Введение в виртуальные Локальные Сети: (Virtual LAN). Новые сетевые архитектуры: открытые или закрытые решения

Еще одной новой проблемой, которую нужно учитывать при объединении трех и более компьютеров, является проблема их адресации, точнее адресации их сетевых интерфейсов. Один компьютер может иметь несколько сетевых интерфейсов. Например, для создания полносвязной структуры из N компьютеров необходимо, чтобы у каждого из них имелся N - 1 интерфейс.

По количеству адресуемых интерфейсов адреса можно классифицировать следующим образом:

Уникальный адрес (unicast) используется для идентификации отдельных интерфейсов;

Групповой адрес (multicast) идентифицирует сразу несколько интерфейсов, поэтому данные, помеченные групповым адресом, доставляются каждому из узлов,входящих в группу;

Данные, направленные по широковещательному адресу (broadcast), должны быть до ставлены всем узлам сети;

Адрес произвольной рассылки (anycast), определенный в новой версии протокола IPv6, так же, как и групповой адрес, задает группу адресов, однако данные, посланные по этому адресу, должны быть доставлены не всем адресам данной группы, а любому из них.

Адреса могут быть числовыми (например, 129.26.255.255 или 81.la.ff.fF) и символьными

(site.domen.ru, willi-winki) .

Символьные адреса (имена) предназначены для запоминания людьми и поэтому обычно несут смысловую нагрузку. Для работы в больших сетях символьное имя может иметь иерархическую структуру, например ftp-arch1 .ucl.ac.uk. Этот адрес говорит о том, что данный компьютер поддерживает ftp-архив в сети одного из колледжей Лондонского университета (University College London - ucl) и эта сеть относится к академической ветви (ас) Интернета Великобритании (United Kingdom - uk). При работе в пределах сети Лондонского университета такое длинное символьное имя явно избыточно и вместо него можно пользоваться кратким символьным именем ftp-arch 1. Хотя символьные имена удобны для людей, из-за переменного формата и потенциально большой длины их передача по сети не очень экономична.

Множество всех адресов, которые являются допустимыми в рамках некоторой схемы адресации, называется адресным пространством.

Адресное пространство может иметь плоскую (линейную) организацию (рис. 1) или иерархическую организацию (рис. 2). При плоской организации множество адресов никак не структурировано. Примером плоского числового адреса является МАС-адрес, предназначенный для однозначной идентификации сетевых интерфейсов в локальных сетях. Такой адрес обычно используется только аппаратурой, поэтому его стараются сделать по возможности компактным и записывают в виде двоичного или шестнадцатеричного числа, например 0081005е24а8. При задании МАС-адресов не требуется выполнение ручной работы, так как они обычно встраиваются в аппаратуру компанией-изготовителем, поэтому их называют также аппаратными адресами (hardware address). Использование плоских адресов является жестким решением - при замене аппаратуры, например сетевого адаптера, изменяется и адрес сетевого интерфейса компьютера.

При иерархической организации адресное пространство структурируется в виде вложенных друг в друга подгрупп, которые, последовательно сужая адресуемую область, в конце концов, определяют отдельный сетевой интерфейс. В показанной на рис. 2 трехуровневой структуре адресного пространства адрес конечного узла задается тремя составляющими: идентификатором группы (К), в которую входит данный узел, идентификатором подгруппы (I) и, наконец, идентификатором узла (и), однозначно определяющим его в подгруппе. Иерархическая адресация во многих случаях оказывается более рациональной, чем плоская. В больших сетях, состоящих из многих тысяч узлов, использование плоских адресов приводит к большим издержкам - конечным

узлам и коммуникационному оборудованию приходится оперировать таблицами адресов, состоящими из тысяч записей. В противоположность этому иерархическая система адресации позволяет при перемещении данных до определенного момента пользоваться только старшей составляющей адреса (например, идентификатором группы К), затем для дальнейшей локализации адресата задействовать следующую по старшинству часть (I)и в конечном счете - младшую часть (п).

Типичными представителями иерархических числовых адресов являются сетевые IP - и IPX-адреса. В них поддерживается двухуровневая иерархия, адрес делится на старшую часть - номер сети и младшую - номер узла. Такое деление позволяет передавать сообщения между сетями только на основании номера сети, а номер узла требуется уже после доставки сообщения в нужную сеть; точно так же, как название улицы используется почтальоном только после того, как письмо доставлено в нужный город.

На практике обычно применяют сразу несколько схем адресации, так что сетевой интерфейс компьютера может одновременно иметь несколько адресов-имен. Каждый адрес задействуется в той ситуации, когда соответствующий вид адресации наиболее удобен. А для преобразования адресов из одного вида в другой используются специальные вспомогательные протоколы, которые называют протоколами разрешения адресов. Пользователи адресуют компьютеры иерархическими символьными именами, которые автоматически заменяются в сообщениях, передаваемых по сети, иерархическими числовыми адресами. С помощью этих числовых адресов сообщения доставляются из одной сети в другую, а после доставки сообщения в сеть назначения вместо иерархического числового адреса используется плоский аппаратный адрес компьютера. Проблема установления соответствия между адресами различных типов может решаться как централизованными, так и распределенными средствами.

При централизованном подходе в сети выделяется один или несколько компьютеров (серверов имен), в которых хранится таблица соответствия имен различных типов, например символьных имен и числовых адресов. Все остальные компьютеры обращаются к серверу имен с запросами, чтобы по символьному имени найти числовой номер необходимого компьютера.

При распределенном подходе каждый компьютер сам хранит все назначенные ему адреса разного типа. Тогда компьютер, которому необходимо определить по известному иерархическому числовому адресу некоторого компьютера его плоский аппаратный адрес, посылает в сеть широковещательный запрос. Все компьютеры сети сравнивают содержащийся в запросе адрес с собственным. Тот компьютер, у которого обнаружилось совпадение, посылает ответ, содержащий искомый аппаратный адрес. Такая схема использована в протоколе разрешения адресов (Address Resolution Protocol, ARP) стека TCP/IP .

Достоинство распределенного подхода состоит в том, что он позволяет отказаться от выделения специального компьютера в качестве сервера имен, который, к тому же, часто требует ручного задания таблицы соответствия адресов. Недостатком его является необходимость широковещательных сообщений, перегружающих сеть. Именно поэтому распределенный подход используется в небольших сетях, а централизованный - в больших.

Конечной целью данных, пересылаемых по сети, являются не сетевые интерфейсы или компьютеры, а выполняемые на этих устройствах программы - процессы. Поэтому в адресе назначения наряду с информацией, идентифицирующей интерфейс устройства, должен указываться адрес процесса, которому предназначены посылаемые по сети данные.

Очевидно, что достаточно обеспечить уникальность адреса процесса в пределах компьютера. Примером адресов процессов являются номера портов TCP и UDP, используемые в стеке TCP/IP .

Это первая статья из серии «Сети для самых маленьких». Мы с Максимом aka Gluck долго думали с чего начать: маршрутизация, VLAN"ы, настройка оборудования. В итоге решили начать с вещи фундаментальной и, можно сказать, самой важной: планирование. Поскольку цикл рассчитан на совсем новичков, то и пройдём весь путь от начала до конца.

Предполагается, что вы, как минимум, читали о эталонной модели OSI, о стеке протоколов TCP/IP, знаете о типах существующих VLAN’ов, о наиболее популярном сейчас port-based VLAN и о IP адресах. Мы понимаем, что для новичков «OSI» и «TCP/IP» — это страшные слова. Но не переживайте, не для того, чтобы запугать вас, мы их используем. Это то, с чем вам придётся встречаться каждый день, поэтому в течение этого цикла мы постараемся раскрыть их смысл и отношение к реальности.

