Зачем коммутатору уровня 2 нужен IP-адрес

Обновлено: 21.11.2024

Термин «уровень 2» взят из модели взаимодействия открытых систем (OSI), которая является эталонной моделью для объяснения и описания сетевых коммуникаций. Это процесс использования устройств и MAC-адресов в локальной сети для сегментации сети. Коммутаторы и мосты в основном используются для коммутации уровня 2. Они помогают разбить домен коллизий большого размера на отдельные более мелкие.

Коммутаторы CISCO уровня 2 аналогичны мостам. Они соединяют сети на уровне 2, в основном на подуровне MAC, и работают как мосты. Он создает таблицы для передачи кадров между системами.

Коммутаторы Ethernet уровня 2 работают быстрее по сравнению с маршрутизаторами, поскольку им не требуется много времени для оценки информации заголовка сетевого уровня. Вместо этого они должны смотреть на аппаратные адреса фрейма, что поможет вам решить, какое действие необходимо предпринять, например переслать, переслать или удалить его.

Из этого руководства по работе с сетью вы узнаете:

Что такое коммутация уровня 3?

Коммутатор уровня 3 – это коммутатор, который помимо коммутации выполняет функции маршрутизации. Клиентскому компьютеру требуется шлюз по умолчанию для подключения уровня 3 к любым удаленным подсетям.

Уровень этого типа позволяет объединить функции коммутатора и маршрутизатора. Он действует как коммутатор для подключения устройств, находящихся в одной подсети или виртуальной локальной сети.

Этот тип сетевых коммутаторов CISCO поддерживает протоколы маршрутизации. Это помогает проверять входящие пакеты и принимать решения о маршрутизации на основе адресов источника и получателя. Вот как коммутатор уровня 3 действует как для коммутатора, так и для маршрутизатора.

Как работает коммутация уровня 2?

Вот пример сети, в которой коммутатор подключен к четырем хост-устройствам, известным как D1, D2, D3 и D4.

  • D1 хочет отправить пакет данных D2 в первый раз.
  • D1 знает IP-адрес D2, так как они общаются в первый раз. Однако ему неизвестен MAC-адрес (аппаратный) хост-получателя.
  • Таким образом, D1 использует ARP для обнаружения MAC-адреса D2.
  • Коммутатор уровня отправляет запрос ARP на все порты, за исключением порта, к которому подключен D1.
  • D2, получив запрос ARP, отвечает на ответное сообщение ARP своим MAC-адресом. D2 также получает MAC-адрес D1.
  • Здесь с помощью приведенных выше сообщений коммутатор узнает, какие MAC-адреса назначены тем или иным портам.
  • Аналогично, D2 также отправляет свой MAC-адрес в сообщении ARP, теперь коммутатор берет MAC-адрес D2 и сохраняет его в таблице MAC-адресов.
  • Он также сохраняет MAC-адрес D1 в таблице адресов, поскольку он был отправлен D1 для переключения с сообщением запроса ARP.
  • Таким образом, всякий раз, когда D1 хочет отправить какие-либо данные на D2, коммутатор проверит таблицу и перенаправит их на другой порт назначения D2.
  • Аналогичным образом коммутатор уровня будет поддерживать аппаратный адрес каждого подключающегося хоста.

Функции переключения уровня 2

Вот важные функции переключения уровня 2:

  • MAC-адреса известны из всех исходных адресов входящих кадров.
  • Мосты и коммутаторы взаимодействуют друг с другом с помощью протокола STP для устранения петель моста.
  • Кадры, предназначенные для неизвестных местоположений, пересылаются на все порты, кроме того, который получил кадр.
  • Он выполняет ту же функцию, что и прозрачный мост.
  • Кадры пересылаются с помощью специального оборудования, известного как специализированные интегральные схемы (ASIC).
  • Коммутаторы уровня 2 также выполняют функцию переключения для перераспределения кадров данных от источника к сети назначения.
  • Коммутатор уровня 2 разделяет сложную локальную сеть (LAN) на небольшие сети VLAN.

Функции переключения уровня 3

Вот важные функции коммутации уровня 3:

  • Определение путей на основе логической адресации
  • Обеспечить безопасность
  • Выполнить проверку контрольных сумм третьего уровня
  • Обрабатывать любую информацию о параметрах и реагировать на нее
  • Позволяет обновить простое управление сетью.
  • Информация информационной базы (MIB)

Применение коммутаторов уровня 2

Вот некоторые важные области применения коммутаторов уровня 2.

  • Вы можете отправить фрейм данных из источника в пункт назначения, который находится в той же VLAN, без физического подключения.
  • Серверы ИТ-компаний можно разместить централизованно в одном месте. Клиенты, расположенные в некоторых других местах, могут получить доступ к канальному уровню без задержки, что экономит затраты на сервер и время.
  • Компании также использовали его для внутренней связи, настраивая узлы в одной сети VLAN с помощью коммутаторов уровня 2 без подключения к Интернету.
  • Профессионалы-программисты также используют эти переключатели для совместного использования своих инструментов, размещая их централизованно на одном сервере.

