Conan
Moderator
 Inregistrat: acum 17 ani
Postari: 198
|
|
Reţele virtuale
Am văzut că folosirea switch-ului într-o reţea Ethernet are ca efect segmentarea acesteia în domenii de coliziune individuale. Numărul total de segmente ce se pot obţine prin folosirea unui switch alcătuieşte domeniul de broadcast. Acest lucru înseamnă că toate nodurile aparţinând tuturor segmentelor pot să vadă broadcast-ul transmis de un nod al unui segment.
O reţea virtuală presupune gruparea logică a echipamentelor şi/sau utilizatorilor unei reţele fără a mai exista restricţii legate de segmentul fizic din care fac parte1. Altfel spus, o reţea virtuală reprezintă un domeniu de broadcast dintr-o reţea cu switch-uri. Cu ajutorul switch-urilor se poate crea o singură reţea virtuală sau mai multe. în cel de al doilea caz, broadcast-ul unei astfel de reţele nu va fi „văzut" de către celelalte. Implementarea reţelelor virtuale permite administratorilor diminuarea domeniilor de broadcast şi creşterea disponibilităţii lăţimii de bandă. Şi cum în proiectarea unei reţele de multe ori se impune crearea unor astfel de componente, ne-am gândit să tratăm acest subiect într-un capitol distinct, chiar dacă el ar fi trebuit, în mod firesc, să fie prezentat în capitolul precedent.
10.1. Tipologia VLAN-urilor
Tehnologia pusă la dispoziţie de VLAN-uri oferă posibilitatea grupării porturilor şi a utilizatorilor în grupuri logice. Dacă această grupare implică folosirea mai multor switch-uri, VLAN-urile pot partaja aceeaşi clădire, mai multe clădiri sau chiar WAN-uri. Pentru orice arhitectură VLAN, importantă este posibilitatea transferului de informaţii între switch-uri şi routere.
În mod tradiţional, routerul gestionează broadcast-ul şi procesează rutele pachetelor. Chiar dacă switch-urile unei VLAN preiau o parte din aceste sarcini, routerul rămâne vital pentru arhitectura oricărei reţele, deoarece prin intermediul lui se pot interconecta VLAN-uri diferite.
Gruparea după porturi
Iniţial, multe implementări de VLAN-uri defineau apartenenţa la un VLAN prin intermediul unei grupări după porturile din switch. în plus, în majoritatea implementărilor iniţiale, VLAN-urile erau realizate pentru un singur switch.
Pentru a doua generaţie de implementări, se poate forma un VLAN prin conectarea mai multor porturi de pe switch-uri diferite.
Gruparea după porturi este cea mai des întâlnită metodă, iar configurarea este destul de uşor de realizat. Definirea VLAN-urilor doar pe baza porturilor nu permite unor VLAN-uri diferite să includă acelaşi segment fizic (sau port de switch). însă, principala limitare în cazul grupării după porturi este că administratorul reţelei trebuie să recon-figureze VLAN-ul de fiecare dată când un utilizator este comutat de pe un port pe altul.
Gruparea după adresa MAC
Apartenenţa la un VLAN se realizează pe baza adresei MAC a staţiei. Switch-ul urmăreşte adresa MAC care aparţine fiecărui VLAN. Cum adresa MAC e o componentă a plăcii de reţea, când se schimbă poziţia unei staţii, nu mai este necesară nici o reconfigurare suplimentară pentru ca staţia respectivă să rămână în acelaşi VLAN.
Gruparea într-un VLAN pe baza adreselor MAC are şi avantaje, şi dezavantaje. Din moment ce adresele MAC sunt la nivelul 2 al modelului OSI şi sunt „arse" în plăcile de reţea, VLAN-urile le permit administratorilor de reţea să schimbe poziţia fizică a unui calculator în reţea, iar acesta să rămână în continuare în VLAN-ul din care făcea parte, în mod automat. în acest fel, un VLAN definit pe baza adreselor MAC poate fi considerat ca fiind „bazat pe utilizatori".
