Вы находитесь на странице: 1из 21

Построение сетей Ethernet с использованием коммутаторов Huawei.

1. Основы технологии Ethernet.

1.1. Стандарты IEEE 802

Стандарты семейства IEEE 802.x (рис.1) охватывают физический и канальный уровни модели
OSI, так как именно эти уровни в наибольшей степени отражают специфику локальных сетей.
Согласно стандартам 802.х канальный уровень разделён на два подуровня:

 подуровень логической передачи данных (Logical Link Control, LLC).


 подуровень управления доступом к среде (Media Access Control, MAC).

Рис.1

Подуровень LLC реализует функции интерфейса с прилегающим к нему сетевым уровнем.


MAC-уровень управляет доступом к среде. Этот уровень появился из-за использования в
локальных сетях разделяемой среды передачи данных.

1.2. Адресация и формат фрейма

Адресация в сетях Ethernet. Широковещательный фрейм и широковещательный домен

В сетях Ethernet используется плоская (flat), или неирерархическая адресная схема. MAC-адрес
заносится в ПЗУ сетевой карты производителем. Длина MAC-адреса составляет 48 бит. Адрес
состоит из 2 частей по 24 бита – идентификатор производителя (Organizational Unique Identifier
- OUI) и серийного номера. OUI является уникальным для каждого производителя и
назначается специальным комитетом IEEE. Серийный номер сетевой карты назначается
производителем. Каждая сетевая карта идентифицируется уникальным MAC-адресом, и не
может быть двух сетевых карт с одинаковым MAC-адресом. Для записи MAC-адресов
используют шестнадцатеричную форму, например 00-00-1C-D5-F7-1E или 00:00:1C:D5:F7:1E.
Блок адресов от 01:00:5E:00:00:00 до 01:00:5E:7F:FF:FF в сетях Ethernet используется для
обеспечения групповой рассылки (мультикастинга).
Широковещательный адрес состоит из одних единиц, и в шестнадцатеричном представлении
выглядит следующим образом: FF-FF-FF-FF-FF-FF. Широковещательным доменом (англ.
broadcast domain) называется логический участок компьютерной сети, в котором каждое
устройство может передавать данные непосредственно любому другому устройству используя
широковещательный адрес. Широковещательный фрейм, отправленный одним компьютером,
доставляется всем остальным компьютерам в пределах широковещательного домена.

Формат фрейма Ethernet II


В сетях Ethernet существует 4 типа фреймов: кадр 802.3/LLC (или кадр Novell 802.2), кадр Raw
802.3 (или кадр Novell 802.3), кадр Ethernet DIX (или кадр Ethernet II), кадр Ethernet SNAP.
Большинство устройств Ethernet умеет работать со всеми вышеупомянутыми форматами
фреймов. Чаще всего используется фрейм Ethernet II (рис.2), описание которого приведено
ниже.

Рис.2

· Преамбула состоит из восьми байт синхронизирующих данных. Первые семь байт содержат
последовательность 10101010, а последний байт - 10101011.
· Адрес получателя - MAC-адрес получателя.
· Адрес отправителя - MAC-адрес отправителя.
· Тип протокола – содержит код протокола, использующего фрейм для передачи данных.
Например, значение 0x0800 соответствует протоколу IP, т.е. если значение данного поля равно
0x0800, то это означает, что в поле данных фрейма содержится IP-пакет.
· Поле данных – может содержать от 0 до 1500 байт. Если длина поля меньше 46 байт, то
используется поле заполнения, чтобы дополнить кадр до минимально допустимой длины.
· Поле заполнения обеспечивает определенную минимальную длину поля данных (46 байт).
Это необходимо для корректной работы механизма обнаружения коллизий. Если длина поля
данных достаточна, то поле заполнения не используется.
· Поле контрольной суммы (FCS – Frame Check Sequence)- 4 байта, содержащие значение,
которое вычисляется по определенному алгоритму (полиному CRC-32). Используется для
проверки целостности фрейма.

1.3. Устройства сетей Ethernet

Повторители

Повторитель (англ. repeater) является устройством физического уровня. Повторитель


принимает входные импульсы, восстанавливает их, и передает вновь сформированные
импульсы в следующий сегмент (рис.3).

Рис.3

Также в следующий сегмент передаётся состояние коллизии. Никакого изменения или анализа
поступающих данных не производится. Задержка сигнала повторителем не должна превышать
7,5 битовых интервалов.
Хабы

Сетевой концентратор или хаб (англ. hub) - это многопортовый повторитель.

Битовые импульсы, поступающие на порт хаба, хаб восстанавливает и передаёт на все


остальные порты. Также хаб передаёт на все свои порты состояние коллизии.
Физические сегменты, объединённые при помощи хабов и повторителей, являются разделяемой
средой передачи данных. Сеть, построенная только на хабах и повторителях, является одним
большим доменом коллизий с присущими ему недостатками. Современные сети Ethernet
строятся преимущественно на коммутаторах.

Мосты. Алгоритм работы моста

Мост (bridge) является устройством канального уровня, т.е. “понимает” формат фреймов. Мост
используется для объединения двух сегментов сети. Во включённом состоянии мост формирует
таблицу MAC-адресов (рис.4), каждая запись которой содержит MAC-адрес и номер порта
моста, через который должен быть отправлен фрейм, чтобы он попал на компьютер с данным
MAC-адресом. Таблица MAC-адресов формируется на основе изучения поля “адрес
отправителя”, содержащегося в заголовках фреймов, поступающих на порты моста. Например,
если компьютер A отправит фрейм, то мост принимает этот фрейм на порт 1 и заносит в
таблицу MAC-адресов информацию о том, что для отправки фрейма на компьютер А его нужно
передать через порт 1.

