Где хост-компьютер сопоставляет адрес ipv4 с адресом Ethernet уровня 2
Обновлено: 21.11.2024
Модель OSI описывает идеализированную сетевую связь с семейством протоколов. TCP/IP не соответствует этой модели напрямую. TCP/IP либо объединяет несколько уровней OSI в один, либо вообще не использует некоторые уровни. В следующей таблице показаны уровни реализации TCP/IP в Solaris. В таблице перечислены уровни от самого верхнего (приложение) до самого нижнего (физическая сеть).
Ссылка на OSI. № слоя
Эквивалент уровня OSI
Примеры протокола TCP/IP
Заявка, сессия, презентация
NFS, NIS+, DNS, telnet , ftp , rlogin , rsh , rcp , RIP, RDISC, SNMP и другие
Ethernet (IEEE 802.3) Token Ring, RS-232, другие
В таблице показаны уровни протокола TCP/IP. Также показаны эквиваленты модели OSI с примерами протоколов, доступных на каждом уровне стека протоколов TCP/IP. На каждом хосте, участвующем в транзакции связи, работает уникальная реализация стека протоколов.
Физический сетевой уровень
Физический сетевой уровень определяет характеристики оборудования, которое будет использоваться в сети. Например, физический сетевой уровень определяет физические характеристики среды связи. Физический уровень TCP/IP описывает аппаратные стандарты, такие как IEEE 802.3 (спецификация для сетевой среды Ethernet) и RS-232 (спецификация стандартных штыревых разъемов).
Уровень канала передачи данных
Уровень канала передачи данных определяет тип сетевого протокола пакета, в данном случае TCP/IP. Канальный уровень также обеспечивает контроль ошибок и «кадрирование». Примерами протоколов уровня канала передачи данных являются кадрирование Ethernet IEEE 802.2 и кадрирование протокола "точка-точка" (PPP).
Интернет-уровень
Этот уровень, также известный как сетевой уровень, принимает и доставляет пакеты по сети. Этот уровень включает в себя мощный Интернет-протокол (IP), протокол разрешения адресов (ARP) и протокол управляющих сообщений Интернета (ICMP).
IP-протокол
Протокол IP и связанные с ним протоколы маршрутизации, возможно, являются наиболее важными из всего пакета TCP/IP. ИП несет ответственность за следующее:
IP-адресация. Соглашения об IP-адресации являются частью протокола IP. Глава 3, Планирование сети TCP/IP (задача), подробно описывает адресацию IPv4, а Глава 14, IPv6 (Обзор), подробно описывает адресацию IPv6.
Коммуникации между хостами: IP определяет путь, по которому должен пройти пакет, на основе IP-адреса хоста-получателя.
Форматирование пакетов. Протокол IP собирает пакеты в блоки, известные как дейтаграммы IP. Дейтаграммы полностью описаны на уровне Интернета.
Фрагментация. Если пакет слишком велик для передачи по сети, IP-адрес отправляющего узла разбивает пакет на более мелкие фрагменты. Затем IP на принимающем узле восстанавливает фрагменты в исходный пакет.
Предыдущие выпуски операционной среды Solaris реализуют версию 4 Интернет-протокола, сокращенно IPv4. Однако из-за быстрого роста Интернета был создан новый Интернет-протокол. Новый протокол увеличивает адресное пространство. Эта новая версия, известная как версия 6, сокращенно обозначается как IPv6. Операционная среда Solaris поддерживает обе версии, описанные в этой книге. Чтобы избежать путаницы при обращении к Интернет-протоколу, используется одно из следующих соглашений:
Когда в описании используется термин IP, это описание относится как к IPv4, так и к IPv6.
Когда в описании используется термин IPv4, это описание относится только к IPv4.
Когда в описании используется термин IPv6, это описание относится только к IPv6.
Протокол ARP
Протокол разрешения адресов (ARP) концептуально существует между уровнем канала передачи данных и уровнем Интернета. ARP помогает IP направлять дейтаграммы на соответствующий хост-получатель, сопоставляя адреса Ethernet (длиной 48 бит) с известными IP-адресами (длиной 32 бита).
Протокол ICMP
Протокол управляющих сообщений Интернета (ICMP) обнаруживает сетевые ошибки и сообщает о них. ICMP сообщает о следующем:
Отброшенные пакеты — пакеты, поступающие слишком быстро, чтобы их можно было обработать
Ошибка подключения — узел назначения недоступен)
Перенаправление — перенаправление отправляющего хоста на использование другого маршрутизатора
Команда ping содержит дополнительную информацию о командах операционной системы, использующих ICMP для обнаружения ошибок.
Транспортный уровень
Протоколы транспортного уровня TCP/IP гарантируют, что пакеты будут поступать последовательно и без ошибок, путем обмена подтверждениями приема данных и повторной передачи потерянных пакетов. Этот тип связи известен как «сквозной». Протоколами транспортного уровня на этом уровне являются протокол управления передачей (TCP) и протокол пользовательских дейтаграмм (UDP).
Протокол TCP
TCP позволяет приложениям взаимодействовать друг с другом, как если бы они были связаны физической цепью. TCP отправляет данные в форме, которая выглядит как посимвольная передача, а не как отдельные пакеты. Эта передача состоит из начальной точки, которая открывает соединение, всей передачи в порядке байтов и конечной точки, которая закрывает соединение.
TCP добавляет заголовок к передаваемым данным. Этот заголовок содержит большое количество параметров, которые помогают процессам на машине-отправителе подключаться к одноранговым процессам на машине-получателе.
TCP подтверждает, что пакет достиг пункта назначения, устанавливая сквозное соединение между отправляющим и принимающим хостами. Поэтому TCP считается «надежным, ориентированным на соединение» протоколом.
Протокол UDP
UDP, другой протокол транспортного уровня, обеспечивает доставку дейтаграмм. UDP не проверяет соединения между принимающими и отправляющими хостами. Поскольку UDP устраняет процессы установления и проверки соединений, приложения, отправляющие небольшие объемы данных, используют UDP, а не TCP.
Прикладной уровень
Прикладной уровень определяет стандартные интернет-службы и сетевые приложения, которыми может пользоваться каждый. Эти службы работают с транспортным уровнем для отправки и получения данных. Существует множество протоколов прикладного уровня. В следующем списке приведены примеры протоколов прикладного уровня:
Стандартные службы TCP/IP, такие как команды ftp , tftp и telnet
Команды UNIX «r», такие как rlogin и rsh
Службы имен, такие как NIS+ и система доменных имен (DNS)
Файловые службы, такие как служба NFS
Простой протокол управления сетью (SNMP), обеспечивающий управление сетью
Протоколы маршрутизации RIP и RDISC
Стандартные службы TCP/IP
FTP и анонимный FTP. Протокол передачи файлов (FTP) передает файлы в удаленную сеть и из нее. Протокол включает в себя команду ftp (локальный компьютер) и демон in.ftpd (удаленный компьютер). FTP позволяет пользователю указать имя удаленного хоста и параметры команды передачи файлов в командной строке локального хоста. Затем демон in.ftpd на удаленном хосте обрабатывает запросы от локального хоста. В отличие от rcp, ftp работает, даже если на удаленном компьютере не установлена операционная система на базе UNIX. Пользователь должен войти на удаленный компьютер, чтобы установить FTP-подключение, если только удаленный компьютер не был настроен для разрешения анонимного FTP.
Теперь вы можете получать огромное количество материалов с анонимных FTP-серверов, подключенных к Интернету. Университеты и другие учреждения настраивают эти серверы, чтобы предлагать программное обеспечение, исследовательские работы и другую информацию в открытом доступе. Когда вы входите на этот тип сервера, вы используете имя для входа в систему анонимно, отсюда и термин «анонимные FTP-серверы».
Использование анонимного FTP и настройка анонимных FTP-серверов не рассматриваются в этом руководстве. Однако во многих книгах, таких как «Руководство пользователя и каталог для всего Интернета», подробно рассматривается анонимный FTP. Инструкции по использованию FTP для доступа к стандартным компьютерам приведены в Руководстве системного администратора: Управление ресурсами и сетевые службы. Страница руководства ftp(1) описывает все параметры команды ftp, которые вызываются через интерпретатор команд. Страница руководства ftpd(1M) описывает службы, предоставляемые демоном в файле.ftpd .
Telnet. Протокол Telnet позволяет терминалам и процессам, ориентированным на терминалы, взаимодействовать в сети, использующей протокол TCP/IP. Этот протокол реализован в виде программы telnet (на локальных машинах) и демона in.telnetd (на удаленных машинах). Telnet предоставляет пользовательский интерфейс, через который два хоста могут взаимодействовать посимвольно или построчно. Приложение включает в себя набор команд, которые полностью задокументированы на справочной странице telnet(1).
TFTP — Упрощенный протокол передачи файлов (tftp) предоставляет функции, аналогичные ftp, но протокол не устанавливает интерактивное соединение ftp. В результате пользователи не могут просмотреть содержимое каталога или изменить каталог. Пользователь должен знать полное имя копируемого файла. На справочной странице telnet(1) описан набор команд tftp.
Команды UNIX «r»
Команды UNIX «r» позволяют пользователям вводить команды на своих локальных компьютерах, которые выполняются на удаленном узле. Эти команды включают следующее:
Инструкции по использованию этих команд находятся на справочных страницах rcp(1), rlogin(1) и rsh(1).
Службы имен
Операционная среда Solaris предоставляет следующие службы именования:
DNS. Система доменных имен (DNS) представляет собой службу именования, предоставляемую Интернетом для сетей TCP/IP. DNS предоставляет имена хостов службе IP-адресов. DNS также служит базой данных для администрирования почты. Полное описание этой службы см. в Руководстве системного администратора: службы именования и каталогов (DNS, NIS и LDAP).См. также справочную страницу решателя(3RESOLV).
Файлы/etc. Первоначальная система именования UNIX™ на базе хоста была разработана для автономных машин UNIX™, а затем адаптирована для использования в сети. Многие старые операционные системы и машины UNIX™ до сих пор используют эту систему, но она плохо подходит для больших сложных сетей.
NIS – Служба сетевой информации (NIS) была разработана независимо от DNS и имеет несколько иную направленность. В то время как DNS фокусируется на упрощении связи за счет использования имен машин вместо числовых IP-адресов, NIS фокусируется на том, чтобы сделать администрирование сети более управляемым, обеспечивая централизованный контроль над разнообразной сетевой информацией. NIS хранит информацию об именах и адресах машин, пользователях, самой сети и сетевых службах. Информация о пространстве имен NIS хранится в картах NIS. Дополнительные сведения об архитектуре NIS и администрировании NIS см. в Руководстве системного администратора: Службы именования и каталогов (DNS, NIS и LDAP) .
NIS+ — NIS+ обеспечивает централизованный контроль над службами сетевого администрирования, такими как сопоставление имен хостов с IP-адресами и адресами Ethernet, проверка паролей и т. д. См. Руководство системного администратора: службы именования и каталогов (FNS и NIS+).
FNS – федеративная служба именования (FNS), которая поддерживает использование различных автономных систем именования в одной операционной среде Solaris. FNS позволяет использовать единый простой интерфейс системы имен для всех различных служб имен в вашей сети. FNS соответствует спецификации федеративного именования X/Open (XFN). FNS не заменяет файлы NIS+, NIS, DNS или /etc. Скорее, FNS реализуется поверх этих служб и позволяет использовать набор общих имен с настольными приложениями. См. Руководство системного администратора: службы именования и каталогов (FNS и NIS+).
Служба каталогов
Операционная среда Solaris поддерживает LDAP (упрощенный протокол доступа к каталогам) в сочетании с iPlanet Directory Server 5.x, а также с другими серверами каталогов LDAP. Различие между службой имен и службой каталогов заключается в различной степени функциональности. Служба каталогов предоставляет те же функции, что и служба имен, но также предоставляет дополнительные функции. См. Руководство системного администратора: Службы именования и каталогов (DNS, NIS и LDAP) .
Файловые службы
Протокол прикладного уровня NFS предоставляет файловые службы для операционной среды Solaris. Полную информацию о службе NFS можно найти в Руководстве системного администратора: Управление ресурсами и сетевые службы.
Администрирование сети
Простой протокол управления сетью (SNMP) позволяет просматривать структуру вашей сети и статус основных компьютеров. SNMP также позволяет получать сложную сетевую статистику из программного обеспечения, основанного на графическом пользовательском интерфейсе. Многие компании предлагают пакеты управления сетью, реализующие SNMP. Программное обеспечение SunNet Manager TM является примером.
Протоколы маршрутизации
Протокол маршрутной информации (RIP) и протокол обнаружения маршрутизатора (RDISC) — это два протокола маршрутизации для сетей TCP/IP. Они описаны в Протоколах маршрутизации.
Уровень 2, также известный как канальный уровень, является вторым уровнем в семиуровневой эталонной модели OSI для проектирования сетевых протоколов. Уровень 2 эквивалентен канальному уровню (самый нижний уровень) в сетевой модели TCP/IP. Layer2 — это сетевой уровень, используемый для передачи данных между соседними сетевыми узлами в глобальной сети или между узлами в одной и той же локальной сети.
Кадр — это единица данных протокола, наименьшая единица битов в сети уровня 2. Кадры передаются и принимаются от устройств в одной и той же локальной сети (LAN). В отличие от битов, фреймы имеют определенную структуру и могут использоваться для обнаружения ошибок, действий плоскости управления и т.д. Не все кадры несут пользовательские данные. Сеть использует некоторые кадры для управления самим каналом передачи данных..
На уровне 2 одноадресная рассылка означает отправку кадров с одного узла на один другой узел, тогда как многоадресная рассылка означает отправку трафика с одного узла на несколько узлов, а широковещательная рассылка относится к передаче кадров всем узлам в сети. Домен широковещательной рассылки – это логическое подразделение сети, в котором все узлы этой сети могут быть достигнуты на уровне 2 посредством широковещательной рассылки.
Сегменты локальной сети могут быть связаны на уровне фрейма с помощью мостов. Мостовое соединение создает отдельные широковещательные домены в локальной сети, создавая виртуальные локальные сети, которые представляют собой независимые логические сети, объединяющие связанные устройства в отдельные сетевые сегменты. Группировка устройств в VLAN не зависит от физического расположения устройств в локальной сети. Без моста и VLAN все устройства в локальной сети Ethernet находятся в одном широковещательном домене, и все устройства обнаруживают все пакеты в локальной сети.
Пересылка – это ретрансляция пакетов из одного сегмента сети в другой узлами сети. В VLAN кадры, источник и получатель которых находятся в одной и той же VLAN, пересылаются только в пределах локальной VLAN. Сегмент сети – это часть компьютерной сети, в которой каждое устройство обменивается данными на одном и том же физическом уровне.
Слой 2 содержит два подслоя:
Подуровень управления логическим каналом (LLC), отвечающий за управление каналами связи и обработку кадрового трафика.
Подуровень управления доступом к среде (MAC), который управляет протокольным доступом к физической сетевой среде. Используя MAC-адреса, назначенные всем портам коммутатора, несколько устройств на одном физическом канале могут однозначно идентифицировать друг друга.
Порты или интерфейсы на коммутаторе работают либо в режиме доступа, либо в режиме тегированного доступа, либо в режиме магистрали:
Портырежима доступа подключаются к сетевому устройству, такому как настольный компьютер, IP-телефон, принтер, файловый сервер или камера наблюдения. Сам порт принадлежит к одной VLAN. Кадры, передаваемые через интерфейс доступа, являются обычными кадрами Ethernet. По умолчанию все порты коммутатора находятся в режиме доступа.
ПортыTagged-Access Mode подключаются к сетевому устройству, такому как настольный компьютер, IP-телефон, принтер, файловый сервер или камера наблюдения. Сам порт принадлежит к одной VLAN. Кадры, передаваемые через интерфейс доступа, являются обычными кадрами Ethernet. По умолчанию все порты коммутатора находятся в режиме доступа. Режим тегированного доступа подходит для облачных вычислений, в частности для сценариев, включающих виртуальные машины или виртуальные компьютеры. Поскольку несколько виртуальных компьютеров могут быть включены в один физический сервер, пакеты, сгенерированные одним сервером, могут содержать совокупность пакетов VLAN от разных виртуальных машин на этом сервере. Чтобы приспособиться к этой ситуации, режим доступа с тегами отражает пакеты обратно на физический сервер через тот же нисходящий порт, когда адрес назначения пакета был получен на этом нисходящем порту. Пакеты также отражаются обратно на физический сервер через нисходящий порт, если место назначения еще не известно. Следовательно, третий режим интерфейса, тегированный доступ, имеет некоторые характеристики режима доступа и некоторые характеристики транкового режима:
Портымагистрального режима обрабатывают трафик для нескольких сетей VLAN, мультиплексируя трафик для всех этих сетей VLAN по одному и тому же физическому соединению. Магистральные интерфейсы обычно используются для соединения коммутаторов с другими устройствами или коммутаторами.
Если настроена собственная VLAN, кадры, не содержащие тегов VLAN, отправляются через магистральный интерфейс. Если у вас есть ситуация, когда пакеты проходят от устройства к коммутатору в режиме доступа, и вы хотите затем отправить эти пакеты с коммутатора через магистральный порт, используйте собственный режим VLAN. Настройте одну VLAN на порту коммутатора (который находится в режиме доступа) как собственную VLAN. Тогда магистральный порт коммутатора будет обрабатывать эти кадры иначе, чем другие тегированные пакеты. Например, если магистральный порт имеет три VLAN, 10, 20 и 30, назначенные ему, причем VLAN 10 является собственной VLAN, кадры в VLAN 10, покидающие магистральный порт на другом конце, не имеют заголовка (тега) 802.1Q. . Существует еще один вариант родной VLAN. Коммутатор может добавлять и удалять теги для непомеченных пакетов. Для этого сначала необходимо настроить одну VLAN как собственную VLAN на порту, подключенном к устройству на границе. Затем назначьте тег идентификатора VLAN для одной собственной VLAN на порту, подключенном к устройству. Наконец, добавьте идентификатор VLAN к магистральному порту. Теперь, когда коммутатор получает непомеченный пакет, он добавляет указанный вами идентификатор и отправляет и получает помеченные пакеты через магистральный порт, настроенный для приема этой VLAN.
Включая подуровни, уровень 2 в серии QFX поддерживает следующие функции:
Одноадресный, многоадресный и широковещательный трафик.
VLAN 802.1Q. Этот протокол, также известный как тегирование VLAN, позволяет нескольким мостовым сетям прозрачно совместно использовать один и тот же физический сетевой канал путем добавления тегов VLAN к кадру Ethernet.
Расширение VLAN уровня 2 на несколько коммутаторов с использованием протокола связующего дерева (STP) предотвращает образование петель в сети.
Изучение MAC-адресов, включая изучение MAC-адресов для каждой сети VLAN и подавление обучения на уровне 2. Этот процесс получает MAC-адреса всех узлов в сети
Агрегация каналов. Этот процесс группирует интерфейсы Ethernet на физическом уровне для формирования единого интерфейса канального уровня, также известного как группа агрегации каналов (LAG) или пакет LAG
.Агрегация каналов не поддерживается на устройствах NFX150.
Управление штормом на физическом порту для одноадресной, многоадресной и широковещательной рассылки
Управление штормом не поддерживается на устройствах NFX150.
Поддержка STP, включая 802.1d, RSTP, MSTP и Root Guard
См. также
Обзор коммутации Ethernet и прозрачного режима уровня 2
Прозрачный режим уровня 2 позволяет развернуть брандмауэр без внесения изменений в существующую инфраструктуру маршрутизации. Брандмауэр развертывается как коммутатор уровня 2 с несколькими сегментами VLAN и обеспечивает службы безопасности в сегментах VLAN. Безопасный провод – это специальная версия прозрачного режима уровня 2, позволяющая выполнять развертывание без подключения к Интернету.
Устройство работает в прозрачном режиме, когда есть интерфейсы, определенные как интерфейсы уровня 2. Устройство работает в режиме маршрутизации (режим по умолчанию), если нет физических интерфейсов, настроенных как интерфейсы уровня 2.
Для устройств серии SRX прозрачный режим обеспечивает полную безопасность функций коммутации уровня 2. На этих устройствах серии SRX можно настроить одну или несколько сетей VLAN для выполнения коммутации уровня 2. VLAN — это набор логических интерфейсов, которые имеют одинаковые характеристики лавинной или широковещательной рассылки. Как и виртуальная локальная сеть (VLAN), VLAN охватывает один или несколько портов нескольких устройств. Таким образом, устройство серии SRX может функционировать как коммутатор уровня 2 с несколькими виртуальными локальными сетями, которые входят в одну и ту же сеть уровня 2.
В прозрачном режиме устройство серии SRX фильтрует пакеты, проходящие через устройство, без изменения какой-либо информации об источнике или получателе в заголовках IP-пакетов. Прозрачный режим удобен для защиты серверов, которые в основном получают трафик из ненадежных источников, поскольку нет необходимости перенастраивать параметры IP-адресов маршрутизаторов или защищаемых серверов.
В прозрачном режиме все физические порты на устройстве назначаются интерфейсам уровня 2. Не направляйте трафик уровня 3 через устройство. Зоны уровня 2 можно настроить для размещения интерфейсов уровня 2, а политики безопасности можно определить между зонами уровня 2. Когда пакеты перемещаются между зонами уровня 2, к этим пакетам могут применяться политики безопасности.
В таблице 1 перечислены функции безопасности, которые поддерживаются и не поддерживаются в прозрачном режиме для коммутации уровня 2.
Шлюзы прикладного уровня (ALG)
Аутентификация пользователя брандмауэра (FWAUTH)
Обнаружение и предотвращение вторжений (IDP)
Единое управление угрозами (UTM)
Преобразование сетевых адресов (NAT)
На устройствах SRX300, SRX320, SRX340, SRX345 и SRX550M распространение DHCP-сервера не поддерживается в прозрачном режиме уровня 2.
Кроме того, устройства серии SRX не поддерживают следующие функции уровня 2 в прозрачном режиме уровня 2:
Протокол связующего дерева (STP), RSTP или MSTP. Пользователь несет ответственность за отсутствие петель лавинной рассылки в топологии сети.
Отслеживание протокола IGMP (Internet Group Management Protocol) — сигнальный протокол между хостом и маршрутизатором для IPv4, используемый для сообщения о членстве в группе многоадресной рассылки соседним маршрутизаторам и определения присутствия членов группы во время многоадресной рассылки IP.
Виртуальные локальные сети с двойным тегированием или идентификаторы VLAN IEEE 802.1Q, инкапсулированные в пакеты 802.1Q (также называемые тегами VLAN «Q in Q»): на устройствах серии SRX поддерживаются только идентификаторы VLAN без тегов или одинарные теги.
Неквалифицированное обучение VLAN, при котором для обучения внутри VLAN используется только MAC-адрес — обучение VLAN на устройствах серии SRX квалифицировано; то есть используются как идентификатор VLAN, так и MAC-адрес.
Кроме того, на устройствах SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 или SRX650 некоторые функции не поддерживаются. (Поддержка платформы зависит от версии ОС Junos в вашей установке.) Следующие функции не поддерживаются для прозрачного режима уровня 2 на указанных устройствах:
G-ARP на интерфейсе уровня 2
Мониторинг IP-адресов на любом интерфейсе
Транзит трафика через IRB
Интерфейс IRB в экземпляре маршрутизации
Обработка интерфейса IRB трафика уровня 3
Интерфейс IRB является псевдоинтерфейсом и не принадлежит к интерфейсу reth и группе резервирования.
Прозрачный режим уровня 2 на концентраторе портов линейного модуля SRX5000
Концентратор портов линейного модуля SRX5000 (SRX5K-MPC) поддерживает прозрачный режим уровня 2 и обрабатывает трафик, когда устройство серии SRX настроено на прозрачный режим уровня 2.
Когда SRX5K-MPC работает в режиме уровня 2, вы можете настроить все интерфейсы на SRX5K-MPC как коммутационные порты уровня 2 для поддержки трафика уровня 2.
Блок обработки безопасности (SPU) поддерживает все службы безопасности для функций коммутации уровня 2, а MPC доставляет входящие пакеты в SPU и пересылает исходящие пакеты, инкапсулированные SPU, на исходящие интерфейсы.
Если устройство серии SRX настроено в прозрачном режиме уровня 2, вы можете включить интерфейсы на MPC для работы в режиме уровня 2, определив одно или несколько логических устройств на физическом интерфейсе с типом адреса семейства как коммутацию Ethernet. Позже вы можете приступить к настройке зон безопасности уровня 2 и настройке политик безопасности в прозрачном режиме.После этого настраиваются топологии следующего перехода для обработки входящих и исходящих пакетов.
Понимание потоков IPv6 в прозрачном режиме на устройствах безопасности
В прозрачном режиме устройство серии SRX фильтрует пакеты, проходящие через устройство, без изменения какой-либо информации об источнике или получателе в заголовках MAC пакетов. Прозрачный режим удобен для защиты серверов, которые в основном получают трафик из ненадежных источников, поскольку нет необходимости перенастраивать параметры IP-адресов маршрутизаторов или защищаемых серверов.
Устройство работает в прозрачном режиме, когда все физические интерфейсы на устройстве настроены как интерфейсы уровня 2. Физический интерфейс является интерфейсом уровня 2, если он настроен с параметром Ethernet-коммутации на уровне иерархии [ edit interfaces interface-name unit unit-number family ]. Нет команды для определения или включения прозрачного режима на устройстве. Устройство работает в прозрачном режиме, когда есть интерфейсы, определенные как интерфейсы уровня 2. Устройство работает в режиме маршрутизации (режим по умолчанию), если все физические интерфейсы настроены как интерфейсы уровня 3.
По умолчанию потоки IPv6 удаляются на устройствах безопасности. Чтобы включить обработку функциями безопасности, такими как зоны, экраны и политики брандмауэра, необходимо включить пересылку на основе потока для трафика IPv6 с параметром конфигурации режима на основе потока на уровне иерархии [ edit security forwarding-options family inet6 ]. При изменении режима необходимо перезагрузить устройство.
В прозрачном режиме вы можете настроить зоны уровня 2 для размещения интерфейсов уровня 2, а также определить политики безопасности между зонами уровня 2. Когда пакеты перемещаются между зонами уровня 2, к этим пакетам могут быть применены политики безопасности. Для трафика IPv6 в прозрачном режиме поддерживаются следующие функции безопасности:
Кластеры шасси уровня 2 в прозрачном режиме.
Следующие функции безопасности не поддерживаются для потоков IPv6 в прозрачном режиме:
Сетевое картографирование уровня 2 предоставляет ИТ-специалистам и сетевым специалистам ценную информацию о физическом подключении устройств. Что такое уровень 2 и что с ним можно делать?
Что такое уровень 2?
Уровень 2 относится к канальному уровню сети. Вот как данные перемещаются по физическим каналам в вашей сети. Это то, как коммутаторы в вашей сети общаются друг с другом. Установка уровня 2 в вашей инфраструктуре обеспечивает высокоскоростное соединение между устройствами. Это также может повысить производительность сети.
Чтобы создать карту уровня 2 вашей сети, программное обеспечение картирования сети проверит ваши устройства и данные, которые они предоставляют. В частности, он просматривает MIB SNMP-Bridge, чтобы сообщить вам, как построена ваша сеть на основе того, что он видит.
В настоящее время программное обеспечение, которое может создавать выходные данные или карты уровня 2, является необходимостью для многих ИТ-специалистов из-за деталей, которые оно может предоставить.
В чем разница между уровнем 2 и уровнем 3?
В то время как уровень 2 – это канальный уровень вашей сети, уровень 3 использует IP-адреса для связи между сетевой инфраструктурой. Сопоставление уровня 3 сканирует IP-адреса устройств и определяет сети и подсети, с которыми они связаны, для построения карты уровня 3.
Сетевое сопоставление уровня 2
Когда вы включаете уровень 2, вы можете видеть гораздо больше информации о состоянии вашей сети. Вот что вы можете сделать со слоем 2:
- Посмотрите, что подключено к вашим коммутаторам
- Узнайте MAC-адрес устройства и к какой сети VLAN оно подключено.
- Избавьтесь от необходимости отслеживать кабели, легко видя, к чему подключен порт
- Определите свободные порты в вашей сети
- Обнаружение проблемных машин в вашей сети и отключение порта
- Выполните поиск в сети по MAC-адресу, чтобы найти пропавшую машину.
- Избегайте отключений сети, выявляя замыкания коммутатора
- Определение подключений между коммутаторами и построение карты магистрали уровня 2.
- Создание сети уровня 2 сопоставляет один коммутатор за раз или всю сеть с помощью автоматического обнаружения.
Протоколы уровня 2
Во время сканирования ядра используется несколько протоколов уровня 2. К ним относятся:
- SNMP: простой протокол управления сетью используется для сбора информации с устройств и их настройки.
- CDP: протокол Cisco Discovery используется для обмена информацией о подключенном напрямую оборудовании Cisco.
- LLDP: протокол обнаружения канального уровня используется для объявления идентификатора, возможностей и соседей в проводной локальной сети Ethernet. Он собирает имя системы, описание, имя порта, VLAN и т. д.
- STP: протокол связующего дерева работает на коммутаторе локальной сети Ethernet с мостовым соединением, гарантируя, что вы не будете создавать петли, когда в вашей сети есть избыточный путь.
- ARP: протокол разрешения адресов используется для сопоставления IP-адреса с физическим адресом (MAC), который распознается на локальном устройстве.
- FDB: База данных переадресации используется устройствами уровня 2 для хранения информации о том, какие порты были изучены для Mac. Когда кадр Ethernet поступает на устройство уровня 2, устройство уровня 2 проверяет MAC-адрес назначения кадра и обращается к своей таблице FDB для получения информации о том, куда отправить этот конкретный кадр Ethernet.
Оптимизация вашей сети для уровня 2
Ваши данные уровня 2 будут настолько хороши, насколько хороша конфигурация вашей сети. Если ваши устройства не настроены должным образом, информация уровня 2, которую вы получаете, не будет очень точной.
До сих пор существует множество сетей, в которых используются более старые реализации SNMP или даже не включен SNMP. Это напрямую повлияет на их способность обнаруживать и отображать соединения уровня 2. Поэтому, если вам нужны данные уровня 2, важно в первую очередь оптимизировать сеть, убедившись, что ваша инфраструктура правильно настроена.
При использовании уровня 2 с программным обеспечением для картирования сети любая карта, содержащая коммутаторы уровня 2, может быть автоматически обновлена, чтобы показать, как эти устройства взаимосвязаны, и порты, через которые они подключены. Эти инструменты обычно предоставляют несколько вариантов сканирования уровня 2. Вы можете либо выполнить полное сканирование всей инфраструктуры, чтобы включить подключения конечных точек, либо ограничить сканирование, чтобы отобразить только вашу коммутационную магистраль.
Уровень 2 предоставляет подробный отчет о сетевой активности и состояниях устройств. Вы сможете легко узнать, как устройства были настроены и работают ли они на должном уровне в режиме реального времени. Поиск надежного решения для мониторинга сети, позволяющего создавать карты уровня 2, поможет обеспечить бесперебойную работу вашей сети.
Управление логическим каналом реализовано в программном обеспечении
Управление логическим каналом указано в стандарте IEEE 802.3.
Подуровень LLC добавляет к данным заголовок и трейлер
Уровень канала передачи данных использует LLC для связи с верхними уровнями набора протоколов
ПК1 (Fa0/1) подключен к SW1
ПК2 (Fa0/2) подключен к SW1
SW1 (Fa 0/3) (Fa 0/0) подключен к маршрутизатору 1
(Fa 0/1) (Fa 0/2) подключен к SW2
Маршрутизатор 1 --- Коммутатор --- ПК A, ПК B, ПК C
Маршрутизатор 1 подключен к маршрутизатору 2 с помощью (молнии)
коммутатор 1
подключен к
ПК A (10.55.5.8)
ПК B (10.55.5.9)
ПК C (10.55.5.10)
ПК D (10.55.5.11)
Узел ARP-таблицы
Физический адрес
AA:AA:AA:AA:AA:AA
BB:BB:BB:BB:BB:BB
Ручная настройка статических ассоциаций ARP может способствовать отравлению ARP или подделке MAC-адресов.
В больших сетях с низкой пропускной способностью несколько широковещательных передач ARP могут вызвать задержки при передаче данных.
Сетевые злоумышленники могут манипулировать сопоставлениями MAC-адресов и IP-адресов в сообщениях ARP с целью перехвата сетевого трафика
Большое количество широковещательных запросов ARP может привести к переполнению таблицы MAC-адресов узла и препятствовать обмену данными узла по сети.
MAC-адреса назначения никогда не меняются в кадре, проходящем через семь маршрутизаторов.
Пакет, прошедший через четыре маршрутизатора, изменил IP-адрес назначения четыре раза
MAC-адреса назначения и источника имеют локальное значение и меняются каждый раз, когда кадр передается из одной локальной сети в другую
Функция автоматического MDIX настроит интерфейсы, устраняя необходимость в перекрестном кабеле.
Подключение будет невозможно, пока администратор не изменит кабель на перекрестный.
Возможность двусторонней печати необходимо настраивать вручную, поскольку она не может быть согласована.
Если оба коммутатора поддерживают разные скорости, каждый из них будет работать на своей максимальной скорости.
Связь между коммутаторами будет работать как полнодуплексная.
Связь между коммутаторами будет работать как полнодуплексная.
Управление логической связью реализовано в программном обеспечении.
Подуровень LLC напрямую взаимодействует с программным обеспечением драйвера сетевой карты.
Линия передачи данных позже использует LLC для связи с верхними уровнями набора протоколов.
Подуровень LLC отвечает за размещение и извлечение кадров на носителе и за его пределами.
Если узел готов отправить пакет на локальное целевое устройство и у него есть IP-адрес, но нет MAC-адреса получателя, он создает широковещательную рассылку ARP.
Запрос ARP отправляется на все устройства в локальной сети Ethernet и содержит IP-адрес узла назначения и его многоадресный MAC-адрес.
Когда хост инкапсулирует пакет во фрейм, он обращается к таблице MAC-адресов, чтобы определить сопоставление IP-адресов с MAC-адресами.
Если устройство, получающее запрос ARP, имеет IPv4-адрес назначения, оно отвечает ответом ARP.
Протоколы уровня 2 или сетевые протоколы уровня 2 – это список коммуникационных протоколов, используемых устройствами уровня 2 (например, сетевыми картами (NIC), коммутаторами, многопортовыми мостами и т. д.) для передачи данных в глобальной сети или между одного узла на другой в локальной сети.
Протоколы уровня 2 модели OSI
Чтобы понять сетевые протоколы уровня 2, мы должны сначала узнать о модели взаимодействия открытых систем (OSI) и уровне 2. Рекламируемый как канальный уровень, уровень 2 является вторым из семи уровней модели OSI, который отвечает за безошибочную передачу данных между устройствами в одной сети.
OSI – это стандартная модель сетевых протоколов и распределенных приложений, которая разделяет работу сети на семь различных уровней в зависимости от ее функциональности. Каждый уровень выполняет свой набор функций и не зависит от других слоев.
Разбивка уровня канала передачи данных
Основной функцией уровня канала передачи данных является обработка необработанных данных, передаваемых с физического уровня, и преобразование их в безошибочную передачу на сетевом уровне. Это достигается за счет того, что отправитель (устройство уровня 1) разбивает входные данные на закодированные кадры данных, передает кадры последовательно, а также обрабатывает и декодирует кадры подтверждения, полученные от получателя (устройство уровня 3).
Наименьший единичный бит протокола уровня 2 называется кадром Ethernet или просто кадрами и отличается от битов, поскольку кадры могут использоваться для обнаружения любого повреждения данных при передаче.
В зависимости от того, как передается кадр, его можно разделить на следующие категории:
- Одноадресная передача — между двумя отдельными узлами
- Многоадресная рассылка — один узел на несколько узлов
- Вещание – передача узлов по сети.
Уровень канала передачи данных разделен на два подуровня:
- ООО:
- Подуровень управления логическим каналом (LLC) уровня канала передачи данных управляет связью между устройствами, контролируя синхронизацию кадров, управление потоком и проверку ошибок.
- Подуровень управления доступом к среде (MAC) уровня канала передачи данных управляет доступом протокола к физической сетевой среде. MAC управляет тем, как компьютер в вашей сети получает доступ к данным и разрешениям для их передачи.
Сетевые протоколы уровня 2
В зависимости от их требований, некоторые протоколы предпочтительнее других. Пример: Коммутаторы Cisco предпочитают собственный протокол связи. Вот список часто используемых протоколов L2:
Некоторые другие протоколы уровня 2 канала передачи данных:
- АРКнет
- Режим асинхронной передачи (ATM)
- Эконет
- Ethernet
- Автоматическое защитное переключение Ethernet (EAPS)
- Оптоволоконный распределенный интерфейс передачи данных (FDDI)
- Ретрансляция кадров
- Управление каналом передачи данных высокого уровня (HDLC)
- IEEE 802.2 (предоставляет функции LLC уровням MAC IEEE 802)
- Беспроводная локальная сеть IEEE 802.11
- ЛаттисНет
- Процедуры доступа к ссылке, канал D (LAPD)
- Местное общение
- Многопротокольная коммутация по меткам (MPLS)
- Протокол Nortel Discovery (NDP)
- Последовательный интернет-протокол (SLIP) (устаревший)
- Протокол связующего дерева
- СтарЛан
- Токенринг
- Обнаружение однонаправленных ссылок (UDLD)
Новый опыт в мониторинге сети?
ManageEngine OpManager предоставляет полный список готовых функций, которые значительно упрощают процесс управления сетью. Система управления неисправностями OpManager в режиме реального времени на основе предупреждений гарантирует, что ваша сеть работает с максимальной эффективностью, поэтому ваши конечные пользователи не испытывают никаких сетевых негативных реакций.
"Новый пользователь OpManager? Загрузите 30-дневную бесплатную пробную версию или запланируйте демонстрацию в реальном времени с нашим экспертом по продукту, чтобы узнать, как OpManager может оптимизировать ваш опыт мониторинга сети."
Читайте также: