1 / 78

Технологии, применяемые при построении сетей на основе коммутаторов D-Link

Технологии, применяемые при построении сетей на основе коммутаторов D-Link. Карагезов Владислав, консультант по проектам vkaragezov@dlink.ru. Требования к современным сетям. Производительность и отказоустойчивость

oakes
Download Presentation

Технологии, применяемые при построении сетей на основе коммутаторов D-Link

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Технологии, применяемые при построении сетей на основе коммутаторов D-Link Карагезов Владислав, консультант по проектам vkaragezov@dlink.ru

  2. Требования к современным сетям • Производительность и отказоустойчивость • Обеспечение доступа к ресурсам сети и возможность коммуникаций с партнерами и клиентами • Минимизация времени простоя сети во избежании убытков • Защищенность от несанкционированного доступа

  3. Дополнительные функции коммутаторов 2-го уровня • Поддержка IEEE 802.1Q VLAN (на основе меток) • Spanning Tree Protocol (IEEE 802.1D) и Rapid STP (IEEE 802.1w) • Приоритезация пакетов IEEE 802.1p и 4 очереди • Контроль широковещательных штормов • Объединениепортоввтранк - Link Aggregation (IEEE 802.3ad Static mode) • Функция Port Security (ограничение кол-ва MAC на заданном порту) • IGMP для ограничения широковещательных доменов в VLAN • Сегментация трафика • Контроль полосы пропускания • Контроль доступа к среде передачи IEEE 802.1x • SNMP-управление • Управление через web • Журналирование событий при помощи Syslog • Зеркалирование портов (трафик множества портов на один выбранный порт) • Обновление ПО и backup файла конфигурации

  4. Виртуальные Локальные Сети - VLAN • Дополнительное деление сетевых сегментов для уменьшения трафика и перегрузок • Логические группы в LAN • VLAN подобны широковещательным доменам • Обеспечение безопасности и разделения доступа к ресурсам

  5. Типы VLAN • VLAN на базе портов • VLAN на базе MAC-адресов • VLAN на базе меток - стандарт IEEE 802.1Q

  6. Таблица использования различных типов VLAN в коммутаторах D-Link:

  7. VLAN на базе портов • Применяется в пределах одного коммутатора • Простота настройки • Возможность изменения логической топологии сети без физического перемещения рабочих станций • Каждый порт может входить только в один VLAN

  8. VLAN 1 VLAN 2 VLAN 3 VLAN1 VLAN2 VLAN3 VLAN 1 VLAN 2 VLAN 3 Пример VLAN на базе портов

  9. Маршрутизатор L2 switch VLAN 1 VLAN 2 VLAN 3 Для объединения виртуальных подсетей используется маршрутизатор

  10. Коммутаторы DES-1218/1226 позволяют включать порт в несколько VLAN

  11. VLAN на базе MAC-адресов • Возможность физически перемещать станцию, позволяя оставаться ей в одном и том же широковещательном домене без каких-либо изменений в настройках конфигурации. • Может потребовать от администратора выполнения большого количества ручных операций по маркировке МАС-адресов на каждом коммутаторе сети.

  12. VLAN 1 VLAN 2 VLAN1 VLAN 1 VLAN2 0050BABDE2CB 0050BABDC425 0050BABDD2E8 VLAN 2 VLAN 1 VLAN 2 0050BABD2FC3 0050BABDD583 Пример VLAN на базе MAC-адресов

  13. IEEE 802.1Q VLAN • Гибкость и удобство настройки и изменения • Возможность работы протокола Spanning Tree • Возможность работы с сетевыми устройствами, которые не распознают метки • Устройства разных производителей, могут работать вместе • Не нужно применять маршрутизаторы, чтобы связать подсети

  14. V1 V2 V1V2V3 U U U V2 V1 V1,V2, V3 DES-6000 T T T V1,V2, V3 V1,V2 V3 T T T VLAN3 DES-3624i U U U U VLAN2 VLAN1 V1 V2 V3 V1V2 V3 Пример для 802.1Q VLAN

  15. DA SA Tagged Data CRC VID 8100 Priority CFI 0 15 18 19 31 Маркированные кадры-Tagged Frame • 12-бит VLAN маркер • Идентифицирует кадр, как принадлежащий VLAN • Max. Размер маркированногокадра Ethernet 1522 байт • Немаркированный кадрэто кадр без VLAN маркера

  16. VID (VLAN Identifier) 12-bit часть VLAN маркера Указывает какая VLAN 12 битопределяет 4096 VLAN’ов VID 0 и VID 4095 зарезервированы PVID (Port VID) Ассоциирует порт с VLAN Например, Порту с PVID 3, предназначены все немаркированные пакеты VLAN 3 VID и PVID

