Виртуализация VLAN 802.1Q
https://www.cisco.com/c/ru_ru/support/routers/index.html
Cisco Основы организации сетей том_2 ст. 70
Тодд Леммл (CCNA Экзамен 640-507) ст. 219
Олифер 5-е издание ст. 386 655
Таненбаум "Компьютерные сети" ст. 374, 869
The.Complete.Guide.to.LAN.Switching. ст. 433
http://www.xnets.ru/plugins/content.129
https://vasexperts.ru/blog/bras-dlya-operatorov-svyazi/
https://www.techopedi.broadband-remote-access-server-b-ras
--------------------------------------------------
В наше время когда виртуализация стала совершенно привычным атрибутом и инструментом в арсенале любого it-специалиста, виртуализация сетей в сегодняшнем виде, роли котрой "виртуальные" сети играют и в перспективе создания, уже реальных, информационных эко-систем, требует детального поимания.
Когда мы ведем речь о виртуализации имея в виду некий абстрактный слой оборудования или виртуализации созданную этим слоем, примеры общеизвесны: VMWare, Cirrix...и тд, то все очевидно и понятно, но вот когда мы начинае говорить о виртуализации сети в ее "первозданном" виде VLAN, то не сразу понятно причем здесь вообще термин "виртуализация"...?, умные люди говорят "что-то", про протокол 802.1Q , ну и что....? протокол как протокол, а при чем здесь виртуализация (термин "виртуальный") говорим мы, привыкшие асоциировать с виртуализацией виртуализацию устройств и операционных систем .... В поисках разгадки своих противоречий, мы естественно хватаемся за эти могучие книги Cisco Press (а за что же еще ?)... И что нам говорит Cisco?, Cisco довольно уныло повторяет ту банальную истину, что сеть (LAN - сеть, сети использующие технологию CSMA) это широковещательный домен и что иная сеть это еще один широковещательный домен .... это все прекрасно говорим мы, с подкупающей простотой во взоре, а при чем здесь виртуализация ..?
И тут для начала необходимо еще раз рассмотреть формализацию термина, Термин "виртуальный" не может существовать в отрыве от контекста, это всегда противопоставление термина "физический, реальный" термину "логический" с точки зрения сетей "виртуальная сеть" это сеть основанная на реалных сетевых устройствах и обладающая своей топологией, сеть логическая прежде всего......, виртуальное это не возникшее из пустоты, на пустом месте ..это "нечто" использует совершенно определенный физический ресурс, везде! будь то виртуализация на основе операционных систем или виртуализация сети, другое дело что используется этот физический ресурс далеко не полностью и цель виртуалицации состоит в повышении коэфицента его отдачи (полезного действия, в общем и целом это: TCO — Total Cost of Owneship), оптимизации использования этого ресурса, будь это консолидация серверов, сервисов и оборудования, или что то другое, хорошим примером будет наличие в любой OS виртуальной файловой системы, виртуального комутатора, логической прокладки между ядром и реальной файловой системой, расширяющей функциональность ядра при использовании физического ресурса не зависимо от типа файловой системы им поддерживаемого, и в конечном итоге предоставление дополнительного уровня сервиса и увеличение "производительности", или виртуализация сетей где в итоге на первый план (забегая вперед) выходит задача "мультиплексирования" (агрегирования) в сетях передачи данных, ибо для сетей, канал передачи данных (так или иначе, кроме сетевых устройств) это и есть тот "конечный" физический ресурс и дальнейшее расширение возможно только с модифицированием "среды передачи данных" ......, то есть это всегда "логический слой" расширяющий возможности слоя физического, но без него не существующий ...."виртуальная память" то же самое, логическое разбиение памяти с целью увеличения скорости потоков и т.д и т.п.
PS: К сожалению(или к счастью) сторогого определения термина "виртуальный" нет, в конце концов что такое "операционная система" как не виртуальная машина?, возможно надо говорить об уровнях виртуализации, так же как мы говорим об уровнях ассоциации.
Сеть, LAN - сеть, в ...первоночальном ее виде назовем ее для простоты сеть физическая, также обладает логической структурой и модификация этой структуры на основе таблиц доступа (ACL - access-list), было ...освоено давно..такие сети носят название плоские сети (flat network), то есть сети одного широковещательного домена, естественно возникала потребность сделать логику сети более гибкой и возникновение VLAN произошло не на пустом месте а явилось следствием развития сетей, однако встает вопрос где те инструменты по созданию этой гибкой логики, технология пользовательских фильтров очевидно что не решала всех задач стоящих перед новыми концепциями сетей....и называть подобные надстройки виртуальными язык не повернется (хотя логика разделяющая участников сети присутствует), пользовательский фильтр может запретить коммутатору передачу кадров только по конкретным адресам, но широковещательный трафик он обязан передать всем сегментам сети (это требует алгоритм его работы) поэтому, как говорилось ранее, сети, созданные на основе коммутаторов стандарта 802.3, иногда называют плоскими из-за отсутствия барьеров на пути широковещательного трафика.
Технология виртуальных локальных сетей позволяет преодолеть указанное ограничение, и выходом из положения явилось модификация стандарта 802.3, идея простая, но не просто реализуемая на тот период времени и состоит в маркировки кадров по принадлежности их разным сетям (тегированию), естественно одной маркировки или тегирования трафика будет не достаточно, нужны устройства которые этот тегированный трафик умели бы сортировать но это было не так трудно, достаточно было научить комутаторы выполнять эти задачи, но вот с модификацией протокола 802.3 оказалось все гораздо сложней
Что делать с Ethernet 802.3 — доминирующей сетью, у которой нет никаких «запасных» полей, которые можно было бы отдать под идентификатор виртуальной сети? и комитет IEEE 802 озаботился этим вопросом в 1995 году. После долгих дискуссий было сделано невозможное — изменен формат заголовка кадра Ethernet! Новый формат было опубликован под именем 802.1Q в 1998 году. В заголовок кадра был вставлен флаг VLAN, понятно, что внесение изменений в нечто уже устоявшееся, такое как Ethernet, для того что бы пройти безболезнено должно было быть произведено каким-то нетривиальным образом, встают например следующие вопросы:
1. И что, теперь надо будет выбросить на помойку несколько миллионов уже существующих сетевых карт Ethernet?
2. Если нет, то кто будет заниматься генерированием новых полей кадров?
3. Что произойдет с кадрами, которые уже имеют максимальный размер?
Трудности очевидно что революционные, если смотреть на проблему в целом, однако решение тонкое и технически изящное, несмотря ни на что, было найдено.
Идея состоит в том, что на самом деле поля VLAN реально используются только мостами да коммутаторами, а не машинами пользователей. Так, скажем, сеть, не очень-то волнует их наличие в каналах, идущих от оконечных станций, до тех пор пока кадры не доходят до мостов где и становится важным а главное нужным формат заголовка кадра (тег VLAN), руководствуя которым комутатор и направляет кадр в соответствующий порт.
Если быть точным то Cisco, первой соорудила протокол, который тегировал кадры и определял принадлежность к определенной канальной среде. Назывался он ISL (Inter-Switch Link). И уже потом, когда эта идея понравилась всем, IEEE решили разработать аналогичный открытый стандарт. Стандарт получил название 802.1q. Поскольку он получил успех и огромное распространение Cisco решила тоже перейти на него, хотя название "Inter-Switch Link" более удачно отражает суть протокола.
dot1Q – это модифицированное название стандарта IEEE 802.1Q (...зачем? просто так)
И в итоге появились два инструмента по созданию VLAN: протокол 802.1Q и комутаторы умеющие этот протокол использовать для создания этих сетей. (и ни какой виртуализации оборудования, при том что создаваемые сегменты сети иначе как "виртуальные" не назовешь.), и по этому подобный подход правильнее назвать не "виртуализацией сети" а "виртуализацией потоков данных" в сетях, протокол 802.1Q далеко не единственный пример виртуализации потоков в сетях по средствам "тегирования"(меток), яркий пример из примерно того же 1996 г. это MPLS — multiprotocol label switching — многопротокольная коммутация по меткам, позволяющий создавать, проще и логически более сложные виртуальные каналы между узлами сети, по мнению сетевых "ботаников", наиболее перспективная технология в сетях передачи данных, и поскольку кроме того существует виртуализация сетевых устройств и поскольку это уже другая история, для ясности следует их разделять.
И видимо резюмируя надо заострить внимание на том, что:
Тегирование кадров осуществляется между сетевыми устройствами (коммутаторы, маршрутизаторы и т.д.), а между конечным узлом (компьютер, ноутбук) и сетевым устройством кадры не тегируются и поэтому порт сетевого устройства может находиться в 2-х состояниях: access или trunk.
Конфигурирование виртуальной сети производится на коммутаторе программным путем.
Виртуальные сети не стандартизированы и требуют использования программного обеспечения от производителя коммутатора (switches).
Виртуальная сеть логически сегментирует физическую инфраструктуру сети на отдельные подсети (называемыми в Ethernet широковещательными доменами, broadcast domain). В образовавшейся виртуальной сети широковещательные фреймы коммутируются только между портами этой сети.
Виртуальные локальные сети могут перекрываться, если один или несколько компьютеров входят в состав более чем одной виртуальной сети, обычно это один из серверов.
Конфигурация виртуальной сети осуществляет "логическое", а не "физическое" объединение.
Обобщая можно сказать; виртуальная сеть, сеть выполненная на основе протокола 802.1Q, представляет собой коммутируемую сеть, в которой выполнено логическое сегментирование по исполняемым функциям, используемым приложениям или по принадлежности пользователей к определенному отделу, вне зависимости от физического расположения, их компьютеров. Каждый порт коммутатора может быть включен в виртуальную сеть. Все порты, включенные в одну виртуальную сеть принимают широковещательные сообщения, в то время как порты, в нее не включенные, этих сообщений не принимают, что повышает эффективность работы сети в целом, за счет снижения издержек на broadcast. Ниже приведен пример создания виртуальных сетей на "попортовой основе" (разделение по портам коммутатора), требуется лишь сконфигурировать switch для нужных портов VLAN-ов.
Широковещательная лавина (broadcast storm). Нежелательная множественная широковещательная передача, возникающая одновременно во всех сегментах сети. Широковещательная лавина использует всю возможную полосу пропускания и обычно вызывает простои сети.
Широковещательный домен (broadcast domain). Группа устройств, каждое из которых принимает широковещательные фреймы, отправленные с любого узла этой группы. Широковещательные домены обычно ограничиваются маршрутизаторами, поскольку маршрутизаторы не отправляют широковещательные фреймы.
Широковещательный пакет (broadcast packet). Пакет данных, переданный всем узлам в сети. Характеризуется особыми широковещательными адресами.
Широковещательный домен объединяет все устройства, подключенные к сети LAN, таким образом, что когда любое из устройств посылает широковещательный фрейм, все остальные устройства получают его копию. Таким образом, с другой стороны, локальная сеть и широковещательный домен — это одно и то же. (и тут мы всегда подразумеваем сети использующие технологию CSMA)
Проблемы широковещания, это важные аспекты сети и решать их необходимо "привентивно" и на ранних стадиях развития сети, видя перспективы этого развития, и способ их решения как и говорилось ранее - VLAN.
С широковещанием связана еще одна проблема: время от времени сетевой интерфейс может сломаться или быть неправильно сконфигурирован, и начать генерировать бесконечный поток кадров, получаемый всеми станциями. Если сеть будет действительно неудачна, то некоторые из этих кадров вызовут ответы, которые приведут к еще большему количеству трафика. Это и есть выше упомянутый широковещательный шторм (broadcast storm), который состоит в том, что, во-первых, вся пропускная способность сети занята этими бессмысленными кадрами, и, во-вторых, все узлы сети вынуждены заниматься исключительно обработкой и отвержением этого мусора.
Без виртуальных сетей коммутатор полагает, что все его интерфейсы находятся в том же широковещательном домене. Таким образом, когда на один порт коммутатора поступает широковещательный фрейм, он перенаправляет его на все остальные порты. Согласно этой логике, чтобы создать два разных широковещательных домена (или LAN), необходимо купить два разных коммутатора Ethernet. Сети, в которых доминируют сети VLAN с меньшим количеством устройств в каждой, зачастую имеет больше преимуществ. Например, широковещательное сообщение, посланное одним хостом VLAN, будет получено и обработано всеми другими хостами данной VLAN, но не хостами в других VLAN.
Ограничение количества хостов, получающих каждый широковещательный фрейм, снижает количество хостов, впустую тратящих ресурсы на обработку ненужных им широковещательных сообщений, что так же снижает также риски безопасности, поскольку фреймы, посланные любым хостом, поступают на меньшее количество хостов. И это лишь некоторые из причин, но далеко не все, разделения хостов на отдельные сети VLAN, как и в целом виртуализация потоков данных.
Стандарт IEEE 802.3 и IEEE 802.1Q
https://ru.wikipedia.org/wiki/IEEE_802.1Q
https://drive.google.com <--------- Ethernet типы
https://drive.google.com <--------- CRC/FCS
Не лишне заметить, что длинна поля данных(payload), в следствии всех этих .... уменьшилась на 4 байта
Длина, выделенная для номера влана равна 12 битам, это означает, что максимальное число vланов 4096.
Тег 802.1Q размером 4 байта и состоит из следующих полей:
Именно по тегу 802.1Q сетевое оборудование определяет принадлежность пакета той или иной сети VLAN, осуществляет фильтрацию пакетов и определяет дальнейшие действия с ними: снять тег и передать на конечное оборудование, отбросить пакет, переслать следующему получателю с сохранением тега. Правила, определяющие действия с пакетом на основе тега, зависят от режима работы порта сетевого оборудования. В свою очередь, режим работы выбирается в соответствии с характеристиками подключаемого оборудования. В системе может присутствовать как оборудование с поддержкой технологии VLAN, так и без нее.
На "рассмотрени" стандарта 802.1Q теоретическая часть VLAN технологии и заканчивется, она оказалась не замысловатой, перейдем ко второй составляющей технологии создания "виртуальных локальных сетей", VLAN-совместимым устройствам, в нашем случае к комутаторам, при помощи которых и осуществляется конфигурирование сетей и создания всех этих логических структур.
Switching
https://sites.google.com/site/kfgnb010/formirovanie-i-analiz-kadrov
https://slidetodoc.com/switching-and-vlans-switching-tasks-switching-operation-vlans/ <---------------------
Коммутатор Ethernet (802.3) физически сегментирует LAN на отдельные коллизионные домены. Однако каждый сегмент является частью одного широковещательного домена. Все сегменты сети созданные коммутатором составляют один широковещательный домен. Это означает, что узел одного сегмента способен установить широковещательный режим на всех узлах всех сегментов. Виртуальная сеть (virtual LAN) представляет собой логическое объединение сетевых устройств или пользователей, не ограниченное одним физическим сегментом, широковещательным доменом, что на прямую влияет на производительность за счет сокращения широковещательного трафика. Устройства или пользователи VLAN могут быть сгруппированы по выполняемым функциям, по принадлежности к одной организации, по характеру используемых приложений и т.д., независимо от их физического расположения в сегментах. Создание сети VLAN производится в коммутаторе с помощью соответствующего программного обеспечения. Сети VLAN не стандартизованы и требуют использования лицензионного программного обеспечения от производителя коммутатора.