Разница между коммутаторами уровня 2 и уровня 3

Вот некоторые важные различия между коммутацией уровня 2 и уровня 3:

В этом документе содержится подробная информация о настройке трансляции сетевых адресов уровня 2 (NAT) на коммутаторах Cisco Industrial Ethernet серии 2000, Cisco Industrial Ethernet серии 4000, Cisco Industrial Ethernet серии 4010 и Cisco Industrial Ethernet серии 5000.

Информация о трансляции сетевых адресов L2 (NAT)

Один к одному (1:1) NAT уровня 2 – это услуга, которая позволяет назначать уникальный общедоступный IP-адрес существующему частному IP-адресу (конечного устройства), чтобы конечное устройство могло взаимодействовать как на частные и общедоступные подсети. Эта служба настраивается на устройстве с поддержкой NAT и является общедоступным «псевдонимом» IP-адреса, физически запрограммированного на конечном устройстве. Обычно это представлено таблицей в устройстве NAT.

Уровень 2 NAT имеет две таблицы преобразования, в которых можно определить преобразование подсети из частной в общедоступную и из общедоступной в частную. NAT уровня 2 — это аппаратная реализация, которая обеспечивает такой же высокий уровень производительности на скорости проводной сети. Эта реализация также поддерживает несколько VLAN через границу NAT для расширенной сегментации сети.

В следующем примере NAT уровня 2 преобразует адреса между датчиками в сети 192.168.1.x и линейным контроллером в сети 10.1.1.x.

Сеть 192.168.1.x — это пространство внутренних/внутренних IP-адресов, а сеть 10.1.1.x — пространство внешних/внешних IP-адресов.

Датчик по адресу 192.168.1.1 отправляет ping-запрос линейному контроллеру, используя «внутренний» адрес 192.168.1.100.

Прежде чем пакет покинет внутреннюю сеть, NAT уровня 2 преобразует адрес источника (SA) в 10.1.1.1, а адрес получателя (DA) в 10.1.1.100.

Контроллер линии отправляет ping-ответ на адрес 10.1.1.1.

Когда пакет получен во внутренней сети, NAT уровня 2 преобразует адрес источника в 192.168.1.100, а адрес получателя в 192.168.1.1.

Для большого количества узлов можно быстро включить переводы для всех устройств в подсети. В сценарии, показанном на следующем рисунке, адреса из внутренней сети 1 могут быть преобразованы во внешние адреса в подсети 10.1.1.0/28, а адреса из внутренней сети 2 могут быть преобразованы во внешние адреса в подсети 10.1.1.16/28. Все адреса в каждой подсети можно преобразовать одной командой.

На следующем рисунке показана конфигурация NAT IE 5000 на уровне распределения. В этом примере IE 5000 подключается к устройствам в частной сети через коммутаторы Catalyst 2960. Коммутаторы Catalyst на уровне доступа не выполняют NAT. IE5000 выполняет L2 NAT на трех интерфейсах для трех разных коммутаторов доступа. Коммутаторы IE способны поддерживать 128 экземпляров L2 NAT. В этом примере показаны только три из 128. Всю подсеть можно настроить в одном экземпляре L2 NAT.

Рис. 2. NAT в IE 5000

Конфигурация NAT IE 5000 для схемы, показанной на рисунке выше, выглядит следующим образом:

Предпосылки

IE 2000 — NAT уровня 2 включен в набор функций Enhanced LAN Base, доступный для Cisco IOS 15.0(2)EB или более поздней версии.

IE 4000 — NAT уровня 2 включен в набор функций LAN Base, доступный для Cisco IOS 15.2.(2)EA или более поздней версии.

IE 4010 — NAT уровня 2 включен в набор функций LAN Base, доступный для Cisco IOS 15.2(4)EC1 или более поздней версии.

IE 5000 — NAT уровня 2 включен в базовый набор функций LAN, доступный для Cisco IOS 15.2(2)EB или более поздней версии.

Рекомендации и ограничения

Можно преобразовывать только адреса IPv4.

NAT уровня 2 применяется только к одноадресному трафику. Вы можете разрешить или разрешить нетранслируемый одноадресный, многоадресный и IGMP-трафик.

NAT уровня 2 не поддерживает сопоставление IP-адресов "один ко многим" и "многие к одному".

NAT уровня 2 поддерживает однозначное сопоставление между внешними и внутренними IP-адресами.

NAT уровня 2 не может сохранять общедоступные IP-адреса.

FTP-трафик не работает, поскольку встроенный IP-адрес не переведен.

Если вы настраиваете преобразование для узла NAT уровня 2, не настраивайте его как DHCP-клиент.

Некоторые протоколы, такие как ARP и ICMP, не работают прозрачно через NAT уровня 2, но по умолчанию «исправлены». «Исправлено» означает, что в IP-адреса, встроенные в полезную нагрузку IP-пакетов, вносятся изменения для работы протоколов.

Интерфейсы, поддерживающие конфигурации экземпляра NAT, следующие:

IE2000: Gig 1/1 и Gig 1/2 (исходящие каналы)

IE4000: Gig 1/1 – Gig 1/4 (исходящие каналы)

IE4010: все интерфейсы поддерживают L2NAT. На IE4010 существует ограничение группы интерфейсов. Для интерфейсов в диапазоне Gig 1/1–6 и Gig 1/13–1/18 (12 крайних слева интерфейсов) только 4 интерфейса могут одновременно поддерживать экземпляры NAT. Кроме того, для самых правых интерфейсов Gig 1/7–1/12, Gig 1/19–1/24 и Gig 1/25–1/28 только 4 интерфейса могут одновременно поддерживать экземпляры NAT.

IE5000: все интерфейсы поддерживают L2NAT. На IE5000 существует ограничение группы интерфейсов. Для интерфейсов в диапазоне Gig 1/1–1/6 и Gig 1/13–1/18 (12 крайних слева интерфейсов) только 4 интерфейса могут одновременно поддерживать экземпляры NAT. Кроме того, для самых правых интерфейсов Gig 1/7–12 и Gig 1/19–1/24 и TenGig 1/1–1/4 только 4 интерфейса могут одновременно поддерживать экземпляры NAT.

На платформах IE4010 и IE5000 при настройке экземпляра L2NAT на нисходящих портах (Gig 1/1 — Gig 1/24) необходимо настроить «внутренний» и «внешний» IP-адреса в соответствующих картах трансляции в обратный порядок по сравнению с картой трансляции на восходящих портах (Gig1/25, 28 или TenGig 1/1–1/4).

Порт нисходящего канала может быть VLAN, транком или каналом уровня 2.

На коммутаторе можно настроить 128 экземпляров NAT уровня 2.

До 128 VLAN могут иметь конфигурацию NAT уровня 2.

Интерфейс управления находится за функцией NAT уровня 2. Поэтому этот интерфейс не должен находиться в частной сети VLAN. Если он находится в частной сети VLAN, назначьте внутренний адрес и настройте внутреннюю трансляцию.

Поскольку L2NAT предназначен для разделения внешних и внутренних адресов, мы рекомендуем не настраивать адреса одной и той же подсети в качестве внешних и внутренних адресов.

Настройки по умолчанию

Разрешить или отклонить пакеты для несовпадающего трафика и типов трафика, для которых не настроено преобразование

Удалить все несопоставленные, многоадресные и IGMP-пакеты

Fixup включен для ARP и ICMP.

Настройка NAT уровня 2

Необходимо настроить экземпляры NAT уровня 2, которые задают преобразования адресов. Затем вы присоединяете эти экземпляры к интерфейсам и виртуальным локальным сетям. Для несовпадающего трафика и типов трафика, которые не настроены для перевода, вы можете разрешить или запретить трафик. Вы можете просмотреть подробную статистику об отправленных и полученных пакетах (см. Проверка конфигурации).

Чтобы настроить NAT уровня 2, выполните следующие действия. Дополнительные сведения см. в примерах в разделе «Пример базовой внутренней связи» и «Пример дублирования IP-адресов».

ОБЩИЕ ШАГИ

  1. Войдите в режим глобальной конфигурации:
  2. Создайте новый экземпляр NAT уровня 2:
  3. Преобразование внутреннего адреса во внешний:
  4. Преобразование внешнего адреса во внутренний:
  5. Исправлено преобразование ICMP и IGMP через преобразование NAT. По умолчанию исправления для ARP и ICMP включены, поэтому эта команда обычно не требуется, если вы не измените значения по умолчанию.
  6. (Необязательно) Разрешить непереведенный одноадресный трафик (по умолчанию он исключен):
  7. Выйти из режима config-l2nat:
  8. Доступ к режиму конфигурации интерфейса для указанного интерфейса (порты восходящей связи только в IE 2000):
  9. Применить указанный экземпляр NAT уровня 2 к сети VLAN или диапазону сетей VLAN. Если этот параметр отсутствует, экземпляр NAT уровня 2 применяется к собственной VLAN.
  10. Выйти из режима настройки интерфейса:

ПОДРОБНЫЕ ШАГИ

Войдите в режим глобальной конфигурации:

Создайте новый экземпляр NAT уровня 2:

Экземпляр l2nat имя_экземпляра

После создания экземпляра вы используете эту же команду для входа в подрежим для этого экземпляра.

Преобразование внутреннего адреса во внешний:

внутри от [хост | диапазон | сеть ] исходный ip в переведенный ip [маска ] номер | маска

Вы можете преобразовать один адрес хоста, диапазон адресов хоста или все адреса в подсети. Преобразуйте адрес источника для исходящего трафика и адрес назначения для входящего трафика.

Преобразование внешнего адреса во внутренний:

за пределами [хост | диапазон | сеть ] исходный ip в переведенный ip [маска ] номер | маска [шлюз]

Вы можете преобразовать один адрес хоста, диапазон адресов хоста или все адреса в подсети.Преобразуйте адрес назначения для исходящего трафика и адрес источника для входящего трафика. Ключевое слово gateway является необязательным и используется только для диспетчера устройств.

Исправлено преобразование ICMP и IGMP через преобразование NAT. По умолчанию исправления как для ARP, так и для ICMP включены, поэтому эта команда обычно не требуется, если вы не измените значения по умолчанию.

исправить arp | ICMP | все

Для ICMP поддерживаются только исправления для сообщений об ошибках ICMP.

(Необязательно) Разрешить непереведенный одноадресный трафик (по умолчанию он отбрасывается):

Выйти из режима config-l2nat:

Доступ к режиму конфигурации интерфейса для указанного интерфейса (порты исходящей связи только в IE 2000):

Применить указанный экземпляр NAT уровня 2 к сети VLAN или диапазону сетей VLAN. Если этот параметр отсутствует, экземпляр NAT уровня 2 применяется к собственной VLAN.

l2nat instance_name [vlan | диапазон_вланов ]

Выйти из режима настройки интерфейса:

Проверка конфигурации

Чтобы убедиться, что NAT уровня 2 работает правильно и имеет возможность подключения, отправьте эхо-запрос на преобразованный IP-адрес, настроенный в картах преобразования NAT уровня 2, а не на реальные IP-адреса, настроенные на конечных устройствах. Используйте перечисленные ниже команды show, чтобы отобразить конфигурацию NAT уровня 2.

показать экземпляр l2nat

Отображает сведения о конфигурации для указанного экземпляра NAT уровня 2.

показать интерфейс l2nat

Отображает сведения о конфигурации для экземпляров NAT уровня 2 на одном или нескольких интерфейсах.

показать статистику l2nat

Отображает статистику NAT уровня 2 для всех интерфейсов.

показать интерфейс статистики l2nat

Отображает статистику NAT уровня 2 для указанного интерфейса.

Включает отображение сведений о конфигурации NAT уровня 2 в режиме реального времени при применении конфигурации.

Базовый пример внутренней связи

В этом сценарии A1 должен обмениваться данными с логическим контроллером (LC), который напрямую подключен к порту восходящей линии связи. Экземпляр NAT уровня 2 настроен на предоставление адреса для A1 во внешней сети (10.1.1.1) и адреса для LC во внутренней сети (192.168.1.250).

Рисунок 3. Основные внутренние коммуникации

Теперь это общение может происходить:

A1 отправляет запрос ARP: SA: 192.168.1.1DA: 192.168.1.250.

Коммутатор Cisco A исправляет запрос ARP: SA:10.1.1.1DA: 10.1.1.200.

LC получает запрос и узнает MAC-адрес 10.1.1.1.

LC отправляет ответ: SA: 10.1.1.200DA: 10.1.1.1.

Коммутатор Cisco A исправляет ответ ARP: SA: 192.168.1.250DA: 192.168.1.1.

A1 узнает MAC-адрес для 192.168.1.250, и связь начинается.

Интерфейс управления коммутатора должен находиться в VLAN, отличной от внутренней сети 192.168.1.x.

В следующей таблице показаны задачи настройки для этого сценария. Создается экземпляр NAT уровня 2, добавляются две записи перевода, и экземпляр применяется к интерфейсу. Исправления ARP включены по умолчанию.

Этот пример основан на коммутаторе IE 2000. Для коммутаторов IE 4000 и IE 5000 номера интерфейсов могут различаться.

Входит в режим глобальной конфигурации.

Создает новый экземпляр NAT уровня 2 с именем A-LC.

Преобразует внутренний адрес A1 во внешний адрес.

Преобразует внутренний адрес A2 во внешний адрес.

Преобразует внутренний адрес A3 во внешний адрес.

Преобразует внешний адрес LC во внутренний адрес.

Выходит из режима config-l2nat.

Доступ к режиму конфигурации интерфейса для восходящего порта.

Применяет этот экземпляр NAT уровня 2 к собственной VLAN на этом интерфейсе.

Для тегированного трафика в магистрали добавьте номер VLAN при подключении экземпляра к интерфейсу следующим образом:

Возврат в привилегированный режим EXEC.

Пример повторяющихся IP-адресов

В этом сценарии два машинных узла предварительно настроены с адресами в пространстве 192.168.1.x. NAT уровня 2 преобразует эти адреса в уникальные адреса в отдельных подсетях внешней сети. Кроме того, для связи между компьютерами компьютерам узла А нужны уникальные адреса в пространстве узла Б, а компьютерам узла Б нужны уникальные адреса в пространстве узла А.

Коммутатору C нужен адрес в пространстве 192.168.1.x. Когда пакеты поступают на узел A или узел B, адрес 10.1.1.254 коммутатора C преобразуется в 192.168.1.254. Когда пакеты покидают узел A или узел B, адрес 192.168.1.254 коммутатора C преобразуется в 10.1.1.254.

Компьютерам Node A и Node B нужны уникальные адреса в пространстве 10.1.1.x. Для быстрой настройки и удобства использования пространство 10.1.1.x разбито на подсети: 10.1.1.0, 10.1.1.16, 10.1.1.32 и так далее.Затем каждая подсеть может использоваться для другого узла. В этом примере 10.1.1.16 используется для узла A, а 10.1.1.32 — для узла B.

Компьютерам узлов A и B необходимы уникальные адреса для обмена данными. Доступные адреса разделены на подсети. Для удобства адреса подсети 10.1.1.16 для машин узла A преобразуются в адреса подсети 192.168.1.16 на узле B. Адреса подсети 10.1.1.32 для машин узла B преобразуются в адреса 192.168.1.32 на узле A.< /p>

Уровень 2, также известный как канальный уровень, является вторым уровнем в семиуровневой эталонной модели OSI для проектирования сетевых протоколов. Уровень 2 эквивалентен канальному уровню (самый нижний уровень) в сетевой модели TCP/IP. Layer2 — это сетевой уровень, используемый для передачи данных между соседними сетевыми узлами в глобальной сети или между узлами в одной и той же локальной сети.

Кадр — это единица данных протокола, наименьшая единица битов в сети уровня 2. Кадры передаются и принимаются от устройств в одной и той же локальной сети (LAN). В отличие от битов, фреймы имеют определенную структуру и могут использоваться для обнаружения ошибок, действий плоскости управления и т.д. Не все кадры несут пользовательские данные. Сеть использует некоторые кадры для управления самим каналом передачи данных..

На уровне 2 одноадресная рассылка означает отправку кадров с одного узла на один другой узел, тогда как многоадресная рассылка означает отправку трафика с одного узла на несколько узлов, а широковещательная рассылка относится к передаче кадров всем узлам в сети. Домен широковещательной рассылки – это логическое подразделение сети, в котором все узлы этой сети могут быть достигнуты на уровне 2 посредством широковещательной рассылки.

Сегменты локальной сети могут быть связаны на уровне фрейма с помощью мостов. Мостовое соединение создает отдельные широковещательные домены в локальной сети, создавая виртуальные локальные сети, которые представляют собой независимые логические сети, объединяющие связанные устройства в отдельные сетевые сегменты. Группировка устройств в VLAN не зависит от физического расположения устройств в локальной сети. Без моста и VLAN все устройства в локальной сети Ethernet находятся в одном широковещательном домене, и все устройства обнаруживают все пакеты в локальной сети.

Пересылка – это ретрансляция пакетов из одного сегмента сети в другой узлами сети. В VLAN кадры, источник и получатель которых находятся в одной и той же VLAN, пересылаются только в пределах локальной VLAN. Сегмент сети – это часть компьютерной сети, в которой каждое устройство обменивается данными на одном и том же физическом уровне.

Слой 2 содержит два подслоя:

Подуровень управления логическим каналом (LLC), отвечающий за управление каналами связи и обработку кадрового трафика.

Подуровень управления доступом к среде (MAC), который управляет протокольным доступом к физической сетевой среде. Используя MAC-адреса, назначенные всем портам коммутатора, несколько устройств на одном физическом канале могут однозначно идентифицировать друг друга.

Порты или интерфейсы на коммутаторе работают либо в режиме доступа, либо в режиме тегированного доступа, либо в режиме магистрали:

Порты

режима доступа подключаются к сетевому устройству, такому как настольный компьютер, IP-телефон, принтер, файловый сервер или камера наблюдения. Сам порт принадлежит к одной VLAN. Кадры, передаваемые через интерфейс доступа, являются обычными кадрами Ethernet. По умолчанию все порты коммутатора находятся в режиме доступа.

