Возможности современных коммутаторов по организации виртуальных сетей

При использовании VLAN на базе портов, каждый порт назначается в определенную VLAN, независимо от того, какой пользователь или компьютер подключен к этому порту. Это означает, что все пользователи, подключенные к этому порту, будут членами одной VLAN.

Конфигурация портов статическая и может быть изменена только вручную.

VLAN на базе портов.

Vlan на базе mac-адресов.

Следующий способ для образования виртуальных сетей использует группировку МАС-адресов. При существовании в сети большого количества узлов этот способ требует выполнения большого количества ручных операций от администратора.

VLAN на базе МАС-адресов.

Vlan на базе меток – стандарт 802.1q.

Первые два подхода основаны только на добавлении дополнительной информации к адресным таблицам моста и не используют возможности встраивания информации о принадлежности кадра к виртуальной сети в передаваемый кадр. Метод организации VLAN на основе меток – тэгов , использует дополнительные поля кадра для хранения информации о принадлежности кадра при его перемещениях между коммутаторами сети. К кадру Ethernet добавляется метка (Tag) длиной 4 байта:

Добавляемая метка кадра включает в себя двухбайтовое поле TPID (Tag Protocol Identifier) и двухбайтовое поле TCI (Tag Control Information). Первые 2 байта с фиксированным значением 0х8100 определяют, что кадр содержит тег протокола 802.1q/802.1p. Поле TCI состоит из полей Priority, CFI и VID. Поле Priotity длиной 3 бита задает восемь возможных уровней приоритета кадра. Поле VID (VLAN ID) длиной 12 бит является идентификатором виртуальной сети. Эти 12 бит позволяют определить 4096 различных виртуальных сетей, однако идентификаторы 0 и 4095 зарезервированы для специального использования, поэтому всего в стандарте 802.1Q возможно определить 4094 виртуальные сети. Поле CFI (Canonical Format Indicator) длиной 1 бит зарезервировано для обозначения кадров сетей других типов (Token Ring, FDDI), для кадров же Ethernet оно равно 0.

После того, как кадр принят входным портом коммутатора, решение об его дальнейшей обработке принимается на основании правил входного порта (Ingress rules). Возможны следующие варианты:

прием только кадров типа Tagged;

прием только кадров типа Untagged;

по умолчанию для всех коммутаторов прием кадров обоих типов.

После обработки кадра принимается решение об его передаче к выходному порту на основании предопределенных правил продвижения кадров. Правило продвижения кадров внутри коммутатора заключается в том, что они могут передаваться только между портами, ассоциированными с одной виртуальной сетью.

1000Base Ethernet

1000Base Ethernet или Gigabit Ethernet, как и технология Fast Ethernet, использует тот же формат кадра, метод доступа CSMA/CD, топологию звезда и управление соединением (LLC – подуровень), что и стандарт IEEE 802.3 и 10Base-T Ethernet. Принципиальная разница технологий опять заключается в реализации физического уровня ЭМВОС – реализации устройств PHY. Для реализации трансиверов PHY, подключаемых к оптоволокну, использовались разработки IEEE 802.3 и ANSI X3T11 Fibre Channel. В 1998 году был опубликован стандарт 802.3z для оптоволокна и 802.3ab для витой пары.

Если отличия между Ethernet и Fast Ethernet минимальны и не затрагивают MAC-уровня, то при разработке стандарта Gigabit Ethernet 1000Base-T разработчикам пришлось не только внести изменения в физический уровень, но и затронуть MAC-подуровень.

Физический уровень Gigabit Ethernet использует несколько интерфейсов, включая традиционную витую пару категории 5, а также многомодовое и одномодовое волокно. Всего определяются 4 различных типа физических интерфейсов среды, которые отражены в спецификациях стандарта 802.3z (1000Base-X) и 802.3ab (1000Base-T).

Поддерживаемые расстояния для стандартов 1000Base-X приведены в таблице ниже.