В целом виртуальные сети можно разделит на на два больших вида; статические и динамические сети.
Статическая виртуальная сеть (Static VLAN) представляет собой совокупность портов коммутатора, статически объединенных в виртуальную сеть.
Динамические виртуальные сети (Dynamic VLAN) представляют собой логическое объединение портов коммутатора, которые могут автоматически определять свое расположение в виртуальной сети. (VTP)
Функционирование динамической виртуальной сети основывается на МАС-адресах, на логической адресации или на типе протокола пакетов данных. При первоначальном подключении станции к неиспользуемому порту коммутатора соответствующий коммутатор проверяет МАС-адрес в базе данных управления виртуальной сетью и динамически устанавливает соответствующую конфигурацию на данном порте.Основная работа в этом случае заключается в установке базы данных в программное обеспечение управления виртуальной сетью и в поддержания актуальности этой базы данных, .
Виртуальные сети на попортовой основе
В виртуальных сетях на попортовой основе (port-centric VLAN - сеть с центральным портом) все узлы виртуальной сети подключены к одному и тому же интерфейсу маршрутизатора. Такое подключение облегчает работу администратора и повышает эффективность работы сети, поскольку:
в виртуальной сети легко выполняются административные действия;
повышается безопасность при обмене информацией между виртуальными сетями;
пакеты не "просачиваются" в другие домены.
Создание виртуальных сетей путем группирования портов не требует большого объема ручной работы достаточно каждый порт приписать к одной из нескольких заранее поименованных виртуальных сетей. Обычно такая операция выполняется с помощью специальной программы, прилагаемой к коммутатору. Второй способ образования виртуальных сетей основан на группировании МАС-адресов. Каждый МАС-адрес, который изучен коммутатором, приписывается той или иной виртуальной сети. При существовании в сети множества узлов этот способ требует от администратора большого объема ручной работы и по этой причине не получил распространения.
Виртуальные сети «транк — линия доступа»
Наиболее распространенныи подход, подход основанный на понятиях линии доступа и транка (accsess port - trunk port), и прежде опять будет полезно уточнить терминологию:
Линия доступа связывает порт коммутатора (называемый в этом случае портом доступа (Access port) с конечным узлом (компьютером, мобильным устройством и т. п.),принадлежащий одной из VLAN.
Access port или порт доступа — порт, находящийся в определенном VLAN и передающий не тегированные кадры, то есть исходящий трафик уходит без метки в то время как приходящий на этот порт трафик от конечного устройства, получает метку этого VLAN. Как правило, это порт, смотрящий на пользовательское устройство.
Trunk port или магистральный порт — порт, передающий тегированный трафик. Как правило, этот порт поднимается между сетевыми устройствами(например лва коммутатора, коммутатор мапшрутиризатор), в общем случае через транк передается трафик нескольких виртуальных сетей.
И здесь следует заострить внимание на том, что тегирование кадров осуществляется между сетевыми устройствами (коммутаторы, маршрутизаторы и т.д.), а между конечным узлом (компьютер, ноутбук) и сетевым устройством кадры не тегируются. Поэтому порт сетевого устройства может находиться в 2-х состояниях: access или trunk.
Кроме того, существует native vlan. Трафик этого влана не тегируется даже в транке, по умолчанию это 1-й влан и по умолчанию он разрешён, нужен для совместимости с устройствами, незнакомыми с инкапсуляцией 802.1q, при желании умолчания можно переопределять
Понятие, термин "Trunk" фундаментальное понятие в сетях и телекоммуникации, понятие широкое, пришедшее еще с телефонии(аналоговой) в сравнении с которой сети "компьютерные" просто детский лепет и игра в песочнице, если обратиться к Англо_Русскому словарю Мюллера, то во что он скажет:
"trunk" (Англо-русский словарь Мюллера)
1. ствол (дерева)
2. туловище
3. магистраль; главная линия (железнодорожная, телефонная и т.п.)
4. дорожный сундук; чемодан; to live in one's trunks - жить на чемоданах
5. хобот (слона)
6. спортивные трусы, шорты trunk hose - короткие штаны (XVI-XVII вв.)
7. зодчество, архитектура — стержень колонны (фуст)
8. анатомия — главная артерия
9. вентиляционная шахта; жёлоб; труба
10. багажник (в автомобиле)
11. сленг; жаргон — нос
12. главный, магистральный
13. Cisco - trunk port — порт передающий тегированный трафик одного или нескольких VLAN'ов
14. Мультиплексированный канал связи
15. Линия связи, которая соединяет между собой порты двух коммутаторов; в общем случае случае через транк передается трафик нескольких виртуальных сетей.
Нам естественно интересны четыре последних, для полноты можно добавить еще одно определение:
Магистральный порт или Trunk port — это канал типа «точка-точка» между коммутатором и другим сетевым устройством. Магистральные подключения служат для передачи трафика нескольких VLAN через один канал и обеспечивают им доступ ко всей сети. Магистральные порты необходимы для передачи трафика нескольких VLAN между устройствами при соединении двух коммутаторов, коммутатора и маршрутизатора или коммутатора и сетевого адаптера узла с поддержкой транкинга 802.1Q.
Trunk — режим работы порта, 802.1Q, мультиплексированный канал, TDM/STDM статистическое (on demand), мультиплексирование - демультипликсирование данных по тегу в локальных сетях Может быть Явный/Неявный:
Явный — все пакеты имеют тэг в 802.1Q
Неявный — смешанный
В телефонии транком как правило называют один поток E1, а объединение потоков для повышения пропускной способности в свою очередь называется транковой группой. Увеличения эффективности использования каналов связи и пропускной способности группы ретрансляторов можно добиться на основе использования принципа свободного доступа абонентов к общему частотному ресурсу, получившему название "транкинг (или транк)" (Trunking - объединение в пучок). Возвращаясь к коммутаторам:
Коммутаторы, поддерживающие технику VLAN, без специального конфигурирования по умолчанию работают как стандартные коммутаторы -switch 802.3, обеспечивая соединения всех совсеми. В сети, образованной такими коммутаторами, все конечные узлы по умолчанию относятся к условной сети VLAN1 с идентификатором VID, равным 1. Все порты этой сети, к которым подключены конечные узлы, по определению являются портами доступа. Сеть VLAN1 можно отнести к виртуальным локальным сетям лишь условно, так как по ней передаются непомеченные кадры. Условная сеть VLAN также называется сетью VLAN, предлагаемой по умолчанию (default VLAN) или естественной (native VLAN). Для того чтобы образовать в исходной сети виртуальную локальную сеть, нужно в первую очередь выбрать для нее значение идентификатора VID, отличное от 1, а затем, используя команды конфигурирования коммутатора, приписать к этой сети те порты, к которым присоединены включаемые в нее компьютеры. Порт доступа может быть приписан только к одной виртуальной локальной сети.
Порты доступа получают от конечных узлов сети непомеченные кадры и помечают их тегом VLAN, содержащим то значение VID, которое назначено этому порту. При передаче же помеченных кадров конечному узлу порт доступа удаляет тег виртуальной локальной сети. Порты, подключенные к транкам, то есть те линии связи, которые соединяют между собой порты коммутаторов и маршрутиризаторов, не добавляют и не удаляют теги, они просто передают кадры в неизменном виде, на схеме ниже это соответственно:
R1 ---> Switch1 ---> Switch2.
