Каналы связи L2 и L3 VPN - Отличия физических и виртуальных каналов разного уровня. Определение топологии сети на уровнях L2, L3 OSI Уровень l2 что

Будем строить вот такую сеть на устройствах cisco

Описание сети:
VLAN1(default-IT) - 192.168.1.0/24
VLAN2(SHD) - 10.8.2.0/27
VLAN3(SERV) - 192.168.3.0/24
VLAN4(LAN) - 192.168.4.0/24
VLAN5(BUH) - 192.168.5.0/24
VLAN6(PHONE) - 192.168.6.0/24
VLAN7(CAMERS) - 192.168.7.0/24

VLAN9(WAN) - 192.168.9.2/24

Устройства:
Коммутаторы cisco с2960 L2-уровня - 3шт
Коммутатор cisco с3560 L2 и L3-уровня - 1шт
Все коммутаторы будут в VLAN1 и имеют сеть 192.168.1.0/24

Маршрутизатор любой(у меня Mikrotik RB750) - 1шт

Сервер Win2008 (DHCP) - для раздачи ip адресов
В каждом VLAN по 2 компьютера как оконечные устройства.

Начнем.

1. Подключаемся к консоли: telnet 192.168.1.1
2. Вводим пароль
3. sw1> enable (Переходим в привилегированный режим для ввода команд)

1. sw# conf-t(переходим в режим настройки)
2. sw(config)# vlan 2 (Создаем VLAN)
3. sw(config-vlan)# name SHD (присваиваем имя этому VLAN2)
4. sw(config-vlan)# exit (выход)
5. sw#

Определяем порты для подключения компьютеров к VLAN2

На первом и втором порту коммутатора у меня будет VLAN1

На третьем и четвертом порту VLAN2

На пятом и шестом VLAN3

1. sw# conf-t(переходим в режим настройки)
2. sw(config)# int fa0/3 (для одного порта Выбираем интерфейс)
3. sw(config)# int fa0/3-4 (для нескольких сразу портов Выбираем интерфейс)
4. sw(config-if)#
5. sw(config-if)# switchport access vlan 2 (назначаем этому порту VLAN2)
6. sw(config-if)#
7. sw(config-if)# exit
8. sw#

Для соединения нашего коммутатора(sw1 -cisco 2960-L2) с коммутатором(sw2 -cisco 3560-L2L3)

нам необходимо созданные VLAN передать(по необходимости) другому коммутатору, для этого настроим TRUNK порт (в транк порту гуляют наши VLAN)

Выбираем самый скоростной порт(так как по нему будут гулять несколько VLAN(подсети))

1. sw# conf-t(переходим в режим настройки)
2. sw(config)#
3. sw(config)#
4. sw(config-if)#
5. sw(config-if)# switchport trank allowed vlan 2,3, (указываем какой VLAN будет проходить)
6. sw(config-if)# no shutdown (включаем интерфейс)
7. sw(config-if)# exit
8. Повторяем действия для необходимых портов

ИТОГ настройки коммутатора L2:

1. Так как данное устройство у нас L2, он не понимает что такое ip-адреса.
2. Компьютеры подключенные к этим портам могут видеть друг друга в пределах своего заданного VLAN. Тоесть из VLAN1 я не попаду в VLAN2 и наоборот.
3. Настроили гигабитный порт для передачи VLAN коммутатору sw2 -cisco 3560-L2L3.

Добавляем к уже созданной нами сети на L2 коммутаторе(sw1), коммутатор(sw2) cisco-3560 L2L3

Настроим наше устройство 3560 L3(понимает ip адреса и делает маршрутизацию между VLAN)

1. Необходимо создать все VLAN которые будут описывать вашу топологию сети, так как данный коммутатор L3 будет маршрутизировать трафик между VLAN.