Unui dintre dezavantajele VLAN-urilor bazate pe adresa MAC e faptul că, iniţial, fiecare staţie trebuie să fie adăugată manual la VLAN, mai precis fiecare adresă MAC de pe placa de reţea. După configurarea manuală iniţială, urmărirea şi repoziţionarea staţiilor (şi implicit a utilizatorilor) sunt automatizate, acest lucru fiind specific fiecărui echipament, în funcţie de producătorul său. Acest dezavantaj al unei configurări manuale iniţiale este cu adevărat problematic în cazul în care, în faza iniţială, e necesară repartizarea la VLAN-uri a unui număr foarte mare de utilizatori, de ordinul miilor, în reţelele foarte mari. Unii producători au venit cu soluţii automatizate intermediare, prin care diferite instrumente software creează VLAN-urî, pe baza adreselor MAC, la nivel de subreţea.
VLAN-urile bazate pe adresele MAC ale staţiilor, implementate în medii distribuite, vor întîmpina probleme mari în ceea ce priveşte performanţa reţelei, pentru că traficul dinspre şi spre staţii din VLAN-uri diferite va trece prin aceleaşi porturi. în plus, metoda primară de comunicare a informaţiilor de apartenenţă la un VLAN bazat pe adrese MAC va avea ca efect scăderea performanţelor pentru implementări la scară mare.
O altă limitare a grupării într-un VLAN pe baza adreselor MAC e atunci când un utilizator foloseşte un notebook şi pentru a se putea conecta la reţea, conectează notebook-ul său la aşa-numitele staţii de andocare (docking stations). Notebook-urile bineînţeles că au o adresă MAC care rămâne aceeaşi, indiferent de locaţia utilizatorului. Staţiile de andocare au şi ele o adresă MAC unică, dar cum utilizatorul îşi modifică mereu poziţia, adresele MAC ale staţiilor de andocare vor fi mereu altele. Adresa MAC variind mereu, va fi imposibilă şi rămânerea utilizatorului mereu în acelaşi VLAN.
VLAN-urile bazate pe nivelul 3 OSI
VLAN-urile bazate pe informaţiile de la nivelul 3 al modelului OSI folosesc tipul protocolului (în cazul în care suportă mai multe tipuri de protocoale) sau adresele de la nivelul reţea (adresa de subreţea pentru reţelele TCP/IP) pentru a putea determina apartenenţa la un anumit VLAN. Deşi aceste VLAN-uri lucrează cu informaţii de la nivelul 3, aceasta nu e o funcţie de rutare şi nu trebuie confundată cu rutarea la nivelul reţea. Deşi un switch analizează adresa IP a pachetului pentru a determina apartenenţa la un VLAN, nu se calculează nici o rută a pachetului. Noile switch-uri însă ştiu să interpreteze şi informaţiile încapsulate de protocoalele RIP sau OSPF. Cadrele ce traversează un switch sunt trimise pe un port sau altul pe baza algoritmului Spanning Tree. Astfel, din perspectiva unui switch ce e folosit într-un VLAN bazat pe nivelul 3 OSI, acesta e văzut ca o reţea plată, ca topologie, fără nici o ierarhie, ca şi când ar lucra numai la nivelul legătură-date.
O dată făcută diferenţa între VLAN-urile bazate pe informaţii de la nivelul reţea şi rutare, trebuie menţionat că anumiţi producători au dotat swhitch-urile pe care le realizează cu capacităţi de procesare a informaţiilor de nivel 3. Aceste capacităţi au dus la manifestarea unor funcţii ce sunt asociate în mod obişnuit cu rutarea. Mai mult, switch-urile „multi layer" au funcţii de forwarding ale pachetelor datorită chip-set-urilor ASIC încorporate. însă, indiferent unde ar fi localizate switch-urile sau routerele într-un VLAN, rutarea este necesară pentru a asigura conectivitatea între VLAN-uri distincte.