Начнём с постановки задачи. Есть некая фирма, занимающаяся, допустим, производством лифтов, идущих только вверх, и потому называется ООО «Лифт ми ап». Расположены они в старом здании на Арбате, и сгнившие провода, воткнутые в пожжёные и прожжёные коммутаторы времён 10Base-T не ожидают подключения новых серверов по гигабитным карточкам. Итак, у них катастрофическая потребность в сетевой инфраструктуре и денег куры не клюют, что даёт вам возможность безграничного выбора. Это чудесный сон любого инженера. А вы вчера выдержали собеседование, и в сложной борьбе по праву получили должность сетевого администратора. И теперь вы в ней первый и единственный в своём роде. Поздравляем! Что дальше?

Следует несколько конкретизировать ситуацию:

1. В данный момент у компании есть два офиса: 200 квадратов на Арбате под рабочие места и серверную. Там представлены несколько провайдеров. Другой на Рублёвке.
2. Есть четыре группы пользователей: бухгалтерия (Б), финансово-экономический отдел (ФЭО), производственно-технический отдел (ПТО), другие пользователи (Д). А так же есть сервера (С), которые вынесены в отдельную группу. Все группы разграничены и не имеют прямого доступа друг к другу.
3. Пользователи групп С, Б и ФЭО будут только в офисе на Арбате, ПТО и Д будут в обоих офисах.

Прикинув количество пользователей, необходимые интерфейсы, каналы связи, вы готовите схему сети и IP-план.

При проектировании сети следует стараться придерживаться иерархической модели сети, которая имеет много достоинств по сравнению с “плоской сетью”:

• упрощается понимание организации сети
• модель подразумевает модульность, что означает простоту наращивания мощностей именно там, где необходимо
• легче найти и изолировать проблему
• повышенная отказоустойчивость за счет дублирования устройств и/или соединений
• распределение функций по обеспечению работоспособности сети по различным устройствам.

Согласно этой модели, сеть разбивается на три логических уровня: ядро сети (Core layer: высокопроизводительные устройства, главное назначение — быстрый транспорт), уровень распространения (Distribution layer: обеспечивает применение политик безопасности, QoS, агрегацию и маршрутизацию в VLAN, определяет широковещательные домены), и уровень доступа (Access-layer: как правило, L2 свичи, назначение: подключение конечных устройств, маркирование трафика для QoS, защита от колец в сети (STP) и широковещательных штормов, обеспечение питания для PoE устройств).

В таких масштабах, как наш, роль каждого устройства размывается, однако логически разделить сеть можно.

Составим приблизительную схему:

На представленной схеме ядром (Core) будет маршрутизатор 2811, коммутатор 2960 отнесём к уровню распространения (Distribution), поскольку на нём агрегируются все VLAN в общий транк. Коммутаторы 2950 будут устройствами доступа (Access). К ним будут подключаться конечные пользователи, офисная техника, сервера.

Именовать устройства будем следующим образом: сокращённое название города (msk ) — географическое расположение (улица, здание) (arbat ) — роль устройства в сети + порядковый номер.

Соответственно их ролям и месту расположения выбираем hostname :

• маршрутизатор 2811: msk-arbat-gw1 (gw=GateWay=шлюз);
• коммутатор 2960: msk-arbat-dsw1 (dsw=Distribution switch);
• коммутаторы 2950: msk-arbat-aswN, msk-rubl-asw1 (asw=Access switch).

Документация сети

Вся сеть должна быть строго документирована: от принципиальной схемы, до имени интерфейса.

Прежде, чем приступить к настройке, я бы хотел привести список необходимых документов и действий:

• схемы сети L1, L2, L3 в соответствии с уровнями модели OSI (физический, канальный, сетевой) ;
• план IP-адресации = IP-план ;
• список VLAN ;
• подписи (description ) интерфейсов ;
• список устройств (для каждого следует указать: модель железки, установленная версия IOS, объем RAM\NVRAM, список интерфейсов);
• метки на кабелях (откуда и куда идёт), в том числе на кабелях питания и заземления и устройствах;
• единый регламент, определяющий все вышеприведённые параметры и другие.

Жирным выделено то, за чем мы будем следить в рамках программы-симулятора. Разумеется, все изменения сети нужно вносить в документацию и конфигурацию, чтобы они были в актуальном состоянии.

Говоря о метках/наклейках на кабели, мы имеем ввиду это:

На этой фотографии отлично видно, что промаркирован каждый кабель, значение каждого автомата на щитке в стойке, а также каждое устройство.

Подготовим нужные нам документы:

Список VLAN

Каждая группа будет выделена в отдельный влан. Таким образом мы ограничим широковещательные домены. Также введём специальный VLAN для управления устройствами. Номера VLAN c 4 по 100 зарезервированы для будущих нужд.

IP-план

Выделение подсетей в общем-то произвольное, соответствующее только числу узлов в этой локальной сети с учётом возможного роста. В данном примере все подсети имеют стандартную маску /24 (/24=255.255.255.0) — зачастую такие и используются в локальных сетях, но далеко не всегда. Советуем почитать о классах сетей . В дальнейшем мы обратимся и к бесклассовой адресации (cisco). Мы понимаем, что ссылки на технические статьи в википедии — это моветон, однако они дают хорошее определение, а мы попробуем в свою очередь перенести это на картину реального мира.

Под сетью Point-to-Point подразумеваем подключение одного маршрутизатора к другому в режиме точка-точка. Обычно берутся адреса с маской 30 (возвращаясь к теме бесклассовых сетей), то есть содержащие два адреса узла. Позже станет понятно, о чём идёт речь.

IP-план

IP-адрес	Примечание	VLAN
172.16.0.0/16
172.16.0.0/24	Серверная ферма	3
172.16.0.1	Шлюз
172.16.0.2	Web
172.16.0.3	File
172.16.0.4	Mail
172.16.0.5 — 172.16.0.254	Зарезервировано
172.16.1.0/24	Управление	2
172.16.1.1	Шлюз
172.16.1.2	msk-arbat-dsw1
172.16.1.3	msk-arbat-asw1
172.16.1.4	msk-arbat-asw2
172.16.1.5	msk-arbat-asw3
172.16.1.6	msk-rubl-aswl
172.16.1.6 — 172.16.1.254	Зарезервировано
172.16.2.0/24	Сеть Point-to-Point
172.16.2.1	Шлюз
172.16.2.2 — 172.16.2.254	Зарезервировано
172.16.3.0/24	ПТО	101
172.16.3.1	Шлюз
172.16.3.2 — 172.16.3.254	Пул для пользователей
172.16.4.0/24	ФЭО	102
172.16.4.1	Шлюз
172.16.4.2 — 172.16.4.254	Пул для пользователей
172.16.5.0/24	Бухгалтерия	103
172.16.5.1	Шлюз
172.16.5.2 — 172.16.5.254	Пул для пользователей
172.16.6.0/24	Другие пользователи	104
172.16.6.1	Шлюз
172.16.6.2 — 172.16.6.254	Пул для пользователей

План подключения оборудования по портам

Разумеется, сейчас есть коммутаторы с кучей портов 1Gb Ethernet, есть коммутаторы с 10G, на продвинутых операторских железках, стоящих немалые тысячи долларов есть 40Gb, в разработке находится 100Gb (а по слухам уже даже есть такие платы, вышедшие в промышленное производство). Соответственно, вы можете выбирать в реальном мире коммутаторы и маршрутизаторы согласно вашим потребностям, не забывая про бюджет. В частности гигабитный свич сейчас можно купить незадорого (20-30 тысяч) и это с запасом на будущее (если вы не провайдер, конечно). Маршрутизатор с гигабитными портами стоит уже ощутимо дороже, чем со 100Mbps портами, однако оно того стоит, потому что FE-модели (100Mbps FastEthernet), устарели и их пропускная способность очень невысока.

Но в программах эмуляторах/симуляторах, которые мы будем использовать, к сожалению, есть только простенькие модели оборудования, поэтому при моделировании сети будем отталкиваться от того, что имеем: маршрутизатор cisco2811, коммутаторы cisco2960 и 2950.

Имя устройства	Порт	Название	VLAN
			Access	Trunk
msk-arbat-gw1	FE0/1	UpLink
	FE0/0	msk-arbat-dsw1		2,3,101,102,103,104
msk-arbat-dsw1	FE0/24	msk-arbat-gw1		2,3,101,102,103,104
	GE1/1	msk-arbat-asw1		2,3
	GE1/2	msk-arbat-asw3		2,101,102,103,104
	FE0/1	msk-rubl-asw1		2,101,104
msk-arbat-asw1	GE1/1	msk-arbat-dsw1		2,3
	GE1/2	msk-arbat-asw2		2,3
	FE0/1	Web-server	3
	FE0/2	File-server	3
msk-arbat-asw2	GE1/1	msk-arbat-asw1		2,3
	FE0/1	Mail-Server	3
msk-arbat-asw3	GE1/1	msk-arbat-dsw1		2,101,102,103,104
	FE0/1-FE0/5	PTO	101
	FE0/6-FE0/10	FEO	102
	FE0/11-FE0/15	Accounting	103
	FE0/16-FE0/24	Other	104
msk-rubl-asw1	FE0/24	msk-arbat-dsw1		2,101,104
	FE0/1-FE0/15	PTO	101
	FE0/20	administrator	104

Почему именно так распределены VLAN"ы, мы объясним в следующих частях.

Схемы сети

На основании этих данных можно составить все три схемы сети на этом этапе. Для этого можно воспользоваться Microsoft Visio, каким-либо бесплатным приложением, но с привязкой к своему формату, или редакторами графики (можно и от руки, но это будет сложно держать в актуальном состоянии:)).

Не пропаганды опен сорса для, а разнообразия средств ради, воспользуемся Dia. Я считаю его одним из лучших приложений для работы со схемами под Linux. Есть версия для Виндоус, но, к сожалению, совместимости в визио никакой.

L1

То есть на схеме L1 мы отражаем физические устройства сети с номерами портов: что куда подключено.

L2

На схеме L2 мы указываем наши VLAN’ы.

L3

В нашем примере схема третьего уровня получилась довольно бесполезная и не очень наглядная, из-за наличия только одного маршрутизирующего устройства. Но со временем она обрастёт подробностями.

Как видите, информация в документах избыточна. Например, номера VLAN повторяются и на схеме и в плане по портам. Тут как бы кто на что горазд. Как вам удобнее, так и делайте. Такая избыточность затрудняет обновление в случае изменения конфигурации, потому что нужно исправиться сразу в нескольких местах, но с другой стороны, облегчает понимание.

К этой первой статье мы не раз ещё вернёмся в будущем, равно как и вам придётся всегда возвращаться к тому, что вы изначально напланировали. Собственно задание для тех, кто пока только начинает учиться и готов приложить для этого усилия: много читать про вланы, ip-адресацию, найти программы Packet Tracer и GNS3. Что касается фундаментальных теоретических знаний, то советуем начать читать Cisco press. Это то, что вам совершенно точно понадобится знать. В следующей части всё будет уже по-взрослому, с видео, мы будем учиться подключаться к оборудованию, разбираться с интерфейсом и расскажем, что делать нерадивому админу, забывшему пароль.

Современные организации стремятся внедрять новые сервисы и приложения, но зачастую камнем преткновения становится устаревшая сетевая инфраструктура, неспособная поддерживать инновации. Решить эту проблему призваны технологии, созданные на основе открытых стандартов.

Сегодня в ИТ прочные позиции завоевал подход, основанный на стандартах, – заказчики почти всегда отдают предпочтения стандартным решениям. С уходом эпохи, когда господствовали мейнфреймы, стандарты завоевали прочные позиции. Они позволяют комбинировать оборудование разных производителей, выбирая «лучшие в своем классе» продукты и оптимизировать стоимость решения. Но в сетевой отрасли не все так однозначно.

На сетевом рынке до сих пор доминируют закрытые системы, а совместимость решений разных производителей обеспечивается в лучшем случае на уровне интерфейсов. Несмотря на стандартизацию интерфейсов, стеков протоколов, сетевых архитектур, сетевое и коммуникационное оборудование разных вендоров нередко представляет собой проприетарные решения. Например, даже развертывание современных «сетевых фабрик» Brocade Virtual Cluster Switch, Cisco FabricPath или Juniper QFabric предполагает замену имеющихся коммутаторов, а это не дешевый вариант. Что уж говорить про технологии «прошлого века», которые еще работают, но тормозят дальнейшее развитие сетей и функционирующих в них приложений.

Эволюция сетей. От проприетарных к открытым решениям.

Проводимые в последние годы исследования показывают, что существует разрыв между предложениями вендоров сетевого оборудования и предпочтениями его покупателей. Например, по данным одного из опросов, 67% заказчиков считают, что проприетарных продуктов по возможности следует избегать, 32% допускают их использование. Лишь 1% респондентов уверены, что проприетарные продукты и средства обеспечивают лучшую интеграцию и совместимость, чем стандартные. То есть в теории большинство заказчиков предпочитает основанные на стандартах решения, но предлагаются в основном проприетарные сетевые продукты.

На практике же при покупке нового оборудования или расширении сетевой инфраструктуры заказчики нередко выбирают решения того же вендора или то же семейство продуктов. Причины – инерция мышления, желание свести к минимуму риски при обновлении критичных систем. Однако основанные на стандартах продукты намного проще заменить, даже если это продукты разных производителей. К тому же при определенных условиях комбинация систем разных вендоров функциональное сетевое решение за разумную цену и снизить совокупную стоимость владения.

Это не означает, что не стоит покупать проприетарные, фирменные технологии, не описываемые открытым стандартом, а являющиеся уникальной технологией определенного вендора. Именно они обычно реализуют инновационные функции и средства. Использование проприетарных решений и протоколов зачастую позволяет получить лучшие показатели по сравнению с открытыми стандартами, но при выборе подобных технологий, необходимо максимально сокращать (а лучше - исключать) их применение на границах отдельных сегментов или технологических узлов сетевой инфраструктуры, что особенно важно в мультивендорных сетях. Примерами таких сегментов могут служить уровни доступа, агрегации или ядра сети, граница между локальной и глобальной сетями, сегменты, реализующие сетевые с приложения (например, балансировка нагрузки, оптимизация трафика) и т.п.

Проще говоря, применение проприетарных технологий должно ограничиваться их использованием внутри границ сегментов, реализующих специализированные сетевые функции и/или приложения (своего рода типовые «строительные блоки» сети). В случаях, когда нестандартные фирменные технологии используются в качестве основы всей корпоративной сети или больших сетевых доменов, это увеличивает риск «привязки» заказчика к одному производителю.

