Politechnika Gdańska wydział elektroniki telekomunikacji I informatyki


Klasyfikacja sieci wirtualnych ze względu na liczbę przełączników, w obrębie których realizowane są sieci wirtualne



Pobieranie 0.53 Mb.
Strona15/26
Data04.05.2016
Rozmiar0.53 Mb.
1   ...   11   12   13   14   15   16   17   18   ...   26

6.2Klasyfikacja sieci wirtualnych ze względu na liczbę przełączników, w obrębie których realizowane są sieci wirtualne


Początkowo sieci wirtualne realizowane były tylko na jednym przełączniku. Ze wzrostem funkcjonalności wirtualnych sieci lokalnych zrodziła się potrzeba rozszerzenia zakresu jednej sieci wirtualnej na kilka urządzeń przełączających. W tej fazie rozwoju sprzętu dominowały u producentów rozwiązania autorskie. Były wśród nich zarówno propozycje dołączania znacznika (etykiety) do każdej ramki transmitowanej łączem pomiędzy przełącznikami, jak i wymiany informacji o sieciach wirtualnych realizowanych na innych zasadach. Stąd też proponuje się kolejne kryterium klasyfikacji sieci wirtualnych z uwagi na liczbę przełączników realizujących wirtualizację:

  • wewnętrzne sieci wirtualne (realizowane w obrębie jednego urządzenia) i

  • zewnętrzne sieci wirtualne (realizowane w obrębie kilku urządzeń).

6.2.1Wewnętrzne wirtualne sieci lokalne


Wewnętrzna wirtualna sieć lokalna to sieć wirtualna ograniczona tylko do jednego urządzenia realizującego wirtualizację. Zakładając, że więcej niż jeden przełącznik realizuje sieci wirtualne, urządzenia należące do poszczególnych sieci wirtualnych każdego z przełączników nie mogą się wzajemnie komunikować. Wynika to z faktu braku wymiany informacji o konfiguracji sieci wirtualnych w jakiejkolwiek formie pomiędzy przełącznikami.

Rysunek 6.23 - Przykład wewnętrznej sieci wirtualnej

Rysunek 6 .23 przedstawia dosyć rozbudowany przykład ilustrujący wewnętrzne sieci wirtualne. Na rysunku przedstawione zostały trzy wirtualne sieci lokalne. Do sieci wirtualnej 2 należy stacja B1, do sieci wirtualnej 3 należą stacje C1 i C2. Pomimo istnienia połączenia pomiędzy przełącznikami P1 i P2 nie można utworzyć jednej sieci wirtualnej, zawierającej stacje B1, C1 i C2. Wynika to z faktu przesyłania pomiędzy przełącznikami wyłącznie informacji z sieci wirtualnej 1.

6.2.2Zewnętrzne wirtualne sieci lokalne


W przeciwieństwie do wewnętrznej sieci wirtualnej, do realizacji sieci zewnętrznej konieczna jest wymiana informacji pomiędzy urządzeniami realizującymi wirtualizację. Celem tej wymiany jest zapewnienie klientom, podłączonym do portów dwóch lub więcej przełączników, przynależności do jednej sieci wirtualnej12. W zewnętrznych wirtualnych sieciach LAN informacje pochodzące z wielu sieci przesyłane są jednym łączem.



Rysunek 6.24 - Przykład zewnętrznej sieci wirtualnej

Na Rysunku 6.4 przedstawiono dwie sieci wirtualne, do których należą stacje przyłączone do dwóch przełączników. Przykładowo, do sieci wirtualnej 2 należą stacje B1 podłączona do przełącznika P1 oraz stacje B2 i B3 podłączone do przełącznika P2. Informacje pomiędzy tymi stacjami przekazywane są połączeniem między przełącznikami. Tym samym łączem przekazywane są informacje z sieci wirtualnej 1.

Sposobów wymiany informacji pomiędzy przełącznikami jest kilka. Do najważniejszych należą:


  • podział kanału TDM,

  • przesyłanie tabel,

  • dodawanie do ramek znaczników.