  17. VID : 3 Untag Egress : Port 1, 2, 3, 4 & 5 Port 3 assign PVID = 3 VLAN A Computer : B1, B2, C1, C2 & File Server File Server VLAN B Computer : B1, B2 & File Server VLAN C Computer : C1, C2 & File Server 1 2 3 4 5 B1 B2 C1 C2 VID : 1 Untag Egress : Port 1, 2 & 3 Port 1 & 2 assign PVID = 1 VID : 2 Untag Egress : Port 3, 4 & 5 Port 4 & 5 assign PVID = 2 VLAN схема 1 Деление сети на две VLAN с предоставлением общего файл-сервера:

  18. Прием данных с маркером Проверка маркировки VID Коммутация кадра на определенную VLAN группу Прием данных без маркера Проверка его PVID Коммутация кадра на определенную VLAN группу Правила коммутации маркированных & немаркированныхпортов(Входящие данные)

  19. Исходящий порт – маркированный порт Маркировка кадра Для идентификации кадра как принадлежащего VLAN группе Исходящий порт – немаркированный порт Удаление маркера Правила коммутации маркированных & немаркированныхпортов (Исходящие данные)

  20. Выходящие (Egress) порты • Установка портов, передающих трафик в VLAN похожа на маркированные и немаркированные кадры • Это означает, что VLAN кадры могут передаваться (выходить) через выходящие порты. • Таким образом, порт, принадлежащий VLAN, должен быть Выходящим (Egress) портом (“E”)

  21. Маркированный входящий пакет (Часть 1) • Входящий пакет назначен для VLAN 2 потому, что в пакете есть маркер принадлежности • Порт 5 маркирован как Выходящийдля VLAN2 • Порт 7 не маркирован как Выходящийдля VLAN2 • Пакеты перенаправляются на порт 5 с маркером • Пакеты перенаправляются на порт7без маркера

  22. Маркированный пакет останется без изменений Маркированный пакетпотеряет маркер, т.к.он уйдет с коммутатора через немаркированный порт Маркированный входящий пакет (Часть 2)

  23. Немаркированный входящий пакет (Часть 1) • PVID порта 4 -> 2 • Входящий немаркированный пакет назначен на VLAN 2 • Порт 5 маркированный Выходящий VLAN 2 • Порт 7немаркированный Выходящий VLAN 2 • Пакеты с порта 4 перенаправляются на порт5 с маркером • Пакеты с порта 4 перенаправляются на порт7 без маркера

  24. VID связан с PVID входящего порта Немаркированный входящий пакет (Часть 2) Немаркированный пакет маркируется, т.к.он выходит через маркированный порт Немаркированный пакет не изменен, т.к. выходит через немаркированный порт.

  25. Switch X Switch Y VLAN A : Computer A1, A2, A3 & A4 1 2 3 4 5 1 2 3 4 5 Switch X VID : 2 Tag Egress : Port 5 Untag Egress : Port 1 & 2 Port 1 & 2 assign PVID = 2 A1 A2 B1 B2 A3 A4 B3 B4 Switch Y VID : 2 Tag Egress : Port 1 Untag Egress : Port 2 & 3 Port 2 & 3 assign PVID = 2 Switch Y VID : 3 Tag Egress : Port 1 Untag Egress : Port 4 & 5 Port 4 & 5 assign PVID = 3 VLAN B : Computer B1, B2, B3 & B4 Switch X VID : 3 Tag Egress : Port 5 Untag Egress : Port 3 & 4 Port 3 & 4 assign PVID = 3 VLAN Схема 2 Деление сети, построенной на 2-х коммутаторах на две VLAN.

  26. VLAN A Computer : A1 & A2 VLAN B Computer : B1 & B2 1 2 3 4 5 VID : 2 Untag Egress : Port 1 & 2 Port 1 & 2 assign PVID = 2 VID : 3 Untag Egress : Port 4 & 5 Port 4 & 5 assign PVID = 3 A1 A2 B1 B2 VLAN схема 3 Деление сети на две VLAN.

  27. Объединение портов в транк Link Aggregation • Увеличение полосы пропускания • Обеспечение отказоустойчивости • Баланс нагрузки • Все избыточные связи задействованы

  28. Группы могут объединять только порты с одинаковой скоростью и одинаковой средой передачи • Для настройки транка достаточно настроить «связывающий порт» • Для STP транк – это один канал

  29. Распределение потоков по каналам транков

  30. Настройка транков

  31. Параметры настройки транков • Anchor (Master)port- для настройки портов в группе необходимо только настроить “связывающий” порт • Name - задайте имя транка • Members– включите выбранные порты в транк • State– состояние: включен, выключен или очистить

  32. Транкмежду коммутатором и сервером • Устранение «узких» мест в сети • Повышение производительности для систем клиент-сервер • Вся настройка осуществляется только на стороне сервера с помощью программного обеспечения D-Link • Возможность создавать транк между сервером и коммутатором, не поддерживающим транки

  33. DFE-580TX

  34. Spanning Tree Protocol • Резервные связи между коммутаторами • Обеспечение единственного маршрута без логических петель • Стандартизованный протокол • Автоматическое изменение конфигурации при отказе линий без вмешательства оператора

