamas visus maršruto parinkimo L3 lygiu privalumus: gerą mastelį, aukštą atsparumą gedimams, ryšį keliuose taškuose, srauto perdavimą keliais keliais ir kt. (daugiau informacijos žr. autoriaus straipsnyje “ Apie tarpduomenų centrų magistrales“ 2010 m. lapkričio mėnesio „Networking Magazine“ sprendimai/LAN“ numeryje). L2 ARBA L3 VPN Jei įsigydama L2 VPN paslaugas įmonė turės pasirūpinti srauto nukreipimu tarp savo mazgų, tai L3 VPN sistemose šią užduotį sprendžia paslaugų teikėjas. Pagrindinis L3 VPN tikslas yra sujungti svetaines, esančias skirtinguose miestuose, dideliu atstumu viena nuo kitos. Šios paslaugos paprastai turi didesnes ryšio sąnaudas (nes jose naudojamas maršrutizatorius, o ne jungiklis), dideli nuomos mokesčiai ir mažas pralaidumas (paprastai iki 2 Mbps). Kaina gali gerokai padidėti priklausomai nuo atstumo tarp prisijungimo taškų. Svarbus L3 VPN pranašumas yra QoS ir eismo inžinerijos funkcijų palaikymas, leidžiantis garantuoti reikiamą IP telefonijos ir vaizdo konferencijų paslaugų kokybės lygį. Jų trūkumai yra tai, kad jie nėra skaidrūs eterneto paslaugoms, nepalaiko didesnių Ethernet rėmelių dydžių ir yra brangesni nei Metro Ethernet paslaugos. Atminkite, kad MPLS technologija gali būti naudojama tiek L2, tiek L3 VPN tvarkymui. VPN paslaugos lygį lemia ne jai naudojamos technologijos lygis (MPLS paprastai sunku priskirti kokiam nors konkrečiam OSI modelio lygiui; greičiau tai L2.5 technologija), o „vartotojo savybės“: jei operatoriaus tinklas nukreipia kliento srautą, tai yra L3, jei emuliuoja nuorodos lygio ryšius (arba Ethernet komutatoriaus funkcijas) - L2. Tuo pačiu metu L2 VPN formavimui gali būti naudojamos kitos technologijos, pvz., 802.1ad Provider Bridging arba 802.1ah Provider Backbone Bridges. 802.1ad Provider Bridging sprendimai, taip pat žinomi daugeliu kitų pavadinimų (vMAN, Q-in-Q, Tag Stacking, VLAN Stacking), leidžia pridėti antrą 802.1Q VLAN žymą prie eterneto rėmo. Paslaugų teikėjas gali nepaisyti vidinių VLAN žymų, kurias nustato kliento įranga, srautui persiųsti. Ši technologija pašalina 4096 VLAN ID apribojimą, esantį klasikinėje Ethernet technologijoje, o tai žymiai padidina paslaugų mastelį. „802.1ah Provider Backbone Bridges“ (PBB) sprendimai apima antrojo MAC adreso pridėjimą prie rėmo, o galutinio įrenginio MAC adresai yra paslėpti nuo pagrindinio tinklo jungiklių. PBB teikia iki 16 milijonų paslaugų identifikatorių.
Dažnai rinkdamiesi konkretų tinklo įrenginį savo tinklui išgirsite tokias frazes kaip „L2 jungiklis“ arba „L3 įrenginys“.
Šiuo atveju mes kalbame apie lygius tinklo modelis OSI.
L1 lygio įrenginys yra įrenginys, kuris veikia fiziniu lygiu, jie iš esmės nieko „nesupranta“ apie perduodamus duomenis ir veikia elektrinių signalų lygiu - signalas atėjo, jis perduodamas toliau. Tokie įrenginiai apima vadinamuosius "koncentratorius", kurie buvo populiarūs Ethernet tinklų aušroje, taip pat apima daugybę kartotuvų. Tokio tipo įrenginiai paprastai vadinami šakotuvais.
L2 įrenginiai veikia duomenų perdavimo lygmenyje ir atlieka fizinį adresavimą. Darbas šiame lygyje atliekamas su rėmeliais arba, kaip jie kartais vadinami "rėmeliais". Šiame lygyje IP adresų nėra, įrenginys identifikuoja gavėją ir siuntėją tik pagal MAC adresą ir perduoda kadrus tarp jų. Tokie įrenginiai paprastai vadinami jungikliais, kartais nurodant, kad tai yra „L2 lygio jungiklis“.
L3 lygio įrenginiai veikia tinklo lygmenyje, kuris skirtas nustatyti duomenų perdavimo kelią, suprasti įrenginių IP adresus ir nustatyti trumpiausius maršrutus. Šio lygio įrenginiai yra atsakingi už įdiegimą skirtingų tipų jungtys (PPPoE ir panašiai). Šie įrenginiai paprastai vadinami maršrutizatoriais, nors jie taip pat dažnai vadinami "L3 jungikliu".
