[Системное администрирование, Сетевые технологии, Облачные сервисы, Сетевое оборудование] Особенности применения управляемых и неуправляемых коммутаторов

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
27-Окт-2020 14:32


Какой коммутатор использовать для решения той или иной задачи: управляемый или неуправляемый? Разумеется, однозначные ответы вроде: «Нужно брать который круче» или «который дешевле» — не подходят, оборудование нужно подбираться строго по требуемым характеристикам. А какие они, эти характеристики? И какие существуют преимущества у той или иной группы устройств?
Примечание. В этой статье мы говорим о сетях семейства Ethernet, в том числе: Fast Ethernet, Gigabit Ethernet, 10 Gigabit Ethernet. Для экономии времени все эти сети для краткости мы будем называть термином Ethernet.
Для чего нужны неуправляемые коммутаторы
Неуправляемыми коммутаторами называют самые простые устройства без возможности принудительно изменять какие-либо характеристики. В основе лежит принцип: «включил и работай».
Преимущества неуправляемых коммутаторов
Как уже было сказано, это достаточно простые устройства. Они не содержат сложных контроллеров, не требуют повышенного питания, меньше греются, их работу сложнее нарушить, а при выходе из строя их довольно просто заменить (не надо ничего перенастраивать).
Ещё один несомненный плюс — неуправляемые коммутаторы стоят дешевле.
Такие устройства применяются в простых сетях, где не требуется применения сложных сетевых конфигураций. Тут надо отменить, что под понятием «простые сети» может скрываться вполне себе развитая инфраструктура среднего предприятия на 100+ локальных клиентов.
Ещё одна область применения — в отдельных выделенных сетях, куда посторонним вход запрещен. Например, в сети видеонаблюдения, в которой кроме службы безопасности и администратора остальным сотрудникам офиса делать нечего.
Из практики. Сетевые инфраструктуры только из неуправляемых коммутаторов без применения другого сетевого оборудования (за исключением Интернет-шлюза) редко переходят за порог 254 устройства. Такие LAN часто оформляются в виде одной подсети класса С. На это есть свои причины — если слишком много устройств находится в одном широковещательном домене, то служебный Ethernet трафик достигает существенной величины и начинает мешать передаче информации. Это связано с тем, что каждое устройство обязано принять и обработать широковещательные кадры, а это, в свою очередь создает ненужную нагрузку и засоряет канал связи. Чем больше устройств, тем больше широковещательных посылок время от времени проходит по сети, которые принимают все эти же устройства. В свою очередь маска подсети класса С — 255.255.255.0 и префикс 192.168.xxx.xxx— популярные значения, а предел в 254 устройства для сетей этого класса является, помимо всего прочего, своего рода психологической отметкой, когда приходит понимание, что c разросшейся сетью «надо что-то делать».
Ещё одна сфера применения неуправляемых коммутаторов — удешевление сетевой инфраструктуры. Строить развернутую сеть на базе только управляемых коммутаторов — достаточно дорогое удовольствие. На практике возникают случаи, когда большое число однотипных устройств находятся в одной подсети и расположены относительно недалеко. В качестве примера можно привести пользователей «тонких клиентов» в «опенспейсе», которым назначен отдельный изолированный VLAN. В таких простых случаях функции управления на коммутаторе уровня доступа не так уж и востребовано. За вопросы безопасности и перенаправления трафика отвечает уровень распределения (агрегации) и далее — ядро сети.
Ещё один классический пример: специально выделенная сеть для управления оборудованием, куда подключены, интерфейсы IPMI для управления серверами, IP-KVM и так далее.
Для таких сегментов можно использовать один или несколько неуправляемых коммутаторов с Uplink в выделенный VLAN для связи с остальной сетевой инфраструктурой. Разумеется, в этом случае теряется возможность гибкого управления целым фрагментом, но так ли уж нужно чем-то там управлять?
Некоторые мифы и заблуждения
Миф 1. Неуправляемые коммутаторы — это «отсталое старьё», рассчитанное на небольшие скорости (до 1 Гбит/сек. максимум), сейчас все новые современные коммутаторы — управляемые.
Это далеко не так. Неуправляемые коммутаторы выпускаются и успешно применяются. Мало того, обеспечивают вполне приличные скорости. В качестве примера можно привести современные мультигигабитные коммутаторы, позволяющие повысить скорость передачи данных без замены кабельной системы.

