Реализации виртуальной локальной сети. Лава 9Реализация виртуальных

Г
Л А В А
9
Реализация виртуальных
локальных сетей
Коммутаторы Ethernet получают фреймы Ethernet, принимают решение, а затем перенаправляют (коммутируют) полученные фреймы. Эта базовая логика основана на MAC(адресах интерфейсов, на которые поступают фреймы и на которые комму(
татор перенаправляет их. На решение коммутатора о перенаправлении фреймов оказывают влияние многие факторы, но из всех рассматриваемых в данной книге наибольшее влияние оказывают виртуальные локальные сети (VLAN).
Эта глава посвящена концепции VLAN и их настройке. В первом разделе обсужда(
ются основные концепции, включая влияние сетей VLAN на отдельный коммутатор,
использование магистрального соединения для создания сетей VLAN, охватывающих несколько коммутаторов, и перенаправление трафика между сетями VLAN с использо(
ванием маршрутизатора. Во втором разделе демонстрируется настройка сетей VLAN
и их магистральных каналов, включая статическое присвоение интерфейсов.
В этой главе рассматриваются следующие экзаменационные темы
Работа сетей передачи данных IP
Передача данных между двумя хостами по сети.
Технологии коммутации сетей LAN
Базовые концепции коммутации и работа коммутаторов Cisco.
Широковещательные домены.
Таблица CAM.
Создание логических сегментов сети VLAN и необходимость маршрутизации между ними.
Принцип сегментации сети и базовые концепции управления трафиком.
Настройка и проверка сети VLAN.
Настройка и проверка магистрального соединения на коммутаторах Cisco.
Протокол DTP.
Поиск и устранение неисправностей
Поиск неисправностей и решение проблем сетей VLAN.
Идентификация настроенных сетей VLAN.
Исправление принадлежности порта.
Настройка IP-адреса.
Поиск неисправностей и решение проблем магистрального соединения на коммутаторах Cisco.
Исправление состояния магистрального канала.
Исправление конфигурации инкапсуляции.
Исправление разрешенных VLAN.
Стр. 284

Глава 9. Реализация виртуальных локальных сетей
285
285
Основные темы
Концепции виртуальных локальных сетей
Прежде чем приступить к изучению VLAN, сначала имеет смысл выяснить, что это такое. С одной стороны, локальная сеть включает все пользовательские устройства,
серверы, коммутаторы, маршрутизаторы, кабели и беспроводные точки доступа в од(
ной области. Но для концепции виртуальной сети LAN больше подходит другое опре(
деление локальной сети:
Локальная сеть (LAN) объединяет все устройства в том же широковещательном домене.
Широковещательный домен объединяет все устройства, подключенные к сети
LAN, таким образом, что когда любое из устройств посылает широковещательный фрейм, все остальные устройства получают его копию. Таким образом, с другой стороны, локальная сеть и широковещательный домен — это одно и то же.
Без виртуальных сетей коммутатор полагает, что все его интерфейсы находятся в том же широковещательном домене. Таким образом, когда на один порт коммутато(
ра поступает широковещательный фрейм, он перенаправляет его на все остальные порты. Согласно этой логике, чтобы создать два разных широковещательных домена
(или LAN), необходимо купить два разных коммутатора Ethernet (рис. 9.1).
Рис. 9.1. Создание двух широковещательных доменов
с двумя физическими коммутаторами и без сетей VLAN
При поддержке VLAN тех же целей (создание двух широковещательных доме(
нов) может достичь один коммутатор, как показано на рис. 9.1. Коммутатор VLAN
может настроить часть интерфейсов на один широковещательный домен, а часть на другой, создав в результате два широковещательных домена. Эти созданные комму(
татором индивидуальные широковещательные домены и являются виртуальными
локальными сетями (virtual LAN — VLAN).
На рис. 9.2 представлен один коммутатор, создающий две сети VLAN, его порты для каждой из них являются полностью независимыми. Коммутатор никогда не пе(
ренаправит фрейм, посланный компьютером Дино (VLAN 1), через порты на ком(
пьютер Вилмы или Бетти (VLAN 2).
Рис. 9.2. Создание двух широковещательных доменов
с использованием одного коммутатора и сети VLAN
Стр. 285

