Text
                    Принципы коммутации
в локальных сетях
Cisco®


Cisco® LAN Switching Kennedy Clark, CCfE#2175. CCSI Kevin Hamilton, JCSI Cisco Systems Cisco Press '• -й,*% ■•• . .„,'}„ Cisco Press . :;; : 201 West 103rd Street, Indianapolis, IN 46290 USA
КОММУТАЦИИ В ЛОКАЛЬНЫХ СЕТЯХ Cisco® i * "- ■"'yj'':'; v Кеннеди Кларк, CCIE#2175, CCSI Кевин Гамильтон, CCSI ^Ф -':.■■?&;.:.-:, Москва • Санкт-Петербург «Киев 2003
ББК 32.973.26-018.2.75 К47 УДК 681.3.07 Издательский дом "Вильяме" Зав. редакцией СМ. Тригуб Перевод с английского А.А. Высторопского, Т.В. Ничипорук, А. В. Судакова, В А. Швеца Под редакцией А.В. Мысника По общим вопросам обращайтесь в Издательский дом "Вильяме" по адресу: info@williamspublishing.com, http://www.williamspublishing.com Кларк, Кеннеди, Гамильтон, Кевин. К47 Принципы коммутации в локальных сетях Cisco. : Пер. с англ. — М. : Изда- Издательский дом "Вильяме", 2003. — 976 с. : ил. — Парал. тит. англ. ISBN 5-8459-0464-1 (рус.) В книге описаны методы проектирования, применения и внедрения коммутирующих уст- устройств в локальных сетях, а также технологии, используемые в современных территориальных сетях. Материал книги выходит далеко за рамки основных концепций коммутации и содержит примеры моделей сетей, а также описание различных стратегий поиска неисправностей. В этой книге представлены темы, которые помогут как гораздо точнее понять основные концепции коммутации, так и подготовиться к квалификационному экзамену на звание CCIE. В дополнение к обсуждению практических аспектов реализации самых современных методов коммутации, книга также содержит примеры реально существующих сетей, вопросов связанных с их внедрением и управлением, а так же практические упражнения и контроль- контрольные вопросы. ББК 32.973.26-018.2.75 Все названия программных продуктов являются зарегистрированными торговыми марками соответ- соответствующих фирм. Никакая часть настоящего издания ни в каких целях не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами, будь то электронные или механические, включая фотокопирование и запись на магнитный носитель, если на это нет письменного разрешения издатель- издательства Cisco Press. Authorized translation from the English language edition published by Cisco Press, Copyright © 2001 All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from the Publisher. Russian language edition published by Williams Publishing House according to the Agreement with R&I Enterprises International, Copyright © 2003 Книга подготовлена при участии Региональной сетевой исадемии Cisco, http://www.academy.ciscopress.ru. ISBN 5-8459-0464-1 (рус.) © Издательский дом "Вильяме", 2003 ISBN 1-57870-094-9 (англ.) © Cisco Press, 200I
Оглавление Об авторах 18 Предисловие 22 Введение 24 Часть I. Фундаментальные аспекты технологий локальных сетей 31 Глава 1. Технологии для настольных систем 33 Глава 2. Сегментация локальных сетей 65 Глава 3. Технологии функционирования мостов 85 Глава 4. Конфигурирование коммутаторов Catalyst 115 Глава 5. Виртуальные локальные сети 151 Часть П. Механизм распределенного связующего дерева 199 Глава 6. Основы протокола распределенного связующего дерева 201 Глава 7. Расширенные возможности протокола распределенного связующего дерева 247 Часть III. Магистральные соединения 343 Глава 8. Технологии и приложения магистральных соединений 345 Глава 9. Магистральное соединение с эмуляцией локальной сети 389 Глава 10. Многопротокольное магистральное соединение по сети ATM 459 Часть IV. Расширенные возможности 491 Глава 11. Коммутация третьего уровня 493 Глава 12. Протокол магистральных каналов виртуальных локальных сетей 581 Глава 13. Многоадресатные и широковещательные службы 617 Часть V. Современное проектирование и реализация территориальных сетей 647 Глава 14. Модели территориальных сетей 649 Глава 15. Реализация конструкции территориальной сети 691 Глава 16. Поиск и устранение неисправностей 757 Глава 17. Учебные примеры: внедрение коммутаторов в сети 779 Часть VI. Технология коммутаторов Catalyst 6000 869 Глава 18. Коммутация третьего уровня и коммутаторы Catalyst 6000/6500 871 Часть VII. Приложения 909 Приложение А. Ответы на контрольные вопросы 911 Предметный указатель 960
Содержание Об авторах 18 Технические рецензенты 18 Посвящения 19 Благодарности 20 Обозначения, используемые в книге 21 Предисловие 22 Введение 24 Цели книги 24 Для кого предназначена эта книга 25 Структура книги 26 Особенности и элементы книги 27 Контактные адреса авторов книги 28 Часть I. Фундаментальные аспекты технологий локальных сетей 31 Глава 1. Технологии для настольных систем 33 Устаревшая технология Ethernet 34 Доступ к среде передачи с контролем несущей и обнаружением конфликтов (CSMA/CD) 35 Адресация в технологии Ethernet 36 Форматы фреймов в локальных сетях 39 Временные интервалы технологии Ethernet 41 Скорость передачи фреймов и производительность сети Ethernet 42 Технология FastEthernet 43 Поддержка дуплексного и полудуплексного режимов передачи 45 Автонастройка режима 46 Стандарт 100BaseTX 47 Стандарт 100BaseT4 48 Стандарт 100BaseT2 48 Стандарт 100BaseFX 49 Интерфейс, независимый от среды передачи (МП) 50 Выбор диаметра сети (проектирование сети 100BaseT с использованием повторителей) 50 Практические советы 54 Технология Gigabit Ethernet 55 Структура Gigabit Ethernet 56 Поддержка дуплексного и полудуплексного режимов передачи 57 Физические среды передачи в стандарте Gigabit Ethernet 58 Технология Token Ring 60 Принципы работы сети Token Ring 60 Компоненты сети Token Ring 61 Резюме 62 Контрольные вопросы 63
Глава 2. Сегментация локальных сетей 65 Зачем нужна сегментация локальной сети 65 Сегментация локальных сетей с помощью повторителей 67 Совместное использование пропускной способности 69 Количество станций в одном сегменте 69 Расстояние между дальними концами сети 70 Сегментация локальных сетей с помощью мостов 72 Сегментация локальных сетей с помощью маршрутизаторов 76 Сегментация локальных сетей с помощью коммутаторов 79 Резюме 82 Контрольные вопросы 82 Глава 3. Технологии функционирования мостов 85 Метод мостового прозрачного перенаправления 85 Самообучение 87 Лавинная передача 88 Фильтрация фреймов 89 Перенаправление фреймов 89 Старение таблицы МАС-адресов 90 Режимы коммутации 91 Режим коммутации с промежуточным хранением 93 Сквозная коммутация 94 Коммутация с контролем фрагментов 94 Принципы работы мостов в технологии Token Ring 95 Метод мостового перенаправления от отправителя 96 Метод мостового прозрачного перенаправления от отправителя 98 Трансляционное мостовое перенаправление от отправителя 101 Коммутация в сетях Token Ring 105 Служба виртуального концентратора Token Ring (TrCRF) 106 Служба виртуального моста Token Ring (TrBRF) 107 Коммутационное перенаправление от отправителя 108 Протокол дублирующих колец (DRiP) ПО Ethernet или Token Ring? 110 Переход от технологии Token Ring к технологии Ethernet 111 Резюме 112 Контрольные вопросы 113 Глава 4. Конфигурирование коммутаторов Catalyst 115 Соглашения о синтаксисе интерфейса командной строки коммутаторов Catalyst моделей 5000/6000 116 Методы конфигурации коммутаторов Catalyst 5000 117 Конфигурирование устройства через консольный интерфейс 119 Конфигурирование устройства посредством службы Telnet 120 Конфигурирование устройства по протоколу TFTP 122 Использование интерфейса командной строки коммутаторов Catalyst 5000/6000 123 Вызов ранее выполненных команд 124 Использование интерактивной системы подсказок 126 Конфигурация модуля Supervisor 128 Содержание 7
Защита доступа к коммутатору Catalyst с помощью паролей 135 Процедура восстановления пароля устройств Catalyst 136 Работа с файлами конфигурации коммутатора Catalyst 138 Конфигурация модулей Supervisor I и II 138 Конфигурация модулей Supervisor II 139 Работа с файлами программного обеспечения 140 Работа с файлами программного обеспечения модулей Supervisor I и II 141 Работа с файлами программного обеспечения модулей Supervisor III 142 Загрузка программного обеспечения через последовательный порт 142 Использование резервных модулей Supervisor 142 Синхронизация конфигурации между резервными модулями Supervisor 144 Синхронизация файлов программного обеспечения между резервными модулями Supervisor 144 Конфигурирование коммутаторов Catalyst других моделей 145 Конфигурирование коммутаторов Catalyst серий 1900/2800 146 Конфигурирование коммутаторов Catalyst 3000 146 Контрольные вопросы 147 Глава 5. Виртуальные локальные сети 151 Что такое сети VLAN? 151 Типы сетей VLAN 154 Стандарт 802.1Q: взаимодействие между сетями VLAN и устройствами разных производителей 158 Доказательство необходимости применения сетей VLAN 161 Проблема 1: безопасность в сети 161 Проблема 2: распространение широковещательных сообщений 163 Проблема 3: использование пропускной способности 164 Проблема 4: задержки при передаче данных через маршрутизаторы 166 Проблема 5: сложные списки контроля доступа 166 Неверные мотивации необходимости использования сетей VLAN 167 Перемещение пользователей в сетях VLAN 168 Перемещение сетевых пользователей с точки зрения модели OSI 169 Использование сетей VLAN для избежания проблем, связанных с широковещательными доменами 172 Использование механизмов распределения третьего уровня для управления доступом к сети и балансировки нагрузки 174 Конфигурирование сетей VLAN в коммутаторах Catalyst 176 Планирование сетей VLAN 177 Создание сетей VLAN 180 Удаление сетей VLAN 182 Просмотр конфигурации сетей VLAN 184 Протокол VMPS и динамические сети VLAN: расширенное администрирование 185 Построение базы данных VMPS для TFTP-сервера 188 Конфигурация сервера VMPS 190 Конфигурация клиентов VMPS 193 Фильтрация на основе протоколов 195 Контрольные вопросы 196 8 Содержание
Часть П. Механизм распределенного связующего дерева 199 Глава 6. Основы протокола распределенного связующего дерева 201 Что такое распределенное связующее дерево? 202 Широковещательные петли 203 Искажение информации в таблицах мостов 205 Две ключевых концепции распределенного связующего дерева 206 Идентификатор моста 206 Стоимость маршрута 207 Алгоритм принятия решения 208 Три этапа начальной сходимости протокола STP 209 Этап 1: выбор корневого моста 210 Этап 2: выбор корневых портов 212 Этап 3: выбор назначенных портов 213 Краткое резюме начальной сходимости протокола STP 215 Основные состояния протокола STP 216 Таймеры протокола STP 218 Команда show spantree 220 Два типа сообщений BPDU 225 Конфигурационные сообщения BPDU 225 Сообщения BPDU об изменении топологии 229 Процесс изменения топологии 229 Применение протокола STP в реальных сетях 233 Определение местоположения корневого моста в сети 237 Указание корневого моста вручную: команда set spantree priority 237 Использование макроса set spantree root 238 Связующее дерево и виртуальные локальные сети 239 Упражнения 241 Контрольные вопросы 241 Лабораторные упражнения 243 Глава 7. Расширенные возможности протокола распределенного связующего дерева 247 Проектирование территориальных сетей: определение базовой пропускной способности 248 Использование протокола STP при определении базовой пропускной способности сети: обзор свойств протокола распределенного связующего дерева 250 Обработка сообщений BPDU 250 Обработка конфигурационных сообщений BPDU 254 Таймеры протокола STP 258 Границы действия распределенного связующего дерева 260 Балансирование нагрузки в протоколе STP 263 Общие принципы балансирования нагрузки с помощью протокола распределенного связующего дерева 264 Балансирование нагрузки за счет выбора местоположения корневого моста 266 Балансирование нагрузки с помощью установки приоритетов портов 270 Потенциальные проблемы использования метода балансирования нагрузки за счет изменения приоритетов в реальных сетях 278 Содержание 9
Балансирование нагрузки за счет изменения приоритетов мостов 281 Балансирование нагрузки за счет изменения стоимостей портов и сетей VLAN 284 Резюме по методам балансирования нагрузки 291 Быстрая сходимость протокола STP 292 Настройка таймера Max Age 293 Настройка таймера Forward Delay 298 Уменьшение hello-интервала до одной секунды 302 Технология PortFast 302 Технология UplinkFast 306 Технология BackboneFast 311 Отключение протокола PAgP 315 Полезные команды протокола STP 317 Общий синтаксис команды show spantree 317 Использование команды show spantree с опцией mod_num/port_num 318 Использование команды show spantree active 3l8 Использование команды show spantree summary 319 Использование команды show spantree blockedports 320 Регистрация событий протокола STP 320 Использование команды show spantree statistics 321 Технология PVST+ 324 Типы областей в технологии PVST+ 324 Организация туннелей и привязки в технологии PVST+ 325 Технология PVST+ и балансирование нагрузки 327 Отключение протокола STP 331 Практические советы по работе с протоколом STP 333 Упражнения 338 Контрольные вопросы 338 Лабораторные упражнения 340 Часть III. Магистральные соединения 343 Глава 8. Технологии и приложения магистральных соединений 345 Зачем нужны магистрали 345 Магистрали, серверы и маршрутизаторы 348 Ethernet-магистрали 349 Технология EtherChannel 350 Технология ISL 359 Технология динамического ISL (DISL) 362 Инкапсуляция 802.1 Q/802.1 р 366 Динамический протокол магистрали (DTP) 369 FDDI-магистрали и инкапсуляция 802.10 371 АТМ-магистрали 374 Технология LANE 376 Технология МРОА 378 Различные варианты магистральных соединений 380 Существующая инфраструктура 380 Уровень удобства технологии 381 Требования к надежности инфраструктуры 381 10 Содержание
Требования к пропускной способности 385 Контрольные вопросы 387 Глава 9. Магистральное соединение с эмуляцией локальной сети 389 Краткое руководство по технологии ATM 390 Основы технологии передачи ATM-ячеек, или пять вопросов по данной технологии, которые специалисты всегда стесняются задавать 390 ATM является технологией с установлением соединения 398 АТМ-адресация 399 Типы АТМ-устройств 404 Служебные протоколы технологии ATM 406 Когда следует использовать технологию ATM 407 Принцип работы технологии LANE 408 Сравнение сетей VLAN и ELAN 409 "Мошенничество" технологии LANE: имитация сетей LAN 409 Поиграем в "бар технологии LANE" 410 Создание виртуального канала для передачи данных 422 Этапы конфигурирования технологии LANE 430 Привязка номеров сетей VLAN к именам сетей ELAN 430 Синтаксис конфигурации 433 Этап 1: создание служебных соединений 434 Этап 2: создание серверов LES и BUS ("Бармена" и "Распространителя слухов") 435 Этап 3: создание сервера LECS ("Вышибалы") 436 Этап 4: создание клиентов LEC 438 Этап 5: добавление NSAP-адреса сервера LECS в конфигурацию ATM-коммутатора 438 Построение завершенной сети LANE 439 Проверка конфигурации сети LANE 441 Дополнительные средства и возможности технологии LANE 445 Где необходимо запускать службы технологии LANE 446 Использование жестко запрограммированных адресов 447 Протокол SSRP 447 Дублирование интерфейсов PHY 449 Использование известного NSAP-адреса для отыскания серверов LECS 452 Каналы PVC и методы ограничения трафика 453 Упражнения 454 Контрольные вопросы 454 Лабораторные упражнения 455 Глава 10. Многопротокольное магистральное соединение по сети ATM 459 Почему существуют два режима асинхронной передачи? 459 Передача данных внутри подсети 462 Передача данных между подсетями 462 Компоненты и модель технологии МРОА 462 Сервер многопротокольного соединения (MPS) 466 Клиент многопротокольного соединения 467 Технология LANE версии 2 469 Протокол NHRP 470 Содержание 11
Конфигурирование технологии МРОА 472 Конфигурирование базы данных сервера LECS с использованием идентификаторов сетей ELAN 474 Конфигурирование сервера MPS 475 Конфигурирование клиента МРС 478 Пример конфигурации МРОА-соединения 482 Поиск и устранение неисправностей в сети МРОА 484 Проверка работоспособности сетей ELAN между отправителем и получателем 485 Проверка работоспособности всех МРС-клиентов и MPS-серверов 485 Убедиться, что МРС-клиенты и МPS-серверы обнаружили друг друга 485 Проверка работоспособности серверов NHS и MPS на каждом участке стандартного маршрута 485 Проверка работоспособности серверов MPS и NHS 488 Другие причины отказа в работе МРОА-соединения 488 Контрольные вопросы 489 Часть IV. Расширенные возможности 491 Глава 11. Коммутация третьего уровня 493 Терминология коммутации третьего уровня 493 Значение маршрутизации 496 Линейный маршрутизатор 497 Раздельное подключение виртуальных локальных сетей 497 Магистральное подключение маршрутизаторов 500 Когда целесообразно применять схему с линейным маршрутизатором 505 Модуль коммутации маршрутов 505 Конфигурация модуля RSM 506 Интерфейсы модуля RSM 508 Поиск неисправностей с помощью модуля RSM 509 Применение модуля RSM 510 Технология MLS 511 Подробное изложение теоретических основ MLS-технологии 513 Старение кэша 521 Списки доступа и маски потоков 521 Процесс конфигурирования многоуровневой коммутации 526 Использование многоуровневой коммутации 529 Различные аспекты проектирования MLS-сетей 531 Другие возможности технологии MLS 540 Когда следует применять технологию MLS 543 Коммутирующие маршрутизаторы 544 Канал EtherChannel 547 Сравнение технологии MLS и маршрутизаторов 8500-й серии 548 Коммутация третьего уровня на базе коммутатора Catalyst 6000 554 Протокол HSRP 555 Балансирование нагрузки при помощи протокола HSRP для множественных групп 561 Интеграция маршрутизации и технологии объединения с помощью мостов 564 Объединение виртуальных локальных сетей с помощью мостов 564 12 Содержание
Функция IRB 566 Возможные проблемы при объединении виртуальных локальных сетей с помощью мостов 569 Устранение проблемы разорванной подсети 573 Рекомендации, касающиеся сочетания технологии мостового соединения и маршрутизации 577 Контрольные вопросы 578 Глава 12. Протокол магистральных каналов виртуальных локальных сетей 581 Основы протокола VTP 582 Режимы протокола VTP 589 Отправка VTP-сообщений 589 Прослушивание VTP-сообщений 590 Создание сетей VLAN 590 Хранение VLAN-информации 591 Распространение сети VLAN с помощью протокола VTP 592 Принцип действия протокола VTP 594 Номер ревизии конфигурации протокола VTP 596 Общие уведомления 597 Уведомления подгруппы 599 Запросы на уведомление 601 Конфигурирование режима протокола VTP 602 Мониторинг VTP-активности 603 Нужен или нет протокол VTP? 604 Вторая версия протокола VTP 609 Функция отсечения трафика протокола VTP: усовершенствованное управление потоком данных 611 Конфигурирование функции отсечения трафика 613 Контрольные вопросы 614 Глава 13. Многоадресатные и широковещательные службы 617 Протоколы CGMP/IGMP: усовершенствованное управление трафиком 618 Групповые адреса 619 Протокол IGMP 621 Статические настройки многоадресатного обмена 630 Протокол CGMP 631 IGMP-прослушивание: усовершенствованное управление трафиком 639 Подавление широковещательных рассылок: усовершенствованное управление трафиком 640 Аппаратное подавление широковещания 640 Программное подавление широковещания 642 Определение целесообразности применения программного или аппаратного подавления широковещания 643 Контрольные вопросы 643 Часть V. Современное проектирование и реализация территориальных сетей 647 Глава 14. Модели территориальных сетей 649 Изменение структуры трафика 650 Терминология в сфере проектирования территориальных сетей 652 Содержание 13
Кабельные узлы IDF и MDF 652 Трехуровневая модель территориальной сети: уровни доступа и распределения, базовый уровень 658 Ключевые требования при проектировании территориальных сетей 660 Преимущества маршрутизации 661 Модели территориальных сетей 663 Модель с использованием маршрутизатора и концентратора 664 Модель проектирования виртуальных локальных сетей территориального масштаба 665 Многоуровневая модель 670 Общие рекомендации: многоуровневая модель 672 Блоки распределения 673 Основа сети 678 Проектирование серверной группы 684 Использование уникального VTP-домена для каждого распределительного блока 685 IP-адресация 686 Расширение полосы пропускания канала 687 Переход к новым технологиям в сети 687 Упражнения 687 Контрольные вопросы 687 Лабораторная работа по проектированию сети 688 Глава 15. Реализация конструкции территориальной сети 691 Виртуальные локальные сети 691 Правильное применение сетей VLAN 691 Использование протокола DHCP для разрешения проблем мобильности пользователей 694 Нумерация сетей VLAN 694 Использование выразительных имен для сетей VLAN 697 Изолированные административные сети VLAN 698 Методика определения номера для административной сети VLAN 700 Меры безопасности при перемещении сети VLAN интерфейса SCO 702 Отсекание сетей VLAN от магистральных каналов 703 Создание беспетельных магистралей второго уровня 704 Применение сетей PLAN 708 Обработка ^маршрутизируемых протоколов 710 Распределенное связующее дерево 711 Поддержка малых размеров доменов распределенного связующего дерева 711 Отключение распределенного связующего дерева 713 Оценка структуры распределенного связующего дерева 714 Аспекты применения коммутирующих маршрутизаторов с целью фактического устранения механизма распределенного связующего дерева 715 Применение беспетельных административных сетей VLAN 716 Определение корневых мостов 718 Использование моста для балансирования нагрузки 719 Настройка таймеров 722 Распределенное связующее дерево и административная сеть VLAN 724 14 Содержание
Изучение имеющейся логической топологии механизма распределенного связующего дерева 724 Когда следует применять функции UplinkFast и BackboneFast 725 Применение функции PortFast 725 Когда недостаточно одного экземпляра распределенного связующего дерева 727 Балансирование нагрузки 728 Требования к балансированию нагрузки 728 Распределенное связующее дерево 729 Протокол HSRP 730 1Р-маршрутизация 731 Технология ATM 731 Канал EtherChannel 732 Маршрутизация, или коммутация третьего уровня 732 Стремление к модульности 732 Область применения технологии MLS и маршрутизирующих коммутаторов " 733 Область применения коммутирующих маршрутизаторов: устройств 8500-й серии 734 Область применения функции IRB 734 Ограничение излишнего информационного обмена маршрутизаторов 735 Балансирование нагрузки 736 Использование исключительно маршрутизируемых протоколов 736 Технология ATM 736 Области применения технологии ATM 736 Области применения технологии ATM 738 Использование протокола SSRP 740 Размещение серверов BUS 740 Технология МРОА 741 Аппаратные изменения 742 Изменение структуры территориальной сети 742 Использование перекрытия структур 743 Серверные группы 744 Размещение серверов 744 Распределенные серверные группы 747 Применение отказоустойчивых сетевых плат 747 Применение безопасных сетей VLAN в серверных группах 749 Дополнительные рекомендации по проектированию территориальных сетей 749 Рекомендации по проектированию уровня доступа 749 Рекомендации по проектированию уровня распределения 750 Рекомендации по проектированию базового уровня 750 Остерегайтесь разъединенных подсетей 750 Протокол VTP 752 Установка паролей 753 Конфигурация портов 753 Контрольные вопросы 754 Содержание 15
Глава 16. Поиск и устранение неисправностей 757 Философия различных подходов к устранению неисправностей 757 Ведение и обслуживание документации сети 758 Философия устранения неисправностей 1: ячеистый подход 759 Философия устранения неисправностей 2: оценка уровней эталонной модели OSI 764 Средства устранения неисправностей, предоставляемые коммутаторами Catalyst 767 Команды show 768 SPAN-анализатор 773 Протоколирование событий в устройствах Catalyst 775 Глава 17. Учебные примеры: внедрение коммутаторов в сети 779 Описание проекта 780 Следует ли использовать плоскую структуру сети? 782 Первый проект: использование технологии MLS с целью объединения обработки потоков данных на втором и третьем уровнях 786 Обсуждение проекта 786 Примеры конфигураций 796 Альтернативные конструкторские решения 834 Второй проект: максимальное использование технологий третьего уровня на основе коммутирующих маршрутизаторов Catalyst 8500 836 Обсуждение проекта 837 Примеры конфигураций 841 Альтернативные конструкторские решения 863 Резюме 866 Часть VI. Технология коммутаторов Catalyst 6000 869 Глава 18. Коммутация третьего уровня и коммутаторы Catalyst 6000/6500 871 Характеристики коммутации второго уровня устройства Catalyst 6000 872 Коммутация третьего уровня с помощью модуля MSM 873 Коммутация третьего уровня с помощью гибридного режима платы MSFC 879 Аппаратное обеспечение для поддержки гибридного режима платы MSFC 879 Конфигурационная модель гибридного режима платы MSFC 880 Конфигурирование многоуровневой коммутации с помощью гибридного режима платы MSFC 882 Преимущества и недостатки гибридного режима платы MSFC 886 Коммутация третьего уровня с помощью собственного IOS-режима платы MSFC 887 Преимущества собственного IOS-режима 887 Принцип действия собственного режима платы MSFC 889 Обзор конфигурации собственного IOS-режима платы MSFC 890 Типы интерфейсов собственного IOS-режима 893 Конфигурирование собственного IOS-режима 898 Этап 1: назначение имени маршрутизатора 900 Этап 2: конфигурирование протокола VTP 901 Этап 3: создание виртуальных локальных сетей 901 16 Содержание
Этап 4: конфигурирование внешних Gigabit Ethemet-каналов в качестве маршрутизируемых интерфейсов 901 Этап 5: конфигурирование портов сети VLAN 2 902 Этап 6: конфигурирование портов сети VLAN 3 902 Этап 7: конфигурирование магистрального порта 903 Этап 8: конфигурирование SVI-интерфейсов 903 Этап 9: конфигурирование маршрутизации 904 Полезные команды собственного IOS-режима 904 Контрольные вопросы 907 Часть VII. Приложения 909 Приложение А. Ответы на контрольные вопросы 911 Ответы на контрольные вопросы главы 1 911 Ответы на контрольные вопросы главы 2 912 Ответы на контрольные вопросы главы 3 914 Ответы на контрольные вопросы главы 4 915 Ответы на контрольные вопросы главы 5 917 Ответы на контрольные вопросы главы 6 920 Решение лабораторного задания главы 6 924 Ответы на контрольные вопросы главы 7 926 Лабораторная работа главы 7 931 Условия лабораторной работы 931 Решение лабораторной работы 932 Ответы на контрольные вопросы главы 8 934 Ответы на контрольные вопросы главы 9 934 Решение лабораторной работы главы 9 937 Примерная конфигурация для лабораторной работы 939 Ответы на контрольные вопросы главы 10 944 Ответы на контрольные вопросы главы 11 945 Ответы на контрольные вопросы главы 12 948 Ответы на контрольные вопросы главы 13 950 Ответы на контрольные вопросы главы 14 951 Решение лабораторного задания главы 14 953 Ответы на контрольные вопросы главы 15 955 Ответы на контрольные вопросы главы 18 958 Предметный указатель 960 Содержание 17
Об авторах Кеннеди Кларк (Kennedy Clark), сертифицированный эксперт по объединенным се- сетям корпорации Cisco — CCIE #2175 (Cisco Certified Internetworking Expert), работает главным техническим консультантом корпорации Menton Technologies (бывшая Chesapeake Computer Consultants, Inc.), которая имеет статус партнера по образованию корпорации Cisco (Cisco Training Partner). Кеннеди также владеет сертификатом инст- инструктора корпорации Cisco (Cisco Certified System Instructor — CCSI) и является пер- первым инструктором корпорации Cisco по системам Catalyst. С 1996 года его основные интересы связаны с системами коммутации Catalyst и технологиями коммутации ATM. За время работы в данной отрасли им было прочитано большое количество раз- различных курсов по соответствующим технологиям. В качестве консультанта Кеннеди принимал участие в разработке и реализации большого количества коммутируемых магистральных сетей. Восемнадцать месяцев он принимал участие в реализации про- проекта Mentor's vLab для разработки средств электронного обучения, которые дают воз- возможность доступа к оборудованию реальных сетей с помощью web-браузера. В рамках данного проекта Кеннеди разработал продукт vLab Assessment, позволяющий динами- динамически поддерживать обратную связь с пользователем, работающим со средствами сис- системы vLab. Кевин Гамильтон (Kevin Hamilton) также является инструктором и консультантом корпорации Menton Technologies. В качестве сертифицированного инструктора корпо- корпорации Cisco Кевин занимается, в основном, преподаванием курсов по системам Cisco Catalyst и технологии ATM. Перед тем, как получить работу в корпорации Chesapeake, Кевин Гамильтон одиннадцать лет работал в корпорации Litton-FiberCom, где прини- принимал участие в разработке и развертывании по всему миру большого количества ана- аналоговых и цифровых коммуникационных систем, включая системы на базе Ethernet, Tolken-Ring, FDDI и ATM. Кевин имеет степень по электротехнике, которую он по- получил в университете штата Пенсильвания. Технические рецензенты Мервин Андрейд (Merwyn Andrade) — старший инженер по техническому марке- маркетингу корпорации Cisco Systems, Inc., Сан-Хосе, штат Калифорния. Мервин работает с инженерами корпорации, Cisco, а также с клиентами по вопросам, касающимся коммутаторов корпорации Cisco, и по вопросам минимизации времени простоя, вре- времени сходимости протоколов, повышения надежности сетей. В данной области Мер- вин имеет действующий патент. Перед тем, как получить работу в Cisco, Мервин ра- работал на фондовой бирже города Бомбей, а также консультантом по сетевым техно- технологиям в корпорации HCL-Hewlett Packard в Индии. Имеет опыт работы в промышленности в качестве инженера по электронике. Филип Б. Боргеойс (Philip В. Borgeois) работает в компьютерной промышленности пятнадцать лет, семь из которых — в качестве специалиста по компьютерным сетям корпорации IBM. Последние пять лет работает старшим системным инженером в корпорации Cisco Systems. Филип является специалистом по разработке и построению больших IP- и многопротокольных сетей, включая разработку сложных распределен- распределенных сетей и локальных территориальных сетей. Он проводит консультации для боль- больших коммерческих предприятий в северо-западной области Соединенных Штатов,
включая страховые корпорации, учреждения здравоохранения, предприятия аэрокос- аэрокосмической отрасли, фармакологические корпорации, предприятия игрового бизнеса, государственные и административные учреждения, учреждения высшего образования. В данный Филип момент занимает должность инженера по системным консультациям с уклоном в сторону коммутируемых высокоскоростных локальных сетей и проектов по разработке сетей ATM. Дженнифер ДеХевен Кэрролл (Jennifer DeHaven Carroll) — главный консультант по международным сетевым службам. Она владеет сертификатом CCIE #1402 и степенью бакалавра компьютерных наук, полученной в университете штата Калифорния, г. Санта Барбара. За последние одиннадцать лет Дженнифер принимала участие в пла- планировании, разработке и построении большого количества компьютерных сетей с ис- использованием технологий второго и третьего уровней. Она также разработала и про- прочитала большое количество курсов по теории сетевых технологий и разработкам кор- корпорации Cisco в данной области. Стюарт Гамитьтон (Stuart Hamilton) — старший менеджер по промышленному се- сетевому дизайну корпорации Cisco Systems, где он также возглавляет команду инжене- инженеров, которая занимается разработками с учетом требований промышленных заказчи- заказчиков. Стюарт имеет сертификат CCIE и работает в корпорации Cisco с 1992 года в ка- качестве системного инженера и инженера-консультанта по широкому спектру вопросов, связанных с разработкой и реализацией компьютерных сетей для различных заказчиков. Стюарт имеет большой опыт работы на разных должностях, связанных с техническими и инженерными разработками. За 14 лет он был сотрудником таких корпораций, как Bell Northern Research, Northern Telecom (теперь Nortel Networks) и Cognos Incorporated. Том Носелла (Тот Nosella) — менеджер по технологиям сетевого дизайна, связан- связанных с промышленным направлением корпорации Cisco. Том и возглавляемая им группа инженеров занимаются разработкой направлений деятельности и экспертными оценками работы коллективов системных инженеров корпорации Cisco по всему ми- миру, связанных промышленными заказчиками. Том имеет сертификат CCIE и опыт ра- работы в течение 6 месяцев по обслуживанию и разработке больших сетей передачи данных внутри предприятия. На работу в корпорацию Cisco Том пришел из корпора- корпорации Bell Canada, где возглавлял группу сетевых инженеров, которая занималась пре- предоставлением услуг по обслуживанию компьютерных сетей для крупных промышлен- промышленных заказчиков. Посвящения Моей жене Дебби за самую большую поддержку, понимание, терпение и любовь из всех, о которых может просить человек. Богу за возможности, способности и пре- преимущества работать в такой захватывающей области и добиться успеха. Кеннеди Моей жене Эмили, настоящему автору в нашей семье, которая научила меня радо- радости общения через напечатанный лист и у которой теперь есть много романтических вечеров, которыми она так сильно дорожит и которыми ей пришлось пренебрегать. Моим четырем сыновьям: Джею, Скотту, Алексу и Калебу, которые терпеливо пере- переносили часы, когда отец закрывался в тихой комнате, вместо того чтобы побегать с мячом или сходить в поход. Кевин __
Благодарности Кеннеди Кларк. Как скупой читатель, я всегда достаточно легкомысленно относил- относился ко всякого рода посвящениям и благодарностям. Теперь, когда я начал сам писать книгу, я могу заверить, что такого больше не повторится. Написание книги (в осо- особенности по технологии, которая движется вперед настолько быстро, как коммута- коммутация) — очень ответственная работа, гарантирующая большое количество "различных спасибо". На том небольшом пространстве, которое мне отведено, я хотел бы выра- выразить признательность небольшому количеству людей, вовлеченных в данный проект. Во-первых, я хотел бы поблагодарить Кевина Гамильтона, моего соавтора. Кевин со- согласился принять участие в проекте, который уже практически был заброшен в связи с тем, что я был полностью подавлен ошеломляющим количеством работы, которую необходимо было проделать. Я хочу поблагодарить Радию Перльман (Radia Perlman) за чтение сообщений электронной почты и глав об алгоритме распределенного свя- связующего дерева "неизвестного автора". Хочу также поблагодарить сотрудников изда- издательства Cisco Press, с которыми было интересно работать (я прошу других авторов не забывать отмечать их): Крис Кливленд (Cris Cleveland) и Брет Бартоу (Brett Bartow) достойны того, чтобы их отметили специально. Многих специалистов из корпорации Cisco также хотелось бы поблагодарить: Джона Крауфурда (Jon Crawfurd) за предос- предоставление возможности "молодому специалисту" по системе NetWare поработать с маршрутизаторами; Стюарта Гамильтона за то, что он взял этот проект под свое кры- крыло; Мервина Андрейда за то, что он гений в средствах коммутации, каким я тоже на- надеюсь когда-нибудь стать; Тома Носеллу за то, что он был с проектом как одно целое. Я обязан высказать премного благодарностей коллегам из корпорации Chesapeake Computer Consultants. Особую благодарность хотелось бы высказать Тиму Брауну (Tim Brown) за то, что он прочитал мневдну из первых лекций по сетевым технологиям и остался верным другом и учителем. Также благодарю Тома Ван Метера (Tom Van Meter) за демонстрацию методов работы с технологиями ATM. В заключение хотелось бы высказать самую особую благодарность моей жене за ее бесконечную любовь и поддержку, и Богу — за возможности, способности и преимущества работать в такой захватывающей области и добиться успеха. Кевин Гамильтон. Проект такого масштаба отражает в себе огромную работу мно- многих людей, в особенности Кеннеди. Он до сих пор продолжает удивлять меня способ- способностью не только разбираться во всех деталях широкого диапазона тем (большинство из которых касается систем Catalyst), но и способностью повторять их, не обращаясь к документации через месяцы и годы. Его острота понимания сетевых технологий и методов коммуникаций постоянно подвигает меня к профессиональному развитию. Поэтому я хочу поблагодарить Кеннеди за возможность присоединиться к его работе и за знания, которые я получил в результате совместного написания книги. Я также хочу поблагодарить коллектив и инструкторов корпорации Chesapeake Computer Con- Consultants за постоянное вдохновение и поддержку, потому что иногда казалось, что мы никогда не напишем последнюю страницу. Хочу поблагодарить Тима Брауна, который научил меня, что технология тоже может быть веселой. В конце хотелось бы поблаго- поблагодарить коллектив издательства Cisco Press и особо отметить Брета Бартоу и Криса Кливленда за их дальновидность в руководстве этим проектом. Они упорно труди- трудились, заставляя нас работать и усиливая нашу целеустремленность. Я искренне уве- уверен, что без их руководства мы сами никогда не издали бы эту книгу. 20
Обозначения, используемые в книге В тексте книги используются следующие пиктограммы для обозначения коммута- коммутаторов различных типов: Коммутатор ATM Коммутатор Catalyst модели 5000 Маршрутизирующий коммутатор третьего уровня (MLS) Коммутирующий маршрутизатор третьего уровня (модель 8500) Кроме того, в книге используются точно такие же, как и в документации, постав- поставляемой корпорацией Cisco Systems, обозначения сетевых устройств, компьютерной периферии, типов соединений: Маршрутизатор Коммутатор Мост- Модуль множественного доступа (MAU) Повторитель Модем Концентратор gag Файловый сервер Принтер Телефон Терминал Рабочая станция Персональный компьютер Рабочая станция SUN Рабочая станция Macintosh Телеработник Сетевая среда Кольцо FDDI Линия последовательной передачи Линия передачи с коммутацией Кольцо Tolken Ring Линия передачи Ethernet 21
Предисловие С появлением технологий коммутации и особенно чрезвычайно удачных коммута- коммутаторов Catalyst производства корпорации Cisco Systems множество корпораций по все- всему миру начало модернизировать свои сетевые инфраструктуры для работы с прило- приложениями, требующими высокой пропускной способности сети. Несмотря на то, что первоначальной целью большинства коммутируемых сетей было главным образом обеспечение высокой пропускной способности, от современных сетей в большей сте- степени требуется обеспечение работы критически важных приложений и новых прило- приложений, работающих по технологии IP Voice1, чем обеспечение пропускной способно- способности магистрального канала. Поэтому важно не только использовать преимущества коммутаторов Catalyst в пропускной способности, но также изучить принципы по- построения сетей для передачи голосовой информации с использованием всех возмож- возможностей программного обеспечения коммутаторов Catalyst. Единственная вещь, которую разработчик сети усвоил за многие годы — это факт, что устройства не становятся проще, особенно если приходит время разбираться и использовать новые технологии, которые становятся доступными в качестве стандар- стандартов или о которых пишут в отраслевых журналах. Так, нам приходится читать о тех- технологиях МРОА, LANE, Gigabit Ethernet, 802.1Q, 802.1р, коммутации третьего уровня (Layer 3 switching), OSPF, BGP, VPN, MPLS и многих других. Тем не менее, ключе- ключевым моментом для успешного построения и обслуживания сети является понимание фундаментальных основ наиболее распространенных технологий, знание того, где и как данные технологии можно применить наиболее эффективно, и самое главное — умение использовать успешный опыт других по построению и использованию сетей. Разработка сети является отчасти искусством, а отчасти — наукой, и в основном это связано с тем, что разные приложения, использующие сети, генерируют разный сете- сетевой трафик с разными характеристиками, диапазон которых очень широк. Таким об- образом, возникает следующая проблема: если сеть была построена и ее производитель- производительность была оптимизирована только под определенные задачи, то несколько месяцев спустя появление новых приложений выдвигает абсолютно другие требования к сети. Научная основа построения территориальных сетей базируется на нескольких принципах. Во-первых, каждый пользователь подключается к порту коммутатора и каждый кабельный узел связан с коммутатром Catalyst, как, например, с устройством модели 5000, которое обеспечивает взаимодействие между конечными пользователями по сети Ethernet со скоростью 10 Мбит/с или чаще всего 100 Мбит/с. Тип коммута- коммутации, с которым приходится иметь дело в подобных ситуациях, называется коммутаци- коммутацией второго уровня (Layer 2 switching). Как правило, на практике стоит задача соединения друг с другом десятков или да- даже сотен кабельных узлов. Существует множество способов осуществления подобных соединений, но как показывает опыт, структурный иерархический подход оказывается наилучшим решением для создания сетей, которые устойчиво работают и легко мас- масштабируются. Кабельные узлы обычно соединяются на сетевом уровне, который еще ; IP Voice — технология передачи голоса или другой звуковой информации по каналам компью- компьютерных сетей, в том числе и в сети Internet. — Прим. перев. 22 Предисловие
называют уровнем распределения (distribution layer) и который характеризуется тем, что объединяет коммутацию второго и третьего уровней. Если сеть имеет большой размер и, значит, имеется много коммутаторов уровня распределения, то в соответствии со структурным подходом необходим еще один уро- уровень для создания сети, состоящей из коммутаторов уровня распределения. Обычно такой уровень называется базовым уровнем сети (core of network), и для него исполь- используется ряд технологий, которые относят к таким типам, как ATM, Gigabit Ethernet и коммутации третьего уровня. Вероятно, все перечисленное звучит достаточно просто, но как видно из толщины книги, существует много хитростей (и еще больше науки) в том, чтобы спроектиро- спроектированная сеть была высоко устойчивой, легко управляемой, расширяемой, легко подда- поддавалась ремонту и была надежным фундаментом для работы новых приложений. В данной книге детальное описание теоретических основ построения сетей приве- приведено во всех главах, но и, что более важно, детально описан опыт построения реаль- реальных сетей с использованием коммутаторов Catalyst. Авторы книги не только препода- преподают описанный материал в аудитории, но им также неоднократно приходилось дока- доказывать, что они могут реализовать работающую сеть у реального заказчика. Именно этот бесценный практический опыт положен в основу всей книги. Внимательное про- прочтение глав данной книги даст возможность сэкономить значительное количество времени, которое обычно тратится на длительные эксперименты по оптимизации ре- реальных сетей. В дополнение к сказанному данная книга является частью серии CCIE Professional Development издательства Cisco Press для подготовки к квалификационно- квалификационному экзамену на звание сертифицированного эксперта по объединенным сетям Cisco (Cisco Certified Internetwork Expert — CCIE), и материал, усвоенный из нее, будет очень полезным при подготовке к одному из самых популярных квалификационных экзаменов в промышленности. Стюарт Гамильтон, СС1Е#1282, старший менеджер по промышленному сетевому дизайну, корпорация Cisco Systems, Inc. Предисловие 23
Введение Благодаря множеству причин технологии коммутации локальных сетей букваль- буквально захватили весь мир с ураганной скоростью. Сеть Internet, web-технологии, новые приложения, передача звуковой и видео информации к одному устройству, мульти- мультимедийные потоки данных — все эти факторы привели к беспрецедентному увеличе- увеличению трафика в территориальных сетях. В ответ на такой всплеск потоков данных инженеры, занимающиеся разработкой сетевых устройств, вынуждены были пере- пересмотреть традиционные сетевые решения и остановили свой выбор на коммутации. Cisco — корпорация, которая традиционно занималась маршрутизаторами, сделала серьезный рывок в области разработки аппаратуры для коммутируемых локальных сетей и быстро достигла лидирующих позиций. Серия коммутаторов Catalyst уста- установила новые стандарты производительности, функциональности, не говоря уже об объемах продаж. Несмотря на популярность оборудования для локальных территориальных сетей, всегда было достаточно сложно раздобыть информацию о том, как правильно спроек- спроектировать сеть, установить и запустить оборудование. Хотя за последние несколько лет было выпущено много книг по технологиям маршрутизации, практически не было выпущено ни одной книги по коммутации в локальных сетях. То небольшое количе- количество книг, которые были выпущены, страдает туманностью изложения материала, не отражает сегодняшней реальной ситуации или характеризуется оторванностью от практики. Например, такие важные разделы, как "Протокол распределенного свя- связующего дерева" (Spanning Tree) и "Коммутация третьего уровня", вообще игнориру- игнорируются или раскрыты очень слабо. Более того, большинство книг не содержит никакой полезной информации о разработке локальных территориальных сетей. Данная книга была написана, чтобы изменить существующую ситуацию. Она со- содержит наиболее полное на момент выхода из печати описание технологии коммута- коммутации локальных сетей. В ней описаны не только фундаментальные моменты, но также дано большое количество практических рекомендаций, обсуждаются и анализируются оправдавшие себя модели, технологии, стратегии. Оба автора книги получили большой опыт работы с коммутируемыми локальными территориальными сетями, они являются одними из первых сертифицированных ин- инструкторов корпорации Cisco no системам Catalyst и имеют непосредственный опыт передачи знаний и понятий по системам коммутации. Благодаря большому опыту проектирования и реализации сетевых решений, они действительно детально понимают и могут объяснить, что в сети работает, а что — нет. Цели книги Книга Принципы коммутации в локальных сетях Cisco рассчитана на то, чтобы по- помочь специалистам углубить знания в такой захватывающей области, как коммутация в локальных территориальных сетях. Кандидаты на получение сертификата CCIE смогут найти здесь полное и всестороннее изложение материала, связанного с разно- разнообразными технологиями, имеющими отношение к коммутируемым сетям. Данная книга может быть также полезна всем специалистам в области сетевых технологий 24 Введение
благодаря наличию такой информации, как методы коммутации третьего уровня и описание практических результатов разработки локальных территориальных сетей, ко- которые трудно найти в других источниках. Для кого предназначена эта книга Книга Принципы коммутации в локальных сетях Cisco будет полезна широкому кругу читателей, работающих в области сетевых технологий. Она рассчитана на лю- любого сетевого администратора, инженера, проектировщика или менеджера, которому требуются детальные знания технологий коммутируемых локальных сетей. Также очевидно, что книга рассчитана на то, чтобы стать авторитетным источни- источником информации для инженеров, которые готовятся сдавать экзамены CCIE и Cisco Career Certification по разделам, посвященным коммутируемым сетям. Книга Принци- Принципы коммутации в локальных сетях Cisco не является руководством о том, "как быстро добиться успеха" или выучить экзамен (такие книги не имеют никакой ценности при сдаче практической части экзамена CCIE). Вместо этого она направлена на глубокое изложение теории и формирование практических знаний. В комбинации с практиче- практическим опытом такой подход может быть очень эффективным. Материал данной книги представлен значительно глубже, чем это необходимо только для предварительной подготовки. Книга рассчитана на то, чтобы стать учебни- учебником и справочным пособием для широкого круга специалистов по компьютерным се- сетям, включая следующие моменты: • людям, имеющим небольшой опыт работы с коммутируемыми сетями, наибо- наиболее полезным будет материал по фундаментальным вопросам, которому посвя- посвящена часть 1. В последующих главах описанный материал раскрывается более детально; • специалисты, которые имеют глубокие знания в области маршрутизации, но в то же время являются новичками в области коммутируемых территориальных сетей, смогут с помощью данной книги полностью открыть для себя мир новых технологий; • сетевые инженеры с большим опытом работы в коммутируемых сетях смогут углубить свои знания в данной области. Например, большая часть информации, посвященной протоколу распределенного связующего дерева, описанная в час- части 2, а также информация по разработке реальных сетей, описанная в части 5, раньше нигде не публиковалась. Материал по коммутаторам Catalys модели 6000, изложенный в части 6, также является практически новым; • проектировщики сетей смогут найти для себя информацию о моделях и о раз- различных проверенных на практике альтернативных стратегиях проектирования территориальных сетей; • для инженеров, которые имеют сертификат о сдаче экзамена CCIE, книга Принципы коммутации в локальных сетях Cisco будет ценным источником спра- справочной информации и информации по проектированию сетей. Введение 25
Структура книги Книга состоит из восемнадцати глав и одного приложения, которые разбиты на семь частей. • Часть I. Фундаментальные аспекты технологий локальных сетей. В данной части представлен материал, который является фундаментом для остальных глав книги. Сюда входит описание таких важных технологий, как Fast Ethernet и Gi- Gigabit Ethernet, сравнительное описание маршрутизации и коммутации, типы коммутации второго уровня, интерфейс командной строки коммутаторов Cata- Catalyst, технологии виртуальных локальных сетей (VLAN). Подготовленные читате- читатели могут пропустить чтение большей части данного материала, однако им все же рекомендуется хотя бы ознакомиться с главами, посвященными технологи- технологиям Gigabit Ethernet и сетям VLAN. • Часть П. Механизм распределенного связующего дерева. Протокол распределен- распределенного связующего дерева дает возможность привести территориальную сеть в ра- рабочее состояние, а также сделать ее неработоспособной. Несмотря на повсеме- повсеместное использование данного протокола, доступно очень мало публикаций по его внутренней структуре. Данный раздел содержит наиболее полную информа- информацию об этом практически важном протоколе. В разделе также описаны общие проблемы, связанные с протоколом распределенного связующего дерева, и ме- методы устранения неисправностей. Приводится описание важных расширений протокола, таких, как методы PortFast, UplinkFast, BackboneFast, PVTS+. • Часть III. Магистральные соединения. В этой части рассмотрены критические аспекты использования магистральных (trunking) соединений, которые служат для передачи трафика нескольких сетей VLAN по каналам территориальной се- сети. Глава 8 начинается с детального описания концепций магистральных со- соединений, а именно: виды магистралей, основанные на технологии Ethernet, протокол ISL, стандарт 802.1Q. Главы 9 и 10 посвящены технологиям магист- магистральных соединений, которые используют асинхронный режим передачи (ATM), а именно — технологии эмуляции локальных сетей (LANE) и техноло- технологии МРОА (Multiprotocol over ATM). • Часть IV. Расширенные возможности. Данная часть начинается с углубленного описания коммутации третьего уровня — технологии, благодаря которой воз- возникло само понятие коммутации в сетях. Рассмотрены разные виды маршрути- маршрутизации, такие, как маршрутизация MLS (маршрутизирующий коммутатор) и ап- аппаратная маршрутизация (коммутирующий маршрутизатор). Следующие два раздела посвящены протоколам магистральных соединений виртуальных ло- локальных сетей (VTP) и вопросам, касающимся протоколов групповой рассылки (multicast), таким, как протокол управления группами корпорации Cisco (CGMP) и методам перехвата протокола групповых сообщений Internet (IGMP Snooping). • Часть V. Современное проектирование и реализация территориальных сетей. Эта часть посвящена практическим деталям проектирования, реализации и поиска неисправностей реальных сетей. Данная часть направлена на то, чтобы помочь читателям коллективным советом большого количества экспертов по коммути- коммутируемым локальным сетям. 26 Введение
• Часть VI. Технология коммутаторов Catalyst 6000. Данная часть посвящена ана- анализу коммутаторов Catalyst моделей 6000 и 6500. Основное внимание уделяется коммутации третьего уровня и режиму работы коммутатора — "собственный IOS-режим" (Native IOS Mode). • Часть VII. Приложения. В приложении приведены ответы на контрольные во- вопросы и решения лабораторных заданий из всей книги. Особенности и элементы книги В каждом разделе, если существует такая возможность, приводится большое коли- количество вопросов и примеров для оценки и закрепления знания материала. Многие во- вопросы посвящены теоретическим моментам, чтобы проверить степень владения мате- материалом. Другие вопросы и тесты предоставляют возможность самостоятельно постро- построить план коммутируемой сети. Используя дополнительное оборудование, которое может быть вам доступно, вы сможете построить собственную лабораторию для ис- исследования коммутации в территориальных сетях. Для тех, кому повезло не так силь- сильно и у кого нет лишних стоек с коммутирующим оборудованием, авторы будут про- продолжать работу над проектом MentorLabs (http://mentorlabs.com), чтобы предос- предоставить возможность проведения лабораторных работ через сеть Internet. Для привлечения внимания читателей к важному или полезному материалу и за- заметкам на полях будут использоваться два вида пометок. Совет Советы используются для выделения важных мест или полезных указвний. Внимание! Такие элементы используются в качестве заметок на полях, которые имеют какое- либо отношение к основному тексту. В курсах, которые изложены в различных главах книги, часто используются эле- элементы синтаксиса командной строки коммутаторов Catalyst и маршрутизаторов Cisco. В данной книге используются те же соглашения по синтаксису, что и в документации корпорации Cisco. • Вертикальная черта | разделяет взаимоисключающие альтернативные элементы. • Квадратные скобки [] указывают, что заключенный в них элемент является не- необязательным. • Фигурные скобки {} указывают на необходимость выбора одного из элементов, заключенных в них. • Фигурные скобки внутри квадратных [{}] указывают на необходимость выбора среди необязательных элементов. • Команды и ключевые слова, выделенные полужирным шрифтом, указывают на необходимость ввода с консоли с точным соблюдением синтаксиса. • Курсивом отмечены аргументы, вместо которых пользователь должен подстав- подставлять собственные значения. Введение 27
Контактные адреса авторов книги В случае возникновения вопросов или комментариев, с авторами можно связаться по адресам электронной почты. Сообщайте найденные ошибки, и они будут исправ- исправлены в будущих изданиях. Более того, авторы являются "технарями" в самом прямом смысле этого слова, и поэтому всегда готовы принять участие в конструктивной тех- технической дискуссии. Кеннеди Кларк KClark@iname.com Кевин Гамильтон Khamilton@ccci.com 28 Введение
4, „- , ' f' -ws . ■^""Sife
Часть I Фундаментальные аспекты ^технологий локальных сетей Глава 1. Технологии для настольных систем Глава 2. Сегментация локальных сетей ? Глава 3. Технологии функционирования мостов ., Глава 4. Конфигурирование коммутаторов Catalyst у Глава 5. Виртуальные локальные сети
передачи ояшртролем обеспечишющих скор Форматы фреймов в л< форматы передачи па Технологий Fast Ethernii В этой главе... • Устаревшие технологий Jttnernet. Данный раздел посвящен описанию рае реализаций устаревших систем, использующих множественный доступ к среде щей и обнаружением конфликтов (CSMA/CD) и обмена информацией 10 Мбвд|с. х сетях, ^ра^еле'бпйсань&асто используемые 'В в се^УЕШегтщ. ijk JHariocwiee популярная на сегодняшЙи^^день разновид- разновидность технологии .^hernet, которая Обеспечивает скоросц», передачи 100 Мбит/с. В данном разделе приведено описание характеристик тё^ологии, а также описание" физических сред передачи.Jmit' ,0 '*''''*'"' Технология Gigabit Ethernet. Обеспечивае^^аибольидую скорость передачи всех^разновидностей Etheijiet. Даннй^%ехнология^^шла шир^ййе применение? для^магийгральных соединений хдМмутаторов Са1а1у^»для^^единения высо-|.з: юэпроизвф);ительных серверов;?"В этом разделе описан^^^^арактеристики цб разновидности физических cpeji передачи. Технология Token Ring. Технология Token Ring является 4ше одной популярна! альтернативой^ для лсйсальных сетей.2§ данном разделевприводится краткий е|| обзор. !:.jJ-, ЛУ '-«А,
Глава 1 Технологии для настольных Систем С момента изобретения локальных сетей (Local Area Network — LAN) в 1970-е го- годы большое количество различных сетевых технологий связывало разные точки нашей гойнеты. Некоторые из них исчезли и стали легендами, как, например, ArcNet, Star- LAN; наследием других мы пользуемся и сейчас, например, Ethernet, Token Ring, FDDI. Технолбгия ArcNet была основой для самых первых офисных сетей в 1980-х годах в связи с тем^-что компания Radio Shark продавала устройства для своих персо- | нальных компьютеров серии Model II на ее основе. Данная технология была простой, 1>( использовала коаксиальный кабель для передачи данных и поэтому позволяла офис- 'Сным администраторам' просто подключать к сети небольшое количество рабочих 1&танций. Технология StarLAN была одной из первых, которая использовала в качестве £рёды передачи витую^йару, и именно она послужила основой для стандарта сети gpHQBaseT, принятого Институтом инженеров по электротехнике и электронике (institute of Electrical and Electronic Engineers — IEEE). Обеспечивая скорость работы 1 Мбит/с, технология StarLAN позволила экспериментально установить, что исполь- использование в качестве среды передачи кабеля витой пары является практически осущест- осуществимым. Как технология ArcNet, так и технология StarLAN пользовались успехом на рынке недолго, поэтому что вскоре появились более быстрые технологии, такие, как Ethernet со скоростью 10 Мбит/с и Token Ring со скоростью передачи 4 Мбит/с. Но- й^|вые сетевые технологии обеспечивали большую скорость передачи, а новые рабочие Ш1' станции с большей скоростью обработки информации требовали более быстрых сетей, в связи с этим технологии ArcNet (которую в шутку называют ArchaicNet — архаиче- скай сеть) и StarLAN были обречены на вымирание. Устаревшие технологии все еще находят применение в качестве сетей уровня рас- распределения или магистральных сетей промышленных предприятий и офисов, но так же^ как это в свое время было с технологиями ArcNet и StarLAN, более быстрые ме- ^йДодй доступа Fast Ethernet, High Speed Token Ring и ATM все больше используются в w сфере вычислительных сетей. Несмотря на это, устаревшие технологии еще будут ис- использоваться много лет в связи с тем, что имеется большое количество соответствую- соответствующего оборудования. Потребители будут заменять сети Ethernet и Token Ring только в случае, когда используемые ими приложения начнут требовать большей пропуск- |)йу<:гюсобности. "*Ъ текущей главе обсуждаются устаревшие сетевые технологии, такие, как Ethernet Token Ring, а также новые технологии, такие, как Fast Ethernet и Gigabit Ethernet.
Несмотря на то, что Gigabit Ethernet еще не является популярной технологией для на- настольных систем, она также обсуждается в данном разделе, потому что имеет отноше- отношение к технологии Ethernet, а кроме того, она используется для магистральных соеди- соединений коммутаторов Catalyst между собой. В разделе ниже также описано, как рабо- работают различные методы доступа к физической среде передачи данных, некоторые их физические характеристики, различные форматы фреймов передачи данных, а также типы адресации. Устаревшая технология Ethernet Когда в компьютерной промышленности доминировали мэйнфреймы (mainframe), пользовательские терминалы (рабочие места) подключались непосредственно к пор- портам центрального компьютера или к контроллеру, который создавал видимость непо- непосредственного подключения. Каждому терминалу был выделен отдельный соедини- соединительный кабель. Когда пользователь вводил данные, терминал сразу передавал сигна- сигналы центральному узлу. Производительность системы определялась рабочей мощ- мощностью центрального компьютера. Если узел оказывался перегруженным, то пользова- пользователи сталкивались с задержкой ответов. Таким образом, линия связи между централь- центральной машиной и терминалом не была причиной задержек передачи сигнала. Каждому пользователю была доступна полная пропускная способность линии передачи незави- независимо от того, в какой степени загружен центральный компьютер. Менеджеры по установке оборудования, которые настраивали связь между глав- главным компьютером и терминалами, постоянно сталкивались с ограничениями, связан- связанными с максимальной длиной линии передачи, которые определялись технологией связи. Данная технология ограничивала радиус использования главной вычислитель- вычислительной машины сравнительно небольшим расстоянием. Более того, к проблеме расстоя- расстояния необходимо добавить большие затраты труда на установку кабелей, громоздкость всего сооружения и дороговизну обслуживания. Использование локальных сетей в значительной степени смягчило указанные выше моменты. Одно из непосредственных преимуществ использования локальных сетей — это сокращение затрат на установку и обслуживание средств связи, поскольку в локальных сетях нет необходимости прово- проводить кабели к рабочему месту каждого пользователя. Наоборот, теперь один кабель может соединить по очереди все рабочие места и позволить пользователям совместно использовать всю инфраструктуру вместо того, чтобы создавать отдельную инфра- инфраструктуру для каждой рабочей станции. Тем не менее, когда пользователи совместно используют один кабель, возникает технологическая проблема, а именно: как управлять тем, кто и когда должен захваты- захватывать среду передачи данных? В широковещательных технологиях передачи, таких, как кабельное телевидение (CATV), поддержка нескольких пользователей осуществляется путем распределения данных по нескольким частотным каналам. Например, будем считать каждый видеосигнал в системе кабельного телевидения потоком данных. Служба CATV позволяет передавать множество каналов в одном кабеле и, соответст- соответственно, несколько потоков данных параллельно. Описанный метод передачи называет- называется мультиплексированием с частотным разделением каналов (frequency division multi- multiplexing — FDM). С самого начала в локальных сетях использовалась узкополосная пе- передача (baseband) данных и, соответственно, не использовалось несколько каналов. В таком методе связи каждому пользователю предоставляется короткий период времени для передачи. 34 Часть I. Фундаментальные аспекты технологий локальных сетей
В технологиях Ethernet и Token Ring определен набор правил, который носит на- название метода доступа для совместного использования кабеля. Разные методы досту- доступа предполагают совместное использование кабеля разными путями, но позволяют достичь одной цели. Доступ к среде передачи с контролем несущей и обнаружением конфликтов (CSMA/CD) Множественный доступ к среде передачи с контролем несущей и обнаружением конфликтов (Carrier Sense Multiple Access Collision Detect — CSMA/CD) используется в технологии Ethernet. Правила, которые используются в методе CSMA/CD, похожи на те, которыми люди пользуются на собрании. На собрании каждый имеет право вы- выступить. Неписаное правило гласит, что только один человек имеет право говорить в любой момент времени. Когда вам есть что сказать, сначала нужно послушать, не го- говорит ли кто-нибудь в данный момент. Если кто-то уже выступает, то нужно подож- подождать, пока выступление закончится. В том случае, если вы уже начали говорить, то все равно нужно продолжать слушать, не начнет ли кто-то говорить одновременно с ва- вами; если да, то вам обоим необходимо замолчать и подождать в течение случайного интервала времени. Только после определенного периода времени вы и ваш партнер снова можете начать говорить. В том случае, если участники не придерживаются пра- правил выступления, то собрание срывается, и никакого эффективного общения не про- происходит. (К сожалению, в жизни такая ситуация встречается очень часто.) В технологии Ethernet метод множественного доступа подразумевает, что множест- множество рабочих станций подключатся к одному кабелю, и каждая из них имеет возмож- возможность передавать. Ни одна станция не имеет приоритета перед остальными, однако, каждая из них должна получить право на передачу посредством алгоритма доступа. Контроль несущей соответствует прослушиванию перед началом передачи. Адаптер сети Ethernet, который готовится к передаче данных, регистрирует уровень сигнала в среде передачи (несуший сигнал). Если сигнал передается по кабелю, значит, среда занята и необходимо подождать перед тем, как получить возможность передачи. Многие устройства, работающие по технологии Ethernet, имеют счетчик, который по- показывает, насколько часто приходилось ждать перед тем, как получить возможность передачи. Такой счетчик иногда называется счетчиком отсрочек (deferral counter), или счетчиком опозданий (back-off counter). Если значение счетчика отсрочек превышает пороговое значение в 15 попыток, то устройство, которое пытается передать пакет, считает, что оно уже никогда не получит доступ к среде передачи, и устройство- отправитель отбрасывает фрейм. Такая ситуация может возникнуть в случае, когда в сети находится очень много устройств, и ее пропускной способности недостаточно. Если описанная выше ситуация носит хронический характер, то сеть должна быть сегментирована на более мелкие подсети. В главе 2, "Сегментация локальных сетей", обсуждаются различные подходы к сегментации сетей. Когда уровень сигнала превы- превышает определенный порог, то система решает, что произошла коллизия. В случае, когда станции в сети обнаруживают коллизию, то все участники передачи генерируют сигнал подтверждения коллизии (collision enforcement signal). Сигнал подтверждения длится столько времени, сколько достаточно для передачи самого короткого фрейма. Для технологии Ethernet его длина составляет 64 байта. Принятые меры гарантируют, что все станции, которые находятся в сети, не будут передавать данных в то время, когда произошла коллизия. Если станция обнаруживает, что последовательно проис- Глава 1. Технологии для настольных систем 35
ходит очень большое число коллизий, то она прекращает передачу фрейма. Некото- Некоторые рабочие станции в таком случае выдают сообщение среда передачи недоступна (Media not available). Точный вид сообщения зависит от реализации, но в любом слу- случае рабочая станции старается информировать пользователя о том, что передача дан- данных невозможна по той или иной причине. Адресация в технологии Ethernet Каким образом рабочие станции идентифицируют друг друга? На собрании вы идентифицируете вашего собеседника по имени. У вас есть возможность адресовать свое выступление всем присутствующим, группе людей или кому-либо индивидуаль- индивидуально. Обращение с выступлением ко всем присутствующим равносильно широковеща- широковещательной передаче сообщению (broadcast), обращение к группе людей равносильно групповой рассылке сообщению (multicast), а обращение к кому-либо индивидуаль- индивидуально — одноадресатному сообщению (unicast). Большинство сообщений в сети одноад- ресатны по своей природе, и именно они образуют трафик между какой-либо рабочей станцией и каким-либо другим сетевым устройством. Некоторые приложения генери- генерируют трафик групповых широковещательных сообщений. Примером подобных при- приложений могут быть мультимедийные приложения для локальных сетей. Сетевой тра- трафик, который они генерируют, предназначен нескольким, но не обязательно всем, рабочим станциям. Средства для проведения видеоконференций часто используют групповую адресацию для доставки сообщений их участникам. Сетевые протоколы обычно создают широковещательный трафик. Так например Internet-протокол (IP) использует широковещательные пакеты для преобразования адресов (ARP) и других целей. Маршрутизаторы часто передают обновления таблицы маршрутизации, исполь- используя широковещательные фреймы. Другие сетевые протоколы, такие, как AppleTalk, DecNet, Novell IPX и т.д., используют широковещательную передачу для различных целей. На рис. 1.1 показана система из нескольких устройств, которые соединены друг с другом с помощью старой Ethernet-технологии. Плата адаптера Ethernet каждого уст- устройства имеет встроенный в данное устройство адрес длиной 48 бит F октетов), кото- который однозначно идентифицирует рабочую станцию. Данный адрес называется адре- адресом контроллера доступа к среде (Media Access Control address — MAC address) или аппаратным адресом (hardware address). Каждое устройство в локальной сети должно иметь свой уникальный МАС-адрес. МАС-адреса устройств выражаются в шестнадца- теричной форме, октеты разделяются с помощью знака "дефис" (-), "двоеточие" (:) или "точка" (.). Следующие три формы адреса являются адресом одного и того же уз- узла: 00-60-97-8F-4F-86, 00:60:97:8F:4F:86, 0060.978F.4F86. В данной книге, в основном, используется первая форма записи, т.к. программное обеспечение большинства ком- коммутаторов Catalyst использует именно ее при отображении на консольное устройство, однако, есть пара исключений, где встречается вторая и третья формы записи. Разли- Различия в форме записи МАС-адресов не должны вас смущать. Чтобы гарантировать уникальность адресов, первые три октета адреса идентифи- идентифицируют производителя интерфейсного адаптера. Они называются уникальным иден- идентификатором организации (Organization Unique Identifier — OUI). Каждый производи- производитель имеет свой уникальный идентификатор OUI, который присваивается Институтом инженеров по электротехнике и электронике (IEEE). Организация IEEE является всемирным администратором значений OUI. Для корпорации Cisco зарезервированы 36 Часть I. Фундаментальные аспекты технологий локальных сетей
несколько значений OUI: 00000C, 00067С, 0006С1, 001007, 00100В? 00100D, 001014, 00101F, 001029, 00102F, 001054, 001079, 00107В, 0010А6, 0010F6, 00400В (бывший OUI фирмы Crescendo), 00500F, 005014, 00502А, 00503Е, 005053, 005054, 005073, 005080, 0050А2, 0050А7, 0050BD, 0050Е2, 006009, 00603Е, 006047, 00605С, 006070, 006083, 00900С, 009021, 00902В, 00905F, 00906F, 009086, 009092, 0090А6, 0090АВ, 0090В1, 0090BF, 0090D9, 0090F2, 00D058, 00D0BB, 00D0C0, 00Е014, 00Е01Е, 00E034, 00E04F, 00E08F, 00E0A3, 00E0F7, 00E0F9 и 00E0FE. 001011, 0010FF, 005050, 00602F, 00906D, 00D006, 00E0B0, 00-60-08- 93-DB-C1 00-60-08- 93-АВ-12 Заголовок фрейма Ethernet Адрес получателя 00-60-08-93-АВ-12 Адрес отправителя 00-60-08-93-DB-C1 Рис. 1.1. Простая сеть Ethernet Последние три октета МАС-адреса соответствуют уникальному адресу адаптера данного устройства и назначаются производителем оборудования. Комбинация OUI и адреса адаптера составляет уникальный адрес устройства. Каждый производитель обо- оборудования должен гарантировать, что выпускаемые им устройства имеют уникальную комбинацию из шести октетов. Фреймы одноадресатной передачи В локальных сетях рабочие станции должны использовать МАС-адрес для адреса- адресации второго уровня (Layer 2 address), т.е. для идентификации отправителя и получате- получателя фрейма. Когда рабочая станция 1 передает рабочей станции 2 (см. рис. 1.1), то она генерирует фрейм, который содержит МАС-адрес станции 2 @0-60-08-93-АВ-12) — в качестве адреса получателя и МАС-адрес станции 1 @0-60-08-93-DB-C1) в качестве адреса отправителя. Такой фрейм является фреймом одноадресатной передачи (unicast frame). Т.к. данная локальная сеть использует общую среду доступа, то все рабочие станции в сети получают копию каждого фрейма. Однако, только станция номер 2 обрабатывает полученный фрейм. Все станции сети сравнивают МАС-адрес получате- получателя в заголовке фрейма со своим МАС-адресом. Если адреса не совпадают, то интер- интерфейсный модуль станции отбрасывает (игнорирует) фрейм и тем самым предотвраща- предотвращает загрузку центрального процессора сетевого устройства. Для станции 2 рассматри- рассматриваемые адреса совпадают, и полученный фрейм посылается центральному процессору для дальнейшего анализа. Центральный процессор определяет используемый прото- протокол и приложение, для которого данный пакет предназначен, и принимает решение о том, необходимо ли отбросить пакет или использовать его дальше. Глава 1. Технологии для настольных систем 37
Фреймы широковещательной передачи Не все фреймы содержат в качестве точки назначения одиночный адрес. Некото- Некоторые из них имеют широковещательный адрес или адрес групповой передачи в качест- качестве адреса получателя. Рабочие станции обрабатывают широковещательные фреймы и фреймы групповой передачи не так, как фреймы одноадресной. Они рассматривают широковещательные сообщения как объявления системы массового оповещения. Когда станция получает широковещательную информацию, это означает: "Внимание! Эта информация, вероятно, вам будет полезна!". Фреймы широковещательной пере- передачи содержат в качестве МАС-адреса получателя значение FF-FF-FF-FF-FF-FF (все биты установлены в 1). Так же, как и для одноадресных фреймов, все станции сети получают фрейм с широковещательным адресом получателя. Когда сетевой интерфейс сравнит адрес получателя со своим МАС-адресом, то они, очевидно, не совпадут. Обычно станция отбрасывает подобный пакет, потому что адрес получателя не совпа- совпадает с аппаратным адресом станции. Однако, широковещательные фреймы обрабаты- обрабатываются по-другому. Даже в случае несовпадения аппаратного адреса станции с адре- адресом получателя интерфейсный модуль все равно передает полученный фрейм цен- центральному процессору. Фрейм передается намеренно, т.к. в нем может содержаться важная информация для пользователя. К сожалению, вероятнее всего, только одна, а может быть, небольшое количество станций действительно нуждается в получении данного сообщения. Например, запрос преобразования адреса (ARP) протокола IP передается как широковещательный, хотя заранее известно, что на него будет отве- отвечать всего одна станция. Станция-отправитель посылает широковещательный запрос, т.к. она не знает МАС-адреса получателя и пытается его определить. Единственное, что известно станции-отправителю, когда она посылает запрос, это IP-адрес станции- получателя, однако такой информации недостаточно для адресации в локальной сети: необходимо, чтобы фрейм содержал так же МАС-адрес. В протоколах маршрутизации широковещательные МАС-адреса иногда использу- используются для передачи таблиц маршрутизации. Например, стандартно маршрутизаторы посылают обновления таблиц IP-маршрутизации с помощью протокола RIP каждые 30 секунд. Маршрутизатор посылает данные обновлений в широковещательных кад- кадрах, т.к. он может не знать адреса других маршрутизаторов в локальной сети. Посылая широковещательный запрос, маршрутизатор гарантирует, что обновление будет полу- получено всеми маршрутизаторами в локальной сети. Однако, в таком подходе есть и об- обратная сторона — все устройства в сети получат широковещательный фрейм и будут его обрабатывать, однако не многие из них действительно нуждаются в обновлениях таблицы маршрутизации. Таким образом, центральные процессоры всех устройств в сети будут загружаться. Если число широковещательных сообщений в сети станет очень большим, то рабочие станции не будут выполнять ту работу, которую долж- должны — исполнять программы текстовых процессоров или имитаторов полета, — они будут заняты обработкой бесполезных для них широковещательных сообщений. Фреймы групповой передачи Фреймы многоадресатной передачи (multicast frames) незначительно отличаются от широковещательных. Фреймы многоадресатной передачи адресованы группе уст- устройств, объединенных какой-либо общей задачей, и позволяют передавать только од- одну копию фрейма, даже если ее необходимо получить сразу нескольким станциям. Когда станция получает такой фрейм, она сравнивает его адрес получателя со своим аппаратным адресом. Если плата адаптера не сконфигурирована для приема группо- 38 Часть I. Фундаментальные аспекты технологий локальных сетей
вых фреймов, то сообщение отбрасывается сетевым интерфейсом и не требует затрат процессорного времени на его обработку. (Такой процесс протекает точно так же, как и в случае одноадресной передачи.) Например, устройства корпорации Cisco, которые поддерживают протокол обнаружения устройств Cisco (Cisco Discovery Protocol — CDP) и посылают периодические извещения другим устройствам Cisco, подключен- подключенным к локальной сети. Информация, которая содержится в таких извещениях, пред- представляет интерес только для устройств Cisco (и для сетевого администратора). Для их передачи устройство-отправитель может передавать одноадресные сообщения всем устройствам Cisco в отдельности. Такой поход означает, что по одному сегменту будет многократно передаваться лишняя информация. Далее, отправитель может не знать о том, что к сегменту сети подключены некоторые устройства Cisco, и для их определе- определения ему нужно передать широковещательный фрейм. Все устройства Cisco получат данный фрейм, его также получат и все остальные устройства в сети, которые могут не быть устройствами Cisco. Неплохой альтернативой широковещательному трафику является использование адресов групповой передачи. Устройства корпорации Cisco имеют специальный зарезервированный адрес групповой передачи 01-00-ОС-СС-СС- СС, который позволяет передавать данные всем устройствам Cisco на сегменте. Все другие устройства просто игнорируют такие групповые сообщения. Протокол маршрутизации Open Shortest Path First (OSPF — открытый протокол обнаружения первого кратчайшего пути) стека протоколов IP передает обновления таблицы маршрутизации на специально зарезервированный групповой адрес. Зарезер- Зарезервированные IP-адреса групповой передачи протокола OSPF: 224.0.0.5 и 224.0.0.6 транслируются в МАС-адреса групповой передачи 01-00-5Е-00-00-05 и 01-00-5Е-00- 00-06 соответственно. В главе 13 "Многоадресатные и широковещательные службы" обсуждается, как такие МАС-адреса вычисляются. Только маршрутизаторы, которые заинтересованы в получении обновлений по протоколу OSPF, конфигурируют свои сетевые интерфейсы для получения данных сообщений. Все остальные устройства от- отфильтровывают подобные фреймы. Форматы фреймов в локальных сетях Когда рабочие станции осуществляют передачу информации друг другу по локаль- локальной сети, данные формируются в некоторые структуры таким образом, что устройства знают, какой байт какую информацию содержит. Существуют несколько форматов фреймов. Когда вы конфигурируете устройство, вам необходимо определить, какой формат фреймов ваша станция будет использовать для передачи данных. Кроме того, следует принять во внимание, что может быть сконфигурировано более одного фор- формата, что обычно имеет место для маршрутизаторов. На рис. 1.2 проиллюстрированы четыре наиболее часто встречающиеся формата фреймов в сетях Ethernet. Некоторые пользователи достаточно свободно используют термины пакет и фрейм один вместо другого. Однако, согласно документу RFC 1122, существует определенная разница между этими двумя понятиями. Под фреймами по- понимается полное сообщение, начиная с информации заголовка канального уровня (уровень 2) и заканчивая данными пользователя. Пакеты не включают в себя заголов- заголовки второго уровня и содержат только заголовок протокола IP (заголовок протокола третьего уровня) и данные пользователя. Глава 1. Технологии для настольных систем 39
Формат фрейма Фрейм Поле заголовка второго уровня 14 октетов • Пакет > Поле данных 1500 октетов > Ethernetv2 (ARPA) МАС-адрес получателя 6 октетов МАС-адрес отправителя 6 октетов Длина 2 октета Данные 802.3 МАС-адрес получателя 6 октетов МАС-адрес отправителя 6 октетов Длина 2 октета Данные 802.3/802.2 МАС-адрес получателя 6 октетов МАС-адрес отправителя 6 октетов Длина 2 октета DSAP 1 октет SSAP 1 октет Управля- Управляющее поле Данные 802.3/802.2 SNAP МАС-адрес получателя 6 октетов МАС-адрас отправителя 6 октетов Длина 2 октета ОхАА 1 октет ОхАА 1 октет ОхОЗ 1 октет Код организации 3 октета Тип 2 октета Данные 4 октета Рис. 1.2. Четыре формата фреймов в технологии Ethernet Новые форматы фреймов локальных сетей разрабатывались по мере того, как сете- сетевая индустрия выдвигала новые требования, которые возникали при появлении новых протоколов передачи данных. Когда корпорация XEROX разработала первоначальный вариант технологии Ethernet (который позже был принят на вооружение сетевой про- промышленностью), формат фреймов Ethernet определялся так, как показано на рис. 1.2. Первые 6 октетов содержали МАС-адрес получателя, за ним следовали 6 октетов, со- содержащих МАС-адрес отправителя. Следующие 2 октета указывали станции-полу- станции-получателю правильный протокол третьего уровня, которому принадлежит пакет. Напри- Например, если пакет принадлежит протоколу IP, то значение данного поля равно 0x0800. В табл. 1.1 приведены шестнадцатеричные значения поля type (тип) для некоторых наиболее часто встречающихся протоколов. j Таблица 1.1. Значения поля type для наиболее часто встречающихся Л^\ | ,, ;| ,. , маршрутизируемых протоколов ' '■> Протокол Шестнадцатеричное значение поля type IP ARP Novell IPX AppleTalk Banyan Vines 802.3 0800 0806 8137 809B OBAD 0000-05DC Следом за полем type станция-получатель ожидает заголовок соответствующего протокола. Например, если значение поля указывает, что данный пакет является па- пакетом протокола IP, то следующие за ним данные станция-получатель пытается ин- интерпретировать как заголовок протокола IP. Если значение поля type равно 8137, то станция-получатель пытается обрабатывать пакет как пакет протокола Novell IPX. В документах организации IEEE описаны альтернативные форматы фреймов. В форматах IEEE 802.3 адреса отправителя и получателя остались, но вместо поля type указывается длина пакета. В промышленности используются три производных от дан- данного (IEEE 802.3) типа фреймов: обычный стандарт 802.3, 802.3 с 802.2 LLC (Logical 40 Часть I. Фундаментальные аспекты технологий локальных сетей
Link Control — управление логическим соединением), а также стаЕ-гдарты 802.3 с 802.2 и SNAP (standard network access protocol — стандартный протокол доступа к сети). Станция-получатель определяет, что используются фреймы форматов IEEE или фор- формата Ethernet по зеючснию 2-байтового поля, которое следует за МАС-адресом отпра- отправителя. Если значение данного поля попадает в промежуток от 0x0000 до OxO5DC A500 в десятичной системе исчисления), то оно содержит длину пакета; значения, указывающие тип протокола, должны быть больше OxO5DC. Временные интервалы технологии Ethernet Правила технологии Ethernet определяют, каким образом сетевые станции работа- работают с разделяемой средой передачи с множественным доступом (CSMA/CD). Согласно этим правилам, необходимо постоянно следить за возникновением коллизий, а в слу- случае их обнаружения постояегно докладывать остальным участникам сети о возникно- возникновении таких ситуаций. В технологии Ethernet определен канальный интервал (slotTime), который равен времени прохождения фрейма от одного конца сети к дру- другому. На рис. 1.3 показана станция 1, которая передает фрейм. Как раз перед тем, как фрейм дошел до станции 2, которая находится на противоположном конце сети, станция 2 также начинает передачу. Она начинает передачу, т.к. у нее есть информа- информация, которую Е1еобходимо передать, и она определяет, что линия свободна. Данный пример демонстрирует возникновение коллизии между устройствами, находящимися на противоположных концах сети. Для таких устройств временная задержка определя- определяет наихудший возможный вариант обнаружения коллизии и сообщения о ней осталь- остальным станциям. 25,6 мкс Рис. 1.3. Пример наихудшего возможного вари- варианта возникновения коллизии Правила технологии Ethernet гласят, что станции должны иметь возможность об- обнаружить коллизию и сообщить о ней самым дальним устройствам до того момента, как станция-отправитель закончит передавать фрейм. В частности, для устаревшей технологии Ethernet со скоростью передачи 10 Мбит/с все перечисленные события должны вложиться в интервал 51,2 мкс. Почему именно 51,2 мкс? Данный интервал времени определяется из расчета минимального размера фрейма, который соответст- соответствует минимальному интервалу времени постоянной передачи и, соответственно, ми- минимальному интервалу времени обнаружения и оповещения о коллизии. Минималь- Минимальный размер фрейма равен 64 байтам, что соответствует 512 битам. Время передачи одного бита равно 0,1 мкс. Приведенное значение рассчитывается из скорости пере- Глава 1. Технологии для настольных систем 41
дачи данных в сети Ethernet A/10 ), поэтому максимальный интервал для сети Ether- Ethernet можно рассчитать по такой формуле: 0,1 мкс/бит х 512 бит = 51,2 мкс. Далее, согласно спецификации технологии Ethernet максимальный канальный ин- интервал переводится в расстояние. В процессе распространения сигнала через различ- различные компоненты домена коллизий вносятся различные временные задержки. Для медных кабелей, оптоволокоешых линий связи и повторителей рассчитаЕ1Ы точные значения времени задержки. Доля задержки, которую вносит та или иная физическая среда передачи, зависит от ее физических свойств. Для правильно рассчитанной топо- топологии сети общее время задержки между самыми дальними концами сети должно быть меньше половины от 51,2 мкс. Такое условие гарантирует, что станция 2 успеет обнаружить коллизию и уведомить об этом станцию 1 до тех пор, пока она не закон- закончит передачу фрейма самой минимальной длины. Если для сети нарушены правила канального интервала (slotTime rules), и сеть имеет размер больший, чем тот, который сигнал проходит за 51,2 мкс, то в ней будут возникать запоздалые коллизии, что приведет к неработоспособности всей инфра- инфраструктуры. Когда сетевая станция передает фрейм, то она сохраняет его целиком в специальном буфере до того момента, пока передача фрейма не будет успешно завер- завершена (или не произойдет коллизии), или пока значение счетчика отсрочек не превы- превысит порогового зеичсния. Ситуация превышения порога отсрочек была описана ранее. Допустим, что сетевой администратор чрезмерно расширил сеть на рис. 1.3 путем ус- установки большого количества повторителей или путем использования сегментов очеЕ1ь большой длины. В таком случае, когда станция 1 осуществляет передачу, она решает, что передача фрейма успешно закончена, если за время передачи 64 октетов не про- произошло коллизии. Когда фрейм передан успешно, oei удаляется из буфера безвозврат- безвозвратно. Если сеть имеет чрезвычайно большую длину и правило канального интервала не выполЕшется, то станция-отправитель может узнать о возникновении коллизии после передачи первых 64 октетов. Однако, в буфере уже не будет данных фрейма, передачу которых необходимо повторить, т.к. станция-отправитель решила, что передача про- прошла успешно. Скорость передачи фреймов и производительность сети Ethernet О производительности сети Ethernet ведутся яростные дебаты. В частности, для се- сетевых администраторов наиболее интересен вопрос: "Какую среднюю загрузку может выдерживать сеть?" Некоторые администраторы заявляют, что средняя загрузка сети не должна превышать 30 процентов ее пропускной способности. Другие Етстаивают на 50 процентах. На самом деле ответ зависит от пользовательских запросов. Когда пользователи начинают жаловаться? Конечно, тогда, когда становится невозможным работать в сети! Сети редко поддерживают постоянную загрузку больше 50 процентов, т.к. пропускная способность теряется из-за коллизий. Коллизии загружают канал, а также приводят к тому, что станции повторяют передачу, что перегружает канал еще больше. Если бы сети не имели коллизий, то можно было бы добиться стопроцент- стопроцентного использования пропускной способности. Однако, реально такая ситуация Е1евоз- можна. Для того, чтобы чем-то можно было руководствоваться, рассмотрим теоретически скорость передачи фреймов в сети Ethernet. Скорость передачи зависит от размера 42 Часть I. Фундаментальные аспекты технологий локальных сетей
фрейма. Для расчета числа пакетов в секунду с учетом размера пакета воспользуемся следующей формулой. Число пакетов в секунду = 1 секунда / (IFG + PreambleTime + FrameTime), где: • IFG (Inter Frame Gap) — интервал времени между передачами фреймов, обыч- обычно его значение принимается равным 9,6 мкс; • PreambleTime — время, необходимое для передачи стартовых бит пакета; коли- количество стартовых бит равно 64 и, соответственно, время передачи равно 6,4 мкс; • FrameTime — время, необходимое для передачи фрейма; для фрейма размером 64 октета время передачи соответствует 51,2 мкс. Таким образом, число пакетов в секунду (pps) для фреймов размером 64 октета равно: 1 с / (9,4 + 6,4 + 51,2) мкс на пакет = 14880 пакетов в секунду. Рассмотрим другой крайний случай — скорость передачи для фреймов максималь- максимального размера 1518 октетов. 1 с / (9,4 + 6,4 + 1214,4) мкс на пакет = 812 пакетов в секунду. Загрузка сети на 30 процентов означает, что анализатор сетевого трафика показы- показывает постоянный поток данных порядка 3 Мбит/с, но этого недостаточно, чтобы оп- определить, насколько хорошо или плохо работает сеть. Пакеты какого размера, в ос- основном, загружают сеть? Обычно в физической среде присутствуют пакеты разных размеров. Каково количество коллизий в сети? Если их число небольшое, то передает только небольшое количество станций, что, в свою очередь, может означать, что сеть может поддерживать и большее количество передающих станций. В любом случае не- необходимо проводить большое количество измерений, а также ориентироваться на то, как пользователи оценивают скорость работы сети. Технология FastEthernet С появлением технологии Ethernet пропускная способность в 10 Мбит/с казалась для пользователей безграничной (почти как тогда, когда персональный компьютер имел 640 Кбайт оперативной памяти, и казалось, что больше никогда не понадобит- понадобится!1). Как только технологии рабочих станций начали развиваться быстрее, приложе- приложениям сразу же потребовалось передавать большее количество данных за более корот- короткое время. Если данные поступали из удаленных источников, а не из локальных уст- устройств хранения информации, то приложения требовали большей пропускной способности сети. Для новых приложений скорость передачи 10 Мбит/с оказалась достаточно низкой. Представьте себе ситуацию, когда хирургу необходимо загрузить медицинское изображение по совместно используемому каналу со скоростью переда- передачи 10 Мбит/с. Ему придется ждать, пока изображение загрузится, а потом начать или продолжить операцию. Если необходимое изображение имеет высокое разрешение, то его размер нередко составляет 100 Мбайт и время его загрузки может быть сущест- существенным. Предположим, что сеть обеспечивает скорость передачи порядка 500 Кбит/с ' Известное утверждение президента корпорации Microsoft Билла Гейтса (Bill Gates). — Прим. ред. Глава 1. Технологии для настольных систем 43
(что обычно имеет место для большинства сетей), то сколько времени в среднем зай- займет передача? Доктору придется ждать 26 мин, пока изображение загрузится. 100 Мбайт х 8 / 500 Кбит/с = 26 mhei. Если бы вы ждали окончания загрузки изображения на операциогмюм столе, то вы не были бы очеЕ1Ь счастливы! Как сетевой администратор больницы вы стали бы при- причиной усложнеЕшя хирургической операции в худшем случае или причиной перерыва в работе хирурга — в лучшем. Очсвидею, что такая ситуация Eie из приятных. К сожа- сожалению, множество компьютерных сетей в больницах работает именно таким образом, и подобная ситуация считается нормальной. Вполне понятно, что для поддержки ре- ресурсоемких приложеЕшй требуется большая пропускная спосо6еюсть. Наблюдая возрастание потребностей в сетях повышенной пропускной способно- способности, организация IEEE сформировала комитет 802.Зи, который начал работу над тех- технологией передачи со скоростью 100 Мбит/с, которая должна была использовать в качестве среды передачи кабель витой пары. В июне 1995 года комиссия IEEE приня- приняла спецификацию стандарта 802.Зи, которая определяет технологию передачи данных по локалыюй сети со скоростью 100 Мбит/с. Так же, как и технологии со скоростью передачи 10 Мбит/с, системы передачи со скоростью 100 Мбит/с используют множественный к среде передачи с контролем Eie- сущей и обнаружением конфликтов (CSMA/CD), но при этом обеспечивают десяти- кратЕюе повышеЕше производительности по сравнению с устаревшими 10- мегабитными системами. Т.к. данная технология работает в 10 раз быстрее, чем Ether- Ethernet 10 Мбит/с, то, соответственно, в 10 раз уменьшились и все временные характери- характеристики. Например, канальный ИЕ1тервал для Ethernet со скоростью передачи 100 Мбит/с составляет 5,12 мкс, а не 51,2 мкс, как раньше. Параметр IFG равен 0,96 мкс. И поскольку времеЕшые задержки умеЕ1ьшились в 10 раз по сравнению с Ethernet 10 Мбит/с, диаметр сети2 также должеЕ! быть уменьшен в 10 раз, чтобы избежать за- запоздалых коллизий. Стандарт lOOBaseX должен поддерживать те же типы фреймов, что и устаревшая техЕюлогия Ethernet. Таким образом, стандарт lOOBaseX определяет те же самые раз- размеры и структуры фреймов, что и lOBaseX. Все осталыше параметры делятся на 10 в связи с увеличеЕ*ием скорости передачи данных. При передаче фреймов из системы, которая соответствует стаЕщарту lOBaseX, в систему ешщарта lOOBaseX, устройству- компеЕюатору Е1ет Е1еобходимости преобразовывать заголовки фреймов второго уров- уровня, т.к. ое*и идеЕ1тичЕ1ы для обеих систем. ПервоЕЕачальЕЮ технология lOBaseT Ethernet с использоваЕшем витой пары под- поддерживала кабели категорий 3, 4, 5 с длиееой до 100 м. В дашюй технологии исполь- использовался всего одиее метод кодироваЕЕИя — манчестерский код, и максимальная частота сигнала была paBEia 20 МГц, что хорошо соответствовало пропускЕЕОй способности всех трех типов кабеля. В связи с большей скоростью передачи в тсхеюлогии 100BaseT создать один общий метод для работы со всеми типами кабелей Eie представляется возможе1Ьем. С учетом тсхеюлогий кодироваЕшя, которые были доступны на момент создания стандарта, комитет IEEE разработал варианты стандарта для поддержки ка- кабелей категории 3 и 5, а также была создана отдельная версия поддержки волокоешо- оптических линий связи. 2 Расстояние между крайними точками (устройствами) сети, при этом расстояние отсчитыва- ется по используемому кабелю. — Прим. ред. АА Часть I. Фундаментальные аспекты технологий локальных сетей
Поддержка дуплексного и полудуплексного режимов передачи Выше была рассмотрена устаревшая технология Ethernet и метод множественного доступа к среде передачи с контролем несущей и обнаружением конфликтов (CSMA/CD). В старой технологии Ethernet использовался метод CSMA/CD в связи с тем, что устройства, работающие в рамках данной технологии, были подключены к общей среде передачи, и только одно устройство могло передавать данные в любой момент времени. Когда одно устройство передает, все остальные обязаны принимать, в противном случае, в системе возникает коллизия. В системе, рассчитанной на ско- скорость передачи 10 Мбит/с, полная пропускная способность канала предоставлялась для передачи или приема в зависимости от того, является станция отправителем или получателем. Приведенное выше описание соответствует полудуплексному (half-duplex) режиму передачи данных. Первоначально стандарты локальных сетей определяли только работу в полудуп- полудуплексном режиме, позволяя лишь одной станции передавать в любой момент времени. Данная ситуация была побочным эффектом топологии сети с общей шиной, которая являлась наиболее общей в стандартах 10Base5 и 10Base2, и в рамках которой все станции подключались к общему кабелю. С введением технологии lOBaseT станции подключались к концентраторам (hub) через специальные выделенные двухточечные (poin-to-point) соединения. В такой топологии станции уже не использовали совмест- совместно один и тот же кабель. В стандарте lOOBaseX также использовались концентраторы и выделенные соединения "точка-точка". Т.к. соединительные кабели не использова- использовались совместно, появилась возможность ввести новый режим работы. Вместо работы в полудуплексном режиме системы получили возможность работать в дуплексном (full- duplex) режиме, что позволяло станциям принимать и передавать данные одновремен- одновременно и избегать необходимости определения коллизий. Какое преимущество давал такой режим? Самое ценное свойство сети — рост пропускной способности. Когда станции одновременно передают и принимают данные, они используют полную пропускную способность в обоих направлениях. Самая большая пропускная способность, которую могла обеспечить устаревшая технология Ethernet — 10 Мбит/с. Устройство либо только передавало, либо только принимало данные с заданной скоростью. В отличие от старой технологии устройства стандарта lOOBaseX, которые работали в дуплексном режиме, обеспечивали пропуск- пропускную способность 200 Мбит/с — 100 Мбит/с на передачу и 100 Мбит/с на прием. Пе- Переход на более новую технологию давал пользователям двадцатикратный, или даже более, выигрыш в пропускной способности. Раньше пользователи, подключенные к общему кабелю, практически могли использовать только несколько мегабит в секунду от эффективной пропускной способности. Модернизация сети с использованием тех- технологии со скоростью передачи 100 Мбит/с реально может обеспечить повышение эффективной пропускной способности в сто раз. Если ваши пользователи не оценили появление дополнительной пропускной способности, то вам нельзя позавидовать по поводу ваших коллег. Переведите их обратно на сеть 10 Мбит/с! Глава 1. Технологии для настольных систем 45
Внимание! Следует заметить, что если сетевой адаптер поддерживает работу в дуплексном ре- режиме 100BaseX, это не означает, что устройство, в которое данный адаптер включен, также поддерживает дуплексный режим. Действительно, некоторые устройства могут обеспечивать в дуплексном режиме меньшую пропускную способность, чем в полуду- полудуплексном. Например, операционная система Windows NT 4.0 не поддерживает работу в дуплексном режиме в связи с ограничениями драйвера. Некоторым рабочим станци- станциям корпорации SUN также присущ данный недостаток, особенно при работе с техноло- технологией Gigabit Ethernet. Комитет IEEE 802.Зх разработал стандарт для устройств, работающих в дуплекс- дуплексном режиме, который включает стандарты lOBaseT, lOOBaseX и lOOOBaseX (lOOOBaseX соответствует технологии Gigabit Ethernet, которая рассматривается ниже в разделе "Структура Gigabit Ethernet"). Стандарт 802.Зх также определяет механизм управления потоком (flow control). Управление потоком позволяет приемнику передавать специ- специальный фрейм обратно к источнику в случае переполнения буферов получателя. По- Получатель посылает специальный пакет, который называется фрейм паузы (pause frame). В данном фрейме получатель может потребовать, чтобы отправитель прекратил пере- передачу на некоторое время. Если получатель в состоянии обрабатывать входящий тра- трафик до момента, когда заканчивается указанный в фрейме паузы интервал, то он мо- может послать еще один фрейм паузы, который установит таймер в нулевое значение, что указывает отправителю на то, что он снова может начать передачу. Хотя системы стандарта lOOBaseX поддерживают и дуплексный, и полудуплексный режимы работы, есть возможность построить сеть, которая будет работать только в полудуплексном режиме. Такое утверждение означает, что устройства, подключенные к концентратору, могут совместно использовать пропускную способность так же, как и системы, работающие по устаревшей технологии Ethernet. В данном случае рабочая станция также должна работать в полудуплексном режиме. Для работы в дуплексном режиме устройство и концентратор (или коммутатор) должны поддерживать и быть сконфигурированными для работы в дуплексном режиме. Заметим также, что нельзя использовать дуплексный режим для работы с концентратором, который рассчитан на совместное использование среды передачи. Такие концентраторы могут работать только в полудуплексном режиме. Автонастройка режима При использовании комбинаций различных сетевых устройств, которые поддержи- поддерживают различные режимы передачи данных, в конфигурации устройств легко допустить ошибки. Необходимо определить, на какой скорости работают данные устройства — 10 Мбит/с или 100 Мбит/с, должны ли они работать в дуплексном или полудуплекс- полудуплексном режиме, и какой тип среды передачи необходимо использовать. Конфигурация сетевого устройства должна соответствовать конфигурации концентратора, к которому оно подключено. Автонастройка (autonegotiation) режима работы позволяет упростить процесс руч- ручной конфигурации за счет того, что устройство и концентратор сами договариваются о режиме, в котором достигается наибольшая возможная скорость работы. Комитетом 802.3и было предложено поддерживать средства автоматической установки режима с помощью так называемого импульса быстрого соединения (Fast Link Pulse — FLP). 46 Часть I. Фундаментальные аспекты технологий локальных сетей
Импульс FLP является усовершенствованной версией теста целостности соединения (Link Integrity Test), который используется в стандарте lOBaseT. Устройство посылает серию импульсов в линию, с помощью которых анонсирует, какие режимы оно под- поддерживает. Устройство, находящееся на другом конце соединения, также посылает се- серию извещений FLP, и оба устройства определяют, какой из поддерживаемых ими режимов имеет наибольший приоритет. Приоритеты различных режимов приведены в табл. 1.2. {.Таблица 1.2. Приоритеты, используемые при автонастройке режима [!,;• , рабОТЫ /,,„' ;>4 , ;,-/ .' ■ ,,/■.'■', , . , „ j Приоритет Режим 1 100BaseT2, дуплексный 2 100BaseT2, полудуплексный 3 100BaseTX, дуплексный 4 i00BaseT4, только полудуплексный 5 100BaseTX, полудуплексный 6 ЮВаэеТ, дуплексный 7 10BaseT, полудуплексный Согласно табл. 1.2, дуплексный режим 100BaseT2 имеет наибольший приоритет, в то время как самый медленный метод — полудуплексный lOBaseT, имеет самый низ- низкий приоритет. Приоритет определяется скоростью передачи, типом поддерживаемых кабелей и режимом дуплекса. Система всегда предпочитает скорость передачи 100 Мбит/с скорости 10 Мбит/с и всегда предпочитает дуплексный режим полудуп- полудуплексному. Следует заметить, что режим 100BaseT2 имеет больший приоритет, чем 100BaseTX. Данный приоритет определяется не тем, что стандарт 100BaseT2 использу- использует новые типы среды передачи, а тем, что он поддерживает большее количество раз- различных типов кабелей, чем стандарт 100BaseTX. Стандарт 100BaseTX поддерживает только кабель категории 5, в то время как стандарт 100BaseT2 — кабели категорий 3, 4 и 5. Совет Не все устройства поддерживают автонастройку режима передачи данных. Авторы книги несколько раз сталкивались с ситуациями, когда процесс автонастройки режима передачи приводил к сбоям в результате того, что оборудование не поддерживало со- соответствующую технологию, или в связи с некачественной ее реализацией. Поэтому обычно рекомендуется для важных сетевых устройств, таких, как маршрутизаторы, коммутаторы, мосты и сервера, производить установку режима работы вручную на обоих концах соединения, чтобы гарантировать, что после перегрузки такие устройст- устройства будут работать в одном режиме с портом концентратора или коммутатора. Стандарт 100BaseTX Многие существующие системы, работающие на витой паре и поддерживающие скорость передачи 10 Мбит/с, используют кабель категории 5 UTP (неэкранированная Глава 1. Технологии для настольных систем 47
витая пара — unshielded twisted-pair) и STP (экранированная витая пара — shielded twisted-pair). Устройства используют две пары проводов кабеля: пару контактов 1 и 2 — для передачи, и пару контактов 3 и 6 — для приема и определения коллизий. Та- Такая же структура используется в стандарте 100BaseTX. Таким образом, система кабе- кабелей категории 5, которая использовалась для работы по стандарту lOBaseT, должна поддерживать стандарт 100BaseTX. Данный факт также означает, что сеть, построен- построенная по стандарту lOOBas.eTX, должна работать при длине кабеля до 100 метров так же, как и в случае сети технологии lOBaseT. Согласно стандарту сеть 100BaseTX использует схему кодирования 4В/5В точно так же, как и распределенный интерфейс передачи данных по волоконно-оптическим ка- каналам (Fiber Distributed Data Interface — FDDI). В данной схеме кодирования к каж- каждым четырем битам данных пользователя прибавляется пятый бит. Такое кодирование означает, что при передаче возникают 25 процентов дополнительных затрат пропуск- пропускной способности за счет метода кодирования. Несмотря на то, что сеть стандарта 100BaseTX передает данные пользователя со скоростью 100 Мбит/с, скорость переда- передачи в линии составляет 125 мегабод3 (мы пытались рассказывать об этом нашим мар- маркетинговым службам, чтобы они не выставляли в своих спецификациях пропускную способность 125 мегабод). Стандарт 100BaseT4 Не все здания имеют сетевые инфраструктуры, в которых использован кабель кате- категории 5. В некоторых используется кабель категории 3, который раньше зачастую уста- устанавливался для передачи голосовых данных, и поэтому он так же носит название кабель для передачи голосовой информации (voice grade cable). Данный кабель проходит тестиро- тестирование для голосовых приложений и для приложений, рассчитанных на передачу данных с небольшой скоростью на частотах до 16 МГц. С другой стороны, кабель категории 5 рассчитан на передачу данных, и проходит тестирование на частоте 100 МГц. В связи с тем, что кабель категории 3 уже установлен во многих местах, а также в связи с тем, что многие сети lOBaseT построены на основе такого кабеля, комитет IEEE 802.3u включил возможность поддержки кабеля категории 3 в качестве необязательного пункта в соот- соответствующий стандарт. Так же, как в случае lOBaseT, соединения в стандарте 100BaseT4 могут работать при длине кабеля до 100 метров. Однако, для поддержки больших скоро- скоростей передачи в стандарте 100BaseT4 используются больше пар. Три пары используются для передачи и одна — для обнаружения коллизий. Еще один технологический аспект, который используется для обеспечения больших скоростей передачи по кабелю с малой пропускной способностью — использование специального алгоритма кодирования. В стандарте 100BaseT4 используется метод кодирования 8В/6Т (8 бит/6 троичных сигна- сигналов), который позволяет значительно снизить частоту сигнала при работе с кабелем для передачи голосовой информации. Стандарт 100BaseT2 Несмотря на то, что стандарт 100BaseT4 обеспечивает поддержку кабелей катего- категории 3, он требует использования четырех пар кабелей для нормальной работы. Боль- 3 Бод — единица скорости передачи сигнала. Равняется количеству дискретных элементов сиг- сигнала, переданных за одну секунду. Если каждый элемент сигнала представлен ровно одним битом, то количество бод равно количеству бит в секунду. — Прим. ред. 48 Часть I. Фундаментальные аспекты технологий локальных сетей
шинство кабелей категории 3 установлено для обеспечения голосовой связи. Если ис- использовать все пары кабеля для передачи данных, то не остается ни одной пары соб- собственно для передачи голоса. Стандарт 100BaseT2 был принят комитетом IEEE в 1997 году, и ему было присвоено название 802.3у. Он рассчитан на работу с кабелями ка- категории 3, 4, 5, и при этом использует всего две пары. Новое дополнение к стандарту 100BaseT предусматривает использование специальных микросхем для цифровой об- обработки сигналов, примеЕ1ение метода кодирования РАМ 5x5 D бита используются для указания одного из 25 возможных значений) и отдельно определяет работу с ка- кабелями малой пропускной способности. Максимальная длина соединителыюго кабеля в стандарте 100BaseT2 составляет 100 метров. Стандарт 100BaseFX Спецификация 802.Зи включает в себя вариант стандарта для работы с многомодо- вым и одномодовым оптоволокошшм кабелем4. В стандарте 100BaseFX используются два волокна (одна пара) оптоволоконного кабеля: одно волокно — для передачи, а другое — для приема. Так же, как и стаЕшарт 100BaseTX, 100BaseFX использует метод кодирования 4В/5В и передает сигнал с частотой 125 МГц по оптической линии. В каком случае необходимо использовать оптоволоконную версию? Во-первых, если вам необходима поддержка расстояний, больших 100 метров, многомодовое волокно мо- может передавать сигнал на расстояния до 2000 метров в дуплексном режиме и до 412 метров — в полудуплексном. Одномодовые линии могут передавать сигнал на рас- расстояния до 10 километров, что является очень ценным преимуществом. Еще одно преимущество оптоволокна — его электроизоляционные свойства. Например, если есть необходимость установить кабель в местах сильЕ1Ых электрических наводок (возле высоковольтных линий передачи или траЕюформаторов), то оптоволоконная линия — наилучший вариант. Невосприимчивость данного типа кабеля к электрическим Eia- водкам делает его идеалы1ым в приведеЕшой ситуации. При установке систем в мес- местах, где оборудование часто портится молниями, или в случае наличия паразитных контуров в земле между зданиями необходимо использовать оптоволокно, т.к. через оптоволоконЕ1ЫЙ кабель не проходят электрические сигналы, которые могут испор- испортить оборудование. Таблица Стандарт 10BaseT 100BaseTX 100BaseT4 100BaseT2 100BaseFX 100BaseFX 1.3. Сравнительные характеристики различных физических сред передачи стандарта 100BaseX Тип кабеля Категория 3,4,5 Категория 5 Категория 3 Категория 3,4,5 Многомодовый Одномодовый 4 Волоконно-оптическая лини} Режим работы Необходимое количество пар полудуплекс 2 полудуплекс, дуплекс 2 полудуплекс 4 полудуплекс, дуплекс 2 полудуплекс, дуплекс 1 полудуплекс, дуплекс 1 ; связи — ВОЛС. — Прим. перев. Расстояние (в метрах) 100 100 100 100 412 (полудуплекс) 2000 (дуплекс) 10000 Глава 1. Технологии для настольных систем 49
Заметим, что для многомодового оптоволокна определены две максимальные дли- длины кабеля. Если оборудование работает в полудуплексном режиме, то данные могут передаваться только на расстояния до 412 м. Дуплексный режим позволяет использо- использовать технологию на расстояниях до 2 км. Интерфейс, независимый от среды передачи (МП) При покупке сетевого оборудования обычно приобретается система с каким-либо определенным типом сетевого интерфейса, например, покупается маршрутизатор, рассчитанный на подключение к сети 100BaseTX. Если оборудование приобретается в таком варианте исполнения, то трансивер 100BaseTX встроен в соответствующий мо- модуль. Такой тип подключеЕ*ия обеспечивает нормальную работу, если он используется для подсоединения к другому устройству (рабочая станция, коммутатор, концентра- концентратор), которое также имеет разъем для подключения к линии 100BaseTX. А что делать, если возникнет ситуация, когда маршрутизатор необходимо перенести в другое место, и расстояние при этом изменилось настолько, что для подключения требуется уже не медный провод, а оптическая линия связи? В таком случае придется приобретать но- новый модуль, что может быть достаточно дорого. Альтернативой данному решению может быть использование подключения через интерфейс, независимый от среды передачи (Media Independent Interface — МП). Разъем МП имеет 40 контактов, которые позволяют подключать внешний трансивер, который имеет разъем МИ с одной стороны и интерфейс 100BaseTX — с другой. По своим функциям такая структура является аналогичной подключению адаптера Ether- Ethernet 10 Мбит/с к разъему AUI (Attachment Unit Interface — интерфейс подключаемых модулей). В таком случае создается возможность изменения типа физической среды передачи без замены модулей. Вместо этого меняется менее дорогой адаптер среды передачи (трансивер). При использовании технологии Fast Ethernet все, что необхо- необходимо сделать при смене типа интерфейса — это заменить трансивер, который под- подключается к интерфейсу MMI. Потенциально такая замена обойдется значительно дешевле, чем замена всего модуля. Выбор диаметра сети (проектирование сети 100BaseT с использованием повторителей) В устаревших системах Ethernet повторители позволяли увеличить длиЕ1у исполь- используемых кабелей и тем самым расширить сеть до размеров, больших, чем длина сег- сегмента. Например, сегмент в сети 10Base2 мог иметь максимальную длиЕ1у 185 м. Если администратору необходимо подключение устройств, которые находятся на расстоя- Е1ии большем длиЕ1ы сегмента, можно использовать повторитель для подключения второй секции кабеля 10Base2. В сети lOBaseT функции повторителей выполняли концентраторы, которые позволяли соединять вместе два сегмента кабеля длиной до 100 м. Более подробно устаревшие варианты повторителей рассматриваются в главе 2, "Сегментация локальных сетей". Спецификация 802.Зи определяет два класса повторителей для систем 100BaseTX, которые отличаются временем задержки, которое, в свою очередь, определяет вели- величину диаметра сети. Повторители класса I характеризуются задержкой не более 0,7 мкс, а повторители класса II — задержкой не более 0,46 мкс. В сети 100BaseTX допускается использоваЕше только одного повторителя класса I или Eie более двух по- 50 Часть I. Фундаментальные аспекты технологий локальных сетей
вторителей класса II. Для чего необходимы два класса повторителей, которые приве- приведены выше? Повторители класса I преобразуют сигнал, полученный на любом порту во внут- внутреннюю цифровую форму. При передаче сигнал преобразуется обратно в аналоговую форму передающим портом. Такое преобразование позволяет использовать различные смешанные типы портов для повторителей класса I, такие как 100BaseTX, 100BaseT4, 100BaseT2 или 100BaseFX. Следует вспомнить, что схемы кодирования сигналов в ли- линии для перечисленных типов сетей различны. Единственные сети, которые имеют общую схему кодирования 4В/5В — это сети 100BaseTX и 100BaseFX. Повторители класса I позволяют производить преобразование из одного типа кодирования в линии передачи в другой. Повторители класса II являются более простыми. Они имеют порты, в которых используется только один метод кодирования. Таким образом, при использовании ка- кабелей 100BaseT4 все порты повторителя класса II также должны быть стандарта 100BaseT4, а при использовании сети 100BaseT2 все порты такого повторителя долж- должны соответствовать стандарту 100BaseT2. Единственное исключение — совместное ис- использование портов стандарта 100BaseTX и 100BaseFX, т.к. в обоих случаях применя- применяется кодирование 4В/5В, и в преобразовании сигнала нет необходимости. Меньшее время задержки повторителей класса II позволяет поддерживать сети не- несколько большего диаметра, чем в случае использования устройств класса I. Цифро- аналоговое преобразование сигналов и преобразование кодов требует больших затрат времени. В связи с этим повторители класса I вносят большую задержку, чем устрой- устройства класса II, и тем самым уменьшают возможный диаметр сети. На рис. 1.4 показано прямое соединение двух стан- станций без использования повторителей. Каждая станция —| кабельитР fmt называется терминальным устройством (DTE — Data JggJL —"~ --~_=^— J=JL Terminal Equipment). Трансиверы и концентраторы шшт "* 100 метров * шшш обычно называются телекоммуникационным оборудо- оборудованием (DCE — data communication equipment). Для *""■ Оптоволокно П| соединения устройств DTE и DCE используется ка- мЦиг^ И2мстрор - ^ИиР11 бель прямого типа (straight through), для соединения устройств DTE и DTE или DCE и DCE используется Рис 1.4. Соединение двух уст- кабель перекрещенного типа (crossover); для соедине- ройств DTE ния может быть использован как медный кабель, так и оптоволокно. В ситуации, показанной на рисунке, используется перекрещенный ка- кабель. В перекрещенном кабеле контакты, подключенные к приемнику, соединяются с контактами, подключенными к передатчику. Если в такой ситуации использовать прямой кабель, то "контакты передатчика" будут подключены к "контактам прием- приемника", и система работать не будет (светодиоды, которые показывают наличие соеди- соединения, светиться не будут). Внимание! Существуют исключения, когда два устройства DTE и DCE могут быть соединены друг с другом с помощью прямого кабеля. У некоторых устройств есть порты MDI (meidal interface) и MDIX. Порт MDIX имеет перекрещенные контакты. У всех устройств боль- большинство портов имеет тип MDI. Для подключения портов MDI к портам MDIX необхо- необходимо использовать прямой кабель. Глава 1. Технологии для настольных систем 51
Использование повторителя класса I (см. рис. 1.5) позволяет увеличить расстояние между рабочими станциями. Заметим, что при использовании такого устройства мож- можно соединять сети с различной физической средой передачи. Любая комбинация ли- линий 100BaseTX, 100BaseT4, 100BaseT2 или 100BaseFX должна работать. Только один повторитель класса I может быть установлен в сети. Для соединения между собой та- таких повторителей необходимо использовать мост, коммутатор или маршрутизатор. п| Оптоволокно шг "Ч UTP шг ■« 100 метров - 272 метров ШИН- > Оптоволокно г* 100BaseFX оптоволокно f ш 261 метр (ТХ)/231метр(Т2Д4) ► •ЯЛ 1 от 100BaseT W KiOOBaseF *ТГ от 100BaseT W KiOOBaseF Рис. 1.5. Сеть с повторителем класса I Сегменты 100BaseT, объединенные с помощью моста Повторители класса II могут работать только в том случае, если к ним подключе- подключены кабели одного стандарта; например, в том случае, если сеть построена по техно- технологии 100Base4, все порты должны быть стандарта 100Base4. Единственный вариант использования двух разных технологий предусматривает одновременное подключение линий стандартов 100BaseTX и 100BaseFX. На рис. 1.6 показана сеть с единственным повторителем класса II. UTP UTP 100 метров ■ 100 метров от ЮОВаэеТк 100BaseF Оптоволокно iiimSiiiiiil Оптоволокно —— 320 метров от ЮОВаэеТк 10OBaseF OTiOOBaseTKiOOBaseF 308 метров Рис. 1.6. Сеть с одним повторителем класса II 52 Часть I. Фундаментальные аспекты технологий локальных сетей
В отличие от повторителей класса I разрешено использовать два повторителя клас- класса II в сети, как показано на рис. 1.7. Длина соединительного кабеля между повтори- повторителями не должна превышать пяти метров. Зачем тогда нужны повторители, если они дают выигрыш всего лишь в 5 метров? Повторители обычно используются потому, что они позволяют увеличить число портов, доступных в системе. Однородная ceibWOBaseF 228 метров Смешанная сеть 100BaseT и IOOBaseX 216 метров Рис. 1.7. Сеть с двумя повторителями класса II На рис. 1.5—1.7 показаны сети с повторителями, которые работают в полудуплекс- полудуплексном режиме. Ограничения на диаметр сети вытекают из ограничения на канальный интервал для сетей стандарта IOOBaseX, которые работают в таком режиме. Расшире- Расширение сети до больших размеров без использования мостов, коммутаторов или маршру- маршрутизаторов может превысить максимально возможный размер сети и привести к запо- запоздалым коллизиям. Сеть, показанная на рис. 1.8, демонстрирует возможность исполь- использования коммутаторов Catalyst для увеличения диаметра сети. Рис. 1.8. Расширение размеров сети IOOBaseX с использованием коммутатора Catalyst Глава 1. Технологии для настольных систем 53
Практические советы Сети lOOBaseX обеспечивают, по крайней мере, десятикратное увеличение пропу- пропускной способности по сравнению с устаревшими системами Ethernet, которые совме- совместно используют среду передачи. В дуплексном режиме пропускная способность уве- увеличивается в 20 раз. Действительно ли нужна такая пропускная способность? В конце концов, многие настольные системы не могут генерировать сетевой трафик со скоро- скоростью порядка 100 Мбит/с. Большинство сетевых систем работает наилучшим образом при совместном использовании нескольких технологий. Некоторые пользователи мо- могут прекрасно работать в сети со скоростью передачи 10 Мбит/с. Такие пользователи обычно не пользуются ничем, кроме электронной почты, программы telnet и web- броузера. Интерактивные приложения, которые они используют, не требуют большой пропускной способности сети, и пользователи практически не будут замечать задер- задержек в сети. Из всех названных приложений web-броузер является самым требователь- требовательным к пропускной способности, потому что многие web-страницы содержат графиче- графические изображения, которые могут загружаться несколько дольше, если доступная пропускная способность низка. Если пользователи ощущают задержки, которые влияют на производительность труда (в случае деятельности, которая не имеет отношения к работе, задержки — это даже хорошо), то пропускную способность можно увеличить следующим образом: • модернизировать сеть lOBaseT для поддержки дуплексного режима; • модернизировать сеть для использования стандарта lOOBaseX в полудуплексном режиме; • модернизировать сеть для использования стандарта lOOBaseX в дуплексном ре- режиме. Какое из указанных решений наиболее подходящее? Выбор зависит от потребно- потребностей пользователей и от возможностей рабочих станций. Если пользовательские при- приложения в основном интерактивные, то двух первых вариантов увеличения пропуск- пропускной способности в большинстве случаев будет достаточно. Однако, если пользователи занимаются передачей файлов большого размера, как в случае с врачом, или часто пользуются файловым сервером, то подходящим вариан- вариантом будет использование сети lOOBaseX в дуплексном режиме. Третий вариант обычно должен быть зарезервирован для использования в специальных случаях, а также для подключения маршрутизаторов и файловых серверов. Еще одно наиболее распространенное применение технологии Fast Ethernet — это сегменты магистральных сетей (backbone). Корпоративные сети обычно имеют про- прозрачную иерархию, в которой пользовательские сети уровня распределения обладают меньшей пропускной способностью, и в то же время сети, соединяющие пользова- пользовательские сегменты, работают на более высоких скоростях. В такой ситуации техно- технология Fast Ethernet может хорошо вписаться в подобную инфраструктуру. Решение об использовании технологии Fast Ethernet как части данной инфраструктуры должно приниматься, исходя из корпоративных требований, в отличие от рассмотренного случая пользовательских требований. В главе 8, "Технологии и приложения магист- магистральных соединений", рассматривается использование технологии Fast Ethernet для соединения коммутаторов Catalyst в магистральной сети. 54 Часть I. Фундаментальные аспекты технологий локальных сетей
Технология Gigabit Ethernet Для случая, когда скорости передачи 100 Мбит/с недостаточно, в июне 1998 года была разработана новая технология промышленного использования сети с большей пропускной способностью. Спецификация5 Gigabit Ethernet (IEEE 802.3z) определяет стандарт передачи данных со скоростью 1000 Мбит/с — дальнейшее увеличение про- пропускной способности в 10 раз. Ранее обсуждалось, что рабочие станции с большим трудом могут полностью загрузить сеть Ethernet с пропускной способностью 100 Мбит/с. Зачем тогда нужна технология с гигабитной пропускной способностью? Предполагается, что технология Gigabit Ethernet найдет применение в качестве техно- технологии магистральных сетей и каналов, и для передачи данных высокопроизводитель- высокопроизводительным файловым серверам. В отличие от технологии Fast Ethernet, которую сетевые ад- администраторы могут использовать для подключения клиентских станций, серверов или как технологию магистральных сетей, технология Gigabit Ethernet в скором вре- времени не будет применяться для подключения клиентских рабочих мест. Некоторые предварительные исследования данной технологии показали, что инсталляция сете- сетевого интерфейса со скоростью передачи 1000 Мбит/с на рабочую станцию с процес- процессором класса Pentium значительно замедляет скорость ее работы в связи с затратами процессорного времени на выполнение прерываний. С другой стороны, высокопроиз- высокопроизводительная рабочая станция, работающая под управлением операционной системы Unix и выполняющая функции файлового сервера, может обеспечить существенный выигрыш в скорости при использовании скоростного соединения с сетью. 1000 Мбит/с Рис. 1.9. Магистральный канал с пропускной способностью 1000 Мбит/с, реализованный с помощью коммутаторов Catalyst В сети с коммутаторами Catalyst технология Gigabit Ethernet может использоваться для соединения коммутаторов Catalyst и формирования высокоскоростного магист- магистрального канала. Рабочие станции (рис. 1.9) подключены к коммутаторам Catalyst с использованием сетевых соединений с низкой скоростью передачи данных A0 и 5 В июне 2002 года Совет по стандартизации IEEE (Standards Association) утвердил специфика- спецификацию IEEE 802.3ae, описывающую технологию 10 Gigabit Ethernet, которая поддерживает скорость передачи данных до 10 Гбит/с. — Прим. перев. Глава 1. Технологии для настольных систем 55
100 Мбит/с), в то же время для передачи трафика между группами рабочих станций используется сеть с пропускной способностью 1000 Мбит/с. Файловый сервер также позволяет получить преимущество от использования соединения с пропускной спо- способностью 1000 Мбит/с, которое связано с возможностью обработки большего коли- количества параллельных клиентских обращений. Структура Gigabit Ethernet Технология Gigabit Ethernet объединяет в себе аспекты двух спецификаций — 802.3 и Fiber Channel (оптоволоконный канал), которая рассчитана на использование для скоростных соединений между файловыми серверами для замены локальных сетей. Стандарт Fiber Channel описывает многоуровневую сетевую модель, которая обладает возможностью масштабирования пропускной способности до 4 Гбит/с и увеличения длины до 10 километров. Технология Gigabit Ethernet использует два нижних уровня данного стандарта: уровень FC-1 — кодирование/декодирование данных и уровень FC-0 — уровень интерфейса и работы с физической средой передачи. Уровни FC-1 и FC-0 заменяют физический уровень устаревшей модели 802.3. Уровни MAC (Media Access Control — управление доступом к среде передачи) и LLC (Logical Link Control — управление логическим соединением) спецификации 802.3 соответствуют более высоким уровням технологии Gigabit Ethernet. На рис. 1.10 показано объедине- объединение стандартов, которые составляют структуру технологии Gigabit Ethernet. 802.2 MAC CSMA/CD дуплексный или полудуплексный режим 8В/10В кодер/декодер Параллельно-последовательный/ последовательно-параллельный преобразователь Разъем 802.3Z Gigabit Ethernet 802.2LLC CSMA/CD Физический уровень / / Ethernet Л\ \\s| \\ Уровни FC-2-FC-4 FC-1 кодер/декодер FC-0 интерфейс и среда передачи Fiber Channel Рис. 1.10. Структура стандарта Gigabit Ethernet Стандарт Fiber Channel, включенный в технологию Gigabit Ethernet, рассчитан на пе- передачу сигналов по оптоволоконной линии связи с частотой 1062 МГц, что обеспечива- обеспечивает скорость передачи 800 Мбит/с. В технологии Gigabit Ethernet используется схема ко- кодирования 8В/10В, в которой предполагается, что для полезной передачи данных дос- 56 Часть I. Фундаментальные аспекты технологий локальных сетей
тупна пропускная способность в 1 Гбит/с. Схема кодирования 8В/10В аналогична схеме 4В/5В, которая рассматривалась в разделе, посвященном технологии 100BaseTX, за ис- исключением того, что к 8 битам данных добавляются 2 бита, которые вместе составляют 10-битный символ. Данная техника кодирования позволяет упростить разработку опти- оптической линии связи для таких больших скоростей передачи. Для подключения к оптиче- оптической линии согласно стандарту Fiber Channel и, соответственно, согласно стандарту Gi- Gigabit Ethernet, используется разъем типа SC. Такой разъем относится к типу push-in/pull- out ("вталкивать/вынимать") или, как его еще называют, snap and click ("защелка с фиксатором"), который используется производителями для преодоления недостатков, присущих разъемам ST. Раньше преимущественно использовались разъемы типа ST или snap and twist ("поворотная защелка"). Такие контакты являются разъемами байонетного типа, которые требуют определенного пространства на передней панели, чтобы можно было повернуть защелку и установить ее на место. Необходимое пространство сокраща- сокращает число портов, которые могут быть встроены в модуль. Внимание! В настоящее время получил популярность среди производителей новый тип разъе- разъема— MT-RJ. Разъем MT-RJ имеет такие же форм-фактор и метод фиксации, как и разъем RJ-45, он поддерживает дуплексный режим, является более дешевым, чем разъемы типов ST и SC, а также более прост в установке. Более того, он имеет мень- меньший размер, чем разъемы типа ST и SC, что позволяет увеличить плотность портов на передней панели. Поддержка дуплексного и полудуплексного режимов передачи Так же, как и в Fast Ethernet, технология Gigabit Ethernet позволяет поддерживать как дуплексный, так и полудуплексный режимы с управлением потоком данных. В полудуплексном режиме система работает с использованием метода CSMA/CD, и при этом должно учитываться еще большее, по сравнению с технологией Fast Ethernet, уменьшение канального интервала. Для сетей, работающих по технологиям lOBaseX л lOOBaseX, значение параметра интервала соответственно составляет 51,2 и 5,12 мкс, что следует из минимально возможного размера фрейма, равного 64 октетам. В случае сетей, работающих по технологии lOOBaseX, канальный интервал, пересчитанный в диаметр сети, соответствует 200 м. Если в технологии Gigabit Ethernet использовать такой же минимальный размер фрейма, то канальный интервал сокращается до 0,512 мкс, что соответствует диаметру сети порядка 20 м, и на практике нелогично и невыгодно. Поэтому для спецификации 802.3z было разработано расширение носите- носителя (carrier extension), которое позволяет увеличить диаметр сети в режиме полудуп- полудуплексной передачи и обеспечить поддержку пакетов минимального размера, соответст- соответствующих спецификации 802.3. Использование дополнительного расширения носителя позволяет увеличить каналь- канальный интервал до значения 4096 бит или 4,096 микросекунды. Передающая станция увеличивает размер фрейма путем добавления символов в конце фрейма после поля контрольной суммы (FCS), которые не несут никакой информации, для того, чтобы гарантировать, что минимальное значение канального интервала соответствует специ- спецификации. Не для всех размеров фреймов необходимо использование технологии рас- Глава 1. Технологии для настольных систем 57
ширения носителя. Соответствующие вычисления вынесены в качестве упражнения в раздел "Контрольные вопросы". Схема кодирования 8В/10В, которая используется в технологии Gigabit Ethernet, определяет комбинации бит, называемые символами. Не- Некоторые символы кодируют полезную нагрузку, а некоторые — данные, которые не содержат полезной информации. Символы, не несущие полезной информации, добав- добавляются в конце фрейма. Приемная станция распознает такие символы и отбрасывает биты, соответствующие расширению носителя, и восстанавливает переданное сооб- сообщение. На рис. 1.11 показана внутренняя структура расширенного фрейма. Байты 8 Стартовые биты 6 Адрес получателя 6 Адрес отправителя 2 Тип, длина 46-493 Данные 4 Контрольная сумма (FCS) 448-1 Расширение носителя Рис. 1.11. Расширенный фрейм стандарта Gigabit Ethernet Добавление бит расширения носителя не меняет полезного размера фрейма Gigabit Ethernet. Приемная станция может принимать фрейм размером не менее 64, но и не более 1518 октетов. Физические среды передачи в стандарте Gigabit Ethernet Спецификация IEEE 802.3z определяет варианты использования нескольких клас- классов оптоволоконного кабеля и поддержку нового типа медного кабеля. Варианты ис- используемого оптоволокна отличаются диаметром волокна и пропускной способностью мод. В табл. 1.4 приведены различные варианты оптоволоконного кабеля и соответст- соответствующая им максимальная длина. | Таблица 1.4. Стандарт 1000BaseSX 1000BaseSX 1000BaseSX 1000BaseSX 1000BaseLX 1000BaseLX 1000BaseLX 1000BaseLX 1000BaseLH" 1000BaseZX" Варианты физической среды передачи для технологии Gigabit Ethernet . Диаметр волокн» (микрометры) 62,5 62,5 50 50 62,5 50 50 9/10 9/10 9/10 Пропускная способность Максимальная длина* кабеля (МГцхкм) (метры) 160 200 400 500 500 400 500 - - - 220 275 500 550 550 550 550 5000 10000 90000 * Минимальная длина кабеля в каждом случае составляет 2 метра. ** Устройства Cisco, которые обеспечивают поддержку расстояний, больших 5000 метров, опи- описываются стандартом IEEE 802.3z. 58 Часть I. Фундаментальные аспекты технологий локальных сетей
Стандарт 1000BaseSX В стандарте lOOOBascSX используются оптические сигналы с длиной волны 850 нм (так называемые короткие волны). Хотя данная система основана на использовании лазера, дальность, которую она обеспечивает, обычно меньше, чем в случае использо- использования стандарта lOOOBaseLX. Данный факт объясняется взаимодействием поля волны с веществом кабеля на указанных длинах волн. Для чего тогда используется стандарт lOOOBaseSX? Дело в том, что оборудование, которое используется в данном стандарте, дешевле, чем в случае применения технологии lOOOBaseLX. Поэтому такой более де- дешевый метод целесообразно использовать при небольшой длине соединений (например, внутри монтажной стойки с оборудованием). Стандарт lOOOBaseLX Системы оптической передачи отличаются друг от друга типом используемых уст- устройств для генерации света (светодиод или лазер), а также длиной излучаемых такими устройствами волн. Длина волны соответствует частоте колебания в радиосистемах. В случае оптических систем обычно используют длину волны, а не частоту. В практиче- практической терминологии длина волны соответствует цвету. Обычно используются волны длиной 1300 нанометров (нм) и 850 нм. Свет с длиной волны 850 нм относится к об- области видимого человеческим глазом, а с длиной волны 1300 нм — невидимого. В стандарте lOOOBaseLX используются источники оптического диапазона с длиной вол- волны 1300 нм. Буква L в названии стандарта обозначает длинный (long), что подразуме- подразумевает большую длину используемых волн. В стандарте lOOOBaseLX используется лазер- лазерный источник света. При использовании оптоволоконных систем следует соблюдать осторожность. Нельзя смотреть в отверстие разъема порта или в торец оптоволокон- оптоволоконного кабеля! Излучение может быть вредным для глаз. Вариант технологии LX необходимо использовать при больших требованиях к длине кабеля. При необходимости использования одномодового волокна необходимо пользоваться исключительно вариантом LX. Стандарт 1000BaseCX Данный стандарт не включен в табл. 1.4, поскольку он определяет использование медного кабеля. В стандарте 1000BaseCX применяется согласованный экранирован- экранированный медный кабель с волновым сопротивлением 150 Ом. Данный тип кабеля является новым и не очень широко используется, но он необходим для высокоскоростной пе- передачи данных. Стандарт 1000BaseCX определяет максимальную дальность передачи 25 метров и рассчитан на соединение устройств внутри монтажных шкафов, где рас- расстояния невелики. Например, данный стандарт наиболее подходит в случае, когда коммутаторы Catalyst установлены в монтажную стойку, и есть необходимость в вы- высокоскоростном соединении между ними, но нет необходимости приобретать дорогие модули с оптоволоконными интерфейсами. Стандарт 1000BaseTX Стандарт 1000BaseTX — это еще одна версия гигабитовой технологии, рассчитан- рассчитанная на использование кабеля витой пары категории 5. Данный стандарт поддерживает расстояния до 100 м и определяет одновременное использование всех четырех пар проводов кабеля. Он является еще одной дешевой альтернативой стандартам lOOOBaseLX и lOOOBaseSX, а также не ставит пользователя в зависимость от использо- использования специального типа кабеля, как в случае варианта 1000BaseCX. Данным стандар- стандартом занимается комитет IEEE 802.3ab. Глава 1. Технологии для настольных систем 59
Конвертеры интерфейсов Gigabit Ethernet Конвертер интерфейса Gigabit Ethernet (Gigabit Ethernet Interface Converter — GBIC) аналогичен интерфейсу MMI, который описан в разделе, посвященном техно- технологии Fast Ethernet, и позволяет сетевому администратору конфигурировать интер- интерфейс с помощью внешних компонент вместо того, чтобы приобретать модули со встроенным преобразователем. С помощью платы GBIC администратор получает воз- возможность менять тип интерфейса в соответствии с необходимостью. Трансиверы GBIC имеют стандартный разъем для соединения с гигабитным устройством и соот- соответствующий типу среды передачи разъем для подключения к сетям lOOOBaseLX, lOOOBaseSX или lOOOBaseCX. Технология Token Ring В начале текущей главы был приведен обзор различных методов доступа к физиче- физической среде передачи в локальных сетях. К данному моменту читатель должен быть знаком с различными технологиями, которые используют метод доступа CSMA/CD. В следующем разделе приводится краткий обзор технологии Token Ring, которая ис- использует второй популярный метод доступа к среде передачи в локальных сетях. Системы, работающие по технологии Token Ring, также, как и в случае Ethernet, ис- используют доступ к общей среде передачи. Станции, подключенные к сети, совместно используют ее пропускную способность. Стандарт Token Ring поддерживает пропускную способность 4 Мбит/с и 16 Мбит/с. Версия со скоростью передачи 4 Мбит/с была раз- разработана корпорацией IBM и соответствует первоначальному варианту технологии. Вер- Версия стандарта со скоростью передачи 16 Мбит/с была разработана позже и работает по тем же принципам, что и технология со скоростью передачи 4 Мбит/с, но предоставляет пользователю несколько новых возможностей и усовершенствований системы. Принципы работы сети Token Ring Для управления доступом в технологии Token Ring по сети передается маркер (token), который позволяет удерживающей его станции передавать данные по кабелю. На рис. 1.12 показана логическая структура сис- системы, работающей по технологии Token Ring. Каждая станции сети создает разрыв кольца. Маркер передается по кольцу от одной станции к другой. Если станции необходимо передать информацию, то она захватывает маркер и на- начинает передачу данных по кабелю. Допустим, что станция 1 передает данные станции 3. Стан- Станция 1 при получении маркера захватывает его и начинает передачу фрейма с МАС-адресом станции 3 в качестве адреса получателя и с МАС-адресом станции 1 в качестве адреса от- отправителя. Фрейм циркулирует по кольцу от станции к станции. Каждая станция создает ло- локальную копию фрейма и передает его следую- следующие. 1.12. Простая сеть Token Ring щей станции. Далее каждая станция сравнивает 60 Часть I. Фундаментальные аспекты технологий локальных сетей
МАС-адрес получателя со своим аппаратным адресом, и в случае их несовпадения от- отбрасывает фрейм, а в случае совпадения передает фрейм на обработку центральному процессору. Когда станция 2 получает фрейм, она также копирует его для того, что- чтобы, как в случае сети Ethernet, сеть Token Ring поддерживала широковещательную передачу. В конце концов, фрейм должен вернуться к станции-отправителю. Станция- отправитель ответственна за изъятие фрейма из сети и за передачу нового маркера. В рассмотренной модели в любой момент времени может передавать только одна станция, т.к. только одна станция может удерживать маркер. Неэффективность рабо- работы рассматриваемой сети состоит в том, что станция удерживает маркер до того мо- момента, пока она не удалит переданный ею фрейм из кольца. В зависимости от длины кольца станция может передать фрейм раньше, чем он вернется обратно к источнику. В период времени между передачей фрейма и удалением фрейма из кольца сеть про- простаивает, т.к. ни одна станция не имеет права передавать, что выражается в уменьше- уменьшении пропускной способности. Раннее освобождение маркера (early token release) явля- является необязательной функцией, которая была введена в технологии Token Ring со скоростью передачи 16 Мбит/с. Данная функция позволяет отправителю создать но- новый маркер сразу после передачи фрейма и перед тем, как фрейм будет удален из се- сети. Данное свойство значительно увеличивает степень использования сети Token Ring по сравнению с сетями без раннего освобождения маркера. Может случиться так, что станция, которая передала фрейм, оказывается в отклю- отключенном состоянии на момент, когда переданный фрейм вернулся к ней. Отправитель не удаляет фрейм из сети, и он продолжает циркулировать. Такая циркуляция может длиться неопределенное количество времени, что занимает пропускную способность сети и не дает другим станциям передавать данные. Чтобы предотвратить подобную ситуацию, одна из станций в сети назначается контроллером кольца (ring monitor). Когда пакет циркулирует по кольцу, контроллер кольца устанавливает специальный бит фрейма, который означает, что "контроллер уже видел однажды данный фрейм". Если контроллер кольца видит фрейм с установленным служебным битом, то он ре- решает, что отправитель не может удалить фрейм из сети, и удаляет его. Компоненты сети Token Ring В структуре системы Token Ring для соедине- соединения станций используется концентратор. Данный концентратор называется модулем многостанци- многостанционного доступа (Multistation Access Unit — MAU). Он создает логическое кольцо из станций, под- подключенных по топологии "звезда", как показано на рис. 1.13. Внутри устройства MAU передатчик одной станции соединяется с приемником другой стан- станции. Такая процедура выполняется со всеми станциями, пока не будет образовано кольцо. Что случится, если пользователь отключает станцию? Если такое случается, то устройство MAU игно- игнорирует неиспользуемый порт для того, чтобы обеспечить целостность кольца. Администратор сети может соединять не- несколько устройств MAU последовательно, чтобы Подключенная станция Рис. 1.13. Станции сети Token Ring, подключенные к устройству MA U Глава 1. Технологии для настольных систем 61
увеличить число портов или размер сети. На рис. 1.4 показаны порты ring-in (RI) и ring-out (RO), которые используются для подключения других устройств MAU. Рис. 1.14. Каскадное соединение устройств MA U в технологии Token Ring Резюме Несмотря на то, что множество людей использует различные сетевые технологии, на рынке до сих пор доминируют устаревшие Ethernet-системы. Все еще существует множество систем со скоростью передачи 10 Мбит/с, в которых используется различ- различная физическая среда передачи, как, например, медный провод и оптоволокно. Сле- Следует ожидать, что еще в течение, по крайней мере, нескольких лет, придется сталки- сталкиваться, в основном, с данным типом соединений. В текущей главе описаны основы работы систем, созданных на основе устаревшей технологии Ethernet. В связи с ограничениями, которые накладывает устаревшая технология Ethernet, были разработаны более скоростные технологии. Для повышения скорости передачи данных организация IEEE разработала технологию Fast Ethernet. Благодаря возможно- возможности работы в дуплексном режиме технология Fast Ethernet обеспечивает существенное увеличение пропускной способности, что может удовлетворить требования большин- большинства пользователей. В данной главе рассмотрены возможности выбора физической среды передачи для технологии Fast Ethernet и некоторые основы работы данной тех- технологии. В случае чрезвычайно больших требований к пропускной способности технология Gigabit Ethernet обеспечивает еще большую скорость передачи по сравнению с други- другими методами для соединения магистральных коммутаторов и подключения высоко- высокопроизводительных файловых серверов. В текущей главе описаны некоторые свойства технологии Gigabit Ethernet и варианты выбора физической среды передачи. 62 Часть I. Фундаментальные аспекты технологий локальных сетей
Контрольные вопросы В данный раздел включены различные вопросы по теме настоящей главы. Ответив на них, читатель сможет оценить степень владения изложенным материалом. Кроме того, приведенные ниже вопросы помогут подготовиться к письменным и лаборатор- лабораторным экзаменам на получение статуса сертифицированного эксперта по объединенным сетям Cisco (CCIE). Ответы на вопросы приведены в приложении А, "Ответы на кон- контрольные вопросы". 1. Чему равна скорость передачи пакетах/секунду для сети lOOBaseX? Рассчитайте ее значение для минимального и максимального размеров фрейма. 2. Укажите последствия использования устройств, работающих в дуплексном и по- полудуплексном режимах. Как их необходимо использовать? 3. Во вступительной части раздела, посвященного технологии Fast Ethernet, обсужда- обсуждалось время загрузки типичного медицинского изображения по сети, работающей на основе устаревшей технологии Ethernet. Рассчитайте, каким будет время загруз- загрузки данного изображения по сети lOOBaseX, работающей в полудуплексном режи- режиме. Чему оно будет равно для сети lOOBaseX, работающей в дуплексном режиме? 4. Укажите основной недостаток сети lOOBaseX, работающей в дуплексном режиме. 5. Можно ли подключать повторитель класса II к повторителю класса I? Почему можно или почему нельзя? 6. Каков минимальный размер фрейма в технологии Gigabit Ethernet, для которого не нужно использовать расширение носителя? Глава 1. Технологии для настольных систем 63
В этой главе... .. ..-■'- ..:<-'.' .■■■ "'£■■ ... 7"\ • Зачем нужна сегментация локальных сетей. Обсуждается мотивация необходимо- необходимости сегментации, сетей, а также рассматриваются недостатки работы в несег- ментированных сетях. /■' >/ '■ • Сегментация локальных сетей с помощью повторителей, рассматриваются цели сегментации сетей с помощью повторителей, а также преимущества и ограни- ограничения таких решений. ; : ' х. ■№ . • ■<~:)-'*'?м'" ' "*•'■ Тщ~ • Сегментация локальных сетей, с помощью мостов. Обсуждается процесс образо- образования доменов коллизий:и расширения сетей с помощью мостов. Поскольку данная технология лежит в основе работы сетевых коммутаторов, то наиболее важным является раздел, посвященный преимуществам и недостаткам/исполь-и зования мостов'. яф*-' '"%■ • Сегментация локальных сетей с помощью маршрутизаторов Рассматриваются ши- широковещательные домены маршрутизаторов и ограничение распространения ;■ щироковещательных фреймов. "■' }%; • Сегментация локальных сетей с помощью коммутаторов. Обсуждаются отличия между мостами и коммутаторами, а также отличия между широковещательны.^;.. ми доменами маршрутизаторов и коммутаторов.
Глава 2 Сегментация локальных сетей }|fPocT размеров корпораций вызывает у сетевых администраторов чувство глубокого разочарования. Руководство требует увеличения числа пользователей сети, а пользова- пользователи, соответственно, требуют большей пропускной способности. Финансовый вопрос еще больше запутывает ситуацию, т.к. он входит в противоречие с указанными выше целями и ограничивает варианты выбора приемлемых решений. Данная книга не сможет помочу в последнем вопросе, однако поможет выяснить, какие именно техно- технологические решения позволят увеличить количество обслуживаемых пользователей и Йадновременно улучшить пропускную способность системы. Инженеры, занимающие- занимающиеся созданием инфраструктуры компьютерных сетей, имеют возможность выбора меж- *^щу несколькими типами устройств для объединения сетей: повторители, мосты, мар- маршрутизаторы и коммутаторы. Каждая из перечисленных выше сетевых компонент предназначена для определенных целей и позволяет получить определенные преиму- преимущества при правильной установке и эксплуатации. Инженеры часто испытывают за- ^мешательство по поводу того, какой тип устройства для какой сетевой конфигурации ■ использовать. Глубокое понимание того, как подобные устройства работают с широ- широковещательными доменами и доменами коллизий, поможет разработчику сети сделать разумный выбор. Обсуждение вопросов, связанных с доменами коллизий и широко- широковещательными доменами, которые приводятся в главе ниже, упростит понимание ма- материала, который приведен в последующих главах. Таким образом, в данной главе вводятся определения основных понятий — домен коллизий и широковещательный домен, а также обсуждается роль повторителей, мостов, ,:маршрутизаторов и коммутаторов в манипуляциях с различными доменами. Ниже описано, зачем сетевым администраторам необходимо проводить сегментацию сетей и как перечисленные устройства помогают осуществлять разбиение на подсети. Зачем нужна сегментация локальной Разработчики локальных сетей часто сталкиваются лицом к лицу с необходимо- необходимостью увеличения протяженности сети, количества пользователей или пропускной спо- способности, доступной для потребителей. С корпоративной точки зрения все перечис- перечисленные выше изменения являются необходимыми, т.к. указывают на рост и развитие fc.KQpnopauHH. С точки зрения администратора подобные изменения в сети часто ока- * зываются не очень желательными, т.к. означают бессонные ночи и отсутствие выход-
ных. Возникает вопрос, как в такой ситуации администратор может осчастливить всех пользователей и начальство и при этом сохранить свое здоровье? С точки зрения технологии ответ на такой вопрос достаточно прост — построить сеть с большей пропускной способностью. Если на текущий момент пользователи подключены к сети, основанной на устаревшей технологии со скоростью передачи 10 Мбит/с, то можно использовать технологию Fast Ethernet и сразу же получить де- десятикратное улучшение пропускной способности. Изменение сетевой инфраструктуры в данном случае состоит в замене плат сетевых адаптеров рабочих станций на новые, которые поддерживают скорость обмена 100 Мбит/с. Такая модернизация повлечет за собой замену концентраторов, к которым подключены рабочие станции. Новые кон- концентраторы также должны поддерживать сети с новой пропускной способностью. Од- Однако, даже в таком минимальном объеме полная модернизация может стоить чрез- чрезмерно много. Сегментация локальной сети — еще один подход к обеспечению пользователей дополнительной пропускной способностью без полной замены всего телекоммуника- телекоммуникационного оборудования. Выполняя сегментацию, администратор разбивает сеть на более мелкие части и соединяет их с помощью оборудования для межсетевого обмена. На рис. 2.1 показаны варианты сети до и после сегментации. Перед сегментацией После сегментации м 100 пользователей на сегмент, пропускная способность системы 10 Мбит/с, 20 Кбит/с на одного пользователя 100 пользователей на сегмент, пропускная способность системы 10 Мбит/с, 50 Мбит/с полная пропускная способность системы, 100 Кбит/с на одного пользователя Рис. 2.1. Сеть до и после сегментации До проведения сегментации все 500 пользователей совместно использовали сеть с пропускной способностью 10 Мбит/с, поскольку сегменты были соединены с помо- помощью повторителей (в разделе ниже объясняется, как работают повторители и почему факт совместного использования имеет место). После сегментации сети повторители были заменены на мосты и маршрутизаторы, которые позволяют изолировать разные части друг от друга и обеспечить пользователей большей пропускной способностью. Мосты и маршрутизаторы позволяют получить дополнительную пропускную способ- способность благодаря ограничению доменов коллизий и широковещательных доменов, как показано в табл. 2.1 (в разделах ниже, которые посвящены мостам и маршрутизато- маршрутизаторам, даны определения домена коллизий и широковещательного домена, а также при- приведены причины их возникновения). 66 Часть I. Фундаментальные аспекты технологий локальных сетей
"Шбпща '2.1. Сравнительная характеристика доменов коллизий Устройство и широковещательных доменов ... ^ - -,- ■~ ' Количество доменов коллизий Количество широковещательных доменов Повторитель Мост Маршрутизатор Коммутатор Один Много Много Много Один Один Много Может быть сконфигурировано Каждый сегмент, в свою очередь, может быть разделен на более мелкие части с помощью мостов, маршрутизаторов и коммутаторов, и тем самым может быть полу- получена большая пропускная способность для каждого отдельного пользователя. Умень- Уменьшение числа пользователей в каждом сегменте приводит к увеличению полезной про- пропускной способности для одного пользователя. В крайнем случае, когда в сегменте находится всего один пользователь, он получает полную пропускную способность среды передачи. Именно такой вариант соответствует ситуации, когда администратор использует только коммутаторы для построения сети. Однако, остается нерешенным вопрос: "Что необходимо использовать для сегмен- сегментации сети: повторитель, мост, маршрутизатор или сетевой коммутатор?" Повторите- Повторители, на самом деле, не позволяют осуществить сегментацию сети и, соответственно, не позволяют получить большую пропускную способность. Они лишь предоставляют возможность в некоторой степени увеличить протяженность сети. Мосты, маршрути- маршрутизаторы и коммутаторы больше подходят для сегментации локальных сетей. В следую- следующих разделах приводится описание различных вариантов сетей. Сегментация локальных сетей с помощью повторителей Для старых систем, работающих по технологии Ethernet, таких, как 10Base5, 10Base2 и lOBaseT, существуют ограничения протяженности сети, которые описаны в главе 1, "Технологии для настольных систем". В случае необходимости увеличение размеров сети можно использовать устройство для объединения сетей, например, по- повторитель. Повторители работают на первом уровне модели OSI (Open System Inter- Interconnection — модель взаимодействия открытых систем) и выполняют роль расшири- расширителей кабельных сегментов. Рабочие станции не ощущают наличия повторителя, ко- который является абсолютно прозрачным для подключенных к нему устройств. Повторитель соединяет кабельные сегменты, как показано на рис. 2.2. Сегмент кабеля Б Рис. 2.2. Соединение сегментов локальной сети с помощью повторителей Глава 2. Сегментация локальных сетей 67
Повторители регенерируют сигнал при передаче из одного сегмента кабеля в дру- другой. Когда станция 1 передает информацию станции 2, фрейм также передается в сегмент кабеля Б, даже если устройства отправителя и получателя подключены к сег- сегменту кабеля А. Повторители не являются интеллектуальными устройствами и не вникают в содержание передаваемых данных. Они слепо выполняют свои обязанности по передаче сигналов из одного сегмента кабеля во все остальные. Если фрейм со- содержит ошибочные данные, то повторитель также будет их передавать. Если размер фрейма превышает максимальный или меньше минимального размера фрейма в сети Ethernet, то повторитель все равно будет передавать такие фреймы. Если коллизия произойдет на сегменте кабеля А, то устройства, подключенные к сегменту Б, также обнаружат коллизию. Повторители действительно работают только как удлинитель кабеля. На рис. 2.2 показано соединение двух сегментов, но повторители могут иметь не- несколько портов для подключения нескольких сегментов, как показано на рис. 2.3. Сеть lOBaseT включает в себя концентрато- концентраторы и кабели витой пары, которые используются для соединения рабочих станций. Концентрато- Концентраторы являются многопортовыми повторителями, они передают сигналы от одного интерфейса ко всем остальным. Тот факт, что станции, под- подключенные к концентратору, как показано на рис. 2.2 и на рис. 2.3, получают весь трафик, имеет как положительные, так и отрицательные стороны. Повторители выполняют несколько задач, связанных с распространением сигнала. Напри- Например, повторители регенерируют сигнал и вводят новые стартовые биты. Стартовые биты следуют Рис. 2.3. Многопортовый повторитель перед МАС-адресом станции-получателя и по- помогают приемному устройству сетевого адаптера синхронизироваться. Размер блока стартовых бит равен 8 байтам. Он содержит чере- чередующуюся комбинацию бит, которая в бинарном виде содержит последовательность 1010. Последний байт стартового блока отличается от всех предыдущих и имеет двоич- двоичное значение 10101011. Он называется разделителем фрейма (start frame delimiter — SFD). Два последних бита указывают приемнику на то, что далее следуют данные. По- Повторители убирают все 8 байт стартового блока приходящего фрейма, а затем генериру- генерируют новый блок перед тем, как передавать фрейм через выходной интерфейс. Повторитель также гарантирует, что сигнал оповещения о коллизии будет передан на все порты. Если произошла коллизия между станциями 1 и 2 сегмента А на рис. 2.2, то коллизия принудительно передается повторителем на все порты, и все станции сегмента Б также обнаруживают наличие коллизии. Станции сегмента Б должны подождать устранения коллизии, и лишь затем начинать передачу. Если стан- станции 3 и 4 не будут знать о коллизии, они могут начать передачу во время коллизии между станциями 1 и 2, и таким образом, также станут ее участниками. Для сетей с повторителями существуют ограничения, перечисленные ниже, кото- которые вытекают из различных причин и с которыми необходимо считаться при расши- расширении сети с помощью повторителей. 68 Часть I. Фундаментальные аспекты технологий локальных сетей
• Все устройства совместно используют пропускную способность сети. • Существуют ограничения на количество станций в одном сегменте. • Существует ограничение максимального расстояния между дальними концами сети. Совместное использование пропускной способности При использовании повторителя происходит не только увеличение протяженности сети, но расширяется также и домен коллизий. Коллизии, которые происходят в од- одном сегменте, подключенном к повторителю, также оказывают влияние на рабочие станции, находящиеся в сегменте, подключенном к другому порту повторителя. Кол- Коллизия "распространяется" через повторитель и при этом, соответственно, использует- используется пропускная способность всех объединенных сегментов. Другим побочным эффек- эффектом общего домена коллизий является распространение фреймов в сети. Если исполь- используется технология с общим доступом, то все рабочие станции совместно используют пропускную способность сети. Данный факт имеет место в случае передачи одноадре- сатных, широковещательных и групповых фреймов. Все рабочие станции получают все фреймы. Добавление новых сетевых станций потенциально еще больше дробит пропускную способность. Старые Ethernet-системы обеспечивают общую пропускную способность сети 10 Мбит/с. Станции по очереди используют эту общую пропускную способность. С увеличением числа передающих станций доступная для каждого узла пропускная способность уменьшается. Внимание! В действительности, общая пропускная способность сети делится на количество передающих станций. Простое добавление сетевой станции не приводит к исполь- использованию пропускной способности до тех пор, пока она не начинает передавать дан- данные. Теоретически возможен такой случай, когда сеть объединяет 1000 устройств, из которых только одно устройство передает, а 999 работают на прием. В таком случае пропускная способность выделяется только одной передающей станции бла- благодаря тому факту, что другие станции не передают данных. Следовательно, пере- передающее устройство никогда не будет испытывать коллизий и может отправлять ин- информацию в любой момент времени и использовать при этом всю пропускную спо- способность среды передачи. Сетевой администратор должен определить требования пользовательских приложе- приложений к пропускной способности и сравнить их с теоретическим и реальным значения- значениями доступной пропускной способности сети. Для измерения средней и пиковой про- пропускной способности сети необходимо использовать сетевой анализатор. Учет приве- приведенных выше факторов позволяет определить, насколько необходимо увеличить пропускную способность сети для поддержки пользовательских приложений. Количество станций в одном сегменте В технологии Ethernet оговорены ограничения на количество станций, которые могут быть подключены к одному кабелю. Ограничения связаны с электротехниче- Глава 2. Сегментация локальных сетей 69
скими характеристиками системы. С увеличением количества трансиверов, подклю- подключенных к кабелю, изменяется полное сопротивление (импеданс1) кабеля, что вызыва- вызывает появление отраженных сигналов. При чрезмерном изменении импеданса механизм обнаружения коллизий прекращает корректно работать. Для устаревших вариантов технологии Ethernet максимальное количество устройств, подключенных к сегменту, не должно превышать 100 при использовании стандарта 10Base5. В системе, где ис- используется стандарт 10Base2, число станций не должно превышать 30. Использование повторителей не может увеличить число станций, подключенных к одному сегменту. Данные ограничения связаны с топологией сети — шина, которая используется в се- сетях стандартов 10Base2 и 10Base5. Расстояние между дальними концами сети Еще одно ограничение на расширение сети с помощью повторителей связано с протяженностью сети. Длина соединения в сети Ethernet может быть увеличена до тех пор, пока значение канального интервала не противоречит стандарту Ethernet. Как было показано в главе 1, "Технологии для настольных систем", канальный интервал зависит от пропускной способности сети. Для сетей с пропускной способностью 10 Мбит/с, такой, как сеть стандарта lOBaseT, значение канального интервала равно 51,2 мкс. Для сети с пропускной способностью 100 Мбит/с значение канального ин- интервала в 10 раз меньше, чем для сети стандарта lOBaseT. Для расчета протяженности сети необходимо принять во внимание величину канального интервала, задержку, связанную со средой передачи, такой, как медный кабель или оптическое волокно, а также количество повторителей в сети. Для сети Ethernet с пропускной способностью 10 Мбит/с количество повторителей в сети должно соответствовать так называемому правилу 5/3/1, которое иллюстрируется на рис. 2.4. Это правило гласит, что с помо- помощью повторителей может быть соединено до пяти сегментов, но только к трем из них могут быть подключены сетевые устройства. Два других сегмента служат для объеди- объединения, и к их концам могут быть подключены только повторители. Следуя правилу 5/3/1, администратор создает один домен коллизий. Сигнал коллизии распространя- распространяется через все повторители по всем сегментам. 1 домен I 1 коллизий г 2 сегмента 1 2 расширения 3 сегмента , с рабочими ' станциями 12 3 4 4 повторителя 5 сегментов 1 I ШР I 2 I ЯВР I 3 I HP I 4 Г ШШЯ I 5 аи а пп» Рис. 2.4. Соединение по правилу 5/3/1 1 Т.е. полное комплексное сопротивление среды. — Прим. ред. 70 Часть I. Фундаментальные аспекты технологий локальных сетей
При правильном использовании повторители позволяют расширить домен колли- коллизий за счет объединения нескольких сегментов на первом уровне модели OSI. Любая передача данных в домене коллизий распространяется ко всем станциям домена. Од- Однако, администратор также должен принимать во внимание правило 5/3/1. Если сеть должна быть расширена до размеров больших, чем установлено правилом 5/3/1, то необходимо использовать другой тип коммуникационного оборудования. Например, администратор может использовать мост или маршрутизатор. Повторители увеличивают размеры доменов коллизий и широковещательных доменов до размеров, которые допускаются правилами для повторителей. Макси- Максимальные географические размеры ограничиваются значением канального интервала для выбранной среды передачи и определяют величину домена коллизий. При уве- увеличении размера сети до значений больших, чем предельно допустимые для исполь- используемой среды передачи, сеть будет работать некорректно. В случае использования технологии Ethernet могут возникать запоздалые коллизии (late collisions), если про- протяженность сети будет очень большой. Запоздалые коллизии возникают тогда, когда станция определяет наличие коллизии за пределами канального интервала, равного 51,2 мкс. На рис. 2.5 показаны размеры домена коллизий, который определяется канальным интервалом среды передачи. Все сегменты сети, соединенные с помощью повторите- повторителей, принадлежат одному домену коллизий. На рис. 2.5 также показаны размеры ши- широковещательного домена в сети с повторителями. Широковещательный домен опре- определяет предел распространения широковещательных сообщений. ■ ■ ■ ■ I ■ Домен коллизий Широковещательный домен Рис. 2.5. Широковещательный домен и домен коллизий в сети с повторителями Для иллюстрации понятия домен коллизий рассмотрим сообщения IP-протокола преобразования адресов (Address Resolution Protocol — ARP), как показано на рис. 2.6, в случае, когда станция 1 передает сообщение станции 3. Станции должны принадле- Глава 2. Сегментация локальных сетей 71
жать одной подсети, т.к. в сети нет маршрутизатора. Станция 1 вначале посылает ARP-запрос станции-получателю, чтобы определить ее МАС-адрес. Широковещатель- Широковещательный фрейм ARP-запроса проходит весь сегмент и передается всеми повторителями сети. Все станции получают широковещательное сообщение и, следовательно, при- принадлежат одному широковещательному домену. Станция 3 передает одноадресный от- ответ станции 1. Все станции сети также получают ответ, потому что все они принадле- принадлежат одному домену коллизий (хотя в этом случае пакет обрабатывается аппаратно се- сетевым адаптером; подробнее процесс обработки описан в главе 1, "Технологии для настольных систем"). MAC: 00-60-97-8F-4F-86 MAC: 00-60-97-8F-5B-12 IP: 172.16.1.1 IP: 172.16.1.2 ARP-запрос, принятый станцией 3 МАС-адрес МАС-адрес IP-адрес IP-адрес получателя: отправителя: отправителя: получателя: | FF-FF-FF-FF-FF-FF 100-60-97-8F-4F-86 | 172.16.1.1 | 172.16.1.21 ARP-ответ, принятый станцией 1 МАС-адрес МАС-адрес IP-адрес IP-адрес получателя: отправителя: отправителя: получателя: | 00-60-97-8F-4F-86 j 00-60-97-8F-5B-12 | 172.16.1.2 | 172.16.1.1 | Рис. 2.6. Передача ARP-запроса в сети с повторителями Сегментация локальных сетей с помощью мостов Как было описано в предыдущем разделе, правила технологии Ethernet ограничи- ограничивают максимальную длину сегмента и количество станций, подключенных к одному сегменту кабеля. Что же делать, если нужно получить большую длину сегмента или добавить больше устройств в сегмент? Необходимое решение может быть реализовано на основе мостов. Объединение сетей на основе метода, показанного на рис. 2.7, су- существенно отличается от объединения сетей с помощью повторителя. Например, если в сети с повторителем станции находятся в одном сегменте и передают информацию друг другу, то переданные фреймы появляются на всех остальных сегментах рассмат- рассматриваемой сети. В случае сетей, объединенных с помощью моста, такого обычно не происходит. В мостах используется фильтрация для того, чтобы определить, следует или не следует отправлять фрейм в другие интерфейсы. 72 Часть I. Фундаментальные аспекты технологий локальных сетей
Передача данных и наличие коллизий между станциями на сегменте А На сегменте Б фреймы не появляются Рис. 2.7. Объединение сегментов с помощью моста Для технологий, которые используют различные методы доступа к среде передачи, как, например, Ethernet и Token Ring, методы фильтрации также различны. Напри- Например, в технологии Ethernet используется метод, называемый прозрачным мостовым со- соединением (transparent bridging), который состоит в том, что проверяется МАС-адрес получателя фрейма и по результатам определяется, должен ли фрейм передаваться, быть отфильтрованным, или передаваться на все порты (flood). Мост работает на уровне 2 модели OSI — канальном. Работа на данном уровне означает, что мост имеет доступ к заголовку фрейма, который содержит информацию о МАС-адресах. Таким образом, сетевые устройства принимают решение о пересылке фреймов по информа- информации, которая находится в заголовках фреймов, содержащих МАС-адреса. В техноло- технологии Token Ring также может использоваться метод исходного маршрута (source route bridging), в котором применяется принцип перенаправления потока фреймов, отлич- отличный от метода прозрачного мостового соединения. Более детально оба метода описа- описаны в главе 3 "Технологии функционирования мостов". Наиболее важным свойством мостов является то, что они позволяют соединять домены коллизий так, что объединенные домены коллизий являются независимыми, т.е. коллизии не распространяются между соединенными сегментами. На рис. 2.8 по- показана сеть, аналогичная изображенной на рис. 2.5, но сегменты в данном случае объ- объединены с помощью мостов. В сети с повторителями все сегменты принадлежат од- одному домену коллизий, а пропускная способность сети делится между четырьмя сег- сегментами. В сети, показанной на рис. 2.8, каждый сегмент принадлежит отдельному домену коллизий. В сети с пропускной способностью 10 Мбит/с каждый сегмент в таком случае обеспечивает собственную пропускную способность 10 Мбит/с, общая пропускная способность при этом составляет 40 Мбит/с. Существенное увеличение пропускной способности объясняет, почему сегмента- сегментация локальной сети с помощью мостов позволяет получить преимущество для пользо- пользователей. При одинаковом количестве рабочих станций пользователям сети, показан- показанной на рис. 2.8, доступна большая пропускная способность, чем пользователям сети, показанной на рис. 2.5. Хотя технологии коммутации обсуждаются ниже в данной главе, сейчас необходимо заметить, что крайний случай распределения пропускной способности имеет место при выделении каждому пользователю отдельного интер- интерфейса моста. В таком случае, каждому пользователю доступна полная пропускная способность его локального сегмента; только одна станция и один порт моста при- принадлежат к домену коллизий. Именно такая структура характерна для сети с исполь- использованием технологий коммутации. Глава 2. Сегментация локальных сетей 73
Домен коллизий Широковещательный домен Рис. 2.8. Объединение сегментов с помощью моста позволяет создать несколько доменов коллизий и один широковещательный домен Еще одно преимущество использования мостов вытекает из того, что они работают на втором уровне. В сети с повторителями ограничение на максимальную протяжен- протяженность сети приводит к невозможности расширения размеров структуры до бесконеч- бесконечности. Использование мостов позволяет использовать для каждого сегмента макси- максимально возможную длину. Каждый сегмент имеет свое значение канального интерва- интервала. Мосты не передают коллизий между сегментами, т.е. они позволяют изолировать отдельные участки сети и восстанавливать значения канального интервала. В теории с помощью мостов можно расширять сеть до бесконечности. Практические соображе- соображения, однако, не позволяют использовать такую возможность. Мосты фильтруют фреймы, отправитель и получатель которых находятся в одном сегменте. Исключением являются широковещательные фреймы и фреймы групповой рассылки. При получении широковещательного сообщения мост передает фрейм во все интерфейсы. Рассмотрим для примера запросы протокола ARP, как и для сетей с повторителями. Станция-отправитель, которая находится в сети с повторителями и обменивается сообщениями с другой станцией, работающей по протоколу IP и нахо- находящейся в той же сети, посылает широковещательный ARP-запрос. Запрос передается в широковещательном фрейме и, следовательно, передается через все мосты и все ин- интерфейсы. Все сегменты, подключенные к мосту, принадлежат к одному широковеща- широковещательному домену. Т.к. все станции принадлежат одному широковещательному домену, то, следовательно, они должны также принадлежать одной IP-подсети. Сеть, объединенная с помощью мостов, очень легко может быть "переполнена" трафиком широковещательных и групповых сообщений, если приложения генерируют такой вид данных. Например, мультимедийные приложения, такие, как приложения для видеоконференций по протоколу IP, создают трафик групповых сообщений. 74 Часть I. Фундаментальные аспекты технологий локальных сетей
Фреймы, посланные всеми участниками конференции, распространяются по всем сегментам. И сеть, в сущности, становится одной гигантской сетью с общим досту- доступом. Пропускная способность также становится разделяемой. В большинстве сетей фреймы преимущественно не являются широковещательны- широковещательными. Некоторые протоколы генерируют подобный трафик больше, чем остальные при- приложения, но число широковещательных фреймов, генерируемых разными протокола- протоколами, составляет лишь небольшой процент от того объема, который сеть способна эф- эффективно передать. В каких случаях необходимо использовать мосты? Каковы преимущества в исполь- использовании мостов по сравнению с повторителями? Что происходит в случае, когда стан- станции обмениваются одноадресатными фреймами? Как мосты обрабатывают такой вид трафика? В случае, когда устройство-отправитель и устройство-получатель подключены к одному интерфейсу, мост фильтрует соответствующие фреймы и не передает трафик на остальные интерфейсы (если фрейм не является широковещательным или фрей- фреймом групповой пересылки). Если отправитель и получатель подключены к различным портам моста, то мост перенаправляет фрейм в соответствующий интерфейс, чтобы он мог быть доставлен получателю. Процесс фильтрации и селективного перенаправ- перенаправления позволяет сохранить пропускную способность на других сегментах, что являет- является существенным преимуществом мостов по сравнению с повторителями, которые не имеют функции дифференциации фреймов. Когда мост осуществляет перенаправление трафика, он не меняет содержимого фреймов. Так же, как и в случае повторителя, мост не проводит никакой обработки фрейма, кроме "очистки" сигнала перед его отправкой через другой порт. При про- прохождении фрейма через мост адреса второго и третьего уровней остаются без измене- изменений. В отличие от мостов маршрутизаторы изменяют адреса второго уровня. (Данный процесс описан в разделе, посвященном маршрутизаторам). Существует эмпирическое правило "80/20", которое необходимо учитывать при проектировании сетей с использованием мостов. Согласно данному правилу исполь- использование мостов наиболее эффективно, если 80 процентов трафика сосредоточены в локальном сегменте, а 20 процентов трафика перенаправляются мостом в другие сег- сегменты. В основе рассматриваемого правила лежит традиционный способ построения сетей, когда серверные ресурсы находятся в том же сегменте, что и клиентские уст- устройства, которые ими обслуживаются, как это показано на рис. 2.9. 20% 20% 80% I I Рис. 2.9. Традиционный способ построения сети согласно правилу 80/20 Клиентским устройствам не часто приходится обращаться к станциям, подклю- подключенным к другим портам моста. Сети с использованием мостов считаются правильно Глава 2. Сегментация локальных сетей 75
спроектированными, если соблюдается правило 80/20. В случае поддержания рас- рассмотренного выше баланса трафика каждый сегмент сети обеспечивает полную про- пропускную способность. Если же баланс нарушается и большая часть трафика проходит через мост, вместо того, чтобы фильтроваться, то сеть начинает работать так, как если бы все сегменты принадлежали сети с разделяемой пропускной способностью. В рас- рассмотренном случае мост позволяет образовать цепь доменов коллизий и увеличить протяженность сети, но без каких-либо улучшений пропускной способности. Рассмотрим наихудший случай, когда трафик в сети с мостом распределен как 0/100, т.е. локальный трафик отсутствует и все устройства-отправители передают ин- информацию на другие сегменты. В случае использования двухпортового моста вся сис- система обеспечивает только разделяемую пропускную способность и совсем не обеспе- обеспечивает изоляцию пропускной способности отдельных сегментов. Использование моста позволяет только лишь расширить географические размеры сети, но не обеспечивает рост пропускной способности. К сожалению, во многих внутренних сетях организа- организаций преобладает именно такой вид трафика с типичным соотношением 20/80, а не 80/20. Такая ситуация возникает потому, что многие пользователи пытаются получать информацию из сети Internet или обмениваться информацией через Internet. Боль- Большинство трафика передается из локальных сегментов через соединения с распреде- распределенными сетями (WAN) и таким образом пересекает границу широковещательного домена. В главе 14, "Модели территориальных сетей", обсуждаются общие тенденции, связанные с трафиком в современных сетях, а также вопрос о том, почему в совре- современных сетях больше не действует эмпирическое правило 80/20. Другим преимуществом использования мостов является то, что они не передают в другие сегменты фреймы, содержащие ошибки. Если мост определяет, что фрейм со- содержит ошибку или допустимые для используемого метода доступа к физической сре- среде передачи размеры нарушены, то мост отбрасывает такой фрейм. Данная функция защищает сегмент получателя от поврежденных фреймов, т.к. они требуют затрат пропускной способности, а устройство-получатель в любом случае отбросит фрейм, содержащий ошибки при его обработке. Наличие коллизий в сетях, которые работают на основе старых технологий с ,общим доступом к среде передачи, часто приводит к появлению в сети отдельных фрагментов фреймов, которые иногда называют карлико- карликовыми (runt) фреймами. Для таких фреймов нарушено правило минимально допусти- допустимого размера, для технологии Ethernet составляющего 64 байта2. В главе 3 "Техноло- "Технологии функционирования мостов" в табл. 3.5 приведены правила определения мини- минимальных размеров фреймов. Повторитель перенаправляет карликовые фреймы во все сегменты, в то время как мост препятствует их распространению. Сегментация локальных сетей с помощью маршрутизаторов Уровень3, на котором работают мосты, на один выше, чем уровень работы по- повторителей, что позволяет получить новые функции для инфраструктур, в которых 2 Минимальный фрейм, не содержащий никаких данных и содержащий только заголовок. — Прим. ред. 1 Второй уровень модели OS/ — канальный. В сетевых технологиях используется семиуровневая модель взаимодействия открытых систем (OS1), и наибольшее внимание уделяется нижним четырем уровням — физическому, канальному, сетевому и транспортному. — Прим. ред. 76 Часть I. Фундаментальные аспекты технологий локальных сетей
используются мосты, по сравнению с сетями, в которых используются повторители. Мосты выполняют все функции повторителей, и кроме того, позволяют создавать новые домены коллизий. Точно так же маршрутизаторы, которые работают на третьем уровне модели OSI, позволяют получить больше функций по сравнению с мостами. Маршрутизаторы, подобно мостам, дают возможность расширить сеть и позволяют создавать домены коллизий и широковещательные домены. Маршрути- Маршрутизаторы предотвращают распространение широковещательных сообщений в сети. Подобная изоляция широковещательных запросов создает отдельные широковеща- широковещательные домены, чего нельзя осуществить с помощью мостов. Блокировка распро- распространения широковещательных сообщений маршрутизаторами определяет границы широковещательного домена — области, за пределы которой не выходят широко- широковещательные сообщения, которые распространяются в сети. На рис. 2.10 показана сеть, построенная на основе маршрутизаторов, и показаны границы доменов колли- коллизий и широковещательных доменов. 1 1 1 Домен коллизий Широковещательный домен Рис. 2.10. Домены коллизий и широковещательные домены в се- сети с маршрутизаторами Отрицательный эффект разграничения широковещательных доменов связан с осо- особенностями работы маршрутизаторов. В сети с повторителями или мостами все стан- станции принадлежат к одной подсети, т.к. они принадлежат к одному широковещатель- широковещательному домену. В сети с маршрутизаторами создается несколько широковещательных доменов и, соответственно, каждый сегмент принадлежит отдельной подсети. Такой факт приводит к тому, что принципы работы станций в сети с маршрутизаторами от- отличаются от принципов работы в сетях, объединенных с помощью мостов. На рис. 2.11 ив табл. 2.2 приведено описание процесса передачи APR-запроса в сети с Глава 2. Сегментация локальных сетей 77
маршрутизаторами. Хотя нет необходимости еще раз приводить описание процесса прохождения ARP-запроса, тем не менее, данный пример удачно демонстрирует отли- отличия в прохождении фреймов через маршрутизатор от прохождения фреймов через мосты и повторители. В сетях с мостами и повторителями рабочие станции передают фреймы так же, как если бы отправитель и получатель находились в одном домене коллизий, причем даже в том случае, когда в сети, разделенной мостом, они находят- находятся в разных доменах. Такая возможность работы в сети, разделенной мостом, возни- возникает в результате того, что станции находятся в одном широковещательном домене. Однако, если станции находятся в разных широковещательных доменах, как в случае использования маршрутизатора, отправитель и получатель должны учитывать наличие маршрутизатора и адресовать свой трафик через маршрутизатор. MAC: 00-E0-1E-68-2B-12 IP: 172.16.1.2 МАС:00-ЕО-1Е-68-2В-11 IP: 10.0.0.2 MAC: 00-60-97-8F-4F-86 IP: 172.16.1.1 MAC:00-60-97-8F-5B-12 IP: 10.0.0.1 Рис. 2.11. Изменение заголовка фрейма при прохождении через маршрутизатор Таблица 2.2. Изменение фрейма при прохождении через сети, .Ук ,;.-., . разделенные маршрутизатором ~/^-ЬЫ?"Р''''\ \ :■*'."'< "■■■•;:*;'■' Заголовок второго уровня (изменяемый) Заголовок третьего уровня (неизменяемый) Фрейм МАС-адрес получателя МАС-адрес отправителя IP-адрес отправителя IP-адрес получателя 1* V* 3"* 4* 5" 6"* FF-FF-FF-FF-FF-FF 00-60-97-8F-4F-86 00-Е0-1Е-68-2В-12 FF-FF-FF-FF-FF-FF 00-Е0-1Е-68-2В-11 00-60-97-8F-5B-12 00-60-97-8F-4F-86 00-Е0-1Е-68-2В-12 00-60-97-8F-4F-86 00-Е0-1Е-68-2В-11 00-60-97-8F-5B-12 00-Е0-1Е-68-2В-11 172.16.1.1 172.16.1.2 172.16.1.1 10.0.0.2 10.0.0.1 172.16.1.1 172.16.1.2 172.16.1.1 10.0.0.1 10.0.0.1 10.0.0.2 10.0.0.1 * ARP-запрос ** ARP-omeem *** Фрейм с данными пользователя Когда станции 1 необходимо обменяться информацией со станцией 2, первая станция путем сравнения логического адреса получателя со своим логическим адре- адресом определяет, что получатель находится в другой сети. Тот факт, что станции нахо- находятся в разных сетях, заставляет отправителя осуществлять коммуникацию через мар- 78 Часть I. Фундаментальные аспекты технологий локальных сетей
шрутизатор. Маршрутизатор задается значением параметра стандартного маршрутиза- маршрутизатора (default router) или шлюза (default gateway), которые указываются на рабочей станции. Чтобы обратиться к маршрутизатору, отправитель должен адресовать сооб- сообщение маршрутизатору на втором уровне с использованием МАС-адреса маршрутиза- маршрутизатора. Для определения МАС-адреса маршрутизатора отправитель вначале посылает ARP-запрос маршрутизатору (фреймы 1 и 2 на рис. 2.11); когда фрейм поступает в маршрутизатор, устройство определяет, каким образом можно достичь сети назначе- назначения. В рассматриваемом примере сеть, в которой находится получатель, напрямую подключена к маршрутизатору. Маршрутизатор посылает ARP-запрос станции 2 (фреймы 4 и 5 на рис. 2.11) и создает фрейм, который содержит МАС-адрес станции 2 в качестве адреса второго уровня получателя и МАС-адрес маршрутизатора в каче- качестве адреса второго уровня отправителя (фрейм 6 на рис. 2.11). Маршрутизатор ис- использует адреса третьего уровня станций 1 и 2. Заголовки канального (второго) уровня изменяются при прохождении фрейма через маршрутизатор, в то время, как адреса третьего уровня (сетевого) остаются неизменными. В отличие от рассмотренного выше случая следует помнить, что при прохождении через мост или повторитель фрейм остается неизменным. Повторитель и мост не из- изменяют его содержимого. Так же, как и мосты, маршрутизаторы предотвращают про- прохождение фреймов, содержащих ошибки, в сеть получателя. Сегментация локальных сетей с помощью коммутаторов В текущей главе были рассмотрены три типа используемых коммуникационных устройств, которые позволяют соединять друг с другом сети и отдельные сегменты ка- кабеля. В начале 1990-х годов на сетевом рынке появилось новое устройство, которое является производным от моста. Фирма Kalpana предложила оборудование для ком- коммутации в локальных сетях, которое называлось EtherSwitch. Устройство EtherSwitch представляло собой "приукрашенный" мост в том плане, что оно содержало больше портов и было рассчитано на подключение непосредственно к сетевым устройствам, а не к сегментам кабеля. Каждому порту соответствовал отдельный домен коллизий, что позволяло обеспечить пользователя максимальной пропускной способностью на дан- данном порту. Такое новаторское применение хорошо известной технологии, каковой яв- является мост, быстро приобрело популярность среди сетевых администраторов. Уст- Устройство позволяло поднять пропускную способность, доступную каждому пользовате- пользователю, без необходимости обновления всей инфраструктуры сети. Руководство корпорации Cisco оценило большое значение новой технологии, и в 1994 году корпо- корпорация приобрела фирму Kalpana, что позволило дополнить линию коммутаторов Catalyst, приобретенную у компании Crescendo Communications в сентябре 1993 года. Линейка коммутаторов Catalyst тогда состояла из моделей Catalyst 1200, а в марте 1995 года была выпущена модель Catalyst 5000. Очередное приобретение компании Grand Junction Networks еще больше расширило серию коммутаторов Catalyst моделями Catalyst 1900 и Catalyst 2820. Таким образом, новая растущая линия продуктов глубоко проникла на рынок средств коммутации и заняла передовые позиции. Что же в точности представляет собой коммутатор локальных сетей? Коммутатор локальных сетей — это многопортовый мост, который позволяет подключать рабочие станции непосредственно к устройству для получения полной пропускной способно- Глава 2. Сегментация локальных сетей 79
сти среды передачи данных и обеспечения возможности всем рабочим станциям пере- передавать информацию одновременно. Например, на рис. 2.12 показаны четыре рабочие станции, которые обмениваются информацией одновременно, что является невоз- невозможным в сети с разделяемой пропускной способностью. Сеанс 1 Сеанс 2 Рис. 2.12. Несколько одновременных сеансов передачи данных через коммутатор локальных сетей Поскольку коммутатор представляет собой сложный мост с несколькими интер- интерфейсами, то все порты коммутатора принадлежат одному широковещательному доме- домену. Если какая-либо станция отправляет широковещательный фрейм, все устройства, подключенные к коммутатору, получают его. Коммутатор перенаправляет широкове- широковещательные сообщения на все порты. К сожалению, такое поведение приводит к тому, что коммутатор ведет себя при работе с широковещательными и групповыми фрей- фреймами не более эффективно, чем мост или повторитель. Существует возможность сконфигурировать коммутатор так, что различные пор- порты будут принадлежать различным широковещательным доменам. Подобная на- настройка может быть проведена системным администратором с целью изоляции ши- широковещательных сообщений. На рис. 2.13 некоторые порты коммутатора принад- принадлежат широковещательному домену номер 1, некоторые — широковещательному домену номер 2, а остальные — широковещательному домену номер 3. Если стан- станция, подключенная к интерфейсу в широковещательном домене 1, передает широ- широковещательный фрейм, то коммутатор перенаправляет его только в интерфейсы, ко- которые принадлежат тому же широковещательному домену. При этом в других ши- широковещательных доменах нет затрат пропускной способности, связанной с широковещательными сообщениями в широковещательном домене 1. Фактически ни один фрейм не может пересечь границы между широковещательными доменами без участия дополнительного внешнего устройства для соединения широковеща- широковещательных доменов, такого, как маршрутизатор. 80 Часть I. Фундаментальные аспекты технологий локальных сетей
Широковещательный домен 3 Широковещательный домен 1 Широковещательный домен 2 Широковещательный домен 1 Широковещательный домен 3 Рис. 2.13. Коммутатор, позволяющий создавать несколько широковеща- широковещательных доменов Коммутаторы, которые имеют функции создания широковещательных доменов, позволяют создавать виртуальные локальные сети (virtual LAN — VLAN), которые бо- более подробно обсуждаются в главе 5, "Виртуальные локальные сети". На текущий момент читателю достаточно представлять коммутатор, имеющий функцию создания сетей VLAN, как коммутатор, содержащий несколько изолированных друг от друга мостов (см. рис. 2.14). О ОП ПП С Широковещательный домен 3 э оо Рис. 2.14. Логическое представление внутрен- внутренней структуры коммутатора с функцией поддержки сетей VLAN При создании пяти виртуальных локальных сетей фактически активируются пять виртуальных устройств внутри коммутатора, каждое из которых выполняет функцию моста. Глава 2. Сегментация локальных сетей 81
Резюме Какова разница между мостом и коммутатором? Различие заключается в марке- маркетинге. Коммутатор работает с использованием той же технологии, что и мост, однако первое устройство используется для соединения сетевых устройств, а другое — как устройство для объединения сетей. Оба устройства позволяют создать отдельный до- домен коллизий на каждом порту и оба имеют возможность создания нескольких широ- широковещательных доменов в зависимости от реализации данной функции изготовителем и конфигурации, заданной пользователем. Контрольные вопросы В данный раздел включены различные вопросы по теме настоящей главы. Ответив на них, читатель сможет оценить степень владения изложенным материалом. Кроме того, приведенные ниже вопросы помогут подготовиться к письменным и лаборатор- лабораторным экзаменам на получение статуса сертифицированного эксперта по объединенным сетям Cisco (CCIE). Ответы на вопросы приведены в приложении А, "Ответы на кон- контрольные вопросы". Для ответов на вопросы 1 и 2 необходимо обратиться к рис. 2.15. Рис. 2. J5. Топология сети, используемая в вопросах I и 2 1. Сколько доменов коллизий и широковещательных доменов существуют в сети, показанной на рис. 2.15? 2. Сколько пар адресов второго и третьего уровней используются при передаче данных между рабочими станциями 1 и 2 на рис. 2.15? Для ответа на вопрос 3 необходимо обратиться к рис. 2.16. 82 Часть I. Фундаментальные аспекты технологий локальных сетей
Порты 1,2,3,4 принадлежат сети VLAN 1 Порты 5,6,7 принадлежат сети VLAN 2 Рис. 2.16. Топология сети, используемая в вопросе 3 3. В чем заключается основная проблема сети, представленной на рис. 2.16? 4. Сколько широковещательных доменов образуются при подключении многопор- многопортового повторителя (концентратора) к порту моста? 5. Может ли обычный мост принадлежать более чем одному широковещательному домену? Глава 2. Сегментация локальных сетей 83
В этой главе... \ • Метод прозрачного мостового перенаправления. В данном разделе описаны пять > основных процессов, которые используются в технологии мостового прозрач- прозрачного перенаправления, а именно: процесс перенаправления данных (forwarding), процесс лавинной передачи (flooding), процесс фильтрации паке- пакетов (filtering), процесс коммутации с самообучением (learning) и процесс старе- старения адресов (aging). -л, • Режимы коммутации. В разделе сравниваются различные режимы коммутации, та- такие, как коммутация пакетов с промежуточным хранением (store-and-forward), сквозная коммутация пакетов (cut through) и другие методы. • Принципы работы мостов в технологии Token Ring. В технологии Token Ring , также существуют свои принципы функционирования мостов. В этом разделе ;:. проанализированы и сравнены между собой принципы работы мостов. ■f. » \' • Коммутация в сетях Token Ring. Методы коммутации в сети, построенной по ■ технологии Token Ring, позволяют получить большинство из тех преимуществ, которые обеспечивают методы коммутации в сетях Ethernet. В данном разделе , описаны правила коммутации в сетях Token Ring при использовании коммута-- торов модели Catalyst. :? • Ethernet или Token Ring? Зачастую при установке оборудования для создания новых сетей пользователи точно не знают, какую технологию лучше использо- использовать. В этом разделе приводятся некоторые соображения, позволяющие сделать оптимальный выбор. • Переход с технологии Token Ring на технологию Ethernet. Иногда администрато- администраторы решают заменить устаревшие системы, работающие по технологии Token Ring, на системы, работающие по технологии Fast Ethernet с использованием коммутаторов. В данном разделе предлагаются решения, которые могут быть полезны при подобной модернизации.
Глава 3 Технологии функционирования мостов ' Несмотря на то, что существует большое количество разновидностей коммуникаци- коммуникационного оборудования для сегментации сетей, во всех коммутаторах локальных сетей, ра- работающих на втором уровне и служащих для создания более мелких доменов коллизий и широковещательных доменов, используются технологии сегментации сетей с помо- " щью мостов. В главе 2, "Сегментация локальных сетей", обсуждаются возможности соз- дания доменов коллизий с помощью мостов и коммутаторов. Однако, кроме сегмента- ции локальных сетей и ограничения доменов коллизий, использование мостов позволя- ет защитить сети от нежелательного трафика одноадресных сообщений и избежать появления так называемых активных петель, которые снижают эффективность работы ' сети. Принципы работы подобных устройств отличны для сетей, функционирующих по технологиям Ethernet и Token Ring. В сетях, использующих технологию Ethernet, для пе- ^ ренаправления трафика применяется так называемый метод мостового прозрачного пе- перенаправления (transparent bridging), а для предотвращения появления петель использу- используется алгоритм распределенного связующего дерева (spanning tree). В технологии Token Rin& обычно используется метод мостового перенаправления от отправителя (source-route bridging). В текущей главе описаны методы мостового прозрачного перена- перенаправления, мостового перенаправления от отправителя (в том числе, некоторые его ва- вариации), а также методы коммутации второго уровня в локальных сетях. Алгоритму рас- ...пределенного связующего дерева, который используется в технологии Ethernet, целиком посвящена глава 6, "Основы протокола распределенного связующего дерева". Метод мостового прозрачного перенаправления 0Р'! Как было показано в главе 2, "Сегментация локальных сетей", сегментация сетей позволяет обеспечить большую пропускную способность сети на одного пользователя. Использование мостов позволяет получить большую пропускную способность на од- одного пользователя путем уменьшения количества устройств, подключенных к одному сегменту и конкурирующих за пропускную способность. Кроме того, применение /Мостов позволяет получить дополнительную пропускную способность благодаря нали- *$чию управления потоком данных в сети. Мост посылает данные только в тот интер- Йфейс или интерфейсы, к которым подключены устройства, для которых они предна-
значены. В случае трафика одноадресатных сообщений мост перенаправляет данные только в один порт, а не во все. Действительно, зачем занимать пропускную способ- способность на сегментах, к которым не подключена станция-получатель? Метод прозрачного мостового перенаправления определен в спецификации стан- стандарта IEEE 802.Id, которая описывает пять процессов обработки фрейма при прохож- прохождении через мост: 1. перенаправление фреймов (forwarding); 2. лавинная передача (flooding); 3. фильтрация фреймов(икег^); 4. коммутация с изучением топологии или самообучением (learning); 5. старение таблицы МАС-адресов (aging). На рис. 3.1 показаны пять процессов обработки, которые используются в методе прозрачного мостового перенаправления. Получить пакет Запомнить адрес отправителя или обновить таймер таблицы адресов Является ли адрес получателя широковещательным, многоадресатным или отсутствующим в таблице адресов? -Да ■ Использовать лавинную передачу пакета Нет Подключены ли отправитель и станция-получатель к одному интерфейсу? -Да Отфильтровать пакет Нет Перенаправить одноадресатный фрейм в соответствующий порт Рис. 3.1. Схема пути пакета, используемая в методе прозрачного мостового перенаправления 86 Часть I. Фундаментальные аспекты технологий локальных сетей
Когда фрейм поступает в мост, работающий по методу прозрачного перенаправле- перенаправления, Ethernet МАС-адрес отправителя и порт, к которому он подключен, добавляются в таблицу МАС-адресов моста. Если адрес отправителя уже находится в таблице, то мост обновляет значение таймера старения информации для данного адреса. Далее проверяется МАС-адрес точки назначения. Если адрес получателя является широко- широковещательным, адресом групповой передачи или адресом отдельного устройства, по от- отсутствует в таблице МАС-адресов, то пакет передается во все порты (лавинная пере- передача), которые находятся в режиме использования алгоритма связующего дерева, за исключением порта, к которому подключен отправитель. Если адреса отправителя и получателя соответствуют одному порту, то мост отбрасывает (фильтрует) фрейм. В противном случае мост перенаправляет фрейм в интерфейс, который записан в таб- таблице МАС-адресов моста и соответствует адресу получателя. Ниже каждый из пяти вариантов обработки фреймов описывается более детально. Самообучение Каждый мост поддерживает таблицу МАС-адресов, в которую заносятся записи обо всех известных рабочих станциях, подключенных ко всем интерфейсам моста. В частности, при получении фрейма от любого устройства мост заносит МАС-адрес от- отправителя и порт, к которому подключен отправитель, в свою таблицу МАС-адресов. Такой процесс называется самообучением моста или изучением топологии. Мост запо- запоминает только адреса отправителей, содержащиеся в одноадресных сообщениях. Станции никогда не передают фреймы, у которых адрес отправителя является широ- широковещательным или адресом групповом рассылки. Мост запоминает МАС-адреса от- отправителей для интеллектуальной пересылки фреймов в сегмент получателя. При по- получении фрейма мост просматривает свою таблицу МАС-адресов для определения порта, к которому подключена станция с МАС-адресом требуемого получателя. Ин- Информация в таблице МАС-алрееов моста используется либо для фильтрации трафика (в случае, если станция-отправитель и станция-получатель находятся на одном сег- сегменте), либо для отправки фрейма в соответствующий интерфейс или интерфейсы. A.I A.2 В.1 В.2 С.1 С.2 Рис. 3.2. Пример сеты, сегментированной с помощью мостов Однако, сразу после подачи питания па мост п его таблице МАС-адресов еще пет никаких записей. Допустим, что мосты, показанные па рис. 3.2, только что были Глава 3. Технологии функционирования мостов 87
включены, и ни одна станция еще успела передать никаких данных. В таком случае таблицы МАС-адресов всех четырех мостов являются пустыми. Представим теперь, что станция 1 передает одноадресатный фрейм станции 2. Все станции в соответст- соответствующем сегменте, в том числе и мост, получают переданный фрейм в связи с тем, что сегмент является по своей природе средой общего доступа. Мост А определяет, что станция 1 находится на сегменте, подключенному к порту А.1, путем анализа адреса отправителя в заголовке канального уровня фрейма. После этого мост А заносит МАС-адрес отправителя и соответствующий ему порт в свою таблицу МАС-адресов. Лавинная передача Продолжим рассмотрение случая, когда станция 1 передает данные; мост А также определяет адрес станции-получателя из заголовка канального уровня фрейма для того, чтобы найти, есть ли соответствующая запись в его таблице МАС-адресов. В рассматри- рассматриваемом случае в таблице МАС-адресов моста А содержится только информация о стан- станции 1. Когда мост получает одноадресатный фрейм (т.е. фрейм, предназначенный толь- только одной станции-получателю), а в таблице МАС-адресов данного моста нет информа- информации об адресе назначения, то говорят, что мост получает неизвестный одноадресатный фрейм. Правила работы мостов требуют, чтобы неизвестный одноадресатный фрейм от- отправлялся во все интерфейсы, за исключением того, к которому подключена стан- станция-отправитель. Указанный процесс называется лавинной передачей (flooding). Таким образом, в рассматриваемой ситуации мост А передает фрейм во все интерфейсы1, даже если станция 1 и станция 2 подключены к одному и тому же интерфейсу моста. Когда мост Б получает фрейм, он производит его обработку также, как и мост А, осуществляя процесс изучения топологии и лавинную передачу. Мост Б передает фрейм мостам В и Г, которые также осуществляют процесс самообучения и лавинную передачу. В конеч- конечном итоге таблицы МАС-адресов всех мостов выглядят, как показано в табл. 3.1. Таблица 3.1. Состояние таблиц МАС-адрес мостов после процесса [''.■■'.'■ ' " лавинной передачи ■' ■■.'■■' ■"-■'?:'f:'-' .;-Щ' Порт моста МАС-адрес А.1 1 А.2 Б.1 1 Б.2 Б.З В.1 1 В.2 Г.1 1 В результате рассмотренного процесса все мосты в сети, показанной на рис. 3.2, имеют в своих таблицах МАС-адресов записи о станции 1 и требуемых интерфейсах, указывающих, в каком направлении необходимо посылать фрейм к станции 1. Табли- Таблицы МАС-адресов мостов указывают относительное положение станции, а именно, по- положение по отношению к определенному порту моста. Так, например, в таблице МАС-адресов моста В запись о станции 1 соответствует порту В.1. Такая запись не означает, что станция 1 непосредственно подключена к порту В.1, а всего лишь сви- свидетельствует о том, что мост получил информацию о станции 1 через данный порт. Кроме лавинной передачи неизвестных одноадресных фреймов обычные мосты осуществляют лавинную передачу еще двух типов фреймов: широковещательных и фреймов многоадресатных сообщений. Многие мультимедийные сетевые приложения генерируют широковещательные или многоадресатные сообщения, которые распро- распространяются через сеть, сегментированную с помощью мостов (т.е. широковещатель- широковещательный домен). При увеличении количества пользователей мультимедийных служб воз- ; За исключением одного — того, откуда пришел фрейм. — Прим. ред. 88 Часть I. Фундаментальные аспекты технологий локальных сетей
растает количество широковещательных/многоадресатных данных, которые использу- используют пропускную способность сети. В главе 13, "Многоадресатные и широковеща- широковещательные службы", обсуждаются методы управления трафиком широковещательных и многоадресатных сообщений в сетях при использовании коммутаторов серии Catalyst. Фильтрация фреймов Что произойдет, если станция 2 в сети, показанной на рис. 3.2, ответит станции 1? Все станции, подключенные к сегменту, который соответствует порту А.1, в том числе мост А, получат переданный фрейм. Мост А получает информацию о наличии стан- станции 2 и добавляет ее МАС-адрес вместе с идентификатором соответствующего порта (АЛ) в свою таблицу МАС-адресов. Мост А также анализирует МАС-адрес получателя для определения направления отправки фрейма. Теперь мост А обладает информаци- информацией о том, что станции 1 и 2 подключены к одному порту. Он принимает решение, что фрейм не нуждается в пересылке. В таком случае, мост фильтрует фрейм. Фильтрация осуществляется в том случае, когда станция-отправитель и станция-получатель под- подключены к одному интерфейсу моста. Мост А мог бы отправить фрейм и через другие интерфейсы, но т.к. в таком случае возникают ненужные затраты пропускной способ- способности, то алгоритм работы моста предполагает отбрасывание фрейма. Следует заме- заметить, что в рассматриваемом случае о существовании станции 2 знает пока только мост А, поскольку фрейм от станции 2 еще не проходил через него. Перенаправление фреймов Рассмотрим ситуацию, в которой станция 2 в сети, показанной на рис. 3.2, от- отправляет фрейм станции 6. В таком случае все мосты осуществляют лавинную переда- передачу фрейма, потому что для станции 6 еще пет записей в таблицах МАС-адресов мос- мостов. Все мосты запоминают МАС-адрес станции 2, а также ее относительное положе- положение. Когда станция 6 отправляет ответ станции 2, мост Г просматривает записи в своей таблице МАС-адресов и определяет, что для того, чтобы фрейм достиг стан- станции 2, его нужно перенаправить через интерфейс ГЛ. Мост осуществляет перенаправ- перенаправление фрейма в том случае, если адрес получателя известен (т.е. в нем есть запись в таблице МАС-адресов моста), фрейм представляет собой одноадресное сообщение и станция-отправитель и станция-получатель подключены к разным интерфейсам мос- моста. Когда указанный выше фрейм достигает моста В, он перенаправляет его через ин- интерфейс Б.1. Мост А при получении фрейма соответственно отправляет его через порт АЛ. Таким образом, в рассматриваемом случае только мосты А, Б и Г хранят инфор- информацию о станции 6. В табл. 3.2 показаны текущие состояния таблиц МАС-адресов всех мостов в рассматриваемом случае. Таблица 3.2. Состояние таблиц МАС-адресов мостов после процесса перенаправления фрейма Порт моста МАС-адрес А.1 1 2 А.2 6 * Мосты Б, В и Г не имеют нает передачу фрейма станции < Б.1 Б. 1 2* информации о 5. 2 Б.З 6 станции 2 до В 1 2' тех .1 t пор, В.2 пока данная Г.1 1 2' станция Г.2 6 на чачи- Глава 3. Технологии функционирования мостов 89
Старение таблицы МАС-адресов Когда мост определяет адрес отправителя в процессе изучения топологии, то в со- соответствующую запись в таблице его МАС-адресов заносится также отметка времени, когда данное событие произошло. Каждый раз при получении фреймов от указанного отправителя мост обновляет значение временной отметки. Если мост не получает ни- никаких фреймов от данного узла-отправителя в течение определенного времени (истекает время так называемого таймера старения), то мост удаляет соответствую- соответствующую запись из своей таблицы МАС-адресов. Для чего необходимо удаление записей? Мост имеет конечное количество памяти, что, соответственно, ограничивает количество адресов, которое он может запомнить в своей таблице МАС-адресов. Например, мосты самого высокого класса имеют воз- возможность запоминать более 16000 адресов, тогда как устройства более низкого класса имеют таблицы с емкостью менее 4096 записей. Что же произойдет, если все 16000 записей уже заполнены, а в сети работает 16001 устройство? Мост передает фреймы от такого последнего устройства с помощью лавинной передачи до тех пор, пока не ос- освободится место в его таблице МАС-адресов и мост не сможет запомнить информа- информацию о нем. Записи в таблице МАС-адресов уничтожаются, когда для соответствую- соответствующего адреса истекает таймер старения записи. Таймер старения таблицы МАС-адресов позволяет ограничить количество актов лавинной передачи благодаря запоминанию адресов наиболее активных станций. Если к сети подключено меньше устройств, чем можно разместить записей в таблице МАС-адресов моста, т.е. смысл увеличить временной интервал старения записей. В таком случае мост будет запоми- запоминать адреса станций на более длительное время и тем самым число актов лавинной передачи будет уменьшаться. Старение таблиц МАС-адресов также необходимо для того, чтобы мосты могли приспособиться к перемещению станций. Исходя из информации, показанной в табл. 3.2, мосты обладают информацией о положении станций 1, 2 и 6. При подклю- подключении станции 6 к другому интерфейсу другие сетевые устройства могут потерять воз- возможность передавать данные этой станции. Например, если станция 6 изменила свое положение и теперь подключена к порту С.2, а станция 1 передает данные станции 6, то переданные фреймы никогда не достигнут станции 6. Действительно, мост А будет передавать фреймы мосту Б, а мост Б все еще содержит запись в своей таблице МАС-адресов о том, что станция 6 подключена к порту Б.З. Старение таблиц МАС-адресов позволяет мостам "забыть" информацию о станции 6. Мост Б при этом начнет использовать метод лавинной передачи для отправки фреймов, адресованных станции 6, пока в процессе самообучения не определит ее нового положения. С дру- другой стороны, как только станция 6 начнет передачу фреймов станции 1, то мосты сра- сразу же определят и запомнят новое положение станции 6. Таким образом, если значе- значение интервала времени старения слишком большое, то могут возникать проблемы с досягаемостью станций в сети. В примере 3.1 показан результат вывода информации на консоль коммутатора Catalyst, в котором видно его таблицу МАС-адресов. Показанный коммутатор Catalyst располагает информацией о девяти устройствах (строка вьщелена полужирным шриф- шрифтом), подключенных к девяти интерфейсам. Коммутаторы Catalyst хранят информа- информацию о каждом устройстве, которое связано с одним и только одним интерфейсом. 90 Часть I. Фундаментальные аспекты технологий локальных сетей
[ёр 3.1. Таблица МАС-адресов коммутатора Catalyst V . Console> (enable) show cam dynamic WAN Dest MAC/Koute Des Destination Ports or VCs 2 1 2 1 1 1 3 1 1 Total Matching CAM Entries Displayed = 9 Console> (enable) Таблицы МАС-адресов мостов, которые обсуждались до настоящего времени, со- содержали только две колонки, а именно: МАС-адрес и порт, соответствующий поло- положению станции. Значениям этих параметров соответствуют колонки 2 и 3, показан- показанные в примере 3.1. Однако в приведенной таблице есть еще одна колонка. Колонка с номером один показывает, какой виртуальной локальной сети (Virtual LAN — VLAN) принадлежит соответствующий МАС-адрес. Один МАС-адрес может принадлежать только одной сети VLAN в любой момент времени. Сети VLAN описаны в главе 5, "Виртуальные локальные сети". 00-90-ab-16-60-20 00-90-ab-16-b0-20 00-90-ab-16-4c-20 00-90-97-8f-4f-86 00-10-07-3b-5b-00 00-90-ab-16-50-20 00-90-ab-16-54-20 00-90-92-bf-74-00 00-90-ab-15-d0-10 3/4 3/10 3/2 3/23 3/17 3/91 3/1 3/18 3/3 Режимы коммутации В главе 2, "Сегментация локальных сетей", были описаны различия между моста- мостами и коммутаторами. Корпорация Cisco определяет Catalyst как коммутатор локаль- локальных сетей. Коммутатор является, по сути, сложным мостом. Коммутатор может быть сконфигурирован таким образом, чтобы функционировать как несколько мостов пу- путем определения внутренних виртуальных мостов (т.е. сетей VLAN). Каждый вирту- виртуальный мост соответствует новому широковещательному домену, т.к. между виртуаль- виртуальными мостами нет никакой связи. Широковещательные сообщения, которые переда- передаются одним виртуальным мостом, не воспринимаются другими виртуальными мостами. Только маршрутизаторы (внешние или внутренние) должны использоваться для соединения широковещательных доменов друг с другом. При использовании мос- мостов для соединения широковещательных доменов домены объединяются в один ги- гигантский широковещательный домен, что уже само по себе сводит на нет усилия по созданию отдельных широковещательных областей. Коммутаторы также, как и мосты, принимают решение по перенаправлению фреймов в соответствии с методом прозрачного мостового перенаправления. Однако производители предлагают несколько различных режимов коммутации, чтобы опреде- определить, когда именно необходимо коммутировать фрейм. В промышленности наиболее употребительными являются три режима: режим с промежуточным хранением (store-and-forward), сквозная коммутация (cut-through) и режим с контролем фрагмен- Глава 3. Технологии функционирования мостов 91
тов (fragment-free). На рис. 3.3 показаны моменты времени, когда происходит коммута- коммутация фреймов в процессе их обработки при использовании перечисленных трех режимов. Адрес отправителя Адрес получателя Остальная часть фрейма 6 байт Сквозная коммутация 64 байта С контролем фрагментов С промежуточным хранением Все байты Рис. 3.3. Моменты времени, когда происходит коммутация фреймов при использовании различных режимов Каждый из режимов имеет свои преимущества и в чем-то является компромисс- компромиссным вариантом, что обсуждается в следующих ниже разделах. В результате использо- использования различных моментов времени для коммутации фреймов наиболее существен- существенным образом три режима отличаются с точки зрения обработки ошибок и временами задержек. В табл. 3.3 представлены сравнительные характеристики указанных режи- режимов, а также приведены модели коммутаторов семейства Cayalyst, в которых исполь- используется каждый из различных режимов коммутации. Таблица 3.3. Сравнение режимов коммутации Режим коммутации Обработка фреймов Задержка Обработка фреймов с ошибками Коммутаторы семейства Catalyst* С промежуточным хранением Сквозная С контролем фраг- фрагментов Отбрасывание Передача Отбрасывание фрейма, если ошибка содержит- содержится в первых 64 байтах Переменная Малая фикси- фиксированная Умеренная фиксированная 5500, 5000, 3920, 3900, 3000, 2900, 1900,2820,2600,6000 3920, 3900, 3000, 2600 3000, 2820,1900 *Следует обратить внимание, что если модель коммутатора поддерживает более одного режи- режима, то может быть доступен адаптивный режим сквозной коммутации. Для уточнения данного во- вопроса необходимо обратиться к технической документации, которая поставляется с устройством. Одна из главных целей, для которых применяется коммутация — это обеспечение большей пропускной способности для конечного пользователя. Каждый порт комму- коммутатора задает новый домен коллизий, в котором доступна полная пропускная способ- способность физической среды передачи. Если только одна станция подключена к интер- интерфейсу, то такая станция может полностью использовать выделенную ей пропускную способность, и нет необходимости в разделении пропускной способности между не- несколькими устройствами. Все режимы коммутации, описанные в следующих разделах, рассчитаны на поддержку выделенной каждому устройству пропускной способности. 92 Часть I. Фундаментальные аспекты технологий локальных сетей
Совет Для того чтобы определить наиболее оптимальный режим коммутации в сети, следует принять во внимание требования приложений по запаздыванию передаваемых дан- данных (latency) и требования по надежности сети. Часто ли в сети возникают ошибки пе- передачи, связанные с сетевым оборудованием или кабельной инфраструктурой? Если да, то следует по возможности исправить ошибки и использовать режим коммутации с промежуточным хранением. Могут ли используемые приложения нормально работать в условиях повышенных задержек, которые обеспечивает режим с промежуточным хранением? Если нет, то следует использовать режим сквозной коммутации. Заметим, что при использовании коммутаторов семейства Catalyst моделей 5000 и 6000 необ- необходимо использовать режим с промежуточным хранением. Такое требование является приемлемым, т.к. часто задержка не является основным требованием, особенно при использовании высокоскоростных соединений и процессоров, а также современных протоколов передачи с использованием окон данных. И последнее: если для сегмен- сегментов, к которым подключены устройства, передающие и принимающие информацию, используется разная физическая среда передачи, то необходимо использовать только режим коммутации с промежуточным хранением. Режим коммутации с промежуточным хранением В режиме с промежуточным хранением данных перед тем, как начинать процесс коммутации, фрейм принимается целиком. После получения всего содержимого фрейма коммутатор определяет его адрес отправителя и адрес получателя, проверяет содержимое фрейма на наличие возможных ошибок и затем, в случае необходимости, выполняет какой-либо из видов специальной фильтрации согласно стандартных пра- правил, установленных администратором, с целью модификации процесса перенаправле- перенаправления фреймов. При обнаружении каких-либо ошибок коммутатор отбрасывает фрейм, тем самым предотвращая затраты пропускной способности на передачу в сег- сегмент-получатель фреймов, содержащих ошибки. Если сеть характеризуется высокой частотой ошибок несовпадения контрольной суммы фрейма (FCS — Frame Check Secuence) или большой частотой наложения фреймов, то наилучшим решением будет использование режима коммутации с промежуточным хранением. Абсолютно пра- правильным решением, конечно, является устранение причин ошибок, а использование режима с промежуточным хранением можно сравнить с наложением повязки на ногу при болящей голове, что, соответственно, не может быть решением проблемы. Если станция-отправитель и станция-получатель подключены к сегментам, по- построенным на базе различных физических сред передачи, то необходимо использовать именно тот режим коммутации, который сейчас обсуждается. Использование различ- различных физических сред передачи данных часто имеет свои дополнительные проблемы. В разделе "Метод мостового перенаправления от отправителя" обсуждаются некоторые из подобных проблем. Для решения проблем соединения различных физических сред использование режима с промежуточным хранением также является необходимым. Поскольку перед тем, как начать передачу фрейма, коммутатор должен получить все его содержимое, задержка передачи изменяется в зависимости от размера фрейма. Например, минимальный размер фрейма в сетях стандарта lOBaseT составляет 64 ок- октета, и для его получения необходимо время 51,2 микросекунды. В другом случае, когда размер фрейма равен 1512 октетам, то его получение занимает 1,2 миллисекун- Глава 3. Технологии функционирования мостов 93
ды. Задержка передачи для сетей стандарта lOOBaseX составляет одну десятую от зна- значений, полученных для сетей, построенных по стандарту lOBaseT. Сквозная коммутация В режиме сквозной коммутации коммутатор начинает процесс перенаправления фрейма сразу же после того, как будет принят октет, содержащий адрес получателя, что позволяет снизить задержку во времени до необходимого для приема шести окте- октетов адресата данных, т.е., до величины 4,8 мкс для сетей стандарта lOBaseT. Однако в данном режиме коммутатор не может проверить фрейм на наличие ошибок до тех пор, пока не будет передано все содержимое фрейма. Фреймы, содержащие ошибки, передаются коммутатором в сегмент получателя, что, соответственно, требует затрат пропускной способности. Отбрасывается фрейм приемным устройством стан- станции-получателя. При увеличении пропускной способности сети и скорости процессоров проблема задержек передачи становится менее существенной. В сетях с большой скоростью пе- передачи информации время, необходимое для приема и обработки фрейма, существен- существенно сокращается, что снижает ценность режима сквозной коммутации. Таким образом, для большинства сетей режим коммутации с промежуточным хранением является бо- более предпочтительным. Некоторые коммутаторы поддерживают как режим сквозной коммутации, так и режим коммутации с промежуточным хранением. Такие устройства обычно могут ра- работать также и в третьем режиме, который называется адаптивным режимом сквозной коммутации (adaptive cut-through). Такие коммутаторы обычно работают в режиме сквозной коммутации, при этом выборочно активируя режим коммутации с промежу- промежуточным хранением. Коммутатор проверяет фреймы на наличие ошибок в процессе перенаправления. Т.к. в режиме сквозной коммутации фрейм, содержащий ошибки, не может быть остановлен, то коммутатор использует счетчик числа ошибок. Если число фреймов с ошибками превышает некоторый порог, коммутатор автоматически переходит в режим работы с промежуточным хранением. Именно такой алгоритм ра- работы и называют адаптивным режимом сквозной коммутации. Преимуществом такого режима является обеспечение малого времени задержки в случае, если сеть работает без ошибок, кроме того он позволяет защитить выходной сегмент при наличии оши- ошибок во входном сегменте. Коммутация с контролем фрагментов Данный режим является еще одной альтернативой сочетания преимуществ сквоз- сквозной коммутации и коммутации с промежуточным хранением. В режиме коммутации с контролем фрагментов коммутатор ведет себя так же, как и в режиме сквозной ком- коммутации в том плане, что он не ожидает, пока будет принято все содержимое фрейма, до того, как начать перенаправление. При этом в режиме с контролем фрагментов коммутатор начинает перенаправление после получения первых 64 октетов фрейма (это значение больше, чем в режиме сквозной коммутации, что ведет к увеличению задержки). Коммутатор, работающий в режиме сквозной коммутации, позволяет за- защитить сегмент получателя от фрагментов фреймов, которые возникают в процессе коллизий в сетях Ethernet, работающих в полудуплексном режиме. В правильно спро- спроектированной сети, работающей по технологии Ethernet, устройства определяют нали- 94 Часть I. Фундаментальные аспекты технологий локальных сетей
чие коллизии до того, как станция-отправитель заканчивает передачу фрейма разме- размером 64 байта (что определяется значением канального интервала; более подробно ос- основы технологии описаны в главе 1, "Технологии для настольных систем"). При об- обнаружении коллизии возникает фрагмент (фрейм размером меньше 64 байт). Такие фреймы не несут никакой полезной информации и отбрасываются коммутатором, ра- работающим в режиме с промежуточным хранением. Коммутатор, работающий в режи- режиме сквозной коммутации, осуществляет перенаправление подобного фрейма, если в нем существует адрес получателя. Поскольку коллизии могут возникать только при передаче первых 64 октетов и большинство ошибок передачи фреймов сказываются именно на этих октетах, то коммутатор, работающий в режиме с контролем фрагмен- фрагментов, позволяет обнаружить большинство фреймов, содержащих ошибки, и отбросить их вместо того, чтобы осуществлять их передачу дальше. В режиме с контролем фраг- фрагментов задержка передачи фреймов выше, чем в режиме сквозной коммутации, по- поскольку коммутатор должен ожидать, пока не будут приняты дополнительные 58 байт, до того, как начать передачу фрейма. Как было описано выше в разделе, посвяшеи- ном режиму коммутации с промежуточным хранением, преимущества режима с кон- контролем фрагментов становятся незначительными при использовании высокоскорост- высокоскоростных сетей и быстрых процессоров для обработки фреймов в коммутаторах. Принципы работы мостов в технологии Token Ring Когда корпорация IBM предложила технологию Token Ring, в рамках данной тех- технологии был также предложен новый принцип работы мостов — мостовое перенаправ- перенаправление от отправителя (source route bridging). Хотя метод прозрачного мостового пере- перенаправления, описанный в предыдущем разделе, может быть использован в сетях, ра- работающих по технологии Token Ring, в сетях, разработанных корпорацией IBM, могут возникать свои уникальные ситуации, в которых использование метода прозрачного мостового перенаправления создает определенные трудности. Примеры подобных си- ситуаций приведены ниже в разделе "Метод мостового перенаправления от отправите- отправителя". С другой стороны, метод мостового перенаправления от отправителя позволяет преодолеть многие трудности. Множество сетей являются комбинированными, т.е. содержат устройства, объеди- объединенные с помощью мостов, работающих по методам прозрачного мостового перена- перенаправления и перенаправления от отправителя. В промышленности был разработан ме- метод для прозрачного перенаправления от отправителя в гибридных сетях, который по- позволяет сосуществовать различным типам сетей. Однако устройства, предназначенные для работы по методу перенаправления от отправителя, не могут сами по себе рабо- работать с устройствами, рассчитанными на метод прозрачного мостового перенаправле- перенаправления. Трансляционное мостовое перенаправление от отправителя (source-route translation bridging) — еще один метод, который дает некоторую надежду на возможность реали- реализации взаимодействия между устройствами, рассчитанными на различные типы физи- физической среды передачи. В следующем разделе представлены все три метода работы мостов в технологии Token Ring (метод мостового перенаправления от отправителя, метод прозрачного мостового перенаправления от отправителя и метод трансляцион- трансляционного перенаправления от отправителя). Вопросам, которые касаются коммутации в сетях Token Ring, посвящен раздел "Коммутация в сетях Token Ring" Глава 3. Технологии функционирования мостов 95
Метод мостового перенаправления от отправителя В сетях, построенных по технологии Token Ring, различные кольца топологии со- соединяются с помощью мостов. Каждое кольцо и мост имеют свой числовой иденти- идентификатор. Значения идентификаторов назначаются сетевым администратором, при этом необходимо соблюдать несколько общепринятых правил. Обычно каждому коль- кольцу в сети, объединенной с помощью мостов, присваивается уникальный идентифика- идентификатор, который имеет значение от 1 до 4095 (позволяется использовать одинаковые идентификаторы для колец, которые не подключены к одному мосту). Возможные значения идентификаторов для мостов составляют диапазон от 1 до 15 и должны быть уникальными для локальных колец и колец, где расположены пункты назначения. Кольцо не может быть подключено к двум мостам, имеющим одинаковые идентифи- идентификаторы. Устройства-отправители используют комбинацию номеров кольца и моста для указания маршрута, по которому фрейм должен пройти через сеть, разделенную с помощью мостов. На рис. 3.4 показана сеть, в которой используется метод мостового перенаправления от отправителя (source-route bridging — SBR) и к которой подключе- подключены несколько рабочих станций. Рис. 3.4. Сеть, в которой используется метод мостового перенаправления от отправителя Когда станции А необходимо передать информацию станции Б, она вначале пере- передает тестовый фрейм для определения, находится ли станция-получатель в том же кольце, что и отправитель. Если станция Б отвечает на тестовый фрейм, то стан- станция-отправитель определяет, что обе станции находятся в одном кольце и обменива- обмениваются информацией без участия мостов Token Ring. Если станция-отправитель не получает ответа на тестовый фрейм, то она предпри- предпринимает попытку определить положение станции-получателя в других кольцах. При этом фрейм должен пройти через мост. Для прохождения через мост фрейм имеет 96 Часть I. Фундаментальные аспекты технологий локальных сетей
специальное поле — поле информации о маршруте (routing information field — RIF). Специальный бит, устанавливаемый в заголовке фрейма, указывает мосту на то, что фрейм включает в себя поле RIF и что мост должен его проверить. Такой бит называ- называется индикатором информации о маршруте (routing information indicator — RII) и уста- устанавливается равным 0, когда станция-отправитель и станция-получатель находятся в одном кольце, в противном случае он устанавливается равным 1. Наиболее важная информация, которая содержится в поле RIF — это то, каким образом необходимо передавать фрейм по направлению к станции-получателю. Когда станция-отправитель первый раз пытается отправить фрейм станции-получателю, по- поле RIF является пустым, т.к. у станции-отправителя нет информации о пути к стан- станции-получателю. Для заполнения поля RIF станция-отправитель отправляет специ- специальный фрейм поиска всех маршрутов (all routes explorer — ARE). Возможно также ис- использование так называемого поискового механизма распределенного связующего дерева (Spanning Tree Explorer — STE). Фрейм ARE проходит через все мосты и все кольца. Как только он проходит через мост, мост записывает локальные номера кольца и мос- моста в поле RIF. Если станция А, показанная на рис. 3.5, посылает фрейм ARE для оп- определения наилучшего маршрута к станции Г, то станция Г получит два фрейма ARE. Поля RIF этих фреймов будут выглядеть следующим образом: • кольцоЮО — moctI — кольцо200 — мост2 — кольцоЗОО, • кольцоЮО — moctI — кольцо400 — мостЗ— кольцоЗОО. Через каждое кольцо, кроме кольца с номером 100, пройдут два фрейма ARE. На- Например, станции в кольце с номером 200 получат два фрейма ARE с полями RIF сле- следующего вида: • кольцоЮО — moctI — кольцо200, • кольцоЮО — мост! — кольцо400 — мостЗ — кольцоЗОО — мост2 — кольцо200. Фреймы ARE, которые распространяются по кольцу с номером 200, для указан- указанного сеанса являются бесполезными и зря используют пропускную способность. При увеличении сложности сети, построенной по технологии Token Ring, и при наличии большого количества колец, объединенных в сеть с полносвязной топологией (mesh topology), число ARE-фреймов в сети существенно возрастает. Внимание! Использование функции коммутатора Catalyst, называемой all routes explorer reduction (сокращение числа поисковых фреймов для всех маршрутов), гарантирует, что ARE-фреймы не будут перегружать сеть. Пропускная способность сохраняется благо- благодаря сокращению числа поисковых фреймов в сети. Станция Г возвращает все полученные ARE-фреймы станции-отправителю для оп- определения наилучшего маршрута к станции-получателю. Какой именно путь фрейма является наилучшим? Алгоритм SRB (мостового перенаправления от отправителя) не определяет, какой из маршрутов следует использовать, однако дает некоторые реко- рекомендации по определению пути. Станция-отправитель может выполнить любое из следующих действий: • использовать первый из полученных ответов; • использовать путь с наименьшим количеством переходов; Глава 3. Технологии функционирования мостов 97
• использовать путь с наибольшим значением параметра MTU; • использовать комбинации указанных выше критериев. Большинство реализаций технологии сетей Token Ring используют первый вариант. Теперь станция А имеет необходимую информацию для отправки фреймов стан- станции Г. Станция А передает каждый фрейм как фрейм с целевым маршрутом (specifically routed frame), в котором в поле RIF указаны промежуточные кольца и мосты, которые необходимо пройти по направлению к станции-получателю. При получении фрейма мост просматривает поле RIF для определения того, должен ли он перенаправить фрейм. Если к кольцу с номером 100 подключено больше одного моста, только один из них осуществляет перенаправление фрейма с целевым маршрутом. Остальные мос- мосты отбрасывают этот фрейм. Станция Г использует информацию в поле RIF, когда она отправляет фрейм обратно станции А. При этом станция Г создает фрейм с полем RIF, заполненным в обратном порядке. Станция-отправитель и станция-получатель используют один и тот же маршрут в обоих направлениях. Следует заметить, что мост, работающий по методу мостового прозрачного пере- перенаправления, существенно отличается от моста, работающего по методу SRB. Во-первых, в методе SRB устройство-отправитель определяет, каким маршрутом дол- должен пройти фрейм, чтобы дойти до устройства-получателя. При использовании мето- метода мостового прозрачного перенаправления маршрут определяется мостом. Во-вторых, информация, которая используется для определения маршрута, также различна. В ме- методе SRB используются идентификаторы мостов и колец, а в методе прозрачного мос- мостового перенаправления — МАС-адреса станций-получателей. Метод мостового прозрачного перенаправления от отправителя Хотя многие системы, работающие по технологии Token Ring, изначально были достаточно однородными, со временем в таких сетях также начали появляться устрой- устройства, работающие по технологии Ethernet, которые использовали метод мостового прозрачного перенаправления фреймов. В результате администраторы сетей столкну- столкнулись с проблемами гибридных инфраструктур и необходимости одновременной под- поддержки устройств, использующих методы мостового прозрачного перенаправления и перенаправления от отправителя. К сожалению, устройства, рассчитанные на работу по методу прозрачного перенаправления, не могут непосредственно обмениваться данными с устройствами, использующими метод перенаправления от отправителя. Устройства, не рассчитанные на такой метод, не могут обрабатывать поля RIF, фрей- фреймы SRE и другие подобные данные. То, что некоторые протоколы в сетях Token Ring используют метод прозрачного перенаправления, который характерен для технологии Ethernet, еще больше запутывает ситуацию. Внимание! Метод трансляционного мостового перенаправления от отправителя, описанный в следующем разделе, позволяет преодолеть некоторые ограничения метода прозрач- прозрачного перенаправления фреймов от отправителя (source-route transparent bridging — SRT). Поэтому наилучшим решением в данном случае является использование мар- маршрутизатора для обеспечения прохождения маршрутизируемых протоколов в сетях со смешанными физическими средами передачи. 98 Часть I. Фундаментальные аспекты технологий локальных сетей
Метод мостового прозрачного перенаправления от отправителя обеспечивает под- поддержку методов мостового перенаправления от отправителя и мостового прозрачного перенаправления для устройств, работающих в сетях Token Ring. Мосты, работающие по методу SRT, используют бит RII для определения необходимого метода мостового перенаправления. Если мост получает фрейм, в котором бит RII установлен равным нулю, то мост обрабатывает фрейм с помощью метода мостового прозрачного перена- перенаправления. Он определяет МАС-адрес станции-получателя и определяет, необходимо ли использовать перенаправление, лавинную передачу или фильтровать фрейм. Если фрейм содержит поле RIF (бит RII установлен равным единице), то мост обрабатыва- обрабатывает фрейм по методу мостового перенаправления от отправителя и использует содер- содержимое поля RIF для перенаправления фрейма. В табл. 3.4 приведена сравнительная характеристика реакции мостов, работающих по методам SRB и SRT на значении би- бита RII. Таблица 3.4. Реакция мостов, работающих по методам SRT и SRB, й:. f ЩЩ:.'■',.;■ ■■ на значение. битаЯН; ■., ,щЙ^ ■ :щ-: ^:]:.":' ■■■■ Л^л^.-^^^/г; Значение бита RII Метод SRB Метод SRT 0 Отбрасывание фрейма Обработка по методу мостового про- прозрачного перенаправления 1 Обработка по методу мостового перена- Обработка по методу мостового перена- перенаправления от отправителя правления от отправителя При использовании данного метода работы возникают проблемы с некоторыми устройствами, которые разработаны корпорацией IBM. Если такое устройство, рабо- работающее по технологии Token Ring, передает информацию другому подобному устрой- устройству, то первое устройство отправляет тестовый фрейм для определения того, принад- принадлежат ли устройство-отправитель и устройство-получатель к одному кольцу. Если уст- устройство-отправитель не получает ответа, то оно отправляет поисковый фрейм согласно правил метода SRB. Основной недостаток метода SRT связан с обработкой тестового фрейма. Устрой- Устройство-отправитель предполагает, что тестовый фрейм не выйдет за пределы его локаль- локального кольца, и устанавливает бит RII в значение 0. Однако, значение бита RII, равное О, указывает мосту, работающему по методу SRT, на необходимость обработки фрей- фрейма по методу мостового прозрачного перенаправления. При этом мост передает такой фрейм во все кольца посредством лавинной передачи. После того, как тестовый фрейм достигает станции-получателя, станция-отправитель и станция-получатель ис- используют метод мостового прозрачного перенаправления для обмена информацией между собой так, если бы они находились в одном кольце. Хотя, в таком случае сис- система будет работоспособной, однако метод прозрачного перенаправления не позволя- позволяет использовать преимущества возможности существования параллельных маршрутов между станцией-отправителем и станцией-получателем, в то время как метод мосто- мостового перенаправления от отправителя имеет подобное преимущество. Администрато- Администраторы часто создают параллельные базовые сети, работающие по технологии Token Ring, для распределения трафика по нескольким инфраструктурам, чтобы не перегружать отдельные соединения. Метод мостового прозрачного перенаправления всегда исполь- использует только одно соединение и может переключиться на другое только после разрыва первоначально выбранного маршрута (это одна из основных функций протокола рас- Глава 3. Технологии функционирования мостов 99
пределенного связующего дерева, описанного в главе 6, "Основы протокола распреде- распределенного связующего дерева", и главе 7, "Расширенные возможности протокола рас- распределенного связующего дерева"). Таким образом, весь трафик проходит через одно соединение, в то время как остальные соединения остаются неиспользованными. Описанная выше ситуация показывает, почему возможности параллельной обработки трафика в сложных сетях Token Ring в рассматриваемом случае не работают. Еще один аспект, связанный с принципом работы устройств корпорации IBM, дела- делает использование метода SRT нецелесообразным. Для достижения высокого уровня на- надежности работы системы сетевые администраторы могут использовать устройства для создания избыточных ресурсов, такие, как контроллер 3745, как показано на рис. 3.5. Мэйнфрейм 3745^/ \3745 КольцоЧ Token ) 200 Ring [ДД^^^щУ йщДЩиШвУ \. 300 у/ /Кольцо\ Token \Пщ/ Рис. 3.5. Сеть Token Ring с контроллерами из- избыточных ресурсов Контроллеры избыточных ресурсов используют общий МАС-адрес @0-00-00-01-02-03) для упрощения конфигурации рабочих станций, иначе пришлось бы вводить несколько значений данного параметра. Если основной контроллер выхо- выходит из строя, то рабочим станциям необходимо определить новый логический адрес по МАС-адресу дублирующего контроллера. При наличии одинаковых МАС-адресов процесс восстановления может проходить в полностью автоматическом режиме без наличия процесса определения нового адреса. 100 Часть I. Фундаментальные аспекты технологий локальных сетей
Однако, наличие двух одинаковых МАС-адресов в сети, работающей по методу мос- мостового прозрачного перенаправления, приводит к сбоям при работе с таблицами адресов мостов. Таблица адресов мостов может содержать только одну запись для каждого МАС-адреса, станция не может быть подключенной одновременно к двум интерфейсам. Другими словами, если какое-либо устройство, показанное на рис. 3.5, отправляет фрейм устройству с МАС-адресом контроллера А, то каким образом мост, работающий по методу прозрачного перенаправления, будет знать, должен ли он отправить фрейм контроллеру А или контроллеру Б? У обоих контроллеров МАС-адрес одинаков, но только один из них может быть записан в таблице адресов. Таким образом, функция, предназначенная для обеспечения устойчивости от сбоев, не работает при использова- использовании метода SRT. При использовании механизма защиты от сбоев необходима настройка функции виртуального концентратора Token Ring (Token Ring Concentrator Relay Func- Function — TrCRF) для метода мостового перенаправления от отправителя. Функция TrCRF описана в текущей главе, в разделе "Коммутация в сетях Token Ring". Трансляционное мостовое перенаправление от отправителя К сожалению, не все сети являются однородными. Они могут содержать оборудо- оборудование, использующее смешанные методы доступа к физической среде передачи, как, например, одновременно соединения технологий Ethernet и Token Ring. Как подклю- подключить сеть, работающую по технологии Token Ring, к сети, работающей по технологии Ethernet, в сети, показанной на рис. 3.6? Рис. 3.6. Объединение сетей со смешанным способом доступа к физиче- физической среде передачи с помощью моста Глава 3. Технологии функционирования мостов 101
Существуют определенные трудности, которые не дают возможности устройствам в разных сетях обмениваться информацией друг с другом. Ниже перечислены некото- некоторые из них. • Различный формат МАС-адреса. • Различное представление МАС-адреса в поле протокола. • Различные форматы фреймов LLC и Ethernet. • Несовместимые методы обработки поля, содержащего информацию о маршруте. • Несовпадающие значения параметра MTU. Метод трансляционного мостового перенаправления позволяет устранить перечис- перечисленные выше трудности, позволяя устройствам обмениваться информацией. Однако для метода трансляционного мостового перенаправления не существует стандарта, что оставляет некоторые детали реализации на усмотрение разработчика. В следующих разделах каждое из перечисленных ограничений рассматривается более подробно. В последующих разделах также приводится техническое и практическое описание, по- почему использование метода мостового прозрачного перенаправления не является наи- наилучшим выбором. Формат МАС-адреса Когда устройства передают фреймы, то последовательность передаваемых бит из- изменяется в зависимости от метода доступа к физической среде передачи. Для техно- технологии Ethernet формат фрейма имеет вид: ардес получателя | адрес отправите- отправителя | тип | данные. Однако, когда фрейм передается в физическую среду, какой бит пе- передается первым? В технологии Ethernet первым передается наименее значимый бит каждого октета. Рассмотрим, например, щестнадцатеричное значение ОхбА. В бинар- бинарном виде оно выглядит как 01101010 с наибольшим значимым битом (Most Significant Bit — MSB), находящимся слева, и наименее значимым битом (Less Significant Bit — LSB), находящимся справа. В технологии Ethernet первым передается бит LSB. Такой формат адреса обычно носит название канонического. В технологиях Token Ring и FDDI используется неканонический формат, при этом бит MSB передается первым, а бит LSB — последним. Поэтому поток бинарных данных выглядит как 01010110, а со- соответствующее шестнадцатеричпое значение будет восприниматься как 0x56. Транс- Транслирующий мост изменяет последовательность бит в соответствии с типом принимаю- принимающей сети, при этом устройства правильно определяют значение МАС-адреса. Если МАС-адрес отправителя в канонической форме имеет вид 0С-00-01-38-73-0В, то для передачи в сегмент сети, работающей по технологии Token Ring, адрес транслируется в неканонический формат и при этом имеет значение 30-00-80-1C-CE-D0. Если мост не осуществляет трансляцию МАС-адресов, то устройство в сети Token Ring будет от- отвечать станции с неверным значением МАС-адреса. Формат вложенных адресов По аналогии с трансляцией МАС-адресов необходимо также преобразование адре- адресов устройств па третьем уровне модели OSI. Для некоторых протоколов МАС-адрес включается в заголовок протокола третьего уровня. Например, в протоколе IPX фор- формат логического адреса IPX включает номер сети и МАС-адрес. Для протоколов TCP/IP при генерации сообщений протокола преобразования адресов (ARP) МАС-адреса отправителя и получателя включаются в фрейм как часть заголовка про- 102 Часть I. Фундаментальные аспекты технологий локальных сетей
токола IP. Список протоколов, которые используют МАС-адрес в заголовке третьего уровня, включает DECNet Phase IV, AppleTalk, Banyan VINES и XNS. Большинство таких протоколов используют МАС-адрес, содержащийся в заголовке уровня 3 (т.е. сетевого), а не в заголовке канального уровня. Таким образом, транслирующий мост должен быть достаточно интеллектуальным и иметь возможность работать с раз- различными протоколами, чтобы правильно модифицировать значения МАС-адресов в заголовках. Конечно, подобные функции обычно выполняются маршрутизаторами, которые работают на уровне 3 модели OSI. Если в сети, где работает трансляционный мост, начинает использоваться новый протокол, то мост должен быть модернизирован для поддержки новых трансляционных функций. Технологии работы транслирующих мостов должны развиваться параллельно с появлением новых протоколов для обеспе- обеспечения взаимодействия между различными устройствами. Отличия форматов фреймов LLC и Ethernet Фреймы в сетях Ethernet имеют формат вида адрес получателя | адрес отправите- отправителя | тип протокола и поэтому при соединении с помощью мостов таких сетей со струк- структурами, в которых используется формат фреймов стандарта IEEE 802, возникает про- проблема, касающаяся того, как использовать значения поля тип протокола. Заголовки фреймов формата IEEE 802 не рассчитаны на то, чтобы передавать информацию о типе протокола. Тип инкапсуляции SNAP был разработан специально, чтобы обеспе- обеспечить передачу поля типа протокола в сетях с форматом фрейма IEEE 802. На рис. 3.7 показано, как осушествляется трансляция из формата фреймов Ethernet SNAP в фор- формат фреймов Token Ring SNAP. Поле AC Поле FC / Адрес отправителя // Адрес отправителя Адрес получателя Адрес получателя Тип / RIF DSAP SSAP Данные ^\ Управление OUI Формат фрейма Ethernet Тип Данные формат Token Ring SNAP Рис. 3.7. Преобразование фрейма из формата Ethernet SNAP в формат фреймов Token Ring SNAP Назначение полей, показанных на рис. 3.7: • АС — поле управления доступом (access control); • FC — поле управления фреймом (frame control); • DA — адрес получателя (destination address); • SA — адрес отправителя (source address); • RIF — поле информации о маршрутах (routing information field); • DSAP — порт доступа к службе получателя (destination service access port); • SSAP — порт доступа к службе отправителя (source service access port); • Control — поле управления уровня LLC (LLC control); Глава З. Технологии функционирования мостов 103
• OUI — уникальный идентификатор организации-производителя (Organization unique identifier — vendor ID); • Type — значение типа протокола. Интерпретация поля RIF При подключении устройств, работающих по методу перенаправления от отправи- отправителя, к устройствам, работающим по методу прозрачного перенаправления, возникает еще одна проблема — интерпретация поля информации о маршрутах (RIF). Поле RIF отсутствует в фреймах, передаваемых устройствами, работающими по методу мосто- мостового прозрачного перенаправления, но является неотъемлемой частью процесса мос- мостового перенаправления в технологии Token Ring. Как устройство, использующее ме- метод перенаправления от отправителя, должно указывать путь к устройству, работаю- работающему по методу прозрачного перенаправления? Транслирующий мост присваивает номер кольца каждому сегменту, рассчитанному на прозрачное перенаправление. При этом для устройства, использующего метод SRB, устройство-получатель ассоциируется как устройство, подключенное к сегменту, рас- рассчитанному на перенаправление фреймов от отправителя. Для устройства, рассчитан- рассчитанного на прозрачное перенаправление, устройство, работающее по методу SRB, оказы- оказывается видимым на сегменте, рассчитанном на прозрачное перенаправление. Трансли- Транслирующий мост поддерживает таблицу маршрутизации от отправителя, в которую заносится информация о пути к МАС-адресам различных устройств Token Ring. Если устройство, поддерживающее метод прозрачного перенаправления, передает фрейм устройству, работающему по технологии Token Ring, то мост просматривает МАС-адрес станции-получателя и создает поле RIF, содержащее полную информа- информацию о маршруте. Значение параметра MTU В технологиях Ethernet, Token Ring и FDDI поддерживаются различные размеры фреймов. В табл. 3.5 приведены минимальные и максимальные значения размера фрейма для указанных методов доступа к физической среде передачи. j Таблица 3.5. Размеры фреймов в разных технологиях Режим доступа к среде Минимальный размер фрейма Максимальный размер фрейма передачи (в октетах) (в октетах) Ethernet 64 1518 Token Ring D Мбит/с) 21 4511 Token Ring A6 Мбит/с) 21 17839 FDDI 28 4500 Фрейм, который приходит из сети одного типа, не может передаваться в сеть дру- другого типа с нарушением ограничений на размер фрейма. Если устройство, работаю- работающее по технологии FDDI, передает данные устройству, работающему по технологии Ethernet, то оно не может создавать фреймы размером меньше 64 байт и больше 1518 байт. В противном случае мост обязан отбросить фрейм. Трансляционный мост пытается подобрать размер фрейма для того, чтобы адаптировать несоответствие в ве- величинах максимально возможной единицы передачи данных в сети (MTU). В частно- 104 Часть I. Фундаментальные аспекты технологий локальных сетей
сти, транслирующий мост может осуществить фрагментацию фрейма протокола IP, если размер входящего фрейма превышает значение MTU для выходного сегмента. Обычно фрагментацию выполняют маршрутизаторы, поскольку это операция третьего уровня. Транслирующий мост, который выполняет фрагментацию, фактически вы- выполняет обязанности маршрутизатора. Следует заметить, что процесс фрагментации связан с протоколом IP. Другие про- протоколы не поддерживают фрагментацию, поэтому устройство-отправитель обязано создавать фреймы необходимого размера, ориентируясь на сегменты с минимальным значением параметра MTU. Для нормальной работы таких протоколов устройства вы- выполняют функцию обнаружения величины MTU (MTU discovery), которая позволяет станциям определить максимально возможный размер фрейма, который поддержива- поддерживается на пути (путях) следования фрейма от устройства-отправителя к устройст- устройству-получателю. Такая возможность существует также и для протокола IP и является более предпочтительной по сравнению с фрагментацией. Коммутаторы Catalyst и мостовое трансляционное перенаправление Модули коммутатора Catalyst для работы в сети Token Ring не поддерживают ме- метод мостового трансляционного перенаправления. Внешний маршрутизатор Cisco или модуль коммутации маршрутов (Route Switch Module), работающий в режиме моста, обеспечивает поддержку трансляционного мостового перенаправления. Наиболее на- надежный метод соединения сетей, в которых используются различные методы доступа к физической среде передачи — это маршрутизация. Маршрутизаторы обеспечивают поддержку различных протоколов и, соответственно, осуществляют устойчивую трансляцию всех элементов фрейма, обеспечивая их преобразование из форматов тех- технологии Token Ring в форматы других типов сетей. Коммутация в сетях Token Ring Коммутация в сетях Token Ring позволяет получить большинство тех преимуществ, которые предоставляются за счет применения коммутации в сетях Ethernet. Наиболее существенное из указанных преимуществ — это обеспечение большей пропускной способности благодаря сокращению размеров домена Token Ring. В самом крайнем случае наименьшему домену Token Ring соответствует одна рабочая станция на выде- выделенном порту коммутатора. Применение коммутаторов Catalyst для коммутации в се- сетях Token Ring позволяет создавать два виртуальных объекта: функцию виртуального концентратора Token Ring (Token Ring Concentrator Relay Function — TrCRF), упоми- упоминавшуюся выше, и функцию виртуального моста Token Ring (Token Ring Bridge Relay Function — TrBRF). При совместном использовании обе функции позволяют создать сеть Token Ring с меньшими доменами передачи маркера. Метод коммутационного перенаправления от отправителя, который описан в раз- разделе "Коммутационное перенаправление от отправителя", обеспечивает поддержку трансляции фреймов между портами, принадлежащими одному кольцу, или выполня- выполняет функции TrBRF для передачи другому виртуальному устройству, выполняющему функцию TrCRF. Еще одна функция, выполняемая коммутатором Catalyst в сетях Token Ring — это защита от ошибок конфигурации, связанных с дублированием колец, связанных с Глава 3. Технологии функционирования мостов 105
другими коммутаторами Catalyst. Появление подобной ошибки конфигурации в ка- какой-либо реальной ситуации может привести к неправильному функционированию сети Token Ring. Протокол дублирующих колец (Duplicate Ring Protocol — DRiP) опи- описан в разделе "Протокол дублирующих колец (DRiP)". Служба виртуального концентратора Token Ring (TrCRF) В сетях, работающих по технологии Token Ring, станции соединяются друг с дру- другом с помощью модуля множественного доступа (multistation access unit — MAU), ко- который обеспечивает функционирование сети с физической топологией типа звезда. Устройства MAU являются концентраторами, которые поддерживают работу кольца и обеспечивают передачу маркеров и фреймов между рабочими станциями, подключен- подключенными к кольцу. Все станции, подключенные к одному модулю множественного дос- доступа, совместно используют маркер и пропускную способность среды передачи. При использовании коммутаторов Catalyst сетевой администратор может опреде- определить принадлежность нескольких портов к одному виртуальному концентратору — использовать так называемую службу виртуального концентратора сети Token Ring (Token Ring Concentrator Relay Function — TrCRF). Все порты, назначенные для вы- выполнения функции TrCRF, соответствуют одному номеру кольца. Однако, несмотря на такую возможность, все станции, подключенные к заданным портам, могут ис- использовать полную пропускную способность физической среды передачи и никак не воспринимают того факта, что к их кольцу подключены также и другие станции. Служба TrCRF определяет соответствие между номерами портов и номером коль- кольца. В сети, проиллюстрированной на рис. 3.8, показан коммутатор Catalyst, в котором определены четыре службы TrCRF для объединения четырнадцати портов. 200 300 400 Рис. 3.8. Службы TrCRF для объединения портов Номер кольца В общем случае одна служба TrCRF может быть сконфигурирована только в одном коммутаторе Catalyst, т.е. одна функция TrCRF не может выходить за пределы одного коммутатора. Такая служба называется нераспределенной службой TrCRF. Исключением из определения является стандартная служба TrCRF (default TrCRF), которая позволя- позволяет включать несколько коммутаторов Caralyst и поэтому называется распределенной службой TrCRF. Дублирующая (backup) служба TrCRF также может перекрывать не- несколько коммутаторов Catalyst. Стандартная служба TrCRF назначает все порты в принадлежность одному кольцу без участия администратора. Пользователи могут под- подключать устройства к любому порту коммутатора Catalyst и обмениваться информаци- 106 Часть I. Фундаментальные аспекты технологий локальных сетей
ей со всеми станциями в сети с распределенной службой TrCRF. Применение стан- стандартной функции TrCRF позволяет сети, содержащей несколько коммутаторов Cata- Catalyst, работать как одно гигантское кольцо Token Ring, содержащее в себе все коммута- коммутаторы. Такой подход также обеспечивает поддержку коммутаторами Catalyst возможно- возможности готовности к немедленному использованию (plug-and-play) в сетях Token Ring. При конфигурации службы TrCRF необходимо определить номер кольца, номер сети VLAN и связать их с родительской (parent) службой TrBRF (служба TrBRF опи- описана в следующем ниже разделе). Вышестоящей службе TrBRF соответствует номер сети VLAN, который является идентификатором, используемым для связи функций TrBRF и TrCRF. Кроме указанных операций необходимо также определить, будет ли служба TrCRF работать в режиме SRB или SRT. При не указанном режиме функцио- функционирования (т.е. стандартно) служба TrCRF будет работать в режиме SRB. Служба виртуального моста Token Ring (TrBRF) Служба виртуального моста Token Ring (Token Ring Bridge Relay Function — TrBRF) позволяет коммутатору функционировать в качестве многопортового моста и соединять кольца. Служба TrBRF определяет связь функций TrCRF с мостом. Каждая служба TrCRF принадлежит только одной вышестоящей службе TrBRF, при этом од- одному вышестоящему мосту могут принадлежать несколько служб TrCRF. На рис. 3.8, например, показано более одной службы TrCRF, которые принадлежат одной службе TrBRF. Службы TrCRF соединяются посредством служб TrBRF таким же образом, как кольца соединяются с помощью мостов, работающих по методу мостового пере- перенаправления от отправителя или по методу мостового прозрачного перенаправления от отправителя, которые были описаны выше. В отличие от TrCRF служба TrBRF может перекрывать более одного коммутатора Catalyst, как показано на рис. 3.9. Дан- Данное свойство позволяет нескольким службам TrCRF, которые сконфигурированы на различных коммутаторах Catalyst, принадлежать одному мосту. Виртуальный мост Виртуальный концентратор Рис. 3.9. Распределение служб TrBRF между коммутаторами Catalyst Включение службы TrBRF требует присвоения номера сети VLAN для моста. Но- Номер сети VLAN службы TrBRF используется с номером сети VLAN службы TrCRF для создания взаимосвязи между вышестоящими и нижестоящими службами. По- Поскольку служба TrCRF должна быть связана с функцией TrBRF, то стандартная служ- служба (default TrCRF) принадлежит стандартной службе TrBRF (default TrBRF). Для кон- конфигурирования коммутатора Token Ring с поддержкой служб TrBRF и TrCRF, отли- отличающимися от стандартных, необходимо вначале сконфигурировать функцию TrBRF, затем TrCRF и в конце добавить порты в соответствующие службы TrCRF. Для кон- Глава 3. Технологии функционирования мостов 107
фигурации сети, показанной на рис. 3.9, необходимо произвести операции, которые перечислены ниже. 1. Сконфигурировать службу TrBRF, показанную вверху рисунка. Для этого необ- необходимо задать номер моста и номер сети VLAN: Console> (enable) set vlan 100 type trbrf bridge 2. Определить службы TrCRF, показанные внизу рисунка. Для этого необходимо указать номер сети VLAN, номер кольца, тип моста и вышестоящую службу TrBRF, например: Console> (enable) set vlan 110 type trcrf parent 100 ring 10 3. После создания служб TrCRF связать порты с соответствующими службами TrCRF. Коммутационное перенаправление от отправителя Метод коммутационного перенаправления от отправителя включает в себя меха- механизмы обработки трафика в сетях Token Ring с использованием мостов. Режим рабо- работы в таком случае определяется, исходя из положения устройств отправителя и полу- получателя по отношению к службе, выполняющей роль моста. Коммутатор, использую- использующий метод коммутационного перенаправления от отправителя (Source Route Switch — SRS), принимает решение о том, нужно ли использовать метод мостового прозрачного перенаправления для доставки фрейма в пределах одной службы TrCRF или исполь- использовать метод мостового перенаправления от отправителя для доставки фреймов к другим службам TrCRF. Когда станция, подключенная к порту коммутатора, передает данные другой станции, находящейся на другом порту коммутатора, но при этом обе станции принадлежат одной службе TrCRF, то коммутатор SRS осуществляет перена- перенаправление фрейма на основании МАС-адреса станции-получателя. При этом SRS-коммутатор запоминает МАС-адрес станции-отправителя и осуществляет пере- перенаправление по тем же правилам, что и мост, работающий по методу мостового про- прозрачного перенаправления. Однако, если станция-отправитель и станция-получатель принадлежат различным кольцам Token Ring, то станция-отправитель вводит поле RIF в фрейм. Коммутатор SRS просматривает поле RIF и передает фрейм в службу виртуального моста (bridge relay function), которая осуществляет перенаправление фрейма. Несмотря на то, что описанный принцип работы очень похож па принцип работы моста по методу мостового перенаправления от отправителя, между устройствами SRS и SRB существуют характерные отличия. Когда станция передает фрейм ARE, мост, работающий по методу SRB, осуществляет модификацию поля RIF такого фрейма для указания соответствующих номеров колец и мостов. Коммутатор, работающий по ме- методу SRS, никогда не изменяет поля R1F, он только просматривает его. Когда отпра- отправитель отправляет поисковый фрейм маршрутов, то его бит R11 устанавливается рав- равным 1, что указывает на наличие поля R1F. В таком случае инспекция поля RIF по- поискового фрейма показывает, что оно является пустым. Коммутатор SRS определяет, что бит RII установлен в 1, и перенаправляет фрейм на обработку службе TrBRF без изменений. Устройство SRS при этом как бы говорит: "Этот фрейм рассчитан на применение мостового перенаправления от отправителя, его лучше отправить службе 108 Часть I. Фундаментальные аспекты технологий локальных сетей
TrBRF и пускай мост им и занимается". В отличие от описанного выше процесса мост, использующий метод SRB, или служба TrBRF вносит изменения в поле R1F поискового фрейма, указывая в нем номера мостов и колец. В главе 2, "Сегментация локальных сетей", были описаны широковещательные домены и было сказано, что один широковещательный домен соответствует одной виртуальной локальной сети VLAN. Широковещательный домен определяет границы сети, в которых осуществляется передача или перенаправление широковещательных фреймов. Границы такого домена заканчиваются на интерфейсах маршрутизаторов и включают в себя набор виртуальных мостов, соединенных между собой. Сложность сети Token Ring вносит некоторую неясность в определение сетей VLAN. В сети, где используется метод мостового перенаправления от отправителя, реально применяются два типа широковещательных запросов: запросы, распространяющиеся внутри колец (intra-ring) и запросы, распространяющиеся между кольцами (inter-ring). Устройства в сети генерируют широковещательные запросы для распространения информации внутри кольца в тех случаях, когда широковещательный фрейм не со- содержит поля RIF, и бит RII при этом равен 1. Станция может использовать такой ме- метод, когда есть необходимость определить, находится ли станция-получатель в том же кольце, что и станция-отправитель. Коммутатор SRS транслирует такие фреймы во все порты, объединенные службой TrCRF. Такие фреймы не обрабатываются служба- службами TrBRF. В отличие от описанного выше процесса, широковещательные запросы, предна- предназначенные для распространения между кольцами, содержат бит RII, значение кото- которого равно 1, что позволяет фрейму пересекать границы колец. Служба TrBRF осу- осуществляет перенаправление таких фреймов во все кольца, т.е. все кольца получают копию фрейма. На рис. 3.10 показаны границы сетей VLAN для технологии Token Ring. VLAN1 VLAN3 Виртуальным мост- широковеща- тельные запросы между кольцами Виртуальный концентратор - широковеща- широковещательные запросы внутри колец Рис. 3.10. Границы сетей VLAN в сетях Token Ring В сети могут присутствовать широковещательные запросы, рассчитанные на пере- передачу как внутри колец, так и между кольцами. Какие из них фактически определяют границы сетей VLAN? Сети VLAN в технологии Token Ring включают в себя службы TrBRF и TrCRF, а их границы определяются там, где сеть Token Ring должна под- подключаться к маршрутизатору. Глава 3. Технологии функционирования мостов 109
Протокол дублирующих колец (DRiP) В сетях, использующих технологию Token Ring, каждое кольцо имеет свой уни- уникальный номер, который идентифицирует кольцо в процессе мостового перенаправ- перенаправления от отправителя. Точно так же в коммутируемых сетях Token Ring все олужбы TrCRF, за исключением стандартной и дублирующей TrCRF, как упоминалось выше, должны иметь свой уникальный номер. Если администратор ошибется при конфигу- конфигурации и укажет несколько колец с одним номером, как показано на рис. 3.11, то про- процесс коммутации в сети Token Ring будет работать с ошибками. Для ослабления эффектов, связанных с дуб- дублированием номеров колец в коммутируемой се- сети, корпорация Cisco разработала собственный протокол для обнаружения и обработки описан- описанной выше ситуации. Согласно правилам прото- протокола дублирующих колец (Duplicate Ring Protocol — DRiP), устройства отправляют сооб- щения с адресом многоадресатной рассылки Рис. 3.11. Данную конфигурацию ис- 01-00-ОС-СС-СС-СС-СС всем соседним устрой- пользовать нельзя, дублирование ствам, анонсируя информацию об устройст- номеров колец в сетях Token Ring ве-отправителе. Стандартно такие анонсы от- запрещено правляются каждые 30 с или в случае сущест- существенных изменений конфигурации сети. Анонсы по протоколу DRiP передаются только по соединениям ISL (Inter Switch Link — меж- межкоммутаторные каналы), и их распространение ограничено только сетью VLAN1 — стандартной виртуальной локальной сетью. Коммутатор Catalyst, который получает данную информацию, сравнивает ее со своей локальной конфигурацией. Если поль- пользователь пытается сконфигурировать сеть VLAN в сети Token Ring, которая уже суще- существует на другом коммутаторе Catalyst, то локальный коммутатор запрещает подобную конфигурацию. Ethernet или Token Ring? С тех пор, как корпорация IBM предложила промышленный вариант технологии To- Token Ring, как технология Ethernet, так и Token Ring, стали кандидатами для использова- использования в корпоративных локальных сетях. Между сетевыми специалистами продолжаются споры по поводу ответа на вопрос: "Что же все-таки лучше: Ethernet или Token Ring?" Ответ на подобный вопрос очень часто зависит от пользовательских приложений. Ран- Ранние реализации технологии Token Ring позволяли получить скорость передачи только 4 Мбит/с, в то время, как сети Ethernet позволяли получать скорость 10 Мбит/с. Счита- Считалось, что Ethernet-технология лучше, т.к. она обеспечивает большую пропускную спо- способность. Позже технология Token Ring со скоростью передачи 16 Мбит/с стала более привлекательной для пользователей, но тем не менее, не стала доминирующей. Некото- Некоторые пользователи считают, что отсутствие гарантированного доступа к физической среде передачи в технологии Ethernet делает невозможным ее использование для таких целей, как производственные сети. Например, если оператору, выполняющему управление оборудованием, необходимо послать команду запуска/остановки по сети, то от сетевого администратора требуют гарантии того, что команда действительно дойдет до устройст- устройства. Если из-за коллизий в сети команда управления потеряется, то возможно появление 110 Часть I. Фундаментальные аспекты технологий локальных сетей
опасных для жизни работников ситуаций. Поскольку технология Ethernet не дает такой гарантии при работе в среде с коллизиями, то в промышленном производстве больше склоняются к выбору технологии Token Ring. В технологии Token Ring маркер передает- передается пользователю с предсказуемой частотой и за счет этого разрешает доступ к сети и пе- передачу критически важных команд. Для технологии Ethernet такого утверждения сделать нельзя, поэтому она зачастую не принимается как жизнеспособная сетевая альтернатива для производственных целей. Еще один фактор, который заставлял потребителей выбирать технологию Token Ring — это тип мейнфрейма, с которым они работали. Если у пользователя было обору- оборудование производства корпорации IBM, то они склонялись к выбору технологии Token Ring, т.к. большинство оборудования корпорации IBM имеет интерфейсы Token Ring. Поэтому продавцы продукции IBM практически принуждали использовать технологию Token Ring, поскольку в таком случае было легче подключать оборудование к их сетям. В офисных сетях, к которым не предъявляются требования гарантии предсказуе- предсказуемости передачи данных, популярность получила технология Ethernet. Кабельные схе- схемы, используемые в технологии Ethernet, проще тех, которые используются в техно- технологии Token Ring, и производители мини-компьютеров включали интерфейсы Ether- Ethernet в свои рабочие станции. Чем больше становилось пользователей, которых удовлетворяло применение технологии Ethernet, тем больше сетевые администраторы стали выбирать именно такой тип сетей. С появлением технологии коммутации в локальных вычислительных сетях техно- технология Ethernet стала находить применение в промышленных системах, где раньше не могла использоваться. Использование коммутации позволяет уменьшить размер доме- домена коллизий и получить большую пропускную способность, что потенциально позво- позволяет использовать ее в промышленности. Коммутируемые сети Ethernet, в которых один порт выделен одному устройству, работают так же хорошо, или даже лучше, чем коммутируемые сети Token Ring в аналогичной конфигурации. Переход от технологии Token Ring к технологии Ethernet Многие пользователи сетей Token Ring обдумывают возможность перехода от тех- технологии Token Ring к технологии Ethernet. В некоторых случаях такая тенденция объ- объясняется большей пропускной способностью сетей, работающих по технологии FastEthernet. В некоторых случаях мотивацией является упрощение кабельной струк- структуры. Однако, перевод инфраструктуры с технологии Token Ring на технологию Eth- Ethernet требует некоторых дополнительных действий. Например, в случае модернизации может отличаться тип физической среды передачи. Многие системы, работающие по технологии Token Ring, используют кабель категории 3 (экранированная витая пара), в то время как в технологии Ethernet обычно используется кабель категории 5 (неэкранированная витая пара). Другие элементы, которые необходимо учесть — это замена адаптеров рабочих станций вместе с переустановкой драйверов, а также необ- необходимость учета требований по производительности для существующих протоколов и требований приложений. План модернизации обычно содержит несколько фаз и не может быть произведен сразу в один момент. Стоимость, затраты труда и риск заставляют планировать пере- переход на другую технологию в виде событий, растянутых во времени. Но что необходи- Глава 3. Технологии функционирования мостов 111
мо перевести на новую технологию в первую очередь? Серверы? Клиентов? Подразде- Подразделения? Если кабельная инфраструктура предприятия для того, чтобы поддерживать сеть Ethernet, нуждается в обновлении, то при переходе необходимо руководствовать- руководствоваться географическими соображениями. Такое утверждение означает, что сеть будет за- заменяться сразу в одной комнате или на одном этаже. Если главным требованием является минимизация риска, то план миграции может включать иерархический подход. Начать лучше с модернизации магистральной сети на FastEthernet и с установки мостов или маршрутизаторов между опорной сетью и сегментами уровня распределения. Далее, в случае удовлетворительной работы новой технологии для пользовательских приложений можно перевести на технологию Ether- Ethernet некоторые сетевые устройства, например, сервера. Какой бы подход не был выбран, необходимо его тщательно спланировать. Пере- Переход на новую технологию — это не достаточно крупное изменение в сети. Резюме Существуют различные варианты работы мостов как для технологии Token Ring, так и для технологии Ethernet. Традиционно в технологии Ethernet используется метод мостового прозрачного перенаправления, который позволяет делать следующие опе- операции: самообучение (для записи адреса/интерфейса отправителя в таблицу адресов моста), перенаправление фреймов через один определенный интерфейс (для извест- известного одноадресного трафика), лавинная передача во все интерфейсы (для неизвест- неизвестного одноадресного трафика, широковещательных, групповых сообщений), фильтра- фильтрация (для одноадресного трафика, когда станция-отправитель и станция-получатель подключены к одному интерфейсу моста) и старение (для удаления записей из табли- таблицы адресов моста). Для сетей Token Ring обычно используется мостовая маршрутизация от отправите- отправителя, когда станция-отправитель указывает путь фрейма к устройству-получателю. Та- Такой подход означает, что отправитель должен определить последовательность перехо- переходов между кольцами и мостами. Метод SRT (source-route transparent bridging — метод мостового прозрачного перенаправления от отправителя) — еще один метод, задейст- задействованный для работы мостов в сетях Token Ring, который использует оба варианта мостового перенаправления: прозрачный и от отправителя. Метод мостового перена- перенаправления от отправителя используется, если фрейм содержит поле информации о маршрутах. В противном случае используется метод прозрачного перенаправления. При соединении сегментов, рассчитанных на метод прозрачного мостового пере- перенаправления (для технологии Ethernet), и сегментов, рассчитанных на метод мосто- мостового перенаправления от отправителя (для технологии Token Ring), необходимо ис- использовать транслирующие мосты или маршрутизаторы. При необходимости исполь- использования мостов метод трансляционного мостового перенаправления позволяет решать некоторые проблемы, связанные с тем, как создаются фреймы в сетях с разными ме- методами доступа к физической среде передачи. Однако транслирующие мосты должны поддерживать протоколы, между которыми осуществляется трансляция. Наилучшим решением для объединения сетей с разными типами физической среды передачи яв- является использование маршрутизации. В главе 11, "Коммутация третьего уровня", об- обсуждаются возможности, связанные с использованием маршрутизаторов в коммути- коммутируемых системах. 112 Часть I. Фундаментальные аспекты технологий локальных сетей
Использование коммутации в сетях Token Ring обеспечивает поддержку двух служб, которые применяются для сегментации сетей Token Ring: службы виртуального концентратора (concentrator relay function — TrCRF) и службы виртуального моста (bridge relay function — TrBRF). В коммутаторах модели Catalyst служба виртуального концентратора определяет, какие порты принадлежат кольцу. Служба TrCRF может работать как в режиме SRB, так и в режиме SRT. Служба TrCRF не может объединять несколько коммутаторов Catalyst. Функция виртуального моста Token Ring обеспечи- обеспечивает объединение нескольких служб TrCRF с помощью моста. Служба может пере- перекрывать несколько коммутаторов Catalyst, что дает возможность обмениваться ин- информацией через общий мост нескольким устройствам. Коммутационное перенаправление от отправителя позволяет определять, должен ли фрейм перенаправляться в пределах службы TrCRF или его необходимо направить на обработку службе TrBRF. Коммутатор SRS просматривает значение бита RII для принятия соответствующего решения. Если бит RII указывает на наличие поля ин- информации о маршрутах, то фрейм отправляется на обработку службе TrBRF. В про- противном случае устройство SRS оставляет фрейм на обработку службе TrCRF, для чего используется метод мостового прозрачного перенаправления. Контрольные вопросы В данный раздел включены различные вопросы по теме настоящей главы. Ответив на них, читатель сможет оценить степень владения изложенным материалом. Кроме того, приведенные ниже вопросы помогут подготовиться к письменным и лаборатор- лабораторным экзаменам на получение статуса сертифицированного эксперта по объединенным сетям Cisco (CCIE). Ответы на вопросы приведены в приложении А, "Ответы на кон- контрольные вопросы". 1. Если поле RIF присутствует в фрейме, предназначенном для мостового перена- перенаправления от отправителя, будет ли коммутатор, работающий по методу коммута- коммутационного перенаправления от отправителя, просматривать МАС-адрес фрейма? 2. Скольким сетям VLAN может одновременно принадлежать служба TrBRF? 3. В процессе самообучения моста, работающего по методу мостового прозрачного перенаправления, записи в таблицу адресов моста добавляются на основе адреса отправителя. Адрес отправителя никогда не может быть адресом многоадресат- ной рассылки. Тем не менее, просматривая таблицу адресов коммутатора Cata- Catalyst, можно обнаружить такие адреса. Почему? 4. К коммутатору Catalyst подключены два маршрутизатора корпорации Cisco. На консоли одного маршрутизатора ввели команду show cdp neighbour. Вы ожи- ожидаете увидеть в списке другой маршрутизатор, поскольку протокол CDP исполь- использует для анонсов широковещательный МАС-адрес 01-00-ОС-СС-СС-СС, кото- который передается мостами с помощью лавинной передачи. Однако из соседних устройств доступен только коммутатор Catalyst. Подозревая, что другой маршру- маршрутизатор не генерирует анонсов по протоколу CDP, вы ввели команду show cdp neighbour на консоли коммутатора Catalyst. В списке устройств присутствуют оба маршрутизатора. Это доказывает, что оба устройства генерируют анонсы. Почему первый маршрутизатор не обнаруживает второго маршрутизатора? (Подсказка: оба маршрутизатора друг друга не могут обнаружить). Глава 3. Технологии функционирования мостов 113
В этой главе... ' ,.. / • Соглашения о синтаксисе команд интерфейса командной строки коммутаторов Catalyst 5000/6000, В данном разделе приводится описание стандарта корпора- корпорации Cisco по представлению и интерпретации команд, используемых для адми- администрирования коммутаторов модели Catalyst. , • Методы конфигурирования коммутаторов Catalyst 5000. В разделе представлена информация о методах работы с консольным устройством, работа по протоколу telnet, а также режимы конфигурации коммутаторов Catalyst с использованием протокола и сервера TFTP: • Использование интерфейса командной строки коммутаторов Catalyst моделей ? 5000/6000. В данном разделе описаны приемы повторного вызова команд в ко- «• мандной строке (recall), методы редактирования команд в командной строке и:-; система подсказок, используемая в коммутаторах Catalyst серии 5000. • Защита доступа к коммутатору Catalyst с помощью паролей. В разделе приведена документация по вопросам установки, смены и восстановления паролей для > коммутаторов серии Catalyst 5000/6000. , •" Работа с файлами конфигурации. В данном разделе обсузвдаются методы сохра- , нения и восстановления файлов конфигурации во флэш-памяти и на сервере TFTP для модулей Supervisor версий I, О и III. • Работа с файлами программного обеспечения. В этом1 разделе описаны методы■'■ загрузки программных образов операционной системы (software images) для мо- модулей Supervisor I, II и III. • Использование резервных модулей Supervisor. В данном разделе описаны методы использования резервных модулей Supervisor с целью обеспечения функциони- функционирования системы при появлении отказов в работе модулей. • Конфигурация коммутаторов Catalyst других моделей. В разделе приводится крат- краткое описание методов конфигурации коммутаторов Catalyst серий 1900/2800, а также серии 3000. г
Глава 4 Конфигурирование коммутаторов Catalyst Пользователи, хорошо знакомые с маршрутизаторами Cisco, легко пользуются ин- интерфейсом Командной строки (command line interface — CLI), который встроен в опе- операционную систему Cisco [OS. Интерфейс командной строки маршрутизаторов имеет общие характерные черты, которые свойственны практически всем устройствам дан- $»йной линии продуктов. Однако, интерфейс командной строки большинства коммута- коммутаторов Catalyst отличается от интерфейса командной строки маршрутизаторов Cisco. х Фактически коммутаторы семейства Catalyst имеют несколько типов интерфейса ко- |. мандной строки, в зависимости от модели коммутатора. Коммутаторы Catalyst серии *> 4000/5000/6000 в этом плане отличаются от коммутаторов серии 3000, а также от ^коммутаторов серий 1900, 2800 и 8500. В данной главе описаны различия интерфейса "командной строки маршрутизаторов и коммутаторов Catalyst серии 4000/5000/6000. |'!Также описан собственно сам интерфейс командной строки, включая такие аспекты, как вызов ранее выполненных команд (recall), приемы редактирования в командной строке, выгрузка файлов конфигурации на удаленный компьютер и их загрузка с уда- удаленного компьютера. В разделе "Конфигурирование коммутаторов Catalyst других мо- моделей" приводится обзор методов конфигурации других моделей коммутаторов Cata- Catalyst, а также интерфейс конфигурации с помощью меню. Примеры конфигурации коммутаторов Catalyst серии 8500 включены в главу 11, "Коммутация третьего уров- . ня". В текущей главе в основном описан интерфейс командной строки, называемый ■ "XDI", который используется в коммутаторах Catalyst семейств 4000/5000/6000. Внимание! Согласно историческим документам корпорации Cisco, XDI — это название UNIX- подобного ядра, которое было приобретено для использования с оборудованием, по- послужившим основой для современных продуктов Catalyst моделей 4000, 5000 и 6000. ?:?' Интерфейс командной строки XDI часто также называется CatOS1. Семейство продуктов Catalyst и семейство маршрутизаторов Cisco берут свое нача- начало из различных источников. История корпорации Cisco начинается с разработки маршрутизаторов для объединения сетей. При увеличении количества моделей семей- семейства маршрутизаторов различия более поздних моделей и более ранних становились ; ' CatOS буквально расшифровывается как "операционная система устройства Catalyst" i?i Прим. ред.