Создаем VLAN (команды для vlan создаются на всех устройствах одинаково)

1. sw# conf-t(переходим в режим настройки)
2. sw(config)# vlan 4 (Создаем VLAN)
3. sw(config-if)# name LAN (присваиваем имя этому VLAN2)
4. sw(config-if)# exit (выход)
5. Повторяем действия если необходимо добавить VLAN
6. sw# show vlan brief (смотрим какие VLAN создали)

- на первом порту коммутатора у меня будет VLAN9

- на третьем и четвертом порту VLAN7

1. sw# conf-t(переходим в режим настройки)
2. sw(config)# int fa0/1 (для одного порта Выбираем интерфейс)
3. sw(config)# int fa0/3-7 (для нескольких сразу портов Выбираем интерфейс)
4. sw(config-if)# switchport mode access (Указываем что этот порт будет для устройств)
5. sw(config-if)# switchport access vlan 9 (назначаем этому порту VLAN9)
6. sw(config-if)# no shutdown (включаем интерфейс)
7. sw(config-if)# exit
8. Повторяем действия для необходимых портов
9. sw# show run (смотрим какие настройки устройства)

Выбираем самый скоростной порт(так как по нему будут гулять несколько VLAN(подсети))

1. sw# conf-t(переходим в режим настройки)
2. sw(config)# int gi0/1 (для одного порта Выбираем интерфейс)
3. sw(config)# int gi0/1-2 (для нескольких сразу портов Выбираем интерфейс)
4. Так как мы настраиваем L3 нам необходимо перебрасывать из физ.порта в виртуальный порт ip-адреса и наоборот (инкапсуляция)
5. sw(config-if)# switchport trunk encapsulation dot1q (Указываем инкапсуляцию)
6. sw(config-if)# switchport mode trunk (Указываем что этот порт будет для VLAN)
7. sw(config-if)# switchport trank allowed vlan 1-7, (указываем какой VLAN будет проходить)
8. sw(config-if)# no shutdown (включаем интерфейс)
9. sw(config-if)# exit
10. Повторяем действия для необходимых портов

1. sw# conf-t(переходим в режим настройки)
2. sw(config)# ip routing (включаем маршрутизацию)

Задаем всем виртуальным интерфейсам VLAN, ip адреса

1. sw# conf-t(переходим в режим настройки)
2. sw(config)# int vlan 2 (на VLAN2 вешаем ip адрес)
3. sw(config)# ip address 10.8.2.1 255.255.255.224 (этот адрес будет шлюзом для данной подсети)
4. sw(config-if)# no shutdown (включаем интерфейс)
5. sw(config-if)# exit

1. sw# conf-t(переходим в режим настройки)
2. sw(config)# int vlan 3 (на VLAN3 вешаем ip адрес)
3. sw(config)# ip address 192.168.3.1 255.255.255.0 (этот адрес будет шлюзом для данной подсети)
4. sw(config-if)# no shutdown (включаем интерфейс)
5. sw(config-if)# exit
6. Повторяем действия для необходимых интерфейсов

В утилите sudo, используемой для организации выполнения команд от имени других пользователей, выявлена уязвимость (CVE-2019-18634), которая позволяет повысить свои привилегии в системе. Проблема […]

Выпуск WordPress 5.3 улучшает и расширяет представленный в WordPress 5.0 редактор блоков новым блоком, более интуитивным взаимодействием и улучшенной доступностью. Новые функции в редакторе […]

После девяти месяцев разработки доступен мультимедиа-пакет FFmpeg 4.2, включающий набор приложений и коллекцию библиотек для операций над различными мультимедиа-форматами (запись, преобразование и […]

Доступны новые сервисные релизы BIND, которые содержат исправления ошибок и улучшения функций. Новые выпуски могут быть скачано со страницы загрузок на сайте разработчика: […]

Exim — агент передачи сообщений (MTA), разработанный в Кембриджском университете для использования в системах Unix, подключенных к Интернету. Он находится в свободном доступе в соответствии с […]

После почти двух лет разработки представлен релиз ZFS on Linux 0.8.0, реализации файловой системы ZFS, оформленной в виде модуля для ядра Linux. Работа модуля проверена с ядрами Linux c 2.6.32 по […]

Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры интернета, завершил формирование RFC для протокола ACME (Automatic Certificate Management Environment) […]

Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, подвёл итоги прошедшего года и рассказал о планах на 2019 год. […]

Часто при выборе определенного сетевого устройства для вашей сети, можно услышать такие фразы как «коммутатор уровня L2», или «устройство L3».

