VPN L2, O ETHERNET DISTRIBUITO La categoria VPN L2 comprende un'ampia gamma di servizi: dall'emulazione di canali dedicati punto-punto (E-Line) all'organizzazione di connessioni multipunto e all'emulazione delle funzioni di uno switch Ethernet (E-LAN, VPLS) . Le tecnologie VPN L2 sono “trasparenti” ai protocolli di livello superiore, quindi consentono la trasmissione, ad esempio, di traffico IPv4 o IPv6, indipendentemente dalla versione del protocollo IP utilizzata dall'operatore. La loro natura “di basso livello” si manifesta positivamente anche nei casi in cui sia necessario trasmettere traffico SNA, NetBIOS, SPX/IPX. Tuttavia, ora, durante il periodo di “IPizzazione” generale, queste capacità sono richieste sempre meno spesso. Passerà del tempo e la nuova generazione di specialisti di rete probabilmente non saprà affatto che ci sono stati momenti in cui il sistema operativo NetWare e i protocolli SPX/IPX “dominavano” nelle reti.
I servizi VPN L2 vengono solitamente utilizzati per costruire reti aziendali all'interno di una città (o di una città e dei suoi immediati dintorni), quindi questo concetto è spesso percepito quasi come un sinonimo del termine Metro Ethernet. Tali servizi sono caratterizzati da velocità di canale elevate a costi di connessione inferiori (rispetto alla VPN L3). I vantaggi della VPN L2 sono anche il supporto per frame di dimensioni maggiori (jumbo frame), la relativa semplicità e il basso costo delle apparecchiature client installate al confine con il provider (L2).
La crescente popolarità dei servizi VPN L2 è in gran parte dovuta alle esigenze dei data center tolleranti ai guasti e distribuiti geograficamente: per i “viaggi” macchine virtuali richiede una connessione diretta tra i nodi a livello L2. Tali servizi, in sostanza, consentono di estendere il dominio L2. Si tratta di soluzioni consolidate, ma spesso richiedono configurazioni complesse. In particolare, quando si collega un data center alla rete del fornitore di servizi in più punti - e questo è altamente auspicabile per aumentare la tolleranza ai guasti - è necessario utilizzare meccanismi aggiuntivi per garantire un carico ottimale di connessioni ed eliminare il verificarsi di "cicli di commutazione".
Esistono anche soluzioni progettate specificamente per l'interconnessione delle reti di data center a livello L2, ad esempio la tecnologia Overlay Transport Virtualization (OTV) implementata negli switch Cisco Nexus. Funziona su reti IP, sfruttando tutti i vantaggi del routing a livello L3: buona scalabilità, elevata tolleranza agli errori, connessione in più punti, trasmissione del traffico su più percorsi, ecc. (per maggiori dettagli vedere l'articolo dell'autore “ Sulle dorsali interdata center” nel numero di novembre di “Networking Magazine” soluzioni/LAN" del 2010).
VPN L2 O L3
Se, in caso di acquisto di servizi VPN L2, l'azienda stessa dovrà occuparsi del routing del traffico tra i suoi nodi, nei sistemi VPN L3 questo compito viene risolto dal fornitore di servizi. Lo scopo principale della VPN L3 è connettere siti situati in diverse città grande distanza l'uno dall'altro. Questi servizi in genere hanno costi di connessione più elevati (poiché utilizzano un router anziché uno switch), canoni di noleggio elevati e larghezza di banda ridotta (solitamente fino a 2 Mbps). Il prezzo può aumentare notevolmente a seconda della distanza tra i punti di connessione.
Un vantaggio importante della VPN L3 è il supporto delle funzioni QoS e di ingegneria del traffico, che consente di garantire il livello di qualità richiesto per i servizi di telefonia IP e videoconferenza. I loro svantaggi sono che non sono trasparenti per i servizi Ethernet, non supportano dimensioni di frame Ethernet più grandi e sono più costosi dei servizi Metro Ethernet.
Tieni presente che la tecnologia MPLS può essere utilizzata per organizzare sia le VPN L2 che quelle L3. Il livello di un servizio VPN non è determinato dal livello della tecnologia utilizzata (MPLS è generalmente difficile da attribuire a qualsiasi livello specifico del modello OSI; piuttosto, è la tecnologia L2.5), ma dalle “proprietà del consumatore”: se la rete dell'operatore instrada il traffico client, allora è L3, se emula le connessioni del livello di collegamento (o le funzioni dello switch Ethernet) - L2. Allo stesso tempo è possibile utilizzare altre tecnologie per realizzare VPN L2, ad esempio 802.1ad Provider Bridging o 802.1ah Provider Backbone Bridge.
Le soluzioni 802.1ad Provider Bridging, conosciute anche con molti altri nomi (vMAN, Q-in-Q, Tag Stacking, VLAN Stacking), consentono di aggiungere un secondo tag VLAN 802.1Q a un frame Ethernet. Il fornitore di servizi può ignorare i tag VLAN interni impostati dall'apparecchiatura del cliente: i tag esterni sono sufficienti per inoltrare il traffico. Questa tecnologia rimuove la limitazione dell'ID VLAN 4096 presente nella classica tecnologia Ethernet, aumentando significativamente la scalabilità dei servizi. Le soluzioni 802.1ah Provider Backbone Bridges (PBB) prevedono l'aggiunta di un secondo indirizzo MAC al frame, mentre gli indirizzi MAC delle apparecchiature finali vengono nascosti agli switch backbone. PBB fornisce fino a 16 milioni di identificatori di servizio.