6.2.2.1Podział kanału TDM


Podział kanału TDM polega na przypisaniu każdej sieci wirtualnej szczeliny czasowej w kanale pomiędzy przełącznikami. Metoda ta nie powoduje utraty pasma, związanej z przesyłaniem dodatkowych informacji o przynależności ramek do sieci wirtualnych. Pasmo jest natomiast tracone w przypadku nierównomiernego ruchu generowanego przez poszczególne sieci wirtualne. Część pasma, nie będąca chwilowo w użyciu, przeznaczona dla jednej sieci wirtualnej nie może zostać wykorzystana przez inną (patrz Rysunek 6 .25). Stąd też jest to często najmniej efektywna metoda realizacji zewnętrznych sieci wirtualnych [28].

Rysunek 6.25 - Przykład niewykorzystywania pasma w podziale kanału TDM


6.2.2.2Przesyłanie tablic


W tym przypadku przełączniki posiadają tablice adresów MAC poszczególnych urządzeń pracujących w sieci wraz z przypisanymi im numerami sieci wirtualnych. Ponadto, zgodnie z ideą przełączania, przełączniki posiadają tabele adresów MAC występujących na wszystkich ich portach. Jeśli przełącznik odbierze na danym porcie ramkę od stacji z adresem MAC nadawcy nie występującym w tabeli tego portu, wówczas wysyła do pozostałych przełączników tabelę zawierającą nowy adres MAC i przypisany mu numer sieci wirtualnej. Numer sieci wirtualnej jest pobierany z zarządzanej przez administratora tablicy kojarzącej adresy MAC z sieciami wirtualnymi.

Wadami rozwiązania są:



  • duża ilość informacji związana z przesyłaniem i uaktualnianiem tablic,

  • konieczność administrowania tablic adresów MAC i odpowiadających im numerów sieci wirtualnych,

  • konieczność przeznaczenia znacznych zasobów na tablice w przełącznikach.

6.2.2.3Znacznikowanie13


Znacznikowanie (ang. tagging) jest metodą przesyłania informacji pomiędzy przełącznikami polegającą na dodawaniu do każdej ramki, wysyłanej pomiędzy urządzeniami, znacznika. Znacznik zawiera numer wirtualnej sieci lokalnej, do której ramka powinna zostać przesłana. Szczegóły dotyczące znacznikowania można znaleźć w Rozdziale 7.

Zaletą metody znacznikowania, w porównaniu do poprzednich, jest stosunkowo najmniejsza zajętość pasma. Kolejną zaletą, w przypadku realizacji znacznikowania w oparciu o standard IEEE 802.1Q, jest możliwość współpracy urządzeń wielu producentów.

Jako wadę metody podać można konieczność wydłużania ramek, co może stwarzać problemy z ich transmisją przez urządzenia nieprzystosowane do nietypowej długości ramek.

6.3Klasyfikacja sieci wirtualnych ze względu na sposób definiowania przynależności


Ponieważ wirtualna sieć lokalna jest podzbiorem wszystkich stacji należących do sieci lokalnej, istnieją różne metody definiowania przynależności klientów do wirtualnych sieci lokalnych. Większość metod opiera się o analizę zawartości ramek wysyłanych przez klientów. Wyjątkiem jest określenie przynależności na podstawie numeru portu przełącznika.

Metody definiowania przynależności do sieci wirtualnej różnią się podejściem do podziału sieci na niezależne domeny rozgłoszeniowe warstwy drugiej modelu OSI. Złożoność pod względem szybkości filtrowania ramek można zgrubnie oszacować na podstawie warstwy modelu OSI, w której przenoszone są informacje służące do klasyfikacji ramek.





Rysunek 6.26 - Pola ramki analizowane przez przełącznik dla różnych metod definiowania przynależności

Sposoby określania przynależności zostaną omówione w kolejności zaproponowanej na Rysunku 6.6.


6.3.1Przynależność definiowana na podstawie numeru portu przełącznika


W metodzie definiowania przynależności na podstawie numeru portu przełącznika cały ruch odbierany na fizycznym porcie przełącznika jest klasyfikowany do danej sieci wirtualnej.

W przypadku, gdy zachodzi mikrosegmentacja sieci lokalnej, czyli do portu podłączona jest jedna stacja, należy ona do sieci wirtualnej, do której przypisany jest port. Jeżeli natomiast do portu przełącznika realizującego wirtualizację podłączonych jest więcej stacji, wszystkie one należą do zdefiniowanej na tym porcie wirtualnej sieci lokalnej. Aby jednoznacznie klasyfikować ramki, jeden port może należeć do pojedynczej wirtualnej sieci lokalnej.





Rysunek 6.27 - Przykład niejednoznacznego klasyfikowania ramek do sieci wirtualnych

Na Rysunku 6.7 port F należy do dwóch sieci wirtualnych – 2 i 3. Przełącznik odbierając na tym porcie ramkę rozgłoszeniową, niezależnie od wirtualnej sieci lokalnej, do której należy klient, rozsyła ją na porty należące do obu sieci wirtualnych. Z powodu konfiguracji wirtualnych sieci lokalnych na portach, ramka trafia także na porty A, B, D i E, które należą między innymi do sieci wirtualnej 1.

W tej metodzie określania przynależności, w odróżnieniu od pozostałych, nie analizuje się w żaden sposób danych odbieranych od stacji. Dlatego też nie odpowiada mu żadna z warstw modelu OSI. Jest to najprostsza metoda definiowania przynależności klienta do danej sieci wirtualnej.

Rysunek 6.28 - Sieć wirtualna definiowana na podstawie numerów portów

Rysunek 6 .28 obrazuje przynależność stacji podłączonych do portów 1 i 3 do sieci wirtualnej 1 oraz stacji podłączonych do portów 2 i 4 do sieci wirtualnej 2.

Metoda posiada szereg zalet. Pierwszą jest duża szybkość przełączania ramek w tak zdefiniowanych wirtualnych sieciach lokalnych. Kolejną jest prostota konfiguracji. Nawet w przypadku konfigurowania wirtualnych sieci lokalnych na kilku przełącznikach, metoda jest mało czasochłonna. Ponadto w późniejszym administrowaniu sieciami wirtualnymi, jest ona bardzo przejrzysta. O ile wszystkie sieci wirtualne w obrębie przełącznika zrealizowane są na podstawie portów, podział sieci na niezależne domeny rozgłoszeniowe prowadzi do rozłącznych podzbiorów klientów, czyli można określić go jako całkowity. Oznacza to, że ramka rozgłoszeniowa wygenerowana przez klienta należącego do jednej sieci wirtualnej nie dostanie się do żadnej innej.

Wadą metody jest konieczność zmiany konfiguracji sieci wirtualnej w przypadku migracji stacji w obrębie sieci lokalnej. Ponadto ograniczona jest elastyczność poprzez narzucenie wszystkim stacjom podłączonym do jednego portu przynależności do tej samej wirtualnej sieci lokalnej.

6.3.2Warstwa 2 - przynależność definiowana na podstawie adresu MAC urządzenia


Przynależność definiowana na podstawie adresów MAC jest najmniej złożoną metodą tworzenia sieci wirtualnych, opierającą się o analizę ramek generowanych przez klienta. Zgodnie z nią urządzenie wirtualizujące analizuje adres MAC nadawcy. W celu grupowania stacji posługujących się danymi adresami MAC, konieczne jest stworzenie w przełączniku tabeli, składającej się z listy adresów MAC i odpowiadających im identyfikatorów sieci wirtualnych. Tabela tworzona jest przez administratora.

Warto przy tym podkreślić, że w żadnym z rozwiązań praktycznych nie jest realizowana „w czystej” formie wyżej wymieniona metoda definiowania przynależności do wirtualnej sieci lokalnej. W praktyce spotyka się dwa podejścia:



  1. wirtualna sieć lokalna posiada właściwość definiowania przynależności klientów na podstawie adresów MAC; muszą być przy tym określone porty, które obejmuje ona swoim zasięgiem;

  2. wirtualna sieć lokalna nie ma wyspecyfikowanego zakresu portów, na których występuje, ale porty zostają do niej dynamicznie dodawane wraz z odbiorem ramek od klientów należących do danej wirtualnej sieci lokalnej.

W pierwszym przypadku rozgłaszanie ramek ograniczone jest do wybranych portów przełącznika. W przypadku drugim klienci, którzy są nieaktywni (długo nie wysyłali ramek) nie otrzymują rozgłoszeń dopóki nie wyślą ramki – przełącznik nie potrafi zaklasyfikować portu do danej sieci wirtualnej.

Rysunek 6.29 - Sieć wirtualna definiowana na podstawie adresów MAC

Przynależność definiowana na podstawie adresów MAC posiada szereg zalet. Pierwszą jest możliwość przynależenia klienta do kilku sieci wirtualnych. Drugą jest brak konieczności rekonfiguracji sieci wirtualnych w przypadku migracji klienta na inny port. Kolejną zaletą jest możliwość przynależenia kilku klientów podłączonych do jednego portu, do różnych sieci wirtualnych. Przykład taki ilustruje Rysunek 6 .29.

Wadą rozwiązania jest żmudna konfiguracja związana z potrzebą wpisania wszystkich adresów MAC klientów. Ponadto wymiana karty sieciowej klienta wymaga zmiany konfiguracji sieci wirtualnych. Oprócz tego potrzebne są zasoby na przechowywanie tabel adresów MAC i numerów sieci wirtualnych.


6.3.3Warstwa 2 - przynależność definiowana na podstawie znacznika


Definiowanie przynależności na podstawie znacznika (ang. tag) jest realizowane na podstawie analizy znacznika zawartego w ramce. Znacznik zawiera informację o numerze wirtualnej sieci lokalnej, do której należy klient wysyłający takie ramki. Nadawanie znaczników jest cechą wirtualnej sieci lokalnej przypisaną do portów. Oznacza to, że port należy do danej wirtualnej sieci lokalnej, a znacznikowanie jest tylko jego atrybutem. Jeżeli znacznikowanie jest włączone, to ramki pochodzące od innych klientów danej sieci wirtualnej wysyłane tym portem będą posiadały stosowny znacznik. Aby odebraną ramkę można było zaklasyfikować do danej sieci wirtualnej powinna ona posiadać znacznik zawierający jej identyfikator. Ramki ze znacznikami przenoszące inne identyfikatory będą odrzucane. Port może należeć jednocześnie do kilku wirtualnych sieci lokalnych i dla każdej z nich znacznikowanie może być oddzielnie włączane.

Rysunek 6.30 - Sieć wirtualna definiowana na podstawie znaczników

Konfigurację wirtualnych sieci lokalnych, w których wszystkie stacje A i B nie korzystają ze znaczników ilustruje Rysunek 6 .30. Jednocześnie stacja S przynależy do dwóch sieci wirtualnych. Aby jednoznacznie wysyłać ramki do każdej sieci wirtualnej, stacja S dodaje znaczniki do wszystkich transmitowanych ramek. Ponadto ramki ze znacznikami przesyłane są pomiędzy przełącznikami P1 i P2.

Zaletą rozwiązania jest możliwość realizacji kilku wirtualnych sieci na jednym porcie. Ramki, posiadając różne znaczniki, będą jednoznacznie klasyfikowane do wirtualnych sieci lokalnych.

W sposobie klasyfikacji na podstawie znaczników nie istnieje problem podziału sieci na niezależne domeny rozgłoszeniowe. W przypadku rozgłaszania komunikatu do klientów wykorzystujących znacznikowanie porty, do których są oni podłączeni, należą do danej sieci wirtualnej. Ramki należące do danej sieci wirtualnej wysyłane na porty z włączonym znacznikowaniem zostają odpowiednio oznakowane. W przypadku odbioru ramek, przenoszących znacznik danej sieci wirtualnej, z adresem rozgłoszeniowym, problem przenosi się na sposoby przynależności pozostałych klientów tej sieci wirtualnej.

6.3.4Warstwa 3 - przynależność definiowana na podstawie typu protokołu warstwy sieciowej


Sposób definiowania przynależności na podstawie typu protokołu warstwy sieciowej pozwala sklasyfikować klientów posługujących się różnymi protokołami warstwy trzeciej modelu OSI i przypisać ich do różnych sieci wirtualnych. Analizie podlega pole w ramce zawierające informację o typie przenoszonego protokołu.