Иерархические и плоские сети

Цель построения корпоративных сетей передачи данных (КСПД), будь то сеть географически распределенной компании или сеть ЦОД, – обеспечение работы бизнес-приложений. КСПД - один из важнейших инструментов развития бизнеса. В компании с территориально-распределенной структурой бизнес нередко зависит от надежности и гибкости совместной работы ее подразделений. В основе построения КСПД лежит принцип разделения сети на «строительные блоки» – каждый характеризуется свойственными ему функциями и особенностями реализации. Принятые в отрасли стандарты позволяют использовать в качестве таких строительных блоков сетевое оборудование разных вендоров. Частные (проприетарные) протоколы ограничивают свободу выбора для заказчиков, что в результате приводит к ограничению гибкости бизнеса и повышает издержки. Применяя стандартизированные решения, заказчики могут выбрать лучший продукт в интересующей их области и интегрировать его с другими продуктами, используя открытые стандартные протоколы.

Современные крупные сети очень сложны, поскольку определяются множеством протоколов, конфигурациями и технологиями. С помощью иерархии можно упорядочить все компоненты в легко анализируемой модели. Иерархическая модель помогает в разработке, внедрении и обслуживании масштабируемых, надежных и эффективных в стоимостном выражении объединенных сетей.

Трехуровневая архитектура корпоративной сети.

Традиционная архитектура корпоративной сети включает в себя три уровня: уровень доступа, агрегирования/распределения и ядра. На каждом из них выполняются специфические сетевые функции.

Уровень ядра – основа всей сети. Для достижения максимальной производительности функции маршрутизации и политики управления трафиком выносятся на уровень агрегирования/распределения. Именно он отвечает за надлежащую маршрутизацию пакетов, политики трафика. Задачей уровня распределения является агрегирование/объединение всех коммутаторов уровня доступа в единую сеть. Это позволяет существенно уменьшить количество соединений. Как правило, именно к коммутаторам распределения подключаются самые важные сервисы сети, другие ее модули. Уровень доступа служит для подключения клиентов к сети. По аналогичной схеме строились и сети ЦОД.

Устаревшая архитектура трехуровневой сети в центре обработки данных.

Традиционные трехуровневые архитектуры ориентированы на клиент-серверную парадигму сетевого трафика. С дальнейшим развитием технологий виртуализации и интеграции приложений возрастает поток сетевого трафика между серверами. Аналитики говорят () о смене парадигмы сетевого трафика с направления «север-юг», на «восток-запад», т.е. на существенное преобладание трафика между серверами в отличие от обмена между сервером и клиентами.

То есть трафик между серверами проходит через уровни доступа, агрегации, ядра сети и обратно неоптимальным образом, за счет необоснованного увеличения общей длины сетевого сегмента и количества уровней обработки пакетов сетевыми устройствами. Иерархические сети недостаточно приспособлены для обмена данными между серверами, не вполне отвечают требованиям современных ЦОД с высокой плотностью серверных ферм и интенсивным межсерверным трафиком. В такой сети обычно используются традиционные протоколы защиты от петель, резервирования устройств и агрегированных соединений. Ее особенности: существенные задержки, медленная сходимость, статичность, ограниченная масштабируемость и т.п. Вместо традиционной древовидной топологии сети необходимо использовать более эффективные топологии (CLOS/ Leaf-Spine/ Collapsed), позволяющие уменьшить количество уровней и оптимизировать пути передачи пакетов.

HP упрощает архитектуру сети с трёхуровневой (характерной для традиционных сетевых архитектур Cisco) до двух- или одноуровневой.

Сейчас тенденция такова, что все больше заказчиков при построении своих сетей ориентируются на построение сетей передачи данных второго уровня (L2) с плоской топологией. В сетях ЦОД переход к ней стимулируется увеличением числа потоков «сервер – сервер» и «сервер – система хранения». Такой подход упрощает планирование сети и внедрение, а также снижает операционные расходы и общую стоимость вложений, делает сеть более производительной.

В ЦОД плоская сеть (уровня L2) лучше отвечает потребностям виртуализации приложений, эффективно перемещать виртуальные машины между физическими хостами. Еще одно преимущество, которое реализуется при наличии эффективных технологий кластеризации/стекирования – отсутствие необходимости в протоколах STP/RSTP/MSTP. Такая архитектура в сочетании с виртуальными коммутаторами обеспечивает защиту от петель без использования STP, а в случае сбоев сеть сходится на порядок быстрее, чем при использовании традиционных протоколов семейства STP.

Архитектура сети современных ЦОД должна обеспечивать эффективную поддержку передачи больших объемов динамического трафика. Динамический трафик обусловлен существенным ростом количества виртуальных машин и уровня интеграции приложений. Здесь необходимо отметить все возрастающую роль различных технологий виртуализации информационно-технологической (ИТ) инфраструктуры на базе концепции программно-определяемых сетей (SDN).

Концепция SDN в настоящее время широко распространяется не только на уровень сетевой инфраструктуры отдельных площадок, но и на уровни вычислительных ресурсов и систем хранения как в рамках отдельных, так и географически-распределенных ЦОД (примерами последних являются HP Virtual Cloud Networking – VCN и HP Distributed Cloud Networking – DCN).

Ключевой особенностью концепции SDN является объединение физических и виртуальных сетевых ресурсов и их функционала в рамках единой виртуальной сети. При этом важно понимать, что несмотря на то, что решения сетевой виртуализации (overlay) могут работать поверх любой сети, производительность/доступность приложений и сервисов в значительной степени зависят от работоспособности и параметров физической инфраструктуры (underlay). Таким образом, объединение преимуществ оптимизированной физической и адаптивной виртуальной сетевых архитектур, позволяет строить унифицированные сетевые инфраструктуры для эффективной передачи больших потоков динамического трафика по запросам приложений.

Архитектура HP FlexNetwork

Для построения плоских сетей вендоры разрабатывают соответствующее оборудование, технологии и сервисы. В числе примеров – Cisco Nexus, Juniper QFabric, HP FlexFabric. В основе решения HP – открытая и стандартизированная архитектура HP FlexNetwork.

HP FlexNetwork включает в себя четыре взаимосвязанных компонента: FlexFabric, FlexCampus, FlexBranch и FlexManagement. Решения HP FlexFabric, HP FlexCampus и HP FlexBranch оптимизируют сетевые архитектуры, соответственно центров обработки данных, кампусов и филиалов предприятий, позволяя по мере роста поэтапно мигрировать от традиционных иерархических инфраструктур к унифицированным виртуальным, высокопроизводительным, конвергентным сетям или сразу строить такие сети на основе эталонных архитектур, рекомендованных НР.

HP FlexManagement предоставляет возможности комплексного мониторинга, автоматизации развертывания/настройки/контроля мультивендорных сетей, унифицированного управления виртуальными и физическими сетями с единой консоли, что ускоряет развертывание сервисов, упрощает управление, повышает доступность сети, избавляет от сложностей, связанных с применением множества систем администрирования. Причем система может управлять устройствами десятков других производителей сетевого оборудования.

HP FlexFabric поддерживает коммутацию в сетях до 100GbE на уровне ядра и до 40GbE на уровне доступа, использует технологию HP Virtual Connect. Внедряя архитектуру FlexFabric, организации могут поэтапно перейти от трехуровневых сетей на оптимизированные двух- и одноуровневые сети.

Заказчики могут поэтапно переходить от проприетарных устаревших сетей к архитектуре HP FlexNetwork с помощью HP Technology Services. HP предлагает услуги по миграции от проприетарных сетевых протоколов, например Cisco EIGRP (хотя в Cisco этот протокол называют «открытым стандартом»), к действительно стандартным протоколам маршрутизации OSPF v2 и v3. Кроме того, HP предлагает сервисы администрирования FlexManagement и набор услуг, касающихся жизненного цикла каждого модульного «строительного блока» HP FlexNetwork, включая планирование, проектирование, внедрение и сопровождение корпоративных сетей.