Există câteva avantaje evidente în definirea VLAN-urilor la nivelul 3 OSI. în primul rând, ele asigură partiţionarea pe baza tipului de protocol. Aceasta se poate dovedi o opţiune atractivă pentru administratorii de reţea, care trebuie să implementeze o strategie de VLAN pe baza unui serviciu sau a unei aplicaţii. în al doilea rând, utilizatorii îşi pot modifica locaţia fizică fără a mai fi nevoie să reconfigureze adresa de reţea a staţiei lor (acesta este un avantaj în special pentru cei ale căror staţii sunt configurate pe TCP/IP). în al treilea rând, definirea VLAN-urilor la nivelul 3 poate elimina nevoia pentru „frame tagging", necesară pentru a comunica între switch-uri informaţii referitoare la apartenenţa la un VLAN. Se reduce astfel traficul general.
Unul dintre dezavantajele definirii VLAN-urilor la nivelul 3 al modelului OSI (în comparaţie cu definirea pe baza adreselor MAC, sau pe baza porturilor) este performanţa. Analiza adreselor de la nivelul reţea în pachete este o acţiune care necesită mai mult timp decât analiza adreselor MAC din frame-uri. Din acest motiv, switch-urile care folosesc informaţii de la nivelul reţea pentru definirea VLAN-urilor au o latenţă mai mare decât cele care folosesc informaţii de la nivelul legătură-date. Această diferenţiere se întâlneşte la majoritatea producătorilor de switch-uri, însă nu este o regulă general valabilă.
VLAN-urile definite la nivelul reţea sunt eficiente în reţele bazate pe protocoalele TCP/IP, dar sunt mai puţin eficiente pentru reţelele bazate pe protocoalele IPX, DECnet sau AppleTalk, care nu presupun configurarea manuală la desktop. în plus, VLAN-urile definite la nivelul reţea al modelului OSI întâmpină dificultăţi la procesarea pachetelor unor protocoale nerutabile, precum NetBIOS. Staţiile finale care rulează protocoale nerutabile nu pot fi diferenţiate între ele, astfel că nu pot fi definite ca şi părţi componente ale unui VLAN configurat la nivelul reţea.
10.2. Configurarea VLAN-urilor
Manual
Configurarea VLAN-ului se face doar manual. Atât setarea iniţială, cât şi modificările şi repoziţionările ulterioare de echipamente în reţea sunt controlate de către administratorul de reţea. Configurarea manuală are însă şi avantajul controlului total asupra reţelei. însă, cu cât complexitatea reţelei şi dimensiunea acesteia creşte, cu Atât devine mai dificilă întreţinerea acesteia, astfel încât mentenanţa manuală este aproape imposibilă.
În plus, administrarea manuală înlătură însăşi unul dintre avantajele pe care le presupune existenţa unui VLAN, şi anume eliminarea timpului necesar pentru administrarea schimbărilor şi mutărilor (deşi mutarea unui utilizator în interiorul unui VLAN este mai uşor de realizat decât mutarea unui utilizator dintr-o subreţea în alta).
Semi-Automat
Configurarea semi-automată se referă la existenţa posibilităţii de a automatiza fie configurarea iniţială, fie modificările şi mutările ulterioare, fie ambele. Automatizarea iniţială e realizată de obicei printr-un set de instrumente care mapează VLAN-urile la subreţelele existente. Configurarea semi-automată poate de asemenea însemna că iniţial, configurarea se realizează manual, urmând ca toate modificările şi mutările ulterioare să fie îndeplinite automat. Combinarea configurării iniţiale automate cu urmărirea automatizată a schimbărilor tot presupune configurare semi-automată, pentru că administratorul are încă, în orice moment, posibilitatea de a interveni manual şi de a face orice schimbare.
