Комутація в корпоративній мережі
1.7.Комутація корпоративного рівня
1.7.1.Комутація і сегментація мережі
Хоча для створення корпоративної мережі використовуються як комутатори, так і маршрутизатори, архітектура більшості корпоративних мереж у значній мірі ґрунтується на комутаторах. Вартість комутаторів з розрахунку на порт, нижча, ніж у маршрутизаторів, і вони забезпечують швидке пересилання кадрів зі швидкістю передачі даних по кабелю.
Комутатор – універсальний пристрій 2-го рівня, який використовується для з'єднання декількох вузлів. У більш складному варіанті комутатор підключається до одного чи декількох комутаторів для створення, контролю та обслуговування резервних каналів і з'єднань VLAN. Комутатор однаково обробляє всі типи трафіку, незалежно від їхнього призначення.
Комутатор передає трафік у відповідності до MAC-адрес. Кожен комутатор тримає таблицю MAC-адрес у високопродуктивній пам'яті, що називається асоціативною пам'яттю (CAM). Комутатор заново створює таблицю при кожній активації, використовуючи MAC-адреси джерела вхідних кадрів і номера портів, через які вони отримані.
Комутатор видаляє запис з таблиці MAC-адрес, якщо вони не використовуються протягом визначеного періоду часу. Цей період називається таймером старіння (agіng tіmer).
Як тільки одноадресний кадр прибуває на порт, комутатор знаходить MAC-адресу джерела в кадрі. Потім він виконує пошук по таблиці MAC-адрес і знаходить запис, що відповідає адресі.
Якщо MAC-адреса відсутня в таблиці, комутатор додає MAC-адресу і номер порту та активує таймер старіння. Якщо MAC-адреса джерела вже існує, комутатор скидає таймер старіння.
Після цього комутатор шукає MAC-адресу призначення в таблиці MAC-адрес. Якщо запис існує, комутатор пересилає кадр на порт із відповідним номером. Якщо запису не існує, комутатор виконує лавинну маршрутизацію (floods) кадру через всі порти, крім порту, на якому він був прийнятий.
У корпоративному середовищі висока доступність, швидкість та смуга пропускання мережі мають першорядне значення. Розмір доменів широкомовного розсилання і доменів колізій впливає на потоки трафіку. Як правило, великі домени широкомовного розсилання і домени колізій погіршують ці критично важливі показники.
Якщо комутатор отримує широкомовний кадр, він розсилає його з усіх активних інтерфейсів так, як кадр із невідомою MAC-адресою призначення. Усі пристрої, що отримують широкомовне розсилання, складають домен широкомовного розсилання. При збільшенні числа з'єднаних комутаторів, розмір домену широкомовного розсилання також збільшується.
Домени колізій створюють аналогічну проблему. Чим більше пристроїв входить у домен колізій, тим частіше вони виникають.
Комутатори використовують функцію мікросегментації, щоб зменшити розмір домену колізій до одного порту комутатора.
Коли вузол підключається до порту комутатора, створюється виділене підключення. Коли два з'єднаних вузли взаємодіють один з одним, комутатор звертається до таблиці комутації і створює віртуальне підключення (мікросегмент) між портами.
Комутатор підтримує віртуальний канал (VC) до припинення сеансу. Кілька віртуальних каналів можуть бути активні одночасно. Мікросегментація покращує коефіцієнт використання смуги пропускання за рахунок зменшення кількості колізій і підтримки декількох паралельних підключень.
Комутатори можуть підтримувати симетричну та асиметричну комутацію. Комутатори, усі порти яких працюють на однаковій швидкості, називаються симетричними. Однак багато комутаторів мають два чи більше високошвидкісних порти. Ці високошвидкісні порти (порти для каскадування) використовуються для підключення до зон з більш високими вимогами до смуги пропускання. Сфери застосування таких портів:
підключення до інших комутаторів;
канали зв'язку з серверами;
підключення до інших мереж.
Для з'єднання портів, що працюють на різних швидкостях, використовується асиметрична комутація. При необхідності комутатор зберігає інформацію в пам'яті, щоб створити буфер між портами з різними швидкостями. Асиметричні комутатори широко поширені в корпоративних середовищах.
1.7.2.Багаторівнева комутація
Традиційно мережі складалися з окремих пристроїв 2-го і 3-го рівнів. Кожен пристрій використовував різні методи обробки і пересилання трафіку.
Рівень 2
Комутатори рівня 2 є апаратними. Вони пересилають трафік зі швидкістю, що відповідає швидкості передачі середовища, використовуючи внутрішні схеми, що фізично з'єднують кожен порт з усіма іншими портами. Процес пересилання використовує MAC-адресу і наявність MAC-адреси призначення в таблиці MAC-адрес. Комутатор 2-го рівня пересилає трафік тільки всередині одного мережевого сегменту або підмережі.
Рівень 3
Маршрутизатори є програмними пристроями і використовують мікропроцесори для маршрутизації на основі ІP-адрес. Маршрутизація 3-го рівня забезпечує пересилання трафіку між різними мережами та підмережами. Коли пакет приймається на інтерфейсі маршрутизатора, він використовує програмне забезпечення для пошуку ІP-адреси призначення та вибору оптимального шляху до мережі призначення. Потім маршрутизатор передає пакет на потрібний вихідний інтерфейс.
