Обзор и технические возможности коммутаторов фирмы Cisco
Рефераты >> Программирование и компьютеры >> Обзор и технические возможности коммутаторов фирмы Cisco

Рис. 10

Рабочие группы с несколькими серверами

Если все узлы подключены к концентратору 10Base-T производительность будет невысокой за счет частых случаев одновременного обращения нескольких пользователей к одному серверу. Замена хаба 10Base-T коммутатором для рабочей группы может существенно повысить производительность работы группы.

Рабочие группы с архитектурой клиент-сервер

Для рабочих групп, где большая часть трафика связана с одним узлом (сервер) существенно повысить производительность можно за счет использования коммутатора, имеющего порты, работающие с более высокой скоростью, нежели скорость клиентов В таком случае сервер подключается к порту 100 Mbps, что позволяет избавиться от пробок при одновременном обращении к серверу нескольких пользователей (см. рис. 10). Используя порт 100 Mbps для подключения сервера, можно обеспечить десять одновременных подключений со скоростью 10 Mbps. Порт 100 Mbps можно также использовать для подключения к магистральному коммутатору или концентратору 100 Mbps.

Объединение коммутаторов рабочих групп и корпоративных серверов

Создание больших сетей Ethernet на базе коммутаторов для рабочих групп требует организации скоростного соединения коммутаторов между собой. Кроме того, целесообразно организовать скоростную магистраль для доступа к серверам, используемым всеми рабочими группами сети. Для организации такой магистрали можно использовать коммутаторы или хабы 100 Mbps Ethernet, к портам которых подключаются коммутаторы рабочих групп как это показано на рисунке 11.

Рис. 11

В нашем примере рабочие станции имеют выделенную полосу 10 Mbps для доступа к серверам через коммутатор рабочей группы и концентратор 100 Mbps Ethernet. Концентратор 100Base-T и корпоративные серверы обычно располагаются в одном помещении, а коммутаторы рабочих групп устанавливаются вблизи этих групп и соединяются с хабом стандартными кабелями.

Виртуальные локальные сети VLAN

Широкое внедрение ИНТРАНЕТ, где группы разбросанных по сети пользователей локальных сетей объединяются друг с другом с помощью виртуальных каналов VLAN (Virtual Local Area Network;), потребовало разработки новых протоколов. Архитектура VLAN позволяет эффективно разделять трафик, лучше использовать полосу канала, гарантировать успешную совместную работу сетевого оборудования различных производителей и обеспечить высокую степень безопасности. При этом пакеты следуют между портами в пределах локальной сети. В последнее время для задач построения VLAN разработан стандартный протокол IEEE 802.10 (3-ий сетевой уровень). Этот протокол предполагает, что пакеты VLAN имеют свои идентификаторы, которые и используются для их переключения. Протокол может поддерживать работу 500 пользователей и более. Полное название стандарта - IEEE 802.10 Interoperable LAN/MAN Security (MAN - Metropolitan Area Network - региональная или муниципальная сеть). Стандарт принят в конце 1992 года. Количество VLAN в пределах одной сети практически не ограничено. Протокол позволяет шифровать часть заголовка и информационное поле пакетов.

Стандарт ieee 802.10 определяет один протокольный блок данных (PDU), который носит название SDE (Secure Data Exchange) PDU. Заголовок пакета ieee 802.10 имеет внутреннюю и внешнюю секции и показан на рис. 12.

Рис. 12 Формат пакета IEEE 802.10

Поле чистый заголовок включает в себя три субполя. MDF (Management Defined Field) является опционным и содержит информацию о способе обработки PDU. Четырехбайтовое субполе said (Security Association Identifier) - идентификатор сетевого объекта (VLAN ID). Субполе 802.10 LSAP (Link Service Access Point) представляет собой код, указывающий принадлежность пакета к протоколу vlan. Предусматривается режим, когда используется только этот заголовок.

Защищенный заголовок копирует себе адрес отправителя из mac-заголовка (MAC - Media Access Control), что повышает надежность.

Поле ICV (Integrity Check Value) - служит для защиты пакета от несанкционированной модификации. Для управления VLAN используется защищенная управляющая база данных SMIB(security management information base).

Наличие VLAN ID (said) в пакете выделяет его из общего потока и переправляет на опорную магистраль, через которую и осуществляется доставка конечному адресату. Размер поля data определяется физической сетевой средой. Благодаря наличию mac-заголовка VLAN-пакеты обрабатываются как обычные сетевые кадры. По этой причине VLAN может работать в сетях TCP/IP (Appletalk или Decnet менее удобны). В среде типа Netbios работа практически невозможна. Сети ATM прозрачны для VLAN. Протокол VLAN поддерживается корпорацией cisco, 3com и др Хотя VLAN ориентирован на локальные сети, он может работать и в WAN, но заметно менее эффективно. В последнее время разработано большое число специальных программных средств сетевой безопасности. Среди них Firewall занимает лидирующее положение.

В разделе “Повторители, мосты (бриджи), мультиплексоры, переключатели и маршрутизаторы” упоминалась технология виртуальных сетей (vlan). Созданная для целей безопасности эта техника оказалась полезной для структуризации локальных сетей, приводящей к улучшению их рабочих характеристик. В настоящее время доступны переключатели, маршрутизаторы и даже концентраторы, поддерживающие виртуальные сети.

Виртуальные сети просто необходимы, когда локальная сеть в пределах одного здания совместно используется несколькими фирмами, а несанкционированный доступ к информации желательно ограничить. Принцип построения виртуальной сети показан на рис._13.

Рис. 13. Схема переключателя (или концентратора) с поддержкой VLAN.

Для формирования VLAN необходимо устройство, где возможно осуществлять управление тем, какие порты могут соединяться. Например, пусть запрограммирована возможность пересылки пакетов между портами 1, 3 и 6, 2 и 5, а также между портами 4, 7 и 8. Тогда пакет из порта 1 никогда не попадет в порт 2, а из порта 8 в порт 6 и т.д. Таким образом, переключатель как бы разделяется на три независимых переключателя, принадлежащих различным виртуальным сетям. Управление матрицей переключения возможно через подключаемый из вне терминал или удаленным образом с использованием протокола SNMP. Если система переключателей, концентраторов (и возможно маршрутизаторов) запрограммирована корректно, возникнет три независимые виртуальные сети.


Страница: