Vlan на базе портов. Возможности современных коммутаторов по организации виртуальных сетей

В 1980 году в институте IEEE был организован "Комитет 802 по стандартизации локальных сетей", в результате работы которого было принято семейство стандартов IEEE 802.х, которые содержат рекомендации для проектирования нижних уровней локальных сетей. Позже результаты его работы легли в основу комплекса международных стандартов ISO 8802-1...5. Эти стандарты были созданы на основе очень распространенных фирменных стандартов сетей Ethernet, ArcNet и Token Ring.

(Помимо IEEE в работе по стандартизации протоколов локальных сетей принимали участие и другие организации. Так для сетей, работающих на оптоволокне, американским институтом по стандартизации ANSI был разработан стандарт FDDI, обеспечивающий скорость передачи данных 100 Мб/с. Работы по стандартизации протоколов ведутся также ассоциацией ECMA (European Computer Manufacturers Association), которой приняты стандарты ECMA-80, 81, 82 для локальной сети типа Ethernet и впоследствии стандарты ECMA-89, 90 по методу передачи маркера.)

Стандарты семейства IEEE 802.x охватывают только два нижних уровня семиуровней модели OSI - физический и канальный. Это связано с тем, что именно эти уровни в наибольшей степени отражают специфику локальных сетей. Старшие же уровни, начиная с сетевого, в значительной степени имеют общие черты как для локальных, так и для глобальных сетей.

Специфика локальных сетей нашла также свое отражение в разделении канального уровня на два подуровня:

подуровень управления доступом к среде (Media Access Control, MAC)

подуровень логической передачи данных (Logical Link Control, LLC).

MAC-уровень появился из-за существования в локальных сетях разделяемой среды передачи данных. Именно этот уровень обеспечивает корректное совместное использование общей среды, предоставляя ее в соответствии с определенным алгоритмом в распоряжение той или иной станции сети. После того, как доступ к среде получен, ею может пользоваться следующий подуровень, организующий надежную передачу логических единиц данных - кадров информации. В современных локальных сетях получили распространение несколько протоколов MAC-уровня, реализующих различные алгоритмы доступа к разделяемой среде. Эти протоколы полностью определяют специфику таких технологий как Ethernet, Token Ring, FDDI, 100VG-AnyLAN.

Уровень LLC отвечает за достоверную передачу кадров данных между узлами, а также реализует функции интерфейса с прилегающим к нему сетевым уровнем. Для уровня LLC также существует несколько вариантов протоколов, отличающихся наличием или отсутствием на этом уровне процедур восстановления кадров в случае их потери или искажения, то есть отличающихся качеством транспортных услуг этого уровня.

Протоколы уровней MAC и LLC взаимно независимы - каждый протокол MAC-уровня может применяться с любым типом протокола LLC-уровня и наоборот.

Стандарт IEEE 802 содержит несколько разделов:

В разделе 802.1 приводятся основные понятия и определения, общие характеристики и требования к локальным сетям.

Раздел 802.2 определяет подуровень управления логическим каналом llc.

Разделы 802.3 - 802.5 регламентируют спецификации различных протоколов подуровня доступа к среде MAC и их связь с уровнем LLC:

стандарт 802.3 описывает коллективный доступ с опознаванием несущей и обнаружением конфликтов (Carrier sense multiple access with collision detection - CSMA/CD), прототипом которого является метод доступа стандарта Ethernet;

стандарт 802.4 определяет метод доступа к шине с передачей маркера (Token bus network), прототип - ArcNet;

стандарт 802.5 описывает метод доступа к кольцу с передачей маркера (Token ring network), прототип - Token Ring.

Для каждого из этих стандартов определены спецификации физического уровня, определяющие среду передачи данных (коаксиальный кабель, витая пара или оптоволоконный кабель), ее параметры, а также методы кодирования информации для передачи по данной среде.

Все методы доступа используют протоколы уровня управления логическим каналом LLC, описанным в стандарте 802.2.

