Администрирование_в_информационных_системах_Беленькая_М_Н_

чтобы прочитать адрес назначения. После определения адреса процессор принимает решение о передаче фрейма, выбирая по адресной таблице соответствующий выходной порт. Коммутационная матрица формирует соединение входного и выходного портов. Если полученный адрес отсутствует в адресной таблице, он записывается в новой строке, а фрейм передается методом широкого вещания через все порты за исключением принявшего. Буфер может быть общим или индивидуальным для каждого порта.

При наличии индивидуальных запоминающих устройств каждого порта, фреймы хранятся в очередях, количество которых соответствует количеству выходных портов. Фрейм передается на выходной порт только тогда, когда все фреймы, находившиеся впереди него в очереди, были успешно переданы.

При использовании обшей памяти все фреймы хранятся

вобщем буфере памяти, который используется всеми портами коммутатора. Такой метод называется динамическим распределением буферной памяти. Фреймы, находящиеся в буфере, динамически распределяются по выходным портам. Это позволяет получить фрейм с одного порта и отправить его на другой порт, не создавая очередей.

Всовременных сетях коммутаторы выполняют большее число функций, чем мосты, поскольку они позволяют осуществлять большее число соединений, работают гораздо быстрее, чем мосты, а также поддерживают новые функции, такие как виртуальные локальные сети (VLAN). В мостах коммутацию может осуществлять и программное обеспечение,

вто время как в коммутаторах коммутация обычно выполняется аппаратно.

Каждый коммутатор увеличивает задержку в сети. Эта задержка зависит от типа коммутатора и используемого метода коммутации. АС должен регулярно проводить мониторинг производительности сети и контроль задержек с помощью специализированных средств.

Поскольку коммутатор представляет собой сложное вычислительное устройство, имеющее несколько процессорных модулей, то помимо выполнения основной функции — передачи фреймов с порта на порт по алгоритму моста, он выполняет ряд дополнительных функций. Рассмотрим наиболее распространенные дополнительные функции коммутаторов, которые

поддерживаются большинством производителей коммуникационного оборудования [21, 22].

Процессор порта коммутатора может запоминать MAC-адрес подключенного к нему узла или адреса нескольких узлов, если они подключены через другой коммутатор (концентратор). Это позволяет защитить сеть от несанкционированного подключения. Администратор сети имеет возможность определять: время хранения MAC-адреса, устанавливать и изменять MAC-адреса.

Как отмечалось ранее, для временного хранения фреймов коммутатор имеет буферное запоминающее устройство. Если выходной порт коммутатора занят, а источник информации постоянного передает фреймы, то в большинстве случаев даже очень большой объем буферной памяти не предотвратит ее переполнения. В случае переполнения буфера коммутатор не в состоянии запоминать поступающие фреймы, поэтому они будут утрачены. Специальными командами XON и XOFF коммутатор регулирует приостановку и возобновление передачи поступающей информации от узла [36].

Коммутаторы могут выполнять трансляцию одного протокола канального уровня в другой, например Ethernet в FDDI, Fast Ethernet в Token Ring. При этом они работают по тем же алгоритмам, что и транслирующие мосты, т. е. в соответствии со спецификациями IEEE 802.1Н, определяющими правила преобразования полей фреймов разных протоколов.

Многие коммутаторы позволяют администраторам задавать дополнительные условия фильтрации фреймов наряду со стандартными условиями их фильтрации в соответствии с информацией адресной таблицы. Для создания дополнительных барьеров, которые ограничивают доступ определенных групп пользователей к определенным службам сети, задействуются пользовательские фильтры.

Наиболее простыми являются пользовательские фильтры на основе физических адресов узлов. Поскольку коммутатор работает с физическими адресами, это позволяет задавать такие фильтры в удобной для администратора форме. Возможно, проставляя некоторые условия в дополнительном поле адресной таблицы, например уничтожать фреймы с определенным адресом. При этом пользователю, работающему на компьютере с данным адресом, полностью запрещается доступ к ресурсам другого сегмента сети.

Часто администратору требуется задавать специальные условия фильтрации, например наложить запрет для некоторого пользователя на печать своих документов на определенном сервере печати определенного сегмента сети, а остальные ресурсы этого сегмента сделать доступными. Для реализации такого фильтра нужно запретить передачу фреймов с определенным адресом.

Построение сетей на основе коммутаторов позволяет ввести приоритезацию фреймов, причем делать это независимо от технологии сети [21, 22]. Эта возможность является следствием того, что коммутаторы буферизуют фреймы перед их отправкой на другой порт. Коммутатор обычно ведет для каждого входного и выходного порта не одну, а несколько очередей, причем каждая очередь имеет свой приоритет обработки. Однако не все протоколы канального уровня поддерживают поле приоритета фрейма, например у фреймов Ethernet оно отсутствует. В этом случае коммутатор должен использовать какой-либо дополнительный механизм для связывания фрейма с его приоритетом. Наиболее распространенный способ — приписывание приоритета портам коммутатора. При таком способе коммутатор помещает фрейм в очередь соответствующего приоритета в зависимости от того, через какой порт поступил фрейм в коммутатор. Но если к порту коммутатора подключена не отдельная рабочая станция, а сегмент, то все узлы сегмента получают одинаковый приоритет.

Поддержка приоритетной обработки особенно необходима и должна быть использована администратором системы для приложений, предъявляющих различные требования к допустимым задержкам фреймов и к пропускной способности сети, например IP-телефония, видео.

Приоритезация трафика коммутаторами в настоящее время является одним из основных механизмов обеспечения качества транспортного обслуживания в сетях. К каким уровням задержек приводит приписывание того или иного уровня приоритета фрейму, и какую пропускную способность обеспечивает приоритет потоку фреймов невозможно определить заранее. Администратор системы может выяснить последствия ее применения только экспериментальным путем с использованием соответствующих средств контроля производительности. Тем не менее фреймы с более высоким приоритетом будут обра-

батываться раньше менее приоритетных фреймов, и все показатели качества обслуживания у них будут выше. Гарантии качества обслуживания дают технологии, которые основаны на предварительном резервировании качества обслуживания, например, технологии глобальных сетей Frame Relay и АТМ или протокол RSVP в сетях ТСР/IP [16, 19, 20].

Для всех TR-коммутаторов обязательна поддержка алгоритма покрывающего дерева Spanning Tree (STA) [8]. Алгоритм покрывающего дерева предназначен для связи сегментов сетей. Чтобы предотвратить потерю работоспособности сети при выходе из строя устройства, соединяющего сегменты сети, необходимо организовывать между сегментами резервные связи. Например, в один и тот же сегмент сети можно попасть через три моста/коммутатора. Но тогда следует предусмотреть алгоритм, который предотвращал бы наличие замкнутых путейпетель. При передаче по ним широковещательных фреймов, не имеющих определенного назначения, возникает зацикли-

Рис. 4.3. Широковещательный шторм

вание или еще более опасная ситуация — так называемый широковещательный шторм или буря. Обычно пакетные бури возникают в тех случаях, когда отклик на широковещательный пакет передается в широковещательном режиме, что приводит к экспоненциальному росту трафика. Вероятность их повышается, если в сети есть «усиливающий элемент», такой как три параллельных пути на рис. 4.3. В течение очень короткого времени (например, 1 с) вся сеть перегружается широковещательными фреймами, и больше никто не может передать полезный фрейм (см. рис. 4.3.).

Алгоритм для предотвращения петель стандартизирован IEEE для TR-мостов и коммутаторов в стандарте IEEE 802.1d и называется STA (Spanning Tree Algorithm).

Алгоритм STA формализует сеть в виде графа, вершинами которого являются коммутаторы в сегменте сети (рис. 4.4).

Алгоритм обеспечивает поиск древовидной топологии связей с единственным путем от каждого коммутатора и от каждого сегмента до некоторого выделенного коммутатора (корня дерева, Root Switch) при минимально возможном расстоянии. В качестве корневого коммутатора выбирается коммутатор с минимальным адресом, ему присваивается максимальный приоритет. В качестве расстояния в STA используется метрика — величина, обратно пропорциональная пропускной способности сегмента. Метрика (для STA) — это время передачи одного бита, измеренное в 10-наносекундных единицах

Рис. 4.4. Дерево мостов в соответствии с алгоритмом STA

(условное время сегмента). Например, для сегмента Ethernet 10 Мбит/с метрика равна 10 условным единицам.

Корневой коммутатор рассылает остальным коммутаторам специальный «hello-пакет». Коммутаторы ретранслируют этот пакет, для того чтобы каждый коммутатор определил минимальные расстояния от всех своих портов до корневого коммутатора. Алгоритм определяет, какой коммутатор или связь между коммутаторами является основной, а какой (какая) — резервной. Основные метятся как «передающие» (forward), а резервные — как «заблокированные» (standby). Если основная связь или коммутатор вышли из строя, они заменяются резервными. Таким образом, существует один путь для каждого сегмента, а резервные пути находятся в состоянии ожидания для использования в случае выхода из строя коммутатора или связи между коммутаторами.