Rysunek 6.31 - Sieć wirtualna definiowana na podstawie typu protokołu warstwy sieciowej

W rozwiązaniu tym podejście do podziału sieci na niezależne domeny rozgłoszeniowe, podobnie do przynależności na podstawie adresów MAC, realizowane jest na podstawie jednego z dwóch założeń:



  1. wirtualna sieć lokalna posiada właściwość definiowania przynależności klientów na podstawie typu protokołów; muszą być przy tym określone porty, które sieć wirtualna obejmie swoim zasięgiem;

  2. wirtualna sieć lokalna nie ma wyspecyfikowanego zakresu portów, na których występuje, ale porty zostają do niej dynamicznie dodawane wraz z odbiorem ramek od klientów należących do danej wirtualnej sieci lokalnej.

W pierwszym przypadku rozgłaszanie ramek ograniczone jest do wybranych portów przełącznika. W przypadku drugim klienci, którzy są nieaktywni (długo nie wysyłali ramek) nie otrzymują rozgłoszeń dopóki nie wyślą ramki – przełącznik nie potrafi zaklasyfikować portu do danej sieci wirtualnej.

Metoda ta posiada kilka zalet. Pierwszą jest łatwość konfiguracji wirtualnych sieci lokalnych. Kolejną jest możliwość przynależności klientów do kilku wirtualnych sieci lokalnych. Jest to możliwe o ile posługują się oni jednocześnie kilkoma protokołami warstwy sieciowej. Ostatnią zaletą jest znaczne ograniczenie ruchu rozgłoszeniowego w przypadku koegzystencji kilku protokołów warstwy sieciowej posługujących się ramkami rozgłoszeniowymi. Przykładowo rozgłoszenia ARP, stosu TCP/IP, pozostaną w jednej domenie rozgłoszeniowej, podczas gdy rozgłoszenia protokołu IPX w drugiej. Jednocześnie istnieć będzie możliwość komunikacji z serwerem obsługującym oba te protokoły.

Wadą tej metody jest niewielka precyzja w organizacji wirtualnych sieci lokalnych. Pozwala ona zaledwie podzielić sieć lokalną na tyle wirtualnych sieci, ile jest stosowanych w niej protokołów. W praktyce sprowadza się to do możliwości utworzenia kilku sieci wirtualnych, skutkiem czego w rozbudowanych sieciach lokalnych wielu klientów należeć będzie do jednej sieci wirtualnej.

6.3.5Warstwa 3 - przynależność definiowana na podstawie adresu IP urządzenia


Ten sposób definiowania przynależności analizuje dwa pola odbieranej ramki. Polami tymi są typ protokołu – w nagłówku ramki warstwy drugiej, oraz docelowy adres IP – w nagłówku warstwy trzeciej (patrz Rysunek 6 .32). Podczas definiowania kryterium, pozwalającego klasyfikować klientów, można posługiwać się adresami sieci wraz z maską, jak również adresami pojedynczymi.

Rysunek 6.32 - Sieć wirtualna definiowana na podstawie adresu IP

Podobnie, jak w przypadku przynależności do wirtualnej sieci lokalnej definiowanej na podstawie adresów MAC oraz typu protokołu, spotykane są dwa rozwiązania dotyczące podziału sieci na niezależne domeny rozgłoszeniowe. Rozwiązaniami tymi są:


  1. wirtualna sieć lokalna posiada właściwość definiowania przynależności klientów na podstawie adresów IP; muszą zostać przy tym określone porty, które obejmuje ona swoim zasięgiem;

  2. wirtualna sieć lokalna bez wyspecyfikowanego zestawu portów które obejmuje; porty zostają do niej dynamicznie dodawane wraz z odbiorem ramek od klientów należących do danej wirtualnej sieci lokalnej. Przełącznik w trakcie pracy pełni rolę serwera ARP, posiadając tym samym tablicę adresów MAC z odpowiadającymi im adresami IP.

W pierwszym przypadku rozgłaszanie ramek ograniczone jest do wybranych portów przełącznika. W przypadku drugim klienci, którzy są nieaktywni (długo nie wysyłali ramek) nie otrzymują rozgłoszeń dopóki nie wyślą ramki – przełącznik nie potrafi zaklasyfikować portu do danej sieci wirtualnej.