Характеристики оптических приемопередатчиков могут быть значительно выше, указанных в таблице. Например, компания NBase выпускает коммутаторы с портами Gigabit Ethernet, обеспечивающими передачу на расстояния до 40 км по одномодовому волокну без ретрансляций (используются узкоспектральные DFB лазеры, работающие на длине волны 1550 нм).

Интерфейс 1000Base-T

1000Base-T - это стандартный интерфейс Gigabit Ethernet передачи по неэкранированной витой паре категории 5e и выше на расстояния до 100 метров. Для передачи используются все четыре пары медного кабеля, скорость передачи по одной паре 250 Мбит/c.

Подуровень MAC

Подуровень MAC стандарта Gigabit Ethernet использует тот же самый метод доступа к среде передачи CSMA/CD что и его предшественники Ethernet и Fast Ethernet. Основные ограничения на максимальную длину сегмента (или коллизионного домена) определяются именно этим протоколом.

Одной из проблем реализации скорости 1 Гбит/с стало обеспечение приемлемого диаметра сети при работе в полудуплексном режиме работы. Как известно, минимальный размер кадра в сетях Ethernet и Fast Ethernet составляет 64 байта. При скорости передачи 1 Гбит/с и размере кадра 64 байта для надежного распознавания коллизий необходимо, чтобы расстояние между двумя наиболее удаленными компьютерами составляло не более 25 метров. Напомним, что успешное распознавание коллизий возможно, если время передачи кадра минимальной длины больше, чем двойное время распространения сигнала между двумя максимально удаленными узлами в сети. Поэтому, чтобы обеспечить максимальный диаметр сети в 200 м (два кабеля по 100 м и коммутатор), минимальная длина кадра в стандарте Gigabit Ethernet была увеличена до 512 байт. Чтобы увеличить длину кадра до требуемого значения, сетевой адаптер дополняет поле данных до длины 448 байт так называемым расширением (carrier extention). Поле расширения - это поле, заполненное запрещенными символами, которые невозможно принять за коды данных. При этом поле контрольной суммы вычисляется только для оригинального кадра и не распространяется на поле расширения. При приеме кадра поле расширения отбрасывается. Поэтому уровень LLC даже и не знает о наличии поля расширения. Если размер кадра равен или превосходит 512 байт, то поле расширения носителя отсутствует.

Кадр Gigabit Ethernet с полем расширения носителя

Эту статью я написал для после того, как наконец понял формат кадра Ethernet (2-ой уровень модели OSI) и разобрался, как маркируется трафик на принадлежность к VLAN.

Напоминаю, что стандарт Ethernet (FastEthernet) технология передачи данны, описанная в стандарте комитета IEEE 802.3. При передачи данных в среде, данные на 2-ом уровне разбиваются на кадры (фреймы) и посылаются в среду передачи. Формат кадра весьма незамысловат:

Строение кадра FastEthernet

1. PREAMBLE. Семь байт данных, предназначеных для синхронизации. Каждый байт содержит одну и ту же последовательность: 10101010. Это поле используется для того, чтобы дать возможность схемам трансиверов прийти в устойчивый синхронизм с принимаемыми сигналами. Так же в это поле включается байт SFD (тут не показан) – начального ограничителя кадров, который имеет вид: 10101011. Появление этой комбинации является указанием на предстоящий приём кадра.
2. DEST MAC. Аппаратный адрес получателя (Destination).
3. SRC MAC. Аппаратный адрес источника (Source).
4. TYPE: Тип протокола верхнего уровня. 0x800 – IP, 0x806 – ARP и т.д. Полный список можно увидеть :
5. DATA: Собственно данные кадра. Может занимать от 0 до 1500 байт, но если данных меньше 46 байт, то используется специальное поле дополнения, здесь не обозначено. Таким образом считаем, что кадр содержит 46-1546 байт. Поле дополнения служит для эффективного определения коллизий.
6. FCS: Контрольная сумма кадра по CRC32. Что такое контрольная сумма – объяснять, надеюсь, не нужно. Вообще оно редко используется, гораздо проще проверять целостность пакетов или фрагментов на протоколах более высокого уровня. Ну для кого это новое, то расскажу, для чего нужна контрольная сумма. При отправке кадра передающая станция вычисляет специальным алгоритмом значение, которое записывается в это поле. В значении учитываются все биты кадра. При получении кадра, принимающая сторона вычисляет это значение снова (без учёта этого поля) и сравнивает со значением в поле. Если они равны, то считается, что кадр получен без ошибок.