Алгоритм выделяет корневые порты на коммутаторах. Корневой порт — это порт промежуточного коммутатора, имеющий кратчайшее расстояние до корневого коммутатора. Алгоритм ограничивает количество промежуточных коммутаторов (hops) величиной равной 7, а число сегментов — соответственно 8. Для ускорения работы в коммутаторах реализованы дополнительные алгоритмы RSTP и MSTP. Алгоритмы применяются во всех коммутаторах и параметры их работы должны указываться администратором системы при загрузке операционной системы коммутатора.

Все коммутаторы поддерживают средства организации виртуальных сетей.

Виртуальной сетью (VLAN) называется группа станций сети, пакеты которой, в том числе и широковещательные, на канальном уровне полностью изолированы от других станций сети. Объединение станций в такие группы выполняется либо на основе принадлежности к портам коммутатора, либо на основе принадлежности фреймов к одному сетевому протоколу, либо по MAC-адресам станций. Таким образом, существуют виртуальные сети, базирующиеся:

—на портах — статические VLAN;

—на МАС-адресах — динамические VLAN;

—на сетевых протоколах;

—на сложных правилах (например, комбинации протокола, адреса и т.п.).

При параметризации операционной системы коммутатора тип такого объединения задается администратором системы. При этом передача фреймов между разными виртуальными сетями на основании адреса канального уровня невозможна. Внутри виртуальной сети фреймы передаются в соответствии с технологией коммутации, т. е. только на тот порт, который связан с адресом назначения фрейма.

Назначение технологии виртуальных сетей состоит в защите от несанкционированного доступа и в создании изолированных сетей, которые затем могут быть связаны с помощью маршрутизаторов, реализующих какой-либо протокол сетевого уровня, например IP. Такое построение сети создает барьеры на пути ошибочного трафика из одной сети в другую.

Для объединения виртуальных сетей в общую сеть требуется использование протоколов сетевого уровня. Они могут быть реализованы в специальном устройстве — маршрутизаторе (раздел 4.2.1), а могут работать и в составе программного обеспечения коммутатора, который в этом случае становится комбинированным устройством — так называемым коммутатором 3-го уровня. Считается, что крупная сеть (от 1000 портов) должна включать в себя маршрутизаторы, иначе потоки ошибочных фреймов, например широковещательных, будут периодически заполнять всю сеть через прозрачные для них коммутаторы, приводя ее в неработоспособное состояние [21, 22].

Возможно решение, при котором коммутаторы соединены между собой магистральными каналами и порты коммутатора работают в магистральном режиме. При этом потоки нескольких VLAN мультиплексируются в одном физическом канале. Для того чтобы мультиплексировать потоки данных от различных VLAN, существуют специальные протоколы, которые инкапсулируют (поглощают) фреймы и снабжают их метками (тегами) принадлежности к определенной VLAN: IEEE 802.10, LAN Emulation (LANE), IEEE 802.1Q, Inter-Switch Link (ISL).

Первые два протокола используются для технологий FDDI и ATM. Более подробно о них имеет смысл прочитать в дополнительной литературе, последние два протокола рассмотрим подробнее.

Протокол IEEE 802.1Q используется в сетях Ethernet и тег размером в два байта содержит следующие поля:

—Ethertype. Это поле определяет принадлежность пакета протоколу IEEE 802.1Q при условии, что его содержимое равно 0х8100, в противном случае этот пакет не принадлежит протоколу IEEE 802.1Q;

—PR. Трехразрядное поле приоритета определяет важность пакета;

—ID VLAN (VID). Идентификатор определяет номер виртуальной сети. Всего может существовать не более 4096 виртуальных сетей.

После того как фрейм принят входным портом коммутатора, решение о его дальнейшей обработке принимается на основании правил входного порта (Ingress rules). Возможны следующие варианты: прием только фреймов типа Tagged, прием только фреймов типа Untagged, прием фреймов обоих типов.

Если правилами входного порта определено, что можно принимать фрейм типа Tagged, в котором имеется информация о принадлежности к конкретной виртуальной сети (ID VLAN), то этот фрейм передается без изменения. А если определена возможность работы с фреймами типа Untagged, в которых не содержится информация о принадлежности к виртуальной сети, то такой фрейм преобразуется входным портом коммутатора к типу Tagged. Чтобы такое преобразование стало возможным, каждому порту коммутатора присваивается уникальный PVID (Port VLAN Identifier), определяющий принадлежность порта к конкретной виртуальной сети внутри коммутатора (по умолчанию все порты коммутатора имеют одинаковый идентификатор PVID=1). Фрейм типа Untagged преобразуется к типу Tagged, для чего дополняется меткой VID . Значение поля VID входящего Untagged-фрейма устанавливается равным значению PVID входящего порта, т. е. все входящие Untagged-фреймы автоматически приписываются к той виртуальной сети внутри коммутатора, к которой принадлежит входящий порт.

