Katedra softwarového inženýrství MFF UK

Katedra softwarového inženýrství MFF UK
Malostranské nám stí 25, 118 00 Praha 1 - Malá Strana
Technologie
5
Po íta ové sít , v. 3.0
Technologie
5
•
Katedra softwarového inženýrství,
Matematicko-fyzikální fakulta,
Univerzita Karlova, Praha
Základní
kladní otá
otázka (internetworking
(internetworking--u)
•
jak roz lenit loká
loká lní
lní sí ?
– nechat ji jako jednu "velkou a plochou" sí
sí ?
– rozd lit ji na ví
více dí
díl ích sí
sítí/segment ?
• kdy použ
použít opakova , kdy most i switch,
switch, a
kdy sm rova ?
neexistuje jednozna ný ná
návod, zá
zá lež
leží na
konkré
konkrétní
tní situaci …
– jaká
jaká je sí
sí
Lekce 3: internetworking - II.
• jak je velká
velká, kolik je po íta , jaké
jaké jsou
servery a jaké
jaké stanice, jaké
jaké aplikace se
použ
používají
vají
– co je cí
cílem
• zda zvýš
zvýšení
ení propustnosti, propojení
propojení, ochrana
proti neoprá
neoprávn nému p ístupu, optimalizace
tok v sí
síti i n co jiné
jiného
– významnou roli hrají
hrají i faktory typu: styl
prá
práce už
uživatel , zp sob nakonfigurová
nakonfigurování
aplikací
aplikací, výpo etní
etní model ….
J. Peterka, 2005
• nap . zda jsou MS Windows a zá
základní
kladní
aplikace nainstalová
nainstalovány loká
lokáln , nebo na file
serveru apod.
!
"
Sdí
Sdílená
lená vs. vyhrazená
vyhrazená p enosová
enosová kapacita
Technologie
5
d lež
ležité
ité otá
otázky:
– co je sdí
sdílená
lená co vyhrazená
vyhrazená kapacita?
– jaký je rozdí
rozdíl mezi mostem a
p epí
epína em?
– jaké
jaké jsou trendy "segmentace"
loká
lokální
lních sí
sítí
– co jsou virtuá
virtuální
lní LAN?
– ….
Jak zvýš
zvýšit propustnost sí
sít ?
• p ístup "hrubou silou"
– nezm ní se princip fungová
fungová ní
• sdí
sdílená
lená p enosová
enosová kapacita
– jen se zvýší
zvýší nominá
nominá lní
lní p enosová
enosová
rychlost
sdílená kapacita
10 Mbps
• opakova ší í veš
veškerý provoz
do vš
všech sm r
– vše, co je propojeno
opakova i, má
má k dispozici
celkovou p enosovou kapacitu
odpoví
odpovídají
dající 10 Mbps (v
Ethernetu)
Ethernetu) - tato kapacita je
všemi uzly sdí
sdílena
• pro celkovou propustnost to
(obvykle) není
není optimá
optimální
lní
sdílená kapacita
sdílená kapacita
10 Mbps
• nap . 10x u 100 Mbps Ethernetu
• pak sta í použ
použít propojení
propojení pomocí
pomocí
opakova
10 Mbps
• most (ani p epí
epína ) neší
neší í
veš
veškerý provoz do vš
všech sm r
– lze z stat u sdí
sdílené
lené p enosové
enosové
kapacity
• ale ani to nelze d lat "p íliš
liš
dlouho", kv li kolizí
kolizím v
Ethernetu
– díky „lokalizaci“
lokalizaci“ provozu v
jednotlivých ástech mohou
mít komunikují
komunikující dvojice
„celou“
celou“ p enosovou kapacitu
jen pro sebe (tato je pro n
vyhrazena)
vyhrazena)
!
Technologie
5
• "inteligentní
"inteligentní" p ístup
– snaha roz lenit sí
sí tak, aby se
lokalizoval "mí
"místní
stní provoz" a
maximá
maximá ln využ
využil efekt vyhrazené
vyhrazené
p enosové
enosové kapacity
• aby byly optimalizová
optimalizovány toky v
síti
– nap . tzv. p epí
epínaný Ethernet
• Switched Ethernet
• využ
využívá se propojení
propojení pomocí
pomocí
p epí
epína
• v ideá
ideální
lním p ípad !!!!
!
#
Techniky pro zvýš
zvýšení
ení propustnosti:
segmentace
• princip:
Technologie
5
Techniky pro zvýš
zvýšení
ení propustnosti:
segmentace
• pozorová
pozorování:
– jeden souvislý segment (p edstavují
edstavující
sdí
sdílenou p enosovou kapacitu a kolizní
kolizní
domé
doménu) se rozd lí na dv ásti (dva
segmenty)
–
• bude se mé
mén využ
využívat "filtering
"filtering"" a
více "forwarding
"forwarding""
– pro realizaci sta í most (bridge
(bridge))
• hlavní
hlavní d raz je kladen na schopnost
filtrovat
– místo mostu (bridge
(bridge)) se musí
musí použ
použít
takové
takové za ízení
zení, které
které je na to lé
lépe
dimenzová
dimenzová no:
– zablokovat p enos dat do jiné
jiného segmentu
– proto sta í klasický most (bridge)
bridge)
most
– tím sou asn porostou ná
nároky na
p epojovací
epojovací kapacitu mostu
• místní
stní provoz v dí
díl ím segmentu není
není
ší en do ostatní
ostatních segment
• výkonnost cí
cílené
leného p edá
edávání
(forwardingu)
forwardingu) není
není tolik d lež
ležitá
itá!!
