Ing. Petr Lampa, lampa@fee.vutbr.cz
Ústav informatiky a výpočetní techniky,
Fakulta elektrotechniky a informatiky, VUT v Brně, Božetěchova 2, 612 66 Brno
Známý Moorův zákon nám říká, že výkon procesorů se v průměru zdvojnásobuje po dvou letech. Výkon procesorů tak vzrostl od roku 1978 do roku 1996 z 1 MIPS na 300 MIPS. Zároveň se o několik řádů zvětšila průměrná velikost operační paměti, pevných disků i aplikací. Přitom ceny počítačů, pevných disků a pamětí vztažené na jednotku výkonu, či kapacity stále klesají, takže lze dosáhnout stále levněji vyššího výkonu. Většina instalovaných počítačů je dnes propojena lokálními počítačovými sítěmi a uživatelé chtějí využívat výhod sdílení dat a aplikací. V nejbližší budoucnosti lze navíc očekávat rostoucí nároky na přenos dat v reálném čase (obraz, zvuk). Lokální počítačová síť typu Ethernet s přenosovou kapacitou 10 Mb/s sdílenou všemi účastníky připojenými na jednu sběrnici již dávno přestala vyhovovat, protože běžný osobní počítač třídy Pentium je schopný ji zcela zahltit. Dnešní pevné disky dosahují běžně přenosových rychlostí přes 150 Mb/s a je jasné, že pokud nebude mít lokální síť podobné parametry, nebudou uživatelé akceptovat řádově delší odezvy při použití serveru.
Tradiční struktura lokální přestává vyhovovat díky rozšíření nové generace operačních systémů typu Windows 95/NT, kde může každý počítač zveřejňovat své zdroje, vystupovat v roli serveru a podstatným způsobem ovlivnit tok dat v síti. Tím narůstá složitost návrhu sítě a požadavky na vzájemnou komunikaci často neodpovídají fyzické topologii sítě.
Nezanedbatelným také není požadavek dostatečně dimenzovaného propojení prostorově vzdálených areálů a budov, jehož důležitost bude do budoucna také vzrůstat. Zatím byly počítačové sítě budovány jako oddělené lokální sítě, propojené pomalými linkami. Uživatelé však vyžadují rychlý přístup ke zdrojům bez ohledu na to, kde leží. Efektivní využití instalovaných výkonných serverů vyžaduje podstatné zvýšení přenosové kapacity mezi budovami a areály. Rostoucí složitost systémů rovněž vyžaduje odbornou správu a je proto výhodné soustřeďovat servery do míst, kde je zajištěno odpovídající prostředí a zabezpečení. Tím se ovšem zase dále zvyšují nároky na přenosovou kapacitu sítě vedoucí k těmto serverům.
Cesty ke zvýšení propustnosti lokální sítě jsou v zásadě dvojí: segmentace a zvýšení přenosové rychlosti. Segmentace spočívá v logickém rozdělení sítě na úrovni druhé vrstvy modelu OSI. Historicky se k segmentaci sítě nejprve používaly mosty (bridge), postupným vývojem se z víceportových mostů vyčlenila samostatná skupina zařízení přepínače (switch). Přepínače jsou schopny detekovat adresy připojených zařízení a rozesílat přijaté rámce pouze na ty porty, na které jsou připojena cílová zařízení. Pokud je přepínač schopen přijímat plný provoz ze všech portů a současně jej odesílat na patřičné cílové porty, může propustnost sítě znásobit úměrně počtu portů. To ovšem platí pouze v ideálním případě, kdy mezi sebou komunikují zařízení na různých portech přepínače. V praxi bude komunikace směřovat převážně z klientských stanic na server a naopak. Pokud by byl server připojen stejnou přenosovou rychlostí jako klienti, docházelo by často k zahlcení portu přepínače k serveru, ztrátě rámců, tím by došlo k opakování přenosu a dalšímu růstu zahlcení. Poměr sumární přenosové kapacity vstupních portů, které generují tok dat, k sumární přenosové kapacitě výstupních portů, kterými tok dat odchází, se nazývá koeficient agregace. Koeficient agregace v intervalu 2 až 4 je ještě přijatelný, protože klientské stanice nebudou nikdy generovat trvalou zátěž. Příliš velký koeficient agregace ovšem znamená nebezpečí zahlcení výstupních portů a problémy s tím spojené.
Přepínač se všemi porty s přenosovou rychlostí 10 Mb/s v klasické lokální síti, kde je pouze jeden server a sada klientů, příliš ke zvýšení propustnosti síti nepřispěje. Své opodstatnění ovšem má v síti, kde je serverů více, nebo kde je významná část toku dat mezi klientskými počítači (zveřejněné lokální zdroje Windows 95/NT). Pro větší síť ovšem nezbude nic jiného, než docílit přijatelnějšího koeficientu agregace zvětšením přenosové rychlosti portů, na které jsou připojeny servery. Toto pravidlo platí obecně, pokud máme přepínač, který má všechny porty s přenosovou rychlostí 100 Mb/s, jsme opět ve stejné situaci a nezbývá než uvažovat o několika portech 1000 Mb/s. V praxi se oba principy doplňují, pro oddělení toků dat je nezbytné opustit sdílenou sběrnici a použít segmentování, pro dostatečnou kapacitu páteřních spojů je nezbytné použít vyšších přenosových rychlostí než u klientských stanic.
Pro budování lokálních sítí se s nástupem přepínačů ustálila jednoduchá hierarchická struktura sítě. Lokální síť je tvořena od nejnižší vrstvy rozbočovači nebo přepínači, na střední úrovni přepínači a na vrcholku pyramidy servery.