Рисунок 1. Zyxel XGS1010-12 — 12-портовый неуправляемый мультигигабитный коммутатор с 2 портами 2.5G и 2 портами 10G SFP+
Миф 2. Сейчас неуправляемые коммутаторы — это для не корпоративных сетей. Они не выпускаются в формфакторе 19 дюймовых стоек и содержат не больше 16-ти портов.
Это тоже не соответствует действительности — стоечные неуправляемые коммутаторы выпускаются и находят свое место в том числе в корпоративных сетях. В качестве примера можно привести Zyxel GS1100-24 — 24-портовый гигабитный неуправляемый коммутатор с гигабитным Uplink.

Рисунок 2. Zyxel GS1100-24 — 24-портовый гигабитный неуправляемый коммутатор в стоечном исполнении.
Миф 3. С PoE бывают только управляемые коммутаторы. Аналогичное заблуждение: с PoE — только неуправляемые.
На самом деле и управляемые, и неуправляемые коммутаторы бывают как с PoE, так и без. Все зависит от конкретной модели и линейки оборудования. Для более подробного ознакомления рекомендуем статью IP-камеры PoE, особые требования и бесперебойная работа — сводим всё воедино.

Рисунок 3. Zyxel GS1300-26HP — 24-портовый гигабитный (+2 Uplink) неуправляемый коммутатор для систем видеонаблюдения с расширенной поддержкой PoE.
Удивительное рядом. Можно ли управлять неуправляемым коммутатором? Казалось бы, ответ уже понятен из названия (вот и Капитан Очевидность нам то же самое говорит). Однако, что мы понимаем под словом «управлять»? Например, отключать или включать питание, или выполнить перезапуск устройства — это ведь тоже управление? В этом случае нам помогут такие устройства как SmartPDU. Часто под управлением понимают настройку запретов и разрешений для клиентского доступа. В этом случае, например, можно не выключать порты, а настроить фильтрацию по MAC «этажом выше», то есть на управляемом коммутаторе уровня распределения (агрегации). Тогда на верхний уровень будет проходить трафик только от разрешенных MAC. Разумеется, злоумышленник в качестве цели для атаки может избрать рядом стоящие компьютеры или тонкие клиенты, но для нанесения большого вреда вроде «положить ядро сети» фильтрация по MAC на уровне распределения (агрегации) создает определенные затруднения. В итоге коммутатор как был, так и остается неуправляемым, но мы можем управлять его окружением и даже выполнять какие-то действия с ним самим.
Ограничение неуправляемых коммутаторов
Ограничение одно и весьма большое — неуправляемость. Если нужно что-то большее, чем просто соединять два порта и передавать кадры Ethernet — нужно использовать управляемые коммутаторы.
Управляемые коммутаторы
В отличие от их более простых собратьев, которые выше канального уровня (2-й уровень модели OSI) не поднимались, управляемые коммутаторы выпускаются уровней L2, L2+, L3 и даже L3+.
При таком разнообразии описать все функции и особенности работы в рамках одной статьи просто нереально. Поэтому мы ограничимся описанием основных возможностей управляемых коммутаторов уровня L2.
Функции управления в коммутаторах L2
Управляемые коммутаторы L2 — вещь довольно распространенная. Например, их удобно использовать на уровне доступа, чтобы гибко управлять клиентским трафиком.
Коммутаторы L2 можно встретить и на уровне ядра сети. Коммутаторы на этом участке обеспечивают скоростное взаимодействие всех ветвей сети. При такой загрузке те или иные «крутые» функции L3 оказываются не востребованы, а иногда просто мешают. Роль анализаторов и фильтров трафика в такой архитектуре целиком возложена на коммутаторы уровня распределения (агрегации).
Ниже приводится очень сокращенный список функций управления, характерный для коммутаторов L2. Разумеется, для коммутаторов L2+ и, тем более, L3 список возможностей будет куда как длиннее. Но даже из этого сокращенного перечня хорошо понятны отличия от их неуправляемых собратьев.
Возможность удаленной перезагрузки или выключения
Редко, но такая возможность бывает востребована. Например, перезагрузка может потребоваться при перепрошивке устройства или необходимости откатиться назад без сохранения конфигурации. Выключение коммутатора — тоже может быть полезно. Например, «мягкое» выключение коммутатора уровня доступа может быть эффективно в качестве крайней меры при опасности массового заражения рабочих станций.
Port UP/Down
Возможность отключить порты — весьма полезная возможность для поддержания требуемого уровня безопасности. Работающая сетевая розетка в «тихом месте», оставленная без присмотра — это потенциальная «дыра». Самый простой способ избавиться от такой беды — просто перевести порт на коммутаторе в состояние Down.