Строение Ethernet кадра инкапсулированного в 802.1Q.

Как мы видим, практически всё осталось неизменным. Та же PREAMBLE, байт SFD, MAC-адреса источника и получателя. А далее – добавилось 4 новых байта. Вот это и есть так называемый тег VLAN . Остальные поля неизменны, и просто немного смещаются. При прохождении трафика через порт, тег просто изымается и работа ведётся на привычном уровне.

Рассмотрю более подробно сам тег VLAN:

1. гибкость и удобство в настройке и изменении - можно создавать необходимые комбинации VLAN как в пределах одного коммутатора, так и во всей сети, построенной на коммутаторах с поддержкой стандарта IEEE 802.1Q . Способность добавления тегов позволяет информации о VLAN распространяться через множество 802.1Q-совместимых коммутаторов по одному физическому соединению (магистральному каналу, Trunk Link );
2. позволяет активизировать алгоритм связующего дерева ( Spanning Tree ) на всех портах и работать в обычном режиме. Протокол Spanning Tree оказывается весьма полезным для применения в крупных сетях, построенных на нескольких коммутаторах, и позволяет коммутаторам автоматически определять древовидную конфигурацию связей в сети при произвольном соединении портов между собой. Для нормальной работы коммутатора требуется отсутствие замкнутых маршрутов в сети. Эти маршруты могут создаваться администратором специально для образования резервных связей или же возникать случайным образом, что вполне возможно, если сеть имеет многочисленные связи, а кабельная система плохо структурирована или документирована. С помощью протокола Spanning Tree коммутаторы после построения схемы сети блокируют избыточные маршруты. Таким образом, автоматически предотвращается возникновение петель в сети;
3. способность VLAN IEEE 802.1Q добавлять и извлекать теги из заголовков кадров позволяет использовать в сети коммутаторы и сетевые устройства, которые не поддерживают стандарт IEEE 802.1Q ;
4. устройства разных производителей, поддерживающие стандарт, могут работать вместе, независимо от какого-либо фирменного решения;
5. чтобы связать подсети на сетевом уровне, необходим маршрутизатор или коммутатор L3. Однако для более простых случаев, например, для организации доступа к серверу из различных VLAN , маршрутизатор не потребуется. Нужно включить порт коммутатора, к которому подключен сервер, во все подсети, а сетевой адаптер сервера должен поддерживать стандарт IEEE 802.1Q .

Рис. 6.5.

Некоторые определения IEEE 802.1Q

• Tagging ("Маркировка кадра") - процесс добавления информации о принадлежности к 802.1Q VLAN в заголовок кадра.
• Untagging ("Извлечение тега из кадра") - процесс извлечения информации о принадлежности к 802.1Q VLAN из заголовка кадра.
• VLAN ID (VID) - идентификатор VLAN .
• Port VLAN ID (PVID) - идентификатор порта VLAN .
• Ingress port ("Входной порт") - порт коммутатора, на который поступают кадры, и при этом принимается решение о принадлежности к VLAN .
• Egress port ("Выходной порт") - порт коммутатора, с которого кадры передаются на другие сетевые устройства, коммутаторы или рабочие станции, и, соответственно, на нем должно приниматься решение о маркировке.

Любой порт коммутатора может быть настроен как tagged (маркированный) или как untagged (немаркированный). Функция untagging позволяет работать с теми сетевыми устройствами виртуальной сети, которые не понимают тегов в заголовке кадра Ethernet. Функция tagging позволяет настраивать VLAN между несколькими коммутаторами, поддерживающими стандарт IEEE 802.1Q .

Тег VLAN IEEE 802.1Q

Стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети. На рис. 6.7 изображен формат тега 802.1Q

Если задуматься о том, как же работают виртуальные сети, то в голову приходит Мысль, что все дело не в отправляющей машине, а в самом кадре ВЛВС. Если бы был какой-нибудь способ идентифицировать ВЛВС по заголовку кадра, отпала бы необходимость просмотра его содержимого. По крайней мере, в новых сетях tHna 802.11 или 802.16 вполне можно было бы просто добавить специальное поле заголовка. Вообще-то Идентификатор кадра в стандарте 802.16 -- это как раз нечто в этом духе. Но что делать с Ethernet -- доминирующей сетью, у которой нет никаких «запасных» полей, которые можно было бы отдать под идентификатор виртуальной сети? Комитет IEEE 802 озаботился этим вопросом в 1995 году. После долгих дискуссий было сделано невозможное -- изменен формат заголовка кадра Ethernet!? Новый формат было опубликован под именем 802.1Q, в 1998 году. В заголовок кадра был вставлен флаг ВЛВС, который мы сейчас вкратце рассмотрим. Понятно, что внесение изменений в нечто уже устоявшееся, такое как Ethernet, должно быть произведено каким-то нетривиальным образом. Встают, например, следующие вопросы:

• 1. И что, теперь надо будет выбросить на помойку несколько миллионов уже существующих сетевых карт Ethernet?
• 2. Если нет, то кто будет заниматься генерированием новых полей кадров?
• 3. Что произойдет с кадрами, которые уже имеют максимальный размер?

Конечно, комитет 802 тоже был озабочен этими вопросами, и решение, несмотря ни на что, было найдено.

Идея состоит в том, что на самом деле поля ВЛВС реально используются только мостами да коммутаторами, а не машинами пользователей. Так, скажем, сеть не очень-то волнует их наличие в каналах, идущих от оконечных станций, до тех пор, пока кадры не доходят до мостов или коммутаторов. Таким образом, чтобы была возможна работа с виртуальными сетями, про их существование должны знать мосты и коммутаторы, но это требование и так понятно. Теперь же мы выставляем еще одно требование: они должны знать про существование 802.1Q. Уже выпускается соответствующее оборудование. Что касается старых сетевых, карт Ethernet, то выкидывать их не приходится. Комитет 802.3 никак не мог заставить людей изменить поле Тип на поле Длина. Вы можете себе представить, какова была бы реакция на заявление о том, что все существующие карты Ethernet можно выбросить? Тем не менее, на рынке появляются новые модели, и есть надежда, что они теперь будут 802.1Ј)-совместимыми и смогут корректно заполнять поля идентификации виртуальных сетей.

Если отправитель не генерирует поле признака виртуальной сети, то кто же этим занимается? Ответ таков: первый встретившийся на пути мост или коммутатор, обрабатывающий кадры виртуальных сетей, вставляет это поле, а последний -- вырезает его. Но как он узнает, в какую из виртуальных сетей передать? локальная сеть маршрутизатор трафик

Для этого первое устройство, которое вставляет поле ВЛВС, может присвоить номер виртуальной сети порту, проанализировать МАС-адрес или (не дай Бог, конечно) подсмотреть содержимое поля данных. Пока все не перейдут на Ethernet-карты, совместимые со стандартом 802.1Q, все именно так и будет. Остается надеяться на то, что все сетевые платы гигабитного Ethernet будут придерживаться стандарта 802.1Q, с самого начала их производства, и таким образом всем пользователям гигабитного Ethernet этой технологии автоматически станут доступны возможности 802.1Q. Что касается проблемы кадров, длина которых превышает 1518 байт, то в стандарте 802.1Q она решается путем повышения лимита до 1522 байт. При передаче данных в системе могут встречаться как устройства, которым сокращение ВЛВС не говорит ровным счетом ни о чем (например, классический или быстрый Ethernet), так и совместимая с виртуальными сетями аппаратура (например, гигабитный Ethernet). Здесь затененные символы означают ВЛВС-совместимые устройства, а пустые квадратики -- все остальные. Для простоты мы предполагаем, что все коммутаторы ВЛВС-совместимы. Если же это не так, то первый такой ВЛВС-совместимый коммутатор добавит в кадр признак виртуальной сети, основываясь на информации, взятой из MAC- или IP-адреса.

ВЛВС-совместимые сетевые платы Ethernet генерируют кадры с флагами (то есть кадры стандарта 802.1Q), и дальнейшая маршрутизация производится уже с использованием этих флагов. Для осуществления маршрутизации коммутатор, как и раньше, должен знать, какие виртуальные сети доступны на всех портах. Информация о том, что кадр принадлежит серой виртуальной сети, еще, по большому счету, ни о чем не говорит, поскольку коммутатору еще нужно знать, какие порты соединены с машинами серой виртуальной сети. Таким образом, коммутатору нужна таблица соответствия портов виртуальным сетям, из которой также можно было бы узнать, являются ли порты ВЛВС совместимыми. Когда обычный, ничего не подозревающий о существовании виртуальных сетей компьютер посылает кадр на коммутатор виртуальной сети, последний генерирует новый кадр, вставляя в него флаг ВЛВС. Информацию для этого флага он получает с виртуальной сети отправителя (для ее определения используется номер порта, MAC- или IP-адрес.) Начиная с этого момента никто больше не переживает из-за того, что отправитель является машиной, не поддерживающей стандарт 802.1Q, Таким же образом коммутатор, желающий доставить кадр с флагом на такую машину, должен привести его к соответствующему формату. Теперь рассмотрим собственно формат 802.1Q. Единственное изменение -- это пара 2-байтовых полей. Первое называется Идентификатор протокола ВЛВС. Оно всегда имеет значение 0x8100. Поскольку это число превышает 1500, то все сетевые карты Ethernet интерпретируют его как «тип», а не как «длину». Неизвестно, что будет делать карта, несовместимая с 802.1Q, поэтому такие кадры, по идее, не должны к ней никоим образом попадать.

Во втором двухбайтовом поле есть три вложенных поля. Главным из них является идентификатор ВЛВС, который занимает 12 младших битов. Он содержит ту информацию, из-за которой все эти преобразования форматов, собственно, и были затеяны: в нем указано, какой виртуальной сети принадлежит кадр. Трехбитовое поле Приоритет не имеет совершенно ничего общего с виртуальными сетями. Просто изменение формата Ethernet-кадра -- это такой ежедекадный ритуал, который занимает три года и исполняется какой-то сотней людей. Почему бы не оставить память о себе в виде трех дополнительных бит, да еще и с таким привлекательным назначением. Поле Приоритет позволяет различать трафик с жесткими требованиями к реальности масштаба времени, трафик со средними требованиями и трафик, для которого время передачи не критично. Это позволяет обеспечить более высокое качество обслуживания в Ethernet. Оно используется также при передаче голоса по Ethernet (хотя вот уже четверть века в IP имеется подобное поле, и никому никогда не требовалось его использовать). Последний бит, CFI (Canonical Format Indicator -- индикатор классического формата), следовало бы назвать Индикатором эгоизма компании. Изначально он предназначался для того, чтобы показывать, что применяется формат МАС-адреса с прямым порядком байтов (или, соответственно, с обратным порядком), однако в пылу дискуссий об этом как-то забыли. Его присутствие сейчас означает, что поле данных содержит усохший кадр 802.5, который ищет еще одну сеть формата 802.5 и в Ethernet попал совершенно случайно. То есть на самом деле он просто использует Ethernet в качестве средства передвижения. Все это, конечно, практически никак не связано с обсуждаемыми в данном разделе виртуальными сетями. Но политика комитета стандартизации не сильно отличается от обычной политики: если ты проголосуешь за введение в формат моего бита, то я проголосую за твой бит. Как уже упоминалось ранее, когда кадр с флагом виртуальной сети приходит на ВЛВС-совместимый коммутатор, последний использует идентификатор виртуальной сети в качестве индекса таблицы, в которой он ищет, на какой бы порт послать кадр. Но откуда берется эта таблица? Если она разрабатывается вручную, это означает возврат в исходную точку: ручное конфигурирование коммутаторов. Вся прелесть прозрачности мостов состоит в том, что они настраиваются автоматически и не требуют для этого никакого вмешательства извне. Было бы очень стыдно потерять это свойство. К счастью, мосты для виртуальных сетей также являются самонастраивающимися. Настройка производится на основе информации, содержащейся во флагах приходящих кадров. Если кадр, помеченный как ВЛВС 4, приходит на порт 3, значит, несомненно, одна из машин, подключенных к этому порту, находится в виртуальной сети 4. Стандарт 802.1Q вполне четко поясняет, как строятся динамические таблицы. При этом делаются ссылки на соответствующие части алгоритма Перлмана (Perlman), который вошел в стандарт 802.ID. Прежде чем завершить разговор о маршрутизации в виртуальных сетях, необходимо сделать еще одно замечание. Многие пользователи сетей Интернет и Ethernet фанатично привязаны к сетям без установления соединения и неистово противопоставляют их любым системам, в которых есть хотя бы намек на соединение на сетевом уровне или уровне передачи данных. Однако в виртуальных сетях один технический момент как-раз-таки очень сильно напоминает установку соединения. Речь идет о том, что работа виртуальной сети невозможна без того, чтобы в каждом кадре был идентификатор, использующийся в качестве индекса таблицы, встроенной в коммутатор. По этой таблице определяется дальнейший вполне определенный маршрут кадра. Именно это и происходит в сетях, ориентированных на соединение. В системах без установления соединения маршрут определяется по адресу назначения, и там отсутствуют какие-либо идентификаторы конкретных линий, через которые должен пройти кадр.

Компьютер при отправке трафика в сеть даже не догадывается, в каком VLAN"е он размещён. Об этом думает коммутатор. Коммутатор знает, что компьютер, который подключен к определённому порту, находится в соответствующем VLAN"e. Трафик, приходящий на порт определённого VLAN"а, ничем особенным не отличается от трафика другого VLAN"а. Другими словами, никакой информации о принадлежности трафика определённому VLAN"у в нём нет.

Однако, если через порт может прийти трафик разных VLAN"ов, коммутатор должен его как-то различать. Для этого каждый кадр (frame) трафика должен быть помечен каким-то особым образом. Пометка должна говорить о том, какому VLAN"у трафик принадлежит.

Наиболее распространённый сейчас способ ставить такую пометку описан в открытом стандарте IEEE 802.1Q .

IEEE 802.1Q - открытый стандарт, который описывает процедуру тегирования трафика для передачи информации о принадлежности кVLAN .

Так как 802.1Q не изменяет заголовки кадра, то сетевые устройства, которые не поддерживают этот стандарт, могут передавать трафик без учёта его принадлежности к VLAN.

802.1Q помещает внутрь фрейма тег , который передает информацию о принадлежности трафика к VLAN"у.

Размер тега - 4 байта. Он состоит из таких полей:

Tag Protocol Identifier (TPID) - Идентификатор протокола тегирования. Размер поля - 16 бит. Указывает, какой протокол используется для тегирования. Для 802.1q используется значение 0x8100.

Tag Control Information (TCI) - поле, инкапсулирующее в себе поля приоритета, канонического формата и идентификатора VLAN:

• Priority - приоритет. Размер поля - 3 бита. Используется стандартом IEEE 802.1p для задания приоритета передаваемого трафика.

  Canonical Format Indicator (CFI) - Индикатор канонического формата. Размер поля - 1 бит. Указывает на формат MAC-адреса. 0 - канонический(Кадр Ethernet), 1 - не канонический(Кадр Token Ring,FDDI).

  VLAN Identifier (VID ) - идентификатор VLAN"а. Размер поля - 12 бит. Указывает, какому VLAN"у принадлежит фрейм. Диапазон возможных значений VID от 0 до 4094.

При использовании стандарта Ethernet II 802.1Q вставляет тег перед полем "Тип протокола". Так как фрейм изменился, пересчитывается контрольная сумма.

В стандарте 802.1Q существует понятие Native VLAN . По умолчанию это VLAN 1. Трафик, передающийся в этом VLAN, не тегируется.

Существует аналогичный 802.1Q проприетарный протокол, разработанный компанией Cisco Systems - ISL .