Сетевая модель osi vlan

Данный пост навеян общением с инженерами первой линии и призван навести порядок в фундаментальных знаниях работы сети передачи данных Ethernet в их головах. Если же вы опытный старый Одмин в свитере с оленями и протертыми локтями, то не смотрите далее — разговор пойдет о базовых вещах в простой разговорной форме.

Коммутация

Коммутатор, он же Switch, устройство созданное для коммутации клиентов, связанных одной сетью. Самый простой свитч — это «тупняк» в русском разговорном или Hub, если по-модному. Хабов уже, как таковых, давно не выпускают и все устройства теперь называются свитчами. Разница между хабом и свитчем заключается в работе с таблицей mac-адресов: свитчи запоминают на каком порту у них тот или иной клиент по его маку и при общении разных клиентов, свитч соединяет 2 своих порта, не напрягая остальные, а хаб просто делает ретрансляцию любого пришедшего пакета на все остальные свои порты не задумываясь.

Ну и несколько выводов, которые можно сделать по этой скудной информации:

1) свитчи работают на 2ом уровне модели OSI (канальный), обмен пакетами осуществляется между мак-адресами;

2) свитчи используют для внутренней коммутации клиентов (ПК, телефоны и пр.);

3) свитчи бывают умные (cisco), которые работают с VLAN’ами, умеют разруливать петли в коммутации (Spanning-Tree), вести статистику и пр. И не очень (тупняки, d-link, tplink. ), они могут даже иметь веб-интерфейс, но умными от этого не станут.

Маршрутизация

Маршрутизатор, он же Router, как следует из названия работает с маршрутами. Эти устройства призваны перенаправлять трафик из одной сети в другую (из локальной в сеть интернет, например), т.е. это изначально умные железки, которые обладают всем функционалом свитчей, кроме количества портов, плюс дополнительными фишками. Из этих фишек можно отметить фаервол, роутинг, динамическая маршрутизация, vpn и пр. Роутеры используют для разграничения сети интернет и локальной сети. На них пишутся правила доступа ко внутренним ресурсам, правила выхода в интернет локальных хостов, строятся vpn-туннели, если у компании несколько офисов и мн.др. Роутеры работают на 3-7 уровне OSI, т.е. по ip-адресу (3 уровень) выстраивается маршрутизация в локальной сети, а сами пакетики, которые проходят через роутер, могут быть препарированы до 7 уровня (прикладного или уровень приложений), когда роутер знает не только с какого ip-адреса в ЛВС идет трафик в интернет, но и какое приложение его генерирует: браузер, мессенжер или обновы для винды. Роутеры так же могут быть коммутаторами, но в денежном эквиваленте у них будут очень дорогие порты, т.к. их мало и редко бывает больше 5. Как правило, чем дороже и функциональнее роутер, тем меньше у него физических портов. Так же все роутеры в базе умеют работать с VLAN’ами и без труда можно завести несколько подсетей в разных вланах, которые транком (trunk, тегированный трафик) кинуть на умный свитч.

Итого, что мы можем сказать про роутеры:

1) это всегда умные устройства, которые работают на 3 и выше уровне OSI;

Читайте также:  Укажите топологию сети которая не является базовой

2) роутеры ставят, чтобы разделить одну сеть от другой;

3) роутер можно использовать как свитч, но свитч нельзя использовать как роутер;

4) у роутеров должен присутствовать механизм шифрования и дешифровки трафика.

Модель OSI

Не буду тут описывать что это, если кто не знаком с терминологией, то велком на Вики . Там все просто и доступно написано.

Типовая схема офисной маршрутизации

Итак, начнем препарировать данную схему и на пальцах поймем как работает сеть ethernet. Дано:

коммутатор тут не отмечен адресом, но он умеет работать с vlan’ами, значит умный (чтобы не путаться, оставим как есть и примем это за «дано»)

два ПК в разных вланах 192.168.2.228 и 192.168.4.100

сервер с двумя интерфейсами, которые смотрят в разные вланы

Ситуация 1

Допустим, DHCP-сервер поднят на сервере и выдает следующие настройки:

пул адресов: 192.168.2.2-192.168.2.254

пул адресов: 192.168.4.2-192.168.4.254

В этом случае весь трафик будет течь через сервер, а сервер, если на нем настроена роль маршрутизатора, будет перенаправлять трафик на 192.168.4.21 и у всех будет счастье.

Ситуация 2

На сервере нет роли маршрутизатора и шлюзом мы сразу выставим 192.168.4.21. В этом случае интернет будет работать только в сети 192.168.4.0/24. Почему?! Потому что шлюзом может быть только адрес из той сети, которую получает и знает конечный клиент. В маршрутизации вообще все довольно просто, если разобраться. Например, компьютер 192.168.4.100 будет знать только о своих соседях: 192.168.4.1, принтер и 192.168.4.21, т.к. он их выучит, когда разошлет бродкастом свой новый адрес, который получит от ДХЦП-сервера. Во вторую сеть и обратно никакого доступа не будет, т.к. комп из 4 сети будет слать все пакеты на 4.21, а он не ведает, что есть сетка 192.168.2.0/24. А ПК 2.228 не найдет пути, где находится роутер 4.21, т.к. шлюз, который ему выдал ДХЦП находится в неизвестной для него сети.

Ситуация 3

ДХЦП-сервер поднят на роутере и выдает подсети, как в первом случае. Тогда мы получим следующую нехорошую вещь. Интернет и ресурсы у нас будут работать только в 4 подсети, при этом во 2 даже ничего не появится. Все это объясняется тем, что коннект к роутеру указан аксессом в 4 подсеть и выхода во 2 у него просто нет, он не знает где это и что это такое. Чтобы исправить это надо к роутеру подать транк с двумя подсетями и прописать роутеру Ip-адрес во 2 подсетке, например, 192.168.2.21. Но в этом случае можно уже сразу и шлюзом его ставить без использования сервака.

Ситуация 4

Допустим, у нас не свитч, а L3 коммутатор (он же «ядро»), на котором заведены вланы, прописаны интерфейсы, например 192.168.2.2 и 192.168.4.2. А также прописан дефолтный маршрут 0.0.0.0 0.0.0.0, который ссылается на 192.168.4.21. В этом случае на ДХЦП мы указываем в качестве шлюзов для ПК его адреса в каждом из вланов и получаем полное счастье, когда и интернет работает и компы в разных вланах друг друга видят и даже принтер работает. 😉

ИТОГО

Чтобы понять как у вас работает маршрутизация, нужно пошагово разобрать все хопы от ПК и до конечной точки назначения. В ПК указан шлюз, если организация побольше, использует много вланов и есть сетевики, то шлюзом для ПК на 99,9% будет «ядро». Обычно это Cisco. Далее на ядре указываются статические маршруты и дефолтный, который смотрит на устройство, которое раздает интернет. Статические маршруты могут быть, например, между ядрами или у вас два роутера с «разным» интернетом и на один сайт вы хотите заходить с одного адреса, а на другой из-под второго провайдера. Но это притянуто за уши для простоты объяснения. На самом деле реальные задачи требуют гораздо более изощренных схем.

Читайте также:  Компьютерные сети и комплексы что за профессия

Итак, к нашей схеме, допустим, в центре у нас ядро и на нем стоит статика, что сайт яндекса надо искать на сервере, тогда ваш трафик в интернет от ПК пойдет весь на роутер, кроме тех адресов, которые вы забьете статикой и перенаправите на ваш сервер. И на ПК в браузере при запросе страницы яндекса будет открываться ваш портал на сервере. При этом даже не надо иметь свой ДНС сервер и править что-то в нем.

Вот так работает маршрутизация: где следующий хоп? А, вижу! и т.д. Все просто.

Источник

Виртуальная локальная сеть VLAN — Объясняем на картинках

Что такое Virtual local area network (VLAN) это виртуальная локальная сеть, позволяющая делить 1 физическую сеть на некоторое количество других логических сетей, которые работают вне зависимости друг от друга. Надеюсь вы прочитали статью про модель открытых систем OSI, так как технология vlan реализуется коммутаторами и находится на канальном уровне модели.

Для чего нужна vLan?

Зачем делить 1 сеть на несколько изолированных частей? К примеру, когда строят сеть для большой компании, известно, что каждый отдел хочет иметь свою собственную сеть, которая разделена от других.

Конечно, можно создать отдельную физическую сеть на основе отдельных коммутаторов. Но если строить сеть огромного бизнес-центра, то мы заранее не поймем сколько будет арендаторов, сколько квадратных метров им будет нужно. Следовательно, нужно построить одну большую сеть для всего бизнес-центра, а потом логически делить ее на отдельные части в зависимости от нужды арендаторов.

Преимущества деления и изоляции vlan

Во-первых, безопасность. Если ты арендуешь помещение в каком-либо здании, тебе необходимо, чтобы данные были недоступны для других арендаторам.

Во-вторых, это распределение нагрузки. Например, рядом с вами в организации работает команда, которая занимается разработкой сетевых протоколов, и они активно работают. Вдруг, в их эксперименте что-то пошло не так, и вся сеть компании упала. Соответственно, вы не хотите, чтобы их действия повлияли на работу вашей сети.

В-третьих, ограничение широковещательного трафика. Если коммутатор не может найти в каком порту находится получатель, то он отправляет этот кадр на все порты. В сети с огромным множеством компьютеров такого широковещательного трафика много и он занимает высокий % нагрузки сети. А если вы изолируете сеть, то широковещательный трафик будет распространяться в рамках этой изолированной сети и объем трафика сокращается.

VLAN в коммутаторах

В большинстве случаев, чтобы обозначить виртуальные сети, используют различные цвета. К примеру, у нас есть ноутбуки, которые подключены к единственному коммутатору. Порты коммутатора отмечены разными цветами в зависимости, в какой vlan они входят. Порты, которые синим цветом входят в синий vlan, соответственно жёлтые в жёлтый. Ноутбуки, которые находятся в синем vlan могут взаимодействовать, друг с другом и не могут отправить никаких данных ноутбукам, которые находятся в желтом vlan и наоборот.

Читайте также:  Топология сети конспект информатика

Связь vlan между компьютерами

Как это работает?

В таблице коммутации, на рисунке ниже, есть поле в котором написано “идентификатор VLAN”, как правило для этих целей используют обычные числа.

По таблице смотрим, что порт 1 и 5 входят в vlan №2, а порты 2-4 в vlan №3. Если компьютеры подключенные к порту 1 и входящие в vlan 2 попытаются переслать данные к компьютеру подключенному к порту 4 входящий в вилан 3, то даже если компьютер отправителя знает MAC-адрес компьютера получателя, коммутатор не передаст этот кадр. Потому что порты находятся в разных виртуальных сетях и передача данных между ними невозможна.

Таблица для расчета vlan на одном коммутаторе

Хорошо, когда сеть построена на одном коммутаторе, тогда подойдет вариант с таблицей коммутации и номерами vlan. Что делать, если в сети используются 2 или более коммутаторов? При отправлении кадров от одного коммутатора к другому, нужна информация к какому вилэну принадлежит передаваемый кадр. Информацию о № vlan нужно включать в отправляемый кадр, альтернативного варианта получить эту информацию у принимающего коммутатора нет.

Пример коммутатора

С противоположной стороны, формат кадра Ethernet задан стандартом IEEE и в нем нет места для идентификатора VLAN. Чтобы включить № вилан в Ethernet кадр, нужно было изменить формат. Это изменение было предложено в стандарте IEEE 802.1Q. Но было нельзя просто добавить отдельное поле для номера вилан, потому что нужно обеспечить согласование со всем существующим оборудованием.

Стандарт IEEE 802.1Q

В стандарте IEEE 802.1Q в поле тип кадра, было предложено, вместо протокола верхнего уровня вставить специальное значение в шестнадцатеричном виде 8100 — это показатель того, что кадр содержит номер вилана. Далее в части, где в стандартном кадре Ethernet должны находиться данные, есть поле из 2-х байт, которое содержит номер вилана — Тег и еще одно поле из двух байт, куда записывается код протокола вышестоящего уровня.

Чтобы передавать данные размером 1500 байт в кадрах с идентификатором вилана, max длина кадра была увеличена на четыре байта.

Тип стандартного кадра vlan

Передача данных с использованием стандарта IEEE 802.1Q

Сетевой адаптер в ноутбуке генерит Ethernet кадр, внутри которого вложен IP пакет, в поле “Тип” — код протокола уровня выше, содержится значение 0800.

Разбор примера vlan

Коммутатор получает этот кадр, и понимает, что он был получен с ноутбука входящего в желтый вилан. Например, номер желтого вилана 2. Коммутатор добавляет служебные поля, в поле “Тип” протокола следующего уровня, значение 0800 заменяется на 08100. Потом добавляется номер вилана 2 и записывается код протокола следующего уровня 0800, для того, чтобы его, в дальнейшем можно было восстановить.

Разбор примера vlan

Принимающий информацию коммутатор извлекает эту информацию о vlan, осознает, что кадр был отправлен вилэн с номеров 2, т.е. в желтый вилан. Затем этот коммутатор удаляет из кадра информацию о номере вилэн и восстанавливает старое значение протокола следующего уровня 0800, что соответствует IP.

Разбор примера vlan

И вот такой кадр отправляет принимающему ноутбуку. Сейчас почти все сетевые адаптеры поддерживают стандарт 802.1Q и уже сам ноутбук может вставить нужные поля с номером вилана в кадр.

Заключение

В итоге отметим, что технология VLAN позволяет делить 1 сеть на несколько изолированных друг от друга частей. Вилэн реализуются на коммутаторах и находится на канальном уровне открытых систем. Есть два типа технологии вилэн: Нетегированные — номер vlan в таблице коммутации и Тегированные -номер вилэн в кадре (стандарт 802.1Q).

Источник

Оцените статью
Adblock
detector