L4 lygio įrenginiai yra atsakingi už duomenų perdavimo patikimumo užtikrinimą. Tai, tarkime, „išplėstiniai“ jungikliai, kurie, remdamiesi informacija iš paketų antraščių, supranta, kad srautas priklauso skirtingoms programoms ir gali priimti sprendimus dėl tokio srauto nukreipimo pagal šią informaciją. Tokių įrenginių pavadinimas nenustatytas; jie kartais vadinami „protingais jungikliais“ arba „L4 jungikliais“.
Naujienos
1C įmonė informuoja apie techninį 1C:Enterprise 8 platformos PROF ir CORP versijų atskyrimą (su papildoma apsauga CORP lygio licencijoms) ir įvestus daugybę PROF lygio licencijų naudojimo apribojimų nuo 02/11/ 2019 m.
Tačiau šaltinis Federalinėje mokesčių tarnyboje RBC paaiškino, kad mokesčių institucijų sprendimas neturėtų būti vadinamas atidėjimu. Bet jei verslininkas nespėja atnaujinti kasos aparato ir nuo sausio 1 d. toliau išrašo čekius su 18% PVM, o ataskaitose nurodo teisingą 20% tarifą, mokesčių tarnyba to nelaikys pažeidimu. , patvirtino jis.
L3 jungiklis Jis gali atlikti tik gryną IP maršrutą – nežino NAT, maršruto žemėlapio ar eismo formos, srauto skaičiavimo. Komutatoriai negali dirbti su VPN tuneliais (svetainės VPN, nuotolinės prieigos VPN, DMVPN), negali užšifruoti srauto ar atlikti visos būsenos užkardos funkcijų ir negali būti naudojami kaip telefonijos serveris (skaitmeninis PBX).
Pagrindinis 3 sluoksnio jungiklio pranašumas yra greitas srauto nukreipimas iš skirtingų L3 segmentų vienas į kitą, dažniausiai tai yra vidinis srautas be prieigos prie interneto. .
Maršrutizatorius suteiks jums prieigą prie interneto. NAT taip pat sukonfigūruotas maršrutizatoriuje.
Maršrutas didelis kiekis vietiniai tinklai maršrutizatoriuje yra beveik neįmanomi, naudojant QoS, ACL NBAR ir kitas funkcijas, kurios leidžia analizuoti srautą, patenkantį į sąsajas. Greičiausiai problemos prasidės, kai vietinio srauto greitis viršys daugiau nei 100 Mbit/s (priklausomai nuo konkretaus maršrutizatoriaus modelio). Jungiklis, priešingai, gali lengvai susidoroti su šia užduotimi.
Pagrindinė priežastis yra ta keitiklis nukreipia eismą pagal CEF lenteles.
„Cisco Express“ persiuntimas (CEF) yra didelės spartos maršruto parinkimo / paketų perjungimo technologija, naudojama maršrutizatoriuose ir trečiojo lygio komutatoriuose iš „Cisco Systems“, kuri leidžia greičiau ir efektyviau apdoroti tranzito srautą.
Maršrutizatorius taip pat gali naudoti CEF, tačiau jei maršrutizatoriuje naudojate funkcijas, kurios veda į viso srauto analizę, srautas vyks per procesorių. Palyginkite pačioje pradžioje pateiktoje maršrutizatoriaus našumo lentelėje, kokį maršrutizatoriaus našumą turi „Fast\CEF switching“ (naudojant lenteles), o kokius su „Proceso perjungimu“ (sprendimą dėl maršruto parinkimo priima procesorius).
Apibendrinant galima pasakyti, kad maršrutizatorius skiriasi nuo L3 jungiklio tuo, kad maršrutizatorius gali labai lanksčiai valdyti srautą, tačiau veikiant vietiniame tinkle jo našumas yra palyginti mažas. L3 jungiklis priešingai, jis pasižymi dideliu našumu, bet negali paveikti ar apdoroti srauto.
Apie L2 jungiklius galime pasakyti, kad jie naudojami tik prieigos lygiu, suteikiant ryšį su galutiniu vartotoju (ne tinklo įranga)
Kada naudoti L2 jungiklius ir kada naudoti L3 jungiklius?
Nedideliame filiale iki 10 žmonių pakanka sumontuoti vieną maršrutizatorių su įmontuotu jungikliu (800 serija) arba įdiegtu ESW išplėtimo moduliu (1800, 1900 serija) arba ESG.
50 žmonių biure galite įdiegti vieną vidutinio našumo maršrutizatorių ir vieną 48 prievadų L2 jungiklį (galbūt du 24 prievadų).
Filiale iki 200 žmonių naudosime maršrutizatorių ir kelis antrojo lygio jungiklius. Svarbu suprasti, kad jei tinklą suskirstėte į segmentus IP adreso lygiu į kelis potinklius ir maršrutizatoriuje nukreipiate tarp tinklų, tada tikrai turėsite didelę procesoriaus apkrovą, dėl kurios sumažės našumas ir baigsis. -vartotojų skundai dėl paketų kritimo. Jei dauguma vartotojų bendrauja tik su kompiuteriais, serveriais, spausdintuvais ir kt tinklo įrenginiai tik jų L3 segmente ir palikite šią adreso erdvę tik prieigai prie interneto, tada toks tinklo dizainas bus patenkinamas. Plečiantis tinklui, padalinių, kuriuose srautas neturėtų išeiti iš šio skyriaus, skaičius, jei skirtingi skyriai (mūsų atveju tai yra potinkliai arba tinklo segmentai) yra priversti keistis duomenimis tarpusavyje, maršrutizatoriaus veikimas nebebus. užteks.