все более существенными. Особенно сильно от предыдущих реализаций отличался интерфейс командной строки для операционной системы Cisco IOS версии 9.1х. Од- Однако, с момента последнего крупного усовершенствования в версии 9 интерфейс ко- командной строки операционной системы IOS маршрутизаторов Cisco и особенности работы с ним существенно не изменились. Совершенно иначе обстоит дело с комму- коммутаторами Catalyst, где пользователь может столкнуться с разными типами интерфейса командной строки в зависимости от модели. Это возможно не потому, что корпора- корпорация Cisco изменила свою точку зрения на то, каким должен быть интерфейс команд- командной строки, а потому, что в некоторых продуктах из линии коммутаторов были ис- использованы технологии, приобретенные у других корпораций, и которые определяли интерфейс пользователя. Например, некоторые из моделей коммутаторов Catalyst се- серий 1900 и 2800 были приобретены у компании Grand Junction и имеют свои методы конфигурации. Иные модели возникли в результате приобретения технологий фирмы Kalpana, как, например, коммутаторы Catalyst серии 3000, в результате чего они име- имеют свой интерфейс конфигурации с использованием меню. Некоторые модели комму- коммутаторов были полностью разработаны корпорацией Cisco. Так, например, коммутато- коммутаторы Catalyst моделей 8500 и 2900XL предоставляют интерфейс конфигурации такого же типа, как и интерфейс конфигурации операционной системы IOS. Семейство комму- коммутаторов Catalyst модели 5000 было разработано фирмой Crescendo. Когда корпорация Cisco приобрела фирму Crescendo, то было уже много пользователей, знакомых с ин- интерфейсом конфигурации XDI/CatOS. В связи с этим интерфейс командной строки коммутаторов Catalyst серий 5000 и 6000 отличается от интерфейсов пользователя ос- остальных моделей коммутаторов Catalyst. В текущем разделе приводится обзор методов конфигурации коммутаторов Catalyst серий 4000/5000/6000. Описываются особенности интерфейса командной строки, со- соглашения по синтаксису команд, а также повторный вызов выполненных команд и методы редактирования команд в командной строке. Кроме того, объясняются методы получения файлов конфигурации с удаленных машин. В конце главы обсуждаются методы работы с резервными модулями Supervisor, которые используются совместно с коммутаторами Catalyst моделей 4000/5000/6000. Соглашения о синтаксисе интерфейса командной строки коммутаторов Catalyst моделей 5000/6000 Все оборудование, которое имеет хорошую документацию, всегда поставляется с описанием стандартных типов представления и интерпретации команд. Коммутаторы Catalyst не являются исключением. Корпорация Cisco предоставляет описание ко- команд, которые приводятся в печатной документации2. В табл. 4.1 приведено описание соглашений по интерпретации синтаксиса команд, которые используются в докумен- документации по коммутаторам Catalyst и в данной книге. 2 Рассмотренные здесь соглашения справедливы для печатной документации, электронных ста- статей на Web-сайте корпорации Cisco, книг издательства Cisco Press и любых других источников све- сведений об устройствах корпорации Cisco. — Прим. ред. 116 Часть I. Фундаментальные аспекты технологий локальных сетей
Таблица 4.1. Соглашения о синтаксисе команд коммутаторов Catalyst Представление команды Интерпретация команды Полужирный шрифт Команды и ключевые слова, которые вводятся жирным шрифтом курсив Аргументы, вместо которых нужно подставлять значения, указаны курсивом [ ] Элементы, указанные в квадратных скобках, являются необязательными {х | у | z} Альтернативные варианты ключевых слов для обязательных элементов группи- группируются с помощью фигурных скобок и разделяются вертикальной линией [х | у | z] Альтернативные варианты ключевых слов для необязательных элементов груп- группируются с помощью квадратных скобок и разделяются вертикальной линией Строка Набор любых символов, не заключенный в кавычки. Строки не нужно заклю- заключать в кавычки, иначе символы кавычек будут включены в строку команды Методы конфигурации коммутаторов Catalyst 5000 При попытке войти в систему конфигурирования (log in) коммутатора Catalyst пользователю предлагается ввести пароль. При вводе правильного пароля пользова- пользователь попадает в режим конфигурации коммутатора Catalyst в обычном режиме (NORMAL mode). Обычный режим эквивалентен режиму пользовательских команд (User EXEC), который используется в маршрутизаторах. В данном режиме пользова- пользователь имеет право просматривать большинство параметров конфигурации коммутатора Catalyst, однако у него нет авторизации для внесения изменений в конфигурацию. Если пользователю нужно внести изменения в конфигурацию, он должен войти в привилегированный режим (PRIVILEGED mode) работы с коммутатором Catalyst. При- Привилегированный режим работы с коммутатором Catalyst эквивалентен режиму приви- привилегированных команд (PRIVILEGED EXEC mode) маршрутизаторов Cisco. В привиле- привилегированном режиме пользователь имеет право просматривать конфигурацию и вно- вносить в нее изменения. Для входа в данный режим необходимо выполнить команду enable. Далее операционная система коммутатора Catalyst предложит пользователю ввести пароль. Доступ к интерфейсу командной строки коммутатора Catalyst можно получить тремя основными способами: через консольный интерфейс, по сети с помощью про- протокола Telnet или через простейший протокол передачи файлов (Trivial File Transfer Protocol — TFTP). В следующих разделах каждый из перечисленных способов описы- описывается более детально. Так же, как и при конфигурации маршрутизаторов, команды являются аддитив- аддитивными, т.е. добавление новых команд конфигурации в существующий конфигурацион- конфигурационный файл не переписывает существующую конфигурацию. Предположим, что в суще- существующей конфигурации порты с номерами 2/1-Ю назначены виртуальной локальной сети VLAN 5. Если после этого введена команда, которая явным образом переназна- переназначает порты с номерами 2/1-5 виртуальной локальной сети VLAN 5, но при этом с портами 2/6-10 не было произведено никаких действий, то порты 2/6-10 останутся принадлежащими VLAN 5. Отсутствие упоминания портов с номерами 2/6-10 в новой Глава 4. Конфигурирование коммутаторов Catalyst 117
конфигурации не удаляет их из сети VLAN 5. Однако, если в новой конфигурации была введена команда, которая назначает порты 2/6-10 сети VLAN 20, то они окажут- окажутся принадлежащими уже новой сети VLAN. Самый надежный способ гарантировать то, что новая конфигурация полностью перепишет существующий файл — это выполнить команду clear config all (как показано в примере 4.1). При очистке файла конфигурации из сеанса, установленного по протоколу Telnet или TFTP, результат виден не будет. Его можно увидеть только при непосредственной работе с консольного устройства. Такая команда, выполненная из командной строки, возвращает модуль Supervisor коммутатора Catalyst в состояние со стандартной конфигурацией. В данной конфигурации все порты принадлежат вир- виртуальной локальной сети VLAN 1, домен VTP не определен (см. главу 12, "Протокол магистральных каналов виртуальных локальных сетей"), и все параметры протокола распределенного связующего дерева (Spanning Tree) установлены в стандартные зна- значения. Следует заметить, что выполнение данной команды удаляет также и значение IP-адреса коммутатора. Таким образом, хотя конфигурация может быть очищена при любом методе доступа, однако если рассматриваемая операция произведена из сеанса работы с коммутатором Catalyst, установленного по протоколу Telnet, то пользователь будет отсоединен от коммутатора, потому что Catalyst после очистки конфигурации не будет иметь IP-адреса. ; Пример 4.1. Результат выполнения команды clear config all Console> (enable) clear config Usage: clear config all clear config <mod_num> clear config rmon Console> (enable) clear config all This command will clear all configuration in NVRAM. This command will cause iflndex to be reassigned on the next system startup. Do you want to continue (y/n) [n]? Y System configuration cleared. Use 'session' command to clear ATM or Router specific configurations. Console> (enable) Через консоль модуля Supervisor или из сеанса, установленного по протоколу Tel- Telnet, конфигурация коммутатора Catalyst может быть очищена с помощью команды clear config all. Команда clear config all устанавливает конфигурацию в стандартную. Следует заметить, что эта команда не очищает файлы, связанные с мо- модулем ATM LANE, а также с модулем RSM (и модулем MSM для коммутатора Catalyst модели 6000). Она влияет только на модули, которые непосредственно конфигуриру- конфигурируются из модуля Supervisor. Для сброса конфигурации модулей ATM или маршрутизи- маршрутизирующих модулей необходимо получить доступ к ним с помощью команды session номер_модуля. Данная команда выполняет действия, эквивалентные установлению сеанса с внутренними модулями коммутатора по протоколу Telnet, и таким образом 118 Часть I. Фундаментальные аспекты технологий локальных сетей
предоставляет возможность изменять конфигурацию модуля. Модули ATM и маршру- маршрутизирующие модули могут быть сконфигурированы с помощью команд операционной системы Cisco IOS, которые используются для изменения, записи или сброса конфи- конфигурации. Совет Конфигурация коммутатора Catalyst через консоль или сеанс Telnet позволяет вводить команды в реальном времени, однако за один раз можно ввести только одну команду. В отличие от маршрутизаторов Cisco в коммутаторах Catalyst команды сразу же запи- записываются в энергонезависимую оперативную память (Non-volatile Randon Access Memory—NVRAM). Перед тем, как вносить серьезные изменения в конфигурацию коммутатора Catalyst, необходимо скопировать существующую конфигурацию в какое-либо электронное за- запоминающее устройство. На коммутаторе необходимо выполнить команду set length 0 для отключения функции тоге, включить режим захвата экрана на устрой- устройстве, с которого установлен сеанс, и выполнить команду show conf ig для захвата те- текущей конфигурации. В случае, если новые изменения в конфигурации оказались не- неудачными и нет возможности легко вернуться к первоначальным установкам, лучше всего выполнить команду clear conf ig all и ввести захваченный файл конфигу- конфигурации с консольного устройства в коммутатор для полного восстановления всех пер- первоначальных настроек. Конфигурирование устройства через консольный интерфейс Модуль Supervisor коммутаторов Catalyst серии 5000 предоставляет возможность физического подключения к одному консольному интерфейсу. Для модулей версий Supervisor I и Supervisor II подключение осуществляется через 25-штырьковый разъем стандарта EIA-232. Для модулей версии Supervisor III подключение осуществляется через разъем типа RJ-45. Перед тем, как начать работу, необходимо точно знать вер- версию модуля Supervisor для обеспечения возможности подключения к консоли. Консольный интерфейс имеет одну интересную особенность. Он может работать в двух режимах: собственно в режиме консоли, а также в режиме поддержки протокола slip. При работе в режиме консоли к этому интерфейсу может быть подключен терми- терминал или устройство эмуляции терминала, такое, как персональный компьютер, с ус- установленным соответствующим программным обеспечением. Такой режим работы по- позволяет получить непосредственный доступ к интерфейсу командной строки незави- независимо от конфигурации. Данный режим доступа используется в случае, если для коммутатора Catalyst не установлено значение IP-адреса. Без определенного значения IP-адреса нет возможности установить сессию с коммутатором Catalyst по сети, ис- используя протокол Telnet. Данный режим также используется в случае необходимости восстановления пароля (password recovery). Процедура восстановления пароля описана в одном из следующих разделов. Данный метод доступа к коммутатору Catalyst может быть выбран в том случае, если администратор находится в непосредственной близо- близости от коммутатора и у него в распоряжении есть свободный терминал. Консольный порт может быть установлен в режим поддержки протокола SLIP (Serial Line Interface Protocol — межсетевой протокол для последовательного канала). Глава 4. Конфигурирование коммутаторов Catalyst 119
Данный протокол является предшественником протокола РРР. При использовании консоли в режиме SLIP пользователю предоставляется возможность входа по прото- протоколу Telnet непосредственно на консольный порт. При таких настройках вероятнее всего к консольному порту подключается модем, что дает возможность непосредст- непосредственного установления сессии по протоколу Telnet с коммутатором без необходимости использования сети. Такой режим работы может быть очень полезен при устранении ошибок конфигурации в случаях, когда к коммутатору нет доступа по сети. При ис- использовании в режиме поддержки протокола SLIP консольный интерфейс обознача- обозначается slO (или SL0). Такой интерфейс может быть использован как в режиме непосред- непосредственного подключения к консоли, так и в режиме поддержки протокола SLIP, но не в обоих одновременно. По умолчанию данный интерфейс работает как консольный порт. Для перевода консоли в режим работы по протоколу SLIP необходимо назна- назначить IP-адрес интерфейсу slO с помощью команды set interface. Наконец, доступ к интерфейсу командной строки может быть получен по сети с помощью протокола Telnet. Коммутатор Catalyst имеет внутренний логический интер- интерфейс scO, которому можно присвоить IP-адрес. Данный адрес является адресом отпра- отправителя для пакетов, которые генерируются коммутатором, и адресом получателя для пакетов, которые должны быть получены коммутатором. Назначение IP-адреса такому интерфейсу приводит к тому, что коммутатор Catalyst становится станцией в сети, ра- работающей по протоколу IP. Адрес может быть использован для работы с протоколами Telnet, TFTP, BOOTP, RARP, ICMP, а также для выполнения команд trace, host и других функций, свойственных сетевым станциям. По умолчанию интерфейс scO принадлежит виртуальной локальной сети VLAN 1, и IP-адрес ему не присвоен. Для изменения любого из этих параметров необходимо использовать команду set interface. Изменить значение IP-адреса и принадлеж- принадлежность сети VLAN можно с помощью ввода одной команды. Например, команда set int scO 10 144.254.100.1 255.255.255.0 назначает интерфейс scO в принадлеж- принадлежность сети VLAN с номером 10 и устанавливает IP-адрес данного интерфейса в значе- значение 144.254.100.1 с маской IP-подсети класса С. Конфигурирование устройства посредством службы Telnet Перед тем, как осуществлять конфигурацию коммутатора Catalyst по протоколу Telnet, необходимо назначить IP-адрес интерфейсу scO в модуле Supervisor. В разделе "Конфигурирование устройства через консольный интерфейс" описано, как можно привязать адрес к интерфейсу. Установить сеанс по протоколу Telnet с коммутатором Catalyst можно только в том случае, если устройство, с которого устанавливается се- сеанс, может отправлять пакеты в ту сеть VLAN и сеть IP, которым принадлежит ин- интерфейс scO. Сеанс, установленный с коммутатором Catalyst по протоколу Telnet, по- позволяет пользователю выполнять команды так же, как если бы он имел доступ через консольный интерфейс. Однако для того, чтобы получить доступ, необходимо знать пароли для входа в обычный режим и режим привилегированных команд. Ранее указывалось, что в результате выполнения удаленным пользователем коман- команды clear config all он фактически сразу "перерезает" связь с коммутатором Cata- Catalyst по сети. Изменение удаленным пользователем IP-адреса коммутатора Catalyst или принадлежности интерфейсов сетям VLAN может привести к тем же результатам. 120 Часть I. Фундаментальные аспекты технологий локальных сетей
Средства контроля доступа коммутатора Catalyst позволяют пользователю указать список полномочий доступа (access list), в котором можно указать список станций, с которых пользователи имеют права доступа на коммутатор по протоколу Telnet или права управления по протоколу SNMP (Simple Network Management Protocol — про- простой протокол управления сетью). С помощью команды set ip permit существует возможность указать до 10 таких записей. Для активизации функции контроля досту- доступа необходимо указать список авторизированных станций и затем включить функцию фильтрации по адресам протокола IP. Для указания списка станций, с которых разрешен вход на устройство, необходимо использовать команду set ip permit ip_addres [mask]. Необязательный параметр маски подсети позволяет указать группу адресов. Например, при выполнении коман- команды set ip permit 144.254.100.10 255.255.255.0 все станции IP-подсети 144.254.100.0 получают возможность доступа к консольному интерфейсу. При выпол- выполнении команды set ip permit 144.254.100.10 без указания маски подсети фак- фактически используется маска 255.255.255.255, что соответствует отдельной станции. Таким образом можно указать до 10 значений в списке доступа к устройству. Для активизации списка разрешенных станций необходимо выполнить команду set ip permit enable. Активизация списка разрешений доступа к устройству не влияет на какую-либо передачу или какой-либо локальный процесс, связанный с протоколом IP, как, на- например, трассировка маршрута (traceroute) или запросы отклика/ответы по протоколу ICMP. Список разрешений доступа по IP-адресам (IP permit list) позволяет контроли- контролировать только входящий трафик протоколов Telnet и SNMP, который адресован ком- коммутатору Catalyst. Если IP-адрес отправителя не попадает в указанный диапазон раз- разрешенных адресов, коммутатор Catalyst отказывает в доступе. Совет Если активизация списка доступа осуществляется во время сеанса протокола Telnet с удаленной станцией, то необходимо убедиться в том, что IP-адрес данной станции по- попадает в список полномочий доступа. Иначе пользователь сам отсоединит себя от коммутатора Catalyst, конфигурацию которого он выполняет. Обеспечить безопасность доступа к коммутатору Catalyst также можно с помощью системы TACACS+ (Terminal Access Controller Access Control System Plus — система управления доступом к контроллеру терминального доступа) и ее службы аутентифи- аутентификации. Система TACACS+ устанавливает коммуникационный протокол между комму- коммутатором Catalyst и сервером системы TACACS+. Сервер осуществляет аутентифика- аутентификацию пользователей на основании имени пользователя и пароля, которые вводятся при попытке доступа к коммутатору Catalyst через консоль. Обычно в коммутаторах Cata- Catalyst применяется аутентификация на основании локальных параметров, таких, как па- пароли для входа в обычный режим и режим привилегированных команд. Если пользо- пользователь знает эти пароли, он получает право входа в соответствующий режим. Система TACACS+ требует не только пароль, но также и имя пользователя. Если пользователь хочет войти в систему коммутатора Catalyst в то время, когда использу- используется служба TACACS+, коммутатор посылает запрос на сервер системы TACACS+ для информации по аутентификации пользователя. Сервер отвечает подтверждением ау- аутентификации пользователя или отказом в доступе. Глава 4. Конфигурирование коммутаторов Catalyst 121
Для активизации системы доступа TACACS+ необходимо, чтобы в сети работал сервер системы TACACS+. Детали конфигурации службы TACACS+ выходят за рамки данной книги. За более подробной информацией по вопросу последовательности конфигурирования следует обратиться к документации по коммутаторам Catalyst. Совет Если на коммутаторе Catalyst сконфигурирован контроль доступа посредством службы TACACS+ и сервер системы TACACS+ по какой-либо причине недоступен, то локаль- локальные пароли для входа в обычный и привилегированный режимы могут служить запас- запасным вариантом для входа в систему. Поэтому необходимо убедиться, что данные па- пароли установлены в какое-либо значение, отличающееся от стандартных, когда счи- считается, что пароля нет. Конфигурирование устройства по протоколу TFTP Коммутаторы Catalyst имеют встроенный TFTP-клиепт, который позволяет при- принимать и отправлять конфигурационные файлы с TFTP-сервера или на него. Синтак- Синтаксис команд для передачи конфигурационных файлов по протоколу TFTP зависит от версии модуля Supervisor, установленного на коммутаторе Catalyst. Для получения нового конфигурационного файла коммутатора Catalyst по сети по- после выполнения команды clear config all необходимо восстановить значения IP- адреса и стандартного шлюза (default gateway), а также необходимо, чтобы на каком- либо из доступных TFTP-серверов был сохранен конфигурационный файл. Детали по использованию протокола TFTP для конфигурации описаны в разделе "Работа с файлами конфигурации коммутатора Catalyst". В табл. 4.2 приведен сравнительный анализ различных методов конфигурирования коммутаторов Catalyst. < Таблица 4.2. Сравнение методов доступа к коммутатору Catalyst, : : используемых для его конфигурирования : Метод доступа Тип подключения Использование Используется при отсутствии возможности сетевого подключе- подключения, таких, как Telnet, TFTP, SNMP. Также используется для непо- непосредственного доступа к устройству, при первоначальной конфи- конфигурации и для восстановления паролей Используется для конфигурации при доступе по протоколам Telnet, TFTP или SNMP. Доступен для сетевых подключений Используется для удаленного доступа к модулю Supervisor при недоступности сетевых подключений Используется для загрузки файлов конфигурации в коммутатор Catalyst через интерфейсы ScO и SI0 Используется для внесения изменений в конфигурацию через станцию управления по сети Консоль Интерфейс ScO Интерфейс SI0 TFTP SNMP Непосредственное подключение к модулю Supervisor По сети Подключение к модулю Supervisor По сети По сети 122 Часть I. Фундаментальные аспекты технологий локальных сетей
Использование интерфейса командной строки коммутаторов Catalyst 5000/6000 Так как происхождение коммутаторов Catalyst отличается от происхождения мар- маршрутизаторов Cisco, то интерфейс командной строки у них также отличается. Напри- Например, изменения в конфигурации маршрутизаторов Cisco не являются сохраненными до тех пор, пока текущая конфигурация (running config) не будет скопирована в энергонезависимую память (NVRAM). В коммутаторах Catalyst дело обстоит наоборот, команды сразу же автоматически копируются в память NVRAM. Пользователям, ко- которые не могут запомнить, что конфигурационные файлы маршрутизаторов должны быть сохранены, очень нравится такая функция. Однако, автоматическая запись кон- конфигурации делает процедуру восстановления предшествующей конфигурации более сложной. В коммутаторах Catalyst нет специального режима конфигурации, как в маршрути- маршрутизаторах. Вместо этого изменения в конфигурацию могут вноситься непосредственно из режима привилегированных команд. Многим пользователям нравится такая воз- возможность, т.к. они могут вносить изменения (set, clear) и видеть результат (show) при работе в одном и том же режиме. Такой интерфейс позволяет избежать переклю- переключений между режимом конфигурации и привилегированным режимом для того, чтобы внести изменения и посмотреть результаты. Совет Иногда в документации корпорации Cisco интерфейс командной строки коммутаторов Catalyst серий 5000/6000 называется XDI-интерфейсом. Такое название данный ин- интерфейс пользователя имеет внутри корпорации Cisco. Другое его название — CatOS. Вызов ранее выполненных команд в командной строке (recall) и редактирование командной строки для программного обеспечения коммутаторов Catalyst до версии 4.4 очень сильно отличаются от современных вариантов. Для программного обеспечения до версии 4.4 интерфейс командной строки состоял из команд, похожих на команды интерпретатора пользовательских команд (shell) операционной системы UNIX. Для вызова предыдущих команд нужно было указывать номер необходимой пользователю команды в истории выполненных команд. Можно также было вызвать предыдущую команду с указанием шаблона, которому должен соответствовать результат поиска. Для редактирования командной строки необходимо было использовать команды, по- похожие на те, что используются в операционной системе UNIX; в них задаются шаб- шаблон для поиска и значение, которое необходимо установить вместо шаблона. Таким образом, редактирование команд не является интуитивно понятным для многих поль- пользователей, если, конечно, они не специалисты по операционной системе UNIX. С выпуском программного обеспечения Cisco Supervisor Engine версии 4.4 корпора- корпорация Cisco предоставила возможность повторного вызова выполненных команд и редак- редактирования введенного текста в командной строке таким же образом, как это делается в операционной системе IOS для маршрутизаторов. Перемещение вверх и вниз по буферу, в котором хранится история выполненных команд, стало возможным с помощью кла- клавиш <Т> и <^> на клавиатуре терминала. Пользователи, знакомые с методами вызова Глава 4. Конфигурирование коммутаторов Catalyst 123
предыдущих выполненных команд и редактирования текста в командной строке мар- маршрутизаторов Cisco, будут достаточно удобно чувствовать себя при работе с интерфей- интерфейсом командной строки коммутаторов Catalyst. Однако те пользователи, у которых все еще осталось программное обеспечение версий меньших, чем 4.4, вынуждены пользо- пользоваться структурой интерфейса, похожей на операционную систему UNIX. Способы отображения подсказок в коммутаторах Catalyst отличаются от тех, кото- которые используются в маршрутизаторах. В маршрутизаторах используется отображение интерактивной подсказки для возможных параметров по мере их ввода, а в коммута- коммутаторах Catalyst отображается синтаксис всей команды. В следующих разделах описаны вызов выполненных ранее команд, редактирование текста команды и система помощи для коммутаторов Catalyst серии 5000 с интерфей- интерфейсом в стиле XDl/CatOS. Вызов ранее выполненных команд При вводе команда коммутатора Catalyst запоминается в специальном командном буфере, который называется буфером истории выполненных команд (history buffer). Бу- Буфер истории может содержать до 20 команд, доступных для повторного вызова и ре- редактирования. Различные устройства используют различные методы для повторного вызова выполненных команд. В коммутаторах Catalyst для повторного вызова выпол- выполненных команд используется сокращенная последовательность символов. Данная по- последовательность похожа на ту, которая используется в интерпретаторе пользователь- пользовательских команд c-shcll операционной системы UNIX. Пользователи операционной сис- системы UNIX часто имеют дело с неуклюжими методами повторного вызова выполненных команд и их редактированием. Поэтому они более комфортно чувству- чувствуют себя при работе с устаревшей системой редактирования в командной строке ком- коммутаторов Catalyst. При работе в операционной системе UNIX пользователи часто используют коман- команды, содержащие символ, называемый в английском языке bang. Символ bang— это ни что иное, как восклицательный знак <!> на клавиатуре терминала, просто при дик- диктовке команд или текста слово "восклицательный" (exclamation) произносить долго. Поэтому произносят слово bang3. В табл. 4.3 приведен список сочетаний клавиш, ко- которые используются для вызова выполненных ранее команд из буфера истории. Таблица 4.3. Вызов ранее выполненных команд из буфера истории [ коммутатора Catalyst ; >: * Последовательность команд Результат выполнения !! Выполнить предыдущую команду !-п Повторить команду, которая выполнялась на п команд раньше предыдущей !п Повторить команду, номер которой в буфере равен п !ааа Повторить команду, которая начинается со строки ааа !?ааа Повторить команду, содержащую сочетание символов "ааа" в любом мес- месте командной строки 3 В русском языке в такой ситуации часто употребляют слово "знак ". Слово "bang" буквально переводится как "удар ", "взрыв ". — Прим. перев. 124 Часть I. Фундаментальные аспекты технологий локальных сетей
Иногда необходимо не только вызвать выполненную ранее команду, но и отредак- отредактировать ее. В табл. 4.4 показана последовательность нажатия клавиш, которая ис- используется для вызова и редактирования выполненных ранее команд. Таблица 4.4. Вызов выполненных ранее команд на коммутаторе Catalyst . : ■■■ '? с подстановкой новых символов Последовательность команд Результат выполнения "aaa"bbb Вызов выполненной ранее команды с подстановкой строки bbb вместо строки ааа Нааа Вызов выполненной ранее команды с добавлением строки ааа в конце !пп ааа Выполнить команду, номер которой в буфере истории равен п, с добав- добавленной к ней в конце строкой ааа !ааа bbb Вызов ранее выполненной команды, которая начинается со строки ааа, и добавление к ней в конце строки bbb !?ааа bbb Вызов ранее выполненной команды, которая содержит строку ааа и к ко- которой в конце дописана строка bbb Предположим, например, что была введена команда set vlan 3 2/1-10,4/12- 216/1,5/7. Такая команда назначает несколько портов в принадлежность виртуаль- виртуальной локальной сети VLAN 3. Однако, после выполнения команды выяснилось, что на самом деле было необходимо назначить эти порты в принадлежность сети VLAN 4, а не VLAN 3. Можно, конечно, полностью повторить ввод команды второй раз и на- назначить заданные порты в принадлежность сети VLAN 4. Однако, можно просто вы- выполнить команду А3А4. Выполнение данной команды позволяет не только использо- использовать предыдущую выполненную команду, по и заменить число 3 на число 4, что в нашем случае исправляет ошибку, связанную с назначением портов в принадлежность неправильной сети VLAN. Тот факт, что вспомнить команду, которая была введена на семь команд раньше текущей, может быть трудно, вызывает разочарование в такой процедуре вызова вы- выполненных ранее команд. Данная процедура может вызвать еще большие затруднения в конфигурировании в связи с тем, что размер буфера истории команд коммутатора Catalyst равен 20 командам. Для того, чтобы просмотреть содержимое буфера истории, необходимо воспользоваться командой history. В примере 4.2 показан результат вы- выполнения команды history. Следует обратить внимание, что нумерация команд по- позволяет ссылаться на определенную запись для повторного выполнения соответст- соответствующей команды. Например, в рассматриваемом случае осуществляется вызов коман- команды с номером 2 из буфера истории команд. Результат такого действия будет таков, что коммутатор Catalyst снова выполнит команду history. Следует также заметить, что вновь введенные команды добавляются внизу списка. Чем раньше выполнена та или иная команда, тем меньшим будет ее номер. Пример 4.2. Пример работы с буфером истории команд коммутатора iiy, ч'-. Catalyst ; . , ■ ■ ■ • ■-■'-■. -.: tS^.:.*C...... ... ■'.-. -~ ., - . ,... -v ^::.J^ .. ..: Console> history 1 help 2 history Глава 4. Конфигурирование коммутаторов Catalyst 125
Console> !2 history 1 help 2 history 3 history Console> Использование интерактивной системы подсказок При работе с маршрутизаторами Cisco доступ к системе подсказок (help) осущест- осуществляется с помощью ввода команды <?> в командной строке. В результате выполнения данной команды маршрутизатор выводит список всех возможных вариантов для сле- следующего параметра. При вводе значения следующего параметра и вводе символа <?> маршрутизатор выводит новый список для выбора новых возможных вариантов пара- параметров командной строки. Таким образом, маршрутизатор отображает подсказки по принципу следующих друг за другом параметров. Вывод подсказки маршрутизатором заканчивается отображением в командной строке уже введенной части команды. Та- Такой интерфейс дает возможность продолжать введение команды без необходимости снова вводить уже набранную ранее часть. Тем не менее, принцип функционирования системы подсказок коммутатора Cata- Catalyst отличается от того, что используется в маршрутизаторах. Доступ к системе под- подсказок осуществляется так же, как в случае маршрутизатора, однако результаты выво- вывода отличаются. Например, в случае, когда маршрутизатор выдает приглашение для ввода следующего параметра, коммутатор Catalyst выводит все возможные опции по использованию команды, если введенная команда не настолько уникальна, что ком- коммутатор Catalyst в состоянии определить, какая команда требуется пользователю. В примере 4.3 показаны результаты вызова подсказки для частично введенной команды. Однако, в рассматриваемом примере введенная строка не определяет однозначно, ка- какой параметр необходимо ввести следующим, поэтому отображаются все возможные варианты команды set system. Пример 4.3. Пример вызова подсказок на коммутаторе Catalyst \ Console> (enable) set system ? Set system commands: set system baud Set system console port baud rate set system contact Set system contact set system help Show this message set system location Set system location set system modem Set system modem control (enable/disable) set system name Set system name С другой стороны, если введено достаточно информации для того, чтобы коммута- коммутатор Catalyst мог определить, какую команду необходимо выполнить, то будет выведен список всех возможных значений параметров для введенной команды. Так, в приме- примере 4.4 введенная строка полностью определяет команду, и коммутатор Catalyst ото- отображает соответствующую подсказку. Пользователю необходимо каким-либо образом 126 Часть I. Фундаментальные аспекты технологий локальных сетей
изменить параметры консольного интерфейса, однако он точно не уверен в том, ка- какой синтаксис имеет соответствующая команда. Пример 4.4. Еще один пример использования системы подсказок комму- fcijvvл;.:''■- татораCatalyst ' . ' .ч£''' .": ~ ,ф~ ■ >■- ■ ■ Console> (enable) set interface ? Usage: set interface <scO|slO> <up|down> set interface scO [vlan] [ip_addr [netmask [broadcast]]] set interface slO <slip_addr> <dest_addr> Console> (enable) Следует заметить, что когда на консоли отображается подсказка, то после ее выво- вывода командная строка отображается пустой. Командная строка, которая только что бы- была введена, не отображается. Для вывода только что набранной командной строки не- необходимо воспользоваться повторным вызовом только что набранной команды. Пред- Предположим, что необходимо деактивировать логический интерфейс scO. Для этого нужно выполнить команду set int scO down. Умный сетевой администратор, ко- конечно, захочет воспользоваться вызовом ранее выполненной команды с дополнением необходимыми параметрами. Что произойдет, если ввести команду ! !scO down? Сно- Снова будет отображена подсказка по использованию, но сообщение о том, что интер- интерфейс изменил свое состояние на "выключен" (down), выведено не будет (см. при- пример 4.5). Это произойдет потому, что вызов ранее выполненной команды приведет снова к выполнению команды set int ?, в которой после знака вопроса следуют введенные администратором параметры. Введение дополнительных параметров будет интерпретировано коммутатором Catalyst как команда set int ? scO down. В ре- результате обработки знака вопроса отображается подсказка по использованию данной команды. Пример 4.5. Вызов выполненной ранее команды после запроса на под- trv :: ■ сказку ■ ■'■'■' САТ1> (enable) set int ? Usage: set interface <scO|slO> <up|down> set interface scO [vlan] [ip_addr [netmask [broadcast]]] set interface slO <slip_addr> <dest_addr> CAT1> (enable) !! scO down set int ? scO down Usage: set interface <scO|slO> <up|down> set interface scO [vlan] [ip_addr [netmask [broadcast]]] set interface slO <slip addr> <dest_addr> CAT1> (enable) Для коммутаторов, на которых установлена операционная система версии 4.4 или более поздней, для вызова выполненной ранее команды после получения подсказки можно воспользоваться клавишами <Т> и <i>, однако выведенная команда будет со- содержать знак вопроса. Преимущество такого вызова перед использованием команды <!!> заключается в том, что командную строку можно отредактировать с помощью тех же команд, которые используются для маршрутизаторов, в частности можно удалить Глава 4. Конфигурирование коммутаторов Catalyst 127
знак вопроса. Таким образом, существует возможность вызвать предыдущую команд- командную строку, удалить знак вопроса и ввести оставшуюся необходимую часть команды. Коммутатор Catalyst при этом правильно интерпретирует команду, как и в случае по- последовательного ввода всех параметров, которые имеют смысл и значения которых корректны. Коммутатор Catalyst также выводит подсказку, если ввести вопросительный знак в конце команды. Подсказка также выдается при вводе неоконченной команды, кото- которая завершается символом <возврат каретки> (<ENTER>). Так, например, результат вывода, показанный в примере 4.4 может быть получен при выполнении команды set interface <ENTER>. Коммутатор Catalyst однозначно определяет данную команду по вводу строки set int, однако эта команда не является достаточно полной для того, чтобы ее можно было выполнить, поэтому выводится информация по использо- использованию команды. При необходимости изменить принадлежность интерфейса scO вирту- виртуальной локальной сети, установить, например, его принадлежность виртуальной ло- локальной сети VLAN 5, а также изменить значение IP-адреса в результате выполнения одной команды, можно воспользоваться синтаксисом set int scO 5 144.254.100.1. Предположим, что рассматриваемая команда была введена до пози- позиции, которая включает номер виртуальной локальной сети, а далее администратор за- забыл необходимую последовательность параметров. В такой ситуации иногда очень хо- хочется закончить команду вводом символа <ENTER> для того, чтобы получить ин- информацию об использовании. Однако, в такой ситуации подсказка об использовании команды выдана не будет. Вместо этого коммутатор Catalyst как бы говорит: "Того, что вы ввели, достаточно для выполнения команды, но она не будет выполнена". Из- Изменение принадлежности интерфейса scO новой виртуальной локальной сети будет успешным, однако изменения значения IP-адреса не произойдет. Если такая опера- операция будет проведена в реально работающей сети посредством сеанса, установленного по протоколу Telnet, то, скорее всего, такое действие приведет к полному закрытию доступа к коммутатору Catalyst по протоколу Telnet. Если вы окажетесь в такой ситуа- ситуации, то самое время идти, ехать или лететь к коммутатору, чтобы снова восстановить доступ (в крайнем случае, позвонить кому-нибудь, чтобы они это сделали за вас и ис- исправили вашу ошибку!). Совет В большинстве случаев для получения информации об использовании команды дос- достаточно частично введенной команды и символа <ENTER>. Однако, лучше всего при конфигурировании использовать символ <?> для гарантии, что преждевременно вы- выполненная команда не будет катастрофической для чьей-либо сети или карьеры. Конфигурация модуля Supervisor Модификация и просмотр конфигурационных файлов коммутаторов Catalyst сво- сводится к выполнению команд set, clear и show. Так как в коммутаторах Catalyst не используется специальный конфигурационный режим, который служит для внесения изменений, то изменять и просматривать конфигурацию системы можно с помощью одного режима командной строки. Вносить изменения в конфигурацию можно лишь из привилегированного режима, для входа в который необходимо выполнить команду enable и ввести пароль. 128 Часть I. Фундаментальные аспекты технологий локальных сетей
Наиболее важные функции команды show Для просмотра конфигурации используется команда show. В примере 4.6 показан вид простого файла конфигурации коммутатора Catalyst, который можно просмотреть с помощью команды show config. Некоторые строки конфигурации удалены, т.к. они не столь важны и лишь занимают место. Оставшаяся часть файла дает возмож- возможность увидеть общую структуру и организацию конфигурационного файла. [Пример 4.6. Конфигурационный файл модуля Supervisor с комментариями Console> (enable) show config begin set password $l$FMFQ$HfZR5DUszVHIRhrz4h6V70 set enablepass $l$FMFQ$HfZR5DUszVHIRhrz4h6V70 set prompt Console> set length 24 default set logout 20 set banner motd ЛС"С i fsystem set system baud 9600 set system modem disable set system name set system location set system contact ! fsnmp set snmp community read-only public set snmp community read-write private set snmp community read-write-all secret [Остальные команды SNMP опущены IIP ! Следующие команды необходимы для конфигурирования консольного доступа или доступа по протоколу SLIP set interface scO 1 144.254.100.97 255.255.255.0 144.254.100.255 ! set interface slO 0.0.0.0 0.0.0.0 set arp agingtime 1200 set ip redirect enable set ip unreachable enable set ip fragmentation enable set ip alias default 0.0.0.0 Глава 4. Конфигурирование коммутаторов Catalyst 129
fCommand alias ! fvmps set vmps server retry 3 set vmps server reconfirminterval 60 set vmps tftpserver 0.0.0.0 vmps-config-database.l set vmps state disable ! idns set ip dns disable ftacacs+ !B данном разделе конфигурационного файла задаются параметры аутентификации с помощью сервера TACACS+ ! ibridge !В данном разделе конфигурационного файла задаются настройки модуля FDDI ! fvtp ! В данном разделе конфигурационного файла настраивается протокол VTP и параметры сетей VLAN ! Ispantree fuplinkfast groups set spantree uplinkfast disable tvlan 1 set spantree enable 1 set spantree fwddelay 15 1 set spantree hello 2 1 set spantree maxage 20 1 set spantree priority 32768 1 !Остальные настройки протокола Spanning Tree сетей VLAN опущены !Обычно здесь размещены параметры протокола для каждой сети VLAN i tcgmp !Данная группа команд задает настройки многоадресатнык протоколов для коммутатора Catalyst I isyslog set logging console enable set logging server disable !Остальные команды ведения системного журнала опущены. В приведенной выше команде задаются события, которые будут записываться в журнал I #ntp !Приведенная выше команда указывает на использование синхронизации встроенных часов по сети 130 Часть I. Фундаментальные аспекты технологий локальных сетей
tset boot command set boot config-register 0x102 set boot system flash bootflash:cat5000-sup3.3-1-1.bin !Любые специфические параметры загрузки размещаются в этом разделе ! fpermit list Шнже следуют настройки списков доступа set ip permit disable ! fdrip !Ннже приведены настройки сети Token Ring, касающиеся защиты от дублирования номеров копец I !Для каждого модуля коммутатор содержит отдельные конфигурации, которые приведены ниже i fmodule I : 2-port 10/100BaseTX Supervisor set module name 1 set vlan 1 1/1-2 set port channel 1/1-2 off set port channel 1/1-2 auto set port enable 1/1-2 set port level 1/1-2 normal set port speed 1/1-2 auto set port trap 1/1-2 disable set port name 1/1-2 set port security 1/1-2 disable set port broadcast 1/1-2 100% set port membership 1/1-2 static set cdp enable 1/1-2 set cdp interval 1/1-2 60 set trunk 1/1 auto 1-1005 set trunk 1/2 auto 1-1005 set spantree portfast 1/1-2 disable set spantree portcost 1/1 100 set spantree portcost 1/2 100 set spantree portpri 1/1-2 32 set spantree portvlanpri 1/1 0 set spantree portvlanpri 1/2 0 set spantree portvlancost 1/1 cost 99 set spantree portvlancost 1/2 cost 99 ! imodule 2 empty ! tmodule 3 : 24-port lOBaseT Ethernet set module name 3 set module enable 3 set vlan 1 3/1-24 Глава 4. Конфигурирование коммутаторов Catalyst 131
set port enable 3/1-24 set port level 3/1-24 normal set port duplex 3/1-24 half set port trap 3/1-24 disable set port name 3/1-24 set port security 3/1-24 disable set port broadcast 3/1-24 0 set port membership 3/1-24 static set cdp enable 3/1-24 set cdp interval 3/1-24 60 set spantree portfast 3/1-24 disable set spantree portcost 3/1-24 100 set spantree portpri 3/1-24 32 i Imodule 5 : 1-port Route Switch !Обратите внимание, что в текущем разделе конфигурации есть настройки только протокола Spanning Tree и функций моста ■Конфигурации каких-либо параметров маршрутизации здесь нет set module name 5 set port level 5/1 normal set port trap 5/1 disable set port name 5/1 set cdp enable 5/1 set cdp interval 5/1 60 set trunk 5/1 on 1-1005 set spantree portcost 5/1 5 set spantree portpri 5/1 32 set spantree portvlanpri 5/1 0 set spantree portvlancost 5/1 cost 4 i Iswitch port analyzer !Если вы настроили возможность мониторинга коммутируемого трафика, !то команды будут присутствовать в этом разделе set span disable i team !Обновление таблицы моста будет происходить каждые пять минут set cam agingtime 1,1003,1005 300 end Console> (enable) Следует заметить, что в примере 4.6 файл конфигурации разбит на логически от- отдельные части. Вначале в конфигурации описаны параметры, которые имеют гло- глобальный смысл, как, например, пароли, параметры управления по протоколу SNMP, системные переменные и тому подобное. Далее показана конфигурация каждого ин- инсталлированного модуля коммутатора Catalyst. Заметим, что конфигурация модулей касается протокола распределенного связующего дерева и принадлежности интерфей- интерфейсов виртуальным локальным сетям (VLAN). Более того, никакие детали конфигура- 132 Часть I. Фундаментальные аспекты технологий локальных сетей
ции, касающиеся других функций модулей, не отображаются. Пусть, например, в разъеме номер 5 коммутатора инсталлирован модуль RSM (Router Switch Module — модуль коммутации маршрутов). Несмотря на то, что этот модуль является маршрути- маршрутизирующим, он подключается ко внутреннему порту виртуального моста. Коммутатор Catalyst отображает параметры подключения к мосту, но не конфигурацию модуля RSM и не конфигурацию модуля ATM LANE. Для просмотра конфигураций соответ- соответствующих модулей необходимо обеспечить доступ к ним с помощью команды session module_number и просмотреть соответствующие файлы конфигурации. Другие функции команды show позволяют просматривать конфигурацию специ- специфических деталей для отдельных элементов. Например, для просмотра текущей кон- конфигурации консольного интерфейса необходимо использовать команду show interface (или сокращенный вариант команды sh int), как показано в примере 4.7. Пример 4.7. Результат выполнения команды shuw interface : ; Console> (enable) show interface slO: flags=5KUP,POINTOPOINT,RUNNING> slip 0.0.0.0 dest 128.73.35.160 scO: flags=63<UP,BROADCAST,RUNNINO vlan 1 inet 144.254.100.97 netraask 255.255.255.0 broadcast 144.254.100.255 Console> (enable) Еще одна полезная функция команды show позволяет просмотреть информацию о модулях, установленных в коммутатор Catalyst (см. пример 4.8). Пример 4.8. Результат выполнения команды show module Console> (enable) show module Mod Module-Name Ports Module-Type Model Serial-Nura Status 1 3 4 5 13 2 10/100BaseTX Supervis WS-X5530 008700085 ok 24 lOBaseT Ethernet WS-X5013 008678074 ok 2 MM OC-3 Dual-Phy ATM WS-X5158 008444947 ok 1 Route Switch WS-X5302 007600273 ok ASP Mod MAC-Address(es) Hw Fw Sw 1 00-9O-92-bf-70-00 thru 00-90-92-bf-73-ff 3 00-10-7b-4e-8d-d0 thru 00-10-7b-4e-8d-e7 4 00-10-7b-42-b0-59 5 00-eO-le-91-da-eO thru 00-e0-le-91-da-el Mod Sub-Type Sub-Model Sub-Serial Sub-Hw 1.5 1.1 2.1 5.0 3. 2. 1. 20 1B) 3A) 3 .7 3. 3. 3. 11 1A) 1A) 2F) .2A2a.Pl)Pl 1 EARL 1+ WS-F5520 1 uplink WS-U5531 Console> (enable) 0008700721 1.1 0007617579 1.1 Глава 4. Конфигурирование коммутаторов Catalyst 133
Результат выполнения команды, показанный в примере 4.8, содержит детали о но- номерах модулей и описание модулей, инсталлированных в каждом разъеме. Второй блок информации содержит значения МАС-адресов, связанных с каждым модулем. Следует обратить внимание, что для модуля Supervisor зарезервировано 1024 МАС- адреса. Большинство из них необходимы для обеспечения работы протокола распре- распределенного связуюшего дерева (Spanning Tree), а также для поддержки других функ- функций. Модуль номер 3 — это 24-портовый модуль Ethernet, который соответственно ре- резервирует 24 МАС-адреса, по одному на каждый порт. Выделенные для него адреса также обеспечивают работу протокола распределенного связующего дерева, т.к. они служат идентификаторами портов для обеспечения сходимости алгоритма распреде- распределенного связуюшего дерева. Третий блок результатов вывода содержит детали, кото- которые касаются самого модуля Supervisor. Другие основные функции команды show описаны далее. Изменение конфигурации коммутатора Catalyst Для изменения какого-либо параметра коммутатора Catalyst необходимо использо- использовать команды set и clear. Команда set задает значение конфигурируемого пара- параметра явным образом согласно указанной опции, в то время как вторая команда уста- устанавливает параметры в стандартное значение. Для того, чтобы изменить настройки системы, необходимо использовать команду set system, как показано в примере 4.9. |Пример.|;|.'Пример использования команды set systejri^. ':Z . ,;||v;.; ;„! . 1 Console> (enable) set system ? Set system commands: set system baud Set system console port baud rate set system contact Set system contact set system help Show this message set system location Set system location set system modem Set system modem control (enable/disable) set system name Set system name Console> (enable) set sys location whoneedsmarketing System location set. Console> (enable) show system PSl-Status PS2-Status Fan-Status Temp-Alarm Sys-Status Uptime d,h:m:s Logout ok faulty ok off faulty 0,00:31:09 20 min PSl-Type PS2-Type Modem Baud Traffic Peak Peak-Time WS-C5508 WS-C5508 disable 9600 0% 0% Thu Aug 13 1998, 16:18:10 System Name System Location System Contact whoneedsmarketing Console> (enable) 134 Часть I. Фундаментальные аспекты технологий локальных сетей
Существуют несколько системных переменных, которые могут быть модифициро- модифицированы. В примере 4.9 производится изменение параметра system location (географи- (географическое местоположение устройства). Некоторые команды отображают предупреждение в случае, если действия админи- администратора могут привести к проблемам со связью для самого администратора или дру- других пользователей. Например, в примере 4.10 пользователь пытается изменить значе- значение IP-адреса консольного сетевого интерфейса. Если пользователь производит такие изменения с удаленной машины, т.е. пользователь вошел в систему через консольный сетевой интерфейс с использованием сеанса по протоколу Telnet, то пользовательский сеанс будет отключен от коммутатора Catalyst, и ему придется повторить соединение по протоколу Telnet. |Пример 4.10. Пример использования команды set interface Console> (enable) set interface scO 1 144.254.100.97 255.255.255.0 This command may disconnect your Telnet session. Do you want to continue (y/n) [n]? у Interface scO vlan set, IP address and netraask set. Console> (enable) Команда clear используется для восстановления стандартных значений парамет- параметров. Предположим, что на коммутаторе Catalyst сконфигурирована виртуальная ло- локальная сеть VLAN 4 и есть необходимость ее удалить. Для этого нужно воспользо- воспользоваться командой clear vlan 4. Результатом выполнения данной команды будет уда- удаление всех ссылок в коммутаторе Catalyst на сеть VLAN 4. Однако, некоторые остатки конфигурации, связанные с бывшей сетью VLAN 4, все же остаются. Например, если виртуальной локальной сети VLAN 4 принадлежали некоторые порты, то они будут установлены в состояние "деактивирован" (disabled). Порты не будут переназначены в принадлежность виртуальной локальной сети VLAN 1. Команда clear config, пока- показанная в примере 4.1, возвращает всю конфигурацию коммутатора Catalyst в первона- первоначальные стандартные значения, которые обычно установлены на новом, только что распакованном коммутаторе. Перед выполнением данной команды коммутатор Cata- Catalyst отображает предупреждение (warning) о том, что после ее выполнения возможны проблемы с установлением соединения. Защита доступа к коммутатору Catalyst с помощью паролей Коммутатор Catalyst, только что купленный у торгового представителя корпорации Cisco, поставляется без установленных паролей. Другими словами, для входа в обычный и привилегированный режимы необходимо просто ввести символ <ENTER>. Первооче- Первоочередная задача добросовестного сетевого администратора — изменить пароль для доступа к устройству. Установка пароля даст возможность предотвратить несанкционированные изменения конфигурации, которые могут испортить сеть. В примере 4.11 показан сеанс работы с коммутатором Catalyst, в котором пользователь изменяет пароли для доступа в обычном и привилегированном режимах. Сеанс начинается с изменения пароля для доступа в привилегированном режиме с помощью команды set enablepass. В самом Глава 4. Конфигурирование коммутаторов Catalyst 135
начале процесса коммутатор Catalyst предлагает ввести текущий пароль (old password). Если операция по установлению пароля проводится на новом коммутаторе Catalyst, то необходимо просто нажать клавишу <ENTER>. В противном случае необходимо знать пароль для доступа в привилегированный режим (enable). Если он неизвестен, то необ- необходимо обратиться к разделу "Процедура восстановления пароля устройств Catalyst", ко- который посвящен вопросу "потерянных" паролей. [*П|>име^||щ\::Изме||ение пароле^ф^п^ Console> (enable) set enablepass Enter old password: cntgetin Sorry password incorrect. Console> (enable) set enablepass Enter old password: cantgetin Enter new password: stillcantgetin Retype new password: stillcantgetin Password changed. Console> (enable) set password Enter old password: guessthis Enter new password: guessthis2 Retype new password: guessthis2 Password changed. Console> (enable) Заметим, что текст, показанный в примере курсивом, в реальной ситуации не ото- отображается. В примере 4.11 пользователь ввел неправильный пароль для доступа в при- привилегированный режим, так что коммутатор Catalyst выдал сообщение об ошибке и прервал процесс смены пароля. Пользователь попытался снова и ввел правильный па- пароль для доступа в привилегированный режим. В результате коммутатор отобразил приглашение ввести новый пароль второй раз для подтверждения правильности ввода. После этого пользователь изменил пароль для доступа в обычном режиме с по- помощью команды set password. Так же, как для доступа в привилегированный ре- режим, пользователь должен ввести текущий пароль прежде, чем коммутатор Catalyst предоставит возможность произвести какие-либо изменения пароля. После ввода правильного текущего пароля коммутатор предлагает ввести новый пароль и его подтверждение. Процедура восстановления пароля устройств Catalyst Если в какой-нибудь момент времени пользователь забыл пароль для доступа в обычный или привилегированный режим, то самое время браться за процедуру вос- восстановления пароля (password recovery). Процесс восстановления паролей для комму- коммутаторов Catalyst серий 5000/6000 отличается от методов, которые применяются в мар- маршрутизаторах Cisco или в других моделях коммутаторов Catalyst. Для выполнения процедуры восстановления пароля необходимо осуществить под- подключение через консольный интерфейс. Восстановление пароля требует выключения и включения коммутатора с помощью выключателя питания. После включения ком- 136 Часть I. Фундаментальные аспекты технологий локальных сетей
мутатор Catalyst выполняет различные программы инициализации и, в конце концов, запрашивает пароль для доступа в обычный режим. Сразу после этого у пользователя есть 30 с для выполнения процедуры восстановления пароля. Вся хитрость заключается в том, что после загрузки коммутатор Catalyst в первый раз после включения питания игнорирует значения паролей, указанных в файлах конфигурации, на протяжении 30 с. В течение этого времени можно воспользоваться стандартными значениями паролей — т.е. просто нажать клавишу <ENTER>. Таким образом, в любом случае, когда коммутатор предлагает ввести пароль, необходимо нажать клавишу <ENTER>, и коммутатор Catalyst воспримет это как правильный па- пароль. Сразу же необходимо выполнить команду set password или set enablepass для изменения соответствующих паролей. Совет Когда коммутатор Catalyst приглашает ввести новое значение пароля, лучше всего от- ответить нажатием клавиши <ENTER>. Иначе, если пользователь печатает медленно, попытка ввести новое значение пароля обычно приводит к необходимости перегру- перегружаться снова. Установка пароля в стандартное значение сводит к минимуму вероят- вероятность ввода неправильного значения нового пароля. После установки паролей для входа в обычный и привилегированный режимы в стандартные значения можно как- нибудь на досуге вернуться к процедуре конфигурирования паролей и установить но- новые значения паролей, не стараясь уложиться в 30 с, отведенных для процедуры вос- восстановления. Совет Во многих случаях для обеспечения безопасности доступа настоятельно рекоменду- рекомендуется подумать о физической изоляции оборудования в безопасном помещении. Как было показано при описании процедуры восстановления паролей, злоумышленнику достаточно лишь осуществить перегрузку коммутатора Catalyst и получить доступ к консоли для того, чтобы получить доступ к коммутатору в привилегированном режиме. А в привилегированном режиме он может производить любые изменения по своему желанию. Поэтому помещения, где расположены коммутаторы Catalyst, должны быть защищены от несанкционированного доступа, а возможность доступа к консольному интерфейсу коммутатора должна быть сведена к минимуму. Совет Необходимо помнить об одной особенности конфигурации, связанной с обеспечением безопасности доступа: значения параметров community в конфигурации системы управления по протоколу SNMP, которые установлены в стандартные значения, долж- должны быть изменены. В примере 4.6 показан результат вывода файла конфигурации коммутатора Catalyst на печать, в котором значения параметров community для рабо- работы по протоколу SNMP все еще установлены в стандартные. Злоумышленник может воспользоваться возможностью управления по протоколу SNMP для того, чтобы вне- внести изменения в конфигурацию системы. Атаку он начнет, используя именно стан- стандартные значения параметров. Их необходимо установить в значения, которые трудно угадать. При этом также следует помнить, что параметры передаются по сети в обыч- обычном текстовом виде, поэтому их легко перехватить (snoop). Глава 4. Конфигурирование коммутаторов Catalyst 137
Работа с файлами конфигурации коммутатора Catalyst Для полного восстановления работоспособности системы необходимо гарантиро- гарантировать, что файлы конфигурации сохранятся в каком-либо месте, но не на коммутаторе Catalyst. Если что-нибудь случится с модулем Supervisor коммутатора Catalyst, то вос- восстановление конфигурации коммутатора может оказаться невозможным. Полностью переписывать файл конфигурации после выхода системы из строя яв- является преступлением, поскольку очень легко создать резервную копию файла кон- конфигурации на машине, которая доступна для входа в сеть. С помощью протокола TFTP можно записать файл конфигурации на TFTP- сервер, потом восстановить его при необходимости. Синтаксис соответствующих команд различается в зависимости от используемой версии модуля Supervisor. Син- Синтаксис команд, характерных для модулей Supervisor версии III, используемых в коммутаторах Catalyst серии 5000 и коммутаторах Catalyst серии 6000, больше напо- напоминает синтаксис команд маршрутизатора Cisco, чем набор команд для модулей Supervisor версий I и II. Совет Традиционно TFTP-серверы характеризуются слабым уровнем обеспечения безо- безопасности. Рекомендуется не хранить конфигурационные файлы в директории, дос- доступной по протоколу TFTP до тех пор, пока загрузка таких файлов действительно не понадобится. Злоумышленники, которым удастся взломать TFTP-сервер, на кото- котором хранятся файлы конфигурации, могут тайно изменить конфигурационные фай- файлы с целью обеспечения слабого места в системе защиты после того, как конфигу- конфигурация будет загружена с сервера. Файлы конфигурации необходимо сохранять в директориях, для которых обеспечивается безопасность хранения данных, и копи- копировать в директорию, доступную с помощью TFTP-сервера только непосредственно перед использованием. Несмотря на то, что такой подход добавит еще один дополнительный этап к процессу восстановления работоспособности устройства, требования безопасности компенси- компенсируют неудобства, связанные с усложнением процедуры. Конфигурация модулей Supervisor I и II Для сохранения файла конфигурации с коммутатора Catalyst, на котором установ- установлен модуль Supervisor I или модуль Supervisor II, необходимо воспользоваться коман- командой write net. В примере 4.12 показан сеанс записи файла конфигурации на TFTP- сервер. Порядок ввода таких параметров команды, как IP-адрес сервера и имя файла, ясен из выводимой командой информации. Следует заметить, что параметр имени файла соответствует тому названию файла, которое он будет иметь на сервере. Это не имя файла в операционной системе коммутатора Catalyst. В программном обеспече- обеспечении коммутатора Catalyst существует только один файл конфигурации, так что указы- указывать имя файла-источника нет необходимости. 138 Часть I. Фундаментальные аспекты технологий локальных сетей
Console> (enable) write ? Usage: write network write terminal write <host> <file> Console> (enable) write net IP address or name of remote host? 144.254.100.50 Name of configuration file? cat Upload configuration to cat on 144.254.100.50 (y/n) [n]? у Finished network upload. F193 bytes) Console> (enable) Получение файла конфигурации с сервера выполняется с помощью команды configure network. Для загрузки файла конфигурации необходимо указать имя файла-источника на TFTP-сервере (см. пример 4.13). [Пример 4.13. Получение файла конфигурации с сервера^--.. ^^i^c.f^/j Console> (enable) configure ? Usage: configure <host> <file> Console> (enable) configure network IP address or name of remote host? 144.254.100.50 Name of configuration file? cat Configure using cat from 144.254.100.50 (y/n) [n]? у Finished network download. F193 bytes) [Truncated output would show the configuration lines] Следует обратить внимание на то, что при выводе подсказки по использованию команды параметр network команды configure не отображается. Однако, использо- использование дайной опции является допустимым. Конфигурация модулей Supervisor II Процедура передачи файла конфигурации по протоколу TFTP на другое устрой- устройство для модуля Supervisor коммутаторов Catalyst серии 6000 больше напоминает аналогичную процедуру для маршрутизаторов. Команда copy config {flash| file_name\ tf tp} позволяет копировать файл конфигурации в три раз- различных места. Конфигурационный файл может быть сохранен в загрузочной flash- памяти (bootflash memory), на внешней флэш-карточке, которая вставляется в соот- соответствующий разъем (доступно только для некоторых модулей Supervisor III), или на TFTP-сервере. При копировании файла из коммутатора Catalyst или на него не- Глава 4. Конфигурирование коммутаторов Catalyst 139
обходимо указывать имя файла-источника. Так как в модулях Supervisor III исполь- используется система флэш-памяти, то локально можно сохранять несколько файлов кон- конфигурации. Однако, только один из этих файлов является активным. Поэтому поль- пользователь должен указать, какой из локальных файлов конфигурации должен быть скопирован. Восстановление файла конфигурации производится в обратном порядке. Для дос- доставки файла конфигурации с TFTP-сервера необходимо использовать команду сору tftp {flash| filename | config}. Полученный файл конфигурации может быть за- записан в загрузочную флэш-память (bootflash memory), на внешнюю флэш-карточку или в текущую рабочую конфигурацию. Для записи файла конфигурации в текущую рабочую конфигурацию следует воспользоваться командой copy tftp config. В примере 4.14 показан сеанс восстановления файла конфигурации с именем cat на уст- устройство флэш-памяти. { Пример 4.14. Восстановление файла конфигурации с TFTP-сервера d ] Console> (enable) copy tftp flash IP address or name of remote host []? 144.254.100.50 Name of file to copy from []? cat Flash device [slotO]? <ret> Name of file to copy to [cat]? <ret> Если файл конфигурации был сохранен на устройстве флэш-памяти, его можно восстановить с помощью команды copy flash {tftp|file_name|config}. Возможно копирование на три вида устройств. Если файл находится на каком-либо другом устройстве флэш-памяти, то необхо- необходимо воспользоваться командой copy filejiame {tftp|flash|file_name|config}. Работа с файлами программного обеспечения Так же, как в случае маршрутизаторов, для работы коммутатора Catalyst необхо- необходимо специальное программное обеспечение. Такое программное обеспечение за- загружается во флэш-память модуля Supervisor и называется Supervisor Engine Software (управляющее программное обеспечение модуля Supervisor). Данное программное обеспечение необходимо для работы интерфейса командной строки (CLI) коммута- коммутатора Catalyst, для функционирования протокола распределенного связующего дере- дерева, для конфигурации виртуальных локальных сетей (VLAN), для поддержки прото- протокола VTP и для обеспечения многих других функций, которые связаны с модулем Supervisor. Модули Supervisor I и Supervisor II коммутаторов Catalyst серии 5000 отличаются от модулей Supervisor III тем, что для них по-разному осуществляется передача загру- загружаемых файлов программного обеспечения. Поэтому в текущем разделе они описаны отдельно друг от друга. Так же, как и в случае файлов конфигурации, работа с моду- модулями Supervisor III больше похожа на работу с маршрутизаторами Cisco, чем на работу с образами операционной системы для модулей Supervisor I и II. 140 Часть I. Фундаментальные аспекты технологий локальных сетей
В следующих разделах предполагается, что в коммутаторе Catalyst установлен один модуль Supervisor. В случае использования нескольких резервных модулей Supervisor за более детальным описанием следует обратиться к разделу "Использование резервных модулей Supervisor". Загрузка файлов конфигурации во флэш-память коммутаторов Catalyst требует пе- перегрузки коммутатора для того, чтобы новое программное обеспечение вступило в си- силу. Таким образом, следует помнить, что любые изменения программного кода вре- временно отключают всех пользователей в случае необходимости немедленно активизи- активизировать новое программное обеспечение. Соответственно, смена программного обеспечения может быть причиной того, что у администратора начнет звонить теле- телефон или пищать пейджер. Работа с файлами программного обеспечения модулей Supervisor I и II Для передачи загружаемых файлов программного обеспечения модуля Supervisor необходимо использовать команды download host_name file_name (загрузка с удаленной машины) или upload host_name file_name (загрузка на уда- удаленную машину). В примере 4.15 показан процесс загрузки программного обеспече- обеспечения с TFTP-сервера. В завершение коммутатор Catalyst выводит сообщение о том, что для активизации нового программного обеспечения необходимо его перезапустить (reset). __t^^^r....-,rr,,r.-_. ,....ж.......... £.....„.„_.,,..„,„„ , _„.„ .....?..... . ... .„., Пример 4.15. Загрузка программного обеспечения с TFTP-сервера .л-, .... : Console> (enable) download 172.20.52.3 cat5000-sup.4-2-l.bin Download image cat5000-sup.4-2-l.bin from 172.20.52.3 to module 1 FLASH (y/n) [n]? у / Finished network single module download. B748504 bytes) FLASH on Catalyst: Type Address Location Intel 28F016 20000000 NMP (P3) 8MB SIM Erasing flash sector...done. Programming flash sector...done. Erasing flash sector...done. Programming flash sector...done. Erasing flash sector...done. Programming flash sector...done. The system needs to be reset to run the new image. Console> (enable) reset system This command will reset the system. Do you want to continue (y/n) [n]? у Console> (enable) 07/21/1998,10:52:36:SYS-5:System reset from Console Глава 4. Конфигурирование коммутаторов Catalyst 141
Работа с файлами программного обеспечения модулей Supervisor III Для пересылки файлов программного обеспечения модулей Supervisor III (и ком- коммутаторов Catalyst 6000) используются команды, аналогичные тем, что применяются для работы с файлами конфигурации. Для передачи файлов на удаленный сервер ис- используется команда copy flash tftp, а для загрузки файлов с удаленного сервера — команда copy tf tp flash. Имеется возможность копирования программного обес- обеспечения между флэш-памятью, внешней флэш-карточкой и TFTP-сервером. Загрузка программного обеспечения через последовательный порт Для импортирования программного обеспечения модулей Supervisor существует еще один способ — загрузка устройства через консольный порт. Коммутаторы Catalyst поддерживают передачу через консольный порт по протоколу kermit. Протокол kermit предназначен для пересылки файлов, и обычно его поддержка встроена в большинст- большинство пакетов программного обеспечения эмуляции терминала. Если файл программного обеспечения хранится на сетевой станции, работающей под управлением операцион- операционной системы UNIX, или на персональном компьютере, подключенном к консольному порту коммутатора Catalyst, то существует возможность активизировать протокол ker- kermit на коммутаторе для получения такого файла. Для получения файла через кон- консольный порт необходимо воспользоваться командой download serial. Заметим, что подобная передача может занять значительное время, т.к. передаваемый программный код имеет большой размер, а передача происходит с маленькой скоростью, которая характерна для линий стандарта EIA-232. Такой способ предусмотрен для аварийных ситуаций, когда ни TFTP-сервер, ни устройства флэш-памяти недоступны. Если кон- консольный порт настроен как slip-интерфейс, а не как консоль, то можно воспользо- воспользоваться протоколом TFTP для передачи программного обеспечения через этот порт. Использование резервных модулей Supervisor Одной из главных мотиваций для представления продуктов Catalyst серии 5500 бы- была необходимость обеспечения надежности системы для конечных пользователей. Старые модели коммутаторов Catalyst серии 5000 содержали только один модуль Su- Supervisor, который в случае выхода его из строя приводил к неработоспособности всего коммутатора. Коммутаторы семейства Catalyst 5500/6000 позволяют установить в шас- шасси два таких модуля одновременно. При включении питания один из модулей стано- становится активным устройством Supervisor, а другой — запасным (stand-by Supervisor En- Engine). Активный модуль Supervisor отвечает за все операции, которые выполняются коммутатором Catalyst, и обеспечивает поддержку интерфейса пользователя для адми- администратора. Таким образом, активный модуль Supervisor обеспечивает работу прото- протокола распределенного связующего дерева, протокола SNMP, интерфейса командной строки, протокола Telnet, назначений интерфейсов сетей VLAN, протокола VTP, про- протокола CDP и других функций. Если в какой-либо момент активное устройство Su- 142 Часть I. Фундаментальные аспекты технологий локальных сетей
pervisor выходит из строя, то коммутатор перегружается, и запасной модуль Supervisor берет на себя обязанности активного модуля. При работе модуля Supervisor в режиме запасного устройства его консольный ин- интерфейс не активен. Все изменения конфигурации должны производиться через ак- активный модуль Supervisor. И в зависимости от версии программного кода у устройства Supervisor могут также быть недоступны исходящие магистральные порты запасного модуля. Если используется программное обеспечение версии ниже 4.1, то на запасном модуле такие порты однозначно недоступны. Однако, когда запасное устройство ста- становится активным, то все магистральные порты активизируются. При использовании программного обеспечения версии 4.1 или 4.2 все порты на запасном устройстве ак- активны, даже если модуль работает в режиме запасного. При использовании про- программного обеспечения версии 4.3 или более поздней все порты на запасном устрой- устройстве стандартно не активны, однако, могут быть активизированы административно. Совет При использовании резервных магистральных портов на запасном модуле Supervisor следует убедиться, что для текущей версии программного обеспечения сконфигури- сконфигурировано не более 20 сетей VLAN. В противном случае создается потенциальная воз- возможность появления петель распределенного связующего дерева, что увеличивает время сходимости данного алгоритма и уменьшает стабильность сети. Существуют несколько условий, которые должны выполняться, чтобы функция восстановления в результате сбоев (failover) работала корректно. 1. Модуль Supervisor коммутатора Catalyst серии 5000 должен быть версии не ниже Engine II. Старые версии модулей Supervisor, которые разрабатывались для коммутаторов Catalyst серии 5000, не поддерживают функции обеспечения надежности. В действительности, модуль Supervisor I вообще не работает со- совместно с шасси коммутаторов Catalyst серии 5500. Все модели модулей Super- Supervisor для коммутатора Catalyst серии 6000 поддерживают функцию обеспече- обеспечения надежности. 2. Активный и запасной модули Supervisor должны быть одной модели. Для ком- коммутаторов Catalyst серии 5500 они должны быть версии Supervisor II или Super- Supervisor III. Нельзя использовать модуль Supervisor II и Supervisor III, установлен- установленные в одном шасси. Причина такого условия описана ниже. 3. При использовании функциональных плат (feature cards) модулей Supervisor III для коммутаторов Catalyst 5000 типы подобных плат должны быть одинаковыми для обоих модулей. Например, при использовании платы для поддержки функ- функции NetFlow (Net Flow Feature Card — NFFC) в одном модуле для второго мо- модуля также должна быть установлена и сконфигурирована подобная плата. 4. Конфигурационные файлы для обоих модулей должны соответствовать друг другу- 5. Загружаемые файлы программного обеспечения для обоих модулей должны быть одинаковы. Администратор должен обеспечить выполнение первых трех условий. Для под- поддержки функции резервирования должны быть подобраны соответствующие аппарат- аппаратные компоненты. Коммутатор Catalyst этого обеспечить не в состоянии. Глава 4. Конфигурирование коммутаторов Catalyst 143
Однако, что касается двух последних условий, то коммутатор Catalyst может обес- обеспечить их выполнение. Операционная система автоматически синхронизирует про- программное обеспечение между модулями, что гарантирует идентичность используемых файлов. Такая возможность операционной системы помогает гарантировать, что в случае отказа в работе активного модуля резервный модуль сможет поддерживать все те функции, которые обеспечивал активный модуль. Большинство сетевых админист- администраторов в ситуации выхода модуля из строя смогут заменить отказавший модуль. Од- Однако, если в результате сбоя изменяются условия работы сети (только не это, все ин- интерфейсы вдруг стали принадлежать сети VLAN 1!), то администратор будет чувство- чувствовать себя очень несчастным, так же, как и пользователи. Синхронизация конфигурации между резервными модулями Supervisor Если возникает необходимость в изменении конфигурации, то такие изменения должны проводиться только на активном модуле Supervisor, поскольку консоль на за- запасном модуле не активна. Если на активном модуле Supervisor производятся какие- либо операции, то как обеспечить, чтобы на запасном модуле конфигурация также изменилась? Для администратора в этом нет необходимости, коммутатор Catalyst сам обеспечивает выполнение подобной функции. Изменения конфигурации в активном модуле автоматически обновляют конфигу- конфигурацию и в запасном модуле — это внутренняя функция коммутатора Catalyst. После замены запасного модуля активный модуль гарантирует, что новый запасной модуль получает полную копию текущей конфигурации. Он обновляет файл конфигурации на запасном модуле. Совет Следует запомнить, что любой запасной модуль Supervisor, который устанавливается в коммутатор Catalyst, автоматически получает копию файла конфигурации с рабо- работающего активного модуля. Поэтому не следует устанавливать модуль с обновленным файлом конфигурации в ожидании того, что данная конфигурация перейдет также и на активный модуль. Все изменения в файле конфигурации будут утеряны. Синхронизация файлов программного обеспечения между резервными модулями Supervisor Модули Supervisor не только должны быть одинаковыми и иметь одинаковую рабо- рабочую конфигурацию, они еще должны иметь одинаковые файлы профаммного обеспе- обеспечения. Так же, как и в случае с файлами конфигурации, активный модуль Supervisor га- гарантирует, что запасной модуль Supervisor будет иметь файл профаммного обеспечения, идентичный с тем, который работает на активном модуле. В случае различий в соответ- соответствующих файлах профаммного обеспечения активный модуль Supervisor зафузит рабо- работающий файл профаммного обеспечения в запасной модуль и осуществит его переза- фузку. Для определения необходимости синхронизации активный модуль проводит проверку характеристик профаммного обеспечения, которые перечислены ниже. 144 Часть I. Фундаментальные аспекты технологий локальных сетей
1. Активный модуль проверяет, имеют ли оба зафузочных файла одинаковое вре- время модификации. В случае различия этих значений активный модуль Supervisor производит обновление файлов на запасном модуле. 2. При изменении значения переменной среды BOOT активный модуль Supervisor копирует новый загрузочный файл на запасной модуль и при необходимости изменяет значение указанной переменной среды на запасном модуле, обеспечи- обеспечивая таким образом последующий старт обоих модулей с одинаковым профамм- ным обеспечением. 3. При модернизации версии профаммного обеспечения активного модуля Super- Supervisor этот модуль также обновляет программное обеспечение запасного модуля. Следует обратить внимание на то, что загрузочные файлы программного обеспече- обеспечения и файлы конфигурации всегда перемещаются с активного на запасной модуль, и никогда в обратном направлении. Не существует возможности вначале обновить за- загрузочный файл в запасном модуле, а затем синхронизировать активный модуль с за- запасным. Запасной модуль всегда синхронизируется с активным. При использовании модулей Supervisor Engine III коммутаторов Catalyst 5000 и всех типов модулей коммутаторов Catalyst 6000 для определения идентичности ис- используемых компонент в сравнении участвуют также дополнительные параметры. В частности, активный модуль проверяет идентичность не только загрузочных файлов профаммного обеспечения (boot image), но и идентичность программы-загрузчика (run-time image). Программа-загрузчик используется для загрузки модуля Supervisor с помощью профаммы, называемой "ROM-монитор", которая находится в ПЗУ. Если программа-зафузчик успешно загружается в память, существует зафузочный файл основного профаммного обеспечения и системная переменная BOOT указывает на этот файл, то коммутатор Catalyst загружает указанный файл в память в соответствии с желанием пользователя. Активный модуль Supervisor обеспечивает идентичность профамм-зафузчиков обоих модулей. Так же, как и в случае зафузочных файлов основного профаммного обеспече- обеспечения, при отличии файлов профамм-зафузчиков активный модуль осуществляет син- синхронизацию таких файлов для обоих модулей путем зафузки нового файла профаммы- зафузчика на запасной модуль. Таким образом, активный модуль Supervisor производит следующие проверки для определения необходимости синхронизации: 1. активный модуль проверяет время модификации (timestamp) файла программы- загрузчика. Если значения данного параметра для двух модулей отличаются, то инициируется процесс синхронизации; 2. если в активном модуле файл профаммы-загрузчика будет переписан, то актив- активный модуль осуществит синхронизацию файла в запасном модуле. Конфигурирование коммутаторов Catalyst других моделей Как уже упоминалось, в коммутаторах Catalyst других моделей (не относящихся к семейству коммутаторов серий 5000/6000) используются свои методы конфигурации. Три варианта конфигурации берут свое начало от продуктов фирмы Grand Junction для коммутаторов Catalyst 1900/2800, от продуктов фирмы Calpana для коммутаторов Глава 4. Конфигурирование коммутаторов Catalyst 145
семейства Catalyst 3000 и от операционной системы Cisco IOS для моделей 2900XL и 8500. В текущем разделе приводится краткий обзор методов конфигурации для ком- коммутаторов серий 1900/2800 и серии 3000, поскольку в них используются методы, пол- полностью отличающиеся от методов конфигурации, которые свойственны операционной системе IOS, а также коммутаторам серий 2900XL и 8500 и интерфейсу командной строки (CLI) коммутаторов Catalyst моделей 5000/6000. В этом разделе не раскрыва- раскрываются какие-либо детали конфигурации, а только описан интерфейс пользователя. После рассмотрения различных функций коммутаторов Catalyst моделей 5000/6000, таких, как протокол межкоммутаториого канала (Inter-Switch Link — ISL), магист- магистральный протокол VLAN (VLAN Trunking Protocol — VTP) и другие функций, в об- общих чертах становится понятным, что именно необходимо конфигурировать в других коммутаторах Catalyst. Различие лишь в том, какие функции поддерживаются комму- коммутаторами и как внести изменения в конфигурацию. Конфигурирование коммутаторов Catalyst серий 1900/2800 В коммутаторах Catalyst серий 1900/2800 для изменения конфигурации использует- используется иерархическая структура меню. В примере 4.16 показано меню одного из самых верхних уровней, в котором пользователь может осуществлять изменения. Для выбора меню нижнего уровня необходимо ввести символ, соответствующий пункту меню. Для возврата к меню верхнего уровня необходимо ввести символ <Х> с клавиатуры консольного устройства. : Пример 4.16. Вид меню верхнего уровня коммутаторов Catalyst 1900 :< Catalyst 1900 - Main Menu [C] Console Settings [S] System [N] Network Management [P] Port Configuration [A] Port Addressing [D] Port Statistics Detail [M] Monitoring [V] Virtual LAN [R] Multicast Registration [F] Firmware [I] RS-232 Interface [U] Usage Summaries [H] Help [X] Exit Management Console Конфигурирование коммутаторов Catalyst 3000 Так же, как и для коммутаторов серий 1900/2800, в коммутаторах Catalyst серии 3000 используется иерархическая структура меню. Однако, она отличается от той, ко- 146 Часть I. Фундаментальные аспекты технологий локальных сетей
торая используется в коммутаторах серий 1900/2800, методами перемещения по пунк- пунктам меню. В коммутаторах Catalyst серии 3000 используются клавиши перемещения курсора (с изображением стрелок) для того, чтобы выделять активный пункт меню, а затем необходимо нажать клавишу <ENTER>. В примере 4.17 показано меню комму- коммутаторов Catalyst серии 3000. Пример 4.17. Пример меню коммутатора Catalyst серии 3000 й/ < .:/ j Configuration SwitchProbe... Switch/Stack Information EtherChannel... VLAN/VTP Configuration... MAC Filter & Port Security... IP Configuration Learn and Lock SNMP Configuration Address Aging... Spanning Tree Port Switching Mode... Port Configuration Broadcast Suppression CDP Configuration Password... CGMP Configuration Console Configuration... Module Information ATM Configuration 100VG Port Information Router Configuration RMON Configuration Display the Main Menu Use cursor keys to choose item. Press <RETURN> to confirm choice. Press <CTRL><P> to return to Main Menu. Контрольные вопросы В данный раздел включены различные вопросы по теме настоящей главы. Ответив на них, читатель сможет оценить степень владения изложенным материалом. Кроме того, приведенные ниже вопросы помогут подготовиться к письменным и лаборатор- лабораторным экзаменам на получение статуса сертифицированного эксперта по объединенным сетям Cisco (CCIE). Ответы на вопросы приведены в приложении А, "Ответы на кон- контрольные вопросы". 1. Что произойдет при замене активного модуля Supervisor? Глава 4. Конфигурирование коммутаторов Catalyst 147
2. Если запасной модуль Supervisor работает под управлением программного обес- обеспечения версии 4.1, то порты запасного модуля являются неактивными до тех пор, пока этот модуль сам не станет активным. Какой стратегией необходимо воспользоваться для того, чтобы гарантировать работу портов в режиме восста- восстановления после сбоя активного модуля (failover)? 3. В табл. 4.4 показано, как вызвать ранее выполненную команду из буфера исто- истории команд и отредактировать ее. Как вызвать и отредактировать приведенную ниже команду для того, чтобы переназначить указанные порты сети VLAN 3 для сети VLAN 4? set vlan 3 2/1-10,3/12-21,6/1,5,7 4. Что произойдет, если консольный порт сконфигурирован как интерфейс slO и подключается к последовательному порту персонального компьютера с эмулято- эмулятором терминала? 5. Коммутатор Catalyst поддерживает модули типа LS1O1O ATM, которые устанав- устанавливаются в последние 5 разъемов шасси. Разъем 13 коммутатора Catalyst серии 5500 зарезервирован для модуля препроцессора коммутатора ATM (ATM Switch Preprocessor — ASP) LS1010. Может ли для конфигурации модуля ASP быть ис- использована команда session? 6. Для интерфейса командной строки стандартно задана максимальная длина ко- командной строки, равная 24 строкам. С помощью каких средств можно прове- проверить максимальную длину командной строки? 148 Часть I. Фундаментальные аспекты технологий локальных сетей
В этой главе... . • Что такое сети VLAN? В разделе приводится техническое и практическое опре- определения виртуальных локальных сетей. • Типы сетей VLAN. В данном разделе описаны принципы работы коммутации уровней 2, 3 и 4 в сетях VLAN. • Стандарт 802.1Q: взаимодействие между сетями VLAN. В данном разделе приво- приводится описание разработки комитета ШЕЕ 802.1Q, которая определяет незави- независимый от производителя метод создания виртуальных локальных сетей, функ- функционирующих на принципах работы мостов через виртуальные локальные сети общего доступа (shared VLANS — SVLs). • Доказательство необходимости применения сетей VLAN. В данном разделе при- приводится описание того, как необходимость обеспечения безопасности сети, не- необходимость контроля распространения широковещательных запросов, необхо- необходимость рационального использования пропускной способности сети, необхо- необходимость обеспечения заданного уровня задержек при прохождении пакетов через маршрутизаторы, необходимость использования сложных списков кон-, троля доступа (access lists) приводит к необходимости использования сетей VLAN. В этом разделе также описаны некоторые детали, связанные с непра- неправильной мотивацией использования сетей VLAN. • Конфигурация сетей VLAN в коммутаторах Catalyst. В данном разделе приводит- приводится описание планирования, создания и просмотра конфигурации виртуальных локальных сетей (VLAN). : • Перемещение пользователей в сетях VLAN. В данном разделе приводится описа- описание того, каким образом с использованием виртуальных локальных сетей мож- можно просто перемещать пользователя из одного местоположения в другое. • Фильтрация на основе протоколов. В данном разделе приводится описание того, как осуществляется контроль над нежелательной лавинной передачей данных посредством определенных протоколов.
Глава 5 Виртуальные локальные сети Когда в журналах, посвященных темам телекоммуникации, и в среде специалистов начали появляться более или менее ясные сообщения промышленных производителей о виртуальных локальных сетях (virtual LANs — VLANs), в данном вопросе возникла путаница. Что именно те или иные специалисты понимают под понятием VLANI Раз- Разные авторы давали разные интерпретации повой сетевой терминологии, причем эти интерпретации были не всегда совместимы друг с другом, а взаимного согласия в данном вопросе было куда меньше, чем разногласий. Производители оборудования для создания сетей VLAN использовали различные подходы, что еще больше увеличи- вало путаницу и непонимание. В текущей главе представлено определение сетей VLAN в том виде, как это принято при работе с коммутаторами Catalyst, и объясняет- ся, как осуществлять конфигурацию виртуальных локальных сетей. Также обсуждают- обсуждаются причины, по которым следует или не следует использовать сети VLAN, и предпри- предпринимаются попытки прояснить ситуацию и развеять заблуждения, связанные с поняти- ,i:.etoVLAN. % Что такое сети VLAN? Существует много определений понятия VLAN. Что же это все-таки такое? Ответ на такой вопрос лучше давать в двух вариантах, т.к. существуют ответы с технической и с практической точек зрения. С технической точки зрения, как это несколько позже было утверждено комитетом IEEE, сеть VLAN соответствует широковещательному ft сетевому домену уровня 2 (эталонной модели OSI). Как это было показано в главе 2, "Сегментация локальных сетей", широковещательный домен определяет пределы, в которых широковещательные фреймы распространяются в сети. Раньше в сетях для установки границ широковещательных доменов использова- использовались интерфейсы маршрутизаторов. Особенности работы маршрутизаторов предот- предотвращают возможность распространения широковещательных сообщений через мар- маршрутизируемые интерфейсы. Следовательно, маршрутизаторы автоматически позво- ляют ограничивать широковещательные домены. С другой стороны, коммутаторы второго уровня позволяют создавать широковещательные домены на основании кон- конфигурации коммутатора. При определении широковещательного домена с помощью коммутатора такому устройству фактически указывается, насколько далеко он должен осуществлять распространение широковещательных сообщений. Если коммутатор по- лучает широковещательное сообщение через какой-либо порт, через какие еще порты разрешено получать данное сообщение? Необходимо ли осуществлять лавинную пере- • дачу широковещательного сообщения во все порты или только в некоторые из них?
В отличие от схематических диаграмм сетей старого типа, по диаграммам комму- коммутируемых сетей нельзя определить границы широковещательных доменов. На рис. 5.1 показана схема сети старого типа, где легко можно определить граничные точки ши- широковещательного трафика. Такая точка существует на каждом интерфейсе маршрути- маршрутизатора. Два маршрутизатора определяют в рассматриваемой сети три домена. Мост, установленный в сети, обеспечивает расширение широковещательного домена 2, од- однако, не позволяет создать новый широковещательный домен. 1 Широковещательный домен 1 Рис. 5.1. Широковещательный домен в сетях старого типа В коммутируемой сети, показанной на рис. 5.2, нельзя определить границы широко- широковещательных доменов только путем простого рассмотрения схемы сети. Станции могут принадлежать одному или к нескольким широковещательным доменам. Для определе- определения граничных точек широковещательных доменов в системе с виртуальными локаль- локальными сетями необходим просмотр файлов конфигурации. Без доступа к файлам кон- конфигурации пределы широковещательного домена можно определить с помощью обору- оборудования для анализа сетей, но этот процесс достаточно утомителен. Вопрос о том, как осуществить подобный анализ, вынесен в контрольные вопросы в конце текущей главы. Несмотря на то, что в коммутируемых сетях не так легко с первого взгляда выде- выделить широковещательные домены, это не означает, что их не существует. Такие доме- домены появляются, как только их определили и активировали. В главе 2, "Сегментация локальных сетей", обсуждались различные аспекты, касающиеся коммутаторов, и бы- было приведено их сравнение с мостами. Коммутатор — это многопортовый мост, кото- который позволяет создавать несколько широковещательных доменов. Каждый широко- широковещательный домен можно представить как отдельный виртуальный мост внутри коммутатора. Внутри коммутатора можно определить один или несколько виртуаль- виртуальных мостов. Каждый виртуальный мост, заданный внутри коммутатора, соответствует одному широковещательному домену (сети VLAN). Коммутатор не может непосредст- непосредственно передавать трафик из одной сети VLAN в другую сеть VLAN (между широко- широковещательными доменами). Для обеспечения взаимодействия между сетями VLAN не- необходимо использовать коммуникационное оборудование, работающее на третьем уровне. Для соединения сетей VLAN мост использовать нельзя. Применение моста приведет к объединению нескольких сетей VLAN в одну большую виртуальную ло- локальную сеть. Для обеспечения взаимодействия между отдельными сетями VLAN не- 152 Часть I. Фундаментальные аспекты технологий локальных сетей
обходимо использовать коммутаторы третьего уровня или маршрутизаторы. Каждый из четырех коммутаторов принадлежит двум сетям VLAN. Общее количество широко- широковещательных доменов, распределенных между коммутаторами, равно трем. На рис. 5.3 показана логическая структура коммутируемой сети. □L LJ Рис. 5.2. Широковещательный домен в коммутируемых сетях Широковещательный , домен 1 Рис. 5.3. Коммутируемая сеть с виртуальными мостами Глава 5. Виртуальные локальные сети 153
Вместо того, чтобы определять сеть VLAN путем назначения принадлежности каж- каждого порта, будем считать, что все коммутаторы внутренне представляют такую сеть в виде виртуальных мостов. Такой способ иллюстрации сетей VLAN не является обще- общепринятым, однако он позволяет подчеркнуть роль внутренней конфигурации комму- коммутатора локальных сетей, в которой каждый внутренний мост коммутатора соответст- соответствует одной виртуальной локальной сети. Типы сетей VLAN Стандарт IEEE определяет сети VLAN как группу устройств, входящих в один и тот же широковещательный домен второго уровня. Все устройства, которые обмени- обмениваются информацией друг с другом без необходимости передавать данные через мар- маршрутизатор (только через реальные или виртуальные концентраторы или повторите- повторители), принадлежат одному широковещательному домену. Коммуникационные устрой- устройства второго уровня передают фреймы в пределах широковещательного домена путем анализа их МАС-адреса устройства назначения. Затем путем сравнения полученного МАС-адреса с адресами, записанными в таблице, устройство определяет, каким обра- образом передавать фрейм получателю. Станция А Маршрутизатор 1 Маршрутизатор 2 Маршрутизатор 3 Станция Б Рис. 5.4. Традиционный способ передачи фреймов в сетях с маршрутизаторами Некоторые устройства используют другую информацию в заголовке для определения того, как необходимо передавать фрейм. Например, коммутатор третьего уровня анали- анализирует IP-адреса отправителя и получателя для передачи фреймов между широковеща- широковещательными доменами, если такая необходимость существует. Традиционно коммутация третьего уровня осуществляется маршрутизаторами. Фреймы принимаются маршрутиза- 154 Часть I. Фундаментальные аспекты технологий локальных сетей
тором, далее он определяет наилучший маршрут для доставки фрейма к устройству по- получателя, после чего маршрутизатор перенаправляет фрейм к следующему транзитному узлу (next hop), как это показано на рис. 5.4. Протокол маршрутизации, который акти- активизирован на маршрутизаторе, служит для определения наилучшего маршрута (best path). Наилучший маршрут может подразумевать наименьшее количество узлов или соответст- соответствовать сегментам сети с наибольшей пропускной способностью. Он также может соот- соответствовать определенной комбинации метрик. В сети, показанной на рис. 5.4, сущест- существует единственный способ передачи данных от станции А к станции Б. Когда фрейм поступает в маршрутизатор 2, устройство не только определяет сле- следующий транзитный узел (next hop) для передачи фрейма к устройству назначения, но также осуществляет инкапсуляцию второго уровня с новыми парами МАС-адресов от- отправителя и получателя, производит некоторые операции третьего уровня, такие, как уменьшение времени TTL в заголовке IP-пакета и вычисление значения контрольной суммы фрейма (frame check sequence, FCS). Маршрутизатор 3 производит аналогичную последовательность операций перед тем, как отправить фрейм станции Б. Такая переда- передача часто называется пакетной коммутацией (packet-by-packet switching). Станция А 172.16.1.1 172.16.2.1 Маршрутизатор 2 172.16.3.1 ^Catalyst- D 172.16.3.2 Маршрутизатор 3 Станция Б 172.16.4.1 Рис. 5.5. Традиционный способ передачи фреймов в коммутируемых сетях Такой же процесс будет происходить, если физические сегменты с общим досту- доступом, показанные на рис. 5.4, заменить на сеть с коммутаторами второго уровня. На рис. 5.5 показана аналогичная сеть, но с использованием коммутаторов второго уров- уровня и маршрутизаторов третьего уровня, которые служат для соединения широковеща- Глава 5. Виртуальные локальные сети 155
тельных доменов (сетей VLAN). Для того, чтобы достичь станции Б, фрейм, послан- посланный станцией А, должен пройти через три маршрутизатора. Более того, фрейм должен дважды пройти по соединению между коммутаторами Catalyst-C и Catalyst-D. Хотя для такой маленькой сети подобное поведение является своего рода преувеличением, однако в реальных сетях большого масштаба такая ситуация может возникать доста- достаточно часто. В предельных случаях фрейм может проходить по коммутируемой на втором уровне сети несколько раз по мере того, как он проходит от одного маршрути- маршрутизатора к другому на пути от станции-отправителя к станции-получателю. Станция А 172.16.1.1 Маршрутизатор 1 Маршрутизатор 2 Catalyst-D 172.16.3.2 172.16.4.2 Catalyst-C 172.16.4.1 Маршрутизатор 3 Станция Б Рис. 5.6. Короткие обходные маршруты между сетями VLAN, создаваемые пла- платой NetFlow В отличие от маршрутизаторов коммутаторы третьего уровня позволяют избежать многократных входов и выходов фреймов через интерфейсы маршрутизаторов. После установки платы Netflow Feature Card (функциональной платы Netflow — NFFC) и за- запуска механизма многоуровневой коммутации (Multilayer Switching — MLS) в модуле Supervisor коммутаторов Catalyst 5000 устройства серии Catalyst 5000/5500 получают воз- возможность переписывать заголовки фреймов таким же образом, как это делают маршру- маршрутизаторы. Такая технология создает видимость того, что фрейм прошел через маршрути- маршрутизатор, избегая при этом необходимости реального прохождения фрейма через интерфей- 156 Часть I. Фундаментальные аспекты технологий локальных сетей
сы маршрутизатора как в одну, так и в другую сторону. Коммутатор Catalyst определяет, какие операции необходимо проделать с заголовком фрейма путем анализа информа- информации, получаемой с непосредственно подключенного маршрутизатора. Технология MLS более детально описана в главе 11, "Коммутация третьего уровня". Она позволяет как бы прокладывать короткий путь пакета в обход маршрутизатора, как это показано на рис. 5.6. При использовании в системе нескольких маршрутизаторов могут существовать несколько коротких обходных маршрутов между устройствами отправителя и получате- получателя. Такие короткие маршруты не приводят к нарушению каких-либо правил маршрути- маршрутизации третьего уровня, т.к. адаптер NFFC (Netflow Feature Card) не производит никаких перезаписей заголовка, пока фрейм вначале не пройдет через маршрутизатор. Далее, по- после создания короткого обходного маршрута, плата NFFC переписывает заголовок фрейма так же, как это делает маршрутизатор. Станция А 172.16.1.1 Catalyst-B CaialysbD Рис. 5.7. Короткий маршрут в сети ATM, созданный с помощью механизма МРОА, позволяет исключить необходимость передачи пакетов через не- несколько маршрутизаторов Еще один тип коммутации третьего уровня — многопротокольная передача данных по сетям ATM (Multiprotocol over ATM — МРОА) — позволяет избежать необходимо- необходимости многократно пересылать данные внутри коммутируемой среды. По своим свойст- свойствам технология МРОА в сетях ATM аналогична механизму MSL в сетях с передачей фреймов тем, что обе технологии позволяют осуществлять коммуникацию в обход маршрутизаторов. Маршрутизаторы, показанные па рис. 5.7, подключены непосредст- Глава 5. Виртуальные локальные сети 157
венно к сетевой среде ATM. Обычно, когда станция А обменивается данными со станцией Б, фреймы должны входить и выходить через интерфейсы маршрутизаторов так же, как и в случае классических сетей, как это показано на рис 5.4. В сети, пока- показанной на рис. 5.7, фреймы в обычной ситуации должны были бы пройти через сеть ATM четыре раза до того, как они достигнут станции Б. Однако технология МРОА позволяет создать короткий обходной маршрут между двумя устройствами, которые принадлежат различным широковещательным доменам, как это показано на рис. 5.7. Более детально данный вопрос обсуждается в главе 10, "Многопротокольное магист- магистральное соединение по сети ATM". Другие типы сетей VLAN используют комбинированные функции второго уровня, третьего уровня и даже четвертого уровня для того, чтобы создать кратчайший обход- обходной путь в системе. Коммутация четвертого уровня позволяет создавать кратчайшие обходные маршруты на основании адресов третьего уровня и номеров портов уровня 4. Иногда такой тип коммутации называется коммутацией приложений (application switching). Он обеспечивает более высокий уровень модульности коммутируемой сис- системы. В главе 11, "Коммутация третьего уровня", приводится более детальное обсуж- обсуждение данного вопроса в контексте рассмотрения функций технологии MLS. В табл. 5.1 приведено резюме по различным типам коммутаторов, которые выпус- выпускаются в промышленности. Таблица 5.1. Сравнение методов коммутации различных уровней , | Тип коммутатора Критерий коммутации Второго уровня МАС-адрес устройства назначения Третьего уровня МАС-адреса и IP-адреса устройств отправителя и получателя Четвертого уровня Критерии третьего уровня плюс номера портов устройств отправителя и получателя Стандарт 802.1Q: взаимодействие между сетями VLAN и устройствами разных производителей Различные производители используют различные подходы к реализации локаль- локальных сетей. В связи с этим администраторы сетей испытывают подавленное настрое- настроение всякий раз, когда в их сетях появляются новые сетевые решения. Технология сетей VLAN, которая поддерживала бы возможность совместной работы устройств различных производителей, должна быть удобной с точки зрения возможности пре- преодоления недостатков, связанных с взаимодействием таких устройств. Ввиду отсут- отсутствия соответствующей промышленной технологии институт IEEE организовал ко- комитет 802.1Q, в задачи которого входила разработка принципов работы виртуальной локальной сети, которая бы поддерживала технологии работы мостов, обеспечивала возможность взаимодействия между сетями и была бы независимой от производи- производителя оборудования. Комитет IEEE 802.1Q разработал концепции технологий, которые получили на- названия общая сеть VLAN (shared VLAN — SVL) и независимая сеть VLAN (indepen- 158 Часть I. Фундаментальные аспекты технологий локальных сетей
dent VLAN — IVL). Разработанные принципы определяют, как мосты должны хра- хранить значения МАС-адресов в своих таблицах. Технология SVL ограничивает при- принадлежность одного МАС-адреса только одной сети VLAN. Устройства, работаю- работающие по технологии SVL, должны поддерживать таблицу адресов моста огромного размера, однако каждое значение МАС-адреса в такой таблице может встречаться только один раз независимо от того, какое количество сетей VLAN существует. Для большинства сетей такой вариант работы является допустимым. Однако, описанное ограничение является нежелательным в случае, когда устройства или протоколы ис- используют одно значение МАС-адреса, которое принадлежит различным широкове- широковещательным доменам. Например, рабочая станция производства корпорации SUN использует одно значение МАС-адреса в случае, когда в рабочей станции установ- установлены два сетевых адаптера. Такая ситуация имеет место, даже когда оба сетевых адаптера подключены к различным широковещательным доменам и имеют различ- различные логические адреса. Ясно, что такой принцип работы нарушает правила сетей SVL, однако соответствует условиям работы обычных классических сетей. Протокол DecNet IV имеет аналогичные характеристики в том плане, что одно значение МАС-адреса может быть использовано в различных широковещательных доменах, что также нарушает правила для сетей SVL. Еще одна ситуация, в которой устройства, работающие по технологии SVL, не могут функционировать, соответствует системе, в которой маршрутизатор соединяет сети VLAN и при этом работает как мост для одних протоколов и как маршрутиза- маршрутизатор — для других. Например, в сети, показанной на рис. 5.8, станция А и станция Б поддерживают несколько протоколов: TCP/IP и NetBEUI. Маршрутизатор в рассмат- рассматриваемой системе используется для объединения сетей VLAN 1 (порт 1 и 2 коммута- коммутатора А) и VLAN 2 (порт 3 и 4 коммутатора А). Маршрутизатор осуществляет маршру- маршрутизацию трафика по протоколу TCP/IP и работает как мост для трафика по протоколу NetBEUI (использование моста необходимо, поскольку протокол NetBUI не является маршрутизируемым). Станция А VUN1 IP 172.16.1.0 Net BEUI VUN2 IP 172.16.2.0 Net BEUI Станция Б Рис. 5.8. Коммутатор, поддерживающий сеть SVL, и маршрутиза- маршрутизатор, способный работать и как маршрутизатор, и как мост Когда станция А передает IP-фрейм станции Б, то станция А осуществляет пе- передачу такого фрейма с установленным МАС-адресом интерфейса R1 маршрутиза- Глава 5. Виртуальные локальные сети 159
тора в качестве идентификатора получателя, и адресом станции А в качестве адреса отправителя. Маршрутизатор осуществляет маршрутизацию фрейма к станции Б, используя МАС-адрес интерфейса R2 маршрутизатора в качестве адреса отправите- отправителя, и адрес станции Б в качестве адреса получателя. Когда станция Б отвечает стан- станции А, коммутатор в результате процесса самообучения определяет, что станция Б подключена к порту 4 коммутатора А. При этом таблица адресов моста коммутато- коммутатора А выглядит так, как показано табл. 5.2, в строке с меткой "Событие 1". В табли- таблице показаны четыре порта коммутатора 4 A, 2, 3, 4) и значения МАС-адресов, со- соответствующие каждому порту. Порты 1 и 2 принадлежат сети VLAN 1, а порты 3 и 4 принадлежат сети VLAN 2. Значения МАС-адресов представлены как А и Б для двух рабочих станций, и как R1 и R2 для двух интерфейсов маршрутизатора. Ком- Коммутатор А имеет информацию о том, что МАС-адрес станции А соответствует пор- порту 1, а МАС-адреса интерфейсов R1 и R2 маршрутизатора соответствуют портам с номерами 2 и 3. Когда станция А передает фрейм протокола NetBEUI, коммутатор снова определяет, что МАС-адрес станции А соответствует порту 1. Когда маршру- маршрутизатор маршрутизирует фрейм, он заменяет МАС-адрес отправителя значением своего МАС-адреса. Однако, когда маршрутизатор осуществляет передачу фрейма через интерфейс R2 как мост, то не производит замены МАС-адреса фрейма в его заголовке, а оставляет первоначальное значение нетронутым. Таким образом, в та- такой ситуации коммутатор А определяет, что станция А подключена к порту 3. По- Полученная таким образом информация заставляет коммутатор считать, что станция А поменяла свое местоположение. Таблица адресов коммутатора теперь имеет такой вид, как показано в табл. 5.2, в строке, озаглавленной как "Событие 2". Когда станция Б будет отправлять ответ станции А, то коммутатор перенаправляет фрейм интерфейсу R2 маршрутизатора. Однако, когда маршрутизатор отправляет фрейм через интерфейс R1, коммутатор не отправит фрейм через порт 1. Вместо этого он отфильтрует фрейм, поскольку считает, что станция А подключена к порту 3, кото- который находится в другой локальной сети. I Таблица 5.2. Таблица адресов моста vv I Сеть VLAN Порт Событие 1 Событие 2 1 1 А 2 R1 R1 2 3 R2 R2, А 4 В В Еще одним недостатком стандарта IEEE 802.1Q является поддержка только од- одного экземпляра распределенного связующего дерева. Данное условие требует, что- чтобы все сети VLAN принадлежали к одной топологии распределенного связующего дерева, что не всегда может быть оптимальным для всех сетей VLAN. В коммутато- коммутаторе Catalyst, например, могут поддерживаться несколько экземпляров распределен- распределенного связующего дерева, по одному на каждую сеть VLAN. В части II данной кни- книги, "Механизм распределенного связующего дерева", приводится более детальная информация, которая касается нескольких экземпляров распределенного связую- связующего дерева. 160 Часть I. Фундаментальные аспекты технологий локальных сетей
В коммутаторах Catalyst не используются таблицы типа SVL. Вместо этого при- применяется независимое самообучение по каждой сети VLAN (Independent VLAN Learning — IVL), для которого ситуация, в которой один и тот же МАС-адрес при- присутствует в различных широковещательных доменах, является допустимой. Устрой- Устройства, работающие по технологии IVL, поддерживают независимые таблицы адресов мостов для каждой сети VLAN, что позволяет различным устройствам использовать одинаковые значения МАС-адресов в различных сетях VLAN. Все примеры в дан- данной книге, связанные с технологиями работы коммутатора Catalyst, соответствуют методу IVL. Доказательство необходимости применения сетей VLAN В предыдущем разделе было приведено определение сетей VLAN с технической точки зрения. В текущем разделе приводятся объяснения их необходимости с практи- практической точки зрения. В обычных сетях сетевые администраторы подключали пользо- пользователей к сети по географическому принципу. Администратор подключал рабочую станцию пользователя с помощью ближайшего к ней сетевого кабеля. Если пользова- пользователь является сотрудником технического отдела и при этом его рабочее место нахо- находится рядом с кем-либо, кто работает в бухгалтерии, то они оба будут подключены к одной локальной сети, т.к. они подключаются с помощью одного кабеля. Такой под- подход создает некоторые интересные сетевые проблемы. Четкое понимание возникаю- возникающих при такой структуре сети проблем и подчеркивает причины использования сетей VLAN. В следующих разделах описаны пять причин, которые приводят к необходимо- необходимости реализации виртуальных локальных сетей. Проблема 1: безопасность в сети Первая причина напрямую связана с тем, что сети старого типа по своей природе рассчитаны на физическую среду общего доступа. Когда станция, находящаяся в сети устаревшего типа с совместно используемой физической средой передачи, как, напри- например, сеть технологии lOBaseT, работающая в полудуплексном режиме, передает дан- данные, то все станции, подключенные к сегменту, получают копию фрейма, даже если он адресован не им. Такая ситуация, конечно, не мешает функционированию сети, однако, позволяет использовать множество программных пакетов для мониторинга сетевого трафика, которые широко доступны и работают на различных типах рабочих станций. Каждый, у кого есть подобное программное обеспечение, может перехваты- перехватывать пароли, секретные (или обидные) сообщения электронной почты и любой другой тип сетевого трафика. Если пользователи, подключенные к сети, являются сотрудниками одного отдела, то крупных катастроф, скорее всего, не случится, однако, если к общему сегменту имеют доступ, пользователи из различных отделов, то могут возникать нежелательные перехваты информации. Если кто-либо из персонала начнет отправлять секретные данные, такие, как информация о зарплатах, фондах, о состоянии здоровья по сети общего доступа, то кто угодно, имея программное обеспечение для мониторинга сети, сможет получить указанную информацию. Глава 5. Виртуальные локальные сети 161
Возможность выполнить описанные выше действия не ограничивается одним сег- сегментом сети. Такие же проблемы могут возникать и в сетях, где множество сегментов объединяются с помощью маршрутизаторов. В сети, показанной на рис. 5.9, бухгал- бухгалтерский отдел подключен к двум изолированным сегментам. Для того, чтобы пользо- пользователи из одного сегмента могли передавать данные пользователям на другом сегмен- сегменте, фреймы должны пройти через сеть технического отдела. При прохождении фрей- фреймов через сегмент сети технического отдела они могут быть перехвачены, а информация использована в корыстных целях. Бухгалтерия Бухгалтерия Технический отдел Рис. 5.9. Проблема безопасности в обычных сетях Один из методов организации сети, который позволяет избежать данной пробле- проблемы, — это переместить всех пользователей бухгалтерского отдела в один сегмент. Та- Такой подход не всегда возможен, поскольку могут существовать пространственные ог- ограничения, которые не позволяют разместить весь бухгалтерский отдел в одном зда- здании. Еще одна причина может быть вызвана ограничением на географическое расположение различных частей бухгалтерского отдела. Пользователи одной части сегмента сети могут находиться на значительном расстоянии от пользователей другой части сегмента. Перемещение пользователей в одно и то же место может означать пе- переезд офиса из одного города в другой. Еще один путь — это заменить бухгалтерию маркетинговым отделом. Действитель- Действительно, кому интересно перехватывать данные маркетингового отдела, кроме ситуации, когда хочется хорошо посмеяться? Бухгалтерия же не имеет права распространять ин- информацию о платежных чеках или данных, которые касаются торговли и других по- попыток заработать деньги. Ясно, что такое решение не является приемлемым. Третий подход связан с применением виртуальных локальных сетей. Сети VLAN позволяют поместить всех пользователей, объединенных по определенному роду дея- деятельности, в один широковещательный домен, и изолировать их от пользователей других широковещательных доменов. Всех пользователей, работающих в бухгалтерии, можно объединить в одну сеть VLAN, независимо от их местонахождения в здании. При этом больше нет необходимости подключать пользователей к сетям в соответст- соответствии с их местоположением. Пользователи могут входить в сети VLAN в соответствии с их функциональными обязанностями. Таким образом, пользователей бухгалтерского отдела можно включить в одну сеть VLAN, пользователей маркетингового отдела — в другую сеть VLAN, а пользователей технического отдела — в третью. При создании сетей VLAN с помощью коммутирующего сетевого устройства соз- создается еще один дополнительный уровень защиты. Коммутаторы передают сетевой трафик так же, как это делают мосты, только в пределах одной сети VLAN. Когда се- сетевая станция передает данные, то фреймы определяются к необходимому получате- получателю. Если фреймы являются одноадресатными фреймами, порты назначения которых 162 Часть I. Фундаментальные аспекты технологий локальных сетей
известны, то коммутаторы не распространяют их всем пользователям, подключенным к сети VLAN (см. рис. 5.10). Станция А Станция Б Рис. 5.10. Распространение известных одноадресатных фреймов в коммутируемой сети Станция А, показанная на рис. 5.10, передает фрейм станции Б, которая подклю- подключена к другому коммутатору Catalyst. Хотя фрейм проходит через несколько коммута- коммутаторов Catalyst, только станция-получатель получает копию фрейма. Коммутатор вы- выполняет фильтрацию фреймов, которые передаются от других станций в зависимости от того, принадлежат ли они одной сети VLAN или различным сетям VLAN. Такая функция коммутатора ограничивает возможность беспорядочно захватывать трафик, повышая тем самым эффективность защиты сетей. Какой трафик все еще можно бу- будет захватывать? Любой, который распространяется в сети VLAN с помощью процесса лавинной передачи. Трафик, который передается с помощью метода лавинной пере- передачи, включает широковещательные сообщения, многоадресатные (multicast) сообще- сообщения и неизвестные одноадресатные фреймы. Следует заметить, что такая функция, как протокол управления группами корпорации Cisco (Cisco Group Management Proto- Protocol — CGMP), при активизации позволяет ограничивать передачу многоадресатных сообщений. Данная технология подробно обсуждается в главе 13, "Многоадресатные и широковещательные службы". Проблема 2: распространение широковещательных сообщений К сожалению, многие (если не все) протоколы создают трафик широковещатель- широковещательных сообщений. Одни протоколы создают больше широковещательного трафика, другие — меньше. Многим правятся персональные компьютеры Macintosh. Однако сетевые администраторы ненавидят их в связи с тем, что они генерируют большой объем трафика широковещательных сообщений. Каждые 10 с маршрутизаторы, рабо- работающие по протоколу AppleTalk, отправляют широковещательные сообщения с об- обновлениями таблиц маршрутизации. Широковещательные сообщения доставляются всем устройствам сети и должны обрабатываться всеми принимающими устройствами. Другие протоколы также вносят свою долю в служебные потоки данных. Например, протокол NetBEUI создает много широковещательных фреймов даже в случае малой активности рабочих станций. Станции, работающие по протоколу TCP/IP, использу- Глава 5. Виртуальные локальные сети 163
ют широковещательные сообщения для обновлений таблиц маршрутизации, сообще- сообщений протокола ARP и других целей. Протокол IPX генерирует широковещательные фреймы для передачи фреймов протоколов SAP и GNS. В дополнение к сказанному многие мультимедийные приложения также создают широковещательные и многоадресатные фреймы, которые распространяются в преде- пределах широковещательного домена. Чем же плохи широковещательные сообщения? Они служат для выполнения ос- основных функций различных протоколов и поэтому их необходимо отнести к наклад- накладным расходам. Широковещательные сообщения редко используются для передачи данных пользователей (исключением являются мультимедийные приложения). Они не переносят данные пользователей, однако занимают пропускную способность сети, что, соответственно, сокращает доступную пропускную способность для передачи по- полезных данных. Широковещательные сообщения влияют на производительность рабочих станций. Любые широковещательные сообщения принимаются рабочими станциями, при этом происходит прерывание работы процессоров, в результате чего выполнение пользова- пользовательских приложений приостанавливается. При увеличении числа широковещатель- широковещательных фреймов, проходящих через интерфейс в течение одной секунды, эффективность использования процессора (CPU) уменьшается. Практически уровень потери эффек- эффективности зависит от приложений, выполняющихся на рабочих станциях, от типа сете- сетевой платы и версий драйверов, от типа операционной системы и аппаратной плат- платформы рабочих станций. Совет Если проблемой сети является большое количество широковещательных сообщений, то ее можно ослабить путем создания более мелких широковещательных доменов, как было показано в главе 2, "Сегментация локальных сетей". При использовании сетей VLAN необходимо создание большего количества сетей VLAN и уменьшение количе- количества устройств, подключенных к каждой виртуальной локальной сети. Эффективность такой процедуры зависит от природы широковещательных сообщений. Если широко- широковещательные запросы приходят только от одного сервера, то, возможно, достаточно просто изолировать сервер в другом широковещательном домене. Если широковеща- широковещательные запросы приходят от различных станций, то создание нескольких доменов может привести к сокращению числа широковещательных фреймов в каждом из них. Проблема 3: использование пропускной способности Когда пользователи подключены к одному сегменту, они совместно используют пропускную способность такого сегмента. Чем больше пользователей подключено к сегменту кабеля общего доступа, тем меньше среднее значение пропускной способно- способности, отведенное каждому пользователю. Если степень совместного использования сети становится очень большой, то пользовательские приложения начинают "голодать". Администраторам тоже приходится несладко, потому что пользователи начинают на- надоедать относительно пропускной способности. Сети VLAN, которые могут быть соз- созданы с помощью коммутирующего коммуникационного оборудования, позволяют вы- выделять пользователям большую пропускную способность, чем это возможно в сетях устаревших типов с совместным доступом к физической среде передачи. 164 Часть I. Фундаментальные аспекты технологий локальных сетей
Каждый порт коммутатора Catalyst работает так же, как и порт обычного моста. Мосты фильтруют трафик, если нет необходимости отправлять его в сегменты, отлич- отличные от сегмента, к которому подключен отправитель. Если фрейму необходимо прой- пройти через мост, то мост перенаправляет фрейм в один необходимый интерфейс, а не в какие-либо другие интерфейсы. Если мост (коммутатор) не имеет информации о том, к какому порту подключено устройство-получатель, то фрейм перенаправляется на все порты, входящие в широковещательный домен (локальную сеть). Совет Хотя каждый порт коммутатора Catalyst работает так же, как и порт моста, тем не ме- менее, существуют исключения. Коммутаторы семейства Catalyst могут работать с груп- групповыми коммутирующими модулями (group switch module), в которых все порты рабо- работают как порты концентратора с разделяемым доступом. Когда устройства подключа- подключаются к портам таких модулей, они совместно используют пропускную способность, как и в случае сети старого типа. Данный модуль необходимо использовать в случае, ко- когда предъявляются высокие требования к плотности разъемов подключения, и при низких требованиях к пропускной способности сети и необходимости подключения к ceTHVLAN. В большинстве обычных ситуаций каждая станция принимает трафик, предназна- предназначенный только ей. Коммутатор фильтрует большую часть остального фонового тра- трафика в сети. Такая ситуация позволяет каждой станции получать полную выделенную пропускную способность для приема и передачи интересующих пользователя фрей- фреймов. В отличие от сети с концентратором разделяемого доступа, в которой только од- одна станция может передавать в любой момент времени, в коммутируемой сети, пока- показанной на рис. 5.11, разрешается выполнение параллельных сеансов передачи данных в пределах одного широковещательного домена, которые происходят без влияния од- одной станции на другую, как в случае принадлежности станций разным широковеща- широковещательным доменам, так и в случае принадлежности одному широковещательному до- домену. Пары станций А/Б, В/Г и Д/Е могут обмениваться друг с другом информацией без какого-либо побочного воздействия на другие взаимодействующие станции. Станция Д Станция Е Станция А Станция Б Ь'-^ШШШ^Ш^^Ш^ Станция Г VLAN1 Рис. 5.11. Параллельная передача данных коммутатором Catalyst Глава 5. Виртуальные локальные сети 165
Проблема 4: задержки при передаче данных через маршрутизаторы В сетях старого типа, как показано на рис. 5.9, пользователи бухгалтерского отдела вынуждены передавать данные друг другу через сегмент технического отдела. При этом фреймы должны пройти через маршрутизаторы. Старые маршрутизаторы, кото- которые осуществляли маршрутизацию с помощью программного обеспечения, обычно были более медленными, чем другие типы коммуникационного оборудования, как, например, коммутаторы и мосты второго уровня. При прохождении фрейма через маршрутизатор он вносит некоторую задержку — время, которое необходимо затра- затратить на передачу фрейма из входного (ingress) порта в выходной (egress) порт. Каждый маршрутизатор, через который проходит фрейм, увеличивает суммарную задержку пе- передачи. Кроме того, каждый перегруженный сетевой сегмент, по которому должен пройти фрейм, также увеличивает задержку передачи. Перемещение пользователей бухгалтерского отдела в одну сеть VLAN устраняет необходимость прохода пакетов через несколько сегментов и маршрутизаторов. Сокращение времени задержки опи- описанным способом позволяет увеличить производительность системы для пользовате- пользователей, особенно, если они используют протоколы с отправкой подтверждений (send- acknowlegde). Протоколы с отправкой подтверждений не отправляют больших порций данных до того времени, пока не будет получено подтверждение о приеме предыду- предыдущей порции данных. Задержки передачи существенно снижают пропускную способ- способность канала при использовании таких протоколов. Если есть возможность исключить прохождение пользовательского трафика через маршрутизаторы путем подключения пользователей к одной сети VLAN, то таким образом можно исключить общую за- задержку передачи данных через маршрутизаторы. Если фреймы должны передаваться через маршрутизаторы, то использование коммутации третьего уровня также позволя- позволяет сократить задержку за счет использования маршрутизаторов. Использование сетей VLAN позволяет уменьшить задержку передачи путем уменьшения загрузки сегмента. Следует ожидать значительного улучшения работы в случае, когда рабочие станции первоначально были подключены к перегруженному сегменту с разделяемой средой передачи данных, а затем каждая рабочая станция ока- оказалась подключенной к выделенному порту коммутатора. Проблема 5: сложные списки контроля доступа Маршрутизаторы Cisco позволяют пользователям применять различные политики контроля трафика в сети. Списки контроля доступа (access list) позволяют контроли- контролировать прохождение трафика в сети с различными уровнями детализации политики управления. С помощью списков контроля доступа можно запретить отдельному пользователю обмениваться данными с другим пользователем, а также запретить пользователям целой сети обмениваться данными с пользователями другой сети или с отдельным пользователем какой-либо сети. Такие возможности могут быть использо- использованы с целью обеспечения безопасности или с целью предотвращения прохождения трафика через определенный сегмент для обеспечения большей пропускной способ- способности такого сегмента. В любом случае работа со списками контроля доступа достаточно обременительна. Списки контроля доступа должны соответствовать правилам, разработанным корпо- корпорацией Cisco, для того, чтобы фильтрация трафика происходила корректно. 166 Часть I. Фундаментальные аспекты технологий локальных сетей
В сети, показанной на рис. 5.9, фильтры на маршрутизаторах могут быть установ- установлены таким образом, чтобы трафик проходил через сегмент технического отдела, од- однако при этом на обмен информацией с любым устройством технического отдела на- наложен запрет. Однако, такой вариант не позволяет избежать того, чтобы служащие технического отдела не могли осуществлять мониторинг трафика, а только лишь пре- предотвращает возможность прямого обмена трафиком между устройствами технического отдела и бухгалтерии. Пользователи бухгалтерского отдела никогда не смогут перехва- перехватывать трафик технического отдела, однако техническому отделу доступен весь прохо- проходящий трафик бухгалтерии (бухгалтеры скажут, что это нечестно!). Сети VLAN позволяют решить существующую проблему путем помещения всех пользователей бухгалтерского отдела в одну сеть VLAN. Таким образом, не будет не- необходимости передавать трафик через маршрутизаторы для того, чтобы пользователи, подключенные к одной сети VLAN, могли обмениваться информацией. Такое реше- решение также позволяет упростить разработку списков контроля доступа, т.к. сети теперь можно считать группами пользователей с одинаковыми правами. Неверные мотивации необходимости использования сетей VLAN Одна из самых обших мотиваций необходимости использования сетей VLAN обычно связана с тем, что сетевые администраторы, когда слышат слово "VLAN", входят в состояние приятного возбуждения. К сожалению, жизнь очень быстро вскрывает все ошибочные мотивации, вызванные нездоровым энтузиазмом. Появле- Появление технологии сетей VLAN привело к тому, что многие специалисты начали верить в то, что жизнь сетевых администраторов станет проще. Они думали, что сети VLAN позволяют обойтись без маршрутизаторов, что все пользователи могут быть подклю- подключены к одной большой несегментированной локальной сети, и что они смогут уходить домой в пять часов вечера, как и все остальные сотрудники офиса. Оказалось, что это не так. Сети VLAN не позволяют обойтись без устройств третьего уровня. Они позво- позволяют более просто решать некоторые задачи третьего уровня, такие, как возможность разработки более простых списков контроля доступа. Однако, маршрутизация третьего уровня все еще существует. Пожалуй, применение технологии VLAN делает сети даже более сложными из-за того, что в системе появляется протокол распределенного связующего дерева и поня- понятие широковещательного домена несколько размывается. Протокол распределенного связующего дерева (он более подробно описан в главах 6 и 7) увеличивает объем фо- фонового трафика из-за необходимости лавинной передачи пакетов hello-сообщений (hello-пакеты сообщений BPDU) в системе через каждые 2 с. Несмотря на то, что hello-сообщения существенно не используют пропускную способность сети, тем не менее, они существенно усложняют задачи анализа параметров сети. Может возник- возникнуть необходимость в фильтрации таких сообщений для того, чтобы выделить кри- критичный для поиска неисправностей трафик. Более существенный элемент, связанный с технологией VLAN и делающий сеть более сложной, — это необходимость выбора корневого моста (Root Bridge). Корневым мостом является одно из устройств, входя- входящих в структуру распределенного связующего дерева, вокруг такого устройства и "вращаются" все остальные компоненты сети. В зависимости от положения корневого моста в сети трафик не всегда может передаваться по наиболее оптимальным соеди- соединениям. Трафик может передаваться и по субоптимальным маршрутам как в плане Глава 5. Виртуальные локальные сети 167
пропускной способности, так и в плане количества транзитных узлов на пути следо- следования потоков данных. Сетевым администраторам может потребоваться корректиров- корректировка значений, стандартно используемых в протоколе распределенного связующего де- дерева для того, чтобы выбор корневого моста был оптимальным. Стандартно выбор корневого моста происходит в соответствии со значениями МАС-адресов мостов, од- однако такой способ действия не является обязательным. Корневым мостом выбирается устройство с наименьшим значением МАС-адреса. Такое утверждение означает, что выбор одного и того же корневого моста повторяется каждый раз после включения питания в системе, если при этом в системе не были установлены новые мосты с меньшими значениями МАС-адресов или не были изменены стандартные значения параметров. За подробной информацией о протоколе распределенного связующего дерева и процедуре выбора корневого моста обратитесь к главам 6, "Основы протоко- протокола распределенного связующего дерева", и 7, "Расширенные возможности протокола распределенного связующего дерева". Описанные выше соображения не означают, что сети VLAN не нужно использо- использовать. Они только подчеркивают, что необходимо принимать во внимание не только то, зачем, но и как нужно разворачивать сети VLAN. Все сети являются хорошими кандидатами на то, чтобы в них использовать технологии коммутации и технологии VLAN. Коммутируемая сеть может содержать всего лишь одну сеть VLAN, но такая сеть тоже является полноправной сетью, работающей по технологии VLAN. Однако, в такой системе необходимо подумать о возможности уменьшения размеров сети VLAN. Как указывалось ранее, применение одной сети VLAN позволяет увеличить пропускную способность сети в целом, однако при этом обычно страдают такие ха- характеристики, как практичность и масштабируемость инфраструктуры. Небольшие островки сетей VLAN, объединенные с помощью устройств третьего уровня, обыч- обычно в крупномасштабных структурах реализуются значительно проще и при этом также позволяют получать преимущества сетей VLAN второго уровня в пределах каждой рабочей области. Перемещение пользователей в сетях VLAN Использование сетей VLAN позволяет уменьшить количество проблем, связанных с перемещением пользователя в сетях старого типа. При перемещении пользователей в обычных сетях необходимо учесть множество факторов. В сетях VLAN некоторые из таких факторов попросту исчезают. Рассмотрим пример, показанный на рис. 5.12. На рис. 5.12 показано, что станция А подключена к сети А старого типа. Высоко- Высокообразованный, талантливый и умный начальник пользователя решил, что ему (пользователю) необходимо перебираться на новое место. Администратор сети в такой ситуации обычно интересуется мотивациями необходимости такого перемещения и, как правило, узнает от вышестоящего начальства, что: "Это не его дело!", что являет- является короткой формулировкой фразы: "У меня нет других занятий, кроме как менять расположение рабочих мест служащих". Прилежный администратор сети после такого объяснения сразу понимает всю важность задания и садится разрабатывать план пе- перемещения. 168 Часть I. Фундаментальные аспекты технологий локальных сетей
Станция А Рис. 5.12. Перемещение пользователя в обычной сети Перемещение сетевых пользователей с точки зрения модели OSI В начале 1990-х годов все развитие сетевых технологий, в основном, было направ- направлено на исключение маршрутизаторов из сетей и создание одной большой, несегмен- тированой локальной сети, объединенной с помощью мостов. Такая структура назы- называется сквозной сетью VLAN (end-to-end VLAN). Мотивация использования такого ти- типа сети рассматривается ниже в текущем разделе. Необходимо сразу заметить: опыт работы со сквозными сетями VLAN показывает, что они плохо масштабируются и за- заставляют потребителей снова переходить к использованию сетевых маршрутизаторов. Одна из основных проблем масштабирования связана с протоколом распределенного связующего дерева. Сегодня рекомендации по проектированию включают использо- использование сетей VLAN в небольших локальных областях и применение коммутации или маршрутизации третьего уровня между этими небольшими областями. В части V дан- данной книги, "Современное проектирование и реализация территориальных сетей", бо- более подробно обсуждаются различные подходы к разработке сетей. Даже если реали- реализация сквозной модели не представляется возможной, то указанные мотивации также применимы к сетям меньшего размера. Именно по этой причине данный раздел по- посвящен основным преимуществам сквозных сетей VLAN. Какие факторы необходимо учесть, чтобы упростить перемещение пользователей внутри сети? Многие факторы связаны со всеми уровнями модели OSI, начиная с первого уровня (физического) и заканчивая седьмым (и последним) уровнем модели Глава 5. Виртуальные локальные сети 169
(приложений). При рассмотрении проблемы следует игнорировать уровень 8 (финансовый), уровень 9 (политический) и уровень 10 (религиозный), поскольку они официально не включены в модель OSI. В табл. 5.3 приведено резюме по некоторым важным факторам, влияющим на про- простоту перемещения пользователей в сети. Таблица 5.3. Факторы, влияющие на перемещения пользователей в сетях % :;-;; :.r:'i'y'S"' старого типа Фактор Описание Уровень 1 Расстояние до сетевого концентратора Тип физической среды передачи данных Наличие свободных пор- портов Скорость соединений Новое рабочее место служащего может находиться далеко от существующих се- сетей. Необходимо расширять сеть или создавать новую В рабочей станции пользователя уже имеется установленный сетевой адаптер. Совместим ли данный адаптер с оборудованием, установленным на новом рабо- рабочем месте, с точки зрения типа физической среды передачи? Используется ли на новом месте кабель категории 5, оптическое волокно, коаксиальный кабель или какой-либо другой тип физической среды передачи? Существуют ли свободные или имеется ли возможность установить дополни- дополнительные порты на оборудовании, находящемся в новом месте работы, чтобы пользователь мог ими воспользоваться? Может ли концентратор и сегменты сети, установленные на новом месте, обес- обеспечить пропускную способность, необходимую для работы пользователя? Уровень 2 Метод доступа к физиче- физической среде передачи Совместимость сетевых адаптеров Установлена ли на новом рабочем месте сеть того же типа, к какому принадле- принадлежит сеть на старом месте? Работает ли сеть на старом/новом рабочем месте по технологии Ethernet, Fast Ethernet, Token Ring, FDDI или по какой-либо другой технологии? Является ли используемый сетевой адаптер совместимым с сетевым оборудова- оборудованием, установленным на новом рабочем месте? Уровень 3 Логический адрес Стандартный шлюз (default gateway) Брандмауэр/список кон- контроля доступа (firewall/access lists) На новом рабочем месте может потребоваться назначение пользователю нового адреса, связанного с протоколом обмена данными Для рабочей станции пользователя может потребоваться реконфигурация адреса шлюза При перемещении пользователя может возникнуть необходимость модификации списков контроля доступа и конфигурации брандмауэра на маршрутизаторе для того, чтобы пользователь мог воспользоваться ресурсами, необходимыми для его работы Более высокие уровни Необходимая пропускная способность для различ- различных ресурсов Факторы уровня 1 включают такой параметр, как скорость соединения. Данное утверждение относится только к местным соединениям. Тем не менее, ресурсы, необходимые пользователю, могут находиться в других сегментах сети, что тре- требует прохождения трафика через несколько сегментов. Позволяют ли все сег- сегменты, через которые проходит трафик, обеспечить необходимую пропускную способность для пользовательских приложений? 170 Часть I. Фундаментальные аспекты технологий локальных сетей
При перемещении пользователей в системах, где установлены сети старого типа, необходимо учитывать все описанные выше факторы. Факторы первого и второго уровней могут быть причиной возникновения нежелательных ситуаций, таких, как необходимость перевода пользователя с технологии Ethernet на технологию Token Ring, если на новом месте применяется соответствующий метод доступа к фи- физической среде передачи. Данный факт также заставляет задуматься о совместимости с протоколами более высокого уровня. При необходимости подключения к сети но- нового типа необходима также замена сетевого интерфейсного адаптера и соответст- соответствующих драйверов. В большинстве случаев считается, что драйверы совместимы с протоколами более высокого уровня, но именно в пятницу, в пять часов вечера, мо- может выясниться, что это не так. Может оказаться, что для подключения нового рабочего места необходимо исполь- использовать оптическое волокно, поскольку расстояние до ближайшего концентратора очень велико. Кроме того, использование волоконно-оптической линии передачи не- необходимо из-за того, что кабель должен быть проложен в помещении с высоким уровнем электрических шумов. Возможно, при изменении местоположения рабочего места пользователя потребу- потребуется установка новых концентраторов или коммутаторов в связи с тем, что интерфей- интерфейсы всех остальных устройств уже заняты. При установке нового повторителя или кон- концентратора необходимо удостовериться, что не превышен максимально допустимый размер домена коллизий. При установке нового коммутатора необходимо правильно сконфигурировать установки сетей VLAN и другие важные параметры. Несмотря на то, что факторы, относящиеся к различным уровням эталонной мо- модели OSI, являются причинами головной боли администраторов, факторы третьего уровня являются причинами досадных мигреней. Эти факторы являются самыми сложными, т.к. они требуют частых изменений конфигурационных файлов. При пе- перемещении пользователя он может оказаться подключенным к совершенно другой логической сети, чем это имело место на старом рабочем месте. В таком случае адми- администратору потенциально необходимо произвести достаточно много операций. На- Например, поскольку пользователь теперь подключен к новой логической сети, необхо- необходимо изменить адрес его рабочей станции. Уменьшить прилагаемые усилия в таком случае можно при использовании протокола динамической конфигурации узла (Dynamic Host Configuration Protocol — DHCP), который позволяет автоматически получать IP-адрес и работает даже в случае перемещения пользователя из одной сети VLAN в другую. Еще более досадной может стать необходимость конфигурации устройств, связан- связанных с политикой доступа, для того, чтобы станция с новым адресом была в состоянии воспользоваться теми же службами, которые пользователь использовал до переезда. Например, может потребоваться изменение списков контроля доступа на маршрутиза- маршрутизаторах для того, чтобы фреймы, отправляемые станцией пользователя, могли пройти через сеть и достичь файлового сервера. При этом следует помнить, что списки кон- контроля доступа обрабатываются маршрутизаторами сверху вниз последовательно, и об- обработка прекращается, как только возникло совпадение с каким-либо правилом. Та- Таким образом, необходимо удостовериться, что новая запись в списке контроля досту- доступа находится в правильном месте и что список контроля доступа будет обработан правильно. Если между станцией и необходимыми ресурсами работают какие-либо устройства, выполняющие функцию межсетевого экрана (firewall), необходимо гаран- гарантировать, что его установки разрешают доступ к ресурсам. Глава 5. Виртуальные локальные сети 171
Еще один вопрос, который необходимо учитывать, связан с комбинацией факто- факторов нижних и верхних уровней. Какую пропускную способность требуют пользова- пользовательские приложения? Сможет ли существующая сеть обеспечить необходимую про- пропускную способность на всех маршрутах, по которым должен пройти фрейм? Если нет, то перед администратором может встать проблема серьезной перестройки сети. Использование сетей VLAN для избежания проблем, связанных с широковещательными доменами Рассмотрим сеть, аналогичную описанной выше, но реализованную не с помощью старых методов, а с использованием коммутаторов Catalyst. При использовании ком- коммутаторов Catalyst, как показано на рис. 5.13, существует возможность реализовать се- сети VLAN для создания распределенных широковещательных доменов или для их ог- ограничения. При использовании сетей VLAN некоторые факторы, приведенные в табл. 5.13, становятся несущественными при перемещении пользователя из одного местоположения сети в другое. Станция А Рис. 5.13. Коммутируемый вариант сети, показанной на рис. 5.12 Сети VLAN не позволяют исключить ряд факторов, связанных с первым и вторым уровнями эталонной модели OSI. При этом все еще необходимо обеспечить доступ- 172 Часть I. Фундаментальные аспекты технологий локальных сетей
ность портов, согласование типов физической среды передачи и метода доступа к ней, а также учесть расстояние от рабочей станции до коммутатора. О факторах верхних уровней, таких, как пропускная способность каналов на пути к ресурсам, также необходимо позаботиться. Коммутируемая сеть не позволяет пол- полностью гарантировать необходимое значение пропускной способности. Однако при использовании такой системы существуют гибкие альтернативы, которые позволяют повысить пропускную способность каналов между коммутаторами без необходимости перестройки всей структуры сети. Например, можно установить большее количество каналов связи между коммутаторами Catalyst или использовать соединения с более высокой скоростью передачи (возможности выбора соединений между коммутаторами Catalyst рассматриваются в главе 8, "Технологии и приложения магистральных соеди- соединений"). Модернизация каналов передачи данных для получения большей пропуск- пропускной способности не требует установки новой аппаратуры, в которой используется другой метод доступа к физической среде передачи. Существует возможность доста- достаточно просто и прозрачным для пользователей способом модернизировать систему со скоростью передачи 10 Мбит/с до системы, в которой используются технологии Fast Ethernet и Gigabit Ethernet. Очевидно, что такие же решения существуют и для маршрутизаторов, однако в этом случае может не существовать возможность получе- получения большой плотности портов для подключения большого количества станций. Применение сетей VLAN непосредственно не позволяют уменьшить сложности, возникающие в сетях старого типа и связанные с нижними или верхними уровнями модели OSI. Они только позволяют пользовательским рабочим станциям получать большую пропускную способность при работе с коммутирующим оборудованием, поддерживающим сети VLAN. Зачем же тогда нужно использовать сети VLAN? У них есть и полезные качества. В системе, где используются виртуальные локальные сети, факторы третьего уровня могут не учитываться так же, как это необходимо делать при работе с сетями старого типа. При перемещении пользователя в сети, показанной на рис. 5.13, можно сконфигурировать порт коммутатора на новом рабочем месте таким образом, чтобы пользователь также принадлежал той же самой сети VLAN, что и на старом рабочем месте. Такая возможность позволяет пользователю остаться в том же широковещательном домене. Поскольку пользователь остается подключенным в пре- пределах одного и того же широковещательного домена, то маршрутизаторы и устройст- устройства, выполняющие функцию межсетевого экрана, работают с данными пользователя так, как если бы он все время находился в пределах одной сети, несмотря на то, что физическая точка подключения пользователя изменилась. Такая возможность позво- позволяет исключить необходимость решения задач, возникающих на третьем уровне эта- эталонной модели, таких, как изменение адресов узлов при переходе на новое рабочее место, и оставить конфигурацию межсетевого экрана и списков контроля доступа без изменений. Описанный подход к разработке сетей, основанный на применении сетей VLAN, иногда называют методом сквозных сетей VLAN (end-to-end VLANs), методом повсеме- повсеместных сетей VLAN (VLANs everywhere) или методом распределенных сетей VLAN (distributed VLAN). Данный метод имеет существенное преимущество, позволяя поль- пользователю оставаться в пределах одного широковещательного домена независимо от физического местоположения. Несмотря на то, что такой подход кажется очень хо- хорошим, он имеет свои недостатки (увы, ничто не бывает на самом деле таким хоро- хорошим, каким кажется). Проблемы начинают возникать при увеличении размеров сети. При добавлении большого количества коммутаторов Catalyst в инфраструктуру в ней Глава 5. Виртуальные локальные сети 173
появляется большее количество мостов, которые усложняют топологию распределен- распределенного связующего дерева. Об этом упомянуто в предыдущем разделе. Использование механизмов распределения третьего уровня для управления доступом к сети и балансировки нагрузки Существует альтернативный подход к использованию сетей VLAN, который по- потенциально позволяет уменьшить проблемы, связанные с протоколом распределен- распределенного связующего дерева. Некоторые разработчики сетей используют подход, который заключается в использовании третьего уровня модели OSI в качестве распределитель- распределительного (distribution) и магистрального (backbone) уровней сети и использовании уст- устройств второго уровня модели OSI для создания уровня доступа (access). На рис. 5.14 показана общая схема такой сети. В данной системе для пользовательских сегментов используются коммутаторы второго уровня, а для сегментов уровня распределения и магистрального уровня — коммутаторы третьего уровня, такие, как устройства серий Catalyst 6000 и Catalyst 8500. Базовый уровень Уровень распределения Уровень доступа Рис. 5.14. Проектирование коммутируемой сети на третьем уровне модели OSI 174 Часть I. Фундаментальные аспекты технологий локальных сетей
В части V, "Современное проектирование и реализация территориальных сетей", этой книги описана философия проектирования сетей VLAN. Один из возможных под- подходов к процессу создания инфраструктуры — проектирование механизма распределе- распределения данных на третьем уровне — минимизирует размер структуры распределенного свя- связующего дерева и размер топологии сети, поскольку протокол распределенного связую- связующего дерева ограничивается пределами зон, в которые входят устройства уровня доступа. Каждая зона уровня доступа может соответствовать одному этажу, как показано на рис. 5.15. Каждый этаж имеет свою сеть уровня доступа. Пользователи одного этажа совместно используют сеть уровня доступа независимо от того, к какой группе они при- принадлежат. Технический отдел и бухгалтерия могут совместно использовать одну сеть VLAN. При необходимости сеть уровня доступа может быть разделена на пару сетей VLAN, чтобы обеспечить изоляцию между пользователями разных отделов. Еще одним свойством такого варианта проектирования сети является возможность обеспечения ба- балансирования нагрузки, которую не так легко осуществить посредством проектирования на втором уровне. Описанные преимущества приводят к тому, что многие сетевые ин- инженеры избегают подхода к построению сети, основанного на сквозных сетях VLAN, и склоняются к разработке инфраструктуры сети на третьем уровне. Рис. 5.15. Разработка сети здания на основе технологий третьего уровня Глава 5. Виртуальные локальные сети 175
Исторически основные подходы к проектированию сети колебались от идей ис- использования структуры сети, основанной на механизмах второго уровня, к проекти- проектированию на основе механизмов третьего уровня, затем обратно к проектированию сетей на устройствах второго уровня, и сейчас снова происходит возврат к проекти- проектированию на третьем уровне эталонной модели OSI. Наиболее простые сети соответ- соответствуют второму уровню эталонной модели. В некоторый момент кто-то из специа- специалистов понял, что такие сети масштабируются не очень хорошо и что существует необходимость соединять сегменты второго уровня друг с другом. Таким образом, были изобретены маршрутизаторы. Вскоре весь мир начал использовать маршрути- маршрутизаторы. Но поскольку маршрутизаторы были медленные, разработчики начали об- обращать внимание на высокопроизводительные мосты для того, чтобы можно было соединять сети больших размеров. Такая необходимость послужила причиной "наступления" коммутаторов, которое началось в конце 1980-х — начале 1990-х го- годов. До сегодняшнего дня построение коммутируемых сетей на втором уровне эта- эталонной модели OSI является наиболее доминирующим методом проектирования. Затем пришло понимание того, что сети второго уровня большого размера приводят к появлению других проблем, в то время как скорость работы маршрутизаторов с начала 1990-х годов значительно возросла. Инженеры пересмотрели подходы к про- проектированию сетей уровня распределения и магистрального уровня, связанные с уровнем 3 модели OSI, и начали склоняться к тому, что проектирование на третьем уровне является более желательным подходом. Однако такой подход при непра- неправильной реализации может снова возродить недостатки, связанные со сложностями разработки сетей, исходя из возможностей третьего уровня, как это имело место при использовании сетей старого типа. Конфигурирование сетей VLAN в коммутаторах Catalyst Некоторые устройства назначают принадлежность станций к сетям VLAN в соот- соответствии со значениями их МАС-адресов. В коммутаторах Catalyst используется дру- другой подход, а именно: назначение портов в принадлежность к сетям VLAN. Любое устройство, подключенное к порту коммутатора Catalyst, принадлежит сети VLAN в соответствии с описанием, которое осуществляется с помощью интерфейса команд- командной сроки коммутатора. Даже если к порту подключен концентратор разделяемого доступа, то все равно все станции, подключенные к концентратору, принадлежат од- одной сети VLAN. Данный подход к организации сетей VLAN называется построением виртуальных локальных сетей на портовой основе (port-centric). Для конфигурации се- сетей VLAN в коммутаторах Catalyst вначале необходимо составить план принадлежно- принадлежности станций к сетям VLAN и правильно привязать порты к ним. Планирование при- принадлежности узлов к определенным виртуальным сетям включает знание того, какие сети третьего уровня должны принадлежать сети VLAN, какой необходим тип соеди- соединений между сетями VLAN и где сети VLAN должны подключаться к уровню распре- распределения. Необходимо ли при реализации структуры использовать сквозные сети VLAN или использовать подход третьего уровня? После завершения всех стадий пла- планирования остается только создать сами сети VLAN. 176 Часть I. Фундаментальные аспекты технологий локальных сетей
Планирование сетей VLAN Перед тем, как активизировать новую конфигурацию сетей VLAN, необходимо четко себе представлять, что именно необходимо сделать и как новые действия ска- скажутся на других сетях VLAN или рабочих станциях, которые уже существуют в систе- системе. На данной стадии планирование, в основном, должно концентрироваться вокруг факторов третьего уровня. Какие типы сетей должны поддерживаться в системе VLAN? Необходимо ли в сети VLAN использовать более одного протокола? Посколь- Поскольку каждая сеть VLAN соответствует широковещательному домену, то существует воз- возможность поддержки нескольких протоколов в сети VLAN. Однако каждому протоко- протоколу может соответствовать только одна сеть в системе VLAN. Система, состоящая из нескольких коммутаторов, как в случае, показанном на рис. 5.16, может содержать несколько сетей VLAN. Сеть 100,200,300 Сеть 200,300 Сеть 300 СетЫ00,200,300 Сеть 100 Сеть 200 Сеть 300 СетЫР 172.16.10.0 СетЫР 172.16.20.0 Сеть IP 172.16.30.0 СетЫРХЮО Сеть IPX 200 Сеть IPX 300 Рис. 5.16. Типичное использование сетевых адресов в сетях VLAN Каждая сеть VLAN, показанная на рис. 5.16, поддерживает несколько протоколов. Для связи сетей друг с другом информация должна передаваться через маршрутизатор. Маршрутизатор, показанный на ответвлении сети, используется для соединения сетей друг с другом. В примере 5.1 показан конфигурационный файл такого маршрутизатора. Пример 5.1. Файл конфигурации маршрутизатора, показанного на рис. 5.16 I interface fastethernet 2/0.1 ip address 172.16.10.1 255.255.255.0 ipx network 100 encapsulation isl 100 interface fastethernet 2/0.2 ip address 172.16.20.1 255.255.255.0 ipx network 200 encapsulation isl 200 interface fastethernet 2/0.3 ip address 172.16.30.1 255.255.255.0 encapsulation isl 300 Глава 5. Виртуальные локальные сети 177
В примере 5.1 показано, что между коммутатором и маршрутизатором установлено магистральное соединение (trunk). Магистральные соединения и инкапсуляция прото- протокола межкоммутаторного канала (Inter-Switch Link — ISL) более подробно обсужда- обсуждаются в главе 8, "Технологии и приложения магистральных соединений". Магистраль- Магистральные соединения позволяют осуществлять передачу трафика более чем одной сети VLAN по одному физическому соединению. Команда encapsulation isl, показан- показанная в примере 5.1, указывает маршрутизатору на необходимость использовать прото- протокол ISL для того, чтобы осуществлять взаимодействие между широковещательными доменами, в которые входит каждый отдельный подынтерфейс. Следует заметить, что в конфигурации маршрутизатора используются логические подынтерфейсы. Обычно на маршрутизаторе каждому интерфейсу назначается один адрес для каждого прото- протокола. Однако, если необходимо, чтобы один интерфейс виделся для протоколов мар- маршрутизации как несколько интерфейсов, то в таких случаях можно использовать не- несколько подынтерфейсов, например, когда необходимо создать магистральное соеди- соединение между коммутатором Catalyst и маршрутизатором, как это показано в примере 5.1. Маршрутизатору необходимо идентифицировать различные широкове- широковещательные домены, соответствующие различным сетям VLAN, данные которых пере- передаются по магистрали. В маршрутизаторах Cisco для построения магистрали используется подход на осно- основе подынтерфейсов, чтобы заставить маршрутизатор использовать один физический интерфейс как несколько физических интерфейсов. Каждый подынтерфейс определя- определяет новый широковещательный домен, соответствующий одному физическому интер- интерфейсу, который может принадлежать к своей сети протокола IP, даже в случае, когда все подынтерфейсы принадлежат одному главному (major) интерфейсу. В конфигура- конфигурации, приведенной в примере 5.1, используются три подынтерфейса, т.е. один физиче- физический интерфейс (главный интерфейс) interface fastethernet 2/0 в действитель- действительности представляет собой три физических интерфейса и соответствует трем широко- широковещательным доменам. Каждый из них входит в различную сеть IP. Для маршрутизаторов Cisco подынтерфейсы легко определяются, поскольку в описании главного интерфейса для них используется запись в виде .х. Например, подынтер- подынтерфейс 3 в примере 5.1 определяется как int fastethernet 2/0.3, где .3 задает по- подынтерфейс, соответствующий главному интерфейсу. Принципы конфигурирования с использованием подынтерфейсов снова возникают при конфигурации протоколов LANE и МРОА для маршрутизаторов и модулей ATM коммутаторов Catalyst. Какие из сетей, показанных в примере 5.1, являются изолированными друг от друга? Сеть протокола IPX с номером 300 является изолированной, поскольку в кон- конфигурации маршрутизатора данная сеть не определена для других интерфейсов. Иногда физическая конфигурация сети может сбивать с толку. Наиболее частый вопрос, который задают на занятиях в классе и на консультациях: "Можно ли это сделать с помощью сетей VLAN?". Часто ответ может быть найден путем представле- представления логической конфигурации сетей VLAN. На рис. 5.16 показана физическая топо- топология сети, на рис. 5.17 — показана та же сеть, но ее структура представлена так, что- чтобы легко было увидеть логические соединения. На рисунке каждая сеть VLAN заме- заменена линией, которая маркируется номерами сетей, связанных с каждой сетью VLAN. Такое более традиционное представление помогает при проектировании и использо- использовании сетей VLAN, поскольку сети и их компоненты показаны вместе с их логиче- логическими взаимоотношениями. 178 Часть I. Фундаментальные аспекты технологий локальных сетей
172.16.30.1 Сеть IPX 100 172.16.20.1 Сеть IPX 200 CeTbVLAN 100 СетЫР 172.16.10.0 Сеть! РХ100 CeTbVLAN 100 Сеть1Р 172.16.20.0 СетЫРХ200 CeTbVLAN 300 СетЫР 172.16.30.0 Сеть IPX 300 Рис. 5.17. Логическая структура сети, показанной на рис. 5.16 На рис. 5.18 показана другая конфигурация сети, в которой две сети VLAN соот- соответствуют одной сети протокола IP. Ничто не запрещает реализовать такую конфигу- конфигурацию, кроме того, она полностью корректна. Однако, для большинства сетей такая конфигурация не рекомендуется, поскольку она соответствует одной сети, распро- распространяющейся на два логических сегмента. CeTbVLAN 100,200 CeTbVLAN 100,200 CeTbVLAN 100, СетЫР 172.16.100.0 CeTbVLAN200, СетЫР 172.16.100.0 Рис. 5.18. Перекрывающиеся сети протокола IP Такая сеть может быть представлена так, как это показано на рис. 5.19, из кото- которого становится ясно, что существуют два изолированных широковещательных доме- домена. До тех пор, пока две сети не соединены с помощью маршрутизатора, такая кон- конфигурация полностью корректна. Почему они не могут быть соединены с помощью маршрутизатора? Потому что объединение требует, чтобы у маршрутизатора были два интерфейса, принадлежащих одной подсети протокола IP. Реализовать такую конфи- конфигурацию двух интерфейсов на маршрутизаторе невозможно. CeTbVLAN 100 172.16.10.0 CeTbVLAN 200 172.16.10.0 Рис. 5.19. Логическая структура сети, показанной на рис. 5.18 На схемах логических соединений теряется информация о физических каналах, которая является важной для планирования пропускной способности сети. Например, исходя из рис. 5.19, можно поверить, что все устройства сети VLAN 100 могут полно- полностью использовать всю пропускную способность, которую обеспечивают компоненты сети. Точно так же можно в это поверить и для сети VLAN 200. Однако, исходя из физической схемы, показанной на рис. 5.18, становится ясно, что обе сети VLAN со- совместно используют соединение между коммутаторами. Такое соединение должно быть только с разделяемой пропускной способностью, что совершенно не следует из логического представления сети. Глава 5. Виртуальные локальные сети 179
Совет Для устранения неисправностей, связанных с факторами третьего уровня, лучше все- всего использовать логическое представление сети, а для устранения проблем, связан- связанных с уровнем 2, лучше использовать физические схемы сети. Создание сетей VLAN Создание сети VLAN включает в себя этапы, которые приведены ниже. Этап 1. Назначить принадлежность коммутатора Catalyst домену VTP. Этап 2. Создать сеть VLAN. Этап 3. Связать порты с сетью VLAN. Для упрощения процесса создания, удаления и работы с сетями VLAN в коммута- коммутаторах Catalyst корпорация Cisco разработала протокол, называемый магистральным протоколом сетей VLAN (VLAN Trunking Protocol — VTP). В главе 12, "Протокол магистральных каналов виртуальных локальных сетей", особенности протокола VTP рассмотрены более подробно. Однако сейчас будет необходимо привести краткий об- обзор данного протокола. Сеть с коммутаторами Catalyst может быть разбита па домены, управляемые по протоколу VTP (VTP management domain) для того, чтобы облегчить некоторые задачи конфигурации и управления. Домены, управляемые по протоколу VTP, являются грубой аналогией автономных систем в маршрутизируемых сетях, когда группа устройств совместно использует не- некоторые атрибуты. Коммутаторы Catalyst, принадлежащие одному домену VTP, совме- совместно используют информацию о сетях VLAN. Для того, чтобы получить возможность создавать сети VLAN, необходимо, чтобы коммутатор Catalyst принадлежал какому- либо домену VTP. Для создания сетей VLAN коммутатор Catalyst должен быть скон- сконфигурирован в режиме сервера (server mode) или в прозрачном режиме (transparent mode). Стандартно коммутатор Catalyst работает в режиме сервера. Описание режимов работы и формата команд, необходимых для их установки, приведены в главе 12, "Протокол магистральных каналов виртуальных локальных сетей". Конфигурация принадлежности коммутатора Catalyst домену VTP может быть ус- установлена с помощью команды set vtp domain domain_name. Каждый домен дол- должен иметь уникальный идентификатор в виде текстовой строки. Заметим, что имя домена является чувствительным к регистру символов. Таким образом, имя домена Cisco не является совпадающим с именем cisco. Другие правила, которые необходимо учитывать при работе с доменами VTP, также описаны в главе 12. При создании или удалении сети VLAN коммутаторы Catalyst передают с помо- помощью протокола VTP информацию об изменении состояния сети VLAN другим комму- коммутаторам Catalyst, которые входят в общий домен VTP. В том случае, когда какой-либо коммутатор Catalyst, который входит в домен VTP и сконфигурирован как сервер или как клиент, получает данную информацию, он автоматически модифицирует свой список сетей VLAN. Такой метод работы спасает от необходимости повторять коман- команды по созданию одной и той же сети VLAN на всех коммутаторах Catalyst, входящих в один домен. Стоит создать сеть VLAN на одном коммутаторе Catalyst, и все коммута- коммутаторы Catalyst, принадлежащие одному домену, автоматически "узнают" о том, что создана новая сеть VLAN. Исключением из правила являются те коммутаторы, кото- которые работают в прозрачном режиме: они игнорируют сообщения протокола VTP. 180 Часть I. Фундаментальные аспекты технологий локальных сетей
Коммутаторы Catalyst, работающие в прозрачном режиме, могут использовать только информацию из своей локальной конфигурации. После того, как коммутатор Catalyst становится членом указанного домена VTP, можно создавать сети VLAN. Для создания сети VLAN в коммутаторе Catalyst необхо- необходимо воспользоваться командой set vlan. В примере 5.2 показаны три попытки соз- создания сети VLAN с номером 2. Следует обратить внимание, что при второй попытке коммутатор Catalyst возвращает ошибку создания сети VLAN, как показано в выводи- выводимой информации, выделенной полужирным шрифтом. Ошибка произошла потому, что коммутатор Catalyst не был включен в домен управления по протоколу VTP. Только после того, как коммутатор Catalyst оказывается включенным в домен VTP, он позволяет создать сеть VLAN. Каково имя домена VTP, к которому подключен ком- коммутатор Catalyst? Коммутатор Catalyst принадлежит домену с именем wa/fy. Пример 5.2. Результат выполнения команды set vlan Console> (enable) set vlan 2 willitwork Usage: set vlan <vlan_num> [name <name>] [type <type>] [state <state>] [said <said>] [mtu <mtu>] [ring <ring_number>] [bridge <bridge_number>] [parent <vlan_num>] [mode <bridge_mode>] [stp <stp_type>] [translation <vlan_num>] [backupcrf <off|on>] [aremaxhop <hopcount>] [stemaxhop <hopcount>] (name = 1..32 characters, state = (active, suspend) type = (ethernet, fddi, fddinet, trcrf, trbrf) said = 1..4294967294, mtu = 576..18190, ringjiumber = OxL.Oxfff bridge_number = 0x1..Oxf, parent = 2..1005, mode = (srt, srb) stp = (ieee, ibm, auto), translation = 1. .1005 hopcount = 1..13) Console> (enable) set vlan 2 name willitwork Cannot add/modify VLANs on a VTP server without a domain name. Console> (enable) Console> (enable) set vtp domain wally VTP domain wally modified Console> (enable) set vlan 2 willitwork Vlan 2 configuration successful Console> (enable) Следует заметить, что информация по использованию команды указывает на то, что минимальное количество вводимых параметров, необходимых для создания сети VLAN, включает всего один параметр — номер сети VLAN. Могут быть также указа- указаны необязательные сведения: имя сети VLAN, ее тип и другие параметры. Существует множество дополнительных параметров, необходимых для конфигурации поддержки коммутаторами Catalyst сетей VLAN для работы в рамках технологий Token Ring или FDDI. Если имя сети VLAN не указано, то коммутатор Catalyst назначает ей стан- стандартное имя VLAN#. Если не указан тип сети VLAN, коммутатор использует для кон- конфигурации тип Ethernet-сеть VLAN. Назначение имени сети VLAN не влияет на про- производительность коммутатора Catalyst или сети VLAN. При правильном использова- использовании имя позволяет документировать сети VLAN и позволяет администратору вспомнить, для чего сеть VLAN была создана. Для документирования сетей VLAN не- Глава 5. Виртуальные локальные сети 181
обходимо использовать имена, имеющие смысл. Такой подход очень помогает при поиске и устранении неисправностей при конфигурировапии новых сетей. После создания сети VLAN необходимо назначить порты в принадлежность задан- заданной сети VLAN. Для назначения портов сети VLAN используется та же команда, что и для создания сети VLAN. В примере 5.3 показано, как необходимо назначать набор портов в принадлежность сети VLAN с номером 2. К сожалению, в первый раз ко- команда в примере была введена неправильно. Что в же этой команде было не так? При первом вводе команда set vlan не выполнилась из-за того, что в указанном диапа- диапазоне портов присутствовал несуществующий интерфейс модуля Supervisor. Запись 1/8 означает восьмой порт модуля Supervisor. Пример 5.3. Назначение портов в принадлежность сети VLAN Console> (enable) set vlan 2 2/1-1/8 Usage: set vlan <vlan num> <mod/ports...> (An example of"mod/ports is 1/1,2/1-12,3/1-2,4/1-12) Console> (enable) set vlan 2 2/1-2/8 VLAN 2 modified. VLAN 1 modified. VLAN Mod/Ports 2 2/1-8 Console> (enable) После того, как параметры команды назначения принадлежности портов указаны корректно, коммутатор Catalyst переназначает блок портов в принадлежность сети VLAN 2. При назначении портов следует помнить, что блок портов может быть ука- указан с помощью знаков разделения: запятая и дефис. Не следует использовать символы пробелов между названиями портов в командной строке. В противном случае комму- коммутатор Catalyst обрабатывает командную строку до первого символа пробела, и при этом только часть портов оказываются назначенными в принадлежность сети VLAN. Внимание! В большинстве ситуаций в сетях, где администраторы устанавливают коммутаторы Catelyst, еще существуют концентраторы старых типов. При этом могут существовать участки сетей, в которых станциям нет необходимости использовать полную пропускную способность выделенного порта коммутатора, а вполне достаточно пропускной способ- способности, которая совместно используется несколькими устройствами. Для обеспечения большего значения пропускной способности можно подключить к концентратору мень- меньшее количество устройств, чем было подключено ранее, а затем подключить концентра- концентратор к интерфейсу коммутатора Catalyst. При этом необходимо помнить, что все устрой- устройства, подключенные к концентратору, могут принадлежать только одной сети VLAN вто- второго уровня, т.к. они в конечном счете подключены к одному порту коммутатора Catalyst. Удаление сетей VLAN Сети VLAN из обслуживаемого домена могут быть удалены с помощью команды clear vlan VLAN_number. Например, если необходимо удалить сеть VLAN с номе- 182 Часть I. Фундаментальные аспекты технологий локальных сетей
ром 5 из домена, управляемого по протоколу VTP, следует воспользоваться командой clear vlan 5 на коммутаторе, который сконфигурирован в качестве сервера, обслу- обслуживающего домен VTP. На коммутаторе, сконфигурированном в качестве клиента, работающего по протоколу VTP, сети VLAN удалять нельзя. Если коммутатор Catalyst сконфигурирован для работы в прозрачном режиме, то сеть VLAN также может быть удалена. Однако в таком случае сеть VLAN удаляется только на одном коммутаторе Catalyst и не удаляется на всех остальных коммутаторах управляемого домена. Все процедуры удаления и добавления сетей VLAN на коммутаторе Catalyst, работающем в прозрачном режиме, осуществляются локально для данного коммутатора. При попытке удалить сеть VLAN коммутатор Catalyst выдает предупреждение, что все порты домена VTP, принадлежащие удаляемой сети VLAN, будут переведены в неактивное (disabled) состояние. Если к сети VLAN подключены 50 устройств, то при удалении такой сети все 50 станций окажутся изолированными, потому что порт ком- коммутатора Catalyst, к которому подключена каждая станция, оказывается неактивным. При создании этой же сети VLAN все порты снова переходят в активное состояние, поскольку коммутатор Catalyst хранит информацию о том, какой сети VLAN порты принадлежали ранее. Если сеть VLAN существует, то порты становятся активными, если же сеть VLAN не существует, порты становятся неактивными. Если вдруг будет удалена сеть VLAN, к которой подключены активные пользователи, то такое действие может привести к катастрофическим последствиям. Следует также понимать, что если в домене, управляемом по протоколу VTP, большинство коммутаторов Catalyst сконфигурированы как клиенты или серверы про- протокола VTP и небольшое количество коммутаторов Catalyst сконфигурировано для ра- работы в прозрачном режиме, то по недосмотру может произойти другая ситуация, ко- когда сеть VLAN удаляется на коммутаторе Catalyst, работающем в прозрачном режиме, и при этом в домене, управляемом по протоколу VTP, существует сеть VLAN с таким же номером. Например, предположим, что в сети установлены три последовательно подключенных коммутатора Catalyst, коммутатор Catalyst-A сконфигурирован в режи- режиме сервера, коммутатор Catalyst-B — в прозрачном режиме, а коммутатор Catalyst-C — в режиме клиента или сервера. Каждый из коммутаторов обслуживает устройства, ко- которые подключены к сети VLAN с номером 10. Таким образом, вся сеть VLAN долж- должна быть создана на коммутаторе Catalyst-B и на коммутаторе Catalyst-A (коммутатор Catalyst-C получает информацию о создаваемой сети из настроек коммутатора Catalyst-A в результате работы протокола VTP). С точки зрения протокола распреде- распределенного связующего дерева в такой системе существует один домен распределенного связующего дерева и соответственно — один корневой мост распределенного связую- связующего дерева. Предположим теперь, что администратор решил, что на коммутаторе Catalyst-B больше нет необходимости в сети VLAN 10, поскольку ни одно устройство из подключенных к данному коммутатору больше не принадлежит сети VLAN 10. Та- Таким образом, сеть VLAN 10 на коммутаторе Catalyst-B удаляется с помощью команды clear vlan 10. С точки зрения технологии сетей VLAN такие действия вполне до- допустимы. Однако, с точки зрения протокола распределенного связующего дерева та- такие действия приводят к появлению двух доменов распределенного связующего дере- дерева. Поскольку коммутатор Catalyst-B больше не участвует в обслуживании сети VLAN, он больше не участвует в работе протокола распределенного связующего дерева для данной сети VLAN. Поэтому каждый из коммутаторов Catalyst-A и Catalyst-C стано- становится корневым мостом для сети VLAN 10, причем каждый в своем домене распреде- распределенного связующего дерева. Глава 5. Виртуальные локальные сети 183
Несмотря на то, что протокол распределенного связующего дерева в результате смены топологии запускает процесс повторного изучения топологии сети, тем не ме- менее, пользователи, подключенные к сети VLAN 10, не смогут обмениваться информа- информацией друг с другом до тех пор, пока протокол распределенного связующего дерева снова не установит порты в режим разрешения передачи данных. Совет При удалении сети VLAN из управляемого домена, будь то на коммутаторе, сконфигу- сконфигурированном в режиме сервера, или в прозрачном режиме, необходимо учитывать, ка- какое влияние не сеть окажет такое действие. Существует возможность изоляции боль- большого количества пользователей и нарушения работы протокола распределенного свя- связующего дерева в сети в результате удаления виртуальной сети. Просмотр конфигурации сетей VLAN Несомненно, сетевому администратору время от времени приходится просматри- просматривать конфигурации сетей VLAN. В примере 5.4 показан результат выполнения коман- команды коммутатора Catalyst show vlan. > Пример 5.4. Результат выполнения команды show vlan Console> (enable) show vlan VLAN Name Status Mod/Ports, Vlans 1 default active 1/1-2 2/9-24 2 willitwork active 2/1-8 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active VLAN Type SAID MTU Parent RingNo BrdgNo Stp BrdgMode Transl Trans2 1 enet 100001 1500 ----- 2 enet 100002 1500 ----- 1002 fddi 101002 1500 - 0x0 - - 1003 trcrf 101003 1500 0 0x0 - - - 1004 fdnet 101004 1500 - - 0x0 ieee - 1005 trbrf 101005 1500 - - 0x0 ibm - VLAN AREHops STEHops Backup CRF 0 0 0 0 0 0 0 0 0 0 0 0 1003 7 7 off Console> (enable) 184 Часть I. Фундаментальные аспекты технологий локальных сетей
Информация о сети VLAN 2, которая была создана так, как описывалось в преды- предыдущем разделе, показана полужирным шрифтом в выводимых сведениях, приведен- приведенных в примере 5.4. Результат вывода команды show vlan состоит из трех частей. В первой части показаны номера сетей VLAN, их имена, состояние и порты, включен- включенные в каждую сеть VLAN. Такая информация представляет собой краткую справку по состоянию сетей VLAN в коммутаторе Catalyst. Во второй части отображаются пара- параметры, существенные для функционирования сетей VLAN, такие, как, например, зна- значение параметра MTU. В других колонках второй части приводится информация, су- существенная для сетей VLAN, работающих по технологиям Token Ring и FDDI. В третьей части примера показана информация о сетях VLAN, которые связаны с тех- технологиями, использующими метод мостовой маршрутизации от отправителя. Следует заметить, что в примере приведена информация о нескольких сетях VLAN. Все записи, за исключением тех, которые касаются сети VLAN 2, показывают информацию о сети VLAN, используемой устройством стандартно, которая всегда имеется в коммутаторах Catalyst. Стандартные сети VLAN в коммутаторах Catalyst не могут быть удалены. После первого включения питания коммутатора Catalyst все ин- интерфейсы Ethernet принадлежат стандартной сети VLAN 1. Стандартно интерфейсы модуля Supervisor scO и slO также принадлежат этой сети VLAN. При соединении не- нескольких коммутаторов Catalyst, каждый из которых содержит модули Ethernet и кон- конфигурация которых соответствует стандартным значениям, все интерфейсы таких коммутаторов принадлежат одной сети VLAN. Данная ситуация соответствует одному гигантскому широковещательному домену. Протокол VMPS и динамические сети VLAN: расширенное администрирование Обычно для конфигурации сетей VLAN необходимо выполнить процедуру, со- состоящую из трех этапов. Этап 1. Удостовериться, что коммутатор Catalyst принадлежит домену VTP. Этап 2. Создать сеть VLAN. Этап 3. Связать порты с сетью VLAN. Первые два этапа оказывают глобальное влияние на систему коммутаторов Catalyst. При создании сети VLAN анонсы о создании или удалении сети VLAN с по- помощью протокола VTP передаются всем членам домена VTP. Назначение портов в принадлежность сети VLAN является локальным событием. Протокол VTP не переда- передает информацию о том, какие порты принадлежат сети VLAN (исключением является функция port security — защита портов, которая позволяет, чтобы в одной сети VLAN существовало одно и только одно значение МАС-адреса, связанного с устройством, подключенным к какому-либо порту, принадлежащему заданной сети VLAN). При подключении станции к порту коммутатора Catalyst необходимо гарантировать, что порты принадлежат правильной сети VLAN. К сожалению, не всегда может существо- существовать возможность доступа к интерфейсу командной строки коммутатора Catalyst для того, чтобы сделать необходимые изменения. Может возникнуть ситуация, в которой Глава 5. Виртуальные локальные сети 185
пользователи часто меняют свое местоположение в пределах здания, а администратор не хочет, чтобы каждый раз при смене положения рабочей станции его дергали, осо- особенно, если это происходит в полночь или выходной день. Корпорация Cisco разработала функцию, которая позволяет облегчить динамиче- динамическую конфигурацию портов. Функция поддержки динамических сетей VLAN (dynamic VLAN) позволяет осуществлять автоматическую конфигурацию принадлежности порта сети VLAN в зависимости от значения МАС-адреса устройства, подключенного к порту. Работа данного механизма происходит в описанной ниже последовательности. Этап 1. Когда устройство подключается к порту коммутатора и начинает переда- передавать фреймы, коммутатор Catalyst определяет значение МАС-адреса от- отправителя. Этап 2. Коммутатор Catalyst отправляет запрос на сервер-политик о принадлежно- принадлежности к сетям VLAN (VLAN membership policy server — VMPS). Сервер VMPS поддерживает базу данных МАС-адресов и авторизованных сетей VLAN для каждого значения МАС-адреса. Этап 3. Сервер VMPS отправляет коммутатору Catalyst, который является клиен- клиентом, ответ, содержащий имя авторизованной сети VLAN. Этап 4. Коммутатор Catalyst, являющийся клиентом протокола VMPS, осуществ- осуществляет конфигурацию принадлежности портов правильным сетям VLAN, основываясь на информации, переданной сервером VMPS. Основная часть работы администратора связана с первоначальным построением базы данных. После генерации базы данных администратору и остальным пользовате- пользователям больше нет необходимости статически осуществлять конфигурацию коммутаторов Catalyst при перемещении устройства с одного порта на другой. Такая функция позволяет также повысить уровень безопасности, поскольку для того, чтобы коммутатор установил принадлежность порта, к которому подключено устройство, сети VLAN, необходимо, чтобы МАС-адрес устройства присутствовал в базе данных. При отсутствии МАС-адреса в базе данных коммутатор Catalyst может отказать в подключении устройства или назначит устройство в принадлежность сети VLAN, используемой стандартно. Для организации поддержки системы динамических сетей VLAN необходимо на- наличие трех компонент. Первая — в сети должен работать сервер протокола TFTP. База данных сервера VMPS сохраняется на сервере TFTP в виде текстового файла. Вторая компонента — это сервер VMPS, который считывает записи базы данных с сервера TFTP и локально запоминает все данные. Клиенты динамических сетей VLAN запра- запрашивают сервер VMPS всякий раз, когда устройства подключаются к порту коммутато- коммутатора Catalyst. Существует возможность конфигурации до двух резервных (backup) серве- серверов VMPS. Третья компонента — это клиент протокола VMPS, который обменивается информацией с сервером VMPS с помощью транспортного протокола UDP, исполь- использующего номер порта 1589. Данное значение номера порта протокола широко извест- известно и зарегистрировано агентством IANA (Internet Assigned Numer Authority — Агентст- Агентство по выделению имен и уникальных параметров протоколов Internet) как протокол VQP (VMPS Query Protocol — протокол запросов VMPS). На рис. 5.20 показана взаимосвязь между компонентами. Коммутатор Catalyst-A служит в качестве главного (primary) сервера VMPS, а два других коммутатора Catalyst работают в качестве резервных VMPS-серверов. В разделе, посвященном конфигура- конфигурации VMPS-клиентов, детально описано, как идентифицировать главный и резервные 186 Часть I. Фундаментальные аспекты технологий локальных сетей
серверы VMPS. Сервер VMPS (Catalyst-A) обращается к серверу TFTP при первона- первоначальном запуске или при указании администратором того, что необходимо загрузить новую таблицу конфигурации. Для сервера VMPS должно быть установлено значение IP-адреса, а также может потребоваться установка адреса стандартного шлюза для того, чтобы сервер VMPS мог произвести инициализацию таблицы с сервера TFTP. Стандартный маршрут, используемый для передачи данных, может быть необходим в случае, когда серверы VMPS и TFTP подключены к различным подсетям или сетям VLAN. Резервный VMPS сервер 1 Catalyst-A 172.16.1.1 Главный VMPS сервер Клиент VMPS Catalyst-B 172.16.1.2 MAC 1 VLAN 1 MAC 2 VLAN 1 MAC 3 VLAN 20 Клиент VMPS Catalyst-C 172.16.1.3 Рис. 5.20. Структура динамических сетей VLAN Коммутаторы Catalyst-B и Catalyst-C сконфигурированы в качестве VMPS-клиентов и получают авторизацию соответствия порта и сети VLAN через сервер VMPS. Таким образом, они должны иметь возможность обмениваться данными с сервером VMPS. В следующем списке приводится набор этапов, необходимых для конфигурации динамических сетей VLAN. Этап 1. Сгенерировать базу данных сетей VLAN и загрузить ее на сервер TFTP. Этап 2. Указать значение IP-адреса сервера VMPS. Этап 3. Указать значение IP-адреса TFTP-сервера для сервера VMPS. Этап 4. Активизировать сервер VMPS. Этап 5. Установить значения IP-адресов на клиентах VMPS. Этап 6. Сконфигурировать значение IP-адреса сервера VMPS на клиентах VMPS. Этап 7. Произвести динамическую идентификацию портов на клиентах. Глава 5. Виртуальные локальные сети 187
В следующих разделах приводится более детальное описание приведенных этапов конфигурации динамических сетей VLAN. Построение базы данных VMPS для TFTP-сервера Большая часть работы по конфигурации состоит в построении базы данных прото- протокола VMPS, которая представляет собой простой текстовый файл. Сервер VMPS за- загружает текстовый файл базы данных и использует его для определения того, являют- являются ли устройства авторизованными для подключения к сети VLAN. В примере 5.5 по- показан образец такой базы данных. Она состоит из трех частей. В первой части записаны глобальные параметры системы VMPS. Во второй части задаются значения МАС-адресов и значения имен авторированных сетей VLAN для этих МАС-адресов. В третьей части описывается политика ограничения сетей VLAN определенными значе- значениями портов и групп. Пример 5.5. Образец базы данных сетей VLAN ;\ \.v, : "^ ~.-. ;-;-/1. 'и!-| 'Часть 1: ГЛОБАЛЬНЫЕ ПАРАМЕТРЫ Ivmps domain <domain-name> ! The VMPS domain must be defined. Ivmps mode { open j secure } ! The default mode is open. Ivmps fallback <vlan-name> ivmps no-domain-reg { allow j deny } i ! The default value is allow. ! The VMPS domain name MUST MATCH the VTP domain name. vmps domain testvtp vmps mode open vmps fallback default vmps no-domain-reg deny 'ЧАСТЬ 2: БАЗА ДАННЫХ MAC-АДРЕСОВ 'MAC Addresses ! vmps-mac-addrs i ! address <addr> vlan-name <vlan name> ! address 0060.0893.dbcl vlan-name Engineering address 0060.08aa.5279 vlan-name —NONE-- address 0060.08b6.49fb vlan-name Engineering i 'ЧАСТЬ З: ПОЛИТИКА ДОСТУПА IPort Groups ! !vmps-port-group <group-name> ! device <device-id> { port <port-name> | all-ports } 188 Часть I. Фундаментальные аспекты технологий локальных сетей
vmps-port-group restrictengineering device 172.16.1.2 port 3/1 device 172.16.1.2 port 3/2 device 172.16.1.3 port 4/1 device 172.16.1.3 port 4/3 device 172.16.1.3 port 4/5 IVLAN groups ! USE THIS TO ASSOCIATE A GROUP OF VLANs TOGETHER. THE DATABASE TREATS ! ALL OF THE VLANs AS A SINGLE GROUP. ! !vmps-vlan-group <group-name> ! vlan-name <vlan-name> i I ! IVLAN port Policies ! !vmps-port-policies {vlan-name <vlan name> | vlan-group <group-name> } ! { port-group <group-name> | device <device-id> port <port-name> } vmps-port-policies vlan-name port-group restrictengineering Глобальные параметры базы данных VMPS В глобальной части конфигурации базы данных (часть 1, пример 5.5) описаны сле- следующие параметры: имя домена VMPS, режим защиты (security mode), значение ава- аварийной сети VLAN (fallback VLAN) и политика действий в случае несовпадения имен доменов VMPS и VTP. Имя домена VMPS должно соответствовать имени домена VTP для того, чтобы сервер VMPS мог отвечать клиентам VMPS. Можно заставить, чтобы сервер VMPS отвечал на запросы клиентов VMPS в случае несоответствия имен доменов, путем ис- использования записи vmps no-domain-req allow в файле базы данных. Запись базы данных vmps mode {open|secure} определяет, какие действия не- необходимо предпринять, если для какого-либо значения МАС-адреса нет соответст- соответствующей записи в базе данных. Значение open обозначает, что если запись о МАС- адресе отсутствует, то порт необходимо назначить аварийной сети VLAN. Если имя аварийной сети VLAN не определено, то порты остаются неназначенными. При уста- установке режима secure сервер VMPS сообщит клиенту, что соответствующий порт не- необходимо отключить вместо того, чтобы оставлять его непазпаченным. Неназначен- ный порт может быть назначен в принадлежность сети VLAN при последующих по- попытках соединения. Отключенный порт остается в таком состоянии до тех пор, пока его не переведут опять в рабочее состояние. Аварийная сеть VLAN представляет собой нечто вроде смешанной сети VLAN. Ес- Если в базе данных пет записи для какого-либо МАС-адреса, то сервер VMPS назначает устройство в аварийную сеть VLAN, если она определена. Глава 5. Виртуальные локальные сети 189
Авторизация сетей VLAN в базе данных VMPS Ядро базы данных находится в ее средней части (часть 2, пример 5.5). Здесь опре- определяется связь между МАС-адресами и сетями VLAN. Для каждого устройства, кото- которое должно подключаться к сетям VLAN динамически, должна существовать запись в базе данных, в которой указывается значение МАС-адреса и имя авторизованной сети VLAN. При подключении устройства к порту, назначаемому динамически, коммута- коммутатор Catalyst обращается к базе данных для определения назначения порта сети VLAN. Следует обратить внимание, что сети VLAN идентифицируются по имени, а не по номеру. Заметим также, что имя сети VLAN NONE является зарезервирован- зарезервированным. Использование данной сети VLAN явно указывает на запрещение подключения устройства с указанным МАС-адресом ко всем динамически назначаемым портам. Эту возможность можно использовать для гарантии, что некоторые устройства нико- никогда не будут работать при подключении к динамически назначаемым портам. Такой же результат может быть достигнут при включении режима защиты в случае, когда не определена аварийная сеть VLAN. Однако подход, используемый во втором случае, влияет на все устройства, а не только на те, для которых указано значение МАС- адреса. Такая функция может быть также использована для целей обеспечения безопасно- безопасности. Например, могут существовать какие-либо специальные устройства, которым ни- никогда нельзя давать доступ через порты, назначаемые динамически: в этом случае та- такие порты необходимо связать с сетью VLAN с именем NONE. Такая конфигурация предотвращает даже возможность назначения устройства аварийной сети VLAN. С другой стороны, может быть нежелательным, чтобы станции, которые не указаны в базе данных, подключались к сетям VLAN динамически. В таком случае необходимо включить режим secure. Его использование предотвращает необходимость явно ука- указывать каждое исключаемое устройство. Групповая политика ограничений базы данных VMPS С помощью настроек третьей части базы данных VMPS (часть 3, пример 5.5) можно ограничить распространение сетей VLAN лишь до определенных значений портов на клиентах VMPS. Предположим, существует необходимость гарантировать, что рабочие станции технического отдела авторизированы только для подключения к портам 3/1 и 3/2 коммутатора Catalyst-B и портам 4/1,3,5 коммутатора Catalyst-C в схеме, показанной на рис. 5.20. Если такие рабочие станции подключаются к лю- любым другим динамически распределяемым портам, то эти порты не должны автори- зировать станции, даже если их МАС-адреса занесены в базу данных. Конфигура- Конфигурацию подобной функции в базе данных можно осуществить так, как показано в третьей части примера 5.5. Следует обратить внимание, что база данных является зависимой от указания IP-адресов, соответствующих клиентов VMPS и политики относительно каждого клиента. Конфигурация сервера VMPS Перед активизацией сервера VMPS необходимо поместить файл конфигурации на TFTP-сервер. Могут быть сконфигурированы до трех серверов VMPS: один активный и два резервных. При активизации сервера он пытается загрузить базу данных с сер- сервера TFTP. Если попытка загрузки базы данных была неудачной, то коммутатор Catalyst не включает функцию VMPS. 190 Часть I. Фундаментальные аспекты технологий локальных сетей
Для конфигурации сервера VMPS используются две команды: set vmps tftpserver ip_address [filename] и set vmps state enable. Первая команда позволяет установить параметры доступа к серверу TFTP и при необходимости ука- указать имя файла базы данных. Если имя файла не указано, то система VMPS пытается загрузить файл с именем vmps-config-database. 1. Команду set vmps tftpserver ip_address [filename] необходимо использовать для указания серверу VMPS IP- адреса сервера TFTP и файла базы данных VMPS, который необходимо запросить. После конфигурации информации о сервере TFTP сервер VMPS можно активизи- активизировать с помощью команды set vmps state enable. Именно в данный момент сер- сервер VMPS пытается загрузить файл базы данных с сервера TFTP. Если в некоторый момент после активизации сервера VMPS база данных на серве- сервере TFTP была модифицирована, то получить новую базу данных можно с помощью команды download vmps. Состояние сервера VMPS можно проверить с помощью ко- команды show vmps. Данная команда выдает всю информацию о текущей конфигура- конфигурации сервера, как это показано в примере 5.6. |||имёр 5.6. Результат выполнения команды shoyfvmps - ■. •" :. .';. ■v'/b'vll Console> show vmps VMPS Server Status: Management Domain: Accounting State: enbabled Operational Status: active TFTP Server: 144.254.10.33 TFTP File: myvmpsdatabase.db Fallback VLAN: miscbucket Secure Mode: open VMPS No Domain Req: allow VMPS Client Status: VMPS VQP Version: 1 Reconfirm Interval: 20 min Server Retry Count: 3 VMPS domain server: 172.16.1.1 No dynamic ports configured. Console> Команда show vmps может быть использована как для сервера, так и для клиента. В верхней половине результатов использования такой команды представлена конфи- конфигурационная информация сервера, а в нижней части — значения клиентских парамет- параметров. Если при попытке запустить сервер VMPS возникают проблемы, то рассматри- рассматриваемую команду можно использовать для просмотра значений параметров. В частно- частности, необходимо проверить, соответствует ли имя домена VMPS имени домена VTP. Состояние сервера может быть либо enabled (включен) disabled (выключен). По- После выполнения команды set vmps state enable состояние должно быть enabled. Глава 5. Виртуальные локальные сети 191
Далее необходимо проверить рабочее состояние. Оно может иметь значения active (активен), inactive (неактивен) или downloading (загружается). Состояние downloading указывает на то, что сервер VMPS получает базу данных VMPS с серве- сервера TFTP. Состояние inactive означает, что сервер предпринял попытку загрузить базу данных, но произошла ошибка, и он перешел в неактивное состояние. Послед- Последним необходимо проверить имя файла базы данных, а также удостовериться, что коммутатор Catalyst может связаться с сервером, что указанный файл существует и что этот файл является файлом базы данных VMPS. Корпорация Cisco предоставляет два инструментальных средства для работы с ба- базой данных VMPS: службу регистрации пользователей (User Registration Tool — URT) и службу сопровождения пользователей программного обеспечения Cisco Works для коммутируемых сетей (User Tracker for Cisco Works for Switched Internetworks — CWSI). Данные инструментальные средства помогают создавать базу данных и позво- позволяют разместить сервер VMPS на устройстве, которое не является коммутатором Catalyst. Следующие разделы посвящены более детальной информации об этих двух инструментальных средствах. Служба URT Программное обеспечение службы регистрации пользователей (URT) корпорации Cisco позволяет строить базу данных принадлежности сетям VLAN в соответствии с регистрационной информацией пользователей операционной системы Windows/NT, a не в соответствии со значениями МАС-адресов. Программное обеспечение URT мо- может использоваться только совместно с клиентскими станциями, которые работают под управлением операционных систем Windows 95/98 и Windows NT 4, на которых используется программное обеспечение Microsoft Networking (протокол NetBios или служба Client for Microsoft Networks), работающее по протоколу TCP/IP, и которые используют протокол динамической конфигурации узла (Dynamic Host Configuration Protocol — DHCP). Программное обеспечение URT не поддерживает другие операци- операционные системы и сетевые протоколы. Для того, чтобы клиент из пакета программного обеспечения URT мог взаимодействовать с сервером URT, его необходимо вручную загрузить па сервере и клиенте операционной системы NT 4. Клиентские станции под управлением операционной системы Windows 95/98 позволяют автоматически уста- устанавливать клиентскую службу URT с контроллером домена операционной системы Windows NT. Программное обеспечение URT необходимо для поддержания базы данных на ма- машине, работающей под управлением операционной системы Windows NT 4, и работа- работает она точно так же, как и сервер протокола VMPS. При этом все еще есть необходи- необходимость конфигурации коммутаторов Catalyst в качестве клиентов VMPS и указания им параметров для соединения с сервером NT, который обслуживает базу данных URT. Для управления сервером URT необходимо программное обеспечение CWSI вер- версии 2.1. При этом система URT взаимодействует с сервером ANI из пакета CWSI вер- версии 2.1 для определения принадлежности рабочих станций сетям VLAN. Служба сопровождения пользователей CWSI Система сопровождения пользователей (User Tracker) позволяет облегчить решение задачи по построению базы данных, которая хранится на сервере TFTP. Функция со- сопровождения пользователей может быть совместно использована с программным обеспечением Cisco Works для коммутируемых сетей (Cisco Works for Switched Inter- 192 Часть I. Фундаментальные аспекты технологий локальных сетей
networks — CWSI) для построения необходимой базы данных. Система User Tracker позволяет следить за отдельными рабочими станциями в сети. С помощью нескольких окон пользователь может наблюдать за информацией, собранной системой сопровож- сопровождения пользователей, и автоматически добавлять записи в базу данных, которая хра- хранится на сервере TFTP. Данная система избавляет от необходимости вручную вводить записи в базу данных, и, соответственно, избежать ошибок при ручном наборе базы данных. Конфигурация клиентов VMPS Конфигурация клиентов VMPS включает этапы введения информации об IP- адресе сервера VMPS на клиенте и этапы установки портов в динамический режим. Стандартно порты сконфигурированы в статическом режиме, а это означает, что их принадлежность сетям VLAN должна быть установлена вручную. Установка портов в динамический режим означает, что коммутатор Catalyst автоматически настроит при- принадлежность портов сетям VLAN в соответствие с ответом, полученным с сервера VMPS. Для указания клиенту IP-адреса сервера VMPS необходимо использовать команду set vmps server ip_address [primary]. В конфигурационном файле могут быть указаны до трех серверов VMPS. Один сервер функционирует в качестве основного (primary), остальные — в качестве резервных (backup). Для конфигурации портов в динамическом режиме следует использовать команду set port membership module/port dynamic. Магистральный порт (trunk) нельзя установить в динамический режим. Для установки порта в динамический режим не- необходимо вначале отключить функцию транкинга. Защищенный (secure) порт так же не может быть установлен в динамический режим. Если активирована функция защи- защиты портов (port security), необходимо выключить ее перед тем, как устанавливать пор- порты в динамический режим. После выполнения команды set port membership ком- коммутатор Catalyst предпринимает попытку установить связь с сервером VMPS с помо- помощью протокола VQP, как только какое-либо из подключенных к нему устройств в первый раз передает данные. Если клиент успешно установил соединение с сервером, сервер может выполнить одно из действий, которые перечислены ниже. • Назначить порт авторизированной сети VLAN. • Назначить порт аварийной сети VLAN. • Запретить доступ. • Выключить порт. Если серверу удалось обнаружить МАС-адрес устройства в базе данных VMPS, он отправляет клиенту имя авторизированной сети VLAN для данного устройства. Кли- Клиент VMPS в такой ситуации активизирует порт и устанавливает его принадлежность указанной сети VLAN. Если сервер VMPS не находит значение МАС-адреса в базе данных, то он назначает порт в принадлежность аварийной сети VLAN, если таковая указана в базе данных. Если аварийная сеть VLAN не указана, то сервер VMPS от- отправляет ответ с инструкцией запретить доступ или отключить интерфейс в зависимо- зависимости от установленного режима защиты. Запрет на доступ отличается от отключения интерфейса тем, что в случае запрета доступа устройство снова может предпринять попытку подключения (поведение, которое позволительно в случае отключения ре- режима защиты), в то же время отключение порта предотвращает возможность любых Глава 5. Виртуальные локальные сети 193
попыток динамического назначения принадлежности портов (стандартное поведение в случае, когда включен режим защиты). К динамическому порту могут быть подключены несколько узлов, однако, все они должны быть авторизированы для входа в одну и ту же сеть VLAN; число узлов, под- подключенных к одному порту, ограничено значением 50. Следует заметить, что коммутатор Catalyst не устанавливает сеанс по протоколу VPQ с сервером до тех пор, пока устройство, подключенное к порту, не начинает пе- передавать данные. Когда коммутатор Catalyst определяет МАС-адрес станции- отправителя, он генерирует запрос на сервер VMPS. При использовании команды show port можно определить, какой сети VLAN назначен порт. Для динамических портов в имени сети VLAN, которой он принадлежит, содержится часть dyn-, как показано в примере 5.7. I Пример 5.7. Отображение информации о динамических портах'-: ■■ / '^f: (:". Console> show port Port Name Status 1/1 1/2 2/1 3/1 3/2 3/3 Console> connect connect connect connect connect connect (enable) Vlan dyn-3 trunk trunk dyn- dyn-5 dyn-5 Level normal normal normal normal normal normal Duplex full half full half half half Speed 100 100 155 10 10 10 Type 100 BASE-TX 100 BASE-TX ОСЗ MMF ATM 10 BASE-T 10 BASE-T 10 BASE-T Следует обратить внимание на запись для порта 1/1. Он динамически назначен в принадлежность сети VLAN. Однако, порт 3/1 — динамический порт, который не на- назначен в принадлежность какой-либо сети VLAN вообще. Коммутатор Catalyst не осуществляет перенаправление фреймов, отправляемых станцией, подключенной к данному порту. Для только что подключенного к заданному порту устройства комму- коммутатор Catalyst не знает значения МАС-адреса отправителя, и динамически переводит порт в такой режим. После того, как подключенный узел начнет передавать данные и клиент протокола VMPS получит положительный ответ от VMPS-сервера, клиент VMPS коммутатора Catalyst назначает интерфейс в принадлежность соответствующей сети VLAN. Если подключенное устройство остается неактивным достаточно долго для того, чтобы ис- истекло время старения записи в таблице для устройства, то коммутатор Catalyst возвра- возвратит порт в неназначенное состояние. Когда станция снова начинает передавать дан- данные, клиент VMPS отправляет новый запрос на сервер VMPS. Подтвердить правильность конфигурации клиента VMPS можно с помощью коман- команды show vmps, как показано в примере 5.6. Нижняя часть информации, показанная в результате выполнения команды, соответствует конфигурации клиента. Параметр reconfirm interval (интервал повторного подтверждения) определяет, насколько часто кли- клиент обращается к серверу VMPS для определения, не изменилась ли политика работы с локальными станциями. Значение интервала времени, показанное в примере 5.6, со- составляет стандартно 20 мин. Параметр Server Retry Count (счетчик попыток повторного соединения сервера) в рассматриваемом случае равен трем и указывает, сколько попы- попыток обратиться к VMPS-серверу должен предпринять клиент VMPS. После трех неудач- неудачных попыток получить ответ от сервера клиент пытается получить информацию от од- 194 Часть I. Фундаментальные аспекты технологий локальных сетей
ного из резервных серверов. Еще один параметр указывает значение IP-адреса VMPS сервера, к которому пытается обратиться клиент. В данном случае он равен 172.16.1.1. Фильтрация на основе протоколов Коммутатор осуществляет перенаправление трафика в пределах широковещатель- широковещательного домена в соответствии со значением МАС-адреса устройства-получателя. Комму- Коммутатор осуществляет фильтрацию, перенаправление и лавинную передачу фреймов в зависимости от того, имеется ли информация о МАС-адресе устройства-получателя в его таблице МАС-адресов. Обычно коммутатор не использует никакой информации третьего уровня (или тип протокола второго уровня) для принятия решений о том, как обрабатывать фрейм (технологии MLS и МРОА являются исключением). На рис. 5.21 показан еще один пример того, как коммутатор Catalyst может блокировать трафик в соответствии с используемым протоколом. Протокол IPX Рис. 5.21. Фильтрация на основе протоколов Если станция А, показанная на рис. 5.21, отправляет фрейм станции Б, то коммута- коммутатор осуществляет перенаправление фрейма, даже если станция Б использует протоколы третьего уровня, отличные от тех, что использует станция А. Такая ситуация является достаточно необычной. Предположим, однако, что в одной сети VLAN содержатся станции, которые используют несколько протоколов. Некоторые станции используют протокол IP, некоторые — протокол IPX, а некоторые могут даже использовать оба этих протокола. Если коммутатору необходимо осуществить лавинную передачу фрейма про- протокола IP, то такой фрейм передается во все порты, принадлежащие сети VLAN, даже в случае, если станция, подключенная к порту, не поддерживает указанный протокол. Та- Такая ситуация связана с природой широковещательного домена. Коммутатор Catalyst серии 5000, укомплектованный функциональной платой Net- Flow (NetFlow Feature Card) и модулем Supervisor engine версии III, а также и некото- некоторые другие коммутаторы Catalyst, могут вместо такого поведения использовать функ- функцию фильтрации на основе протоколов (protocol filtering). Эта функция может работать для технологий Ethernet, Fast Ethernet и интерфейсов Gigabit Ethernet, не выполняю- выполняющих функции магистрального канала. Функция фильтрации на основе протоколов по- позволяет предотвратить ситуацию, в которой коммутатор Catalyst осуществляет лавин- лавинную передачу фреймов, несущих данные определенных протоколов, в том случае, если к порту, куда должен отправляться фрейм, не подключена ни одна станция, которая Глава 5. Виртуальные локальные сети 195
использует данный протокол. Например, если существует сеть VLAN, в которой ис- используются протоколы IP и IPX, то весь трафик лавинной передачи передается во все порты такой сети VLAN. Коммутатор Catalyst собирает информацию о протоколах, которые активны на интерфейсах. Только когда коммутатор имеет информацию о том, что протокол является активным, он осуществляет лавинную передачу данных этого протокола. На рис. 5.21 показаны несколько протоколов, которые используются в сети VLAN. Некоторые станции в сети поддерживают только один протокол: или протокол IP, или протокол IPX. Иные станции поддерживают оба протокола. Комму- Коммутатор Catalyst в процессе самообучения определяет путем анализа поля типа протоко- протокола на втором уровне эталонной модели OSI, что станция А использует протокол IP, станция Б использует протокол IPX, а станция В использует оба. Когда станция А от- отправляет широковещательное сообщение по протоколу IP, станция Б не получает та- такого фрейма, его получает только станция В. Точно так же, если станция Б отправля- отправляет фрейм, который должен передаваться коммутатором с помощью метода лавинной передачи, то этот фрейм не появится на интерфейсе, к которому подключена стан- станция А, поскольку данный интерфейс связан только с протоколом IP. Коммутатор за- запрещает или разрешает передачу данных по протоколам из следующих групп: • протоколы IP; • протоколы IPX; • протоколы AppleTalk, DECnet, Vines; • все остальные протоколы. Контрольные вопросы В данный раздел включены различные вопросы по теме настоящей главы. Ответив на них, читатель сможет оценить степень владения изложенным материалом. Кроме того, приведенные ниже вопросы помогут подготовиться к письменным и лаборатор- лабораторным экзаменам на получение статуса сертифицированного эксперта по объединенным сетям Cisco (CCIE). Ответы па вопросы приведены в приложении А, "Ответы на кон- контрольные вопросы". 1. В начале текущей главы было упомянуто, что границы широковещательного до- домена в коммутируемых сетях могут быть определены без наличия файлов кон- конфигурации. Как это можно сделать? 2. Два коммутатора Catalyst используются для соединения станций так, как пока- показано на рис. 5.22. Станция А не может обмениваться информацией со станци- станцией Б. Почему? В примере 5.8 приведена дополнительная информация о сети. 172.16.1.1 172.16.1.2 172.16.2.1 172.16.2.2 Рис. 5.22. Структура сети для контрольного вопроса 2 196 Часть I. Фундаментальные аспекты технологий локальных сетей
[Пример 5.^. Конфигурация коммутаторов Catalyst-A и Catalyst-B - Cat-A > (enable) show vlan VLAN Name 1 default 2 vlan2 1002 fddi-default 1003 token-ring-default 1004 fddinet-default 1005 trnet-default Status active active active active active active Mod/Ports, Vlans 1/1-2 2/1-8 2/9-24 Cat-B> (enable) show vlan VLAN Name 1 default 2 vlan2 1002 fddi-default 1003 token-ring-default 1004 fddinet-default 1005 trnet-default Status active active active active active active Mod/Ports, Vlans 1/1-2 2/9-24 2/1-8 3. Снова возвратимся к рис. 5.22 и примеру 5.8: сможет ли станция В обменивать- обмениваться информацией со станцией Г? 4. Существуют ли какие-либо проблемы, связанные с протоколом распределенного связующего дерева, в системе, показанной на рис. 5.22? 5. Нарисуйте логическую топологию сети, показанной на рис. 5.22, в том виде, в каком сеть существует в данный момент, и в том виде, в каком ее вероятнее всего предполагалось реализовать. 6. Может ли когда-либо возникнуть такая ситуация, в которой сети VLAN необхо- необходимо соединять с помощью моста? 7. Перечислите три компоненты, которые необходимы для работы динамических сетей VLAN при использовании функции VMPS. Глава 5. Виртуальные локальные сети 197
■ЩЛ.:. ш -КЩЬ: ,,.
Часть II Механизм распределенного связующего дерева Глава 6. Основы протокола распределенного связующего дерева Глава 7. Расширенные возможности протокола распределенного связующего дерева
В этой главе... . , ^ч,.. Авторы книги сердечно благодарят Радию Перльман за неоценимую помощь в ре- редактировании этой главы. • Что такое связующее дерево? Данный раздел посвящен краткому описанию ос- основных принципов протокола связующего дерева (STP) и проблемам, возни- возникающим в сети с физическими петлями: широковещательным штормам и ис- искажению информации в таблицах мостов. • Алгоритм принятия решения. Раздел содержит описание процессов вычислений, методов оценки параметров и принятия решений, используемых протоколом STP. • Начальная сходимость протокола STP. Подробное описание трех этапов обеспе- ; чения начальной сходимости протокола STP при безпетельной топологии. • Основные состояния протокола STP. В данном разделе представлено описание пяти состояний протокола STP и переходов из одного состояния в другое в процессе работы алгоритма распределенного связующего дерева. • Таймеры протокола STP. Данный раздел посвящен обсуждению методов на- настройки и применению трех типов таймеров протокола STP. ''- • Команда show spantree. Раздел содержит подробное описание команды show spantree и некоторые советы по использованию ее возможностей. • Структура сообщений BPDU. В разделе дается описание структуры сообщений, используемых коммутаторами и мостами для распространения информации : протокола STP. • Процесс изменения топологии. В разделе представлено описание процесса, по- , зволяющего сети адаптироваться к изменениям в физической топологии. '"; • Выбор корневого моста. Раздел посвящен правилам назначения корневого моста всетидля повышения надежности и производительности инфраструктуры. • Связующее дерево и виртуальные локальные сети. В данном разделе приведено описание особенностей устройств Cisco, которые обеспечивают дополнитель- дополнительные возможности для проектирования сети, а именно — поддержку одной ко- копии связующего дерева на каждую виртуальную сеть. Более подробную инфор- информацию можно найти в главе 7.
Глава 6 Основы протокола распределенного связующего дерева Большинство администраторов и разработчиков компьютерных сетей недооцени- недооценивают значимость использования протокола распределенного связующего дерева /Spanning Tree Protocol — STP). С появлением новых технологий и стандартов в инду- ferpHH компьютерных сетей в начале 90-х годов появились маршрутизаторы, и прото- протокол STP отошел на второй план как менее важный протокол, который "просто рабо- работает". Тем не менее, технологии коммутации продолжали развиваться, и использова- использование протокола STP стало одним из основных факторов, влияющих на производи- производительность сети в целом. .Использование протокола STP в два раза уменьшает количество проблем, связан- лых с конфигурацией, поиском неисправностей и поддержкой реальных кампусных И^'сетей, Профессионалы, хорошо разбирающиеся в устройствах и протоколах третьего уровня модели OSI, приступая к изучению технологии коммутации, обычно задаются вопросом о сложности протокола STP. Протокол STP достаточно сложен для пони- понимания, и найти какую-либо информацию о современных его реализациях достаточно трудно. Основная цель данной главы — познакомить читателя с основами технологии STP. Углубленно алгоритм распределенного связующего дерева рассмотрен в главе 7, "Расширенные возможности протокола распределенного связующего дерева". gej , В главе обсуждаются механизмы протокола STP, обеспечивающие построение ак- ** тивной топологии без петель. Изучение материала начинается с поиска ответа на во- вопрос: "Что такое распределенное связующее дерево?" Глава 6 является основой для главы 7, "Расширенные возможности протокола распределенного связующего дерева", в которой рассматриваются более сложные вопросы балансировки нагрузки и мини- минимизации времени сходимости сети. В дальнейшем мы будем часто встречають термины "мост", "коммутатор", , "взаимодействие устройств 2-го уровня". Хотя и существует разница между двумя ти- *•' пами устройств, при обсуждении процессов и механизмов протокола связующего де- дерева отличия несущественны и их можно опустить. Такой подход вполне оправдан при обсуждении стандартов протокола STP для коммутаторов, основанных на аппа- аппаратной обработке фреймов. Например, далее в тексте встречается понятие корневого моста (подробное определение будет дано ниже). Несмотря на то, что термин "корневой коммутатор" является наиболее общим, при первом знакомстве с функ- i ' циями протокола STP его использование вызывает некоторую неловкость у специали- специалистов, которые уже знакомы с технологией. Однако термин "коммутатор" используется
при рассмотрении различных структур сетей вместо использования традиционного термина "мост с программной обработкой фреймов". Внимание! Примеры, приведенные в текущей главе и главе 7, демонстрируют только механизмы работы протокола STP, причем рассматриваемые топологии необязательно по- построены правильно. Вопросы, связанные с разработкой топологии сети, более под- подробно освещены в главе 11, "Коммутация третьего уровня", главе 14, "Модели терри- территориальных сетей", главе 15, "Реализация конструкции территориальной сети", гла- главе 17, "Учебные примеры: внедрение коммутаторов в сети" Что такое распределенное связующее дерево? Протокол STP позволяет мостам (или коммутаторам) общаться между собой для предотвращения проблем, связанных с физическими петлями в топологии сети. Ис- Используемый мостами алгоритм создает беспетельную логическую топологию сети или, другими словами, протокол STP создает структуру в виде дерева с листьями и ветвя- ветвями, полностью покрывающими инфраструктуру сети на втором уровне модели OSI. Большая часть главы будет посвящена обсуждению механизмов взаимодействия мос- мостов и процессам протокола STP. Петли возникают в сети по нескольким причинам. Основной причиной является ре- результат намеренной попытки повысить надежность сети за счет избыточных соедине- соединений — в случае, когда канал или коммутатор вышли из строя, то оставшиеся работоспо- работоспособные каналы или коммутаторы принимают на себя функции поврежденного. Не ис- исключается ситуация, что петли могут возникнуть в результате ошибок администратора (несомненно, именно с вами никогда такого не случается). На рис. 6.1 проиллюстриро- проиллюстрирован типичный случай использования петель для повышения надежности сети. Кабельный узел Группа серверов Магистральный канал Рис. 6.1. Избыточные связи в сети часто приводят к образованию петель 202 Часть II. Механизм распределенного связующего дерева
В сетях, где используются мосты и коммутаторы, физические петли создают про- проблему широковещательных петель и искажения информации в таблицах мостов. Широковещательные петли Широковещание и физические петли на втором уровне модели OSJ составляют весьма опасную комбинацию (рис. 6.2). Станция А Станция Б Рис. 6.2. Без использования протокола STP широкове- широковещание в сети создает обратные петли Предположим, что ни один из коммутаторов не использует протокол STP. Станция А на этапе 1 отправляет широковещательный фрейм с МАС-адресом FF-FF-FF-FF- FF-FF. Поскольку технология Ethernet использует физическую топологию в виде ши- шины, то отправленный фрейм получат оба моста: Cat-1 и Cat-2 (этап 2). При достижении фреймом порта 1/1 коммутатора Cat-1 выполняется стандартный алгоритм обработки фреймов, описанный в главе 3, "Технологии функционирования мостов", и полученный фрейм передается далее в сеть с порта 1/2 (этап 3). Таким об- образом, фрейм распространяется ко всем узлам в нижнем сегменте сети, включая порт 1/2 коммутатора Cat-2 (этап 4). Устройство Cat-2 отправит фрейм в верхний сегмент с порта 1/1 (этап 5), и отправленный фрейм снова попадет в порт 1/1 устройства Cat-1 (этап 6). Коммутатор Cat-1, следуя алгоритму, снова отправит фрейм в порт 1/2 (этап 7). Поскольку рассматриваемая сеть не использует протокол STP, такой широковеща- широковещательный фрейм станет циркулировать в сети по замкнутому маршруту. В приведенном выщс примере (см. рис. 6.2) не рассматривается тот случай, ко- когда широковещательный фрейм поступает в порт 1/1 устройства Cat-2 сразу же на втором этапе, и возникает ситуация, аналогичная рассмотренной, но с более корот- коротким циклом. От устройства Cat-2 фрейм так же достигнет нижнего сегмента Ether- Глава 6. Основы протокола распределенного связующего дерева 203
net и станет циркулировать в сети в обратном направлении между мостами Cat-1 и Cat-2. Другими словами, циркуляция широковещательных фреймов возникает в обоих направлениях. Необходимо запомнить, что мостовые петли доставляют намного больше проблем, чем петли маршрутизации. Обратимся к описанию структуры фрейма Ethernet, дан- данного в главе 1, "Технологии для настольных систем". Рассмотрим на рис. 6.3 структу- структуру фрейма DIX V2 Ethernet. МАС-адрес получателя МАС-адрес отправителя Тип фрейма Данные пользователя CRC 6 6 2 46-1500 4 Рис. 6.3. Формат фрейма DIX V2 Ethernet Обратите внимание, что фрейм DIX V2 Ethernet содержит только два поля для МАС-адресов получателя и отправителя, поле Туре (тип), поле CRC (контрольная сумма) и поле Data (данные). В отличие от структуры фрейма DIX V2 Ethernet IP- заголовок имеет поле, содержащее значение времени жизни пакета (TTL). Значение TTL устанавливается отправителем и каждый маршрутизатор, получающий такой па- пакет, уменьшает величину параметра TTL на единицу. Если маршрутизатор определяет, что значение TTL равно 0, то такой пакет уничтожается. Технология Ethernet в отли- отличие от IP не имеет поля TTL. Поэтому если фрейм уже циркулирует в сети, то оста- остановить такой процесс можно, только отключив питание моста, или процесс остано- остановится самостоятельно в результате неисправности канала. При рассмотрении более сложных сетей, чем те, что показаны на рис. 6.2 и рис. 6.3, может оказаться, что количество петель циркуляции фреймов обратного рас- распространения возрастет экспоненциально. При использовании вместо мостов комму- коммутаторов, которые коммутируют фрейм сразу на несколько портов, количество петель циркуляции возрастет еще в несколько раз. Практика показывает, что одним ARP- запросом можно полностью загрузить два ATM-канала с пропускной способностью ОС-12 за 45 минут (каждый канал ОС-12 имеет пропускную способность 622 Мбит/с в каждом направлении, что составляет 2,4 Гбит/с). Широковещательный шторм оказывает негативное влияние на обмен информаци- информацией станциями А и Б. Пользователи не только не смогут играть в Doom (популярная сетевая игра), но за компьютерами вообще невозможно будет работать. В главе 2, "Сегментация локальных сетей", уже говорилось, что фреймы, получаемые устройст- устройствами сети, обрабатываются процессорами. Если обе станции попытаются обработать широковещательный шторм в сети, 100% процессорного времени станции будет за- затрачиваться на обработку фреймов, что может привести, например, к неподвижности мышки на экране. После отключения от сети станция вернется в рабочее состояние. Как только станция снова будет подключена к сети, обработка широковещательного шторма в сети снова займет 100% процессорного времени. Для проверки изложенного выше материала попробуйте создать физическую петлю в некоторой сети VLAN (например, VLAN 2), а затем наберите в коммутаторе Catalyst (любом из серий 4000, 5000 или 6000) команду set spantree 2 disable. 204 Часть II. Механизм распределенного связующего дерева
Искажение информации в таблицах мостов Большинство администраторов знают о проблеме широковещательных штормов в сети, описанной в разделе выше. Но совсем немногие понимают, что в сети с физиче- физическими петлями могут циркулировать не только широковещательные фреймы, но и одноадресатные, предназначенные для передачи только одному узлу в сети (рис. 6.4). Таблица коммутации МАС-адрес Порт ААААААААМАА В— АА-АА-АА-АА-АА-АА 1 Станция Б Рис. 6.4. Без использования протокола STP в сети могут бесконечно циркулировать одноадресатные фреймы Предположим, например, что станция А имеет запись о станции Б в таблице ARP и отправляет одноадресатный пакет ping к станции Б. Станция Б временно отключена от сети, и соответствующая запись в таблице моста была удалена. Предположим, что оба моста не используют протокол STP. Как и в предыдущем примере, фрейм посту- поступает в порт 1/1 обоих мостов (этап 2). Рассмотрим ситуацию относительно моста Cat- 1. Поскольку станция Б находится в неисправном состоянии, то в таблице моста Cat- 1 нет никаких записей о МАС-адресе ВВ-ВВ-ВВ-ВВ-ВВ-ВВ, и поэтому устройство Cat-1 пропускает полученный фрейм далее в сеть (этап 3). На этапе 4 мост Cat-2 че- через порт 1/2 получает отправленный устройством Cat-1 данный фрейм, что приводит к возникновению двух следующих ситуаций. 1. В таблице моста Cat-2 не содержится записей с МАС-адресом ВВ-ВВ-ВВ-ВВ- ВВ-ВВ (этап 5), и фрейм отправляется далее на порт 1/1, что создает обратную петлю и приводит к неработоспособности сети. 2. Мост Cat-2 получает через порт 1/2 фрейм с МАС-адресом отправителя АА-АА- АА-АА-АА-АА, а затем изменяет запись в своей таблице о МАС-адресе станции А с порта 1/1 на порт 1/2. Поскольку фреймы циркулируют в обратном направлении (как было показано выше, петли циркуляции фреймов существуют в обоих направлениях), то происходит Глава 6. Основы протокола распределенного связующего дерева 205
циклическое изменение данных о МАС-адресе станции А с порта 1/1 на порт 1/2 моста Cat-2. Подводя итоги, можно сделать вывод, что одноадресатные пакеты не только на- насыщают сеть, но и искажают информацию в таблицах мостов, и работоспособность сети может быть нарушена не только широковещательными фреймами. Две ключевых концепции распределенного связующего дерева Для создания свободной от петель топологии сети в вычислениях связующего де- дерева используются два основных параметра: • идентификатор моста (Bridge ID — BID); • стоимость маршрута. Идентификатор моста Идентификатор моста — это поле длиной 8 байт, состоящее из двух частей, приве- приведенных на рис. 6.5. BID-8 байт Приоритет моста МАС-адрес 2 байта Интервал значений: 0-65,535 Стандартное значение: 32,768 6 байт На задней панели/из модуля управления Рис. 6.5. В поле BID первые 2 байта содержат приоритет моста, а последние 6 байт отведены под МАС-адрес Последние 6 байт поля BID отводятся под МАС-адрес, назначенный коммутатору или мосту. Коммутаторы Catalyst серии 5000 или 6000 используют один МАС-адрес из адресного пространства в 1024 адреса, причем адрес назначается администратором или сразу указан на задней панели устройства. МАС-адрес в поле BID выражается обычно в шестнадцатеричном формате и не может быть изменен пользователем. Внимание! Некоторые коммутаторы Catalyst берут МАС-адрес из модуля управления (например, Catalyst 5000), а у некоторых, таких, как Catalyst 5500 или Catalyst 6000, МАС-адрес напечатан на задней панели. Остальные 2 байта A6 бит) поля BID содержат значение приоритета моста. Не надо путать понятие приоритета моста с различными понятиями приоритета порта, приведенными в главе 7, "Расширенные возможности протокола распределенного связующего дерева". Программисты, которые пишут код на языке С, знают, что целое 16-битное число без знака может иметь 216 различных значений в диапазоне от 0 до 206 Часть II. Механизм распределенного связующего дерева
65535. По умолчанию приоритет моста устанавливается в значение 32768 и выражает- выражается в десятичном формате. Внимание! В книге обсуждается только IEEE-версия протокола STP. Хотя механизмы функциониро- функционирования существующих реализаций протокола идентичны, различия между версией IEEE STP и версией DEC STP (самая первая реализация протокола STP) все же есть. Напри- Например, в версии протокола DEC STP под значение приоритета моста отводится всею 8 бит. Коммутаторы Catalyst серии 4000, 5000 и 6000 поддерживают только IEEE-версию STP. Маршрутизаторы Cisco поддерживают обе реализации. Еще одной особенностью техно- технологии является то, что поддержка виртуальных локальных сетей маршрутизаторами была введена в операционной системе IOS версии 12.0. Данная версия системы может быть использована в сетях, сочетающих маршрутизацию и коммутацию. За подробной инфор- информацией по этому вопросу обратитесь к главе 11, "Коммутация третьего уровня". Стоимость маршрута Стоимость маршрута — это относительное значение расстояния между двумя уст- устройствами, или другими словами, параметр, определяющий, насколько один коммута- коммутатор близок к другому. Стандарт 802.Id определяет стоимость маршрута как скорость передачи данных 1000 Мбит/с, поделенную на пропускную способность канала, вы- выраженную в Мбит/с. Для примера: канал lOBaseT имеет стоимость 100 A000/10), ка- каналы FastEthernet и FDDI имеют стоимость 10 A000/100). Такая схема вычисления стоимости пути исправно работала многие годы, пока с развитием технологий Gigabit Ethernet и ОС-48 ATM B,4 Гбит/с) не возникла проблема дробных стоимостей путей, т.к. вышеуказанный стандарт определяет стоимость пути как целое число. Для канала ОС-48 ATM результатом деления 1000/2400 будет число 0,41667. Как одно из решений проблемы было предложено назначать одинаковую стоимость для всех каналов с про- пропускной способностью более 1 Гбит/с, равную 1. Такой подход избавил бы протокол STP от выбора "наилучшего маршрута" в гигабитовых сетях. Однако достаточно неплохим решением возникшей проблемы дробных стоимостей стало введение организацией IEEE стандарта протокола STP с нелинейной шкалой стоимостей. Значения новой шкалы приведены в табл. 6.1. Таблица 6.1. Значения стоимости пути в IEEE-версии протокола STP '• Пропускная способность канала Стоимость пути 4 Мбит/с 250 10 Мбит/с 100 16 Мбит/с 62 45 Мбит/с 39 100 Мбит/с 19 155 Мбит/с 14 622 Мбит/с 6 1 Гбит/с 4 10 Гбит/с 2 Глава 6. Основы протокола распределенного связующего дерева 207
Значения в табл. 6.1 подобраны таким образом, что в одной сети могут использо- использоваться как старые значения шкалы стоимостей, так и новые. Необходимо запомнить, что в протоколе STP чем меньше стоимость, тем лучше. В версиях от 1.x до 2.4 коммутаторов Catalyst 5000 NMP используется старая шкала, а в версиях 3.1 и выше— новая нелинейная шкала. Коммутаторы Catalyst серии 4000 и 6000 используют только нелинейную шкалу. Алгоритм принятия решения Для создания топологии сети без петель в протоколе STP используется один и тот же алгоритм принятия решения, состоящий из четырех этапов, которые перечислены ниже. Этап 1. Выбор наименьшего идентификатора корневого моста (Root BID). Этап 2. Выбор наименьшей стоимости маршрута к корневому мосту. Этап 3. Выбор наименьшего идентификатора (BID) моста-отправителя. Этап 4. Выбор наименьшего идентификатора порта (Port ID). Мосты и коммутаторы используют для обмена информацией протокола STP спе- специальные фреймы — сообщения данных мостового протокола (BPDU). Мост исполь- использует вышеуказанный алгоритм для сохранения копии наиболее приемлемого из сооб- сообщений BPDU, полученных на каждый порт. При такой оценке мост рассматривает все полученные в порт сообщения BPDU так же, как и те сообщения, которые долж- должны быть отправлены через данный порт. По приходу в порт каждого сообщения BPDU от другого моста в сети мост, являющийся получателем, с помощью рассмот- рассмотренного выше алгоритма определяет, является ли полученное в порт сообщение более приемлемым (т.е. имеет наименьшие показатели), чем сохраненное портом сообще- сообщение. Если полученное сообщение (или сгенерированное локально) более приемлемо, то новое сообщение заменяет записанное. Совет Мосты и коммутаторы будут отправлять сообщения BPDU, пока не будет получено хо- хотя бы одно приемлемое сообщение. Необходимо добавить, что процесс определения и сохранения приемлемого сообще- сообщения BPDU контролирует так же и отправку сообщений соседним мостам или коммута- коммутаторам. Когда мост или коммутатор становится активным в первый раз, то со всех портов каждые 2 с оправляются сообщения BPDU (при использовании стандартного значения интервала). Если мост получает через порт от другого моста более приемлемое сообще- сообщение, чем отправленное в этот же порт, то отправка в локальный порт сообщений BPDU прекращается. Если же более приемлемое отправленное сообщение BPDU останавлива- останавливает поступление сообщений от соседнего моста на 20 с (стандартное значение), то ло- локальный порт может восстановить отправку сообщений BPDU еще раз. Внимание! Сообщения BPDU протокола STP существуют двух типов: конфигурационные сообще- сообщения BPDU и сообщения об изменении топологии (TCN). В первой части главы расска- рассказывается только о конфигурационных сообщениях BPDU. Во второй части главы об- обсуждаются сообщения TCN и их отличия от конфигурационных сообщений BPDU. 208 Часть II. Механизм распределенного связующего дерева
Три этапа начальной сходимости протокола STP Данная часть главы посвящена алгоритму, который использует протокол STP, и вопросам о том, как он обеспечивает начальную сходимость сети с логической топо- топологией без петель. Алгоритм можно разделить на три этапа. Этап 1. Выбор корневого моста (Root Bridge). Этап 2. Выбор корневых портов (Root Port). Этап 3. Выбор назначенных портов (Designated Port). Когда сеть начинает функционировать впервые, все мосты обмениваются хаотиче- хаотической информацией. При этом для принятия решения мостами используется алгоритм, описанный в предыдущей части главы. Применение рассматриваемого алгоритма по- позволяет мостам быстро сориентироваться во множестве сообщений BPDU, форми- формирующих единое дерево, охватывающее всю сеть. На первом этапе происходит выбор корневого моста, который становится "центром" связующего дерева сети (этап 1). Да- Далее в зависимости от местоположения корневого моста в сети оставшиеся мосты про- производят выбор корневых (этап 2) и назначенных (этап 3) портов для создания топо- топологии без петель. После завершения этапа 3 созданная логическая топология сети бу- будет представлять собой кольцо, а корневой мост — центр расходящихся радиально активных маршрутов без петель или ответвлений. Если сеть находится в устойчивом состоянии, то сообщения BPDU распространяются от корневого моста вдоль ответв- ответвлений к каждому сегменту сети. После того, как сеть с топологией без петель за три этапа пришла в устойчивое со- состояние, любое изменение физической топологии вызывает запуск процесса, описан- описанного в части "Процесс изменения топологии". В оставшейся части главы в качестве модели будет использована сеть с тремя мостами, которая показана па рис. 6.6. МАС-адрес=АА-АА-АА-АА-АА-АА 1/2 1/1 1/1 МАС-адрес=ВВ-ВВ-ВВ-ВВ-ВВ-ВВ 1/2 1/2 МАС-адрес=СС-СС-СС-СС-СС-СС Рис. 6.6. Модель сети для дальнейших дискуссий по основам протокола STP Как видно из рис. 6.6, сеть состоит из трех мостов, соединенных в кольцо. Каждо- Каждому мосту назначен фиктивный МАС-адрес, соответствующий названию устройства (например, мост Cat-A имеет МАС-адрес АА-АА-АА-АА-АА-АА). Глава 6. Основы протокола распределенного связующего дерева 209
Этап 1: выбор корневого моста Корневым выбирается мост с наименьшим идентификатором моста (чем меньше значение Bridge ID, тем лучше). Процесс выбора моста с наименьшим BID носит на- название "корневой борьбы". Совет В документации при обсуждении результатов корневой борьбы используется термин "наивысший приоритет". Необходимо запомнить, что мост с наивысшим значением приоритета всегда имеет наименьший идентификатор моста BID. Во избежание пута- путаницы здесь и далее в тексте используется только значение BID. Как уже говорилось в разделе "Идентификатор моста", поле BID имеет длину 8 байт и состоит из двух частей: приоритет моста и МАС-адреса. Для моста Cat-A (рис. 6.6) идентификатор BID равен 32768.АА-АА-АА-АА-АА-АА. Комбинирование десятичного и шестнадцатеричного числа с первого взгляда выглядит неудобным, но такое представление позволяет видеть каждую часть по отдельности. Совет Чем меньше значение поля BID, тем лучше. Предположим, что мост Cat-B имеет BID, равный 32768.ВВ-ВВ-ВВ-ВВ-ВВ-ВВ, а мост Cat-C — 32768.СС-СС-СС-СС-СС-СС. Поскольку у всех мостов значение при- приоритета моста одинаково и равно 32768, то корневым мостом становится мост с наи- наименьшим значением МАС-адреса (наименьший МАС-адрес АА-АА-АА-АА-АА-АА у моста Cat-A, поэтому корневым мостом становится именно он). Процесс выбора кор- корневого моста представлен на рис. 6.7. Я имею статус корневого моста!у BID= 32,768.АА-АА-АА-АА-АА-АА ВЮ= 32.768.ВВ-ВВ-ВВ-ВВ-ВВ-ВВ 1/1 1/2 ВЮ= 32,768.СС-СС-СС-СС-СС-СС Рис. 6.7. В сети может быть только один корневой мост В процессе обмена сообщениями BPDU мосты Cat-B и Cat-C определяют, что наименьший BID у моста Cat-A. Как уже говорилось, сообщения BPDU — специаль- специальные пакеты для обмена топологической информацией и информацией связующего 210 Часть II. Механизм распределенного связующего дерева
дерева между мостами. Стандартно сообщения BPDU отправляются каждые 2 с, со- составляют межмостовой трафик и не несут пользовательской информации (например, пакетов игры Doom или e-mail). На рис. 6.8 изображена структура сообщения BPDU. BID корневого моста Корневая стоимость BID моста-отправителя Идентификатор порта • Кто имеет статус корневого моста? • Каково расстояние до корневого моста? • Каков BID моста, отправившего сообщение BPDU? • С какого порта было отправлено сообщение BPDU? Рис. 6.8. Структура сообщения BPDU Чтобы разобраться в процессе "корневой борьбы", необходимо рассмотреть, какие манипуляции производятся с идентификатором корневого моста и идентификатором моста-отправителя (определения будут даны ниже). Когда мост каждые 2 с генерирует сообщения BPDU, в поле идентификатора корневого моста он подставляет значение идентификатора (ID) моста, который в данный момент времени является корневым. В поле идентификатора моста отправителя мост всегда помещает собственный иденти- идентификатор (ID). Совет Необходимо запомнить, что идентификатор корневого моста представляет собой идентификатор моста, который в данный момент времени является корневым. Иден- Идентификатор моста-отправителя представляет собой идентификатор локального моста. Сразу после первой загрузки мост в поля Root ID (идентификатор корневого мос- моста) и Sender ID (идентификатор отправителя) подставляет собственные значения. Предположим, что мост Cat-B загружается в первый раз и каждые 2 с отсылает в сеть сообщения BPDU, объявляя себя корневым мостом. Через несколько минут загружа- загружается мост Cat-C и уверенно пытается назначить корневым мостом себя. Когда сооб- сообщения BPDU моста Cat-C достигнут устройства Cat-B, полученные сообщения будут уничтожены, т.к. идентификатор ID моста Cat-B меньше идентификатора моста Cat- С. Как только устройство Cat-B отправит в сеть сообщения BPDU, мост Cat-C обо- обозначит Cat-B как корневой, и с этого момента мост Cat-C будет подставлять в поле Root ID сообщений BPDU идентификатор моста Cat-B, а в поле Sender ID — свой собственный идентификатор. Таким образом, все рабочие мосты в сети придут к со- соглашению, что на данный момент корневым мостом является устройство Cat-B. Пять минут спустя загрузится мост Cat-A. Как было уже показано ранее, мост начнет сразу отправлять сообщения BPDU по сети и попытается установить себя корневым. Как только сообщения от устройства Cat-A достигнут остальных мостов, мост Cat-A будет признан корневым. В таком случае все три моста будут отправлять сообщения BPDU, указывая в поле Root ID идентификатор корневого моста Cat-A, a в поле Sender ID — собственные значения идентификаторов. Глава 6. Основы протокола распределенного связующего дерева 211
Этап 2: выбор корневых портов После того, как на первом этапе был выбран корневой мост, выбираются корне- корневые порты (Root Port). Ближайшие к корневому мосту порты называются корневыми портами. Каждый некорневой мост должен иметь хотя бы один корневой порт. Совет Помните, что каждый некорневой мост выберет хотя бы один корневой порт. Как говорилось ранее, для определения, насколько один мост близок к другому, используется понятие стоимости маршрута. Совокупная стоимость всех каналов к корневому мосту называется корневой стоимостью. На рис. 6.9 проиллюстрировано, как рассчитывается данный параметр в сети с несколькими мостами. Стоимость маршрута =19 1/1 1/2 Стоимость маршрута =19 Рис. 6.9. Каждый некорневой мост должен выбрать хотя бы один корневой порт Когда устройство Cat-A (корневой мост) отправляет сообщения BPDU, указанная в них стоимость равняется 0 (этап 1). При получении такого сообщения мост Cat-B добавляет к значению корневой стоимости значение стоимости маршрута для порта 1/1. Предположим, что сеть работает по технологии Fast Ethernet и используются коммутаторы Catalyst серии 5000 версии 2.4 и выше. Мост Cat-B получает корневую стоимость, равную 0, и добавляет стоимость пути порта 1/1, равную 19 (этап 2). В дальнейшем мост Cat-B в отправленных сообщениях BPDU будет использовать зна- значение корневой стоимости равное 19 (этап 3). Когда сообщения BPDU от моста Cat-B получит мост Cat-C (этап 4), значение корневой стоимости увеличится от 19 до 38 A9+19). С другой стороны, на порт 1/1 устройства Cat-C от корневого моста прихо- приходят сообщения со значением стоимости, равным 0, и затем мост Cat-C увеличивает 212 Часть II. Механизм распределенного связующего дерева
полученное значение стоимости до 19 (этап 5). Мост Cat-C должен будет выбрать корневой порт — ближайший порт к корневому мосту. Т.к. порт 1/1 устройства Cat-C имеет стоимость пути, равную 19, а порт 1/2 имеет стоимость пути, равную 38, то порт 1/1 назначается корневым портом (этап 6). В дальнейшем значение корневой стоимости, равное 19, будет отправлено мостом Cat-C низлежащим коммутаторам (этап 7). Мост Cat-B выполняет аналогичные вычисления. Стоимость пути от корне- корневого моста до порта 1/1 устройства Cat-B равняется 19, в то время как стоимость пути от порта 1/2 моста Cat-B равняется 38, поэтому порт 1/1 становится корневым для коммутатора Cat-B. Необходимо запомнить, что стоимость увеличивается при получе- получении через порт моста сообщения BPDU. Совет Стоимость пути в протоколе STP увеличивается при попучении мостом или коммута- коммутатором сообщения BPDU, а не при отправке. Например, если сообщение BPDU со значением стоимости пути, равным 0, посту- поступает в порт коммутатора Cat-B, то увеличение параметра до значения 19 происходит "внутри" коммутатора сразу после приема сообщения. За более подробной информа- информацией по данному вопросу обратитесь к разделу "Команда show spantree". Совет Существует определенная разница между понятием стоимости маршрута и понятием корневой стоимости. Стоимость маршрута — численное значение, назначенное каждому порту в процес- процессе обмена сообщениями BPDU. При получении такого сообщения через порт значение стоимости пути, назначенное для порта, складывается с полученным. Корневая стоимость — это общая стоимость маршрута до корневого моста. В сооб- сообщении BPDU для хранения и передачи значения корневой стоимости отведено специ- специальное поле. При получении коммутатором сообщения BPDU значение из указанного поля складывается со значением стоимости маршрута, назначенным для порта, кото- который получил сообщение. Этап 3: выбор назначенных портов Механизмы протокола STP, предотвращающие циркуляцию фреймов по сети, ста- становятся очевидными во время третьего этапа обеспечения начальной сходимости — выбора назначенных портов. Каждый сегмент в сети должен иметь хотя бы один на- назначенный порт. Функцию назначенного порта выполняет обычный порт моста, кото- который осуществляет обмен трафиком между сегментом сети и корневым мостом. Ос- Основная идея назначенных портов состоит в том, что если только один порт обрабаты- обрабатывает трафик для определенного сегмента сети, то возможность появления замкнутых петель в сети исчезает. Мост, имеющий хотя бы один назначенный порт, называется назначенным мостом для данного сегмента. Так же, как и в случае корневых портов, основным критерием при выборе назна- назначенного порта является стоимость маршрута к корневому мосту или корневая стои- стоимость (рис. 6.10). Глава 6. Основы протокола распределенного связующего дерева 213
Определим местоположение назначенных портов в каждом сегменте сети, изобра- изображенной на рис. 6.10. Рассмотрим сегмент 1 между коммутаторами Cat-A и Cat-B. В рассматриваемом сегменте есть два порта: порт 1/1 устройства Cat-A и порт 1/1 уст- устройства Cat-B. Порт 1/1 коммутатора Cat-A имеет корневую стоимость, равную 0 (кроме того, коммутатор Cat-A имеет статус корневого моста), а порт 1/1 коммутатора Cat-B имеет корневую стоимость, равную 19 (от устройства Cat-A полученное в сооб- сообщениях значение корневой стоимости равно 0, плюс стоимость пути 19 для порта 1/1 Cat-B). Т.к. порт I/I Cat-A имеет меньшую корневую стоимость, то как было показа- показано выше, порт 1/1 становится корневым портом. В сегменте 2 между Cat-A и Cat-C происходит аналогичный процесс. Порт 1/2 Cat-A имеет значение корневой стоимо- стоимости, равное 0, а порт 1/1 Cat-C — 19. Т.к. порт 1/2 имеет меньшую корневую стои- стоимость, то порт назначается корневым. Необходимо обратить внимание, что каждый активный порт корневого моста становится назначенным портом. Исключением из правила являются физические петли к корневому мосту (например, когда два порта корневого моста подключаются к одному концентратору или два порта соединены кабелем). Мое значение корневой стоимости =0 Мое значение корневой стоимости =19 Мое значение корневой стоимости =19 Сегмент 3 Рис. 6.10. Необходимым условием при выборе назначенного порта для сегмента является наименьшая стоимость маршрута Рассмотрим теперь сегмент 3 между коммутаторами Cat-B и Cat-C: порт 1/1 Cat-B и порт 1/2 Cat-C имеют одинаковое значение корневой стоимости, равное 19. В такой ситуации протокол STP выполняет описанную в разделе "Алгоритм принятия решения" последовательность для принятия решения. Этап 1. Выбор наименьшего идентификатора корневого моста (Root BID). Этап 2. Выбор наименьшей стоимости маршрута к корневому мосту. Этап 3. Выбор наименьшего идентификатора моста-отправителя (BID). Этап 4. Выбор наименьшего идентификатора порта (Port ID). 214 Часть II. Механизм распределенного связующего дерева
Поскольку коммутатор Cat-A уже имеет статус корневого моста, то в соответствии с этапом 2 далее вычисляется корневая стоимость. В рассматриваемом нами случае и устройства Cat-B, и устройства Cat-C имеют одинаковые значения стоимости, равные 19, поэтому для них значение идентификатора устройства-отправителя становится решающим фактором. Идентификатор коммутатора Cat-B C2768.ВВ-ВВ-ВВ-ВВ-ВВ- ВВ) меньше, чем идентификатор коммутатора Cat-C C2768.CC-CC-CC-CC-CC-CC), поэтому порт 1/2 коммутатора Cat-B становится назначенным для сегмента 3, а порт 1/2 коммутатора Cat-C получает статус неназначенного порта. Краткое резюме начальной сходимости протокола STP Подведем итоги рассмотренного нами материала. Начальная сходимость сети обеспечивается в три этапа, которые перечислены ниже. Этап 1. Выбор корневого моста (Root Bridge). Этап 2. Выбор корневых портов (Root Port). Этап 3. Выбор назначенных портов (Designated Port). На первом этапе в сети назначается один корневой мост. Далее, на втором этапе, в каждом некорневом мосту назначается один корневой порт, т.е. порт, ближайший к корневому мосту. И на третьем этапе для каждого сегмента выбирается один назна- назначенный порт. Например, пусть сеть состоит из 15 коммутаторов и содержит 146 сегментов (причем обязательно должно выполняться условие, что каждый порт коммутатора со- соответствует одному сегменту). Количество всех компонентов протокола STP дано в табл. 6.2. Таблица 6.2. Компоненты структуры STP в сети, состоящей из i , коммутаторов и 146 сегментов -.-Ui Компоненты структуры STP Количество Корневой мост Корневой порт Назначенный порт 1 14 146 Решения в протоколе STP принимаются в определенной последовательности. Этап 1. Выбор наименьшего идентификатора корневого моста (Root BID). Этап 2. Выбор наименьшей стоимости маршрута к корневому мосту. Этап 3. Выбор наименьшего идентификатора моста-отправителя (BID). Этап 4. Выбор наименьшего идентификатора порта (Port ID). Все сообщения BPDU, полученные через порт, сравниваются между собой (так же, как все сообщения, отправленные из порта). В порт записывается только наиболее приемлемое сообщение. "Приемлемым" считается сообщение с наименьшими пара- параметрами (например, мост с наименьшим идентификатором становится корневым, а наименьшая стоимость маршрута позволяет определить корневые и назначенные пор- порты). Порт останавливает отправку сообщений BPDU, если было получено более при- приемлемое сообщение, чем отправленное. Глава 6. Основы протокола распределенного связующего дерева 215
Основные состояния протокола STP После того, как у каждого моста в сети определены корневые, назначенные и обычные порты, создание топологии без петель сводится к следующему правилу: пор- порты, определенные как корневые и назначенные, передают данные по сети, а порты, опре- определенные как обычные, блокируют передачу данных. Несмотря на то. что состояние пе- передачи данных (Forwarding) и состояние блокировки (Blocking) — только два наблю- наблюдаемых состояния в стабильно работающей сети, возможных состояний у протокола STP — пять (см. табл. 6.3). | Таблица 6,3. Возможные состояния протокола STP , i Состояние Назначение Передача данных (Forwarding) Отправка и получение пользовательских данных Изучение топологии (Learning) Построение таблиц коммутации Прослушивание (Listening) Построение "активной" топологии Блокировка (Blocking) Получение только сообщений BPDU Отключен (Disabled) Порт в неактивном состоянии Список, представленный в табл. 6.3, можно представить как иерархию состояний от нижнего уровня (состояние блокировки и отключенное состояние) до самого верх- верхнего уровня (состояние передачи данных). Администраторы сети могут перевести тот или иной порт в отключенное состояние. Такое состояние не является составной ча- частью динамической обработки информации портом моста. Сразу после инициализа- инициализации все порты переходят в состояние блокировки и обмениваются только сообщения- сообщениями BPDU. Переход моста в состояние прослушивания может произойти в том случае, если произошло некоторое событие, например, отсутствуют сообщения BPDU определен- определенный период времени. В таком состоянии мост для определения активной топологии принимает или отправляет только сообщения BPDU, а данные пользователя мостом игнорируются. Причем как раз в таком состоянии происходят три этапа начальной сходимости сети, описанные в предыдущем разделе. Порты, потерявшие статус назна- назначенных, определяются как непазначенные и снова переходят в состояние блокировки. Порты, которые в течение 15 с (стандартное значение таймера) оставили за собой статус корневых или назначенных, переходят в состояние изучения топологии— еще один 15-секундный период времени, когда мосты не пропускают информацию пользо- пользователей. В указанный промежуток времени мост занимается построением таблицы ком- коммутации, как описывалось в главе 3, "Технологии функционирования мостов". Когда мост получает фрейм, из заголовка извлекается МАС-адрес отправителя и записывается в таблицу коммутации. В состоянии обучения лавинное распространение пакетов по се- сети сводится к минимуму, а затем начинается передача данных пользователей. Внимание! Кроме сохранения МАС-адреса отправителя и информации по каждому порту, комму- коммутаторы Catalyst изучают информацию о виртуальных локальных сетях, из которых по- поступают фреймы. 216 Часть II. Механизм распределенного связующего дерева
Если порт к концу периода изучения топологии все еще имеет статус корневого или назначенного, происходит переход в состояние передачи информации В данной фазе начинается полноценный обмен информацией между пользователями сети. На рис. 6.11 представлены возможные состояния протокола STP, а также переходы из одного состояния в другое мостового порта. Стандартные состояния A) Порт включен или инициализирован. B) Порт выключен или находится в неисправном состоянии. C) Порт имеет статус корневого или назначенного. D) Порт перестает быть корневым или назначенным E) Таймер передачи истекает. Специфические состояния устройств Cisco F) Состояние PortFast G) Состояние UplinkFasl Состояние изучения топологии Рис. 6.11. Возможные состояния и переходы между ними порта в протоколе STP На рис. 6.12 представлен пример простой сети с уже определенными статусами и состояниями каждого порта. Все порты, кроме порта 1/2 устройства Cat-C, находятся в состоянии передачи информации. Сегмент 1 Сегмент 2 В)-*— Состояние блокировки Сегмент 3 Рис. 6.12. Пример простой сети с определенными статусами и состояниями каждого порта Глава 6. Основы протокола распределенного связующего дерева 217
Символьные обозначения, использованные на рис. 6.12, приведены в табл. 6.4. Таблица 6.4. бимвольные обозначения состояний портов протокола STP Состояние Обозначение Блокировка В Передача данных F Назначенный порт DP Корневой порт RP Неназначенный порт NDP Таймеры протокола STP Как описано в предыдущей главе, длительность состояний прослушивания и изу- изучения топологии составляет 15 с. Для контроля длительности таких временных интер- интервалов в протоколе STP реализованы три таймера (см. табл. 6.5). Таблица 6.5/Таймеры протокола STP ; ; & ; Таймер Назначение Стандартное значение Hello Время между отправкой конфигурационных 2 с сообщений BPDU корневым мостом Forward Delay (Задержка) Длительность состояний прослушивания и 15 с изучения топологии Max Age (Максимальный срок хранения) Время хранения сообщения BPDU 20 с Hello-таймер контролирует интервал между отправлением конфигурационных со- сообщений BPDU. Длительность такого интервала по стандарту 802.Id составляет 2 с. Счетчик таймера контролирует интервал времени между отправлением конфигураци- конфигурационных сообщений BPDU только корневого моста, другие мосты отправляют сообще- сообщения BPDU, как только они получены от корневого. Другими словами, если в резуль- результате неисправностей в сети на период времени от 2 до 20 с перестают поступать со- сообщения BPDU, то некорневые мосты приостанавливают распространение сообщений на указанный период времени. Если время отсутствия сообщений превышает 20 с, т.е. стандартное время максимального срока хранения сообщения, мост признает недей- недействительным сохраненные портами сообщения BPDU и начинает поиск нового кор- корневого порта. Необходимо заметить, что все мосты используют свои собственные, ло- локально сконфигурированные на определенный интервал времени hello-таймеры, при- причем значение интервала используется как таймер повторной передачи уведомлений об изменении топологии (TCN — Topology Change Notification). Таймер задержки используется для контроля длительности сразу двух состояний протокола STP — прослушивания и изучения топологии. Стандартное значение тай- таймера A5 с) было рассчитано, исходя из предположения, что максимальный размер се- сети равен семи переходам между мостами, количество утерянных сообщений BPDU не превышает трех, и время hello-таймера установлено равным 2 с (за подробной инфор- 218 Часть II. Механизм распределенного связующего дерева
мацией о расчете времени задержки обратитесь к разделу "Сообщения BPDU об из- изменении топологии"). Кроме того, таймер задержки контролирует период времени хранения данных в таблице коммутации после изменения активной топологии. Таймер максимального срока хранения записей в таблице (Max Age) контролирует время хранения сообщений BPDU до их удаления. Как уже говорилось, каждый порт сохраняет лучшее из полученных сообщений BPDU. Пока каждые две секунды мост получает непрерывный поток сообщений BPDU, копия наиболее приемлемого из со- сообщений хранится мостом отдельно. Предположим ситуацию, в которой устройство, отсылающее наиболее приемлемое сообщение, выходит из строя. В протоколе STP существуют механизмы, позволяющие перехватывать функции неисправного устрой- устройства другим мостом. Предположим, что сегмент 3 (рис. 6.12) содержит концентратор, а порт 1/1 моста Cat-B неисправен. Мост Cat-C еще не получил уведомления о неисправности, т.к. об- обслуживает Ethernet-канал концентратора, но мост Cat-C зафиксировал отсутствие со- сообщений BPDU. Через 20 с (максимальный срок хранения сообщения) после возник- возникновения неисправности информация о том, что мост Cat-B имеет наилучший назна- назначенный порт в сегменте 3, устареет. В таком случае порт 1/1 моста Cat-C перейдет в состояние прослушивания, чтобы попытаться присвоить себе статус назначенного порта. Далее, т.к. порт 1/2 моста Cat-C является наиболее приемлемым с точки зре- зрения маршрута к сегменту 3, то в итоге порт переходит в состояние передачи данных На практике, чтобы передать все функции порта 1/2 моста Cat-B, который неиспра- неисправен, на порт 1/2 моста Cat-C, требуется 50 с B0 с максимального времени хранения +• 15 с в состоянии прослушивания + 15 с в состоянии изучения топологии). В некото- некоторых ситуациях мост может зафиксировать изменения топологии в непосредственно подключенных к нему сегментах и сразу перейти в состояние прослушивания без ожидания в течение 20 с максимального времени хранения (пример приведен на рис. 6.13). 30 с Рис. 6.13. Неисправность в сегменте непосредственно под- подключенного к корневому порту моста Cat-C В рассматриваемом случае в неисправном состоянии находится порт 1/1 моста Cat-C. Поскольку неисправность возникла в сегменте с корневым портом, то необходи- необходимость ожидать 20 с, чтобы устарела информация, отпадает, вместо этого порт 1/2 моста Глава 6. Основы протокола распределенного связующего дерева 219
Cat-C немедленно переходит в состояние прослушивания в попытке назначить себя корневым портом. Таким образом, время сходимости STP-протокола уменьшается с 50 с до 30 с A5 с состояния прослушивания + 15 с состояния изучения топологии). Совет Стандартное значение времени сходимости протокола STP колеблется от 30 до 50 с. В разделе "Быстрая сходимость протокола STP" главы 7 описаны методы уменьшения времени сходимости. Существуют два ключевых правила для работы с таймерами протокбла STP. Во- первых, изменять стандартное значение таймера необходимо только в особых случаях. Для более полной информации о конфигурировании таймеров обратитесь к главе 7, "Расширенные возможности протокола распределенного связующего дерева". Во- вторых, даже если возникла потребность в настройке таймеров, модифицировать зна- значения необходимо только на корневом мосту. В сообщениях BPDU для передачи значе- значений таймеров корневого моста ко всем остальным мостам сети отводятся 3 поля. Если каждый мост в сети будет конфигурировать отдельно, то может возникнуть ситуация, когда некоторые мосты могут перейти в состояние передачи данных, в то время как остальные еще находятся в состоянии прослушивания — т.е. сеть полностью дестаби- дестабилизируется. Сообщения BPDU переносят значения временных параметров от корне- корневого моста к остальным мостам в сети. Совет Модифицировать значения таймеров можно только на корневом мосту. Изменения на некорневых мостах не приведут ни к какому результату. В любом случае, перед каки- какими-либо изменениями необходимо позаботиться о резервном корневом мосте. Команда show spantree Команда show spantree является наиболее важной командой коммутаторов Catalyst при работе с протоколом STP. Она имеет множество параметров, данный раз- раздел содержит только описание базового синтаксиса команды (за более полной ин- информацией обратитесь к главе 7, "Расширенные возможности протокола распреде- распределенного связующего дерева"). В примере 6.1 показано выполнение команды show spantree на коммутаторе Cat-B для модели сети, рассмотренной на рис. 6.6. Информацию, полученную при выполнении команды show spantree, можно раз- разделить на четыре части, которые подробно рассмотрены ниже. 1. Общая статистика для текущего моста или коммутатора (строки 2-4). 2. Статистика по корневому мосту (строки 5-9). 3. Локальная статистика моста (строки 10-12). 4. Статистика по портам (строки 13—16). Общая статистика моста находится в верхней части примера 6.1. Первая строка в общей статистике (VLAN 1) показывает, что информация представлена только для се- сети VLAN 1. Во второй строке указано, что для выбранной сети VLAN на коммутаторе активирован протокол STP. Последняя строка указывает, что используется IEEE- 220 Часть II. Механизм распределенного связующего дерева
версия протокола STP (на большинстве коммутаторов Catalyst изменить версию не- невозможно). За более детальной информацией о выводимых значениях обратитесь к разделу "Связующее дерево и виртуальные локальные сети" в конце главы. Пример 6.1. Выполнение команды show spantree на коммутаторе Cat-B для модели сети на рис. б.б Cat-B (enable) show spantree VLAN 1 Spanning tree enabled Spanning tree type ieee Глобальная статистика Designated Root aa-aa-aa-aa-aa-aa Designated Root priority 32768 Designated Root Cost 19 Designated Root port 1/1 Root Max Age 20 sec Hello Time 2 sec Forward Delay 15 sec Статистика — корневого моста Bridge ID MAC ADDR bb-bb-bb-bb-bb-bb Bridge ID priority 32768 Bridge Max Age 20 sec Hello Time 2 sec Forward Delay 15 sec Статистика —локального моста Port 1/1 1/2 Vlan 1 1 Port-State forwarding forwarding Cost 19 19 priority 32 32 Fast-Start disabled disabled Group-method Статистика ' no портам В первых двух строках статистики по корневому мосту указан идентификатор BID текущего корневого моста. Поля BID показаны отдельно: Designated Root (назначенное корневое устройство) — МАС-адрес моста (последние 6 байт BID), a Designated Root Priority (назначенный приоритет корневого моста) — значение при- приоритета моста (первые 2 байта BID). Общая стоимость маршрута к корневому мосту представлена в поле Designated Root Cost. Четвертая строка — Designated Root Port (назначенный корневой порт), указывает, какой порт в данный момент имеет статус корневого. Последняя строка статистики корневого моста указывает заданные на кор- корневом мосту значения таймеров. Как уже говорилось в предыдущем разделе, значения таймеров имеют силу для всей сети (или по крайней мере для VLAN 1), что обеспечи- обеспечивает устойчивость структуры. Термин Designated (назначенный) в данном случае ис- используется, чтобы указать принадлежность выводимых значений корневому порту. Следует отметить, что вследствие изменения топологии и задержек при распростране- распространении информации в течение времени, которое соответствует сходимости алгоритма, информация на отдельном коммутаторе не соответствует достоверным характеристи- характеристикам корневого моста. Локальная статистика моста в первых двух строках содержит значение идентификато- идентификатора BID локального моста, а в третьей строке представлены текущие значения таймеров. Совет Значения таймеров, представленные в локальной статистике моста, не используются, пока мост не получит статус корневого. На них можно не обращать внимания. Глава 6. Основы протокола распределенного связующего дерева 221
Статистика по портам моста представлена в нижней части примера 6.1. В зависи- зависимости от количества портов коммутатора Catalyst, статистика может растянутся на не- несколько экранов, разделенных обозначением more (далее). В такой статистике можно найти стоимости маршрутов для каждого порта. Значение стоимости маршрута каж- каждого порта складывается со значением корневой стоимости, полученным в сообщени- сообщениях BPDU. Другими словами, пусть порт 1/1 коммутатора Cat-B получает сообщения BPDU от корневого моста со значением стоимости маршрута, равным 0. Значение стоимости 19, записанное для порта 1/1, добавляется к нулевому значению, получен- полученному от корневого моста, результирующая величина 19; сохраняется как значение Designated Root Cost. Коммутатор Cat-B отправляет в нижний сегмент сообщения BPDU со значением стоимости маршрута 19 — значение стоимости пути 19, записан- записанное для порта 1/2, не добавляется к отправляемому значению. Совет Значения стоимости маршрута в статистике по портам, выводимые командой show spantree, добавляются к значениям стоимости, полученным через порт коммутатора; при отправке сообщения значение порта не добавляется. Информация, полученная с помощью команды show spantree, очень полезна при изучении процессов, происходящих в сети с работающим протоколом STP. На- Например, она будет бесценна в ситуации, когда необходимо определить местоположе- местоположение корневого моста. Рассмотрим рис. 6.14. Рис. 6.14. Использование команды show spantree для определения местоположе- местоположения корневого моста Информация о сети VLAN 1, полученная с помощью команды show spantree на коммутаторе Cat-1, приведена в примере 6.2. Пример 6.2. Определение местоположения корневого моста с помощью команды show spantree для сети VL.AN 1 моста Cat-1 Cat-l (enable) show spantree VLAN 1 Spanning tree enabled 222 Часть II. Механизм распределенного связующего дерева
Spanning tree type ieee Designated Root 00-eO-f9-16-28-00 Designated Root Priority 100 Designated Root Cost 57 Designated Root Port 1/1 Root Max Age 10 sec Hello Time 1 sec Forward Delay 10 sec Bridge ID MAC ADDR 00-e0-f9-af-5d-00 Bridge ID Priority 32768 Bridge Max Age 20 sec Hello Time 2 sec Forward Delay 15 sec Port Vlan Port-State Cost Priority Fast-Start Group-method 1/1 1 forwarding 19 32 disabled 1/2 1 blocking 100 32 disabled Несмотря на то, что в полученной с помощью команды show spantree информа- информации указано, что корневой мост имеет BID 100.00-E0-F9-16-28-00, определить местопо- местоположение устройства с МАС-адресом 00-E0-F9-16-28-00 в большой сети довольно слож- сложно. Неплохим методом решения такой проблемы является составление списка всех МАС-адресов, назначенных для каждого коммутатора Catalyst в сети — за^тие весьма утомительное, и всегда существует вероятность ошибки в процессе составления карты адресов. Более эффективным подходом является сбор информации в сети с помощью команды show spantree для определения местоположения корневого моста. Внима- Внимательное изучение поля Designated Root Port позволяет определить, что корневой мост на- находится в сегменте порта 1/1. Далее, обратившись к топологической диаграмме (или введя команду show cdp neighbor), можно определить, что Cat-2 — следующий ком- коммутатор в сегменте порта 1/1. Далее с помощью команды telnet1 можно зайти на уст- устройство Cat-2 и выполнить команду show spantree, как показано в примере 6.3. [Пример6.3. Определение местоположения корневого моста с помощью > г команды show spantree для сети VLAN 1 коммутатора Cat-2 I Cat-2 (enable) show spantree VLAN 1 Spanning tree enabled Spanning tree type ieee Designated Root 00-e0-f9-16-28-00 Designated Root Priority 100 Designated Root Cost 38 Designated Root Port 2/2 Root Max Age 10 sec Hello Time 1 sec Forward Delay 10 sec Bridge ID MAC ADDR 00-e0-f9-ld-32-00 ' Большинство устройств корпорации Cisco имеют встроенную службу telnet, которая запускается одноименной командой. Можно также просто набрать IP-адрес или имя устройства и перейти по протоколу telnet на другое сетевое устройство корпорации Cisco или сетевой сервер. — Прим. ред. Глава 6. Основы протокола распределенного связующего дерева 223
Bridge ID Priority 32768 Bridge Max Age 20 sec Hello Time 2 sec Forward Delay 15 sec Port Vlan Port-State Cost Priority Fast-Start Group-method 2/1 1 forwarding 19 32 disabled 2/2 1 forwarding 19 32 disabled 2/3 1 blocking 100 32 disabled Порт 2/2 коммутатора Cat-2 имеет статус корневого. Поскольку соседним комму- коммутатором в сегменте порта 2/2 является устройство Cat-4, с помощью команды telnet можно зайти на коммутатор Cat-4 и выполнить команду show spantree, как показа- показано в примере 6.4. ; Пример 6.4. Определение местоположения корневого моста с помощью ■; команды show spantree для сети VLAN 1 коммутатора Cat-4^ ! Cat-4 (enable) show spantree VLAN 1 Spanning tree enabled Spanning tree type ieee Designated Root 00-eO-f9-16-28-00 Designated Root Priority 100 Designated Root Cost 19 Designated Root Port 2/1 Root Max Age 10 sec Hello Time 1 sec Forward Delay 10 sec Bridge ID MAC ADDR 00-e0-f9-52-ba-00 Bridge ID Priority 32768 Bridge Max Age 20 sec Hello Time 2 sec Forward Delay 15 sec Port Vlan Port-State Cost Priority Fast-Start Group-method 1/1 1 forwarding 19 32 disabled 1/2 1 forwarding 100 32 disabled 2/1 1 forwarding 19 32 disabled Поскольку для коммутатора Cat-4 порт 2/1 имеет статус корневого, рассмотрим следующий коммутатор Cat-З (см. пример 6.5). Пример 6.5. Определение местоположения корневого моста с помощью I , команды show spantree для сети VLAN 1 коммутатора Cat-З ' j Cat-3 (enable) show spantree VLAN 1 Spanning tree enabled Spanning tree type ieee 224 Часть II. Механизм распределенного связующего дерева
Designated Root 00-eO-f9-16-28-00 Designated Root Priority 100 Designated Root Cost 0 Designated Root Port 1/0 Root Max Age 10 sec Hello Time 1 sec Forward Delay 10 sec Bridge ID MAC ADDR 00-e0-f9-16-28-00 Bridge ID Priority 100 Root Max Age 10 sec Hello Time 1 sec Forward Delay 10 sec Port Vlan Port-State Cost Priority Fast-Start Group-method 1/1 1/2 1 1 forwarding forwarding 100 19 32 32 disabled disabled Как видно на примере 6.5, достаточно легко определить, что коммутатор Cat-З яв- является корневым мостом на основании выводов, которые перечислены ниже. • Порт 1/0 имеет статус корневого порта. Важно помнить, что коммутаторы Catalyst серии 4000, 5000 и 6000 не имеют физических портов, обозначенных 1/0. Программное обеспечение NPM использует ссылку на локальный кон- консольный порт SCO как на "логический корневой порт". • Значение локального идентификатора BID равно идентификатору BID корне- корневого моста. • Корневая стоимость равна 0. • Значения таймеров отличаются от стандартных. • Все порты коммутатора находятся в состоянии передачи данных. На этом поиск можно прекратить — статус корневого моста имеет коммутатор Cat-3. Два типа сообщений BPDU Когда в тексте до настоящего момента упоминались сообщения BPDU, имелась ввиду просто совокупность сообщений без разделения на типы. Существуют два типа сообщений BPDU: • конфигурационные сообщения BPDU; • сообщения об изменении топологии (TCN — Topology Change Notification). Конфигурационные сообщения создаются корневым мостом и далее распространяют- распространяются по активным маршрутам. Сообщения об изменении топологии распространяются в обратном направлении, чтобы сообщить корневому мосту об изменениях в топологии. Далее указанные типы сообщений будут рассмотрены подробнее. Конфигурационные сообщения BPDU В нормально работающей сети преобладают конфигурационные сообщения BPDU. На рис. 6.15 представлен формат передаваемых сообщений BPDU. Глава 6. Основы протокола распределенного связующего дерева 225
В-Щ) IEEE вО2 3 : ! ^ Address 00-10-14-23-14-09 >01-вС-С2-00-00-00 Length' 38 В~Т" Logical Link Control SSAP Address- 0x4?. CR bit • 0 (Command) DSAP Address: 0x42. 1G bit - 0 (Individual address) _ Unnumbered frame UI Ф19 Bridge Protocol Data Unit 1 - mP.rotocol ID- 0 Version. 0 Type: 0 (Configuration) Flags: OxOG Poot ID. B00000101423A408 Priority OxGOOO MAC Address 00-10-34-23-A4-09 Root Path Cost■ 0 Bridge ID: 8000C0101423A408 Priority. 0x6020 MAC Address. 00-10-14-23-A4-06 Port ID: 0x8002 Message Age. 0 Max Age: 20 Hello Tine. 2 Forverd Delay 15 Frame Padding : F bytes) Calculate CRC 0x26544023 Рис. 6.15. Формат сообщений BPDU Внимание! До сих пор для простоты в данной главе опускался тот факт, что сообщений BPDU существуют два типа, поэтому просто использовался термин сообщение BPDU. Одна- Однако, во всех рассматриваемых примерах имелись в виду конфигурационные сообщения BPDU. Второй тип сообщений (сообщения BPDU об изменении топологии) будет де- детально рассмотрен в следующем разделе. Информация, приведенная на рис. 6.15, получена с помощью анализатора сетевого трафика NetXRay компании Network Associate (известной ранее как Network General). Несмотря на то, что уже доступны более новые версии программы NetXRay. версия на рис. 6.!5 остается довольно полезной для мониторинга и г.редстаялемия информа- информации протокола STP в доступной для понимания пользователя форме. В верхней части экрана представлена информация о заголовке Ethernet 802.3. Адрес отправителя (Source address) — это МАС-адрес отдельного порта, который отправил сообщение BPDU. Каждый порт коммутатора Catalyst использует уникальное значение МАС- адреса отправителя для передачи сообщений BPDU. Необходимо знать разницу между МАС-адресом любого порта и МАС-адресом используемого2 для идентификатора BID. Каждому порту коммутатора Catalyst назначается уникальный МАС-адрес, кото- который идентифицирует обычный порт как отправителя. Значение BID — это глобаль- глобальное значение (внутри одной сети VLAN) МАС-адреса, полученное от аппаратно- программного обеспечения административного модуля (Supervisor), или аппаратный адрес, который написан на задней панели. МАС-адрес отправителя используется для построения фрейма, несущего сообщение BPDU, в то время как МАС-адрес, исполь- используемый в идентификаторе BID, является составной частью информации конфигура- конфигурационного сообщения BPDU. МАС-адрес получателя равен хорошо известному многопользовательскому адресу 01-80-С2-00-00-00. Поле Length (длина) содержит значение длины заголовка 802.3 LLC и сообщения BPDU. К тому же, внизу окна программы на рис. 6.15 показано 2 Коммутаторы Catalyst всегда имеют па один МАС-адрес больше, чем количество портов: от- отдельный МАС-адрес на каждый порт, а также еще один дополнительный адрес — МАС-адрес всего устройства. — Прим. ред. 226 Часть II. Механизм распределенного связующего дерева
значение CRC (контрольная сумма), которое также является частью инкапсуляции 802.3 (в частности, это заключительное поле фрейма 802.3). Сразу под описанием за- заголовка 802.3, в верхней части рис. 6.15 находится описание заголовка LLC 802.3. Та- Такой 3-байтный заголовок состоит из трех полей, которые определяют тип информа- информации, передаваемой в фрейме. В стандарте IEEE значения полей DSAP (destination service access point — адрес точки доступа к службе получателя) и SSAP (source service access point — адрес точки доступа к службе отправителя), равные 0x42, зарезервиро- зарезервированы для STP. Указанное значение особо важно и соответствует зарезервированной битовой последовательности (в двоичном исчислении 0x42 соответствует числу 01000010). Следующий байт всегда является контрольным и обозначает, что любой протокол, не являющийся сетевым протоколом SNA (включая протокол STP), ис- использует значение, равное 0x03, для поля UI (Unnumbered Information — информаци- информационный ненумерованный) фрейма3. Две трети нижней части окна программы на рис. 6.15 содержат информацию о со- сообщении BPDU. Конфигурационное сообщение BPDU состоит из 12 полей, которые подробно описаны ниже (см. рис. 6.15). • Protocol ID — идентификатор протокола. Значение данного поля всегда равно 0. В будущих реализациях протокола значение может быть другим. • Version — версия. Значение поля всегда равно 0. В будущих реализациях прото- протокола значение может измениться. • Туре — тип сообщения. Указывает, какой именно из двух типов сообщений BPDU (конфигурационные сообщения BPDU и сообщения об изменении то- топологии TCN) передается. За более полной информацией обратитесь к разделу "Сообщения BPDU об изменении топологии". • Flags — признаки. Используются для обработки изменений в топологии. Более подробно рассматриваются в следующем разделе. • Root BID — идентификатор корневого моста. На рис. 6.15 помечен как Root ID. Поле содержит значение идентификатора корневого моста. После установ- установления статической конфигурации сети все конфигурационные сообщения BPDU в сети с мостами или коммутаторами должны иметь одно значение в данном поле (для одной сети VLAN). Программа NetXRay разделяет значение идентификатора па значение приоритета моста и МАС-адрес моста. За подроб- подробной информацией обратитесь к разделу "Этап 1: выбор корневого моста". • Root Path Cost — стоимость маршрута к корневому мосту. Общая стоимость всех маршрутов к корневому мосту. См. раздел "Стоимость маршрута". • Sender BID — идентификатор моста-отправителя. Значение идентификатора BID моста, который создает сообщение BPDU. Значение, указанное в поле, одинаково во всех сообщениях, отправленных коммутатором (для одной сети VLAN). Но для различных коммутаторов значение идентификатора моста от- отправителя разное. См. раздел "Этап 3: выбор назначенных портов". 3 Существуют четыре типа фреймов: информационный (information frame, I-frame), фрейм управ- управления (supervisory frame, S-frame), ненумерованный (unnumbered frame, U-frame) и информационный ненумерованный (unnumbered information frame, UI-frame). — Прим. ред. Глава 6. Основы протокола распределенного связующего дерева 227
• Port ID — идентификатор порта. Содержит уникальное для каждого порта мос- моста или коммутатора значение. Порт 1/1 имеет значение 0x8001, в то время как порт 1/2 — значение 0x8002 (в общем случае номера группируются в блоки в зависимости от номера разъема, и не упорядочены). За более полной информа- информацией обратитесь к разделу "Балансирование нагрузки в протоколе STP" главы 7, "Расширенные возможности протокола распределенного связующего дерева". • Message Age — время хранения сообщения. Интервал времени от момента от- отправки корневым мостом сообщения BPDU. Если мост потерял связь с корне- корневым мостом (и следовательно, остановился прием сообщений BPDU), он уве- увеличивает указанное значение во всех сообщениях BPDU, подчеркивая тем са- самым, что информация устарела. • Max Age — максимальный срок хранения сообщения BPDU. Поле оказывает влияние на таймер времени хранения таблицы моста в процессе уведомления об изменении топологии. Измеряется в 256-х секунды. За подробной информа- информацией обратитесь к разделу "Таймеры протокола STP". • Hello Time — интервал времени между отправкой конфигурационных сообще- сообщений BPDU. Корневой мост отправляет конфигурационные сообщения каждые Hello Time секунд. Мосты, получившие такое сообщение, отправляют его даль- дальше в сеть. Измеряется в 256-х секунды. За подробной информацией обратитесь к разделу "Таймеры протокола STP". • Forward Delay — интервал времени, составляющий длительность состояний про- прослушивания и изучения топологии. Значение оказывает влияние на таймер времени хранения таблицы моста в процессе уведомления об изменении топо- топологии. Измеряется в 256-х секунды. За подробной информацией обратитесь к разделу "Таймеры протокола STP". Описание полей сообщения BPDU сведены в табл. 6.6. ! Таблица 6.6. Поля сообщения BPDU 7 ■■-<:: ' - :/"i:'-'~:■::■■; ■'"■'"'" -'^ **! Поле Октет Описание Всегда О Всегда О Тип сообщения BPDU. Если значение равно 0, то сообщение BPDU — конфигурационное LSB — признак изменения топологии (Topology Change или ТС) MSB — признак подтверждения топологии (Topology Change Acknowledgment или ТСА) Идентификатор BID текущего корневого моста Совокупная стоимость пути к корневому мосту Идентификатор BID текущего моста Уникальный идентификатор (ID) моста, отправляющего сообщения BPDU Время, прошедшее с момента создания корневым мостом полученного сообщения BPDU Период хранения сообщения BPDU Время между отправкой сообщений BPDU Длительность состояний прослушивания и обучения 228 Часть II. Механизм распределенного связующего дерева Protocol ID Version Type Flags Root BID Root Path Cost Sender BID Port ID Message Age Max Age Hello Time Forward Delay 2 1 1 1 8 4 8 2 2 2 2 2
Сообщения BPDU об изменении топологии Несмотря на то, что большинство сообщений BPDU в работающей сети — это конфигурационные сообщения, во всех сетях с коммутаторами или мостами обяза- обязательно присутствуют сообщения об изменении топологии (Topology Change Notifica- Notification — TCN). Сообщения TCN BPDU, как принято их называть, играют ключевую роль в обработке изменений активной топологии. На рис. 6.16 проиллюстрировано содержимое сообщения TCN BPDU. Е]Щ5 IEEE 802.2 | i-1*й Address: 00-10-14-31-09-08 J01-80-C2-00-00-00 | '~О Length: 7 ical Link Control SSAP Address 0x42. CR bit - 0 (Conmand) dSAP Address. 0x42. IG bit - 0 (Individual address) Unnumbered frane UI Bridge Protocol Date Unit "Protocol ID: 0 Version: 0 ЦТ» Type: 0x80 (Topology Change Notification) gFre»e Padding : C9 bytes) Calculate CRC: 0x6Sad743d Рис. 6.16. Структура сообщений TCN BPDU , Структура сообщений TCN BPDU намного проще, чем структура конфигураци- конфигурационных сообщений, представленных на рис. 6.15, и состоит только из трех полей. Сообщение TCN BPDU соответствует первым трем полям конфигурационного со- сообщения BPDU, за исключением одного бита в поле Туре (тип). Другими словами, тип сообщения определяет только один бит. Поле Туре может принимать одно из двух значений: • 0x00 (в двоичном виде — 0000 0000) — конфигурационное сообщение BPDU; • 0x80 (в двоичном виде — 1000 0000) — сообщение об изменении топологии. Следует отметить, что сообщения TCN BPDU не несут дополнительной инфор- информации. Процесс изменения топологии Несмотря на свою простоту, сообщения TCN BPDU играют важную роль в сете- сетевой инфраструктуре. Представим ситуацию, когда в сети происходит изменение топо- топологии (рис. 6.17). Предположим, пользователь узла Г играет в Doom с коллегой, работающим на станции Д. Как было показано на рис. 6.12, поток информации проходит от станции Г к станции Д через коммутатор Cat-В (этап 1). Предположим также, что трансивер порта 1/2 коммутатора Cat-B неисправен (этап 2). Как уже говорилось ранее, чтобы порт 1/2 коммутатора Cat-C принял статус назначенного, необходимо 50 с. Но игра будет прервана еще на 250 с (т.е., на 4 мин 10 с), если не учитывать наличие сообще- сообщений об изменении топологии. Рассмотрим процессы, происходящие в сети, более де- детально. До появления неисправности информация, хранящаяся в таблицах коммута- коммутации на трех коммутаторах, приведена в табл. 6.7. Глава 6. Основы протокола распределенного связующего дерева 229
MAC=DD-DD-DD-DD-DD-DD Станция Г [Корневой] МАС-адрес Порт DD-DD-DD-DD-DD-DD 1 ЕЕ-ЕЕ-ЕЕ-ЕЕ-ЕЕ-ЕЕ 1 Таблица коммутации Сегмент 2 Концентратор Сегмент 1 Таблица коммутации МАС-адрес Порт DD-DD-DD-DD-DD-DD 1 ЕЕ-ЕЕ-ЕЕ-ЕЕ-ЕЕ-ЕЕ 2 Таблица коммутации МАС-адрес Порт DD-DD-DD-DD-DD-DD 1 ЕЕ-ЕЕ-ЕЕ-ЕЕ-ЕЕ-ЕЕ 1 Станция Д МАС=ЕЕ-ЕЕ-ЕЕ-ЕЕ-ЕЕ-ЕЕ Рис. 6.17. Сообщения TCN BPDU необходимы для обновления информации в таблицах коммутации мостов г Таблица 6.7. Записи в таблицах коммутации перед изменением топологии Таблица коммутации Порт, ассоциированный с адресом ЕЕ-ЕЕ-ЕЕ-ЕЕ-ЕЕ-ЕЕ Cat-A Cat-B Cat-C Порт 1/1 Порт 1/2 Порт 1/1 Другими словами, все фреймы, направленные станции Д перед неисправностью, распространяются вдоль сети против часовой стрелки, поскольку порт 1/2 коммутато- коммутатора Cat-C находится в состоянии блокировки. Когда возникает неисправность порта 1/2 коммутатора Cat-B, порт 1/2 коммутатора Cat-C принимает статус назначенного порта, что позволяет потоку информации распространяться в направлении по часовой стрелке для достижения станции Д. Тем не менее, таблицы коммутации указывают неправильное направление для потока информации. Другими словами, информацию в таблицах коммутаторов необходимо обновить. Можно обойтись и без обновления ин- 230 Часть II. Механизм распределенного связующего дерева
формации, но тогда необходимо выждать в течение времени стандартного таймера старения информации в таблицах коммутации. По умолчанию значение времени ожи- ожидания равняется 300 с, и в течение 5 мин целостность информации в таблицах комму- коммутации будет нарушена и работа сети может быть нестабильной. Сообщения TCN BPDU являются довольно простым способом уменьшения вре- времени сходимости логической структуры сети. Механизмы работы сообщений TCN BPDU имеют много общего с механизмами конфигурационных сообщений BPDU, основные этапы работы механизма очень похожи для двух типов сообщений и под- подробно описаны ниже. 1. Мост создает сообщение TCN BPDU в двух ситуациях: • порт переходит в состояние передачи, если мост имеет хотя бы один назна- назначенный порт; • порт переходит из состояния передачи или изучения топологии в состояние блокировки. Указанные ситуации требуют сделать изменение в активной топологии сети, и появляется необходимость в уведомлении корневого моста. Если предпо- предположить, что рассматриваемый мост не является корневым, то в корневой порт моста начинается отправка сообщений TCN BPDU. Отправка сообще- сообщений продолжается с интервалом времени, указанным в hello-таймере, пока устройство не обнаружит обратное уведомление о получении (отметим, что hello-таймер настроен локально и не имеет ничего общего со значением, ко- которое распространяет корневой мост в конфигурационных сообщениях BPDU). 2. Верхний коммутатор получает сообщения TCN BPDU. Хотя прослушать сооб- сообщения TCN BPDU могут многие мосты (имеющие прямое соединение с сегмен- сегментом корневого порта), подтверждает и обрабатывает сообщения TCN BPDU только назначенный порт. 3. Нижний коммутатор устанавливает бит признака Topology Change Acknowledgment (подтверждение изменения топологии) в следующем по счету конфигурационном сообщении BPDU, которое отправляется через назначенный порт в нижний сегмент. Такое сообщение подтверждает получение уведомления TCN BPDU и останавливает генерацию сообщений TCN BPDU устройства- отправителя. 4. Мост в верхнем сегменте отправляет сообщение TCN BPDU с корневого порта (таким образом, сообщение попадает в сегмент, ближайший к корневому мосту). 5. Этапы со 2 по 4 повторяются, пока сообщение TCN BPDU не будет получено корневым мостом. 6. Корневой мост устанавливает бит признака Topology Change Acknowledgment (чтобы подтвердить получение сообщения TCN BPDU, отправленное предыду- предыдущим мостом) и бит признака Topology Change (изменение топологии) в сле- следующем по счету отправляемом конфигурационном сообщении BPDU. 7. Корневой мост продолжает указывать бит признака Topology Change во всех конфигурационных сообщениях BPDU, которые отправляются в течение време- времени, равного значение таймера задержки + значение таймера максимального срока храпения (при стандартных значениях указанных интервалов это составит Глава 6. Основы протокола распределенного связующего дерева 231
35 с). Установка бита признака Topology Change (изменение топологии) указы- указывает всем мостам ускорить процесс обновления информации в таблицах комму- коммутации с 300 с до текущего значения таймера задержки (по умолчанию 15 с). На рис. 6.18 представлена информация об использовании указанных битов на всех семи этапах процедуры изменения топологии (номера этапов обведены). Некорневой мост А Некорневой мост В Корневой мост Тип сообщения BPDU Флаги ТСА ТС TCN Config TCN Config Config Config Confia N/A 1 N/A 1 0 0 0 N/A 0 N/A 1 1 1 1 | Установка битов ТС продолжается ; в течение времени, равного максимальному ♦ времени хранения + время задержки в секундах (стандартное значение 35 с) Рис. 6.18. Процесс изменения топологии Если применить указанную последовательность для топологии сети, представлен- представленной на рис. 6.17 (для простоты номера этапов на рис. 6.17 опущены), то коммутаторы Cat-B и Cat-C отправят сообщения TCN BPDU в порты 1/1 (этап 1). Поскольку мост в верхнем сегменте имеет статус корневого, сразу после этапа 2 начнется этап 5 (сообщение TCN BPDU сразу поступает к корневому мосту и этапы 3 и 4 можно опустить). Корневой мост в следующем конфигурационном сообщении установит бит признака TCN ACK, что свидетельствует о получении сообщения TCN BPDU от коммутаторов из нижнего сегмента. Коммутатор Cat-A так же установит бит признака Topology Change и будет его использовать в течение 35 с (пусть используются стан- стандартные значения таймеров задержки и максимального срока хранения информации в таблице коммутации) для ускорения процесса обновления информации в таблицах коммутации (этапы 6 и 7). Все три коммутатора получают сообщения с установлен- установленным битом признака Topology Change и время обновления таблиц коммутации снижа- снижается до 15 с. Отметим, что уменьшение времени хранения информации в таблицах коммутации до 15 с не обнуляет таблицу, а ускоряет процесс старения информации. Устройства в сети, которые продолжают передавать информацию в течение 15 с, остаются в табли- таблице коммутации. Однако, если станция Г отправляет фрейм станции Д через 20 с (предположим, что станция Д некоторое время не отправляла информацию), то фрейм будет разослан коммутаторами всем сегментам сети, поскольку МАС-адрес ЕЕ- ЕЕ-ЕЕ-ЕЕ-ЕЕ-ЕЕ не указан ни в одной таблице коммутации. Как только фрейм дос- достигнет станции Д и станция Д даст ответ, коммутаторы сделают запись в новых таб- таблицах коммутации, соответствующих новой топологии. 232 Часть II. Механизм распределенного связующего дерева
В табл. 6.8 приведены записи во всех трех таблицах коммутации для МАС-адреса ЕЕ-ЕЕ-ЕЕ-ЕЕ-ЕЕ-ЕЕ после установления новой топологии и восстановления процес- процесса обмена информацией. f Таблица 6.8. Записи в таблицах коммутации после изменения топологии j Таблица коммутации Порт, ассоциированный с адресом ЕЕ-ЕЕ-ЕЕ-ЕЕ-ЕЕ-ЕЕ Cat-A Cat-B Cat-C Порт 1/2 Порт 1/1 Порт 1/2 С этого момента связь между станцией D и станцией Е будет восстановлена, и можно продолжать игру в Doom. Отметим, что с помощью сообщений TCN BPDU время простоя сети сократилось с 5 мин до 50 с. Как было отмечено в разделе "Конфигурационные сообщения BPDU", оба бита в поле Flags хранятся в одном октете конфигурационного сообщения BPDU. Структура октета представлена на рис. 6.19. Бит 7 БитО ТСА Зарезере фовано: ТС Бит уведомления об изменении топологии Флаг изменения топологии Рис. 6.19. Расположение полей битов признаков в конфигурационном сообще- сообщении BPDU Как говорилось в предыдущем разделе, бит признака ТСА устанавливается комму- коммутатором в верхнем сегменте сети, чтобы приостановить рассылку коммутатором ниж- нижнего сегмента сообщений TCN BPDU. Бит ТС устанавливается корневым мостом, чтобы ускорить процесс старения информации в таблицах коммутации с 300 с до зна- значения таймера задержки распространения. Применение протокола STP в реальных сетях Рассмотрим более сложную топологию, проиллюстрированную на рис. 6.20, и процессы протокола STP, происходящие в реальных сетях. На рис. 6.20 представлена сеть, состоящая из семи коммутаторов, объединенных в петли для достижения наивысшей надежности структуры. Кроме того, на иллюстра- иллюстрации обозначены стоимости маршрутов для технологии Fast Ethernet A9), за исключе- исключением одного канала стандарта lOBaseT A00). Глава 6. Основы протокола распределенного связующего дерева 233
Рис. 6.20. Сложная топология сети с использо- использованием семи коммутаторов Предположим, что коммутатор Cat-4 получает статус корневого моста. В результате работы протокола STP получается активная логическая топология, изображенная на рис. 6.21. Как видно на рис. 6.21, полученная активная топология соответствует канонам протокола STP и имеет один корневой мост в центре. Таким образом, любой некор- некорневой мост может определить кратчайший путь к корневому мосту ("все дороги ведут в Рим"). Другими словами, активная топология состоит из ветвей, расположенных ра- диально относительно корневого моста. Отметим, что корневой мост работает как центральная коммутирующая станция для всего трафика между четырьмя ветвями и должен быть способен выдерживать большую нагрузку. Для примера, коммутаторы Cat-7 и Cat-5 на ветви D отправляют весь трафик другим коммутаторам в сети через корневой мост (Cat-4). Другими сло- словами, коммутатор на месте Cat-4 должен быть самым мошным по сравнению с ос- остальными коммутаторами в сети. 234 Часть II. Механизм распределенного связующего дерева
Станция Б Станция А Рис. 6.21. Активная топология, полученная в процессе работы протокола STP Из рис. 6.21 становится очевидным, почему корневой мост необходимо размещать в центре топологии сети. Предположим, что станция А передает поток информации станции В через коммутаторы Cat-7 и Cat-б. Когда два пользователя собрались поиг- поиграть по сети в Doom, поток информации будет проходить через четыре коммутатора, несмотря на то, что Cat-7 и Cat-б имеют прямое соединение между собой. Такое ре- решение может показаться неэффективным, но ситуация могла бы быть еще хуже, как, например, если по той или иной причине статус корневого моста получил бы комму- коммутатор Cat-1 (см. рис. 6.22). В проиллюстрированном на рис. 6.22 случае логическая топология сети сводится к двум ветвям, и весь трафик между коммутаторами будет проходить через корневой мост. В рассматриваемой ситуации с игрой в Doom поток информации между стан- станциями А и Б будет проходить через семь коммутаторов! Как уже говорилось выше, корневой мост не следует назначать случайно. Предположим, что устройство Cat-1 является маршрутизатором Cisco модели MGS или AGS, основанным на программной коммутации (пропускная способность данных устройств на втором уровне модели OSI составляет 10000 пакетов в секунду), а остальные шесть устройств —коммутаторы Catalyst 5500 или 6000 (пропускная способность таких устройств на втором уровне мо- Глава 6. Основы протокола распределенного связующего дерева 235
дели OSI составляет 1000000 пакетов в секунду). Можно с уверенностью сказать, что корневым мостом станет устройство MGS. Такая уверенность обусловлена борьбой устройств за статус корневого. Статус корневого моста получает устройство с наи- наименьшим идентификатором BID. И как было показано ранее, параметр BID состоит из двух частей: значения приоритета моста и МАС-адреса устройства. Поскольку все коммутаторы по умолчанию имеют значение приоритета, равное 32768, корневым становится устройство с наименьшим МАС-адресом. Коммутаторы Catalyst обычно используют МАС-адрес, который начинается с поля идентификатора OUI 00-10-FF или 00-E0-F9 (например, МАС-адрес 00-10-FF-9F-85-00). Все маршрутизаторы Cisco MGS используют традиционный для устройств Cisco идентификатор OUI 00-00-ОС (например, МАС-адрес 00-00-0c-58-AF-Cl). Значение 00-00-0С настолько мало, что меньше него — только 12 чисел. Следовательно, устройство MGS всегда будет иметь меньший МАС-адрес, чем у любого коммутатора Catalyst, и в сети, состоящей из уст- устройств Cisco, всегда будет получать статус корневого. Ветвь Б Станция Б Станция А Рис. 6.22. Активная топология с неправильным расположе- расположением корневого моста 236 Часть II. Механизм распределенного связующего дерева
Другими словами, если игнорировать правила для выбора местоположения корне- корневого моста, пропускная способность сети может уменьшиться в 1000 раз! Очевидно, что административный контроль корневого моста является залогом высокой произво- производительности сети на втором уровне модели OSI. Определение местоположения корневого моста в сети Как видно из предыдущего раздела, ручная настройка корневого моста все же не- необходима. В действительности, в сети необходимо всегда устанавливать более одного корневого моста — один корневой мост является основным, а второй служит резерв- резервным на случай выхода из строя главного. Когда сеть довольна велика по масштабам, то лучшим решением будет установить еще третий резервный корневой мост на слу- случай выхода из строя основного и второго резервного. В разделе ниже даны рекомендации по установке корневого моста в сети. Реко- Рекомендации, касающиеся выбора местоположения устройства, даны в главе 7, "Расши- "Расширенные возможности протокола распределенного связующего дерева". На практике используются два способа настройки корневого моста: • с помощью команды set spantree priority; • с помощью команды set spantree root. Указание корневого моста вручную: команда set spantree priority Чтобы помочь некоторому мосту получить статус корневого, необходимо убедить- убедиться, что идентификатор BID моста меньше, чем у остальных устройств сети. Можно, конечно, положиться на МАС-адрес устройства, но такой подход может не принести ожидаемых результатов. Гораздо проще изменить приоритет моста. Поскольку первые 16 бит идентификатора моста BID соответствуют значению приоритета, уменьшение значения хотя бы на единицу (с 32768 до 32 767) позволит мосту всегда получать ста- статус корневого в отличие от мостов, использующих стандартное значение. Изменить значение приоритета моста можно с помощью команды set spantree priority: set spantree priority priority [vlan] Несмотря на то, что параметр vlan является необязательным, на практике указы- указывать виртуальную локальную сеть все же необходимо (если не указать сеть VLAN, можно случайно изменить стандартную сеть VLAN 1). Использование параметра vlan будет подробнее рассмотрено ниже. Предположим, что необходимо изменить приори- приоритет для стандартной сети VLAN 1. Совет Практически все команды групп set и show протокола STP поддерживают параметр vlan. Если параметр пропущен, по умолчанию принимается сеть VLAN 1. Необходимо взять за привычку всегда использовать данный параметр в явном виде, даже если из- изменения будут вноситься в настройку сети VLAN 1. Использование параметра vlan предохранит от просмотра или изменения не той сети VLAN. Глава 6. Основы протокола распределенного связующего дерева 237
Предположим, администратору сети необходимо назначить коммутатор Cat-4 кор- корневым. Можно с помощью программы Telnet соединиться с устройством и набрать следующую команду: set spantree priority 100 1 Команда снижает приоритет коммутатора/моста Cat-4 до 100 для сети VLAN 1, что позволит ему всегда получать статус корневого среди остальных коммутаторов со стандартным значением приоритета 32768 (включая маршрутизаторы MGS с мень- меньшим, чем у Cat-4, значением МАС-адреса). Далее необходимо назначить резервный корневой мост на случай выхода из строя устройства Cat-4. Сделаем резервным корневым мостом коммутатор Cat-2: set spantree priority 200 1 Пока коммутатор Cat-4 является активным, устройство Cat-2 никогда не получит статус корневого. Как только коммутатор Cat-4 выйдет из строя, устройство Cat-2 бу- будет однозначно иметь статус корневого. Совет Использование значений приоритета 100 и 200 неслучайно. Указанные значения не раз использовались на практике и зарекомендовали себя в реальных сетях. Схема на- назначения проста для понимания, и, что более важно, очень легко запоминается. Если используя команду show, вы получаете значение приоритета корневого моста, равное 200, то это значит, что основной корневой мост на данный момент находится в неис- неисправном состоянии. Такая схема назначения приоритета моста будет использована при обсуждении методов балансирования нагрузки ниже. Использование макроса set spantree root Начиная с версии 3.x программного обеспечения коммутатора Catalyst 5000 NMP, введен специальный макрос для автоматического программирования приоритетов и других параметров устройства. Полный синтаксис макроса следующий: set spantree root [secondary] [vlan_list] [dia network_diameter] [hello hello_time] Чтобы назначить один из коммутаторов корневым мостом для сети VLAN I, необ- необходимо подсоединиться с помощью программы Telnet к нужному устройству и ввести следующую команду: set spantree root 1 Коммутатор просмотрит приоритет текущего корневого моста. Если значение при- приоритета больше 8192, макрос set spantree root установит на локальном коммута- коммутаторе значение приоритета 8192. Если значение приоритета корневого моста меньше 8192, то макрос установит на локальном коммутаторе значение на 1 меньше, чем у те- текущего корневого моста. Например, если текущий корневой мост использует значение приоритета, равное 100, то макрос установит локальный приоритет 99. Внимание! В существующей на текущий момент документации утверждается, что значение ло- локального приоритета уменьшается на 100 от текущего, если значения 8192 недоста- недостаточно для установки статуса корневого моста. На практике до сих пор всегда наблю- наблюдалось уменьшение значения приоритета только на 1. 238 Часть I!. Механизм распределенного связующего дерева
Чтобы назначить резервный корневой мост, необходимо с помощью программы (или команды коммутатора) Telnet соединиться с нужным устройством и набрать сле- следующую команду: set spantree root 1 secondary Коммутатор уменьшит текущее значение приоритета до 16384. Поскольку указан- указанное значение меньше, чем стандартное значение 32867, и больше, чем текущее значе- значение приоритета корневого моста, резервный корневой мост будет активным в случае неисправности или отказа основного корневого моста. Параметры dia и hello используются для автоматической настройки таймеров протокола STP в соответствии со спецификацией стандарта 802.1 D. Настройка тайме- таймеров более детально обсуждается в разделе "Быстрая сходимость протокола STP" главы 7, "Расширенные возможности протокола распределенного связующего дерева". От- Отметим также, что set spantree root не является простой командой — это макрос, выполняющий множество команд. Другими словами, запись set spantree root ни- никогда не появляется в конфигурационном файле, полученном с помощью команды show config. Необходимо заметить, результаты использования макроса set spantree root всегда отражаются в конфигурации. Предположим, администратор использовал макрос set spantree root 1. Пусть текущий корневой мост имеет приоритет, больший 8192, тогда макрос выполнит команду set spantree priority 1 8191. Команда выполнит изменение приоритета и запишет новое значение в па- память NVRAM, и в дальнейшем не останется никаких признаков использования мак- макроса. Не нужно думать, что раз set spantree root является макросом, а не коман- командой, то его использование для настройки параметров устройств в сети ограничено. Наоборот, использование макроса set spantree root имеет больше преимуществ, чем ручная настройка с помощью необходимых команд, а именно: • простота использования; • нет необходимости запоминать синтаксис всех используемых команд; • если необходимо изменить стандартные значения таймеров, использовать мак- макрос set spantree root гораздо безопасней, чем настраивать все вручную, т.к. макрос использует значения, определенные в спецификации стандарта 802.ID (детальная информация о настройке значений таймеров приведена в разделе "Быстрая сходимость протокола STP" главы 7, "Расширенные возможности протокола распределенного связующего дерева"). Связующее дерево и виртуальные локальные сети Само по себе использование протокола STP предоставляет обширные возможности для администратора сети, кроме того все особенности технологии, которые обсужда- обсуждались выше, можно применять для отдельных виртуальных локальных сетей. Иными словами, устройства Cisco позволяют назначить один экземпляр связующего дерева на каждую сеть VLAN. Такой подход называется PVST: одно связующее дерево па каж- каждую сеть VLAN (per VLAN Spanning Tree). Другими словами, каждая VLAN имеет свой корневой мост и свою активную логическую топологию. Например, сети VLAN 2 Глава 6. Основы протокола распределенного связующего дерева 239
соответствует топология, представленная на части А рис. 6.24, в то время как топо- топология сети VLAN 3 отличается от топологии сети VLAN 2 и представлена иа части Б рис. 6.23. Часть A-VLAN 2 Часть Б-VLAN 3 tfStfSi Рис. 6.23. Метод PVST позволяет создать разные активные топологии для каждой сети VLAN Для указания конкретной сети VLAN используется параметр vlan команды set spantree, рассмотренной в предыдущем разделе. Каждая отдельная сеть VLAN имеет свое различное множество активных путей и свои различные настройки таймеров протокола STP. Использование одного экземпляра связующего дерева для одной сети VLAN имеет две особенности: • можно использовать балансирование нагрузки и контролировать трафик одной сети VLAN; • администратор должен быть хорошим специалистом и должен знать, что он де- делает, иначе можно значительно усложнить себе жизнь. Необходимо сосредоточиться на первом пункте и постараться избежать второго. Если говорить в обшем, то множество экземпляров связующего дерева позволяет максималь- максимально контролировать работу всей сети. Некоторые производители используют только один экземпляр связующего дерева для всех сетей VLAN. Такой подход может не только сильно осложнить контроль сети, но и привести к ее неисправности. Допустим, что эк- 240 Часть II. Механизм распределенного связующего дерева
земпляр связующего дерева в виртуальной сети VLAN 1 определяет топологию для всех сетей VLAN. Если убрать сеть VLAN 5 с канала, используемого сетью VLAN 1, то в слу- случае, когда указанный канал является частью обшей активной топологии для всех вирту- виртуальных локальных сетей, сеть VLAN 5 будет разделена на несколько сегментов. Пользо- Пользователи в сети VLAN 5 окажутся без подсоединения к остальной сети. В главе 7, "Расширенные возможности протокола распределенного связующего де- дерева", обсуждаются преимущества использования множества экземпляров связующего дерева для сложных задач, таких, как балансировка нагрузки. Упражнения В данный раздел включены различные вопросы по теме настоящей главы. Ответив на них, читатель сможет оценить степень владения изложенным материалом. Кроме того, приведенные ниже вопросы помогут подготовиться к письменным и лаборатор- лабораторным экзаменам на получение статуса сертифицированного эксперта по объединенным сетям Cisco (CCIE). Ответы на вопросы приведены в приложении А, "Ответы на кон- контрольные вопросы". Контрольные вопросы В данный раздел включены различные вопросы по теме настоящей главы. Ответив на них, читатель сможет оценить степень владения изложенным материалом. Кроме того, приведенные ниже вопросы помогут подготовиться к письменным и лаборатор- лабораторным экзаменам на получение статуса сертифицированного эксперта по объединенным сетям Cisco (CCIE). Ответы на вопросы приведены в приложении А, "Ответы на кон- контрольные вопросы". 1. Расскажите о трех этапах сходимости протокола STP для активной логической топологии. 2. Сколько корневых мостов, корневых портов и назначенных портов содержатся в сети, изображенной на рис. 6.24? Предполагается, что все устройства работают нормально. Рис. 6.24. Пример сети, состоящей из 4 коммутаторов и 400 станций Глава 6. Основы протокола распределенного связующего дерева 241
3. В процессе работы алгоритма протокола STP каждый порт устройства сохраняет лучшее из сообщений BPDU, полученных через некоторый порт. По каким кри- критериям оценивается полученная информация? 4. В чем заключается важность сообщений TCN BPDU? Опишите процесс изме- изменения топологии. 5. Каким образом вычисляется значение корневой стоимости? 6. Предположим, что в сети установили новый мост, имеющий наименьший иден- идентификатор BID в сети. На мост установлено новое тестируемое программное обеспечение, которое содержит некоторую ошибку при работе с памятью, вследствие чего мост перезагружается каждые 10 мин. Какой эффект оказывает на сеть такая неисправность? 7. Почему при использовании команды show spantree значение в поле Root Max Age отличается от значения поля Bridge Age? 8. Укажите на рис. 6.25 типы портов (RP — корневой порт, DP — назначенный порт, NDP — неназначенный порт) и состояния алгоритма протокола STP (F — передача данных, В — блокировка трафика). Все каналы работают по техноло- технологии Fast Ethernet. Идентификаторы мостов указаны па рисунке. вю= 32768.00-90-92-55-55-55 MDF-Cat-2 BID = 32768.00-90-92-22-22-22 MDF-Cat-3 BID = 32768.00-90-92-33-33-33 Коммутатор группы серверов Cat-1 BID = 32768.00-90-92-11-11-11 Рис. 6.25. Пример сети 9. Что случится в сети, изображенной на рис. 6.26, если коммутатор Cat-4 выйдет из строя? 242 Часть II. Механизм распределенного связующего дерева
Рис. 6.26. Коммутатор Cat-4 соединяет две группы устройств Лабораторные упражнения Постройте сеть, показанную на рис. 6.27. ПК-1 ПК-2 пк-з 10.1.1.3 10.1.1.2 Рис. 6.27. Структура сети для лабораторных работ Используя только VLAN 1, выполните следующие действия: 1. с помощью команды операционной системы Microsoft Windows ping -t ip_address запустите перманентный обмен пакетами ping между станциями ПК-1 и ПК-З. Затем разорвите соединение между станцией ПК-З и коммутато- коммутатором Cat-2. Сколько времени понадобилось на восстановление передачи пакетов ping после восстановления соединения между станцией ПК-З и коммутатором Cat-2? 2. запустите перманентный обмен пакетами ping между станциями ПК-1 и ПК-2. Как и в предыдущем пункте, разорвите соединение между станцией ПК-З и коммутатором Cat-2. Какое влияние окажут указанные манипуляции с сетью на трафик между станциями ПК-1 и ПК-2? 3. используйте команду show spantree на коммутаторах Cat-1 и Cat-2. Какой коммутатор имеет статус корневого моста? Запишите состояние каждого порта. Глава 6. Основы протокола распределенного связующего дерева 243
4. почему порт 1/2 на некорневом мосту находится в состоянии блокировки? Ка- Каким образом коммутатор определил, что указанный порт необходимо перевести в состояние блокировки? 5. запустите перманентный обмен ping-пакетами между станциями ПК-1 и ПК-3. Разорвите соединение между портами 1/1 коммутаторов Cat-1 и Cat-2. Через ка- какое время трафик начнет проходить через соединение между портами 1/2? 6. что и почему произойдет в сети, если восстановить соединение 1/1? 7. не отключая перманентный обмен ping-пакетами, запущенный в пункте 3, разо- разорвите соединение портов 1/2 коммутаторов Cat-1 и Cat-2. Что произойдет с се- сетью в таком случае? 244 Часть II. Механизм распределенного связующего дерева
В этой главе... Авторы книги сердечно благодарят Радию Перльман (Radia Pcrlman) за неоцени- неоценимую помощь в редактировании этой главы. • Проектирование территориальных сетей: определение базовой пропускной способ- способности сети. Данный раздел посвящен методам определения базовой пропускной способности сети, которые используются на протяжении всей главы. • Использование протокола STP при определении базовой пропускной способности се- сети: обзор свойств протокола связующего дерева. В разделе изложены более подроб- подробно основные сведения из главы 6, "Основы протокола распределенного связую- связующего дерева". • Балансирование нагрузки в протоколе связующего дерева. В данном разделе под- : робно рассматриваются недокументированные механизмы балансирования на- нагрузки протокола STP, позволяющие удвоить имеющуюся полосу пропускания канала. • Быстрая сходимость протокола STP. В разделе описаны семь способов умень- уменьшения стандартного времени сходимости протокола STP C0-50 с). • Полезные команды для получения информации о состоянии протокола STP. В раз- разделе представлено описание множества команд полезных для понимания к по- поиска ошибок в работе протокола STP. • Правило PVST+. В данном разделе приведено описание важной особенности, введенной корпорацией Cisco Systems, обеспечивающей взаимодействие между устройствами Catalyst, использующими технологию PVST, и устройствами, под- поддерживающими стандарт 802.1Q. • Отключение протокола STP. В данном разделе приведено описание процесса от- отключения работы протокола STP на устройствах Catalyst и рассмотрены ситуа- ситуации, в которых необходимо отключение протокола STP. • Некоторые советы по работе с протоколом STP. В данном разделе приводятся советы по работе с протоколом STP, позволяющие избавиться от часто возни- возникающих проблем в сети.