Рис.4

Если в одном из подключенных к мосту сегментов осуществляется передача фрейма, то мост


принимает этот фрейм и проверяет контрольную сумму. Если фрейм не повреждён,
осуществляется анализ адресов отправителя и получателя по таблице MAC-адресов. Если
отправитель и получатель находятся в одном сегменте, то фрейм мостом никуда не передаётся.
Если отправитель и получатель находятся в разных сегментах, фрейм передаётся в следующий
сегмент. Если мост не находит MAC-адрес получателя в таблице MAC-адресов, то фрейм
передаётся в следующий сегмент. Широковещательный фрейм также передаётся в следующий
сегмент.
Состояние коллизии мостом не передаётся. Таким образом, при помощи моста можно разбить
(сегментировать) один домен коллизий на два, что позволяет повысить производительность
сети.

Коммутаторы
Коммутатор (англ. switch) можно рассматривать как многопортовый мост. Коммутатор
формирует таблицу MAC-адресов, на основании которой принимает решение о
перенаправлении фрейма (рис.5).

Рис.5

Если отправитель и получатель находятся в одном сегменте, то фрейм никуда не передаётся.


Если отправитель и получатель находятся в разных сегментах, коммутатор передаёт фрейм в
соответствующий сегмент. Если MAC-адрес получателя в таблице MAC-адресов не найден, то
коммутатор отправляет фрейм через все свои порты кроме того порта, на который этот фрейм
принят. Широковещательный также передаётся во все сегменты, подключенные к коммутатору
за исключением того сегмента, из которого этот широковещательный фрейм поступил.
Состояние коллизии коммутатор не передаёт, что позволяет сегментировать домен коллизий.
Если фрейм должен быть отправлен через занятый в настоящий момент порт, коммутатор этот
фрейм буферизует в своей памяти и отправляет позднее, когда порт освободится.
Принципиальным отличием сетей, построенных на основе коммутаторов без применения хабов
и репитеров, является отсутствие коллизий и возможность достижения полнодуплексного
режима работы. В сетях Ethernet, использующих в качестве среды передачи витую пару,
передача и приём данных осуществляются по разным парам. В сетях Ethernet, использующих в
качестве среды передачи оптоволокно, передача и приём данных осуществляются по разным
волокнам. Если построить сеть таким образом, чтобы каждый компьютер был подключён к
отдельному порту коммутатора, то в такой сети нет коллизий и возможна одновременная
передача и приём данных, т.е. работа в полнодуплексном режиме. В таком случае передачу
данных между двумя компьютерами через коммутируемую сеть можно рассматривать как
создание виртуального соединения точа-точка между двумя компьютерами, что называется
микросегментацией.

Коммутатор – сложное устройство. Для обеспечения более тонкой настройки производятся т.н.
интеллектуальные (managable) коммутаторы, параметры настройки которых можно
программно изменять.

1.4. Основные разновидности Ethernet

1.4.1. На скорости 10Мб/с

10Base-T

Использует в качестве среды передачи UTP CAT 3 и выше. Максимальная длина физического
сегмента 100м. В полнодуплексном режиме возможна одновременная приём и передача
данных, т.е. предоставляется полоса фактически 20Мбит/с. Каждый компьютер соединяется с
хабом или коммутатором отдельным кабелем (рис.6).

Рис.6

Одна пара используется для передачи данных (выход Tx), а другая для приёма данных (вход
Rx). Хаб обнаруживает коллизию в случае одновременной передачи сигналов по нескольким
своим Rx входам и посылает jam-последовательность на все свои Tx выходы.
Возможно иерархическое соединение хабов, при этом число хабов между любыми двумя
станциями сети не должно превышать четырёх (правило четырёх хабов). Общее количество
станций в сети 10Base-T не должно превышать 1024, но на практике количество компьютеров в
одном домене коллизий не должно превышать 10.

1.4.2. 100Мб/с (FastEthernet)

Особенности FastEthernet
Главным отличием сетей FastEthernet является увеличение скорости передачи данных и
соответствующее изменение временных параметров. В целях совместимости для сетей
FastEthernet используется тот же формат фреймов и алгоритм доступа к среде, что и для
10Мбит/с Ethernet.

100Base-TX

Наиболее распространённая разновидность сетей Ethernet. В качестве среды передачи данных


используется UTP категории не ниже 5. Максимальная длина физического сегмента 100м.
Поддерживается полнодуплексный режим.