Хроника, что происходит в сети?
1) От вашего компьютера с IP-адресом, например, 192.168.X.X отправляется пакет другому компьютеру в вашей же сети. Этот пакет инкапсулируется в кадр, и пока никто ничего не знает о вланах, поэтому кадр уходит, как есть, на ближайший коммутатор.
2) На коммутаторе этот порт отмечен, как член, например, 2-го VLAN’а что покажут следующие команды:
Switch0#interface fa0/1
Switch0(config)#description “I am using simple frames”
Switch0(config-if)#switchport mode access
Switch0(config-if)#switchport access vlan 2
Это означает, что любой кадр, пришедший на этот интерфейс, автоматический тегируется: на него вешается бирка с номером VLAN’а. В данном случае с номером 2. Далее коммутатор ищет в своей таблице MAC-адресов среди портов, принадлежащих 2-му влану, порт, к которому подключено устройство с MAC-адресом получателя.
3) Если получатель подключен к такому же access-порту, то бирка с кадра снимается, и кадр отправляется в этот самый порт таким, каким он был изначально. То есть получателю также нет необходимости знать о существовании вланов.
4) Если же искомый порт, является транковым, то бирка на нём остаётся.
Switch(config)#interface fa0/2
Switch(config-if)#description “I am using tagged frames”
Switch(config-if)#switchport mode trunk
R 1# show vlan
Virtual LAN ID: 1 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interface: FastEthernet0/0
FastEthernet0/0
Protocols Configured: Address: Received: Transmitted:
Virtual LAN ID: 2 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interface: FastEthernet0/0.2
Protocols Configured: Address: Received: Transmitted:
IP 192.168.2.1 0 0
Virtual LAN ID: 3 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interface: FastEthernet0/0.3
Protocols Configured: Address: Received: Transmitted:
IP 192.168.3.1 0 0
Virtual LAN ID: 4 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interface: FastEthernet0/0.4
Protocols Configured: Address: Received: Transmitted:
IP 192.168.4.1 0 0
Virtual LAN ID: 5 (IEEE 802.1Q Encapsulation)
vLAN Trunk Interface: FastEthernet0/0.5
Protocols Configured: Address: Received: Transmitted:
IP 192.168.5.1 0 0
R1#
VPCS-192.168.2.2 > ping 192.168.5.3
84 bytes from 192.168.5.3 icmp_seq=1 ttl=63 time=16.669 ms
84 bytes from 192.168.5.3 icmp_seq=2 ttl=63 time=14.940 ms
84 bytes from 192.168.5.3 icmp_seq=3 ttl=63 time=13.954 ms
84 bytes from 192.168.5.3 icmp_seq=4 ttl=63 time=14.004 ms
84 bytes from 192.168.5.3 icmp_seq=5 ttl=63 time=14.478 ms
R1# show ip interface brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 unassigned YES NVRAM up up
FastEthernet0/0.2 192.168.2.1 YES NVRAM up up
FastEthernet0/0.3 192.168.3.1 YES NVRAM up up
FastEthernet0/0.4 192.168.4.1 YES NVRAM up up
FastEthernet0/0.5 192.168.5.1 YES NVRAM up up
R1#
====================================
Switch2
Switch1
Гибридные маршрутизаторы с интегрированными сервисами - Integrated Services Routers (ISR), коммутаторы уровня L3
http://www.rccmrs.ru/catalog/139/ <------Cisco серии 2800
Cisco Ethernet Switch Module documentation (pdf)
https://netref.soe.ucsc.edu/node/40
https://www.cisco.com/interfaces-modules/network-modules
https://www.resear/using_VLAN_and_implemented_with_GNS3 <---------
http://www.foxnetwork.ru/index.php/component/content
https://arxont.blogspot.com/faq-dhcp-cisco.html <------DHCP-Cisco
http://www.3dlan.ru/blog/nastrojka-dhcp-v-vlan <------
https://drive.google.com/file/Cisco_image <------Cisco_image_3725,3745,3640
Одни из семейства ISR маршрутизаторов это линейка Cisco серии 2800, где представлены платформами с большим количеством вариантов расширений различными модулями. Функциональные возможности платформ напрямую зависят от типа и количество установленных модулей и типа используемого программного обеспечения.
(https://search.cisco.com/search=Cisco ISR 2800)
На примере использования сетевого модуля EtherSwitch (ESW) и ISR Cisco 2800, 3700, 3900 и тд. легко увидеть основные достоинства VLAN технологии, то что называется "в быту", то есть сегментированию сети по различным сервисам:
- один vlan под серверы, - второй под телефонию, - третий под рабочие станции ...и тд.
Стандартное определение Cisco серии 2800 и ему подобных - это устройства предназначены для обеспечения одновременной работы различных сервисов с высоким уровнем защиты и скоростью физической линии и представляющие идеальный вариант для сетей малых и средних предприятий, проше говоря бюджетный вариант роутера и коммутатора (два в одном).
Все поддерживаемые маршрутизаторы ASR (Aggregation Service Router)
Модуль Cisco NM-16ESW – это модуль для устройств бренда Cisco серии 3900, 3800, 3700, 3600, 2900, 2800 и 2600, оснащена 16 портами, каждый из которых выдает скорость до 100 Мбит/сек. Главная задача модуля(расширения) – это организация свойств коммутатора на самом маршрутизаторе. С наличием такого устройства нет нужды в покупке отдельно коммутатора, так как маршрутизатор с таким модулем его заменит. Также, маршрутизатор в тандеме с модулем обеспечивают работу пользователей путем подсоединения к интернету по линии высокоскоростного соединения (1 Гбит/сек). Прибор в автоматическом режиме самостоятельно вычисляет скорость для предоставления конечному пользователю. Для передачи данных хорошего качества, прибор поддерживает технологию 802.1 p. Для разделения сети на несколько подсетей виртуального типа, модель поддерживает 802.1q. Устройство отделяет IP-телефонию в виртуальную сеть отдельного типа.
Основной задачей модуля Cisco NM-16ESW является реализация принципов коммутации на маршрутизаторе. Другими словами можно сказать, что модуль Cisco NM-16ESW нужен для того, чтобы предоставить проводной доступ пользователям, которые находятся в непосредственной близости от маршрутизатора. При наличии такого модуля нет необходимости покупать отдельный стоечный коммутатор, поскольку модуль Cisco NM-16ESW полностью его заменяет.
Команды конфигурации вообщем и целом однотипны для Cisco, однако есть некоторая специфика, заключается в использовании базы данных (vlan database - vl da)
По умолчанию все порты принадлежат VLAN1. Мы можем создавать сети VLAN только в режиме базы данных VLAN - vlan database . После создания сетей VLAN в режиме базы данных VLAN, создается файл vlan.dat, который сохраняется в файловой системе Flash маршрутизатора (который в Dinamips просмотреть не выйдет). (Cisco-/actions-with-files-and-folders-cisco/) Созданные сети VLAN можно просмотреть с помощью команды show vlan-switch:
R1#vlan database (vl da)
R1(vlan)#show (sh)
VLAN ISL Id: 1
Name: default
Media Type: Ethernet
VLAN 802.10 Id: 100001
State: Operational
MTU: 1500
Translational Bridged VLAN: 1002
Translational Bridged VLAN: 1003
...............................
или конкретную сеть:
R1#sh int vlan 2
Vlan2 is up, line protocol is up
Hardware is EtherSVI, address is c401.47d7.0000 (bia c401.47d7.0000)
Internet address is 192.168.2.1/24
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
................................
или сети назначенные портам коммутатора:
R1#show vlan-switch
VLAN Name Status Ports
---- ------------------ --------- ----------------
1 default active Fa1/0, Fa1/1, Fa1/2, Fa1/3
Fa1/4, Fa1/5, Fa1/6, Fa1/7
Fa1/8, Fa1/9, Fa1/10, Fa1/11
Fa1/12, Fa1/13, Fa1/14, Fa1/15
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
..............................................................
R1# ....это то что по умолчанию.
Коммутаторы уровня L3 фактически являются маршрутизаторами, которые реализуют механизмы маршрутизации (логическая адресация и выбор пути доставки данных (маршрута)) не в программном обеспечении устройства, а с помощью специализированных аппаратных средств (микросхем, в нашем случае модулей). Прежде чем использовать модуль в GNS3 надо предпринять некоторые действия по его конфигурации, дел в том что если попытаться добавить в базу данных vlan то появится такая вот ошибка: --------->
И если выбрать конфигурацию роутера, вкладка "Memories & Disks"то увидим следующее;
Что говорит само за себя, ...то есть памяти НЕТ в чем так же можно убедиться в меню "Show node information"
R1#vlan database
R1(vlan)#vlan 2
VLAN 2 added:
Name: VLAN0002
R1(vlan)#exit
% not enough space on flash to store vlan database. trying squeeze...
% error squeezing flash - (No device available)
Error on database apply 40: NV storage failure
Use 'abort' command to exit
R1(vlan)#abort
Aborting....
R1#
(PCMCIA - память используемая в ISR устройствах(один из способов))
Естественно добавляем память, (1Mib вполне достаточно) и опять проверяем:
В чем можно так же убедиться открыв конфигурацию роутера, в нашем случае Cisco 3745, где так же появились 16 портов модуля NM-16ESW(f1/0 -f1/16), кроме встроенных f0/0 и f0/1 которые хорошо видны на картинках выше, впрочем как и порты самого модуля. ------------>
....но это увы не все, понадобиться отформатировать память, эммулируемое PCMCIA устройство, что к сожалению не даст нам в последствии возможности просматривать содержимое flash памяти, далее так:
R1#
R1#era
R1#erase fl
R1#erase flash:
Erasing the flash filesystem will remove all files! Continue? [confirm]
Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee ...erased
Erase of flash: complete
R1#
R1#
R1#vlan da
R1#vlan database
R1(vlan)#vlan 2
VLAN 2 added:
Name: VLAN0002
R1(vlan)#exit
APPLY completed.
Exiting....
R1#
....и добавляем нужное количество vlan https://www.gns3.com/not-able-to-create-vlan-gns3
Далее относительно стандартная продцедара добавления (определение) vlan в database и их конфигурирование:
R1#en
R1#vlan database (vl da)
R1(vlan)#vlan 3 (vl 3)
VLAN 3 added:
R1(vlan)#vlan 4 (vl 4)
VLAN 4 added:
R1(vlan)#vlan 5 (vl 5)
VLAN 5 added:
R1(vlan)#exit (ex)
APPLY completed.
Exiting....
R1#
Конфигурируем vlan-ы, можно даже сказать "терминируем".
R1#en
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#int vlan 2
R1(config-if)#ip address 192.168.2.1 255.255.255.0
R1(config-if)#exit
R1(config)#int vlan 3
R1(config-if)#ip address 192.168.3.1 255.255.255.0
R1(config-if)#exit
R1(config)#int vlan 4
R1(config-if)#ip address 192.168.4.1 255.255.255.0
R1(config-if)#exit
R1(config)#int vlan 5
R1(config-if)#ip address 192.168.5.1 255.255.255.0
R1(config-if)#exit
R1(config)#exit
R1#
*Mar 1 00:04:30.599: %SYS-5-CONFIG_I: Configured from console by console
R1#write mem
Building configuration...
[OK]
R1#copy running-config startup-confi
Destination filename [startup-config]?
Building configuration...
[OK]
R1#
Итого:
R1#sh int vlan 2 (sh int vl 2)
Vlan2 is up, line protocol is up
Hardware is EtherSVI, address is c401.47d7.0000 (bia c401.47d7.0000)
Internet address is 192.168.2.1/24
..........................
R1#sh int vlan 3
Vlan3 is up, line protocol is down
Hardware is EtherSVI, address is c401.47d7.0000 (bia c401.47d7.0000)
Internet address is 192.168.3.1/24
..........................
R1#sh int vlan 4
Vlan4 is up, line protocol is down
Hardware is EtherSVI, address is c401.47d7.0000 (bia c401.47d7.0000)
Internet address is 192.168.4.1/24
..........................
R1#sh int vlan 5
Vlan5 is up, line protocol is down
Hardware is EtherSVI, address is c401.47d7.0000 (bia c401.47d7.0000)
Internet address is 192.168.5.1/24
.........................
R1#
Далее настройка портов:
=.....и в итоге примерно так:
R1#show vlan-switch
VLAN Name Status Ports
---- -------------------- --------- ----------------
1 default active Fa1/0, Fa1/10, Fa1/11, Fa1/12
Fa1/13, Fa1/14, Fa1/15
2 VLAN0002 active Fa1/2, Fa1/3
3 VLAN0003 active Fa1/4, Fa1/5
4 VLAN0004 active Fa1/6, Fa1/7
5 VLAN0005 active Fa1/8, Fa1/9
1002 fddi-default active Fa1/1
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
......................................................
R1#
Далее назначаем адреса на хосты
PC1> ip
ip ARG ... [OPTION]
address [mask] [gateway]
address [gateway] [mask]
Default IPv4 mask is /24, IPv6 is /64. Example:
ip 10.1.1.70/26 10.1.1.65 set the VPC's ip to 10.1.1.70,
the gateway to 10.1.1.65, the netmask to 255.255.255.192.
...........................................
PC1> ip 192.168.2.2/24 192.168.2.1
Checking for duplicate address...
PC1 : 192.168.2.2 255.255.255.0 gateway 192.168.2.1
PC1> show
NAME IP/MASK GATEWAY MAC LPORT RHOST:PORT
PC1 192.168.2.2/24 192.168.2.1 00:50:79:66:68:00 10000 127.0.0.1:10001
PC2> ip 192.168.2.3/24
Checking for duplicate address...
PC1 : 192.168.2.3 255.255.255.0
Проверяем:
PC1> ping 192.168.2.1
84 bytes from 192.168.2.1 icmp_seq=1 ttl=255 time=9.851 ms
84 bytes from 192.168.2.1 icmp_seq=2 ttl=255 time=5.501 ms
PC1> ping 192.168.2.3
84 bytes from 192.168.2.3 icmp_seq=1 ttl=64 time=0.587 ms
84 bytes from 192.168.2.3 icmp_seq=2 ttl=64 time=0.757 ms
PC1> ping 192.168.5.3
No gateway found
PC1> ping 192.168.5.2
No gateway found
PC1>
Для последующей загрузке хостов (после перезапуска Dinamips) с нужной конфигурацией, надо сохранить ее в файл (стартовый скрипт):
Edit config (в меню VPCS)
# This the configuration for PC1
#
# Uncomment the following line to enable DHCP
# dhcp
# or the line below to manually setup an IP address and subnet mask
# ip 192.168.1.1 255.0.0.0
#
ip 192.168.2.2/24 192.168.2.1
set pcname PC1
......можно еще и так, на всякий случай;
R1#write mem
Building configuration...
[OK]
R1#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
R1#
В заключении остается добавить всему этому доступ к WWW.
Поскольку подключение через WiFi адаптер для GNS отчего то проблема, будем подключаться через существующую сеть Docker, что имеет не мало плюсов при моделировании более сложных сетевых конфигураций.
$ ifconfig -a
docker0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.17.0.1 netmask 255.255.0.0 broadcast 172.17.255.255
.....................................
Заходим в настройки "облака" предварительно его создав и выбираем docker0:
R1#show vlan-switch
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa1/0, Fa1/10, Fa1/11, Fa1/12
Fa1/13, Fa1/14, Fa1/15
2 VLAN0002 active Fa1/2, Fa1/3
3 VLAN0003 active Fa1/4, Fa1/5
4 VLAN0004 active Fa1/6, Fa1/7
5 VLAN0005 active Fa1/8, Fa1/9
......................................
VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 1002 1003
2 enet 100002 1500 - - - - - 0 0
3 enet 100003 1500 - - - - - 0 0
4 enet 100004 1500 - - - - - 0 0
5 enet 100005 1500 - - - - - 0 0
.......................................
R1#show ip route
....................... Codes: C - connected, S - static,
Gateway of last resort is 172.17.0.1 to network 0.0.0.0
C 172.17.0.0/16 is directly connected, FastEthernet0/0
C 192.168.4.0/24 is directly connected, Vlan4
C 192.168.5.0/24 is directly connected, Vlan5
C 192.168.2.0/24 is directly connected, Vlan2
C 192.168.3.0/24 is directly connected, Vlan3
S* 0.0.0.0/0 [1/0] via 172.17.0.1
R1#^Z
Назначаем адрес на интерфейс для облака (fa0/0) и задаем "шлюз последней очереди":
R1#en
R1#conf t
R1(config)#int fa 0/0
R1(config-if)#ip address 172.17.0.2 255.255.0.0
R1(config-if)#no shutdown
R1(config-if)#end
R1#sh int fa 0/0
FastEthernet0/0 is up, line protocol is up
Hardware is Gt96k FE, address is c401.47d7.0000
Internet address is 172.17.0.2/16
R1#conf t
R1(config)#ip route 0.0.0.0 0.0.0.0 172.17.0.1 (https://www.cisco.com/ip/routing-information-rip)
(https://www.cisco.com/ip/routing-information-rip)
R1(config)#^Z
R1#
Проверяем:
R1#ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 88/136/184 ms
R1#
R1#traceroute 8.8.8.8
Type escape sequence to abort.
Tracing the route to 8.8.8.8
1 172.17.0.1 0 msec 8 msec 4 msec
2 192.168.1.1 28 msec 8 msec 12 msec
3 100.80.128.1 24 msec 16 msec 20 msec
4 * * *
....................................................
R1#
R1#write
Building configuration...
[OK]
R1#copy running-config startup-confi
Destination filename [startup-config]?
Building configuration...
[OK]
Следующий этап это сделать доступ к WWW хостов, делается это при помощи NAT, NAT как и DHCP стандартные сервисы ISR Cisco в том числе и Cisco 3700 и вот тут несколько хороших статей по этому поводу:
Делается это через уже упомянутые ACL - access-list: Списки управления доступом (ACL ст. 159) PDF
Указываем, что транслировать. Т.е. какой трафик и от каких хостов, ACL может быть стандартным и расширенным, нумерованным и именованным. (deny - запретить permit - разрешить)
Маркируем внутренний и внешний интерфейс.
Включаем трансляцию.
R1#conf t
R1(config)#ip access-list standard ACL_NAT
R1(config-std-nacl)#permit 192.168.2.0 0.0.0.255 что транслировать
R1(config-std-nacl)#ex
R1(config)#int vlan 2
R1(config-if)#ip nat inside маркируем
R1(config-if)#ex
R1(config)#int fa0/0
R1(config-if)#ip nat outside маркируем
R1(config-if)#ex
R1(config)#ip nat inside source list ACL_NAT interface fa0/0 включаем
R1(config)#en
R1#
Проверяем:
PC1> sh
NAME IP/MASK GATEWAY MAC LPORT RHOST:PORT
PC1 192.168.2.2/24 192.168.2.1 00:50:79:66:68:06 10048 127.0.0.1:10049
PC1> ping 172.17.0.1
84 bytes from 172.17.0.1 icmp_seq=1 ttl=63 time=20.044 ms
PC1> ping 8.8.8.8
84 bytes from 8.8.8.8 icmp_seq=1 ttl=106 time=30.723 ms
PC1> ping 192.168.2.1
84 bytes from 192.168.2.1 icmp_seq=1 ttl=255 time=3.513 ms
PC1> ping 192.168.2.3
84 bytes from 192.168.2.3 icmp_seq=1 ttl=64 time=0.466 ms
PC1>
R1#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 172.17.0.2:13945 192.168.2.2:13945 8.8.8.8:13945 8.8.8.8:13945
icmp 172.17.0.2:14201 192.168.2.2:14201 8.8.8.8:14201 8.8.8.8:14201
icmp 172.17.0.2:14457 192.168.2.2:14457 8.8.8.8:14457 8.8.8.8:14457
icmp 172.17.0.2:14713 192.168.2.2:14713 8.8.8.8:14713 8.8.8.8:14713
icmp 172.17.0.2:14969 192.168.2.2:14969 8.8.8.8:14969 8.8.8.8:14969
R1#
PC1> trace 8.8.8.8
trace to 8.8.8.8, 8 hops max, press Ctrl+C to stop
1 192.168.2.1 9.654 ms 9.172 ms 9.697 ms
2 172.17.0.1 29.642 ms 29.370 ms 19.992 ms
3 192.168.1.1 19.303 ms 19.387 ms 19.501 ms
4 100.80.128.1 29.900 ms 29.523 ms 30.259 ms
5 * * *
6 188.254.2.2 27.241 ms 29.912 ms 39.632 ms
7 92.50.229.138 80.323 ms 29.567 ms 50.187 ms
8 * * *
PC1>
PC3> sh
NAME IP/MASK GATEWAY MAC
PC3 192.168.3.2/24 192.168.3.1 00:50:79:66:68:01
PC3> ping 8.8.8.8
8.8.8.8 icmp_seq=1 timeout
PC3>
И наверняка все это можно сделать через статическую маршрутиризацию но использование ACL и NAT очевидно что более удобнее, тем более вспоминая что V-LAN изначально выросли из "таблиц доступа", ACL в сочетании с NAT позволяют очень тонко конфигурировать маршрутиризацию как отдельных хостов, портов, так и в целом VLAN-ов, как в примере выше.