ím budou dí
díl í sdí
sdílené
lené segmenty
menší
menší,, tí
tím menší
menší bude "loká
"lokální
lní
provoz"
• a naopak tí
tím v tší bude provoz
mezi dí
díl ími segmenty
• p ípadn více segment
– využ
využívá se efektu lokalizace provozu
$
•
!
Technologie
5
!
– opakova e zachová
zachovávají
vají sdí
sdílený
charakter dostupné
dostupné p enosové
enosové kapacity
– mosty nezachová
nezachovávají
vají sdí
sdílený
charakter, snaž
snaží se alespo n jakou
ást p enosové
enosové kapacity vyhradit
– p epí
epína e (switche
(switche)) mohou dosahovat
pom rn vysoké
vysokého stupn „vyhrazení“
vyhrazení“
p enosové
enosové kapacity
– ….
•
rozhodová
ozhodová ní mezi opakova em a
mostem ( i switchem)
switchem) hodn zá visí
visí na
rozdí
rozdílu mezi sdí
sdílenou a vyhrazenou
p enosovou kapacitou
most
• p epí
epína (switch)
switch)
!
switch
%
Po íta ové sít II - Technologie,
© Ji í Peterka, MFF UK, 2005
verze 3.0, ást 3: internetworking – II.
http://www.earchiv.cz
1
Katedra softwarového inženýrství MFF UK
Malostranské nám stí 25, 118 00 Praha 1 - Malá Strana
Rozdí
Rozdíl most – p epí
epína
(bridge – switch)
switch)
Technologie
5
• p epí
epína (switch)
switch) je nov jší typ za ízení
zení
• neliší
neliší se:
– má více port než
než typický most
– principem fungová
fungová ní
• oba fungují
fungují na úrovni linkové
linkové vrstvy
• oba se rozhodují
rozhodují podle informací
informací
dostupných na linkové
linkové vrstv
– linkových adres a znalosti
bezprost ední
edního okolí
okolí
– má mén port pro p ipojení
ipojení díl ích
(sdí
(sdílených) segment
– není
není u n j d raz na výkonnost
• na rychlost prová
provád ní forwardingu
– jeho vnit ní fungová
fungování je asto ešeno
programovými prost edky
• p vodn byly switche ozna ová
ovány také
také
jako "multiportov
"multiportovéé bridge"
bridge"
– kaž
každý dí
díl í (sdí
(sdílený) segment bude
"obydlen" jen jední
jedním uzlem
– pak nebude existovat žádný loká
lokální
lní
provoz
– je optimalizová
optimalizová n na výkonnost a
celkovou propustnost
• nebude žádný filtering
– veš
veškerý provoz bude t eba cí
cílen
forwardovat do p ísluš
slušného cí
cílové
lového
segmentu
• pomocí
pomocí zákaznické
kaznického obvodu (ASIC), šité
itého na
míru dané
dané funkci
– p ináší
ináší efekt vyhrazené
vyhrazené p enosové
enosové
kapacity
• je stá
stále "plug
"plug--andand-play"
play"
• pokud je na n co optimalizová
optimalizován, pak na
jedn
jednoduchost
– v Ethernetu funguje na principu
samou ení
ení
• dosá
dosáhne se tak maximá
maximální
lního
mož
možného efektu vyhrazené
vyhrazené
p enosové
enosové kapacity
– ale klade to nejv tší nároky na
p epojovací
epojovací kapacitu p epí
epína e !!!
• i když
když kv li optimalizaci m že
že pracovat i
se statickou konfigurací
konfigurací
&
!
'
Mosty vs. p epí
epína e
Technologie
5
• jiné
iné vysv tlení
tlení rozdí
rozdílu mezi mosty
a p epí
epína i (v Ethernetu):
Ethernetu):
– mosty vznikly v dob , kdy
Ethernet použ
používal koaxiá
koaxiální
lní
kabely a m l skute n
sb rnicovou topologii
• tj. byl technologií
technologií se sdí
sdíleným
p enosovým mé
médiem
– pozd ji Ethernet p ešel na použ
použití
ití
kroucené
kroucené dvoulinky,
dvoulinky, která
která není
není
sdí
sdíleným mé
médiem
• v tom, kolik uzl je mož
možné
p ipojit ke kaž
každému segmentu
(portu)
• topologie se ze sb rnicové
rnicové zm nila na
stromovitou !!
• ale Ethernet se k ní
ní stá
stále choval jako
kdyby m la charakter sdí
sdílené
leného mé
média
– kolik MAC adres si p epí
epína
zvlá
zvládne pamatovat na kaž
každém
segmentu (portu)
• p epí
epína (switch)
switch) je vlastn ešení
ením,
které
které naplno využ
využívá mož
možností
ností
stromovité
é
topologie
stromovit
• mosty se snaž
snažily ud lat maximum
• 1 uzel na segment = ideá
ideální
lní
stav (mikrosegmentace
(mikrosegmentace))
• více uzl na segment = mé
mén než
než- ideá
ideální
lní stav
sdílená kapacita
– zrodil se tzv. "p epí
epínaný Ethernet"
• v celkové
celkové p epojovací
epojovací kapacit
– zda posta uje pro ideá
ideá lní
lní stav
• v rež
režimu fungová
fungování
– store&
store&forward p epí
epína
• p epí
epína nejprve na te celý rá
rámec a
ulož
uloží jej do své
svého bufferu (store),
store), pak
se rozhodne co s ní
ním a event.
event. ho p edá
edá
dál (forward
(forward))
• má v tší pr chozí
chozí zpož
zpožd ní
– cutcut-through p epí
epína
• p epí
epína na eká
eká na na tení
tení r ámce ale
rozhodne se ihned po na tení
tení jeho
hlavi ky (a za ne rá
rámec p eposí
eposílat
okamž
okamžit dál)
• má menší
menší zpož
zpožd ní (tzv. latenci
latenci)
– po et je omezen kv li
efektivnosti
• Switched Ethernet
sdílená kapacita
V em se liší
liší p epí
epína e?
Technologie
5
– segmenty m ly typicky ví
více uzl
pro využ
využití
ití dostupné
dostupné kapacity
• segmenty s jední
jedním uzlem nem ly
smysl
Techniky pro zvýš
zvýšení
ení propustnosti:
mikrosegmentace
mikrosegmentace
• mikrosegmentaci si lze p edstavit
jako segmentaci dotaž
dotaženou do
dokonalosti:
• pro pot eby forwardingu
– jeho "p epojovací
epojovací stroj" (switching
(switching engine)
engine) je
typicky realizová
realizován v hardwaru
• oba zajiš
zajiš ují
ují filtering i forwarding
• most (bridge)
bridge) je starší
starší typ za ízení
zení
!
Technologie
5
vyhrazená kapacita
• kv li velikosti forwardovací
forwardovací
tabulky a slož
složitosti její
jejího
prohledá
prohledávání
=
?
!
(
!
Technologie
5
•
další
další techniky pro zvýš
zvýšení
ení propustnosti:
izolace server
mikrosegmentace nebývá
nebývá v praxi (vž
(vždy)
vhodným ešení
ením
–
porty p epí
epína jsou relativn drahé
drahé, nevyplatí
nevyplatí se
p ipojovat k nim jednotlivé
jednotlivé pracovní
pracovní stanice
•
•
izolovaný server
Technologie
5
ast jší ešení
ení:
–
–
•
tj. na principu mikrosegmentace,
mikrosegmentace, neboli jako 11uzlové
uzlové segmenty
mén zatí
zatížené
ené uzly se p ipojí
ipojí ke sdí
sdíleným
segment m
•
a teprve tyto sdí
sdílené
lené segmenty se jako celky p ipojují
ipojují
k port m switche
efekt "izolovaných server " lze dá
dále zvýš
zvýšit použ
použití
itím
p epí
epína s r znými rychlostmi na portech
–
–
–
•
nap . ethernetové
ethernetové switche 10/100 Mbps
izolované
izolované servery s velkou zá
zát ží
ží se p ipojují
ipojují na rychlejší
rychlejší
porty
pracovní
pracovní stanice (event
(event.. celé
celé sdí
sdílené
lené segmenty) se p ipojují
ipojují
na pomalejší
pomalejší porty
p ipadá
ipadá to v úvahu jen u p epí
epína
na principu store&forward
store&forward
–
!
""
opakova by
byl lepší
• v p ípad že se vyhrazená
vyhrazená
kapacita nem že
že uplatnit
sdílený
segment
sdílený
segment
• nap íklad pokud veš
veškerý provoz
sm uje z/do jednoho segmentu
– nap íklad když
když jde o pracovní
pracovní
stanice, které
které nekomunikují
nekomunikují mezi
sebou ale pouze se serverem
– pak je výhodn jší opakova
(switch ) fungují
fungujících
• kv li cen i latenci
nikoli cutcut-through
•
vs. p epí
epína
– vyhrazená
vyhrazená kapacita nemusí
nemusí
být výhodn jší oproti
sdí
sdílené
lené
nejví
nejvíce zatí
zatížené
ené uzly se p ipojí
ipojí p ímo k port m
switche
•
Použ
Použití
ití opakova
• p epí
epína e nejsou
univerzá
univerzáln výhodn jší
oproti opakova m
izolovaný server
které
které ani nevyuž
nevyužijí
ijí dostupnou p enosovou kapacitu
?
"
ty musí
musí mít vš
všechny porty stejn rychlé
rychlé
!
"
Po íta ové sít II - Technologie,
© Ji í Peterka, MFF UK, 2005
verze 3.0, ást 3: internetworking – II.
http://www.earchiv.cz
2
Katedra softwarového inženýrství MFF UK
Malostranské nám stí 25, 118 00 Praha 1 - Malá Strana
Nevýhody most /p epí
epína
Technologie
5
•
musí
musí zkoumat obsah vš
všech rá
rámc
–
•
a ne pouze rá
rámc které
které mu jsou adresová
adresovány p ímo
•
což
což nejsou žádné
dné, když
když jsou mosty/p epí
epína e
transparentní
transparentní
•
viz promiskuitní
promiskuitní rež
režim fungová
fungování
•
nepodporují
nepodporují redundantní
redundantní cesty (cykly)
•
propojení
ropojení m pomocí
pomocí p epí
epína e (obecn na linkové
linkové úrovni)
vzniká
vzniká tzv. “ plochá
plochá sí
–
–
musí
musí ší it vš
všesm rové
rové vysí
vysílání
p ipomenutí
ipomenutí: co je propojeno na úrovni linkové
linkové
vrstvy, tvo í tzv. broadcast domé
doménu
–
problé
problém: mnohé
mnohé služ
služby využ
využívají
vají broadcast ke své
svému
fungová
fungování
•
•
nap . pro hledá
hledání server , pro p eklad IP adres na
linkové
linkové atd.
