Коммутаторы Logo

модель OSI;
Функции повышения надежности и производительности;
Spanning Tree Protocol (STP);
Rapid Spanning Tree Protocol (IEEE 802.1D-2004);
Multiple Spanning Tree Protocol (IEEE 802.1Q-2003);

основе портов (Port-based VLAN);
VLAN на основе стандарта IEEE 802.1Q;
Статические и динамические VLAN;
VLAN на основе портов и протоколов (IEEE 802.1v);
Асимметричные VLAN;
Функция Traffic Segmentation;
Агрегирование каналов связи;

механизмы обслуживания очередей;
Многоадресная рассылка;
Пример топологии сети на основе коммутации;
Рекомендации по выбору коммутатора.

одновременно несколько соединений между разными парами портов при этом данные пересылались напрямую от порта-источника к порту-получателю с максимально возможной для используемой технологии скоростью. Такой принцип работы получил название «микросегментация».

(QoS);
обеспечение безопасности;
передача питания (IEEE 802.3af-2003 PoE).

Функции коммутаторов

Функции управления коммутаторов, позволяют системным администраторам удобно настраивать сетевые параметры, осуществлять мониторинг и анализ трафика.
Стандарт IEEE 802.3af-2003 PoE, описывающий технологию передачи питания по Ethernet (Power over Ethernet, PoE), позволил создавать коммутаторы используемые в качестве питающих устройств для
IP-телефонов, Интернет-камер, беспроводных точек доступа.

(Rack mounted switch)
коммутаторы на основе шасси
(Chassis switch)

В зависимости от конструктивного исполнения (габаритных размеров) можно выделить три группы коммутаторов:………..
1. небольшое количество фиксированных портов (от 5 до 16), с блоком питания. Чаще всего коммутаторы используются в сетях класса SOHO (Small Office, Home Office), где не требуется высокая производительность и расширенные сетевые функции.

Выделяют стековые коммутаторы – благодаря специальным интерфейсам можно объединять в одно логическое устройство для увеличения кол-ва портов, удобства управления и мониторинга.
3. Коммутаторы на шасси содержат слоты для установки интерфейсных модулей расширения, резервных источников питания и процессорных модулей. Обеспечивают гибкость применения, высокую плотность портов и возможность резервирования критичных для функционирования коммутатора компонентов. Модули такого коммутатора поддерживают техно-логию hot swap(«горячая замена»), то есть допускают замену на ходу.

Магистрали, сети крупных корпоративных сетей, городских сетей или сетей операторов связи.

Сети малых и средних предприятий (Small to Medium Business, SMB), корпоративные сети и сети провайдеров услуг (Internet Service Provider, ISP);

Малые предприятия, домашние сети класс SOHO (Small Office, Home Office);

логическое устройство с целью увеличения количества портов, удобства управления и мониторинга. Объединенные в стек коммутаторы имеют общие таблицы коммутации и маршрутизации (для коммутаторов 3 уровня).

«кольцо» (ring)

«цепочка» (chain)

При выходе одного устройства из строя или обрыве связи остальные устройства стека будут продолжать функционировать в обычном режиме.

Все устройства стека управляются через один IP-адрес. Передача
данных между ними ведется в полнодуплексном режиме….

DataBase, FDB);
продвижение (forwarding) кадра – передача данных в порт, ассоциированный с МАС-адресом;
лавинная передача (flooding) – передача кадра во все порты если МАС-адрес приемника в полученном кадре неизвестен;
фильтрация (filtering) – кадр отбрасывается при совпадении выходного порта и порта-источника.

Коммутаторы локальных сетей обрабатывают кадры на основе алгоритма прозрачного моста (transparent bridge), который определен стандартом IEEE 802.1D. Процесс работы алгоритма прозрачного моста начинается с построения таблицы коммутации (Forwarding DataBase, FDB).
Изначально таблица коммутации пуста. При включении питания,
одновременно с передачей данных, коммутатор начинает изучать расположение подключенных к нему сетевых устройств путем анализа МАС-адресов источников получаемых кадров….

FCS – Frame Check Sequence (контрольная последовательность кадра)
ICMP (англ. Internet Control Message Protocol - протокол межсетевых управляющих сообщений) 

00-00-00-00-00-11
10.10.10.1

00-00-00-00-00-44
10.10.10.4

00-00-00-00-00-22
10.10.10.2

00-00-00-00-00-33
10.10.10.3

Запрос ICMP Echo

Ответ ICMP Echo

Порт1

Порт2

Порт3

Порт4

При отключенном автоизучении МАС-адресов на портах коммутатора используется статическая таблица коммутации с целью повышения сетевой безопасности - гарантировано, что только устройства с определенными МАС-адресами могут подключаться к сети.

Кадр

Вопросы?

фрагментов (fragment-free).

Перед передачей кадра коммутатор его получает и производит анализ содержимого при этом может быть реализован один из трех режимов работы:___
При коммутации с промежуточным хранением коммутатор, прежде чем передать кадр, полностью копирует его в буфер и производит проверку на наличие ошибок (не совпадает контрольная сумма, кадр меньше 64 или больше 1518 байт). При ошибке кадр отбрасывается, без ошибок – коммутатор находит МАС-адрес приемника в своей таблице коммутации и определяет выходной порт. Затем, если не определены никакие фильтры, коммутатор передает кадр в порт устройству назначения.

…без буферизации коммутатор копирует в буфер только МАС-адрес назначения и сразу начинает передавать кадр, не дожидаясь его полного приема.
-1проверку на ошибки не выполняет.
-2метод может использоваться когда порты коммутатора поддерживают одинаковую скорость.
…с исключением фрагментов коммута-тор принимает в буфер первые 64 байта кадра, перед их передачей отфильтровывает коллизионные кадры, после чего начинает передачу. В Ethernet коллизия может произойти во время передачи первых 64 байт, поэтому все кадры с длиной больше 64 байт считаются правильными.

Вопросы?

технологией. Тем не менее принципы построения остаются общими. Поэтому для упрощения рассмотрения архитектуры коммутатоторов примем, что коммутатор содержит N входных и N выходных портов, а поступающие пакеты имеют фиксированную длину.

2. разрешение конфликтов, возникающих в тех случаях, когда несколько одновременно прибывших пакетов конкурируют за один и тот же выходной порт эта проблема решается обычно с помощью схемы буферизации, которая часто определяет основные особенности архитектуры коммутатора.

коммутации для устройства с двумя входными и двумя выходными портами (коммутатор 2 x 2).
Во многих случаях коммутаторы 2N x 2N строятся, как некая сетевая структура из таких элементарных блоков.

коммутатор 2 x 2

Схема задержки

Схема задержки

Регистр-защелка

Решающая логика

Коммутационный элемент
(коммутационное поле - switch fabric)

ввод

ввод

вывод

вывод

Одним из основных компонентов всего коммутационного оборудования является коммутирующая матрица (switch fabric), представляющая собой микросхему, соединяющую множество входов с множеством выходов на основе технологий и принципов коммутации.
Коммутирующая матрица выполняет три функции:
переключает трафик с одного порта матрицы на другой;
предоставляет качество обслуживания (Quality of Service, QoS);
обеспечивает отказоустойчивость.

(bandwidth), обеспечивающая коммутацию без отбрасывания пакетов;
«Неблокирующая» коммутирующая матрица (non-blocking switch fabric) - матрица, у которой производительность и QoS не зависят от типа трафика:

К коммутирующей матрице предъявляются требования по масштабированию производительности и возможности быстрого развития системы QoS.
Производительность коммутирующей матрицы (switch capacity) - общая полоса пропускания (bandwidth), обеспечивающая коммутацию без отбрасывания пакетов трафика любого типа (одноадресного, многоадресного, широковещательного).

Например, производительность коммутатора с 24 портами 10/100
Мбит/с и 2 портами 1 Гбит/с вычисляется следующим образом:
((24 х 100 Мбит/с) + (2 х 1 Гбит/с)) х 2 = 8.8 Гбит/с
* Умножение на 2 для дуплексного режима работы.

где
N - количество портов;
Cpi - максимальная производительность протокола, поддерживаемого i-м портом коммутатора.

коммутационной матрицы:
с буферизацией;
с арбитражем;
Показатели производительности:
Максимальная скорость ретрансляции пакетов;
Совокупная скорость ретрансляции пакетов.

Главное правило, которого следует придерживаться при разбиении сети на части (сегменты), называется "правило 80/20". Только при его выполнении коммутатор работает эффективно. Согласно этому правилу, необходимо, чтобы не менее 80 процентов всех передач происходило в пределах одной части (одного сегмента) сети. И только 20 процентов всех передач должно происходить между разными частями (сегментами) сети, проходить через коммутатор.

Существует много типов архитектур коммутирующих матриц…Выбор архитектуры определяется ролью коммутатора в сети и объемом обрабатываемого трафика. Часто матрица реализуется на основе комбинации нескольких базовых архитектур.
Коммутаторы характеризуются двумя показателями производительности:
· Максимальная скорость ретрансляции пакетов измеряется при передаче пакетов из одного порта в другой, когда все остальные порты отключены.

использует в качестве разделяемой среды шину, обеспечивающую связь подключенных к ней устройств ввода-вывода (портов). Шина используется в режиме разделения времени. Управление доступом к шине осуществляется через централизованный арбитр.

на использовании быстрой памяти RAM большой емкости.
RAM используется в качестве общего буфера коммутационной системы, предназначенного для хранения входящих пакетов перед их передачей. Пакеты, предназначенные для разных портов, хранятся в специально отведенных раздельных областях памяти фиксированной или переменной длинны - зависит от особенностей реализации архитектуры.
Для выполнения операций записи и чтения за один такт память делается двухпортовой.

Выходные очереди

приходящие пакеты, а только переправляют из одной части сети в другую те пакеты, которые в этом нуждаются.

Она включает в себя так называемую перекрестную (коммутационную) матрицу (Crossbar Matrix), во всех точках пересечения которой могут устанавливаться связи на время передачи пакета. В результате пакет, поступающий из любого сегмента, может быть передан в любой другой сегмент (рис.). В случае широковещательного пакета, адресованного всем абонентам, он передается во все сегменты одновременно, кроме того сегмента, по которому он пришел (рис.).

Типы коммутаторов на основе коммутационной матрицы:
коммутаторы с буферизацией (buffered crossbar);
коммутаторы с арбитражем (arbitrated crossbar).

матрицы:
коммутаторы с буферизацией (buffered crossbar);
коммутаторы с арбитражем (arbitrated crossbar).

В середине 1990-х годов разработана архитектура на основе коммутационной матрицы (Crossbar architecture).
Эта архитектура имеет множество вариаций.
Базовая архитектура на основе коммутационной матрицы NxN соединяет N входных портов с N выходными портами в виде матрицы. В местах пересечения, находятся коммутирующие устройства, которыми управляет специализированный контроллер…

Контроллер матрицы

Управление подключением портов

Входные порты

Выходные порты

При использовании буферов, буферы расположены на трех основных стадиях: на входе и выходе и на коммутационной матрице.
+Благодаря наличию очередей на
трех стадиях эта архитектура проста и позволяет избежать сложностей при реализации централизованного
арбитража.
-реализовать качество обслуживания (QoS) в пределах коммутатора сложно, т.к. управление очередями осуществляется на каждой стадии отдельно с помощью алгоритма диспетчеризации.

очереди (Input-Queued Switch);
выходные очереди (output-queued switch);
виртуальные очереди (Virtual Output Queues, VOQ);
комбинированные входные и выходные очереди (Combined Input and Output Queued, CIOQ).

В коммутаторах с арбитражем имеются безбуферные коммутирующие элементы и арбитр, который управляет передачей трафика между входами и выходами матрицы. Отсутствие буферов у коммутирующих
элементов компенсируется наличием буферов входных и выходных портов.
Обычно разработчики используют один из трех методов буферизации: выходные очереди, входные очереди, комбинированные входные и
выходные очереди.

Арбитр

Входные порты

Выходные порты

…

…

Вход 1

N

Вход N

N

Выход 1

Выход N

Арбитр решает важную проблему – недопустить блокировки очереди первым в очереди (Head-Of-Line blocking, HOL), которая проявляется, когда коммутатор пытается одновременно передать пакеты из нескольких входных очередей на один выходной порт. В этом случае пакеты, находящиеся в начале очередей, блокируют все остальные пакеты, находящиеся за ними

очереди (Input-Queued Switch);
выходные очереди (output-queued switch);
виртуальные очереди (Virtual Output Queues, VOQ);
комбинированные входные и выходные очереди (Combined Input and Output Queued, CIOQ).