И конечно ни кто не мешает нам использовать docker-хосты, как и docker-сети (как и VirtualBox c PFSense):
docker/docker_x11vnc-desktop:latest
$ x11vnc
$ vncviewer X.X.X.X:5900
L2 №1 и №2 коммутатор:
en - входим в привилегированный режим
conf t - входим в режим глобальной настройки
int fa0/1 - выбрали для настройки FastEthernet0/1
switchport mode access - включили порт в access
switchport access vlan 2 - добавили vlan 2
ex - вышли из настройки FastEthernet0/1
int fa0/2 - выбрали для настройки FastEthernet0/2
switchport mode access - включили порт в access
switchport access vlan 3 - добавили vlan 3 ( vlan 3 создастся автоматически)
ex - вышли из настройки FastEthernet0/2
interface gigabitEthernet 0/1 - выбрали для настройки gigabitEthernet 0/1
switchport mode trunk - включили порт в trunk
switchport trunk allowed vlan 2,3 - добавили в vlan 2 и 3
exit - вышли из настройки gigabitEthernet 0/1
exit - вышли из глобального конфигурирования
write mem - сохранили изменения
L3 коммутатор:
vlan database (vl da) - вход в режим database для создания vlan
show vlan-switch - просмотр vlan на портах
enable - входим в привилегированный режим (en)
config t - входим в режим глобальной настройки (conf t)
interface gigabitEthernet 0/1 - выбираем для настройки interface gigabitEthernet 0/1
switchport trunk encapsulation dot1q - включаем encapsulation dot1q
switchport mode trunk - включаем порт в trunk
switchport trunk allowed vlan 2,3 - разрешаем vlan 2,3
exit - выход из настройки interface gigabitEthernet 0/1
interface gigabitEthernet 0/2 - выбираем для настройки interface gigabitEthernet 0/2
switchport trunk encapsulation dot1q - включаем encapsulation dot1q
switchport mode trunk - включаем порт в trunk
switchport trunk allowed vlan 2,3 - разрешаем vlan 2,3
exit - выход из настройки interface gigabitEthernet 0/2
vlan 2 - создадим vlan 2
name vlan2 - задать имя для vlan2
exit - выйдем из настройки vlan 2
vlan 3 - создадим vlan 3
name vlan3 - задать имя для vlan3
exit - выйдем из настройки vlan 3
interface vlan 2 - выберем для настройки vlan 2 (int vlan 2)
ip address 2.2.2.1 255.255.255.0 - назначим ip адрес
exit - выйдем из настройки vlan2
interface vlan 3 - выберем для настройки vlan 3 (int vlan3)
ip address 3.3.3.1 255.255.255.0 - назначим ip адрес
exit - выйдем из настройки vlan 3
ip routing - включить роутинг
show ip route - просмотр таблиц маршрутиризации
sh ip nat translations - просмотр NAT
traceroute 8.8.8.8
write mem (write)
copy running-config startup-confi
==================================================
Create VLANs EtherSwitch Network Module (ESW) Configuration Examp
==================================================
На тему Switching можно говорить и размышлять очень долго и кроме практики иных способов его освоить НЕТ, GNS3 в этом один из помошников, возвращаясь к более глобальным вопросам наверное надо вернуться к терминологии, тем более что у нас любят употребление "хитро-мудрых" терминов зачастую не понимая их смысла, с одной лишь целью произвести впечатлений. И вот, рано или позно нам встречается не в меру продвинутый "юноша" и задает такой вопрос: ...а где у вас "детерминируются vlan-ы" и чтобы сразу не посылать его в дальнее сексуальное путешествие надо уточнить терминологию:
Во первых приставка de: -отделение, -устранение, -удаление, -лишение, -уничтожение, -недостаток, -отсутствие, -движение сверху вниз, -снижение, -завершение действия,
Детерминация (determinatio — предел, заключение, определение, установление) в широком смысле — определение перспективы объекта исходя из данных о его представлении, комплектации, какими-то параметрами и составляющими, присущими той или иной категории или образцу.
В логике — добавление признаков к более общему понятию (родовое понятие), благодаря чему возникает ограниченное видовое понятие
Детерминация сложное составное понятие:
Детерминация — понятие, производное от слов «детерминант», «детерминировать».
Детерминант(determinant) — определитель, решающий фактор; определяющий фактор
Детерминировать(determine) — определять, обусловливать, решать; вычислять; устанавливать
Детерминация(determination) — процесс обусловливания,определения,определение,измерение; вычисление
Детерменированный(determined) — определенный
Детерминиизм — учение о взаимосвязи и взаимной определённости всех явлений и процессов, доктрина о всеобщей причинности.
Детерминант — определитель, определяющий фактор
deterministic routing — детерминированная маршрутизация
deterministic system — детерминированная система
Детерминацию можно рассматривать как процесс, процесс определения, и вполне естественно существование противоположного понятия, термина "терминация":
Если очень обще то: от лат. terminatio
установление границ, межевание;
разграничение, определение;
суждение или указание;
завершение, окончание;
У древних римлян божество границ, под покровительством которого состояли пограничные камни и столбы "термины", считавшиеся священными. "Термин" — пограничный или межевой камень.
Терминация (от лат. terminalis — заключительный, конечный) — завершающая фаза процесса....
Терминация в общем смысле — определять, называть что-либо каким-либо термином
Терминировать трафик — маршрутизировать из разных подсетей, разделенных vlan-ами,
Терминация (завершение) — назначение на интерфейс маршрутизатора публичного IP-адреса одной или нескольких подсетей клиента в заданный VLAN.
Терминация vlan — то есть назначение IP на vlan
Терминация позволяет получить маршрутизируемую (L3) связность с другими подсетями и выход в интернет
Терминация трафика — это установление, поддержание физического и / или логического соединения, пропуск трафика между телекоммуникационной сетью, из которой поступает вызов или инициируется соединение, и конечным оборудованием, к которому направляется вызов или инициируется соединение
Терминация трафика — процесс физического и (или) логического завершения соединения, посредством которого голосовые и иные сообщения электросвязи, поступающие от вызывающей стороны, преобразуются на вызываемой стороне в голосовые сигналы.
Терминация как и Детерминация понятия "древне специфично профессиональные" и ноги у них растут ....от туда, из теорий по телекоммуникациям, однако есть настолько умные люди которые разделку витой пары при монтаже СКС так же называют "терминированием". В итоге на вопрос "где у вас детерминируются vlan-ы" можно ответит; на коммутаторе ...... .
В заключении еще несколько познавательных тезисов на тему V-LAN, и информативное видео от г. Карманова
Различия между сегментацией в виртуальной сети и в обычной локальной сети.
Виртуальные сети работают на 2-м и 3-м уровнях эталонной модели OSI.
Обмен информацией между виртуальными сетями обеспечивается маршрутизацией 3-го уровня.
Виртуальная сеть предоставляет средство управления широковещанием.
Включение пользователей в виртуальную сеть производится сетевым администратором.
Сети VLAN позволяют повысить степень защиты сети путем задания сетевых узлов, которым разрешено обмениваться информацией друг с другом.
Использование технологии виртуальных сетей позволяет сгруппировать порты коммутатора и подсоединенные к ним компьютеры в логически определенные рабочие группы следующих типов.
Сотрудники одного отдела.
Группа сотрудников с пересекающимися функциями.
Различные группы пользователей, совместно использующих приложения или программное обеспечение.
Можно сгруппировать порты и пользователей в рабочую группу на одном коммутаторе или на нескольких соединенных между собой коммутаторах. Группируя порты и пользователей вокруг нескольких коммутаторов, можно создать инфраструктуру сети в одном здании, в нескольких соединенных между собой зданиях или даже сеть большой области,
...."Увеличение производительности – VLAN разделяет подсеть на отдельные широковещательные домены. Это означает, что широковещательные сообщения будут получать только устройства, находящиеся в одной VLAN-подсети, что позволяет уменьшить широковещательный трафик внутри сети, тем самым снижается нагрузка на сетевые устройства и улучшается производительность системы в целом.".....