Automat
Un sistem care are automatizată funcţia de configurare a unui VLAN presupune că staţiile de lucru se conectează automat şi dinamic la VLAN, în funcţie de aplicaţie, ID-ul utilizatorului sau alte politici predefinite de către administrator.
10.3. VLAN Trunking Protocol (VTP)
Procesul prin care unui cadru al unei reţele i se adaugă un antet pentru a identifica cărui VLAN aparţine se numeşte VLAN tagging (urmărirea VLAN-ului). în documentaţiile CISCO acest proces este denumit trunking.
Pentru Ethernet, CISCO oferă două opţiuni în ceea ce priveşte trunking-ul: ISL şi IEEE 802.1Q. ISL (Inter-Switch Link) urmăreşte cadrele folosind o opţiune proprietară CISCO în timp ce IEEE 802.1Q modifică antetul Ethernet prin adăugarea unui identificator pentru fiecare VLAN creat.
VTP este un protocol de nivel doi care asigură consistenţa VLAN-urilor prin crearea unui domeniu comun de administrare. Acest protocol gestionează adăugarea, ştergerea, modificarea VLAN-urilor între mai multe switch-uri.
Configuraţiile se realizează pe un singur switch numit server vtp şi sunt propagate prin legături de tip trunchi (trunk) către toate switch-urile din cadrul aceluiaşi domeniu.
VTP poate opera în trei moduri:
• Server. Serverele pot crea, modifica sau şterge VLAN-uri precum şi alţi parametri de configurare pentru un domeniu vtp.
• Client. Switch-urile care funcţionează ca şi clienţi vtp vor primi informaţiile necesare de la server (un switch) fără a necesita prea multe configurări individuale.
• Transparent. Un switch care funcţionează în acest mod nu transmite informaţiile cu privire la modificările efectuate asupra sa şi celorlalte switch-uri din domeniu. Aceste modificări afectează doar switch-ul respectiv.
Pentru că prea multă teorie fără practică nu foloseşte, ne-am gândit ca în cele ce urmează să exemplificăm partea de switching.
Înainte de a trece la fapte, se cuvine să facem câteva menţiuni, în primul rând, ne bazăm pe experienţa acumulată în cadrul reţelei FEAA: aproximativ 400 de staţii, 12 servere, o duzină de switch-uri şi un rest de hub-uri. în al doilea rând, switch-urile folosite sunt Catalyst-uri de la CISCO (din seria 1900 şi 2950), motiv pentru care în exemplele ce vor urma vom prezenta facilităţile acestor produse. în al treilea rând, nu pretindem că le ştim pe toate.
Familia de switch-uri Catalyst de la CISCO începe cu seria 1900 şi continuă cu 2950, 3500XL, 4000, 5000 şi 6000. Facilităţile (şi preţurile) variază de la un model la altul, dar majoritatea switch-urilor au propriul sistem de operare (IOS - Internetworking Operating System).
Un switch din seria 19001 poate fi configurat în trei moduri:
• De la o consolă prin intermediul unui meniu.
• Prin intermediul browserului (Web based Visual Switch Manager - VSM2).
• Dintr-o fereastră comandă (CLI - Command Line Interface).
Ne vom îndrepta atenţia asupra variantei de configurare CLI, deoarece varianta browserului nu oferă toate facilităţile de care ar avea nevoie un administrator. înainte de a prezenta principalele comenzi ale IOS, trebuie spus că la pornirea switch-ului, acesta afişează anumite valori implicite în funcţie de model. Pentru un switch 1900, cele mai importante sunt :
• IPaddress: 0.0.0.0;
• CDP: enabled;
• Switching mode : Fragment Free;
• lOOBaseT port: Autonegotiate duplex mode ;
• lOBaseT port: Half duplex;
• Spanning Tree : Enabled
• Console password: None.
|
|