Порты

Tagged-Access Mode подключаются к сетевому устройству, такому как настольный компьютер, IP-телефон, принтер, файловый сервер или камера наблюдения. Сам порт принадлежит к одной VLAN. Кадры, передаваемые через интерфейс доступа, являются обычными кадрами Ethernet. По умолчанию все порты коммутатора находятся в режиме доступа. Режим тегированного доступа подходит для облачных вычислений, в частности для сценариев, включающих виртуальные машины или виртуальные компьютеры. Поскольку несколько виртуальных компьютеров могут быть включены в один физический сервер, пакеты, сгенерированные одним сервером, могут содержать совокупность пакетов VLAN от разных виртуальных машин на этом сервере. Чтобы приспособиться к этой ситуации, режим доступа с тегами отражает пакеты обратно на физический сервер через тот же нисходящий порт, когда адрес назначения пакета был получен на этом нисходящем порту. Пакеты также отражаются обратно на физический сервер через нисходящий порт, если место назначения еще не известно. Следовательно, третий режим интерфейса, тегированный доступ, имеет некоторые характеристики режима доступа и некоторые характеристики транкового режима:

Порты

магистрального режима обрабатывают трафик для нескольких сетей VLAN, мультиплексируя трафик для всех этих сетей VLAN по одному и тому же физическому соединению. Магистральные интерфейсы обычно используются для соединения коммутаторов с другими устройствами или коммутаторами.

Если настроена собственная VLAN, кадры, не содержащие тегов VLAN, отправляются через магистральный интерфейс.Если у вас есть ситуация, когда пакеты проходят от устройства к коммутатору в режиме доступа, и вы хотите затем отправить эти пакеты с коммутатора через магистральный порт, используйте собственный режим VLAN. Настройте одну VLAN на порту коммутатора (который находится в режиме доступа) как собственную VLAN. Тогда магистральный порт коммутатора будет обрабатывать эти кадры иначе, чем другие тегированные пакеты. Например, если магистральный порт имеет три VLAN, 10, 20 и 30, назначенные ему, причем VLAN 10 является собственной VLAN, кадры в VLAN 10, покидающие магистральный порт на другом конце, не имеют заголовка (тега) 802.1Q. . Существует еще один вариант родной VLAN. Коммутатор может добавлять и удалять теги для непомеченных пакетов. Для этого сначала необходимо настроить одну VLAN как собственную VLAN на порту, подключенном к устройству на границе. Затем назначьте тег идентификатора VLAN для одной собственной VLAN на порту, подключенном к устройству. Наконец, добавьте идентификатор VLAN к магистральному порту. Теперь, когда коммутатор получает непомеченный пакет, он добавляет указанный вами идентификатор и отправляет и получает помеченные пакеты через магистральный порт, настроенный для приема этой VLAN.

Включая подуровни, уровень 2 в серии QFX поддерживает следующие функции:

Одноадресный, многоадресный и широковещательный трафик.

VLAN 802.1Q. Этот протокол, также известный как тегирование VLAN, позволяет нескольким мостовым сетям прозрачно совместно использовать один и тот же физический сетевой канал путем добавления тегов VLAN к кадру Ethernet.

Расширение VLAN уровня 2 на несколько коммутаторов с использованием протокола связующего дерева (STP) предотвращает образование петель в сети.

Изучение MAC-адресов, включая изучение MAC-адресов для каждой сети VLAN и подавление обучения на уровне 2. Этот процесс получает MAC-адреса всех узлов в сети

Агрегация каналов. Этот процесс группирует интерфейсы Ethernet на физическом уровне для формирования единого интерфейса канального уровня, также известного как группа агрегации каналов (LAG) или пакет LAG

.

Агрегация каналов не поддерживается на устройствах NFX150.

Управление штормом на физическом порту для одноадресной, многоадресной и широковещательной рассылки

Управление штормом не поддерживается на устройствах NFX150.

Поддержка STP, включая 802.1d, RSTP, MSTP и Root Guard

См. также

Обзор коммутации Ethernet и прозрачного режима уровня 2

Прозрачный режим уровня 2 позволяет развертывать брандмауэр без внесения изменений в существующую инфраструктуру маршрутизации. Брандмауэр развертывается как коммутатор уровня 2 с несколькими сегментами VLAN и обеспечивает службы безопасности в сегментах VLAN. Безопасный провод – это специальная версия прозрачного режима уровня 2, позволяющая выполнять развертывание без подключения к Интернету.

Устройство работает в прозрачном режиме, если есть интерфейсы, определенные как интерфейсы уровня 2. Устройство работает в режиме маршрутизации (режим по умолчанию), если нет физических интерфейсов, настроенных как интерфейсы уровня 2.

Для устройств серии SRX прозрачный режим обеспечивает полную безопасность функций коммутации уровня 2. На этих устройствах серии SRX можно настроить одну или несколько сетей VLAN для выполнения коммутации уровня 2. VLAN — это набор логических интерфейсов, которые имеют одинаковые характеристики лавинной или широковещательной рассылки. Как и виртуальная локальная сеть (VLAN), VLAN охватывает один или несколько портов нескольких устройств. Таким образом, устройство серии SRX может функционировать как коммутатор уровня 2 с несколькими виртуальными локальными сетями, которые входят в одну и ту же сеть уровня 2.