Багаторівневий комутатор поєднує функції комутатора 2-го рівня і маршрутизатора 3-го рівня. Комутація рівня 3 виконується в інтегральній схемі прикладної орієнтації (ASIC – Application-Specific Integrated Circuit). Для функцій пересилання кадрів і пакетів використовується одна мікросхема ASIC.
Багаторівневі комутатори часто зберігають або додають у кеш дані маршрутизації по джерелу і призначенню, отримані з першого пакету в діалозі. Наступним пакетам не доводиться виконувати пошук у таблиці маршрутизації тому, що вони знаходять дані маршрутизації в пам'яті. Таким чином, кешування збільшує продуктивність цих пристроїв.
1.7.3.Типи комутації
Коли з'явилася комутація, комутатори підтримували два методи пересилання кадру з одного порту на інший: пересилання з буферизацією (store and forward) і комутація без буферизації (cut-through swіtchіng). Кожен з методів має свої переваги і недоліки.
Комутація з буферизацією
При використанні цього типу комутації повний кадр зчитується і зберігається в пам'яті перед передачею пристрою призначення. Комутатор перевіряє цілісність бітів в кадрі, обчислюючи значення циклічного контролю парності (CRC – Cyclic Redundancy Check). Якщо розраховане значення CRC збігається зі значенням у полі CRC кадру, комутатор пересилає кадр через порт призначення. Комутатор не пересилає кадри, якщо значення CRC не збігаються. Значення CRC знаходиться в полі контрольної послідовності кадру (FCS – Frame Check Sequence) в кадрі Ethernet.
Хоча цей метод дозволяє запобігти передачі пошкоджених кадрів в інші сегменти, він викликає значні затримки. Тому комутація з буферизацією в основному використовується в середовищах з високою імовірністю виникнення помилок, наприклад у середовищах, що часто піддаються впливу електромагнітних імпульсів.
Наскрізна комутація
Інший основний метод комутації – наскрізна комутація. Наскрізна комутація включає два методи: швидке пересилання і комутація з виключенням фрагментів. При використанні обох методів комутатор пересилає кадр, не чекаючи його повного прийому. Оскільки комутатор не обчислює і не перевіряє значення CRC, можлива передача пошкоджених кадрів.
Швидке пересилання – найшвидший метод комутації. Комутатор пересилає кадри з порту призначення відразу після зчитування MAC-адреси. Цей метод характеризується найменшим запізненням, але може пересилати пошкоджені фрагменти. Цей метод комутації найкраще працює в стабільній мережі з невеликою кількістю помилок.
При комутації з виключенням фрагментів комутатор зчитує перші 64 байти кадру перед початком пересилання цього кадру з порту призначення. Мінімальний допустимий кадр Ethernet складає 64 байти. Кадри меншого розміру, як правило, є результатом колізій і називаються кадрами з недопустимо малою довжиною. Перевірка перших 64 байт гарантує, що комутатор не перенаправляє колізійні фрагменти.
Комутація з буферизацією має найбільшу затримку, швидке пересилання – найменшу. Затримки комутації з виключенням фрагментів лежать посередині між цими методами. Комутація з виключенням фрагментів є оптимальним методом у середовищах, в яких виникає багато колізій. У якісно спроектованій мережі колізії не є проблемою, тому кращим методом є швидка комутація.
В даний момент більшість комутаторів Cіsco для локальних мереж використовують метод з буферизацією. Це пов'язано з тим, що нові технології і низький час обробки дозволяють комутаторам зберігати й обробляти кадри майже так швидко, як при наскрізній комутації, але без помилок. Крім того, багато функцій вищого класу, такі як багаторівнева комутація, використовують метод комутації з буферизацією.
Крім того, деякі нові комутатори 2-го і 3-го рівнів можуть змінювати метод комутації відповідно до зміни стану мережі. Ці комутатори виконують швидке пересилання кадрів, щоб забезпечити мінімальну затримку. Незважаючи на те, що комутатор не виявляє помилки перед пересиланням кадру, помилки розпізнаються, і їхня кількість зберігається в пам'яті. Число виявлених помилок порівнюється з попередньо заданим граничним значенням.
Якщо кількість помилок перевищує граничне значення, значить комутатор передав недопустиме число помилкових кадрів. У цьому випадку комутатор переключається на метод з буферизацією. Якщо кількість помилок опускається нижче граничного значення, комутатор повертається в режим швидкого пересилання. Цей режим називається адаптивною наскрізною комутацією.
1.7.4.Безпека комутаторів
Незалежно від методу комутації потрібно підтримувати безпеку мережі. Засоби мережевої безпеки часто зосереджуються на маршрутизаторах і блокуванні трафіку ззовні. Комутатори є внутрішніми пристроями організації і розроблені для зручного доступу, тому до них застосовуються тільки найпростіші заходи безпеки, або не застосовуються взагалі.
Потрібно використовувати наступні базові заходи безпеки комутатора, щоб доступ до нього могли отримати тільки авторизовані співробітники:
захист фізичного доступу до пристрою;
використання безпечних паролів;
використовувати доступ через SSH;
відслідковувати доступ і трафік;
відключити доступ через http;
відключити порти, що не використовуються;
включити захист портів;
відключити Telnet.
|