Tokiame dideliame biure (virš 200 darbuotojų) didelio našumo Layer 3 jungiklio įsigijimas tampa privalomas. Jos užduotys apims visų vietinių segmentų „numatytųjų šliuzų“ palaikymą. Ryšys tarp šio jungiklio ir pagrindinių kompiuterių vyks per logines tinklo sąsajas (sąsajos VLAN arba SVI). Maršrutizatorius turės tik du ryšius – prie interneto ir prie jūsų L3 jungiklis. Vartotojai turės prisijungti per L2 jungikliai, prijungtas žvaigždute arba žiedu prie L3 jungiklio naudojant Gigabit jungtis, todėl mums reikės L3 jungiklio su Gigabit prievadais. Taigi tinklo centras bus teisingas L3 jungiklis, kuris vienu metu bus atsakingas už pagrindines ir paskirstymo funkcijas, L2 jungiklius prieigos lygyje ir maršrutizatorių kaip vartus, skirtus prisijungti prie interneto arba bendrauti su nuotoliniais biurais tuneliais.
Tikrai DIDELIuose miestelių tinkluose, kuriuose dirba daugiau nei 500 žmonių ir aukšti reikalavimai našumui ir funkcionalumui, gali tekti įdiegti L3 jungiklius net prieigos lygyje, kad būtų galima prijungti vartotojus. Tai gali būti dėl šių priežasčių:
Nepakankamas L2 jungiklių veikimas (ypač naudojant gigabitinius prievadus ir kai naudojami kaip serverių ūkiai)
Nepakankamas palaikomų aktyvių VLAN skaičius (255, palyginti su 1 000 L3)
Q-n-Q funkcionalumo trūkumas
Nepakankamas palaikomų ACL įrašų skaičius (2960–512, 3560–2000)
Ribotos galimybės dirbti su multicast'ais
Nepakankamos QoS galimybės L2 jungikliuose
Tinklo architektūra „L3-prieiga“ – t.y. Vietinių potinklių maršruto taškai perkeliami į prieigos lygį, o jau apibendrinti maršrutai siunčiami iki paskirstymo lygio...
L2 ir STP trūkumas paskirstymo lygyje.
Sudo programoje, kuri naudojama organizuoti komandų vykdymą kitų vartotojų vardu, buvo nustatytas pažeidžiamumas (CVE-2019-18634), kuris leidžia padidinti savo teises sistemoje. Problema […]
„WordPress 5.3“ išleidimas pagerina ir išplečia blokų rengyklę, įdiegtą „WordPress 5.0“, įtraukdama naują bloką, intuityvesnes sąveikas ir patobulintą prieinamumą. Naujos redaktoriaus funkcijos […]
Po devynių mėnesių kūrimo pasiekiamas FFmpeg 4.2 daugialypės terpės paketas, į kurį įeina programų rinkinys ir bibliotekų rinkinys, skirtas operacijoms su įvairiais daugialypės terpės formatais (įrašymas, konvertavimas ir […]
Linux Mint 19.2 yra ilgalaikio palaikymo leidimas, kuris bus palaikomas iki 2023 m. Jis ateina su atnaujintu programinė įranga yra patobulinimų ir daug naujų […]
Pristatytas „Linux Mint 19.2“ platinimo rinkinio leidimas, antrasis „Linux Mint 19.x“ šakos atnaujinimas, suformuotas partijoje Ubuntu pagrindu 18.04 LTS ir palaikoma iki 2023 m. Platinimas yra visiškai suderinamas [...]
Galimi nauji BIND paslaugų leidimai, kuriuose yra klaidų pataisymų ir funkcijų patobulinimų. Naujus leidimus galima atsisiųsti iš kūrėjo svetainės atsisiuntimų puslapio: […]
Exim yra pranešimų perdavimo agentas (MTA), sukurtas Kembridžo universitete, skirtas naudoti Unix sistemose, prijungtose prie interneto. Jis yra laisvai prieinamas pagal [...]
Po beveik dvejų metų kūrimo pristatomas ZFS išleidimas Linux 0.8.0, įgyvendinimas failų sistema ZFS, sukurtas kaip Linux branduolio modulis. Modulio veikimas buvo išbandytas su Linux branduoliai nuo 2.6.32 iki […]
IETF (Internet Engineering Task Force), kurianti interneto protokolus ir architektūrą, užbaigė RFC ACME (automatinio sertifikatų valdymo aplinkos) protokolui […]
Bendruomenės kontroliuojama ir visiems nemokamai sertifikatus teikianti pelno nesiekianti sertifikavimo institucija „Let’s Encrypt“ apibendrino praėjusių metų rezultatus ir kalbėjo apie 2019-ųjų planus. […]