В прозрачном режиме устройство серии SRX фильтрует пакеты, проходящие через устройство, без изменения какой-либо информации об источнике или получателе в заголовках IP-пакетов. Прозрачный режим удобен для защиты серверов, которые в основном получают трафик из ненадежных источников, поскольку нет необходимости перенастраивать параметры IP-адресов маршрутизаторов или защищаемых серверов.

В прозрачном режиме все физические порты на устройстве назначаются интерфейсам уровня 2. Не направляйте трафик уровня 3 через устройство. Зоны уровня 2 можно настроить для размещения интерфейсов уровня 2, а политики безопасности можно определить между зонами уровня 2. Когда пакеты перемещаются между зонами уровня 2, к этим пакетам могут применяться политики безопасности.

В таблице 1 перечислены функции безопасности, которые поддерживаются и не поддерживаются в прозрачном режиме для коммутации уровня 2.

Шлюзы прикладного уровня (ALG)

Аутентификация пользователя брандмауэра (FWAUTH)

Обнаружение и предотвращение вторжений (IDP)

Единое управление угрозами (UTM)

Преобразование сетевых адресов (NAT)

На устройствах SRX300, SRX320, SRX340, SRX345 и SRX550M распространение DHCP-сервера не поддерживается в прозрачном режиме уровня 2.

Кроме того, устройства серии SRX не поддерживают следующие функции уровня 2 в прозрачном режиме уровня 2:

Протокол связующего дерева (STP), RSTP или MSTP. Пользователь несет ответственность за отсутствие петель лавинной рассылки в топологии сети.

Отслеживание протокола управления группами Интернета (IGMP) — протокол передачи сигналов между хостом и маршрутизатором для IPv4, используемый для сообщения о членстве в группе многоадресной рассылки соседним маршрутизаторам и определения присутствия членов группы во время многоадресной рассылки IP.

Виртуальные локальные сети с двойным тегированием или идентификаторы VLAN IEEE 802.1Q, инкапсулированные в пакеты 802.1Q (также называемые тегами VLAN «Q in Q»): на устройствах серии SRX поддерживаются только идентификаторы VLAN без тегов или одинарные теги.

Неквалифицированное обучение VLAN, при котором для обучения внутри VLAN используется только MAC-адрес — обучение VLAN на устройствах серии SRX является квалифицированным; то есть используются как идентификатор VLAN, так и MAC-адрес.

Кроме того, на устройствах SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 или SRX650 некоторые функции не поддерживаются. (Поддержка платформы зависит от версии ОС Junos в вашей установке.) Следующие функции не поддерживаются для прозрачного режима уровня 2 на указанных устройствах:

G-ARP на интерфейсе уровня 2

Мониторинг IP-адресов на любом интерфейсе

Транзит трафика через IRB

Интерфейс IRB в экземпляре маршрутизации

Интерфейс IRB, обрабатывающий трафик уровня 3

Интерфейс IRB является псевдоинтерфейсом и не принадлежит к интерфейсу reth и группе резервирования.

Прозрачный режим уровня 2 на концентраторе портов линейного модуля SRX5000

Концентратор портов линейного модуля SRX5000 (SRX5K-MPC) поддерживает прозрачный режим уровня 2 и обрабатывает трафик, когда устройство серии SRX настроено на прозрачный режим уровня 2.

Когда SRX5K-MPC работает в режиме уровня 2, вы можете настроить все интерфейсы на SRX5K-MPC как коммутационные порты уровня 2 для поддержки трафика уровня 2.

Блок обработки безопасности (SPU) поддерживает все службы безопасности для функций коммутации уровня 2, а MPC доставляет входящие пакеты в SPU и пересылает исходящие пакеты, инкапсулированные SPU, на исходящие интерфейсы.

Если устройство серии SRX настроено в прозрачном режиме уровня 2, вы можете включить интерфейсы на MPC для работы в режиме уровня 2, определив одно или несколько логических устройств на физическом интерфейсе с типом адреса семейства как коммутацию Ethernet. Позже вы можете приступить к настройке зон безопасности уровня 2 и настройке политик безопасности в прозрачном режиме. После этого настраиваются топологии следующего перехода для обработки входящих и исходящих пакетов.

Потоки IPv6 в прозрачном режиме на устройствах безопасности

В прозрачном режиме устройство серии SRX фильтрует пакеты, проходящие через устройство, без изменения какой-либо информации об источнике или получателе в заголовках MAC пакетов. Прозрачный режим удобен для защиты серверов, которые в основном получают трафик из ненадежных источников, поскольку нет необходимости перенастраивать параметры IP-адресов маршрутизаторов или защищаемых серверов.

Устройство работает в прозрачном режиме, когда все физические интерфейсы на устройстве настроены как интерфейсы уровня 2. Физический интерфейс является интерфейсом уровня 2, если он настроен с параметром Ethernet-коммутации на уровне иерархии [ edit interfaces interface-name unit unit-number family ]. Нет команды для определения или включения прозрачного режима на устройстве. Устройство работает в прозрачном режиме, когда есть интерфейсы, определенные как интерфейсы уровня 2. Устройство работает в режиме маршрутизации (режим по умолчанию), если все физические интерфейсы настроены как интерфейсы уровня 3.