2.1.3 Структура кадра 802.1 Q

Спецификация 802.1 Q определяет 12 возможных форматов инкапсуляции долнительного поля в кадры МАС-уровня. Эти форматы определяются в зависимости от трех типов кадров (Ethernet II, LLC в нормальном формате, LLC в формате Token Ring), двух типов сетей (802.3/Ethernet или Token Ring/FDDI) и двух типов меток VLAN (неявных или явных). Имеются также определенные правила трансляции исходных кадров Ethernet или Token Ring в помеченные кадры и обратной трансляции помеченных кадров в исходные.

Поле идентификатора протокола меток (Tag Protocol Identifier,TPI) заменило поле EtherType кадра Ethernet, которое заняло место после двухбайтного поля метки VLAN.

В поле метки VLAN имеется три подполя.

Подполе Priority предназначено для хранения трех бит приоритета кадра, что позволяет определить до 8 уровней приоритетов. Однобитный признак TR- Encapsulation показывает, содержат ли данные, переносимые кадром, инкапсулированный кадр формата IEEE (признак равен 1) 802.5 или же они соответствуют типу внешнего кадра (признак равен 0).

С помощью этого признака можно туннелировать трафик сетей Token Ring на коммутируемых магистралях Ethernet.

12-битный идентификатор VLAN (VID) уникально идентифицирует VLAN, к которой относится данный кадр.

Максимальный размер кадра Ethernet увеличивается при применении спецификации IEEE 802.1 Q не 4 байта- с 1518 байт до 1522 байт.

Рис.2.1.3 Структура кадра Ethernet с полем IEEE 802.1 Q

2.1.4 Обеспечение качества обслуживания в сетях на основе коммутаторов.

Коммутаторы второго и третьего уровней могут очень быстро продвигать пакеты, но это не единственное свойство сетевого оборудования, которое требуется для создания современной сети.

Сетью нужно управлять, и одним из аспектов управления является обеспечение нужного качества обслуживания (QoS).

Поддержка QoS дает администратору возможность предвидеть и контролировать поведение сети за счет приоритезации приложений, подсетей и конечных станций, или предоставлении им гарантированной пропускной способности.

Существует два основных способа поддержания качества обслуживания. Это предварительное резервирование ресурсов и предпочтительное обслуживание агрегированных классов трафика. Последний способ нашел на втором уровне основное применение. В коммутаторах второго уровня достаточно давно работает большое количество фирменных схем приоритетного обслуживания, разбивающих весь трафик на 2-3-4 класса и обслуживающих эти классы дифференцированным способом.

Сегодня рабочей группой IEEE 802.1 разработаны стандарты 802.1 p/Q (названные позже 802.1D-1998), наводящие порядок в схемах приоритезации трафика и способе переноса данных о классах трафика в кадрах локальных сетей. Идеи приоритезации трафика, заложенные в стандарты 802.1 p/Q, в основном соответствуют рассмотренной в главе схеме дифференцированных сервисов IP. Схема QoS на основе стандартов 802.1 p/Q предусматривает

возможность задания класса обслуживания (приоритета) как конечным узлом за счет помешения в стандартный кадр 802 идентификатора виртуальной сети VID, содержащего три бита уровня приоритета, так и классификации трафика коммутаторами на основе некоторого набора признаков. Качество обслуживания может также дифференцироваться между различными виртуальными локальными сетями. В этом случае поле приоритета играет роль дифференциатора второго уровня внутри различных потоков каждой виртуальной сети.

Нормальный трафик, доставляемый с “max. усилиями”

Чувствительный к задержкам трафик

Рис.2.1.4 Классы обслуживания внутри виртуальных сетей.

Точная интерпретация потребностей каждого класса трафика, помеченного значением приоритета и, возможно, номером виртуальной сети, оставляется, как и в случае дифференцированных сервисов IP, на усмотрение администратора сети. В общем случае предполагается наличие в коммутаторе правил политики, в соответствии с которыми выполняется обслуживание каждого класса трафика, то есть наличия профиля трафика.

Производители коммутаторов обычно встраивают в свои устройства более широкие способы классификация трафика, чем те, которые предусмотрены в стандарте 802.1 p/Q. Классы трафика могут отличаться МАС-адресами, физическими портами, метками 802.1 p/Q, а в коммутаторах третьего и четвертого уровней - IP-адресами и хорошо известными номерами портов TCP/UDP.

Как только пакет поступает в коммутатор, значения его полей сравниваются с признаками, содержащимися в правилах, которые назначены для групп трафика, а затем помещаются в соответствующую очередь. Правила, связанные с каждой очередью, могут гарантировать пакетам определенное количество пропускной способности и приоритет, влияющий на величину задержки пакетов. Классификация трафика коммутатором и встраивание информации о требуемом качестве обслуживания в пакеты позволяет администраторам устанавливать политику QoS во всей корпоративной сети. Существуют следующие способы классификации трафика:

На основе портов. При назначении приоритетов индивидуальным входным портам для распространения информации о требуемом качестве обслуживания по всей коммутируемой сети используются метки приоритетов стандарта 802.1 p/Q.

На основе меток VLAN. Это достаточно простой и весьма обобщенный способ поддержания QoS. Назначая профиль QoS виртуальным локальным сетям, можно достаточно просто управлять потоками при их объединении в магистральной линии.

На основании номеров сетей. Виртуальные сети, основанные на протоколах, могут использовать привязку профилей QoS к определенным подсетям IP, IPX и Apple Talk. Это позволяет легко отделить определенную группу пользователей и обеспечить их нужным качеством обслуживания.

По приложениям (порты ТСР/UDP). Позволяет выделить классы приложений, которым затем предоставляется дифференцированное обслуживание независимо от адресов конечных узлов и пользователей.

Необходимым условием поддержки качества обслуживания на основе номеров сетей является возможность просмотра пакетов на третьем уровне, а дифференциация по приложениям требует просмотра пакетов на четвертом уровне.

Рис.2.1.5 Обслуживание различных классов трафика.

После разделения трафика на классы коммутаторы могут обеспечивать каждому классу гарантированный минимум и максимум пропускной способности, а также приоритет, определяющий обработку очереди при наличии свободной пропускной способности коммутатора. На рисунке показан пример обслуживания четырех классов трафика. Каждому из них отведен определенный минимум пропускной способности, а высокоприоритетному трафику также и максимум, чтобы этот класс трафика не мог полностью подавить менее приоритетные.

встраивания информации о принадлежности к виртуальной сети в передаваемый кадр . Виртуальные локальные сети , построенные на основе стандарта IEEE 802.1Q , используют дополнительные поля кадра для хранения информации о принадлежности к VLAN при его перемещении по сети. С точки зрения удобства и гибкости настроек, VLAN стандарта IEEE 802.1Q является лучшим решением по сравнению с VLAN на основе портов. Его основные преимущества:

1. гибкость и удобство в настройке и изменении - можно создавать необходимые комбинации VLAN как в пределах одного коммутатора, так и во всей сети, построенной на коммутаторах с поддержкой стандарта IEEE 802.1Q . Способность добавления тегов позволяет информации о VLAN распространяться через множество 802.1Q-совместимых коммутаторов по одному физическому соединению (магистральному каналу, Trunk Link );
2. позволяет активизировать алгоритм связующего дерева ( Spanning Tree ) на всех портах и работать в обычном режиме. Протокол Spanning Tree оказывается весьма полезным для применения в крупных сетях, построенных на нескольких коммутаторах, и позволяет коммутаторам автоматически определять древовидную конфигурацию связей в сети при произвольном соединении портов между собой. Для нормальной работы коммутатора требуется отсутствие замкнутых маршрутов в сети. Эти маршруты могут создаваться администратором специально для образования резервных связей или же возникать случайным образом, что вполне возможно, если сеть имеет многочисленные связи, а кабельная система плохо структурирована или документирована. С помощью протокола Spanning Tree коммутаторы после построения схемы сети блокируют избыточные маршруты. Таким образом, автоматически предотвращается возникновение петель в сети;
3. способность VLAN IEEE 802.1Q добавлять и извлекать теги из заголовков кадров позволяет использовать в сети коммутаторы и сетевые устройства, которые не поддерживают стандарт IEEE 802.1Q ;
4. устройства разных производителей, поддерживающие стандарт, могут работать вместе, независимо от какого-либо фирменного решения;
5. чтобы связать подсети на сетевом уровне, необходим маршрутизатор или коммутатор L3. Однако для более простых случаев, например, для организации доступа к серверу из различных VLAN , маршрутизатор не потребуется. Нужно включить порт коммутатора, к которому подключен сервер, во все подсети, а сетевой адаптер сервера должен поддерживать стандарт IEEE 802.1Q .