Глава 7 Расширенные возможности протокола распределенного связующего дерева Материал данной главы опирается на описание основ протокола распределенного связующего дерева, рассмотренных в главе 6, "Основы протокола распределенного связующего дерева", а также в текущей главе подробно описаны некоторые дополне- дополнения к протоколу STP. После обзора ключевых моментов главы 6 приведено описание полезных на практике механизмов балансирования нагрузки на основе протокола STP. Методы, рассмотренные в разделе, посвященном балансировке нагрузки, позво- позволяют удвоить имеющуюся в наличии пропускную способность канала без приобрете- приобретения нового оборудования. Далее обсуждаются способы уменьшения времени сходимо- сходимости протокола STP после возникновения неисправностей в сети. В конце главы, после рассмотрения использования некоторых новых особенностей команды show, в разделе "Практические советы по работе с протоколом STP" приводятся практические советы по работе с протоколом STP на практике. Для полною понимания материала, изложенного в данной главе, необходимо про- проработать материал главы 6, "Основы протокола распределенного связующего дерева". Например, основы протокола STP необходимы, чтобы освоить балансирование на- нагрузки с помощью механизмов связующего дерева. Минимальное требование включа- включает в себя необходимость выполнить лабораторное упражнение, которое приведено в конце главы 6, максимум — рекомендуется прочитать главу 6 полностью. Внимание! Точно так же, как и в главе 6, примеры, приведенные в текущей главе, демонстрируют только механизмы работы протокола STP, причем рассматриваемые топологии не- . обязательно построены правильно. Вопросы, связанные с разработкой топологии сети, более подробно освещены в главе 11, "Коммутация третьего уровня", главе 14, "Модели территориальных сетей", главе 15, "Реализация конструкции территориаль- территориальной сети", и главе 17, "Учебные примеры: внедрение коммутаторов в сети".
Проектирование территориальных сетей: определение базовой пропускной способности Более детально общие концепции построения территориальных сетей рассматри- рассматриваются в главе 14, "Модели территориальных сетей". Несмотря на то, что существует множество вариантов возможных топологий территориальных сетей, наиболее общий вид инфраструктуры представлен на рис. 7.1. Здание 1 Рис. 7.1. Наиболее общий вариант построения топологии коммутируемой территориальной сети Топология, представленная на рис. 7.1, может использоваться в территориальной сети в том случае, когда необходимо проектировать сеть для нескольких зданий. Пер- Персональные компьютеры и рабочие станции подключены непосредственно к коммута- коммутаторам промежуточных распределительных узлов (IDF), которые расположены на каж- каждом этаже здания. В свою очередь, коммутаторы промежуточных распределительных узлов подключены к коммутаторам главного распределительного узла (MDF), распо-
ложенного, в наиболее общем случае, на первом этаже здания. Т.к. через главный распределительный узел проходит трафик всего здания, то обычно, помимо основного коммутатора, устанавливаются несколько вспомогательных для того, чтобы повысить пропускную способность сети и обеспечить надежность инфраструктуры. Коммутато- Коммутаторы главного распределительного узла подключаются к территориальной магистрали, где обычно располагается главный блок серверов. Если рассматривать сеть на рис. 7.1 с точки зрения наличия одного промежуточ- промежуточного распределительного узла, то, как показано на рис. 7.2, ее структура значительно упрощается. 32,768.DD-DD-DD-DD-DD-DD Cat-B Ж 32,768. "■"■ -вв-вв-вв-вв-вв 1/1 А 2/N. 11/2 Cat-D I /Сегмент 3 -^Сегмент 1 i/i 1/ 19 Сегмент 5 Г *\ Сегмент О Сегмент 2 ^ 1/2 2 У- 1 Cat-C IDF Г MDF ^*W 32,768. л сс-сс-сс-сс-сс-сс Серверная Cat-A 32,768.АА-АА-АА-АА-АА-АА Рис. 7.2. Упрощенная территориальная сеть с использованием одного промежуточного распредели- распределительного щита Упрощение взаимосвязей между промежуточными и главными распределительны- распределительными узлами (см. рис. 7.2) позволяет более четко представить процессы, происходящие на уровне протокола STP, и констатирует факт использования в проектировании тер- территориальных сетей треугольной структуры соединений протокола STP (треугольники второго уровня и оказываемое ими влияние более подробно описаны в главах 15, 16 и 17). Кроме того, современные модели проектирования сети с учетом фактора возмож- возможной загруженности по трафику имеют тенденцию к реализации централизованного управления, поэтому использование таких моделей позволяет игнорировать наличие трафика между промежуточными распределительными узлами во многих сетях. Примечание В главе 14, "Модели территориальных сетей", обсуждаются различия между двумя наиболее общими моделями проектирования сети: модель с использованием техноло- технологии виртуальных локальных сетей (VLAN) масштаба территориальной сети и много- многоуровневая модель. В модели проектирования с использованием территориальных се- сетей VLAN сеть состоит из участков треугольной и ромбовидной формы, которые воз- возможно упростить так, как показано на рис. 7.2. Перекрытие и соединение указанных треугольников и ромбов часто приводят к существенным проблемам при масштабиро- масштабировании сети. Использование многоуровневой модели проектирования позволяет избе- избежать указанных выше проблем путем использования коммутации (маршрутизации) Глава 7. Расширенные возможности протокола... 249
3-го уровня эталонной модели OSI для разбития сети на небольшие треугольники свя- связей 2-го уровня. Таким образом, результирующие треугольники разделены компонентом коммутации 3-го уровня, и сеть становится устойчивой к процессу масштабирования. Детальное обсуждение различий между двумя моделями не является целью главы 7, более полную информацию по данному вопросу можно найти в главе 14, "Модели тер- территориальных сетей". В примерах текущей главы используется модель с применением технологии виртуальных локальных сетей масштаба территориальной сети, поскольку данная модель представляет больше возможностей в изучении проблем и тонкостей, связанных с протоколом STP. Тем не менее, использование коммутации 3-го уровня с целью увеличить масштабируемость сети является более предпочтительной при про- проектировании территориальных сетей. Устройство Cat-D на рис. 7.2 является основным коммутатором в промежуточном распределительном узле и подключено к паре коммутаторов главного распределитель- распределительного узла: устройствам Cat-B и Cat-C. Коммутаторы главного распределительного узла посредством магистрали подключены к коммутатору главного распределительного уз- узла Cat-A. Совет Использование такого способа упрощения позволяет облегчить понимание процессов протокола STP. Кроме того, необходимо учитывать маршруты с наибольшей нагрузкой по трафику. При использовании модульного подхода к проектированию сети учет всех факторов проводится достаточно просто (за более полной информацией обратитесь к главам 14, "Модели территориальных сетей", и 15, "Реализация конструкции террито- территориальной сети"). Использование протокола STP при определении базовой пропускной способности сети: обзор свойств протокола распределенного связующего дерева В текущем разделе анализируется поведение протокола STP в сети, изображенной на рис. 7.2. В изложенном ниже материале не только повторены фундаментальные сведения из главы 6, но и вводится понятие базовой пропускной способности сети, которое будет использоваться па протяжении всего дальнейшего изложения. Текст главы не является подробной документацией по протоколу STP, а просто содержит описание некоторых важных элементов и возможностей протокола распределенного связующего дерева. Обработка сообщений BPDU В главе 6 был рассмотрен процесс обмена информацией протокола STP мостов с использованием сообщений BPDU. Сообщения BPDU подразделяют па два вида: 250 Часть II. Механизм распределенного связующего дерева
* конфигурационные сообщения BPDU — большинство сообщений в сети, кото- которые переносят информацию протокола STP; • уведомления об изменении топологии (TCN BPDU) — сообщения, позволяю- позволяющие протоколу STP адаптироваться к изменениям в топологии сети. Необходимо заметить, что при использовании термина BPDU без указания типа сообщения обычно подразумевается конфигурационное сообщение BPDU. Определение наилучшего конфигурационного сообщения BPDU Каждый порт моста, работающий по протоколу связующего дерева, сохраняет ко- копию наилучшего из полученных конфигурационных сообщений BPDU. В процессе определения параметров сообщения порт не только оценивает сообщения BPDU от других мостов, по и сообщения BPDU, которые отправляются. Для того, чтобы опре- определить наилучшее конфигурационное сообщение BPDU, протокол STP использует алгоритм принятия решения, который состоит из четырех этапов. Этап 1. Все мосты в сети ищут наименьшее значение идентификатора моста (BID) — поле размером 8 байт, которое состоит из значения приоритета моста и МАС-адреса. Использование наименьшего идентификатора моста позволяет выбрать единственный корневой мост в сети. Этап 2. Все мосты оценивают корневую стоимость маршрута — общую стоимость маршрута к корневому мосту. Каждый корневой мост использует указан- указанное значение идентификатора для оценки стоимости маршрута к корне- корневому мосту. Этап 3. Если значения стоимости маршрута равны, то мосты оценивают значение BID отправителя. Этап 4. Если все три критерия равны, то происходит оценка идентификатора порта (уникальное значение, назначенное каждому порту моста или коммутатора). Совет Легче всего запомнить описанный выше алгоритм принятия решения протокола STP при определении наилучшего конфигурационного сообщения можно, записав этапы принятия решения следующим образом. Этап 1. Выбор наименьшего идентификатора корневого моста. Этап 2. Выбор наименьшей корневой стоимости маршрута. Этап 3. Выбор наименьшего идентификатора отправителя. Этап 4. Выбор наименьшего идентификатора порта. Пока для порта свое собственное конфигурационное сообщение BPDU является наилучшим, отправление сообщений в сеть продолжается. Отправление конфигураци- конфигурационных сообщений BPDU начинается в тот момент, когда порт переходит в состояние прослушивания. В таком состоянии происходит обработка исключительно сообщений BPDU. При этом пользовательский трафик мостами не коммутируется. По истечении интервала времени, который определяется параметром таймера задержки распростра- распространения (стандартное значение— 15с), порт переходит в состояние самообучения. В данном состоянии происходит построение таблицы коммутации по МАС-адресу от- отправителя, и входящие данные от пользователей сети все еще игнорируются. По исте- истечении интервала времени, который определяется параметром второго таймера, порт Глава 7. Расширенные возможности протокола... 251
переходит в состояние передачи, и начинается коммутация пользовательских данных. Если в любой момент времени порт получает сообщение BPDU с лучшими парамет- параметрами, чем были сохранены, то немедленно происходит переход в состояние блоки- блокировки, и отправка в сеть конфигурационных сообщений BPDU прекращается. Сходимость активной топологии сети Обмен конфигурационными сообщениями BPDU позволяет всем мостам в сети обеспечить начальную сходимость активной топологии сети после выполнения эта- этапов, которые приведены ниже. Этап 1. Выбор единственного корневого моста для одного домена распределенного связующего дерева. Этап 2. Выбор одного корневого порта для каждого некорневого моста. Этап 3. Выбор одного назначенного порта для каждого сегмента сети. Мосты выбирают корневое устройство в сети, каковым является коммутатор с наименьшим идентификатором моста. По умолчанию все мосты в сети используют значение приоритета, равное 32768, что позволяет назначить статус корневого моста устройству с наименьшим МАС-адресом. В случае, показанном на рис. 7.2, коммута- коммутатор Cat-A становится корневым мостом. Совет Как и все параметры протокола STP, наименьшее значение идентификатора моста соответствует наивысшему значению приоритета. Чтобы избежать путаницы, в тексте всегда имеется в виду значение идентификатора устройства (другими словами, наи- наименьшие значения параметров протокола STP являются более предпочтительными). Каждый корневой мост выбирает единственный корневой порт, который является ближайшим портом к корневому мосту. Коммутатору Cat-B необходимо выбрать корне- корневой порт из трех: порт 1/1 со значением корневой стоимости, равным 57, порт 1/2 со значением корневой стоимости 38 или порт 2/1 со значением стоимости 19. Очевидно, что статус корневого порта получает порт 2/1. Аналогично, мост Cat-C выбирает в каче- качестве корневого порт 2/1, а мост Cat-D вычислит, что корневая стоимость обоих его пор- портов равна 38. Таким образом, мост Cat-D будет оценивать значение идентификатора от- отправителя при назначении корневого моста. Т.к. устройство Cat-B имеет меньшее зна- значение идентификатора моста, чем Cat-C, то порт 1/1 устройства Cat-D получит статус корневого. Далее, для каждого сегмента локальной сети выбирается назначенный порт (устройство, имеющее назначенный порт, называется назначенным мостом). Назначен- Назначенные порты —это и есть механизм протокола STP, который строит беспетельную логиче- логическую топологию сети: только такие порты могут отправлять и принимать информацию от корневого моста к сегменту сети и в обратном направлении. Выбор назначенных портов наилучшим образом прослеживается на конкретных примерах сетевых сегментов. На рис. 7.2 представлены пять сегментов сети. Сегмент 1 ограничен портом 1/1 со зна- значением стоимости маршрута устройства Cat-A, равным 0, и портом 2/1 со значением стоимости 19 устройства Cat-B. Поскольку прямое подключение к корневому мосту имеет стоимость маршрута, равную 0, порт 1/1 моста Cat-A становится назначенным портом. Аналогична ситуация и для порта 1/2 моста Cat-A — он становится назначен- назначенным портом для сегмента сети 2. Сегмент 3 также содержит 2 порта: порт 1/1 моста Cat- В со значением стоимости 19 и порт 1/1 моста Cat-D со значением стоимости маршрута 38. Так как порт 1/1 устройства Cat-B имеет меньшее значение стоимости маршрута, то 252 Часть II. Механизм распределенного связующего дерева
он получает статус назначенного порта. Таким же образом статус назначенного порта для сегмента 4 получает порт 1/1 моста Cat-C. Для сегмента 5 значение стоимости мар- маршрута, равное 19, имеют порт 1/2 моста Cat-B и порт 1/2 моста Cat-C. Используя в ка- качестве критерия значение идентификатора отправителя, оба моста определят, что уст- устройство Cat-B имеет наименьший идентификатор моста и, следовательно, порт 1/2 по- получит статус назначенного. Результирующая топология с указанными состояниями портов представлена на рис. 7.3. Cat-B Cat-C Cat-A Корневой мост Рис. 7.3. Активная топология и состояния портов при определении базовой пропускной способности сети В приведенной на рис. 7.3 топологии порт 1/2 моста Cat-C и порт 1/2 моста Cat-D все еще остаются в состоянии блокировки. Такие порты называются неназначенными и обеспечивают беспетельные маршруты от каждого сегмента к остальным сегментам сети. Назначенные порты используются для отправления трафика в направлении от корневого моста, в то время как корневые порты используются для отправления тра- трафика в направлении к корневому мосту. Внимание! С технической точки зрения можно долго спорить о правильности порядка выполнения второго и третьего этапов начальной сходимости алгоритма распределенного свя- связующего дерева. Поскольку стандарт 802.1 d (стандарт, описывающий протокол STP) исключает назначенные порты из процесса выбора корневого порта, то считается, что назначенные порты будут определены в первую очередь. Тем не менее, в коде алго- алгоритма STP процесс выбора корневого порта следует перед процессом выбора назна- назначенных портов. Изложенные ниже сведения об алгоритме не затрагивают никаких де- дебатов на эту тему, поскольку на практике оба процесса возникают и протекают почти одновременно. С точки зрения изучения рассматриваемой темы порядок возникнове- возникновения процессов не имеет значения. Глава 7. Расширенные возможности протокола... 253
Необходимо заметить, что при определении маршрутов движения информацион- информационных потоков и отправлении конфигурационных сообщений BPDU корневые и назна- назначенные порты играют ключевую роль. Если сказать точнее, назначенные порты от- отправляют только конфигурационные сообщения BPDU, в то время как корневые пор- порты отправляют только уведомления об изменении топологии (TCN BPDU). В следующих разделах типы сообщений BPDU и их обработка будут рассмотрены более подробно. Обработка конфигурационных сообщений BPDU Конфигурационные сообщения BPDU отправляются мостами в трех случаях. Наи- Наиболее часто процесс обработки конфигурационных сообщений BPDU подразделяют на две основных категории: стандартная обработка и обработка исключительных си- ситуаций. (Используемая терминология не является стандартной, но будет полезна для понимания функций протокола STP.) Стандартная обработка конфигурационных сообщений BPDU Стандартная обработка конфигурационных сообщений BPDU — это обработка со- сообщений на каждом из портов корневого моста для каждого цикла hello-таймера (при условии, что топология не содержит петель физического уровня). Такой процесс при- приводит к порождению корневым мостом конфигурационных сообщений BPDU. Стандартная обработка имеет место, когда некорневой мост получает конфигура- конфигурационное сообщение BPDU непосредственно в корневой порт и отправляет изменен- измененные версии полученных сообщений на каждый из назначенных портов. Такой про- процесс приводит к перенаправлению конфигурационных сообщений BPDU от корневого моста через сеть на канальном уровне модели OSI. Два указанных состояния соответствуют нормальному потоку конфигурационных сообщений BPDU, которые распространяются в направлении от корневого моста. Корневой мост отправляет конфигурационные сообщения BPDU в назначенные пор- порты каждые 2 с (стандартное значение hello-таймера). Необходимо помнить, что каж- каждый активный порт корневого моста должен иметь статус назначенного, если имеются петли физического уровня сети между несколькими портами моста. Как только кон- конфигурационные сообщения BPDU поступают на корневые порты следующих мостов, мосты-получатели отправляют такие конфигурационные сообщения в назначенные порты. На рис. 7.4 проиллюстрирован процесс распространения конфигурационных сообщений BPDU от корневого моста. Каждые 2 с Cat-В отправляет сообщение дальше, когда получает конфигурационное сообщение BPDU в корневой порт. Cat-A Корневой мост RP) ""l'u ~ (RP) Рис.7.4. Распространение конфигурационных сообщений BPDU На рис. 7.4 изображен корневой мост Cat-A, который отправляет конфигурацион- конфигурационные сообщения BPDU каждые 2 с. Когда сообщения приходят на порт 1/1 устройства 254 Часть II. Механизм распределенного связующего дерева
Cat-B (т.е. корневой порт коммутатора Cat-B), конфигурационное сообщение отправ- отправляется в назначенный порт устройства Cat-B — порт 1/2. После рассмотрения процесса стандартной обработки конфигурационных сообще- сообщений можно сделать следующие выводы: • поток конфигурационных сообщений BPDU направлен от корневого моста; • конфигурационные сообщения BPDU получают только корневые порты; • корневые порты не отправляют конфигурационных сообщений BPDU; • если корневой мост неисправен, отправление конфигурационных сообщений BPDU в сеть приостанавливается. Отсутствие конфигурационных сообщений в сети продолжается до тех пор, пока на другом коммутаторе не сработает таймер Max Age (максимальное время старения записи в кэше), и он примет статус корневого моста; • если канал к корневому мосту придет в неисправность (а сам корневой мост останется активным), то отправление конфигурационных сообщений BPDU другим мостам приостанавливается. При наличии альтернативного маршрута к корневому мосту отсутствие конфигурационных сообщений BPDU наблюдает- наблюдается, пока один из оставшихся портов с рабочим каналом не выйдет из состояния блокировки. Если альтернативный путь недоступен, сеть, состоящая из уст- устройств канального уровня, будет разделена на части и для каждого из сегментов сети будет назначен свой корневой мост. Таким образом, при стандартной обработке конфигурационных сообщений BPDU некорневые мосты отправляют в назначенные порты сообщения, полученные от кор- корневого моста. Обработка конфигурационных сообщений BPDU в исключительных ситуациях В отличие от стандартной обработки конфигурационных сообщений BPDU, обра- обработка сообщений в исключительных ситуациях возникает тогда, когда назначенный порт получает сообщения BPDU с худшими параметрами от некоторого другого уст- устройства и отправляет в ответ полученные сообщения. Алгоритм распределенного свя- связующего дерева использует процесс обработки сообщений в исключительных ситуа- ситуациях, чтобы подавить ложную информацию наиболее быстрым образом и ускорить сходимость логической топологии сети. Например, перед тем, как коммутатор Cat-C был подключен к концентратору (этап 1), корневой мост пришел в неисправность (этап 2), как показано на рис. 7.5. 0 Корневой мост неисправен Cat-A Корневой мост ©Подключается коммутатор Cat-C Рис. 7.5. Перед подключением коммутатора Cat-C корневой мост пришел в неисправность Глава 7. Расширенные возможности протокола... 255
На рис. 7.6 проиллюстрирован процесс обмена сообщениями между устройствами Cat-С и Cat-В. Cat-D Cat-A Нет! Статус корневого уже имеет Cat-A Cat-C Рис. 7.6. Обработка конфигурационных сообщений BPDUв исключительных ситуациях Как уже говорилось в главе 6, "Основы протокола распределенного связующего дерева", в начале работы устройство Cat-C пытается назначить себя корневым мостом и сразу начинает отправлять конфигурационные сообщения BPDU, которые указыва- указывают на то, что он является корневым. Т.к. в настоящий момент корневой мост нахо- находится в неисправном состоянии, порт 1/2 коммутатора Cat-B приостанавливает от- отправление конфигурационных сообщений, что является частью процесса обработки. Поскольку порт 1/2 коммутатора Cat-B имеет статус назначенного порта для указан- указанного сегмента, он немедленно отвечает на конфигурационные сообщения устройства Cat-C, объявляя корневым мостом коммутатор Cat-A. Выполняя указанные операции, коммутатор Cat-B предохраняет устройство Cat-C от получения статуса корнейого моста и создания тем самым логических петель в активной топологии сети. Последовательность событий, приведенная на рис. 7.6, является процессом обра- обработки конфигурационных сообщений BPDU в исключительных ситуациях и включает в себя правила, которые перечислены ниже. • Назначенные порты могут отвечать на ложные конфигурационные сообщения BPDU в любое время. • Пока устройство Cat-B сохраняет в кэше информацию о коммутаторе Cat-A, оно будет опровергать ложные сообщения BPDU. • Время хранения информации об устройстве Cat-A истекает после истечения интервала времени установленного на таймере MaxAge. В случае, показанном на рис. 7.5, коммутатор Cat-B продолжает объявлять себя корневым. • Если устройства в сети быстро опровергают ложную информацию, то^время сходимости такой сети будет минимальным. Можно представить, что случится, если Cat-B будет использовать стандартную обработку конфигурационных со- сообщений — устройство Cat-C будет иметь в своем распоряжении 20 с,1* чтобы неправильно назначить себе статус корневого и неумышленно создать логиче- логическую петлю в активной топологии сети. Даже если такая ситуация не приведет к возникновению петель, процесс выбора корневого и назначенных портов мо- может неоднократно повториться и дестабилизировать состояние сети. 256 Часть II. Механизм распределенного связующего дерева
• Поскольку порт 1/1 коммутатора Cat-D не является назначенным портом для указанного сегмента, он не будет опровергать конфигурационные сообщения BPDU от устройства Cat-C. Совет Конфигурационные сообщения отправляются в трех случаях, которые перечислены ниже. • Когда hello-таймер проходит полный цикл (стандартно— каждые 2с), корневой мост отправляет конфигурационные сообщения BPDU на каждый порт (предположим, что порты физически между собой не соединены). Такой подход является частью стандартной обработки конфигурационных сообщений BPDU. • Когда некорневые мосты получают конфигурационные сообщения на корневой порт, полученное сообщение отправляется во все назначенные порты (стандартная обработка). • Когда назначенный порт получает ложное конфигурационное сообщение BPDU от другого коммутатора, указанный порт сразу отвечает сообщением, которое записа- записано в кэше порта, для того чтобы подавить ложную информацию. Обработка уведомлений об изменении топологии (TCN BPDU) В отличие от конфигурационных сообщений BPDU, которые выполняют основные операции алгоритма STP, сообщения TCN BPDU играют специфическую роль в вос- восстановлении работоспособности сети после изменения активной топологии. Когда некорневой мост определяет, что в активной топологии появились изменения, то корневому мосту отправляются уведомления об изменении активной топологии сети TCN BPDU. Получив такие сообщения, корневой мост указывает всем остальным мостам в сети укоротить время старения таблиц коммутации с 300 с до значения тай- таймера задержки распространения. Другими словами, уведомления TCN BPDU исполь- используются для того, чтобы сообщить корневому мосту об изменении активной логиче- логической топологии сети, а конфигурационные сообщения BPDU используются, чтобы сообщить о возникшем событии остальным мостам. Уведомления об изменении топологии TCN BPDU отправляются в трех случаях, но на практике можно выделить два основных случая их использования: обнаружение изменения в топологии и их распространение. • Обработка обнаружения изменений топологии возникает в том случае, когда порт моста переходит в состояние прослушивания и сам мост имеет хотя бы один назначенный порт. Обнаружение такого изменения в логической структуре сети возникает также при переходе порта из режима распространения или обучения в режим блокировки. • Обработка распространения изменений топологии возникает в том случае, когда некорневой мост получает сообщение TCN в назначенный порт. Две ситуации рассылки сообщений объединяются в общий термин — обнаружение изменений и отображают перестройку активной топологии сети в таблицах коммутации мостов сети. Термин распространение изменений используется для описания процесса передачи сообщений TCN BPDU через ветви связующего дерева, пока они не достиг- достигнут корневого моста. Глава 7. Расширенные возможности протокола... 257
Совет В классическом описании алгоритма распределенного связующего дерева уведомле- уведомления об изменении топологии TCN BPDU отправляются в трех случаях: • когда порт переходит в состояние передачи данных и сам мост имеет хотя бы один назначенный порт (часть процесса обнаружения изменений в сети); • когда порт моста переходит из состояния передачи данных или обучения в состоя- состояние блокировки (обнаружение изменения); • когда назначенный порт получает уведомление об изменении топологии TCN BPDU и отправляет указанное сообщение в корневой порт (распространение ин- информации об изменении). Ниже перечислены основные выводы, касающиеся уведомлений об изменении то- топологии. • Сообщения TCN BPDU отправляются только корневыми портами. • Сообщения TCN BPDU — это сообщения BPDU, которые отправляются толь- только в корневые порты (конфигурационные сообщения BPDU отправляются только назначенными портами). • Сообщения TCN BPDU принимаются назначенными портами. • Сообщения TCN BPDU всегда направлены к корневому мосту. • Сообщения TCN BPDU используют надежный механизм передачи данных, чтобы достигнуть корневого моста. Когда мост отправляет сообщения TCN BPDU, он продолжает их периодически дублировать через некоторое время, которое соответствует значению hello-таймера. Такой процесс продолжается до тех пор, пока вышестоящий мост не подтвердит получение сообщения, отпра- отправив устройству-отправителю фрейм BPDU с установленным флагом ТСА (Topology Change Acknowledgment — подтверждение о получении сообщения об изменении топологии). Кроме отправления дублирующих сообщений TCN BPDU, которые позволяют реализовать надежный механизм доставки инфор- информации, новые сообщения TCN BPDU не будут генерироваться и отправляться вплоть до следующего изменения активной логической топологии сети (что может произойти через час, день, неделю и даже позже!). • Сообщения TCN BPDU требуют отправки уведомления о получении, даже если обсуждавшийся выше процесс нормальной обработки конфигурационных со- сообщений BPDU в данный момент бездействует (например, в том случае, если поток конфигурационных сообщений BPDU от корневого моста отсутствует). Совет Процесс обмена сообщениями TCN более подробно описан в разделе "Сообщения BPDU об изменении топологии", главы 6, "Основы протокола распределенного свя- связующего дерева". Таймеры протокола STP Протокол STP использует три таймера, которые могут быть сконфигурированы ад- администратором: таймер обмена приветственными сообщениями (Hello Time), таймер 258 Часть II. Механизм распределенного связующего дерева
задержки распространения (Forward Delay) и таймер максимального времени хране- хранения таблицы коммутации (Max Age). Во избежание ситуаций, когда каждый мост в сети использует различный набор значений таймеров, все мосты устанавливают для таймеров значения, указанные непосредственно корневым мостом. Корневой мост размешает текущие значения таймеров в последние три поля каждого отправляемого конфигурационного сообщения BPDU. В процессе распространения конфигурацион- конфигурационных сообщений в сети некорневые мосты не могут изменить рассылаемые корневым мостом значения, поэтому изменение значений таймеров проводится централизовано на корневом мосту. Совет Необходимо избегать изменения значений таймеров на некорневых мостах, поскольку скорректировать значения можно только на корневом мосту. Кроме того, если возник- возникла необходимость в коррекции значений таймеров на корневом мосту, необходимо изменить указанные значения и на резервных корневых мостах. Таким образом, при неисправности корневого моста скорректированные значения таймеров будут дейст- действительны для всех остальных коммутаторов в сети. Hello-таймер используется для контроля временного интервала отправления кон- конфигурационных сообщений BPDU. Основная функция данного метода заключается в том, что он используется для контроля частоты отправлений конфигурационных со- сообщений BPDU и уведомлений об изменении топологии TCN BPDU. Отправление уведомлений об изменении топологии повторяется каждый цикл hello-таймера, пока не будет получено сообщение с установленным флагом подтверждения изменения то- топологии (ТСА) от другого моста. Стандарт 802.Id, описывающий технологии связую- связующего дерева, определяет допустимый диапазон от 1 до 10 секунд для значения пол- полного цикла hello-таймера (Hello Time). Синтаксис команды изменения стандартно за- заданного интервала времени (за более подробной информацией обратитесь к разделу "Уменьшение hello-интервала до одной секунды") выглядит следующим образом: set spantree hello interval [vlan] Таймер задержки распространения (Forward Delay) контролирует интервал време- времени, который порт проводит в состоянии прослушивания и обучения. Указанный тай- таймер также используется в ситуациях, связанных с процессом изменения топологии. При получении уведомления об изменении топологии TCN BPDU корневой мост ус- устанавливает флаг изменения топологии (ТС) равным таймеру задержки распростране- распространения (Forward Delay) плюс значение таймера максимального срока хранения таблицы коммутации (Max Age) в секундах. Установление флага изменения топологии (ТС) за- заставляет все мосты в сети сократить время максимального срока хранения таблицы коммутации моста с 300 с до значения таймера задержки распространения (Forward Delay). Значение таймера задержки распространения (Forward Delay) должно нахо- находиться в интервале от 4 до 30 с, а стандартно такое значение равно 15 с. Для измене- изменения значения таймера задержки распространения (Forward Delay) необходимо исполь- использовать приведенную ниже команду (за более подробной информацией обратитесь к разделу "Настройка таймера Forward Delay"): set spantree fwddelay delay [vlan] Таймер максимального срока хранения записей в таблице моста (MaxAge) контро- контролирует время хранения информации о наилучшем конфигурационном сообщении Глава 7. Расширенные возможности протокола... 259
BPDU, полученном и записанном в порт. Таймер позволяет сети вернуться к началь- начальной топологии, если активная топология содержит неисправные элементы. Как уже говорилось ранее, таймер MaxAge контролирует время установки флага ТС после по- получения корневым мостом уведомления об изменении топологии TCN BPDU. Значе- Значение, установленное для цикла таймера максимального срока хранения, лежит в ин- интервале от 6 до 40 с, а стандартно оно равно 20 с. Чтобы изменить указанное значение таймера максимального срока хранения, используется приведенная ниже команда (за более подробной информацией обратитесь к разделу "Настройка таймера Max Age"): set spantree maxage agingtime [vlan] В конфигурационных сообщениях BPDU в поле значения таймера времени хране- хранения сообщения (Message Age) передается еще одно значение, четвертое. Значение таймера времени хранения сообщения — это относительное, связанное со временем, значение, которое соответствует времени передачи конфигурационного сообщения BPDU от корневого моста. В момент, когда конфигурационное сообщение BPDU от- отправляется корневым мостом, поле значения таймера возраста сообщения содержит ноль. При дальнейшем распространении конфигурационных сообщений через другие мосты в сети значение в поле увеличивается на единицу каждый раз после прохода сообщением одного моста. Несмотря на то, что в стандарте 802.ID требуется более точный контроль за указанным таймером, на практике мосты просто добавляют еди- единицу к полученному значению таймера, получая таким образом меру, обратную пара- параметру TTL. Если связь с корневым мостом нарушена и стандартная обработка кон- конфигурационных сообщений BPDU прекращается, значение поля времени хранения сообщения позволяет определить время отправления информации, которая передава- передавалась в период простоя сети. Использование значения в указанном поле является ча- частью обработки конфигурационных сообщений BPDU в исключительных ситуациях, которая описана в предыдущих разделах. В протоколе STP используется еще одно значение — значение таймера времени простоя (Hold Time), которое необходимо для предотвращения возникновения чрез- чрезмерного трафика сообщений BPDU. Значение таймера времени остановки определяет минимальное время между отправлением двух взаимных конфигурационных сообще- сообщений BPDU на данном порту. Описанный таймер предотвращает эффект лавинного распространения сообщений BPDU, когда конфигурационные сообщения BPDU по- порождают в ответ еще больше конфигурационных сообщений BPDU. Значение указан- указанного таймера является фиксированным, имеет значение 1 с и не может быть изменено администратором. Границы действия распределенного связующего дерева Необходимо обратить внимание на тот факт, что правильное размещение маршру- маршрутизаторов (или коммутаторов сетевого уровня модели OSI) оказывает большое влия- влияние на функциональность территориальной сети в целом. Рассмотрим пример сети, приведенной на рис. 7.7. Каждая из областей рассматриваемой сети содержит два независимых экземпляра связующих дерева. Например, в каждой области происходит выбор единственного корневого моста. При этом изменение топологии в левой части сети не оказывает ни- никакого влияния на правую часть (по крайней мере, с точки зрения алгоритма связую- 260 Часть II. Механизм распределенного связующего дерева
щего дерева). Как было описано в главе 14, "Модели территориальных сетей", для того, чтобы получить стабильно работающую и масштабируемую сеть, необходимо стараться одновременно использовать и маршрутизаторы сетевого уровня, и коммута- коммутаторы канального уровня модели OSI. Рис. 7.7. Территориальная сеть, состоящая из двух областей С другой стороны, маршрутизаторы не всегда имеют возможность разделить сеть на области с отдельными структурами связующего дерева. Например, может возник- возникнуть ситуация, когда существует прямое соединение между областями с мостами и коммутаторами, минуя при этом маршрутизатор (см. рис. 7.8). Рис.7.8. Несмотря на то, что сеть содержит маршрутизатор, разделение сети на отдельные экзем- экземпляры распределенного связующего дерева невозможно В рассматриваемом случае сеть представляет собой единую область канального уровня, которая используется для передачи информации, минуя маршрутизатор. В данной сети выбирается только один корневой мост, и изменения топологии могут привести сеть к нестабильной работе. Совет Стандартно модули RSM (Route Switch Module — модуль коммутации маршрутов) не делят сеть на области, как показано на рис. 7.7, что может значительно ограничить масштабируемость и стабильность работы сети. Для получения более подробной ин- информации по данному вопросу обратитесь к главам 11, "Коммутация третьего уровня", 14, "Модели территориальных сетей", и 15, "Реализация конструкции территориальной сети". Глава 7. Расширенные возможности протокола... 261
Как говорилось в главе 6, "Основы протокола распределенного связующего дере- дерева", специалисты корпорации Cisco предлагают использовать отдельные экземпляры связующего дерева для каждой назначенной сети VLAN (на одну сеть VLAN — одно связующее дерево, или PVST). Такой подход обеспечивает два основных преимущест- преимущества: удобное управление и разделение экземпляров связующих деревьев. Управление параметрами и целостностью структуры связующего дерева является критическим фактором, который необходимо учитывать при проектировании сети, т.к. правильный подход позволяет каждой отдельной сети VLAN иметь полностью не- независимую конфигурацию протокола STP. Например, каждая из сетей VLAN имеет свой корневой мост, который может быть расположен в любом месте сети. Соответст- Соответственно, значения стоимостей и приоритетов могут быть настроены в зависимости от конкретной сети VLAN. Такой подход позволяет не только обеспечить для разработ- разработчика гибкость при оптимизации потоков данных в пределах каждой сети VLAN, но и делает возможным балансирование нагрузки связующего дерева, что является предме- предметом рассмотрения следующего раздела. Разделение отдельных экземпляров связующих деревьев является критическим фактором, влияющим на скорость локализации неисправностей, а также управление и повседневное обслуживание сети. Разделение предотвращает влияние процесса изме- изменения топологии связующего дерева в одной сети VLAN на функционирование других сетей VLAN. Если в отдельной сети VLAN выходит из строя корневой мост, другие сети продолжают нормально функционировать. Внимание! Несмотря на то, что процессы обработки связующего дерева изолированы друг от друга для разных сетей VLAN, необходимо помнить, что возникновение петель в от- отдельной сети VLAN может сильно загружать магистральные линии между коммутато- коммутаторами и истощать ресурсы трафика, выделенные для других сетей VLAN. Такая ситуа- ситуация может привести к неисправности всей сети. За более подробной информацией о рекомендациях для решения указанной проблемы обратитесь к главе 15, "Реализация конструкции территориальной сети". Тем не менее, некоторые существующие технологии не используют преимущества механизма PVST. Во-первых, стандарт 802.1Q требует наличия единственного экземп- экземпляра связующего дерева для всех сетей VLAN. Поэтому, если в сети используются устройства, работающие по протоколу 802.1Q, то все перечисленные выше преимуще- преимущества использования технологии PVST теряются. Чтобы обойти указанные ограниче- ограничения, корпорация Cisco разработала концепцию технологии PVST+, которая более подробно обсуждается ниже в текущей главе. Во-вторых, соединения между различ- различными сетями VLAN подавляют все преимущества технологии PVST за счет объедине- объединения обособленных экземпляров распределенного связующего дерева в единое дерево всей сети. Внимание! Несмотря на то, что изначальная версия стандарта 802.1Q определяла только одну реализацию протокола STP, вполне вероятно, что будущие дополнения к стандарту будут учитывать возможность существования нескольких экземпляров связующего дерева. В настоящее время указанная проблема исследуется комитетом IEEE 802.1s. 262 Часть II. Механизм распределенного связующего дерева
Для устранения описанных выше проблем и исключений вводится понятие домена протокола распределенного связующего дерева. Каждый домен связующего дерева про- проводит собственный набор вычислений параметров и имеет собственное множество со- сообщений BPDU. В каждом домене связующего дерева выбирается единственный кор- корневой мост и обеспечивается сходимость на собственной активной логической топо- топологии сети. Изменения топологии в одном домене никоим образом не влияют на процессы, происходящие в других доменах (кроме случаев отказа оборудования). Тер- Термин домен протокола распределенного связующего дерева является устоявшимся услов- условным обозначением, которое употребляется при описании поведения протокола STP независимо от используемой в сети технологии. Балансирование нагрузки в протоколе STP В предыдущем разделе обсуждались основные понятия концепции PVST, позво- позволяющие изолировать экземпляры связующего дерева друг от друга и обеспечить управление каждым экземпляром структуры, полученной в результате работы алго- алгоритма распределенного связующего дерева. Одно из самых важных преимуществ изоляции экземпляров дерева и обеспечение независимого управления каждого эк- экземпляра в отдельности — это балансирование нагрузки в сети, т.е. возможность одновременного использования нескольких активных маршрутов для передачи ин- информации. При использовании балансирования нагрузки сразу же проявляются одно преиму- преимущество и один недостаток. Преимущество состоит в том, что появляется возможность удвоить производительность сети. Главный недостаток — сложность сети возрастает в три раза! Хотя указанный факт немного преувеличен, избыточная сложность может быть особенно обременительна в плохо разработанной сети (за более подробной ин- информацией обратитесь к главам 14 и 15). В данном разделе детально рассматривается техника балансирования нагрузки, которую можно применить в реальных сетях. По- После изучения теории полученные знания можно применить на практике и увеличить доступную полосу пропускания в сети с минимальным увеличением сложности ин- инфраструктуры. Необходимо запомнить, что термин балансирование нагрузки имеет несколько значений. На практике нагрузку в протоколе STP невозможно равномерно распре- распределить по существующим в сети каналам передачи данных. Несмотря на это ука- указанная техника может значительно повысить производительность. Некоторые спе- специалисты используют термины распределение нагрузки или разделение нагрузки, в тексте преимущественно используется более обобщенное понятие — балансировка нагрузки. Существуют четыре основных метода реализации балансирования нагрузки с по- помощью протокола распределенного связующего дерева в устройствах коммутации Catalyst. В табл. 7.1 перечислены указанные выше четыре метода балансирования с используемыми командами. Глава 7. Расширенные возможности протокола... 263
^Таблица 7.1. Методы балан^ Метод Команда Размещение корневого моста set spantree priority Установка приоритетов портов set spantree portvlanpri Установка приоритетов мостов set spantree priority Установка стоимостей маршрута в сети set spantree portvlancost Перечисленные в табл. 7.1 методы балансирования нагрузки используются в ос- основном только протоколом STP и более подробно обсуждаются в следующих разделах. За более подробной информацией о методах распределения нагрузки, которые не реа- реализованы в данном протоколе, обратитесь к главам 11, "Коммутация третьего уров- уровня", и 15, "Реализация конструкции территориальной сети". Общие принципы балансирования нагрузки с помощью протокола распределенного связующего дерева Для осуществления балансирования нагрузки в сети с использованием протокола распределенного связующего дерева необходимо, чтобы сеть содержала два обязатель- обязательных элемента: • несколько маршрутов, которые формируют петлевые связи; • несколько сетей VLAN. Если сеть не содержит петли на физическом уровне, то сбалансировать нагрузку трафика невозможно. Если два коммутатора подключены только через один канал Fast Ethernet, то невозможно говорить о какой-либо реализации балансирования на- нагрузки через указанный канал. Искусственное создание петель, например, в универси- университетских территориальных сетях, для обеспечения надежности хорошо сочетается с рассматриваемой концепцией балансирования нагрузки. В большинстве реальных се- сетей имеются, по крайней мере, два канала к каждому промежуточному распредели- распределительному кабельному узлу, чтобы выполнял требования надежности инфраструктуры, даже если скорость передачи данных в сети низкая. Однако, при наличии физических петель в топологии сети, обеспечивающих надежность передачи данных, остается от- открытым вопрос их правильного использования. Фактически использование баланси- балансирования нагрузки в сети является сочетанием двух основных преимуществ — избы- избыточности сети и скорости передачи данных. При наличии физических петель в сети основной функцией связующего дерева яв- является построение беспетельной активной логической топологии. Другими словами, можно поставить вопрос о том, каким образом при использовании протокола STP можно добиться наличия нескольких маршрутов к одному пункту назначения. Если сеть представляет собой единый домен связующего дерева, то добиться нескольких маршрутов к одному получателю трафика невозможно. С другой стороны, использо- использование технологии сетей VLAN делает возможным создание нескольких доменов свя- связующего дерева в единственной физической инфраструктуре при условии, что каждая сеть VLAN имеет собственную, отличную от других, активную топологию. В пределах отдельной сети VLAN активная топология является беспетельной, и трафик использу- 264 Часть II. Механизм распределенного связующего дерева
ет только один маршрут к пункту назначения. При этом, если рассматривать две сети VLAN, каждая из них может использовать оба канала, которые заведены в коммутатор в промежуточном распределительном кабельном узле. Рассмотрим упрощенную топологию территориальной сети, проиллюстрированную на рис. 7.9. Cat-A ^ ШШ^ШШШ Cat-B 111 Серверы Серверы Рис. 7.9. Упрощенная территориальная сеть В инфраструктуре, представленной на рис. 7.9, вся рассматриваемая сеть находится в пределах одного здания, т.к. основной магистральный канал не изображен. Вместо того, чтобы разместить блок серверов в отдельном здании, серверы были помещены в основной распределительный кабельный узел. Запасные каналы, отвечающие за на- надежность, отвечающие за промежуточными распределительными кабельными узлами. Предположим, что коммутатор в промежуточном распределительном узле рассчитан только на 20 пользователей и пик загрузки канала в 100 Мбит/с по трафику. С точки зрения скорости передачи данных такой канал может свободно выдерживать нагрузку трафика от 20 пользователей. Однако, с точки зрения надежности единственный ка- канал является уязвимым местом в сети и нормой во многих реальных сетях. Учитывая тот факт, что правила требуют наличия нескольких каналов к каждому из промежу- промежуточных распределительных узлов, было бы неплохо распределить всю нагрузку на до- дополнительные каналы. И, наконец, после установления двух каналов к одному пункту назначения механизмы балансирования нагрузки протокола STP могут потенциально удвоить, а наличие трех каналов к каждому из промежуточных распределительных ка- кабельных узлов может утроить доступную скорость передачи данных. Даже при наличии в сети нескольких дублирующих каналов нельзя упускать из ви- виду еще одно требование протокола STP для балансирования нагрузки — наличие не- нескольких сетей VLAN. В большинстве организаций администраторы сетей предпочи- предпочитают создавать отдельные сети VLAN на отдельных коммутаторах, чтобы упростить Глава 7. Расширенные возможности протокола... 265
себе управление всеми сетями VLAN. Такой подход не сможет обеспечить увеличение скорости передачи данных в сети за счет балансирования нагрузки. Необходимо за- запомнить следующее тождество — одна VLAN соответствует одному активному мар- маршруту. Таким образом, нельзя предполагать, что размещение отдельной сети VLAN на отдельном коммутаторе не является неправильным подходом, просто такое размеще- размещение не сможет обеспечить использование механизма балансировки нагрузки в сети с использованием протокола STP. Совет Если создать на отдельном коммутаторе только одну сеть VLAN, то при таком подходе балансирование нагрузки не может быть реализовано. Необходимо или добавить больше сетей VLAN, или попробовать использовать другие методы балансирования нагрузки, например, технологии EtherChannel или MHSRP. За более полной инфор- информацией обратитесь к главам 11, "Коммутация третьего уровня", и 15, "Реализация кон- конструкции территориальной сети". Балансирование нагрузки за счет выбора местоположения корневого моста Один из наиболее эффективных методов балансирования нагрузки очень прост в реализации. Если правильно разместить корневой мост в каждой из сетей VLAN, потоки данных будут следовать к пункту назначения сразу по нескольким маршрутам. Необхо- Необходимо заметить, что для каждой сети VLAN ищется наиболее короткий маршрут к кор- корневому мосту. На рис. 7.10 представлены правильные расположения корневых мостов, обеспечивающие балансирование нагрузки для сети, изображенной на рис. 7.9. Корневой мост ^шг ^ ^ ^ ^ Корневой мост VLAN 2 Серверы Серверы VLAN3 Рис. 7.10. Балансирование нагрузки с использованием местоположения корневого моста 266 Часть II. Механизм распределенного связующего дерева
Сеть на рис. 7.10 содержит две сети VLAN. Коммутатор Cat-A является корневым мостом для сети VLAN 2, a Cat-B — корневым мостом для сети VLAN 3. С точки зре- зрения устройства Cat-C доступная скорость передачи данных к серверам была удвоена. Рассмотрим для начала сеть VLAN 2. Коммутатор Cat-C имеет два возможных мар- маршрута к корневому мосту: через порт 1/1 устройства Cat-C со значением корневой стоимости 19, и через порт 1/2 коммутатора Cat-C, который имеет значение корневой стоимости, равное 38. Очевидно, что порт 1/1 имеет статус корневого порта коммута- коммутатора Cat-C для сети VLAN 2. Сеть VLAN 3 также имеет два канала к корневому мос- мосту, но в данном случае значения стоимостей отличны от значений стоимостей сети VLAN 2: 38 — через порт 1/1 и 19 — через порт 1/2. Таким образом, трафик от сети VLAN 3 следует через порт 1/2 коммутатора Cat-C. Оба канала активны и передают пользовательский трафик. Однако при появлении неисправности любого из каналов протокол STP использует всю доступную скорость передачи данных оставшегося ра- работоспособного канала, чтобы не разрушать целостность всей сети. Балансирование нагрузки в иерархических сетях с помощью выбора размещения корневого моста Преимущество балансирования нагрузки с помощью выбора местоположения кор- корневого моста состоит в увеличении совокупной скорости передачи данных сети. Ис- Использование указанного подхода особо эффективно в сетях, которые используют коммутацию третьего уровня в проектировании (например, иерархическая модель, ко- которая обсуждается в главах 14 и 15). В таком случае корневые мосты должны просто быть совмещены с маршрутизаторами, которые в сети выполняют функции шлюзов. На рис. 7.11 рассматриваемый подход используется для балансировки нагрузки сетей VLAN 2 и 3. Корневой мост / Cat c N. Корневой мост VLAN2 / \ VLAN3 Маршрутизатор А \. f Маршрутизатор Б Межсетевой интерфейс Межсетевой интерфейс для VLAN 2 для VLAN 3 Рис. 7.11. Совмещение корневых мостов с маршрутизаторами Таким образом, вся нагрузка не только распределяется между двумя маршрутиза- маршрутизаторами (маршрутизатор А обрабатывает трафик от сети VLAN 2, а маршрутизатор Б обрабатывает трафик от сети VLAN 3), но и распределяется между двумя каналами от Глава 7. Расширенные возможности протокола... 267
промежуточного распределительного узла. Если разместить корневой мост в сети VLAN 2 на коммутаторе Cat-A, то протокол STP автоматически создаст наилучший маршрут канального уровня к шлюзу, который является пунктом назначения боль- большего количества трафика в территориальной сети. Аналогичная ситуация будет харак- характерна для коммутатора Cat-В в сети VLAN 3. За более подробной информацией по рассматриваемому методу (а также по ис- использованию протокола HSRP) обратитесь к главе 11, "Коммутация третьего уровня". Балансирование нагрузки в плоских сетях с помощью размещения корневого моста Несмотря на то, что использование размещения корневого моста для обеспечения балансирования нагрузки является наиболее приемлемым методом для территориаль- территориальных сетей, таких, как на рис. 7.11, существует один большой недостаток такого под- подхода — большинство технологий не поддерживает рассматриваемый метод, особенно если сеть не является неиерархической, а построена в виде плоской инфраструктуры. В большинстве плоских сетей потоки трафика не могут быть достаточно четко опре- определены (или понятны), чтобы рассматриваемый подход с размещением корневого моста был эффективным. В общем, необходимо заметить, что трафик между сетями VLAN более-менее подобен. Как обсуждается в главе 15, "Реализация конструкции территориальной сети", су- существует общее правило выбора расположения корневого моста в неиерархических сетях — корневые мосты необходимо размещать на маршрутах трафика большого объ- объема. Т.е. в случае использования плоских сетей корневые мосты необходимо разме- размещать как можно ближе к серверам. Поскольку трафик "пользователь-сервер" занима- занимает более 90 процентов всей пропускной способности каналов в современных сетях, указанный подход используется протоколом STP для нахождения коротких маршрутов с самой высокой загрузкой. При размещении корневого моста в другом конце сети, который наиболее удален от блока серверов, трафик большого объема будет вынужден проходить по неэффективному маршруту. Таким образом, техника балансирования нагрузки с помощью выбора местополо- местоположения корневого моста наиболее эффективна в плоских (неиерархических) сетях, где местоположение сервера для каждой сети VLAN четко определено. Необходимо пом- помнить, что корневой мост следует размещать непосредственно в узле, где расположен блок серверов, и протокол STP будет выбирать для трафика оптимальный маршрут, как показано на рис. 7.12. В части А рис. 7.12 представлена физическая топология и местоположение серве- серверов. Коммерческий отдел обслуживают серверы, подключенные к коммутатору Cat-A, а отдел кадров подключен к серверам через коммутатор Cat-F. В части Б рис. 7.12 изображена активная топология для сети VLAN коммерческого отдела. Если размес- разместить корневой мост вместе с серверами, то результирующая топология связующего де- дерева будет распределять большие потоки трафика. В части В рис. 7.12 проиллюстри- проиллюстрирована активная топология для сети VLAN отдела кадров. Приведенные маршруты также оптимальны для передачи трафика к серверам в рассматриваемых сетях VLAN. Рассмотрим ситуацию, когда устройство Cat-F имеет статус корневого для обеих сетей VLAN. Большой процент трафика от сети VLAN коммерческого отдела будет следо- следовать через коммутатор Cat-F и нерационально использовать пропускную способность как устройства, так и каналов. 268 Часть II. Механизм распределенного связующего дерева
Часть А Физическая инфраструктура Серверы отдела продаж Часть Б VLAN отдела продаж Часть В VLAN отдела кадров Серверы Корневой Корневой мост Сервер отдела кадров Серверы Рис.7.12. Балансирование нагрузки с помощью выбора местоположения корневого моста требует четко определенных потоков трафика в сети Основная проблема при использовании рассматриваемой техники состоит в том, что потоки данных между сетями VLAN могут быть подобными. Т.е. что произойдет, если все серверы будут находиться в одной и той же точке сети? Такое размещение серверов имеет два недостатка. Во-первых, за счет размещения всех корневых мостов в серверной будет исключена возможность реализации балансирования нагрузки. Во- вторых, при реализации балансирования нагрузки с использованием метода распреде- распределения корневых мостов по сети возникают лишние транзитные маршруты при пере- передаче трафика к серверам. Реализация балансирования нагрузки с использованием выбора размещения корневых мостов Для осуществления балансирования нагрузки с помощью выбора размещения корневого моста используется команда set spantree priority, которая обсужда- обсуждается в разделе "Указание корневого моста вручную: команда set spantree priority" главы 6, "Основы протокола распределенного связующего дерева". Балансирование нагрузки в сети, изображенной на рис. 7.12, реализуется с помощью введения сле- следующих команд: Cat-A (enable) set spantree priority 100 2 Cat-F (enable) set spantree priority 100 3 С помощью первой команды снижается приоритет моста Cat-A к значению 100 для сети VLAN 2 (сеть VLAN коммерческого отдела) для того, чтобы указанный мост получил статус корневого. Аналогичным способом с помощью второй коман- команды устройство Cat-F получает статус корневого для сети VLAN 3 (сеть VLAN отдела кадров). Глава 7. Расширенные возможности протокола... 269
Балансирование нагрузки с помощью установки приоритетов портов На практике в сетях со встречно-параллельным включением коммутаторов или мостов балансирование нагрузки за счет выбора размещения корневого моста не ра- работает. Рассмотрим пример сети на рис. 7.13. Часть А VLAN2 Часть Б VLAN3 100.М-М-М-М-М-М Корневой мост Cat-A Cat-A Cat-B Стоимость каждого соединения = 19 Cat-B Корневой мост 100.ВВ-ВВ-ВВ-ВВ-ВВ-ВВ Рис.7.13. Встречно-параллельное включение коммутаторов не позволяет реа- реализовать балансирование нагрузки с помощью выбора местоположения корневых мостов Рассмотрим сеть VLAN 2, изображенную на рис. 7.13, а. Коммутатору Cat-A необ- необходимо назначить корневой порт для коммутатора Cat-B, который имеет статус кор- корневого моста для сети VLAN 2. Как только устройство Cat-A признает коммутатор Cat-B корневым мостом, сразу происходит оценка стоимости корневого маршрута коммутатором Cat-A. Поскольку и порт 1/1, и порт 1/2 коммутатора Cat-A имеют значение корневой стоимости, равное 19, то возникает неопределенность — какой из портов будет корневым. Таким образом, в качестве критерия выбора корневого порта служит значение идентификатора устройства-отправителя. Однако, т.к. оба порта со- соединены с одним и тем же мостом, устройство Cat-A получает одинаковый идентифи- идентификатор отправителя для обоих портов A00.ВВ-ВВ-ВВ-ВВ-ВВ-ВВ), и неопределенность выбора корневого порта все еще не решена. Наконец, коммутатор Cat-A оценивает значение идентификатора порта, полученное обоими портами в конфигурационных сообщениях BPDU. Порт 1/1 устройства Cat-A принимает значение порта 0x8001, а 270 Часть II. Механизм распределенного связующего дерева
его порт 1/2 принимает значение 0x8002. Коммутатор Cat-A выберет в качестве кор- корневого порт с наименьшим идентификатором. Таким образом, весь трафик будет от- отправляться в порт 1/1, а порт 1/2 будет находиться в состоянии блокировки. В сети VLAN 3, изображенной на рис. 7.13, б, роли коммутаторов несколько изме- изменены, но результат тот же — весь трафик отправляется через соединение слева. В та- таком случае коммутатору Cat-B необходимо назначить корневой порт. Устройство Cat- В проводит вычисления, аналогичные приведенным в предыдущем абзаце. Чтобы ре- решить возникающие неопределенности, коммутатор Cat-B оценивает полученные зна- значения идентификаторов портов и выбирает в качестве корневого порт 1/1, а порт 1/2 переводит в состояние блокировки. Несмотря на то, что выбор корневого порта и направление трафика имеют проти- противоположные направления, оба коммутатора выбрали порт 1/1 в качестве канала пере- передачи данных. В результате соединение слева используется для передачи 100 процентов трафика, а соединение справа полностью простаивает. Внимание! Обратите внимание, что осуществить балансирование нагрузки в сети на рис. 7.13 можно, подключив кабель перекрестно таким образом, чтобы порт 1/1 коммутатора Cat-B соединялся с портом 1/2 устройства Cat-A, а порт 1/2 коммутатора Cat-B соеди- соединялся с портом 1/1 коммутатора Cat-A. Однако, указанный подход не удовлетворяет требование масштабирования, и реализовать его в больших сетях практически невоз- невозможно. В первом упражнении, которое приведено в конце главы, исследуется техника балансирования нагрузки приведенным выше способом. Несмотря на то, что в сети, изображенной на рис. 7.13, невозможно осуществить балансирование нагрузки, необходимо подчеркнуть два ключевых момента, которые можно проиллюстрировать на такой структуре. Во-первых, необходимо заметить, что осуществлять балансирование нагрузки должен некорневой мост. Т.к. все порты кор- корневого моста получают статус назначенных портов и находятся в состоянии передачи данных, то некорневой мост должен выбрать единственный корневой порт, а другой порт перевести в состояние блокировки. Рассмотренный процесс имеет большое влияние на метод реализации в сети механизма балансирования нагрузки. Во-вторых, большое влияние могут оказать получаемые из сети параметры моста. Коммутатор Cat-A не производит оценку собственного идентификатора моста и иденти- идентификаторов портов. Вместо этого коммутатор Cat-A рассматривает значения, которые со- содержатся в получаемых от устройства Cat-B конфигурационных сообщениях BPDU. Реализация балансирования нагрузки в сети, представленной на рис. 7.13, может быть выполнена следующим образом. Необходимо учесть, что в качестве основного критерия при определении маршрута распространения трафика используются иден- идентификаторы портов. Первый подход к реализации необходимого механизма распреде- распределения нагрузки состоит в определении влияния заданных значений идентификаторов мостов. На коммутаторах Catalyst, которые используют пользовательский интерфейс XDI/CatOS (т.е. коммутаторы Catalyst 4000-ой, 5000-ой и 6000-ой серий), изменение приоритета порта можно выполнить с помощью команды set spantree portvlan- pri. Полный синтаксис команды выглядит следующим образом: set spantree portvlanpri mod_num/port_mm priority [vlans] Где mod_num — номер разъема, в который установлен модуль, a port_num — но- номер порта на отдельном модуле. Глава 7. Расширенные возможности протокола... 271
Внимание! Существует одно исключение, когда используется именно локальный идентификатор порта. В качестве иллюстрации обратимся к рис. 7.14: представьте, что два порта коммутатора Cat-B соединены через концентратор с корневым мостом Cat-A. В дан- данном случае полученное на оба порта устройства Cat-B значение идентификатора бу- будет идентичным. Теперь для исключения неопределенности коммутатору Cat-B необ- необходимо оценить собственное локальное значение идентификатора порта (порт с наи- наименьшим идентификатором становится корневым портом). Рассматриваемая топология довольно редко встречается в современных сетях и не применяется в це- целях балансирования нагрузки. Cat-A Порт 1/1 Порт 1/2 Cat-B Рис. 7.14. Использование локального идентификатора моста для ис- исключения неопределенности В рассмотренных выше командах set span tree и show span tree, параметр vlans является необязательным. При его использовании необходимо соблюдать осто- осторожность, иначе можно случайно изменить параметры сети VLAN 1 (т.е. стандартные настройки устройства). Параметр приоритета порта может иметь значение в пределах от 0 до 63, стандарт- стандартное значение равно 32. Параметр приоритета передается в отдельном поле идентифи- идентификатора порта в конфигурационных сообщениях BPDU. Хотя для указанного поля максимальная длина составляет 16 битов, команда set spantree portvlanpri из- 272 Часть II. Механизм распределенного связующего дерева
меняет только первые 6 битов поля. Другими словами, поле идентификатора порта состоит из двух частей, как показано на рис. 7.15. Идентификатор порта < 16 битов >■ Приоритет порта - 10 битов Номер пор та Рис. 7.15. Поле идентификатора порта имеет длину 16 бит и состоит из двух частей Номер порта — это уникальное значение, которое статически назначается для ка- каждого порта следующим образом: значение 1 присваивается порту 1/1, значение 2 — порту 1/2 и т.д. (так как на каждый разъем устройства назначается число из опреде- определенного диапазона, номера портов будут непоследовательны). Десять бит поля иден- идентификатора порта, в которые заносится номер порта, могут иметь 2 , или 1024 раз- различных значений. Старшие 6 битов поля идентификатора порта отведены под значе- значение приоритета порта. Т.к. под данный параметр отведено 6 бит, то указанная часть поля может содержать 26, или 64 различных значения (значения от 0 до 63 использу- используются в команде set span tree portvlanpri). Поскольку значение приоритета моста содержится в старших битах поля идентификатора порта, то уменьшение указанного значения на единицу (от стандартного значения 32, например, до значения 31) для определенного порта увеличит его приоритет. Необходимо заметить, что маршрутизаторы Cisco используют несколько отлич- отличный диапазон значений приоритетов портов, чем это принято для коммутаторов Catalyst. Несмотря на то, что коммутаторы Catalyst могут всего лишь использовать значения приоритетов портов от 0 до 63, маршрутизаторы могут оперировать лю- любым значением в диапазоне от 0 до 255. Указанное различие в диапазонах является следствием того факта, что маршрутизаторы используют значения, указанные в стандарте 802.Id. К сожалению, стандарт 802.Id предусматривает использование только 8 бит для значений номеров портов, ограничивая таким образом плотность портов устройства числом 256 (т.е. 28). Хотя для большинства маршрутизаторов ука- указанное ограничение не существенно, для коммутаторов с высокой плотностью пор- портов, как, например, для устройств Catalyst 5500, ограничение на количество портов является достаточно важным. За счет увеличения возможного значения приоритетов портов на два бита, как было указанно в предыдущем абзаце, коммутаторы Catalyst способны обслуживать до 1024 порта B10) одновременно. Пока каждый порт имеет уникальный идентификатор, рассматриваемые ограничения не являются важными для протокола STP. С ростом популярности устройств, совмещающих 2-ой и 3-ий уровень эталонной модели OSI, плотность портов на устройствах продолжает воз- возрастать, и будущие дополнения стандарта 802.Id должны учитывать рассмотренную выше проблему. Глава 7. Расширенные возможности протокола... 273
Внимание! Начиная с операционной системы Cisco IOS версии 12.0, маршрутизаторы используют длину значения номера порта 9 или 10 бит для того, чтобы поддерживать технологии коммутирующих маршрутизаторов с высокой плотностью портов, как, например, уст- устройства серии 8540. Новая схема адресации позволяет использовать значения при- приоритетов портов с длинной 8 бит (т.е. значения от 0 до 255) и поддерживает возмож- возможность увеличения длины поля до 9 или 10 бит. Каким образом можно реализовать передачу трафика по нескольким маршрутам с использованием различных значений приоритетов портов? На рис. 7.16 проиллюстри- проиллюстрирована ситуация, когда для обеих сетей VLAN в качестве корневого моста служит коммутатор Cat-B. Часть А Физическая инфраструктура Cat-A Часть Б VLAN2 Часть В VLAN3 Cat-A Cat-A Cat-B Cat-B Cat-B Корневой мост Корневой мост Рис.7.16. Встречно-параллельное включение коммутаторов: в качестве корневого моста для обеих сетей служит устройство Cat-B Как было представлено ранее на рис. 7.13, а, конфигурационные сообщения BPDU, полученные портом 1/1 коммутатора Cat-A, стандартно содержат значения идентифика- идентификатора порта, равные 0x8001, а порт 1/2 принимает значения в сообщениях, равные 0x8002. Т.к. значение 0x8001 меньше 0x8002, то порт 1/1 получает статус корневого для всех сетей VLAN согласно алгоритму протокола STP. Однако, если уменьшить приори- приоритет сети VLAN 3 до значения 31 для порта 1/2 коммутатора Cat-B, такие действия при- приведут к понижению идентификатора порта 1/2 коммутатора Cat-A до значения 0х7С01 для сети VLAN 3. Поскольку значение 0х7С01 является меньшим 0x8001, то коммутатор Cat-A назначит порту 1/2 статус корневого для сети VLAN 3 и далее будет отправлять весь трафик через указанный порт. Чтобы реализовать описанные выше настройки кон- конфигурации устройства, необходимо ввести следующую команду: 274 Часть II. Механизм распределенного связующего дерева
Cat-B (enable) set spantree port vlanpri 1/2 31 3 Таким образом, в сети на рис. 7.16 реализовано балансирование нагрузки: сеть VLAN 2 использует для передачи трафика соединение слева на рисунке, а сеть VLAN 3 использует канал справа. Совет Необходимо обратить внимание, что значение, указанное в команде portvlanpri, должно быть меньше значения, указанного с помощью команды portpri. Стандартно, коммутатор Cat-A отправляет трафик по соединению 1/1 и, таким об- образом, нет необходимости вносить изменения в поведение устройства Cat-A. Однако, чтобы избежать недоразумений и ошибок в конфигурации в дальнейшем, необходимо использовать команду: Cat-B (enable) set spantree port vlanpri 1/1 31 2 Приведенная выше команда уменьшает значение приоритета порта 1/1 Cat-B до значения 31 для сети VLAN 2 и обеспечивает передачу ее трафика коммутатором Cat- А по указанной линии связи. Некоторые ограничения на использование балансирования нагрузки с помощью установки приоритетов портов Исходя из представленных выше сведений, можно заключить, что для реализации балансирования нагрузки на коммутаторе Cat-A необходимо изменить приоритет пор- порта на коммутаторе Cat-B. Причем изменение приоритета порта коммутатора Cat-A не оказывает никакого влияния на процесс балансирования нагрузки до тех пор, пока коммутатор Cat-B имеет статус корневого моста. Корневой мост отправляет трафик на все порты и поэтому не оказывает никакого влияния на балансирование нагрузки. Рассмотренная выше схема подстройки значений приоритетов портов одного комму- коммутатора, которая используется для того, чтобы оказать влияние на балансирование на- нагрузки другим коммутатором, очень запутана. Запомните, что для использования ба- балансирования нагрузки методом установки приоритетов портов необходимо настраи- настраивать параметры моста, который отправляет трафик (т.е. необходимо конфигурировать мост, ближайший к корневому, или непосредственно сам корневой мост). Результат исполнения команды show spantree при использовании рассмотрен- рассмотренного метода балансирования нагрузки может действительно привести в замешательст- замешательство. В примере 7.1 представлен результат выполнения команды show spantree для се- сети VLAN 3 на коммутаторе Cat-A. Пример 7.1.' Результат выполнения . команды Щ$-:.'' ■'ЙЖ'У1-АМ,^на коммутаторе ^^^■^ Cat-A (enable) show spantree 3 VLAN 3 Spanning tree enabled Spanning tree type ieee Designated Root 00-eO-f9-16-28-00 Designated Root Priority 100 Глава 7. Расширенные возможности протокола... 275
Designated Root Cost 19 Designated Root Port 1/2 Root Max Age 20 sec Hello Time 2 sec Forward Delay 15 sec Bridge ID MAC ADDR 00-e0-f9-52-ba-00 Bridge ID Priority 32768 Bridge Max Age 20 sec Hello Time 2 sec Forward Delay 15 sec Port VLAN Port-State Cost Priority Fast-Start Group-method 1/1 1 blocking 19 32 disabled 1/2 1 forwarding 19 32 disabled Как видно из приведенного выше примера, один порт находится в состоянии пе- передачи трафика, а один — в состоянии блокировки. Т.к. порт 1/2 находится в состоя- состоянии передачи данных, то балансирование нагрузки приведет к желаемому эффекту. К тому же необходимо заметить, что значение приоритета порта все еще равно 32. С первого взгляда может показаться, что указанное значение является просто ошибкой конфигурации. Напротив, поле приоритета порта или портов в результате выполнения команды show spantree содержит только исходящее значение приоритетов портов. Для того, чтобы увидеть значение, принимаемое коммутатором Cat-A, необходимо посмотреть на исходящее значение приоритета порта на коммутаторе Cat-B, как пока- показано в примере 7.2. Пример 7.2. Результат выполнения команды show spantree для сете! V- Jk- ^feV1-^ 3 на коммутаторе Cat-B . ;. .^Ш,^^Щ^К. :'Щ.., ^'|Д| Cat-B (enable) show spantree 3 VLAN 3 Spanning tree enabled Spanning tree type ieee Designated Root 00-eO-f9-16-28-00 Designated Root Priority 100 Designated Root Cost 0 Designated Root Port 1/0 Root Max Age 20 sec Hello Time 2 sec Forward Delay 15 sec Bridge ID MAC ADDR 00-e0-f9-16-28-00 Bridge ID Priority 100 Bridge Max Age 20 sec Hello Time 2 sec Forward Delay 15 sec Port VLAN Port-State Cost Priority Fast-Start Group-method 1/1 1 forwarding 19 32 disabled 1/2 1 forwarding 19 31 disabled Как и ожидалось, приоритет порта 1/2 имеет значение 31. В отношении команды set spantree portvlanpri приведенные замечания имеют большое значение. Оп- 276 Часть II. Механизм распределенного связующего дерева
ределить значения приоритетов портов можно достаточно просто — необходимо пом- помнить, что значения приоритетов нужно рассматривать на устройстве, реально выпол- выполняющем балансирование нагрузки. Совет Полученные значения идентификаторов портов можно узнать на коммутаторе Cat-A с помощью команды set spantree statistics. Использование указанной команды обсуждается в конце главы в разделе "Полезные команды протокола STP". Использование рассмотренных выше тонкостей работы протокола STP является достаточно сложным и используется в основном при восстановлении функциониро- функционирования сети в случае возникновения перегрузки. Указание значений приоритетов пор- портов и сетей VLAN, к сожалению, не является интуитивно понятным моментом и вы- вызывает множество сложностей при конфигурировании устройств в сети. Необходимо отметить, что команда set spantree portvlanpri может использо- использоваться только в тех ситуациях, когда в сети используется встречное подключение уст- устройств. Необходимо помнить, что идентификатор порта всегда оценивается послед- последним в алгоритме принятия решения протокола STP. Поэтому при использовании рас- рассматриваемого метода балансирования нагрузки необходимо, чтобы значения корневой стоимости маршрута и идентификатор отправителя были равны. Несмотря на то, что равные корневые стоимости маршрута являются довольно частым случаем, равные идентификаторы отправителей встречаются только в топологиях со встречно- параллельным включением мостов. Например, обратимся к сети, проиллюстрирован- проиллюстрированной на рис. 7.3. Коммутатор Cat-D никогда не сможет получить одно и то же значе- значение идентификатора отправителя на оба порта, т.к. они соединены с абсолютно раз- разными коммутаторами: Cat-B и Cat-C. Изменение приоритетов портов в структуре, представленной на рисунке, не окажет никакого влияния на балансирование нагрузки в рассматриваемой сети. Совет Не используйте команду set spantree portvlanpri в типичной модели сети, где каждый коммутатор промежуточного распределительного узла связан с коммутатора- коммутаторами главного распределительного узла, т.к. рассмотренная выше схема работать не будет. Несмотря на то, что метод балансирования нагрузки за счет установки приорите- приоритетов портов используется в конфигурациях со встречно-параллельным включением коммутаторов, рекомендуется никогда не использовать указанный метод. Почему? Потому что технология EtherChannel, разработанная корпорацией Cisco, обеспечивает более высокую производительность. Данная технология не только является более на- надежной в эксплуатации, но и более эффективно выполняет балансирование нагрузки. За подробной информацией по технологии EtherChannel обратитесь к главе 8, "Технологии и приложения магистральных соединений". Совет Не используйте команду set spantree portvlanpri в конфигурациях со встречно- параллельным включением коммутаторов. Вместо этого старайтесь использовать технологии Fast или Gigabit EtherChannel. Глава 7. Расширенные возможности протокола... 277
К сожалению, большинство документов представляют команду set spantree portvlanpri просто как способ реализации балансирования нагрузки в коммутируе- коммутируемой сети. Как уже упоминалось выше, ее использование не сможет обеспечить балан- балансирование нагрузки в большинстве сетей. С другой стороны, почему тогда используется балансирование нагрузки за счет ус- установки приоритетов портов? Правильное размещение корневого моста и установка значений стоимостей портов обеспечивает более интуитивно понятные и гибкие воз- возможности. Однако имеются два случая, когда использование команды set spantree portvlanpri может быть полезно. Во-первых, если запущена операционная система NMP версии меньшей 3.1, использование метода установки стоимости порта недос- недоступно. Во-вторых, можно использовать встречно-параллельное включение коммутато- коммутаторов в конфигурации, где технология EtherChannel не поддерживается (например, коммутатор Catalyst может иметь модули, которые не работают с технологией Ether- Channel, или используется устройство другого производителя). Внимание! Номера версий, приведенные в текущей главе, соответствуют версиям операционной системы для коммутатора Catalyst 5000 NMP. В настоящее время для нумерации ис- используется та же схема, что и для коммутаторов Catalyst 4000-ой и 6000-ой серий. Другие устройства Cisco могут использовать другие схемы нумерации. И наконец, не надо путать команды set spantree portvlanpri и set spantree portpri. Команда set spantree portpri позволяет изменять старшие 6 битов поля идентификатора порта. Однако, ее использование изменяет все данные биты для всех сетей VLAN на отдельном порту. Как уже упоминалось в текущем разделе, очевидно, что такой подход не может быть использован для балансирования нагрузки между раз- разными сетями VLAN. С другой стороны, команда set spantree portvlanpri позволя- позволяет регулировать значение приоритета порта для каждого порта и каждой сети VLAN. Внимание! Чтобы экономить место в памяти NVRAM, команда set spantree portvlanpri по- позволяет только устанавливать общее значение приоритета для каждого порта. Первое значение указывается непосредственно при вводе команды. Другое значение задается посредством команды set spantree portpri. Такая особенность может показаться странной для непосвященных пользователей. За более полной информацией по дан- данному вопросу обратитесь к разделу "Балансирование нагрузки с помощью установки приоритетов портов" (указанному методу также присущи некоторые ограничения). Од- Однако, ограничения данного метода редко создают проблемы в реальных сетях, кроме сетей со встречно-параллельным включением коммутаторов и не поддерживающих технологию EtherChannel. Потенциальные проблемы использования метода балансирования нагрузки за счет изменения приоритетов в реальных сетях Перед обсуждением оставшихся двух методов балансирования нагрузки в текущем разделе будут исследованы проблемы, возникающие при попытке сбалансировать на- 278 Часть II. Механизм распределенного связующего дерева
грузку в более сложных территориальных сетях, и продемонстрирована неэффектив- неэффективность использования описанных ранее методов размещения корневого моста и метода изменения приоритета портов для балансирования нагрузки. Несмотря на то, что конфигурации, основанные на методах размещения корневого моста, и изменения приоритета портов являются эффективными инструментами ба- балансирования нагрузки в некоторых топологиях сетей, что будет происходить, если территориальная сеть размещена в двух зданиях, как показано на рис. 7.17? Здание 1 IDF Корневой мост VLAN2 - Корневой мост MDF VLAN3 MDF IDF Здание 2 Рис. 7.17. Пример территориальной сети, в которой балансирование нагрузки за счет выбора местоположения корневого моста и изменение приоритета портов неэффективно Глава 7. Расширенные возможности протокола... 279
На рис. 7.17 представлена упрощенная схема типичного (но не обязательно ре- рекомендуемого) проекта территориальной сети. В данном проекте сеть VLAN 2 и сеть VLAN 3 покрывают все коммутаторы в обоих зданиях. Каждое здание содержит два коммутатора в главном распределительном узле (MDF). Оба коммутатора MDF соединяются с коммутаторами промежуточного распределительного узла (IDF), ко- которые располагаются на каждом этаже (чтобы упростить диаграмму, в каждом зда- здании представлен только один коммутатор IDF). На диаграмме также представлены стоимости маршрутов (соединения с узлами IDF построены на основе технологии Fast Ethernet, а соединения с узлами MDF построены на основе технологии Giga- Gigabit Ethernet). Для реализации механизма балансирования нагрузки использование метода изме- изменения приоритетов портов не подходит, т.к. коммутаторы не включены встречно- параллельным образом. Для использования метода размещения корневого моста при балансировании нагрузки в здании 1 можно было бы разместить корневой мост для сети VLAN 2 на коммутаторе Cat-1A, а для сети VLAN 3 — на устройстве Cat-IB. Тогда трафик сети VLAN 2 будет использовать соединение слева (на рис. 7.17), а тра- трафик сети VLAN 3 будет использовать соединение справа. Рассмотрим возможные маршруты трафика в здании 2. Коммутатор IDF в здании 2 (Cat-2C) использует несколько маршрутов к корневому мосту сети VLAN 2 (Cat-1A). Какой из маршрутов надо использовать? Если вернуться назад к критериям решения протокола STP, которые рассматривались выше, то первый критерий оценки — ме- местоположение корневого моста. Очевидно, что коммутатор Cat-1A имеет статус кор- корневого для сети VLAN 2, а коммутатор Cat-2C соответствует второму критерию — па- параметрам оценки корневой стоимости маршрута. Первый вариант работы сети состоит в том, чтобы отправлять трафик по маршруту от коммутатора Cat-2C к устройству Cat-2B, далее к Cat-2A, и в конце к коммутатору Cat-1A со значением стоимости кор- корневого маршрута, равным 27 A9+4+4). Лучший вариант переноса трафика — от уст- устройства Cat-2C к коммутатору Cat-2B, и далее к устройству Cat-1A со значением стоимости корневого маршрута, равным 23 A9+4). Однако, маршрут от устройства Cat-2C к коммутатору Cat-2A и далее к коммутатору Cat-1A также имеет значение стоимости корневого маршрута, равное 23 A9+4). Т.к. два маршрута имеют равные значения корневых стоимостей, то коммутатор Cat-2A обратится к третьему критерию выбора маршрута — идентификатору отпра- отправителя. Предположим, что коммутаторы Cat-2A и Cat-2B используют стандартные значения приоритета моста C2768). Также предположим, что коммутатор Cat-2A имеет МАС-адрес АА-АА-АА-АА-АА-АА, а МАС-адрес коммутатора Cat-2B — ВВ- ВВ-ВВ-ВВ-ВВ-ВВ. Т.к. коммутатор Cat-2A имеет меньший идентификатор отправи- отправителя C2768.АА-АА-АА-АА-АА-АА), то весь трафик для сети VLAN 2 будет исполь- использовать маршрут от коммутатора Cat-2C к устройству Cat-2A и далее к коммутатору Cat-IB. Рассмотрим возможные варианты выбора маршрутов трафика в сети VLAN 3. Т.к. все коммутаторы используют соглашение о том, что устройство Cat-IB имеет статус корневого моста для сети VLAN 3, то значение корневой стоимости маршрута рас- рассматривается следующим образом. Первый вариант передачи трафика — маршрут пролегает от коммутатора Cat-2C к Cat-2A, далее — к устройству Cat-1A, и в конце — к коммутатору Cat-IB со значением корневой стоимости маршрута, равным 27 A9+4+4). Наилучшим вариантом будет следование данных по маршруту от устройства Cat-2C к коммутатору Cat-2A, и далее — к коммутатору Cat-IB со значением корне- 280 Часть II. Механизм распределенного связующего дерева
вой стоимости маршрута, равным 23 A9+4). Рассматривая третий вариант, мы снова получим равные значения корневых стоимостей по маршруту от коммутатора Cat-2C к устройству Cat-2B, и далее — к коммутатору Cat-IB (значение корневой стоимости маршрута равно 19+4, или 23). Далее происходит оценка коммутатором Cat-2C третьего критерия — идентификаторов устройств Cat-2A и Cat-2B, причем наимень- наименьший идентификатор будет у коммутатора Cat-2A. Таким образом, трафик от сети VLAN 3 будет следовать по маршруту от устройства Cat-2C к коммутатору Cat-2A, и далее к коммутатору Cat-IB. Последний маршрут обеспечивает балансирование на- нагрузки в территориальной сети, но теперь обе сети VLAN используют одно соедине- соединение. Другими словами, попытка реализации балансирования нагрузки в здании 1 раз- разрушила балансирование нагрузки в здании 2. Становится очевидным, что все рассмотренные выше методы балансирования нагрузки не подходят для представленной телекоммуникационной инфраструктуры, и есть необходимость в новом методе. Предположим, что необходимо поддерживать обе сети VLAN сразу между двумя зданиями (такой подход является обычным, од- однако его не рекомендуется использовать — за более полной информацией по во- вопросам разработки сетей обратитесь к главе 14, "Модели территориальных сетей"), и для рассматриваемой структуры можно использовать два механизма балансирова- балансирования нагрузки: • метод изменения приоритетов мостов; • метод изменения стоимостей портов и сетей VLAN. Из двух указанных методов метод изменения стоимостей является более гибким. Однако, т.к. команда set spantree portvlancost не доступна в операционных сис- системах с версией меньшей 3.1 для коммутаторов Catalyst, то метод изменения приори- приоритетов мостов обсуждается первым. Балансирование нагрузки за счет изменения приоритетов мостов В сети, представленной на рис. 7.17, можно использовать балансирование на- нагрузки за счет изменения приоритетов мостов. Как уже обсуждалось в предыдущем разделе, коммутатор узла IDF (устройство Cat-2C) может использовать несколько маршрутов к корневому мосту с равными значениями корневой стоимости. Для вы- выбора наилучшего маршрута использовался третий критерий — идентификатор мос- моста. Поскольку и коммутатор Cat-2A, и коммутатор Cat-2B используют стандартное значение идентификатора моста, коммутатор Cat-2A имеет меньшее значение иден- идентификатора во всех сетях VLAN C2768.AA-AA-AA-AA-AA-AA меньше, чем 32768.ВВ-ВВ-ВВ-ВВ-ВВ-ВВ). Этот факт делает невозможным использование балан- балансирования нагрузки в здании 2. Можно попробовать снизить значение идентификатора для моста Cat-2B, но толь- только для сети VLAN 3. Например, введем следующую команду на коммутаторе Cat-2B: Cat-2B (enable) set spantree priority 1000 3 Для надежности конфигурации, указанную команду необходимо ввести и на ком- коммутаторе Cat-2A с другим параметром сети (команда просто фиксирует стандартное значение идентификатора моста): Cat-2A (enable) set spantree priority 1000 2 Глава 7. Расширенные возможности протокола... 281
На рис. 7.18 представлена топология сети и маршруты передачи трафика, которые будут получены в результате описанных выше настроек. Здание 1 Корневой мост VLAN2 set spantree priority 1000 2 Корневой мост VLAN3 set spantree priority 10003 Здание 2 Рис. 7.18. Балансирование нагрузки за счет изменения приоритетов мостов Необходимо обратить внимание, что указанные выше команды изменяют зна- значение приоритета моста, а не значение приоритета порта. Команда set spantree portvlanpri, рассмотренная в предыдущих разделах, изменяет только значение приоритета порта (первые 6 битов поля идентификатора порта) для каждого отдель- отдельного порта или каждой отдельной сети VLAN. Напротив, значение приоритета мое- 282 Часть II. Механизм распределенного связующего дерева
та — параметр, который является общим для всех портов на данном коммутаторе и может быть индивидуально установлен для каждой отдельной сети VLAN на комму- коммутаторе. Необходимо заметить, что значение приоритета моста, которое устанавливается с помощью команды set spantree portvlanpri, является тем же самым, что и для корневого моста. Для балансирования нагрузки потоков трафика значение приоритета моста должно быть достаточно небольшим, но если значение слишком маленькое, то мост может получить статус корневого и нарушить целостность беспетельной топо- топологии. Выбор правильного баланса значений портовых приоритетов является огромной работой в больших, сложных и чрезмерно плоских сетях. Фактически это одна из наиболее существенных проблем, связанных с балансировкой нагрузки методом из- изменения приоритетов мостов. Чтобы не запутаться, администратору необходимо ис- использовать схему выбора параметров, равных 100, 200, 300 и т.д. для значений при- приоритетов корневых мостов и значения 1000, 2000, 3000, ... и т.д. для нужд баланси- балансирования нагрузки. Такая схема позволяет упростить документацию сети и благополучно избежать указанной выше проблемы. Рассмотренный подход к назна- назначению приоритетов мостов предполагает, что в сети имеется не более восьми ре- резервных корневых мостов. Совет Используйте логически упорядоченную схему нумерации приоритетов мостов для того, чтобы разделить диапазон значений для корневых мостов и для механизмов баланси- балансирования нагрузки. Например, используйте множитель 100 для значений приоритетов корневых мостов, а множитель 1000 — для значений приоритетов мостов, используе- используемых при балансировании нагрузки. Один большой недостаток использования балансирования нагрузки методом изме- изменения приоритетов мостов — плохая масштабируемость сети. Поскольку сети имеют тенденцию к росту, очень трудно отслеживать значения приоритетов и идентификато- идентификаторов для всех устройств в сети. Кроме того, рассматриваемый метод так же запутан, как и метод, в котором ис- используется команда set spantree portvlanpri. Чтобы осуществить балансирование нагрузки на коммутаторах узлов IDF, необходимо изменить значения на коммутаторах узлов MDF. Т.к. получаемые конфигурационные сообщения BPDU оцениваются на коммутаторе Cat-2C, то изменение идентификатора на нем не даст никакого результа- результата. Т.е. при использовании методов изменения приоритетов мостов или портов необ- необходимо изменять значения на отправляющем коммутаторе. Использование различных методов одновременно (в здании 1 используется метод размещения корневого моста, а в здании 2 используется метод изменения приорите- приоритетов мостов) дает еще худшие результаты. Необходимо использовать простой и доста- достаточно гибкий метод для балансирования нагрузки в обоих зданиях. Почему же тогда используется указанный метод балансирования нагрузки? По од- одной простой причине— до версии 3.1 операционной системы устройств Catalyst се- серии 5000 рассматриваемый метод был единственным вариантом для большинства то- топологий сетей. Однако, начиная с версии 3.1, корпорация Cisco предложила более гибкий метод для балансирования нагрузки — метод изменения стоимостей портов. Глава 7. Расширенные возможности протокола... 283
Балансирование нагрузки за счет изменения стоимостей портов и сетей VLAN Несмотря на то, что метод размещения корневого моста более привлекателен из-за простоты, балансирование нагрузки за счет изменения стоимости является более гиб- гибким методом. Благодаря своей универсальности, метод настройки стоимости порта интуитивно понятен и более эффективен как метод балансирования нагрузки практи- практически для всех топологий сетей. Балансирование нагрузки за счет изменения приоритетов портов и приоритетов мостов рассматривалось выше с точки зрения влияния на алгоритм распределенного связующего дерева при равных значениях стоимостей. Стратегия метода изменения стоимостей основывается на очень простом наблюдении: если корневая стоимость маршрута является вторым критерием при принятии решения, почему же тогда необ- необходимо использовать третий и четвертый критерии при балансировке нагрузки? Дру- Другими словами, почему нельзя изменять непосредственно само значение стоимости? Коммутаторы Catalyst всегда поддерживали команду set spantree portcost. Данная команда не является основным инструментом для реализации механизма ба- балансирования нагрузки, поскольку изменяет значение стоимости для каждой сети VLAN на указанном порту. Начиная с версии 3.1 операционной системы для комму- коммутаторов Catalyst 5000, корпорацией Cisco Systems была введена команда set span- tree portvlancost (серии 4000 и 6000 также поддерживают указанную команду). Новая команда позволяет регулировать значение стоимости для каждой сети VLAN и для каждого порта в отдельности. Внимание! Серии коммутаторов Catalyst 3000 (модели 3000, 3100 и 3200) поддерживали конфигура- конфигурацию значения стоимости для каждой сети VLAN и для каждого порта, но в дальнейшем указанные возможности были перенесены в устройства верхнего уровня Catalyst 5000. Увеличение значения стоимости маршрута для балансирования нагрузки На рис. 7.19 представлен вариант сети, в которой может быть использована коман- команда set spantree portvlancost для реализации балансирования нагрузки в прото- протоколе STP. Для простоты рассмотрения коммутатору Cat-1A назначен статус корневого для всех сетей VLAN. Рассмотрим балансирование нагрузки в здании 1. Коммутатор Cat-1С — коммутатор узла IDF в здании 1, имеет два маршрута к корневому мосту. Указанный коммутатор имеет соединение с устройством Cat-1A через порт 1/1 со значением стоимости, равным 19, или может использовать порт 1/2 соединения через коммутатор Cat-IB со значением стоимости 23 A9+4). Соединение через порт 1/1 удовлетворяет требованиям сети VLAN 2, но для сети VLAN 3 необходимо, чтобы соединение было установлено через порт 1/2. Такая проблема может быть решена посредством увеличения параметра корне- корневой стоимости маршрута для соединения через порт 1/1 до значения, превышающего 23, для всех сетей VLAN, которым необходимо достичь порта 1/2. Например, если ввести команды, показанные в примере 7.3, на коммутаторе Cat-1С, то значение корневой стоимости маршрута для порта 1/1 сети VLAN 3 увеличится до 1000. 284 Часть II. Механизм распределенного связующего дерева
4acTbA:VLAN2 Здание 1 4acTbB:VLAN3 Здание 1 Cat-1C Корневой мост Cat-2B Cat-2C Здание 2 Здание 2 Рис. 7.19. Балансирование нагрузки с использованием команды set spantree portvlancost Пример 7.3. Увеличение значения стоимости маршрута для сети VI_AN3 ? на пррту>1 /1 коммутатора СаМС ■ ..:;■". ■. ■;';.; ^ '. '-$'.,£>;, ;;Д; - Cat-lC (enable) set spantree portvlancost 1/1 cost 1000 3 Port 1/1 VLANs 1-2,4-1005 have path cost 19. Port 1/1 VLANs 3 have path cost 1000. Глава 7. Расширенные возможности протокола... 285
Для соединения через порт 1/2 сети VLAN 2 нет необходимости вводить команды, рассмотренные в примере 7.3, но для согласованности параметров процедуру можно повторить и на другом устройстве (см. пример 7.4). i-^..,-i-^:- . ■^-"-:-s--i--.ЗНаченйя стоимости коммутатора Cat-iC Cat-lc (enable) set spantree portvlancost 1/2 cost 1000 2 Port 1/2 VLANs 1,3-1005 have path cost 19. Port 1/2 VLANs 2 have path cost 1000. Последние две команды увеличивают значение корневой стоимости маршрута, ко- которое, в свою очередь, заставляет трафик перенаправляться по соединению IDF- MDF. Например, выполнение команд, указанных в примере 7.3, приведет к тому, что трафик сети VLAN 3 будет использовать соединение через порт 1/2 вместо маршрута через порт 1/1. И только если порт 1/2 придет в неисправность, трафик будет двигать- двигаться по последнему маршруту. Как было подчеркнуто выше, важно понять разницу между корневой стоимостью маршрута и стоимостью маршрута. Определения этих двух терминов важны для по- понимания процессов балансирования нагрузки с использованием изменения стоимо- стоимостей маршрута. Значение корневой стоимости является общим значением стоимости для алгоритма связующего дерева от конкретного коммутатора или моста к корневому мосту. Стоимость маршрута — это значение, которое добавляется к значению корневой стоимости при получении конфигурационного сообщения BPDU. Необходимо всегда помнить, что команда set spantree portvlancost работает со значением стоимо- стоимости маршрута, а не со значением корневой стоимости. Запомнить назначение указан- указанной команды можно, записав ее следующим образом: set spantree portvlanpa th- cost (только не стоит пробовать набирать команду в таком виде!). Уменьшение значения стоимости маршрута для балансирования нагрузки Уменьшение значения стоимости для соединения является альтернативным подхо- подходом к реализации балансирования нагрузки. Уменьшить значение стоимости можно с помощью команды set spantree portvlancost. Ниже приведен полный синтаксис команды: set spantree portvlancost mod_num/port_num [cost cost_value] [preferred_VLANs] Как видно из приведенной командной строки, некоторые параметры можно опус- опустить. Если опустить параметр cost, после выполнения команды значение стоимости уменьшится до текущего значения. Если опустить параметр preferred_VLANs, то при выполнении команды будет использоваться список сетей VLAN, который был исполь- использован при последнем выполнении команды. Другими словами, после выполнения ко- команд, которые показаны в примере 7.5, порт 1/2 будет использоваться для передачи трафика от сети VLAN 3. ... . , . ^^|р^ ^щрЩ^ Пример 7.5. Настройка порта 1/2 коммутатора Cat-1 С для передачи тра- Cat-lC> (enable) set spantree portvlancost 1/2 3 Port 1/2 VLANs 1-2,4-1005 have path cost 19. Port 1/2 VLANs 3 have path cost 18. 286 Часть II. Механизм распределенного связующего дерева
Совет В отличие от большинства команд протокола STP, которые уменьшают стандартные значения параметров на единицу, когда пропущен параметр vlan, команда set spantree portvlancost использует тот же номер сети VLAN, который использовал- использовался в предыдущей команде. Во избежание сюрпризов рекомендуется всегда использо- использовать параметры cost и preffered_VLANs. Уменьшение значения стоимости маршрута до 18 на порту 1/2 коммутатора Cat-lC (рис. 7.19) для сети VLAN 3 не приведет к какому-либо результату, т.к. коммутатор Cat-lC имеет два маршрута к корневому мосту. Как уже обсуждалось , значения кор- корневой стоимости маршрута были равны 19 для порта 1/1 и 23 A9+4) для порта 1/2. Уменьшения значения корневой стоимости маршрута для порта 1/2 до значения 22 недостаточно, чтобы получить статус корневого. Решение проблемы состоит в указании параметра cost, как показано в приме- примере 7.6. Пример 7.6. Выбор порта 1/2 коммутатора СэШС в качестве основного Щ^Ш'Р •■■■■ маршрута трафика для-сети'VLAN.3 путем уменьшения;Зна<-| !кщт$-'-.Г' чения стоимости маршрута' ,.,;.Д-Л',,,-,.;--; "';--^]Щ': '^П^^-.;-^. j Console> (enable) set spantree portvlancost 1/2 cost 14 3 Port 1/2 VLANs 1-2,4-1005 have path cost 19. Port 1/2 VLANs 3 have path cost 14. После выполнения команд, которые показаны в примере 7.6, суммарное значение корневой стоимости маршрута для порта 1/2 уменьшится до значения 18 A4+4) и по- позволит "отобрать" статус корневого у порта 1/1 со значением стоимости, равным 19. Необходимо заметить, что такой подход может показаться нестабильным для дли- длительных периодов времени. Что случится с соединением между коммутатором Cat-1A и Cat-IB при переходе с технологии Fast Ethernet на технологию Fast EtherChannel? Или каков будет результат при добавлении еще одного коммутатора между устройст- устройствами Cat-1A и Cat-IB? В любом случае при увеличении значения стоимости соедине- соединения между коммутаторами Cat-1A и Cat-IB балансирование нагрузки не будет функ- функционировать. Во избежание ошибок используйте следующее правило: лучше всего увеличивать значение стоимости неподходящим маршрутам, а уменьшать значения необходимо подходящим маршрутам для передачи трафика. Совет Увеличение значения стоимости неподходящих маршрутов является более гибким и масштабируемым решением, нежели уменьшение значения стоимости подходящих маршрутов для передачи трафика. Преимущества балансирования нагрузки с использованием метода изменения стоимости маршрутов Вернемся к примеру сети, изображенной на рис. 7.19, и представим, что баланси- балансирование нагрузки реализовано в сети здания 2. Во-первых, изменим параметры про- Глава 7. Расширенные возможности протокола... 287
токола STP для порта 1/2 коммутатора Cat-2C (сеть VLAN 3), используя команды, ко- которые приведены в примерах 7.7 и 7.8. | Пример 7.75 Выбор порта 1/2 коммутатора СаМС в качестве основного; маршрута трафика для сети VLAN 3 путем увеличения зна-] \-\ '■'?'■. Учения стоййойи порта 1/1 "] Cat-2C (enable) set spantree portvlancost 1/1 cost 1000 3 Port 1/1 VLANs 1-2,4-1005 have path cost 19. Port 1/1 VLANs 3 have path cost 1000. Во-вторых, изменим соответствующие параметры для сети VLAN 2 (см. при- пример 7.8). Пример 7.8. Выбор порта 1/1 коммутатора Cat-1 С в качестве основного; : маршрута трафика для сети VLAN 2 ' :г г Щ Л ~~.^.^Bl£ Cat-2C(enable)set spantree portvlancost 1/2 cost 1000 2 Port 1/2 VLANs 1,3-1005 have path cost 19. Port 1/2 VLANs 2 have path cost 1000. Как видно из приведенных выше примеров, использование метода изменения стоимости маршрута является более простым механизмом, чем использование методов изменения приоритетов портов и приоритетов мостов. Во-первых, намного упрощает- упрощается понимание и представление результата исполнения команд, и, во-вторых, введен- введенные команды практически идентичны для обоих коммутаторов узла IDF. В-третьих, команды вводятся только на коммутаторах, непосредственно участвующих в процессе балансирования нагрузки. Если в сети есть коммутатор узла IDF, хранящий несколь- несколько доступных маршрутов для передачи трафика, то просто необходимо зайти на него с использованием службы Telnet, а с помощью команды set spantree portvlancost распределить нагрузку через доступные маршруты. Используя метод изменения стои- стоимости, нет необходимости выполнять странные изменения параметров на отправляю- отправляющих трафик мостах. Результат выполнения команды set spantree portvlancost виден при исполь- использовании команды show spantree. Ниже приведен результат ввода данной команды (см. пример 7.9) на коммутаторе Cat-lC (сеть VLAN 2), который является IDF- коммутатором здания 2. Пример 7.9. Результат выполнения команды show spantree для сети j ''. -■■• .-, '^\ .VLAN 21f. .':у -и Х:^-..' ...■"' :Ь *■ ■ ii-.. -V % Х< ■■''■,*--.ЛЖ 2Siii Cat-2C (enable) show spantree 2 VLAN 2 Spanning tree enabled Spanning tree type ieee Designated Root 00-e0-f9-16-28-00 Designated Root Priority 100 Designated Root Cost 23 288 Часть II. Механизм распределенного связующего дерева
Designated Root Port 1/1 Root Max Age 20 sec Hello Time 2 sec Forward Delay 15 sec Bridge ID MAC ADDR 00-eO-f9-F2-44-00 Bridge ID Priority 32768 Bridge Max Age 20 sec Hello Time 2 sec Forward Delay 15 sec Port VLAN Port-State Cost Priority Fast-Start Group-method 1/1 1 forwarding 19 32 disabled 1/2 1 blocking 1000 32 disabled Увеличенное значение стоимости соединения через порт 1/2 ясно отражается в том факте, что порт 1/1 находится в состоянии передачи данных. Также необходимо заме- заметить, что порт 1/1 имеет статус корневого. Результат использования команды show spantree (см. пример 7.10) для сети VLAN 3 приведен ниже. Пример 7.10. Результат выполнения^командм shbW-spantree для сети ! Cat-2C (enable) show spantree 3 VLAN 3 Spanning tree enabled Spanning tree type ieee Designated Root 00-e0-f9-16-28-00 Designated Root Priority 100 Designated Root Cost 23 Designated Root Port 1/2 Root Max Age 20 sec Hello Time 2 sec Forward Delay 15 sec Bridge ID MAC ADDR 00-e0-f9-F2-44-00 Bridge ID Priority 32768 Bridge Max Age 20 sec Hello Time 2 sec Forward Delay 15 sec Port VLAN Port-State Cost Priority Fast-Start Group-method 1/1 1 blocking 1000 32 disabled 1/2 1 forwarding 19 32 disabled Обратите внимание (см. пример 7.10), что порт 1/1 находится в состоянии блоки- блокировки трафика, а порт 1/2 — в состоянии передачи данных. Статус корневого теперь имеет порт 1/2 со значением корневой стоимости, равным 23 A9+4). Совет Необходимо четко различать определения корневой стоимости маршрута и стои- стоимости маршрута. Корневая стоимость маршрута — это общее значение стоимости маршрута к корневому мосту. Стоимость маршрута — значение, которое каждый порт вносит в общее значение корневой стоимости. Глава 7. Расширенные возможности протокола... 289
Рассматриваемый метод изменения стоимостей является самым гибким и простым для понимания, поэтому он наиболее полезен для балансирования нагрузки с помо- помощью протокола STP (наряду с методом выбора местоположения корневого моста). Единственное требование, которое необходимо выполнить — нужно, чтобы на комму- коммутаторе, который будет выполнять балансирование нагрузки (в основном это коммута- коммутаторы узлов IDF), была установлена операционная система версии выше 3.1. Необхо- Необходимо отметить, что операционную систему указанной версии не обязательно ставить на всех устройствах, а только на тех устройствах, где будет сконфигурировано балан- балансирование нагрузки с помощью команды set spantree portvlancost (изменения, сделанные с помощью данной команды на конкретном устройстве, не повлияют на взаимодействие с остальными устройствами в сети). Некоторые ограничения на использование балансирования нагрузки за счет изменения стоимости маршрута Необходимо заметить, что у метода изменения стоимости маршрута есть один не- недостаток: каждый порт может хранить только два значения стоимости маршрута (так же, как порт может хранить только два значения приоритета). Первое значение явля- является стандартным значением порта. Такое значение порт вычисляет в зависимости от доступной для передачи данных полосы пропускания (возможные значения стоимости для протокола STP приведены в табл. 6.1 главы 6, "Основы протокола распределен- распределенного связующего дерева"), и оно может быть изменено с помощью команды set spantree portcost (значение стоимости изменяется для каждой сети VLAN порта). Второе значение устанавливается с помощью команды set spantree portvlancost, и на данном порту может храниться только одно такое значение. Если попытаться сконфигурировать несколько значений для одного порта с помощью команды set spantree portvlancost, то все сконфигурированные сети VLAN будут использовать только последнее значение. Совет Как и в случае изменения значения приоритета порта, значение стоимости для каждой сети VLAN должно быть меньше, чем для каждого порта. Другими словами, значение, указываемое в команде set spantree portvlancost, должно быть меньше, чем значение, которое сконфигурировано с помощью команды set spantree portcost. Команды, приведенные в примере 7.11, увеличивают значение стоимости до 1000 порта 1/1 для сетей VLAN 2 и VLAN 3. • Пример 7.11. Увеличение значения стоимости до 1000 порта 1/1 для сетей U ;-^: vi_an2hVlan3 *й й -■ -■" ' '::■<■■■•'■'■'''*•''•'■';[ i,::,;l, : ; J.L .,,....,.... ;j, ^ 1^:£й£«г..„ '. _й! . : ::-.й-^ : : ..... ILiJJ Cat-A>(enable)set spantree portvlancost 1/1 cost 1000 2-3 Port 1/1 VLANs 1,4-1005 have path cost 19. Port 1/1 VLANs 2-3 have path cost 1000. Далее можно попробовать увеличить значение стоимости маршрута до 2000 для се- сети VLAN 5 (см. пример 7.12). 290 Часть II. Механизм распределенного связующего дерева
Console> (enable) set spantree portvlancost 1/1 cost 2000 5 Port 1/1 VLANs 1,4,6-1005 have path cost 19. Port 1/1 VLANs 2-3,5 have path cost 2000. Проследим изменения значений VLAN3 (см. пример 7.13). стоимости маршрутов для сетей VLAN 2 и ^Пример 7.13. Коммутатор использует только последние введенные зна- Console> Port 1/1 1/1 1/1 1/1 1/1 1/1 1/1 1/1 1/1 1/1 I* •" чения стоимости маршрутов (enable) show spantree VLAN Port-State 1 forwarding 2 forwarding 3 forwarding 4 forwarding 5 forwarding 6 forwarding 7 forwarding 8 forwarding 9 forwarding 10 forwarding 1/1 Cost 19 2000 2000 19 2000 19 19 19 19 19 Priority 31 31 31 31 31 31 31 31 31 31 Fast-Start Group-Method disabled disabled disabled disabled disabled disabled disabled disabled disabled disabled ■ i Из приведенного выше примера видно, что значения 1000 уже нет в таблице. Как было упомянуто в разделе "Балансирование нагрузки с помощью установки приорите- приоритетов портов", в котором описано использование команды set spantree portvlan- pri, такой эффект является следствием записи коммутатором параметров конфигура- конфигурации в память NVRAM сразу же после введения новых команд. Коммутатор храпит три различных значения, относящиеся к стоимости каждого порта: • общее значение стоимости; • значение заданное с помощью команды set spantree portvlancost; • список сетей VLAN, использующих значения, указанные с помощью команды set spantree portvlancost. Таким образом, разные значения стоимости не могут храниться отдельно для каж- каждой сети VLAN. Однако, такой недостаток не является существенным ограничением в большинстве ситуаций. В сетях со множеством соединений необходимо учитывать приведенный выше факт, но в общем его можно не замечать. Резюме по методам балансирования нагрузки Для реализации балансирования нагрузки в сетях с помощью протокола STP суще- существуют четыре основных метода, которые перечислены ниже. • Выбор размещения корневого моста. На маршрут следования потоков трафика можно повлиять правильным расположением корневого моста в сети. Такой под- Глава 7. Расширенные возможности протокола... 291
ход наиболее полезен для организаций, использующих многоуровневую модель проектирования, описанную в главе 14. Следует помнить, что в сетях, которые не используют иерархическую структуру, применение такого метода невозможно. • Настройка приоритета порта. Для балансирования нагрузки потоков трафика между включенными встречно-параллельным образом коммутаторами можно использовать команду set spantree portvlanpri. Такой метод позволяет се- сетевым администраторам изменять значение идентификатора порта на коммута- коммутаторах-отправителях, чтобы повлиять на выбор состояния (передачи или блоки- блокировки данных) портов принимающих коммутаторов. По ряду причин данный метод используется крайне редко. • Настройка приоритетов мостов. Метод, который использует значения приорите- приоритетов мостов. Данный метод полезен при использовании ранних версий (ниже 3.1) операционных систем коммутаторов, где недоступна команда set span- tree portvlancost. Как и в случае использования команды set spantree portvlanpri, параметры необходимо изменять на отправляющем коммутаторе, на котором и будет происходить балансирование нагрузки. • Метод изменения стоимости. Данный механизм также использует команду set spantree portvlanpri. Он является наиболее гибким из всех методов, ис- используемых для балансирования нагрузки с помощью протокола STP, и наибо- наиболее просто реализуем в плоских сетях. На метод накладывается только одно ус- условие — необходимо использовать версии операционных систем устройств вы- выше 3.1, которые поддерживают необходимые команды конфигурирования балансирования нагрузки на выбранном устройстве. Подводя итоги, необходимо сказать, что в общем случае реализация механизма ба- балансирования нагрузки связующего дерева имеет два варианта. При использовании коммутации сетевого уровня (Layer 3 Switching) в структуре сети в соответствии с многоуровневой моделью проектирования (см. главы 11, "Коммутация третьего уров- уровня", и 14, "Модели территориальных сетей") метод выбора размещения корневого моста наиболее приемлем. Во всех остальных случаях необходимо использовать метод изменения стоимостей. Быстрая сходимость протокола STP При обсуждении пяти состояний портов протокола STP в главе 6, "Основы прото- протокола распределенного связующего дерева", было указано, что все порты определен- определенного экземпляра связующего дерева изначально находятся в состоянии блокировки. В течение периода времени от 30 до 50 с все порты переходят в состояние прослушива- прослушивания и самообучения, чтобы наконец перейти в состояние передачи пользовательского трафика. Протокол STP изначально создавался с некоторыми встроенными механиз- механизмами безопасности. Представьте себе ситуацию, когда все порты связующего дерева сразу перейдут в состояние передачи данных; в активной логической топологии сети могут сформироваться петли, и сообщения BPDU никогда не смогут достичь пункта назначения. Вместо этого протокол STP держит все порты в состоянии обмена только сообщениями BPDU в течение стандартных 30 с. За указанный период времени все мосты в сети изучают физическую топологию структуры, чтобы в дальнейшем по- построить беспетельную логическую топологию. 292 Часть II. Механизм распределенного связующего дерева
Необходимо заметить, что следствием рассмотренных выше процессов является медленная сходимость логической структуры сети. В современных сетях, где исполь- используются протоколы OSPF, EIGRP и HSRP, время сходимости составляет меньше 10 с, а время сходимости алгоритма протокола STP крайне велико. Поскольку потребность в быстрой сходимости сети, в которой используется протокол STP, является насущ- насущной необходимостью, в коммутаторы Catalyst встроено множество различных методов увеличения производительности алгоритма распределенного связующего дерева. Не- Некоторые методы уменьшения времени работы алгоритма были описаны еще в стан- стандарте 802.ID. Остальные методы разработаны и запатентованы корпорацией Cisco Systems. Наиболее современные функции коммутаторов играют важную роль в боль- больших коммутируемых магистральных каналах, где используется протокол STP. Для обеспечения быстрой сходимости логической структуры сети в алгоритме рас- распределенного связующего дерева коммутаторы Catalyst используют семь методов: • настройку таймера Max Age (максимальное время хранения записи); • настройку таймера Forward Delay (задержка передачи); • уменьшение интервала hello-таймера; • технологию PortFast; • технологию UplinkFast; • технологию BackboneFast; • отключение протокола PAgP на портах с поддержкой технологии EtherChannel. Настройка таймера Мах Аде Протокол STP использует процесс выбора портом копии сообщения BPDU с наи- наилучшими параметрами, кроме этого необходим также дополнительный механизм ал- алгоритма распределенного связующего дерева, который будет контролировать актуаль- актуальность сохраненной с помощью таких сообщений информации, иначе работоспособ- работоспособность сети не сможет быть восстановлена в случае отказа какого-либо моста или соединения. Таймер Max Age (максимальное время храпения сообщения) предназна- предназначен для контроля времени хранения полученной информации. Корневой мост отправляет конфигурационные сообщения BPDU во все порты ка- каждые 2 с (стандартный интервал времени hello-сообщения). Отправляемые сообщения BPDU в нормальных условиях работы достигают каждого сегмента сети. Пока нена- значенные порты получают конфигурационные сообщения BPDU от назначенного порта сегмента, информация, которая сохраняется, всегда будет актуальной. Другими словами, постоянное обновление информации за счет поступления сообщений BPDU с лучшими параметрами приводит к тому, что неназначенные порты всегда пребыва- пребывают в состоянии блокирования трафика. Если отправляющий мост или некоторое промежуточное соединение приходят в неисправность, поток конфигурационных сообщений BPDU прекращается. По исте- истечении времени таймера Max Age обычный порт начинает отправлять свои собствен- собственные конфигурационные сообщения BPDU и переходит в состояние прослушивания. Если в течение некоторого времени не будет получено сообщение BPDU с парамет- параметрами лучшими, чем отправляемое, порт перейдет в состояние обучения и, наконец, переключится в состояние передачи пользовательского трафика. С этого момента порт восстановит соединение с локальным сегментом. Глава 7. Расширенные возможности протокола... 293
На практике таймер Max Age используется для обнаружения косвенных неисправ- неисправностей. Например, неисправность прямого (т.е. непосредственно подключенного к устройству) соединения (см. рис. 7.20) не требует использования таймера Max Age. Неисправное соединение Корневой Cat-A Cat-B Рис. 7.20. Для восстановления неисправности непосредственного соединения в сети необходимо 30 с Другими словами, коммутатор Cat-A имеет статус корневого моста, а у коммутатора Cat-C (коммутатор узла IDF) порт 1/2 имеет статус корневого порта, так как для него стоимость маршрута B3 против 1000) является наименьшей. Представим ситуацию, в которой кабель, соединяющий коммутаторы Cat-C и Cat-B, неисправен. Данный отказ в работе линии (например, обрыв кабеля) приведет к потере соединения на физическом уровне порта 1/2 коммутатора Cat-C, и указанный порт будет выключен. Далее порт 1/2 сразу исключается из процесса обработки поступающих сообщений протокола STP, и это приведет к тому, что коммутатор Cat-C начнет поиск нового корневого порта. По истечении 30 с (удвоенный интервал таймера задержки — Forward Delay) порт 1/1 пе- перейдет в состояние передачи данных, и соединение восстановится. Совет Таймер Мах Аде используется для обнаружения и восстановления связи после воз- возникновения косвенных неисправностей. Пример косвенной неисправности (т.е. когда происходит отказ соединения, кото- которое не подключено непосредственно к устройству) представлен на рис. 7.21. В таком случае соединение пропадает между коммутаторами Cat-A и Cat-B. Порт 1/2 коммутатора Cat-C не получает прямых уведомлений о том, что в активной топо- топологии произошли изменения. Единственный факт, который фиксирует коммутатор Cat-C, — отсутствие конфигурационных сообщений BPDU, которые должны посту- поступать в порт 1/2. После выжидания в течение периода времени, определяемого тайме- таймером Max Age, порт 1/1 коммутатора Cat-C принимает статус корневого. В таком слу- случае восстановление работоспособности сети займет больше времени E0 с), чем в пре- предыдущем случае C0 с). 294 Часть II. Механизм распределенного связующего дерева
Корневой мост cat-д JHBHHT 7\ ШШШШГ Cat'B Неисправное соединение Рис. 7.21. Для восстановления связи после возникновения косвенной неисправ- неисправности сети необходимо 50 с Стандартное значение таймера Max Age составляет 20 с и учитывает следующие два фактора: • задержку распространения сообщений BPDU; • процесс переоценки времени хранения сообщения. Вычисление задержки сквозного распространения сообщений BPDU для таймера Мах Аде Задержка распространения сообщений — это время, необходимое для прохожде- прохождения сообщением BPDU от одного конца сети к другому. В спецификации стандарта 802.ID допускается, что в процессе распространения может быть потеряно до трех сообщений BPDU. Максимальное расстояние между двумя любыми узлами в сети должно быть не более семи транзитных переходов фрейма, причем каждый мост может затратить на коммутацию фрейма не более одной секунды, hello-интервал стандартно равен 2 с. В табл. 7.2 описаны основные используемые протоколом STP значения. Таблица 7.2. Значения, стандартно используемые для вычисления fe - Интервала таймера Max Age Параметр Значение Возможность Описание изменения lostjnsgs 3 Нет "Утерянные сообщения" — количество сообщений BPDU, ко- которые могут быть утеряны при передаче через коммутируе- коммутируемую сеть. Причины потери сообщений могут быть следую- следующими: перегрузка соединения, ошибки CRC, проблемы фи- физического уровня, ошибки в программном обеспечении коммутатора Глава 7. Расширенные возможности протокола... 295
Окончание табл. 7.2 Параметр Значение Возможность Описание изменения dia 7 транзитных Да Диаметр — максимальное количество транзитных переходов переходов между двумя любыми узлами в сети bpdu_delay 1 с Нет Задержка распространения — максимальное время, которое необходимо мосту для коммутации фрейма сообщения BPDU helloj 2 c Да Hello-интервал — время между отправлением конфигураци- конфигурационных сообщений BPDU корневым мостом Указанные в таблице значения используются для расчета задержки распростране- распространения данных с использованием следующей формулы: задержка распространения = = ((lost_msgs + 1) х helloj) + (bpdu_delay х (dia — 1)) = = (C + 1) х 2) + A х G - 1)) = = 8 + 6 = 14 секунд. Переоценка времени хранения сообщений для таймера Max Age Другим компонентом, используемым при расчете интервала таймера Max Age, яв- является значение параметра переоценки времени хранения сообщения. Указанное значе- значение соответствует количеству времени, в течение которого поле времени хранения со- сообщения BPDU может быть увеличено. Как уже упоминалось в разделе "Таймеры протокола STP", таймер времени хранения сообщения контролирует время, прошед- прошедшее с момента отправления сообщения корневым мостом в сеть. Несмотря на то, что стандарт 802.ID не позволяет уменьшать поле времени хране- хранения сообщения, многие модели мостов и коммутаторов вследствие невысокой дис- дискретности встроенных таймеров все же переоценивают указанное поле и добавляют 1 с на каждом транзитном переходе. В результате таких действий каждый мост увели- увеличивает значение времени хранения сообщения, и на принимающих мостах значение счетчика Max Age может истечь довольно быстро. Стандарт 802.1D предполагает, что каждый мост может добавить не более одной секунды при изменении времени хране- хранения сообщения. Таким образом, общее значение таймера вычисляется согласно сле- следующей формуле: время хранения сообщения = = (dia — 1) х количество мостов = .= G - 1) х 1 = = 6 секунд. Совет Процесс простого увеличения значения времени хранения сообщения (Message Адв) на каждом мосту приведет к тому, что на последующих транзитных мостах в сети тай- таймер Max Age сработает раньше положенного срока. К тому же указанный эффект на- наблюдается в сетях с плоской структурой, которые содержат только устройства каналь- канального уровня модели OSI и не используют маршрутизаторы или коммутаторы сетевого уровня. Преимущество использования иерархической структуры с коммутацией сете- сетевого уровня более подробно описано в разделе, посвященном многоуровневой моде- модели, в главе 14, "Модели территориальных сетей". 296 Часть II. Механизм распределенного связующего дерева
Вычисление времени хранения сообщения и его использование в таймере Max Age Значение полного цикла таймера является суммой двух вычисленных ранее зна- значений: Таймер Max Age = задержка распространения + рассчитанное время хранения со- сообщения = 14 + 6 = 20 секунд. Используемые в приведенной формуле значения содержат два настраиваемых па- параметра: • значение диаметра сети; • значение hello-интервала. Если диаметр сети меньше семи транзитных переходов между коммутаторами, или hello-интервал равен 1 с, то для повышения производительности сети можно пересчи- пересчитать значение интервала таймера Max Age. Полученное значение необходимо ввести на корневом мосту с помощью следующей команды: set spantree maxage agingtime [ VLAN] Совет При использовании механизмов коммутации третьего уровня для ограничения размера доменов распределенного связующего дерева таймер Max Age необходимо настраивать очень осторожно. Меры предосторожности зависят от используемого в территориальной сети типа коммутации сетевого уровня. За более подробной информацией по данному вопросу обратитесь к главе 15, "Реализация конструкции территориальной сети". Параметры необходимо изменять только на основных корневых и резервных корневых мостах. При уменьшении значения hello-интервала необходимо помнить, что процессор устройства будет испытывать дополнительную нагрузку. В современных мостах и коммутаторах механизмы протокола STP наиболее требовательны к процессорному времени системы (т.к. вся обработка фреймов выполняется аппаратно). Уменьшение hello-интервала в два раза удвоит нагрузку за счет протокола STP на процессор. За бо- более подробной информацией по данному вопросу обратитесь к разделам "Умень- "Уменьшение hello-интервала до одной секунды" и "Практические советы по работе с про- протоколом STP". Ограничения на значения таймера Max Age При небольшом диаметре сети необходимо учитывать дополнительные транзитные переходы, которые могут возникнуть в результате неисправностей в сети. Диаметр сети определяется наибольшим количеством транзитных переходов между двумя любыми уз- узлами в сети. Причем совсем необязательно, чтобы диаметр определялся количеством транзитных переходов между корневым мостом и наиболее удаленным узлом сети. Совет Необходимо уметь точно оценивать диаметр сети. В результате возникновения не- непредвиденных ситуаций (неисправности соединений или устройств) в активной логи- логической топологии могут возникать дополнительные транзитные переходы. Глава 7. Расширенные возможности протокола... 297
Некоторые параметры, стандартные значения которых описаны в стандарте 802.ID, могут оказаться бесполезными при настройке. Конечно, существуют сети, в которых при передаче информации через семь транзитных устройств теряется менее трех сообщений BPDU, кроме того, предположение, что каждый мост требует одной секунды для переключения между портами сообщений BPDU, может показаться до- довольно странным для мощных систем коммутации. Несомненно, можно попытаться рассчитать соответствующие действительности значения параметров по приведенным выше формулам, но на практике такой подход не используется. Необходимо учиты- учитывать, что рассмотренные выше значения выбраны с точки зрения отказоустойчивости сети, а не эффективности ее работы. При возникновении неисправностей полоса пропускания и ресурсы процессоров будут полностью исчерпаны процессами восста- восстановления работоспособности соединений. Во избежание такой ситуации необходимо удостовериться, что мощность процессоров устройств в сети и ширина полосы про- пропускания достаточно велики. Совет При настройке таймера Max Age необходимо изменять только настройки диаметра сети и hello-интервала. Изменение других параметров может привести к непредвиден- непредвиденным ситуациям. Несмотря на то, что изменение таймеров протокола STP в любой форме достаточно опасно для целостности сети, уменьшение значения интервала таймера Max Age являет- является наименее рискованным действием по сравнению с остальными. Если установить зна- значение таймера Max Age достаточно малым, даже самое кратковременное прерывание по- потока конфигурационных сообщений BPDU может привести к удалению информации в портах, находящихся в состоянии блокировки. В такой ситуации мосты начинают от- отправлять конфигурационные сообщения BPDU в попытке перейти в состояние переда- передачи данных. Если для сегмента существует назначенный порт, то такой порт будет отве- отвечать на получаемые сообщения BPDU своими собственными сообщениями (такая обра- обработка сообщений BPDU возникает только в исключительных ситуациях; это обсуждалось в разделе "Обработка конфигурационных сообщений BPDU"). В любом случае, если назначенный порт неисправен, то ни одно устройство не сможет ответить на отправляемые другими мостами сообщения BPDU в заданном сегменте. В такой си- ситуации в активной логической топологии будут формироваться петли. Совет Изменение параметров таймера Мах Аде более безопасно, чем изменение парамет- параметров других таймеров протокола STP. К сожалению, такие изменения всего лишь уменьшат время сходимости алгоритма STA сети в случае возникновения косвенных неисправностей. Настройка таймера Forward Delay Таймер Forward Delay вносит наибольший вклад в общее время простоя сети при восстановлении ее работоспособности в случае отказа. В отличие от случая с исполь- использованием таймера Max Age, когда все прямые отказы приводят к неработоспособности в фазе восстановления работы сети, при возникновении неисправности в рассматривае- 298 Часть II. Механизм распределенного связующего дерева
мой конфигурации сеть не будет работать в течение времени, равного удвоенному значе- значению таймера Forward Delay (т.е. в фазах прослушивания сети и самообучения моста). Исходя из вышесказанного, может возникнуть непреодолимое желание увеличить производительность работы протокола STP за счет уменьшения значения таймера Forward Delay. В любом случае без предварительной подготовки и планирования лю- любое изменение может иметь самые негативные последствия для работоспособности се- сети. В данном разделе описываются параметры, используемые при вычислении интер- интервала таймера Forward Delay, которые необходимы для его правильной настройки. Таймер Forward Delay используется для контроля процесса переключения порта из состояния блокировки в состояние передачи пользовательского трафика. При мгно- мгновенном переходе в активной логической топологии сети могут быть сформированы петли, и сеть войдет в состояние коллапса вследствие большой нагрузки. Вместо бы- быстрого переключения порты "выжидают" период времени, который равен удвоенному таймеру Forward Delay, чтобы позволить всем сообщениям BPDU распространяться через сеть и уничтожить записи о старой логической топологии сети. Стандарт 802.ID учитывает все ограничения и при вычислении интервала таймера Forward Delay ис- использует четыре основных параметра: • задержку распространения сообщений BPDU; • время хранения сообщений; • максимальную задержку перехода в состояние блокировки; • максимальное время жизни фрейма-сообщения. Первых два параметра используются в таймере Max Age и уже рассматривались ра- ранее — это комбинация времени, необходимого для передачи сообщений BPDU через сеть и времени хранения сообщения соответственно. Последние два параметра позво- позволяют удалить информацию о старой логической топологии сети перед тем, как новая активная топология будет создана. Для расчета таймера Forward Delay используются значения, которые приведены в табл. 7.3. | Таблица 7.3. Стандартные значения, которые используются для расчета ! \- л • таймера Forward Delay4ju ' '-'г*^ '.. <-..) Параметр Значение Возможность Описание изменения lostjnsgs 3 Нет Потерянные сообщения - количество сообщений BPDU, которые могут быть утеряны при передаче че- через коммутируемую сеть. Причины потери сообщений могут быть следующими: перегрузка, ошибки CRC, проблемы физического уровня, ошибки в программ- программном обеспечении коммутатора Диаметр сети — максимальное количество транзитных переходов между двумя любыми узлами в сети Задержка распространения сообщений — максималь- максимальное время, которое необходимо мосту для коммутации фрейма сообщения BPDU hello_t 2 c Да Hello-интервал — время между отправлением конфи- конфигурационных сообщений BPDU корневым мостом Глава 7. Расширенные возможности протокола... 299 dia bpdu delay 7 транзитных Да переходов 1 с Не
Окончание табл. 7.3 Параметр Значение Возможность Описание изменения tx_hall_delay 1 с Нет Задержка перехода — время, необходимое мосту для остановки коммутации трафика после перехода порта в состояние блокировки lransil_delay 1 с Нет Время задержки моста — время, необходимое для коммутации фрейма med_access_delay 0.5 с Нет Максимальная задержка доступа к физической сре- среде — время, необходимое мосту, чтобы получить дос- доступ к физической среде передачи данных при переда- передаче фрейма Расчет задержки распространения сообщений BPDU и времени хранения сообщений Для вычисления таймера Forward Delay используются параметры, которые рассчи- рассчитываются так: задержка распространения = = ((lostjnsgs + 1) х helloJ) + (bpdu_delay x (dia - 1)) = = (C+ 1)х2) + AхG- 1)) = = 8 + 6=14 секунд, время хранения сообщения = = (dia — 1) х overestimate_per_bridge = G - 1) х 1 = 6 секунд. Такие вычисления аналогичны используемым при расчете таймера Max Age. В приведенных выше формулах вычисляется время прохождения сообщений BPDU че- через сеть и наличие ошибок в поле времени хранения конфигурационных сообщений BPDU. Расчет задержки переключения состояния порта Параметр задержки переключения состояния порта представляет собой временную задержку при переходе порта в состояние блокировки. Другими словами, протоколу STP необходимо определить, какой порт будет находиться в состоянии блокировки. На при- принятие такого решения мосту или коммутатору необходимо затратить некоторое время. Как указано в табл. 7.3, в стандарте 802.ID для такого процесса выделена 1 секунда. Расчет времени жизни фрейма В дополнение к задержке, которая возникает при переключении порта в состояние блокировки трафика, алгоритму необходимо учитывать фреймы, которые были пере- переданы и уже циркулируют в сети в поисках пункта назначения. Такая временная за- задержка вычисляется с помощью следующей формулы: максимальное время жизни = = (dia х transit_de\ay) + med_access_delay = = G x 1) + .5 = 8 секунд (значение округлено). 300 Часть II. Механизм распределенного связующего дерева
Выражение dia x transit_delay в формуле соответствует времени уничтожения фрейма, а значение med_access_delay — это время, необходимое для доступа в физиче- физическую среду при передаче фрейма. Расчет и использование таймера Forward Delay Полный период времени перед переходом в состояние передачи пользовательских данных, является суммой четырех компонент: полный период = = задержка распространения + время хранения сообщения + задержка перехода + время жизни фрейма = = 14+ 6+1+8 = 29 секунд. Для расчета таймера Forward Delay полученное значение делим на два: цикл forward__delay = = 29/2 = 15 секунд (значение округлено). Как и в случае расчета таймера Max Age, значение таймера Forward Delay можно уменьшить (используя параметры диаметра сети и hello-интервала). Полученное ранее значение можно установить на корневом мосту, используя следующую команду: set spantree fwddelay delay [VLAN] Совет Изменять значения таймеров необходимо только на корневых мостах и на резервных корневых мостах. Как и для всех команд STP, лучше всегда явно указывать сеть VLAN. Ограничения на значения таймера Forward Delay При настройке таймера Forward Delay необходимо быть крайне осторожным. Лю- Любая ошибка приведет к тому, что вся сеть выйдет из строя на неопределенный проме- промежуток времени. Вспомните, что одной из основных функций таймера Forward Delay является контроль времени построения активной топологии сети перед, тем как пор- порты перейдут в состояние передачи трафика. Если порты сразу перейдут в такое со- состояние распространения без обмена какой-либо информацией о топологии сети, в сети сформируются петли второго уровня. Другой функцией таймера Forward Delay является контроль времени жизни фрейма. Если не контролировать время существо- существования фрейма, некоторые фреймы могут циркулировать в сети в нескольких экземп- экземплярах, что запрещено в стандарте 802.ID. Несмотря на то, что такое ограничение мо- может сильно повлиять на работу некоторых приложений, все же оно менее негативно влияет на работу сети, чем петли, возникающие в результате первого ограничения (петли в активной топологии могут привести к ошибкам во всех приложениях и уст- устройствах сети). Необходимо помнить, что если петля формируется в малой области сети, то она достаточно быстро распространится на всю сеть. Пока петля растет в размерах, коли- количество портов, которые дублируют данные в сети, также возрастает. В результате за счет роста объема зацикленных в петлях данных, буферы портов и доступная полоса пропускания быстро заполнятся, и это приведет к тому, что все труднее будет отпра- отправить сообщения BPDU для инициализации процесса решения возникшей проблемы. В такой момент процессоры мостов полностью загружены обработкой широковеща- широковещательных и многоадресатных фреймов, и процессорного времени на отправление со- Глава 7. Расширенные возможности протокола... 301
общения BPDU для восстановления работоспособности сети попросту не остается. Такие процессы приводят к полному разрушению логической целостности сети. Совет При настройке таймера Forward Delay необходимо быть очень осторожным. Если поста- поставить значение таймера слишком малым, можно привести в неисправность всю сеть. Уменьшение hello-интервала до одной секунды В двух предыдущих разделах было описано влияние, которое окажет на сеть уменьшение hello-интервала. Если корневой мост отправляет конфигурационные со- сообщения BPDU в два раза чаще, чем обычно, то сообщения должны распространять- распространяться по сети в два раза быстрее. Необходимо помнить, что простое уменьшение hello-интервала от двух секунд до од- одной не улучшит время сходимости сети. Результатом такой настройки будет более бы- быстрый обмен информацией в сети, и только дополнительное уменьшение интервалов таймеров Max Age и Forward Delay одновременно могут дать хорошие результаты. Совет В отличие от таймеров Мах Аде и Fast Forward, уменьшение hello-интервала не даст желаемых результатов. Для получения быстрой сходимости логической структуры се- сети необходимо уменьшать также интервалы таймеров Мах Аде и/или Fast Forward. В наиболее общем случае проще всего использовать команду set spantree macro, кото- которая описана в главе 6, "Основы протокола распределенного связующего дерева" (т.е. автоматическую подстройку необходимых параметров, которая основана на предла- предлагаемых в стандарте 802.1 D формулах). Hello-интервал может быть изменен с помощью команды set spantree hello. Например, приведенная ниже команда изменяет значение hello-интервала для сети VLAN 3 и устанавливает его равным одной секунде: set spantree hello 1 3 При уменьшении hello-интервала необходимо учитывать нагрузку, возлагаемую на процессор (за более подробной информацией о данной проблеме обратитесь к разделу "Настройка таймера Max Age" и обратите внимание на формулу, которая приведена в разделе "Практические советы по работе с протоколом STP"). Технология PortFast Технология PortFast была разработана для оптимизации работы портов коммутато- коммутаторов, которые связаны с конечными устройствами. Используя технологию PortFast, устройства получают постоянный доступ к сети на канальном уровне модели OSI. Попробуем представить себе, какие процессы происходят, когда компьютер поль- пользователя загружается каждое утро. Прежде всего включается питание, потом включа- включается монитор, компьютер выдает звуковой сигнал после тестирования памяти BIOS и, если все нормально, начинает загружать операционную систему. В процессе загрузки компьютер определяет, есть ли возможность получить доступ в сеть Ethernet, что при- приводит к переходу порта коммутатора Catalyst из выключенного состояния в состояние 302 Часть II. Механизм распределенного связующего дерева
самообучения протокола STP. Тридцать секунд спустя коммутатор Catalyst переводит порт, к которому подключена станция, в состояние передачи данных, и пользователь может поиграть теперь в любимую игру Doom со своими коллегами по работе. Естественно, описанная выше последовательность пройдет незамеченной для пользователя, поскольку в течение 30 с еще загружается программное обеспечение компьютера. Однако, существуют два случая, когда приведенное выше утверждение не является справедливым. Во-первых, некоторые сетевые адаптеры не могут получить доступ к физической среде передачи данных, пока не будет инициализирован программный драйвер поду- подуровня MAC (доступа к среде передачи). Поскольку многие операционные системы пытаются использовать сеть практически сразу после загрузки драйвера, тут могут возникнуть проблемы. Несколько лет описываемые проблемы возникали при работе с большинством драйверов сетевых адаптеров ODI корпорации Novell. В настоящее время проблема доступности сети при загрузке рабочей станции возникает только с сетевыми адаптерами стандарта PCMCIA для портативных компьютеров1. Второй случай является результатом негативного влияния соперничества между корпорациями Microsoft и Intel. Процессоры Intel становятся все быстрее, а опера- операционные системы корпорации Microsoft становятся медленнее; на сегодняшний день корпорация Intel пока еще побеждает. Другими словами, компьютеры загру- загружаются все быстрее и быстрее. Непреложный факт, что многие современные ком- компьютеры загружаются и требуют получения доступа к сети раньше, чем пройдет тридцать секунд состояния самообучения протокола STP. Протокол DHCP (Dynamic Host Control Protocol — протокол динамической конфигурации узла) и контроллер домена NT являются двумя основными службами персонального ком- компьютера, которые начинают свою работу сразу после загрузки операционной систе- системы. В обоих случаях стандартные параметры настройки протокола STP создают проблемы. Наиболее просто присутствие рассматриваемых проблем можно прове- проверить, соединив компьютер с коммутатором через концентратор. Подобным образом будет обеспечено постоянное соединение с коммутатором Catalyst, и порт будет по- постоянно находиться в состоянии передачи трафика независимо от того, загружен компьютер или нет. Другой классический пример: проблемы возникают при "холодной" загрузке рабочей станции2, например утром, а при "горячей" загруз- загрузке/перезагрузке станции3, при аутентификации или конфигурировании службы DHCP вручную все работает нормально. Эти проблемы наводят администраторов на мысль о необходимости выключения протокола STP. Такое решение, несомненно, устранит все проблемы, связанные с загрузкой рабочих станций, но появится гораздо больше проблем другого рода. Ис- Использовать такой подход можно, только когда в сети устранены все физические петли (не самая лучшая идея с точки зрения надежности), и в перспективе придется избе- избегать любой ценой петель на физическом уровне (что очень трудно реализовать в ре- реальных сетях). К тому же отключить протокол STP для отдельного порта не представ- ' В некоторых сетях описываемая проблема ограничивает применение служб DHCP и ВООТР и др., для которых необходим доступ к сети непосредственно сразу же после автоматического тести- тестирования компонент станции, но до загрузки операционной системы. — Прим. ред. 2 Т.е. с выключением питания. — Прим. ред. 3 Т.е. без выключения питания на продолжительное время или при сбросе (reset) устройства. — Прим. ред. Глава 7. Расширенные возможности протокола... 303
ляется возможным. Команда set spantree disable [VLAN] отключает протокол STP только для определенного набора портов, которые включены в данную сеть VLAN (причем, если параметр номера сети VLAN не указан, то стандартно использу- используется сеть VLAN 14). Кроме того, большинство устройств коммутации сетевого уровня, таких, как Catalyst 5000 Supervisor Module III NetFlow Feature Card (NFFC), требуют отключения протокола STP сразу для всего модуля (всех сетей VLAN)! Чтобы не отключать протокол STP, необходимо использовать технологию PortFast. Данная технология позволяет сетевому администратору "одним выстрелом убить сразу двух зайцев" — организовать немедленный доступ станции в сеть и обеспечить безо- безопасность сети, не отключая протокол STP. Технология PortFast просто изменяет некоторые процессы, происходящие в структуре, которая создается алгоритмом распределенного связующего дерева. В от- отличие от стандартного порядка состояний портов, от самого нижнего до самого верхнего: блокировка, прослушивание, обучение, передача данных, — технология PortFast начинает с самого верхнего состояния. Как только коммутатор Catalyst об- обнаруживает, что соединение активно, порт будет сразу же переведен в состояние передачи данных (так, например, устройства серии 3000 коммутаторов Catalyst про- проводят в состояниях прослушивания и самообучения одну секунду). Если при даль- дальнейшей работе протокол STP зафиксирует в сети петлю, то будут произведены все вычисления корневых и назначенных портов, описанные ранее, а порт будет пере- переведен в состояние блокировки. Данная технология работает только при первой инициализации порта. Если порт по какой-либо причине был помещен в состояние блокировки, а потом возникла необ- необходимость перейти обратно в состояние передачи данных, то порту необходимо прой- пройти стандартные состояния прослушивания и изучения топологии сети. Ограничения на использование технологии PortFast Можно предложить включить функцию PortFast, где это возможно. В документа- документации к коммутаторам Catalyst, а также в интерактивной подсказке указано следующее: Warning: Spantree port fast start should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc. to a fast start port can cause temporary Spanning Tree loops. Use with caution. (Внимание! Команду spantree port fast start необходимо использовать толь- только для портов, соединенных с единственной станцией. Включение данной функции для портов, соединенных с концентраторами, коммутаторами, мостами и т.д., может привести в возникновению петель в структуре распределенного связующего дерева.) Тем не менее, использование технологии PortFast обеспечивает стабильную работу больших сетей. Вспомним описание сообщений TCN BPDU. Данные сообщения от- отправляются устройством каждый раз, когда в активной логической топологии сети возникают изменения для уменьшения задержки Forward Delay. Разве есть необходи- необходимость в уничтожении больших блоков таблиц коммутации каждый раз, когда один компьютер в сети загружается? Очевидно, нет. 4 Номер сети VLAN лучше всегда указывать в явном виде, иначе при конфигурировании устрой- устройства, особенно, если используются территориальные сети VLAN, можно легко остановить работу всей сети за счет того, что строки конфигурации будут внесены в сеть VLAN 1, которая является административной и используется для управления. — Прим. ред. 304 Часть II. Механизм распределенного связующего дерева
Совет Используйте технологию PortFast на портах, соединенных только с одной станцией. Таким образом можно не только избежать проблем, связанных с загрузкой станции, но и уменьшить количество сообщений TCN BPDU в сети. Несмотря на все преимущества рассматриваемого механизма инициализации пор- порта, нет необходимости включать технологию PortFast на каждом порту. Данная функ- функция необходима только при наличии соединения порта с одной станцией. Поскольку серверы перегружаются очень редко, нет нужды включать технологию PortFast на та- таких портах. Совет Исключением из правила, которое гласит, что не следует использовать технологию PortFast на портах, к которым подключены серверы, является случай использования отказоустойчивых сетевых адаптеров. При использовании таких адаптеров, которые переключаются между разными состояниями на канальном уровне в случае возникно- возникновения неисправностей, функцию PortFast необходимо включать. И наконец, нельзя использовать технологию PortFast на магистральных портах. Несмотря на то, что большинство коммутаторов Catalyst позволяют ввести команду включения функции PortFast на магистральных портах, делать этого не следует. Тех- Технология PortFast является очень мощным инструментом, но только при правильном ее использовании. Совет Не используйте функцию PortFast на портах, где есть петли физического уровня в сети. Применение технологии PortFast Включить функцию PortFast можно с помощью следующей команды: set spantree portfast mod_numlport_num {enable | disable} Например, чтобы включить функцию PortFast на каждом порту модуля в разъеме 3, необходимо ввести следующую команду: set spantree portfast 3/1-24 enable Отключить функцию PortFast можно с помощью такой команды: set spantree portfast 3/1-24 disable Чтобы просмотреть, к чему привело включение рассматриваемой функции, ис- используйте команду show spantree, как показано в примере 7.14. Пример 7.14. Результат включения функции PortFast ; С,.-.,...,, ....... ,...-,. ..;,...„ ' ,,.., „ '. \,'.'.ibz,.:.: „.■„ ......в,..-,,,,,,,,.,.... '.Л&,.ж>£,!:,..... -.:.. . ■...■L,-,.:,—*;» .,„..„. .....\ Cat-A (enable) show spantree 1 VLAN 1 Spanning tree enabled Spanning tree type ieee Designated Root 00-90-92-16-28-00 Глава 7. Расширенные возможности протокола... 305
Designated Root Priority 100 Designated Root Cost 19 Designated Root Port 1/1 Root Max Age 20 sec Hello Time 2 sec Forward Delay 15 sec Bridge ID MAC ADDR 00-90-92-bf-70-00 Bridge ID Priority 32768 Bridge Max Age 20 sec Hello Time 2 sec Forward Delay 15 sec Port VLAN Port-State Cost Priority Fast-Start Group-method 1/1 1/2 3/1 3/2 3/3 1 1 1 1 1 forwarding blocking forwarding forwarding forwarding 19 1000 100 100 100 32 32 32 32 32 disabled disabled enabled enabled enabled Как видно из примера, результат работы описанных команд можно наблюдать в колонке Fast-Start (быстрый запуск). Кроме того, из представленной информации видно, что порты работают с функцией PortFast только в третьем модуле, а выходные порты модуля управления (Supervisor) с ней не работают. Совет В большинстве случаев для того, чтобы наблюдать результат включения функции PortFast, необходимо подождать 17-20 секунд. Причиной такой задержки является ра- работа протокола PAgP (Port Aggregation Protocol — протокол агрегации портов), исполь- используемого для перехвата сообщений согласования параметров портов технологии Ether- Channel. Как обсуждается в разделе "Отключение протокола PAgP", протокол PAgP задерживает инициализацию порта на 17-18 секунд. Другими словами, несмотря на то, что функция PortFast начинает работу сразу после включения, протокол PAgP в тече- течение указанного времени тщательно скрывает этот факт. В будущих версиях программ- программного обеспечения корпорация Cisco предполагает ввести правило отключения прото- протокола PAgP на портах, где включена технология PortFast. Технология UplinkFast Технология UplinkFast введена корпорацией Cisco в программное обеспечение NMP, начиная с версии 3.1, и является мощным инструментом, позволяющим комму- коммутаторам строить сходящуюся структуру распределенного связующего дерева за 2-3 с. Синтаксис команды, которая используется для включения функции UplinkFast бо- более прост чем для технологии PortFast: set spantree uplinkfast {enable | disable} [rate station_update_rate] Включать функцию UplinkFast необходимо на коммутаторах, например, узлов IDF, только в правильно спроектированных сетях. Технология UplinkFast разработана для работы на коммутаторах, которые являются листьями, или узлами структуры связую- связующего дерева. Попытки включения функции UplinkFast на коммутаторах основного магистрального капала приведут к непредвиденным ситуациям. 306 Часть II. Механизм распределенного связующего дерева
Например, рассмотрим территориальную сеть, которая изображена на рис. 7.22. Cat-D "~ IDF MDF Серверная Cat-A Корневой мост Рис. 7.22. Территориальная сеть, в которой использу- используется технология UplinkFast Коммутатор Cat-D размещен в узле IDF и соединен с двумя коммутаторами узла MDF (Cat-B и Cat-C). Хотя команда set spantree uplinkfast enable включает UplinkFast сразу для всех сетей VLAN, рассмотрим только одну сеть VLAN — VLAN 2. Коммутатор Cat-A, который находится в серверной, является корневым мос- мостом для сети VLAN 2. Коммутатор Cat-D имеет два выходных порта, которые являют- являются потенциальными кандидатами для получения статуса корневых портов. С исполь- использованием методов балансирования нагрузки, которые были описаны выше, стоимость порта 1/2 была специально увеличена до значения 1000, чтобы трафик от сети VLAN 2 проходил через порт 1/1, причем порт 1/1 при этом становится корневым. Далее включаем функцию UplinkFast на коммутаторе Cat-D, используя следующую команду: Cat-D> (enable) set spantree uplinkfast enable В результате порт 1/2 коммутатора Cat-D переходит в режим блокировки и создает надежное соединение с корневым мостом. Создавая резервный выходной порт, ком- коммутатор Cat-D может быстро восстановить работоспособность, если порт 1/1 придет в неисправность. Список потенциальных выходных портов можно просмотреть с помо- помощью команды show spantree uplinkfast (см. пример 7.15). Глава 7. Расширенные возможности протокола... 307
Пример 7.15. Список основных и резервных портов UplinkFast Cat-D> (enable) show spantree uplinkfast Station update rate set to IS packets/10Oms. uplinkfast all-protocols field set to off. сеть VLAN port list 1 l/l(fwd),l/2 Как видно из приведенной в примере информации, порт 1/1 представлен как ос- основной корневой порт (порт находится в состоянии передачи трафика), а порт 1/2 яв- является резервным. Если существуют три резервных выходных моста, после выполне- выполнения указанной команды все три порта будут в списке. Необходимо запомнить, что технология UplinkFast предназначена для оптимизации работы корневого порта. Технология позволяет коммутаторам быстро назначать портам статус корневого в том случае, если основной корневой порт пришел в негодность. Совет Технология UplinkFast предназначена для оптимизации работы корневого порта. Таким образом, включение функции UplinkFast на корневом мосту не имеет смысла, поскольку он не имеет корневых портов и, следовательно, технологии UplinkFast нечего оптимизировать. Другими словами, включение функции UplinkFast целесообразно толь- только на конечных листьях структуры распределенного связующего дерева, которые явля- являются окончаниями ветвей связующего дерева. Можно сформулировать основное прави- правило: включать UplinkFast необходимо только на коммутаторах в узлах IDF. Совет Не включайте функцию UplinkFast на каждом коммутаторе в сети! Включать ее необ- необходимо только на тех коммутаторах, которые размещены в узлах ID и являются листь- листьями структуры распределенного связующего дерева. Для того, чтобы обеспечить выполнение этого правила, корпорация Cisco Systems создала программное обеспечение, которое изменяет множество параметров протоко- протокола STP при включении технологии UplinkFast. Обратимся к примеру 7.16, где пред- представлен результат выполнения команды show spantree uplinkfast. [Пример 7^16: Результат выполнения команды show spantree uplinkfasf т iЧ; >,i Cat-D> (enable) set spantree uplinkfast enable VLANs 1-1005 bridge priority set to 49152. The port cost and portvlancost of all ports set to above 3000. Station update rate set«to 15 packets/lOOms. uplinkfast all-protocols field set to off. uplinkfast enabled for bridge. Во-первых, в представленной информации можно обнаружить, что изменился приоритет моста, и он теперь равен 49152. В результате такой коммутатор сам исклю- 308 Часть II. Механизм распределенного связующего дерева
чает себя из процесса выбора корневого моста. Во-вторых, значение 3000 добавляется ко всем значениям стоимостей, это приводит к тому, что все остальные коммутаторы не будут использовать текущий (т.е. тот, на котором была введена команда) в качестве транзитного коммутатора к корневому мосту. Ни одно из двух описанных выше дей- действий не ограничивает вероятность возникновения неисправности в сети. Изменение приоритета моста только препятствует остальным коммутаторам выбрать его в качест- качестве корневого. При возникновении неисправности другого коммутатора текущий ком- коммутатор успешно получает статус корневого моста. Точно так же изменение стоимости препятствует использованию остальными коммутаторами в сети заданного коммутато- . ра в качестве транзитного маршрута к корневому мосту. Если же альтернативного маршрута нет, то текущий коммутатор успешно коммутирует трафик в обоих направ- направлениях к корневому мосту. Рассмотрим строку 3 из примера 7.16 (она выделена полужирным шрифтом), кото- которая иллюстрирует основную особенность технологии UplinkFast. Теперь становится очевидным, что неисправность порта 1/1 коммутатора Cat-D приведет к тому, что данный коммутатор будет перенаправлять трафик со всех МАС-адресов в таблице коммутации, которые ассоциированы с портом 1/1, на порт 1/2. Такой неявный про- процесс перенаправления трафика должен заставить остальные коммутаторы преобразо- преобразовать свою таблицу коммутации. Рассмотрим ситуацию, когда неисправно соединение слева на рис. 7.23. МАС-адрес = 00-00-ID-2B-DE-AD I Станция Б Неисправное соединение Таблица коммутвции МАС-адрес Порт 00-00-ID-2B-DE-AD 1/1 Таблица коммутации _ МАС-адрес Порт 00-00-ID-2B-DE-AD 2/1 Корневой мост Cat-A Станция А МАС-адрес = 00-АА-ОО-12-34-56 Рис. 7.23. Механизмы Uplink Fast', используемые при возникновении неисправности ос- основного выходного порта Глава 7. Расширенные возможности протокола... 309
Коммутатор Cat-D изменит направление передачи данных порта 1/2 для МАС- адреса 00-АА-ОО-12-34-56 (станция А), и целостность сети восстановится. Вопреки этому коммутаторы Cat-A, Cat-B и Cat-C все еще пытаются коммутировать трафик для адреса 00-00-1D-2B-DE-AD (станция Б) на неисправное соединение. В такой ситуации необходимо использовать технологию UplinkFast: коммутатор Cat-D от- отправляет фиктивный многоадресатный фрейм по адресу из своей таблицы коммута- коммутации. Фрейм отправляется для каждого адреса, который не ассоциируется с адресами выходных портов. Чтобы убедится, что фрейм распространится через всю коммути- коммутируемую сеть, его нужно отправить в пункт назначения 01-00-0C-CD-CD-CD. В гла- главе 3, "Технологии функционирования мостов", показано, что многоадресатные фреймы распространяются так же, как и широковещательные. Необходимо заме- заметить, что в качестве адреса не использовался стандартный адрес для многоадресат- ного вещания 01-00-ОС-СС-СС-СС, поскольку он зарезервирован для передачи только через один транзитный переход и используется в таких протоколах, как CDP (Cisco Discovery Protocol — протокол обнаружения соседних устройств корпорации Cisco), VTP (VLAN Trunk Protocol — магистральный протокол сетей VLAN), DISL (Dynamic ISL — динамический протокол ISL) и DTP (Dynamic Trunk Protocol — динамический магистральный протокол). Устройства корпорации Cisco запрограм- запрограммированы не посылать фреймы на адресу 01-00-ОС-СС-СС-СС. Во избежание кон- конфликтов с перечисленными пртоколами необходимо ввести дополнительные адреса для многоадресатного вещания. Каждый фрейм содержит адрес отправителя из различных записей в локальной таблице коммутации. В процессе распространения через сеть все коммутаторы и мос- мосты фиксируют, что фрейм пришел на новый интерфейс и, если необходимо, исправ- исправляют записи в таблице коммутации. Стандартно коммутаторы Catalyst отправляют 15 таких фреймов каждые 100 миллисекунд (мс), но интервал может быть изменен с по- помощью параметра конфигурации rate station_update_rate (количество ложных фреймов, которое будет отправляться каждые 100 мс). Несмотря на наличие соответствующей команды, изменение параметра rate обычно не оказывает какого-либо влияния на устойчивость сети к неисправностям. Заметим, что МАС-адреса фреймов, которые отправляются через выходные порты, не записываются. Поскольку функция UplinkFast включается только на коммутато- коммутаторах, соответствующих листьям структуры распределенного связующего дерева, и большинство МАС-адресов ассоциируются только с выходными портами, то для отправления сообщений необходимы обычно несколько сотен адресов. При исполь- использовании стандартного значения параметра rate обычно отправляются от 450 до 600 фреймов за 3-4 с, пока алгоритм технологии UplinkFast строит устойчивую структу- структуру. Таким образом, увеличить скорость оправки фреймов нужно только в том слу- случае, если количество устройств, соединенных с коммутатором в узле, где размеще- размещены серверы, превышает 500. Технология UplinkFast является достаточно мощным и полезным инструментом. Ее использование позволяет обеспечить гораздо меньшее время сходимости алго- алгоритма, чем изменение таймеров и интервалов, которое обсуждалось выше в текущей главе, и при этом более безопасно. Рассмотренная технология UplinkFast при вклю- включении на коммутаторах в листьях связующего дерева поддерживает целостность структуры распределенного связующего дерева при простое сети в результате неис- неисправностей. 310 Часть II. Механизм распределенного связующего дерева
Технология BackboneFast Технология BackboneFast является дополнительным (и запатентованным) средст- средством к функциям UplinkFast. Если технология UplinkFast разработана для задач вос- восстановления работы при неисправностях прямого соединения с коммутаторами в ли- листьях связующего дерева, то очевидно, что она не поможет в случае возникновения косвенных неисправностей в основном магистральном канале. Для таких случаев и предназначена технология BackboneFast. Технология BackboneFast не обеспечит скорость сходимости сети в 2-3 с, как в случае использования функций UplinkFast. Как и при оптимизации параметров таймера Max Age, механизмы BackboneFast позволяют снизить время простоя сети при косвенных неисправностях с 50 до 30 с при стандартных значениях параметров и с 14 до 8 с — при минимальных значениях параметров. При этом технология BackboneFast не позволяет исключить задержку, связанную с интервалом Forward Delay и, соответственно, является бесполезной в случае возникновения неисправно- неисправностей в непосредственно подключенных соединениях (подробнее данный вопрос рас- рассмотрен в разделе "Настройка таймера Max Age"). Наличие неисправности в непо- непосредственно подключенной линии не позволяет исключить из времени простоя сети интервал Max Age. Совет Технология BackboneFast является методом оптимизации работы таймера Мах Аде и позволяет уменьшить время сходимости логической топологии сети при возникнове- возникновении косвенных неисправностей с 50 до 30 с. Как обсуждалось в предыдущем разделе, механизм UplinkFast может быть вклю- включен только на некотором множестве коммутаторов сети (которые располагаются в "листьях", т.е. краевых узлах связующего дерева — узлах IDF). Однако, функцию BackboneFast необходимо включать на каждом коммутаторе сети. Такой подход по- позволяет коммутаторам распространять информацию о состоянии соединений через всю сеть. Совет Технологию BackboneFast необходимо включать на каждом коммутаторе сети. При обнаружении устройством неисправности в соединении корневого порта по стандартным правилам обработки протокола STP необходимо начать отправление конфигурационных сообщений BPDU для того, чтобы устройство попробовало назна- назначить себе статус корневого моста. Остальные устройства, в зависимости от располо- расположения назначенных портов, могут поступать с полученными конфигурационными со- сообщениями BPDU по-разному. Если назначенный порт получает ложное сообщение BPDU, т, как обсуждалось в разделе "Обработка конфигурационных сообщений BPDU", данный порт немедленно опровергает полученное сообщение своим собст- собственным конфигурационным сообщением BPDU. Если ложное сообщение BPDU по- получает неназначенный порт, то сообщение будет игнорироваться. Несмотря на пере- перечисленные методы обработки сообщений, стандарт 802.ID не предоставляет какой- либо механизм, который позволял бы коммутатору судить о состоянии сети при полу- получении ложного сообщения BPDU. Глава 7. Расширенные возможности протокола... 311
Рассмотрим два механизма технологии BackboneFast, которые позволяют исклю- исключить интервал таймера Max Age из процесса построения структуры распределенного связующего дерева: • первый механизм позволяет коммутаторам определять наличие косвенных не- неисправностей в сети; • второй механизм позволяет подтверждать наличие неисправности. Механизм определения неисправности технологии BackboneFast построен на сле- следующей концепции: наличие ложных сообщений BPDU в сети говорит о потере дру- другим мостом маршрута к корневому мосту. Механизм подтверждения неисправности состоит в использовании некоего протокола, состоящего из запросов и ответов к коммутаторам в сети, несущих информацию о потере маршрута к корневому мосту. В таком случае коммутатор немедленно отключает таймер Max Age, уменьшая таким об- образом время сходимости активной логической топологии сразу на 20 с. Для определения возможных неисправностей на маршруте следования данных к корневому мосту механизм BackboneFast пытается определить, где именно в сети на- находится источник ложных сообщений BPDU. Если отправителем таких сообщений является назначенный мост локального сегмента, то сообщение служит доказательст- доказательством наличия неисправности. Сообщения, полученные от других коммутаторов, унич- уничтожаются и игнорируются. Процессы механизма подтверждения гораздо сложнее, чем процессы механизма определения неисправности в сети. Во-первых, технология BackboneFast определяет наличие альтернативных маршрутов к корневому мосту. Если коммутатор, который получает ложное сообщение BPDU, не имеет портов в состоянии блокировки (порты с петлей на самих себя исключаются), то устройство считает, что альтернативных маршрутов к корневому мосту нет. Если сообщение приходит от назначенного порта, коммутатор считает, что маршрут к корневому мосту потерян, и немедленно выклю- выключает отсчет таймера Max Age. Если некоторые порты коммутатора находятся в состоя- состоянии блокировки, коммутатор использует механизм поиска альтернативных маршрутов к корневому мосту через указанные выше порты. Для такого процесса коммутаторы Catalyst используют протокол RQL (Root Link Query — протокол опроса соединений к корневому мосту). Протокол RQL использует два типа пакетов: запросы RQL (RQL Request) и ответы RQL (RQL Response). Запросы RQL запрашивают отправляющие коммутаторы о стабильности их соеди- соединений с корневым мостом. Коммутатор, который генерирует запросы RQL, отправля- отправляет RQL-фреймы во все неназначенные порты, кроме порта, в который было получено ложное сообщение BPDU. Коммутатор, получающий запрос RQL, отвечает ответным сообщением протокола RQL, в котором содержится информация о наличии или поте- потере соединения с корневым мостом. Если не выполняется ни одно из перечисленных условий, коммутаторы отправляют запросы RQL в корневой порт, пока не станет из- известно состояние корневого моста, и только тогда ответ RQL будет отправлен дальше по сети. Если в корневой порт будет получен ответ RQL, коммутатор будет считать свой маршрут к корневому мосту стабильным. С другой стороны, если ответ RQL бу- будет получен в любой другой порт, кроме корневого, коммутатор немедленно остано- остановит счетчик таймера Max Age и будет считать соединение с корневым мостом поте- потерянным. Коммутатор распространяет сообщения BPDU во все назначенные порты, пока они не достигнут коммутатора, отправившего запрос RQL. 312 Часть II. Механизм распределенного связующего дерева
Для наглядного представления описанных процессов рассмотрим упрощенную сеть, которая приведена на рис. 7.24. Сегмент 2 Корневой мост __ Cat-A ~ ~ Cat-B Рис. 7.24. Операции, производимые функцией BackboneFast Как уже обсуждалось , функцию BackboneFast необходимо включить на всех трех коммутаторах сети (см. рис. 7.24). Предположим, что коммутатор Cat-A имеет статус корневого. Таким образом, порты 1/2 коммутатора Cat-B и 1/1 коммутатора Cat-C получают статус корневых. Поскольку устройство Cat-B имеет наименьший иденти- идентификатор отправителя, то ему назначается статус назначенного порта для сегмента 3, а порт 1/2 коммутатора Cat-C остается в состоянии блокировки. Далее предположим, что в сегменте 1 возникла неисправность. Коммутаторы Cat-A и Cat-B, непосредст- непосредственно включенные в данный сегмент, немедленно узнают, что соединение неисправ- неисправно. Для восстановления сети необходимо, чтобы порт 1/2 коммутатора Cat-C перешел в состояние передачи трафика. Несмотря на указанный факт, т.к. сегмент 1 не будет подключен напрямую к коммутатору Cat-C, пока таймер Max Age не пройдет полный цикл, сообщения BPDU в сегмент 3 отправляться коммутатором Cat-C не будут. Для устранения такого времени простоя, равного 20 с, механизм BackboneFast от- отработает следующие восемь этапов (см. рис. 7.25). Этап 1. В сегменте 1 возникла неисправность. Этап 2. Коммутатор Cat-B немедленно убирает статус корневого у порта 1/2 и на- начинает отправлять конфигурационные сообщения BPDU в порт 1/1, пы- пытаясь присвоить ему статус корневого моста. Такой процесс является стандартным для протокола STP (специфическими для технологии Back- BackboneFast являются этапы с 3 по 7). Этап 3. Порт 1/2 коммутатора Cat-C получает первое конфигурационное сообще- сообщение BPDU от устройства Cat-B и определяет его как ложное. Этап 4. Коммутатор Cat-C отправляет запрос RQL в порт 1/1. Этап 5. Порт 1/1 коммутатора Cat-A получает запрос RQL. Так как устройство Cat-A является корневым мостом, то оно отвечает ответом RQL, который содержит в себе запись корневого моста. Глава 7. Расширенные возможности протокола... 313
Таймер Max Age истек G) Запрос RQL Cat-A Конф. сообщение (D BPDU "Cat-A корневой мост" Cat-C „ , Конф. .1/2 сообщение C) BPDU "Cat-B корневой мост" Запрос RQL 1/1 Корневой мост Конф. сообщение BPDU "Cat-B корневой мост" Cat-B Рис 7.25. Этапы ликвидации простоя в 20 с при использовании технологии BackboneFast Этап 6. Когда устройство Cat-C получает ответ RQL в свой корневой порт, ком- коммутатор знает, что его соединение с корневым мостом стабильно. Так как коммутатор Cat-B сгенерировал запрос RQL, то распространять ответ RQL другим коммутаторам нет необходимости. Этап 7. Поскольку коммутатор Cat-C имеет стабильное соединение с корневым мостом, то он останавливает таймер Max Age порта 1/2. Этап 8. Как только остановлен таймер Max Age на этапе 7, стандартные правила об- обработки протокола STP требуют, чтобы порт 1/2 коммутатора Cat-C начал отправление конфигурационных сообщений BPDU. Так как такие сообще- сообщения указывают на устройство Cat-A как корневой мост, коммутатор Cat-B перестанет объявлять себя корневым мостом и определит наличие альтерна- альтернативного маршрута к истинному корневому мосту. Для того, чтобы узнать о наличии альтернативного маршрута к корневому мосту коммутатору Cat-B все же необходимо выждать несколько секунд, когда происходила обработка состояний прослушивания и самообучения порта 1/2 устройства Cat-C (это дает дополнительные 30 с времени сходимости со стандартными значениями парамет- параметров и 8 с при минимальных значениях параметров таймера Forward Delay). Совет Для включения технологии BackboneFast на коммутаторах Catalyst серии 5000 необ- необходимо программное обеспечение версии выше 4.1. Все коммутаторы серий 4000 и 6000 поддерживают работу технологии BackboneFast. 314 Часть II. Механизм распределенного связующего дерева
Отключение протокола PAgP В большинстве ситуаций протокол PAgP (Port Aggregation Protocol — протокол аг- агрегирования портов) создает "непредвиденные задержки в протоколе STP" после инициализации соединения. Стандартно, современная реализация портов, поддержи- поддерживающих технологию EtherChannel, резервирует 15-20 с после инициализации соедине- соединения для согласования соединения протоколом PAgP. Как описано в главе 8, "Техно- "Технологии и приложения магистральных соединений", протокол PAgP предназначен для правильной конфигурации группы соединений Fast Ethernet и Gigabit Ethernet с объе- объединением в один канал EtherChannel. Стандартно протокол PAgP работает в режиме auto (автоматическое согласование), когда идет поиск других портов, поддерживаю- поддерживающих технологию EtherChannel. Во время процесса поиска портов протокол STP еще не знает, активно ли соединение. Указанное состояние можно наблюдать с помощью команд группы show. Например, команда show port покажет статус порта 1/1 как connected (подключен) сразу после подключения указанного порта к выходному порту (см. пример 7.17). | Пример 7.17. Результат выполнения команды show port сразу после под- ] V-':' ■■ V-- ключения порта 1/1 '. ■'-■':^^':$И0 "' : ' '-:-% ' ■ I Cat-D (enable) show port Port Name Status VLAN Level Duplex Speed Type 1/1 connected trunk normal a-half a-100 10/100BaseTX 1/2 notconnect trunk normal a-half a-100 10/100BaseTX 3/1 notconnect 1 normal half 10 lOBaseT 3/2 notconnect 1 normal half 10 lOBaseT Несмотря на это, команда show spantree в тот же момент покажет, что порт 1/1 все еще не подключен (см. пример 7.18). {Пример 7.18. Результат выполнения команды show spantree сразу после \Ц ■<■ ■■■,:■¥. - подключения порта 1/1 . ...• л;; , ,■/''■ . ..-„' ■■ .^. ■**.,.:... -..—.. Cat-D (enable) show spantree 1 сеть VLAN 1 Spanning tree enabled Spanning tree type ieee Designated Root 00-90-92-16-28-00 Designated Root Priority 100 Designated Root Cost 19 Designated Root Port 1/1 Root Max Age 20 sec Hello Time 2 sec Forward Delay 15 sec Bridge ID MAC ADDR 00-90-92-bf-70-00 Bridge ID Priority 32768 Bridge Max Age 20 sec Hello Time 2 sec Forward Delay 15 sec Глава 7. Расширенные возможности протокола... 315
Port VLAN Port-State Cost Priority Fast-Start Group-method 1/1 1/2 3/1 3/2 1 1 1 1 non-connected forwarding not-connected not-connected 19 19 100 100 32 32 32 32 disabled disabled disabled disabled По прошествии приблизительно 15-20 с, протокол PAgP освободит порт для даль- дальнейшего использования. С этого момента последовательно порт перейдет в состояние прослушивания, самообучения и, наконец, в состояние передачи трафика. Вследствие задержек, связанных с работой протокола PAgP, порт станет активным только через 50 с, вместо ожидаемых 30 с. Таким образом, исходя из сказанного, необходимо учи- учитывать влияние, оказываемое на сеть протоколом PAgP. Во-первых, для группы кана- каналов EtherChannel целесообразно использовать соединения только с указанием пара- параметра настройки desirable (желаемая) и только в тех местах, где это действительно не- необходимо. В частности, нужно избегать использования соединений с состоянием on (включено), так как соединения жестко запрограммированы в логическую связку ка- каналов и исключают возможность разумно контролировать группу портов с помощью протокола PAgP. Например, все сообщения BPDU протокола STP отправляются через одно соединение EtherChannel. В случае возникновения неисправности вся группа со- соединений будет объявлена неисправной, если протокол PAgP не установлен в состоя- состояние auto или desirable. Совет При использовании технологии EtherChannel все порты необходимо перевести в со- состояние desirable. Использование состояния on отключает способность протокола РАдР перехватывать нестандартные ситуации при возникновении неисправностей, ко- которые отражаются в структуре распределенного связующего дерева. В случаях, когда технология EtherChannel не используется, отключение протокола PAgP может значительно повысить производительность работы протокола STP. От- Отключение протокола PAgP в территориальной сети может дать некоторые преимуще- преимущества в производительности инфраструктуры в таких ситуациях: • когда на каждый порт приходится одна конечная станция; • когда серверы используют сетевые адаптеры, которые переключают состояние соединения в случае возникновения неисправности в сети; • когда необходимо выполнить проверку сети. Станции в сети могут извлечь большую пользу от отключения протокола PAgP на портах, к которым они подключены. Отключение данного протокола дает особенно заметный эффект при использовании технологии PortFast. При включении функции PortFast порты EtherChannel тратят почти 20 с на активизацию, поскольку протокол PAgP "скрывает" включение портов от протокола STP. Для исключения указанной выше задержки, т.е. для отключения протокола PAgP, необходимо использовать ко- команду set port channel mod_num/port_num off для того, чтобы технология Port- PortFast дала ожидаемый результат. 316 Часть II. Механизм распределенного связующего дерева
Сетевые адаптеры с переключением состояния соединения при возникновении не- неисправности также могут увеличить производительность связующего дерева в целом (стандартно большинство сетевых адаптеров не переключают состояние связи). В лю- любом случае задержка, возникающая за счет протокола PAgP, прерывает поток трафика от сервера на 20 с. Наконец, при тестировании производительности протокола STP необходимо от- отключать протокол PAgP на портах, которые не поддерживают технологию EtherChan- nel, иначе задержка протокола PAgP в 20 с будет негативно влиять на измерянные значения. Совет Необходимо отключать протокол РАдР на портах, поддерживающих технологию Etr- herChannel и соединенных с конечными станциями и серверами с повышенной отказо- отказоустойчивостью. Преимуществом отключения протокола PAgP является то, что указанные выше действия не затронут производительность сети при восстановлении после отказа исхо- исходящих каналов в большинстве случаев. Например, представим себе ситуацию (см. рис. 7.25), когда коммутатор Cat-D использует порт 1/1 и порт 1/2 в качестве исходя- исходящих соединений. При неисправности порта 1/1 процесс восстановления начнется не- немедленно, т.к. оба соединения были активны в течение некоторого времени и, таким образом, задержки за счет протокола PAgP уже не будет. С другой стороны, если порт 1/2 находится в неактивном состоянии и не подключен, в то время как порт 1/1 не- неисправен, результат будет совсем другим. В таком случае необходимо вручную вклю- включить порт 1/2 и ждать 20 с, пока отработает протокол PAgP в процессе восстановле- восстановления логической структуры протокола распределенного связующего дерева. Полезные команды протокола STP В данном разделе описаны некоторые дополнительные возможности команды show spantree, а также приведены полезные команды, которые не обсуждались ранее. Общий синтаксис команды show spantree Быстрый взгляд на результат выполнения команды show spantree ? позволит заметить большое количество разнообразных и полезных ее параметров. В приме- примере?.^ приведен результат выполнения команды show spantree ? на коммутаторе Catalyst 5000 с операционной системой версии 4.5.1. \. Пример 7.19. Возможные параметры команды show spantree ? .-": | Cat-D> (enable) show spantree ? Usage: show spantree [VLAN] [active] show spantree <mod_num/port_num> show spantree backbonefast show spantree blockedports [VLAN] show spantree portstate <trcrf> show spantree portvlancost <mod_num/port_num> Глава 7. Расширенные возможности протокола... 317
show spantree statistics <mod_num/port_num> [VLAN] show spantree statistics <trcrf> <trbrf> show spantree summary show spantree uplinkfast Наиболее полный синтаксис команды выглядит следующим образом: show spantree [VLAN \ mod пит/port пит] [blockedports | active | statistics | summary] Приведенные выше параметры (а также многие другие) подробно обсуждаются в следующих разделах. Использование команды show spantree с опцией mod_num/port_num Опция mod_num/port_num наиболее полезна при анализе поведения выходных портов логической структуры распределенного связующего дерева. Результат выпол- выполнения команды содержит информацию на уровне портов и не содержит значений глобальных и локальных параметров, как в случае использования параметра, указы- указывающего конкретную сеть VLAN. Рассмотрим информацию в примере 7.20 о порте 1/1, который сконфигурирован как выходной и несет несколько сетей VLAN. Пример 7.20.Результат выполнения команды show spantree aipdjnum/portjnum '. ■.■ .£;. ■■ '■ Cat-A> (enable) show spantree 1/1 Port VLAN Port-State Cost Priority Fast-Start Group-Method 1/1 1/1 1/1 1/1 1/1 1/1 1/1 1/1 1/1 1/1 1/1 1/1 1 2 3 4 5 6 7 8 9 10 1003 1005 listening listening listening listening listening listening listening listening listening listening not-connected not-connected 19 16 19 16 19 16 19 19 19 19 19 19 32 32 32 32 32 32 32 32 32 32 32 4 disabled disabled disabled disabled disabled disabled disabled disabled disabled disabled disabled disabled Использование команды show spantree active Опция active является еще одним полезным параметром команды show span- tree. При ее использовании в результате выполнения команды все неактивные пор- порты будут отфильтрованы в выводимой информации. Такая опция наиболее полезна в процессе настройки коммутатора, когда большинство портов еще не соединены со станциями или коммутатор имеет большую плотность портов. В примере 7.21 приве- приведен результат выполнения команды show spantree с опцией active. 318 Часть II. Механизм распределенного связующего дерева
Пример 7.21. Результат выполнения команды show spantree active Cat-A> (enable) show spantree 1 active VLAN 1 Spanning tree enabled Spanning tree type ieee Designated Root 00-90-92-16-18-00 Designated Root Priority 32768 Designated Root Cost 19 Designated Root Port 1/1 Root Max Age 20 sec Hello Time 2 sec Forward Delay 15 sec Bridge ID MAC ADDR 00-90-92-1B-CB-00 Bridge ID Priority 32768 Bridge Max Age 20 sec Hello Time 2 sec Forward Delay 15 sec Port VLAN Port-State Cost Priority Fast-Start Group-Method 1/1 1/2 2/10 2/23 1 1 1 1 forwarding blocking forwarding listening 19 19 100 100 32 32 32 32 disabled disabled disabled disabled Несмотря на то, что параметр VLAN является необязательным, указывать его необ- необходимо. Иначе можно потратить много времени рассматривая сеть VLAN 1 (т.е. стан- стандартную сеть) вместо какой-либо другой сети VLAN. Этот факт справедлив и для ко- команд show spantree statistics и show spantree blockedports. Использование команды show spantree summary Команда show spantree summary может быть полезна для просмотра состояний портов сразу на всем устройстве Catalyst. Как показано в примере 7.22, состояния портов перечислены для каждой сети VLAN с подсчетом общего количества портов в разных состояниях. \ Пример 7.22. Результат выполнения команды show spantree active j Cat-D> (enable) show spantree summary Summary of connected Spanning Tree ports by VLAN Uplinkfast disabled for bridge. VLAN Blocking Listening Learning Forwarding STP Active 1 2 3 4 1 0 0 0 0 0 0 0 0 0 0 0 2 2 2 2 3 2 2 2 Глава 7. Расширенные возможности протокола... 319
5 6 7 8 1003 1005 0 0 0 0 1 1 Blocking 0 0 0 0 0 0 Listening 0 0 0 0 0 0 Learning 2 2 2 2 1 1 Forwarding 2 2 2 2 2 2 STP Active Использование команды show spantree blockedports Команда show spantree blockedports используется для быстрого просмотра списка портов, которые находятся в состоянии блокировки (т.е. портов, для которых был обнаружен петлевой маршрут) на коммутаторе Catalyst. Выводимая с помощью данной команды информация содержит данные о выходных портах для каждого пор- порта, сети VLAN и группе EtherChannel. В последней строке информация обобщается. В примере 7.23 представлен результат выполнения команды show spantree blocked- ports . I Пример 7.23. Результат выполнения команды show spantree blockedports j Console> (enable) show spantree blockedports T = trunk g = group Ports VLANs 1/2 1 2/14 1 Number of blocked ports (segments) in the system : 2 Регистрация событий протокола STP Во многих ситуациях может возникнуть необходимость просмотреть порядок со- событий алгоритма распределенного связующего дерева. Для таких случаев предусмот- предусмотрена команда set logging (см. пример 7.24). Например, в результате выполнения команды set logging level spantree 7 будут регистрироваться переходы между состояниями алгоритма STP. Возможность регистрации событий впервые появилась в операционной системе NMP версии 2.2. Более ранние версии программного обеспе- обеспечения регистрировали переходы портов только в состояние передачи данных или бло- блокировки. В более поздних версиях операционных систем, например, в версии 4.x, можно регистрировать все состояния (такие, как состояния прослушивания и само- самообучения). С помощью указанной команды можно включить процедуру отправки ин- информации событий протокола распределенного связующего дерева на сервер службы Syslog для дальнейшего анализа или мониторинга протокола STP. 320 Часть II. Механизм распределенного связующего дерева
' Пример 7.24. Результат регистрации! событий распределенного связую- ; щегодерева ': "-УС'-:Х'^: .. 06/12/1999,19:33:45:SPANTREE-б: port 3/5 state in VLAN 2 changed to blocking. 06/12/1999,19:33:45:SPANTREE-6: port 3/5 state in VLAN 2 changed to Listening. 06/12/1999,19:33:51:SPANTREE-6: port 3/5 state in VLAN 2 changed to Learning. 06/12/1999,19:33:58:SPANTREE-6: port 3/5 state in VLAN 2 changed to forwarding. Использование команды show spantree statistics Для просмотра детальной информации о структуре, сформированной алгоритмом распределенного связующего дерева, необходимо использовать команду show span- tree statistics. Результат выполнения команды может быть достаточно объемным даже для одного порта и одной сети VLAN. В примере 7.25 приведена информация для порта 1/1 сети VLAN 1 коммутатора Catalyst. [Пример 7.25. Результат выполнения команды show spantree statistics Cat-D> (enable) show spantree statistics 1/1 1 Port 1/1 VLAN 1 SpanningTree enabled for VLANNo = 1 BPDU-related parameters port Spanning Tree state port id port number path cost message age (port/VLAN) designated root designated cost designated bridge designated port top change ack config pending port inconsistency enabled forwarding 0x8001 0x1 19 0B0) 00-90-92-55-80-00 0 00-90-92-55-80-00 0x8001 FALSE FALSE none PORT based information & statistics config bpdu's xmitted (port/VLAN) 1C93) config bpdu's received (port/VLAN) 402(804) ten bpdu's xmitted (port/VLAN) 1A) ten bpdu's received (port/сеть VLAN) 0@) forward trans count 1 scp failure count 0 Status of Port Timers forward delay timer INACTIVE forward delay timer value 15 Глава 7. Расширенные возможности протокола... 321
message age timer message age timer value topology change timer topology change timer value hold timer hold timer value delay root port timer delay root port timer value ACTIVE 0 INACTIVE 0 INACTIVE 1 INACTIVE 0 VLAH based information & statistics spanningtree type spanningtree multicast address bridge priority bridge mac address bridge hello time bridge forward delay topology change initiator: last topology change occured: topology change topology change time topology change detected topology change count topology change last recvd. from Other port-specific dynamic max age transitions port bpdu ok count msg age expiry count link loading bpdu in processing num of similar bpdus to process received inferior bpdu next state src mac count: total src mac count curr src mac next src mac channel srcjnac channel src count channel ok count ieee 01-80-C2-00-00-00 32768 00-90-92-55-94-00 2 sec 15 sec 1/1 Fri Dec 11 1998, 14:25:00 FALSE 35 FALSE 1 00-00-00-00-00-00 info 0 0 0 1 FALSE 0 FALSE 3 0 0 00-00-00-00-00-00 00-00-00-00-00-00 00-00-00-00-00-00 0 0 Как видно в примере, результат выполнения команды show spantree statis- statistics сгруппирован в пять секций. Также в выводимой информации перечислено большинство полезных на практике полей. В поле message age (port/VLAN) (время хранения сообщения) в секции BPDU-related parameters (параметры, свя- связанные с сообщениями BPDU) содержатся два значения. Первое значение (не в скоб- скобках) соответствует времени хранения последнего полученного сообщения плюс неко- некоторое время, прошедшее с момента его получения. Такое значение может быть полез- полезным для определения наличия потока конфигурационных сообщений BPDU от 322 Часть II. Механизм распределенного связующего дерева
корневого моста. Второе значение (в скобках) содержит значение таймера Max Age для данной сети VLAN и стандартно равно 20 с. Данное значение является локально сконфигурированным и не соответствует значению, полученному от корневого моста. Секция PORT based information & statistics (информация и статистика, связанная с портами) предоставляет полезные данные о счетчиках сообщений BPDU. Первые две строки содержат значение количества отправленных и принятых конфи- конфигурационных сообщений BPDU. Следующие две строки содержат такую же информа- информацию, но для сообщений TCN BPDU. Каждая строка содержит два значения. Первое значение (не в скобках) является счетчиком отправленных или принятых сообщений BPDU на данный порт для указанной сети VLAN (если это выходной порт). Второе значение (в скобках) соответствует полному количеству принятых сообщений BPDU для полной сети VLAN (т.е. на все порты). При возникновении проблем в структуре распределенного связующего дерева при- приведенная выше информация может быть полезна для оценки потоков конфигураци- конфигурационных сообщений BPDU. В любом случае оба конца соединения не должны испыты- испытывать одновременного увеличения счетчиков отправления и приема сообщений. В про- процессе обработки сообщений протокола STP счетчик передаваемых конфигурационных сообщений BPDU увеличивается только на назначенных портах, а для корневого пор- порта (или портов) на другом конце соединения увеличивается только счетчик приема сообщений. Счетчики сообщений BPDU — это неоценимое по своей значимости средство поиска и устранения неисправностей соединений, когда поток трафика не может передаваться в обоих направлениях. Без такой информации поиск неисправно- неисправности может занять несколько дней. Совет Для поиска неисправности соединений используйте счетчики передачи и приема со- сообщений BPDU. Также может быть полезна технология корпорации Cisco UDLD (UniDirectional Link Detection — однонаправленное обнаружение соединения). Секция VLAN based information & statistics (информация и статистика, связанная с сетями VLAN) содержит информацию об изменениях логической топо- топологии сети. В поле Last topology change occurred (последнее изменение топо- топологии) указано время и дата последнего изменения в топологии, а значение в поле topology change count (счетчик изменений топологии) соответствует количеству изменений в топологии, начиная с момента инициализации алгоритма распределен- распределенного связующего дерева на данном порту. Поле topology change last recvd. from (от кого получено последнее уведомление об изменении топологии) содержит МАС-адрес последнего порта или коммутатора (имеется в виду адрес, который ис- используется в заголовке 802.3, а не адрес используемый в значении BID), с которого было получено сообщение TCN BPDU. Рассмотренные поля можно использовать для определения причин чрезмерного насыщения трафика сообщениями TCN BPDU. Не- Необходимо учитывать, что при использовании технологии PortFast на всех портах с подключенными конечными станциями сообщения TCN BPDU будут отправляться каждый раз, когда станция включается или выключается. Совет Для решения проблем в сети, связанных с сообщениями TCN BPDU, необходимо ис- использовать информацию из секции VLAN based information & statistics. Глава 7. Расширенные возможности протокола... 323
Технология PVST+ В главе 5, "Виртуальные локальные сети", указано, что стандарт 802.1Q описывает технологии, которые необходимы для работы с виртуальными локальными сетями. Для уменьшения сложности стандарта комитет 802.1 утвердил необходимость исполь- использования одного экземпляра распределенного связующего дерева для всех сетей VLAN. Такой подход является не только менее гибким по сравнению с подходом PVST (Рег- VLAN spanning tree — на каждую сеть VLAN используется отдельный экземпляр рас- распределенного связующего дерева) корпорации Cisco Systems, но создает некоторые проблемы со взаимодействием сетей. Для решения таких проблем корпорация Cisco разработала расширенный протокол PVST+ в программном обеспечении версии 4.1 коммутаторов Catalyst 5000 (протокол PVST+ также поддерживают серии устройств 4000 и 6000). Особенность данной технологии состоит в том, что обе версии могут ра- работать одновременно и прозрачным образом (т.е. незаметно для пользователя) во всех топологиях и конфигурациях. У метода использования единого экземпляра распределенного связующего дерева есть одно основное преимущество и один недостаток. С одной стороны, такой подход упрощает разработку коммутаторов и значительно снижает загрузку процессора. С другой стороны, единая структура распределенного связующего дерева препятствует реализации балансирования нагрузки и может привести к неустойчивым соединениям в большинстве сетей VLAN (сеть VLAN в одном экземпляре распределенного свя- связующего дерева может выбирать только те соединения, которые не включены в другие сети VLAN). Большинство сетевых администраторов пришло к выводу, что недостаток использования единого экземпляра распределенного связующего дерева перевешивает указанное преимущество. Внимание! Несмотря на то, что изначально стандарт 802.1Q определял только один экземпляр распределенного связующего дерева, организация IEEE учредила рабочую группу 802.1S для разработки стандарта со множеством экземпляров. Типы областей в технологии PVST+ Технология PVST+ позволяет создавать в сети три области: • группу традиционных (до версии 4.1 программного обеспечения) коммутаторов Catalyst, формирующих область PVST, где каждая сеть VLAN использует от- отдельные экземпляры распределенного связующего дерева; • 802.1О.-коммутаторы, которые используют единый экземпляр распределенного связующего дерева (MS — Mono Spanning Tree). Группа таких коммутаторов формирует область MST; • коммутаторы Catalyst с программным обеспечением версии 4.1 или выше фор- формируют область PVST+. Учитывая тот факт, что коммутаторы 802.1Q поддерживают только исходящие со- соединения стандарта 802.1Q, а коммутаторы PVST поддерживают исходящие соедине- соединения, использующие инкапсуляцию ISL, такие области могут быть соединены в огра- ограниченном наборе комбинаций. 324 Часть II. Механизм распределенного связующего дерева
• Области PVST и PVST+ могут быть соединены только через исходящие соеди- соединения, использующие инкапсуляцию ISL. • Области MST и PVST+ могут быть соединены через исходящие соединения, использующие инкапсуляцию 802.1Q. Необходимо помнить, что области MST и PVST не могут быть соединены через исходящие соединение. Несмотря на то, что существует возможность обеспечить обычное соединение между двумя областями с использованием обычного канала, та- такой подход имеет ограниченное применение в современных сетях. На рис. 7.26 пред- представлены три типа областей распределенного связующего дерева и возможные соеди- соединения между ними. Магистраль Магистраль ISL 802.1Q Рис. 7.26. Три типа областей распределенного связующего дерева в технологии PVST+ Поскольку технология PVST+ обеспечивает возможность взаимодействия между двумя устаревшими областями, область PVST+ используется в основном магистраль- магистральном канале. Такая область соединяется с областью MST через выходные порты 802.1Q и с областью PVST через порты ISL. Причем можно реализовать и более гибкую кон- конфигурацию сети. Например, две области PVST+ могут соединяться через магистраль- магистральный канал MST. Организация туннелей и привязки в технологии PVST+ Технология PVST+ использует два механизма для обеспечения прозрачной под- поддержки трех типов областей связующего дерева: • механизм привязки; • туннелирование. Глава 7. Расширенные возможности протокола... 325
Механизм привязки используется между областями PVST и PVST+. Каждое свя- связующее дерево в области PVST связано с различными экземплярами распределенного дерева в области PVST+ на основе индивидуального соответствия. Точно такой же процесс протекает и в обратном направлении, он достаточно нагляден и прост. С другой стороны, при преобразовании между областями MST и PVST+ использу- используются и механизмы привязки, и туннели. Единый экземпляр распределенного связую- связующего деверева в области MST ассоциируется с одним связующим деревом области PVST+. Такой экземпляр связующего дерева соответствует общему связующему дереву (CST — Common Spanning Tree) и использует сеть VLAN 1. В обратном направлении все экземпляры дерева, отличные от общего, который принадлежит сети VLAN 1, ис- используют механизм туннелей. Сообщения BPDU для таких сетей VLAN распростра- распространяются через область MST и достигают коммутаторов в области PVST+ на другой стороне туннеля. Каким образом корпорация Cisco реализовала механизм туннелей, позволяющий сообщениям BPDU из области PVST+ распространяться через область MST? В случае использования связанных сетей VLAN сообщения BPDU отправляются по известному МАС-адресу 01-80-С2-00-00-00. Все коммутаторы, соответствующие стандарту 802.ID, не распространяют такие фреймы-сообщения. Такие фреймы отправляются процессо- процессору для обработки с помощью алгоритма протокола STP. Если в этом есть необходи- необходимость, процесс протокола STP генерирует новые сообщения BPDU для отправки их другим устройствам. Если сообщения BPDU были отправлены из области PVST+ в область MST, используя указанный выше МАС-адрес, они будут передаваться в сети до первого коммутатора или моста. Поскольку устройства MST не поддерживают множество экземпляров распределенного связующего дерева, описанные сообщения BPDU будут уничтожаться. Несмотря на то, что область PVST+ использует другой ад- адрес для многоадресного вещания, устройства в области MST будут распространять по- полученные сообщения как обычные данные. Как только сообщения BPDU будут дос- достигать коммутаторов в области PVST+ на границе области MST, они будут обрабаты- обрабатываться как фреймы, отправленные по зарезервированному МАС-адресу. Для того, чтобы описанный выше процесс мог иметь место, корпорация Cisco предложила использовать МАС-адрес 01-0C-CC-CC-CC-CD. Необходимо заметить, что указанный адрес отличен от адреса многоадресатного вешания, который исполь- используется в протоколах CDP, VTP, DISL, PAgP и DTP- адреса 01-ОС-СС-СС-СС-СС. Несмотря на то, что адреса отличаются только на один бит, такое отличие является существенным. Все мосты и коммутаторы, работающие по стандарту 802.ID, прини- принимают фреймы с адресом 01-80-С2-00-00-00 на обработку и перенаправление дальше по сети (другими словами, такие фреймы регенерируются, а не лавинно пересылаются), в то же время все устройства корпорации Cisco принимают фреймы с МАС-адресом 01-ОС-СС-СС-СС-СС для такой же обработки. Если используется обычное многоад- ресатное вещание, все существующие модели коммутаторов Catalyst не распространя- распространяют сообщения BPDU из областей PVST+, тем самым исключая возможность исполь- использования механизма туннелей. Тем не менее, используя новый адрес многоадресатного вешания, старые модели устройств коммутации Cisco распространяют сообщения BPDU с указанным адресом как нормальные данные. Как упоминалось в предыдущем разделе, все сообщения BPDU из общего дерева CST отправляются с адресом 01-80- С2-00-00-00 (данный адрес указан в стандарте 802.ID для протокола STP) и могут быть нормально обработаны коммутаторами в области MST. 326 Часть II. Механизм распределенного связующего дерева
Технология PVST+ и балансирование нагрузки При использовании технологии PVST+ может возникнуть интересный вопрос: "Каким образом можно реализовать балансирование нагрузки?" К счастью, большин- большинство описанных выше методов работают одинаково как для технологии PVST+, так и для PVST. Наиболее существенная разница проявляется в процессе построения тунне- туннелей. В частности, когда коммутаторы в области MST распространяют сообщения BPDU из области PVST+, сообщения отправляются только в порты, которые находят- находятся в состоянии распространения. Это не только добавляет существенную задержку при распространении сообщений BPDU из области PVST+, но и затрагивает процес- процессы балансирования нагрузки. Например, рассмотрим упрощенный территориальный магистральный канал, который показан на рис. 7.27. Cat-D Cat-A Рис. 7.27. Балансирование нагрузки в области PVST+ В такой сети можно использовать пять различных комбинаций коммутаторов, ко- которые перечислены ниже. • Все коммутаторы являются устройствами PVST. Данная комбинация устройств подробно описана в разделе "Балансирование нагрузки в протоколе STP". Все эти методы работают в представленной на иллюстрации сети. • Все коммутаторы являются устройствами PVST+. Балансирование нагрузки в таком случае может быть реализовано с использованием таких же методов, как и для коммутаторов области PVST. Сообщения BPDU из области PVST+ и от общего дерева CST обрабатываются без дополнительного вмешательства пользователя. • Все коммутаторы являются устройствами MST. Когда используется инкапсуля- инкапсуляция стандарта 802.1Q, балансирование нагрузки с помощью протокола STP не- невозможно. Глава 7. Расширенные возможности протокола... 327
• Коммутатор узла IDF является устройством MST, а остальные устройства в сети принадлежат области PVST+. Для распространения сообщений BPDU и трафи- трафика через оба выходных порта в коммутаторах узла IDF необходимо, чтобы оба порта находились в состоянии распространения. Исходя из этого, в такой сети можно использовать обычные методы балансирования нагрузки. • Коммутатор узла MDF является устройством MST, а остальные устройства в се- сети принадлежат области PVST+. Для распространения сообщений BPDU и тра- трафика через все порты в коммутаторе узла MDF необходимо, чтобы порты нахо- находились в состоянии передачи трафика. Исходя из этого, в такой сети можно использовать обычные методы балансирования нагрузки. Заметим, что технология PVST+ позволяет использовать все доступные методы ба- балансирования нагрузки с помощью протокола распределенного связующего дерева, с одним исключением — все межкоммутаторные порты в устройствах области MST должны находиться в состоянии передачи пользовательских данных. Внимание! Балансирование нагрузки возможно и в таких случаях, когда некоторые порты нахо- находятся в состоянии блокировки. Тем не менее, разработка механизма балансирования требует тщательного анализа. В наиболее общем случае проще всего будет разрабо- разработать сеть, исходя из предположения, что все межкоммутаторные порты находятся в состоянии передачи трафика (по возможности). Если порты устройства в области MST находятся в состоянии, отличном от со- состояния передачи трафика, то могут возникнуть две проблемы: • сообщения BPDU из области PVST+ будут распространяться только через не- некоторые порты и таким образом будет изучаться только часть логической топо- топологии сети; • состояние блокировки некоторых портов нейтрализует все попытки реализации балансирования нагрузки. При переходе порта коммутатора области MST в со- состояние блокировки будет блокироваться трафик сразу от всех сетей VLAN. Поскольку в таком случае трафик будет следовать только по одному маршруту, балансирование нагрузки далее будет невозможно. Совет Механизмы привязки устройств и создания туннелей PVST+ не требуют никакого вме- вмешательства и конфигурации со стороны пользователя. Несмотря на это, реализация технологии балансирования нагрузки требует некоторых изменений в стандартных па- параметрах протокола STP для перевода портов области MST в состояние передачи трафика. Выполнить условие, чтобы все порты коммутаторов в области MST находились в состоянии передачи трафика, при этом направляя трафик через несколько маршрутов одновременно, не так уж просто. Рассмотрим два наиболее общих случая. В первом случае коммутатор MST находится в узле MDF (см. рис. 7.28). Коммутатор Cat-B за- заменили устройством Sw-B, использующим инкапсуляцию 802.1Q и являющимся ти- типичным коммутатором области MST. 328 Часть II. Механизм распределенного связующего дерева
ЧастьА PVST+VLAN(VLAN>1) Cat-D Часть Б MST/CSTVLAN(VLAN1) I Cat-D Sw-B Cat-A Cat-C Корневой мост Корневой мост Рис. 7.28. Балансирование нагрузки на коммутаторе области MST в узле MDF На рис. 7.28,а проиллюстрирован механизм создания туннелей через коммутатор области MST (который используется для всех сетей VLAN, кроме сети VLAN 1) для сообщений BPDU из области PVST+. Т.к. коммутатор MST распространяет сообще- сообщения BPDU из области PVST+ во все межкоммутаториые порты (предположим, что все порты уже находятся в состоянии передачи трафика), можно представить, что комму- коммутатор MST не существует. Интересно, что стоимость маршрута слева на иллюстрации равна 19, в то время как стоимость правого маршрута соответствует значению 38 A9+19). Другими словами, коммутатор Cat-A, который имеет статус корневого моста, генерирует конфигурационные сообщения BPDU со значением стоимости маршрута 0. Такие сообщения поступают в порт 1/1 коммутатора Cat-D без всяких изменений, и значение стоимости увеличивается до 19. В соединении справа на иллюстрации со- сообщения BPDU получает коммутатор Cat-C и увеличивает значение корневой стои- стоимости до 19. Когда такое сообщение со значением стоимости 19 получит коммутатор Cat-D в порт 1/2, значение корневой стоимости увеличится до 38. Для избежания проблем необходимо увеличить стоимость маршрута, например, до 1000, по которому нежелательно отправлять трафик (это один из случаев, когда стандартное уменьшение значения стоимости на единицу с помощью команды portvlancost не работает). За более подробной информацией по данному вопросу обратитесь к разделу "Уменьшение значения стоимости маршрута для балансирования нагрузки". Напри- Например, трафик сети VLAN 3 можно заставить двигаться по соединению справа на иллю- иллюстрации, увеличив стоимость маршрута для сети VLAN 3 на порту 1/1 коммутатора Cat-D до значения 1000 (значение стоимости правого соединения останется равным 38 и будет более предпочтительно). На рис. 7.28,6 представлена активная логическая топология сети VLAN 1, т.е. сеть VLAN области MST/CST. В такой сети VLAN необходимо вручную настроить пара- Глава 7. Расширенные возможности протокола... 329
метры связующего дерева, чтобы перевести все порты коммутатора MST в состояние распространения. Самый простой способ — назначить коммутатор Sw-B корневым мостом для сети VLAN 1. В простой топологии, которая подобна представленной на рис. 7.28, такой подход является наиболее эффективным. В случае построения боль- больших сетей для удовлетворения указанного выше условия необходимо использовать другие методы. На рис. 7.28,5 проиллюстрировано решение для такого случая (отметим, что коммутатор Cat-A имеет статус корневого моста). Порт 1 и порт 3 ком- коммутатора Sw-B стандартно находятся в состоянии передачи трафика (порт 1 становит- становится назначенным портом, а порт 3 получает статус корневого). С другой стороны, порт 2 может получить (или не получить) статус назначенного порта (в зависимости от значения идентификатора BID коммутатора Cat-C, порт 2/2 может стать назначенным портом). Во избежание такой неопределенности необходимо, чтобы порт 2 коммута- коммутатора Sw-B получить статус назначенного, для этого нужно увеличить значение стои- стоимости маршрута для порта 2/3 коммутатора Cat-C с 19 до 20 (или еще больше). Совет Для реализации балансирования нагрузки необходимо, чтобы все межкоммутаторные порты устройства в области MST находились в состоянии передачи трафика. На рис. 7.29 представлен вариант топологии сети, когда коммутатор MST находит- находится в узле IDF. Коммутатор Cat-B перенесли на свое место в узле MDF, а коммутатор области MST, который использует инкапсуляцию 802.1Q, поместили на место устрой- устройства Cat-D в узле IDF (указанный коммутатор будем называть далее Sw-D). Часть А PVST+VLAN(VLAN>1) 19 Часть Б MST/CSTVLAN(VLAN1) Sw-D Cat-C Cat-C Cat-B Cat-A Корневой мост Корневой мост Рис. 7.29. Балансирование нагрузки на коммутаторе MST в узле IDF 330 Часть II. Механизм распределенного связующего дерева
Оба выходных порта коммутатора Sw-D должны находиться в состоянии передачи трафика. Для обеспечения этого один порт должен иметь статус назначенного порта, а второй — статус корневого. Такую ситуацию можно создать за счет увеличения зна- значения стоимости маршрута для порта 2/2 коммутатора Cat-C и для порта 2/3 комму- коммутатора Cat-D, что приведет к переключению порта 2/1 коммутатора Cat-C в состоя- состоянии блокировки (т.к. порт 2 коммутатора Sw-D более удобен для подключения уст- устройства Cat-C к сегменту коммутатора Sw-D). Теперь, когда все порты коммутатора MST находятся в состоянии передачи трафика, можно говорить о балансировке на- нагрузки. В рассматриваемом случае можно настроить коммутатор Cat-В таким образом, чтобы он передавал трафик только от половины сетей VLAN (например, только от се- сетей с четными номерами), а коммутатор Cat-C настроить для передачи трафика от другой половины сетей VLAN (например, от сетей с нечетными номерами). Для полу- получения необходимого результата нужно увеличить (или уменьшить) значение стоимо- стоимости маршрута для портов 2/3 коммутатора Cat-B и Cat-C различных сетей VLAN. Внимание! Стоимость маршрута для порта 2/3 коммутатора Cat-C необходимо установить между 20 и 37, чтобы топология сети, которая представлена на рис. 7.29, работала. Если по- поставить меньшее значение, то порт 2/1 Cat-C будет иметь меньшее значение корневой стоимости, чем порт 2 коммутатора Sw-D, и такая ситуация приведет к тому, что порт 2 перейдет в состояние блокировки. С другой стороны, если значение для порта 2/3 коммутатора Cat-C установить больше 37, порт 2/1 устройства Cat-C получит статус корневого, а порт 2/3 перейдет в состояние блокировки. Отключение протокола STP В некоторых ситуациях может возникнуть необходимость отключить протокол STP. Например, иногда сетевые администраторы отключают данный протокол, поскольку не могут разобраться в возникающих в сети проблемах. Некоторые же отключают протокол STP либо потому, что сеть изначально имеет беспетельную топологию, либо по причине незнания некоторых особенностей работы протокола, например, технологии PosrtFast (здесь не имеются в виду проблемы с протоколом PAgP, рассмотренные выше). Если необходимость в отключении протокола STP все же возникла, можно ис- использовать команду коммутатора Catalyst set spantree disable. В большинстве моделей коммутаторов Catalyst протокол STP можно отключить для отдельных сетей VLAN. Например, команда set spantree disable 2 отключает протокол распреде- распределенного связующего дерева для сети VLAN 2. Необходимо помнить, что приведенная выше команда отключит STP на всех портах в указанной сети VLAN — коммутаторы канального уровня Catalyst серий 4000, 5000 и 6000 в настоящий момент не имеют возможности отключать протокол распределенного связующего дерева для отдельных портов. В примере 7.26 показано использование команды set spantree disable для отключения протокола STP на коммутаторе Cat-А для сети VLAN 1. Пример 7.26. Отключение протокола STP для сети VLAN 1 i Cat-A> (enable) set spantree disable 1 Spantree 1 disabled. Глава 7. Расширенные возможности протокола... 331
При использовании технологий коммутации сетевого уровня, таких, как модули NetFlow Feature Card, протокол STP может быть отключен только для всего устройст- устройства в целом (т.е. для всех сетей VLAN). Совет Отключить протокол STP для отдельных портов в коммутаторах канального уровня Catalyst серий 4000, 5000 и 6000 невозможно. В случае, когда указанные модели ком- коммутаторов не используют модуль NFFC, отключить протокол STP можно для отдель- отдельных сетей VLAN, но необходимо учитывать, что такие изменения будут касаться всех портов в данной сети VLAN. Поскольку такие устройства, как Catalyst 8500, используют полные версии операционной системы IOS маршрутизаторов, то можно контролиро- контролировать все устройства, на которых работает протокол STP (с использованием команды bridge-group). Отключить протокол STP сразу для всего устройства можно с помощью команды set spantree disable all. Однако, гораздо правильнее будет использовать техно- технологии PortFast, UplinkFast, коммутацию сетевого уровня и изначально разрабатывать расширяемую структуру сети вместо полного отключения протокола STP. При отклю- отключении протокола STP сеть становится уязвимой, и это может привести к появлению петель. Совет Не отключайте протокол STP. При формировании петли физического уровня вследст- вследствие ошибки вся сеть перестанет функционировать. Лучшим решением является ис- использование доступных преимуществ протокола STP, например, технологии UplinkFast вместо полного отключения протокола STP. Одним из наиболее общих случаев, когда можно отключить протокол STP, являет- является ситуация, когда в основе территориальной сети используется технология ATM. Протокол LANE сам по себе обеспечивает беспетельную среду. Некоторые ориенти- ориентирующиеся на технологию ATM-производители стандартно оставляют протокол STP отключенным. Несмотря на это, для нормальной работы ATM все же необходимо, чтобы часть сети, которая работает по технологии Ethernet, была без физических или логических петель. Во избежание петель между пользовательскими портами необхо- необходимо напрямую соединять коммутаторы узлов IDF с ядром ATM (другими словами, надежные соединения Ethernet не могут быть использованы между узлами IDF и MDF вследствие возможности формирования петель). И, наконец, необходимо учитывать тот факт, что даже при выключенном протоко- протоколе STP на коммутаторах Catalyst серии 4000, 5000 и 6000 сообщения BPDU свободно распространяются через устройство. Иначе говоря, как только алгоритм распределен- распределенного связующего дерева прекратит свою работу, адрес многоадресатного вещания 01- 80-С2-00-00-00 будет снова обрабатываться как обычный многоадресатный фрейм (за исключением модуля Supervisor, где сообщения выделяются из потока и регенериру- регенерируются). Коммутаторы с отключенным протоколом STP становятся прозрачными для соседних коммутаторов, где протокол STP все еще работает. Коммутаторы Catalyst с выключенным протоколом STP ничем не отличаются от концентраторов физического уровня для тех коммутаторов, где протокол STP работает. 332 Часть II. Механизм распределенного связующего дерева
Практические советы по работе с протоколом STP В данном разделе подводятся итоги. Он содержит некоторые полезные советы по работе с протоколом STP. Устанавливайте корневой мост вручную. Предоставив выбор местоположения корне- корневого моста воле случая, можно значительно снизить стабильность работы и масшта- масштабируемость сети. За более подробной информацией по данному вопросу обратитесь к разделам "Применение протокола STP в реальных сетях" и "Определение местополо- местоположения корневого моста в сети" главы 6, "Основы протокола распределенного свя- связующего дерева". Всегда необходимо иметь хотя бы один резервный корневой мост. При построении сети с одним корневым мостом вся сеть может перестать функционировать, если он придет в неисправность. Все коммутируемые сети должны иметь хотя бы один ре- резервный корневой мост. В больших сетях таких мостов должно быть больше. Располагать корневой мост необходимо как можно ближе к большим потокам трафи- трафика. Для плоских сетей, в которых отсутствует маршрутизация, данное утверждение оз- означает, что необходимо выбирать размещение корневого моста для всех сетей VLAN на двух устройствах в узле, где расположены серверы. Для иерархических сетей кор- корневой мост необходимо располагать вместе с маршрутизатором, который служит меж- межсетевым интерфейсом для сегментов сети (за более полной информацией обратитесь к главам 11, 15 и 17). Создавайте диаграммы первичной и резервной топологий сети. Большинство админист- администраторов сетей из своего опыта представляет себе значимость сетевых диаграмм. Однако, большинство таких диаграмм представляют логическую топологию только сетевого уровня. Кроме того, такое программное обеспечение, как HP OpenView, имеет тенден- тенденцию к представлению информации только сетевого уровня. К. сожалению, диаграммы сетевого уровня не несут никакой информации о канальном уровне — на них указаны всего лишь некоторые обрывочные данные. В программном обеспечении Cisco- Works2000 имеется отдельный модуль CiscoWorks for Switched Internetworks (CWSI — модуль для коммутируемых сетей CiscoWorks), с помощью которого можно просто и эффективно строить диаграммы протокола распределенного связующего дерева. Совет Большинство пользователей программного обеспечения CWSI/CiscoWorks2000 не по- подозревают о наличии инструмента построения диаграмм протокола распределенного связующего дерева. Для использования этой возможности необходимо, во-первых, запустить модуль VLAN Director. Далее нужно указать домен VTP (VTP domain) и вы- выбрать сеть VLAN в указанном домене. После проделанных операций узлы и соедине- соединения данной сети VLAN будут подсвечены на диаграмме. При этом появится меню се- сетей VLAN. Необходимо щелкнуть кнопкой мыши на флажках Spanning Tree и Blocked Ports, которые обозначены символом <Х>. Администраторы сетей прилагают столько же усилий для построения диаграмм ка- канального уровня, как и для сетевого уровня. При построении таких диаграмм необхо- необходимо не забывать указывать первичную и резервную активные логические топологии Глава 7. Расширенные возможности протокола... 333
связующего дерева. Кроме того, диаграмма должна отображать, какие порты находят- находятся в состоянии передачи трафика и блокировки для каждой сети VLAN. Такие диа- диаграммы могут оказать значительную помощь при восстановлении работоспособности сети в случае отказа. Естественно, что работа по составлению диаграмм требует много времени и внимания, но в один прекрасный день диаграмма намного облегчит жизнь сетевому администратору. Документируйте каждое изменение в сети. После реализации в сети механизма ба- балансирования нагрузки и некоторой стратегии восстановления работоспособности корневого моста необходимо оценить влияние возможных будущих дополнений и мо- модификаций сети на полученную топологию. Добавляя устройства и соединения, мож- можно несознательно разрушить первичную структуру сети. После каждого изменения в сети необходимо изменять ее диаграммы и документацию. Сказанное более всего ка- касается плоских сетей (за подробной информацией по данному вопросу обратитесь к разделу "Модель проектирования виртуальных локальных сетей территориального масштаба" главы 14, "Модели территориальных сетей"). Необходимо избегать перенастройки таймеров при использовании плоской модели се- сети. Изменения параметров таймеров в сети с небольшим диаметром структуры рас- распределенного связующего дерева и хорошо контролируемой топологией принесут больше вреда, чем пользы. Наиболее безопасно в таком случае использовать техно- технологии UplinkFast и BackboneFast. Изменение параметров таймера Max Age менее рискованно, чем изменение пара- параметров таймера Forward Delay. Неправильная настройка параметров интервала Max Age может привести к частому возникновению процессов выбора корневого мос- моста, корневых портов и назначенных портов. Такое изменение менее опасно, чем не- неправильное изменение параметров таймера Forward Delay. Поскольку таймер Forward Delay контролирует время, которое устройство ожидает перед переводом порта в со- состояние передачи трафика, очень маленькое значение приведет к формированию пе- петель перед тем, как сформируется устойчивая логическая топология. За более полной информацией по данному вопросу обратитесь к разделам "Настройка таймера Мах Age" и "Настройка таймера Forward Delay" текущей главы. Если параметры таймеров все же пришлось перенастроить, не забывайте о сущест- существовании макроса set spantree root. Данный макрос устанавливает параметры про- протокола распределенного связующего дерева в соответствии с рекомендованными стан- стандартом 802.ID формулами. За более подробной информацией о нем обратитесь к раз- разделу "Использование макроса set spantree root" главы 6, "Основы протокола распределенного связующего дерева". Настраивать параметры таймеров можно в сетях с использованием многоуровневой модели проектирования. Такой подход заключает топологию канального уровня в тре- треугольники канального уровня, следовательно, в сетях с многоуровневой структурой можно перенастраивать параметры таймеров. В наиболее общем случае рекомендуется использовать команду set spantree root с указанием значения диаметра сети в 2-3 транзитных перехода и значением hello-интервала в 2 с. За более подробной инфор- информацией по данному вопросу обратитесь к разделу "Настройка таймеров" главы 15, "Реализация конструкции территориальной сети". Выполняйте балансирование нагрузки с использованием метода размещения корне- корневого моста в сетях с многоуровневой коммутацией и многоуровневой моделью проекти- проектирования. В данной главе обсуждалась важность использования коммутации сетевого 334 Часть II. Механизм распределенного связующего дерева
уровня для ограничения размеров доменов связующего дерева. В главах И, 14, 15 и 17 обсуждаются различные подходы при реализации коммутации сетевого уровня и даются рекомендации по использованию указанной технологии с максимальной выгодой. В главе 14, "Модели территориальных сетей", рассмотрены наиболее ус- успешные модели проектирования территориальных сетей и так называемая много- многоуровневая модель проектирования. При реализации данной структуры совместно с технологиями корпорации Cisco MLS/NFFC многоуровневая модель позволяет раз- разбить домены связующего дерева на небольшие треугольники канального уровня. Такие треугольники имеют предсказуемые и полностью определенные потоки тра- трафика, следовательно, такой метод лучше всего подходит к реализации балансирова- балансирования нагрузки с помощью связующего дерева за счет размещения корневого моста. В наиболее общем случае сетевой топологии корневые мосты необходимо размещать рядом или совмещать с маршрутизатором, служащим межсетевым интерфейсом для данной сети VLAN. Метод изменения стоимостей маршрутов является наиболее гибким методом баланси- балансирования нагрузки с помощью протокола распределенного связующего дерева. В отличие от метода с использованием размещения корневого моста, который может быть поле- полезен в сетях с хорошо известными потоками трафика для каждой сети VLAN, баланси- балансирование нагрузки за счет изменения стоимостей маршрута является более предпочти- предпочтительным. В наиболее общем случае сетевого дизайна данный метод необходимо ис- использовать во всех ситуациях, кроме указанной в предыдущем абзаце. За более полной информацией по данному вопросу обратитесь к разделу "Балансирование на- нагрузки с помощью установки приоритетов портов" текущей главы. Для реализации механизма балансирования нагрузки с помощью протокола распределен- распределенного связующего дерева необходимо наличие нескольких сетей VLAN на коммутаторе узла IDF. Несмотря на то, что назначение единой сети VLAN на коммутаторы узла IDF дела- делает работу администратора значительно проще, такой подход устраняет все варианты реа- реализации балансирования нагрузки. Во многих случаях методы балансирования нагрузки, не относящиеся к распределенному связующему дереву, такие, как MHSRP и EtherChannel, могут работать в условиях единой сети VLAN на коммутаторах узлов IDF. Используйте различное управление сетями VLAN. Так же, как и пользовательские станции, коммутаторы Catalyst должны обрабатывать все широковещательные пакеты в сети VLAN, которой они назначены. В случае коммутаторов Catalyst канального уровня в указанной сети VLAN помещается интерфейс SCO. Если такая сеть VLAN содержит большое количество широковещательных фреймов, то процессор может быть перегружен и фреймы будут уничтожаться. Если будут уничтожаться фреймы с пользовательской информацией, то сеть некоторое время будет работать нормально, но если будут уничтожаться фреймы с информацией протокола распределенного свя- связующего дерева, сеть может быстро прийти в нестабильное состояние. Изоляция ло- логических интерфейсов SCO в отдельной сети VLAN предохранит их от получения пользовательских широковещательных фреймов и позволит процессору обрабатывать только трафик управления сетью. Во многих случаях стандартная сеть VLAN (сеть VLAN 1 для Ethernet) хорошо работает в качестве управляющей. Более подробно про- проектирование механизма управления виртуальными сетями VLAN обсуждается в гла- главе 15, "Реализация конструкции территориальной сети". В административной сети VLAN необходимо избавляться от петель канального уровня. Большинство сетей содержит множество резервных механизмов для управляющей се- Глава 7. Расширенные возможности протокола... 335
ти VLAN. Такой подход применяется для изоляции процессов восстановления работо- работоспособности от механизмов управления. К сожалению, этот факт также дестабилизи- дестабилизирует работу сети. В сетях с петлями в управляющей сети VLAN коммутатор может быть перегружен или сталкиваться с дефектами в работе связующего дерева. Если та- такой коммутатор создает петлю в управляющей сети VLAN, соседние коммутаторы по- получают большое количество широковещательных и многоадресатных фреймов. Такой поток трафика неизбежно загрузит соседние коммутаторы и они, в свою очередь, также могут создать петли в активной топологии. Несмотря на то, что загрузкой про- процессоров на всех мостах и коммутаторах будет поражена только сеть VLAN 1, через некоторое время вся коммутируемая сеть перестанет функционировать. Во избежание этих проблем для обеспечения надежности сети желательно вместо коммутации ка- канального уровня использовать маршрутизацию сетевого уровня. Более подробную ин- информацию по данному вопросу можно найти в главе 15, "Реализация конструкции территориальной сети". Используйте коммутацию третьего уровня для уменьшения размеров доменов связую- связующего дерева. Теперь, когда вы получили необходимые знания о связующем дереве, проектирование гибких и масштабируемых сетей со связующим деревом не станет для вас проблемой. Вывод: чрезмерно большие домены связующего дерева — это не самая лучшая идея. Маленькие домены обеспечивают наилучшее сочетание скорости вос- восстановления работоспособности и надежности сети. За более полной информацией обратитесь к главам 11, 14, 15 и 17. Старайтесь при проектировании доменов распределенного связующего дерева исполь- использовать треугольники MDF-IDF-MDF. Такой подход не только увеличит масштабируе- масштабируемость сети, но и снизит время восстановления работоспособности сети после возник- возникновения неисправности. Для уменьшения количества сообщений TCN BPDU в сети на портах, соединенных с конечными пользовательскими станциями, необходимо использовать технологию Port Fast. Использование технологии PortFast не только устранит проблемы, связанные с уст- устройствами, которые загружаются и пытаются получить доступ к сети очень быстро, но и уменьшит количество сообщений TCN BPDU в сети. За более подробной информа- информацией о технологии PortFast обратитесь к разделу "Технология PortFast". Для уменьшения времени, необходимого на восстановление работоспособности сети после отказа, используйте технологию UpIinkFast. Технология UplinkFast за счет опти- оптимизации работы связующего дерева позволяет снизить время, затрачиваемое на вос- восстановление работоспособности сети, до 2-3 секунд. За более подробной информаци- информацией о технологии UplinkFast обратитесь к разделу "Технология UplinkFast". Для балансирования нагрузки в области PVST+ все порты на коммутаторах MST должны находиться в состоянии передачи трафика. Технология PVST+ позволяет тра- традиционным коммутаторам PVST взаимодействовать с коммутаторами, которые рабо- работают с инкапсуляцией 802.1Q и используют единое распределенное связующее дерево (MST). Причем все процессы работы устройств не требуют вмешательства со стороны пользователя. Несмотря на это, реализация эффективного механизма балансирования нагрузки требует тщательного планирования. За более подробной информацией о тех- технологии PVST+ обратитесь к разделу "Технология PVST+". При работе с командами протокола STP во избежание внесения случайных изменений в стандартную сеть VLAN 1 всегда используйте явное указание параметра сети VLAN. Большинство команд set и show позволяют опустить параметр сети VLAN. Причем, 336 Часть II. Механизм распределенного связующего дерева
если параметр сети VLAN не указан, то изменения выполняются для стандартной се- сети VLAN 1. Во избежание случайных изменений настроек сети VLAN 1 необходимо всегда указывать сеть VLAN, для которой вносятся изменения. В версиях 2.2 и 2.3 программного обеспечения NMP реализации Fast EtherChannel не поддерживают протокол STP поверх соединений EtherChannel. Протокол распределен- распределенного связующего дерева так и будет считать соединение, как 2 или 4 различных порта, и может блокировать все, кроме одного (что делает использование технологии Ether- EtherChannel невозможным). Данная проблема была разрешена в версиях 3.1 и выше про- программного обеспечения NMP. Не нужно заблуждаться по поводу отсутствия указан- указанного выше улучшения в документации — использование протокола STP поверх техно- технологии EtherChannel является хорошей идеей. Используйте режим "desirable" технологии EtherChannel для обеспечения максималь- максимальной стабильности структуры распределенного связующего дерева. При использовании режима on (включено) весь канал придет в неисправность при нарушении хотя бы одного соединения протокола распределенного связующего дерева. За более подроб- подробной информацией о технологии EtherChannel обратитесь к главе 8, "Технологии и приложения магистральных соединений". Убедитесь, что процессор коммутатора не загружен вычислениями алгоритма распре- распределенного связующего дерева. Держите количество логических портов меньшими зна- значений, указанных в табл. 7.4. Таблица 7.4. Максимальное количество логических портов ?4 "'ч■"*" *'"" j Модуль Supervisor коммутатора Catalyst 500 Максимум логических портов Модуль Supervisor I 400 Модуль Supervisor II 1500 Модуль Supervisor III 3500 Для определения количества логических портов на устройстве необходимо исполь- использовать следующую формулу: количество логических портов = количество сетей VLAN на не ATM-магистралях + B х количество сетей VLAN на ATM-магистралях) + количество обычных портов. Другими словами, необходимо сложить полное количество сетей VLAN на каждый порт для всего устройства. Сети VLAN, работающие по технологии ATM (так назы- называемые ELAN-сети; более подробно они описаны в главе 9, "Магистральное соедине- соединение с эмуляцией локальной сети"), необходимо умножить на два. Например, представим себе коммутатор Catalyst 5000 узла MDF с 100 выходными портами Ethernet, каждый из которых несет 25 сетей VLAN. Представим также, что к коммутатору узла MDF через обычные 32 порта Ethernet подсоединены серверы. В та- таком случае полное количество логических портов будет: 2532 = A00 выходных портов х 25 сетей VLAN) + 32 обычных порта. Сложно представить себе устройство мощнее, чем коммутаторы Catalyst. Необхо- Необходимо учитывать, что такой коммутатор потребует для работы модуль Supervisor III. Если выходные порты работали по технологии ATM, полное количество логических портов составило бы 5032 — т.е. больше, чем коммутатор Catalyst 5000 с модулем Su- Supervisor III может обработать. Глава 7. Расширенные возможности протокола... 337
И, наконец, необходимо заметить, что в приведенных выше вычислениях значение hello-интервала принималось равным 2 с. Если значение времени уменьшить до 1 се- секунды (в целях уменьшения времени сходимости алгоритма), то величину, получен- полученную с помощью приведенной выше формулы, необходимо увеличить в два раза. Та- Таким образом, количество логических портов с использованием технологии ATM в рассматриваемом примере будет составлять в данном случае 10064 B х 5032)! Упражнения В данный раздел включены различные вопросы по теме настоящей главы. Ответив па них, читатель сможет оценить степень владения ихчоженным материалом. Кроме того, приведенные вопросы помогут подготовиться к письменным и лабораторным экзаменам на получение статуса сертифицированного эксперта по объединенным се- сетям Cisco (CCIE). Контрольные вопросы В данный раздел включены различные вопросы по теме настоящей главы. Ответив на них, читатель сможет оценить степень владения изложенным материалом. Кроме того, приведенные ниже вопросы помогут подготовиться к письменным и лаборатор- лабораторным экзаменам на получение статуса сертифицированного эксперта по объединенным сетям Cisco (CCIE). Ответы на вопросы приведены в приложении А, "Ответы на кон- контрольные вопросы". 1. Укажите на рис. 7.30 различные типы портов (RP — корневой порт, DP — на- назначенный порт, NDP— неназначенный порт) и соответствующие состояния протокола STP (F — передача трафика, В — блокирован) с учетом указанных идентификаторов BID. Предположим, все соединения работают по технологии Fast Ethernet. Далее предположим, что для всей сети назначена единая сеть VLAN, и команда portvlanpri не использовалась. Са,.А Ж&ЩШ -^_r---~ ifigj-jgr Cat-B Значение BID = Значение BID = 32,768.АА-АА-АА-АА-АА-АА 100.ВВ-ВВ-ВВ-ВВ-ВВ-ВВ Рис. 7.30. Встречно-параллельное включение коммутаторов 2. Когда коммутаторы генерируют конфигурационные сообщения BPDU? 3. В каком случае коммутаторы генерируют сообщения TCN BPDU? 4. Сколько доменов распределенного связующего дерева представлены на рис. 7.31? Предположим, что все коммутаторы используют выходные порты с инкапсуляцией ISL и связующее дерево технологии PVST. 5. В каком случае балансирование нагрузки методом размещения корневого моста будет наиболее эффективно? Какую команду (или команды) необходимо ис- использовать для реализации данного метода? 338 Часть II. Механизм распределенного связующего дерева
VLAN 101-103 C-4 C-2 VLAN 101-110 C-5 VLAN 101-102 C-6 VLAN 101 C-10 VLAN 101-115 Рис. 7.31. Множество доменов распределенного связующего дерева 6. Когда будет полезен метод изменения приоритетов портов связующего дерева для балансирования нагрузки? Какую команду (или команды) необходимо ис- использовать для реализации данного метода? Каковы недостатки этого метода? 7. Когда будет полезен метод изменения приоритетов мостов связующего дерева для балансирования нагрузки? Какую команду (или команды) необходимо ис- использовать для реализации данного метода? Каковы недостатки этого метода? 8. Когда будет полезен метод, использующий параметр portvlancost распреде- распределенного связующего дерева для балансирования нагрузки? Каков полный син- синтаксис команды? Каковы недостатки данного метода? 9. Какую технологию для балансирования нагрузки можно использовать вместо метода, задаваемого командой portvlanpri? 10. Какие компоненты используются при расчете стандартного значения времени таймера Max Age? (He нужно указывать всю формулу целиком, просто перечис- перечислите компоненты). 11. Какие компоненты используются при расчете стандартного значения времени таймера Forward Delay? (He нужно указывать всю формулу целиком, просто пе- перечислите компоненты). 12. Каковы главные соображения при уменьшении hello-интервала с 2 с до 1 с? 13. Когда необходимо использовать технологию PortFast? Что изменит указанная технология в алгоритме протокола STP? 14. Когда необходимо использовать технологию UplinkFast? Каких еще проблем помогает избежать использование данной технологии кроме изменения инфор- информации в локальной таблице для отображения нового корневого порта после вос- восстановления работоспособности сети? 15. Когда необходимо использовать технологию BackboneFast? 16. Когда полезно использовать технологию PVST+? Глава 7. Расширенные возможности протокола... 339
17. Могут ли области MST быть соединены с областями PVST? 18. Можно ли отключить протокол распределенного связующего дерева для отдель- отдельных портов? 19. Почему очень важно использовать отдельную сеть управления VLAN? 20. Что случится, если технология UplinkFast отправляет ложные многоадресатные фреймы по обычному многоадресатному адресу Cisco Ol-00-OC-CC-CC-CC? Лабораторные упражнения Постройте сеть с использованием протокола распределенного связующего дерева, которая проиллюстрирована на рис. 7.32. Здание 1 Рис. 7.32. Территориальная сеть для трех зданий На рис. 7.32 представлена территориальная сеть, которая размещена в трех здани- зданиях. Каждое здание содержит два коммутатора MDF (А и Б) и два коммутатора IDF (В и Г). Ожидается, что количество коммутаторов IDF в ближайшее время значительно увеличится. В узле размещения серверов установлен собственный коммутатор, кото- 340 Часть II. Механизм распределенного связующего дерева
рый соединен с устройствами Cat-1A и Cat-IB. Сеть содержит 20 сетей VLAN. Пред- Представим, что каждый сервер соединен с одной сетью VLAN (например, сервер SAP со- соединен с сетью VLAN финансового отдела). Далее предположим, что все соединения работают по технологии Fast Ethernet, за исключением кольца между коммутаторами узлов MDF, где в соединения используется технология Gigabit Ethernet. Необходимо определить следующие параметры: оценить таймеры, указать место- местоположение корневых мостов, методы балансирования нагрузки, оценить время вос- восстановления сети и определить потоки трафика. Внимание! В качестве модели для рассматриваемой сети может быть использована модель, опи- описанная в главах 14 и 15, для территориальных сетей. В общем случае, такую модель нельзя применять для больших сетей. Несмотря на это, именно такая модель может быть применена здесь, т.к. она позволяет всесторонне использовать протокол STP. За более полной информацией о построении территориальных сетей обратитесь к гла- главам 11, 14, 15и 17. Глава 7. Расширенные возможности протокола... 341
Часть ill Магистральные соединения Глава 8. Технологии и приложения магистральных соединений Глава 9. Магистральное соединение с эмуляцией локальной сети Глава 10. Многопротокольное магистральное соединение по сети ATM
В этой главе... . . ^ • Зачем нужны магистрали. Описаны преимущества магистралей, проведено срав- сравнение различных методов магистрального соединения для объединения комму- коммутаторов Catalyst, маршрутизаторов и серверов. • Ethernet-магистрали. Подробно описаны возможности магистралей Fast Ethernet и Gigabit Ethernet, рассмотрены технологии EtherChannel, межстанционный со- соединительный канал (ISL) и стандарт 802.1 Q инкапсуляции в магистралях. Рас- Рассмотрены автоматические методы установления соединения магистралей через протоколы DISL и DTP. - >.-. , : а* • FDDI-магиетрали и инкапсуляция 802.10. Рассмотрены технологии магистраль- магистрального соединения по каналам FDDI в Cisco-среде и связанной с ней технологии инкапсуляции 802.10. • ( ATM-магистрали. Рассмотрены технологии LANE и МРОА для магистрального ■ ?' соединения через канал ATM. В последующих главах детально рассмотрены как '■■ технология LANE, так и МРОА. > • Различные варианты магистральных соединений. Приведено руководство по вы- ; бору подходящей технологии магистралей, проведено сравнение преимуществ и - недостатков каждой из технологий. '■■:;
Глава St. Щ 8 Технологии и приложения магистральных соединений За исключением самых простых конфигураций, сеть содержит разнообразные коммутаторы Catalyst. Несмотря на то, что каждое устройство Catalyst может работать автономно, обычно их соединяют между собой с помощью технологий ATM, FDDI или Ethernet. Администраторы зачастую сталкиваются с проблемой выбора наилуч- наилучшего метода для соединения географически распределенных элементов виртуальной локальной сети VLAN. Не менее часто возникают вопросы, связанные с возможно- , стями технологии, ресурсами, пропускной способностью и надежностью. В текущей главе рассмотрены преимущества магистралей, обсуждаются различные технологии, которые могут быть использованы для магистралей коммутаторов Catalyst. В частности, в следующих разделах описаны магистрали для соединений Fast и Giga- Gigabit Ethernet, FDDI и ATM, а также объясняется, что такое межстанционный соедини- соединительный канал (ISL), инкапсуляция 802.1Q, динамический канал ISL (DISL), динами- динамический протокол магистрали (DTP), технология Token Ring ISL (TRISL), инкапсуля- инкапсуляция 802.10, эмуляция локальной сети (LANE) и многопротокольная передача данных по сетям ATM (MPOA). В конце главы даются указания по выбору наиболее подхо- подходящего метода соединения устройств. Зачем нужны магистрали Когда все коммутаторы Catalyst в сети поддерживают одну сеть VLAN, для их взаимодействия можно установить соединение, обеспечивающее транспортировку трафика внутри такой сети VLAN. Один из способов объединения коммутаторов Catalyst — использовать соединения, назначаемые каждой отдельной сети VLAN. На- Например, сеть на рис. 8.1 соединяет вместе несколько коммутаторов. В их конфигура- конфигурацию входит только одна сеть VLAN — все порты принадлежат одной и той же вирту- виртуальной сети. Устройства А и В объединены между собой двумя прямыми соединения- соединениями для устойчивости структуры. Если разрывается одно соединение, механизм распределенного связующего дерева (Spanning Tree) подключает второе соединение. Когда соединение назначается одной сети VLAN, оно называется обычным соедине- соединением (часто такой порт называют также access-порт, в том смысле, что он использует- используется для доступа к локальной сети, а не для магистрального соединения). Обычные со- соединения никогда не могут переносить трафик более, чем с одной сети VLAN. С их помощью можно создать полностью коммутируемую сеть. Но при добавлении других
сетей VLAN и их распространении на другие коммутаторы выделенные соединения будут использовать дополнительные порты в сети. Cat-A Cat-B Одна сеть VLAN для всех коммутаторов Рис. 8.1. Проектирование единой сети VLAN на коммутаторах Catalyst На рис. 8.1 показано, как различные соединения объединяют коммутаторы Catalyst, при этом каждое из них принадлежит только одной сети VLAN. Такая ситуа- ситуация возможна потому, что в сети существует только одна сеть VLAN. А если их будет больше одной? При объединении нескольких сетей VLAN необходимо организовать соединения для каждой из них. Сеть на рис. 8.2 объединяет шесть коммутаторов и разделена на три подсети VLAN. Обратите внимание на то, что коммутатор Cat-B включает в себя элементы всех трех сетей VLAN, тогда как его соседи — только двух. Даже если соседние коммутаторы не содержат элементы всех сетей VLAN, им необхо- необходимы соединения со всеми остальными сетями VLAN для поддержания связи с ком- коммутатором Cat-B. Без наличия обычных соединений сети VLAN 3 станции в ней, при- присоединенные непосредственно к устройству Cat-B, изолированы от остальных уст- устройств этой же подсети на других устройствах Catalyst. Cat-B 1,2,3 VLAN 1,2 VLAN 1,3 Рис. 8.2. Сеть со многими VLAN без магистралей 346 Часть III. Магистральные соединения
Когда разрабатывается сеть с обычными соединениями, каждому из них назначают пропускную способность отдельной сети VLAN. Такое соединение может быть стан- стандартным — 10 Мбит/с, Fast Ethernet или даже Gigabit Ethernet. Скорость передачи со- соединения можно выбрать согласно требованиям определенной сети VLAN. Более того, соединения для разных сетей VLAN могут отличаться. Можно установить соединения по 10 Мбит/с для сети VLAN 1 и 100 Мбит/с для сети VLAN 2. К сожалению, обычные соединения не слишком хорошо масштабируются при уве- увеличении количества сетей VLAN или же количества коммутаторов в сети. Предполо- Предположим, что сеть на рис. 8.2 использует 34 интерфейса и 17 соединений для объединения сетей VLAN. А если представить сеть с 20 коммутаторами и множеством подсетей VLAN? Тогда не только увеличится стоимость системы, но и администрирование та- такой расширенной системы станет невозможным. В качестве альтернативы используется магистральное соединение между коммутато- коммутаторами Catalyst. Магистрали позволяют распределять соединения сетей VLAN без ис- использования такого множества интерфейсов и кабелей, как при организации обыч- обычного соединения. Такой подход позволяет уменьшить стоимость сети и решить мно- многие проблемы, связанные с ее администрированием. Магистраль уплотняет трафик, идущий от многих сетей VLAN в одном физическом канале. На рис. 8.3 показана та же сеть, что и на рис. 8.2, но с использованием магистрали. Рис. 8.3. Сеть рис 8.2 с магистраль- магистральными соединениями. В такой конфигурации сети используются только 12 портов и 6 соединений. Не- Несмотря на то, что сети VLAN разделяют пропускную способность соединения, основ- основные ресурсы в сети сохраняются посредством уплотнения соединений. Большая часть затронутых в данной главе вопросов касается соединений между коммутаторами. Что- Чтобы продемонстрировать некоторые аспекты практического применения магистралей, в следующем разделе описываются причины, по которым маршрутизаторы и файловые сервера подсоединяются к коммутаторам с помощью магистралей. Глава 8. Технологии и приложения магистральных соединений 347
Магистрали, серверы и маршрутизаторы Ограничения на использования магистралей для соединения коммутаторов Catalyst не накладываются. Для поддержания нескольких сетей VLAN без использования до- дополнительных портов маршрутизаторы и файловые сервера можно с помощью маги- магистрали подсоединять к коммутаторам (см. рис. 8.4). Рис. 8.4. Соединение маршрутизаторов и файловых серверов в сети со многими VLAN На рис. 8.4 рабочие станции принадлежат сетям VLAN 2, 3 и 4. Поскольку данные станции присоеди- присоединены к различным широковещательным доменам, они могут соединяться друг с другом только через маршру- маршрутизатор. Магистрали подсоединяют файловый сервер и маршрутизатор к коммутируемой сети. Маршрутиза- Маршрутизатор, подключенный к магистральному соединению, позволяет создать связь внутри сети VLAN. Без ис- использования магистралей множество интерфейсов маршрутизатора необходимо было бы подсоединить к различным портам коммутатора, как показано на рис. 8.5. Трудность, которая все-таки возникает, за- заключается в большом количестве сетей VLAN, кото- которые поддерживает данная конфигурация. Если соеди- соединение происходит через высокоскоростные интерфей- интерфейсы, такие, как Fast Ethernet, то необходимо установить только пару интерфейсов. Если же используются ин- интерфейсы на 10 Мбит/с, то возможно, для поддержа- поддержания сетей VLAN имеющейся пропускной способности будет недостаточно. Рис. 8.5. Неэффективный метод подключения маршрутизато- маршрутизаторов и серверов к нескольким сетям VLAN 348 Часть III. Магистральные соединения
Кроме того, можно подсоединить файловый сервер более чем к одной сети VLAN через несколько плат интерфейсов. Объединение коммутаторов с помощью выделен- выделенных соединений плохо масштабируется и стоит значительно дороже, чем магистраль- магистральное соединение. Поэтому соединение устройств через магистраль, показанное на рис. 8.4, более приемлемо. Когда маршрутизатор или файловый сервер подключают к коммутатору через ма- магистральный порт, необходимо разработать механизм идентификации данных из каж- каждой сети VLAN. Следовательно, маршрутизатор должен поддерживать технологию мультиплексирования, которая используется для соединений. В Cisco-среде как ос- основной метод мультиплексирования используется инкапсуляция ISL или 802.1Q в технологии Ethernet, 802.10 по FDDI, а так же инкапсуляция LANE/MPOA в техно- технологии ATM. В средах, которые предоставлены другими производителями, магистрали обычно используют стандарты 802.1Q или LANE/MPOA. Внимание! Некоторые производители, такие, как Intel, и другие, выпускают сетевые адаптеры для рабочих станций, которые поддерживают ISL-технологию, что позволяет использовать соответствующие им протоколы магистралей Cisco. Если при подсоединении файло- файлового сервера к коммутатору Catalyst преимущество отдается магистральному соеди- соединению перед множественными обычными соединениями, использование таких сете- сетевых плат чрезвычайно выгодно. Ethernet-магистрали Большинство реализаций магистралей использует технологию Ethernet. В зависи- зависимости от той пропускной способности, которая необходима, при конструировании Ethernet-магистралей используют технологии Fast Ethernet или Gigabit Ethernet. Меха- Механизм EtherChannel, который более подробно описан ниже, объединяет несколько со- соединений Fast Ethernet или Gigabit Ethernet, тем самым создавая дополнительный прирост пропускной способности магистрали. Объединенные соединения ведут себя как один интерфейс, загружают распределенные по каждому сегменту фреймы в канал EtherChannel и обеспечивают надежность соединения. При простом соединении ком- коммутаторов Catalyst с помощью обычной сети Ethernet магистраль не создается. Обыч- Обычное соединение создается по умолчанию, когда устанавливается Ethernet-взаимосвязь. Когда порт принадлежит одной сети VLAN, соединение не является магистралью в том смысле, что оно никогда не переносит трафик более чем одной сети VLAN. Для создания магистрали необходимо просто установить соединение и разре- разрешить в нем магистральные процессы. Для использования магистралей в технологии Ethernet между коммутаторами Catalyst корпорация Cisco разработала протокол мультиплексирования трафика в сетях VLAN. По такой схеме мультиплексирования данные пользователя инкапсулируются в дополнительные заголовки, и для каждого фрейма определяется адрес виртуальной сети-отправителя. Протокол, который на- называется межстанционным соединительным каналом (Inter Switch Link — ISL), по- позволяет нескольким сетям VLAN совместно использовать виртуальное соединение таким образом, что коммутатор Catalyst, который получает пакет, знает, в какую сеть VLAN его направить. Глава 8. Технологии и приложения магистральных соединений 349
Совет Магистрали позволяют более просто масштабировать сеть, нежели обычные соеди- соединения. Администратору необходимо осознавать, что широковещательные петли вто- второго уровня1 (которые обычно устраняются механизмами алгоритма распределенного связующего дерева) сетей VLAN, которые переносятся в магистралях, делают невоз- невозможной работу всех сетей VLAN в магистрали. Поэтому при использовании магистра- магистралей убедитесь, что протокол связующего дерева сконфигурирован для всех сетей VLAN. В разделе ниже описана технология EtherChannel и механизм ISL. Сначала рас- рассмотрены основные аспекты физического уровня EtherChannel, затем следует обсуж- обсуждение ISL-инкапсуляции. Технология EtherChannel Технология EtherChannel позволяет создать магистраль со скоростью в диапазоне от Fast Ethernet до Gigabit Ethernet и выше. Без ее использования возможности соеди- соединения ограничены определенными коэффициентами передачи канала интерфейса. Если требуется большая скорость передачи, чем предлагает порт Fast Ethernet, необ- необходимо добавить модуль Gigabit Ethernet. В таком случае канал сразу переключится на высокоскоростную технологию, поскольку промежуточные коэффициенты передачи отсутствуют. Можно также создать несколько параллельных магистральных соедине- соединений, но механизм распределенного связующего дерева обычно интерпретирует их как петли и отключает все, кроме одной (для устранения избыточных соединений). Мож- Можно настроить данный механизм так, чтобы оставить открытыми соединения только для некоторых сетей VLAN, но для этого требуются значительные изменения в кон- конфигурации. С другой стороны, технология EtherChannel позволяет получить большие скорости соединения без необходимости использования дополнительных дорогостоящих техно- технологий. Эффективно объединяя соединения Fast Ethernet или Gigabit Ethernet, данная технология позволяет регулировать скорость передачи данных. При этом коммутатор Catalyst и маршрутизатор используют несколько объединенных портов как один мно- многоинтерфейсный порт. Функционирование механизма связующего дерева упрощается, и обеспечивается дополнительная надежность. Надежность технологии EtherChannel подробнее обсуждается в последующих главах. Кроме того, если необходимо получить скорость больше 1 Гбит/с, можно организовать канал Gigabit EtherChannel, просто объединив порты Gigabit Ethernet по технологии EtherChannel. Серия коммутаторов Catalyst 6000 позволяет создавать объединения со скоростью передачи до 8 Гбит/с (или 16 Гбит/с дуплексной передачи). Не принимая во внимание многие возможности механизма связующего дерева, которые были описаны выше, технология EtherChannel просто обрабатывает группу соединений как один порт и при этом алгоритм не обра- образует петель. Конфигурационные требования значительно уменьшаются, что упрощает работу сетевого администратора. Технология EtherChannel работает как обычное соединение или как магистраль. В том и другом случае соединение EtherChannel предлагает большую пропускную спо- способность, чем любой отдельно взятый его сегмент. Технология EtherChannel объеди- Модели OS1; канального. — Прим. ред. 350 Часть III. Магистральные соединения
няет несколько сегментов Fast или Gigabit Ethernet, при этом средняя пропускная способность нового соединения больше, чем в любом отдельно взятом соединении. Она также обеспечивает повышенную надежность соединения. Технология Ether- Channel может быть использована для объединения сегментов в группы по двое, чет- четверо и восемь. Два соединения дают удвоенную общую пропускную способность од- одного соединения, объединение из четырех — четырехкратную. Например, группа из двух Fast Ethernet-интерфейсов позволяет получить соединение со скоростью 400 Мбит/с (в дуплексном режиме). С помощью данной технологии можно регулиро- регулировать коэффициент передачи в диапазоне от Fast до Gigabit Ethernet. Скорость переда- передачи объединенных интерфейсов Gigabit Ethernet превосходит скорость передачи одного такого интерфейса. Объединение четырех интерфейсов Gigabit Ethernet дает пропуск- пропускную способность до 8 Гбит/с. Следует заметить, что действительный коэффициент передачи для каждого сегмента не возрастает и соответствует его собственной скоро- скорости, поскольку при объединении сегментов тактовая частота не изменяется. Два порта Fast Ethernet составляют канал EtherChannel на 400 Мбит/с, но каждый из них рабо- работает на 100 Мбит/с (в каждом из направлений). Объединением двух портов невоз- невозможно получить одно соединение на 200 Мбит/с. Данный аспект технологии Ether- EtherChannel часто понимают неправильно. Канал EtherChannel функционирует как обычное соединение или как магистраль- магистральное; вне зависимости от того, в каком режиме сконфигурировано соединение, его ос- основные функции остаются теми же. С точки зрения алгоритма распределенного свя- связующего дерева канал EtherChannel скорее трактуется как один порт, чем как не- несколько портов. Когда алгоритм связующего дерева переводит линию EtherChannel в состояние передачи или в блокированное, все его сегменты переводятся в одно и то же состояние. Объединение портов Объединяя порты по технологии EtherChannel с помощью устаревших, но совмес- совместимых с ней модулей капала, необходимо придерживаться правил, которые перечис- перечислены ниже. • Можно объединять два или четыре порта. • Для объединения можно использовать только соседние порты. • Все порты должны принадлежать одной и той же сети VLAN. Если порты ис- используются для магистралей, все они должны быть магистрального типа. • Если порты установлены для соединения в магистраль, необходимо убедиться, что все они находятся в одной и той же сети VLAN. • Следует удостовериться, что на всех портах с обоих концов линии установлена одинаковая скорость и дуплексные настройки. • Нельзя объединять порты произвольным образом. Более детальное объяснение приведено в следующем ниже описании. Перечисленные нами правила обычно применимы практически ко всем моду- модулям, которые совместимы с технологией EtherChannel, но для некоторых более но- новых коммутирующих модулей Catalyst существуют исключения. Например, для коммутатора Catalyst 6000 линейные платы не позволяют использовать четное коли- количество соединений. На них можно создавать связи, например, с тремя соединения- соединениями. Порты не обязательно должны быть соседними или даже находиться па одной Глава 8. Технологии и приложения магистральных соединений 351
линейной плате, что характерно для других коммутаторов Catalyst и линейных мо- модулей. Такие исключения из правил для коммутатора Catalyst 6000 были введены после появления новых наборов микросхем логики для линейных модулей. По- Поскольку не для каждого типа аппаратного обеспечения используются новые схемо- схемотехнические решения, необходимо перед созданием соединения проверить детали аппаратной реализации устройства. Устаревшие модули, совместимые с технологией EtherChannel, включают в себя специализированную микросхему — контроллер группы портов Ethernet (Ethernet Bundling Controller — ЕВС). В его обязанности входит управление сгруппированными по технологии EtherChannel портами. Например, контроллер ЕВС используется для распределения трафика по каждому сегменту в объединенном соединении. Сам меха- механизм распределения описан ниже в текущем параграфе. При выборе портов, которые предполагается сгруппировать по технологии EtherChannel, необходимо выбрать те, которые принадлежат одному контроллеру ЕВС. В 24-х портовом модуле, совместимом с технологией EtherChannel, существуют три группы по 8 портов, в 12-ти портовом модуле — три группы по 4 порта. Напри- Например, в 12-ти портовом модуле можно создать до двух сдвоенных сегментов EtherChannel2 в каждой группе, как показано в примере А табл. 8.2. В примере Б по- показан один сдвоенный сегмент в каждой группе. Сегменты EtherChannel, состоящие из двух и четырех портов, представлены в примере В. f Таблица 8.1. Группировка интерфейсов по технологии EtherChannel в 24- и 12-портовом модуле 1 1 1 2 1 1 3 1 1 4 1 : 1 Ь 1 2 6 1 2 / 1 2 8 |ю 13 Ii4 MmLmm Г 15 16 Ii7 НИ3 41 18 3 19 3 20 3 21 3- 22 3j 23 3 24 3 Таблица 8.2. Правильные и неправильные варианты объединения интерфейсов в 12-портовом модуле по технологии EtherChannel (для коммутатора Catalyst 5000) Порт Пример А Пример Б Пример В Пример Г Пример Д Пример Е Пример Ж Верно Верно Верно Нееернсн Неверно Неверно Неверно 1 1 1 1 1 1 2 1 1 1 ! • 1 1 3 2 \ I 2 1 1 4 2 1 1 2 !8 I9 МЯВ3 Ш 10 5* 3 11 6 12 6 2 Объединение нескольких портов по технологии EtherChannel называется сегментом EtherChannel. — Прим. перев. 352 Часть III. Магистральные соединения
Следует избегать некоторых конфигураций технологии EtherChannel для ранних версий коммутаторов Catalyst 5000. В примере Г табл. 8.2 показан неправильный двойной сегмент EtherChannel, который использует третий и четвертый порт группы. Объединение портов в сегменты с помощью контроллера ЕСВ должно начинаться с первых портов группы. Использование именно первой группы не обязательно. На- Например, при создании правильного двойного сегмента можно использовать порты 5 и 6, при этом технология EtherChannel в первой группе не используется. В примере Д приведена другая неверная конфигурация. Здесь формируются два сегмента EtherChannel из двух и четырех портов. Двойной сегмент EtherChannel — верный. Сегмент, состоящий из четырех портов, нарушает правило принадлежности всех портов одной группе. Он использует два порта из первой группы и два из второй. В примере Е при создании сегмента EtherChannel используются несмежные пор- порты. Такая конфигурация неправильна, поскольку для формирования сегмента необхо- необходимо использовать соседние порты. Наконец, в примере Ж также показана неверная конфигурация. В данном случае для создания сегмента используются средние порты модуля. Для правильного объеди- объединения по технологии EtherChannel необходимо использовать первые порты линейного модуля. Все примеры в табл. 8.2. также применимы к 24-портовому модулю. Единственное отличие между 12- и 24-портовым модулем заключается в количестве сегментов EtherChannel, которые можно создать в группе. В 12-портовом модуле можно созда- создавать до двух сегментов в группе, тогда как в 24-портовом модуле — до четырех. Одной из наиболее важных причин необходимости создания групп портов с по- помощью контроллера ЕВС является выполнение им функции распределения нагрузки. Контроллер ЕВС распределяет фреймы по сегменту EtherChannel, основываясь на МАС-адресе отправителя и получателя фрейма. Данная функция выполняется с по- помощью операции Exclusive OR (X-OR — исключающее ИЛИ). Операция X-OR отли- отличается от стандартной OR (ИЛИ), в которой результатом будет 1, если хотя бы один из двух битов имеет значение 1. Результатом операции X-OR является 1, если один и только один бит установлен в 1, в противном случае результат равен 0. Применение оператора X-OR к двум битам показано в табл. 8.3. [Таблица 8.3. Таблица истинности оператора X-OR V; *; I Бит-1 Бит-2 Результат "о о о 0 1 1 1 0 1 1 1 О Контроллер ЕВС использует математическую операцию X-OR для определения сегмента, по которому будет передан фрейм. Если группа EtherChannel является двух- сегментным объединением, для определения необходимого соединения контроллер ЕВС применяет операцию X-OR к последним битам МАС-адреса отправителя и полу- получаете. Если результатом операции является 0 — используется сегмент 1. Если 1 — сегмент 2. В табл. 8.4 показан выбор необходимого соединения в случае использова- использования двухсегментиой группы. Глава 8. Технологии и приложения магистральных соединений 353
! Таблица 8.4. Выбор соединения в двухсегментнои группе МАС-адрес Двоичное представление послед- Сегмент, который используется него октета Пример 1 МАС-адрес 1 хххххххО МАС-адрес 2 хххххххО X-OR хххххххО 1 Пример 2 МАС-адрес 1 хххххххО МАС-адрес 2 ххххш1 X-OR XXXXXXX1 2 Пример 3 МАС-адрес 1 xxxxxxxi МАС-адрес 2 xxxxxxxi X-OR хххххххО 1 В средней колонке таблицы приведено двоичное представление последнего октета МАС-адреса. Знак х указывает на то, что данный бит может принимать любое значе- значение. Для двухсегментнои группы важны только последние биты. Следует заметить, что в первой колонке приводится только значение первого или второго адресов, но не указывается, какой из адресов является отправителем, а какой — получателем. Резуль- Результат операции X-OR будет одним и тем же вне зависимости от того, какой адрес запи- записан первым. Во втором примере таблицы приведены две ситуации: одна, в которой адреса отправителя и получателя заканчиваются на 0 и 1 соответственно, а другая — противоположная. Фреймы передаются по одному и тому же соединению между уст- устройствами в обоих направлениях. Для 4-сегментной группы операция X-OR применяется к последним двум битам МАС-адреса отправителя и получателя фрейма. Оператор X-OR, применяемый к двум последним битам, может выдавать четыре возможных результата. Как и в примере с двухсегментным соединением, результат операции X-OR определяет сегмент, в кото- который перемещается фрейм. В табл. 8.5 показаны результаты операции X-OR для 4- сегментной группы EtherChannel. Внимание! В новых моделях коммутаторов Catalyst, таких, как серия 6000, есть возможность вы- выполнять распределение нагрузки только по адресу отправителя, адресу получателя или на основе обоих адресов. Более того, в таких коммутаторах можно использовать IP- или МАС-адрес для операции X-OR. В некоторых других моделях, таких, как серия 2900 XL, в операции X-OR принимает участие только адрес отправителя или получателя, но не адресная пара (адрес отпра- отправителя и получателя). 354 Часть III. Магистральные соединения
Таблица 8.5. Выбор соединения в четырехсегментной группе . , МАС-адрес Двоичное представление по- Сегмент, который используется следнего октета Пример 1 МАС-адрес 1 ххххххОО МАС-адрес 2 ххххххОО X-OR ххххххОО 1 Пример 2 МАС-адрес 1 ххххххОО МАС-адрес 2 ххххххО1 X-OR ххххххО1 2 Пример 3 МАС-адрес 1 ххххххОО МАС-адрес 2 ххххххЮ X-OR ххххххЮ 3 Пример 4 МАС-адрес 1 ххххххО1 МАС-адрес 2 ххххххЮ X-OR ххххххП 4 Пример 5 МАС-адрес 1 ххххххП МАС-адрес 2 ххххххП X-OR ххххххОО 1 Поскольку результатом операции X-OR в первом и пятом примерах таблицы явля- является 0, коммутатор Catalyst будет использовать сегмент 1 в обоих случаях. На основе рассчитанного конечного результата операции X-OR пара адресов ис- использует для передачи фрейма одно и то же соединение группы. Что же предотвра- предотвращает переполнение трафиком одного сегмента? Статистика. Статистически МАС- адреса в сети назначаются в должной степени случайным образом. Дисбаланса за- загрузки трафиком определенного соединения не будет, поскольку одни и те же МАС-адреса отправителя и получателя присутствуют в каждом передаваемом между двумя выбранными узлами фрейме, для передачи фреймов между ними использует- используется один и тот же EtherChannel-сегмент. Возможна также ситуация, когда пара стан- станций создает большие объемы трафика, что приведет к дисбалансу загрузки портов в группе вследствие исполнения какого-либо приложения. Процесс X-OR не испра- исправит такую ситуацию, потому что он не зависит от приложения и работает только на канальном уровне. Глава 8. Технологии и приложения магистральных соединений 355
Совет При соединении модулей коммутации маршрутов (Route Switch Module — RSM) коммутаторов Catalyst посредством описываемой технологии соединение EtherChannel может не обеспечивать распределения нагрузки. Причина в том, что МАС-адреса модулей RSM остаются одними и теми же для каждой сессии переда- передачи. В результате оператор X-OR будет использовать один и тот же сегмент группы для каждого фрейма. С помощью команды mac-address пользователь может на- назначить МАС-адрес для каждой сети VLAN, который в дальнейшем будет использо- использовать в модуле RSM для передачи данных от разных подсетей. В итоге коммутатор будет выполнять операцию X-OR на основании адреса сети VLAN и сможет выпол- выполнять балансировку нагрузки. Конфигурация соединения EtherChannel и PAgP Чтобы облегчить процесс конфигурирования соединения EtherChannel, корпора- корпорацией Cisco был разработан протокол агрегирования портов (Port Aggregation Protocol — PAgP). Он помогает автоматически формировать соединение по техноло- технологии EtherChannel между двумя коммутаторами Catalyst. Протокол PAgP коммутатора может быть сконфигурирован в одном из четырех состояний: on, off, auto, desirable. При конфигурации соединения EtherChannel необходимо указать, какое из состояний PAgP коммутатор Catalyst должен включить. В примере 8.1 приведен синтаксис комавд для создания соединения EtherChannel и указания режима PAgP. i Пример &Ъ Синтаксис-команды для соединения EtherChannel " * rtl? Console> (enable) set port channel ? Usage: set port channel port_list {on | off | auto | desirable} (example of port_list: 2/1-4 or 2/1-2 or 2/5, 2/6) Команда set port channel позволяет создать соединение EtherChannel, но не магистраль. С помощью только данной команды конфигурации отдельная сеть VLAN использует для передачи данных соединение EtherChannel. Для того, чтобы создать магистраль (и передавать трафик нескольких сетей), необходимо также ввести коман- команду set trunk, которая описана в следующих параграфах. Параметры on и off указывают на то, что коммутатор Catalyst всегда (или нико- никогда) объединяет порты в соединение EtherChannel. При использовании параметра desirable коммутатор Catalyst разрешает создавать соединение по технологии EtherChannel до тех пор, пока другой конец будет его поддерживать и пока конфигу- конфигурация устройства соответствует правилам группировки портов в соединение EtherChannel. Например, все порты в группе должны принадлежать одной сети VLAN или они должны быть сконфигурированы в качестве магистральных. Все порты также должны использовать один и тот же дуплексный режим; если какой-либо из парамет- параметров не совпадает, соединение EtherChannel не будет создано средствами протокола PAgP. Параметр auto позволяет коммутатору Catalyst создавать соединение EtherChannel только тогда, когда на другом конце установлен режим on или desirable. В противном случае, коммутатор Catalyst изолирует сегменты группы в отдельные соединения. 356 Часть III. Магистральные соединения
На рис. 8.6 показаны два коммутатора Catalyst, соединенные двумя сегментами Fast Ethernet. Предположим, что требуется создать соединение EtherChannel, которое объединит эти два сегмента. Cat-A _ .„„ Cat-B Рис. 8.6. Коммутаторы Catalyst 5000 и Catalyst 5500, соединенные по технологии EtherChannel В примерах 8.2 и 8.3 приведена наиболее простая конфигурация для коммутаторов Cat-A и Cat-B в рассматриваемой топологии сети. Пример 8.2. Двухпортовая конфигурация соединения EtherChannel для Цг"- ,vvti? ■''.; коммутатораСа!яА*« Cat-A> (enable) set port channel 2/1-2 on Port(s) 2/1-2 channel mode set to on. Пример 8.3. Двухпортовая конфигурация соединения EtherChannel для ' :MjLl IL.^"*7*!?^ Cat-B> (enable) set port channel 10/1-2 on Port(s) 10/1-2 channel mode set to on. Совет Следует заметить, что при использовании протокола РАдР при соединении, для кото- которого активизирован алгоритм распределенного связующего дерева, для конвергенции алгоритма потребуется приблизительно на 18 секунд больше. Протоколу РАдР необ- необходимо около 18 секунд, чтобы согласовать параметры соединения. Механизм рас- распределенного связующего дерева начинает функционировать после того, как будет установлено соединение и согласованы его параметры. Совет При изменении атрибутов в одном из сегментов EtherChannel необходимо внести та- такие же правки во все остальные сегменты, чтобы параметры вступили в силу. Все пор- порты должны быть одинаково сконфигурированы. Каналы EtherChannel и маршрутизаторы Для создания соединений EtherChannel в маршрутизаторе Cisco сначала необходи- необходимо указать виртуальный канал и сопоставить ему конкретные интерфейсы. В маршру- маршрутизаторах можно создавать до четырех соединений EtherChannel, которые интерпрети- интерпретируются как отдельные интерфейсы; в примере 8.4 приведена соответствующая кон- конфигурация маршрутизатора Cisco 7200. Логические адреса назначаются всей группе, а не отдельным сегментам в соединении EtherChannel. Для маршрутизатора соединение EtherChannel является одним интерфейсом. Глава 8. Технологии и приложения магистральных соединений 357
Пример 8.4. Конфигурация соединения EtherChannel для маршрутизатора i серии 7200 %У' \ ]■ '-■]'"'.'"" '%V\::!§ml:\::^.' :■■[ ?:'-'-' '.■'.':':;:^:—\ Routert config terminal ! This creates the virtual channel Router(config)! interface port-channel 1 ! Assign attributes to the channel just like to a real interface. Router(config-if)i ip address 10.0.0.1 255.0.0.0 Router(config-if)i ip route-cache distributed Router(config-if)i exit ! Configure the physical interfaces that comprise the channel Router(config)t interface fasteth 0/0 Router(config-if)# no ip address ! This statement assigns fasteth 0/0 to the EtherChannel Router(config-if)f channel-group 1 %LINEPROTO-5-UPDOWN: Line protocol on Interface Port-Channell, changed to UP Router(config-if)t exit ! You must have at least two interfaces to form an EtherChannel Router(config-if)# interface fasteth 0/1 Router(config-if)f no ip address Router(config-if)# channel-group 1 FastEthernet 0/1 added as member-2 to fechannell В коммутаторах Catalyst соединение EtherChannel формируется с помощью аппа- аппаратных средств, в большинстве маршрутизаторов — программно. В отличие от комму- коммутаторов Catalyst, интерфейсы маршрутизатора не обязательно должны быть соседни- соседними, но администрирование смежных портов является более простой задачей. Распределение нагрузки в маршрутизаторах происходит иначе, чем в коммутаторах Catalyst. Функция распределения фреймов выполняется маршрутизатором с помощью операции X-OR, которая применяется скорее к последним двум битам IP-адреса от- отправителя и получателя, чем к МАС-адресу. Теоретически при использовании такого подхода возможно поддерживать балансировку нагрузки, но поскольку IP-адреса на- назначаются локально (т.е. администратор сам назначает их), можно непреднамеренно назначить станциям адреса, которые совпадут с соединениями канала EtherChannel. Если требуется создать соединение EtherChannel в маршрутизаторе, необходимо убе- убедиться, что политика назначения адресов не препятствует процессу распределения загрузки. При использовании протоколов, отличных от IP, следует помнить, что весь не-1Р-трафик использует одно соединение. Распределение нагрузки может быть при- применимо только к 1Р-трафику. Коммутатор третьего уровня, такой, как коммутирующий маршрутизатор Catalyst 8500, может выполнять распределение нагрузки, основываясь на IP- и IPX- адресах. Протокол IPX включает в себя MAC-адрес как часть логического адреса, по- поэтому распределение нагрузки происходит точно так же, как в любом коммутаторе Catalyst, на основе МАС-адреса. Как уже было сказано выше, подобный подход обес- обеспечивает довольно высокий уровень распределения нагрузки случайным образом, но не гарантирует балансировку нагрузки. Особенно большую загрузку соединения может создать пара рабочая станция-сервер. Все фреймы такой пары устройств всегда пере- пересекают одно и то же соединение канала EtherChannel, даже если другое в данный мо- 358 Часть III. Магистральные соединения
мент свободно. Распределение нагрузки в данном случае не учитывает параметры ис- использования пропускной способности канала. Надежность канала EtherChannel Что же случается, если один сегмент канала EtherChannel выходит из строя? Когда коммутатор Catalyst обнаруживает неисправность сегмента, он информирует об этом микроконтроллер распознавания закодированного адреса (Encoded Address Recognition Logic — EARL) специализированной интегральной микросхемы (application-specific integrated circuit — ASIC) модуля. Контроллер EARL — это отдельное прикладное ин- интегрированное коммутирующее аппаратное обеспечение, которое анализирует МАС- адреса. В сущности, микроконтроллер EARL является анализатором и устройством хранения адресов, которое создает таблицы моста, обсуждавшиеся в главе 3, "Технологии функционирования мостов". Схема EARL хранит информацию о време- времени запоминания найденных адресов и отвечает за их удаление из таблицы, поэтому она может снова собирать информацию об адресных парах в другом сегменте группы в случае отказа. В каком же сегменте она собирает информацию об адресе отправите- отправителя? В 2-сегментном канале EtherChannel фреймы должны проходить по единственно- единственному оставшемуся сегменту. В 4- или 8-сегментной группе трафик переместится в бли- ближайший соседний сегмент. Когда поврежденный сегмент восстановится, трафик не возвратится в него. Когда сегмент выходит из строя, контроллер EARL заново перечитывает адреса в новом со- соединении, и они хранятся в нем до тех пор, пока данные в таблице моста не устаре- устареют; в течение такого периода фреймы будут продолжать проходить по резервному со- соединению. При этом станции не должны передавать данные, пока таймер таблицы моста не истечет. Обнулить таблицу моста можно и вручную, но при этом Catalyst бу- будет вынужден пересчитать и снова изучить все адреса, связанные с сегментом. Развитие технологии EtherChannel EtherChannel является технологией объединения стандартных сегментов, таких, как Fast Ethernet и Gigabit Ethernet. Тактовые частоты соединений остаются такими же, как и без группировки портов. Созданные сегменты являются более гибкими, чем со- соединения Fast и Gigabit Ethernet. Технология EtherChannel позволяет устройствам рас- распределять загрузку трафика по более чем одному сегменту, обеспечивая уровень на- надежности без применения алгоритма связующего дерева или других механизмов вос- восстановления работоспособности сети. Специалисты IEEE в комиссии 802.3ad занимаются изучением стандартизированных методов группировки портов (и разраба- разрабатывают соответствующий стандарт). Технология ISL При мультиплексировании фреймов более чем одной сети VLAN в соединении Fast Ethernet или Fast EtherChannel передающий коммутатор Catalyst должен опреде- определить, какой именно сети VLAN принадлежат фреймы. Возможность распознавать фреймы позволяет коммутатору-получателю помещать фрейм в ту же сеть VLAN, ко- которой принадлежит отправитель, поддерживая таким образом целостность сети VLAN. В противном случае фреймы выйдут за пределы подсети, и пропадет сам смысл соз- создания такого разделения сети. Технология межкоммутаторного канала (Inter-Switch Link — ISL), запатентованная корпорацией Cisco, позволяет сетям VLAN получать доступ к общим соединениям Глава 8. Технологии и приложения магистральных соединений 359
между коммутаторами Catalyst, одновременно позволяя устройству-получателю на- направлять фреймы в надлежащие сети VLAN. Когда коммутатор Catalyst отправляет фрейм через магистральный интерфейс, под- поддерживающий технологию ISL, он инкапсулирует исходный фрейм, идентифицируя его принадлежность к сети VLAN-отправителя. Общая схема инкапсуляции показана на рис. 8.7. Когда фрейм покидает магистральный интерфейс на коммутаторе- отправителе Catalyst, устройство прикрепляет к нему 26-байтный ISL-заголовок и CRC-поле (контрольную сумму) длиной 4 байта. Описанный процесс называется двойным тегированием, или инкапсуляцией с двухуровневым тегированием. Немагистральный канал Рис. 8.7. ISL-инкапсуляция с двухуровневым тегированием Подробно ISL-заголовок описан в табл. 8.6. Таблица 8.6. Описание полей ISL-инкапсуляции Октет Описание DA 40-битный широковещательный адрес, значение которого равняется 0х01-00-0С-00-00, указы- указывает коммутатору-получателю, что данный фрейм имеет инкапсуляцию ISL Туре 4-битное число, которое отображает тип отправителя, передавшего фрейм. Значения, которые оно может принимать, включают в себя: 0 0 0 0 (сеть Ethernet), 0 0 01 (сеть Token Ring), 0 010 (сеть FDDI) и 0 0 11 (сеть ATM) User 4-битное число, обычно равное нулю, которое может быть использовано в некоторых случаях при передаче фрейма через сети Token Ring SA Записанное согласно стандарту 802.3 48-битное число, соответствующее МАС-адресу коммута- коммутатора-отправителя Catalyst Length 16-битное число, содержащее длину данных пользователя и ISL-заголовка, без учета байтов DA, Type, User, SA, длины и контрольной суммы SNAP 3-байтное поле с фиксированным значением ОхАА-АА-03 HAS 3-байтное число, повторяющее старшие байты поля SA инкапсуляции ISL VLAN 15-битное число, соответствующее номеру сети VLAN устройства-отправителя, к которой при- принадлежит пользовательский фрейм, при этом из 15 бит используются только 10 BPDU Поле длиной 1 бит. Если в нем стоит 1, то коммутатор Catalyst должен сразу же принять данный фрейм как конечная станция, поскольку данные в нем содержат сообщения протокола распре- распределенного связующего дерева, протоколов ISL, VTP или CDP 360 Часть III. Магистральные соединения
Окончание табл. 8.6 Октет Описание Index Число, показывающее, из какого порта коммутатора-отправителя был отправлен данный фрейм Reserved Фреймы сетей Token Ring и FDDI имеют особые поля, которые нужно передать через ISL- соединение. Значения данных полей, таких, как АС и FC, хранятся в зарезервированном поле ISL-заголовка. Для фреймов сетей Ethernet значение данного поля равно нулю User Frame Исходный фрейм с данными пользователя помещается в данное поле, включая контрольную сумму фрейма CRC Инкапсуляция ISL вычисляет 32-битное поле CRC (контрольная сумма) для заголовка и фрейма пользователя. Целостность сообщения при пересечении им магистрали с ISL-инкапсуляцией проверяется дважды. Поле CRC у фрейма пользователя не заменяется Магистральные соединения ISL могут передавать трафик локальной сети (LAN) отличным от обычной сети Ethernet образом. Например, сегменты сетей Token Ring и FDDI могут взаимодействовать по ISL-магистрали. На рис. 8.8 показаны две сети Token Ring на разных коммутаторах Catalyst, которым необходимо установить связь друг с другом. В сети также существуют сети VLAN, основанные на технологии Ethernet. Соединение между коммутаторами Catalyst является Ethemet-магистралью. ISL = Ethernet TRISL = Token Ring Рис. 8.8. Использование межкоммутаторного канала в сети Token Ring (TRISL) для передачи фреймов Token Ring no Ethernet-магистрали К сожалению, свойства сетей Token Ring существенно отличаются от свойств сетей Ethernet. Наиболее существенные различия между такими сетями перечислены ниже. • Размер фрейма. Сеть Token Ring поддерживает меньшие и значительно большие фреймы, чем сеть Ethernet. • Поле маршрутной информации (Routing Information Field — RIF). Фреймы сети Token Ring могут содержать поле RIF, которое не имеет аналога в системах Ethernet. • Фреймы-анализаторы. Станции сети Token Ring могут передавать фреймы- анализаторы для определения относительного местоположения устройства- Глава 8. Технологии и приложения магистральных соединений 361
получателя. Фрейм такого типа включает в себя бит, указывающий на то, что инкапсулированный фрейм является анализатором. Перечисленные различия делают передачу фреймов Token Ring по сегментам Ethernet, по крайней мере, достаточно затруднительной. Для эффективной передачи фреймов Token Ring по соединениям Ethernet комму- коммутатор Catalyst должен быть связан с каждой из этих сетей. Инкапсуляция ISL, разработанная корпорацией Cisco, обеспечивает возможность передачи фреймов Token Ring и FDDI по сетям Ethernet, поскольку в заголовке ISL выделено место для специальной информации из заголовков сетей Token Ring и FDDI, которая помещается в поле Reserved. В частности, когда необходимо связаться с сетью Token Ring через канал ISL, ин- инкапсуляция называется Token Ring ISL (TRISL). Технология TRISL в отличие от стандартной ISL-инкапсуляции содержит семь октетов для передачи информации па- пакетов Token Ring. Магистраль же передает фреймы, инкапсулированные с помощью как технологий ISL, так и TRISL. Технология динамического ISL (DISL) Два коммутатора Catalyst, связанные соединением Fast Ethernet, Gigabit Ethernet, Fast EtherChannel или Gigabit EtherChannel, могут функционировать в немагистраль- немагистральном режиме, используя обычные соединения; при такой конфигурации по соедине- соединению передается трафик только одной сети VLAN. Однако гораздо чаще через один порт необходимо передавать трафик более, чем одной, сети VLAN. Для мультиплек- мультиплексирования данных различных сетей VLAN в канале необходимо наличие инкапсуля- инкапсуляции ISL, как было описано в предыдущем разделе. Обе конечные станции должны разрешить инкапсуляцию ISL для успешного создания магистрали в соединении Fast Ethernet или Fast EtherChannel. Если один конечный узел использует инкапсуляцию ISL, а другой — нет, из-за несоответствия протокола инкапсуляции пакета не проис- происходит передачи данных пользователя в соединении. Одна конечная точка канала соз- создает фреймы с определенной инкапсуляцией и ожидает получить фреймы, инкапсу- инкапсулированные таким же образом, несмотря на то, что другая конечная станция ожидает фреймы с другой инкапсуляцией. В другом случае немагистральная конечная станция передает неинкапсулированные фреймы, несмотря на то, что магистральная станция- получатель ожидает наличия инкапсуляции, но поскольку фрейм не инкапсулирован в дополнительный заголовок, он не принимается. В ранних версиях программного обеспечения коммутаторов Catalyst необходимо было вручную разрешать инкапсуляцию ISL на обоих концах соединения. С выходом операционной системы версии 2.1 появился автоматический метод разрешения ин- инкапсуляции ISL, который требует конфигурирования только одного конца соедине- соединения. Запатентованный корпорацией Cisco протокол динамического межкоммутатор- межкоммутаторного канала (Dynamic Inter-Switch Link — DISL) позволяет коммутатору Catalyst дого- договариваться о разрешении или запрете инкапсуляции ISL с удаленной стороной, находящейся на соединении "точка-точка" типа Fast Ethernet, Gigabit Ethernet или Fast EtherChannel. DISL является протоколом канального уровня, который передает конфигурационную информацию инкапсуляции ISL с широковещательным МАС- адресом получателя 01-00-ОС-СС-СС-СС. Следует заметить, что корпорация Cisco использует данный широковещательный адрес для нескольких своих протоколов. Тем не менее, для передачи данных устройства Cisco используют различные значения поля 362 Часть III. Магистральные соединения
SNAP для того, чтобы различать пакеты. Например, протокол CDP использует широ- широковещательный адрес и значение поля SNAP, равное 0x2000, а протокол DISL — ши- широковещательный адрес и значение поля SNAP, равное 0x2004. Когда коммутатор Catalyst получает фрейм с таким адресом получателя, он не передает этот фрейм ни на какой интерфейс, а перенаправляет его модулю Supervisor. Магистральный интерфейс коммутатора Catalyst (как Fast Ethernet, так и Gigabit Ethernet) может поддерживать один из пяти режимов работы магистрали: off, on, desirable, auto или nonegotiate. Когда установлен режим off, on, auto или desirable, ком- коммутатор Catalyst посылает конфигурационные фреймы ISL каждые 30 с, чтобы удосто- удостовериться, что вторая конечная станция синхронизирована с текущей конфигурацией. Синтаксис команды для разрешения магистрального соединения имеет следующий вид: set trunk mod_nmlport_nm [on | desirable | auto | nonegotiate] Следует отметить, что режим off отсутствует в списке аргументов, поскольку он за- запрещает магистральное соединение, как описано ниже. Когда интерфейс сконфигурирован в режиме off, он локально запрещает инкапсу- инкапсуляцию ISL и информирует удаленную сторону о своем состоянии. Если конфигурация удаленной стороны позволяет внести изменения в динамическое состояние магистра- магистрали (auto или desirable), интерфейс конфигурирует себя как обычный, а не магистраль- магистральный порт. Если удаленная сторона не разрешает изменения в состоянии (она скон- сконфигурирована в режиме on), локальный интерфейс все-таки запрещает использовать инкапсуляцию ISL. Кроме того, если локальный интерфейс сконфигурирован в ре- режиме off, при получении запроса от удаленного коммутатора Catalyst о разрешении использовании инкапсуляции ISL локальный коммутатор Catalyst отклонит запрос. При установке порта в режим off интерфейс будет оставаться в таком режиме незави- независимо от состояния протокола ISL удаленной стороны. Данный режим следует исполь- использовать тогда, когда интерфейс не используется как магистраль, но необходимо, чтобы он участвовал в согласовании наличия инкапсуляции ISL для того, чтобы информи- информировать удаленную сторону о локальной сетевой политике. С другой стороны, если локальный интерфейс сконфигурирован в режиме on, коммутатор Catalyst разрешает инкапсуляцию ISL и информирует удаленную сторону о таком локальном состоянии. Если конфигурация удаленной стороны установлена в режим auto или desirable, то соединение является магистральным и в нем разрешена инкапсуляция ISL. Если удаленная сторона находится в режиме off, соединение ни- никогда не будет использоваться как магистраль. Локальный коммутатор Catalyst разре- разрешает использование магистрального соединения, тогда как удаленная сторона запре- запрещает. Несоответствие в инкапсуляции препятствует успешной передаче данных. Ре- Режим on следует использовать, когда удаленная конечная станция поддерживает инкапсуляцию DISL и когда необходимо, чтобы локальная станция оставалась в ре- режиме магистрали независимо от режима удаленной стороны. В режиме desirable интерфейс коммутатора Catalyst информирует удаленную ко- конечную станцию о намерении разрешить инкапсуляцию ISL, но в действительности инкапсуляция ISL не используется до тех пор, пока не будет получено согласие уда- удаленной стороны. Для установления инкапсуляции ISL в магистрали удаленная конеч- конечная станция должна работать в режиме on, auto или desirable. He следует использовать режим desirable, если удаленная сторона не поддерживает инкапсуляцию DISL. Глава 8. Технологии и приложения магистральных соединений 363
Совет Поддержка инкапсуляции DISL есть не во всех коммутаторах Catalyst, например, в старых коммутаторах серий 3000 и 1900 ее нет. Так, например, магистральное соеди- соединение никогда не будет установлено, если настроить конечную станцию, коммутатор Catalyst 5000, в режим desirable, но при этом другая конечная станция не поддержи- поддерживает необходимую технологию. Режим desirable следует использовать только тогда, когда конечная станция наверняка поддерживает инкапсуляцию DISL или необходимо упростить конфигурационные требования. Режим auto позволяет коммутатору Catalyst получать запросы на разрешение магист- магистрального соединения с инкапсуляцией ISL и автоматически переходить в необходимый режим. Коммутатор Catalyst, находящийся в режиме auto, никогда не будет отправлять запросы на создание магистрального канала и не установит магистральное соединение, если удаленная сторона не находится в режиме on или desirable. Стандартно коммутатор Catalyst находится в режиме auto, т.е. если при разрешении магистрального соединения не указан режим, то назначается режим auto. Устройство никогда не разрешит магист- магистральный режим, если на обоих концах соединения установлены стандартные значения. Если одна сторона установлена в режим auto, для активации магистрального соединения другая сторона должна находиться в режиме on или desirable. В режиме nonegotiate коммутатор Catalyst разрешает использовать магистральное со- соединение, но не посылает никаких конфигурационных запросов удаленной стороне. В таком режиме устройство не посылает DISL-фреймы для согласования конфигурации магистрального порта. Данный режим следует использовать для установления магистра- магистрали между коммутатором Catalyst и маршрутизатором, чтобы избежать ситуации, когда маршрутизатор передаст DISL-запрос другому компоненту сети VLAN. Режим также ис- используется, когда удаленная конечная станция не поддерживает инкапсуляцию протоко- протокола DISL для того, чтобы избежать потерь пропускной способности за счет DISL- запросов. В табл. 8.7 показаны различные комбинации режимов магистрали. | Таблица 8.7. Результаты работы смешанных режимов протокола DISL Режим на локаль- off on auto desirable nonegotiate ной станции -» Режим на уда- удаленной станции! off on auto Локальный коммутатор: off Удаленный коммутатор: off Локальный коммутатор: off Удаленный коммутатор: on Локальный коммутатор: off Удаленный коммутатор: off Локальный коммутатор: on Удаленный коммутатор: off Локальный коммутатор: on Удаленный коммутатор: on Локальный коммутатор: on Удаленный коммутатор: on Локальный коммутатор: off Удаленный коммутатор: off Локальный коммутатор: on Удаленный коммутатор: on Локальный коммутатор: off Удаленный коммутатор: off Локальный коммутатор: off Удаленный коммутатор: off Локальный коммутатор: on Удаленный коммутатор: on Локальный коммутатор: on Удаленный коммутатор: on Локальный коммутатор: on Удаленный коммутатор: off Локальный коммутатор: on Удаленный коммутатор: on Локальный коммутатор: on Удаленный коммутатор: off 364 Часть III. Магистральные соединения
Окончание табл. 8.7 Режим на локаль- локальной станции -> Режим на уда- удаленной станции! off on auto desirable no negotiate desirable nonegotiate Локальный коммутатор: off Удаленный коммутатор: off Локальный коммутатор: off Удаленный коммутатор: on Локальный коммутатор: on Удаленный коммутатор: on Локальный коммутатор: on Удаленный коммутатор: on Локальный коммутатор: on Удаленный коммутатор: on Локальный коммутатор: off Удаленный коммутатор: on Локальный коммутатор: on Удаленный коммутатор: on Локальный коммутатор: on Удаленный коммутатор: on Локальный коммутатор: on Удаленный коммутатор: on Локальный коммутатор: on Удаленный коммутатор: on Считается, что со всеми приведенными выше комбинациями физический уровень функционирует правильно. Команда show port покажет наличие соединения. Одна- Однако, даже очевидный результат не гарантирует, что магистраль функционирует. Если удаленная и локальная стороны соединения не имеют одинакового состояния (on или off), из-за несоответствия в инкапсуляции передача трафика невозможна. Для провер- проверки состояния магистрали используется команда show trunk. Например, в табл. 8.7 результатом комбинации параметров on/auto является установление магистрального соединения с обеих сторон, а результатом комбинации параметров auto/auto остается соединение, сконфигурированное с обеих сторон как обычный порт, т.е. магистраль- магистральное соединение не разрешено. Оба рассмотренные выше примера верны, поскольку конечные станции пришли к согласию, будет соединение магистральным или нет. Однако, в случае использования комбинации параметров on/off создается ситуация, когда конечные станции соединения не пришли к согласию по поводу режима маги- магистрали. Обе стороны посылают трафик, но ни одна из них не может расшифровать полученный трафик из-за несоответствия в инкапсуляции, появившегося в результате отсутствия договоренности между устройствами. Конечная станция с разрешенным магистральным соединением ожидает получить фреймы с инкапсуляцией ISL, но в действительности получает неинкапсулированные фреймы. В свою очередь, порт вто- второй станции сконфигурирован как обычное соединение, и устройство ожидает полу- получения неинкапсулированных Ethernet-фреймов, получает заголовки фреймов с инкап- инкапсуляцией ISL, которые не являются частью стандарта Ethernet, и интерпретирует их как фреймы с ошибками. В такой ситуации успешной передачи данных по соедине- соединению не происходит. Следует делать различия между протоколами DISL и PAgP. О протоколе PAgP уже немного говорилось выше, в разделе, посвященном технологии EtherChannel. Прото- Протокол PAgP позволяет двум коммутаторам Catalyst согласовать, каким образом между ними будет устанавливаться соединение EtherChannel. Данный протокол не отвечает за то, будет ли соединение переводиться в магистральный режим или нет, за согласо- согласование типа канала отвечает протокол DISL и динамический магистральный протокол (Dynamic Trunk Protocol — DTP). Протокол DTP принадлежит ко второму поколению динамической магистральной группы протоколов и позволяет коммутаторам Catalyst согласовать использование инкапсуляции 802.1Q. Более подробно он описан в после- Глава 8. Технологии и приложения магистральных соединений 365
дующих разделах данной главы. С другой стороны, следует заметить, что протоколы DISL и DTP согласовывают, устанавливать магистральное соединение или нет, но не передают никакой информации о соединении EtherChannel. Совет Конфигурацию магистрали на ответственных соединениях между коммутаторами Catalyst, таких, которые находятся в базовой сети или между ответственными серверами и магистралью, лучше указывать явно, не полагаясь на динамические протоколы. Совет При конфигурировании магистральных соединений коммутатора Catalyst для динами- динамических операций (desirable, auto) следует удостовериться, что оба конечных узла со- соединения находятся под управлением одного протокола виртуального терминала (Virtual Terminal Protocol — VTP). Инкапсуляция 802.1 Q/802.1p Комитет, разрабатывающий стандарт IEEE 802.1Q, определил метод мультиплек- мультиплексирования сетей VLAN в локальных и региональных сетях, для того чтобы предоста- предоставить возможность реализаций сетей VLAN разных производителей. Метод мультип- мультиплексирования, подобно инкапсуляции ISL, является альтернативным магистральным протоколом в сетях с коммутаторами Catalyst. Как и ISL, в инкапсуляции 802.1Q ис- используется маркировка фреймов тегами для определения принадлежности фрейма к определенной сети VLAN. В отличие от инкапсуляции ISL, где используется внешний тег, инкапсуляция 802.1Q использует внутренний тег. Организация IEEE также разработала стандарт 802.1р, который позволяет пользо- пользователям определять приоритеты для их трафика. Значение приоритета подставляется в поле приоритета в заголовке инкапсуляции 802.1Q. Если коммутатор в сети LAN под- поддерживает инкапсуляцию 802.1р, то прежде всего он должен отправить трафик, имеющий больший приоритет. Схема маркировки (присвоения тегов) инкапсуляции ISL, которая использует внешний тег, добавляет октеты к началу и концу исходного фрейма данных. Посколь- Поскольку информация добавляется в оба конца фрейма, данный метод также иногда называ- называется двойным тегированием (за более детальной информацией о инкапсуляции ISL об- обратитесь к табл. 8.6). Инкапсуляция 802.1Q называется схемой с внутренним тегом, по- потому что она вставляет октеты внутрь исходного фрейма данных. В отличие от двойного тегирования, такая схема иногда называется схемой с одиночным тегировани- тегированием. На рис. 8.9 показан фрейм, маркированный согласно инкапсуляции 802.1Q. Значения каждого из полей в заголовке инкапсуляции 802.1Q, показанного на рис. 8.9, описаны ниже. • Идентификатор тега протокола (Tag Protocol Identifier — TPID) — данное поле сообщает получателю, что за ним следует тег инкапсуляции 802.1Q. Значением поля TPID является шестнадцатеричное число 0x8100. • Приоритет — поле приоритета в инкапсуляции 802.1р. В инкапсуляции 802.1р определено восемь уровней приоритета, которые также содержатся в заголовке инкапсуляции 802.1Q. 366 Часть III. Магистральные соединения
ISL Заголовок Октеты Фрейм данных ■*— Переменная длина —»■ FCS _< 4 >. Октеты 802.1Q поверх Ethernet TPID 0x8100 Приоритет 0-7 СП 0/1 VID 0-4095 16 битов Збита 1 бит 12 битов Рис. 8.9. Маркировка фреймов в инкапсуляции 802.1Q/802.1p и 1SL • Идентификатор канонического формата (Canonical format indicator — CFI) — дан- данное поле, длина которого составляет 1 бит, показывает, является ли формат МАС-адреса в МАС-заголовке каноническим @) или неканоническим A). • Идентификатор сети VLAN (VLAN identifier — VID) — данное поле содержит номер сети VLAN-отправителя, которой принадлежит фрейм. В таком 12- битном поле номер сети VLAN может принимать значения от 0 до 4095, но се- сети VLAN с номерами 0, 1 и 4095 зарезервированы. Интересная ситуация возникает в схеме маркировки инкапсуляции 802.1Q. Если тег добавляется к Ethernet-фрейму, который имеет максимально допустимый размер, то размер фрейма превышает значение, определенное стандартом IEEE 802.3. Для пе- переноса тега в Ethernet-фрейме с максимальным размером необходимы 1522 октета, что на четыре октета больше, чем позволяет стандарт. В комитете 802.3 была создана ра- рабочая группа 802.Зас, основной задачей которой была разработка метода расширения максимального размера Ethernet-фрейма до 1522 октетов. Если оборудование не поддерживает большие размеры фрейма, то при получении фреймов, превышающих допустимый размер, появится соответствующее сообщение. Такие фреймы носят название гигантские (baby giants). Инкапсуляция 802.1 Q, ISL и распределенное связующее дерево Когда корпорация Cisco предоставила решения для коммутируемой локальной сети, появилась возможность создания сетей со сложной топологией, которые использовали бы коммутаторы Catalyst. Поэтому оборудование Cisco поддерживает несколько разно- разновидностей связующего дерева. В сети можно создать различные топологии связующего дерева для каждой сети VLAN. Каждая сеть VLAN может иметь отдельный коммутатор Глава 8. Технологии и приложения магистральных соединений 367
Catalyst в качестве корневого моста, что позволит оптимизировать топологию сети с мостами для каждой сети VLAN. Корневой мост, выбранный сетью VLAN 10, может быть неоптимальным для сети VLAN 11 или любой другой сети VLAN, отличной от VLAN 10. Возможность оборудования Cisco поддерживать несколько экземпляров свя- связующего дерева в коммутаторах Catalyst называется технологией построения связующего дерева для каждой сети VLAN (Per-VLAN Spanning Tree — PVST). Однако, инкапсуляция 802.1Q определяет один вариант связующего дерева для всех сетей VLAN, который называется топологией с единственным экземпляром связую- связующего дерева (Mono Spanning Tree— MST). В сети с инкапсуляцией 802.1Q все сети VLAN имеют один и тот же корневой мост. Инкапсуляция 802.1Q не исключает ис- использования более одной разновидности топологии связующего дерева, но при этом не поддерживает их. Трудность возникает в гибридной среде с использованием одновременно ISL и 802.1Q. Без наличия определенного аппаратно-профаммного обеспечения необходимо офаничиваться одной топологией связующего дерева для всех сетей VLAN. Корпора- Корпорация Cisco разработала спецификацию PVST+, которая позволяет поддерживать мно- многие экземпляры связующего дерева даже в смешанной среде с инкапсуляцией 802.1Q. PVST+ передает фреймы PVST через MST в сеть с инкапсуляцией 802.1Q как широ- широковещательные фреймы. Для спецификации PVST+ оборудование Cisco использует широковещательный адрес 01-00-0C-CC-CC-CD. В отличие от стандарта 802.1Q, PVST+ разрешает повторно использовать МАС-адрес в нескольких сетях VLAN. При наличии устройств, которым необходимо повторно использовать МАС-адреса, следует использовать инкапсуляцию ISL и PVST+. В главе 7, "Расширенные возможности протокола распределенного связующего дерева", приведена более детальная инфор- информация о спецификации PVST+. Конфигурирование инкапсуляции 802.1Q Чтобы разрешить магистральное соединение с инкапсуляцией 802.1Q, нужно ре- решить следующие задачи: • указать правильный режим инкапсуляции для магистрали (802.1Q или ISL); • разрешить правильный режим DTP магистрального соединения или удостове- удостовериться, что обе конечные станции соединения поддерживают один и тот же режим магистрали; • выбрать правильный номер сети VLAN на каждом конце 802.1О.-магистрали. Команда для включения 802.1О.-магистрали в коммутаторе Catalyst имеет следую- следующий синтаксис: set trunk mod_nmlport_nm [on | desirable | auto | momegotiate] dotlq Поле dotlq определяет тип инкапсуляции в магистрали, а именно — разрешает ис- использование инкапсуляции 802.1Q. Данное поле не является обязательным для ISL- магистралей, но необходимо для магистралей с 802.1О_-инкапсуляцией. Если необходимо использовать ISL-магистраль, вместо параметра dotlq используется значение ISL. Если тип инкапсуляции не определен, коммутатор Cisco использует стандартное значение, т.е. ISL. Не все модули поддерживают оба режима инкапсуляции: ISL и 802.1Q. Для опреде- определения режимов, которые поддерживает оборудование, необходимо ознакомиться с доку- документацией; кроме того, не все версии профаммного обеспечения для коммутаторов Catalyst поддерживают инкапсуляцию 802.1Q. Только начиная с версии 4.1A) для ком- 368 Часть III. Магистральные соединения
мутаторов Catalyst серии 5000 возможна поддержка данной инкапсуляции. Автоматиче- Автоматическое согласование типа инкапсуляции между двумя конечными узлами магистрали стало возможным после выхода программного обеспечения версии 4.2A) для коммутаторов Catalyst серии 5000. В версии 4.2A) представлен протокол DTP, который подробно опи- описан в следующем разделе; до появления данной версии операционной системы конфи- конфигурировать режим магистрали необходимо было вручную. В примере 8.5 показано, как сконфигурировать порт 1/1 с инкапсуляцией dotlq. Такая конфигурация применима, если интерфейс является Fast или Gigabit Ethernet. Пример 8.5. Конфигурация для коммутатора Catalyst в 802.1 Q-магистрали Console> (enable) set trunk 1/1 desirable dotlq Port(s) 1/1 trunk mode set to desirable. Port(s) 1/1 trunk type set to dotlq. Console> (enable) 11/11/1998, 23:30:17:DTP-5:Port 1/1 has become dotlq trunk Конфигурирование 802.1О_-магистралей для маршрутизатора подобно конфигури- конфигурированию инкапсуляции ISL. Как и для ISL, необходимо включить в конфигурацию интерфейса строку encapsulation. В примере 8.6 приведена последовательность конфигурирования устройства. Пример 8.6. Конфигурирование инкапсуляции 802.1 Q в маршрутизаторе ! Specify the interface to configure interface fastether 2/0.1 ip address 172.16.10.1 255.255.255.0 ipx network 100 encapsulation dotlq 200 Номер в конце строки encapsulation определяет номер сети VLAN. В специфи- спецификации 802.1Q в качестве номеров для сетей VLAN (с зарезервированными значения- значениями, как обсуждалось выше) разрешено использование значений от 0 до 4095. Тем не менее, для сетей VLAN коммутатор Catalyst поддерживает значения только до 1005. Для совместимости с настройками сетей VLAN, которые используются в коммутато- коммутаторах Catalyst, для номеров сетей VLAN согласно стандарту 802.1Q не следует использо- использовать значения, большие 1005. Следует заметить, что новое программное обеспечение позволяет преобразовывать номера сетей VLAN с инкапсуляцией 802.1Q в правиль- правильный диапазон значений инкапсуляции ISL. Подобное преобразование полезно ис- использовать в гибридной среде 802.1Q/ISL, в которой разрешено использовать любое верное значение номера сети 802.1Q для 802.1С}-магистралей и любое верное значение номера ISL для ISL-магистралей. Динамический протокол магистрали (DTP) Альтернативой протоколу инкапсуляции ISL, запатентованному корпорацией Cisco, является стандартная технология инкапсуляции 802.1Q. Соединение Fast Ethernet/EtherChannel теперь содержит большее количество комбинаций, потому что магистраль может использовать как инкапсуляцию ISL, так и теги стандарта 802.1Q. Подобно магистралями ISL, магистрали с инкапсуляцией 802.1Q могут быть установ- установлены в режим on, off, desirable или auto. Однако, обе конечные станции соединения Глава 8. Технологии и приложения магистральных соединений 369
должны быть или в режиме ISL, или 802.1Q одновременно. В программном обеспече- обеспечении версии 4.1 для совместимости необходимо вручную конфигурировать режим ин- инкапсуляции на конечных узлах. С выходом программного обеспечения версии 4.2 корпорация Cisco представила новый протокол для согласования условий соединения, который называется динамическим магистральным протоколом (Dynamic Trunk Proto- Protocol — DTP). В протоколе DTP улучшены функциональные возможности протокола DISL. Данный протокол согласовывает общий режим работы для конечных станций соединения, при этом уменьшая вероятность несовместимости при конфигурировании соединения. Следует обратить внимание на наиболее яркое сообщение протокола DTP в примере 8.7, которое означает, что интерфейс переключился в магистральный режим. Как показано в примере 8.7, при выборе магистрали с инкапсуляцией ISL протокол DTP сообщит о наличии программного обеспечения версии 4.2 или более поздней. Следует заметить, что протокол PAgP также выдает подобные сообщения. Несмотря на то, что данный протокол настраивает соединение EtherChannel, он выда- выдает состояние портов даже для сегментов, которые не входят в канал EtherChannel. [ Пример 8.7. Сообщение протокола DTP при установлении ISL-магйстрали 1 Port(s) 1/1 trunk mode set to on. Console> (enable) 11/12/1998, 17:56:39: DTP-5: Port 1/1 has become isl trunk 11/12/1998, 17:56:40: PAGP-5: Port 1/1 left bridge port 1/1. 11/12/1998, 17:56:40: PAGP-5: Port 1/1 joined bridge port 1/1 Ограничение на сети VLAN в магистрали Можно задать ограничение для сетей VLAN, которые будут передавать свой тра- трафик по магистральному соединению. Стандартно коммутатор Catalyst разрешает пере- переносить данные всех сетей VLAN. Иногда возникает необходимость транспортировки не всех сетей, а только части из них, например, сетей VLAN 5-10. Сети VLAN, кото- которые могут передавать данные через магистральный канал, задаются командой set trunk, а с помощью команды clear trunk удаляются. Метод добавления и удаления сетей VLAN в магистраль показан в примере 8.8. Призер 8.8. Модификация списка разрешенных сетей VLAN в магистрали Console> (enable) clear trunk 1/1 10-20 Removing Vlan(s) 10-20 from aloowed list. Port 1/1 allowed vlans modified to 1-9, 21-1005. Console> (enable) set trunk 1/1 15 Adding vlan 15 to allowed list В конце примера 8.8 список сетей VLAN, разрешенных в магистрали, включает та- такие значения: 1-9, 15, 21-1005. Приведенные команды можно использовать в любой магистрали, независимо от ее режима тегирования. Следует заметить, что при вводе необходимых команд в конфи- конфигурацию магистрали EtherChannel для обеспечения совместимости настроек коммута- коммутатор Catalyst изменит параметры всех портов в группе соединения. Необходимо удосто- удостовериться, что удаленная конечная станция соединения сконфигурирована для транс- транспорта данных точно такого же набора сетей VLAN. 370 Часть III. Магистральные соединения
FDDI-магистрали и инкапсуляция 802.10 Инкапсуляция ISL разработана для магистральных соединений технологии Ethernet "точка-точка" между двумя коммутаторами Catalyst. Только два коммутатора Catalyst подключены к соединению, в отличие от технологии FDDI. Сеть FDDI функционирует как сеть с разделяемой пропускной способностью (полудуплексный режим передачи данных) и может иметь более двух устройств. Поэтому при создании магистрального соединения в сети FDDI используется другая схема инкапсуляции. Корпорация Cisco адаптировала стандарт IEEE для безопасного объединения сетей стандарта 802 с помощью мостов и применила его для магистральных соединений FDDI между коммутаторами Catalyst. Комитет IEEE 802.10 разработал стандарт, опре- определяющий методы переноса трафика от нескольких отправителей по локальным и региональным сетям с разделяемой пропускной способностью. Кроме того, данный стандарт поддерживает логическую развязку между сетью отправителя и получателя. Можно объединить коммутаторы Catalyst таким образом, чтобы все их интерфейсы FDDI принадлежали одной сети VLAN; соответственно, только трафик одной сети VLAN переносится по сети FDDI. Такое объединение можно создать, если дизайн се- сети VLAN достаточно прост и существует сегмент FDDI, который необходимо про- продолжать использовать. Устаревшие компоненты сети могут не поддерживать инкапсу- инкапсуляцию 802.10, поэтому для совместного использования сети FDDI устройствами не- необходимо сконфигурировать требуемым образом именно коммутаторы Catalyst и использовать подход, приведенный выше. Однако, наиболее типичной является си- ситуация, когда необходимо совместное использование опорной сети с несколькими се- сетями VLAN, как показано на рис. 8.10. Сети VLAN 100,200, FDDI 802.10 магистраль VLAN VLAN 10 20 VLAN VLAN 10 30 VLAN VLAN 20 30 Рис. 8.10. Пример магистрали FDDI с инкапсуляцией 802.10 Глава 8. Технологии и приложения магистральных соединений 371
При использовании инкапсуляции 802.10 на интерфейсах FDDI опорная сеть FDDI становится магистралью, построенной на коммутаторах Catalyst. При подсоеди- подсоединении коммутаторов к сети, как показано на рис. 8.10, можно переносить данные, приходящие из распределенных сетей VLAN, по магистрали FDDI. Станции коммута- коммутатора Cat-А, которые принадлежат сети VLAN 10, могут взаимодействовать со стан- станциями, которые также принадлежат сети VLAN 10, но подсоединены к коммутатору Cat-B. Подобным образом, станции сети VLAN 20 могут взаимодействовать друг с другом независимо от их положения в сети. Как и в любой сети, содержащей несколько сетей VLAN, за их соединение отве- отвечают маршрутизаторы. На рис. 8.10 маршрутизатор Cisco, присоединенный к сети FDDI, поддерживает инкапсуляцию 802.10 и поэтому может распределять трафик ме- между сетями VLAN. В примере 8.9 приведена конфигурация маршрутизатора Cisco, в которой инкапсу- инкапсуляция 802.10 настраивается таким образом, чтобы сеть VLAN 100 могла взаимодейст- взаимодействовать с сетью VLAN 200. Пример 8.9. Конфигурация маршрутизатора для инкапсуляции 802.10 в магистрали ■'*W': int fddi 2/0.1 ip address 172.16.1.1 255.255.255.0 encapsulation sde 100 int fddi 2/0.2 ip address 172.16.2.1 255.255.255.0 encapsulation sde 200 Такая конфигурация применяется к подынтерфейсам FDDI. Каждая сеть VLAN должна поддерживать одну подсеть и быть сконфигурирована на подынтерфейсе. Выражение encapsulation sde 100, которое применяется к подыинтерфейсу 2/0.1, разрешает на нем инкапсуляцию 802.10 и связывает сеть VLAN 100 с ним, тогда как выражение encapsulation sde 200 связывает сеть VLAN 200 с подын- терфейсом 2/0.2. МАС- заголовок Открытый заголовок Защищенный заголовок Необязательно зашифрованы - Данные ICV 802.10 LSAP SAID MDF Рис. 8.JI. Инкапсуляция 802.10 372 Часть III. Магистральные соединения
На рис. 8.11 показана схема инкапсуляции 802.10: заголовок пакета формата 802.10 содержит МАС-заголовок, а так же открытый (Clear) и защищенный (Protected) заго- заголовки. 48-битный МАС-заголовок содержит МАС-адреса отправителя и получателя, которые используются в сетях FDDI, Ethernet или Token Ring. Открытый и защищен- защищенный заголовки являются дополнениями к стандарту 802.10. Защищенный заголовок дублирует МАС-адрес отправителя для того, чтобы удостовериться, что станция не имитирует настоящего отправителя данных. Если адреса отправителя в МАС- заголовке и защищенном заголовке отличаются, сеанс административно обрывается. На рис. 8.11 в блоке открытого (Clear) заголовка показаны три поля. Для сетей VLAN важным является только поле идентификатора в системе защиты (Security Association Identifier— SAID), поэтому другие два поля (802.10 LSAP и MDF) в на- настоящей книге не обсуждаются. Поле SAID используется устройствами Cisco для идентификации сети-отправителя VLAN. Данное 4-битное поле допускает использование нескольких идентификаторов сетей VLAN в сети FDDI. При создании в технологии FDDI сети VLAN необходимо задать номер VLAN. Стандартно коммутатор Catalyst добавляет 100000 к номеру сети VLAN, чтобы получить значение SAID. Коммутатор-получатель Catalyst вычитает 100000 для того, чтобы восстановить исходное значение номера FDDI VLAN. Задавать значение SAID необязательно и не всегда нужно. В примере 8.10 приведены команды для коммутатора Catalyst, которые демонстрируют, как сконфигурировать инкапсуля- инкапсуляцию 802.10 для сетей VLAN 500 и 600 и изменить значение SAID сети VLAN 600 на 1600 вручную. \ Пример 8.10. Конфигурирование сети VLAN стандарта 802.10 Console> (enable) set vlan 500 type fddi Vlan 500 configuration successful Console> (enable) set vlan 600 type fddi said 1600 Vlan 500 configuration successful После настройки сетей VLAN с помощью команды show vlan можно получить до- дополнительную информацию о них и определить соответствующие значения SAID, как показано в примере 8.11. Следует заметить, что значение SAID сети VLAN 500 равняет- равняется 100500, поскольку значение SAID для нее не было указано при конфигурировании устройства и коммутатор Catalyst no умолчанию добавил 100000 к номеру сети VLAN. {Пример 8.11. Результат выполнения команды show vlan Console> (enable) show vlan VLAN Name Status Mod/Ports, Vlans 1 default 100 VLAN0100 110 VLAN0110 120 VLAN0120 500 VLAN0500 600 VLAN0600 1002 fddi-default Глава 8. Технологии и приложения магистральных соединений 373 active active active active active active active 1/1-2 2/1-24 110, 120
1003 1004 1005 VLAN 1 100 110 120 500 600 1002 1003 1004 1005 trcrf-default fddinet-default trbrf-default Type enet trbrf trcrf trcrf fddi fddi fddi trcrf fdnet trbrf SAID 100001 100100 100110 100120 100500 1600 101002 101003 101004 101005 MTU 1500 4472 4472 4472 1500 1500 1500 4472 1500 4472 Parent _ - 100 100 - - - 1005 - _ active active active RingNo BrdgNo _ 0x5 0x10 - 0x20 - 0x0 0x0 0x0 Oxccc - 0x0 Oxf 1003 Stp _ ibm - - - - - - ieee ibm BrdgMode _ - srb srb - - - srb - Transl 0 0 0 0 0 0 0 0 0 0 Trans2 0 0 0 0 0 0 0 0 0 0 VLAN AREHops STEHops Backup CRF 110 7 120 7 1003 7 Console> 7 7 7 (enable) off off off Несмотря на то, что сети FDDI VLAN были успешно созданы, все они являются отдельными широковещательными доменами. Коммутатор Catalyst интерпретирует сеть FDDI VLAN как отдельную от любых других сетей Ethernet VLAN до тех пор, пока все широковещательные домены не будут объединены в один домен. Для их объ- объединения используется команда set vlan; пока она не будет выполнена, коммутатор Catalyst не сможет передавать данные из сети Ethernet VLAN no FDDI-магистрали. Чтобы сети Ethernet VLAN 10 и FDDI VLAN 100 стали частью одного широковеща- широковещательного домена, необходимо выполнить команду Console> (enable) set vlan 10 translation 100 Если же необходимо сначала определить сеть FDDI VLAN, а потом преобразовать ее в сеть Ethernet VLAN, то следующая команда по эффективности равнозначна пре- предыдущей: Console> (enable) set vlan 100 translation 10 Приведенные команды являются двунаправленными, поэтому нет необходимости вводить обе команды, а только одну из них. АТМ-магистрали Неотъемлемой частью технологии асинхронного режима передачи (Asynchronous Transfer Mode — ATM) является передача звука, изображения и информации через одну и ту же инфраструктуру. Поскольку у технологии ATM в отличие от VLAN- 374 Часть 111. Магистральные соединения
технологии домен коллизий не зависит от расстояния, на которое передаются данные, сфера ее использования не ограничена. Благодаря такой полезной особенности техно- технология ATM предоставляет пользователям возможность использовать соответствующую инфраструктуру для объединения традиционно независимых сетей. Например, у неко- некоторых компаний есть собственная речевая инфраструктура между корпоративными и удаленными офисами, для объединения своих мини-АТС (private branch exchaftge — PBXs) компании арендуют службы линий Т1 или Е1. Компания также может исполь- использовать или арендовать отдельную сеть для передачи данных между офисами. И нако- наконец, для поддержки видео-конференций необходимо использовать службы каналов ISDN. Каждая из перечисленных сетей имеет свои собственные требования к обору- оборудованию, свои проблемы при обслуживании, и во многих случаях периодические фи- финансовые вложения. При объединении нескольких разнородных служб в одну АТМ- сеть, как показано на рис. 8.12, устраняется значительная часть трудностей, связанных с построением инфраструктуры, и могут быть уменьшены периодические финансовые вложения. И что более важное, работодатель в любом случае остается довольным. Рис. 8.12. Объединение служб в АТМ-сети Глава 8. Технологии и приложения магистральных соединений 375
Пользователи устройств, для которых технология ATM обеспечивает службы маги- магистрали (как на уровне университетской сети, так и на уровне распределенной сети), могут в полной мере оценить преимущества инфраструктуры ATM в качестве магист- магистрали между коммутаторами Catalyst. Если в коммутатор Catalyst добавить блок LANE (блок эмуляции локальной сети), он сможет посылать и получать фреймы данных че- через сеть ATM. Коммутатор Catalyst направляет трафик сети VLAN в ATM-сеть для пе- передачи фреймов (сегментированных на ATM-ячейки с помощью модуля LANE) через ATM-систему с последующим их получением коммутатором Catalyst или маршрутиза- маршрутизатором, подключенным к каналу ATM. Коммутатор Catalyst поддерживает два режима передачи данных через АТМ-сеть: LANE и МРОА. Каждый из них детально описан в последующих главах. Работа ре- режима LANE подробно рассматривается в главе 9, "Магистральное соединение с эму- эмуляцией локальной сети", а режим МРОА — в главе 10, "Многопротокольное магист- магистральное соединение по сети ATM". Форум ATM3 определил режимы LANE и МРОА для сетей передачи данных. Если планируется использовать магистральные соедине- соединения ATM, настоятельно рекомендуется посетить Web страницу АТМ-форума (www.atmforum.com) для получения бесплатной документации по режимам LANE и МРОА. В следующих разделах дается краткое описание опций режимов LANE и МРОА для магистральных соединений через сеть ATM. Технология LANE Режим LANE эмулирует Ethernet и Token Ring сети для технологии ATM. Эмуля- Эмуляция сетей Ethernet и Token Ring через ATM называется эмулируемой локальной сетью (Emulated LAN — ELAN), а элемент сети — клиентом-эмулятором локальной сети (LANE Client — LEC). Каждая сеть ELAN является независимым широковещатель- широковещательным доменом, и клиент LEC может принадлежать только одной сети ELAN. Как сеть Ethernet, так и Token Ring являются широковещательными сетями: если станция по- посылает широковещательное сообщение, то каждый компонент сети получает копию фрейма. С другой стороны, ATM-сети создают между пользователями прямые соеди- соединения по технологии "точка-точка". Проблема возникает при передаче клиентом ши- широковещательного фрейма. Как широковещательный фрейм рассылается всем пользо- пользователям в широковещательном домене? В действительности, управление широкове- широковещанием не относится к функциям технологии ATM. Клиент может создать соединение с каждым элементом сети ELAN и отдельно отправить широковещатель- широковещательное сообщение каждому из них. Но данный метод непрактичен из-за большого коли- количества виртуальных соединений, которые необходимо установить даже в сетях малого или среднего размера. Кроме того, каждому клиенту не обязательно знать всех других клиентов сети. При работе в режиме LANE данная проблема решается путем выделе- выделения специального сервера, ответственного за распределение широковещательных со- сообщений в сети ELAN. На рис. 8.13 три коммутатора Catalyst и маршрутизатор соединены посредством се- сети ATM. Co стороны локальной сети каждый коммутатор Catalyst поддерживает три сети VLAN, а со стороны ATM-сети, каждый коммутатор Catalyst содержит трех кли- клиентов, которые являются элементами трех сетей ELAN. 3 Форум ATM — независимая ассоциация производителей и пользователей ATM, которая занима- занимается, в частности, разработкой спецификации ATM. — Прим. ред. 376 Часть 111. Магистральные соединения
VLAN2 VLAN1 VLAN1 VLAN3 Рис. 8.13. Коммутаторы Catalyst в среде LANE, подсоединенные к трем сетям ELAN В конфигурационных настройках коммутаторов Catalyst каждой сети VLAN сопос- сопоставлена одна сеть ELAN. За счет именно такой структуры происходит объединение широковещательных доменов, и поэтому разделенные сети VLAN могут взаимодейст- взаимодействовать через ATM-сеть. На рис. 8.14 показано происходящее в коммутаторе Catalyst логическое сопоставление сети VLAN и сети ELAN. Для взаимодействия рабочих станций одной сети VLAN с рабочими станциями другой сети VLAN необходим маршрутизатор, как показано на рис. 8.13. В этом при- примере маршрутизатор находится в ATM-сети, но он также может находиться и в ло- локальной сети коммутаторов Catalyst. Когда станции из сети VLAN 1 требуется обме- обменяться данными со станцией сети VLAN 2, коммутатор Catalyst направляет фрейм че- через клиента LEC 1 маршрутизатору, который также взаимодействует с тремя клиентами. Маршрутизатор направляет фрейм коммутатору-получателю Catalyst через клиента LEC, который является элементом сети ELAN 2. Коммутатор-получатель по- получает фрейм через клиента LEC 2 и направляет его на необходимый порт сети VLAN. Глава 8. Технологии и приложения магистральных соединений 377
Рис. 8.14. Коммутатор Catalyst с тремя клиентами LEC, подсоединенными к трем сетям ELAN Технология МРОА В большинстве сетей подсети соединяются между собой с помощью нескольких маршрутизаторов. Только в очень малых сетях маршрутизатор принадлежит сразу всем подсетям. В крупных корпоративных инфраструктурах фрейм перед тем, как достиг- достигнуть пункта назначения, может пройти через несколько маршрутизаторов. Когда ис- используются сети ATM, одни и те же данные пройдут через среду ATM столько раз, сколько будет переходов между маршрутизаторами. На рис. 8.15 станция, находящая- находящаяся в сети VLAN 1, которая в свою очередь подключена к коммутатору Cat-А, пытается связаться со станцией, находящейся в сети VLAN 4, подключенной к устройству Cat- В. Обычно фрейм следует от коммутатора Cat-A по направлению к маршрутизатору 1, который является стандартным шлюзом для данной сети. Маршрутизатор 1 отправля- отправляет фрейм маршрутизатору 2, который в свою очередь перенаправляет его маршрутиза- маршрутизатору 3. Маршрутизатор 3 передает фрейм коммутатору-получателю Cat-B. Описанный путь фрейма является стандартным маршрутом и требует четырех пересылок через ATM-сеть, что является очень неэффективным с точки зрения пропускной способно- способности. Данное обстоятельство чрезвычайно обескураживает, поскольку в АТМ-сети можно создавать виртуальные каналы непосредственно между коммутаторами Cat-A и Cat-B. Однако, согласно правилам IP-протокола, устройства, принадлежащие различ- различным подсетям, должны соединяться через маршрутизаторы. 378 Часть 111. Магистральные соединения
Маршрутизатор 2 Маршрутизатор 1 Маршрутизатор 3 Cat-A -' Cat-B Стандартный маршрут -Короткий маршрут Рис 8.15. Коммутатор Catalyst в среде МРОА Технология МРОА позволяет устройствам выбирать другой маршрут, отличный от стандартного, и устанавливать прямые соединения между устройствами, даже если они принадлежат разным подсетям. Короткий путь фрейма, показанный на рис. 8.15, позволяет устранить многочисленные переходы, которые присутствуют в стандартном маршруте, сберегает пропускную способность ATM-сети и снижает общую задержку при передаче данных. Технология МРОА не заменяет LANE, а дополняет ее. Фактически технология МРОА требует наличие метода передачи LANE как одного из своих компонентов. Внутри широковещательного домена (т.е. передача внутри сети ELAN) взаимодейст- взаимодействие происходит посредством механизмов LANE. Технология МРОА используется только тогда, когда устройства, принадлежащие различным сетям ELAN, пытаются взаимодействовать между собой, но даже в таком случае механизмы МРОА не всегда применяются, поскольку они являются протокол-зависимыми. Производители обору- оборудования должны предусмотреть такую зависимость. В настоящее время доминирую- доминирующим протоколом для сетей является протокол IP. He всегда выбор короткого маршру- маршрута МРОА оправдан. На запрос МРОА о получении укороченного маршрута МРОА- клиент должен обнаружить достаточный объем трафика между двумя станциями, что- чтобы принять решение о необходимости поиска маршрута. Для определения "достаточ- "достаточного" количества трафика служит административно конфигурируемое пороговое зна- значение: количество переданных пакетов в секунду между двумя отдельными станциями. Если клиент обнаружит, что количество пакетов в секунду между IP-отправителем и Глава 8. Технологии и приложения магистральных соединений 379
IP-получателем больше, чем конфигурируемая пороговая величина, он попробует вы- вычислить укороченный маршрут к точке назначения; если же количество пакетов в се- секунду не превышает пороговой величины, фреймы будут продолжать следовать ис- исключительно по стандартному маршруту. Различные варианты магистральных соединений В предыдущих разделах были описаны три типа магистралей и соответствующие им методы инкапсуляции. Магистрали Fast Ethernet и Gigabit Ethernet используют ин- инкапсуляцию ISL или 802.1Q, FDDI-магистрали — Cisco-инкапсуляцию 802.10, совме- совместно с технологией ATM можно использовать инкапсуляцию LANE. Механизмы LANE не обязательно дополнять технологией МРОА. Какие же именно варианты сле- следует использовать при построении сети администратору? Критерии, которые необходимо учесть при выборе, включают в себя: • существующую инфраструктуру; • уровень удобства технологии; • требования к надежности инфраструктуры; • требования к пропускной способности. Существующая инфраструктура Выбор магистрали может быть ограничен технологией, которая используется на данный момент в вашей сети. Если основными интерфейсами коммутаторов Catalyst являются Ethernet и Fast Ethernet, и при прокладке кабелей также был сделан упор на одну из этих технологией, тогда для магистрали следует выбрать одну из форм Ethernet-канала. Открытым остается лишь вопрос о величине пропускной способно- способности, необходимой для удовлетворения потребностей пользователей. Если на данный момент в инфраструктуре базовой сети используется технология FDDI, возможно, не следует использовать другую технологию магистрали, поскольку ее замена приведет к дополнительным затратам времени и финансов при прокладке необходимого кабеля. В таком случае, существующая сеть FDDI все равно может быть использована в качестве основы для сети уровня распределения, а для базовой сети придется использовать другую технологию. На рис. 8.16 показана структура сети, в которой сеть FDDI используется на втором уровне локальной сети — уровне рас- распределения. FDDI-сегменты являются сегментами со сдвоенным каналом, который подключа- подключается к коммутаторам Catalyst базового уровня, что обеспечивает отказоустойчивость в случае, если основной коммутатор выходит из строя. Тип соединения между базовы- базовыми коммутаторами Catalyst определяется требованиями к пропускной способности. Следует помнить, что FDDI-сегменты являются совместно используемыми. Пропуск- Пропускная способность распределяется между всеми присоединенными компонентами, и ка- каналы такой сети функционируют в полудуплексном режиме. На данный момент FDDI является самой неподходящей технологией для базовой сети любого предприятия или организации. 380 Часть III. Магистральные соединения
Базовая сеть Уровень распределения Уровень доступа Рис. 8.16. Интеграция существующей сети FDDI в новую сеть Технология ATM считается хорошим выбором, если требуется объединить сети в структуру, которая описана в разделе, посвященном ATM-магистралям. Данную тех- технологию следует использовать в том случае, если необходима магистраль, которая бу- будет передавать данные на расстояния, не поддерживающиеся технологиями Ethernet и FDDI. Уровень удобства технологии Еще одним немаловажным критерием выбора является опыт работы с сетевыми технологиями. Если работодатель утверждает, что его работник чувствует себя неуве- неуверенно при контакте с определенной технологией в связи с малым опытом работы или недостаточными знаниями о ней, не следует использовать данную технологию. Впол- Вполне очевидно, что основным критерием при выборе технологии служат ее достоинства, но не следует также забывать, что когда сеть перестанет функционировать, ее придет- придется чинить независимо от времени суток и наличия или отсутствия необходимых зна- знаний. Следует предпочесть ту технологию, с которой специалисты уже имеют опыт ра- работы, за исключением тех случаев, когда какие-либо технические причины не позво- позволяют выбрать именно ее. Требования к надежности инфраструктуры По определению, количество пользователей зависит от возможностей магистрали. Магистраль переносит трафик более чем одной сети VLAN и, фактически, может пе- переносить трафик всех сетей VLAN инфраструктуры предприятия. Если магистраль вы- выходит из строя в критических точках сети, некоторые службы становятся недоступны- недоступными, что приводит к отключению, например, пейджера и/или телефона. Такие случаи крайне нежелательны, поэтому перед принятием решения необходимо рассмотреть функционирование потенциальных магистральных технологий при возникновении сбоев в сети. Глава 8. Технологии и приложения магистральных соединений 381
Каждая из магистральных технологий каким-либо образом защищена от сбоев. От- Отличия между ними состоят в количестве времени, необходимом на развертывание се- сети, и во времени возобновления работы после возникновения неисправности. Надежность технологии FDDI Технология FDDI имеет, возможно, самое короткое время возобновления работы после возникновения неисправности, поскольку ее механизмы, обеспечивающие на- надежность сети, оперируют на первом уровне модели OSF — физическом уровне. В технологии FDDF используется встречная двойная кольцевая топология, т.е. трафик в одном кольце перемещается в направлении, противоположном трафику в другом. Ес- Если кабель между коммутаторами Cat-A и Cat-B выходит из строя, как показано на рис. 8.17, оба коммутатора обнаруживают пропадание оптического сигнала и перехо- переходят в защищенный режим. Данные продолжают передаваться между всеми компонен- компонентами сети, невзирая на выход из строя кабеля. Время возобновления работы после разрыва соединения исключительно мало, поскольку обнаружение неисправности и восстановление происходят на первом уровне. Cat-A ^-—" -—---^ Cat-В Cat-C Рис. 8.17. Надежность технологии FDDI Надежность технологии ATM В сетях ATM восстановление после сбоя так же происходит на физическом уровне. Однако, время возобновления работы после возникновения неисправности в них больше, чем в сетях FDDI. В сетях ATM кабель или интерфейс может выйти из строя или непосредственно в коммутаторе Catalyst, или между коммутаторами ATM. Если авария произошла между коммутаторами ATM, то устройство Catalyst посылает в сеть ATM запрос на восстановление соединения с удаленным клиентом (клиентами). Уст- Устройства ATM-сети пытаются найти альтернативный маршрут для выполнения запроса на соединение, причем такой процесс происходит автоматически. На рис. 8.18 пока- показан коммутатор Catalyst, который для надежности подключен к двум коммутаторам ATM. Одно соединение, предпочтительное, является активным, другое соединение служит резервным и неактивно. Трафик проходит только через активное соединение. 382 Часть III. Магистральные соединения
ATM-коммутатор 1 Предпочтительное соединение ATM-коммутатор 2 Резервное соединение Модуль LANE Рис. 8.18. Надежность технологии А ТМ Неисправность может возникнуть и в коммутаторе Catalyst. Во избежание подоб- подобной ситуации модуль LANE устройства Catalyst оснащен двумя физическими интер- интерфейсами PHY А4 и PHY В. На рис. 8.18 коммутатор Catalyst присоединен к двум ком- коммутаторам ATM, интерфейс PHY А присоединен к коммутатору ATM I, a PHY В — к устройству ATM 2. Коммутатор Catalyst может одновременно активировать только один из таких интерфейсов, второй просто обеспечивает резервный маршрут. Комму- Коммутатор Catalyst должен вновь подключиться к сетям ELAN после обрыва связи и после этого подсоединить к ним других клиентов сети. Несмотря на то, что АТМ- соединение устанавливается быстро, время возобновления работы после возникнове- возникновения неисправности возрастает за счет дополнительных сложностей при восстановле- восстановлении связи по сравнению с соединением FDDI. Подлинное время возобновления ра- работы сети зависит от задач, которые выполняют ATM-коммутаторы, когда коммутатор Catalyst шлет запрос на подсоединение сети ELAN к другому клиенту. В среде LANE также могут встречаться другие типы неисправностей. Например, для функционирования LANE должны быть активированы различные функции серве- сервера. По стандарту LANE версии 1 в каждой сети LANE должен находиться только один из серверов; если такой сервер выходит из строя, доступ к сети LANE блокируется. В корпорации Cisco был разработан простой протокол избыточности серверов (Simple Server Redundancy Protocol — SSRP), который при возникновении неисправности подключает резервные сервера, чтобы функционирование сети LANE не прекраща- прекращалось. Более детально данная проблема обсуждается в главе 9, "Магистральное соеди- соединение с эмуляцией локальной сети". Надежность технологии Ethernet Технологии Ethernet (как Fast Ethernet, так и Gigabit Ethernet) в качестве меха- механизма обеспечения надежности используют механизм распределенного связующего дерева. Данная технология, подробно обсуждавшаяся в главе 6 "Основы протокола распределенного связующего дерева", функционирует на втором уровне модели OSI — канальном уровне передачи данных. Обнаружение неполадки происходит, если компоненты не получают сообщений данных мостового протокола (Bridge Protocol Data Unit — BPDU) от корневого моста. Возобновление работы связую- 4 Сокращение от англ. PHYsical — физический. — Прим. ред. Глава 8. Технологии и приложения магистральных соединений 383
щего дерева происходит приблизительно за 50 с, в зависимости от значений, уста- установленных в таймерах устройств. Как соединение EtherChannel, так и Fast и Gigabit Ethernet обеспечивают локаль- локальную надежность сети. На рис. 8.19 показаны два коммутатора Catalyst, которые соеди- соединены с помощью канала EtherChannel. Нормальная пропускная способность 800 Мбит/с Пропускная способность при одиночной неполадке 600 Мбит/с Рис. 8.19. Надежность соединения EtherChannel В соединении EtherChannel для передачи данных присутствуют более чем одно ак- активное соединение; если одно из них, как показано на рис. 8.19, выходит из строя, оставшиеся соединения продолжают переносить данные, хотя и с меньшей суммарной пропускной способностью. Данный процесс происходит без запуска механизма свя- связующего дерева, поэтому временные интервалы механизма распределенного связую- связующего дерева не используются. Время возобновления работы в канале EtherChannel по- после возникновения неисправности мало, потому что в данной технологии для обнару- обнаружения неисправности и восстановления используются механизмы первого уровня. Если используются дополнительные избыточные соединения EtherChannel, временные интервалы активации механизма связующего дерева должны быть искусственно уменьшены. Надежность: механизмы возобновления работы в случае отказа И наконец, рассмотрим несколько основных вопросов надежности сети. Многие сетевые инженеры гордятся теми механизмами восстановления работы сети в крити- критических ситуациях после возникновения неисправности, которые они предусмотрели. Обычно специалисты предусматривают наличие избыточных интерфейсов, беря во внимание пропускную способность, которую планируется использовать в возобнов- возобновленных после неисправности конфигурациях. Они даже планируют избыточные ис- источники питания. Но даже до сих пор большинство администраторов не в состоянии распознать два особых режима неполадок: пропадание силового питания устройства и обрывы в кабельной системе сети. Несмотря на то, что избыточные источники пита- питания поддерживают внутренне оборудование сети при возникновении проблемы с на- наличием тока, для наиболее полной защиты дополнительные источники питания должны быть также присоединены к альтернативным источникам (т.е. к другой, не связанной с первой, фазе электрической сети) тока, которые не относятся к основной сети питания предприятия. Если основной и запасной блоки питания присоединены к одной и той же электрической сети (фазе или подстанции), которая вышла из строя, перестает функционировать весь блок оборудования. Оба блока питания обору- оборудования необходимо перевести на разные альтернативные электрические сети. Более грубая ошибка связана с кабельной системой сети. Несмотря на то, что можно использовать избыточные кабельные сегменты, необходимо удостовериться, 384 Часть III. Магистральные соединения
что для каждого сегмента есть несколько физических каналов. Например, если при использовании соединения EtherChannel между коммутаторами Catalyst отсекается группа кабелей, канал EtherChannel перестает функционировать, поскольку электри- электрическая цепь не замкнута. Для обеспечения полной надежности необходимо использо- использовать сегменты кабелей различных групп, которые проходят через разные кабельные лотки, коммутационные панели, стояки и кабелепроводы. С другой стороны, если все они находятся в одной группе, можно полностью лишиться связи, если произойдет обрыв на физическом уровне всех групп, а не отдельных кабелей. Требования к пропускной способности Зачастую при выборе магистральной технологии сетевые инженеры ориентируются на требуемую пропускную способность магистрального канала. Коммутатор Catalyst поддерживает диапазон значений пропускной способности от полудуплексной техно- технологии FDDI до дуплексной технологии Gigabit EtherChannel. На рис. 8.20 показаны несколько вариантов соединений Fast Ethernet и Fast EtherChannel с соответствующей пропускной способностью. VLAN1 VLAN2 VLAN3 VLAN4 .i'.* -'Л Обычный канал VLAN 1,2,3,4 VLAN1.3 VLAN 2,4 V Магистраль /Fast Ethernet/ Gigabit Ethernet VLAN 1,2,3,4 VLAN 1,2,3,4 V7 V. Соединение ^ Fast EtherChannel/ Gigabit EtherChannel Рис. 8.20. Пропускная способность Ethernet-магистралей На рис. 8.20,а показано объединение каналов, где каждое соединение выделено в отдельную сеть VLAN. Поскольку в такой структуре не используется магистральная Глава 8. Технологии и приложения магистральных соединений 385
инкапсуляция, фреймы передаются в их изначальном формате. Одновременно может быть активировано только одно соединение между коммутаторами Catalyst для одной сети VLAN. Технология связующего дерева запрещает любые дополнительные (т.е., избыточные) соединения. Поэтому возможны только такие варианты пропускной способности: 10/100/1000 Мбит/с. При использовании магистральной инкапсуляции ISL пропускная способность со- соединения может использоваться несколькими сетями VLAN. Одно соединение Fast Ethernet или Gigabit Ethernet, как показано на рис. 8.20,5, предоставляет пропускную способность в 100 или 1000 Мбит/с без гарантирования надежности. Создание не- нескольких параллельных магистралей обеспечивает дополнительную пропускную спо- способность и надежность. Однако, трафик одной сети VLAN может использовать только один маршрут, а другие каналы в таком случае работают в качестве резервных. На- Например, как показано на рис. 8.20,в, между коммутаторами Catalyst может быть созда- создано два соединения. Одно соединение переносит трафик сетей VLAN 1 и 3, а другое — трафик сетей VLAN 2 и 4. Каждое соединение используется как резервный канал в алгоритме распределенного связующего дерева для другого. В такой конфигурации пропускная способность больше, чем в структуре, показанной на рис. 8.20,5, посколь- поскольку несколько сетей VLAN борются за пропускную способность, что обеспечивает со- совершенно другой уровень надежности. Однако пропускная способность каждой сети VLAN для соединений Fast Ethernet и Gigabit Ethernet не превышает 100 и 1000 Мбит/с соответственно. С другой стороны, сети VLAN, как показано на рис. 8.20,г и рис. 8.20Д могут со- совместно использовать общую пропускную способность соединений, которые являются каналами Fast или Gigabit EtherChannel. При наличии двухпортового соединения EtherChannel сети VLAN совместно используют пропускную способность в 400/4000 Мбит/с (каждое соединение функционирует в данном случае в дуплексном режиме). В четырехпортовом соединении пропускная способность будет равна 800/8000 Мбит/с. В табл. 8.8 приведен сравнительный анализ различных соединений, приведена их общая пропускная способность, механизмы обеспечения надежности и типы инкапсу- инкапсуляции, которые используются в каждой из технологий. Таблица 8.8, СравнителЩ||й анализ различных режимов : -: -<;: |;1!^||^:||?--^фФунЩИОН^ "£'; Режим функцио- Пропускная спо- Технология обес- Инкапсу- Комментарии нирования маги- собность (Мбит/с) печения надежно- ляция страли сти I Одна сеть VLAN на одно соединение Ethernet EtherChannel Выделяется на сеть VLAN, скорость — 10/100/1000 Совместно использу- используется, скорость — 100/1000 Совместно использу- используется, скорость — 200/400/2000/8000 Связующее дерево Нет Связующее дерево ISL/802.1Q Механизмы первого ISL/802.1Q уровня (физического) Трафик сетей VLAN привязан к соединению Пропускная способность при- приведена для полудуплексного режима. В дуплексном режи- режиме она удваивается В некоторых случаях необхо- необходимо активировать связую- связующее дерево 386 Часть III. Магистральные соединения
Окончание табл. 8.8 Режим функцио- Пропускная спо- Технология обес- Инкапсу- Комментарии нирования маги- собность (Мбит/с) печения надежно- ляция страли сти FDDI ATM Совместно использу- Защита от сбоев за 802.10 ется, скорость —100 счет механизмов первого уровня Совместно использу- Наличие дополни- LANE/MPOA ется, скорость — тельных маршрутов 155/622 на первом уровне Надежность сети противопос- противопоставлена локальным неис- неисправностям Контрольные вопросы В данный раздел включены различные вопросы по теме настоящей главы. Ответив на них, читатель сможет оценить степень владения изложенным материалом. Кроме того, приведенные ниже вопросы помогут подготовиться к письменным и лаборатор- лабораторным экзаменам на получение статуса сертифицированного эксперта по объединенным сетям Cisco (CCIE). Ответы на вопросы приведены в приложении А, "Ответы на кон- контрольные вопросы". 1. Что происходит с загрузкой интерфейсов трафиком, когда два сервера передают файлы друг другу по соединению EtherChannel? 2. Если есть возможность воспользоваться оборудованием для экспериментов, по- попытайтесь сконфигурировать двухсегментное соединение EtherChannel, у кото- которого один конец сегмента настроен на передачу трафика из сетей VLAN 1-10, а другой конец сегмента может переносить трафик из всех сетей VLAN. Что в ко- конечном итоге будет получено? 3. На рис. 8.13 показана конфигурация сети VLAN 200 на маршрутизаторе с ин- инкапсуляцией 802.1Q. Как к магистрали добавить сеть VLAN 300? 4. Сконфигурируйте магистраль на коммутаторе Catalyst для переноса трафика из сетей VLAN 200 и VLAN 300 с инкапсуляцией 802.1Q. Повторите упражнение с инкапсуляцией ISL. Глава 8. Технологии и приложения магистральных соединений 387
В этой главе... ": • Краткое руководство по технологии ATM. Для инженеров, которые привыкли работать с технологиями, основанными на фреймах, как, например, Ethernet, технология ATM<может показаться странной и загадочной. Однако технология ATM основывается на одних и тех же фундаментальных концепциях, что и бо- более привычные технологии. • LANE: теория функционирования. В данном разделе представлена теория, кото- которая используется в эмуляторах сети LAN (LANE) для моделирования сетей Ethernet и Token Ring в ATM-инфраструктуре. Исследуется концептуальное приближение, которое используется в технологии LANE, и его четыре основ- основные компоненты., Далее приведено детальное описание последовательности инициализации службы LANE и требуемые типы соединений. • Концепции конфигурации. В данном разделе обсуждаются несколько концепций, которые используются для конфигурирования сети LANE на оборудовании корпорации Cisco. > • Синтаксис конфигурации. В данном разделе представлен процесс конфигуриро- конфигурирования сети LANE на маршрутизаторах Cisco и на оборудовании Catalyst. • Завершенная сеть LANE. В данном разделе обобщен весь материал, который об- обсуждался в предыдущих главах, для исследования сквозной конфигурации сети LANE на примере территориальной сети. ч-; • Проверка работоспособности конфигурации. В данном разделе объясняются не- несколько полезных и важных команд, которые используются при поиске неис- неисправностей и поддержке сетей LANE на оборудовании корпорации Cisco. • Дополнительные вопросы и возможности. В данном разделе обсуждается ряд до- дополнительных тем, связанных с технологией LANE, таких, как дизайн сети • LANE, простой протокол избыточности серверов (SSRP), связь, которая бази- >■ руется на каналах PVC, и механизмы ограничения трафика.
Глава 9 Магистральное соединение с эмуляцией локальной сети С начала 90-х годов режим асинхронной передачи (Asynchronous Transfer Mode — ATM) постоянно подвергался критике и приковывал пристальное внимание. Корпо- Корпорация Cisco как одна из четырех первых основателей ATM-форума1 (ATMF — ATM Forum) сыграла большую роль в развитии технологии ATM. ATM-форум принял большое количество стандартов, направленных на упрощение внедрения и способно- Ш| сти взаимодействия сетей ATM. К 1996 году были завершены несколько ключевых : стандартов, доступ к которым стал возможен как к коммерческим продуктам, что, на- наконец, позволило системным администраторам создавать жизнеспособные сети с ис- использованием технологии ATM. Сегодня ATM является высокопроизводительной тех- технологией с большими возможностями. Из нескольких подходов, разработанных АТМ- форумом, эмуляция сети LAN (LANE — LAN Emulation) приобрела наибольшую по- gg;- пулярность для территориальных сетей передачи данных. Перед началом обсуждения технологии и методов работы необходимо привести два предостережения, связанных с ними. Первое: технология ATM является очень слож- сложной, поэтому не следует удивляться, если изучение этого нового и сложного предмета займет много времени. Большинству пользователей трудно "покорить" технологию ATM. В ней используется множество необычных концепций и акронимов (в даль- дальнейшем будет показано, что в ATM действительно используется метод обучения с ис- использованием акронимов — Acronym Training Method). Второе: невозможно в одной !?;? главе описать все, что связано с технологией ATM. Издано большое количество книг, которые полностью посвящены исключительно данной тематике. Целью данной гла- главы является собрать как можно более полную информацию об использовании техно- технологии ATM для построения территориальных базовых сетей LANE в реальном мире. В главе 10 как продолжение текущей главы рассматривается мультипротокольная пере- передача данных по сетям ATM (MPOA — Multprotocol over ATM). Однако не следует отчаиваться, приступая к изучению данной главы. Поверит ли |8: читатель или нет, но в технологиях ATM и LANE действительно можно разобраться и понять их. Акцентируя внимание только на технологии LANE, в данной главе объяс- объясняются некоторые непонятные моменты теории ATM. Такие моменты обсуждаются с перспективой применения их в реальных структурах сетей, что позволяет упростить теоретические вопросы и облегчить рассмотрение проблем технологии ATM. В дан- ' Форум ATM — независимая ассоциация производителей и пользователей ATM; занимается, в частности, разработкой спецификаций А ТМ. — Прим. ред.
ной главе акцентируется внимание на важных концепциях, которые помогут разработ- разработчику эффективно проектировать, планировать, реализовывать и устранять неисправ- неисправности в сетях LANE. Краткое руководство по технологии ATM В данной главе перед углублением в изучение технологии LANE будут рассмотре- рассмотрены некоторые основные концепции и терминология технологии ATM. Основные концепции, которые рассматриваются ниже, включают в себя следующие пункты: • основы технологии передачи ATM-ячеек (ATM Cells), или пять вопросов по данной технологии, которые специалисты всегда стесняются задавать; • технология ATM, как механизм передачи данных с установлением соединения; • АТМ-адресация; • устройства ATM; • служебные протоколы технологии ATM; • когда следует использовать технологию ATM. Основы технологии передачи ATM-ячеек, или пять вопросов по данной технологии, которые специалисты всегда стесняются задавать Единственной наиболее важной характеристикой технологии ATM является то, что она использует ячейки. Тогда как другие технологии переносят большие блоки данных и блоки данных с переменной длиной, технология ATM полностью базиру- базируется на маленьких блоках данных с фиксированной длиной, которые называются ячейками. Почему используются именно ячейки? Большинство читателей, возможно, осведомлено о том, что технология ATM ис- использует пакеты данных фиксированной длины, которые называются ячейками. Но почему используются именно ячейки? Поскольку аппаратным средствам сетевых уст- устройств приходится затрачивать много усилий на разбиение всех данных на ячейки, то что же является выигрышем, который обосновывает все затраченные усилия на пере- передачу данных и сложность технологии? К счастью, ячейки действительно имеют мно- множество преимуществ, а именно: • высокую пропускную способность; • дополнительное статистическое мультиплексирование; • низкие задержки в сети; • возможность передачи разнообразных типов трафика (речь, видео и данные). Каждому из приведенных преимуществ ATM-ячеек посвящены следующие раз- разделы. 390 Часть III. Магистральные соединения
Высокая пропускная способность Высокая пропускная способность всегда была одним из наиболее неотразимых преимуществ технологии ATM. В то время, когда зарождалась данная технология, маршрутизаторы были медленными устройствами, которые требовали программной обработки данных для манипулирования сложным многопротокольным трафиком (ГР, IPX и другие типы потоков данных) с переменной длиной и переменным форматом. Переменная длина данных приводит к неэффективной обработке и использованию многих сложных схем буферизации (для иллюстрации данного утверждения необхо- необходимо просто посмотреть на вывод команды show buffers на маршрутизаторе Cisco). Переменная длина форматов данных требует использования различного набора логи- логических и маршрутных процедур для каждого протокола третьего уровня. Поэтому, ес- если обрабатывать такие данные на обычном процессоре, в результате будет получено устройство с низкой пропускной способностью. ATM-ячейки были созданы для решения этих проблем. Поскольку ячейки имеют фиксированную длину, буферизация становится тривиальной задачей за счет разделе- разделения памяти буфера на страницы фиксированной длины. Кроме того, ячейки имеют фиксированный формат и 5-байтовый заголовок, следовательно, обработка и комму- коммутация данных становятся чрезвычайно упрощенными. Результатом такой технологии является простота создания высокоскоростных аппаратных механизмов коммутации. Дополнительное статистическое мультиплексирование Ранние разработки технологии ATM финансировались крупными телефонными и информационными корпорациями. Одним из ключевых мотивов, который подталки- подталкивал операторов связи разрабатывать средства технологии ATM, было их желание улучшить использование и оптимально применять статистическое мультиплексирова- мультиплексирование в сетях. В то время было принято (и такая ситуация сохраняется по сегодняшний день) соединять телекоммуникационные узлы, используя многоканальные линии Т1 (или цепи Е1 за пределами Соединенных Штатов). На рис. 9.1 приведен пример ти- типичного использования данного метода. Статическое 14/10 расщепление Т1 = 24 канальных интервала 14 канальных интервалов = 896 kbps 10 канальных интервалов = 640 kbps Рис. 9.1. Типичная многоканальная сеть Глава 9. Магистральное соединение с эмуляцией локальной сети 391
На рис. 9.1 показана небольшая корпоративная сеть, которая состоит из трех час- частей: главный офис компании находится в Нью-Йорке (NY), а два удаленных офиса — в Вашингтоне (DC) и в Лос-Анджелесе (LA). Узел офиса NY имеет единственное подключение Т1 к ближайшей АТС телефонной компании (СО — Central Office). Со- Соединение Т1 разделено на два канала: один канал до удаленного офиса в Вашингтоне (DC), а другой — до LA. Технология Т1 использует так называемую мультиплексную передачу с временным разделением каналов (TDM — time-division multiplexing), что позволяет передавать до 24 речевых диалогов по одной 4-проводной линии. Каждому из таких 24 подканалов назначается канальный интервал, который позволяет посылать по 8 бит информации за раз; обычно такие 8 бит представляют собой данные, закодированные с помощью импульсно-кодовой модуляции (PCM — pulse-code modulation), которая является ос- основным способом представления аналогового сигнала, например, человеческой речи для передачи ее в форме цифрового потока. Для получения представления о том, что будет происходить, если передать 24 диалога по одному проводу за раз, необходимо помнить, что требуется повторять определенную комбинацию в канале сигналов 8000 раз в секунду. Также следует заметить, что в результате каждый канальный интервал будет предоставлять 64000 бит/с пропускной способности (8 бит/канальный интервал х 8000 канальных интервалов за секунду). Однако сеть передачи данных, которая приведена на рис. 9.1, не нуждается в 24 низкопропускных соединениях, так как она использует два соединения с высокой пропускной способностью. Необходимым решением для такой передачи является группирование канальных интервалов в две связки. Например, связка, состоящая из 14 канальных интервалов, может использоваться для переноса данных к удаленному узлу, который находится в Вашингтоне (DC), тогда как оставшиеся 10 канальных ин- интервалов используются для передачи данных удаленному офису в Лос-Анджелесе (LA). Поскольку каждый канальный интервал использует 64 Кбит/с пропускной спо- способности, на соединение с Вашингтоном (DC) выделяются 896 Кбит/с, а на соедине- соединение с офисом в Лос-Анджелесе (LA) — 640 Кбит/с. Такой подход представляет собой метод статического мультиплексирования, который позволяет двум соединениям со- совместно использовать один канал, но не допускает динамической реконфигурации разделенной пропускной способности 896/640. Другими словами, даже если по каналу между Нью-Йорком (NY) и Лос-Анджелесом (LA) не передается трафик, то все равно на соответствующее соединение выделяются 896 Кбит/с пропускной способности, а на передачу данных используются 640 Кбит/с пропускной способности, выделенной на другой канал. На рис. 9.2 показана эквивалентная схема с использованием технологии ATM. На рис. 9.2 офис в Нью-Йорке (NY) все еще использует Т1 подсоединение к ло- локальной АТС. Однако, такое Т1-соединение не является многоканальным — оно функционирует как конвейер к ATM-коммутатору, который располагается в точке размещения АТС оператора связи. Преимуществом данного подхода является то, что ячейки посылаются только тогда, когда необходимо доставить данные (отличные от служебных ячеек). Другими словами, если узлы Нью-Йорка и Лос-Анджелеса не об- обмениваются трафиком, то 100% пропускной способности можно использовать для пе- передачи трафика между офисами в Нью-Йорке и Вашингтоне или же между узлами Нью-Йорка и Лос-Анджелеса. Следует заметить, что несмотря на то, что канал Т1 все еще передает постоянный поток с пропускной способностью 1544000 Кбит/с, данное фиксированное количество пропускной способности используется значительно эф- 392 Часть III. Магистральные соединения
фективнее, поскольку не существует жестко запрограммированных шаблонов, из-за которых канал простаивает. В результате за счет статического мультиплексирования конфигурация, приведенная на рис. 9.1, значительно улучшается. В действительности, множество исследований доказало, что мультиплексирование с использованием ячеек может удвоить использование общей пропускной способности в больших сетях. Виртуальные каналы используют ячейки, когда это необходимо Рис. 9.2. Сеть, основанная на технологии ATM, в которой использу- используются виртуальные каналы Низкие сетевые задержки Сетевая задержка — это временной интервал, на протяжении которого информа- информация от отправителя доставляется к получателю. Сетевая задержка возникает по двум основным причинам: • задержка распространения сигнала (данных, пакетов и т.п.); • задержка за счет коммутации пакетов (фреймов, ячеек и т.п.). Задержка распространения данных основывается на количестве времени, необхо- необходимого для передачи сигнала в среде определенного типа. Передача сигнала во мно- многих типах медных и волоконно-оптических сред происходит со скоростью, равной двум третьим скорости света (другими словами, около 200000 м/с). Поскольку данная задержка в конечном счете зависит от скорости света, то она не может быть устранена или уменьшена (за исключением, конечно, очевидного случая, когда два устройства приблизят друг к другу). Задержка за счет коммутации данных является периодом времени, за которое данные проходят через некоторое сетевое устройство. На этот процесс два фактора влияют: • длина фрейма: если используются очень большие фреймы, то период времени между приходом первого и последнего битов фрейма будет больше; Глава 9. Магистральное соединение с эмуляцией локальной сети 393
• используемый механизм коммутации устройства: программные маршрутизаторы могут добавлять несколько сотен микросекунд к задержке за счет алгоритмов процесса маршрутизации, тогда как аппаратные маршрутизаторы могут осуще- осуществлять коммутацию и маршрутизацию всего за несколько микросекунд. За счет использования ячеек обычно пытаются избежать этих проблем. Поскольку ячейки имеют небольшой размер, разность между временем прихода первого и по- последнего битов фрейма минимальна, и поскольку ячейки имеют фиксированный раз- размер и формат, они легко допускают использование различных аппаратных оптимиза- оптимизаций процесса коммутации. Упрощение передачи многофункционального трафика Одним из наиболее привлекательных преимуществ технологии ATM является ее возможность одновременно поддерживать в одной коммутирующей инфраструктуре речевой, видео- и информационный трафик. Ячейки играют важную роль в создании данной возможности, позволяя заключать все типы трафика в один общий носитель. Одной из наибольших проблем, возникающих в IP-сетях, является большая сквоз- сквозная задержка, которая присутствует практически во всех инфраструктурах. Низкая за- задержка при коммутации ячеек позволяет технологии ATM легко приспосабливаться к существующим речевым приложениям. Вдобавок дополнительное мультиплексирова- мультиплексирование ячеек позволяет технологии ATM мгновенно приспосабливать пропускную спо- способность к информационным приложениям с помощью уменьшения объема переда- передаваемых видеоданных и речевого трафика (с помощью компрессии или разрыва неис- неиспользуемых каналов). Более того, небольшие размеры ячеек не допускают возникновения заторов при передаче данных, которое происходит во многих других структурах, когда небольшие пакеты скапливаются позади больших пакетов (очень похоже на то, как небольшие автомобили скапливаются позади грузовиков на авто- автостраде). Почему размер ячейки равен 53 байтам? Как обсуждалось в предыдущем разделе, каждая ячейка представляет собой кон- контейнер информации фиксированной длины. После значительных дебатов сетевое со- сообщество установило длину ячейки равной 53 байтам. Данный 53-байтовый блок со- состоит из двух частей: 5-байтового заголовка и 48-байтовой области данных фрейма. Значение в 53 байта кажется на первый взгляд очень странным, поскольку сетевые инженеры в течение длительного периода времени в размерах блоков данных исполь- использовали степени двойки. Как оказалось, значение в 53 байта является результатом ин- интернационального компромисса. В конце 80-х годов европейские операторы связи за- захотели использовать технологию ATM для передачи речи. Поскольку речь накладыва- накладывает ограничения на сетевую задержку, европейцы утверждали, что 32-байтовая область данных ячейки будет наиболее удобной. Операторы связи в США, которых техноло- технология ATM больше интересовала как механизм передачи данных, были заинтересованы в эффективности, которая была бы возможна с большей F4-байтовой) областью дан- данных фрейма. Две группы сошлись на среднем значении в 48 байт, которое сейчас и используется. Далее дебаты между группами продолжались по поводу преимуществ различных размеров заголовков. Также были предложены несколько размеров и, в конце концов, был выбран заголовок в 5 байт. 394 Часть III. Магистральные соединения
Как IP-пакеты помещаются внутри ячейки? Для ответа на данный вопрос в текущем разделе рассматривается процесс передачи информации в технологии ATM. Этап 1. Разбиение и формирование блока данных (Slice&Dice). Этап 2. Создание заголовка. Этап 3. Доставка ячейки. Каждый из приведенных этапов приравнивается к определенному уровню стека технологии ATM, как показано на рис. 9.3. Большие IP-пакеты 48 байтов + 5 байтов 53 байта С с ML ATM Физический Деление и фрагментация Создание заголовка Отправленные ячейки Рис. 9.3. Трехуровневый стек технологии ATM Сначала устройство ATM перед отправкой данных должно "измельчить" IP- пакеты. Стандартно техническим термином для описания такой функции устройства принято считать уровень адаптации ATM (AAL — ATM adaptation layer); однако наи- наиболее простым является другой понятный термин — уровень разбиения и формирования блока данных (Slice&Dice). Данный уровень функционирует подобно виртуальному по- повару (Cuisinart®), который измельчает большие блоки данных на небольшие доли фиксированного размера. На функцию Slice&Dice, которая является одной из двух главных функций, выполняемых на уровне AAL, часто ссылаются как на сегментацию и повторную сборку пакетов (SAR — Segmentation And Reassembly). Термин SAR точ- точно описывает функции уровня Slice&Dice. Подобно тому, как повар управляется с разными ножами, "лезвие" AAL может разными способами разделить и "нарезать ку- кубиками" блок данных. Фактически таким образом технология ATM позволяет вклю- включать речевой, видео- и информационный трафик в общую инфраструктуру. Другими словами, уровень адаптации ATM принимает (адаптирует — отсюда и первое название уровня) все виды трафика в общие ячейки ATM. Однако, независимо от того, какое лезвие используется при разделении и "нарезке" пакетов, уровень AAL гарантирует совместимость формата технологии при передаче фиксированной области данных длиной в 48 байт следующему АТМ-уровню. Средний уровень стека ATM, так называемый ATM-уровень, получает 48-байтовые блоки данных, созданные на уровне AAL. Следует заметить, что существует вероят- вероятность безнадежно запутаться в терминологии: все три уровня относятся к стеку ATM, но только средний уровень представляет собственно АТМ-уровень ATM-стека. На дан- данном уровне создается 5-байтовый заголовок ATM-ячейки, который является основой Глава 9. Магистральное соединение с эмуляцией локальной сети 395
всего ATM-процесса. Главной функцией заголовка является идентификация удален- удаленного ATM-устройства, которое будет получать каждую ячейку. После того, как АТМ- уровень завершит свою работу, гарантируется, что длина ячейки будет составлять ров- ровно 53 байта. Внимание! Технически существует малое исключение в утверждении, что ATM-уровень всегда передает физическому уровню ячейки длиной 53 байта. В некоторых случаях, на фи- физическом уровне подсчитывается циклический избыточный код (CRC— Cyclic Redundancy Check) заголовка ячейки, когда требуется передавать только 52 байта. Но на практике такая незначительная деталь может быть опущена. С данного момента ячейки готовы к отправлению с помощью протокола физи- физического уровня. Физический уровень функционирует как "цех отгрузки" готовых ячеек. Подавляющее большинство территориальных АТМ-сетей используют в каче- качестве механизма транспорта на физическом уровне синхронную оптическую сеть (SONET — Synchronous Optical Network). Технология SONET была разработана как высокоскоростная альтернатива технологиям Т1 и Е1, которые описаны ранее в данной главе. Внимание! Технология SONET подобна технологии Т1 в том смысле, что SONET является меха- механизмом транспорта на физическом уровне, использующим фреймы, которые повторя- повторяются 8000 раз в секунду и используются для мультиплексирования в магистральных соединениях. С другой стороны, эти технологии очень отличаются в том смысле, что SONET функционирует на значительно более высоких скоростях передачи битов, чем технология Т1, тогда как сеть SONET также поддерживает более компактные пара- параметры синхронизации. Технология SONET была разработана для обеспечения эф- эффективного мультиплексирования Т1-, ТЗ-, Е1- и ЕЗ-трафика. Фрейм технологии SONET следует рассматривать как большой 810-байтовый "вагон", который покидает "цех отгрузки" каждую 1/8000 долю секунды (810 байт ис- используются в младшей и наиболее медленной версии технологии SONET; при более высоких скоростях используются еще большие фреймы). ATM-уровень волен упако- упаковывать столько ячеек, сколько он может вместить в каждый из таких 810-байтных "багажных вагонов". В спокойные дни многие из таких "багажных вагонов" должны быть почти пустыми, однако в случае интенсивного трафика большинство из них полностью заполнено или почти заполнено. Одним из наиболее значительных преимуществ технологии ATM является то, что в ней не требуется какой-то определенный тип физического уровня, поэтому техноло- технология ATM не зависит от среды передачи. Первоначально технология ATM была разра- разработана для запуска только в сетях SONET, однако позже корпорации-участники ATM-форума осознали, что в таком случае весьма ограничиваются возможности раз- развития и продвижения технологии ATM, и как следствие этого были разработаны стандарты для многих различных типов передающих сред и скоростей физических уровней. Фактически группа разработки физического уровня (Physical Layer Working Group) ATM-форума являлась основной его рабочей группой. В настоящее время тех- технология ATM используется практически во всех средах передачи. 396 Часть III. Магистральные соединения
Почему ATM называется асинхронным режимом передачи? Использование термина асинхронный режим передачи внесло значительную путани- путаницу в понимание принципов работы технологии. Многие специалисты и пользователи спрашивают: "В чем же проявляется асинхронность? В том, что используются старто- стартовые и стоповые биты, как при передаче данных с использованием модема?" Технология ATM является асинхронной в том смысле, что ячейки генерируются асинхронно по мере необходимости. Если у двух ATM-устройств есть 3-секундный период времени, во время которого идет передача длинного файла, то в течение этого времени устройствам ATM нет необходимости посылать какие-либо ячейки. Неис- Неиспользуемая пропускная способность при этом незамедлительно становится доступной любому другому устройству, которое совместно использует данное соединение. Дру- Другими словами, происхождение асинхронпости технологии ATM состоит в том, что предоставляется возможность дополнительного статистического мультиплексирова- мультиплексирования, которое обсуждалось ранее. Путаница еще больше усложняется тем, что обычно в качестве физического уров- уровня для технологии ATM используются сети SONET. Поскольку синхронная оптическая сеть очевидно является синхронной, как же тогда технология ATM может быть асин- асинхронной, если она использует сети SONET? В технологии ATM асинхронной является только генерация ячеек, а то, как ячейки предаются из точки А в точку Б, является уже другим вопросом. В случае сетей SONET передача данных из точки А в точку Б определенно является синхронной по той причине, что в сетях SONET "багажные вагоны" (фреймы) покидают "отгрузочный док" (ATM-устройство) точно каждую 1/8000 секунды. Однако, заполнение таких "багажных вагонов" производится по мере необходимости, т.е. асинхронно. Опять-таки, именно этот факт предоставляет техно- технологии ATM ее удивительные возможности статистического мультиплексирования. Все пустое пространство в "багажных вагонах" незамедлительно предоставляется другим устройствам и пользователям в сети. Каковы различия между технологиями ATM и SONET? Как обсуждалось в предыдущих разделах, технологии ATM и SONET тесно связа- связаны друг с другом. Фактически они изначально задумывались для совместного исполь- использования в глобальной инфраструктуре, которая была названа широкополосной циф- цифровой сетью с комплексным обслуживанием (BISDN — broadband integrated services digital network). Однако, обе технологии разрабатывались (и часто применялись) как два различных метода передачи данных. ATM является технологией для создания полнофункциональной сетевой среды, которая связана с высокоскоростной генераци- генерацией и переносом блоков информации фиксированного размера, которые называются ячейками. С другой стороны, SONET является технологией соединений типа "точка- точка", которая связана с высокоскоростным переносом всего, что угодно, в том чис- числе и АТМ-ячеек. Другими словами, если обратиться к трехуровневой модели, технология ATM соз- создает ячейки, a SONET их переносит. Совет ATM и SONET являются двумя различными концепциями. Технология ATM связана с ячейками, a SONET является одной из многих технологий физического уровня, кото- которые позволяют переносить ATM-ячейки от точки к точке. Глава 9. Магистральное соединение с эмуляцией локальной сети 397
ATM является технологией с установлением соединения ATM всегда является технологией с установлением соединения. Перед тем, как бу- будет произведен обмен любыми данными, сеть должна согласовать параметры соеди- соединения между двумя конечными станциями. Технология ATM поддерживает два типа соединений: • постоянный виртуальный канал (PVC — permanent virtual circuit); • коммутируемый виртуальный канал (SVC — switched virtual circuit). Канал PVC функционирует как виртуальная вьщеленная линия в том смысле, что соединение всегда находится в активном состоянии. Соединения PVC создаются вручную пользователем посредством интерфейса командной строки (CLI — command- line interface) или посредством некоторых действий с консоли управления. Канал SVC является коммутационным ATM-соединением. Его можно рассматри- рассматривать как "телефонный звонок" в сети ATM. Когда двум устройствам необходимо под- подсоединиться посредством канала SVC, одно из устройств подает сигнал ATM-сети на создание временного канала. Когда соединение больше не требуется, одно из уст- устройств может разорвать соединение SVC посредством передачи определенных слу- служебных сигналов. Технология ATM требует, чтобы всегда создавалось одно из двух описанных выше типов соединений. На уровне ячеек технология ATM не может обеспечить работу без установления соединения подобно технологии Ethernet. Однако, для передачи ячеек с установлением соединения полностью возможна эмуляция такого режима посредст- посредством обеспечения отдельной службы передачи данных без установления соединения на некотором более высоком уровне. Наиболее общим примером такой службы без уста- установления соединения является технология LANE, о которой пойдет речь в данной главе. Технология ATM поддерживает две конфигурации виртуальных каналов (VC — virtual circuit): • виртуальный канал типа "точка-точка"; • виртуальный канал с многоточечным соединением. На рис. 9.4 представлены оба типа каналов. Виртуальные каналы типа "точка-точка" функционируют в точности так, как и подразумевает название: на каждом конце соединения размещено по одному устрой- устройству. Такой тип виртуальных каналов широко распространен и в других технологиях, как, например, во Frame Relay. Такие виртуальные каналы поддерживают двунаправ- двунаправленные соединения — каждая из конечных станций может передавать ячейки. Многоточечные виртуальные каналы позволяют одному корневому узлу посы- посылать ячейки многим краевым узлам. Такие каналы очень эффективны для подсое- подсоединений от одного центрального узла ко многим, потому что они позволяют корне- корневому узлу генерировать необходимое сообщение только один раз. Передача копий ячеек, которые содержат такое сообщение, всем краевым узлам является обязанно- обязанностью ATM-коммутаторов. Из-за однонаправленного режима передачи в многото- многоточечных каналах передавать ячейки разрешается только корневому узлу. Если крае- краевым узлам необходимо передать информацию, они должны создать собственные виртуальные каналы. 398 Часть III. Магистральные соединения
Канал VC "точка-точка" Одно-или двунаправленный канал Канал VC "точка-многоточечный" Корневой узел Только однонаправленный канал Краевые узлы Рис. 9.4. Виртуальные каналы типа "точка-точка " и многоточечные Совет Не следует путать концепцию корневого узла виртуального многоточечного канала технологии ATM с концепциями корневого моста технологии связующего дерева и корневого порта, которые обсуждались в главе 6, "Основы протокола распределен- распределенного связующего дерева". АТМ-адресация Как и все другие сетевые топологии, технология ATM нуждается в некотором ме- механизме идентификации пункта назначения для каждого блока информации (ячейки), который необходимо передать. В отличие от всех других механизмов передачи дан- данных, инфраструктура ATM в действительности использует два типа адресов для реше- решения проблемы идентификации: адрес-идентификатор виртуального маршрута (VPI — Virtual Path Identifier) или идентификатор виртуального канала (VCI — virtual channel identifier), т.е. (VPI/VCI) адрес точки доступа к сетевой службе (NSAP — Network Service Access Point). Каждый из приведенных типов адресов более детально обсужда- обсуждается в следующих разделах. Адреса VPI/VCI Адрес VPI/VCI является первым типом адреса, который использовался технологи- технологией ATM, и помещается в 5-байтовый заголовок каждой ячейки. В действительности он состоит из двух частей: идентификатора виртуального маршрута (VPI — Virtual Path Identifier) и идентификатора виртуального канала (VCI — virtual channel identi- Глава 9. Магистральное соединение с эмуляцией локальной сети 399
пет). Обычно оба адреса записывают через косую черту, которая разделяет значения VPI и VCI, например, 0/100. Различие между адресами VPI и VCI не существенно в обсуждении технологии LANE и поэтому будет опущено. Следует только запомнить, что вместе эти значения используются конечным устройством ATM (таким, как мар- маршрутизатор) для указания ATM-коммутаторам, по какому именно виртуальному кана- каналу следует отправить ячейку. Например, на рис. 9.5 добавлены адреса VPI/VCI к сети, ранее приведенной на рис. 9.2. Рис. 9.5. Использование адресов VPI/VCI в АТМ-сети Маршрутизатор офиса в Нью-Йорке (NY) использует единственный физический канал, подсоединенный к порту 0 на ATM-коммутаторе, для поддержания обоих вир- виртуальных каналов. Как же тогда коммутатор ATM знает, куда посылать каждую ячей- ячейку? Он просто принимает решения, основываясь на значениях адресов VPI/VCI, ко- которые помещены маршрутизатором в заголовки ATM-ячеек. Если маршрутизатор офиса в Нью-Йорке (т.е. конечное устройство ATM) помещает VPI/VCI-значение 0/50 в заголовок ячейки, ATM-коммутатор использует предварительно запрограмми- запрограммированную таблицу, в которой указывается, что данную ячейку следует перенаправить на исходящей порт 2 для передачи ее в канал, идущий к офису в Лос-Анджелесе (LA). Следует заметить, что в данной таблице также должно быть указано, что коммутатору необходимо преобразовать VPI/VCI-зпачение на 0/51, когда ячейка покинет интер- интерфейс порта 2 (изменяется только значение адреса VCI). ATM-коммутатор офиса в Лос-Анджелесе также использует подобную таблицу, в которой указывается, что ячейку следует направить на выход порта 1 со значением адреса VPI/VCI 0/52. Одна- Однако, если маршрутизатор офиса в Нью-Йорке (NY) создаст ячейку с VPI/VCI- значением 0/65, то ATM-коммутатор перенаправит ее в Вашингтон (DC). Таблица коммутаций сети ATM, которая находится в ATM-коммутаторе, расположенном в Нью-Йорке, должна содержать поля, которые приведены в табл. 9.1. 400 Часть III. Магистральные соединения
ргГаблйцаГЭЛ. Таблица коммутации ATM-коммутатора в Нью-Й*о|исе ■ ф;-' h : 1 Вход Выход Порт VPI VCI Порт VPI VCI 0 0 50 2 0 51 0 0 65 1 0 185 1 0 185 0 0 65 2 0 51 0 0 50 В предыдущем параграфе упоминалось, что приведенная таблица коммутации была предварительно запрограммирована на ATM-коммутаторе. То, как происходит пред- предварительное программирование зависит от того, является ли виртуальный канал по- постоянным или коммутируемым (PVC или SVC). В случае использования канала PVC таблица коммутации программируется вручную пользователем (например, с помощью интерфейса командной строки). Однако, если канал является коммутируемым (SVC), то таблица создается динамически в то время, когда устанавливается соединение. NSAP-адреса В предыдущей главе упоминалось, что в канале SVC таблица коммутации устрой- устройства ATM создается динамически. Процесс построения таблицы состоит из двух эта- этапов, которые приведены ниже. Этап 1. ATM-коммутатор должен выбрать VPI/VCI-значение для канала SVC. Этап 2. ATM-коммутатор должен определить, где в сети размещается пункт на- назначения. Первый этап является простым процессом, при котором ATM-коммутатор про- просматривает таблицу адресов на наличие незадействованных значений в данном порту (другими словами, одинаковые значения адресов VPI/VCI могут использоваться в разных портах одного и того же коммутатора, их нельзя использовать в одном и том же порту). Для того, чтобы понять второй этап, рассмотрим следующий пример. Если мар- маршрутизатор офиса в Нью-Йорке создает SVC-соединение с устройством в Вашингто- Вашингтоне, как тогда ATM-коммутатор Нью-Йорка узнает, что Вашингтон доступен через порт 1, а не через порт 2? Детали этого процесса включают в себя сложный протокол, который называется интерфейсом между частными сетями (PNNI — Private Network- Network Interface), который вкратце обсуждается ниже в текущей главе. Сейчас следу- следует только запомнить, что коммутатор Нью-Йорка использует адрес NSAP для опреде- определения пункта назначения. Адреса NSAP функционируют подобно постоянным номе- номерам телефона. Подобно тому, как каждый конечный телефон телефонной сети полу- получает уникальный номер, каждое устройство ATM-сети получает уникальный адрес NSAP. Подобно тому, как человеку необходимо набрать номер телефона, чтобы по- позвонить другу, ATM-маршрутизатор должен передать сигнал адреса NSAP, чтобы ус- установить соединение с маршрутизатором в Вашингтоне (DC). Подобно тому, как по номеру телефона можно определить город и страну, в которой находится телефон, точно так же по адресу NSAP можно определить, где находится маршрутизатор. Однако, существует одно значительное различие между обычными номерами те- телефонов и адресами NSAP — длина записи. Адреса NSAP имеют фиксированную Глава 9. Магистральное соединение с эмуляцией локальной сети 401
длину в 20 байт. Когда их записывают в стандартном шестнадцатеричном формате, длина адресов NSAP составляет 40 символов! Если попробовать напечатать длин- длинный список NSAP-адресов, можно понять, почему приверженцы технологии ATM называют NSAP "неприятной точкой доступа к службе" (Nasty SAP). При работе с такими адресами специалисты быстро привыкают к двум вещам: функции "перетащить и вставить", широко распространенной в операционной системе, бес- бесценному подспорью в работе; даже те люди, которые понимают технологию ATM, не обязаны ее любить. NSAP-адреса состоят из трех частей: • 13-байтового префикса — значение, которое уникально идентифицирует каждый ATM-коммутатор в сети. Префикс выполняет функцию, аналогичную междуго- междугороднему телефонному коду и номеру телефонной станции (например, префикс 703-242 в номере 703-242-1111 идентифицирует телефонный коммутатор г. Вена, штат Вирджиния, США). Территориальные ATM-коммутаторы Cisco предварительно конфигурируются со стандартным значением 47.0091.8100.0000, после которого следует уникальный МАС-адрес, назначаемый каждому комму- коммутатору. Например, коммутатор с МАС-адресом 0010.2962.Е801 использует пре- префикс 47.0091.8100.0000 0010.2962.Е801. Ни один другой ATM-коммутатор в сети не может использовать данный префикс; • 6-байового идентификатора конечной станции (ESI — End System Identifier) — значение, которое идентифицирует каждое устройство, подсоединенное к ATM-коммутатору. Для такого значения обычно используется (но не является обязательным) МАС-адрес. Идентификатор ESI выполняет функцию, анало- аналогичную четырем последним цифрам номера телефона, который используется в США (например, значение 1111 в номере 703-242-1111 идентифицирует опре- определенный телефон, присоединенный к телефонному коммутатору, который на- находится в г. Вена, штат Вирджиния, США); • байта селектора — значение, которое идентифицирует определенный про- программный процесс, запущенный на устройстве, присоединенном к АТМ-сети. Он выполняет функцию аналогичную добавочному номеру, который связан с номером телефона (например, значение 222 в номере 703-242-1111 х222). Уст- Устройства корпорации Cisco в качестве байта селектора обычно используют номер подынтерфейса. На рис. 9.6 приведен формат NSAP-адреса сети ATM. 20 байтов 13 байтов ■ B) 6 байтов • C) «- 1-> байт Префикс "Какой это АТМ-коммутатор?" ESI Байт селектора "Какое "Какое устройство программное ATM-коммутатора?' обеспечение на устройстве?" Рис. 9.6. Формат ATM NSAP-адреса 402 Часть III. Магистральные соединения
В действительности адрес NSAP записывается в таком виде: 47.0091.8100.0000.0060.8372.56А1 . 0000.0c33.BFCl .А1 Дополнительные пробелы были вставлены для более четкого разделения трех частей адресов. Шаблон адреса с использованием точек не обязателен; если адми- администратор является опытным наборщиком, точки можно полностью пропустить. Однако, для многих пользователей шаблон, приведенный выше, очень полезен при указании адреса. Совместное использование адресов NSAP и VPI/VCI Вкратце цели двух типов АТМ-адресов можно определить следующим образом: • адрес NSAP используется при создании каналов SVC; • адреса VPI/VCI используются после того, как каналы (PVC или SVC) были соз- созданы, для доставки ячеек по каналу. Совет ATM-адреса NSAP используются только для создания канала SVC. После создания данного канала используются только адреса VPI/VCI. На рис. 9.7 показана зависимость между адресами NSAP и VPI/VCI. Адреса NSAP представляют собой конечные точки, тогда как адреса VPI/VCI используются для ад- адресации ячеек во время их передачи по каждому соединению. NSAP = 47.0091.8100.0000.0060.12АВ. 7421.0000.0С48.29А1.00 Глобально уникальное значение Уникально в каждом соединении NSAP = 47.0091.8100.0000.0060.4211. 56A9.0010.02BC.DEF1.00 NSAP = 47.0091.8100.0000. 0060.4212.57В2. 0000.0CAB.EFC1.00 Рис. 9.7. Использование адресов NSAP для создания значений VPI/VC1 в каналах SVC В табл. 9.2 для сравнения приведены характеристики адресов NSAP и VPI/VCI. Глава 9. Магистральное соединение с эмуляцией локальной сети 403
Таблица 9.2. Сравнение характеристик адресов NSAP и VPI/VCI . j Адрес NSAP Адрес VPI/VCI 40-значное шестнадцатеричное значение B0 байт) Значение длинной от 24 до 28 бит (в зависимости от типа соединения, по которому передается ячейка) Глобальное значение (другими словами, значение Локальное значение (другими словами, значение долж- глобально уникально) но быть уникально только в определенном соединении) Конструктивно заключен в служебные сообщения, Конструктивно заключен в 5-байтовый заголовок каж- которые используются для построения каналов SVC дой АТМ-ячейки Не используется в каналах PVC Используется в каналах PVC и SVC Типы ATM-устройств ATM-устройства делятся на две основные категории, которые более детально рас- рассматриваются в следующих главах: • конечные устройства ATM; • ATM-коммутаторы. Конечные АТМ-устройства Конечные устройства ATM включают в себя такое оборудование, как рабочие станции, серверы, персональные компьютеры, маршрутизаторы и коммутаторы с ин- интерфейсной платой ATM (например, коммутатор Catalyst 5000 включает в себя модуль LANE). Они функционируют как конечные устройства в каналах PVC и SVC сети ATM. В случае использования маршрутизаторов и коммутаторов конечные устройства должны также проводить преобразование из среды, основанной на технологии по- построения фреймов, в АТМ-ячейки. АТМ-коммутаторы Коммутаторы сети ATM оперируют только с ATM-ячейками. Территориальные ком- коммутаторы Cisco включают платформы LightStream LS1010 и 8500 MSR. Корпорация Cisco также производит линию коммутаторов для операторов связи, разработанными в результате приобретения компании Stratacom. АТМ-коммутаторы являются устройства- устройствами, которые содержат таблицы коммутации ATM, о которых рассказывалось выше. Они также содержат дополнительные особенности программного обеспечения (такие, как интерфейс PNNI), которые позволяют создавать соединения и производить высокоско- высокоскоростные коммутации ячеек между портами. За исключением некоторых служебных ка- каналов, АТМ-коммутаторы обычно не функционируют как конечные устройства каналов PVC и SVC. Однако наиболее часто такие коммутаторы применяются как промежуточ- промежуточные узловые устройства, которые связывают конечные устройства с АТМ-сетью. На рис. 9.8 проиллюстрировано различие между конечными устройствами и АТМ- коммутаторами. Совет Следует запомнить различие между конечными устройствами ATM и АТМ-комму- таторами. Конечные устройства ATM находятся на границе сети, а АТМ-коммутаторы фактически находятся в сети ATM. 404 Часть III. Магистральные соединения
Конечное устройство Ячейки □ □ □ АТМ-коммутатор Ячейки □ □ Рис. 9.8. Конечные устройства ATM — коммутаторы Catalyst преобразовывают фреймы в ячейки, тогда как А ТМ-коммутаторы оперируют только ячейками Такие модели коммутаторов, как Catalyst 5500 и 8500, фактически поддерживают несколько функций в одном шасси. Коммутатор Catalyst 5500 поддерживает АТМ- коммутацию, как и устройство LS1010 в его нижних пяти разъемах, одновременно да- давая возможность поместить от одного до семи модулей LANE в оставшиеся гнезда. Однако, чаще легче рассматривать данную модель как два отдельных блока, которые совместно используют одно и то же шасси и источники питания. Нижние пять гнезд (гнезда 9-13) вмешают коммутационные модули ATM, а гнезда 2-12 — модули конеч- конечных устройств сети ATM (следует заметить, что гнезда 9-12 также могут поддерживать обе службы). Внимание! Корпорация Cisco также производит несколько других устройств, которые интегрируют технологию фреймов и сеть ATM в одной платформе различными способами, как это сделано, например, в модуле интеграции (FIM — Fabric Integration Module) коммутато- коммутатора Catalyst 5500 и коммутатора Catalyst 8500 MSR, или в модуле маршрутизатора ATM (ARM — ATM Router Module). Более детальную информацию о данных устройствах можно найти в каталогах продукции корпорации Cisco. Глава 9. Магистральное соединение с эмуляцией локальной сети 405
Служебные протоколы технологии ATM Несмотря на то, что теория технологии ATM достаточно сложна, она может быть значительно упрощена во многих сетях при реализации. Основное свойство — воз- возможность самонастройки устройства — возникает в целом благодаря двум автоматиче- автоматическим протоколам: интегрированному интерфейсу локального управления (ILMI — Integrated Local Management Interface) и интерфейсу между частными сетями (PNNI — Private Network-Network Interface). Интерфейс ILMI Интегрированный интерфейс локального управления (ILMI) был создан АТМ- форумом для управления различными автоматическими процессами. Изначально на- названный промежуточным интерфейсом локального управления (ILMI — Interim Local Management Interface), ILMI использует протокол SNMP для того, чтобы ATM- устройства могли автоматически собирать информацию о конфигурации соседних ATM-устройств. Протокол ILMI наиболее часто используется для регистрации адре- адресов. Напомним, что адрес NSAP состоит из трех частей: префикса коммутатора, иден- идентификатора ESI конечного устройства и байта селектора. Каким образом два устрой- устройства узнают адреса друг друга? В этом им приходит на помощь протокол ILMI. При процедуре регистрации адреса конечное устройство узнает префикс коммутатора, а коммутатор узнает идентификатор ESI конечного устройства (поскольку байт селек- селектора имеет только локальное значение, то коммутатору не обязательно его знать). Интерфейс PNNI Интерфейс между частными сетями (PNNI) является протоколом, с помощью ко- которого коммутаторы динамически устанавливают каналы SVC между конечными уст- устройствами. Однако, такие устройства не принимают участия в обмене данными PNNI, поскольку протокол является межкоммутаторным протоколом (как и подразу- подразумевается в самом названии — интерфейс между сетями). Протоколы интерфейсов ме- между сетями (NNI — Network-Network Interface) выполняют две основные функции: • передачу служебных сигналов; • маршрутизацию. Передача служебных сигналов позволяет устройствам подавать запросы на созда- создание и разрыв ATM-каналов SVC (поскольку каналы PVC создаются вручную, то для их создания или разрыва нет необходимости в пересылке каких-либо управляющих сигналов). Маршрутизация — это процесс, который используется ATM-коммутаторами для определения адреса пункта назначения, указанного в запросах-сигналах от станции с адресом NSAP. Следует заметить, что данный процесс в значительной степени отли- отличается от IP-маршрутизации, которая является процессом без установления соедине- соединения и выполняется над каждой IP-дейтаграммой (несмотря на существующие техно- технологии кэширования и оптимизации). ATM-маршрутизация выполняется только во вре- время установления соединения. После того, как соединение установлено, весь трафик, связанный с каналом SVC, использует таблицу коммутации ячеек VPI/VCI. Следует заметить, что данное различие позволяет технологии ATM одновременно выполнять две несовместимые задачи: повышение гибкости структуры и рост производительно- производительности сети. Громоздкие адреса NSAP обеспечивают гибкие схемы устаноапения соеди- 406 Часть III. Магистральные соединения
нения, а небольшие значения VPI/VCI обеспечивают высокую пропускную способ- способность и низкие задержки при коммутации ячеек. Совет Не следует путать ATM-маршрутизацию с IP-маршрутизацией. АТМ-маршрутизация выполняется только в процессе установления соединения, когда создается канал ATM SVC. С другой стороны, IP-маршрутизация является процессом, который производит- производится над каждым IP-пакетом. Когда следует использовать технологию ATM Несмотря на то, что технология ATM приобрела значительный успех на рынке, де- дебаты продолжаются: "Что лучше использовать: ATM или конкурирующие технологии, такие, как Gigabit Ethernet, для территориальных сетей и передачи пакетов по сети SONET для распределенных сетей?" Как и для большинства других вопросов, возни- возникающих в сетевой индустрии, ответ начинается с фразы: "Это зависит от...". Технология ATM имеет явные преимущества в следующих областях: • полная поддержка приложений с высокими требованиями к задержкам (т.е. приложений реального времени); • полная поддержка механизмов качества и класса обслуживания (QoS — Quality of Service); • передача данных на большие расстояния; • теоретическая возможность практически неограниченной пропускной способ- способности. Некоторые пользователи ссылаются на приложения реального времени как на изо- изохронные приложения. Изохронность — это выдуманный термин, используемый для описания таких приложений, как речь и видео, у которых очень жесткие временные требования. Если сформулировать по-другому, то интервалы времени задержки между пакетами (по-гречески хронос — время) должны быть равны (изос — греческое слово, означающее равный). Традиционные методы кодирования речи и видео, такие, как РСМ для речи и Н.320 для видео, как правило, изохронны и могут быть более выгод- выгодными по сравнению с возможностями эмуляции соединения технологии ATM. Если ре- речевой и видео трафик являются изохронными и необходимо использовать единую се- сетевую инфраструктуру для речи, видео и данных, технология ATM имеет неоспори- неоспоримые преимущества перед TDM-каналами с малой пропускной способностью. Однако, следует заметить, что сейчас происходит отход от изохронного трафика. Например, передача речи по IP и Н.320 — видео являются неизохронными механизмами, кото- которые могут быть запущены в среде с использованием фреймов, такой, как Ethernet. На момент написания данной книги ATM являлась единственной технологией общего использования, которая надежно поддерживала качество и класс обслужива- обслуживания для передачи данных (QoS). Она позволяет резервировать пропускную способ- способность и использовать высокоскоростную коммутацию для служб, требующих передачи данных в реальном времени, как, например, при передаче речи или в процессе работы видеоприложений. Несмотря на то, что Ethernet, IP и другие технологии обмена дан- данными также могут использовать службы QoS, технологии качества обслуживания для них все еще находятся на ранней стадии разработки. Многие ATM-пользователи ут- Глава 9. Магистральное соединение с эмуляцией локальной сети 407
верждают, что Ethernet- и IP-формы служб QoS лучше описывают классы обслужива- обслуживания (CoS — class of service), поскольку механизмы резервирования и изоляции не на- настолько строги, как в технологии ATM (ATM создавалась с учетом поддержки меха- механизмов QoS). Для многих разработчиков сетей одним из наиболее неотразимых преимуществ технологии ATM является отсутствие ограничения по расстоянию. Даже без использо- использования повторителей сеть ATM поддерживает передачу на большие расстояния, нежели любая разновидность технологии Ethernet. С повторителями (или дополнительными коммутаторами) технология ATM может покрывать любые расстояния. Например, с использованием технологии ATM очень просто и рентабельно прокладывать темное оптическое волокно между двумя узлами, которые отстоят друг от друга на расстоя- расстоянии до 40 км (возможны также намного большие расстояния), и подсоединять опти- оптическое волокно к портам ОС-12 на ATM-коммутаторах LSI010 (при этом не требуется никаких повторителей). При использовании повторителей и дополнительных комму- коммутаторов в технологии ATM можно легко построить сеть глобального размера. Однако, с другой стороны, множество производителей предоставило разновидности техноло- технологии Gigabit Ethernet, например, корпорацией Cisco были разработаны интерфейсы ZX GBIC, протяженность линий которых без повторителей достигает 100 км. Тем не менее гигабитовые технологии не позволяют создавать трансконтинентальные Ethernet-соединемия, они скорее, рассчитаны на использование в территориальных сетях. Исторически технология ATM считается одной из самых быстрых (если не самой быстрой) из существующих на сегодняшний день сетевых технологий. Подобная точка зрения недавно стала темой значительных дебатов. Появление аппаратных гигабито- вых маршрутизаторов (известных также как коммутаторы третьего уровня) изменению мнение о том, что маршрутизаторы являются медленными устройствами. Многие спе- специалисты стали полагать, что современные маршрутизаторы могут быть такими же быстрыми, как ATM-коммутаторы. С другой стороны, сторонники технологии ATM доказывают, что, поскольку в механизмах коммутации ATM используется малое коли- количество служебной информации, такой подход к принципам передачи данных позволя- позволяет получить большую пропускную способность, чем та, которую могут поддерживать коммутаторы третьего уровня. Время все расставит на свои места. В двух словах принятие решения об использовании технологии ATM не представ- представляется простым процессом. Каждая организация должна тщательно оценить текущие требования к телекоммуникациошюй инфраструктуре и распланировать будущий рост создаваемой сети. За дополнительной информацией о том, когда следует и когда не следует использовать технологию ATM, обратитесь к главе 15, "Реализация конструк- конструкции территориальной сети". Принцип работы технологии LANE Основы технологии ATM были изложены выше, поэтому оставшаяся часть главы будет посвящена основным стандартам механизма эмуляции локальной сети (LAN Emulation — LANE). Перед началом рассмотрения теории следует напомнить, что це- целью данной главы не является акцептирование внимания на каждой тонкости техно- технологии LANE (несмотря на то, что, возможно, и удастся уместить их на десяти страни- страницах). Например, спецификации технологии LANE содержат множество необязатель- необязательных деталей — вместо того, чтобы описывать каждый параметр, в данном разделе 408 Часть III. Магистральные соединения
основное внимание будет уделено практическим приложениям и общей практике ис- использования технологии LANE. Сравнение сетей VLAN и ELAN Во многих документах термины виртуальная сеть LAN (VLAN — Virtual LAN) и эмулируемая сеть LAN (ELAN — Emulated LAN) трактуются как синонимы. Однако, несмотря на то, что они схожи,, это две совершенно разные вещи. Как обсуждалось в главе 5, "Виртуальные локальные сети", термин сеть VLAN используется для описа- описания широковещательного домена, другими словами, некоторой IP-подсети. Сеть ELAN также функционирует как широковещательный домен, и каждой сети ELAN назначается уникальный адрес IP-подсети. Однако, сеть ELAN является определен- определенным типом сети VLAN — это эмулированная локальная сеть (LAN) в технологии ATM. Тогда как сети VLAN могут существовать в любой среде, сети ELAN существу- существуют только в среде ATM. С другой стороны, можно привести такое утверждение: все сети ELAN являются сетями VLAN, но не все сети VLAN являются сетями ELAN. "Мошенничество" технологии LANE: имитация сетей LAN При создании эмулируемых локальных сетей (LAN) технология LANE "мошен- "мошенничает". В частности, она "вводит в заблуждение" протоколы высших уровней, за- заставляя их полагать, что сетевая инфраструктура состоит из соединенней Ethernet и Token Ring, тогда как фактически сеть является ATM-средой. В данной главе внима- внимание сфокусировано исключительно на Ethernet-стиле технологии LANE. Для того, чтобы "ввести в заблуждение" протоколы высших уровней, заставляя их полагать, что используется соединение Ethernet, технология LANE должна сымитиро- сымитировать два важных аспекта технологии Ethernet, которые обычно не присутствуют в АТМ-сетях. • МАС-адреса. В главе 1, "Технологии для настольных систем", было указано, что любое устройство сети Ethernet использует 6-байтовый МАС-адрес. Однако, как обсуждалось выше, в технологии ATM используются NSAP-адреса для соз- создания новых SVC-соединений ATM. Для преобразования одной адресной схе- схемы в другую должны существовать некоторые дополнительные методы обработ- обработки данных. • Широковещание. Поскольку, как обсуждалось выше, технология ATM является технологией с установлением соединения, то широковещание и многоадресатная передача являются нетривиальными задачами для сети ATM. Однако, поскольку протоколы высших уровней активно используют широковещательные возмож- возможности технологии Ethernet, были изобретены некоторые механизмы широкове- широковещания и для сетей ATM. Совет Следует помнить, что LANE является технологией мостового перенаправления тра- трафика по ATM сети, следовательно, механизм LANE использует протокол связующего дерева, который обсуждался в главе 6, "Основы протокола распределенного связую- связующего дерева", и главе 7, "Расширенные возможности протокола распределенного свя- Глава 9. Магистральное соединение с эмуляцией локальной сети 409
зующего дерева". Поэтому при устранении неисправностей обычно указывается мак- максимальный интервал времени восстановления работоспособности после отказа се- сети: несмотря на некоторые механизмы резервирования, такие, как протокол SSRP (он обсуждается ниже), который позволяет устранить неисправность за 10-15 с, тех- технология связующего дерева по умолчанию препятствует прохождению трафика при- приблизительно в течение 30 с. Из-за такой большой задержки некоторые производители оборудования ATM в стан- стандартной конфигурации отключают протокол связующего дерева, поэтому могут воз- возникнуть проблемы в сети (логические петли достаточно легко формируются в Ethernet- сети и распространяются дальше). Во избежание возникновения таких сбоев стан- стандартно в устройствах корпорации Cisco с поддержкой технологии LANE протокол связующего дерева включен. Поиграем в "бар технологии LANE" Попробуем разыграть небольшую пьесу (или скетч), которую назовем "Бар техно- технологии LANE". При этом мы получим не только возможность разнообразить длинную и технически сложную главу, но и проведем строгие аналогии для понимания того, как функционирует технология LANE. "Режиссером" данной пьесы является никто иной, как ATM-форум, который про- прославился на весь мир благодаря таким популярным бродвейским "фильмам", как "UNI 3.1", "PNNI" и "Служба эмуляции соединения". Наша пьеса будет о жульничест- жульничестве и мошенниках, о том, как однажды несколько "разбойников" решили обжулить ком- компанию наивных Ethernet-узлов. Режиссер пьесы должен выбрать четыре персонажа. Четыре "персонажа" (компонента) технологии LANE Для мошенничества, которое упоминалось выше, технология LANE использует че- четыре "персонажа" (компоненты). Большинство производителей включают такие ком- компоненты в программное обеспечение, которое запускается на конечных устройствах (несмотря на то, что возможно использование компонент с аппаратной поддержкой некоторых функций, а также аппаратных реализаций коммутационных механизмов). В итоге технология LANE использует одного персонажа-клиента и три персонажа- сервера, которые подробнее будут описаны в следующих разделах: • клиентов эмуляции локальной сети (LECs — LAN Emulation Clients); • конфигурационный сервер эмулированной локальной сети (LECS — LAN Emulation Configuration Server); • сервер эмуляции локальной сети (LES —LAN Emulation Server); • сервер передачи трафика с широковещательными и неизвестными адресами (BUS — Broadcast-and-Unknown Server). В главной роли — клиент LEC Клиенты эмуляции локальной сети (LECs; следует заметить, что 5 записывается в нижнем регистре как указание на множественное число) являются конечными уст- устройствами, которых в действительности пытаются "обмануть". Если в роли устройств LECs выступают коммутаторы Catalyst, их модуль LANE запускает программу, которая заставляет подсоединенные к Ethernet-сети узлы считать, что базовая сеть ATM явля- 410 Часть III. Магистральные соединения
ется в действительности Ethernet-сетью. На устройства LECs ниже мы будем ссылать- ссылаться как на "Клиентов" (с большой буквы), и они будут выступать в главных ролях в пьесе. Существуют два типа клиентов LECs: обычные клиенты LECs и кэширующие клиенты LECs. Обычные клиенты LECs являются стандартными устройствами, которые содержат ATM-интерфейс. Возьмем, к примеру, сервер под управлением операционной систе- системы Windows NT и поместим в одно из его резервных гнезд сетевую карту (NIC) ATM. После конфигурирования сервера на запуск программного обеспечения LEC рабочие станции могут посредством такого сервера взаимодействовать с другими устройствами по опорной сети ATM. Кэшируюшие клиенты LECs (PLECs) являются другими устройствами. Они также напрямую подсоединены к опорной сети ATM и используют определенное программ- программное обеспечение LEC, однако, сами по себе такие клиенты обычно передают очень мало трафика. Например, рассмотрим коммутатор Catalyst 5000, который содержит модуль LANE. Сам коммутатор Catalyst 5000 ежеминутно генерирует некоторое коли- количество служебного трафика, такого, как обновления протокола связующего дерева, магистрального протокола сетей VLAN (VTP — VLAN Trunking Protocol) и т.д. Подав- Подавляющее большинство трафика, которое коммутатору Catalyst необходимо передать, посылается от лица устройств, подсоединенных к сети Ethernet и подключенных к 10/100 Ethernet-портам (некоторая "группа актеров" вспомогательного состава, кото- которая находится за кулисами). Однако, подсоединенные к сети Ethernet персональные компьютеры, рабочие станции и серверы не могут стать клиентами LECs — ведь они не подсоединены к сети ATM. Именно модуль LANE коммутаторов Catalyst функцио- функционирует как кэш или как "доверительное лицо" таких устройств. "Клиенты" LANE выступают находятся на переднем крае мошенничества; однако, сами по себе клиенты LECs будут бесполезными. Для завершения "мошенничества" нашим "звездам" (клиентам LECs) необходима помощь троих актеров вспомогатель- вспомогательного состава (серверных компонент). Фактически эти три сервера позволяют "Клиенту" присоединиться к эмулированной локальной сети. "Актер вспомогательного состава" — сервер LECS Для того, чтобы начать процесс подсоединения, "Клиентам" должна быть обеспе- обеспечена безопасность и гостеприимство. Обе функции выполняются "персонажем" (компонентой), который называется конфигурационным сервером эмулированной локальной сети, или LECS (следует заме- заметить, что буква S записывается в верхнем регистре, потому что это не указание на множественное число, а часть аббревиатуры). Данный персонаж можно описать как большого, дородного детину с огромным обхватом шеи, лысого и с огромной татуи- татуировкой на левой руке. Коллеги любя называют его Вышибалой, он стоит у входной двери ночного клуба для обеспечения безопасности ("Эй, покажи мне свой ID") и гостеприимства ("Бармен находится здесь") "Клиентам", которые завернули на ого- огонек выпить. Совет Акронимы, которые используются в технологии LANE, могут привести к значительному замешательству. Данное высказывание особенно касается терминов LECs (больше, чем один клиент LANE) и LECS (один конфигурационный сервер LANE). Во избежание путаницы LEC принято называть клиентом, a LECS — конфигурационным сервером. Глава 9. Магистральное соединение с эмуляцией локальной сети 411
"Актер вспомогательного состава" — сервер LES Ни один бар не может существовать без "Бармена". Этот важный персонаж руко- руководит в каждом баре (ELAN). Другие "персонажи" часто называют его по прозвищу: LES. Поскольку руководители считают бар высококлассным, то в обязанности "Бармена" LES входит тщательно отслеживать каждого "Клиента", сидящего в баре (подсоединенного к ELAN). Для того, чтобы не оплошать, LES записывает имя каж- каждого "Клиента" (МАС-адрес) в блокнот. К тому же, он делает заметки, за столиком с каким номером (адрес NSAP) сидит "Клиент". Поэтому, актеры-"Клиенты" могут за- задавать такие вопросы: "Где сидит Билли Боб (МАС-адрес 0000.0С12.3456)?". "Бармен" LES может им легко ответить: "Он сидит за столиком 219 (NSAP-адрес 47.0091.8100.0000.0060.8372.56AJ.0000.0c33. BFC1.A!)!". "Актер вспомогательного состава" — сервер BUS Владелец бара заметил, что ситуация в баре иногда выходит из-под контроля. Если взять отдельную комнату и собрать в ней всех "Клиентов", то никогда нельзя сказать, что произойдет! Одна из проблем, возникающая особенно часто по вечерам в пятни- пятницу, заключается в том, что клиенты имеют привычку запрыгивать на столы и танце- танцевать зажигательные танцы с целью привлечения внимания других "Клиентов" бара. Поскольку при этом страдают как столы, так и другие "Клиенты", то наш директор пригласил специального актера по имени "сервер трафика с широковещательными и неизвестными адресами" — BUS. Этот хитрый персонаж заслужил титул "Распространителя слухов" в баре — ему что-то говорят, и он гарантирует, что рас- расскажет об этом всем в баре. Декорации Наша пьеса разворачивается в обществе "Города дураков". Директор не поскупил- поскупился на декорации. На сцене рабочие тщательно строят ночной клуб — одно большое кирпичное здание (сеть ATM) с двумя отдельными барами (ELAN). Справа находится популярная местная дискотека "Стильный конвейер битов", слева — всегда запол- заполненный бар в стиле кантри "Сухой коммутатор". Краткое содержание пьесы В первом акте, который состоит из пяти сцен, разыгрывается главная трагедия. Сцена 1. Прямое конфигурационное соединение. "Клиент" устанавливает контакт с "Вышибалой" (LECS): пьеса начинается с показа одиноко стоящего снаружи бара "Клиента", который обут в пару новых, блестящих ковбойских ботинок, ковбойскую шляпу с широкими полями и рубашку как у Гарта Брукса (Garth Brooks). Перед тем, как он сможет войти внутрь и утолить свою жажду, "Клиент" должен найти "Вышибалу" (LECS), который стоит у входной двери ночного клуба. "Вышибала" производит быструю проверку и, замечая ковбойский наряд "Клиента", советует ему подойти к "Бармену" (LES) "Сухого коммутатора" (ELAN). Сцена 2. Прямое контрольное соединение. "Клиент" разговаривает с "Барменом" (LES): сразу же после того, как "Клиент" войдет в бар, он должен подойти к "Бармену". Затем "Бармен" запишет имя "Клиента" (МАС-адрес) и номер его столи- столика (адрес NSAP). Следует заметить, что "Бармен" создает таблицу привязки МАС- адресов к адресам NSAP, выполняя первое требование "мошенничества" технологии LANE. 412 Часть III. Магистральные соединения
Сцена 3. Контрольное распределение. "Бармен" (LES) устанавливает контакт с "Клиентом": как только клиент входит в бар, "Бармен" добавляет его как конечный узел в специальный виртуальный многоточечный капал с указанием определенного коэффициента разветвления по выходу. После того, как новый "Клиент" пообщался с "Барменом", "Бармен" также должен добавить его в список присутствующих в кана- канале. Такой канал с указанным коэффициентом разветвления по выходу позволяет "Бармену" легко посылать одиночные фреймы, которые рассылаются всем "Клиентам" в сети ELAN с помощью ATM-коммутаторов. "Приятного времяпрепро- времяпрепровождения!" и "Последнее предупреждение!" являются теми сообщениями, которые слышат все "Клиенты". Сцена 4. Многоадресатная рассылка. "Клиент" устанавливает контакт с "Распространителем слухов" (BUS): "Клиент" узнает у "Бармена" (сервера LES), где находится "Распространитель слухов" (BUS). После этого он использует данный ему адрес для установления соединения с "Распространителем слухов", которое позволит "Клиенту" легко посылать широковещательные и многоадресатные сообщения всем присутствующим в баре. Следует заметить, что данный этап является вторым необхо- необходимым условием для удачного "мошенничества": должна присутствовать возможность посылать широковещательные и многоадресатные фреймы. Сцена 5. Многоадресатная передача. "Распространитель слухов" (BUS) устанавли- устанавливает контакт с "Клиентом": подобно тому, как "Бармен" владеет специальными многоточечными виртуальными каналами с определенными коэффициентами раз- разветвления по выходу, которые используются для эффективного поиска "Клиентов" бара, "Распространитель слухов" управляет похожим каналом, что позволяет ему бы- быстро распространять всю информацию, которую он накапливает. После завершения пяти сцен первого акта "Клиент" присоединяется к сети ELAN во втором акте. Следует заметить, что акт 1 и акт 2 происходят в баре (сеть ELAN) "Сухой коммутатор". В то время, как ковбои развлекаются в сетях ELAN, другая группа "Клиентов" танцует на "дискотеке" ELAN. Несмотря па то, что оба бара со- совместно используют услуги "Вышибалы", в каждом баре требуется свой собственный "Бармен" и "Распространитель слухов". Последовательность инициализации технологии LANE Как было сказано в предыдущем разделе, четыре "персонажа" технологии LANE должны инициировать воображаемую активную деятельность для того, чтобы им раз- разрешили взаимодействовать посредством сети LANE. В текущем разделе детально об- обсуждается каждая из пяти приведенных выше сцеп, которые используются для описа- описания всего процесса работы технологии. Теперь, после того, как читатель окончательно взбодрился (и надеемся, что улыбается), мы понемногу будем отходить от аналогии с "баром технологии LANE" (например, теперь па сцены 1-5 в дальнейшем будем ссы- ссылаться, как на этапы 1-5). Однако, поскольку ведущими педагогами доказано, что ис- использовать аналогии очень полезно для усвоения материала, в дальнейшем также бу- будут встречаться аналогии с пояснительными комментариями. Этап 1: прямое конфигурационное соединение — "Клиент" устанавливает соединение с сервером LECS На первом этапе процесса подключения к сети "Клиент" должен определить ме- местонахождение сервера LECS ("Вышибалы"). Для определения местоположения кон- конфигурационного сервера "Клиенты" могут использовать четыре механизма: Глава 9. Магистральное соединение с эмуляцией локальной сети 413
• вручную сконфигурированный адрес NSAP; • сообщения ILMI; • известный адрес NSAP D7.0079...); • известный адрес VPI/VCI @/17). В действительности поиск "Вышибалы" состоит в создании виртуального канала ATM к серверу LECS. В первых трех вариантах предшествующего списка используют- используются параметры каналов SVC, и только в последнем — PVC. При конфигурировании адреса NSAP вручную для нахождения сервера LECS ис- используется команда lane config-atm-address, с помощью которой NSAP-адрес сервера LECS жестко кодируется в каждом "Клиенте". Несмотря на то, что данный подход действительно обеспечивает техническую простоту реализации, он может при- привести к административным проблемам. Применение интерфейса ILMI позволяет использовать возможности технологии ILMI для автоматического распределения NSAP-адреса сервера LECS. При этом все еще требуется ручная конфигурация адреса NSAP на каждом AT М-коммутаторе, но поскольку у большинства сетей ATM коммутаторов намного меньше, чем клиентов, то усилий, которые необходимо затратить на конфигурацию, будет значительно меньше, чем при попытке указать адрес для всех конечных устройств. Корпорация Cisco рекомендует использовать данный подход, поскольку он прост и эффективен (а также хорошо взаимодействует с простым протоколом избыточности серверов (SSRP), который обсуждается ниже). Технология использования известного адреса NSAP подобна процедуре вызова по- полиции в Соединенных Штатах: независимо от местоположения нужно просто набрать номер 911, и телефонная система соединит вас с ближайшим полицейским участком. В случае технологии LANE, обращаясь по так называемому известному адресу NSAP, происходит соединение с ближайшим сервером LECS. Несмотря на то, что полный адрес имеет вид 47.007900000000000000000000.00А03Е000001.00 (часть 00А03Е является уникальным идентификатором организации (Organizational Unique Identifier — OUI), присвоенным ATM-форумом), тогда, когда адрес начинается на 47.0079, можно с уве- уверенностью сказать, что происходит попытка соединения с сервером LECS с помощью известного адреса NSAP. Также встречается и другая версия данного адреса, который вместо 47 начинается со значения С5 (данную особенность технологии ATM называ- называют альтернативным адресом). Внимание! Альтернативные адреса являются особыми адресами NSAP технологии ATM, которые позволяют нескольким устройствам информировать об одинаковой службе. Когда кли- клиенты посылают запрос на установление соединения с такими адресами, АТМ- коммутатор автоматически соединяет их с доступным ближайшим устройством, кото- которое поддерживает необходимую службу. При этом не только оптимизируются потоки трафика, но и автоматическая форма обеспечения надежности соединения (если ближайший сервер выходит из строя, то при попытке клиента восстановить соедине- соединение его просто подсоединяют к другому устройству). Согласно правилам использования известного адреса VPI/VCI "Клиенты" всегда используют значение 0/17 для создания соединения с сервером LECS. Но поскольку данный метод не поддерживает автоматического устранения неисправностей, техно- 414 Часть III. Магистральные соединения
логия известного адреса VPI/VCI используется редко (она не включена во вторую версию спецификации LANE). Принимая во внимание тот факт, что клиент LEC запросил адрес NSAP конфигу- конфигурационного сервера с помощью технологии ILMI, далее "Клиент" устанавливает уда- удаленное соединение ATM (SVC) с сервером LECS. На данный канал SVC ссылаются как на прямое конфигурационное соединение (т.е. непосредственное соединение с кон- конфигурационным сервером). После установления такого соединения "Клиент" запра- запрашивает у конфигурационного сервера его адрес NSAP и желаемую сеть ELAN ("бар"). После этого сервер LECS действует согласно принципам "Вышибалы", обеспечивая "Клиенту": • безопасность — в качестве критерия безопасности выступает необязательная проверка адресов NSAP "Клиентов"; • гостеприимство — уведомление "Клиента" о том, как найти "Бармена" (сервер LES) в желаемом "баре" (сети ELAN). Также, если "Клиент" не запрашивает определенную сеть ELAN, "Вышибала" мо- может сообщить (что является необязательным) о некоторой стандартной сети ELAN. На рис. 9.9 показано прямое конфигурационное соединение. Сервер LECS Конфигурационное прямое соединение Вышибала: Гостеприимство и Безопасность Клиент КлиентLEC Клиент LEC Бармен МАС-адрес - Распространитель слухов: • NSAP-адрес Широковещание Рис. 9.9. Этап 1: клиент устанавливает соединение с конфигурационным сервером для полу- получения N SAP-адреса сервера LES Если "Клиент" удовлетворяет требованиям безопасности и запрошенная сеть ELAN существует, сервер LECS передает "Клиенту" NSAP-адрес сервера LES. С этого момента прямое конфигурационное соединение можно разорвать (что тоже является необязательным) для сбережения виртуальных каналов на АТМ-коммутаторе (устройства корпорации Cisco используют данную опцию). Глава 9. Магистральное соединение с эмуляцией локальной сети 415
Этап 2: контрольное прямое соединение — "Клиент" устанавливает соединение с сервером LES После того, как "Клиент" запросил NSAP-адрес сервера LES, он посылает запрос на установление по полученному адресу соединения SVC. Данное соединение SVC из- известно как прямое контрольное соединение — непосредственное соединение с устройст- устройством, которое контролирует сеть ELAN, т.е. с сервером LES. "Клиент" передает его МАС-адрес (имя) и NSAP-адрес (столик в баре, за которым он сидит) серверу LES ("Бармен"). После этого сервер LES записывает полученную информацию в свою ба- базу данных. На рис. 9.10 показано прямое контрольное соединение. Сервер LECS Вышибала: Гостеприимство и Безопасность Клиент Клиент LEC Контрольное прямое соединение Бармен МАС-адрес* NSAP-адрес Распространитель слухов: Широковещание MAC АААА... NSAP 47.0091... Рис. 9.10. Этап 2: клиент устанавливает соединение с сервером LES и регистри- регистрирует свои MAC- и NSAP-adpeca Этап 3: контрольное распределение — сервер LES устанавливает соединение с"Клиентом" Используя зарегистрированный с помощью контрольного прямого соединения NSAP-адрес, сервер LES должен создать обратное соединение с клиентом. Однако, такое соединение не является обычным телефонным соединением типа "точка- 416 Часть III. Магистральные соединения
точка". До того, как клиенты сети будут пытаться присоединиться, сервер LES дол- должен установить виртуальное многоточечное соединение с каждым клиентом сети ELAN. Другими словами, каждый существующий клиент является конечным узлом, а сервер LES — корневым узлом данного однонаправленного соединения. Для добавле- добавления нового клиента в качестве конечного узла сервер LES должен выдать сообщение ADD_PARTY. На рис. 9.1! показано результирующее виртуальное соединение кон- контрольного распределения. Сервер LECS Вышибала: Гостеприимство и Безопасность Контрольное распределение Бармен МАС-адрес ■ ■ NSAP-адрес Распространитель слухов: Широковещание Рис. 9.11. Этап 3: сервер LES добавляет клиентов к уже существующему многоточечному соединению контрольного распределения Этап 4: многоадресатная рассылка — "Клиент" устанавливает соединение с сервером BUS Как и ожидалось, клиент в конце концов использует виртуальное соединение кон- контрольного распределения, которое было установлено на третьем этапе, для отображе- отображения МАС-адресов в NSAP-адреса. Для выполнения этого процесса используется со- сообщение LE_ARP. Сообщение LE_ARP_REQUEST позволяет клиенту определить NSAP-адрес, связанный с МАС-адресом другого клиента. Сообщение LE_ARP_RE PLIES используется сервером LES для ответа на запрос LE_ARP_REQUEST. Следует заметить, что клиент все еще находится в процессе присоединения, и для установления контакта с другими клиентами сообщения LE_ARP не могут быть ис- использованы до тех пор, пока процесс подключения к сети не завершится. Однако клиент может использовать сообщения LE_ARP для определения местоположения Глава 9. Магистральное соединение с эмуляцией локальной сети 417
сервера BUS ("Распространителя слухов"). Клиент выдает запрос LE_ARP_REQUEST с МАС-адресом FFFF.FFFF.FFFF для поиска необходимого NSAP-адреса сервера BUS. Другими словами, клиент посылает сообщения LE_ARP по широковещательно- широковещательному МАС-адресу для обнаружения устройства, которое обрабатывает широковещатель- широковещательный трафик, т.е. сервера BUS. После того, как клиент послал сообщения LE_ARP на МАС-адрес FFFF.FFFF.FFFF, сервер LES передает клиенту NSAP-адрес сервера BUS. Клиент использует эту информацию для создания виртуального соединения многоадре- многоадресатной рассылки с сервером BUS, как показано на рис. 9.12. Сервер LECS Вышибала: Гостеприимство и Безопасность Многоадресатная посылка Бармен Распространитель слухов: МАС-адрес-*—*-NSAP-afl,pec Широковещание Рис. 9.12. Этап 4: клиент создает виртуальное соединение многоадресатной рассылки с сер- сервером BUS Этап 5: многоадресатная передача — сервер BUS устанавливает соединение с "Клиентом" Точно так же, как и сервер LES, сервер BUS поддерживает многоточечное соеди- соединение с каждым клиентом сети ELAN. После того, как сервер BUS узнает о новом клиенте посредством многоадресатной передачи, он устанавливает обратное соедине- соединение с ним, выдавая для этого устройства сообщение ADD_PARTY. При этом создает- создается виртуальное соединение многоадресатной передачи. Такое виртуальное многоточечное соединение обеспечивает достаточно эффектив- эффективный способ передачи клиентами широковещательного и многоадресатного трафика друг другу. После того, как клиенты передадут трафик серверу BUS, он посылает тра- трафик по виртуальному соединению многоадресатной передачи всем остальным устрой- устройствам в сети ELAN. На рис. 9.13 показана многоадресатная передача. 418 Часть III. Магистральные соединения
Вышибала: Гостеприимство и Безопасность Клиент Клиент LEC с t" "Л С *■ - \ - z—>__---. Многоадресная посылка Бармен МАС-адрес - «-NSAP-адрес Распространитель слухов: Широковещание Рис. 9.13. Этап 5: сервер BUS добавляет клиента к виртуальному соединению многоадресат- ной передачи Клиент присоединился! После того, как были созданы пять служебных соединений, клиент официально присоединяется к сети ELAN. С этого момента он может без посредничества серверов посылать запросы LE_ARP_REQUEST другим клиентам сети ELAN. Результирующие соединения — прямые виртуальные соединения передачи данных — являются основными каналами связи между клиентами сети LANE. На рис. 9.14 показано прямое вирту- виртуальное соединение для передачи данных. Использование аналогии с "баром LANE" в качестве напоминания Поскольку в технологии LANE много необычных и сложных механизмов, для их понимания была использована аналогия с "баром LANE". Многие из элементов данной аналогии были определенным образом подобраны для отображения того, как в действительности функционирует технология LANE (их расшифровка приве- приведена ниже). • Подобно тому, как некоторое здание может вмещать в себя два бара, одна фи- физическая сеть ATM может вмещать несколько сетей ELAN. • Подобно тому, как "Вышибала" обеспечивает безопасность и гостеприимство, сервер LECS может проверять NSAP-адреса "Клиентов" для обеспечения безо- безопасности и указывать "Клиенту" "направление" к серверу LES. Глава 9. Магистральное соединение с эмуляцией локальной сети 419
Сервер LECS Вышибала: Гостеприимство и Безопасность Прямое соединение передачи данных Клиент Клиент LEC Г— ч ~ - ~Л * " ~ ~ - Ч < ч Л -^ >■ i Клиент LEC I ; Сервер LES Сервер BUS Бармен MAC-адрес-1 NSAP-адрес Распространитель слухов: Широковещание Рис. 9.14. После того, как клиенты присоединились к сети ELAN, они создают прямые вир- виртуальные соединения для передачи данных • Подобно тому, как оба бара могут обслуживаться одним "Вышибалой", во всей сети используется один сервер LECS. • Подобно тому, как в каждом баре требуется собственный "Бармен" и "Распространитель слухов", каждой сети ELAN необходим собственный сервер LES и BUS. • Подобно тому, как "Бармен" руководит баром, сервер LES управляет сетью ELAN. • Подобно тому, как "Распространитель слухов" рассказывает каждому все, что слышал, серверу BUS используются для передачи информации всем клиентам в сети ELAN. • Подобно тому, как "Клиентам" бара запрещается входить через черный ход (они должны сначала зайти выпить и встретиться с "Барменом"), для того, что- чтобы снова присоединиться к сети ELAN, клиентам LANE необходимо устано- установить контакт с сервером LECS. Формат фрейма Ethernet для технологии LANE Трафик Ethernet в сети LANE, который проходит по прямому соединению переда- передачи данных, использует формат фрейма, показанный на рис. 9.15. 420 Часть III. Магистральные соединения
Ethernet Байты: Макс =1518 байтов МАС-адрес получателя МАС-адрес отправителя Тип/ Длина Область данных фрейма 46-1500 CRC Байты: Версия 1.0 (и версия 2.0 без мультиплексирования) Макс = 1516 байтов LECID МАС-адрес получателя МАС-адрес отправителя Тип/ Длина 46-1500 Версия 2.0 (с мультиплексированием) Макс = 1528 байтов ААААОЗ 00А03Е Тип фрейма ELAN + ID LECID (LEHdr.) МАС-адрес получателя МАС-адрес отправителя Тип/ Длина Данные Байты: 332426 6 2 Рис. 9.15. Формат фрейма данных Ethernet для технологии LANE 46-1500 Если сравнить формат LANE версии 1.0 с традиционным фреймом технологии Ethernet, можно заметить два различия. • Во фрейме присутствует дополнительное 2-байтовое поле LEC ID. Когда клиенты LEC устанавливают контакт с сервером LES, им назначается уникальный 2- байтовый идентификатор LEC ID. На практике первому присоединившемуся клиенту LEC назначается идентификатор 1, второму — 2, и т.д. • Отсутствует 4-байтовое поле CRC. Поскольку технология ATM содержит свой собственный механизм проверки контрольной суммы на основе расчета цикли- циклического избыточного кода (Cyclic Redundancy Check — CRC), ATM-форум принял стандарт, указывающий на необходимость удаления поля CRC техно- технологии Ethernet из фрейма. Следует заметить, что для технологии LANE изменяется и максимальный модуль передачи данных в сети (MTU — Maximum Transmission Unit) технологии Ethernet. Как обсуждалось в главе 1, "Технологии для настольных систем", традиционное зна- значение Ethernet MTU составляет 1518 байт: 14-байтовый заголовок, 1500 байтов ис- используются на область данных фрейма и 4 байта — контрольная сумма (CRC). По- Поскольку в технологии LANE удалено 4-байтовое поле контрольной суммы фрейма (CRC) фрейма Ethernet, но добавлено 2-байтовое поле LEC ID, то результирующее значение модуля MTU составляет 1516. Однако следует заметить, что на область дан- данных фрейма по-прежнему выделяются 1500 байтов для обеспечения возможности взаи- взаимодействия со всеми устройствами Ethernet. Глава 9. Магистральное соединение с эмуляцией локальной сети 421
Технология LANE версии 2.0 использует необязательный 12-байтовый заголовок в начале фрейма версии 1.0; 12 байт данного заголовка разделяются на четыре части, которые описаны ниже. • Заголовок 802.2 подуровня управления логическим соединением (LLC — Logical Link Control) — значение АААА03 в заголовке означает, что следующие 5 байт являются заголовком SNAP. • Уникальный идентификатор организации (OUI — Organizational Unique Identifier) SNAP — используется для точного определения организации, которая создала данный формат протокола. В рассматриваемом случае используется идентифи- идентификатор OUI, присвоенный ATM-форумом, который равен 00А03Е. • Тип фрейма SNAP — используется для указания определенного типа фрейма. Данное поле позволяет каждой из организаций, указанных в предыдущем поле, создавать до 65535 различных протоколов. В случае использования технологии LANE версии 2 (LANE V2) используется значение 000С. • Идентификатор сети ELAN технологии LANE версии 2 (LANE V2 ELAN ID) — уникальный идентификатор каждой сети ELAN. Такой 12-байтовый заголовок позволяет второй версии технологии LANE мультип- мультиплексировать трафик различных сетей ELAN в одном прямом виртуальном соединении передачи данных (идентификатор ELAN ID используется для разграничения трафика). Создание виртуального канала для передачи данных В данном параграфе подробно описывается последовательность событий, которая позволяет двум клиентам установить прямое виртуальное соединение для передачи данных (Data Direct VC). Для того чтобы описать механизм создания канала, рассмот- рассмотрим сеть, которая показана на рис. 9.16. Станция А Cat-A Станция Б LEC-A IP: 1.1.1.1 MAC: AAAA... IP: 1.1.1.2 MAC-.BBBB... Рис. 9.16. Две Ethernet-станции, соединенные посредством кэширующих клиентов 422 Часть III. Магистральные соединения
В данном примере станция А использует команду ping стека протоколов IP для имитации передачи данных станции Б. Оба устройства являются персональными ком- компьютерами, подсоединенными к сетям Ethernet, которые присоединены к коммутато- коммутаторам Catalyst, оснащенными платами связи LANE, размещенными в гнезде 4. Стан- Станция А использует IP-адрес 1.1.1.1 и МАС-адрес АААА.АААА.АААА. IP- и МАС-адреса станции Б равны 1.1.1.2 и ВВВВ.ВВВВ.ВВВВ соответственно. Следует заметить, что в данном примере внимание концентрируется только на процессе построения прямого виртуального соединения передачи данных. Предполагается, что оба клиента (платы LANE коммутаторов Catalyst) уже присоединились к сети ELAN (используя процесс из пяти этапов, который был рассмотрен выше). Предполагается, что вся кэш-память и LANE-таблицы находятся в стандартном состоянии после инициализации. Ниже приведена последовательность событий, которые позволят двум клиентам установить виртуальное прямое соединение для передачи данных (Data Direct VC). Этап 1. Пользователь станции А вводит в командной строке команду ping 1.1.1.2. Этап 2. Станция А отправляет запрос протокола ARP для IP-адреса 1.1.1.2. На рис. 9.17 показан данный ARP-пакет. МАС-адрес получателя FFFF... МАС-адрес отправителя АААА... Тип 0806 1Р = 1.1.1.2 МАС = ? CRC Ethernet ARP-запрос Рис. 9.17. Запрос протокола IP ARP Область данных фрейма ARP включает в себя IP-адрес получателя, 1.1.1.2, но вместо связанного с ним МАС-адреса содержит все нули. Далее дан- данный ARP-пакет инкапсулируется в Ethernet-фрейм. Как говорилось в гла- главе 2, "Сегментация локальных сетей", для Ethernet-инкапсуляции исполь- используется МАС-адрес получателя FFFF.FFFF.FFFF и МАС-адрес отправите- отправителя, т.е. исходного узла, АААА.АААА.АААА. Этап 3. Коммутатор Catalyst LEC-A получает IP ARP-фрейм на порт 5/12 и передает его на все порты одной сети VLAN (здесь нет никаких петель, поэтому тех- технология связующего дерева игнорируется). Поскольку клиент, подключен- подключенный к устройству LEC-A, был определен в ту же сеть VLAN, что и стан- станция А, он должен передать фрейм по сети LANE. Поскольку адрес получа- получателя равен FFFF.FFFF.FFFF (т.е. широковещательный), клиент передает фрейм серверу BUS с помощью многоадресатной рассылки. Также следует заметить, что клиент LEC-A добавляет запись в таблицу мостов, связывая МАС-адрес АААА.АААА.АААА с портом 5/12. Этап 4. Сервер BUS передает пакет всем клиентам в сети, в том числе и клиенту LEC-B, с помощью многоадресатной передачи. Следует заметить, что клиент LEC-A также получает данный фрейм, но он его игнорирует, по- поскольку распознает в первых двух байтах свой собственный идентифика- идентификатор LEC ID. Глава 9. Магистральное соединение с эмуляцией локальной сети 423
Этап 5. Поскольку клиент LEC-B функционирует как прозрачный мост, он также отмечает широковещательный адрес получателя в пакете IP ARP и переда- передает его на все порты данной сети VLAN, включая порт 3/10 станции В. Клиент LEC-B также заносит новую запись в свою таблицу мостов для того, чтобы отразить тот факт, что он получил фрейм на порт 4/1 от от- отправителя с МАС-адресом АААА.АААА.АААА. На рис. 9.18 показаны первые пять этапов процесса создания виртуаль- виртуального соединения для передачи данных (Data Direct VC). Cat-B Станция Б LEC-B Рис. 9.18. Первые пять этапов процесса создания виртуального прямого соединения для передачи данных Этап 6. Станция В получает запрос IP ARP, далее, распознавая свой IP-адрес в пакете ARP, она генерирует ответ на запрос ARP. На рис. 9.19 проиллю- проиллюстрирован ответ протокола ARP. МАС-адрес i МАС-адрес i получателя i отправителя i i i AAAA... j BBBB... | Тип 0806 IP= 1.1.1.2 МАС=ВВВВ.ВВВВ.ВВВВ CRC Ethernet ARP-ответ Рис. 9.19. Ответ протокола ARP В данном случае ARP-сообщение содержит МАС-адрес необходимой станции. Также следует заметить, что протокол ARP передает ответ только узлу, пославшему запрос, а не всем станциям, с помощью широковеща- широковещательного адреса. 424 Часть III. Магистральные соединения
Этап 7. Коммутатор Catalyst LEC-B получает ответ протокола ARP. Поскольку в таблице мостов содержится запись для МАС-адреса АААА.АААА.АААА, созданная на этапе 5, фрейм передается модулю LANE, который располо- расположен в гнезде 4. Этап 8. Программное обеспечение клиента LEC-B, используемое в модуле LANE, далее должно переслать ответ протокола ARP по опорной сети ATM. С этого момента начинают функционировать два отдельных процесса. Пер- Первый процесс — процесс LE_ARP — детально описан в виде последова- последовательности обмена сообщений ниже; второй процесс — передача сообще- сообщений протокола ARP — объясняется в этапе 9. a) Клиент LEC-B должен преобразовать МАС-адрес АААА.АААА.АААА в NSAP-адрес. Для осуществления такой привязки адреса клиент LEC-B посылает запрос LE_ARP_REQUEST серверу LES. Следует отметить важное различие между данным запросом LE_ARP и предыдущим за- запросом протокола IP ARP. С помощью запроса протокола IP ARP мо- может быть установлен IP-адрес получателя, но его МАС-адрес останется неизвестным. При передаче сообщения LE_ARP будет установлен МАС- адрес (с помощью протокола IP ARP), a NSAP-адрес останется неиз- неизвестным. Другими словами, запрос LE_ARP можно отправлять только после того, как протокол IP ARP определит МАС-адрес устройства. b) Сервер LES обращается к своей локальной таблице преобразования МАС-адресов в NSAP-адреса. Несмотря на то, что в данной таблице содержится поле привязки адреса для клиента LEC-A, в ней не содер- содержится поле записей для станции А. Важно понимать, что клиент LEC- А и станция А используют различные МАС-адреса. Сам по себе тот факт, что клиент LEC-A функционирует как кэширующий клиент для станции А, не означает, что клиент LEC-A использует ее МАС-адрес. Когда клиент LEC-A присоединяется к сети ELAN, он может (необязательно) зарегистрировать все известные ему адреса его стан- станций, подсоединенных к сети Ethernet. Однако, поскольку прозрачные мосты редко знают все МАС-адреса (они собирают информацию с мостов, работающих в обычном режиме), большинство производите- производителей предпочитают регистрировать те МАС-адреса, которые назначены кэширующему клиенту LEC. На данный момент остается не совсем понятным, почему сервер LES не сможет узнать о МАС-адресе АААА.АААА.АААА во время подсое- подсоединения клиента LEC-A к сети ELAN. Чтобы несколько прояснить ситуацию, рассмотрим следующий пример. Что произойдет, если к станции А даже не было подключено питание в тот момент, когда клиент LEC-A присоединился к сети? В данном случае МАС-адрес не является активным, поэтому клиент LEC-A не может зарегистрировать у себя МАС-адрес АААА.АААА.АААА. c) Поскольку у сервера LES нет записи о запрашиваемом МАС-адресе, он передает LE_ARP-coo6LueHHe всем кэшируюшим клиентам посред- посредством виртуального соединения контрольного распределения. На рис. 9.20 схематически представлены этапы 6-8с. Глава 9. Магистральное соединение с эмуляцией локальной сети 425
Станция А Cat-A 5/12 LEC-A MAC NSAP Рис. 9.20. Этапы 6—8c процесса создания виртуального прямого соединения для передачи данных d) Все клиенты, включая LEC-A, получают запрос LE_ARP_REQUEST. Клиент LEC-A посылает ответ на такой запрос — LE_ARP_REPLY, используя запись в таблице мостов, которая была добавлена на эта- этапе 3. e) Сервер LES получает ответ LE_ARP_REPLY от клиента LEC-A и пе- пересылает его клиенту LEC-B. О Клиент LEC-B создает прямое виртуальное соединение для передачи данных клиенту LEC-A. На рис. 9.21 показаны этапы 8d-8f. Этап 9. Как было упомянуто на этапе 8, клиент LEC-B выполняет две задачи па- параллельно. Этапы 8a-8f детально описывают процесс обмена сообщения- сообщениями LE_ARP для определения необходимого адреса. Однако в процессе выполнения данной последовательности действий клиент LEC-B также передает фрейм протокола IP ARP посредством сервера BUS. Этапы 9а—9f детально описывают процесс передачи такого фрейма. a) Клиент LEC-B посылает фрейм протокола IP ARP посредством мно- гоадресатной рассылки серверу BUS. b) Сервер BUS передает данный фрейм всем клиентам с помощью мно- гоадресатной передачи. 426 Часть III. Магистральные соединения
Станция А Рис. 9.21. Этапы 8d—8f процесса создания виртуального прямого соединения для передачи данных с) Все клиенты, включая LEC-A, получают пакет протокола IP ARP. Клиент LEC-B распознает свой идентификатор LE CID и игнорирует полученный пакет. Клиент LEC-A использует запись в таблице мостов, которая была добавлена на этапе 3, для передачи пакета протокола IP ARP на порт 5/12 для передачи его станции А. Клиент LEC-A также добавляет в таблицу мостов запись, которая связывает порт 4/1 с МАС-адресом ВВВВ.ВВВВ.ВВВВ. На рис. 9.22 показаны этапы 9а~9с. Станция А Cat-A Станция Б LEC-A Рис. 9.22. Этапы 9а—9с процесса создания виртуального прямого соединения для передачи данных Глава 9. Магистральное соединение с эмуляцией локальной сети 427
d) Получив ответ протокола IP ARP, станция А кэширует данные ARP и посылает IP-пакет эхо-запроса (ping), который находился в состоя- состоянии ожидания, начиная с этапа 2. МАС-адресом станции-получателя служит значение ВВВВ.ВВВВ.ВВВВ (одиночный фрейм). e) Коммутатор Catalyst LEC-A получает ping-пакет на порт 5/12 и ис- использует запись в таблице мостов, которая была добавлена на эта- этапе 9с, для того, чтобы отправить фрейм на порт 4/1. f) Далее клиент LEC-A выполняет те же две параллельные задачи, ко- которые обсуждались на предыдущем этапе: клиент LEC-A посылает запрос LE_ARP_REQUEST по контрольному прямому соединению для того, чтобы создать прямое виртуальное соединение передачи данных, и распространяет ping-пакет с помощью сервера BUS. Не- Несмотря на то, что промежуточные этапы здесь не рассмотрены, кли- клиент LEC-A в конечном счете получает отклик LE_ARP_REPLY. g) Клиент LEC-A использует информацию, которая содержится в отве- ответе LE_ARP_REPLY, для того, чтобы создать прямое виртуальное со- соединение для передачи данных клиенту LEC-B. На рис. 9.23 показаны оставшиеся пункты этапа 9. Cat-B Станция Б LEC-B Рис. 9.23. Этапы 9d—9g процесса создания прямого виртуального соединения для передачи данных Этап 10. Оба клиента LEC попытались создать прямое виртуальное соединение для передачи данных. Соединение, которое будет создано первым, может быть различным в разных случаях и зависит от временных соотношений между этапами 8 и 9. Предположим, что клиент LEC-B первым закончил созда- создание виртуального соединения для передачи данных (Data Direct VC), и временные соотношения таковы, что клиент LEC-A также создал соеди- соединение для передачи данных (т.е. одновременно или практически одновре- одновременно). В таком случае оба клиента LEC начинают использовать то со- 428 Часть III. Магистральные соединения
Этап 11. Станция А единение, которое было создано клиентом LEC с меньшим NSAP- адресом. Если у клиента LEC-A меньший NSAP-адрес, то весь трафик бу- будет идти по соединению Data Direct VC, которое создано клиентом LEC-A (соединение, которое создано клиентом LEC-B, на оборудовании Cisco стандартно разрывается по истечении пяти минут). Перед тем, как клиенты смогут взаимодействовать, они должны выпол- выполнить дополнительный этап для того, чтобы гарантировать внутренний порядок доставки информации. Следует заметить, что оба клиента — LEC-B (этап 9Ь) и LEC-A (этап 9f) — послали информацию посредством сервера BUS. Если бы клиенты начали посылать информацию через прямое виртуальное соединение для передачи данных (Data Direct VC) как только оно стало бы доступным, это могло привести к нарушению внутреннего порядка доставки информации. Например, фрейм Data Direct (второй посланный фрейм) мог бы быть доставлен раньше фрей- фрейма, посланного через сервер BUS (первый посланный фрейм). Для ис- исключения возможности возникновения такой ситуации клиенты могут (необязательно) использовать Flush-протокол (протокол очистки). Эта- Этапы 11 а-Не описывают последовательность работы Flush-протокола с точки зрения клиента LEC-A. а) Клиент LEC-A посылает сообщение LE_FLUSH-REQUEST по со- соединению многоадресатиой рассылки. Сервер BUS передает запрос LE_FLUSH-REQUEST клиенту LEC-B. Клиент LEC-B передает ответ LE_FLUSH-RESPONSE по контроль- контрольному прямому соединению. Сервер LES передает полученный ответ LE_FLUSH-RESPONSE no контрольному прямому соединению клиенту LEC-A. Ь) с) Станция Б Рис. 9.24. Этапы 10 и 11 процесса создания прямого виртуального соединения для передачи данных Глава 9. Магистральное соединение с эмуляцией локальной сети 429
е) Получив все данные посредством соединения с сервером BUS, кли- клиент LEC-A теперь может начинать безопасно использовать прямое виртуальное соединение для передачи данных. Оставшиеся ping- пакеты будут использовать именно его. На рис. 9.24 схематически изображено завершение процесса создания виртуального прямого соединения (Data Direct VC) и Flush-процессы. Следует отметить, что после выполнения процессов этапа 8 порядок событий ста- становится неопределенным. В некоторых случаях клиент LEC-A является первым, кто создает прямое виртуальное соединение (Data Direct VC), а в других — клиент LEC-B. Этапы конфигурирования технологии LANE Наиболее важные этапы, которые необходимо помнить при конфигурировании технологии LANE в устройствах Cisco, включают в себя следующие: • привязку номеров сетей VLAN к именам сетей ELAN; • указание адресов; • создание подынтерфейсов. Привязка номеров сетей VLAN к именам сетей ELAN Хотя коммутаторы Catalyst распознают широковещательные домены с помощью номеров сетей VLAN, технология LANE всегда использует текстовые названия-имена сетей ELAN. Для привязки номера сети VLAN к имени сети ELAN используется кли- клиент LEC (подробная информация по данному вопросу приведена в разделе "Синтаксис конфигурации"), такая привязка выполняется с помощью команды, ко- которая указывает режим работы клиента. Длина имени сети ELAN может составлять до 32 символов. Следует быть очень внимательным при конфигурировании имен сетей ELAN, поскольку регистр символов учитывается устройствами. Создание подынтерфейсов Как объяснялось в главе 8, "Технологии и приложения магистральных соедине- соединений", корпорация Cisco использует концепцию подынтерфейсов для создания логиче- логических каналов на одном физическом интерфейсе. В данном случае каждый канал ис- используется для отдельной сети ELAN, как показано на рис. 9.25. На рис. 9.25 подынтерфейс ATM 0.1 используется для сети ELAN1, a ATM 0.2 — для сети ELAN2. Коммутатор Cat-A является клиентом для обоих сетей ELAN и по- поэтому требует наличия отдельной службы клиента LEC на каждом подынтерфейсе. Поскольку в данной топологии Cat-A функционирует также, как сервер LES и BUS для сети ELAN2 (но не для сети ELAN1), то данные службы должны быть сконфигу- сконфигурированы только на подынтерфейсе ATM O.2. Однако следует заметить, что клиенты LEC сконфигурированы на главном интерфейсе ATM 0. Такая конфигурация служб устройства отражает роль, которую играет каждый компонент. 430 Часть III. Магистральные соединения
Cat-A ATM О LECS ATM 0.1 - ELAN1 LEC ATM 0.2 - ELAN2 LEC&LES/BUS Рис. 9.25. Каждый подынтерфейс используется для отдельной сети ELAN • Поскольку сервер LECS не принадлежит какой-либо определенной сети ELAN, он размещается на главном интерфейсе. Поскольку сервер LECS поддерживает общую службу для всех каналов, его размещают на основном интерфейсе. • Клиенты LEC и сервера LES и BUS, которые действительно принадлежат опре- определенным сетям ELAN, помещаются на подынтерфейсах. Подынтерфейсы позволяют согласовывать конфигурацию интерфейса с конфигу- конфигурацией LANE. Совет Несмотря на то, что большинство компонент технологии LANE конфигурируются на подынтерфейсах, сервер LECS всегда конфигурируется на главном интерфейсе обо- оборудования Cisco. Указание адресов Надежное функционирование технологии LANE в соединениях SVC требует тща- тщательного планирования NSAP-адресации (следует вспомнить, что каналы SVC созда- создаются за счет сопоставления телефонного вызова ATM с N SAP-адресом). Несмотря на то, что на оборудовании корпорации Cisco можно вручную конфигурировать NSAP- адреса, существует также и автоматическая схема NSAP-адресации, которая практиче- практически сводится к операциям автоматической самонастройки устройства. Вспомним рис. 9.6, на котором было показано, что NSAP-адреса состоят из трех частей: • 13-байтового префикса с ATM-коммутатора (LS1010); • 6-байтового идентификатора конечной станции (ESI) конечного устройства (модуля LANE коммутатора Catalyst); • 1-байтового байта селектора конечного устройства (модуля LANE коммутатора Catalyst). Модули технологии LANE автоматически запрашивают префикс от АТМ- коммутатора. Что именно коммутатор Catalyst использует в качестве значений иден- идентификатора ESI и байта селектора? Для удовлетворения данных требований стандарта Глава 9. Магистральное соединение с эмуляцией локальной сети 431
корпорация Cisco создала простую схему идентификации, которая основывается на МАС-адресах. Каждый ATM-интерфейс, который производится корпорацией Cisco, наделен блоком, в котором присутствуют по меньшей мере 8 МАС-адресов (некоторые интерфейсы содержат даже большее количество МАС-адресов), что по- позволяет каждому компоненту LANE автоматически принимать уникальный NSAP- адрес, используя шаблон, приведенный в табл. 9.3. ! Таблица 9.3. Автоматически генерируемые значения идентификатора ESt < I*.- -.- ■ ■.. - и байта селектора -'■'•Р - • . ■' :, .■-.?.■' ■■■■■ ■ и Компонент LANE Идентификатор ESI Байт селектора клиент LEC МАС-адрес сервер LES МАС-адрес+1 ." сервер BUS МАС-адрес+2 сервер LECS МАС-адрес+3 .00 Знак "**" в таблице заменяет произвольные номера подынтерфейсов, на которых запущена со- соответствующая служба. Предположим, например, что ATM-коммутатор использует префикс 47.0091.8100.0000.0060.1234.5678, и первым МАС-адресом технологии LANE является значение 0000.0САВ.5910. Если активировать все четыре компоненты (т.е. службы) на таком устройстве и использовать подынтерфейс ATM 0.29, то автоматически будут созданы NSAP-адреса, которые приведены в табл. 9.4. i Таблица 9.4. Примеры NSAP-адресрв j Компонента LANE NSAP-адрес клиент LEC 47.0091.8100.0000.0060.1234.5678.0000.0CAB.5910.1D сервер LES 47.0091.8100.0000.0060.1234.5678.0000.0CAB.5911.1D сервер BUS 47.0091.8100.0000.0060.1234.5678.0000.0САВ.5912.1D сервер LECS 47.0091.8100.0000.0060.1234.5678.0000.0CAB.5913.00 Как уже обсуждалось, сервер LECS всегда располагается на главном интерфейсе и использует значение ".00" в качестве байта селектора. Также следует обратить внима- внимание на то, что хотя подынтерфейсы в операционной системе Cisco IOS записываются в десятичной системе исчисления (интерфейс ATM 0.29), байт селектора выражается в шестнадцатеричной форме записи @x1 D). Совет Несмотря на то, что номера подынтерфейсов в конфигурационном файле операцион- операционной системы Cisco IOS выражаются в десятичной форме, они записываются в шест- шестнадцатеричной форме при использовании для байта селектора адреса NSAP техноло- технологии ATM. На практике корпорация Cisco позволила чрезвычайно легко находить NSAP- адреса для определенного модуля LANE коммутатора Catalyst — необходимо просто использовать команду show lane default. Выводимая на консоль коммутатора 432 Часть III. Магистральные соединения
Catalyst информация, показанная в примере 9.1, связана с АТМ-коммутатором, имеющим префикс 7.0091.8100.0000.0010.2962.Е801. Пример 9.1. Определение NSAP-адресов для модуля LANE коммутатора • \ ■ #-■ ■■■■■/■■ Catalyst ■ ■■■■■■ %■ :'.' .■■'- ' ■ '■■ ■< ATM!show lane default interface ATMO: LANE Client: 47.00918100000000102962E801.00102962E430.** LANE Server: 47.00918100000000102962E801.00102962E431.** LANE Bus: 47.00918100000000102962E801.00102962E432.** LANE Config Server: 47.00918100000000Ю2962Е801.00102962Е433.00 note: ** is the subinterface number byte in hex Для клиента LEC, серверов LES и BUS байт селектора записан как ".**", поскольку номера подынтерфейсов не будут показаны в выводимой данной командой информации. Синтаксис конфигурации Несмотря на то, что теория технологии LANE достаточно сложна и объемна, ее конфигурирование на устройствах корпорации Cisco очень простое. Фактически в конфигурации технологии LANE используется тот же синтаксис, что и во всех уст- устройствах корпорации. Другими словами, изучив, как конфигурировать технологию LANE на коммутаторе Catalyst, данную технологию можно так же сконфигурировать и на маршрутизаторе Cisco или ATM-коммутаторе без особых проблем. Для того, чтобы сконфигурировать модуль LANE коммутатора Catalyst, необходи- необходимо сначала использовать команду session, чтобы перейти в режим конфигурирова- конфигурирования модуля LANE. Например, если к блоку управления Supervisor коммутатора Catalyst 5000 установлен саенс Telnet и необходимо сконфигурировать модуль LANE, размещенный в гнезде 4, то нужно ввести команду, показанную в примере 9.2. : Пример 9.2. Вход в режим конфигурирования модуля LANE коммутатора ; ;>-;■-' Catalyst ' -% . ^:/ ' " \ MyCat> (enable) session 4 Trying ATM-4... Connected to ATM-4. Escape character is '"]'. ATM> После выполнения приведенной выше команды интерфейс командной строки мо- модуля LANE будет выглядеть в стиле lOS-интерфейса, поскольку модуль LANE ис- использует традиционное программное обеспечение IOS (несмотря на то, что оно пред- представляет собой отдельный бинарный образ, который должен быть загружен с Web- сайта корпорации Cisco). В режиме конфигурирования модуля доступны почти вес особенности интерфейса командной строки (CLI — Command-line interface), которые известны и используются для настройки устройств: • вызов из памяти командной строки в стиле пользовательской оболочки BASH (используя клавиши-стрелки на клавиатуре); Глава 9. Магистральное соединение с эмуляцией локальной сети 433
• использование команды conf ig term для изменения конфигурации; • возможность использования команды debug; • использование команд copy run start или write mem для сохранения кон- конфигурации. Администратору, который конфигурирует устройство, необходимо помнить о по- последнем пункте приведенного выше списка. В отличие от процесса конфигурирования блока управления Supervisor коммутатора Catalyst, пользователь не должен забывать сохранять конфигурацию вручную каждый раз после внесения изменений. Если кон- конфигурация не будет сохранена, после очередной перезагрузки пользователя ждет не- неприятный день (или ночь), потраченный на перенастройку устройства. Совет Не забывайте использовать команду copy run start для сохранения конфигурации LANE! Модуль LANE легче рассматривать как независимое устройство, которое подсое- подсоединено к панели коммутатора Cisco. Другими словами, когда модуль LANE находится в эксплуатации, он использует свою собственную память DRAM и процессор (CPU). Когда у коммутатора Catalyst выключают питание, модуль LANE использует свою собственную энергонезависимую память NVRAM для хранения конфигурации и свою собственную флэш-память для хранения образа операционной системы. Модуль LANE коммутатора Catalyst можно сконфигурировать за пять этапов, каж- каждый из которых детально описан в последующих разделах. Этап 1. Создание служебных соединений. Этап 2. Создание серверов LES и BUS. Этап 3. Создание сервера LECS. Этап 4. Создание клиентов LEC. Этап 5. Добавление NSAP-адреса сервера LECS в конфигурацию АТМ-коммута- тора. Этап 1: создание служебных соединений Технология LANE широко использует служебные протоколы ATM, о которых упоминалось в начале главы. В частности, клиент LEC должен быть сконфигурирован для использования определенных служебных сигналов и протокола ILMI. Служебные управляющие сигналы позволяют клиенту LEC создавать многие каналы SVC, тре- требуемые технологией LANE, тогда как протокол ILMI обеспечивает регистрацию адре- адресов и позволяет ATM-коммутатору предоставлять NSAP-адрес сервера LECS (в приве- приведенной выше аналогии — "Вышибалы"). Оба протокола запускаются в работу при создании двух соединений PVC сети ATM. Основной синтаксис для команд соедине- соединений PVC следующий (у команд также могут присутствовать другие параметры, но для технологии LANE это не существенно): atm pvc VCD VPI VCI encapsulation Параметр VCD используется для указания локального значения идентификатора виртуального соединения (Virtual Circuit Descriptor). Для того, чтобы отслеживать ка- каждое ATM-соединение, операционная система Cisco IOS использует уникальное зна- 434 Часть III. Магистральные соединения
чение VCD. В случае использования каналов PVC уникальное значение необходимо задавать вручную. В случае запуска канала SVC коммутатор Catalyst автоматически выбирает уникальный идентификатор. Параметры VPI и VCI используются для указания идентификатора виртуального маршрута и идентификатора виртуального канала соответственно. Напомним, что данные параметры являются двумя 5-байтовыми адресными полями в заголовке АТМ- ячейки. Два канала PVC, показанные в примере 9.3, должны быть сконфигурированы для каждого клиента LEC. Пример 9.3. Обязательные каналыPVC для клиентов LE ATM(Config)! int atm 0 ATM(Config-if)! atm pvc 1 0 5 qsaal ATM(Config-if)t atm pvc 2 0 16 ilmi Первый канал PVC обеспечивает передачу служебных сигналов (QSAAL обозначает Q-сигналы уровня адаптации ATM — Q.signaling ATM Adaptation Layer), тогда как второй канал PVC явно создает интерфейс протокола ILMI. Можно использовать лю- любое значение идентификатора VCD, но оно должно быть уникальным; 1 и 2 — наибо- наиболее часто употребляемые значения. Очень распространенной ошибкой, которая вызывает множество проблем, являет- является конфигурация, приведенная в примере 9.4. |- Пример 9.4. Ошибочная конфигурация канала PVC.,.ir- -^'; Щ, :й|й; ■/ ■ W ,С ,4 ATM(Config)! int atm 0 ATM(Config-if)t atm pvc 10 5 qsaal ATM(Config-if)i atm pvc 1 0 16 ilmi Такая ошибка приводит к тому, что создается только одно соединение PVC (для протокола ILMI), так как VCD-значения одинаковы. Для модулей LANE коммутаторов Catalyst не нужно выполнение этапа Г. Все образы LANE коммутаторов Catalyst, начиная с версии 3.x, автоматически содержат два слу- служебных канала PVC. С другой стороны, при конфигурировании технологии LANE на маршрутизаторе Cisco следует помнить о том, что необходимо ввести две команды, представленные выше. Совет При конфигурировании модуля LANE коммутатора Catalyst не требуется вводить конфи- конфигурации каналов PVC для передачи служебных сигналов и сообщений протокола ILMI. Этап 2: создание серверов LES и BUS ("Бармена" и "Распространителя слухов") Первыми специфическими компонентами технологии LANE, которые необходимо сконфигурировать, являются серверы LES и BUS (компоненты технологии LANE можно настраивать в любом порядке, однако рекомендуется использовать тот поря- Глава 9. Магистральное соединение с эмуляцией локальной сети 435
док, который приведен в данной книге). Для того, чтобы компоненты функциониро- функционировали более эффективно, по требованиям корпорации Cisco необходимо, чтобы служ- службы серверов LES и BUS были запущены па одном и том же устройстве. Следователь- Следовательно, для запуска служб обоих устройств используется одна команда: lane server-bus ethernet ELAN_Name Например, конфигурация, приведенная в примере 9.5, используется для создания серверов LES и BUS для сети ELAN с именем ELAN1. j Пример 9.5. Создание серверов LES и BUS для сети ELAN ^:фШ ATM(Config)! int atm 0.1 multipoint ATM(Config-subif)# lane server-bus ethernet ELAN1 Внимание! Имена сетей ELAN необходимо вводить очень аккуратно — все службы чувствительны к регистру символов в именах таких сетей! После выполнения конфигурации, приведенной в примере 9.5, с помощью коман- команды show lane server (см. пример 9.6) можно просмотреть состояние сервера LES. j Пример 9.6. Просмотр состояния сервера LES ATMtshow lane server LE Server ATM0.1 ELAN name: ELAN1 Admin: up State: operational type: ethernet Max Frame Size: 1516 ATM address: 47.00918100000000102962E801.00102962E431.01 LECS used: 47.007900000000000000000000.00A03E000001.00 NOT yet connected И, наконец, следует заметить, что адрес LES, который присутствует в выводимой информации, начиная со второй строчки (поле atm address:), будет использоваться на этапе 3. За исключением случаев, когда используются избыточные сервера SSRP, пользова- пользователь должен удостовериться, что только один сервер LES/BUS был сконфигурирован в каждой сети ELAN. Этап 3: создание сервера LECS ("Вышибалы") Каждой сети LANE необходим один сервер LECS (при использовании протокола SSRP возможно наличие дополнительных серверов LECS). Конфигурирование сервера LECS выполняется в два этапа. Этап 1. Необходимо создать базу данных сервера LECS. Этап 2. Необходимо запустить службу LECS на главном интерфейсе. Создание базы данных сервера LECS База данных сервера LECS является таблицей, в которой перечислены все доступ- доступные сети ELAN и их NSAP-адреса. В такой базе данных может быть указана дополни- дополнительная информация, такая, например, как NSAP-адреса для контроля безопасности 436 Часть III. Магистральные соединения
сети и идентификатор ELAN ID. Для того, чтобы создать основную базу данных сер- сервера LECS, необходимо использовать команду lane database, чтобы войти в режим конфигурации базы данных интерфейса командной строки (CLI) операционной сис- системы IOS. Синтаксис команды следующий: lane database database-name С данного момента можно вводить строки конфигурации для каждой сети ELAN. В каждой строке перечисляются имя сети ELAN, NSAP-адрес сервера LES для данной сети ELAN; используется следующий синтаксис (для простоты опущены некоторые дополнительные опции): name elan-name server-atm-addres atm-addr Внимание! Несколько строк можно ввести при условии использования протокола SSRP, который обсуждается ниже. Например, с помощью команд, перечисленных в примере 9.7, создается база дан- данных для двух сетей ELAN. Пример 9.7. Создание базы данных для двух сетей ELAN ATM(Config)* lane database My_LECS_Db ATM(lane-config-database)! name ELAN1 server-atm-address 47.009Ш00000000102962Е801.00102962Е431.01 ATM(lane-config-database)! name ELAN2 server-atm-address 47.00918100000000102962E801.00101F266431.02 Наиболее распространенная ошибка при конфигурировании рассматриваемых ком- компонентов состоит в том, что в базе данных конфигурируют адреса NSAP серверов LECS вместо серверов LES. Серверу LES не нужно иметь собственный адрес, который добав- добавляется в базу данных, поскольку он уже знает его; ему необходимо знать NSAP-адрес сервера LES. Следует просто запомнить, что сервер LECS (т.е. бывший "Вышибала") должен сообщать "Клиентам", как достичь сервера LES (т.е. "Бармена"). Совет Удостоверьтесь, что в базе данных LECS определены имена серверов LES, а не LECS. Возможность редактировать базу данных LECS на ATM-устройствах является очень важной особенностью технологий корпорации Cisco. Конкурирующие техно- технологии имеют несколько другой подход, который в лучшем случае требует создания файла на TFTP-сервере с помощью достаточно непростого синтаксиса и передачи данного файла с помощью протокола TFTP на АТМ-устройство. Запуск сервера LECS После того, как сервер LECS был создан, соответствующую ему службу необходи- необходимо запустить. Как обсуждалось ранее, сервер LECS должен быть запущен на главном интерфейсе, поскольку он является глобальной компонентой, которая обслуживает всю сеть и не принадлежит какой-либо определенной сети ELAN. Глава 9. Магистральное соединение с эмуляцией локальной сети 437
Для того, чтобы запустить сервер LECS, необходимо ввести две команды, которые показаны в примере 9.8. Пример 9.8. Необходимые для запуска сервера LECS команды ; ; ATM(Config)! int atm 0 ATM(Config-if)# lane config database My_LECS_Db ATM(Config-if)t lane config auto-config-atm-address Команда lane config database привязывает базу данных, которая была создана на предыдущем этапе, к определенному главному интерфейсу. Полный синтаксис данной команды следующий: lane config database database-name Команда lane config auto-config-atm-address сообщает операционной системе IOS о том, что необходимо использовать автоматическую схему адресации (МАС-адрес + 3.00), которая обсуждалась выше. Полный синтаксис данной команды выглядит так: lane config auto-config-atm-address Этап 4: создание клиентов LEC На четвертом этапе на соответствующие подынтерфейсы добавляются клиенты LANE. Если один модуль LANE коммутатора Catalyst необходимо использовать в де- десяти сетях ELAN, то нужно создать десять клиентов (т.е. LECs). Для создания клиента необходимо выполнить команду, которая приведена в примере 9.9. Пример 9.9. Создание клиента LEC АТМ(Config)! int atm 0.1 multipoint ATM(Config-subif )# lane client ethernet 1 ELAN1 Параметр 1 во второй командной строке привязывает сеть VLAN 1 к сети ELAN 1, соединяя две сети в один широковещательный домен. Полный синтаксис команды lane client выглядит следующим образом: lane client [ethernet | tokenring] vlan-num [elan-name] Совет При создании клиента LEC для модуля LANE коммутатора Catalyst необходимо вы- выполнить привязку номера сети VLAN к имени сети ELAN. При конфигурации техноло- технологии LANE на маршрутизаторе Cisco выполнение подобных действий не требуется (стандартно маршрутизаторы выполняют функцию поиска маршрута, а не обычного мостового объединения сетей между клиентом LEC и другими интерфейсами). Этап 5: добавление NSAP-адреса сервера LECS в конфигурацию АТМ-коммутатора Напомним, что в устройствах Cisco клиенты LEC узнают NSAP-адрес сервера LECS с помощью протокола ILMI. Для этого на ATM-коммутаторах конфигурируют NSAP-адреса сервера LECS. Они вводят следующие команды конфигурирования ад- 438 Часть III. Магистральные соединения
ресов для модуля LS1010 (модуль LS1010 также использует IOS-подобный пользова- пользовательский интерфейс): Switch(Config)l atm lecs-address-default 47.0091.8100.0000.0010.2962. e801.0010.2962.e433.00 Данная команда является глобальной и после выполнения применяется ко всем портам коммутатора. Адрес сервера LECS можно получить с помощью команды show lane config или show lane default на устройстве, которое выступает в роли конфигурационного сервера. Команда, указывающая адрес сервера LECS, должна быть сконфигурирована на всех ATM-коммутаторах, поскольку не существует автома- автоматический механизм или протокол, который бы распространял NSAP-адреса серверов LECS между ATM-коммутаторами. Полный синтаксис команды atm lecs-address- default выглядит следующим образом: atm lecs-address-default lecs-address [sequence-i] Параметр sequence-i используется протоколом SSRP, который обсуждается ниже в текущей в главе. Построение завершенной сети LANE На рис. 9.26 собраны многие из концепций и команд, которые обсуждались в пре- предыдущих разделах. В данном разделе показывается полная конфигурация маршрутиза- маршрутизатора, который присоединен к сети ATM. VLAN1 VLAN2 VLAN1 VLAN2 Модуль Ethernet модуль Ethernet Рис. 9.26. Завершенная сеть LANE Сеть состоит из двух коммутаторов Catalyst, которые содержат модули Ethernet и LANE. Каждый коммутатор Catalyst был сконфигурирован с поддержкой двух сетей VLAN, которые используют ATM-сеть в качестве магистральной среды передачи дан- данных. Сеть VLAN 1 прозрачно объединяется с сетью ELAN1 с помощью моста, при этом создается один широковещательный домен. Сеть VLAN 2 объединена с сетью Глава 9. Магистральное соединение с эмуляцией локальной сети 439
ELAN2. Оба коммутатора Catalyst поддерживают по два клиента LANE — по одному на каждую сеть ELAN. Коммутатор Cat-A выполняет функцию сервера LES/BUS для сети ELAN1, а коммутатор Cat-B служит в качестве сервера LES/BUS для сети ELAN2. В примере 9.10 приведена конфигурация коммутатора Cat-A для рассматри- рассматриваемой топологии сети. Пример 9.10. Конфигурация коммутатора Cat-A для LANE-сети, приведен* \r: .^\> .£* : ной на рис. 9.26 —;':;' ■"'' ^.-.- .. i~;^:'yAit\ '*"'''. .tJP'* '?*?: int atm 0 atm pvc 1 0 5 qsaal atm pvc 2 0 16 ilmi i int atm 0.1 multipoint lane server-bus ethernet ELAN1 lane client ethernet 1 ELAN1 i int atm 0.2 multipoint lane client ethernet 2 ELAN2 В примере 9.11 приведена конфигурация коммутатора Cat-B для рассматриваемой топологии сети. Пример 9.11. Конфигурация коммутатора Cat-B для LANE-сети, приведен-1 I4 . ". ной на рис. 9.26 :/ ' . ;л ...., ' ^ •; ■';•■ ; int atm О atm pvc 10 5 qsaal atm pvc 2 0 16 ilmi I int atm 0.1 multipoint lane client ethernet 1 ELAN1 ! int atm 0.2 multipoint lane server-bus ethernet ELAN2 lane client ethernet 2 ELAN2 Маршрутизатор, подсоединенный к сети ATM, также должен быть сконфигуриро- сконфигурирован из расчета, что он должен предоставлять службу маршрутизации между сетями VLAN/ELAN. Для этого на главном интерфейсе создаются два служебных канала PVC и два подынтерфейса, которые поддерживают клиентов LANE и имеют определенные IP-адреса. Маршрутизатор также выполняет в сети функцию сервера LECS. В приме- примере 9.12 приведена необходимая конфигурация маршрутизатора. Пример 9.12. Конфигурация маршрутизатора для LANE-сети, приведен- j | ■. ."; 'l I; НОЙ ИЗ РИС. 9.26; ':{,■/■ ■. '■' " '■ '■/ ' .'"'?''" . -'С ;Л lane database my_database name ELAN1 server-atm-address 47.0091.8100.0000.0010.2962.E801.0010.2962.E431.01 name ELAN2 server-atm-address 47.0091.8100.0000.0010.2962.E801.0010.1F26.6431.02 440 Часть III. Магистральные соединения
int atm 1/0 atm pvc 10 5 qsaal atm pvc 2 0 16 ilmi lane config database my_database lane config auto-config-atm-address i int atm 1/0.1 multipoint ip address 10.0.1.1 255.255.255.0 lane client ethernet 1 ELAN1 ! int atm 1/0.2 multipoint ip address 10.0.2.1 255.255.255.0 lane client ethernet 2 ELAN2 Проверка конфигурации сети LANE С данного момента конфигурация сети LANE должна функционировать. Для по- поиска неисправностей в конфигурации используется команда show lane client, ко- которая является мощным и полезным инструментом для администратора сети. Реко- Рекомендуется использовать данную команду даже чаще, чем команду ping, потому что, во-первых, у модуля LANE нет команды ping (для ее использования необходимо бу- будет возвратиться к интерфейсу командной строки модуля Supervisor, для чего понадо- понадобится команду exit), а во-вторых, команда show lane client выдает значительно больше полезной информации. В примере 9.13 показана выводимая командой show lane client текущая кон- конфигурация устройства. Пример 9.13. Выводимая командой show lane client информация ATMtshow lane client LE Client ATM0.1 ELAN name: ELAN1 Admin: up State: operational Client ID: 3 LEC up for 8 seconds Join Attempt: 1 HW Address: 0010.2962.e430 Type: ethernet Max Frame Size: 1516 VLANID: 1 ATM Address: 47.00918100000000102962E801.00102962E430.01 ATM Address 47.00918100000000102962E801.00102962E433.00 47.00918100000000102962E801.00102962E431.01 distribute 47.00918100000000102962E801.00102962E431.01 47.00918100000000102962E801.00102962E432.01 47.00918100000000102962E801.00102962E432.01 Ниже приведена расшифровка и последовательность выводимой с помощью обсу- обсуждаемой команды информации (см. пример 9.13). Глава 9. Магистральное соединение с эмуляцией локальной сети 441 VCD 0 22 23 25 26 rxFrames 0 1 7 0 6 txFrames 0 3 0 1 0 Type configure direct distribut send forward
• Первая строка (после команды show lane client) показывает подынтерфейс, имя сети ELAN, включен ли административно клиент LEC и находится ли он в рабочем состоянии. • Вторая строка выводит значение идентификатора LEC ID, назначенного клиен- клиенту LEC сервером LES, и показывает, как долго клиент LEC находится в актив- активном состоянии. • В третьей строке указывается, сколько попыток подсоединения выполнил кли- клиент LEC (в некоторых случаях такая информация может находиться в конце второй строки). • В четвертой строке выводится МАС-адрес клиента (он должен быть привязан к первой строке в show lane default), информация о том, является ли LEC клиентом Ethernet или Token Ring, и какое используется значение модуля MTU. • Сеть VLAN, соответствующая указанной в первой строке сети ELAN, обычно выводится в пятой строке. • В шестой строке указан NSAP-адрес клиента LEC (если используется автомати- автоматический NSAP-адрес, он должен включать МАС-адрес из четвертой строки в ка- качестве идентификатора ESI). • Остальные строки показывают пять служебных соединений, которые были соз- созданы во время процесса присоединения. Следует заметить, что соединения вы- выводятся в порядке их создания. Необходимо помнить о данной особенности в случае, если пользователь забыл порядок присоединения каналов. Каждая строчка показывает значение идентификатора VCD, которое использовалось для каждого соединения, количество фреймов, переданных и полученных по данному соединению, название соединения (аббревиатура) и NSAP-адрес уст- устройства, которое находится на другом конце соединения. Следует заметить, что конфигурационное прямое виртуальное соединение к конфигурационному сер- серверу имеет значение VCD, равное 0, отражая тот факт, что в технологии корпо- корпорации Cisco соединение разрывается, как только сервер LECS передаст NSAP- адрес сервера LES. Как только будет создано прямое виртуальное соединение передачи данных, после пяти строчек описания служебных каналов VC появят- появятся дополнительные строки. Совет Используйте команду show lane client, чтобы запомнить порядок процесса при- присоединения каналов к сети LANE. В примере 9.13 отображены несколько элементов, которые показывают, что клиент LEC успешно подсоединился к сети ELAN: • значение поля State (состояние) является рабочим (operational); • клиент LEC был запущен в течение 8 с; • для всех служебных каналов VC приведены правильные NSAP-адреса. В примере 9.14 показаны наиболее обшие элементы, которые указывают на сбой в работе. 442 Часть III. Магистральные соединения
VCD 0 0 0 0 0 rxFrames 0 0 0 0 0 txFrames 0 0 0 0 0 Пример 9.14. Сбой в работе клиента LEC "' щ^?^"-- ■■;■§.'■■■■■-' t л \ ATMlshow lane client LE Client ATM0.1 ELAN name: ELAN1 Admin: up State: initialState Client ID: unassigned Next join attempt in 9 seconds Join Attempt: 7 Last Fail Reason: Config VC being released HW Address: 0010.2962.e430 Type: ethernet Max Frame Size: 1516 VLANID: 1 ATM Address: 47.00918100000000102962E801.00102962E430.01 Type ATM Address configure 47.007900000000000000000000.00A03E000001.00 direct 00.000000000000000000000000.000000000000.00 distribute 00.000000000000000000000000.000000000000.00 send 00.000000000000000000000000.000000000000.00 forward 00.000000000000000000000000.000000000000.00 Несколько элементов представленной в примере 9.14 информации указывают на неисправность в работе клиента: • значением поля State (состояние) является исходное состояние (initialState); • клиент LEC пытался в очередной раз подсоединиться через 10 с; • указано поле Last Fail Reason (последняя причина сбоя); • только у первого канала VC (конфигурационного прямого соединения) присут- присутствует ненулевой NSAP-адрес. Поскольку в первой строке представлено конфигурационное прямое виртуальное соединение с сервером LECS, данная информация указывает на возникновение про- проблемы в самом начале процесса подсоединения к сети. Также, если обратить внима- внимание на NSAP-адрес в данном соединении, его значением является известный NSAP- адрес. Поскольку в технологии корпорации Cisco известный NSAP-адрес используется только в качестве последнего средства, когда все остальные попытки определения ад- адреса закончились неудачей, данный факт свидетельствует о том, что процесс подсое- подсоединения к сети не удался. Фактически такая ситуация почти всегда является результа- результатом трех характерных ошибок, которые приведены ниже. • ATM коммутатор выдал неверный NSAP-адрес (или не NSAP-адрес) для сервера LECS. Когда клиент LEC устанавливает соединение с устройством с заданным NSAP-адресом и пытается начать процесс подсоединения к сети, ему в грубой форме сообщается нечто похожее: "Подсоединиться к сети ELAN? Я не пони- понимаю, о чем ты говоришь!" Для обнаружения и устранения данной проблемы следует воспользоваться командой atm lecs-address-default модуля LS1010. • Клиент LEC получил правильный NSAP-адрес сервера LECS, но сервер LECS нахо- находится в нерабочем состоянии. В данном случае клиент сети установил соединение с верным устройством, но процесс подключения к сети снова не удался, посколь- поскольку сервер LECS даже не может обработать запрос LE_CONFIGURE_REQUEST (запросы, которые посылаются клиентами серверам LECS). Для обнаружения и Глава 9. Магистральное соединение с эмуляцией локальной сети 443
устранения данной проблемы следует проверить конфигурацию сервера LECS, используя команду show lane config. • Клиент LEC обратился к сети ELAN, которой не существует. Для обнаружения такой ситуации следует воспользоваться командой terminal monitor модуля LANE. Если появляется сообщение "CFG_REQ failed, no configuration (LECS returned 20)" (Обмен сообщениями CFG_REQ не удался, нет необходимой конфигурации (сервер LECS вернул код ошибки 20)), необходимо использовать команду show lane client для проверки имени сети ELAN. Пользователь должен удостовериться, что данное имя сети ELAN идентично одному из имен ELAN, которые отображаются на сервере LECS командой show lane database. Следует тщательно проверить соответствие регистра символов на- названия сети, поскольку имена сетей ELAN чувствительны к регистру. Информация, приведенная в примере 9.15, показывает, что клиент LEC успешно установил контакт с сервером LECS, но при установлении соединения с сервером LES возникли проблемы. VCD 0 0 0 0 0 rxFrames 0 0 0 0 0 txFrames 0 0 0 0 0 Пример 9.15. Клиент LEC не может установить соединение с сервером LES | ATMtshow lane client LE Client ATM0.1 ELAN name: ELAN1 Admin: up State: initialState Client ID: unassigned Next join attempt in 10 seconds Join Attempt: 8 Last Fail Reason: Control Direct VC being released HW Address: 0010.2962.e430 Type: ethernet Max Frame Size: 1516 VLANID: 1 ATM Address: 47.00918100000000102962E801.00102962E430.01 Type ATM Address configure 47.00918100000000102962E801.00102962E433.00 direct 47.00918100000000102962E801.00102962E431.01 distribute 00.000000000000000000000000.000000000000.00 send 00.000000000000000000000000.000000000000.00 forward 00.000000000000000000000000.000000000000.00 В примере 9.15 показана практически та же информация, что и в примере 9.14; од- однако, перечислены два служебных соединения с правильными NSAP-адресами. По двум причинам данная пара служебных соединений подтверждает, что клиент LEC успешно установил соединение с сервером LECS. Первая из них заключается в том, что в кон- конфигурационном прямом виртуальном соединении (первый служебный канал) указан правильный NSAP-адрес для сервера LECS. Вторая — клиент LEC не может установить соединение с сервером LES (второй служебный канал) без получения NSAP-адреса от сервера LECS. В данном случае клиент LEC запрашивает соединение с сервером'LES (контрольное прямое соединение, второе соединение VC), по сервер не может ответить на запрос клиента (соединение контрольного распределения, третье соединение VC). Причина неисправности вдобавок подтверждается сообщением в поле Last Fail Reason "Control Direct VC being released" (Причина последнего отказа — "прямой виртуальный канал передачи данных не установлен"). Практически во всех случаях причиной неис- неисправности является одна из двух проблем, которые приведены ниже. 444 Часть III. Магистральные соединения
• Клиент LEC получает неверный NSAP-адрес от сервера LECS для сервера LES. Клиент LEC, вызывая неверное устройство, как бы получает ответ: "Я не знаю, о чем ты говоришь!" Для проверки NSAP-адреса сервера LES для опре- определенной сети ELAN следует использовать команду show lane database на сервере LECS. Если это необходимо, придется исправить базу данных сервера LECS. • Клиенту LEC предоставили правильный NSAP-адрес для сервера LES, но он нахо- находится в нерабочем состоянии. Клиент LEC вызывает верное устройство, но оно не функционирует в качестве сервера LES. Данную проблему можно обнару- обнаружить с помощью команды show lane server на сервере LES (т.е. удостове- удостовериться, что сервер LES функционирует). Если это необходимо, можно скоррек- скорректировать конфигурационные параметры сервера LES. В редких случаях на оборудовании Cisco неработоспособность механизма эмуля- эмуляции локальной сети связана с виртуальными соединениями многоадресатной рассыл- рассылки и настройками многоадресатной передачи. Такие признаки свидетельствуют о на- наличии проблем с сервером BUS: или сервер LES передал неверный NSAP-адрес сер- серверу BUS, или сервер BUS не находился на момент установления соединения в активном состоянии. Поскольку технология корпорации Cisco требует, чтобы сервера LES и BUS находились "рядом, сервер BUS всегда должен быть досягаем, если до- досягаем сервер LES. Однако в случае использования устройств других производителей для серверов LES и BUS можно столкнуться именно с такой проблемой. Если все же не удается успешно подсоединиться к сети ELAN, необходимо обра- обратиться к главе 16, "Поиск и устранение неисправностей", за дополнительной инфор- информацией по методам поиска неисправностей в сетях. В главе 16 рассматриваются до- дополнительные средства обнаружения неисправностей. Дополнительные средства и возможности технологии LANE В данном разделе рассматриваются несколько дополнительных средств и связан- связанные с ними вопросы, которые могут быть полезны в больших сетях LANE: • где необходимо запускать службы технологии LANE; • как и когда необходимо использовать жестко запрограммированные адреса тех- технологии LANE; • возможности протокола SSRP; • дублирование интерфейсов PHY3; • использование известного NSAP-адреса для отыскания серверов LECS; • настройка каналов PVC и методы ограничения трафика. 2 Желательно, чтобы они были сконфигурированы на одном устройстве. — Прим. ред. 3 PHY — сокращение от Physical, физический. Так обычно обозначается физический порт (терминал), который используется для подключения к устройству, кроме того, может использо- использоваться виртуальный порт (VTY — Virtual) и другие типы портов. — Прим. ред. Глава 9. Магистральное соединение с эмуляцией локальной сети 445
Где необходимо запускать службы технологии LANE Одним из первых вопросов, с которым сталкиваются разработчики сетей, на основе технологии LANE, является следующий: "Где следует разместить три серверные ком- компоненты (т.е. серверы LECS, LES и BUS)?" Поскольку сервер LECS очень слабо использует процессорное время, существует большой выбор в размещении данной службы. Главным критерием при определении его местоположения служит выбор устройства с высокой работоспособностью. Неко- Некоторые разработчики сетей утверждают, что наилучшим местом размещения сервера является ATM-коммутатор, потому что он предоставляет централизованную базу дан- данных. Однако, другая категория разработчиков утверждает, что во время частичного выхода сети из строя ATM-коммутатор полностью загружен обработкой попыток соз- создания новых каналов SVC. Дальнейшая его загрузка обязанностями сервера LECS лишает сеть надежности. Рекомендуется попытаться разместить сервер LECS в модуле LANE коммутатора Catalyst. Неплохим выбором устройства для запуска сервера будет такая платформа, как маршрутизатор Cisco серии 7500. Деятельность сервера LES требует больше процессорного времени, чем деятель- деятельность сервера LECS, однако, она тоже не обременительна для устройства. С другой стороны, деятельность сервера BUS действительно требует огромных затрат процес- процессорного времени — он должен быть способен обрабатывать все широковещательные и многоадресатные сообщения в сети, а также поддерживать однонаправленный трафик, когда происходят Flush-процессы. Поскольку технология корпорации Cisco требует, чтобы сервер LES был расположен поблизости от сервера BUS, необходимо очень тщательно выбирать расположение сервера BUS. На данный момент коммутатор Catalyst 5000 предоставляет наилучшую производительность для сервера BUS среди всех продуктов корпорации Cisco (а также занимает первую позицию по производи- производительности как аппаратное устройство для запуска служб сервера BUS в сетевой инду- индустрии). В табл. 9.5 приведена производительность сервера BUS для различных АТМ- устройств корпорации Cisco, выраженная в килопакетах (тысяча пакетов — кпак) в секунду. Предполагается, что ATM-модуль канала ОС-12 коммутатора Catalyst 6000 будет иметь производительность, сравнимую с производительностью модуля канала ОС-12 устройства Catalyst 5000. i Таблица 9.5. Производительность сервера BUS на разных аппаратных ■ -| Аппаратная платформа Производительность (кпак/с) Коммутатор Catalyst 5000. Модуль канала ОС-12 LANE 500+ Коммутатор Catalyst 5000. Модуль канала ОС-3 LANE 125 Модуль ATM PA (в маршрутизаторах 7500 и 7200) 70 Коммутатор Catalyst 3000 50 Модуль 4700 NMP-1A 41 Модуль LS1010 30 Модуль 7000 AIP 27 446 Часть III. Магистральные соединения
Внимание! Несмотря на то, что модуль LANE коммутаторов Catalyst предоставляет наибольшую пропускную способность среди всех продуктов корпорации Cisco, маршрутизаторы с очень мощными центральными процессорам (CPU), такие, например как, устройство 7500 RSP4, могут обеспечить более быстрый возврат к исходному состоянию после возникновения неисправности в сети (дополнительная мощность процессора позволя- позволяет им быстрее создавать виртуальные соединения). Обычно данный аспект является менее важным, чем значения пропускной способности, представленные в табл. 9.5. Использование жестко запрограммированных адресов Несмотря на то, что автоматическая схема NSAP-адресации, которая основывается на МАС-адресах и номерах подынтерфейсов, позволяет действительно очень легко конфигурировать технологию LANE в устройствах Cisco, она может привести к про- проблемам в обслуживании сети. Поскольку МАС-адреса, которые используются в NSAP-схеме, связаны с шасси модуля Supervisor коммутатора, использование допол- дополнительных плат может привести к незначительной реконфигурации. Шасси, которое поддерживает избыточные модули Supervisor, такие, как серия моделей 55ХХ, исполь- использует МАС-адреса, получаемые из микросхем, расположенных на задней панели. Каж- Каждому гнезду назначается блок адресов, что приводит к возникновению проблем при смене шасси или перемещении модуля LANE в другое гнездо. Шасси, которое под- поддерживает только один блок управления Supervisor (например, коммутатор Catalyst 5000), использует МАС-адреса самого блока управления Supervisor. Каждому гнезду также назначается определенный блок адресов. Однако в таком случае при за- замене в шасси проблемы не возникнут, поскольку задняя панель в данных платформах пассивна, но возникнут несоответствия конфигурации при замене или изменении мо- модуля управления Supervisor или при перемещении модуля LANE в другое гнездо. Следует заметить, что реконфигурация необходима только в том случае, если уст- устройство, которое функционирует как сервер LECS или LES, изменяется. Если изме- изменяется сервер LECS, необходимо изменить NSAP-адрес, который был сконфигуриро- сконфигурирован на каждом коммутаторе ATM (но если предположить, что используется протокол ILMI или известный NSAP-адрес LECS, изменять настройки клиентов LEC не нуж- нужно). Если изменяется сервер LES, необходимо изменить его NSAP-адрес, который указан в базе данных сервера LECS. Протокол SSRP Спецификация стандарта LANE 1.0, которая вышла в январе 1995 г., не преду- предусматривает наличия протокола межсерверного взаимодействия, известного как прото- протокол LNNI (межсетевой интерфейс LANE — LANE Network-Network Interface). По- Поскольку данное ограничение препятствует взаимодействию нескольких серверов и синхронизации информации между ними, ATM-форум пришел к простому решению данной проблемы: допускается существование в сети только одного экземпляра каж- каждого типа сервера. Теперь вся сеть зависит от одного сервера LECS и каждая сеть ELAN зависит от одного сервера LES и BUS. В такой ситуации потенциально может возникать множество сбоев. Большинство производителей оборудования для сетей Глава 9. Магистральное соединение с эмуляцией локальной сети 447
ATM создали свои протоколы, обеспечивающие избыточность и резервирование в та- такой телекоммуникационной структуре. Так, например, корпорация Cisco создала про- простой протокол избыточности серверов (SSRP — Simple Server Redundancy Protocol). Протокол SSRP допускает существование неограниченного числа резервных серве- серверов LECS и LES/BUS, хотя наиболее часто используются один основной и один ре- резервный сервер каждого типа. При отказе основного сервера в работу вступают ре- резервные, но при этом не допускается одновременное существование нескольких ак- активных серверов. Одним из главных преимуществ протокола SSRP является его совместимость с большинством из клиентов LEC других производителей оборудова- оборудования сетей ATM. Легкость и интуитивная простота конфигурации протокола SSRP является его до- дополнительным преимуществом. Для того, чтобы разместить несколько серверов LECS в сети, необходимо просто сконфигурировать несколько команд atm lecs-address- default на каждом ATM-коммутаторе. Чтобы предусмотреть наличие нескольких серверов LES/BUS в каждой сети ELAN, необходимо просто добавить несколько по- полей name elan_name server-atm-address nsap в базу данных сервера LECS. На- Например, с помощью команд, приведенных в примере 9.16, можно сконфигурировать два сервера LECS в модуле LS1010 АТМ-коммутатора. Пример 9.16. Конфигурирование двух серверов LECS в модуле LS1010 [ ATM-коммутатора >; j Switch(Config)t atm lecs-address-default 47.0091.8100.0000.0010.2962.e801.0010.2962.e433.00 Switch(Config)t atm lecs-address-default 47.0091.8100.0000.0010.29BC.5604.0010.2972.7713.00 Если доступен первый из серверов LECS, порт LS1010 всегда предоставляет его NSAP-адрес клиентам LEC с помощью протокола ILMI. Если же первый сервер LECS становится недоступным, ATM-коммутатор просто передает клиенту LEC NSAP-адрес второго сервера LECS. Клиент LEC больше ни о чем не будет подозре- подозревать (даже о том, что первый сервер LECS вышел из строя), он лишь будет распола- располагать информацией о том, что изменился адрес сервера. Внимание! Необходимо удостовериться, что на всех ATM-коммутаторах дополнительные адреса серверов LECS введены в одном и том же порядке. С помощью команд, приведенных в примере 9.17, можно сконфигурировать ре- резервные сервера LES/BUS для сетей ELAN1 и ELAN2. Пример9.17. Конфигурирование резервных серверов LES/BUS для не-; скольких сетей ELAN I ATM(Config)! lane database My_LECS_Db ATM(lane-config-database)t name ELAN1 server-atm-address 47.00918100000000102962E801.00102962E431.01 ATM(lane-config-database)i name ELAN1 server-atm-address 47.009181000000001029BC5604.001029727711.01 448 Часть III. Магистральные соединения
ATM(lane-config-database)i name ELAN2 server-atm-address 47.00918100000000102962E801.00101F266431.02 ATM(lane-config-database)t name ELAN2 server-atm-address 47.009181000000001029BC5604.00101F727711.02 Если доступен первый в списке сервер LES, его адрес возвращается клиенту LEC сервером LECS в ответ на запрос LE_CONFIGURE_REPLY. Если первый сервер LES выходит из строя, сервер LECS возвращает NSAP-адрес второго сервера LES, если клиент LEC пытается снова подсоединиться к сети. И опять же, клиент LEC даже не подозревает об изменениях в сети, он просто получает другой адрес. Внимание! Удостоверьтесь, что все базы данных серверов LECS идентичны. Механизм функционирования резервных серверов LECS обеспечивается контроль- контрольными соединениями между ними. Сервер LECS использует протокол ILMI для того, чтобы получить от ATM-коммутатора полный список серверов LECS (подобно клиен- клиенту LEC). Для обеспечения такой возможности каждый сервер LECS создает соедине- соединение SVC с каждым сервером LECS, находящимся в списке ниже него. Один из серве- серверов LECS без входящего соединения является основным сервером LECS. Однако, ес- если основной сервер выходит из строя, его соединение со вторым сервером LECS разрывается, и это приводит к тому, что у резервного сервера LECS больше нет вхо- входящего соединения. Представим, например, что в сети есть три устройства LECS: А, Б и В. Устройство А является первым в списке порта LS1010, а В — последним. После того, как все три коммутатора получат полный список серверов LECS посредством протокола 1LM1, устройство А создает соединения с устройствами Б и В, а устройство Б установит соединение с сервером В. Поскольку устройство Б имеет одно входящее соединение, а В — два входящих соединения, они являются резервными серверами LECS. Поскольку у сервера А нет входящего соединения, он становится основным сервером LECS. Однако, если устройство А выходит из строя, соединение с сервером Б разрывается, и это приводит к тому, что сервер Б становится основным. Далее, если Б выходит из строя, его соединение с устройством В разрывается, и оно становится основным сервером LECS. В механизме резервирования серверов LES/BUS также используется протокол ILMI. Вначале все серверы LES/BUS с помощью протокола ILM1 определяют основ- основной сервер LECS. Далее каждый сервер LES/BUS создает подсоединение к данному серверу. После этого конфигурационный сервер обнаруживает все входящие соедине- соединения, чтобы определить, какое из них связывает сервер LES/BUS, расположенный первым в базе данных LECS. NSAP-адрес такого сервера LES/BUS возвращается в от- ответ на запрос LE_CONFIGURE_REPLY всем клиентам сети LANE. Дублирование интерфейсов PHY Технология Cisco включает в себя возможность дублирования портов PHY на всех высокопроизводительных модулях LANE коммутаторов Catalyst (таких, как коммута- коммутаторы Catalyst серий 5000 и 6000). Несмотря на то, что соответствующие модули со- содержат всего один набор логических микросхем технологий ATM и AAL, для резерви- резервирования соединений им предоставляются двойные маршруты физического уровня. Такая реализация на аппаратном уровне позволяет плате LANE соединяться с двумя Глава 9. Магистральное соединение с эмуляцией локальной сети 449
разными ATM-коммутаторами (на тот случай, если одно соединение или коммутатор выйдет из строя), но только одно соединение может быть активным в данный момент времени. С помощью команды atm preferred phy можно указать соединение, ко- которое является предпочтительным. Несмотря на то, что данное свойство играет значительную роль в больших сетях, оно требует специфических изменений в конфигурации. Рассмотрим конфигурацию, представленную на рис. 9.27. ESI: 0000.0012.3456.01 Модуль LANE коммутатора Catalyst Префикс = Префикс = 47.0091.8100.0000.1111.2222.3333 47.0091.8100.0000.AAAA.BBBB.CCCC Рис 9.27. Подсоединения к двум ATM-коммутаторам посредством двух интерфей- интерфейсов PHY Если порт А является предпочтительным, результирующий NSAP-адрес будет вы- выглядеть следующим образом: 47.0091.8100.0000.1111.2222.3333.0000.0С12.3456.01. Однако, если коммутатор, расположенный на рисунке слева, выходит из строя, NSAP-адрес изменяется, когда порт Б становится активным, и выглядит следующим образом: 47.0091.8100.0000.АААА.ВВВВ.СССС.0000.0С12.3456.01. Все происходящие изменения никоим образом не отображаются на клиентах LANE, они оказывают влияние только на конфигурацию серверов LECS и LES/BUS, в которых используется протокол SSRP. Фактически использование описываемой возможности дублирования портов означает, что модуль LS1010 должен использовать 4 адреса серверов LECS для того, чтобы обеспечить одно резервное устройство LECS. Вдобавок в базе данных LECS необходимо указать 4 адреса серверов LES, чтобы обеспечить резервирование сервера LES/BUS. Совет Использование протокола SSRP совместно с двойными соединениями физического уровня обычно требует тщательного планирования порядка конфигурационных строк. На рис. 9.28 показаны два сервера LES/BUS, подсоединенные к двум модулям LS1010 посредством сдвоенных соединений физического уровня. 450 Часть III. Магистральные соединения
0000.0012.3456.01 0000.OOAB.CDEF.01 47.0091.8100.0000.1111.2222.3333 LS-1010 A 47.0091.8100.0000.AAAA.BBBB.CCCC LS-1010 В Рис. 9.28. Резервные серверы LES/BUS, подсоединенные с помощью сдвоенных интерфейсов к двум АТМ-коммутаторам База данных LECS должна содержать 4 записи name ELAN_NAME server-atm- address NSAP для каждой сети ELAN, как показано в примере 9.18. Пример 9.18. Неэффективная конфигурация сервера LECS для протокола! name ELAN1 server-atm-address 47.0091.8100.0000.1111.2222.3333.0000.0C12.3456.01 name ELANl server-atm-address 47.0091.8100.OOOO.AAAA.BBBB.CCCC.0000.0C12.3456.01 name ELANl server-atm-address 47.0091.8100.0000.1111.2222.3333.0000.OCAB.CDEF.01 name ELANl server-atm-address 47.0091.8100.OOOO.AAAA.BBBB.CCCC.0000.OCAB.CDEF.01 Несмотря на то, что таким образом обеспечивается резервирование серверов LES/BUS, применение данного аппаратного решения приводит к возникновению со- сопутствующих проблем. Предположим, что оба коммутатора Catalyst используют ин- интерфейсы PHY-A как интерфейсы предпочтительного соединения, и порт LS-1010-A выходит из строя. Клиенты LEC незамедлительно стараются подсоединиться к сети ELAN1 и направляются сервером LECS ко второму, указанному в базе данных, серве- серверу LES, т.е. к порту Б устройства SW-1. Однако, поскольку данный порт не завершил процесс регистрации адреса посредством протокола ILMI (когда порт LS-1010-A вы- выходит из строя, соединение PHY-A также разрывается, и для согласования конфигу- конфигурации с использованием другого порта протоколу ILMI обычно требуется 10-15 с), соединение не устанавливается, и клиенты LEC пытаются подсоединиться к серверу LES, который является третьим в списке, т.е. к порту А устройства SW-2. Соединение устанавливается, и все клиенты LEC вновь присоединяются к сети ELAN. Однако, Глава 9. Магистральное соединение с эмуляцией локальной сети 451
через несколько секунд порт Б устройства SW-1 завершит процесс регистрации адреса с помощью протокола ILMI и станет активным. Теперь, поскольку второй сервер LES из базы данных является активным, порт А устройства SW-1 возвращается к состоя- состоянию ожидания, что снова приводит к отсоединению всех клиентов LEC от сети ELAN. Когда клиенты LEC снова попытаются подсоединиться к сети, сервер LECS перенаправит их на порт Б устройства SW-1. Такого процесса переключения между портами можно избежать при строгом указа- указании порядка следования серверов в базе данных LECS, как показано в примере 9.19. \ Пример 9.19. Указание порядка следования серверов в базе данных LECS; *| name ELAN1 server-atm-address 47.0091.8100.0000.1111.2222.3333.0000.0С12.3456.01 name ELAN1 server-atm-address 47.0091.8100.0000.1111.2222.3333.0000.0CAB.CDEF.01 name ELAN1 server-atm-address 47.0091.8100.0000.AAAA.BBBB.CCCC.0000.0C12.3456.01 name ELAN1 server-atm-address 47.0091.8100.0000.AAAA.BBBB.CCCC.0000.0CAB.CDEF.01 Конфигурация, которая приведена в примере 9.19, обеспечивает более быстрое устранение неисправности, поскольку второе устройство в списке завершает регист- регистрацию адреса до того, как порт А устройства SW-1 выйдет из строя. Второй сервер LES сразу же становится доступным без продолжительного процесса возврата к ис- исходному состоянию. Использование известного NSAP-адреса для отыскания серверов LECS Выше было упомянуто, что технология, разработанная корпорацией Cisco, полагает- полагается на использование протокола ILMI для передачи NSAP-адресов серверов LECS кли- клиентам LEC. Однако разработанная технология также поддерживает использование жест- жестко запрограммированных NSAP-адресов и известного NSAP-адреса. Поскольку извест- известный NSAP-адрес используется во многих сетях (например, он является стандартно сконфигурированным методом определения адреса в оборудовании Fore Systems), в дан- данном разделе кратко рассматривается синтаксис соответствующей конфигурации и осве- освещаются темы, связанные с использованием известного NSAP-адреса. Чтобы сконфигурировать известный NSAP-адрес, необходимо просто изменить команду, которая была использована для запуска сервера LECS — т.е. использовать команду lane config fixed-config-atm-address вместо lane config auto- config-atm-address. С помощью данной команды сервер LECS присваивает себе адрес 47.007900000000000000000000.00А03Е000001.00 для того, чтобы быть доступным посредством протокола PNNI. В примере 9.20 приведена полная конфигурация, в которой используется извест- известный NSAP-адрес сервера LECS и в которой все четыре компоненты LANE для двух сетей ELAN размещены на одном устройстве. ■ Пример 9.20. Использование известного NSAP-адреса сервера LECS lane database WKN name ELAN1 server-atm-address 47.00918100000000102962E801.00102962E431.01 name ELAN2 server-atm-address 47.00918100000000102962E801.00102962E431.02 452 Часть III. Магистральные соединения
interface ATMO atm preferred phy A atm pvc 10 5 qsaal atm pvc 2 0 16 ilmi lane config fixed-config-atm-address lane config database WKN ! interface ATM0.1 multipoint lane server-bus ethernet ELAN1 lane client ethernet 1 ELAN1 i interface ATMO.2 multipoint lane server-bus ethernet ELAN2 lane client ethernet 2 ELAN2 Одним из преимуществ использования известного NSAP-адреса является то, что для его правильного функционирования не требуется дополнительная конфигурация модулей LS1O1O всех ATM-коммутаторов. Поскольку клиенты LEC автоматически пы- пытаются применить известный NSAP-адрес, если жестко запрограммированный NSAP- адрес и протокол ILMI выходят из строя, то клиент LEC может соединиться с серве- сервером LECS, даже если ему была задана минимальная конфигурация. Несмотря на то, что известный NSAP-адрес потенциально легче конфигурировать в малых сетях, корпорация Cisco рекомендует использовать протокол ILMI, поскольку он обеспечивает лучшую поддержку резервирования серверов посредством протокола SSRP. Если несколько серверов LECS пытаются использовать известный NSAP-адрес для нахождения сервера LECS, возникает определенная проблема — все серверы ста- стараются зарегистрировать один и тот же адрес 47.0079.... С помощью протоколов ILMI и SSRP каждое устройство регистрирует уникальный NSAP-адрес, избегая какой бы то ни было путаницы в маршрутизации. Если возникает ситуация, в которой необходимо использовать протокол SSRP и известный NSAP-адрес (такая ситуация может возникнуть в случае использования клиентами LEC других производителей, которые не поддерживают метод определения сервера LECS с помощью протокола ILMI), необходимо выполнить действия, кото- которые описаны ниже. Сначала надо сконфигурировать все устройства LECS с помощью команды lane config fixed-config-atm-address, а далее с помощью команды lane config auto-config-atm-address указать, что каждый сервер LECS должен использовать протокол ILMI. После этого протокол SSRP будет функционировать должным образом, выбирая только один основной сервер LECS. Поскольку резервные устройства LECS не зарегистрировали известный NSAP-адрес, только основной сер- сервер создает маршрут 47.0079... к интерфейсу PNNI. Теперь надежность протокола SSRP сочетается с простотой известного NSAP-адреса! Каналы PVC и методы ограничения трафика Используя канал PVC (Permanent Virtual Circuit — постоянный виртуальный канал), модули LANE коммутаторов Catalyst могут поддерживать соединения более чем с одним коммутатором Catalyst. В таком случае функции серверов LECS, LES и BUS не будут задействованы. Сначала просто создается канал PVC, а потом к данно- данному соединению привязывается сеть VLAN, как показано в примере 9.21. Глава 9. Магистральное соединение с эмуляцией локальной сети 453
Пример 9.21. Конфигурация коммутатора patalyst с Щ\&'' '::;'- нала РУСсети ATM "Ш. "; int atm 0 atm pvc 3 0 50 aal5snap atm bind pvc vlan 3 1 Сначала создается канал PVC, для которого задаются идентификаторы маршрутов VPI 0 и VCI 50, а после этого он привязывается к сети VLAN 1. Соединения PVC могут быть полезны в малых сетях, когда соединяются две сети LANE посредством коммутаторов Catalyst без использования ATM-коммутатора. Другой дополнительной особенностью, присущей коммутаторам Catalyst, является возможность ограничения трафика с помощью канала PVC, которая позволяет устанавливать максимальный уровень пропускной способности для определенного соединения. Это свойство может быть очень полезно для контроля пропускной способности дорогих высокоскорост- высокоскоростных каналов. Данная функция требует загрузки определенного образа операционной системы во флэш-память модуля LANE и не может функционировать с каналами SVC. В примере 9.22 показано, как в конфигурацию в примере 9.21 добавить функции ограничения трафика. ер 9.22. Ьграничение трафика на канале PVC сети ATM int atm 0 atm pvc 3 0 50 aal5snap 11000 atm bind pvc vlan 3 1 Последний параметр в команде atm pvc ограничивает поток данных максималь- максимальным значением в 11 Мбит/с. Упражнения В данный раздел включены различные вопросы, лабораторные работы и упражне- упражнения по теме настоящей главы. Ответив на вопросы и выполнив все упражнения, чита- читатель сможет оценить степень владения изложенным материалом. Кроме того, приве- приведенные вопросы помогут подготовиться к письменным и лабораторным экзаменам на получение статуса сертифицированного эксперта по объединенным сетям Cisco (CCIE). Ответы на вопросы приведены в приложении А, "Ответы на контрольные во- вопросы". Контрольные вопросы 1. Назовите три уровня технологии ATM. Опишите функции каждого из них. 2. Укажите различие между технологиями ATM и SONET. 3. Чем отличается коммутатор Catalyst с двумя модулями LANE от двухпортового АТМ-коммутатора? 4. Каковы различия между адресами VPI, VCI и NSAP? В каких именно случаях используется каждый из перечисленных адресов? 454 Часть III. Магистральные соединения
5. Предположим, что к ATM-сети, которая состоит из одного АТМ-коммутатора LSI010 и двух коммутаторов Catalyst с модулями LANE, подсоединили анализа- анализатор сети. Какие типы ячеек необходимо проверить, чтобы узнать значения VPI и VCI? Какие типы ячеек необходимо проверить, чтобы узнать NSAP-адрес? 6. Назовите три части NSAP-адреса. Что определяет каждая из них? 7. Каким образом коммутаторы Catalyst генерируют значения ESI и байта селекто- селектора для использования в технологии LANE? 8. Перечислите пять этапов процесса инициализации технологии LANE, которые используются клиентами для подсоединения к сети ELAN. 9. Назовите шесть типов каналов, которые используются технологией LANE. Ка- Какой тип трафика переносит каждый из них? 10. Укажите различие между протоколами IP ARP и LE_ARP. 11. Какое количество клиентов LEC является необходимым для сети, в которой требуется создать две сети VLAN между двумя коммутаторами Catalyst? Сколько потребуется серверов LECS? Сколько понадобится серверов LES? Сколько по- понадобится серверов BUS? 12. Если сеть, описанную в вопросе 11, увеличить до 10 коммутаторов Catalyst и 10 сетей VLAN, сколько потребуется клиентов LEC и серверов LECS, LES, BUS? Предполагается, что у каждого коммутатора Catalyst есть порты, назначенные каждой сети VLAN. 13. Определите маршрут, по которому будут проходить данные между узлом, под- подсоединенным к сети Ethernet в сети VLAN 1 на коммутаторе Cat-A, и узлом, подсоединенным к сети Ethernet в сети VLAN 2 на коммутаторе Cat-В (см. рис. 9.26). Почему он является неэффективным? Лабораторные упражнения Постройте сеть, показанную на рис. 9.29. Cat-A Cat-B Рис 9.29. Структура сети для лабораторной работы Глава 9. Магистральное соединение с эмуляцией локальной сети 455
В табл. 9.6 представлены LANE-компоненты, которые необходимо сконфигуриро- сконфигурировать на каждом устройстве. Таблица 9.6. LANE-компЬнёнты, которые необходимо сконфигурировать ! Устройство VLAN1/ELAN1 VLAN2/ELAN2 VLAN3/ELAN3 LEC-A LEC-B Маршрутизатор LS1010 Серверы LEC, LES/BUS Сервер LEC Сервер LEC Сервер LEC Сервер LEC Серверы LEC, LES/BUS Сервер LEC Сервер LEC Сервер LEC Сервер LEC Серверы LEC, LES/BUS Сервер LEC Устройство LS1010 является сервером LECS. Сконфигурируйте IP-адрес на интерфейсах SCO каждого коммутатора Catalyst, по- подынтерфейсах маршрутизатора и подынтерфейсах устройства LS1010 (для LS1010 сле- следует использовать команду interface atm 2/0/0 или interface atm 13/0/0). Сконфигурируйте протокол HSRP между АТМ-маршрутизатором и модулем RSM, на- находящимся в коммутаторе LEC-A. IP-адреса необходимо взять из табл. 9.7. Таблица 9.7. IP-адреса для практической лабораторной работы Устройство VLAN1/ELAN1 VLAN2/ELAN2 VLAN3/ELAN3 LEC-ASCO LEC-A RSM LEC-B SCO Маршрутизатор Модуль LS1010 Адрес HSRP 10.1.1.1 10.1.1.252 10.1.1.2 10.1.1.253 10.1.1.110 10.1.1.254 10.1.2.252 10.1.2.253 10.1.2.110 10.1.2.254 10.1.3.252 10.1.3.253 10.1.3.110 10.1.3.254 Когда сеть будет создана, необходимо выполнить действия, перечисленные ниже. • Проверьте соединения между всеми устройствами. • Включите отладку с помощью команды debug lane client all и выполните команду ping к другому устройству в сети (если виртуальное соединение для передачи данных существует, его необходимо удалить). Запишите результаты выполнения данного пункта. • Не выходя из режима отладки (включенного с помощью команды debug lane client all), выполните команды shut и no shut на главном интерфейсе ATM-маршрутизатора. Запишите результаты выполнения данного пункта. • Просмотрите информацию, которую можно получить с помощью команд show lane client, show lane config, show lane server, show lane bus и show lane database. • Сконфигурируйте протокол SSRP для обеспечения резервирования сервера. • Если есть возможность использовать несколько ATM-коммутаторов, добавьте возможность использования дублирующих PHY-интерфейсов (при этом не за- забудьте обновить конфигурацию протокола SSRP). 456 Часть III. Магистральные соединения
в этой главе... Почему существуют два режима асинхронной передачи? В разделе описывается взаимосвязь между#технологнями LANE и МРОА, обсуждается, когда необхо- необходимо использовать, каждую из них. ,.• v? Компоненты технологии МРОА и ее модели. В данном разделе приведен обзор технологии МРОА, включая различные компоненты, определяемые и исполь- зуемые;в ней^, их взаимосвязь друг с другом, а также их взаимодействие для поддержки технологии МРОА. Кроме того, описаны различные.потоки служеб- служебного трафика1и данных пользователя. г; ■: «- Конфигурация технологии МРОА. В данном разделе детально рассматриваются Команды, необходимые для, запуска технологии МРОА на МРОА-совместимом; ||одуле LANE-коммутатораICatalyst и на МРОА-совместимом маршрутизаторе Cisco, а также приводится детальная конфигурация для многопротокольного сервера (MPS) и многопротокольного клиента (МРС). -?.,. # Пример конфигурации МРОА-соединения. В данном разделе собрана вся инфор- информация, которая обсуждалась в предыдущих главах, приведен простой пример сети и конфигурации технологии МРОА. Ф Поиск неисправностей в сети МРОА. В данном разделе приведены инструкции по настройке технологии МРОА и показаны основные этапы настройки ком- компонентов МРОА и режима отладки. ? €;■ > ■Щ'..