По умолчанию потоки IPv6 удаляются на устройствах безопасности. Чтобы включить обработку функциями безопасности, такими как зоны, экраны и политики брандмауэра, необходимо включить пересылку на основе потока для трафика IPv6 с параметром конфигурации режима на основе потока на уровне иерархии [ edit security forwarding-options family inet6 ]. При изменении режима необходимо перезагрузить устройство.

В прозрачном режиме вы можете настроить зоны уровня 2 для размещения интерфейсов уровня 2, а также определить политики безопасности между зонами уровня 2. Когда пакеты перемещаются между зонами уровня 2, к этим пакетам могут быть применены политики безопасности. Для трафика IPv6 в прозрачном режиме поддерживаются следующие функции безопасности:

Кластеры шасси уровня 2 в прозрачном режиме.

Следующие функции безопасности не поддерживаются для потоков IPv6 в прозрачном режиме:

В этой статье обсуждается разница между коммутаторами уровня 2 и уровня 3, а также соответствующие варианты использования каждого из них.

Обзор

Традиционная коммутация работает на уровне 2 модели OSI, где пакеты отправляются на определенный порт коммутатора на основе MAC-адресов назначения. Маршрутизация работает на уровне 3, где пакеты отправляются на определенный IP-адрес следующего перехода на основе IP-адреса назначения. Устройствам в одном и том же сегменте уровня 2 не требуется маршрутизация для доступа к локальным одноранговым узлам.Однако необходим MAC-адрес назначения, который можно разрешить с помощью протокола разрешения адресов (ARP), как показано ниже:

Здесь ПК А хочет отправить трафик на ПК Б по IP-адресу 192.168.1.6. Однако он не знает уникальный MAC-адрес, пока не обнаружит его через ARP, который широковещательно рассылается по всему сегменту уровня 2:

Затем он отправляет пакет на соответствующий MAC-адрес назначения, который коммутатор затем перенаправляет на правильный порт на основе своей таблицы MAC-адресов.

В среде коммутатора уровня 2 существует широковещательный домен. Любой широковещательный трафик на коммутаторе будет пересылаться на все порты, за исключением порта, на который прибыл широковещательный пакет. Широковещательные сообщения содержатся в одном и том же сегменте уровня 2, поскольку они не пересекают границу уровня 3.

Большие широковещательные домены уровня 2 могут быть подвержены некоторым непреднамеренным проблемам, таким как широковещательные штормы, которые могут вызвать перебои в работе сети. Кроме того, может быть предпочтительнее разделить определенных клиентов на разные широковещательные домены по соображениям безопасности и политики. Именно тогда становится полезным настроить VLAN. Коммутатор уровня 2 может назначать виртуальные локальные сети определенным портам коммутатора, которые, в свою очередь, находятся в разных подсетях уровня 3 и, следовательно, в разных широковещательных доменах. VLAN обеспечивают большую гибкость, позволяя различным сетям уровня 3 совместно использовать одну и ту же инфраструктуру уровня 2. На изображении ниже показан пример среды с несколькими VLAN на коммутаторе уровня 2:

Поскольку виртуальные локальные сети существуют в собственной подсети уровня 3, для передачи трафика между виртуальными локальными сетями потребуется маршрутизация. Здесь можно использовать коммутатор уровня 3. Коммутатор уровня 3 — это, по сути, коммутатор, который может выполнять функции маршрутизации в дополнение к коммутации. Клиентскому компьютеру требуется шлюз по умолчанию для подключения уровня 3 к удаленным подсетям. Когда компьютер отправляет трафик в другую подсеть, MAC-адрес назначения в пакете будет адресом шлюза по умолчанию, который затем примет пакет на уровне 2 и перенаправит трафик в соответствующий пункт назначения на основе своей таблицы маршрутизации.

На приведенной ниже диаграмме показан пример коммутационной маршрутизации уровня 3 между сетями VLAN через два интерфейса VLAN. Как и прежде, устройству уровня 3 по-прежнему необходимо разрешить MAC-адрес ПК B с помощью запроса ARP, переданного в сеть VLAN 20. Затем оно перезаписывает соответствующий MAC-адрес назначения и пересылает пакет обратно из сегмента уровня 2:

Дополнительные ресурсы

Обзор коммутатора уровня 3 — обзор настройки маршрутизации уровня 3 на коммутаторах Cisco Meraki

Пример коммутатора уровня 3 — пример конфигурации с использованием маршрутизации уровня 3 на коммутаторах Cisco Meraki

Рекомендации по тегированию VLAN 802.1q – информация о правильном использовании тегов VLAN

Читайте также: