
- •Мазмұны
- •1.1 Сурет– Коммутация элементінің стандартты моделі
- •Виртуалды локалды желінің жіктелуі
- •7.1 Сурет - порт негізіндегі vlan
- •Трафикті сегментациялау
- •10.1 Сурет - Traffic Segmentation функциясын қолдану
- •Ieee 802.1х хаттамасы
- •10.2 Сурет - Аутентификация сервері (radius)
- •10.3 Сурет - аутентификация сервері
- •10.4 Сурет - Коммутатор authenticator
- •12.3 Сурет - ip-телефониядағы жалғастыруды орнату және ажырату
- •13.1 Сурет - ngn - келешек ұрпақтың торабы
- •Әдебиеттер тізімі
Виртуалды локалды желінің жіктелуі
Виртуалды локалды желінің бірнеше түрі бар. Олардың айырмашылықтары қандай да бір VLAN мүшесі болуында. Мысалы:
- станция қосылған порт нөміріне байланысты VLAN мүшесі болу. Станция араласатын басқа да порттар осы VLAN-ға қосылады;
- VLAN нөмірі қондырғының МАС адресі бойынша берілуі мүмкін. Бұл жағдайда нақты бір VLAN қатысты МАС адрестері жазылған кестені сақтау керек;
- VLAN нөмірлі қондырғының IP адресі бойынша берілуі мүмкін. Бұл жағдайда нақты бір VLAN қатысты IP адрестері жазылған кестені сақтау керек;
- өте сирек кездесетін VLAN түрлері де қолданылады. Бұл жағдайда VLAN жазылу қондырғы беретін трафик түріне байланысты болады;
- қазіргі кезде көп тараған пароль мен логин берілетін VLAN қолданылады.
Белгілері бойынша VLAN динамикалық және статикалық болып бөлінеді:
Статикалық VLAN – бұл виртуалды локалды желі VLAN жазылу коммутаторды реттеу арқылы орындалады. Олар желінің жағдайына байланысты өзгермейді. Мысалы, статикалық порт негізіндегі VLAN:
7.1 Сурет - порт негізіндегі vlan
Бұл жағдайда бір түсті портпен станция өзара байланыса алады. Олар басқа түсті портқа қосылған станцияларға шыға алмайды. Егер, бір VLAN-ға қосылған станция басқа VLAN портына қосылса, онда станция автоматты түрде басқа VLAN мүшесі бола алады. МАС адресті статикалық VLAN мысалы 7.2- суретте келтірілген.
Бұл жағдайда VLAN тек бір коммутатор аймағында жұмыс істей алады, МАС адресінің мәліметін коммутаторға өзіміз енгіземіз.
Статикалық VLAN ерекшелігі:
- конфигурациясы қарапайым және өте жылдам: нақты бір VLAN-ға тиісті порттарын енгізу немесе МАС адрес кестесін жазу;
7.2 Сурет - МАС адресті VLAN
- статикалық VLAN желінің өте жоғарғы қорғағыш дәрежесін береді. өйткені желідегі кез-келген өзгерістер коммутатордың қайта конфигурациялауын талап етеді. Әлсіз жері МАС адрестерді алмастыру немесе физикалық қатынастың коммутаторға қосылуы болып табылады.
Кемшілігі: статикалық VLAN порт нөмірі немесе МАС адресі бойынша тек бір коммутатордың аймағында орындалады.
Динамикалық VLAN – бұл қондырғыны қайта конфигурациялаусыз автоматты түрде қайта орналастыра алады.
Динамикалық VLAN-ды қолдау үшін барлық қондырғылар мен тұтынушылар жазылған ақпараты бар сервер қолданылады. Серверді қолдану арқылы жазылу сипаттамаларды таңдау мүмкіндіктерін туғызады. Өйткені аутентификация мен авторизацияны басқаруды коммутатор орындамайды, сервердің бағдарламамен қамтамасыз етуін ПО орындайды. Сонымен нақты бір VLAN-ға ену тек МАС, IP адрестері немесе хаттама түрлері ғана емес, сонымен қатар тұтынушы аты, смарт-карта, токен, компьютердің сериялық нөмірлері арқылы да енуге болады.