Глава Ю Многопротокольное магистральное соединение по сети ATM Автономные коммутаторы Catalyst встречаются довольно редко. Обычно такие уст- устройства соединены между собой. В главе 8, "Технологии и приложения магистраль- „у ных соединений", описаны различные способы соединения коммутаторов, начиная со ' случая, когда каждое связующее звено принадлежит только одной сети VLAN, и за- заканчивая технологиями магистральных соединений. Технологии Fast Ethernet, Giga- Gigabit Ethernet, FDDI и ATM подходят для объединения коммутаторов Catalyst. Работая с ATM-технологией, можно использовать эмуляцию локальных сетей (LANE) или многопротокольную передачу данных по сетям ATM (МРОА) для соединения комму- коммутаторов. В главе 9, "Магистральное соединение с эмуляцией локальной сети", приве- "у- дено описание первого подхода. В текущей главе мы остановимся на МРОА-соеди- нении в среде коммутаторов Catalyst, а именно, когда оно используется (в целом или отдельные компоненты), как настраивается, поговорим о возможных сбоях и неис- неисправностях. Почему существуют два режима асинхронной передачи? Существование двух режимов асинхронной передачи обусловлено обеспечением масштабируемости сетей VLAN и увеличением эффективности их работы. При эмуля- эмуляции локальной сети (т.е. использовании технологии LANE) создается много виртуаль- виртуальных каналов для поддержки каждого конкретного клиента-эмулятора (LEC) в каждой из эмулируемых локальных сетей (ELAN). При этом каждый клиент LEC поддержи- поддерживает четыре виртуальных канала связи, в противном случае клиентом сети ELAN он уже не является. Два из них — это соединения "точка-точка" (один канал идет на со- соединение с сервером эмуляции локальной сети — LES, и один — на подключение к серверу трафика с широковещательным и неизвестным адресом — BUS), и еще два представляют собой многоточечные соединения (от серверов LES и BUS). Для много- многоточечного соединения клиент LEC выступает в роли конечного узла, тогда как серве- серверы LES и BUS являются его основанием. Сеть ELAN, содержащая 100 клиентов LEC,
имеет 200 соединений типа "точка-точка" и 200 соединений к конечным узлам сети только для того, чтобы контролировать присутствие в сети всех виртуальных каналов. Вначале о прямых соединениях между клиентами LEC, которые необходимы для передачи данных непосредственно между ними, речь не идет. Понятно, что для этого сетям ELAN понадобится еще множество соединений. Если LEC-клиенты пространственно разнесены по территориальной сети или сети предприятия, для их соединения может потребоваться много виртуальных каналов, реа- реализованных посредством ATM-коммутаторов. И если пользователь арендует услуги асинхронной службы передачи данных, то право пользования относится к любому кана- каналу, находящемуся в пределах такой системы. С технической точки зрения ограничений па расположение клиентов-эмуляторов быть не должно. Однако на практике LEC- клиенты в сети ELAN располагаются в пространственно ограниченных областях, чтобы уменьшить количество используемых виртуальных каналов во всей сети. Далее рассмотрим, как обмениваются информацией клиенты, принадлежащие раз- различным эмулируемым локальным сетям. В таком случае трафик должен проходить через маршрутизатор, поскольку каждая отдельная сеть ELAN представляет собой уникальный широковещательный домен. Сети ELAN подобно сетям VLAN связыва- связываются между собой посредством маршрутизаторов. В главе 9, "Магистральное соединение с эмуляцией локальной сети", обсуждалось, что если клиенты LEC находятся в различных ELAN-сетях, то фреймы данных, пере- передающиеся между ними, должны пройти хотя бы через один маршрутизатор. Если при этом фрейм должен пройти через несколько маршрутизаторов, то необходимо обеспе- обеспечить прямые каналы связи, по которым он передавался бы из одной сети ELAN в другую. Стандартно клиент-отправитель должен установить некоммутируемый канал связи со своим шлюзом, потом между одним шлюзом-маршрутизатором должно уста- установиться прямое соединение для передачи данных, и т.д. вплоть до последнего мар- маршрутизатора. Последнее в такой цепочке устройство должно обеспечить канал связи с клиентом-получателем. Рассмотрим сеть, изображенную на рис. 10.1. Попадая на коммутатор, Ethernet-фрейм из сети VLAN 1 (он предназначается для устройства в се- сети VLAN 2) разбивается там на ячейки, и далее такой коммутатор, который является клиентом LEC локальной сети, передает их на стандартный шлюз-маршрутизатор, тоже являющийся LEC-клиентом (маршрутизатор 1). Данный маршрутизатор "собирает" из ячеек фрейм и прокладывает маршрут к клиенту LEC в следующей ELAN-сети. Такой клиент снова разбивает данные на ячейки и отправляет их средст- средствами асинхронного режима передачи к следующему маршрутизатору (маршрутизатор 2). И снова, попадая на него, ячейки собираются в единый фрейм. Далее такой фрейм маршрутизируется и опять разбивается на ячейки, не доходя до маршрутизатора 3. После этого уже третий маршрутизатор восстанавливает из ячеек фрейм, перенаправляет его согласно таблице маршрутизации, потом разбивает на ячейки и отправляет их на конечный коммутатор Catalyst. Коммутатор собирает фрейм и пропускает его в нужный Ethernet-сегмент. Прохождение фрейма через маршрутизатор приводит к дополнительной задержке и требует затрат ресурсов на дальнейшую маршрутизацию. Частично задержка обуслов- обусловлена процессом сборки-разборки фрейма. Другим фактором, определяющим задерж- задержку, является время, затрачиваемое на составление маршрута к следующему устройству. Если маршрутизация выполняется аппаратно, данный показатель может быть незна- незначительным. У существующих программных маршрутизаторов такая задержка играет основополагающую роль. 460 Часть III. Магистральные соединения
VLAN1 VLAN2 Рис. 10.1. Передача данных через несколько сетей ELAN Последовательные участки ретрансляции данных необходимы для случая, когда се- сети соединялись при помощи систем с разделяемой пропускной способностью, како- каковой является Ethernet. Для физических сетевых соединений характерно прохождение фреймов через маршрутизатор. Сети LANE поддерживают такую модель. Таким обра- образом, устройства, относящиеся к различным сетям, должны обмениваться данными только через маршрутизатор. Однако в МРОА-соединении реализован виртуальный канал между двумя устройствами, находящимися в разных сетях ELAN. В действи- действительности, магистраль МРОА "обходит" промежуточные шлюзы, но создается впечат- впечатление, что трафик между исходным устройством в одной сети и конечным устройст- устройством в другой проходит через все маршрутизаторы. Иногда, чтобы соединить сети VLAN, может понадобиться передача данных через пространство нескольких сетей ELAN. Ниже приведено сравнение двух случаев: когда трафик проходит внутри отдельной такой сети и когда передача охватывает несколько сетей. Глава 10. Многопротокольное магистральное соединение по сети ATM 461
Передача данных внутри подсети Когда коммутаторам Catalyst нужно обменяться информацией внутри одной сети ELAN, они используют эмуляцию локальной сети (LANE). Передача данных внутри подсети (или внутри сети ELAN) происходит тогда, когда между устройствами, кото- которые находятся в одном широковещательном домене, появится канал связи. Модуль эмуляции локальной сети коммутаторов Catalyst был специально разработан для по- повышения эффективности управления потоком данных. Детали такого соединения внутри подсети описаны в главе 9, "Магистральное со- соединение с эмуляцией локальной сети". Передача данных между подсетями Как уже обсуждалось ранее, необходимость в передаче данных между подсетями возникает там, где узлы, находящиеся в различных VLAN-сетях, хотят обменяться данными через соединения ATM. Причем в таком случае имеется определенное сход- сходство между VLAN- и ELAN-сетями. Первые характеризуют широковещательные до- домены в локальной среде компьютерной сети, тогда как вторые — в среде ATM. В лю- любом случае, если узлы одной сети VLAN хотят связаться с узлами другой VLAN-сети, необходимо установить маршрут для передачи данных. Если такая маршрутизация производится между сетями Ethernet, технология многоуровневой коммутации (MLS — MultiLayer Switching) позволяет обойтись без маршрутизаторов. Если же мы работаем в сети ATM, обойти маршрутизаторы можно с помощью режима МРОА. Перед MLS- и МРОА-соединениями ставится одна задача — не использовать маршру- маршрутизаторы. Решить данную проблему можно в локальной среде (сети VLAN) или в сре- среде ATM (сети ELAN). » В данной главе детально рассматриваются соединения между сетями VLAN и ELAN с помощью режима МРОА. Без него фрейм будет двигаться от маршрутизатора к маршрутизатору, как это обсуждалась выше. Компоненты и модель технологии МРОА Соединение МРОА состоит из различных элементов. Далее будут описаны наибо- наиболее значимые из них. На рис. 10.2 показаны элементы соединения МРОА и их взаим- взаимное расположение. Отметим, что здесь имеются устройства-отправители и устройства- получатели, внутренние и внешние потоки, а также потоки данных и управляющей информации. Следует заметить, что присутствуют также компоненты, характерные для LANE- соединений. Режим МРОА зависит от LANE-режима передачи данных, если речь идет о соединениях внутри ELAN-сети. Связь между клиентом многопротокольного соеди- соединения (МРС) и сервером такого соединения (MPS) осуществляется посредством сети ELAN. Следующий транзитный сервер (NHS — Next Hop Server) поддерживает про- протокол обмена служебной информацией с другими такими же серверами, которые на- находятся на расстоянии одной ретрансляции ("перехода") от него. NHS-сервер нахо- находится внутри соответствующего MPS-сервера. Связь между соседними NHS- серверами, которые мы рассмотрим в разделе, посвященном протоколу обнаружения 462 Часть III. Магистральные соединения
следующей транзитной точки перехода (NHRP — Next Hop Resolution Protocol), про- происходит через сеть ELAN. M PS-серверы тоже соединяются через сети ELAN. Нако- Наконец, фреймы, пересылаемые от одного МРС-клиента другому прежде, чем установи- установилась прямая связь между ними, проходят через эмулируемые локальные сети. Задача соединения МРОА заключается в том, чтобы передавать фреймы от клиента к клиен- клиенту непосредственно. Однако, на образование такой связи нужно время. Клиент- отправитель обязан генерировать запрос на быстрое соединение с клиентом- получателем. По сути, у М PS-сервера, к которому относится клиент-отправитель, за- запрашивается ATM-адрес клиента-получателя. MPS-сервер, получив запрос, преобра- преобразует его в форму запроса по протоколу NHRP. Далее такой запрос передается NHS- серверами конечному NHS-серверу, находящемуся внутри MPS-сервера, который со- соответствует клиенту-получателю. Такой сервер обрабатывает запрос, уведомляет кли- клиента-получателя в том, что ожидается трафик от клиента-отправителя, и отправляет данному клиенту в ответ разрешение на передачу. Клиент-отправитель МРС Клиент-получатель МРС Рис. 10.2. Модель МРОА-соединения В рассмотренном процессе присутствуют три информационных потока: конфигу- конфигурационный, внутренний/внешний и управляющий. МРОА-компоненты получают информацию о конфигурации системы от сервера конфигурации эмуляции локальной сети (LECS). Данный конфигурационный поток определен в технологии LANE версии 2. Сервер LECS может предоставить данные о Глава 10. Многопротокольное магистральное соединение по сети ATM 463
параметрах конфигурации как МРС-клиенту, так и MPS-серверу. Однако, последние два могут получить информацию, используя внутренние ресурсы. Входящие и исходящие потоки существуют между клиентами многопротокольного соединения и MPS-серверами. Входящий поток образуется между клиентом- отправителем и исходным сервером, а исходящий — между клиентом-получателем и конечным MPS-сервером. Является поток входящим или исходящим, определяется с точки зрения перспективы МРОА-сети. МРОА-соединение также определяет совокупность управляющих потоков, которые используются для установления и поддержания процесса передачи информации по каналу. Такие потоки управления существуют между соседними устройствами и про- проходят через сети ELAN: их краткий перечень представлен ниже. • МРОА-запрос на разрешение передачи — сообщение клиента-отправителя сво- своему входному MPS-серверу. • МРОА-отклик на запрос разрешения передачи — отправляется MPS-сервером клиенту-отправителю в ответ на сообщение. • МРОА-запрос на предоставление дополнительной кэш-памяти — посылается ко- конечным (выходным) MPS-сервером клиенту-получателю. • МРОА-отклик на запрос о предоставлении дополнительной кэш-памяти — отправ- отправляется клиентом-получателем конечному (выходному) MPS-серверу. • МРОА-запрос на очистку кэш-памяти клиента-получателя — посылается МРС- клиентом (получателем) конечному (выходному) MPS-серверу. • МРОА-отклик на запрос об очистке кэш-памяти клиента-получателя — посылает- посылается конечным MPS-сервером клиенту-получателю (МРС). • МРОА-запрос иа подтверждение активности — посылается MPS-сервером МРС- клиенту. • МРОА-запуск — сообщение, посылаемое MPS-сервером клиенту. Когда сервер регистрирует поток, идущий от МРС-клиента, он направляет ему предложение генерировать запрос на прямую передачу. • Запрос на очистку кэш-памяти по протоколу NHRP — посылается клиентом- получателем (МРС) отправителю (другому МРС). • Отклик на запрос очистки кэш-памяти по протоколу NHRP — посылается клиен- клиентом-отправителем получателю (МРС). По-другому описать управляющие потоки можно, разбив их по категориям в зави- зависимости от компонент МРОА-соединения, которые их используют. Потоки между МРС-клиентом и MPS-сервером управляют кэш-памятью клиента. К ним относятся и МРОА-запросы, и отклики на прямую передачу, и МРОА-запросы, и отклики на пре- предоставление дополнительной кэш-памяти. МРС- и МPS-управляющие потоки связа- связаны между собой посредством общей сети ELAN. Управляющие потоки между клиентами включают также МРОА-запросы и откли- отклики иа очистку кэш-памяти клиента-получателя. Поток между МРС-клиентами прохо- проходит через образовавшийся прямой канал, по которому обычно передаются только пользовательские данные. Такие потоки нужны для того, чтобы устранить ошибки кэш-памяти клиента-отправителя. Когда получатель фиксирует подобные ошибки, он посылает отправителю запрос на очистку, принуждая его тем самым восстановить информацию (т.е. перечитать или "перезапросить"), находящуюся в кэш-памяти. 464 Часть III. Магистральные соединения
Управляющие потоки существуют также между серверами MPS. Такие потоки оп- определяются протоколами сетевого уровня и протоколом NHRP. Технология МРОА не определяет каких-либо новых управляющих потоков между серверами MPS. Очередность управляющих потоков, приведенная выше, не соответствует действи- действительности. На рис. 10.3 показаны два МРС-клиента и два MPS-сервера, связанные через сеть ATM. Сервер-отправитель MPS Сервер-получатель MPS Клиент-отправитель MPC Клиент-получатель MPC Рис. 10.3. Последовательность управляющих потоков в системе МРОА Обмен управляющими сообщениями осуществляется в такой последовательности: 1. Клиент-отправитель посылает запрос на прямое соединение своему MPS- серверу (называемому входным); 2. Сервер преобразует полученный запрос в запрос по протоколу NHRP и посыла- посылает его на конечный МPS-сервер (называемый выходным); 3. Конечный (выходной) МPS-сервер генерирует запрос на предоставление допол- дополнительной кэш-памяти и отправляет его клиенту-получателю; Глава 10. Многопротокольное магистральное соединение по сети ATM 465
4. Получатель отвечает на запрос; 5. Конечный MPS-сервер посылает "разрешение" на передачу серверу станции- отправителя по протоколу NHRP; 6. MPS-сервер отправителя пересылает своему клиенту МРОА ответ, "разрешающий" передачу. Сервер многопротокольного соединения (MPS) Сервер многопротокольного соединения (MPS — Multiprotocol Server) поддержива- поддерживает протокол NHRP и использует его при получении запроса от МРС-клиента. Такой сервер всегда находится как бы "внутри" маршрутизатора и включает сервер NHS. MPS-сервер функционирует только с локальным сервером NHS и при установлении прямого соединения с получателем использует локальные таблицы маршрутизации. На рис. 10.4 показаны основные составляющие сервера MPS. Маршрутизатор MPS NHS Маршрутизация Клиент(ы) LANE Клиент(ы) МРОА Рис. 10.4. Строение сервера MPS Сервер имеет ряд интерфейсов для подключения к ATM-сети и, как минимум, один для внутренних служб. Внешние ATM-соединения предназначены для LANE- клиентов и связи через MPS-интерфейс. LANE-клиенты поддерживают протокол об- обнаружения МРОА-устройств, который обсуждается ниже, и передачу данных по стан- стандартному маршруту, прежде чем установятся прямые каналы связи. MPS-сервер также использует клиента LEC для передачи запроса следующему в системе серверу NHS. Служебный интерфейс предназначен для внутренних процессов системы, касающихся маршрутизатора и сервера NHS; он способствует обмену МРОА-запросами и ответами между устройствами. 466 Часть III. Магистральные соединения
Когда МРС-клиент регистрирует межсетевой поток данных, он формирует запрос на прямое соединение для сервера MPS. Далее сервер создает запрос с использовани- использованием протокола NHRP и отправляет его конечному MPS-серверу. Данный сервер, в свою очередь, преобразует полученный запрос и выполняет следующие действия: по- посылает запрос на предоставление дополнительной кэш-памяти клиенту-получателю и отправляет ответ на запрос для разрешения передачи данных отправителю. Клиент многопротокольного соединения В большинстве случаев МРС-клиент регистрирует межсетевой поток данных и за- затем генерирует МРОА-запрос на установление прямого соединения. Под словом "регистрирует" в данном случае подразумевается, что клиент определяет сетевой адрес устройства, которому предназначается трафик. В том случае, когда отправитель и по- получатель имеют разные сетевые адреса, МРС-клиент маркирует поток как приемле- приемлемый. Он продолжает передавать данные, используя последовательный (т.е. через не- несколько устройств) маршрут третьего уровня. Количество отправляемых за определен- определенное время фреймов подсчитывается, когда оно превышает некоторый порог, установленный системным администратором (или стандартное значение). МРС- клиент генерирует запрос на установление прямого соединения, адресованный соот- соответствующему MPS-серверу. Пороговое значение определяется числом посланных фреймов и временным интервалом, в течение которого были отправлены данные. Когда клиент-отправитель получит ответ от сервера MPS, он сможет установить прямое соединение с клиентом-получателем, фреймы между ними теперь будут пере- передаваться, минуя маршрутизаторы. Для МРОА-соединения характерны два типа МРС-устройств: узел и конечное уст- устройство. Ниже они рассмотрены более подробно. Узлы технологии МРОА Узлы самостоятельно создают трафик через МРОА-соединение. Типичным приме- примером такого устройства является рабочая станция со встроенной сетевой картой, под- поддерживающей технологию ATM (NIC — Network Interface Card), и установленным драйвером с поддержкой технологии МРОА, которые необходимы для установления соединения. Таким образом, узел — это, как минимум, один МРС-клиент, как мини- минимум, один клиент LEC плюс стек протоколов сетевого уровня. Главная особенность устройства состоит в том, что узел инициирует трафик самостоятельно, а не после за- запроса извне. На рис. 10.5 показана принципиальная схема узла МРОА. МРС-узел подобно MPS-серверу содержит внешние и внутренний интерфейсы для установления соединений. Первые состоят из LEC- и МРС-интерфейсов. Посредст- Посредством LEC-интерфейсов узел МРОА связывается с сервером эмуляции LES, чтобы оп- определить положение соседних МРОА-устройств. В ситуации, когда прямая связь еще не установлена, данные передаются также через LEC-интерфейсы. Интерфейс МРС в отличие от LEC используется в прямом соединении. Когда МРС-клиент (узел) регистрирует внешний поток, запрос на "разрешение" прямого соединения посылается именно через этот интерфейс. Ответ также поступает по кана- каналу, который создается в МРС-интерфейсе. После установления прямого соединения с получателем передача данных осуществляется через МРС-интерфейс. Когда запускается МРОА-режим, весь внешний трафик проходит через МРС- клиента, независимо от того, установлено прямое соединение или нет. Прохождение трафика осуществляется через внутренний служебный интерфейс, что позволяет от- отслеживать нужные потоки с целью установления прямого канала связи. Глава 10. Многопротокольное магистральное соединение по сети ATM 467
Интерфейс службы МРС Внутренние высшие уровни t МРС LEC(s) Кратчайшее соединение(я) Рис. 10.5. Строение узла МРОА Конечные устройства МРОА Конечные устройства инициируют передачу в среде МРОА по запросу, поступаю- поступающему от узлов или станций, которые не являются ATM-совместимыми. Конечные устройства состоят из одного клиента МРС (минимум), одного клиента-эмулятора (минимум) и порта мостового соединения. Мосты, коммутаторы и маршрутизаторы — это типичные конечные устройства, их принципиальная схема приведена на рис. 10.6. Соединения LAN Внутренние высшие уровни Интерфейс службы МРС МРС Кратчайшее соединение(я) Рис. 10.6. Принципиальная схема конечного устройства МРОА 468 Часть III. Магистральные соединения
Устройства-узлы и конечные устройства идентичны, за исключением того, что у конечных устройств через МРС-интерфейс происходит соединение с локальными клиентами. Таким образом, ATM-несовместимое оборудование может поддерживать связь через ATM-сеть, используя порты для мостового соединения, которые имеются у каждого конечного устройства. Резюме технологии МРОА Опираясь на рис. 10.7, обобщим вкратце все, что говорилось о принципах переда- передачи данных через МРОА-соединение. МРС /МаршругизатррХ /МаршругизаторХ ! L _ Кратчайший маршрут Рис. 10.7. Передача данных через МРОА-соединение До тех пор, пока не появится запрос клиента-отправителя на установление пря- прямого канала связи с получателем, фреймы отсылаются серверу MPS через интерфейс LEC A). Сервер принимает фрейм, определяет маршрут и отправляет следующему MPS-серверу B). Так продолжается, пока данные не дойдут до конечного сервера. Он отправляет фрейм через сеть ELAN клиенту-получателю C). Прежде, чем установится прямое соединение, все фреймы будут передаваться через LEC-интерфейсы устройств. Когда клиент-отправитель регистрирует поток данных, для которого превышено уста- установленное пороговое значение (по количеству передаваемых фреймов за определенное время), он генерирует запрос на "разрешение" передачи по прямому каналу и отсыла- отсылает его через служебный интерфейс МРС своему MPS-серверу D). Такой сервер от- отправляет запрос следующему NHS серверу, который находится (а может и не нахо- находиться) внутри сервера MPS E). Так запрос передается вплоть до конечного MPS- устройства, передача происходит через LEC-интерфейс. Ответ на запрос поступает к исходному MPS-серверу тоже через LEC-интерфейс F). Далее по служебному каналу ответ передается клиенту-отправителю G). Отправитель устанавливает прямое соеди- соединение с получателем (8). Такое соединение устанавливается через МРС-интерфейс. Все последующие фреймы данных будут передаваться через прямой канал связи. В итоге весь трафик внутри сети ELAN проходит через LANE-клиептов, тогда как межсетевой трафик передается через МРС-интерфейсы. Технология LANE версии 2 В июле 1997 года ATM-форум официально утвердил версию 2 технологии LANE (LANE V2), которая представляет собой существенную модернизацию первой. На- Например, в данной версии появилось понятие идентификатора сети ELAN (ELAN ID). МРОА-соединение использует его, чтобы определить, какому широко- Глава 10. Многопротокольное магистральное соединение по сети ATM 469
вещательному домену (т.е. ELAN-сети) принадлежит то или иное МРОА- устройство. Данное усовершенствование ожидалось уже давно. Вне МРОА-среды клиенты-эмуляторы используют идентификаторы сети ELAN с целью отсечения трафика, идущего от других ELAN-сетей. Если каким-либо образом клиенту- эмулятору, находящемуся в одной ELAN-сети, стал известен NSAP-адрес клиента LEC, который находится в другой ELAN-сети, то он может генерировать запрос на соединение. Впрочем, в связи с тем, что LEC-клиенты находятся в разных сетях, устройство-получатель в другой сети ELAN может (и должно) отклонить такой за- запрос. Почему устройство должно поступить именно так? Потому что клиенты- эмуляторы находятся в разных ELAN-сетях и принадлежат различным подсетям. Следовательно, прямое соединение между ними запрещено вне МРОА-среды. Дру- Другое усовершенствование, появившееся во второй версии, касается обнаружения со- соседних М РОА-устройств. При регистрации LEC-клиента сервером LES в базу дан- данных сервера заносится информация о типе МРОА-устройства, к которому относит- относится клиент. Если LEC-клиент является, в свою очередь, и МРС-клиентом, данный факт сообщается LES-серверу. LEC-клиент также может быть и МPS-сервером. МРОА-устройства могут обращаться к LES-серверу за информацией о других уст- устройствах, имеющихся в необходимой им ELAN-сети. Протокол NHRP Зачастую сети содержат логически независимые IP-подсети (LIS — Logically In- Independent Subnets). Для существующих технологий локальных сетей является далеко не исключением случай, когда устройства, находящиеся в одном сегменте, принад- принадлежат разным IP-подсетям и вынуждены связываться между собой посредством маршрутизаторов. Такие сети обеспечивают физическое соединение клиентов. В среде ATM жесткие физические границы сетей отсутствуют — соединение осущест- осуществляется по запросу со стороны ATM-устройства. В результате между клиентами об- образуется логический канал связи. В локальной среде передачи данных устройства, относящиеся к одной подсети, обычно расположены в непосредственной близости друг от друга. В сетях ATM подобные устройства могут находиться в разных частях земного шара и все равно принадлежать к одной LIS-подсети. На рис. 10.8 показана ATM-сеть и несколько логически независимых подсетей, которые в нее входят. При этом никаких условий на пространственное соседство отдельных устройств не на- накладывается. Протокол NHRP характеризует свойства каждой LIS-подсети в нешироковеща- нешироковещательной сети с множественным доступом (NBMA — Nonbroadcast Multi-Access). При- Приведем несколько цитат из документации RFC 2332, которые касаются протокола NHRP: • все элементы логически независимой подсети (LIS-подсети) имеют одинаковый IP-номер сети/подсети и маску адреса; • все элементы LIS-подсети напрямую соединены с одной NBMA-подсетью; • доступ к маршрутизаторам и узлам, находящимся за пределами LIS-подсети, происходит через маршрутизатор; • все элементы LIS-подсети напрямую соединены между собой (без маршрутиза- маршрутизаторов). 470 Часть III. Магистральные соединения
Рис. 10.8. Подсети US в нешироковещательной среде с множественным доступом Когда IP-станции, принадлежащие одной LIS-подсети, хотят установить соединение между собой, станция-отправитель генерирует ARP-запрос, предназначенный непосред- непосредственно станции-получателю. Если же устройства находятся в разных подсетях, отпра- отправитель должен отослать запрос на маршрутизатор, который принадлежит одновременно, как минимум, двум LIS-подсетям. Маршрутизатор находится как в подсети устройства- отправителя, так и в соседней (на расстоянии одного транзитного перехода) подсети. Другими словами, трафик внутри LIS-подсети передается через ретрансляционные уча- участки, как и в случае сетей, связанных между собой маршрутизаторами сетевого уровня. Таким образом, взаимодействие между LIS-подсетями происходит на сетевом уровне. Протокол NHRP использует другой метод представления станций в NBMA-сети. Группы логических адресов (LAG — Logical Address Groups) отличаются от логически независимых подсетей (LIS) способом передачи трафика. Если устройства находятся в разных LIS-подсетях, трафик от отправителя пойдет к маршрутизатору, который при- принадлежит той же подсети, что и отправитель. LAG-группы объединяют устройства в зависимости от качества обслуживания (QoS) передачи данных или характеристик са- Глава 10. Многопротокольное магистральное соединение по сети ATM 471
мого трафика. В таком случае станции не группируются по логическим адресам, по- поэтому в LAG-модели уртройства, находящиеся в одной NBMA-сети, могут напрямую связаться друг с другом, даже если они принадлежат разным LIS-подсетям. В МРОА- среде LAG-группы создаются с целью установления прямого соединения между уст- устройствами из разных подсетей. Протокол NHRP наряду с протоколами маршрутизации интенсивно используется для создания прямого канала связи между рабочими станциями, находящимися в раз- различных LIS-подсетях. Первым звеном протокола NHRP является сервер NHS. От мар- маршрутизатора он получает информацию о следующем ретрансляционном устройстве. Ка- Каждому MPS-серверу соответствует NHS-сервер. Сервер MPS преобразует запрос на пря- прямое соединение, поступивший к нему от клиента, в запрос для NHS-сервера. Такой сервер, в свою очередь, запрашивает данные о следующем маршрутизаторе. Если полу- получатель находится в текущей подсети, NHS-сервер завершает работу и сообщает ответ ис- исходному MPS-серверу. В противном случае, он отправляет запрос следующему NHS- серверу, который отправляет его дальше, и так вплоть до конечного NHS-сервера. Сер- Сервер определяет местоположение следующего, используя локальные таблицы маршрути- маршрутизации. Вопрос, который ставится при этом, звучит так: "Через какой ретранслятор (маршрутизатор) запрос должен продвигаться по направлению к получателю информа- информации в следующий момент?" Ответ на запрос передается по тому же самому маршруту. Конфигурирование технологии МРОА Несмотря на всю сложность построения и функционирования МРОА-соединения, строение MPS-сервера и МРС-клиента выглядит достаточно просто. Однако, прежде всего необходимо располагать надлежащим образом установленной и настроенной службой эмуляции локальной сети (LANE). Без нее многопротокольное соединение невозможно. Внимание! Прежде, чем попытаться сконфигурировать МРОА-соединение на модуле LANE комму- коммутатора Catalyst, убедитесь в том, что устройство является МРОА-совместимым. Сущест- Существующие LANE-модули не поддерживают необходимый режим работ. У совместимых уст- устройств имеются отличия на аппаратном уровне, предназначенные для поддержки функ- функций МРС-клиента. В целом LANE-модуль должен относиться к сериям WS-X5161, WS- Х5162 для каналов ОС-12 или WS-X5167, WS-X5168 для соединений ОС-Зс. Несмотря на то, что настраивать МРОА-компоненты можно в любой последова- последовательности, приведенный ниже порядок настройки позволяет исключить возможные неточности в процессах инициализации и обеспечить правильное функционирование всех составляющих. Этап 1. Настройка базы данных сервера LECS, которая содержит идентификаторы сетей ELAN. Этап 2. Запуск сервера LECS. Этап 3. Настройка сервера MPS. Этап 4. Настройка клиента МРС. Этап 5. Запуск сервера LANE и магистрали. Этап 6. Запуск клиентов LEC. 472 Часть III. Магистральные соединения
Если данная последовательность изменится, МРОА-соединение будет продолжать функционировать. Однако, для безошибочной работы соединения, возможно, потре- потребуется перезапустить компоненты сети LANE. В особенности нужно следить за тем, чтобы клиент-эмулятор смог получить идентификатор сети ELAN из базы данных сервера LECS прежде, чем он будет активизирован. Идентификатор используется МРОА-компонентами как доказательство принадлежности определенному широкове- широковещательному домену. Такой подход оказывается полезным в процессе создания пря- прямого канала связи. В технологиях Cisco при реализации режимов LANE и МРОА используется стан- стандартная схема NSAP-адресации. О формате NSAP более подробно рассказано в гла- главе 9, "Магистральное соединение с эмуляцией локальной сети". Необходимо пом- помнить, что N SAP-адрес состоит из трех частей: • префикса — 13 байт; • идентификатора конечной станции — 6 байт (ESI); • байта селектора — 1 байт (SEL). Команда show lane default позволяет посмотреть стандартный NSAP-адрес для каждой составляющей части сети LANE. Таким образом, если реализовать сетевую службу внутри устройства, то устройству будет соответствовать такой NSAP-адрес. Подобная схема используется и при настройке МРОА-механизмов, т.е. команда show mpoa default. В примере 10.1 показан результат выполнения обеих команд. | Пример 10.1. Компоненты адресов LANE- и МРОА-устройств routerfshow lane default interface ATM1/0: LANE Client: 47.009181000000009092BF7401.0090AB165008.** LANE Server: 47.009181000000009092BF7401.0090AB165009.** LANE Bus: 47.009181000000009092BF7401.0090AB16500A.** LANE Config Server: 47.009181000000009092BF7401.0090AB16500B.00 note: ** is the subinterface number byte in hex routertshow mpoa default interface ATM1/0: MPOA Server: 47.009181000000009092BF7401.00$0AB.Zff5O0C.** MPOA Client: 47.ОО9181ОООООООО9О92ВР74О1.ОО$ОЛВШОО0.** note: ** is the MPS/MPC instance number in hex Следует отметить, что ESI-часть NSAP-адреса для MPS-сервера, выделенная в примере курсивом, образуется путем инкрементирования увеличения значения иден- идентификатора на единицу ESI NSAP-адреса сервера LECS. В дальнейшем увеличивается величина уже полученного адреса. Байт селектора для МРОА-элементов никак не свя- связан со вспомогательным интерфейсом в отличие от LANE-компонент. Скорее, он указывает, какое из устройств (сервер или клиент) инициирует трафик. Конечное уст- устройство, узел или маршрутизатор могут содержать несколько доступных МРС- клиентов или МPS-серверов. Байт селектора идентифицирует один из них. Глава 10. Многопротокольное магистральное соединение по сети ATM 473
Конфигурирование базы данных сервера LECS с использованием идентификаторов сетей ELAN Кроме описания конфигурации отдельных ELAN-сетей, необходимого для под- поддержки работы технологии LANE, в базу данных сервера LECS нужно внести инфор- информацию о МРОА-устройствах, чтобы они (сервера и клиенты) могли установить свою принадлежность широковещательному домену. Каждый из таких доменов (сетей ELAN), находящихся внутри ATM-среды, должен иметь уникальный идентификатор в виде числа. Длина ELAN-идентификатора составляет 4 октета. Клиенты-эмуляторы, относящиеся к одной ELAN-сети, имеют одинаковый ELAN-идентификатор. Если сеть ELAN обслуживается LECS-сервером, то она обязана иметь такой идентифика- идентификатор. MPS-сервер и МРС-клиент всегда логически связаны с клиентом-эмулятором, поэтому им приписывается ELAN-идентификатор такого LEC-клиента. Синтаксис операции присвоения идентификатора выглядит следующим образом: name elan name elan-id id На примере 10.2 показано, как сконфигурировать базу данных сервера LECS для работы в МРОА-режиме. данных cePBePai-ECS. ■ необходимая lane database usethis name elanl server-atm-address 47.009181000000009092BF7401.0090AB165009.01 ! Номер elan-id идентифицирует широковещательный домен name elanl elan-id 101 name elan2 server-atm-address 47.009181000000009092BF7401.0090AB165009.02 ! Каждой сети ELAN должна быть присвоен уникальный идентификатор elan-id name elan2 elan-id 102 Каждая сеть ELAN, содержащая МРОА-компоненты, должна иметь уникальный ELAN-идентификатор. В примере 10.2 фигурируют две сети, elanl и elan2, имеющие идентификаторы 101 и 102 соответственно. Действительное значение здесь роли не играет, главное, чтобы оно оставалось уникальным в рамках АТМ-домена. Можно непосредственно присваивать клиентам-эмуляторам значения ELAN- идентификаторов, выполняя при этом работу сервера LECS. Однако, это является до- довольно обременительной задачей, и поэтому особенной популярности такой способ конфигурирования не завоевал. Когда ELAN-идентификатор занесен в базу данных сервера LECS, при необходимости можно просто изменить его значение в базе, и то- тогда не понадобится вносить значения идентификаторов для каждого клиента- эмулятора отдельно. Когда клиент-эмулятор во время процесса инициализации подключается к LECS- серверу, он получает ELAN-идентификатор. Данное значение затем используется MPS-сервером и МРС-клиентом при инициализации, а также при установлении пря- прямого соединения. Удостовериться, что LEC-клиент получил идентификатор, можно, воспользовав- воспользовавшись командой show lane client. В примере 10.3 полужирным шрифтом выделена информация о том, что клиент-эмулятор Cat-A принадлежит ELAN-сети с идентифи- 474 Часть III. Магистральные соединения
катором 101. Такое значение было получено из базы данных LECS-сервера, в которой хранится описание конфигурации данной сети. VCD 0 3 4 6 7 rxFrames 0 1 10 0 76 txFrames 0 7 0 38 0 j Пример 10.3. Информация, выводимая командой'show lane ^Щ \ ■'. . ■■ нием ELAN-идентификатора, полученного от сервера Cat-Atshow lane client LE Client ATM0.1 ELAN name: elanl Admin: up State: operational Client ID: 2 LEC up for 13 minutes 42 seconds ELAN ID: 101 Join Attempt: 1 HW Address: 0090.abl6.b008 Type: ethernet Max Frame Size: 1516 ATM Address: 47.009181000000009092BF7401.0090AB16B008.01 Type ATM Address configure 47.009181000000009092BF7401.0090AB16500B.00 direct 47.009181000000009092BF7401.0090AB165009.01 distribute 47.009181000000009092BF7401.0090AB165009.01 send 47.009181000000009092BF7401.0090AB16500A.01 forward 47.009181000000009092BF7401.0090AB16500A.01 Если запустить службы LANE прежде, чем будет внесено описание МРОА- конфигурации в базу данных сервера LECS, то ELAN-идентификаторы им присвоены не будут. В таком случае нужно перезапустить LEC-клиента, чтобы он заново прошел инициализацию и получил необходимый идентификатор. Без ELAN-идентификатора клиент и сервер многопротокольного соединения не смогут установить связь с сосед- соседними устройствами. Конечный MPS-сервер не сможет создать запрос о выделении дополнительной кэш-памяти, поскольку одним из основных параметров, которые входят в него, является идентификатор сети ELAN. Конфигурирование сервера MPS Настройка сервера MPS производится в три этапа: • указываются глобальные переменные, определяющие параметры сервера; • вводятся настройки основного интерфейса, обеспечивающие доступ к серверу; • конфигурируются параметры вспомогательного интерфейса, характеризующие связь между сервером и клиентами-эмуляторами. Для создания МРОА-среды необходимо располагать, как минимум, входным и вы- выходным MPS-серверами. MPS-серверы должны создаваться на базе маршрутизаторов, что обеспечит доступ к таблицам маршрутизации и связь с NHS-серверами. Для коммутаторов Catalyst про- производится модуль коммутации маршрутов (Route Switch Module — RSM), на базе ко- которого можно создать MPS-сервер. Однако, создать его можно только в том случае, когда модуль оснащен универсальным интерфейсным процессором версии 2 (Versatile Interface Processor 2 — VIP2), который содержит адаптер со встроенным АТМ-портом. На обычном LANE-модуле реализовать MPS-сервер не удастся. Глава 10. Многопротокольное магистральное соединение по сети ATM 475
Глобальные параметры сервера Стандартные параметры конфигурации MPS-сервера, естественно, можно изме- изменять. Например, можно изменить NSAP-адрес сервера, установив значение, отличное от того, которое сконфигурировано стандартно. МРОА-соединение использует в работе несколько таймеров, каждый из которых имеет свое стандартное значение, которое при необходимости также можно изменять. В табл. 10.1 приведены названия и краткие описания каждого из таких настраиваемых таймеров. Таблица 10.1. Таймеры, задающие параметры сервера MPS ■.'..>.'.. j Название таймера Описание таймера Таймер, контролирующий актив- Интервал времени, по прошествии которого MPS-сервер отсылает за- ность клиента (keepalive-time) прос на подтверждение активности клиенту. Значение по умолчанию равно 10 с. Допустимый интервал значений — от 1 до 300 с Таймер, определяющий срок дей- Интервал времени, на протяжении которого клиент считает запрос акту- ствия запроса на наличие актив- альным. Данное время больше указанного выше интервала минимум в 3 ности (keepalive-lifetime) раза. Стандартное значение равно 35 с. Допустимый интервал значе- значений—от 3 до 1000 с Таймер, определяющий время Максимальное время, отводимое клиенту на отправление ответа на за- удержания ответа (holding-time) прос. Стандартное значение равно 20 мин A200 с). Допустимый интер- интервал значений — от 1 до 120 мин Посылая запросы на подтверждение активности МРС-клиентам, MPS-сервер под- поддерживает постоянную связь с ними. В примере 10.4 приведен вариант глобальной конфигурации MPS-сервера. Ему в первую очередь нужно присвоить имя, которое имеет сугубо локальное значение, по- поэтому особо задумываться над его выбором не нужно. Если модуль содержит несколь- несколько MPS-серверов, следует позаботиться о том, чтобы их имена не совпадали. [-Пример 10,4. Глобальная конфигурация сервера MPS . < router(config)tmpoa server ? config configure it now router(config)tmpoa server config ? name name to be given to the MPS router(mpoa-server-config)I ! Ниже идут параметры глобальной конфигурации сервера router(config)tmpoa server config name mps router(mpoa-server-config)t? MPOA server configuration mode subcommands: atm-address specify the control atm address of the MPS default Set a command to its defaults exit exit the MPOA Server config mode holding-time specify the cache entry holding time of the MPS keepalive-lifetime specify the keepalive lifetime of the MPS keepalive-time specify the keepalive time of the MPS 476 Часть III. Магистральные соединения
network-id specify the network id of the MPS no Negate a command or set its defaults router(mpoa-server-config)I ! Необязательные параметры сервера MPS можно вводить далее Параметр, называемый сетевым идентификатором, позволяет заблокировать воз- возможность прямого соединения между клиентами-эмуляторами ELAN-сетей, которые обслуживаются одним MPS-сервером, и клиентами сетей, которые относятся к друго- другому серверу MPS. Стандартные серверы имеют сетевой идентификатор, равный 1. Если в сети присутствуют два MPS-сервера, один из которых имеет идентификатор 1, а другому соответствует идентификатор 2, то образование прямого канала связи между их клиентами-эмуляторами невозможно. Совет Даже если необходимо сохранить стандартные значения параметров по умолчанию, следует внести описание глобальной конфигурации mpoa server config name MPS_server_name. Конфигурирование основного интерфейса MPS-сервера Настройка основного интерфейса ATM MPS-сервера требует введения всего одной строки-команды. Отметим, что маршрутизатор может содержать в себе несколько та- таких серверов, они даже могут относиться к одному основному интерфейсу, но для каждого MPS-сервера существует только один аппаратный интерфейс. Если в устрой- устройстве есть два ATM-модуля, значит, необходимо запустить два MPS-сервера. В приме- примере 10.5 приведена конфигурация основного интерфейса ATM. При этом, как уже го- говорилось, требуется ввести только одну инструкцию. Пример 10.5. Конфигурация основного интерфейса сервера MPS int al/0 ! Команда конфигурирует MPS-компоненту mpoa server name MPS_Server name Конфигурация подынтерфейса MPS-сервера Сервер должен иметь клиента-эмулятора, который ему соответствует, тогда он сможет связываться с другими МРОА-устройствами в ELAN-сети. Причем одному LEC-клиенту соответствует только один MPS-сервер. В примере 10.6 показано, как сопоставить сервер с клиентом-эмулятором. Следует заметить, что снова потребуется только одна инструкция для данной конфигурации. Если команда lane client mpoa введена до того, как активизирован клиент, то появится предупреждающее сообще- сообщение. Оно используется скорее для напоминания, чем для сигнализации ошибки. Без клиента-эмулятора MPS-сервер продолжает функционировать, однако, не поддержи- поддерживает МРОА-режим, а значит, не может связаться с другими МРОА-устройствами в ELAN-сети. Глава 10. Многопротокольное магистральное соединение по сети ATM 477
int al/O.x ! Команда связывает сервер MPS и клиент LEC lane client mpoa server name MPS_Server_name ! Данная команда создает клиент LEC lane client ethernet elan name Проверка работоспособности сервера МРОА Если сервер MPS настроен правильно, то в ответ на команду show mpoa server должна выводиться информация, подобная той, которая показана в примере 10.7. Пример 10.7. Ин(рор1лаци^, выводимая в ответ на router*show mpoa server MPS Name: mps, MPS id: 0, Interface: ATMl/0, State: up network-id: 1, Keepalive: 10 sees, Holding time: 1200 sees Keepalive lifetime: 35 sees, Giveup time: 40 sees MPS actual operating address: 47.009181000000009092BF7401.0090AB16500C.00 Lane clients bound to MPS mps: ATMl/0.1 ATMl/0.2 Discovered neighbours: MPC 47.009181000000009092BF7401.0090AB16A80D.00 veds: 75(R,A) MPC 47.009181000000009092BF7401.0090AB16B00D.00 veds: 77(R,A) В примере 10.7 сервер обнаруживает двух клиентов. Также имеются данные о виртуальных каналах, через которые происходит соединение с ними, причем такие каналы не должны создавать задержек и всегда должны оставаться в рабочем со- состоянии. Стандартный таймер ожидания для оборудования Cisco составляет 5 мин; если в течение этого времени устройство не регистрирует передачу данных, то оно разрывает канал. Тем не менее, по умолчанию сервер MPS каждые 10 с рассылает клиентам запрос на подтверждение активности. Значение таймера, конечно, можно менять, однако настоятельно рекомендуется оставлять стандартные установки тай- таймеров. Если некоторые из соседних устройств, в свою очередь, являются серверами MPS, на экране консольного устройства появятся их NSAP-адреса наряду с адресами МРС- клиентов. Конфигурирование клиента МРС Подобно MPS-серверу для клиента существуют подобные категории настроек: • глобальные настройки, определяющие параметры МРС-клиента; • настройки основного интерфейса, обеспечивающие подключение к серверу; • настройки вспомогательного интерфейса, характеризующие связь между LEC- клиентами и клиентом МРС. 478 Часть III. Магистральные соединения
Глобальные параметры конфигурации клиента Можно изменить глобальные параметры клиента МРС, которые изначально уста- установлены в стандартные значения, воспользовавшись специальным режимом интер- интерфейса командной строки модуля LANE. В частности, можно изменить NSAP-адрес клиента, установив значение, отличное от того, которое выдает команда show mpoa default, также можно изменить пороговое значение, приводящее к генерации клиен- клиентом запроса на прямое соединение; стандартное его значение составляет 10 фреймов в секунду. Если МРС-клиент регистрирует межсетевой поток, превышающий указанное значение, он отсылает серверу запрос на прямое соединение. Изменять можно как количество фреймов, так и временной интервал. В примере 10.8 показан частный слу- случай глобальной конфигурации МРС-клиента для LANE-модуля коммутатора Catalyst, а также несколько строк, взятых из меню помощи (HELP). Модуль коммутатора Catalyst может поддерживать много МРС-клиентов, но каждый из них должен иметь уникальное имя и настраиваться индивидуально. Пример 10.8. Глобальная конфигурация клиента Ниже идет инструкция глобального режима конфигурирования Cat-A(config)fmpoa client config name MPC_client_name ! Необязательные параметры клиентов МРС должны вводиться ниже Cat-A(mpoa-client-config)!? MPOA client configuration mode subcommands: atm-address specify the control atm address of the MPC default Set a command to its defaults exit exit the MPOA Client config mode no Negate a command or set its defaults shortcut-frame-count specify the shortcut-setup frame count of the MPC shortcut-frame-time specify the shortcut-setup frame time of the MPC Совет Если принято решение сохранить стандартное пороговое значение, равное 10 фрей- фреймам в секунду, все равно необходимо использовать команду глобального режима конфигурирования mpoa client config name MPC_client_name. Конфигурация основного интерфейса Как и в случае с сервером MPS, для того, чтобы активировать МРС-клиента, нуж- нужно ввести в режиме конфигурирования основного интерфейса команду mpoa client. В примере 10.9 показана наиболее распространенная конфигурация основного интер- интерфейса. Отметим тот факт, что приведенная инструкция подобна той, которая исполь- использовалась для активизации MPS-сервера в примере 10.5. I Пример 10.9. Конфигурация основного инте int al/0 ! Запуск службы клиента МРС mpoa client name MPC client_name Глава 10. Многопротокольное магистральное соединение по сети ATM 479
Конфигурация подынтерфеиса МРС-клиента Каждая сеть VLAN, в которой необходимо реализовать МРОА-режим передачи данных, должна содержать МРС-устройство, связанное с клиентом-эмулятором по- посредством соответствующих вспомогательных интерфейсов. В примере 10.10 показано, как осуществить подобную связь. Настройка службы выполняется в три этапа. При помощи команды lane client активизируются сети LEC/VLAN, входящие в МРОА-соединение. Вторая команда — lane client — связывает LEC-клиента с се- сетью VLAN 12. Сети VLAN 12 и ELAN_name сопоставляются с одним широковеща- широковещательным доменом. Пример 10.10. Конфигурация подынтерфеиса клиента МРС : '] г;ч; I int aO.x ! Данная команда привязывает клиент МРС к клиенту LEC lane client mpoa client name MPC_client_name ! Следующей командой создается клиент LEC lane client ethernet 12 elan_name Следует помнить, что связать клиента LEC можно только с одним МРС-клиентом. Если команду привязки ввести прежде, чем произойдет запуск LEC-клиента, то на экране появится предупреждающее сообщение. Его можно игнорировать, но при этом нужно помнить о необходимости запуска клиента-эмулятора. С помощью команды lane client mpoa создается LEC-клиент посредством вспомогательного МРС- иптерфейса. Сначала можно активизировать клиента-эмулятора, а позднее запустить МРС-устройство. В любом случае необходимо убедиться, что LEC-клиент получил ELAN-идентификатор. Проверка работы МРОА-клиента Если МРОА-соединение настроено должным образом, на экране консольного уст- устройства появится информация о МРС-клиенте, подобная показанной в примере 10.11. Таким образом, на экран выводится информация о состоянии МРС-клиента до уста- установления каких-либо прямых соединений. Если же таковые имеются, тогда появятся дополнительные строки ниже строки Remote Devices known (Обнаруженные уда- удаленные устройства). ! Пример 10.11. Данные, выводимые командой show mpoa client Cat-Atshow mpoa client MPC Name: mpc2, Interface: ATMO, State: Up MPC actual operating address: 47.009181000000009092BF7401.0090AB16A80D.00 Shortcut-Setup Count: 10, Shortcut-Setup Time: 1 Lane clients bound to MPC mpc2: ATMl/0.2 Discovered MPS neighbours kp-alv vcd 47.009181000000009092BF7401.0090AB16500C.00 31 9 Remote Devices known vcd Предположим, что для проверки соединения с конечным МРС-клиентом был ис- использован расширенный вариант команды ping и передана последовательность из 20 обычных ping-пакетов. Когда количество посланных фреймов превышает устаповлен- 480 Часть III. Магистральные соединения rxPkts 76 rxPkts txPkts 2 txPkts
vcd 35 vcd 49 47 rxPkts 125 rxPkts 7 0 txPkts 4 txPkts 8 0 ный порог, исходный МРС-клиент генерирует запрос на установление прямого со- соединения с адресатом (разрешение передачи). Предполагая, что MPS-сервер разрешит такое соединение, отправитель может установить прямую связь с получателем и на- начать передавать данные. Однако, на каждый обычный ping-запрос от исходного клиента конечный МРС- клиент посылает ответ. И если у конечного устройства порог по количеству фреймов не превышает значение, установленное для исходного клиента, такой ответ заставит клиента-получателя генерировать запрос на прямое соединение с отправителем. В итоге оба клиента создадут прямые каналы связи друг с другом (см. пример 10.12). • Пример 10.12. Информация, выдаваемая командой show mpoa client после \ i установления прямого канала связи JV "'" '" "■■".%'. \ Cat-A#show mpoa client МРС Name: mpc, Interface: ATMO, State: Up MPC actual operating address: 47.000601171000008100530606.0090AB16500D.00 Shortcut-Setup Count: 10, Shortcut-Setup Time: 1 Lane clients bound to MPC mpc: ATMO.20 Discovered MPS neighbours kp-alv 47.000601171000008100530606.0090AB16B00C.00 28 Remote Devices known 47.000601171000008100530606.0090AB16A80D.00 Согласно алгоритму установления соединения МРС-клиенты будут использовать только одно прямое соединение, и его инициатором будет устройство с наименьшим NSAP-адресом. В примере 10.12 таковым является устройство-отправитель, так как оно имеет наименьший МАС-адрес. Воспользовавшись командой show atm vc 49, можно убедиться, что локальный клиент использует виртуальный канал VC 49 (см. пример 10.13). : Пример 10.13. Подтверждение установления соединения ! Cat-Atshow atm vc 49 ATMO: VCD: 49, VPI: 0, VCI: 80, etype:0x0, AAL5 - LLC/SNAP, Flags: 0x50 PeakRate: 0, Average Rate: 0, Burst Cells: 0, VCmode: 0x0 OAM DISABLED, InARP DISABLED InPkts: 7, OutPkts: 8, InBytes: 724, OutBytes: 766 InPRoc: 7, OutPRoc: 8, Broadcasts: 0 InFast: 0, OutFast: 0, InAS: 0, OutAS: 0 OAM F5 cells sent: 0, OAM cells received: 0 Status: ACTIVE , TTL: 4 interface = ATMO, call locally initiated, call reference = 118 vcnum = 49, vpi = 0, vci = 80, state = Active(UlO) , point-to-point call Retry count: Current = 0 timer currently inactive, timer value = 00:00:00 Remote Atm Nsap address: 47.000601171000008100530606.0090AB16A80D.00 Глава 10. Многопротокольное магистральное соединение по сети ATM 481
Виртуальный канал VC 47 использоваться не будет, соединение происходит че- через канал VC 49. До тех пор, пока существует прямое соединение, формально суще- существуют и оба канала связи. Отметим, что показания счетчиков свидетельствуют о нулевом трафике через канал VC 47 в любом направлении. Так или иначе, но пока- показываемые ими значения зависят от транспортных потоков. Не все типы потоков ис- используют сообщения подтверждения соединения и, как результат, создают один виртуальный канал. Пример конфигурации МРОА-соединения В данном разделе обобщается все, что было сказано выше относительно конфигу- конфигурации серверов и клиентов многопротокольного соединения. На рис. 10.9 показана сеть МРОА, в которой два МРС-клиента соединены между собой через MPS-сервер. Маршрутизатор MPS/LECS ELAN1 LES ELAN2 LES VLAN21 Cat-A МРС VLAN22 Рис. 10.9. Пример МРОА-соединения МРС-устройства, находящиеся внутри коммутаторов Catalyst, оснащены МРОА- совместимыми модулями LANE. Маршрутизатор 7204 содержит в себе MPS-сервер. Каждому клиенту МРС соответствует единственный клиент-эмулятор. У сервера MPS их двое — по одному на каждую сеть ELAN. Сервер LECS и серверы LES тоже нахо- находятся внутри маршрутизатора серии 7204, хотя с тем же успехом их можно было раз- разместить в каждом из коммутаторов. В примере 10.14 приведена необходимая конфигурация устройства Cat-A для рас- рассматриваемой сети. 482 Часть III. Магистральные соединения
Пример 10.14. Конфигурация МРС-устройстваСа^А V - % -:} ! mpoa client config name mpcl !interface ATMO no ip address atm pvc 5 0 5 qsaal atm pvc 16 0 16 ilmi mpoa client name mpcl i interface ATM0.1 multipoint lane client mpoa client name mpcl lane client ethernet 21 elanl Конфигурация устройства Cat-B аналогична. Отметим, что коммутаторам не при- присвоен IP-адрес, поскольку модуль LANE не позволяет этого сделать. Такая ситуация связана с тем, что выходной интерфейс данного модуля ведет себя как обычный мос- мостовой порт. В примере 10.15 продемонстрирована конфигурация устройства Cat-B. Имена МРС-клиентов различны (Cat-A и Cat-B), хотя в этом нет строгой необходи- необходимости, ведь они имеют локальное значение. Пример 10.15. Конфигурация МРС-устройства Cat-B j i mpoa client config name mpc2 i interface ATMO no ip address atm pvc 5 0 5 qsaal atm pvc 16 0 16 ilmi mpoa client name mpc2 i interface ATMO.2 multipoint lane client mpoa client name mpc2 lane client ethernet 22 elan2 MPS-сервер находится внутри маршрутизатора, и каждый его подынтерфейс имеет свой IP-адрес. Данное утверждение отражено в конфигурации сервера, приведенной в примере 10.16. Огромное значение имеет конфигурация протокола маршрутизации, в примере информации о протоколе муршрутизации она опущена, но ее настройка яв- является обязательным условием правильности работы MPS/NHS-серверов. Пример 10.16. Конфигурация сервера MPS, находящегося внутри мар- j: ■. ■.,,, ■ шрутизатора . :.;;-.''~:'-''-"* V ':'--', ff s :.■.„•■..;. ■-.-,. 1 lane database usethis name elanl server-atm-address 47.009181000000009092BF7401.0090AB165009.01 name elanl elan-id 101 name elan2 server-atm-address 47.009181000000009092BF7401.0090AB165009.02 Глава 10. Многопротокольное магистральное соединение по сети ATM 483
name elan2 elan-id 102 i mpoa server config name mps ! interface ATM1/0 no ip address atm pvc 5 0 5 qsaal atm pvc 16 0 16 ilmi lane config auto-config-atm-address lane config database usethis mpoa server name mps i interface ATMl/0.1 multipoint ip address 1.1.1.2 255.255.255.0 lane server-bus ethernet elanl lane client mpoa server name mps lane client ethernet elanl ! interface ATM1/0.2 multipoint ip address 1.1.2.2 255.255.255.0 lane server-bus ethernet elan2 lane client mpoa server name mps lane client ethernet elan2 Поиск и устранение неисправностей в сети МРОА Особых сложностей в нахождении неисправностей не возникает. Во-первых, нуж- нужно определить, в чем состоит. Зачастую основной проблемой является невозможность создания прямого соединения. Полагая, что все устройства, находящиеся между от- отправителем и получателем, не повреждены (не всегда верное предположение), необхо- необходимо искать неисправности следующим образом: 1. Проверить тот факт, что все ELAN-сети между отправителем и получателем на- находятся в рабочем состоянии; 2. Определить, правильно ли функционируют все МРС-клиенты и МPS-серверы; 3. Определить, обнаружили ли МРС-клиенты и MPS-серверы друг друга; 4. Определить, происходит ли генерация запроса на прямое соединение МРС- клиентом при превышении порогового значения; 5. Проверить, присутствуют ли NHS- и MPS-серверы на каждом ретрансляцион- ретрансляционном участке стандартного маршрута. Ниже каждый из описанных пунктов процесса поиска и устранения неисправно- неисправностей описан подробнее. 484 Часть III. Магистральные соединения
Проверка работоспособности сетей ELAN между отправителем и получателем Если сети ELAN настроены правильно, можно разослать ping-пакеты всем NHS- и MPS-серверам, через которые проходит соединение по умолчанию между отправителем и получателем. Если выполнить данные действия не получается, значит, либо непра- неправильно настроена сеть ELAN — т.е. имеется конфликт на сетевом уровне (например, ошибка в IP-адресе); либо проблема связана с протоколом маршрутизации. Прежде всего, нужно проверить соединения внутри сети ELAN. Для этого следует отправить ping-пакеты соседним устройствам. Если данный этап удалось выполнить, не- необходимо отправить пакет устройству в следующей ELAN-сети. Пакет эхо-запроса от- отправляется с текущего устройства или с устройства, находящегося в той же самой сети на расстоянии одного транзитного перехода. Подобные действия нужно проделать для каждой ELAN-сети, чтобы убедиться в их полной функциональной готовности. Также следует удостовериться, что каждый клиент-эмулятор, относящийся к МРОА-устройству, получил ELAN-идентификатор (см. пример 10.3). Проверка работоспособности всех МРС-клиентов и MPS-серверов С помощью команд show mpoa client и show mpoa server можно посмотреть конфигурацию МРС-клиента и MPS-сервера. На экран консольного устройства выво- выводится информация общего характера: имя устройства, интерфейс доступа, текущее со- состояние. Убедиться, что МРС-клиенты и MPS-серверы обнаружили друг друга Каждое МРОА-устройство стремится получить информацию о соседнем, используя сервер LES своей сети ELAN. Многопротокольное соединение поддерживает прото- протокол обнаружения соседних МРОА-устройств, что позволяет МPC-клиентам узнать расположение MPS-серверов, а серверам обнаружить другие серверы MPS. По ин- информации, выдаваемой командами show mpoa client и show mpoa server, можно судить о том, распознало ли устройство близлежащие МРОА-устройства. МРС- клиенты и MPS-серверы заносят данные о типе устройства (сервер или клиент) в сер- сервер LES, находящийся в той же сети ELAN, что и они. Далее ими посылается запрос найденному LES-серверу на обнаружение соседних МРОА-устройств. Проверка работоспособности серверов NHS и MPS на каждом участке стандартного маршрута Для МРОА-соединения стандартно установлено пороговое значение, равное десяти фреймам за секунду. При превышении данной величины МРС-клиент должен гене- генерировать запрос на установление прямого соединения с получателем. Если же трафик никогда не превысит заданный порог, то клиенту никогда и не понадобится прямая связь. С помощью команды show mpoa client cache можно определить, генериро- Глава 10. Многопротокольное магистральное соединение по сети ATM 485
1 0 0 1 0 0 0 0 0 1 1 0 0 0 0 0 вал ли клиент запрос на разрешение передачи по виртуальному прямому соединению. В примере 10.17 показана статистика для МРС-клиента, из которой можно заклю- заключить, что устройством был отправлен запрос на прямое соединение и получен ответ. {Пример 10.17- Статистическая информация оМРС-клиенте J! ^i 1 Cat-Alsh шр cl statistics МРС Name: mpc2, Interface: ATM1/0, State: Up MPC actual operating address: 47.009181000000009092BF7401.0090AB16A80D.00 Shortcut-Setup Count: 10, Shortcut-Setup Time: 1 Transmitted Received MPOA Resolution Requests MPOA Resolution Replies MPOA Cache Imposition Requests MPOA Cache Imposition Replies MPOA Cache Purge Requests MPOA Cache Purge Replies MPOA Trigger Request NHRP Purge Requests Invalid MPOA Data Packets Received: 0 Cat-Ai Если значение счетчика регистра, соответствующего количеству отправленных за- запросов,, не увеличивается, значит, клиент не обнаруживает подходящего трафика и не генерирует запрос на установление прямого соединения. Если же значение регистра увеличивается и не соответствует значению регистра, в котором подсчитывается коли- количество полученных ответов, следовательно, клиент просто не получает такие ответы. В таком случае необходимо проверить правильность работы МPS-серверов. Также сле- следует убедиться в том, что действительно существует стандартный маршрут к конечно- конечному МРС-клиенту. Если он отсутствует, сервер не даст разрешения на установление прямого соединения. Получить информацию о МРОА-клиенте можно и с помощью службы отладки debug. Команда debug mpoa client позволяет проследить за тем, как МРС- устройство анализирует проходящий поток, и определить, генерирует ли оно в дейст- действительности запрос на установление прямого соединения. В примере 10.18 приводит- приводится часть информации о клиенте МРС, полученной с помощью команды debug. Пример 10.18. Данные, полученные с помощью команды debug mpoa client j \ ^ , „. _• ..„^.,.,,...^.^rrr.i^..,.,., „.„ „,„„.;.......,..,..„х ....„.,. „„„,„,., ,„„.,„....,..„-■„,...„.-.J.L. : „.j,*,.:.::. .......,»,.:,.-.....:„. ».,„..,. л...,.„а,А Cat-Afdebug шр cl ? all Enable all MPOA Client debugging data Debugs MPOA Client Data Processing egress Debugs MPOA Client Egress Activity general Debugs MPOA Client General/Common Activity ingress Debugs MPOA Client Ingress Activity keep-alives Debugs keep-alives received from MPOA servers platform-specific Hardware platform specific debug 486 Часть III. Магистральные соединения
Cat-Atdebug mp cl all MPOA CLIENT: mpc_trigger_from_lane: mac 0090.abl6.5008 on out ATM0.20 MPOA CLIENT: Is~HAC 0090.abl~6.5008 interesting on i/f: ATM0.20 MPOA CLIENT MPC: НАС 0090.аЫ6.5008 interesting MPOA CLIENT: lower levels detected 1 packets to 0090.abl6.5008 C.0.0.1) MPOA CLIENT MPC: mpc_ingress cache state machine called for icache 3.0.0.1: current state: INIT, event MPC_ELIGIBLE PACKET_RECEIVED MPOA CLIENT: mpc_count and trigger: cache state INIT MPOA CLIENT: mpc_trigger_from_lane: mac 0090.abl6.5008 on out ATM0.20 MPOA CLIENT: Is MAC 0090.abl6.5008 interesting on i/f: ATM0.20 MPOA CLIENT MPC: MAC 0090.abl6.5008 interesting MPOA CLIENT: lower levels detected 1 packets to 0090.abl6.5008 C.0.0.1) MPOA CLIENT MPC: mpc ingress_cache_state machine called for icache 3.0.0.1: current state: INIT, event MPC_FLOW~DETECTED MPOA CLIENT MPC: MPOA Resolution process started for 3.0.0.1 MPOA CLIENT MPC: Sending MPOA Resol. req(ReqId=2) for 3.0.0.1 MPOA CLIENT: mpc_count_and_trigger: cache state TRIG Первые два блока информации, выделенной полужирным шрифтом в примере, от- отражают ситуацию, когда МРС-устройство регистрирует перспективный с точки зрения создания прямого канала связи трафик. Данный поток данных предназначен узлу, на- находящемуся в другой сети ELAN, поэтому сетевые адреса отправителя и получателя различны. Однако, МАС-адрес получателя соответствует МАС-адресу выходного MPS-сервера. Такая ситуация имеет место потому, что данный сервер расположен в маршрутизаторе, который является первым транзитным узлом стандартного маршрута. МРС-клиент использует его МАС-адрес при создании канала передачи. Первый из вышеупомянутых блоков информации соответствует передаче девяти, а второй — де- десяти фреймов за секунду. Для простоты в примере опущена информация о потоках данных с интенсивностью меньшей, чем 8 фреймов за секунду. Из приведенного вы- выше примера видно, что команда debug не выдает информации о количестве фреймов. Нужно будет просмотреть все выводимые данные и определить, существуют ли пото- потоки данных, которые переносят свыше десяти фреймов в секунду. Только в таком слу- случае МРС-клиент генерирует запрос на прямое соединение. Третий блок информации, выделенной жирным шрифтом в примере 10.18, характеризует состояние запроса. В итоге МРС-клиент должен получить ответ, посланный MPS-сервером, как пока- показано в примере 10.19. j Пример 10.19. Информация, выдаваемая командой debug относительно I V , ; ответа на запрос об установлении прямога.»анапа■■связи '^Ц MPOA CLIENT: received a MPOA RESOLUTION_REPLY packet of size 127 bytes on ATM1/0 vcd 832 dumping nhrp packet: fixed part: op_type 135 (MPOA_RESOLUTION_REPLY), shtl 20, sstl 0 Глава 10. Многопротокольное магистральное соединение по сети ATM 487
mandatory part: src proto_len 4, dst proto len 4, flags 0, request_id 2 src~nbma_addr: 47.009181000001000200030099.0090AB16540D.00 src_prot addr: 0.0.0.0 dst_prot addr: 3.0.0.1 cie 0: code 0, prefix_length 0, mtu 1500, holding_time 1200 cli_addr tl 20, cli saddr_tl 0, cli proto_len 0, preference 0 cli_nbma~addr: 47.009181000001000200030099.0090AB164C0D.00 tlv 0: type 4097, length 4 data: 15 05 00 01 tlv 1: type 4096, length 23 compulsory data: 00 00 00 01 00 00 00 67 0E 00 90 Afl 16 4C 08 00 90 AB 16 B0 08 08 00 MPOA CLIENT MPC: Resol Reply- IP addr 3.0.0.1, mpxp addr=47.00918100000100020003 0099.0090AB164C0D.00, TAG=352649217 MPOA CLIENT MPC: mpc_ingress cache_state_machine called for icache 3.0.0.1: current state: TRIG, event MPC_VALID_RESOL_REPLY_RECVD Средний блок данных, полученных с помощью команды debug, представляет со- собой различные категории ответов технологии МРОА на запрос, посланный клиентом. Например, категория схе содержит информацию, которая предназначена непосредст- непосредственно МРС-клиенту. Элемент code 0 означает, что операция завершилась успешно. Для получения более полной информации о полях и типах ответов необходимо обра- обратиться к документации по МРОА-соедииению. Информация, касающаяся поиска возможных неисправностей, выделена в примерах полужирным шрифтом. Проверка работоспособности серверов MPS nNHS Необходимо убедиться, что все МРОА-серверы, через которые проходит стандарт- стандартный маршрут, обнаружили друг друга и могут связываться между собой, используя режим LANE. Без этого прямое соединение невозможно. Другие причины отказа в работе МРОА-соединения Еще одна причина, по которой прямое соединение не может быть установлено — за- запрос на установление соединения генерируется клиентом-отправителем, передается промежуточными MPS-серверами и поступает к оконечному серверу. Конечный MPS- сервер генерирует запрос на предоставление дополнительной кэш-памяти и отправляет его клиенту-получателю. Если получатель отклоняет такой запрос, то связь между ним и отправителем в дальнейшем будет происходить по стандартному маршруту. Такая ситуа- ситуация может сложиться в том случае, когда клиент-получатель не имеет достаточное ко- количество локальных ресурсов. Например, конечному МРС-клиенту может просто не 488 Часть III. Магистральные соединения
хватать памяти, чтобы обеспечить хранение дополнительной информации, или клиент на данный момент поддерживает слишком много виртуальных каналов и еще один соз- создать уже не способен. Любая из перечисленных выше причин может привести к откло- отклонению запроса, и в результате прямое соединение не будет установлено. Воспользовавшись командой debug, на экране консольного устройства можно обна- обнаружить строку, подобную той, что показана в конце выводимой в примере 10.19 инфор- информации. Она свидетельствует о том, что дополнительная кэш-память предоставлена. Контрольные вопросы В данный раздел включены различные вопросы по теме настоящей главы. Ответив на них, читатель сможет оценить степень владения изложенным материалом. Кроме того, приведенные ниже вопросы помогут подготовиться к письменным и лаборатор- лабораторным экзаменам на получение статуса сертифицированного эксперта по объединенным сетям Cisco (CCIE). Ответы на вопросы приведены в приложении А, "Ответы на кон- контрольные вопросы". 1. Администратор сети обнаружил, что МРС-клиент не может установить прямое соединение. При этом ATM-анализатор для данной сети выдал информацию о том, что клиент не генерировал запрос на установление такого соединения, даже когда трафик превышал пороговое значение, равное десяти фреймам в секунду. Почему не был отправлен запрос серверу? Команда show mpoa client выдает на экран следующую информацию: | Пример 10.20. Информация, выводимая командой show mpoa client & > Cat-Cfsh шроа client MPC Name: mpc2, Interface: ATM1/0, State: Up MPC actual operating address: 47.009181000000009092BF7401.0090AB16A80D.00 Shortcut-Setup Count: 10, Shortcut-Setup Time: 1 Lane clients bound to MPC mpc2: 2. В каком случае входной и выходной МPS-серверы будут находиться в одном маршрутизаторе? 3. Как сопоставляются между собой МРС-клиент и сеть VLAN? 4. В примере 10.6 в конфигурации устройства приводится команда lane client ethernet elan-name. Где в ней указана информация о сети VLAN? 5. Фрейму нужно пройти через три маршрутизатора, чтобы попасть от одного кли- клиента-эмулятора к другому. Должны ли все маршрутизаторы быть настроены как MPS-серверы? 6. Можно ли сконфигурировать МРС-устройство и MPS-сервер на маршрутизаторе? Глава 10. Многопротокольное магистральное соединение по сети ATM 489
Часть IV Расширенные возможности Глава 11. Коммутация третьего уровня Глава 12. Протокол магистральных каналов виртуальных локальных сетей Глава 13. Многоадресатные и широковещательные службы
В этой главе... : . • Терминология коммутации третьего уровня. В данном разделе предпринимается попытка внести ясность в запутанную тему официальной терминологии и жар- жаргонных выражений, касающихся коммутации третьего уровня. .•" * • Значение маршрутизации. Маршрутизация, а следовательно, и коммутация третьего уровня являются ключевыми моментами для построения стабильных и простых в управлении крупномасштабных сетей. • Линейный маршрутизатор. В данном разделе рассматривается использование традиционных аппаратных платформ для межсетевой маршрутизации виртуаль- виртуальных локальных сетей (inter-VLAN routing). Как и в самых ранних вариантах коммутации третьего уровня, при таком подходе используются либо множест- множественные интерфейсы, либо единственный интерфейс, настроенный на магист- магистральный протокол, такой, как ISL или 802.1Q. • Модуль коммутации маршрута (RSM). Развитие модели линейных маршрутиза- маршрутизаторов путем внедрения маршрутизирующих функций в шасси коммутатора Catalyst 5000 привело к появлению такого устройства, как модуль коммутации / маршрута. В этом разделе рассматривается конфигурирование модуля RSM и преимущества его использования. • Маршрутизирующие коммутаторы. В настоящем разделе описывается использо- использование функциональных плат NetFlow (NFFC), обеспечивающих высокопроиз- высокопроизводительную коммутацию третьего уровня на базе специализированных инте- ? гральных микросхем (ASIC). После детального изучения теоретических основ методик MLS рассматриваются вопросы конфигурирования и эффективного использования данной технологии. • Коммутирующие маршрутизаторы. В данном разделе описывается альтернативный подход к коммутации третьего уровня, представленный устройствами Catalyst 8500, а также технология и конфигурация, лежащие в основе этого под- подхода. Кроме того, в разделе рассмотрены общие черты традиционных и предла- предлагаемых платформ маршрутизации с точки зрения конструкции и конфигурации. • Сравнение технологии MLS и маршрутизаторов 8500-й серии. Оба вида коммута- ' ции третьего уровня обеспечивают высокопроизводительную маршрутизацию. В то же время они имеют существенные отличия с точки зрения конструкции и реализации. В данном разделе представлен подробный обзор основных разли- различий данных устройств. • Коммутация третьего уровня на базе устройства Catalyst 6000. В настоящем раз- разделе рассматривается развитие и объединение различных видов коммутации третьего уровня, представленных выше, на основе коммутатора Catalyst 6000. • Протокол HSRP. В данном разделе рассматривается использование резервного протокола маршрутизации корпорации Cisco (HSRP) с целью повышения гиб- гибкости и производительности. •: • Интеграция технологии объединения с помощью мостов и маршрутизации. Суще- Существуют несколько способов объединения технологий второго и третьего уровня. В настоящем разделе приводится их описание.
Глава 11 Коммутация третьего уровня '■\ Коммутация третьего уровня является одной из наиболее важных в современном нагромождении технологий. С одной стороны, производители оборудования создали множество различных структур, соответствующих терминов и видов указанной техно- технологии, которые незначительно отличаются друг от друга, но создают серьезные труд- трудности для понимания предмета. С другой стороны, коммутация третьего уровня (маршрутизация) является одной из наиболее важных предпосылок успешного проек- проектирования территориальных сетей. Одновременно с обеспечением полосы пропуска- \ ния, необходимой для создания современных территориальных магистралей, комму- коммутация третьего уровня также обеспечивает масштабируемость, необходимую для роста и простоты управления Сетями. В текущей главе авторы ставили своей целью по возможности устранить трудности, которые возникают из-за смешения терминов и понятий, возникшего в результате кон- конкуренции маркетинговых структур. Мифы и реальность могут быть разделены путем уг- углубленного изучения деталей, лежащих в основе подхода корпорации Cisco к технологи- технологиям коммутации третьего уровня. Данная глава представляет собой хронологический об- обзор методов маршрутизации между виртуальными локальными сетями (inter-VLAN routing). Обзор начинается с краткого освещения вопросов терминологии коммутации и значения маршрутизации. Затем углубленно рассматривается первая методика, обычно используемая для соединения виртуальных локальных сетей (VLAN) с коммутируемым окружением — линейные маршрутизаторы (router-on-a-stick). Далее в гла- главе рассматриваются интегрированные методы коммутации, как, например, модуль ком- > мутации маршрутов коммутаторов Catalyst (Catalyst Route Switch Module — RSM), а так- также два различных аппаратных метода коммутации третьего уровня. Завершает главу опи- описание протокола резервной маршрутизации (Hot Standby Router Protocol — HSRP) и технологии объединения виртуальных локальных сетей с помошью мостов (bridging). Терминология коммутации третьего уровня Путаница* связанная с темой коммутации третьего уровня, вызвана несколькими факторами. Частично разночтения возникают из-за недавнего слияния нескольких технологий. До недавнего времени коммутаторы и маршрутизаторы были отдельными и обособленными устройствами, и термин коммутатор был зарезервирован для аппа- аппаратной платформы, которая обычно функционировала на втором уровне эталонной
модели OSI. Например, ATM-коммутатор реализует аппаратную передачу ячеек фик- фиксированной длины, в то время как Ethernet-коммутаторы для передачи используют МАС-адреса. Термин маршрутизатор, напротив, использовался для обозначения уст- устройства, которое для обнаружения топологии третьего уровня использует протоколы маршрутизации. Решения о перенаправлении пакетов основывались в таком случае на основе иерархической адресации третьего уровня. Благодаря комплексности решае- решаемых задач, маршрутизаторы традиционно были устройствами программными. Кроме того, маршрутизаторы предоставляли также широкий спектр высокотехнологичных и дорогостоящих функций, таких, например, как туннелирование (tunneling), коммута- коммутация канального уровня (data-link switching — DLSw), трансляция протоколов (protocol translation), списки доступа (access lists) и обеспечение работы протокола динамиче- динамической конфигурации узла (Dynamic Host Configuration Protocol — DHCP). В понятие коммутации третьего уровня заключено все многообразие методов, ко- которые призваны объединить преимущества раздельных ранних технологий. Основой такой коммутации является получение эффекта от объединения скорости, присущей технологии коммутации и характерной для маршрутизации масштабируемости. Спо- Способы реализации коммутации третьего уровня можно разделить на две категории: • с использованием маршрутизирующих коммутаторов (routing switches), • с использованием коммутирующих маршрутизаторов (switching routers). В обширной категории маршрутизирующих коммутаторов для определения крат- кратчайших путей через сердцевину сети используется аппаратное обеспечение в обход традиционных программных маршрутизаторов. Некоторые маршрутизирующие ком- коммутаторы называют также маршрутизаторами-ускорителями (router accelerators). Мар- Маршрутизирующие коммутаторы не используют протоколы маршрутизации, такие, как OSPF или EIGRP. Вместо этого в них применяются различные методы обнаружения, создания или кэширования (cashe) информации о кратчайшем маршруте. В качестве примера можно привести мультипротокольную передачу данных по сетям ATM (Multiprotocol over ATM — МРОА), которая была описана в предыдущей главе. Такая стандартизированная технология позволяет присоединенным к АТМ-сети устройствам создавать виртуальный канал, который дает маршрутизаторам возможность избегать перегрузок, вызванных информационными потоками. Несмотря на явную поддержку модели МРОА со стороны корпорации Cisco, ее инженерами была разработана иная методика поиска кратчайшего пути, которая не требовала наличия АТМ-магистрали. Данная методика получила название многоуровневой коммутации (Multilayer Switching — MLS), хотя часто, в том числе и в документации Cisco, используется ста- старое название — LAN-коммутация NetFlow (NetFlow LAN Switching — NFLS). Мето- Методика MLS подробно рассматривается ниже. Внимание! Не следует путать технологию MLS с другими методами поиска кратчайшего пути при коммутации третьего уровня, которые не являются стандартизированными (для мно- многих из них используется коммутация без буферизации пакетов — cut-through switching). Некоторые из указанных методик осуществляют быструю коммутацию пакетов через сеть без внесения в них необходимых изменений. Подобными изменениями являются: уменьшение времени жизни пакета (TTL), а также изменение МАС-адресов отправи- отправителя и получателя. При многоуровневой коммутации в пакеты вносятся те же измене- изменения, что и при обычной маршрутизации. Поэтому описываемая ниже технология MLS является полностью совместимой со стандартами. 494 Часть IV. Расширенные возможности
В отличие от маршрутизирующих коммутаторов коммутирующие маршрутизаторы используют такие протоколы, как OSPF. Зачастую, как и в традиционных маршрути- маршрутизаторах, обработка пакетов осуществляется с помощью процессора общего назначе- назначения. В отличие от традиционных маршрутизаторов, в которых процессор общего на- назначения используется как для управления (control-plane), так и для передачи данных (data-plane), в коммутаторах третьего уровня для передачи данных применяются высо- высокоскоростные специализированные интегральные микросхемы (application specific in- integrated circuit — ASIC). Процессор не участвует в передаче данных, за счет чего дос- достигается производительность, сравнимая со скоростью передачи данных по проводу (wire-speed perfomance). Подобный результат наблюдается в наиболее быстрых версиях традиционных маршрутизаторов. Коммутирующие маршрутизаторы, в частности, коммутаторы Catalyst 8500, подробно описаны ниже в настоящей главе. Несмотря не то, что термины "маршрутизирующий коммутатор" и "коммути- "коммутирующий маршрутизатор" выглядят похоже, фактически они очень точно передают трудноуловимую разницу между двумя типами устройств. Например, в случае маршру- маршрутизирующего коммутатора слово "коммутатор" является именем существительным, а "маршрутизирующий" — прилагательным (неожиданный для тематики настоящей главы урок грамматики, не так ли?). Иными словами, это устройство, основу которого составляет коммутатор (т.е., устройство второго уровня). Функциональные особенно- особенности коммутатора в данном случае расширены некоторыми маршрутизирующими воз- возможностями (т.е., возможностями устройства третьего уровня). В случае коммути- коммутирующего маршрутизатора, напротив, устройство в основном является маршрутизато- маршрутизатором (т.е., устройством третьего уровня), использующим для повышения скорости и производительности технологию коммутации (на базе высокоскоростных интеграль- интегральных микросхем). Кроме того, он также поддерживает функции моста (т.е., устройства второго уровня). Совет Маршрутизирующие коммутаторы представляют собой устройства, ориентированные на работу на втором уровне модели OSI и усовершенствованные с целью реализации функциональности третьего (а также четвертого) уровня. С другой стороны, коммути- коммутирующие маршрутизаторы прежде всего являются устройствами третьего уровня, кото- которые также могут осуществлять обработку пакетов второго уровня (как и любой мар- маршрутизатор Cisco). Различия коммутирующих устройств и терминологии, порожденные производителя- производителями, вызвали значительный интерес к коммутации четвертого и седьмого уровней. Вооб- Вообще указанные выше подходы опираются на способность коммутатора обрабатывать ин- информацию четвертого (транспортного) уровня, содержащуюся в передаваемых пакетах. Например, номера портов протокола управления передачей (Transmission Control Proto- Protocol — TCP) и протокола пользовательских дейтаграмм (User Datagram Protocol — UDP) могут использоваться для реализации действий, влияющих на такие аспекты работы еистем, как безопасность и качество обслуживания (Quality of Service — QoS). Несмотря на это, коммутаторы четвертого и седьмого уровней следует рассматривать скорее как логическое расширение и усовершенствование двух описанных выше типов устройств, а не как третий тип коммутирующего оборудования для территориальных сетей. Фактиче- Фактически, как маршрутизирующие коммутаторы, так и коммутирующие маршрутизаторы спо- способны предоставлять функции верхних уровней OSI. Глава 11. Коммутация третьего уровня 495
Значение маршрутизации В главе 14, "Модели территориальных сетей", преимущества маршрутизации рас- рассматриваются с точки зрения проектировщика сети. Тем не менее, не лишним будет коснуться вопроса важности маршрутизации и при обсуждении коммутации третьего уровня. По сути, коммутация третьего уровня является маршрутизацией. В то же вре- время настоящий раздел может служить лишь краткой памяткой, касающейся преиму- преимуществ маршрутизации в крупных сетях (территориальных или распределенных сетях). За более подробной информацией по данной теме следует обратиться к разделу "Преимущества маршрутизации" главы 14, "Модели территориальных сетей". Вероятно, наиболее важным преимуществом маршрутизации является ее проверен- проверенная временем способность поддерживать крупные сети. Хотя в качестве наиболее час- частого примера в настоящей книге служит сеть Internet, приведенное выше утверждение справедливо для сети любого типа, например, для магистрали территориальной инфра- инфраструктуры (campus backbone). Благодаря использованию более интеллектуальных, чем в мостах алгоритмов передачи, пакетов, а также способности маршрутизаторов предот- предотвращать распространение широковещательных рассылок, устройства такого типа обес- обеспечивают более эффективное использование полосы пропускания. Вместе с тем все пе- перечисленное выше способствует гибкому и оптимальному процессу выбора пути. На- Например, при использовании маршрутизации в большинстве сетей достаточно просто реализовать балансирование нагрузки по множеству путей (load balancing across multiple paths). С другой стороны, как было описано в главе 7, "Расширенные возможности про- протокола распределенного связующего дерева", балансирование нагрузки на втором уровне может вызвать сложности при проектировании, реализации и последующем сопровож- сопровождении сети. Предоставляемые маршрутизацией преимущества передачи данных особен- особенно важны в случае использования многоадресатпого трафика (multicast traffic). Посколь- Поскольку в территориальных сетях многоадресатный трафик становится все более частым явле- явлением, значение маршрутизаторов продолжает возрастать. Маршрутизаторы предоставляют дополнительные возможности, которые выходят за пределы области передачи данных. Использование иерархической адресации третьего уровня позволяет применять маршрутизаторы для структур с агрегацией се- сетей. Такой подход позволяет уменьшить количество служебной информации в прото- протоколах маршрутизации, увеличить производительность обработки таблиц, а также по- повысить стабильность сети. Указанные свойства маршрутизаторов облегчают поддержку практически неограниченных по размеру сетей. Большинство маршрутизаторов пре- предоставляют обширные возможности использования списков доступа (access lists), ко- которые могут использоваться для обеспечения важных функций управления политика- политиками (policy control). Наконец, маршрутизаторы, кроме вышеперечисленных особенно- особенностей обеспечивают также и другие немаловажные функции, такие, как работа протокола DHCP, кэширования информации протокола преобразования адресов (Address Resolution Protocol — ARP), а также функцию поиска ближайшего сервера (Get Nearest Server — GNS) для IPX-сетей. Совет Внедрять маршрутизацию (коммутацию третьего уровня) следует во все территори- территориальные сети, кроме самых малых. Более подробная информация по данной теме пре- предоставлена в главе 14, "Модели территориальных сетей", а также в главе 15, "Реализация конструкции территориальной сети". 496 Часть IV. Расширенные возможности
Линейный маршрутизатор Изначально структура виртуальных локальных сетей (VLAN) основывалась на маршрутизаторах, подсоединенных к поддерживающим сети VLAN (VLAN-capable) коммутаторам (см. рис. 11.1). Рис. 11.1. Структура сети с линейным маршрутизатором Суть подобного подхода состояла в подключении обычных маршрутизаторов к ком- коммутируемой сети посредством одного или более каналов. На рис. 11.1 показан один ка- канал, или линия (stick), соединяющая маршрутизатор с остальной частью территориаль- территориальной сети. Чтобы достичь маршрутизатора и получить возможность перемещаться между различными виртуальными локальными сетями (VLAN), межсетевой трафик сетей VLAN (inter-VLAN traffic) должен был пересечь магистраль второго уровня. Затем с ис- использованием обычных методов передачи данных второго уровня трафик направлялся к заданной конечной станции. Такой поток "из сети к маршрутизатору и обратно" явля- является отличительной чертой всех проектов с линейными маршрутизаторами. На рис. 11.1 изображен общий случай подключения маршрутизатора. Для специ- специфических видов подключения маршрутизатора к коммутируемой сети существуют две альтернативные модели: • раздельное подключение виртуальных локальных сетей (one-link-per-VLAN); • магистральное подключение маршрутизатора. Раздельное подключение виртуальных локальных сетей Одним из наиболее ранних методов соединения коммутируемой сети с маршрути- маршрутизатором является использование раздельного подключения (one-link-per-VLAN), т.е. применение отдельного канала для каждой сети VLAN (см. рис. 11.2). Глава 11. Коммутация третьего уровня 497
Рис. 11.2. Раздельное под/аючение сетей VLAN В описываемом случае в состав коммутируемой сети входят три виртуальные ло- локальные сети, условно обозначенные как "красная", "синяя" и "зеленая". Для соеди- соединения трех коммутаторов используются каналы ISL (межкоммутаторный канал — In- Inter-Switch Link), что позволяет в одном канале поддерживать три различные виртуаль- виртуальные сети. Однако, для подключения виртуальных сетей к маршрутизатору используются три отдельные канала. На рис. 11.2 показан случай использования пор- портов маршрутизатора со скоростью 10 Мбит/с. Кроме этого, для подключения могут использоваться порты Fast Ethernet, Gigabit Ethernet или другие передающие среды, такие, как каналы ATM или интерфейсы передачи данных но волоконно-оптическим каналам (Fiber Distributed Data Interface — FDDI). Применение раздельного подключения несет в себе несколько преимуществ, кото- которые перечислены ниже. • Данный подход позволяет использовать имеющееся оборудование в коммути- коммутируемой инфраструктуре и, следовательно, экономнее расходовать денежные средства. • Раздельное подключение сетей VLAN является простым для понимания и реа- реализации. Сетевым администраторам не придется изучать новые понятия или конфигурационные команды для внедрения данного подхода. • Использование множественных интерфейсов позволяет обеспечить высокую производительность. Более того, следует заметить, что ни один из интерфейсов маршрутизатора не ос- осведомлен об инфраструктуре виртуальной локальной сети (интерфейсы являются пор- портами доступа). Такая ситуация позволяет маршрутизатору использовать обычную об- обработку передаваемых между виртуальными сетями пакетов. Иными словами, нет не- необходимости в дополнительной обработке данных или избыточной служебной информации. 498 Часть IV. Расширенные возможности
Предоставляя целый ряд преимуществ, структура сети с использованием раздель- раздельного подключения, тем не менее, имеет несколько существенных недостатков. • Может потребоваться большее количество интерфейсов, чем имеется на прак- практике. Данный факт ограничивает применение описываемого подхода к сетям, включающим менее десяти виртуальных локальных сетей. Попытки использо- использовать рассматриваемую модель для сетей с пятнадцатью и более виртуальными сетями вообще неосуществимы из-за ограничения плотности портов и ограни- ограничений по стоимости проекта. • Несмотря на то, что благодаря использованию имеющегося оборудования мо- модель раздельного подключения позволяет сэкономить средства на начальном этапе реализации, со временем она становится очень дорогостоящей, поскольку количество сетей VLAN постоянно возрастает. Необходимо помнить, что для каждой виртуальной локальной сети требуется дополнительный порт как в маршрутизаторе, так и в коммутаторе. • Со временем сопровождение сети, основанной на данной модели, может стать трудноразрешимой задачей. Начальная конфигурация сети с раздельным под- подключением может быть достаточно простой, однако впоследствии она может стать громоздкой, т.к. с ростом числа сетей VLAN растет и количество соеди- соединительных кабелей. Кратко подход с раздельным подключением виртуальных локальных сетей можно охарактеризовать так: плохо масштабируемый. Следовательно, рассматривать описан- описанный метод дизайна стоит только для структур, включающих в себя небольшое число сетей VLAN. Совет Модель раздельного подключения сетей VLAN приемлема для сетей с ограниченным числом виртуальных локальных сетей. В примере 11.1 представлена возможная конфигурация маршрутизатора, изобра- изображенного на рис. 11.2. Пример 11.1. Конфигурация маршрутизатора для инфраструктуры с раз- раздельным подключением сетей VLAN . V;/C .-■..:'.. Т interface EthernetO ip address 10.1.1.1 255.255.255.0 ! interface Ethernetl ip address 10.1.2.1 255.255.255.0 ipx network 2 i interface Ethernet2 ip address 10.1.3.1 255.255.255.0 appletalk cable-range 300-310 304.101 appletalk zone ZonedOut ipx network 3 Глава 11. Коммутация третьего уровня 499
Маршрутизатор с конфигурацией, приведенной в примере 11.1, предоставляет службы маршрутизации для трех виртуальных локальных сетей: • сеть VLAN 1 подключена к интерфейсу EthernetO и использует только прото- протокол IP; • сеть VLAN 2 связана с интерфейсом Ethernet 1 и использует протоколы IP и IPX; • сеть VLAN 3 связана с интерфейсом Ethernet2 и поддерживает три протокола сетевого уровня: IP, IPX и AppleTalk. Следует заметить, что маршрутизатору ничего неизвестно о наличии трех вирту- виртуальных локальных сетей, он обслуживает их как три обычных сегмента. Магистральное подключение маршрутизаторов Поскольку такие технологии, как ISL, становятся все более широко используемы- используемыми, проектировщики сетей начинают применять магистральные каналы для подклю- подключения маршрутизаторов к магистралям территориальных сетей. Данный подход схема- схематически проиллюстрирован па рис. 11.3. Рис. 11.3. Сеть с магистральным подключением маршрутизатора Для описанных выше целей подходит любая из трапкингоговых технологий, на- например, ISL, 802.1Q, 802.10, LAN Emulation (LANE) или МРОА, однако наиболее часто применяются подходы, основанные на Ethernet-технологии (ISL, 802.1Q). В 500 Часть IV. Расширенные возможности
схеме, приведенной на рис. 11.3, используется протокол ISL на базе стандарта Fast Ethernet. Сплошные линии указывают на один физический канал между верхним коммутатором Catalyst и маршрутизатором. Пунктирные линии изображают множест- множество логических каналов, работающих через указанный физический канал. Основным преимуществом использования магистрального канала является сокра- сокращение числа портов маршрутизатора и коммутатора. Указанное преимущество позво- позволяет не только сэкономить денежные средства, но и в целом уменьшить сложность конфигурации. Таким образом, сеть с использованием магистрального подключения маршрутизатора может быть расширена до большего количества сетей VLAN, чем сеть, в которой применяется модель линейного дизайна. Существует целый ряд недостатков, присущих магистральному подключению мар- маршрутизатора, часть из которых перечислена ниже: • неадекватное распределение полосы пропускания для каждой сети VLAN; • дополнительная загрузка маршрутизатора; • ранние версии операционной системы IOS поддерживают только ограниченный набор функций интерфейса ISL. В отношении неадекватного распределения полосы пропускания для каждой сети VLAN можно привести пример использования канала Fast Ethernet. Виртуальным ло- локальным сетям приходится совместно использовать полосу пропускания такого канала шириной 100 Мбит/с. Одна сеть VLAN может беспрепятственно заполнить всю ем- емкость порта маршрутизатора или канала, в особенности при возникновении широко- широковещательной лавины (broadcast storm) или проблем в работе алгоритма распределен- распределенного связующего дерева (Spanning Tree). По поводу дополнительной загрузки служебной информацией маршрутизатора, вызванной использованием магистрального подключения, следует заметить, что мар- маршрутизатору приходится не только выполнять обычные маршрутизирующие функции. Появляется необходимость обрабатывать дополнительные заголовки инкапсуляции, которая используется транкинговыми протоколами. В качестве примера можно при- привести протокол ISL, работающий на маршрутизаторе 7500-ой модели. Программные маршрутизаторы Cisco используют несколько различных механизмов коммутации — термин, используемый корпорацией Cisco для общего обозначения процессов переда- передачи данных в маршрутизаторе. Внимание! Не следует путать термин коммутация, употребляемый в текущем разделе, с привыч- привычным для данной книги значением этого слова. В рассматриваемом случае подразуме- подразумевается, что в контексте программных маршрутизаторов термин коммутация использу- используется для обозначения процессов передачи фреймов непосредственно через аппарат- аппаратный блок (box) независимо от того, какое устройство вызвало такую передачу — маршрутизатор или мост. Каждый маршрутизатор Cisco поддерживает множество методов передачи инфор- информации. Несмотря на то, что полное их описание не соответствует тематике данной книги, достаточно просто в качестве аналогии провести параллель с зубчатыми коле- колесами автомобильной трансмиссии. Например, точно так же, как все автомобили име- имеют первую передачу, так и все маршрутизаторы Cisco (включая самые первые модели, такие, как 2500) поддерживают метод программной коммутации (Process Switching). Глава 11. Коммутация третьего уровня 501
Программная коммутация использует центральный процессор для осуществления принудительной маршрутизации всех пакетов и каждого в отдельности. Подобно пер- первой передаче автомобиля (полезной для всех случаев: подъем, ровная трасса, дождь, снег, сухая дорога и т.д.), такая коммутация позволяет маршрутизировать все пакеты и протоколы. В то же время, как и первая, самая медленная передача автомобиля, та- такой процесс коммутации является самым медленным для маршрутизатора способом передачи пакетов. Продолжая автомобильную аналогию, можно сказать, что все маршрутизаторы Cisco также имеют "вторую передачу", или применительно к рассматриваемому во- вопросу — быструю коммутацию (fast switching). Такая технология обеспечивает более быструю передачу данных за счет различных методов кэширования на программной основе. Однако, подобно второй передаче автомобиля, которая полезна не во всех си- ситуациях (затяжной подъем, начало движения и т.д.), быстрая коммутация не способна обрабатывать все типы трафика (например, многие типы трафика структуры SNA). Наконец, как и высококлассные автомобили, имеющие замечательную шестиско- ростную трансмиссию, маршрутизаторы Cisco верхнего уровня предоставляют множе- множество методов коммутации: автономную (autonomous), кремниевую (silicon switching), оптимальную (optimum) и распределенную (distributed). В данном случае можно про- провести аналогию с третьей, четвертой, пятой и шестой передачами (соответственно) трансмиссии автомобиля Феррари. Эти передачи дают высокую скорость, однако они пригодны только в идеальных условиях с большими ограничениями (например, сухая, ровная дорога и отсутствие полиции!). Вернемся к примеру с ISL-интерфейсом маршрутизатора 7500-ой модели. Мар- Маршрутизатор 7500-ой модели обычно работает в режимах оптимальной и распределен- распределенной коммутации. При этом достигается скорость передачи данных от 300 000 до более чем 1 000 000 пакетов в секунду. Внимание! В настоящей главе приведены несколько вымышленных примеров, которые позво- позволяют, в общем, выяснить, какую пропускную способность следует ожидать от того или иного вида коммутации третьего уровня. Величины пропускной способности часто сильно зависят от многих факторов, таких, как конфигурационные параметры, версия программного и аппаратного обеспечения. Не следует, однако, трактовать указанные величины как абсолютные параметры производительности (или, возвра- возвращаясь к аналогии с автомобилями, в каждом конкретном случае величина "пробега" может быть разной). Вместе с тем, при использовании протокола ISL интерфейс может работать только в режиме быстрой коммутации ("на второй передаче"). В связи с этим ISL- маршрутизация ограничена скоростями передачи данных примерно от 50 000 до 100 000 пакетов в секунду. Приведенная выше оценка относится к маршрутизатору 7500-ой модели. Для многих других платформ скорость значительно ниже. Некоторые из указанных ограничений связаны с потерями на обработку дополни- дополнительного 30-байтового заголовка инкапсуляции протокола ISL. Особенно заметны по- потери для старых интерфейсов, таких, как интерфейсный процессор Fast Ethernet (Fast Ethernet Interface Processor — FEIP), что связано с необходимостью программной обработки второго значения CRC (cyclic redundancy check — проверка с помощью циклического избыточного кода), находящегося в концевике (trailer) ISL-пакета. В 502 Часть IV. Расширенные возможности
случае использования современных интерфейсов, таких, как адаптер порта Fast Ethernet (Fast Ethernet port adapter — FE-PA) для модели 7200 и VIP- интерфейсов, или интерфейса FEIP2, задача проверки значения CRC для ISL-пакетов реализуется на аппаратном уровне. Ограничения, присущие скоростной коммутации, сохраняются даже для современных интерфейсов, таких, как FE-PA или FEIP2. Совет Не следует путать универсальный интерфейсный процессор модуля коммутации мар- маршрута (RSM Versatile Interface Processor— RSM VIP), т.е. плату, в которую монтируют- монтируются адаптеры портов, и плату VIP модели 7500. Модуль RSM VIP сам по себе является адаптером порта и присутствует в обеих платформах. Необходимо заметить, что в коммутирующих маршрутизаторах, таких, как Catalyst 8500, для обработки заголовков инкапсуляции пакетов протоколов ISL и 802.Q1 применяются высокоскоростные интегральные микросхемы. Интегральные микросхемы эффективно устраняют потери, возникающие в магистральных каналах. Однако коммутатор Catalyst 8500 редко применяется в конфигурациях с линейным маршрутизатором. Более подробная информация приведена ниже в настоящей главе, в разделе, посвященном коммутирующим маршрутизаторам модельного ряда Catalyst 8500. Совет Скорость выполнения ISL-операций программными маршрутизаторами, которые со- содержат интерфейсы Fast Ethernet, такие, как 7500, 7200, 4000 и 3600, ограничена па- параметрами скоростной коммутации. Маршрутизаторы, основанные на использовании высокоскоростных интегральных микросхем, такие, как Catalyst 8500, не имеют подоб- подобного ограничения по скорости и могут реализовать ISL-маршрутизацию на скорости среды передачи. Третьим недостатком модели с магистральным подключением маршрутизатора яв- является тот факт, что устаревшие версии операционной системы IOS поддерживают только ограниченный набор функций в ISL-интерфейсах. Несмотря на то, что боль- большинство ограничений были сняты в версии 11.3 и в некоторых поздних версиях 11.2, при использовании ранних версий необходимо тщательно планировать межсетевую маршрутизацию виртуальных локальных сетей. Наиболее значительные ограничения в версиях, предшествующих версии 11.3, представлены ниже. • Поддерживаются только протоколы IP и IPX. Все остальные протоколы (включая AppleTalk и DECNet) должны обрабатываться с помощью мостов. Применение мостов между виртуальными локальными сетями нельзя назвать удачным решением (данный аспект обсуждается ниже в параграфе "Интеграция маршрутизации и технологии объединения с помощью мостов"). • Для протокола IPX поддерживается только инкапсуляция novel_ether (в терми- терминах Novell она называется Ethernet_802.3). • Протокол HSRP не поддерживается, что может сильно затруднить, а в некото- некоторых случаях сделать невозможным обеспечение избыточности стандартного шлюза. • Не поддерживаются также вторичные IP-адреса. Глава 11. Коммутация третьего уровня 503
Совет ISL-интерфейсы в версиях операционной системы IOS, предшествующих 11.3 (и некото- некоторым более поздним выпускам 11.2), поддерживают только ограниченный набор протоко- протоколов и функций. В версии 11.3 и выше решены все четыре перечисленные проблемы. Как уже было сказано в главе 9, подынтерфейсы позволяют маршрутизаторам Cisco создавать множественные логические разделы на одном физическом интерфей- интерфейсе. Подобно подынтерфейсам, которые позволяют каждой эмулируемой локальной се- сети (ELAN) на одном АТМ-нтерфейсе входить в свою собственную логическую группу, подынтерфейсы на базе интерфейсов Fast Ethernet (или другого стандарта) позволяют организовывать логические разделы для каждой сети VLAN. Если в качестве физиче- физического интерфейса применяется порт Fast Ethernetl/O (называемый также главным ин- интерфейсом — major interface), то для подынтерфейсов могут использоваться такие обо- обозначения, как Fast Ethernetl/O.I, Fast Ethernet 1/0.2 и Fast Ethernet 1/0.3. В приме- примере 11.2 приведена конфигурация порта Fast Ethernet для осуществления ISL- маршрутизации трех виртуальных локальных сетей. Пример 11,2. Конфигурация линейного маршрутизатора для С'% T-v * iSL-маршрутизации '•'■'■:',."-. interface FastEthernetl/O no ip address ! interface FastEthernetl/O.1 encapsulation isl 1 ip address 10.1.1.1 255.255.255.0 i interface FastEthernetl/O.2 encapsulation isl 2 ip address 10.1.2.1 255.255.255.0 ipx network 2 ! interface FastEthernetl/O.3 encapsulation isl 3 ip address 10.1.3.1 255.255.255.0 appletalk cable-range 300-310 304.101 appletalk zone ZonedOut ipx network 3 Главный интерфейс не содержит конфигурационных директив (по умолчанию вы- выполняется команда no ip address). Для всех виртуальных локальных сетей создают- создаются отдельные подынтерфейсы. Каждый подынтерфейс необходимо настроить на опре- определенную сеть VLAN командой encapsulation isl vlan. Причем сделать это не- необходимо до того, как будут настроены параметры протоколов IP и AppleTalk. В противном случае, маршрутизатор выдаст сообщение об ошибке. Команды, специфи- специфические для каждой сети VLAN, также вводятся в режиме подынтерфейса. Например, первый подынтерфейс (Fast Ethernetl/O. 1) сконфигурирован для поддержки сети VLAN 1. Поскольку для указанного подынтерфейса определен только IP-адрес, мар- 504 Часть IV. Расширенные возможности
шрутизатор не будет предоставлять службы для других протоколов, которые могут присутствовать в сети VLAN 1. С другой стороны, подынтерфейс 1/0.3 используется для обработки трафика протоколов IP, IPX, AppleTalk. Необходимо отметить, что для поддержки протокола AppleTalk указанный маршру- маршрутизатор должен работать под управлением IOS версии выше 11.3. Также заметим, что функциональность в таком случае будет идентичной представленной в примере из па- параграфа "Раздельное подключение виртуальных локальных сетей". Совет Несмотря на то, что маршрутизатор допускает назначение различных номеров подын- терфейсам и виртуальным локальным сетям, сточки зрения простоты сопровождения предпочтительнее использовать одинаковые номера. Например, VLAN 2 следует кон- конфигурировать на подынтерфейсе Х.2, где под X понимается обозначение главного ин- интерфейса. Когда целесообразно применять схему с линейным маршрутизатором Вообще подход к маршрутизации виртуальных локальных сетей с использованием линейного маршрутизатора представляется наиболее соответствующим в случае, когда другие модели неприменимы. Однако это не означает, что выбор модели сети с ли- линейным маршрутизатором является плохим решением. Приведенный выше тезис лишь отражает тот факт, что другие структуры потенциально способны предоставлять большую пропускную способность и функциональность. Кроме того, поскольку ли- линейный маршрутизатор функционирует таким образом, как если бы он был располо- расположен на границе сети (по крайней мере, если рассматривать второй уровень), он менее тесно интегрирует с остальной частью территориальной сети. Более современные под- подходы, такие, как технология MLS и применение устройств серии 8500, направлены на внедрение маршрутизатора в ядро сети. Подобный подход позволяет оказывать боль- большое влияние на общую масштабируемость и стабильность сети. Однако, перед изуче- изучением технологии MLS и устройств класса 8500 необходимо рассмотреть первую по- попытку корпорации Cisco предоставить более интегрированный подход к межсетевой маршрутизации виртуальных локальных сетей — использование модуля коммутации маршрута коммутатора Catalyst 5000 (Catalyst Route Switch Module — RSM). Модуль коммутации маршрутов Для модели линейного маршрутизатора характерно присутствие потока данных внутри виртуальной сети отправителя в направлении маршрутизатора, который на- направляет трафик в сеть получателя. Такая схема работы создает исходящий и обрат- обратный поток к маршрутизатору. В модуле коммутатора маршрута RSM коммутатора Catalyst 5000 используется технически очень похожий подход, но с одним существен- существенным отличием: стыком в данном случае становится объединительная плата (backplane) устройства Catalyst 5000. Таким образом, высокоскоростной коммутационный путь пролегает внутри шасси коммутатора Catalyst. Вышеупомянутое отличие предоставля- предоставляет два основных преимущества: Глава 11. Коммутация третьего уровня 505
• высокая скорость; • возможность интеграции. Поскольку модуль RSM непосредственно подключен к объединительной плате коммутатора Catalyst 5000, он позволяет маршрутизатору более тесно интегрироваться в коммутирующий механизм Catalyst. Такое размещение модуля не только может об- облегчить решение конфигурационных задач, но и предоставляет интеллектуальную связь между вторым и третьим уровнями сети (несколько примеров представлены ни- ниже в настоящей главе). Кроме того, поскольку в данном случае предоставляется более скоростной канал, чем при одном интерфейсе Fast Ethernet ISL, общая производи- производительность может быть большей. В обшем случае модуль RSM обеспечивает для прото- протокола IP скорость 125 000-175 000 пакетов в секунду и примерно 100 000 пакетов в се- секунду для других протоколов. Совет При наличии необходимости в дополнительной пропускной способности в одно шасси Catalyst может быть установлено несколько модулей RSM. Конфигурация модуля RSM Одним из наиболее заслуживающих внимания преимуществ модуля RSM является его сходство с другими хорошо известными коммутирующими устройствами. С точки зрения аппаратного обеспечения он почти идентичен модулю RSP2 (вторая версия процессора маршрута/коммутации — Route Switch Processor), входящему в состав маршрутизатора Cisco 7500. Модуль RSM основан на том же процессоре и содержит такие же консольный (console) и дополнительный (auxiliary) порты для внеполосной настройки. Кроме того, модуль имеет встроенную флэш-память (flash), динамическую оперативную память (dynamic random-access memory — DRAM), а также — энергоне- энергонезависимую память (nonvolatile random-access memory — NVRAM). И поскольку модуль RSM работает под управлением операционной системы IOS, он конфигурируется поч- почти аналогично любому маршрутизатору Cisco. Совет Несмотря на то, что с точки зрения конфигурации операционная система Cisco IOS идентична для всех устройств, не следует использовать образ, применяемый в мар- маршрутизаторе 7500-ой модели, для модуля RSM. В модуле RSM используется свой собственный набор образов. В соответствии с соглашением Cisco о наименовании версий операционной системы, которое используется в настоящее время, названия образов для модуля RSM начинаются с префикса c5rsm. Наиболее распространенной модификацией является набор двух соединений DMA- типа (прямой доступ к памяти — direct memory access) на объединительную плату уст- устройства Catalyst 5000 (скорость передачи информации по соединению на объединитель- объединительной плате остается равной 1,2 Гбит/с, даже если используется устройство, потенциально поддерживающее 3,6 Гбит/с, например, Catalyst 5500). Состояние этих двух соединений отражается светодиодными индикаторами (LED) Channel 0 и Channel 1 на передней па- панели. Каждый канал обеспечивает пропускную способность, равную 200 Мбит/с. Общая пропускная способность соответственно равна 400 Мбит/с. 506 Часть IV. Расширенные возможности
Т.к. модуль RSM работает под управлением полной версии операционной системы IOS и содержит собственный образ и память, для него характерны те же аспекты конфигурации, что и для LANE-модуля, описанного в главе 9 "Магистральное соеди- соединение с эмуляцией локальной сети". Для того, чтобы настроить модуль RSM, необхо- необходимо ввести команду session slot. Например, для конфигурирования модуля, уста- установленного в разъем 3, следует ввести команду session 3, что немедленно переведет режим настройки устройства от команд набора set и show, характерных для уст- устройств Catalyst, к командам группы conf ig t маршрутизатора. После чего будет дос- доступен полный набор справочной информации системы IOS и редактирующих функ- функций командной строки. Для правильной настройки модуля RSM необходимо сохра- сохранить конфигурационные изменения в энергонезависимой памяти (NVRAM). Для этой цели служит команда copy run start. Совет Сохранять конфигурацию модуля RSM с помощью команд copy run start или write mem необходимо в обязательном порядке. В отличие от модуля Catalyst Super- Supervisor модуль RSM не сохраняет автоматически конфигурационные изменения. Команда session является наиболее распространенным способом настройки мо- модуля RSM. Тем не менее, в некоторых случаях может оказаться полезным использова- использование дополнительного и консольного портов. Многие организации используют допол- дополнительный порт для подключения модема к коммутатору Catalyst. Такой прием осо- особенно полезен при использовании устройств типа Supervisor, у которых нет Аих-порта (или он не подключен, как у Catalyst 5000 Supervisor III). Совет Команда session создает сеанс Telnet-соединения через объединительную плату уст- устройства Catalyst. Адрес получателя представляется в виде 127.0.0.номер_разъема + 1. Например, разъем 3 занимает адрес 127.0.0.4. Некоторые версии (к сожалению, не все) кода RSM позволяют вводить команду telnet 127.0.0.2 для Telnet-соединения мо- модуля RSM с модулем Supervisor в разъеме 1 (или telnet 127.0.0.3 для разъема 2). Такая возможность может быть очень полезной в случае доступа к блоку с модема, под- подключенного к дополнительному порту модуля RSM. Если код в устройстве RSM не до- допускает использование 127.0.0.Х-адресации, следует применять обычные IP-адреса, на- назначенные обоим интерфейсам: SCO и RSM. Очевидно, что для уставановления сессии потребуется соответствующая конфигурация блока Supervisor перед дистанционным подключением к модулю RSM. Дополнительный порт пригоден для соединения модема с коммутатором Catalyst. В свою очередь, консольный порт модуля RSM используется для операций восстанов- восстановления парольной защиты (password recovery). Совет Восстановление парольной защиты в модуле RSM идентично обычной процедуре та- такого типа в маршрутизаторе Cisco. Более подробно данная тема освещена в докумен- документации "System Management к коммутатору. Глава 11. Коммутация третьего уровня 507
Интерфейсы модуля RSM В модуле RSM, как и в любом маршрутизаторе Cisco, используются интерфейсы. Вместо использования обычных интерфейсов EthernetO или Fast Ethernetl/O модуль работает с виртуальными интерфейсами, соответствующими виртуальным локальным сетям VLAN. Например, для создания интерфейсов для сетей VLAN 1 и VLAN 2 ис- используются команды interface vlan 1 и interface vlan 2 соответственно. Вир- Виртуальные интерфейсы автоматически связываются со всеми портами, сконфигуриро- сконфигурированными в модуле Catalyst Supervisor для указанных сетей VLAN. В результате созда- создается очень гибкая и интуитивно понятная платформа маршрутизации. Чтобы назначить определенные сети VLAN, достаточно просто ввести команду set vlan vlan_number port_list для блока Supervisor. После чего модуль RSM автоматиче- автоматически отразит внесенные изменения. Совет В модулях RSM не используются подынтерфейсы для конфигурации виртуальных ло- локальных сетей. Вместо этого применяются виртуальные VLAN-интерфейсы, которые функционируют как главные. В настоящее время подынтерфейсы фактически не под- поддерживаются VLAN-интерфейсами. За исключением используемых в ранних версиях программного обеспечения моду- модуля RSM, виртуальные RSM-интерфейсы становятся активными сразу после определе- определения блоком Supervisor активных портов, назначенных сети VLAN. Например, если сеть VLAN 3 не имеет активных в настоящий момент портов, то команда show in- interface vlan 3 для модуля RSM покажет отсутствие активности соответствующего интерфейса. Если же в сети VLAN 3 произойдет загрузка какого-либо устройства, то RSM-интерфейс, соответствующий данной виртуальной сети, будет приведен в актив- активное состояние. Указанная дополнительная функция кроме того отражает тесную ин- интеграцию между устройством Supervisor и модулем RSM. Также она позволяет избе- избежать так называемых ситуаций "черной дыры" (black hole) при маршрутизации. Совет Активизировать RSM-интерфейс невозможно до тех пор, пока в соответствующей сети VLAN не появится хотя бы один активный порт. Упомянутой процедурой предотвращения "черных дыр" можно управлять через блок Supervisor посредством ввода команды set rsmautostate [ enable | dis- disable ]. В современных операционных системах для коммутаторов Catalyst данная функция включена по умолчанию. Пример 11.3. Конфигурация модуля RSM "■■;. г;[ '^ V ".д '■' .-.у- „л";. interface Vlanl ip address 10.1.1.1 255.255.255.0 I interface Vlan2 ip address 10.1.2.1 255.255.255.0 ipx network 2 508 Часть IV. Расширенные возможности
interface Vlan3 ip address 10.1.3.1 255.255.255.0 appletalk cable-range 300-310 304.101 apppletalk zone ZonedOut ipx neetwork 3 Как и в примерах, приведенных ранее, сеть VLAN1 используется только для пере- передачи IP-трафика. В сети VLAN2 добавлена поддержка IPX-маршрутизации, а сеть VLAN3 поддерживает службы, основанные на протоколах IP, IPX и AppleTalk. Совет Впервые созданные RSM-интерфейсы находятся в отключенном состоянии. Их необ- необходимо включить с помощью команды no shutdown. Поиск неисправностей с помощью модуля RSM Эффективность применения модуля RSM простирается дальше его использования в качестве тесно интегрированного с коммутатором маршрутизатора. Устройства дан- данного типа можно рассматривать как очень мощный инструмент поиска и устранения неисправностей. Т.к. модуль использует полную версию операционной системы IOS, он предоставляет все команды групп debug и show, которые обычно присутствуют в системе любого маршрутизатора Cisco. Когда проблему не удается обнаружить при помощи ограниченных возможностей блока Supervisor, полезными будут расширенные команды ping и trace. В примере 11.4 приведены некоторые параметры расширен- расширенной команды ping. Пример 11.4. Использование расширенной команды ping в модуле RSM RSMf ping Protocol [ip]: Target IP address: 10.1.1.55 Repeat count [5]: 100000 Datagram size [100]: 1024 Timeout in seconds [2]: Extended commands [n]:у Source address or interface: Type of service [0 ]: Set DF bit in IP header? [no]: у Validate reply data? [no]: у Data pattern [OxABCD]: 0000 Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 100000, 1024-byte ICMP Echos to 10.1.1.55, timeout is 2 seconds: Packet has data pattern 0x0000 iiiii[ i 11 i i i i m i i i !i и i мi[ii1111 i 11 i i i i j i i 11 11 111 и|11;11!!!!! Глава 11. Коммутация третьего уровня 509
В примере 11.4 показано использование таких параметров, как подсчет повторов (repeat count), размер дейтаграммы (datagram size) и шаблон данных (data pattern). Со- Соответственно, указанные параметры могут применяться с целью создания длительного потока "скорострельных" рассылок пакетов ping, которые применяются для испыта- испытания последовательных каналов на наличие проблем, связанных с параметром MTU (максимально возможной единицей передачи данных — Maximum Transmission Unit), и проблемы плотности единиц (ones-density). В то же время, наиболее мошным средством устранения неисправностей для моду- модуля RSM является отладка. Например, команды debug ip icmp и debug ip packet [access-list-number] могут быть чрезвычайно полезными при попытке выяснить причины, вызвавшие необъяснимый на первый взгляд сбой некоторых ping-операций. Несмотря на перечисленные выше достоинства отладки, нельзя забывать о некото- некоторых обычных предостережениях, касающихся команды debug. Прежде всего, следует соблюдать осторожность, особенно при использовании таких команд, как debug ip packet, в производственных сетях. Рекомендуется практически всегда использовать параметр access-list-number для целенаправленного ограничения количества ин- информации на выходе. Кроме того, нет необходимости использовать директиву termi- terminal monitor, поскольку модуль RSM автоматически посылает информацию, выво- выводимую по команде debug через соединение, созданное при помощи команды session. Совет Ввод команд во время генерирования маршрутизатором отчета команды debug или информационного вывода затруднен. Для того, чтобы облегчить данную процедуру, рекомендуется использовать командную строку logging synchronous. Для модуля RSM наиболее целесообразно вводить ее после команды line vty о 4. Команда logging synchronous может быть полезной на всех маршрутизаторах Cisco, рабо- работающих под управлением операционной системы IOS версии выше 10.2. В таком слу- случае ее следует также применять к дополнительному и консольному портам: line con О и line aux 0. Применение модуля RSM Сочетание модуля RSM и коммутатора Catalyst 5000 может стать очень эффектив- эффективной комбинацией для сетей средней величины с умеренными требованиями к полосе пропускания третьего уровня. Такое решение представляется более скоростным по сравнению с большинством конструкций, основанных на модели линейного маршру- маршрутизатора. Однако скорость, предоставляемая применением приведенной выше комби- комбинации устройств, недостаточна для многих более крупных территориальных магистра- магистралей. Несмотря на это, интеграция модулей RSM в архитектуру устройства Catalyst 5000 делает данное решение достаточно привлекательным для использования в сети. Сильными сторонами рассматриваемой структуры являются такие особеннос- особенности, как простота конфигурации, интуитивно понятный интерфейс, широкий диапазон поддерживаемых возможностей, а также средств поиска и устранения неисправностей. Технология RSM также может быть чрезвычайно полезной для организаций, вне- внедряющих коммутируемую инфраструктуру в отдаленные подразделения. Необходимые 510 Часть IV. Расширенные возможности
требования к инфраструктуре могут быть удовлетворены при помощи универсального интерфейсного процессора (Versatile Interface Processor — VIP), т.е., дополнительной платы для модуля RSM. Процессор VIP представляет собой отдельную плату, которая закрепляется непосредственно в верхней части модуля RSM и становится картой с двумя разъемами в составе коммутатора Catalyst. Модуль RSM и плата VIP не обме- обмениваются информацией через объединительную плату коммутатора. Вместо этого применяется пара ленточных кабелей для создания миниатюрных шин CyBus, анало- аналогичных тем, которые используются в маршрутизаторах серии 7500. После установки плата VIP допускает применение множества различных адаптеров портов для серии 7200, что в свою очередь позволяет подключать каналы распределенной сети и АТМ- каналы непосредственно к шасси коммутатора Catalyst. Следовательно, модуль RSM может не только обеспечивать межсетевую VLAN-маршрутизацию, но и решать зада- задачи WAN-маршрутизации. Совет При использовании адаптера HSSI-порта (который обычно используется для ТЗ- соединений) с платой VIP модуля RSM необходимо соблюдать осторожность, т.к. в некоторых моделях данный адаптер может вызвать перегрузку блока питания. Следу- Следует проверить соответствующую документацию и определить список моделей, подвер- подверженных этой опасности. Как было сказано выше, модуль RSM является программным маршрутизирую- маршрутизирующим устройством, которое само по себе не способно обеспечивать достаточную производительность третьего уровня в крупной территориальной магистрали. Тем не менее, у него есть еше одно заслуживающее внимания преимущество. Существует возможность простой модернизации модуля и обеспечения на его основе аппарат- аппаратной передачи пакетов посредством MLS-технологии, которая является темой сле- следующего раздела. Технология MLS Многоуровневая коммутация (Multilayer Switching — MLS) является фирменной технологией применения маршрутизирующих коммутаторов копрорации Cisco, осно- основанной на стандарте Ethernet. В настоящее время технология MLS поддерживается двумя платформами: Catalyst 5000 и Catalyst 6000. Для обеспечения аппаратной под- поддержки маршрутизации в устройствах Catalyst 5000 используются функциональные платы NetFlow (NetFlow Feature Card — NFFC) версии I или II. Коммутатор Catalyst 6000 осуществляет те же операции, но за счет функциональной платы много- многоуровневого коммутатора (Multilayer Switch Feature Card — MSFC), связанной с функ- функциональной платой контроля политик (Policy Feature Card — PFC). Чтобы сохранить хронологическую последовательность изложения материала главы, в настоящем разде- разделе основное внимание уделено реализации технологии MLS на базе устройств Catalyst 5000. Средства коммутации третьего уровня, предоставляемые коммутатором Catalyst 6000, описываются в разделе "Коммутация третьего уровня на базе коммута- коммутатора Catalyst 6000", а также подробно описаны в главе 18, "Коммутация третьего уровня и коммутаторы Catalyst 6000/6500". Отметим также, что несмотря на реализа- реализацию в технологии MLS поддержки как IP, так и IPX-трафика, в настоящем разделе в основном рассматривается только 1Р-трафик. Глава 11. Коммутация третьего уровня 511
Внимание! Многоуровневая коммутация IPX-трафика поддерживается устройством Catalyst 6000 при помощи функциональной платы многоуровневого коммутатора MSFC, которая описывается ниже в настоящей главе. Коммутатор Catalyst 5000 реализует данную функцию посредством плат NFFC второй версии и программного обеспечения IOS версии 5.1 и выше. В самом общем смысле плата NFFC представляет собой устройство, осуществ- осуществляющее проверку соответствия пакетов шаблону. Такая функция позволяет коммута- коммутатору Catalyst опознавать широкий диапазон различных пакетов. Коммутация третьего уровня, или точнее, ее форма с применением маршрутизирующего коммутатора, мо- может быть осуществлена посредством сопоставления различных комбинаций адресов и номеров портов. В то же время доступен и ряд других функций. При сравнении типов протоколов на третьем уровне может быть реализована функция, обычно называемая фильтрацией протоколов (protocol filtering). Сравнивая пакеты межсетевого протокола управления группами (Internet Group Management Protocol — IGMP), коммутатор Catalyst может реализовать функцию прослушивания IGMP-портов (IGMP Snooping) для динамического создания эффективной многоадресатной таблицы перенаправле- перенаправления пакетов. Классификация и дифференциация трафика может быть организована посредством сопоставления информации второго и третьего уровней по качеству об- обслуживания QoS или классам обслуживания CoS. В текущем разделе рассматриваются только основные аспекты коммутации третьего уровня на базе плат NFFC. Другие возможности технологии описаны в кон- конце, а также в других главах (см. главу 13, "Многоадресатные и широковещательные службы"). Необходимо помнить об одной важной особенности технологии MLS. Как и дру- другие коммутирующие механизмы поиска кратчайшего пути, технология MLS представ- представляет собой кэширующую методику. Плата NFFC не использует ни один из протоколов маршрутизации, таких, как OSPF, EIGRP или BGP. Также является важным и тот факт, что технология MLS, прежде известная как LAN-коммутация NetFlow, является механизмом, полностью отличным от коммута- коммутации NetFlow на базе программных маршрутизаторов Cisco. В современной реализации технология NetFlow на маршрутизаторах используется как эффективный инструмент накопления данных путем применения технологии экспорта данных NetFlow (NetFlow Data Export). Кроме того, она также может быть использована для сокращения слу- служебной информации, связанной с такими моментами, как применение комплексных списков доступа. Несмотря на то, что технология MLS также поддерживает экспорт данных механизма NetFlow (NDE), основная ее задача заключается в коммутации третьего уровня. Поскольку плата NFFC не использует ни один из протоколов маршрутизации, ее работа основана на средствах контроля соответствия шаблону (pattern-matching) при обнаружении пакетов, отправленных на маршрутизатор (т.е. к устройству, которое ис- используют такие протоколы, как OSPF), а затем обратно к тому же коммутатору Cata- Catalyst. Указанный принцип позволяет плате направлять все последующие пакеты по кратчайшему пути, минуя маршрутизатор. В действительности, плата NFFC обнару- обнаруживает, что отправленные ею маршрутизатору пакеты возвращаются обратно. Затем плата как бы говорит сама себе: "Это напрасная трата времени!", — и начинает от- отправлять все оставшиеся пакеты по кратчайшему маршруту (или потоку). 512 Часть IV. Расширенные возможности
Внимание! Механизм NetFiow определяет поток как односторонний. Таким образом, когда два уз- узла обмениваются информацией через двусторонний протокол, такой, как Telnet, соз- создаются два потока. Несмотря на то, что технология MLS в своей основе является очень простой, существует множество характерных для нее деталей. В следующем разделе представ- представлено более подробное описание внутреннего механизма MLS-технологии. В после- последующих разделах так же описан процесс настройки и использования технологии MLS. Подробное изложение теоретических основ MLS-технологии В технологии MLS используются следующие три компонента: • процессор маршрута MLS (MLS Route Processor — MLS-PR); • коммутирующий механизм MLS (MLS Switching Engine — MLS-SE); • протокол многоуровневой коммутации (Multilayer Switching Protocol — MLSP). Процессор маршрута MLS-PR работает в сети как маршрутизатор (их может быть несколько). Указанное устройство обрабатывает первый пакет каждого потока, позволяя коммутирующему механизму MLS-SE создавать записи о кратчайшем пути в САМ-таблице третьего уровня. Протокол MLSP является облегченным и исполь- используется процессором маршрута MLS-PR для инициализации механизма коммутации и сообщения ему об изменениях топологии третьего уровня или требованиях безо- безопасности. Для простоты изложения в настоящей главе процессор MLS-PR называ- называется маршрутизатором, а коммутирующий механизм MLS-SE называется платой NFFC. В технологии MLS используется четырехступенчатый процесс, этапы которого приведены ниже. Этап 1. Маршрутизатор посылает пакеты приветствия (hello-пакеты) протокола MLSP. Этап 2. Плата NFFC идентифицирует пакеты-кандидаты (candidate packet). Этап 3. Плата NFFC идентифицирует возможные пакеты (enable packet). Этап 4. Плата NFFC направляет последующие пакеты по кратчайшему пути. В следующем разделе описывается каждый из указанных этапов на примере сети, представленной на рис. 11.4. Приведенная на рисунке сеть состоит из двух виртуальных локальных сетей VLAN 1 и VLAN 2 (условно обозначенных как "красная" и "синяя" соответственно). Пока- Показаны только две оконечные станции. Узел А входит в состав красной сети VLAN, a узел В, соответственно, в состав "синей". Также в схеме присутствует ISL- подключенный маршрутизатор. Его единственный Fast Ethernet-интерфейс (Fast Ethernetl/O) логически разделен на два подынтерфейса — по одному для каждой виртуальной локальной сети. На рисунке показаны IP- и МАС-адреса для всех уст- устройств и подынтерфейсов. Глава 11. Коммутация третьего уровня 513
intfaste 1/0.1 IP-адрес: 10.1.1.1 МАС-адрес: 00-00-OC-11-11-11 VLAN: 1 ("красная") intfaste 1/0.2 IP-адрес: 10.1.2.1 МАС-адрес: 00-00-0C-22-22-22 VLAN: 2 ("синяя") "красная" сеть VLAN: 1 ("красная") IP-адрес: 10.1.1.10 МАС-адрес: 00-АА-00-11-11-11 "синяя"сеть VLAN: 2 ("синяя") IP-адрес: 10.1.2.20 МАС-адрес: 00-АА-00-22-22-22 Рис. 11.4. Пример MLS-cemu На рис. 11.4 маршрутизатор изображен как внешнее, ISL-подключенное устройст- устройство, т.е. реализована схема с использованием линейного маршрутизатора. Существуют, однако, и другие возможности, например, структура с модулем RSM и схема, в кото- которой каждая сеть VLAN подсоединена к отдельному интерфейсу маршрутизатора. Этап 1: маршрутизатор посылает hello-пакеты протокола MLSP В процессе своей первой загрузки маршрутизатор каждые 15 секунд посылает hello- пакеты протокола MLSP. Данные пакеты содержат информацию о виртуальных локаль- локальных сетях и МАС-адресах, используемых маршрутизатором. Прослушивая такие пакеты, плата NFFC может получить атрибуты любого MLS-совместимого маршрутизатора на втором уровне сети. Плата NFFC сопоставляет единственное значение XTAG с каждым MLS-маршрутизатором, который она идентифицировала. Поскольку рассылки hello-па- hello-пакетов протокола MLSP периодичны, они позволяют маршрутизаторам и коммутаторам Catalyst загружаться в любое время и служат для платы NFFC механизмом проверки актив- активности маршрутизатора (если маршрутизатор выключился, его кэш-записи очищаются). Совет Для каждого MLS-совместимого маршрутизатора существует один параметр XTAG. Он служит в качестве единственного указателя на многочисленные МАС-адреса маршру- маршрутизатора (каждый интерфейс и виртуальная локальная сеть могут использовать раз- различные МАС-адреса). Все метки XTAG имеют локальное предназначение (различные платы NFFC могут использовать для ссылки на один и тот же маршрутизатор различ- различные значения XTAG). 514 Часть IV. Расширенные возможности
На рис. 11.5 показана рассылка hello-пакетов MLS. XTAG 1 1 САМ MAC 00-00-0С-11-11 00-00-0С-22-22 -11 -22 VLAN 1 2 Узел Б Рис. 11.5. Процесс рассылки hello-пакетов в технологии MLS Как показано на рис. 11.5, отправителем MLSP-пакетов является подынтерфейс Fast Ethemetl/0.1 маршрутизатора (данную установку можно изменить; команды для на- настройки маршрутизатора приведены ниже). Затем указанные пакеты используются для заполнения САМ-таблицы второго уровня специальными записями, которые впоследст- впоследствии помогают идентифицировать пакеты, следующие от или к интерфейсу маршрутиза- маршрутизатора (при использовании команды show cam для коммутатора Catalyst после соответст- соответствующих записей будет присутствовать символ R). САМ-таблица представляет собой раз- разновидность таблицы моста, которая используется в современных коммутаторах. Как было сказано выше, каждому маршрутизатору назначается уникальное значение XTAG. Если бы в схеме на рис. 11.5 присутствовал еще один маршрутизатор, то он получил бы значение XTAG, отличное от аналогичного параметра первого маршрутизатора. При этом нужно иметь в виду, что все МАС-адреса и виртуальные локальные сети одного маршрутизатора связаны с единственным значением XTAG. Пакеты hello протокола MLSP следуют через второй уровень сети, хотя данная си- ситуация не отображена на рис. 11.5. Такие пакеты отправляются с использованием ме- методики многоадресатной рассылки (на адреса вида 01-00-0C-DD-DD-DD; такие же адреса используются протоколом CGMP). Вследствие этого коммутаторы, не настро- настроенные на использование технологии MLS, применяют лавинную передачу hello- пакетов всем сегментам в сети VLAN 1. Таким образом, все MLS-коммутаторы узнают обо всех поддерживающих технологию MLS маршрутизаторах. Этап 2: плата NFFC идентифицирует пакеты-кандидаты По окончании первого этапа плата NFFC получает возможность определить адреса маршрутизаторов, поддерживающих технологию MLS. Плата NFFC, используя свои средства контроля соответствия шаблону, начинает процедуру поиска пакетов, по- Глава 11. Коммутация третьего уровня 515
сланных на определенные адреса. Если пакет направляется маршрутизатору и не име- имеет существующей записи о кратчайшем пути (shortcut entry), то он классифицируется как пакет-кандидат (candidate packet). Такой пакет обрабатывается обычным для ком- коммутатора Catalyst процессом передачи второго уровня и направляется на порт, под- подключенный к маршрутизатору. Если же запись кратчайшего пути для такого пакета существует, то он, минуя настоящий этап, направляется к точке назначения непо- непосредственно по кратчайшему пути. Внимание! Пакеты-кандидаты должны соответствовать следующим критериям: • в качестве адреса получателя используется адрес, эквивалентный одному из МАС-адресов маршрутизатора, полученному с помощью протокола MLSP, • пакет не имеет существующей записи кратчайшего пути. Рассмотрим пример, приведенный на рис. 11.6 и предположим, что узел А соединя- соединяется с узлом Б по протоколу Telnet. Определив, что узел Б принадлежит другой подсети, узел А посылает пакеты своему шлюзу, т.е. подынтерфейсу 1/0.1 маршрутизатора. Пакет-кандидат "красная" сеть Рис 11.6. Пакет-кандидат На рис. 11.7 приведены соответствующие поля пакета-кандидата, проходящего че- через ISL-канал к маршрутизатору. ISL-заголовок Ethernet-заголовок А. 1Р-заголовок А Остальная часть пакета VLAN = 1 МАС-адрес получателя = 00-00-ОС 11-11-11 МАС-адрес отправителя= ОО-АА-00 11-11-11 IP-адрес отправителя = 10.1.1.10 IP-адрес получателя 10.1.2.20 Рис. 11.7. Поля пакета-кандидата 516 Часть IV. Расширенные возможности
ISL-заголовок содержит идентификатор ID сети VLAN, равный 1. Ethernet- заголовок содержит МАС-адрес отправителя, эквивалентный МАС-адресу узла А, и МАС-адрес получателя, равный 00-00-0С-11-11-11, т.е. МАС-адресу подынтерфейса 1/0.1 маршрутизатора. IP-адреса отправителя и получателя принадлежат узлам А и В соответственно. Коммутатор использует МАС-адрес получателя для осуществления следующих действий: • коммутатор направляет пакет через порт 1/1 к маршрутизатору, используя при этом коммутацию второго уровня; • коммутатор опознает МАС-адрес получателя как один из адресов маршрутиза- маршрутизатора, полученных в ходе первого этапа. Распознанный пакет инициирует поиск существующей записи кратчайшего пути третьего уровня, основанный на IP- адресе получателя (при этом возможны также и другие варианты, которые опи- описываются ниже). В случае, когда кратчайшего пути не существует (т.е. поток является новым), пакет помечается как кандидат-пакет, и создается частичная запись кратчайшего пути. Этап 3: плата NFFC идентифицирует возможные пакеты Маршрутизатор получает и обрабатывает пакеты как обычно. Адрес получателя опознается как адрес устройства, непосредственно подключенного к подынтерфейсу Fast Ethernetl/0.2. Затем маршрутизатор посылает пакеты обратно через ISL-канал с заголовком инкапсуляции сети VLAN 2, как показано на рис. 11.8. Рис. 11.8. Возможный пакет На рис. 11.9 приведены поля пакета, который проходит по ISL-каналу между мар- маршрутизатором и коммутатором. Глава 11. Коммутация третьего уровня 517
ISL-заголовок Ethernet-заголовок * IP-заголовок VLAN = 2 МАС-адрес получателя = ОО-АА-00 22-22-22 МАС-адрес отправителя = 00-00-ОС 22-22-22 IP-адрес отправителя = 10.1.1Л0 Рис. 11.9. Поля возможного пакета На рисунке видно, что маршрутизатор переписал заголовок второго уровня. При этом был изменен не только номер сети VLAN в ISL-заголовке, но и оба МАС- адреса. В результате чего МАС-адрес отправителя равен 00-00-0С-22-22-22, т.е. МАС- адресу подынтерфейса Fast Ethernetl/0.2 маршрутизатора, а адрес получателя — адресу узла Б. Несмотря на то, что IP-адреса не были изменены, маршрутизатор модифици- модифицирует IP-заголовки, уменьшая параметр времени жизни (Time To Live — TTL) и обнов- обновляя значение контрольной суммы IP-пакета. Пакеты на пути от маршрутизатора к узлу Б вынуждены проходить через коммута- коммутатор Catalyst, который выполняет пять функций, которые перечислены ниже. 1. МАС-адрес получателя используется коммутатором второго уровня для перена- перенаправления пакета через порт 3/1. 2. Плата NFFC определяет МАС-адрес отправителя как одну из записей, создан- созданных на этапе 1 в ходе процесса приветствия. 3. Плата NFFC использует IP-адрес получателя для поиска сушествуюшей частич- частичной записи кратчайшего пути, созданной на этапе 2. 4. Плата NFFC сравнивает значения XTAG, связанные с МАС-адресом отправите- отправителя пакета и частичной записью кратчайшего пути. Поскольку они соответствуют друг другу, плата NFFC идентифицирует такой пакет как возможный, идущий от того же самого маршрутизатора, по адресу которого был направлен пакет- кандидат. 5. Плата NFFC дополняет запись кратчайшего пути. Полная запись содержит всю информацию, необходимую для модификации заголовков последующих пакетов. Иными словами, формирует поля, приведенные на рис. 11.9. Этап 4: плата NFFC направляет последующие пакеты по кратчайшему пути Для пакетов, отправленных узлом А, плата NFFC использует IP-адреса получа- получателя, определяя соответствующую полную запись кратчайшего пути, созданную в ходе предыдущего этапа. После определения необходимой записи в действие приво- приводится механизм модификации для изменения необходимой информации в заголов- заголовках, а затем пакет направляется непосредственно узлу Б (т.е., маршрутизатору пакет не передается). Механизм модификации изменяет все поля, первоначально изме- измененные маршрутизатором для первого пакета. Подобный перехват пакетов проходит незамеченным со стороны узла Б. Описанная выше операция схематически пред- представлена на рис. 11.10. 518 Часть IV. Расширенные возможности
Создание кратчайшего пути и перезапись Рис. 11.10. Пересылка пакета по кратчайшему пути Механизм модификации может изменять следующие поля: • МАС-адреса отправителя и получателя; • идентификатор сети VLAN; • поле TTL; • тип инкапсуляции (например, ARPA на SNAP); • значение контрольной суммы; • параметры типа и класса обслуживания (ToS/COS). Внимание! Несмотря на то, что технология MLS является специфической фирменной методикой корпорации Cisco, она полностью совместима со стандартами. В отличие от некото- некоторых других методов поиска кратчайшего пути и механизмов сквозной коммутации в ходе MLS-обработки в пакеты протоколов IP и IPX вносятся те же изменения, что и при обычной маршрутизации. Действительно, если применить анализатор протоколов (protocol analyzer) для сравнения трафика, следующего через MLS-систему, и обычный маршрутизатор, отличия будут незаметными. В ходе MLS-обработки пакет может быть изменен двумя способами. При первом способе для перезаписи пакета используется плата NFFC. Фактически плата NFFC содержит три модифицирующих механизма — по одному для каждой шины коммута- коммутатора Catalyst 5500. Указанные механизмы называются центральными перезаписывающи- перезаписывающими механизмами (central rewrite engines). Недостатком их использования является необ- необходимость прохождения пакета по шине дважды. Например, (см. рис. 11.10) пакет Глава 11. Коммутация третьего уровня 519
сначала прибывает через порт 2/1 и лавинно рассылается через объединительную пла- плату как фрейм сети VLAN 1. Плата NFFC в данном случае рассматривается как порт вывода получателя. На следующем этапе плата NFFC завершает операцию поиска кратчайшего пути и вносит в пакет соответствующие изменения, используя при этом информацию для перезаписи, которая содержится в САМ-таблице третьего уровня. Затем измененный пакет отправляется платой NFFC обратно через шину как фрейм се- сети VLAN 2, а САМ-таблица второго уровня используется для его передачи через порт 3/1. Иными словами, он проходит шину впервые как пакет "красной" сети VLAN и затем еще раз, но уже как пакет "синей" сети VLAN. В результате описанных мани- манипуляций производительность уменьшается приблизительно до 750 000 пакетов в се- секунду (для устройств серии Catalyst 5000). При втором способе перезаписи пакета для оптимизации потока используется функция, называемая перезаписью на линии (inline rewrite). Применение модулей Cata- Catalyst, которые поддерживают указанную функцию, позволяет осуществлять операцию перезаписи непосредственно в модуле вывода. В свою очередь, такой подход позволя- позволяет пакету проходить шину только один раз. На рис. 11.11 представлена схема переза- перезаписи на линии. Поиск кратчайшего пути платой NFFC Узел А Перезаписываемая информация Узел Б Фрейм, однажды посланный Перезапись, через шину реализованная в модуле вывода Рис. Л. П. Перезапись на линии Приходящий от узла А пакет лавинно распространяется через шину. Все порты, включая порт 3/1 получателя и плату NFFC, копируют данный фрейм. Плата NFFC определяет наличие записи о кратчайшем пути и затем отсылает модулю 3 только ин- информацию для перезаписи (описанный процесс происходит на отдельной шине, а не на шине данных). Модуль 3, используя свой локальный перезаписывающий механизм, 520 Часть IV. Расширенные возможности
модифицирует пакет и немедленно отправляет его через порт 3/1. Т.к. в описанном случае пакет проходит по шине только один раз, пропускная способность удваивается приблизительно до 1 500 000 пакетов в секунду. Внимание! Для коммутатора Catalyst 6000 вопрос сравнения механизмов центральной перезапи- перезаписи и перезаписи на линии не стоит так остро, как для 5000-й серии, т.к. все его линей- линейные платы Ethernet поддерживают второй способ перезаписи. Старение кэша Чтобы предотвратить переполнение MLS-кэша, необходимо запустить процесс его проверки (или старения). Процесс проверки кэша представляет собой управляемую программным путем операцию, работающую в фоновом режиме. Несмотря на то, что структура современных плат NFFC теоретически способна поддерживать 128 000 за- записей, рекомендуется ограничить общее число записей значением 32 000. Технология MLS поддерживает три отдельных режима проверки кэша: • частый (quick); • обычный (normal); • ускоренный (fast). Частый режим используется для удаления частичных записей кратчайшего пути, которые не могут быть завершены возможными пакетами. Период старения (aging pe- period) таких записей является фиксированным и равен пяти секундам. Обычная проверка используется для обычных потоков передачи данных. Режим определяется пользовательским интервалом, который варьируется от 64 до 1 920 с. Интервал задается при помощи команды set mis agingtime [agingtime]. Стан- Стандартное значение равно 256 с. При изменении стандартного значения введенное зна- значение округляется до ближайшего, кратного 64 с. Ускоренная проверка применяется для проверки краткосрочных потоков данных, та- таких, как ping-операции и потоки протоколов DNS и TFTP. Отрегулировать режим уско- ускоренной проверки можно при помощи команды set mis agingtime fast [fastagingtime] [pkt_threshold]. Запись удаляется из кэша, если она не содержит больше пакетов, чем указывает параметр pkt_threshold, в течение интервала времени, равного fastagingtime секунд. По умолчанию ускоренная проверка отключена, т.к. параметр fastagingtime равен 0. Возможные значения данного параметра таковы: 0,- 32, 64, 96 и 128 с (при этом используется ближайшее значение, если было введено от- отличное от перечисленных выше). Параметр pkt_threshold может принимать следую- следующие значения: 0, 1, 3, 7, 15, 31 или 63 (как и для предыдущего параметра, используется ближайшее возможное значение, если было введено отличное от указанных). Списки доступа и маски потоков Одной из наиболее интересных отличительных особенностей технологии MLS яв- является поддержка списков доступа (access list). При многоуровневой коммутации дос- доступны оба вида списков доступа IP-протокола: стандартный и расширенный. Под- Поддержка списков доступа основана на трех механизмах, перечисленных ниже. Глава 11. Коммутация третьего уровня 521
• Предполагается, что если пакет-кандидат не прошел проверку списком доступа, маршрутизатор никогда не отправит возможный пакет для завершения записи кратчайшего пути. • Для уведомления платы NFFC об изменениях списка доступа используется протокол MLSP. Все записи кратчайшего пути обновляются при модификации списка доступа. • Используется маска потока. Первый механизм обрабатывает ситуацию, когда пакет посылается маршрутизатору и не возвращается ни к одному из коммутаторов Catalyst, поскольку он не прошел проверку списком доступа. Такой механизм является еще одним подтверждением то- того, что MLS представляет собой безопасную и эффективную технологию. MLSP-механизм очистки (flush mechanism) обеспечивает интеграцию между мар- маршрутизатором и платой NFFC. Если маршрутизатор сконфигурирован со списком доступа, протокол MLSP может использоваться для обновления всех записей в кэше (форсируется процесс обработки новых записей в списке доступа). Кроме того, меха- механизм очистки используется для удаления записей кэша после изменения таблицы маршрутизации. Маска потока используется для установки дискретности, с которой плата NFFC определяет, из каких элементов состоит поток. Применяются маски потоков трех видов: • маска потока получателя (destination flow mask); • маска потока получатель-отправитель (destination-source flow mask); • маска полного потока (full flow mask). Маска потока получателя пропускает только потоки, основанные на адресах третьего уровня получателя. Создается единственный кратчайший путь, и все пакеты, направленные к указанному IP- или IPX-адресу, передаются по выбранному пути не- независимо от узла или приложения отправителя. Маска такого типа применяется в том случае, если на маршрутизаторе не сконфигурирован ни один список доступа. Маска потока получатель-отправитель использует оба адреса третьего уровня: адрес отправителя и адрес получателя, в результате чего каждая пара узлов, обменивающих- обменивающихся информацией, использует уникальный кратчайший путь. Однако все приложения, создающие потоки данных между каждой парой узлов, используют одну и ту же за- запись кратчайшего пути. Маска такого типа применяется в случае, когда в маршрути- маршрутизаторе используется стандартный список доступа или простой расширенный список доступа без указания номеров портов. Для реализации маски полного потока в дополнение к адресам третьего уровня от- отправителя и получателя используются номера портов четвертого уровня. Маска созда- создает отдельный кратчайший путь для каждого приложения, передающего потоки данных между каждой парой узлов. Благодаря такому подходу маска полного потока обеспе- обеспечивает контроль высочайшего уровня и позволяет плате NFFC осуществлять комму- коммутацию четвертого уровня. Ввиду того, что маска отслеживает потоки на уровне при- приложений, она может использоваться для сбора очень подробной статистики трафика посредством функции экспорта данных NetFlow (NetFlow Data Export — NDE), кото- которая будет более подробно описана ниже. Маска полного потока применима в случае использования расширенного списка доступа с указанием номеров портов. Рассмотрим пример структуры сети, которая изображена на рис. 11.12. 522 Часть IV. Расширенные возможности
Узел В CeTbVLAN2 Узел БСеть VLAN 1 Рис. 11.12. Пример MLS-cemu Узлы А и Б принадлежат виртуальной сети VLAN 1, а узел В — виртуальной сети VLAN 2. Коммутатор Catalyst и маршрутизатор корректно сконфигурированы для поддержки многоуровневой коммутации. В примере 11.5 представлена информация, полученная с помощью команды show mis entry при использовании маски потока получателя. г; ~". :" \ Пример 11.5. Cat-A> (enable) Destination IP MLS-RP 10.1.1.1: 10.1.1.2 10.1.1.3 10.1.2.2 Информация, полученная с entry при помощью команды* использовании маски потока получателя show mis entry Last Used Source IP 10.1.2.2 10.1.2.2 10.1.1.3 Last Used Prot DstPrt SrcPrt TCP 11000 Telnet ICMP - ICMP - Destination Mac Vlan 00-00-0c-7c-3c-90 1 00-60-3e-26-96-00 1 00-00-0C-5d-0b-f4 2 .........., ...^ „.^ show mis ; Port 2/16 2/15 2/17 Т.к. в описываемой системе между двумя виртуальными локальными сетями суще- существуют IP-адреса только трех получателей, в выводимой информации присутствуют три строки с маской потока получателя. Необходимо отметить, что весь трафик, сле- следующий к одному получателю, использует только одну запись кратчайшего пути. Та- Таким образом, в каждой строке вывода отражается информация только по самому по- последнему пакету, направленному соответствующему получателю. Данный факт отме- отмечен в заголовках столбцов, как, например, в названии "последний использованный IP-адрес отправителя" (Last Used Source IP). В примере 11.6 приведена подобная информация, полученная после конфигуриро- конфигурирования маски потока получатель-отправитель. Глава 11. Коммутация третьего уровня 523
Пример 11.6. Li. Cat-A> (enable) Destination IP MLS-RP 10.1.1. 10.1.2. 10.1.1. 10.1.2. 10.1.1.1: ,3 ,2 ,2 ,2 Инфс entry >P мация, полученная с при использовании /отправитель . ■^■^к^^Щ'^ show mis Source 10.1.2. 10.1.1. 10.1.2. 10.1.1. entry Last Used IP Prot DstPrt SrcPrt ,2 ,3 ,2 ,2 ICMP - ICMP - TCP 61954 Telnet TCP Telnet 61954 помощью команды: маски потока ■•■'. ■ "'■■■'% — Destination Mac 00-60-3e-26-96-00 00-00-0C-5d-0b-f4 00-00-0С-7С-ЗС-90 00-00-0C-5d-0b-f4 show mis j получатель-! Vlan 1 2 1 2 ■ ■ .. . i Port 2/15 2/17 2/16 2/17 В примере 11.6 приведены по две строки для каждой пары узлов, обменивающихся информацией через маршрутизатор (по одной строке на каждое направление). На- Например, в двух первых строках указано, что последними прошедшими между узлами 10.1.1.3 и 10.1.2.2 были ping-пакеты. Причем в первой строке показан поток от узла 10.1.1.3 к узлу 10.1.2.2, а во второй строке — поток противоположного направления. Две последние строки предоставляют информацию по двустороннему Telnet-сеансу между узлами 10.1.1.2 и 10.1.1.3 (при этом меняются местами номера портов отправи- отправителя и получателя). Необходимо отметить, что трафик между узлами 10.1.1.2 и 10.1.1.3 не показан, т.к. соответствующая ему информация коммутируется на втором уровне и без использования многоуровневой коммутации. Кроме того, часть заголовка "последний использованный" (Last Used) применима только к полям Prot (протокол), DstPrt (порт получателя) и SrcPrt (порт отправителя). Она более не применяется к полю Source IP ( IP-адрес отправителя), т.к. каждый новый адрес отправителя создает новую запись кратчайшего пути. В последнем примере 11.7 показана информация, полученная после конфигуриро- конфигурирования маски полного потока. ЬПример11.7. js ^ -^ -^ъ 4.vr;" :■ '/'-'■■%{ ')'■'■ Л- .'j4 ■ . *".:: > ''■/■- Cat-A> (enable) Destination IP MLS-RP 10.1.1.1: 10.0.1.2 10.0.2.2 10.0.2.2 10.0.1.2 10.0.1.3 10.0.1.2 10.0.1.2 10.0.1.2 10.0.2.2 Информация, entry при полученная с помощью команды использовании маски полного потока show mis entry Source IP 10.0.2.2 10.0.1.3 10.0.1.2 10.0.2.2 10.0.2.2 10.0.2.2 10.0.2.2 10.0.2.2 10.0.1.2 Last Prot TCP TCP TCP TCP TCP TCP TCP TCP TCP DstPrt 11778 110 69 65026 11002 12290 12266 64514 TCP Used SrcPrt 69 11004 11778 SMTP Telnet 110 WWW FTP FTP Destination Mac 00-00-0c-7c-3c-90 00-00-0c-5d-0b-f4 00-00-0c-5d-0b-f4 00-00-0c-7c-3c-90 00-60-3e-26-96-00 00-00-0c-7c-3c-90 00-00-0c-7c-3c-90 00-00-0c-7c-3c-90 00-00-0c-5d-0b-f4 Vlan 1 2 2 1 1 1 1 1 2 show misd 1 ^ ^_ i-j Port 2/16 2/17 2/17 2/16 2/15 2/16 2/16 2/16 2/17 524 Часть IV. Расширенные возможности
10.0.2.2 10.0.1.3 TCP 69 11005 00-00-0c-5d-0b-f4 2 2/17 10.0.2.2 10.0.1.2 TCP WWW 63490 00-00-0c-5d-0b-f4 2 2/17 10.0.2.2 10.0.1.3 TCP 9 11001 00-00-0c-5d-0b-f4 2 2/17 10.0.2.2 10.0.1.3 ICMP - - 00-00-0c-5d-0b-f4 2 2/17 10.0.1.2 10.0.2.2 TCP 62978 9 00-00-0c-7c-3c-90 1 2/16 10.0.1.2 10.0.2.2 TCP 64002 20 00-00-0c-7c-3c-90 1 2/16 10.0.2.2 10.0.1.2 TCP Telnet 62466 00-00-0c-5d-0b-f4 2 2/17 10.0.1.2 10.0.2.2 TCP 63490 WWW 00-00-0c-7c-3c-90 1 2/16 10.0.1.2 10.0.2.2 TCP 62466 Telnet 00-00-0c-7c-3c-90 1 2/16 10.0.2.2 10.0.1.3 TCP Telnet 11002 00-00-0c-5d-0b-f4 2 2/17 10.0.2.2 10.0.1.2 TCP WWW 11266 00-00-0c-5d-0b-f4 2 2/17 10.0.1.3 10.0.2.2 TCP 11004 110 00-60-3e-26-96-00 1 2/15 10.0.2.2 10.0.1.2 TCP SMTP 65026 00-00-0c-5d-0b-f4 2 2/17 10.0.1.3 10.0.2.2 TCP 11005 69 00-60-3e-26-96-00 1 2/15 10.0.2.2 10.0.1.2 TCP 110 12290 00-00-0c-5d-0b-f4 2 2/17 10.0.2.2 10.0.1.3 TCP WWW 11003 00-00-0c-5d-0b-f4 2 2/17 10.0.1.3 10.0.2.2 TCP 11003 WWW 00-60-3e-26-96-00 1 2/15 10.0.2.2 10.0.1.2 TCP 20 64002 00-00-0c-5d-0b-f4 2 2/17 10.0.1.3 10.0.2.2 IGMP - - 00-60-3e-26-96-00 1 2/15 10.0.1.3 10.0.2.2 TCP 11001 9 00-60-3e-26-96-00 1 2/15 10.0.2.2 10.0.1.2 TCP 9 62978 00-00-0c-5d-0b-f4 2 2/17 В приведенный выше пример включены все пары взаимодействующих приложений (рассматриваются IP-адреса и номера портов). При этом ни одно из полей не включа- включает в себя заголовка "последний использованный" (Last Used), поскольку все потоки описаны полностью. Различные виды маскирования потоков дают возможность плате NFFC отслежи- отслеживать информацию с достаточным уровнем дискретности, что в свою очередь позволяет не пропустить отвергнутые пакеты, использующие ранее существовавшие записи кратчайшего пути. Несмотря на это, по соображениям истинной безопасности необ- необходимо обеспечить обработку каждого пакета списками доступа. В результате при конфигурировании входного доступа на маршрутизаторе отключается поддержка многоуровневой коммутации на заданном интерфейсе. Тем не менее, в операционной системе IOS версии 12.0 присутствует необязательный параметр, который позволяет использовать входные списки доступа за счет некоторого уменьшения безопасности. Чтобы активизировать данную функцию, необходимо указать параметр input-acl в конце командной строки mis rp ip для общего маршрутизатора (первый из пяти этапов приведенного далее процесса настройки маршрутизатора). Совет Команда mis rp ip input-acl применима для включения входных списков доступа ценой довольно незначительного риска с точки зрения безопасности. При работе множества маршрутизаторов с различными масками потоков все MLS- устройства Catalyst используют наиболее дискретную (самую длинную) маску потока. Иными словами, если два маршрутизатора работают без списков доступа, а третий использует стандартный список доступа, то будет применяться маска потока получа- получатель-отправитель. Глава 11. Коммутация третьего уровня 525
Если списки доступа не применяются, но по каким-либо причинам необходимо использовать маску отправитель-получатель или маску полного потока, то можно вве- ввести команду set mis {flow destination | destination-source | full} для установки минимальной маски. Например, усилив маску потока до полной, можно накапливать детальную статистику трафика (см. раздел "Использование многоуров- многоуровневой коммутации"). Процесс конфигурирования многоуровневой коммутации Теория, лежащая в основе технологии многоуровневой коммутации, представляет- представляется довольно сложной. Несмотря на это, конфигурировать устройства для ее поддерж- поддержки на практике достаточно просто. Для полного внедрения технологии MLS необхо- необходимо по отдельности настроить маршрутизатор и блок Catalyst Supervisor. MLS-конфигурация маршрутизатора Для конфигурирования маршрутизатора Cisco с целью поддержки многоуровневой коммутации необходимо использовать процесс, состоящий из пяти приведенных ниже этапов. Этап 1. Необходимо включить поддержку технологии MLS маршрутизатором. Для ее осуществления необходимо ввести команду mis rp ip. Данная коман- команда вводится в режиме общей конфигурации (global configuration mode), т.е. не для какого-либо одного интерфейса или подынтерфейса отдельно. Этап 2. Сконфигурировать домен магистрального протокола сетей VLAN (VLAN Trunking Protocol — VTP) для каждого интерфейса с помощью команды mis rp vtp-domain domain_name. Данная команда является директивой конфигурирования интерфейса. В случае ISL-интерфейсов она может применяться только для главного интерфейса (все подынтерфейсы насле- наследуют то же имя VTP-домена). Команду vtp-domain необходимо ввести до завершения оставшихся этапов. Однако, если коммутаторам в сети не был назначен VTP-домен, настоящий этап можно пропустить. Этап 3. Если на внешнем маршрутизаторе используются немагистральные интер- интерфейсы (non-trunk interface), следует ввести команду mis rp vlan-id vlan_number, предоставив таким образом маршрутизатору информацию о назначенных сетях VLAN. Указанную команду необходимо ввести до за- завершения оставшихся этапов. Для ISL-интерфейсов команда mis rp vlan-id не требуется, т.к. та же функция предоставляется директивой encap isl vlan_number. В случае использования модуля RSM примене- применение команды mis rp vlan-id также не требуется, поскольку модуль ав- автоматически получает конфигурационную информацию сети VLAN. Этап 4. Включение каждого MLS-интерфейса командой mis pr ip. Она является конфигурационной командой интерфейса или подынтерфейса. Этап 5. В завершение необходимо посредством команды mis rp management- interface выбрать один или несколько интерфейсов маршрутизатора для отправки MLSP-пакетов. Данная команда также является конфигураци- конфигурационной командой интерфейса или подынтерфейса. В общем случае ее не- 526 Часть IV. Расширенные возможности
обходимо ввести только на одном интерфейсе. Для этого следует выбрать интерфейс, подключенный к виртуальной сети VLAN, которая объединяет все поддерживающие технологию MLS-устройства Catalyst в конфигури- конфигурируемой сети. Если указанная команда не была введена вообще, пакеты протокола MLSP не будут рассылаться, а технология MLS не будет функ- функционировать. Совет Если VTP-домен не был указан для коммутаторов Catalyst (данный факт легко прове- проверить с помощью команды show vtp domain), то нет необходимости указывать его для маршрутизатора. В таком случае используется так называемый несуществующий домен (Null domain). Если до назначения VTP-домена использовались команды mis rp ip или mis rp management-interface, интерфейсу автоматически присваива- присваивается такой домен. Для изменения доменного имени необходимо удалить с данного интерфейса все настройки команды mis rp и переконфигурировать его с самого начала (современные версии автоматически удаляют строки команды mis rp при вводе no mis rp vtp-domain domain_name). В примере 11.8 приведена MLS-конфигурация маршрутизатора, которая соответст- соответствует сети, представленной на рис. 11.4—11.11. Пример 11.8. MLS-конфигурация внешнего маршрутизатора . { mis rp ip interface FastEthernetl/0 mis rp vtp-domain Skinner i interface FastEthernetl/0.1 encapsulation isl 1 ip address 10.1.1.1 255.255.255.0 mis rp management-interface mis rp ip i interface FastEthernetl/0.2 encapsulation isl 2 ip address 10.1.2.1 255.255.255.0 mis rp ip Соответствующая RSM-конфигурация приведена в примере 11.9. ; Пример 11.9. MLS-конфигурация RSM-маршрутизаторги; ; , ... i mis rp ip ! interface Vlanl ip address 10.1.1.1 255,255.255.0 mis rp vtp-domain Skinner mis rp management-interface Глава 11. Коммутация третьего уровня 527
mis rp ip i interface Vlan2 ip address 10.1.2.1 255.255.255.0 mis rp vtp-domain Skinner mis rp ip Соответствующая конфигурация, работающая на маршрутизаторе с двумя Ethernet- портами, выглядит подобно приведенной в примере 11.10. Пример 11.10. MLS-конфигурация внешнего маршрутизатора с несколь- ;г/*"-г . ;Ч.^"кимиг'МИегпе^портами mis rp ip i interface EthernetO ip address 10.1.1.1 255.255.255.0 mis rp vtp-domain Skinner mis rp vlan-id 1 mis rp management-interface mis rp ip i interface Ethernetl ip address 10.1.2.1 255.255.255.0 mis rp vtp-domain Skinner mis rp vlan-id 2 mis rp ip Конфигурация MLS-коммутатора Процесс конфигурирования MLS-коммутатора значительно проще. Фактически, если применяется технология MLS совместно с модулем RSM, который расположен на том же шасси, модуль Catalyst Supervisor не нуждается в конфигурировании. Одна- Однако, при использовании внешних маршрутизаторов необходимо указывать все MLS- совместимые маршрутизаторы. Для этого служит команда set mis include {route^processor_ip | route_processor_name]. Например, для указания мар- маршрутизатора, использующего адрес 10.1.1.1, необходимо ввести команду set mis in- include 10.1.1.1. Указывать необходимо только IP-адрес, назначенный первому MLS-интерфейсу маршрутизатора. Совет Адрес для включения отображается в поле mis ip address команды show mis rp маршрутизатора. При этом необходимо удостовериться, что команда show mis rp вводится для маршрутизатора, а не для блока Catalyst Supervisor. Коммутатор поддерживает так же команду set mis [enable | disable]. По- Поскольку многоуровневая коммутация включена стандартно (при условии наличия над- надлежащего программно-аппаратного обеспечения), введение указанной команды не требуется. 528 Часть IV. Расширенные возможности
Использование многоуровневой коммутации Коммутация третьего уровня на основе маршрутизирующих коммутаторов явля- является достаточно новой методикой для большинства сетевых администраторов. В связи с этим настоящий раздел представляет собой обзор некоторых наиболее важ- важных команд. Команда show mis Одной из наиболее важных для коммутатора Catalyst является команда show mis. Для нее доступны несколько параметров. В случае применения базовой формы рас- рассматриваемой команды отображается информация, характер которой подобен приве- приведенному в примере 11.11. Пример 11.11. Отчет команды show mis для модуля Catalyst Supervisor Cat-A> (enable) show mis Multilayer switching enabled Multilayer switching aging time = 256 seconds Multilayer switching fast aging time = 0 seconds, packet threshold = 0 Current flow mask is Destination flow Configured flow mask is Destination flow Total packets switched = 0 Active shortcuts = 0 Netflow Data Export disabled Netflow Data Export port/host is not configured. Total packets exported = 0 MLS-RP IP MLS-RP ID XTAG MLS-RP MAC-Vlans 10.1.1.1 00000C111111 2 00-00-OC-ll-ll-ll 1 00-00-0C-22-22-22 2 Первые три строки после первоначальной подсказки предоставляют информацию о состоянии механизма MLS (включен/выключен) и значения таймеров обновления кэша. Следующие две строки указывают тип используемой маски потока и мини- минимальной маски. Строки "общее количество обработанных пакетов" (Total packets switched) и "активные кратчайшие пути" (Active shortcuts) помогут отследить количе- количество перенаправленных пакетов и размер кэша (как упоминалось выше, наилучшим решением будет поддержка последнего параметра на уровне не более 32 000 записей или использование современной версии платы NFFC). В следующих трех строках со- содержится отчет о состоянии экспорта данных NetFlow (данная функция описывается ниже). В нижней части выводимой информации перечислены все известные маршру- маршрутизаторы, значения их параметров XTAG, а также список МАС-адресов и виртуаль- виртуальных локальных сетей. Команда show mis entry Команда show mis entry очень полезна при изучении кэшированных записей кратчайших путей. С помощью упомянутой команды отображается информация, по- подобная приведенной в примере 11.12. Глава 11. Коммутация третьего уровня 529
^i|^^ Cat-A> (enable) sh mis entry Last Used Last Used Destination IP Source IP Prot DstPrt SrcPrt Destination Mac Vlan Port MLS-RP 10.1.1.1: 10.1.1.9 10.1.2.99 TCP 1293 5001 00-60-08-b6-49-84 1 3/9 10.1.1.7 10.1.2.99 ICMP - - 00-60-08-b6-4a-49 1 3/13 10.1.2.99 10.1.1.7 ICMP - - 00-10-7b-3a-7b-97 2 3/18 Поскольку в данном случае используется маска потока получателя, в кэше созда- создается по одной записи для каждого адреса получателя. Каждая такая запись приводит- приводится в отдельной строке. Поля "последний использованный IP-адрес отправителя" (Last Used Source IP), "протокол" (Protocol), "порт получателя" (Destination Port) и "порт отправителя" (Source Port) отражают характеристики последнего пакета, использо- использовавшего соответствующую запись кратчайшего пути. Поскольку существует единственная запись для всех узлов-отправителей, протоко- протоколов и приложений, ориентирующихся на адрес получателя, приведенный в первом столбце, нет возможности перечислять тип каждого пакета отдельно (для подобного уровня детализации необходимо использовать полную маску потока). Если кэш достаточно большой, то может возникнуть необходимость применить один из параметров команды show mis entry для фильтрации отчета. Полный син- синтаксис команды имеет вид show mis entry {[destination ip_addr_spec] [source ip_addr_spec] [flow protocol [ccc] src_port dst_port]} [rp ip_addr]. Например, отчет команды show mis entry 10.1.1.1 содержит все записи кэша, созданные маршрутизатором 10.1.1.1. Команда show mis entry destination 10.1.2.20 приводит список записей, созданных для пакетов с IP-адресом получате- получателя, равным 10.1.2.20. Команда show mis statistics entry Количество пакетов и байтов для каждой записи может быть получено с помощью команды show mis statistics entry. Отчет практически аналогичен отчету ко- команды show mis entry; отличие заключается в наличии двух новых полей в конце каждой строки, как показано в примере 11.13. 11.13. «Отчет команды show mis Statistics entry ; я Cat-A> (enable) show mis statistics entry Destination IP Source IP Prot DstPrt SrcPrt Stat-Pkts Stat-Bytes MLS-RP 10.1.1.1: 10.1.2.99 10.1.1.7 ICMP - - 10.1.1.9 10.1.2.99 ICMP - - 10.1.1.7 10.1.2.99 TCP 1037 Telnet 530 Часть IV. Расширенные возможности 6 8 11 456 824 802
Команда show mis statistics protocol В случае использования полной маски потока команда show mis statistics protocol предоставляет чрезвычайно полезную информацию прикладного уровня (application layer1), см. пример 11.14. [Пример 11714. Отчет команды show-rnls statisfics^pfojtocol ; Cat-A> (enable) show mis statistics protocol Protocol TotalFlows TotalPackets TotalBytes Telnet FTP WWW SMTP X DNS Others Total 6 2 8 2 0 2 12 32 24 6 30 6 0 6 11543 11615 1641 390 5219 390 0 390 9093664 9101694 По характеру выводимая информация сходна с отчетом, предоставляемым командой маршрутизатора show ip cache flow. Возможность изучить объемы трафика по паке- пакетам и количеству байтов окажет существенную помощь при профилировании сети. Команда debug mis rp Команды группы debug mis rp предназначены для устранения различных про- проблем. Возможные параметры перечислены в примере 11.15. Пример 11.15. Возможные параметры команды debug mis rp Router! debug mis rp ? all mis all error mis errors events mis events ip mis ip events locator mis locator packets mis packets verbose packets mis verbose packets Как обычно при использовании команд debug, в производственных сетях следует соблюдать осторожность. Различные аспекты проектирования MLS-сетей Как подчеркивалось выше, технологию многоуровневой коммутации можно оха- охарактеризовать как механизм кэширования потоков данных "к маршрутизатору и об- обратно". Несмотря на кажущуюся простоту такой концепции, она может вызвать сложности при реализации в некоторых сетях и топологиях. ' Седьмой уровень модели OSI, самый верхний. — Прим. ред. Глава 11. Коммутация третьего уровня 531
Совет Прежде всего необходимо отметить следующее: почти все из описываемых в настоя- настоящем разделе проблем можно исключить при условии, что каждая плата NFFC спарена со своим "внутренним маршрутизатором", таким, как модуль RSM (или RSFC). Такой подход автоматически порождает потоки "к маршрутизатору и обратно" (через объе- объединительную плату коммутатора Catalyst), и как следствие, чрезвычайно упрощаются все аспекты проектирования сети. WAN-каналы В настоящее время технология MLS не может использоваться в каналах распреде- распределенных сетей (WAN — Wide Area Network). Рассмотрим сеть, изображенную на рис. 11.13. "Красная" сеть Узел А Узел Б Рис. 11.13. WAN-потоки нарушают работу MLS Как и в предыдущих примерах, узел А отправляет пакеты узлу Б. Определив, что узел Б принадлежит другой подсети, узел А направляет пакеты своему стандартному шлюзу, маршрутизатору А. Плата NFFC в составе блока Cat-A определяет первый па- пакет как пакет-кандидат и создает частичную запись кратчайшего пути. Однако, воз- возможные пакеты никогда не достигнут коммутатора Cat-A, поскольку трафик пересы- пересылается непосредственно через последовательный интерфейс маршрутизатора. Таким образом, отсутствует поток "к маршрутизатору и обратно", необходимый для функ- функционирования технологии MLS. Ввиду того, что плата NFFC не сможет завершить записи кратчайшего пути, они устареют и будут удалены при использовании частой пятисекундной схемы обновления кэша. Использование множественных портов маршрутизатора Вполне очевидно, почему технология MLS не является подходящим решением для ситуации, приведенной на рис. 11.13. Однако, в других случаях причины могут быть трудно определимыми. Существует правило, которое гласит, что контролировать по- 532 Часть IV. Расширенные возможности
ток к маршрутизатору и от него должна одна и та же плата NFFC. Для того, чтобы указанное правило выполнялось, необходимо обеспечить присутствие коммутатора Catalyst, реализующего технологию MLS, в обеих виртуальных локальных сетях или подсетях. Например, коммутаторы Catalyst, изображенные на рис. 11.14, содержат только одну виртуальную сеть. "Красная" сеть "Синяя" сеть . Cat-B VLAN Узел А Узел Б Рис. 11.14. Каждый коммутатор Catalyst содержит только одну сеть VLAN В результате в сетях, приведенных па рис. 11.13 и 11.14, наблюдается очень похо- похожий эффект. В последнем случае устройство Cat-A получает пакет-кандидат, по толь- только устройство Cat-B может получить возможный пакет. Коммутация по кратчайшему пути невозможна. Совет Условия функционирования многоуровневой коммутации требуют, чтобы одна и та же плата NFFC или MSFS/PFC контролировала поток к маршрутизатору и от него. Данное требование, в свою очередь, при некоторых обстоятельствах может вызвать необхо- необходимость тщательного планирования и проектирования сети. В то же время, для решения указанной выше проблемы недостаточно простого размещения каждой сети VLAN па обоих коммутаторах. В схеме на рис. 11.15 оба уст- устройства Catalyst (А и В) содержат как "красную", так и "синюю" сети VLAN, и суще- существует ISL-канал для создания смежных мостовых доменов второго уровня. Поскольку для подключения маршрутизатора используются немагистральпые ка- каналы (non-trunk links), маршрутизатор отправляет и получает трафик для "краской" сети только с участием коммутатора Cat-A, тогда как весь трафик "синей" сети следу- следует от или к коммутатору Cat-B. Результат в данном случае тот же, что и в двух преды- предыдущих примерах: коммутатор Cat-A получает только пакет-кандидат, а возможный па- пакет направляется к Cat-B. Глава 11. Коммутация третьего уровня 533
"Красная" и"синяя" cemVLAN / ,' Cal-A "Красная" и 'синяя" ceTHVLAN Узел А Узел Б Рис. 11.15. Несмотря на то, что оба коммутатора со- содержат каждую из сетей VLAN, многоуровневая коммутация невозможна Решение для структуры множественных портов маршрутизатора Существуют несколько альтернативных решений для исправления описанной вы- выше конфигурации. Однако простейшим из них является подключение маршрутизатора к одному коммутатору Catalyst. С такой точки зрения соответствующей конструкцией может стать модель с раздельным подключением виртуальных локальных сетей или магиетрально подключенный маршрутизатор. Например, па рис. 11.16 канал интер- интерфейса Ethernetl маршрутизатора переводится с коммутатора Cat-B на коммутатор Cat- А для реализации модели раздельного подключения виртуальных локальных сетей. Узел А Узел Б Рис. 11.16. Подключение маршрутизатора к одному коммутатору делает возможным применение технологии MLS 534 Часть IV. Расширенные возможности
Как показано на рис. 11.16, описанная выше схема позволяет направить весь тра- трафик через коммутатор Cat-A и, следовательно, создать основу для коммутации по кратчайшему пути. Протокол распределенного связующего дерева и многоуровневая коммутация Что произойдет, если будут подключены добавочные коммутаторы и образуются дополнительные петли второго уровня (Layer 2 loop)? В качестве примера рассмотрим сеть, представленную на рис. 11.17. Предположим, что все три коммутатора Catalyst поддерживают технологию MLS, а маршрутизатор подключен через ISL-канал. Корневой мост Cat-B Cat-C Узел А Узел Б Рис. 11.17. Пример более сложной сети с использованием технологии MLS Поскольку подобная топология второго уровня является избыточной (т.е. петлевой), необходимо использование протокола распределенного связующего дерева (Spanning- Tree Protocol — STP). Предположим, что коммутатор Cat-A функционирует в качестве корневого моста (Root Bridge) для всех виртуальных локальных сетей (см. рис. 11.17). В указанной ситуации один из портов сегмента 3 приводится в состояние блокировки (Spanning Tree Blocking state). В результате трафик в "красной" сети VLAN перемещает- перемещается от узла А к маршрутизатору через сегмент 1. Оба коммутатора: Cat-B и Cat-A опреде- определяют данный поток как пакет-кандидат и создают частичную запись кратчайшего пути. Однако, т.к. трафик следует от маршрутизатора к узлу Б с использованием сегмента 2, только коммутатор Cat-A получает возможный пакет и создает полную запись кратчай- кратчайшего пути. Частичная запись коммутатора Cat-B удаляется в течение пяти секунд. Глава 11. Коммутация третьего уровня 535
Рассмотрим вариант с коммутатором Cat-B, служащим в качестве корневого моста связующего дерева (spanning tree Root Bridge). На рис. 11.18 приведена диаграмма, на которой схематически представлена рассматриваемая ситуация. Корневой мост Блокировка Cat-C Узел А Узел Б Рис. 11.18. Коммутатор Cat-B является корневым мостом связующего дерева Подобное изменение структуры вызывает внедрение распределенного связующего дерева в логическую топологию, где один из портов сегмента 2 блокирован. Трафик от узла А к маршрутизатору направляется тем же путем, что и в схеме на рис. 11.17. Оба коммутатора: Cat-A и Cat-B определяют первый пакет как па кет-кандидат и соз- создают частичную запись кратчайшего пути. Однако трафик от маршрутизатора к узлу Б не проходит через сегмент 2, поскольку тот блокирован. Вместо этого трафик направ- направляется обратно через Cat-B и проходит сегменты 1 и 3. Такая ситуация приводит к тому, что оба коммутатора: Cat-A и Cat-B получают возможный пакет и завершают запись кратчайшего пути. Когда от узла А к узлу Б отправляется второй пакет, коммутатор Cat-B использует свою запись кратчайшего пути для коммутации пакетов на третьем уровне непосредст- непосредственно в сегмент 3, минуя маршрутизатор. Т.к. коммутатор Cat-A не получает трафика для заполнения созданной им записи кратчайшего пути, запись устаревает в течение 256 с (стандартное значение таймера). В данном случае соблюдаются условия функцио- функционирования многоуровневой коммутации (действительно, создается более эффективный поток). Однако планы переноса операций коммутации по кратчайшему пути с коммута- коммутатора Cat-A на Cat-B только из-за распределенного связующего дерева могут быть нару- нарушены. Очевидно, что взаимодействие между технологией MLS и связующим деревом может стать очень сложной задачей в крупных сетях и территориальных сетях с плоской 536 Часть IV. Расширенные возможности
топологией. Описанная выше проблема является еще одной причиной, по которой сле- следует избегать подхода с плоской структурой (flat) для проектов территориальных сетей. Более подробная информация по данному вопросу представлена в главах 14 и 15. Использование технологии MLS на нескольких коммутаторах Ранее (см. рис. 11.17 и 11.18) было сделано предположение, что все три коммута- коммутатора Catalyst поддерживают многоуровневую коммутацию. Трудности, тем не менее, могут возникнуть, даже если это не так. В качестве примера рассмотрим ситуацию, когда коммутатор Cat-A не поддерживает технологию MLS. При таком условии в схе- схеме на рис. 11.17 многоуровневая коммутация невозможна. Поскольку коммутатор Cat- А является единственным коммутатором, который контролирует оба направления по- потока, только он один может поддерживать многоуровневую коммутацию в данной то- топологии. В то же время применение технологии MLS в сети, приведенной на рис. 11.18, возможно даже в том случае, если коммутатор Cat-A ее не поддерживает. Поскольку в указанной сети было реализовано распределенное связующее дерево, коммутатор Cat-B может контролировать оба направления потока и соответственно способен поддерживать коммутацию кратчайшего пути, как описывалось ранее. Применение стеков MLS-устройств В настоящем разделе рассматривается ситуация, в которой стеки (stack) MLS- устройств соединяют многочисленные конечные станции и коммутаторы Catalyst (см. рис. 11.19). © Возможный пакет "Красная" сеть Cat-A "Синяя"сеть ф Остельные пакеты * =Перезапись Рис. 11.19. Узел А сообщается с узлом В посредством технологии MLS Глава 11. Коммутация третьего уровня 537
Прежде всего, рассмотрим случай пересылки трафика от узла А к узлу Б. Трафик от узла А проходит к маршрутизатору через ISL-каналы, соединяющие коммутаторы Catalyst и маршрутизатор друг с другом. Как только первый пакет достигнет платы NFFC каждого коммутатора Catalyst, он опознается как пакет-кандидат, и для каж- каждого коммутатора создаются частичные записи кратчайшего пути. В процессе прохож- прохождения пакетом обратного пути от маршрутизатора к узлу Б все три платы NFFC полу- получают возможный пакет и завершают записи кратчайшего пути. Дополнительные паке- пакеты от узла А к узлу В направляются посредством одного коммутатора — Cat-A. В связи с этим записи кратчайшего пути коммутаторов Cat-B и Cat-C просто стареют и удаляются через 256 с (стандартное значение таймера). Рассмотрим поток данных от узла А к узлу В. В данном случае также три коммута- коммутатора получают первоначальный пакет, определяемый как пакет-кандидат. Однако, возвращаясь, пакет проходит только коммутаторы Cat-C и Cat-B. Частичная запись кратчайшего пути Cat-C устаревает в течение пяти секунд. Т.к. узел А посылает до- дополнительные пакеты, Cat-A использует обычную коммутацию второго уровня для отправки пакетов на МАС-адрес маршрутизатора. Когда коммутатор Cat-B получает пакеты, он определяет, что запись кратчайшего пути для данного потока завершена, и направляет данные непосредственно узлу В. Запись кратчайшего пути коммутатора Cat-C не используется и, следовательно, устаревает в течение 256 с. На рис. 11.20 схематически представлен описанный выше процесс. ' Пакет-кандидат B) Возможный пакет Узел А "Синяя" сеть C) Остельные пакеты Узел Б "Красная"сеть "Синяя" сеть * =Перезапись Рис. 11.20. Узел А сообщается с узлом В посредством технологии MLS 538 Часть IV. Расширенные возможности
Применение нескольких маршрутизаторов совместно с одним MLS-коммутатором Catalyst В завершение рассмотрим случай использования нескольких маршрутизаторов, поддерживающих технологию MLS совместно с одним MLS-коммутатором (см. рис. 11.21). B) Возможный пакет для пакета-кандидата ф Пакет-кандидат Маршрутизатор А Маршрутизатор Б C) Возможный пакет для пакета-кандидата @ Узел А "Красная"сеть Узел Б 'Синяя"сеть Коммутация по кратчайшему пути Двойной поиск и двойная перезапись Рис. 11.21. Два MLS-маршрутизатора и один MLS-коммутатор В указанной схеме узел А, как и ранее, принадлежит "красной" сети VLAN, а узел В, соответственно, — "синей" сети VLAN. Кроме этого, существует еще одна вирту- виртуальная локальная сеть между двумя маршрутизаторами (условно назовем ее "фиолетовой"). Узел А отправляет пакеты, адресованные узлу Б, через свой стандарт- стандартный шлюз, используя при этом "красную" сеть VLAN. В момент прохождения пер- первого пакета через Catalyst плата NFFC опознает его как пакет-кандидат и создает час- частичную запись кратчайшего пути (на схеме — этап 1). Затем маршрутизатор А переда- передает трафик маршрутизатору Б через "фиолетовую" сеть. Как только пакет пройдет обратно через Catalyst, плата NFFC определит его как возможный пакет и завершит запись кратчайшего пути (этап 2 на схеме, рис. 11.21). Плата также определяет МАС- адрес получателя как адрес маршрутизатора Б и, следовательно, рассматривает этот пакет как другой пакет-кандидат (этап 3 на схеме). Маршрутизатор Б обрабатывает пакет в обычном режиме и направляет его узлу В через "синюю" сеть VLAN. Как только пакет пройдет через Catalyst в третий раз, он будет определен как возможный пакет для частичной записи кратчайшего пути, созданной на этапе 3. Создается вто- вторая запись кратчайшего пути (этап 4, рис. 11.21). Когда дополнительный трафик следует от узла А к узлу Б (этап 5, рис. 11.21), про- просматриваются два кратчайших пути и выполняются операции перезаписи заголовка Глава 11. Коммутация третьего уровня 539
пакета. В результате дополнительные пакеты через маршрутизаторы не посылаются, что и требовалось получить от разработанной структуры. Другие возможности технологии MLS Одним из наиболее интересных моментов, касающихся использования платы NFFC для поддержки технологии MLS, является то, что она поддерживает приложе- приложения, которые выходят за рамки ускоренной маршрутизации третьего уровня. По- Поскольку плата NFFC, по сути, является механизмом контроля соответствия шаблону, ее возможности позволяют обеспечить множество интересных и мощных функций, которые описаны в следующих ниже разделах. Фильтрация протоколов Фильтрация протоколов (Protocol Filtering) представляет собой способность платы NFFC ограничивать широковещательный и многоадресатный трафик на основе дан- данных о протоколах и портах. Как было описано в главе 5, подобная функциональность позволяет группе узлов размещаться в одной виртуальной локальной сети и получать только трафик, связанный с используемыми протоколами. Существуют четыре группы таких протоколов: IP, IPX, смешанная группа протоколов AppleTalk и DECnet (некоторые платформы включают также поддержку протокола VINES), в четвертую группу входят все остальные протоколы. Сравнивая с шаблонами информацию о типе протокола, которая содержится в заголовке второго уровня, плата NFFC может, в ча- частности, осуществлять фильтрацию протоколов IPX SAP для портов, которые поддер- поддерживают только IP-протокол. Стандартно функция фильтрации протоколов отключена. Для ее включения необ- необходимо ввести команду set protocolfilter enable. Для конфигурирования фильтрации протоколов используется команда set port protocol. Полный синтак- синтаксис команды выглядит следующим образом: set port protocol mod_num/port_num {ip/ipx/group} {on/off/auto}. Параметр group соответствует протоколам AppleTalk и DECnet (и в некоторых случаях — VINES). Использование параметра on приводит к тому, что порт рассылает широковещательные рассылки определенного типа. Параметр off, напротив, запре- запрещает порту использовать широковещательные рассылки определенного типа. Пара- Параметр auto позволяет использовать широковещательные рассылки только для опреде- определенных протоколов, если протоколы определены на данном порте. Все приведенные выше настройки помогают создать динамическую конфигурацию, при которой ком- коммутатор Catalyst определяет протоколы, используемые каждым портом, и в ответ рас- рассылает только соответствующие широковещательные пакеты. Для протокола IP стан- стандартным является параметр on, а для других категорий протоколов (IPX и смешанной группы) — параметр auto. Команда show protocolfilter используется для определения того, работает ли фильтрация протоколов на устройстве. Команду show port protocol можно исполь- использовать для того, чтобы просмотреть конфигурацию для каждого порта (включая номер узла, определенный по порту и по протоколу). Для портов и протоколов в состоянии auto используются команды auto-on и auto-of f для определения текущих, динами- динамически выбранных установок. Магистральные порты исключаются из фильтрации про- протоколов. 540 Часть IV. Расширенные возможности
Многоадресатная коммутация и прослушивание портов IGMP Обычные прозрачные мосты (и, следовательно, большинство коммутаторов вто- второго уровня) не содержат механизмов получения многоадресатных МАС-адресов. В результате устройства второго уровня, т.е. мосты и коммутаторы, обрабатывают мно- гоадресатные фреймы как широковещательные. Такой подход позволяет многоадре- сатным приложениям функционировать; однако, вместе с этим присутствует очень нежелательный эффект расходования большой полосы пропускания (а также расходо- расходования времени работы процессоров конечных станций). Одним из решений указанной проблемы является использование статических САМ-записей. В условиях растущей популярности использования многоадресатных рассылок такая методика может быстро привести к серьезным проблемам в управле- управлении. Например, каждое подключение пользователя или выход из состава многоадре- сатной группы требует вмешательства администратора, вручную корректирующего за- записи. В крупных сетях в течение дня количество таких записей может исчисляться сотнями. Очевидно, существует необходимость в некоторых динамических процессах. Суще- Существуют три способа для динамического построения таблиц многоадресатной передачи: протоколы CGMP, GMRP и прослушивание IGMP-портов (IGMP Snooping). В на- настоящем разделе кратко рассматриваются все три указанные вида передачи, в особен- особенности, те, которые относятся к плате NFFC. Более подробно они описаны в главе 13 "Многоадресатные и широковещательные службы". Первой из упомянутых методик был разработанный корпорацией Cisco протокол группового управления (Cisco Group Management Protocol — CGMP). Указанный про- протокол позволяет маршрутизаторам, использующим протокол межсетевого управления группами (Internet Group Management Protocol — IGMP), обновлять САМ-таблицу второго уровня коммутатора Catalyst. IGMP представляет собой протокол, который позволяет конечным станциям запрашивать у маршрутизаторов копии определенных многоадресатных потоков. Однако, поскольку данный протокол принадлежит группе протоколов третьего уровня, его использование в коммутаторе второго уровня затруд- затруднено. Учитывая все вышесказанное, корпорация Cisco разработала протокол CGMP. Данный протокол рассматривается как механизм, который позволяет маршрутизатору третьего уровня сообщать устройству Catalyst второго уровня сведения о составе мно- многоадресатных групп, в результате чего устройство второго уровня Catalyst передает многоадресатный IP-трафик только необходимым в конкретный момент времени пор- портам конечных станций. Процесс конфигурирования протокола CGMP на устройстве Catalyst представляет- представляется достаточно простым. На большинстве коммутаторов Catalyst он работает по умол- умолчанию и не требует каких-либо конфигурационных изменений. Для других устройств Catalyst, таких, как коммутатор Catalyst 5000, требуется ввести команду set cgmp en- enable. Для предоставления многоадресатных МАС-адресов портам, преобразованным CGMP-протоколом, используется команда show multicast group cgmp. В случае настройки протокола CGMP для маршрутизатора команду ip cgmp необходимо вве- ввести для интерфейса, на котором требуется поддержка CGMP. Кроме того, также должны быть настроены некоторые многоадресатные протоколы маршрутизации (простейший вариант — протокол PIM в насыщенном режиме (dens-mode)). В будущем использование протокола многоадресатной регистрации (GARP Mul- Multicast Registration Protocol — GMRP) может стать наиболее общим подходом в различ- Глава 11. Коммутация третьего уровня 541
ных сетях. Протокол GMRP для обеспечения регистрационных служб многоадресат- ных МАС-адресов использует общий протокол атрибутивной регистрации (Generic Attributed Registration Protocol — GARP), описанный в стандарте 802.1р. Однако ввиду того, что разработка протокола GMRP еще продолжается, в настоящее время он не является наиболее приемлемым вариантом. Третьим способом является использование прослушивания IGMP-портов (IGMP Snooping). Прослушивание IGMP-портов представляет собой стандартизированную альтернативу протоколу CGMP. Для реализации указанной функции используются способности шаблонного контроля платы NFFC для прослушивания пакетов IGMP- протокола на пути их следования между маршрутизатором и конечными станциями. При изучении таких пакетов коммутатор Catalyst может выяснить, какие порты и в каких многоадресатных группах предназначены для конечных станций. Некоторые производители оборудования реализовали функцию IGMP Snooping с применением процессоров общего назначения. Однако без использования некоторой аппаратной поддержки реализация такого подхода может потерпеть неудачу, связан- связанную с проблемами масштабируемости инфраструктуры. Возникают подобные ситуа- ситуации из-за того, что IGMP-сообщения чередуются с данными буквально в каждом многоадресатном потоке сети. Производители не могут указать единственный много- адресатный IGMP МАС-адрес на процессоре. Вместо этого коммутатору приходится сортировать каждый пакет всех многоадресатных потоков, находя и обрабатывая при этом IGMP-пакеты. Такой подход не следует применять на процессорах общего на- назначения. Внимание! Все вышесказанное означает то, что протокол IGMP не может служить заменой прото- протоколу CGMP. Протокол IGMP подходит для высококлассных устройств, которые содер- содержат средства контроля соответствия шаблону, основанные на использовании инте- интегральных микросхем. Простейшим устройствам без наличия такой поддержки потре- потребуются службы протокола CGMP. Фактически, многие многоадресатные сети требуют присутствия обоих протоколов. Преимуществом технологии IGMP Snooping является то, что она чрезвычайно проста в настройке. Функция IGMP Snooping представляет собой пассивный про- процесс, напоминающий работу службы routed, запущенной в фоновом режиме на Unix-сервере. Вследствие этого конфигурировать маршрутизатор не требуется (хотя остается необходимость запуска многоадресатных протоколов маршрутизации). Для коммутатора Catalyst необходимо просто использовать команду set igmp enable. Для отображения списка многоадресатных МАС-адресов, соответствующих портам, созданным в течение IGMP-процесса, необходимо ввести команду show multicast group igmp. Качество обслуживания Первоначальная версия платы NFFC (NFFC I) не поддерживала функции обеспе- обеспечения качества обслуживания (Quality of Service — QoS) и классов обслуживания (Classes of Service — COS). Однако последние версии (NFFC II и NFFC/PFC) вклю- включают в себя поддержку указанных функций. Данная способность направлена на пере- переклассификацию трафика в кабельном узле на границе сети и позволяет пометить кри- критически важный трафик как использующий биты типов обслуживания (Type of 542 Часть IV. Расширенные возможности
Service — ToS) IP-протокола третьего уровня или предоставляет возможности второго уровня, такие, как стандарт 802.1р и протокол ISL (ISL-заголовок содержит три бита механизма COS). Устройства, которые поддерживают сложное образование очередей (sophisticated queuing) и алгоритмы выполнения задач по расписанию (sheduling algo- algorithms), такие, как Catalyst 8500, могут затем обрабатывать QoS- и COS-поля для обеспечения различных уровней обслуживания. Поскольку указанные возможности продолжают развиваться на момент публикации данной книги, их описание не при- приводится. Экспорт данных NetFlow Команды show, относящиеся к технологии MLS, такие, как show mis entry и show mis statistics protocol, предоставляют очень подробную информацию по протоколам сети. Такая же информация может накапливаться в режиме реаль- реального времени при помощи технологии экспорта данных NetFlow (NDE). Суть тех- технологии NDE заключается в доставке информации о каждом потоке накопительно- накопительному устройству (такому, как Cisco NetFlow FlowCollector). Поскольку один поток может проходить через несколько устройств и, следовательно, фиксироваться, на- накопительные станции обмениваются данными, чтобы исключить дублирование ин- информации и исходящих отчетов, таких, как информация по счетам (billing informa- information). Для инициализации указанной функции первоначально необходимо ввести команду set mis nde enable. Затем следует указать IP-адрес и номер порта нако- накопительного устройства с помощью команды set mis nde {collector_address | collector_name } port_number. Совет С помощью команды set mis nde flow можно фильтровать информацию, накоп- накопленную с помощью функции NDE. Например, команда set mis nde flow destina- destination 10.1.1.1/32 source 10.1.1.2/32 собирает информацию только по потокам от узла 10.1.1.2 к узлу 10.1.1.1. Когда следует применять технологию MLS Аппаратный подход к маршрутизации, использованный в технологии MLS, может быть очень полезным, когда такие методики, как модуль RSM и линейный маршрути- маршрутизатор, не приносят достаточной производительности. Действительно, наиболее инте- интересным преимуществом технологии MLS является то, что она может быть легко вне- внедрена в существующую сеть для увеличения производительности маршрутизации. Следовательно, наиболее общим аргументом в пользу применения технологии MLS является величина пропускной способности. Дополнительные возможности платы NFFC по обработке таких задач, как фильтрация протоколов, функция IGMP Snoop- Snooping, накопление данных NetFlow и обеспечения функций качества обслуживания, могут сделать технологию MLS еще более привлекательной, чем ее использование только в качестве ускорителя маршрутизации. Однако для наиболее полного изучения аспектов технологии MLS необходимо рассмотреть маршрутизацию, основанную на устройствах класса 8500. Глава 11. Коммутация третьего уровня 543
Коммутирующие маршрутизаторы Тогда как технология MLS с целью реализации коммутирования по кратчайшему пути использует аппаратное кэширование, устройство Catalyst 8500 использует аппа- аппаратную платформу для решения тех же задач, что и обычный маршрутизатор, но со значительно большей скоростью. Для достижения максимально высокой пропускной способности, необходимой в современных территориальных магистралях, устройства 8500-й серии разделяют задачи маршрутизации на две функциональные группы. В первую группу входят задачи обеспечения работы протоколов маршрутизации, таких, как OSPF и EIGRP, с целью определения общей топологии и пути. Указанные задачи решаются при помощи RISC-процессоров общего назначения, которые входят в так называемый блок управления (control plane). Во вторую группу входят задачи про- просмотра таблиц маршрутизации и перенаправления данных. Решение указанных про- проблем основано на использовании высокоскоростных интегральных микросхем (ASIC), которые часто называются блоком данных (data plane). На основе объединения ука- указанных блоков создается очень быстрая и вместе с тем гибкая и функционально раз- разнообразная платформа. Внимание! Собственный режим IOS (Native IOS Mode) устройства Catalyst 6000 также может при- применяться для реализации коммутации третьего уровня на базе коммутирующих маршру- маршрутизаторов. Данная тема более подробно раскрывается ниже в настоящей главе, а также в главе 18, "Коммутация третьего уровня и коммутаторы Catalyst 6000/6500". Рассмотрим устройство Catalyst 8510 корпорации Cisco — первый коммутирующий маршрутизатор, ориентированный на рынок территориальных сетей. Функции мар- маршрутизации реализованы в нем посредством процессора коммутации маршрута (Switch Route Processor — SRP). С точки зрения аппаратного обеспечения процессор SRP в основном подобен процессору коммутации ATM (ATM Switch Processor — ASP), входящему в состав ATM-коммутатора Lightstream 1010. Процессор SRP ис- используется, в основном, для работы дейтаграммных протоколов маршрутизации, та- таких, как RIP и OSPF, а не протоколов ATM-маршрутизации, таких, как PNNI. После создания таблицы маршрутизации с помощью соответствующих протоколов информация из нее используется процессором для образования так называемой таб- таблицы экспресс-коммутации корпорации Cisco (Cisco Express Forwarding — CEF table). Как только в таблице маршрутизации будут перечислены все возможные точки, в ко- которые маршрутизатор может направлять пакеты, в CEF-таблице появится запись, ука- указывающая, как достичь каждой известной точки в сети. В отличие от таблицы мар- маршрутизации, которая ограничена только основной информацией, такой, как маршрут к получателю (destination route), следующая точка перехода (next hop) и метрика мар- маршрутизации (routing metric), CEF-таблица может использоваться для хранения более широкого диапазона разнообразных сведений. Записи в таблице имеют отношение к таким функциям, как организация очередей (Queuing) и механизмы QoS/COS. Более того, CEF-таблица является более быстродействующей, поскольку сведения хранятся в формате, обеспечивающем чрезвычайно эффективный поиск. Технология CEF ре- решает противоречивые задачи обеспечения скорости и функциональности и представ- представляет собой прогрессивный шаг в области технологии маршрутизации. Корпорация Cisco с 1997 года успешно применяет технологию CEF в высококлассных фирменных 544 Часть IV. Расширенные возможности
Internet-ориентированных платформах маршрутизации. Начиная с операционной сис- системы IOS версии 12.0, поддержка данной технологии обеспечивается всеми моделями маршрутизаторов. Основная концепция технологии СЕР реализована во всех продуктах модельного ряда Cisco, однако в устройстве 8510 она нашла новое применение. Процессор, рас- расположенный в блоке SRP, используется для создания CEF-таблицы, но решение о передаче пакетов принимается без его участия. Вместо этого процессор загружает ко- копию CEF-таблицы в каждую линейную плату (line card). Линейные платы содержат интегрированные микросхемы, которые фактически и осуществляют просмотр CEF- таблицы со скоростями проводника. С точки зрения входного порта (ingress port) уст- устройства 8510 в блоке содержится группа АТМ-подобных виртуальных каналов (virtual cirquit — VC), с помощью которых он соединяется с любым другим портом (между всеми портами устройства существует множество виртуальных каналов, которые при- призваны содействовать выполнению функций QoS). Образно виртуальные каналы мож- можно представить как трубы, через которые порт ввода передает данные всем портам вывода. Если провести аналогию между входящими данными и игрушечными шари- шариками, то каждый порт ввода, используя CEF-таблицу, определяет, в какую трубу по- попадет каждый шарик. В результате, существует механизм, который строит эффектив- эффективную и гибкую таблицу коммутации, централизовано используя при этом процессор общего назначения. Ресурсоемкий процесс определения пути следования фреймов че- через устройство поддерживается посредством набора распределенных высокоскорост- высокоскоростных интегральных микросхем (ASIC). Известно, что коммутаторы 8500-й серии осно- основаны на встроенной поддержке технологии ATM, а следовательно, поддерживают ин- интеллектуальные механизмы обеспечения службы QoS. Когда подобная поддержка технологий комбинируется с описанным выше механизмом коммутации, преимущест- преимущества технологии СЕР проявляются чрезвычайно убедительно. Коммутирующий маршрутизатор 8540 является следующим устройством корпора- корпорации Cisco, использующим те же методики, но на базе другой аппаратной платформы. Основные отличия заключаются в новом наборе управляющих и линейных плат, а также в использовании укрупненного шасси, на котором поддерживается большее ко- количество интерфейсов и высокоскоростная объединительная плата или коммутирую- коммутирующая структура. Поскольку в устройствах 8500-й серии используется встроенная техно- технология ATM, для них более характерно применение коммутирующей структуры, чем объединительной платы. В отличие от маршрутизатора 8510, единый блок SRP в уст- устройстве 8540 разделен на два подблока: блок процессора маршрутизации (Route Proc- Processor — RP) и блок процессора коммутации (Switch Processor — SP). Блок RP (или блок управления) поддерживает такие функции, как обработка протоколов маршрути- маршрутизации и построение CEF-таблиц. На основе локальной копии CEF-таблицы линей- линейными платами, содержащими, как и у предыдущей модели, интегральные микросхемы (так называемый блок данных), принимается решение о передаче данных. Для пере- передачи пакетов через объединительную плату или контролируемую зону линейные пла- платы должны использовать службы блока SR. Другим преимуществом подхода к коммутации третьего уровня на основе уст- устройств 8500-й серии во всех отношениях является то, что процессор в данном случае работает с полной операционной системой IOS. Такой подход не только приводит к более продуманному внедрению протоколов маршрутизации и других функций, но и значительно облегчает задачи настройки для специалистов, знакомых с обычными маршрутизаторами Cisco. В большинстве ситуаций для конфигурирования достаточно Глава 11. Коммутация третьего уровня 545
просто ввести последовательность команд conf t, int fa x/x/x и router ospf l. В качестве примера рассмотрим сеть, изображенную на рис. 11.22. CeTbVLAM 0/0/0 CeTbVLAN2 0/0/3 CeTbVUN3 CeTbVLAN4&5 Рис. 11.22. Пример сети с использованием устройства Catalyst 8500 Устройства, обозначенные на рисунке как Cat-A, Cat-B, Cat-C и Cat-D, являются коммутаторами серии Catalyst 5000, которые реализуют обычную коммутацию второго уровня. Каждое из указанных устройств содержит одну виртуальную локальную сеть (кроме коммутатора Cat-D, который содержит две сети VLAN). Все коммутаторы под- подключены к центральному маршрутизатору модели 8500 для использования служб маршрутизации третьего уровня. Возможный вариант конфигурации для маршрутиза- маршрутизатора приведен в примере 11.16. Пример 11.16. Конфигурация маршрутизатора Catalyst серии 8500 ipx routing 0000.0000.1001 1 interface FastEthernetO/0/0 description VLAN 1 ip address 10.1.1.1 255.255.255.0 I interface FastEthernetO/0/1 description VLAN 2 ip address 10.1.2.1 255.255.255.0 ipx network 2 i interface FastEtherneteO/0/2 description VLAN 3 546 Часть IV. Расширенные возможности
ip address 10.1.3.1 255.255.255.0 ipx encapsulation ARPA ipx network 3 ! interface FastEthernetO/0/3 no ip address ! interface FastEthernetO/0/3.4 description VLAN 4 encapsulation isl 4 ip address 10.1.4.1 255.255.255.0 ipx network 4 ! interface FastEthernetO/0/3.5 description VLAN 5 encapsulation isl 5 ip address 10.1.5.1 255.255.255.0 ipx network 5 ! router eigrp 1 network 10.0.0.0 Виртуальные локальные сети 2, 3 и 4 сконфигурированы для поддержки трафика протоколов IP и IPX. В сети VLAN 1 используется только протокол IP. На всех ин- интерфейсах, кроме Fast EthernetO/0/2, используется стандартная Ethernet-инкапсуляция novel_ether. На интерфейсе Fast EthernetO/0/2 используется инкапсуляция ARPA (DIX V2). Кроме того, поскольку коммутатор Cat-D использует две виртуальные локальные сети, интерфейс Fast EthernetO/0/3 настроен на поддержку протокола ISL. Как и в приведенных ранее примерах с линейным маршрутизатором на ISL-канале, каждая сеть VLAN настраивается на отдельный интерфейс. Совет Команда show vian, введенная для маршрутизатора 8500-й серии, поможет получить краткий обзор конфигурационной информации сетей VLAN, т.е. узнать, на какой порт настроена каждая виртуальная локальная сеть. Канал EtherChannel Одной из заслуживающих особого внимания отличительных черт устройств 8500-й серии является поддержка стандарта EtherChannel. Коммутаторы 8500-й серии под- поддерживают оба стандарта Fast и Gigabit EtherChannel. Настройка канала EtherChannel на любом коммутаторе или маршрутизаторе Cisco, включая 8500, заключается в кон- конфигурировании виртуального интерфейса, известного как интерфейс порт-канал (Port-Channel interface). Настройки протоколов IP и IPX вводятся для выбранного ин- интерфейса. Реальные Ethernet-интерфейсы включаются в канал с помощью команды channel-group. В качестве примера обратимся к рис. 11.22. В примере 11.17 приве- приведена частичная конфигурация, переключающая коммутатор Cat-D на использование канала EtherChannel с портами 0/0/3 и 0/0/4. Глава 11. Коммутация третьего уровня 547
Пример 11.17. Настройка канала EtherChannel для коммутатора Catalyst 8500 interface Port-Channell description To Cat-D no ip address ! interface Port-Channel1.4 description VLAN 4 encapsulation isl 4 ip address 10.1.4.1 255.255.255.0 ipx network 4 i interface Port-Channel1.5 description VLAN 5 encapsulation isl 5 ip address 10.1.5.1 255.255.255.0 ipx network 5 ! interface FastEthernet0/0/3 no ip address channel-group 1 i interface FastEthernetO/0/4 no ip address channel-group 1 Следует отметить, что ISL-подынтерфейсы созданы на интерфейсе порт-канал, а не на реальном Fast Ethernet-интерфейсе. Сравнение технологии MLS и маршрутизаторов 8500-й серии Какой из методов коммутации третьего уровня: коммутирующие маршрутизаторы (8500) или маршрутизирующие коммутаторы (MLS) — лучше, — покажет время. Ни один из них не имеет технического преимущества перед другим. Ни один из них не является более новым устройством. Фактически, оба метода появились одновременно, в июне 1998 года. Ни один из способов изначально не является более скоростным (здесь, однако, следует заметить, что в первых нескольких выпусках обоих продуктов маршрутизатор 8500-й серии предоставлял наивысшую пропускную способность). Ис- Исходя из перечисленных доводов, многие пользователи пришли к мнению, что техно- технологии MLS и 8500 являются взаимозаменяемыми. Однако, противоположное утвер- утверждение все-таки ближе к истине. С точки зрения проектирования технологии MLS и 8500 рассматривают одну и ту же проблему (коммутацию третьего уровня) под абсолютно разными углами. С одной стороны, методика MLS заключается в добавлении возможностей третьего уровня устройствам преимущественно второго уровня (коммутатор Catalyst). Образ- 548 Часть IV. Расширенные возможности
но говоря, MLS позволяет устройству второго уровня Catalyst Supervisor подняться до работы на третьем уровне. С другой стороны, устройства 8500-й серии функцио- функционируют исключительно в качестве маршрутизаторов, которые, как и все маршрути- маршрутизаторы Cisco, способны поддерживать функциональность мостов. В данном случае не рассматривается вопрос способности или неспособности устройства поддержи- поддерживать обработку третьего уровня. Фактически, оба устройства могут поддерживать функции как второго, так и третьего уровней. Проблема заключается в том, какому из уровней устройство наиболее полно соответствует, т.е., каково изначальное на- назначение устройства. Совет Коммутацию третьего уровня поддерживают оба типа устройств: как маршрутизирую- маршрутизирующие коммутаторы, так и коммутирующие маршрутизаторы. Однако, их подходы к реа- реализации данной технологии противоположны. Маршрутизирующие коммутаторы пре- преимущественно являются устройствами второго уровня, которые "подняты в зону дей- действия третьего уровня. Напротив, коммутирующие маршрутизаторы прежде всего представляют собой устройства третьего уровня, осуществляющие также функции мостов второго уровня. Применение маршрутизирующих коммутаторов Учитывая описанные в предыдущих разделах точки зрения, очевидно, что техно- технология MLS более удобна для применения в среде второго уровня. И несмотря на то, что производительность третьего уровня в данном случае заслуживает очень высокой оценки, она не является главным отличием технологии MLS от технологии маршрути- маршрутизаторов 8500-й серии. Действительно, выгодно отличает технологию MLS ее способ- способность тесно интегрировать обработку данных второго и третьего уровней. Например, инфраструктуры, использующие территориальные сети VLAN, могут извлекать значительные преимущества, опираясь на поддержку технологии MLS. В главе 14 приводятся доказательства того, что применение территориальных сетей VLAN является в большинстве случаев не самым лучшим подходом. Однако, в не- некоторых ситуациях территориальные сети VLAN находят очень эффективное при- применение. В частности, в условиях определенной мобильности пользователей и су- существовании проблем безопасности. Из-за того, что устройства 8500-й серии изна- изначально являются маршрутизаторами, задачи объединения обработки второго и третьего уровней даже для сети с более чем простой конфигурацией могут стать очень трудоемкими. Указанная проблема более подробно описана в разделе "Инте- "Интеграция маршрутизации и технологии объединения с помощью мостов" в конце на- настоящей главы. Конструкция сетей на основе более иерархического подхода (такого, например, как "многоуровневая модель", которая описана в главе 14, "Модели территориальных сетей") также может извлечь массу преимуществ из технологии MLS. Она может не только применяться для внедрения компонентов коммутации третьего уровня, необ- необходимых по условиям проекта, но и очень гибко реализовать такое внедрение. Одно из преимуществ гибкости может проявиться при удовлетворении некоторых пользова- г В модели OS1 нумерация уровней идет снизу вверх, третий уровень находится выше второго. — Прим, ред. Глава 11. Коммутация третьего уровня 549
тельских требований. Например, необходимо создать виртуальные локальные сети (иными словами, IP-подсети и IPX-сети), которые пересекают несколько MDF- коммутаторов для достижения многочисленных IDF-коммутаторов. Например, оба пользователя, подключенные соответственно к IDF-1 и к IDF-2, могут находиться в виртуальной локальной сети маркетингового отдела и использовать IP-адреса из од- одной подсети. Внимание! Маршрутизаторы 8500-й серии затрудняют внедрение сетей VLAN, которые объеди- объединяют несколько IDF-коммутаторов. Данная проблема описана ниже в настоящем раз- разделе. При использовании структуры с маршрутизаторами 8500 рекомендуется созда- создавать различные сети VLAN на каждом IDF-коммутаторе. В случае применения подоб- подобной конструкции рассматривается необходимость присутствия узлов в одной виртуальной локальной сети или подсети. Более верным решением будет размеще- размещение пользователей в различных виртуальных локальных сетях или подсетях. При та- таком подходе реализуется полная производительность третьего уровня, с которой маршрутизатор 8500 будет обрабатывать все пакеты между двумя этими узлами (в сущности, он может работать с одинаковой скоростью и как маршрутизатор, и как мост). Для решения проблем, связанных с мобильностью пользователей, можно ус- успешно использовать протокол DHCP, что также сократит в дальнейшем необходи- необходимость размещения рассматриваемых двух узлов в одной подсети. Кроме того, преимущества технологии MLS проявляются наиболее ярко в случае особой важности таких проблем, как плотность портов и стоимость, т.е., в кабельных узлах (wiring closet). Стоимость установки коммутирующего маршрутизатора в кабель- кабельной комнате чрезвычайно высока. Вместо этого рекомендуется устанавливать эффек- эффективные в ценовом отношении устройства марок Catalyst 5000 и 6000 с высокой плот- плотностью портов. При использовании технологии MLS можно снять нагрузку по обра- обработке пакетов с магистральных маршрутизаторов, что возможно при условии коммутации локального трафика по кратчайшим путям. Более того, дополнительные возможности платы NFFC, такие, как фильтрация протоколов, прослушивание пор- портов IGMP, а также классификация QoS, могут быть чрезвычайно полезными для применения в кабельных узлах (фактически там, где они наиболее полезны). Совет Основным преимуществом маршрутизирующего коммутатора (MLS) является уни- уникальная способность гармонично сочетать технологии второго и третьего уровня. С другой стороны, для полной реализации преимуществ масштабирования, ка- касающихся обработки третьего уровня, технология MLS требует выполнения специ- специальных действий. Например, в главе 7, "Расширенные возможности протокола рас- распределенного связующего дерева", рассматривается важность использования обра- обработки третьего уровня для разбиения крупных территориальных сетей па небольшие домены связующего дерева (Spanning Tree domains). Тем не менее, необоснованная установка коммутаторов, поддерживающих технологию MLS, не поможет реализо- реализовать такой замысел. На рис. 11.23 приведена схема сети, содержащей 50 MLS- совместимых коммутаторов с модулями RSM (для простоты на рисунке показаны не все устройства). 550 Часть IV. Расширенные возможности
Опорная сеть второго уровня с 50 подсетями VLAN Рис. 11.23. Крупная MLS-сеть Как видно на рис. 11.23, в результате образована плоская сеть с большим количе- количеством маршрутизаторов, расположенных по периметру. Модули RSM и MLS- обработка не создают никаких барьеров третьего уровня. Протокол магистральных ка- каналов сетей VLAN (VLAN Trunking Protocol — VTP), который описан в главе 12, по умолчанию автоматически размещает все 50 виртуальных локальных сетей на каждом из 50 коммутаторов (даже если каждый коммутатор использует только две или три се- сети VLAN), после чего каждый коммутатор запускает 50 операций обработки протоко- протокола связующего дерева. Проблема, возникшая в какой-либо одной сети или одном коммутаторе, может очень быстро нарушить работу всей сети. Создание обособленных разделов структуры сетевого уровня при использовании MLS-стиля коммутации требует тщательного планирования и проектирования вирту- виртуальных локальных сетей и магистральных каналов. На рис. 11.24 приведен пример од- одного из подходов к созданию разделов третьего уровня. В данном случае сети VLAN не развернуты по всему кампусу. Предположим, что кампус представлен двумя зданиями. Виртуальные локальные сети 1-10 находятся в здании 1, а сети 11-20 — в здании 2. Здания соединены посредством двух каналов. При этом применение немагистральных каналов предпочтительнее, чем создание ISL- каналов, которые образуют магистраль, соединяющую все сети VLAN в разных здани- зданиях. Если поместить каждый из указанных каналов в отдельную сеть VLAN, то трафик Глава 11. Коммутация третьего уровня 551
перед тем, как покинуть здание, вынужден будет пройти через коммутацию третьего уровня. Кроме того, поскольку уведомления протокола VTP посылаются только по магистральным каналам, указанный способ размещения каналов предотвратит нало- наложение всех виртуальных локальных сетей на каждый коммутатор, что характерно для стандартной работы протокола VTP. Виртуальные локальные сети 1-10 Виртуальные локальные сети 11-20 СетьУУШО CeTbVLAN31 Рис. 11.24. Применение технологии MLS для создания разделов третьего уровня Совет Существует еще один способ, с помощью которого создаются барьеры третьего уров- уровня в MLS-сети. Он заключается в создании уникального VTP-домена для каждого зда- здания. Уведомления протокола VTP в таком случае распространяются между коммута- коммутаторами Catalyst с совпадающими именами VTP-доменов. Сети VLAN содержатся в до- домене, если здания имеют различные имена VTP-домена. Применение коммутирующих маршрутизаторов Несмотря на то, что в некоторых случаях возможно создание разделов сетевого уровня с применением MLS-технологии и схем, приведенных на рис. 11.24, стандарт- стандартным такой подход назвать нельзя. Более того, он может быть ненадежным для неко- некоторых топологий. В таких случаях соответствующим решением является использова- использование коммутирующих маршрутизаторов 8500-й серии. Ввиду того, что маршрутизаторы данной серии представляют собой более скоростную версию обычных маршрутизато- маршрутизаторов Cisco, они автоматически создают барьеры третьего уровня, которые являются ос- основным фактором для создания стабильной и расширяемой сети. Например, маршру- маршрутизаторы 8500 не используют протокол распределенного связующего дерева (STP), ее- 552 Часть IV. Расширенные возможности
ли функция моста не активизирована специально. Стандартно они не разделяют вир- виртуальные локальные сети. Вместо этого маршрутизаторы 8500-й серии ограничивают такие сети, а затем маршрутизируют их пакеты в другие сети VLAN. Таким образом, не воспользоваться преимуществами барьеров третьего уровня можно только созна- сознательно, предприняв специфические меры к маршрутизатору 8500 (например, включив функцию моста). На рис. 11.25 проиллюстрирован такой момент. и \\ Рис. 11.25. Использование маршрутизаторов 8500-й серии для соединения комму- коммутаторов Catalyst второго уровня Без какого-либо особого воздействия на участки, принадлежащие коммутаторам Catalyst 5000, маршрутизатор 8500 автоматически изолирует каждое здание при помо- помощи барьера сетевого уровня. Данный подход, в свою очередь, предоставляет множест- множество преимуществ, таких, как улучшенная стабильность и производительность распреде- распределенного дерева, более простое управление конфигурацией и усовершенствованная многоадресатная производительность. Совет Основным преимуществом коммутирующих маршрутизаторов (8500-й серии) является простота. Они позволяют создать сеть, сочетающую в себе простоту сети, построен- построенной на основе старого маршрутизатора и концентратора, с производительностью со- современной коммутации. Необходимо отметить, что маршрутизатор Catalyst 8500 подобен аппаратному бло- блоку, ориентированному на функционирование на третьем уровне, и в сущности, не имеет представления о сети VLAN. Он действительно поддерживает группы мостов (bridge group), как альтернативный способ создания многочисленных широковеща- широковещательных доменов (broadcast domain). Однако, устройство Catalyst 8500 в настоящее время не поддерживает непосредственно виртуальные локальные сети и связанные с ними функции (протокол VTP и динамические сети VLAN), которые предоставляются Глава 11. Коммутация третьего уровня 553
более соответствующими второму уровню платформами, такими, как коммутаторы се- серий Catalyst 5000 и 6000. В сущности, последнее утверждение приводит обсуждение к отправной точке настоящего раздела: если необходимо подобрать устройство с под- поддержкой сложных функций второго уровня, таких, как организация сетей VLAN, про- протоколы VTP и DISL/DTP, и наряду с этим реализовать высокопроизводительную коммутацию третьего уровня, следует использовать технологию MLS. С другой сторо- стороны, если необходима простота обычной сети, основанной на маршрутизаторе, выбор следует сделать в пользу устройства 8500. Совет Среди прочего в настоящем разделе подразумевается, что применение маршрутиза- маршрутизаторов 8500-й серии фактически требует такого проектирования, при котором одна и та же виртуальная локальная сеть или подсеть не размещается на различных IDF- коммутаторах. Данный подход может быть реализован с помощью методики 1RB. Од- Однако, как подчеркивалось выше, следует избегать ее применения в крупномасштабных сетях. С другой стороны, ориентированная на второй уровень технология MLS помо- помогает достаточно просто подключать одну сеть VLAN к многочисленным IDF- коммутаторам. Коммутация третьего уровня на базе коммутатора Catalyst 6000 Семейство коммутаторов Catalyst 6000 основано на существующих технологиях, разработанных корпорацией Cisco. С точки зрения коммутации третьего уровня суще- существуют два способа их применения: • с использованием модуля многоуровневой коммутации (Multilayer Switch Module - MSM); • с применением технологии MLS на основе функциональной платы многоуров- многоуровневой коммутации (Multilayer Switch Feature Card — MSFC). Внимание! В коммутаторе Catalyst 6000 работа платы NFFC технически поддерживается при по- помощи дополнительной платы, которая называется функциональной платой контроля политик (Policy Feature Card — PFC). Плата PFC сама по себе способна предостав- предоставлять функции QoS и списков доступа. И поскольку современная реализация требует наличия платы MSFC для осуществления коммутации третьего уровня платой PFC, в настоящем разделе употребляется термин "плата MSFC" под которым подразумева- подразумевается комбинация перечисленных выше плат. Модуль MSM представляет собой изначально необходимое дополнение к коммута- коммутаторам Catalyst 6000 для реализации функций третьего уровня. Плата MSM основана на процессоре SRP маршрутизатора 8510 и реализует скорость приблизительно 5 мил- миллионов пакетов в секунду для IP- и IPX-маршрутизации. С точки зрения конфигура- конфигурации плата использует четыре гигабитовых Ethernet-соединения с объединительной платой. Каждый из таких портов может использоваться отдельной сетью VLAN. Kpo- 554 Часть IV. Расширенные возможности
ме того, при условии включения канала Gigabit EtherChannel на ее портах, плату можно использовать в качестве единого интерфейса, поддерживающего любое коли- количество виртуальных локальных сетей. Как и в случае с линейным маршрутизатором, который описывался выше, каждая виртуальная локальная сеть затем может быть на- настроена на отдельный подынтерфейс. Вторая фаза внедрения коммутации третьего уровня в коммутаторы Catalyst 6000 выполняется с помощью платы MSFC. Она вносит в коммутатор функциональность платы NFFC II и поддерживает технологию MLS со скоростью обработки, равной 15 млн пакетов в секунду для протоколов IP и IPX. Плата также предоставляет службы маршрутизации на программной основе посредством технологии, унаследованной от маршрутизатора модели 7200 NPE. В результате такой конструкции полностью устра- устраняется необходимость установки модуля MSM на то же самое шасси. Встроенный маршрутизатор использует программы маршрутизации для обработки первого пакета каждого IP- или IPX-потока, после чего остальные пакеты контролируются аппарат- аппаратным обеспечением с применением технологии MLS. Кроме того, встроенный мар- маршрутизатор также используется для обеспечения полной программной многопрото- многопротокольной маршрутизации для таких протоколов, как AppleTalk, DECnet и VINES. В таком случае скорость обработки приблизительно равна 100 000 пакетов в секунду (т.е. скорость быстрой коммутации). Одной из наиболее интересных особенностей платы MSFC является то, что ее конфигурирование и управление могут полностью осуществляться с помощью одного из двух различных программных образов. В первом случае программный маршрутиза- маршрутизатор использует стандартный IOS-образ, тогда как устройство Supervisor — обычный образ XDI/CatOS. Такая ситуация отражается на внешнем виде пользовательского ин- интерфейса и процессе конфигурации, который, в сущности, идентичен описанному ра- ранее в разделе "Технология MLS" настоящей главы. Такой режим настройки платы MSFC называется гибридным (Hybrid Mode). Во втором случае используется собст- собственный режим IOS (Native IOS Mode). Такой режим характеризуется тем, что про- программный маршрутизатор, как и Supervisor, работает с полным образом операционной системы IOS, в результате чего создается чрезвычайно интегрированный пользова- пользовательский интерфейс. Путем простого изменения программного обеспечения коммута- коммутатора Catalyst можно преобразовать подобный коммутатору блок в полноценный мар- маршрутизатор. Более подробно данная тема освещена в главе 18 "Коммутация третьего уровня и коммутаторы Catalyst 6000/6500". Протокол HSRP Фирменная разработка корпорации Cisco — резервный протокол маршрутизации (Hot Standby Router Protocol — HSRP) — играет важную роль в большинстве террито- территориальных сетей. Основная задача протокола HSRP заключается в обеспечении избы- избыточного стандартного шлюза (default gateway) для конечных станций. Кроме того, он может успешно применяться для балансировки нагрузки. В текущем разделе рассмат- рассматриваются оба приведенные выше аспекта использования протокола HSRP. Многие конечные станции допускают использование только одного стандартного шлюза. Обычно такие станции, обмениваясь данными со всеми станциями за преде- пределами локальной подсети, полностью зависят от одного маршрутизатора. Для того что- чтобы избежать подобного ограничения, используется протокол HSRP, предоставляющий Глава 11. Коммутация третьего уровня 555
механизм совместного использования двумя или более маршрутизаторами одного IP- адреса. Пример такой сети приведен на рис. 11.26. Маршрутизатор А . Маршрутизатор Б t-B Сегмент 1 Сегмент 2 Cat-C Узел А IP: 10.1.1.42 Стандартный шлюз: 10.1.1.1 Рис. 11.26. Протокол HSRP позволяет нескольким маршрутизаторам совместно использо- использовать IP- и МАС-адреса Несмотря на то, что обоим маршрутизаторам назначены уникальные IP-адреса A0.1.1.2 и 10.1.1.3), протокол HSRP предоставляет им для совместного использова- использования третий адрес. Каждый маршрутизатор для отслеживания состояния другого мар- маршрутизатора периодически (стандартно, один раз в три секунды) обменивается с ним приветственными сообщениями. Один из маршрутизаторов избирается в качестве ак- активного HSRP-узла (active HSRP peer) и принимает на себя всю ответственность за совместно используемый адрес. Другой маршрутизатор становится в таком случае ре- резервным HSRP-узлом (standby HSRP peer). Если резервный узел не получает ответа от активного в течение контрольного периода времени, который называется временем удержания линии (Hold Time), предполагается, что активный узел вышел из строя, 556 Часть IV. Расширенные возможности
после чего резервный узел начинает выполнять функции активного. Стандартно время удержания линии равно десяти секундам, а время обмена приветствиями (Hello Time) — трем секундам. Следовательно, в случае отказа будут утеряны три приветст- приветственных сообщения, прежде чем резервный узел станет активным. Одной из тонкостей, присущих протоколу HSRP, является то, что для создания действительно прозрачного механизма защиты от сбоев маршрутизаторам необходимо совместно использовать не только общий IP-адрес, но и МАС-адрес. Следовательно, для создания общего виртуального МАС-адреса необходимо использование опреде- определенного алгоритма. Единственным узлом, использующим полученные IP- и МАС- адреса, является активный. Однако, если произошел сбой в работе активного узла, другое устройство принимает не только разделяемый IP-адрес, но и разделяемый МАС-аарес. Благодаря этому после сбоев нет необходимости обновлять ARP-кэш ка- каждой конечной станции в сети. Совет Несмотря на то, что разделяемый МАС-адрес во время обработки сбоев протоколом HSRP предотвращает возникновение проблем с ARP-кэшем, он сам может вызвать некоторые проблемы при первоначальном тестировании данного протокола. Напри- Например, предположим, что существующий маршрутизатор с IP-адресом 10.1.1.1 был включен в HSRP-конфигурацию, в которой указанный адрес становится разделяемым. В этот момент конечные станции продолжают ориентироваться на реальный МАС- адрес, связанный с маршрутизатором, а не на виртуальный МАС-адрес, созданный протоколом HSRP. Для разрешения указанной проблемы необходимо перезагрузить конечные станции или очистить их ARP-кэш. Здесь необходимо отметить, что протокол HSRP может быть полезен даже в случа- случаях использования клиентскими станциями набора протоколов TCP/IP, который под- поддерживает применение нескольких стандартных шлюзов. В некоторых случаях меха- механизмы аварийного перехода на альтернативный шлюз, использованные в наборе про- протоколов TCP/IP, не являются надежными. В других случаях, например, в современных наборах протоколов корпорации Microsoft, функция избыточности рабо- работает только для некоторых протоколов (в данном случае для TCP, но не для UDP). Так или иначе, многие организации не могут позволить себе полагаться на случай в вопросах надежности стандартного шлюза и внедряют протокол HSRP. Совет Протокол HSRP эффективен, даже если имеющийся набор протоколов TCP/IP позво- позволяет использовать многочисленные стандартные шлюзы. В примере 11.18 приведена возможная HSRP-конфигурация для маршрутизатора А в схеме на рис. 11.26. Г~" •'--——.■• "■■:,, " ■: ■■■ '■-. ;•"..-•. • -•-■-. ■.■_-..-..._--: .„.........^..^ ^ Пример 11.18. HSRP-конфигурация для маршрутизатора А Ч ! interface EthernetO description Link to wiring closet Catalysts ip address 10.1.1.2 255.255.255.0 standby 1 priority 110 standby 1 preempt Глава 11. Коммутация третьего уровня 557
standby 1 ip 10.1.1.1 standby 1 track Ethernetl 15 i interface Ethernetl description Link to backbone ip address 10.1.2.2 255.255.255.0 Реальный IP-адрес назначается при помощи обычной команды ip address. Па- Параметры протокола HSRP устанавливаются пвсредством различных команд группы standby. Разделяемый адрес добавляется командой standby group_number ip ip_address. Последняя командная строка должна быть введена на обоих маршрути- маршрутизаторах. Совет Параметр дгоцр_лumber должен быть одинаковым для обоих маршрутизаторов. Для соответствующего размещения активного узла в большинстве проектов терри- территориальных сетей следует принять во внимание несколько важных соображений. В общем случае необходимо помнить следующие указания: • активный HSRP-узел должен быть расположен рядом с корневым мостом свя- связующего дерева (Spanning Tree Root Bridge) или непосредственно на нем; • маршрутизатор должен передать роль активного HSRP-узла другому устройству в случае потери соединения с магистралью. В сетях, содержащих петли второго уровня, корневой мост связующего дерева по- подобен центру вселенной. Другие мосты ишут наиболее эффективные пути к такому устройству. В случае размещения активного HSRP-узла рядом с корневым мостом или непосредственно на нем протокол распределенного связующего дерева (STP) автома- автоматически будет способствовать направлению пользовательского трафика к стандартно- стандартному шлюзу по наилучшему пути. В качестве примера обратимся к рис. 11.26 и предпо- предположим, что маршрутизатор А является активным HSRP-узлом, устройство Cat-B — корневым мостом связующего дерева, а сегмент 1 содержит заблокированный порт. В такой ситуации весь трафик стандартного шлюза будет направлен по неэффективному пути через Cat-B (сегменты 2 и 3). Устранить излишний мостовой переход можно пу- путем размещения активного HSRP-узла и корневого моста на маршрутизаторе А и коммутаторе Cat-A. Для того, чтобы задействовать коммутатор Cat-A в качестве корневого моста, мож- можно использовать команды set spantree root или set spantree priority, опи- описанные в главе 6, "Основы протокола связующего дерева". С помощью команд standby group_number priority priority_value маршрутизатор А назначается активным HSRP-узлом. Узел с наибольшим значением параметра priority_value (стандартное значение равно 100) становится активным. В описываемом случае при- приоритет маршрутизатора А равен ПО, что обуславливает его избрание в качестве актив- активного узла. Однако, если он будет загружен после маршрутизатора Б, то по умолчанию не сможет занять положение активного узла (ожидая сбоя в работе маршрутизатора Б), таким образом, будет создана такая же неэффективная структура, как и в описан- описанном ранее случае. Подобного эффекта можно избежать путем ввода команды standby group_number preempt, которая вынуждает маршрутизатор занимать положение ак- активного узла немедленно после получения наивысшего приоритета. 558 Часть IV. Расширенные возможности
Совет В отличие от протокола связующего дерева, в котором предпочтительным является наименьшее значение, в протоколе HSRP предпочтительнее наивысшее значение. Второй вариант характерен для случая, когда маршрутизатор, имеющий наивыс- наивысший приоритет, утратил связь с остальной частью сети. Например, предположим, что маршрутизатор А является активным HSRP-узлом, но его канал Ethernetl разо- разорван. Такая ситуация не препятствует прохождению трафика к магистрали, т.к. маршрутизатор А может использовать свой интерфейс EthernetO для отправки паке- пакетов к ней через маршрутизатор Б. Несмотря на такую ситуацию, в данном случае теряется эффективность прохождения трафика. С целью предотвращения возникно- возникновения подобных ситуаций рекомендуется использовать параметр standby track (см. пример 11.18). Значение, заданное в команде standby track, является чис- числом, которое вычитается из приоритета узла в случае, если происходит сбой в рабо- работе указанного интерфейса. Чтобы контролировать несколько интерфейсов, команду standby track можно вводить несколько раз. Если нарушается работа нескольких интерфейсов, вычитаемые значения накапливаются. В приведенном выше примере при отключении интерфейса Ethernetl маршрутизатора А приоритет маршрутизато- маршрутизатора понижается до значения 95. Т.к. данное значение ниже, чем приоритет маршру- маршрутизатора Б (равный по умолчанию 100), маршрутизатор Б занимает положение ак- активного узла и обеспечивает более оптимальный поток данных к магистрали. Не- Несмотря на то, что описанная конфигурация предоставляет избыточный стандартный шлюз для конечных станций, подключенных к коммутатору Cat-C, она подвержена одному ограничению: весь трафик обрабатывается маршрутизатором А. Для устра- устранения указанной проблемы на коммутаторе Cat-C следует создать несколько вирту- виртуальных локальных сетей. Для каждой сети VLAN в команде standby используется отдельное значение параметра group_number. Затем необходимо выбрать активные узлы для всех виртуальных локальных сетей. Например, маршрутизатор А может стать активным узлом для всех виртуальных локальных сетей с нечетными номера- номерами, а маршрутизатор Б — активным узлом для сетей VLAN с четными номерами. В примере 11.19 приведена возможная конфигурация для маршрутизатора А (используются виртуальные локальные сети и ISL-интерфейс). Пример 11.19. ISL HSRP-конфигурация маршрутизатора А interface FastEthernetO/0/O description Link to wiring closet Catalyst no ip address ! interface FastEthernetO/0/0.1 encapsulation isl 1 ip address 10.1.1.3 255.255.255.0 standby 1 priority 110 standby 1 preempt standby 1 ip 10.1.1.1 standby 1 track FastEthernetO/0/1 15 ! interface FastEthernetO/0/0.2 Глава 11. Коммутация третьего уровня 559
encapsulation isl 2 ip address 10.1.2.2 255.255.255.0 standby 2 priority 100 standby 2 preempt standby 2 ip 10.1.2.1 i interface EthernetO/0/1 description Link to backbone ip address 10.1.3.2 255.255.255.0 В примере 11.20 приведена соответствующая конфигурация для маршрутизатора Б. Пример 11.20. ISL HSRP-конфигурация маршрутизатора Б '- ^ ^Я d interface FastEthernetO/0/0 description Link to wiring closet Catalyst no ip address i interface FastEthernetO/0/0.1 encapsulation isl 1 ip address 10.1.1.4 255.255.255.0 standby 1 ip 10.1.1.1 standby 1 priority 100 standby 1 preempt interface FastEthernetO/0/0.2 encapsulation isl 2 ip address 10.1.2.3 255.255.255.0 standby 2 ip 10.1.2.1 standby 2 priority 110 standby 2 track FastEthernetO/0/1 15 standby 2 preempt i interface EthernetO/0/1 description Link to backbone ip address 10.1.3.3 255.255.255.0 Совет Для различных виртуальных локальных сетей выбирать активные узлы следует из па- пары маршрутизаторов. Такой подход позволяет реализовать не только избыточность, но и балансировку нагрузки. Как указывалось ранее, размещение активных HSRP-узлов, очевидно, следует со- согласовывать с конфигурацией корневого моста распределенного связующего дерева. Таким образом, коммутатор Cat-A должен быть корневым мостом для виртуальных сетей с нечетными номерами, a Cat-B, соответственно, — корневым мостом для сетей VLAN с четными номерами. 560 Часть IV. Расширенные возможности
Совет Синтаксис конфигурационных команд протокола HSRP позволяет создавать резерв- резервные группы (standby group) без указания параметра group_number. Рекомендуется всегда указывать данный параметр, чтобы впоследствии облегчить добавление дру- других резервных групп. Кроме того, использование стандартной резервной группы может привести к неожиданному результату, если случайно будет предпринята попытка на- настроить протокол HSRP для нескольких виртуальных локальных сетей. Балансирование нагрузки при помощи протокола HSRP для множественных групп Использование распределенного связующего дерева и множественных виртуальных локальных сетей может быть эффективным, если в коммутаторе кабельного узла (wiring closet switch) Cat-C существуют петли второго уровня и несколько сетей VLAN. Такая ситуация возникает не всегда. Многие проектировщики планируют развертыва- развертывание сетей подобно схеме, приведенной на рис. 11.27. Активный HSRP-узел для группы 1 Маршрутизатор А" Реальный IP-адрес: 10.1.1.3 Стандартный шлюз = 10.1.1.1 Активный HSRP-узел для группы 2 Маршрутизатор Б Реальный IP-адрес: 10.1.1.4 Стандартный шлюз = 10.1.1.2 Узел А Узел Б Рис. 11.27. Сеть с использованием единственной виртуальной локальной сети в кабельном узле Глава 11. Коммутация третьего уровня 561
В конструкции сети, приведенной на рис. 11.27, коммутатор кабельной комнаты непосредственно подключен к паре коммутирующих маршрутизаторов, таких, как Catalyst 8500. Такой подход устраняет петли второго уровня и исключает связующее дерево из структуры сети, поскольку создает отдельные подсети, несмотря на то, что существует канал между двумя маршрутизаторами. Более того, поскольку на коммута- коммутаторе кабельного узла Cat-C используется единственная виртуальная локальная сеть, использовать замену сетей VLAN не представляется возможным. В данном случае наиболее эффективным решением будет использование протоко- протокола HSRP для множественных групп (Multigroup HSRP). Такая функция позволяет ис- использовать несколько номеров HSRP-групп (параметр group_numbers) на одном ин- интерфейсе. Возможная конфигурация для маршрутизатора А в описанном выше случае приведена в примере 11.21. (Пример 11.21. MHSRP-конфигурация маршрутизатора Catalyst 8500 < interface FastEthernetO/0/0 description Link to wiring closet Catalyst ip address 10.1.1.3 255.255.255.0 standby 1 ip 10.1.1.1 standby 1 priority 110 standby 1 track Fast EthernetO/0/1 15 standby 1 preempt standby 2 ip 10.1.1.2 standby 2 priority 100 standby 2 preempt Внимание! Некоторые из простейших маршрутизаторов содержат набор микросхем (chipset) Lance Ethernet, который не поддерживает функцию MHSRP. Однако все устройства, подходящие для территориальных магистралей, действительно поддерживают дан- данную функцию. С помощью кода, приведенного в примере 11.21, создаются два адреса, которые совместно используются маршрутизаторами А и Б для одной подсети. Реализовать ба- балансировку нагрузки можно путем указания узлам адресов стандартного шлюза. При этом адрес 10.1.1.1 указывается для одной половины узлов, подключенных к коммута- коммутатору Cat-C, а адрес 10.1.1.2 — для другой половины. Потенциальным недостатком та- такого способа является необходимость конфигурирования различных узлов для ис- использования разных стандартных шлюзов. Протокол DHCP предоставляет простой и эффективный метод решения данной проблемы. Поскольку существующие стандарты протокола DHCP не обеспечивают межсер- межсерверную связь, многим организациям приходится разделять каждый диапазон адресов на два блока (предположим, необходимо обеспечить избыточность DHCP-серверов). Диапазон адресов можно упрощенно определить как набор необходимых DHCP- адресов для подсети. Каждый из двух избыточных DHCP-серверов получает по одной половине адресов обоих диапазонов. Например, подсеть /24 с 54 адресами, зарезерви- 562 Часть IV. Расширенные возможности
рованными для постоянной конфигурации, оставляет 200 адресов, доступных для ис- использования протоколом DHCP. Сто из них могут быть размещены на первом DHCP- сервере, сто других адресов размещаются на втором DHCP-сервере. Если произошел отказ одного сервера, то второй способен предоставлять адреса клиентам в сети (предположим, что не потребуется более ста новых адресов). Поскольку каждый сер- сервер обладает своим собственным блоком глобальных адресов, отсутствие межсервер- межсерверного протокола (server-to-server protocol) не является проблемой. Существуют различные виды протокола DHCP, которые могут использоваться для настройки клиентских станций. Тип 3 протокола DHCP (DHCP Option 3) позволяет DHCP-серверам предоставлять клиентам шлюз по умолчанию (или список таких шлюзов). Возвращаясь к примеру сети на рис. 11.26, необходимо просто настроить один DHCP-сервер на первый, совместно используемый HSRP-адрес A0.1.1.1), а другой сервер — на второй HSRP-адрес A0.1.1.2). Для нормальной работы описанного метода необходимо случайное распределение аренды адресов между двумя DHCP-серверами. Если один сервер завершает выпуск 90 процентов адресного пространства, один из маршрутизаторов, вероятно, получает 90 процентов трафика. Чтобы гарантировать случайное распределение, необходимо разместить два DHCP-сервера рядом друг с другом (в общем случае, в одной сервер- серверной комнате). Можно также варьировать порядок указания альтернативных адресов командой ip helper-address между двумя маршрутизаторами. Например, предпо- предположим, что DHCP-серверам назначены адреса 10.1.55.10 и 10.1.55.11; маршрутизатор А в таком случае может использовать конфигурацию ip helper-address, приведен- приведенную в примере 11.22. Пример 11.22. Конфигурация вспомогательного IP-адреса для маршрути- l; •/'■ - "'"Щ- $:■■■ -затора А .. ■ . "■ ;Л"; . _ '■ :"V'■:'.■■ .- ::Щ interface FastEthernetO/0/O ip helper-address 10.1.55.10 ip helper-address 10.1.55.11 Напротив, маршрутизатор Б может использовать встречный порядок, как показано в примере 11.23. {Пример 11.23. Конфигурация вспомогательного IP-адреса для маршрут-] I- ■. . затора Б •'.'■■ ■ ' , '■■' .■ ■л--л-л>- ';■-. .-;.Ж-л-..-\ interface FastEthernetO/0/O ip helper-address 10.1.55.11 ip helper-address 10.1.55.10 Описанная выше конфигурация приводит к тому, что маршрутизатор А предостав- предоставляет небольшое преимущество DHCP-серверу с адресом 10.1.55.10, тогда как маршру- маршрутизатор Б предоставляет преимущество другому DHCP-серверу. Оба сервера имеют равные шансы первоочередного ответа на DHCP_DISCOVER-naKeTbi, которые посы- посылаются клиентскими станциями для запроса аренды адреса. Глава 11. Коммутация третьего уровня 563
Совет Если подобная методика применения протокола DHCP и функции MHSRP не подхо- подходит, следует рассмотреть возможность размещения коммутатора третьего уровня в кабельном узле IDF. Несмотря на то, что такой подход может быть дорогостоящим, он позволяет всем устройствам, подключенным к узлу IDF, использовать IDF-коммутатор в качестве стандартного шлюза. Возможности маршрутизации третьего уровня, встро- встроенные в IDF-коммутатор, помогут выбрать наилучший путь в территориальную магист- магистраль и автоматически распределить нагрузку по обоим внешним каналам (uplink). К сожалению, данный подход является трудно реализуемым при использовании мар- маршрутизирующего коммутатора (т.е., MLS-устройства). Значительно проще достичь ука- указанной цели при использовании коммутирующего маршрутизатора, такого, как Catalyst 8500 и Catalyst 6000, в собственном режиме IOS. Интеграция маршрутизации и технологии объединения с помощью мостов В разделе "Сравнение технологии MLS и маршрутизаторов 8500-й серии" описаны преимущества барьеров сетевого уровня или разделов сети (данная проблема более подробно рассматривается в главах 14, 15 и 17). В силу целого ряда причин многие проектировщики отказываются от "аппаратных барьеров", которые формируются благодаря такому подходу. Вместо этого реализуются "программные барьеры", при которых некоторые протоколы или виртуальные локальные сети ограничены, в то время как другие используются без ограничений. Для осуществления такого подхода необходимо объединение маршрутизации (т.е., коммутации третьего уровня) и техно- технологии мостов (т.е., коммутации второго уровня). В последующих двух разделах приво- приводится обзор двух наиболее часто используемых форм объединения маршрутизации и технологии мостов. Внимание! Существует также третья методика, при которой используется собственный режим IOS коммутатора Catalyst 6000. Она рассматривается подробно в главе 18, "Коммутация третьего уровня и коммутаторы Catalyst 6000/6500". Объединение виртуальных локальных сетей с помощью мостов Одним из простейших способов избежать "жесткости" барьеров третьего уровня является создание мостовых соединений между несколькими виртуальными локаль- локальными сетями. Многие проектировщики планируют использовать такой способ, имея две отдельные сети VLAN, в которых необходимо совместное использование некото- некоторых немаршрутизируемых протоколов, таких, как протокол локальной передачи (local-area transport — LAT) или протокол NetBIOS/NetBEUI. 564 Часть IV. Расширенные возможности
Совет Некоторых проектировщиков сетей пугает сама мысль об объединении с помощью мос- мостов, поскольку обособленные виртуальные локальные сети в таком случае исчезают. Настроить соединения с помощью мостов можно по той же технологии групп мос- мостов (bridge-group), которая много лет поддерживается маршрутизаторами Cisco. В примере 11.24 на маршрутизаторе 8500 активизируется мостовое соединение между сетями VLAN 2 и 3. ! Пример 11.24. Применение групп мостов для виртуальных локальных i сетей у interface FastEthernetO/0/O no ip address i interface FastEthernetO/0/0.1 encapsulation isl 1 ip address 10.1.1.1 255.255.255.0 ! interface FastEthernetO/0/0.2 encapsulation isl 2 ip address 10.1.2.1 255.255.255.0 ipx network 2 bridge-group 1 ! interface FastEthernetO/0/0.3 encapsulation isl 3 ip address 10.1.3.1 255.255.255.0 ipx network 3 bridge-group 1 i interface FastEthernetO/0/0.4 encapsulation isl 4 ip address 10.1.4.1 255.255.255.0 ipx network 4 ! bridge 1 protocol ieee Конфигурация, представленная в примере 11.24, приводит к тому, что IP- и IPX- трафик будут маршрутизироваться между подынтерфейсами Fast Ethernetl/0.2 и 1/0.3, тогда как все остальные протоколы будут обрабатываться с помощью моста. На по- дынтерфейсах Fast Ethernetl/0.1 и 1/0.4 соединения с помощью мостов не представ- представлены. Следует отметить, что такой подход требует, чтобы IP-клиенты в сетях VLAN 2 и 3 использовали различные IP-подсети (и IPX-сети), но один и тот же кабельный диапазон сети AppleTalk (AppleTalk cable range). Совет При использовании групп мостов необходимо помнить, что протоколы, работающие с адресами третьего уровня, будут маршрутизируемыми, в то время как все остальные протоколы будут обрабатываться с помощью моста. Глава 11. Коммутация третьего уровня 565
Такой метод применим, пока определенный протокол маршрутизируется или об- обрабатывается мостом на специфическом устройстве. В частности, в предыдущем при- примере протоколы IP и IPX маршрутизируются на всех интерфейсах. Протокол Apple- Talk обрабатывается указанным устройством в режиме моста. Обычно мостовая груп- группа не позволяет обрабатывать протокол IP по мостовой технологии между одной парой интерфейсов и маршрутизировать его между двумя другими. Для того, чтобы сделать такой вариант возможным, необходимо применить функцию, которая называ- называется интегрированием маршрутизации и объединения с помощью мостов (Integrated Routing and Bridging — IRB). Функция IRB Интегрированная маршрутизация и мостовое объединение (IRB) представляет со- собой методику, которую корпорация Cisco представила в операционной системе IOS версии 11.2. Она позволяет реализовать обработку одного протокола в аппаратном блоке, работающем как в режиме моста, так и в режиме маршрутизатора. Предшест- Предшественницей функции IRB была методика конкурирующей маршрутизации и мостового соединения (Concurrent Routing and Bridging — CRB) в операционной системе IOS версии 11.1. Она позволяла в одном устройстве осуществлять как маршрутизацию оп- определенного протокола (такого, как IP), так и мостовое соединение на основе вы- выбранного протокола. Функция CRB допускала обмен данными между всеми маршру- маршрутизируемыми интерфейсами, использующими данный протокол, а также между всеми интерфейсами мостов. Вместе с тем, сообщение между маршрутизируемыми интер- интерфейсами и интерфейсами мостов было невозможно. Иными словами, маршрутизи- маршрутизируемый и мостовой миры оставались отдельными островами. Большинству организа- организаций подобная функциональность и не требовалась. Методика IRB заполнила описанный пробел, позволив упомянутым "островам" сети обмениваться друг с другом данными. В свою очередь, возможность обмена по- породила несколько видов возможной конфигурации. Пример одной из них схематиче- схематически представлен на рис. 11.28. 10.1.4.62 10.1.4.63 10.1.1.20 10.1.2.15 УзелД 10.1.3.42 Узел В Рис. 11.28. Пример IRB-конфигурации 566 Часть IV. Расширенные возможности
Все интерфейсы с правой стороны маршрутизатора (faO/0/0, faO/0/l и faO/0/2) ис- используют IP-адреса отдельных IP-подсетей. Напротив, оба интерфейса с левой сторо- стороны (faO/0/З и faO/0/4) входят в одну подсеть. В связи с тем, что используется методика IRB, адреса 10.1.4.62 и 10.1.1.20 могут обмениваться ping-пакетами (что невозможно при использовании методики CRB). Для создания канала между маршрутизируемым и мостовым доменами корпорация Cisco внедрила особый виртуальный интерфейс, который называется мостовым вирту- виртуальным интерфейсом (Bridged Virtual Interface — BVI). Интерфейс BVI может на- настраиваться с адресами третьего уровня (его невозможно конфигурировать при помо- помощи сообщений протокола взаимодействия мостов — bridging statements) и служит в качестве маршрутизируемого интерфейса в остальной части блока. В качестве приме- примера воспользуемся схемой на рис. 11.29. Допустим, что интерфейс BVI использует IP- адрес 10.1.4.1. 10.1.4.62 10.1.4.63 УзелД 10.1.1.2.0 10.1.2.15 10.1.3.42 Узел В Рис. 11.29. Логическое представление интерфейса BV1 Предположим, что интерфейс fa0/0/4 получает фрейм с МАС-адресом узла Г. Фрейм отправляется через интерфейс faO/0/З как при использовании моста. Однако, посылая ping-пакеты узлу А, узел Г отправляет IP-пакеты своему шлюзу с адресом 10.1.4.1 (т.е., адресом интерфейса BV1). Если необходимо, узел Г отправляет ARP- запросы па адрес 10.1.4.1 с целью определения МАС-адреса BVI-интсрфсйса. Когда интерфейс fa0/0/4 получает трафик с МАС-адресом, принадлежащим интерфейсу BVI, он обрабатывает такой трафик как маршрутизатор, а не как мост. Затем, согласно обычному процессу маршрутизации, трафик направляется через интерфейс faO/0/O. В сущности, интерфейс BVI служит в качестве единого маршрутизируемого интер- интерфейса в интересах всех мостовых интерфейсов определенной виртуальной локальной сети. Интерфейс BVI сообщается с правой стороной блока (см. рис. 11.29) посредст- посредством маршрутизации, а с левой — посредством мостового соединения. Совет Необходимо предоставить один BVI-интерфейс для каждой виртуальной локальной сети, которая содержит не менее двух интерфейсов на одном IOS-маршрутизаторе, за исключением случая, когда порты образуют отдельный EtherChannel-блок (EtherChannel bundle). Глава 11. Коммутация третьего уровня 567
В примере 11.25 представлена возможная конфигурация для сети, приведенной на рис. 11.28 и 11.29. ||| interface FastEthernetO/0/O ip address 10.1.1.1 255.255.255.0 ! interface FastEthernetO/0/1 ip address 10.1.2.1 255.255.255.0 i interface FastEthernetO/0/2 ip address 10.1.3.1 255.255.255.0 i interface FastEthernetO/0/3 no ip address bridge-group 1 ! interface FastEthernetO/0/4 no ip address brige-group 1 i interface BVI 1 ip address 10.1.4.1 255.255.255.0 ! bridge 1 protocol ieee bridge 1 protocol ieee bridge 1 route ip Совет Номер BVI-интерфейса должен совпадать с номером мостовой группы. Функция IRB является важной особенностью таких платформ, как Catalyst 8500. В качестве примера рассмотрим случай непосредственного подключения 10 серверов к маршрутизатору 8540 вместе с двадцатью каналами, которые ведут к отдельным ком- коммутаторам кабельных узлов. Предположим, что необходимо разместить все серверы в одной подсети (следовательно, присутствует обработка IP-трафика с помощью моста). В то же время каждый коммутатор кабельного узла использует отдельную подсеть (т.е., IP-маршрутизацию). Без применения методики IRB в одном устройстве нельзя обеспечить маршрутизацию и передачу трафика средствами мостового соединения. Иными словами, методика IRB позволяет маршрутизировать IP-подсети, тогда как сеть VLAN серверного блока расширяется через маршрутизатор. Другим преимущест- преимуществом методики IRB является то, что она представлена в устройстве Catalyst 8500 на скорости, сравнимой со скоростями среды передачи данных (в программных маршру- маршрутизаторах методика IRB является быстрой коммутацией). Кроме преимуществ, методика IRB имеет и ряд недостатков. Наиболее важным из них является то, что широкое ее применение вызывает значительные конфигурацион- конфигурационные сложности. Например, рассмотрим маршрутизатор модели 8540 с количеством 568 Часть IV. Расширенные возможности
интерфейсов более ста, а также 30 или 40 интерфейсов BVI (по одному для каждой сети VLAN, в которой необходимо объединение маршрутизации и функциональности мостов). Такая структура может быстро исчерпать число доступных логических ин- интерфейсов, которые поддерживаются IOS. Чтобы избежать такой проблемы, методику IRB следует применять для решения специфических и точно определенных вопросов. Не следует пытаться построить всю сеть на основе только методики IRB. Совет Наличие единственного интерфейса BVI, содержащего множество физических интер- интерфейсов, не вызывает сложностей при конфигурации. В то же время, применение не- нескольких BVI-интерфейсов может привести к беспорядочной конфигурации и возник- возникновению проблем. Возможные проблемы при объединении виртуальных локальных сетей с помощью мостов Независимо от применяемого подхода, объединение сетей VLAN с помощью мостов %&южет привести к возникновению различных проблем. Общеизвестными являются про- проблемы с пропускной способностью и скоростью коммутации. Многие организации ис- используют программные маршрутизаторы, чтобы строить сеть на основе групп мостов и, вероятно, интерфейсы BVI, чтобы предоставить возможность немаршрутизируемому трафику пересекать границы виртуальной локальной сети. Программные мосты реали- реализуют функции мостового соединения с параметрами быстрой коммутации операционной системы IOS. В результате такого подхода трафик коммутируется на втором уровне со скоростью порядка миллиона пакетов в секунду только для того, чтобы резко напра- направиться в программный процесс мостовой обработки, которая часто функционирует со скоростью меньше 100 000 пакетов в секунду. Возвращаясь к автомобильной аналогии, представим, что трасса скоростной автомагистрали резко сменяется грязной дорогой. Внимание! Как указывалось выше, подобный недостаток нехарактерен для коммутирующих мар- маршрутизаторов, таких, как устройства 8500-й серии, поскольку они осуществляют пере- передачу данных на втором и третьем уровнях практически с одинаковой скоростью. Тем не менее, даже если вопрос ограниченной пропускной способности не стоит остро для рассматриваемой сети, может возникнуть иная проблема. Предположим, что необходимо соединить два домена второго уровня с конфигурацией, представлен- представленной в примере 11.26. Пример 11.26. Маршрутизация IP- и IPX-трафика одновременно с обра- обработкой данных всех остальных протоколов при помощи •• /';;; "'■■' ' ' "-"' МОСТа "'-'<■'■,• . ■ : :- -У •■■':-:;■/;-х. -.• .• . ;гй^& -::'^Ш*Ч'''■'■'■' '■ interface FastEthernetO/0/O no ip address ! interface FastEthernetO/0/0.1 Глава 11. Коммутация третьего уровня 569
encapsulation isl 1 ip address 10.1.1.1 255.255.255.0 ipx network 1 bridge-group 1 i interface FastEthernetO/0/0.2 encapsulation isl 2 ip address 10.1.2.1 255.255.255.0 ipx network 2 bridge-group 1 bridge 1 protocol ieee Представленная в примере 11.26 конфигурация позволяет маршрутизировать IP- и IPX-трафик между сетями VLAN 1 и 2. Кроме того, она дает возможность маршрути- маршрутизатору обрабатывать немаршрутизируемый трафик таких протоколов, как Net- NetBIOS/NetBEUI, в режиме моста. Несмотря на данную возможность, подобная кон- конфигурация также приводит к совмещению распределенных связующих деревьев в се- сетях VLAN 1 и 2, вследствие чего возникают две существенные проблемы, которые приведены ниже. • Нарушение расширяемости. Взаимопоглощение двух (или более) распределенных связующих деревьев приводит к потере преимуществ расширяемости, которые были созданы путем внедрения маршрутизаторов. Между двумя виртуальными локальными сетями возникает единственный корневой мост с одним набором путей с минимальными издержками к нему. В результате такой ситуации неста- нестабильность распределенного связующего дерева может быстро распространиться в обеих подсетях VLAN и вызвать простои всей сети. • Нарушение балансирования нагрузки, реализуемой с помощью распределенного связующего дерева. Как было показано в главе 7, "Расширенные возможности протокола распределенного связующего дерева", балансирование нагрузки с помощью распределенного связующего дерева основывается на нескольких виртуальных локальных сетях для создания различных топологий между ними. Например, сеть VLAN 1 может использовать канал 1, а сеть VLAN 2 — канал 2. Если распределенные связующие деревья объединятся в результате работы мос- мостового соединения виртуальных сетей, то обе виртуальные сети будут вынужде- вынуждены использовать один канал. Следовательно, доступная полоса пропускания сократится вдвое. Даже если существует способ избежать описанных выше проблем, необходимо тщательно планировать инфраструктуру сети с целью предотвращения третьей про- проблемы. Назовем ее условно "проблемой разорванной подсети". На рис. 11.30 приве- приведена схема сети, в которой существует такая проблема. Три устройства второго уровня Catalyst и два маршрутизатора используются для формирования кольца. С помощью команды bridge-group 1 для обоих интерфейсов маршрутизаторы А и В настроены на IP-маршрутизацию и поддержку мостового со- соединения для других протоколов. В результате для протокола IP топология представ- представляется подобно приведенной на рис. 11.31. 570 Часть IV. Расширенные возможности
Корневой мост 10.1 1.5 Маршрутизатор А \С^< 10.1.2.1 \ Рис. 11.30. Проблема разорванной подсети 10.1.1.5 Маршрутизатор Б Рис. 11.31. Сеть, приведенная на схеме (см. рис. 11.30), с точки зрения протокола IP Глава 11. Коммутация третьего уровня 571
Иными словами, средства протокола IP воспринимают сеть в виде двух подсетей. В то же время протокол распределенного связующего дерева имеет другое представле- представление о топологии сети, поскольку интерпретация протокола IP не играет для распреде- распределенного связующего дерева никакой роли. Распределенное дерево определяет только наличие кольца, состоящего из пяти устройств второго уровня. Предположим, что коммутатор Cat-A становится корневым мостом, а распределенное связующее дерево создает топологию, приведенную на рис. 11.32. Порты, называемые выделенными (designated port), корневыми (root port), передачи (forwarding) и блокированными (blocking), более подробно описаны в главе 6. Корневой мост Маршрутизатор А Маршрутизатор Б DP = Выделенный порт RP = Корневой порт F = Порт передачи В = Блокированный порт Узел Б Рис. 11.32. Топология сети, приведенной на рис. 11.29, с точки зрения распределенного дерева К сожалению, описанная выше ситуация может создать трудно определимую про- проблему. Рассмотрим попытку узла А передать IP-пакеты узлу Б. Узел А определяет, что узел Б принадлежит другой подсети, и передает трафик своему стандартному шлюзу — маршрутизатору А. Маршрутизатор А осуществляет обычную маршрутизацию и от- отправляет трафик через свой Е1 -интерфейс. Однако, доставка трафика к узлу Б невоз- невозможна, поскольку коммутаторы второго уровня заблокировали соответствующий путь 572 Часть IV. Расширенные возможности
(здесь необходимо вспомнить, что распределенное связующее дерево блокирует на коммутаторе Catalyst весь трафик, а не только ^маршрутизируемый). На рис. 11.30 он показан пунктирной линией. Диагностика и устранение проблемы разорванной подсети могут быть чрезвычайно трудными. Часто только небольшое количество узлов может определить проблемы, обмениваясь друг с другом информацией. Например, у узла А нет возможности свя- связаться с узлом Б, но он может связаться с любым другим адресом в сети. Если в сети присутствуют проблемы, связанные со стабильностью распределенного связующего дерева, то точки разрыва канала постоянно перемещаются. Более того, сбой имеет протокольную специфику. Все попытки узла А связаться с узлом Б, используя любой протокол, кроме IP, оказываются успешными. Указанные аспекты могут привести к чрезвычайно длительному поиску неисправностей, прежде чем будет обнаружена ис- истинная проблема. Устранение проблемы разорванной подсети Существуют три способа устранения проблемы разорванной подсети: • отключить мостовое соединение между виртуальными локальными сетями, по крайней мере, на одном мосту; • подобрать параметры распределенного связующего дерева с целью перенесения порта блокировки на один из портов маршрутизатора; • использовать различные версии протокола распределенного связующего дерева для маршрутизаторов и коммутаторов второго уровня. Отключение мостового соединения между виртуальными локальными сетями Простейшим и наиболее эффективным решением проблемы разорванной подсети является отключение мостового соединения между сетями VLAN, по крайней мере, на одном маршрутизаторе. Осуществить его можно при помощи удаления из конфи- конфигураций интерфейсов настроек bridge-group. Такой шаг предотвращает блокировку любых портов (см. рис 11.30), поскольку образуется беспетельная (loop-free) конфигу- конфигурация второго уровня. Данный подход устраняет избыточность с мостового соедине- соединения виртуальных локальных сетей, и таким образом, не может быть эффективным для всех типов сетей. Подбор параметров распределенного связующего дерева Настраивая различные параметры распределенного связующего дерева, можно пе- переместить заблокированный порт на один из портов маршрутизатора. В результате та- такой настройки маршрутизатор предоставит маршрутизируемым протоколам полный доступ к сети, а также предотвратит возникновение петель второго уровня для ие- маршрутизируемых протоколов. Иными словами, маршрутизатор получит возмож- возможность создать порт для блокировки определенных протоколов. Маршрутизируемые протоколы будут игнорировать порт блокировки распределенного связующего дерева. Тогда как для немаршрутизируемых протоколов порт блокировки станет непреодоли- непреодолимым препятствием. Существуют три способа перенесения порта блокировки (табл. 11.1). Глава 11. Коммутация третьего уровня 573
Таблица 11.1. Перенесение порта блокировки на маршрутизатор Способ осуществления Описание Стоимость пути (path cost) Размещение корневого моста Множественные распределен- распределенные связующие деревья Увеличение или уменьшение параметра стоимости пути протокола STP с це- целью воздействия на выбор выделенного (designated) и невыделенного пор- портов (non-designated) Перемещение корневого моста протокола STP таким образом, чтобы порт блокировки перемещался на интерфейс маршрутизатора Использование протокола IEEE STP на коммутаторах второго уровня моде- моделей Catalyst и протокола DEC или VLAN-Bridge на маршрутизаторе. Подроб- Подробнее данный вопрос рассматривается в разделе "Использование других про- протоколов распределенного связующего дерева" На рис. 11.33 представлена схема перемещения заблокированного порта путем уве- увеличения стоимости канала между коммутатором Cat-A и маршрутизатором А до 1000. Фактически, стоимость необходимо увеличивать на маршрутизаторе, а не на коммута- коммутаторе, поскольку коммутатор Cat-A является корневым мостом. Корневой мост Блокировка \ Маршрутизатор А Маршрутизатор Б Рис. 11.33. Перемещение порта блокировки на интерфейс маршрутизатора Еще одним приемлемым способом является перемещение корневого моста к мар- маршрутизатору Б. При таком подходе может возникнуть необходимость регулировки та- таких параметров, как приоритеты моста (bridge priorities) и стоимости пути (path cost), 574 Часть IV. Расширенные возможности
с целью перемещения порта блокировки на марщрутизаторный конец канала к ком- коммутатору Cat-В. Использование других протоколов распределенного связующего дерева Для реализации наиболее комплексного и творческого решения необходимо при- применение мостов второго уровня с версиями протокола STP, отличными от версий та- такого же протокола для маршрутизаторов. С коммутаторами второго уровня Catalyst таких моделей, как Catalyst 5000 и Catalyst 6000, применяются только IEEE-версии протокола STP. Между тем устройства, использующие полную операционную систему IOS, такие, как маршрутизатор 7500-й серии или Catalyst 8500, могут работать с одной из трех версий протокола STP для прозрачного мостового соединения. Очень ранние образцы устройств 8500-й серии поддерживают только IEEE-версию, а протоколу VLAN-Bridge требуется операционная система IOS версий выше 12.0. Существуют та- такие версии протокола STP для прозрачного мостового соединения: • IEEE-версия; • DEC-версия; • протокол VLAN-Bridge. Как было сказано в главе 6, "Основы протокола связующего дерева", Радия Пе- рельман (Radia Perlman) создала DEC-версию протокола STP, которая первоначально использовалась для DEC-оборудования. Версия института IEEE была стандартизиро- стандартизирована в спецификации 802.ID. Протокол VLAN-Bridge представляет собой фирменное, разработанное корпорацией Cisco расширение для IEEE-протокола (в нем использу- используется та же разметка пакетов BPDU со SNAP-заголовком). Он был создан для обеспе- обеспечения функций, которые описываются ниже в настоящем разделе. В качестве примера рассмотрим схему на рис. 11.30. Коммутаторы Cat-A, Cat-B и Cat-C используют IEEE-версию протокола распределенного связующего дерева, а маршрутизаторы А и Б — DEC-версию. На первый взгляд такой проект выглядит ненадежно. Смещение двух протоколов может привести к ситуации, когда один из протоколов не определит петлю и вызовет сбой всей сети. Поскольку обработка BPDU-пакетов коммутаторами второго уровня Catalyst несколько отличается от аналогичной процедуры в IOS-маршрутизаторах, ре- результаты могут быть безопасными и эффективными одновременно. Такой режим ра- работы возможен благодаря наличию двух возможностей: • коммутаторы второго уровня Catalyst лавинно рассылают пакеты DEC BPDU; • если IOS-марщрутизаторы используют DEC-версию протокола распределенного связующего дерева, то они поглощают пакеты IEEE BPDU. В результате пакеты IEEE BPDU блокируются маршрутизаторами, и создается то- топология, соответствующая схеме на рис. 11.34. В IEEE-версии протокола STP сеть рассматривается как разделенная на две обо- обособленные половины, для каждой из которых избирается свой собственный корневой мост. Глава 11. Коммутация третьего уровня 575
Корневой мост Рис. 11.34. IEEE-топология при использовании двух версий протокола STP С другой стороны, DEC-версия протокола, запущенная на маршрутизаторах, опре- определяет сеть совершенно по-другому. С точки зрения DEC-версии коммутаторов вто- второго уровня Catalyst не существует из-за того, что пакеты DEC BPDU лавинно рассы- рассылаются без изменений со стороны устройств Cat-A, Cat-B и Cat-C. Приведенный ме- механизм создает логическую топологию, приведенную в диаграмме на рис. 11.35. Корневой мост Маршрутизатор А Рис. 11.35. DEC-топология при использовании двух версий протокола распределенного связующего дерева 576 Часть IV. Расширенные возможности
Внимание! Следует заметить, что в DEC-версии протокола STP для каналов Fast Ethernet ис- используется параметр стоимости, равный единице. В результате, для обеспечения связи по всей сети одновременно работают две вер- версии протокола STP. Распределенные связующие деревья версии IEEE используются для того, чтобы воспрепятствовать возникновению между маршрутизаторами петель второго уровня. Каждое распределенное связующее дерево IEEE-версии обеспечивает полную связь между задействованными в нем маршрутизаторами. Такой подход пре- предотвращает возникновение проблемы разорванной подсети. Затем используется про- протокол DEC для определения взаимосвязи распределенных деревьев IEEE-версии в петлевой топологии. В приведенном выше примере он определяет, что петля сформи- сформирована, и блокирует порт, использующий DEC-версию протокола STP. Предположим, что маршрутизатор В функционирует в качестве корневого моста распределенного связующего дерева версии DEC (см. рис. 11.35). Механизм приводит верхний интер- интерфейс маршрутизатора А в состояние блокировки (blocking state). Внимание! Предполагается, что верхний интерфейс маршрутизатора Б имеет наименьший иден- идентификатор порта (port ID). Более подробная информация приведена в разделе "Балан- "Балансирование нагрузки с помощью установки приоритетов портов" главы 7, "Расширенные возможности протокола распределенного связующего дерева". Несмотря на то, что такой подход едва ли можно назвать самым интуитивным, он может быть очень полезным в сетях с необходимостью смешивания маршрутизации и технологии объединения на основе мостов. Совет Следует применять несколько версий протокола STP с целью предотвращения про- проблемы разорванной подсети там, где более простые методики, описанные в двух пре- предыдущих разделах, не подходят. Рекомендации, касающиеся сочетания технологии мостового соединения и маршрутизации Наилучшей рекомендацией будет по возможности избегать мостовых соединений между виртуальными локальными сетями. Они не только создают очевидную пробле- проблему чрезмерной широковещательной активности, но и обостряют целый ряд вопросов масштабируемости сетей. Простейшим способом избежать мостового соединения между сетями VLAN явля- является размещение всех узлов, которым необходимо связываться через немаршрутизи- руемые протоколы, в одной виртуальной локальной сети. Если такая виртуальная ло- локальная сеть должна охватывать множество коммутирующих маршрутизаторов в базо- базовом уровне сети, то можно без проблем создать интерфейс BVI. В случае необходимости использовать несколько сетей VLAN для передачи немаршрутизируе- мого трафика следует приложить все возможные усилия для их ограничения. Также Глава 11. Коммутация третьего уровня 577
необходимо рассмотреть возможность миграции к маршрутизируемым протоколам. Например, организации, использующие протоколы NetBIOS/NetBEUI для сетей Mi- Microsoft, могут активировать службы WINS и использовать протокол NetBIOS через на- набор протоколов TCP/IP (NBT). Наконец, следует помнить об уникальных преимуществах, предоставляемых ком- комбинацией технологии MLS и маршрутизаторов на основе устройств Catalyst, таких, как модуль RSM. Расширенная с помощью функций устройств Catalyst инфраструкту- инфраструктура второго уровня значительно облегчает процесс фуппирования различных комбина- комбинаций портов в нескольких сетях VLAN. Уникальная конструкция модуля RSM, которая использует все порты виртуальной локальной сети как единый интерфейс маршрути- маршрутизатора (interface Vlan X), также облегчает маршрутизацию трафика между виртуальны- виртуальными локальными сетями. Такой подход является более простым и лучше масштабируе- масштабируемым (по крайней мере, с конфигурационной точки зрения), чем применение методи- методики IRB. Кроме того, подобные преимущества можно получить, используя маршрутизирующую функцию собственного режима IOS в устройстве Catalyst 6000 (подробнее о ней говорится в главе 18, "Коммутация третьего уровня и коммутаторы Catalyst 6000/6500"). Контрольные вопросы В данный раздел включены различные вопросы по теме настоящей главы. Ответив на них, читатель сможет оценить степень владения изложенным материалом. Кроме того, приведенные ниже вопросы помогут подготовиться к письменным и лаборатор- лабораторным экзаменам на получение статуса сертифицированного эксперта по объединенным сетям Cisco (CCIE). Ответы на вопросы приведены в приложении А, "Ответы на кон- контрольные вопросы". 1. В чем заключается разница между маршрутизацией и коммутацией третьего уровня? 2. Можно ли реализовать поддержку мостового соединения между виртуальными локальными сетями при использовании межсетевой VLAN-марщрутизации на основе линейного маршрутизатора? 3. В чем проявляется особая эффективность применения модуля RSM при проек- проектировании соединений с удаленными подразделениями компании? 4. Укажите сильные стороны использования модуля RSM для коммутации третьего уровня. 5. Устраняет ли технология MLS необходимость применения маршрутизатора? 6. Необходимо ли при использовании технологии MLS применение маршрутизато- маршрутизатора, который поддерживает маршрутизаторный механизм NetFlow? 7. Создает ли маршрутизатор в процессе многоуровневой коммутации запись крат- кратчайшего пути и загружает ли ее в САМ-таблицу третьего уровня, содержащуюся в платах NFFC или MSFC/PFC коммутатора Catalyst? 8. Что такое маска потока? 9. Как маршрутизатор Catalyst 8500 принимает решение о маршрутизации пакетов? 10. Назовите два вида маршрутизации для устройств семейства Catalyst 6000. Чем, с точки зрения конфигурации, они отличаются? 578 Часть IV. Расширенные возможности
11. Что представляет собой функция MHSRP и насколько она необходима? 12. В чем заключается разница между методиками CRB и IRB? 13. В каких случаях необходимо применение методики IRB? 14. Назовите несколько недостатков, которые связаны со смешиванием технологии мостового соединения и маршрутизации. 15. Укажите преимущество одновременного использования IEEE и DEC-версий протокола распределенного связующего дерева. Какие устройства должны ис- использовать каждую из них? Глава 11. Коммутация третьего уровня 579
В этой главе... • Основы протокола VTP. В данном разделе приведено описание протокола VTP и его применение. - |? *?;• • Режимы протокола; VTP. В разделе описываются и сравниваются режимы VTP- сервера, клиента,' а также прозрачный режим протокола магистральных каналов виртуальных локальных сетей. . • Принцип действия протокола VTP. В этой разделе приводится описание различ- различных сообщений протокола VTP (VTP messages), таких, как общее уведомление (summary advertisement), уведомление подгруппы (subset advertisement), запросы ни' уведомление (advertisement requests) и сообщения отсечения (pruning messages). ?л: ■ ■:}"' -} ''■''■■:■'' .£? ;~-1й1 •J Настройка режима протокола VTP. В данном разделе представлен ряд различных I . примеров конфигураций, в которых иллюстрируется работа и средства устране- .; ния неисправностей протокола VTP.;. ? • Функция отсечения протокола УТР (pruning) и усовершенствованное управление трафиком. В данном разделе описан принцип действия и процесс настройки функции отсечения протокола VTP. » ' .,,..",
Глава 12 Протокол магистральных каналов виртуальных локальных сетей Для продуктов корпорации Cisco, поддерживающих коммутацию в локальных се- сетях, i характерен 'ряд особенностей, присущих устройствам семейства ^;.;Cataly*st 5000/6000. В качестве примера можно привести протокол магистральных ка- «";налов виртуальных локальных сетей (VLAN Trunking Protocol — VTP), описанный в ^настоящей главе, а также некоторые функции, которые описаны в других главах. Данные функции увеличивают производительность коммутаторов Catalyst в сети и уп- упрощают административные задачи, свойственные крупным локальным сетям. Комму- Коммутатор Catalyst способен работать без многих, если не всех, расширенных функций, подробно описанных в этой книге. Однако без них администрирование и конфигури- g 3 рование сети может показаться очень трудоемким. Например, создание виртуальных локальных сетей включает в себя такие опера- операции, как назначение коммутатору Catalyst домена управления (management domain), собственно, создание сети VLAN, а также назначение ей портов. Одно из средств, описанных в данной главе, а именно — протокол магистральных каналов виртуальных локальных сетей VTP, поможет минимизировать усилия, направленные на конфигу- конфигурирование устройств, путем: упрощения первых двух операций. Без использования „,.,'■> протокола VTP описанные выше операции придется выполнить вручную для каждого * коммутатора Catalyst в сети. В то же время, применяя указанный протокол, необходи- необходимо выполнить первые две операции только для определенных устройств. В данной главе приводится подробное описание принципа действия протокола VTP, процесса его конфигурирования в сети, а также указания по использованию некоторых его особенностей и описание случаев, когда их использовать не следует. Другим средством, предназначенным для упрощения административных задач, яв- являются динамические виртуальные локальные сети (Dynamic VLAN). Они позволяют ** коммутатору Catalyst автоматически конфигурировать порты для сети VLAN, основы- основываясь на MAC-адресах подключенных к нему устройств. В главе 5, "Виртуальные ло- локальные сети", описаны динамические сети VLAN, серверное и клиентское про- программное обеспечение службы политик принадлежности сетей VLAN (Membership Policy Server — VMPS), а также приведен подробный процесс их конфигурирования. t.j,- Некоторые из расширенных функций коммутаторов Catalyst обеспечивают увели- "'"" чение производительности сети за счет сокращения объемов лавинного трафика
(flooded traffic) в сети. Мост обрабатывает некоторые виды трафика: широковещатель- ньгй, многоадресатный и одноадресный трафик с неизвестным получателем (unknown unicast traffic), лавинно рассылая его по сети, основанной на мостах. Коммутатор Catalyst прежде всего является мостом и, следовательно, тоже рассылает трафик ла- лавинно. В настоящей главе описывается механизм управления лавинным трафиком в сети — функция отсечения протокола VTP (VTP pruning). Данная функция устраняет лавинную передачу, передавая лавинный трафик виртуальной локальной сети только в случае необходимости через магистральный порт. Протокол VTP помогает устройству Catalyst определить наличие такой необходимости. В настоящей главе приводятся опи- описание такой функции и методы ее конфигурирования для устройств Catalyst моделей 5000/6000. Основы протокола VTP Протокол VTP является фирменным протоколом корпорации Cisco и представляет собой протокол многоадресатных сообщений второго уровня, который способен об- облегчить некоторые административные трудности, связанные с поддержкой виртуаль- виртуальных локальных сетей. Протокол VTP определяет соответствие сетей VLAN всем типам передающей среды (media types) и методам разметки виртуальных локальных сетей (VLAN tagging methods) между коммутаторами, а также осуществляет согласование конфигурации сети. Данный протокол способствует сокращению операций, которые необходимо выполнить вручную для настройки коммутаторов при добавлении новой сети VLAN, когда она расширяется к другим коммутаторам сети. Более того, протокол VTP минимизирует потенциальную возможность несоответствий конфигурации и управляет добавлением, удалением и переименованием виртуальных локальных сетей в более безопасном режиме, чем это возможно при ручном изменении настроек для каждого коммутатора. Описываемый протокол является ценной программной функ- функцией, характерной для устройств Catalyst корпорации Cisco моделей 1900, 2820, 2948G, 3000, 4003 и серий коммутаторов 5000 и 6000. Довольно часто пользователи путают различия между протоколами VTP, ISL, 802.1Q, DISL и DTP. Все перечисленные протоколы предполагают использование магистральных каналов (trunks), но имеют различное назначение. В табл. 12.1 приво- приводятся сравнительные характеристики указанных протоколов. Г Тйб|ица:12.1. Краткая хараетеристикамагистральн^к протоколов (Trunk- j I ^^^fc Related Prcrtocoik) .: "•f^*r"'"*" ''^Ш:;/';■:,- ':Щ,1к':%'^р. ":У"'~'.\ Протокол Описание ISL Фирменный метод магистральной инкапсуляции (trunk encapsulation method) корпорации Cisco для поддержки сетей VLAN на интерфейсах FE (Fast Ethernet) или GE (Gigabit Ethernet) 802.1Q Стандарт института IEEE для поддержки сетей VLAN на магистральных каналах стандартов FE или GE. В сущности, он представляет собой стандартизированную подгруппу современной реализации метода 802. Ю корпорации Cisco, в котором используются механизмы распределенного связующего дерева для каждой сети VLAN (Per-VLAN Spanning Tree), подобные протоколу магистрального канала ISL (ISL Trunk Protocol) 582 Часть IV. Расширенные возможности
Окончание табл. 12.1 Протокол Описание Динамический ISL (DISL) Представитель первого поколения фирменных протоколов Cisco для магистраль- магистральных каналов. Предоставляет ряд возможностей для конфигурирования магист- магистральных каналов (trunks) на другом конце коммутаторного канала (или каналов) DTP Представитель второго поколения фирменных протоколов Cisco для магистраль- магистральных каналов. Предоставляет способы согласования магистрального канала с ли- линиями, в которых в качестве типов магистральной инкапсуляции может исполь- использоваться либо 802.1Q-, либо ISL-инкапсуляция VTP Фирменный метод корпорации Cisco для распространения VLAN-информации Протоколы ISL и 802.1Q указывают, как инкапсулировать или маркировать (tag) данные, транспортируемые через магистральные порты. Методы инкапсуляции и мар- маркировки пакетов идентифицируют виртуальную локальную сеть отправителя пакета. Такой подход позволяет коммутаторам мультиплексировать трафик от многочислен- многочисленных сетей VLAN в общий магистральный канал (trunk link). В главе 8, "Технологии и приложения магистральных соединений", представлено описание двух упомянутых выше методов и их принципы функционирования. Протоколы DISL и DTP позволяют устройствам Catalyst автоматически согласовы- согласовывать необходимость включения общего канала в качестве магистрального. Программ- Программное обеспечение коммутатора Catalyst включало в себя протокол DISL до тех пор, по- пока корпорация Cisco не внедрила поддержку стандарта 802.1Q. Когда протокол 802.1Q был реализован в программном обеспечении, возникла необходимость согласования протоколов при использовании ISL- или 802.1О.-инкапсуляции. По этой причине корпорация Cisco разработала второе поколение протоколов согласования магист- магистральных каналов — DTP. Протоколы DISL и DTP подробно описаны в главе 8 "Технологии и приложения магистральных соединений". Протокол VTP описывает правила обмена данными между устройствами Catalyst че- через магистральные каналы. Данный протокол позволяет коммутаторам Catalyst совмест- совместно использовать информацию о виртуальных локальных сетях в VTP-домене управле- управления. Он вступает в работу только после завершения согласования параметров магист- магистрального канала, осуществляемого посредством протоколов DISL/DTP, и функционирует в качестве полезной нагрузки (payload) для пакетов протоколов ISL/802.1Q. Кроме того, протокол VTP не способен работать на обычных (немагистральных) портах. Следовательно, с его помощью невозможно отправлять или принимать сообщения до тех пор, пока с помощью протоколов DISL или DTP канал не будет приведен в состояние магистрального. Работа описываемого протокола обособлена от протоколов ISL и 802.1Q: сообщения протокола VTP транспортируют конфигураци- конфигурационные данные, тогда как протоколы ISL и 802.1Q определяют методы инкапсуляции па- пакетов. Для наглядности можно воспользоваться анализатором протокола (protocol ana- analyzer), способным декодировать указанные протоколы, сконфигурировав его для пере- перехвата магистрального трафика. Сообщения протокола VTP в отчетах анализатора будут представлены инкапсулированными во фреймы протоколов ISL или 802.1Q данными. На рис. 12.12 показаны VTP-фреймы, инкапсулированные в пакеты протокола ISL. Протокол VTP осуществляет первоначальное распространение VLAN-информации. Настраивать протокол необходимо до начала конфигурирования любой из виртуальных локальных сетей. В главе 5, "Виртуальные локальные сети", подробно рассмотрены три этапа, которые необходимы для создания сети VLAN. Они кратко описаны ниже. Глава 12. Протокол магистральных каналов... 583
Этап 1. Назначение устройства Catalyst VTP-домену (если коммутатор Catalyst не сконфигурирован в прозрачном режиме протокола VTP, который подроб- подробно описан ниже). Этап 2. Создание виртуальной локальной сети. Этап 3. Назначение портов виртуальной локальной сети. В главе 5 подробно рассмотрены только два последних этапа. Изучение доменов протокола VTP было отложено до настоящей главы. Домен протокола VTP связывает коммутаторы Catalyst, которые решают общие конфигурационные задачи. Устройства Catalyst внутри VTP-домена совместно исполь- используют всю VLAN-информацию. При удалении или создании сети VLAN администрато- администратором на каком-либо коммутаторе Catalyst изменения в списке виртуальных локальных сетей домена автоматически становятся известны всем остальным коммутаторам Catalyst. Подобное средство способствует административной согласованности между устройствами Catalyst. Например, без конфигурационного единообразия распределен- распределенное связующее дерево не сможет конвергировать в оптимальной для виртуальных ло- локальных сетей топологии. Протокол VTP служит также для упрощения конфигураци- конфигурационных операций для администратора сети. Без него создавать и удалять виртуальные локальные сети необходимо вручную на каждом коммутаторе Catalyst. Вместе с тем, с помощью данного протокола сети VLAN автоматически распространяются по всем остальным устройствам Catalyst в VTP-домене управления. Такая возможность являет- является принципиальным преимуществом протокола VTP. Для небольших сетей данное преимущество, вероятно, не выглядит столь значительно. Однако в более крупных се- сетях оно становится исключительно полезным. Наряду с преимуществами наличие домена управления ограничивает степень, до которой могут распространяться изменения. На рис. 12.1 представлена система ком- коммутаторов Catalyst с двумя доменами управления wally и world. Домен wally содержит сконфигурированные сети VLAN 1, 2, 3 и 4, а домен world — сконфигурированные се- сети VLAN 1, 2, 3 и 10. Предположим, что не существует проблем на третьем1 уровне сети, и рабочие станции, принадлежащие одной и той же сети VLAN, могут обмени- обмениваться данными друг с другом, даже если они расположены в различных доменах управления. Станция сети VLAN 2 в домене wally относится к тому же широковеща- широковещательному домену, что и станция сети VLAN 2 в домене world. Ce™VLAN1,2,3,4 Сети VLAN 1,2,3,10 Рис. 12.1. Распределение сетей VLAN в сети коммутаторов Catalyst 1 Сетевом уровне модели OS1. — Прим. ред. 584 Часть IV. Расширенные возможности
Допустим также, что администратор сети принял решение добавить в оба домена сеть VLAN 5. Если создать сеть VLAN 5 в домене wally, то с помощью протокола VTP она распространится по всему упомянутому домену. Когда VTP-уведомление достиг- достигнет граничного коммутатора Catalyst в домене world, коммутатор проигнорирует ин- информацию из домена wally. Чтобы распространить виртуальную локальную сеть на ос- остальные устройства, администратору необходимо также создать сеть VLAN 5 и в до- домене world. Предположим, что администратор решил удалить сеть VLAN 3 из домена world. Администратор удаляет сеть VLAN 3 на коммутаторе Catalyst в домене world. Что в данном случае произойдет с сетью VLAN 3 в домене wally? Ничего. Когда граничный коммутатор Catalyst в домене world сгенерирует и отправит VTP-уведомление коммута- коммутатору Catalyst в домене wally, граничный коммутатор Catalyst в домене wally проигно- проигнорирует данное уведомление и сохранит сеть VLAN 3. Совет В случае, когда администратор удаляет сеть VLAN, протокол VTP распространяет ин- информацию об удалении остальным коммутаторам Catalyst в домене управления. Лю- Любые узлы, подключенные к портам удаляемой сети, утрачивают связь с сетью, по- поскольку все порты коммутаторов Catalyst в домене, назначенном данной сети VLAN, отключаются. Иногда администраторы сетей получают новое оборудование. Естественно, обору- оборудование поставляется без заранее установленной конфигурации. Немедленно присту- приступить к созданию виртуальных локальных сетей невозможно. Прежде всего, админист- администратору необходимо определить VTP-домен. Если коммутатор Catalyst конфигурируется в стандартном режиме VTP-сервера (default server VTP mode) и ему не назначен VTP- домен, то коммутатор не позволит создать сеть VLAN, как это показано на приме- примере 12.1. Необходимо отметить, что коммутатор Catalyst отправляет на консоль сооб- сообщение с уведомлением об отказе изменения состояния любой сети VLAN до тех пор, пока не будет задано доменное имя. Сообщение также отправляется VTP-серверу. Бо- Более подробно данный процесс описывается в разделе "Конфигурирование режима протокола VTP". 1 Пример 12.1. Создание сети VLAN без сконфигурированного Ч^Р^ Console> (enable) set vlan 10 паше willitwork Cannot add/modify VLANs on a VTP server without a domain name. Console> (enable) Рассмотрим компоненты, образующие VTP-домен. Для связывания коммутаторов Catalyst с общим VTP-доменом необходимо выполнение трех условий: • коммутаторы Catalyst должны иметь одно и то же имя УТР-домена; • устройства Catalyst должны быть смежными; • между коммутаторами должно быть настроено магистральное соединение (trunking). Первая предпосылка для вхождения в состав VTP-домена включает в себя имя до- домена управления. Коммутатор Catalyst определяет свое членство в домене управления протокола VTP посредством доменного имени. Всем коммутаторам Catalyst, которые Глава 12. Протокол магистральных каналов... 585
должны входить в один домен, необходимо присвоить одно и то же имя домена управления. Первоначально коммутатор Catalyst может получить имя своего домена управления тремя способами: из командной строки, из конфигурационного файла или, если включены магистральные каналы, автоматически от соседнего коммутатора. Для включения коммутатора Catalyst в домен управления вручную необходимо ис- использовать команду set vtp domain name. Правила ввода данной команды приведе- приведены в примере 12.2. Пример 12.2. Правила использования команды set vtp cat6> (enable) set vtp ? Usage: set vtp [domain <name>] [mode <mode>] [passwd <passwd>] [pruning <enable|disable>] [v2 <enable|disable> (mode=client|server|transparent Use passwd '0' to clear vtp password) Usage: set vtp pruneeligible <vlans> (vlans=2..10O5 An example of vlans is 2-10,1005) Допустимые доменные имена для устройств Catalyst должны содержать не более 32 символов. В примере 12.3 приведен возможный вариант конфигурирования имени VTP-домена управления. В данном примере администратор включает коммутатор Catalyst в состав VTP-домена wally. [ Пример 12.3. Возможный вариант применения команды set vtp domain Console> (enable) set vtp domain wally VTP domain wally modified Console> (enable) Какой виртуальной локальной сети и домену принадлежат коммутаторы Catalyst, если их конфигурация не задана? Если устройствам не назначен VTP-домен, то они принадлежат несуществующему домену (NULL-домену). Все порты стандартно при- принадлежат сети VLAN I. Для того, чтобы определить имя домена, которому принадле- принадлежит коммутатор, необходимо ввести команду show vtp domain, как это показано на примере 12.4. j Пример 12.4. Информация, выводимая командой show vtp domain Console> (enable) show vtp domain Domain name Domain Index VTP Version Local Mode Password wally 1 2 server Vlan-count Max-vlan-storage Config Revision Notifications 5 1023 0 disabled Last Updater V2 Mode Pruning PruneEligible on Vlans 0.0.0.0 disabled disabled 2-1000 Console> (enable) 586 Часть IV. Расширенные возможности
В частности, выделенный текст в примере 12.4 указывает на то, что коммутатор Catalyst относится к домену wally. Пустое поле Domain Name (имя домена) будет сви- свидетельствовать о том, что устройство принадлежит несуществующему домену (домену NULL). Совет В именах VTP-доменов учитывается регистр символов. Имена San Jose и san jose представляют собой разные VTP-домены. Коммутаторы Catalyst с первым именем не могут обмениваться информацией о конфигурации сети VLAN с коммутаторами, имеющими второе доменное имя. Рассмотрим процесс включения коммутаторов Catalyst в состав VTP-домена. В ка- качестве примера возьмем систему, схема которой приведена на рис. 12.2. В данном случае несколько коммутаторов Catalyst соединены с помощью магистральных кана- каналов, но домен управления им не назначен. Cat-A Cat-B Cat-C Немагистральный канал Cat-D Cat-E Cat-F Рис. 12.2. Пример VTP-домена для коммутаторов Catalyst Коммутаторы Cat-A, Cat-B, Cat-C и Cat-E соединены магистральными соедине- соединениями с остальными коммутаторами Catalyst, тогда как коммутаторы Cat-D и Cat-F подключены только через обычные порты (access ports). Такая схема препятствует по- получению коммутаторами Cat-D и Cat-F VTP-сообщений от остальных коммутаторов. Команда show vtp domain в данном случае позволяет получить информацию, подоб- подобную приведенной в примере 12.4, но в результате не будет показано доменное имя, которое назначено устройствам. Предположим, что администратор с целью внесения конфигурационных изменений подключился к консольному порту коммутатора Cat-A и ввел команду set vtp domain wally. Что в таком случае произойдет с остальными коммутаторами Catalyst в сети? Команда show vtp domain предоставляет информацию о состоянии каждого коммутатора Catalyst. Кроме того, известно, что коммутаторы Cat-A, Cat-B, Cat-C и Cat-E определили свой домен управления, но не имеют инфор- информации об устройствах Cat-D и Cat-F. Последние не могут получить информацию о домене управления, т.к. у них нет магистральных портов, посредством которых можно было бы получать VTP-сообщения об обновлениях (VTP updates). При установке VTP-домена на одном из устройств (например, на Cat-A) все ос- остальные коммутаторы Catalyst, подключенные к магистральным портам, автоматиче- автоматически получают информацию о домене wally и осуществляют самонастройку в составе указанного домена. Такое возможно благодаря тому, что изначально коммутаторы Cat-B, Cat-C и Cat-E имели магистральные соединения и не принадлежали какому- Глава 12. Протокол магистральных каналов... 587
либо VTP-домену. Однако, если бы предварительно им был назначен другой домен, коммутаторы проигнорировали бы VTP-уведомления для домена wally. С этого момента появляется возможность создания новых виртуальных локальных сетей на коммутаторах Cat-A, Cat-B, Cat-C и Cat-E, но не на Cat-D или Cat-F. Соз- Создать сети VLAN можно только на коммутаторах Catalyst, сконфигурированных с име- именем VTP-домена (как уже упоминалось ранее, предполагается использование стан- стандартных настроек режима VTP-сервера, которые будут описаны в следующем разделе). Поскольку коммутаторам Cat-D и Cat-F не присвоено доменное имя, создать на них виртуальные локальные сети невозможно. Рассмотрим процесс добавления сетей VLAN на коммутаторах Cat-D и Cat-F. Прежде всего, необходимо вручную настроить доменное имя для указанных устройств. Ввиду отсутствия магистрального канала, устройства при включении их в состав домена не рассылают никаких VTP- уведомлений. Однако, коммутаторы уже принадлежат домену управления. Альтерна- Альтернативный путь состоит в активизации магистральных каналов между парами коммутато- коммутаторов Cat-A и Cat-D, Cat-C и Cat-F. После включения магистральных каналов коммута- коммутаторы Cat-D и Cat-F могут получать VTP-сообщения об обновлении и становятся чле- членами домена управления wally. Требования для определения VTP-домена перечислены выше. Одно из требований по принадлежности одному домену управления заключается в необходимости смеж- смежного расположения коммутаторов Catalyst, имеющих одно и то же имя VTP-домена. В схеме на рис. 12.3 коммутаторы Catalyst соединены между собой посредством магист- магистральных каналов и принадлежат нескольким доменам управления. Два из указанных доменов имеют одно и то же имя, но разделены другими доменами. Даже если пер- первый и последний коммутаторы Catalyst имеют одно и то же имя домена управления, с точки зрения системы они фактически принадлежат двум различным доменам. Домен wally Домен world Другой домен Домен wally Рис. 12.3. Сеть с несколькими VTP-доменами Каждый раз, когда коммутатор Catalyst рассылает VTP-уведомления, в них включа- включается имя VTP-домена. Если принимающий коммутатор принадлежит другому VTP- домену, он игнорирует данное уведомление. Следовательно, VTP-уведомления из до- домена wally с левой стороны схемы не будут приниматься коммутаторами Catalyst в до- домене wally с правой стороны схемы (см. рис. 12.3). Совет Пограничный коммутатор (border domain switch), соединяющий два домена, при уста- установке входит в состав того домена, от которого получит первое уведомление. Таким образом, необходимо удостовериться, что коммутатор в первую очередь подключает- подключается к тому домену, которому он должен принадлежать. Администратору следует убе- убедиться, что коммутатор получил соответствующее имя VTP-домена, и затем подклю- подключить устройство к другому домену. В противном случае, необходимо будет вручную настроить доменное имя. 588 Часть IV. Расширенные возможности
Внимание! Побочный эффект от использования VTP-доменов может помешать корректному со- согласованию магистрального ISL-канала и протокола динамического ISL (DISL). Когда протокол DISL инициирует согласование магистрального канала, в его сообщения включается имя VTP-домена. Если два конца канала принадлежат различным доме- доменам, создание магистрального канала автоматически прекращается. Чтобы разрешить использование магистрального канала, на граничных коммутаторах Catalyst между доменами необходимо установить оба конца данного канала в состояние ON (включен) или nonegotiate (без согласования). Режимы протокола VTP Обратимся к информации, полученной с помощью команды set vtp ?, в приме- примере 12.2. В выводимой информации представлены параметры для конфигурирования режима протокола VTP. Протокол VTP можно настроить для функционирования в трех режимах: режиме сервера (server mode), режиме клиента (client mode) или в про- прозрачном режиме (transparent mode). Отличия между указанными режимами сводятся к разным способам генерации VTP-сообщений и реакции на полученные уведомления. В табл. 12.2 кратко представлены различия описываемых режимов. Таблица 12.2. Сравнение режимов протокола VTP Функция Режим сервера Режим клиента Прозрачный режим Генерация VTP-сообщений Прослушивание VTP-сообщений Создание сетей VLAN Хранение VLAN-информации Есть Есть Есть Есть Есть Есть Нет Нет Нет Нет Есть* Есть* *функция действует только на локальное устройство Отправка VTP-сообщений Для того, чтобы впоследствии с помощью протокола VTP можно было автоматиче- автоматически распределить новую виртуальную локальную сеть по всем коммутаторам Catalyst, необходимо создавать ее на коммутаторе Catalyst, сконфигурированном в режиме VTP- сервера. После того, как сеть VLAN создана, VTP-сервер автоматически распространяет информацию о ней посредством VTP-сообщения, которое называется уведомлением подгруппы VTP (VTP subset advertisement). Сообщения такого типа более подробно рас- рассматриваются в разделе "Уведомления подгруппы". С помощью такого сообщения ос- остальные коммутаторы Catalyst в домене управления информируются о появлении новой виртуальной локальной сети. Коммутатор Catalyst, на котором настраивалась новая сеть VLAN, генерирует первоначальное уведомление подгруппы, которое рассылается через магистральный интерфейс коммутатора. Остальные серверы и клиенты продолжают распространение VLAN-информации на другие коммутаторы Catalyst в сети. Коммутаторы Catalyst, сконфигурированные в прозрачном режиме, никогда не ге- генерируют VTP-сообщения. При создании виртуальной локальной сети на коммутато- Глава 12. Протокол магистральных каналов... 589
ре, функционирующем в прозрачном режиме, VLAN-информация остается локальной и не предоставляется остальным устройствам, даже если существует магистральное со- соединение с другими коммутаторами Catalyst. Прослушивание VTP-сообщений Только коммутаторы Catalyst, сконфигурированные в режиме сервера или клиента, учитывают информацию, содержащуюся в VTP-сообщениях. Каждый раз при получе- получении многоадресатного VTP-сообщения с адресом 01-00-ОС-СС-СС-СС и значением SNAP-типа, равным 0x2003, принимающий коммутатор Catalyst отправляет фрейм модулю Supervisor (модулю управления), в котором происходит обработка данного фрейма. Если модуль Supervisor определяет, что информация, включенная в пакет об- обновления, отлична от имеющейся, он обновляет свою VLAN-информацию, создает сообщения обновления и рассылает их соседним коммутаторам Catalyst. Коммутатор Catalyst использует номер ревизии конфигурации протокола VTP (VTP configuration revision number) для определения актуальности имеющихся данных. Использование номера ревизии конфигурации описывается ниже в текущей главе. Когда коммутатор Catalyst, сконфигурированный в прозрачном режиме, получает VTP-обновление, то не отправляет фрейм модулю Supervisor, а локально игнорирует данный фрейм. Однако, если коммутатор Catalyst имеет другие подключенные маги- магистральные каналы, то он лавинно рассылает фрейм через магистральные порты. VTP- сообщение в данном случае не изменяет конфигурацию коммутатора, сконфигуриро- сконфигурированного в прозрачном режиме, как это происходит в случае, когда устройство работа- работает в режиме сервера или клиента. Создание сетей VLAN Для создания виртуальной локальной сети необходимо использовать коммутатор Catalyst, который сконфигурирован в режиме сервера или прозрачном режиме. Только устройства, работающие в указанных режимах, способны воспринимать команды set vlan и clear vlan. Однако, между ними существует различие, которое заключается в поведении устройства после создания сети VLAN. В режиме сервера коммутатор Catalyst рассылает VTP-уведомления соседним коммутаторам через все магистральные порты. Коммутатор Catalyst в прозрачном режиме после создания сети VLAN не гене- генерирует VTP-уведомления. Новая сеть VLAN имеет только локальное значение. Для того, чтобы создать распределенную есть на основе устройств Catalyst в прозрачном режиме, необходимо создавать новые сети VLAN на всех устройствах и для каждого коммутатора отдельно. Устройства Catalyst в прозрачном режиме, в сущности, не при- принимают участия в работе протокола VTP. С точки зрения таких устройств протокола VTP не существует вообще. Нет необходимости включать устройство Catalyst в про- прозрачном режиме в состав VTP-домена до того, как можно будет создать какие-либо локальные сети VLAN. Коммутаторы в прозрачном режиме протокола VTP не объяв- объявляют об изменениях или дополнениях, внесенных в конфигурацию сетей VLAN на локальном коммутаторе. Однако, они транзитом пропускают через себя дополнения или изменения, внесенные в сети VLAN где-либо еще. Коммутаторы Catalyst в режиме клиента не имеют полномочий на создание сетей VLAN. При попытке связать клиентский порт с неизвестной ему сетью VLAN коммута- коммутатор генерирует сообщение, информирующее администратора о необходимости создания 590 Часть IV. Расширенные возможности
виртуальной локальной сети на сервере, перед тем, как он сможет логически присоеди- присоединять порты к указанной сети VLAN. Если после назначения портов для сети VLAN за- запросить информацию о ее состоянии с помощью команды show vlans, то можно отме- отметить, что порты принадлежат новой несуществующей виртуальной локальной сети. Кроме того, все порты находятся в неактивном состоянии, предотвращающем продви- продвижение фреймов в сети VLAN. После создания виртуальной локальной сети на сервере, принадлежащем тому же домену управления, что и клиент, последний в конечном итоге получает информацию о новой сети VLAN и интерпретирует полученную информацию как разрешение на активизацию портов в новой сети VLAN. Также не существует возможности удалять виртуальные локальные сети с устрой- устройства, функционирующего в режиме клиента. Данную операцию можно осуществить только при помощи устройств в режиме сервера или прозрачном режиме. В отличие от режима сервера, удаление виртуальной локальной сети с коммутатора в прозрачном режиме влияет только на локальное устройство. Удаляя сеть VLAN с сервера, админи- администратор получает предупреждение от коммутатора Catalyst о том, что такая операция переведет все порты, назначенные данной сети VLAN внутри домена управления, в приостановленное состояние, как это показано в примере 12.5. Пример 12.5. Удаление виртуальной локальной сети в, Console> (enable) clear vlan 10 This command will deactivate all ports on vlan 10 in the entire management domain Do you want to continue(y/n) [n]?y Vlan 10 deleted Console> (enable) Совет При удалении сети VLAN порты в домене управления не переназначаются стандарт- стандартной сети VLAN 1. Коммутатор Catalyst оставляет порты назначенными несуществую- несуществующей теперь сети VLAN, но переводит их в неактивное состояние. Для того, чтобы под- подключенные устройства снова могли обмениваться данными, необходимо связать пор- порты с любой активной сетью VLAN. Хранение VLAN-информации Всегда при создании, удалении или переводе сети VLAN в неактивное состояние при помощи коммутатора Catalyst в прозрачном или серверном режиме он сохраняет конфигурационную информацию в энергонезависимой памяти (NVRAM) и при включении питания может восстановить последнюю известную конфигурацию. Если при этом устройство работало в серверном режиме, то оно также передает конфигура- конфигурационную информацию соседним устройствам Catalyst. Вместе с тем, устройства-клиенты не сохраняют VLAN-информацию. При отклю- отключении питания в коммутаторе Catalyst, сконфигурированном в режиме клиента, ин- информация обо всех виртуальных локальных сетях, известных ему, теряется. Однако, данные о стандартной сети VLAN 1 сохраняются. При включении питания коммута- коммутатор в режиме клиента не может локально активизировать какую-либо виртуальную Глава 12. Протокол магистральных каналов... 591
локальную сеть, кроме VLAN 1, до тех пор, пока не получит уведомление от VTP- сервера об авторизации группы сетей VLAN. Все порты, назначенные виртуальным локальным сетям, кроме портов сети VLAN 1, остаются в неактивном состоянии до получения VTP-уведомления от сервера. Когда клиент получает от сервера VTP- сообщение об обновлении, он может активизировать любые назначенные сетям VLAN порты, указанные в информационном пакете. Распространение сети VLAN с помощью протокола VTP В качестве иллюстрации различий между серверным (коммутатор Cat-A), клиент- клиентским (Cat-C) и прозрачным (Cat-B) видами конфигурации рассмотрим рис 12.4. Сер- Сервер и клиент объединены в линейный каскад с помощью расположенного посередине коммутатора, работающего в прозрачном режиме (Cat-B). Коммутатор Cat-A в режиме сервера Коммутатор Cat-B в прозрачном режиме Коммутатор Cat-C в режиме клиента Рис. 12.4. Распространение виртуальной локальной сети для схемы с устрой- устройствами в серверном, клиентском и прозрачном режимах протокола УТР В табл. 12.3 приведены исходное и все последующие состояния коммутаторов Catalyst А, В и С. (Таблица 12.3. Состояние коммутаторов, представленных на рис. Этап № 1 2 3 4 5 6 i|; ■,:::■: в серверном, клиентском и прозрачном режимах Событие Исходное состояние Создание сети VLAN 2 на коммутаторе Cat-C Назначение портов сети VLAN 2 на коммутаторе Cat-C Создание сети VLAN 2 на коммутаторе Cat-A Создание сети VLAN 10 на коммутаторе Cat-B Сбой и восстановление питания устройств Cat-A Сети VLAN Cat-A в режиме сервера 1 1 1 1,2 1,2 1,2 коммутатора: Cat-B в прозрачном режиме 1 1 1 1 1,10 1,10 12.4;: Cat-C в режиме клиента 1 1 1 1,2 1,2 1,2 и Cat-B Сбой питания устройств Cat-A и Cat-C. Восста- Восстановление питания только для коммутатора Cat-C Восстановление питания устройства Cat-A Создание сети VLAN 20 на всех коммутаторах Catalyst недоступно 1,10 1,2 1, 2, 20 1,10 1,10,20 1 1,2 1,2,20 592 Часть IV. Расширенные возможности
На начальной стадии конфигурации (этап 1) всем коммутаторам Catalyst присвое- присвоено доменное имя. В действительности протокол VTP в устройстве Cat-B реально не участвует в обмене данными и может быть проигнорирован. Все три коммутатора Catalyst начинают работать после загрузки только со стандартной сетью VLAN 1. В процессе выполнения этапа 2 администратор, используя устройство в режиме клиен- клиента, пытается создать новую виртуальную локальную сеть. Поскольку коммутатор Cat- С является клиентом, он отвергает команду, отправляет на консоль сообщение об ошибке и не создает новую сеть VLAN. Как и ранее, существует только сеть VLAN 1. С помощью команды set vlan на этапе 3 администратор назначает порты сети VLAN 2. Даже если на данном этапе сеть VLAN 2 еще не существует, коммутатор Cat- С принимает назначения портов, привязывает определенные порты к VLAN 2 и пере- переводит их в неактивное состояние. Однако, коммутатор Cat-C владеет информацией только о сети VLAN 1. На четвертом этапе администратор переходит к коммутатору Cat-A, т.е. к серверу, и создает сеть VLAN 2, которая затем распространяется к соседнему коммутатору — Cat-B. Однако, коммутатор Cat-B сконфигурирован в прозрачном режиме и игнори- игнорирует VTP-уведомление. Он не добавляет сеть VLAN 2 к своему локальному списку се- сетей VLAN. Коммутатор Cat-B лавинно отправляет VTP-уведомления соседним комму- коммутаторам Catalyst через все магистральные порты. В данном случае коммутатор Cat-C получает VTP-уведомление об обновлении, проверяет совпадение имени VTP-домена управления и добавляет сеть VLAN 2 к своему локальному списку. Коммутатор Cat-C затем активизирует все порты, назначенные сети VLAN 2. После чего любые устрой- устройства, подключенные к портам сети VLAN 2 на коммутаторе Cat-A, принадлежат тому же широковещательному домену, что и порты, назначенные сети VLAN 2 на коммута- коммутаторе Cat-C. В результате устройства могут обмениваться данными друг с другом, если такой обмен разрешен на сетевом уровне. Затем на пятом этапе администратор переходит (или связывается по протоколу Telnet) к коммутатору Cat-B и создает новый широковещательный домен, сеть VLAN 10. Поскольку данное устройство сконфигурировано в прозрачном режиме, Cat-B ав- авторизован для создания сети VLAN 10. Однако, коммутатор Cat-B не распространяет информацию о сети VLAN 10 среди остальных устройств. Данная сеть остается ло- локальной для коммутатора Cat-B и не является общей виртуальной локальной сетью. На этапе 6 происходит авария — отключается питание коммутаторов Cat-A и Cat-B. Однако в результате грамотных действий инженера при создании сети указанные уст- устройства ранее были сконфигурированы в серверном и прозрачном режиме, что позволи- позволило им сохранить конфигурационную VLAN-ипформацию. Несмотря на то, что коммута- коммутаторы Cat-A и Cat-B отключены, устройство Cat-C продолжает функционировать, осно- основываясь на последней известной VLAN-конфигурации. Все порты коммутатора Cat-C продолжают функционировать в назначенных им сетях VLAN. Когда включается элек- электропитание коммутаторов Cat-A и Cat-B, оба устройства восстанавливают авторизован- авторизованные сети VLAN и активизируют их. Кроме того, коммутатор Cat-A генерирует VTP- сообщения для соседних устройств. Однако, такие сообщения не влияют на работу коммутаторов Cat-B и Cat-C, т.к. они оба используют свою прежнюю конфигурацию. Рассмотрим случай отключения питания устройств Cat-A и Cat-C, которое проис- происходит на этапе 7. Причем питание коммутатора Cat-C восстанавливается раньше. Ко- Когда коммутатор Cat-C снова включается, он начинает работать с авторизованной стандартной сетью VLAN 1. Порты в любой другой сети VLAN отключены до тех пор, пока коммутатор Cat-C не получит VTP-сообщение от сервера. Если восстановление Глава 12. Протокол магистральных каналов... 593
работоспособности коммутатора Cat-A длится один час, то устройство Cat-C все вре- время остается в описанном выше состоянии. Когда, наконец, происходит перезапуск коммутатора Cat-A (этап 8), он оправляет VTP-сообщения, с помощью которых уст- устройство Cat-C получает разрешение на активизацию любых портов в виртуальных ло- локальных сетях, включенных в VTP-уведомление. В завершение, на этапе 9 администратор создает другую виртуальную локальную сеть (VLAN 20) для всего домена управления. Однако добавление сети требует кон- конфигурирования остальных двух устройств. Администратор должен создать указанную сеть VLAN на устройствах Cat-A и Cat-B, после чего в домене появятся две общих VLAN-сети. Все устройства в сети VLAN 20 принадлежат одному широковещательно- широковещательному домену вне зависимости от того, к какому коммутатору Catalyst они подключены. Сеть VLAN 1 является другим общим широковещательным доменом. Любые устрой- устройства в сети VLAN 1 также могут сообщаться друг с другом. Однако устройства, вхо- входящие в нее, не имеют возможности обмениваться данными с устройствами сети VLAN 20, если в сети не присутствует маршрутизатор. Принцип действия протокола VTP Протокол магистральных каналов виртуальных локальных сетей (VTP), разработан- разработанный корпорацией Cisco, функционирует в качестве протокола канального уровня для устройств семейства Catalyst. При передаче коммутатором Catalyst VTP-сообщений та- таким же устройствам в сети сообщение инкапсулируется во фрейм магистрального про- протокола, такого, как ISL или 802.1Q. На рис. 12.5 приводится схема общей инкапсуляции VTP-пакета в ISL-фрейм. ISL-инкапсуляция начинается с заголовка, который подробно описывается в главе 8, "Технологии и приложения магистральных соединений". Длина VTP-заголовка варьируется в зависимости от типа сообщения, однако в общем случае во всех VTP-сообщениях обязательно присутствуют четыре элемента: • версия протокола VTP — 1 либо 2; • тип VTP-сообщения — поле указывает на один из четырех типов; • длина имени домена управления — в поле указана величина последующего до- доменного имени; • имя домена управления — имя, заданное для домена управления. Более подробно структура VTP-сообщений описывается в следующих разделах. VTP-сообщения всегда перемещаются по стандартной для среды передачи виртуаль- виртуальной локальной сети. Например, в Ethernet-магистрали VTP-сообщения транспортиру- транспортируются по сети VLAN 1; в FDDI-магистрали — по сети VLAN 1002; в АТМ-магистрали для транспортировки VTP-сообщений стандартно используется эмулируемая локаль- локальная сеть (emulated LAN — ELAN). Поскольку удалить какую-либо стандартную2 сеть невозможно, VTP-сообщения всегда распространяются через магистральные порты такой локальной сети. Однако, пакеты протокола VTP не всегда транспортируются именно по ATM-магистралям. Для того, чтобы осуществить подобную передачу, необ- необходимо использовать стандартную (используемую по умолчанию) ELAN-сеть. Вместе 2 Сеть, всегда присутствующая в конфигурации коммутатора. В только что купленном комму- коммутаторе — единственная сеть VLAN, которая сконфигурирована. Ее нельзя удалить и не рекоменду- рекомендуется использовать во избежание путаницы и проблем с настройкой устройства. — Прим. ред. 594 Часть IV. Расширенные возможности
с тем, такая сеть не создается автоматически. Если требуется настроить передачу VTP- сообщений по ATM-каналу, то необходимо явно задать эмулируемую локальную сеть. ISL-заголовок Ethernet- заголовок LLC- заголовок SNAP- заголовок VTP- заголовок VTP- сообщение FlofleCRC 26 байтов 14 байтов 3 байта 3 байта Поля переменной длины Рис. 12.5. УТР-инкапсуляция для передачи по ISL-магистралям Несмотря на то, что маршрутизаторы Cisco поддерживают магистральные протоко- протоколы, такие, как ISL, LANE и 802.1Q, устройства такого типа в настоящее время не уча- участвуют в распространении VTP-сообшений. Маршрутизаторы игнорируют VTP- сообщения и отбрасывают их при поступлении пакетов на интерфейсы. Следователь- Следовательно, VTP-сообщения могут распространяться не далее интерфейса маршрутизатора или другого коммутатора Catalyst, который принадлежит иному домену управления. На рис. 12.6 изображена система с тремя доменами управления, изолированными посред- посредством различных значений доменных имен и маршрутизатора. В домене 1 имеются три граничные точки домена управления: одна — со стороны маршрутизатора и две — на границе с доменом 2. Магистральный канал Магистральный канал Cat-C ■ Магистральный канал Рис. 12.6. Пределы распространения пакетов протокола УТР Глава 12. Протокол магистральных каналов... 595
Когда коммутатор Cat-A отправляет какое-либо VTP-сообщение, оно распростра- распространяется среди всех остальных коммутаторов Catalyst в домене. Устройства Cat-B и Cat- С принимают данное сообщение и передают его двум коммутаторам Catalyst в домене 2. Однако, последние определяют, что отправитель сообщения находится в отличном от их собственного домене, и отбрасывают VTP-сообщение. VTP-сообщение, сгенерированное в домене 1, достигает также и маршрутизатора. Однако маршрутизатор не участвует в распространении VTP-сообщений и тоже от- отбрасывает его. Кроме того, VTP-сообщения, сгенерированные в домене 2 или домене 3, никогда не повлияют на работу устройств, находящихся за пределами указанных доменов. В протоколе VTP определены сообщения следующих четырех типов: • общие уведомления (summary advertisements); • уведомления подгруппы (subset advertisements); • запросы на уведомление (advertisement requests); • VTP-сообщения о подключении (VTP join messages). Сообщения первых трех типов описывают взаимодействие VTP-серверов и клиен- клиентов при распространении VLAN-информации. Данные сообщения рассылаются по умолчанию каждый раз, когда активизируется магистральный канал между коммута- коммутаторами Catalyst, сконфигурированными в качестве серверов и/или клиентов. Сообще- Сообщения четвертого типа по умолчанию отключены и включаются только при активизации функции отсечения протокола VTP (VTP pruning). Данная функция рассмотрена в разделе "Функция отсечения трафика протокола VTP: усовершенствованное управле- управление потоком данных" настоящей главы. Номер ревизии конфигурации протокола VTP Каждый раз при внесении изменений в состав виртуальных локальных сетей на серверном коммутаторе Catalyst, он рассылает VTP-сообщения таким образом, что ос- остальные устройства Catalyst получают возможность обновить свою VLAN- конфигурацию. В связи с этим очень важно, чтобы коммутатор Catalyst следил за ак- актуальностью VLAN-информации. Поэтому в протоколе VTP предусмотрен так назы- называемый "номер ревизии" конфигурации сетей, который увеличивается при каждом добавлении или удалении сети VLAN, а также при каждом переводе сети в приоста- приостановленное состояние. Устройства Catalyst, входящие в состав домена управления, сравнивают значения данного параметра с тем, чтобы определить, какую информацию содержит полученное уведомление — более новую или уже устаревшую. В первоначальной конфигурации коммутатор Catalyst имеет номер ревизии, рав- равный нулю. Номер ревизии в домене управления постоянно увеличивается. При дос- достижении максимального значения, равного 4 294 967 295, счетчик возвращается к ну- нулевому значению. Совет Для того, чтобы просто и быстро обнулить номер ревизии конфигурации, следует приме- применить команду set vtp domain name. При изменении имени домена номеру присваива- присваивается значение, равное нулю. Можно также 4 294 967 295 раз внести изменения во VLAN- конфигурацию системы и таким образом вернуть счетчик к значению нуль. К сожалению, для реализации подобного подхода может потребоваться очень много времени. 596 Часть IV. Расширенные возможности
Общие уведомления По умолчанию устройства Catalyst в режиме сервера и клиента рассылают общие уведомления один раз в пять минут. С помощью общих уведомлений соседние уст- устройства Catalyst получают информацию о предполагаемом текущем номере ревизии VTP-конфигурациеи и составе домена управления. Принимающий уведомление ком- коммутатор Catalyst сравнивает доменные имена и в случае, если они различны, игнори- игнорирует данное сообщение. Если имена доменов совпадают, сервер или клиент Catalyst сравнивает номер ревизии конфигурации. Если в уведомлении содержится более вы- высокий номер ревизии, чем текущее значение данного параметра у принимающего коммутатора Catalyst, то он отправляет запрос на получение новой информации о се- сетях VLAN. На рис. 12.7 приведен формат пакета протокола общего уведомления. Версия Тип Количество уведомлений подсети Длина доменного имени Длина имени домена управления (дополненная до 32 байтов) Номер ревизии конфигурации Идентификатор отправителя Временная метка обновления A2 байтов) MD5 Дайджест A6 байтов) Рис. 12.7. Формат пакета общего VTP-уведомпения Каждая строка на рис. 12.7 представляет собой поле пакета уведомления длиной четыре октета (octet). Поля "Version" (версия), "Туре" (тип), "Number of Subnet Ad- Advertisement Messages" (количество сообщений уведомления в подсети), "Domain Name Length" (длина доменного имени) имеют длину, равную одному октету. Некоторые поля могут выходить за рамки четырех октетов и представлены на рисунке соответст- соответствующим образом. Описание каждого поля приведено после рис. 12.8, на котором представлен отчет анализатора протоколов. На рис. 12.8 приведен декодированный пакет общего уведомления, инкапсулиро- инкапсулированный во фрейм магистрального протокола ISL. Если в магистрали используется протокол 802.1Q, а не ISL, VTP-сообщение будет в точности таким же, только инкап- инкапсулированным во фрейм протокола 802.1Q. Отчет анализатора начинается со SNAP-заголовка, следующего за остальными за- заголовками, приведенными на рис. 12.5. Несмотря на то, что в протоколе VTP приме- применяется такой же Ethernet-адрес, как и для протокола CDP, SNAP-значения указанных Глава 12. Протокол магистральных каналов... 597
протоколов различны. В протоколе CDP используется SNAP-значение, равное 0x2000, тогда как для протокола VTP значение SNAP-типа равно 0x2003, что позволяет при- принимающему коммутатору Catalyst различить оба протокола. ™™. 1SL Protocol Packet ----- ISL: Destination Address ISI: Type ISt: User ISL: Source Address ISt: length ISL: Constant value ISt: Vendor ID ISL: Virtual LA1J ID (VLAH) ISL: Bridge Protocol Data Unit (BPDU) ISL: Port Indea 2SL: Reserved ■ 01000COOOO * 0 (Etharaet ■ 0 (tloraal) • OOE0F7S6DS01 ■ 113 ОхАААЛОЭ OxOlQOOC 1 1 1 8 TETHER: Ethernet Header -QETHEB: •QeTHEB; Destination - Kulticost OlOOOCCCOXC О ETHER' Source " Station O0E0F7S6D8FB -Z3 ETHER; 902.3 length « S3 •O ETHER: ajBHC: С D-AA S-AA «I S&SHAP: ID-Cisco Type003 GTP) Version JVTP: K.i.S!:«5ie type JVTi*' ПинЬсх of Subset—Advert шезкзодез } VTP: Length of nanaci«Kttnt doiutin rtaiu* JVTP: Honagcncnt dosiain иэ№ ) VTP: Кш»Ьйг of Padding bytes JVTP: Conf ismrotion re-iGlcri nluibor JVTP. Bpdate* Identity IP «ddress Update TiMcstojrp ) VTP. 1Ш5 Digest value i VTP: 0x01 < Sutu»y/-idv*r 0 5 "Cisco" 27 OsOOOQOOOS 10.0 5.5 0XOE7BF0F335F9E463 /"ис. 12.8. Отчет анализатора протокола с декодированным VTP-уведомлением общего типа В VTP-заголовке содержится номер используемой версии данного протокола. Все устройства Catalyst в домене управления должны использовать одну и ту же версию магистрального протокола. В данном примере используется версия 1. Если бы в до- домене присутствовали порты Token Ring в коммутаторах, применялась бы вторая вер- версия протокола VTP. В параметре "message type" (тип сообщения) указывается, ка- какого именно типа из четырех, рассмотренных выше, было передано VTP-сообщение коммутатором Catalyst, В следующем поле — "Number of Subset Advertisement Messages" (количество сообщений уведомления подгруппы), указывается количество VTP-сообщений второго типа, следующих за фреймом общего уведомления. Значение данного параметра может варьироваться в диапазоне от 0 до 255. Причем значение нуль указывает на отсутствие уведомлений подгруппы. Коммутатор Catalyst отправляет уведомления подгруппы только в случае изменений в системе или в ответ на запрос об уведомлении. За указанным выше полем следуют поля: "Domain Name Length" (длина домен- доменного имени) и "Management domain name" (имя домена управления) наряду с байта- байтами заполнения (padding bytes), необходимыми для завершения поля доменного имени. Отправитель также передает номер ревизии VTP-конфигурации и идентифицирует себя посредством своего IP-адреса. В предыдущем разделе указывалось, что прини- принимающий коммутатор Catalyst сравнивает номер ревизии со своим внутренним номе- номером, определяя таким образом, имеется ли у отправителя новая конфигурационная информация. 598 Часть IV. Расширенные возможности
В сообщении также содержится временная метка (timestamp), указывающая время последнего увеличения номера ревизии в формате год/месяц/день/час/минута/секунда. Наконец, отправитель осуществляет одностороннее хеширование информации за- заголовка по алгоритму MD5 (MD5 one way hash). Хеширующий алгоритм аутентифи- аутентификации сообщений MD5 (message digest type 5 — MD5) часто применяется в системах безопасности в качестве процесса необратимого шифрования (non-reversible encryption process). Для определения любых повреждений фрейма принимающий коммутатор Catalyst со своей стороны также применяет хеширование и сравнивает результаты. Ес- Если результаты хеш-функций (hashes) не совпадают, принимающий коммутатор Catalyst игнорирует VTP-сообщение. Уведомления подгруппы Версия Код Номер последователь- последовательности Длина доменного имени Длина имени домена управления (дополненная нулями до 32 байтов) Номер ревизии конфигурации Поле VLAN-информации 1 Поле VLAN-информации N ПолеVLAN-информации содержит данные по каждой сети VLAN. Оно представлено в следующем формате: Длина информационного поля Состояние ISL-идентификатор ceTnVLAN Тип сети VLAN Имя сети VLAN Размер блока MTU 802,10 Индекс Имя сети VLAN (дополненное нулями до кратного 4 байтам) Рис. 12.9. Формат пакета уведомления VTP-подгруппы Глава 12. Протокол магистральных каналов... 599
Каждый раз при изменениях в виртуальной локальной сети в домене управления сервер Catalyst, на котором были произведены изменения, отправляет общее уведом- уведомление и следующие за ним одно или несколько уведомлений подгруппы. Изменения, которые вызывают отправку уведомления подгруппы, включают в себя: • создание или удаление виртуальной локальной сети; • переключение в неактивный режим или активизацию сети VLAN; • изменение имени сети VLAN; • изменение размера MTU виртуальной локальной сети. На рис. 12.9 приведен формат пакета уведомления VTP-подгруппы. В заголовке общего уведомления содержится поле "Seq-Number" (Sequence Number — номер в последовательности), в котором указываются номера последующих уведомлений подгруппы. При большом списке VLAN-сетей может возникнуть необ- необходимость отправки всего списка посредством нескольких уведомлений подгруппы. На рис. 12.10 приведена часть пакета уведомления подгруппы. Как и общее уве- уведомление, сообщения данного типа включают в себя такие поля, как "версия прото- протокола VTP" (VTP version), "доменное имя" (Management Domain Name) и связанные с ним поля, а также "номер ревизии конфигурации" (Configuration Revision Number). В поле "номер последовательности" (Sequence Number) заголовка указывается опознава- опознавательный номер уведомления подгруппы. Если за общим уведомлением следуют не- несколько уведомлений подгруппы, данный параметр указывает на экземпляр подгруп- подгруппы, отправленный обновляющим узлом (updater). Нумерация последовательностей на- начинается с 1. Значение данного параметра используется принимающим коммутатором Catalyst для контроля получения всех уведомлений подгруппы. Если обнаруживается, что получены не все уведомления подгруппы, то коммутатор Catalyst может отправить запрос на повторную отправку, начиная с определенного уведомления подгруппы. i^JISL VIM-l Tyja»-t> (Ethernet) ! TETHER- «02 3 na-itt byte» С D-ii S-ii III I£>-C>*co Typo-2003 (VTP) VTI* ^«tibcr of VTF Cctj(i igurat lea revision nufcL VTf VTP Vliti btntivstK» Field г 1 VTF VIaK jntогад».ion Eieid l^ng VTP ?L^l{ status Tif VU« type VTP I?»ftJ. af VliH ri»s,e VTl1. ISI VLAH-id VTF «Til >i:« VTP S4! Hi Silt (icld VTF VU« S*^* VTP » pudding fcytmi in VUtl (t> VTF VIAH iHfDlbA \'T? VUt! status VTP VUB type VTf fH2 Д8 34ID •^T^ VE.A1I !bno N'TP V"iT V1.AH lnlori.il' VTT. VlAB ml MM OxOC Puc. 12.10. Отчет анализатора протокола для уведомления VTP-подгруппы 600 Часть IV. Расширенные возможности
На следующем этапе обмена информацией в общем уведомлении перечисляются все виртуальные локальные сети домена управления наряду со следующей информа- информацией для каждой из них: • длина поля описания сети VLAN; • состояние сети VLAN (активное либо неактивное); • тип VLAN-сети (Ethernet, Token Ring, FDDI или другой); • значение MTU (максимально возможная единица передачи данных — maximum transmission unit); • длина имени сети VLAN; • номер сети VLAN для данной именованной сети; • значение SAID, которое используется, если фрейм прошел через FDDI- магистраль; • имя сети VLAN. В уведомлении VTP-подгруппы данные сведения перечисляются индивидуально для каждой сети VLAN, в том числе и для стандартных сетей VLAN. Запросы на уведомление Коммутатор Catalyst запрашивает у сервера в домене управления общее уведомле- уведомление и уведомление подгруппы при помощи VTP-сообщения третьего типа, или запро- запроса на уведомление (advertisement request). Коммутаторы Catalyst отправляют запросы на уведомление каждый раз при перезагрузке или при изменении состава их домена управления, а также при получении общего уведомления с номером ревизии конфи- конфигурации большим, чем текущий. Такая ситуация может возникнуть в случае измене- изменения состава домена в период временного отключения коммутатора Catalyst от сети. На рис. 12.11 приведен формат фрейма запроса на VTP-уведомление. Версия Код Зарезервированное поле Длина имени домена управления Длина имени домена управления (дополненная до 32 байтов) Начальное значение Рис. 12.11. Формат запроса на VTP-уведожение Запрос на уведомление включает в себя шесть полей. В поле "Version" (версия) указывается версия протокола VTP, используемая в устройстве. Значение поля "Code" (код) указывает на принадлежность фрейма к типу запроса на уведомление. Значение поля "Rsvd" (Reserved — зарезервированное поле) установлено в нуль. В поле "MgmtD Len" (Management Domain Length — длина имени домена управления) указывается длина доменного имени, представленного в следующем поле. За упомянутыми выше Глава 12. Протокол магистральных каналов... 601
четырьмя полями следует поле "Management Domain Name" (имя домена управле- управления). Наконец, если коммутатор Catalyst ожидал получения уведомлений подгруппы, но не смог получить ни одного, он может отправить запрос на повторную отправку, начиная с определенного значения экземпляра подгруппы. Данное значение указано в поле "Start-Value" (начальное значение). Например, если ожидалось получение трех уведомлений подгруппы, но коммутатор Catalyst получил только экземпляры 1 и 3, он может запросить повторную отправку, начиная с экземпляра 2. На рис. 12.12 приведен запрос на уведомление, перехваченный с помощью анали- анализатора протоколов. О DIC ?г»«е J7 arrived at H It <г 5?39. i^tflC Destination - HuHicetJt £itmSCCCCOX jj DIC bf.4jrce * Station vuiWitbtiWtB Ц tilC 602 i ionirtr. • U i faS (CQ3C hex) byte ii V; X '-1С: С 0-U S-»J> U! «ЙЗЯЛР ID-Cisco Турв-гООЗ (VTT) iJ '-'IF ) VTP lenctt». Of *ift*o* gvic ^^л'г n so:I vus»: /'мс. /2/2. Запрос на VTP-уведомление, декодированный анализа- анализатором протокола На рис. 12.12 приведен запрос с требованием отправки всех уведомлений подгруп- подгруппы для домена управления с именем testvtp. Такой вывод очевиден, поскольку значе- значение поля start value равно нулю. Конфигурирование режима протокола VTP Для того, чтобы задать режим протокола VTP для коммутатора Catalyst, необходи- необходимо ввести команду set vtp mode {server | client | transparent}. Существует еще один способ указать VTP-режим: его можно задать при установке имени VTP- домена. Если режим не был задан, стандартно устройству назначается режим сервера. В примере 12.6 приведена информация, полученная при конфигурировании ком- коммутатора Catalyst в режиме клиента. Необходимо отметить, что выделенный фрагмент (полужирным шрифтом) выводимой информации указывает на то, что в настоящее время коммутатор Catalyst сконфигурирован в качестве клиента. Пример 12.6. Установка клиентского VTP-режима j Console> (enable) set vtp mode client VTP domain wally modified Console> (enable) show vtp domain Domain Name Domain Index VTP Version Local Mode Password wally 1 client 602 Часть IV. Расширенные возможности
Vlan-count Max-vlan-storage Config Revision Notifications 10 1023 40 enabled Last Updater V2 Mode Pruning PruneEligible on Vlans 10.0.0.1 disabled disabled 2-1000 Console> (enable) Как было показано выше в примере по декодированию VTP-уведомлений под- подгруппы, вся VLAN-информация передается по кабелю в виде обычного текста. Пере- Перехватить и декодировать VTP-фрейм может кто угодно при наличии анализатора про- протоколов. Злоумышленник, атакующий систему, может использовать полученную ин- информацию с целью нарушения работы сети. Например, он может сфабриковать ложное уведомление подгруппы с наивысшим номером ревизии конфигурации и та- таким образом удалить виртуальные локальные сети домена управления. Один из способов повышения безопасности заключается в задании пароля для уведомлений VTP-подгруппы. Если пароль задан, коммутатор Catalyst использует его в качестве ключа для генерации MD5-xeuja. Каждый раз, когда коммутатор-отправитель генерирует уведомление подгруппы, он рассчитывает хеш уведомления, используя при этом пароль в качестве ключа. Протокол VTP включает результат хеш-функции в уве- уведомление подгруппы. Коммутатор-получатель также должен иметь данный пароль, ус- установленный локально. Когда он получает уведомление подгруппы, то генерирует хеш е использованием своего пароля и сравнивает результат с полученным сообщением. Если результаты обеих хеш-функций совпадают, коммутатор принимает уведомление. В противном случае, уведомление подгруппы отвергается. Назначить пароль можно с помощью команды set vtp passwd passwd. Мониторинг VTP-активности Особенно полезной командой для мониторинга VTP-активности, такой, как коли- количество и тип VTP-сообщений, получаемых и отправляемых коммутатором Catalyst, яв- является команда show vtp statistics. В примере 12.7 показан обычный результат работы данной команды. Пример 12.7. Результат выполнения команды show vtp statistics ; Cat-A > (enable) show vtp statistics VTP statistics: summary advts received 5392 subset advts received 16 request advts received 3 summary advts transmitted 5280 subset advts transmitted 7 request advts transmitted 0 No of config revision errors 0 No of config digest errors 0 VTP pruning statistics: Глава 12. Протокол магистральных каналов... 603
Trunk Join Transmitted Join Received Summary advts received from non-pruning-capable device 1/1 1/2 Cat-A> 0 0 (enable) 0 0 0 0 Обратите внимание на выделенную строку в примере 12.7. В ней приведено количест- количество случаев, когда полученный MD5-xem не совпадал с локально рассчитанным значени- значением. Несовпадение значений может свидетельствовать либо о повреждении фрейма в ре- результате неполадок физического уровня, либо о проблемах с безопасностью. Если ошиб- ошибка порождена физическим уровнем, то можно ожидать, что другие фреймы также будут повреждены. В случае, когда другие ошибки передачи не наблюдаются, возможно, что повреждение фрейма является следствием проявления атаки, при которой злоумышлен- злоумышленник пытается замаскироваться под коммутатор Catalyst и разрушить домен управления. Нужен или нет протокол VTP? Одним из главных преимуществ протокола VTP является его способность распре- распределять сети VLAN между другими коммутаторами Catalyst в целях упрощения конфи- конфигурационных задач. Использование протокола VTP устраняет необходимость вводить команду set vlan также часто, как это приходится делать без него. В домене управ- управления необходимо только однажды создать виртуальную локальную сеть, не создавая ее на каждом коммутаторе. Однако, остается необходимость использования команды set vlan для добавления портов, которые будут назначены сети VLAN на данном коммутаторе. Удаление сети VLAN из домена также является несложной задачей, по- поскольку не требует повторения данной операции на нескольких устройствах. Однако, необходимо учесть целый ряд недостатков протокола VTP и технологии магистральной передачи данных (trunking), которые описываются в следующих разделах. Удаление VLAN-таблицы По иронии судьбы один из недостатков происходит непосредственно из особенно- особенности протокола VTP, связанной с простотой его конфигурирования. Рассмотрим сеть на рис. 12.13, где в домене управления объединены несколько коммутаторов Catalyst. Левая часть сети ; Правая часть сети Сервер Cat-C ^-магистраль Сервер Cat-A Сервер Cat-D Сервер Cat-B Рис. 12.13. Проблема VTP-синхронизации в сети с использованием нескольких ком- коммутаторов Catalyst 604 Часть IV. Расширенные возможности
Если на каком-либо сервере в сети вносятся изменения в список сетей VLAN, то такие изменения распространяются в домене управления среди остальных коммутато- коммутаторов Catalyst. Что произойдет, если изменения вносятся в логически разделенную сеть? В качестве примера предположим, что магистральный канал между серверами Cat-C и Cat-D отделяет друг от друга две группы коммутаторов Catalyst (по три коммутатора в каждой) с левой и с правой стороны (см. рис. 12.13). Во всех коммутаторах Catalyst следует использовать один и тот же номер ревизии VTP-конфигурации, N. В табл. 12.4 приводится список сетей VLAN и номера ревизий VTP-конфигурации для различных этапов обмена данными. Таблица 12.4. Проблемы синхронизации, возникающие при разделении | I; коммутаторов Catalyst «'■; Этап № Событие Коммутаторы Catalyst из левой стороны рисунка Коммутаторы Catalyst из правой стороны рисунка Сети VLAN Номер ревизии Сети VLAN Номер ревизии 1 Первоначальное состояние 1,2,3,4,5 N 1,2,3,4,5 N 2 Разделение сети между комму- 1,2,3,4,5 N 1,2,3,4,5 N таторами Cat-C и Cat-D 3 Создание сети VLAN 10 в левой 1,2,3,4,5,10 N+1 1,2,3,4,5 N части 4 Удаление сети VLAN 5 в правой 1,2,3,4,5,10 N+1 1,2,3,4 N+1 части 5 Восстановление канала между 1,2,3,4,5,10 N+1 1,2,3,4 N+1 коммутаторами Cat-C и Cat-D 6 Удаление сети VLAN 5 из левой 1,2,3,4,10 N+2 1,2,3,4,10 N+2 части После разделения сети администратор создает новую виртуальную локальную сеть с левой стороны, руководствуясь следующим соображением: когда сеть восстановится, новая сеть VLAN распространится к коммутаторам Catalyst с правой стороны. В то же время администратор с правой стороны удаляет одну из виртуальных локальных сетей. Второй администратор, как и первый, ожидает, что после восстановления сети изме- изменения с помощью протокола VTP распространятся па левую ее часть. После восстановления магистрального канала между коммутаторами Cat-C и Cat- D оба устройства генерируют VTP-уведомления общего типа, объявляя таким образом о конфигурационном обновлении номер N+J. Коммутаторы в обеих частях сети срав- сравнивают номер ревизии со своими собственными значениями, и поскольку они совпа- совпадают, коммутаторы не генерируют запросы на уведомление, в результате чего VLAN- таблицы обеих частей сети остаются рассинхронизированными (этап 5). Для синхро- синхронизации таблиц администратору необходимо внести изменения в состав сетей VLAN (этап 6), что, в свою очередь, вызовет увеличение номера ревизии. Коммутатор Cata- Catalyst, на котором производились изменения, затем сгенерирует общее VTP-уведомле- ние, а также уведомление VTP-подгруппы, после чего данная информация распро- распространится среди других коммутаторов Catalyst в сети, синхронизируя таким образом их VLAN-таблицы. Глава 12. Протокол магистральных каналов... 605
При объединении двух частей сети, которые до этого всегда были изолированы, может возникнуть еще более затруднительная ситуация. Предположим, что три ком- коммутатора Catalyst с левой стороны (см. рис. 12.13) принадлежат одному подразделению корпорации (техническому), сотрудники которого недолюбливают другой отдел (маркетинговый), использующий три коммутатора Catalyst с правой стороны. Комму- Коммутаторы остаются изолированными до тех пор, пока руководство высшего уровня не примет решение об объединении сетей двух отделов. Руководителем принято прежде- преждевременное решение об изменении доменных имен обеих групп на новое общее имя, так, чтобы группы принадлежали одному домену управления. Первоначальная кон- конфигурация двух групп приведена в табл. 12.5 (этап 1). Номер ревизии конфигурации для данного примера был избран произвольно. [Таблица 12.5. Авария во время объединения VTP-доменов ,.,, ,... ,,■ ; Этап № Событие Коммутаторы Catalyst из Коммутаторы Catalyst из левой стороны рисунка правой стороны рисунка Ce™VLAN Номер Ce™VLAN Номер ревизии ревизии 1 Первоначальное состояние 1,2,3,4,5 32 1,10,20,30 57 2 Объединение доменов 1,10,20,30 57 1,10,20,30 57 Когда две группы обмениваются приветствиями и объединяют свои сети, насту- наступает один важный момент. Какой именно? Катастрофа. Поскольку номер ревизии конфигурации маркетингового отдела выше, чем технического, VLAN-таблицы по- последнего при помощи протокола VTP приводятся в соответствие с таблицами пер- первого отдела, после чего все пользователи технического отдела, подключенные к се- сетям VLAN 2, 3, 4 и 5, оказываются подключенными к портам в приостановленном режиме. Маркетинговый отдел только что уничтожил локальную сеть технического! Теперь сотрудники технического отдела, действительно, очень сердиты на сотруд- сотрудников маркетингового. Совет Перед объединением различных доменов с целью предотвращения проблем, свя- связанных с удалением VLAN-таблиц, в обоих доменах необходимо создать общий на- набор виртуальных локальных сетей. Следует убедиться, что во всех разделах сети имеется полный список сетей VLAN из каждого подраздела, и только после этого объединять их. Такая же авария может произойти, если коммутатор Catalyst, выделенный для учебных целей, подключить к действующей сети. В результате неосторожного обра- обращения возможно удаление из нее сетей VLAN. Непосредственно перед подключе- подключением коммутатора к действующей сети необходимо убедиться, что либо вся кон- конфигурационная информация была удалена с помощью команды clear conf ig all, либо изменено имя VTP-домена, либо нужно перевести устройство в прозрачный режим. 606 Часть IV. Расширенные возможности
Совет Существует еще одна реальная ситуация, при которой возможно удаление сетей VLAN. При замене вышедшего из строя модуля Supervisor в коммутаторе Catalyst, сконфигурированном в качестве сервера, удаление сетей VLAN возможно, если новый модуль имеет наивысший по сравнению со всеми остальными в домене номер реви- ревизии. Поэтому перед активизацией модуля в системе необходимо обнулить в нем но- номер ревизии конфигурации. Широковещательная лавина Активные сети VLAN 1,2,5 Активные сети VLAN 1,3,5 . Cat-B = Магистральные линии = Каналы доступа Рис. 12.14. Лавинная передача в многодоменной сети Другая проблема протокола затрагивает и магистральные каналы, и протокол VTP. В главе 8, "Технологии и приложения магистральных соединений" были описаны магистральные каналы и синтаксис команд для их конфигурирования. Каждый раз при включении магистрального канала он по умолчанию транспортирует трафик для всех виртуальных локальных сетей, как передаваемый обычным образом, так и лавин- но рассылаемый. Если имеется сеть VLAN, генерирующая значительный объем ла- лавинного трафика широковешания или многоадресатных рассылок, то фреймы лавин- но распространяются по всей сети. Они даже пересекают границы домена управления. В свою очередь, такая проблема может нанести серьезный удар по управлению стан- стандартной сетью VLAN 1. Более подробно предостережения и предложения, касающие- касающиеся управления сетями VLAN, описаны в главе 15, "Реализация конструкции террито- территориальной сети", и главе 17, "Учебные примеры: внедрение коммутаторов в сети". На рис. 12.14 приведена схема системы коммутаторов Catalyst, в которой имеются маги- Глава 12. Протокол магистральных каналов... 607
стральпые каналы и обычные каналы для доступа к сети (access link), объединяющие виртуальные локальные сети. Станция ПК-1 подключена к системе посредством обычного канала, назначенного сети VLAN 2. Указанная отдельная станция генериру- генерирует многоадресатный трафик для предоставления видеоданных в сети VLAN 2. Сеть VLAN 2 избрана сетевым администратором для того, чтобы отделить видеоприложе- видеоприложения от остального пользовательского трафика. Несмотря на то, что администратор на- настроил систему таким образом, что мпогоадресатный трафик не контактирует с ком- коммутаторами Cat-A и Cat-B, трафик продолжает достигать всех остальных коммутато- коммутаторов Catalyst в сети, даже если сеть VLAN 2 в домене 2 неактивна. Почему в данном случае многоадресатный трафик не достигает коммутаторов Cat-A и Cat-B? Данные устройства не принимают трафик от станции ПК-1, т.к. все каналы, идущие к ним, являются обычными каналами (пемагистральпыми) в различных сетях VLAN. Существуют несколько методов контроля распределения лавинного трафика в се- сети. Они включают в себя использование функции отсечения данных протокола VTP с целью контроля над лавинной передачей, а также модификации мпогоадресатного по- поведения устройств посредством протокола CGMP. Функция отсечения сообщений протокола VTP рассматривается в разделе "Функция отсечения трафика протокола VTP: усовершенствованное управление потоком данных". Управление многоадресат- ной передачей данных с помощью протокола CGMP подробно описано в главе 13, "Многоадресатные и широковещательные службы". Избыточность протокола STP С протоколом VTP и магистральной передачей данных связана еще одна проблема. Она заключается в участии всех коммутаторов Catalyst в распределенном связующем дереве для всех сетей VLAN. Каждый раз при создании виртуальной локальной сети коммутаторы Catalyst создают для нее новый экземпляр распределенного связующего дерева. Данная функция, т.е. создание связующего дерева для каждой сети VLAN (Per-VLAN Spanning Tree — PVST), позволяет оптимизировать топологию распреде- распределенного связующего дерева отдельно для каждой виртуальной локальной сети. Все коммутаторы Catalyst стандартно принимают участие в реализации функции PVST. Однако, как и в случае лавинного трафика в сети, каждый дополнительный экземп- экземпляр распределенного связующего дерева создает дополнительный фоновый трафик (background traffic) второго уровня. Дополнительный трафик состоит из блоков дан- данных BPDU, распределенных для каждого экземпляра распределенного связующего де- дерева. Такой трафик не только загружает все каналы, но и требует дополнительного времени обработки во всех коммутаторах Catalyst. Каждый коммутатор Catalyst должен генерировать и принимать hello-сообщения (hello messages) с заданным интервалом, ко- который указывается с помощью hello-таймера (hello timer). По умолчанию подобные сообщения генерируются один раз в две секунды. Кроме того, все коммутаторы Cata- Catalyst должны рассчитывать топологию распределенного связующего дерева для сетей VLAN при каждом ее изменении. В случае сложной топологии распределенного свя- связующего дерева данный процесс также временно потребляет процессорные ресурсы. Резюме: управление протоколом VTP в крупных сетях В крупных сетях количество описанных выше проблем увеличивается. В итоге они могут перерасти в ситуации, вынуждающие администраторов отключать магистраль- магистральную передачу данных, протокол VTP, а также другие функции в виртуальных локаль- локальных сетях. Несомненно, магистральная передача данных в каком-либо виде останется 608 Часть IV. Расширенные возможности
как один из необходимых элементов существования сети. Развертывание крупной се- сети без магистральных каналов нецелесообразно из-за большого количества ресурсов, потребляемых посредством многочисленных каналов доступа к сети. Следовательно, магистральные каналы остаются. Однако, как было отмечено выше, существуют мето- методы, позволяющие минимизировать некоторые отрицательные стороны применения магистральной передачи. Протокол VTP также является постоянно присутствующей технологией сети на ба- базе устройств Catalyst, если включены магистральные каналы. Отключить его невоз- невозможно (за исключением ситуации с коммутатором Catalyst, сконфигурированным в прозрачном режиме). Следовательно, необходимо со всей осторожностью подходить к разделению доменов управления, тщательно определить круг лиц, которые могут мо- модифицировать домены, а также службы, прослушивающие порты протокола VTP. Кроме того, следует очень тщательно определить количество коммутаторов Catalyst, которые будут функционировать в качестве VTP-серверов сети, с тем, чтобы ограни- ограничить вероятность появления ошибок, допускаемых администратором, которые могут вызвать серьезные изменения на других коммутаторах. Как указывалось ранее, глав- главной проблемой при развертывании крупной сети на базе устройств Catalyst является риск удаления VLAN-таблицы. Протокол VTP, предназначенный для более простого разрешения конфигурационных проблем, может стать серьезным препятствием в слу- случае безответственного управления. Совет Существуют достаточно статичные сети, в которых не требуется добавление или уда- удаление глобально значимых сетей VLAN. В таких сетях с целью предотвращения оши- ошибочных действий по удалению виртуальных локальных сетей следует рассмотреть возможность использования прозрачного режима. Однако, установка устройства в прозрачный режим существенно увеличивает административные сложности. Вторая версия протокола VTP В связи с внедрением Token Ring-коммутации в устройства Catalyst корпорация Cisco обновила протокол VTP до версии 2. По умолчанию в устройствах Catalyst ис- используется первая версия протокола VTP, а версия 2 отключена. Администратору сети следует выбрать необходимую версию протокола и убедиться, что все коммутаторы Catalyst в домене управления используют именно ее. Протокол VTP версии 2 поддерживает виртуальные локальные сети Token Ring пу- путем обеспечения корректной конфигурации данных сетей. Если в сети планируется использование Token Ring-коммутации, необходимо применять протокол УТР версии 2, с тем, чтобы процессы, подобные DRiP, могли функционировать. В главе 3, "Технологии функционирования мостов", представлено подробное описание технологии DRiP. Совет Во второй версии протокола VTP, по сравнению с первой версией, расширен набор функций. Однако, в версии 2 используется модифицированная форма данного прото- протокола. В одном домене управления две версии сосуществовать не могут. Чтобы обес- обеспечить корректное функционирование всех устройств Catalyst, необходимо во всех коммутаторах Catalyst для домена управления использовать единую версию протоко- протокола VTP. Глава 12. Протокол магистральных каналов... 609
При включении на каком-либо коммутаторе Catalyst второй версии протокола VTP, она автоматически включается на всех остальных поддерживающих ее коммутаторах в домене управления. Однако, вторая версия поддерживается не всеми устройствами Catalyst и не всеми версиями программного обеспечения модулей Supervisor. Если выбор был сделан в пользу второй версии, необходимо убедиться, что все коммутато- коммутаторы Catalyst в домене управления способны ее использовать. Поддержка локальных сетей Token Ring не является единственной особенностью второй версии протокола VTP, однако, она рассматривается как принципиально важ- важная функция. Для того, чтобы активизировать поддержку второй версии протокола VTP, необхо- необходимо ввести команду Bet vtp v2 enable. Проверить корректность внесенных изменений поможет команда show vtp do- domain. В примере 12.8 приведена команда включения второй версии протокола VTP на коммутаторе Catalyst, а также соответствующая информация, полученная с помощью команды show vtp domain. Необходимо учесть, что каждый раз при попытке акти- активизировать вторую версию необходимо проверить способность всех коммутаторов Catalyst в домене управления поддерживать данную версию протокола VTP. При включении второй версии все коммутаторы Catalyst в домене управления будут ее ис- использовать. Вернемся к примеру 12.8. Существуют два столбца, связанные с версией протокола VTP и озаглавленные VTPVersion (версия протокола VTP) и v2Mode (режим второй версии протокола). В поле VTPVersion указывается, какая версия про- протокола VTP поддерживается программным обеспечением, но не обозначается версия, используемая в настоящее время. Даже если используется версия 1, значение данного поля будет равным 2, т.к. существует возможность использования второй версии. С другой стороны в столбце v2Mode указывается, какая версия протокола активизирова- активизирована в настоящее время. Если по умолчанию активизирована версия 1, то в данном столбце будет значение disabled (отключен), как показано выше в примере 12.6. Пример 12.8. Настройка второй версии протокола VTP для коммутатора ■{ Catalyst Console> (enable) set vtp v2 enable This command will enable the version 2 function in the entire management domain. All devices in the management domain should be version2-capable before enabling. Do you want to continue (y/n) [n]? у VTP domain wally modified Console> (enable) show vtp domain Domain Name Domain Index VTP Version Local Mode Password wally 1 2 server Vlan-count Max-vlan-storage Config Revision Notifications 10 1023 1 enabled Last Updater V2 Mode Pruning PruneEligible on Vlans 10.0.0.1 enabled disabled 2-1000 Console> (enable) 610 Часть IV. Расширенные возможности
Функция отсечения трафика протокола VTP: усовершенствованное управление потоком данных Мост, установленный в прозрачный режим, обрабатывает фреймы локальных сетей путем фильтрации (или отбрасывания — dropping), перенаправления (forwarding) или ла- лавинной передачи (flooding). Лавинная передача возникает каждый раз при обработке мостом пакета с МАС-адресом получателя, который отсутствует в таблице данного уст- устройства. Подобная ситуация возникает, когда мост не получает пакетов от узла- получателя и, следовательно, не содержит запись о нем в своей таблице. Запись о МАС- адресе также может отсутствовать, если для нее истекло время таймера старения (aging timer). Фреймы в данном случае являются одноадресатными с неизвестным получателем (unknown unicast). Кроме того, мосты всегда осуществляют лавинную передачу при по- получении фрейма с широковещательным адресом или многоадресатного фрейма. При ла- лавинной передаче мост отправляет фрейм через все порты (кроме порта отправителя) в широковещательном домене, включая магистральные соединения. Магистральные кана- каналы по умолчанию транспортируют трафик всех виртуальных локальных сетей, если по- посредством команды clear trunk #vlan не было введено ограничение списка автори- авторизованных сетей. Данная команда статически определяет перечень виртуальных локаль- локальных сетей, которым запрещено транспортировать трафик через магистральный канал. В коммутаторе Catalyst предусмотрены функции управления лавинной передачей одноад- одноадресных фреймов с неизвестным получателем, широковещательных и многоадресатных фреймов. В настоящем разделе рассматривается управление широковещательной лавин- лавинной передачей, а также лавинной передачей одноадресных фреймов с неизвестным по- получателем. В главе 13 "Многоадресатные и широковещательные службы" подробно опи- описано управление многоадресатной и широковещательной лавинной передачей. Другие функции мостов, такие, как перенаправление и фильтрация, продолжают работать в стандартном режиме моста (standard bridging fashion). Мосты осуществляют лавинную передачу для того, чтобы увеличить вероятность достижения фреймом узла-получателя, даже если мосту неизвестно его точное распо- расположение (существует еще одна причина — подобная функциональность мостов пред- предписана им стандартами.) Если узел-получатель подключен к сети и надежно функ- функционирует в пределах широковещательного домена, то фрейм должен его достичь. При каждой лавинной передаче коммутатор Catalyst отправляет фрейм через все магистральные порты. На рис. 12.15 приведена схема системы с отключенным отсече- отсечением трафика (pruning). Когда станция ПК-1 генерирует фрейм, который коммутатор Cat-A должен отправить лавинно, фрейм отправляется через все порты данного ком- коммутатора. Отправленный лавинно фрейм достигает коммутатора Cat-B, который также настроен на отправку данного фрейма лавинно через все свои порты. В конечном итоге лавинно распространенный фрейм достигает всех коммутаторов в магистраль- магистральной сети, включая коммутатор Cat-C. Здесь, однако, следует заметить, что станция РС-1 принадлежит сети VLAN 2. Но к коммутатору Cat-C не подключено ни одно устройство данной сети; кроме того, лавинный трафик проходит по всем магистраль- магистральным каналам и, в конце концов, достигает коммутатора Cat-C, в результате чего по- Глава 12. Протокол магистральных каналов... 611
требляется полоса пропускания магистральных каналов, а также объединительной платы коммутатора Catalyst (коммутатор Cat-C отбрасывает фрейм после того, как тот пересечет объединительную плату). 1,3 Cat-B Лавинная передача CeibVLAN 2 Лавинная передача Лавинная передача Маистраль N-ЗйХ Cat-D 1,2 Рис. 12.15. Лавинная передача в сети устройств Catalyst без использования функ- функции отсечения трафика Рассматриваемая функция ограничивает распространение лавинных фреймов толь- только к тем коммутаторам Catalyst, к которым подключены устройства, входящие в со- состав сети VLAN 2. В противном случае, отправляющий коммутатор Catalyst блокирует лавинный трафик из данной сети VLAN. Корпорация Cisco представила возможность отсечения трафика как расширение первой версии протокола VTP вместе с программным обеспечением версии 2.1 для блока Supervisor. В данной функции определен четвертый тип VTP-сообщений, т.е. сообщений, с помощью которых объявляется состав виртуальной локальной сети. При назначении портов коммутатора Catalyst какой-либо сети VLAN коммутатор отправ- отправляет сообщение соседним коммутаторам, информируя их о том, что им необходимо принимать трафик для данной сети VLAN. Соседние коммутаторы Catalyst, используя данную информацию, определяют, следует ли пропускать лавинный трафик от данной сети VLAN через магистральный порт. 1,3 Cat-B СетьVLAN 2 Рис. 12.16. Лавинная передача при включенной функции отсечения трафика про- протокола УТР На рис. 12.16 приведена та же схема, но с включенной функцией VTP-отсечения трафика. Когда станция ПК-1 генерирует широковещательный фрейм к коммутатору 612 Часть IV. Расширенные возможности
Catalyst с включенной функцией, широковещательная рассылка не достигает коммута- коммутатора Cat-C, как это было в схеме на рис. 12.15. Коммутатор Cat-B получает широко- широковещательный фрейм и как обычно, лавинно, передает его коммутатору Cat-C. Однако, у последнего отсутствуют порты, назначенные сети VLAN 2. Таким образом, коммута- коммутатор Cat-B не может лавинно передать данный фрейм через магистральный канал к коммутатору Cat-C, в результате чего сохраняется полоса пропускания магистрального канала, а также объединительной платы коммутатора Catalyst. Конфигурирование функции отсечения трафика Активизировать необходимую функцию протокола VTP можно с помощью коман- команды set vtp pruning enable. После ввода данной команды коммутатор Catalyst по умолчанию отсекает все виртуальные локальные сети. Однако, существует возмож- возможность выбрать для отсечения только некоторые из них. Список отсекаемых сетей VLAN можно модифицировать, вначале очистив его с помощью команды clear vtp pruneeligible vJan_range, а затем указав сети для отсекания с помощью команды set vtp pruneeligible vlan_range. В примере 12.9 приведен пример сеанса, при котором администратор активизиро- активизировал функцию отсечения, а затем модифицировал список отсекаемых виртуальных ло- локальных сетей. При первоначальном включении описываемой функции коммутатор Catalyst рассматривает все виртуальные локальные сети как подлежащие отсеканию. Затем администратор удаляет сети VLAN с 10 по 20 из списка отсекаемых. Данные действия означают, что любой лавинный трафик в данных сетях VLAN будет распро- распространяться среди всех коммутаторов Catalyst, даже если к принимающему коммутато- коммутатору Catalyst не подключен ни один узел, входящий в состав какой-либо из указанных сетей VLAN. Следует заметить, что стандартные сети VLAN 1, 1001 — 1005 вообще не подлежат отсечению. В конце концов, администратор вносит сеть VLAN 15 в список отсекаемых. В примере 12.9 показан листинг с первоначальным включением функции отсечения и дальнейшей корректировкой списка отсекаемых сетей VLAN (см. выде- выделенные поля примера 12.9). \ Пример 12.9. Конфигурирование функции отсечения трафика Console> (enable) set vtp pruning enable This command will enable the pruning function in the entire management domain. All devices in the management domain should be pruning-capable before enabling. Do you want to continue (y/n) [n]? у VTP domain wally modified Console> (enable) clear vtp pruneeligible 10-20 Vlans 1,10-20,1001-1005 will not be pruned on this device. VTP domain Lab_Network modified. Console> (enable) set vtp pruneeligible 15 Vlans 2-9,15,21-1000 eligible for pruning on this device. VTP domain Lab_Network modified. Console> (enable) show vtp domain Domain Name Domain Index VTP Version Local Mode Password wally 1 2 server Глава 12. Протокол магистральных каналов... 613
Vlan-count Max-vlan-storage Config Revision Notifications 4 1023 10 disabled Last Updater V2 Mode Pruning PruneEligible on Vlans 10.0.0.1 disabled enabled 2-9,15,21-1000 Console> (enable) Контрольные вопросы В данный раздел включены различные вопросы по теме настоящей главы. Ответив на них, читатель сможет оценить степень владения изложенным материалом. Кроме того, приведенные ниже вопросы помогут подготовиться к письменным и лаборатор- лабораторным экзаменам на получение статуса сертифицированного эксперта по объединенным сетям Cisco (CCIE). Ответы на вопросы приведены в приложении А, "Ответы на кон- контрольные вопросы". Во всех вопросах рассматривается схема, приведенная на рис. 12.17. VTP-floMeH=wally Cat-A VTP-домен = world Cat-В Сеть newvlan2 = Сеть , VLAN2 Магистральный канал Магистральный канал SC010.1.6.5 CeTbVLANI в состоянии ON (включен) в состоянии AUTO CeTbVLAN2 = oldvlan2 SCO 10.1.5.5 CeTbVLANI 10.1.6.2 ПК-1 10.O.0.0 255.255.0.0 Рис. 12.17. Схема сети для контрольных вопросов 1—9 10.1.5.2 ПК-2 1. Определите режим канала между двумя коммутаторами Catalyst. 2. Предположим, что оба конца магистрального канала переведены в состояние ON. Смогут ли ping-пакеты, отправленные со станции ПК-1, достичь станции ПК-2? 3. Достигнут ли ping-пакеты, отправленные с коммутатора Cat-A, коммутатора Cat-B? 4. Достигнут ли ping-пакеты, отправленные с коммутатора Cat-B, станции ПК-2? 5. Предположим, что сеть VLAN 2 прежде называлась оЫ1ап2. Допустим также, что администратор с коммутатора Cat-A переименовал данную сеть в newlan2. Име- Имеется ли у коммутатора Cat-B информация о новом имени, newlanl? 6. Введем команду clear config all на коммутаторе Cat-B. Вновь введем IP- адрес на интерфейсе scO. Достигнут ли после этого ping-пакеты, отправленные с коммутатора Cat-B, коммутатора Cat-A? 614 Часть IV. Расширенные возможности
7. Смогут ли ping-пакеты со станции ПК-2 достичь станции ПК-1? 8. Имеется ли у коммутатора Cat-B информация о сети newlanH 9. Возможно ли с помощью коммутатора Cat-B удалить сеть newlan2? Глава 12. Протокол магистральных каналов... 615
В этой главе... ' • Протоколы CGMP/IGMP: усовершенствованное управление трафиком. В настоя-" щем разделе описан принцип действия и формат сообщений данных протоко- протоколов. Также здесь приводятся основные параметры протоколов CGMP и IGMP, необходимые для работы в маршрутизируемой и коммутируемой среде. Кроме того, в разделе поэтапно описан процесс конфигурирования протоколов в ком- коммутаторах Catalyst и маршрутизаторах. • IGMP-прослушивание: усовершенствованное управление трафиком. В данном раз- разделе описывается еще один метод управления многоадресатными рассылками в сети устройств Catalyst. • Подавление широковещания: усовершенствованное управление трафиком. В по- следнем разделе главы представлено объяснение методов подавления широко- .-■ вещания в сети устройств Catalyst.