Арбитр

Входные порты

Выходные порты

…

…

Выход 1

N

Выход N

N

Вход 1

Вход N

В коммутаторах с выходными очередями пакеты буферизируются только на выходных портах после завершения процесса коммутации
(избегаем блокирование очередей HOL).
Арбитр используется для управления временем, за которое пакеты коммутируются через матрицу. При правильно разработанном арбитре коммутаторы могут обеспечивать качество обслуживания (QoS).

Output Queues, VOQ):

Коммутаторы с виртуальными очередями позволяют преодолеть проблему блокировки очередей HOL, не внося издержек свойственных коммутаторам с выходными очередями.
Память каждого входного порта организована в виде N логических очередей типа FIFO, по одной для каждого выходного порта. В очередях буферизуются пакеты, поступающие на входной порт и предназначенные для выходного порта.

Арбитр

Входные порты

Выходные порты

…

…

Вход 1

N очередей

Вход N

Выход 1

Выход N

…

N очередей

выходные очереди (Combined Input and Output Queued, CIOQ):

Арбитр

Входные порты

Выходные порты

…

…

Вход 1

N очередей

Вход N

Выход 1

…

N очередей

Выход N

В коммутаторах с комбинированными входными и выходными очередями буферы памяти подключены как к входным, так и к выходным портам.
Память каждого входного порта организована в виде виртуальных очередей типа FIFO, каждый из N
выходных портов также содержит очередь типа FIFO, которая используется для буферизации пакетов, ожидающих передачи.
Система коммутации работает по принципу конвейера, каждая стадия которого называется временным слотом (time slot)…

Временные слоты:
стадия прибытия;
стадией диспетчеризации;
стадия передачи.

Office Home Office (SOHO));
Настраиваемые коммутаторы
(отличаются невысокой стоимостью, простотой настроек и интуитивно понятным интерфейсом, функционал - ограничен);
Управляемые коммутаторы
поддерживают расширенный набор функций 2 и 3 уровня OSI;
обладают высокоскоростной внутренней магистралью, возможностью установки дополнительных модулей;
управление посредством Web-интерфейса, командной строки (CLI), протокола SNMP, сетевых консолей Telnet, SSH и т.д.;
Область применения - корпоративные сети средних и крупных предприятий.

Коммутаторы классифицируются по возможностям управления. Существует три основных типа: ___
неуправляемые - не поддерживают функции настройки и управления;
настраиваемые позволяют настраивать определенные параметры сети, используя Web-интерфейс или компактный интерфейс командной строки (Compact Command Line Interface, CLI), доступный через Telnet.

Управление коммутаторами может осуществляться посредством Web-интерфейса, командной строки (CLI), протокола SNMP, сетевых консолей Telnet, SSH и т.д. Область применения данных коммутаторов — сети провайдеров услуг, корпоративные сети средних и крупных предприятий и др.

командной строки в окне управления (Command line interface, CLI);
Терминальное подключение с рабочей станции через консольный кабель;
Telnet, SSH.

Управлять контроллерами можно следующими способами:___
Интерфейс последних трёх идентичен – отличается лишь способом подключения.

окне управления (Command line interface, CLI);
Терминальное подключение с рабочей станции через консольный кабель;
Telnet.

В реальной же жизни доступны:  1. Telnet/ssh
2. Терминальное подключение с рабочей станции через консольный кабель
3. Web-интерфейс (Cisco SDM).

При настройке мы будем использовать консоль, это может быть: RJ-45, DB-9 папа, DB-9 мама, DB-9 с нестандартной распиновкой, DB-25. В Cisco - RJ-45 на устройстве SW и DB-9 мама - на ПК, появилась возможность управлять по USB.
После того, как определили номер COM-порта, для подключения можно использовать Hyperterminal или Putty в Win и Minicom в Линукс (параметры подключения см. в документации). Управление через консоль доступно сразу, а вот для телнета нужно установить пароль.

Вопросы?

кадра (forward delay).
Влияющие на производительность показатели:
тип коммутации;
размер буфера (буферов) кадров;
производительность коммутирующей матрицы;
производительность процессора или процессоров;
размер таблицы коммутации
для малых офисов от 1К до 8К
для крупных рабочих групп от 8К до 16К
коммутаторы магистралей сетей от 16К до 64К адресов и более.

Системные администраторы при выборе коммутатора в первую очередь обращают внимание на его производительность. Основными показателями коммутатора, характеризующими его
производительность, являются: ___
На указанные характеристики производительности. влияют: ___
Задержка передачи кадра (forward delay) измеряется как время, с момента прихода первого байта кадра на входной порт SW до момента появления этого байта на его выходном порту – время буферизации байт кадра, просмотр таблицы коммутации, принятие решения о продвижении и получение доступа к среде выходного порта.

Недостаточная емкость таблицы коммутации может служить причиной замедления работы коммутатора и засорения сети избыточным трафиком (если МАС-адрес отсутствует в таблице – рассылка кадра через все порты).
Размер буфера влияет как на задержку передачи кадра, так и на скорость потери пакетов. Поэтому чем больше объем буферной памяти, тем менее вероятны потери кадров.
Коммутаторы, предназначенные для работы в ответственных частях сети, обладают буферной памятью в несколько десятков или
сотен килобайт на порт.

в свой буфер;
отбрасывание кадра, в случае обнаружения ошибки;
отбрасывание кадра для исключения петель в сети;
отбрасывание кадра в соответствии с фильтрами порта;
просмотр таблицы коммутации с целью поиска порта назначения на основе МАС-адреса, если узел-отправитель и получатель кадра подключены к одному порту – кадр отбрасывается.
Скорость продвижения (forwarding)
прием кадра в свой буфер;
просмотр таблицы коммутации для нахождения порта назначения на основе МАС-адреса получателя кадра;
передача кадра в сеть через найденный по таблице коммутации порт назначения.

Скорости фильтрации и скорости продвижения кадров являются интегральными показателями и не зависят от того, каким образом технически реализован коммутатор.
Скорость фильтрации (filtering) практически у всех коммутатоторов является неблокирующей – коммутатор успевает отбрасывать кадры в темпе их поступления.
На скорость фильтрации оказывают влияние этапы обработк:
прием кадра в свой буфер;
отбрасывание кадра, в случае обнаружения в нем ошибки (не совпадает контрольная сумма, или кадр меньше 64 байт или больше 1518 байт);

Скорость продвижения (forwarding) определяет скорость, с которой коммутатор выполняет такие этапы обработки кадров как: ___
Как скорость фильтрации, так и скорость продвижения измеряется
обычно в кадрах в секунду.
Если в характеристиках коммутатора не уточняется, для какого протокола и для какого размера кадра приведены значения
скоростей фильтрации и продвижения, то по умолчанию считается, что эти показатели даются для Ethernet и кадров минимального размера (64 байт без преамбулы с полем данных в 46 байт) – наихудшие параметры трафика.

для которого отношение амплитуды выходного сигнала ко входному превышает некоторый заранее заданный предел, обычно 0,5. То есть полоса пропускания определяет диапазон частот синусоидального сигнала, при которых этот сигнал передается по линии связи без значительных искажений.

bandwidth - пропускная способность в среде на физическом уровне;

физическом уровне;
throughput - измерение скорости передачи битов по среде за указанный промежуток времени:
объём трафика;
тип трафика;
latency - время ожидания, время, которое включает задержки (delays) для перемещения данных от одной точки к другой.
goodput - полезная пропускная способность. - измерение объема данных, переданных за указанный промежуток времени.

Производительность (throughput) — это измерение скорости передачи битов по среде за указанный промежуток времени.
Из-за множества факторов производительность (throughput) обычно не соответствует заявленной пропускной способности (bandwidth) в средах на физическом уровне. На производительность (throughput) влияет ряд факторов, в том числе:
-объём трафика
-тип трафика
-время ожидания, вызванное конфликтом нескольких сетевых устройств между источником и назначением.

Существует третий способ измерения передачи используемых данных, который называется полезной пропускной способностью (goodput). Полезная пропускная способность (goodput) — измерение данных, переданных за указанный промежуток времени. Полезная пропускная способность (goodput) — это производительность полосы минус потери трафика для создания сеансов, подтверждений и инкапсуляции.

пользовательскими являются данные, которые переносятся в поле данных кадров протоколов канального уровня Ethernet.
Следует обращать внимание на то, что коммутатор может иметь очень хорошие показатели пропускной способности но при этом быть блокирующим для кадров минимальной длинны, так как доля накладных расходов на служебную информацию кадра гораздо выше, чем для кадров максимальной длины, а время выполнения коммутатором операций по обработке кадра, приходящееся на один байт информации, больше.

Структура заголовка Ethernet (IEEE 802.3) на канальном уровне:

Тесты 48 портовых коммутаторов:
(Компьютер пресс «Управляемые коммутаторы с гигабитным модулем» Сергей Пахомов)

Коммутаторы тестировались в двух режимах: в режиме передачи пакетов максимальной длины (максимальный сетевой трафик), и в режиме передачи пакетов минимальной длины (максимальная скорость передачи пакетов).
Для исследования производительности коммутатора использовался тестовый пакет NetIQ Chariot 5.0, специально предназначенный для измерения производительности различных сетевых устройств.

тестовый пакет NetIQ Chariot 5.0

коммутатор Allied Telesyn AT-8350GB

коммутатор
D-Link DES-3550

Максимальная скорость

Максимальный трафик

с гигабитным модулем» Сергей Пахомов)

На этом слайде приведены характеристики протестированных коммутаторов.
Обратите внимание, что в режиме максимальной скорости передачи пакетов входящий трафик значительно превосходит исходящий трафик для всех коммутаторов (входящий трафик порядка 550 Мбит/с, исходящий — порядка 200 Мбит/с).

Вопросы?

Конечная станция ожидает требуемое время, после чего возобновляет передачу

2. Буфер порта коммутатора переполняется и посылает кадр-паузу

Формат кадра-паузы:

Механизм управления потоком (Flow Control) позволяет предотвратить потерю данных в случае переполнения буфера принимающего устройства.
Для управления потоком в полудуплексном режиме обычно используется метод обратного давления (Backpressure).
Принимающее устройство
(порт коммутатора) в случае переполнения его буфера отправляет искусственно созданный сигнал обнаружения коллизии или отправляет обратно устройству-отправителю его кадры.

Механизмы управления
потоком:
Backpressure (полудуплекс);
IEEE 802.3х (дуплекс).

Кадры-паузы идентифицируются как управляющие МАС-кадры по уникальным значениям полей
«Длина/тип» (88-08) и «Код операции управления МАС» (00-01).
Правильно сконфигурированная функция управления потоком на
устройствах позволяет повысить общую производительность сети за счет уменьшения потери данных и повторных передач.

для протоколов верхнего уровня;
коммутация аппаратная, высокопроизводительная;
анализирует информацию верхних уровней модели OSI;
не препятствует распространению широковещательных кадров по всем сегментам сети.
коммутаторы уровня 3 (Layer 2+, 2++, 3 (L3) Switch или MultiLayer)
маршрутизацию пакетов, поддержка протоколов маршрутизации RIP (Routing Information Protocol), OSPF (Open Shortest Path First), BGP (Border Gateway Protocol);
маршрутизация пакетов аппаратная, что позволяет выполнять ее на скорости канала связи (в маршрутизаторах общего назначения функция выполняется программно).

Коммутаторы локальных сетей можно классифицировать в соответствии с уровнями модели OSI, на которых они передают, фильтруют и коммутируют кадры. Различают коммутаторы уровня 2 (Layer 2 (L2) Switch) и коммутаторы уровня 3 (Layer 3 (L3) Switch).
Коммутаторы уровня 2 анализируют входящие кадры, принимают решение об их дальнейшей передаче и передают их пунктам назначения на основе МАС-адресов канального уровня модели OSI.

Они поддерживают протоколы маршрутизации RIP, OSPF, BGP для обеспечения связи с другими коммутаторами уровня 3 или маршрутизаторами и построения таблиц маршрутизации, осуществляют маршрутизацию на основе политик, управление многоадресным трафиком.
Существует две разновидности маршрутизации: аппаратная (коммутация 3 уровня) и программная. При аппаратной пересылка пакетов осуществляется специализи-рованным контроллером ASIC. При программной реализации используется центральный процессор.

отказ
Mean time before failure (MTBF) – среднее время наработки на отказ

Вопросы?

(EtherChannel), обеспечивающее объединение нескольких физических каналов в виртуальный, с суммированной пропускной способностью.

Tree Protocol (RSTP);
IEEE 802.1s Multiple Spanning Tree Protocol (MSTP).

Протокол связующего дерева Spanning Tree Protocol (STP) является протоколом 2 уровня модели OSI, который позволяет
строить древовидные, свободные от петель, конфигурации связей между коммутаторами
локальной сети.
обеспечивает возможность автоматического резервирования альтернативных каналов связи между коммутаторами на случай выхода активных каналов из строя.

В настоящее время существуют следующие версии протоколов связующего дерева:…

между коммутаторами создается несколько соединений (избыточность), что приводит к коммутационным петлям.
Хотя наличие избыточных каналов связи очень полезно, петли, тем не менее, создают проблемы, самые актуальные из которых:…

петля

петля

Множественные копии кадров.
Коммутатор получает несколько копий одного кадра, одновременно приходящих из нескольких участков сети. Что приводит к:
невозможности определить расположение устройства по таблице коммутации (кадр из нескольких каналов).
невозможности переслать кадр, из-за постоянного обновления таблицы коммутации.
Множественные петли.
Петли внутри других петель, при широковещательном шторме сеть не сможет выполнять коммутацию кадров.

Bridge);
Идентификатор моста (Bridge ID):
выбор корневых портов (Root Port);
определение назначенных портов (Designated Port).

Для построения устойчивой активной топологии с помощью протокола STP необходимо с каждым коммутатором сети ассоциировать уникальный идентификатор моста (Bridge ID), а с каждым портом коммутатора ассоциировать стоимость пути (Path Cost) и идентификатор порта (Port ID).
Path Cost - суммарное условное время на передачу данных от порта данного коммутатора до порта корневого моста (значения по умолчанию для каждого канала определены в стандарте IEEE 802.1D-1998).

2 этап - Когда процесс выбора корневого моста завершен, оставшиеся коммутаторы сети определяют стоимость каждого возможного пути от себя до корня дерева….
3 этап - Каждый сегмент в коммутируемой сети имеет один назначенный порт (порт, имеющий наименьшее значение стоимости). Этот порт функционирует как единственный порт моста, т.е. принимает кадры от сегмента и передает их в направлении корневого моста через корневой порт данного коммутатора.

Все порты корневого моста являются назначенными с расстоянием = 0:
Оставшиеся порты коммутаторов сети (не корневые и не назначенные ) переводятся в состояние Blocking («Блокировка»), т.е. они принимают и передают только кадры BPDU.

cost: 3

Path cost: 7

Path cost: 13

мост

Назначенный порт

Корневой порт

Заблокировано

0x00);
Topology Change Notification (TCN) BPDU
(тип сообщения: 0x80);
Topology Change Notification Acknowledgement (TCA).

Вычисление связующего дерева происходит при включении коммутатора или изменении топологии.
Вычисления производятся при помощи специальных кадров, называемых BPDU (Bridge Protocol Data Unit) - блоки данных протокола моста.
Кадры BPDU помещаются в поле данных кадров канального уровня, например, кадров Ethernet. ___

Кадр

Поле данных канального уровня (при посылке кадров BPDU):

C целью повышения безопасности, сетевой администратор может отключить передачу кадров BPDU на граничные коммутаторы сети (доступно для каждого порта).

2 сек.), что позволяет им отслеживать состояние топологии сети.
Кадр BPDU состоит из следующих полей: ___

-значение всегда равно 0;
-значение всегда равно 0;
-значение
«00»-конфигурационный BPDU,
«01»-изменение топологии;
- бит 1 – флаг изменения топологии, бит 8 – флаг подтверждения изменения топологии;
-суммарная стоимость пути до корневого моста
-уникальный идентификатор порта, который отправил этот BPDU;

стадий: ___
Blocking («Блокировка») – при инициализации коммутатора все порты (за исключением отключенных) автоматически переводятся в «Заблокирован». В этом случае порт принимает и обрабатывает только кадры BPDU. Все остальные кадры отбрасываются;

Инициализация порта

Состояние Blocking

Состояние Listening

Состояние Learning

Состояние Forwarding

Состояние Disable

Max Age
20с

Forward Delay
15с

Forward Delay
15с

Если приходит лучший BPDU порт переходит в «Заблокирован» иначе спустя Forward Delay порт перейдет в «Продвижение»;
Forwarding(«Продвижение») – порт может обрабатывать кадры данных в соответствии с построенной таблицей коммутации. Также принимает, передает и обрабатывает кадры BPDU;
• Disable(«Отключен») – в это состояние порт переводит администратор. Отключенный порт не участвует ни в работе протокола STP, ни в продвижении кадров данных.

возможность получить
точную информацию о конфигурации связующего дерева, в протоколе
STP используются таймеры...
Hello Time – это интервал времени, через который корневой мост отправляет конфигурационные BPDU. Значение по умолчанию 2с (диапазон от 1 до 10с).

Инициализация порта

Состояние Blocking

Состояние Listening

Состояние Learning

Состояние Forwarding

Состояние Disable

Max Age
20с

Forward Delay
15с

Forward Delay
15с

• Max Age – время хранения параметров текущей конфигурации связующего дерева.
Если за это время коммутатор не получил кадр BPDU от корневого моста, то он считает себя корневым мостом и рассылает свои собственные BPDU, инициируя новую процедуру построения связующего дерева.
Значение по умолчанию 20 с (диапазон от 6 до 40 с).
…

Неправильно подобранные значения таймеров могут увеличить время сходимости топологии STP и снизить производительность сети, рекомендуется использовать значения по умолчанию.

топологии (Topology Change Notification BPDU, TCN BPDU):
некорневой мост получает TCN BPDU на свой назначенный порт;
коммутатор имеет назначенный порт для данного сегмента, порт переходит в состояние Forwarding и истекло время Forward Delay;
порт, находившийся в состоянии Forwarding или Listening, переходит в состояние Blocking;
коммутатор становится корневым мостом.

Коммутатор отправляет BPDU с уведомлением об изменении топологии (Topology Change Notification BPDU, TCN BPDU) в случае возникновения одного из следующих событий:

-(в случае проблем с каналом связи)

к которому подключен их корневой порт.
… …
Эти BPDU передаются через интервал Hello до тех пор, пока они не получат подтверждение
Topology Change Notification Acknowledgement (TCN-ACK) от вышестоящего коммутатора.
Этот процесс продолжается до тех пор, пока TCN BPDU не достигнет корневого моста.

Topology Change Notification Acknowledgement (TCN-ACK) - подтверждение вышестоящего коммутатора.

При настройке функции STP можно на порте включать/отключать прием TCN BPDU (параметр restricted_tcn), позволяет избежать сетевых атак, связанных с отправкой ложных кадров TCN BPDU.

TCN

TCN

TCN-ACK

TCN-ACK

Важно помнить что существует ограничение по числу коммутаторов соединенных в дерево: STP – максимальный диаметр сети = 7 или 15 коммутаторов в цепочке/кольце при условии что Root находится в центре топологии.
При RSTP тоже самое но цифры другие максимальный диаметр - 18 и число коммутаторов - 37 соответственно.

…
Внимание: по умолчанию протокол STP отключен.

ПК 1
IP: 192.168.100.1

Коммутатор 1
(корневой мост)

Коммутатор 2

ПК 2
IP: 192.168.100.2

Настройка коммутатора 1
1.
enable stp
config stp version stp
2.
config stp priority 4096 instance_id 0
3.
config stp ports 1-24 edge true

Настройка коммутатора 1
1. Активизировать STP;
2. Установить коммутатору 1
наименьшее значение
приоритета, чтобы он был выбран корневым мостом
(приоритет по умолчанию =
32768);
3. Настроить порты STP.
Настройка коммутатора 2
Edge - граничный

Настройка коммутатора 2
enable stp
config stp version stp
config stp ports 1-24 edge true

…
Корневой – это порт коммутатора, который имеет по сети кратчайшее расстояние (стоимость пути) до корневого коммутатора.
…Назначенный порт -посылает BPDU с наилучшими параметрами в тот сегмент, к которому подключен.
Корневой и Назначенный порты включены в активную топологию.

Резервный порт предназначен для резервирования пути, предоставляемого назначенным портом в направлении сегментов сети, и не может гарантировать альтернативное подключение к корневому мосту. Резервные порты существуют только в конфигурациях, где есть два или более соединения данного моста с данной сетью (сегментом сети).

для портов коммутаторов…
Эти значения вычисляются в соответствии со скоростью канала связи, к которому подключен порт.

stp
config stp version rstp
2.
config stp priority 4096 instance_id 0 3.
config stp ports 1-24 edge true

Настройка коммутатора 2
enable stp
config stp version rstp
config stp ports 1-24 edge true

1. Активизировать RSTP
2. Установить коммутатору 1 наименьшее значение приоритета, чтобы он был выбран корневым мостом (приоритет по умолчанию
=32768)
3. Настроить граничные порты RSTP

IEEE 802.1s, но позднее был добавлен в стандарт IEEE 802.1Q-2003.
Протокол MSTP обратно совместим с протоколами STP и RSTP.

Tree (MST) Region), каждый из которых может содержать множество копий связующих деревьев (Multiple Spanning Tree Instance, MSTI) с независимой друг от друга топологией.

регион MST (Multiple Spanning Tree (MST) Region);
копия связующего дерева (Multiple Spanning Tree Instance, MSTI).

Физическая топология с петлей

Логическая топология региона MST

Коммутатор 1

Коммутатор 1

Коммутатор 3

Коммутатор 2

Коммутатор 3

Коммутатор 2

логическая топология 1 без петли (Instance1)
логическая топология 2 без петли (Instance2)

Карта привязки VLAN-to-Instance:
VLAN v10, v 20 привязать к Instance1;
VLAN v30, v 40 привязать к Instance1.

на MSTP (по умолчанию используется RSTP).
Настроить имя MST-региона и ревизию.
Создать MSTI и карту привязки VLAN к MSTI.
Задать приоритет STP для выбора корневого моста.
Настроить приоритеты портов.
Настроить граничные порты.

Рассмотрим основные шаги, которые позволяют настроить протокол MSTP на коммутаторах....

-Копии связующих деревьев (Multiple Spanning Tree Instance, MSTI)

две
виртуальные локальные сети – VLAN v2 и VLAN v3. Каждая VLAN привязывается к одной копии связующего дерева.

VLAN v2

VLAN v3

Порт 23

Порт 7

Порт 20

Порт 1

Порт 20

Порт 1

Порт 23

Порт 4

Порт 7

Порт 17

Порт 17

Порт 4

Коммутатор 1

Коммутатор 2

Настройка коммутатора 1
1.
config vlan default delete 1-8,17-24
create vlan v2 tag 2
config vlan v2 add untagged 1-8
create vlan v3 tag 3
config vlan v3 add untagged 17-24
2.
enable stp
config stp version mstp
config stp mst_config_id name XXX revision_level 1
create stp instance_id 2
config stp instance_id 2 add_vlan 2
create stp instance_id 3
config stp instance_id 3 add_vlan 3
config stp priority 4096 instance_id 0
config stp priority 4096 instance_id 2
config stp priority 4096 instance_id 3
config stp ports 7,23 edge true

1. Создание VLAN
2. Настройка MSTP

20

Порт 1

Порт 23

Порт 4

Порт 7

Порт 17

Порт 17

Порт 4

Коммутатор 1

Коммутатор 2

Настройка коммутатора 2
1.
config vlan default delete 1-8,17-24
create vlan v2 tag 2
config vlan v2 add untagged 1-8
create vlan v3 tag 3
config vlan v3 add untagged 17-24
2.
enable stp
config stp version mstp
config stp mst_config_id name XXX revision_level 1
create stp instance_id 2
config stp instance_id 2 add_vlan 2
create stp instance_id 3
config stp instance_id 3 add_vlan 3
config stp ports 7,23 edge true

1. Создание VLAN
2. Настройка MSTP

осуществлять балансировку нагрузки между каналами связи.

VLAN v2

VLAN v3

Порт 23

Порт 7

Порт 25, 26

Порт 25, 26

Порт 23

Порт 7

Коммутатор 1

Коммутатор 2

Порты 25,26 – маркированные порты v2, v3
В случае если один из каналов связи выйдет из строя, трафик VLAN v2 и VLAN v3 будет передаваться по одному оставшемуся каналу.

Настройка коммутатора 1
1.
config vlan default delete 1-8,17-24
create vlan v2 tag 2
config vlan v2 add tagged 25-26
config vlan v2 add untagged 1-8
create vlan v3 tag 3
config vlan v3 add tagged 25-26
config vlan v3 add untagged 17-24
2.
enable stp
config stp version mstp
config stp mst_config_id name XXX revision_level 1
create stp instance_id 2
config stp instance_id 2 add_vlan 2
create stp instance_id 3
config stp instance_id 3 add_vlan 3
config stp ports 7,23 edge true

25, 26

Порт 23

Порт 7

Коммутатор 1

Коммутатор 2

Настройка коммутатора 2
1.
config vlan default delete 1-8,17-24
create vlan v2 tag 2
config vlan v2 add tagged 25-26
config vlan v2 add untagged 1-8
create vlan v3 tag 3
config vlan v3 add tagged 25-26
config vlan v3 add untagged 17-24
2.
enable stp
config stp version mstp
config stp mst_config_id name XXX revision_level 1
create stp instance_id 2
config stp instance_id 2 add_vlan 2
create stp instance_id 3
config stp instance_id 3 add_vlan 3
config stp mst_ports 25 instance_id 2 priority 96
config stp mst_ports 26 instance_id 2 priority 128
config stp mst_ports 25 instance_id 3 priority 128
config stp mst_ports 26 instance_id 3 priority 96
config stp ports 7,23 edge true

строится отдельно для каждого VLANа (BackboneFast, UplinkFast и PortFast);
Per-VLAN spanning tree protocol plus (PVST+) - Разработан для поддержки транкового протокола IEEE 802.1Q (BPDU guard и Root guard);
Rapid per-VLAN spanning tree protocol (rapid PVST+) - Основан на стандарте IEEE802.1w имеет меньшее время сходимости по сравнению с STP;
Rapid spanning tree protocol (RSTP) ;
Multiple STP (MSTP)

Per-VLAN spanning tree protocol (PVST) - проприетарный протокол Cisco. Использует для организации транков свой протокол ISL. Связующее дерево строится отдельно для каждого VLANа. Это дает возможность балансировать трафик на 2-м уровне. Для PVST разработаны расширения настройки портов BackboneFast, UplinkFast и PortFast.

Multiple STP (MSTP) - общедоступный протокол. Позволяет строить связующие деревья для нескольких VLANов. Т.е. позволяет уменьшать количество деревьев на коммутаторе. Предусматривает несколько путей для переадресации трафика и позволяет балансировать нагрузку.

и короткого пути STP всегда использует последовательность принятия решений, состоящую из четырех этапов.
1.Выбор наименьшего идентификатора корневого моста
2.Вычисление наименьшей оценки маршрута к корневому мосту
3.Выбор наименьшего идентификатора моста-отправителя
4.Выбор наименьшего идентификатора порта…

Роли портов
Корневой (Root);
Назначенный (Designated);
Альтернативный (Alternate);
Резервный (Backup);
Отключенный (Disabled)

Состояние портов 
отключения (Disabled);
блокировки (Blocking);
прослушивания (Listening);
пересылки (Forwarding)

Loop Guard - обеспечивает дополнительную защиту на L2 от возникновения петель. STP петля возникает когда блокированный порт в избыточной топологии ошибочно переводится в состояние forwarding (передачи). Порт после прекращения получения пакетов BPDU переводится в состояние loop-inconsistent и остается блокированным.
UDLD — использует сообщения канального уровня для того чтобы обнаружить ситуацию когда коммутатор более не получает кадры от соседа. Коммутатор передающий интерфейс которого не вышел из строя, переводится в состояние err-disable.

стоимости портов, а также стоимости пути к root bridge: S1#show spanning-tree
Вывод более детальной информации : S1#show spanning-tree detail
Изменить приоритет коммутатора (чтобы был корневым).
Первый способ
S1(config)#spanning-tree vlan vlan-id root primary. - основной корневой коммутатор.
S1(config)#spanning-tree vlan vlan-id root secondary - запасной корневой коммутатор.
Второй способ
S1(config)#spanning-tree vlan vlan-id priority value. Этим способом можно назначать конкретные значения приоритетов.

Команды Cisco при настройке STP

При настройке STP в Cisco предусмотрены команды __
…Изменить приоритет коммутатора (чтобы был корневым). Есть два способа: Первый способ: S1(config)#spanning-tree vlan vlan-id root primary. Коммутатору будет присвоен наименьший обнаруженный в сети приоритет (24576 или на 4096 ). - основной корневой коммутатор.

Время сходимости сети изменять заданием диаметра сети! (коммутатор сам подстроит все таймеры. S1(config)#spanning-tree vlan vlan id root primary diameter value 
PortFast (для быстрого перехода в состояние передачи, без прохода через состояния listening и learning).
Для включения используется команда:
S1(config-if)#spanning-tree portfast.
Для выключения:
S1(config-if)#no spanning-tree portfast.
Проверка включения режима PortFast на интерфейсе
S1#show running-config.

Команды Cisco при настройке STP

Приоритет порта настраивается командой 
S1(config-if)#spanning-tree port-priority value. 
Диапазон от 0 до 240 с шагом 16. По умолчанию равен 128.
…Проверить роли портов и их приоритеты можно командой 
S1#show spanning-tree
…Если администратор решит изменить время сходимости сети, лучше использовать команду задания диаметра сети. Коммутатор сам подстроит все таймеры. S1(config)#spanning-tree vlan vlan id root primary diameter value 

Устройство, подключенное к порту с включенным PortFast, сразу может передавать данные.
Для включения используется команда:
S1(config-if)#spanning-tree portfast.
Для выключения - S1(config-if)#no spanning-tree portfast.
Проверка включения режима PortFast на интерфейсе - S1#show running-config.

- PVST+ (Rapid PVST+ и MSTP are отключены)
Приоритет коммутатора – 32768
Приоритет порта (при STP на основе портов) – 128
Стоимость портов :
10 Гб/с – 2;
1 Гб/с – 4;
100 Мб/с – 19;
10 Мб/с – 100;
Приоритет порта (при STP на основе VLANов) – 128
Таймеры :
Hello time: 2 с.;
Forward-delay time: 15 с.;
Maximum-aging time: 20 с.;
Transmit hold count: - 6 BPDU.

Команды Cisco при настройке PVST+

Как мы уже говорили PVST+, это проприетарный протокол Cisco, строящий связующие деревья для каждого VLANа и позволяющий блокировать порты для каждого VLANа в отдельности. Следовательно, более экономично используется полоса пропускания каждого порта (не простаивает). Соответственно и настраивать приоритеты для коммутаторов и портов можно для каждого VLANа.

для каждого VLANа;
2. Сконфигурировать эти коммутаторы: S1(config)#spanning-tree vlan vlan-ID root primary S2(config)#spanning-tree vlan vlan-ID root secondary
Также можно настроить приоритеты коммутаторов командой S1(config)#spanning-tree vlan vlan-ID priority priority 
Проверить настроенный протокол для активных интерфейсов : S2#show spanning tree active

Команды Cisco при настройке PVST+

priority - приоритет можно назначать в диапазоне от 0 до 61440 с шагом 4096. Коммутатор с более низким приоритетом и будет корневым.

| shared}
 ! Enables PortFast if running PVST+, or
 ! designates an edge port under RPVST+
 spanning-tree portfast
 ! Spanning tree protection
 spanning-tree guard {loop | root | none}
 ! Per-interface toggling
 spanning-tree bpduguard enable
 spanning-tree bpdufilter enable

1.
spanning-tree mode {pvst | rapid-pvst}
! Bridge priority
spanning-tree vlan 1-4094 priority 32768
! Timers, in seconds
spanning-tree vlan 1-4094 hello-time 2
spanning-tree vlan 1-4094 forward-time 15
spanning-tree vlan 1-4094 max-age 20
! PVST+ Enhancements
spanning-tree backbonefast
spanning-tree uplinkfast
! Interface attributes
interface FastEthernet0/1
spanning-tree [vlan 1-4094] port-priority 128
spanning-tree [vlan 1-4094] cost 19

мы уже говорили RSTP, это развитие протокола STP. Большинство параметров не изменилось. Изменились лишь роли портов и их состояния. Из-за этого значительно уменьшилось время сходимости сети. В RSTP, если коммутатор не принял три подряд BPDU (по умолчанию 6 секунд),  считается, что связь потеряна.

Edge Ports - граничный порт относительно STP дерева. Это порт, к которому никогда не подключался другой коммутатор, подключены конечные устройства. Порт сразу же переходит в режим пересылки. Отличается от PortFast тем, что порт при получении первого же BPDU становится STP портом.

Состояния портов Discarding (отброс фреймов) - порт не передает данные. По аналогии с STP, это Blocking, Listening и Disabled состояния. Learning (изучение) - так же, как и в STP Forwarding - так же, как и в STP.

root]
show spanning-tree [interface | vlan]
show spanning-tree mst […]

spanning-tree mode mst
! MST Configuration
spanning-tree mst configuration
name MyTree
revision 1
! Map VLANs to instances
instance 1 vlan 20, 30
instance 2 vlan 40, 50
! Bridge priority (per instance)
spanning-tree mst 1 priority 32768
! Timers, in seconds
spanning-tree mst hello-time 2
spanning-tree mst forward-time 15
spanning-tree mst max-age 20
! Maximum hops for BPDUs
spanning-tree mst max-hops 20
! Interface attributes
interface FastEthernet0/1
spanning-tree mst 1 port-priority 128
spanning-tree mst 1 cost 19

Вопросы?

доп. защиту от образования петель на L2 модели OSI. Существует две реализации этой функции:
• STP LoopBack Detection;
• LoopBack Detection Independent STP
На слайде показана ситуация, когда к порту управляемого SW подключен неупр. SW, порты которого соединены с образованием петли. В этом случае в сети может возникнуть широковещательный шторм и ее работоспособность будет нарушена.

Порт, заблокированный функцией LoopBack Detection

Коммутатор уровня доступа

Функция LoopBack Detection
Independent STP не требует настройки протокола STP на портах, на которых необходимо определять наличие петли. В этом случае наличие петли
обнаруживается путем отправки портом специального служебного кадра
ECTP (Ethernet Configuration Testing Protocol). При получении кадра
ECTP этим же портом он блокируется на указанное в таймере время.
…

LoopBack Detection

Коммутатор уровня доступа

Настройка функции STP LoopBack Detection
enable stp
config stp ports 1-24 state enable edge true lbd enable
config stp lbd_recover_timer 60
Настройка функции LoopBack Detection Independent STP (Port-Based)
enable loopdetect
config loopdetect recover_timer 60
config loopdetect interval 10
config loopdetect mode port-based
config loopdetect ports 1-24 state enabled
Настройка функции LoopBack Detection Independent STP (VLAN-Based)
enable loopdetect
config loopdetect recover_timer 60
config loopdetect interval 10
config loopdetect mode vlan-based
config loopdetect ports 1-24 state enabled

Вопросы?

32768 instance_id 0
config stp ports 1-24 edge true restricted_role true
restricted_tcn true state enable
config stp ports 25-28 edge false state enable fbpdu enable

Из-за ошибок в конфигурации или вредоносных атак в сети может возникнуть ситуация, когда корневой мост получит кадр BPDU, содержащий лучший приоритет, и потеряет свою позицию. При настройке протоколов RSTP или MSTP на управляемых коммутаторах, расположенных на границе сети, с помощью параметра restricted_role можно ограничить роли выполняемые портом в активной топологии.

необходимо реальное оборудование, в GNS3 и PT так сделать нельзя. 

В Cisco существуют различные способы защиты протокола STP: Root Guard, Loop Guard, BPDU Guard.
Нам важно отметить, что BPDU Guard – не используем для защиты, используем Root Guard!
BPDU Guard позволяет блокировать выключать порт при получении на этом порту BPDU.

 Root Guard работает иначе. Там позволяется хождение в сети BPDU, но до тех пор, пока кто-то из коммутаторов не попытается стать корневым. Тогда порт блокируется, но восстановление будет проходить автоматически.
Рассмотрим пример, повторить который можно на реальных коммутаторах, в GNS3 и Packet Tracer такое сделать нельзя.  Топология сети показана на слайде…

portfast
spanning-tree bpduguard enable
Включить режим восстановления и задать интервал (100 сек):
errdisable recovery cause bpduguard
errdisable recovery interval 100
2. Настройка коммутатора Cisco (BadSW)
Перевести порт fa 0/1 в режим транка:
interface FastEthernet1/0/1 switchport trunk encapsulation dot1q switchport mode trunk

Свитч CORE у нас работает, например, в корпоративной сети. Порт у него в Portfast режиме, чтобы включить туда просто рабочую станцию или, к примеру, принтер. Но кто-то по ошибке (или специально) включил туда L2 свитч, назовем его BadSW. На CORE коммутаторе на порту 0/1 нам априори не нужны никакие участники в процессе STP. Включаем функцию защиты BPDU Guard. На SW у нас режим spanning-tree mode rapid-pvst.
1. На CORE включаем bpduguard

20:50:43: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/1 with BPDU Guard enabled. Disabling port. 20:50:43: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/1, putting Fa0/1 in err-disable state 20:50:45: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down

on Fa0/1 20:55:31: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up 20:55:32: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/1 with BPDU Guard enabled. Disabling port. 20:55:32: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/1, putting Fa0/1 in err-disable state 20:55:34: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to down

CORE#sh errdisable recovery ErrDisable Reason    Timer Status —————–    ————– udld                 Disabled bpduguard            Enabled security-violatio    Disabled channel-misconfig    Disabled vmps                 Disabled pagp-flap            Disabled dtp-flap             Disabled link-flap            Disabled l2ptguard            Disabled psecure-violation    Disabled gbic-invalid         Disabled dhcp-rate-limit      Disabled unicast-flood        Disabled storm-control        Disabled arp-inspection       Disabled loopback             Disabled
Timer interval: 100 seconds
Interfaces that will be enabled at the next timeout:
Interface    Errdisable reason    Time left(sec) ———    —————–    ————– Fa0/1        bpduguard                78

Вопросы?