  35. Основные определения в STP • Root Switch - Корневой коммутатор, от него строится дерево • Root Port - Корневой порт - порт, который имеет по сети кратчайшее расстояние до корневого коммутатора • Designated Port- Назначенный порт - порт, который имеет кратчайшее расстояние от данного сегмента сети до корневого коммутатора • Path Cost– Метрика, суммарное условное время на передачу данных от порта данного коммутатора до порта корневого коммутатора

  36. Перед применением протокола STP

  37. После применения протокола STP

  38. Пакеты BPDU содержат информацию для построения топологии сети без петель Пакеты BPDU помещаются в поле данных кадров канального уровня, например, кадров Ethernet. Они содержат несколько полей, определяющих работу STP. Среди них наиболее важные: • Идентификатор коммутатора • Расстояние до корневого коммутатора • Идентификатор порта

  39. Изменение состояния портов в процессе работы STP • Blocking– при включении все порты находятся в состоянии «Заблокирован» • Listening- порт генерирует, принимает и передает BPDU • Learning– «Обучение», начинает принимать пакеты и на основе адресов источника строить таблицу коммутации • Forwarding – Начинает продвижение пакетов • Disable– Вручную отключен администратором

  40. Основные параметры STP • Priority – Приоритет коммутатора. От 0 до 65535 • Hello Time- интервал между передачей BPDU корневым коммутатором. От 1 до 10 с. • Max. Age - Если по истечении интервала времени, установленного в Max.Age от корневого коммутатора все еще не пришел пакет BPDU, то ваш коммутатор начнет сам посылать пакеты BPDU.От 6 до 40 с.

  41. Основные параметры STP (продолжение) • Forward Delay Timer – Время перед переход порта в состояние продвижения пакетов.От 4 до 30 с. • Port Priority – Приоритет порта. Чем меньше значение данного параметра, тем выше вероятность, что порт станет корневым.От 0 до 255. • Port Cost – «Стоимость» порта. От 1 до 65535

  42. Сравнение протоколов STP 802.1d и RSTP 802.1w • Время схождения: • STP802.1d: 30 сек. • RSTP 802.1w: меньше 1 сек. • Диаметр сети: • STP802.1d и 802.1w: 7 переходов, 14 для типа «кольцо» • RSTP 802.1w обратно совместим с STP802.1d.

  43. Обратная совместимость RSTP 802.1wс STP802.1d 802.1w 802.1w 802.1d RSTP BPDU STP BPDU 802.1d 802.1d 802.1d STP BPDU

  44. Настройка таблицы фильтрации коммутатора. Port Security • Дополнительный уровень безопасности • Привязка MAC-адресов к порту позволяет предотвратить несанкционированный доступ на канальном уровне - Port Security • Неизменяемая таблица MAC-адресов даже при длительной неактивности устройств или перегрузках сети

  45. Функция Port Security • На каждом порту Ethernet можно контролировать максимальное кол-во MAC-адресов, которое может быть изучено. Это полезно в решениях ETTH для контроля за тем, какие пользователи и сколько могут одновременно подключаться к Интернет. ETTH Интернет Max. User=1 Пример: Порт 1: Максимальное кол-во адресов = 1 Порт 2: Максимальное кол-во адресов = 1 Порт 3: Максимальное кол-во адресов = 1 Порт 4: Максимальное кол-во адресов = 8 И т.д. Max. user = 1 Max. user = 8

  46. Защита от несанкционированного доступа Задача: MAC-адреса, не внесенные в список на порту не могут получить доступа к сети • Включить блокировку автообучения на каждом порту (DES-3226S) • Ввести список разрешенных MAC-адресов в статическую таблицу MAC-адресов. Максимальное кол-во записей для DES-3226S= 128. Данное значение может варьироваться в зависимости от модели коммутатора. Магистраль сети Mac1 Mac2 Mac3 Mac4 Mac5 Mac6 Mac7 Mac8 Mac9 mac10 Серверы

  47. Протокол IEEE 802.1P Стандарт IEEE 802.1p определяет приоритет пакета при помощи тэга в его заголовке. Можно задать до 8 уровней приоритета от 0 до 7. Уровень 7 определяет самый высокий приоритет. Коммутаторы поддерживают 4 очереди Class of Service на каждом порту. Для маркированных пакетов приоритет может быть изменен на одну из четырех очередей CoS. Для немаркированных пакетов приоритет выставляется исходя из приоритета, выставленного на данном порту.

  48. Как работает 802.1p 4 очереди приоритета Class-0 Class-1 Class-2 Class-3 Очередь: 0 1 2 3 4 5 6 7 Приоритет: Порт: 1 2 3 4 5 6 7 …………………………….

  49. 802.1P приоритет по умолчанию Данный пример показывает настройку приоритета по умолчанию для пакетов, которым не было еще присвоено никакое значение приоритета.

  50. 802.1P приоритет, определяемый настройкой Данный экран показывает возможность настройки класса приоритета для трафика, указывая значения класса от 0 до 3 в соответствии с 8-ю уровнями приоритета коммутатора.

More Related