1.4.3. 1Гбит/с - Gigabit Ethernet

Особенности Gigabit Ethernet

Стандарт Gigabit Ethernet совместим со стандартами Ethernet и Fast Ethernet. Сохраняются все
форматы кадров Ethernet. Существует как полудуплексная версия стандарта, поддерживающая
CSMA/CD, так и полнодуплексная версия, работающая с коммутаторами.
При скорости 1000Мбит/с диаметр сети в полудуплексном режиме сократится до 25м, что
неудовлетворительно. Для увеличения максимального диаметра сети Gigabit Ethernet в
полудуплексном режиме до 200м интервал отсрочки был увеличен до 4096 битовых интервалов
(512 байт). Для этого сетевой адаптер при необходимости добавляет к фрейму дополнительное
поле, названное «расширение носителя» (carrier extension). Если размер кадра меньше 512 байт,
то поле расширения дополняет его до 512 байт. Если же размер кадра превышает 512 байт, то
поле расширения не добавляется. Для увеличения производительности предусмотрен Burst
Mode – монопольный пакетный режим, позволяющий передать подряд несколько кадров общей
длиной не более 8192байт. Если предел 8192 байт достигается на середине кадра, то кадр
передаётся до конца.Каскадное соединение повторителей в Gigabit Ethernet не допускается.

1000Base-T

В качестве среды передачи данных используется UTP категории не ниже 5e. При этом
осуществляется встречная передача по всем четырём парам со скоростью 125Мбит/с, что в
совокупности позволяет достичь полосы пропускания 1Гбит/с. Максимальная длина
физического сегмента 100м.

1000Base-TX

В качестве среды передачи используется UTP категории не ниже 6. Используются 4 пары, 2


пары на приём, 2 пары на передачу. По каждой паре данные передаются со скоростью
500Мбит/с. Максимальная длина физического сегмента 100м. Поддерживается
полнодуплексный режим.

1000Base-SX

В качестве среды передачи данных используется 50/125 и 62.5/125мкм многомодовое


оптоволокно. Максимальная длина физического сегмента составляет 275м и 500м
соответственно. Поддерживается полнодуплексный режим.

1000Base-LX

В качестве среды передачи данных используется 10/125мкм одномодовое оптоволокно,


максимальная длина физического сегмента 5 км. Также может использоваться 50/125 мкм и
62.5/125 мкм многомодовое оптоволокно, в этом случае максимальная длина физического
сегмента составляет 550м. Поддерживается полнодуплексный режим.

1000Base-ZX

В качестве среды передачи данных используется одномодовое оптоволокно. Позволяет


осуществить передачу данных на расстояние до 80км. Поддерживается полнодуплексный
режим.

1.4.4. 10Гбит/с - 10GbE

Особенности 10GbE

Сети 10GbE рассматриваются как решение для построения не только локальных, а также
городских и глобальных сетей. Длина физических сегментов до 40км. Технология
разрабатывалась с учётом последующей интеграции с сетями SONET/SDH. Форматы фреймов
не изменяются, что обеспечивает совместимость с Ethernet, FastEthernet и GigabitEthernet.
10GbE поддерживает только полнодуплексный режим.

10GBASE-SR

Предназначена для использования в многомодовой кабельной инфраструктуре. Максимальная


длина физического сегмента составляет 82 м.

10GBASE-LX4

Использует WDM для передачи данных по оптоволокну. Позволяет использовать


многомодовое оптоволокно, в этом случае максимальная длина физического сегмента 240-
300м. При использовании одномодового оптоволокна максимальная длина физического
сегмента составляет 10км.

10GBASE-LR и 10GBASE-ER

В качестве среды передачи данных используется одномодовое оптоволокно. Максимальная


длина физического сегмента 10км и 40км соответственно.

10GBASE-SW, 10GBASE-LW, и 10GBASE-EW

Обобщённое обозначение 10GBASE-W. Стандарты разработаны с учётом совместимости с


технологией SONET/SDH. Работают на скорости OC-192.

10GBASE-T

Позволяет передавать данные по витой медной паре со скоростью 10 Гбит/с. В витых парах
CAT 7 и CAT 6a доступно расстояние до 100 м. UTP CAT 7 предполагает использование
разъёмов RF-45, не совместимых с RJ-45.UTP CAT 6 можно использовать на расстоянии от 55
до 100 м. В специальном режиме возможно использование UTP CAT 5e на дистанции до 45 м.

1.5. Построение сетей Ethernet на основе коммутаторов

Сеть Ethernet с полностью коммутируемой топологией обладает существенными


преимуществами:
- отсутствие коллизий позволяет увеличить общую производительность сети;
- ограничение на длину сети, обусловленное необходимостью обнаружения коллизий, является
недействительным. Теоретически длина сети неограниченна.
- каждому компьютеру предоставляется фиксированная полоса пропускания;
- поддержка полнодуплексного режима позволяет предоставить удвоенную полосу
пропускания.

Ограничения на размер сети, построенной на коммутаторах

Теоретически размер сети на основе коммутаторов неограничен. Практически существует ряд


ограничений:

Ограничения на размер широковещательного домена

Количество компьютеров в пределах широковещательного домена не должно превышать


нескольких десятков. Широковещательный фрейм, переданный одним компьютером,
доставляется всем остальным компьютерам в пределах широковещательного домена.
Предположим, в широковещательном домене 100 компьютеров, и каждую минуту один
компьютер передаст широковещательный фрейм. Тогда на каждый компьютер за минуту будет
доставлено 99 широковещательных фреймов. Предположим, в широковещательном домене
10000 компьютеров, и за минуту каждый передаст широковещательный фрейм. Тогда на
каждый компьютер будет доставлено 9999 широковещательных фреймов. Таким образом,
увеличение размеров широковещательного домена может спровоцировать широковещательный
шторм (broadcats storm) – ситуацию, в которой объём широковещательного трафика возрастёт
настолько, что это ощутимо уменьшит производительность сети.
Размер таблицы MAC-адресов в коммутаторах также ограничен. Увеличение размеров
широковещательного домена может привести к переполнению таблиц MAC-адресов. В таком
случае при подключении новых компьютеров к сети коммутатор не сможет занести их MAC-
адреса в таблицу MAC-адресов. Тогда фреймы, адресованные этим компьютерам, будут
рассылаться на все порты коммутатора, что неблагоприятно скажется на производительности
сети.

Ограничения на создание избыточных связей

Сеть Ethernet должна иметь древовидную топологию. Наличие петель приводит к размножению
широковещательного трафика. Рассмотрим петлю, изображённую на рис.7.

Рис.7
Предположим, на порт 1 коммутатора A поступает широковещательный фрейм (обозначен
зелёным цветом). Коммутатор A передаёт этот фрейм на свои порты 2 и 3 (обозначен синим
цветом).

Коммутатор B принимает широковещательный фрейм на порт №1, и передают его коммутатору


A через порт №2. Коммутатор B принимает широковещательный фрейм на порт №2, и
передают его коммутатору A через порт №1 (обозначены красным цветом). Получив
широковещательный фрейм от B на порт №2, коммутатор A отправит его через порты 1 и 3.
Получив широковещательный фрейм от B на порт №1, коммутатор A также отправит его через
порты 2 и 3 (обозначено серым цветом). Таким образом, в петлях происходит размножение
широковещательного трафика, что приводит к снижению производительности или
неработоспособности сети. Невозможность создания петель накладывает ограничения на
создание альтернативных маршрутов или резервных соединений. Отчасти это ограничение
можно обойти с помощью агрегации каналов или использования протокола Spanning Tree, но
ограничения на размер широковещательного домена этим не устраняются. Поэтому при
дальнейшем росте сети необходимо использовать маршрутизаторы, которые не передают
широковещательный трафик и позволяют сегментировать широковещательный домен.

Протокол STP

Spanning Tree Protocol (протокол покрывающего дерева) позволяет организовывать избыточные


связи. Коммутаторы с поддержкой STP выбирают корневой коммутатор – root bridge, который
будет корнем дерева кратчайших путей. Далее формируется дерево кратчайших путей таким
образом, чтобы путь от корневого коммутатора до каждого отдельно взятого коммутатора был
минимальным. После вычисления дерева кратчайших путей те соединения между
коммутаторами, которые в это дерево не входят, автоматически отключаются (рис.8).
Рис.8

При изменении топологии происходит автоматический пересчёт дерева. Таким образом, в


случае обрыва основного соединения произойдёт пересчёт дерева, и включится резервное
соединение. Недостатком STP является необходимость пересчёта дерева при каждом
изменении топологии, длительное время пересчёта, составляющее до 50с. Существует более
быстрая версия STP - протокол RSTP (Rapid Spanning Tree Protocol), у которого время
пересчёта дерева составляет 15с.

Агрегация каналов (link aggregation)

Стандарт IEEE 802.3ad позволяет объединить несколько физических соединений в одно


виртуальное соединение, которое будет рассматриваться на канальном уровне как одно
соединение (рис.9).

Рис.9

При этом физически кабели можно проложить по разным маршрутам. Повреждение одного
кабеля приведёт к уменьшению скорости соединения, но обрыва соединения не произойдёт.

1.6. Виртуальные локальные сети (Virtual LAN – VLAN)

VLAN

VLAN – это изолированное на канальном уровне множество ресурсов сети, логически


сгруппированных по определённому признаку (рис.10).
Рис.10

Группировку можно осуществлять на основе номера порта коммутатора, на основе MAC-адреса


отправителя, или на основе протоколов сетевого и транспортного уровней. Широко
распространёнными являются port-based VLAN, в которых группировка осуществляется по
портам коммутаторов. В таком случае при настройке коммутаторов указывается
принадлежность порта конкретной VLAN. Порты коммутаторов, принадлежащие к одной и той
же VLAN, образуют широковещательный домен. Если два компьютера подключены к одной и
той же VLAN, возможна непосредственная передача фрейма от одного компьютера к другому.
Если два компьютера подключены к разным VLAN, непосредственная передача фрейма от
одного компьютера к другому невозможна, даже если физически эти компьютеры подключены
к одному и тому же коммутатору. На канальном уровне VLANы изолированы друг от друга,
передача трафика между VLAN осуществляется только через маршрутизатор или коммутатор
3-го уровня.

Передача трафика между коммутаторами в сети с использованием VLAN осуществляется при


помощи магистральных или транковых (англ. trunk) соединений. При этом вместе с фреймом
необходимо передавать информацию о том, к какой VLAN этот фрейм принадлежит. Для этого
осуществляется тегирование фрейма, т.е. к фрейму добавляется дополнительное поле (тэг), в
котором содержится идентификатор VLAN, которой этот фрейм принадлежит. На рис.11
изображён пример передачи фрейма в сети с поддержкой VLAN. От компьютера A на
коммутатор передаётся обычный фрейм. Чтобы передать фрейм по магистральному
соединению, коммутатор 1 добавляет во фрейм тег, содержащий идентификатор VLAN.
Коммутатор 2, получив тегированный фрейм, удаляет тэг и отправляет фрейм на компьютер B.
Рис. 11

Таким образом, поддержка VLAN коммутаторами происходит прозрачно для рабочих станций
и возлагается на коммутаторы локальной сети.

