Обзор и технические возможности коммутаторов фирмы Cisco
В нашем примере рабочие станции имеют выделенную полосу 10 Mbps для
доступа к серверам через коммутатор рабочей группы и концентратор 100 Mbps
Ethernet. Концентратор 100Base-T и корпоративные серверы обычно
располагаются в одном помещении, а коммутаторы рабочих групп
устанавливаются вблизи этих групп и соединяются с хабом стандартными
кабелями.
Виртуальные локальные сети VLAN
Широкое внедрение ИНТРАНЕТ, где группы разбросанных по сети
пользователей локальных сетей объединяются друг с другом с помощью
виртуальных каналов VLAN (Virtual Local Area Network;), потребовало
разработки новых протоколов. Архитектура VLAN позволяет эффективно
разделять трафик, лучше использовать полосу канала, гарантировать успешную
совместную работу сетевого оборудования различных производителей и
обеспечить высокую степень безопасности. При этом пакеты следуют между
портами в пределах локальной сети. В последнее время для задач построения
VLAN разработан стандартный протокол IEEE 802.10 (3-ий сетевой уровень).
Этот протокол предполагает, что пакеты VLAN имеют свои идентификаторы,
которые и используются для их переключения. Протокол может поддерживать
работу 500 пользователей и более. Полное название стандарта - IEEE 802.10
Interoperable LAN/MAN Security (MAN - Metropolitan Area Network -
региональная или муниципальная сеть). Стандарт принят в конце 1992 года.
Количество VLAN в пределах одной сети практически не ограничено. Протокол
позволяет шифровать часть заголовка и информационное поле пакетов.
Стандарт ieee 802.10 определяет один протокольный блок данных (PDU),
который носит название SDE (Secure Data Exchange) PDU. Заголовок пакета
ieee 802.10 имеет внутреннюю и внешнюю секции и показан на рис. 12.
[pic]
Рис. 12 Формат пакета IEEE 802.10
Поле чистый заголовок включает в себя три субполя. MDF (Management
Defined Field) является опционным и содержит информацию о способе обработки
PDU. Четырехбайтовое субполе said (Security Association Identifier) -
идентификатор сетевого объекта (VLAN ID). Субполе 802.10 LSAP (Link Service
Access Point) представляет собой код, указывающий принадлежность пакета к
протоколу vlan. Предусматривается режим, когда используется только этот
заголовок.
Защищенный заголовок копирует себе адрес отправителя из mac-заголовка
(MAC - Media Access Control), что повышает надежность.
Поле ICV (Integrity Check Value) - служит для защиты пакета от
несанкционированной модификации. Для управления VLAN используется
защищенная управляющая база данных SMIB(security management information
base).
Наличие VLAN ID (said) в пакете выделяет его из общего потока и
переправляет на опорную магистраль, через которую и осуществляется доставка
конечному адресату. Размер поля data определяется физической сетевой
средой. Благодаря наличию mac-заголовка VLAN-пакеты обрабатываются как
обычные сетевые кадры. По этой причине VLAN может работать в сетях TCP/IP
(Appletalk или Decnet менее удобны). В среде типа Netbios работа
практически невозможна. Сети ATM прозрачны для VLAN. Протокол VLAN
поддерживается корпорацией cisco, 3com и др.. Хотя VLAN ориентирован на
локальные сети, он может работать и в WAN, но заметно менее эффективно. В
последнее время разработано большое число специальных программных средств
сетевой безопасности. Среди них Firewall занимает лидирующее положение.
В разделе “Повторители, мосты (бриджи), мультиплексоры, переключатели
и маршрутизаторы” упоминалась технология виртуальных сетей (vlan).
Созданная для целей безопасности эта техника оказалась полезной для
структуризации локальных сетей, приводящей к улучшению их рабочих
характеристик. В настоящее время доступны переключатели, маршрутизаторы и
даже концентраторы, поддерживающие виртуальные сети.
Виртуальные сети просто необходимы, когда локальная сеть в пределах
одного здания совместно используется несколькими фирмами, а
несанкционированный доступ к информации желательно ограничить. Принцип
построения виртуальной сети показан на рис._13.
[pic]
Рис. 13. Схема переключателя (или концентратора) с поддержкой VLAN.
Для формирования VLAN необходимо устройство, где возможно осуществлять
управление тем, какие порты могут соединяться. Например, пусть
запрограммирована возможность пересылки пакетов между портами 1, 3 и 6, 2 и
5, а также между портами 4, 7 и 8. Тогда пакет из порта 1 никогда не
попадет в порт 2, а из порта 8 в порт 6 и т.д. Таким образом, переключатель
как бы разделяется на три независимых переключателя, принадлежащих
различным виртуальным сетям. Управление матрицей переключения возможно
через подключаемый из вне терминал или удаленным образом с использованием
протокола SNMP. Если система переключателей, концентраторов (и возможно
маршрутизаторов) запрограммирована корректно, возникнет три независимые
виртуальные сети.
Данная технология может быть реализована не только в рамках локальной
сети. Возможно выделение виртуальной сети в масштабах Интернет.
Такая корпоративная сеть должна иметь один шлюз для входа в Интернет.
Такой шлюз может выполнять функции Firewall, решая проблемы безопасности
корпоративной сети.
Сравнение коммутаторов Cisco
По данным Dell'Oro Group компания Cisco по итогам 2 квартала 2002
занимает 60% мирового рынка магистрального оборудования, то есть, больше,
чем все остальные конкуренты. Компания Cisco является лидером и в других
секторах телекоммуникационного оборудования, опережая таких "ветеранов"
отрасли, как HP, Lucent, Nortel и др. Что более важно, Cisco является
пионером в данной отрасли, само понятие "коммутатор ЛВС" относилось впервые
к одному из подразделений Cisco (Kalpana).
Cisco производит коммутаторы ЛВC, различающиеся по месту расположения
в сети и ее типу. То есть, в прайс-листе может существовать несколько
разных моделей с одинаковыми внешними параметрами - количеством и скоростью
портов. Отличаются они функциями ПО, производительностью, возможностями
резервирования и взаимодействием с "соседями" по сети.
Основные линейки коммутаторов, производимых в данное время Cisco:
|Наименование|Уровень |Управление, |Внутреннее |Назначение |
| |коммутации |стэкирование|устройство, тип| |
| | | |ПО | |
|Catalyst |L2-switch |GigaStack |С разделением |Небольшие сети,|
|3500XL | |Сluster |памяти, |периферия |
| | |client/manag|немодульные, |крупных сетей |
| | |er, внешний |Cisco (Native) | |
| | |менеджмент |IOS | |
|Catalyst |L2-switch с|GigaStack |С разделением |Небольшие сети,|
|2950 |функциями |Сluster |памяти, |периферия |
| |L3/L4 (QoS,|client/manag|немодульные, |крупных сетей, |
| |контроль |er, внешний |Cisco (Native) |"интеллектуальн|
| |доступа) - |менеджмент |IOS |ые" сети |
| |для EMI | | | |
| |моделей | | | |
|Catalyst |L3-switch |GigaStack |С разделением |Ядро небольших |
|3550 | |Сluster |памяти, |сетей, |
| | |client/manag|немодульные, |периферия |
| | |er, внешний |Cisco (Native) |крупных сетей, |
| | |менеджмент |IOS |"интеллектуальн|
| | | | |ые" сети, |
| | | | |провайдеры |
| | | | |услуг |
|Catalyst |L2/L3-switc|Внешний |Модульные |Крупные и |
|4000 |h (в |менеджмент, |(кроме 2948G), |средние |
|(а также |зависимости|встроенный |шинная |"интеллектуальн|
|2948G) |от |Web |организация, |ые" сети |
| |комплектаци|CiscoView |управляющий | |
| |и) | |супервизор, | |
| | | |резервирование | |
| | | |источников | |
| | | |питания, | |
| | | |Catalyst OS | |
|Catalyst |L2-L7-switc|Внешний |Модульные, |Крупные и |
|6500/ |h (в |менеджмент, |шинная |средние |
|Cisco7600 |зависимости|встроенный |организация, |"интеллектуальн|
| |от |Web |свитч-фабрика, |ые" сети, |
| |комплектаци|CiscoView |супервизор, |провайдеры |
| |и) | |резервирование |услуг |
| | | |источников | |
| | | |питания и | |
| | | |супервизора, | |
| | | |Native или | |
| | | |Catalyst OS | |
|Ca
| | скачать работу |
Обзор и технические возможности коммутаторов фирмы Cisco |