HP продолжает улучшать возможности своего оборудования, как на уровне аппаратных платформ, так и на основе концепции Software Defined Network (SDN), внедряя различные протоколы динамического управления коммутаторами и маршрутизаторами (OpenFlow, NETCONF, OVSDB). Для построения масштабируемых Ethernet фабрик в ряде моделей сетевых устройств HP внедрены такие технологии как TRILL, SPB, VXLAN (перечень устройств с поддержкой этих протоколов постоянно расширяется). В дополнение к стандартным протоколам категории DCB (в частности VPLS), HP разработаны и активно развиваются фирменные технологии эффективного объединения географически распределенных ЦОД в единую L2 сеть. Например, текущая реализация протокола HP EVI (Ethernet Virtual Interconnect) позволяет подобным образом объединить до 64-площадок ЦОД. Совместное же использование HP EVI и протокола виртуализации устройств HP MDC (Multitenant Device Context) предоставляет дополнительные возможности по расширению, повышение надежности и безопасности распределенных виртуализированных L2 сетей.

Выводы

В каждом конкретном случае выбор архитектуры сети зависит от множества факторов – технических требований к КСПД или ЦОД, пожеланий конечных пользователей, планов развития инфраструктуры, опыта, компетенции и т.д. Что касается проприетарных и стандартных решений, то первые подчас позволяют справиться с задачами, для которых не подходят стандартные решения. Однако на границе сегментов сети, построенной на оборудовании разных вендоров, возможности их использования крайне ограничены.

Масштабное применение проприетарных протоколов в качестве основы для корпоративной сети, может серьезно ограничить свободу выбора, что в конечно счете влияет на динамичность бизнеса и увеличит его издержки.

Открытые, основанные на стандартах решения помогают компаниям переходить с унаследованных архитектур к современным гибким сетевым архитектурам, отвечающие таким актуальным задачам как облачные вычисления, миграция виртуальных машин, унифицированные коммуникации и доставка видео, высокопроизводительный мобильный доступ. Организации могут выбирать лучшие в своем классе решения, отвечающие потребностям бизнеса. Использование открытых, стандартных реализаций протоколов снижает риски и стоимость изменений сетевой инфраструктуры. Кроме того, открытые сети, с объединенными физическими и виртуальными сетевыми ресурсами и их функционалом, упрощают перенос приложений в частное и публичное облако.

Наши предыдущие публикации:

Введение в виртуальные Локальные Сети: (Virtual LAN)
В коммутируемых сетях уровня 2 сеть представляется "плоской" (см. рис.1). Любой широковещательный пакет пересылается всем устройствам, вне зависимости от того, нужно ли устройству принимать эти данные.

Поскольку коммутация на уровне 2 формирует отдельные домены конфликтов для каждого подключенного к переключателю устройства, снижаются ограничения на длину сегмента Ethernet, т.е. можно строить более крупные сети. Увеличение количества пользователей и устройств приводит к увеличению количества широковещательных рассылок и пакетов, обрабатываемых каждым устройством. Еще одной проблемой "плоской" коммутации уровня 2 является безопасность сети. Имейте в виду, что все пользователи "видят" все устройства. Нельзя отменить широковещательные рассылки в устройстве и ответы пользователей на эти рассылки. Увеличить уровень безопасности позволяет защита паролями серверов и других устройств. Создание виртуальной локальной сети VLAN помогает решить многие проблемы коммутации уровня 2, что и будет показано ниже.

Широковещательные рассылки свойственны любому протоколу, но их частота зависит от особенностей протокола, исполняемых в объединенной сети приложений и методов использования сетевых служб. Иногда приходится переписывать старые приложения, чтобы сократить количество широковещательных рассылок. Однако приложения нового поколения требовательны к полосе пропускания и занимают все ресурсы, которые обнаруживают. Мультимедийные приложения интенсивно пользуются широковещательными и многоадресными рассылками. На степень интенсивности широковещательных рассылок приложения влияют сбои оборудования, неадекватная сегментация и плохо разработанные брандмауэры. Во время проектирования сети рекомендуется принимать специальные меры, поскольку широковещательные рассылки распространяются по коммутируемой сети. По умолчанию маршрутизаторы возвращают такие рассылки только в исходную сеть, но переключатели направляют широковещательные рассылки во все сегменты. Именно поэтому сеть называется "плоской", ведь формируется единый домен широковещательных рассылок. Сетевой администратор обязан гарантировать правильность сегментации сети, чтобы проблемы отдельного сегмента не распространялись на всю сеть. Эффективнее всего сделать это с помощью коммутации и маршрутизации. Поскольку переключатель имеет лучшее отношение стоимости к эффективности, многие компании переходят от "плоских" сетей к сетям с полной коммутацией или к сетям VLAN. Все устройства сети VLAN являются членами одного широковещательного домена и получают все широковещательные рассылки. По умолчанию широковещательные рассылки фильтруются на всех портах переключателей, которые не являются членами одной сети VLAN. Маршрутизаторы, переключатели уровня 3 и модули коммутации путей RSM (route switch module) надо использовать совместно с переключателями, чтобы предоставить соединения между сетями VLAN и предотвращения распространения по всей сети широковещательных рассылок. Безопасность Еще одной проблемой плоских сетей является безопасность, что определяется соединением концентраторов и переключателей через маршрутизаторы. Защита сети обеспечивается маршрутизаторами. Однако любой человек, подключившийся к физической сети, получает доступ к ее ресурсам. Кроме того, пользователь может подключить сетевой анализатор к концентратору и наблюдать весь сетевой трафик. Дополнительная проблема связана с включением пользователя в рабочую группу - достаточно подключить сетевую станцию к концентратору. Использование VLAN и создание нескольких групп широковещательных рассылок позволит администратору управлять каждым портом и пользователем. Пользователи уже не смогут самостоятельно подключать свои рабочие станции к произвольному порту переключателя и получать доступ к сетевым ресурсам. Администратор контролирует каждый порт и все предоставляемые пользователям ресурсы. Группы формируются на основе требований пользователей к сетевым ресурсам, поэтому переключатель можно настроить на режим уведомления сетевой станции управления о любых попытках неавторизованного доступа к сетевым ресурсам. Если присутствуют коммуникации между сетями VLAN, можно реализовать ограничения на доступ через маршрутизаторы. Ограничения накладываются на аппаратные адреса, протоколы и приложения. Гибкость и масштабируемость Переключатель уровня 2 не фильтрует, а только читает кадры, поскольку не анализирует сведения протокола сетевого уровня. Это приводит к перенаправлению переключателем всех широковещательных рассылок. Однако создание сети VLAN формирует домены широковещательных рассылок. Эти рассылки из узла одной сети VLAN не будут направлены в порты другой сети VLAN. За счет присваивания коммутируемых портов и пользователей определенной группе VLAN одного переключателя или группы связанных переключателей (такая группа называется фабрикой коммутации - switch fabric) мы увеличиваем гибкость при добавлении пользователя только в один домен широковещательной рассылки, причем вне зависимости от физического местоположения пользователя. Это предотвращает распространение во всей объединенной сети шторма широковещательных рассылок при неисправности сетевого адаптера (NIC, network interface card) или приложения. Когда сеть VLAN становится очень большой, можно сформировать новые сети VLAN, не позволив широковещательным рассылкам занять слишком много полосы пропускания. Чем меньше пользователей в сети VLAN, тем на меньшее количество пользователей действуют широковещательные рассылки. Для понимания того, как VLAN выглядит с точки зрения переключателя, полезно сначала рассмотреть обычные локализованные магистрали. На рис. 2 показана локализованная магистраль (collapsed backbone), созданная за счет подключения физических локальных сетей к маршрутизатору. Каждая сеть подключена к маршрутизатору и имеет собственный логический номер сети. Каждый узел отдельной физической сети должен соблюдать этот сетевой номер для взаимодействия в полученной объединенной сети. Рассмотрим ту же схему на основе переключателя. Рис. 3 показывает, как переключатель устраняет физические границы взаимодействия в объединенной сети. Переключатель обладает большей гибкостью и масштабируемостью, чем маршрутизатор. Можно группировать пользователей в сообщества по интересам, что называется организационной структурой сети VLAN.

Использование переключателя вроде бы отменяет необходимость в маршрутизаторе. Это не так. На рис. 3 видны четыре сети VLAN (домены широковещательных рассылок). Узлы в каждой сети VLAN могут взаимодействовать друг с другом, но не с другими сетями VLAN или с их узлами. Во время конфигурации VLAN узлы должны находиться в пределах локализованной магистрали (см. рис. 2). Что же нужно хосту на рис. 2 для обращения к узлу "или хосту другой сети? Хосту необходимо обратиться через маршрутизатор или другое устройство уровня 3, как и при коммуникации внутри VLAN (см. рис. 3). Взаимодействие между сетями VLAN, как и между физическими сетями, должно проводиться через устройство уровня 3.

Членство в сети VLAN

Сеть VLAN обычно создается администратором, который присваивает ей порты переключателя. Такой способ называется статической виртуальной локальной, сетью (static VLAN) . Если администратор немного постарается и присвоит через базу данных аппаратные адреса всех хостов, переключатель можно настроить на динамическое создание сети VLAN. Статические сети VLAN Статические сети VLAN являются типичным способом формирования.таких сетей и отличаются высокой безопасностью. Присвоенные сети VLAN порты переключателей всегда сохраняют свое действие, пока администратор не выполнит новое присваивание портов. Этот тип VLAN легко конфигурировать и отслеживать, причем статические VLAN хорошо подходят для сетей, где контролируется перемещение пользователей. Программы сетевого управления помогут выполнить присваивание портов. Однако подобные программы использовать не обязательно. Динамические сети VLAN Динамические сети VLAN автоматически отслеживают присваивание узлов. Использование интеллектуального программного обеспечения сетевого управления допускает формирование динамических VLAN на основе аппаратных адресов (MAC), протоколов и даже приложений. Предположим, МАС-адрес был введен в приложение централизованного управления VLAN. Если порт будет затем подключен к неприсвоенному порту переключателя, база данных управления VLAN найдет аппаратный адрес, присвоит его и сконфигурирует порт переключателя для нужной сети VLAN. Это упрощает административные задачи по управлению и настройке. Если пользователь перемещается в другое место сети, порт переключателя будет автоматически присвоен снова в нужную сеть VLAN. Однако для первоначального наполнения базы данных администратору придется поработать.

Администраторы сетей Cisco могут пользоваться службой VMPS (VLAN Management Policy Server, сервер политики управления виртуальной локальной сетью) для установки базы данных МАС-адресов, которая используется при создании динамических сетей VLAN. VMPS - это база данных для преобразования МАС-адресов в сети VLAN.

Идентификация сетей VLAN Сеть VLAN может распространяться на несколько соединенных переключателей. Устройства в такой коммутационной фабрике отслеживает как сами кадры, так и их принадлежность определенной сети VLAN. Для этого выполняется маркирование кадров (frame tagging). Переключатели смогут направлять кадры в соответствующие порты. В такой среде коммутации существуют два разных типа связей: Связи доступа (Access link) Связи, принадлежащие только одной сети VLAN и считающиеся основной связью отдельного порта переключателя. Любое устройство, подключенное к связи доступа, не подозревает о своем членстве в сети VLAN. Это устройство считает себя частью широковещательного домена, но не подозревает о реальном членстве в физической сети. Переключатели удаляют всю информацию о VLAN еще до передачи кадра в связь доступа. Устройства на связях доступа не могут взаимодействовать с устройствами вне своей сети VLAN, если только пакеты не проходят через маршрутизатор. Магистральные связи (Trunk link) Магистральные линии способны обслуживать несколько сетей VLAN. Название этих линий заимствовано из телефонных систем, где магистральные линии способны одновременно передавать несколько телефонных переговоров. В компьютерных сетях магистральные линии служат для связи переключателей с переключателями, маршрутизаторами и даже с серверами. В магистральных связях поддерживаются только протоколы Fast Ethernet или Gigabit Ethernet. Для идентификации в кадре принадлежности к определенной сети VLAN, построенной на технологии Ethernet, переключатель Cisco поддерживает две разные схемы идентификации: ISL и 802. lq. Магистральные связи служат для транспорта VLAN между устройствами и могут настраиваться на поддержку всех или только нескольких сетей VLAN. Магистральные связи сохраняют принадлежность к "родной" VLAN (т.е. виртуальной локальной сети по умолчанию), которая используется при отказе магистральной линии.

Маркировка кадров

Переключателю объединенной сети необходимо отслеживать пользователей и кадры, которые проходят через коммутационную фабрику и сеть VLAN. Коммутационной фабрикой называют группу переключателей, совместно использующих одинаковую информацию о сети VLAN. Идентификация {маркировка) кадров предполагает присваивание кадрам уникального идентификатора, определенного пользователем. Часто это называют присваиванием VLAN ID или присваиванием цвета. Компания Cisco разработала метод маркировки кадров, используемый для передачи кадров Ethernet по магистральным связям. Маркер (тег) сети VLAN удаляется перед выходом кадра из магистральной связи. Любой получивший кадр переключатель обязан идентифицировать VLAN ID, чтобы определить дальнейшие действия с кадром на основе таблицы фильтрации. Если кадр попадает в переключатель, подключенный к другой магистральной связи, кадр направляется в порт этой магистральной линии. Когда кадр попадает в конец магистральной связи и должен поступить в связь доступа, переключатель удаляет идентификатор VLAN. Оконечное устройство получит кадр без какой-либо информации о сети VLAN.