Obr. 1. Tradiční struktura lokální sítě
Takto vybudovaná lokální síť tvoří jednu doménu z hlediska šíření všesměrového vysílání (broadcast) a je z hlediska vyšších úrovní protokolů (IP, IPX, Netbios) jedinou sítí. To má své výhody (není třeba směrovat), ale také nevýhody, protože se dá jen těžko zavádět jakékoli omezení, filtrace provozu, dělení podle organizační struktury, apod. Nicméně vzhledem k dostupné technologií směrovačů a hlavně jejich ceně, je tato koncepce často používána a doporučována. Řeší základní problém dnešních sítí, cenově přijatelnou dostatečnou přenosovou kapacitu počítačové sítě. Použití přepínačů místo sdílených rozbočovačů je samozřejmě finančně náročnější, ale je třeba uvážit, že za cenu dvoj až třínásobnou se celková přenosová kapacita sítě zvýší ne o tento násobek, ale spíše o řád (běžné přepínače mají 12 až 24 portů). Přepínače zároveň přináší další nezanedbatelné výhody: odolnost vůči poruchám, oddělení provozu, zabránění nežádoucího odposlechu, variabilitu topologie sítě podle zátěže a možnost monitorování chodu sítě.
Doporučení: Z hlediska tradiční koncepce budování lokální sítě je optimálním centrálním prvkem sítě přepínač s několika porty 1000 Mb/s a pokud možno co nejvíce porty 100 Mb/s. U takového přepínače docílíme příznivého koeficientu agregace a máme naději, že zůstane použitelným prvkem po několik následujících let. Výběr ovšem není jednoduchý, a je nutno porozumět některým novým technologiím, které se v poslední době objevují.
Gigabitový Ethernet je nová, rychlejší verze klasického Ethernetu. Je určen především pro páteřní spoje mezi přepínači a servery. Zachovává základní principy Ethernetu 10Mb/s, tj. řízení přístupu k médiu metodou CSMA/CD (Carrier Sense Multiple Access/Collision Detect), formát rámců i adresování.
Vývoj standardu gigabitového ethernetu byl zahájen vytvořením pracovní skupiny HSSG v rámci IEEE v listopadu 1995. Jako základ byl použit ANSI Fiber Channel vrstva FC-1 a FC-0. Práce běžela na standardizační orgán nezvykle rychle, už v létě 1996 bylo v podstatě rozhodnuto kódování a forma přenosu po optickém vláknu a v lednu 1997 byl publikován první návrh standardu. Poslední technické změny nastaly v září 1997 a standard IEEE 802.3z byl formálně přijat v červnu 1998. Tento standard definuje jako přenosové médium pouze optické vlákno, přenos po kroucené dvoulince kategorie 5 je zatím ve vývoji v pracovní skupině standardu IEEE 802.3ab. V červenci 1998 bylo oznámeno, že byly vyřešeny poslední technické problémy a začne proces formálního schvalování standardu s očekávaným ukončením na jaře 1999.
Standard IEEE 803.3z měl být původně přijat již v březnu 1998, ale konečné schválení zpozdil jev nazývaný DMD (Differential Mode Delay). Projevuje se při použití laserů ve spojení s gradientním vláknem, což je kombinace, která se dříve příliš nepoužívala. U některých kombinací konkrétních laserů a typů kabelů dochází k nerovnoměrnému šíření světelných impulsů ve vlákně a díky různým možným cestám šíření v gradientním vláknu dojdou impulsy na konec vlákna několikrát s různým zpožděním. Nepříjemné to je pouze u gradientního kabelu 62,5 m m, u kabelu 50 m m už díky menšímu průměru a tím menšímu počtu různých cest šíření (módů) problém nenastává. Jak se ukázalo, hlavním problémem nebyl ani tak jev samotný, ale spíše nejistota o jeho skutečném projevu v praxi, protože až do té doby nebylo DMD měřeno a nebylo jasné, kolik procent instalované kabeláže bude mít problémy. Byly studovány různé možnosti úprav časování a orientace generovaných světelných paprsků v laseru, ale výsledkem bylo zjištění, že úpravy by nezaručily lepší výsledky na špatných kabelech a naopak by se mohly negativně projevit na kvalitních. Statistickému rozboru bylo věnováno několik zasedání a výsledkem byl závěr, že problémy hrozí pouze u optických kabelů instalovaných do roku 1995 s malou šířkou pásma, používaných původně pro FDDI. Nakonec bylo rozhodnuto zůstat u konzervativního odhadu maximální délky kabelu pro vlákna MM 62,5 m m (220 m, původně 260 m), byly upřesněny parametry laseru a detektoru s ohledem na odolnost vůči vícenásobné detekci impulsu a definována testovací procedura pro ověření konformity laserů. V praxi lze bez problémů limity pro vlákno 62,5 m m překročit, ale nikdo nezaručí, že to skutečně bude fungovat. Jediná cesta je, koupit zařízení s transceivery 1000BASE-SX, odzkoušet, a pokud nastanou problémy, vyměnit transceivery za 1000BASE-LX.
|
Standard |
typ vlákna |
průměr (um) |
šířka pásma (MHz*km) |
vzdálenost (m) |
|
1000BASE-SX |
MM |
62.5 |
160 (TIA 568) |
2 to 220 |
|
" |
MM |
62.5 |
200 (ISO/IEC 11801) |
2 to 275 |
|
" |
MM |
50 |
400 |
2 to 500 |
|
" |
MM |
50 |
500 (ANSI FC) |
2 to 550 |
|
1000BASE-LX |
MM |
62.5 |
500 |
2 to 550 |
|
" |
MM |
50 |
400 |
2 to 550 |
|
" |
MM |
50 |
500 |
2 to 550 |
|
" |
SM |
9 |
NA |
2 to 5000 |
Tab. 1 Limity délky spojů Gigabitového Ethernetu
Uvedená maximální délka monovidového vlákna je dána pouze útlumem, běžně jsou dodávány prvky s dosahem 10 km a nestandardní převodníky pracující na vlnové délce 1500 nm jsou schopny překlenout vzdálenost až 100 km.
Doporučení: U nových instalací používat vlákno 50 um 500/500 MHz*km
Termín virtuální síť se používá pro skupinu síťových zařízení, které jsou libovolně propojeny počítačovou sítí a chovají se stejně, jako by byly na společném fyzickém médiu odděleném od zbývající části sítě. Virtuální sítě tak umožňují propojit vzdálená zařízení a zároveň je oddělit od jiných virtuálních sítí. Segmenty lokální sítě, ve kterých se šíří všesměrové vysílání, tak nejsou omezeny fyzickými spoji, ale mohou být definovány libovolně dle potřeby. Virtuální sítě segmentují velké sítě do logických celků, které vystupují jako nezávislé lokální sítě. Rozdělením sítě se dá jednak omezit šíření všesměrového vysílání, jednak je to často nutné z bezpečnostních a administrativních důvodů. Vhodným dělením sítě na menší celky lze také snadněji zvládnout celkový provoz a zátěž sítě. Virtuální sítě samozřejmě nelze vytvářet bez odpovídajících aktivních prvků, přepínačů a směrovačů.
Tradiční koncepce výstavby lokálních sítí spočívala ve vytváření samostatných segmentů a jejich propojení směrovači. Tradiční směrovače jsou však založeny na běžných mikroprocesorech a programovém směrování, čímž je jednak limitována propustnost, jednak jsou výkonné směrovače poměrně drahé. Proto se již od počátku 90. let volila jiná cesta budování lokálních sítí. Pro zvýšení propustnosti sítě bylo doporučeno oddělit tok dat na 2. úrovni modelu OSI pomocí mostů. Most propouští rámce pouze do té části sítě, do které směřují. Začaly se vyrábět víceportové mosty, nazývané přepínače, a ty dovolily významně zvýšit propustnost lokální sítě. Pro napojení serverů nebo propojení přepínačů se ze zpočátku používala technologie FDDI, posléze Fast Ethernet.
Rozloha takto budované sítě je omezena jednak nutností omezit šíření všesměrového vysílání, které se replikuje do všech portů propojených přepínačů, jednak z bezpečnostních a administrativních důvodů. Pro rozdělení lokální sítě na samostatné segmenty lze samozřejmě využít odděleně propojené dedikované přepínače, ale je to nepraktické a omezující. Proto již první modely přepínačů umožňovaly alespoň rozdělit přepínač na samostatné oddělené skupiny portů. Správce si tak mohl na jednom přepínači definovat samostatné segmenty sítě a ty propojit externím směrovačem. Je to vlastně nejjednodušší forma virtuálních sítí založených podle portu (viz obr. 1).
Obr. 2 Virtuální sítě propojené směrovačem
Pro propojení takto vytvořených skupin portů na nezávislých přepínačích však musely být použity samostatné spoje, které nemusely být vždy k dispozici. Navíc je třeba vyhradit pro tento spoj další port přepínače. Přesto je tento typ virtuálních sítí často používán, protože nevyžaduje žádnou podporu na úrovni přepínače.
Obr. 3 Propojení virtuálních sítí dedikovanými spoji
Pro propojení přepínačů by stačil jeden, dostatečně kapacitní spoj, ale je třeba vyřešit bezpečný a spolehlivý přenos rámců z různých virtuálních sítí po tomto spoji. Tento problém se snažily mnohé firmy vyřešit rozšířením standardních rámců o identifikaci virtuální sítě, do které rámec patří. Mezi různé firemní metody značkování rámců patří Cisco ISL, Cisco 802.10, 3COM VLT, apod. Tyto metody jsou vzájemně nekompatibilní a dokonce ani výrobky jedné firmy mnohdy nepodporují značkování rámců u všech typů vyráběných přepínačů. Tato situace samozřejmě komplikovala použití virtuálních sítí v praxi. Problém značkování se nyní zdá být konečně vyřešen, protože většina výrobců ohlásila podporu připravovanému standardu IEEE 802.1Q a mnozí již dodávají přepínače dle tohoto standardu.
Standard IEEE 802.1Q definuje formát přenosu informací o členství ve virtuální sítí a protokol pro přenos informací o definovaných virtuálních sítích mezi přepínači. Pokud podporují přepínače tento standard, pak stačí pro propojení virtuálních sítí vytvořených v těchto přepínačích pouze jeden spoj.
Obr. 4 Sdílený spoj mezi přepínači
Pro přenos informace o členství ve virtuální síti je použito značek rámců dle standardu IEEE 802.1p (viz dále). Značka obsahuje identifikaci virtuální sítě a tento obsah je zachován při průchodu rámcem sítí. Takovéto rámce jsou pak nazývané značkované a putují pouze po spojích, na kterých je povolen přenos značkovaných rámců, což jsou typicky spoje mezi přepínači. Přepínač musí být schopen vkládat značky do rámců dle podporovaných metod vytváření virtuálních sítí. Běžně je podporováno vytváření virtuálních sítí podle portů, takže rámce, které přichází z dané skupiny portů označí přepínač příslušnou značkou virtuální sítě a takto je případně šíří po značkovaných spojích. Na portech přepínače, které vedou ke koncovým zařízením, musí přepínač značky naopak odstraňovat, pokud koncové zařízení nepodporuje standard IEEE 802.1p nebo 802.1Q. Již dnes nabízí někteří výrobci síťových karet podporu značkování a server tak může být připojen po jediném spoji do několika virtuálních sítí, čímž částečně odpadá potřeba směrování mezi virtuálními sítěmi.
