4.1.1.4 Повторители, мосты, мультиплексоры, переключатели и маршрутизаторы

Для блокировки размножения пакетов и нежелательных транзитов применяются сетевые мосты или переключатели. Мост соединяет два сегмента сети, при инициализации он изучает списки адресов устройств, подсоединенных к каждому из сегментов. В дальнейшем мост записывает в свою память эти списки и пропускает из сегмента в сегмент лишь транзитные пакеты. Существуют мосты, которые оперируют с физическими и с IP-адресами (cм. стандарт IEEE 802.1d).

Рис. 4.1.1.4.2. Схема сетевого моста

Мост является активным устройством, которое способно адаптироваться к изменениям в окружающей сетевой среде. При этом пакеты, отправленные из сегмента А и адресованные устройству, которое подключено к этому же сегменту, никогда не попадут в сегмент Б и наоборот. Через мост проходят лишь пакеты, отправленные из сети А в Б или из Б в А.

Функцию моста с определенными скоростными ограничениями может выполнять и обычная ЭВМ, имеющая два сетевых интерфейса и соответствующее программное обеспечение. Мосты при разумном перераспределении серверов и рабочих станций по сетевым сегментам позволяют выровнять и даже эффективно снизить среднюю сетевую загрузку. Когда на один из входов моста приходит пакет, производится сравнение адреса получателя с содержимым внутренней базы данных. Если адрес в базе данных отсутствует, мост посылает широковещательный запрос в порт, противоположный тому, откуда получен данный пакет с целью выяснения местоположения адресата. Понятно, что появление в субсетях a и Б двух объектов с идентичными адресами ни к чему хорошему не приведет. При поступлении отклика вносится соответствующая запись в базу данных. Параллельно анализируется и адрес отправителя и, если этот адрес в базе данных отсутствует, производится его запись в банк адресов соответствующего порта. В базу данных записывается также время записи адреса в базу данных. Содержимое базы данных периодически обновляется.

Переключатели

К любой подсети может вести несколько путей, но для нормальной работы мостов и переключателей все пути кроме одного должны быть заблокированы. Функциональная схема работы моста показана на рис. 4.1.1.4.3. Сети, между которыми включается мост, не обязательно должны работать согласно идентичным протоколам. Возможны мосты между Ethernet и Token Ring или между Ethernet и ATM (все это, разумеется, редкая экзотика).

Рис. 4.1.1.4.3 Блок-схема работы сетевого моста

Мост, имеющий более двух портов, называется переключателем. Первый переключатель был разработан фирмой Калпане в 1991 году. Иногда переключатели называются маршрутизаторами, тем более что некоторые из них поддерживают внутренние протоколы маршрутизации (например, RIP). Некоторые современные переключатели способны фильтровать пакеты по IP-адресам и даже портам (L4!). Переключатели имеют внутреннюю параллельную магистраль очень высокого быстродействия (от десятков мегабайт до гигабайт в сек.). Эта магистраль позволяет переключателю совместить преимущества повторителя (быстродействие) и моста (разделение информационных потоков) в одном устройстве. Схемы реализации переключателей варьируются значительно, каких-либо единых стандартов не существует. Алгоритм работы с адресами здесь тот же, что и в случае мостов. В последнее время переключатели стали наиболее широко используемыми сетевыми приборами, так как они практически исключают столкновения.

Рис. 4.1.1.4.3a. Пример сети с тремя переключателями и четырьмя субсетями

Если предположить, что в каждой из субсетей содержится порядка 250 ЭВМ, то число записей в хэш-таблицах переключателей может достигать 1000, и это не предел. Ведь любой из переключателей должен знать, куда передавать кадры, адресованные ЭВМ из любой субсети. К сожалению, поставщики сетевого оборудования редко сообщают предельные объемы таблиц переадресации.

Существуют переключатели, работающие в режиме “на пролет” (cut through). Здесь первые биты пакета поступают на выход переключателя, когда последующие еще только приходят на вход. Решение о переадресации пакета принимается, когда принят адрес места назначения. Задержка в этом случае минимальна, но переключатель пропускает через себя пакеты, поврежденные в результате столкновений, шума или наводок. Альтернативой такому режиму является передача через буферную память (схема передачи SAF - Store And Forward). Поврежденные пакеты в этом режиме отбрасываются, но задержка заметно возрастает. Кроме того, буферная память должна иметься на всех входах (или общая многопортовая). При проектировании сетей следует иметь в виду, что переключатели превосходят маршрутизаторы по соотношению производительность/цена.

В последние годы наибольшее распространение получили переключатели типа SAF, в особенности для скоростей 10GE. Но и cut through переключатели все еще производятся, например, компанией CISCO. Задержка пакетов впереключателе зависит от длины очереди (загрузки, вариант SAF), а также от функциональности прибора. Например, он может глубоко анализировать содержимое коммутируемых пакетов (уровни 4-7) с целью обеспечения безопасности..