Методы идентификации VLAN

Для отслеживания кадров, перемещающихся через коммутационную фабрику, используется идентификатор VLAN. Он отмечает принадлежность кадров определенной сети VLAN . Существует несколько методов отслеживания кадров в магистральных связях: Протокол ISL Протокол ISL (Inter-Switch Link - связи между переключателями) лицензирован для переключателей компании Cisco и используется только в линиях сетей FastEthernet и Gigabit Ethernet. Протокол может применяться к порту переключателя, интерфейсу маршрутизатора или интерфейсу сетевого адаптера на сервере, который является магистральным. Такой магистральный сервер пригоден для создания сетей VLAN, не нарушающих правила "80/20". Магистральный сервер одновременно является членом всех сетей VLAN (доменов широковещательных рассылок). Пользователям не нужно пересекать устройство уровня 3 для доступа к серверу, совместно используемому в организации. IEEE 802.1q Протокол создан институтом IEEE в качестве стандартного метода маркирования кадров. Протокол предполагает вставку в кадр дополнительного поля для идентификации VLAN. Для создания магистральной связи между коммутируемыми линиями Cisco и переключателем другого производителя придется использовать протокол 802.lq, который обеспечит работу магистральной связи. LANE Протокол эмуляции локальной сети LANE (LAN emulation) служит для взаимодействия нескольких VLAN поверх ATM. 802.10 (FDDI) Позволяет пересылать информацию VLAN поверх FDDL. Использует поле SAID в заголовке кадра для идентификации VLAN. Протокол лицензирован для устройств Cisco. Протокол ISL Протокол ISL (Inter-Switch Link) является способом явного маркирования информации о VLAN в кадрах Ethernet. Маркировка позволяет мультиплексировать VLAN в магистральных линиях с помощью внешнего метода инкапсуляции. За счет LSL можно обеспечить межсоединения нескольких переключателей при сохранении информации о VLAN, причем при перемещении трафика как через переключатель, так и по магистральной связи. Протокол ISL характеризуется небольшой задержкой и высокой производительностью на уровне линий связи для FastEthernet в полу и полнодуплексном режиме. Протокол ISL разработан компанией Cisco, поэтому ISL считают лицензионным только для устройств Cisco. Если необходим нелицензионный протокол для VLAN, используйте 802.lq (см. в книге CCNP: Switching Study Guide). ISL является внешним процессом маркирования, т.е. исходный кадр никак не изменяется, но дополняется новым 26-байтным заголовком ISL. Кроме того, в конец кадра вставляется второе 4-байтное поле проверочной последовательности кадра FCS (frame check sequence). Поскольку кадр инкапсулируется, прочитать его смогут только устройства, поддерживающие протокол ISL. Кадры не должны превышать 1522 байтов. Получившее кадр ISL устройство может посчитать этот кадр слишком большим, учитывая, что в Ethernet максимальная длина сегмента равна 1518 байт. В портах нескольких VLAN (магистральные порты) каждый кадр маркируется при поступлении в переключатель. Сетевой адаптер (NIC, network interface card), поддерживающий протокол ISL, позволяет серверу получать и отправлять маркированные кадры для нескольких сетей VLAN. Причем кадры могут проходить по нескольким VLAN без пересечения маршрутизатора, что снижает задержку. Такая технология может использоваться в сетевых зондах и анализаторах. Пользователь сможет подключиться к серверу, не пересекая маршрутизатор при каждом обращении к любому информационному ресурсу. Например, сетевой администратор может п ользоваться технологией ISL для одновременного включения файлового сервера в несколько сетей VLAN.Важно понять, что информация протокола ISL о VLAN добавляется в кадр только при перенаправлении в порт, настроенный на режим магистральной связи. Инкапсуляция ISL удаляется из кадра, как только он попадает в связь доступа. Магистральные связи Магистральные линии являются соединениями "точка-точка" на скорости 100- или 1000 Мбит/с между двумя переключателями, между переключателем и маршрутизатором или между переключателем и сервером. Магистральные связи способны доставлять трафик в несколько сетей VLAN (одновременно поддерживается от 1 до 1005 сетей). Не допускается работа магистральных связей в линиях 10 Мбит /с. Магистральная связь позволяет одновременно сделать порт членом нескольких сетей VLAN, чтобы, например, магистральный сервер смог одновременно находиться в двух широковещательных доменах. Пользователи смогут не пересекать устройство уровня 3 (маршрутизатор) при входе и использовании сервера. Кроме того, при соединении переключателей магистральная связь позволит переносить по линии отдельную или всю информацию VLAN. Если не сформировать магистральную связь между переключателями, то по умолчанию эти устройства смогут передавать по связи только информацию одной сети VLAN. Все сети VLAN конфигурируются с магистральными связями, если только они не создаются администратором вручную. Переключатели Cisco используют протокол DTP (Dynamic Trunking Protocol, протокол динамических магистральных взаимодействий) для управления отказом от магистрального режима в программном двигателе переключателя Catalyst версии 4.2 или выше и использования протокола ISL или 802.lq. DTP - это протокол "точка-точка", который создан для передачи информации о магистральных связях по магистральным линиям 802. lq.

(). Мы понимаем, что для новичков «OSI» и «TCP/IP» - это страшные слова. Но не переживайте, не для того, чтобы запугать вас, мы их используем. Это то, с чем вам придётся встречаться каждый день, поэтому в течение этого цикла мы постараемся раскрыть их смысл и отношение к реальности.

Начнём с постановки задачи. Есть некая фирма, занимающаяся, допустим, производством лифтов, идущих только вверх, и потому называется ООО «Лифт ми ап». Расположены они в старом здании на Арбате, и сгнившие провода, воткнутые в пожжёные и прожжёные коммутаторы времён 10Base-T не ожидают подключения новых серверов по гигабитным карточкам. Итак, у них катастрофическая потребность в сетевой инфраструктуре и денег куры не клюют, что даёт вам возможность безграничного выбора. Это чудесный сон любого инженера. А вы вчера выдержали собеседование, и в сложной борьбе по праву получили должность сетевого администратора. И теперь вы в ней первый и единственный в своём роде. Поздравляем! Что дальше?

Следует несколько конкретизировать ситуацию:

1. В данный момент у компании есть два офиса: 200 квадратов на Арбате под рабочие места и серверную. Там представлены несколько провайдеров. Другой на Рублёвке.
2. Есть четыре группы пользователей: бухгалтерия (Б), финансово-экономический отдел (ФЭО), производственно-технический отдел (ПТО), другие пользователи (Д). А так же есть сервера ©, которые вынесены в отдельную группу. Все группы разграничены и не имеют прямого доступа друг к другу.
3. Пользователи групп С, Б и ФЭО будут только в офисе на Арбате, ПТО и Д будут в обоих офисах.

Прикинув количество пользователей, необходимые интерфейсы, каналы связи, вы готовите схему сети и IP-план.

При проектировании сети следует стараться придерживаться иерархической модели сети , которая имеет много достоинств по сравнению с “плоской сетью”:

• упрощается понимание организации сети
• модель подразумевает модульность, что означает простоту наращивания мощностей именно там, где необходимо
• легче найти и изолировать проблему
• повышенная отказоустойчивость за счет дублирования устройств и/или соединений
• распределение функций по обеспечению работоспособности сети по различным устройствам.

Согласно этой модели, сеть разбивается на три логических уровня: ядро сети (Core layer: высокопроизводительные устройства, главное назначение - быстрый транспорт), уровень распространения (Distribution layer: обеспечивает применение политик безопасности, QoS, агрегацию и маршрутизацию в VLAN, определяет широковещательные домены), и уровень доступа (Access-layer: как правило, L2 свичи, назначение: подключение конечных устройств, маркирование трафика для QoS, защита от колец в сети (STP) и широковещательных штормов, обеспечение питания для PoE устройств).

В таких масштабах, как наш, роль каждого устройства размывается, однако логически разделить сеть можно.
Составим приблизительную схему:

На представленной схеме ядром (Core) будет маршрутизатор 2811, коммутатор 2960 отнесём к уровню распространения (Distribution), поскольку на нём агрегируются все VLAN в общий транк. Коммутаторы 2950 будут устройствами доступа (Access). К ним будут подключаться конечные пользователи, офисная техника, сервера.

Именовать устройства будем следующим образом: сокращённое название города (msk ) - географическое расположение (улица, здание) (arbat ) - роль устройства в сети + порядковый номер.
Соответственно их ролям и месту расположения выбираем hostname :
Маршрутизатор 2811: msk-arbat-gw1 (gw=GateWay=шлюз)
Коммутатор 2960: msk-arbat-dsw1 (dsw=Distribution switch)
Коммутаторы 2950: msk-arbat-aswN, msk-rubl-asw1 (asw=Access switch)

Документация сети

Вся сеть должна быть строго документирована: от принципиальной схемы, до имени интерфейса.
Прежде, чем приступить к настройке, я бы хотел привести список необходимых документов и действий:

• Схемы сети L1, L2, L3 в соответствии с уровнями модели OSI (Физический, канальный, сетевой)
• План IP-адресации = IP-план
• Список VLAN
• Подписи (description ) интерфейсов
• Список устройств (для каждого следует указать: модель железки, установленная версия IOS, объем RAM\NVRAM, список интерфейсов)
• Метки на кабелях (откуда и куда идёт), в том числе на кабелях питания и заземления и устройствах
• Единый регламент, определяющий все вышеприведённые параметры и другие

Жирным выделено то, за чем мы будем следить в рамках программы-симулятора. Разумеется, все изменения сети нужно вносить в документацию и конфигурацию, чтобы они были в актуальном состоянии.

Говоря о метках/наклейках на кабели, мы имеем ввиду это:

На этой фотографии отлично видно, что промаркирован каждый кабель, значение каждого автомата на щитке в стойке, а также каждое устройство.

Подготовим нужные нам документы:

Список VLAN

Каждая группа будет выделена в отдельный влан. Таким образом мы ограничим широковещательные домены. Также введём специальный VLAN для управления устройствами.
Номера VLAN c 4 по 100 зарезервированы для будущих нужд.

IP-план

IP-адрес	Примечание	VLAN
172.16.0.0/16
172.16.0.0/24	Серверная ферма	3
172.16.0.1	Шлюз
172.16.0.2	Web
172.16.0.3	File
172.16.0.4	Mail
172.16.0.5 - 172.16.0.254	Зарезервировано
172.16.1.0/24	Управление	2
172.16.1.1	Шлюз
172.16.1.2	msk-arbat-dsw1
172.16.1.3	msk-arbat-asw1
172.16.1.4	msk-arbat-asw2
172.16.1.5	msk-arbat-asw3
172.16.1.6	msk-rubl-aswl
172.16.1.6 - 172.16.1.254	Зарезервировано
172.16.2.0/24	Сеть Point-to-Point
172.16.2.1	Шлюз
172.16.2.2 - 172.16.2.254	Зарезервировано
172.16.3.0/24	ПТО	101
172.16.3.1	Шлюз
172.16.3.2 - 172.16.3.254	Пул для пользователей
172.16.4.0/24	ФЭО	102
172.16.4.1	Шлюз
172.16.4.2 - 172.16.4.254	Пул для пользователей
172.16.5.0/24	Бухгалтерия	103
172.16.5.1	Шлюз
172.16.5.2 - 172.16.5.254	Пул для пользователей
172.16.6.0/24	Другие пользователи	104
172.16.6.1	Шлюз
172.16.6.2 - 172.16.6.254	Пул для пользователей

Выделение подсетей в общем-то произвольное, соответствующее только числу узлов в этой локальной сети с учётом возможного роста. В данном примере все подсети имеют стандартную маску /24 (/24=255.255.255.0) - зачастую такие и используются в локальных сетях, но далеко не всегда. Советуем почитать о классах сетей . В дальнейшем мы обратимся и к бесклассовой адресации (cisco). Мы понимаем, что ссылки на технические статьи в википедии - это моветон, однако они дают хорошее определение, а мы попробуем в свою очередь перенести это на картину реального мира.
Под сетью Point-to-Point подразумеваем подключение одного маршрутизатора к другому в режиме точка-точка. Обычно берутся адреса с маской 30 (возвращаясь к теме бесклассовых сетей), то есть содержащие два адреса узла. Позже станет понятно, о чём идёт речь.

План подключения оборудования по портам

Разумеется, сейчас есть коммутаторы с кучей портов 1Gb Ethernet, есть коммутаторы с 10G, на продвинутых операторских железках, стоящих немалые тысячи долларов есть 40Gb, в разработке находится 100Gb (а по слухам уже даже есть такие платы, вышедшие в промышленное производство). Соответственно, вы можете выбирать в реальном мире коммутаторы и маршрутизаторы согласно вашим потребностям, не забывая про бюджет. В частности гигабитный свич сейчас можно купить незадорого (20-30 тысяч) и это с запасом на будущее (если вы не провайдер, конечно). Маршрутизатор с гигабитными портами стоит уже ощутимо дороже, чем со 100Mbps портами, однако оно того стоит, потому что FE-модели (100Mbps FastEthernet), устарели и их пропускная способность очень невысока.
Но в программах эмуляторах/симуляторах, которые мы будем использовать, к сожалению, есть только простенькие модели оборудования, поэтому при моделировании сети будем отталкиваться от того, что имеем: маршрутизатор cisco2811, коммутаторы cisco2960 и 2950.

Имя устройства	Порт	Название	VLAN
Access	Trunk
msk-arbat-gw1	FE0/1	UpLink
	FE0/0	msk-arbat-dsw1		2,3,101,102,103,104
msk-arbat-dsw1	FE0/24	msk-arbat-gw1		2,3,101,102,103,104
	GE1/1	msk-arbat-asw1		2,3
	GE1/2	msk-arbat-asw3		2,101,102,103,104
	FE0/1	msk-rubl-asw1	2,101,104
msk-arbat-asw1	GE1/1	msk-arbat-dsw1		2,3
	GE1/2	msk-arbat-asw2		2,3
	FE0/1	Web-server	3
	FE0/2	File-server	3
msk-arbat-asw2	GE1/1	msk-arbat-asw1		2,3
	FE0/1	Mail-Server	3
msk-arbat-asw3	GE1/1	msk-arbat-dsw1		2,101,102,103,104
	FE0/1-FE0/5	PTO	101
	FE0/6-FE0/10	FEO	102
	FE0/11-FE0/15	Accounting	103
	FE0/16-FE0/24	Other	104
msk-rubl-asw1	FE0/24	msk-arbat-dsw1	2,101,104
	FE0/1-FE0/15	PTO	101
	FE0/20	administrator	104

Почему именно так распределены VLAN"ы, мы объясним в следующих частях.

Схемы сети

На основании этих данных можно составить все три схемы сети на этом этапе. Для этого можно воспользоваться Microsoft Visio, каким-либо бесплатным приложением, но с привязкой к своему формату, или редакторами графики (можно и от руки, но это будет сложно держать в актуальном состоянии:)).

Не пропаганды опен сорса для, а разнообразия средств ради, воспользуемся Dia. Я считаю его одним из лучших приложений для работы со схемами под Linux. Есть версия для Виндоус, но, к сожалению, совместимости в визио никакой.

L1

То есть на схеме L1 мы отражаем физические устройства сети с номерами портов: что куда подключено.

L2

На схеме L2 мы указываем наши VLAN’ы

L3

В нашем примере схема третьего уровня получилась довольно бесполезная и не очень наглядная, из-за наличия только одного маршрутизирующего устройства. Но со временем она обрастёт подробностями.

Как видите, информация в документах избыточна. Например, номера VLAN повторяются и на схеме и в плане по портам. Тут как бы кто на что горазд. Как вам удобнее, так и делайте. Такая избыточность затрудняет обновление в случае изменения конфигурации, потому что нужно исправиться сразу в нескольких местах, но с другой стороны, облегчает понимание.

К этой первой статье мы не раз ещё вернёмся в будущем, равно как и вам придётся всегда возвращаться к тому, что вы изначально напланировали.
Собственно задание для тех, кто пока только начинает учиться и готов приложить для этого усилия: много читать про вланы, ip-адресацию, найти программы Packet Tracer и GNS3.
Что касается фундаментальных теоретических знаний, то советуем начать читать Cisco press. Это то, что вам совершенно точно понадобится знать.
В следующей части всё будет уже по-взрослому, с видео, мы будем учиться подключаться к оборудованию, разбираться с интерфейсом и расскажем, что делать нерадивому админу, забывшему пароль.
P.S. Спасибо соавтору статьи - Максиму aka gluck.
P.P.S Тем, кто имеет, что спросить, но не имеет возможности свой вопрос здесь задать, милости просим в