о своем появлении;
некорректно работающий сетевой адаптер;
Уникальные кадры - трафик с заданными адресами.

Можно выделить 2-типа кадров в трафике:
широковещательные кадры - передаются во всю сеть (на каждый порт, на все узлы сети)
необходимы для работы сетевых протоколов ___
Трафик с указанными адресами (соединения «точка–точка») изолирован парой портов.

РЕШЕНИЕ
Важно ограничить область распространения широковещательного трафика
(эта область называется широковещательным доменом) – организовать небольшие широковещательные домены, или виртуальные локальные сети
(Virtual LAN, VLAN).

сети

Рассмотрим пример, демонстрирующий эффективность использования
логической сегментации сетей с помощью технологии VLAN.
Пример - организация доступа в Интернет сотрудникам офиса.
Важно, что трафик отделов должен быть изолирован.

Маршрутизатор
(router)

Коммутатор
(switch)

Internet

Отдел 1

Отдел 2

Отдел 3

1)

Отдел 2
(VLAN 2)

Отдел 3
(VLAN 3)

Виртуальной локальной сетью называется логическая группа узлов сети с полностью изолированным (от других узлов сети) на канальном уровне трафиком, в том числе и широковещательным.
Это означает, что передача кадров между разными виртуальными сетями на основании MAC-адреса невозможна вне зависимости от типа адреса – уникального, группового или широковещательного.

Благодаря VLAN…
(сетевые пользователи группируются в виртуальные рабочие группы, несмотря на их физическое размещение в сети);
(доступная для пользователя полоса пропускания увеличивается);
(политика взаимодействия пользователей из разных виртуальных сетей определяется с помощью фильтров, настроенных на коммутаторе или маршрутизаторе).

основе стандарта IEEE 802.1ad (Q-in-Q VLAN);
на основе портов и протоколов IEEE 802.1v;
на основе MAC-адресов;
асимметричные.

В коммутаторах могут быть реализованы следующие типы VLAN:…

при перемещениях, изменениях и наращивании сети.

При использовании VLAN на основе портов (Port-based VLAN) каждый порт назначается в определенную VLAN, независимо от того, какой пользователь или компьютер подключен к этому порту. Это означает, что все пользователи, подключенные к порту, будут членами одной VLAN.
Конфигурация портов статическая и может быть изменена только вручную.

позволяет организовать несколько рабочих групп в пределах небольшой сети на основе одного коммутатора (например, разнести технический отдел и службу безопасности);
достаточно всем портам, помещаемым в VLAN, присвоить одинаковый идентификатор VLAN (VLAN ID);
возможность изменения логической топологии сети без физического перемещения станций. Достаточно изменить настройки порта с одной VLAN на другую.

каждой VLAN необходимо подключать к маршрутизатору - дополнительные расходы на покупку кабелей и маршрутизаторов, порты коммутатора используются расточительно.
Решение:
использовать коммутаторы, которые позволяют включать порт в несколько VLAN;
использовать коммутаторы L3.

активизировать алгоритм связующего дерева (Spanning Tree) на всех портах и работать в обычном режиме;

С точки зрения удобства и гибкости настроек, VLAN стандарта IEEE 802.1Q является лучшим решением по сравнению с VLAN на основе портов. Его основные преимущества:…

2) ___ Для нормальной работы коммутатора требуется отсутствие замкнутых маршрутов в сети.
Причины возникновения замкнутых маршрутов:
создаются администратором для
образования резервных связей;
возникают случайным образом в плохо структурированных или документированных сетях с многочисленными связями.
С помощью протокола Spanning Tree коммутаторы после построения схемы сети блокируют избыточные маршруты. Таким образом, автоматически предотвращается возникновение петель в сети.

Link) ,
по которому передаются
маркированные кадры VLAN1, VLAN2. VLAN3.

активизировать алгоритм связующего дерева (Spanning Tree) на всех портах и работать в обычном режиме;
позволяет использовать в сети коммутаторы и сетевые устройства не поддерживающие стандарт IEEE 802.1Q;
совместимость устройств различных производителей;
в простых случаях для связи подсетей на сетевом уровне не требуется маршрутизатор или коммутатор L3.

3) ___ VLAN IEEE 802.1Q умеет добавлять и извлекать теги из заголовков кадров, что позволяет использовать в сети коммутаторы и сетевые устройства, которые не поддерживают стандарт IEEE
802.1Q;
4)…устройства разных производителей, поддерживающие стандарт,
могут работать вместе, независимо от какого-либо фирменного решения;

– процесс добавления в заголовок кадра информации
о принадлежности к 802.1Q VLAN.
• Untagging («Извлечение тега из кадра») – процесс извлечения из заголовка кадра информации о принадлежности к 802.1Q VLAN.

которому передаются
маркированные кадры VLAN1, VLAN2. VLAN3.

Немаркированный порт

Маркированный порт

(VID);
Port VLAN ID (PVID);
Ingress port («Входной порт»);
Egress port («Выходной порт»);

• VLAN ID (VID) – идентификатор VLAN.
• Port VLAN ID (PVID) – идентификатор порта, используется для определения VLAN в которую будет направлен входящий немаркированный кадр
(внутри коммутатора в заголовки всех немаркированных кадров добавляется идентификатор VID, равный PVID порта, на который они
были приняты).
Механизм позволяет в одной сети одновременно существовать устройствам с поддержкой и без поддержки стандарта IEEE 802.1Q.

• Ingress port («Входной порт») – порт коммутатора, на который поступают кадры, и при этом принимается решение о принадлежности к VLAN.
• Egress port («Выходной порт») – порт коммутатора, с которого кадры передаются на другие сетевые устройства, коммутаторы или рабочие станции, и на нем должно приниматься решение о маркировке.

позволяющие передавать информацию о VLAN по сети.
К кадру Ethernet добавлены 32
бита (4 байта), которые увеличивают его размер до 1522 байт.
Первые 2 байта (поле Tag Protocol Identifier, TPID) = 0х8100 определяют, что кадр содержит тег протокола 802.1Q.

• VID (VLAN ID) – определяет, какой VLAN принадлежит трафик. Можно задать 4094 уникальных VLAN (VID 0 и VID
4095 зарезервированы) - теоретически. На практике число возможных VLAN зависит от модели коммутатора и лицензии на него.

портами (forwarding rules);
Правила исходящего трафика (egress rules).

– классификация получаемых кадров относительно принадлежности к VLAN.

– принятие решения о продвижении или отбрасывании кадра.

– принятие решения о
сохранении или удалении из заголовка кадра тега 802.1Q перед его
передачей.

Правила продвижения пакета

Правила входящего трафика (ingress rules)

Правила продвижения между портами (forwarding rules)

Правила исходящего трафика (egress rules)

Исходящий пакет

Входящий пакет

Процесс продвижения кадров в коммутаторе, совместимом со стандартом IEEE 802.1Q

трафика:
определяют принадлежность каждого получаемого кадра к определенной VLAN;
используются для принятия решения о приеме кадра для дальнейшей обработки или его отбрасывании. Решение принимается на основе формата принятого кадра.

Администратор сети может указать, кадры каких форматов будут приниматься
коммутатором для дальнейшей обработки
(
коммутаторы DLink позволяют настраивать: 1. прием портами только маркированных
кадров (tagged_only);
2. прием обоих типов кадров – маркированных и немаркированных (admit_all)).

решения об отбрасывании или передаче кадра на порт назначения.
Решение принимается по VLAN и МАС-адресу узла приемника.

Далее определяется, является ли порт назначения членом той же VLAN?
1. НЕТ - кадр отбрасывается;
2. Выходной порт входит в данную VLAN - коммутатор передает кадр в подключенный к нему сегмент сети.

Входящий кадр

Нет

Да

Отбросить кадр

Нет

Передать кадр в подключенный сегмент сети

Кадр маркированный?

VID заголовка кадра = PVID?

Да

Коммутатор

Входная фильтрация используется для сохранения пропускной способности внутри коммутатора путем отбрасывания кадров, не принадлежащих той же VLAN, что и входной порт, на стадии их приема.

1 Т

Порт 2 Т

Порт 1 Т

v2

v3

Порт 6

Настройка коммутатора 1, 3
1.
config vlan default delete 1-12
create vlan v2 tag 2
create vlan v3 tag 3
2.
config vlan v2 add untagged 5-8
config vlan v2 add tagged 1
config vlan v3 add untagged 9-12
config vlan v3 add tagged 1
Настройка коммутатора 2
1.
config vlan default delete 1-2
create vlan v2 tag 2
create vlan v3 tag 3
2.
config vlan v2 add tagged 1-2
config vlan v3 add tagged 1-2

1. Удалить используемые порты из VLAN по умолчанию (default VLAN) и создать новые VLAN….
2. В новые VLAN добавить порты и указать, какие из них являются маркированными и немаркированными…. ___
Настройка третьего коммутатора производится аналогично.

На рис. показана схема сети, состоящая из двух групп VLAN.

2)

Маркированный порт VLAN v2 и v3

Коммутатор 3

Коммутатор 2

Коммутатор 1

Порт 1 Т

Порт 5

v2

v3

Порт 1 Т

Порт 2 Т

Порт 1 Т

v2

v3

Порт 6

VLAN v3 (немаркированные порты 9-12, маркированные 1,2)

Давайте рассмотрим пересылку кадра с
порта 5 коммутатора 1 (1.5) на порт 6 коммутатора 3 (3.6) ___
Кто может прокомментировать?

3. Маркированный кадр передается на порт 2.1. Порт 2.1 проверяет, является ли он членом VLAN v2. Т.к. порт 2.1 является маркированным членом VLAN v2 - примет кадр и передаст его по таблице коммутации на порт 2.2. После передачи тег 802.1Q в кадре = 2 т.к. порт маркированный.
5. Порт 3.1 примет поступивший кадр. После проверки на принадлежность к VLAN порт 1 передаст кадр на порт 3.6. Порт 3.6 является немаркированным, поэтому при выходе кадра тег 802.1Q из него будет удален.

имя;
S1#show vlan brief - проверить наличие VLAN в база данных, access-портов, принадлежащих VLAN;
S1(config-if)#switchport mode access - перевести порт в режим работы access-порта;
S1(config-if)#switchport access vlan vlan id - назначить номер VLAN порту;
S1#show interfaces [interface-id  | vlan vlan-id] | switchport - проверка режима работы конкретного интерфейса;
S1(config-if)#no switchport access vlan - исключение порта из VLAN с настроенным номером и перевод его в VLAN по умолчанию
S1(config)#no vlan vlan id - удаление VLAN из базы данных. Перед этим обязательно надо удалить все порты из этого VLANа, иначе они будут недоступны.

только VLAN по умолчанию.
S1(config-if)#switchport mode trunk - принудительный перевод режима работы порта в транковый.
S1(config-if)#switchport trunk native vlan vlan id - изменение родного VLAN для транкового порта.
S1(config-if)#switchport trunk allowed vlan id - назначение VLAN, которые могут проходить через порт. Без применения этой команды все VLAN могут проходить через порт.
S1(config-if)#no switchport trunk allowed vlan - сброс всех разрешенных VLAN на транковом порту.
S1(config-if)#no switchport trunk native vlan - возвращение VLAN1 как родного VLAN на транковом порту.

трафика, и для передачи нетегированного трафика данных:
S1(config)#interface fastethernet 0/18
S1(config-if)#mls qos trust cos - определить голосовой трафик, как приоритетный;
S1(config-if)#switchport voice vlan 150 - определить голосовой VLAN;
S1(config-if)#switchport mode access - определить, что этот порт для данных (порт доступа - нетегированный трафик); S1(config-if)#switchport access vlan 20 - определить VLAN для данных.

Голосовой VLAN - порт настраивается и для передачи тегированного голосового трафика, и для передачи нетегированного трафика данных. Для настройки голосового VLAN используются команды: S1(config)#interface fastethernet 0/18
S1(config-if)#mls qos trust cos - определяем голосовй трафик, как приоритетный
S1(config-if)#switchport voice vlan 150 - определяем голосовой VLAN

vlan 20

RT1

RT2

VLAN 20

VLAN 10

Рассмотрим выдуманную, однако возможную схему. Здесь ПК1 находится в одном VLAN с маршрутизатором RT1, пусть это будет VLAN 10 сиреневого цвета. ПК2 – в одном VLAN с маршрутизатором RT2, пусть это будет VLAN 20 - лиловый…

MAC Address Table

MAC Address Table

00-12-0e-fe-d6-26

00-12-0e-fe-d6-36

fc-f8-ae-f2-4b-34

fc-f8-ae-f2-4b-04

В нашем примере оказывается…, что это порты в сторону другого коммутатора и при этом должны проходить кадры как VLAN 10 так и 20, такие порты называются trunk и настраиваются соответствующ. образом.
Когда кадр направляется в такой порт, тег не снимается, чтобы коммутатор на другой стороне мог разобрать какой кадр кому принадлежит!?

vlan 20

RT1

RT2

VLAN 20

VLAN 10

00-12-0e-fe-d6-26

00-12-0e-fe-d6-36

fc-f8-ae-f2-4b-34

fc-f8-ae-f2-4b-04

MAC Address Table

MAC Address Table

Итак, кадр по транковому линку передается на другой коммутатор…, который не удаляя метку VLANа извлекает MAC адрес получателя и номер VLANа и снова ищет его уже в своей таблице среди портов, соответствующих этому VLANу. В обоих случаях это оказывается access-порт в сторону маршрутизатора…
На access-порту тег снимается и кадр передается в его изначальном виде…

является VLAN1):
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk native vlan vlan-id 
Проверить, на какой родной VLAN передается нетегированный фрейм: S1#show interfaces interface-id switchport

Если на порт поступает нетегированный фрейм, коммутатор автоматически отправляет его в родной VLAN. По умолчанию родным VLANом является VLAN1. Но его можно изменить командой: S1(config-if)#switchport mode trunk S1(config-if)#switchport trunk native vlan vlan-id  Для проверки, на какой родной VLAN передается нетегированный фрейм, используется команда: S1#show interfaces interface-id switchport

Недостатки
При изменении топологии сети или перемещении пользователя на другое рабочее место администратору требуется вручную выполнять привязку порт-VLAN для каждого нового соединения.

VLAN
(Static VLAN Registration Entries):
ID_VLAN;
тип порта (маркированный или немаркированный);
один из управляющих элементов протокола GVRP (Fixed, Forbidden, Normal).
динамические VLAN:
членство устанавливается на магистральных интерфейсах коммутаторов на основе протокола GVRP
GVRP (GARP VLAN Registration Protocol),
GARP (Generic Attribute Registration Protocol).
VLAN Trunking Protocol (VTP) протокол Cisco для создания, удаления и переименования VLANов на сетевых устройствах.
динамические записи о регистрации в VLAN
(Dynamic VLAN Registration Entries).

Для представления информации о статических VLAN в базе данных фильтрации используются записи о регистрации в VLAN (Static VLAN Registration Entries).
Эти записи позволяют задавать точные настройки для каждого порта VLAN
• Fixed (порт всегда является членом данной VLAN);
• Forbidden (порту запрещено регистрироваться как члену данной VLAN);
• Normal (обычная регистрация с помощью протокола GVRP).

Динамические записи о регистрации в VLAN (Dynamic VLAN Registration Entries) используются для представления в базе данных фильтрации информации о портах, членство в VLAN которых установлено динамически. Эти записи создаются, обновляются и удаляются в процессе работы протокола GVRP.
Динамические VLAN – запрещены к применению в системах безопасности!!!!

VLAN, чтобы автоматически зарегистрировать членов VLAN на портах во всей сети.
Позволяет:
динамически создавать и удалять на магистральных портах VLAN стандарта IEEE 802.1Q;
автоматически включать и удалять порты из VLAN.

GVRP BPDU
(GVRP Bridge Protocol Data Units)

многоадресный МАС-адрес
01-80-C2-00-00-21

Оповещения (advertisement)
Join message– регистрация порта в VLAN:
JoinEmpty;
JoinIn;
Leave message – удаление VLAN с конкретного порта:
LeaveEmpty;
LeaveIn;
LeaveAll message;
Empty message.

JoinEmpty: VLAN на локальном подписчике не настроена;
JoinIn: VLAN на локальном подписчике зарегистрирована;
LeaveEmpty: VLAN на локальном подписчике не настроена;
LeaveIn: VLAN на локальном подписчике удалена;
LeaveAll message – удаление всех, зарегистрированных на порте VLAN;
Empty message – требование повторного динамического оповещения и статической настройки VLAN.

сети с использованием протокола GVRP.
VLAN v10, v20 и v30 - статические виртуальные сети коммутатора 1 (SW1). Порт 25 - маркированный член всех VLAN.
SW 1 отправляет оповещение о VLAN v30 через порт 25 коммутатору 2 (сообщение JoinEmpty).

Внимание Порт с поддержкой протокола GVRP подключается к сети VLAN, если он непосредственно получает оповещение о ней. Если порт передает
оповещение, полученное от другого порта коммутатора, он не подключается к сети VLAN.

Сообщение о регистрации VLAN v30 отправляется через порт 25 коммутатору 1. Получив это сообщение, коммутатор 1 перестает рассылать оповещения о VLAN v30.

На SW1 удалена статическая VLAN v30, и он отправляет сообщение LeaveIn через порт 25 коммутатору 2.
Когда SW2 получит оповещение об удалении VLAN v30, он исключит порт 25 из этой VLAN и отправит сообщение LeaveIn коммутатору 3 через порт 26.

JoinIn или JoinEmpty;
Leave Timer - время (от 100 до 100000 мc) в течении которого коммутатор ждет чтобы убедиться, что информация о данной VLAN больше не существует в сети;
LeaveAll Timer - интервал времени (100-100000 мс), через который отправляется сообщение LeaveAll.

При рассмотрении процессов распространения информации о регистрации и удалении VLAN упоминались параметры таймеров GVRP…

Join Timer - …определяет промежуток времени между моментом получения коммутатором информации о вступлении в VLAN и фактическим моментом вступления в VLAN.
По умолчанию 200 мс.

LeaveAll Timer – Когда коммутатор-подписчик GVRP получает это сообщение, он перезапускает все таймеры, включая LeaveAllTimer.
Обычно LeaveAll=2*LeaveTimer.
По умолчанию значение таймера равно 10000 мс.

динамического распространения по сети информации о VLAN v30
с использованием протокола GVRP.

VLAN v10 (порты 1-8)

Маркированный порты

Коммутатор 3

Коммутатор 2

Коммутатор 1

v10

VLAN v20 (порты 9-16)

VLAN v30 (порты 17-24)

v20

v30

v10

v20

v10

v20

v30

default delete 1-24
create vlan v10 tag 10
create vlan v20 tag 20
create vlan v30 tag 30
2.
config vlan v10 add untagged 1-8
config vlan v20 add untagged 9-16
config vlan v30 add untagged 17-24
config vlan v10 add tag 25-26
config vlan v20 add tag 25-26
3.
config vlan v30 advertisement enable
enable gvrp
config port_vlan 25-26 gvrp_state enable

1. Удалить порты из VLAN по умолчанию (default VLAN) и создать новые VLAN.

2. В VLAN добавить порты и указать, какие из них являются маркированными и немаркированными.

3. Активизировать протокол GVRP и функцию оповещения о соответствующей VLAN (в данном примере VLAN v30) по сети.

delete 1-24
create vlan v10 tag 10
create vlan v20 tag 20
2.
config vlan v10 add untagged 1-8
config vlan v20 add untagged 9-16
config vlan v10 add tagged 25-26
config vlan v20 add tagged 25-26
3.
enable gvrp
config port_vlan 25-26 gvrp_state enable

Благодаря функции Q-in-Q провайдеры могут использовать их собственные уникальные идентификаторы VLAN (называемые Service Provider VLAN ID или SP-VLAN ID) при оказании услуг пользователям, в сетях которых настроено несколько VLAN. Это позволяет сохранить используемые пользователями идентификаторы VLAN (Customer VLAN ID или CVLAN ID), избежать их совпадения и изолировать трафик разных клиентов во внутренней сети провайдера.

входящих кадров:
при поступлении на порт немаркированного кадра, коммутатором
осуществляется проверка заголовка канального уровня и типа протокола вышележащего уровня.
Если тип протокола соответствует типу VLAN 802.1v на этом порте, то в заголовок кадра добавляется тег с идентификатором VID. Иначе - добавляется тег PVID;

Механизм классификации 802.1v требует, чтобы на коммутаторе были настроены группы протоколов.
Каждый протокол в группе определяется типом кадра (Ethernet II, IEEE 802.3 SNAP или IEEE 802.3 LLC) и значением поля идентификации протокола в нем. Порт может быть ассоциирован с несколькими группами протоколов, что позволяет классифицировать поступающие немаркированные кадры по принадлежности к разным VLAN в зависимости от их содержимого.

предоставляет доп. возможности, такие как шифрование, сжатие, аутентификация.

На рис. показано типовое подключение клиентов к сети провайдера услуг.
Пользователи локальной сети находятся в выделенной VLAN (v20).
Их подключение в Интернет осуществляется через РРРоЕ-сервер (v10).
Для того чтобы трафик локальной сети был отделен от трафика РРРоЕ, на коммутаторе для протокола РРРоЕ создана VLAN 802.1v с идентификатором VID=10.

портов, к которым подключены пользователи.
3. Создание VLAN 802.1v для протокола РРРоЕ (первая группа протоколов настроена для кадров РРРоЕ, передаваемых на стадии исследования, вторая – для кадров РРРоЕ установленной
сессии).

На рис. показано типовое подключение клиентов к сети провайдера услуг.
Пользователи локальной сети находятся в выделенной VLAN (v20).
Их подключение в Интернет осуществляется через РРРоЕ-сервер (v10).
Для того чтобы трафик локальной сети был отделен от трафика РРРоЕ, на коммутаторе для протокола РРРоЕ создана VLAN 802.1v с идентификатором VID=10.

Настройка коммутатора
1.
config vlan default delete 1-28
create vlan pppoe tag 10
config vlan pppoe add untagged 1-24
config vlan pppoe add tagged 26
create vlan base tag 20
config vlan base add tagged 26
config vlan base add untagged 1-24
2.
config port_vlan 1-24 pvid 20
3.
create dot1v_protocol_group group_id 1 group_name pppoe_disc
config dot1v_protocol_group group_id 1 add protocol ethernet_2 8863
create dot1v_protocol_group group_id 2 group_name pppoe_session
config dot1v_protocol_group group_id 2 add protocol ethernet_2 8864
config port dot1v ports 1-24 add protocol_group group_id 1 vlan pppoe
config port dot1v ports 1-24 add protocol_group group_id 2 vlan pppoe

один физический канал связи с коммутатором, без использования внешнего маршрутизатора.
Asymmetric VLAN на коммутаторе 2-го уровня позволяет сделать его немаркированные порты членами нескольких VLAN. При этом рабочие станции остаются полностью изолированными друг от друга.

…Основное различие между базовым стандартом 802.1Q VLAN (или симметричными) и асимметричными VLAN заключается…
Симметр. используют отдельные адресные таблицы, и нет пересечения МАС-адр. между VLAN.
Асимметр. используют одну общую таблицу МАС-адресов.
Для асимм.VLAN существует ограничение:
не функционирует механизм IGMP Snooping (управление многоадресной рассылкой);
По умолчанию асимм.VLAN отключены.

2
IP: 192.168.2.x
Шлюз по умолчанию: 192.168.1.1

На рис. показана схема реализации ассимVLAN в пределах одного коммутатора. Пользователи VLAN v20 и v30 могут получать доступ к разделяемым серверам и Интернет-шлюзу, находящимся в VLAN v10. VLAN v20 и v30 изолированы друг от друга.

Настройка коммутатора
enable asymmetric_vlan
create vlan v20 tag 2
create vlan v30 tag 3
config vlan v20 add untagged 9-24
config vlan v30 add untagged 1-8,17-24
config gvrp 1-8 pvid 30
config gvrp 9-16 pvid 20
config gvrp 17-24 pvid 10

проверка статуса протокола VTP S1(config)#vtp domain domain-name - установка имени домена; S1(config)#vtp version 1 - установка версии протокола; S1#show vlan brief - проверка базы VLANов; S1(config)#vtp mode {client | server | transparent} - установка режима работы; S1#show interfaces trunk - проверка VLANов, разрешенных на транковых портах.

Вопросы?

быть представлена в виде иерархического дерева;
нет ограничений на создание количества групп портов.

Можно выделить следующие преимущества функции Traffic
Segmentation по сравнению с Asymmetric VLAN.

IGMP Snooping – это функция второго уровня модели OSI, которая позволяет коммутаторам изучать членов многоадресных групп, подключенных к его портам, прослушивая IGMP-сообщения (запросы и ответы).

(при иерархическом подходе разделяемые ресурсы должны быть на «вершине» дерева),
позже мы разберем пример.

использования ресурсов сети разными группами пользователей…

Пользователь гр.2
IP: 192.168.2.y/24
Шлюз по умолчанию: 192.168.1.1

Internet-шлюз
IP:192.168.1.1/24

Группа 1

Пользователь гр.3
IP: 192.168.z.x/24
Шлюз по умолчанию: 192.168.1.1

Настройка коммутатора
config traffic_segmentation 1-8 forward_list 1-24
config traffic_segmentation 9-16 forward_list 1-16
config traffic_segmentation 17-24 forward_list 1-8,17-24

FTP-сервер
IP:192.168.1.x/24

Группа 2

Группа 3

Группа 1, порты 1-8
совместно используемые серверы/интернет-шлюз
Группа 2, порты 9-16
пользователи (ПК или коммутатор)
Группа 3, порты 17-24
пользователи (ПК или коммутатор)

4

ABCD

EFGI

JKLM…

Порт 5

Порт 6

Порт 7

Интернет

Сервер 1

Сервер 2

Сервер 3

7

Интернет

Сервер 1

Сервер 2

Сервер 3

Иерархическая структура Traffic Segmentation

Все коммутаторы сети поддерживают иерархию Traffic Segmentation.

Настройка коммутатора 1
config traffic_segmentation 1-4 forward_list 1-26
config traffic_segmentation 5 forward_list 1-5
config traffic_segmentation 6 forward_list 1-4, 6
config traffic_segmentation 7 forward_list 1-4, 7
Настройка коммутатора 2, 3, 4
config traffic_segmentation 1 forward_list 1-26
config traffic_segmentation 2-26 forward_list 1

Вопросы?

остаются в рабочем состоянии, а имеющийся трафик распределяется между ними для достижения балансировки нагрузки. При отказе одной из линий, входящих в такой логический канал, трафик распределяется между оставшимися линиями.

источника и назначения;
ip_source – IP-адрес источника;
ip_destination – IP-адрес назначения;
ip_source_dest – IP-адрес источника и назначения;
l4_src_port – TCP/UDP-порт источника;
l4_dest_port – TCP/UDP-порт назначения;
l4_src_dest_port – TCP/UDP-порт источника и назначения.

поддерживает два типа агрегирования каналов связи: статическое и динамическое, на основе стандарта IEEE 802.3ad (LACP).
При статическом агрегировании каналов (установлено по умолчанию) все настройки на коммутаторах выполняются вручную, и они не допускают динамических изменений в агрегированной группе.
Настройка DES-3028P
1. Создайте группу агрегирования каналов;

Настройка DES-3028P
create link_aggregation group_id 1 type static
config link_aggregation algorithm mac_source_dest
config link_aggregation group_id 1 master_port 2 ports 2,4,6,8 stateenable
Настройка DES-3200-10
create link_aggregation group_id 1 type static
config link_aggregation algorithm mac_source_dest
config link_aggregation group_id 1 master_port 1 ports 1,3,5,7 state enable

…Подключите устройства, как показано на схеме (до выполнения предыдущих команд соединять по схеме нельзя т.к. образуются петли).
Проверить выполненные настройки можно с помощью команды
show link_aggregation
 Загрузку портов коммутаторов можно посмотреть с помощью
show utilization ports
Подробное описание действий указано в методичке.

Настройка статического
агрегирования каналов

агрегирования используется протокол управления агрегированным каналом - LACP. Протокол LACP определяет метод управления объединением нескольких физических портов в одну логическую группу и предоставляет сетевым устройствам возможность авто согласования каналов путем отправки управляющих кадров протокола LACP непосредственно подключенным устройствам с поддержкой LACP.

Настройка DES-3028P
delete link_aggregation group_id 1
create link_aggregation group_id 1type lacp
config link_aggregation group_id 1 master_port 2 port 2,4,6,8 state enable
config lacp_port 2,4,6,8 mode passive
Настройка DES-3200-10
delete link_aggregation group_id 1
create link_aggregation group_id 1 type lacp
config link_aggregation group_id 1 master_port 1 port 1,3,5,7 state enable

Настройка DES-3028P
1. Перед созданием группы агрегирования каналов, основанной на LACP, удалите существующую группу
2.Создайте группу агрегирования каналов
3. Включите порты 2, 4, 6, 8 в группу агрегирования каналов и выберите порт 2 в качестве мастера-порта
4. Настройте порты на работу в пассивном режиме
 Настройка DES-3200-10
1. удалите существующую группу
2. Создайте группу агрегирования каналов
3. Включите порты 1, 3, 5, 7 в группу агрегирования каналов и выберите порт 1 в качестве мастера-порта
Подключите устройства, как показано на схеме.

в отличии от STP, обеспечивает отказоустойчивость топологии «кольцо»;
Обеспечивает малое время сходимости (50-200 мс);
Возможность включения в кольцо устройств, не поддерживающих ERPS;
Обеспечивает защиту от формирования петель и возникновения broadcast (широковещательного) шторма;
Поддерживает сложные кольцевые топологии;
Простая настройка.

ERPS (Ethernet Ring Protection Switching) — сетевой протокол, использующийся для исключения образования колец в топологии и для обеспечения отказоустойчивости топологии «кольцо» в среде Ethernet. Может быть заменой семейству протоколов STP.
Преимуществом этого протокола является то, что:
1. в отличии от STP он хорошо работает на кольце;
2. Малое время сходимости;
3. Простая настройка.

Switching) Messages:
Signal Fail (SF);
No Request (NR);
RPL Blocked (RB);
RAPS VLAN;
Protected VLAN.

RPL (Ring Protection Link) – соединение, определенное механизмом как заблокированное при нормальном функционировании кольца;
RPL Owner – узел, подключенный к RPL и блокирующий его в нормальном состоянии и разблокирующий при возникновении неисправности;

RAPS VLAN – отдельный VLAN для передачи R-APS
сообщений;
Protected VLAN – указываются VLAN-ы, которые нужно защитить от петель.

коммутатор блокирует его на время, указанное в параметре WTR Time, чтобы при нестабильном сигнале с этого порта не приходилось постоянно перестраивать топологию.

Принцип работы: На всех коммутаторах, включённых в физическое кольцо, назначается специальная R-APS VLAN, по которой передается служебная информация. Остальные VLAN, проходящие по кольцу, преобразуются в Protected VLANs. Также указываются West- и East-порты, причём West должен смотреть на East и, соответственно, наоборот.

У физической топологии есть все узлы, соединенные в кольцо;
ERP гарантирует отсутствие цикла, блокируя RPL ( между 6 & 1);
У логической топологии есть все узлы, соединенные без цикла;
Каждая ссылка контролируется ее двумя соседними узлами, используя CC ETH OAM сообщения;
Сигнал отказа, как определено в Y.1731, будет взведен при:
Loss of Continuity;
Server layer failure.

и сообщают об этом отказе кольца с помощью R-APS (SF) сообщения;
По Р-APS (SF) сообщению срабатывает защита:
RPL Owner разблокирует RPL;
Все узлы выполняют очистку FDB;
Кольцо находится в состоянии защиты;
Все узлы остаются связанными в логической топологии.

восстановленной ссылкой;
Узлы, смежные с восстановленной ссылкой, передают R-APS(NR) сообщения, указывая, что у них нет отказа;
Когда Владелец RPL получает R-APS(NR) сообщение и запускает таймер WTR;
Как только таймер WTR сработает, RPL Owner блокирует RPL и передает R-APS (NR, RB) сообщение;
Узлы, получающие сообщение – выполняют сброс FDB и разблокируют ранее заблокированные порты;
Кольцо возвращено к состоянию ожидания.

Вопросы?

effort service) предполагает классификацию трафика,
но не обеспечивает надежную доставку трафика приложений, гарантированную пропускную способность канала и определенный уровень потери пакетов. Для решения этой проблемы введено понятие - качество обслуживания (Quality of Service, QoS).

пути следования трафика узлы должны поддерживать сигнальный протокол резервирования ресурсов RSVP (Resource Reservation Protocol);
Дифференцированное обслуживание (RFC 2474, RFC 2475) (Differentiated Service, DiffServ)
для продвижения на промежуточных узлах сети пакеты содержат информацию о классе трафика, обрабатываемую в соответствии с политикой обслуживания трафика данного класса (Per-Hop Behavior, PHB).

Функции качества обслужи-вания в сетях заключаются в обеспечении гарантированного и дифференцированного обслуживания сетевого трафика, запрашиваемого приложениями на основе механизмов распределения ресурсов, ограничения интен-сивности трафика, обработки очередей и приоритизации.
Выделяют три модели QoS:
• Негарантированная доставка–обеспечивает связь между узлами, не гарантирует надежную доставку данных, время доставки, пропускную способность и приоритет….

Дифференцированное обслуживание–предполагает разделение трафика на классы с учетом требований к качеству обслуживания. Это промежуточный вариант предыдущих моделей т.к. не предполагает обеспечение гарантий предоставляемых услуг. Часто называют мягким QoS(soft QoS).

модели OSI.
Кадры обрабатываются в соответствии с приоритетами, в стандарте предусмотрено 8 уровней приоритетов (от 0 до 7 – наивысший) - 3 бита поля тега IEEE 802.1Q.

Немаркированный кадр

Маркированный кадр 802.1p/802.1Q

OSI в заголовке протокола IPv4 предусмотрено 8-битное поле ToS (Type of Service). Этот байт может быть заполнен либо значением приоритета IP Precedence, либо
значением DSCP (Differentiated Services Code Point) в зависимости от решаемой задачи.
Поле IP Precedence имеет размерность 3 бита и может принимать значения от 0 до 7. Оно используется для указания относительного приоритета обработки пакета на сетевом уровне.

кадрах меняется:
L2: изменение Class of Service (Cos) вх. кадров;
L3: изменение Differentiated Services Code
Point (DSCP) вх.кадров.

Для обеспечения дифференцированного обслуживания трафика
коммутаторы поддерживают в зависимости от модели от 4 до 8 аппаратных очередей приоритетов на каждом из своих портов. Для обеспечения требуемой очередности передачи пакетов данных в коммутаторе необходимо настроить алгоритм обслуживания очередей и карту привязки приоритетов 802.1р, ToS, DSCP к очередям.

приоритетов (Priority Queuing);
взвешенный алгоритм кругового обслуживания (Weighted Round Robin, WRR);
настраиваемые очереди (Custom Queuing).

Перегрузки в сети

1 Гбит/c

100 Мбит/c

Механизм управления перегрузками (Congestion management КОНЖЕСТИН МЕНЕДЖМЕНТ) включает следующие механизмы обслуживания очередей: ___

их как принадлежащие одному классу.

трафика.

Очереди приоритетов со строгим режимом (Strict Priority Queue СТРИКТ ПРАЙОРИТИ КЮ) предполагают передачу трафика строго в соответствии с приоритетом выходных очередей. В механизме предусмотрено наличие 4-х очередей – с высоким, средним, обычным и низким приоритетами обслуживания.

объем трафика, пропорциональный назначенному ей весу.

– это процесс выборочного отбрасывания пакетов во избежание перегрузок в сети
в случае достижения выходными очередями своей максимальной длины (в пакетах).

Размер окна
перегрузки,
сегмент

Количество переданных сегментов

slow start-медленный старт;
сongestion avoidance - механизм предотвращения перегрузок
multiplicative decrease-
мультипликативное уменьшение
Treshold - порог

Процесс, когда каждый источник ТСР-соединения уменьшает и увеличивает скорость передачи одновременно с другими источниками ТСР-соединений, получил название эффекта глобальной синхронизации(global
synchronization).
Эффект глобальной синхронизации приводит к неэффективному использованию полосы пропускания, а также к возрастанию задержки передачи пакетов.

проблемы глобальной синхронизации разработан алгоритм RED,
Который отбрасывает поступающие пакеты вероятностно, на основе оценки среднего размера очередей.
Он не дожидается полного заполнения очередей, а
начинает отбрасывать пакеты с некоторой вероятностью, когда средний размер очереди превысит определенное минимальное пороговое значение.

Простой алгоритм произвольного раннего обнаружения
(Simple Random Early Detection, SRED)

Алгоритм произвольного раннего обнаружения (Random Early Detection, RED)

Пакеты отбрасы-ваются вероятностно

1. длина очереди меньше минимального значения - пакеты помещаются в очередь.
2. размер очереди в интервале между min и max (умеренная перегрузка) - красные и
желтые пакеты отбрасываютcя с
заданной вероятностью.
3. длина очереди превысит максимальное значение - пакеты любых цветов отбрасываются с заданной вероятностью.

Максимальное
пороговое
значение

Вероятности отбрасывания пакетов в коммутаторах D-Link при настройке SRED:

регулировать интенсивность
трафика на портах.
Для этого они используют механизмы, называемые Traffic Policing
(ограничение трафика) и
Traffic Shaping (выравнивание трафика).

для ограничения трафика, является алгоритм «корзина маркеров» (token bucket).
Этот алгоритм предполагает наличие следующих параметров:

Согласованная скорость передачи (Committed Information Rate, CIR);
Cогласованный размер всплеска (Committed Burst Size, CBS) ;
Расширенный размер всплеска (Extended Burst Size, EBS).

Расширенный размер всплеска (Extended Burst Size, EBS) – объем трафика (в битах), на который может быть превышен размер корзины маркеров в экстренном случае.
Для того чтобы передать пакет из корзины вынимается число маркеров, равное размеру пакета в битах.

Попадание
кадров

Отбросить

Отбрасываемые
кадры

≤CBS
допущенные
кадры

≤EBS
допущенные
кадры
в экстренном
режиме

Допущенные в сеть кадры

Маркеры генерируются и помещаются в корзину со скоростью (CIR)

CBS = 1,5 ×CIR/8
ЕBS = 2 ×CBS

служит для сглаживания исходящего от интерфейсов коммутатора трафика.
При превышении заданного порогового
значения скорости трафика этот алгоритм помещает
избыточные пакеты в буфер.

Прибытие
кадров

Отбросить

Отправление кадров

Буфер
полон?

Да

Нет

вносит задержку в передачу трафика;
благодаря буферизации уменьшается количество
отбрасываемых пакетов и число их повторных передач.

Вносимая алгоритмом задержка критична для приложений, чувствительных к задержкам, таким как IP-телефония и потоковое видео.
Механизм дружествен к ТСР-потокам, т.к. буферизация
уменьшает количество отбрасываемых пакетов и повторные
передачи.

схему локальной сети, в которой клиентам VoIP требуется обеспечить наивысшее качество обслуживания по сравнению с трафиком других приложений, выполняемых на компьютерах остальных пользователей сети.

Настройка коммутатора 1:
config vlan default add tagged 1-6
config 802.1p default_priority 10 7
Настройка коммутатора 2:
config vlan default add tagged 1-6
config 802.1p default_priority 11 7
Изменить приоритет порта 10, к которому подключен клиент1 с «0» (по умолчанию) на 7. Пакеты с приоритетом 7 помещаются в очередь Q6, которая имеет наивысший приоритет обработки.

v2
Коммутатор Layer3 : необходимо PIM-SM

2Mbps x 4 = 8Mbps

Рекомендуется использование сети multicast в случае отображения видео на нескольких мониторах.

определяющий произвольную группу присоединившихся IP-узлов и желающих получать адресованный группе трафик.
Агентство IANA «Агентство по
выделению имен и уникальных параметров протоколов Интернет», которое управляет назначением групповых адресов, выделило для многоадресной рассылки адреса IPv4 класса D в диапазоне от 224.0.0.0 до 239.255.255.255. Адреса, назначенные IANA, приведены в таблице ….

Агентство IANA (Internet Assigned Numbers Authority, «Агентство по выделению имен и уникальных параметров протоколов Интернета» (http://www.iana.org)

6. Используется для приложений, которые не попадают в блок
управления локальной сетью и межсетевой блок управления.
9. диапазон адресов зарезервирован для протокола SSM, который представляет собой расширение протокола PIM.
10. диапазон зарезервирован для использования в качестве
адресов, статически определяемых организациями с зарезервированным номером автономной системы.
11. диапазон известен как расширенный GLOP (EGLOP, Extended GLOP).
13. Эти адреса могут локально использоваться внутри домена.

Формат IP-адреса класса D

вид 0xFF-FF-FF-FF-FF-FF);
многоадресный:

Как правило, рабочие станции локальной сети получают и обрабатывают кадры только в случае совпадения МАС-адреса назначения кадра с их собственным МАС-адресом или широковещательным МАС-адресом.
При многоадресной рассылке необходимо, чтобы несколько узлов могли получать поток данных с общим МАС-адресом.
Одним из способов, позволяющих достичь этого, является преобразование группового IP-адреса в МАС-адрес.
В спецификации IEEE 802.3 определена возможность указания типа МАС-адреса назначения:…

Преобразование группового IP-адреса в адрес МАС-адрес групповой рассылки

Поскольку при преобразовании теряются 5 битов 1-го октета IP-адреса, получившийся адрес не является уникальным. Каждому МАС-адресу соответствует 2^5=32 IP-адреса групповой рассылки. Это необходимо учитывать при назначении IP-адресов многоадресной рассылки.

бит высокого порядка

0x01005E

24-битный префикс МАС-адреса
OUI (уникальный код организации)

23 бита для отображения
третьего уровня

Маска класса D

5 битов теряется из-за
преобразования последних 23 бит

(Membership Query);
ответ о принадлежности к группе (Membership Report);
сообщение о выходе из группы
(Leave Group Message).
Версии протокола IGMP:
IGMP версии 1 (IGMP v1, описан в RFC 1112);
IGMP версии 2 (IGMP v2, описан в RFC 2236);
IGMP версии 3 (IGMP v3, описан в RFC 3376).

Многоадресный трафик не знает ничего о том, где находятся его адресаты. Для динамической регистрации отдельных узлов в многоадресной группе локальной сети используется протокол IGMP.
Узлы сети определяют принадлежность к группе, посылая IGMP-сообщения на свой локальный многоадресный маршрутизатор. По протоколу IGMP маршрутизаторы (коммутаторы L3) получают IGMP-сообщения и периодически посылают запросы, чтобы определить, какие группы активны или не активны в данной сети.

рассылкой:
через статические таблицы коммутации для портов, к которым не подключены подписчики многоадресных групп:

Когда коммутатор 2-го уровня получает многоадресный трафик,
он начинает передавать кадры через все порты, т.к. не находит записи о
МАС-адресе в своей таблице коммутации. Это противоречит основному назначению коммутатора, которое заключается в ограничении трафика и передаче его только тем портам, к которым подключены получатели.
Управление многоадресной рассылкой на коммутаторе 2-го уровня может быть выполнено двумя способами:

Медиа-сервер

Многоадресный поток

Передача через все порты

Персональные компьютеры

Многоадресный поток

Многоадресный поток

Медиа-сервер

Многоадресный поток

Персональные компьютеры

Передача многоадресного трафика управления на коммутаторе

рассылкой:
функция IGMP Snooping (IGMP-про-слушивание):

Второй способ, решающий проблему лавинной передачи (flooding) многоадресных пакетов и позволяющий динамически отслеживать состояние подписки узлов, является функция IGMP Snooping (IGMP-прослушивание).
IGMP Snooping– это функция второго уровня модели OSI, которая
позволяет коммутаторам изучать членов многоадресных групп, подключенных к его портам, прослушивая IGMP-сообщения (запросы и ответы),
передаваемые между узлами-подписчиками и маршрутизаторами (коммутаторами уровня 3) сети.

Таблица коммутации IGMP Snooping

IGMP-запрос/ответ
Адрес многоадресной
группы: 239.192.1.5/14

Медиа-сервер

Коммутатор L3

Коммутатор L2

1

10

12

ПК 2

ПК 1

Функция IGMP Snooping загружает центральный процессор и может снизить производительность коммутатора. Поэтому в коммутаторах обычно используются специализированные микросхемы ASIC, которые проверяют IGMP-сообщения на аппаратном уровне.

vlan default filter_unregistered_groups

Пример настройки IGMP Snooping

Сервер многоадресной рассылки
Канал IP: 239.10.10.0

Коммутатор L3

Коммутаторы L2

Клиент подписан
на рассылку
IP: 10.90.90.100

Клиент (не подписан
на рассылку)
IP: 10.90.90.101

Клиент (не подписан
на рассылку)
IP: 10.90.90.101

Рассмотрим пример настройки функции IGMP Snooping сети, в которой реализован сервис многоадресной рассылки. Клиенты, среди которых имеются подписчики многоадресной рассылки, подключены к коммутаторам второго уровня.

коммутаторе, позволяет мгновенно исключить порт из таблицы коммутации IGMP Snooping при получении им сообщения о выходе из группы. Это
позволяет прекратить передачу по сети ненужных потоков данных и более эффективно использовать полосу пропускания. Функция полезна в приложениях IP-видеонаблюдения, т.к. благодаря ей можно уменьшить время отклика, когда пользователи переключаются между камерами видеонаблюдения.

Настройка коммутатора L2
enable igmp_snooping;
config igmp_snooping vlan default state enable;
config multicast vlan_filtering_mode vlan default filter_unregistered_groups;
config igmp_snooping vlan default fast_leave enable.

Сервер многоадресной рассылки

Коммутатор L3

Коммутатор 1

Клиент
многоадресной
рассылки

Клиент
многоадресной
рассылки

Клиент
многоадресной
рассылки

Сообщение о выходе из группы

2. Активизировать функцию IGMP Snooping Fast Leave в указанной
VLAN.
config igmp_snooping vlan default fast_leave enable

Вопросы?

сервер
10.80.135.11-30
Бастион АРМ
10.80.135.31-50
Бастион контроллер
10.80.135.51-70 Коммутаторы
10.80.135.120-126
СКУД Черниговка Vlan 55
Net 10.80.131.64
NM 255.255.255.192
GW 10.80.131.65

Видеонаблюдение vlan 20
192.168.1.0/24
Domination server
192.168.1.11-40
Domination АРМ
192.168.1.41-254

Телефон заказчика Vlan 30 Транзит

Камеры сбор vlan 40
192.168.2.0/24
Domination server
192.168.2.11-30
камеры
192.168.1.31-254

сервер
10.80.135.11-30
Бастион АРМ
10.80.135.31-50
Бастион контроллер
10.80.135.51-70 Коммутаторы
10.80.135.120-126
СКУД Черниговка Vlan 55
Net 10.80.131.64
NM 255.255.255.192
GW 10.80.131.65

Видеонаблюдение vlan 20
192.168.1.0/24
Domination server
192.168.1.11-40
Domination АРМ
192.168.1.41-254

Телефон заказчика Vlan 30 Транзит

Камеры сбор vlan 40
192.168.2.0/24
Domination server
192.168.2.11-30
камеры
192.168.1.31-254

или мегабит) - 10 Мбит;
данные uplink (количество вверх идущих потоков);
реальные потоки данных (потоки которые реально формирует камера);
тип коммутатора (управляемый/неуправляемый).

Выбор коммутатора начинается с постановки цели, определения решаемых задач, задания исходных данных.

выбор Типа коммутатора (управляемый/неуправляемый);
3.1.1. неуправляемый если нет денег;
3.1.2 управляемый чтобы управлять и контролировать сеть удаленно. Требование должны быть протоколы;
3.2 Определить число портов N*1.3 – 30% запас, где N – необходимое число подключений;
3.3 Выбрать скорость подключения (гигабит или мегабит);

Алгоритм решения (на что обратить внимание)
Выбор бренда – как правило представляет заказчик. Или мы предлагаем проверенные решения (например, cisco, zixel, dlink, Лантан)
Поиск технической документации
cisco, сайт
zixel,
dlink, сайт http://www.dlink.ru/ru/products/1/1950_b.html
Лантан;
3. Выбор коммутатора
3.1. выбор Типа коммутатора (управляемый/неуправляемый)

3.3 Выбрать скорость подключения (гигабит или мегабит)

производительностью (параметр «Коммутационная матрица»: 1,6 Гбит/с) 20 камер * 10 Мбит (камеры передают данные в одном направлении, поэтому не умножаем на 2) + 200 Мбит (это для uplink);
3.5. Данные uplink (количество вверх идущих потоков) . можно выбрать 1 Гбит порт (поток укладывается), но нам нужно 2 uplink – для резервирования и для кольца.
3.6. Обратить внимание на специализированные протоколы и функции (например, некоторые коммутаторы не имеют возможности настройки access list (ACL), IGMP);
Результат
Cisco SF300-24 (48 465 до 65 150 руб.);
Cisco Catalyst 2960-24TT-L (52 730 руб.);
Cisco Catalyst 2960-24TC-S (31 970 руб.);
D-Link DES-1210-26/ME (11 745 руб).

3.4  Определить необходимую производительность и выбрать коммутатор с большей производительностью (параметр «Коммутационная матрица»: 1,6 Гбит/с) 20 камер * 10 Мбит (камеры передают данные в одном направлении, поэтому не умножаем на 2) + 200 Мбит (это для uplink)

Результат
Есть на cisco и дешевле варианты SF300-24 (48 465 до 65 150 руб) в разделе small business (http://www.cisco.com/c/en/us/products/collateral/switches/small-business-smart-switches/data_sheet_c78-610061.html),
Cisco 2960
Cisco Catalyst 2960-24TT-L (52 730 руб.)
Cisco Catalyst 2960-24TC-S (31 970 руб.)
DES-1210-26/ME http://www.dlink.ru/ru/products/1/1844_b.html