....все это надо рассматривать в целом с точки зрения, что сеть не резиновая и увеличивая кол-во виртуальных подсетей мы увеличиваем нагрузку на сеть ....так что производительность увеличивается естественно, однако сеть так или иначе имеет свой конечный ресурс ....и поэтому VLAN-подсети "по определению" не могут "снижать нагрузку на сетевые ус-ва", но поскольку эти смые "сетевые ус-ва" ни когда не бывают загружены на 100% , мы достигаем увеличение производительности в чем и основная "радость" виртуализации, точно так же как и вслучае виртуализации серверов
К слову о маршрутизации в виртуальных сетях, необходимо сделать одно замечание. Многие пользователи сетей Интернет и Ethernet фанатично привязаны к сетям без установления соединения и неистово противопоставляют их любым системам, в которых есть хотя бы намек на соединение на сетевом или канальном уровне. Однако в виртуальных сетях один технический момент как раз-таки очень сильно напоминает установку соединения. Речь идет о том, что работа виртуальной сети невозможна без того, чтобы в каждом кадре был идентификатор, использующийся в качестве индекса таблицы, встроенной в коммутатор. По этой таблице определяется дальнейший вполне определенный маршрут кадра. Именно это и происходит в сетях, ориентированных на соединение. В системах без установления соединения маршрут определяется по адресу назначения, и там отсутствуют какие либо идентификаторы конкретных линий, через которые должен пройти кадр.
Виртуальные сети и физические границы
В локальных сетях, содержащих коммутирующие устройства, использование технологии виртуальных сетей представляет собой эффективный и экономически выгодный способ объединения пользователей сети в рабочие группы независимо от их физического расположения.
Чтобы виртуальные сети функционировали корректно, необходимо наличие конфигурационных таблиц в мостах. Эти таблицы сообщают о том, через какие порты производится доступ к тем или иным виртуальным сетям. Когда кадр прибывает, например, из VLAN_1, его нужно разослать на все порты, помеченные VLAN1. Это правило справедливо как для ординарных (то есть однонаправленных) передач, для которых мост не изучает местоположение назначения, так и для групповых и широковещательных. Надо иметь в виду, что порт может быть помечен сразу несколькими VLAN.
Tag-length-value TLV, также «type-length-value»
Двоичная структура из трёх полей: тег, длина данных и данные.
Последовательности TLV легко обрабатываются распространенными функциями синтаксического анализа;
Элементы TLV могут быть размещены в любом порядке внутри тела сообщения;
Элементы TLV обычно используются в двоичном формате, который делает разбор быстрее, а данные меньше;
TLV легко конвертируется в XML для проверки данных человеком.
VTP - Cisco VLAN Trunking Protocol. Этот протокол является фирменным протоколом компании Cisco и работает только на коммутаторах этой компании.
Коммутаторы Cisco поддерживают модель «транк — линии доступа», а протокол VTP позволяет по транковым связям передавать информацию о сетях VLAN, активизированных на одном из коммутаторов, другим коммутаторам сети.
Когда в здании много локальных сетей, необходим какой-то способ их объединения. Для этих целей используются plug-and-play устройства — мосты. При построении мостов применяются алгоритм обратного обучения и алгоритм связующего дерева. С добавлением в современные коммутаторы этих функций термины «мост» и «коммутатор» стали взаимозаменяемы. Для упрощения управления ЛВС с мостами появились виртуальные локальные сети, которые позволили отделить физическую топологию от логической. Был разработан стандарт для виртуальных локальных сетей — IEEE 802.1Q, вводящий новый формат Ethernet кадров.
Резюме
Коммутатор Ethernet 802.1 Q предназначен для физической сегментации локальной сети, в результате которой образуются отдельные коллизионные домены (collision domain).
Обычная локальная сеть конфигурируется в соответствии с физической инфраструктурой сети.
В локальных сетях, использующих коммутирующие устройства, создание виртуальной сети представляет собой эффективный в финансовом и производственном отношении способ группировки пользователей сети в виртуальные рабочие группы независимо от их физического расположения.
Виртуальные сети функционируют на 2-м и 3-м уровнях эталонной модели OSI.
Важной особенностью архитектуры VLAN является ее способность передавать информацию между взаимосвязанными коммутаторами и маршрутизаторами, подсоединенными к корпоративной магистрали.
Проблемы, возникающие при совместном использовании локальных сетей и коммутаторов, побуждают к замене традиционных конфигураций локальных сетей коммутируемыми конфигурациями виртуальных сетей.
Наиболее общими подходами при осуществлении логической группировки пользователей в отдельные виртуальные сети являются фильтрация фреймов, использование фреймовых тегов и идентификация фреймов.
Существуют три основных типа виртуальных сетей:
сети на попортовой основе,
статические виртуальные сети
динамические виртуальные сети.
Cisco добавляет еще vlan-ны для телефонии
Среди достоинств виртуальных сетей можно выделить следующие.
Использование виртуальных сетей позволяет уменьшить административные затраты, связанные с решением вопросов переезда, добавления новых пользователей и изменений в структуре сети
Виртуальные сети обеспечивают защиту информации в рабочих группах и во всей сети.
Виртуальные сети позволяют сэкономить средства за счет использования уже существующих концентраторов.
Локальная сеть представляется как общий домен широковещания. Технология VLAN сегментирует большой домен широковещания на меньшие домены широковещания, ограничивая широковещательный трафик в пределах одной группы пользователей.
Сегментирование сети на множество широковещательных доменов, улучшает производительность сети уменьшая широковещательный трафик, без замедления доступа к серверам.
При создании виртуальных сетей на основе одного коммутатора обычно используется механизм группирования портов коммутатора. При этом каждый порт приписывается той или иной виртуальной сети. Кадр, пришедший от порта, принадлежащего, например, виртуальной сети 1 , никогда не будет передан порту, который не принадлежит этой виртуальной сети.
Создание виртуальных сетей путем группирования портов не требует от администратора большого объема ручной работы — достаточно каждый порт приписать к одной из нескольких заранее поименованных виртуальных сетей. Обычно такая операция выполняется с помощью специальной программы, прилагаемой к коммутатору.
Второй способ образования виртуальных сетей основан на группировании МАС-адресов. Каждый МАС-адрес, который изучен коммутатором, приписывается той или иной виртуальной сети. При существовании в сети множества узлов этот способ требует от администратора большого объема ручной работы и по этой причине не получил распространения.
Даже при том, что для организации виртуальных локальных сетей существуют утвержденные стандарты, тем не менее способы построения VLAN и способы назначения членства в VLAN зависит от характеристик оборудования предоставляемого различными вендорами.
Виртуальная сеть на попортовой основе (port-centric VLAN). Виртуальная сеть, все узлы которой присоединены к одному порту коммутатора.
Динамическая виртуальная сеть (dynamic VLAN). Виртуальная сеть, создаваемая на основе МАС-адресов, логических адресов или на типе протокола пакетов данных.
Статическая виртуальная сеть (static VLAN). Виртуальная сеть, в которой конфигурация портов коммутатора не изменяется.
Микросегментация (microsegmentation). Разделение сети на более мелкие сегменты.(Обычно осуществляется для увеличения полосы пропускания сетевых устройств).
Плоская сеть (flat network). Сеть, в которой между коммутаторами нет маршрутизаторов и представляющая собой один широковещательный домен. В такой сети широковещательные пакеты и сообщения канального уровня посылаются каждому коммутируемому порту.
Сегмент (segment). Участок сети, ограниченный мостами, маршрутизаторами или коммутаторами.
Список управления доступом (access control list, ACL). Набор ограничительных и разрешающих директив в конфигурации маршрутизатора Cisco, для управления передачей и отправкой с него информации (например, для предотвращения отправки пакетов с некоторым адресом с указанного интерфейса маршрутизатора).