286
Часть II. Коммутация в локальных сетях
286
Проект территориальной локальной сети, в котором больше сетей VLAN с мень(
шим количеством устройств в каждой, зачастую имеет больше преимуществ. Напри(
мер, широковещательное сообщение, посланное одним хостом VLAN, будет получено и обработано всеми другими хостами данной VLAN, но не хостами в других VLAN.
Ограничение количества хостов, получающих каждый широковещательный фрейм,
снижает количество хостов, впустую тратящих ресурсы на обработку ненужных им широковещательных сообщений. Это снижает также риск нарушения безопасности,
поскольку фреймы, посланные любым хостом, поступают на меньшее количество хостов. И это лишь некоторые из причин разделения хостов на отдельные сети VLAN.
Ниже приведен список наиболее распространенных причин создания меньших ши(
роковещательных доменов (сетей VLAN):
Причины применения сетей VLAN

Сокращение дополнительных затрат процессоров всех устройств за счет со(
кращения количества устройств, получающих каждый широковещательный фрейм.

Улучшение защиты за счет сокращения количества хостов, получающих ко(
пии фреймов при их лавинной рассылке коммутатором (широковещание,
групповая передача и одноадресатные фреймы с неизвестным получателем).

Улучшение защиты хостов, пересылающих важные данные, за счет их поме(
щения в отдельную сеть VLAN.

Возможность более гибкого объединения пользователей в группы (например,
по отделам) вместо физического разделения по местоположению.

Упрощение поиска проблемы в сети, поскольку большинство проблем лока(
лизуется в области набора устройств, формирующих широковещательный домен.

Сокращение дополнительных затрат на работу протокола распределенного связующего дерева (STP) за счет ограничения VLAN одним коммутатором доступа.
Причины применения сетей VLAN подробно не рассматриваются в этой главе,
достаточно лишь знать, что они используются в большинстве корпоративных сетей.
В оставшейся части данной главы рассматривается механика работы сетей VLAN на нескольких коммутаторах Cisco, включая необходимую настройку. Для этого в сле(
дующем разделе исследуется магистральное соединение VLAN — обязательное средство при установке сети VLAN, содержащей несколько коммутаторов LAN.
Создание сети VLAN при нескольких
коммутаторах и магистральном соединении
Настройка сети VLAN с одним коммутатором требует немного усилий: доста(
точно настроить каждый порт так, чтобы указать ему номер VLAN, к которой он принадлежит. При наличии нескольких коммутаторов следует учитывать дополни(
тельные концепции перенаправления трафика между ними.
Когда сети VLAN используются в сетях с несколькими соединенными между со(
бой коммутаторами, на каналах связи между ними применяется магистральное со
Стр. 286

Глава 9. Реализация виртуальных локальных сетей
287
287
единение VLAN (VLAN trunking). Магистральное соединение VLAN подразумевает использование коммутаторами процесса назначения тегов VLAN (VLAN tagging),
когда передающий коммутатор добавляет к фрейму другой заголовок перед его пе(
редачей по магистральному каналу. Этот дополнительный заголовок включает поле
идентификатора VLAN (VLAN ID), позволяющего передающему коммутатору ассо(
циировать фрейм с конкретной сетью VLAN, а получающему коммутатору узнать,
к какой именно VLAN принадлежит данный фрейм.
На рис. 9.3 приведен пример двух сетей VLAN с несколькими коммутаторами,
но без магистрального соединения. Здесь используются две сети VLAN: VLAN 10
и VLAN 20. Каждой сети VLAN присвоено по два порта на каждом коммутаторе,
поэтому каждая сеть VLAN существует в обоих коммутаторах. Для перенаправления трафика сети VLAN 10 между двумя коммутаторами проект подразумевает наличие канала связи между ними, который полностью находится в сети VLAN 10. Анало(
гично для обеспечения трафика сети VLAN 20 между коммутаторами расположен второй канал связи, уже полностью расположенный в сети VLAN 20.
Рис. 9.3. Сети VLAN при наличии нескольких
коммутаторов, но без магистрального соединения
Проект, показанный на рис. 9.3, работает прекрасно. Компьютер PC11 (в сети
VLAN 10) вполне может послать фрейм компьютеру PC14. Фрейм попадет на ком(
мутатор SW1, а затем по каналу связи (для VLAN 10) на коммутатор SW2. Но хотя этот проект работает, его масштабирование не так просто. Для поддержки каждой сети VLAN требуется отдельный физический канал связи между коммутаторами.
Если бы понадобилось 10 или 20 сетей VLAN, то между коммутаторами пришлось бы проложить 10 или 20 каналов связи и использовать для них 10 или 20 портов на каждом коммутаторе.
Концепции назначения тегов VLAN
Магистральное соединение VLAN создает между коммутаторами один канал свя(
зи, способный поддерживать столько сетей VLAN, сколько необходимо. Коммута(
торы рассматривают магистральный канал как часть всех VLAN. Тем не менее тра(
фик в магистральном канале VLAN остается раздельным, и фреймы VLAN 10 нико(
им образом не попадут на устройства VLAN 20 (и наоборот), поскольку, пересекая магистральный канал, каждый фрейм идентифицирован номером VLAN. На рис. 9.4 приведена концепция сети с одним физическим каналом связи между двумя коммутаторами.
Стр. 287