После того как все входящие фреймы обработаны, решение об их передаче к выходному порту основывается на предопределенных правилах продвижения пакетов. Правило продвижения пакетов внутри коммутатора заключается в том, что пакеты могут передаваться только между портами, ассоциированными с одной виртуальной сетью. Каждому порту при-

сваивается идентификатор PVID, который используется для преобразования принимаемых Untagged-фреймов и для определения принадлежности порта к виртуальной сети внутри коммутатора с идентификатором VID-PVID. Таким образом, порты с одинаковыми идентификаторами внутри одного коммутатора ассоциируются с одной виртуальной сетью. Если виртуальная сеть строится на базе одного коммутатора, то идентификатора порта PVID, определяющего его принадлежность к виртуальной сети, вполне достаточно. Но, создаваемые таким образом сети не могут перекрываться, поскольку каждому порту коммутатора соответствует только один идентификатор.

После того как фреймы внутри коммутатора переданы на выходной порт, их дальнейшее преобразование зависит от правил выходного порта. Трафик внутри коммутатора создается только пакетами типа Tagged, а входящий и исходящий трафики могут быть образованы пакетами обоих типов. Соответственно правилами выходного порта (правило контроля метки — Tag Control) определяется, следует ли преобразовывать кадры Tagged к формату Untagged. Каждый порт коммутатора может быть сконфигурирован как Tagged или Untagged Port. Если выходной порт определен как Tagged Port, то исходящий трафик будет создаваться фреймами типа Tagged с информацией о принадлежности к виртуальной сети. Выходной порт не меняет тип фреймов, оставляя их такими же, какими они были внутри коммутатора. К указанному порту может быть подсоединено только устройство, совместимое со стандартом IEEE 802.1Q. Если выходной порт коммутатора определен как Untagged Port, то все исходящие фреймы преобразуются к типу Untagged, т. е. из них удаляется дополнительная информация о принадлежности к виртуальной сети. К такому порту можно подключать любое сетевое устройство, в том числе коммутатор, не совместимый со стандартом IEEE 802.1Q.

Дополнительно существует механизм для членов одной сети, позволяющий регистрировать и распространять информацию о существующих виртуальных сетях. Этот механизм определен стандартом 802.1p и называется GARP (Generic Attribute Registration Protocol). Так, информация о VLAN может быть зарегистрирована в базе данных коммутатора при помощи трех типов специальных пакетов и обработана потом двумя процессами — GVRP и GMRP. Эта опция используется для

больших сетей. Источники подробной информации об этом приведены в разделе «Дополнительная информация».

Протокол Inter-Switch Link (ISL) был реализован компанией Cisco для организации соединения между коммутаторами, маршрутизаторами и сетевыми адаптерами, используемыми на сетевых узлах, таких как серверы. Суть его заключается в том, что к стандартному фрейму Ethernet добавляется заголовок размером 26 байт. При этом поле контрольной информации не пересчитывается. Заголовок ISL имеет следующие поля:

—DA — поле группового адреса получателя. Если 40 разрядов группового адреса установлены в 01-00-0С-00-00 или 03-00-0С-00-00, то он является признаком пакета ISL;

—Type — 4-разрядное поле типа фрейма, указывает на тип среды, в которую передается кадр. Возможны следующие варианты: 0000 — для Ethernet, 0001 — для Token Ring, 0010 — для FDDI и 0011 — для ATM;

—User — 4-разрядное поле пользователя, используется для указания уровня приоритета кадра: хх00 — нормальный, хх01 — приоритет 1, хх02 — приоритет 2 и хх11 — самый высокий приоритет.

—SA — 48-разрядный адрес источника кадра;

—LEN — 16-разрядное поле. Это поле определяет длину пакета за исключением полей DA, Type, User, SA, LEN и CRC — всего 16 байт;

—AAAA03 — 24-разрядное стандартное поле для кадра ISL;

—HAS — старшая часть адреса источника фрейма. Это поле в 24 разряда определяет изготовителя порта источника фрейма;

—VLAN — 15-ти разрядный адрес виртуальной сети. Используется только 10 младших разрядов, что позволяет определять 1024 виртуальных сетей;

—BPDU — одноразрядная протокольная единица обмена мостов. Используется протоколами связующего дерева STP, а также для открытого протокола Cisco — CDP или протокола виртуальных сетей VTP.

—INDX — 16-разрядный индекс для указания адреса порта. Этот индекс может иметь любое значение и предназначен для использования в диагностических целях.

—RES — 16-разрядное резервное поле. Используется только в FDDI и Token Ring. В Ethernet оно заполнено нолями.