Пример: неиспользуемые розетки в переговорной. Изредка они нужны, когда необходимо подключить дополнительное оборудование, например, для видеоконференций, а также ПК, МФУ и другие устройства. Однако при собеседовании кандидатов для приема на работу такие «свободные порты» могут оказаться брешью в безопасности, которую лучше прикрыть.
Разумеется, можно постоянно бегать в серверную и отключать-подключать порты вручную, выдергивая патчкорды из коммутатора или патчпанели. Но такой подход чреват не только необходимостью постоянно держать поблизости человека, способного это проделать, но и быстрым выходом разъемов из строя. Поэтому возможности менять состояние Up-Down для каждого порта рано или поздно окупится.
Защита от петель
Ошибки в виде «двойного подключения» приводят к созданию «петель» в сетях Ethernet и лишают сеть работоспособности.
Для их защиты придуманы специальные средства — в первую очередь мы говорим о семействе протоколов STP (Spanning Tree Protocol), который, кроме защиты от петель, предотвращает возникновение широковещательного шторма в сетях. Протоколы семейства STP работают на 2 уровне модели OSI (L2).
Агрегирование каналов
Позволяет объединить два или несколько портов (обычно применяется число, кратное 2) в один канал передачи данных. Один из известных проколов для агрегации — LACP (Link Aggregation Control Protocol), поддерживаемый большинством Unix-like операционных систем. LACP работает в режиме Active-Active и, благодаря ему, помимо повышения отказоустойчивости увеличивается и скорость передачи данных
Поддержка VLAN
VLAN (Virtual Local Area Network) — группа устройств, обменивающихся трафиком на канальном уровне (2 уровень сетевой модели OSI), хотя физически они могут быть подключены к разным коммутаторам.
Известен и обратный прием, когда один коммутатор при помощи VLAN «нарезается» на несколько независимых сегментов. Устройства из разных VLAN по умолчанию (без маршрутизации) «недоступны» на канальном уровне, не важно, подключены они к одному коммутатору или к разным. В то время как устройства из одного VLAN могут общаться между собой на канальном уровне, даже будучи подключенными к разным коммутаторам.
Это применяется как при разделении сети на подсети, например, для снижения уровня широковещательного трафика, так и для объединения устройств из различных сегментов крупной корпоративной сети в одну подсеть, организованную по единым правилам.
Например, если всей бухгалтерии, находящейся на 2-м, 3-м и 5-м этажах необходимо дать доступ к серверу 1С, но при этом запретить доступ к сети вычислительного кластера для инженерных расчетов, то разумнее всего сделать дополнительный VLAN, настроить общие ограничения, после чего приписать к нему порты всех бухгалтерских компьютеров.
QoS
Под QoS (Quality of Service) обычно подразумевают способность сети обеспечить необходимый уровень сервиса заданному сетевому трафику.
Например, в сети, при работе оборудования для видеоконференций, трафик между источником и приемником видеотрансляции будет более приоритетным, чем, например, копирование документов для инженеров техподдержки.
Существует множество различных инструментов, облегчающие подобные задачи, в том числе создание аппаратных очередей, flow-control и так далее.
Безопасность
Под безопасностью можно понимать самые разнообразные функции, например, те же VLAN.
Также среди наиболее известных: Port Security, фильтрация Layer 3 IP, фильтрация Layer 4 TCP/UDP.
Например, вот список функций безопасности для коммутаторов L2 серии GS2220:
  • Port security
  • Фильтрация Layer 2 MAC
  • Фильтрация Layer 3 IP
  • Фильтрация Layer 4 TCP/UDP
  • Static MAC forwarding
  • Несколько серверов RADIUS
  • Несколько серверов TACACS+
  • 802.1x VLAN and 802.1p assignment by RADIUS
  • Аутентификация RADIUS
  • Аутентификация TACACS+
  • TACACS+ аккаунтинг
  • RADIUS аккаунтинг
  • Авторизация RADIUS
  • Авторизация TACACS+
  • SSH v2
  • SSL
  • MAC freeze
  • DHCP snooping IPv4
  • DHCP snooping IPv6
  • ARP inspection
  • Static IP-MAC-Port binding
  • Policy-based security filtering
  • Port isolation
  • IP source guard (IPv4/IPv6)
  • MAC search
  • Guest VLAN
  • ACL packet filtering (IPv4/IPv6)
  • CPU protection
  • Interface related trap enable disable (by port)
  • MAC-based authentication per VLAN

Как видим, есть довольно много возможностей, которые востребованы в тех или иных обстоятельствах.

Рисунок 4. GS2220-50HP — 48-портовый гигабитный PoE коммутатор L2 c 2 Uplink SFP GBE.
Управление
Возможности управления и контроля могут быть самые различные. Например, через веб-интерфейс, CLI (интерфейс командной строки), настройка через консольный порт RS-232, сохранение, извлечение и клонирование конфигурации, расписание включения PoE (для коммутаторов с PoE).
Для случаев расследования нарушений безопасности и анализа сетевых проблем интерес вызывают такие функции, как зеркалирование портов.
Старый добрый SNMP протокол тоже играет немаловажную роль, как в плане опроса и управления по протоколам SNMP v1/2c/3, так и оповещения с использованием механизма SNMP Trap.
И, наконец, последний писк моды — централизованное управление через облачную систему, такую как Zyxel Nebula, позволяющую забыть о вопросах локального доступа для управления, учета оборудования и других наболевших темах.
Что в итоге
Не бывает «плохих» и «хороших» направлений развития сетевых устройств. Для каждого типа оборудования существует своя область применения. Зная особенности того или иного класса устройств, можно подобрать для каждой задачи наиболее эффективное решение.
Полезные ссылки

===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_sistemnoe_administrirovanie (Системное администрирование), #_setevye_tehnologii (Сетевые технологии), #_oblachnye_servisy (Облачные сервисы), #_setevoe_oborudovanie (Сетевое оборудование), #_zyxel, #_marshrutizatsija (маршрутизация), #_marshrutizator (маршрутизатор), #_mezhsetevye_ekrany (межсетевые экраны), #_shljuz (шлюз), #_router, #_routing, #_switch, #_kommutator (коммутатор), #_nebula_cloud, #_setevye_tehnologii (сетевые технологии), #_setevoe_administrirovanie (сетевое администрирование), #_setevaja_infrastruktura (сетевая инфраструктура), #_setevoe_oborudovanie (сетевое оборудование), #_oblachnye_servisy (облачные сервисы), #_oblachnye_tehnologii (облачные технологии), #_saas_servisy (saas сервисы), #_blog_kompanii_zyxel_v_rossii (
Блог компании ZYXEL в России
)
, #_sistemnoe_administrirovanie (
Системное администрирование
)
, #_setevye_tehnologii (
Сетевые технологии
)
, #_oblachnye_servisy (
Облачные сервисы
)
, #_setevoe_oborudovanie (
Сетевое оборудование
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 23-Ноя 01:53
Часовой пояс: UTC + 5