Глава 13 Многоадресатные и широковещательные службы В наши дни во многих корпорациях и отраслях промышленности возрастает по- потенциал мультимедийных приложений. Современные приложения для видео- и аудио- конференций генерируют большой объем многоадресатпого трафика. Многие Web- сайты предлагают видеопотоки, которые основаны на технологии передачи многоад- ресатного трафика, вследствие чего в организациях наблюдается рост потоков много- адресатных данных как от внутренних пользователей, так и в результате использова- использования информации Web-сайтов. Даже если в рассматриваемой системе в настоящее время нет большого многоадресатиого трафика, необходимо готовиться к его скорому появлению. В результате широкого распространения многоадресатных приложений сетевым администраторам приходится планировать и непосредственно заниматься проблемами, связанными с многоадресатной нагрузкой, значительно чаще, чем такая необходимость возникала прежде. Во многих случаях структура сетей является эффек- эффективной для одноадресатного трафика, но не учитывает возможность нагрузки от многоадресатных служб в сети. К сожалению, в таких случаях в точно рассчитанных одноадресатных сетях наблюдается усиление нагрузки. Здравый смысл и присутствие в сетях миогоадресатного трафика диктуют специа- специалистам необходимость активного контроля над распространением многоадресатных рассылок. Стандартно коммутатор лавиино распространяет фреймы по всему широко- широковещательному домену. Обычно такая передача не является необходимой, однако она имеет место, поскольку того требуют правила моста (bridge rules). С целью оказания администраторам помощи в управлении миогоадресатными рассылками в сети корпо- корпорация Cisco внедрила фирменный протокол группового управления (Cisco Group Management Protocol — CGMP). Чтобы реализовать управление лавинным распро- распространением многоадресатного трафика в сети, протокол CGMP работает в коммутато- коммутаторах Catalyst и маршрутизаторах совместно с межсетевым протоколом управления группами (Internet Group Management Protocol — IGMP), работающим в маршрутиза- маршрутизаторах. В коммутаторах Catalyst моделей 5000, 6000, 4000, 2948G, 2926G и 2926 реали- реализована поддержка функции подавления многоадресатных рассылок (multicast suppres- suppression) средствами протокола CGMP. Данная глава не может рассматриваться как истина в последней инстанции при обсуждении вопросов, связанных с мпогоадресатными рассылками (multicast). Одна- Однако, приведенный в настоящей главе краткий обзор многоадресатного режима переда- передачи, а также многоадресатной идентификации, операций протокола IGMP (версий I и 2) и протокола CGMP представляется авторам уместным в свете вопросов примеие-
ния коммутаторов Catalyst. Поэтому в следующих разделах предоставлена общая ин- информация, связанная с данной тематикой. Протоколы CGMP/IGMP: усовершенствованное управление трафиком Многоадресатный трафик порождается узлами-отправителями, которым необходи- необходимо распространить некоторые данные среди многочисленных узлов-получателей. При генерации многоадресатного трафика отправитель использует особые адреса второго и третьего уровней эталонной модели OSI таким образом, что маршрутизаторы и мосты получают точную информацию о том, как распространять полученный фрейм. Стан- Стандартно, если маршрутизатор не способен поддерживать многоадресатный трафик и не использует протокол многоадресатной маршрутизации, такой, как DVMRP (distance vector multicast routing protocol — протокол многоадресатной маршрутизации по век- вектору расстояния), или не зависящую от протокола многоадресатную рассылку (Protocol Independent Multicast — PIM), то он не передает многоадресатный трафик далее. Протоколы DVMRP и PIM являются межмаршрутизаторными (inter-router) и, следовательно, конечные узлы и коммутаторы не принимают участия в обмене сооб- сообщениями для данных протоколов. Коммутатор локальной сети не является маршрутизатором (хотя маршрутизатор может быть встроен в него, как, например, в составе модуля RSM). Что же, в таком случае, происходит с многоадресатным трафиком в коммутируемой сети? По умолча- умолчанию коммутатор (мост) лавинно распространяет многоадресатный трафик внутри ши- широковещательного домена, что приводит к заполнению полосы пропускания обычных и магистральных каналов. В зависимости от реализации набора протоколов TCP/IP в конечных станциях, а также атрибутов сетевой платы (network interface card attributes), многоадресатный фрейм может вызвать процессорное прерывание (CPU interrupt). Рассмотрим причины, лежащие в основе лавинного распространения многоадресат- многоадресатного трафика коммутатором. Коммутатор осуществляет лавинную многоадресатную рассылку, поскольку не имеет записи в таблице моста для необходимого адреса полу- получателя. Групповые адреса (multicast addresses) никогда не фигурируют в качестве адре- адресов отправителей, следовательно, мост или коммутатор не имеет возможности дина- динамически обновлять информацию об адресах такого типа. Запись в таблице можно на- настроить вручную при помощи команды set cam static. Протокол IGMP является многоадресатным и непосредственно воздействует на уз- узлы сети. Данный протокол позволяет узлам сети информировать маршрутизаторы о необходимости получения ими многоадресатного трафика для определенного группо- группового адреса. Современные коммутаторы Catalyst при отсутствии функциональной платы Net- Flow (NetFlow Feature Card — NFFC) не воспринимают сообщения протокола IGMP. IGMP-сообщения представляются данным устройствам Catalyst как любые другие многоадресатные фреймы. Корпорация Cisco разработала фирменный протокол CGMP, который позволяет маршрутизаторам предоставлять коммутаторам Catalyst информацию об узлах, заинтересованных в получении многоадресатного трафика, в результате чего изменяется поведение коммутаторов Catalyst, по умолчанию лавинно 618 Часть IV. Расширенные возможности
распространяющих многоадресатный трафик ко всем узлам внутри широковещатель- широковещательного домена. Вместо лавинного распространения многоадресатного фрейма ко всем узлам коммутатор Catalyst офаничивает диапазон лавинной рассылки только теми уз- узлами широковещательного домена, которые зарегистрированы маршрутизатором с помощью протокола IGMP. Если станция не зарегистрирована с помощью маршрути- маршрутизатора, то копию многоадресатного фрейма она не получает, в результате чего сохра- сохраняется полоса пропускания канала. Групповые адреса Групповые адреса получателей обычно используются приложениями в тех случаях, когда возникает необходимость отправить данные для нескольких станций и в то же время желательно ограничить распространение только теми станциями, которые заин- заинтересованы в получении отправляемых данных. С помощью групповых адресов зада- задается подгруппа всех станций сети. Для устройства-отправителя существуют два других способа передачи: одноадресатные и широковещательные фреймы. При использова- использовании отправителем широковещательного адреса все станции широковещательного до- домена вынуждены обработать отправленный им фрейм, даже если они не заинтересо- заинтересованы в получении данной информации. Если отправитель передает одноадресатные фреймы, то он вынужден отправлять многочисленные копии фреймов, по одной для каждого предопределенного получателя. Подобный подход к использованию сетевых ресурсов является чрезвычайно неэффективным и не может быть расширен соответст- соответствующим образом при росте количества получателей. Путем использования групповых адресов отправитель передает по проводнику только одну копию фрейма, а маршрутизаторы распространяют многоадресатное со- сообщение по другим сегментам сети, в которых расположены заинтересованные полу- получатели. Групповые адреса появляются на втором и третьем уровнях эталонной модели OSI. Администратор сети назначает групповой адрес третьего уровня для использова- использования приложением, после чего групповой адрес второго уровня вычисляется из адреса третьего уровня. Данная методика описана в разделе "Групповые адреса второго уровня". При конфигурировании многоадресатных приложений групповой адрес до- добавляется к списку допустимых МАС-адресов сетевой платы. Обычно такой список содержит встроенный МАС-адрес, а также любые сконфигурированные пользователем адреса. Каждый раз при получении фрейма с совпадающим групповым адресом полу- получателя принимающая станция отправляет данный фрейм процессору. Маршрутизатор проверяет фупповые адреса как второго, так и третьего уровней, тогда как коммутатор проверяет только адрес второго уровня. Коммутатор Catalyst также может осуществлять проверку адресов третьего уровня, но только при наличии необходимого аппаратного обеспечения, такого, как модуль Catalyst 5000 Supervisor III с платой NFFC (преимущества подобного подхода описаны в разделе "IGMP- прослушивание: усовершенствованное управление трафиком" текущей главы). В про- противном случае, коммутатор Catalyst ограничивается проверкой МАС-адреса, содержа- содержащегося во фрейме. Групповые адреса третьего уровня Групповые адреса третьего уровня характеризуются как адреса класса D. Первые четыре бита IP-адресов класса D равны 1110. Это означает, что фупповые IP-адреса находятся в диапазоне от 224.0.0.0 до 239.255.255.255. Кроме того, следует заметить, Глава 13. Многоадресатные и широковещательные службы 619
что групповые адреса с 224.0.0.0 по 224.0.0.255 являются зарезервированными. Особое внимание при рассмотрении данной темы будет уделено следующим трем зарезерви- зарезервированным адресам: • 224.0.0.1 — все станции в сегменте, поддерживающие многоадресатные рассылки; • 224.0.0.2 — все маршрутизаторы в сегменте, поддерживающие многоадресатные рассылки; • 224.0.0.4 — все маршрутизаторы в сегменте, работающие с протоколом DVMRP. Обычно групповые адреса для приложений назначаются администратором сети. При этом необходимо выбирать адреса, которые не используются другими приложе- приложениями или процессами. Групповые адреса из зарезервированного диапазона использо- использовать не следует. Групповые адреса второго уровня После того, как администратор назначил групповой адрес третьего уровня, на ос- основе IP-адреса автоматически генерируется адрес второго уровня. На рис. 13.1 пред- представлена схема получения группового МАС-адреса из группового IP-адреса. Для вы- вычисления адреса второго уровня узел копирует последние 23 бита IP-адреса в послед- последние 24 бита МАС-адреса. Старший бит (high order bit) устанавливается равным нулю. Первые 3 байта B4 бита) группового МАС-адреса равны 0х01-00-5Е. Данное зна- значение представляет собой зарезервированное значение OUI-идентификатора, указы- указывающее многоадресатное приложение. Неопределенные -биты ->•! Адрес третьего уровня 12 3 4 Битовое значение 1110 х = не имеет значения i 16 24 32 5 6 7 8 1 |2 3 4 5 6 7 8 12 3 4 5 6 7 8 12 3 4 5 6 7 8 ххххх/ххххххх/ххххххххх/хххххххх МАС-адрес второго уровня 01-00-5Е 0 [«- 0UI 23 бита Рис. 13.1. Вычисление группового МАС-адреса Рассмотрим небольшой пример. В IP-адресе 224.1.10.10, назначенном администра- администратором, 23 младших бита (low bit) равны 1.10.10. В шестнадцатеричном формате данное значение равно 0х01-0А-0А. Последние 23 из 24 битов вносятся в поле МАС-адреса. Полный МАС-адрес в данном случае равен 01-00-5Е-01-0А-0А. Что произойдет, если IP-адрес будет равен 225.1.10.10? Побочным эффектом дан- данной схемы является неопределенность адресов (address ambiguity). Несмотря на то, что на третьем уровне определена другая многоадресатная IP-группа, адрес второго уров- уровня в данном случае тот же, что и для IP-адреса 224.1.10.10. Устройства второго уровня не имеют возможности различить две многоадресатиые группы, и принимают фреймы от обеих. Пользовательское приложение вынуждено фильтровать два потока и отбра- 620 Часть IV. Расширенные возможности
сывать нежелательные многоадресатные фреймы. Любое значение битовой комбина- комбинации для пяти битов, обозначенных на рис. 13.1 как неопределенные, генерирует один и тот же групповой МАС-адрес второго уровня. Это означает, что существует 25 ком- комбинаций или 32 адреса третьего уровня, которые могут образовывать один и тот же адрес второго уровня. Совет При назначении групповых адресов необходимо помнить о правиле неопределенности 32:1 и пытаться всячески избегать наложений многоадресатных групп (multicast overlap). Такой подход поможет сохранить полосу пропускания обычных и магистраль- магистральных каналов. Конечная станция отбрасывает нежелательные многоадресатные пакеты на третьем уровне, после того, как они вызовут процессорное прерывание. Протокол IGMP В протоколе IGMP определен порядок регистрации маршрутизатором узлов для получения ими трафика определенной многоадресатной группы. Существуют две вер- версии данного протокола: версия 1, определенная в спецификации RFC 1112, и версия 2, которая определена в спецификации RFC 2236. В версии 2, в отличие от первой, были добавлены существенные особенности, в результате чего протокол IGMP стал более эффективным и позволяет станциям явно выходить из состава многоадресатной группы. Данные особенности описаны в разделе, посвященном второй версии прото- протокола IGMP. Протокол IGMP версии 1 На рис. 13.2 представлена структура фрейма в восьмиоктетиом формате протокола IGMP версии 1. О 15 31 Версия протокола IGMP Тип сообщения протокола IGMP Не используется 16-битная контрольная сумма Групповой IP-адрес Рис. 13.2. Формат фрейма первой версии протокола IGMP В первом поле указывается, какая версия протокола IGMP использовалась при ге- генерации данного фрейма. Для первой версии значение должно быть равно 1. В сле- следующем поле указывается тип сообщения. В версии 1 определены два типа сообще- сообщений: запрос о составе узлов (host membership query) и отчет о составе узлов (host mem- membership report). В поле Checksum (контрольная сумма) содержится контрольная сумма, рассчитанная отправителем. Принимающее устройство осуществляет проверку кон- контрольной суммы с целью определения, поврежден или нет фрейм в процессе переда- передачи. Если контрольная сумма не совпадает со значением, указанным в соответствую- соответствующем поле, получатель отбрасывает данный фрейм. Отправитель рассчитывает кон- контрольную сумму для всего IGMP-сообщения. В последнем поле указан адрес группы получателей, на который направлено данное сообщение. Глава 13. Многоадресатные и широковещательные службы 621
На рис. 13.3 представлена схема сети, в которой несколько станций и маршрутиза- маршрутизатор находятся в сегменте локальной сети. Когда какой-либо станции в сегменте необ- необходимо получить многоадресатный трафик, она генерирует незапрашиваемый отчет о составе станций, отмечая таким образом необходимую многоадресатную группу. Отправитель многоадресатного трафика Кому-либо еще необходима многоадресатная рассылка? Мне необходима / многоадресатная рассылка I для группы \. 239.255.160.171 Рис. 13.3. Маршрутизатор и станции, использующие протокол IGMP Обратите внимание на отчет о составе группы, показанный на рис. 13.4. а ад die. - i ~B DLC: : Qdlc: ; -HdIC: : D™: OIC Bud» Fr«e 2 arrived At 22:03:56.3668; Destination * Source > Ethortype • STT I? D-U39 255 ПО » - аи ■ ■■и imp • Щ IGHP . Н IGMP ': Ш IGMP - И IGMP Version TYfw Unused Ch^cksuK Group Address frame six* is 6D (ООЭС hex) byte*. Multicast C10DSE7FA0AB Station OD600SB6413E 0800 (IP) U S-I10 11 1 2! LB1-J ШЩшВЯ - 1 . OXQQ - £DS< {correct) - [239 25S 160 171) Report) Puc. 13.4. Многоадресатный отчет о составе станций по первой версии протокола 1GMP МАС-адрес отправителя указывает многоадресатную группу, к которой намерена присоединиться данная станция. Если бы МАС-адрес во фрейме был единственной информацией для идентификации группы, то любую из 32 групп можно было бы трактовать как необходимую для станции благодаря рассмотренной выше неопреде- неопределенности адресов. Однако, адрес третьего уровня включается как в IP-, так и в IGMP- 622 Часть IV. Расширенные возможности
заголовок. Многоадресатная группа третьего уровня, необходимая станции, имеет ад- адрес 239.255.160.171. Данный адрес может быть преобразован в МАС-адрес 01-00-5Е- 7F-A0-AB. Все поддерживающие многоадресатные рассылки устройства на общем но- сигеле получают отчет о составе узлов. В данной ситуации, тем не менее, только маршрутизатор заинтересован в получении определенного фрейма. Фрейм как бы го- говорит маршрутизатору: "Я хочу получать все сообщения для данной многоадресатной группы". В результате маршрутизатор располагает сведениями о том, куда необходимо отравлять копии всех фреймов с данным групповым адресом. Копии фреймов будут направлены в тот сегмент, в котором находится станция, сгенерировавшая отчет. Устройство генерирует IGMP-отчет о составе в двух ситуациях, которые описаны ниже. • Отчет генерируется каждый раз, когда устройство намеревается принять многоад- ресатный поток. При использовании многоадресатного приложения в устройст- устройстве конфигурируется сетевая плата, и встроенные IGMP-процессы отправляют маршрутизатору незатребованный отчет о составе группы (unsolicited membership report), запрашивая таким образом копии многоадресатиых фреймов. • Отчет генерируется в ответ на запрос о составе группы, отправленный маршрути- маршрутизатором. Данный запрашиваемый отчет о составе группы (solicited membership report) способствует маршрутизатору в подтверждение того, что в сегменте все еще присутствуют станции, которым необходимо получать многоадресатный трафик для определенной многоадресатной группы. Маршрутизаторы периодически генерируют запросы о составе группы. С помощью команды маршрутизатора ip igmp query-interval seconds можно настроить период отправки от 0 с до максимума — 65 535 с. Стандартный интервал равен 60 с. С целью определения необходимости отправки станциям многоадресатиых фреймов маршрутизатор опрашивает сегмент с помощью сообщения, приведенного на рис. 13.5. ij Ш& DLC. - О D1C ■ L£ dlc ■Jj OtC: ■ -Qm: m-T ip > И KM" ■■ В :ояр g JOJiP S ISilP 5 20ИР и :g>!p @ IGXP DLC Header Fzaite 3 «xi D«9tinetior Source Ethertype (Hi 0.0 I) Vert; ion Type Ilnuse.,! ived at 11 55.13.6069. fra«e size j« 60 @03C he») bytes. ■ Multicast ОШ05Ш0001 ■ Station 00E0H35OC010 • 0J00 (IP) S-tlj) 0 I 1001 IB!-* ILi-0 « i - 1 <tfo;t 3<ct«bcr«hlI3 Омегу) ■ 0xi>4 - LE'iB (correct) sfi = [D CO 01 Puc. 13.5. Мчогоадресатный запрос о составе группы протокола 1GMP версии 1 Только один маршрутизатор в каждом сегменте генерирует запросы о составе группы. Если в сегменте используется протокол IGMP версии 1, такие запросы гене- генерируются маршрутизатором, предназначенным для обработки сообщений протокола многоадресатной маршрутизации. В случае использования второй версии указанного протокола запросы генерируются многоадресатным маршрутизатором с наименьшим IP-адресом в сегменте. Запрос о составе группы направляется на групповой адрес всех станций, 224.0.0.1, указанный в поле адреса третьего уровня. Адрес второго уровня в данном случае будет Глава 13. Многоадресатные и широковещательные службы 623
01-00-5Е-00-00-01. В заголовке протокола IGMP используется групповой адрес 0.0.0.0. Данная информация преобразовывается в запрос для всех многоадресатных станций во всех группах сегмента. На каждое сообщение должен последовать ответ от какой-либо станции в каждой активной многоадресатной группе. Когда многоадресатиая станция получает запрос о составе группы и продолжает прием многоадресатных фреймов для многоадресатных групп, станция запускает в случайном режиме внутренний таймер с наибольшим перио- периодом, равным 10 с. По истечении времени таймера станция отправляет отчет о составе для каждой многоадресатной группы, от которой хочет продолжить прием данных. Если какая-либо другая станция отправляет отчет о составе до того, как истечет время локального таймера, узел обнуляет таймер и подавляет создание отчета. Подоб- Подобная методика предотвращает возникновение в сегменте лавинной передачи маршрути- маршрутизатору отчетов о составе станций. Только одной станции из каждой многоадресатпой группы необходимо ответить отчетом за каждую группу в сегменте. Если маршрутизатор не получает отчета о составе для определенной мпогоадресат- пой группы в течение трех отчетных интервалов, предполагается, что в данной группе не осталось ни одной станции, заинтересованной в получении многоадресатного тра- трафика. Ближайший к группе маршрутизатор прекращает передачу многоадресатных па- пакетов для данной группы и информирует удаленный от сегмента маршрутизатор (upstream) о необходимости прекратить отправку фреймов. Описанный процесс дает точное определение неявного выхода из состава многоад- многоадресатпой группы. Узел, использующий первую версию протокола IGMP, не имеет возможности явно информировать маршрутизатор о выходе из многоадресатной груп- группы. Маршрутизатор получает такую информацию только при повторных запросах о составе группы и при условии отсутствия ответов па них. Вторая версия протокола IGMP На рис. 13.6 показана структура фрейма во второй версии согласно спецификации RFC 2236. Необходимо отметить, что поле, содержащее помер версии, отсутствует. Однако поле, указывающее тип сообщения, расширилось, и его новое значение с це- целью обеспечения обратной совместимости позволяет устройствам, использующим первую версию, принимать фреймы второй версии протокола IGMP. Добавлено также другое поле, отсутствовавшее во фрейме первой версии протокола IGMP— поле Maximum Response Time (максимальное время отклика). Структура фрейма описана ниже в данном разделе. О 15 31 Тип сообщения протокола IGMP Максимальное время отклика 16-битная контрольная сумма Групповой IP-адрес Рис. 13.6. Формат фрейма второй версии протокола IGMP Во второй версии протокола IGMP появились два новых типа сообщений, направ- направленных на усовершенствование процесса присоединения к группе и выхода из нее. В соответствии со спецификацией RFC 2236 добавлены также сообщение о выходе из группы и сообщение отчета о составе группы по второй версии. Полный список со- сообщений и соответствующих значений заголовка приведен ниже. 624 Часть IV. Расширенные возможности
• Oxll — запрос о составе (membership query); • 0x12 — отчет о составе по версии 1 (version I membership report); • 0x16 — отчет о составе по версии 2 (version 2 membership report); • 0x17 — сообщение о выходе из группы (leave group). Запрос о составе и отчет о составе первой версии перешли из первой версии прото- протокола IGMP. Однако, во второй версии запрос о составе может направляться определен- определенным многоадресатным группам. В первой версии сообщение данного типа представляло собой общий запрос с групповым адресом 0.0.0.0. Все активные группы отвечали на та- такой общий запрос. Вторая версия протокола IGMP позволяет маршрутизатору, отправ- отправляющему запрос, выбрать определенную многоадресатную группу. Когда маршрутизатор отправляет сообщение заданного типа, многоадресатный узел, использующий вторую версию, отвечает на запрос отчетом о составе второй версии. Другие многоадресатные группы игнорируют подобный запрос, если он адресован не им. Запрос о составе опре- определенной группы применим только в системах, работающих с версией 2 протокола. Если узел, использующий вторую версию, покидает многоадресатную группу, то он отправляет незатребованное сообщение о выходе из состава группы. Такое уведомление необходимо для того, чтобы проинформировать маршрутизатор запросов (query router) о том, что данная станция более не нуждается в получении многоадресатного потока. Маршрутизатор поддерживает список всех станций многоадресатной группы в сегменте. Если другим станциям необходимо и дальше получать многоадресатный поток, маршру- маршрутизатор продолжает отправлять в сегмент многоадресатные фреймы. Однако, если при- прибывает отчет о составе от последней станции в сегменте для многоадресатной группы, маршрутизатор прерывает многоадресатный поток для данной группы. Рассмотрим схему многоадресатной группы, представленную на рис. 13.7. Две станции принадлежат группе с адресом 224.1.10.10, а одна станция входит в состав группы с адресом 224.2.20.20. Отправитель многоадресатного трафика Станция 3 Станция 2 Многоадресатная группа 224.1.10.10 Многоадресатная группа 224.2.20.20 Рис. 13.7. Пример выхода станции из состава группы с помо- помощью IGMP-сообщения по второй версии Глава 13. Многоадресатные и широковещательные службы 625
Сначала маршрутизатор передает фреймы для обеих групп в сегменте. Станция, входящая в состав группы 224.2.20.20, определяет, что необходимость принимать многоадресатный поток для данной группы отсутствует, и передает сообщение о вы- выходе. Маршрутизатор принимает данное сообщение и проверяет свою многоадресат- ную таблицу, чтобы определить, присутствуют ли в сегменте какие-либо другие стан- станции, нуждающиеся в получении данного потока. В рассматриваемом примере другие станции в состав указанной группы не входят. Маршрутизатор отправляет запрос для определенной группы, т.е. группы с адресом 224.2.20.20, чтобы получить точную ин- информацию о ней. Если в ответ на запрос он не получит отчета о составе, то прекратит передачу потока данных для адреса 224.2.20.20. Продолжая анализ примера, предположим, что позднее станция 3 покинет группу 224.1.10.10, отправив предварительно сообщение о выходе. Маршрутизатор примет данное сообщение, отправит запрос к определенной группе и получит сведения о том, что дополнительные станции в сегменте все еще настроены на получение многоадре- сатного потока. Следовательно, маршрутизатор продолжит передачу всех миогоадре- сатиых фреймов для данной группы. Если когда-нибудь потребуется подтвердить необходимость передачи потока, мар- маршрутизатор может направить в сегмент общий запрос или запрос к определенной группе. В случае, если маршрутизатор не получит ответа на серию таких запросов, предполагается, что в сегменте отсутствуют станции, нуждающиеся в получении дан- данного потока. Другая особенность протокола IGMP второй версии влияет на метод выбора мар- маршрутизатора запросов. В версии 1 маршрутизатор запросов выбирается с помощью протокола многоадресатной маршрутизации. Маршрутизатор, сконфигурированный для работы с данным протоколом, становится генератором запросов (querier). В вер- версии 2 маршрутизатор запросов определяется на основе IP-адреса. Маршрутизатор, поддерживающий многоадресатпые рассылки и имеющий наименьший IP-адрес, вы- выбирается в качестве маршрутизатора запросов. Первоначально каждый маршрутизатор предполагает, что именно он является маршрутизатором запросов, и отправляет со- сообщения. Если маршрутизатор получает запрос от другого маршрутизатора с меньшим IP-адресом, то он запросов более не генерирует. Последняя особенность, добавленная во вторую версию протокола IGMP, предос- предоставляет возможность многоадресатному маршрутизатору задавать интервал времени отклика узла. Необходимо помнить, что после получения запроса о составе группы узел запускает случайный таймер. Значение таймера находится в диапазоне от нуля до максимального времени отклика, которое указано в запрашивающем сообщении мар- маршрутизатора. Вторая версия позволяет настроить верхний предел таймера до макси- максимального размера в 25 с. Стандартное значение для маршрутизаторов Cisco равно 10 секунд. Совет В случае наличия в сегменте большого количества групп возможно использование большего значения таймера для генерирования откликов. Такой подход поможет сгладить в сегменте всплески поступления отчетов о составе. Если количество групп незначительно, можно понизить значение таймера, для того чтобы маршрутизатор быстрее прерывал многоадресатные потоки. 626 Часть IV. Расширенные возможности
Взаимодействие различных версий протокола IGMP В двух предыдущих разделах описывалась работа сети при использовании стан- станциями и маршрутизаторами одной версии протокола IGMP, что характерно для одно- однородной системы. Рассмотрим различные ситуации, когда в системе используются раз- различные версии протоколов. Первая из возможных ситуаций возникает в случае использования станций с раз- различными версиями и маршрутизатора запросов, работающего с первой версией про- протокола IGMP (см. рис. 13.8). Характер обмена IGMP-сообщениями в данном случае определяется версией, которую использует маршрутизатор запросов. В такой ситуации станции вынуждены использовать сообщения, соответствующие первой версии. Мар- Маршрутизатор не способен работать ни с отчетами о составе группы, ни с сообщениями о выходе из группы версии 2. Версия 1 протокола IGMP шЁ&Ш&Я&к V1 V2 V1 V2 Все станции используют версию 1 протокола IGMP Рис. 13.8. Станции, использующие различные версии протокола 1GMP, и маршрутизатор, использующий первую версию протокола Вторая ситуация характеризуется тем, что маршрутизатор поддерживает вторую версию протокола IGMP, а станции используют только первую версию. Несмотря на то, что маршрутизатор способен работать с большим количеством типов сообщений, чем станции, в конечном итоге он использует только сообщения первой версии. При получении маршрутизатором, поддерживающим вторую версию, отчета о составе пер- первой версии, он использует запросы о составе только согласно первой версии. В запро- запросах первой версии используется групповой адрес 0.0.0.0, а запросы к определенной группе не генерируются. Если будет создан запрос к определенной группе, станции, поддерживающие первую версию протокола, не опознают данное сообщение и, соот- соответственно, не ответят па него должным образом. Рассмотрим ситуацию, когда в сегменте присутствуют станции, поддерживающие первую версию, и станции, которые поддерживают вторую версию протокола, а мар- маршрутизатор использует версию 2 (см. рис. 13.9). Как и в предыдущем случае, маршру- маршрутизатор должен учитывать присутствие станций, поддерживающих первую версию, и, следовательно, генерировать запросы о составе только формата первой версии. Кроме того, если какая-либо станция, поддерживающая вторую версию, отправит сообщение о выходе из состава группы, маршрутизатор должен проигнорировать такое уведомле- уведомление о выходе. Он игнорирует данное сообщение, поскольку должен продолжать гене- генерировать общие запросы, если в сегменте имеются активные станции, поддерживаю- поддерживающие первую версию. Глава 13. Многоадресатные и широковещательные службы 627
Версия 2 протокола I6MP В станциях используются либо вторая, либо первая версия протокола I6MP Рис. 13.9. Станции IGMPvl и 1GMPv2 с маршрутиза- маршрутизатором IGMPv2 Если к сегменту подсоединены два маршрутизатора, один из которых поддержива- поддерживает первую версию протокола IGMP, а другой — вторую, последний должен быть пе- переведен администратором в режим поддержки первой версии. Маршрутизатор, под- поддерживающий первую версию протокола, не способен определить присутствие мар- маршрутизатора со второй версией протокола IGMP. Поскольку в двух версиях протокола FGMP используются различные методики выбора маршрутизатора запросов, устройст- устройства, поддерживающие разные версии, не способны надежно согласовать выбор мар- маршрутизатора запросов. Протокол IGMP в коммутируемой среде Коммутаторы по умолчанию лавинно распространяют многоадресатный трафик. В схеме на рис. 13.10 присутствуют многоадресатные станции и маршрутизаторы, под- подключенные к коммутатору локальной сети. Все порты принадлежат одной виртуаль- виртуальной локальной сети. Некоторые станции, как, например, станция ПК-3, не принима- принимают участия в обмене мпогоадресатным трафиком. Когда станция ПК-1, поддержи- поддерживающая многоадресатные рассылки, отправляет отчет о составе, коммутатор осуществляет лавинную передачу многоадресатных фреймов даже к тем станциям, ко- которые не нуждаются в получении мпогоадресатного трафика. При отправке общего запроса о составе группы маршрутизатор использует МАС- адрес 01-00-5Е-00-00-01. Данный групповой адрес вынуждает коммутатор отправлять фреймы на все порты. Когда в ответ на запрос станция генерирует отчет, он направ- направляется также на все порты. Очевидно, что разумным решением было бы применение ограничения распростра- распространения мпогоадресатпых фреймов в коммутируемой сети только к тем станциям, кото- которые действительно нуждаются в получении многоадресатного трафика. В коммутаторе Catalyst предоставлены три потенциальные возможности для ограничения распростра- распространения многоадресатного трафика: статические настройки (static configurations), прото- протокол CGMP и IGMP-прослушивание (IGMP Snooping). Все указанные функции рас- рассматриваются в текущей главе. 628 Часть IV. Расширенные возможности
Станция 1 Станция 2 Станция 3 Станция 4 Отчет о составе группы Запрос о составе группы Рис. 13.10. Коммутируемый и многоадресатный трафик Конфигурирование протокола IGMP на маршрутизаторе Базовая конфигурация IGMP-маршрутизатора требует активизации протокола многоадресатной маршрутизации, а затем, в случае необходимости, настройки допол- дополнительных функций. В качестве примера конфигурирования устройства можно при- привести возможность выбора версии протокола FGMP. Маршрутизатор стандартно ис- использует вторую версию протокола IGMP. Если включена поддержка версии 2, и станции в сегменте поддерживают именно ее, можно отрегулировать различные тай- таймеры. В примере 13.1 приведена часть соответствующей конфигурации, не связанные с маршрутизатором командные строки исключены из выводимой информации для краткости. Наиболее важные для протокола IGMP и миогоадресатпой маршрутизации команды, тем не менее, приведены. Другие команды, присутствующие в примере, включают поддержку протокола CGMP, который подробнее описывается в одном из следующих разделов. Т":-" ""■ v.' * "". ' "■■" •' " : ' .' " •.■••-— ■ ••■ ~ ! | Пример 13.1. Частичная конфигурация маршрутизатора для поддержки I протоколов IGMP/CGMP ! ip multicast-routing ip dvmrp route-limit 7000 Interface EthernetO ip address 193.10.2.33 255.255.255.224 ip pim dense-mode ip cgmp В данном маршрутизаторе для многоадресатной маршрутизации используется про- протокол PIM. Необходимо особо выделить глобальную конфигурационную директиву ip Глава 13. Многоадресатные и широковещательные службы 629
multicast-routing, которая принудительно включает маршрутизацию. Если данная команда не была введена, протоколы CGMP и PIM не будут функционировать. Для проверки правильности функционирования многоадресатного маршрутизатора необходимо ввести команду show ip igmp interface, как показано в примере 13.2. ; Пример 13.2. Информация, полученная с помощью команды show ip igmp : interface ■ .'■ ; ■■ !-?ад- ,-.. •■>■■ I Router3-gatewayishow ip igmp interface eO EthernetO is up, line protocol is up Internet address is 193.10.2.33/27 IGMP is enabled on interface Current IGMP version is 2 CGMP is enabled on interface IGMP query interval is 60 seconds IGMP querier timeout is 120 seconds IGMP max query response time is 10 seconds Inbound IGMP access group is not set IGMP activity: 3 joins, 2 leaves Multicast routing is enabled on interface Multicast TTL threshold is 0 Multicast designated router (DR) is 193.10.2.33 (this system) IGMP querying router is 193.10.2.33 (this system) Multicast groups joined: 224.0.1.40 Router3-gateway! Данная команда проверяет, включена ли поддержка протокола IGMP, и какая вер- версия используется. С ее помощью также отображаются значения таймеров и дополни- дополнительная информация о том, является ли устройство маршрутизатором запросов. В приведенном выше примере устройство является маршрутизатором запросов. Статические настройки многоадресатного обмена Одно из имеющихся средств для управления распространением многоадресатных фреймов модифицирует таблицу моста. Существует возможность статически опреде- определить, какие порты будут принимать определенный многоадресатный трафик. Напри- Например, предположим, что станции ПК-1 и ПК-2 (см. рис. 13.10) принадлежат одной многоадресатной группе 224.1.10.10. Таблицу моста можно модифицировать вручную, указав при этом, что подключенные порты должны принимать все фреймы с адресом получателя 01-00-5Е-01-0А-0А. Осуществить подобные изменения поможет команда коммутатора Catalyst set cam {static | permanent} multicast MAC mod/ports VLAN (аббревиатура САМ в данном случае расшифровывается как content addressable memory — ассоциативное запоминающее устройство, и относится к аппаратному обес- обеспечению устройства, которое содержит таблицу моста). Групповой адрес как статиче- статическую или постоянную запись в таблицу моста можно ввести с помощью параметра multicast НАС. Внесенная в таблицу статическая запись остается в ней до перезагрузки коммутатора Catalyst. Обычные процессы обновления записей моста (normal bridge aging processes) приостанавливаются для записей такого типа. Однако, коммутатор Catalyst не способен хранить такие записи между перезагрузками или циклами отклю- 630 Часть IV. Расширенные возможности
чения питания. С другой стороны, изменения в таблице можно сделать постоянными. В таком варианте устройство сохраняет адрес в энергонезависимой памяти (NVRAM), и коммутатор Catalyst может восстановить данную конфигурацию после перезагрузки или отключения питания. Изменить конфигурацию, приведенную на рис. 13.10, можно с помощью команд- командной строки, показанной в примере 13.3. (Пример 13.3. Создание постоянной записи в САМ-таблице Ь....,. ^ ..,.».,.,..,..... * .,..,... .^;—..,..,.—»...;.?...,...... ,.„...-\ -./.и...,». ^^.^^.J^iL^,,;,...„.-,.~~,~. »»..~. Console> (enable) set cam permanent 01-00-5E-01-0A-0A 2/1-3 30 Permanent multicast entry added to CAM table. Console> (enable) Необходимо отметить, что в конфигурацию включается определенный порт мар- маршрутизатора. Если его исключить из командной строки, маршрутизатор никогда не получит от станции отчета о составе группы. Когда станция передает многоадресат- ный фрейм с адресом, указанным в конфигурации, коммутатор определяет адрес по- получателя и проверяет таблицу моста. Таблица моста с соответствующей конфигураци- конфигурацией в данном случае имеет три порта, предназначенных для получения многоадресат- ного фрейма. Коммутатор Catalyst не передает фреймы на какие-либо порты без соответствующей многоадресатной конфигурации. Данный подход является надежным методом модификации САМ-таблицы, однако его реализация осуществляется полностью вручную. Если потребуется добавить или удалить многоадресатную группу, добавить или переместить станцию, то придется вручную изменить конфигурацию на коммутаторе. Ручное изменение САМ-таблицы нельзя назвать расширяемым решением, если в сети имеется много станций и много- адресатных групп. Коммутатор Catalyst предоставляет два средства динамического изменения таблицы моста в многоадресатном окружении: протокол CGMP и ЮМР-прослушивание (IGMP Snooping). Они устраняют необходимость ручного конфигурирования и явля- являются достаточно полезными при использовании в динамическом многоадресатном окружении. В следующих разделах описываются оба вышеупомянутых динамических процесса. Протокол CGMP Фирменный протокол корпорации Cisco CGMP взаимодействует с протоколом IGMP для динамического изменения таблиц моста. Поскольку CGMP является част- частным протоколом, то для того, чтобы эффективно его использовать, необходимо при- применять маршрутизаторы и коммутаторы Catalyst корпорации Cisco. Когда станция от- отправляет IGMP-отчеты о составе группы CGMP совместимому маршрутизатору, он, в свою очередь, через протокол CGMP отправляет коммутатору Catalyst конфигураци- конфигурационную информацию. Коммутатор Catalyst модифицирует свою локальную таблицу моста, основываясь при этом на информации, содержащейся в CGMP-сообщении. На рис. 13.11 представлена схема многоадресатной системы с двумя соединенными ком- коммутаторами Catalyst и маршрутизатором, подключенным к одному из них. Персональ- Персональные компьютеры подключены к коммутаторам Catalyst, а их пользователи намерены воспользоваться многоадресатными приложениями. Глава 13. Многоадресатные и широковещательные службы 631
Согласно рис. 13.11 маршрутизатор Cisco принимает от станций РС-1 и РС-2 IGMP-отчеты о составе группы. Маршрутизатор отправляет подтверждающее CGMP- сообшение коммутатору Catalyst, информируя его о МАС-адресе станции-отправителя и многоадресатной группе, в составе ко- которой она рассчитывает принимать тра- трафик. Например, станция ПК-1 отправляет запрос о подключении к группе 224.1.10.10. Маршрутизатор передает ком- коммутатору Catalyst указание отправлять многоадресатиый трафик с МАС-адресом получателя 01-00-5Е-01-0А-0А для стан- станции с МАС-адресом отправителя 00-60- 08-93-DB-C1. В коммутаторе Catalyst, a точнее, в его локальной таблице моста осуществляется поиск соответствующего адреса (unicast address), после чего к пор- порту, на котором находится станция, добав- добавляется адрес группы. Все фреймы с груп- групповым адресом, которые получит комму- коммутатор Catalyst, будут перенаправлены данному порту без перенаправления их на другие порты. Возможна ситуация, когда многоадресатпой группе принадлежат Станция 1 00-60-08-93-DB-CI Станция 2 IGMP-отчет о составе группы CGMP-сообщение о подключении Рис. 13.11. Пример работы протокола CGMP многие станции; каждая из них индивиду- индивидуально регистрируется маршрутизатором, а маршрутизатор обновляет данные комму- коммутатора Catalyst. Необходимо отметить две характерные особенности функционирования протоко- протокола CGMP. Во-первых, для нормальной работы протокола CGMP не требуются какие-либо изменения конфигурации станций. Протокол CGMP функционирует не- независимо от оконечных станций и затрагивает только такие устройства, как маршру- маршрутизатор и коммутатор. Во-вторых, CGMP-сообшения следуют только от маршрутиза- маршрутизатора к коммутатору. Перемещение сообщений в обратном направлении невозможно. Формат фрейма протокола CGMP В протоколе CGMP определен единственный формат фрейма, однако его содер- содержимое изменяется в зависимости от операции, которую пытается осуществить мар- маршрутизатор. Когда маршрутизатор передает CGMP-фрейм, канальный уровень (data link layer) использует МАС-адрес получателя 0x01-0C-DD-DD-DD. В SNAP-заголовке используется значение 0x2001. На рис. 13.12 приведена схема формата CGMP-фрейма, в которой исключены DLC-, LLC- и SNAP-заголовки. Несколько полей, которые входят в состав CGMP-фрейма, приведенного на рис. 13.12, подробно описаны ниже. • Version (версия) — в данном поле указывается версия протокола CGMP. • Message Type (тип сообщения) — в протоколе определены два типа сообщений: сообщения подключения (join) и выхода (leave) из группы. 632 Часть IV. Расширенные возможности
Reserved (зарезервированное поле) — данное поле не используется, его значение равно нулю. Count (счетчик) — в данном поле указывается количество многоадресат- ных/одноадресатных пар, содержащихся в CGMP-сообщении. Group Multicast Address (групповой адрес) — в этом поле указывается групповой адрес, который будет модифицирован, альтернативное его название — адрес группы получателей (Group Destination Address — GDA). Source Unicast Address (уникальный адрес) — в данном поле указан адрес уст- устройства-отправителя, подключающегося или покидающего многоадресатную группу. Он называется также уникальным адресом отправителя (Unicast Source Address - USA). Версия 3 Тип GDA 15 Зарезервировано GDA USA 23 USA Счетчик 31 Рис. 13.12. Формат CGMP-фрейма В поле Version Number (номер версии) указывается версия протокола CGMP, кото- которая используется в передающем маршрутизаторе. В настоящее время существует толь- только одна версия, следовательно, значение данного 4-битного поля всегда равно /. Поле Message Type (тип сообщения) содержит одно из двух значений: либо значе- значение 0, соответствующее сообщению подключения к группе, либо значение /, соответст- соответствующее сообщению выхода из группы. Поле Reserved (зарезервировано) в настоящее время не используется, и все его би- биты равны 0. В CGMP-сообщение, которое маршрутизатор отправляет коммутатору, включают- включаются адресные пары: адрес станции и групповой адрес, который необходим данной станции. Маршрутизатор может включить в CGMP-сообщение более одной адресной пары. Поле Count (счетчик) предоставляет коммутатору информацию о количестве ад- адресных пар, включенных в CGMP-сообщение. Протокол CGMP ссылается на поле Multicast Group Address как на адрес группы по- получателей (Group Destination Address — GDA). Многие команды семейства show ото- отображают значения, отмеченные как GDA. Значение первых трех октетов данного поля должно быть равным 0х01-00-5Е. Наконец, рассмотрим поле Unicast Source Address (USA). С его помощью коммута- коммутатор Catalyst опознает определенную станцию, которой необходимо получать многоад- ресатный поток. Значения полей GDA/USA образуют адресную пару. Маршрутизатор Глава 13. Многоадресатные и широковещательные службы 633
при отправке конфигурационной информации коммутатору может включить в CGMP-фрейм множество адресных пар. В декодированном CGMP-сообщении можно встретить несколько комбинаций значений полей GDA и USA. В табл. 13.1 представлены возможные комбинации и их описание. Таблица 13.1. Комбинации полей в CGMP-сообщениях Х J Значение GDA Значение USA Тип сообщения Описание Многоадресатная группа Многоадресатная группа 0000.0000.0000 0000.0000.0000 Многоадресатная группа 0000.0000.0000 Устройство Подключение к группе Добавляет USA-порт к группе Устройство Выход из группы Удаляет USA-порт из группы Маршрутизатор Подключение к группе Определяет CGMP-маршрутизатор и порт Маршрутизатор Выход из группы Удаляет информацию о CGMP- маршрутизаторе и порте 0000.0000.0000 Выход из группы Удаляет многоадресатную группу из таблицы моста 0000.0000.0000 Выход из группы Удаляет все многоадресатные группы из таблицы моста Первые два сообщения, приведенные в табл. 13.1, являются типичными. Маршрути- Маршрутизатор передает их во время отправки информации коммутатору Catalyst с указанием до- добавить или удалить одну или несколько станций из многоадресатной группы, указанной в поле GDA. После получения таких сообщений коммутатор Catalyst соответствующим образом модифицирует таблицу моста с целью обеспечения корректной передачи или фильтрации группового многоадресатного трафика определенному порту. Коммутатору Catalyst необходима информация о расположении маршрутизатора, поддерживающего протокол CGMP. Такую информацию можно вручную ввести в па- память коммутатора. Однако, процесс обнаружения CGMP-совместимых устройств по- позволяет маршрутизатору самостоятельно информировать коммутатор о своем присут- присутствии. Кроме того, отправив коммутатору сообщение о выходе из группы со своим МАС-адресом и нулевым значением поля GDA, маршрутизатор может сообщить ком- коммутатору о том, что он более не участвует в CGMP-операциях. Наконец, маршрутизатор способен направить коммутатору указание на удаление определенной многоадресатной группы и всех записей, связанных с ней, или указание на удаление из таблицы моста всех многоадресатных записей для всех многоадресат- ных групп. На рис. 13.13 представлено декодированное CGMP-сообщение о подклю- подключении определенной станции. Попытаемся определить, к какой многоадресатной группе подключается данная станция-клиент. Поскольку в сообщении отсутствуют адреса третьего уровня, точно определить, к какой многоадресатной группе пытается подключиться данная станция, не представ- представляется возможным. Если бы существовала возможность перехватить IGMP-сообщение о подключении к группе, которое породило соответствующее CGMP-сообщение, можно бьыо бы уверенно определить необходимую многоадресатную группу. Декоди- Декодированное CGMP-сообщение позволяет определить только последние 23 бита адреса группы. Последние биты преобразовываются в десятичное представление адреса в ви- 634 Часть IV. Расширенные возможности
де ххх. 127.160.171. Вследствие проблемы неопределенности адресов получить первый октет адреса невозможно. а Щ) DIC DlC Header КС: 01С Frane Ч arrived et гг.ОЗ 54 3700. fraiie sixe is 60 (QQ3C hex) bytes, DIC; Destination - Multicast 01000CDDDDOD DJX Source - Station 00EOA35CCO10 DtC: 602 3 leogtb • 24 _OtC lV L£C С D-AA S-АЛ 01 sgJSDAP; ID-Cisco Type-JOOt (CGKP) l^CGUP: —— Cisco Group Kaoegment Protocol СОИР: CGBP: Verxioa -It ССИР: Type • 0 (Join) CGBP: Reserved СОИР: Count - J CCBP: CGXP: Croup Destination Address and Inieest Source Address CCBP: CGMP: GDA «0100.5E7F A0AB CCBP: ISA -0060 ОВВ6.4АЭЕ Puc. 13.13. Декодированное CGMP-сообщение о подключении к много- многоадресатнои группе Значение поля GDA, равное 0100.5Е00.0128, предназначено для протокола много- адресатной маршрутизации. Маршрутизатор сообщает коммутатору о необходимости принимать все многоадресатные фреймы, принадлежащие данной группе, чтобы га- гарантировать получение информации об обновлении многоадресатного маршрута. Рас- Рассмотрим схему сети, представленную на рис. 13.14. Нескольким станциям необходимо принимать многоадресатныи поток единственной многоадресатнои группы. Станция 2 Коммутатор Cat-A CGMP-сообщение о подключении со значениями GDA-|/USAi для станции 1 Коммутатор Cat-B 224.1.10.10 IGMP-отчет о составе О GDA1 = 01-00-5Е-01-0А-0А USA1 =00-60-08-93-DB-C1 Рис. 13.14. Подробная схема CGMP-обмена Глава 13. Многоадресатные и широковещательные службы 635
Станция ПК-1 пытается подключиться к многоадресатной группе 224.1.10.10. Она отправляет IGMP-отчет о составе группы, информируя маршрутизатор о своих наме- намерениях принимать фреймы данной группы. Маршрутизатор создает CGMP-сообщение о подключении к рассылке с параметром поля GDA, равным 01-00-5Е-01-0А-0А, в поле USA при этом указывается адрес станции ПК-1. Маршрутизатор отправляет данный фрейм как миогоадресатную CGMP-рассылку @1-00-0C-DD-DD-DD). Ком- Коммутатор Catalyst определяет наличие CGMP-сообщения о подключении к группе, оп- определяет в своей таблице моста запись для данной станции, добавляет групповой ад- адрес (GDA) к порту в таблице моста и начинает передавать все фреймы для данного GDA-адреса станции ПК-1. CGMP-сообщение о подключении к группе, полученное от маршрутизатора, вызывает изменение мостовых таблиц в обоих коммутаторах Cat- А и Cat-B. Коммутатор Cat-A модифицирует свою таблицу так, чтобы передавать мпогоадресатные фреймы коммутатору Cat-B. Такая схема работоспособна в тех слу- случаях, когда порт используется как в качестве обычного канала доступа к сети, так и в качестве магистрального канала. В любом случае многоадресатные фреймы остаются в пределах виртуальной локальной сети. Если станция ПК-2 также попытается подклю- подключиться к данной многоадресатной группе, процесс повторится, по в поле USA будет внесен адрес станции ПК-2. Многоадресатный маршрутизатор запросов время от времени генерирует общий запрос, который принимается обеими станциями. Они запускают случайные таймеры для определения времени генерации запрашиваемого отчета о составе группы. Меха- Механизм подавления генерации отчетов в данном случае функционирует, поскольку в по- поле МАС-адреса отправителя в данном фрейме содержится GDA-адрес. Коммутатор передает фрейм всем портам с подключенными устройствами, которые входят в со- состав данной группы. Когда другая станция получает отчет о составе группы, она от- отменяет свой таймер и не отправляет другой отчет о составе данной группы. По истечении некоторого времени станция ПК-1 пытается покинуть группу. В среде протокола IGMP версии 1 необходимость активно объявлять о выходе из рас- рассылки отсутствует. Таким образом, маршрутизатор не получает явной информации о выходе станции из состава группы. Однако, в какой-либо момент времени маршрути- маршрутизатор запросов генерирует общий запрос. Станция ПК-2 отвечает па данный запрос, и маршрутизатор продолжает отправлять миогоадресатный трафик для выбранной груп- группы. Маршрутизатор не имеет информации о выходе станции ПК-1 из рассылки. Сле- Следовательно, коммутатор продолжает отправлять ей мпогоадресатный трафик, несмотря на то, что станция более в нем не нуждается. Действительно, станция ПК-1 продол- продолжает принимать групповой трафик до тех пор, пока все станции не покинут данную группу и маршрутизатор не определит, что в ней более нет ни одного устройства. Совет В первой версии протокола IGMP члены группы продолжают получать трафик до тех пор, пока все станции, входящие в состав данной группы, не покинут ее. Если в какой- либо момент времени существуют десять членов группы, но только один из них явля- является активным, все десять станций будут получать многоадресатный поток. Вторая версия протокола IGMP исправляет подобную ситуацию. Если в сегменте (широковещательном домене) все клиенты поддерживают вторую версию протокола IGMP, разумным решением будет настроить их для работы с наиболее поздней вер- версией и полностью использовать преимущества полосы пропускания, которые недос- недоступны в первой версии данного протокола. 636 Часть IV. Расширенные возможности
Наконец, станция ПК-2 отказывается от получения многоадресатного потока. Когда маршрутизатор запросов сгенерирует запрос о составе группы многоадресатной рассылки, то не получит ни одного ответа от станций данной группы. Многоадресат- ный маршрутизатор запросов прекратит передачу многоадресатных фреймов после того, как не обнаружит ответа, по крайней мере, на два запрашивающих сообщения. В этот момент маршрутизатор прекращает передачу миогоадресатиого трафика и от- отправляет коммутатору CGMP-сообщение о выходе из состава группы. Данное сооб- сообщение содержит адрес GDA группы и адрес USA, равный 0000.0000.0000. Такое сооб- сообщение вынуждает коммутатор очистить все записи в таблице моста, связанные с дан- данной группой. Совет Необходимо отметить, что коммутатор Catalyst удаляет не все групповые адреса. На- Например, коммутатор способствует работе зарезервированных групповых адресов, та- таких, как 224.0.0.5 и 224.0.0.6. Они используются для OSPF-маршрутизации (Open Shortest Path First routing — маршрутизация с первоочередным открытием кратчайших маршрутов). Если коммутатор будет отсекать трафик для таких многоадресатных групп, протоколы маршрутизации не смогут правильно функционировать. Совет Включение CGMP-обработки быстрого выхода из многоадресатной группы (CGMP Fast Leave processing) в коммутаторе Catalyst вынуждает его перехватывать все IGMP- сообщения о выходе из группы, отправленные на групповой IP-адрес 224.0.0.2 (все маршрутизаторы, поддерживающие многоадресатные рассылки). Это тот же самый адрес, который используется для резервного протокола маршрутизации (Hot Standby Router Protocol — HSRP) корпорации Cisco, и он преобразовывается в групповой МАС- адрес 01-00-5Е-00-00-02. Для того, чтобы перехватывать IGMP-сообщения о выходе из группы, логическая таблица улучшенного распознавания адресов (Enhanced Address Recognition Logic table — EARL table) содержит статические записи для данного МАС- адреса, вынуждая коммутатор поглощать сообщения о выходе из группы. В результа- результате коммутатор также поглощает и HSRP-фреймы. Обычно коммутатор не отправляет перехваченные фреймы (как и протокол CDP) каким-либо другим портам, что могло бы препятствовать работе протокола HSRP. Однако, стандартное поведение коммутатора модифицировано в программном обеспечении блока Supervisor. Таким образом, блок Supervisor опознает не-ЮМР-фреймы и лавинно распространяет их через все порты маршрутизатора, а также корневой порт логической структуры распределенного свя- связующего дерева (Spanning Tree Root Port). В результате такого подхода сохраняется функциональность механизмов протокола HSRP. Конфигурирование протокола CGMP Для того, чтобы включить поддержку протокола IGMP, необходимо сконфигури- сконфигурировать как маршрутизатор, так и коммутатор. Стандартно протокол CGMP отключен в обоих устройствах. Следует заметить, что протокол CGMP невозможно использовать в том случае, если в коммутаторе Catalyst применяется функция IGMP- прослушивания (IGMP Snooping), которая описывается в следующем разделе. Прото- Протоколы IGMP и CGMP являются взаимоисключающими. Глава 13. Многоадресатные и широковещательные службы 637
В процессе конфигурирования протокола CGMP коммутатора Catalyst используют- используются три команды группы set. Команда set cgmp enable активизирует поддержку соот- соответствующего протокола. Данная команда была представлена в версии 2.2 программ- программного обеспечения для блока Supervisor. Перед тем, как пытаться использовать прото- протокол CGMP, необходимо убедиться, что применяется версия операционной системы не ниже указанной. Команда set multicast router mod_mm/port_num является необяза- необязательной и применяется для статической настройки многоадресатного маршрутизатора. Обычно маршрутизатор объявляет о своем присутствии с помощью сообщений. Такая методика позволяет коммутатору динамически получать информацию о присутствии многоадресатного маршрутизатора. Можно выбрать статическую конфигурацию, и коммутатору не потребуется ожидать получения подобной информации. Наконец, ко- команда set cgmp leave enable во второй версии протокола IGMP позволяет коммута- коммутатору Catalyst отыскивать IGMP-сообщения о выходе из группы. Если коммутатор Catalyst получает от станции сообщение о выходе из рассылки, он ожидает появления на интерфейсе какого-либо сообщения о подключении к группе. Если такое сообще- сообщение не появляется, коммутатор Catalyst отсекает данный порт от многоадресатной группы без отправки маршрутизатору сообщения о выходе из группы. Без использо- использования данной функции коммутатор Catalyst ожидает получения CGMP-сообшения о выходе из группы от маршрутизатора. Кроме того, необходимо включить поддержку протокола CGMP в маршрутизаторе. Для этого применяется команда конфигурирования интерфейса ip cgmp. Ее необхо- необходимо ввести для всех портов, участвующих в CGMP-операциях. В примере 13.4 пока- показано, как маршрутизатор объявляет о своем присутствии всем коммутаторам, прослу- прослушивающим данный интерфейс. Пример 13.4. Информация, полученная с помощью команды маршрут-1 i ^|f vff затора debug для hello-сообщения протокола CGMP д j Router3-gatewaytdebug ip cgmp CGMP debugging is on Router3-gatewayt 02:03:09: CGMP: Sending self Join on EthernetO 02:03:09: GDA 0000.0000.0000, USA 0010.7b3a.d4bb 02:03:19: CGMP: Sending self Join on EthernetO 02:03:19: GDA 0100.5e00.0128, USA 0010.7b3a.d4bb Router3-gatewayt Необходимо отметить, что с помощью значения GDA сообщение направлено на адрес всех групп, тогда как значение USA отражает встроенный в маршрутизатор МАС-адрес Ethernet-интерфейса. Приведенная выше информация предоставлена маршрутизатором с конфигураци- конфигурацией, приведенной в примере 13.2. Маршрутизатор распространяет уведомление о своем присутствии в качестве члена группы с GDA-значением 0100.5e00.0128. Попытаемся выяснить происхождение данной группы. Значение поля GDA, равное 0100.5e00.0128, предназначено для протокола много- многоадресатной маршрутизации. Маршрутизатор сообщает коммутатору о необходимости принимать все многоадресатные фреймы, принадлежащие группе, чтобы гарантиро- гарантировать получение информации об обновлении многоадресатного маршрута. 638 Часть IV. Расширенные возможности
IGMP-прослушивание: усовершенствованное управление трафиком Мир несовершенен. Следовательно, не во всех сетях используются маршрутизато- маршрутизаторы корпорации Cisco, даже в таких, где применяются коммутаторы ее производства. Что необходимо предпринять, если пользовательская система основана на примене- применении маршрутизаторов других производителей наряду с коммутаторами Catalyst? Ины- Иными словами, как продукты других производителей обрабатывают многоадресатные фреймы? Протокол CGMP невозможно использовать в среде устройств, произведен- произведенных сторонними разработчиками, поскольку он является фирменной функцией кор- корпорации Cisco. Многие производители оборудования используют программные функции, в кото- которых каждый фрейм, проходящий через коммутатор, проверяется с помощью процес- процессора коммутации. Его программное обеспечение осуществляет поиск IGMP- сообщений подключения и выхода из группы. Если процессор обнаруживает такое сообщение, он модифицирует свою локальную таблицу моста. Однако, очень часто такой процессор является неуправляемым для работы наравне с активным многоадре- сатным окружением. В продуктах корпорации Cisco предусмотрена подобная особенность, но она неза- независима от процессора коммутатора. Если в состав используемого оборудования входит функциональная плата NetFlow (NetFlow Feature Card — NFFC), установленная в коммутатор Catalyst вместе с модулем Supervisor III, то можно использовать функцию IGMP-прослушивания (IGMP Snooping). Поскольку данная функция реализуется в плате NFFC, она может функционировать наравне с очень загруженными многоадре- сатными системами. При этом производительность по коммутации не снижается. Плата NFFC освобождает процессор блока Supervisor от нагрузки, связанной с про- прослушиванием сообщений. В многоадресатных структурах, которые описаны в предыдущих разделах, маршру- маршрутизатор принимает участие в обмене IGMP-сообщениями и с помощью протокола CGMP предоставляет информацию коммутаторам Catalyst для внесения необходимых модификаций в таблицы мостов. При использовании функции IGMP-прослушивания коммутатор Catalyst следит за IGMP-обменом между маршрутизаторами и рабочими станциями и автономно определяет необходимость изменения таблиц моста. Включить функцию IGMP-прослушивания можно, если в устройстве есть модуль Catalyst Supervisor III с установленной платой NFFC и используется программное обеспечение для блока Supervisor версии 4.1 или более поздней. Подобный подход эффективен, если в системе используются маршрутизаторы других производителей оборудования, но сохраняется необходимость управления распространением в сети многоадресатных рассылок. Кроме того, в системе необходимо присутствие коммута- коммутатора Catalyst, подключенного к многоадресатному маршрутизатору непосредственно или через другие устройства. Для того, чтобы активизировать поддержку IGMP-прослушивания, прежде всего необходимо убедиться, что протокол CGMP отключен. В коммутаторе Catalyst невоз- невозможно одновременное использование протокола CGMP и механизма IGMP- прослушивания, поскольку они являются взаимоисключающими. Чтобы включить Глава 13. Многоадресатные и широковещательные службы 639
IGMP-прослушивание, необходимо использовать команду set igmp enable. Как и в случае с протоколом CGMP, коммутатору требуется информация о многоадресатном маршрутизаторе. Однако, при использовании IGMP-прослушивапия необходимо вы- выполнить настройки вручную с помощью команды set multicast router mod_num/port_num. Такая операция является необходимой, поскольку маршрутизаторы не генерируют CGMP-уведомлений, направленных на автоматическое обнаружение их коммутатором. Коммутатору Catalyst необходимы сведения о расположении маршру- маршрутизатора для того, чтобы отправлять многоадресатные данные отправителя и IGMP- отчеты о составе групп всем многоадресатным маршрутизаторам в данном сегменте. Для того, чтобы выяснить количество IGMP-пакетов определенного типа, переданных и полученных коммутатором Catalyst, необходимо использовать команду show igmp statistics [vlan number]. Подавление широковещательных рассылок: усовершенствованное управление трафиком В некоторых устройствах семейства Catalyst используется поддержка функции, раз- разработанной для минимизации количества исходящих из порта широковещательных и мпогоадресатных фреймов. С помощью функции подавления широковещатель- пых/многоадресатных рассылок измеряется генерируемый устройством многоадресат- пый и широковещательный трафик. В случае, если объем такого трафика превышает заданный порог, данная функция позволяет ограничивать поток фреймов, проходя- проходящих через коммутирующую структуру устройства Catalyst. В зависимости от версии коммутатора Catalyst существуют два метода оценки ши- широковещательного и многоадресатного трафика. Один из методов позволяет измерять полосу пропускания порта, занимаемую мпогоадресатными и широковещательными рассылками (он называется аппаратным подавлением широковещания — hardware- based broadcast suppression). Другой метод заключается в измерении числа широкове- широковещательных и мпогоадресатпых фреймов (программное подавление широковещания — software-based broadcast suppression). Обе метрики основаны на интервалах длительно- длительностью в одну секунду. Тем не менее, их эффективность отличается. Аппаратное подавление широковещания В процессе аппаратного подавления широковещания каждую секунду измеряется процентная часть полосы пропускания порта, занимаемая входящими широковеща- широковещательным и/мпогоадресатпыми фреймами. Если нагрузка переходит порог, указанный администратором в конфигурации, коммутатор Catalyst в течение секундного интерва- интервала понижает соотношение широковещательных фреймов, но не препятствует прохож- прохождению обычных одноадресатных фреймов. На рис. 13.15 схематически показан результат аппаратного подавления в течение каждого из нескольких секундных интервалов. В первом интервале как широкове- широковещательный, так и одноадресатный трафики не превышают установленный порог — коммутатор Catalyst пропускает все фреймы. Во втором случае количество широко- 640 Часть IV. Расширенные возможности
вещательных фреймов остается ниже порога, а количество одноадресатных превы- превышает его. Коммутатор Catalyst также пропускает все фреймы, поскольку учитывают- учитываются только широковещательные и многоадресатные фреймы, а уровень одноадресат- одноадресатного трафика игнорируется. В третьем интервале уровень одноадресатного трафика остается ниже порога, тогда как уровень широковещательных фреймов его превы- превышает. Когда широковещательный уровень превышает порог, коммутатор Catalyst ос- останавливает все широковещательные фреймы до окончания секундного интервала, но продолжает пропускать одноадресатные фреймы. В четвертом интервале оба уровня превышают порог. Однако, коммутатор Catalyst останавливает только широ- широковещательные фреймы, даже если уровень широковещания в таком интервале опускается ниже порога. После проведения оценки того, насколько превышен уро- уровень широковещания, коммутатор Catalyst останавливает все широковещательные фреймы до конца интервала. 8 it 1 / s / / / / / • 1 1 I / 1 1 1 / / / / / 1 2 J / s 1 S I s I / 1 / I / / / / / / / / / / / / / I / / / ( 3 / 1 / / / / / / / / // / 1 4 // ---. 1 1 1 1 1 1 1 1 i 1 1 1 Интервалы длительностью 1 с Одноадресатный поток Широковещательный/многоадресатный Отброшенный Рис. 13.15. Аппаратное подавление широковещания Для настройки аппаратного подавления используется команда set port broad- broadcast mod num/port_num threshold's. Необходимо особо отметить знак процента в конце командной строки. Его следует включать для того, чтобы коммутатор Catalyst мог различить значение порога полосы пропускания и пороговое значение количе- количества пакетов. Глава 13. Многоадресатные и широковещательные службы 641
Программное подавление широковещания Программный подход к подавлению широковещания отличается от аппаратного способом измерения и эффективностью. При программном подавлении широковеща- широковещания измеряется фактическое количество поступающих на интерфейс в течение се- секундного интервала широковещательных/многоадресатных фреймов. Если абсолютное значение количества фреймов превышает порог, коммутатор Catalyst приостанавлива- приостанавливает передачу всех фреймов для сохранения баланса в течение секундного интервала. На рис. 13.16 проиллюстрировано, как коммутатор Catalyst реагирует на различное количество фреймов в течение трех интервалов времени. В первом интервале количе- количество как одноадресатных, так и широковещательных фреймов остается ниже установ- установленного порогового значения. Следовательно, коммутатор Catalyst передает все фрей- фреймы. Во втором интервале количество одноадресатных фреймов превышает порог, то- тогда как уровень широковещания остается ниже. Коммутатор Catalyst также передает все фреймы. В третьем интервале уровень широковещания превышает пороговое зна- значение. Непосредственно в момент превышения порогового уровня коммутатор Catalyst останавливает все фреймы (как широковещательные, так и одноадресатные) до исте- истечения интервала времени. I ■е- 1 / • / / / / // ( 1 2 г / • / • / • / • / / / / / / / / / / / / / / t 1 1 1 1 3 / / / / / / / / / / ■ ' / / 1 / 1 / 1 / 1 / 1 / 1 1 Интервал длительностью 1 с Одноадресатный поток Широковещательный/многоадресатный Отброшенный Рис. 13.16. Подавление широковещания на программной основе 642 Часть IV. Расширенные возможности
Для того, чтобы в коммутаторе Catalyst включить программное подавление широ- широковещания, необходимо ввести команду set port broadcast mod_num/port_num thresh- threshold. В данном случае необходимо отметить тот факт, что знак процента отсутствует. Таким способом коммутатор Catalyst получает указание использовать подавление ши- широковещания на программной основе. Определение целесообразности применения программного или аппаратного подавления широковещания Существует значительное отличие в действиях аппаратного и программного меха- механизмов подавления широковещания. Аппаратное подавление поддерживается не все- всеми моделями коммутаторов Catalyst. Фактически, в некоторых моделях не предусмот- предусмотрена поддержка подавления широковещания. Другие же поддерживают аппаратное, но не поддерживают программной подавление. Следовательно, администратору возмож- возможность выбора может и не представиться. Используя команду show port capabilities, можно определить, какой вид подавления способен реализовать конкретный коммута- коммутатор Catalyst. В наиболее общем случае, если имеется выбор, то лучшим будет подход с контро- контролем полосы пропускания (аппаратный подход). Измерение полосы пропускания явля- является более точным методом по сравнению с подсчетом количества фреймов, посколь- поскольку размеры фреймов в сети могут отличаться. Возможно поступление на интерфейс в течение одной секунды малого количества фреймов, однако, они могут быть очень крупными и занимать большую часть полосы пропускания. Аппаратное подавление широковещания отслеживает и противодействует возникновению подобной ситуации. Программное подавление может оказаться неэффективным, если количество фрей- фреймов, поступающих на интерфейс в течение секунды, остается ниже порогового значе- значения. С другой стороны, такая функция может быть востребованной для используемых приложений. В таком случае программный подход является более предпочтительным, чем аппаратный. Контрольные вопросы В данный раздел включены рахтичные вопросы по теме настоящей главы. Ответив на них, читатель сможет оценить степень владения изложенным материалом. Кроме того, приведенные ниже вопросы помогут подготовиться к письменным и лаборатор- лабораторным экзаменам на получение статуса сертифицированного эксперта по объединенным сетям Cisco (CCIE). Ответы на вопросы приведены в приложении А, "Ответы на кон- контрольные вопросы". 1. Вторая версия протокола IGMP включает в себя явное сообщение о выходе из группы, которое каждый раз отправляется станциями, которые не заинтересова- заинтересованы более в получении многоадресатного потока. Зачем, в таком случае, во вто- вторую версию включен также запрос на выход? 2. Почему коммутатор Catalyst обычно не определяет групповые адреса? Глава 13. Многоадресатные и широковещательные службы 643
3. Какие данные второго и третьего уровней эталонной модели OSI, а также про- протокола IGMP передаются многоадресатными устройствами в качестве отчета о составе группы? 4. Предположим, что есть коммутируемая сеть с устройствами, поддерживающими протокол IGMP версии 1 и коммутаторы/маршрутизаторы с включенной под- поддержкой протокола CGMP. С одного из многоадресатных устройств осуществ- осуществляется поиск Web-сайта, предоставляющего определенный многоадресатныи по- поток. Пользователь первоначально подключается к группе 1 и выясняет, что она не предоставляет необходимой информации. Затем он пытается найти необхо- необходимый поток в группе 2, а затем в группе 3 до тех пор, пока не получает его в группе 4. Между тем, другой пользователь принадлежит группам 1, 2 и 3. Что произойдет с каналом такого пользователя? 644 Часть IV. Расширенные возможности
Яасть v Современное проектирование и реализация территориальных сетей Глава 14. Модели территориальных сетей f Глава 15. Реализация конструкции территориальной сети Глава 16. Поиск и устранение неисправностей Глава 17. Учебные примеры: внедрение коммутаторов в сети
В этой главе... ../ ' ,г-.'..-~й.й-. .. ■.', ■: ■& - :->-.. • Структура трафика в территориальных сетях. Увеличение использования клиент- серверных вычислений, серверных групп и Internet-технологий поразительно изменило большую часть структуры трафика в территориальных сетях, что, в свою очередь, поставило перед проектировщиками сетей сложные вопросы. В настоящей главе приводится обзор некоторых из них. • Терминология в сфере проектирования территориальных сетей. В данном разделе приводятся два наиболее общих способа объяснения и описания процесса про- проектирования территориальных сетей. Прежде всего определяются понятия, ка- касающиеся кабельных узлов IDF и MDF, и приводится терминология, связанная с уровнями доступа, распределения и базовым уровнем сети. ; -' • Ключевые требования при проектировании территориальных сетей. В этом разделе .. приводится обзор атрибутов идеального проекта территориальной сети. • Преимущества маршрутизации. В рекомендованном подходе к проектированию территориальных сетей широко используется технология коммутации третьего уровня (маршрутизация). В данном разделе освещаются наиболее важные пре- преимущества подобного подхода. • Модели территориальных сетей. В данном разделе рассматриваются три наибо- наиболее общих модели территориальных сетей: модель маршрутизатора и концен- концентратора (router and hub model), модель виртуальных локальных сетей масштаба небольшой территории между несколькими 3flaHHHMH(campus-wide VLANs model) и многоуровневая модель (multilayer model). • Общие рекомендации: многоуровневая модель. В этом разделе приводятся неко- некоторые специфические соображения и вопросы, связанные с многоуровневой моделью, а также рекомендованный подход к проектированию территориаль- территориальных сетей, у •:• Блоки распределения. В разделе рассматриваются вопросы, связанные с блоками v распределения (distribution block) — обычно это группа коммутаторов, разме-. щенных в одном здании, в контексте многоуровневой модели проектирования. • Опорная сеть. В данном разделе приводится объяснение проблем, связанных с разработкой опорной инфраструктуры (core) многоуровневой сети. с
Глава 14 Модели территориальных % сетей В настоящей главе рассматриваются несколько важнейших моделей, которые могут применяться в процессе проектирования территориальных сетей. Прежде всего, необ- необходимо уделить оеобое внимание двум терминологическим группам, в которые входят понятия, употребляющиеся при описании и обсуждении проектов сетей. Затем следу- следует выделить три основных подхода к проектированию, которые представлены ниже. Первый подход заключается в использовании традиционного маршрутизатора и концентратора (hub). Несмотря на то, что данная модель не приемлема для использо- использования в современных территориальных сетях, в главе освещаются испытанные пре- преимущества такого вида проектирования. В разделе, посвященном второму методу проектирования, описываются виртуаль- виртуальные локальные сети масштаба небольшой территории между несколькими зданиями .. (campus-wide VLAN), или проектирование "плоской структуры" сети (flat earth). Дан- Данный подход применяется большинством специалистов, которые сталкиваются с про- проблематикой коммутируемой территориальной сети. И хотя в некоторых конкретных случаях такая модель является очень эффективной, в общем она имеет множество не- недостатков. Кроме того, на пути ее реализации встречается целый ряд препятствий. Третий подход представляет собой многоуровневую модель. Многоуровневая мо- модель (multilayer model) была разработана с целью объединения методов обработки вто- второго и третьего уровней в единое целое. Вторая часть главы посвящена детальной ■''■проработке вопросов, характерных для многоуровневой структуры. Тогда как основной темой настоящей главы является общая структура и парадиг- парадигмы проектирования, в главе 15, "Реализация конструкции территориальной сети", рассматриваются специфические методики, связанные с проектированием территори- территориальных сетей/ Например, в данной главе указываются преимущества многоуровневой модели при использовании протокола распределенного связующего дерева (Spanning- Tree Protocol — STP), а в следующей главе обсуждается наиболее эффективное при- менение протокола STP и приведены специальные рекомендации по данной тематике. В заключение необходимо отметить, что при написании настоящей главы авторы ставили своей целью не создание обзора всех проектов существующих территориаль- территориальных сетей. Напротив, глава ориентирована непосредственно на процесс проектирова- проектирования. В ней в качестве примеров для обсуждения положительной практики проектиро- проектирования проводится исследование нескольких наиболее популярных и щироко приме- применяемых моделей. Кроме того, в главе рассматриваются все "за" и "против" в отношении разнообразных подходов к проектированию территориальных сетей.
Изменение структуры трафика Структуру трафика (traffic patterns) необходимо учитывать в любом эффективном проекте территориальной сети. В противном случае, процессорное время коммутато- коммутаторов и полосы пропускания капала, вероятнее всего, будет расходоваться напрасно. Положительный момент заключается в том, что дизайн большинства современных территориальных сетей (campus networks) соответствует нескольким направлениям, в которых создаются потоки данных без ошибок. В данном разделе рассматриваются традиционные виды структуры трафика в территориальных сетях и приводятся приме- примеры того, как популярные новые технологии радикально их изменили. Наиболее ранних предшественников современных территориальных сетей можно связать с сетями и серверами департаментов. В середине 80-х годов XX века растущее количество недорогих персональных компьютеров привело многие организации к не- необходимости монтажа небольших сетей, основанных на стандартах Ethernet, ArcNet, Token Ring, LocalTalk и различных фирменных решениях. Многие из таких сетей включали в себя серверные платформы на базе персональных компьютеров, напри- например, Novell NetWare. Подобный подход не только способствовал совместному исполь- использованию информационных ресурсов, но и позволил предоставлять пользователям сети доступ к таким дорогостоящим устройствам, как лазерные принтеры. В конце 80-х годов в большинстве корпораций начали неожиданно возникать по- подобные описанным выше малые сети. Каждая сеть строилась в расчете на обслужива- обслуживание одной рабочей группы или отдела. Например, финансовый отдел имел сеть, обо- обособленную от сети отдела кадров. Большинство таких сетей были чрезвычайно децен- децентрализованными. Очень часто описываемые сети создавались технически неподготовленными сотрудниками рабочих групп (или привлеченными извне незави- независимыми консультантами). Несмотря па то, что некоторые организации обеспечивали централизованную поддержку и общее руководство при внедрении серверов отделов, очень немногие компании создавали каналы связи между подобными очагами сетевых вычислений. В начале 90-х годов прошлого века в связи с внедрением многопротокольных маршрутизаторов подобный порядок вещей начал изменяться. Появление маршрути- маршрутизаторов внезапно предоставило необходимые средства для начала объединения опи- описанных "сетевых островков" в единое унифицированное целое. Несмотря на то, что маршрутизаторы позволяли осуществлять независимую от среды передачи связь между множеством различных типов каналов данных, развернутых в сетях отделов, стандар- стандарты Ethernet и Token Ring стали основными передающими средами для подобных се- сетей. Маршрутизаторы также использовались для обеспечения бесшовных соединений между географически протяженными каналами. По сравнению с современными устройствами ранние модели маршрутизаторов, очевидно, имели чрезвычайно ограниченную полосу пропускания. Как, в таком слу- случае, подобные сети функционировали, если в современных гигабитных сетях наблю- наблюдаются значительные нагрузки? Существуют два основные фактора, оказавшие влия- влияние на возможность объединения таких сетей: количество трафика и тип трафика. Во-первых, во время широкого распространения ранних территориальных сетей, основанных на маршрутизаторах, трафика было значительно меньше. Представим сеть, которая объединяет всего нескольких пользователей. При этом используется достаточно немного интенсивных сетевых приложений. 650 Часть V. Современное проектирование и реализация...
Однако, все вышесказанное не означает, что ранние сети были подобны пятнадца- пятнадцатиполосной автомагистрали с тремя автомобилями. В условиях низкой доступной по- полосы пропускания таких сетей во многих из них наблюдались высокие значения средней и пиковой нагрузки. Например, до появления клиент-серверных (client/server) вычислений многие приложения баз данных использовали файловые серверы просто в качестве "жесткого диска на конце длинного провода". Тысячи dBase- и Paradox- приложений были разработаны таким образом, что пересылали по проводнику, в сущности, всю базу данных в ответ на каждый запрос к ней. Следовательно, несмотря на поразительное увеличение количества трафика, существует другой фактор, который поможет объяснить успех описываемых здесь старых сетей с ограниченной полосой пропускания. Чтобы объяснить различие старых и новых сетей, рассмотрим такой фактор, как тип трафика. Несмотря на то, что информационно-управляющие системы (Management Information System — MIS) организаций использовали маршрутизаторы для объединения сетей в унифицированное целое, большая часть трафика оставалась в локальном сегменте. Иными словами, несмотря на то, что сети были связаны вме- вместе, серверы групп оставались внутри тех рабочих групп, которые они обслуживали. Например, какое-либо заказное финансовое приложение, разработанное в системе dBase, требовало использования только сервера финансового департамента; ему не требовался доступ к серверу отдела кадров. Растущее количество трафика файловых серверов (file server) и серверов печати (printer server) также стремилось к сохранению подобной структуры. Такие хорошо сформированные и локализованные потоки данных позволяли про- проектировщикам использовать популярное правило 80/20. Восемьдесят (или даже более 90) процентов трафика в подобных сетях оставались в пределах локального сегмента. Концентраторы (или, возможно, ранние "коммутирующие концентраторы" — switch- switching hub) были способны с относительной легкостью поддерживать такой трафик. По- Поскольку только 20 (или даже менее 10) процентов трафика необходимо было направ- направлять через маршрутизатор, ограниченная производительность таких устройств не вы- вызывала существенных проблем. С незаметной скоростью подобное положение дел начало меняться в середине 90-х годов прошлого века. В начале были развернуты базы данных масштаба предприятия (enterprise databases). Они обычно представляли собой крупные клиент-серверные сис- системы с использованием небольшого количества высокоцентрализованых серверов (highly centralized servers). С одной стороны, применение подобных решений значи- значительно уменьшило количество трафика в сетях. Взамен передачи всей базы данных по проводнику в приложениях применялись такие технологии, как язык структурирован- структурированных запросов (Structured Query Language — SQL), которые позволяли интеллектуаль- интеллектуальным серверам баз данных отправлять информацию обратно клиенту, предварительно осуществив ее фильтрацию. Тем не менее, на практике вследствие различных причин клиент-серверные системы начали значительно увеличивать использование сетевых ресурсов. Во-первых, масштабы использования клиент-серверных технологий росли с поразительной скоростью. Несмотря на то, что каждый запрос мог генерировать толь- только четверть трафика более ранних систем, во многих организациях наблюдался рост числа транзакций в 10—100 раз. Во-вторых, централизованная природа подобных при- приложений полностью нарушала правило 80/20. Сто процентов такого трафика требова- требовало прохождения через маршрутизатор и выхода за пределы сегмента. Глава 14. Модели территориальных сетей 651
Несмотря на то, что клиент-серверные приложения начали усложнять традицион- традиционное проектирование сетей, появляющиеся Internet- и intranet-технологии привели к полному превышению доступной пропускной способности маршрутизатора (и кон- концентратора). При использовании Internet-технологий трафик почти на 100 процентов направлялся к централизованным серверам. Web- и e-mail-трафик в общем случае на- направлялся к небольшой фуппе крупных UNIX-серверов (UNIX boxes), на которых были запущены сетевые службы (демоны — daemons) протоколов HTTP (протокол передачи гипертекста), простого протокола передачи почтовых сообщений (Simple Mail Transfer Protocol — SMTP) и почтового протокола (Post Office Protocol — POP). Связанный с Internet трафик был подобен централизованному, т.к. ему приходилось "просачиваться через воронку" единственного межсетевого экрана (firewall) или груп- группы резервных устройств. Подобная тенденция к централизации в дальнейшем усили- усиливалась с возникновением серверных групп (server farm), в которые объединялись по- повсеместно сервера рабочих групп. Вместо большого количества трафика файловых серверов и серверов печати, остающегося в пределах локального проводника, весь трафик стал направляться через корпоративную магистраль (backbone). В результате, традиционное правило 80/20 стали трактовать наоборот. Действи- Действительно, в большинстве современных сетей менее пяти процентов трафика удерживает- удерживается в локальном сегменте. Учитывая все вышесказанное, а также то, что новые Internet-технологии получили в настоящее время широкое распространение, очевид- очевидно, что традиционная модель проектирования с использованием маршрутизатора и концентратора в дальнейшем не применима. Совет При проектировании территориальной магистрали необходимо принять во внимание изменение структуры трафика. При этом следует стараться объединять будущий рост инфраструктуры и обеспечение адекватной производительности маршрутизации. Терминология в сфере проектирования территориальных сетей В настоящем разделе приводится объяснение некоторых терминов, часто употреб- употребляемых для описания конструкции сетей. В самом начале приводится обзор термино- терминологии, относящейся к промежуточному кабельному узлу (Intermediate Distribution Frame — IDF) и центральному кабельному узлу (Main Distribution Frame — MDF), за- заимствованной из индустрии телефонной связи. Затем рассматривается потенциально эффективная трехуровневая парадигма. Кабельные узлы IDF и MDF На протяжении многих лет в индустрии телефонной связи использовались поня- понятия главного (MDF) и промежуточного (IDF) кабельных узлов для обозначения раз- различных элементов структурированных кабельных систем1 (structured cabling). По- ' Часто в литературе используется аббревиатура СКС. — Прим. ред. 652 Часть V. Современное проектирование и реализация...
скольку структурированные кабельные системы приобрели значительную популяр- популярность в сфере обмена данными, понятия IDF и MDF также стали общими. В следующих разделах рассматриваются некоторые уникальные требования по размещению коммутаторов в пространстве кабельных узлов IDF и MDF. В дополне- дополнение к таким специализированным требованиям некоторые функции распределены среди всех коммутаторов. Для монтажа новых сетей требуется, чтобы все коммутаторы были способны поддерживать разные типы передающей среды. Типы среды передачи включают в себя стандарт Ethernet с различными скоростями передачи данных и тех- технологию ATM. Поддержка технологий FDDI и Token Ring может оказаться очень важной в процессе модернизации более старых сетей. Кроме того, поскольку совре- современная коммутируемая инфраструктура территориальных сетей является слишком сложной для подхода "установи и забудь", необходимо реализовать возможности все- всеобъемлющего контроля и управления телекоммуникационной системой. Кабельный узел IDF Кабельные узлы IDF (IDF wiring closets) предназначены для подключения к сети оконечных станций, таких как персональные компьютеры (PC) и терминалы. Подоб- Подобная "горизонтальная кабельная система" (horizontal wiring) обычно состоит из кабелей иеэкранированной витой пары (unshielded twisted-pair) и подключается с одной сторо- стороны к настенным розеткам (wall-plate jacks), формируя при этом звездообразную струк- структуру с задней стороны кабельного узла IDF2. Как показано на рис. 14.1, на каждом этаже здания в общем случае присутствует один или несколько IDF-коммутаторов (IDF switch). Каждая оконечная станция подключается сзади к ближайшему IDF-узлу. Все промежуточные кабельные узлы здания в общем случае подключаются сзади к паре MDF-устройств, часто расположенной в подвале или на нижнем этаже. К кабельным узлам IDF предъявляется ряд специфических требований, обуслов- обусловленных ролью IDF-узлов в общей структуре. Данные требования перечислены ниже. • Плотность портов (port density) — поскольку большому количеству оконечных станций требуется подключение к IDF-узлу, для реализации таких подключе- подключений необходимо обеспечить высокую плотность портов. • Стоимость из расчета на один порт (cost per port) — при условии высокой плот- плотности портов в типичном IDF-узле необходимо обеспечить соответствующую стоимость по каждому порту. • Избыточность (redundancy) — поскольку к каждому IDF-устройству обычно подключается несколько сотен оконечных устройств, сбой единственного IDF- узла может вызвать долговременный простой сети. • Надежность (reliability) — данный пункт, очевидно, связан с предыдущим, од- однако, он подчеркивает тот факт, что IDF-устройства являются единственным звеном, связывающим оконечные станции с внешним миром. • Простота управления — большое количество соединений требует сведения к минимуму административных действий на каждом отдельном порту. 2 Обычно монтажного шкафа или настенного шкафчика с коммутационными панелями, отсюда и возникает "задняя панель ". Все соединения горизонтальной и вертикальной кабельных систем под- подводятся сзади, лицевая часть коммутационной панели используется исключительно для переключения соединений. — Прим. ред. Глава 14. Модели территориальных сетей 653
ЭтажЗ Этаж 2 Этаж1 Подвальное помещение Рис. 14.1. Несколько монтажных шкафов IDF Ввиду многочисленных непосредственных подключений конечных пользователей избыточность и надежность являются критическими параметрами по отношению к роли IDF-узлов. В результате необходимо не только использовать резервное аппарат- аппаратное обеспечение, такое как двойные блоки Supervisor и источники питания, но и обеспечить множество каналов к MDF-устройствам. Способность указанных компо- компонентов к быстрому восстановлению после сбоев также является чрезвычайно важной. Понятие надежности IDF-узла несет в себе важный момент, касающийся соедине- соединений оконечных станций. За пределами ограниченных областей, таких как финансово- торговое помещение, подключение оконечных станций к нескольким IDF- устройствам в общем случае нельзя назвать эффективным в ценовом отношении ре- решением. Следовательно, горизонтальная кабельная система (horizontal cabling) служит в большинстве сетей единственной точкой сбоя. Необходимо однако заметить, что подобные сбои как правило влияют только на одну оконечную станцию, что на не- несколько порядков менее значительно, чем потеря работоспособности всего коммута- коммутатора. Для наиболее важных оконечных станций, таких как серверы, с целью подклю- подключения к резервным коммутаторам серверных групп можно использовать двухпортовые сетевые платы (dual-port network interface card) с многочисленными каналами. Традиционным устройством, используемым в кабельных узлах IDF, является кон- концентратор (hub). Поскольку большинство концентраторов являются достаточно про- 654 Часть V. Современное проектирование и реализация...
стыми устройствами, стоимость отдельного порта для них может быть очень малой. Однако, совместное использование концентратора, очевидно, приводит к сокращению доступной полосы пропускания. С другой стороны, маршрутизаторы и коммутаторы третьего уровня могут предоставить чрезвычайно интеллектуальное распределение по- полосы пропускания. К числу недостатков данных устройств можно отнести очень вы- высокую стоимость и ограниченную плотность портов. Для достижения равновесия между стоимостью, доступной полосой пропускания и плотностью портов почти во всех развернутых в последнее время территориальных се- сетях в узлах IDF применяются коммутаторы второго уровня (Layer 2 switch). Подобный подход поможет эффективно в ценовом отношении обеспечить высокоскоростной доступ для 500 и более оконечных станций к магистрали территориальной сети. Сказанное выше не означает, что некоторые технологии третьего уровня не явля- являются приемлемыми для использования в кабельных узлах. Корпорация Cisco внедрила несколько IDF-ориентированных функций, использующих возможности третьего и четвертого уровня. Они реализованы с помощью функциональной платой NetFlow (NetFlow Feature Card — NFFC). Как указывалось в главе 5, "Виртуальные локальные сети", и главе 11, "Коммутация третьего уровня", фильтрация протоколов (protocol filtering) может стать эффективным способом ограничения влияния, которое оказыва- оказывают широковещательные рассылки на оконечные станции. Позволив порту осуществ- осуществлять только исходящие широковещательные рассылки для фактически используемых протоколов третьего уровня, можно сохранить дорогостоящее процессорное время. Например, можно оградить эффективный широковещательный TCP/IP-узел в сети VLAN 2 от нагрузки пакетов обновлений протокола IPX SAP. При IGMP- прослушивании для изучения информации третьего уровня также используется плата NFFC. Функции выполняемые платой помогут сохранить значительную полосу про- пропускания сети, которую занимают интенсивно используемые многоадресатные при- приложения. Такой эффект будет возможен, если настроить коммутатор Catalyst на ис- использование режима отсечения портов и запретить получение многоадресатных фрей- фреймов с определенных адресов. Наконец, плата NFFC может применяться с целью классификации трафика в ходе реализации функций качества обслуживания (Quality of Service — QoS) и классов обслуживания (Class of Service — COS). Совет Наиболее важными аспектами работы IDF-узла являются стоимость, плотность портов и избыточность. Кабельный узел MDF IDF-устройства подключаются сзади3 к одному или нескольким устройствам цен- центрального кабельного узла (MDF) согласно звездообразной схеме. Для обеспечения адекватного резервирования каждый узел IDF подключен к различным MDF- устройствам. В некоторых предприятиях оба MDF-устройства физически размешают- размешаются в одном помещении в расчете на возможность резервирования соединений за счет использования маршрутизации для переключения каналов вертикальной кабельной системы. В других организациях предпочтение отдается размещению MDF-устройств 3 Т.е. с обратной стороны монтажной стойки и коммутационных панелей, как и в случае IDF- узла. — Прим. ред. Глава 14. Модели территориальных сетей 655
в полностью обособленных кабельных узлах. Взаимосвязь MDF-узлов и зданий не яв- является жестким правилом. В зданиях внушительных размеров может находиться более двух MDF-коммутаторов, тогда как пара взаимозаменяемых MDF-устройств может быть способна поддерживать связь в многочисленных зданиях малой величины. На рис. 14.2 показаны три здания с MDF-узлами. Для соблюдения требований ре- резервирования каналов связи в каждом здании, как правило, находится два MDF- устройства. MDF-устройства также могут применяться для объединения трех зданий (другие проекты будут рассмотрены ниже). Здание 1 Рис. 14.2. MDF-уты Для кабельных узлов MDF выдвигается набор требований и задач, которые отли- отличаются от требований к IDF-узлам. Требования к MDF-узлам следующие: • высокая пропускная способность, • высокая надежность, • возможность маршрутизации. Поскольку MDF-устройства функционируют в качестве точек концентрации для IDF-трафика, они должны обладать способностью поддерживать предельно высокие 656 Часть V. Современное проектирование и реализация...
уровни потоков данных. В случае применения коммутатора второго уровня полоса пропускания является недорогой и легкодоступной. Однако, как будет сказано ниже в настоящей главе, множество методик для достижения надежной и масштабируемой конструкции требуют реализации маршрутизации в MDF-узле. Для достижения по- подобной производительности третьего уровня может потребоваться тщательное плани- планирование. Более подробная информация по теме коммутации третьего уровня приведе- приведена в главе 11, "Коммутация третьего уровня". Кроме того, некоторые проблемы, свя- связанные с коммутацией третьего уровня, упоминаются далее в настоящей главе, а также в главе 15, "Реализация конструкции территориальной сети". Высокая надежность является важным требованием для MDF-устройств. Несмотря на то, что сбой как MDF, так и IDF-коммутатора потенциально воздействует на рабо- работу многих пользователей, между такими ситуациями существует явное отличие. Как было сказано в предыдущем разделе, при возникновении сбоя IDF-устройства от сети полностью отключаются несколько сотен присоединенных оконечных станций. С другой стороны, поскольку MDF-станции почти всегда развернуты попарно, их сбои редко приводят к полной потере связи. Однако такое утверждение не означает, что сбои в MDF-станциях можно рассматривать как несущественные. Напротив, непо- неполадки в MDF-узлах часто влияют на работу тысяч пользователей, т.е. гораздо больше, чем при отказах IDF-устройств. Подобные проблемы вынуждают использовать как можно больше функций, которые прозрачно перенаправляют трафик вокруг аварий- аварийного узла MDF. В дополнение к чистой производительности третьего уровня, которая описывалась ранее, в ситуациях, связанных с узлами MDF, могут быть важны другие маршрутизи- маршрутизирующие функции. Очень важна, например, проблема выбора поддерживаемого прото- протокола третьего уровня (протокола IP, IPX, AppleTalk и т.д.). Поддержка протокола маршрутизации, такого, как OSPF, RIP, EIGRP, IS-IS и других, также может оказать- оказаться весомым фактором при принятии решения. Кроме того, может быть критически важной поддержка таких функций, как DHCP-ретрансляция и использование прото- протокола HSRP. В MDF-узлах возможно применение следующих трех типов устройств: • коммутаторы второго уровня; • гибридные, "коммутирующие маршрутизаторы", такие же, как для реализации технологии MLS; • "коммутирующие маршрутизаторы", такие, как устройства Catalyst 8500. Первые из перечисленных устройств — коммутаторы второго уровня — являются простейшими. Умеренная стоимость и высокая пропускная способность данных уст- устройств делает их очень выгодными. В качестве примеров таких устройств можно при- привести современные модели коммутаторов Catalyst 4000 и традиционные коммутаторы Catalyst 5000 без модуля коммутации маршрута (Route Switch Module — RSM) или платы NFFC. Однако, как упоминалось ранее, существуют причины, вынуждающие применять в MDF-узле обработку третьего уровня. Подобные причины приводят многих проекти- проектировщиков сетей к идее использования третьего типа устройств — коммутаторов третьего уровня, функционирующих как аппаратные маршрутизаторы. В главе 11, "Коммутация третьего уровня", данные устройства обозначались как коммутирующие маршрутизаторы. Устройство Catalyst 8500 является отличным примером такого типа оборудования. Глава 14. Модели территориальных сетей 657
Корпорация Cisco также предлагает другой подход — технологию многоуровневой коммутации (Multilayer Switching — MLS), которая находится посередине между двумя упомянутыми ранее. Технология MLS является гибридной методикой, которая позво- позволяет ориентированным на второй уровень модулям Supervisor кэшировать информа- информацию третьего уровня. Она также позволяет устройствам Catalyst функционировать в форме маршрутизирующих коммутаторов, т.е. в одном из видов коммутации третьего уровня, которая описывалась в главе 11. В качестве одного из примеров MLS- коммутатора можно привести устройство Catalyst 5000 с модулем RSM и платой NFFC. Другие примеры включают в себя функциональную плату коммутации мар- маршрута Catalyst 5000 RSFC (Catalyst 5000 Route Switch Feature Card — RSFC) и функ- функциональную плату многоуровневой коммутации Catalyst 6000 MSFC (Catalyst 6000 Multilayer Switch Feature Card — MSFC). Внимание! Очень важно верно понимать различия между формами коммутации третьего уровня, маршрутизирующим коммутатором (технологией MLS) и коммутирующим маршрутиза- маршрутизатором (устройством Catalyst 8500). Подробно данная тема освещается в главе 11, "Коммутация третьего уровня". Несмотря на то, что коммутирующий маршрутизатор (8500) и маршрутизирующий коммутатор (технология MLS) способствуют получению высокой пропускной способ- способности на третьем и/или четвертом уровне эталонной модели OSI, между ними суще- существуют важные различия. Полная информация, касающаяся технических различий данных подходов, предоставлена в главе 11. В настоящей главе, а также в главе 15, "Реализация конструкции территориальной сети", основное внимание уделено разли- различиям в проектировании структуры сети. Совет Наиболее важными факторами применения кабельных узлов MDF являются доступ- доступность, а также пропускная способность и возможности третьего уровня. Трехуровневая модель территориальной сети: уровни доступа и распределения, базовый уровень IDF/MDF-терминология, описанная в предыдущем разделе, описывает структуру сети в понятиях двухуровневой среды. Однако, соединения между MDF-станциями часто наилучшим образом можно описать с помошью понятий третьего уровня. По этой причине часто полезно описывать территориальные и распределенные сети в терминах трехуровневой модели, которая более точно характеризует уникальные тре- требования взаимных соединений между MDF-узлами. В превосходном курсе Cisco Inter- Internetwork Design (CID — Проектирование межсетевого взаимодействия Cisco) Геофа Ха- ливанда (Geoff Halivand) популярно объясняется использование следующих терминов для описания трехуровневой модели: уровень доступа (access), уровень распределения (distribution) и базовый уровень (core). На рис. 14.3 приведена иллюстрация трехуров- трехуровневой модели. 658 Часть V. Современное проектирование и реализация...
Уровень доступа Уровень распределения Базовый уровень Рис. 14.3. Трехуровневая модель сети Каждый из приведенных на рисунке уровней кратко описан в одном из следующих разделов. Уровень доступа В трехуровневой модели кабельные узлы IDF обозначаются как узлы уровня доступа. Идея заключается в том, что устройства, расположенные в таких узлах, должны быть оптимизированы для целей доступа со стороны конечных пользователей. Требования уровня доступа в данном случае такие же, как и приведенные выше в разделе "Кабельный узел IDF": плотность портов, стоимость, гибкость и простота управления. Уровень распределения В трехуровневой модели MDF-устройства обозначаются как устройства уровня рас- распределения. Требования к высокой пропускной способности и функциональности третьего уровня в данном случае являются особенно важными. Совет В территориальной сети термин уровень доступа является синонимом кабельного уз- узла IDF, а термин уровень распределения эквивалентен понятию кабельного узла MDF. Базовый уровень Соединения между MDF-коммутаторами в терминах трехуровневой модели назы- называются базовым уровнем. В некоторых сетях базовый уровень является очень простым и состоит из пары коммутаторов второго уровня или нескольких каналов, соединяю- соединяющих между собой кабельные узлы MDF. В других случаях размеры сети могут потре- Глава 14. Модели территориальных сетей 659
бовать реализации на базовом уровне коммутации третьего уровня. Основной уровень многих сетей базируется на Ethernet-технологии, в других сетях может использоваться технология ATM. Внимание! Как правило, термины уровень доступа и уровень распределения используются как взаимозаменяемые с обозначениями кабельных узлов IDF и MDF соответственно. Од- Однако, термины IDF/MDF чаще употребляются при описании двухуровневой конструк- конструкции сети, тогда как понятия уровней доступа (распределения, основной уровень) при- применяются для объяснения трехуровневых топологий. Ключевые требования при проектировании территориальных сетей "Идеальная" территориальная сеть должна стремиться к достижению определен- определенных целей. Некоторые из них были упомянуты ранее, однако несколько новых и важ- важных проблем представлены ниже (новые пункты упоминаются первыми). • Балансирование нагрузки. При условии наличия резервных каналов передачи данных балансировка нагрузки позволяет использовать всю оплаченную полосу пропускания. Как подробнее описывается в главе 15, "Реализация конструкции территориальной сети", гибкость, интеллектуальность и простота конфигуриро- конфигурирования могут стать решающими факторами при использовании такой важной функции. • Определенная структура трафика. Трафик, следующий по предсказуемому мар- маршруту, может быть критическим для производительности сети и устранения не- неисправностей. Это особенно верно при возникновении сбоев в сети и ситуаций, связанных с восстановлением работоспособности. • Согласованное число транзитных узлов. Одним из принципиальных факторов, содействующих определенному движению потоков данных, является согласо- согласованное количество транзитных переходов в сети. Как указывается ниже в на- настоящей главе, данная цель может быть достигнута при помощи модульного и согласованного проектирования. • Простота конфигурирования. Первоначальное конфигурирование сети не должно быть чрезмерно трудоемким процессом. • Простота технического обслуживания. Текущие задачи по обслуживанию сети должны быть сведены к минимуму. Там, где необходимо, задачи обслуживания должны соответствовать хорошо организованной структуре, которая позволяет просто реализовать тонкую настройку служб. • Простота устранения неисправностей. Некоторые проекты могут чрезвычайно эффектно выглядеть на бумаге и в то же время вызывать серьезные трудности при устранении неисправностей (например, сети с плоской топологией). В хо- хорошем проекте для обеспечения простоты устранения неисправностей посред- 660 Часть V. Современное проектирование и реализация...
ством согласованности и предсказуемости применяются расширяемые модули или строительные блоки. • Избыточность. Увеличение стоимости оборудования на 10-15 процентов позво- позволит в несколько раз повысить надежность сети. • Стоимость. Стоимость из расчета на один порт является особенно важным па- параметром для IDF-устройств с высокой плотностью портов. Преимущества маршрутизации Одной из ключевых тем настоящей главы является идея о чрезвычайной важности маршрутизации для проектирования масштабируемой сети. Идея, вероятно, не нова. Однако, возросшая популярность и сосредоточенность на чрезвычайно плоском, "избегающем маршрутизатора" дизайне, обуславливает появление серьезного внима- внимания к данной тематике. Множество разработчиков сетей убеждены, что ключевой це- целью проектирования территориальной сети является сокращение как можно большего количества маршрутизаторов. Авторы настоящей книги, напротив, полагают, что та- такая цель является ложной. Маршрутизаторы доказали свое право считаться ключевым фактором для удовлетворения требований проектирования территориальных сетей, рассмотренных в предыдущем разделе. • Расширяемая полоса пропускания. Использование маршрутизаторов традицион- традиционно рассматривается как наименее скоростной подход к перенаправлению дан- данных. Однако, поскольку в маршрутизируемой сети используются очень децен- децентрализованные алгоритмы, может быть достигнута более высокая скорость об- обработки, чем при менее интеллектуальных и более централизованных схемах передачи второго уровня. Объединив данный факт с появлением новейших ап- аппаратных маршрутизаторов (коммутаторов третьего уровня), можно уверенно утверждать, что маршрутизация способна предложить экстраординарную произ- производительность передачи данных. • Фильтрация широковещательных рассылок. Одним из наиболее уязвимых мест коммутации второго уровня является сдерживание широковещания. Произво- Производители оборудования в качестве частичного решения данной проблемы пред- представили виртуальные локальные сети (сети VLAN), однако основные вопросы остались неразрешенными. Широковещание не только поглощает важнейшие ресурсы полосы пропускания, но и перегружает процессорные ресурсы. Такие методики, как ISL и применение плат LANE NIC, которые с целью построения плоской сети с минимальным использованием маршрутизаторов позволяют серверам подключаться к нескольким сетям VLAN, только усугубляют положе- положение. Серверы в настоящее время вынуждены обрабатывать широковещательные рассылки для 10-20 виртуальных локальных сетей! С другой стороны, более интеллектуальные алгоритмы передачи, применяемые в устройствах третьего уровня, позволяют сдерживать широковещание одновременно с полной под- поддержкой связи. • Высококачественная обработка многоадресатных рассылок. Для поддержки мно- гоадресатных служб в устройствах второго уровня были разработаны прогрес- прогрессивные методики, такие, как IGMP-прослушивание, протоколы CGMP и 802.1р (см. главу 13). Несмотря на такой прогресс, крайне маловероятно, что Глава 14. Модели территориальных сетей 661
подобные усилия когда-либо обеспечат обширный набор функций, предостав- предоставляемый технологиями третьего уровня. Маршрутизаторы, использующие много- адресатные протоколы третьего уровня, такие, как PIM, всегда обеспечивают серьезные улучшения в области эффективности и масштабируемости многоад- ресатных служб. При условии предсказуемости критического роста многоадре- сатных рассылок подобная производительность, вероятно, будет важнейшей для будущих (или существующих) сетей. • Выбор оптимального маршрута. Протоколы маршрутизации благодаря своим усовершенствованным метрикам и алгоритмам определения маршрута предос- предоставляют гораздо лучшие возможности по выбору пути следования пакета, чем коммутаторы второго уровня. Как указывается в главах, касающихся работы распределенного связующего дерева (Spanning Tree), устройства второго уровня способны просто отправлять трафик через множество бесполезных транзитных мостов (bridge hops). • Быстрая конвергенция. Протоколы маршрутизации не только определяют опти- оптимальные маршруты, они осуществляют данные операции с большой скоростью. Современные протоколы маршрутизации третьего уровня в общем случае кон- конвергируют в течение 5-10 с. С другой стороны, конвергенция протокола рас- распределенного связующего дерева (Spanning Tree Protocol — STP) на втором уровне занимает стандартно 30-50 с. И хотя в определенных топологиях суще- существует возможность изменить стандартные таймеры протокола STP и использо- использовать такие методики оптимизации, как UplinkFast, очень трудно достичь скоро- скоростных результатов, сопоставимых с результатами, которые обеспечиваются про- протоколами маршрутизации третьего уровня. • Балансирование нагрузки. Протоколы маршрутизации также содержат интеллек- интеллектуальные механизмы балансировки нагрузки. Балансировка нагрузки третьего уровня является гибкой, простой в настройке функцией и поддерживает мно- множество одновременно используемых маршрутов. С другой стороны, методики балансировки нагрузки на втором уровне, такие, как STP-балансирование, опи- описанная в главе 7, "Расширенные возможности протокола распределенного свя- связующего дерева", могут быть чрезвычайно громоздкими и трудными в исполь- использовании. • Гибкий выбор маршрута. В дополнение к другим преимуществам определения пути, предоставляемым маршрутизаторами, устройства корпорации Cisco пред- предлагают широкий диапазон средств для манипулирования процессом выбора маршрута. Списки распределения (distribute lists), карты маршрутов (route maps), статические маршруты (static routes), гибкие метрики (flexible metrics) и административные расстояния (administrative distances) являются примерами та- таких механизмов. Подобные средства обеспечивают чрезвычайно дискретный контроль в сети третьего уровня. • Агрегированные адреса (summarized addressing). В адресации второго уровня ис- используется плоское адресное пространство. В МАС-адресе не существует ин- информация, указывающая на физическое расположение (что очень напоминает номер социального страхования Social Security number). В результате, каждая таблица моста в плоской сети должна содержать адреса всех узлов. С другой стороны, адреса третьего уровня указывают расположение подобно почтовому индексу (ZIP code или postal code) или телефонному коду города (telephone 662 Часть V. Современное проектирование и реализация...
number's area code). Такой иерархический подход, позволяя агрегировать адреса, способствует построению более крупных сетей. В результате происходит не только поразительное сокращение размеров таблиц передачи маршрутных дан- данных, но процессы определения адресов и обновления таблиц маршрутизации становятся более простыми. Наконец, может значительно ускориться процесс просмотра таблиц адресов. • Политики (policy) и списки доступа (access lists). Большинство коммутаторов второго уровня имеют очень ограниченный набор средств фильтрации, а неко- некоторые не имеют их вообще. При поддержке фильтрации или списков доступа используются МАС-адреса. Едва ли такой способ внедрения политик можно назвать эффективным. С другой стороны, маршрутизаторы могут применяться для предоставления комплексных списков доступа, функционирование которых основано на информации третьего и четвертого уровней. Такой подход гораздо более эффективен с точки зрения реализации политик. Списки доступа на ап- аппаратной основе в коммутаторах третьего уровня становятся все более широко распространенными и гибкими. • Ценные функции. Маловероятно, что устройства третьего уровня — коммути- коммутирующие маршрутизаторы, такие, как Catalyst 8500, будут поддерживать службы верхнего уровня, ориентированные на распределенную сеть, такие, как комму- коммутация DLSw+ и трансляция протоколов. Несмотря на это, существует большое количество чрезвычайно важных функций, предоставленных данными плат- платформами. Например, такие технологии, как DHCP-ретрансляция (DHCP relay), служба кэширования протокола ARP (proxy ARP), отладка (debug) и кэширова- кэширование запросов GNS (proxy GNS) в территориальной сети, могут стать важными функциями, основанными на маршрутизации. Необходимо, однако, отметить, что некоторые платформы третьего уровня способны предоставлять высокодос- высокодоступные службы путем их программной поддержки. Например, технология MLS с применением модуля RSM позволяет реализовать коммутацию DLSw+ на ба- базе указанного модуля. Собственный IP-трафик использует плату NFFC для пе- передачи на скорости проводника; коммутация DLSw+ зависит от более медлен- медленной передачи на программной основе. Совет В крупных сетях присущие маршрутизации преимущества масштабируемости, гибко- гибкости и интеллектуальности проявляются почти всегда. Следует стремиться к внедре- внедрению маршрутизации (коммутации третьего уровня) в территориальную сеть. Модели территориальных сетей Несмотря на то, что существует бесчисленное множество разновидностей и вари- вариантов построения инфраструктуры, большинство проектов территориальных сетей по- попадает в одну из трех перечисленных ниже категорий. • Модель с использованием традиционного маршрутизатора и концентратора. • Модель виртуальных локальных сетей для территориальных структур (также из- известная как "плоская" (flat earth) и сквозные сети VLAN (end-to-end VLAN). • Многоуровневая модель. Глава 14. Модели территориальных сетей 663
В следующих разделах подробно рассматривается каждая из указанных моделей проектирования территориальных сетей. Модель с использованием маршрутизатора и концентратора На рис. 14.4 приведена схематическая иллюстрация модели с использованием тра- традиционного маршрутизатора и концентратора. Рис. 14.4. Модель сети с использованием маршрутизатора и концентратора Данная модель характеризуется применением в кабельных узлах IDF (т.е. для уровня доступа) концентраторов первого уровня. Они подключаются к различным портам задней панели маршрутизаторов, расположенных в MDF-узлах (т.е., на уровне распределения). Существуют несколько подходов к формированию основы (core) тер- территориальной сети. При первом подходе маршрутизаторы уровня распределения не- непосредственно соединяются между собой для образования базовой сети (core) или магистрали (backbone). Ввиду надежности и производительности маршрутизаторов, для таких соединений в качестве среды передачи традиционно применяется FDDI- кольцо. В других случаях некоторые разработчики сетей предпочитают формировать 664 Часть V. Современное проектирование и реализация...
вырожденную магистраль4 (collapsed backbone), реализованную на концентраторе или маршрутизаторе. Описываемая модель имеет ряд достоинств, а также несколько причин, по кото- которым большинство новых проектировщиков избегают ее применения. В табл. 14.1 пе- перечислены достоинства и недостатки модели с применением маршрутизатора и кон- концентратора. Таблица 14.1. Преимущества и недостатки модели с применением маршрутизатора и концентратора Преимущество Недостаток Ввиду того, что данная модель основана на ис- использовании маршрутизаторов, она позволяет осуществить хороший контроль широковещатель- широковещательных и многоадресатных рассылок Поскольку каждый концентратор представляет уни- уникальную IP-подсеть или IPX-сеть, администрирова- администрирование такой сети является простым для понимания При условии умеренных уровней трафика и разме- размещения серверов отделов в локальных сегментах описываемая модель проектирования способна обеспечить адекватную производительность Аппаратное обеспечение для данной модели явля- является недорогим и широкодоступным Совместно использующие среду передачи концентра- концентраторы не способны обеспечить достаточную полосу про- пропускания для современных приложений. Например (см. рис. 14.4), каждый этаж здания должен использовать единственный сегмент на 10 Мбит/с (данный фактор в обычной Ethernet-сети вызывает перегрузку и чрезвы- чрезвычайно медленную работу подобных сегментов) Для конструкций такого типа в целом характерно при- применение программных маршрутизаторов, которые не способны соответствующим образом обработать уве- увеличивающийся уровень потока данных Структура трафика изменилась, и предположение о том, что основная часть трафика остается в пределах локального сегмента, стало неверным. В результате популярность приобретает модель виртуальных сетей масштаба для территориальной сети Важнейшее преимущество описываемого подхода к проектированию заключается в его простоте. Кроме того, данная модель вносит в проектирование и управление тер- территориальных сетей известные ранее понятия. Основным недостатком является огра- ограниченная полоса пропускания, которую обеспечивает данный подход с совместно ис- используемой средой передачи. Модель многоуровневого проектирования, описываемая далее, в частности, представляет собой попытку извлечь выгоду из простоты модели с использованием маршрутизатора и концентраторов одновременно с полным предот- предотвращением ограничений полосы пропускания. Подобные преимущества реализуются путем применения технологии коммутации второго и третьего уровней. Модель проектирования виртуальных локальных сетей территориального масштаба Пользователи отмечают, что сети на основе маршрутизаторов и концентраторов уже слабо справляются с возрастающим количеством трафика, и ищут альтернативные подходы. Во многих организациях принимаются решения о внедрении модели сетей 4 Магистраль сети, стянутая в одну точку. — Прим. ред. Глава 14. Модели территориальных сетей 665
VLAN масштаба территориальной сети, также известной как "плоская земля" (flat earth) и "сквозные сети VLAN" ("end-to-end VLAN"). Модель виртуальных локальных сетей масштаба территориальной сети призвана устранить использование маршрутизаторов. Поскольку маршрутизаторы стали причи- причиной значительных заторов трафика в территориальных сетях, проектировщики начали искать пути минимизации их использования. Т.к. широковещательные домены необ- необходимо было поддерживать в пределах приемлемых размеров, с целью создания логи- логических барьеров, ограничивающих широковещание, применялись сети VLAN. На рис. 14.5 приведена иллюстрация типичной конструкции сетей VLAN масштаба тер- территориальной сети. Уровень доступа Уровень 2 •< Уровень распределения Базовый уровень / I \ ggggg Рис. 14.5. Модель проектирования сетей VLAN масштаба территориальной сети В приведенной на рис. 14.5 схеме во всей сети используется коммутация второго уровня. Для того, чтобы обеспечить обмен данными между сетями VLAN, применя- применяются два маршрутизатора, установленные по схеме линейного маршрутизатора (router- on-a-stick) (см. главу 11, "Коммутация третьего уровня"). Преимущества сетей VLAN масштаба территориальной сети Существуют несколько интересных аспектов, характерных для подхода с "плоской землей". Во-первых, модель сетей VLAN масштаба территориальной сети позволяет проек- проектировщикам создавать прямой путь второго уровня от конечных станций к наиболее часто используемым серверам. Внедрение коммутации второго уровня во все три уровня данной модели (уровень доступа, распределения и базовый уровень) позволяет 666 Часть V. Современное проектирование и реализация...
значительно увеличить доступную полосу пропускания в сетях VLAN масштаба терри- территориальной сети. Вторым преимуществом модели сетей масштаба территориальной сети является то, что сети VLAN можно использовать для обеспечения логического контроля над ши- широковещательными доменами, а следовательно, и подсетями. Некоторые платформы позволяют коммутаторам автоматически определять, какой сети VLAN должна при- принадлежать конечная станция, не требуя при этом административных действий по до- добавлению, перемещению и изменению записей устройств. Другие схемы допускают более централизованное управление VLAN-назначениями и призваны сделать адми- администрирование как можно более простым. Например, некоторые производители обо- оборудования могут предоставить демонстрационные версии изысканных продуктов, ко- которые позволяют вносить конечных пользователей в виртуальные локальные сети ме- методом "перетащить и отпустить" (drag-and-drop). Среди примеров таких служб можно привести продукт Virtual Management Policy Server — VMPS (сервер виртуального управления политиками) корпорации Cisco, который осуществляет VLAN-назначения на основе МАС-адресов. Существует также продукт User Registration Tool — URT (служба регистрации пользователей), в котором используются службы каталогов кор- корпорации Microsoft для операционной системы Windows NT (NT directory services). Продукты VMPS и URT описываются в разделе "Протокол VMPS и динамические се- сети VLAN: расширенное администрирование" главы 5. Третье преимущество данной модели заключается в том, что если трафик должен пересечь границы сети VLAN, то он проходит только через маршрутизатор. Если пользователю из сети VLAN финансового отдела необходимо подключиться к серверу данного отдела, который расположен в той же сети VLAN, участие маршрутизаторов не требуется. Однако в случае, если тому же пользователю иногда требуется доступ к серверу маркетингового отдела, маршрутизатор будет задействован. Серверы даже могут быть подключены непосредственно к многочисленным сетям VLAN с использо- использованием технологии ISL или интерфейсных плат LANE, что еще сильнее уменьшит по- потребность в маршрутизаторах. Например, сервер в сети маркетингового отдела может быть оборудован платой ISL NIC, что позволит осуществлять прямой, на втором уровне, доступ из сети финансового отдела. Наконец, подобное централизованное использование маршрутизации может облег- облегчить конфигурирование списков доступа и системы безопасности сети. В качестве примера рассмотрим сеть колледжа, в которой существуют две виртуальные локаль- локальные сети: студенческая и сеть профессорского состава. Данные сети VLAN могут ох- охватывать множество зданий, но благодаря централизованной маршрутизации, обычно используемой в сетях масштаба территориальной сети, необходимость конфигуриро- конфигурировать списки доступа может возникнуть только на паре маршрутизаторов. С другой стороны, если каждое здание территориальной сети подключено к магистрали через маршрутизатор, могут понадобиться сотни списков доступа, рассеянные среди множе- множества маршрутизаторов. В конечном итоге получим решение, обеспечивающее скорость второго уровня, гибкость виртуальных локальных сетей, а также способ избежания "медлительности" маршрутизаторов. Недостатки сетей VLAN масштаба территориальной сети Существуют также несколько значительных недостатков модели сетей VLAN мас- масштаба территориальной сети: Глава 14. Модели территориальных сетей 667
• сложности в управлении; • отсутствие логической структуры; • крупные, налагающиеся друг на друга домены распределенного связующего де- дерева; • проблема, возникшая в одной сети VLAN, способна исчерпать полосу пропус- пропускания магистральных каналов во всех сетях VLAN; • во множестве сетей, созданных согласно данной модели, для того, чтобы дос- достичь стабильности, приходится избавляться от всех избыточных путей; • недостаточная масштабируемость; • современный трафик, в основном, нарушает правило "оставаться в пределах одной подсети", практикуемое в данной модели; • современные маршрутизаторы не создают заторов трафика в сети. Ниже приводится более подробная информация по каждому из указанных недос- недостатков. Управление такими сетями может стать более трудным и утомительным, чем пер- первоначально ожидалось. В модели с традиционными маршрутизатором и концентрато- концентратором присутствовала логическая четкость разделения на подсети в каждом кабельном узле. Напротив, множество сетей масштаба территориальной сети в своем развитии создали всеобщую путаницу в назначениях адресов сетей VLAN и третьего уровня. Другой недостаток модели сетей масштаба территориальной сети состоит в том, что проблемы могут возникнуть из-за недостатка логической структуры проекта, осо- особенно когда приходится устранять неисправности в сети. Без четко определенной ие- иерархии очень сложно сузить круг поиска каждой проблемы. Перед каждым сеансом устранения неисправностей можно впустую потратить ценное время, пытаясь разо- разобраться в постоянно меняющейся структуре виртуальной локальной сети. Также сети масштаба территориальной сети приводят к созданию крупных и на- налагающихся друг на друга доменов распределенного связующего дерева. Как указыва- указывалось в главе 6, "Основы протокола распределенного связующего дерева", и главе 7, "Расширенные возможности протокола распределенного связующего дерева", в про- протоколе STP используется комплексный набор оценочных методов, с помощью кото- которых выбирается одно центральное устройство (корневой мост) для каждой сети VLAN. Остальные коммутаторы и мосты затем определяют кратчайший маршрут к данному центральному мосту/коммутатору и используют его для перенаправления всех данных. Протокол распределенного связующего дерева (Spanning-Tree Protocol) чрезвычайно динамичен. Если корневой мост (Root Bridge) или канал к нему само- самопроизвольно изменяются, протоколы сети непрерывно колеблются между выбором одного из двух коммутаторов, служащих в качестве корневых мостов (при этом каж- каждый раз прерывается поток данных). В крупных доменах распределенного связующего дерева необходимо использовать очень умеренные значения таймера, приводящие к раздражающе медленной производительности в нештатных ситуациях восстановления после сбоев. Кроме того, с ростом размеров и количества доменов распределенного связующего дерева увеличивается возможность перегрузки процессора. Если одно уст- устройство в единственной сети VLAN запаздывает и создает петлевой маршрут, то мо- может последовать быстрая перегрузка каждого подключенного устройства во всех сетях VLAN. В результате возникают простои сети, продолжающиеся несколько дней и вы- вызывающие трудности при устранении неисправностей. 668 Часть V. Современное проектирование и реализация...
Существует еще один недостаток модели сетей масштаба территориальной сети. Он заключается в том, что широкое использование магистральных каналов, которые поддерживают многочисленные сети VLAN, еще более усугубляет проблемы, связан- связанные с распределенным связующим деревом. Например, рассмотрим канал 1 на рис. 14.5. Канал 1 является Fast Ethernet-каналом, поддерживающим сети VLAN 1 — 15. Предположим, что произошла перегрузка процессора единственного коммутатора в сети VLAN 1 и образовалась мостовая петля (bridging loop). Несмотря на то, что петля может быть ограничена только сетью VLAN 1, трафик данной сети может по- потреблять всю пропускную способность магистрального канала и препятствовать рабо- работе остальных сетей VLAN. Подобная проблема представляется еще более тяжелой, ес- если предположить, что сеть VLAN 1 является сетью управления. В таком случае, ши- широковещательные рассылки, захваченные в петле, поглощают 100 процентов мощности процессора коммутатора в сети. Чем больше процессоров коммутаторов бу- будет перегружено, тем больше сетей VLAN окажутся в мостовых петлях. В течение не- нескольких секунд вея сеть буквально "развалится". Дополнительная проблема модели сетей масштаба территориальной сети заключа- заключается в следующем. Чтобы избежать подобных недостатков распределенного связую- связующего дерева и магистральной передачи, во многих сетях масштаба территориальной сети с целью достижения стабильности необходимо избавиться от всех избыточных путей. Чтобы разрешить данную проблему, можно физически отключить избыточные или отсечь магистральные каналы способом, с помощью которого вручную создается беспетельное распределенное связующее дерево. В любом случае при этом каждое устройство в сети становится единственной точкой сбоя. Большинство проектиров- проектировщиков не намерены идти на подобные жертвы, когда решаются на проектирование плоской инфраструктуры. Без маршрутизаторов в сети не существуют "барьеры" третьего уровня, и проблемы очень легко распространяются по всей территориальной сети. Более того, виртуальные локальные сети масштаба территориальной сети не явля- являются масштабируемыми. Множество небольших сетей было успешно развернуто с применением данной модели проектирования. Первоначально пользователи обычно вполне удовлетворены как эффективностью, так и полосой пропускания новой ин- инфраструктуры таких сетей. Однако, как только сеть начинает увеличиваться в разме- размерах, упомянутые выше проблемы возникают все чаще и чаще. Еще одним недостатком сетей VLAN масштаба территориальной сети является то, что все труднее и труднее обойти маршрутизаторы, т.е. основную предпосылку, вы- вызвавшую выбор именно данной схемы проектирования сетей VLAN. Как только структура трафика усовершенствуется от простого использования серверов отделов в локальном сегменте до серверов предприятия, расположенных в централизованной серверной группе, становится очень трудно удалить маршрутизаторы с данного гео- географически рассредоточенного маршрута. Например, подключение Web-сервера пред- предприятия к 20 или более сетям VLAN (подсетям) без использования маршрутизатора может стать трудноразрешимой задачей. В последнее время стало доступным множе- множество решений, таких, как стандарты ISL, 802.1Q и интерфейсные платы LANE. Одна- Однако, как правило, они предоставляют крайне неудовлетворительную производитель- производительность. И, как указывалось ранее, данные интерфейсные платы вынуждают сервер об- обрабатывать все широковещательные рассылки для всех сетей VLAN, потребляя при этом важные и дорогостоящие процессорные циклы обработки данных. Кроме того, использование многопортовых интерфейсных плат (multiple-VLAN NICs) чревато Глава 14. Модели территориальных сетей 669
другими проблемами, такими, как замедленная инициализация, ограниченное число сетей VLAN и непредсказуемое поведение сервера. Наконец, более не является актуальной и другая основная предпосылка приме- применения модели сетей VLAN масштаба территориальной сети, а именно — современ- современные маршрутизаторы предоставляют такую же (или почти такую же) скорость обра- обработки данных, как и коммутаторы второго уровня. И хотя эквивалентная произво- производительность в большинстве случаев сопровождается повышением цены, попытки всеми способами избежать коммутации третьего уровня не заслуживают более серь- серьезного внимания. Практические рекомендации, касающиеся виртуальных локальных сетей масштаба территориальной сети Автор данной книги внедрил несколько сетей с использованием описываемого выше подхода. До 1998 года маршрутизаторы были просто слишком медленными для размещения их в середине разрастающегося трафика. Несмотря на то, что часто воз- возникало чувство нехватки логичности структуры третьего уровня, автор примкнул к многочисленной армии проектировщиков сетей масштаба территориальной сети. Ка- Казалось, что другого выхода просто не было. Однако, с появлением коммутации третьего уровня все меньше и меньше находилось причин, вынуждающих использо- использовать сети VLAN масштаба территориальной сети. Перед тем, как оставить читателя с чувством, что все, кто использует сети VLAN масштаба территориальной сети, ненавидят их, необходимо отметить также тот факт, что существуют несколько довольно крупных сетей, построенных на основе данного подхода, и вместе с тем успешно функционирующих. Некоторые администраторы строго придерживаются данного типа сетевого проектирования. Вероятно, так проис- происходит, потому что структура трафика в их сетях продолжает соответствовать правилу 80/20, или администраторам импонирует возможность использования функции "перетащить и отпустить" (drag-and-drop) при изменении состава сети VLAN. Однако, автору приходилось спорить со многими потребителями, которые изо всех сил старались построить стабильную и масштабируемую сеть на основе данной моде- модели. Для многих пользователей недостатки, описанные ранее, являются слишком не- несущественными, чтобы приравнивать их к достоинствам модели сетей VLAN масшта- масштаба территориальной сети. Совет Прежде чем проектировать сеть масштаба территориальной сети, необходимо тща- тщательно оценить недостатки данного подхода. Хотя некоторые потребители вполне удовлетворены подобным подходом к проектированию территориальных сетей, боль- большинство все-таки разочаровано масштабируемостью и стабильностью таких сетей. Многоуровневая модель Данная модель призвана обеспечить стабильность и масштабируемость, характер- характерную для модели с традиционными маршрутизатором и концентратором, одновремен- одновременно с достижением производительности сетей масштаба территориальной сети. В дан- данном подходе полностью используются преимущества аппаратной маршрутизации, т.е., коммутации третьего уровня, для того, чтобы вернуть принадлежащее ей по праву ме- 670 Часть V. Современное проектирование и реализация...
сто среди современных технологий. Однако, при этом не игнорируются и преимуще- преимущества коммутации второго уровня. В действительности, разработчики сетей, исполь- использующие данную модель, пытаются достичь оптимального соотношения между комму- коммутацией третьего уровня, используемой с целью управления, и коммутацией второго уровня, которая применяется для реализации передачи данных с низкими затратами. На рис. 14.6 приведен пример сети, построенной на основе многоуровневой модели. Уровень 2 Уровень Уровень доступа Уровень распределения Уровень 2илиЗ Базовый уровень Рис. 14.6. Многоуровневая модель Каждый IDF/MDF-кластер в структуре сети (IDF/MDF cluster) формирует отдель- отдельный модуль. На рис. 14.6 представлены два таких модуля. IDF-коммутаторы уровня доступа для обеспечения больших значений полосы пропускания с низкими затратами используют передачу второго уровня. В то же время MDF-коммутаторы уровня рас- распределения обеспечивают управление третьего уровня, которое требуется во всех крупных сетях. Далее указанные IDF/MDF-модули соединяются через различные магистрали второго и третьего уровней. Совет Многоуровневая модель объединяет в единое целое механизмы обработки второго и третьего уровней. В данном подходе к проектированию проявляется высокая гибкость и масштабируемость инфраструктуры сети. По многим причинам многоуровневая модель вообще является рекомендованным подходом к проектированию территориальных сетей предприятий. Глава 14. Модели территориальных сетей 671
Во-первых, применение маршрутизаторов обеспечивает адекватное управление на третьем уровне. Вкратце: данный подход позволит реализовать в проектируемой сети все преимущества, описанные в разделе "Преимущества маршрутизации". Не пере- перечисляя их снова, отметим, что многоуровневая модель является масштабируемой, гибкой, высокопроизводительной и простой в управлении. Во-вторых, согласно названию многоуровневая модель предоставляет иерархиче- иерархический подход. С целью осуществления крупномасштабного и согласованного подхода к проектированию в иерархической сети определены уровни со специфической функ- функциональностью. Как будет описано в следующем разделе, такой подход позволяет ка- каждому уровню данной модели (т.е. уровню доступа, распределения и базовому уров- уровню) соответствовать уникальным и специфическим требованиям. В-третьих, данный подход является чрезвычайно модульным. Модульное проекти- проектирование характеризуется многими преимуществами, включая приведенные ниже. • Сеть может беспрепятственно разрастаться. • Полная доступная полоса пропускания расширяется при добавлении дополни- дополнительных модулей. • Модульные сети просты для понимания, устранения неисправностей и техниче- технического обслуживания. • Сеть может быть вполне безопасно точно настроена, что, несомненно, предот- предотвратит крупные административные трудности, а также уменьшит возможность возникновения конфигурационных ошибок. • Переход к структуре модульной сети осуществляется достаточно просто. Старая сеть может стать еще одним дополнительным модулем новой инфраструктуры (хотя она и не обладает соответствующей конструкцией и конфигурацией моду- модулей новой сети). • Модульные сети допускают согласованную и предсказуемую структуру трафика. • При модульном проектировании доступна балансировка нагрузки и резервиро- резервирование соединений. • В согласованной, модульной конструкции значительно проще обеспечить бы- быстрое восстановление после сбоев, чем в менее структурированной конструк- конструкции. Поскольку топология жестко ограничена и четко определена, оба меха- механизма конвергенции второго и третьего уровней являются преимуществами. • Модульные сети позволяют достаточно просто осуществлять замену одних тех- технологий другими, что не только предоставляет организациям большую свободу в первоначальном проектировании (например, в качестве основы может ис- использоваться как Ethernet-, так и ATM-магистраль), но и облегчает усовершен- усовершенствование сети в дальнейшем. Общие рекомендации: многоуровневая модель Как указывалось в предыдущем разделе, многоуровневая модель по различным причинам является наиболее приемлемым инженерно-конструкторским подходом для 672 Часть V. Современное проектирование и реализация...
большинства современных территориальных сетей. В данном разделе рассматриваются некоторые специфические аспекты данной модели. Блоки распределения Значительная часть преимуществ многоуровневой модели сосредоточена вокруг концепции модульного подхода, реализованной с помощью коммутаторов доступа (IDF-коммутаторов) и коммутаторов распределения (MDF-коммутаторов). При усло- условии наличия пары избыточных MDF-коммутаторов каждое устройство уровня доступа IDF формирует треугольник связи (triangle of connectivity), как показано на рис. 14.7. Если существуют десять IDF-коммутаторов, подклю- подключенных к данному набору MDF-коммутаторов, форми- ■з*т~'*^ руются десять треугольников (подобная ситуация воз- ШШШШг никает, например, в случае построения сети в десяти- / \ этажном здании). Набор всех треугольников, * сформированный двумя MDF-коммутаторами, называ- называется блоком распределения (distribution block). Наиболее часто распределительный блок приравнивается ко всем IDF- и MDF-коммутаторам, расположенным в одном здании. Благодаря своей простоте треугольник представляет рис. 14.7. Треугольники связи Собой идеальный строительный блок ДЛЯ Территори- внутри блока распределения альной сети. Имея два вертикальных соединения (vertical link), т.е. два внешних соединения узла IDF (IDF uplink connection), он авто- автоматически обеспечивает резервирование. Поскольку избыточность соединений сфор- сформирована в предопределенном, согласованном и упрощенном режиме, она является очень простой и достаточной для обеспечения равномерной производительности вос- восстановления после сбоев. Совет С целью упрощения проектирования и технического обслуживания сети следует ис- использовать концепцию распределительного блока. Многоуровневая модель не принимает категорическую позицию в противопостав- противопоставлении технологий коммутации второго и третьего уровней (хотя она основывается на утверждении, что в крупных сетях требуется некоторая обработка третьего уровня). Напротив, в данной модели рассматриваются пути создания оптимального объедине- объединения технологий второго и третьего уровней для достижения достаточно противоречи- противоречивых целей проекта, таких, как низкая стоимость, высокая производительность и мас- масштабируемость. Для обеспечения низкозатратной полосы пропускания коммутаторы второго уров- уровня, как правило, используются в кабельных узлах IDF (уровня доступа). Как описы- описывалось ранее, функциональные платы NetFlow способны придать значительную цен- ценность кабельному узлу, реализуя такие функции, как фильтрация протоколов и ЮМР-прослушивание. В целях обеспечения управляемости структуры в кабельные узлы MDF (уровня распределения) необходимо внедрить коммутацию третьего уровня. Возможно, дан- данный аспект является единственным наиболее важным для дизайна в целом. Без ком- Глава 14. Модели территориальных сетей 673
понентов третьего уровня блоки распределения более не являются автономными уз- узлами. Недостаток обработки третьего уровня в точках распределения вызывает рас- распространение по всей сети ветвей распределенного связующего дерева (STP), сетей VLAN и широковещательных доменов. Подобная проблема увеличивает взаимозави- взаимозависимость различных частей сети, понижая в дальнейшем ее масштабируемость и по- повышая вероятность возникновения простоев всей инфраструктуры. С внедрением коммутации третьего уровня каждый распределительный блок ста- становится независимой коммутирующей системой. Преимущества, описанные выше в разделе "Преимущества маршрутизации", встроены в структуру сети, поэтому предот- предотвращается распространение проблем, возникающих в одной части сети, на остальные ее части. Также необходимо соблюдать осторожность и не нарушать модульность концепции распределительного блока с помощью случайных каналов. Например, каналы 1 и 2 (см. рис. 14.8) разрушают модульность многоуровневой модели. Канал 1 Канал 2 Рис. 14.8. Каналы 1 и 2разрушают модульность многоуровневой конструкции сети Намерения в данном случае были хорошими: обеспечить прямой маршрут прохож- прохождения трафика на втором уровне между тремя IDF-коммутаторами, обслуживающими пользователей одной и той же рабочей группы. Несмотря на то, что такой подход по- позволяет устранить из маршрутов между IDF-коммутаторами один или два транзитных маршрутизатора (router hops), он приводит проект в целом к начальной фазе дезин- дезинтеграции. Вскоре возникнет другая исключительная ситуация, за ней еще и так далее. В течение короткого времени такая запутанная сеть станет более похожей на клубок из спагетти, чем на тщательно спланированную территориальную сеть. Необходимо помнить, что масштабируемость и долговременная стабильность сети более важны, чем краткосрочный выигрыш в полосе пропускания. Возникновение '"спагетти-сети" необходимо предотвращать любой ценой. Совет Необходимо обеспечить поддержку модульности распределительных блоков. Не сле- следует добавлять каналы или мостовые соединения между виртуальными локальными сетями, если такие соединения нарушают барьеры третьего уровня, которые исполь- используются на уровне распределения многоуровневой модели. 674 Часть V. Современное проектирование и реализация...
Не углубляясь в "маркетинговые тонкости", необходимо отметить, что коммутация четвертого уровня потенциально востребована на уровне распределения. Учитывая номера портов транспортного уровня в дополнение к адресации сетевого уровня, коммутация четвертого уровня может позволить значительно проше реализовать сете- сетевое взаимодействие, основанное на политиках (policy-based networking). Однако, с точки зрения масштабируемости и производительности коммутация четвертого уровня не имеет определяюшего влияния на многоуровневую модель в целом — важнейшие барьеры третьего уровня продолжают создаваться на MDF-коммутаторах. С другой стороны, выбор технологии коммутации третьего уровня может вызвать расхождения в таких важных вопросах, как адресация и балансировка нагрузки. Кабельные узлы MDF на основе коммутирующих маршрутизаторов (8500) В случае применения коммутирующих маршрутизаторов 8500-й серии, MDF- коммутаторы по умолчанию создают полный разрыв в логической топологии второго уровня. В результате треугольники связи представляются как две уникальные подсети, первая из которых пересекает IDF-коммутатор, а вторая находится между MDF- коммутаторами, как показано на рис. 14.9. Подсеть 1 MDF / MDF Рис. 14.9. Коммутирующие маршрутизаторы узлов MDFразбивают сеть на две подсети В полученной сети полностью отсутствуют петли второго уровня. Несмотря на то, что некоторые разработчики сетей рассматривают данный подход как возможность полностью исключить использование протокола распределенного связующего дерева (Spanning-Tree Protocol), подобная конструкция не является рекомендуемой. Ошибки конфигурации могут вызывать образование логических петель на уровне кабельных узлов IDF или рабочих зонах конечных пользователей (end-user work area), нарушая таким образом работу всего кабельного узла IDF. Однако, это означает, что приме- применить балансировку нагрузки с помощью протокола STP невозможно. Как было сказа- сказано в главе 7, "Расширенные возможности протокола распределенного связующего де- дерева", для реализации балансирования нагрузки с помощью протокола STP необхо- необходимо присутствие в сети двух характеристик. Во-первых, необходимо наличие резервных маршрутов, подобных показанным на рис. 14.9. Во-вторых, требуется, что- чтобы такие маршруты формировали петли второго уровня, т.е. то, чему препятствуют маршрутизаторы в схеме на рис. 14.9. Следовательно, необходимо задействовать ка- какие-либо другие методики распределения нагрузки. Глава 14. Модели территориальных сетей 675
Внимание! Решение об использовании или полном отключении протокола STP может быть принято на основе комплексного подхода. В настоящей книге рекомендуется оста- оставить протокол распределенного связующего дерева включенным (даже в сетях без петель, таких, как приведенная структура в схеме на рис. 14.9). Протокол STP обес- обеспечивает безопасную работу сети без каких-либо петель, которые случайно могут быть сформированы среди портов конечных пользователей. В настоящее время большинство организаций при построении крупномасштабных территориальных се- сетей старается придерживаться подобной консервативной позиции. Такой выбор представляется особенно разумным, с учетом того, что распределенное связующее дерево не добавляет никаких задержек восстановления после сбоев для критичных изменений в топологии, таких, как разорванный внешний канал узла IDF (IDF uplink). Иными словами, применение распределенного связующего дерева в такой среде обеспечивает важные преимущества и при этом содержит небольшое количество недостатков. Более подробное обсуждение технических сложностей протокола распределенного связующего дерева приведено в главах 6, "Основы протокола распределенного свя- связующего дерева", и 7, "Расширенные возможности протокола распределенного свя- связующего дерева". В главе 15, "Реализация конструкции территориальной сети", приве- приведены детальные и специфические рекомендации по применению протокола STP в се- сетях, работающих с различными формами коммутации третьего уровня. Зачастую одна из форм балансировки нагрузки с помощью протокола HSRP явля- является наиболее эффективным решением. Как указывается в разделе "Протокол HSRP" главы 11, если lDF-коммутатор поддерживает множество сетей VLAN конечных поль- пользователей, такие сети VLAN могут быть настроены на альтернативные HSRP-узлы между MDF-коммутаторами. Например, коммутатор, расположенный слева в схеме на рис. 14.9, может быть сконфигурирован в качестве активного HSRP-узла для сетей VLAN с нечетными номерами, в то время как коммутатор справа будет поддерживать сети VLAN с четными номерами. Однако, если на IDF-коммутаторе имеется только одна сеть VLAN (часто так поступают для упрощения администрирования сети, делая ее подобной модели с маршрутизатором и концентратором), то обычно наиболее эф- эффективным подходом будет использование методики поддержки протокола HSRP для множественных групп (Multigroup HSRP— MHSRP). Рис. 14.10 иллюстрирует MHSRP-подход в разработке структуры сети. Для единственной подсети/сети VLAN (см. рис. 14.10) созданы две HSRP- группы. В первой группе используется адрес 10.1.1.1, тогда как во второй — адрес 10.1.1.2. Необходимо отметить, что оба адреса преднамеренно согласованы в одной подсети. Половина конечных станций, подключенных к IDF-коммутатору, скон- сконфигурирована на использование основного стандартного шлюза (primary default gateway) с адресом 10.1.1.1, вторая половина использует для этих же целей исполь- использует адрес 10.1.1.2. Подобные настройки можно автоматизировать с помощью про- протокола DHCP. Более подробно данная методика описана в разделе "Балансиро- "Балансирование нагрузки при помощи протокола HSRP для множественных групп" главы 11 и разделе "Использование протокола DHCP для разрешения проблем мобильности пользователей" главы 15. 676 Часть V. Современное проектирование и реализация...
Пользователи стандартного шлюза 10.1.1.2 стандартного ; шлюза 10.1.1.1 Резервная группа *1 2 IP- адрес 10.1.1.1 10.1.1.2 Активный узел Да Нет Рис. 14.10. Балансировка нагрузки Резервная группа 1 *2 IP- адрес 10.1.1.1 10.1.1.2 с применением методики Активный узел Да Нет MHSRP Совет Как правило, для внедрения балансировки нагрузки при использовании коммутирую- коммутирующих маршрутизаторов требуется множество сетей VLAN в узлах IDF (каждая с от- отдельной резервной HSRP-группой — HSRP standby group) или использование методи- методики MHSRP для единственной сети VLAN в узле IDF. Службы маршрутизации (технология MLS) в узлах MDF Если в MDF-коммутаторах используется MLS-тип коммутации третьего уровня (маршрутизирующие коммутаторы), конструкция может сильно отличаться. В таком случае вполне возможно возникновение петель второго уровня. MDF-коммутаторы скорее являются обычными устройствами второго уровня, усовершенствованными с помощью кэширующей технологии третьего уровня, чем просто маршрутизаторами, как в случае использования коммутирующих маршрутизаторов. Следовательно, MLS- устройства стандартно пропускают трафик второго уровня (стандартные настройки, однако, можно изменить). Например, на рис. 14.11 приведена схема сети, в которой при использовании технологии MLS часто возникают петли второго уровня. Обе виртуальные локальные сети: VLAN 2 и 3 назначены всем трем магистраль- магистральным каналам, формирующим петлю второго уровня. В таком случае требуется приме- применение балансирования нагрузки с помощью протокола STP. Как следует из схемы на рис. 14.11, параметр стоимости для сети VLAN 3 на IDF-порту 1/1 может быть увели- увеличен до 1000, то же возможно выполнить и для сети VLAN 2 на порту 1/2. Более под- подробно балансировка нагрузки с помошью протокола STP описана в главе 7 "Расши- "Расширенные возможности протокола распределенного связующего дерева". Глава 14. Модели территориальных сетей 677
Параметр стоимости: CeTbVLAN2 = 19 Сеть VLAN3= 1000 Параметр стоимости: CeTbVUN2 = 1000 CeTbVLAN3 = 19 NFFC NFFC MDF Корневой мост для всех сетей VLAN Рис. 14.11. Технология MLS часто порождает петли второго уровня, в ко- которых требуется балансировка нагрузки с помощью протокола STP Совет Гибридная (на основе второго и третьего уровней) природа технологии MLS обычно требует балансировки нагрузки с помощью протокола STP. Основа сети Проектирование основы многоуровневой сети является одной из областей, в кото- которых тщательный и творческий подход к планированию может сыграть важнейшую роль. В отличие от блоков распределения, для многоуровневой основы не существует жесткого дизайна. В данном разделе приводится ряд факторов, которые необходимо принимать во внимание при проектировании. Одной из основных тем для рассмотрения процесса проектирования базовой тер- территориальной магистрали следует считать быстрое восстановление после сбоев и по- поведение при конвергенции (convergence) алгоритмов и протоколов. Поскольку MLS- проектирование полагается на обработку третьего уровня, вместо замедленного про- протокола распределенного связующего дерева можно использовать протоколы маршру- маршрутизации, обладающие более быстрой сходимостью (fast-converging). Однако, чтобы из- избежать неожиданного замедления работы распределенного связующего дерева внутри самой основы сети, необходимо соблюдать осторожность. Другой темой для рассмотрения являются сети VLAN. В некоторых случаях в базо- базовой сети может использоваться единственная плоская сеть VLAN, охватывающая один или несколько коммутаторов второго уровня. В других случаях по многим причинам трафик может быть выделен в отдельную сеть VLAN. Например, множественные сети VLAN могут применяться по соображениям безопасности или для отделения различ- различных протоколов третьего уровня. Наличие отдельной виртуальной локальной сети управления также является желательным при использовании коммутаторов, ориенти- ориентированных на второй уровень. 678 Часть V. Современное проектирование и реализация...
Широковещательный и многоадресатный трафик также необходимо учитывать. По возможности, необходимо не допускать широковещательные рассылки в магистраль сети. Поскольку при многоуровневой модели в MDF-устройствах используется ком- коммутация третьего уровня, широковещание обычно не является проблемой. Аналогич- Аналогично, многоадресатным трафиком также гораздо проще управлять при использовании маршрутизаторов в многоуровневой модели. Если структура основы сети, или базовая сеть, вынуждает применять маршрутизацию, то с целью динамического построения оптимизированных многоадресатных деревьев распределения (distribution trees) можно использовать многоадресатную рассылку, не зависящую от протокола (Protocol Inde- Independent Multicast — PIM). Если используется PIM-рассылка разреженного режима (sparse-mode PIM), на коммутаторе третьего уровня в магистрали сети можно распо- расположить точку встречи (rendezvous point — RP). Если основа охватывает только комму- коммутаторы второго уровня, для того, чтобы уменьшить многоадресатную лавину внутри опорной сети, можно внедрить протокол CGMP или технологию ЮМР-прослу- шивания. Одним из важнейших решений каждого проектировщика территориальной сети является выбор среды передачи и технологии коммутации. В основе большинства со- современных территориальных сетей используются стандарты Fast и Gigabit Ethernet, однако во многих случаях технология ATM также может быть жизнеспособным выбо- выбором. Технология ATM предоставляет множество интересных аспектов, таких, как под- поддержка широкого диапазона служб, хорошая интеграция с распределенными сетями и обеспечение коммутации с чрезвычайно низким уровнем запаздывания. Технология многопротокольной коммутации маркеров (Multiprotocol Label Switching — MPLS), также известная как коммутация на основе меток (Tag Switching), традиционно рас- рассматривается в качестве исключительно технологии распределенных сетей. Вероятно, технология MPLS станет чаще встречаться в очень крупных территориальных магист- магистралях. Благодаря тому, что она предоставляет хорошие средства ограничения трафика и очень тесную интеграцию второго и третьего уровней, данная технология может быть чрезвычайно эффективной во всех типах сетевых проектов. Однако, важнейшее решение касается коммутационных характеристик основы се- сети. В некоторых случаях магистраль второго уровня является оптимальной; в других сетях преимущества достигаются за счет использования магистрали третьего уровня. В последующих разделах обсуждаются проблемы, характерные для каждой из них. Магистраль второго уровня На рис. 14.12 представлена типичная магистраль второго уровня в многоуровневой сети. В сети создается профиль L2/L3/L2 (т.е. второй/третий/второй уровень). Интел- Интеллектуальный механизм сети содержится в MDF-коммутаторах уровня распределения. Коммутатор доступа (IDF-коммутатор) и коммутатор базового уровня используют коммутацию второго уровня для обеспечения высокого соотношения цена/произво- цена/производительность. С целью обеспечения избыточности пара коммутаторов формирует осно- основу сети. Поскольку в основе сети используется обработка второго уровня, данный подход является наиболее подходящим для территориальных магистралей от малого до среднего размера. При построении магистрали второго уровня необходимо внимательно проанализи- проанализировать производительность механизма распределенного связующего дерева в ситуаци- ситуациях восстановления после сбоев. В противном случае, сеть в целом может пострадать Глава 14. Модели территориальных сетей 679
от чрезмерно медленной повторной конвергенции алгоритма (reconvergence). По- Поскольку оборудование, составляющее территориальную магистраль, должно распола- располагаться в административно контролируемом помещении, часто желательно отключать распределенное связующее дерево внутри магистрали сети в целом. Уровень 2 Уровень 3 Уровень 2 Уровень доступа Уровень распределения Базовый уровень Рис. 14.12. Магистраль второго уровня Совет При использовании коммутирующих маршрутизаторов на уровне распределения автор рекомендует отключать механизм распределенного связующего дерева только в маги- магистрали. Если используется технология MLS, ее ориентация на второй уровень доста- достаточно просто может вызвать ошибку конфигурации коммутатора и создать мостовую петлю. Одним из способов реализации подобного подхода является применение много- многочисленных виртуальных локальных сетей. При этом такие сети VLAN должны быть тщательно назначены каналам способом, при котором внутри каждой такой сети соз- создается беспетельная топология. Альтернативный подход заключается в физическом удалении кабелей, создающих петли второго уровня. В качестве примера рассмотрим рис. 14.13. В схеме, приведенной на рис. 14.13, четыре коммутатора второго уровня, форми- формирующие основу, или базу сети, поддерживают логическую топологию без петель на втором уровне. Несмотря на то, что существует избыточный путь через каждый ком- коммутатор распределения (MDF-коммутатор), маршрутизирующее поведение данных уз- узлов предотвращает формирование петель второго уровня. Если в основе сети требуется присутствие распределенного связующего дерева, не- необходимо тщательно проанализировать заблокированные порты. Поскольку внедрение в базовую сеть балансировки нагрузки с помощью протокола STP может стать очень сложной задачей, возможно, придется идти на компромиссы. 680 Часть V. Современное проектирование и реализация...
Уровень 2 Уровень 3 Уровень 2 < Уровень 3 Уровень 2 -( Уровень доступа Уровень распределения У Базовый уровень Уровень распределения Уровень доступа Рис. 14.13. Беспетельная базовая сеть В дополнение к распределенному связующему дереву существуют несколько других проблем, касающихся магистрали второго уровня. Во-первых, для того, чтобы много- адресатная лавина не переросла в проблему, необходимо соблюдать осторожность. Как упоминалось ранее, в подобной ситуации эффективными средствами могут быть применение lGMP-прослушивания и протокола CGMP (см. главу 13). Во-вторых, в случае роста размера сети необходимо контролировать пределы равноправного ин- информационного обмена между маршрутизаторами (router peering limits). Поскольку в Глава 14. Модели территориальных сетей 681
многоуровневой модели каждый MDF-коммутатор является маршрутизатором, на втором уровне создается ситуация, когда вокруг единственной подсети расположено множество маршрутизаторов. Чрезмерно возросшее количество маршрутизаторов мо- может привести к крайне беспорядочной информации, неустойчивой работе и замедлен- замедленной сходимости. В данном случае желательно разделить сеть на множество виртуаль- виртуальных локальных сетей, которые уменьшают информационный обмен между маршрути- маршрутизаторами. Совет При использовании устройств серии Catalyst 8500 необходимо соблюдать осторож- осторожность, чтобы избежать чрезмерного информационного обмена между маршрутизато- маршрутизаторами. Одним из простейших способов достижения необходимого поведения является применение магистрали третьего уровня (см. раздел "Магистраль третьего уровня" на- настоящей главы). Магистраль второго уровня способна предоставить очень эффективную базовую территориальную сеть. Однако, ввиду потенциально возможных проблем и ограниче- ограничений масштабируемости, она более соответствует малым и средним территориальным сетям. Совет Магистраль второго уровня может быть эффективным в ценовом отношении решени- решением для небольших территориальных сетей. Магистраль третьего уровня На рис. 14.14 представлена та же сеть, что и на рис. 14.12, но на основе магистра- магистрали третьего уровня. Уровень 2 Уровень 3 Уровень доступа Уровень распределения Базовый уровень Базовый уровень Базовый уровень Рис. 14.14. Магистраль третьего уровня 682 Часть V. Современное проектирование и реализация...
Несмотря на то, что обе схемы (см. рис. 14.12 и рис. 14.14) очень похожи, исполь- использование коммутации третьего уровня в магистрали вносит в сеть несколько важных изменений. Во-первых, механизм определения маршрута более не содержится только в комму- коммутаторах уровня распределения. При использовании магистрали третьего уровня функ- функции определения маршрута распространяются на коммутаторы уровня распределения и базового уровня. Этот более децентрализованный подход предоставляет целый ряд преимуществ: • более высокая производительность обработки передаваемых данных; • высококачествен нос управление многоадресатными рассылками; • гибкость и простота конфигурирования средств балансировки нагрузки; • масштабируемость; • уменьшение величины информационного обмена между маршрутизаторами; • возможность использования функций операционной системы IOS в большей части сети. Вкратце: производительность и гибкость механизмов обработки третьего уровня уст- устраняет множество проблем, обсуждаемых в контексте магистралей второго уровня. На- Например, коммутаторы можно подключать к широкому диапазо!гу петлевых конфигура- конфигураций, не взирая на мостовые петли или проблемы, связанные с производительностью распределенного связуюшего дерева. С помощью перекрестных соединений (cross- linking) коммутаторов магистрали можно предельно увеличить избыточность связей и производительность структуры. Кроме того, размещение узлов маршрутизации внутри территориальной магистрали может радикально снизить полносвязность соединений (mesh) и поток информационного обмена (peering) маршрутной информацией между коммутаторами уровня распределения (однако, как и раньше, рекомендуется принимать во внимание области чрезмерного информационного обмена маршрутизаторов). Необходимо отметить, что магистраль третьего уровня действительно добавляет до- дополнительные транзитные переходы к маршрутам большей части трафика. В случае ис- использования магистрали второго уровня большая часть трафика требует наличия двух переходов: один — через MDF-коммутатор конечных пользователей, и другой — через MDF-коммутатор серверной группы. В случае магистрали третьего уровня добавляется дополнительный переход (или два перехода). Однако, существуют несколько факторов, позволяющие свести к минимуму потребности, которые перечислены ниже. • Последовательное и модульное проектирование многоуровневой модели гаран- гарантирует небольшое согласованное число транзитных маршрутизаторов. Как пра- правило, внутри территориальной магистрали может потребоваться не более четы- четырех транзитных маршрутизаторов. • Многие коммутаторы третьего уровня имеют значения запаздывания сигнала, сравнимые с аналогичными параметрами коммутаторов второго уровня. • Оконные протоколы (windowing protocol), такие, как TCP или IPX, в режиме всплесков количества данных (IPX Burst Mode) уменьшают влияние запаздыва- запаздывания на большинство приложений. • Запаздывание при коммутации часто представляет собой очень малую часть общей задержки. Иными словами, запаздывание является не настолько боль- большой проблемой, насколько она представляется многим специалистам. Глава 14. Модели территориальных сетей 683
• Преимущества масштабируемости, которые предоставляет третий уровень, яв- являются гораздо более важными, чем любые проблемы, связанные с запаздыва- запаздыванием передачи данных. Совет В результате внедрения магистрали третьего уровня выигрыш ощущается в крупных территориальных сетях. Проектирование серверной группы Уровень 2 Уровень 3 Уровень 2 Уровень 3 Уровень 2 Сервер MDF \ рабочей группы Уровень доступа Уровень распределения Базовый уровень Уровень распределения Уровень доступа распределения \ серверной группы Рис. 14.15. С помощью серверной группы можно сформировать другой распределительный блок 684 Часть V. Современное проектирование и реализация...
Конструкция серверной группы (server farm) является важной частью практически всех современных сетей. Данное требование достаточно просто приспосабливается к многоуровневой модели. Во-первых, серверная группа может трактоваться просто как собственный распределительный блок серверов. Пара избыточных коммутаторов третьего уровня способна обеспечить физическую избыточность, а также избыточ- избыточность сетевого уровня с помощью таких протоколов, как HSRP. Кроме того, с помо- помощью коммутаторов третьего уровня создается идеальная площадка для внедрения сер- серверных политик (server-related policy) и списков доступа. На рис. 14.15 представлена схема распределительного блока серверной группы. Несмотря на то, что серверы масштаба предприятия (enterprise-wide servers) следует располагать в центральной зоне сети, серверы рабочих групп могут быть подключены непосредственно к коммутаторам уровня доступа или уровня распределения. Два примера подобного подхода приведены на рис. 14.15. Совет Серверная группа предприятия обычно наилучшим образом может быть организована в виде отдельного распределительного блока, подключенного к магистрали. Специфические рекомендации, касающиеся проектирования серверных групп, значительно подробнее рассматриваются в разделе "Серверные группы" главы 15. Использование уникального VTP-домена для каждого распределительного блока При использовании MLS-подхода к коммутации третьего уровня в кабельных узлах MDF можно достичь значительных преимуществ, назначая каждому распределитель- распределительному блоку отдельный VTP-домен. Поскольку второй уровень ориентирован на ис- использование технологии MLS, VLAN-информация стандартно распространяется по всей сети (более подробно протокол VTP описан в главе 12 "Протокол магистральных каналов виртуальных локальных сетей"). Однако, многоуровневая модель разработана с целью удержания сетей VLAN в пределах индивидуального распределительного бло- блока. Безобидное на первый взгляд использование стандартного поведения способно привести к излишней нагрузке в сети со стороны внешних сетей VLAN и дополни- дополнительной STP-обработки связей. Назначение уникального имени VTP-домена каждому распределительному блоку является простым, но эффективным способом отображения определенного дизайна на распространение сети VLAN. Когда новая сеть VLAN добавляется в распределитель- распределительный блок, она автоматически добавляется и к каждому коммутатору в данном блоке. Однако, поскольку другие распределительные блоки используют другие доменные имена, они не имеют информации о появлении новой сети. Совет MLS-подход к коммутации третьего уровня может привести к чрезмерному распро- распространению сетей VLAN. Чтобы избежать подобного стандартного поведения, следует использовать различные имена VTP-доменов. Когда используются VTP-домены, обычно наилучшим решением считается назна- назначение имен, наглядно представляющих распределительные блоки (например, здание 1 и здание 2). Глава 14. Модели территориальных сетей 685
Совет Как указывалось в главе 8 "Технологии и приложения магистральных совдинений", при использовании магистральных каналов между различными VTP-доменами магист- магистральный канал необходимо жестко установить в состояние on. Состояния auto и de- desirable приведут к нерабочему состоянию соединений среди различных доменных имен (иными словами, протоколы DISL и DTP проверяют имена VTP-доменов на сов- совпадение). 1Р-адресация В очень крупных территориальных сетях наилучшим подходом обычно является битовый (bitwise) способ назначения смежных блоков адресного пространства каждо- каждому распределительному блоку. Такой подход позволяет маршрутизаторам в каждом распределительном блоке агрегировать все подсети внутри данного блока в единое уведомление, которое отправляется в основную магистраль. Например, единое уве- уведомление 10.1.16.0/20 (/20 представляет собой стенографический способ представле- представления маски подсети 255.255.240.0) может агрегировать целый диапазон, состоящий из 16 подсетей от 10.1.16.0/24 до 10.1.31.0/24 (/24 является эквивалентом маски подсети 255.255.255.0). Данный подход проиллюстрирован на рис. 14.16. ХХХХ хххх хххх Агрегированный адрес 0000 1010 0000 Агрегированные адреса 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 1010 1010 1010 1010 1010 1010 1010 1010 1010 1010 1010 1010 1010 1010 1010 1010 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 хххх 0001 0001 0001 0001 0001 0001 0001 0001 0001 0001 0001 0001 0001 0001 0001 0001 0001 хххх" 0001 0001 0001 0001 0001 0001 0001 0001 0001 0001 0001 0001 0001 0001 0001 0001 0001 xxxY и 0000 1 0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111 хххх хххх /20 Маска подсети 0000 0000 .*-- /24 Маска подсети 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 10.1.16.0/20 10.1.16.0/24 10.1.17.0/24 10.1.18.0/24 10.1.19.0/24 10.1.20.0/24 10.1.21.0/24 10.1.22.0/24 10.1.23.0/24 10.1.24.0/24 10.1.25.0/24 10.1.26.0/24 10.1.27.0/24 10.1.28.0/24 10.1.29.0/24 10.1.30.0/24 10.1.31.0/24 Данные 16 записей могут быть агрегированы — в единую запись/20, приведенную выше ^ Первые 20 битов всех адресов совпадают Рис. 14.16. Использование агрегированных IP-адресов Как показано на рис. 14.16, маски подсетей (или префиксы сети— network prefixes) /20 и /24 отличаются четырьмя битами (иными словами, /20 на четыре бита "короче", чем /24). Существуют только четыре бита, которые отличают 16 адресов подсети /24. Иначе говоря, поскольку первые 20 битов всех 16 адресов подсети /24 совпадают, для их агрегирования может быть использован единый адрес /20. 686 Часть V. Современное проектирование и реализация...
В реальном распределительном блоке 16 индивидуальных подсетей с префиксом /24 могут быть назначены 16 различным сетям VLAN конечных пользователей. Одна- Однако, за пределами распределительного блока протокол бесклассовой IP-маршрутизации (classless IP routing protocol) может распространить единственный маршрут /20 сети 10.1.16.0/20. Совет В очень крупных территориальных сетях необходимо стараться планировать даль- дальнейший рост и агрегирование адресов путем предварительного распределения смеж- смежных битовых блоков адресного пространства. Расширение полосы пропускания канала Необходимо отметить, что модульная природа многоуровневой модели позволяет достаточно просто расширять отдельные каналы до большей полосы пропускания. Такая структура не только в целом согласовывает различные типы передающей среды, но и упрощает внедрение дополнительных каналов и использование каналов Fast или Gigabit EtherChannel. Переход к новым технологиям в сети Наконец, модульность многоуровневой модели способна значительно упростить миграцию к новому типу сети. Как правило, вся старая сеть для остальной, новой части сети может представляться в качестве единого распределительного блока. В ка- качестве примера можно представить, что распределительный блок серверной группы на рис. 14.15 является старой сетью. Хотя старая сеть обычно не обладает всеми пре- преимуществами многоуровневой модели, она обеспечивает избыточное и маршрутизи- маршрутизируемое соединение между двумя сетями. После завершения процесса миграции ста- старую сеть можно отключить. Упражнения В данный раздел включены различные вопросы, лабораторные работы и упражне- упражнения по теме настоящей главы. Ответив па вопросы и выполнив все упражнения, чита- читатель сможет оценить степень владения изложенным материалом. Кроме того, приве- приведенные вопросы помогут подготовиться к письменным и лабораторным экзаменам на получение статуса сертифицированного эксперта по объединенным сетям Cisco (CCIE). Ответы на вопросы приведены в приложении А, "Ответы на контрольные во- вопросы". Контрольные вопросы 1. Назовите несколько уникальных требований к IDF-коммутатору. 2. Назовите несколько уникальных требований к MDF-коммутатору. 3. Опишите терминологию, касающуюся уровней доступа, распределения и базо- базового уровня. Глава 14. Модели территориальных сетей 687
4. Почему маршрутизация является важной частью любого крупного проекта сети? 5. Какие сети, построенные на основе модели маршрутизатора и концентратора, работают наилучшим образом? 6. Назовите преимущества модели виртуальных локальных сетей масштаба терри- территориальной сети. 7. Назовите недостатки модели виртуальных локальных сетей масштаба территори- территориальной сети. 8. Опишите концепцию распределительного блока. 9. Почему наличие модульности в сети является важным фактором? 10. Назовите проблемы, которые возникают при использовании магистрали второго уровня, в сравнении с магистралью третьего уровня. П. Каким образом следует внедрять серверную группу в многоуровневой модели? Лабораторная работа по проектированию сети Необходимо спроектировать две территориальные сети, соответствующие опреде- определенным требованиям. В первом проекте должна быть задействована модель виртуаль- виртуальных локальных сетей масштаба территориальной сети с использованием коммутаторов Catalyst 5509. Во втором проекте следует внедрить многоуровневую модель с исполь- использованием устройств Catalyst 8540 в качестве MDF-коммутаторов и устройств Catalyst 5509 в качестве IDF-коммутаторов. Ниже приведены требования технического задания проекта. • Территория предприятия состоит из трех зданий. • В каждом здании имеются четыре этажа. • На каждом этаже имеется один IDF-коммутатор (в реальности их было бы больше, однако для простоты из данного упражнения их можно упразднить.) • В подвале каждого здания имеются два MDF-коммутатора. • Каждый узел IDF имеет избыточные каналы (по одному к каждому MDF- коммутатору). • MDF-коммутаторы полностью или частично замкнуты каналами Giga- Gigabit Ethernet (выберите наиболее подходящий способ по своему усмотрению). Иными словами, в магистрали не используется третий уровень коммутаторов. • Каждый IDF-коммутатор должен обладать уникальной виртуальной локальной сетью управления, которой можно назначить интерфейс SCO. • Для проекта сетей VLAN масштаба территориальной сети предположим, что существуют 12 сетей VLAN, и что все IDF-коммутаторы принимают участие в каждой из них. • Для многоуровневого проекта предположим, что каждый IDF-коммутатор при- принимает участие только в одной сети VLAN конечных пользователей (в целях простоты администрирования). • Сколько сетей VLAN потребуется в каждом проекте? 688 Часть V. Современное проектирование и реализация...
В этой главе... >.,-<~.■'>' " , Л- • Виртуальные локальные сети. В начале главы рассматривается целый ряд тем, касающихся виртуальных локальных сетей (VLAN), начиная с их использова- использования для создания расширяемой структуры и заканчивая отсеканием сетей VLAN от магистральных каналов. jk • Распределенное связующее дерево. В данном разделе даны исчерпывающие све- сведения по важнейшим проблемам распределенного связующего дерева (Spanning Tree), которые являются существенными для конструирования стабильной сети. • Балансирование нагрузки (load balancing). В разделе обсуждаются пять методик, используемых для расширения полосы пропускания территориальной сети. • Маршрутизация, или коммутация третьего уровня. В данном разделе рассматри- рассматриваются такие вопросы, как использование технологии MLS (маршрути- (маршрутизирующих коммутаторов) и коммутирующих маршрутизаторов. $•' Технология ATM. В настоящем разделе изучаются веские причины применения |* ^технологии ATM в территориальной сети, а также ее внедрение в расширяемой : ./форме. \ ; /■■■■. •; Изменение структуры территориальных сетей. В данном разделе предоставляются рекомендации по модернизации территориальных сетей. . • Серверные группы. В разделе раскрываются несколько основополагающих прин- циров проектирования серверных групп (server farm). • Дополнительные рекомендации по проектированию территориальных сетей. В дан- данном разделе рассматривается ряд дополнительных аспектов проектирования, таких, как использование протокола VTP, конфигурация портов (port configura- configurations), а также установка паролей.
Глава 15 Реализация конструкции территориальной сети Данная глава построена в виде краткого руководства по наилучшим примерам практического проектирования территориальных сетей. Сведения, приведенные ниже, основаны на коллективном опыте многих разработчиков и множестве попыток дос- достижения такой иллюзорной цели, как создание идеального проекта территориальной сети. Глава задумывалась как попытка предоставить концентрированную информацию f 6 технологиях, которые доказали свою хорошую работоспособность, а также о тех, ко- Уторые не оправдали ожиданий. Авторы выражают надежду на то, что настоящая глава послужит не только в качестве ознакомительного пособия, но и источника, к которо- которому специалисты будут возвращаться каждый раз, когда перед ними встанет вопрос о проектировании территориальной сети. ■■Материалы предыдущих глав в некоторой степени отражали многие моменты, , описываемые в настоящей главе. Таким образом, данная глава не является попыткой полностью объяснить основы каждой из технологий (в этом и состояла задача преды- предыдущих четырнадцати глав!). Напротив, каждый пункт настоящей главы довольно кра- краток и содержит ссылки и указатели на другие главы для получения более подробных сведений. Виртуальные локальные сети Понятие коммутация для большинства сетевых инженеров ассоциируется с тема- тематикой виртуальных локальных сетей (сетей VLAN). Применяя сети VLAN, можно оживить или полностью разрушить проект территориальной сети. В настоящем разде- разделе обсуждаются несколько наиболее важных проблем, которые необходимо принимать во внимание при проектировании и внедрении виртуальных локальных сетей. Правильное применение сетей VLAN Поскольку понятие виртуальных локальных сетей тесно связано с технологией коммутации, специалисты наиболее часто размышляют над решением, которое в гла- главе 14, "Модели территориальных сетей", определено как виртуальные локальные сети территориального масштаба (campus-wide VLAN). Учитывая популярность сетей VLAN-масштаба территориальной сети, как в концептуальном смысле, так и с точки зрения проектирования, в данном разделе обсуждаются все "за" и "против" данной
технологии, а также рассматриваются альтернативные подходы к проектированию инфраструктуры. В основном, своей популярностью сети VLAN территориального масштаба обяза- обязаны множеству широко известных преимуществ данного подхода. Во-первых, такое проектирование допускает существование прямых маршрутов второго уровня между всеми устройствами, сгруппированными в сообщества по интересам, что в свою оче- очередь позволяет удалить маршрутизаторы из маршрутов перемещения трафика боль- большого объема. В качестве примера такого трафика можно привести поток данных, сле- следующий к файловому серверу отдела. Если предположить, что применяются про- программные маршрутизаторы, то становится очевидной потенциальная возможность огромного расширения доступной полосы пропускания. Во-вторых, сети VLAN территориального масштаба делают возможным исполь- использование таких технологических решений корпорации Cisco, как служба регистрации пользователей (User Registration Tool — URT). Данная служба функционирует в ка- качестве усовершенствованного расширения для сервера политик сетей VLAN (VLAN membership policy server — VMPS), технологии, которая обсуждается в главе 5, "Виртуальные локальные сети". Служба URT позволяет прозрачно определять раз- размещение сетей VLAN с помощью серверов авторизации (authentication servers), та- таких, как контроллеры доменов Windows NT (Windows NT Domain Controller) и службы каталогов NetWare (NetWare Directory Services — NDS). Данная функция является очень привлекательной для таких организаций, как университеты, по- поскольку она способствует созданию одной или нескольких виртуальных локальных сетей для профессорского состава и администрации, а также отдельных сетей VLAN для учащихся. Следовательно, одна и та же физическая инфраструктура территори- территориальной сети (campus network) может использоваться для логического разделения студенческого трафика, одновременно допуская существование пользователей мо- мобильных компьютеров. Третье преимущество сетей VLAN территориального масштаба непосредственно следует из второго. Данный вид виртуальных локальных сетей позволяет осуществить контроль за действиями блуждающих пользователей (roving users) посредством цен- централизованного набора списков доступа (access lists). Например, в университете ис- используется сеть VLAN территориального масштаба. Для межсетевой маршрутизации всех сетей VLAN (inter-VLAN routing) можно применить пару маршрутизаторов серии 7500, расположенных в центре обработки данных (data center). В результате списки доступа между сетями VLAN необходимо конфигурировать только в двух точках. Для сравнения представим систему, в которой маршрутизаторы (или коммутаторы третьего уровня) могут быть установлены в каждом здании университетского городка. Для обеспечения соответствующего обслуживания мобильных пользователей все маршру- маршрутизаторы необходимо настроить на каждую сеть VLAN и списки доступа, которые ис- используются по всей территориальной сети. Очевидно, что в таком случае придется об- обслуживать сотни списков доступа. Совет Несмотря на то, что сети VLAN территориального масштаба обладают множеством широко известных преимуществ и являются очень популярными, они создают множе- множество проблем при проектировании и техническом обслуживании. Поэтому следует из- избегать использования виртуальных локальных сетей территориального масштаба. 692 Часть V. Современное проектирование и реализация...
Описанные выше преимущества рассматриваемой технологии являются чрезвы- чрезвычайно привлекательными, но для многих организаций вскоре после внедрения дан- данного подхода открылось множество его недостатков. Большинство из них является следствием одной из характеристик виртуальной локальной сети территориального масштаба, а именно — недостаточной иерархичности такой сети. В частности, не- недостаток иерархичности создает значительные проблемы с расширяемостью струк- структуры, которые могут повлиять на стабильность сети и ее надежность в эксплуата- эксплуатации. Более того, подобные проблемы часто трудно устранить вследствие динамиче- динамической и непредсказуемой природы сети VLAN территориального масштаба (даже если не упоминать о том, что в плоской сети бывает очень трудно определить точ- точку, с которой следует начитать поиск неполадок). Более подробная информация по таким проблемам приведена в главах 14, "Модели территориальных сетей", и 11, "Коммутация третьего уровня", а также в главе 17, "Учебные примеры: внедрение коммутаторов в сети". Хотя во многих книгах и многими производителями оборудования территориаль- территориальные сети VLAN характеризуются просто как способ использования коммутации, ком- коммутация третьего уровня предоставляет совершенно иной подход, который определен- определенно заслуживает большего внимания. В главе 14, "Модели территориальных сетей", подход третьего уровня освещается в разделе многоуровневой модели структуры тер- территориальных сетей. Данный подход несопоставим с поддержкой централизованных списков доступа, возможных при использовании модели сетей VLAN территориаль- территориального масштаба. Тем не менее, он может способствовать облегчению процесса созда- создания и технического обслуживания более крупных структур, чем сети, обычно реали- реализуемые с применением модели территориальных сетей VLAN. Технология коммутации третьего уровня может также применяться вместе с протоколом динамической кон- конфигурации узла (Dynamic Host Control Protocol — DHCP), который является прове- проверенной масштабируемой технологией для поддержки мобильности пользователей (см. раздел ниже). Следовательно, в качестве основного правила можно применять сле- следующую рекомендацию: использовать многоуровневую модель как стандартный под- подход и применять модель с плоской землей (flat earth) только в том случае, если при- причины, вынуждающие сделать это, сравнимы с возможным риском. Более подробная информация, касающаяся преимуществ и подробностей реализации многоуровневой модели, приведена в главах 11, 14 и 17. Необходимо отметить, что в данном случае подразумеваются коренные отличия между двумя моделями проектирования в том, каким образом используются сети VLAN. В случае применения сетей VLAN территориального масштаба они использу- используются для создания логических разделов, уникальных для всей территориальной сети. В случае многоуровневой модели сети VLAN применяются для создания логических разделов, которые могут быть уникальны в пределах единственного кабельного узла IDF (уровня доступа). Совет Способы применения сетей VLAN для многоуровневой модели проектирования и для модели сетей VLAN территориального масштаба полностью отличаются друг от друга. В многоуровневой модели сети VLAN очень часто являются уникальными только для единственного IDF-устройства, тогда как сети VLAN территориального масштаба уни- уникальны для территориальной сети в целом. Глава 15. Реализация конструкции территориальной сети 693
Использование протокола DHCP для разрешения проблем мобильности пользователей Многие сетевые инженеры рассматривают сети VLAN территориального масштаба как единственный способ обслуживания мобильных пользователей, и невольно обре- обрекают себя на использование плоской структуры сети, которая требует высокой степе- степени технического обслуживания. Как подчеркивалось в предыдущем разделе, многие проблемы мобильности пользователей могут быть разрешены с помощью протокола DHCP. Поскольку протокол DHCP хорошо приспособлен для иерархического проек- проектирования, при котором с целью достижения масштабируемости используется обра- обработка третьего уровня, он может стать более надежным способом, чем применение се- сетей VLAN территориального масштаба. Как описывается в главах 11, "Коммутация третьего уровня", и 17, "Учебные примеры: внедрение коммутаторов в сети", для при- применения протокола DHCP просто требуется указать один или несколько вспомога- вспомогательных IP-адресов (ip helper-address) на каждом интерфейсе маршрутизатора (или коммутатора третьего уровня). При использовании вспомогательных адресов для про- протокола DHCP необходимо рассмотреть необходимость применения команды no ip forward-protocol для отключения перенаправления нежелательных типов трафика, которое включено по умолчанию. Команда ip helper-address автоматически включа- включает перенаправление трафика следующих UDP-портов: 37, 49, 53, 67, 68, 69, 137 и 138. Наиболее часто UDP-порты 137 и 138 удаляются, для того чтобы предотвратить чрез- чрезмерную передачу трафика, связанного с регистрацией NetBIOS-имен. 'Совет Необходимо соблюдать осторожность при использовании команды no ip forward- protocol upd, т.к. в версиях операционной системы IOS, предшествующих 12.0, дан- данная команда отключала все стандартные UDP-порты, включая порты 67 и 68, которые используются протоколом DHCP. Несмотря на то, что команда no ip forward- protocol upd в ранних выпусках операционной системы IOS версии 12.0 не отключает протокол DHCP, вводить данную команду необходимо с большой осторожностью. Примеры использования команд ip forward-protocol и ip helper-address приведе- приведены в главе 17, "Учебные примеры: внедрение коммутаторов в сети". Нумерация сетей VLAN Невзирая на то, что нумерация сетей VLAN (VLAN numbering) является очень простой задачей, наличие тщательно разработанного плана может помочь сделать сеть более простой для понимания и управления в дальнейшем. При осуществлении дан- данной операции широко используются два принципа: • используются общие уникальные VLAN-номера (globally-unique VLAN numbers); • используются VLAN-номера, основанные на шаблонах (pattern-based VLAN numbers). При использовании номеров первого типа каждая сеть VLAN обладает уникальным цифровым идентификатором. Например, рассмотрим сеть, схема которой приведена на рис. 15.1. В данном случае для сетей VLAN в здании 1 применяются номера 10-13, для сетей здания 2 — номера 20-23 и для сетей здания 3 используются номера 30-33. 694 Часть V. Современное проектирование и реализация...
Здание 1 Административная сеть VLAN: 12 Пользователь: 13 Здание 2 Административная ceTbVLAN: 10 Пользователь-. 11 ^Административная сеть VLAN. 20 Пользователь. 21 Административная сеть VLAN: 22 Пользователь: 23 Пользователь 31 Административная j сеть VLAN- 30 Здание 3 Пользователь: 33 Административная сеть VLAN: 32 Рис. 15.1. Сети VLAN с общими уникальными номерами Совет При использовании общей глобальной нумерации сетей VLAN необходимо стремиться к созданию простой для запоминания схемы, такой, как приведенная на рис. 15.1 (в здании 1 используются номера 1Х, в здании 2 — номера 2Х и т.д.). Глава 15. Реализация конструкции территориальной сети 695
В случае применения VLAN-номеров, основанных на шаблонах, для одних и тех же целей в каждом здании используется один и тот же номер сети. Например, на рис. 15.2 проиллюстрирована VLAN-сеть управления (management VLAN), которой всегда присваивается номер 1. Первой VLAN-сети конечных пользователей присваи- присваивается номер 2, второй — 3 и так далее. Здание 1 Здание 2 Административная сеть VLAN: 1 Пользователь:2 Административная сеть VLAN: 1 Пользователь:2 /Административная \ сеть VLAN:1 Пользователь:2 Административная сеть VLAN: 1 Пользователь: 2 Пользователь: 2 Административная сетьVLAN:1 Пользователь:2 Административная сеть VLAN 1 Рис. 15.2. Сети VLAN с номерами, основанными на шаблонах 696 Часть V. Современное проектирование и реализация.
Выбор конкретного подхода к нумерации сетей определяется, прежде всего, типом используемой модели проектирования. Применение модели сетей VLAN территори- территориального масштаба, в сущности, вынуждает к использованию общей уникальной нуме- нумерации. Несмотря на то, что существуют особые случаи и "хитрости", при которых приведенное выше утверждение не соответствует истине, игнорирование уникальных сетей VLAN в плоской системе может привести к наложению сетей (cross-mapped) VLAN и возникновению и распространению проблем связности структуры. Совет В сетях VLAN территориального масштаба следует применять общую уникальную ну- нумерацию. Если используется многоуровневая модель, приемлемыми могут быть обе схемы нумерации. Поскольку сети VLAN ограничиваются коммутаторами уровня распреде- распределения (MDF-коммутаторами), основное техническое требование о необходимости совпадения имен сетей VLAN теряет свою актуальность. Особенно это характерно для случаев с использованием платформ на базе коммутирующих маршрутизаторов, таких, как устройство Catalyst 8500. Действительно, даже если номера сетей VLAN совпада- совпадают, то вследствие использования коммутации третьего уровня (или маршрутизации) данные сети необходимо и далее обслуживать как полностью обособленные широко- широковещательные домены. Если необходимо обеспечить уверенность, что управляющей се- сетью всегда является сеть VLAN 1, наиболее соответствующим подходом, возможно, будет применение нумерации, основанной на шаблонах. С другой стороны, во многих организациях предпочтительным считается использование уникальных номеров для каждой сети VLAN, как и применение уникальных IP-подсетей. При таком подходе номера сетей VLAN часто связываются с номерами подсетей, например, сеть VLAN 25 может соответствовать подсети 10.1.25.0/24. В других случаях наилучшим образом работает слияние двух схем нумерации, когда организации обычно принима- принимают единственный номер для административных сетей VLAN, но используют уникаль- уникальные номера для сетей VLAN конечных пользователей. Совет Для многоуровневой модели возможно применение обеих схем нумерации сетей VLAN: как общей уникальной, так и основанной на шаблонах. Использование выразительных имен для сетей VLAN Несмотря на то, что, согласно здравому смыслу, ясное именование сетей VLAN служит в качестве дополнительной формы документирования, сети часто строятся с использованием непрактичных VLAN-имен. Как указывалось в главе 5, "Виртуальные локальные сети", если имя сети VLAN не указано администратором, коммутатор Catalyst назначает чрезвычайно оригинальные имена, такие, как VLAN0002 для сети VLAN 2 и VLAN0003 для сети VLAN 3. В других случаях в организациях действитель- действительно назначаются имена сетей VLAN как параметры команды set vlan. Однако, имена при этом используются загадочные или неудобные при эксплуатации. Глава 15. Реализация конструкции территориальной сети 697
Значительно лучшим выбором обычно является создание имен сетей VLAN, кото- которые отражают фактическое назначение широковещательных доменов. При использо- использовании сетей VLAN территориального масштаба и общей уникальной нумерации дан- данная рекомендация является особенно верной. Динамическая и неиерархическая при- природа таких сетей ставит под вопрос возможность устранения неисправностей без затрат времени на определение сети VLAN, являющейся источником проблем. При- Применение ясно определенных, описательных имен для сетей VLAN может уменьшить время простоя сети. Кроме того, такие имена позволяют избежать путаницы, которая может привести администратора к ошибочному конфигурированию устройства и, сле- следовательно, к возникновению простоя сети. Совет Описательные имена сетей VLAN особенно важны при использовании сетей VLAN территориального масштаба. Несмотря на то, что имена сетей VLAN менее важны, чем применение многоуров- многоуровневой модели, имена должны, по крайней мере, дифференцировать трафик админист- административной сети и трафик конечных пользователей. Желательно включать в имя сети название отдела или кабельного узла IDF (уровня доступа), в котором используется данная сеть VLAN. Кроме того, в некоторых организациях также принято включать во VLAN-имя номер IP-подсети. Изолированные административные сети VLAN Впервые столкнувшись с сетями VLAN, многие сетевые администраторы находят их запутанными и, следовательно, принимают решение об использовании такой поли- политики размещения сетей, при которой на каждом коммутаторе размещается только од- одна виртуальная локальная сеть. И хотя данный подход обладает определенной просто- простотой, в дальнейшем он может серьезно дестабилизировать сеть. Вкратце, возникает не- необходимость постоянного использования, по крайней мере, двух сетей VLAN на каждом коммутаторе второго уровня Catalyst. Как минимум, одна сеть VLAN понадо- понадобится для передачи административного трафика (management traffic) и отдельная сеть VLAN — для транспортировки пользовательских данных (end-user traffic). Совет Необходимо убедиться, что каждый коммутатор второго уровня принимает участие как минимум в двух сетях VLAN: в одной, функционирующей в качестве административ- административной сети VLAN, и в одной или нескольких сетях VLAN конечных пользователей. Последнее утверждение не означает, что применение более двух сетей VLAN явля- является хорошей идеей. Напротив, простота поддержки единственной пользовательской сети VLAN (или небольшого числа таких сетей) может быть большим преимуществом для технического обслуживания системы в целом. Почему в таком случае настолько важным является наличие минимум двух сетей VLAN? Чтобы разобраться в данной проблеме, необходимо вернуться к материалу главы 5, "Виртуальные локальные сети", касающемуся влияния широковещательных рассылок па конечные станции. Поскольку широковещательные рассылки не фильт- фильтруются аппаратным обеспечением сетевой платы, каждый широковещательный пакет 698 Часть V. Современное проектирование и реализация...
пропускается к третьему уровню, используя при этом прерывания центрального про- процессора. Чем больше процессорного времени тратится на обнаружение нежелательных широковещательных пакетов, тем меньше его остается для более полезных задач (как, например, для игры в Doom!). Процессор модуля Catalyst Supervisor не является исключением. Процессор вынуж- вынужден изучать каждый широковещательный пакет с тем, чтобы выяснить, является ли он ARP-запросом, направленным на IP-адрес данного устройства, или каким-либо дру- другим широковещательным пакетом, представляющим определенный интерес. Однако, слишком высокий уровень нежелательного широковещательного трафика может вы- вызвать перегрузку процессора, и последний начнет отвергать пакеты. Если будет от- отвергнут пакет игры Doom, ничего страшного не произойдет, но если отброшенными будут BPDU-пакеты протокола распределенного связующего дерева, вся сеть может быть дестабилизирована. Внимание! Обратите внимание, что данный раздел относится к устройствам Catalyst второго уровня различных серий, таких, как 2900, 4000, 5000 и 6000. Поскольку данные уст- устройства в настоящее время обладают одним IP-адресом, который назначается един- единственной сети VLAN, выбор такой сети является важным этапом в администрировании сети. С другой стороны, как правило, данный подход неприменим к маршрутизирую- маршрутизирующим (router-like) устройствам Catalyst, таким, как Catalyst 8500. Поскольку данные платформы вообще имеют один IP-адрес, назначенный каждой сети VLAN, попытки указать наилучшую сеть VLAN для определенного IP-адреса, очевидно, становятся неуместными. Более подробные сведения по устройствам Catalyst 8500 приведены в главе 11, "Коммутация третьего уровня". Действительно, проблема стабильности распределенного связующего дерева является одним из наиболее общих вопросов, возникающих в территориальных сетях, построен- построенных по типу плоской земли. События обычно развиваются примерно следующим обра- образом: сеть монотонно и хорошо работает долгое время до тех пор, пока всплеск широко- широковещательных данных в административной сети VLAN не вызывает перегрузку коммута- коммутатора, при которой устройство начинает отвергать пакеты. Поскольку некоторые из таких пакетов являются BPDU-пакетами, коммутатор запаздывает в обновлении своей ин- информации о структуре распределенного связующего дерева и непреднамеренно создает в сети петлю второго уровня. С этого момента широковещательные рассылки в сети на- направляются в полную петлю обратной связи (feedback loop), как было описано выше в главе 6, "Основы протокола распределенного связующего дерева". Если подобная петля возникает в одной или нескольких неадминистративных се- сетях VLAN, в плоской сети она может быстро заполнить всю оставшуюся полосу про- пропускания магистрального канала по всей территориальной сети. Однако, процессоры модулей Supervisor изолированы от сетевых модулей посредством интегральных мик- микросхем, осуществляющих VLAN-коммутацию, и продолжают нормально функциони- функционировать (напомним, что все операции по перенаправлению данных поддерживаются интегральными микросхемами на шасси устройства Catalyst). С другой стороны, если такая петля возникнет в административной сети VLAN (сеть VLAN, в которой определен интерфейс SCO), результаты могут быть поистине катастрофическими. Внезапно процессоры всех коммутаторов будут подавлены при- прибывающей волной широковещательного трафика, вызывающей полный обвал по спи- Глава 15. Реализация конструкции территориальной сети 699
рали всех коммутаторов, который фактически сделает невозможным восстановление сети после подобного сбоя. Если в сети применяются сети VLAN территориального масштаба, данная проблема может распространиться к каждому коммутатору в тече- течение нескольких секунд. Внимание! Напомним, что интерфейс SCO является управляющим интерфейсом (management in- interface), который применяется в коммутаторах Catalyst таких серий, как 4000, 5000 и 6000. Он представляет собой точку, в которой административный IP-адрес (manage- (management IP address) назначается блоку Catalyst Supervisor. Т.к. процессор обрабатывает все широковещательные пакеты (и некоторые многоадресатные пакеты), полученные на данном интерфейсе, очень важно не допускать перегрузки данного процессора. Каким способом можно определить, работает ли процессор адекватно имеющемуся трафику в сети? Во-первых, с целью отображения низкоуровневой статистики (low- level statistic) по данному устройству можно применить команду коммутатора Catalyst 5000 show inband. Данная команда используется для блоков Supervisor III; для блоков Supervisor I и II следует применять команду show biga (biga в данном случае означает Backplane Interface Gateway Array — массив интерфейсов шлюза объедини- объединительной платы). Необходимо обратить внимание на раздел Receive (получено фрей- фреймов) поля RsrcErrors. В нем перечисляется количество полученных фреймов, которые были отброшены процессором. Во-вторых, можно непосредственно посмотреть на- нагрузку процессора посредством недокументированной команды ps -с. В последней строке, отображаемой с помощью данной команды информации, указано время без- бездействия (idle time) системы. Для того, чтобы вычислить нагрузку, нужно данное зна- значение вычесть из 100. Необходимо отметить, что команда ps -с в более новых верси- версиях операционной системы IOS заменена командой show proc cpu. Совет Для того, чтобы определить, не перегружен ли процессор, необходимо использовать команды show inband, show biga, ps -с и show proc cpu. Если обнаружено, что возникла проблема перегрузки процессора, также можно прочесть раздел "Применение беспетельных административных сетей VLAN" настоя- настоящей главы. Методика определения номера для административной сети VLAN Как определить, какой номер следует применять для административной сети? Та- Такой вопрос достаточно часто возникает при рассмотрении проблемы нумерации сетей VLAN. Чтобы ответить на него, необходимо рассмотреть три типа трафика, проходя- проходящего через коммутаторы Catalyst: • трафик управления (control traffic); • административный трафик (management traffic); • трафик конечных пользователей (end-user traffic). 700 Часть V. Современное проектирование и реализация...
Трафик управления включает в себя пакеты протоколов, ориентированных на тех- технологию plug-and-play, таких, например, как DISL/DTP (применяемые для согласова- согласования состояния магистрального канала), а также протоколы CDP, PAgP и VTP. Всеми указанными протоколами всегда используется сеть VLAN 1. Административный трафик включает в себя пакеты сквозных (end-to-end) протоко- протоколов и различных IP-протоколов, таких, как Telnet, SNMP и VQP (используется сервером VMPS). Данные протоколы всегда используют сеть VLAN, назначенную интерфейсу SCO. Пользовательский трафик представляет собой весь остальной трафик в сети. Оче- Очевидно, данный тип трафика представляет большую часть потоков данных в большин- большинстве сетей. Основополагающий принцип в ходе рассмотрения проектирования администра- административной сети VLAN сводится к следующему правилу: никогда не следует смешивать пользовательский трафик с трафиком управления и административным трафиком. На- Нарушение данного правила ведет к возникновению различных ситуаций отказов в сети, рассмотренных в предыдущем разделе. Совет Нельзя смешивать потоки данных конечных пользователей с трафиком управления и административным трафиком. При внедрении описанного выше принципа, как правило, необходимо придержи- придерживаться одного из двух вариантов проектирования, которые приведены ниже. • Для всего трафика управления и административного трафика используется сеть VLAN 1, тогда как пользовательские потоки данных перемещаются в других виртуальных локальных сетях (сети VLAN 2 — 1000). • Для трафика управления используется сеть VLAN 1. Другая сеть, например, сеть VLAN 2 применяется для административного трафика, а остальные сети VLAN, такие, как сети VLAN 3 — 1000, применяются для транспортировки пользовательских данных. В первом варианте проектирования трафик управления и административный тра- трафик объединяются в сети VLAN 1. Преимущество данного подхода заключается в простоте управления (такая установка является стандартной, и в ней используется единственная сеть VLAN). Основной недостаток такого подхода связан со стандарт- стандартным режимом работы сети VLAN 1. В настоящее время сеть VLAN 1 невозможно уда- удалить с магистральных каналов. В связи с чем она достаточно просто может стать чрез- чрезвычайно большой. Например, использование магистральных Ethernet-каналов во всей сети наряду с MLS-коммутацией третьего уровня в кабельном узле MDF (уровня рас- распределения) приведет к тому, что в сети VLAN 1 объединятся все каналы и все ком- коммутаторы территориальной сети. Т.е. произойдет именно то, чего нельзя допустить в важнейшей административной сети VLAN. Следовательно, размещать интерфейс SCO в крупной и плоской сети VLAN рискованно. Внимание! Несмотря на то, что сеть VLAN 1 в современной версии кода устройств Catalyst уда- удалить с Ethernet-каналов невозможно, корпорация Cisco разрабатывает функцию, кото- которая обеспечит такую возможность в будущем. Вкратце, ожидается, что данная функ- функция позволит удалять сеть VLAN 1 как с магистральных каналов, так и из базы данных Глава 15. Реализация конструкции территориальной сети 701
сетей VLAN протокола VTP. Следовательно, с точки зрения пользовательского ин- интерфейса, активизация такой функции эффективно удаляет сеть VLAN 1 с данного устройства. Однако, с точки зрения внутренних механизмов коммутатора Catalyst, сеть фактически остается в использовании, но только для трафика управления, такого, на- например, как пакеты протоколов VTP и CDP. В частности, перехватчик сетевых пакетов (Sniffer) изымает пакеты указанных протоколов, помеченные заголовком сети VLAN 1, из магистральных каналов. Иными словами, данная функция конвертирует сеть VLAN 1 в "зарезервированную" сеть, которая может использоваться только для тра- трафика управления. Подобного риска можно избежать путем применения второго способа, при кото- котором трафик управления и административный трафик отделены друг от друга. Тогда как трафик управления вынужден использовать сеть VLAN 1, административный тра- трафик направляется в иную сеть VLAN. Во многих организациях для таких целей выби- выбирается сеть VLAN 2, 999 или 1000. В результате интерфейс SCO и процессор будут изолированы от потенциальных проблем, связанных с широковещанием в сети VLAN 1. Оптимизация подобного рода может быть особенно важной в чрезвычайно крупных территориальных сетях, которые испытывают недостаток иерархичности третьего уровня. Совет При наиболее консервативном подходе к проектированию административной/управ- административной/управляющей сети VLAN для управления трафиком используется только сеть VLAN 1, а ин- интерфейс SCO помещается в свою собственную сеть VLAN (иначе говоря, пользова- пользовательский трафик не попадает в данную сеть VLAN). Кроме того, при использовании перспективной функции, которая "удаляет" сеть VLAN 1 с коммутатора Catalyst, данный подход используется вынужденно. Меры безопасности при перемещении сети VLAN интерфейса SCO Несмотря на то, что для некоторых типов трафика всегда используется сеть VLAN 1, остальной административный трафик перенаправляется в другие сети VLAN, как только переназначается интерфейс SCO. В трафик такого типа входят пакеты всех сквозных протоколов (в противоположность канальным протоколам — link-by-link protocol, для которых используется только сеть VLAN 1). Протоколы данного типа перечислены ниже. • Telnet. . SNMP. • Протокол VQP, который используется сервером VMPS. • Syslog. • Ping. Для того, чтобы перечисленные протоколы функционировали, необходимо верно выбрать сеть VLAN с допустимым IP-адресом для назначения ей интерфейса SCO. Кроме того, необходимо наличие одного или нескольких работоспособных стан- 702 Часть V. Современное проектирование и реализация...
дартных шлюзов для достижения остальной части сети. Наиболее общая проблема, возникающая в данной ситуации, проявляется в том, что пользователи в целях уст- устранения неисправностей часто перемещают интерфейс SCO в другую сеть VLAN, а после завершения наладки забывают вернуть его на прежнее место. И хотя такой подход позволяет немедленно устранить проблему, он почти гарантированно поро- порождает еще большее количество проблем! Другая проблема заключается в том, что невозможно использовать IP-адрес, соответствующий сети VLAN, которая назначе- назначена интерфейсу SCO. Совет Если интерфейс SCO был переконфигурирован с целью устранения неисправностей (или по другим причинам), необходимо убедиться, что после таких действий восста- восстановлено состояние указанного интерфейса. Отсекание сетей VLAN от магистральных каналов Для создания магистральных каналов, которые совместно используют сети VLAN, существуют две характерные технологии: • неявная маркировка (implicit tagging); • явная маркировка (explicit tagging). При использовании неявной маркировки некоторые сведения, уже содержащиеся во фрейме, служат в качестве индикатора принадлежности сети VLAN. Многие про- производители оборудования создали устройства, которые для данной цели используют МАС-адреса (другие варианты включают в себя адреса третьего уровня или номера портов четвертого уровня). Недостаток данного подхода заключается в том, что появ- появляется необходимость использования какой-либо технологии для распределения таких меток (tags). Например, при использовании МАС-адресов все коммутаторы должны иметь сведения о том, какой сети VLAN принадлежит каждый МАС-адрес. Поддерж- Поддержка и синхронизация таких потенциально больших таблиц может стать настоящей про- проблемой. Чтобы избежать подобных проблем синхронизации, корпорация Cisco придержи- придерживается иного подхода — явной маркировки посредством протоколов ISL и 802.1Q. Существуют два преимущества, характерные для явной маркировки. Во-первых, по- поскольку метка содержится в дополнительном поле заголовка, которое добавляется к исходному фрейму, принадлежность сети VLAN становится полностью однозначной. Следовательно, предотвращаются проблемы, связанные с неопределенностью принад- принадлежности фреймов различным сетям VLAN. Во-вторых, каждому коммутатору необ- необходимы сведения только о VLAN-назначениях непосредственно подключенных к нему портов. При использовании неявной маркировки для совместно используемых таблиц требуется, чтобы каждый коммутатор поддерживал актуальную информацию обо всех МАС-адресах (конечных станциях). В случае явной маркировки количество необхо- необходимой каждому коммутатору информации о состоянии радикально уменьшается. Внимание! Использование методики явной маркировки корпорации Cisco предоставляет преиму- преимущества значительной масштабируемости. Глава 15. Реализация конструкции территориальной сети 703
Каждому коммутатору нет необходимости содержать информацию об используе- используемых другими коммутаторами сетях VLAN. Однако, такому преимуществу сопутствует скрытый недостаток. Лавинный трафик должен отправляться к каждому коммутатору в сети второго уровня. Иными словами, одна копия каждого широковещательного, многоадресатного и одноадресатного фрейма с неизвестным получателем лавинно распространяется среди всех магистральных каналов в домене второго уровня. Для того, чтобы уменьшить влияние такой лавинной отправки пакетов, могут применяться два похода. Во-первых, необходимо отметить, что при использовании се- сетей VLAN территориального масштаба данная проблема лавины также распространя- распространяется по всей территориальной сети. Таким образом, одним из простейших и наиболее масштабируемых способов уменьшить поток данных является логическое разделение сети посредством нескольких барьеров третьего уровня, которые используют техно- технологию маршрутизации (коммутации третьего уровня). С помощью такого подхода сеть разбивается на небольшие зоны (pocket) второго уровня, в каждой из которых сдер- сдерживается распространение лавинной передачи. В случаях, когда коммутация третьего уровня неспособна предотвратить излиш- излишнюю лавинную передачу (например, в территориальных сетях VLAN или внутри каж- каждой из зон второго уровня, созданных при помощи коммутации третьего уровня) воз- возможно применение второй методики — отсекания сетей VLAN. Неиспользуемые сети VLAN можно отсечь от магистрального канала вручную посредством команды clear trunk, которая описывалась в главе 8, "Технологии и приложения магистральных со- соединений". Следовательно, когда определенному коммутатору необходимо лавинно отправить фрейм, он отправляет его только через обычные порты доступа к сети, ло- локально назначенные сети VLAN-отправителя и магистральным каналам, которые не были отсечены от данной сети VLAN. Например, MDF-коммутатор может быть на- настроен на лавинное распространение фреймов только для сетей VLAN 1 и VLAN 2 к данному IDF-коммутатору, если он принимает участие только в указанных двух сетях VLAN. Для автоматизации процесса отсекания можно использовать функцию VTP- отсекания (VTP-pruning). Более подробные сведения о функции VTP-отсекания при- приведены в главе 12, "Протокол магистральных каналов виртуальных локальных сетей". Один из наиболее важных способов применения механизма отсекания сетей VLAN вручную включает в себя использование магистрали второго уровня в территориаль- территориальной сети, которая описывается в следующем ниже разделе. Совет Отсекание сетей VLAN на магистральных линиях является одним из наиболее важных ключевых факторов успешной реализации сети, содержащей коммутацию второго уровня на основе устройств Catalyst. Создание беспетельных магистралей второго уровня При использовании магистрали второго уровня в связи с многоуровневой моделью проектирования необходимо стараться устранить линии, образующие петли. С одной стороны, данная рекомендация противоречит интуитивному пониманию. В конце концов, большинство сетевых инженеров проводит бессчетное количество часов, пы- пытаясь улучшить отказоустойчивость (resiliency) сетевых магистралей. Однако, проведя 704 Часть V. Современное проектирование и реализация...
со всей тщательностью отсекание сети от определенных каналов или сетей VLAN, можно устранить задержки конвергенции распределенного связующего дерева, одно- одновременно поддерживая высокую степень избыточности и отказоустойчивости сети. Иными словами, внедряя большее количество каналов (и сетей VLAN) в магистраль второго уровня, можно фактически ухудшить надежность сети вследствие возникно- возникновения задержек протокола распределенного связующего дерева. Более того, существует еще одно преимущество использования беспетельных маги- магистралей второго уровня. При существовании петель порты с помощью распределен- распределенного связующего дерева автоматически переводятся в состояние блокировки (Blocking state) и, следовательно, уменьшается возможность балансировки нагрузки в магистра- магистрали. Устранив петли и таким образом удалив заблокированные порты распределенного связующего дерева, можно использовать каждый маршрут через магистраль для мак- максимального увеличения доступной полосы пропускания в важной области сети. Например, рассмотрим вырожденную1 магистраль (collapsed backbone) второго уровня, представленную на рис. 15.3. Убедитесь, что основная сеть VLAN удалена -. Основные сети VLAN MDF-2B Рис. 15.3. Беспетельная вырожденная магистраль второго уровня Магистраль, схематически изображенная на рис. 15.3, сформирована парой избы- избыточных коммутаторов второго уровня, каждый из которых поддерживает единствен- единственную сеть VLAN. Все четыре MDF-коммутатора подключены к одному из магистраль- магистральных коммутаторов (core switches) (устройства, обозначенные на схеме как Core-А и Core-В). Такая схема подключения позволяет какому-либо одному каналу или комму- коммутатору отключиться при сбое, не вызывая при этом долговременного простоя сети. 1 Магистраль реализованная, например, на одном, реже нескольких, устройствах, не имеющая физической протяженности, т.е. "стянутая в точку ". — Прим. ред. Глава 15. Реализация конструкции территориальной сети 705
Если четыре MDF-коммутатора представляют собой коммутирующие маршрутизаторы типа Catalyst 8500, то беспетельная магистраль создается автоматически. С другой сто- стороны, применение маршрутизирующих коммутаторов третьего уровня (технологии MLS) в качестве MDF-устройств требует более тщательного планирования. Обяза- Обязательно необходимо будет удалить магистральную сеть VLAN (core VLAN) из конфигу- конфигурации каналов, ведущих к IDF-коммутаторам, а также канала, соединяющего между собой MDF-коммутаторы. Совет При использовании MLS-устройств (и других форм маршрутизирующих коммутаторов) необходимо убедиться, что удаляется магистральная сеть VLAN из конфигурации ка- каналов внутри данного распределительного блока (треугольники связи, сформирован- сформированные коммутаторами кабельных узлов MDF и IDF). MDF-1A MDF-3A MDF-2B Между магистральными коммутаторами нет каналов MDF-4B Рис. 15.4. Магистраль с расщепленным вторым уровнем 706 Часть V. Современное проектирование и реализация.
Территориальные магистрали второго уровня требуют еще более тщательного пла- планирования. Например, на рис. 15.4 схематически изображена сеть, которая охватывает обширную географическую область. Таким образом, в магистрали данной сети при- применяются четыре коммутатора второго уровня. Такая конструкция часто называется магистралью с "расщепленным вторым уровнем" ("split Layer 2" core). В данном случае ключевым фактором для создания отказоустойчивой магистрали с быстрой конвергенцией является фактическое разделение магистрали на две изолиро- изолированные сети VLAN без перекрестного соединения коммутаторов друг с другом. Пер- Первая магистральная сеть VLAN применяется для пары коммутаторов в левой части схе- схемы, а вторая сеть VLAN используется для пары коммутаторов в правой части. Если бы магистральные коммутаторы в схеме на рис. 15.4 были полностью замкнуты или между ними существовало бы перекрестное соединение, а также единая сеть VLAN, то возникли бы проблемы сходимости алгоритма распределенного связующего дерева и балансировки нагрузки. Наконец, необходимо отметить, что для создания беспетельной магистрали требу- требуется использование в кабельных узлах MDF (уровня распределения) коммутации третьего уровня. В случае применения территориальных сетей VLAN единственным способом создания беспетельной магистрали является удаление всех петель из сети в целом, что, очевидно, является рискованной попыткой, если необходимо добиться из- избыточности. Возвращаясь к предположению, выдвинутому в первом разделе настоя- настоящей главы, можно сделать вывод о необходимости пытаться всегда использовать многоуровневую модель и преимущества масштабируемости, которые достигаются пу- путем применения в данной модели коммутации третьего уровня. Совет При использовании магистралей с расщепленным вторым уровнем некоторые разра- разработчики сетей выбирают их для разделения трафика по протоколам с целью обеспе- обеспечения дополнительного контроля. Например, коммутаторы Соге-А и Соге-С могли бы применяться для IP-трафика, тогда как Соге-В и Core-D могут транспортировать IPX- трафик. Такой подход может быть эффективным, если необходимо гарантировать оп- определенное значение полосы пропускания для каждого протокола. Его польза особенно ярко проявляется при наличии немаршрутизируемых протоколов, которым требуется мостовое соединение в крупном сегменте сети. В таком случае по- появляется возможность использовать одну половину магистрали для транспортировки немаршрутизируемого/немостового трафика, тогда как другая ее половина служит для доставки многопротокольного маршрутизируемого трафика. В настоящем разделе был повторно рассмотрен метод отсекания сетей VLAN от магистральных каналов. Очевидно, что одним из способов осуществления отсекания является применение команды clear trunk, описанной в разделе "Ограничение на се- сети VLAN в магистрали" главы 8, "Технологии и приложения магистральных соедине- соединений". Однако, наиболее простой и эффективный подход к проблеме удаления сетей VLAN из конфигурации территориальной магистрали заключается в использовании немагистральных каналов. Путем простого назначения заданных портов магистраль- магистральной сети VLAN автоматически предотвращается охват сетями VLAN магистрали и создание виртуальных локальных сетей с плоской землей. Глава 15. Реализация конструкции территориальной сети 707
Совет Для предотвращения возможности создания пользовательских виртуальных локаль- локальных сетей территориального масштаба в территориальной магистрали необходимо применять немагистральные каналы. Действительно, данная методика является также наиболее эффективной для удале- удаления сети VLAN 1 из магистрали. Напомним, что современная версия кода устройств Catalyst не позволяет отсекать сеть VLAN 1 от магистральных Ethernet-каналов. Сле- Следовательно, как описывалось ранее, такой подход может привести к появлению един- единственной сети VLAN территориального масштаба в важнейшей сети VLAN 1 (т.е. в последнем месте, где для администратора желательно возникновение петель и проблем широковещания). Совет С целью предотвращения создания сети VLAN территориального масштаба в сети VLAN 1 необходимо использовать немагистральные каналы в территориальной маги- магистрали (т.е. там, где менее всего желательно построение сети VLAN с плоской землей, особенно, если интерфейс SCO назначен виртуальной сети VLAN 1). Применение сетей PLAN При разработке нового проекта, а также, когда администратор потерпел неудачу при первой или второй попытке разрешения определенной проблемы, следует пере- перепроектировать сеть VLAN, используя физические виртуальные локальные сети (physical LAN — PLAN). Иными словами, необходимо взять за основу логическую то- топологию, созданную с использованием виртуальных локальных сетей, и перепланиро- перепланировать ее с применением сетей PLAN. Понятие сетей PLAN является чем-то вроде шуточного термина, изобретенного ав- автором, чтобы описать чрезвычайно серьезную проблему. В силу некоторых причин человеческий мозг, ориентированный на работу с виртуальными локальными сетями, почти гарантированно забывает все знания об организации IP-подсетей. Администра- Администраторы проводят дни, просматривая отчеты перехватчика сетевых пакетов (Sniffer traces) по таким сложным объектам, как ISL-каналы и распределенное связующее дерево, только для того, чтобы, в конце концов, определить, что кто-то неверно указал одну цифру в IP-адресе. Итак, что же такое сеть PLAN? Чтобы ответить на данный вопрос, прежде всего рассмотрим схему типичной сети с применением технологии виртуальных локальных сетей, изображенную на рис. 15.5. На рис. 15.6 представлена та же схема, но с использованием физических локаль- локальных сетей (PLAN). Все сети VLAN в схеме на рис. 15.5 представлены в виде отдельных сегментов, подключенных к различным интерфейсам маршрутизатора. В данном случае отражено логическое разделение сетей VLAN с помощью физической изоляции, применяемой в модели проектирования с традиционным маршрутизатором и концентратором. Одна- Однако, с точки зрения третьего уровня обе сети являются идентичными. 708 Часть V. Современное проектирование и реализация...
ISL-подынтерфейсы, использующие адреса 10.0.1.1/24,10.0.2.1/24И 10.0.3.1/24 Магистральный ISL-канал У*"ГЗ "Красная" "Синяя" "Зеленая" "Синяя" "Красная" сеть сеть сеть сеть сеть 10.0.1.21 10.0.2.48 10.0.3.109 10.0.2.95 10.0.2.183 Рис. 15.5. Виртуальные локальные сети (VLAN) "Красная" сеть "Зеленая"сеть "Синяя"сеть 10.0.2.48 10.0.2.95 Рис. 15.6. Физические локальные сети (PLAN) Глава 15. Реализация конструкции территориальной сети 709
Путем подобного преобразования схемы можно существенно упростить понимание сети. Действительно, совершенно очевидно, что в данной сети имеется проблема — сегмент (сеть VLAN), предназначенный для расположения станции с адресом 10.0.2.183, выбран неверно. Станцию с данным адресом следовало бы разместить в "синей" сети VLAN. Несмотря на то, что данный пример выглядит достаточно простым, несложные вопросы адресации время от времени сбивают с толку даже специалистов самого вы- высокого класса. Почему не применяются методики, удаляющие сети VLAN как допол- дополнительное повышение уровня сложности? Однако, сети PLAN могут стать полезными не только в ситуациях, связанных с устранением неисправностей. Даже если админи- администратору понятна причина возникновения проблемы в сети, сети PLAN способствуют ясному объяснению данной проблемы другим специалистам, которым неполадка ви- видится не так отчетливо. Кроме того, сети PLAN также могут применяться с целью уп- упрощения нового проекта и помогают наилучшим образом проанализировать потоки трафика и какие-либо потенциально возможные проблемы. Совет Термин сеть PLAN не является шуткой. Его можно использовать при устранении не- неисправностей и для объяснения конструкции сети. Обработка ^маршрутизируемых протоколов В главе 11, "Коммутация третьего уровня", были рассмотрены различные подходы к интеграции технологии маршрутизации третьего уровня с объединением на основе мостов второго уровня. Среди данных подходов рассматривались такие способы, как организация мостового соединения между сетями VLAN, методика конкурирующей маршрутизации и мостового соединения (Concurrent Routing and Bridging — CRB), a также интегрированная маршрутизация и создание мостового соединения (Integrated Routing and Bridging — IRB). В большинстве организаций используется одна из пере- перечисленных выше методик, поскольку пользователям двух различных сетей VLAN не- необходимо обмениваться данными посредством ^маршрутизируемых протоколов, та- таких, как NetBEUI или LAT. Несмотря на то, что методики, описанные в главе 11, "Коммутация третьего уровня", способны обеспечить поддержку в ограниченном чис- числе ситуаций, почти всегда наилучшим решением является исключение их использова- использования. Вместо них гораздо лучше попытаться разместить всех пользователей определен- определенного ^маршрутизируемого протокола в одной сети VLAN. В ситуациях, где приме- применяются коммутирующие маршрутизаторы серии Catalyst 8500, для реализации подобного подхода может потребоваться активизация функции IRB (природа техно- технологии MLS, ориентированная на второй уровень, не требует применения данной функции). Более подробная информация по данной теме приведена в разделе "Интеграция маршрутизации и технологии объединения с помощью мостов" главы 11, "Коммута- "Коммутация третьего уровня". Совет Необходимо стараться любыми средствами избегать "создания мостового соединения между виртуальными локальными сетями". 710 Часть V. Современное проектирование и реализация...
Распределенное связующее дерево Тема использования протокола распределенного связующего дерева (spanning- tree protocol) переплетается и с вопросами организации виртуальных локальных се- сетей. Действительно, несоответствующее применение сетей VLAN (теория плоской структуры сети) наиболее часто выдвигает на передний план проблемы распреде- распределенного связующего дерева. В данном разделе обсуждаются некоторые преимущест- преимущества и противопоказания к использованию протокола распределенного связующего дерева. Одной из основных тем, рассматриваемых в данном разделе, является следующая: несмотря на то, что распределенное связующее дерево может быть хорошо управляе- управляемым при использовании его совместно с коммутацией третьего уровня, данная техно- технология может стать очень сложной в применении к крупным, плоским сетям, таким, как сети VLAN территориального масштаба. Ключом к успешному проектированию инфраструктуры является сочетание твердой теоретической базы технологии распре- распределенного связующего дерева с надежным проектированием. Поддержка малых размеров доменов распределенного связующего дерева Одной из наиболее эффективных методик сведения к минимуму проблем, свя- связанных с распределенным связующим деревом, является сохранение малых разме- размеров STP-доменов. Простейшим способом достижения данной цели является приме- применение многоуровневой модели проектирования. Автоматическое создание барьеров третьего уровня, которые с точки зрения распределенного связующего дерева разде- разделяют сеть, решает большинство проблем, связанных с использованием рассматри- рассматриваемой технологии. Сокращение доменов распределенного связующего дерева до небольших зон внут- внутри сети дает множество преимуществ, которые перечислены ниже. • Появляется возможность безопасно настраивать таймеры распределенного свя- связующего дерева. • В результате уменьшения доменов время конвергенции распределенного свя- связующего дерева может быть существенно сокращено. • Малые зоны препятствуют распространению проблем распределенного связую- связующего дерева, возникающих в одной части сети, в другие ее части. • При использовании многоуровневой модели проектирования на основе комму- коммутирующих маршрутизаторов (устройства Catalyst 8500) можно упразднить ба- балансировку нагрузки с помощью распределенного связующего дерева. В таком случае IDF-трафик создает так называемые V-образные связи второго уровня (Layer 2 V's), которые по существу являются беспетельными и, следовательно, не требуют использования протокола распределенного связующего дерева. Хотя автор, тем не менее, не рекомендует отключать механизм распределенного свя- связующего дерева (см. раздел ниже). Глава 15. Реализация конструкции территориальной сети 711
Внимание! Если активизировано мостовое соединение и (или) функция IRB на устройствах Cata- Catalyst 8500, они начинают обрабатывать трафик в режиме мостов и преобразовывают V- образные связи второго уровня, созданные по умолчанию, в треугольники второго уровня. Очевидно, что при этом потребуется применение распределенного связующе- связующего дерева (рекомендуется использовать методику размещения корневого моста, опи- описанную в следующем пункте). • В случае использования многоуровневой модели проектирования на основе маршрутизирующих коммутаторов (технология MLS) можно радикально упро- упростить балансировку нагрузки с помощью распределенного связующего дерева посредством применения методики размещения корневого моста (Root Bridge placement). При использовании технологии MLS и многоуровневой модели ка- каждый IDF-узел и пара MDF-узлов создают треугольники второго уровня (Layer 2 triangles), которые, хотя и не являются беспетельными, достаточно просты в управлении. Более подробная информация, касающаяся размещения корневого моста для балансировки нагрузки с помощью распределенного связующего де- дерева, приведена в главе 7, "Расширенные возможности протокола распределен- распределенного связующего дерева", а также в главе 17, "Учебные примеры: внедрение коммутаторов в сети". • Распределенное связующее дерево становится более простым для проектирова- проектирования, документирования и понимания. • Упрощается поиск и устранение неисправностей. На рис. 15.7 изображены треугольники второго уровня, созданные MLS- устройствами (часть А), и V-образные связи второго уровня, созданные коммути- коммутирующими маршрутизаторами. Хотя в технологии MLS очень часто применяются модули коммутации маршрута (модули RSM), в части А использовалось логическое представление. Часть А: маршрутизирующий коммутатор (MLS) Часть Б: коммутирующий маршрутизатор (8500) Коммутаторы третьего уровня, сконфигурированные в качестве маршрутизаторов Рис. 15.7. Варианты топологии второго уровня для маршрутизирующих коммутаторов (технологии MLS) и коммутирующих маршрутизаторов 712 Часть V. Современное проектирование и реализация.
Внимание! Очень важно понимание того, что устройства обоих типов — маршрутизирующие ком- коммутаторы (технология MLS) и коммутирующие маршрутизаторы (устройства 8500-й серии), могут успешно применяться в подобных конструкциях (см. рис. 15.7). В на- настоящем разделе просто подчеркиваются стандартное поведение и наиболее общие принципы использования данных платформ. При использовании сетей VLAN территориального масштаба получение некоторых из перечисленных в настоящем разделе преимуществ часто возможно путем отсечения сетей VLAN от выбранных магистральных каналов вручную. Однако, достижение про- простоты и масштабируемости, которые доступны при использовании коммутации третьего уровня, в данном случае невозможно. Кроме того, операции отсекания часто способны уменьшить избыточность в сети. Многоуровневая модель позволяет достаточно просто внедрить в сеть преимущест- преимущества, перечисленные в настоящем разделе. В случае применения маршрутизирующих коммутаторов (технологии MLS), как показано в части А (см. рис. 15.7), данные пре- преимущества можно реализовать с помощью отсекания выбранных сетей VLAN от клю- ключевых магистральных каналов (таких, например, как каналы в магистрали и между MDF-коммутаторами). При использовании коммутирующих маршрутизаторов, таких, как устройство 8500-й серии, как изображено в части Б, преимущества малых доме- доменов распределенного связующего дерева стандартно доступны разработчику. Отключение распределенного связующего дерева Вследствие неудачного применения данной технологии сетевые администраторы многих организаций с целью достижения стабильности сети (в особенности при кон- конструкции с плоской землей) отключают протокол распределенного связующего дерева. Однако, если стабильность достигается ценой избыточности, то, очевидно, возникает целый ряд новых проблем. Когда распределенное связующее дерево отключено, сеть незащищена от неизбеж- неизбежных ошибок в конфигурации, которые приводят к возникновению петель второго уровня. Как было отмечено в главе 6, "Основы протокола распределенного связую- связующего дерева", протоколы второго уровня не способны выходить из петель обратной связи без такого протокола, как STP (в заголовках пакетов протоколов второго уровня отсутствует поле Time To Live (TTL — время жизни пакета) — петля существует до тех пор, пока ее не удалят вручную. Чаще всего распределенное связующее дерево отключается в ситуациях, описание которых приведено ниже. • Как последнее средство достижения стабильности в конструкции сетей VLAN мас- масштаба территориальной сети. Поскольку в данном случае также требуется, чтобы избыточность была устранена, применять данный подход не рекомендуется. • При использовании коммутирующих маршрутизаторов типа Catalyst 8500 в кабель- кабельных узлах MDF (на уровне распределения). Применение коммутирующих маршру- маршрутизаторов приводит к созданию беспетельных V-образных связей второго уровня (как изображено в части Б на рис. 15.7), использовать распределенное связующее дерево более нет необходимости — по крайней мере, для данной топологии. Од- Однако, петли могут быть созданы неумышленно из-за конфигурационных ошибок и недостатков кабельной системы по вине администраторов или вследствие того, Глава 15. Реализация конструкции территориальной сети 713
что конечные пользователи устанавливают такие устройства, как концентраторы или коммутаторы. Следовательно, в данном случае вес же остается элемент риска. • При использовании LANE-магистрали. Поскольку с помощью технологии LANE внутри собственной ATM-магистрали автоматически создается беспетельная то- топология, распределенное связующее дерево можно отключить. Действительно, производители оборудования, ориентированного на ATM-технологию, такие, как Fore Systems, по умолчанию отключают распределенное связующее дерево для LANE-технологии. Однако, необходимо соблюдать осторожность, чтобы не создавать петли второго уровня за пределами LANE-магистрали. В данном слу- случае не только рассматриваются ситуации, описанные в предыдущем пункте, но и такие практические примеры, как использование избыточных Ethernet- каналов для расширения ATM-магистрали к IDF-узлам. Как правило, наилучшим решением является применение масштабируемой мето- методики проектирования и тонкая настройка (tuning) распределенного связующего дере- дерева, а не полное отключение протокола STP. Как указывалось в предыдущем разделе, такие методики проектирования, как многоуровневая модель, позволяют достичь ста- стабильности сети без отключения механизма распределенного связующего дерева. Кро- Кроме того, тщательно спланированная конструкция сети может в дальнейшем позволить осуществлять тонкую настройку распределенного связующего дерева с целью повы- повышения производительности. Оценка структуры распределенного связующего дерева Как указывалось в главах 11, "Коммутация третьего уровня", и 14, "Модели терри- территориальных сетей", применение коммутации третьего уровня и многоуровневой моде- модели проектирования обычно приводит к тому, что сети состоят из множества неболь- небольших "треугольников" и "V-образных" соединений второго уровня. Коммутирующие маршрутизаторы, такие, как Catalyst 8500, стандартно создают V- образные соединения. Хотя объединение на основе мостов и функция IRB могут быть включены для преобразования данных соединений в треугольники второго уровня, обычно рекомендуется избегать широкого использования данных функций (см. раздел "Интеграция маршрутизации и технологии объединения с помощью мостов" гла- главы 11, "Коммутация третьего уровня"). Следовательно, V-образные соединения обыч- обычно используются совместно с технологией коммутирующих маршрутизаторов. С точки зрения использования механизма распределенного связующего дерева очень важно отметить, что данные V-образные соединения являются беспетельными и, следова- следовательно, не приводят порты в состояние блокировки. В результате распределенное свя- связующее дерево не повлияет на производительность операций восстановления после сбоев. Внимание! Несмотря на то, что при использовании V-образных соединений второго уровня рас- распределенное связующее дерево не влияет на производительность операций восста- восстановления после сбоев портов внешних каналов IDF-узлов, оно все-таки включено по умолчанию и может неожиданно повлиять на пользовательские устройства. Следова- Следовательно, может потребоваться настройкв функции PortFast на пользовательских портах для облегчения работы протоколов начального запуска (start-up protocols), таких, как протокол DHCP и аутентификация NetWare. 714 Часть V. Современное проектирование и реализация...
В отличие от устройств 8500-й серии, где V-образные соединения второго уровня яв- являются более характерными, технология MLS (и маршрутизирующие коммутаторы) по- позволяет достаточно просто настраивать треугольники второго уровня либо V-образные соединения. По умолчанию технология MLS позволяет всем сетям VLAN пересекать коммутатор. Следовательно, если предположить, что сети конечных пользователей уда- удалены из магистрали сети, то стандартно останутся треугольники второго уровня (см. часть А на рис. 15.7). Однако, сеть VLAN может быть легко преобразована в V-образное соединение (часть Б на рис. 15.7) путем отсекания ее от канала между коммутаторами MDF-узлов (уровня распределения). Иными словами, путем простого отсекания сети VLAN от основания треугольника она превращается в V-образное соединение. С точки зрения распределенного связующего дерева очень важно оценить разли- различия, приносимые данным подходом в сеть. Если бы был избран способ с использова- использованием треугольников, значит, распределенное связующее дерево функционировало бы с полной отдачей. Важными в таком случае станут форма балансировки нагрузки с расположением корневого моста и такие функции, как UplinkFast. Если же выбор бу- будет сделан в пользу V-образных соединений второго уровня, то в сети останется та же ситуация "почти без распределенного связующего дерева", которая была описана не- несколькими абзацами ранее в связи с устройствами 8500-й серии. Совет Убедитесь, что учтены влияние и производительность распределенного связующего дерева там, где имеются треугольники второго уровня в территориальной сети. Аспекты применения коммутирующих маршрутизаторов с целью фактического устранения механизма распределенного связующего дерева Поскольку коммутирующие маршрутизаторы типа Catalyst 8500 в MDF-узлах (на уровне распределения) устраняют петли посредством использования IDF- коммутаторов, возникают V-образные соединения второго уровня. Следовательно, ис- использование технологии распределенного связующего дерева может значительно упро- упростить разработку, техническое обслуживание и устранение неисправностей. IDF- коммутатор автоматически определяет себя в качестве корневого моста в одномосто- вой сети (one-bridge network); коммутаторы третьего уровня предотвращают получение мостами информации друг о друге и поддерживают изолированное распределенное связующее дерево. Значения таймеров можно настраивать довольно агрессивно и без риска (используется команда set spantree root с параметром диаметра (diameter), равным двум или трем транзитным узлам). Кроме того, балансировка нагрузки с по- помощью распределенного связующего дерева более не является необходимой. Внимание! Необходимо отметить, что V-образные соединения второго уровня также можно соз- создать при помощи маршрутизирующих коммутаторов (т.е. технологии MLS) путем отсе- отсекания сети VLAN от выбранных каналов (в данном случае основание треугольника — канал MDF-MDF). Глава 15. Реализация конструкции территориальной сети 715
Применение беспетельных административных сетей VLAN Как описывалось в разделе "Изолированные административные сети VLAN", мо- модуль устройства второго уровня Catalyst Supervisor, подверженный воздействию чрез- чрезмерного широковещательного трафика, может привести к простоям сети в целом. В данном разделе рекомендуется использование административной сети VLAN для изо- изоляции интерфейса SCO устройства Catalyst от пользовательского широковещательного трафика. Однако, некоторый риск остается даже при использовании отдельной адми- административной сети VLAN. Если бы петля была сформирована в самой администра- административной сети VLAN, то модули Supervisor могли бы вновь быть перегруженными вол- волной трафика. Совет Необходимо убедиться, конструкция сети сконцентрирована на минимизации риска возникновения лавинообразных рассылок широковещательных пакетов (broadcast storms) в административной сети VLAN. Следовательно, гарантия того, что сама административная сеть VLAN является беспетельной, может послужить еще одним дополнительным уровнем защиты. С це- целью создания беспетельной административной сети VLAN, как правило, могут при- применяться две методики, описание которых приведено ниже. • При использовании в кабельных узлах MDF (уровня распределения) коммути- коммутирующих маршрутизаторов типа Catalyst 8500 автоматически по умолчанию на устройствах IDF-узлов (уровня доступа) создаются беспетельные администра- административные сети VLAN. Здесь необходимо отметить, что данная методика также подразумевает отказ от использования функции IRB для объединения админи- административных сетей VLAN в единую виртуальную локальную сеть. Хотя на первый взгляд указанная методика может показаться способом упрощения управления в сети с помощью размещения всех коммутаторов в единой сети VLAN, данный подход вследствие добавления петель в административную сеть VLAN может создать проблемы управления в будущем. • Для сетей VLAN масштаба территориальной сети часто требуется использова- использование внешней административной сети (out-of-band management network). Обслу- Обслуживать беспетельную и стабильную среду в условиях применения сетей VLAN территориального масштаба очень трудно. В связи с этим зачастую необходимо применять отдельные Ethernet-каналы от маршрутизаторов к порту каждого коммутатора Catalyst. Назначив затем только данный Ethernet-порт администра- административной сети VLAN как используемый для интерфейса SCO, можно создать ло- логическую топологию сети без петель. Порты МЕ1 (административные Ethernet- порты — Management Ethernet), доступные на некоторых устройствах Catalyst, также могут применяться для создания внешней административной сети. На рис. 15.8 приведена типичная схема с использованием внешнего управления для беспетельных административных сетей VLAN. Предположим, что, поскольку коммута- коммутаторы размещены случайным образом, создать беспетельные административные сети VLAN с использованием существующей инфраструктуры не представляется возможным. Вместо этого отдельные Ethernet-каналы протянуты от ближайшего доступного порта 716 Часть V. Современное проектирование и реализация...
маршрутизатора к коммутаторам. Чтобы уменьшить необходимое количество портов маршрутизатора там, где такой подход допустим, можно использовать концентраторы. Рис. 15.8. Создание беспетельных административных сетей VLAN с внешней сетью Как отмечалось в разделе "Создание беспетельных магистралей второго уровня", следует также уделить пристальное внимание сети VLAN 1. Для создания иерархии в сети можно очень продуманно использовать коммутацию третьего уровня. Но, не- несмотря на тщательный подход, система может и далее оставаться территориальной в сети VLAN 1. Особенно это проявляется при использовании MLS-коммутации третьего уровня. Необходимо отметить, что данное утверждение будет верным, даже если следовать рекомендациям (см. раздел "Отсекание сетей VLAN от магистральных каналов") по использованию отсекания сетей VLAN, которые приведены выше. Такой подход приемлем как для отделения основных сетей VLAN от магистральных каналов кабельных узлов, так и для отсечения сетей VLAN кабельных узлов от магистральных каналов. Напомним, что в современных версиях операционной системы Cisco IOS сеть VLAN 1 невозможно ни удалить, ни отсечь от магистральных Ethernet-каналов. Сеть VLAN 1 благодаря трафику управления, который обсуждается в разделе "Методика определения номера для административной сети VLAN", обладает особым приоритетом. Вследствие чего возникновение широковещательной петли в данной се- сети VLAN может иметь разрушительные последствия для работы всей коммуникаци- коммуникационной инфраструктуры. Каковы предполагаемые возможности контроля над подобной ситуацией? Как правило, в организациях применяются одна или несколько методик, описание которых приведено ниже. • Возможно, самый простой и наиболее эффективный способ включает в себя использование в основе сети немагистральных каналов. Назначение каждого из таких основных каналов единственной сети VLAN (сеть VLAN 1 в данном слу- случае использовать нельзя) приводит к тому, что магистраль блокирует передачу информации сети VLAN 1. Глава 15. Реализация конструкции территориальной сети 717
Совет Использование немагистральных каналов в основе сети следует рассматривать как чрезвычайно простой и вместе с тем эффективный способ сокращения количества "растягивающихся виртуальных локальных сетей (Sprawling VLANs). • Использование для построения сети коммутирующих маршрутизаторов, таких, как Catalyst 8500, которые по умолчанию не перенаправляют далее сеть VLAN 1. • Рекомендуется также применять разрабатываемую в настоящее время функцию (как только она станет доступной), которая позволит удалять с магистральных каналов сеть VLAN 1 (см. раздел "Методика определения номера для админи- административной сети VLAN"). • Если применяется ATM-магистраль, сеть VLAN 1 может быть удалена из за- заданного участка сети (см. главу 9, "Магистральное соединение с эмуляцией ло- локальной сети"). Внимание! Необходимо запомнить, что большое количество широковещательного трафика также может стать проблемой и для маршрутизаторов. С точки зрения такого трафика они не отличаются от других сетевых устройств. Все широковещательные пакеты необходи- необходимо обработать с целью определения того, представляют ли они интерес или нет. Дей- Действительно, данный феномен для маршрутизаторов может быть гораздо хуже, чем для остальных устройств, поскольку они, по определению, подключены к множеству подсетей, и, следовательно, должны обрабатывать широковещательные пакеты, по- получаемые от каждой из них. Однако, несмотря на это, маршрутизаторы (и коммутаторы третьего уровня) продол- продолжают служить в качестве наилучшего средства решения проблемы широковещатель- широковещательных рассылок. Хотя маршрутизаторы сами по себе могут быть восприимчивы к лави- лавинообразным рассылкам широковещательных пакетов, их использование может значи- значительно снизить опасность возникновения петель второго уровня. Многоуровневая модель разработана для того, чтобы максимально использовать данное преимущест- преимущество, что достигается за счет уменьшения связей второго уровня до множества неболь- небольших треугольников и V-образных соединений. Более того, несмотря на то, что широко- широковещательная петля способна вызвать перегрузку любого непосредственно подклю- подключенного маршрутизатора, проблема не распространяется на другие сегменты сети. Более точно данная проблема описана выше в текущем разделе и в разделе "Изолированные административные сети VLAN". Определение корневых мостов В главе 6, "Основы протокола распределенного связующего дерева", обсуждают- обсуждаются проблемы, которые могут возникнуть, если вручную не указать месторасположе- месторасположение корневых мостов в сети. В таком случае очень высока вероятность того, что 2 Т.е. виртуальных сетей, которые распространяются на всю территориальную инфраструкту- инфраструктуру. — Прим. ред. 718 Часть V. Современное проектирование и реализация...
мост или коммутатор, близкий к оптимальному (suboptimal) кандидату с точки зре- зрения алгоритма, выиграет выборы и станет корневым мостом. Такой исход наиболее вероятен при условии использования более старого оборудования корпорации Cisco. Чтобы не предоставлять определение корневого моста воле случая, необхо- необходимо всегда назначать оба — главный (primary) и второстепенный (secondary) — для каждой сети VLAN. В крупных и очень плоских сетях возможным преимуществом является назначение также третичного корневого моста (tertiary Root Bridge). Путем назначения корневого моста вручную можно не только оптимизировать маршрут прохождения данных, но и сделать сеть более предсказуемой, увеличить ее стабиль- стабильность, улучшить возможность технического обслуживания, а также упростить поиск и устранение неисправностей. Совет Во всех сетях, где используются группы последовательных коммутаторов второго уровня или мосты в прозрачном режиме, следует указать основной и резервный (backup) корневые мосты. Использование моста для балансирования нагрузки Как указывалось в главе 7, "Расширенные возможности протокола распределен- распределенного связующего дерева", зависимая от расположения корневого моста форма балан- балансирования нагрузки с помощью распределенного связующего дерева (Root Bridge placement form of Spanning Tree load balancing) может быть чрезвычайно эффективной и простой в реализации в том случае, если она поддерживается топологией сети. В большинстве конструкций с применением сетей VLAN территориального масштаба и централизованных серверных групп при помощи данной методики очень трудно по- получить какую-либо степень балансировки нагрузки. Однако, в случае использования многоуровневой модели совместно с MLS- устройствами (и другими типами маршрутизирующих коммутаторов), такая форма ба- балансировки нагрузки является наиболее рекомендованным подходом. С помощью многоуровневой модели и технологии MLS сеть уменьшается до групп, состоящих из множества небольших треугольников второго уровня, которые охватывают каждый IDF-коммутатор и соответствующую пару MDF-коммутаторов, благодаря чему топо- топология второго уровня является согласованной, хорошо определенной и предсказуе- предсказуемой. Следовательно, достаточно просто назначить один из MDF-коммутаторов в ка- качестве корневого моста приблизительно для половины сетей VLAN, содержащихся в данном распределительном блоке, тогда как другой коммутатор сконфигурировать как корневой мост для остальных виртуальных локальных сетей. Как известно, распреде- распределительный блок состоит из пары MDF-коммутаторов и связанного с ними набора IDF-коммутаторов. Обычно распределительный блок находится внутри одного здания. Например, на рис. 15.9 представлен типичный распределительный блок, в котором коммутатор MDF-A является корневым мостом для сетей VLAN с нечетными номе- номерами, а коммутатор MDF-B — корневым мостом для виртуальных локальных сетей с четными номерами. Глава 15. Реализация конструкции территориальной сети 719
Сети VLAN 1 и 3 : состояние блокировки Сети VLAN 1 и 3: состояние передачи ^^^^ ^У?°™ VLAN 2 и 4: состояние передачи Сети VLAN 2 и 4: состояние блокировки MDF-A set spantree root 1,3 set spantree root 2,4 Рис. 15.9. Балансировка нагрузки с помощью распределенного связующего дерева, зависящая от раз- размещения корневого моста При такой схеме нечетные сети VLAN вынуждены использовать левый восходя- восходящий (riser) капал (правый IDF-порт заблокирован для данной группы виртуальных локальных сетей), тогда как четные сети используют правый канал (для них заблоки- заблокирован левый IDF-порт). Как объясняется в следующем разделе и главе 11, "Коммутация третьего уровня", данный подход должен координироваться при помо- помощи какого-либо вида балансировки нагрузки с помощью резервного протокола мар- маршрутизации (Hot Standby Routing Protocol — HSRP), представленной MDF- устройством (устройством уровня распределения). Совет Зависящая от расположения корневого моста форма балансировки нагрузки с помо- помощью распределенного связующего дерева является простым и одновременно эффек- эффективным решением. Выбор местоположения корневого моста При определении местоположения корневого моста кроме влияния на распределе- распределение трафика посредством балансировки нагрузки необходимо рассмотреть целый ряд других факторов. Некоторые из наиболее важных соображений приведены ниже. • Размещение корневого моста на маршруте потоков данных с высоким потреблени- потреблением полосы пропускания. Данный пункт более подробно освещается в следующем ниже разделе. • Использование очень стабильных устройств. Поскольку работа протокола рас- распределенного связующего дерева связана с постоянным поиском наиболее эф- эффективного корневого моста, использование в качестве последнего устройства, которое часто перезагружается или подвержено сбоям, может нарушать работу сети в целом. • Использование устройства, которое способно справляться с нагрузкой. Поскольку корневой мост функционирует как центральный коммутирующий узел для всех ветвей распределенного связующего дерева, он должен быть способен обраба- обрабатывать потенциально высокие уровни нагрузки. 720 Часть V. Современное проектирование и реализация...
При внедрении конструкции, основанной на технологии распределенного связую- связующего дерева, в большинстве организаций придерживаются одного из двух наиболее распространенных подходов: • применение распределенных корневых мостов; • применение централизованных корневых мостов. Размещение распределенного корневого моста (distributed Root Bridge) полезно в ситуациях, когда проектировщики сети планируют распределить нагрузку централи- централизованной коммутации среди нескольких мостов. Кроме увеличения общей доступ- доступной полосы пропускания, данная методика также может способствовать улучшению стабильности сети, не вынуждая сеть в целом зависеть от одного или двух коммута- коммутаторов, предназначенных для реализации служб корневого моста. Однако, с распре- распределением корневых мостов связано создание различных логических топологий для каждой сети VLAN, которые могут значительно увеличить сложность устранения неисправностей в сети. Совет Как правило, распределенные корневые мосты могут значительно больше усложнить сеть, чем предоставить преимуществ. Централизованные корневые мосты (centralized Root Bridge) полезны в ситуациях, когда трафик транспортируется в высококонцентрированном виде (как в случае с централизованной серверной группой). Еще одним преимуществом данного подхода является то, что он способствует более простому поиску неисправностей путем созда- создания идентичных (или, по крайней мере, очень похожих) логических топологий во всех виртуальных локальных сетях. Как правило, централизованные корневые мосты являются более распространенным решением. Где устанавливать корневые мосты Наиболее важной темой для рассмотрения, как правило, является размещение корневых мостов на маршруте потоков данных, потребляющих большую полосу пропускания. Целью такого размещения является отражение логической топологией алгоритма распределенного связующего дерева естественного движения трафика в сети. В противном случае, может быть получен неэффективный маршрут для боль- большей части потоков данных, интенсивно потребляющих полосу пропускания. Как указывалось в главе 6, "Основы протокола распределенного связующего дерева", оптимизация такого рода наиболее часто осуществляется одним из двух способов, описание которых приведено ниже. • При использовании очень плоских структур сети, таких, как сети VLAN терри- территориального масштаба, корневые мосты обычно следует размещать в точке под- подключения серверной группы к магистрали территориальной сети. Предполо- Предположим, что для подключения серверной группы к магистрали используется пара коммутаторов (такой подход кроме избыточности обеспечивает также дополни- дополнительную полосу пропускания). Корневые мосты в таком случае можно выбирать на посетевой основе. • При использовании маршрутизирующих коммутаторов (технологии MLS) с многоуровневой моделью корневой мост следует располагать на коммутаторе, который содержит активный HSRP-узел для данной сети VLAN (или в случае Глава 15. Реализация конструкции территориальной сети 721
внешнего маршрутизатора подключается к активному HSRP-узлу). Следова- Следовательно, если MDF-коммутатор служит в качестве активного HSRP-узла для се- сетей VLAN с нечетными номерами, он также должен быть основным корневым мостом для данной группы виртуальных локальных сетей. Настройка таймеров Решение об использовании настройки таймера (timer tuning) механизма распреде- распределенного связующего дерева следует базировать в основном на структуре рассматри- рассматриваемой территориальной сети. Если сеть построена в рамках модели территориальных сетей VLAN, то настройка таймера почти всегда является тщетной и не приводящей к успеху операцией. Поскольку использование сетей данного типа приводит к образо- образованию очень крупных доменов распределенного связующего дерева, настройка тайме- таймеров обычно приводит к нестабильности сети. Совет Если конфигурируемая сеть основана на модели сетей VLAN территориального мас- масштаба, пытаться настраивать таймеры распределенного связующего дерева не сле- дует. С другой стороны, барьеры третьего уровня, созданные с помощью многоуровне- многоуровневой модели, делают настройку таймера чрезвычайно привлекательным выбором для большинства сетей. Наилучшим способом осуществления настройки таймера является использование макроса (macro) set spantree root, который описывается в разделе "Использование макроса set spantree root" главы 6, "Основы протокола распределен- распределенного связующего дерева". Значения, приведенные в табл. 15.1, как правило, представ- представляют собой хороший компромисс между стабильностью сети и скоростью конверген- конвергенции (более подробная информация по данным значениям таймера приведена в гла- главах 6, "Основы протокола распределенного связующего дерева", и 7, "Расширенные возможности протокола распределенного связующего дерева"). • Таблица 15.1. Рекомендованные значения таймеров распределённого -й\ | ,- связующего дерева ■■ ■?/ :.■• ■;■<■:•'. • r^M-X:]j^': ;-|| Конструкция сети Номинальный Номинальный Общее макси- Общая за- диаметр (тран- hello-интервал мальное время держка пере- зитных узлов) (с) старения (с) дачи (с) Сети VLAN территориаль- территориального масштаба Многоуровневая модель и маршрутизирующие комму- коммутаторы (технология MLS) Многоуровневая модель и коммутирующие маршрути- маршрутизаторы (8500) нет 3 2 нет 2 2 Стандартное B0 с) 12 10 Стандартная A5 с) 9 7 Поскольку производить настройку таймера для сетей VLAN территориального масштаба не рекомендуется и, следовательно, значения не указываются в команде set 722 Часть V. Современное проектирование и реализация...
spantree root, они исключены из табл. 15.1 (несмотря на то, что, как описывалось в главе 7, "Расширенные возможности протокола распределенного связующего дерева", протокол 802.ID предполагает значение параметра диаметра, равное семи транзитным узлам, и hello-интервал стандартно равен двум секундам). Значения таймеров для маршрутизирующих коммутаторов (технологии MLS) и коммутирующих маршрутиза- маршрутизаторов основываются на довольно консервативных предположениях о возникновении сбоя канала и возможности подключения к сети дополнительного мостового устрой- устройства (данные значения также используются и описываются в разделе, посвященном полезным практическим примерам сетей, главы 17, "Учебные примеры: внедрение коммутаторов в сети"). Кроме того, если есть возможность и необходимость подвергнуть сеть повышенной нагрузке за счет BPDU-пакетов протокола распределенного связующего дерева, то с целью дальнейшего сокращения времени конвергенции можно уменьшить hello- интервал до одной секунды. Однако, необходимо отметить, что в результате такой мо- модификации удваивается полоса пропускания, потребляемая BPDU-пакетами и, что еще более важно, нагрузка на процессоры блоков Supervisor. Следовательно, если ка- каждое устройство принимает участие только в небольшом количестве сетей VLAN, то настройка hello-интервала способна успешно и с минимальным влиянием на процес- процессор сократить время конвергенции алгоритма распределенного связующего дерева. Напротив, если устройство принимает участие в большом количестве сетей VLAN, изменение hello-интервала может вызвать перегрузку процессоров. При использова- использовании большого количества сетей VLAN в качестве компромиссного решения можно рекомендовать снижение hello-интервала только для той группы сетей VLAN, в кото- которой необходимо уменьшить время конвергенции. При снижении hello-интервала до одной секунды необходимо рассмотреть возможность использования значений, ука- указанных в табл. 15.2. Таблица 15.2. Значения таймеров распределенного связуюЩего дерева при использовании hello-интервала, равного одной секунде 4; : -,.. ":УиШШ:ЛЛШШ^ Л '„.„ж Конструкция сети Номинальный диаметр (тран- (транзитных узлов) Номинальный hello-интервал (с) Общее макси- максимальное время устаревания (с) Общая за- задержка пере- передачи (с) Многоуровневая модель и 3 маршрутизирующие ком- коммутаторы (технология MLS) Многоуровневая модель и 2 коммутирующие маршру- маршрутизаторы (8500) 1 Наконец, необходимо убедиться, что выбранные значения таймера установлены как на основном, так и на резервном корневых мостах. Значения таймеров можно ус- установить и на других мостах или коммутаторах, но такой подход не даст необходимого эффекта (для простоты в некоторых организациях данные значения устанавливаются на всех устройствах). Глава 15. Реализация конструкции территориальной сети 723
Распределенное связующее дерево и административная сеть VLAN Повторим замечание, сделанное ранее в разделе "Применение беспетельных адми- административных сетей VLAN", — возникновение петель второго уровня в администра- административной сети VLAN может привести к катастрофическим сбоям. Разработчику сети следует рассмотреть внедрение беспетельных сетей VLAN для административных це- целей, особенно в том случае, если применяется топология с плоской землей. Изучение имеющейся логической топологии механизма распределенного связующего дерева Время для изучения логической топологии механизма распределенного связую- связующего дерева не должно совпадать с моментом отказа главной сети. Рекомендуемым подходом является заблаговременное создание карт топологии основного и резервного распределенных связующих деревьев. В большинстве организаций выработался подход с широким использованием диаграмм, которые отражают топологию третьего уровня сети (часто используемым для этого средством является такой продукт, как HP Open View). Однако, немногие из таких организаций проходят через этап создания и рас- распространения карт второго уровня. Совет Лучше один раз увидеть диаграмму топологии второго уровня (включая распределен- распределенное связующее дерево), чем сто раз услышать о ней. Как минимум, диаграмма должна отражать протяженность каждой виртуальной локальной сети, расположение корневого моста и межкоммутаторные порты, которые находятся в состояниях блокировки и передачи. Изображение портов конечных поль- пользователей редко является полезным. Кроме того, может быть полезным отмечать пор- порты передачи (Forwarding ports), либо как назначенные порты (Designated ports) либо как корневые порты (Root ports). Более подробная информация по данным портам приведена в главах 6, "Основы протокола распределенного связующего дерева", и 7, "Расширенные возможности протокола распределенного связующего дерева". Совет Программный продукт CiscoWorks 2000 способен создавать карты распределенного связующего дерева. Выбор структуры сети влияет на важность диаграмм второго уровня. Они стано- становятся особенно важными в случае использования сетей VLAN масштаба территори- территориальной инфраструктуры, в которых комбинация множества сетей VLAN и портов блокировки/передачи может стать очень сложной. Еще одним преимуществом много- многоуровневой модели является то, что она позволяет уменьшить необходимость создания диаграмм сети. Во-первых, иерархия третьего уровня, созданная при использовании данного подхода, делает гораздо более полезными традиционные карты третьего уров- уровня. Во-вторых, упрощенные треугольники второго уровня и V-образные соединения, создаваемые в данной конструкции, позволяют использовать два или три шаблона для документирования сети второго уровня в целом. 724 Часть V. Современное проектирование и реализация...
Когда следует применять функции UplinkFast и BackboneFast Обе функции UplinkFast и BackboneFast представляют собой значительное усовер- усовершенствование протокола распределенного связующего дерева (spanning tree protocol), разработанное корпорацией Cisco. Очень важно знать, в каких случаях использовать или не использовать данные функции. Как правило, в сети, содержащей очень устой- устойчивый компонент коммутации третьего уровня, ни одна из перечисленных функций не является особенно полезной. В таком случае сеть стремятся разбить на множество беспетельных маршрутов, в связи с чем не существует портов блокировки для наибо- наиболее эффективной реализации функций UplinkFast и BackboneFast. Совет В громоздкой сети, ориентированной на третий уровень, не стоит тратить время на разработку множества мероприятий по оптимизации распределенного связующего дерева, таких, как функции UplinkFast и BackboneFast. Они не принесут ожидаемого эффекта. С другой стороны, функции UplinkFast и BackboneFast могут быть чрезвычайно полезными в конструкциях, более ориентированных на второй уровень, таких, напри- например, как сети VLAN территориального масштаба и многоуровневая модель с исполь- использованием маршрутизирующих коммутаторов (технологии MLS). В любом случае функцию UplinkFast необходимо активизировать только на коммутаторах кабельного узла IDF, тогда как функция BackboneFast активизируется на всех коммутаторах в ка- каждом домене распределенного связующего дерева. Очень важно в точности следовать данным рекомендациям. Несмотря на то, что оба протокола были тщательно разрабо- разработаны с тем, чтобы не останавливать полностью работу сети в случае их некорректного использования, они либо абсолютно бесполезны (такое возможно при неправильном использовании функции BackboneFast), либо вызывают неверную балансировку на- нагрузки и размещение корневого моста (при некорректном использовании функции UplinkFast). Более подробная информация о технологиях UplinkFast и BackboneFast приведена в главе 7, "Расширенные возможности протокола распределенного свя- связующего дерева". Применение функции PortFast Функция PortFast является средством, которое заслуживает внимания в каждой сети. Ее использование несет в себе два главных преимущества, которые описаны ниже. • Конечные станции и некоторые серверы, в которых используются отказоустой- отказоустойчивые (fault-tolerant) сетевые платы, могут улучшить непосредственный доступ к сети. В случае конечных станций эффективность подобного улучшения может проявиться для таких протоколов, как DHCP, а также для первоначальной сер- серверной или каталоговой аутентификации (initial server or directory authenti- authentication). Для серверов, в которых применяются отказоустойчивые сетевые платы, переключающие состояние канала, использование функции PortFast может проявиться в разнице между незаметным восстановлением после сбоев и 30— 50-секундным простоем (Однако, большинство отказоустойчивых плат не пере- Глава 15. Реализация конструкции территориальной сети 725
ключают канал). При использовании функции PortFast с серверными соедине- соединениями необходимо убедиться, что протокол объединения портов (Port Aggrega- Aggregation Protocol — PAgP) на Ethernet-совместимых портах отключен. В противном случае, функции PortFast потребуется приблизительно 20 секунд для активиза- активизации канала. Более подробная информация по данной теме представлена в раз- разделе "Отключение протокола PAgP" главы 7, "Расширенные возможности про- протокола распределенного связующего дерева". • При использовании функции PortFast порты ие отправляют BPDU-пакеты уведомлений об изменении топологии (Topology Change Notification — TCN). Поскольку TCN-уведомления вынуждают мосты и коммутаторы использовать короткий период старения информации, излишек данных пакетов может дес- дестабилизировать крупную территориальную сеть (особенно с плоской конст- конструкцией, подобной территориальной сети VLAN). Функция PortFast способна существенно влиять на производительность сети, потенциально устраняя в течение дня десятки тысяч TCN-пакетов в типичной крупной территориаль- территориальной сети. Даже если коммутаторы Catalyst позволят ввести команду set spantree portfast mod_num/port_num enable на магистральном канале, она будет проигнорирована. Не- Несмотря на данную особенность, наилучшим решением будет оставить функцию Port- PortFast отключенной на магистральных каналах и оградить остальных администраторов сети от некоторой путаницы при ее включении. Совет Несмотря на то, что функция PortFast чрезвычайно полезна в Ethernet-сетях, может возникнуть необходимость отключить ее в сетях с использованием LANE-магистрали. Поскольку данная функция подавляет BPDU-пакеты TCN-уведомлений, она может препятствовать характерному для LANE-технологии процессу определения сведений об устройствах/МАС-адресах, которые были перемещены к другому LANE- подключенному коммутатору. В результате, если используется функция PortFast, пе- перемещенные узлы могут 5 минут (стандартное значение) ожидать восстановления связи. При отключении функции PortFast LANE-сеть получает TCN-уведомление, которое со- сокращает процесс устаревания МАС-адреса до значения задержки таймера передачи протокола распределенного связующего дерева (spanning tree forward delay timer). Подробная информация по этой теме представлена в главе 6, "Основы протокола распределенного связующего дерева". Необходимо отметить, что LANE-сеть получает оба TCN-уведомления: первое, когда узел первоначально отсоединяется от исходного коммутатора, и второе, когда узел переподключается к новому коммутатору. Альтер- Альтернативный способ заключается в установке более низкого значения периода устарева- устаревания мостовой таблицы вручную (и на долгое время) с помощью команды set cam ag- ingtime. Обе методики вынуждают LANE-сеть быстрее удалить привязку (mapping) МАС-адреса к адресу точки доступа к сетевой службе (Network Service Access Point — NSAP) в LES-сервере, а также заставляют переопределить новую привязку для пере- перемещенного устройства. Более подробная информация, касающаяся принципа дейст- действия LANE-технологии, приведена в главе 7, "Расширенные возможности протокола распределенного связующего дерева". 726 Часть V. Современное проектирование и реализация...
Когда недостаточно одного экземпляра распределенного связующего дерева Несмотря на жалобы многих пользователей на то, что один экземпляр распреде- распределенного связующего дерева в каждой сети VLAN слишком сложен для человеческого понимания (что, кстати, является преувеличением), бывают случаи, когда фактически необходимо использовать более одного экземпляра распределенного связующего дере- дерева в каждой виртуальной локальной сети! Второстепенное использование технологии PVST+ сводится к созданию туннеля из нескольких экземпляров распределенного связующего дерева в области протокола 802.1Q, где используется только единственное распределенное связующее дерево. В отличие от данной методики основная цель ис- использования множественных распределенных связующих деревьев в каждой сети VLAN заключается в успешной интеграции технологии объединения с помощью мос- мостов и маршрутизации между сетями VLAN. Более подробная информация по техно- технологии PVST+ приведена в разделе "Технология PVST+" главы 7, "Расширенные воз- возможности протокола распределенного связующего дерева". При объединении мосто- мостовой технологии и маршрутизации возможно возникновение ситуации, при которой IP-подсети разделяются и частично утрачивают связь. Например, при обработке мос- мостом протоколов NetBIOS и LAT, а также одновременной маршрутизации трафика та- такого протокола, как IP. В главе 11, "Коммутация третьего уровня", данная проблема определяется как проблема разорванной подсети (broken subnet) и описывается в раз- разделах "Возможные проблемы при объединении виртуальных локальных сетей с по- помощью мостов" и "Устранение проблемы разорванной подсети" той же главы. Совет Остерегайтесь появления "разорванной подсети". Она способна создать труднораз- трудноразрешимые проблемы связности инфраструктуры. Как подробно описывалось в главе 11, "Коммутация третьего уровня", неплохим решением данной проблемы является использование двух версий протокола распреде- распределенного связующего дерева. Коммутаторы Catalyst второго уровня таких моделей, как 5000 и 6000, работают только с IEEE-версией данного протокола. В то же время уст- устройства, работа которых основана на использовании операционной системы IOS, та- такие, как маршрутизаторы и Catalyst 8500, могут использовать DEC-версию или фир- фирменную версию корпорации Cisco протокола распределенного связующего дерева моста сетей VLAN (VLAN-Bridge spanning tree protocol). В обоих случаях BPDU- пакеты данных протоколов определяются устройствами Catalyst второго уровня как обыкновенные многоадресатные данные и лавинно распространяются в обычном ре- режиме. Напротив, IOS-устройства поглощают BPDU-пакеты IEEE-версии, когда они используют иную версию протокола STP. Следовательно, IOS-устройства делят об- область действия IEEE-версии протокола STP на небольшие зоны. Внутри каждой зоны STP-протокол IEEE-версии обеспечивает беспетельную топологию. DEC- или VLAN- Bridge-версия протокола распределенного связующего дерева гарантирует, что группа зон остается беспетельной. В результате создается сеть, в которой оба типа протоко- протоколов — как маршрутизируемые, так и ^маршрутизируемые, — имеют полную связь на всем протяжении сети. Более подробная информация приведена в разделе "Использование других протоколов распределенного связующего дерева" главы 11, "Коммутация третьего уровня". Глава 15. Реализация конструкции территориальной сети 727
Балансирование нагрузки Балансирование нагрузки в сети может стать сигнализатором того, спланирована ли сеть тщательно или она расширялась бесконтрольно. Позволяя использовать избы- избыточные каналы для эффективного удвоения доступной полосы пропускания, распре- распределение нагрузки является тем элементом, который следует внедрять в каждой сети. В разделе ниже кратко рассматриваются наиболее популярные альтернативные подходы к реализации балансировки нагрузки. Прорабатывая материал данного раз- раздела, необходимо четко представлять, что ни один из таких подходов не использует циклическую (round robin) или попакетную (per-packet) балансировку нагрузки. Следовательно, хотя данные методики наиболее часто определяются как баланси- балансировка нагрузки, термин разделение (load sharing) или распределение нагрузки (load distribution) наиболее соответствует данному понятию. Однако, не следует стремить- стремиться к достижению точного разделения потоков данных 50/50 при реализации балан- балансирования нагрузки на паре каналов. Необходимо помнить, что любая форма ба- балансировки нагрузки является предпочтительной для стандартной работы большин- большинства протоколов территориальных сетей, где всегда используется только один путь прохождения данных. Требования к балансированию нагрузки Перед тем, как углубиться в подробности различных подходов к балансированию нафузки, стоит остановиться иа изучении некоторых сложных вопросов данной тех- технологии. При изучении методов балансирования нагрузки первым, на что необходимо обратить внимание, является количество доступных маршрутов. Если в сети имеется только одна группа маршрутов, балансировка нафузки (а, следовательно, и избыточ- избыточность) невозможна. Большинство разработчиков сетей старается применить два мар- маршрута, которые обычно связаны с коммутатором IDF-узла (уровня доступа). В неко- некоторых случаях, особенно внутри крупных территориальных магистралей, могут быть доступными более двух маршрутов. Другой темой для рассмотрения является простота, с которой осуществляется конфигурирование, управление и устранение неисправностей в отдельных схемах ба- балансирования нафузки. Например, форма балансировки нагрузки с помощью распре- распределенного связующего дерева, зависящая от расположения корневого моста, является очень простой для внедрения и отладки. В данном разделе также рассмотрена гибкость каждого типа балансирования на- нагрузки. Например, хотя простота расположения корневого моста оценивается очень высоко, реализовать данный подход можно только в определенных топологиях (таких, как треугольники второго уровня, применяемые в многоуровневой модели). В проти- противоположность данному подходу метод балансировки нафузки portvlancost (т.е. на ос- основе стоимости маршрута порта) с помощью распределенного связующего дерева яв- является очень гибким (однако, он также является и более сложным). Наконец, рассмотрим внутреннюю логику схемы балансирования нагрузки. На- Например, в некоторых методиках, таких, как EtherChannel, к младшим битам (low- order) IP- и МАС-адреса применяется очень простой алгоритм XOR (логического ис- исключения). С другой стороны, протоколы маршрутизации третьего уровня предостав- предоставляют очень интеллектуальную и настраиваемую балансировку нагрузки, а также, что еще более важно, средства выбора маршрута. 728 Часть V. Современное проектирование и реализация...
Совет Важнейшие аспекты балансирования нагрузки включают в себя: • доступные маршруты; • простоту конфигурирования, управления и устранения неисправностей; • гибкость; • интеллектуальность. Распределенное связующее дерево Балансирование нагрузки с помощью распределенного связующего дерева является полезной внутри избыточного домена второго уровня. Как было сказано в главе 7, "Расширенные возможности протокола распределенного связующего дерева", сущест- существуют четыре методики для балансировки нагрузки под управлением протокола рас- распределенного связующего дерева: • размещение корневого моста; • приоритет порта (portvlanpri); • приоритет моста; • стоимость маршрута порта (portvlancost). Как отмечалось в главе 7, "Расширенные возможности протокола распределенного связующего дерева", и ранее в настоящей главе, размещение корневого моста являет- является самой простой и наиболее эффективной методикой в случае, если она поддержива- поддерживается потоками данных в сети. К счастью, многоуровневая модель с использованием маршрутизирующих коммутаторов (технологии MLS) позволяет автоматически создать топологию, в которой корневые мосты могут выбираться из состава избыточных MDF-коммутаторов внутри блока распределения. Совет При работе с протоколом STP следует избегать использования балансировки нагрузки путем выбора размещения корневого моста. Размещение корневого моста не является эффективной методикой в менее ограни- ограниченных топологиях, таких, как сети VLAN территориального масштаба. В таких слу- случаях наилучшим решением будет использование балансирования нагрузки по стоимо- стоимости порта (portvlancost). Несмотря на то, что данная методика сложнее в использова- использовании, чем размещение корневого моста, она пригодна почти в любой избыточной топологии. Образно ее можно охарактеризовать как инструмент, похожий на универ- универсальный швейцарский армейский нож, для балансировки нагрузки с помощью рас- распределенного связуюшего дерева. Совет При работе с протоколом распределенного связующего дерева следует использовать балансировку нагрузки portvlancost, если применение механизма размещения корне- корневого моста невозможно. Глава 15. Реализация конструкции территориальной сети 729
Протокол HSRP Протокол HSRP играет важную роль в системах с применением коммутации третьего уровня. При использовании коммутации третьего уровня в сетях, содержащих в распределительном блоке петли второго уровня, таких, как при многоуровневой мо- модели и маршрутизирующих коммутаторах (технологии MLS), балансирование нагрузки с помощью протоколов HSRP и STP следует внедрять в скоординированном режиме. Например, в сети, представленной на рис. 15.9, модифицированы параметры распре- распределенного связующего дерева с целью настройки нечетных сетей VLAN на использо- использование канала слева на рисунке, а четных сетей — на использование канала справа. В данную конструкцию следует внедрить протокол HSRP путем назначения устройства MDF-A в качестве активного HSRP-узла для нечетных сетей VLAN и устройства MDF-B в качестве активного узла для четных сетей VLAN. Совет Следует убедиться, что методики балансировки нагрузки с помощью протоколов HSRP и STP согласованы. Обычно для этого требуется внедрение в сеть маршрутизи- маршрутизирующих коммутаторов и многоуровневой модели коммутации. В случаях, когда в многоуровневой модели коммутации используются коммути- коммутирующие маршрутизаторы (устройства серии 8500), протокол HSRP может быть един- единственным доступным методом балансировки нагрузки внутри каждого распредели- распределительного блока (в таких конструкциях не существует петель, необходимых для эффек- эффективного применения распределенного связующего дерева). Следовательно, для каждой подсети необходимо использовать две HSRP-группы. Подобная конфигурация рас- рассматривалась в главе 11, "Коммутация третьего уровня", и определялась как исполь- использование протокола HSRP для множественных групп (Multigroup HSRP — MHSRP). Методика MHSRP может применяться для распределения нагрузки путем выбора зна- значений HSRP-приоритета. Совет В сетях, основанных на технологии коммутирующих маршрутизаторов, следует ис- использовать балансировку нагрузки с помощью методики MHSRP. На рис. 15.10 представлена примерная схема балансировки нагрузки для одной подсети (сети VLAN) на IDF-коммутаторе. Обоим MDF-коммутаторам назначены два реальных IP-адреса: 10.0.1.3 и 10.0.1.4. Вместо использования единой резервной группы (которая проявляется только в одном маршрутизаторе и одном восходящем канале, активно транспортирующем трафик) сконфигурированы две резервные группы. В первой резервной группе используется IP-адрес 10.0.1.1. С целью назначения коммутатора MDF-A в качестве активного узла приоритет данного устройства увеличен. Во второй группе используется адрес 10.0.1.2, и активным узлом является коммутатор MDF-B. Если оба MDF-коммутатора являют- являются активными, то оба восходящих канала (riser links) и оба устройства активно транс- транспортируют трафик. Если какой-либо из MDF-коммутаторов выйдет из строя, другой MDF-коммутатор примет на себя полную нагрузку. 730 Часть V. Современное проектирование и реализация...
Активный u, 10.0.1.1 ю.о.1.3 / ЧЛ3!:Л_-Ю012 :r-v \ ю.о.1.4 ' ' Активный узел "' Резервная группа 2 MDF-B Рис. 15.10. Балансировка нагрузки с помощью методики MHSRP 1Р-маршрутизация Еще одним преимуществом использования коммутации третьего уровня является то, что протоколы IP-маршрутизации поддерживают очень интеллектуальные меха- механизмы передачи данных и определения маршрута. Для активизации балансировки по двум маршрутам в случае применения таких методик, как использование распреде- распределенного связующего дерева и протокола HSRP, могут потребоваться значительные усилия по конфигурированию. В то же время маршрутизаторы корпорации Cisco осу- осуществляют автоматическую балансировку нагрузки вплоть до шести маршрутов с эк- эквивалентными значениями стоимости (хотя устройства Catalyst 8500 в настоящее вре- время из-за ограничений памяти для микрокода способны распределять нагрузку только по двум маршрутам с равной стоимостью). Кроме того, протоколы маршрутизации третьего уровня поддерживают ряд средств для манипулирования протяженными маршрутами, например, распределенные списки и маршрутные карты. При условии, что многоуровневая модель проектирования направлена на коммута- коммутацию третьего уровня в MDF-узлах (уровне распределения и, возможно, в магистрали), IP-маршрутизация может быть чрезвычайно эффективным подходом к балансировке нагрузки в пределах важнейших зон сети, таких, как магистраль (дорогостоящие WAN-каналы и другие зоны). Технология ATM Одним из преимуществ использования технологии ATM в среде территориальных сетей является се эффективность работы в качестве интерфейса между частными се- сетями (Private Network-Network Interface — PNNI), применяемого в качестве протокола ATM-маршрутизации и протокола передачи служебных сигналов (signaling protocol). Как и протокол IP, механизмы PNNI осуществляют автоматическую балансировку нагрузки через множество маршрутов. Однако, в отличие от IP, протокол PNNI не производит маршрутизацию каждого полученного блока информации (в данном слу- случае ячеек — cells). Вместо этого в технологии ATM маршрутизируется лишь первона- первоначальная установка вызова (call setup), которая используется для создания АТМ- соединепия. После установки соединения все оставшиеся ячейки следуют по данному Глава 15. Реализация конструкции территориальной сети 731
единственному маршруту. Однако, другие ячейки между теми же двумя АТМ- коммутаторами могут использовать другую группу маршрутов через избыточную АТМ- ссть (следовательно, протокол PNNI предназначен для распределения нагрузки по каждому соединению). В результате, автоматически используются все маршруты внут- внутри сети ATM. Более подробная информация по технологиям ATM, LANE и протоколу PNNI представлена в главе 9, "Магистральное соединение с эмуляцией локальной сети". Канал EtherChannel Последней рассматриваемой формой балансировки нагрузки, которая может быть пригодной в территориальных сетях, является технология EtherChannel. Протокол EtherChannel может применяться только между парой компенсационных (back-to- back) коммутаторов, подключенных между собой двумя или восемью каналами (хотя некоторые платформы допускают ограниченные комбинации). В данной технологии с целью назначения фреймов индивидуальным каналам к младшим битам MAC- или IP-адреса применяется алгоритм XOR. Более подробные сведения о такой технологии приведены в главе 8, "Технологии и приложения магистральных соединений". Совет Комитет 802.3ad (802.3 committee) института IEEE работает над созданием стандарти- стандартизированного протокола, подобного EtherChannel корпорации Cisco. Маршрутизация, или коммутация третьего уровня Как уже неоднократно упоминалось в настоящей главе, коммутация третьего уров- уровня является ключевым компонентом большинства успешно функционирующих круп- крупных территориальных сетей. В данном разделе прорабатываются некоторые вопросы, характерные для коммутации третьего уровня. Стремление к модульности Одним из основных преимуществ использования технологии коммутации третьего уровня является то, что она способна создать в конструкции высокую степень мо- модульности. В качестве примера рассмотрим рис. 15.11. На рисунке приведена схема типичной территориальной сети, охватывающей два здания. Сеть построена с исполь- использованием многоуровневой модели. Барьер третьего уровня, созданный функцией маршрутизации, встроенной в MDF- коммутаторы, отделяет все здания от магистрали. Основные преимущества данной ме- методики перечислены ниже. • Модульность позволяет осуществлять точное проектирование. Несмотря па то, что IP-адреса (как и адреса других протоколов третьего уровня) изменяются, все распределительные блоки можно реализовать с почти идентичным кодом коммутатора и маршрутизатора. 732 Часть V. Современное проектирование и реализация...
>■ Уровень доступа Рис. 15.11. Использование барьера третьего уровня для создания модульной конструкции • Конструкция сети является простой для понимания и устранения неисправно- неисправностей. Технические специалисты могут применить большинство тех навыков, ко- которые необходимы для управления и устранения неисправностей сетей на ос- основе маршрутизаторов и концентраторов. • Сеть обладает высокой степенью масштабируемости. Новые здания или сервер- серверные группы при их добавлении к территориальной сети просто становятся но- новыми распределительными блоками вне магистрали. • Сеть является очень предсказуемой. При сбое устройств или каналов трафик обходит аварийные места по четко определенным путям. Некоторая степень модульности может быть создана с помощью конструкций, бо- более ориентированных на второй уровень эталонной модели OSI, таких, как сети VLAN территориального масштаба. Однако, в таком случае гораздо труднее получить разделение, необходимое для истинной модульности. Без барьера расширяемости третьего уровня протоколы второго уровня стремятся к объединению и тесной взаи- взаимосвязи. Следовательно, все труднее становится увеличивать и реорганизовывать сеть. Область применения технологии MLS и маршрутизирующих коммутаторов Многоуровневая модель с применением маршрутизирующих коммутаторов (технологии MLS) является наиболее правильным подходом к построению структуры Глава 15. Реализация конструкции территориальной сети 733
сети, когда существует необходимость поддерживать устойчивый компонент второго уровня внутри каждого распределительного блока. При таком подходе технология MLS позволяет эффективно использовать многофункциональные устройства второго уровня Catalyst. Такие функции, как протокол VTP и технология PVST, могут быть очень полезны в подобной среде. Кроме того, путем поддержки такой жесткой ориен- ориентации на второй уровень можно легко разместить одну сеть VLAN на множестве ка- кабельных узлов IDF (уровня доступа); для осуществления подобной цели устройствам 8500-й серии требуется наличие объединения с помощью мостов или функция IRB. Более того, технология MLS обладает отличной поддержкой многопротокольной маршрутизации. Имеется также поддержка совмещения маршрутизации и объедине- объединения с помощью мостов внутри одного устройства. Более подробно описанные выше специфические преимущества и конфигурационные команды для реализации техно- технологии MLS описаны в главах 11, "Коммутация третьего уровня", 14, "Модели терри- территориальных сетей", и 17, "Учебные примеры: внедрение коммутаторов в сети". Область применения коммутирующих маршрутизаторов: устройств 8500-й серии Тогда как технология MLS поддерживает некоторые особенности второго уровня внутри распределительного блока, коммутирующие маршрутизаторы следуют макси- максимально противоположной схеме. Коммутирующие маршрутизаторы, такие, как Cata- Catalyst 8500, являются наиболее простыми в конфигурировании и обслуживании при ра- работе исключительно в качестве маршрутизаторов. Несмотря на то, что они действи- действительно поддерживают мостовые соединения посредством использования функции IRB и мостовых групп, широкое применение данных функций может привести к конфигу- конфигурациям, которые трудно поддерживать. Напротив, использование данных устройств в качестве высокоскоростных маршру- маршрутизаторов позволяет радикально упростить конструкцию сети. В таком случае почти полностью отпадают вопросы и проблемы, связанные с распределенным связующим деревом. Потоки данных становятся очень предсказуемыми. Обслуживающий персо- персонал, обученный для работы с моделью традиционного маршрутизатора и концентра- концентратора, находит конструкции, которые основаны на коммутирующих маршрутизаторах, простыми в обслуживании и устранении неисправностей. Превосходная поддержка многоадресатной IP-технологии на третьем уровне обеспечивает отличный путь ми- миграции в будущем. Как и в случае с технологией MLS, более подробные сведения по данным устрой- устройствам можно найти в разделах, касающихся их преимуществ и недостатков (см. гла- главы 11, 14 и 17). Область применения функции IRB Вкратце, функцию IRB следует использовать, только если она действительно необ- необходима. Данный тезис не означает, что указанная функция является плохой. Действи- Действительно, функция IRB представляет собой очень гибкую технологию для объединения трафика второго и третьего уровней и позволяет реализовать тщательный контроль обработки трафика как мостами, так и маршрутизаторами. Главная проблема, вероятнее всего, заключается в пользователях. Технология IRB может быть трудной для понимания, поддержки и разработки. 734 Часть V. Современное проектирование и реализация...
При рассмотрении методов использования функции IRB необходимо также уде- уделить внимание целому ряду вопросов, которые перечислены ниже. • Одно из преимуществ применения технологии IRB на аппаратных платформах, таких, как коммутаторы Catalyst 8500, заключается в том, что она может быть реализована на скорости передачи среды (программные маршрутизаторы в на- настоящее время ограничены параметрами быстрой коммутации — fast-switching). • Число виртуальных мостовых интерфейсов (Bridged Virtual Interface —BVI), поддерживаемых операционной системой IOS, ограничено (в настоящее вре- время — до 64). • Некоторые функции не поддерживаются интерфейсами BVI. Поскольку пере- перечень таких функций постоянно изменяется, необходимо проверять примечания к выпуску (release notes) или обратиться в центр технической поддержки корпо- корпорации Cisco (TAC). Принимая решение об использовании функции IRB, проектировщику необходимо стараться использовать ее только в качестве средства для разрешения специфических проблем. Например, если необходимо поместить несколько непосредственно соеди- соединенных серверов в одну виртуальную локальную сеть или если существует сеть VLAN, которая абсолютно обязательно должна пересекать коммутирующий маршрутизатор. Совет Если разрабатываемый проект требует широкого применения функции 1RB, необхо- необходимо рассмотреть использование собственного режима операционной системы IOS ("Native IOS Mode") коммутатора Catalyst 6000, подробно описанного в главе 18, "Коммутация третьего уровня и коммутаторы Catalyst 6000/6500". Как правило, такой подход позволяет спроектировать сеть, которая будет значительно проще в настройке и техническом обслуживании. Ограничение излишнего информационного обмена маршрутизаторов При использовании маршрутизаторов в сетях, основанных на технологии VLAN, важным вопросом может стать уменьшение излишнего равноправного информацион- информационного обмена между маршрутизаторами (router peering). В качестве примера рассмот- рассмотрим ситуации, сходные со схематически изображенными на рис. 15.7 и 15.10. Предпо- Предположим, что данные маршрутизаторы подключены к 30 сетям VLAN кабельных узлов через магистральные каналы ISL или 802.1Q. По умолчанию маршрутизаторы сфор- сформируют 30 отдельных соседних соединений, расходуя при этом ценную память и про- процессорную мощность. Предварительно перечислив все или большинство данных сетей VLAN в качестве пассивных интерфейсов для протоколов маршрутизации, такой под- подход может значительно сократить излишний информационный обмен между маршру- маршрутизаторами. Для сетей VLAN кабельных узлов, где нет других маршрутизаторов, все сети VLAN следует удалить. Совет Уменьшение излишнего информационного обмена может быть особенно важным при использовании маршрутизаторов Catalyst 8500 и модуля MSM Catalyst 6000. Глава 15. Реализация конструкции территориальной сети 735
Балансирование нагрузки Как отмечалось в разделах, касающихся работы распределенного связующего дере- дерева, необходимая форма балансирования нагрузки в основном зависит от используе- используемого типа коммутации третьего уровня. Подводя итоги изложенного выше, можно отметить, что технология MLS обычно требует использования в распределительном блоке комбинированной балансировки нагрузки при помощи распределенного свя- связующего дерева и протокола HSRP. При использовании коммутирующих маршрутиза- маршрутизаторов следует применять технологию MHSRP. Кроме того, если в магистрали территориальной сети доступны равные по стоимо- стоимости маршруты, коммутаторы третьего уровня способны автоматически осуществлять балансировку нагрузки в данной магистрали. Использование исключительно маршрутизируемых протоколов Если пет крайней необходимости, следует стараться пропускать через коммутаторы третьего уровня только пакеты маршрутизируемых протоколов (routable protocols). Та- Такая цель в большинстве случаев достигается с помощью выделения немаршрутизи- руемых протоколов в единую виртуальную локальную сеть. В процессе перехода на поиую инфраструктуру сети следует рассмотреть возможность оставить трафик не- маршрутизируемых протоколов в старой инфраструктуре. Низкая производительность такой сети служит для пользователей немаршрутизируемых протоколов в качестве стимула к переходу на IP-приложения. Технология ATM Рост популярности коммутации третьего уровня наглядно продемонстрировал, что технология ATM не является единственно возможной для достижения высоких скоро- скоростей передачи данных. Однако, технология ATM играет важную роль во множестве территориальных сетей. В данном разделе рассматриваются некоторые из наиболее важных вопросов, связанных с проектированием территориальных сетей на основе данной технологии. Области применения технологии ATM Одним из первых вопросов, которые необходимо рассмотреть каждому проекти- проектировщику сети, является использование ATM-технологии. В прошлом данная техно- технология рассматривалась как решение всевозможных сетевых проблем. Хотя такое пред- предположение и могло быть правдоподобным, если принимать во внимание теоретиче- теоретические возможности технологии ATM, оно не было верным в области ее использования во множестве организаций. Например, в середине девяностых годов прошлого века многие сетевые апатитики прогнозировали в будущем повсеместное использование сетей на основе технологии ATM. Вопреки подобным предсказаниям продолжает рас- расти популярность технологии Ethernet. Когда, в таком случае, наилучшим решением будет применение коммутации ячеек (cell-based switching)? Традиционно технология ATM характеризуется несколькими уникальными пре- преимуществами. Перечислим наиболее часто упоминающиеся. 736 Часть V. Современное проектирование и реализация...
• Высокие значения полосы пропускания. Поскольку в ячейках используются бло- блоки данных фиксированного размера с простыми и предсказуемыми форматами заголовков, достаточно просто создать высокоскоростное оборудование для ап- аппаратной коммутации. • Тонкое распределение полосы пропускания. Ячейки могут чередоваться с целью совместного использования единственного канала множественными сеансами связи посредством усовершенствованной формы статистического мультиплек- мультиплексирования (statistical multiplexing). Поскольку все ячейки имеют одинаковый размер, приложения, использующие крупные блоки передачи данных, не соз- создают эффекта затора (log jam effect), который замедляет передачу менее круп- крупных и более чувствительных к задержкам (time sensitive) пакетов данных. • Качество обслуживания (Quality of Service — QoS). Технология ATM содержит сложные и интеллектуальные механизмы, которые позволяют определить и внедрить подробные соглашения по трафику. • Поддержка передачи голосовых и видеоданных. Низкий уровень запаздывания и преимущества служб QoS, присущие технологии ATM, обеспечивают мощную поддержку критичных к задержкам форм связи, таких, как передача голоса и видео. • Расстояние. В отличие от общих технологий территориальных сетей, таких, как Ethernet, технология ATM может функционировать практически на любых рас- расстояниях. • Способность к взаимодействию. Поскольку данная технология является глобаль- глобальным стандартом, у различных производителей оборудования можно приобрести широкий диапазон устройств. Несмотря на то, что многие из перечисленных выше пунктов остаются верными и в настоящее время, передовые методики коммутации фреймов значительно обогнали технологию ATM в некоторых областях. • Скоростные характеристики Gigabit Ethernet-коммутаторов, ориентированных на использование в территориальных сетях, в настоящее время равны или пре- превышают аналогичные параметры АТМ-коммутаторон. Хотя коммутация ячеек теоретически действительно предоставляет преимущества, коммутаторы второго и третьего уровней, основанные на высокоскоростных интегральных микросхе- микросхемах, стали исключительно быстрее. Более того, технология ATM продолжает ограничиваться SAR-барьером, наивысшей скоростью, с которой можно осуще- осуществить функцию сегментирования и сборки (Segmentation And Reassembly — SAR). • Службы QoS (или, по крайней мере, классов обслуживания — Class of Srvicc), основанные на использовании Ethernet-технологии, становятся более доступ- доступными, более практичными и эффективными. Несмотря на то, что технология ATM теоретически удерживает лидерство, она страдает от недостатка приложе- приложений, которые реализовали бы свойственные ей превосходные средства. В ре- результате очень быстро растет популярность Gigabit Ethernet-коммутаторов, под- поддерживающих механизмы CoS. • Хотя технология ATM обладает особым преимуществом поддержки изохронных (isochronous) (т.е. критических к синхронизации — timing critical) приложений, Глава 15. Реализация конструкции территориальной сети 737
стремительно растет количество неизохропных механизмов для передачи голо- голосовых и видеоданных. Наиболее общими примерами можно считать технологию передачи голосовых данных через IP-сети (voice over IP — VoIP) и видеоконфе- видеоконференции стандарта Н.323. Благодаря использованию подобных технологий сни- снижается необходимость применения уникальных возможностей технологии ATM, • Расстояния, обслуживаемые стандартом Gigabit Ethernet, значительно увеличи- увеличиваются. На момент публикации данной книги большое количество производи- производителей представили Gigabit Ethernet-оборудование, поддерживающее расстояния, равные 80—100 км. • Все формы стандарта Ethernet, включая Gigabit Ethernet, становятся значитель- значительно более способными к взаимодействию, чем стандарты ATM. Кроме того, сложность технологии ATM стала серьезной проблемой для большин- большинства организаций. Тогда как стандарт Ethernet является значительно более простым и знакомым, технология ATM рассматривается как трудная и неясная (и, в значитель- значительной степени, данное восприятие является обоснованным). Совет Хотя рост распространенности технологии ATM в территориальных сетях в настоящее время замедлился, очень важно помнить, что применение данной технологии в рас- распределенных сетях (WAN) продолжает быстро расширяться. Области применения технологии ATM Несмотря на активные дискуссии о пользе технологии ATM в магистрали террито- территориальных сетей, споров о том, где она является наиболее полезной, значительно меньше. Почти все аналитики согласны с тем, что в обозримом будущем соединения с пользовательскими станциями (desktop connections) будут основаны на Ethernet- технологии. Хотя продажи устройств, работающих на основе Ethernet-технологий со скоростями 10/100 Мбит/с, продолжают расти, продажи устройств, основанных на ATM-технологии для рабочих станций (desktop), поразительны. При использовании технологии ATM почти все специалисты согласны с тем, что она является наилучшим решением для построения основы сети. В большинстве случаев подразумевается LANE-магистраль, подключенная к Ethernet-коммутаторам, содержащим модули внешних каналов сети LANE. Хотя данная проблема не получила широкого обсуждения, остается менее понят- понятным другой вопрос. Он касается пределов распространения ATM-магистрали. Дискус- Дискуссии сосредоточены вокруг двух способов. Некоторые производители оборудования и разработчики сетей предпочитают под- подключать к ATM-магистрали только устройства MDF-узлов (уровня распределения). После чего для подключения к IDF-коммутаторам можно использовать каналы Fast и Gigabit Ethernet, как показано на рис. 15.12. Преимущество данного подхода заключается в использовании выгодной Ethernet- технологии в потенциально большом количестве IDF-узлов. Такая конструкция с це- целью распространения скорости ATM-технологии по Ethernet-каналам часто внедряет- внедряется с использованием модели сетей VLAN территориального масштаба. Недостаток проявляется в том, что подобный подход создает большое количество петель второго уровня там, где используются избыточные каналы, соединяющие MDF- и IDF-узлы. 738 Часть V. Современное проектирование и реализация...
К сожалению, данные каналы были представлены для создания петель распределен- распределенного связующего дерева, которые могут отключить территориальную сеть в целом. Более того, если на границах сети используется Ethernet-технология, применение ATM-функций, таких, как службы QoS, сильно затруднено. Рис. 15.12. Использование Ethemet-канаиов совместно с АТМ-магистраиью Противоположное мнение заключается в том, что ATM-магистраль должна расши- расширять весь путь к IDF-узлам. В данном случае во всей сети применяется АТМ- технология, кроме тех каналов, которые непосредственно подключаются к устройст- устройствам конечных пользователей. Схема подобного подхода приведена на рис. 15.13. Рис. 15.13. Расширение ATM-магистрали к IDF-коммутаторам Недостатком такой альтернативы является потенциально высокая стоимость, т.к. требуется больше внешних ATM-каналов и портов коммутаторов. Однако, основное преимущество данной конструкции проявляется в устранении петель второго уровня, сформированных Ethernet-каналами в ходе использования предыдущего подхода. Из- Известно, что для LANE-тсхнологии характерно создание беспетельной топологии вто- второго уровня. Следовательно, риск возникновения проблем, связанных с распределен- распределенным связующем деревом, в данном случае значительно меньше. Действительно, неко- Глава 15. Реализация конструкции территориальной сети 739
торые производители оборудования, активно продвигающие данную конструкцию, ос- оставляют распределенное связующее дерево отключенным по умолчанию, что многие сетевые инженеры считают рискованным. Автору книги пришлось внедрять оба вышеперечисленных конструктивных реше- решения, что привело к необходимости искать решение проблем в использовании комму- коммутации третьего уровня (как и много других методик). Если с целью создания жестких барьеров третьего уровня (hard Layer 3 barriers) в устройствах MDF-узлов (уровня рас- распределения) используется многоуровневая модель проектирования, MDF- коммутаторы могут быть точкой подключения (attachment point) к ATM-магистрали. В таком случае можно безопасно использовать Ethernet-каналы к IDF-устройствам. Од- Однако, при использовании модели территориальных сетей VLAN расширение АТМ- магистрали к IDF-узлам позволяет создать наиболее стабильную и масштабируемую конструкцию. Попытки использовать метод MDF-подключения с моделью территори- территориальных сетей VLAN приводят к возникновению петель распределенного связующего дерева и проблем стабильности сети. Совет Использование в сети коммутации третьего уровня предполагает построение АТМ- магистрали. Использование протокола SSRP До тех пор, пока стандартизированные механизмы обеспечения избыточности LANE-сетей не станут широко распространенными, простой протокол избыточности серверов (Simple Server Redundancy Protocol — SSRP) останется важной особенностью почти всех магистралей, основанных на LANE-технологии, с использованием АТМ- коммутаторов производства корпорации Cisco. Несмотря на то, что протокол SSRP допускает более одного набора избыточных устройств, опыт свидетельствует, что та- такая ситуация может привести к проблемам, связанным с расширением. Более подроб- подробные сведения о протоколе SSRP приведены в главе 9, "Магистральное соединение с эмуляцией локальной сети". Размещение серверов BUS Необходимо всегда стараться размещать сервер широковещательных и неопознан- неопознанных сообщений (Broadcast and Unknown Server — BUS) сети LANE на LANE-модуле Catalyst. Поскольку сервер BUS должен обрабатывать все широковещательные и многоадресатные пакеты в сети ELAN (по крайней мере, в современных версиях про- протоколов), потенциально объем трафика может быть чрезвычайно высоким. LANE- модули Catalyst 5000 ОС-3 и Catalyst 5000/6000 ОС-12 обеспечивают BUS-производи- тсльность на уровне приблизительно 130 и 450 тысяч пакетов в секунду соответст- соответственно, что значительно больше, чем может обеспечить какое-либо другое современ- современное устройство производства корпорации Cisco. Перед разработчиками крупных LANE-магистралсй возникает один вопрос: BUS- серверы какого типа следует применять — одиночные (single BUS) или множествен- множественные распределенные (multiple distributed BUS)? Преимуществом применения одиноч- одиночного BUS-сервера является то, что все сети ELAN обладают одинаковой логической 740 Часть V. Современное проектирование и реализация...
топологией (по крайней мере, основная топология является одинаковой, резервная SSRP-топология, очевидно, различается). Недостатком является то, что одиночный BUS-сервер может достаточно просто стать "бутылочным горлышком" (bottleneck) в сети. Распределенные серверы BUS позволяют предоставить каждой сети ELAN отдель- отдельный BUS-сервер. Хотя такой подход может значительно повысить пропускную спо- способность при обработке данных, он также может создать трудности в управлении се- сетью и устранении неисправностей. При внедрении LANE-модулей ОС-12 с их чрез- чрезвычайно высокой BUS-производительиостью обычно рекомендуется применять одиночный BUS-сервер и использовать простоту единой логической топологии для каждой сети ELAN. Совет В настоящее время наиболее общим подходом является применение централизован- централизованной BUS-конструкции, что связано с высокой пропускной способностью серверов BUS, доступной при использовании современного оборудования. Дополнительные сведения, касающиеся размещения BUS-сервера, приведены в главе 9, "Магистральное соединение с эмуляцией локальной сети". Технология МРОА Многопротокольная передача данных по сетям ATM (Multiprotocol over ATM — МРОА) может быть полезной технологией, направленной на улучшение производи- производительности третьего уровня. Технология МРОА, как подчеркивалось в главе 10, "Многопротокольное магистральное соединение по сети ATM", позволяет создавать кратчайшие виртуальные маршруты (shortcut virtual circuits) и предотвращает исполь- использование маршрутизаторов для протяженных маршрутов потоков данных. При рас- рассмотрении использования технологии МРОА необходимо учитывать несколько важ- важных моментов, описание которых приведено ниже. • С помощью технологии МРОА создать кратчайшие маршруты можно только в тех сегментах сети, где используется технология ATM. Следовательно, если MDF-устройства подключены к ATM-магистрали, но для соединения MDF- и IDF-коммутаторов применяется технология Ethernet, технология МРОА будет полезной только внутри самой магистрали. Если магистраль не содержит тран- транзитных узлов третьего уровня, технология МРОА не предоставляет преимуществ по сравнению с LANE-технологией. Как правило, технология МРОА является наиболее полезной, когда ATM-сеть расширяется к коммутаторам IDF-узлов (уровня доступа). • Поскольку технология МРОА главным образом разработана для сетей, в кото- которых используется технология ATM на основе соединений IDF-IDF, разработ- разработчику необходимо преднамеренно создать в сети барьеры третьего уровня. Без тщательного планирования использование технологии МРОА может привести к созданию сетей с плоской землей и связанным с этим проблемам масшатби- руемости сети, которые обсуждались ранее в настоящей главе, а также в гла- главах 11, "Коммутация третьего уровня", 14, "Модели территориальных сетей", и 17, "Учебные примеры: внедрение коммутаторов в сети". Глава 15. Реализация конструкции территориальной сети 741
• К моменту публикации книги остаются существенные вопросы, касающиеся стабильности и масштабируемости технологии МРОА. Совет Технология МРОА позволяет оптимизировать только одноадресатный трафик, Одна- Однако, связанные с ней протоколы, такие, как MARS, могут применяться для улучшения многоадресатной производительности. Аппаратные изменения Обе технологии — МРОА и LANE — в большинстве устройств Catalyst (таких, как Catalyst 5000) используют МАС-адреса, полученные от шасси или блока Supervisor для автоматической генерации ATM NSAP-адресов. Более подробно процесс создания NSAP-адресов описан в главе 9, "Магистральное соединение с эмуляцией локальной сети". При проектировании ATM-сети необходимо учитывать некоторые моменты, связанные с адресацией. • Устройства с активными объединительными платами, такие, как коммутаторы Catalyst 5500-й серии, используют МАС-адреса, полученные непосредственно от объединительной платы. Замена шасси в одном из таких устройств приводит к изменению автоматически генерируемых NSAP-адресов. • Устройства с пассивными объединительными платами, такими, как Catalyst 5000, используют адреса, полученные от блока Supervisor. Следователь- Следовательно, замена модуля Supervisor Catalyst 5000 приводит к изменению пула адресов (pool of addresses), используемых для автоматической генерации NSAP-адресов. • В обоих случаях каждому разъему назначается 16 МАС-адресов. Таким образом, при перемещении LANE-модуля в другой разъем изменяются автоматически генерируемые NSAP-адреса. • Учитывая данные обстоятельства, для многих организаций предпочтительным является подход с жестко установленными (hard-coded) NSAP-адресами. Под- Подробнее применение данной методики описано в разделе "Использование жест- жестко запрограммированных адресов" главы 9, "Магистральное соединение с эму- эмуляцией локальной сети". Совет В крупной LAME-сети следует рассмотреть применение жестко установленных NSAP- адресов. Изменение структуры территориальной сети Управление изменениями в структуре (зачастую называемыми миграцией) террито- территориальной сети может быть очень трудной задачей. Подключаются новые устройства, тогда как более старое оборудование списывается или переустанавливается. Однако, 742 Часть V. Современное проектирование и реализация...
если имеет место смена оборудования, то между двумя частями сети необходимо под- поддерживать связь. В настоящем разделе приводятся несколько рекомендаций на случай существенных изменений в сети. Использование перекрытия структур В процессе перехода на новую структуру во многих организациях с целью форми- формирования единой сети предпринимаются попытки смешивания старого и нового обору- оборудования на одних и тех же каналах. Несмотря на то, что такой подход с точки зрения осуществления поддержки полной связи в процессе миграции на первый взгляд пред- представляется удачным, он может чрезвычайно усложнить смену оборудования. При смешивании двух групп оборудования старые устройства могут тормозить работу но- новой сети. Такие проблемы, как чрезмерное распространение обработки данных с по- помощью мостов для немаршрутизируемых протоколов и проблемы распределенного связующего дерева, могут препятствовать полной реализации потенциальных преиму- преимуществ новой сети. Кроме того, если возникнет необходимость соединять два коммута- коммутатора с гигабитной скоростью через существующий программный маршрутизатор, воз- возникнет ситуация, подобная попытке вождения гоночного автомобиля мощностью 6000 лошадиных сил по грунтовой дороге! Как правило, наиболее эффективным решением для осуществления миграции тер- территориальных сетей является использование методики перекрытия (overlay). Как показано в схеме на рис. 15.14, при использовании перекрытия коммуникаци- коммуникационных структур две сети трактуются как полностью обособленные. Вместо того, что- чтобы подключать новые устройства к существующим каналам, используется полностью внешняя для существующих устройств группа новых каналов. Если в одном кабель- кабельном узле имеется новое и старое устройства, то оба подключаются к отдельным кана- каналам. В таком случае говорят, что новая сеть "перекрывает" старую. Здание 1 Здание 2 Серверная группа Здание 3 Рис. 15.14. Перекрытие структур при миграции в территориальных сетях Глава 15. Реализация конструкции территориальной сети 743
С целью поддержки связи между старой и новой сетью используется пара избы- избыточных маршрутизаторов. При таком подходе обеспечивается единая линия, на кото- которой пересекаются две сети. В данном случае можно достаточно просто поддерживать такие функции, как перераспределение маршрутов (route redistribution) и списки дос- доступа. Кроме того, необходимо отметить, что в таком случае старая сеть подобна одно- одному блоку распределения, подключенному к магистрали новой сети (еще одно пре- преимущество, предоставляемое многоуровневой моделью проектирования). Серверные группы В современных сетях важнейшая роль отводится таким устройствам, как серверы. Подобная важность обуславливает первоочередное рассмотрение местоположения и подключения серверов в процессе проектирования. В данном разделе рассматривают- рассматриваются некоторые общие вопросы, связанные с проектированием серверных групп. Размещение серверов Здание 1 Серверная группа Распределительный блок серверной группы Здание 2 Рис. 15.15. Централизованная серверная группа 744 Часть V. Современное проектирование и реализация.
Большинство организаций с целью обеспечения наилучшей поддержки и управле- управления серверами стремится к использованию централизованных серверных групп. В связи с подобной направленностью наилучшим подходом, как правило, является по- позиционирование централизованной серверной группы в качестве еще одного распре- распределительного блока, подключенного к магистрали территориальной сети. Данная кон- концепция проиллюстрирована на рис. 15.15. Серверы, изображенные на рис. 15.15, могут соединяться различными способами. В данной схеме серверы непосредственно подключены к паре коммутаторов третьего уровня, которые в свою очередь подключены к магистрали территориальной сети. Альтернативная конструкция предполагает использование одного или нескольких коммутаторов второго уровня внутри серверной группы. Данные устройства второго уровня затем могут быть подключены к коммутаторам третьего уровня посредством канала Gigabit Ethernet или Gigabit EtherChannel. Хотя некоторые серверы можно подключить только к одному коммутатору, избыточные сетевые платы в некоторой степени обеспечивают отказоустойчивость. Ключевым фактором в данной конструкции является барьер третьего уровня, соз- созданный парой коммутаторов третьего уровня, с помощью которых серверная группа подключается к магистрали. В данном случае происходит не только изоляция сервер- серверной группы от магистрали, но и создается более модульная конструкция. Некоторые разработчики сетей предпочитают непосредственное подключение сер- серверов к магистрали, как показано на рис. 15.16. На рис. 15.16 проиллюстрирован популярный метод, применяемый для серверов, подключенных к магистрали — метод использования ATM-магистрали. Серверы могут быть непосредственно присоединены к ELAN-сети, которая используется в террито- территориальной магистрали, посредством установленных в них сетевых ATM-плат, поддер- поддерживающих LANE-сети. Подобная конструкция может быть реализована с помощью ISL- или 802.1С)-плат, установленных в серверы. При использовании серверов, непосредственно подключенных к территориальной магистрали, многие организации сталкиваются с одной из следующих проблем: • неэффективная передача потоков данных; • низкая производительность. Первая проблема возникает в реализациях многоуровневой модели, когда компо- компоненты маршрутизации, содержащиеся в MDF-устройствах (уровня распределения), могут приводить к появлению неэффективной передачи потоков данных. В качестве примера рассмотрим рис. 15.16. Предположим, что одному из серверов необходимо связаться с пользовательской станцией, расположенной в здании 1. При использова- использовании технологии стандартного шлюза сервер не обладает информацией о том, какому из MDF-коммутаторов третьего уровня необходимо отправлять пакеты. Как только пакеты покидают серверную группу, возникает необходимость получить сведения о третьем уровне. Одним из способов ее получения является использование в самих серверах протоколов маршрутизации. Однако, такой подход может ограничить выбор протоколов маршрутизации на всем протяжении оставшейся части сети. Многие ад- администраторы серверов неохотно идут на конфигурирование протоколов маршрутиза- маршрутизации на своих серверах. Более ясный подход заключается в простом размещении всей серверной группы позади пары коммутаторов третьего уровня, как отмечено на рис. 15.15. Глава 15. Реализация конструкции территориальной сети 745
Здание 1 Серверы Здание 2 Рис. 15.16. Непосредственное подключение серверов к магист- магистрали территориальной сети Вторая проблема появляется в ходе реализации модели территориальных сетей VLAN, где серверы могут быть предназначены для участия в каждой сети VLAN, ис- используемой во всей территориальной сети (например, большинство сетевых плат LANE позволяют конфигурировать несколько сетей ELAN). Такой подход на бумаге выглядит чрезвычайно убедительно — в данном случае можно устранить большинство маршрутизаторов в территориальной сети. На практике, тем не менее, данные сетевые платы для множественных сетей VLAN часто обладают низкой производительностью и являются причиной частого возникновения необычного поведения (например, в случае работы служб обозревателя сети — browsing services, в сетях Microsoft). Кроме того, данный подход подвержен всем проблемам расширения, рассмотренным ранее в настоящей главе и главах 14, "Модели территориальных сетей", и 17, "Учебные при- примеры: внедрение коммутаторов в сети". 746 Часть V. Современное проектирование и реализация...
Как правило, во всех случаях наилучшим решением является размещение центра- централизованной серверной группы "позади" коммутаторов третьего уровня. Такой подход не только обеспечит интеллектуальную передачу данных к MDF-коммутаторам, рас- расположенным в остальной части территориальной сети, но и предоставит ряд других преимуществ, которые приведены ниже: • такое размещение способствует быстрой конвергенции алгоритмов; • с целью обеспечения безопасности серверной группы списки доступа могут быть сконфигурированы на коммутаторах третьего уровня; • межсерверные потоки данных (server-to-server traffic) обходят стороной магист- магистраль территориальной сети, что может не только улучшить производительность, но и усовершенствовать безопасность; • данный подход обладает высокой степенью масштабируемости; • в коммутаторы третьего уровня встроена превосходная поддержка многоадре- сатной передачи, что является важным аспектом для территориальных сетей, в которых расширяется использование многоадресатной технологии. Распределенные серверные группы Централизованные серверные группы становятся все более широко распростра- распространенными, поскольку они упрощают управление серверами. Однако, с точки зрения управления полосой пропускания серверные группы способны создавать проблемы, поскольку скорость обработки данных может быть чрезвычайно высокой. Хотя высо- высокоскоростные коммутаторы второго и третьего уровней в определенной степени смяг- смягчили данную проблему, разработчикам сетей следует искать возможности для проду- продуманного распределения серверов в пределах организации. Данное утверждение спра- справедливо по отношению к каналам распределенных сетей, и вместе с тем оно может быть верным также для территориальных сетей. Одним из случаев достаточно простого распределения серверов являются серверы отделов (т.е. серверы, выделенные для одного подразделения организации). Данные устройства могут быть непосредственно подключены к блоку распределения сети, ко- которую они обслуживают. Как правило, такие серверы подключаются согласно одной из схем, описанных ниже. • Серверы могут быть непосредственно подключены к IDF-коммутатору, кото- который обслуживает данный отдел. • Серверы могут подключаться к MDF-коммутаторам в том же здании или рас- распределительном блоке. В таком случае также предоставляется возможность соз- создания небольшой серверной группы в MDF-узлах каждого здания. Файловые серверы и серверы печати отделов могут подключаться там, где в централизо- централизованной серверной группе могут быть расположены серверы предприятия и вы- высокопроизводительные устройства хранения и обработки данных. Применение отказоустойчивых сетевых плат Многие организации тратят огромное количество времени и миллионы долларов, создавая территориальные сети с высоким уровнем избыточности. Однако, большая часть средств и усилий расходуется впустую, если серверы сами по себе не являются Глава 15. Реализация конструкции территориальной сети 747
отказоустойчивыми. Довольно простым способом улучшить устойчивость к неисправ- неисправностям серверов является установка некоторых видов избыточных сетевых плат (redundant NICs). Несмотря на то, что применение избыточных сетевых плат может быть таким же простым, как установка двух обычных плат в каждый сервер, данный подход способен привести к возникновению проблем в дальнейшем. Поскольку в большинстве сетевых операционных систем требуется установка различных адресов для каждой платы, кли- клиентам необходим некоторый механизм восстановления после сбоев для назначения адреса дополнительной плате при выходе из строя основной платы. Реализация по- подобного механизма может быть трудной задачей. В качестве альтернативы рекомендуется использовать особые сетевые платы, кото- которые автоматически поддерживают восстановление после сбоев, используя единствен- единственный МАС-адрес и адрес сетевого уровня. В данном случае процесс восстановления после сбоев может быть полностью прозрачным для конечных станций. В настоящее время доступно множество подобных отказоустойчивых сетевых плат. Некоторые из них также поддерживают множество режимов восстановления после сбоев, позволяя настраивать производительность сети. Совет Отказоустойчивые сетевые платы позволяют двум (или более) серверным сетевым платам совместно использовать единственный адрес второго и третьего уровней. При выборе данной платы необходимо также обратить внимание на тип поддер- поддерживаемой ею балансировки нагрузки: некоторые из плат не осуществляют балансиро- балансирование нагрузки, другие же поддерживают распределение нагрузки только в одном на- направлении. Наконец, необходимо тщательно проанализировать методику, используе- используемую данной платой для информирования остальной части сети о состоявшихся изменениях. Например, многие сетевые платы с целью вызвать обновление информа- информации в смежных коммутаторах генерируют необоснованный ARP-запрос (gratuitous ARP). В некоторых ситуациях подобный процесс обновления может быть довольно сложным и потребовать согласованных значений таймера. Например, при использо- использовании отказоустойчивых Ethernet-плат совместно с LANE-магистралью недостаточно просто обновить информацию САМ-таблиц второго уровня и ARP-таблиц третьего уровня. Если для доступа к серверной группе используются избыточные LANE- модули, таблицы LANE LE-ARP (таблицы, в которых содержится МАС-адрес для привязки ATM NSAP-адресов) также требуют обновления. При разрешении данной проблемы, возможно, придется отключить функцию PortFast и преднамеренно создать задержку распределенного связующего дерева. Преимуществом такой задержки явля- является то, что она вызывает распространение сообщения об изменении LANE- топологии, а также обновление LE-ARP-таблиц. Очевидно, что использование избыточных сетевых плат необходимо тщательно спла- спланировать и полностью протестировать до того, как произойдет реальный сбой сети. Совет Возможно, потребуется отключить протокол РАдР на портах сервера, в которых ис- используются отказоустойчивые платы, с целью поддержки протоколов привязки (binding protocols), применяемых некоторыми из таких плат в процессе инициализации. 748 Часть V. Современное проектирование и реализация...
Применение безопасных сетей VLAN в серверных группах Корпорация Cisco в настоящее время разрабатывает новую модель с целью обеспе- обеспечения с помощью сетей VLAN простой, но эффективной защиты таких систем, как очень крупные серверные группы. В ходе использования данной функции один или несколько портов восходящих каналов конфигурируются на коммутаторах, исполь- использующихся для непосредственного подключения серверов к одному или нескольким стандартным шлюзам. Данные порты поддерживают доступ по двум направлениям (two-way access) ко всем серверам внутри сети VLAN. Однако, другие порты внутри данной сети, определенные как обычные порты или серверные порты, не могут обме- обмениваться данными друг с другом. В таком случае создается простая с точки зрения администрирования среда, в которой серверы обладают полной связью с магистралью сети, но без риска информационного обмена между серверами. Описанная особен- особенность является чрезвычайно полезной в таких ситуациях, как обеспечение Web- хостинга (web hosting) со стороны Internet-провайдера (Internet service provider — ISP), где обмен данными между серверами от различных клиентов должен быть жестко проконтролирован. Тогда как для более ранних решений обычно было характерно создание сотен небольших виртуальных локальных сетей и IP-подсетей, новая модель сетей VLAN корпорации Cisco будет гораздо проще в реализации и техническом об- обслуживании (все серверы могут использовать единственную сеть VLAN и IP-подсеть), одновременно обеспечивая полную безопасность. Внимание! К моменту публикации данной книги описанная здесь функция не получила официаль- официального названия. За дополнительной информацией следует обратиться в местный отдел продаж (sales team) корпорации Cisco. Дополнительные рекомендации по проектированию территориальных сетей В настоящем разделе приведены различные советы и примеры наилучших практи- практических решений, которые не соответствовали тематике предыдущих разделов, а также моменты, заслуживающие особого внимания. Рекомендации по проектированию уровня доступа При проектировании сегментов сети с узлами IDF (уровня доступа) и входящими в них устройствами, которые поддерживают платы NFFC/RSFC, необходимо рас- рассмотреть использование следующих функций: • фильтрация протоколов (см. главу 11, "Коммутация третьего уровня"); Глава 15. Реализация конструкции территориальной сети 749
• IGMP-прослушивание (см. главу 12, "Протокол магистральных каналов вирту- виртуальных локальных сетей"); • классификация служб QoS. Рекомендации по проектированию уровня распределения Данные рекомендации достаточно просты и были ясно описаны ранее в настоя- настоящей главе. Однако, немаловажно напомнить, что в MDF-устройствах (устройствах уровня распределения) необходимо всегда пытаться создать барьер третьего уровня. Рекомендации по проектированию базового уровня Основным моментом, который необходимо учитывать в данном случае, является проблема, рассмотренная в разделах, касающихся распределенного связующего дерева и сетей VLAN: при построении основы сети второго уровня необходимо поддерживать беспетельную магистраль. Остерегайтесь разъединенных подсетей Конструкцию рассматриваемой сети необходимо тшательно исследовать на пред- предмет возможного возникновения разъединенных подсетей (discontiguous subnets). Одна из наиболее общих и неочевидных причин их возникновения создается по сценарию, схематически изображенному на рис. 15.17. Станция А 10.0.1.10 Станция Б 10.0.1.11 Подсеть 10.0.1.0 V Подсеть J разорвана ПодсетЫО.0.2.0 Рис. 15.17. Разъединенные подсети Маршрутизатор Б Канал между устройствами Cat-А и Cat-В вышел из строя, разделив таким образом подсеть 10.0.1.0 на две половины. Однако, поскольку ни один из маршрутизаторов не 750 Часть V. Современное проектирование и реализация...
получил сведений о данном сбое, оба маршрутизатора пытаются передавать весь тра- трафик, адресованный в данную подсеть, через свои выходные интерфейсы (upper inter- interfaces). Следовательно, маршрутизатор А имеет возможность связаться со станцией Б, а маршрутизатор Б не сможет обмениваться данными со станцией А. Как правило, сушествуют два простых и эффективных способа разрешения данной проблемы: • применение смешанных технологий второго и третьего уровней (таких, как ис- использование "маршрутизирующих коммутаторов" — технологии MLS); • размещение только одного коммутатора второго уровня между маршрутизато- маршрутизаторами (как при использовании "коммутирующих маршрутизаторов" для комму- коммутации третьего уровня). При использовании первого подхода с помощью технологии MLS создается среда второго уровня, которая вследствие своей избыточности остается непрерывной даже после выхода из строя какого-либо канала. Схематически данный подход проиллюст- проиллюстрирован на рис. 15.18. Станция А 10.0.1.10 Станция Б 10.0.1.11 Подсеть 10.0.1.0 MLS-коммутатор Cat-A MLS-коммутатор Cat-B Рис. 15.18. Способ предотвращения проблемы разъединенных подсетей при помощи мар- маршрутизирующего коммутатора — технологии MLS На рис. 15.18 приведено логическое представление MLS-устройств, при котором компоненты второго и третьего уровней изображены отдельно для того, чтобы под- подчеркнуть избыточную конфигурацию второго уровня. Глава 15. Реализация конструкции территориальной сети 751
Внимание! Конструкция, представленная на рис. 15.18, может быть реализована также с исполь- использованием технологии коммутирующих маршрутизаторов, таких, как устройства серии Catalyst 8500, путем активизации объединения с помощью мостов или функции IRB. Второй способ решения проблемы разъединенной подсети заключается в постоян- постоянном использовании одного коммутатора второго уровня между маршрутизаторами (см. рис. 15.19). Станция А 10.0.1.10 Станция Б 10.0.1.11 Подсеть 10.0.1.0 10.0.1.1 Маршрутизатор А 10.0.1.2 Маршрутизатор Б Рис. 15.19. Способ предотвращения проблемы разъе- разъединенных подсетей с помощью единственного коммутатора второго уровня Поскольку в данном случае устраняется "цепь" коммутаторов второго уровня, по- показанных на рис. 15.17. такой подход допускает выход из строя одного канала без раз- разделения подсети. Протокол VTP В некоторых ситуациях с целью автоматического распространения списка сетей VLAN среди всех коммутаторов территориальной сети можно использовать протокол магистральных каналов виртуальных локальных сетей (VLAN Trunking Protocol — VTP). Однако, при этом очень важно осознавать, что такой подход автоматически может привести к использованию модели сетей VLAN территориального масштаба. Кроме того, как указывалось в главе 12, "Протокол магистральных каналов виртуаль- виртуальных локальных сетей", протокол VTP способен вызывать значительные простои сети при повреждении общего списка сетей VLAN. При использовании протокола VTP в крупных сетях необходимо рассмотреть воз- возможность обхода стандартного режима с помощью одной из двух следующих методик: 752 Часть V. Современное проектирование и реализация...
• применение прозрачного режима протокола VTP; • использование многочисленных VTP-доменов. Во-первых, для многих крупных сетей, в сущности, характерно перманентное от- отключение протокола VTP посредством использования его прозрачного режима (поскольку не существует команда set vtp disable). При использовании прозрачного режима протокола VTP администратор получает полный контроль над тем, какие сети VLAN конфигурируются на каждом коммутаторе, что позволяет отсекать задние сети VLAN при условии, что они не требуются для оптимизации сети. Во-вторых, если в организации принимается решение использовать серверный и клиентский режимы протокола VTP, часто бывает полезно использовать отдельное доменное имя для каждого блока распределения. Такой подход предоставляет сле- следующие преимущества: • изменяется стандартный режим работы протокола, предполагающий распро- распространение каждой сети VLAN на все коммутаторы (иными словами, использо- использование модели сетей VLAN территориального масштаба); • проблемы протокола VTP локализуются в пределах одного здания; • данный подход позволяет протоколу VTP лучше отражать многоуровневую модель; • могут быть уменьшены непроизводительные затраты, связанные с использова- использованием протокола распределенного связующего дерева. Установка паролей Поскольку интерфейс пользователя XDI/CatOS устройств Catalyst (в настоящее время это касается конфигурации серий 4000, 5000 и некоторых устройств из серии 6000) по умолчанию автоматически позволяет доступ к коммутатору, крайне необхо- необходимо установить пароли для пользовательского и привилегированного режимов дос- доступа. Кроме того, необходимо изменить стандартные строки SNMP-сообщества (SNMP community strings), поскольку в отличие от маршрутизаторов на устройствах Catalyst с интерфейсом XDI/CatOS протокол SNMP стандартно активирован. Конфигурация портов При конфигурировании портов, в особенности важных магистральных каналов, необходимо жестко установить (hard-code) как можно больше параметров. Например, использование автоматического выставления скорости 10/100 и дуплексных протоко- протоколов согласования параметров (duplex negotiation protocols) иногда вызывает сбой. Кроме того, следует жестко устанавливать состояние (on или off) и тип (isl или 802.1Q) данного Ethernet-канала. Совет Исключением из данного правила является использование протокола объединения портов (РАдР) с целью согласования EtherChannel-каналов. Если данный протокол жестко установлен в состояние on, предотвращается осуществление устройством Catalyst некоторой дополнительной обработки, которая может помочь в определенных ситуациях, таких, как восстановление структуры протокола распределенного связую- связующего дерева после сбоев. Глава 15. Реализация конструкции территориальной сети 753
Контрольные вопросы В данный раздел включены различные вопросы по теме настоящей главы. Ответив на них, читатель сможет оценить степень владения изложенным материалом. Кроме того, приведенные ниже вопросы помогут подготовиться к письменным и лаборатор- лабораторным экзаменам на получение статуса сертифицированного эксперта по объединенным сетям Cisco (CCIE). Ответы на вопросы приведены в приложении А, "Ответы на кон- контрольные вопросы". 1. В настоящей главе упоминались многие преимущества использования много- многоуровневой модели проектирования. Перечислите как можно больше таких пре- преимуществ. 2. В настоящей главе также уделялось внимание многим недостаткам использова- использования модели сетей VLAN территориального масштаба. Назовите как можно больше недостатков данной модели. 3. Перечислите некоторые вопросы, касающиеся проектирования административ- административных сетей VLAN. 4. Назовите несколько факторов, которые необходимо учитывать при определении месторасположения корневого моста. 5. Назовите пять методик распределения нагрузки в территориальной сети. 6. В чем заключается основное отличие между использованием в MDF-узлах (на уровне распределения) маршрутизирующих коммутаторов (технологии MLS) и коммутирующих маршрутизаторов? 7. Приведите аргументы за, а также против применения технологии ATM. 754 Часть V. Современное проектирование и реализация...
i В этой главе... • Философия различных подходов к устранению неисправностей. В данном разделе описаны теоретические подходы и практические рекомендации по разрешению проблем в сети.'В разделе также перечислены возможные области возникнове- возникновения проблем коммутируемой сети. Кроме того, с помощью эталонной модели OSI сети исчерпывающе описана организация процесса'поиска устранения не- неисправностей,/ г , « • Средства устранения неисправностей коммутаторов Catalyst. В данном разделе описываются различные разновидности команды show, а также другие техниче- технические средства, которые обеспечивают более полное понимание принципов дей- действия сети.;= ;... ■*'* "' :;::-' --ж %■■■ " •■■ ' -■« • Протоколирование (logging). В настоящем разделе обсуждаются использование и Конфигурирование функций устройств Catalyst, связанных с протоколировани- протоколированием важных событий, происходящих в оборудовании. 1 Л 10
Глава 16 Поиск и устранение неисправностей Щ "%■ '"%„ 'Изучая материал данной книги, читатель столкнулся с предложениями по устране- устранению .неисправностей в специфических областях, соответствующих теме главы. На- Настоящая глава отличается тем, что основное внимание в ней уделено комплексным, структурированным методикам устранения неисправностей в среде коммутируемых локальных сетей? Кроме того, в главе описывается большое количество ресурсов и "средств, позволяющих облегчить устранение неисправностей. \ "Ш- й|/ ''■'■':'"■ философия различных подходов к устранению неисправностей "'" Философские подходы к устранению неисправностей изменяются в зависимости от подготовки, знаний, способностей, предположений, системной хронологии, лич- личной дисциплины и количества раздраженных отзывов, которые администратор полу- получает от пользователей и управленческого персонала. Часто попытки философски под- подходить к устранению неисправностей заканчиваются неудачей вследствие давления со стороны пользователей, требующих сиюминутной работы сетевых служб, и управлен- управленческого персонала, который создает еще большее давление, поскольку не понимает вйлй" недооценивает сложность устранения неполадок в сети. Восприимчивость к та- такому давлению приводит к непоследовательному подходу, а также зависимости от случайных предположений и сведений. В конечном итоге все это приводит к увеличе- увеличению потерь времени на восстановление или развертывание сетевых служб. Характери- Характеристики хорошего философского подхода к устранению неисправностей включают в се- себя наличие структуры, цели, эффективности подхода и дисциплину для последова- последовательного соблюдения избранной к реализации структуры. В данной главе с целью организации соответствующего мышления представлены два философских подхода. Первый из обсуждаемых методов описывает подход к оп- определению проблем, основанный на вероятностном определении их местонахождения. Проблемы затем условно помещаются в одну из трех "ячеек" ("buckets") в зависимо- зависимости от вероятности ее возникновения. Такой подход называется ячеистым подходом к устранению неисправностей. >■% Второй подход предназначен для энергичного решения сетевых проблем с исполь- использованием эталонной модели OSI. Все уровни представляют собой различные сетевые
структуры, которые, возможно, придется исследовать с целью восстановления работо- работоспособности сети. Данный подход получил название OSI-подхода к устранению неис- неисправностей. Оба подхода действительно позволяют энергично разрешать проблемы очень по- похожими способами, представляя, однако, различные методы запоминания подхода. Второй метод действительно отличается своей дискретностью. В ячеистом подходе проблемы группируют в три ячейки. Каждая ячейка содержит проблемы со сходными характеристиками и представляет области возможных проблем. При использовании второго подхода проблемы решаются посредством эталонной модели OSI. Модель по- помогает мыслить симптоматически и определять, какие источники более высокого уровня могли вызвать рассматриваемые проблемы. В реальных условиях при устранении неисправностей возможно применение эле- элементов обоих подходов. В ячеистый подход с целью некоторого расширения трех яче- ячеек добавляется OSI-модель. Независимо от используемого подхода для устранения неисправностей в сети не- необходимо наличие одного основополагающего фактора — документации. Ведение и обслуживание документации сети Часто отсутствует один важный элемент для осуществления философского подхода к устранению неисправностей — документация. Многие администраторы пренебрега- пренебрегают документированием своих сетей или если документируют сети, то не поддержива- поддерживают данные в актуальном состоянии. Документация предоставляет структуру для про- проработки ответов на такие фундаментальные вопросы, как: "Что изменилось?" или "Какое устройство подключено к устройству X?", или "Какие существуют маршруты второго уровня между точками А и Б?". Реконструкция документации сетевой топо- топологии во время кризисов не приводит к эффективному или структурированному под- подходу к устранению неисправностей. Расходуя во время кризисных ситуаций время на определение топологии сети, администратор подводит себя и пользователей, ставит под удар свою карьеру. Документировать сеть следует как на электронных носителях информации, так и на бумаге. Для первого способа документирования применяются электронные табли- таблицы, графические программы, средства управления сетью или любые другие способы для поддержания документации в актуальном состоянии. Преимущество электронной документации заключается в ее портативности. Однако существует и недостаток, ха- характерный для данного подхода, который заключается в ограниченности доступа и чувствительности к сбоям. Если документация хранится на рабочей станции или мо- мобильном компьютере администратора и защищена паролем, остальные сотрудники не смогут получить к ней доступ, пока не появится сам администратор. В целях безопас- безопасности или для соблюдения правил корпоративной политики такой подход может ока- оказаться желаемым, но в большинстве случаев его нельзя назвать хорошей практикой. Бумажные версии документов не зависят от электронных устройств, но часто уста- устаревают вследствие недостаточного внимания к ним. При внесении изменений в элек- электронную документацию необходимо убедиться, что бумажная копия также отражает все внесенные изменения. Другое широко используемое средство документирования встроено непосредст- непосредственно в сетевое оборудование. В большинстве устройств предусмотрены встроенные средства документирования, такие, как строки описания (description strings) интер- 758 Часть V. Современное проектирование и реализация...
фейсов, модулей, шасси и т.д. Использовать такую документацию следует для связ- связного запоминания. Внесение строки описания для конфигурации порта занимает всего несколько секунд. В устройствах Catalyst 5000/6000 с целью документирования интерфейса полезной информацией используется команда set port name mod num/port_num [port_name]. Например, можно указать пользователя или устройст- устройство, подключенное к данному порту. Если порт является магистральным, следует указать, к какому устройству Catalyst он подключен. Как и в предыдущем случае, необходимо убедиться, что описание содержит актуальные сведения. Имя порта можно узнать с помощью команды show port status (см. пример 16.1). В данном случае порты 1/1 и 3/1 имеют назначенные имена, указывающие на устройства, к которым подключен данный порт. Пример 16.1. Информация, полученная с пом^ью команды set f)orts|atus Console> show port status Port Name Status Vlan Level Duplex Speed Type 1/1 1/2 2/1 3/1 Cat-B LS1010Switchl2 connected notconnect connected notconnect 523 1 trunk trunk normal normal normal normal half half half full 100 100 400 155 100BaseTX 100BaseTX Route Switch 0C3 MMF ATM Философия устранения неисправностей 1: ячеистый подход Ячеистый подход к процедуре поиска и устранения неисправностей основан на изучении областей наиболее возможных проблем с учетом вероятности их возникно- возникновения. Подход структурирует мышление в понятиях целевой области исследования. В специфических проблемных областях часто возникает большинство ситуаций, с кото- которыми вероятнее всего столкнется администратор. Данные проблемы можно разделить на категории и поместить в одну из трех ячеек: кабельная система, конфигурация и использование/реализация (т.е. все остальные проблемы). В последующих разделах описываются элементы, входящие в каждую категорию. Предполагается, что вероят- вероятность возникновения уменьшается с каждой последующей ячейкой. Данное предпо- предположение иллюстрируется с помощью размеров ячеек, приведенных на рис. 16.1. Пер- Первая ячейка, "кабельная система", наибольшая, поскольку представляет наивысшую вероятность возникновения. Поиск проблем в сети следует начинать с данной ячейки. Вторая ячейка, "конфигурация", содержит другую группу проблем, но обычно имеет меньше проявлений в сети. Следовательно, проверять такие проблемы необходимо после изучения кабельной системы. Последняя и наименьшая ячейка, "другие", со- содержит все остальные проблемы, которые не попадают в первые две группы. Пробле- Проблемы из данной ячейки наименее вероятны, и их следует рассматривать в последнюю очередь. Каждая ячейка представляет собой "ящик Пандоры". К сожалению, предотвратить смешивание содержимого различных ячеек невозможно. Такое случается. Работа ад- администратора по устранению неисправностей заключается в определении того, эле- элементы какой ячейки нарушили работу сети. Глава 16. Поиск и устранение неисправностей 759
Ячейка 1:кабельная система Ячейка 2: конфигурация Рис. 16.1. Три категории (ячейки) проблем Ячейка 3: другие Ячейка 1: кабельная система К группе проблем, связанных с кабельной системой, относятся такие случаи, как неверно выбранные кабели, разрыв или неправильное подключение кабелей. Слиш- Слишком часто администраторы сетей игнорируют кабели как потенциальные источники неприятностей. Особенно это верно в ситуациях, когда "система работала". Невнима- Невнимательное отношение к кабельной системе позволяет специалистам по устранению не- неисправностей предполагать, что поскольку вся система работала, то она и дальше должна работать. Затем начинается исследование других проблемных областей. И по- после долгих неудачных поисков источника сбоя администраторы сетей вновь возвра- возвращаются к кабельной системе. В общем случае ошибки монтажа кабельной системы включают в себя использо- использование неверно выбранного типа кабеля. Например, используется перекрестный (crossover) кабель вместо прямого (straight through) или наоборот. Ниже приводится список многих типичных проблем: • перекрестный кабель используется вместо прямого или наоборот; • одномодовое волокно (single-mode) используется вместо многомодового (multimode); • случайно выполнено встречное подключение (connecting transmit to transmit); • неверно выбран порт подключения; • используется частично функционирующий кабель; • кабель функционирует в симплексном режиме (simplex mode), а не в полнодуп- полнодуплексном (full-duplex); • кабель имеет слишком большую или слишком малую для передающей среды протяженность. Необходимо помнить, что при подключении MDI-порта (порта зависимого от сре- среды передачи интерфейса — media dependent interface) к порту MDI-X (зависимый от 760 Часть V. Современное проектирование и реализация...
среды передачи соединительный интерфейс — media dependent crossover interface) сле- следует использовать прямой кабель. Для всех других комбинаций требуется кабель пере- перекрестного типа. К счастью, неверный выбор типа кабеля приводит к миганию инди- индикаторов состояния канала на оборудовании, что в свою очередь подсказывает о необ- необходимости проверки кабеля. Подобное мигание индикатора состояния канала также может быть вызвано разрывом кабеля верного типа. Необходимо знать, что светящий- светящийся индикатор состояния канала не является гарантией хорошего состояния кабеля. В лучшем случае индикатор поможет заключить, что выбран кабель верного типа и что оба оконечных устройства способны определить друг друга. Тем не менее, такая сиг- сигнализация не означает, что кабель способен поддерживать передачу данных. Какая-либо форма частичного выхода кабеля из строя способна внести путаницу в некоторые сетевые операции, такие, как функционирование протокола распределен- распределенного связующего дерева. Например, если кабель хорошо работает в одном направле- направлении, но не работает в другом, устройство Catalyst способно успешно передавать паке- пакеты BPDU, но не может принять их. Если возникнет подобная ситуация, топология конвергированного распределенного связующего дерева может быть неверной и, сле- следовательно, потеряет свою функциональность. Внимание! Предположим, что имеется блок, заполненный кабелями, целостность которых доста- достаточна, чтобы на оборудовании горел индикатор состояния, но не достаточна для пе- передачи данных. Следовательно, исследуя другие проблемные области, можно потра- потратить много времени и вернуться вновь к кабелям. В данном случае необходимо глубо- глубоко проанализировать планы устранения неисправностей и проверить кабели, а не пропускать их. Необходимо использовать портативный кабельный тестер (cable tester handy)— прибор, предназначенный для разнообразного тестирования кабеля, а не только для проверок на отсутствие разрывов. Корпорация Cisco внедрила в устройства Catalyst 6000-й серии функцию, которая называется однонаправленным обнаружением канала (Uni-Directional Link Detection — UDLD). С ее помощью состояние кабеля проверяется в обоих направлениях незави- независимо. Если функция активизирована, она обнаруживает частичное повреждение кабе- кабеля (в одном или другом направлении) и уведомляет администратора о необходимости осуществления корректирующих мероприятий. Еще одна проблема, связанная с медным кабелем, может возникнуть там, где ожи- ожидается автоматическое согласование канала на скорость 100 Мбит/с, а канал способен предоставить скорость 10 Мбит/с. Такая ситуация может возникнуть, когда маршрут представлен многочисленными медными кабелями разных типов. Например, один из кабельных сегментов может быть категории 3, а не 5. Чтобы обнаружить подобное не- несоответствие, также следует проверить кабели с помощью кабельного тестера. Следующим примером использования неверно выбранного кабеля является при- применение одномодового волоконно-оптического кабеля (fiber) вместо многомодового, или наоборот. Необходимо использовать верный режим волоконно-оптического кабе- кабеля, основываясь на типе имеющегося оборудования. Существуют несколько исключе- исключений, когда можно использовать режим волоконно-оптического кабеля, который отли- отличается от присутствующего в оборудовании, однако они крайне редки. Следует рас- рассчитывать на использование верного типа волоконно-оптического кабеля всегда. Как и при любом монтаже медных проводников, следует обратить внимание на состояние индикатора несущей (carrier light) с тем, чтобы убедиться в отсутствии повреждений Глава 16. Поиск и устранение неисправностей 761
волоконно-оптического кабеля или проблем подключения выхода одного устройства к выходу другого. Как и в случае с медным проводником, индикатор не всегда гаранти- гарантирует состояние кабеля, необходимое для транспортировки данных. Возможно, в сис- системе возникнут слишком сильные затухания, препятствующие приемникам декодиро- декодировать данные, проходящие по волоконно-оптическому кабелю. Если используется од- номодовый кабель, возможно, что на вход приемника будет поступать слишком много света. Следует убедиться, что имеется, по крайней мере, минимальное затухание, не- необходимое для предотвращения насыщаемости (saturation) оптического приемника. Насыщение приемника препятствует соответствующему декодированию сигнала обо- оборудованием. Необходимо проверить кабели, особенно уже смонтированные, если нет очевидной причины не делать этого. Слишком часто процесс устранения неисправностей начи- начинается прямо со второй ячейки, исключая кабели из числа возможных причин сбоя. Ячейка 2: конфигурирование После получения подтверждения о том, что повреждения кабелей отсутствуют, можно начинать рассматривать проблемы в конфигурации. Обычно конфигурацион- конфигурационные проблемы возникают во время первичной установки, модернизации или модифи- модификации системы. Например, может возникнуть необходимость переместить коммутатор Catalyst из одной точки в другую, однако устройство не работает на новом месте. Проблемы в данном случае могут возникнуть из-за того, что не назначены порты для соответствующей сети VLAN или администратор забыл активизировать магистраль- магистральный порт. Кроме того, конфигурационные проблемы включают в себя объекты третьего уровня. Способны ли маршрутизаторы принимать от одной сети информа- информацию, адресованную другой сети VLAN? Присутствуют ли протоколы маршрутизации? Назначены ли устройствам корректные адреса третьего уровня? Ниже перечислены некоторые проблемы из данной категории: • неверные VLAN-назначения на порте; • неверные адреса устройства или порта; • некорректно сконфигурирован тип канала; например, канал может быть уста- установлен как магистральный, а не как обычный канал доступа к сети или наобо- наоборот; • ошибки в именах VTP-доменов; • неверная установка VTP-режимов; • неправильный выбор параметров распределенного связующего дерева; • несоответствия магистрального порта или порта доступа; • несоответствие в конфигурации канала EtherChannel; • не активизированы протоколы маршрутизации; • не определены стандартные маршруты. Одними из наиболее распространенных ошибок конфигурации являются неверные VLAN-назначения. Администраторы перемещают устройство к другому порту и забы- забывают обеспечить соответствие VLAN-назначения назначению подсети. Другие ошибки конфигурации связаны с тем, что не изменяются стандартные па- параметры для активизации функции или для изменения режима ее работы. Например, стандартным для магистрального канала является режим auto. Если оставить порты 762 Часть V. Современное проектирование и реализация...
устройств Catalyst на обоих концах канала в стандартном состоянии, канал не перей- перейдет автоматически в режим магистрального. Администратор может не осознавать, что настройки портов остаются стандартными, вследствие чего он неверно определит ис- истинную причину, по которой канал остается в качестве канала доступа. Функция PortFast устройств Catalyst, стандартно отключенная, при активизации способна исправить множество сетевых проблем. Если существуют клиенты, которые не могут подключиться к сети или сетевой службе, то, возможно, потребуется активи- активизация функции PortFast для обхода процесса конвергенции распределенного связую- связующего дерева и немедленного перехода в состояние передачи (Forwarding state). Внимание! Для того, чтобы снизить вероятность возникновения проблем клиент-серверного под- подключения, можно активизировать функцию PortFast на всех портах, кроме магистраль- магистральных. Однако, включать данную функцию необходимо с осторожностью, поскольку в определенных ситуациях существует возможность создания временных петель второ- второго уровня. Функция PortFast предполагает, что порт не является частью петли, и не начинает работу с поиска петель. Ячейка 3: другие проблемы К данной категории относится большинство других проблемных областей. Ниже приводятся типичные проблемы: • сбои аппаратного обеспечения; • ошибки программного обеспечения; • нереальные ожидания пользователей; • несоответствие программного обеспечения персональных компьютеров. Иногда пользователи пытаются совершить с помощью своих прикладных программ действия, для которых данные программы не предназначены. Когда пользователь тер- терпит неудачу, пытаясь заставить программу выполнить действия, которые она, по его мнению, должна выполнять, он винит во всем сеть. Конечно, жалобы такого рода не являются обоснованными, однако они слишком частые. Перед тем, как начинать се- сеанс поиска неисправностей, необходимо убедиться, что потребности пользователей обоснованны. К сожалению, возможно выявление другой проблемы в данной категории. Разра- Разработчики оборудования и программисты неидеальны. Можно столкнуться с такими си- ситуациями, где продукт не соответствует ожиданиям, что происходит вследствие конст- конструкторских недочетов со стороны производителей оборудования и ошибок в про- программном обеспечении. Большинство производителей оборудования не позволяют себе преднамеренно внедрять недоработанные конструкции или программное обеспе- обеспечение, однако, ошибки и недочеты иногда случаются. Когда корпоративная репутация изменчива и доверие акционеров быстро испаряется, торговым предприятиям прихо- приходится работать агрессивно, чтобы защитить свой имидж. Торговым представителям редко представляется случай повлиять на критические замечания в свой адрес, опуб- опубликованные в Internet, поскольку информация распространяется очень быстро. Для них гораздо труднее восстанавливать свою репутацию, чем поддерживать ее. Следова- Следовательно, продавцы оборудования обычно работают под влиянием данной философии и пытаются предотвратить представление на рынке плохих продуктов. Глава 16. Поиск и устранение неисправностей 763
Администраторы стремятся быстро обвинить производителя оборудования всякий раз, когда сталкиваются с необычной работой сети, которую они не способны устра- устранить. Подобная позиция достаточно проста, но она не способствует отражению боль- большинства проблем в сети. Администраторы поступают подобным образом из-за поль- пользующихся дурной славой компаний, которые заполнили рынок и время от времени возникают сегодня. Многие сети не достигают поставленных перед ними целей из-за неразборчивых в средствах торговцев оборудованием. Представители индустрии в на- настоящее время стремятся реагировать на такие случаи и предполагают, что все компа- компании оперируют подобным образом, поэтому не следует поспешно критиковать произ- производителя оборудования. Внимание! Действительно, даже у корпорации Cisco иногда возникают проблемы. В случае обна- обнаружения необычных сетевых проблем следует проверить список ошибок (bug list), представленный на корпоративном Web-сайте корпорации Cisco, или отправить за- запрос (inquiry) в центр технической поддержки корпорации (Cisco's Technical Assistance Center — TAC). В качестве примеров подобных проблем можно упомянуть различные неожиданные "особенности" программного или аппаратного обеспечения. Философия устранения неисправностей 2: оценка уровней эталонной модели OSI Согласно другому философскому подходу к устранению неисправностей проблемы рассматриваются в соответствии с эталонной моделью OSI, которая разделяет сетевую технологию на легко идентифицируемые компоненты. Как только проблемы иденти- идентифицированы на каждом уровне, выясняется, что их можно разместить в одной из трех ячеек, описанных в предыдущем разделе. Например, рассмотрим физический уровень. Проблемы, возникающие на данном уровне, связаны с кабелями и передающими сре- средами. Может быть кабеля слишком много? Или, напротив, недостаточно? Верно ли подключены кабели к портам? Очевидно, что данные проблемы можно отнести к пер- первой категории. Относительно второго уровня эталонной модели OSI — канального уровня — можно отметить следующее: данный уровень описывает метод доступа к передающей среде. Он определяет работу таких технологий, как Token Ring и Ethernet. Также с его помощью определяется функционирование методик объединения с помощью мостов для используемых методов доступа. На данном уровне работает распределенное свя- связующее дерево и осуществляется обработка маршрута отправителя с помощью моста. На втором уровне также определяется 802. lQ-инкапсуляция. Если собственная сеть VLAN на двух концах канала сконфигурирована неверно, магистральный порт будет работать с ошибками. На третьем уровне необходимо исследовать проблемы, связанные с маршрутизаци- маршрутизацией. Если проблемы возникают при обмене данными между устройствами в разных се- сетях, необходимо определить, нарушена ли маршрутизация третьего уровня, или функ- функционированию виртуальных локальных сетей или передаче трафика препятствуют проблемы, существующие в одном из двух более низких уровней. Диагностические подходы в данном случае заключаются в проверке связи от станции к маршрутизато- маршрутизатору, а затем между интерфейсами маршрутизатора (маршрутизаторов). На рис. 16.2 764 Часть V. Современное проектирование и реализация...
представлены три виртуальные локальные сети, объединенные с помощью маршрути- маршрутизаторов. При систематическом подходе к устранению неисправностей путем подклю- подключения к каждому интерфейсу маршрутизатора определяется, функционируют ли пер- первый и второй уровни эталонной модели OSI. Маршрутизатор 1 Маршрутизатор 2 Станция 1 Станция 2 Рис. 16.2. Тестирование связи между виртуальными локальными сетями В схеме на рис. 16.2 станция ПК-1 пытается связаться со станцией ПК-2, но тер- терпит неудачу. Предположим, что в данном случае имеет место IP-среда. С одной или другой станции попытаемся связаться (возможно, с помощью команды ping) с пер- первым транзитным маршрутизатором. Например, со станции РС-1 можно инициировать эхо-тестирование интерфейса маршрутизатора 1 с помощью команды ping (точка 1, см. рис. 16.2). Это можно сделать, отправляя ping-пакеты на IP-адрес входного порта (ingress port) маршрутизатора 1, который принадлежит той же подсети, что и станция ПК-1. Затем необходимо проверить интерфейс для исходящих фреймов (outbound in- interface) маршрутизатора 1 (точка 2 на рисунке). Такие операции необходимо продол- продолжать через транзитные переходы (точки 3 и 4) до тех пор, пока пакеты не достигнут станции ПК-2. Вероятно, где-то на пути эхо-тестирование ping потерпит неудачу. В этой точке и будет расположена проблемная область. Теперь необходимо определить, является ли данная проблема следствием нарушения маршрутизации, которое препят- препятствует прохождению эхо-запроса к маршрутизатору, или проблема связана с возвра- возвращающимся эхо-ответом. Например, предположим, что эхо-тестирование потерпело неудачу на входном порте маршрутизатора 2 (точка 3). Для того, чтобы определить, относится ли данная проблема ко второму уровню, следует попытаться отправить эхо- запрос ping к интерфейсу маршрутизатора с другого устройства в данной сети VLAN. Глава 16. Поиск и устранение неисправностей 765
Таким устройством может быть другая станция или маршрутизатор в широковеща- широковещательном домене. Если эхо-тестирование потерпит неудачу, можно обратить процесс, отправляя ping-запросы с маршрутизатора к другим устройствам в широковещатель- широковещательном домене. Проверить интерфейс маршрутизатора можно с помощью команды show interface. С другой стороны, чтобы убедиться, что порт активен, может потребовать- потребоваться проверка порта устройства Catalyst. Может потребоваться также проверка на кор- корректность некоторых условий, перечень которых приводится ниже. • Активирован ли порт? • Является порт магистральным или портом канала доступа к сети? • Если порт не является магистральным, принадлежит ли он соответствующей се- сети VLAN? • Соответствуют ли скорость порта и его дуплексность установкам подключен- подключенного устройства? Подобную информацию может предоставить команда show port. Если все пере- перечисленные параметры выглядят нормально, то вероятно, имеет место проблема третьего уровня, препятствующая порту маршрутизатора обмениваться данными с другими устройствами. Следующим моментом в исследовании является определение того, имеются ли проблемы для других протоколов при передаче информации к дан- данному маршрутизатору или через него. Существование таких проблем строго указывает на вопросы, связанные со вторым уровнем. Если же работают все протоколы, кроме IP, необходимо серьезно исследовать третий уровень. Необходимо проверить адрес порта маршрутизатора и маску подсети с тем, чтобы убедиться, что порт принадлежит той же подсети, что и остальные устройства в широковещательном домене. Необходимо помнить, что с целью демонстрации маршрутов третьего уровня может возникнуть необходимость восстановить схему сети. В главе 5, "Виртуальные локальные сети", объясняется, как физическая схема сети способствует хорошему пониманию того, как в ней движутся потоки данных. Схема, на которой показаны взаимосвязи коммутаторов Catalyst, предоставляет некоторую информацию второго уровня о потоках данных, но определенно не о третьем уровне. Для эффективного поиска и устранения неисправностей администратору может понадобиться отраже- отражение маршрутов второго и третьего уровней в сети. Для устранения неисправностей внутри сети VLAN (intra-VLAN) необходимо отобразить на схеме маршруты второго уровня. На такой схеме следует указывать мосты и магистральные каналы так, что- чтобы была возможность изучить топологию распределенного связующего дерева. Если же проблемы существуют в межсетевых VLAN-соединениях (inter-VLAN), то может возникнуть необходимость отображения обоих уровней. Может понадобиться изо- изображение второго уровня для того, чтобы убедиться, что существует возможность передавать данные от устройства к следующему переходу внутри сети VLAN. Со- Соединения между маршрутизаторами должны пересекать какую-либо сеть VLAN. Аналогично может понадобиться изображение схем третьего уровня. Они помогут убедиться, что маршруты передачи данных известны, и определить, какие сети VLAN необходимо исследовать. В число других проблем третьего уровня включаются списки доступа или неполад- неполадки таблиц маршрутизации в маршрутизаторах. Если существует список доступа, кото- который препятствует определенным станциям или сетям обмениваться данными друг с другом, то система, возможно, выглядит так, как будто в ней присутствует разрыв, 766 Часть V. Современное проектирование и реализация...
однако в действительности список доступа функционирует так, как ему и предписано администратором. Кроме того, необходимо проверить конфигурацию рабочих станций. Если рабочим станциям неверно назначены IP-адреса для сети VLAN, к которой они подключены, то связь данных станций с остальным миром будет невозможна, К счастью, такие IP- службы, как протокол DHCP, сводят подобные проблемы к минимуму, однако иногда некоторые станции конфигурируются вручную и нуждаются в настройке подсети для данной сети VLAN. Средства устранения неисправностей, предоставляемые коммутаторами Catalyst Корпорация Cisco создала множество встроенных в устройства Catalyst механиз- механизмов для облегчения диагностики и устранения неисправностей. Некоторые из них являются автономными (standalone), другие функционируют совместно с внешними средствами устранения неисправностей, которые необходимо предоставить допол- дополнительно. Описываемые встроенные средства способствуют устранению неисправ- неисправностей на первом и втором уровнях, поскольку отлаживать функции третьего уров- уровня обычно требуется на маршрутизаторах и рабочих станциях. Для начала необхо- необходимо просто убедиться, что первый и второй уровни не препятствуют работе функций третьего уровня, как это было описано в предыдущем разделе. В следую- следующих разделах изучаются ключевые средства устранения неисправностей для оценки работоспособности рассматриваемой коммутируемой сети. Краткое описание дан- данных средств приведено ниже. • Существует множество различных команд show, которые не были описаны в предыдущих главах и которые способствуют более полному пониманию потен- потенциальных проблемных областей в сети. • Коммутатор Catalyst снабжен расширенными определениями MIB (Management Information Base — база управляющей информации) протокола SNMP и воз- возможностями дистанционного мониторинга (remote monitoring — RMON) для сбора и накопления статистики по производительности сети, а также по случа- случаям аномального поведения, • Наличие функции протоколирования (logging feature) позволяет автоматически регистрировать на сервере наиболее значительные события в коммутаторах Catalyst. Можно просматривать хронологию работы устройства Catalyst, храня- хранящуюся в текстовом файле, созданном с помощью данной функции. • В устройствах Catalyst реализована служба изучения трафика посредством порта анализатора коммутируемых портов (Switched Port ANalyzer — SPAN). SPAN- порт позволяет подключить к коммутатору Catalyst внешний анализатор и пере- перехватывать трафик от порта или сети VLAN внутри устройства Catalyst. При этом предоставляется возможность просматривать как каналы доступа к комму- коммутируемой сети, так и магистральные каналы. Глава 16. Поиск и устранение неисправностей 767
Команды show В каждой главе данной книги представляются команды show, соответствующие ос- основному материалу главы. Однако, у коммутаторов Catalyst имеется целый ряд допол- дополнительных команд show, которые могут быть использованы при диагностике коммути- коммутируемой сетевой среды. Команда show test Например, команда show test позволяет получить подробную информацию о ра- работоспособности аппаратного обеспечения Catalyst. Команда отражает результаты встроенных аппаратных тестов устройств Catalyst. При включении оборудования про- производится проверка источника питания устройства Catalyst, а также компонентов в модуле Supervisor, включая память мостовых таблиц и соответствующие наборы мик- микросхем (chipset). В примере 16.2 показана сокращенная информация, получаемая с помощью команды show test. \ Пример,16.2. Результат работьТкоманды show test Console> show test Environmental Status (. = Pass, F = Fail, U = Unknown) PS C.3V): . PS A2V): . PS B4V): . PS1: . PS2: . Temperature: .Fan: Module 1 : 2-port 10/100BaseTX Supervisor Network Management Processor (NMP) Status: (. = Pass, F = Fail, U = Unknown) ROM: . Flash-EEPROM: . Ser-EEPROM: . NVRAM: . MCP Comm: . EARL Status : NewLearnTest: IndexLearnTest: DontForwardTest: MonitorTest DontLearn: FlushPacket: ConditionalLearn: EarlLearnDiscard: EarlTrapTest: LCP Diag Status for Module 1 (. = Pass, F = Fail, N = N/A) SAMBA CPU RAM Saints Phoenix : . Sprom : : . LTL : : . Pkt Bufs : : . TrafficMeter: Bootcsum : CBL : Repeater : . UplinkSprom : Archsum : DPRAM : N FLASH : . PhoenixSprom: В первой выделенной части показаны результаты проверки блока питания. По- Поскольку в записях, соответствующих блокам питания, не фигурирует флаг F, данные блоки успешно прошли проверку. В данном разделе также приводятся результаты 768 Часть V. Современное проектирование и реализация...
других тестов среды. Во второй категории тестов проверяется функциональность ло- логики улучшенного распознавания адресов (Enhanced Address Recognition Logic — EARL). Функция EARL управляет таблицами мостов. Точки, появляющиеся после каждого теста, свидетельствуют об успешном прохождении проверки. Команда show port counters С помощью другой команды можно получить подробную информацию о состоя- состоянии передающей среды второго уровня и операциях доступа. Для получения сведений об операциях в сегменте используется команда show port counters, как показано в примере 16.3. | Пример 16^3. Результат работы команды show port counters I Щ ' J • Console> show port counters Port 1/1 1/2 4/1 4/2 4/3 4/4 Port 1/1 1/2 4/1 4/2 4/3 4/4 Align-Err 0 0 0 0 0 0 Single-Col 12 0 0 0 0 0 FCS-Err Xmit-Err 0 0 0 0 0 0 Multi-Coll Late-Coil 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 Rev-Err 0 0 0 0 0 0 Excess-Col 0 0 0 0 0 0 UnderSize 0 0 0 0 0 0 Carri-Sen Runts 0 0 0 0 0 0 Giants 0 0 0 0 0 0 _ 0 0 0 0 0 Ler Port 3/1 3/2 CE-State isolated isolated Conn-State connecting connecting Type A В Neig U U Con no no Est 9 9 Aim 9 8 Cut 7 7 Lem-Ct 1 C3 C3 Lem-Rej-Ct Tl-Min 102 40 Несколько полей заслуживают отдельного обсуждения, поскольку значения в не- некоторых колонках могут подсказать области для исследования причины возникнове- возникновения неисправности. Значения в полях Align-Err и FCS-Err указывают, что передающие качества кабеля ухудшились или сетевая плата станции более не функционирует должным образом. Данные значения увеличиваются каждый раз при получении фрейма, содержащего ошибки. Ошибки обнаруживаются принимающим устройством на основании поля CRC (контрольная сумма) во фрейме. Значение в поле Align-Err в дальнейшем указывает на то, что фрейм содержал неверное количество октетов, что в свою очередь может строго указывать на сбой в работе сетевой платы. Глава 16. Поиск и устранение неисправностей 769
В полях Xmit-Err и Rev-Err указывается переполнение буфера порта, которое вы- вынуждает устройство Catalyst отбрасывать фреймы. Подобная ситуация возникает, ко- когда порт испытывает перегрузку, которая препятствует коммутатору Catalyst переда- передавать фреймы коммутирующему BUS-серверу (switching BUS) или через интерфейс в передающую среду. Для того, чтобы устранить первую проблему, при которой порт не способен передавать фрейм через BUS-сервер (значение в поле Rev-Err), необходимо увеличить приоритет порта посредством ввода команды set port priority с парамет- параметром high. Когда установлен высокий приоритет, BUS-арбитр (BUS arbiter) предостав- предоставляет порту доступ к BUS-серверу с частотой, в пять раз превышающей обычную, в ре- результате чего буфер освобождается с более высокой скоростью. Совет Не следует устанавливать высокий приоритет для всех портов, поскольку при этом снижается эффективность описанного преимущества. Данную установку следует ис- использовать на портах, подключенных к высокопроизводительным серверам. Коммутатор Catalyst отбрасывает (discard) фреймы, поскольку не имеет возможно- возможности направить их в передающую среду. Подобная ситуация может указывать на воз- возникновение перегрузки, при которой полоса пропускания в передающей среде недос- недостаточна для поддержки того количества трафика, которое пытаются передать через нее устройства. На рис. 16.3 проиллюстрирована коммутируемая сеть, в которой мно- множеству устройств-отправителей требуется организовать обмен данными с одним и тем же устройством-получателем. Рис. 16.3. Перегрузка в локальной сети 770 Часть V. Современное проектирование и реализация.
В ситуации, изображенной на рис. 16.3, суммарный трафик от устройств- отпрайителей превышает доступную полосу пропускания. Верхние (на рисунке) уст- устройства, подключенные к коммутатору на скорости 100 Мбит/с, пытаются получить доступ к устройству, использующему канал 10 Мбит/с. Одновременная передача тра- трафика всеми станциями быстро вызовет перегрузку канала 10 Мбит/с. В подобной си- ситуации коммутатор Catalyst вынужден накапливать фреймы во внутреннем буфере до тех пор, пока не появится возможность передать данные. Как и любое другое устрой- устройство в локальной сети, коммутатор Catalyst не задерживает фрейм на неопределенное время. Если коммутатор не может передать фрейм в довольно короткий период вре- времени, данный фрейм отбрасывается. Такая ситуация также может возникнуть, если коммутатор повторно сталкивается с коллизиями при попытке передачи фрейма. Как и другие устройства в локальной сети, коммутатор Catalyst совершает до 16 попыток отправки фрейма. После 16 коллизий коммутатор отбрасывает данный фрейм. Кроме того, коммутатор Catalyst способен отбрасывать фрейм, если нет доступного буфер- буферного пространства (buffer space). Для того, чтобы разрешить данную проблему, необ- необходимо увеличить полосу пропускания порта или создать множественные домены коллизий (collision) или широковещательные домены на выходе системы. Для сообщения о неверных размерах фреймов существуют три поля: UnderSize — фреймы с размером ниже номинального, Runts — фреймы с размером ниже мини- минимального допустимого и Giants — фреймы с размером выше максимального допусти- допустимого. Первые два из них указывают фреймы с размерами меньшими, чем допустимые для данной передающей среды, тогда как поле Giants указывает на слишком большие по спецификации стандарта для передающей среды фреймы. Понятия UnderSize и Gi- Giant-фреймов обычно означают, что формат фрейма и значения CRC верные, но раз- размеры фрейма выходят за рамки параметров передающей среды. Например, при непра- неправильном срабатывании Ethernet-станции могут создаваться Ethernet-фреймы длиной менее 64 байтов. Несмотря на то, что МАС-заголовок и значения CRC являются до- допустимыми, они не соответствуют требованиям на размер Ethernet-фрейма. Коммута- Коммутатор Catalyst отбросит любой из таких фреймов. Runt-фреймы отличаются от UnderSize-фреймов тем, что они обычно представляют собой побочный продукт кол- коллизий (collision) в совместно используемой передающей среде. Runt-фреймы в отли- отличие от UnderSize-фреймов не содержат допустимых значений CRC. Непрерывный рост значений счетчика Runt-фреймов в течение некоторого времени может указывать на наличие слишком большого количества устройств, претендующих на полосу про- пропускания в домене коллизий, или на наличие проблем с передающей средой, которая создает коллизии и побочные карликовые фреймы. Если проблема порождена конку- конкуренцией за передающую среду, следует разбить сегмент на меньшие по размеру доме- домены коллизий. Если же источником проблемы является передающая среда (как, на- например, проблема ограничения стандарта 10Base2), необходимо просто устранить ее! Четыре поля предназначены для описания комбинаций коллизий: Single-Coll, Multi- Coll, Excess-Col и Late-Coil. В поле Single-Coll — однократная коллизия — подсчитыва- ется, сколько раз коммутатор Catalyst пытался передать фрейм, но сталкивался с одной и только одной коллизией. После коллизии коммутатор Catalyst попытался передать фрейм снова, в этот раз успешно. В поле Multi-Coll (множественные коллизии) учиты- учитываются коллизии со 2 по 15 включительно. Коммутатор Catalyst неоднократно пытался передать фрейм, но сталкивался с коллизией при передаче. В конечном итоге он успеш- успешно передал данный фрейм. Счетчики поля Excess-Col (чрезмерная коллизия) увеличи- увеличиваются каждый раз, когда коммутатор Catalyst пытается передавать фрейм 16 раз. Когда Глава 16. Поиск и устранение неисправностей 771
указанный счетчик увеличивается, коммутатор отбрасывает данный фрейм. Поле Late- Coll предназначено для подсчета числа запоздалых коллизий (late collision). Запоздалая коллизия возникает, когда коммутатор Catalyst обнаруживает коллизию за пределами домена коллизий, описанного в главе 1, "Технологии для настольных систем". Возник- Возникновение коллизии такого вида означает, что коллизионный домен слишком большой, либо используется слишком много кабелей, либо повторителей (repeaters), которые уве- увеличивают расстояние между конечными узлами за рамки спецификаций канального ин- интервала (timeslot) для данной передающей среды. В таком случае необходимо уменьшить протяженность логически неразделенной среды передачи с помощью мостов или удалив оборудование, вызывающее данную проблему. Команда show mac Команда show mac предоставляет информацию о количестве фреймов, переданных и принятых каждым интерфейсом коммутатора Catalyst. В частности, с помощью дан- данной команды осуществляется подсчет общего числа фреймов на интерфейсе, количе- количество многоадресатных фреймов и количество широковещательных фреймов. Хотя большинство заголовков ясно указывают на содержащиеся в столбцах значе- значения, некоторые заслуживают дополнительного пояснения. В примере 16.4 приведена часть выводимой информации, полученной с помощью команды show mac. Призер 16.4. Часть информации, полученной с помощью команды show Console> show mac 3/4 MAC Rcv-Frms Xmit-Frms Rcv-Multi Xmit-Multi Rev-Broad Xmit-Broad 3/4 0 0 0 0 0 0 MAC Dely-Exced MTO-Exced In-Discard Lrn-Discrd In-Lost Out-Lost 3/4 0 0 0 0 0 0 В первой строке вывода представлены упомянутые выше счетчики фреймов. Во второй, выделенной в данном примере полужирным шрифтом, содержатся счетчики других событий. В поле Dely-Exced указано сколько раз коммутатор Catalyst был вы- вынужден отбросить фрейм при попытке передачи, когда была отложена отправка (фрейм ожидал передачи) из-за того, что была занята передающая среда. Время ожи- ожидания было превышено, поскольку отправитель передавал данные дольше, чем ожи- ожидалось для используемой передающей среды. Иногда подобное явление называют бес- бессвязной передачей (jabber). К его появлению приводит нарушение работы сетевой платы в сети с совместно используемой передающей средой. Вместо удерживания фрейма на неопределенное время коммутатор Catalyst отбрасывает его. Следовательно, указанный счетчик отображает количество отброшенных вследствие бессвязной пере- передачи фреймов. Как правило, такое происходит только при подключении порта к со- совместно используемой передающей среде. В поле MTU-Exced указано, сколько раз порт принял фрейм с превышением MTU-размера фрейма (Maximum Transmission Unit — MTU), сконфигурированного на данном интерфейсе. По умолчанию данный размер устанавливается максимальным для используемой передающей среды, однако его можно уменьшить. Уменьшить па- 772 Часть V. Современное проектирование и реализация...
раметр можно, если имеется FDDI-устройство, которое пытается обмениваться дан- данными с Ethernet-устройством, и необходимо обеспечить уничтожение коммутатором фреймов, превышающих значение MTU для среды Ethernet. В поле In-Discard отражено, сколько раз коммутатор Catalyst отбрасывает фрейм вследствие использования мостовой фильтрации (bridge filtering). Подобные ситуации возникают, когда отправитель и получатель находятся на одном интерфейсе. Подроб- Подробнее фильтрация описана в главе 3, "Технологии функционирования мостов". Мосты (и коммутаторы Catalyst) обладают определенным количеством памяти для таблиц моста. Таблица заполняется в процессе самообучения моста (bridge learning process), который описан в главе 3, "Технологии функционирования мостов". В зави- зависимости от модели коммутатор Catalyst способен запоминать до 16 000 записей. Одна- Однако, в случае очень крупной системы, в которой данный объем памяти заполняется в связи с большим количеством станций, коммутатор Catalyst вынужден заменять суще- существующие записи до тех пор, пока более старые записи не удалятся из таблицы и об- образуется свободное пространство. Счетчик Lrn-Discrd фиксирует количество неизу- неизученных адресов (unlearned addresses), т.е. ситуаций, в которых коммутатор обычно оп- определяет адрес отправителя, но не может занести его в таблицу в связи с тем, что она уже заполнена. В полях In-Lost и Out-Lost представлено количество фреймов, удаленных (dropped) коммутатором Catalyst вследствие недостаточности буферного пространства. В поле In-Lost подсчитывается количество фреймов, пришедших в порт из локальной сети, а в поле Out-Lost — количество фреймов, исходящих из порта в локальную сеть. Команда show counters Недокументированная команда show counters позволяет получить количество SNMP- и RMON-счетчиков. Более подробная информация о каждом из них пред- представлена в соответствующих RFC-спецификациях, описывающих передающие среды. SPAN-анализатор Иногда возникает необходимость изучить трафик, следующий к и от какого-либо порта или внутри сети VLAN. В совместно используемой сети анализатор подключа- подключается к доступному порту и выборочно прослушивает весь трафик в данном сегменте. Анализатор затем может декодировать фреймы и предоставлять администратору под- подробный анализ их содержимого. Однако в коммутируемой сети реализация подобной функциональности значительно сложнее, чем в совместно используемой. Причина в данном случае одна: коммутатор не допускает передачу фрейма через порт, если таб- таблица моста не содержит сведений о том, что получатель находится на данном порту, или если данный фрейм не предназначен для лавинной широковещательной рассылки посредством моста. Подобная обработка совершенно не соответствует целям анализа трафика. Следовательно, обычный режим работы коммутатора Catalyst необходимо модифицировать с целью перехвата трафика на других портах. Функция коммутатора Catalyst — анализатор коммутируемых портов (Switched Port Analyzer — SPAN) позво- позволяет подключить анализатор к порту коммутатора и перехватывать трафик с других портов данного коммутатора. Кроме того, возможно использование высокопроизводительных аналитических средств, таких, как модуль сетевого анализа (Network Analysis Module), который пре- предоставляет создание усовершенствованных отчетов RMON-мониторинга для станции Глава 16. Поиск и устранение неисправностей 773
управления сетью (network management station). Указанный модуль устанавливается в разъем коммутатора Catalyst и контролирует трафик от SPAN-порта или компонента NetFlow. Еще одно средство мониторинга, предоставляемое корпорацией Cisco, — Switch- Probe, подключается к SPAN-порту коммутатора Catalyst или к сегменту сети и нака- накапливает RMON-статистику, которую впоследствии можно получить на станции управления сетью. По умолчанию данная функция отключена. Для того, чтобы перехватывать трафик с других портов, необходимо явно активизировать анализатор SPAN. При активиза- активизации анализатора SPAN необходимо указать, что необходимо отслеживать и где. Мониторинг осуществляется для следующих объектов: • индивидуального порта; • нескольких портов на локачьном коммутаторе Catalyst; • локального трафика для сети VLAN; • локального трафика для множества сетей VLAN. Отслеживаемый трафик следует к порту на локальном коммутаторе Catalyst. На рис. 16.4 приведена схема, на которой показано, что трафик от сети VLAN 100 отсле- отслеживается и направляется к анализатору, подключенному к порту 4/1. 1 1 1 1 100 set span 1004/1 100 Рис. 16.4. Пример виртуальной локальной сети с использованием анализатора SPAN Несмотря на тот факт, что с помощью команды set span 100 4/1 указывается необходимость отслеживать сеть VLAN 100, следует отметить, что будет перехваты- перехватываться только локальный по отношению к коммутатору Cat-A трафик сети VLAN 100. Если станции на коммутаторе Cat-В передают одноадресатный трафик друг другу и фреймы не распространяются лавинно, то анализатор не фиксирует такой трафик. Анализатор способен контролировать только лавинно распространяемый внутри сети VLAN 100 трафик и любой локальный одноадресатный трафик. 774 Часть V. Современное проектирование и реализация...
Совет При мониторинге канала Gigabit Ethernet необходимо соблюдать осторожность. Девя- типортовый Gigabit Ethernet-модуль обеспечивает локальную коммутацию и не спосо- способен анализировать трафик в объединительной плате коммутатора. Если же имеется трехпортовый Gigabit Ethernet-модуль, то появляется возможность отслеживать весь трафик внутри коммутатора Catalyst. Совет Несмотря на то, что существует возможность направить VLAN-трафик к SPAN-порту, порт способен контролировать только локальный VLAN-трафик. Если сеть VLAN при- присутствует в нескольких коммутаторах Catalyst, SPAN-порт отображает VLAN-трафик, обнаруженный в локальном коммутаторе Catalyst, на котором был активизирован ана- анализатор SPAN. Следовательно, администратор получит сведения обо всем локальном трафике. Проконтролировать VLAN-трафик с других коммутаторов Catalyst можно, только если фрейм перенаправляется или распространяется лавинно к локальному коммутатору Catalyst. Если фрейм остается локальным по отношению к удаленному коммутатору Catalyst, SPAN-порт не обнаруживает данный фрейм. Совет Особое внимание необходимо уделить синтаксису приведенной выше команды. Она очень похожа на команду set spantree. Команды set span и set spant представляют собой сокращенные формы двух различных команд. Атрибуты порта получателя В зависимости от адреса отправителя, трафик которого отслеживается, может воз- возникнуть необходимость предотвращения перегрузок SPAN-порта. Например, если от- отслеживается загруженная сеть VLAN, суммарный исходящий трафик такой сети VLAN отправляется на SPAN-порт. Следовательно, неверно было бы контролировать всю сеть VLAN и получать трафик, отправленный на интерфейс со скоростью переда- передачи 10 Мбит/с, особенно, если порты устройств данной сети VLAN рассчитаны на скорость 100 Мбит/с интерфейсами. SPAN-порт необходимо обеспечить соответст- соответствующей полосой пропускания для эффективного перехвата контролируемого трафика. Протоколирование событий в устройствах Catalyst Ведение журнала (log) значительных событий, связанных с оборудованием, являет- является хорошей идеей. Автоматическая функция коммутатора Catalyst способна передать важную, по мнению администратора, информацию файловому TFTP-серверу с целью ее последующей оценки. Данная информация может понадобиться для устранения неполадок в сети или в целях безопасности системы. Например, файл журнала может использоваться для того, чтобы узнать, какой была последняя конфигурация или при- приходилось ли портам работать в необычных условиях. Глава 16. Поиск и устранение неисправностей 775
Для изменения режима протоколирования существует множество команд. По умолчанию, функция протоколирования отключена. Однако, возможно включение протоколирования с направлением вывода во внутренний буфер, на консоль или на сервер TFTP. Ниже приводятся команды, с помощью которых можно отправить сер- серверу записи о событиях. set logging server {enable | disable} — данная команда предназначена для включения или отключения функции регистрации событий сервером. Если планиру- планируется автоматически записывать события, на сервере необходимо включить возмож- возможность ведения записей. set logging server ip_addr — команда используется для сообщения коммутатору Catalyst IP-адреса TFTP-сервера. set logging server facility server_facility_parameter — существует возможность отслеживать и регистрировать на сервере множество процессов. Например, могут от- отслеживаться важные события, связанные с протоколами VTP, CDP, службой VMPS и службами безопасности. Подробный список процессов предоставляется в документа- документации на коммутатор Catalyst. set logging server severity server_severity_level — события в зависимости от степени важности описываются значениями от 0 до 7. Значением 0 указывается ава- аварийная ситуация, а значение 6 предназначено для представления информационных записей. Значение 7 используется для отладочных уровней (debugging levels). При ус- установке уровня важности 6 в регистрационную базу данных попадет большое количе- количество записей, поскольку в ней накапливаются как тривиальные, так и значительные события. При установке уровня 0 будут фиксироваться только записи, свидетельст- свидетельствующие о возникновении аварийных ситуаций. Для большинства сетей наиболее со- соответствующим является какой-либо промежуточный уровень. 776 Часть V. Современное проектирование и реализация...
В этой главе... • ; • Проблемы конструирования сетей в реальных условиях. В данном разделе предос- предоставляется возможность на примере двух реальных проектов применить знания, полученные при изучении предыдущих глав. • Территориальные сети VLAN. В данном разделе рассматриваются недостатки конструкций с плоской землей в реальных условиях. • MLS-щюектирование. В данном разделе обсуждаются и анализируются доводы "за" и "против" конструкций территориальных сетей, в которых для поддержки механизмов коммутации третьего уровня используется технология многоуров- многоуровневой коммутации. • . Коиструкция на основе аппаратной маршрутизации. В данном разделе анализиру- анализируются преимущества и уникальные характеристики конструкции территориаль- . ной сети, основанной на использовании аппаратной маршрутизации с приме- применением устройств Catalyst 8500. > Примеры конфигураций. В разделе рассматриваются существующие конфигура- конфигурации для двух различных проектов территориальной сети.
Глава 17 Учебные примеры: внедрение коммутаторов в сети В предыдущих главах основное внимание было уделено приобретению специфиче- специфических навыков, которые необходимы для ясного понимания и, в перспективе, для соз- создания расширяемых территориальных сетей. В настоящей главе сделано отступление от освещения специфических навыков конструирования территориальных сетей и технологий с тем, чтобы рассмотреть картину проектирования телекоммуникационной инфраструктуры в целом. v Таким образом, в настоящей главе изучаются проектные требования для быстро растушей территориальной сети. С целью максимального расширения возможностей для анализа разрабатываются два отдельных проекта, соответствующих одному набору требований заказчика. Благодаря испытанным преимуществам коммутации третьего уровня в устройствах уровня распределения (т.е. главных кабельных узлах, или Main Distribution Frame — MDF), в обоих проектах применяется данная технология. Одна- Однако, в первом проекте используется технология MLS с целью сохранения обособлен- обособленного компонента второго уровня на уровне распределения, а во втором проекте для создания жесткого барьера третьего уровня на уровне распределения применяется технология на основе устройств Catalyst 8500. В обеих конструкциях кроме того используется множество различных функций, связанных с технологией коммутации, что отражает реальную среду, в которой могут обсуждаться аргументы "за" и "против" различных функций и инженерных подходов. Поскольку разработчики сетей, несомненно, сталкиваются со многими из таких же решений, настоящая глава призвана служить полезным образцом для практического конструирования территориальных сетей. Наконец, не следует сосредоточиваться на специфических продуктах и моделях оборудования, приведенных в данной главе. Несмотря на то, что в главе с целью наи- наиболее точного отражения реальных условий упоминаются различные продукты, ос- основное внимание уделено, тем не менее, процессам и методологиям проектирования. Хотя продукты гарантированно изменяются с постоянно растущим темпом обновле- обновлений, отличительные признаки хорошего проектирования изменяются редко (более того, синтаксис, приведенный в конфигурационных примерах, включенных в данную главу, также редко претерпевает существенные изменения).
Описание проекта Заказчиком проекта сети является компания Happy Homes, Inc. — преуспевающая организация, занимающаяся строительством жилых зданий в восточной части Соеди- Соединенных Штатов. В прошлом предметом гордости компании Happy Homes являлась чрезвычайно децентрализованная структура управления. Компания была разделена на 5 географических подразделений, которые функционировали в чрезвычайно автоном- автономном режиме. Однако, в связи с отставкой Хэппи Гоулаки (Happy GoLucky) — обая- обаятельного основателя компании, новая управленческая команда приняла решение о необходимости централизованного руководства. В результате 4 региональных штаб- квартиры компании переносятся в корпоративную штаб-квартиру за пределами Бал- Балтимора, штат Мэриленд. В настоящее время территориальная сеть в Балтиморе состоит из двух 3-этажных зданий, в каждом из которых имеется подвальное помещение для размещения в здании коммунальных служб, таких, как отопление, водопровод и, конечно, сетевое оборудование. Здание 1 последние 15 лет прослужило в качестве корпоративной штаб-квартиры. Мистер Гоулаки даже самостоятельно заложил краеугольный ка- камень этого строения. В настоящее время в здании размещен 371 сотрудник. Отдел продаж расположен на первом этаже здания, инженерный и маркетинговый отделы совместно используют второй этаж, а финансовый отдел расположен на третьем этаже. С точки зрения проектирования сети здание 1 содержит хаотическую смесь обору- оборудования, изображенного на рис. 17.1. В подвальном помещении здания 1 находится маршрутизатор Cisco 4000, с помо- помощью которого компания Happy Homes подключается к местному Internet-провайдеру (Internet service provider — ISP). В настоящее время веб-сайт компании поддерживает- поддерживается провайдером ISP, Однако, планируется перенести данную функцию на оборудова- оборудование компании Happy Homes. Порт Ethernet 1 маршрутизатора подключен к сегменту 10Base2, объединяющему два сервера под управлением операционной системы Net- NetWare 3.11 и NetBIOS-сервера электронной почты. Порт EthernetO подключен к lOBaseT-концентратору, расположенному в отделе продаж на первом этаже. Всего в отделе продаж используются три 48-портовых концентратора, подключенных в после- последовательной конфигурации (daisy-chain), а также единственный сервер NetWare 4.02. Всего на первом этаже используются 109 соединений. Для второго этажа закуплен 4-портовый программный мост. Два его порта исполь- используются для соединения первого и третьего этажей, а третий порт подключен к серверу NetWare 3.11 маркетингового отдела. Четвертый порт подключен к 96-портовому кон- концентратору, поддерживающему пользовательские соединения маркетингового отдела. Будучи технически более осведомленными, сотрудники инженерного отдела устано- установили собственный маршрутизатор модели 2514 и 8-портовый Ethernet-коммутатор. Коммутатор подключен к двум 48-портовым концентраторам и серверу под управле- управлением операционной системы OS/2, на котором используется программный CAD- пакет. Всего на втором этаже имеется 163 пользователя. Финансовый отдел использует серию 48-портовых концентраторов, соединенных последовательно и подключенных к мосту на втором этаже. В финансовом отделе имеются 99 пользовательских соединений и 3 сервера: 2 сервера под управлением операционной системы NetWare 3.11 и один сервер MS Windows NT 3.51. 780 Часть V. Современное проектирование и реализация...
Сервер. OS/2 3 этаж: финансовый отдел 2 этаж: отдел продаж и технический 1 этаж: отдел продаж Серверы NetWare 3.12 Сервер NT 3.51 Сервер NetWare 3.11 Сервер NetWare 4.02 Серверы NetWare 3.11 E-mail Рис. 17.1. Здание 1 штаб-квартиры компании Happy Homes, Inc. Расположенное рядом с первым зданием, здание 2 находится в заключительной стадии конструирования. Данное здание будет использоваться для размещения персо- персонала, который заменит региональные офисы, расположенные в настоящее время в Хай-Пойнте, штат Северная Каролина. Инженерная группа займет первый этаж, фи- финансовая и маркетинговая группы будут размещены на втором этаже. Отдел продаж расположился в кабинетах, отделанных красным деревом, на третьем этаже Глава 17. Учебные примеры: внедрение коммутаторов в сети 781
(сотрудники убедили совет директоров в том, что строгий вид штаб-квартиры расту- растущей компании Happy Homes увеличит продажи). Ожидается, что в здании 2 будет размешен 431 сотрудник. Поскольку дополнительные офисы закрываются и переносятся в Балтимор, будут построены еще несколько зданий. Когда данные перестановки будут объединены, в течение двух лет ожидается постройка еще шести зданий и размещение в них 2600 ра- работников. Хотя первоначальный проект должен включать в себя только здания 1 и 2, представители заказчика неоднократно подчеркивали важность проектирования легко масштабируемой инфраструктуры, которая будет приспособлена ко всем шести пла- планируемым к постройке в будущем зданиям. Руководство хорошо осведомлено о недостатках существующей сети и планирует использовать все преимущества технологии как средства конкуренции. Руководящие сотрудники хотят, чтобы компания была известна не только как строитель велико- великолепных зданий, но и как технологический лидер. Они осознают, что высокоскорост- высокоскоростная и гибкая территориальная сеть будет играть в этом ключевую роль. Однако, одной только полосы пропускания недостаточно. Ввиду того, что существующая сеть неод- неоднократно простаивала, новая конструкция должна обеспечить избыточность, стабиль- стабильность и высокую надежность. Следует ли использовать плоскую структуру сети? Перед началом работы над новым проектом была организована встреча с основ- основными сотрудниками, обслуживающими сеть в компании Happy Homes. Зная о том, что многие специалисты связывают технологию коммутации с "очень плоскими сетя- сетями", разработчики были намерены узнать ожидания заказчиков, касающиеся проекта в целом. Несколько сотрудников компании Happy Homes подошли к кульману и начали чертить воображаемую ими сеть. Окончательная схема данной сети представлена на рис. 17.2. Как только сотрудники компании Happy Homes описали предполагаемую конст- конструкцию сети, стало ясно, что они предпочитают модель сетей VLAN территориаль- территориального масштаба, обсуждавшуюся в главе 14, "Модели территориальных сетей". Неко- Некоторые из упомянутых ими ключевых особенностей приведены ниже. • Необходимо использование 30 или 40 сетей VLAN для создания множества со- сообществ по интересам, что обеспечивает хорошо детализированный контроль над безопасностью и распространением широковещательных рассылок. • Поскольку каждая сеть VLAN конфигурируется на всех коммутаторах, размес- разместить пользователей, находящихся в разных зданиях и на разных этажах, в одну подсеть будет очень просто, что, в свою очередь, позволит потокам данных внутри отдела избежать "медлительности маршрутизации". • Упрощается добавление новых пользователей в какую-либо сеть VLAN. Пред- Представитель компании-продавца недавно продемонстрировал возможности VLAN- назначений на основе технологии "перетащить и отпустить" (drag-and-drop), что произвело на весь коллектив неизгладимое впечатление. 782 Часть V. Современное проектирование и реализация...
Коммутаторы \ второго уровня Коммутаторы V второго уровня Рис. 17.2. Конструкция сети, предполагаемая сотрудниками компании Happy Homes Глава 17. Учебные примеры: внедрение коммутаторов в сети 783
• Становится возможным применение ATM-магистрали с целью создания маги- магистрального канала для каждой сети VLAN между всеми зданиями. АТМ- магистраль в будущем способна также обеспечить возможности использования различных служб по передаче голосовых и видеоданных. • Появится возможность подключать серверы к многочисленным сетям VLAN/ELAN посредством сетевых плат, поддерживающих технологии LANE и ISL. В свою очередь, такая возможность обеспечит прямой маршрут второго уровня от каждого пользователя к каждому серверу и сведет к минимуму ис- использование маршрутизаторов. • С целью реализации динамических сетей VLAN для быстро растущего количе- количества пользователей мобильных компьютеров возможно применение службы VMPS. Служба VMPS позволит сетям VLAN следовать за пользователями, когда те перемещаются между различными кабинетами и конференц-залами. Торго- Торговый представитель корпорации Cisco также продемонстрировал продукт под на- названием "служба регистрации пользователей" (User Registration Tool — URT). Данный продукт позволяет осуществлять VLAN-назначения, основываясь на аутентификации контроллера домена Windows NT (NT Domain Controller). Гиб- Гибкость указанной функции очень заинтересовала сетевых специалистов компа- компании Happy Homes. • Появится возможность обрабатывать небольшое количество оставшегося меж- межсетевого VLAN-трафика с помощью пары маршрутизаторов модели 7507. Дан- Данные маршрутизаторы используют одну HSRP-группу для каждой сети VLAN с целью обеспечения отказоустойчивой маршрутизации для всех виртуальных ло- локальных сетей. Группа разработчиков ранее уже сталкивалась с подобными требованиями заказ- заказчиков. Более того, разработчики сетей год или два назад предлагали нескольким кли- клиентам почти в точности такую же конструкцию. В то время проектировщики полага- полагали, что конструкции, избегающие использования маршрутизаторов, необходимы, по- поскольку программные маршрутизаторы не способны поддерживать скорость, соответствующую значительному росту запросов на полосу пропускания в территори- территориальных сетях. Однако, в результате такие территориальные сети VLAN создали множество не- непредвиденных проблем, описание которых приводится ниже. • Часто образовывались петли распределенного связующего дерева и наблюдалась нестабильность сети. Неоднократные простои часто возникали в масштабе всей территориальной сети и были трудно устранимыми. • Даже когда протоколы с быстрой конвергенцией, такие, как EIGRP, HSRP и SSRP, обеспечивали производительность восстановления после сбоев в преде- пределах 5-10 с, распределенное связующее дерево создавало задержку в восстанов- восстановлении после отказа в 30-50 с. • VLAN-назначения на основе технологии "перетащить и отпустить" не были та- такими простыми в использовании, как ожидалось. Некоторые административ- административные платформы были реализованы с ошибками, но кроме того подход с повсе- повсеместным распространением сетей VLAN сделал почти невозможным устранение проблем в сети. Вместо того, чтобы сразу включаться в разрешение проблемы, сетевые специалисты были вынуждены тратить много времени только на то, 784 Часть V. Современное проектирование и реализация...
чтобы просто разобраться в постоянно меняющемся расположении сетей VLAN. • Производительность сетевых плат с поддержкой технологий ATM и ISL была неудовлетворительной и также приводила к необъяснимому режиму работы серверов. • Становилось все труднее удерживать трафик внутри одной сети VLAN, т.е. на- нарушалась основная предпосылка использования сетей с плоской структурой. К положительным моментам данной структуры можно отнести следующее: груп- группа разработчиков действительно осознала, что в определенных ситуациях преиму- преимущества модели территориальных сетей VLAN могут превосходить ее недостатки. Например, недавно группа проектировщиков работала над крупным проектом для университета. В учебном заведении планировалось создать отдельные виртуальные локальные сети для студентов, профессорского состава и администрации. Более того, планировалось, что данные сообщества будут разделены внутри каждого под- подразделения университета. В частности факультеты биологии и физики планировали использовать 6 сетей VLAN: 2 — для администрации, 2 — для студентов и 2 — для профессоров. Поскольку за каждым студентом и профессором закреплялся порта- портативный компьютер, было невозможно осуществить статические назначения адресов для сетей VLAN. Территориальные сети VLAN и службы URT/VMPS позволили студентам и персоналу университета просто подключаться к любому свободному разъему и не терять связи на всей территории учебного заведения. В то же время маршрутизация между сетями VLAN могла бы оставаться централизованной, позво- позволяя упростить конфигурирование списков доступа. Разработчики упомянули, что ими были также разработаны несколько подобных проектов для крупных больниц и правительственных учреждений. Однако, поскольку в данном случае для сети компании Happy Homes проектировщики не видели необхо- необходимости использования динамических VLAN-назначений и централизованных спи- списков доступа, они порекомендовали воздержаться от подобного подхода. В ходе дискуссии команда разработчиков упоминала и о других проблемах, опи- описанных в главах 7, "Расширенные возможности протокола распределенного связую- связующего дерева", 11, "Коммутация третьего уровня", 14, "Модели территориальных се- сетей", и 15, "Реализация конструкции территориальной сети". В конце концов, со- сотрудники компании Happy Homes осознали, что риск, связанный с внедрением модели территориальных сетей VLAN, слишком велик. Они согласились с тем, что коммутация третьего уровня устраняет практически все недостатки, которые они свя- связывали с традиционными маршрутизаторами. Таким образом, вместо того, чтобы ста- стараться избежать маршрутизации третьего уровня, было принято решение использовать ее как способ достижения стабильности, расширяемости, простоты и легкости в управлении сетью. В итоге было достигнуто соглашение о том, что группа разработчиков в течение нескольких недель вернется с двумя отдельными проектами для рассмотрения сотруд- сотрудниками компании Happy Homes. Несмотря на то, что в обоих проектах предполага- предполагалось использование коммутации третьего уровня, в одном из них планировалось объ- объединить обработку второго и третьего уровней, а в другом — максимально использо- использовать компоненты третьего уровня. Результаты работы проектировщиков представлены в двух последующих разделах. Глава 17. Учебные примеры: внедрение коммутаторов в сети 785
Первый проект: использование технологии MLS с целью объединения обработки потоков данных на втором и третьем уровнях В первом представленном на рассмотрение компании Happy Homes проекте ис- используется технология MLS для реализации коммутации третьего уровня, как показа- показано на рис. 17.3. Обсуждение проекта В данном разделе представлены некоторые альтернативные конструкторские реше- решения, которые были приняты для первого проекта. Однако перед тем, как углубиться в специфику, стоит остановиться на рассмотрении картины первого проекта в целом. Как обсуждалось ранее, в обоих проектах применяется технология коммутации третьего уровня в устройствах узлов MDF (уровня распределения), что позволяет с целью обеспечения расширяемости и стабильности изолировать каждое здание по- посредством барьера третьего уровня. При помещении каждого здания "за" безопасным интеллектуальным маршрутизатором третьего уровня ограничиваются возможности распространения проблем по всей территориальной сети. Кроме того, маршрутизато- маршрутизаторы (коммутаторы третьего уровня) упрощают устранение неисправностей и техниче- техническое обслуживание сети путем создания естественной иерархии. Необходимо, Однако, отметить, что в случае использования ориентированных на второй уровень коммутаторов Catalyst, таких, как Catalyst 5000, которые применяются в данном проекте, автоматически такие барьеры третьего уровня не создаются. Ины- Иными словами, просто подключается блок коммутаторов Catalyst 5000 или коммутаторов Catalyst 6000 в обычном IOS-режиме (более подробная информация по данному во- вопросу приведена в главе 18, "Коммутация третьего уровня и коммутаторы Catalyst 6000/6500"), все сети VLAN добавляются к каждому коммутатору (вспомним о стандартной установке протокола VTP в режим сервера). Только путем манипулиро- манипулирования параметрами протокола VTP и тщательного отсекания необходимых сетей VLAN от определенных каналов можно достичь иерархии третьего уровня при ис- использовании технологий с устойчивой компонентой второго уровня. В качестве при- примеров таких технологий можно привести модули RSM, использование технологии MLS и коммутаторов Catalyst 5000 и 6000 без какого-либо специфического программ- программного или аппаратного обеспечения третьего уровня. Например, в данном случае с целью создания истинного барьера третьего уровня трафик от пользовательских виртуальных локальных сетей с номерами 11-14 и 21-24 может быть направлен через отдельную сеть VLAN в магистрали (VLAN 250). Если ос- оставить стандартные установки, при которых все устройства являются VTP-серверами в одном домене и, следовательно, содержат полный список сетей VLAN, то может потре- потребоваться маршрутизация между сетями VLAN, но барьер расширяемости третьего уров- уровня не создается. Более подробная информация по данному вопросу приведена в гла- главе 14, "Модели территориальных сетей", и в разделе "Сравнение технологии MLS и маршрутизаторов 8500-й серии" главы 11, "Коммутация третьего уровня". 786 Часть V. Современное проектирование и реализация...
Здание 1 Узлы ■/ IDF Л 5509 5509 Узлы MDF LS1010 Узлы MDF Узлы < IDF Л Номер административной ce™VLAN = 10 Номера пользовательских сетей VLAN = 11-14 "Магистральная" сеть ELAN соответствует сети VLAN 250 Номер административной ceTHVLAN =20 Номера пользовательских сетей VLAN =21-24 Рис. 17.3. Проект с использованием технологии MLS Глава 17. Учебные примеры: внедрение коммутаторов в сети 787
Внимание! Чрезвычайно важно осознавать, что большинство устройств в линейке продуктов кор- корпорации Cisco может применяться для создания конструкций второго либо третьего уровня. В данной главе основное внимание уделяется свойственным им преимущест- преимуществам и стандартному режиму работы. Как указано в главе 11, коммутаторы Catalyst 8500 могут применяться для построения сетей либо второго, либо третьего уровня. Однако стандартно устройства 8500-й серии функционируют в качестве ком- коммутирующих маршрутизаторов, где каждый интерфейс является уникально маршрути- маршрутизируемой подсетью (сетью VLAN). Несмотря на то, что существует возможность ис- использовать данные устройства в конструкциях второго уровня, как правило, такой под- подход предполагает применение функции IRB, которая в связи с ростом сети может стать трудно управляемой. Аналогично, многоуровневая коммутация (MLS) может применяться для построения всех видов топологии третьего уровня, которые обсуждаются в настоящей главе. Од- Однако, многие специалисты заблуждаются, полагая, что они автоматически получают иерархию третьего уровня просто потому, что приобрели какие-либо платы, поддер- поддерживающие коммутацию третьего уровня. Как указывалось раньше, дело обстоит дале- далеко не так. Следовательно, хотя технология MLS является пригодной почти для всех территориальных топологий третьего уровня, стандартно она не предоставляет преимущества расширяемости коммутации третьего уровня. Для использования данных преимуществ необходимо посредством управления протоколом VTP реализо- реализовать выборочное VLAN-отсекание. Наконец, стоит отметить, что собственный IOS-режим платы MSFC, которая обсужда- обсуждается в главе 18, в равной степени применим к обоим проектам. Его следует рассмат- рассматривать как многоцелевое средство коммутации третьего уровня в территориальных сетях. Несмотря на то, что в обоих проектах создаются барьеры третьего уровня, по при- причинам, упомянутым выше, способы реализации коммутации третьего уровня состав- составляют основное различие между двумя описываемыми конструкциями. Рассмотрим подробнее первый проект. Барьер третьего уровня создается в точке, где трафик входит и покидает пределы здания. В результате трафик продолжает при- придерживаться маршрута второго уровня внутри каждого здания. Фактически коммута- коммутация третьего уровня реализована таким образом, что треугольники второго уровня1 поддерживаются внутри каждого здания (IDF-коммутатор представляет собой одну вершину треугольника, а две другие вершины представлены MDF-коммутаторами). Данный подход разделяет обработку второго уровня в четко определенных и хорошо организованных областях, что позволяет реализовать очень расширяемое, высокопро- высокопроизводительное и экономичное решение для территориальных сетей. В противоположность решению, описанному выше, в последних разделах настоящей главы рассматривается альтернативный подход к коммутации третьего уровня, приме- применяемый во втором проекте сети. В проекте с целью внедрения маршрутизации как меж- между, так и внутри зданий, используется аппаратный подход на основе устройств 8500-й серии. Как описывалось в главе 11, "Коммутация третьего уровня", коммутаторы Cata- Catalyst 8500 можно настроить на поддержку смешанной коммутации второго и третьего ' Подробное описание теории построения коммутируемой сети и терминологию можно найти в главе 15, "Реализация конструкции территориальной сети ". — Прим. ред. 788 Часть V. Современное проектирование и реализация...
уровней. Устройства данной серии являются более простыми в качестве чистых уст- устройств третьего уровня (с точки зрения конфигурирования и технического обслужива- обслуживания, но не с точки зрения скорости передачи данных). Их использование позволяет эф- эффективно отрезать основания треугольников второго уровня, применяемых в первом проекте, с целью создания V-образных соединений второго уровня. Внимание! Обратите внимание, что технология MLS может использоваться для создания V- образных соединений второго уровня путем простого отсекания канала MDF-MDF се- сетей VLAN кабельных узлов IDF. Несмотря на то, что такой подход является популяр- популярным конструкторским решением, которое успешно применяется во многих организаци- организациях, в данной главе он не используется, поскольку необходимо максимально реализо- реализовать различия между первым и вторым проектами. Хотя различие между двумя данными проектами может показаться тривиальным, с точки зрения реализации сети оно может быть очень существенным. В настоящей главе подробно рассматривается множество предложений для двух данных подходов к проектированию территориальных сетей. Изучение рекомендаций основано на рас- рассмотрении специфических конфигурационных требований и команд, применяемых в описываемых проектах. Выбор аппаратного обеспечения Ввиду высокой плотности портов и известной гибкости коммутаторы Catalyst 5500 были выбраны в качестве основной массы устройств, используемых в первом проекте сети. Горизонтальная кабельная система соединяет конечные станции с коммутатором узла IDF (уровня доступа), расположенным на каждом этаже. В качестве IDF- коммутаторов для всех этажей здания 2, кроме третьего, были выбраны устройства Catalyst 5509. Поскольку кабинеты отдела продаж на третьем этаже будут занимать значительно больше места, чем остальные офисы внутри компании Happy Homes, су- существенно уменьшается количество расположенных там конечных станций. В резуль- результате на третьем этаже здания 2 планируется использовать коммутатор Catalyst 2820. Затем через избыточные каналы IDF-коммутаторы подключаются к паре MDF- коммутаторов (коммутаторов уровня распределения), расположенных в подвальном2 помещении каждого здания. Поскольку устройства серии Catalyst 5500 предоставляют средства как ATM-, так и Ethernet-коммутации, они будут использоваться в узлах MDF. Также в данном случае будут играть важную роль модули коммутации маршру- маршрута (Route Swirch Module — RSM) и технология MLS. Кроме того, требуется размещение небольшой серверной группы, расположенной в подвальном помещении здания 1. Данное сооружение разработано для удовлетворе- удовлетворения потребностей серверной группы компании Happy Homes до тех пор, пока не поя- появится возможность полностью завершить конструирование отдельного здания центра 2 В данном проекте для связи между зданиями, очевидно, предполагается использовать кабельные колодцы. С точки зрения наиболее современных принципов построения сети рекомендуется использовать один из средних этажей для размещения узлов MDF, поскольку такая структура является наиболее эффективной с точки зрения расхода кабеля и учитывает различные тонкости построения магист- магистральной сети. Более подробная информация может быть получена на рекомендованом корпорацией Cisco Web-сайте http://www.siemon.com/standards/overview_ind.html (документ Industry Standards for Structured Cabling). — Прим. ред. Глава 17. Учебные примеры: внедрение коммутаторов в сети 789
обработки данных. В серверной группе будет использован коммутатор Catalyst 2948G с целью обеспечения Ethernet-связи со скоростью 10/100 Мбит/с с серверами и внеш- внешние Gigabit Ethernet-каналы к коммутаторам Cat-Bl-OA и Cat-Bl-OB. Проектирование виртуальных локальных сетей Проектом предусмотрено использование пяти виртуальных локальных сетей в каж- каждом здании, а также дополнительная сеть VLAN для магистрали. Первая сеть VLAN в каждом здании зарезервирована под административную сеть и содержит только SCO- интерфейсы коммутатора Catalyst (или в некоторых моделях интерфейсы МЕ1). Ос- Остальные 4 сети VLAN предназначены для пользователей: отдела продаж, маркетинго- маркетингового отдела, технического и финансового отделов. В табл. 17.1 представлены VLAN- имена и номера, рекомендуемые проектной документацией. i Таблица 17.1. VLAN-имена Здание 1 Имя Management (административная сеть) Sales (сеть отдела продаж) Marketing (сеть маркетинго- маркетингового отдела) Engineering (сеть инженер- инженерного отдела) Finance (сеть финансового отдела) Номер 10 11 12 13 14 и номера в проекте Здание 2 Имя Management (административная сеть) Sales (сеть отдела продаж) Marketing (сеть маркетин- маркетингового отдела) Engineering (сеть инже- инженерного отдела) Finance (сеть финансового отдела) сети Номер 20 21 22 23 24 i' *V.".i - ;-v- '■■■ -r * Магистраль Имя Номер Backbone (магист- 250 ральная сеть) Иными словами, первая цифра (или в случае магистральной сети первые две циф- цифры) VLAN-номера указывает на порядковый номер здания, а последняя цифра — на номер сети VLAN внутри данного здания. Магистральная сеть VLAN—VLAN 250 соответствует ELAN-сети, названной Back- Backbone (магистраль). Наконец, необходимо отметить, что хотя в обоих зданиях сущест- существуют 5 одинаковых пользовательских сообществ, в сети поддерживаются отдельные широковещательные домены, поскольку на уровне распределения с помощью техно- технологии MLS и модулей RSM создан барьер третьего уровня. Кроме того отметим, что в данном подходе реализованы рекомендации, касаю- касающиеся разделения пользовательского и административного трафика, представленные в главах 14 и 15. Подобное разделение предпринимается с целью изоляции процессора коммутатора Catalyst от широковещательного трафика, который может присутствовать в пользовательских сетях VLAN. Изолирование процессора, в свою очередь, может способствовать увеличению стабильности сети. Например, процессорные циклы, предназначенные для таких важных задач, как администрирование сети и поддержка протокола распределенного связующего дерева, не расходуются впустую. 1Р-адресация В каждой сети VLAN используется одна IP-подсеть. В компании Happy Homes планируется использовать сеть 10.0.0.0 с трансляцией сетевых адресов (Network Ad- 790 Часть V. Современное проектирование и реализация...
dress Translation — NAT) для соединения с сетью Internet. Проектная документация требует реализации следующей схемы IP-адресации: 10.здание.ceTb_VLAN.узел Маска подсети для всех каналов — "/24" B4 бита или 255.255.255.0). Например, тридцатым адресом в сети отдела продаж здания 1 будет 10.1.11.30, поскольку плани- планируется использовать протокол HSRP, 3 адреса узла зарезервированы для маршрутиза- маршрутизаторов в каждой подсети. Адрес "Л" зарезервирован для совместно используемого HSRP-адреса, тогда как адреса ".2" и ".3" будут использоваться для реальных адресов, связанных с каждым маршрутизатором. Адрес "Л" будет адресом стандартного шлюза, который будут использовать клиентские станции. Данная схема IP-подсетей представлена в табл. 17.2. Таблица 17.2. IP-подсети для первого проекта :?.»,«{- ' Отдел Здание CeibVLAN Подсеть Management (административная сеть) 1 Sales (сеть отдела продаж) 1 Marketing (сеть маркетингового отдела) 1 Engineering (сеть инженерного отдела) 1 Finance (сеть финансового отдела) 1 Management (административная сеть) 2 Sales (сеть отдела продаж) 2 Marketing (сеть маркетингового отдела) 2 Engineering (сеть инженерного отдела) 2 Finance (сеть финансового отдела) 2 Server farm (серверная группа) нет Backbone (магистраль) нет 10 11 12 13 14 20 21 22 23 24 100 250 10.1.10.0 10.1.11.0 10.1.12.0 10.1.13.0 10.1.14.0 10.2.20.0 10.2.21.0 10.2.22.0 10.2.23.0 10.2.24.0 10.100.100.0 10.250.250.0 Внимание! Серверная группа приведена без указания номера здания (в ячейке указано "нет"), по- поскольку она обладает собственным адресным пространством, которое выходит за пределы соглашения об адресах 10.3daHue.cemb_VLAN.y3en. Данное утверждение справедливо также и потому, что серверную группу планируется разместить в под- подвальном помещении здания 1, а позднее перенести в отдельное здание. В компании Happy Homes планируется начать использование в новой сети протоко- протокола DHCP. Первые 20 адресов каждого сегмента зарезервированы для устройств, которые не используют (или которым не следует использовать) службу DHCP, например, прин- принтеры, серверы и маршрутизаторы. Оставшиеся адреса в каждой подсети с целью повы- повышения надежности разделяются между парой DHCP-серверов. Например, подсеть мар- маркетингового отдела в здании 1 получит два DHCP-диапазона (scope): первый DHCP- сервер будет сконфигурирован с адресами 10.1.12.21-10.1.12.137, а второй получит адре- адреса 10.1.12.138—10.1.12.254. Следовательно, в случае выхода первого DHCP-сервера из строя у второго будет собственный блок уникальных адресов для каждой подсети. Глава 17. Учебные примеры: внедрение коммутаторов в сети 791
Внимание! DHCP-диапазоны обычно разделяются способом, описанным выше, поскольку в на- настоящее время протокол DHCP не определяет механизм для межсерверного инфор- информационного обмена. Например, если бы диапазоны действительно пересекались и один из серверов вышел из строя, то второй сервер не имел бы способа при нерабо- неработающем первом сервере определить новые адреса для предоставления клиентам. Следовательно, второй сервер может попытаться использовать те же IP-адреса, что приведет к проблеме совпадения двух IP-адресов. Для разрешения подобной пробле- проблемы можно применить будущие усовершенствования DHCP-стандартов, а также част- частные реализации данного протокола. Более подробные сведения о протоколе DHCP приведены в главе 11, "Коммутация третьего уровня". IPX-адресация Хотя в компании Happy Homes ожидается применение новых приложений, боль- большинство из которых основано на протоколе IP, в настоящее время в сети компании широко используются Novell-серверы и протокол IPX. С целью обеспечения согласо- согласованности проектная документация рекомендует основывать номера IPX-сетей на зна- значениях адресов IP-подсетей. Номером IPX-сети является число длиной 32 бита, что соответствует длине полного IP-адреса. Следовательно, адреса IP-подсетей можно конвертировать из обычной записи в виде четырех октетов, разделенных точками (dotted quad notation), в 8-символьное шестнадцатеричное значение, пригодное для использования в качестве номера IPX-сети. Например, в сети VLAN отдела продаж в здании 1 используется IP-подсеть 10.1.11.0. Путем преобразования каждого из четырех десятичных значений адреса в шестнадцатеричные эквиваленты можно получить со- соответствующий номер IPX-сети: ОхОАОЮВОО. Совет Для внутренних номеров IPX-сетей на серверах NetWare полный IP-адрес, назна- назначенный сетевой плате сервера, может быть преобразован в шестнадцатеричную форму. В табл. 17.3 представлены IPX-адреса наряду с соответствующими адресами IP- подсетей. F Таблица 17.3. Адреса IPX-сетей Отдел Здание CeTbVLAN IPX-сеть Подсеть Management (административная сеть) Sales (сеть отдела продаж) Marketing (сеть маркетингового отдела) Engineering (сеть инженерного отдела) Finance (сеть финансового отдела) Management (административная сеть) Sales (сеть отдела продаж) Marketing (сеть маркетингового отдела) 1 1 1 1 1 2 2 2 10 11 12 13 14 20 21 22 ОАОЮАОО ОАОЮВОО ОАОЮСОО 0A010D00 ОАОЮЕОО 0А021400 0А021500 0А021600 10.1.10.0 10.1.11.0 10.1.12.0 10.1.13.0 10.1.14.0 10.2.20.0 10.2.21.0 10.1.12.0 792 Часть V. Современное проектирование и реализация...
Окончание табл. 17.3 Отдел Engineering (сеть инженерного отдела) Finance (сеть финансового отдела) Server farm (серверная группа) Backbone (магистраль) Здание 2 2 N/A 250 Сеть VLAN 23 24 100 250 IPX-сеть 0А021700 0А021800 0А646400 0AFAFA00 Подсеть 10.2.23.0 10.2.24.0 10.100.100.0 10.250.250.0 Использование протокола VTP С целью максимальной ориентации проекта на коммутацию второго уровеня дан- данный план требует использования серверного режима протокола VTP. Однако, чтобы избежать некоторых проблем протокола VTP, связанных с расширяемостью структу- структуры, в каждом здании создается уникальный VTP-домен. Для разделения VTP-трафика применяются два механизма: • удаление сети VLAN 1 из магистрали; • отдельные имена для VTP-домепов. Поскольку в магистрали применяется LANE-технология в качестве основной, то для того, чтобы удалить сеть VLAN 1 из базовой сети, можно просто не создавать "стандартную" сеть ELAN, соответствующую сети VLAN 1 (здесь необходимо отме- отметить, что с магистральных Ethernet-каналов сеть VLAN 1 удалить невозможно). Т.к. VTP-трафик должен транспортироваться по сети VLAN 1, подобное мероприятие пре- предотвращает распространение VTP-информации между зданиями. Однако, целиком полагаться па такую методику не рекомендуется — если кто-либо случайно активизи- активизирует сеть VLAN 1 в магистрали, могут возникнуть серьезные повреждения VTP- информации, как описано в разделе "Удаление VLAN-таблицы" главы 12, "Протокол магистральных каналов виртуальных локальных сетей". Чтобы избежать подобного разрушения базы данных протокола VTP для соедине- соединений между зданиями, следует задействовать раздельные VTP-домены (отметим, Одна- Однако, что применение методики, отличной от прозрачного режима протокола VTP, не предотвращает повреждение VLAN-информации внутри одного здания). Известно, что коммутаторы Catalyst обмениваются VTP-информацией только если их доменные имена совпадают, поэтому применение раздельных VTP-доменов позволяет создать эффективный барьер для протокола VTP. Проектная документация требует использо- использования в здании 1 домена с именем Нарру-В1, а в здании 2 — домена Нарру-В2. Совет В процессе создания VTP-барьера использование уникальных имен VTP-доменов также модифицирует режим работы коммутатора Catalyst. В результате этого на гра- границах каждого здания создается барьер третьего уровня. При разработке проекта тер- территориальной сети следует помнить о данной методике. Магистральные каналы С целью увеличения стабильности и расширяемости сети проект требует некото- некоторой оптимизации магистральных каналов. Во-первых, для того, чтобы изменить все установки скорости, дуплексности и протоколов согласования состояния канала, ре- Глава 17. Учебные примеры: внедрение коммутаторов в сети 793
комендуется конфигурировать их вручную. Полагаясь на автоматическое согласование скорости и дуплексности 10/100 Мбит/с Ethernet-каналов, можно впоследствии столкнуться с длительными простоями сети и необходимостью тратить время на уст- устранение неисправностей. Чтобы избежать таких проблем, следует жестко закодировать важнейшие магистральные и серверные каналы. Как правило, в портах конечных станций с целью предоставления свободы в развертывании аппаратного обеспечения для персональных компьютеров продолжается использование протоколов автоматиче- автоматического согласования скорости и дуплексности. Подобным образом магистральные ка- каналы обладают жестко закодированной информацией о своем состоянии. Увеличить стабильность сети можно, если не полагаться на DISL- и DTP-согласование. Во-вторых, в первом проекте рекомендуется отсечь магистральные каналы от из- излишних сетей VLAN. Поскольку с помощью данного подхода можно сократить из- излишнее лавинное широковещание, он также может использоваться в качестве важ- важнейшей оптимизации в сетях, ориентированных на второй уровень. Например, широ- широковещательные и многоадресатные рассылки для сетей VLAN 22-24 не будут лавинно отправляться коммутатору Cat-B2-3A, поскольку он принимает участие только в сетях VLAN 20 и VLAN 21 (административная сеть и сеть отдела продаж). Необходимость использования механизмов отсекания становится еще более значимой в очень пло- плоских сетях без барьеров расширяемости, которые автоматически сокращают широко- широковещательные и многоадресатные лавины. Балансирование нагрузки Поскольку первый проект полностью ориентирован на второй уровень, необходи- необходимо задействовать балансирование нагрузки с помощью распределенного связующего дерева. Как отмечалось в главе 7, "Расширенные возможности протокола распреде- распределенного связующего дерева", балансировка нагрузки за счет размещения корневого моста распределенного связующего дерева является эффективной и простой в на- настройке и обслуживании при условии, что данная топология ее поддерживает. К пре- преимуществам наличия треугольников второго уровня, задействованных в данной кон- конструкции, следует отнести простоту реализации такой формы балансировки нагрузки. Например, если назначить коммутатор Cat-Bl-OA корневым мостом для сети VLAN 21, трафик в сети VLAN отдела продаж здания 1 (Bl_Sales VLAN) будет авто- автоматически транспортироваться по левому восходящему каналу. Первый проект требу- требует, чтобы MDF-устройства А (коммутаторы Cat-Bl-OA и Cat-B2-0A) функционирова- функционировали в качестве корневых мостов для трафика сетей VLAN с нечетными номерами, то- тогда как устройства, обозначенные буквой В (т.е. коммутаторы Cat-Bl-OB и Cat-B2- 0В), поддерживали бы сети VLAN с четными номерами. Для создания согласованной схемы балансировки нагрузки размещение корневого моста распределенного связующего дерева следует скоординировать с использованием протокола HSRP. Достичь данной цели можно при помощи команды протокола HSRP priority, которая позволяет настроить определение активного HSRP-узела для четных и нечетных сетей VLAN. Распределенное связующее дерево Для первого проекта в дополнение к размещению корневого моста следует настроить ряд других параметров распределенного связующего дерева. Поскольку барьер третьего уровня в проекте офаничивает связность второго уровня небольшими треугольниками, максимальное число транзитных мостов, которые могут существовать между двумя ко- 794 Часть V. Современное проектирование и реализация...
нечными станциями, равно трем. Например, если канал между коммутаторами Cat-Bl- Al и Cat-Bl-OB выйдет из строя, трафик, следовавший между конечной станцией, под- подключенной к коммутатору Cat-Bl-Al, и модулем RSM в устройстве Cat-Bl-OB, будет вынужден проходить через три коммутатора второго уровня (Cat-Bl-Al, Cat-Bl-OA и Cat-Bl-OB). Данный пример проиллюстрирован на рис. 17.4 (следует заметить, что объе- объединительная плата коммутатора Catalyst рассматривается в данном случае как канал). Конечный пользователь Модуль RSM Рис. 17.4. Маршрут от станции конечного пользователя к модулю RSM после выхода из строя канала Следовательно, такие параметры распределенного связующего дерева, как макси- максимальное время старения (Max Age) и задержка передачи (Forward Delay), могут быть безопасно уменьшены до 12 и 9 соответственно (предполагается, что стандартная длительность hello-интервала (Hello Time) — 2 с). Самым безопасным и простым спо- способом достижения данной цели является использование макроса set spantree root, позволяющего автоматически модифицировать соответствующие параметры распреде- распределенного связующего дерева. В результате время конвергенции может быть уменьшено от стандартных 30-50 с до 18-30 с. Для дальнейшего ускорения конвергенции алгоритма распределенного связующего дерева можно применить функции UplinkFast, BackboneFast и PortFast. Функция UplinkFast конфигурируется только на IDF-коммутаторах и может уменьшить период восстановления после сбоя внешних каналов до 3 с. Если используется функция BackboneFast, она должна быть активизирована на каждом коммутаторе в домене вто- второго уровня и уменьшить время конвергенции побочных сбоев до 18 с (при условии, что задержка передачи равна 9 с, как указано выше). Хотя функцию PortFast нельзя назвать эффективной при отказе магистральных каналов, она может быть полезным усовершенствованием, которое позволяет конечным станциям немедленно получать доступ к сети, а также уменьшать влияние пакетов уведомлений об изменениях топо- топологии распределенного связующего дерева (Spanning Tree Topology Change Notifica- Глава 17. Учебные примеры: внедрение коммутаторов в сети 795
tions — TCN). Более подробные сведения, касающиеся TCN-пакетов, приведены в главе 6, "Основы протокола распределенного связующего дерева", а также в главе 7, "Расширенные возможности протокола распределенного связующего дерева". Примеры конфигураций В данном разделе представлены примеры конфигураций устройств, применяемые в первом проекте сети. Вместо демонстрации всей конфигурации представлены приме- примеры каждого типа устройств. Прежде всего, приведен пример настройки коммутатора IDF-узла (уровня доступа). Затем представлено описание различных компонентов коммутатора MDF-узла (уровня распределения): блока Supervisor, модуля RSM и LANE-модуля. Раздел завершается обсуждением конфигурирования одного из АТМ- коммутаторов, лежащего в основе сети. Конфигурирование блока Supervisor для IDF-узла Поскольку конфигурационные примеры коммутаторов Catalyst менее читабельны, чем конфигурационные примеры IOS-маршрутизаторов, освещению настроек блока Catalyst Supervisor посвящены два раздела. Во-первых, представлен пример выводимой интерактивной информации по необходимым конфигурационным этапам. Это позво- позволит сконцентрировать внимание только на командах, необходимых для типичной MLS-конструкции. Во-вторых, рассмотрена полная конфигурация блока Supervisor. Однако, поскольку в конфигурационных файлах коммутаторов Catalyst приводятся все команды (в отличие от примеров файлов конфигурации маршрутизаторов, в которых приводятся только нестандартные (non-default) команды), данные примеры могут быть несколько громоздкими. Внимание! Корпорация Cisco в настоящее время разрабатывает функцию, которая позволит ото- отображать только нестандартные конфигурационные команды. Данная функция будет доступна в недалеком будущем. Конфигурирование блока Supervisor IDF-узла: коммутатор Cat-B2-1A Коммутатор, установленный на первом этаже здания 1 (Cat-B2-1A), является ха- характерным примером IDF-коммутатора. Прежде всего, чтобы начать конфигурирова- конфигурирование данного устройства, необходимо назначить ему имя, как показано в примере 17.1. Г Пример 17.1. Конфигурирование имени коммутатора Catalyst ШШ-" ' j Console> (enable) set system name Cat-B2-1A System name set. Cat-B2-1A> (enable) В ранних версиях программного кода для того, чтобы включить имя в строку приглашения системы (prompt), также требовалось ввести команду set prompt. Одна- Однако, начиная с образов операционной системы Cisco IOS версии 4.x устройств Catalyst, данная операция осуществляется автоматически. Далее создается VTP-домен и добавляются соответствующие сети VLAN (см. при- пример 17.2). 796 Часть V. Современное проектирование и реализация...
Пример 17.2. Настройка протокола VTP Cat-B2-1A> (enable) set vtp domain Happy-B2 VTP domain Happy-B2 modified Cat-B2-1A> (enable) set vtp mode server VTP domain Happy-B2 modified Cat-B2-1A> (enable) set VLAN 30 name B2_Management VLAN 30 configuration successful Cat-B2-1A> (enable) set VLAN 31 name B2_Sales VLAN 31 configuration successful Cat-B2-1A> (enable) set VLAN 32 name B2_Marketing VLAN 32 configuration successful Cat-B2-1A> (enable) set VLAN 33 name B2_Engineering VLAN 33 configuration successful Cat-B2-1A> (enable) set VLAN 34 name B2_Finance VLAN 34 configuration successful Cat-B2-1A> (enable) set VLAN 350 name Backbone VLAN 350 configuration successful Cat-B2-1A> (enable) Поскольку в первом проекте используется серверный режим протокола VTP, до- доменное имя необходимо назначить до того, как будут добавлены сети VLAN. Хотя протокол VTP стандартно установлен в серверный режим, введение второй командной строки (см. пример 17.2) гарантирует, что данная установка не была изменена. Затем логическому интерфейсу SCO назначается IP-адрес (см. пример 17.3). I Пример 17.3. Конфигурирование IP-адреса блока Catalyst Supervisor /V ■ \~£.....Л,..... ..,, "..,....".. '... ,„'„.':- v... . ... „-..i, ... . .. . ■ ... ,' ,. ..,. .. ,,. ■ „.■„ ....:.й..:.,.... ■ „.:;C*.~~£L., . \ Cat-B2-1A> (enable) set interface scO 20 10.2.20.9 255.255.255.0 Interface scO vlan set, IP address and netmask set. Cat-B2-1A> (enable) set ip route default 10.2.20.1 Route added. Cat-B2-1A> (enable) Необходимо отметить, что интерфейс SCO назначен сети VLAN 30, администра- административной сети VLAN для здания 2. Затем с помощью команды set ip route коммутато- коммутатору Catalyst предоставляется единственный стандартный шлюз. Адрес 10.2.20.1 исполь- используется на маршрутизаторах протоколом HSRP с целью обеспечения избыточности (см. раздел о модуле RSM). В примере 17.4 показано, как настроить протокол распределенного связующего де- дерева (STP) для IDF-коммутатора. Пример 17.4. Конфигурирование протокола распределенного связующе- j j- '■;.:■ 'Щ:( , го дерева . (. :-'-,-У ■ > ■ . '}£.' -,\ ■:■[ Cat-B2-1A> (enable) set spantree portfast 3/1-24,4/1-24,5/1-24,6/1-24,7/1-24 enable Warning: Spantree port fast start should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc. to Глава 17. Учебные примеры: внедрение коммутаторов в сети 797
a fast start port can cause temporary Spanning Tree loops. Use with caution. Spantree ports 3/1-24,4/1-24,5/1-24,6/1-24,7/1-24 fast start enabled. Cat-B2-1A> (enable) Cat-B2-1A> (enable) set spantree backbonefast enable Backbonefast enabled for all VLANs Cat-B2-1A> (enable) Cat-B2-0B> (enable) set spantree uplinkfast enable VLANs 1-1005 bridge priority set to 49152. The port cost and portvlancost of all ports set to above 3000. Station update rate set to 15 packets/lOOms. uplinkfast all-protocols field set to off. uplinkfast enabled for bridge. Cat-B2-1A> (enable) С помощью первой команды (set spantree portfast) на всех пользовательских пор- портах активизируется функция PortFast. Необходимо отметить, что на магистральных пор- портах она не включается. Активизировать функцию PortFast можно и на магистральных портах, где она будет проигнорирована. Однако, поскольку такой подход может привес- привести к административной путанице, наилучшим решением будет избегать его. Затем акти- активизируется функция BackboneFast (команда set spantree backbonefast enable) с целью улучшить время STP-конвергенции, связанной с побочными сбоями в сети. Как отмеча- отмечалось в главе 7, "Расширенные возможности протокола распределенного связующего де- дерева", данная команда должна быть введена на всех коммутаторах Catalyst в домене вто- второго уровня. С помощью последней команды (set spantree uplinkfast enable) активи- активизируется функция UplinkFast. В отличие от BackboneFast функцию UplinkFast следует активизировать только на IDF-коммутаторах конечных узлов (leaf-node). Кроме того, нужно отметить, что при использовании функции UplinkFast автоматически модифици- модифицируются несколько параметров распределенного связующего дерева для того, чтобы уси- усилить режим работы конечного узла. Во-первых, увеличивается приоритет моста (Bridge Priority) до значения 49152, чтобы текущий мост не стал корневым мостом (если дос- доступны другие мосты). Во-вторых, параметр стоимости маршрута (Path Cost) увеличива- увеличивается до значения 3000 с целью стимулирования нижестоящих (downstream) мостов к ис- использованию какого-либо другого маршрута к корневому мосту (однако, если такие маршруты недоступны, мост обрабатывает трафик в обычном режиме). Затем конфигурируются магистральные каналы, как показано в примере 17.5. Пример 17.5. Конфигурирование имени порта и магистрального канала Cat-B2-1A> (enable) set port name 1/1 Gigabit link to Cat-B2-0A Port 1/1 name set. Cat-B2-1A> (enable) set port name 1/2 Spare gigabit port Port 1/2 name set. Cat-B2-1A> (enable) set port name 2/1 Gigabit link to Cat-B2-0B Port 2/1 name set. Cat-B2-1A> (enable) set port name 2/2 Spare gigabit port Port 2/2 name set. Cat-B2-1A> (enable) Cat-B2-1A> (enable) 798 Часть V. Современное проектирование и реализация...
Cat-B2-1A> (enable) set trunk 1/1 on isl Port(s) 1/1 trunk mode set to on. Port(s) 1/1 trunk type set to isl. Cat-B2-1A> (enable) clear trunk 1/1 2-19,25-1005 Removing Vlan(s) 2-19,25-1005 from allowed list. Port 1/1 allowed vlans modified to 1,20-24. Cat-B2-1A> (enable) Cat-B2-1A> (enable) set trunk 2/1 on isl Port(s) 2/1 trunk mode set to on. Port(s) 2/1 trunk type set to isl. Cat-B2-1A> (enable) clear trunk 2/1 2-19,25-1005 Removing Vlan(s) 2-19,25-1005 from allowed list. Port 2/1 allowed vlans modified to 1,20-24. Cat-B2-1A> (enable) С помощью первых четырех команд магистральным портам назначается имя. Дан- Данная информация будет полезной в процессе устранения неисправностей и для под- поддержки сети. Затем порты 1/1 и 2/1 с помощью команды set trunk переводятся в ре- режим магистрального ISL-канала (ISL trunking mode). Если заранее известно, что порт предполагается использовать в качестве магистрального, наилучшим решением будет жесткое кодирование состояния магистрального канала, а не использование установок auto и negotiate. Известно, что данные механизмы подвержены сбоям, а также тре- требуют совпадения имен VTP-доменов. Наконец, команда clear trunk используется для удаления лишних сетей VLAN с каналов 1/1 и 1/2. Отсекание такого рода способно значительно увеличить расширяемость сети. В примере 17.6 задаются пароли в форме строк SNMP-сообщества и пароли досту- доступа (login passwords). 1 Пример 17.6. Конфигурирование протокола Sf^MP и паролей %--'Щ %; * Cat-B2-1A> (enable) set snmp community read-only lesspublic SNMP read-only community string set to 'lesspublic'. Cat-B2-1A> (enable) set snmp community read-write moreprivate SNMP read-write community string set to 'moreprivate'. Cat-B2-1A> (enable) set snmp community read-write-all mostprivate SNMP read-write-all community string set to 'mostprivate'. Cat-B2-1A> (enable) Cat-B2-1A> (enable) set password Enter old password: Enter new password: Retype new password: Password changed. Cat-B2-1A> (enable) Cat-B2-1A> (enable) set enablepass Enter old password: Enter new password: Retype new password: Password changed. Cat-B2-1A> (enable) Глава 17. Учебные примеры: внедрение коммутаторов в сети 799
Поскольку протокол SNMP активизирован по умолчанию с известными строками сообществ (public — открытые, private — частные, secret — секретные), следует всегда модифицировать строки SNMP-сообщества. Нельзя забывать изменять все три стро- строки. В большинстве устройств используются две строки: одна — для чтения конфигу- конфигурации устройства и одна — для записи. Коммутаторы Catalyst обладают третьей стро- строкой сообщества, которая также позволяет модифицировать сами строки сообществ. Наконец, поскольку строки сообществ не шифруются (ни при конфигурировании, ни во время передачи по сети), лучше сделать их отличающимися от паролей консоль- консольного доступа (по протоколу Telnet). В нижней части примера 17.6 показано, как устанавливаются пользовательские па- пароли и пароли привилегированного доступа. В отличие от маршрутизаторов Cisco, ко- которые не допускают удаленного доступа до тех пор, пока не будут установлены паро- пароли, коммутаторы Catalyst по умолчанию предоставляют полный доступ. Таким обра- образом, следует всегда помнить о необходимости изменения данных паролей. Затем необходимо настроить различные административные параметры (management commands), как показано в примере 17.7. ( Пример 17.7. Заставка, контактная информация и настройка службы DNS Cat-B2-1A> (enable) Cat-B2-1A> (enable) set banner motd "PRIVATE NETWORK — HACKERS WILL BE SHOT!!" MOTD banner set Cat-B2-1A> (enable) set system location Building 2 First Floor System location set. Cat-B2-1A> (enable) set system contact Joe xlll System contact set. Cat-B2-1A> (enable) Cat-B2-1A> (enable) set ip dns enable DNS is enabled Cat-B2-1A> (enable) set ip dns domain happy.com Default DNS domain name set to happy.com Cat-B2-1A> (enable) set ip dns server 10.100.100.42 10.100.100.42 added to DNS server table as primary server. Cat-B2-1A> (enable) set ip dns server 10.100.100.68 10.100.100.68 added to DNS server table as backup server. Cat-B2-1A> (enable) Хотя ни одна из приведенных в примере 17.7 команд не является существенной для функционирования коммутатора Catalyst, они могут быть полезны при долговре- долговременном обслуживании сети. В примере 17.8 создается список IP-разрешений (IP permit list) для ограничения доступа посредством службы Telnet к устройству. Пример 17.8. Список IP-разрешений для ограничения Telnet-доступа j к коммутатору Catalyst ■"• . J :у-: :| Cat-B2-1A> (enable) set ip permit enable IP permit list enabled. WARNING!! IP permit list has no entries. Cat-B2-1A> (enable) set ip permit 10.100.100.0 255.255.255.0 10.100.100.0 with mask 255.255.255.0 added to IP permit list. Cat-B2-1A> (enable) 800 Часть V. Современное проектирование и реализация...
Поскольку в первом проекте требуется использование блоков Supervisor III с функциональными платами NetFlow (NetFlow Feature Card — NFFC), можно активи- активизировать полезные IDF-функции, такие, как IGMP-прослушивание (IGMP Snooping) для сокращения многоадресатных лавинных рассылок и фильтрация протоколов (Protocol Filtering) для сокращения широковещательных лавинных рассылок (см. при- пример 17.9). Пример 17.9. Включение функции IGMP-прослушивания и фильтрации \~'-Щ ^''' '■'■" ,' протоколов Cat-B2-1A> (enable) set igmp enable IGMP feature for IP multicast enabled Cat-B2-1A> (enable) Cat-B2-1A> (enable) set protocolfilter enable Protocol filtering enabled on this switch. Cat-B2-1A> (enable) Далее необходимо настроить различные SNMP-прерывания (traps), как показано в примере 17.10. I Пример 17.10. Настройка SNMP-прерываний Cat-B2-1A> (enable) set snmp trap 10.100.100.21 trapped SNMP trap receiver added. Cat-B2-1A> (enable) set snmp trap enable module SNMP module traps enabled. Cat-B2-1A> (enable) set snmp trap enable chassis SNMP chassis alarm traps enabled. Cat-B2-1A> (enable) set snmp trap enable bridge SNMP bridge traps enabled. Cat-B2-1A> (enable) set snmp trap enable auth SNMP authentication traps enabled. Cat-B2-1A> (enable) set snmp trap enable stpx SNMP STPX traps enabled. Cat-B2-1A> (enable) set snmp trap enable config SNMP CONFIG traps enabled. Cat-B2-1A> (enable) set port trap 1/1 enable Port 1/1 up/down trap enabled. Cat-B2-1A> (enable) set port trap 2/1 enable Port 2/1 up/down trap enabled. Cat-B2-1A> (enable) Включение SNMP-прерываний приводит к тому, что коммутатор Catalyst направ- направляет на адрес 10.100.100.21 отчеты об обнаружении таких проблем, как изменения структуры распределенного связующего дерева, перезагрузка устройств и сбои аппа- аппаратного обеспечения. Для важнейших портов внешних каналов активизированы отче- отчеты о прерываниях, связанных с включением/отключением (up/down) интерфейса. Ввиду потенциально большого объема данных почти всегда наилучшим решением бу- будет не включать такие прерывания на портах конечных станций. Глава 17. Учебные примеры: внедрение коммутаторов в сети 801
Наконец, команды, приведенные в примере 17.11, настраивают коммутатор Cata- Catalyst на отправку Syslog-информации на станцию управления сетью (network manage- management station). Пример 17.11. Конфигурирование службы Syslog Cat-B2-1A> (enable) set logging server enable System logging messages will be sent to the configured syslog servers. Cat-B2-1A> (enable) set logging server 10.100.100.21 10.100.100.21 added to System logging server table. Cat-B2-1A> (enable) Полный файл конфигурации блока Supervisor узла IDF: коммутатор Cat-B2-1A В примере 17.12 представлен полный конфигурационный файл, который для уст- устройства Cat-B2-1A является результатом завершения приведенной выше последова- последовательности этапов конфигурации. j Пример 17.12. Полная конфигурация устройства Cat-B2-1A begin set password $l$FMFQ$HfZR5DUszVHIRhrz4h6V70 set enablepass $l$FMFQ$HfZR5DUszVHIRhrz4h6V70 set prompt Cat-B2-1A> set length 24 default set logout 20 set banner motd 'CPRIVATE NETWORK — HACKERS WILL BE SHOT!!"C tsystem set system baud 9600 set system modem disable set system name Cat-B2-1A set system location Building 2 First Floor set system contact Joe xlll it snmp set snmp community read-only lesspublic set snmp community read-write moreprivate set snmp community read-write-all mostprivate set snmp rmon disable set snmp trap enable module set snmp trap enable chassis set snmp trap enable bridge set snmp trap disable repeater set snmp trap disable vtp set snmp trap enable auth set snmp trap disable ippermit 802 Часть V. Современное проектирование и реализация...
set snrap trap disable vmps set snrap trap disable entity set snrap trap enable config set snrap trap enable stpx set snrap trap disable syslog set snmp extendedrraon vlanraode disable set snrap extendedrraon vlanagent disable set snrap extendedrraon enable set snrap trap 10.100.100.21 trapped i tip set interface scO 20 10.2.20.9 255.255.255.0 10.2.20.255 set interface scO up set interface slO 0.0.0.0 0.0.0.0 set interface slO up set arp agingtirae 1200 set ip redirect enable set ip unreachable enable set ip fragmentation enable set ip route 0.0.0.0 10.2.20.1 1 set ip alias default 0.0.0.0 i tCommand alias i fvmps set vmps server retry 3 set vmps server reconfirrainterval 60 set vmps tftpserver 0.0.0.0 vmps-config-database.l set vmps state disable Idns set ip dns server 10.100.100.42 primary set ip dns server 10.100.100.68 set ip dns enable set ip dns domain happy.com ! ttacacs+ set tacacs attempts 3 set tacacs directedrequest disable set tacacs timeout 5 i tauthentication set authentication login tacacs disable console set authentication login tacacs disable telnet set authentication enable tacacs disable console set authentication enable tacacs disable telnet Глава 17. Учебные примеры: внедрение коммутаторов в сети 803
set authentication login local enable console set authentication login local enable telnet set authentication enable local enable console set authentication enable local enable telnet ! fbridge set bridge ipx snaptoether 8023raw set bridge ipx 8022toether 8023 set bridge ipx 8023rawtofddi snap i tvtp set vtp domain Happy-B2 set vtp mode server set vtp v2 disable set vtp pruning disable set vtp pruneeligible 2-1000 clear vtp pruneeligible 1001-1005 set VLAN 1 name default type ethernet mtu 1500 said 100001 state active set VLAN 30 name B2_Management type ethernet mtu 1500 said 100020 state active set VLAN 31 name B2_Sales type ethernet mtu 1500 said 100021 state active set VLAN 32 name B2_Marketing type ethernet mtu 1500 said 100022 state active set VLAN 33 name B2 Engineering type ethernet mtu 1500 said 100023 state active set VLAN 34 name B2_Finance type ethernet mtu 1500 said 100024 state active set VLAN 350 name Backbone type ethernet mtu 1500 said 100250 state active set VLAN 1002 name fddi-default type fddi mtu 1500 said 101002 state active set VLAN 1004 name fddinet-default type fddinet mtu 1500 said 101004 state active bridge 0x0 stp ieee set VLAN 1005 name trnet-default type trbrf mtu 1500 said 101005 state active bridge 0x0 stp ibm set VLAN 1003 name token-ring-default type trcrf mtu 1500 said 101003 state active parent 0 ring 0x0 mode srb aremaxhop 0 stemaxhop 0 set interface scO 20 10.2.20.9 255.255.255.0 10.2.20.255 tspantree fuplinkfast groups set spantree uplinkfast enable fbackbonefast set spantree backbonefast enable set spantree enable all fVLAN 1 set spantree fwddelay 15 1 set spantree hello 2 1 set spantree maxage 20 1 set spantree priority 32768 1 tVLAN 30 set spantree fwddelay 15 20 set spantree hello 2 20 804 Часть V. Современное проектирование и реализация.
set spantree maxage 20 20 set spantree priority 32768 20 tVLAN 31 set spantree fwddelay 15 21 set spantree hello 2 21 set spantree maxage 20 21 set spantree priority 32768 21 IVLAN 32 set spantree fwddelay 15 22 set spantree hello 2 22 set spantree maxage 20 22 set spantree priority 32768 22 tVLAN 33 set spantree fwddelay 15 23 set spantree hello 2 23 set spantree maxage 20 23 set spantree priority 32768 23 tVLAN 34 set spantree fwddelay 15 24 set spantree hello 2 24 set spantree maxage 20 24 set spantree priority 32768 24 IVLAN 350 set spantree fwddelay 15 250 set spantree hello 2 250 set spantree maxage 20 250 set spantree priority 32768 250 tVLAN 1003 set spantree fwddelay 15 1003 set spantree hello 2 1003 set spantree maxage 20 1003 set spantree priority 32768 1003 set spantree portstate 1003 block 0 set spantree portcost 1003 62 set spantree portpri 1003 4 set spantree portfast 1003 disable tVLAN 1005 set spantree fwddelay 15 1005 set spantree hello 2 1005 set spantree maxage 20 1005 set spantree priority 32768 1005 set spantree multicast-address 1005 ieee i Icgmp set cgrap disable set cgrap leave disable i tsyslog Глава 17. Учебные примеры: внедрение коммутаторов в сети 805
set logging console enable set logging server enable set logging server 10.100.100.21 set logging level cdp 2 default set logging level mcast 2 default set logging level dtp 5 default set logging level dVLAN 3 default set logging level earl 2 default set logging level fddi 2 default set logging level ip 2 default set logging level pruning 2 default set logging level snmp 2 default set logging level spantree 2 default set logging level sys 5 default set logging level tac 2 default set logging level tcp 2 default set logging level telnet 2 default set logging level tftp 2 default set logging level vtp 2 default set logging level vmps 2 default set logging level kernel 2 default set logging level filesys 2 default set logging level drip 2 default set logging level pagp 5 default set logging level mgmt 5 default set logging level mis 5 default set logging level protfilt 2 default set logging level security 2 default set logging server facility L0CAL7 set logging server severity 4 set logging buffer 500 set logging timestamp disable i intp set ntp broadcastclient disable set ntp broadcastdelay 3000 set ntp client disable clear timezone set summertime disable i it set boot command set boot config-register OxlOf set boot system flash bootflash:sup.bin ! tpermit list set ip permit enable set ip permit 10.100.100.0 255.255.255.0
tdrip set tokenring reduction enable set tokenring distrib-crf disable ! figrap set igrap enable ! tprotocolfilter set protocolfilter enable i fmls set nils enable set nils flow destination set mis agingtime 256 set mis agingtime fast 0 0 set mis nde disable i fstandby ports set standbyports enable i fmodule 1 : 2-port lOOOBaseX Supervisor set module name 1 set VLAN 1 1/1-2 set port enable set port level set port trap set port trap set port name set port name set port security set port broadcast set port membership 1/1-2 set port protocol 1/1-2 ip on set port protocol 1/1-2 ipx auto set cdp enable 1/1-2 set cdp interval 1/1-2 60 clear trunk 1/1 2-19,25-1005 set trunk 1/1 on isl 1,20-24 set trunk 1/2 auto isl 1-1005 set spantree portfast 1/1-2 disable set spantree portcost 1/1-2 4 set spantree portpri 1/1-2 32 set spantree portvlanpri 1/1 0 set spantree portvlanpri 1/2 0 set spantree portvlancost 1/1 cost 3 set spantree portvlancost 1/2 cost 3 ! tmodule 2 : 2-port lOOOBaseX Supervisor 1/1-2 1/1-2 1/1 1/2 1/1 1/2 1/1-2 1/1-2 1/1-2 normal enable disable Gigabit link to Cat-B2-0A Spare gigabit port disable 100* static Глава 17. Учебные примеры: внедрение коммутаторов в сети 807
2/1-2 2/1-2 2/1 2/2 1/1 1/2 2/1-2 2/1-2 2/1-2 normal enable disable Gigabit link Spare gigabit disable 100* static to Cat-B2-0B port set module name 2 set VLAN 1 2/1-2 set port enable set port level set port trap set port trap set port name set port name set port security set port broadcast set port membership 2/1-2 set port protocol 2/1-2 ip on set port protocol 2/1-2 ipx auto set cdp enable 2/1-2 set cdp interval 2/1-2 60 clear trunk 2/1 2-19,25-1005 set trunk 2/1 on isl 1,20-24 set trunk 2/2 auto isl 1-1005 set spantree portfast 2/1-2 disable set spantree portcost 2/1-2 4 set spantree portpri 2/1-2 32 set spantree portvlanpri 2/1 0 set spantree portvlanpri 2/2 0 set spantree portvlancost 2/1 cost 3 set spantree portvlancost 2/2 cost 3 ! tmodule 3 : 24-port 10/100BaseTX Ethernet set module name 3 set module enable 3 set VLAN 33 3/1-24 set port enable set port level set port speed set port trap set port name set port security set port broadcast set port membership 3/1-24 set port protocol 3/1-24 ip on set port protocol 3/1-24 ipx auto set cdp enable 3/1-24 set cdp interval 3/1-24 set spantree portfast set spantree portcost set spantree portpri 3/1-24 3/1-24 3/1-24 3/1-24 3/1-24 3/1-24 3/1-24 3/1-24 normal auto disable disable 0 static 60 3/1-24 enable 3/1-24 100 3/1-24 32 tmodule 4 : 24-port 10/100BaseTX Ethernet set module name 4 808 Часть V. Современное проектирование и реализация.
4/1-24 4/1-24 4/1-24 4/1-24 4/1-24 4/1-24 4/1-24 4/1-24 normal auto disable disable 0 static set module enable 4 set VLAN 33 4/1-24 set port enable set port level set port speed set port trap set port name set port security set port broadcast set port membership 4/1-24 set port protocol 4/1-24 ip on set port protocol 4/1-24 ipx auto set cdp enable 4/1-24 set cdp interval 4/1-24 60 set spantree portfast 4/1-24 enable set spantree portcost 4/1-24 100 set spantree portpri 4/1-24 32 fmodule 5 : 24-port 10/100BaseTX Ethernet set module name 5 set module enable 5 set VLAN 33 5/1-24 set port enable set port level set port speed set port trap set port name set port security set port broadcast set port membership 5/1-24 set port protocol 5/1-24 ip on set port protocol 5/1-24 ipx auto set cdp enable 5/1-24 set cdp interval 5/1-24 60 set spantree portfast 5/1-24 enable set spantree portcost 5/1-24 100 set spantree portpri 5/1-24 32 i tmodule 6 : 24-port 10/100BaseTX Ethernet set module name 6 set module enable 6 set VLAN 33 6/1-24 5/1-24 5/1-24 5/1-24 5/1-24 5/1-24 5/1-24 5/1-24 5/1-24 normal auto disable disable 0 static set set set set set set port port port port port port enable level speed trap name security 6/1-24 6/1-24 6/1-24 6/1-24 5/1-24 6/1-24 normal auto disable disable Глава 17. Учебные примеры: внедрение коммутаторов в сети 809
set port broadcast 6/1-24 0 set port membership 6/1-24 static set port protocol 6/1-24 ip on set port protocol 6/1-24 ipx auto set cdp enable 6/1-24 set cdp interval 6/1-24 60 set spantree portfast 6/1-24 enable set spantree portcost 6/1-24 100 set spantree portpri 6/1-24 32 fmodule 7 : 24-port 10/100BaseTX Ethernet set module name 7 set module enable 7 set VLAN 33 7/1-24 set port enable 7/1-24 set port level 7/1-24 normal set port speed 7/1-24 auto set port trap 7/1-24 disable set port name 5/1-24 set port security 7/1-24 disable set port broadcast 7/1-24 0 set port membership 7/1-24 static set port protocol 7/1-24 ip on set port protocol 7/1-24 ipx auto set cdp enable 7/1-24 set cdp interval 7/1-24 60 set spantree portfast 7/1-24 enable set spantree portcost 7/1-24 100 set spantree portpri 7/1-24 32 fmodule 8 empty fmodule 9 empty 1 fswitch port analyzer !set span 11/1 both inpkts disable set span disable I team set cam agingtime 1,20-24,250,1003,1005 300 end Конфигурирование блока Supervisor узла MDF Характерным примером MDF-коммутатора (коммутатора уровня распределения) является второй коммутатор здания 2 (Cat-B2-0B). Как и в случае IDF-коммутатора (уровня доступа), конфигурация блока Supervisor представлена в двух разделах: в пер- первом демонстрируется последовательность интерактивных этапов конфигурации, а во втором — полная результирующая конфигурация. 810 Часть V. Современное проектирование и реализация...
Конфигурирование блока Supervisor узла MDF: устройство Cat-B2-0B Как и в случае IDF-коммутатора, прежде всего настраивается имя, протокол VTP и параметры SCO-интерфейса. Необходимые команды приведены в примере 17.13. Пример 17.13. Конфигурирование имени, протокола VTP и параметров У ./р ..Я:* ■ IP-адреса коммутатора Catalyst ■%. ^:^::"\^И: 'ф '^1 * Console> (enable) set system name Cat-B2-0B System name set. Cat-B2-0B> (enable) set vtp domain Happy-B2 VTP domain Happy-B2 modified Cat-B2-0B> (enable) set vtp mode server VTP domain Happy-B2 modified Cat-B2-0B> (enable) Cat-B2-0B> (enable) set interface scO 20 10.2.20.8 255.255.255.0 Interface scO vlan set, IP address and netmask set. Cat-B2-0B> (enable) set ip route default 10.2.20.1 Route added. Cat-B2-0B> (enable) Следует отметить, что поскольку используется серверный режим протокола VTP, в данном коммутаторе нет необходимости вручную добавлять виртуальные локальные сети. Действительно, предположим, что блок Supervisor содержит первоначальную стандартную конфигурацию (empty configuration). Устройство Cat-B2-0B также авто- автоматически определяет имя VTP-домеиа, что делает команду set vtp domain Happy-B2 необязательной. Поскольку все устройства в здании 2 совместно используют единст- единственную административную сеть VLAN, коммутатор Cat-B2-0B получает IP-адрес той же IP-подсети и использует адрес того же стандартного шлюза. Далее необходимо модифицировать параметры распределенного связующего дере- дерева, как показано в примере 17.14. : Пример 17.14. Конфигурирование протокола распределенного связую- -■■■-. *• :<" ,,, щего дерева ..... ';' .' «?. ^. -Ч ^'^ ';;\ ■ '_ ;. -j Cat-B2-0B> (enable) set spantree root 20 dia 3 hello 2 VLAN 30 bridge priority set to 8192. VLAN 30 bridge max aging time set to 12. VLAN 30 bridge hello time set to 2. VLAN 30 bridge forward delay set to 9. Cat-B2-0B> (enable) Cat-B2-0B> (enable) set spantree root secondary 21 dia 3 hello 2 VLAN 31 bridge priority set to 16384. VLAN 31 bridge max aging time set to 12. VLAN 31 bridge hello time set to 2. VLAN 31 bridge forward delay set to 9. Cat-B2-0B> (enable) Cat-B2-0B> (enable) set spantree root 22 dia 3 hello 2 VLAN 32 bridge priority set to 8192. VLAN 32 bridge max aging time set to 12. Глава 17. Учебные примеры: внедрение коммутаторов в сети 811
VLAN 32 bridge hello time set to 2. VLAN 32 bridge forward delay set to 9. Switch is now the root switch for active VLAN 32. Cat-B2-0B> (enable) Cat-B2-0B> (enable) set spantree root secondary 23 dia 3 hello 2 VLAN 33 bridge priority set to 16384. VLAN 33 bridge max aging time set to 12. VLAN 33 bridge hello time set to 2. VLAN 33 bridge forward delay set to 9. Cat-B2-0B> (enable) Cat-B2-0B> (enable) set spantree root 24 dia 3 hello 2 VLAN 34 bridge priority set to 8192. VLAN 34 bridge max aging time set to 12. VLAN 34 bridge hello time set to 2. VLAN 34 bridge forward delay set to 9. Switch is now the root switch for active VLAN 34. Cat-B2-0B> (enable) Cat-B2-0B> (enable) set spantree root secondary 250 dia 3 hello 2 VLAN 350 bridge priority set to 16384. VLAN 350 bridge max aging time set to 12. VLAN 350 bridge hello time set to 2. VLAN 350 bridge forward delay set to 9. Switch is now the root switch for active VLAN 34. Cat-B2-0B> (enable) Cat-B2-0B> (enable) Cat-B2-0B> (enable) set spantree portfast 6/1-12 enable Warning: Spantree port fast start should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc. to a fast start port can cause temporary Spanning Tree loops. Use with caution. Spantree ports 6/1-12 fast start enabled. Cat-B2-0B> (enable) Cat-B2-0B> (enable) set spantree backbonefast enable Backbonefast enabled for all VLANs Cat-B2-0B> (enable) Для реализации балансировки нагрузки MDF-коммутаторы требуют более тонкой конфигурации распределенного связующего дерева, чем IDF-коммутаторы. С помо- помощью первых шести команд set spantree root в примере 7.14 настраивается часть конфигурации, относящаяся к размещению корневого моста для здания 2, связанная с устройством Cat-B2-0B (по одной команде для каждой из шести используемых сетей VLAN). Отметим, что устройство Cat-B2-0B конфигурируется в качестве основного корневого моста для сетей VLAN с четными номерами B0, 22 и 24), а также в качест- качестве второстепенного корневого моста для нечетных сетей (VLAN 31, 23). Устройство Cat-B2-0A, напротив, является основным корневым мостом для нечетных сетей VLAN и второстепенным для сетей с четными номерами. Для магистральной сети VLAN, VLAN 350, коммутатор Cat-Bl-OA конфигурируется в качестве основного корневого 812 Часть V. Современное проектирование и реализация...
моста (в примере не показан), а коммутатор Cat-B2-0B — в качестве второстепенного. Подобный подход позволяет коммутатору Cat-B2-0B в случае потери связи со здани- зданием 1 принять на себя функции корневого моста для магистрали. Функция PortFast конфигурируется для всех портов модуля 6. Такой подход позво- позволяет сетевым платам быстро активизировать резервные порты, не ожидая завершения стадий прослушивания и самообучения распределенного связующего дерева (Spanning Tree Listening and Learning states), что характерно для случаев, когда некоторые серве- серверы здания 2 подключены с использованием отказоустойчивых сетевых плат, которые переключают состояние канала (большинство отказоустойчивых сетевых плат этого не делают). С помощью последней команды активизируется функция BackboneFast (как опи- описывалось ранее, для корректной работы данную функцию необходимо активизировать на всех коммутаторах). Наконец отметим, что функция UplinkFast не включается на MDF-коммутаторах, поскольку в таком случае нарушается размещение корневого моста, тщательно реализованное с помощью введенных ранее команд set spantree root. В примере 17.15 продемонстрирована конфигурация магистральных портов. Пример 17.15. Конфигурирование портов и магистральных {каналов :' ; Cat-B2-0B> (enable) set port name 5/1 Gigabit link to Cat-B2-1A Port 5/1 name set. Cat-B2-0B> (enable) set port name 5/2 Gigabit link to Cat-B2-2A Port 5/2 name set. Cat-B2-0B> (enable) set port name 5/3 Gigabit link to Cat-B2-0A Port 5/3 name set. Cat-B2-0B> (enable) Cat-B2-0B> (enable) set port speed 1/1 100 Port(s) 1/1 speed set to lOOMbps. Cat-B2-0B> (enable) set port duplex 1/1 full Port(s) 1/1 set to full-duplex. Cat-B2-0B> (enable) set port name 1/1 Link to Cat-B2-3A Port 1/1 name set. Cat-B2-0B> (enable) Cat-B2-0B> (enable) set trunk 1/1 on isl Port(s) 1/1 trunk mode set to on. Port(s) 1/1 trunk type set to isl. Cat-B2-0B> (enable) clear trunk 1/1 2-19,22-1005 Removing Vlan(s) 2-19,22-1005 from allowed list. Port 1/1 allowed vlans modified to 1,20-21. Cat-B2-0B> (enable) Cat-B2-0B> (enable) set trunk 5/1 on isl Port(s) 5/1 trunk mode set to on. Port(s) 5/1 trunk type set to isl. Cat-B2-0B> (enable) clear trunk 5/1 2-19,25-1005 Removing Vlan(s) 2-19,25-1005 from allowed list. Port 5/1 allowed vlans modified to 1,20-24. Cat-B2-0B> (enable) Глава 17. Учебные примеры: внедрение коммутаторов в сети 813
Cat-B2-0B> (enable) set trunk 5/2 on isl Port(s) 5/2 trunk mode set to on. Port(s) 5/2 trunk type set to isl. Cat-B2-0B> (enable) clear trunk 5/2 2-19,25-1005 Removing Vlan(s) 2-19,25-1005 from allowed list. Port 5/2 allowed vlans modified to 1,20-24. Cat-B2-0B> (enable) set trunk 5/3 on isl Port(s) 5/3 trunk mode set to on. Port(s) 5/3 trunk type set to isl. Cat-B2-0B> (enable) clear trunk 5/2 2-19,25-1005 Removing Vlan(s) 2-19,25-1005 from allowed list. Port 5/3 allowed vlans modified to 1,20-24. Cat-B2-0B> (enable) Как и в случае IDF-коммутатора, чтобы работать в качестве магистральных ISL- каналов, порты маркируются именами и жестко задается их поведение. Соедине- Соединение 10/100 Мбит/с блока Supervisor с устройством Cat-B2-3A также жестко установлено на использование скорости в 100 Мбит/с и дуплексный режим работы. Каналы Giga- Gigabit Ethernet к устройствам Cat-B2-1A и Cat-B2-2A не требуют такой настройки, посколь- поскольку параметры 3-портового Gigabit Ethernet-модуля коммутатора Catalyst 5000 зафиксиро- зафиксированы на использование скорости 1000 Мбит/с и дуплексный режим передачи. Сети VLAN вручную отсекаются от магистральных каналов с помощью команды clear trunk. Поскольку коммутатор Catalyst на третьем этаже содержит только порты в виртуальной локальной сети отдела продаж, все сети VLAN, кроме VLAN 30 и 21, отсекаются от внешнего канала 1/1. В компании Happy Homes нет четкой определен- определенности относительно расположения сотрудников на первых двух этажах здания 2. И хотя ближайшие планы требуют размещения инженерного отдела на первом этаже, а маркетингового и финансового отделов — на втором, известно, что в течение сле- следующих двух лет последует большое число перемещений сотрудников между данными этажами. Поэтому оба коммутатора — Cat-B2-1A и Cat-B2-2A — необходимо скон- сконфигурировать со всеми четырьмя пользовательскими сетями VLAN. В то же время другие сети VLAN B-19 и 25-1005) останутся отсеченными. Совет При отсекании сетей VLAN вручную необходимо соблюдать осторожность, чтобы не отрезать административную сеть VLAN. Если она будет отсечена, Telnet, SNMP и дру- другие IP-соединения с блоком Supervisor станут невозможными. Если в качестве адми- административной используется сеть VLAN 1, такой опасности не существует, поскольку данную сеть невозможно удалить с магистрального канала. Важно отметить, что магистральная сеть VLAN, VLAN 350, отсечена от всех кана- каналов внутри здания, включая канал между двумя MDF-коммутаторами (порт 5/3 на коммутаторе Cat-B2-0B). Иными словами, единственным портом, сконфигурирован- сконфигурированным для сети VLAN 350 на четырех MDF-коммутаторах, должен быть ATM-канал к территориальной магистрали. Такой подход гарантирует беспетельную логическую структуру магистрали с более предопределенными потоками данных и быстрой кон- конвергенцией, как описано в разделе "Создание беспетельных магистралей второго уровня" главы 15, "Реализация конструкции территориальной сети". 814 Часть V. Современное проектирование и реализация...
Совет При использовании магистрали второго уровня необходимо убедиться, что основная сеть VLAN удалена со всех каналов внутри каждого распределительного блока. Команды, приведенные в примере 17.16, завершают конфигурацию и почти иден- идентичны IDF-конфигурации, описанной в примерах 17.6-17.11. • Пример 17.16. Конфигурирование паролей," заставки, системной инфор-; i . . мации, службы DNS, списка IP-разрешений, IGMP-прослу- \ i ■ ' ,,''■'■ шивания, протокола SNMP и службы Sysiog "'-''[ ^ ; \ Cat-B2-0B> (enable) Cat-B2-0B> (enable) set password Enter old password: Enter new password: Retype new password: Password changed. Cat-B2-0B> (enable) Cat-B2-0B> (enable) set enablepass Enter old password: Enter new password: Retype new password: Password changed. Cat-B2-0B> (enable) Cat-B2-0B> (enable) Cat-B2-0B> (enable) set banner motd "PRIVATE NETWORK -- HACKERS WILL BE SHOT!!" MOTD banner set Cat-B2-0B> (enable) set system location Building 2 MDF System location set. Cat-B2-0B> (enable) set system contact Joe xlll System contact set. Cat-B2-0B> (enable) Cat-B2-0B> (enable) set ip dns enable DNS is enabled Cat-B2-0B> (enable) set ip dns domain happy.com Default DNS domain name set to happy.com Cat-B2-0B> (enable) set ip dns server 10.100.100.42 10.100.100.42 added to DNS server table as primary server. Cat-B2-0B> (enable) set ip dns server 10.100.100.68 10.100.100.68 added to DNS server table as backup server. Cat-B2-0B> (enable) Cat-B2-0B> (enable) set ip permit enable IP permit list enabled. WARNING!! IP permit list has no entries. Cat-B2-0B> (enable) set ip permit 10.100.100.0 255.255.255.0 10.100.100.0 with mask 255.255.255.0 added to IP permit list. Cat-B2-0B> (enable) Cat-B2-0B> (enable) Глава 17. Учебные примеры: внедрение коммутаторов в сети 815
Cat-B2-0B> (enable) set igmp enable IGMP feature for IP multicast enabled Cat-B2-0B> (enable) Cat-B2-0B> (enable) Cat-B2-0B> (enable) set snmp community read-only lesspublic SNMP read-only community string set to 'lesspublic'. Cat-B2-0B> (enable) set snmp community read-write moreprivate SNMP read-write community string set to 'moreprivate'. Cat-B2-0B> (enable) set snmp community read-write-all mostprivate SNMP read-write-all community string set to 'mostprivate'. Cat-B2-0B> (enable) Cat-B2-0B> (enable) set snmp trap 10.100.100.21 trapped SNMP trap receiver added. Cat-B2-0B> (enable) set snmp trap enable module SNMP module traps enabled. Cat-B2-0B> (enable) set snmp trap enable chassis SNMP chassis alarm traps enabled. Cat-B2-0B> (enable) set snmp trap enable bridge SNMP bridge traps enabled. Cat-B2-0B> (enable) set snmp trap enable auth SNMP authentication traps enabled. Cat-B2-0B> (enable) set snmp trap enable stpx SNMP STPX traps enabled. Cat-B2-0B> (enable) set snmp trap enable config SNMP CONFIG traps enabled. Cat-B2-0B> (enable) set port trap 1/1 enable Port 1/1 up/down trap enabled. Cat-B2-0B> (enable) set port trap 5/1 enable Port 5/1 up/down trap enabled. Cat-B2-0B> (enable) set port trap 5/2 enable Port 5/2 up/down trap enabled. Cat-B2-0B> (enable) Cat-B2-0B> (enable) Cat-B2-0B> (enable) set logging server enable System logging messages will be sent to the configured syslog servers. Cat-B2-0B> (enable) set logging server 10.100.100.21 10.100.100.21 added to System logging server table. Cat-B2-0B> (enable) Cat-B2-0B> (enable) Единственным существенным отличием между примерами 17.6-17.11 и 17.16 явля- является то, что в последнем случае не включается фильтрация протоколов. Полный файл конфигурации блока Supervisor узла MDF: устройство Cat-B2-0B В примере 17.17 представлен полный конфигурационный файл для MDF- коммутатора Cat-B2-0B, который настраивался в примерах 17.13-17.16. 816 Часть V. Современное проектирование и реализация...
Пример 17.17. Полная конфигурация для коллмутатора Catalyst Cat-B2-0B J begin ! set password $l$FMFQ$HfZR5DUszVHIRhrz4h6v70 set enablepass $l$FMFQ$HfZR5DUszVHIRhrz4h6v70 set prompt Cat-B2-0B> set length 24 default set logout 20 set banner motd 'CPRIVATE NETWORK ~ HACKERS WILL BE SHOTITC ! tsystem set system baud 9600 set system modem disable set system name Cat-B2-0B set system location Building 2 MDF set system contact Joe xlll i tsnmp set snmp community read-only lesspublic set snmp community read-write moreprivate set snmp community read-write-all mostprivate set snmp rmon disable set snmp trap enable module set snmp trap enable chassis set snmp trap enable bridge set snmp trap disable repeater set snmp trap disable vtp set snmp trap enable auth set snmp trap disable ippermit set snmp trap disable vmps set snmp trap disable entity set snmp trap enable config set snmp trap enable stpx set snmp trap disable syslog set snmp extendedrmon vlanmode disable set snmp extendedrmon vlanagent disable set snmp extendedrmon enable set snmp trap 10.100.100.21 trapped ! tip set interface scO 20 10.2.20.8 255.255.255.0 10.2.20.255 set interface scO up set interface slO 0.0.0.0 0.0.0.0 set interface slO up set arp agingtime 1200 set ip redirect enable Глава 17. Учебные примеры: внедрение коммутаторов в сети 817
set ip unreachable enable set ip fragmentation enable set ip route 0.0.0.0 10.2.20.1 1 set ip alias default 0.0.0.0 ! tCoiranand alias I fvmps set vmps server retry 3 set vmps server reconfirminterval 60 set vmps tftpserver 0.0.0.0 vmps-config-database.l set vmps state disable i fdns set ip dns server 10.100.100.42 primary set ip dns server 10.100.100.68 set ip dns enable set ip dns domain happy.com ! itacacs+ set tacacs attempts 3 set tacacs directedrequest disable set tacacs timeout 5 i tauthentication set authentication login tacacs disable console set authentication login tacacs disable telnet set authentication enable tacacs disable console set authentication enable tacacs disable telnet set authentication login local enable console set authentication login local enable telnet set authentication enable local enable console set authentication enable local enable telnet ! tbridge set bridge ipx snaptoether 8023raw set bridge ipx 8022toether 8023 set bridge ipx 8023rawtofddi snap i tvtp set vtp domain Happy-B2 set vtp mode server set vtp v2 disable set vtp pruning disable set vtp pruneeligible 2-1000 clear vtp pruneeligible 1001-1005 set VLAN 1 name default type ethernet mtu 1500 said 100001 state active set VLAN 30 name B2_Management type ethernet mtu 1500 said 100020 state active 818 Часть V. Современное проектирование и реализация.
set VLAN 31 name B2_Sales type ethernet mtu 1500 said 100021 state active set VLAN 32 name B2_Marketing type ethernet mtu 1500 said 100022 state active set VLAN 33 name B2_Engineering type ethernet mtu 1500 said 100023 state active set VLAN 34 name B2_Pinance type ethernet mtu 1500 said 100024 state active set VLAN 350 name Backbone type ethernet mtu 1500 said 100250 state active set VLAN 1002 name fddi-default type fddi mtu 1500 said 101002 state active set VLAN 1004 name fddinet-default type fddinet mtu 1500 said 101004 state active bridge 0x0 stp ieee set VLAN 1005 name trnet-default type trbrf mtu 1500 said 101005 state active bridge 0x0 stp ibm set VLAN 1003 name token-ring-default type trcrf mtu 1500 said 101003 state active parent 0 ring 0x0 mode srb aremaxhop 0 stemaxhop 0 set interface scO 20 10.2.20.8 255.255.255.0 10.2.20.255 ! tspantree tuplinkfast groups set spantree uplinkfast disable tbackbonefast set spantree backbonefast enable set spantree enable all tVLAN 1 set spantree fwddelay 15 1 set spantree hello 2 1 set spantree maxage 20 1 set spantree priority 32768 1 tVLAN 30 set spantree fwddelay 9 20 set spantree hello 2 20 set spantree maxage 12 20 set spantree priority 8192 20 tVLAN 31 set spantree fwddelay 9 21 set spantree hello 2 21 set spantree maxage 12 21 set spantree priority 16384 21 tVLAN 32 set spantree fwddelay 9 22 set spantree hello 2 22 set spantree maxage 12 22 set spantree priority 8192 22 tVLAN 33+ set spantree fwddelay 9 23 set spantree hello 2 23 set spantree maxage 12 23 set spantree priority 16384 23 tVLAN 34 set spantree fwddelay 9 24 set spantree hello 2 24 Глава 17. Учебные примеры: внедрение коммутаторов в сети 819
set spantree maxage 12 24 set spantree priority 8192 24 tVLAN 350 set spantree fwddelay 9 250 set spantree hello 2 250 set spantree maxage 12 250 set spantree priority 8192 250 tVLAN 1003 set spantree fwddelay 15 1003 set spantree hello 2 1003 set spantree maxage 20 1003 set spantree priority 32768 1003 set spantree portstate 1003 block 0 set spantree portcost 1003 62 set spantree portpri 1003 4 set spantree portfast 1003 disable tVLAN 1005 set spantree fwddelay 15 1005 set spantree hello 2 1005 set spantree maxage 20 1005 set spantree priority 32768 1005 set spantree multicast-address 1005 ieee ! tcgmp set cgmp disable set cgmp leave disable ! tsyslog set logging console enable set logging server enable set logging server 10.100.100.21 set logging level cdp 2 default set logging level mcast 2 default set logging level dtp 5 default set logging level dVLAN 3 default set logging level earl 2 default set logging level fddi 2 default set logging level ip 2 default set logging level pruning 2 default set logging level snmp 2 default set logging level spantree 2 default set logging level sys 5 default set logging level tac 2 default set logging level tcp 2 default set logging level telnet 2 default set logging level tftp 2 default set logging level vtp 2 default set logging level vmps 2 default 820 Часть V. Современное проектирование и реализация.
set logging level kernel 2 default set logging level filesys 2 default set logging level drip 2 default set logging level pagp 5 default set logging level mgmt 5 default set logging level mis 5 default set logging level protfilt 2 default set logging level security 2 default set logging server facility LOCAL7 set logging server severity 4 set logging buffer 500 set logging timestamp disable tntp set ntp broadcastclient disable set ntp broadcastdelay 3000 set ntp client disable clear timezone set summertime disable tset boot command set boot config-register OxlOf set boot system flash bootflash:sup.bin tpermit list set ip permit enable set ip permit 10.100.100.0 255.255.255.0 i fdrip set tokenring reduction enable set tokenring distrib-crf disable i tigmp set igmp enable tprotocolfilter set protocolfilter disable i tmls set mis enable set mis flow destination set mis agingtime 256 set mis agingtime fast 0 0 set mis nde disable tstandby ports set standbyports enable Глава 17. Учебные примеры: внедрение коммутаторов в сети 821
Imodule 1 : 2-port 10/100BaseTX Supervisor set module name 1 set VLAN 1 1/1-2 set port channel 1/1-2 off set port channel 1/1-2 auto set port enable set port level set port speed set port speed set port trap set port trap set port name set port name set port security set port broadcast set port membership 1/1-2 set port protocol 1/1-2 ip on set port protocol 1/1-2 ipx auto set cdp enable 1/1-2 set cdp interval 1/1-2 60 clear trunk 1/1 2-19,22-1005 set trunk 1/1 on isl 1,20-21 set trunk 1/2 auto isl 1-1005 set spantree portfast 1/1-2 disable set spantree portcost 1/1-2 100 set spantree portpri 1/1-2 32 set spantree portvlanpri 1/1 0 set spantree portvlanpri 1/2 set spantree portvlancost 1/1 set spantree portvlancost 1/2 1/1-2 1/1-2 1/1 1/2 1/1 1/2 1/1 1/2 1/1-2 1/1-2 1/1-2 normal 100 auto enable disable Link to Cat-B2-3A disable 100* static cost 99 cost 99 tmodule 2 : 2-port 10/100BaseTX Supervisor set module name 2 set VLAN 1 2/1-2 set port channel 2/1-2 off set port channel 2/1-2 auto set set set set set set set set set set set set port port port port port port port port port port cdp ( cdp : enable level speed trap name security 2/1-2 2/1-2 2/1-2 2/1-2 2/1-2 2/1-2 broadcast 2/1-2 membership 2/1-2 protocol protocol эпаЫе interval 2/1-2 ip normal auto disable disable 100* static i ОП 2/1-2 ipx auto 2/1-2 2/1-2 60 822 Часть V. Современное проектирование и реализация.
set trunk 2/1 auto isl 1-1005 set trunk 2/2 auto isl 1-1005 set spantree portfast 2/1-2 disable set spantree portcost 2/1-2 100 set spantree portpri 2/1-2 32 set spantree portvlanpri 2/1 0 set spantree portvlanpri 2/2 0 set spantree portvlancost 2/1 cost 99 set spantree portvlancost 2/2 cost 99 ! #module 3 : 2-port MM OC-12 Dual-Phy ATM set module name 3 set port level 3/1 normal set port name 3/1-2 set cdp enable 3/1 set cdp interval 3/1 60 set trunk 3/1 on lane 1-1005 set spantree portcost 3/1 14 set spantree portpri 3/1 32 set spantree portvlanpri 3/1 0 set spantree portvlancost 3/1 cost 13 i fmodule 4 : 1-port Route Switch set module name 4 set port level 4/1 normal set port trap 4/1 disable set port name 4/1 set cdp enable 4/1 set cdp interval 4/1 60 set trunk 4/1 on isl 1-1005 set spantree portcost 4/1 5 set spantree portpri 4/1 32 set spantree portvlanpri 4/1 0 set spantree portvlancost 4/1 cost 4 ! fmodule 5 : 3-port lOOOBaseX Ethernet set module name 5 set module enable 5 set VLAN 1 5/1-3 set set set set set set set set port port port port port port port port enable level duplex trap trap name name name 5/1-3 5/1-3 5/1-3 5/1-2 5/3 5/1 5/2 5/3 normal full enable disable Gigabit link Gigabit link Spare gigabit to Cat-B2-1A to Cat-B2-2A port set port security 5/1-3 disable Глава 17. Учебные примеры: внедрение коммутаторов в сети 823
set port broadcast 5/1-3 100* set port membership 5/1-3 static set port protocol 5/1-3 ip on set port protocol 5/1-3 ipx auto set port negotiation 5/1-3 enable set port flowcontrol send 5/1-3 desired set port flowcontrol receive 5/1-3 off set cdp enable 5/1-3 set cdp interval 5/1-3 60 clear trunk 5/1 2-19,25-1005 set trunk 5/1 on isl 1,20-24 clear trunk 5/2 2-19,25-1005 set trunk 5/2 on isl 1,20-24 set trunk 5/3 auto isl 1-1005 set spantree portfast 5/1-3 disable set spantree portcost 5/1-3 4 set spantree portpri 5/1-3 32 set spantree portvlanpri 5/1 0 set spantree portvlanpri 5/2 0 set spantree portvlanpri 5/3 0 set spantree portvlancost 5/1 cost 3 set spantree portvlancost 5/2 cost 3 set spantree portvlancost 5/3 cost 3 t fmodule 6 : 12-port 10/100BaseTX Ethernet set module name 6 set module enable 6 set VLAN 1 6/1-12 set port channel 6/1-4 off set port channel 6/5-8 off set port channel 6/9-12 off set port channel 6/1-4 auto set port channel 6/5-8 auto set port channel 6/9-12 auto set port enable 6/1-12 set port level 6/1-12 normal set port speed 6/1-12 auto set port trap 6/1-12 disable set port name 6/1-12 set port security 6/1-12 disable set port broadcast 6/1-12 0 set port membership 6/1-12 static set port protocol 6/1-12 ip on set port protocol 6/1-12 ipx auto set cdp enable 6/1-12 set cdp interval 6/1-12 60 set trunk 6/1 auto isl 1-1005 set trunk 6/2 auto isl 1-1005 824 Часть V. Современное проектирование и реализация.
set trunk 6/3 auto isl 1-1005 set trunk 6/4 auto isl 1-1005 set trunk 6/5 auto isl 1-1005 set trunk 6/6 auto isl 1-1005 set trunk 6/7 auto isl 1-1005 set trunk 6/8 auto isl 1-1005 set trunk 6/9 auto isl 1-1005 set trunk 6/10 auto isl 1-1005 set trunk 6/11 auto isl 1-1005 set trunk 6/12 auto isl 1-1005 set spantree portfast 6/1-12 disable set spantree portcost 6/1-12 100 set spantree portpri 6/1-12 32 set spantree portvlanpri 6/1 0 set spantree portvlanpri 6/2 0 set spantree portvlanpri 6/3 0 set spantree portvlanpri 6/4 0 set spantree portvlanpri 6/5 0 set spantree portvlanpri 6/6 0 set spantree portvlanpri 6/7 0 set spantree portvlanpri 6/8 0 set spantree portvlanpri 6/9 0 set spantree portvlanpri 6/10 0 set spantree portvlanpri 6/11 0 set spantree portvlanpri 6/12 0 set spantree portvlancost 6/1 cost 99 set spantree portvlancost 6/2 cost 99 set spantree portvlancost 6/3 cost 99 set spantree portvlancost 6/4 cost 99 set spantree portvlancost 6/5 cost 99 set spantree portvlancost 6/6 cost 99 set spantree portvlancost 6/7 cost 99 set spantree portvlancost 6/8 cost 99 set spantree portvlancost 6/9 cost 99 set spantree portvlancost 6/10 cost 99 set spantree portvlancost 6/11 cost 99 set spantree portvlancost 6/12 cost 99 j imodule 7 empty t fmodule 8 empty ! imodule 9 empty ! imodule 10 empty I imodule 11 empty Глава 17. Учебные примеры: внедрение коммутаторов в сети 825
fmodule 12 empty ! fmodule 13 empty i fswitch port analyzer !set span 1 1/1 both inpkts disable set span disable ! fcam set cam agingtime 1,20-24,250,1003,1005 300 end Конфигурирование модуля RSM узла MDF: устройство Cat-B2-0B С целью обеспечения высокопроизводительной коммутации третьего уровня между каждым зданием и территориальной магистралью коммутаторы MDF-узлов (уровня распределения) настраиваются на использование технологии MLS. Прежде всего необходимо отметить, что для активизации технологии MLS в блоке управления Supervisor, описываемой в предыдущем разделе, конфигурационные ко- команды не требовались. Как указывалось в главе 11, "Коммутация третьего уровня", блоку Supervisor, расположенному на одном шасси с модулем RSM, введение команд для поддержки технологии MLS не требуется. Однако, если бы проектная документа- документация требовала использования внешнего линейного маршрутизатора (router-on-a-stick), то для блока Supervisor понадобилось бы указание IP-адреса маршрутизатора. Несмотря на то, что использование модуля RSM устраняет необходимость MLS- конфигурирования блока Supervisor, на самом модуле RSM включение технологии MLS все-таки требуется. В примере 17.18 приведены команды, необходимые для включения технологии MLS на модуле RSM. Пример 17.18. Полная конфигурация модуля RSM для коммутатора %■ % ~.Зл yCat-B2-OBs г-Шг-~ '.^,- -%, ,'■'■ .■;:■ %; ■■.;.,., Щ~- service timestamps log datetime localtime service password-encryption ! hostname Cat-B2-0B-RSM t enable secret 5 $l$JiA8$oFVSrScIZX2BnqDV/W9mll i ip domain-name happy.com ip name-server 10.100.100.42 ip name-server 10.100.100.68 ! ipx routing 00e0.4fb3.68a0 mis rp ip clock timezone EST -5 826 Часть V. Современное проектирование и реализация...
clock summer-time EDT recurring t interface Vlan20 ip address 10.2.20.3 255.255.255.0 ip helper-address 10.100.100.33 ip helper-address 10.100.100.81 no ip redirects mis rp vtp-domain Happy-B2 mis rp management-interface mis rp ip ipx network 0A021400 standby 20 priority 110 standby 20 preempt standby 20 ip 10.2.20.1 standby 20 track Vlan250 15 i interface Vlan21 ip address 10.2.21.3 255.255.255.0 ip helper-address 10.100.100.33 ip helper-address 10.100.100.81 no ip redirects mis rp ip ipx network 0A021500 standby 21 priority 100 standby 21 preempt standby 21 ip 10.2.21.1 standby 21 track Vlan250 15 i interface Vlan22 ip address 10.2.22.3 255.255.255.0 ip helper-address 10.100.100.33 ip helper-address 10.100.100.81 no ip redirects mis rp ip ipx network 0A021600 standby 22 priority 110 standby 22 preempt standby 22 ip 10.2.22.1 standby 22 track Vlan250 15 i interface Vlan23 ip address 10.2.23.3 255.255.255.0 ip helper-address 10.100.100.33 ip helper-address 10.100.100.81 no ip redirects mis rp ip ipx network 0A021700 standby 23 priority 100 Глава 17. Учебные примеры: внедрение коммутаторов в сети 827
standby 23 preempt standby 23 ip 10.2.23.1 standby 23 track Vlan250 15 ! interface Vlan24 ip address 10.2.24.3 255.255.255.0 ip helper-address 10.100.100.33 ip helper-address 10.100.100.81 no ip redirects mis rp ip ipx network 0A021800 standby 24 priority 110 standby 24 preempt standby 24 ip 10.2.24.1 standby 24 track Vlan250 15 i interface Vlan250 ip address 10.250.250.4 255.255.255.0 no ip redirects mis rp ip ipx network 0AFAFA00 i router eigrp 131 passive-interface Vlan20 passive-interface Vlan21 passive-interface Vlan22 passive-interface Vlan23 passive-interface Vlan24 network 10.0.0.0 t no ip classless no ip forward-protocol udp netbios-ns no ip forward-protocol udp netbios-dgm ! logging 10.100.100.21 access-list 1 permit 10.100.100.0 0.0.0.255 ! snmp-server community lesspublic RO snmp-server community moreprivate RW snmp-server host 10.100.100.21 trapped snmp-server location Building 2 MDF snmp-server contact Joe xlll snmp-server enable traps config banner motd "CPRIVATE NETWORK — HACKERS WILL BE SHOT!! ! line con 0 password 7 055A545C line aux 0 828 Часть V. Современное проектирование и реализация.
password 7 055A545C line vty 0 4 access-class 1 in password 7 055A545C login i end Каждый VLAN-интерфейс настроен на отдельную HSRP-группу для обеспечения избыточности стандартного шлюза с коммутатором Cat-B2-0A. Поскольку в компании Happy Homes в обозримом будущем потребуется использование операционной систе- системы NetWare и IPX-служб, модуль RSM конфигурируется с адресами IPX-сетей. Сле- Следует заметить, что протокол IPX автоматически размещает новый шлюз при выходе из строя основного (хотя может понадобиться перезагрузка), и, следовательно, поддерж- поддержка таких функций, как протокол HSRP, не требуется. Кроме того, каждый интерфейс конфигурируется с помощью пары команд ip helper-address для передачи трафика к серверной группе. Если это необходимо, можно указать единственный вспомогательный адрес ip helper-address с использо- использованием широковещательного адреса подсети серверной группы A0.100.100.255). Также следует обратить внимание на две команды no ip forward-protocol udp. С их помо- помощью предотвращается пересылка излишнего трафика службы преобразования имен протокола TCP/IP в среде NetBIOS. Предотвращение излишнего трафика является потенциально важным улучшением в сетях, где велико количество конечных станций, использующих решения Microsoft. Протокол EIGRP конфигурируется как протокол IP-маршрутизации (в протоколе IPX по умолчанию используется IPX RIP). Поскольку протокол EIGRP включает в себя интерфейсы на классовой основе, команда passive-interface применена для предотвращения попадания маршрутизируемого трафика в IDF-сегменты. И несмотря на то, что в случае использования протокола EIGRP не будет сокращения трафика обновлений таблиц маршрутизации, данная команда предотвращает большое количе- количество излишних запросов протокола EIGRP для согласования параметров соседних устройств (стандартно используется только один сеанс согласования параметров для каждой пары маршрутизаторов в каждой сети VLAN). В данном случае предотвраща- предотвращается только отправка hello-пакетов протокола EIGRP. Сократив подобный информа- информационный обмен, можно увеличить производительность и стабильность протокола маршрутизации. Совет Уменьшение излишнего информационного обмена может быть особенно полезным в случае использования коммутаторов Catalyst 8500, в которых чрезмерный трафик бло- блока управления (control plane traffic) может вызвать перегрузку процессора. Вместе с тем подобная оптимизация является важной для всех платформ с использованием VLAN-маршрутизации. Также в модуле RSM настраиваются многие административные функции, которые конфигурируются в блоках Supervisor Catalyst, включая следующие: • строки SNMP-сообщества; • информацию SNMP-узла и его месторасположение; Глава 17. Учебные примеры: внедрение коммутаторов в сети 829
• SNMP-прерывания; • заставку "сообщение дня" (message-of-the-day banner); • пароли; • права доступа к виртуальным терминалам (VTY) для ограничения Telnet- доступа из сегментов, отличных от серверной группы; • службу DNS; • протоколирование с помощью службы Syslog; • временные метки (timestamps) протоколируемой информации. Конфигурирование LANE-модуля MDF-узла: устройство Cat-B2-0B В главе 9, "Магистральное соединение с эмуляцией локальной сети", неоднократ- неоднократно подчеркивалось, что теория LANE- и ATM-технологий является довольно слож- сложной. Однако, большая часть сложности вызвана намерением сделать технологию ATM по возможности более приспособленной к использованию в стиле автоматического распознавания и конфигурирования устройства. В результате такого подхода конфи- конфигурирование большинства LANE-компонент становится тривиальной задачей. В част- частности, рассмотрим пример 17.19, в котором приведен код для LANE-модуля коммута- коммутатора Cat-B2-0B. I Пример 17.19. Полная конфигурация LANE-модуля для устройстваJ / Cat-B2-0B :-X J >:., ■: hostname Cat-B2-OB-LANE interface ATMO atm preferred phy В atm pvc 10 5 qsaal atm pvc 2 0 16 ilmi ! interface ATMO.250 multipoint lane server-bus ethernet Backbone lane client ethernet 250 Backbone line con 0 line vty 0 4 no login t end От стандартной данную конфигурацию отличают только пять строк: • LANE-модулю присваивается имя с помощью команды hostname; • для магистральной ELAN-сети создан многоточечный подынтерфейс (multipoint subinterface); 830 Часть V. Современное проектирование и реализация...