RAW Incolla dati
VPN L2, O ETHERNET DISTRIBUITO La categoria VPN L2 comprende un'ampia gamma di servizi: dall'emulazione di canali dedicati punto-punto (E-Line) all'organizzazione di connessioni multipunto e all'emulazione delle funzioni di uno switch Ethernet (E-LAN, VPLS) . Le tecnologie VPN L2 sono “trasparenti” ai protocolli di livello superiore, quindi consentono la trasmissione, ad esempio, di traffico IPv4 o IPv6, indipendentemente dalla versione del protocollo IP utilizzata dall'operatore. La loro natura “di basso livello” si manifesta positivamente anche nei casi in cui sia necessario trasmettere traffico SNA, NetBIOS, SPX/IPX. Tuttavia, ora, durante il periodo di “IPizzazione” generale, queste capacità sono richieste sempre meno spesso. Passerà del tempo e la nuova generazione di specialisti di rete probabilmente non saprà affatto che ci sono stati momenti in cui il sistema operativo NetWare e i protocolli SPX/IPX “dominavano” nelle reti. I servizi VPN L2 vengono solitamente utilizzati per costruire reti aziendali all'interno di una città (o di una città e dei suoi immediati dintorni), quindi questo concetto è spesso percepito quasi come un sinonimo del termine Metro Ethernet. Tali servizi sono caratterizzati da velocità di canale elevate a costi di connessione inferiori (rispetto alla VPN L3). I vantaggi della VPN L2 sono anche il supporto per frame di dimensioni maggiori (jumbo frame), la relativa semplicità e il basso costo delle apparecchiature client installate al confine con il provider (L2). La crescente popolarità dei servizi VPN L2 è in gran parte dovuta alle esigenze dei data center tolleranti ai guasti e distribuiti geograficamente: affinché le macchine virtuali possano “viaggiare”, è necessaria una connessione diretta tra i nodi a livello L2. Tali servizi, in sostanza, consentono di estendere il dominio L2. Si tratta di soluzioni consolidate, ma spesso richiedono configurazioni complesse. In particolare, quando si collega un data center alla rete di un fornitore di servizi in più punti - e questo è altamente auspicabile per aumentare la tolleranza ai guasti - è necessario utilizzare meccanismi aggiuntivi per garantire un carico ottimale di connessioni ed eliminare il verificarsi di "cicli di commutazione". Esistono anche soluzioni progettate specificamente per l'interconnessione delle reti di data center a livello L2, ad esempio la tecnologia Overlay Transport Virtualization (OTV) implementata negli switch Cisco Nexus. Funziona su reti IP, sfruttando tutti i vantaggi del routing a livello L3: buona scalabilità, elevata tolleranza agli errori, connessione in più punti, trasmissione del traffico su più percorsi, ecc. (per maggiori dettagli vedere l'articolo dell'autore “ Sulle dorsali interdata center” nel numero di novembre di “Networking Magazine” soluzioni/LAN" del 2010). VPN L2 O L3 Se, in caso di acquisto di servizi VPN L2, un'azienda dovrà occuparsi dell'instradamento del traffico tra i suoi nodi, nei sistemi VPN L3 questo compito viene risolto dal fornitore di servizi. Lo scopo principale della VPN L3 è connettere siti situati in città diverse, a grande distanza l'uno dall'altro. Questi servizi in genere hanno costi di connessione più elevati (poiché utilizzano un router anziché uno switch), canoni di noleggio elevati e larghezza di banda ridotta (solitamente fino a 2 Mbps). Il prezzo può aumentare notevolmente a seconda della distanza tra i punti di connessione. Un vantaggio importante della VPN L3 è il supporto delle funzioni QoS e di ingegneria del traffico, che consente di garantire il livello di qualità richiesto per i servizi di telefonia IP e videoconferenza. I loro svantaggi sono che non sono trasparenti per i servizi Ethernet, non supportano dimensioni di frame Ethernet più grandi e sono più costosi dei servizi Metro Ethernet. Tieni presente che la tecnologia MPLS può essere utilizzata per organizzare sia le VPN L2 che quelle L3. Il livello di un servizio VPN non è determinato dal livello della tecnologia utilizzata (MPLS è generalmente difficile da attribuire a qualsiasi livello specifico del modello OSI; piuttosto, è la tecnologia L2.5), ma dalle “proprietà del consumatore”: se la rete dell'operatore instrada il traffico client, allora è L3, se emula connessioni a livello di collegamento (o funzioni di uno switch Ethernet) - L2. Allo stesso tempo è possibile utilizzare altre tecnologie per realizzare VPN L2, ad esempio 802.1ad Provider Bridging o 802.1ah Provider Backbone Bridge. Le soluzioni 802.1ad Provider Bridging, conosciute anche con molti altri nomi (vMAN, Q-in-Q, Tag Stacking, VLAN Stacking), consentono di aggiungere un secondo tag VLAN 802.1Q a un frame Ethernet. Il fornitore di servizi può ignorare i tag VLAN interni impostati dall'apparecchiatura del cliente; i tag esterni sono sufficienti per inoltrare il traffico. Questa tecnologia rimuove la limitazione dell'ID VLAN 4096 presente nella classica tecnologia Ethernet, aumentando significativamente la scalabilità dei servizi. Le soluzioni 802.1ah Provider Backbone Bridges (PBB) prevedono l'aggiunta di un secondo indirizzo MAC al frame, mentre gli indirizzi MAC delle apparecchiature finali vengono nascosti agli switch backbone. PBB fornisce fino a 16 milioni di identificatori di servizio.
L3VPN, che abbiamo esaminato nell'ultimo numero, copre un numero enorme di scenari necessari alla maggior parte dei clienti. Enorme, ma non solo. Consente la comunicazione solo a livello di rete e solo per un protocollo: IP. Cosa fare con i dati di telemetria, ad esempio, o con il traffico da stazioni base, lavorando tramite l'interfaccia E1? Esistono anche servizi che utilizzano Ethernet, ma richiedono anche la comunicazione a livello di collegamento dati. Ancora una volta, i data center preferiscono comunicare tra loro in L2.
Quindi, per i nostri clienti, togli e inserisci L2.
Tradizionalmente, tutto era semplice: L2TP, PPTP e tutto in generale. Bene, era ancora possibile nascondere Ethernet in GRE. Per tutto il resto hanno costruito reti separate, installato linee dedicate al costo di una bombola (mensile). Tuttavia, nella nostra epoca di reti convergenti, data center distribuiti e aziende internazionali, questa non è un’opzione e sul mercato si sono diffuse numerose tecnologie di collegamento dati scalabili.
Questa volta ci concentreremo su MPLS L2VPN.
Prima di immergerci nel caldo MPLS, diamo un'occhiata a quali tipi di L2VPN esistono.
Perché è un vincitore? motivo principale, ovviamente, nella capacità dei router che trasmettono pacchetti MPLS di astrarre dai loro contenuti, ma allo stesso tempo di distinguere tra il traffico di servizi diversi.
Ad esempio, un frame E1 arriva al PE, viene immediatamente incapsulato in MPLS e nessuno lungo il percorso sospetterà nemmeno cosa c'è dentro: l'importante è solo cambiare l'etichetta in tempo.
E un frame Ethernet arriva su un'altra porta e può viaggiare attraverso la rete tramite lo stesso LSP, solo con un'etichetta VPN diversa.
Inoltre, MPLS TE consente di costruire canali tenendo conto dei requisiti di traffico per i parametri di rete.
Insieme a LDP e BGP, diventa più semplice configurare la VPN e trovare automaticamente i vicini.
Viene chiamata la capacità di incapsulare il traffico di qualsiasi livello di collegamento in MPLS Atomo - Qualsiasi trasporto su MPLS.
Ecco un elenco dei protocolli AToM supportati:
Esistono due approcci concettualmente diversi per costruire qualsiasi L2VPN.
Tradizionalmente, i termini verranno introdotti secondo necessità. Ma su alcuni contemporaneamente.
P.E. - Bordo del fornitore- router periferici della rete MPLS del provider a cui si collegano i dispositivi client (CE).
CE - Bordo del cliente- apparecchiature client direttamente connesse ai router del provider (PE).
AC. - Circuito allegato- interfaccia su PE per la connessione client.
V.C. - circuito virtuale- connessione unidirezionale virtuale attraverso una rete comune, simulando l'ambiente originale per il cliente. Collega le interfacce AC di diversi PE. Insieme formano un unico canale: AC→VC→AC.
PW - PseudoWire- canale dati bidirezionale virtuale tra due PE - è costituito da una coppia di VC unidirezionali. Questa è la differenza tra PW e VC.
VPWS - Servizio di bonifico privato virtuale.
La base di qualsiasi soluzione MPLS L2VPN è l'idea di PW - PseudoWire - un cavo virtuale esteso da un'estremità all'altra della rete. Ma per VPWS questa stessa PW è già un servizio.
Una sorta di tunnel L2 attraverso il quale puoi trasferire tutto ciò che desideri senza preoccupazioni.
Bene, ad esempio, il cliente ha una stazione base 2G a Kotelniki e il controller è a Mitino. E questa BS può connettersi solo tramite E1. Anticamente sarebbe stato necessario prolungare questa E1 utilizzando un cavo, relè radio e convertitori di ogni genere.
Oggi è possibile utilizzare una rete MPLS comune sia per questo E1 che per L3VPN, Internet, telefonia, televisione, ecc.
(Qualcuno dirà che invece di MPLS per PW puoi usare L2TPv3, ma chi ne ha bisogno con la sua scalabilità e mancanza di ingegneria del traffico?)
VPWS è relativamente semplice, sia in termini di trasmissione del traffico che di funzionamento dei protocolli di servizio.
L’etichetta del tunnel è uguale all’etichetta del trasporto, solo che la parola lunga “trasporto” non rientrava nel titolo.
0.
Un LSP di trasporto è già stato costruito tra R1 e R6 utilizzando il protocollo LDP o RSVP TE. Cioè, R1 conosce l'etichetta di trasporto e l'interfaccia di output per R6.
1.
R1 riceve dal client CE1 un certo frame L2 sull'interfaccia AC (potrebbe essere Ethernet, TDM, ATM, ecc. - non importa).
2.
Questa interfaccia è legata a un identificatore client specifico - VC ID - in un certo senso, un analogo del VRF in L3VPN. R1 attribuisce al telaio un'etichetta di servizio che rimarrà invariata fino alla fine del percorso. L'etichetta VPN è interna allo stack.
3.
R1 conosce la destinazione - l'indirizzo IP del router PE remoto - R6, trova l'etichetta di trasporto e la inserisce nello stack di etichette MPLS. Questa sarà un'etichetta di trasporto esterna.
4.
Il pacchetto MPLS viaggia attraverso la rete dell'operatore tramite router P. L'etichetta di trasporto viene modificata in una nuova su ciascun nodo, l'etichetta di servizio rimane invariata.
5.
Sul penultimo router l'etichetta di trasporto viene rimossa: si verifica PHP. Sulla R6, il pacchetto viene fornito con un tag di servizio VPN.
6.
PE2, dopo aver ricevuto il pacchetto, analizza l'etichetta del servizio e determina a quale interfaccia trasferire il frame decompresso.
Nota: ogni nodo CSR1000V richiede 2,5 GB di RAM. In caso contrario, l'immagine non si avvierà oppure si verificheranno vari problemi, ad esempio le porte non verranno visualizzate o si noteranno perdite.
Semplifichiamo la topologia in quattro nodi backbone. Facendo clic, puoi aprirlo in una nuova scheda in modo da poterlo guardare con Alt+Tab, anziché girare la pagina su e giù.
Il nostro compito è connettere Ethernet da Linkmeup_R1 (porta Gi3) a Linkmeup_R4 (porta Gi3).
In movimento 0 Indirizzamento IP, routing IGP e MPLS di base sono già configurati (vedi come).
Vediamo cosa è successo dietro le quinte dei protocolli (il dump è stato preso dall'interfaccia GE1 Linkmeup_R1). Si possono individuare le principali tappe fondamentali:
0)
L'IGP si è riunito, l'LDP ha identificato i vicini, ha sollevato la sessione e ha distribuito le etichette di trasporto.
Come puoi vedere, Linkmeup_R4 ha assegnato l'etichetta di trasporto 19 per FEC 4.4.4.4.
1) Ma il tLDP ha iniziato il suo lavoro.
--UN. Per prima cosa lo abbiamo configurato su Linkmeup_R1 e tLDP ha iniziato a inviare periodicamente il suo Hello all'indirizzo 4.4.4.4
Come puoi vedere, si tratta di un pacchetto IP unicast che viene inviato dall'indirizzo dell'interfaccia Loopback 1.1.1.1 all'indirizzo dello stesso PE remoto Loopback - 4.4.4.4.
Imballato in UDP e trasmesso con un'etichetta MPLS - trasporto - 19. Presta attenzione alla priorità - campo EXP - 6 - una delle più alte, poiché si tratta di un pacchetto di protocollo di servizio. Ne parleremo più approfonditamente nella questione QoS.
Lo stato PW è ancora in GIÙ, perché non c'è nulla sul lato opposto.
--B. Dopo aver configurato xconnect sul lato Linkmeup_R4, immediatamente Ciao e stabilisci una connessione tramite TCP.
A questo punto è stato istituito un quartiere LDP
--IN. I tag sono stati scambiati:
In basso puoi vedere che FEC nel caso di VPWS è l'ID VC che abbiamo specificato nel comando xconnect - questo è l'ID della nostra VPN - 127
.
E appena sotto l'etichetta ad esso assegnata Linkmeup_R4 c'è 0x16 o 22
nel sistema decimale.
Cioè, con questo messaggio Linkmeup_R4 ha detto a Linkmeup_R1, dicono, se vuoi trasmettere un frame alla VPN con VCID 127, allora usa il tag di servizio 22.
Qui puoi vedere una serie di altri messaggi di Label Mapping - questo è LDP che condivide tutto ciò che ha acquisito - informazioni su tutti i FEC. Questo ci interessa poco, e Lilnkmeup_R1 ancora meno.
Linkmeup_R1 fa la stessa cosa: comunica a Linkmeup_R4 la sua etichetta:
Successivamente, i VC vengono generati e possiamo vedere le etichette e gli stati attuali:
Squadre mostra i dettagli di mpls l2transport vc E mostra i dettagli di l2vpn atom vc generalmente identici per i nostri esempi.
3)
Ora tutto è pronto per trasferire i dati dell'utente. A questo punto eseguiamo il ping. Tutto è prevedibilmente semplice: due segni che abbiamo già visto sopra.
Per qualche motivo Wireshark non ha analizzato le parti interne di MPLS, ma ti mostrerò come leggere l'allegato:I due blocchi evidenziati in rosso sono indirizzi MAC. Rispettivamente DMAC e SMAC. Blocco giallo 0800 - Campo Ethertype dell'intestazione Ethernet - significa IP interno.
Successivamente, il blocco nero 01 - il campo Protocollo dell'intestazione IP - è il numero del protocollo ICMP. E due blocchi verdi: rispettivamente SIP e DIP.
Ora puoi con Wireshark!
Di conseguenza la risposta ICMP viene restituita solo con l'etichetta VPN, perché PHP ha preso il sopravvento su Linkmeup_R2 e l'etichetta di trasporto è stata rimossa.
Se VPWS è solo un cavo, dovrebbe trasmettere in modo sicuro anche un frame con un tag VLAN?
Sì, e non dobbiamo riconfigurare nulla per questo.
Ecco un esempio di frame con un tag VLAN:
Qui vedi Ethertype 8100 - 802.1q e tag VLAN 0x3F, o 63 in decimale.
Se trasferiamo la configurazione di xconnect a una sottointerfaccia che specifica una VLAN, terminerà questa VLAN e invierà un frame senza un'intestazione 802.1q alla PW.
L'esempio considerato è EoMPLS (Ethernet over MPLS). Fa parte della tecnologia PWE3, che è uno sviluppo di VLL Martini Mode. E tutto questo insieme è VPWS. La cosa principale qui è non confondersi nelle definizioni. Lasci che io le faccia da guida.
COSÌ, VPWS- il nome generale delle soluzioni per L2VPN punto a punto.
PWè un canale L2 virtuale che è alla base di qualsiasi tecnologia L2VPN e funge da tunnel per la trasmissione dei dati.
VLL(Virtual Leased Line) è già una tecnologia che consente di incapsulare frame di diversi protocolli del livello di collegamento in MPLS e trasmetterli attraverso la rete del provider.
Si distinguono i seguenti tipi di VLL:
VLL CCC - Collegamento incrociato del circuito. In questo caso non esiste alcuna etichetta VPN e quelle di trasporto vengono assegnate manualmente (LSP statico) su ciascun nodo, comprese le regole di swap. Cioè, ci sarà sempre una sola etichetta nello stack e ciascuno di questi LSP può trasportare il traffico di un solo VC. Non l'ho mai incontrato in vita mia. Il suo vantaggio principale è che può fornire connettività tra due nodi collegati a un PE.VLL TCC - Connessione incrociata traslazionale. Uguale a CCC, ma consente l'utilizzo di protocolli di livello di collegamento diversi da estremità diverse.
Funziona solo con IPv4. Una volta ricevuto, il PE rimuove l'intestazione del livello di collegamento e, quando trasmesso all'interfaccia AC, ne inserisce una nuova.
Interessante? Comincia qui.VLL SVC - Circuito virtuale statico. L'LSP di trasporto è costruito mediante meccanismi convenzionali (LDP o RSVP-TE) e l'etichetta del servizio VPN viene assegnata manualmente. tLDP non è necessario in questo caso. Non può fornire connettività locale (se due nodi sono collegati allo stesso PE).
Martini VLL- questo è approssimativamente ciò di cui abbiamo parlato sopra. L'LSP di trasporto è costruito nel modo consueto, le etichette VPN sono distribuite da tLDP. Bellezza! Non supporta la connettività locale.
Kompella VLL- Trasportare LSP nel modo consueto, per distribuire le etichette VPN - BGP (come previsto, con RD/RT). Oh! Mantiene la connettività locale. Allora ok.
PWE3 - Emulazione pseudocavo da bordo a bordo. A rigor di termini, la portata di questa tecnologia è più ampia del semplice MPLS. Tuttavia, nel mondo moderno, nel 100% dei casi lavorano insieme. Pertanto, PWE3 può essere considerato un analogo di Martini VLL con funzionalità estese: anche la segnalazione è gestita da LDP+tLDP.
In breve, le sue differenze rispetto a Martini VLL possono essere rappresentate come segue:
Ora PWE3 è lo standard de facto ed era quello dell'esempio sopra.
Parlo di Ethernet ovunque qui per mostrare l'esempio più ovvio. Tutto ciò che riguarda altri protocolli di canale è, per favore, per studio indipendente.
Questo è il primo articolo della serie “Networking for Little Ones”. Maxim alias Gluck ed io abbiamo pensato a lungo da dove cominciare: routing, VLAN, configurazione delle apparecchiature. Alla fine abbiamo deciso di iniziare con la cosa fondamentale e, si potrebbe dire, la più importante: la pianificazione. Poiché il ciclo è progettato per principianti assoluti, percorreremo tutto il percorso dall'inizio alla fine.