Metoda wyróżnia się elastycznością i łatwością konfiguracji. W przypadku możliwości definiowania wirtualnej sieci lokalnej na podstawie adresu podsieci tablica konfiguracyjna może mieć kilka pozycji, a bardzo efektywnie dzielić na sieci wirtualne wielu klientów. Duża popularność protokołu IP ma wpływ na szeroką stosowalność metody. Pozwala także na przypisanie klienta do kilku wirtualnych sieci lokalnych. Ponadto klienci, identyfikowani adresami IP, mogą migrować w obrębie sieci lokalnej bez konieczności zmiany konfiguracji wirtualnych sieci lokalnych. Zaletą także jest możliwość wymiany karty sieciowej u klientów bez rekonfiguracji sieci wirtualnych (wymaganej w przypadku przynależności na podstawie adresów MAC).

Wadą rozwiązania może być konieczność przypisania stałych adresów IP komputerom w sieci. Ponadto wadą metody jest wolniejsze filtrowanie ramek, ponieważ analizowane są dwa, zamiast jednego, pola ramki. Co więcej, analiza drugiego pola (adresu IP) jest uzależniona od wyników analizy pola przenoszącego typ protokołu warstwy sieciowej.

W przypadku tej metody określania przynależności klientów do sieci wirtualnej migracja na protokół IPv6 ma niewielki wpływ. Różnicą jest jedynie większa długość pól adresów protokołu IPv6 oraz zmiana miejsca ich występowania.


6.3.6Warstwa 4 - przynależność definiowana na podstawie typu usługi warstwy transportowej


Wszystkie spotykane rozwiązania w warstwie czwartej dotyczą wyłącznie protokołu IP. W protokole IP przez typ usługi rozumie się numer portu14 oraz typ protokołu warstwy transportowej (TCP lub UDP). Są one obwarowane licznymi zastrzeżeniami. Wynika to z trudności filtrowania nagłówków warstwy transportowej.

Głównym problemem dotyczącym filtrowania nagłówków warstwy czwartej jest możliwość występowania nagłówka warstwy trzeciej o zmiennej długości. Jest to specyfika protokołu IP. Polem nagłówka warstwy sieciowej, którego długość może się zmieniać jest pole "Options". Związana jest z tym trudność w określeniu miejsca występowania w ramce nagłówka warstwy transportowej. Dlatego proste układy analizujące „przedział bajtów” ramki nie sprawdzają się. Konieczna jest analiza zarówno pola określającego typ przenoszonego protokołu warstwy sieciowej, pola IHL (ang. Internet Header Length) określającego długość nagłówka warstwy sieciowej, pola określającego typ protokołu warstwy transportowej (TCP czy UDP) oraz docelowo numer portu określający usługę sieci TCP/IP. Wszystko to powoduje, że szybkość przełączania drastycznie spada. Spotykane są jednak rozwiązania korzystające z pewnych założeń, które bardzo upraszczają całą analizę. Odbywa się to kosztem odrzucania ramek nie spełniających odpowiednich założeń [29].

Pierwszym założeniem upraszczającym proces klasyfikacji ramek jest wymaganie dotyczące określonej długości pola "Options" nagłówka protokołu IP. Najczęstszą wartością są 4 bajty i taka wartość jest akceptowana.

Drugim uproszczeniem jest rezygnacja z obsługi ramek podlegających fragmentacji. Ramki będące fragmentami większych datagramów nie zawierają w ogóle nagłówka warstwy transportowej.

Czyniąc powyższe założenia można uprościć proces klasyfikowania do danej sieci wirtualnej. Wówczas pola odpowiadające numerowi portu i typowi protokołu warstwy transportowej można odnaleźć na określonej pozycji w ramce. Przyspiesza to znacznie działanie tej metody i pozwala korzystać z jej dobrodziejstw.

Migracja do protokołu IPv6 powoduje znaczne uproszczenie tego kryterium przynależności klientów do wirtualnych sieci lokalnych. Jest to spowodowane stałą długością nagłówka protokołu IPv6. Dzięki temu numer portu protokołu TCP lub UDP znajduje się zawsze w tym samym miejscu w ramce. Nie występuje więc problem odrzucanych ramek.

Zauważyć należy, że w tym sposobie definiowania przynależności do wirtualnej sieci lokalnej nie można w ogóle mówić o podziale domen rozgłoszeniowych, ponieważ segmenty TCP i pakiety UDP nie mogą być adresowane rozgłoszeniowo.



Rysunek 6.33 - Sieć wirtualna definiowana na podstawie typu usługi warstwy transportowej

Zaletą rozwiązania jest wysoki poziom abstrakcji grupowania klientów w sieci wirtualne. Metoda pozwala zgrupować np. klientów korzystających z przeglądarki Web lub protokołów pocztowych. Jest to rozwiązanie mogące podnieść bezpieczeństwo sieci. Przykładowo serwer Web mógłby należeć do ogólnodostępnej wirtualnej sieci lokalnej, podczas gdy dostęp terminalowy do innej sieci wirtualnej. Pozwoliłoby to na zabezpieczenie, w obrębie np. korporacji, dostępu do konsol zarządzania strategicznymi węzłami sieci takimi, jak routery i przełączniki.

Wadą omawianego w tym punkcie rozwiązania jest jego duża złożoność, co obniża szybkość przełączania ramek. Ponadto praktycznie spotykane rozwiązania nakładają ograniczenia na zawartość nagłówków protokołu IP, co oznacza, że część ramek nie będzie prawidłowo klasyfikowana. Aby tego uniknąć konieczne jest zmodyfikowanie parametrów stosów TCP/IP na stacjach, które wysyłają ramki nieprawidłowo klasyfikowane.

6.3.7Przynależność definiowana na podstawie filtrów określanych przez użytkownika


Ta metoda przynależności do wirtualnej sieci lokalnej jest uogólnieniem wszystkich metod opartych na analizie pól ramek. Uogólnienie to jest szczególnie ważne dla projektantów układów przełączających. Przynależność zgodnie ze znacznikami to przecież nic innego jak porównanie ze wzorcem czterech bajtów przesuniętych względem początku ramki o 12 bajtów (dla Ethernetu). Producenci sprzętu zaproponowali bardziej elastyczne rozwiązanie. Zgodnie z nim można dowolnie definiować zarówno przesunięcie względem początku ramki, długość analizowanego pola, jak i jego zawartość. W rozwiązaniu firmy IBM [22] można nawet definiować maskę bitową nakładaną na analizowane pole – co pozwala precyzyjniej dobierać wzorzec, z którym porównywana jest zawartość ramki.

Zastosowaniem tego filtru może być definiowanie przynależności na bardzo wysokim poziomie abstrakcji. Przykładem może być klasyfikacja na podstawie fragmentu adresu MAC nadawcy. Podejście takie łączy łatwość konfiguracji sieci opartych o adresy IP podsieci z precyzją przynależności uzyskiwaną w przypadku korzystania z adresów MAC. Filtracji mogą też podlegać np. fragmenty adresów Web wpisywanych w przeglądarce.

Wadą metody, podobnie jak i poprzedniej, jest jej duża złożoność, a tym samym spowolnienie procesu przełączania.

6.3.8Podsumowanie sposobów definiowania przynależności do wirtualnych sieci lokalnych


Na zakończenie przeglądu kryteriów pozwalających przydzielać klientów do wirtualnych sieci lokalnych należy dodać, że poszczególne przełączniki oferują zwykle kilka wybranych metod. Pozwala to na bardzo elastyczne konfigurowanie sieci wirtualnych. Przykładem może być przydzielenie drukarki sieciowej na podstawie portu, natomiast pozostałych klientów w oparciu o adresy IP podsieci. Drukarka jest w tym wypadku traktowana specjalnie, ponieważ często ma taką cechę, że sama nie wysyła ramek zanim ich nie otrzyma. Z tego względu przełącznik, analizując to, co wysyła stacja nie byłby w stanie jej sklasyfikować, a tym samym nie byłoby z nią kontaktu w danej sieci wirtualnej.



Pobieranie 0.53 Mb.

1   ...   11   12   13   14   15   16   17   18   ...   26




©absta.pl 2020
wyślij wiadomość

    Strona główna