288
Часть II. Коммутация в локальных сетях
288
Рис. 9.4. Сети VLAN с несколькими коммутаторами
и магистральным соединением
Магистральное соединение позволяет коммутаторам передавать фреймы несколь(
ких сетей VLAN по одному физическому каналу за счет добавления небольшого заго(
ловка к фрейму Ethernet. Пример на рис. 9.5 демонстрирует передачу компьютером
PC11 широковещательного фрейма на интерфейсе Fa0/1 (этап 1). Для лавинной рас(
сылки коммутатор SW1 должен перенаправить широковещательный фрейм на комму(
татор SW2. Но коммутатор SW1 должен как(то дать знать коммутатору SW2, что фрейм принадлежит сети VLAN 10, чтобы после его получения осуществить лавинную рассылку только в сети VLAN 10, а не VLAN 20. Как показано на этапе 2, перед пере(
дачей фрейма коммутатор SW1 добавил к исходному фрейму Ethernet заголовок
VLAN, в котором указан идентификатор VLAN (в данном случае VLAN 10).
Рис. 9.5. Магистральное соединение VLAN между двумя коммутаторами
Когда коммутатор SW2 получает фрейм, он понимает, что фрейм принадлежит сети VLAN 10. Затем коммутатор SW2 удаляет заголовок VLAN и перенаправляет первоначальный фрейм по интерфейсу к VLAN 10 (этап 3).
Для другого примера рассмотрим случай, когда компьютер PC21 (в сети VLAN
20) посылает широковещательный фрейм. Коммутатор SW1 посылает его через порт
Fa0/4 (поскольку этот порт находится в сети VLAN 20) и порт Gi0/1 (поскольку это магистральный канал, а значит, он поддерживает несколько разных сетей VLAN).
Стр. 288

Глава 9. Реализация виртуальных локальных сетей
289
289
Коммутатор SW1 добавляет к фрейму заголовок магистрали, содержащий иденти(
фикатор VLAN 20. Выяснив, что фрейм принадлежит сети VLAN 20, коммутатор
SW2 удалит магистральный заголовок и перенаправит его только на порты Fa0/3
и Fa0/4, поскольку они находятся в сети VLAN 20, но не на порты Fa0/1 и Fa0/2, так как они находятся в сети VLAN 10.
Протоколы магистралей VLAN 802.1Q и ISL
В последние годы компания Cisco использует два протокола магистральных со(
единений: протокол межкоммутаторных соединений (Inter(Switch Link — ISL) и про(
токол 802.1Q стандарта IEEE. Компания Cisco использовала протокол ISL задолго до появления протокола 802.1Q частично потому, что IEEE еще не определил стан(
дарт для магистралей VLAN. Несколько лет назад IEEE закончил работу над стан(
дартом 802.1Q, определяющим иной способ создания магистральных соединений.
Сейчас протокол 802.1Q стал наиболее популярным протоколом магистральных со(
единений, и компания Cisco больше не поддерживает стандарт ISL на некоторых более новых моделях коммутаторов LAN, включая 2960, который используется в примерах этой книги.
Хотя оба протокола отмечают каждый фрейм идентификатором VLAN, детали процесса у них разные. Протокол 802.1Q использует дополнительное 4(байтовое поле — заголовок 802.1Q в заголовке Ethernet первоначального фрейма, как показа(
но на рис. 9.6, сверху. Что касается полей в заголовке 802.1Q, то поле идентификато(
ра VLAN занимает только 12 битов, но для тем данной книги это не имеет значения.
Теоретически это 12(битовое поле способно идентифицировать максимум 2 12
(4096)
сетей VLAN, хотя на практике доступно максимум 4094 значения. (Согласно стан(
дартам 802.1Q и ISL, поле идентификатора VLAN имеет два зарезервированных значения — 0 и 4095.)
Рис. 9.6. Заголовок магистрального соединения по стандарту 802.1Q
Коммутаторы Cisco разделяют диапазон идентификаторов VLAN (1(4094) на два диапазона: нормальный и расширенный. Все коммутаторы могут использовать нормальный диапазон идентификаторов VLAN со значениями 1–1005, и только не(
которые могут использовать расширенный диапазон от 1005 до 4094. Правила ис(
пользования коммутаторами расширенного диапазона идентификаторов VLAN за(
висят от конфигурации протокола создания магистралей VLAN (VLAN Trunking
Protocol — VTP), кратко обсуждаемого ниже.
Для каждого магистрального канала стандарт 802.1Q определяет также один спе(
циальный идентификатор VLAN, обозначающий собственную сеть VLAN (native
Стр. 289

290
Часть II. Коммутация в локальных сетях
290
VLAN) (стандартно это VLAN 1). По определению протокол 802.1Q не добавляет заголовок 802.1Q к фреймам в собственной сети VLAN. Когда коммутатор с другой стороны магистрального канала получает фрейм без заголовка 802.1Q, он понимает,
что фрейм принадлежит собственной сети VLAN. Из(за этого оба коммутатора должны “договориться”, какую сеть VLAN считать собственной.
Согласно стандарту 802.1Q, собственная сеть VLAN обладает некими уникаль(
ными функциями: она, например, способна обеспечивать соединения с устройст(
вами, которые не поддерживают магистральное соединение. Например, коммутатор
Cisco может быть подключен к коммутатору, который не поддерживает магистраль(
ные соединения 802.1Q. Коммутатор Cisco мог бы послать фреймы со значением собственной сети VLAN, т.е. без магистрального заголовка, и другой коммутатор будет понимать их. Концепция собственной сети VLAN позволяет коммутаторам передавать трафик как минимум одной сети VLAN (собственной VLAN), поддержи(
вая некоторые базовые функции, такие как доступность коммутатора по Telnet.
Перенаправление данных между сетями VLAN
При создании территориальной локальной сети, содержащей много сетей VLAN,
требуется обеспечить всем устройствам возможность передавать данные на все ос(
тальные устройства. Давайте обсудим некоторые из концепций перенаправления данных между сетями VLAN.
В первую очередь это поможет усвоить терминологию коммутаторов LAN. Все функции и логика коммутаторов Ethernet, описанные до сих пор, соответствовали протоколам уровня 2 модели OSI. Например, в главе 6 упоминалось о том, что ком(
мутаторы LAN получают фреймы Ethernet (концепция уровня 2), распознают MAC(
адрес получателя (адрес уровня 2) и перенаправляют фрейм Ethernet на другой ин(
терфейс. В этой главе уже упоминалась концепция сетей VLAN как широковеща(
тельных доменов, что тоже является концепцией уровня 2.
Хотя некоторые коммутаторы LAN работают так, как описывалось до сих пор,
другие коммутаторы LAN обладают куда большими возможностями. Коммутаторы
LAN, передающие данные на основании логики уровня 2, зачастую называют ком
мутаторами уровня 2 (Layer 2 switch). Но есть коммутаторы, способные выполнять некоторые функции маршрутизатора, — они используют дополнительную логику,
определенную протоколами уровня 3. Эти коммутаторы называют многоуровневыми
коммутаторами (multilayer switch), или коммутаторами уровня 3 (Layer 3 switch).
Этот раздел начинается с обсуждения перенаправления данных между сетями VLAN
коммутаторами уровня 2, а завершается обсуждением применения для этого комму(
таторов уровня 3.
Маршрутизация пакетов между сетями VLAN
с использованием маршрутизатора
При включении виртуальной локальной сети (VLAN) в проект территориальной локальной сети все устройства сети VLAN должны быть в той же подсети. Согласно той же логике, устройства в разных сетях VLAN должны принадлежать разным под(
сетям. Например, два компьютера, показанные на рис. 9.7, слева, находятся в сети
VLAN 10 и в подсети 10. Два компьютера, показанные справа, находятся в другой сети VLAN (20) и в другой подсети (20).
Стр. 290