Стандарт 802.1q/p

Широкое распространение получил международный стандарт IEEE 802.1q/p, который кроме


поддержки VLAN также позволяет осуществить приоритезацию трафика. Этот стандарт
поддерживается практически всеми производителями сетевого оборудования. Согласно
стандарту 802.1q/p перед передачей по магистральному каналу во фрейм после поля “адрес
отправителя” добавляется тег, содержащий VLAN ID и поле приоритета.

Изоляция портов

Изоляция портов предполагает изоляцию портов VLAN на канальном уровне. Т.е. компьютеры,
даже находясь в одном VLAN, на канальном уровне будут изолированы друг от друга. Эта мера
безопасности применяется при организации доступа в Internet для изоляции клиентов друг то
друга.

Smart VLAN

В Smart VLAN порты делятся на 2 категории – верхнего уровня (upport) и нижнего уровня
(downport). При этом порты нижнего уровня на канальном уровне изолированы друг от друга. К
портам нижнего уровня подключаются пользователи, а порт верхнего уровня ведёт в сеть
провайдера. Таким образом, пользователи изолированы друг от друга.

Стекирование VLAN или QinQ

Технология QinQ (VLAN в VLANе) позволяет преодолеть ограинчение в 4096 VLAN,


обусловленное стандартом 802.1q. Это достигается за счёт дополнительного тегирования уже
тегированного фрейма (рис.12), таким образом внутри одного 802.1q VLAN можно создать
4094 VLAN.
Рис.12

1.8. QoS в сетях Ethernet

Согласно стандарту 802.1p, фрейму можно присвоить код приоритета. При этом стандарт
802.1p поддерживает 8 уровней приоритета. Для поддержки стандарта IEEE 802.1р канальный
уровень должен работать с множественными очередями (по одной на каждый код приоритета).
Применение приоритетов регламентируется документом IEEE 802.1D.
Для определения относительного приоритета очередей вводится класс обслуживания трафика
(Class of Service - CoS), чтобы кадры с высоким классом передавались раньше. Ниже
перечислены типы трафика, начиная с высоко приоритетного:

Управление сетью (7). Передача данных для поддержания сетевой инфраструктуры (Фреймы,
переносящие информацию протоколов маршрутизации).

Голос (6). Трафик критичен по задержке (< 10мсек) при интерактивных переговорах.

Видео (5). Трафик критичен по задержке (< 100мсек) при интерактивных видео обменах.

Контролируемая нагрузка (4). Работа в ситуации некритической по задержке, но критической


по потерям.

Максимальные усилия (3). Работа в ситуации некритической по задержке, но критической по


потерям, в условиях с меньшим приоритетом, чем контролируемая нагрузка.

Наилучшие усилия (2). Это обычный трафик LAN.

Фоновый режим (0, Background). Массовые пересылки данных и любая другая активность, не
влияющая негативно на работу остальных.
Тип №1 оставлен на будущее.
Таким образом, в каждом из выходных портов коммутатора должно формироваться до 8
очередей. Ключевым моментом является классификация трафика, т.е. назначение фрейму
уровня приоритета на основе некоторых признаков. Например, некоторым портам коммутатора
можно присвоить высокий уровень приоритета, в таком случае трафик подключенных к этим
портам компьютеров будет попадать в очередь с высоким приоритетом. Также можно
осуществлять классификацию трафика в зависимости от MAC-адресов и IP-адресов, или в
зависимости от используемых протоколов более высоких уровней. Это зависит от того, какие
методы классификации трафика поддерживаются коммутатором.
Также ключевым моментом является алгоритм обработки очередей. Количество уровней
приоритета, методы классификации трафика и алгоритмы обработки очередей зависят от
коммутатора.

1.9. Автопереговорный процесс (autonegotiation)

Большинство современных устройств Ethernet поддерживают автопереговорный процесс, при


помощи которого 2 соединённых устройства определяют оптимальный режим работы. Обычно
выбирается наиболее производительный режим для наименее производительного устройства.
Например, при соединении сетевой карты 10Base-T с коммутатором 100Base-TX будет выбран
полнодуплексный режим на скорости 10Мбит/с.

1.10. Анализ сетевого трафика

В нормальном режиме работы сетевая карта должна принимать только те фреймы, которые ей
адресованы. Однако большинство сетевых карт поддерживают беспорядочный или
промискуитетный (англ. promiscious) режим работы, в котором принимаются все фреймы
подряд. Это может использоваться специальными программами – анализаторами сетевого
трафика, или сниферами. При помощи сниферов можно осуществлять анализ трафика.
В сети с разделяемой средой передачи сетевая карта получает все фреймы, отправляемые
соседями. В коммутируемой сети ряд коммутаторов позволяют направить требуемый трафик на
определённый порт для последующего анализа, а также существуют способы, позволяющие в
пределах широковещательного домена направить трафик через определённый хост.
Зачастую снифер может использоваться злоумышленниками для перехвата данных. Описание
методов обнаружения сниферов выходит за рамки данного учебного курса.

1.11. PoE

Технология POE (Power Over Ethernet, IEEE 802.3af), позволяет одновременно передавать
данные и обеспечивать питание Ethernet-устройств, таких как IP-телефоны, сетевые камеры,
точки беспроводного доступа, удалённые датчики и другие. Спецификация PoE предполагает
следующие способы подачи питания:

 по резервным парам.
В сетях 100Base-TX и 10Base-T используются только две пары. Оставшиеся две пары
можно использовать для подачи питания;
 по парам данных.
Может использоваться в сетях 1000Base-T, где для передачи данных задействованы все
пары.

