it_vse (519823), страница 21
Текст из файла (страница 21)
Такие коммутаторыполучили название коммутаторов третьего уровня. Функции коммутации и маршрутизации могут бытьсовмещены двумя способами:1) Классическим, когда маршрутизация выполняется по каждому пакету, требующему передачи из сети всеть, а коммутация выполняется для пакетов, принадлежащих одной сети.2) Методом маршрутизации потока, когда маршрутизируется несколько первых пакетов устойчивогопотока, а все остальные пакеты этого потока коммутируются.Коммутаторы 3-го уровня с классической маршрутизацией.Обычный коммутатор "прозрачен" для компьютеров сети, не имеет собственных MAC-адресов портов изахватывает все кадры, приходящие на порт, независимо от их адреса назначения, для последующейкоммутации.
Классический коммутатор 3-го уровня, подобно обычному коммутатору, захватывает всекадры своими портами независимо от их МАС-адресов, однако порты коммутатора 3-го уровня имеют исобственные MAC-адреса. Если захваченный кадр направлен на MAC-адрес какого-либо компьютера в сети,то пакет коммутируется. Если захваченный кадр направлен на MAC-адрес порта коммутатора, то пакетмаршрутизируется. Коммутатор 3-го уровня может поддерживать динамические протоколы маршрутизации,такие как RIP или OSPF, а может полагаться на статическое задание маршрутов или на получение таблицымаршрутизации от другого маршрутизатора.
Такие комбинированные устройства появились сразу послеразработки коммутаторов, поддерживающих виртуальные локальные сети (VLAN). Для связи VLANтребовался маршрутизатор. Размещение маршрутизатора в одном корпусе с коммутатором позволялополучить некоторый выигрыш в производительности.
Примерами таких коммутаторов могут служитьхорошо известные коммутаторы LANplex (теперь CoreBuilder) 6000 и 2500 компании 3Com.Коммутаторы 3-го уровня с маршрутизацией потоков.Еще один тип коммутаторов 3-го уровня — это коммутаторы, которые ускоряют процесс маршрутизации засчет выявления устойчивых потоков в сети и обработки по схеме маршрутизации только нескольких первыхпакетов потока.
Последующие пакеты обрабатываются по схеме коммутации. Многие фирмы разработалиподобные схемы, однако до сих пор они являются нестандартными, хотя работа над стандартизацией этогоподхода идет в рамках одной из рабочих групп IETF.Поток – это последовательность пакетов, имеющих некоторые общие свойства. По меньшей мере уних должны совпадать адрес отправителя и адрес получателя, и тогда их можно отправлять по одному итому же маршруту. Желательно, чтобы пакеты потока имели одно и то же требование к качеству обслуживания (QoS, Quality of Service), т.е. одинаковые требования к скорости передачи данных, задержках впередаче пакетов, доле потерь пакетов и т.п.
Приведем пример использования потоков для ускорениямаршрутизации.Рис. Маршрутизация потока пакетовСоставитель: Ляхевич А.Г., 2000 - 2002 годЕсли бы все коммутаторы 3-го уровня, изображенные на рис. , работали по классической схеме, то каждыйпакет, отправляемый из рабочей станции, принадлежащей одной IP-сети, серверу, принадлежащему другойIP-сети, проходил бы через блоки маршрутизации всех трех коммутаторов. В схеме ускоренной маршрутизации такую обработку проходит только несколько первых пакетов долговременного потока, то есть классическая схема работает до тех пор, пока долговременный поток не будет выявлен.
После этого первый коммутатор на пути следования потока выполняет нестандартную обработку пакета — он помещает в кадрканального протокола (например Ethernet) не МАС-адрес порта следующего маршрутизатора, а МАС-адресузла назначения, который на рисунке обозначен как МАСК. Как только эта замена произведена, кадр с такимМАС-адресом перестает поступать на блоки маршрутизации второго и третьего коммутатора, а проходиттолько через блоки коммутации этих устройств. Процесс передачи пакетов действительно ускоряется, таккак они не проходят многократно повторяющиеся этапы маршрутизации. В то же время защитные свойствамаршрутизаторы сохраняют, так как первые пакеты проверяются на допустимость передачи в сеть назначения, поэтому сохраняются фильтрация широковещательного шторма, защита от несанкционированного доступа и другие преимущества сети, разделенной на подсети.Для реализации описанной схемы нужно решить несколько проблем.
Первая – на основании какихпризнаков определяется долговременный поток. Это достаточно легкая проблема, и основные подходы к еерешению очевидны – совпадение адресов и портов соединения, общие признаки качества обслуживания,некоторый порог одинаковых пакетов для фиксации долговременности. Вторая проблема более серьезная.На основании какой информации первый коммутатор узнает МАС-адрес узла назначения? Этот узел непосредственно не подключен к сети первого коммутатора, поэтому использование протокола ARP здесь непоможет. Именно здесь расходятся пути большинства фирменных технологий ускоренной маршрутизации.Многие компании разработали собственные служебные протоколы, с помощью которых коммутаторызапрашивают этот МАС-адрес друг у друга, пока последний на пути коммутатор не выяснит его в своейсети, с помощью протокола ARP. Фирменные протоколы используют как распределенный подход, когда всекоммутаторы равны в решении проблемы нахождения МАС-адреса, так и централизованный, когда в сетисуществует выделенный коммутатор, который помогает ее решить для всех.Примерами коммутаторов 3-го уровня, работающими по схеме маршрутизации потоков, являютсякоммутаторы SmartSwitch компании Cabletron, а также коммутатор Catalyst 5000 компании Cisco,выполняющий свои функции совместно с маршрутизаторами Cisco 7500 по технологии Cisco NetFlow.3.7.
Шлюз (gateway), межсетевой экран (firewall), прокси-сервер, NAT.Термин "шлюз" и термин "маршрутизатор" во многом схожи, но шлюз является более общим термином(всякий маршрутизатор является шлюзом). Шлюзом называется любое сетевое устройство, которое одновременно подключено к нескольким сетям при помощи нескольких сетевых интерфейсов, имеет в каждойсети свой адрес сетевого уровня и занимается продвижением пакетов между этими сетями.
Например,шлюзом является компьютер одна сетевая карта которого подключена к сети 192.168.28.10.0 и имеет там IPадрес 192.168.28.10.1, а другая сетевая карта подключена к сети 172.16.0.0 и имеет там IP-адрес 172.16.1.1.Шлюзом также будет являться и маршрутизатор. Даже обычный домашний компьютер, имеющий сетевуюкарту и модем можно рассматривать как шлюз, т.к. он имеет два интерфейса: один интерфейс – это интерфейс сетевой карты (локальной сети), IP-адрес которого может быть произвольным, а второй интерфейс –это интерфейс удаленного доступа (Internet), IP-адрес которого определяется провайдером, при подключении к нему по протоколу PPP.Шлюз выполняет функции маршрутизации и продвижения пакетов между интерфейсами. Шлюзытакже позволяют объединять разнородные (гетерогенные) сети, преобразуя, например, кадры Ethernet вкадры FDDI.
Шлюз также является средством обеспечения безопасности подсети. Если сегмент сетисоединен с остальной сетью через шлюз, то на шлюзе может быть установлен межсетевой экран (firewall,брандмауэр) – специальное программное обеспечение, которое контролирует как пакеты выходящие изданного сегмента, так и пакеты поступающие в данный сегмент. Межсетевой экран с фильтрацией пакетовуже был рассмотрен ранее (см.
маршрутизаторы). Путем написания специальных правил, можно ограничитьразрешенное взаимодействие между компьютерам сети и компьютерами сегмента. Правила имеют вид:"через шлюз допускается прохождение пакетов с IP-адресом отправителя 172.18.10.1 (порт 80) и IP-адресомполучателя 192.168.1.1 (порт 21), в четверг с 15.00 до 19.00". Пакеты, не удовлетворяющие правилам фильтрации отбрасываются, а факт их наличия регистрируется в специальном журнале. Поскольку сервисы всети связаны с определенными номерами портов, то закрыв входящие соединения на 23 порт, можно запретить извне управлять компьютерами сегмента по протоколу Telnet, а закрыв исходящие соединения на 80порт можно запретить сотрудникам отдела (сегмента) просматривать Web-страницы.Межсетевые экраны с фильтрацией пакетов просты, и в ряде случаев входят в состав самой операционной системы (например IPChains в OC Linux). Однако межсетевые экраны с фильтрацией пакетовимеют и ряд недостатков:- возможно задавать правила фильтрации по IP-адресам компьютеров, но не по имени пользователя.- подсеть "видна" (маршрутизируется) извне.- при выходе из строя межсетевого экрана подсеть становится незащищенной.Составитель: Ляхевич А.Г., 2000 - 2002 годДля преодоления этих недостатков, в качестве межсетевого экрана используют прокси-сервера (proxyserver).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