Глава 9. Реализация виртуальных локальных сетей
291
291
Рис. 9.7. Маршрутизация на коммутаторах между двумя
физически отделенными сетями VLAN
ВНИМАНИЕ!
Подсети на рисунке обозначены несколько абстрактно, как “подсеть 10”, чтобы не отвлекать(
ся на номера подсетей. Обратите также внимание на то, что номера подсетей не должны сов(
падать с номерами сетей VLAN.
Коммутаторы уровня 2 не будут перенаправлять данные между двумя сетями
VLAN. Фактически одна из задач сетей VLAN заключается в том, чтобы отделить тра(
фик одной виртуальной сети от другой и предотвратить попадание фреймов из одной сети VLAN в другую. Например, если компьютер Дино (VLAN 10) пошлет любой фрейм Ethernet на коммутатор SW1 уровня 2, то коммутатор не станет перенаправлять его на компьютеры справа, находящиеся в сети VLAN 20.
Сеть в целом должна обеспечивать передачу трафика, входящего и исходящего из каждой сети VLAN, даже при том, что коммутатор уровня 2 не перенаправляет фреймы за пределы виртуальной сети. Задачу перенаправления данных между сетя(
ми VLAN выполняет маршрутизатор. Вместо коммутации фреймов Ethernet уровня
2 между двумя сетями VLAN сеть должна перенаправлять между этими двумя подсе(
тями пакеты уровня 3.
Поскольку в предыдущем абзаце встретилась довольно специфическая формули(
ровка, связанная с уровнями 2 и 3, уделим минуту этой теме. Логика уровня 2 не по(
зволяет коммутатору уровня 2 перенаправлять фреймы Ethernet уровня 2 (L2PDU)
между сетями VLAN. Однако маршрутизаторы могут перенаправить пакеты уровня 3
(L3PDU) между подсетями, как и положено.
На рис. 9.8, например, представлен маршрутизатор, способный перенаправлять пакеты между подсетями 10 и 20. На рисунке демонстрируется тот же коммутатор уровня 2, что и на рис. 9.7, с теми же компьютерами и теми же сетями VLAN и под(
сетями. Но теперь коммутатор подключен к маршрутизатору R1 одним физическим интерфейсом, принадлежащим сети VLAN 10, и вторым, принадлежащим сети
VLAN 20. При соединении с каждой подсетью коммутатор уровня 2 вполне может продолжить перенаправлять фреймы в каждой сети VLAN, в то время как маршру(
тизатор будет решать задачу о направлении пакетов IP между подсетями.
На рис. 9.8 показан пакет IP, передаваемый компьютером Фреда из одной сети
VLAN (подсети) на компьютер Бетти, находящийся в другой сети VLAN (подсети).
Коммутатор уровня 2 передает два разных фрейма Ethernet уровня 2: один в сети
VLAN 10, от компьютера Фреда на интерфейс F0/0 маршрутизатора R1, и другой,
в сети VLAN 20, от интерфейса F0/1 маршрутизатора R1 на компьютер Бетти. С точки зрения уровня 3 компьютер Фреда посылает пакет IP на свой стандартный маршрути(
затор (R1), он перенаправляет пакет на другой интерфейс (F0/1) в другую подсеть, где располагается компьютер Бетти.
Стр. 291

292
Часть II. Коммутация в локальных сетях
292
Рис. 9.8. Маршрутизация между двумя сетями VLAN на двух физических интерфейсах
Хотя проект на рис. 9.8 вполне работоспособен, он использует слишком много физических интерфейсов, по одному на каждую VLAN. Намного менее расточи(
тельное (и более предпочтительное) решение подразумевает использование магист(
рального канала VLAN между коммутатором и маршрутизатором. Так, для под(
держки всех сетей VLAN достаточно только одного физического канала связи между маршрутизатором и коммутатором. Магистральное соединение возможно между любыми двумя устройствами, способными поддерживать его: между двумя комму(
таторами, между маршрутизатором и коммутатором и даже между аппаратными средствами сервера и коммутатором.
На рис. 9.9 представлен концептуально тот же проект, что и на рис. 9.8, с тем же пакетом, следующим от компьютера Фреда к компьютеру Бетти, но теперь маршру(
тизатор R1 использует магистральное соединение VLAN вместо отдельного канала связи для каждой сети VLAN.
Рис. 9.9. Маршрутизация между двумя сетями VLAN
с использованием магистрального канала на маршрутизаторе
ВНИМАНИЕ!
Поскольку у маршрутизатора один физический канал связи, подключенный к коммутатору
LAN, такой проект сети иногда вызывают “маршрутизатор на палочке” (router(on(a(stick).
Еще немного терминологии: концепцию на рис. 9.8 и 9.9 иногда упоминают как
“маршрутизацию пакетов между сетями VLAN” (routing packets between VLAN). Эту
Стр. 292

  1   2   3   4