При проектировании локальной сети следует учитывать то обстоятельство, что узлы с самым напряженным трафиком должны располагаться как можно ближе к повторителю. В этом случае среднее число коллизий в единицу времени будет ниже. По этой причине сервер должен располагаться как можно ближе к повторителю или другому сетевому устройству (см. рис. 4.1.1.4.6).

Схема внутренних связей переключателя может отличаться от приведенной на рис. 4.1.1.4.4 и иметь конфигурацию, показанную на рис. 4.1.1.4.5. Привлекательность такой схемы заключается в возможности реализации обмена по двум непересекающимся направлениям одновременно (См. LAN. Журнал сетевых решений, май 1998, том 4, N5, стр 21. Дмитрий Ганжа). От разделяемых к коммутируемым сетям). При этом эффективная пропускная способность многопортового переключателя может в несколько раз превосходить полосу пропускания сети, например, 10 Мбит/с.

Рис. 4.1.1.4.5. Вариант схемы внутренних связей переключателя.

Рис. 4.1.1.4.6 Схема подключения сервера к переключателю

При использовании в сети большого числа мостов и/или переключателей может сформироваться топология связей, когда от одного сегмента к другому пакет может попасть более чем одним путем (см. рис. 4.1.1.4.7). Приведенная на рисунке схема неработоспособна и некоторые связи должны быть ликвидированы. В данном примере проблема может быть решена удалением мостов BR-2 и BR-3 или разрывом связей, помеченных символом “X”.

Протокол STP

Проблему ликвидации связей, способных привести к зацикливанию, решает протокол STP (Spanning Tree Protocol; алгоритм предложен Пёлманом в 1992 году), который автоматически блокирует некоторые соединения, а в случае недоступности основного пути открывает эти заблокированные соединения, обеспечивая высокую надежность сети. STP является частью протокола мостов IEEE 802.1s (1990г).

Таблица стандрартов уровня МАС

При использовании протокола STP каждой связи присваивается при конфигурации определенный вес (чем меньше, тем выше приоритет). Мосты периодически рассылают специальные сообщения (BPDU - Bridge Protocol Data Unit), которые содержат коды их уникальных идентификаторов, присвоенные им при изготовлении. Мост или переключатель с наименьшим значением такого кода становится корневым ("корень дерева"). Затем выявляется наикратчайшее расстояние от корневого моста/переключателя до любого другого моста в сети. Граф, описывающий дерево наикратчайших связей, и является "расширяющимся деревом". Такое дерево включает все узлы сети, но необязательно все мосты/переключатели. Этот алгоритм функционирует постоянно, отслеживая все топологические изменения.

Рис. 4.1.1.4.7. Пример реализации алгоритма "расширяющееся дерево"

VLAN

VXLAN

VXLAN представляет собой схему инкапсуляции MAC-через-UDP, которая позволяет построить виртуализованный уровень L2 для расширения физических IP-сетей.

Существует несколько стандартов MAC-поверх-IP, включая EtherIP и GRE-туннели (Generic Routing Encapsulation). Но ни один из них не относится к сегментам VLAN, где действует ограничение на максимальное число сегментов < 4096.

Даже если вы можете использовать эти стандарты с логическими сегментами, вам нужно просматривать поля данных МАС-пакетов, чтобы выяснить идентификатор виртуального сегмента. VXLAN использует 24-битовые идентификаторы сегментов, что позволяет иметь многие миллионы виртуальных сегментов в одном информационном центре. Далее, формат VXLAN-пакетов легко реализовать аппаратно, открывая возможность дальней шей более плотной интеграции с физическим сетевым оборудованием.

Некоторые утверждают, что “думать о VXLAN нужно, когда в вашем информационном центре более 250 виртуальных машин” (кто бы возражал?), на самом деле следует использовать VXLAN, если вам нужны сотни логических сегментов.

VXLAN масштабируется лучше— 4,096 VLANs против 16 миллионов VXLAN-сегментов. Но у VLAN на данный момент имеется огромное преимущество: логическая субсеть, использующая инкапсуляцию VXLAN, не может обмениваться данными с физическими устройствами, такими как переключатели, устройства балансировки трафика или firewall. Впрочем, можно ожидать, что некоторые поставщики переключателей для информационных центров реализуют VXLAN на уровне L3. Единственная возможность соединить VXLAN-сегмент с внешним миром заключается в использовании виртуального устройства L3, такого как vShield Edge, маршрутизатор Vyatta или система балансировки нагрузки F5, имеющие один vNIC (виртуальный сетевой интерфейс) в физическом VLAN и один или более vNIC в VXLAN-сегментах.

Можно ли реализовать VXLAN через любую IP-сеть? Практически, да. Это требует IP-мультикастинга через посредство уровня 2 (широковещательные или мультикаст-запросы). VXLAN является идеальной технологией, когда вы строите полностью виртуализованную систему типа Infrastructure-as-a-Cloud service, где вы хотите полагаться для связи извне с субсетями пользователя на сконфигурированные пользователем приложения.

Классификация трафика в LAN

В стандарте IEEE 802.1p предусмотрено разделение трафика по приоритетам (CoS). В IEEE 802.1q предусмотрено 8 уровней приоритета трафика. Данная технология была реализована в сети 100VG-AnyLan (IEEE 802.12), где были предусмотрены очереди с высоким приоритетом (HPQ). 3-битовые коды CoS присваиваются пользователем. Поле CoS является частью 32-битовой метки пакета в стандарте 802.1q. Значения кодов CoS перечислены в таблице ниже.

Таблица классов трафика CoS (IEEE 802.1q)

VLAN могут строиться согласно протоколу IEEE 802.3ac (если имеющееся оборудование его поддерживает). Формат кадра этого протокола показан на рис. 4.1.1.4.8. Кадр при попадание во входной интерфейс VLAN снабжается 4-октетной меткой, которая анализируется коммутаторами 802.1q. Эта метка размещается в заголовке кадра между полями адреса отправителя и длины кадра (см. рис.). Когда кадр покидает VLAN, метка из кадра удаляется. В остальных отношениях форматы кадров 802.3 и 802.3ас совпадают.

Рис. 4.1.1.4.8. Формат кадра уровня L2 в случае использования протокола 802.3ас

Некоторые современные мосты используют так называемую маршрутизацию отправителя (source routing). Такая маршрутизация предполагает, что отправитель знает, находится ли адресат в пределах локальной сети и может оптимально определить путь доставки. При посылке кадра другой сети отправитель устанавливает старший бит своего адреса равным единице. Одновременно в заголовке кадра прописывается весь маршрут. Каждой сети присваивается 12-битовый идентификатор, а каждому мосту ставится в соответствие 4-битовый код, уникальный в контексте данной сети. Это означает, что мосты в пределах одной сети должны иметь разные идентификаторы, но их коды могут совпадать, если они находятся в разных сетях. Мост рассматривает только кадры с единицей в старшем бите адреса места назначения. Для этих кадров просматриваются коды сети в списке, записанном в заголовке. Если в списке содержится код, совпадающий с тем, который характеризует сеть, где находится мост, кадр переадресуется в эту сеть. Реализация алгоритма может осуществляться программно или аппаратно. Если путь до места назначения неизвестен, отправитель генерирует специальный пакет, посылаемый широковещательно (discovery frame) и достигающий всех мостов и всех субсетей. Когда приходит отклик от адресата, мосты записывают его идентификатор, а первичный отправитель фиксируют маршрут до адресата. Данный алгоритм достаточно прост, но сопряжен с лавинным размножением исследовательских" пакетов особенно в случае, когда смежные сети соединяются через несколько мостов/переключателей.

Поле идентификатор протокола VLAN (IDP VLAN) имеет длину два байта и содержит код 0х8100. Поскольку это число больше 1500, сетевые карты Ethernet будут интерпретировать его как тип, а не как длину. Как будет реагировать карта, неподдерживающая 802.1Q, получив такой кадр, сказать трудно. По этой причине это следует по возможности исключить. Структура полей флаг и длина представлена в нижней части рисунка. Поле идентификатор VLAN имеет длину 12 бит определяет, какой виртуальной сети принадлежит кадр. Поле приоритет (три бита) позволяет выделять трафик реального времени, трафик со средними требованиями и трафик, для которого время доставки не критично. Это открывает возможность использования Ethernet для задач управления и обеспечения качества обслуживания при транспортировке мультимедийных данных. Однобитовое поле CFI (Canonical Format Indicator) первоначально определял, прямой или обратный порядок байт используется. В настоящее время его функцией (=1) является указание того, что в поле данных содержится кадр 802.5.

Маршрутизаторы

Маршрутизатор отличается от переключателя тем, что поддерживает хотя бы один протокол маршрутизации. Существуют внутренние и внешние протоколы маршрутизации. Если маршрутизатор осуществляет связь данной автономной системы с другими автономными системами, его называют пограничным (border). Маршрутизатор же, который имеет только один внешний канал связи, в литературе часто называют gateway (входной порт сети). Любой маршрутизатор может поддерживать в любой момент только один внутренний и один внешний протокол маршрутизации, выбор этих протоколов осуществляет администратор сети из имеющегося списка. Маршрутизаторы представляют собой наиболее сложные сетевые устройства.

Обязательным компонентом маршрутизатора является таблица маршрутизации, которая формируется протоколом маршрутизации или сетевым администратором. По мере роста скорости каналов связи возрастали требования к быстродействию внутренней шины этих аппаратов. На рис. 4.1.1.4.10. показана крайне упрощенная схема такого устройства.

Рис. 4.1.1.4.10. Схема обработки пакетов в маршрутизаторе

По умолчанию маршрутизаторы не фильтруют транзитный трафик, но при необходимости они это могут делать, причем не только на уровне L3, но и на L4.

В последнее время заметное распространение получил гибрид маршрутизатора и моста - brouter. Некоторые протоколы (например, NetBIOS) не допускают маршрутизации. Когда необходимо использовать такие протоколы совместно с TCP/IP, необходим brouter. Широко используются такие приборы в сетях Token Ring.