Standard IEEE 802.1Q zatím ještě není formálně schválen, ale očekává se bezproblémové přijetí posledního návrhu D11 na prosincovém zasedání. Většina výrobců nabízí aktivní prvky podporující tento standard již od léta 1998.
Pozn.: Standard 802.1Q byl přijat v prosinci 1998.Doporučení: Při výběru aktivních prvků preferovat výrobky podporující vytváření virtuálních sítí a standard IEEE 802.1Q.
Generic Attributte Registration Protocol (GARP) je protokol pro komunikaci mezi přepínači a koncovými zařízeními, který jim umožňuje předávat si hodnoty libovolných atributů. Hodnoty atributů jsou registrovány nebo rušeny lokálně pro port přepínače, ze kterého přišla zpráva o registraci nebo zrušení atributu. Zpráva je pak každým přepínačem šířena do všech portů patřících do stejné domény. Tím je registrace atributu rozšířena mezi všemi aktivními prvky v síti a zaregistrována vždy na tom portu, který je nejblíže zdroji registrace. Pro adresování bylo zvoleno skupinové adresování a vyhrazeny adresy 01:80:C0:0:0:20-2F. První dvě adresy z tohoto rozmezí pak byly přiřazeny prvním definovaným aplikacím protokolu GARP: protokolu GMRP (802.1p) a GVRP (802.1Q). Pokud nerozumí některý z přepínačů protokolu GARP, nic se neděje, protože se jedná o skupinově adresovaný rámec, rozšíří jej do všech portů a je tak pro něj transparentní.
Protokol GARP Multicast Registration Protocol (GMRP) je určen pro registraci skupinových adres, které přijímá dané zařízení. Koncové zařízení tak může přepínači signalizovat, které skupinově adresované rámce má přepínač zasílat do daného portu. Filtrací nepotřebného skupinového vysílání se významně snižuje zátěž přepínače a zvyšuje propustnost sítě. Použití protokolu GMRP musí být samozřejmě provázáno s protokoly pro registraci skupin na vyšších úrovních komunikačních protokolů. Například zařízení komunikující protokolem IP a registrující příjem skupinově adresovaných paketů protokolem IGMP (Internet Group Management Protocol) musí před registrací skupiny protokolem IGMP zaslat registraci protokolem GMRP.
Protokol GARP VLAN Registration Protocol (GVRP) je určen pro registraci virtuálních sítí, které přijímá dané zařízení. Přepínač, které neumí protokol GVRP, musí správce vždy konfigurovat ručně. Při vytvoření virtuální sítě nadefinuje značku virtuální sítě a způsob přiřazení koncových stanic do konkrétní virtuální sítě. Pokud přepínač umí protokol GVRP a všechna připojená zařízení buď patří do implicitní virtuální sítě nebo umí také komunikovat protokolem GVRP, pak nemusí správce virtuální sítě na tomto přepínači konfigurovat. Okolní zařízení oznámí protokolem GVRP, které virtuální sítě mají nadefinovány, přepínač si tyto virtuální sítě vytvoří a současně do nich přiřadí porty, ze kterých přišla registrace. Protokol GVRP tedy zajistí, že použitá značka virtuální sítě je známa sousednímu aktivnímu prvku a že tento aktivní prvek bude rámce s touto značkou zasílat na port, odkud přišla registrace značky protokolem GVRP. Je nutno přiznat, že protokol GVRP má zatím omezené použití, jeho větší rozšíření nastane až v době, kdy budou umět servery a klientské stanice signalizovat tímto protokolem své členství ve virtuálních sítích. Pak teprve skutečně odpadne velká část konfigurace virtuálních sítí v přepínačích, protože budou vytvářeny dynamicky, na popud koncových zařízení. To ovšem vyvolává otázky bezpečnosti, správy a stability.
Standard IEEE 802.1p definuje způsob přenosu prioritně klasifikovaných rámců sítí tvořenou přepínači a mosty. Priorita rámce v intervalu 0 až 7 je dána pomocnou informací (značkou) vloženou do rámce buď přepínačem nebo koncovým zařízením. Pravidla přidělování priority rámcům mohou být různá, mohou být založena na vstupním portu přepínače, na adrese, protokolu, apod. Rámce, které mají vloženou informaci o prioritě, jsou nazývány značkované rámce.
Standard IEEE 802.1D z roku 1998 pak aplikuje prioritní klasifikaci rámců na zpracování rámců v přepínačích a mostech. Klasické přepínače a mosty mají pro každý port jednu výstupní frontu, do které se rámce řadí podle času příchodu. Nový standard povoluje až 8 úrovní výstupních front na jeden port a definuje použití těchto front v závislosti na prioritě rámců dle standardu IEEE 802.1p. Klasifikace priorit byla dlouze diskutována a nakonec byl prioritám přiřazen tento význam:
Hlavní dělení na data citlivá na zpoždění a normální je vedeno tak, aby přepínače s pouze dvěmi úrovněmi front rámců byly schopny zpracovat prioritnější rámce. Dnešní přepínače mají buď 2 (Nortel Accelar, 3COM SuperStack II řada 3300) nebo 4 (Extreme Networks Summit) fronty rámců.
Značka je vložena do rámce bezprostředně za zdrojovou adresu, tedy na místo, kde je u rámce Ethernet II typ protokolu a u rámce IEEE 802.3 délka dat. Značka začíná vyhrazenou hodnotou 0x8100. Podle této hodnoty může tedy libovolné síťové zařízení rozpoznat, že se jedná o značkovaný rámec a patřičně jej zpracovat. Jediný problém může způsobit prodloužení délky rámce nad definovanou horní mez (místo 1518 slabik 1522 slabik). Proto je také připravován nový standard Ethernet IEEE 802.3ac, který povolí přenos značkovaných rámců na všech typech médií a jedinou podstatnou změnou bude zvětšení maximální délky rámce, pokud rámec obsahuje značku 802.1p/Q.
Obr. 5 Formát značkovaných rámců pro Ethernet
Vlastní značka (TAG) se skládá ze tří polí. První pole je vyhrazeno pro prioritu rámce. Má délku tři bity a může tedy definovat prioritu v rozsahu 0 až 7.
Pole CFI je určeno pro signalizaci formátu vložených adres. Má odlišný význam pro Ethernet a Token Ring/FDDI. Při vývoji Token Ringu došlo k nepříjemné komplikaci, když bylo zvoleno opačné pořadí zasílání bitů v oktetech než u Ethernetu. Protože bylo žádoucí zachovat stejné pořadí vysílání bitů v adresách, bylo definováno, že adresa u Token Ringu se vysílá vždy ve formátu bit-reversed (tj. stejně jako u Ethernetu). Ovšem adresa se u Token Ringu může objevit i na jiném místě, než je zdrojová a cílová adresa v hlavičce, a to v seznamu adres u zdrojově směrovaných rámců. Tento seznam adres RIF (Routing Information Field) následuje za zdrojovou adresou před polem délka/typ. Logicky by tedy měl být kódován v normálním datovém pořadí bitů, ale bylo usouzeno, že pravidlo bit-reversed kódování adresy má přednost a že i vložená adresa má být ve stejném formátu jako v hlavičce. Protokol FDDI situaci dále zkomplikoval tím, že volitelně dovoluje přenos pole RIF ve stejném formátu jako Token Ring, ale používá normální pořadí bitů v hlavičce i datové části stejně jako Ethernet. Pole CFI u těchto protokolů tedy slouží pro indikaci, zda je vložená adresa v normálním pořadí bitů, či opačném. Pokud adresa není v normálním formátu (CFI=1) a zařízení neumí reverzovat pořadí bitů v oktetech adresy, může být rámec zahozen.
Pokud jsou sítě Token Ring/FDDI propojeny sítí Ethernet nebo FDDI bez zdrojového směrování, je žádoucí, aby byla transparentně přenášena i informace o zdrojovém směrování. Příznak CFI s hodnotou 1 zde signalizuje, že za polem délka/typ následuje vložené pole směrování E-RIF, které má podobný formát jako u Token Ringu. Navíc obsahuje příznak NCFI (N), který má opět význam signalizace formátu vložených adres.
Pole VID značky obsahuje informaci o příslušnosti do virtuální sítě, čili značku virtuální sítě. Značka je tvořena celým číslem v intervalu 1 až 4095. Hodnota 0 je vyhrazena pro rámce, které nepatří do žádné konkrétní virtuální sítě (například prioritně klasifikované rámce v prostředí bez virtuálních sítí).
Rozsáhlé sítě se neobejdou bez rychlých páteřních spojů mezi přepínači umístěnými v jednotlivých distribučních centrech. Pro tyto spoje bylo dříve ideální nasazení technologie FDDI, protože zajišťuje redundantní spojení a tím odolnost vůči výpadku jednoho spoje. Při použití Ethenetu 100 Mb/s nebo 1 Gb/s redundance zajištěna není a u páteřních spojů to může být závažným problémem. Mnohé firmy proto nabízí privátní řešení agregace a redundance spojů mezi přepínači. Obvykle jsou tato řešení omezena na přepínače stejného typu a některé kombinace portů na daných přepínačích. Je zde tedy situace podobná jako u virtuálních sítí do prosazení standardu IEEE 802.1Q. Řešením by měl být opět obecný standard IEEE 802.3ad. Ten by měl přinést jednak protokol pro dynamickou konfiguraci agregace spojů (předpokládá se rozšíření standardního algoritmu Spanning Tree), jednak definici metody sdílení zátěže (load sharing) po agregovaných spojích. Pro deterministické sdílení zátěže se předpokládá použití metody hašování zdrojové a cílové MAC adresy, čili dle kombinace adres budou chodit rámce vždy konkrétním agregovaným spojem, čímž je elegantně zajištěno správné pořadí rámců. Nevýhodou je statisticky sice rovnoměrné, ale ve skutečnosti dle konkrétních MAC adres potenciálně nerovnoměrné zatížení spojů. Agregace spojů bude definována pro všechny rychlosti Ethernet 10/100/1000 Mb/s, ale pouze pro spoje full duplex, tedy mezi přepínači nebo přepínači a koncovými zařízeními (servery). První návrh standardu by měl být formulován do konce roku 1998 a jeho schválení se očekává v průběhu následujícího roku.
Doporučení: Před zakoupením aktivního prvku je vhodné zjistit, zda bude podporovat agregaci portů a v jaké formě.
Klasické přepínače pracují s adresami na úrovni 2. vrstvy modelu OSI, s adresami na úrovni Ethernetu, Token Ringu, FDDI, apod. Přepínač je pro vyšší úrovně protokolů neviditelný, neprojevuje se v adresování, nemusí rozumět těmto vyšším protokolům, chová se jako propustné médium. Pokud tedy chceme propojit dvě nezávislé lokální sítě nebo virtuální sítě, nezbývá než použít směrovač. Směrovač už musí rozumět vyšším protokolům (IP, IPX, DECnet, IBM SNA, ISO OSI, apod.) a musí také komunikovat s ostatními směrovači příslušným směrovacím protokolem (RIP, OSPF, BGP, apod.). Vzhledem ke složitosti a počtu různých vyšších protokolů byly směrovače až do poměrně nedávné doby řešeny softwarově na univerzálních mikroprocesorech. Výkon směrovače tak přímo závisí na výpočetním výkonu zabudovaného procesoru. Čím výkonnější směrovač, tím dražší a náročnější architektura směrovače. Směrování plnou rychlostí média začíná být problematické u Ethernetu 100 Mb/s, kdy musí být paket zpracován během 6 m s a téměř nerealizovatelné u gigabitového Ethernetu, kde je na zpracování paketu k dispozici pouze 0,6 m s. Směrovače, které jsou schopny plnou rychlostí zpracovávat 100 Mb/s, mají většinou dedikované procesory pro každý port nebo pro skupinu portů v jednom modulu směrovače. Je jasné, že cena takového směrovače se pohybuje o několik řádu výše než cena přepínače a navíc disproporce mezi propustností přepínačů a směrovačů stále roste. Ve větších sítích se bez směrovačů neobejdeme, ale vzhledem k jejich malé propustnosti a vysoké ceně je nutné odstranit je z centra sítě někam, kde provoz příliš nebrzdí. Tvorba virtuálních sítí je tak silně omezena na skupiny počítačů využívající stejné servery, protože mezi klienty a server nelze vložit směrovač. Při rozboru situace se pak většinou dospělo k závěru, že virtuální sítě nemá smysl zavádět.
S mohutným rozšířením Internetu a protokolů TCP/IP se situace v oblasti směrování začíná měnit. Místo původně několika rovnocenných protokolů začíná dnes silně převažovat protokol jediný - IP. V této situaci lze uvažovat o hardwarové realizaci směrování na podobném principu, jako jsou konstruovány přepínače. Přes omezení na jeden (či dva) protokoly se jedná o problém podstatně složitější než u přepínání na úrovni 2. vrstvy. Pro ilustraci si můžeme uvést ideové schéma směrování protokolu IP.
|
VERS |
HLEN |
STYPE |
LENGTH |
|
|
IDENT |
FLGS |
FRAG. OFFSET |
||
|
TTL |
PROTO |
HEADER CHECKSUM |
||
|
SOURCE IP ADDRESS |
||||
|
DESTINATION IP ADDRESS |
||||
Obr. 6 Hlavička paketu IP
Funkce směrování paketů může být svěřena specializovanému hardware, jedinou komplikací je bod 3 a zpracování paketů s nestandardní hlavičkou. Vytváření směrovací databáze (Forwarding Database) a komunikace směrovacími protokoly je řešena programově, běžným mikroprocesorem. Ten ovšem nestojí v cestě toku dat a jeho výkon příliš neovlivňuje propustnost takového směrovače. Ve skutečnosti je první paket s danou cílovou adresou vždy zpracován programově, procesor vyhledá ve směrovacích tabulkách cílovou adresu IP příslušného směrovače pro danou síť, dle ní najde příslušnou adresu MAC na úrovni 2. vrstvy a tuto dvojici zapíše do směrovací databáze. U následujících paketů se stejnou cílovou adresou pak je schopen specializovaný hardware rychle najít ve směrovací databází odpovídající záznam a z něho určit cílovou adresu a port, kam má být paket odeslán. Díky programovému vytváření směrovací databáze je možno implementovat i složitější směrování s filtrací paketů, dokonce i na úrovni portů protokolu TCP/UDP.
Funkce směrování na úrovni 3. vrstvy je sice odlišná od přepínání na úrovni 2. vrstvy, nicméně zařízení, která tuto funkci mají, podporují také přepínání, přestože to architekturu zařízení komplikuje a prodražuje. Důvod je vcelku zřejmý, konfigurovatelné zařízení, které může na libovolném portu dle aktuálních požadavků buď přepínat nebo směrovat, je ideální prvek pro vytváření virtuálních sítí, který zatím scházel. V okamžiku, kdy volba mezi směrováním a přepínáním je čistě administrativní záležitost a není žádný rozdíl v propustnosti, přestává platit tradiční pravidlo vytváření lokálních sítí založených převážně na přepínaní a s minimem směrování. Nyní není problém umístit směrovač ve formě přepínače na úrovni 3. vrstvy do centra sítě, naopak tento prvek je pro centrum sítě navržen. Přitom je cena o řád nižší než u podobně výkonného směrovače, pokud vůbec existuje. Běžné přepínače integrovaným směrováním mají propustnost od 7 mil. paketů/s výše, zatímco špičkové klasické směrovače dosahují propustnosti 1 mil. paketů/s. Na rozdíl od různých privátních řešení směrování, které budou popsány v následující kapitole, komunikují tyto přepínače standardními směrovacími protokoly, takže jejich nasazení nevyžaduje žádné změny v programovém vybavení. Je ovšem jasné, že mnohé funkce klasického směrovače přepínač s integrovaným směrováním nemá a nikdy nebude mít, například složitější filtrování, překlad adres, apod.
Doporučení: Do centra sítě umístit přepínač s integrovaným směrováním, postačuje směrování protokolu IP (NetWare 5.0 už nevyžaduje protokol IPX) a komunikace protokoly RIPv2, případně OSPF.
Popsané otevřené řešení směrování protokolu IP rychlostí média není jediné. Již několik let existují jiná řešení, často spojená s technologií ATM. Většinou vycházejí z podobné myšlenky jako u přepínání na úrovni 3. vrstvy: zpracovat paket klasickým směrováním pouze jednou a následující pakety se stejnou zdrojovou a cílovou adresou přepínat. Například firma Cisco prosazuje hned dvě různé technologie: NetFlow Switching/Cisco Express Forwarding (přepínaní IP v kombinaci s klasickým směrovačem) a Tag switching (pro ATM). Princip Tag Switching se stal také základem standardu vyvíjeného pracovní skupinou IETF Multiprotocol Label Switching. Firma Cabletron prosazuje technologii SecureFast s explicitním vytvářením toků paketů mezi přepínači a drastickou modifikací standardního protokolu ARP a směrování mezi podsítěmi IP. Firma Ipsilon prosazuje technologii IP switching, určenou pro prostředí ATM. Pro ATM navíc existuje standard MPOA (MultiProtocol Over ATM), který by měl řešit efektivní směrování přes síť ATM pro různé vyšší protokoly. Mnohé tyto technologie (s výjimkou MPOA a v budoucnu možná MPLS) mají společné hlavně to, že vyžadují ucelené řešení, založené pouze na výrobcích dané firmy, a to ještě jen některých.