Si presume che tu abbia almeno letto modello di riferimento OSI, riguardo allo stack di protocolli TCP/IP, conosci i tipi di VLAN esistenti, la più popolare VLAN ora basata su porte e gli indirizzi IP. Comprendiamo che "OSI" e "TCP/IP" sono parole spaventose per i principianti. Ma non preoccuparti, non li usiamo per spaventarti. Queste sono cose con cui dovrai confrontarti ogni giorno, quindi durante questa serie cercheremo di rivelarne il significato e il rapporto con la realtà.
Cominciamo con l'enunciare il problema. Esiste una certa azienda impegnata, ad esempio, nella produzione di ascensori che salgono solo, e quindi si chiama Lift My Up LLC. Si trovano in un vecchio edificio sull'Arbat e i fili marci bloccati negli interruttori bruciati e bruciati dell'era 10Base-T non attendono la connessione di nuovi server tramite schede gigabit. Quindi, hanno un bisogno catastrofico di infrastrutture di rete e il denaro è limitato, il che ti dà l’opportunità di avere scelte illimitate. Questo è il sogno di ogni ingegnere. E ieri hai superato il colloquio e, dopo una dura lotta, hai ricevuto di diritto la posizione di amministratore di rete. E ora sei il primo e unico della tua specie a farne parte. Congratulazioni! Qual è il prossimo?
La situazione dovrebbe essere un po' più specifica:
Dopo aver stimato il numero di utenti, le interfacce richieste e i canali di comunicazione, si prepara uno schema di rete e un piano IP.
Quando si progetta una rete, si dovrebbe cercare di aderire ad un modello di rete gerarchica, che presenta molti vantaggi rispetto ad una “rete piatta”:
Secondo questo modello la rete è divisa in tre livelli logici: nucleo della rete(Strato centrale: dispositivi ad alte prestazioni, lo scopo principale è il trasporto veloce), tasso di prevalenza(Livello di distribuzione: applica politiche di sicurezza, QoS, aggregazione e instradamento nelle VLAN, definisce i domini di trasmissione) e livello di accesso(Livello di accesso: solitamente switch L2, scopo: collegare dispositivi finali, contrassegnare il traffico per QoS, proteggere dagli anelli di rete (STP) e dalle tempeste di trasmissione, fornire alimentazione ai dispositivi PoE).
Su una scala come la nostra, il ruolo di ciascun dispositivo è sfumato, ma la rete può essere divisa logicamente.
Facciamo uno schema approssimativo:
Nel diagramma presentato, il Core sarà il router 2811, lo switch 2960 sarà classificato come livello di distribuzione, poiché aggrega tutte le VLAN in un trunk comune. Gli switch 2950 saranno dispositivi di accesso. Ad essi si connetteranno gli utenti finali, le apparecchiature per ufficio e i server.
Chiameremo i dispositivi come segue: nome abbreviato della città ( msk) — posizione geografica (strada, edificio) ( arbat) — ruolo del dispositivo nella rete + numero di sequenza.
Li selezioniamo in base al loro ruolo e alla loro ubicazione Nome host:
Tutta la rete deve essere rigorosamente documentata: dallo schema elettrico al nome dell'interfaccia.
Prima di iniziare la configurazione, vorrei fornire un elenco di documenti e azioni necessarie:
Ciò che monitoreremo nel programma del simulatore è evidenziato in grassetto. Naturalmente tutte le modifiche alla rete devono essere incluse nella documentazione e nella configurazione affinché siano aggiornate.
Quando parliamo di etichette/adesivi sui cavi intendiamo questo:
Questa foto mostra chiaramente che ciascun cavo è contrassegnato, il significato di ciascuna macchina sul pannello del rack, nonché di ciascun dispositivo.
Prepareremo i documenti di cui abbiamo bisogno:
Ciascun gruppo verrà assegnato a una vlan separata. In questo modo limiteremo i domini di trasmissione. Introdurremo anche una VLAN speciale per la gestione dei dispositivi. I numeri VLAN da 4 a 100 sono riservati per uso futuro.
L'assegnazione delle sottoreti è generalmente arbitraria e corrisponde solo al numero di nodi in essa contenuti rete locale tenendo conto della possibile crescita. IN in questo esempio tutte le sottoreti hanno una maschera standard /24 (/24=255.255.255.0) - queste vengono spesso utilizzate nelle reti locali, ma non sempre. Ti consigliamo di leggere le lezioni di rete. In futuro ci rivolgeremo all'indirizzamento senza classi (cisco). Comprendiamo che i collegamenti ad articoli tecnici su Wikipedia sono cattive maniere, ma danno una buona definizione e noi, a nostra volta, proveremo a trasferirla nell'immagine del mondo reale.
Per rete punto-punto intendiamo la connessione di un router all'altro in modalità punto-punto. Solitamente vengono presi indirizzi con maschera 30 (tornando al tema delle reti classless), contenenti cioè due indirizzi di nodo. Più tardi diventerà chiaro di cosa stiamo parlando.
| indirizzo IP | Nota | VLAN |
|---|---|---|
| 172.16.0.0/16 | ||
| 172.16.0.0/24 | Fattoria di server | 3 |
| 172.16.0.1 | Porta | |
| 172.16.0.2 | ragnatela | |
| 172.16.0.3 | File | |
| 172.16.0.4 | Posta | |
| 172.16.0.5 — 172.16.0.254 | Riservato | |
| 172.16.1.0/24 | Controllo | 2 |
| 172.16.1.1 | Porta | |
| 172.16.1.2 | msk-arbat-dsw1 | |
| 172.16.1.3 | msk-arbat-asw1 | |
| 172.16.1.4 | msk-arbat-asw2 | |
| 172.16.1.5 | msk-arbat-asw3 | |
| 172.16.1.6 | msk-rubl-aswl | |
| 172.16.1.6 — 172.16.1.254 | Riservato | |
| 172.16.2.0/24 | Rete punto a punto | |
| 172.16.2.1 | Porta | |
| 172.16.2.2 — 172.16.2.254 | Riservato | |
| 172.16.3.0/24 | VETERINARIO | 101 |
| 172.16.3.1 | Porta | |
| 172.16.3.2 — 172.16.3.254 | Piscina per gli utenti | |
| 172.16.4.0/24 | FEO | 102 |
| 172.16.4.1 | Porta | |
| 172.16.4.2 — 172.16.4.254 | Piscina per gli utenti | |
| 172.16.5.0/24 | Contabilità | 103 |
| 172.16.5.1 | Porta | |
| 172.16.5.2 — 172.16.5.254 | Piscina per gli utenti | |
| 172.16.6.0/24 | Altri utenti | 104 |
| 172.16.6.1 | Porta | |
| 172.16.6.2 — 172.16.6.254 | Piscina per gli utenti |
Naturalmente, ora ci sono switch con un sacco di porte Ethernet da 1 Gb, ci sono switch con 10G, ci sono 40 Gb su hardware operatore avanzato che costa molte migliaia di dollari, 100 Gb sono in fase di sviluppo (e secondo indiscrezioni, ci sono anche schede del genere entrati nella produzione industriale). Di conseguenza, puoi scegliere switch e router nel mondo reale in base alle tue esigenze, tenendo presente il tuo budget. In particolare, ora uno switch Gigabit può essere acquistato a buon mercato (20-30mila) e questo con una riserva per il futuro (se non sei un fornitore, ovviamente). Un router con porte Gigabit è già molto più costoso di uno con porte da 100Mbps, ma ne vale la pena, perché i modelli FE (100Mbps FastEthernet) sono obsoleti e la loro velocità di trasmissione è molto bassa.
Ma nei programmi emulatori/simulatori che utilizzeremo purtroppo sono presenti solo modelli hardware semplici, quindi nel modellare la rete partiremo da quello che abbiamo: il router Cisco2811, gli switch Cisco2960 e 2950.
| Nome del dispositivo | Porta | Nome | VLAN | |
|---|---|---|---|---|
| Accesso | Tronco | |||
| msk-arbat-gw1 | FE0/1 | UpLink | ||
| FE0/0 | msk-arbat-dsw1 | 2,3,101,102,103,104 | ||
| msk-arbat-dsw1 | FE0/24 | msk-arbat-gw1 | 2,3,101,102,103,104 | |
| GE1/1 | msk-arbat-asw1 | 2,3 | ||
| GE1/2 | msk-arbat-asw3 | 2,101,102,103,104 | ||
| FE0/1 | msk-rubl-asw1 | 2,101,104 | ||
| msk-arbat-asw1 | GE1/1 | msk-arbat-dsw1 | 2,3 | |
| GE1/2 | msk-arbat-asw2 | 2,3 | ||
| FE0/1 | Server web | 3 | ||
| FE0/2 | File server | 3 | ||
| msk-arbat-asw2 | GE1/1 | msk-arbat-asw1 | 2,3 | |
| FE0/1 | Server email | 3 | ||
| msk-arbat-asw3 | GE1/1 | msk-arbat-dsw1 | 2,101,102,103,104 | |
| FE0/1-FE0/5 | PTO | 101 | ||
| FE0/6-FE0/10 | FEO | 102 | ||
| FE0/11-FE0/15 | Contabilità | 103 | ||
| FE0/16-FE0/24 | Altro | 104 | ||
| msk-rubl-asw1 | FE0/24 | msk-arbat-dsw1 | 2,101,104 | |
| FE0/1-FE0/15 | PTO | 101 | ||
| FE0/20 | amministratore | 104 | ||
Spiegheremo perché le VLAN sono distribuite in questo modo nelle parti seguenti.
Sulla base di questi dati, in questa fase è possibile elaborare tutti e tre gli schemi di rete. Per questo puoi usare Microsoft Visio, Qualunque applicazione gratuita, ma con riferimento al vostro formato, o agli editor grafici (potete farlo a mano, ma sarà difficile mantenerlo aggiornato :)).
Non per il bene della propaganda open source, ma per il bene della varietà di mezzi, usiamo Dia. Lo considero uno dei migliori app per lavorare con i circuiti sotto Linux. Esiste una versione per Windows, ma sfortunatamente non c'è compatibilità in Vizio.
Cioè, sul diagramma L1 riflettiamo i dispositivi fisici della rete con i numeri di porta: cosa è connesso dove.
Sul diagramma L2 indichiamo le nostre VLAN.
Nel nostro esempio lo schema di terzo livello si è rivelato del tutto inutile e poco chiaro, a causa della presenza di un solo dispositivo di routing. Ma col tempo acquisirà maggiori dettagli.
Come puoi vedere, le informazioni nei documenti sono ridondanti. Ad esempio, i numeri VLAN vengono ripetuti sia nel diagramma che nella planimetria del porto. È come se qualcuno fosse bravo in qualcosa qui. Fai quello che ti è più conveniente. Questa ridondanza rende difficile l'aggiornamento se la configurazione cambia, perché è necessario correggerla in più posti contemporaneamente, ma d'altra parte ne facilita la comprensione.
Torneremo su questo primo articolo più di una volta in futuro, così come tu dovrai sempre tornare a ciò che avevi pianificato originariamente. In realtà, il compito è per coloro che stanno appena iniziando a imparare e sono pronti a fare uno sforzo: leggere molto su vlan, indirizzi IP, trovare i programmi Packet Tracer e GNS3. Per quanto riguarda le conoscenze teoriche fondamentali, ti consigliamo di iniziare a leggere la stampa Cisco. Questo è qualcosa che devi assolutamente sapere. Nella parte successiva tutto sarà da adulti, con un video impareremo come collegarci all'apparecchiatura, capire l'interfaccia e dirvi cosa fare ad un amministratore distratto che ha dimenticato la password.
Articolo originale:
Con un sorriso gentile ricordiamo ora come l'umanità attendeva con ansia la fine del mondo nel 2000. Poi questo non è successo, ma è successo un evento completamente diverso e anche molto significativo.
Storicamente, a quel tempo il mondo entrò in una vera e propria rivoluzione informatica v. 3.0. - inizio tecnologie cloud per l'archiviazione e l'elaborazione distribuita dei dati. Inoltre, se la precedente "seconda rivoluzione" è stata una massiccia transizione verso le tecnologie "client-server" negli anni '80, allora la prima può essere considerata l'inizio del lavoro simultaneo degli utenti che utilizzano terminali separati collegati al cosiddetto. “mainframe” (negli anni '60 del secolo scorso). Questi cambiamenti rivoluzionari sono avvenuti in modo pacifico e inosservato dagli utenti, ma hanno influenzato l’intero mondo degli affari insieme alla tecnologia dell’informazione.
Quando si trasferisce l'infrastruttura IT in data center remoti (centri di elaborazione dati), la questione chiave diventa immediatamente l'organizzazione di canali di comunicazione affidabili da parte del cliente. Su Internet ci si imbatte spesso nelle offerte dei provider: “linea fisica affittata, fibra ottica”, “canale L2”, “VPN” e così via... Proviamo a capire cosa c'è dietro nella pratica.
1. Organizzazione" linea fisica"o" canale di secondo livello, L2 "è solitamente chiamato il servizio di un fornitore che fornisce un cavo dedicato (rame o fibra ottica) o un canale radio tra gli uffici e i siti in cui sono installate le apparecchiature del data center. Ordinando questo servizio, in pratica molto probabilmente riceverete a noleggio un canale in fibra ottica dedicato. Questa soluzione è interessante perché il provider è responsabile della comunicazione affidabile (e in caso di danno al cavo ripristina autonomamente la funzionalità del canale). Tuttavia, nella vita reale, il cavo non è solido per tutta la sua lunghezza: è costituito da molti frammenti collegati (saldati) tra loro, il che ne riduce in qualche modo l'affidabilità. Durante la posa del cavo in fibra ottica, il provider deve utilizzare amplificatori, splitter e modem ai punti terminali.
Nei materiali di marketing, questa soluzione è condizionatamente classificata come livello L2 (Data-Link) del modello di rete OSI o TCP/IP: consente di lavorare come a livello di commutazione di frame Ethernet nella LAN, senza preoccuparsi di molti dei problemi di instradamento dei pacchetti al livello successivo della rete IP. Esiste, ad esempio, la possibilità di continuare a utilizzare i vostri cosiddetti indirizzi IP “privati” nelle reti virtuali dei client invece degli indirizzi pubblici univoci registrati. Poiché è molto conveniente utilizzare indirizzi IP privati sulle reti locali, agli utenti sono stati assegnati intervalli speciali dalle principali classi di indirizzamento:
Tali indirizzi vengono selezionati autonomamente dagli utenti per "uso interno" e possono essere ripetuti simultaneamente su migliaia di reti client, quindi i pacchetti di dati con indirizzi privati nell'intestazione non vengono instradati su Internet, per evitare confusione. Per accedere a Internet è necessario utilizzare NAT (o un'altra soluzione) lato client.
Nota: NAT - Network Address Translation (un meccanismo per sostituire gli indirizzi di rete dei pacchetti in transito nelle reti TCP/IP, utilizzato per instradare i pacchetti dalla rete locale del cliente ad altre reti/Internet e nella direzione opposta - all'interno della LAN del cliente, verso destinazione).
Questo approccio (e stiamo parlando di un canale dedicato) presenta anche un evidente inconveniente: se l’ufficio del cliente si sposta, potrebbero esserci serie difficoltà a connettersi alla nuova sede e potrebbe essere necessario cambiare provider.
L'affermazione che un canale del genere sia molto più sicuro, meglio protetto dagli attacchi di intrusi e dagli errori di personale tecnico poco qualificato, a un esame più attento risulta essere un mito. In pratica, i problemi di sicurezza più spesso sorgono (o vengono creati intenzionalmente da un hacker) direttamente dal lato client, con la partecipazione del fattore umano.
2. I canali virtuali e le reti private VPN (Virtual Private Network) costruite su di essi sono molto diffusi e possono risolvere la maggior parte dei problemi dei clienti.
Fornire una “VPN L2” da parte di un provider implica la scelta tra diversi possibili servizi di “secondo livello”, L2:
VLAN: il cliente riceve una rete virtuale tra i suoi uffici, filiali (in realtà, il traffico del cliente passa attraverso l'attrezzatura attiva del provider, che limita la velocità);
Collegamento punto a punto PWE3(in altre parole, "emulazione pseudowire end-to-end" nelle reti a commutazione di pacchetto) consente di trasmettere frame Ethernet tra due nodi come se fossero collegati direttamente tramite cavo. Per il cliente di questa tecnologia, è importante che tutti i frame trasmessi vengano consegnati al punto remoto senza modifiche. La stessa cosa accade nella direzione opposta. Ciò è possibile perché il client frame che arriva al router del provider viene poi incapsulato (aggiunto) in un blocco dati di livello superiore (pacchetto MPLS) e recuperato al punto finale;
Nota: PWE3 - Pseudo-Wire Emulation Edge to Edge (un meccanismo in cui, dal punto di vista dell'utente, riceve una connessione dedicata).
MPLS - MultiProtocol Label Switching (una tecnologia di trasmissione dati in cui ai pacchetti vengono assegnate etichette di trasporto/servizio e il percorso di trasmissione dei pacchetti di dati nelle reti viene determinato solo in base al valore delle etichette, indipendentemente dal mezzo di trasmissione, utilizzando qualsiasi protocollo. Durante routing, è possibile aggiungere nuove etichette (se necessario) o cancellarle una volta completata la loro funzione (il contenuto dei pacchetti non viene analizzato o modificato).
VPLS è una tecnologia per simulare una rete locale con connessioni multipunto. In questo caso, la rete del provider appare dal lato del cliente come un unico switch che memorizza una tabella di indirizzi MAC dei dispositivi di rete. Tale “switch” virtuale distribuisce il frame Ethernet proveniente dalla rete del cliente alla sua destinazione: a questo scopo il frame viene incapsulato in un pacchetto MPLS e quindi recuperato.
Nota: VPLS - Virtual Private LAN Service (un meccanismo in cui, dal punto di vista dell'utente, le sue reti geograficamente disperse sono collegate tramite connessioni virtuali L2).
MAC - Media Access Control (metodo di controllo dell'accesso ai media: un indirizzo identificativo univoco a 6 byte dispositivo di rete(o le sue interfacce) nelle reti Ethernet).
3. Nel caso dell’implementazione della “VPN L3”, la rete del provider agli occhi del cliente appare come un router con diverse interfacce. Pertanto l’interfaccia tra la rete locale del cliente e la rete del provider avviene al livello L3 del modello di rete OSI o TCP/IP.
Gli indirizzi IP pubblici per i punti di connessione della rete possono essere determinati previo accordo con il provider (appartengono al cliente o vengono ricevuti dal provider). Gli indirizzi IP vengono configurati dal client sui propri router su entrambi i lati (privato - dalla propria rete locale, pubblico - dal provider), l'ulteriore instradamento dei pacchetti di dati viene fornito dal provider. Tecnicamente, per implementare tale soluzione, viene utilizzato MPLS (vedi sopra), nonché le tecnologie GRE e IPSec.
Nota: GRE - Generic Routing Encapsulation (protocollo di tunneling, packaging pacchetti di rete, che consente di stabilire una connessione logica sicura tra due endpoint, utilizzando l'incapsulamento del protocollo a livello di rete L3).
IPSec - Sicurezza IP (un insieme di protocolli di protezione dei dati trasmessi tramite IP. Vengono utilizzati l'autenticazione, la crittografia e il controllo dell'integrità dei pacchetti).
È importante capire che la moderna infrastruttura di rete è costruita in modo tale che il cliente ne veda solo la parte determinata dal contratto. Risorse dedicate ( Server virtuali, router, archiviazione dei dati operativi e Prenota copia), così come i programmi in esecuzione e il contenuto della memoria sono completamente isolati dagli altri utenti. Diversi server fisici possono funzionare in modo coerente e simultaneo per un client, dal punto di vista del quale sembreranno un potente pool di server. E viceversa, su uno server fisicoè possibile creare più macchine virtuali contemporaneamente (ognuna apparirà come un computer separato con sistema operativo). Oltre a quelle standard, offriamo soluzioni personalizzate che soddisfano anche i requisiti accettati in merito alla sicurezza del trattamento e dell'archiviazione dei dati dei clienti.
Allo stesso tempo, la configurazione della rete di “livello L3” distribuita nel cloud consente di raggiungere dimensioni quasi illimitate (Internet e i grandi data center si basano su questo principio). I protocolli di routing dinamico, come OSPF e altri nelle reti cloud L3, consentono di selezionare i percorsi più brevi per instradare i pacchetti di dati, inviare pacchetti simultaneamente lungo diversi percorsi per miglior download ed estensioni larghezza di banda canali.
Allo stesso tempo è possibile implementare una rete virtuale al “livello L2”, tipico dei piccoli data center e delle applicazioni client legacy (o altamente specifiche). In alcuni di questi casi, utilizzano addirittura la tecnologia “L2 su L3” per garantire la compatibilità di rete e la funzionalità delle applicazioni.
Oggi, le attività dell'utente/cliente nella maggior parte dei casi possono essere risolte in modo efficace organizzando il privato virtuale Reti VPN utilizzando le tecnologie GRE e IPSec per la sicurezza.
È inutile contrapporre L2 e L3, così come è inutile contare l’offerta del canale L2 la migliore soluzione per costruire una comunicazione affidabile nella tua rete, una panacea. I moderni canali di comunicazione e le attrezzature dei fornitori consentono il passaggio di un'enorme quantità di informazioni e molti canali dedicati affittati dagli utenti sono, infatti, addirittura sottoutilizzati. È ragionevole utilizzare L2 solo in casi speciali quando le specificità del compito lo richiedono, tenere conto delle limitazioni alla possibilità di espansione futura di tale rete e consultare uno specialista. D'altra parte, le reti virtuali VPN L3, a parità di altre condizioni, sono più versatili e più facili da usare.
Questa recensione elenca brevemente le soluzioni standard moderne utilizzate durante il trasferimento dell'infrastruttura IT locale a data center remoti. Ognuno di essi ha il proprio consumatore, vantaggi e svantaggi; la scelta corretta della soluzione dipende dal compito specifico.
Nella vita reale, entrambi i livelli del modello di rete L2 e L3 lavorano insieme, ognuno è responsabile del proprio compito e, contrastandoli nella pubblicità, i fornitori sono apertamente falsi.
È stata identificata una vulnerabilità (CVE-2019-18634) nell'utilità sudo, che viene utilizzata per organizzare l'esecuzione di comandi per conto di altri utenti, che consente di aumentare i propri privilegi nel sistema. Problema […]
Il rilascio di WordPress 5.3 migliora ed espande l'editor di blocchi introdotto in WordPress 5.0 con un nuovo blocco, un'interazione più intuitiva e una migliore accessibilità. Nuove funzionalità nell’editor […]
Dopo nove mesi di sviluppo è disponibile il pacchetto multimediale FFmpeg 4.2 che comprende un insieme di applicazioni e una raccolta di librerie per operare su diversi formati multimediali (registrazione, conversione e […]
Linux Mint 19.2 è una versione con supporto a lungo termine che sarà supportata fino al 2023. Viene fornito aggiornato Software e contiene miglioramenti e molte novità […]
Comunicato presentato Distribuzione Linux Mint 19.2, il secondo aggiornamento del ramo Linux Mint 19.x, basato sul pacchetto base Ubuntu 18.04 LTS e supportato fino al 2023. La distribuzione è pienamente compatibile [...]
Sono disponibili nuove versioni del servizio BIND che contengono correzioni di bug e miglioramenti delle funzionalità. Le nuove versioni possono essere scaricate dalla pagina dei download sul sito Web dello sviluppatore: […]
Exim è un agente di trasferimento messaggi (MTA) sviluppato presso l'Università di Cambridge per l'utilizzo su sistemi Unix connessi a Internet. È liberamente disponibile secondo [...]
Dopo quasi due anni di sviluppo, viene presentata la release di ZFS su Linux 0.8.0, implementazione file system ZFS, confezionato come modulo per il kernel Linux. Il funzionamento del modulo è stato testato con Kernel Linux dal 2.6.32 al […]
La IETF (Internet Engineering Task Force), che sviluppa protocolli e architetture Internet, ha completato una RFC per il protocollo ACME (Automatic Certificate Management Environment) […]
L’autorità di certificazione senza scopo di lucro Let’s Encrypt, che è controllata dalla comunità e fornisce certificati gratuitamente a tutti, ha riassunto i risultati dell’anno passato e ha parlato dei piani per il 2019. […]