•
• je to stav, kdy si p epí
epína e (event
(event.. mosty)
nekontrolovaným zp sobem vzá
vzájemn
posí
posílají
lají rámce, které
které p íjemce dá
dále ší í do
všech sm r (jako broadcast),
broadcast), a tyto rá
rámce
se nezastavují
nezastavují ale lavinovit ší í dál a dá
dál
…
dokonce to vadí
vadí jejich ádné
dnému fungová
fungování
z hlediska sí
sí ové
ové vrstvy a sí
sí ových adres (nap . IP adres) je to
jedna sí
sí
•
musíí propagovat vš
mus
všesm rov
rovéé vys
vysíílání do vš
všech svých ást
stíí
•
nebezpe í tzv. broadcast storms (laviny, zp soben
sobenéé chybným
všesm rovým vysí
vysíláním)
•
mohou být problé
problémy s p id lov
lovááním adres (nap . IP adres)
–
–
kteréé je u dneš
kter
dnešních aplikací
aplikací dosti b žžnné
– jde o et zovou reakci
– asto eskaluje až do zahlcení
zahlcení dostupné
dostupné
kapacity
neumož
eumož ují
ují aplikovat p ístupová
stupová omezení
omezení, ochranu ….
–
informace souvisejí
související s p ístupovými prá
právy a ochranou jsou
typicky vztaž
vztaženy až
až k sí
sí ové
ové vrstv
–
postavení
postavení všech uzl (z hlediska p ístupových prá
práv) je identické
identické
• typické
typické p í iny:
– chyba jednoho i ví
více za ízení
zení
– neoš
neošet ený cyklus na úrovni linkové
linkové vrstvy
fungují
fungují na principu "forward
"forward--ifif- notnot-local"
local"
•
–
forwardují
forwardují kdykoli n jaký rá
rámec není
není loká
lokální
lní
–
nezkoumají
nezkoumají zda p íjemce existuje
–
mohou forwardovat zbyte n
• obrana:
– dokonalejší
dokonalejší p epí
epína e
• umí
umí ešit cykly, …..
– menší
menší "p epí
epínané
nané" celky
n které
které situace vyž
vyžadují
adují „odd lení“
lení“ na úrovni
sí ové
ové vrstvy
–
!
• odd lení
ch ástí
lení menší
menších
stí pomocí
pomocí sm rova
sm rova e pracují na obráceném
principu: sm rují dál jen když v dí kam
nap . p ipojení
ipojení k Internetu
"
!
P íklad z praxe
Technologie
5
•
"#
– soustavy segment propojené
propojené pomocí
pomocí
most /p epí
epína by nem ly být p íliš
liš
velké
velké!
• jinak se p íliš
liš projeví
projeví jejich zá
záporné
porné
vlastnosti
• 1x za … let
rozpor!
ešení
ení peeringu v rá
rámci NIXNIX-u:
– jedna "broadcast
"broadcast domé
doména", vš
vše propojeno
jen pomocí
pomocí p epí
epína
– pro dosaž
dosažení
ení co nejvyšší
nejvyšší (vyhrazené
(vyhrazené)
p enosové
enosové kapacity je tendence d lat
soustavy propojené
propojené p epí
epína i co nejv tší
• tj. na úrovni linkové
linkové vrstvy
– dnes:
dnes:
• celkem 4 lokality,
lokality, p ímé propojení
propojení na
úrovni linkové
linkové vrstvy
• v kaž
každé lokalit jen p epí
epínaný segment
NIX2: Želivského
NIX3: KCP
"$
!
Technologie
5
• ale velikost t chto sí
sítí by nem la
p ekra ovat ur ité
ité meze
– kv li broadcastingbroadcasting-u, adresá
adresám,
p ístupovým prá
práv m,
managementu atd.
– navzá
avzá jem se tyto sí
sít propojují
propojují na
úrovni sí
sí ové
ové vrstvy, tj. pomocí
pomocí
sm rova
• nebo se prost ednictví
ednictvím sm rova
p ipojují
ipojují na pá
páte ní sít
ešení:
ešení:odd
odd lit
litpomocí
pomocísm
sm rova
rova
NIX4: Sitel
!
– p epí
epína e se použ
používají
vají „uvnit “
loká
lokální
lních sí
sítí, pro zvýš
zvýšení
ení jejich
pr chodnosti
jakou volit
velikost?
NIX1: Žižkov
1 Gbps
• obvyklé
obvyklé ešení
ení:
• celkový d sledek:
– d vodem byla (z ejm ) zá
závada na jednom
z p epí
epína
– významná
významná ást CZ Internetu byla na
ur itou domu bez peeringu
– ob as se to stá
stává i v jiných peeringových
st ediscí
ediscích
10 Gbps
D sledek
Technologie
5
NIX.CZ zaž
zažil broadcast storm 11.5.2004
•
Co je "broadcast
"broadcast storm"?
storm"?
Technologie
5
Techniky pro zvýš
zvýšení
ení propustnosti:
hierarchické
hierarchické len ní
"%
Technologie
5
P edstava typické
typického ešení
ení
• snaha:
– rozd lit celou soustavu segment na sí
sít
(uvnit propojené
propojené pomocí
pomocí p epí
epína ), a
ty propojit sm rova i, tak aby:
sí
(páte ní) sí
sí
• maximum provozu bylo loká
lokální
lní
– a využ
využívalo vyhrazenou kapacitu
poskytovanou p epí
epína i
20%
• pozorová
pozorování: pravidlo 80:20
– v klasických sí
sítích LAN má
má cca 80
procent provozu mí
místní
stní charakter
• a m že
že z stat v dané
dané síti
– a cca 20 procent provozu je "vn jší"
ší" a
vede z dané
dané sít ven do jiné
jiné
sm rova
sm rova
• minimum provozu vedlo mimo danou
sí a prochá
procházelo p es sm rova
80%
sí
sí
• dnes již
již toto pravidlo mnohdy neplatí
neplatí!!!
do Internetu ??
– nap íklad kv li použ
používání vzdá
vzdálených
aplikací
aplikací ("hostovaných" aplikací
aplikací)
– kv li použ
ž
í
v
á
n
í
Internetu
pou
!
"&
!
"'
Po íta ové sít II - Technologie,
© Ji í Peterka, MFF UK, 2005
verze 3.0, ást 3: internetworking – II.
http://www.earchiv.cz
3
Katedra softwarového inženýrství MFF UK
Malostranské nám stí 25, 118 00 Praha 1 - Malá Strana
Shrnutí
Shrnutí („klasické
klasického“
ho“) ešení
ení
Technologie
5
• Myš
Myšlenka virtuá
virtuální
lních sí
sítí LAN
• jednotlivé
ednotlivé sít by m ly
(VLAN):
odpoví
odpovídat pracovní
pracovním skupiná
skupinám
• celá
elá soustava uzl se rozd lí na takové
takové celky,
které
které jsou:
– "vhodn velké
velké"
• ale:
• nap íklad pracovní
pracovníci jednoho odd lení
lení ve firm
apod.
– rozd lení
lení do jednotlivých sí
sítí je
také
také ovlivn no fyzickými
dispozicemi
– komunikují
komunikují co mož
možná nejví
nejvíce mezi sebou
• základem bylo pravidlo 80:20, dnes ale již
již
(tolik) neplatí
neplatí !!!!
vyšší patro
• vzdá
vzdáleností
leností, umí
umíst ním
• tyto celky se stanou samostatnými sí
sít mi
– fyzické
fyzické dispozice nemusí
nemusí
korespondovat s „logickými“
logickými“
– uvnit jsou propojeny na úrovni linkové
linkové vrstvy
a event.
event. opakova
– ud lat to tak, aby za len ní
jednotlivých uzl do konkré
konkrétní
tních sí
sítí
mohlo být nezá
nezávislé
vislé na jejich
fyzické
fyzickém umí
umíst ní
– které
které mají
mají spole né zájmy,
chová
chování (i data)
• neexistuje na to jednozna ný "mustr"
– homogenní
homogenní z hlediska p ístupových prá
práv
• pomocí
pomocí p epí
epína
Odbo ení
ení: virtuá
virtuální
lní sít LAN
Technologie
5
(hub(hub- y)
• nap íklad s p ísluš
slušností
ností k ur ité
ité
skupin , která
která by m la mí
mít stejná
stejná
p ístupová
stupová prá
práva
– mezi sebou jsou propojeny na úrovni sí
sí ové
ové
vrstvy
• pomocí
pomocí sm rova
– platí
platí i pro p ipojení
ipojení "ven"
!
"(
p ízemí
!
P edstava sí
sít VLAN
Technologie
5
sí
virtuální
virtuálnísísí
LAN
LAN
sí
Technologie
5
VLAN1
VLAN3
VLAN2
VLAN4
•
sm rova
Jak jsou sí
sít VLAN implementová
implementovány?
•
standard IEEE 802.1Q definuje fungová
fungová ní
sítí VLAN
– preferuje ná
nálepky (frame
(frame tagging)
tagging)
– kaž
každý rá
rámec je ve své
své VLAN opat en
nálepkou
sít VLAN musí
musí být "rozpozná
"rozpozná vány" již
již na
úrovni linkové
linkové vrstvy, v p epí
epína ích !!
• zpracová
zpracování podle ná
nálepky má
má p ednost p es
ostatní
ostatním zpracová
zpracováním
– filtrová
filtrování, forwarding,
forwarding, ší ení
ení broadcastu atd.
– p epí
et
epína musí
musí nap . v d t, kam má
má p enáš
enášet
•
broadcast a kam už
už nikoli
mož
možnosti implementace VLAN
– "port VLAN"
• podle sí
sítí VLAN
•
• p ísluš
slušnost do konkré
konkrétní
tní VLAN je dá
dána
portem na p epí
epína i
jak p epí
epína e rozpozná
rozpozná vají
vají, pro kterou
VLAN je ur en konkré
konkrétní
tní rámec?
– všechny uzly, p ipojené
ipojené k dané
danému portu,
jsou ve stejné
stejné VLAN
– "individuá
"individuáln ", podle linkové
linkové adresy nebo
typu obsahu z L3
– "podle ná
nálepky"
sí
– "static VLAN"
• p ísluš
slušnost do konkré
konkrétní
tní VLAN je dá
dána
kombinací
kombinací portu, linkové
linkové (MAC) adresy a
sí ové
ového protokolu,
• p ísluš
slušnost do VLAN je na p epí
epína ích
pevn (staticky) nastavena
• tzv. tagging,
tagging, linkový rá
rámec je opat en
nálepkou ur ují
ující VLAN
MAC adresa
p íjemce
MAC adresa
odesilatele
typ/délka
– "dynamic VLAN"
• p ísluš
slušnost do VLAN je nezá
nezávislá
vislá na portu
• je dá
dána linkovou adresou a sí
sí ovým
protokolem
ethernetový rámec
!
802.1Q tag
samostatná
samostatnábroadcast
broadcastdoména
doména
"
Technologie
5
!
Jak jsou sí
sít VLAN implementová
implementovány?
•
nálepka (tag)
sít VLAN mohou být "p eklenuty"
p es ví
více p epí
epína
Technologie
5
•
– uzly, spadají
spadající do stejné
stejné VLAN,
mohou být fyzicky p ipojeny k
r zným sí
sítím VLAN
•
•
v tšina sí
sí ových karet (NICs
(NICs)) nepodporuje
VLAN ani ná
ná lepky
– nálepky p idá
idává a odebí
odebírá "první
"první", resp.
"poslední
"poslední" p epí
epína na cest mezi dv ma uzly
– pro koncové
koncové uzly je existence VLAN neviditelná
neviditelná
•
formá
formát "ná
"nálepky" (tag
(tag--u):
– Tag Protocol Identifier
• 0x8100 pro Ethernet
!
16 bit
3 1
Tag Protocol
Identifier
User
Priority
CFI
– VLAN ID: 4096 r zných VLAN
12 bit
VLAN ID
p epí
epína e pot ebují
ebují mít k dispozici
mechanismy, kterými se budou
vzá
vzájemn informovat o existenci
VLAN, p ísluš
slušnosti uzl do VLA
atd.
v praxi je žá doucí
doucí, aby za len ní
jednotlivých po íta do
konkré
konkrétní
tních sí
sítí bylo velmi pruž
pružné
•
•
•
• GARP VLAN Registration
Protocol
• p enáší
enáší informace o existenci sí
sítí
VLAN
!
• jde vlastn jen o rozdí
rozdíl v SW, zda umí
umí
p epojovat i na sí
sí ové
ové vrstv
virtuá
virtuální
lní sít LAN tuto pruž
pružnost
nabí
nabízí
•
– ale jsou velmi drahé
drahé
– mož
možná i zbyte n univerzá
univerzální
lní
– jsou ešení
ením na úrovni linkové
linkové
vrstvy
•
schopnost sm rová
rová ní se tak dostá
dostá vá do
všech propojovací
propojovacích uzl
výhoda distribuované
distribuovaného sm rová
rová ní:
•
nevýhoda:
existují
existují i alternativní
alternativní ešení
ení
– distribuované
distribuované sm rová
rování
– route servery
– GVRP
základní
kladní myš
myšlenka: použ
použijí
ijí se za ízení
zení,
která
která v sob kombinují
kombinují funkci mostu i
sm rova e
– tzv. multilayer switch
– aby bylo pouze logickou
zálež
ležitostí
itostí, neovlivn nou
fyzickými faktory
– definová
definováno v IEEE 802.1P
– GARP
• Generic Attribute Registration
Protocol
• p enáší
enáší informace o p ísluš
slušnosti k
s ítím
Alternativa k VLAN:
distribuované
distribuované sm rová
rování
– je v tší volnost v rozd lová
lování uzl do
jednotlivých sí
sítí (ale ne úplná
plná)
– velmi vzr stají
stají nároky na konfiguraci,
sprá
správu a management sm rovací
rovacích
informací
informací
#
Po íta ové sít II - Technologie,
© Ji í Peterka, MFF UK, 2005
verze 3.0, ást 3: internetworking – II.
http://www.earchiv.cz
4
Katedra softwarového inženýrství MFF UK
Malostranské nám stí 25, 118 00 Praha 1 - Malá Strana
Technologie
5
P edstava distribuované
distribuovaného sm rová
rování
každé ze za ízení typu
"multilayer switch"
se podle pot eby chová jako
p epína i sm rova
sí
sí
Route servery
Technologie
5
•
• hlavní
lavním problé
problémem
distribuované
distribuovaného sm rová
rování je
slož
složitost
– to, že se sm rovací
rovací informace
vyskytují
vyskytují na mnoha mí
místech
• naví
navíc ve zna n „rozm ln né“
podob
bude existovat jeden centrá
centrální
lní route
server
– disponují
disponující pot ebnými
informacemi pro sm rovací
rovací
rozhodnutí
rozhodnutí
•
v „okrají
okrajích“
ch“ sít budou „ okrajové“
okrajové“
p epí
epína e
– edge switch
– které
které když
když narazí
narazí na pot ebu
sm rová
rování, zeptají
zeptají se centrá
centrální
lního
route serveru jak to mají
mají ud lat
!!!!!
• myš
myšlenka route server :
– soust edit sm rovací
rovací informace
do jednoho mí
místa
• kde se budou lé
lépe spravovat
sí
multilayer
multilayerswitch
switch
!
$
!
Technologie
5
P edstava route server
%
Technologie
5
sí
sí
Layer 3 Switching
• pravidlo 80:20 dnes již
již (tak úpln )
neplatí
neplatí
•
– zejmé
zejména kv li internetovým služ
službá m,
kv li ASP služ
službá m
– podstatn více provozu sm ruje ven z
dané
dané sít a prochá
prochází skrz sm rova
•
– nelze již
již sestavovat sí
sít tak, aby
v tšina provozu z stala loká
lokální
lní
kdykoli si "edge
switch" neví rady,
zeptá se route
serveru
• d sledek: p es sm rova e prochá
prochází
podstatn více provozu
– a na sm rova e jsou tudí
tudíž kladeny
zvýš
zvýšené
ené nároky na propustnost, latenci
atd.
sí
• v zá
zásad stejné
stejné nároky jako na switche
ešení
ení: Layer 3 Switch
– za ízení
zení, které
které funguje jako klasický
sm rova na 3. vrstv
– ale je optimalizová
optimalizováno na rychlost a doká
dokáže
fungovat srovnateln rychle jako p epí
epína
(switch)
switch)
podstata L3 switchingu
– základní
kladní logika fungová
fungování z stá
stává stejná
stejná
jako u sm rova
• nebo je trochu zjednoduš
zjednodušena
• za ízení
zení se rozhoduje podle sí
sí ových adres
– rozhodová
rozhodování je kv li rychlosti
"zadrá
"zadrátová
továno"
• realizová
realizováno v HW
– i ostatní
ostatní parametry jsou voleny s ohledem
na rychlost a výkonnost
edge
edgeswitch
switch
!
&
!
Technologie
5
Content switching
• sm rová
rování na zá
základ informací
informací
dostupných na úrovni 3. vrstvy nemusí
nemusí být
posta ují
í
c
í
uj
•
– nap íklad p i snaze poskytnout r zným
služ
službá m r zné
zné zpracová
zpracová ní
• p íklad:
– na zatí
zatížené
ené lince se p enáší
enáší poš
pošta a WWW
strá
stránky. Sm rova by cht l dá
dát p ednost
p enosu WWW strá
stránek (poš
(pošta m že
že
po kat)
– problé
problém: sm rova nepozná
nepozná, která
která data
pat í které
které služ
služb
'
Technologie
5
p íklad:
Layer 4 Switching
• mož
možné ešení
ení:
– existuje redundantní
redundantní
spojení
spojení, sm rova se snaž
snaží
rozklá
rozkládat provoz mezi
alternativní
alternativní cesty podle typu
pož
požadavku
– dát p epojovací
epojovacímu uzlu schopnost
pracovat s údaji které
které pat í na 4. vrstvu
• tj. rozpozná
rozpoznávat ísla port
• sou asn se ídí i informacemi z
niž
nižších
ších vrstev – nap íklad sí
sí ovými
adresami
• nap . p enosy zvuku a
obrazu po jedné
jedné cest , vš
vše
ostatní
ostatní po jiné
jiné cest
– takovýto propojovací
propojovací uzel pak doká
dokáže
rozpoznat o jaký druh služ
služby se jedná
jedná
– op t problé
problém: klasický
sm rova nepozná
nepozná, o kterou
služ
službu se jedná
jedná
• WWW, el. poš
pošta, p enos soubor atd.
• takovýto p epojovací
epojovací uzel bývá
bývá
optimalizová
optimalizován na rychlost
– proto se o n m hovo í jako o "Layer
"Layer 4
Switch"
Switch"
• nepozná
nepozná to z ú daj na 3. vrstv
• další
další mož
možné využ
využití
ití L4
Switche:
Switche: Load Balancing
– podle charakteru
pož
požadavku jej sm ruje
r zným zp sobem,
nap íklad na jeden ze
vzá
vzájemn alternativní
alternativních
server které
které nabí
nabízí
stejnou služ
službu
• a sá
sám mezi nimi vybí
vybírá
nap íklad na zá
základ
jejich vytí
vytížení
ení
ešení:
ešení:nechat
nechatsm
sm rova
rova , ,aby
abyse
sepodíval
podívalii
na
naúdaje
údajepat
pat ící
ícívyšším
vyššímvrstvám
vrstvám
!
(
!
Po íta ové sít II - Technologie,
© Ji í Peterka, MFF UK, 2005
verze 3.0, ást 3: internetworking – II.
http://www.earchiv.cz
5
Katedra softwarového inženýrství MFF UK
Malostranské nám stí 25, 118 00 Praha 1 - Malá Strana
P edstava load balancingu
Technologie
5
celý
celýsystém
systémreplikovaných
replikovaných
server
server se
sechová
chovájako
jako
jediný
jedinýlogický
logickýserver
server
WWW
klient
•
• Layer 4 Switching nemusí
nemusí být
posta ují
ující pro korektní
korektní Load Balancing
– ani pro další
další ú ely
• nap íklad Load Balancing pro WWW by
m l respektovat pr b h relace mezi
klientem a serverem
Layer 4
switch
WWW
klient
Layer 7 Switching
Technologie
5
– nap . HTTP 1.1 relace
– SSL relace
– ….
Internet, intranet,
…..
ešení
ení: Layer 7 Switching
– p epojovací
epojovací uzel bude moci vychá
vycházet
i z informací
informací dostupných na
aplika ní vrstv a podle nich volit
svá
svá rozhodnutí
rozhodnutí
• bude rozum t aplikací
aplikacím a jejich
dat m – nap íklad pož
požadavk m na
WWW
•
umož
umož uje to nap íklad realizovat
farmy WWW server , r zné
zné clustery,
ešení
ení pro distribuci obsahu
– CDN, Content Distribution Network
• podobn p i snaze distribuovat obsah
mezi r zné
zné servery
– je t eba podrobn ji rozum t pož
požadavku,
který má
má být n kam nasm rová
rová n
L4 Switch rozkládá
požadavky mezi identické
WWW servery
!
"
!
Technologie
5
Propojová
Propojování r zných sí
sí ových segment
• otá
otázka:
Technologie
5
• odpov :
– pomocí
pomocí opakova :
– je mož
možné propojit mezi sebou
takové
takové segmenty (sí
(sít ), které
které
použ
používají
vají r zné
zné p enosové
enosové
technologie na úrovni linkové
linkové
vrstvy?
rozhodnutí
• nelze
– nap . kv li r zným
p enosovým rychlostem
(ale i kv li další
m
dalším
odliš
odlišnostem)
o dalším sm ru
– pomocí
pomocí most /p epí
epína :
• nap . Ethernet, Token Ring,
FDDI, ATM, ….
propojení
propojení r zných segment pomocí
pomocí
sm rova
sí ový
paket
• n kdy ano, n kdy ne
– je to komplikované
komplikované
T.R.
T.R.rámec
rámec
– pomocí
pomocí sm rova :
• ano,
– jde o standardní
standardní ešení
ení
!
Technologie
5
•
•
Eth.
Eth.rámec
rámec
!
Problé
Problémy p i propojová
propojování r zných
segment pomocí
pomocí most /p epí
epína
p íklad: Ethernet a Token Ring
problé
problémy jsou:
• Ethernet p ipouš
ipouští max. 1500 byt ,
Token Ring 4000 až
až 17800 byt
– …..
• umož
umož uje ešit situace, kdy ur itá
itá ást sí
sít není
není pr chodná
chodná
pro ur itý druh provozu
• nap íklad p i propojení
propojení EthernetEthernet-Token Ring
se Token Ringu omezí
omezí velikost rá
rámce na
maximum z Ethernetu
– v neexistenci ekvivalent
– v rozdí
rozdílné
lné max. velikosti rá
rámc
– nejsou k dispozici mechanismy pro ešení
ení
fragmentace
•
„zapouzd ení“
ení“,, "tunelová
"tunelování"
– angl:
angl: encapsulation,
encapsulation, tunnelling
– rámec jednoho typu se vlož
vloží (jako data) do
rámce jiné
jiného typu, p enese, a op tn
„vybalí“
vybalí“
sí není pr chozí pro ur itý druh
paket /rámc
• lze použ
použít jen pro „pr chozí“
chozí“ konfigurace
• m že
že to být neefektivní
neefektivní
!
$
Zapouzd ová
ování (encapsulation)
encapsulation)
– musí
musí se p ijmout n která
která omezení
omezení
• status rá
rámce, adresy a zabezpe ení
ení
jsou vyjá
vyjád eny jinak
• nap . v Token RingRing-u mohou mí
mít
n které
které rámce vyšší
vyšší prioritu, v
Ethernetu neexistuje analogie
– ale na to sí
sí ové
ové protokoly
pamatují
pamatují
– lze vklá
vkládat rá
rámce do rá
rámc , rá
rámce do paket , pakety do paket …
– dokonce i bu ky do rá
rámc (cells over frames)
frames)
• ne vž
vždy je to mož
možné, nap . kv li velikosti
• m že
že se tí
tím n co ztratit (nap . priorita)
– v r zné
zném zp sobu vyjá
vyjád ení
ení
stejných informací
informací
• nap . tzv. fragmentace
• když
když se paket nevejde do max.
velké
velkého linkové
linkového rá
rámce a musí
musí
být sá
sám rozd len
• jde o obecn použ
použitelnou techniku, lze ji aplikovat na
r zných úrovní
rovních
– angl:
angl: translation
– data obsaž
obsažená
ená v rá
rámci jednoho typu se
„p elož
eloží“ do jiné
jiného tvaru (odpoví
(odpovídají
dajícího
jiné
jinému typu rá
rámce)
• Ethernetový most chce zná
znát adresy
sousední
sousedních uzl , Token RingRing-ový
most chce zná
znát cesty v sí
síti
– sí ový paket je vybalen z jednoho
typu linkové
linkového rá
rá mce a vlož
vložen do
jiné
jiného typu linkové
linkového rá
rámce
– mohou ale vznikat problé
problémy
"kvantitativní
"kvantitativní"
#
Technologie
5
mož
možné ešení
ení:
• „p eklad“
eklad“
– v rozdí
rozdílné
lné povaze informací
informací o
topologii
sí ový
paket
• p i propojení
propojení r zných segment na
úrovni sí
sí ové
ové vrstvy nevznikají
nevznikají
"kvalitativní
"kvalitativní" problé
problémy
!
%
rámce/pakety, které samy sítí neprojdou,
jsou vloženy (zapouzd eny) do takových
rámc /paket , pro které je sí pr chozí
Po íta ové sít II - Technologie,
© Ji í Peterka, MFF UK, 2005
verze 3.0, ást 3: internetworking – II.
http://www.earchiv.cz
6
Katedra softwarového inženýrství MFF UK
Malostranské nám stí 25, 118 00 Praha 1 - Malá Strana
Technologie
5
•
P íklad (využ
(využití
ití techniky zapouzd ová
ování)
existují
existují takové
takové protokoly (soustavy
protokol , technologie), které
které nelze
sm rovat
•
ešení
ení:
– zapouzd ení
ení nesm rovatelných
protokol do jiných (sm
(sm rovatelných)
rovatelných)
protokol
– nej ast ji:
– proto, že neobsahují
neobsahují sí ovou vrstvu, resp.
nepo ítají
tají s její
její existencí
existencí, nemají
nemají sí ové
ové
adresy, neznají
neznají pojem sí
sít
– jejich auto i z ejm nepo ítali s mož
možností
ností
internetworkinginternetworking- u
• do IP paket (IP tunelová
tunelování, IP tunel)
• s tí
tím, že by dochá
docházelo k propojová
propojování
díl ích segment - vidí
vidí sv t jako jednu
„velkou a plochou“
plochou“ sí
•
jde o protokoly
– LAT (firmy DEC)
IP
IP
• už se skoro nepouž
nepoužívá
– NetBIOS
• stá
stále hojn použ
používané
vané, jsou „nativní
nativním“
sí ovým ešení
ením
•
tyto protokoly nemohou „projí
projít“ p es
sm rova
– ani multiprotokolový
– protož
protože ten neví
neví jak s nimi nalož
naložit
!
Jiné
Jiné ešení
ení:
brouter (bridging router) je kombinace sm rova e
a mostu
• když ví jak, chová se jako sm rova a sm ruje
• když neví jak (resp.když to nejde), chová se jako most
&
Po íta ové sít II - Technologie,
© Ji í Peterka, MFF UK, 2005
verze 3.0, ást 3: internetworking – II.
http://www.earchiv.cz
7