Poněkud zajímavější je řešení firmy 3COM Fast IP, které může být použito jako čistě programové. Aplikuje protokol NHRP (Next Hop Resolution protocol) v prostředí virtuálních sítí nad přepínanou lokální sítí pro zkrácené směrování mezi koncovými zařízeními. Aktivními prvky jsou koncová zařízení, obvykle ovladače síťových karet. Pakety na určitou cílovou adresu jdou počátečně standardní cestou přes směrovač, který propojuje virtuální sítě. Současně vyšle odesílatel stejnou cestou požadavek NHRP. Pokud má cílové zařízení ovladač FastIP, odpoví na požadavek NHRP a zašle zpět odpověď obsahující adresu MAC cílového zařízení včetně případné značky virtuální sítě dle IEEE 802.1Q. Pro zasílání dalších paketů na stejnou adresu pak může odesílatel použít zkrácenou cestu, jako cílovou adresu použije sdělenou adresu MAC a značku virtuální sítě, čímž zcela obejde směrovač. Předpokladem ovšem je, že přepínač přijímá rámce s jinými značkami virtuálních sítí než je nakonfigurována pro dané zařízení. Tato metoda distribuovaného směrování (směruje vlastně odesílatel) je elegantní, dostupná zdarma (jako součást Dynamic Access Software) a z hlediska kompatibility ještě přijatelná, zůstává ovšem otázkou bezpečnost a stabilita směrování v případě dynamických změn topologie sítě.
Doporučení: Vyhnou se privátním řešením, byť se zdají být sebedokonalejší.
Technologie ATM byla počátkem 90. let prosazována je všespásný lék na problémy lokálních i rozlehlých sítí. Po získání zkušeností z prvních reálných instalací přišlo poměrně rychlé vystřízlivění a čekání na nové verze protokolů, přepínačů a síťových karet. V dnešní době je vše potřebné k dispozici, ale hromadný přechod na ATM v oblasti lokálních sítí nenastal a je otázkou, zda nastane. Především ATM s rychlostí 155 Mb/s nepřináší výrazně vyšší přenosovou rychlost než Ethernet 100 Mb/s, ale stojí o řád více (síťové karty+přepínač). Pokud je ATM použito pouze v režimu emulace LAN, pak není žádným přínosem pro provoz sítě. Pokud má být ATM použito v nativním módu, vyžaduje změnu síťových vrstev operačních systémů a také aplikací, které většinou nejsou připraveny na jiné protokoly než IP, případně IPX. Gigabitový Ethernet pak navíc přináší podstatně vyšší přenosovou rychlost při stejné ceně jako ATM 155 Mb/s, standard IEEE 802.1Q vytváření rozlehlých virtuálních sítí v prostředí aktivních prvků různých výrobců a standard IEEE 802.1p prioritní přenos, který může v praxi dostatečně nahradit kvalitu služeb ATM. Zdá se tedy, že v lokálních sítích se ATM v současné podobě a cenách příliš neprosadí.
Použitím přepínače s integrovaným směrováním protokolu IP v centru sítě se do značné míry mění logická topologie sítě, nicméně fyzická struktura sítě zůstává stejná. Na vrcholku pyramidy opět stojí servery, případně spoje mezi přepínači, které musí mít dostatečnou přenosovou kapacitu pro příznivý koeficient agregace. Centrálním aktivním prvkem sítě se nyní stává přepínač s integrovaným směrováním. Pro propojení virtuálních sítí postačuje jeden takovýto přepínač za předpokladu, že spoje mezi přepínači jsou značkované dle IEEE 802.1Q a mají dostatečnou přenosovou rychlost. To, že na níže uvedeném obrázku musí putovat rámce mezi porty virtuální sítě A a B na pravém přepínači přes levý přepínač/směrovač, je zanedbatelné, protože rychlost směrování je srovnatelná s rychlostí přepínání (5 až 10 m s).
Obr. 7 propojení virtuálních sítí integrovaným přepínačem/směrovačem
Doporučení: Do centra sítě instalovat přepínač s integrovaným směrováním. Pro napojení serverů a přepínačů v dalších distribučních místech použít Gigabitový Ethernet, pokud možno s redundantními spoji. Všechny přepínače by měly podporovat standard IEEE 802.1Q.
Jako příklad aplikace nových prvků si uvedeme lokální počítačovou síť Ústavu informatiky a výpočetní techniky FEI VUT v Brně. Lokální síť propojuje téměř 200 počítačů, 6 serverů, dvě desítky pracovních stanic a 8 síťových tiskáren. Více než polovina počítačů je osazena síťovými kartami 10/100 Mb/s. Protože je ústav umístěn ve dvou oddělených budovách, má síť dvě distribuční centra, která jsou propojena 8vláknovým optickým kabelem 50 um. Síť byla budována postupně, dle finančních možností ústavu. Konečný stav před zásadní rekonstrukcí sítě je zachycen na následujícím obrázku.
Obr. 8. Struktura sítě IVT
Tato struktura se zdá být na první pohled přijatelná, ale byla pouhým východiskem z nouze. Veškerý provoz na servery totiž musel procházet rozbočovačem 100 Mb/s a ten díky vznikajícím kolizím limitoval propustnost sítě na 10 až 20 Mb/s. Síť nezbytně vyžadovala přepínač 100 Mb/s, který by umožnil připojit všechny servery a ostatní aktivní prvky. Zakreslený přepínač ATM/Ethernet Centillion 100 je součástí metropolitní sítě a jeho hlavní funkcí je propojení areálu na metropolitní síť. Použití volného modulu 4 x 100 Mb/s pro částečné oddělení provozu lokální sítě bylo dočasným řešením, které stávající problém neřešilo. Celá síť navíc tvořila jednu doménu, což činilo problém s šířením různých inzercí služeb (SAP, Browse Master, apod.), adresací i filtrováním provozu, například do učeben.