Максимальное потребление одного устройства может достигать 12,95 Вт. Учитывая потери в
линии, источник питания должен обеспечивать мощность 15,4 Вт на каждый порт.
Для создания сети POE требуются компоненты двух основных типов: потребитель
электроэнергии PD (Powered Device) и источник питания PSE (Power Sourcing Equipment), с
помощью которого запитывается PD.
PSE бывает промежуточный и оконечный. Примером оконечного PSE является Ethernet-
коммутатор с поддержкой PoE. Если коммутатор не поддерживает PoE, ввод питания в кабель
может обеспечиваться так называемыми POE инжекторами, которые являются
промежуточными PSE. Инжектор устанавливается между коммутатором Ethernet и
энергопотребляющим устройством.
Питание устройств, не поддерживающих стандарт IEEE802.3af, может осущестлвяться при
помощи POE-сплиттеров. POE-сплиттер выделяет питание из кабеля на стороне питаемого
устройства, приводит его к требуемому номиналу и отдает стандартным разъемом питания.
2. Коммутаторы Ethernet производства фирмы Huawei.

2.1. Коммутаторы серии S1700.

Внешний вид коммутаторов S1700 представлен на рис.13

Коммутатор Описание
S1728GWR-4P:
Содержит 24-
порта10/100/1000Base-
T и 4 GE SFP порта.
Производительность:
42Mpps/56 Gbit/s

S1724G: 24
10/100/1000Base-T
порта.
Производительность:
36Mpps/48Gbit/s

рис.13.

Основные свойства

 Низкое энергопотребление - менее 20Вт в соответствии со стандартом IEEE 802.3az.

 Бесшумность вледствие отсутствия вентиляторов.

 поддержка неблокирующей коммутации.

 лёгкость в обслуживании. Возможность администрирования через web-интерфейс.

 Расширенные возможности безопасности, включая 802.1x и RADIUS


аутентификацию. Поддержка фильтрации MAC адресов и изоляции портов, что
позволяет предотвратить многие разновидности сетевых атак.

 Powerful Link Expansion and Backup


 Поддержка аггрегации каналов и STP/RSTP для создания избыточных связей.
 Размер таблицы МАС - адресов 8К записей.
 Поддержка протокола IGMP.
 Настройка ограниченной полосы пропускания порта с дискретностью до 64кБит/с.
 Ограничение широковещательного трафика.

2.2. Коммутаторы серии S2700.

Коммутаторы серии S2700 изображены на рис.14.


Коммутатор Описание
 8 10/100Base-TX портов и 1
гигабитный combo порт.
 питание от переменного или
постоянного тока
S2700-9TP-EI/SI  Производительность: 2.7
Mpps

 8 10/100Base-TX портов и 1
гигабитный combo порт.
 питание от переменного или
постоянного тока

S2700-9TP-PWR-EI  Производительность: 2.7


Mpps
 PoE+

 16 10/100Base-TX портов и
2 гигабитных combo порта.
 питание от переменного или
постоянного тока
S2700-18TP-EI/SI  Производительность: 5.4
Mpps

 Twenty-four 10/100Base-TX
ports and two gigabit combo
ports (10/100/1000Base-T or
100/1000Base-X)
 AC power supply and DC
power supply for the EI
version; AC power supply for
the SI version
 Forwarding performance: 6.6
Mpps
S2700-26TP-EI/SI

 24 10/100Base-TX портов и
2 гигабитных combo порта.
 питание от переменного или
постоянного тока
 Производительность:
6.6Mpps

 24 10/100Base-TX портов и
2 гигабитных combo порта.
 питание от переменного или
S2700-26TP-PWR-EI постоянного тока
Коммутатор Описание
 Производительность:
6.6Mpps
 PoE+

 48 10/100Base-TX портов и
4 гигабитных combo порта.
 питание от переменного или
постоянного тока
S2700-52P-EI  Производительность:
13.2Mpps

рис.14.

 Особенности продукта
• Простое развертывание и простое управление

S2700 поддерживает автоматическую конфигурацию, что значительно снижает затраты на


обслуживание. ОТсутствуют вентиляторы. Такая конструкция уменьшает механические
неисправности и защищает устройство от повреждений, вызванных конденсированной
влаги и пыли, уменьшая 53% обслуживания рабочих нагрузок.
S2700 поддерживает пакетный режим удаленного обновления, что делает устройство
простым в использовании и развертывании. Кроме того, S2700 поддерживает HGMP v2,
SSH v2, HWTACACS +, RMON, и на основе портов статистику трафика.
S2700 поддерживает GVRP (GARP VLAN Registration Protocol), который динамически
распределяет, регистры, и распространяется VLAN атрибуты для снижения нагрузки ручной
конфигурации сетевых администраторов и для обеспечения правильной конфигурации
VLAN.

•S2700-EI поддерживает различные ACL. ACL правила могут быть применены к сети
VLAN, чтобы гибко управлять портами. S2700 поддерживает на основе портов VLAN
назначения и MAC-адрес основе VLAN назначения. На основе портов VLAN назначения
применяется для сетей, где пользователи часто переезжают, и MAC-адрес основе VLAN
назначения применяется для сетей, требующих высокой безопасности.

• DHCP Snooping защищает предприятия от наиболее распространенных атак, таких как


фиктивный IP-пакетов атаки, человек-в-середине атаки, и сервер DHCP фиктивные атаки.
S2700 может ограничить количество MAC-адреса, полученные на интерфейс, чтобы
предотвратить нападавшие не исчерпывают записи MAC-адрес, используя фиктивные
источник MAC-адресов. Эта функция сводит к минимуму пакет наводнения, которое
возникает, когда MAC-адреса пользователей не может быть найден в таблице МАС-адрес.
S2700 также может ограничить количество записей ARP, чтобы предотвратить атаки ARP-
спуфинга. Кроме того, она обеспечивает функции IP проверить источник, чтобы
предотвратить злоумышленников от использования поддельных адресов IP инициировать
DoS-атак.

•Функция PoE S2700 PWR можете использовать PoE (питание через Ethernet) питания с
разными уровнями мощности, чтобы обеспечить-48В постоянного тока для питания
устройств (PD), такие как IP-телефоны, точки доступа WLAN, Bluetooth и точек доступа. В
его роли, как энергетика поиска оборудования (PSE), PWR S2700 соответствует
требованиям стандарта IEEE 802.3af и 802.3at (PoE +) и может работать с ФД, не
совместимые с 802.3af или 802.3at (POE +). Каждый порт обеспечивает максимум 30 Вт
мощности, соответствующие стандарту IEEE 802.3at. Функция PoE + увеличивает
максимальную мощность на каждом порту и осуществляет интеллектуальное управление
питанием для мощных приложений потребления. Это облегчает использование PDS. PoE
портов может работать в режиме экономии электроэнергии.

• Комплексная политика QoS S2700 поддерживает сложную классификацию трафика на


основе VLAN ID, источник MAC / IP адресов, назначения MAC / IP адресов, IP-протоколов,
приоритетов, или номера портов пакетов. Ограничивая движение курса на основе
результатов классификации трафика, S2700 реализует линии скорость пересылки на каждом
порту для обеспечения высокого качества передачи голоса, видео и данных. Каждый порт
поддерживает четыре очереди и несколько очередей алгоритмы планирования, таких как
WRR, SP, и WRR + SP.• Мощные возможности защиты от перенапряжений S2700
принимает Huawei запатентованной технологией защиты от перенапряжений для
предотвращения молнии индуцированных перенапряжений. Все порты S2700 имеют
возможность защиты от перенапряжений 6 кВ, увеличивая грозоупорных способность к 8
раз, чем 4 кВ выключателей. Huawei запатентованной технологией защиты от
перенапряжений значительно уменьшает возможность молнии повреждений на
оборудовании даже в жестокой среде или в случаях, когда заземление не могут быть
реализованы.

• Отсутствие шума, энергосбережение и низкий радиационный S2700 принимает


энергосберегающие интегральных схем для обеспечения равномерного рассеивания тепла.
Idle порты могут ввести режим ожидания дальнейшего снижения потребления энергии.
S2700 не генерирует шум, поскольку она не имеет вентиляторов. Излучение S2700
находится в пределах диапазона излучения стандартов для электроприборов и не имеет
никакого вреда для человеческого организма.

2.2. Коммутаторы серии S2700.

Основные свойста

Quidway S3700 коммутаторы являются нового поколения энергосберегающих коммутаторов


уровня 3 обеспечить высокую производительность доступа и агрегации сети предприятия.
Благодаря VLAN, PoE, всеобъемлющие функции маршрутизации, а также возможность
перехода на сети IPv6, S3700 помогает корпоративным заказчикам следующее поколение ИТ-
сети. Кроме того, S3700 использует передовые технологии повышения надежности сети.
S3700 является 1 U устройством. S3700 предлагает две модели: S3700-S3700 и 28TP-52P,
каждая из которых представлена в стандартной версии и расширенная версия. Версии SI
предоставляет функции уровня 2 и уровня 3 основные функции. Версия EI поддерживает
сложные протоколы маршрутизации и обеспечивает больше функций, чем версия СИ.

Коммутаторы серии S2700 изображены на рис.15

Коммутатор Описание
 24 10/100Base-TX порта, 2
1000Base-X SFP порта, 2
гигабитных combo порта
(10/100/1000Base-T or
S3700-28TP-SI/EI 100/1000Base-X)
 производительность: 9.6
Mpps

 24 10/100Base-TX порта, 2
1000Base-X SFP порта, 2
гигабитных combo порта
(10/100/1000Base-T or
100/1000Base-X)

 производительность:
S3700-28TP-EI-MC-AC
9.6Mpps
 питание от переменного
тока

 24 10/100Base-TX порта, 2
1000Base-X SFP порта, 2
гигабитных combo порта
(10/100/1000Base-T or
100/1000Base-X)

 производительность:
S3700-28TP-PWR-EI 9.6Mpps

 питание от переменного
тока
 PoE+

 24 10/100Base-TX порта, 2
1000Base-X SFP порта, 2
гигабитных combo порта
(10/100/1000Base-T or
100/1000Base-X)

 производительность:
S3700-28TP-EI-24S-AC 9.6Mpps

 питание от переменного
тока

 48 10/100Base-TX портов,
2 100/1000Base-X SFP
порта, 2 1000Base-X SFP
порта.
S3700-52P-SI-AC  Производительность: 13.2
S3700-52P-EI Mpps

 48 10/100Base-TX портов,
2 100/1000Base-X SFP
порта, 2 1000Base-X SFP
S3700-52P-PWR-EI порта.
 Производительность: 13.2
Mpps
 PoE+

 48 10/100Base-TX портов,
2 100/1000Base-X SFP
порта, 2 1000Base-X SFP
порта.