Рис. 6.5.

Некоторые определения IEEE 802.1Q

• Tagging ("Маркировка кадра") - процесс добавления информации о принадлежности к 802.1Q VLAN в заголовок кадра.
• Untagging ("Извлечение тега из кадра") - процесс извлечения информации о принадлежности к 802.1Q VLAN из заголовка кадра.
• VLAN ID (VID) - идентификатор VLAN .
• Port VLAN ID (PVID) - идентификатор порта VLAN .
• Ingress port ("Входной порт") - порт коммутатора, на который поступают кадры, и при этом принимается решение о принадлежности к VLAN .
• Egress port ("Выходной порт") - порт коммутатора, с которого кадры передаются на другие сетевые устройства, коммутаторы или рабочие станции, и, соответственно, на нем должно приниматься решение о маркировке.

Любой порт коммутатора может быть настроен как tagged (маркированный) или как untagged (немаркированный). Функция untagging позволяет работать с теми сетевыми устройствами виртуальной сети, которые не понимают тегов в заголовке кадра Ethernet. Функция tagging позволяет настраивать VLAN между несколькими коммутаторами, поддерживающими стандарт IEEE 802.1Q .

Рис. 6.6.

Тег VLAN IEEE 802.1Q

Стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети. На рис. 6.7 изображен формат тега 802.1Q

Компьютер при отправке трафика в сеть даже не догадывается, в каком VLAN"е он размещён. Об этом думает коммутатор. Коммутатор знает, что компьютер, который подключен к определённому порту, находится в соответствующем VLAN"e. Трафик, приходящий на порт определённого VLAN"а, ничем особенным не отличается от трафика другого VLAN"а. Другими словами, никакой информации о принадлежности трафика определённому VLAN"у в нём нет.

Однако, если через порт может прийти трафик разных VLAN"ов, коммутатор должен его как-то различать. Для этого каждый кадр (frame) трафика должен быть помечен каким-то особым образом. Пометка должна говорить о том, какому VLAN"у трафик принадлежит.

Наиболее распространённый сейчас способ ставить такую пометку описан в открытом стандарте IEEE 802.1Q .

IEEE 802.1Q - открытый стандарт, который описывает процедуру тегирования трафика для передачи информации о принадлежности кVLAN .

Так как 802.1Q не изменяет заголовки кадра, то сетевые устройства, которые не поддерживают этот стандарт, могут передавать трафик без учёта его принадлежности к VLAN.

802.1Q помещает внутрь фрейма тег , который передает информацию о принадлежности трафика к VLAN"у.

Размер тега - 4 байта. Он состоит из таких полей:

Tag Protocol Identifier (TPID) - Идентификатор протокола тегирования. Размер поля - 16 бит. Указывает, какой протокол используется для тегирования. Для 802.1q используется значение 0x8100.

Tag Control Information (TCI) - поле, инкапсулирующее в себе поля приоритета, канонического формата и идентификатора VLAN:

• Priority - приоритет. Размер поля - 3 бита. Используется стандартом IEEE 802.1p для задания приоритета передаваемого трафика.

  Canonical Format Indicator (CFI) - Индикатор канонического формата. Размер поля - 1 бит. Указывает на формат MAC-адреса. 0 - канонический(Кадр Ethernet), 1 - не канонический(Кадр Token Ring,FDDI).

  VLAN Identifier (VID ) - идентификатор VLAN"а. Размер поля - 12 бит. Указывает, какому VLAN"у принадлежит фрейм. Диапазон возможных значений VID от 0 до 4094.

При использовании стандарта Ethernet II 802.1Q вставляет тег перед полем "Тип протокола". Так как фрейм изменился, пересчитывается контрольная сумма.

В стандарте 802.1Q существует понятие Native VLAN . По умолчанию это VLAN 1. Трафик, передающийся в этом VLAN, не тегируется.

Существует аналогичный 802.1Q проприетарный протокол, разработанный компанией Cisco Systems - ISL .

Эту статью я написал для после того, как наконец понял формат кадра Ethernet (2-ой уровень модели OSI) и разобрался, как маркируется трафик на принадлежность к VLAN.

Напоминаю, что стандарт Ethernet (FastEthernet) технология передачи данны, описанная в стандарте комитета IEEE 802.3. При передачи данных в среде, данные на 2-ом уровне разбиваются на кадры (фреймы) и посылаются в среду передачи. Формат кадра весьма незамысловат:

Строение кадра FastEthernet

1. PREAMBLE. Семь байт данных, предназначеных для синхронизации. Каждый байт содержит одну и ту же последовательность: 10101010. Это поле используется для того, чтобы дать возможность схемам трансиверов прийти в устойчивый синхронизм с принимаемыми сигналами. Так же в это поле включается байт SFD (тут не показан) – начального ограничителя кадров, который имеет вид: 10101011. Появление этой комбинации является указанием на предстоящий приём кадра.
2. DEST MAC. Аппаратный адрес получателя (Destination).
3. SRC MAC. Аппаратный адрес источника (Source).
4. TYPE: Тип протокола верхнего уровня. 0x800 – IP, 0x806 – ARP и т.д. Полный список можно увидеть :
5. DATA: Собственно данные кадра. Может занимать от 0 до 1500 байт, но если данных меньше 46 байт, то используется специальное поле дополнения, здесь не обозначено. Таким образом считаем, что кадр содержит 46-1546 байт. Поле дополнения служит для эффективного определения коллизий.
6. FCS: Контрольная сумма кадра по CRC32. Что такое контрольная сумма – объяснять, надеюсь, не нужно. Вообще оно редко используется, гораздо проще проверять целостность пакетов или фрагментов на протоколах более высокого уровня. Ну для кого это новое, то расскажу, для чего нужна контрольная сумма. При отправке кадра передающая станция вычисляет специальным алгоритмом значение, которое записывается в это поле. В значении учитываются все биты кадра. При получении кадра, принимающая сторона вычисляет это значение снова (без учёта этого поля) и сравнивает со значением в поле. Если они равны, то считается, что кадр получен без ошибок.

Строение Ethernet кадра инкапсулированного в 802.1Q.

Как мы видим, практически всё осталось неизменным. Та же PREAMBLE, байт SFD, MAC-адреса источника и получателя. А далее – добавилось 4 новых байта. Вот это и есть так называемый тег VLAN . Остальные поля неизменны, и просто немного смещаются. При прохождении трафика через порт, тег просто изымается и работа ведётся на привычном уровне.

Рассмотрю более подробно сам тег VLAN:

Биты	Значение
1-16	Tag Protocol Identifier. На схеме это TPID . Для 802.1Q всегда равен 0x810 . То есть встретив эти 2 байта можно сделать вывод, что трафик меченый.
17-19	Priority . Приоритет трафика. Эти три бита используются стандартом 802.1p для задания приоритета трафика. Это и два следующих поля – TCI .
20	Canonical Format Indicator – индикатор канонического формата MAC-адреса. Если бит = 0, – канонический. Если = 1, не канонический. Ну то бишь Token Ring
21-32	VLAN Identifier . В этих 12 битах закодирован номер VLAN . Может принимать значение от 0 до 4094. Не все коммутаторы поддерживают такое количество, да и по правде сказать, не всегда такое нужно. В нашем случае это значение равно 0xA , что означает 10-ый VLAN .