В этом случае речь ведется про уровни в сетевой модели OSI.

Устройство уровня L1 – это устройство, работающее на физическом уровне, они в принципе «не понимают» ничего о данных, которые передают, и работают на уровне электрических сигналов – сигнал поступил, он передается дальше. К таким устройствам относятся так называемые «хабы», которые были популярны на заре становления Ethernet-сетей, сюда же относятся самые разнообразные повторители. Устройства такого типа обычно называют концентраторами.

Устройства уровня L2 работают на канальном уровне и выполняют физическую адресацию. Работа на этом уровне выполняется с кадрами, или как иногда еще называют «фреймами». На этом уровне нет никаких ip-адресов, устройство идентифицирует получателя и отправителя только по MAC-адресу и передает кадры между ними. Такие устройства как правило называют коммутаторами, иногда уточняя, что это «коммутатор уровня L2»

Устройства уровня L3 работают на сетевом уровне, который предназначен для определения пути передачи данных, и понимают ip-адреса устройств, определяют кратчайшие маршруты. Устройства этого уровня отвечают за установку разного типа соединений (PPPoE и тому подобных). Эти устройства обычно называют маршрутизаторами, хотя часто говорят и «коммутатор уровня L3»

Устройства уровня L4 отвечают за обеспечение надежности передачи данных. Это, скажем так, «продвинутые» коммутаторы, которые на основании информации из заголовков пакетов понимают принадлежность трафика разным приложениям могут принимать решения о перенаправлении такого трафика на основании этой информации. Название таких устройств не устоялось, иногда их называют «интеллектуальными коммутаторами», или «коммутаторами L4».

Новости

Фирма "1С" информирует о техническом разделении версий ПРОФ и КОРП платформы "1С:Предприятие 8" (с дополнительной защитой лицензий уровня КОРП) и введении ряда ограничений на использование лицензий уровня ПРОФ с 11.02.2019 года.

Впрочем, источник в ФНС пояснил РБК, что решение налоговиков не стоит называть отсрочкой. Но если предприниматель не успеет обновить кассовый аппарат и с 1 января продолжит выдавать чеки с НДС 18%, отражая при этом в отчетности корректную ставку 20%, налоговая служба не будет рассматривать это как нарушение, подтвердил он.

Это первая статья из серии «Сети для самых маленьких». Мы с Максимом aka Gluck долго думали с чего начать: маршрутизация, VLAN"ы, настройка оборудования. В итоге решили начать с вещи фундаментальной и, можно сказать, самой важной: планирование. Поскольку цикл рассчитан на совсем новичков, то и пройдём весь путь от начала до конца.

Предполагается, что вы, как минимум, читали о эталонной модели OSI, о стеке протоколов TCP/IP, знаете о типах существующих VLAN’ов, о наиболее популярном сейчас port-based VLAN и о IP адресах. Мы понимаем, что для новичков «OSI» и «TCP/IP» — это страшные слова. Но не переживайте, не для того, чтобы запугать вас, мы их используем. Это то, с чем вам придётся встречаться каждый день, поэтому в течение этого цикла мы постараемся раскрыть их смысл и отношение к реальности.

Начнём с постановки задачи. Есть некая фирма, занимающаяся, допустим, производством лифтов, идущих только вверх, и потому называется ООО «Лифт ми ап». Расположены они в старом здании на Арбате, и сгнившие провода, воткнутые в пожжёные и прожжёные коммутаторы времён 10Base-T не ожидают подключения новых серверов по гигабитным карточкам. Итак, у них катастрофическая потребность в сетевой инфраструктуре и денег куры не клюют, что даёт вам возможность безграничного выбора. Это чудесный сон любого инженера. А вы вчера выдержали собеседование, и в сложной борьбе по праву получили должность сетевого администратора. И теперь вы в ней первый и единственный в своём роде. Поздравляем! Что дальше?

Следует несколько конкретизировать ситуацию:

1. В данный момент у компании есть два офиса: 200 квадратов на Арбате под рабочие места и серверную. Там представлены несколько провайдеров. Другой на Рублёвке.
2. Есть четыре группы пользователей: бухгалтерия (Б), финансово-экономический отдел (ФЭО), производственно-технический отдел (ПТО), другие пользователи (Д). А так же есть сервера (С), которые вынесены в отдельную группу. Все группы разграничены и не имеют прямого доступа друг к другу.
3. Пользователи групп С, Б и ФЭО будут только в офисе на Арбате, ПТО и Д будут в обоих офисах.

Прикинув количество пользователей, необходимые интерфейсы, каналы связи, вы готовите схему сети и IP-план.

При проектировании сети следует стараться придерживаться иерархической модели сети, которая имеет много достоинств по сравнению с “плоской сетью”:

• упрощается понимание организации сети
• модель подразумевает модульность, что означает простоту наращивания мощностей именно там, где необходимо
• легче найти и изолировать проблему
• повышенная отказоустойчивость за счет дублирования устройств и/или соединений
• распределение функций по обеспечению работоспособности сети по различным устройствам.

Согласно этой модели, сеть разбивается на три логических уровня: ядро сети (Core layer: высокопроизводительные устройства, главное назначение — быстрый транспорт), уровень распространения (Distribution layer: обеспечивает применение политик безопасности, QoS, агрегацию и маршрутизацию в VLAN, определяет широковещательные домены), и уровень доступа (Access-layer: как правило, L2 свичи, назначение: подключение конечных устройств, маркирование трафика для QoS, защита от колец в сети (STP) и широковещательных штормов, обеспечение питания для PoE устройств).

В таких масштабах, как наш, роль каждого устройства размывается, однако логически разделить сеть можно.

Составим приблизительную схему:

На представленной схеме ядром (Core) будет маршрутизатор 2811, коммутатор 2960 отнесём к уровню распространения (Distribution), поскольку на нём агрегируются все VLAN в общий транк. Коммутаторы 2950 будут устройствами доступа (Access). К ним будут подключаться конечные пользователи, офисная техника, сервера.

Именовать устройства будем следующим образом: сокращённое название города (msk ) — географическое расположение (улица, здание) (arbat ) — роль устройства в сети + порядковый номер.

Соответственно их ролям и месту расположения выбираем hostname :

• маршрутизатор 2811: msk-arbat-gw1 (gw=GateWay=шлюз);
• коммутатор 2960: msk-arbat-dsw1 (dsw=Distribution switch);
• коммутаторы 2950: msk-arbat-aswN, msk-rubl-asw1 (asw=Access switch).

Документация сети

Вся сеть должна быть строго документирована: от принципиальной схемы, до имени интерфейса.

Прежде, чем приступить к настройке, я бы хотел привести список необходимых документов и действий:

• схемы сети L1, L2, L3 в соответствии с уровнями модели OSI (физический, канальный, сетевой) ;
• план IP-адресации = IP-план ;
• список VLAN ;
• подписи (description ) интерфейсов ;
• список устройств (для каждого следует указать: модель железки, установленная версия IOS, объем RAM\NVRAM, список интерфейсов);
• метки на кабелях (откуда и куда идёт), в том числе на кабелях питания и заземления и устройствах;
• единый регламент, определяющий все вышеприведённые параметры и другие.

Жирным выделено то, за чем мы будем следить в рамках программы-симулятора. Разумеется, все изменения сети нужно вносить в документацию и конфигурацию, чтобы они были в актуальном состоянии.

Говоря о метках/наклейках на кабели, мы имеем ввиду это:

На этой фотографии отлично видно, что промаркирован каждый кабель, значение каждого автомата на щитке в стойке, а также каждое устройство.

Подготовим нужные нам документы:

Список VLAN

Каждая группа будет выделена в отдельный влан. Таким образом мы ограничим широковещательные домены. Также введём специальный VLAN для управления устройствами. Номера VLAN c 4 по 100 зарезервированы для будущих нужд.

IP-план

Выделение подсетей в общем-то произвольное, соответствующее только числу узлов в этой локальной сети с учётом возможного роста. В данном примере все подсети имеют стандартную маску /24 (/24=255.255.255.0) — зачастую такие и используются в локальных сетях, но далеко не всегда. Советуем почитать о классах сетей . В дальнейшем мы обратимся и к бесклассовой адресации (cisco). Мы понимаем, что ссылки на технические статьи в википедии — это моветон, однако они дают хорошее определение, а мы попробуем в свою очередь перенести это на картину реального мира.

Под сетью Point-to-Point подразумеваем подключение одного маршрутизатора к другому в режиме точка-точка. Обычно берутся адреса с маской 30 (возвращаясь к теме бесклассовых сетей), то есть содержащие два адреса узла. Позже станет понятно, о чём идёт речь.

План подключения оборудования по портам

Разумеется, сейчас есть коммутаторы с кучей портов 1Gb Ethernet, есть коммутаторы с 10G, на продвинутых операторских железках, стоящих немалые тысячи долларов есть 40Gb, в разработке находится 100Gb (а по слухам уже даже есть такие платы, вышедшие в промышленное производство). Соответственно, вы можете выбирать в реальном мире коммутаторы и маршрутизаторы согласно вашим потребностям, не забывая про бюджет. В частности гигабитный свич сейчас можно купить незадорого (20-30 тысяч) и это с запасом на будущее (если вы не провайдер, конечно). Маршрутизатор с гигабитными портами стоит уже ощутимо дороже, чем со 100Mbps портами, однако оно того стоит, потому что FE-модели (100Mbps FastEthernet), устарели и их пропускная способность очень невысока.

Но в программах эмуляторах/симуляторах, которые мы будем использовать, к сожалению, есть только простенькие модели оборудования, поэтому при моделировании сети будем отталкиваться от того, что имеем: маршрутизатор cisco2811, коммутаторы cisco2960 и 2950.

Почему именно так распределены VLAN"ы, мы объясним в следующих частях.

Схемы сети

На основании этих данных можно составить все три схемы сети на этом этапе. Для этого можно воспользоваться Microsoft Visio, каким-либо бесплатным приложением, но с привязкой к своему формату, или редакторами графики (можно и от руки, но это будет сложно держать в актуальном состоянии:)).

Не пропаганды опен сорса для, а разнообразия средств ради, воспользуемся Dia. Я считаю его одним из лучших приложений для работы со схемами под Linux. Есть версия для Виндоус, но, к сожалению, совместимости в визио никакой.

L1

То есть на схеме L1 мы отражаем физические устройства сети с номерами портов: что куда подключено.

L2

На схеме L2 мы указываем наши VLAN’ы.

L3

В нашем примере схема третьего уровня получилась довольно бесполезная и не очень наглядная, из-за наличия только одного маршрутизирующего устройства. Но со временем она обрастёт подробностями.

Как видите, информация в документах избыточна. Например, номера VLAN повторяются и на схеме и в плане по портам. Тут как бы кто на что горазд. Как вам удобнее, так и делайте. Такая избыточность затрудняет обновление в случае изменения конфигурации, потому что нужно исправиться сразу в нескольких местах, но с другой стороны, облегчает понимание.

К этой первой статье мы не раз ещё вернёмся в будущем, равно как и вам придётся всегда возвращаться к тому, что вы изначально напланировали. Собственно задание для тех, кто пока только начинает учиться и готов приложить для этого усилия: много читать про вланы, ip-адресацию, найти программы Packet Tracer и GNS3. Что касается фундаментальных теоретических знаний, то советуем начать читать Cisco press. Это то, что вам совершенно точно понадобится знать. В следующей части всё будет уже по-взрослому, с видео, мы будем учиться подключаться к оборудованию, разбираться с интерфейсом и расскажем, что делать нерадивому админу, забывшему пароль.

Оригинал статьи:

Теги