 Производительность: 13.2
S3700-52P-EI-48S Mpps
 Питание от переменного
тока

 24 10/100Base-TX порта,
24 100Base-FX SFP порта,
2 100/1000Base-X SFP
порта, и 2 1000Base-X SFP
порта.
S3700-52P-EI-24S  Производительность: 13.2
Mpps

рис.15.

Особенности продукта и основные результаты


S3700 поддерживает IGMP Snooping, IGMP фильтр, и IGMP-прокси. Он поддерживает
балансировку нагрузки и управляемой многоадресной передачи, отвечающих требованиям для
IPTV услуг и других служб многоадресной рассылки.
• Функция PoE S3700 PWR Улучшена поддержка питания через Ethernet (PoE) функции, и
пользователи могут определить, является ли порт PoE обеспечивает питание и время PoE порт
обеспечивает питание. PoE портов может работать в режиме экономии электроэнергии.
• Комплексная политика QoS и механизмы безопасности S3700 реализует сложную
классификацию трафика на основе пакетов информации, такой как TOS, DSCP, типа протокола
IP, ICMP типа, TCP порт источника, VLAN ID, типа протокола Ethernet и CoS. Каждый порт
поддерживает восемь очередей приоритетов и несколько очередей алгоритмы планирования,
таких как WRR, DRR, SP, WRR + SP и DRR + SP. Все эти позволяет гарантировать качество
передачи голоса, видео и данных.
S3700 предоставляет различные меры безопасности для защиты от отказа в обслуживании
(DoS) атак и атак против сетей или пользователей. DoS-атаки типа SYN Flood включают атак,
земельных атак, Smurf атак и атак S3700 поддерживает DHCP Snooping. DHCP Snooping
отбрасывает недействительные пакеты, которые не соответствуют каких-либо обязательных
элементов, таких как ARP спуфинга IP-пакеты и пакеты спуфинга. Это предотвращает человек-
в-середине атаки кампусных сетей, что хакеры инициировать с помощью ARP-пакетов.
Интерфейс подключения к серверу DHCP может быть настроен как доверенный интерфейс для
защиты системы от атак поддельных серверов DHCP. S3700 поддерживает централизованную
аутентификацию МАС-адрес и 802.1x аутентификации. Он выполняет проверку подлинности
пользователей на основе статически или динамически связанной информации пользователей,
такие как имя пользователя, IP-адрес, MAC-адрес, VLAN ID, интерфейс доступа и флаг,
указывающий, антивирусное программное обеспечение установлено. VLAN, QoS политик, и
списки контроля доступа могут быть применены к пользователям динамически.
S3700 может ограничить количество MAC-адреса, полученные на интерфейс, чтобы
предотвратить нападавшие не исчерпывают записи MAC-адрес, используя фиктивные источник
MAC-адресов. Эта функция сводит к минимуму пакет наводнения, которое возникает, когда
MAC-адреса пользователей не может быть найден в таблице МАС-адрес. • S3700 поддерживает
различные протоколы маршрутизации, в том числе статическая маршрутизация, RIPv1, RIPv2,
OSPF, IS-IS и BGP.
• продуманный дизайн и управляемость
S3700 принимает необслуживаемые дизайн и поддерживает пакетный режим удаленного
обновления. Он обеспечивает несколько обслуживание и управление режимами, чтобы помочь
пользователям следить за различными данными. Кроме того, он поддерживает HGMP v2,
SNMP, NTP, SSH v2, HWTACACS +, RMON, на основе портов статистику трафика, и NQA.
S3700 поддерживает GVRP (GARP VLAN Registration Protocol), который динамически
распределяет, регистры, и распространяется VLAN атрибуты для снижения нагрузки ручной
конфигурации сетевых администраторов и для обеспечения правильной конфигурации VLAN.
В сложной топологии сети, GVRP VLAN упрощает настройку и уменьшает сетевой связи
неисправности, вызванные неправильной конфигурации VLAN. S3700 поддерживает MUX
VLAN. MUX VLAN изолирует 2-го уровня трафика между интерфейсами в VLAN. Интерфейсы
в подчинении отдельный VLAN может общаться с портами в основной VLAN, но не могут
общаться друг с другом. MUX VLAN, как правило, используется на предприятии интранет,
чтобы изолировать пользовательских интерфейсов друг от друга, но позволяют им общаться с
сервером интерфейсов. Эта функция предотвращает связь между сетевыми устройствами,
подключенными к определенным интерфейсам или интерфейса групп, но позволяет
устройствам взаимодействовать с шлюза по умолчанию.
• безвентиляторный энергосберегающий дизайн
Такая конструкция уменьшает механические неисправности и защищает устройство от
повреждений, вызванных конденсированной воды и пыли. S3700 принимает
энергосберегающие интегральных схем для обеспечения равномерного рассеивания тепла. Idle
порты могут ввести режим ожидания дальнейшего снижения потребления энергии. Излучение
S3700 находится в пределах диапазона излучения стандартов для электроприборов и не имеет
никакого вреда для человеческого организма.