Сетевые технологии для пользователей

Сергей Самохин

По мере роста сетей, трафика в них и усложнения топологии проблемы, связанные с широковещательными пакетами, приобретают все большее значение.

юбой протокол, будь то TCP/IP, IPX или AppleTalk, использует широковещательные пакеты; на их применении построено также большинство служебных протоколов, используемых мостами и маршрутизаторами для распознавания топологии сетей. Увеличение сетевого трафика по мере роста числа устройств в сети происходит почти линейно, тогда как широковещательный трафик растет в геометрической прогрессии. Хотя совсем избежать широковещательного трафика нельзя, ибо на нем, как известно, основаны многие протоколы, сокращать его необходимо. Традиционно для этого используются маршрутизаторы, поскольку мосты и коммутаторы просто передают широковещательные пакеты на все порты. Маршрутизатор, работая на третьем, сетевом уровне эталонной модели OSI, является своеобразным брандмауэром против низкоуровневых широковещательных пакетов.

В настоящее время в сетях Ethernet приобретают все большее распространение коммутаторы (Switch). Они имеют значительно большую производительность, чем маршрутизаторы, и проще в конфигурировании и администрировании. Результатом стало новое толкование старого правила 20/80 — 20% пакетов должно подвергаться маршрутизации, а 80% — коммутации. Другое правило гласит: «Коммутируй везде, где можешь. Маршрутизируй там, где не можешь». Как совместить такое свойство коммутаторов, как передача широковещательных пакетов на все порты, с другими, полезными? Ответ был дан технологией виртуальных сетей (Virtual LAN, VLAN).

Наиболее общее определение виртуальной сети — это широковещательный домен, то есть такой участок сети, широковещательный трафик внутри которого изолирован от остальной сети. При этом способ, с помощью которого происходит изоляция, зависит от примененной технологии. Но только ли в увеличении фактической пропускной способности всей сетевой инфраструктуры заключаются преимущества виртуальных сетей?

Наиболее часто приводимый аргумент в пользу виртуальных сетей — снижение стоимости перемещений и переконфигураций за счет поддержки динамических сетей. Большинство производителей утверждают, что это снижение может быть весьма значительным, особенно для сетей на TCP/IP, в которых при перемещении компьютера из одного домена в другой требуется менять адрес вручную. Принадлежность к виртуальной сети не зависит от местонахождения компьютера, что позволяет перемещать компьютеры и другое оборудование без изменения TCP/IP-адреса. Одной из наиболее впечатляющих возможностей является организация виртуальных рабочих групп, члены которых могут, перемещаясь по территории кампуса, оставаться подключенными к одной и той же сети с теми же характеристиками.

Однако сами по себе виртуальные сети стоят денег, являются объектом администрирования и требуют внимания персонала. Это не означает, что от них следует отказаться, просто внимательная оценка достигнутых преимуществ и понесенных затрат здесь так же необходима, как и при внедрении любых других технологий.

Разные изготовители коммутаторов закладывают в них различные возможности, а устоявшихся решений и стандартов пока не существует. Тем не менее можно выделить несколько технологий, базирующихся на разных уровнях эталонной модели OSI.

По времени первыми появились виртуальные сети, основанные на выделении портов, то есть на физическом уровне эталонной модели. Такие возможности имелись уже в первых коммутаторах для Ethernet. То есть, например, порты 1, 4, 7 и 8 образуют виртуальную сеть A, а порты 2, 3, 5 и 6 — виртуальную сеть B. Все пакеты, в том числе широковещательные, передаются только между портами, входящими в одну и ту же виртуальную сеть. Виртуальная сеть подобной архитектуры реализуется весьма просто — достаточно внесения некоторых корректировок во внутренние таблицы адресации коммутатора. Конфигурирование и администрирование таких виртуальных сетей довольно прозрачно, а основной недостаток заключается в том, что при перемещении пользователей от одного порта к другому требуется переконфигурация коммутатора. Если к одному из портов подключен концентратор, то все сетевые устройства, подсоединенные к нему, становятся членами данной виртуальной сети, то есть общее количество пользователей не ограничивается числом портов коммутатора. Хотя один и тот же порт может принадлежать нескольким виртуальным сетям, однако для их объединения в единую корпоративную сеть все же необходимо использовать маршрутизаторы, не забывая при этом правило 20/80. Для достижения размеров виртуальных сетей больших, чем количество портов коммутатора, возможно несколько решений. Первое основано на использовании коммутаторов, собираемых в стек. Они имеют специальный интерфейс, позволяющий объединить несколько коммутаторов в единое устройство. Данное решение пригодно в том случае, когда допустимо свернуть основной сегмент корпоративной сети (Backbone) до размеров интерфейса, связывающего собранные в стек коммутаторы. Если основной сегмент должен быть достаточно протяженным, то соединение коммутаторов возможно через стандартные порты Ethernet, но в этом случае необходимо использовать какой-то способ для правильной доставки пакетов от одного порта к другому. Поэтому на сегменте, объединяющем коммутаторы, должен работать некий дополнительный по отношению к Ethernet протокол, под управлением которого осуществляется доставка.

Другой способ объединения пользователей в виртуальную сеть основан на использовании MAC-адресов (Media Access Control — управление доступом к среде), то есть информации, относящейся ко второму, канальному уровню эталонной модели. Этот шестибайтный адрес уникален для каждой единицы сетевого оборудования и содержит идентификатор изготовителя (первые 3 байта) и порядковый номер изделия (вторые 3 байта). Данный способ, как и предыдущий, имеет свои достоинства и недостатки. Достоинство заключается прежде всего в том, что такое решение как бы ориентировано на пользователя, то есть он может физически подключиться к общей сети в любом месте, логически оставаясь членом той же самой виртуальной сети. Это особенно удобно для обладателей ноутбуков с сетевыми картами на основе PCMCIA. Однако тот же самый пользователь, сев за другой настольный компьютер, может не обнаружить необходимых для работы ресурсов, оказавшись не в той виртуальной сети, в которой он обычно работает. То же самое относится и к ноутбукам, подключаемым через доковую станцию, поскольку сетевой адаптер, установленный в станции, имеет фиксированный адрес. Основной недостаток заключается в трудности администрирования, базирующегося на MAC-адресах, то есть на шестизначных шестнадцатеричных числах. Неприятно также и то, что при начальной конфигурации все имеющиеся сетевые устройства должны быть вручную включены в состав хотя бы одной виртуальной сети. Некоторые производители облегчают жизнь администраторам, позволяя автоматически генерировать виртуальные сети на основании имеющихся подсетей.

Все устройства, подсоединенные к порту коммутатора через концентратор, должны находиться в одной и той же виртуальной сети. Принадлежность одного порта коммутатора к двум и более виртуальным сетям обычно заметно снижает производительность.

Естественно, что в виртуальных сетях, построенных на основе MAC-адресов, для правильной адресации пакетов между несколькими коммутаторами снова требуется дополнительный протокол, обеспечивающий динамическое соответствие портов и подключенных к ним устройств, а также доставку пакетов.

Виртуальные сети, использующие информацию сетевого уровня, основываются на типе протокола (если в сети одновременно их используется несколько) или на сетевом адресе (для TCP/IP это адрес подсети). Этот подход обеспечивает максимальную гибкость, но при этом требует максимальных затрат. Коммутаторы, способные на аппаратном уровне работать непосредственно с фреймами TCP/IP (а именно этим коммутатор отличается от мостов), настолько редки и дороги, что их применение может быть оправдано только при построении крупных проектов типа сетей масштаба кампуса. К недостаткам виртуальных сетей, использующих адреса сетевого уровня эталонной модели OSI, можно отнести возможные конфликты с протоколом DHCP. Известно, что наибольшие неудобства доставляют перемещения и изменения именно в IP-сетях. Протокол DHCP автоматически выделяет IP-адреса рабочим станциям на определенный период времени. При обнаружении рабочей станции, сетевой адрес которой не соответствует физическому, сервер просто присваивает ей новый адрес из предписанного диапазона. Таким образом, при установленном протоколе DHCP следует тщательно отнестись к выбору диапазонов адресов для каждой рабочей группы.

Многие поставщики оборудования для виртуальных сетей предлагают несколько методов организации, которые могут применяться комбинированно.

Как видно, все способы построения виртуальных сетей требуют применения дополнительных протоколов для организации доставки пакетов по нужным адресам. При этом каждый из разработчиков пользуется своим способом, что затрудняет совместное применение оборудования разных фирм.

Сегодня основными способами реализации виртуальных сетей размером более одного коммутатора являются передача таблиц при помощи служебного трафика, пометка пакетов и временное разделение.