Коммутаторда үш түрлі VLAN және кеңжолақты домен қолданылады:
- порт базасындағы VLAN;
- кеңжолақты домен MAC-адрес базасында;
- қосымша кадр өрісіндегі белгі негізіндегі VLAN – IEEE 802.1Q стандарты.
а) порт базасындағы VLAN
Порт базасындағы VLAN-ды қолдануда (бұл портқа қандай компьютер немесе тұтынушы қосылғанына байланысты емес), әрбір порт нақты бір VLAN-ға тәуелді болады. Бұл осы портқа қосылған барлық тұтынушылар бір VLAN-ның мүшесі бола алады. Портты конфигурациялауды тек өзіміз өзгерте аламыз. Оның негізгі сипаттамалары:
- бір коммутатор аймағында қолданылуы. Мысалы, бір коммутаторға бірнеше жұмысшы топтарын ұйымдастыру.
- реттеу (настройки) қарапайымдылығы. Бір VLAN-ға қосылған әрбір портқа бір немесе сол идентификатор VLAN (VLAN ID) беріледі.
- станцияны басқа жаққа көшірмей-ақ желі топологиясын логикалық өзгерту мүмкіндігі. Ол үшін бір VLAN-ның порт нөмірін екінші VLAN-ға ауыстыру керек. Мысалы: техникалық бөлімдегі VLAN –ды сату бөлімінің VLAN –на, сонда жұмысшы станция жаңа мүшелерімен бірге қатынастарды (ресурстарды) орындай алады.
- әрбір порт тек бір VLAN-ға ғана кіре алады. Бір коммутатор ішінде немесе екі коммутатор аралығында виртуалды желіні ұйымдастыру үшін IP деңгейін қолдану қажет. Әрбір VLAN-ның бір порты маршрутизаторға қосылады және онда бір желіден екінші желіге берілетін пакеттің маршрут кестесі жазылады.
Мұның кемшілігі әрбір VLAN-ның бір порты маршрутизаторға қосылуы, өйткені қолданылатын кабель мен порт және маршрутизаторлардың көп қолданылуы шығынды көбейтеді. Бұл кемшілікті болдырмас үшін екі әдіс қолданылады: біріншіден: бір портты бірнеше VLAN-қосылатын коммутаторларды қолдану, екіншіден: 3-ші деңгейлі коммутаторды қолдану.
б) VLAN MAC-адрес базасында
Бұл әдіс администраторлардың қолмен енгізу жұмыстарын талап етеді. Бірақ та бұл виртуалды желіні құрауда бірнеше порттарды топтастыруға қарағанда бірнеше коммутаторларды қолдану тиімді әрі иілгіш болып келеді. Әрбір коммутаторға МАС-адрестерін топтастыру бірнеше порттарды құруды болдырмайды.
в) 802.1Q стандартын қолданатын VLAN
Бұл технология фреймдерді (теггирование) белгілейді:
- tagging – «тегирование» - 802.1q стандарты бойынша VLAN туралы ақпаратты фреймге енгізеді;
- untagging – «растегирование» - 802.1q стандарты бойынша VLAN туралы ақпаратты фреймнен алып тастайды;
- ingress port – кіріс порты, фрейм келетін порт және (tagging «тегирование») бар жоғын анықтайды;
- egress port – шығыс порты, тексеруден өткен фреймнің шығысы.
№ 8 дәріс. Негізгі тармақ хаттамасы
Мазмұны:
- негізгі тармақ хаттамасы;
- негізгі тармақтағы STP және RSTP хаттамаларының параметрлерін басқару.
Мақсаты:
- Spanning Tree (STA) алгоритмін оқып-үйрену;
- негізгі тармақтағы STP және RSTP хаттамаларының параметрлерін басқаруды оқып-үйрену.
Spanning Tree Protocol (IEEE 802.1d) хаттамасы
Spanning Tree Protocol хаттамасы 1983 жылдары шыққан. Ethernet желісінде коммутаторлар тармақталған байланысты қолдайды, яғни (петля) ілгіш болмайды. Бұл альтернативті арналарды ұйымдастыруда ерекше хаттама мен технологияларды қолдануды талап етеді.
Spanning Tree (STA) алгоритмі коммутаторлардың автоматты түрде желідегі порттардың өзара еркін байланысуындағы тармақталған байланыс конфигурациясын анықтауды талап етеді.
STP хаттамасын қолдайтын коммутаторлар автоматты түрде компьютер желісінде тармақталған байланыс конфигурациясын құрайды. Мұндай конфигурацияны - Spanning Tree деп атайды (иногда ее называют остовым деревом). Бұл конфигурация қызмет пакеттерін алмасуды қолдануда автоматты түрде коммутаторда құрылады.
STP хаттамасының жұмысы.
STA алгоритмі әрбір (мост) көпірге идентификаторды беруді талап етеді. Көпір идентификаторы – екі бөлімнен тұратын 8-байтты өрісті: администратормен берілген -2-байт приоритетті, ал 6-байт МАС адресінен тұрады. Әрбір портқа идентификаторына - МАС адрес беріледі. Сонымен қатар әрбір көпір порты осы желі арқылы өтетін кадрлардың берілуінің құнын анықтайды.
Тармақталған ағаш процессі көпір тамырынан (корневого моста (root switch)) басталады, көпір тамыры идентификатор нөмірі аз коммутатордан басталады. Кейбір кезде администратор өзі коммутаторға аз нөмірлі идентификаторды беріп, көпір тамыры ретінде тағайындайды.
STP жұмысының екінші кезеңі – желідегі басқа коммутаторлар үшін порт тамыры ретінде бір коммутаторды тағайындау.
Коммутатордың тамыр порты – бұл тамыр коммутаторына ең жақын жолды тағайындау.
STP жұмысының үшінші кезеңі – берілген порттарды анықтау.
Коммутацияланатын желіде әрбір сегментке белгіленген бір порт (назначенный порт- designated port) беріледі. Бұл порт көпірдің ең басты функциясын орындайды, яғни сегменттен пакетті қабылдайды және оларды берілген бағыт бойынша көпір тамырына жібереді. Берілген сегмент үшін белгіленген порттан тұратын коммутатор осы сегменттің белгіленген көпірі (назначенным мостом -designated bridge) деп аталады. Белгіленген порт коммутаторға ең қысқа қашықтықта орналасады. Ол коммутаторда жалғыз болуы мүмкін. Көпір тамырында барлық порттар белгіленеді, өйткені олардың көпірге дейінгі ара қашықтықтары нөлге тең. Тамырлы көпірде тамырлы порт болмайды.
Тармақты құрғанда ара қашықтық басты мәселе болады. Сондықтан әрбір коммутаторды тамырлы коммутатормен жалғастыратын және әрбір сегментті тамырлы коммутатормен жалғастыратын жалғыз порт таңдалады. Қалған барлық порттар резервте болады, яғни олар қарапайым кадр мәліметтерін бере алмайды. Мұндай таңдауда желідегі активті портта ілгіш (петля) болмайды, ал қалған жалғаулар ағаш тармақтарын құрайды.
STA-да қашықтық ретінде жол құны көрсетіледі (стоимость пути -Path Cost) – ол коммутатор портынан тамырлы коммутаторға дейінгі қашықтықтардың қосындысы уақыт шартымен анықтайды. Сегменттің уақыт шарты ақпараттың бір битін беру уақытымен есептелінеді, ол 10 наносекудпен өлшенеді. Мысалы, 10 Мбит/с Ethernet сегменті үшін уақыт шарты 10 бірлік шартымен (условным единицам) анықталады.
Ағаш тармақтарын есептеу коммутатор қосылып тұрғанда және топологияның өзгеруінде орындалады. Бұл есептеулер коммутатор аралығындағы ақпараттардың периодты алмасуын талап етеді, яғни арнайы пакет көмегімен орындалады. Оларды көпір хатамаларының мәліметтер блогы деп атайды - BPDU (Bridge Protocol Data Unit).
BPDU пакеттері ілмексіз желі топологиясын құру үшін арналған негізгі ақпаратты құрайды:
- коммутатор идентификаторы, түбірлі коммутатор оның негізі болып табылады;
- бастапқы коммутатордан түбірлі коммутаторға дейінгі қашықтық (маршрут құны);
- порт идентификаторы.
BPDU пакеттері арна деңгейіндегі кадр мәліметтер өрісінде сақталады, мысалы, Ethernet кадрларында.
BPDU пакеттері келесі өрістерден тұрады:
- STA хаттамасының идентификатор версиясы - 2 байт. Коммутаторлар бір және осы STA хаттамасының версиясын қолдау қажет, басқалай ілгішпен активті конфигурация орнатуы мүмкін;
- BPDU түрі - 1 байт. BPDU екі түрі қолданылады – конфигурациялы BPDU, яғни түбірлі коммутатор ретінде қолданылуы мүмкін. Байланыс болмағанда, порт бос болмағанда, порт немесе коммутаторлардың өзгеруін хабарлайтын коммутаторлардан берілетін - хабарламалы BPDU;
- жалау - 1 байт. Бір бит конфигурацияның өзгеруін құрайды, екінші бит - конфигурацияның өзгеруін бекітетін жалауды анықтайды;
- түбірлі коммутатор идентификаторы - 8 байт;
- түбірге дейінгі қашықтық - 2 байт;
- коммутатор идентификаторы - 8 байт;
- порт идентификаторы - 2 байт;
- хабардың берілу уақыты - 2 байт;
- hello (время приветствия) интервалы, ол арқылы BPDU пакеттері беріледі;
- жағдайлардың ауысудағы кідіруі - 2 байт.
STP жұмысы
Мысал ретінде ілгішті қосу арқылы қосылған үш коммутатор қолданылады. Пакеттер желіде кідіруі мүмкін. Мысалы LAN1 желісіндегі компьютер кеңжолақты пакетті беру керек. Коммутатор А бұл пакетті сегментке қосылған барлық коммутаторларға жібереді. В коммутаторы пакетті қабылдап, С коммутаторына жібереді. С коммутаторы А коммутаторынан осы кеңжолақты пакетін қабылдап, В коммутаторына жібереді. Ол А коммутаторына алынған пакетті қайта жібереді. Яғни пакет желіде қайта – қайта беріліп жүре береді. Бұл желінің жұмыс қабілеттілігіне әсер етеді. Сондықтан STP көмегімен С және В коммутаторларының арасы блокировкаланады.
Қорек көзі қосылғаннан соң әрбір коммутатор өзін түбірлі коммутатор деп санайды. Ол hello (время приветствия) интервалы арқылы BPDU генерациялағанда өзінің идентификаторын түбірлі коммутатор идентификаторымен араластырады. Түбір арасындағы қашықтық нөлге тең болады. Ал порт идентификаторы ретінде BPDU берілетін порт идентификаторы көрсетіледі.
8.1 Сурет - Spanning Tree қолдану алдында
Коммутатор BPDU қабылдағаннан соң ол өзінің кадрларын беруді тоқтатады. Ол жаңа түскен кадрларды береді. Кадрларды беруде әрбір коммутатор өзінің порты үшін түбірге дейінгі ең аз қашықтықты таңдайды. Беруді аяқтағаннан соң әрбір коммутатор өзінің түбірлі портын анықтайды, ол басқа порттарға қарағанда тармақ түбіріне жақын болады.
Коммутатор A (корневой мост – көпір түбірі) BPDU бергенде, олардың жүру жол құны нөлге тең болады. Ал коммутатор B BPDU қабылдағында Port 1 (4) жол құнын қосады. Содан соң коммутатор B 4-ті қолданып, BPDU 4-ке тең жол құнымен Port 3 және Port 2 арқылы түбірге жібереді.
С коммутаторы В коммутаторынан BPDU қабылдайды. Ол түбірге дейінгі жол құнын 23 (4 + 19) көбейтеді. Сонымен қатар С коммутаторы BPDU А коммутаторынан Port 1 арқылы қабылдайды. Бұл жағдайда жол құны нөлге тең болады. Сондықтан С коммутаторы жол құнын 4-ке көбейтеді (Port 1 жол құны 4-ке тең). Енді С коммутаторы жалғыз бір түбір портын таңдайды. С коммутаторы түбірлі порт ретінде Port 1 таңдайды. Өйткені оның жол құны аз. Содан соң С коммутаторы басқа коммутаторларға түбірге дейінгі жол құны 4-ке тең екенін хабарлайды. В коммутаторының түбірлі порт жолын таңдауы да дәл осылай жүреді.
8.2 сұлба - Spanning Tree қолданғаннан соң
Бұдан басқа, коммутаторлар желінің әрбір сегменті үшін белгілі бір портты таңдайды. Ол үшін олар өздерінің түбір портын қарастырмайды, ал қалған порт қашықтықтарын өзінің түбірлі портына дейінгі қашықтығымен салыстырады. Егер өзінің портының қашықтығы қабылданған порт қашықтығынан аз болса, онда ол белгіленген порт болып саналады. Белгіленген порттан басқа барлық порттар блокировкаланады. Осымен тармақ жұмысы аяқталады.
Түбірге дейін арақашықтықтары бірдей бірнеше порт болса, онда идентификаторы аз порт таңдалады.
В коммутаторында Port 2 белгіленген негізгі порт болып саналады. Оның түбірлі портқа дейінгі жол құндылығы Port 3 (23) портқа қарағанда (19) тең. Сондықтан В коммутаторында Port 3 блокировкаланады. С коммутаторында белгіленген негізгі порт Port 3 болып саналады. Оның жол құндылығы 19 тең, ал Port 2 –блокировкаланады.
№ 9 дәріс. Порттардың өткізу қабілетілігін топтастыру технологиясы
Мазмұны:
- порттардың өткізу қабілеттілігін топтастыру технология жұмысын басқару;
- топтасқан каналдарды реттеу.
Мақсаты:
- порттардың өткізу қабілеттілігін топтастыру технология жұмысын басқаруды оқып-үйрену;
- топтасқан каналдарды реттеу және құру.
Порттарды топтастыру және жоғарғы жылдамдықты магистралды желіні құру
Қазіргі кезде байланыс арналарының жоғарғы сенімділігі мен өнімділігін арттыру үшін бірнеше хаттамалар мен функциялар орындалады. Соның ішінде кеңінен көп тарағаны екі технология негізінде құралған коммутаторлар аралығындағы резервті байланыс:
1. резервтеу режимі, біреуі резервте болады, ал екіншісі жұмыс істеп тұрады. Егер біреуі істен шықса, резервтегі коммутатор оны алмастыра алады.
2. жүктемені бөлу режимі; бұл жағдайда мәліметтер параллельді барлық жалғастыруларда беріледі.
Порттарды топтастыру (Port Trunking) – бұл бірнеше физикалық каналдарды (Link Aggregation) бір логикалық магистралға топтастыру. Жоғарғы жылдамдықты каналда мәліметтерді беру үшін бірнеше порттарды топтастыру қажет.
STP хаттамасына қарағанда (Spanning Tree – протокол покрывающего дерева) физикалық каналдарды топтастыруда барлық артық (избыточные) байланыстар жұмыс жағдайында болады, ал жүктемені бөлу үшін трафик олардың арасына бірдей бөлінеді. Осы логикалық каналдағы бір байланыс желісі істен шықса, онда трафик қалған каналдарға бірдей бөлініп беріледі.
9.1 Сурет - коммутатор аралығында байланыс каналдарын топтастыру
Топтастырылған арналарға қосылған порттар топ мүшесі болып саналады. Топтағы бір порт «байланысшы» ретінде қызмет атқарады. Топтастырылған каналдағы барлық топ мүшелері бірдей режимде жұмыс істеулері қажет. Сондықтан топтағы порттарды реттеу үшін тек «байланысшы» портты ғана реттеу (настроить) қажет.
Егер бір сеанста берілетін пакеттер топтасқан арнаның әртүрлі портында берілсе, онда жоғарғы деңгейдегі OSI хаттамасында қиындықтар пайда болуы мүмкін. Мысалы, бір сеанстағы екі немесе одан да көп кадрлар топтасқан арнаның әртүрлі портында берілсе, онда берілу ұзындықтарының әртүрлі болуынан және олардың буферлерінде бірқалыпсыз кідірістің пайда болу салдарынан соңғы кадр алдыңғы кадрлардан озып кетуі мүмкін. Сондықтан арналарды топтастыруда кадрларды порттарға таратудың динамикалық емес статикалық әдісі қолданылады, яғни екі түйін арасындағы топтастырылған арнаға нақты бір сеанстың кадр ағындары ғана беріледі. Бұл жағдайда барлық кадрлар бір және сол тізбектілікпен беріледі. Әдетте, статикалық таратылуда нақты бір сеанс үшін портты таңдау түскен пакеттің белгісі бойынша орындалады (портты топтастыру алгоритмін таңдау негізінде). Бұл шығу көзінің МАС-адресі немесе оның қызметі.
Байланыс жолын топтастыру топтасқан арнаның бір портында нүкте-нүкте режимін қолдайтын кез-келген коммутаторда ұйымдастыруға болады.
Арналарды топтастыруды «коммутатор-коммутатор» немесе «коммутатор- файл-сервер» жалғастыруындағы жоғарғы жылдамдықты талап ететін желі нұсқасы ретінде қарастыруға болады.
Сонымен қатар бұл функцияны желінің сенімділігін жоғарылату үшін де қолдануға болады. Байланыс желісінде ақау пайда болса, онда топтастырылған канал тез арада (1 секунд ішінде) басқа желіге ауысуы мүмкін.
9.2 Сурет - Топтастырылған канал бойынша мәліметтер ағынын тарату
D-Link DES-3226S, DES-3326S, DES-3250TG, DGS-3324SR коммутаторларының бағдарламамен қамтамасыз етілуі топтастырылған канал байланысының екі түрін қолданады: статикалық және динамикалық. Статикалық ПО-да коммутатордағы барлық реттелулер (настройка) қолмен орындалады, ал динамикалық ПО-да IEEE 802.3ad стандартына сәйкес орындалады, яғни (Link Aggregation Control Protocol) хаттамасын қолданады. Ол канал конфигурациясын тексереді, пакеттерді әрбір физикалық желіге береді. Сонымен қатар бұл хаттаманың байланыс желісіндегі каналдарды алып тастауға немесе қосуға мүмкіндігі бар.
Бұл үшін топтастырылған байланыс каналын реттеуде бір коммутатордың портын «активті», ал екінші бір коммутатордың портын «пассивті» ету керек. Бұл жағдайда LACP хаттамасын қолдайтын «активті» порт басқару кадрындағы мәліметтерді өңдей алады. Бұл порт топтарын динамикалық өзгерте алады, яғни порттарды қосып, немесе алып тастай алады. Ал «пассивті» порт басқару кадрын өңдей алмайды.
IEEE 802.3ad стандарты Ethernet-каналының барлық түрінде қолданыла береді. Оның көмегімен бірнеше Gigabit Ethernet каналдардан тұратын көптеген Гигабитті байланыс желісін ұйымдастыруға болады.
№ 10 дәріс. D-Link басқару қондырғылары
Мазмұны:
- желідегі қатынас шектелуін басқару;
- трафикті сегментациялау және бақылау қатынас негізінде трафикті фильтрациялау;
- коммутатордың порт жағдайы.
Мақсаты:
- трафикті сегментациялау және бақылау қатынас негізінде трафикті фильтрациялау оқып-үйрену;
- коммутаторды реттеу жағдайын оқып-үйрену.
Желідегі қатынастың шектелуі
Коммутаторларда МАС-адрестердің стандартты динамикалық функциясынан басқа МАС-адрестік стандартының статикалық кестелерін енгізу функциялары да қолданылады. Бұл коммутатор арқылы пакеттердің толық жүруін бақылайды.
Ол үшін біріншіден, коммутатордың кестелерін жаңартуды блокировкалау қажет (егер желінің конфигурациясы өзгермейтін болса), яғни МАС-адрес кестесін блокировкалау. Сонда коммутатор белгісіз адрестен түскен пакеттерді қабылдамайды.
Екіншіден, коммутатор портына МАС – адресті қолмен енгізу керек, сонда коммутатор МАС-адрес порт мәліметін тұрақты сақтап отырады. D-Link коммутаторлары 256 жазылымға дейінгі МАС-адрес статикалық кестесін сақтай алады.
Коммутаторлар МАС-адрес қондырғысын көрсете отырып МАС-адрес фильтрлеу кестесін реттей алады, сонда көрсетілген кіріс және шығыс пакеттер қабылданбайды.
Сонымен, жоғарыда көрсетілген функцияларды қолдана отырып, желіні санкционерлі емес қатынастардан сақтауға болады. Мысалы, желідегі жұмысшы станциялардың МАС-адрестерін коммутатор портына қосып, содан соң коммутатор кестесін блокировкалау арқылы белгісіз адрестен түскен пакеттерді өткізбеуге болады. Бұл функция үй желілерін құруда және интернет желісін локалды желіге қосқанда қауіпсіздік жағдайын орнатуға өте тиімді.