• сервер LAN-эмуляции (LAN Emulation Server — LES) и сервер широковеща- широковещательного и неопознанного трафика (Broadcast and Unknown Server — BUS) соз- создаются с помощью команды lane server-bus; • клиент LAN-эмуляции (LAN Emulation Client — LEC) создается с помощью команды lane client; • порт PHY В (PHY — сокращение от Physical, физический) выбирается в каче- качестве предпочтительного порта (preferred port); причина такого выбора освещает- освещается в следующем ниже разделе. Конфигурирование устройства LS1010: LS1010-A Как правило, ATM-коммутаторы, которые обеспечивают полную поддержку таких протоколов, как ILMI и PNNI, фактически не требуют конфигурирования. Однако, поскольку в проекте следует использовать устройства LS1010 в качестве конфигураци- конфигурационных серверов эмулированных сетей LAN (LAN Emulation Configuration Server — LECS), некоторая настройка все-таки требуется. В примере 17.20 приведена конфигу- конфигурация устройства LS1010-A. Пример 17.20. Полная конфигурация ATM-коммутатора I-S1010-А no service pad service password-encryption ! hostname LS1010-A I enable secret 5 $l$JiA8$oFVSrScIZX2BnqDV/W9mll ! ip domain-name happy.com ip name-server 10.100.100.42 ip name-server 10.100.100.68 ! clock timezone EST -5 clock summer-time EDT recurring atm lecs-address-default 47.0091.8100.0000.0010.llbe.acOl.0010.llbe.acO5.00 1 atm lecs-address-default 47.0091.8100.0000.0010.2962.e801.0010.2962.e805.00 2 atm address 47.0091.8100.0000.0010.llbe.acOl.0010.llbe.acOl.00 atm router pnni node 1 level 56 lowest redistribute atm-static lane database Happy name Backbone server-atm-address 47.00918100000000102962E801.001029075031.05 name Backbone server-atm-address 47.009181000000001011BEAC01.00102941D031.05 name Backbone server-atm-address 47.009181000000001011BEAC01.001029075031.05 name Backbone server-atm-address 47.00918100000000102962E801.00102941D031.05 Глава 17. Учебные примеры: внедрение коммутаторов в сети 831
interface ATMO/0/0 description OC-12 link to Cat-Bl-OA i interface ATMO/1/0 description OC-12 link to Cat-Bl-OB ! interface ATM1/0/0 description OC-12 link to Cat-B2-0A i interface ATM1/1/0 description OC-12 link to Cat-B2-0B i interface ATM2/0/0 no ip address atm maxvp-number 0 lane config auto-config-atm-address lane config database Happy ! interface ATM2/0/0.1 multipoint description In band management channel to Backbone ELAN ip address 10.250.250.201 255.255.255.0 lane client ethernet Backbone ! interface Ethernet2/0/0 description Out of band management channel to Bldb 1 Mtg VLAN ip address 10.1.10.201 255.255.255.0 ! interface ATM3/0/0 ! description OC-12 link to LS1010-B interface ATM3/1/0 I description OC-12 spare no ip classless i logging 10.100.100.21 i snmp-server community public RO snmp-server community private RW snmp-server host 10.100.100.21 trapped snmp-server location Backbone snmp-server contact Joe xlll banner motd ACPRIVATE NETWORK — HACKERS WILL BE SHOTM'C i line con 0 password 7 055A545C line aux 0 832 Часть V. Современное проектирование и реализация.
password 7 055A545C line vty 0 4 password 7 055A545C login i end Для реализации в рассматриваемом проекте поддержки LANE-технологии оба уст- устройства LS1010 требуют настройки четырех элементов, описание которых приводится ниже. • Адреса LECS-серверов (в данном случае самих устройств LS1010) необходимо настроить с помощью команды atm lecs-address-def ault. Т.к. в проекте требу- требуется использование протокола SSRP, оба ATM-коммутатора конфигурируются с двумя LECS-адресами. Более подробная информация по протоколу SSRP при- приведена в главе 9, "Магистральное соединение с эмуляцией локальной сети". • Необходимо настроить базу данных LECS-сервера. Поскольку требуется ис- использование протокола SSRP, применяются два LES/BUS-устройства. Т.к. оба сервера LES/BUS используют соединения сдвоенных PHY-портов (dual-PHY connections) к различным ATM-коммутаторам, все четыре различных LES- адреса возможно и необходимо включить в базу данных. • Сконфигурировать на логическом интерфейсе atm 2/0/0, т.е. на самом про- процессоре ATM-коммутатора (ATM Switch Processor — ASP), команды lane con- fig auto-config-atm-address и lane config database для начала LECS- процесса. • Сконфигурировать на логическом подынтерфейсе atm 2/0/0.1 LANE-клиента с целью обеспечения внутреннего административного канала (in-band manage- management channel) для ATM-коммутатора. В дополнение к внутреннему административному каналу, предоставленному кли- клиентом LAN-эмуляции на интерфейсе atm 2/0/0.1, обеспечивается резервное соеди- соединение на случай выхода из строя ATM-сети. Одним из способов достижения данной цели является установка модема на AUX-порт блока ASP. Однако, в территориальных сетях часто более эффективным является использование административного Ethernet- порта блока ASP. В данном случае порт конфигурируется IP-адресом в администра- административной сети VLAN здания 1 и затем подключается к порту устройства Cat-Bl-OB с пропускной способностью 10/100 Мбит/с. Порядок записей в базе данных LECS-сервера заслуживает отдельного рассмотре- рассмотрения. На рис. 17.5 представлена подробная схема ATM-каналов, указанных в проекте. Как указывалось в главе 9, "Магистральное соединение с эмуляцией локальной сети", тщательное планирование организации базы данных LECS способствует пре- предотвращению излишних операций перебора адресов (backtracking) устройствами. Поскольку коммутатор Cat-Bl-OA является основным LES/BUS-сервером и кон- конфигурируется с использованием порта PHY А в качестве предпочтительного интер- интерфейса, комбинация префикса адреса сервера LS1010 и ESI-идентификатора комму- коммутатора Cat-Bl-OA приводится в базе данных первой. Если данный порт выйдет из строя, потребуется 10 или более секунд для того, чтобы порт PHY В коммутатора Cat-Bl-OA стал активным, что ограничивает выбор второстепенного LES-сервера. Глава 17. Учебные примеры: внедрение коммутаторов в сети 833
Поскольку предпочтительный порт коммутатора Cat-B2-0B, PHY В, уже должен быть полностью активным, он является более эффективным в качестве адреса вто- второстепенного LES-сервера. Если порт PHY В коммутатора Cat-B2-0B выйдет из строя, третичным LES-адресом может стать порт PHY В коммутатора Cat-Bl-OA. В качестве порта "последней надежды" (last resort) применяется порт PHY А коммута- коммутатора Cat-B2-0B. Более подробные сведения по данному вопросу приведены в разде- разделе "Дублирование интерфейсов PHY" главы 9, "Магистральное соединение с эму- эмуляцией локальной сети". МАС-адрес LES-сервера = 0010.2907.5031 Основной сервер LES/BUS Cat-B1-0A Cat-B1-0B Предпочтительный порт Префикс = 47.0091.8100.0000. 0010.2962.Е801 Cat-B2-0A Префикс = 47.0091.8100.0000. 0010.11ВЕ.АС01 Предпочтительный порт Cat-B2-0B Предпочтительный порт LES/BUS МАС-адрес LES-сервера = 0010.2941.D031 Рис. 17.5. Подробная схема АТМ-каналов Наконец, для сервера LS1010 настраивается множество тех же административных параметров, что и для описанных ранее устройств: протокол SNMP, пароли, протоко- протоколирование, заставка и служба DNS. Альтернативные конструкторские решения Несмотря на то, что существует бесконечное множество альтернативных конструк- конструкций, некоторые из них являются достаточно общими, чтобы заслуживать отдельного рассмотрения. Одна из альтернативных конструкций предполагает отсекание VLAN- сетей узлов IDF от канала, соединяющего узлы MDF, что позволяет эффективно пре- преобразовать треугольники второго уровня, применяемые в данной конструкции, в V- образные соединения второго уровня, которые рассматриваются во втором проекте (проект, основанный на использовании коммутаторов Catalyst 8500). Данная модифи- модификация представляет собой незначительное изменение в топологии территориальной 834 Часть V. Современное проектирование и реализация...
сети, которое может серьезно повлиять на распределенное связующее дерево и общую конструкцию. Подробные сведения о влиянии указанных изменений на сеть приво- приводятся при рассмотрении второго проекта (с точки зрения алгоритма распределенного связующего дерева такие изменения в первом проекте делают его абсолютно эквива- эквивалентным второму проекту). Кроме того, разработчики сетей, планирующие полностью использовать функции второго уровня, могут принять решение о внедрении динамических виртуальных ло- локальных сетей (Dynamic VLAN) и службы VMPS. Подобное усовершенствование яв- является довольно простым для конфигурирования, что обусловлено ориентацией на второй уровень технологии MLS и конструкторского подхода, представленного в рас- рассматриваемом проекте. Более подробная информация о динамических VLAN-сетях и службе VMPS приведена в главе 12, "Протокол магистральных каналов виртуальных локальных сетей". Более того, для автоматизации удаления сетей VLAN с магистральных каналов можно использовать VTP-отсекание, которое предотвращает необходимость отсекания сетей вручную с помощью команды clear trunk, как описывалось ранее. Также при внедрении конструкции, поддерживающей какой-либо вид петель вто- второго уровня, следует, по крайней мере, рассмотреть реализацию беспетельной топо- топологии внутри административной сети VLAN. Как указывалось в главе 15, "Реализация конструкции территориальной сети", петли в административной сети VLAN способны быстро привести к нарушению работы всей сети. Одним из значительных преиму- преимуществ создания барьера третьего уровня является то, что он изолирует сбой в одном здании и в дальнейшем способствует снижению вероятности возникновения петель путем уменьшения доменов второго уровня. Несмотря на такое преимущество, при использовании технологии второго уровня возможность появления некоторых форм петель присутствует всегда. В качестве другого общего изменения во многих организациях отдают предпочте- предпочтение повышению приоритета магистральных и серверных каналов, которое осуществ- осуществляется с помощью команды set port level. Наконец, серверы можно подключать непосредственно к ATM-магистрали путем установки в них сетевых плат, поддерживающих технологию ATM. Однако, одним из недостатков данного подхода является проблема поддержки маршрутизации стандарт- стандартного шлюза от серверов к маршрутизаторам, расположенным в MDF-коммутаторах. Например, если серверы настроены на стандартный адрес 10.250.250.4, т.е. адрес ин- интерфейса сети VLAN 350 на модуле RSM коммутатора Cat-B2-0B, то весь трафик на- направляется во второе здание. Трафик, адресованный в первое здание, подвергается дополнительному транзитному перенаправлению еще через один узел и пересекает магистраль дважды (если не поддерживается ICMP-перенаправление). Еще одной проблемой, связанной с использованием стандартного шлюза, является избыточность. Несмотря на возможность конфигурирования протокола HSRP, он обостряет преды- предыдущую проблему, поскольку отключает ICMP-перенаправление на маршрутизаторе. Как правило, наилучшим решением является использование на серверах протокола маршрутизации, что также требует перехода с протокола EIGRP в модуле RSM на ка- какой-либо протокол, подобный OSPF. Глава 17. Учебные примеры: внедрение коммутаторов в сети 835
Второй проект: максимальное использование технологий третьего уровня на основе коммутирующих маршрутизаторов Catalyst 8500 В данном разделе представлен второй альтернативный проект, в котором реализо- реализован подход, основанный на использовании аппаратной маршрутизации с применени- применением маршрутизирующих коммутаторов Catalyst 8500. На рис. 17.6 представлена схема второго проекта. Узлы <( IDF Узлы MDF Узлы MDF Узлы ■/ IDF | /— ^~ Г г A Cat-B1-0A EH Cat-B2-0A //СаГвГзА^ Z' //cat-B1-2A\ ^ ГЧ ___ УГ rx an j£B ■ВИИ |^аЩ Vv \Ч^^ Cat-B2-1A ^s //I \\ Cat-B2-2A / / \v Cat-B2-3A y/ Здание 1 L ; l?Lj l f i Cat-B2-0B ' Здание 2 ' J Рис. 17.6. Сетевая диаграмма второго проекта 836 Часть V. Современное проектирование и реализация.
Представляются важными несколько отличий в физическом расположении эле- элементов по сравнению с предыдущим проектом. Во-первых, ATM-магистраль заменена Gigabit Ethernet-магистралью. Во-вторых, оборудование третьего этажа второго здания заменено коммутатором Catalyst 5509. Сходство обоих проектов заключается в паре избыточных MDF-устройств, которые используются в подвальных помещениях каж- каждого здания с двумя восходящими каналами к каждому узлу IDF. Обсуждение проекта Тогда как в первом проекте изыскивалась возможность объединения технологий второго и третьего уровней, во втором преследуется цель максимального использова- использования компонентов третьего уровня в коммутаторах MDF-узлов (уровня распределения). При этом такая трудно уловимая модификация обладает значительным влиянием на остальную часть конструкции. Наиболее важным изменением, привнесенным данной конструкцией, является то, что все IDF-сети VLAN ограничиваются на MDF-коммутаторе. Иными словами, пользователи, подключенные к различным IDF-узлам, всегда попадают в разные сети VLAN. Как указывалось в главе 1, "Технологии для настольных систем", несмотря на то, что при использовании функции IRB появляется возможность применения огра- ограниченного числа сетей VLAN, пересекающих коммутатор Catalyst 8500, данная функ- функция не является той методикой, которая желательна для многократного применения в территориальной сети. Она применима для одной или двух особых сетей VLAN. Иными словами, данный подход к коммутации третьего уровня наилучшим образом используется в качестве быстрой версии обычной маршрутизации. Второе наиболее важное изменение — упрощение распределенного связующего де- дерева — рассматривается в следующем разделе. Распределенное связующее дерево Некоторые разработчики рассматривают потерю IDF-IDF сетей VLAN как недоста- недостаток подхода, используемого во втором проекте. Однако, он компенсируется упрощением структуры, которое становится возможным за счет аппаратной маршрутизации. Одно из наиболее важных проявлений упрощения охватывает область петель второго уровня и протокол распределенного связующего дерева. Действительно, аппаратная маршрутиза- маршрутизация полностью устранила петли второго уровня между IDF- и MDF-коммутаторами. Тогда как в первом проекте используются треугольники второго уровня, в данной кон- конструкции задействованы V-образные соединения второго уровня. Внимание! Как подчеркивалось при обсуждении первого проекта, технология MLS может исполь- использоваться для построения беспетельных V-образных соединений второго уровня. Од- Однако, очень важно понимать, что коммутирующие маршрутизаторы, такие, как Catalyst 8500, реализуют данную схему стандартно, тогда как MLS-устройства (и маршрутизирующие коммутаторы) требуют отсечения определенных сетей VLAN от выбранных каналов вручную. Более подробная информация приведена в главе 8, "Технологии и приложения магистральных соединений". Поскольку в данной конструкции удаляются все петли второго уровня (по крайне мере, созданные преднамеренно), в некоторых организациях принимались решения о Глава 17. Учебные примеры: внедрение коммутаторов в сети 837
полном отключении распределенного связующего дерева при использовании описывае- описываемого подхода. Однако, поскольку отключение распределенного связующего дерева не предотвращает появление непреднамеренно созданных петель на одном IDF-комму- таторе (как правило, в результате ошибочной прокладки кабелей), другие разработчики хотят поддерживать барьер безопасности, предоставляемый распределенным связующим деревом на IDF-коммутаторах. При этом важно понимать, что даже в случаях, когда распределенное связующее дерево остается включенным (как во втором проекте), функ- функционирование протокола STP по различным причинам существенно упрощается. Во-первых, отпадает проблема правильного размещения корневого моста. Ни один из IDF-коммутаторов не обладает сведениями о других коммутаторах, и, естественно, определяет себя в качестве корневого моста. Совет Также может быть хорошем решение о г.сплжек*/. приоритета моста (Bridge Priority) на случай, если когда-нибудь будет а.^едрен ещз одли мест. Кроме того, балансировка нагрузки с помощью распределенного связующего дере- дерева не требуется (атул а данном случае — невозможна). Функции UplinkFast или BackboneFast более не являются необходимыми для быст- быстрой конвергенции алгоритма связующего дерева. Наконец, диаметр сети распределенного связующего дерева уменьшен до самого IDF-коммутатора. И в результате максимальное время (Max Age) старения и задержку передачи (Forward Delay) можно жестко настроить без каких-либо проблем. Напри- Например, в текущем проекте для параметра максимального времени старения указано зна- значение 10 с, для задержки передачи — 7 с. И хотя можно использовать некоторые бо- более агрессивные значения, данные значения были выбраны в качестве традиционного компромисса. Поэтому производительность восстановления после сбоев при сущест- существующих петлях находится а пределах 14-20 с Однако, поскольку топология является беспетелыюй на втором уровне, в процессе нормальной работы заблокированные порты появляться не должны. В результате скорость восстановления после сбоев внеш- внешнего канала узла IDF зависит от параметров протокола HSRP, а не от параметров ал- алгоритма распределенного связующего дерева. Кроме того, восстановление работоспособ- работоспособности сети после сбоев внешнего канала занимает менее одной секунды (предполагается, что параметры протокола HSRP понижены). Совет В данной сети протокол распределенного связующего дерева (STP) не влияет на про- производительность восстановления после сбоев. Проектирование виртуальных локальных сетей Несмотря на то, что концепция сети VLAN в данном проекте теряет четкость, IDF- коммутаторы сконфигурированы с теми же именами пользовательских сетей VLAN, что и в первом проекте. Однако следует заметить, что в данной версии проекта во всех сетях VLAN используются, в сущности, одинаковые номера. Административной сетью VLAN во всех коммутаторах всегда является сеть VLAN 1 (даже если в различных участках сети она представляет собой различные IP-подсети). Аналогично первой пользовательской сетью на IDF-коммутаторе является VLAN 3. Если требуется более одной сети на дан- данном IDF-коммутаторе, можно создать сети от VLAN 3 и выше. 838 Часть V. Современное проектирование и реализация...
Отметим, что в результате рассмотренного соглашения о нумерации виртуальных сетей пользовательская мобильность реализована совершенно иначе, чем в первом проекте. Тогда предпринималась попытка разместить всех пользователей одного со- сообщества по интересам, расположенных в одном здании в единой сети VLAN. В про- проекте 2 такой подход невозможен без включения функции IRB на коммутаторе Catalyst 8500. В данном случае ожидается, что пользователи одного сообщества по ин- интересам могут свободно попадать в различные подсети. Однако, поскольку использу- используется протокол DHCP, IP-адресация является прозрачной для пользователей. Более того, поскольку в технологии устройств 8500-й серии доступная полоса пропускания достаточно высока, использование маршрутизации (коммутации третьего уровня) не снижает производительности сети. Внимание! Следует заметить, что для устройств Catalyst 6000/6500 может быть достигнута по- подобная производительность третьего уровня. Более подробные сведения приведены в главе 18, "Коммутация третьего уровня и коммутаторы Catalyst 6000/6500". IP- и IPX-адреса Поскольку в отличие от первого проекта во втором применена менее плоская кон- конструкция сети, для последнего требуется большее количество IP-подсетей (и IPX- сетей). Например, каждый канал в магистрали является отдельной подсетью. Более того, каждый узел IDF использует отдельную подсеть в качестве административной се- сети VLAN (напомним, что все сети VLAN ограничены MDF-коммутаторами). С целью предотвращения использования чрезмерного адресного пространства в рассматривае- рассматриваемом проекте предполагается использовать маски подсетей переменной длины (variable length subnet masking — VLSM). Несмотря на то, что в реальных условиях использование таких масок не является необходимым для большинства организаций, которые используют сеть класса А, та- такую, например как, частная сеть 10.0.0.0, данный подход предоставляет другое пре- преимущество путем создания подсетей, которые подобны подсетям, применяемым в первом проекте. Например, в проекте 1 применяется одна магистральная подсеть 10.250.250.0/24, а в проекте 2 используются множественные подсети 10.250.250.0/29. Тогда как в первом проекте используются адреса 10.1.10.0/24 и 10.2.20.0/24 для адми- административных сетей VLAN, во втором проекте применяется множество мелких подсе- подсетей с адресами 10.1.10.0/29 и 10.2.20.0/29. В результате такого подхода в проекте 2 применяются две маски подсетей: • "/24" B55.255.255.0) — для сегментов конечных пользователей; • "/29" B55.255.255.248) — для административных сетей, петлевых адресов (loopback addresses) и магистральных каналов. Несмотря на то, что с целью дальнейшей оптимизации использования адресного пространства существует возможность применять маску "/30" B55.255.255.252) для петлевых интерфейсов и магистральных каналов, для простоты была выбрана общая маска. Более того, данная 1-битовая оптимизация при работе с адресами класса А бы- быстро достигает точки вырождения (a point of diminishing returns). В табл. 17.4 пред- представлены IP-подсети наряду с соответствующими номерами IPX-сетей. Глава 17. Учебные примеры: внедрение коммутаторов в сети 839
Использование B1_Mgt (административная сеть в здании 1) B1_Mgt B1_Mgt B1_Sales (сеть отдела продаж в здании 1) B1_Mkting (сеть маркетингового отдела в здании 1) B1_Eng (сеть инженерного от- отдела в здании 1) B1_Finance (сеть финансового отдела в здании 1) B2_Mgt (административная сеть в здании 2) B2_Mgt B2_Mgt B2_Sales (сеть отдела продаж в здании 2) B2_Mkting (сеть маркетингового отдела в здании 2) B2_Eng (сеть инженерного от- отдела в здании 2) B2_Finance (сеть финансового отдела в здании 2) Srv.Farm (серверная группа) Loopback (петлевой интерфейс) Loopback (петлевой интерфейс) Loopback (петлевой интерфейс) Loopback (петлевой интерфейс) Backbone (магистраль) Backbone (магистраль) Backbone (магистраль) Backbone (магистраль) Backbone (магистраль) Backbone (магистраль) <^4рХ*е1 Описание Cat-B1-1ASC0 Cat-B1-2ASC0 Cat-B1-3ASC0 Пользовательский сегмент Пользовательский сегмент Пользовательский сегмент Пользовательский сегмент Cat-B2-1ASC0 Cat-B2-2A SCO Cat-B2-3A SCO Пользовательский сегмент Пользовательский сегмент Пользовательский сегмент Пользовательский сегмент Сегмент сервер- серверной группы Cat-Bi-OA Cat-B1-0B Cat-B2-0A Cat-B2-0B OTCat-B1-0A KCat-B1-0B От Cat-B1-0A к Cat-B2-0B OTCat-B1-0A к Cat-B2-0A OTCat-B1-0B к Cat-B2-0B OTCat-B1-OB к Cat-B2-0A От Cat-B2-0A к Cat-B2-0B идлявтор Здание 1 1 1 1 1 1 1 2 2 2 2 2 2 2 Магистраль Магистраль Магистраль Магистраль Магистраль Магистраль Магистраль Магистраль Магистраль Магистраль Магистраль ©ГО1 Сеть VLAN 1 1 1 2 3 2 2 1 1 1 2 3 2 2 100 N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A Подсеть 10.1.10.8 10.1.10.16 10.1.10.24 10.1.11.0 10.1.12.0 10.1.13.0 10.1.14.0 10.2.20.8 10.2.20.16 10.2.20.24 10.2.21.0 10.2.22.0 10.2.23.0 10.2.24.0 10.100.100.0 10.200.200.8 10.200.200.16 10.200.200.24 10.200.200.32 10.250.250.8 10.250.250.16 10.250.250.24 10.250.250.32 10.250.250.40 10.250.250.48 Маска /29 /29 /29 /24 /24 /24 /24 /29 /29 /29 /24 /24 /24 /24 /24 /29 /29 /29 /29 /29 /29 /29 /29 /29 /29 IPX-сеть 0А010А08 ОА010А10 0А010А18 ОАОЮВОО ОАОЮСОО 0A010D00 ОАОЮЕОО 0А021408 0А021410 0А021418 0А021500 0А021600 0А021700 0А021800 0А646400 0АС8С808 0АС8С810 0АС8С818 0АС8С820 0AFAFA08 0AFAFA10 0AFAFA18 0AFAFA20 0AFAFA28 0AFAFA30 840 Часть V. Современное проектирование и реализация...
Использование протокола VTP Благодаря ориентации второго проекта на технологию третьего уровня серверный режим протокола VTP имеет небольшое значение (устройства 8500-й серии не рас- распространяют VTP-фреймы). Следовательно, в проекте 2 требуется использование про- прозрачного режима данного протокола. В данном проекте также предусмотрено приме- применение доменного имени Happy, хотя это и не является жестким требованием, по- поскольку в отличие от серверного и клиентского режимов прозрачный режим не требует имени VTP-домена. В результате для каждого IDF-коммутатора необходимо индивидуально настроить список сетей VLAN, которые он должен поддерживать. Однако, такое конфигуриро- конфигурирование крайне редко является значительной проблемой, поскольку каждый IDF- коммутатор обычно поддерживает только небольшое число сетей VLAN. Совет Если дело касается повторяющихся задач конфигурирования виртуальных локаль- локальных сетей (или в данном случае любых других конфигурационных задач), необхо- необходимо рассмотреть использование таких средств, как языки программирования Perl и Expect, которые доступны как на различных UNIX-платформах, так и на платформе Windows NT. Магистральные каналы С целью реализации альтернативного подхода в проекте 2 между MDF- и IDF- коммутаторами используются каналы Fast EtherChannel, а для обеспечения адекват- адекватной полосы пропускания в магистрали применяются каналы Gigabit Ethernet. Серверная группа Данный проект предусматривает использование отдельного здания для серверной группы (для этой цели будет использовано третье здание в составе корпоративной штаб-квартиры). Серверная группа могла бы легко расположиться и в здании 1, как это было предусмотрено в проекте 1, но в данном случае для разнообразия использо- использован альтернативный подход. Примеры конфигураций В данном разделе представлены конфигурационные примеры для проекта 2. Как и в случае с первым проектом, для каждого типа устройства приводится только один пример. Прежде всего представлены конфигурационные примеры и обсуждение на- настроек устройства Catalyst 5509, которое используется в качестве IDF-коммутатора, а затем конфигурация и обсуждение настроек устройства Catalyst 8540, функционирую- функционирующего в качестве MDF-коммутатора. Конфигурирование блока Supervisor IDF-узла Как и в первом проекте, все разделы разбиты на два подраздела: • информация об интерактивном конфигурировании устройства; • полный файл конфигурации устройства. Глава 17. Учебные примеры: внедрение коммутаторов в сети 841
Конфигурирование блока Supervisor IDF-узла: коммутатор Cat-B2-1A Как и в проекте 1, конфигурирование начинается с назначения доменных имен протокола VTP (см. пример 17.21). Пример 17С21. Системное имя и УТРгКонфигурация, ; -, '^V";;^#:' A j Console> (enable) set system name Cat-B2-1A System name set. Cat-B2-1A> (enable) set vtp domain Happy VTP domain Happy modified Cat-B2-1A> (enable) В отличие от проекта 1 в данной конструкции применяется прозрачный режим протокола VTP, и для устройства Cat-B2-1A требуется только одна пользовательская ceTbVLAN (см. пример 17.22). Пример 17.22. VTP-и VLAN-конфигурация коммутатора * * '■■■'[ Cat-B2-1A> (enable) set vtp mode transparent VTP domain Happy modified Cat-B2-1A> (enable) Cat-B2-1A> (enable) set VLAN 3 name Engineering VLAN 3 configuration successful Cat-B2-1A> (enable) Для интерфейса SCO в проекте 2 используется иная конфигурация. Во-первых, очевидно, что IP-адрес и маска сети отличаются. Во-вторых, интерфейс SCO остается по умолчанию в сети VLAN 1. В-третьих, в проекте 2 требуется с помощью команды ip route указать два адреса стандартного шлюза (впервые поддержка данной функции была реализована в версии 4.1 программного обеспечения устройств Catalyst 5000). Такая схема может упростить общую конфигурацию и техническое обслуживание се- сети, поскольку не требует поддержки отдельной HSRP-группы для каждой админист- административной подсети (сети VLAN). В примере 17.23 демонстрируются описанные выше этапы конфигурирования. Пример 17.23. IP-конфигурация коммутатора Cat-B2-1A> (enable) set interface scO 1 10.2.20.11 255.255.255.248 Interface scO vlan set, IP address and netmask set. Cat-B2-1A> (enable) set ip route default 10.2.20.9 Route added. Cat-B2-1A> (enable) set ip route default 10.2.20.10 Route added. Cat-B2-1A> (enable) Затем, как показано в примере 17.24, настраиваются параметры протокола распре- распределенного связующего дерева. 842 Часть V. Современное проектирование и реализация...
I Пример; 17.24. Конфигурирование протокола распределенного связующего [-:<:.'■■■-'■'■ дерева ■ ■■ ■- ■ •'^-. ' ■[' :-■■' . ч'' .. • ?f:. j Cat-B2-1A> (enable) set spantree root 1 dia 2 hello 2 VLAN 1 bridge priority set to 8192. VLAN 1 bridge max aging time set to 10. VLAN 1 bridge hello time set to 2. VLAN 1 bridge forward delay set to 7, Switch is now the root switch for active VLAN 1. Cat-B2-1A> (enable) Cat-B2-1A> (enable) set spantree root 2 dia 2 hello 2 VLAN 3 bridge priority set to 8192. VLAN 3 bridge max aging time set to 10. VLAN 3 bridge hello time set to 2. VLAN 3 bridge forward delay set to 7. Switch is now the root switch for active VLAN 3. Cat-B2-1A> (enable) Cat-B2-1A> (enable) set spantree portfast 4/1-24,5/1-24,6/1-24,7/1-24, 8/1-24 enable Warning: Spantree port fast start should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc. to a fast start port can cause temporary Spanning Tree loops. Use with caution. Spantree ports 4/1-24,5/1-24,6/1-24,7/1-24,8/1-24 fast start enabled. Cat-B2-1A> (enable) С помощью двух первых команд (set spantree root) понижаются значения тайме- таймеров максимального периода старения и задержки передачи до 10 с и 7 с соответствен- соответственно, в результате чего с целью сохранения согласованности настроек IDF-коммутатор переключается в режим корневого моста. Несмотря на то, что подобная схема полезна в случае, когда существует каскадное подключение других коммутаторов или мостов к IDF-коммутатору, в большинстве ситуаций она не влияет на фактическую топологию сети в проекте 2. Наконец, на всех пользовательских портах в гнездах 4-8 активизиру- активизируется функция PortFast. Затем конфигурируются магистральные порты (см. пример 17.25). i Пример 17.25. Конфигурирование портов и магистрального канала Cat-B2-1A> (enable) Cat-B2-1A> (enable) set port name 3/1-4 FEC link to Cat-B2-0A Port 3/1-4 name set. Cat-B2-1A> (enable) set port name 3/5-8 FEC link to Cat-B2-0B Port 3/5-8 name set. Cat-B2-1A> (enable) B2-MDF-02> (enable) set port channel 3/1-4 on Port(s) 3/1-4 channel mode set to on. B2-MDF-02> (enable) set port channel 3/5-8 on Port(s) 3/5-8 channel mode set to on. Cat-B2-1A> (enable) Глава 17. Учебные примеры: внедрение коммутаторов в сети 843
Cat-B2-1A> (enable) set trunk 3/1 on isl Port(s) 3/1-4 trunk mode set to on. Port(s) 3/1-4 trunk type set to isl. Cat-B2-1A> (enable) Cat-B2-1A> (enable) set trunk 3/5 on isl Port(s) 3/5-8 trunk mode set to on. Port(s) 3/5-8 trunk type set to isl. Cat-B2-1A> (enable) Как упоминалось выше, во втором проекте используются каналы Fast EtherChannel от коммутаторов Cat-B2-1A и Cat-B2-2A к MDF-коммутаторам. С целью сохранения стабильности они жестко закодированы в состояние "on" (включен). Результирующие банки каналов EtherChannel также жестко запрограммированы в качестве магистраль- магистральных ISL-каналов. Следует заметить, что хотя команда set trunk применима только к одному порту, коммутатор Catalyst автоматически использует ее для настройки всех портов в банке EtherChannel-каналов. Команды, приведенные в примере 17.26, очень похожи на команды, которые ис- использовались в примере 17.16 проекта 1. | Пример 17.26. Конфигурирование протокола SNMP, пароля, заставки, ; ^ ;> системной информации, службы DNS, списка IP-разре- f:'i ■■$■ ,» '■' •:? шений, IGMP-прослушивания, фильтрации протоколов и , ■■•■-'-!'■ t.. службы Syslog )Х--- :^""- , ■■ ■/ -• 4-:'■■'■""' :£'■■">' "■■'."'■' Cat-B2-1A> (enable) set snmp community read-only lesspublic SNMP read-only community string set to 'lesspublic'. Cat-B2-1A> (enable) set snmp community read-write moreprivate SNMP read-write community string set to 'moreprivate'. Cat-B2-1A> (enable) set snmp community read-write-all mostprivate SNMP read-write-all community string set to 'mostprivate'. Cat-B2-1A> (enable) Cat-B2-1A> (enable) set password Enter old password: Enter new password: Retype new password: Password changed. Cat-B2-1A> (enable) Cat-B2-1A> (enable) set enablepass Enter old password: Enter new password: Retype new password: Password changed. Cat-B2-1A> (enable) Cat-B2-1A> (enable) Cat-B2-1A> (enable) set banner motd "PRIVATE NETWORK — HACKERS WILL BE SHOT!!" MOTD banner set Cat-B2-1A> (enable) set system location Building 2 First Floor System location set. Cat-B2-1A> (enable) set system contact Joe xlll 844 Часть V. Современное проектирование и реализация...
System contact set. Cat-B2-1A> (enable) Cat-B2-1A> (enable) set ip dns enable DNS is enabled Cat-B2-1A> (enable) set ip dns domain happy.com Default DNS domain name set to happy.com Cat-B2-1A> (enable) set ip dns server 10.100.100.42 10.100.100.42 added to DNS server table as primary server. Cat-B2-1A> (enable) set ip dns server 10.100.100.68 10.100.100.68 added to DNS server table as backup server. Cat-B2-1A> (enable) Cat-B2-1A> (enable) set ip permit enable IP permit list enabled. WARNING!! IP permit list has no entries. Cat-B2-1A> (enable) set ip permit 10.100.100.0 255.255.255.0 10.100.100.0 with mask 255.255.255.0 added to IP permit list. Cat-B2-1A> (enable) Cat-B2-1A> (enable) Cat-B2-1A> (enable) set igmp enable IGMP feature for IP multicast enabled Cat-B2-1A> (enable) Cat-B2-1A> (enable) set protocolfilter enable Protocol filtering enabled on this switch. Cat-B2-1A> (enable) Cat-B2-1A> (enable) Cat-B2-1A> (enable) set snmp trap 10.100.100.21 trapped SNMP trap receiver added. Cat-B2-1A> (enable) set snmp trap enable module SNMP module traps enabled. Cat-B2-1A> (enable) set snmp trap enable chassis SNMP chassis alarm traps enabled. Cat-B2-1A> (enable) set snmp trap enable bridge SNMP bridge traps enabled. Cat-B2-1A> (enable) set snmp trap enable auth SNMP authentication traps enabled. Cat-B2-1A> (enable) set snmp trap enable stpx SNMP STPX traps enabled. Cat-B2-1A> (enable) set snmp trap enable config SNMP CONFIG traps enabled. Cat-B2-1A> (enable) set port trap 3/1-8 enable Port 3/1-8 up/down trap enabled. Cat-B2-1A> (enable) Cat-B2-1A> (enable) Cat-B2-1A> (enable) set logging server enable System logging messages will be sent to the configured syslog servers. Cat-B2-1A> (enable) set logging server 10.100.100.21 10.100.100.21 added to System logging server table. Cat-B2-1A> (enable) Cat-B2-1A> (enable) Глава 17. Учебные примеры: внедрение коммутаторов в сети 845
Полный файл конфигурации блока Supervisor узла IDF: коммутатор Cat-B2-1A В примере 17.27 представлен конфигурационный файл, который появился в ре- результате выполнения приведенных выше этапов конфигурирования. ! Пример 17.27. Полная конфигурация коммутатора Catalyst begin ! set password $l$FMFQ$HfZR5DUszVHIRhrz4h6V70 set enablepass $l$FMFQ$HfZR5DUszVHIRhrz4h6V70 set prompt Cat-B2-1A> set length 24 default set logout 20 set banner motd "CPRIVATE NETWORK — HACKERS WILL BE SHOTl!*C ! fsystem set system baud 9600 set system modem disable set system name Cat-B2-1A set system location Building 2 First Floor set system contact Joe xlll i fsnmp set snmp community read-only lesspublic set snmp community read-write moreprivate set snmp community read-write-all mostprivate set snmp rmon disable set snmp trap enable module set snmp trap enable chassis set snmp trap enable bridge set snmp trap disable repeater set snmp trap disable vtp set snmp trap enable auth set snmp trap disable ippermit set snmp trap disable vmps set snmp trap disable entity set snmp trap enable config set snmp trap enable stpx set snmp trap disable syslog set snmp extendedrmon vlanmode disable set snmp extendedrmon vlanagent disable set snmp extendedrmon enable set snmp trap 10.100.100.21 trapped i tip set interface scO 1 10.2.20.11 255.255.255.248 10.2.10.2.20.15 846 Часть V. Современное проектирование и реализация...
set interface scO up set interface slO 0.0.0.0 0.0.0.0 set interface slO up set arp agingtime 1200 set ip redirect enable set ip unreachable enable set ip fragmentation enable set ip route 0.0.0.0 10.2.20.9 1 set ip route 0.0.0.0 10.2.20.10 1 set ip alias default 0.0.0.0 i tCommand alias i It vmps set vmps server retry 3 set vmps server reconfirminterval 60 set vmps tftpserver 0.0.0.0 vmps-config-database.l set vmps state disable i tdns set ip dns server 10.100.100.42 primary set ip dns server 10.100.100.68 set ip dns enable set ip dns domain happy.com ! ftacacs+ set tacacs attempts 3 set tacacs directedrequest disable set tacacs timeout 5 i fauthentication set authentication login tacacs disable console set authentication login tacacs disable telnet set authentication enable tacacs disable console set authentication enable tacacs disable telnet set authentication login local enable console set authentication login local enable telnet set authentication enable local enable console set authentication enable local enable telnet i Ibridge set bridge ipx snaptoether 8023raw set bridge ipx 8022toether 8023 set bridge ipx 8023rawtofddi snap ! ft vtp set vtp domain Happy set vtp mode transparent Глава 17. Учебные примеры: внедрение коммутаторов в сети 847
set vtp v2 disable set vtp pruning disable set vtp pruneeligible 2-1000 clear vtp pruneeligible 1001-1005 set VIAN 1 name default type ethernet mtu 1500 said 100001 state active set VLAN 3 name Engineering type ethernet mtu 1500 said 100002 state active set VLAN 1002 name fddi-default type fddi mtu 1500 said 101002 state active set VIAN 1004 name fddinet-default type fddinet mtu 1500 said 101004 state active bridge 0x0 stp ieee set VIAN 1005 name trnet-default type trbrf mtu 1500 said 101005 state active bridge 0x0 stp ibm set VIAN 1003 name token-ring-default type trcrf mtu 1500 said 101003 state active parent 0 ring 0x0 mode srb aremaxhop 0 stemaxhop 0 fspantree fuplinkfast < set spantree jroups uplinkfast disable tbackbonefast set set spantree spantree iVIAN 1 set set set set spantree spantree spantree spantree iVIAN 3 set set set set spantree spantree spantree spantree iVLAN 1003 set set set set set set set set spantree spantree spantree spantree spantree spantree spantree spantree tVLAN 1005 set set set set set t spantree spantree spantree spantree spantree i Icgmp set backbonefast disable enable г fwddelay hello maxage priority fwddelay hello maxage priority fwddelay hello maxage priority portstate portcost portpri portfast fwddelay hello maxage priority ill 7 2 10 8192 7 2 10 8192 15 2 20 32768 i 1003 1003 1003 1003 15 2 20 32768 1 1 1 1 2 2 2 2 1003 1003 1003 1003 block 0 62 4 disable 1005 1005 1005 1005 multicast-address 1005 ieee cgmp disable 848 Часть V. Современное проектирование и реализация.
set cgmp leave disable ! fsyslog set logging console enable set logging server enable set logging server 10.100.100.21 set logging level cdp 2 default set logging level mcast 2 default set logging level dtp 5 default set logging level dVLAN 3 default set logging level earl 2 default set logging level fddi 2 default set logging level ip 2 default set logging level pruning 2 default set logging level snmp 2 default set logging level spantree 2 default set logging level sys 5 default set logging level tac 2 default set logging level tcp 2 default set logging level telnet 2 default set logging level tftp 2 default set logging level vtp 2 default set logging level vmps 2 default set logging level kernel 2 default set logging level filesys 2 default set logging level drip 2 default set logging level pagp 5 default set logging level mgmt 5 default set logging level mis 5 default set logging level protfilt 2 default set logging level security 2 default set logging server facility L0CAL7 set logging server severity 4 set logging buffer 500 set logging timestamp disable ! intp set ntp broadcastclient disable set ntp broadcastdelay 3000 set ntp client disable clear timezone set summertime disable ! fset boot command set boot config-register OxlOf set boot system flash bootflash:sup.bin ! fpermit list Глава 17. Учебные примеры: внедрение коммутаторов в сети 849
set ip permit enable set ip permit 10.100.100.0 255.255.255.0 ! fdrip set tokenring reduction enable set tokenring distrib-crf disable ! #igmp set igmp enable I jtprotocolfilter set protocolfilter enable ! tmls set mis enable set mis flow destination set mis agingtime 256 set mis agingtime fast 0 0 set mis nde disable ! Istandby ports set standbyports enable ! ♦module 1 : 2-port 10/100BaseTX Supervisor set module name 1 set VLAN 1 1/1-2 set port channel 1/1-2 off set port channel 1/1-2 auto set port enable set port level set port speed set port trap set port name set port security set port broadcast set port membership 1/1-2 set port protocol 1/1-2 ip on set port protocol 1/1-2 ipx auto set cdp enable 1/1-2 set cdp interval 1/1-2 60 set trunk 1/1 auto isl 1-1005 set trunk 1/2 auto isl 1-1005 set spantree portfast 1/1-2 disable set spantree portcost 1/1-2 100 set spantree portpri 1/1-2 32 set spantree portvlanpri 1/1 0 set spantree portvlanpri 1/2 0 set spantree portvlancost 1/1 cost 99 1/1-2 1/1-2 1/1-2 1/1-2 1/1-2 1/1-2 1/1-2 1/1-2 normal auto disable disable 100% static 850 Часть V. Современное проектирование и реализация.
set spantree portvlancost 1/2 cost 99 2/1-2 2/1-2 2/1-2 2/1-2 2/1-2 2/1-2 2/1-2 2/1-2 normal auto disable disable 100% static #module 2 : 2-port 10/100BaseTX Supervisor set module name 2 set VLAN 1 2/1-2 set port channel 2/1-2 off set port channel 2/1-2 auto set port enable set port level set port speed set port trap set port name set port security set port broadcast set port membership 2/1-2 set port protocol 2/1-2 ip on set port protocol 2/1-2 ipx auto set cdp enable 2/1-2 set cdp interval 2/1-2 60 set trunk 2/1 auto isl 1-1005 set trunk 2/2 auto isl 1-1005 set spantree portfast 2/1-2 disable set spantree portcost 2/1-2 100 set spantree portpri 2/1-2 32 set spantree portvlanpri 2/1 0 set spantree portvlanpri 2/2 0 set spantree portvlancost 2/1 cost 99 set spantree portvlancost 2/2 cost 99 ! tmodule 3 : 12-port 10/100BaseTX Ethernet set module name 3 set module enable 3 set VLAN 1 3/1-12 set port channel 3/1-4 off set port channel 3/5-8 off set port channel 3/9-12 off set port channel 3/1-4 on set port channel 3/5-8 on set port channel 3/9-12 auto set port enable 3/1-12 set port level 3/1-12 set port speed 3/1-12 set port duplex 3/1-12 set port trap 3/1-8 set port trap 3/9-12 set port name 3/1 set port name 3/2 set port name 3/3 normal 100 full enable disable FEC link to Cat-B2-0A FEC link to Cat-B2-0A FEC link to Cat-B2-0A Глава 17. Учебные примеры: внедрение коммутаторов в сети 851
3/4 3/5 3/6 3/7 3/8 3/9-12 3/1-12 3/1-12 3/1-12 FEC FEC FEC FEC FEC link link link link link disable 0 static to to to to to Cat-B2-0A Cat-B2-0B Cat-B2-0B Cat-B2-0B Cat-B2-0B set port name set port name set port name set port name set port name set port name set port security set port broadcast set port membership 3/1-12 set port protocol 3/1-12 ip on set port protocol 3/1-12 ipx auto set cdp enable 3/1-12 set cdp interval 3/1-12 60 set trunk 3/1 on isl 1-1005 set trunk 3/2 on isl 1-1005 set trunk 3/3 on isl 1-1005 set trunk 3/4 on isl 1-1005 set trunk 3/5 on isl 1-1005 set trunk 3/6 on isl 1-1005 set trunk 3/7 on isl 1-1005 set trunk 3/8 on isl 1-1005 set trunk 3/9 auto isl 1-1005 set trunk 3/10 auto isl 1-1005 set trunk 3/11 auto isl 1-1005 set trunk 3/12 auto isl 1-1005 set spantree portfast 3/1-12 disable set spantree portcost 3/1-12 19 set spantree portpri 3/1-12 32 set spantree portvlanpri 3/1 0 set spantree portvlanpri 3/2 0 set spantree portvlanpri 3/3 0 set spantree portvlanpri 3/4 0 set spantree portvlanpri 3/5 0 set spantree portvlanpri 3/6 0 set spantree portvlanpri 3/7 0 set spantree portvlanpri 3/8 0 set spantree portvlanpri 3/9 0 set spantree portvlanpri 3/10 0 set spantree portvlanpri 3/11 0 set spantree portvlanpri 3/12 0 set spantree portvlancost 3/1 cost 18 set spantree portvlancost 3/2 cost 18 set spantree portvlancost 3/3 cost 18 set spantree portvlancost 3/4 cost 18 set spantree portvlancost 3/5 cost 18 set spantree portvlancost 3/6 cost 18 set spantree portvlancost 3/7 cost 18 set spantree portvlancost 3/8 cost 18 852 Часть V. Современное проектирование и реализация.
5/1-24 5/1-24 5/1-24 5/1-24 5/1-24 5/1-24 5/1-24 5/1-24 normal auto disable disable 0 static set spantree portvlancost 3/9 cost 18 set spantree portvlancost 3/10 cost 18 set spantree portvlancost 3/11 cost 18 set spantree portvlancost 3/12 cost 18 ! tmodule 5 : 24-port 10/100BaseTX Ethernet set module name 5 set module enable 5 set VLAN 3 5/1-24 set port enable set port level set port speed set port trap set port name set port security set port broadcast set port membership 5/1-24 set port protocol 5/1-24 ip on set port protocol 5/1-24 ipx auto set cdp enable 5/1-24 set cdp interval 5/1-24 60 set spantree portfast 5/1-24 enable set spantree portcost 5/1-24 100 set spantree portpri 5/1-24 32 i tmodule 6 : 24-port 10/100BaseTX Ethernet set module name 6 set module enable 6 set VLAN 3 6/1-24 set port enable set port level set port speed set port trap set port name set port security set port broadcast set port membership 6/1-24 set port protocol 6/1-24 ip on set port protocol 6/1-24 ipx auto set cdp enable 6/1-24 set cdp interval 6/1-24 60 set spantree portfast 6/1-24 enable set spantree portcost 6/1-24 100 set spantree portpri 6/1-24 32 tmodule 7 : 24-port 10/100BaseTX Ethernet set module name 7 set module enable 7 6/1-24 6/1-24 6/1-24 6/1-24 6/1-24 6/1-24 6/1-24 6/1-24 normal auto disable disable 0 static Глава 17. Учебные примеры: внедрение коммутаторов в сети 853
set VLAN 3 7/1-24 set port enable 7/1- set port level 7/1- set port speed 7/1- set port trap 7/1- set port name 7/1- set port security 7/1- set port broadcast 7/1- set port membership 7/1- set port protocol 7/1-24 set port protocol 7/1-24 set cdp enable 7/1-24 set cdp interval 7/1-24 set spantree portfast set spantree portcost set spantree portpri 24 24 normal 24 auto 24 disable 24 24 disable 24 0 24 static ip on ipx auto 60 7/1-24 enable 7/1-24 100 7/1-24 32 fmodule 8 : 24-port 10/100BaseTX Ethernet set module name 8 set module enable 8 set VLAN 3 8/1-24 set port enable set port level set port speed set port trap set port name set port security set port broadcast set port membership 8/1-24 set port protocol 8/1-24 ip on set port protocol 8/1-24 ipx auto set cdp enable 8/1-24 set cdp interval 8/1-24 set spantree portfast set spantree portcost set spantree portpri ! tmodule 9 empty 8/1-24 8/1-24 8/1-24 8/1-24 8/1-24 8/1-24 8/1-24 8/1-24 normal auto disable disable 0 static 60 8/1-24 enable 8/1-24 100 8/1-24 32 tswitch port analyzer !set span 1 1/1 both inpkts disable set span disable ! team set cam agingtime 1,2,1003,1005 300 end 854 Часть V. Современное проектирование и реализация.
MDF-конфигурация: коммутатор Cat-B2-0B В примере 17.28 представлен полный конфигурационный файл устройства Cat-B2- ОВ (модель Catalyst 8540), работающего в качестве MDF-коммутатора. Шасси устрой- устройства содержит 16-портовый lOBaseFX-модуль в разъеме 0 и Gigabit Ethernet-модули в гнездах 1 и 2. Конфигурационные файлы маршрутизаторов, работающих на основе операционной системы IOS, короче (приводятся только команды, отличные от стан- стандартных) и проще для чтения, чем конфигурационные файлы для образов операцион- операционной системы коммутаторов Catalyst на основе интерфейса XDI/CatOS. В связи с этим в данном разделе отдельный пример интерактивной конфигурационной информации не приводится. Пример 17.28. Полная конфигурация коммутатора Catalyst 8540 no service pad service timestamps log datetime localtime service password-encryption i hostname Cat-B2-0B i logging buffered 4096 debugging logging console informational enable secret 5 $l$C3U$qVaCyxa7mpq2OXMzTHY7hl i clock timezone EST -5 clock summer-time EDT recurring redundancy main-cpu no sync config startup sync config running facility-alarm core-temperature major 53 facility-alarm core-temperature minor 45 ip subnet-zero ip domain-name happy.com ip name-server 10.100.100.42 ip name-server 10.100.100.68 ipx routing 0090.2149.2400 interface LoopbackO ip address 10.200.200.33 255.255.255.248 no ip directed-broadcast ! interface Port-channell description Link to Cat-B2-1A no ip address no ip directed-broadcast hold-queue 300 in Глава 17. Учебные примеры: внедрение коммутаторов в сети 855
interface Port-channell.l description Mgt VLAN: Cat-B2-1A SCO encapsulation isl 1 ip address 10.2.20.9 255.255.255.248 no ip redirects no ip directed-broadcast ! interface Port-channell.2 description User VLAN: Engineering encapsulation isl 2 ip address 10.2.23.4 255.255.255.0 ip helper-address 10.100.100.81 ip helper-address 10.100.100.33 no ip redirects no ip directed-broadcast ipx network 0A021700 standby 1 priority 100 standby 1 preempt standby 1 ip 10.2.23.1 standby 1 track GigabitEthernetl/0/0 7 standby 1 track GigabitEthernetl/0/1 7 standby 1 track GigabitEthernet2/0/0 7 standby 2 priority 110 standby 2 preempt standby 2 ip 10.2.23.2 standby 2 track GigabitEthernetl/0/0 7 standby 2 track GigabitEthernetl/0/1 7 standby 2 track GigabitEthernet2/0/0 7 ! interface Port-channel2 description Link to Cat-B2-2A no ip address no ip directed-broadcast hold-queue 300 in ! interface Port-channel2.1 description Mgt VLAN: Cat-B2-2A SCO encapsulation isl 1 ip address 10.2.20.17 255.255.255.248 no ip redirects no ip directed-broadcast ! interface Port-channel2.2 description User VLAN: Finance encapsulation isl 2 ip address 10.2.24.4 255.255.255.0 ip helper-address 10.100.100.81 856 Часть V. Современное проектирование и реализация.
ip helper-address 10.100.100.33 no ip redirects no ip directed-broadcast ipx network ОАО21800 standby 1 priority 100 standby 1 preempt standby 1 ip 10.2.24.1 standby 1 track GigabitEthernetl/0/O 7 standby 1 track GigabitEthernetl/0/1 7 standby 1 track GigabitEthernet2/0/0 7 standby 2 priority 110 standby 2 preempt standby 2 ip 10.2.24.2 standby 2 track GigabitEthernetl/0/O 7 standby 2 track GigabitEthernetl/0/1 7 standby 2 track GigabitEthernet2/0/0 7 ! interface Port-channel2.3 description User VLAN: Mkting encapsulation isl 3 ip address 10.2.22.4 255.255.255.0 ip helper-address 10.100.100.81 ip helper-address 10.100.100.33 no ip redirects no ip directed-broadcast ipx network 0A021600 standby 1 priority 100 standby 1 preempt standby 1 ip 10.2.22.1 standby 1 track GigabitEthernetl/0/O 7 standby 1 track GigabitEthernetl/0/1 7 standby 1 track GigabitEthernet2/0/0 7 standby 2 priority 110 standby 2 preempt standby 2 ip 10.2.22.2 standby 2 track GigabitEthernetl/0/O 7 standby 2 track GigabitEthernetl/0/1 7 standby 2 track GigabitEthernet2/0/0 7 ! interface Port-channel3 description Link to Cat-B2-3A no ip address no ip directed-broadcast hold-queue 300 in ! interface Port-channel3.1 description Mgt VLAN: Cat-B2-3A SCO encapsulation isl 1 Глава 17. Учебные примеры: внедрение коммутаторов в сети 857
ip address 10.2.20.25 255.255.255.248 no ip redirects no ip directed-broadcast ! interface Port-channel3.2 description User VLAN: Sales encapsulation isl 2 ip address 10.2.21.4 255.255.255.0 ip helper-address 10.100.100.81 ip helper-address 10.100.100.33 no ip redirects no ip directed-broadcast ipx network 0A021500 standby 1 priority 100 standby 1 preempt standby 1 ip 10.2.21.1 standby 1 track GigabitEthernetl/0/0 7 standby 1 track GigabitEthernet1/0/1 7 standby 1 track GigabitEthernet2/0/0 7 standby 2 priority 110 standby 2 preempt standby 2 ip 10.2.21.2 standby 2 track GigabitEthernetl/0/0 7 standby 2 track GigabitEthernetl/0/1 7 standby 2 track GigabitEthernet2/0/0 7 ! interface FastEthernetO/0/0 no ip address no ip directed-broadcast channel-group 1 ! interface FastEthernetO/0/1 no ip address no ip directed-broadcast channel-group 1 ! interface FastEthernetO/0/2 no ip address no ip directed-broadcast channel-group 1 ! interface FastEthernetO/0/3 no ip address no ip directed-broadcast channel-group 1 ! interface FastEthernetO/0/4 no ip address 858 Часть V. Современное проектирование и реализация.
no ip directed-broadcast channel-group 2 ! interface FastEthernetO/0/5 no ip address no ip directed-broadcast channel-group 2 i interface FastEthernetO/0/6 no ip address no ip directed-broadcast channel-group 2 ! interface FastEthernetO/0/7 no ip address no ip directed-broadcast channel-group 2 i interface FastEthernetO/0/8 no ip address no ip directed-broadcast channel-group 3 ! interface FastEthernetO/0/9 no ip address no ip directed-broadcast channel-group 3 .' interface FastEthernetO/0/10 no ip address no ip directed-broadcast channel-group 3 ! interface FastEthernetO/0/ll no ip address no ip directed-broadcast channel-group 3 ! interface FastEthernetO/0/12 no ip address no ip directed-broadcast shutdown ! interface FastEthernetO/0/13 no ip address no ip directed-broadcast shutdown Глава 17. Учебные примеры: внедрение коммутаторов в сети 859
interface FastEthernetO/0/14 no ip address no ip directed-broadcast shutdown ! interface FastEthernetO/0/15 no ip address no ip directed-broadcast shutdown i interface GigabitEthernetl/O/0 description Gigabit link: Cat-Bl-OA to Cat-B2-0B ip address 10.250.250.18 255.255.255.248 no ip directed-broadcast ipx network 0AFAFA10 no negotiation auto j interface GigabitEthernetl/0/1 description Gigabit link: Cat-Bl-OB to Cat-B2-0B ip address 10.250.250.34 255.255.255.248 no ip directed-broadcast ipx network 0AFAFA20 no negotiation auto ! interface GigabitEthernet2/0/0 description Gigabit link: Cat-B2-0A to Cat-B2-0B ip address 10.250.250.50 255.255.255.248 no ip directed-broadcast ipx network 0AFAFA30 no negotiation auto ! interfaoe GigabitEthernet2/0/l description Gigabit link: Server Farm ip address 10.100.100.4 255.255.255.0 no ip redirects no ip directed-broadcast ipx network 0A646400 no negotiation auto ! interface EthernetO no ip address no ip directed-broadcast i router eigrp 131 passive-interface Port-channel1.1 passive-interface Port-channel1.2 passive-interface Port-channel2.1 passive-interface Port-channel2.2 860 Часть V. Современное проектирование и реализация.
passive-interface Port-channel2.3 passive-interface Port-channel3.1 passive-interface Port-channel3.2 network 10.0.0.0 ! ip classless no ip forward-protocol udp netbios-ns no ip forward-protocol udp netbios-dgra ! logging 10.100.100.21 access-list 1 permit 10.100.100.0 0.0.0.255 snrap-server community lesspublic RO snmp-server community moreprivate RW snmp-server host 10.100.100.21 trapped snmp-server location Building 2 MDF snmp-server contact Joe xlll snmp-server enable traps config banner motd "CPRIVATE NETWORK — HACKERS WILL BE SHOT!!"C line con 0 password 7 055A545C transport input none line aux 0 password 7 055A545C line vty 0 4 access-class 1 in password 7 055A545C login ! end Для поддержки каналов к трем IDF-коммутаторам конфигурируются три логиче- логических интерфейса порта-канала (port-channel interfaces). Далее, поскольку с целью под- подключения многочисленных сетей VLAN к узлам IDF в каналах EtherChannel исполь- используется ISL-инкапсуляция, каждый порт-канал конфигурируется с несколькими по- дынтерфейсами, по одному для каждой сети VLAN узла IDF. Например, интерфейс порт-канала с номером 2 используется для подключения к коммутатору Cat-B2-2A на втором этаже. Подынтерфейс порт-канала 2.1 создан для административной сети VLAN, подынтерфейс 2.2 — для сети VLAN финансового отдела и подынтер- подынтерфейс 2.3 — для сети VLAN маркетингового отдела. Каждый подынтерфейс настраива- настраивается с помощью команды encapsulation isl и получает соответствующую IP- и IPX- информацию третьего уровня. Подынтерфейсы, поддерживающие пользовательский трафик, также настраиваются на две HSRP-группы. Как объяснялось в главе 11, "Коммутация третьего уровня", ба- балансировку нагрузки с помощью протокола HSRP следует задействовать в конструк- конструкциях, где единая пользовательская сеть VLAN используется на каждом IDF-узле, и петли второго уровня не существуют (что делает невозможным использование балан- Глава 17. Учебные примеры: внедрение коммутаторов в сети 861
сировки нагрузки с помощью алгоритма распределенного связующего дерева). Для ак- активизации балансировки нагрузки с помощью протокола HSRP применяется методи- методика, которая называется поддержкой протокола HSRP для множественных групп (Mulrigroup HSRP — MHSRP). При использовании данной методики для каждой под- подсети создаются две (или более) HSRP-группы. Осуществить балансировку нагрузки можно, если каждое MDF-устройство является активным HSRP-узлом для одной из двух HSRP-групп. Например, в проекте 2 предусмотрено наличие двух HSRP-rpynn для каждой пользовательской подсети (как упоминалось ранее, в административной сети VLAN вместо этого используются множественные стандартные шлюзы). Для первой HSRP-группы в четвертом октете IP-адреса используется значение "Л", тогда как во второй HSRP-группе используется значение ".2". Путем назначения устройства Cat-B2-0A в качестве активного узла для первой группы и Cat-B2-0B в качестве ак- активного узла для второй группы можно активизировать оба порта маршрутизатора од- одновременно. Внимание! Обратите внимание: рекомендация использовать методику MHSRP основана на том, что на IDF-коммутаторах используется единственная сеть VLAN (как сказано в гла- главе 11, зачастую такие действия предпринимаются для облегчения управления сетью). Если в IDF-узлах используются многочисленные сети VLAN, между сетями VLAN мож- можно просто использовать чередующиеся активные HSRP-узлы. Более подробная ин- информация и конфигурационные примеры приведены в главе 11, "Коммутация третьего уровня". Ценность данного подхода заключается в нахождении некоторой методики, при которой одна половина конечных станций использует адрес стандартного шлюза "Л", а вторая — ".2". В главе 11, "Коммутация третьего уровня", рассматривается исполь- использование с этой целью протокола DHCP. Например, в компании Happy Homes плани- планируется развернуть два DHCP-сервера (из параметров ip helper-address можно опре- определить их адреса: 1О.1ОО.1ОО.ЗЗ и 10.100.100.81). Для всех адресов, предоставляемых первым DHCP-сервером, 10.100.100.33, адрес "Л" указан как стандартный шлюз. С другой стороны, для всех адресов, предоставляемых вторым сервером, 10.100.100.81, в качестве стандартного шлюза указан адрес ".2". Инвертирование порядка вспомога- вспомогательных IP-адресов (ip helper-address) на двух MDF-коммутаторах может способст- способствовать обеспечению довольно случайного предоставления адресов двумя DHCP- серверами. Например, в конфигурации коммутатора Cat-B2-0B адрес 10.100.100.81 указывается в качестве первого вспомогательного адреса (ip helper-address) на каж- каждом пользовательском интерфейсе. На другом MDF-коммутаторе, Cat-B2-0A, указы- указывать первым следует адрес 10.100.100.33. Далее в конфигурации указаны используемые Fast Ethernet-порты. Следует отме- отметить, что они не содержат каких-либо непосредственных конфигурационных парамет- параметров (все конфигурирование осуществляется на логическом интерфейсе порта-канала). Единственной директивой, введенной на каждом интерфейсе, является команда chan- channel-group, которая включает в себя физический интерфейс в соответствующем логи- логическом интерфейсе порт-канала. Поскольку в Gigabit Ethernet-интерфейсах не применяется технология EtherChan- nel, конфигурирование осуществляется непосредственно на самом интерфейсе. Каж- Каждый интерфейс получает IP-адрес и указание номера IPX-сети. Поскольку данные ин- 862 Часть V. Современное проектирование и реализация...
терфейсы не подключены к каким-либо конечным станциям, протокол HSRP и вспо- вспомогательные IP-адреса не являются необходимыми. С помощью оставшихся конфигурационных команд устанавливаются администра- административные функции, которые обсуждались выше. Альтернативные конструкторские решения Как и в проекте 1, во втором проекте возможны сотни небольших изменений. В данном разделе кратко рассматриваются некоторые из наиболее общих альтернатив. Прежде всего, рассмотрим схему на рис. 17.5. В проекте 2 предусмотрено исполь- использование пары устройств 8500-й серии для серверной группы. На рис. 17.7 иллюстри- иллюстрируется потенциальное расположение серверной группы в проекте 2. Cat-B1-0B Магистраль GE Коммутация второго уровня Серверные подключения Gigabit и Fast Ethernet I / \ Коммутация / второго уровня ""V Коммутация третьего уровня Рис. 17.7. Подробная схема серверной группы для проекта 2 В данной схеме пара коммутаторов Catalyst 6500 непосредственно подключена к магистрали через устройства Cat-Bl-ОВ и Cat-B2-0B. Используя собственный IOS- режим платы MSFC коммутатора Catalyst 6500, можно повысить способность данных устройств к работе в режимах маршрутизирующего коммутатора и коммутирующего маршрутизатора одновременно (в главе 18, "Коммутация третьего уровня и коммута- Глава 17. Учебные примеры: внедрение коммутаторов в сети 863
торы Catalyst 6000/6500", данная способность описана более подробно). Такой подход предоставляет гибкость, необходимую для обеспечения связи второго уровня внутри серверной группы при одновременном использовании третьего уровня для подключе- подключения к магистрали. В сущности, серверная группа становится миниатюрной версией одного из зданий, Однако, полностью содержится внутри пары устройств (устройства 6500-й серии одновременно функционируют как MDF- и IDF-устройства). В качестве альтернативного подхода в некоторых организациях применяется кон- конструкция, изображенная на рис. 17.8. Серверные подключения Gigabit Ethernet Магистраль GE Серверные подключения 10/100Мбит/с Коммутация третьего уровня Коммутация второго уровня Рис. 17.8. Конструкция серверной группы второго уровня В этом примере коммутаторы Catalyst второго уровня (в данном случае серии 4003) непосредственно подключены к существующим коммутаторам модели 8540, Cat-Bl-0B и Cat-B2-0B. Преимущество данного подхода заключается в том, что экономятся средства на два коммутатора третьего уровня и потенциально устраняется один тран- транзитный маршрутизатор из обычного маршрута прохождения пользовательских данных. К сожалению, данная конструкция восприимчива к тем же проблемам стандарт- стандартного шлюза, описанным выше, которые связаны с непосредственным подключением 864 Часть V. Современное проектирование и реализация...
серверов к LANE-среде в проекте 1. В результате добавление транзитных маршрутиза- маршрутизаторов фактически возможно путем излишней передачи трафика к неверно выбранно- выбранному зданию. Можно использовать протокол HSRP, но весь трафик направляется к ак- активному узлу. Можно было бы применить методику MHSRP, но как правило, она ме- менее эффективна с серверами, чем с пользователями, в связи с их высоким потреблением полосы пропускания. Если данная конструкция действительно приме- применяется, необходимо рассмотреть использование на серверах какого-либо протокола маршрутизации. Однако, потенциально более серьезная проблема затрагивает IP-адресацию и сбои каналов. Рассмотрим случай, когда Gigabit Ethernet-канал между коммутаторами Catalyst 4000 вышел из строя — оба устройства 8500-й серии продолжают попытки от- отправлять весь трафик, адресованный сегменту серверной группы, через свой порт (на рисунке — справа). Например, коммутатор Cat-B2-0B пытается отправить данные сер- серверам, подключенным к серверной группе А, путем отправки трафика сначала к сер- серверной группе Б. И если канал между серверными группами А и Б вышел из строя, трафик, очевидно, никогда не достигнет получателя. Описанная ситуация представля- представляет собой классический пример проблемы разделенной подсети. Совет Необходимо следить за подсетями, которые потенциально могут стать разъединен- разъединенными. Особенно это важно в таких областях сети, как серверная группа. Вероятно, наиболее общая модификация второго проекта повлечет за собой скорее использование магистрали второго уровня, чем непосредственное подключение MDF- коммутаторов друг к другу с полной или частичной замкнутостью Gigabit Ethernet- каналов. Хотя подход, применяемый в проекте 2, выгоден для небольших сетей, маги- магистраль второго уровня по ряду причин является наиболее расширяемой: • облегчается добавление распределительных блоков; • упрощается модернизация полосы пропускания доступа к одному строительно- строительному блоку (сравните модернизацию каналов к магистрали второго уровня с мо- модернизацией всей замкнутой полосы пропускания); • информационный обмен протокола маршрутизации уменьшается от уровня распределения к основному уровню. Наиболее общей реализацией является использование пары коммутаторов второго уровня для обеспечения избыточности (Однако, необходимо позаботиться об удале- удалении из магистрали всех петель второго уровня). Третья потенциальная модификация проекта 2 затрагивает нумерацию сетей VLAN. Заметим, что в проекте применяется VLAN-нумерация, основанная на шабло- шаблонах, которая описывалась в главе 15, "Реализация конструкции территориальной се- сети". Поскольку конструкции с устойчивым компонентом коммутации третьего уровня фактически сводят к нулю идею использования сетей VLAN как глобально-уникаль- глобально-уникальных широковещательных доменов, данный подход является соответствующим для конструкций, подобных проекту 2. Однако, в некоторых организациях предпочитают применять глобально-уникальные номера сетей VLAN даже при использовании ком- коммутации третьего уровня. В таком случае каждая подсеть ставится в соответствие с уникальным VLAN-номером. Более подробная информация и сравнительный анализ Глава 17. Учебные примеры: внедрение коммутаторов в сети 865
схем глобально-уникальной VLAN-нумерации и нумерации, основанной на шаблонах, приводятся в главе 15, "Реализация конструкции территориальной сети". Наконец, еще одним способом усовершенствования структуры является разверты- развертывание канала Gigabit EtherChannel в магистрали и серверной группе. Предоставляя большую доступную полосу пропускания, данный подход способен обеспечить допол- дополнительное пространство для роста территориальной сети компании Happy Homes. Резюме Данная глава направлена на закрепление многих концепций и команд, описанных в этой книге, путем рассмотрения вопросов, проблем и конструкций, встречающихся в реальных примерах сетей. В главе были рассмотрены два решения из сотен возмож- возможных. Хотя оба проекта имеют свои преимущества и недостатки, ни один из них не яв- является единственно верным решением. В табл. 17.5 кратко представлены некоторые из наиболее важных отличий проектов, описанных выше. раблйца^7.5. Основные различияммеждУ проектами 1 и 2 I Проект 1 Компонент или характе- характеристика Проект 2 Коммутатор третьего уровня Сопоставление технологий второго и третьего уровней Сети VLAN узлов IDF Протокол распределенного связующего дерева Балансировка нагрузки Маршрутизирующие коммутаторы (технология MLS) Проект более ориентирован на вто- второй уровень Одна сеть VLAN может пересекать несколько IDF-коммутаторов Треугольники связи С помощью распределенного свя- связующего дерева Коммутирующие маршрутизаторы (устройства 8500-й серии) Проект более ориентирован на третий уровень На всех IDF-коммутаторах должны ис- использоваться различные сети VLAN (подсети) Используется, но без преднамеренно созданных петель С помощью методики MHSRP 866 Часть V. Современное проектирование и реализация...
■■)■ t:
Часть VI Технология коммутаторов Catalyst 6000 Глава 18. Коммутация третьего уровня и коммутаторы Catalyst 6000/6500
В этой главе... ^, и • Характеристики коммутаторов второго уровня Catalyst 6000. В данном разделе* описывается базовая/конфигурация устройств. • Коммутация треяъего уровняс помощью модуля MSM. Модуль многоуровневой коммутации (MLS) представляет собой линейный маршрутизатор, который обеспечивает маршрутизацию для протоколов IP, IPX и многоадресатного тра- трафика на базе „высокоскоростных интегральных микросхем. В данном разделе описано конфигурирование, использование и установка указанных устройств. • Коммутация третьего уровня с помощью гибридного режима платы MSFC. Гиб- Гибридный режим (Hybrid Mode) функциональной платы многоуровневой комму- коммутации (MSFC) 'представляет собой вариант "реализации технологии MLS; .(многоуровневой коммутации) на платформе Catalyst 6000. Данный подход очень похож на использование технологии MLS с помощью модуля RSM ком- ' мутатора Catalyst 5000 (только гораздо быстрее). В этом разделе рассматривается конфигурирование и использование"указанной технологии. • Коммутация третьего уровня с помощью собственного IOS-режима платы MSFC. ^Собственный IOS-режим платы MSFC (MSFC Native IOS Mode) поднимает эффективность* операционной системы Cisco IOS в сетях второго уровня (коммутируемых сетях) на новые высоты. Указанный режим позволяет комму- коммутатору Catalyst 6000 использовать полную копию программного обеспечения обычных маршрутизаторов корпорации Cisco для обработки трафика на втором и третьем уровней, а:также представляет собой привлекательное и мощное средство проектирования и реализации территориальных сетей. «Термин плата MSFC используется в настоящей главе как в качестве ссылки на дан- ную плату, f'maK u при упоминании функциональной платы политик (Policy Feature Card— PFC). Следует заметить, что в настоящее время плату MSFC невозможно приобрести без дополняющей ее платы PFC. С другой стороны, последнюю можно приобрести и использовать без платы MSFC. Такая конфигурация поддерживает функции качества обслуживания и функциональность списков доступа (но не коммута- коммутацию третьего уровня). SJ .? .;.,
Глава 18 Коммутация третьего уровня и коммутаторы Catalyst 6000/6500 Семейство устройств Catalyst 6000 представляет собой значительный шаг вперед в технологии коммутации при сохранении устойчивой основы в существующих и про- i верейных конструкциях корпорации Cisco. Устройства Catalyst серий 6000 и 6500 мо- могут служить в качестве'более скоростных модификаций коммутаторов второго уровня 'Catalyst 5000-й серии!ЦДля предприятий, нуждающихся в полосе пропускания Gigabit Ethernet-каналбв м плотности портов, данные устройства могут быть чрезвы- чрезвычайно полезнйми. Однако в коммутаторах Catalyst 6000 присутствуют потенциальные возможности коммутации третьего уровня, которые выделяют их среди остальных коммутаторов и являются предметом рассмотрения данной главы. *'' благодаря своим мощным новым функциям коммутаторы Catalyst 6000 намеренно описываются в последней главе настоящей книги. В основном, продолжается описа- описание устройств 6000-й серии, приводимое фактически в каждой из предшествующих глав книги, но кроме того добавляются новые, заслуживающие внимания возможно- возможности. Например, в главе 4, "Конфигурирование коммутаторов Catalyst", обсуждается пользовательский интерфейс XDI/CatOS Catalyst и команды set, clear и show. В одной,конфигурации для коммутатора Catalyst 6000 используются все указанные ко- команды и концепции. А''воспользовавшись преимуществами собственного IOS-режима коммутатора Catalyst 6OOO\Nat\ve IOS Mode), можно немедленно преобразовать ком- коммутирующий блок ; в полнофункциональный (full-fledged) маршрутизатор Cisco (полностью новый, но знакомый пользовательский интерфейс)! Аналогично с помо- помощью коммутатора Catalyst 6000 можно реализовать большинство из описанных в гла- главе 11, "Коммутация третьего уровня", конструкций сети с коммутацией третьего уровня. Однако, использование данного устройства выходит далеко за рамки указан- указанных функций, поскольку предоставляется совершенно новый подход к осуществле- осуществлению конфигурирования и управления коммутатором третьего уровня — упомянутый выше собственный IOS-режим. Поскольку в собственном IOS-режиме поддерживают- поддерживаются более гибкие конструкции коммутации третьего уровня, его описание развивает тематику глав 14, "Модели территориальных сетей", и 15, "Реализация конструкции тершториальноЙ сети". 'J
Характеристики коммутации второго уровня устройства Catalyst 6000 Устройство Catalyst 6000 во многих отношениях можно рассматривать как более мощную версию коммутатора Catalyst 5000, что особенно верно в случаях, когда ком- коммутаторы Catalyst 6000 настраиваются на работу с традиционными образами операци- операционной системы XDI/CatOS, при которой в них используется пользовательский интер- интерфейс, описанный в главе 4, "Конфигурирование коммутаторов Catalyst". Фактически каждая из описываемых в настоящей книге функций поддерживается с помощью одинаковых конфигурационных приемов в обоих устройствах. Или, коротко говоря, коммутация второго уровня Catalyst 6000 выглядит очень знакомой для всех, кто кон- конфигурировал устройства Catalyst серий 4000 и 5000. Внимание! Как упоминалось в главах выше, аббревиатура XDI является названием UNIX- подобного ядра (UNIX-like kernel), которое первоначально использовалось для созда- создания ранних устройств семейства Catalyst. Несмотря на то, что коммутаторы второго уровня Catalyst 6000 имеют тот же внеш- внешний вид и предоставляют те же функции, что и коммутаторы Catalyst 5000, они, очевид- очевидно, обеспечивают более высокую мощность и пропускную способность. Например, то- тогда как в коммутаторах Catalyst 5000 применяется объединительная плата с пропускной способностью 1,2 Гбит/с, а в устройствах 5500-й серии перекрестная объединительная плата (crossbar backplane) на 3,6 Гбит/с, в коммутаторах Catalyst 6000 используется объе- объединительная плата на 16 Гбит/с. Более того, большинство поставщиков оборудования начало измерять производительность коммутатора на дуплексной передаче, что приво- приводит к получению значения пропускной способности коммутатора 6000-й серии на уров- уровне 32 Гбит/с. В дополнение к объединительной плате на 16 Гбит/с в коммутаторах Catalyst 6500 предоставляется перекрестная матрица (crossbar matrix) с пропускной спо- способностью 256 Гбит/с (хотя в первоначальной конфигурации блока Supervisor такая пропускная способность не используется). Очевидно, что коммутаторы Catalyst серий 6000 и 65000 обеспечивают существенное увеличение доступной полосы пропускания коммутации второго уровня, а также плотности Gigabit Ethernet-портов. Поскольку сходство коммутатора Catalyst 6000 как устройства второго уровня и других платформ данного семейства детально изучается на протяжении всей книги, в текущей главе их особенности подробно не рассматриваются. Совет В блоке Supervisor III коммутатора Catalyst 5000 используется консольный порт, вы- выполненный на основе стандартного разъема RJ-45, контакты которого расположены прямо противоположно контактам консольного порта маршрутизатора Cisco 2500 (и других маршрутизаторов), что создает широко распространенную путаницу при перво- первоначальной настройке устройства. В коммутаторе Catalyst 6000 также используется разъем RJ-45. Однако, с целью поддержки обратной совместимости как с маршрути- маршрутизаторами 2500-й серии, так и с блоком Supervisor III коммутатора Catalyst 5000, в уст- устройстве 6000-й серии предусмотрен переключатель для выбора необходимого распо- расположения контактов. Если переключатель установлен в позицию in, то используется тот же кабель, что и для маршрутизатора 2500-й серии (т.е. консольный кабель — rolled 872 Часть VI. Технология коммутаторов Catalyst 6000
cable). В положении переключателя out используется тот же кабель, что и для модуля Supervisor III коммутатора Catalyst 5000 (прямой кабель — straight-through cable). Что- Чтобы установить нужное положение переключателя (он расположен в углублении за не- небольшим отверстием на передней панели), на практике используется распространен- распространенный инструмент сетевого администратора — канцелярская скрепка. Коммутация третьего уровня с помощью модуля MSM Первоначально механизм коммутации третьего уровня для устройства Catalyst 6000 состоял из модуля многоуровневой коммутации (Multilayer Switch Module — MSM). Мо- Модуль MSM, основанный на технологии устройств Catalyst 8510, обеспечивает конфигу- конфигурацию линейного маршрутизатора (routcr-on-a-stick), интегрированного в шасси комму- коммутатора Catalyst 6000. Таким образом, модуль MSM предоставляет семейству Catalyst 6000 мощные средства обработки IP-потоков устройств 8510 (а именно: IP- и IPX-маршру- IPX-маршрутизацию со скоростью приблизительно 5 миллионов пакетов в секунду — mpps). Внимание! Модуль MSM содержит более быстрый процессор, чем в настоящее время использу- используется в устройстве 8510-й модели. С точки зрения конфигурации модуль MSM подключается к объединительной плате Catalyst 6000 через четыре Gigabit Ethernet-интерфейса. Данные интерфейсы маркируют- маркируются как Gigabit Ethernet 0/0/0, 1/0/0, 3/0/0 и 4/0/0. Необходимо отметить, что интерфейс 2/0/0 не используется и что указанные номера не относятся к гнезду, в котором уста- установлен модуль MSM (они всегда имеют локальное назначение). На рис. 18.1 схематиче- схематически изображено подключение модуля к объединительной плате Catalyst 6000. Объединительная плата коммутатора Catalyst6000на 16/32Гбит/с ., .;•■-, • Канал Gigabit Ethernet 0/0/0 Канал Gigabit Ethernet 1 /0/0 Канал Gigabit Ethernet 3/0/0 Канал Gigabit Ethernet 4/0/0 Рис. 18.1. Концептуальная диаграмма модуля MSM Глава 18. Коммутация третьего уровня и коммутаторы... 873
Модуль MSM поддерживает два основных типа конфигурации межсетевых VLAN- маршрутизаторов: • использование каждого из Ethernet-интерфейсов в качестве отдельного порта маршрутизатора; • группировка всех четырех Gigabit Ethernet-интерфейсов в один банк каналов EtherChannel. Необходимо отметить один важный момент: оба типа конфигурации требуют ввода конфигурационных команд как на устройстве второго уровня Supervisor, так и на модуле третьего уровня MSM. Supervisor-конфигурация используется для на- назначения интерфейсов модуля MSM сетям VLAN или группе каналов EtherChannel, тогда как MSM-конфигурация применяется для фактической настройки процесса маршрутизации. Совет Для корректной работы модуля MSM требуется обеспечить согласованную конфигу- конфигурацию коммутатора Catalyst 6000 и самого модуля MSM. Использование каждого Gigabit Ethernet-интерфейса в качестве отдельного порта маршрутизатора является простейшим из двух типов конфигурации. В примере 18.1 приведена частичная конфигурация интерфейсов для поддержки маршрутизации сетей VLAN 1-4. н Пример 18.1. Применение MSM-интерфейсов в качестве уникальных пор- interface GigabitEthernetO/0/O ip address 10.0.1.1 255.255.255.0 no ip redirects no ip directed-broadcast ! interface GigabitEthernetl/O/0 ip address 10.0.2.1 255.255.255.0 no ip redirects no ip directed-broadcast ! interface GigabitEthernet3/0/0 ip address 10.0.3.1 255.255.255.0 no ip redirects no ip directed-broadcast ! interface GigabitEthernet4/0/0 ip address 10.0.4.1 255.255.255.0 no ip redirects no ip directed-broadcast Данная конфигурация концептуально идентична конфигурации линейного мар- маршрутизатора, которая была описана в разделе "Раздельное подключение виртуальных локальных сетей" главы 11, "Коммутация третьего уровня". Каждый интерфейс на- 874 Часть VI. Технология коммутаторов Catalyst 6000
страивается на одну сеть VLAN и один IP-адрес. В примере 18.2 продемонстрирована соответствующая конфигурация модуля Supervisor, которая используется для назначе- назначения каждого MSM-интерфейса отдельной сети VLAN. Пример 18.2 Конфигурация модуля,. Supervisor для уникал Ь '■*-.. маршрутизатора "'■^'v'?i;:':^^^ Cat6000 (enable) set vlan 17/1 VLAN Mod/Ports 1 1/1-2 2/1-2 3/3-24 4/3-24 5/1-2,5/5-8 7/1-4 Cat6000 (enable) set vlan 2 7/2 VLAN VLAN VLAN 2 2 modified. 1 modified. Mod/Ports 1/1-2 5/7 7/1-4 Cat6000 (enable) set vlan 3 7/3 Vlan VLAN VLAN VLAN 3 3 configuration successful 3 modified. 2 modified. Mod/Ports 1/1-2 5/7 7/1-4 Cat6000 (enable) set vlan 4 7/4 Vlan VLAN VLAN VLAN 4 configuration successful 4 modified. 3 modified. Mod/Ports 1/1-2 5/7 7/1-4 В данном случае каждый интерфейс MSM-маршрутизатора назначается отдельной сети VLAN второго уровня. Заметим следующее: в примере 18.2 предполагается, что модуль MSM расположен в гнезде Slot 7. Глава 18. Коммутация третьего уровня и коммутаторы... 875
Несмотря на то, что конфигурации, приведенные в примерах 18.1 и 18.2, коррект- корректно обеспечивают службы маршрутизации, существует возможность получить гораздо более гибкую конфигурацию путем группировки всех четырех Gigabit Ethernet- интерфейсов в единый банк каналов EtherChannel. Таким образом, сети VLAN не привязаны к определенным интегральным микросхемам Gigabit Ethernet, встроенным в модуль MSM, что позволяет реализовать более равномерное распределение трафика. Для создания на модуле MSM банка каналов EtherChannel необходимо просто по- последовательно пройти этапы, описанные в разделе "Канал EtherChannel" главы 11. Напомним основные из них. Этап 1. Создание с помощью команды interface port-channel port- channel. subinterf асе-number одного подынтерфейса для каждой сети VLAN. Этап 2. Настройка каждого интерфейса. Настоящий этап включает в себя, как минимум, назначение сети VLAN с помощью команды encapsulation isl vlan-identifier, а также IP- и/или IPX-адреса (может использо- использоваться стандарт 802.10). Возможна настройка объединения с помощью мостов (bridging), однако делать это не рекомендуется (см. раздел "Интеграция маршрутизации и технологии объединения с помощью мос- мостов" главы 11, "Коммутация третьего уровня"). Этап 3. Назначение всех четырех Gigabit Ethernet-интерфейсов интерфейсу порт- канала при помощи команды channel-group channel-number. Внимание! Существует возможность создать несколько интерфейсов порт-канала и каждому из них назначить различные Gigabit Ethernet-интерфейсы, однако такой подход нельзя назвать полезным. В частности, в примере 18.3 отражена полная конфигурация модуля MSM, кото- который настроен на один EtherChannel-интерфейс к объединительной плате коммутатора Catalyst 6000. Пример 18.3. Полная конфигурация модуля MSM с использованием к iy'~:f 'I:-*' EtherChanriel-канала . мр . ,7 .■ ■■'^■-" „ ■;.,>■*"■ '-^ ^%? #! no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname MSM i 1 ip subnet-zero ipx routing 0050.730f.6a0c interface Port-channell no ip address 876 Часть VI. Технология коммутаторов Catalyst 6000
no ip directed-broadcast hold-queue 300 in ! interface Port-channell.l encapsulation isl 1 ip address 10.0.1.2 255.255.255.0 no ip redirects no ip directed-broadcast ipx encapsulation NOVELL-ETHER ipx network A000100 standby 1 timers 1 3 standby 1 priority 200 standby 1 preempt standby 1 ip 10.0.1.1 i interface Port-channell.2 encapsulation isl 2 ip address 10.0.2.2 255.255.255.0 no ip redirects no ip directed-broadcast ipx encapsulation NOVELL-ETHER ipx network A000200 standby 2 timers 1 3 standby 2 priority 100 standby 2 preempt standby 2 ip 10.0.2.1 i interface Port-channell.3 encapsulation isl 3 ip address 10.0.3.1 255.255.255.0 no ip redirects no ip directed-broadcast ipx encapsulation NOVELL-ETHER ipx network A000300 ! interface GigabitEthernetO/0/0 no ip address no ip directed-broadcast no negotiation auto channel-group 1 i interface GigabitEthernetl/0/0 no ip address no ip directed-broadcast no negotiation auto channel-group 1 i interface GigabitEthernet3/0/0 Глава 18. Коммутация третьего уровня и коммутаторы... 877
no ip address no ip directed-broadcast no negotiation auto channel-group 1 ! interface GigabitEthernet4/0/0 no ip address no ip directed-broadcast no negotiation auto channel-group 1 i router eigrp 1 passive-interface Port-channel1.1 passive-interface Port-channell. 2 network 10.0.0.0 ! ip classless line con 0 transport input none line aux 0 line vty 0 4 no login ! no scheduler allocate end В примере 18.3 на интерфейсе EthcrChannel конфигурируются три подынтерфейса: по одному для сетей VLAN 100, VLAN 101 и VLAN 102. Все четыре Gigabit Ethernet- интерфейса включены в состав канала с целью обеспечения одного высокоскорост- высокоскоростного соединения с остальной частью коммутатора Catalyst. Для создания канала EtherChannel на блоке Supervisor второго уровня требуется использование команд, представленных в примере 18.4. Пример 18.4. Supervisor-конфигурация для уникальных портов маршру-1 Cat6000> (enable) set port channel 7/1-4 on Ports 7/1-4 channel mode set to on. Cat6000> (enable) set trunk 7/1 nonegotiate isl Port(s) 7/1 trunk mode set to nonegotiate. Port(s) 7/1 trunk type set to isl. С помощью двух приведенных в примере команд сначала единственному интер- интерфейсу EtherChannel назначаются все четыре MSM-интерфейса, а затем включается режим магистрального ISL-канала через всю группу (несмотря на то, что команда trunk введена только для порта 7/1, она автоматически применяется ко всем четырем портам.) 878 Часть VI. Технология коммутаторов Catalyst 6000
Внимание! Отметим, что конструкция модуля MSM основана на технологии устройств 8500. Мо- Модуль функционирует в среде коммутации третьего уровня, основанной на коммути- коммутирующих маршрутизаторах, которая описывается в главе 11, "Коммутация третьего уровня". Коммутация третьего уровня с помощью гибридного режима платы MSFC Во второй реализации коммутации третьего уровня для устройств семейства Cata- Catalyst 6000 представлен гибридный режим (Hybrid Mode) функциональной платы много- многоуровневого коммутатора (Multilayer Switch Feature Card — MSFC), который предос- предоставляет MLS-мсханизмы (Multilayer Switching — многоуровневая коммутация) комму- коммутации третьего уровня для платформы Catalyst 6000. В данном разделе описано аппаратное обеспечение, используемое в гибридном ре- режиме платы MSFC, а также его конфигурация и синтаксис команд. Кроме того, в на- настоящем разделе также описаны преимущества и недостатки данного подхода к ком- коммутации. Аппаратное обеспечение для поддержки гибридного режима платы MSFC С точки зрения аппаратного обеспечения плата MSFC очень похожа на функцио- функциональную плату коммутации маршрутов (Route Switch Feature Card — RSFC), которая предоставляется для устройств Catalyst серии 5000. Плата MSFC устанавливается как пара дочерних плат (daughter card) в блоке Supervisor коммутатора Catalyst 6000. После их установки блок Supervisor состоит из трех компонентов: • самого блока Supervisor (также именуемого процессором коммутации — Switch processor — SP); • платы PFC — механизм MLS SP очень напоминает функциональную плату NetFlow (NetFlow Feature Card — NFFC) коммутатора Catalyst 5000; • платы MSFC — механизма процессора маршрутизации (Route Processor (RP) engine). На рис. 18.2 схематически представлены описываемые компоненты. MSFC RP Плата PFC (функциональная плата NetFlow) Блок Supervisor (SP) коммутатора Catalyst Рис. 18.2. Компоненты платы MSFC Глава 18. Коммутация третьего уровня и коммутаторы... 879
Блок Supervisor (SP) содержит RISC-процессор и интегральные микросхемы, не- необходимые для выполнения задач коммутатора второго уровня. В плате PFC приме- применяется технология, подобная используемой в плате NFFC, которая описана в разде- разделе "Технология MLS" главы 11, "Коммутация третьего уровня". Функционируя в качестве гибкого механизма контроля совпадения шаблона (pattern matching engine) и перезаписывающего механизма (rewrite engine), данная плата может применяться для предоставления широкого диапазона высокоскоростных функций, таких, как коммутация третьего уровня, качество и классы обслуживания (Quality/Class of Service — Q0S/C0S), поддержка многоадресатного вещания и фильтрация пакетов системой безопасности (security filtering). С точки зрения коммутации третьего уровня она предоставляет MLS-службы определения кратчайшего пути (MLS-SE shortcut services), которые были описаны в главе 11. С технической точки зрения плата PFC заменяет интегральные микросхемы перенаправления второго уровня блока Supervisor, что также предполагает исполнение их функций. Дочерняя плата MSFC основана на сетевом операционном модуле (Network Processing Engine-200 — NPE-200), который используется в маршрутизаторах Cisco 7200. Будучи высокопро- высокопроизводительным и многофункциональным маршрутизатором, данная плата поддер- поддерживает функцию MSL RP MLS-механизма и маршрутизирует первый пакет в каж- каждом IP- и IPX-потоке. Ее также можно применить с целью обеспечения программ- программной маршрутизации для других протоколов, таких, как AppleTalk и DECnet (при этом ожидается скорость передачи на уровне приблизительно 125 000 — 150 000 па- пакетов в секунду). Коротко говоря, гибридный режим платы MSFC предоставляет эквивалент форси- форсированного (souped up) модуля коммутации маршрута (RSM) коммутатора Catalyst 5000 и платы NFFC при установке их в одно гнездо. Конфигурационная модель гибридного режима платы MSFC Конфигурирование гибридного режима платы MSFC является фактически иден- идентичным настройке технологии MLS на базе модуля RSM, описанной в разделе "Процесс конфигурирования многоуровневой коммутации" главы 11, "Коммутация третьего уровня". В данном случае для конфигурирования используются те же коман- команды interface vlan vlan_number. Для настройки протоколов маршрутизации и других функций используются RSM-подобные команды. Блок процессора маршрутизации (RP) платы MSFC также подобен модулю RSM, поскольку в нем используется полный IOS-образ программного обеспечения, следова- следовательно, создается та же раздвоенность, которая рассматривалась в разделе, посвящен- посвященном модулю RSM, главы 11, "Коммутация третьего уровня". При подключении к консольному порту блока Supervisor во всех коммутаторах Catalyst, использующих XDI/CatOS-интерфейс, становятся доступными обычные команды set, clear и show. Однако, при использовании команды session создается виртуальное соединение с RP-блоком платы MSFC, что немедленно переводит пользователя из интерфейса XDI/CatOS в область операционной системы IOS маршрутизатора. В главе 11 упоминается, что для команды session требуется указание параметра, содержащего номер гнезда маршрутизатора. В случае использования модуля RSM данный номер можно определить визуально. При использовании RP-блока платы 880 Часть VI. Технология коммутаторов Catalyst 6000
MSFC, который функционирует в качестве дочерней платы в гнезде Slot 1 и/или Slot 2, схема нумерации менее очевидна, поскольку применяется номер виртуального гнезда (virtual slot number). Одним из способов определения соответствующего гнезда является использование команды show module, как показано в примере 18.5. Пример 18.5. Применение команды show module с целью определения : номера виртуального гнезда модуля MSFC RP Cat6000 (enable) show module Mod Slot Ports Module-Type Model Status 1 15 3 4 5 6 Mod 1 15 3 4 5 6 Mod 1 15 3 4 5 6 Mod 1 1 2 lOOOBaseX Supervisor WS-X6K-SUP1-2GE 1 1 Multilayer Switch Feature WS-F6001-RSFC 3 24 100BaseFX MM Ethernet WS-X6224-100FX-MT 4 24 100BaseFX MM Ethernet WS-X6224-100FX-MT 5 8 lOOOBaseX Ethernet WS-X6408-GBIC 6 48 10/100BaseTX (RJ-45) WS-X6248-RJ-45 Module-Name Serial-Num SAD03070893 3024158973 SAD03080262 SAD03080421 SAD03040595 SAD03142742 MAC-Address(es) Hw Fw 00-50-54-6c-a9-e6 to 00-50-54-6c-a9-e7 1.4 5.1A) 00-50-54-6c-a9-e4 to 00-50-54-6c-a9-e5 00-50-3e-05-58-00 to 00-50-3e-05-5b-ff 00-50-73-ff-ab-OO to 00-50-73-ff-ab-ff 0.305 12.0B.6)T 00-50-54-6c-a5-34 to 00-50-54-6c-a5-4b 1.2 4.2@.24)V 00-50-54-6c-a4-74 to 00-50-54-6c-a4-8b 1.2 4.2@.24)V 00-50-f0-a8-44-64 to 00-50-f0-a8-44-6b 1.4 4.2@.24)V 00-50-f0-aa-58-38 to 00-50-fQ-aa-58-67 1.0 4.2@.24)V ok ok ok ok ok ok Sw 4.2@. 12.0B 4.2@. 4.2@. 4.2@. 4.2@. Sub-Type Sub-Model Sub-Serial Sub-Hw L3 Switching Engine WS-F6K-PFC SAD03152173 0 Cat6000 (enable) 1.205 24)DAY35 .6)TW6@.14) 24)DAY35 24)DAY35 24)DAY35 24)DAY35 Следует заметить, что во второй строке примера 18.5 (выделенной полужирным шрифтом) под верхними заголовками плата MSFC RP приводится как функциональ- функциональная плата многоуровневой коммутации (Multilayer Switch Feature WS-F6001-RSFC) в гнезде Slot 15. Глава 18. Коммутация третьего уровня и коммутаторы... 881
Внимание! В примере приводится информация, полученная для устройств 6009/6509, содержа- содержащих один блок Supervisor в гнезде Slot 1. Для платы MSFC, физически расположенной в гнезде Slot 2, используется номер виртуального гнезда 16. В коммутаторе 6006/6506 также используются гнезда 15 и 16. Таким образом, посредством ввода команды session 15 создается соединение с модулем MSFC RP, где можно вводить команды маршрутизатора. Совет Несмотря на то, что структура нумерации довольно проста, для определения и запо- запоминания номеров виртуальных гнезд, используемых модулями MSFC RP, следует применять команду show module. Конфигурирование многоуровневой коммутации с помощью гибридного режима платы MSFC Как и в случае конфигурирования модуля RSM блока Supervisor коммутатора Catalyst, блок Supervisor коммутатора второго уровня Catalyst обладает включенной по умолчанию MLS-обработкой (в настоящее время ее фактически невозможно отклю- отключить в коммутаторе Catalyst 6000). Кроме того, подобно MLS на коммутаторах 5000-й серии, модуль MSFC RP стандартно не конфигурируется для предоставления MLS- службы. Чтобы добавить поддержку технологии MLS на уже функционирующую кон- конфигурацию платы MSFC RP-маршрутизатора, необходимо завершить процесс, со- состоящий из четырех описанных ниже этапов. Этап 1. Включить поддержку технологии MLS глобально на блоке RP с помощью команды mis rp ip (для протокола IPX можно также использовать ко- команду mis rp ipx). Этап 2. Сконфигурировать домен протокола магистральных каналов сетей VLAN (VLAN Trunking Protocol — VTP) для каждого VLAN-интерфейса с помо- помощью команды mis rp vtp-domain domain_name. Этап 3. Активизировать MLS-технологию на каждом VLAN-интерфейсе с исполь- использованием команды mis rp ip или mis rp ipx. Этап 4. Выбрать с помощью команды mis rp management-interface один или несколько интерфейсов маршрутизатора для отправки MLSP-пакетов. Внимание! В главен, "Коммутация третьего уровня", описанный выше процесс представлен в виде 5 этапов, т.к. в него включается дополнительный этап (этап 3) конфигурирования немагистральных каналов на внешних маршрутизаторах. В данном случае этот этап пропущен, поскольку для интегрированных маршрутизаторов, таких, как модуль MSFC RP, необходимость в нем отсутствует. Например, с помощью конфигурации, приведенной в примере 18.6, для модуля MSFC RP для сетей VLAN 1-3 включается технология MLS (настраиваются оба про- протокола: IP- и IPX-). 882 Часть VI. Технология коммутаторов Catalyst 6000
Пример 18.6. Полная конфигурация модуля MSFC RP для поддержки тех- no service pad service tiraestaraps debug uptime service tiraestaraps log uptime no service password-encryption i hostname MSFC-RP i boot system flash bootflash:c6rasfc-js-raz.120-2.6.TW6.0.14.bin ip subnet-zero ip cef ipx routing 0000.2100.0000 mis rp ip mis rp ipx interface Vlanl ip address 10.0.1.2 255.255.255.0 no ip redirects no ip directed-broadcast no ip route-cache cef ipx network A000100 mis rp vtp-domain Skinner mis rp management-interface mis rp ip mis rp ipx standby 1 timers 1 3 standby 1 priority 200 preempt standby 1 ip 10.0.1.1 ! interface Vlan2 ip address 10.0.2.2 255.255.255.0 no ip redirects no ip directed-broadcast no ip route-cache cef ipx network A000200 mis rp vtp-domain Skinner mis rp ip mis rp ipx standby 2 timers 1 3 standby 2 priority 100 preempt standby 2 ip 10.0.2.1 Глава 18. Коммутация третьего уровня и коммутаторы... 883
interface Vlan3 ip address 10.0.3.1 255.255.255.0 no ip directed-broadcast no ip route-cache cef ipx network АО00300 mis rp vtp-doraain Skinner mis rp ip mis rp ipx ! router eigrp 1 passive-interface Vlanl passive-interface Vlan2 network 10.0.0.0 i ip classless no ip http server line con 0 transport input none line vty 0 4 login I end Следует заметить, что конфигурация в примере 18.6 функционально эквивалентна MSM-конфигурации, приведенной в примере 18.3. В примере 18.7 приведена информация, полученная с помощью команды show mis rp для модуля MSFC RP. \ Пример 18.7. Информация, полученная с помощью команды show mis rp ; : для модуля MSFC RP • . -\-VJ-] MSFC-RPi show mis rp ip multilayer switching is globally enabled ipx multilayer switching is globally enabled ipx mis inbound acl overide is globally disabled mis id is 0000.2100.0000 mis ip address 127.0.0.12 mis ip flow mask is destination mis ipx flow mask is destination number of domains configured for mis 1 vlan domain name: Skinner current ip flow mask: destination ip current/next global purge: false/false ip current/next purge count: 0/0 current ipx flow mask: destination 884 Часть VI. Технология коммутаторов Catalyst 6000
ipx current/next global purge: false/false ipx current/next purge count: 0/0 current sequence number: 1507018760 current/maximum retry count: 10/10 current domain state: change domain uptime: 00:08:32 keepalive timer not running retry timer expires in 1 seconds change timer not running fcp subblock count = 3 1 management interface!s) currently defined: vlan 1 on Vlanl 2 mac-vlan(s) configured for multi-layer switching 2 mac-vlan(s) enabled for ip multi-layer switching: mac 0050.73ff.ab38 vlan id(s) 1 2 2 mac-vlan(s) enabled for ipx multi-layer switching: mac 0050.73ff.ab38 vlan id(s) 1 2 router currently aware of following 0 switch(es): no switch id's currently exists in domain В первом разделе примера 18.7 приведена полезная информация о том, включена ли многоуровневая IP- и IPX-коммутация, а также активные в настоящий момент маски потоков. Затем фиксируются аспекты протокола многоуровневой коммутации (MultiLayer Switching Protocol — MLSP), такие, как имя VTP-домена и номер MLSP- последовательности. В примере 18.8 отражена информация, полученная с помощью команды show mis на блоке SP коммутатора Catalyst. Пример 18.8. Информация, полученная с помощью команды show mis для if^% Supervisor ком'MyTaTopa%,ataiyst 6000 Cat6000 (enable) show mis Total packets switched = 5683 Total Active MLS entries = 87 IP Multilayer switching aging time = 256 seconds IP Multilayer switching fast aging time = 0 seconds, packet threshold = 0 IP Current flow mask is Destination flow Active IP MLS entries = 55 Глава 18. Коммутация третьего уровня и коммутаторы... 885
Netflow Data Export version: 8 Netflow Data Export disabled Netflow Data Export port/host is not configured. Total packets exported = 0 IP MLS-RP IP MLS-RP ID XTAG MLS-RP MAC Vlans 127.0.0.12 15 1 00-50-73-ff-ab-38 1,2,3 IPX Multilayer switching aging time = 256 seconds IPX flow mask is Destination flow IPX max hop is 255 Active IPX MLS entries = 0 IPX MLS-RP IP MLS-RP ID XTAG MLS-RP MAC Vlans 127.0.0.12 15 1 00-50-73-ff-ab-38 1,2 В примере 18.8 показаны некоторые статистические данные, собранные с помо- помощью платы NFFC/PFC. Например, в первой строке приводится общее количество па- пакетов, скоммутированных на третьем уровне с использованием технологии MLS. Во второй строке отражено общее количество записей активных кратчайших маршрутов в NFFC/PFC-кэше. Кроме того, отображается информация, касающаяся периода ста- старения, масок потоков, функции экспорта данных NetFlow, а также модулей MLS-RP по протоколам IP и IPX. Более подробные сведения по конфигурированию многоуровневой коммутации приведены в разделе "Технология MLS" главы 11, "Коммутация третьего уровня". Преимущества и недостатки гибридного режима платы MSFC Гибридный режим платы MSFC является чрезвычайно мощной функцией, по- поскольку комбинирует преимущества RSM-подобного маршрутизатора с высокой ско- скоростью (порядка Гбит/с) коммутации третьего уровня, предоставляемой платой NFFC/PFC. Как указывалось в главах 11, "Коммутация третьего уровня", 14, "Модели терри- территориальных сетей", и 15, "Реализация конструкции территориальной сети", наиболее интересная особенность модуля RSM заключается в тесной интеграции технологии второго и третьего уровней. По мере того, как порты назначаются сетям VLAN вто- второго уровня в блоке Supervisor коммутатора Catalyst, модуль RSM автоматически раз- размещает их на соответствующем виртуальном интерфейсе третьего уровня. Описанная схема является более гибкой и расширяемой, чем IRB-подход к интеграции второго и третьего уровней, который используется в таких платформах маршрутизации, как уст- устройства Catalyst 8500 (по крайней мере, с точки зрения конфигурирования и управле- управления). Поскольку модуль MSFC RP функционирует по той же схеме, что и модуль RSM, он также наследует все указанные преимущества. 886 Часть VI. Технология коммутаторов Catalyst 6000
Несмотря на то, что тесная интеграция второго и третьего уровней, присущая мо- модулю RSM, является чрезвычайно полезной при создании высокомасштабируемых территориальных сетей, программный подход к маршрутизации может вызвать появ- появление "бутылочных горлышек" для трафика со скоростью порядка Гбит/с. Это та сфера, где в полной мере проявляются преимущества платы NFFC/PFC. Путем пре- предоставления стандартизированных, аппаратных средств коммутации третьего уровня она способна сообщить дополнительную мощность модулю RSM или MSFC RP. В та- таком случае преимущества модуля RSM почти не теряются. В результате совместного использования программного и аппаратного обеспечения создается чрезвычайно бы- быстрая и расширяемая структура коммутации третьего уровня. Хотя во многих организациях технология MLS рассматривалась почти как револю- революция в коммутации третьего уровня, существует один недостаток: требуются две от- отдельные конфигурации, использующие два отдельных пользовательских интерфейса. Конфигурацию третьего уровня необходимо поддерживать на модуле MSFC RP с ис- использованием традиционного интерфейса операционной системы Cisco IOS. С другой стороны, конфигурация второго уровня должна поддерживаться на блоке Supervisor коммутатора Catalyst с использованием XDI/CatOS-интерфейса. Фактически описан- описанная двойственность данного подхода и привела к появлению названия — гибридный режим (Hybrid Mode). Поскольку в гибридном режиме платы MSFC применяется потенциально запутан- запутанная смесь двух пользовательских интерфейсов, многие организации нуждались в спо- способе использования преимуществ данного подхода к коммутации третьего уровня на основе одного пользовательского интерфейса. Именно к такому решению сводится применение собственного IOS-режима платы MSFC. Коммутация третьего уровня с помощью собственного IOS-режима платы MSFC Подход к коммутации третьего уровня с использованием собственного IOS-режима платы MSFC (MSFC Native IOS Mode) представляет уникальное и фактически иде- идеальное слияние технологий второго и третьего уровней. Он является результатом при- приблизительно шестилетнего интеграционного процесса маршрутизации Cisco и комму- коммутации на базе устройств Catalyst (корпорация Cisco приобрела компанию Crescendo Communications, Inc. осенью 1993 года). В сущности, при использовании собствен- собственного IOS-режима создается среда, в которой можно полностью конфигурировать коммутаторы Catalyst 6000 и управлять ими посредством знакомого и мощного поль- пользовательского IOS-интерфейса. Преимущества собственного IOS-режима В главах 11, "Коммутация третьего уровня", 14, "Модели территориальных сетей", и 15, "Реализация конструкции территориальной сети", обсуждались различия и уни- уникальные преимущества маршрутизирующих коммутаторов (технологии MLS) и комму- коммутирующих маршрутизаторов (устройства Catalyst 8500) для реализации коммутации Глава 18. Коммутация третьего уровня и коммутаторы... 887
третьего уровня. В табл. 18.1 кратко описаны основные преимущества и недостатки каждого подхода к коммутации. Таблица 18.1. Основные преимущества и недостатки технологии MLS ,л^Ш|У-,. '■ и устройств8500-й серии . -,.,., .; .--.^.:....: ;-Л- .;л Методика Основные преимущества Основные недостатки MLS Тесная интеграция второго и третьего уровней Catalyst 8500 Используется знакомый поль- пользовательский IOS-интерфейс Предоставляются мощные функции интеграции с техно- технологией ATM По умолчанию допускается пересечение коммутаторов се- сетями VLAN второго уровня, что может привести к чрезмерно плоским сетям. Требуется использование двух отдельных пользовательских интерфейсов (IOS и XDI/CatOS) Интегрирование второго и третьего уровней, как правило, требует использования функции интегрирования маршрути- маршрутизации и технологии объединения с помощью мостов (Integrated Routing and Bridging — IRB) — методики, которая может стать трудноуправляемой в крупных сетях Чрезмерная ориентация на третий уровень для некоторых территориальных сетей. Отсутствует понятие виртуальных локальных сетей (VLAN) Несмотря на то, что оба подхода могут быть очень эффективными в соответст- соответствующих конструкциях (технология MLS в конструкциях, ориентированных на второй уровень, а устройства 8500 — на третий), обе технологии имеют отдельные недостатки (хотя некоторые разработчики сетей возразят, что большинство недостатков не явля- являются большими проблемами). Собственный IOS-режим занимает уникальную позицию между технологией MLS и устройствами 8500 для коммутации третьего уровня и поэтому объединяет в себе преимущества Ethernet-технологии, характерные для обоих подходов, а также позво- позволяет полностью избежать их недостатков. В результате собственный IOS-режим пре- предоставляет ряд преимуществ: • создается чрезвычайно полезная технология для конфигурирования и интегри- интегрирования технологий второго и третьего уровней (данные возможности рассмат- рассматриваются ниже в настоящей главе); • поскольку используется единственный пользовательский интерфейс, организа- организации могут избежать путаницы и затрат на обучение, связанных с поддержкой двух пользовательских интерфейсов; • поскольку применяется IOS-интерфейс, большинство сотрудников, поддержи- поддерживающих сеть, могут использовать технологию собственного IOS-режима с ми- минимальным переобучением; • благодаря интегрированному интерфейсу пользователя организациям предос- предоставляется возможность проще визуализировать логическую топологию сети. Следовательно, снижается вероятность ошибочного создания сетей с плоской землей и сетей VLAN территориального масштаба; • несмотря на то, что собственный IOS-режим внутренне основывается на той же технологии MLS, что и гибридный, конечный пользователь избавляется от не- необходимости непосредственного конфигурирования технологии MLS; 888 Часть VI. Технология коммутаторов Catalyst 6000
• предоставляется полная поддержка сетей VLAN. Несмотря на то, что инте- интегральные микросхемы коммутатора Catalyst 6000 поддерживают динамические сети VLAN и службу VMPS, данная функция в настоящее время на платформе не поддерживается ввиду ее предполагаемого использования в качестве магист- магистрального коммутатора, где все порты жестко закодированы для каждой сети VLAN; • поддерживаются почти все функции второго уровня коммутаторов Catalyst с интерфейсом XDI/CatOS, такие, как протоколы VTP, DTP/DISL и PAgP; • данные возможности позволяют плате MSFC в собственном IOS-режиме функ- функционировать либо в качестве маршрутизирующего коммутатора (MLS), либо в качестве коммутирующего маршрутизатора (Catalyst 8500). Несмотря на то, что такая ситуация может привести к возникновению путаницы при обсуждении и объяснении данной концепции, появляется чрезвычайно мощный и гибкий подход к коммутации третьего уровня; • поскольку различия между гибридным и собственным IOS-режимом состоят только в программном обеспечении, можно достаточно просто преобразовать блок из одного устройства в другое при изменении потребностей организации (необходимо лишь изменить образы на флэш-карте). Наиболее важным представляется то, что собственный IOS-режим позволяет дос- достичь всех перечисленных преимуществ при сохранении скорости гибридного режима (скорости устройств первого поколения будут приблизительно на уровне 15 миллио- миллионов пакетов в секунду). Внимание! Необходимо отметить, что коммутаторы Catalyst 6000 и собственный IOS-режим не обладают средствами ATM-коммутации и интеграции ATM-Ethernet, присущей устрой- устройствам Catalyst 8500. Принцип действия собственного режима платы MSFC Как было сказано ранее в настоящей главе, использование платы MSFC приводит к применению двух процессоров, установленных в блоке Supervisor коммутатора Catalyst. Один из них— процессор R4700 с частотой 150 МГц — используется самим блоком второго уровня Supervisor (если используется блок Supervisor коммутатора Catalyst 6000 без дочерней платы MSFC, указанный процессор является единствен- единственным). Он обозначается как процессор SP-блока (SP CPU). Второй процессор с часто- частотой 200 МГц, R5000, расположен в RP-блоке (в основном, используется модуль NPE- 200 из маршрутизатора серии 7200). При использовании гибридного режима процессор SP-блока запускает образ сис- системы XDI/CatOS и применяется для управления участком второго уровня в устройст- устройстве, тогда как процессор RP-блока запускает операционную систему IOS маршрутиза- маршрутизатора и используется для обеспечения служб третьего уровня. Основной особенностью собственного IOS-режима является то, что оба процессора работают с полным про- программным обеспечением операционной системы [OS. И это не какой-либо устаревший Глава 18. Коммутация третьего уровня и коммутаторы... 889
XDI/CatOS-код, переработанный для сходства с IOS — в исполняемых образах, ис- используемых обоими процессорами, применяется полнофункциональное IOS-ядро. С точки зрения физического соединения консольный порт RJ-45, расположенный на передней панели блока Supervisor коммутатора Catalyst 6000, очевидно, подключен к аппаратному обеспечению SP-процессора. Однако, во время загрузки коммутатора Catalyst 6000 управление передается процессору блока RP. Таким образом, в собст- собственном IOS-режиме блок RP функционирует в качестве основного процессора, a SP- блок — в качестве вторичного. Все действия пользователя осуществляются непосред- непосредственно через процессор RP-блока. По мере ввода команд, которые влияют на уча- участок второго уровня (SP), они передаются через внутреннюю шину от RP-блока к блоку SP. Кроме того, следует заметить, что по соображениям производительности оба про- процессора являются полнофункциональными (процессор SP-блока не простаивает в полностью неактивном состоянии). Ресурсы процессора SP-блока направлены на управление уровнем порта (port-level management) (например, включение и отключе- отключение канала), а также на обработку протоколов второго уровня, таких, как распреде- распределенное связующее дерево, VTP и DTP. С помощью процессора RP-блока осуществля- осуществляется решение таких задач, как маршрутизация первого пакета в каждом IP- или IPX- потоке (или всех пакетов для протокола, который не поддерживается модулем NFFC/PFC), обработка протоколов маршрутизации, а также протоколов CDP и PAgP. Загрузка каждого процессора начинается с одного из двух различных бинарных файлов образов программного обеспечения. Сначала процессор SP-блока берет на се- себя управление и загружает образ из флэш-памяти. Затем управление передается образу процессора RP-блока (наряду с передачей управления консольным портом) так, чтобы последний загрузил другой образ и принял на себя управление в качестве основного процессора для всего устройства. Обзор конфигурации собственного IOS-режима платы MSFC Собственный IOS-режим выделяется благодаря уникальному и унифицированному пользовательскому интерфейсу. Перед тем, как углубиться в специфику команд, в данном разделе приводится обзор нескольких понятий, которые лежат в основе про- процесса конфигурации IOS-режима. Энергонезависимая память Как и все устройства корпорации Cisco, плата MSFC должна обладать хранилищем для размещения конфигурационной информации после отключения питания. Почти во всех устройствах корпорации Cisco с этой целью применяется энергонезависимая память (Nonvolatile RAM — NVRAM). Однако, собственный IOS-режим платы MSFC несколько уникален, т.к. поддерживает два набора NVRAM-конфигурации: • базу данных виртуальных локальных сетей; • конфигурацию локального коммутатора. Несмотря на то, что вначале существование двух различных типов NVRAM- информации может показаться странным, смысл подобной организации становится ясен при ближайшем рассмотрении. Следует учитывать, что в каждом NVRAM- репозитории хранится определенный тип информации. В базе данных сетей VLAN 890 Часть VI. Технология коммутаторов Catalyst 6000
содержится информация, являющаяся глобальной для всей сети. По мере того, как информация добавляется в данный список, се необходимо немедленно (или с не- небольшой задержкой) сохранить и предоставить для доступа в пределах всего VTP- домена. В данном случае предполагается, что конфигурируемый коммутатор является VTP-сервером; более подробная информация приведена в главе 12, "Протокол маги- магистральных каналов виртуальных локальных сетей". Кроме того, как только будут при- приняты VTP-уведомления от других устройств, их необходимо немедленно сохранить (напомним, что по определению VTP-серверу требуется, чтобы все сети VLAN сохра- сохранялись в NVRAM-памяти). С другой стороны, конфигурация коммутатора имеет ло- локальное назначение. Более того, данные обычные установки IOS-конфиурации пред- предполагается сохранять, только когда пользователь вводит команду copy run start или write memory. Наконец, одним из преимуществ операционной системы IOS яв- является то, что существует возможность сделать все необходимые изменения, а затем вернуться к первоначальному состоянию, просто перезагрузив блок (предполагается, что новая конфигурация не была сохранена). Следовательно, поддержка двух полностью различных хранилищ данных более предпочтительна, чем чередование двух наборов данных. База данных сетей VLAN со- содержит глобально значимую информацию, которая сохраняется без задержек (как это было бы при использовании интерфейса XDI/CatOS). Конфигурация коммутатора со- сохраняет локально значимую информацию, только когда пользователь вводит какую- либо форму команды сохранения. Режимы конфигурации Разделение энергонезависимой памяти (NVRAM) соответствует двум различным конфигурационным режимам: • конфигурационному режиму базы данных сетей VLAN (VLAN database configu- configuration mode); • обычному конфигурационному режиму операционной системы IOS (normal IOS configuration mode). Конфигурационный режим базы данных сетей VLAN Конфигурационный режим базы данных сетей VLAN применяется для управления VTP-информацией. Он может использоваться не только для установки VTP-режима (серверного, клиентского или прозрачного), но и предоставляет механизм для добав- добавления, модификации и удаления виртуальных локальных сетей. В примере 18.9 при- приведены несколько основных команд базы данных сетей VLAN, полученных из инте- интерактивной справочной системы (online help system). Пример 18.9. Использование конфигурационного режима базы данных !■ Г-. :-i-jy-r, 'сетей VLAN '..;, -■'- , '..;■:■.... д--^>;.' /jjfllsli -, :!|||| *t NativeModei vlan database NativeMode(vlan)» ? VLAN database editing buffer manipulation commands: abort Exit mode without applying the changes apply Apply current changes and bump revision number exit Apply changes, bump revision number, and exit mode no Negate a command or set its defaults Глава 18. Коммутация третьего уровня и коммутаторы... 891
reset Abandon current changes and reread current database show Show database information vlan Add, delete, or modify values assoicated with a single VLAN vtp Perform VTP adminsitrative functions. NativeMode(vlan)t exit APPLY completed. Exiting.... NativeModet Для того, чтобы использовать конфигурационный режим базы данных сетей VLAN, необходимо ввести команду vlan database из командной строки привилеги- привилегированного режима (EXEC prompt), в результате чего пользователь переводится в ре- режим базы данных сетей VLAN, а также модифицируется приглашение системы, кото- которое указывает на активизацию необходимого режима (строка приглашения в режиме базы данных VLAN содержит имя RP-блока и слово vlan в круглых скобках). Как видно из интерактивной справки, приведенной в примере 18.9, для управления VTP- конфигурацией какого-либо устройства можно применить команду vtp. Например, с помощью команд set vtp client и set vtp transparent режим коммутатора Catalyst изменяется на клиентский или прозрачный соответственно. Устройство мож- можно вернуть в стандартный серверный режим с помощью команды set vtp server. С помощью команды set vtp domain Skinner имя VTP-домена изменяется на Skinner. Существуют другие команды для управления VTP-функциями: паролями, отсекания- отсеканиями и поддержкой второй версии. Команда vlan, приведенная в примере 18.9, может применяться для добавления, удаления или модификации сетей VLAN. Например, с помощью команды vlan 2 name Marketing создается сеть VLAN 2. Последующий ввод команды vlan 2 name Finance изменяет имя сети VLAN с Marketing на Finance, а команда no vlan 2 полностью удаляет виртуальную сеть VLAN 2. При создании или модификации вирту- виртуальных локальных сетей с целью управления такими свойствами, как параметр MTU и тип передающей среды, могут применяться дополнительные параметры. В приме- примере 18.10 приведена отображаемая на экране информация интерактивной справки. | Пример 18.10. Список доступных VUVN-парам^тров, полученных при ;:пШ- ! '.. к -i- % :^,*лощ/л интерактивной справки  ¥tl| NativeMode(vlan)t vlan 3 ? are Maximum number of All Route Explorer hops for this VLAN backupcrf Backup CRF mode of the VLAN bridge Bridging characteristics of the VLAN media Media type of the VLAN mtu VLAN Maximum Transmission Unit name Ascii name of the VLAN parent ID number of the Parent VLAN of FDDI or Token Ring type VLANs ring Ring number of FDDI or Token Ring type VLANs said IEEE 802.10 SAID state Operational state of the VLAN ste Maximum number of Spanning Tree Explorer hops for this VLAN 892 Часть VI. Технология коммутаторов Catalyst 6000
stp Spanning tree characteristics of the VLAN tb-vlanl ID number of the first translational VLAN for this VLAN (or zero if none) tb-vlan2 ID number of the second translational VLAN for this VLAN (or zero if none) <cr> NativeMode(vlan)t vlan 3 После внесения изменений их можно активизировать с помощью команды apply, вслед за чем изменения сохраняются в области энергонезависимой памяти, соответст- соответствующей базе данных сетей VLAN. Таким образом, VLAN-изменения, внесенные в собственном IOS-режиме, не активизируются так же быстро, как при использовании режима XDI/CatOS-интерфейса. Команду exit можно использовать для возвращения в привилегированный режим (EXEC mode) с предварительным внесением изменений в базу данных. Обычный конфигурационный режим операционной системы IOS В противоположность режиму базы данных сетей VLAN обычный конфигурацион- конфигурационный IOS-режим должен быть знаком всем пользователям традиционных маршрутиза- маршрутизаторов Cisco. Для входа в данный режим используется команда configure terminal, после чего для конфигурирования маршрутизационных характеристик устройства можно использовать обычные подрежимы (submodes) interface interface-type interface-number, router protocol и line line-type number. Для выхода из обычного конфигурационного IOS-режима необходимо ввести команду exit, каждый ввод которой переводит на уровень выше к привилегированному режиму. Для быст- быстрого перехода из какого-либо подрежима непосредственно в привилегированный ре- режим используется команда end или комбинация клавиш <ctrl>-<z>. В обычном конфигурационном IOS-режиме команды активизируются в работающей конфигура- конфигурации сразу после нажатия клавиши Enter. Однако, в NVRAM-памяти команды сохра- сохраняются только после ввода команды copy run start или write mem. Типы интерфейсов собственного IOS-режима Наиболее примечательной особенностью собственного IOS-режима является спо- способ, с помощью которого поддерживаются различные типы портов, существующие в типичной территориальной сети. Вместо использования методики IRB (т.е. объедине- объединения маршрутизации и функций моста) для совмещения функций второго и третьего уровней в одном устройстве (как уже упоминалось, функция IRB может быть запу- запутанной и трудной в конфигурировании и управлении) в собственном IOS-режиме применяется уникальный, мощный, гибкий и интуитивно понятный подход. При использовании собственного IOS-режима существуют всего два основных ти- типа интерфейсов: • маршрутизируемые интерфейсы (routed interfaces); • коммутируемые интерфейсы (switched interfaces) (или просто коммутирующие порты устройства — switchport interfaces). Указанные основные типы могут подразделяться на следующие четыре типа ин- интерфейсов: Глава 18. Коммутация третьего уровня и коммутаторы... 893
• маршрутизируемые физические интерфейсы (routed physical interfaces); • маршрутизируемые SVI-интерфейсы (routed SVI interfaces); • обычные порты коммутатора (access switchport interfaces); • магистральные порты коммутатора (trunk switchport interfaces). Каждый из указанных типов портов рассматривается в последующих разделах. Маршрутизируемые физические интерфейсы Как и во всех IOS-устройствах корпорации Cisco, интерфейсы стандартно являют- являются маршрутизируемыми. В данной конфигурации каждый порт получает свой IP- или IPX-адрес. Следует заметить, что каждый из них должен попадать в уникальную IP- подсеть или IPX-сеть. Например, при попытке назначить адрес 10.0.1.2 интерфейсу 5/2, когда интерфейсу 5/1 уже назначен адрес 10.0.1.1, на консольное устройство бу- будет выведено сообщение: 10.0.1.0 overlaps with FastEthernet5/l (сеть 10.0.1.0 перекрывается сетью интерфейса FastEthernet5/l). Совет В собственном IOS-режиме и режиме пользовательского интерфейса XDI/CatOS термины интерфейс и порт используются по-разному. В собственном IOS-режиме внешние соединения третьего уровня называются интерфейсами, а соединения второго уровня обозначаются как порты (фактически порты коммутатора). При ис- использовании интерфейса XDI/CatOS понятие интерфейс используется только для обозначения административных элементов, таких, как SCO, SL0 и МЕ1. Интерфейсы SCO и SL0 являются логическими портами, их невозможно ни увидеть, ни потрогать. Интерфейс МЕ1 является физическим портом, но он не может использоваться для пользовательского трафика. При использовании XDI/CatOS-интерфейса понятие порт применяется для обозначения всех внешних точек подключения (т.е. реально существующие порты). В данной главе понятия порт и интерфейс являются взаи- взаимозаменяемыми. Кроме того, необходимо отметить, что программное обеспечение собственного IOS- режима нумерует порты, начиная не с нуля, а с единицы (иначе говоря, первый ин- интерфейс будет иметь номер 1/1, а не 0/0). И хотя такой подход отличается от исполь- используемого в других IOS-устройствах, он согласуется с остальной частью платформы Catalyst. Аналогично появится следующее сообщение об ошибке, если попытаться назна- назначить обоим интерфейсам номер одной IPX-сети: %IPX network 0A000100 already exists on interface FastEthernet5/l (%1РХ-сеть ОАОООЮО уже существует на интерфейсе FastEthernet5/l). Внимание! Необходимо отметить, что такое поведение характерно для всей линии маршрутиза- маршрутизаторов Cisco, а не является странной функцией, специально выдуманной для собст- собственного IOS-режима коммутатора Catalyst 6000. 894 Часть VI. Технология коммутаторов Catalyst 6000
Порты коммутатора Для размещения нескольких интерфейсов в одной IP-подсети или IPX-сети, что является общей практикой фактически во всех территориальных сетях, необходимо преобразовать порт из маршрутизируемого интерфейса в коммутируемый. Для того, чтобы это сделать, следует на соответствующем интерфейсе просто ввести команду switchport. Именно такая операция осуществляется для интерфейсов 5/1 и 5/2 в примере 18.11. Пример 18.11. Размещение двух интерфейсов в одной сети VLAN (стан- Г./г^^Щ- •-.f дартной сетью является VLAN 1) t\ - '-%%ел* '- -i'1" NativeModet configure terminal NativeMode(Config)t interface FastEthernet5/l NativeMode(Config-if)t switchport NativeMode(Config-if)t interface FastEthernet5/2 NativeMode(Config-if)i switchport NativeMode(Config-if)i end NativeModet Порты коммутатора автоматически настраиваются на принадлежность сети VLAN 1 (хотя данное назначение не осуществляется до тех пор, пока не будет введена команда switchport). Для изменения такой установки можно использовать дополни- дополнительные команды switchport. Прежде всего, необходимо определить, как будет ис- использоваться данный интерфейс — в качестве порта доступа (одна сеть VLAN) или магистрального порта (многочисленные сети VLAN, в которых используется протокол ISL или 802.1Q). В данном разделе рассматриваются обычные порты (магистральные порты будут рассмотрены ниже). Для того, чтобы создать обычный порт доступа к ло- локальной сети, прежде всего на данном интерфейсе необходимо ввести команду switchport mode access. Затем с целью назначения сети VLAN вводится команда switchport access vlan vlan-identifier. В примере 18.12 приводятся команды для назначения интерфейсов 5/1 и 5/2 сети VLAN 2. I Пример 18.12. Назначение порта сети VLAN 2 < NativeModet configure terminal NativeMode(Config)t interface FastEthernet5/l NativeMode(Config-if)i switchport mode access NativeMode(Config-if)t switchport access vlan 2 NativeMode(Config-if)t interface FastEthernet5/2 NativeMode(Config-if)t switchport mode access NativeMode(Config-if)t switchport access vlan 2 NativeMode(Config-if)t end NativeModet Однако, попытка назначения IP-адреса интерфейсам 5/1 и 5/2 потерпит неудачу, а блок RP выдаст следующее сообщение: % IP addresses may not be configured on L2 links (% IP-адрес не может быть указан для канала второго уровня). Глава 18. Коммутация третьего уровня и коммутаторы... 895
Смысл очевиден — данные интерфейсы были преобразованы в порты второго уровня, которые не получают IP- и IPX-адреса третьего уровня непосредственно. Данное ограничение характерно и для других портов второго уровня. Например, в XDI/CatOS-конфигурации коммутатора Catalyst назначить IP-адреса портам невоз- невозможно. Кроме того, при использовании технологии объединения с помощью мостов на IOS-маршрутизаторах Cisco не существует возможности назначить адреса третьего уровня тому же интерфейсу, который содержит мостовую группу (bridge-group). Про- Программное обеспечение позволяет осуществить подобное назначение, но интерфейс в настоящее время является маршрутизирующим для данного протокола, а не обрабаты- обрабатывает трафик в режиме моста. Более подробная информация по мостовым группам приведена в главе 11, "Коммутация третьего уровня". Маршрутизируемые SVI-интерфейсы Для назначения IP-адреса интерфейсам 5/1 и 5/2 необходимо выделить интерфейс, который способен функционировать в качестве маршрутизируемого интерфейса от имени обоих портов коммутатора. В данной ситуации применимы виртуальные ин- интерфейсы коммутатора (Switch Virtual Interfaces — SVI). SVI-интерфейсы используют такие имена, как интерфейс VLAN 1 и VLAN 2. Данные интерфейсы получают ин- информацию третьего уровня для каждой сети VLAN. По мере добавления коммути- коммутирующих портов и удаления из различных сетей VLAN они автоматически принимают участие в работе среды протоколов третьего уровня, созданной соответствующим SVI- интерфейсом. Внимание! Отметим, что речь идет о том же модуле RSM. Фактически модуль — это то автомати- автоматическое связующее звено между SVI VLAN-интерфейсами третьего уровня и портами коммутаторов второго уровня, которое делает собственный режим IOS привлекатель- привлекательным средством для конфигурирования территориальных сетей. Для того, чтобы создать SVI-интерфейс, необходимо просто ввести команду interface VLAN vlan-identifier. В результате система перейдет в интерфейсный режим для данной сети VLAN (строка приглашения изменится на RP_Name (Config- if)#), в котором можно настроить соответствующие параметры третьего уровня. На- Например, с помощью команд, приведенных в примере 18.13, создаются сети VLAN 1 и VLAN 2, а также назначаются им IP- и IPX-адреса. Пример 18.13. Создание двух SVI-интврфейсбв NativeModet config t NativeMode(Config)t interface vlan 1 NativeMode(Config-if)t ip address 10.0.1.1 255.255.255.0 NativeMode(Config-if)t ipx network 0A000100 NativeMode(Config-if)t interface vlan 2 NativeMode(Config-if)t ip address 10.0.2.1 255.255.255.0 NativeMode(Config-if)t ipx network 0A000200 NativeMode(Config-if)t end NativeModet 896 Часть VI. Технология коммутаторов Catalyst 6000
Внимание! Несмотря на то, что все порты по умолчанию назначаются сети VLAN 1, изначально SVI-интерфейс для данной сети не существует, и для того, чтобы назначить сети VLAN 1 атрибуты третьего уровня, необходимо создать такой интерфейс. Магистральные порты Наконец, для соединения многочисленных сетей VLAN, использующих ISL или 8О2.1B-инкапсуляцию, можно создать магистральные интерфейсы. Для включения магистрального режима порта следует просто ввести команду switchport trunk encapsulation [dotlq | isl | negotiate]. Для настройки режима работы маги- магистрального канала можно применить несколько других параметров команды switchport trunk. Параметр native можно использовать для установки основной сети VLAN для протокола 802.1Q (данная сеть отправляется немаркированной). Па- Параметр allowed можно использовать для управления сетями VLAN, которые переда- передаются через данный интерфейс. Аналогично параметр pruning может применяться для управления VTP-отсеканием на канале. С помощью команд, приведенных в примере 18.14, порт 5/10 назначается магист- магистральным ISL-портом для сетей VLAN 1-10. Пример 18.14. Создание магистрального порта { <■ ■ :i NativeModet configure terminal NativeMode(Config)t interface FastEthernet5/10 NativeMode(Config-if)t switchport NativeMode(Config-if)t switchport trunk encapsulation isl NativeMode(Config-if)# switchport trunk allowed vlan remove 11-1000 NativeMode(Config-if)t end NativeModet Таким образом, в общей сложности в собственном IOS-режиме платы MSFC ис- используются четыре типа портов (интерфейсов), краткие характеристики которых при- приведены в табл. 18.2. Таблица 18.2. Типы портов/интерфейсов собственного IOS-режима платы* - ■:■■ ■ ' msfc ■ ■ ■ ■■■ ■■• -м-,,- ■■■■#■ -Ф-. -■■Ш •'! Тип порта (интерфейса) Применение Примерные конфигурационные команды Маршрутизируемый физический интер- интерфейс (Routed Physi- Physical Interface) Маршрутизируемый SVI-интерфейс (Routed SVI Inter- Interface) Используется для настройки интер- интерфейсов, функционирующих в качестве полностью маршрутизируемых портов. Концептуально данные интерфейсы подобны портам традиционных мар- маршрутизаторов Cisco Функционирует в качестве единствен- единственного маршрутизируемого интерфейса для набора всех портов, назначенных данной сети VLAN interface GigabitEthernetl/1 ip address 10.0.1.1 255.255.255.0 ipx network feedface interface Vlanl ip address 10.0.1.1 255.255.255.0 ipx network FEEDFACE Глава 18. Коммутация третьего уровня и коммутаторы... 897
Окончание табл. 18.2 Тип порта (интерфейса) Применение Примерные конфигурационные команды Обычный коммута- коммутационный порт (Access Switchport Interface) Магистральный порт (Trunk Switch- port Interface) Используется для конфигурирования порта второго уровня, принадлежаще- принадлежащего одной сети VLAN Используется для конфигурирования порта второго уровня, принадлежаще- принадлежащего нескольким сетям VLAN interface GigabitEthernetl/1 switchport switchport access vlan 1 switchport mode access interface GigabitEthernetl/1 switchport switchport trunk Конфигурирование собственного IOS-режима Продолжая тему предыдущего раздела, представим концептуальную диаграмму собственного IOS-режима коммутатора Catalyst 6000 (см. рис. 18.3). Согласно рис. 18.3, Gigabit Ethernet-поры блока Supervisor A/1 и 1/2) сконфигури- сконфигурированы как полностью маршрутизируемые интерфейсы. В гнездо Slot 5 установлена плата канала Fast Ethernet. Порты 5/1-5/3 сконфигурированы как порты второго уровня в сети VLAN 2. Порты 5/4-5/6 сконфигурированы как коммутационные порты в сети VLAN 3. Порт 5/10 сконфигурирован в качестве магистрального порта для про- протокола 802.1Q. На схеме также приведены примеры конфигурационных команд. Как видно на рис. 18.3, собственный IOS-режим сконцентрирован вокруг идеи виртуаль- виртуального маршрутизатора. Физически маршрутизируемые порты, такие, как Gigabit Ethernet 1/1 и 1/2, непосредственно подключены к виртуальному маршрутиза- маршрутизатору. В случае портов коммутатора они подключаются к маршрутизатору через SVI- интерфейс. SVI-интерфейс функционирует как логический мост/коммутатор для тра- трафика внутри данной сети VLAN. С целью подключения к виртуальному маршрутиза- маршрутизатору также назначены характеристики третьего уровня данной сети. В магистральном канале используются преимущества ISL- и 802.1О,-инкапсуляции для одновременного подключения к многочисленным сетям VLAN и SVI-интерфейсам. В следующих разделах поэтапно рассматривается полный процесс конфигурирова- конфигурирования собственного IOS-режима платы MSFC, который подобен настройке модулей MSM и MSFC, приведенной в примерах 18.2 и 18.4. Ниже приводится перечень этапов конфигурирования собственного IOS-режима платы MSFC. Этап 1. Назначение имени маршрутизатору. Этап 2. Конфигурирование протокола VTP. Этап 3. Создание виртуальных локальных сетей. Этап 4. Конфигурирование внешних Gigabit Ethernet-каналов в качестве маршру- маршрутизируемых интерфейсов. Этап 5. Конфигурирование портов коммутации сети VLAN 2. Этап 6. Конфигурирование портов коммутации сети VLAN 3. 898 Часть VI. Технология коммутаторов Catalyst 6000
Этап 7. Конфигурирование магистрального порта. Этап 8. Конфигурирование SVI-интерфейса. Этап 9. Конфигурирование маршрутизации. interface gigabitethernet 1/1 ip address 10.0.1.1 255.255.255.0 interface vlan 2 ip address 10.0.2.1 255.255.255.0 interface fastethernet 5/1 switchport switchport mode access switchport access vlan 2 interface fastethernet 5/10 switchport switchport trunk Catalyst 6000 CerbVU\N2 CeTbVU\N3 Рис. 18.3. Концептуальная диаграмма собственного IOS-резкима платы MSFC Глава 18. Коммутация третьего уровня и коммутаторы... 899
Результирующая конфигурация иллюстрируется на рис. 18.4. Catalyst 6000 802.1Q Магистральный канал Рис. 18.4. Концептуальная диаграмма для конфигурационного примера Этап 1: назначение имени маршрутизатора С помощью команд, приведенных в примере 18.15, назначается имя блоку Supervisor коммутатора Catalyst. Пример 18.15. Назначение имени устройству Catalyst Router> en Routert configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# hostname HativeMode NativeMode(config)# end NativeModet 900 Часть VI. Технология коммутаторов Catalyst 6000
Этап 2: конфигурирование протокола VTP Настроим протокол VTP для перевода коммутатора Catalyst в прозрачный VTP- режим и использования VTP-домена Skinner, как показано в примере 18.16. Пример 18.16. Конфигурирование протокола VTP NativeModet NativeModet vlan database NativeMode(vlan)t vtp transparent Setting device to VTP TRANSPARENT mode. NativeMode(vlan)t vtp domain Skinner Changing VTP domain name from Null to Skinner Этап 3: создание виртуальных локальных сетей В ходе данного этапа в базе данных сетей VLAN создаются сети VLAN 2 и VLAN 3 (сеть VLAN 1 является стандартной и существует всегда). Команда exit используется для применения внесенных VLAN- и VTP-изменений и возвращения в ЕХЕС-режим (см. пример 18.17). | Пример 18.17. Создание двух новых виртуальных локальных сетей j NativeMode(vlan)t vlan 2 name Marketing VLAN 2 added: Name: Marketing NativeMode(vlan)t NativeMode(vlan)t vlan 3 name Engineering VLAN 3 added: Name: Engineering NativeMode(vlan)t exit APPLY completed. Exiting NativeModet Совет Для активизирования сетей VLAN и VTP-изменений без выхода из режима vlan database можно использовать команду apply. Этап 4: конфигурирование внешних Gigabit Ethernet-каналов в качестве маршрутизируемых интерфейсов Внешние Gigabit Ethernet-каналы 1/1 и 1/2 используются для подключения к ос- остальной части сети. С целью максимальной расширяемости и иерархичности структу- структуры в рамках третьего уровня указанные порты настраиваются на функционирование Глава 18. Коммутация третьего уровня и коммутаторы... 901
в качестве маршрутизируемых интерфейсов. Для решения данной задачи следует ис- использовать команды, приведенные в примере 18.18. Пример 18.18. Конфигурирование внешних портов в качестве маршрутй- j f ,-f Ж J* .rs..-'■■ ■ зируёмых интерфейсов . .■:.;'Щ0р;:^: >: ',•;■:.. {00^/\^i., /.;#/""'■'.J NativeModet configure terminal NativeMode)config)# interface gigabitEthernet 1/1 NativeMode(config-if)# ip address 10.100.100.1 255.255.255.0 NativeMode(config-if)# no shutdown NativeMode(config-if)I NativeMode (conf ig-if )♦ interface gigabitethernet 1/2 NativeMode(config-if)# ip address 10.200.200.1 255.255.255.0 NativeMode(config-if)# no shutdown NativeMode(config-if)# Этап 5: конфигурирование портов сети VLAN 2 Порты 5/1-5/3 используются как порты доступа для серверных соединений в сети VLAN 2. Данный этап иллюстрируется примером 18.19. Пример 18.19. Конфигурирование портов доступа в сети VLAN 2 | ^ j NativeMode(config)# interface fastethernet 5/1 NativeMode(config-if)t switchport NativeMode (conf ig-if )t switchport mode access NativeMode(config-if)# switchport access vlan 2 NativeMode (conf ig-if )# interface fastethernet 5/2 NativeMode(config-if)t switchport NativeMode(config-if)I switchport mode access NativeMode(config-if)# switchport access vlan 2 NativeMode(config-if)# interface fastethernet 5/3 NativeMode(config-if)t switchport NativeMode (conf ig-if )# switchport mode access NativeMode(config-if)# switchport access vlan 2 Совет При создании подобной конфигурации на множестве различных портов рекомендуется использовать команду interface range, которая описана в настоящей главе в раз- разделе "Полезные команды собственного IOS-режима". Этап 6: конфигурирование портов сети VLAN 3 Порты 5/4 и 5/5 используются в качестве портов коммутации для серверов в сети VLAN 3. Чтобы обеспечить такую конфигурацию, можно использовать команды, при- приведенные в примере 18.20. 902 Часть VI. Технология коммутаторов Catalyst 6000
! Пример 18.20. Конфигурирование портов доступа в сети VLAN3 ! щ.;х-'\ NativeMode(config-if )# interface fastethernet 5/4 NativeMode(config-if)f switchport NativeMode(config-if)t switchport mode access NativeMode(config-if )t switchport access vlan 3 NativeMode(config-if )f interface fastethernet 5/5 NativeMode(config-if)f switchport NativeMode(config-if)| switchport mode access NativeMode(config-if)t switchport access vlan 3 Этап 7: конфигурирование магистрального порта Порт 5/6 используется для подключения всех трех сетей VLAN к устройству Cat-B, коммутатору второго уровня Catalyst. В канале используется 802. lQ-инкапсуляция с сетью VLAN l, функционирующей в качестве основной сети. Для осуществления данной конфигурации могут использоваться команды, приведенные в примере 18.21. { Пример 18.21. Конфигурирование магистрального порта NativeMode(config-if )| interface fastethernet 5/6 NativeMode(config-if)t switchport NativeMode(config-if )f switchport mode trunk NativeMode(config-if )| switchport trunk encapsulation dotlq NativeMode(config-if)| switchport trunk native vlan 1 Этап 8: конфигурирование SVI-интерфейсов Чтобы предоставить службы маршрутизации всем трем сетям VLAN, плате MSFC требуются три SVI-интерфейса. Как и в примерах 18.3 и 18.6, в данной конфигурации в сетях VLAN 1 и VLAN 2 используется протокол HSRP. Всем трем интерфейсам на- назначаются номера IPX-сетей. Данный этап иллюстрируется примером 18.22. Пример 18.22. Конфигурирование NativeMode(config)t interface vlan 1 NativeMode(config-if)f ip address 10.0.1.2 255.255.255.0 NativeMode(config-if)t ipx network 0A000100 NativeMode(config-if)| standby 1 timers 1 3 NativeMode(config-if)| standby 1 priority 200 preempt NativeMode(config-if)| standby 1 ip 10.0.1.1 NativeMode(config-if)| interface vlan 2 NativeMode(config-if)» ip address 10.0.2.2 255.255.255.0 NativeMode(config-if)t ipx network 0A000200 NativeMode(config-if)# standby 2 timers 1 3 NativeMode(config-if )f standby 2 priority 100 preempt NativeMode(config-if)t standby 2 ip 10.0.2.1 NativeMode(config-if)| interface vlan 3 NativeMode(config-if)» ip address 10.0.3.1 255.255.255.0 NativeMode(config-if)t ipx network 0A000300 Глава 18. Коммутация третьего уровня и коммутаторы... 903
Этап 9: конфигурирование маршрутизации Протокол EIGRP на плате MSFC с помощью команд, приведенных в приме- примере 18.23, можно настроить в качестве протокола IP-маршрутизации (IPX стандартно использует протокол IPX RIP). ! Пример 18.23. Конфигурирование протокола EIGRP в качестве протокола < | .- ,';■■'.. • ""маршрутизации :;.'v-'v . ./•■■■* ' :jf.':'": ' : ;,^;;.^■/\ NativeMode(config)t router eigrp 1 NativeMode(config-router)i passive-interface vlan 1 NativeMode (config-router) t passive-interface vlan 2 NativeMode(conf ig-router)I end NativeModet Полезные команды собственного IOS-режима Одним из преимуществ собственного IOS-режима является то, что в нем реализо- реализовано множество функций второго уровня, предоставляемых XDI/CatOS-платформами, такими, как коммутатор Catalyst 5000. Интерфейс командной строки (command-line interface — CLI) операционной системы IOS улучшен и включает в себя много ин- информации, ранее доступной только при использовании XDI/CatOS-интерфейса. В данном разделе вкратце рассматриваются некоторые из наиболее важных усовершен- усовершенствований. Возможно, важнейшее из них охватывает команду interface range. Без нее в коммутаторе, где заняты все интерфейсы, понадобилось бы индивидуально настраи- настраивать сотни портов. Однако данное усовершенствование позволяет одновременно на- настраивать множество интерфейсов (см. пример 18.24). : Пример 18.24. Одновременное конфигурирование множества интерфейсов J NativeMode(config)# interface range 5/1-5, 6/1-24, 7/1-48 NativeMode(config-if)# switchport mode access NativeMode(config-if) I switchport access vlan 2 NativeMode(config-if)t end NativeModet Сети VLAN 2 одновременно назначаются 77 портов, что позволяет сэкономить массу времени! Коротко говоря, команды из примера 18.24 эквивалентны команде set vlan 2 5/1-5,6/1-24,7/1-48 на коммутаторах Catalyst с XDI/CatOS-интер- фейсом. Необходимо отмстить, что результат команды interface range непосредст- непосредственно в конфигурации не появляется. Вместо этого результат команд примера 18.24 появляется в выводе команды show running-config на каждом из 77 отдельных ин- интерфейсов, указанных в ней. 904 Часть VI. Технология коммутаторов Catalyst 6000
Совет При конфигурировании устройств, работающих в собственном IOS-режиме, не следует забывать о команде interface range. Пользователи, для которых привычны команды XDI/CatOS-интерфейса такие, как show port и show trunk, найдут знакомую основу в усовершенствованиях синтак- синтаксиса команды show interface. Например, XDI/CatOS-команда show trunk преоб- преобразована в команду show interface trunk, как показано в примере 18.25. Пример 18.25. Команда show interface trunk ^ if. NativeModet show interfaces trunk Port Fa5/6 Port Fa5/6 Port Fa5/6 Mode on Vlans 1-1005 Vlans 1-1005 Encapsulation 802.Iq allowed on trunk allowed and active in Status trunking management Native vlan 1 domain Port Vlans in Spanning Tree forwarding state and not pruned Fa5/6 none NativeModet Многие XDI/CatOS-команды show port также были перенесены в рассматривае- рассматриваемые технологии. В частности, в примере 18.26 с помощью команды show interfaces counters демонстрируется информация по счетчикам. Пример 18.26. Команда show interfaces counters NativeModet show interfaces counters module 1 ■ v "'Л: » ■;'■■■■ ' Port InOctets InUcastPkts InMcastPkts InBcastPkts Gil/1 1093847 284764 5739 8576 Gil/2 0 0 0 0 Port Gil/1 Gil/2 NativeModet OutOctets OutUcastPkts OutMcastPkts OutBcastPkts 876643 198578 4657 7765 0 0 0 0 Отметим, что в примере 18.26 с целью выделения информации, касающейся мо- модуля 1, используется аргумент module module-number. Данная возможность при- присутствует в большинстве новых команд show interface, ориентированных на коммутацию. Глава 18. Коммутация третьего уровня и коммутаторы... 905
Совет Также рекомендуется использовать мощную функцию Output Modifier (модификатор отображаемой информации), представленную в операционной системе IOS версии 12.0. Необходимо просто прервать командную строку show с помощью символа кон- конвейеризации (pipe symbol), <|>, и указать шаблон для проверки (поддерживаются ре- регулярные выражения!). Существуют возможности для включения и исключения строк (например, возможность отображать весь текст, найденный после первого совпаде- совпадения). Для поиска текста также можно применять символ прямой косой черты (</>). В примере 18.27 показана информация, полученная с помощью параметра errors команды show interfaces counters. ! Пример 18.27. Команда show interfaces counters errors < NativeModet show interfaces counters errors module 1 Port Gil/1 Gil/2 Port Gil/1 Gil/2 Align-Err 0 0 FCS-Err Single-Col Multi-Col 0 0 NativeModet 0 0 0 0 Xmit-Err 0 0 Rev-Err UnderSize Late-Col Excess-Col 0 0 0 0 0 0 Carri-Sen 0 0 0 0 Runts 0 0 Giants 0 0 Команду show interfaces counters trunk можно применять для отображения количества фреймов, переданных и принятых на магистральных портах. В выводимую информацию также включаются сведения об ошибках инкапсуляции (такие сведения можно использовать для проверки несоответствий 15Ь/8О2.1B-инкапсуляции). В собственный IOS-режим перенесена также команда show vlan. Фактически, как видно из примера 18.28, она почти идентична XDI/CatOS-версии данной команды. j Пример 1В.28. Команда show vlan M f NativeModet show vlan VLAN Name 1 default 2 Martketing 3 Engineering 1002 fddi-default 1003 token-ring-default 1004 fddinet-default 1005 trnet-default Status active active active active active active active ■ . ■ . ■■ ■ t Ports Fa5/6 Fa5/1, Fa5/2, Fa5/3, Fa5/6 Fa5/5, Fa5/6 Fa5/6 Fa5/6 Fa5/6 Fa5/6 VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans 1 Trans2 1 enet 100001 1500 - - 0 0 906 Часть VI. Технология коммутаторов Catalyst 6000
2 enet 100002 3 enet 100003 1002 fddi 101002 1003 tr 101003 1004 fdnet 101004 1005 trnet 101005 NativeModet 1500 - 1500 - 1500 - 1500 - 1500 - 1500 - - - 0 0 - - - - - srb ieee - ibm - 0 0 0 0 0 0 0 0 0 0 0 0 Контрольные вопросы В данный раздел включены различные вопросы по теме настоящей главы. Ответив на них, читатель сможет оценить степень владения изложенным материалом. Кроме того, приведенные ниже вопросы помогут подготовиться к письменным и лаборатор- лабораторным экзаменам на получение статуса сертифицированного эксперта по объединенным сетям Cisco (CCIE). Ответы на вопросы приведены в приложении А, "Ответы на кон- контрольные вопросы". 1. В каких ситуациях было бы полезным применение программного обеспечения XDI/CatOS-интерфейса устройств Catalyst 6000/6500 без использования дочер- дочерних MSFC-плат? 2. Опишите конфигурацию коммутации третьего уровня, используемую в модуле MSM. 3. Посредством интерфейсов какого типа модуль MSM подключается к объедини- объединительной плате коммутатора Catalyst 6000? 4. Каким образом на модуле MSM можно настроить десять сетей VLAN? 5. Каковы преимущества и недостатки собственного IOS-режима платы MSFC? 6. Каким образом в собственном IOS-режиме настраиваются параметры третьего уровня портов, например, IP-адреса? 7. Коммутатор Catalyst 6000, использующий программное обеспечение собствен- собственного IOS-режима, является больше маршрутизирующим коммутатором или коммутирующим маршрутизатором? Глава 18. Коммутация третьего уровня и коммутаторы... 907
..#*■ ■
Часть VII Приложения Приложение А. Ответы на контрольные вопросы
'■*•'.
Приложение А Ответы на контрольные вопросы Ответы на контрольные вопросы главы 1 1. Чему равна скорость передачи пакетах/секунду для сети lOOBaseX? Рассчитайте ее ; значение для минимального и максимального размеров фрейма. Поскольку все значения скорости равны одной десятой от скорости Ethernet- канала на 10 Мбит/с, скорость для 100 Мбит/с Ethernet-канала в десять раз пре- превышает значение канала на 10 Мбит/с. Так, канал Fast Ethernet поддерживает передачу до 148 000 пакетов в секунду для 64-байтовых фреймов и 8 120 пакетов в секунду для фреймов размером 1518 байтов. 2. Укажите последствия использования устройств, работающих в дуплексном и полу- полудуплексном режимах. Как их необходимо использовать? Необходимо убедиться, что дуплексные устройства подключены к дуплексным концентраторам. В противном случае, указанные устройства будут вынуждены работать в полудуплексном режиме. Соединять вместе всегда следует устройства с соответствующей дуплексностью. Другая проблема связана с полосой пропускания. Дуплексные устройства обла- обладают полосой пропускания 200 Мбит/с, тогда как полудуплексные используют полосу пропускания в 100 Мбит/с. В действительности полоса пропускания для полудуплексных устройств может быть даже меньше 100 Мбит/с, если они под- подключены к совместно используемому концентратору. Следовательно, обмен данными между дуплексными и полудуплексными устройствами офаничен по- полосой пропускания полудуплексного подключения. 3. Во вступительной части раздела, посвященного технологии Fast Ethernet, обсужда- обсуждалось время загрузки типичного медицинского изображения по сети, работающей на основе устаревшей технологии Ethernet. Рассчитайте, каким будет время загрузки данного изображения по сети lOOBaseX, работающей в полудуплексном режиме. Чему оно будет равно для сети lOOBaseX, работающей в дуплексном режиме?
Размер медицинского файла равен 100 Мбайт. Если система является полудуп- полудуплексной, в ней может быть задействован совместно используемый концентратор. Предположим, станция обладает реальной совместно используемой полосой пропускания, равной 20 Мбит/с. Таким образом, время передачи равно 40 с: 100 МБ х 8 / 20 Мбит/с = 40 с. Дуплексное устройство может обеспечить полосу пропускания 100 Мбит/с в на- направлении приема. Следовательно, приблизительное время передачи равно 100 МБ х 8 / 100 Мбит/с = 8 с. Обе модели предполагают, что серверы способны генерировать трафик на такой скорости. 4. Укажите основной недостаток сети lOOBaseX, работающей в дуплексном режиме. Одним из недостатков может быть стоимость. Каждое дуплексное устройство должно быть подключено к своему выделенному порту коммутатора. Подклю- Подключить множество дуплексных устройств к одному порту невозможно. Если имеет- имеется много устройств, то требуется много портов, что соответствует увеличению стоимости. Другим недостатком может быть перегрузка серверов. По мере увеличения ко- количества устройств, работающих в дуплексном режиме, высокое значение поло- полосы пропускания нагружает серверы и может сильно превышать пропускную способность серверного соединения. 5. Можно ли подключать повторитель класса II к повторителю класса I? Почему можно или почему нельзя? Подключать повторители класса I к повторителям класса II не следует, поскольку в таком случае нарушаются правила запаздывания (latency rules) Fast Ethernet- каналов. Если имеется повторитель класса I, он может быть только один. 6. Каков минимальный размер фрейма в технологии Gigabit Ethernet, для которого не нужно использовать расширение носителя? Необходимость в байтах расширения носителя (carrier extention) определяется канальным интервалом (slotTime). В технологии Gigabit Ethernet используется канальный интервал размером 4096 бита, что соответствует 512 байтам. Следова- Следовательно, любые фреймы с размерами, равными или превышающими данное зна- значение, не нуждаются в расширении носителя, тогда как все фреймы меньше 512 байтов вынуждены его использовать. Ответы на контрольные вопросы главы 2 Для ответов на вопросы 1 и 2 следует обратиться к схеме сети, приведенной на рис. 2.15. 1. Сколько доменов коллизий и широковещательных доменов существуют в сети, по- показанной на рис. 2.15? В сети существуют 14 доменов коллизий. Каждый порт моста, маршрутизатора и коммутатора задает новый широковещательный домен. Простого способа опре- определить количество широковещательных доменов, имеющихся в сети, не сущест- 912 Часть VII. Приложения
вует из-за присутствия коммутатора. Коммутатор способен создать один или не- несколько широковещательных доменов в зависимости от того, как он настроен. Если коммутатор сконфигурирован как устройство, поддерживающее один ши- широковещательный домен, то существуют два широковещательных домена. Такое решение использовать не рекомендуется, поскольку оба порта маршрутизатора, подключенного к коммутатору, а также мост, принадлежат одному широковеща- широковещательному домену. Хорошей данную схему назвать нельзя. С другой стороны, коммутатор способен задавать множество широковещательных доменов. Рис. 2.15. Схема для ответов на вопросы 1 и 2 2. Сколько пар адресов второго и третьего уровня используются при передаче данных между рабочими станциями 1 и 2 на рис. 2.15? Станции 1 для сообщения со станцией 2 необходимы две пары адресов второго уровня. Одна пара МАС-адресов используется в верхнем сегменте, а другая — с противоположной стороны маршрутизатора. Однако, для полнофункциональ- полнофункционального обмена данными необходима всего одна пара адресов третьего уровня. Для ответа на вопрос 3 следует обратиться к рис. 2.16. Порты 1,2,3,4 принадлежат сети VLAN1 Порты 5,6,7 принадлежат сети VLAN 2 Рис. 2.16. Схема для ответа на вопрос 3 Приложение А. Ответы на контрольные вопросы 913
3. В чем заключается основная проблема сети, представленной на рис. 2.16? В данной сети заслуживают внимания две проблемы. Наиболее критичной из них является та, что два порта коммутатора Catalyst, которые принадлежат раз- различным виртуальным локальным сетям, подключены к стандартному мосту, что приводит к объединению обеих сетей в общий широковещательный домен и действует вопреки цели существования на коммутаторе Catalyst двух или более широковещательных доменов. Дополнительная проблема касается протокола распределенного связующего де- дерева. Хотя алгоритм распределенного связующего дерева впервые рассматрива- рассматривается в главах 6 и 7, здесь отметим, что в сети VLAN 1 существует петля. Она может быть создана преднамеренно для повышения гибкости системы и может контролироваться протоколом распределенного связующего дерева. Однако, ес- если петля возникла непреднамеренно, она может привести к передаче фреймов по нежелательному маршруту. 4. Сколько широковещательных доменов образуются при подключеиии многопортового повторителя (концентратора) к порту моста? Все порты традиционных концентраторов находятся в одном коллизионном и одном широковещательном доменах вне зависимости от взаимодействующего устройства, к которому они подключены. 5. Может ли обычный мост принадлежать более чем одному широковещательному до- домену? Как правило, все порты традиционного моста принадлежат одному широкове- широковещательному домену. Ответы на контрольные вопросы главы 3 1. Если поле RIF присутствует в фрейме, предназначенном для мостового перенаправле- перенаправления от отправителя, будет ли коммутатор, работающий по методу коммутационного перенаправления от отправителя, просматривать МАС-адрес фрейма? Нет, коммутатор передает фрейм мосту без просмотра МАС-адреса получателя. 2. Скольким сетям VLAN может одновременно принадлежать служба TrBRF? Функция TrBRF принадлежит только одной виртуальной локальной сети. 3. В процессе самообучения моста, работающего по методу мостового прозрачного пе- перенаправления, записи в таблицу адресов моста добавляются на основе адреса от- отправителя. Адрес отправителя никогда не может быть адресом многоадресатной рассылки. Тем не менее, просматривая таблицу адресов коммутатора Catalyst, мож- можно обнаружить такие адреса. Почему? Некоторые многоадресатные адреса идентифицируются как системные. Напри- Например, фреймы с адресом 01-00-ОС-СС-СС-СС направляются в модуль Supervisor. Также существует возможность исключить некоторые многоадресатные адреса из конфигурации интерфейса, определенного администратором, что имеет более высокий приоритет по сравнению с обычными процессами лавинной передачи. 914 Часть VII. Приложения
4. К коммутатору Catalyst подключены два маршрутизатора корпорации Cisco. На консолн одного маршрутизатора ввели команду show cdp neighbour. Вы ожидаете увидеть в списке другой маршрутизатор, поскольку протокол CDP использует для анонсов широковещательный МАС-адрес 01-00-ОС-СС-СС-СС, который передает- передается мостами с помощью лавинной передачи. Однако из соседних устройств доступен только коммутатор Catalyst. Подозревая, что другой маршрутизатор не генерирует анонсов по протоколу CDP, вы ввели команду show cdp neighbour на консолн ком- коммутатора Catalyst. В списке устройств присутствуют оба маршрутизатора. Это до- доказывает, что оба устройства генерируют анонсы. Почему первый маршрутизатор не обнаруживает второго маршрутизатора? (Подсказка: оба маршрутизатора друг друга не могут обнаружить). В CDP-уведомлениях адрес 01-00-ОС-СС-СС-СС используется в качестве адреса получателя. Коммутатор Catalyst принимает данные уведомления и уничтожает их в модуле Supervisor. Он не перенаправляет их к другим интерфейсам. Тща- Тщательное изучение CDP-списка соседних устройств маршрутизатора покажет только одно соседнее устройство — коммутатор Catalyst, поскольку только он генерирует CDP-уведомления. Ответы на контрольные вопросы главы 4 1. Что произойдет при замене активного модуля Supervisor? Если заменить активный модуль, резервный модуль (standby) становится актив- активным модулем управления Supervisor. Если конфигурационные файлы обоих мо- модулей отличаются, активный в настоящее время модуль обновляет конфигура- конфигурацию в модуле, который заменяет первичный. Аналогично, если программные образы отличаются, активный в настоящий момент модуль обновляет про- программное обеспечение резервного модуля. 2. Если запасной модуль Supervisor работает под управлением программного обеспече- обеспечения версии 4.1, то порты запасного модуля являются неактивными до тех пор, пока этот модуль сам не станет активным. Какой стратегией необходимо воспользовать- воспользоваться для того, чтобы гарантировать работу портов в режиме восстановления после сбоя активного модуля (failover)? Рассмотрим рис. АЛ. Если подключить порты внешнего канала активного моду- модуля Supervisor коммутатора Cat-A к активному модулю коммутатора Cat-B, вся система будет хорошо работать до тех пор, пока один из модулей не выйдет из строя. Активные в текущий момент внешние каналы резервного модуля комму- коммутатора Cat-A подключены к неактивным внешним каналам резервного модуля коммутатора Cat-B. Связь может быть потеряна, и повторно будет происходить конвергенция алгоритма распределенного связующего дерева. Следовательно, может возникнуть необходимость соединить модули перекрестно, как показано на рис. А.2 или А.З. Подход, проиллюстрированный на рис. А.2, допускает ак- активность только одного канала, тогда как подход, изображенный на рис. А.З, позволяет быть активными двум каналам одновременно. Альтернативное реше- решение заключается в отказе от использования портов модуля Supervisor в качестве интерфейсов внешних каналов и применении их для подключения станций. Приложение А. Ответы на контрольные вопросы 915
Коммутатор Cat-A Коммутатор Cat-B Рис. А. 1. Стратегии подключения внешних каналов для восстановления после сбоев Коммутатор Cat-A Коммутатор Cat-B Рис. А.2. Стратегия перекрестного соединения 1 Блок Supervisor О О /Блок Supervisor О О / /L у , Линейный модуль О О / Линейный модуль Q Коммутатор Cat-A Коммутатор Cat-B Рис. А.З. Стратегия перекрестного соединения 2 3. В табл. 4.4 показано, как вызвать ранее выполненную команду из буфера истории команд и отредактировать ее. Как вызвать и отредактировать приведенную ниже команду для того, чтобы переназначить указанные порты сети VLAN 3 для сети VLAN4? set vlan 3 2/1-10,3/12-21,6/1,5,7 916 Часть VII. Приложения
Просто использовать возможность интерфейса пользователя исправить цифру 3 на 4 нельзя, поскольку в таком случае изменяется не только сеть VLAN, но и список портов. Порты 3/12-21 станут портами 4/12-21. Предпочтительнее использовать команду Avlan 3Avlan 4 и более точно указать изменяемую строку. В таком слу- случае изменяются только VLAN-назначения без изменения значений портов. 4. Что произойдет, если консольный порт сконфигурирован как интерфейс slO и под- подключается к последовательному порту персонального компьютера с эмулятором терминала? Подключить персональный компьютер к консоли невозможно, поскольку ком- коммутатор Catalyst ожидает IP-соединений на основе протокола SLIP через данный интерфейс. slO-конфигурация означает, что доступ к консольному порту комму- коммутатора Catalyst осуществляется с использованием последовательной линии как IP-устройства: Если подключить персональный компьютер через последователь- последовательный порт и не использовать IP-режим, станция не предпримет попыток исполь- использования имеющегося набора IP-протоколов для создания соединения. 5. Коммутатор Catalyst поддерживает модули типа LS1010 ATM, которые устанавли- устанавливаются в последние 5 разъемов шасси. Разъем 13 коммутатора Catalyst серии 5500 зарезервирован для модуля препроцессора коммутатора ATM (ATM Switch Preprocessor — ASP) LS1010. Может ли для конфигурации модуля ASP быть ис- использована команда session? Нет. Использовать команду session нельзя. Данная команда предназначена толь- только для подключения к модулям посредством коммутационной шины коммутато- коммутаторов Catalyst, а не ATM-шины. Чтобы настроить ASP-процессор, необходимо под- подключить консоль к его консольному порту. Для конфигурирования процессора ASP и линейных модулей используются команды операционной системы IOS. 6. Для интерфейса командной строки стандартно задана максимальная длина команд- командной строки, равная 24 строкам. С помощью каких средств можно проверить макси- максимальную длину командной строки? В примере 4.6 главы 4, "Конфигурирование коммутаторов Catalyst", демонстри- демонстрируется конфигурационный файл для устройства семейства Catalyst 5000. Обрати- Обратите внимание на конфигурационную команду set length 24 default, которая устанавливает длину выводимой на экране строки (количество символов). Ответы на контрольные вопросы главы 5 1. В начале текущей главы было упомянуто, что границы широковещательного домена в коммутируемых сетях могут быть определены без наличия файлов конфигурации. Как это можно сделать? Можно применить подход прямого перебора вариантов, при котором источник трафика систематически подключается к порту коммутатора, сконфигурирован- сконфигурированного для генерации широковещательных рассылок. Затем с помощью анализатора сети проверяются все порты в системе на предмет появления широковещательных пакетов. Каждый порт, на котором наблюдается появление широковещательных Приложение А. Ответы на контрольные вопросы 917
пакетов, является членом той же сети VLAN, что и отправитель. Затем отправи- отправитель перемещается на порт, который не был зафиксирован на первом этапе, и процесс повторяется до тех пор, пока все порты не будут проверены. 2. Два коммутатора Catalyst используются для соединения станций так, как показано на рнс. 5.22. Станция А не может обмениваться информацией со станцией Б. По- Почему? В примере 5.8 приведена дополнительная информация о сети. 172.16.1.1 172.16.1.2 172.16.2.1 172.16.2.2 Рис. 5.22. Схема для ответа на вопрос 2 Cat-A >(enable) show vlan VLAN Name Status Mod/Ports, Vlans 1 default 2 vlan2 1002 fddi-default 1003 token-ring-default 1004 fddinet-default 1005 trnet-default active active active active active active 1/1-2 2/1-8 2/9-24 Cat-B> (enable) show vlan VLAN Name 1 default 2 vlan2 1002 fddi-default 1003 token-ring-default 1004 fddinet-default 1005 trnet-default Status active active active active active Mod/Ports, Vlans 1/1-2 2/9-24 2/1-8 Несмотря на то, что адреса станций А и Б принадлежат одной логической сети, станции подключены к различным виртуальным локальным сетям. Данное об- обстоятельство сильно затрудняет информационный обмен между ними. Коммута- Коммутаторы второго уровня не перенаправляют трафик между сетями VLAN, а маршру- маршрутизатор для объединения сетей в системе отсутствует. Следовательно, станции не имеют возможности обмениваться информацией друг с другом. 918 Часть VII. Приложения
3. Снова возвратимся к рнс. 5.22 и примеру 5.8: сможет ли станция В обмениваться информацией со станцией Г? Нет. Хотя станции В и Г принадлежат одной логической сети и одной вирту- виртуальной локальной сети, между коммутаторами не существует канал для передачи данных из сети VLAN 2. Обратите внимание, что на коммутаторе Cat-A один межкоммутаторный порт принадлежит сети VLAN 1, а второй — сети VLAN 2. Однако, ни один из межкоммутаторных портов коммутатора Cat-B не принад- принадлежит сети VLAN 2, что предотвращает прохождение трафика сети VLAN 2 ме- между устройствами Catalyst. 4. Существуют ли какие-либо проблемы, связанные с протоколом распределенного связующего дерева, в системе, показанной на рис. 5.22? Петли в сети, представленной на рисунке, не существуют, однако сети VLAN 1 и 2 в коммутаторе Cat-A объединены в один широковещательный домен по- посредством виртуального моста сети VLAN 1 в коммутаторе Cat-B. Обсуждение протокола распределенного связующего дерева приведено в главах 6 и 7. 5. Нарисуйте логическую топологию сети, показанной на рнс. 5.22, в том виде, в ка- каком сеть существует в данный момент, н в том виде, в каком ее вероятнее всего предполагалось реализовать. На рис, А.4 представлена логическая схема сети, приведенной на рис. 5.22. Коммутатор Cat-A CeTbVLANI 2/11 CeTbVLAN2 Коммутатор Cat-B CeTbVLANI CeTbVLAN2 Рис. А.4. Логическая схема сети, приведенной на рис. 5.22 Приложение А. Ответы на контрольные вопросы 919
6. Может ли когда-либо возникнуть такая ситуация, в которой сети VLAN необходи- необходимо соединять с помощью моста? При наличии немаршрутизируемых протоколов, таких, как LAT и NetBEUI, может потребоваться включить объединение с помощью моста сетей VLAN на маршрутизаторе. В таком случае необходимо маршрутизировать все протоколы, кроме немаршрутизируемых, а последние обрабатывать с помощью моста. Сле- Следует позаботиться о вопросах топологии распределенного связующего дерева, поскольку наряду с коммутаторами Catalyst в работе алгоритма распределенного связующего дерева принимает участие и маршрутизатор. 7. Перечислите три компоненты, которые необходимы для работы динамических сетей VLAN при использовании функции VMPS. Устройство Catalyst, в котором используется служба VMPS, содержит следующие компоненты: • VMPS-сервер; • VMPS-клиент; • TFTP-сервер с конфигурационным файлом. Ответы на контрольные вопросы главы 6 1. Расскажите о трех этапах сходимости протокола STP для активной логической то- топологии. Процесс сходимости протокола STP включает в себя следующие этапы. Этап 1. Выбор единственного корневого моста для всей обслуживаемой мостами сети. Этап 2. Выбор одного корневого порта для каждого некорневого моста. Этап 3. Выбор одного назначенного порта (designated) для каждого сегмента. 2. Сколько корневых мостов, корневых портов и назначенных портов содержатся в сети, изображенной на рис. 6.24? Предполагается, что все устройства работают нормально. Рис. 6.24. Пример сети из четырех коммутаторов и четырехсот пользователей 920 Часть VII. Приложения
Представленная на рис. 6.24 сеть содержит следующие элементы: один корневой мост, три корневых порта и 404 назначенных порта (по одному для каждого сегмента, включая 400 сегментов конечных пользователей). 3. В процессе работы алгоритма протокола STP каждый порт устройства сохраняет лучшее из сообщений BPDU, полученных через некоторый порт. По каким крите- критериям оценивается полученная информация? В мостах используется следующая последовательность принятия решений: Этап 1. Выбор наименьшего идентификатора корневого моста (Root BID). Этап 2. Выбор наименьшей стоимости маршрута к корневому мосту. Этап 3. Выбор наименьшего идентификатора моста-отправителя (Sender BID). Этап 4. Выбор наименьшего идентификатора порта (Port ID). В мосту используется данная последовательность для сравнения всех BPDU- пакетов, полученных от других мостов, а также BPDU-пакетов, которые должны быть отправлены через заданный порт. Копия наилучшего (с наименьшими ука- указанными параметрами) BPDU-пакета сохраняется. 4. В чем заключается важность сообщений TCN BPDU? Опишите процесс изменения топологии. BPDU-сообщения об изменении топологии играют важную роль, способствуя мостам быстрее заново находить МАС-адреса после изменения активной STP- топологии. Мост, обнаруживший изменение топологии, отправляет сообщение TCN BPDU через свой корневой порт. Назначенный для данного сегмента порт подтверждает сообщение при помощи флага ТСА в следующем конфигу- конфигурационном BPDU-сообщении, которое он отправляет. Данный мост также распространяет пакет TCN BPDU через свой корневой порт. Процесс про- продолжается до тех пор, пока BPDU-сообщение не достигнет корневого моста. Затем корневой мост отправляет ТС-флаг во всех конфигурационных BPDU- сообщениях, отправленных в течение двойного периода задержки передачи. Как только другие мосты получают ТС-флаг, они уменьшают период старения таблицы моста до величины задержки передачи. 5. Каким образом вычисляется значение корневой стоимости? Стоимость корневого маршрута (Root Path Cost) является совокупной стоимо- стоимостью всего пути к корневому мосту. Она рассчитывается путем прибавления стоимости маршрута к порту к значению BPDU, полученному на данном порту. 6. Предположим, что в сети установили новый мост, имеющий наименьший иденти- идентификатор BID в сети. На мост установлено новое тестируемое программное обеспе- обеспечение, которое содержит некоторую ошибку при работе с памятью, вследствие чего мост перезагружается каждые 10 мин. Какой эффект оказывает на сеть такая не- неисправность? STP является примитивным протоколом для постоянного поиска корневого моста с наименьшим значением BID. Следовательно, в данной сети новый мост выиграет право быть корневым, и вся активная топология будет сходиться на данном устройстве каждые 10 мин. При изменении состояния каналов в про- процессе конвергенции возникают временные простои длительностью 30—50 с. Когда мост выходит из строя на несколько минут позже, сеть сходится на сле- Приложение А. Ответы на контрольные вопросы ' 921
дующем наиболее привлекательном корневом мосту, что вызывает возникнове- возникновение еще одного частичного простоя сети на 30-50 с. Коротко говоря, в данной сети будут возникать частичные простои каждый раз при перезагрузке или выходе из строя нового моста. 7. Почему при использовании команды show spantree значеиие в поле Root Max Age отличается от значения поля Bridge Age? Значения, представленные в строке Root Max Age (максимальное время старе- старения таблицы моста), являются значениями таймера, объявленными в конфигу- конфигурационных BPDU-сообщениях, отправленных текущим корневым мостом. Все мосты принимают данные значения. С другой стороны, каждый мост в строке Root Max Age выводит собственные локально настроенные значения. 8. Укажите на рис. 6.25 типы портов (RP — корневой порт, DP — назначенный порт, NDP — неназначенный порт) и состояния алгоритма протокола STP (F — передача данных, В — блокировка трафика). Все каналы работают по технологии Fast Ethernet. Идентификаторы мостов указаны на рисунке. вю= 32768.00-90-92-55-55-55 MDF-Cat-2 Щ/ШШг ШШШШГ M°F-Cat-3 BID = 32768.00-90-92-22-22-22 N, /BID = 32768.00-90-92-33-33-33 Коммутатор группы серверов Cat-1 BID = 32768.00-90-92-11-11-11 Рис. 6.25. Пример сети На рис. А.5 представлено решение вопроса номер 8. Устройство Srv_Farm-Cat-1 становится корневым мостом, поскольку обладает наименьшим значением BID. Устройства MDF-Cat-2 и MDF-Cat-З выбирают корневые порты, основываясь на наименьшей стоимости корневого пути A9 меньше 38). Коммутаторам IDF-Cat-4 и IDF-Cat-5 доступны два маршрута с эк- 922 Часть VII. Приложения
Бивалентной стоимостью C8) к корневому мосту. Следовательно, чтобы опреде- определить, какой порт является корневым, они должны использовать идентификатор моста-отправителя как наиболее подходящее средство решения проблемы. По- Поскольку идентификатор моста-отправителя у коммутатора MDF-Cat-2 меньше, чем у MDF-Cat-З, оба IDF-коммутатора выбирают канал, ведущий к устройству MDF-Cat-2 в качестве корневого порта. Выбор всех назначенных портов осно- основан на стоимости корневого маршрута. ВЮ = 32768.00-90-92-55-55-55 MDF-Cat-2 BID = 32768.00-90-92-22-22-22 MDF-Cat-3 BID = 32768.00-90-92-33-33-33 Cat-1 Блока серверов BID = 32768.00-90-92-11-11-11 Рис. А.5. Решение вопроса номер 8 9. Что случится в сети, изображенной на рис. 6.26, если коммутатор Cat-4 выйдет из строя? Сеть разделяется на две части. В каждой из них выбирается собственный корне- корневой мост, поэтому в данной структуре имеет место частичный простой сети приблизительно 50 с. После завершения процесса выбора корневого моста связь внутри частей сети восстановится, но информационный обмен между ними бу- будет невозможен. Приложение А. Ответы на контрольные вопросы 923
Рис. 6.26. Коммутатор Cat-4 соединяет две группы коммутаторов Решение лабораторного задания главы 6 Постройте сеть, подобную схеме на рис. 6.27. 10.1.1.1 ПК-1 ПК-2 ПК-3 10.1.1.3 10.1.1.2 Рис. 6.27. Диаграмма для лабораторной работы Используя только сеть VLAN 1, выполните описанные ниже действия: 1. с помощью команды операционной системы Microsoft Windows ping -t ip_address запустнте перманентный обмен пакетами ping между станциями ПК-1 и ПК-3. За- Затем разорвите соединение между станцией ПК-3 и коммутатором Cat-2. Сколько времени понадобилось на восстановление передачи пакетов ping после восстановле- восстановления соединения между станцией ПК-3 и коммутатором Cat-2? Потребуется 30-35 с. В некоторых случаях может наблюдаться приблизительно 50- секундный период неработоспособности. Чаще всего это связано с функцией, именуемой PAgP, которая стандартно включена на поддерживающих технологию EtherChannel портах. Необходимо с помощью команды set port channel 2/1-4 off отключить ее и повторить измерения. Отметим, что для некоторых типов обо- оборудования необходимо указание отличного от 2/1-4 диапазона портов. 924 Часть VII. Приложения
2. запустите перманентный обмен пакетами ping между станциями ПК-1 и ПК-2. Как и в предыдущем пункте, разорвите соединение между станцией ПК-3 и коммутато- коммутатором Cat-2. Какое влияние окажут указанные манипуляции с сетью на трафик меж- между станциями ПК-1 и ПК-2? Нет. Поскольку трафик не транспортировался по данному каналу, сбоя переда- передачи данных между станциями ПК-1 и ПК-2 не будет. Иными словами, не следует полагать, что каждое изменение распределенного связующего дерева приводит к сбоям всей сети. 3. используйте команду show spantree на коммутаторах Cat-1 и Cat-2. Какой коммута- коммутатор имеет статус корневого моста? Запишите состояние каждого порта. Корневым мостом является коммутатор Catalyst, у которого значение поля Designated Root (назначенный корневой) равно значению поля Bridge ID MAC ADDR (МАС-адрес моста). Обратите внимание, что стоимость маршрута к назначенному корневому мосту равна нулю, а назначенным корневым портом является порт 1/0. Все порты должны быть в состоянии передачи, кроме порта 1/2 на некорневом мосте. 4. почему порт 1/2 на некорневом мосту находится в состоянии блокировки? Каким образом коммутатор определил, что указанный порт необходимо перевести в со- состояние блокировки? Напомним, что протокол STP всегда обращается к одному и тому же алгоритму принятия решений, состоящему из четырех этапов. Предположим, что коммута- коммутатор Cat-1 является корневым мостом (если в качестве корневого моста исполь- используется коммутатор Cat-2, необходимо просто поменять местами имена коммута- коммутаторов Cat-1 и Cat-2). В таком случае оба коммутатора согласованно определяют устройство Cat-1 в качестве корневого моста, что приводит к последующему оп- определению стоимости корневого маршрута. Однако, поскольку для обоих пор- портов — 1/1 и 1/2 — параметр стоимости корневого маршрута равен 19, коммута- коммутатор Cat-2 должен затем учесть поле идентификатора моста-отправителя (Sender BID). Поскольку BID-значение коммутатора Cat-1 присутствует в пакетах BPDU, принятых на обоих портах, 1/1 и 1/2, снова существует связь, что при- приводит к последующей оценке идентификатора порта. Поскольку порт 1/1 обла- обладает меньшим значением идентификатора порта @x8001), чем порт 1/2, то порт 1/1 является предпочтительным. В результате порт 1/1 переводится в состояние передачи, а порт 1/2 — в состояние блокировки. 5. запустите перманентный обмен ping-пакетами между станциями ПК-1 и ПК-3. Ра- Разорвите соединение между портами 1/1 коммутаторов Cat-1 и Cat-2. Через какое время трафик начнет проходить через соединение между портами 1/2? Потребуются 30—35 с. Если наблюдается период неработоспособности, равный приблизительно 50 с, необходимо с помощью команды set port channel 1/1-2 off отключить функцию PAgP и повторить измерения. Отметим, что для некото- некоторого оборудования требуется указание диапазона портов, отличного от 1/1-2. 6. что и почему произойдет в сети, если восстановить соединение 1/1? Передача трафика будет остановлена снова на 30-35 с! Данный факт вызывает удивление у многих специалистов — только что сеть была настроена, а протокол STP все равно продолжает блокировать трафик приблизительно на 30 с. Как Приложение А. Ответы на контрольные вопросы 925
только канал 1/1 будет восстановлен, BPDU-сообщения начнут следовать от корневого моста к некорневому, и как только некорневой мост обнаружит по- появление сообщение BPDU с более низким приоритетом на порту 1/1, станет яс- ясно, что порт 1/2 более не является действительным корневым портом. Следова- Следовательно, порт 1/2 будет немедленно переключен в состояние блокировки. Одна- Однако, порт 1/1 будет 15 с находиться в состоянии прослушивания и еще 15 с — в состоянии самообучения (предположим, что таймеры имеют стандартные значе- значения). После 30 с порт 1/1 станет корневым. 7. не отключая перманентный обмен ping-пакетами, запущенный в пункте 3, разорвите соединение портов 1/2 коммутаторов Cat-1 и Cat-2. Что произойдет с сетью в та- таком случае? Разрыв канала 1/2 не повлияет на работоспособность сети. Как и в вопросе номер 2, сбоев не возникнет, поскольку трафик по данному каналу не транспортируется. Ответы на контрольные вопросы главы 7 1. Укажите на рнс. 7.30 различные типы портов (RP — корневой порт, DP — назна- назначенный порт, NDP — неназначенный порт) и соответствующие состояния протоко- протокола STP (F — передача трафнка, В — блокирован) с учетом указанных идентифика- идентификаторов BID. Предположим, все соединения работают по технологии Fast Ethernet. Далее предположим, что для всей сети назначена единая сеть VLAN, и команда portvlanpri не использовалась. .VI V1 Cat-A Cat-B 1/2 1/2 Значение BID= 32,768.АА-АА-АА-АА-АА-АА Значение BID= ЮО.ВВ-ВВ-ВВ-ВВ-ВВ-ВВ Рис. 7.30. Два компенсационных коммутатора Catalyst с пе- перекрестными каналами На рис. А.6 представлена необходимая маркировка устройств и портов. Коммутатор Cat-A Коммутатор Cat-B BID= 32,768.АА-АА-АА-АА-АА-АА BID* ЮО.ВВ-ВВ-ВВ-ВВ-ВВ-ВВ Рис. А.6. Два компенсационных коммутатора Catalyst с перекрестными каналами Коммутатор Cat-B становится корневым мостом, поскольку он обладает мень- меньшим значением BID. Следовательно, коммутатору Cat-A необходимо выбрать единственный корневой порт. В предыдущих примерах с компенсационными коммутаторами каналы не пересекались, и порт 1/1, благодаря своему низкому идентификатору @x8001), становился корневым. 926 Часть VII. Приложения
В данном случае перекрестные каналы заставляют думать о том, что на комму- коммутатор Cat-A влияет полученный идентификатор порта, а не локальные идентифи- идентификаторы портов коммутатора Cat-A. Хотя порт 1/2 коммутатора Cat-A обладает более высоким локальным значением, он получает более низкое, и в результате становится корневым портом. Понимание данной проблемы является принци- принципиально важным для эффективного использования методики балансировки на- нагрузки с помощью команды portvlanpri. 2. Когда коммутаторы генерируют конфигурационные сообщения BPDU? Мосты и коммутаторы генерируют конфигурационные BPDU-сообщения в сле- следующих случаях: • когда периодически (период равен Hello-интервалу) на всех портах корне- корневого моста (если не существует петля физического уровня); • когда некорневой мост получает конфигурационное BPDU-сообщение на своем корневом порту, он отправляет обновленную версию сообщения через каждый назначенный порт; • когда на назначенном порту появляется PDU-сообщение с худшими значе- значениями параметров от смежного моста. 3. В каком случае коммутаторы генерируют сообщения TCN BPDU? Мосты и коммутаторы генерируют BPDU-сообщения об изменении топологии в следующих случаях: • когда порт моста переводится в состояние передачи, и мост обладает хотя бы одним назначенным портом; • когда порт из состояния передачи или обучения переводится в состояние блокировки; • когда некорневой мост получает TCN-уведомление от нижестоящего моста (downstream) на назначенном порту. 4. Сколько доменов распределенного связующего дерева представлены на рис. 7.31? Предположим, что все коммутаторы используют выходные порты с инкапсуляцией ISL и связующее дерево технологии PVST. С-2 С-3 Маршрутизатор А Маршрутизатор Б С-7 VLAN101-110 С-10 VUN 101-115 Рис. 7.31. Многочисленные домены распределенного связующего дерева Приложение А. Ответы на контрольные вопросы 927
10+3+2+15=30. Хотя для всех сетей VLAN используются одинаковые номера, маршрутизаторы разбивают сеть на четыре зоны второго уровня (от коммутатора Cat-1 до Cat-3, зона коммутатора Cat-4, от коммутатора Cat-5 до Cat-б и от коммутатора Cat-7 до Cat-10). Затем в сетях VLAN каждой зоны второго уровня формируется от- отдельный STP-домен. Одна из сложностей данного расположения устройств заключается в том, что коммутаторы Cat-5 и Cat-б формируют единственный домен второго уровня, содержащий две, а не три сети VLAN. Поскольку существуют запасные каналы между двумя коммутаторами, маршрутизаторы не разбивают данный участок на отдельные зоны второго уровня. 5. В каком случае балансирование нагрузки методом размещения корневого моста бу- будет наиболее эффективно? Какую команду (или команды) необходимо использовать для реализации данного метода? Когда структура трафика хорошо определена и понятна. В иерархических сетях, таких, как сети на основе многоуровневой модели проектирования, описываемой в главах 14 и 15, расположение корневого моста является чрезвычайно эффектив- эффективной формой балансировки нагрузки с помощью протокола STP. Необходимо про- просто совместить корневой мост с соответствующим стандартным шлюзом- маршрутизатором для данной сети VLAN (см. главы 14 и 15). В неиерархических плоских сетях балансировка нагрузки обычно требует существования различных сетей VLAN для разного физического размещения серверных групп. При размещении корневых мостов можно использовать команды set spantree priority ИЛИ set spantree root. 6. Когда будет полезен метод изменения приоритетов портов связующего дерева для балансирования нагрузки? Какую команду (или команды) необходимо использовать для реализации данного метода? Каковы недостатки этого метода? Данная форма балансировки нагрузки пригодна в редких случаях. Она может применяться только с компенсационными коммутаторами. Ее следует приме- применять только с использованием ранних версиях кода программного обеспечения или при подключении к оборудованию других производителей. Для реализации данной функции применяется команда set spantree portvlanpri. Данная методика может быть очень запутанной, поскольку требует ввода указанной ко- команды на вышестоящем (upstream) коммутаторе. 7. Когда будет полезен метод изменения приоритетов мостов связующего дерева для балансирования нагрузки? Какую команду (или команды) необходимо использовать для реализации данного метода? Каковы недостатки этого метода? Форма балансировки нагрузки с помощью приоритета моста может быть полезной при использовании кода программного обеспечения версий, предшествующих 3.1, и невозможности использовать механизмы размещения корневого моста (из-за структуры трафика) или балансировку с помощью команды portvlanpri (поскольку коммутаторы не являются компенсационными). Если используется операционная система версии выше 3.1, то, как правило, наилучшим выбором бу- будет использование балансировки с помощью механизма команды portvlancost. Для реализации данного подхода используется команда set spantree priority. Данная методика может быть запутанной по перечисленным ниже причинам. 928 Часть VII. Приложения
• Значения приоритета моста должны быть настроены на устройствах выше- вышестоящих по отношению к области балансировки нагрузки. • Нельзя устанавливать слишком низкие значения приоритета моста, иначе будет нарушено размещение корневого моста. • Иногда очень трудно запомнить, почему установлен тот или иной приоритет моста. 8. Когда будет полезен метод, использующий параметр porrvlancost распределенного связующего дерева для балансирования нагрузки? Каков полный синтаксис коман- команды? Каковы недостатки данного метода? Форма балансировки нагрузки с помощью команды portvlancost является пригодной почти во всех ситуациях. Она является наиболее гибкой формой STP- балансировки нагрузки. Полный синтаксис команды portvlancost выглядит так: set spantree portvlancost mod пит/port пит /cost cost_value] [preffered vlans] Один приводящий в замешательство момент, касающийся данной команды, за- заключается в том, что она позволяет установить только два значения стоимости для каждого порта. Одно значение устанавливается с помощью команды port- cost, а второе — с помощью команды portvlancost. 9. Какую технологию для балансирования нагрузки можно использовать вместо мето- метода, задаваемого командой porrvlanpri? Необходимо использовать технологию EtherChannel. 10. Какие компоненты используются при расчете стандартного значения времени тай- таймера Max Age? (He нужно указывать всю формулу целиком, просто перечислите компоненты). Стандартное значение параметра Max Age (максимальное время старения инфор- информации), равное 20 с, разработано для учета следующих двух факторов: задержки сквозного распространения BPDU-сообщений (end-to-end BPDU propagation delay) и Message Age Overestimate (завышенного времени старения сообщения). 11. Какие компоненты используются при расчете стандартного значения времени тай- таймера Forward Delay? (He нужно указывать всю формулу целиком, просто перечис- перечислите компоненты). Стандартное значение задержки передачи (Forward Delay), равное 15 с, разрабо- разработано для учета следующих четырех факторов: задержки сквозного распростране- распространения BPDU-сообщений (end-to-end BPDU propagation delay), Message Age Over- Overestimate (завышенного времени старения сообщения), максимальной задержки прерывания передачи (Maximum Transmission Halt Delay) и максимального вре- времени жизни фрейма (Maximum Frame Lifetime). Последние два фактора (максимальная задержка прерывания передачи и макси- максимальное время жизни фрейма) для простоты можно свести в один — время ис- исчезновения трафика в старой топологии. 12. Каковы главные соображения при уменьшении hello-интервала с 2 с до 1 с? Понижение значения Hello-интервала позволяет уменьшить время сходимости путем уменьшения максимального времени старения или задержки передачи (необходимо делать это по отдельности). Кроме того, нагрузка в сети, связанная с протоколом STP, удваивается. Отметим, что нагрузка в данном случае означает Приложение А. Ответы на контрольные вопросы 929
как нагрузку от конфигурационных BPDU-сообщений, так и, что еще более важно, нагрузку на процессоры коммутаторов, вызванную работой алгоритма распределенного связующего дерева. 13. Когда необходимо использовать технологию PortFast? Что изменит указанная тех- технология в алгоритме протокола STP? Как правило, функцию PortFast следует применять только на портах конечных станций. Она позволяет порту при инициализации немедленно переходить в со- состояние передачи. Более того, обработка остается той же. При использовании резервных сетевых плат, которые переключают состояние канала, данная функ- функция может быть полезной для серверных каналов. 14. Когда необходимо использовать технологию UplinkFast? Каких еще проблем помо- помогает избежать использование данной технологии кроме изменения информации в локальной таблице для отображения нового корневого порта после восстановления работоспособности сети? Функцию UplinkFast следует применять только на краевых узлах и коммутаторах кабельных узлов. После соединения восстановления данная функция в допол- дополнение к обновлению своей собственной таблицы должна генерировать фиктив- фиктивные пакеты (dummy packets) с целью обновления таблиц мостов по всей сети. 15. Когда необходимо использовать технологию BackboneFast? Для того, чтобы функция BackboneFast работала должным образом, ее необхо- необходимо включить на каждом коммутаторе в данном домене второго уровня. 16. Когда полезно использовать технологию PVST+? Методика PVST+ является полезной при подключении обычных PVST- устройств Catalyst к 801.О.-коммутаторам, которые поддерживают единственный экземпляр протокола распределенного связующего дерева. 17. Могут ли области MST быть соединены с областями PVST? MST- и PVST-области не могут быть соединены посредством магистральных каналов, поскольку MST-коммутаторы поддерживают только магистральные 802.1C-каналы, a PVST-коммутаторы — только магистральные ISL-каналы. В то же время два таких типа коммутаторов могут соединяться посредством обычных каналов (немагистральных), хотя данный подход пригоден в редких случаях. 18. Можно ли отключить протокол распределенного связующего дерева для отдельных портов? Протокол STP невозможно отключить на попортовой основе на оборудовании Catalyst второго уровня, таком, как коммутаторы 4000-й, 5000-й и 6000-й серий. Фактически некоторые коммутаторы Catalyst третьего уровня (блок Supervisor III с платой NFFC) требуют отключения данного протокола для всего устройства (т.е. всех сетей VLAN). 19. Почему очень важно использовать отдельную сеть управления VLAN? Использование отдельной административной сети VLAN важно для предотвра- предотвращения перегрузки процессора. Если процессор перегружен в результате воздей- воздействия чрезмерного широковещательного или многоадресатного трафика, ин- информация протокола распределенного связующего дерева может потерять акту- актуальность. Когда такое случается, возникает возможность появления мостовой 930 Часть VII. Приложения
петли. Формирование петли в административной сети быстро и полностью ис- истощает оставшиеся процессорные ресурсы. Проблема распространяется по всей сети и приводит к отказу всей телекоммуникационной инфраструктуры. 20. Что случится, если технология UplinkFast отправляет ложные многоадресатные фреймы по обычному многоадресатному адресу Cisco Ol-00-OC-CC-CC-CC? Если функция UplinkFast отправляет фиктивные фреймы на обычный многоад- ресатный адрес корпорации Cisco Ol-00-OC-CC-CC-CC, более старые, не на- настроенные на поддержку данной функции Cisco-устройства второго уровня, не распространяют такие фреймы лавинно. Следовательно, в таком случае таблицы мостов в сети не обновляются. Лабораторная работа главы 7 Условия лабораторной работы В лабораторной работе необходимо построить сеть с использованием протокола распределенного связующего дерева, которая проиллюстрирована на рис. 7.32. С- ш /сЙа\ Здание 1 ]D(ggp / JBHT\ "'CMC4 \ / ^gjjP /сив \ Рис. 7.32. Территориальная сеть для трех зданий Приложение А. Ответы на контрольные вопросы 931
На рис. 7.32 представлена территориальная сеть, которая размещена в трех здани- зданиях. Каждое здание содержит два коммутатора MDF (А и Б) и два коммутатора IDF (В и Г). Ожидается, что количество коммутаторов IDF в ближайшее время значительно увеличится. В узле размещения серверов установлен собственный коммутатор, кото- который соединен с устройствами Cat-1A и Cat-IB. Сеть содержит 20 сетей VLAN. Пред- Представим, что каждый сервер соединен с одной сетью VLAN (например, сервер SAP со- соединен с сетью VLAN финансового отдела). Далее предположим, что все соединения работают по технологии Fast Ethernet, за исключением кольца между коммутаторами узлов MDF, где в соединения используется технология Gigabit Ethernet. Необходимо определить следующие параметры: оценить таймеры, указать место- местоположение корневых мостов, методы балансирования нагрузки, оценить время вос- восстановления сети и определить потоки трафика. Решение лабораторной работы Ниже приводится одно из многих возможных решений данной лабораторной работы. Здание 1 Корневой порт, состояние передачи Все порты на корневом мосту являются назначенными, состояние передачи Неназначенный порт, состояние блокировки Неназначенный порт, состояние блокировки Неназначенный порт, состояние блокировки Корневой порт, состояние передачи Рис. А. 7. Основная топология используется для нечетных сетей VLAN, резервная — для четных 932 Часть VII. Приложения
Наилучшая тактика размещения корневых мостов — расположить их в коммутато- коммутаторах Cat-IA и Cat-IB, на входе в серверную группу. Первый коммутатор может быть корневым мостом для сетей VLAN с нечетными номерами, а второй — для сетей с четными. Из-за опасности, связанной с настройкой STP-таймеров, в данном случае такой подход не применяется. Вместо него с целью сокращения периода восстановления после сбоев в кабельных узлах до 2-3 с можно на всех IDF-коммутаторах настроить функцию UplinkFast. Для уменьшения времени сходимости после косвенного сбоя на всех коммутаторах можно настроить функцию BackboneFast. На рис. А.7 приведены сети VLAN с нечетными номерами. Коммутатор Cat-IA яв- является корневым мостом. Показаны только каналы в состоянии передачи. Информа- Информация о состоянии портов приведена для здания 1 (в остальных зданиях сохраняется та- такая же структура). На рис. А.8 представлена такая же информация для четных сетей VLAN. В данном случае корневым мостом является коммутатор Cat-IB. Неназначенный порт, состояние блокировки Назначенный порт, состояние передачи Неназначенный порт, состояние блокировки Корневой порт, состояние передачи Все порты на корневом мосту являются назначенными, состояние передачи Корневой порт, состояние передачи Рис. А.8. Основная топология используется для четных сетей VLAN, резервная — для нечетных Коммутатор Cat-IA является резервным корневым мостом для четных сетей VLAN, a коммутатор Cat-2B — резервным корневым мостом для нечетных сетей VLAN. Следова- Приложение А. Ответы на контрольные вопросы 933
тельно, резервная топология для нечетных сетей VLAN та же, что и на рис. А.7, тогда как резервная топология для четных сетей VLAN та же, что и на рис. А.8. Ответы на контрольные вопросы главы 8 1. Что происходит с загрузкой интерфейсов трафиком, когда два сервера передают файлы друг другу по соединению EtherChannel? Весь трафик между серверами проходит через один сегмент, поскольку серверы ис- используют один и тот же МАС-адрес для всех фреймов. МАС-адреса обрабатывают- обрабатываются по алгоритму X-OR электронной книги кодирования (Electronic Codebook — ЕСВ), в результате чего каждый раз возвращается один и тот же результат. 2. Если есть возможность воспользоваться оборудованием для экспериментов, попы- попытайтесь сконфигурировать двухсегментное соединение EtherChannel, у которого один конец сегмента настроен на передачу трафика из сетей VLAN 1-10, а другой конец сегмента может переносить трафик из всех сетей VLAN. Что в конечном итоге будет получено? Схема не будет работать. Оба конца канала EtherChannel должны быть сконфи- сконфигурированы для поддержки одного набора сетей VLAN на всех интерфейсах. 3. На рис. 8.13 показана конфигурация сети VLAN 200 на маршрутизаторе с инкапсу- инкапсуляцией 802.1Q. Как к магистрали добавить сеть VLAN 300? Необходимо к другому интерфейсу добавить директиву encapsulation dotlq 300. 4. Сконфигурируйте магистраль на коммутаторе Catalyst для переноса трафика из се- сетей VLAN 200 и VLAN 300 с инкапсуляцией 802.1Q. Повторите упражнение с ин- инкапсуляцией ISL. Типичные конфигурационные команды: set trunk 1/1 on dotlq clear trunk 1/1 201-299 clear trunk 1/1 301-1005 clear trunk 1/1 2-199 Данный метод несколько неудобен, поскольку сначала разрешаются все сети VLAN, а затем удаляются неразрешенные. Для настройки ISL-канала необходимо использовать ту же последовательность действий, кроме первой команды. В случае ISL-канала применяется директива set trunk 1/1 on isl. Ответы на контрольные вопросы главы 9 1. Назовите три уровня технологии ATM. Опишите функции каждого из них. Обратимся к рис. 9.3 главы 9. Ниже приведены уровни АТМ-стека. 934 Часть VII. Приложения
• AAL — разбиение и формирование блока данных (dice & slice); • ATM — создание заголовков; • Physical (физический уровень) — транспортировка ячеек. 2. Укажите различие между технологиями ATM и SONET. ATM является технологией среды передачи данных, которая оперирует ячейка- ячейками. SONET представляет собой технологию типа "точка-точка" (point-to-point), которая используется для транспортировки ячеек. 3. Чем отличается коммутатор Catalyst с двумя модулями LANE от 2-портового АТМ- коммутатора? Как граничное устройство коммутатор Catalyst коммутирует только фреймы ме- между портами; устройство LSI010, как и ATM-коммутатор, коммутирует только ячейки. См. рис. 9.8 главы 9. 4. Каковы различия между адресами VPI, VCI и NSAP? В каких именно случаях ис- используется каждый из перечисленных адресов? Значения идентификаторов VPI и VCI представляют собой две части адреса, размещенного в заголовке каждой ячейки (для обоих типов каналов PVC и SVC). Точки доступа к сетевой службе (NSAP) используются только для созда- создания коммутируемого виртуального канала (SVC). После того, как SVC- соединение установлено, значения VPI и VCI используются для коммутации ячеек по виртуальному каналу (VC). 5. Предположим, что к ATM-сети, которая состоит из одного АТМ-коммутатора LS1010 и двух коммутаторов Catalyst с модулями LANE, подсоединили анализатор сети. Какие типы ячеек необходимо проверить, чтобы узнать значения VPI и VCI? Какие типы ячеек необходимо проверить, чтобы узнать NSAP-адрес? Все ячейки содержат VPI/VCI-значения, но адреса точек NSAP могут быть полу- получены только из ячеек, которые переносят служебные сообщения (такие, как со- сообщение об установке вызова интерфейса UNI 4.0 — UNI 4.0 SETUP message). 6. Назовите три части NSAP-адреса. Что определяет каждая из них? Ниже перечислены три части адреса NSAP-точки и объекты, представляемые ими. • Prefix (префикс) — идентификатор АТМ-коммутатора; • ESI (идентификатор конечной системы) — какие устройства присутствуют в ATM-ком мутаторе; • Selector Byte (байт селектора) — какой программный компонент присутству- присутствует в конечной станции. 7. Каким образом коммутаторы Catalyst генерируют значения ESI и байта селектора для использования в технологии LANE? В списке, приведенном ниже, показано, как коммутатор Catalyst автоматически рассчитывает значения ESI-идентификатора и байта селектора для использова- использования в LANE-сети. • LEC = MAC.** • LES = MAC+1.** • BUS = МАС+2.** • LECS = МАС+3.00 Приложение А. Ответы на контрольные вопросы 935
8. Перечислите пять этапов процесса инициализации технологии LANE, которые ис- используются клиентами для подсоединения к сети ELAN. Ниже приведены этапы процесса подключения LANE-клиентов к ELAN-сети. Этап 1. Клиент устанавливает связь с LECS-сервером ("Вышибала"). Этап 2. Клиент устанавливает связь с LES-сервером ("Бармен"). Этап 3. LES-сервер устанавливает связь с клиентом. Этап 4. Клиент устанавливает связь с BUS-сервером ("Распространитель слухов"). Этап 5. BUS-сервер устанавливает связь с клиентом. 9. Назовите шесть типов каналов, которые используются технологией LANE. Какой тип трафика переносит каждый из них? Ниже перечислены названия шести типов каналов, используемых в LANE- технологии, а также типы трафика, транспортируемого по каждому из них. • Прямой конфигурационный канал (Configuration Direct) — запросы на объеди- объединение ELAN-сети и NSAP-точки LES-сервера. • Прямой канал управления (Control Direct) — пакеты протокола LE_ARP (протокол преобразования адресов в эмулированной LAN). • Прямой канал распределения (Control Distribute) — пакеты протокола LE_ARP, которые необходимо лавинно распространить среди всех кэши- рующих клиентов. • Много ад ресатный двунаправленный канал (Multicast Send) — широковеща- широковещательный, многоадресатный и одноадресатный трафик, который необходимо лавинно отправить всем клиентам. • Канал многоадресатной передачи (Multicast Forward) — широковещательный, многоадресатный и одноадресатный трафик, который рассылается лавинно. • Прямой виртуальный канал для передачи данных (Data Direct) — пользова- пользовательские данные от одного LEC-клиента к другому. 10. Укажите различие между протоколами IP ARP и LE_ARP. ARP-запросы протокола IP используются для определения МАС-адреса, связан- связанного с IP-адресом. LE_ARP-3anpocbi используются для определения NSAP-адреса, связанного с MAC-адресом. 11. Какое количество клиентов LEC является необходимым для сети, в которой требу- требуется создать две сети VLAN между двумя коммутаторами Catalyst? Сколько потре- потребуется серверов LECS? Сколько понадобится серверов LES? Сколько понадобится серверов BUS? • Количество клиентов LEC равно 4 — по одному на каждого клиента в каждой сети ELAN. • Количество серверов LECS равно 1 — по одному для каждой LANE-сети. • Количество серверов LES равно 2 — по одному для каждой сети ELAN. • Количество серверов BUS равно 2 — по одному для каждой сети ELAN. 936 Часть VII. Приложения
12. Если сеть, описанную в вопросе 11, увеличить до 10 коммутаторов Catalyst и 10 се- сетей VLAN, сколько потребуется клиентов LEC и серверов LECS, LES, BUS? Предполагается, что у каждого коммутатора Catalyst есть порты, назначенные каж- каждой сети VLAN. • Сто клиентов LEC. • Один сервер LECS. • Десять серверов LES. • Десять серверов BUS. 13. Определите маршрут, по которому будут проходить данные между узлом, подсоеди- подсоединенным к сети Ethernet в сети VLAN 1 на коммутаторе Cat-A, и узлом, подсоеди- подсоединенным к сети Ethernet в сети VLAN 2 на коммутаторе Cat-B (см. рис. 9.26). По- Почему он является неэффективным? VLAN1 : VLAN2: ; VLAN1 : VLAN2 Модуль Ethernet модуль Ethernet Рис. 9.26. Завершенная сеть LANE Трафик следует через сеть ELAN 1 к маршрутизатору, где он маршрутизируется к сети ELAN 2. Затем трафик поступает к узлу на коммутаторе Cat-B, пересекая сеть ELAN 2. Такой маршрут является неэффективным, поскольку: маршрутизатор может быть не настолько скоростным, как ATM-сеть, и перед принятием решения о маршрутизации маршрутизатору требуется собрать ячейки в полный пакет. По- После маршрутизации пакета его необходимо снова сегментировать на ячейки. Решение лабораторной работы главы 9 Постройте сеть, показанную на рис. 9.29. В табл. 9.6 представлены LANE-компоненты, которые необходимо сконфигуриро- сконфигурировать на каждом устройстве. Приложение А. Ответы на контрольные вопросы 937
Cat-A Cat-B Рис 9.29. Структура сети для лабораторной работы ^&Г1Йц^.Щ]1^^£-^1^он|щь1гхоторью необходимо сконфигурировать Устройство VLAN1/ELAN1 VLAN2/ELAN2 VLAN3/ELAN3 LEC-A LEC-B Маршрутизатор LS1010 Серверы LEC, LES/BUS Сервер LEC Сервер LEC Сервер LEC Сервер LEC Серверы LEC, LES/BUS Сервер LEC Сервер LEC Сервер LEC Сервер LEC Серверы LEC, LES/BUS Сервер LEC Устройство LS1010 является сервером LECS. Сконфигурируйте IP-адрес на интерфейсах SCO каждого коммутатора Catalyst, по- подынтерфейсах маршрутизатора и подынтерфейсах устройства LS1010 (для LS1010 сле- следует использовать команду interface atm 2/0/0 или interface atm 13/0/0). Сконфигурируйте протокол HSRP между АТМ-маршрутизатором и модулем RSM, на- находящимся в коммутаторе LEC-A. IP-адреса необходимо взять из табл. 9.7 эса для практической лабораторной работы Устройство VLAN1/ELAN1 VLAN2/ELAN2 VLAN3/EUN3 LEC-A SCO LEC-A RSM LEC-B SCO Маршрутизатор Модуль LS1010 Адрес HSRP 10.1.1.1 10.1.1.252 10.1.1.2 10.1.1.253 10.1.1.110 10.1.1.254 10.1.2.252 10.1.2.253 10.1.2.110 10.1.2.254 10.1.3.252 10.1.3.253 10.1.3.110 10.1.3.254 938 Часть VII. Приложения
Когда сеть будет создана, выполните следующие задания: • проверьте соединения между всеми устройствами; • включите отладку с помощью команды debug lane client all и выполните команду ping к другому устройству в сети (если виртуальное соединение для передачи данных существует, его необходимо удалить). Запишите результаты выполнения данного пункта; • не выходя из режима отладки (включенного с помощью команды debug lane client all), выполните команды shut и no shut на главном интерфейсе ATM-маршрутизатора. Запишите результаты выполнения данного пункта; • просмотрите информацию, которую можно получить с помощью команд show lane client, show lane config, show lane server, show lane bus И show lane database; • сконфигурируйте протокол SSRP для обеспечения резервирования сервера; • если есть возможность использовать несколько ATM-коммутаторов, добавьте возможность использования дублирующих PHY-интрефейсов (при этом не за- забудьте обновить конфигурацию протокола SSRP). Примерная конфигурация для лабораторной работы В примерах А.1-А.5 представлены возможные варианты конфигурации устройств LEC-A, LEC-B, LS1010, маршрутизатора и модуля RSM коммутатора Cat-A для дан- данной лабораторной работы. Несмотря на то, что на практике конфигурация может несколько отличаться, в на- настоящих примерах представлен ряд точных рекомендаций, которые помогут следовать в верном направлении. Устройство LEC-A В примере А.1 приведена возможная конфигурация устройства LEC-A. | Пример А.1. Возможная конфигурация устройства LEC-A .' ной работы . v'-.-.^ hoetname LEC-A ! interface ATMO atm preferred phy A atm pvc 10 5 qsaal atm pvc 2 0 16 ilmi ! interface ATM0.1 multipoint lane server-Ьив ethernet ELAN1 lane client ethernet 1 ELAN1 ! interface ATMO.2 multipoint Приложение А. Ответы на контрольные вопросы 939
lane client ethernet 2 ELAN2 ! interface ATM0.3 multipoint lane client ethernet 3 ELAN3 ! line con 0 line vty 0 4 no login I end Устройство LEC-B В примере А.2 представлена возможная конфигурация устройства LEC-B. | Пример А.2. Возможная конфигурация устройства LEC-B для лаборатор- ч. -Ж- %'■ '^iv-- ::$:^С;0- Sf'l hostname LEC-B ! interface ATMO atm preferred phy A atm pvc 1 0 5 qsaal atm pvc 2 0 16 ilmi i interface ATM0.1 multipoint lane client ethernet 1 ELAN1 i interface ATMO.2 multipoint lane server-bus ethernet ELAN2 lane client ethernet 2 ELAN2 i interface ATM0.3 multipoint lane client ethernet 3 ELAN3 ! i line con 0 line vty 0 4 no login j end Устройство LS1010 В примере А.З представлена возможная конфигурация для устройства LS1010. 940 Часть VII. Приложения
Пример А.З. Возможная конфигурация устройства LS1010 дли лаборатор- лабораторной работы * . . ■ hostname LS1010 ! atm lecs-address-default 47.0091.8100.0000.0010.2962.е801.0010.2962.е805.00 1 atm address 47.0091.8100.0000.0010.2962.е801.0010.2962.е801.00 atm router pnni node 1 level 56 lowest redistribute atm-static ! I lane database Test Db name ELAN1 server-atm-address 47.00918100000000102962E801.00102962E431.01 name ELAN2 server-atm-address 47.00918100000000102962E801.00102941D031.02 name ELAN3 server-atm-address 47.00918100000000102962E801.001014310819.03 I 1 interface ATM13/0/0 no ip address atm maxvp-number 0 lane config auto-config-atm-address lane config database Test_Db i interface ATM13/0/0.1 multipoint ip address 10.1.1.110 255.255.255.0 lane client ethernet ELAN1 I interface ATM13/0/0.2 multipoint ip address 10.1.2.110 255.255.255.0 lane client ethernet ELAN2 I interface ATM13/0/0.3 multipoint ip address 10.1.3.110 255.255.255.0 lane client ethernet ELAN3 i interface Ethernetl3/0/0 no ip address ! no ip classless i line con 0 line aux 0 line vty 0 4 login ! end Приложение А. Ответы на контрольные вопросы 941
Маршрутизатор В примере А.4 приведена возможная конфигурация маршрутизатора. ! Пример А.4. Возможная конфигурация маршрутизатора для лаборатор-' ; ной работы : ! hostname Router ! interface FastEthernet2/0 no ip address shutdown ! interface ATM3/0 no ip address atra pvc 10 5 qsaal atra pvc 2 0 16 ilrai 1 interface ATM3/0.1 multipoint ip address 10.1.1.253 255.255.255.0 no ip redirects lane client ethernet ELANl standby 1 preempt standby 1 ip 10.1.1.254 i interface ATM3/0.2 multipoint ip address 10.1.2.253 255.255.255.0 no ip redirects lane client ethernet ELAN2 standby 2 priority 101 standby 2 preempt standby 2 ip 10.1.2.254 1 interface ATM3/0.3 multipoint ip address 10.1.3.253 255.255.255.0 no ip redirects lane server-bus ethernet ELAN3 lane client ethernet ELAN3 standby 3 preempt standby 3 ip 10.1.3.254 1 router rip network 10.0.0.0 1 ip classless 1 1 line con 0 942 Часть VII. Приложения
line aux 0 line vty 0 4 login ! end Модуль Cat-A-RSM В примере А.5 представлена возможная конфигурация модуля RSM коммутатора Cat-A. Пример А.5. Возможная конфигурацияЁмод hostname Cat-A-RSM i interface Vlanl ip address 10.1.1.252 255.255.255.0 no ip redirects standby 1 priority 101 standby 1 preempt standby 1 ip 10.1.1.254 ! interface Vlan2 ip address 10.1.2.252 255.255.255.0 no ip redirects standby preempt standby 2 ip 10.1.2.254 ! interface Vlan3 ip address 10.1.3.252 255.255.255.0 no ip redirects standby 3 priority 101 standby 3 preempt standby 3 ip 10.1.3.254 ! router rip network 10.0.0.0 ! no ip classless ! line con 0 line aux 0 line vty 0 4 login ! end Приложение А. Ответы на контрольные вопросы 943
Ответы на контрольные вопросы главы 10 1. Администратор сети обнаружил, что МРС-клиент не может установить прямое со- соединение. При этом ATM-анализатор для данной сети выдал информацию о том, что клиент не генерировал запрос на установление такого соединения, даже когда трафик превышал пороговое значение, равное десяти фреймам в секунду. Почему не был отправлен запрос серверу? Команда show mpoa client выдает на экран сле- следующую информацию: Пример 10.20. Информация, отображаемая клиентом Cat-Ctsh mpoa client МРС Name: rapc2, Interface: ATMl/0, State: Up MPC actual operating address: 47.009181000000009092BF7401.0090AB16A80D.00 Shortcut-Setup Count: 10, Shortcut-Setup Time: 1 Lane clients bound to MPC rapc2: Клиент МРС не может генерировать запрос на предоставление кратчайшего маршрута, поскольку не может установить связь с сервером MPS. Это происхо- происходит из-за отсутствия LEC-клиента для связи с клиентом МРС. Обратите внима- внимание на последнюю строку, в которой нет указания на LANE-клиентов, подклю- подключенных к клиенту трс2. Предположим, что существует корректный LEC- клиент. Тогда данную проблему можно решить с помощью команды lane client mpoa client. 2. В каком случае входной и выходной MPS-серверы будут находиться в одном мар- маршрутизаторе? Входной и выходной серверы MPS могут находиться в одном маршрутизаторе всегда, когда клиенты-отправители и получатели находятся на расстоянии од- одного транзитного перехода на стандартном маршруте. Данный маршрутизатор может выполнять роль как входного, так и выходного устройства. 3. Как сопоставляются между собой МРС-клиент и сеть VLAN? Поскольку LEC-клиент должен быть связан с клиентом МРС в коммутаторе Catalyst, сеть VLAN, связанная с клиентом LEC, также связана и с клиентом МРС. 4. В примере 10.6 в конфигурации устройства приводится команда lane client ethernet elan-name. Где в ней указана информация о сети VLAN? Данная директива взята из конфигурации сервера MPS, размещенного в мар- маршрутизаторе. Маршрутизатор в отличие от коммутатора Catalyst не связывает се- сети VLAN. Только клиентские интерфейсы коммутатора Catalyst нуждаются в VLAN-ссылке для того, чтобы связать сети VLAN и ELAN с помощью моста. Маршрутизатор связывается только с сетью ELAN. В примерах 10.14 и 10.15 имеются следующие строки: lane client ethernet 21 elanl и lane client ethernet 22 elan2. Существует ли здесь какая- либо проблема? Возможно ли указать в обеих командах параметр ethernet 21? Значения 21 и 22 связывают номера сетей VLAN с корректными сетями ELAN A и 2). Обе ELAN-сети определяют различные широковещательные домены и 944 Часть VII. Приложения
поддерживают различные IP-подсети. Соответственно, номера сетей VLAN раз- различаются. Однако, номера двух сетей VLAN могли бы быть одинаковыми, т.к. сети изолированы друг от друга маршрутизатором. Вместе с тем, если бы они не были изолированы с помощью маршрутизатора, VLAN-значения не могли бы быть одинаковыми, поскольку они были бы объединены с помощью моста, объ- объединяя таким образом широковещательные домены. 5. Фрейму нужно пройти через три маршрутизатора, чтобы попасть от одного клиен- клиента-эмулятора к другому. Должны ли все маршрутизаторы быть настроены как MPS-серверы? Нет. Необходимо конфигурировать в качестве сервера MPS только входной и выходной маршрутизаторы. Однако, любые другие промежуточные маршрутиза- маршрутизаторы в стандартном маршруте должны, по крайне мере, обладать настройками NHS-сервера (сервер следующего узла). Более того, NHS-сервер должен обла- обладать способностью отправлять и принимать трафик посредством LEC-клиентов. 6. Можно ли сконфигурировать МРС-устройство и MPS-сервер на маршрутизаторе? Да. Маршрутизатор может иметь одновременно две настройки. Использовать такую конфигурацию можно, когда маршрутизатор функционирует как промежуточный или как входной/выходной маршрутизатор, и в то же время обслуживает локальное Ethernet-соединение или другие LAN-соединения в качестве клиента МРС. Ответы на контрольные вопросы главы 11 1. В чем заключается разница между маршрутизацией и коммутацией третьего уровня? С одной стороны, разницы между данными понятиями нет. С другой стороны, термин маршрутизация означает, что перенаправление пакетов осуществляется на программной основе, тогда как в понятии коммутация третьего уровня под- подразумевается использование аппаратного перенаправления пакетов данных. В обоих случаях для поддержки функций блока управления (таких, как протоколы маршрутизации и конфигурация) используются процессоры общего назначения. 2. Можно ли реализовать поддержку мостового соединения между виртуальными ло- локальными сетями при использовании межсетевой VLAN-маршрутизации на основе линейного маршрутизатора? Да. Просто необходимо настроить мостовую группу на множестве подынтерфей- сов. Конфигурация, приведенная в примере А.6, предназначена для обработки соединений между сетями VLAN 1 и 2 в режиме моста протоколов, отличных от IP, IPX и AppleTalk. Пример А.6. Конфигурация линейного маршрутизатора, который маршру-( визирует трафик протрколов,1Р,*)РХ и AppJeTalkt W !■■ -С :щ,!, ■ 'протоколt»i обрабатывает в interface FastEthernetl/O no ip address Приложение А. Ответы на контрольные вопросы 945
interface FastEthernetl/0.1 encapsulation isl 1 ip address 10.1.1.1 255.255.255.0 bridge-group 1 ! interface FastEthernetl/0.2 encapsulation isl 2 ip address 10.1.2.1 255.255.255.0 ipx network 2 bridge-group 1 ! interface FastEthernet1/0.3 encapsulation isl 3 ip address 10.1.3.1 255.255.255.0 appletalk cable-range 300-310 304.101 appletalk zone ZonedOut ipx network 3 ! bridge 1 protocol ieee 3. В чем проявляется особая эффективность применения модуля RSM при проектиро- проектировании соединений с удаленными подразделениями компании? Модуль можно снабдить WAN-интерфейсами, если используется VIP-адаптер. 4. Укажите сильные стороны использования модуля RSM для коммутации третьего уровня. Сильной стороной данного подхода является его уникальная способность на од- одной платформе обрабатывать трафик в режиме маршрутизатора и моста. Напри- Например, с помощью модуля RSM (и технологии MLS) можно гораздо проще сме- смешивать множество портов, которые обрабатывают IP-трафик, как в режиме мос- моста, так и в режиме маршрутизатора, чем с помощью методики IRB на IOS- устройствах. Более подробная информация приведена в разделе "Сравнение технологии MLS и маршрутизаторов 8500-й серии". 5. Устраняет ли технология MLS необходимость применения маршрутизатора? Нет. Поскольку MLS является методикой коммутации третьего уровня на осно- основе маршрутизирующих коммутаторов, она основывается на кэшированной ин- информации, полученной с помощью реального маршрутизатора. Следовательно, для обработки первого пакета каждого потока и осуществления обработки акту- актуального списка доступа присутствие маршрутизатора необходимо. 6. Необходимо ли при использовании технологии MLS применение маршрутизатора, который поддерживает маршрутизаторный механизм NetFlow? Нет. Два указанных механизма являются полностью обособленными, кроме слу- случаев, когда обе технологии — MLS и NetFlow — могут быть использованы на маршрутизаторах для накопления подробных данных. Маршрутизатор, реали- реализующий MLS-обработку, не нуждается в работе маршрутизатора NetFlow. 7. Создает ли маршрутизатор в процессе многоуровневой коммутации запись кратчай- кратчайшего пути и загружает ли ее в САМ-таблицу третьего уровня, содержащуюся в пла- платах NFFC или MSFC/PFC коммутатора Catalyst? 946 Часть VII. Приложения
Нет. Многие специалисты придерживаются мнения, что MLS просто представ- представляет собой маршрутизатор, использующий механизм NetFlow, который исследу- исследует поток и затем доставляет результаты коммутатору Catalyst. Это не так. Во- первых, если бы это было так, поток, вероятно, закончился бы до того, как коммутатор Catalyst получил возможность изучить информацию. Во-вторых, плата NFFC полностью самостоятельно изучает информацию в кэше. Необхо- Необходимо только предоставить ей МАС-адрес и VLAN-информацию маршрутизатора (данные сведения плата NFFC получает посредством протокола MLSP). 8. Что такое маска потока? Маска потока используется для установки дискретности, с которой в технологии MLS создаются потоки и строятся записи кратчайших маршрутов. Существуют три маски потоков: маска получателя, маска отправителя-получателя и маска полного потока. 9. Как маршрутизатор Catalyst 8500 принимает решение о маршрутизации пакетов? Для построения таблицы маршрутизации в коммутаторе Catalyst 8500 использу- используется процессор общего назначения, а затем CEF-таблица, которая загружается в линейные платы. В линейных платах применяются высокоскоростные инте- интегральные микросхемы, которые осуществляют просмотр CEF-таблицы и приня- принятие решения о перенаправлении пакетов. 10. Назовите два вида маршрутизации для устройств семейства Catalyst 6000. Чем, с точки зрения конфигурации, они отличаются? Применение модулей MSM и MSFC. Модуль MSM представляет собой комму- коммутирующий маршрутизатор (он основан на технологии устройств 8510). Плата MSFC использует технологию MLS (однако, она содержит оба блока — MLS-SE и MLS-RP — на одной плате). 11. Что представляет собой функция MHSRP и насколько она необходима? MHSRP — поддержка протокола резервной маршрутизации (Multigroup Host Standby Router Protocol) для множественных групп, методика создания двух (или более) совместно используемых IP-адресов для одной IP-подсети. Она наиболее полезна для балансировки трафика стандартного шлюза. 12. В чем заключается разница между методиками CRB и IRB? Обе функции позволяют обрабатывать определенные протоколы в режиме мар- маршрутизатора и моста на одном устройстве. Однако, функция CRB не дает возмож- возможности части сети, обслуживаемой мостом, обмениваться информацией с частью, которая обслуживается маршрутизатором. В методике IRB данная проблема реша- решается путем представления интерфейса BVI. BVI представляет собой единственный маршрутизируемый интерфейс, который может использоваться всеми интерфей- интерфейсами, обрабатываемыми с помощью моста, для того, чтобы обмениваться инфор- информацией с маршрутизируемым интерфейсом данного устройства. 13. В каких случаях необходимо применение методики IRB? Когда необходимо назначить множество интерфейсов одной IP-подсети (или IPX-сети, кабельному диапазону AppleTalk и т.д.), а также обеспечить существо- существование других интерфейсов в различных IP-подсетях. Интерфейсы в одной под- подсети обмениваются информацией друг с другом посредством мостовой техно- Приложение А. Ответы на контрольные вопросы 947
логии, и как группа используют маршрутизацию для сообщения с интерфейсами в отделенных подсетях. 14. Назовите несколько недостатков, которые связаны со смешиванием технологии мостового соединения и маршрутизации. Как правило, смешивание двух технологий может привести к проблемам расши- расширяемости структуры сети. В особенности это касается объединения многочис- многочисленных экземпляров алгоритма распределенного связующего дерева в одно, что, в свою очередь, может привести к нестабильной работе протокола STP, а также нарушить балансировку нагрузки. Кроме того, существует возможность возник- возникновения чрезмерного широковещания. Может быть затруднено устранение не- неисправностей. Чтобы предотвратить возникновение этого, как правило, реко- рекомендуется создавать жесткие барьеры третьего уровня. 15. Укажите преимущество одновременного использования IEEE и DEC-версий прото- протокола распределенного связующего дерева. Какие устройства должны использовать каждую из них? Оба протокола могут использоваться с целью предотвращения проблемы разо- разорванной подсети. IEEE-версия должна запускаться на коммутаторах второго уровня Catalyst (только они поддерживают данную вариацию протокола распре- распределенного связующего дерева). Следовательно, IOS-маршрутизаторы должны работать с DEC- или VLAN-Bridge-версией. Ответы на контрольные вопросы главы 12 В качестве схемы для всех вопросов используется рис. 12.17. VTP-домен = wally Cat-A Сеть newvlan2 = Сеть VLAN2 Магистральный канал VTP-домен = world Cat-B Магистральный канал SC010.1.6.5 CeTbVLANI в состоянии ON (включен) в состоянии AUTO Сеть VLAN2 = Сеть oldvlan2 SCO 10.1.5.5 CeTbVLANI 10.1.6.2 ПК-1 10.0.0.0 255.255.0.0 10.1.5.2 ПК-2 Рис. 12.17. Схема для вопросов 1—9 1. Определите режим канала между двумя коммутаторами Catalyst. Данный канал не является магистральным, поскольку состояние коммутатора Cat-A установлено в положение ON, а коммутатора Cat-B — в AUTO. И хотя в обычных условиях такие установки переводят канал в режим магистрального, два конца канала принадлежат различным доменам, что препятствует созданию 948 Часть VII. Приложения
магистрального канала. Необходимо оба конца установить в состояние ON или nonegotiate. Таким образом, указанный канал представляет собой обычный канал передачи данных. 2. Предположим, что оба конца магистрального канала переведены в состояние ON. Смогут ли ping-пакеты, отправленные со станции ПК-1, достичь станции ПК-2? Да. Обе станции принадлежат одной сети VLAN и одной подсети. 3. Достигнут ли ping-пакеты, отправленные с коммутатора Cat-A, коммутатора Cat-B? Да. Интерфейсы SCO для обоих коммутаторов Catalyst принадлежат одной сети VLAN и подсети. 4. Достигнут ли ping-пакеты, отправленные с коммутатора Cat-B, станции ПК-2? Даже если интерфейс SCO и станция ПК-2 находятся в одной подсети, они принадлежат разным сетям VLAN, и, следовательно, не могут обмениваться эхо- запросами друг с другом. 5. Предположим, что сеть VLAN 2 прежде называлась oldlan2. Допустим также, что администратор с коммутатора Cat-A переименовал данную сеть в newlan2. Имеется ли у коммутатора Cat-B информация о новом имени, newlan2? Коммутатор Cat-B не имеет информации о сети newlan2, поскольку два комму- коммутатора Catalyst находятся в различных VTP-доменах. Единственный способ пре- предоставить коммутатору Cat-B сведения об указанной сети — вручную настроить ее где-либо в VTP-домене world. 6. Введем команду clear config all на коммутаторе Cat-B. Вновь введем IP-адрес иа интерфейсе scO. Достигнут ли после этого ping-пакеты, отправленные с коммутато- коммутатора Cat-B, коммутатора Cat-A? После удаления конфигурации коммутатора Cat-B и переустановки IP-адреса на интерфейсе SCO два коммутатора Catalyst смогут обмениваться эхо-запросами, поскольку они находятся в одной сети VLAN и одной подсети. 7. Смогут ли ping-пакеты со станции ПК-2 достичь станции ПК-1? Станция ПК-2 не может обмениваться эхо-запросами со станцией ПК-1, т.к. в настоящее время они находятся в различных виртуальных локальных сетях. Уда- Удаление конфигурации коммутатора Cat-B устанавливает все порты принадлежа- принадлежащими сети VLAN 1. 8. Имеется ли у коммутатора Cat-B информация о сети newlan2? Предположим, что коммутатор Cat-B не получил VTP-обновления от другого коммутатора Catalyst во втором VTP-домене, и коммутатор Cat-B в настоящее время принадлежит домену wally. Канал между двумя коммутаторами Catalyst должен быть магистральным, поскольку коммутатор Cat-A установлен в значе- значение ON, a Cat-B — в значение AUTO. Такие настройки позволяют коммутатору Cat-B принимать VTP-обновления от коммутатора Cat-A и, следовательно, по- получать информацию о сети newlan2. 9. Возможно ли с помощью коммутатора Cat-B удалить сеть newlan2? Да. Если коммутатор сконфигурирован в качестве VTP-сервера или прозрачном режиме, он способен удалить сеть newlan2. Поскольку этому предшествует ко- команда clear config all, коммутатор Catalyst стандартно устанавливается в режим VTP-сервера. Приложение А. Ответы на контрольные вопросы 949
Ответы на контрольные вопросы главы 13 1. Вторая версия протокола IGMP включает в себя явное сообщение о выходе из группы, которое каждый раз отправляется станциями, которые не заинтересованы более в получении многоадресатного потока. Зачем, в таком случае, во вторую вер- версию включен также запрос на выход? Сообщение-запрос версии 2 используется по трем причинам. Во-первых, с це- целью обратной совместимости с первой версией. Во-вторых, для предоставления маршрутизатору полной гарантии того, что станции, намеренные принимать данный поток, не существуют. Возможно, что сообщение о выходе или подклю- подключении будет утеряно из-за коллизий или других происшествий физического уровня, что приведет к возникновению у маршрутизатора ошибочного предпо- предположения о необходимости прерывания потока. Следовательно, запросы исполь- используются в качестве страховки. Третья причина, по которой запросы остались во второй версии, заключается в поддержке процесса выбора маршрутизатора за- запросов. В каждом сегменте может присутствовать только один маршрутизатор запросов. В версии 2 маршрутизатором запросов становится маршрутизатор с наименьшим IP-адресом. 2. Почему коммутатор Catalyst обычно не определяет групповые адреса? Потому что устройство Catalyst (в данном случае мост) определяет адреса отпра- отправителей. Групповые адреса не появляются в поле адреса отправителя. 3. Какие данные второго и третьего уровней эталонной модели OSI, а также протоко- протокола IGMP передаются многоадресатными устройствами в качестве отчета о составе группы? Отчет о составе станций включает в себя следующее: • в поле отправителя заголовка второго уровня используется одноадресный адрес отправителя, а в поле получателя — рассчитанный многоадресатный МАС-адрес; • в заголовке третьего уровня используется IP-адрес отправителя и многоадре- многоадресатный групповой адрес для получателя. Для IGMP-отчета о составе станций используется групповой многоадресатный адрес. 4. Предположим, что есть коммутируемая сеть с устройствами, поддерживающими прото- протокол IGMP версии 1 и коммутаторы/маршрутизаторы с включенной поддержкой прото- протокола CGMP. С одного из многоадресатных устройств осуществляется поиск Web- сайта, предоставляющего определенный многоадресатный поток. Пользователь перво- первоначально подключается к группе 1 и выясняет, что она не предоставляет необходимой информации. Затем он пытается найти необходимый поток в группе 2, а затем в группе 3 до тех пор, пока не получает его в группе 4. Между тем, другой пользователь при- принадлежит группам 1, 2 и 3. Что произойдет с каналом такого пользователя? По каналу пользователя трафик продолжает транспортироваться ото всех четырех многоадресатных групп до тех пор, пока в широковещательном домене есть члены данной группы. Протоколы CGMP и IGMP версии 1 не обладают возможностью 950 Часть VII. Приложения
удалять пользователя из многоадресатного потока до тех пор, пока существуют ак- активные члены группы. Данное ограничение берет свои истоки от функции явного выхода в протоколе IGMP версии 1. Подобная ситуация может привести к нехват- нехватке полосы пропускания для данного пользователя, поскольку возможно существо- существование четырех многоадресатных потоков, загружающих его интерфейс. Ответы на контрольные вопросы главы 14 1. Назовите несколько уникальных требований к IDF-коммутатору. Двумя наиболее важными моментами являются стоимость и плотность портов. Другие требования включают в себя типы резервирования устройств и простоту управления. 2. Назовите несколько уникальных требований к MDF-коммутатору. Ключевыми требованиями являются высокая надежность и пропускная способ- способность, в особенности пропускная способность третьего уровня. Также важными являются возможности маршрутизации (такие, как поддержка широкого диапа- диапазона мощных протоколов маршрутизации). 3. Опишите терминологию, касающуюся уровней доступа, распределения и базового уровня. Устройства уровня доступа применяются для соединений конечных станций по- посредством горизонтальной кабельной системы. Они также подключаются к уст- устройствам уровня распределения через вертикальную кабельную систему. В тер- территориальных сетях термин устройство доступа, в сущности, является синони- синонимом понятия IDF-ycmpoucmeo. Устройства уровня распределения используются для обеспечения центральной точки связи для здания в целом (или части крупного здания). Они эквивалент- эквивалентны MDF-устройствам. Базовый уровень используется для соединения устройств уровня распределения. 4. Почему маршрутизация является важной частью любого крупного проекта сети? В тщательно спроектированной территориальной сети маршрутизация обладает множеством преимуществ: • масштабируемостью структуры; • управлением широковещанием и многоадресатным вещанием; • оптимальным и гибким выбором маршрута; • возможностью балансировки нагрузки; • быстрой сходимостью алгоритмов протоколов маршрутизации; • иерархичностью структуры и возможностью агрегирования адресов; • гибкой политикой и возможностью использования списков доступа; • дополнительными функциями, такими, как DHCP-ретрансляция. 5. Какие сети, построенные на основе модели маршрутизатора и концентратора, рабо- работают наилучшим образом? Приложение А. Ответы на контрольные вопросы 951
При использовании структуры сети с использованием маршрутизатора и кон- концентратора лучше работают сети с ограниченными требованиями к полосе про- пропускания, в которых главным образом используются серверы отделов, удержи- удерживающие трафик в пределах локального сегмента. 6. Назовите преимущества модели виртуальных локальных сетей масштаба террито- территориальной сети. Основное преимущество модели территориальных сетей VLAN заключается в том, что она допускает существование прямого маршрута второго уровня от ко- конечных пользователей к серверам, что, в свою очередь, является попыткой из- избежать медлительности программных маршрутизаторов. Данная конструкция также может быть полезной для сетей, в которых предполагается большая гиб- гибкость в назначениях сетей VLAN и подсетей. Например, все члены финансовой группы могут принадлежать одной и той же сети VLAN, даже если они распо- расположены в разных зданиях или участках территориальной сети. Такой подход может в последующем упростить назначения сетей VLAN и назначения, связан- связанные с безопасностью. 7. Назовите недостатки модели виртуальных локальных сетей масштаба территори- территориальной сети. Недостатки модели территориальных сетей VLAN: • в территориальных сетях может быть сильно затруднено управление структу- структурой и устранение неисправностей; • может быть сильно затруднена оптимизация, управление и контроль над протоколом распределенного связующего дерева; • магистральные каналы позволяют проблеме, возникшей в одной сети VLAN, распространиться по всем сетям VLAN; • с целью достижения стабильности в данной модели проектирования часто требуется устранение избыточности; • модель сильно зависима от правила 80/20, которое для большинства сетей уже не является справедливым; • модель основана на предположении, что маршрутизаторы замедляют работу сети, что также более не соответствует действительности. 8. Опишите концепцию распределительного блока. Блок распределения представляет собой самодостаточную группу устройств и связанных с ними сетей VLAN, подсетей, а также связи. MDF- и IDF- коммутаторы в распределительных блоках формируют треугольники связи. По- Поскольку маршрутизация конфигурируется в MDF-устройствах, барьер третьего уровня создается между каждым блоком распределения и территориальной ма- магистралью, упрощая тем самым возможность расширения сети. 9. Почему наличие модульности в сети является важным фактором? Существует множество преимуществ модульного подхода к разработке сети: • поскольку можно легко добавлять новые модули, упрощается процесс рас- расширения сети; • сеть становится более простой для понимания, устранения неисправностей и технического обслуживания; 952 Часть VII. Приложения
• проще использовать тонкие настройки; • упрощается процесс модернизации сети; • проще обеспечивать избыточность и балансировку нагрузки; • проще обеспечивать высокую производительность операций по восстанов- восстановлению после сбоев; • гораздо более просто заменять различные технологии в разных участках од- одной сети. Например, в базовой сети можно легко использовать такие техно- технологии, как Fast Ethernet, Gigabit Ethernet, ATM, Tag Switching или Packet Over SONET. 10. Назовите проблемы, которые возникают при использовании магистрали второго уровня, в сравнении с магистралью третьего уровня. Магистрали второго уровня не настолько расширяемы по сравнению с магист- магистралями третьего уровня. Настройка протокола распределенного связующего де- дерева и балансирования нагрузки на втором уровне может стать трудоемкой зада- задачей. Во многих случаях с целью увеличения производительности восстановления после сбоев следует удалить физические петли в структуре сети. 11. Каким образом следует внедрять серверную группу в многоуровневой модели? В качестве еще одного блока распределения, подключенного к основной сети, серверы рабочих групп могут быть подсоединены к MDF- или IDF- коммутаторам (в зависимости от того, каких пользователей они обслуживают). Решение лабораторного задания главы 14 Необходимо спроектировать две территориальные сети, соответствующие опреде- определенным требованиям. В первом проекте должна быть задействована модель виртуаль- виртуальных локальных сетей масштаба территориальной сети с использованием коммутаторов Catalyst 5509. Во втором проекте следует внедрить многоуровневую модель с исполь- использованием устройств Catalyst 8540 в качестве MDF-коммутаторов и устройств Catalyst 5509 в качестве IDF-коммутаторов. Ниже приведены требования технического задания проекта. • Территория предприятия состоит из трех зданий. • В каждом здании имеются четыре этажа. • На каждом этаже имеется один IDF-коммутатор (в реальности их было бы больше, однако для простоты из данного упражнения их можно упразднить). • В подвале каждого здания имеются два MDF-коммутатора. • Каждый узел IDF имеет избыточные каналы (по одному к каждому MDF- коммутатору). • MDF-коммутаторы полностью или частично замкнуты каналами Giga- Gigabit Ethernet (выберите наиболее подходящий способ по своему усмотрению). Иными словами, в магистрали не используется третий уровень коммутаторов. Приложение А. Ответы на контрольные вопросы 953
• Каждый IDF-коммутатор должен обладать уникальной виртуальной локальной сетью управления, которой можно назначить интерфейс SCO. • Для проекта сетей VLAN масштаба территориальной сети предположим, что существуют 12 сетей VLAN и что все IDF-коммутаторы принимают участие в каждой из них. • Для многоуровневого проекта предположим, что каждый IDF-коммутатор при- принимает участие только в одной сети VLAN конечных пользователей (в целях простоты администрирования). Сколько сетей VLAN потребуются в каждом проекте? На рис. А.9 представлена потенциальная схема конструкции на основе модели тер- территориальных сетей VLAN. Поскольку конструкция в данном случае менее модуль- модульная, чем при использовании многоуровневой модели, она обычно и менее расширяе- расширяема, а также вызывает трудности при техническом обслуживании. Каждое здание кон- контролируется одним блоком распределения. "А \ Второй /■ уровень Каждый коммутатор принимает участие во всех 12 сетях VLAN J Рис. А.9. Конструкция территориальных сетей VLAN На рис. АЛО представлена конструкция территориальной сети, построенной на ос- основе многоуровневой модели. Каждый распределительный блок является автономным 954 Часть VII. Приложения
узлом. В третьем уровне блока распределения используются коммутирующие маршру- маршрутизаторы. С целью максимального увеличения потенциальной расширяемости сети используется магистраль третьего уровня. Каждый коммутатор принимает участие во всех 12 сетях VLAN Рис. А. 10. Многоуровневая конструкция с использованием коммутирующих маршрутизаторов Ответы на контрольные вопросы главы 15 1. В настоящей главе упоминались многие преимущества использования многоуровне- многоуровневой модели проектирования. Перечислите как можно больше таких преимуществ. Преимуществами использования многоуровневой модели являются: • модульность; • расширяемость; • простота технического обслуживания и устранения неисправностей; • улучшенная поддержка многоадресатных служб; • предопределенные потоки данных; Приложение А. Ответы на контрольные вопросы 955
• многоуровневая модель не зависит от передающей среды (например, в осно- основе сети может использоваться технология Ethernet или ATM); • гибкость и возможность быстрого восстановления после сбоев посредством интеллектуальных протоколов маршрутизации третьего уровня; • высокая степень контроля. 2. В настоящей главе также уделялось внимание многим недостаткам использования модели сетей YLAN территориального масштаба. Назовите как можно больше не- недостатков данной модели. Недостатки использования территориальных сетей VLAN: • недостаточная иерархичность; • возможность быстрого распространения проблем, в частности, связанных с протоколом распределенного связующего дерева и ослабления всей сети; • реализация балансировки нагрузки с помощью распределенного связующего дерева может быть чрезвычайно трудной или даже невозможной; • сложности в устранении неисправностей; • сложности при расширении сети; • подключение множества сетей VLAN к нескольким серверам посредством се- сетевых плат с поддержкой нескольких сетей VLAN, таких, как LANE, ISL и 802.1Q, часто приводит к низкой производительности и может вызвать пере- перегрузку серверов широковещательным трафиком, исходящим от многих сетей VLAN; • сети территориального масштаба часто для достижения стабильности требу- требуют устранения избыточности структуры. 3. Перечислите некоторые вопросы, касающиеся проектирования административных сетей VLAN. Некоторые вопросы, касающиеся проектирования административной сети VLAN: • постоянное присутствие административной сети, обособленной от пользова- пользовательских сетей VLAN; • беспетельная административная сеть VLAN способна улучшить стабильность сети. 4. Назовите несколько факторов, которые необходимо учитывать при определении ме- месторасположения корневого моста. • Размещение корневого моста на маршрутах прохождения потоков данных, потребляющих большую полосу пропускания. • Использование устройств, которые способны поддерживать суммарную на- нагрузку на корневые мосты. • Использование устойчивого устройства. • Применение централизованных корневых мостов для сохранения простоты структуры сети. • Использование распределенных корневых мостов с целью увеличения сум- суммарной пропускной способности за счет более сложного проекта сети. 956 Часть VII. Приложения
5. Назовите пять методик распределения нагрузки в территориальной сети. Пять существующих методик балансирования нагрузки в территориальной сети: • использование протокола распределенного связующего дерева; • использование протокола HSRP; • 1Р-маршрутизация; • использование технологии ATM; • использование технологии EtherChannel. 6. В чем заключается основное отличие между использованием в MDF-узлах (на уровне распределения) маршрутизирующих коммутаторов (технологии MLS) и ком- коммутирующих маршрутизаторов? Основное отличие в использовании маршрутизирующих коммутаторов и коммути- коммутирующих маршрутизаторов заключается в поддержке ими функций второго и третьего уровней. Маршрутизирующие коммутаторы, прежде всего и в основном, являются устройствами второго уровня, которые дополнены различными функ- функциями третьего уровня. Однако, они продолжают поддерживать жесткую ориента- ориентацию на второй уровень. В результате барьеры третьего уровня в сети автоматиче- автоматически не создаются (чтобы создать их, необходимо отсечь сети VLAN от магист- магистральных каналов вручную). С другой стороны коммутирующие маршрутизаторы, такие, как Catalyst 8500, по существу, являются высокоскоростными версиями обычных маршрутизаторов Cisco. Следовательно, для разделения сети на отдель- отдельные домены второго уровня и создания таким образом более расширяемой конст- конструкции специально конфигурировать данные устройства не требуется. Следует заметить, что оба типа коммутаторов третьего уровня могут применять- применяться для создания в сущности идентичных конструкций. Различия, указанные выше, отражают стандартный режим работы данных устройств. О них следует помнить при проектировании и создании территориальной сети. 7. Приведите аргументы за, а также против применения технологин ATM. В табл. АЛ перечислены аргументы в пользу и против использования техноло- технологии ATM. Табшпда А.1. ^ргументь! "за" и "против!1 использования технологии ATM "За" "Против" Широкая полоса пропускания Сложность Усовершенствованное распределение полосы пропускания Стоимость Службы QoS В технологии Ethernet растет сложность и спо- способность поддержки функций, ранее доступных только в технологии ATM (таких, как службы COS/QoS) Поддержка приложений, критичных к времени передачи, та- Многие новые голосовые и видеоприложения ких, как голосовые и видеоприложения не требуют АТМ-служб Расстояние Способность к взаимодействию с разными технологиями Приложение А. Ответы на контрольные вопросы 957
Ответы на контрольные вопросы главы 18 1. В каких ситуациях было бы полезным применение программного обеспечения XDI/CatOS-интерфейса устройств Catalyst 6000/6500 без использования дочерних MSFC-плат? В случаях, когда требуется очень широкая полоса пропускания второго уровня. Например, использование такого режима будет полезным для коммутации Gigabit Ethernet-магистрали и приложений серверных групп. 2. Опишите конфигурацию коммутации третьего уровня, используемую в модуле MSM. Такя конфигурация называется "линейный маршрутизатор". 3. Посредством интерфейсов какого типа модуль MSM подключается к объедини- объединительной плате коммутатора Catalyst 6000? Четыре Gigabit Ethernet-интерфейса. 4. Каким образом на модуле MSM можно настроить десять сетей VLAN? Хотя четыре Gigabit Ethernet-интерфейса можно использовать в качестве инди- индивидуальных интерфейсов, более полезными они становятся при объединении их в одну группу каналов Gigabit EtherChannel (в IOS-конфигурации она называет- называется интерфейс порт-канал). Большое число сетей VLAN можно сконфигуриро- сконфигурировать путем создания подьштерфейсов на интерфейсе порт-канал. Однако, как было сказано в главах 14 и 15, использование большого количества виртуальных локальных сетей, как правило, нельзя назвать удачным решением с точки зре- зрения проектирования и технического обслуживания. 5. Каковы преимущества и недостатки собственного IOS-режима платы MSFC? Среди преимуществ гибридного режима платы MSFC можно назвать следую- следующие: • высокоскоростная коммутация третьего уровня; • способность поддерживать такие функции, как IGMP-прослушивание, а также службы QoS/COS; • сохраняется тесная интеграция функций второго и третьего уровней, обес- обеспечиваемая модулем RSM (в частности, порты второго уровня автоматиче- автоматически корректно назначаются сетям VLAN третьего уровня); • используется единственное гнездо. Одним заслуживающим внимания недостатком гибридного режима платы MSFC является необходимость применения двух пользовательских интерфейсов (операционная система IOS блока RP для третьего уровня и XDI/CatOS- интерфейса для блока SP на втором уровне). 6. Каким образом в собственном IOS- режиме настраиваются параметры третьего уровня портов, например, IP-адреса? Информация третьего уровня непосредственно на порте коммутатора не кон- конфигурируется. Настройка осуществляется на SVI-интерфейсе. 958 Часть VII. Приложения
7. Коммутатор Catalyst 6000, использующий программное обеспечение собственного IOS-режима, является больше маршрутизирующим коммутатором или коммути- коммутирующим маршрутизатором? Гибкость интерфейса собственного режима операционной системы IOS позво- позволяет коммутатору Catalyst функционировать в качестве устройства любого из упомянутых типов. Поскольку в его основе лежит аппаратное обеспечение для коммутации, он обладает широким диапазоном особенностей и функций вто- второго уровня. Однако, поскольку оба процессора работают с полными образами операционной системы IOS, устройство Catalyst 6000 наследует атрибуты, при- присущие фактически всем маршрутизаторам Cisco. При конфигурировании боль- большинства портов в качестве коммутирующих блок приобретает черты маршрути- маршрутизирующего коммутатора. Однако, если оставить все интерфейсы в их стандарт- стандартном состоянии (при котором каждый интерфейс представляет собой маршрутизируемый порт), блок будет выглядеть как коммутирующий маршрути- маршрутизатор. С некоторого момента различие становится несущественным, и дискуссия сводится к бессмысленным семантическим спорам. Не позволяйте гибкости собственного IOS-режима платы MSFC создавать безвыходную ситуацию, а просто используйте преимущества ее сильных сторон. Приложение А. Ответы на контрольные вопросы 959
Предметный указатель Адрес NSAP, 406; 742 агрегированный, 662 альтернативный, 414 аппаратный, 36 групповой, 619; 633 уровня второго, 620 третьего, 619 канонический, 102 неизученный, 773 неканонический, 102 неопределенный, 620 пул, 742 точки доступа к сетевой службе, 726 Алгоритм аутентификации сообщений MD5, 599 распределенного связующего дерева, 293; 332; 501; 835 Анализатор коммутируемых портов, 773 протокола, 519, 583 База управляющей информации, 767 Байт селектора, 402; 473 Банк каналов, 876 Бит значимый наибольший, 102 наименьший, 102 стартовый, 68 Блок LANE, 376 Supervisor, 810, 811; 879 III, 872 данных, 545 процессора коммутации, 545 маршрутизации, 545 распределения, 673; 686; 719; 734 управления, 544 Буфер истории выполненных команд, 124 В Версия протокола VTP, 594 Витая пара неэкранированная, 48; 111 экранированная, 48; 111 Время бездействия, 700 Генератор запросов, 626 Группа логических адресов, 471 множественная, 562 мостов, 565 резервная, 750 серверная, 685 распределенная, 747 централизованная, 745 д Дерево распределения, 679 Диаметр волокна, 58 сети, 44; 57; 297 Домен VMPS, 189 VTP, 180; 333; 584; 685 коллизий, 55; 69; 70, 71; 92; 771 несуществующий, 586 протокола распределенного связующего дерева, 263; 550 960 Предметный указатель
управления, 581; 587; 600 широковещательный, 65; 71; 74; 77; 88; 151; 152; 154; 379; 553 Заголовок стандарта 802.2, 422 Задержка за счет коммутации, 393 передачи, 94; 838 переключения состояния порта, 300 перехода в состояние блокировки, 299 распространения сигнала, 393 сообщений, 295 BPDU, 299 сетевая, 393 Зона второго уровня, 704 И Идегггификатор BID, 221; 237 виртуального канала, 399; 435 маршрута, 399; 435 соединения, 434 канонического формата, 367 конечной станции, 402; 473 моста, 206; 251 корневого, 208; 214; 227 наименьший, 210 моста-отправителя, 211; 214; 227 организации, 36; 104; 414; 422 порта, 208; 214; 228; 251; 577 протокола, 227 сетевой, 477 сети ELAN, 422, 469 VLAN, 367 системы зашиты, 373 тега протокола, 366 Избыточность, 653; 661 Изменения обнаружение, 257 распространение, 257 Импульс FLP, 47 быстрого соединения, 46 Индикатор информации о маршруте, 97 несущей, 761 светодиодный, 506 Инкапсуляция 802.10, 371 с двухуровневым тегированием, 360 Интервал времени между передачами фреймов, 43 временной, 393 канальный, 41; 57; 71; 392; 772 правило, 42 Интерфейс, 894 AUI, 50 BVI, 569; 577 LANE межсетевой, 447 МП, 50 PHY, 449 PNNI, 404 XDI, 123 виртуальный коммутатора, 896 мостовой, 567; 735 главный, 504 командной строки, 7/5; 140; 398; 433; 904 коммутируемый, 893 консольный, 117; 119; 127 локального управления интегрированный, 406 маршрутизируемый, 893 SVI, 894 физический, 894 межсетевой, 407; 406; 731 независимый от среды передачи, 50 передачи данных по волоконно- оптическим каналам, 48 подключаемых модулей, 50 физический, 383 Предметный указатель 961
к Кабель тип перекрещенный, 51; 760 прямой, 51 Кабельная система горизонтальная, 654 Канал виртуальный, 398; 545 коммутируемый, 398 постоянный, 398; 453 восходящий, 730 межкоммутаторный, ПО межстанционный соединительный, 349 служебный, 444 Качество обслуживания, 407; 495; 542; 737; 880 Класс обслуживания, 408; 542 Клиент LEC, 377 МРС, 479 эмуляции локальной сети, 410 Код 4В/5В, 48; 49 8В/10В, 56; 58 8В/6Т, 48 манчестерский, 44 Коллизия, 68 запоздалая, 42; 53; 71 Коммутатор, 79, 91; 493 ATM, 404 магистральный, 705 пограничный, 588 Коммутация, 501; 691 без буферизации пакетов, 494 быстрая, 502 канального уровня, 494 многоуровневая, 494; 511; 788; 879 оптимальная, 502 пакетная, 755 приложений, 158 программная, 501 с контролем фрагментов, 92; 94 с промежуточным хранением, 91; 93 сквозная, 91; 94 адаптивный режим, 94 ячеек, 736 Конвергенция, 662 Конвертер GBIC, 60 интерфейса Gigabit Ethernet, 60 Контроллер группы портов Ethernet, 352 доступа к среде, 36 избыточных ресурсов, 100 кольца, 61 Контроль несущей, 35 Концентратор, 68; 654 виртуальный Token Ring, 101; 105 Кэш старение, 521 Л Лавина широковещательная, 501; 607 м Магистраль, 349, 664 Ethernet, 349 вырожденная, 665 корпоративная, 652 территориальная, 652 уровня второго, 679 третьего, 682 Маркер, 60 раннее освобождение, 61 Маркировка неявная, 703 явная, 703 Маршрут кратчайший, 512 виртуальный, 741 оптимальный, 662 перераспределение, 744 стандартный, 378 статический, 662 Маршрутизатор, 494 962 Предметный указатель
запросов, 625 Маршрутизация, 406 бесклассовая, 687 Маска подсети переменной длины, 839 потока, 522 полного, 522 получатель-отправитель, 522 получателя, 522 Массив интерфейсов, 700 Метод доступа, 35 множественный, 35; 44; 45 исходного маршрута, 73 перенаправления мостового от отправителя, 95; 96; 105; 108 трансляционный, 95; 101 прозрачного, 86 от отправителя, 98 Механизм PVST, 262 управления потоком, 46 Микроконтроллер распознавания закодированного адреса, 359 Модель многоуровневая, 663; 670 Модификатор отображаемой информации, 906 Модуль LANE, 133; 404; 434 MSM, 118; 554 RSM, 118; 133; 261; 506; 786; 882 RSP2, 506 Supervisor, 119; 138 I, 119; 138 II, 119; 138 III, 119; 138 VLAN Director, 333 для коммутируемых сетей CiscoWorks, 333 доступа многостанционного, 61 множественного, 106 интеграции, 405 коммутации маршрутов, 356; 475; 493; 505; 657 многоуровневой, 554; 873 маршрутизатора ATM, 405 передачи данных в сети максимальный, 421 сетевого анализа, 773 Модуляция импульсно-кодовая, 392 Мост, 72; 77 виртуальный, 91 Token Ring, 105; 107 корневой, 167; 209; 252; 268; 535; 668 размещение, 291 распределенный, 721 централизованный, 721 назначенный, 252 некорневой, 212; 271 самообучение, 87 Мультиплексирование статистическое, 391; 737 Мэйнфрейм, 34 н Нагрузка балансирование, 263; 271; 275; 570; 660; 662; 719; 728; 736 Надежность, 653; 656 Неисправность косвенная, 294 Носитель расширение, 57 О Однонаправленное обнаружение канала, 761 Операция X-OR, 353 Оптоволокно многомодовое, 50 Отчет о составе группы запрашиваемый, 623 незатребованный, 623 Предметный указатель 963
п Пакет, 39 Память NVRAM, 291 энергонезависимая, 119; 890 Передача лавинная, 86; 88; 90; 611 многоадресатная, 409; 418 узкополосная, 34 Перезапись на линии, 520 Перекрытие, 743 Петля мостовая, 669 Плотность портов, 653 Повторитель, 67 класс 1,50 II, 50 Подавление широковещания, 640 аппаратное, 640 программное, 642 Подключение магистральное, 500 раздельное, 499 Подсеть разъединенная, 750 Подтверждение о получении сообщения об изменении топологии, 258 Поле BID, 210 CRC, 421 Last Fail Reason, 443 LEC ID, 421 RIF, 97; 99; 108 SAID, 373 State, 442; 443 маршрутной информации, 97; 103; 361 протокола, 102 тип, 103 управления доступом, 103 уровня LLC, 103 фреймом, 103 Полоса пропускания, 290; 661 Порт, 894 дополнительный, 507 доступа к службе отправителя, 103 получателя, 103 зависимый от среды передачи, 760 корневой, 209; 212; 252 магистральный, 894; 897 мостового соединения, 468 назначенный, 209; 214; 252 неназначенный, 215; 253 объединение, 351 обычный, 894 Правило 5/3/1, 70 80/20, 651 Префикс, 402, 473 Приоритет, 366 моста, 206; 237; 281; 288; 292; 308 корневого, 221 наивысший, 210 порта, 206; 277; 288; 292 Программа-загрузчик, 145 Прослушивание IGMP, 631 Протокол ARP, 74; 164 CGMP, 541; 608; 617; 631 DecNet IV, 159 DHCP, 562; 694; 767; 791 DISL, 365; 583 DTP, 369; 370; 583 HSRP, 555; 730, 903 для множественных групп, 676; 730; 862 IGMP, 621 версии 1, 621 версии 2, 624 ILMI, 451; 453 IPX, 164 ISL, 178; 583 kermit, 142 LNNI, 447 NetBios, 192 NHRP, 470 PAgP, 315; 356 PIM, 629 964 Предметный указатель
SLIP, 119 SSRP, 448; 453 STP, 250; 331 Telnet, 120 TFTP, 122; 138 VQP, 186; 193 VTP, 180; 582; 589; 609; 752; 786; 793; 841 версии 2, 609 агрегирования портов, 306; 315; 356 взаимодействия мостов, 567 виртуального терминала, 366 динамический ISL, 589 магистральный, 365 межкоммутаторного канала, 362 динамической конфигурации узла, 171; 192; 303; 494; 693 доступа к сети стандартный, 41 дублирующих колец, 106; 110 избыточности серверов простой, 383; 448; 740 маршрутизируемый, 736 межкоммутаторного канала, 146 много адресатной маршрутизации по вектору расстояния, 618 регистрации, 541 многоуровневой коммутации, 513 обнаружения соседних устройств корпорации Cisco, 39; 310 опроса соединений к корневому мосту, 312 очистки, 429 передачи гипертекста, 652 данных локальной, 564 почтовых сообщений, 652 файлов, 117 пользовательских дейтаграмм, 495 распределенного связующего дерева, 132; 201; 250; 535; 662; 668; 675; 711; 713; 725 с отправкой подтверждений, 166 управления группами корпорации Cisco, 163 межсетевой, 512; 541 групповой, 541; 617 передачей, 495 сетью, 121 Протоколирование, 767; 776 Процедура восстановления пароля, 136 Процессор RP-блока, 889 SP-блока, 889 коммутации ATM, 544 маршрутов, 544 маршрутизации, 880 MLS, 513 Разделение каналов временное, 392 частотное, 34 Распределение контрольное, 413; 417 Распределенное связующее дерево поисковый механизм, 97 Рассылка многоадресатная, 413 Режим гибридный, 879 клиента, 589 конфигурационный базы данных сетей VLAN, 891 обычный, 891; 893 моста, 896 обычный, 117 передачи асинхронный, 374; 389 дуплексный, 45 полудуплексный, 45 пользовательских комманд, 117 привилегированный, 117 привилегированных команд, 117 прозрачный, 589 сервера, 589 собственный, 544; 871; 890 платы MSFC, 887 Предметный указатель 965
Связующее дерево общее, 326 Сегментация сети, 66 Сервер ANI, 192 BUS, 412; 446; 740; 831 LECS, 446; 453 LES, 412; 431; 437; 446 MPS, 469; 475 NHS, 469 TACACS+, 121 TFTP, 186 VMPS, 186; 188; 192 виртуального управления политиками, 667 масштаба предприятия, 685 многопротокольного соединения, 466 передачи трафика, 410 печати, 651 транзитный, 462 файловый, 651 широковещательных и неопознанных сообщений, 740 эмуляции локальной сети, 410 конфигурационный, 411 Сеть ELAN, 409 LANE, 461 PLAN, 70? VLAN, 154; 167, 691 административная, 716 динамическая, 186 на основе портов, 176 независимая, 158 обшая, 158 повсеместная, 173 сквозная, 169; 173; 663; 666 территориальная, 785 удаление, 183 виртуальная локальная, 81; 91; 151; 409 динамическая, 835 физическая, 708 локальная эмулируемая, 376 модульная, 672 наложение, 697 нешироковещательная с множественным доступом, 470 плоская, 661; 782 синхронная оптическая, 396 территориальная, 265; 650 широкополосная цифровая, 397 Сигнал подтверждения коллизии, 35 Символ, 58 Система управления доступом к контроллеру терминального доступа, 121 Системная переменная, 135 Служба URT, 192; 692 User Tracker, 193 регистрации пользователей, 192; 667 Соединение МРОА, 462 магистральное, /7<?; 347; 585 мостовое прозрачное, 73 обычное, 345 перекрестное, 683 прямое виртуальное передачи данных, 419; 422 контрольное, 412; 416 конфигурационное, 412; 415 Сообщение BPDU, 208; 218; 225 конфигурационное, 225; 250; 254; 300 перенаправление, 254 порождение, 254 FLP, 47 данных мостового протокола, 208 дня, 830 многоадресатное, 36 об изменении топологии, 208; 225; 229, 251; 257 одноадресатное, 36 среда передачи недоступна, 36 966 Предметный указатель
тип, 227; 632 широковещательное, 36; 74 Состояние блокировки, 216 отключенное, 216 передачи, 217 прослушивания, 216 самообучения, 216 Список доступа, 121; 166; 521; 663 Среда сетевая, 397 Стандарт lOOOBaseLX, 59 lOOOBaseSX, 59 lOOOBaseTX, 59 lOOOBaseCX, 59 100BaseFX, 49 100BaseT2, 48 100BaseT4, 48 100BaseTX, 48; 50 lOOBaseX, 54; 94 lOBaseT, 94; 161 802.10, 371 802.Id, 86; 207; 218; 253; 259; 273 802. lp, 366; 543 802.1Q, 158; 262 802.1s, 324 802.3, 40 802.3ab, 59 802.3ad, 359 802.3u, 44; 46; 49, 50 802.3x, 46 802.3z, 55; 57; 58 802.3y, 49 Fiber Channel, 56 IEEE 802.1Q, 160 ISL, 669 Станция управления сетью, 774; 802 Старение записей, 90 Стоимость корневая, 212; 213 маршрута, 206; 207; 208; 213; 284; 286; 289 к корневому мосту, 227 корневая, 251; 286 порта, 284 Строка описания, 758 приглашения системы, 796 Структура трафика, 650; 660 Счетчик, 633 изменений топологии, 323 опозданий, 35 отсрочек, 35; 42 регистра, 486 сообщений BPDU, 323 Таймер Forward Delay, 293; 298; 334 MaxAge, 255; 293 времени хранения сообщения, 260 задержки, 218 распространения, 259 максимального времени хранения записей в таблице, 219 хранения таблицы коммутации, 259 обмена приветственными сообщениями, 258 повторной передачи уведомлений об изменении топологии, 218 Тегирование двойное, 360 Тест целостности соединения, 47 Тестер кабельный, 761 Технология ATM, 731; 736 BackboneFast, 311 CRB, 566 EtherChannel, 350; 547; 732 FDDI, 371; 382 IRB, 566; 568; 734 ISL, 359 LANE, 376; 390; 408 LANE V2, 469 MLS, 511; 677; 715; 734; 786; 789 Предметный указатель 967
МРОА, 378; 461; 465; 741 PortFast, 302; 336; 725 PVST, 324; 608; 734 PVST+, 324 UplinkFast, 306; 336 коммутации многоуровневой, 462; 526; 658 с установлением соединения, 398 Тип VTP-сообщения, 594 Топология беспетельная, 202 уровня второго, 724 третьего, 724 Точка доступа к сетевой службе, 399 перехода транзитная, 463 подключения, 740 Трафик административный, 700 количество, 651 конечных пользователей, 700 тип, 651 управления, 700 Треугольник второго уровня, 712; 788 связи, 673 Уведомление запрос, 601 общее, 596; 597 подгруппы, 596; 600 VTP, 589 Узел IDF, 280; 290, 328; 653; 676; 789 MDF, 280; 328; 655 активный, 556 кабельный, 550 главный, 779 промежуточный, 652 центральный, 652 распределительный, 249 резервный, 556 Уровень адаптации ATM, 395 базовый, 658; 659; 750 доступа, 658; 659; 749 канальный, 764 разбиения и формирования блока данных, 395 распределения, 380; 658; 659; 750 физический, 396 Ф Фильтрация на основе протоколов, 195; 655 фреймов, 86; 89 широковещательных рассылок, 661 Флаг изменения топологии, 259 Форум ATM, 376 Фрагмент, 95 Фрагментация, 105 Фрейм, 39 ARE, 97 карликовый, 76 контрольная сумма, 93 многоадресатный, 38; 541 одноадресатный, 37; 611 неизвестный, 88 паузы, 46 перенаправление, 86; 89 поиска всех маршрутов, 97 поле типа, 40 разделитель, 68 размер, 104 с целевым маршрутом, 98 тестовый, 99 формат, 102 широковещательный, 38 ц Центр технической поддержки, 764 ш Шаблон адреса, 403 968 Предметный указатель
Широковещание, 409 Шлюз стандартный, 722; 676 э Экспорт данных NetFlow, 522; 543 Эмуляция соединения, 407 Я Язык структурированных запросов, 651 Ячейка, 390 Предметный указатель 969
Научно-популярное издание Кеннеди Кларк, Кевин Гамильтон Принципы коммутации в локальных сетях Cisco Литературный редактор Верстка Художественный редактор Корректоры Н.В. Красуля Т.А. Корзун В. Г. Павлютин Л.А. Гордиенко, Л. В. Коровкина, О. В. Мишутина, Л.В. Чернокозинская Издательский дом "Вильяме" 101509, г. Москва, ул. Лесная, д. 43, стр. 1 Изд. лиц. ЛР № 090230 от 23.06.99 Госкомитета РФ по печати Подписано в печать с готовых диапозитивов 30.06.2003. Формат 70 « 100'/16. Гарнитура Times. Печать офсетная. Усл. печ. л. 87,7. Уч.-изд. л. 68,0. Тираж 2500 экз. Заказ N° 138. ОАО «Санкт-Петербургская типография № 6». 191144, Санкт-Петербург, ул. Моисеенко, 10. Телефон отдела маркетинга 271-35-42.
в локальных сетях Cisco