При табличном методе первый же широковещательный пакет, переданный станцией при включении, анализируется на предмет принадлежности к той или иной виртуальной сети и адрес заносится в таблицы соответствия. Затем эта информация передается остальным коммутаторам, и они приобретают способность правильно адресовать пакеты, переданные данной станцией и адресованные ей. При увеличении размера сети служебный трафик занимает все большую долю общей пропускной способности, поэтому данный метод характеризуется не очень хорошей масштабируемостью.

При пометке пакетов к каждому из них добавляется заголовок, однозначно определяющий виртуальную сеть, к которой относится пакет, то есть передаваемые пакеты инкапсулируются внутрь фирменного протокола. Этот метод характеризуется небольшими накладными расходами, но из-за отсутствия стандартных протоколов не позволяет использовать оборудование разных фирм.

Метод временного разделения предполагает выделение в определенной последовательности фиксированных квантов времени для работы каждой из виртуальных сетей. При равномерной загрузке потери пропускной способности не очень велики, однако если объем трафика в разных виртуальных сетях не сбалансирован, производительность может заметно пострадать.

Первый и третий методы основаны на аппаратных решениях, которые с трудом поддаются стандартизации. Поэтому все надежды на выработку взаимоприемлемых, пригодных для всех разработчиков способов взаимодействия коммутаторов возлагаются на унификацию протоколов, применяемых для пометки пакетов. Первая попытка стандартизации предпринималась фирмой Cisco Systems в 1995 году. Было предложено использовать для виртуальных сетей протокол IEEE 802.10, разработанный для обеспечения безопасности, а в полях пакета, предназначенных для целей безопасности, размещать информацию принадлежности к виртуальной сети. Это предложение было расценено большинством членов комитета 802 как попытка использования одного и того же стандарта для двух разных целей и отвергнуто, хотя в техническом плане это решение работоспособно и на нем основан собственный протокол Cisco ISL (Inter-Switch Link).

В 1996 году подкомитет 802.1 завершил подготовительную работу по разработке стандартов для виртуальных сетей. Они касаются архитектуры, направления развития и форматов полей пакетов. Последний — стандарт IEEE 802.1q — является особенно важным, поскольку дает основу для совместной работы оборудования, произведенного разными фирмами. Появление этого стандарта, который уже признан такими известными производителями коммутаторов, как 3Com, Alantec/FORE, Bay Networks, Cisco, а также IBM, позволяет рассчитывать на скорейшую интеграцию решений различных фирм.

Другой важной характеристикой виртуальных сетей является наличие средств начальной установки и последующего администрирования. Наиболее очевидным способом является ручное администрирование, при котором все изменения и перемещения требуют вмешательства обслуживающего персонала. С одной стороны, это хорошо, так как каждая задача может быть решена индивидуально, по усмотрению администратора, а абсолютно все происходящее контролируется и учитывается. С другой стороны, особенно в больших организациях, ручное администрирование сводит на нет одно из основных преимуществ виртуальных сетей — простоту перемещений и переконфигураций. Полуавтоматическое администрирование может быть применено как к начальной установке виртуальной сети, так и к последующим переконфигурациям. Обычно для начальной установки имеются утилиты, отображающие существующую структуру сегментов и подсетей на вновь конфигурируемую виртуальную сеть. Возможны варианты: например начальная конфигурация проводится вручную, а перемещения сетевых устройств отслеживаются в автоматическом режиме. При этом всегда остается возможность конфигурирования виртуальной сети по собственному усмотрению. При полностью автоматической конфигурации рабочие станции динамически подключаются к необходимой виртуальной сети в зависимости от критериев, заданных администратором.

Учитывая, что понятие коммутатора позаимствовано из технологии ATM, логично предположить, что она могла бы вписаться в архитектуру, построенную на них. Действительно, если соединить все коммутаторы при помощи ATM, то, организовав PVC (Permanent Virtual Circuit — виртуальное постоянное соединение) между ними, можно решить проблему взаимодействия коммутаторов друг с другом. В этом случае вся внутренняя фирменная технология оказывается прозрачной с точки зрения ATM и становится возможным применение аппаратуры производства разных фирм.

Виртуальные сети — сравнительно новое направление в сетевых технологиях, возникшее как ответ на требование большей пропускной способности при увеличении размеров сетей. Как и все новые направления, оно быстро развивается и вскоре должно продемонстрировать новые достижения, но, возможно, и принести разочарование.

КомпьютерПресс 7'2002