Díky grantu FRVŠ bylo možno zvolit řešení, které je na stávající technické úrovni, a zajistí funkčnost sítě pro nejbližších několik let. Řešení spočívá v náhradě stávajících dvou přepínačů CiscoPro CPW 1601 (2 x 100 Mb/s, 16 x 10 Mb/s) o generaci novějšími aktivními prvky Summit 48 (2 x 1 Gb/s, 48 x 10/100 Mb/s) firmy Extreme Networks. Přestože je cena téměř stejná jako počáteční cena přepínače Cisco, jedná se přepínač, který má integrováno směrování protokolu IP plnou rychlostí média (backplane 17,5 Gb/s, směrování 10,1 mil. paketů/s). Přepínač podporuje směrovací protokoly RIPv2 a OSPF, takže umožňuje bezproblémové začlenění do stávající sítě.
Obr. 9 Struktura nové sítě IVT
Toto schéma struktury sítě ovšem nezahrnuje virtuální sítě vytvořené v jednotlivých přepínačích. Použité přepínače umožňují vytváření virtuálních sítí na základě portu, MAC adresy nebo protokolu. Vytvořením virtuální sítě podle protokolu lze například obejít problém směrování pro protokoly, které integrované směrování nepodporuje. V našem případě jsme použili virtuální sítě podle portů a členění virtuálních sítí podle typu provozu:
|
VLAN fakultní sítě |
fakultní servery |
|
VLAN propojení areálů |
virtuální síť propojující všechny areály FEI nad ATM |
|
VLAN AMT |
virtuální síť napojující další ústav v areálu |
|
VLAN zaměstnanecká PC |
kanceláře a server NetWare |
|
VLAN zaměstnanecký Unix |
pracovní stanice v kancelářích a servery Unix |
|
VLAN studentská PC |
počítače v učebnách a server NetWare FIK |
|
VLAN studentský Unix |
pracovní stanice v učebnách a servery Unix |
|
VLAN tiskárny |
síťové tiskárny |
Každá virtuální síť tvoří samostatný virtuální segment sítě z hlediska protokolu IP a má vyhrazeno samostatné číslo podsítě. Integrovaný směrovač v centrálním přepínači Summit 48 propojuje virtuální sítě plnou rychlostí backplane, takže přístup ze zaměstnaneckého osobního počítače na server Unix v jiné virtuální síti je stejně rychlý jako přístup na server NetWare, který je ve stejné virtuální síti. Rozdělením na samostatné podsítě je provoz jednak administrativně rozložen, jednak jej lze jednoduše filtrovat podle čísel podsítí. Z toho důvodu je také vyčleněna virtuální síť síťových tiskáren, protože tiskárny samy o sobě nemají nijakou ochranu proti neoprávněnému použití.
Vývoj aktivních síťových prvků jde mílovými kroky vpřed podobně jako vývoj ostatní výpočetní techniky a není snadné udržet si přehled. Během několika let se zásady budování lokálních sítí několikrát drasticky změnily: koaxiální kabeláž byla nahrazena strukturovanou kabeláží, sdílené prvky typu opakovač, či rozbočovač přepínači, Ethernet 10 Mb/s Fast Ethernetem a nyní Gigabitovým Ethernetem. Každá takováto změna si samozřejmě vyžádala nové finanční prostředky a často odepsání všech předchozích investic, protože stará zařízení nebyla dále použitelná. Mnohé sítě jsou však stále ve stádiu koaxiální kabeláže a nabízí se tedy šance přeskočit některá stádia vývoje. Tento článek je malým pokusem k tomu přispět.
Draft Standard P802.1Q/D11 IEEE Standards for Local and Metropolitan Area Networks: Virtual Bridged Local Area Networks, Internetworking Task Group IEEE 802.1, 1998
Draft Standard P801.1D/D16 Local and metropolitan area networks - Common specifications - Part 3: Media Access Control (MAC) Bridges, (Incorporating IEEE P802.1p:Traffic Class Expediting and Dynamic Multicast Filtering), Internetworking Task Group IEEE 802.1, 1998
Alejandro Arnaiz, Doug Sherman a Bob Gohn: Fast IP, Enhancing Performance and Control in Switched Networks, 3COM, 1997
Edwards, W., L., Hinden, R., Hoffman, E., Ching Liaw., F., Lyon, T., Minshall G.: Ipsilon Flow Management Protokol Specification for IPv4, Version 1.0 , RFC 1953, 1996
IP Host Communication in Bridged, Routed and SecureFast Networks, Cabletron, 1998, URL: http://www.cabletron.com/securefast/ip-sf-wp/
Semeria, C.: Next-Generation Routing for Enterprise Networks: 3Com s FastIP, Cisco s NetFlow Switching, Ipsilon IP Switching, and Cabletron s Secure Fast, 3COM, 1998, URL:http://www.3com.com/technology/tech_net/white_papers/500636.html
Network Design Guidelines, Extreme Networks, 1998,
URL:http://www.extremenetworks.com/extreme/solutions/whitepapers/design.pdf
Summit 48 Data Sheet, Extreme Networks, 1998,
URL: http://www.extremenetworks.com/extreme/docs/productpdf/sum24sum48data.pdf
Tento příspěvek byl vytvořen v rámci grantu FRVŠ 98/0184 Vysokorychlostní páteřní sítě v areálech FEI VUT v Brně