Campus Network

VnPro – Cisco Authorised Training Center

THIÊT KẾ MẠNG CAMPUS THEO CÔNG NGHỆ CISCO Võ Thị Hà

MỤC LỤC

Chương 1: MẠNG CAMPUS............................................................................................... 1 1.1 Giới thiệu mạng Campus .............................................................................................1 1.2 Mạng Campus truyền thống.........................................................................................2

1.2.1 Vấn đề khả năng hoạt động của mạng và giải pháp ..............................................2 1.2.2 Luật 80/20 ...........................................................................................................3

1.3 Các mô hình mạng Campus .........................................................................................5 1.3.1 Mô hình mạng chia sẻ ..........................................................................................6 1.3.2 Mô hình phân đoạn LAN .....................................................................................6 1.3.3 Mô hình lưu lượng mạng......................................................................................7 1.3.4 Mô hình mạng dự đoán trước...............................................................................8

1.4 Mô hình mạng ba lớp của Cisco...................................................................................8 1.4.1 Lớp Access ..........................................................................................................9 1.4.2 Lớp Distribution ..................................................................................................9 1.4.3 Lớp Core ...........................................................................................................10

1.5 Mô hình Modular trong thiết kế mạng Campus..........................................................10 1.5.1 Khối Switch.......................................................................................................11 1.5.2 Khối Core ..........................................................................................................13 1.5.3 Các khối building khác ......................................................................................16

1.6 Các sản phẩm của Cisco trong mạng Campus ............................................................18 Chương 2: VLAN, TRUNK, VÀ VTP .............................................................................. 21

2.1 Mạng LAN ảo (Virtual LAN - VLAN) ......................................................................21 2.1.1 Các kiểu thành viên của VLAN (VLAN Membership) .......................................21 2.1.2 Triển khai VLAN...............................................................................................22

2.2 VLAN Trunk.............................................................................................................23 2.2.1 Nhận dạng các frame VLAN..............................................................................24 2.2.2 Giao thức trunk động (Dynamic Trunking Protocol - DTP)................................26

2.3 VLAN Trunking Protocol - VTP................................................................................27 2.3.1 Miền VTP..........................................................................................................27 2.3.2 Các chế độ (mode) VTP.....................................................................................27 2.3.3 Quảng bá VTP ...................................................................................................28 2.3.4 Sự lượt bớt (pruning) VTP .................................................................................30 2.3.5 Gỡ rối (trobleshooting) VTP ..............................................................................32

Chương 3: SPANNING TREE PROTOCOL - STP ......................................................... 33 3.1 Tổng quan về IEEE 802.1D.......................................................................................33 3.1.1 Spanning Tree là gì và tại sao phải sử dụng nó? .....................................................33 3.1.2 Hai khái niệm cơ bản của STP ...............................................................................36 3.1.3 Các bước ra quyết định của STP ............................................................................37 3.1.4 Sự hội tụ STP ban đầu (Initial STP Convergence).................................................38 3.1.5 Các trạng thái của STP...........................................................................................43 3.1.6 Bộ định thời gian STP............................................................................................45

3.1.7 Hai loại BPDU...................................................................................................47 3.1.8 Quá trình thay đổi topology................................................................................48

3.2 Các kiểu STP.............................................................................................................51 3.2.1 Common Spanning Tree (CSP) ..........................................................................51 3.2.2 Per-VLAN Spanning Tree (PVSP).....................................................................52 3.2.3 Per-VLAN Spanning Tree Plus (PVSP+) ...........................................................52

Chương 4: CHUYỂN MẠCH ĐA LỚP – MLS................................................................. 52 4.1 Giới thiệu về chuyển mạch đa lớp (Multilayer Switching – MLS)..............................52 4.2 Các yêu cầu của MLS................................................................................................53


THIÊT KẾ MẠNG CAMPUS THEO CÔNG NGHỆ CISCO Võ Thị Hà

4.3 Các thủ tục của MLS (MLS Procedure) .....................................................................53 4.3.1 Phát hiện MLSP.................................................................................................54 4.3.2 Nhận dạng các gói đại diện ................................................................................55 4.3.3 Nhận dạng các gói enable...................................................................................56 4.3.4 Các gói theo sau.................................................................................................58

4.4 Sử dụng các topology mạng cho phép MLS...............................................................58 4.5 CEF (Cisco Express Forwarding) chuyển tiếp với mục đích riêng biệt của Cisco. ......59

4.5.1 Quá trình chuyển mạch (Process Switching) ......................................................59 4.5.2 Chuyển mạch nhanh (Fast Switching) ................................................................60 4.5.3 Chuyển mạch trong điều kiện tốt nhất (Optimum Switching) .............................61 4.5.4 Quá trình chuyển tiếp CEF (CEF Forwarding Process).......................................61

Chương 5: KIẾN TRÚC AVVID C ỦA CISCO................................................................. 63 5.1 Giới thiệu ..................................................................................................................63 5.2 Tổng quan về một kiến trúc AVVID ..........................................................................63

5.2.1 Phần cứng..........................................................................................................63 5.2.2 Phần mềm..........................................................................................................65

5.3 Kiến trúc hội tụ..........................................................................................................65 5.3.1 Pha 1 – Hệ thống Lagacy Voice với lợi ích Toll Bypass.....................................65 5.3.2 Pha 2 – thực thi song song hệ thống Lagacy Voice và IP Telephone...................67 5.3.3 Pha ba – Kiến trúc hội tụ....................................................................................68

Phụ lục: HOẠT ĐỘNG CHUYỂN MẠCH.................................................................... 69 1. Hoạt động chuyển mạch lớp 2 .......................................................................................69

1.1 Trong suốt tính cầu nối ..........................................................................................69 1.2 Quá trình một frame đi trong mạng switch lớp .......................................................71

2. Hoạt động chuyển mạch đa lớp MLS (Multi-Layer Switching) ......................................72 2.1 Các kiểu chuyển mạch đa lớp.................................................................................73 2.2 Quá trình một gói tin di chuyển trong.....................................................................73 2.3 Các trường hợp ngoại lệ của mạch đa lớp...............................................................75

3. Các bảng được sử dụng trong chuyển mạch: ..................................................................75 3.1 Bộ nhớ nội dung điạ chỉ CAM (Content Addressable Memory): ............................75 3.2 Bộ nhớ nội dung điạ chỉ bậc ba TCAM (Ternary Content Addressable Memory) ...76

TÀI LI ỆU THAM KH ẢO ...................................................................................................... 77


THIẾT KẾ MẠNG CAMPUS THEO CÔNG NGHỆ CISCO Trang 1

Chương 1: MẠNG CAMPUS

1.1 Giới thi ệu mạng Campus

Lịch sử của mạng máy tính thường xuyên dao động, từ các mạng ban đầu được thiết kế để cung cấp truy cập đến tổng đài, chia sẻ tài nguyên trên máy tính lớn (mainframe), rồi đến kiến trúc mạng phân tán năm 1990. Nhưng máy tính lớn vẫn không bị loại bỏ, nó được dùng cho một vài nhiệm vụ xử lý bó (batch processing) trong ngân hàng và các công ty bảo hiểm. Các máy chủ NetWave hay NT vẫn kế thừa như là một máy chủ file/print và sớm chạy hầu hết các chương trình và ứng dụng khác. Mạng được phát triển để đạt đến công nghệ đơn giản nhất, rẻ nhất và có độ tin cậy nhất, để thiết lập và duy trì kết nối đến các nguồn tài nguyên.

Cách đây 20 năm, ta đã chứng kiến sự ra đời của mạng LAN, sự phát triển của mạng WAN và Internet. Internet thay đổi cuộc sống chúng ta hằng ngày, với sự gia tăng số lượng của các dịch vụ giao dịch trực tuyến, giáo dục, và giải trí, điều này thúc đẩy con người tìm ra các phương pháp mới để truyền thông với nhau.

Liên mạng (internetworing) là sự truyền thông giữa một hay nhiều mạng, gồm có nhiều máy tính kết nối lại với nhau. Internetwork ngày càng lớn mạnh để hỗ trợ cho các nhu cầu truyền thông khác nhau của hệ thống đầu cuối. Một internetwork đòi hỏi nhiều giao thức và tính năng để cho phép sự mở rộng đồng thời nó được điều khiển mà không có sự can thiệp bằng tay. Các internetwork lớn gồm có 3 thành phần như sau:

• Mạng Campus: gồm có các user kết nối cục bộ trong một hay một nhóm các tòa nhà.

• Mạng WAN: kết nối các mạng Campus lại với nhau.

• Kết nối từ xa: liên kết các nhánh phòng làm việc và các user đơn lẻ tới mạng Campus hay Internet.

Hình 1.1 là một ví dụ về một internetwork điển hình:



Thiết kế một internetwork là một công việc thử thách năng lực đối với người thiết kế. Để thiết kế một internetwork có độ tin cậy và có tính mở rộng, thì người thiết kế phải hiểu rõ về ba thành phần quan trọng của một internetwork có những đòi hỏi thiết kế khác nhau. Một internetwork gồm có 50 node định tuyến mắt lưới có thể đem lại vấn đề phức tạp, dẫn đến kết quả không thể đoán trước được. Sự cố gắng tối ưu tính năng hàng ngàn các node của internetwork thậm chí đem lại vấn đề phức tạp nhiều hơn.

1.2 Mạng Campus truyền thống

Trong các năm 1990, mạng Campus truyền thống bắt đầu là một mạng LAN và lớn dần cho đến khi cần phân đoạn mạng để duy trì khả năng hoạt động của mạng. Trong thời đại mở rộng nhanh chóng, thời gian đáp ứng là lý do thứ hai để tạo sự chắc chắn cho các chức năng của mạng. Bên cạnh đó, phần lớn các ứng dụng phải được lưu trữ và chuyển tiếp như email, và có một điều cần thiết nữa là chất lượng các dịch vụ tùy chọn.

Bằng cách nhìn lại các công nghệ truyền thống, ta sẽ thấy tại sao duy trì hoạt động mạng lại là một thách thức. Các mạng Campus điển hình chạy trên 10BaseT, 10Base2 (ThinNet) và kết quả là miền đụng độ trong mạng lớn (chưa nói đến miền broadcast cũng lớn). Mặc dù có những giới hạn này, nhưng Ethernet vẫn được dùng vì nó có tính mở rộng, tính hiệu quả và không đắt so với các tùy chọn khác (như Token Ring). ARCnet được dùng trong một vài mạng, nhưng Ethernet và ARCnet không tương thích với nhau nên mạng trở thành hai thực thể riêng biệt. Ethernet trở thành thứ chính, trong khi ARCnet trở thành thứ yếu.

Mạng Campus có thể dễ dàng mở rộng thành nhiều building, và việc sử dụng bridge để kết nối các buiding cũng làm giảm miền đụng độ, nhưng miền broadcast vẫn lớn. Ngày càng có nhiều user nối vào hub làm cho mạng hoạt động vô cùng chậm.

1.2.1 Vấn đề khả năng hoạt động của mạng và giải pháp

Tính sẵn sàng và khả năng hoạt động là hai vấn đề chính đối với mạng Campus truyền thống. Tính sẵn sàng bị ảnh hưởng bởi số lượng user cố gắng truy cập mạng ở cùng một thời điểm, cộng với độ tin cậy của chính mạng đó. Khả năng hoạt động trong mạng Campus truyền thống bao gồm các vấn đề như: đụng độ, băng thông, broadcast, multicast.

Đụng độ (Collision)

Một mạng Campus truyền thống có miền đụng độ lớn, vì vậy tất cả các dịch vụ có thể thấy và đụng độ với nhau. Nếu một host thực hiện broadcast, thì tất cả các thiết bị khác đều nghe, thậm chí chính nó cũng cố gắng truyền. Và nếu một thiết bị gặp sự cố do việc truyền liên tục, thì nó có thể làm down toàn bộ mạng.

Cuối 1980, bridge được dùng để giảm miền đụng độ. Tuy miền đụng độ nhỏ hơn nhưng mạng vẫn có miền broadcast lớn và các vấn đề về miền broadcast vẫn còn tồn tại. Bridge cũng giải quyết được vấn đề giới hạn về khoảng cách, bởi vì nó có chức năng repeater nên mở rộng được các đoạn mạng vật lý.

Băng thông (Bandwidth)

Băng thông của một đoạn mạng được đo bằng số lượng dữ liệu được truyền tại bất kỳ thời điểm nào. Băng thông cũng giống như ống nước, mà lượng nước chảy trong ống phụ thuộc vào hai yếu tố sau:

• Độ rộng.



• Khoảng cách.

Độ rộng là dòng nước và băng thông là kích thước ống. Nếu ta có một ống chỉ có đường kính 1/4 inch, thì ta không lấy được nhiều nước qua nó.

Vấn đề thứ hai là khoảng cách. Ống càng dài, thì càng nhiều nước bị giọt, ta có thể đặt repeater ở giữa ống, nhưng ta cần phải hiểu là tất cả các đường đều có sự tiêu hao tín hiệu.

Giải quyết vấn đề băng thông để duy trì giới hạn khoảng cách và thiết kế mạng với các đoạn mạng thích hợp chứa switch và router. Sự tắc nghẽn xảy ra trên các đoạn mạng khi có quá nhiều thiết bị cố gắng sử dụng cùng một băng thông. Sự phân đoạn mạng hợp lý cũng không loại bỏ được vấn đề về băng thông, không bao giờ có đủ băng thông cho tất cả user, đó là sự thật mà ta phải chấp nhận, nhưng ta vẫn có thể làm cho nó tốt hơn.

Broadcast và multicast

Các giao thức gây ra vấn đề broadcast như IP, ARP, NetBIOS, IPX, SAP, và RIP. Tính năng này cũng có trong hệ điều hành của Cisco Router, tuy nhiên nếu việc thiết kế và thực thi đúng cách có thể làm giảm bớt vấn đề này. Việc lọc gói, đưa vào hàng đợi và chọn giao thức định tuyến hợp lý là một ví dụ cho thấy làm thế nào Cisco Router có thể làm giảm bớt vấn đề broadcast.

Multicast cũng gây nên vấn đề nếu cấu hình không đúng cách. Multicast là broadcast nhưng được định trước đối với một nhóm các user. Với nhóm multicast lớn hoặc ứng dụng băng thông chuyên dụng như ứng dụng IPTV của Cisco, thì lưu lượng multicast có thể dùng hầu hết băng thông và tài nguyên.

Để giải quyết vấn đề băng thông, ta sẽ phân đoạn mạng với bridge, router và switch. Tuy giảm được miền broadcast nhưng không loại bỏ được hiện tượng nghẽn cổ chai của router. Việc router xử lý mỗi gói được truyền đi trên mạng sẽ gây nên nghẽn cổ chai nếu luồng lưu lượng phất đi lớn.

VLAN cũng là một giải pháp, nhưng VLAN chỉ là miền broadcast với đường biên nhân tạo. Một VLAN là một nhóm các thiết bị trên các phân đoạn mạng khác nhau, đó là một miền broadcast bởi người quản trị mạng. Lợi ích của VLAN là vị trí vật lý không còn là nhân tố xác định port mà ta sẽ thêm vào một thiết bị trong mạng. Ta có thể thêm một thiết bị vào bất kỳ port nào của switch và người quản trị mạng sẽ gán port cho VLAN. Lưu ý là chỉ có router hoặc switch lớp 3 mới có thể truyền thông giữa các VLAN khác nhau.

1.2.2 Luật 80/20

Mạng Campus truyền thống đặt các user và các nhóm trong cùng một vị trí vật lý. Nếu thuê một người bán hàng, thì họ phải ngồi trong cùng một vị trí vật lý như người tuyển dụng bán hàng và đựơc kết nối đến cùng đoạn mạng vật lý để chia sẻ tài nguyên mạng.

Luật 80/20 có nghĩa là 80% lưu lượng của user là trên đoạn mạng cục bộ, còn lại 20% hoặc ít hơn là qua router hoặc bridge đến các đoạn mạng khác. Nếu nhiều hơn 20% lưu lượng qua thiết bị phân đoạn mạng, thì phát sinh vấn đề về khả năng hoạt động của mạng. Hình 1.2 sau biểu diễn một mạng 80/20 truyền thống.



Bởi vì người quản trị mạng chịu trách nhiệm thiết kế và thực hiện, nên họ cải tiến khả năng hoạt động của mạng trong mạng 80/20 bằng cách chắc chắn rằng tất cả các tài nguyên mạng cho user được chứa bên trong đoạn mạng cục bộ. Tài nguyên bao gồm máy chủ, máy in, thư mục dùng chung, phần mềm, và các ứng dụng.

Luật mới 20/80

Với các ứng dụng và tính toán mới dựa trên web, bất kỳ một PC nào cũng là subcriber và publisher ở bất kỳ thời điểm nào. Bởi vì việc kinh doanh đang kéo các máy chủ từ vị trí từ xa và tạo thành các trại máy chủ (server farm, giống như một máy tính lớn) để kiểm soát dịch vụ mạng có tính bảo mật, giảm chi phí và dễ quản trị, nên luật 80/20 đã trở nên lỗi thời và không còn làm việc trong môi trường này nữa. Bây giờ tất cả lưu lượng phải qua backbone của Campus, nghĩa là ta có luật mới 20/80, trong đó 20% là lưu lượng trên đoạn mạng cục bộ và 80% là lưu lượng qua đoạn mạng để lấy các dịch vụ mạng. Hình 1.3 biểu diễn mạng 20/80 mới.



Vấn đề của luật 20/80 là hệ thống cáp điện và cấu trúc mạng không như các router. Nó có khả năng xử lý số lượng khổng lồ các gói một cách nhanh chóng và hiệu quả ở tốc độ cáp điện.

VLAN

Với luật 20/80 có nhiều user hơn cần truyền qua miền broadcast, và điều này gây thêm gánh nặng cho việc định tuyến hoặc chuyển mạch lớp 3. Bằng cách sử dụng VLAN, bên trong mô hình mạng Campus, ta có thể điều khiển được lưu lượng và user truy cập dễ dàng hơn trong mạng Campus truyền thống. VLAN làm giảm miền broadcast bằng cách sử dụng router hoặc switch để thực hiện các chức năng lớp 3. Hình 1.4 biểu diễn làm thế nào tạo VLAN trong mạng.

Trong "chương 3: VLAN, Trunk và VTP", sẽ nói rõ hơn về VLAN. Một quan trọng là ta phải hiểu được VLAN, bởi vì cách xây dựng truyền thống trong mạng Campus đang được thiết kế lại và VLAN là một nhân tố lớn trong việc xây dựng mô hình mạng Campus mới.

1.3 Các mô hình mạng Campus

Một mạng Campus là gồm có nhiều LAN trong một hoặc nhiều building, tất cả các kết nối thường nằm trong cùng một khu vực địa lý. Thông thường các mạng Campus gồm có Ethernet, Wireless LAN, Fast Ethernet, Fast EtherChannel, Gigabit Ethernet và FDDI.

Viêc hiểu được luồng lưu lượng là phần quan trọng trong thiết kế mạng Campus. Trong khi người ta có thể sử dụng các công nghệ VLAN tốc độ cao để cải tiến tốc độ vận chuyển lưu lượng, thì cũng cần cung cấp một thiết kế phù hợp với các luồng lưu lượng. Lưu lượng mạng có thể được quản lý và chuyển đi một cách hiệu quả và ta có thể tạo tính co dãn cho một mạng Campus để hỗ trợ cần thiết cho tương lai.

Sau đây là các mô hình mạng được dùng để phân loại và thiết kế mạng Campus:

• Mô hình mạng chia sẻ (Shared Network Model).

• Mô hình phân đoạn LAN (LAN Segmentation Model).

• Mô hình lưu lượng mạng (Network Traffic Model).



• Mô hình mạng dự đoán trước (Predictable Network Model).

1.3.1 Mô hình mạng chia sẻ Đầu các năm 1990, mạng Campus được xây dựng theo kiểu truyền thống chỉ có một LAN đơn giản cho tất cả các user kết nối đến và sử dụng. Tất cả các thiết bị trên LAN bắt buộc phải chia sẻ băng thông sẵn có. Môi trường truyền như Ethernet và TokenRing đều có giới hạn về khoảng cách cũng như giới hạn số thiết bị được kết nối vào LAN.

Khả năng hoạt động và tính sẵn sàng của mạng sẽ giảm nếu số thiết bị kết nối tăng dần. Ví dụ như tất cả các thiết bị của Ethernet LAN đều chia sẻ băng thông bán song công 10Mbps. Ethernet cũng sử dụng CSMA/CD để quyết định khi nào một thiết bị có thể truyền dữ liệu trên đoạn LAN chia sẻ này. Trong cùng thời điểm nếu có nhiều hơn một thiết bị có nhu cầu truyền thì sẽ xảy ra đụng độ, và tất cả các thiết bị phải “l ắng nghe” và chờ để truyền lại, người ta gọi nó là miền đụng độ. Trong khi TokenRing LAN thì không xảy ra đụng độ vì các trạm chỉ được phép truyền khi nhận được thẻ bài.

Có một cách làm giảm tắt nghẽn mạng là phân đoạn mạng, hoặc chia một LAN thành nhiều miền đụng độ riêng biệt bằng cách sử dụng bridge chuyển tiếp frame dữ liệu ở lớp 2 . Bridge cho phép giảm số thiết bị trên một đoạn, do đó sẽ giảm được xác suất đụng độ trên các đoạn đồng thời tăng giới hạn khoảng cách vật lý vì nó hoạt động như là một repeater.

Tuy nhiên, các frame chứa địa chỉ broadcast (FF:FF:FF:FF:FF:FF) đều đến tất các các đoạn. Các frame broadcast thường được dùng để kết hợp các yêu cầu về thông tin hoặc dịch vụ, bao gồm các thông báo về dịch vụ mạng. IP sử dụng broadcast cho giao thức ARP gửi yêu cầu để hỏi địa chỉ MAC tương ứng với địa chỉ IP. Các frame broadcast còn được dùng để gửi các yêu cầu DHCP, IPX, GNS (Get Nearest Server), SAP (Service Advertising Protocol), RIP, tên NetBIOS.

Một miền broadcast là một nhóm các đoạn mạng mà broadcast được tràn qua. Lưu lượng multicast là lưu lượng được định trước cho một nhóm các user được thiết lập cụ thể, mà không quan tâm đến vị trí của nó trong mạng Campus. Các frame multicast cũng qua tất cả các đoạn mạng bởi vì nó là một hình thức của broadcast. Mặc dù trạm đầu cuối phải chọn một nhóm multicast để cho phép nhận dữ liệu multicast, nhưng bridge phải cho lưu lượng tràn qua tất cả các đoạn mạng vì nó không biết được trạm nào là thành viên của nhóm multicast. Các frame multicast chia sẻ băng thông trên một đoạn mạng, nhưng không bắt buộc sử dụng tài nguyên CPU trên mỗi thiết bị kết nối. Chỉ có các CPU đăng ký là thành viên của nhóm multicast mới thực sự xử lý các frame này. Lưu lượng broadcast sẽ gây nên hai vấn đề: thứ nhất là độc quyền băng thông sẵn có, và thứ hai là tất cả các trạm đầu cuối đều phải lắng nghe để giải mã và xử lý mỗi frame broadcast.

1.3.2 Mô hình phân đoạn LAN

Phân đoạn mạng sẽ giảm lưu lượng và số trạm trên một đoạn để khắc phục vấn đề đụng độ và broadcast. Việc giảm số lượng trạm sẽ giảm được miền đụng độ vì có ít máy hơn cùng có nhu cầu truyền. Đối với việc ngăn chặn broadcast, giải pháp là cung cấp một hàng rào tại biên của đoạn LAN để broadcast không qua được hoặc chuyển tiếp trên đó. Người thiết kế có thể dùng router hoặc switch. Ta có thể dùng router để kết nối các mạng con nhỏ và định tuyến các gói lớp 3. Router không cho phép lưu lượng broadcast đi qua, do đó broadcast không thể chuyển tiếp qua các mạng con khác. Hình 1.5 biểu diễn phân đoạn mạng bằng router:



Ngoài ra ta còn phân đoạn LAN bằng switch. Switch cung cấp khả năng thực thi cao hơn với băng thông chuyên dụng trên mỗi port (không chia sẽ băng thông). Người ta gọi switch là multi-bridge. Mỗi port của switch là một miền đụng độ riêng lẻ và không truyền đụng độ qua port khác, tuy nhiên các frame broadcast và multicast vẫn tràn qua tất cả các port của switch. Để phân chia miền broadcast ta sẽ dùng VLAN bên trong mạng chuyển mạch. Một switch sẽ chia các port một cách logic thành các đoạn riêng biệt. VLAN là một nhóm các port vẫn chia sẽ môi trường truyền của đoạn LAN. Vấn đề về VLAN sẽ được tìm hiểu rõ ở chương 3.

1.3.3 Mô hình lưu lượng mạng

Để thiết kế và xây dựng thành công mạng Campus thì ta phải hiểu lưu lượng sinh ra bởi việc sử dụng các ứng dụng cộng với luồng lưu lượng đi và đến từ toàn thể user. Tất cả các thiết bị sẽ truyền dữ liệu qua mạng với các kiểu dữ liệu và tải khác nhau.

Các ứng dụng như: email, word, print, truyền file, và duyệt web, sẽ mang các kiểu dữ liệu đã biết trước từ nguồn đến đích. Tuy nhiên các ứng dụng mới hơn như video, TV, VoIP… có kiểu lưu lượng khó đoán trước được.

Theo truyền thống, các user sử dụng các ứng dụng giống nhau thường được đặt vào cùng nhóm, cùng với server mà nó thường truy cập đến, những nhóm này là mạng luận lý hoặc vậy lý, với ý tưởng là giới hạn phần lớn lưu lượng giữa client và server trong phân đoạn mạng cục bộ. Trong trường hợp các LAN chuyển mạch kết nối bởi các router đã đề cập trước đó thì cả client và server đều được kết nối đến switch lớp 2. Kết nối này cung cấp khả năng hoạt động tốt khi cực tiểu tải lưu lượng trên router backbone.

Khái niệm của kiểu lưu lượng này được biết như luật 80/20. Trong một mạng Campus được thiết kế đúng cách thì 80% lưu lương trên đoạn mạng nhất định là cục bộ. Và ít hơn 20% là lưu lượng được chuyển ra ngoài mạng backbone.

Nếu backbone bị nghẽn thì người quản trị mạng sẽ nhận ra rằng, luật 80/20 không còn phù hợp nữa. Tài nguyên nào có sẵn để cải tiến khả năng hoạt động của mạng? Do phí tổn và tính rắc rối mà việc nâng cấp hoàn thiện Campus backbone là lựa chọn không mong muốn. Thay vì sử dụng luật 80/20 để giảm lưu lượng qua backbone, người quản trị có thể thực hiện hướng giải quyết như sau:

• Gán lại tài nguyên sẵn có để mang các user và các server lại gần với nhau.

• Chuyển các ứng dụng và các file đến các server khác nhau ở bên trong một nhóm.



• Chuyển các user một cách logic (VLAN) hoặc vật lý ở gần nhóm của nó.

• Thêm nhiều server mà có thể mang tài nguyên lại gần các nhóm tương ứng.

Như vậy, việc tuân theo luật 80/20 trong các mạng Campus hiện nay đã trở nên khó khăn đối với người quản trị mạng. Trong mô hình mới của mạng Campus, lưu lượng trở thành luật 20/80 nghĩa là chỉ có 20% lưu lượng là cục bộ, trong khi có ít nhất 80% lưu lượng di chuyển trên mạng cục bộ và ra ngoài backbone. Kiểu lưu lượng này đặt ra trọng tải lớn hơn trong mạng backbone lớp 3.

Chuyển tiếp lớp 3 đòi hỏi phải xử lý tài nguyên nhiều hơn bởi vì các gói phải được kiểm tra trên lớp cao hơn, điều này có thể gây nên tình trạng nghẽn cổ chai trong mạng Campus, nếu không thiết kế cẩn thận.

Như vậy, một mạng Campus với nhiều VLAN trở thành khó khăn trong việc quản lý. Trước kia, các VLAN thường sử dụng một cách logic chứa các nhóm và lưu lượng phổ biến. Với luật 20/80, các thiết bị đầu cuối cần truyền thông với nhiều VLAN khác. Việc đo lường lưu lượng và thiết kế lại mạng Campus trở nên quá nặng nề để theo kịp mô hình luật 20/80.

1.3.4 Mô hình mạng dự đoán trước

Ý tưởng là ta nên thiết kế một mạng với khả năng có thể dự đoán để cung cấp sự bảo dưỡng thấp và tính lợi ích cao. Ví dụ một mạng Campus cần khôi phục lại từ các hỏng hóc và thay đổi kỹ thuật nhanh chóng trong một kiểu định trước. Mạng phải có tính mở rộng để hỗ trợ dễ dàng cho sự phát triển trong tương lai và nâng cấp hoàn thiện. Với sự đa dạng rộng lớn của nhiều giao thức và lưu lượng multicast, thì mạng phải có khả năng hỗ trợ luật 20/80. Mặt khác, thiết kế mạng quanh các luồng lưu lượng thay vì một kiểu lưu lượng riêng biệt. Luồng lưu lượng trong mạng Campus có thể phân thành ba loại, dựa vị trí các dịch vụ mạng liên quan đến người dùng đầu cuối. Bảng 1.1 cho biết danh sách các kiểu lưu lượng này, cùng với phạm vi của nó.

Kiểu dịch vụ Vị trí của dịch vụ Phạm vi của

luồng lưu lượng

Cục bộ Trên cùng đoạn mạng/VLAN với user

Chỉ có lớp Access

Từ xa Trên đoạn mạng/LAN khác với user

Từ lớp Access đến lớp Distribution

Enterprise Giữa các user trong mạng Campus

Từ lớp Access đến lớp Distribution và lớp Core

Bảng 1.1: Các kiểu dịch vụ mạng

Lớp Access, Distribution và Core là ba lớp của mô hình thiết mạng ba lớp của Cisco mà ta sẽ tìm hiểu trong phần tiếp theo.

1.4 Mô hình mạng ba lớp của Cisco



Ta có thể thiết kế mạng Campus để mỗi lớp hỗ trợ các luồng lưu lượng hoặc dịch vụ như đã đề cập trong bảng 1.1. Cisco đưa ra mô hình thiết kế mạng cho phép người thiết kế tạo một mạng luận lý bằng cách định nghĩa và sử dụng các lớp của thiết bị mang lại tính hiệu quả, tính thông minh, tính mở rộng và quản lý dễ dàng.

Mô hình mạng ba lớp được biểu diễn trong hình 1.6:

Mô hình này gồm có ba lớp: Access, Distribution, và Core. Mỗi lớp có các thuộc tính riêng để cung cấp cả chức năng vật lý lẫn luận lý ở mỗi điểm thích hợp trong mạng Campus. Việc hiểu rõ mỗi lớp và chức năng cũng như hạn chế của nó là điều quan trọng để ứng dụng các lớp đúng cách quá trính thiết kế.

1.4.1 Lớp Access

Lớp Access xuất hiện ở người dùng đầu cuối được kết nối vào mạng. Các thiết bị trong lớp này thường được gọi là các switch truy cập, và có các đặc điểm sau:

• Chi phí trên mỗi port của switch thấp.

• Mật độ port cao.

• Mở rộng các uplink đến các lớp cao hơn.

• Chức năng truy cập của người dùng như là thành viên VLAN, lọc lưu lượng và giao thức, và QoS.

• Tính co dãn thông qua nhiều uplink.

1.4.2 Lớp Distribution

Lớp Distribution cung cấp kết nối bên trong giữa lớp Access và lớp Core của mạng Campus. Thiết bị lớp này được gọi là các siwtch phân phát, và có các đặc điểm như sau:

• Thông lượng lớp ba cao đối với việc xử lý gói.

• Chức năng bảo mật và kết nối dựa trên chính sách qua danh sách truy cập hoặc lọc gói.

• Tính năng QoS.



• Tính co dãn và các liên kết tốc độ cao đến lớp Core và lớp Access.

1.4.3 Lớp Core

Lớp Core của mạng Campus cung cấp các kết nối của tất cả các thiết bị lớp Distribution. Lớp Core thường xuất hiện ở backbone của mạng, và phải có khả năng chuyển mạch lưu lượng một cách hiệu quả. Các thiết bị lớp Core thường được gọi là các backbone switch, và có những thuộc tính sau:

• Thông lượng ở lớp 2 hoặc lớp 3 rất cao.

• Chi phí cao

• Có khả năng dự phòng và tính co dãn cao.

• Chức năng QoS.

1.5 Mô hình Modular trong thi ết kế mạng Campus

Như ta đã biết, một mạng được xây dựng và bảo trì tốt nhất bằng cách sử dụng mô hình mạng ba lớp của Cisco như đã được giới thiệu trong phần 1.4. Ta có thể thiết kế một mạng Campus trong kiểu logic, sử dụng phương pháp modular. Trong phương pháp này, mỗi lớp của mô hình mạng phân cấp là đơn vị chức năng cơ bản (module). Các module này được sắp xếp theo kích cỡ thích hợp và kết nối với nhau, và nó cho phép tính co dãn và mở rộng trong tương lai.

Ta có thể chia mạng Campus thành các phần cơ bản sau:

• Khối chuyển mạch (switch): là một nhóm các switch thuộc lớp Access và lớp Distribution.

• Khối lõi (core): là backbone của mạng Campus.

Các khối liên quan khác có thể tồn tại mặc dù nó không góp phần vào toàn bộ chức năng của mạng Campus, nhưng nó được thiết kế tách biệt và thêm vào thiết kế mạng. Các khối này gồm có:

• Khối Server Farm: gồm một nhóm các server cùng với các switch Access và Distribution.

• Khối quản lý (Management): gồm một nhóm tài nguyên quản lý mạng cùng với switch Access và Distribution.

• Khối Enterprise biên (Enterprise Edge): gồm một tập các dịch vụ liên quan đến việc truy cập mạng ở bên ngoài cùng với các switch Access và Distribution.

• Khối nhà cung cấp dịch vụ biên (Service Provider Edge): các dịch vụ mạng ở bên ngoài được sử dụng bởi mạng Enterprise, đó là các dịch vụ với các giao tiếp khối enterpride biên.

Tập hợp các khối trên được gọi là mô hình mạng tổng hợp Enterprise. Hình 1.7 biểu diễn một Modular thiết kế Campus. Chú ý một điều là mỗi building được giới hạn trong một khu vực và được kết nối đến khối Core.



1.5.1 Khối Switch

Như ta đã biết mạng Campus được chia thành 3 lớp (lớp Access, Distribution, và Core), khối Switch chứa các thiết bị chuyển mạch từ lớp Access và lớp Distribution, sau đó tất cả các khối switch được kết nối vào trong khối Core để cung cấp kết nối end-to-end xuyên suốt mạng Campus.

Khối Switch chứa hỗn hợp các chức năng của lớp 2 và lớp 3 vì nó chứa các lớp Access và Distribution. Các chuyển mạch lớp 2 được đặt trong phòng dây cáp điện (lớp Access) để kết nối người dùng đầu cuối đến mạng Campus. Với tỉ lệ một người dùng đầu cuối trên một port của switch thì mỗi user nhận được băng thông riêng biệt. Mỗi switch của lớp Access sẽ kết nối đến thiết bị trong lớp Distribution. Ở đây, chức năng lớp 2 là vận chuyển dữ liệu giữa tất cả các switch truy cập đến điểm kết nối trung tâm. Chức năng lớp 3 cũng được cung cấp trong cách thức định tuyến và các dịch vị mạng khác (bảo mật, QoS,…). Vì vậy, thiết bị của lớp Distribution là một chuyển mạch đa lớp.

Lớp Distribution cũng bảo vệ khối Switch khỏi các lỗi nào đó, ví dụ như việc broadcast sẽ không được truyền đến các khối Switch khác và khối Core. Vì vậy, giao thức Spanning Tree sẽ giới hạn mỗi khối Switch để định nghĩa và điều khiển tốt miền Spanning Tree.



Các switch lớp Acces có thể hỗ trợ VLAN bằng cách gán các port để đánh số VLAN rõ ràng. Vì vậy, các trạm kết nối đến các port được cấu hình cho cùng một VLAN có thể cùng thuộc một mạng con lớp 3. Tuy nhiên, điều đáng quan tâm là một VLAN có thể hỗ trợ nhiều mạng con.Vì switch cấu hình dựa vào port cho VLAN (không phải là địa chỉ mạng), nên bất cứ trạm nào nối vào một port đều thuộc miền địa chỉ mạng. Chức năng của VLAN cũng giống như môi trường truyền của truyền thống, và cho phép bất kỳ địa chỉ mạng kết nối đến.

Trong mô hình thiết kế mạng, ta không nên kéo dài các VLAN đến các switch Distribution ở xa. Lớp Distribution luôn là đường biên của các VLAN, mạng con và broadcast. Mặc dù các switch lớp 2 có thể kéo dài VLAN đến các switch khác ở xa, nhưng nó sẽ hoạt động không tốt. Lưu lượng VLAN không đi qua khối Core của mạng.

Kích thước của khối Switch

Ta nên xem xét một vài yếu tố quyết định kích thước thích hợp cho khối Switch. Phạm vi của các switch trong khối Switch có kích cỡ rất linh động. Ở lớp Access, sự lựa chọn switch thường dựa trên mật độ port hoặc số user được kết nối. Còn ở lớp Distribution phụ thuộc số switch của lớp Access. Các nhân tố phải được xem xét là:

• Kiểu lưu lượng.

• Tổng dung lượng chuyển mạch lớp 3 tại lớp Distribution.

• Số người được kết nối đến switch của lớp Access.

• Ranh giới địa lý của mạng con hoặc VLAN.

• Kích thước của miền Spanning Tree.

Việc thiết kế một khối Switch chỉ dựa vào số người dùng hoặc số trạm chứa trong khối thường không đúng lắm. Thông thường không quá 2000 user được đặt bên trong một khối Switch. Tuy nhiên việc ước lượng kích thước ban đầu cũng đem lại nhiều lợi ích vì vậy ta phải dựa vào các yếu tố sau:

• Loại lưu lượng và hoạt động của nó.

• Kích thước và số lượng của các nhóm làm việc (workgroup).

Dựa vào tính chất động của mạng, mà ta định kích thước khối Switch quá lớn sẽ không thể giữ được tải trên nó. Ngoài ra, số lượng người dùng và các ứng dụng trên mạng cũng tăng theo thời gian, do đó việc thay đổi kích thước khối Switch là cần thiết. Mặt khác, ta cũng dựa vào luồng lưu lượng thực tế và kiểu lưu lượng xuất hiện trong khối Switch để có thể ước lượng, mô hình hóa, hoặc đo lường các tham số này bằng các ứng dụng và các công cụ phân tích mạng.

Thông thường, một khối switch quá lớn nếu xảy ra các sự kiện sau:

• Các router (chuyển mạch đa lớp) ở lớp Distribution bị nghẽn cổ chai. Sự tắt nghẽn này do lượng lưu lượng bên trong VLAN cần CPU xử lý nhiều hoặc số lần chuyển mạch được yêu cầu bởi chính sách và chức năng bảo mật (danh sách truy cập, hàng đợi…).

• Lưu lượng broadcast và multicast làm chậm chuyển mạch trong khối Switch do việc tạo bản sao và chuyển tiếp qua nhiều port. Điều này đòi hỏi các xử lý ban đầu trong chuyển mạch đa lớp, và nó sẽ trở nên quá tải nếu xuất hiện một lượng lưu lượng đáng kể.



Các switch ở lớp Acces có thể có nhiều hơn một kết nối dự phòng đến các thiết bị của lớp Distribution để cung cấp một môi trường vượt qua lỗi nếu liên kết đầu tiên bị hỏng. Thật vậy, vì lớp Dictribution sử dụng các thiết bị lớp 3, nên lưu lượng có thể được cân bằng tải trên cả kết nối dự phòng.

Thông thường ta có thể cung cấp hai switch trong khối Distribution để dự phòng, với mỗi switch lớp Acces kết nối đến hai switch này. Sau đó, mỗi switch lớp 3 có thể cân bằng tải trên kết nối dự phòng đến lớp Core bằng việc sử dung giao thức định tuyến.

Hình 1.8 biểu diễn khối Switch, ở lớp 3 có hai switch dự phòng dùng cho việc cân bằng tải.

1.5.2 Khối Core

Một khối core được yêu cầu để kết nối 2 hoặc nhiều hơn các khối switch trong mạng Campus. Bởi vì lưu lượng từ tất cả các khối Switch, các khối Server Farm, và khối Enterprise biên phải đi qua khối Core, nên khối Core phải có khả năng và tính đàn hồi chấp nhận được. Core là khái niệm cơ bản trong mạng Campus, và nó mang nhiều lưu lượng hơn các khối khác.

Khối Core có thể sử dụng bất cứ công nghệ nào (Framrelay, cell, hoặc packet) để truyền dữ liệu trong mạng Campus. Nhiều mạng Campus sử dụng Gigabit hoặc 10 Gigabit Ethernet trong khối core. Ta cần phải xem lại chiều dài khối Ethernet Core.

Như chúng ta đã biết, cả hai lớp Distribution và Core đều cung cấp các chức năng lớp 3. Các mạng con IP đều kết nối đến tất cả các switch của Distribution và Core. Ta phải sử dụng ít nhất hai mạng con để cung cấp tính co dãn và cân bằng tải trong Core.Mặc dù ta có thể sử dụng VLAN nhưng VLAN ở lớp Distribution, nó được định tuyến bên trong Core.

Khối Core gồm có một switch đa lớp, để nhận hai liên kết dự phòng từ switch của lớp Distribution. Do tính quan trọng của khối Core trong mạng Campus nên ta phải thực thi hai hoặc nhiều switch giống nhau trong Core để dự phòng.

Các liên kết giữa các lớp cũng được thiết kế để mang ít nhất một lượng tải từ lớp Distribution. Các liên kết giữa các switch của khối Core trong cùng một mạng con phải có đủ kích cỡ để mang lưu lượng tổng hợp vào switch của Core. Ta coi như là tận dụng liên kết trung bình nhưng nó phải cho phép sự phát triển trong tương lai. Một Ethernet Core cho phép nâng cấp đơn giản và có tính leo thang, ví dụ như sự phát triển từ Etherne -> Fast Ethernet -> Fast EtherChannel ->Gigabit Ethernet -> Gigabit EtheeChannel…



Hai khối Core cơ bản được thiết kế là:

• Collapsed Core.

• Dual Core.

Collapsed core

Khối Collapsed Core là sự phân lớp của lớp Core, được che lấp trong lớp Distribution. Ở đây, các chức năng của cả Distribution và Core đều được cung cấp trong cùng các thiết bị switch. Điều này thường thấy trong mạng Campus nhỏ hơn mà không xác nhận sự tách rời của lớp Core.

Hình 1.9 biểu diễn khối Collapsed Core, mặc dù chức năng của lớp Distribution và Core được thực hiện trong cùng một thiết bị, nhưng điều quan trọng là nó vẫn giữ các chức năng này một cách riêng biệt và được thiết kế đúng cách. Chú ý là khối Collapsed Core phụ thuộc khối building, nhưng nó được kết hợp vào trong lớp Distribution của khối Switch độc lập.

Trong khối Collapsed Core, mỗi switch lớp Access có một liên kết dự phòng đến mỗi switch của lớp Distributon và Core. Tất cả các mạng con lớp 3 có trong lớp Access đều được giới hạn tại các port lớp 3 của switch trong lớp Distribution, giống như khối Switch. Các switch của lớp Distribution và Core kết nối với nhau bằng một hoặc nhiều liên kết để dự phòng.

Kết nối giữa các switch của lớp Distribution và Core sử dụng các kết nối lớp 3. Các switch lớp 3 định tuyến lưu lượng ngay lập tức đến tới các switch khác. Trong hình 1.9 chú ý vị trí của VLAN A và B là thuộc các switch của lớp Access. Các VLAN bị giới hạn ở đó vì lớp Distribution sử dụng switch lớp 3 nên sẽ làm giảm miền broadcast, loại bỏ được khả năng lặp của cầu nối lớp 2 và cung cấp sự vượt lỗi nhanh nếu một kết nối bị lỗi.

Dual Core

Một Dual Core kết nối hai hay nhiều khối Switch để dự phòng, nhưng khối Core không thể có tính mở rộng khi có nhiều khối Switch được thêm vào. Hình 1.10 minh họa khối Dual Core. Chú ý rằng khối Core này xuất hiện như là một module độc lập và không được ghép vào trong bất kỳ khối hoặc lớp nào.



Trước đây, khối Dual Core thường được dùng xây dựng với switch lớp 2 để cung cấp thông lượng đơn giản nhất và hiệu quả nhất. Còn chuyển mạch lớp 3 được cung cấp trong lớp Distribution. Hiện nay, chuyển mạch đa lớp đã mang lại lợi nhuận và cung cấp hoạt động chuyển mạch cao. Việc xây dựng Dual Core với chuyển mạch đa lớp được đề nghị và có thể thực hiện được. Dual core sử dụng hai switch giống nhau để dự phòng. Các liên kết dự phòng kết nối lớp Distribution của khối Switch đến mỗi switch của Dual Core. Hai switch của khối Core kết nối bởi một liên kết. Trong Core lớp 2, các switch không được kết nối để tránh sự lặp vòng trong cầu nối. Một Core lớp 3 sử dụng cho định tuyến hơn là cầu nối, vì sự lặp vòng cầu nối không xảy ra.

Trong Dual Core, mỗi switch của Distribution có hai con đường với chi phí bằng nhau, cho phép sử dụng đồng thời cùng một lúc băng thông sẵn có của cả hai con đường. Nếu một switch bị lỗi, thì giao thức định tuyến sẽ định tuyến lại lưu lượng sử dụng con đường khác qua switch dự phòng còn lại.

Kích thước của khối Core trong mạng Campus

Dual Core là khối các switch dự phòng được lắp ghép với nhau, được giới hạn và biệt lập bởi các thiết bị lớp 3. Các giao thức định tuyến xác định các con đường và duy trì hoạt động của khối Core. Đối với bất kỳ mạng nào, ta cũng phải chú ý đến việc thiết kế router và các giao thức định tuyến trong mạng. Bởi vì các giao thức định tuyến truyền bá cập nhật thông lượng mạng, nên hình trạng mạng phải chiu sự thay đổi. Kích thước mạng (số lượng router) sẽ ảnh hưởng đến hoạt động của giao thức định tuyến vì sự cập nhật được thay đổi.

Hình 1.10 biểu diễn mạng nhỏ với hai khối Switch chứa hai switch chuyển mạch lớp 3 (xử lý định tuyến bên trong switch của lớp Distribution), còn đối với mạng Campus lớn, có thể có nhiều khối Switch kết nối đến khối Core. Nếu ta xem mỗi switch đa lớp là một router, thì ta nhớ lại rằng, mỗi bộ xử lý định tuyến sẽ giữ các thông tin truyền thông với các ngang cấp kết nối trực



tiếp với nó. Thực tế, hầu hết các giao thức định tuyến đều giới hạn số router ngang cấp, mà kết nối trực tiếp trên liên kết point-to-point hoặc kết nối multicast. Trong một mạng với số lượng khối Switch lớn, thì số kết nối router khá lớn. Ta không nên đề cập quá nhiều switch của Distribution, bởi vì số lượng thực tế của các ngang cấp kết nối trực tiếp thì khá nhỏ, không quan tâm đến kích thước mạng Campus. Các VLAN của lớp Access sẽ giới hạn ở các switch của lớp Distribution. Chỉ các router ngang cấp ở biên là một cặp switch Distribution,cung cấp dự phòng cho mỗi mạng con VLAN của lớp Access. Ở biên của lớp Distribution và Core, mỗi switch của Distribution chỉ kết nối đến hai switch của khối Core trên giao tiếp của switch lớp 3. Vì vậy, chỉ thiết lập một cặp router ngang cấp.

Khi các switch đa lớp được sử dụng trong lớp Distribution và Core, thì các giao thức định tuyến sẽ chạy trên mỗi cặp liên kết dự phòng giữa các con đường với chi phí bằng nhau của cả hai lớp. Lưu lượng được định tuyến qua cả hai liên kết để chia sẽ tải và tận dụng băng thông của cả hai liên kết này.

Một điểm cuối cùng cảu việc thiết kế lớp Core là tính co dãn của các switch trong khối Core phải thỏa tải lưu lượng đi vào. Ở một mức độ nhỏ nhất, mỗi switch của khối core phải điều khiển được liên kết đi vào lớp Distribution với công suất 100%.

1.5.3 Các khối building khác

Các tài nguyên khác trong mạng Campus được định danh và đặt vào mô hình khối building. Ví dụ như, một Server Farm gồm nhiều máy chủ chạy các chương trình ứng dụng được truy cập từ các người dùng từ tất cả Enterprise. Điều cần thiết là các máy chủ này phải có tính theo thang để mở rộng trong tương lai, có khả năng truy cập cao, và cũng đem lại lợi ích từ việc điều khiển lưu lượng và các chính sách bảo mật. Để có được những điều cần thiết trên, ta có thể nhóm các tài nguyên vào các khối building giống như là mô hình khối switch. Các khối này cũng có switch của lớp Distribution và có các kết nối dự phòng nối trực tiếp vào lớp Core, nó cũng chứa các tài nguyên của Enterprise.

Hầu hết các khối building đều có trong mạng Campus vừa và lớn, ta đã quen với khái niệm đặt chức năng Enterprise vào trong khối Switch của nó, cũng như xây dựng khối này.

Khối Server Farm

Bất kỳ một máy chủ hay ứng dụng nào được truy cập bởi hầu hết người dùng của Enterprise thường thuộc về một Server Farm. Toàn bộ Server Farm này được nhận dạng như là khối Switch của chính nó, và kết nối các switch của Distribution vào trong lớp Core với liên kết dự phòng tốc độ cao.

Các máy chủ riêng có các kết nối mạng đơn đến một trong các switch của Distribution. Nếu một máy chủ dự phòng được sử dụng, thì nó nên kết nối đến switch luân phiên của Distribution. Điều này được biết như là Dual-homing của các máy chủ.

Ví dụ: các máy chủ của Enterprise gồm có email, các dịch vụ intranet, các ứng dụng ERP (Enterprise Resource Planning), và hệ thống máy tính lớn. Chú ý là mỗi tài nguyên nội bộ đều được đặt ở bên trong một firewall hay vòng bảo mật. Khối quản lý

Thông thường, các mạng Campus phải được kiểm tra qua việc sử dụng các công cụ quản trị mạng để đo lường hoạt động mạng và phát hiện lỗi. Ta có thể nhóm toàn bộ ứng dụng quản lý mạng vào trong một khối Switch quản lý mạng. Điều này trái ngược với khối Server Farm, bởi vì



các công cụ quản trị mạng không phải là tài nguyên của Enterprise được truy cập bởi hầu hết các máy chủ. Hơn nữa, các công cụ này sẽ đi ra ngoài để truy cập vào các thiết bị mạng khác, các ứng dụng của máy chủ và hoạt động của người dùng trong tất cả các khu vực của mạng Campus.

Khối Switch quản lý mạng thường có lớp Distribution kết nối vào các switch của khối Core. Vì các công cụ này được dùng để phát hiện lỗi xảy ra tại thiết bị và các kết nối, nên lợi ích của nó rất quan trọng. Các kết nối dự phòng và switch dự phòng đều được sử dụng.

Ví dụ: tài nguyên quản lý mạng trong khối switch bao gồm:

• Các ứng dụng kiểm tra mạng.

• Các server đăng nhập hệ thống (syslog).

• Các server xác thực, cấp quyền và cung cấp tài khoản (AAA).

• Các ứng dụng quản lý chính sách.

• Quản trị hệ thống và các dịch vụ điều khiển từ xa.

• Các ứng dụng quản lý, phát hiện xâm nhập.

Khối Enterprise biên

Hầu hết các mạng Campus phải kết nối đến các nhà cung cấp dịch vụ để truy câp đến tài nguyên bên ngoài, được gọi là các biên của Enterprise hoặc của Campus. Các tài nguyên này có sẵn trong toàn bộ mạng Campus và được truy cập chủ yếu như là khối Switch kết nối đến khối Core của mạng.

Các dịch vụ biên thường được chia thành:

• Truy cập internet: hỗ trợ lưu lượng ra ngoài internet, cũng như lưu lượng vào các dịch vụ công cộng, như email, và extranet web server. Các kết nối này được cung cấp bởi một hoặc nhiều nhà cung cấp dịch vụ Internet (ISP). Các thiết bị bảo mật mạng thường được đặt tại đây.

• Truy cập từ xa và VPN: hỗ trợ các truy cập quay số từ các người dùng bên ngoài qua mạng PSTN (Public Switched Telephone Network). Nếu lưu lượng thoại được hỗ trợ trên mạng Campus, thì gateway VoIP phải kết nối đến PSTN ở đây. Thêm nữa, các thiết bị VPN kết nối vào Internet hỗ trợ kết nối đường hầm bảo mật đến các vị trị từ xa.

• Thương mại điện tử: hỗ trợ web, ứng dụng và cơ sở dữ liệu cũng như firewall và các thiết bị bảo mật. Khối switch kết nối đến một hoặc nhiều ISP.

• Truy cập WAN: hỗ trợ tất cả các kết nối WAN truyền thống đến các vị trí từ xa như FrameRelay, ATM, Leased-Line, ISDN…

Khối nhà cung cấp dịch vụ biên

Mỗi nhà cung cấp dịch vụ kết nối đến một mạng Campus cũng phải có thiết kế mạng phân cấp của chính nó. Một mạng của nhà cung cấp dịch vụ đáp ứng cho một Enterprise ở biên nhà cung cấp, kết nối đến biên của khối Enterprise.

Ở đây ta không quan tâm đến mạng của nhà cung cấp dịch vụ, mà chỉ cần biết là mạng Campus có một khối biên để kết nối đến biên của mạng nhà cung cấp.



1.6 Các sản phẩm của Cisco trong mạng Campus

Kích thước mạng

Lớp Catalyst Switch Tính năng

2950 • < 50 user

• 10/100BASE-T

• 100BaseFX or 1000BASE-X uplinks

3550 • < 50 users

• 10/100BASE-T

• 1000BASE-X uplinks

4000/ 4500

• < 250 users

• 10/100/1000BASE-T

• 1000BASE-X uplinks

Dùng chung cho cả ba mạng nhỏ, vừa và lớn

Access

6500 • 250 users

• 10/100/1000Base-T

• 1000Base-X uplinks

3550-12T (EMI)

• 10 10/100/1000BASE-T

• 2 1000BASE-X uplinks;

• MLS

3550-12G

(EMI)

• 10 1000BASE-X

• 2 10/100/1000BASE-T uplinks;

• MLS

4006/ 4500

• 30 1000BASE-X

• hoặc 240 10/100/ 1000BASE-T

• MLS

Nhỏ Distribution

/Core

6500 • 100 1000BASE-X

• khả năng hoạt động cao.

• MLS



• Tính mở rộng trong tương lai



Kích thước mạng

Lớp Catalyst Switch

Tính năng

4006/ 4500

• 30 1000BASE-X

• hoặc 240 10/100/ 1000BASE-T

• MLS

Distribution

6500 • 100 1000BASE-X


• MLS


Vừa

Core 6500 • 100 1000BASE-X


• MLS


Distribution 6500 • 100 1000BASE-X


• MLS


Lớn

Core 6500 • 100 1000BASE-X


• MLS



Trang 21

Chương 2: VLAN, TRUNK, VÀ VTP

(VLAN TRUNKING PROTOCOL)

2.1 Mạng LAN ảo (Virtual LAN - VLAN)

Mô hình mạng không có VLAN là một flat network vì nó chỉ hoạt động chuyển mạch ở lớp 2. Một flat network là một miền broadcast, mỗi gói broadcast từ một host nào đều đến được tất cả các host còn lại trong mạng. Mỗi port trong switch là một miền collision, vì vậy người ta sử dụng switch để chia nhỏ miền collision, tuy nhiên nó vẫn không ngăn được miền broadcast. Ngoài ra nó còn có các vấn đề như:

• Vấn đề về băng thông: trong một số trường hợp một mạng Campus ở lớp 2 có thể mở rộng thêm một số building nữa, hay số user tăng lên thì nhu cầu sử dụng băng thông cũng tăng, do đó băng thông cũng như khả năng thực thi của mạng sẽ giảm.

• Vấn đề về bảo mật: bởi vì user nào cũng có thể thấy các user khác trong cùng một flat network, do đó rất khó để bảo mật.

• Vấn đề về cân bằng tải: trong flat network ta không thể thực hiện truyền trên nhiều đường đi, vì lúc đó mạng rất dễ bị loop, tạo nên “broadcast storm” ảnh hưởng đến băng thông của đường truyền. Do đó không thể chia tải (còn gọi là cân bằng tải).

Để giải quyết các vấn đề trên, người ta đưa ra giải pháp VLAN. VLAN (Virtual Local Area Network) được định nghĩa là một nhóm logic các thiết bị mạng, và được thiết lập dựa trên các yếu tố như chức năng, bộ phận, ứng dụng… của công ty. Mỗi VLAN là một mạng con logic được tạo ra trên switch, còn gọi là segment hay miền broadcast.

Hình 2.1 biểu diễn một VLAN cung cấp kết nối logic giữa các port của switch. Vì có kết nối end-to-end của VLAN 1, nên bất cứ trạm nào trên VLAN 1 đều có thể truyền thông nếu như nó được kết nối đến đoạn mạng vật lý.


THIÊT KẾ MẠNG CAMPUS THEO CÔNG NGHỆ CISCO Trang 21

2.1.1 Các kiểu thành viên của VLAN (VLAN Membership)

Khi VLAN được cung cấp ở switch lớp Access, thì các đầu cuối người dùng phải có một vài phương pháp để lấy các thành viên đến nó. Có 2 kiểu tồn tại trên Cisco Catalyst Switch đó là:

• Static VLAN.

• Dynamic VLAN.

Static VLAN

Static VLAN cung cấp kiểu thành viên dựa vào port, nghĩa là các port của switch được gán cho các VLAN riêng biệt. Các thiết bị người dùng đầu cuối trở thành thành viên trong VLAN dựa vào port vật lý của switch kết nối đến nó. Không có thiết lập quan hệ đối với thiết bị đầu cuối, mà nó tự động thừa nhận kết nối VLAN khi nó kết nối đến một port. Thông thường, thiết bị đầu cuối thậm chí không nhận thức được sự tồn tại của VLAN.

Người quản trị mạng sẽ cấu hình các port của switch gán cho các VLAN bằng tay, nên được gọi là trạng thái tĩnh. Mỗi port nhận một port VLAN ID với một số VLAN. Các port trên một switch có thể được gán và nhóm thành nhiều VLAN. Mặc dù hai thiết bị cùng kết nối đến một switch, nhưng nếu VLAN ID của nó khác nhau thì lưu lượng giữa chúng sẽ không qua nhau. Để thực hiện chức năng này, ta phải sử dụng thiết bị lớp 3 để định tuyến các gói hoặc thiết bị mở rộng lớp 2 để làm cầu nối các gói giữa hai VLAN.

Kiểu thành viên Static VLAN thường được quản lý trong phần cứng với mạch tích hợp ứng dụng đặc biệt ASIC (Application Specific Intergrated Circuit) trong switch. Kiểu này cung cấp khả năng hoạt động tốt vì tất cả việc ánh xạ các port được làm ở mức phần cứng vì vậy không cần có bảng truy tìm phức tạp.

Dynamic VLAN

Dynamic VLAN cung cấp thành viên dựa trên địa chỉ MAC của thiết bị người dùng đầu cuối. Khi một thiết bị kết nối đến một port của switch, switch phải truy vấn đến cơ sở dữ liệu để thiết lập thành viên VLAN. Người quản trị mạng phải gán địa chỉ MAC của user vào một VLAN trong cơ sở dữ liệu của VMPS (VLAN Membership Policy Server). Hình 2.2 biểu diễn Dynamic VLAN với bảng địa chỉ MAC



Với Cisco Switch, dynamic LAN được tạo và quản lý bằng công cụ quản lý mạng như Cisco Work 2000. Dynamic VLAN cho phép tính mềm dẻo và tính di động cho người dùng đầu cuối.

2.1.2 Tri ển khai VLAN

Để thực thi VLAN, ta phải xem xét số thành viên của VLAN, thông thường số VLAN sẽ phụ thuộc vào kiểu lưu lượng, kiểu ứng dụng, phân đoạn các nhóm làm viện phổ biến và các yêu cầu quản trị mạng.

Môt nhân tố quan trong cần xem xét là mối quan hệ giữa các VLAN và kế hoạch sử dụng địa chỉ IP. Cisco giới thiệu một sự tương thích 1-1 giữa VLAN và các mạng con, nghĩa là nếu một mạng con với một mask 24 bit được sử dụng cho một VLAN, như vậy có nhiều nhất 254 thiết bị trong VLAN và các VLAN không mở rộng miền lớp 2 đến Distribution Switch. Trong trường hợp khác, VLAN không đi đến Core của mạng, và khối Switch khác. Ý tưởng này giữ cho miền broadcast và lưu lượng không cần thiết ra khỏi khối Core.

Các VLAN được chia trong khối Switch bằng hai cách cơ bản sau:

• End-to-end VLA

• Nocal VLAN

End-to-end VLAN

End-to-end VLAN còn được gọi là Campus-wide VLAN, nối toàn bộ switch của một mạng. Nó được xác định để hỗ trợ tính mềm dẻo và tính di động cực đại cho thiết bị đầu cuối. Các user được gán vào VLAN mà không quan tâm đến vị trí vật lý. Vì một user di chuyển quanh Campus, thì nó cũng thuộc VLAN đó, nghĩa là mỗi VLAN phải có hiệu lực (available)ở lớp Access trong mỗi khối Switch.

End-to-end VLAN nên nhóm các user theo nhu cầu phổ biến. Tất cả user trong một VLAN có cùng kiểu luồng lưu lượng theo luật 80/20. Luật này có nghĩa là 80% lưu lượng là của user trong nhóm cục bộ, trong khi 20% đến một tài nguyên từ xa trong mạng Campus. Mặc dù 20% của lưu lượng trong VLAN qua Core của mạng, nhưng end-to-end VLAN làm nó có thể thực hiện tất cả lưu lượng bên trong VLAN qua Core.

Vì tất cả VLAN phải có hiệu lực ở mỗi switch lớp Access, nên VLAN trunking phải được sử dụng để mạng tất cả các VLAN giữa switch lớp Access và lớp Distribution.

Chú ý: end-to-end VLAN không đựơc đề nghị trong mạng Enterprise, nếu không có một lý do hợp lý. Lưu lượng broadcast đựơc mạng trên một VLAN từ một đầu cuối của mạng đến một đầu cuối khác, nên bão broadcast (broadcast storm) hoặc lặp vòng cầu nối lớp 2 cũng có thể truyền bá qua phạm vi của tài nguyên. Khi đó, việc xử lý sự cố trở nên quá khó, và sự mạo hiểm sử dụng end-to-end VLAN làm ảnh hưởng đến lợi ích.

Local VLAN

Vì hầu hết mạng Enterprise hướng tới luật 20/80, nên end-to-end VLAN trở nên cồng kềnh và khó duy trì. Luật 20/80 có nghĩa là 20% lưu lượng cục bộ, còn 80% đến một tài nguyên từ xa qua lớp Core. Các người dùng đầu cuối đòi hỏi truy cập vào tài nguyên trung tâm bên ngoài VLAN của nó. Các uer phải qua Core của mạng thường xuyên hơn. Các VLAN được gán chứa các nhóm user dựa trên đường biên vật lý, liên quan đến lượng lưu lượng rời VLAN.

Kích thước VLAN vật lý là từ một switch trong phòng dây cáp, đến toàn bộ một building, điều này cho phép chức năng lớp 3 trong mạng Campus điều khiển tải lưu lượng trong VLAN



một cách thông minh.Do đó cung cấp tính lợi ích cực đại bằng cách sử dụng nhiều con đường đến đích, tính mở rộng cực đại bằng cách giữ VLAN bên trong một khối Switch và tính quản lý cực đại. 2.2 VLAN Trunk

Ở lớp Access, các thiết bị đầu cuối kết nối đến các port của switch tạo thành kết nối đến VLAN. Các thiết bị gắn vào này không nhận thức được cấu trúc VLAN, và đơn giản là gắn vào một đoạn mạng vật lý bình thường. Việc gửi thông tin từ liên kết truy cập trên một VLAN đến VLAN khác không được thực hiện nếu không có sự can thiệp của thiết bị lớp 3 (có thể là router lớp 3 hoặc bridge lớp 2 bên ngoài).

Chú ý là một port của switch hỗ trợ nhiều hơn một mạng con cho thiết bị gắn vào nó. Ví dụ như một Ethernet Hub được kết nối vào port của switch. Một thiết bị người dùng trên Hub phải được cấu hình là 192.168.1.1/24, trong khi thiết bị khác được gán là 192.168.17.1/24. Mặc dù các mạng con này kề liền nhau, và truyền thông trên một switch duy nhất, nhưng nó không tách rời VLAN. Port của switch hỗ trợ một VLAN, nhưng nhiều mạng con có thể tồn tại trên một VLAN.

Đường trunk một kết nối vật lý và logic giữa hai switch để truyền dữ liệu. Đây là một kênh truyền giữa hai điểm và hai điểm này thường là các switch, là trung tâm của cấu trúc mạng hình sao. Một liên kết trunk (đường chính) có thể hỗ trợ nhiều hơn một VLAN qua một port của switch. Các liên kết trunk tốt nhất khi switch kết nối đến các switch khác hoặc đến router. Một liên kết trunk không được gán cho một VLAN riêng biệt. Thay vì một, nhiều hoặc tất cả các VLAN được truyền giữa các swtich sử dụng một liên kết trunk vật lý.

Ta có thể kết nối hai switch với liên kết vật lý riêng biệt đối với mỗi VLAN như hình 2.3

Vì VLAN được thêm vào một mạng, nên số liên kết có thể tăng nhanh chóng. Để sử dụng giao tiếp vật lý và cáp hiệu quả hơn người ta dùng trunk. Hình 2.4 biểu diễn làm thế nào một trunk có thể thay thế nhiều liên kết VLAN riêng biệt.



Cisco hỗ trợ trunk trên liên kết switch của Fast Ethernet và Gigabit Ethernet giống như kết hợp các liên kết kênh Fast và Gigabit Ethernet. Để phân biệt lưu lượng giữa các VLAN khác nhau trên một trunk. switch phải có cách nhận dạng mỗi frame với VLAN thích hợp. Phần sau sẽ thảo luận về các phương pháp nhận dạng này.

2.2.1 Nhận dạng các frame VLAN

Trong một mạng Campus có rất nhiều VLAN trên nhiều switch, các switch này nối với nhau qua các đường trunk, do đó các gói được truyền trên đường trunk phải có thông tin nhận dạng về VLAN mà nó thuộc về. Như vậy người ta sẽ dùng VLAN ID để gán vào các frame, rồi mới truyền đi trên trunk.

Mỗi switch sẽ kiểm tra VLAN ID để xác định frame này thuộc về VLAN nào, và chuyển qua những port thuộc VLAN đó. Sau đây ta xem xét hoạt động chuyển frame từ máy B sang máy Y trong VLAN 3 trong hình 2.5.

• Đầu tiên B gửi frame đến switch 1, switch 1 sẽ nhận frame và kiểm tra trong bảng địa chỉ MAC của nó, thì nó biết được đây là frame của VLAN 3 và đích đến kế tiếp là qua switch 2. Switch 1 sẽ thêm VLAN ID của VLAN 3 và gửi qua đường trunk kết nối đến switch 2.

• Switch 2 nhận frame, nó kiểm tra VLAN ID và biết được frame này đến VLAN 3, đồng thời đích đến kế tiếp là phải qua switch 3. Switch 2 sẽ chuyển frame qua đường trunk nối đến switch 3.



• Khi switch 3 nhận frame, nó kiểm tra frame, và tách VLAN ID ra khỏi frame và gửi frame đến cho Y. Y nhận frame biết được nó được gửi từ B (dựa vào địa chỉ MAC), nhưng nó không biết nó thuộc về VLAN nào, chỉ có switch 3 mới biết thông tin đó.

Có 2 cách nhận dạng VLAN ID là:

• Cisco Inter - Switch Link.

• IEEE 802.1Q.

Cisco Inter - Switch Link

ISL là giao thức đóng gói frame đặc trưng của Cisco cho kết nối nhiều switch. Nó được dùng chính trong môi trường Ethernet, chỉ hỗ trợ trên các router và switch của Cisco. Khi một frame muốn đi qua đường trunk đến switch hay router khác thì ISL sẽ thêm 26 byte header và 4 byte trailer vào frame. Trong đó VLAN ID chiếm 10 bit, còn phần trailer là CRC để đảm bảo tính chính xác của dữ liệu.

Thông tin thẻ được thêm vào đầu và cuối mỗi frame, nên ISL còn được gọi là đánh thẻ kép. ISL có thể chạy trong môi trường point-to-point, và có thể hỗ trợ tối đa 1024 VLAN (do VLAN ID chiếm 10 bit).

Hình 2.6 biểu diễn frame Ethernet được đóng gói và chuyển tiếp ra liên kết trunk. Vì thông tin thẻ được thêm vào ở đầu và cuối frame nên đôi khi ISL được đề cập như là thẻ đôi. Nếu một frame được định trước cho một liên kết truy cập, thì việc đóng gói ISL (cả phần header lẫn trailer) không được ghi lại vào trong frame trước khi truyền. Nó chỉ giữ thông tin ISL cho liên kết trunk và thiết bị có thể hiểu giao thức.

Chú ý: nhận dạng VLAN bằng ISL hoặc đóng gói trunk không còn hỗ trợ tất cả Cisco Catalyst Switch. Vì vậy ta nên biết rõ nó và so sánh với phương pháp IEEE 802.1Q

IEEE 802.1Q:

IEEE 802.1Q là một chuẩn công nghiệp dùng để nhận dạng VLAN được truyền qua đường trunk, nó hoạt động trên môi trường Ethernet và là một chuẩn mở.

Là giao thức dùng dán nhãn frame khi truyền frame trên đường trunk giữa hai switch hay giữa switch và router, việc dán nhãn frame được thực hiện bằng cách thêm thông tin VLAN ID vào phần giữa phần header trước khi frame được truyền lên đường trunk như hình 2.7, đây còn được gọi là phương pháp dán nhãn đơn hay dán nhãn nội. IEEE 802.1Q có thể hỗ trợ tối đa là 4095 VLAN.



Trong đó:

• Thẻ 802.1Q có 4 byte gồm có các phần như sau:

o 802.1Q TPID (Tag Protocol IDentifier): có độ dài 16 bit, có giá trị cố định là 0x8100. Dùng nhận dạng frame đóng gói theo chuẩn IEEE 802.1Q.

o Priority: Độ ưu tiên, có 8 mức ưu tiên (0 -> 7), mặc định là 0.

o CFI (Canonical Format Indicator): Luôn đặt giá trị 0 cho Ethernet Switch để tương thích với mạng Token Ring. Nếu CFI có giá trị là 1 thì frame sẽ không được chuyển đi như port không gắn thêm tag.

• Destination address (DA) - 6 byte: địa chỉ MAC đích.

• Source addresses (SA)- 6 byte: địa chỉ MAC nguồn.

• Length/Type- 2 bytes: chỉ định độ dài của frame hay kiểu giao thức sử dụng ở lớp trên.

• Data: là một dãy gồm n byte (42 <= n <= 1496) .Chiều dài frame tổng cộng tối thiểu là 64 bytes ( khi n = 42 byte).

• Frame check sequence (FCS)- 4 byte: chứa mã sửa sai CRC 32-bit.

Chú ý: các frame có kích thước quá khổ được quy định trong các chuẩn khác nhau, để chuyển tiếp đúng cách, các Catalyst switch sử dụng phần cứng riêng với phương pháp đóng gói ISL. Trong trường hợp đóng gói 802.1Q, các switch tuân theo chuẩn IEEE 802.3ac, chuẩn này mở rộng chiều dài frame đến 1522 byte.

2.2.2 Giao thức trunk động (Dynamic Trunking Protocol - DTP)

Ta có thể cấu hình bằng tay các liên kết trunk trên Catalyst Switch theo kiểu ISL hoặc IEEE 802.1Q. Thêm vào đó, Cisco đã thực hiện quyền sở hữu, và giao thức point-to-point được gọi là giao thức trunk động DTP (Dynamic Trunking Protocol) để dàn xếp kiểu trunk phổ biến giữa hai switch. Sự dàn xếp kiểm này soát việc đóng gói (ISL hoặc 802.1Q) cũng như kết nối trở thành trunk cho tất cả. Điều này cho phép sử dụng kết nối mà không cần có quá nhiều sự cấu hình bằng tay hay quản trị. Việc sử dụng DTP sẽ đựơc giải thích ở phần sau.

Chú ý: DTP bi vô hiệu nếu một switch có kết nối trunk đến một router vì router không thực thi giao thức DTP. Một liên kết trunk chỉ được dàn xếp giữa hai switch nếu cả hai switch thuộc cùng một miền quản lý của giao thức VTP (VLAN Trunk Protocol), hoặc nếu một hoặc cả hai



không định nghĩa miền VTP. VTP sẽ được thảo luận ở phần 2.3. Nếu hai switch có miền VTP và trunk giữa cúng khác nhau, thì ta phải thiết lập kết nối trunk là kiểu "on" hoặc kiểu "nonegotiate", việc này sẽ ảnh hưởng đến trunk được thiết lập.

2.3 VLAN Trunking Protocol - VTP

Trong môi trường mạng Campus thường gồm có nhiều switch kết nối bên trong, nên việc cấu hình và quản lý một số lượng lớn switch, VLAN và VLAN trunk phải được điều khiển ra ngoài nhanh. Cisco đã triển khai một phương pháp quản lý VLAN qua mạng Campus đó là VLAN Trunking Protocol - VTP.

VTP là một giao thức quảng bá cho phép duy trì cấu hình thống nhất trên một miền quản trị. Sử dụng gói trunk lớp 2 để quản lý sự thêm xóa và đặt tên cho VLAN trong một miền quản tri nhất định. Thông điệp VTP được đóng gói trong frame của ISL hay 802.1Q và được truyền trên các đường trunk. Đồng thời, VTP cho phép tập trung thông tin về sự thay đổi từ tất cả các switch trong một hệ thống mạng. Bất kỳ switch nào tham gia vào sự trao đổi VTP đều có thể nhận biết và sử dụng bất cứ VLAN nào mà VTP quản lý. Sau đây ta sẽ nói đến hoạt động của giao thức VTP.

2.3.1 Mi ền VTP

VTP được sắp sếp trong miền quản lý, hoặc khu vực với các nhu cầu thông thường của VLAN. M ột switch có thể chỉ thuộc một miền VTP, và chia sẻ thông tin VLAN với các switch khác trong miền. Tuy nhiên các switch trong các miền VTP khác nhau không chia sẻ thông tin VTP.

Các switch trong một miền VTP quảng bá một vài thuộc tính đến các miền lân cận như miền quản lý VTP, số VTP, VLAN, và các tham số đặc trưng của VLAN. Khi một VLAN được thêm vào một switch trong một miền quản lý, thì các switch khác được cho biết về VLAN mới này qua việc quảng bá VTP. Tất cả switch trong một miền đều có thể sẵn sàng nhận lưu lượng trên cổng trunk sử dụng VLAN mới.

2.3.2 Các chế độ (mode) VTP

Để tham gia vào miền quản lý VTP, mỗi switch phải được cấu hình để hoạt động ở chế độ nào. Chế độ VTP sẽ xác định quá trình chuyển mạch và quảng bá thông tin VTP như thế nào. Ta có các chế độ sau:

• Chế độ Server: các server VTP sẽ điều khiển việc tạo VLAN và thay đổi miền của nó. Tất cả thông tin VTP đều được quảng bá đến các switch trong miền, và các switch khác sẽ nhận đồng thời. Mặc định là một switch hoạt động ở chế độ server. Chú ý là miền VTP phải có ít nhất một server để tạo, thay đổi hoặc xóa và truyền thông tin VLAN.

• Chế độ Client: chế độ VTP không cho phép người quản trị tạo, thay đổi hoặc xóa bất cứ VLAN nào thay vì lắng nghe các quảng bá VTP từ các switch khác và thay đổi cấu hình VLAN một cách thích hợp. Đây là chế độ lắng nghe thụ động. Các thông tin VTP được chuyển tiếp ra liên kết trunk đến các switch lân cận trong miền, vì vậy switch cũng hoạt động như là một rờ le VTP (relay).

• Chế độ transparent (trong suốt): các switch VTP trong suốt không tham gia trong VTP. Ở chế độ trong suốt, một switch không quảng bá cấu hình VLAN của chính nó,



và một switch không đồng bộ cở sở dữ liệu VLAN của nó với thông tin quảng bá nhận được. Trong VTP phiên bản 1, switch hoạt động ở chế độ trong suốt không chuyển tiếp thông tin quảng bá VTP nhận được đến các switch khác, trừ khi tên miền và số phiên bản VTP của nó khớp với các switch khác. Còn trong phiên bản 2, switch trong suốt chuyển tiếp thông tin quảng bá VTP nhận được ra cổng trunk của nó, và hoạt động như rờ le VTP.

Chú ý: switch hoạt động ở chế độ trong suốt có thể tạo và xóa VLAN cục bộ của nó. Tuy nhiên các thay đổi của VLAN không được truyền đến bất cứ switch nào.

2.3.3 Quảng bá VTP

Mỗi Cisco switch tham gia vào VTP phải quảng bá số VLAN (chỉ các VLAN từ 1 đến 1005), và các tham số VLAN trên cổng trunk của nó để báo cho các switch khác trong miền quản lý. Quảng bá VTP được gửi theo kiểu muilticast. Switch chặn các frame gửi đến địa chỉ VTP multicast và xử lý nó. Các frame VTP được chuyển tiếp ra ngoài liên kết trunk như là một trường hợp đặc biệt. Bởi vì tất cả switch trong miền quản lý học sự thay đổi cấu hình VLAN mới, nên một VLAN phải được tạo và cấu hình chỉ trên một VTP server trong miền.

Mặc định, miền quản lý sử dụng quảng bá không bảo mật (không có mật khẩu). Ta có thể thêm mật khẩu để thiết lập miền ở chế độ bảo mật. Mỗi switch trong miền phải được cấu hình với cùng mật khẩu để tất cả switch sử dụng phương pháp mã hóa đúng thông tin thay đổi của VTP.

Quá trình quảng bá VTP bắt đầu cấu hình với số lần sửa lại là 0. Khi có sự thay đổi tiếp theo, số này tăng lên trước khi gửi quảng bá ra ngoài. Khi swich nhận một quảng bá với số lần sửa lại lớn hơn số lưu trữ cục bộ thì quảng bá sẽ được ghi đè lên thông tin VLAN, vì vậy thêm số 0 này vào rất quan trọng. Số lần sửa lại VTP được lưu trữ trong NVRAM và switch không được thay đổi. Số lần sửa lại này chỉ được khởi tạo là 0 bằng một trong cách sau:

• Thay đổi chế độ VTP của switch thành transparent, và sau đó thay đổi chế độ thành server.

• Thay đổi miền VTP của switch thành tên không có thực (miền VTP không tồn tại) và sau đó thay đổi miền VTP thành tên cũ.

• Tắt hay mở chế độ pruning (cắt xén) trên VTP server.

Nếu số lần sửa lại VTP không được thiết lập lại 0, thì một server switch mới, phải quảng bá VLAN không tồn tại, hoặc đã xóa. Nếu số lần sửa lớn hơn lần quảng bá liền trước, thì switch lắng nghe rồi ghi đè lên toàn bộ sơ sở dữ liệu của VLAN với thông tin trạng thái VLAN là null hoặc bị xóa. Điều này đề cập đến vấn đề đồng bộ VTP.

Việc quảng bá có thể bắt đầu khi yêu cầu từ switch (client-mode) muốn học về cơ sở dữ liệu VTP ở thời điểm khởi động, và từ switch (server-mode) khi có sự thay đổi cấu hình VLAN. Việc quảng bá VTP có thể xảy ra trong ba hình thức sau:

• Thông báo tổng kết (Summary Advertisement): các server thuộc miền VTP gửi thông báo tổng kết 300s một lần và mỗi khi có sự thay đổi sơ sở dữ liệu của VLAN. Thông tin của thông báo tổng kết gồm có miển quản lý, phiên bản VTP, tên miền, số lần sửa lại cấu hình, đánh dấu thời gian (timestamp), mã hóa hàm băm MD5, và số tập con của quảng bá đi theo. Đối với sự thay đổi cấu hình VLAN, có một hoặc nhiều tập con



quảng bá với nhiều dữ liệu cấu hình VLAN riêng biệt trong thông báo tổng kết. Hình 2.8 biểu diễn format của thông báo tổng kết.

• Thông báo tập hợp con (Subset Advertisement): các server thuộc miền VTP quảng bá tập con sau khi có sự thay đổi cấu hình VLAN. Thông báo này gồm có các thay đổi rõ ràng đã được thực thi, như tạo hoặc xóa một VLAN, tạm ngưng hoặc kích hoạt lại một VLAN, thay đổi tên VLAN, và thay đổi MTU của VLAN (Maximum Transmission Unit). Thông báo tập con có thể gồm có các thông số VLAN như: trạng thái của VALN, kiểu VLAN (Ethernet hoặc Token Ring), MTU, chiều dài tên VLAN, số VLAN, giá trị nhận dạng kết hợp với bảo mật SAID (Security Association Identifer), và tên VLAN. Các VLAN được ghi vào thông báo tập hợp con một cách tuần tự và riêng lẻ. Hình 2.9 biểu diễn format của thông báo tập con.



• Thông báo yêu cầu từ client: một client VTP yêu cầu thông VLAN như xác lập lại, xóa cở sở dữ liệu của VLAN, và thay đổi thành viên miền VTP, hoặc nghe thông báo tổng kết VTP với số lần sửa lại cao hơn số hiện tại. Sau thông báo client yêu cầu, thì các server đáp ứng bằng thông báo tổng kết và thông báo tập con. Hình 2.10 biểu diễn format yêu cầu của thông báo client.

Các Catalyst switch (server-mode) lưu trữ thông tin VTP không dính liếu đến cấu hình switch trong NVRAM VLAN và dữ liệu VTP được lưu trong file vlan.dat trên hệ thống file bộ nhớ Flash của switch. Tất cả thông tin VTP như số lần cấu hình lại VTP được lưu lại khi tắt nguồn điện của switch. Switch có thể khôi phục cầu hình VLAN từ cơ sở dữ liệu VTP sau khi nó khởi động.

2.3.4 Sự lượt bớt (pruning) VTP

Ta hãy nhớ lại là một switch chuyển tiếp các frame broadcast ra tất cả các port sẵn có trong miền broadcast, còn các frame multicast thì được chuyển tiếp theo nghĩa thông minh hơn, nhưng cũng cùng một kiểu. Khi witch không tìm thấy địa chỉ MAC đích trong bảng chuyển tiếp thì nó phải chuyển frame ra tất cả các port để cố gắng tìm đến đích.

Khi chuyển tiếp frame ta tất cả các port trong miền broadcast hoặc VLAN, thì kể cả các port của trunk nếu có VLAN. Thông thường, trong mạng có một vài switch, các liên kết trunk giữa các switch và VTP được sử dụng để quản lý việc truyền thông tin VLAN. Điều này làm cho các liên kết trunk giữa các switch mang lưu lượng từ tất cả VLAN.

Xem xét mạng trong hình 2.11, khi hostPC trong VLAN 3 gửi broadcast, thì Cat C chuyển tiếp ra tất cả các port của VLAN 3, bao gồm cả liên kết trunk đến Cat A. Sau đó Cat A sẽ chuyển tiếp broadcast đến Cat B và D trên các liên kết trunk này. Đến lượt Cat B và D chỉ chuyển broadcast trên các lên kết truy cập được cấu hình cho VLAN 3. Nếu Cat B và D không có user nào thuộc VLAN 3, thì việc chuyển tiếp frame broadcast đến chúng sẽ dùng hết băng thông trên liên kết trunk, và bộ xử lý tài nguyên trong cả hai switch, chỉ có Cat B và D loại bỏ frame.



Do đó VTP pruning sẽ sử dụng hiệu quả băng thông bằng cách giảm bớt việc lưu lương không cần thiết. Các frame broadcast hoặc các frame unicast không xác định trên một VLAN chỉ được chuyển tiếp trên liên kết trunk nếu switch nhận trên đầu cuối của trunk có port thuộc VLAN đó. VTP pruning là sự mở rộng trên phiên bản 1 của VTP, sử dụng kiểu message VTP bổ sung. Khi một Catalyst Switch có một port với một VLAN, thì switch gửi quảng bá đến các switch lân cận mà có port hoạt động trên VLAN đó. Các lân cận của nó sẽ giữ thông tin này để giải quyết nếu có lưu lượng tràn từ một VLAN có sử dụng port trunk hay không.

Hình 2.12 biểu diễn mạng từ hình 2.11 với VTP pruning. Vì Cat B không thông báo về VLAN 3, nên Cat A sẽ giảm bớt lưu lượng trên trunk bằng các không tràn lưu lượng VLAN 3 đến Cat B. Cat D có thông báo về VLAN 3, nên lưu lượng được tràn đến nó.



Chú ý: Ngoài ra người ta còn sử dụng giao thức Spanning Tree để giảm lưu lượng không cần thiết trên trunk, ta sẽ tìm hiểu phần này ở chương 3.

2.3.5 Gỡ rối (trobleshooting) VTP

Vì một lý do nào đó mà một switch không nhận đựơc thông tin cập nhật từ VTP server, thì hãy xem xét các nguyên nhân sau:

• Switch được cấu hình theo kiểu transparent nên khi nhận các quảng bá VTP đến thì nó không được xử lý.

• Nếu switch được cấu hình theo kiểu Client, thì nó không có chức năng như VTP server. Trong trường hợp này, thì cấu hình thành VTP sever của chính nó.

• Xem xét tên miền được cấu hình đúng cách để so trùng với VTP server chưa?

• Xem xét phiên bản VTP tương thích với các switch trong miền VTP chưa?

Chú ý: nếu một switch mới (có thể ở chế độ client hay server) được cấu hình ở cùng một miền của mạng chuyển mạch trước đó, và có số lần cấu hình lại cao hơn tất cả các switch hiện có trong mạng, thì ngay sau khi switch mới này được đưa vào mạng, nó sẽ đồng bộ thông tin của nó với toàn bộ switch trong mạng. Điều này cực kỳ nguy hiểm vì có thể dẫn đến toàn bộ mạng bị treo, vì các thông tin VLAN đã thay đổi hoàn toàn. Để ngăn chặn điều này xảy ra thì ta sẽ thiết lập lại số lần cấu hình của mỗi switch mới trước khi đưa vào mạng


Trang 33

Chương 3: SPANNING TREE PROTOCOL - STP

3.1 Tổng quan về IEEE 802.1D

Một mạng mạnh mẽ được thiết kế không chỉ đem lại tính hiệu quả cho việc truyền các gói hoặc frame, mà còn phải xem xét làm thế nào để khôi phục hoạt động của mạng một cách nhanh chóng khi mạng xảy ra lỗi. Trong môi trường lớp 3, các giao thức định tuyến sử dụng con đường dự phòng đến mạng đích để khi con đường chính bị lỗi thì sẽ nhanh chóng tận dụng con đường thứ 2. Định tuyến lớp 3 cho phép nhiều con đường đến đích để giữ nguyên tình trạng hoạt động của mạng và cũng cho phép cân bằng tải qua nhiều con đường.

Trong môi trường lớp 2 (switching hoặc bridging), không sử dụng giao thức định tuyến và cũng không cho phép các con đường dự phòng, thay vì bridge cung cấp việc truyền dữ liệu giữa các mạng hoặc các port của switch. Giao thức Spanning Tree cung cấp liên kết dự phòng để mạng chuyển mạch lớp 2 có thể khôi phục từ lỗi mà không cần có sự can thiệp kịp thời. STP được định nghĩa trong chuẩn IEEE 802.1D.

3.1.1 Spanning Tree là gì và tại sao phải sử dụng nó?

Spanning Tree Protocol (STP) là một giao thức ngăn chặn sự lặp vòng, cho phép các bridge truyền thông với nhau để phát hiện vòng lặp vật lý trong mạng. Sau đó giao thức này sẽ định rõ một thuật toán mà bridge có thể tạo ra một topology luận lý chứa loop-free. Nói cách khác STP sẽ tạo một cấu trúc cây của free-loop gồm các lá và các nhánh nối toàn bộ mạng lớp 2.

Vòng lặp xảy ra trong mạng với nhiều nguyên nhân. Hầu hết các nguyên nhân thông thường là kết quả của việc cố gắng tính toán để cung cấp khả năng dự phòng, trong trường hợp này, một link hoặc switch bị hỏng, các link hoặc switch khác vẫn tiếp tục hoạt động, tuy nhiên các vòng lặp cũng có thể xảy ra do lỗi. Hình 3.1 biểu diễn một mạng switch điển hình và các vòng lặp cố ý được dùng để cung cấp khả năng dự phòng như thế nào.

Hai nguyên nhân chính gây ra sự lặp vòng tai hại trong mạng chuyển mạch là do broadcast và sự sai lệch của bảng bridge.

Broadcast Loop

Broadcast Loop và vòng lặp lớp 2 là một sự kết hợp nguy hiểm. Hình 3.2 biểu diễn broadcast tạo ra vòng lặp phản hồi (feedback loop).


Trang 34

Giả sử rằng, không có switch nào chạy STP:

• Bước 1: host A gửi một frame bằng địa chỉ broadcast MAC (FF-FF-FF-FF-FF-FF).

• Bước 2: frame đến cả hai Cat-1 và Cat-2 qua port 1/1

• Bước 3: Cat-1 sẽ đưa frame qua port 1/2.

• Bước 4: frame được truyền đến tất cả các node trên đoạn mạng Ethernet kể cả port 1/2 của Cat-2.

• Bước 5: Cat-2 đưa frame này đến port 1/1 của nó.

• Bước 6: một lần nữa, frame xuất hiện port 1/1 của Cat-1.

• Bước 7: Cat-1 sẽ gửi frame này đến port 1/2 lần hai. Như vậy tạo thành một vòng lặp ở đây.

Chú ý: frame này cũng tràn qua đoạn mạng Ethernet và tạo thành một vòng lặp theo hướng ngược lại, feedback loop xảy ra trong cả hai hướng. Một kết luận quan trọng nữa trong hình 3.2 là


Trang 35

bridging loop nguy hiểm hơn nhiều so với routing loop. Hình 3.3 mô tả format của một DIXv2 Ethernet frame.

DIXv2 Ethernet Frame chỉ chứa 2 địa chỉ MAC, một trường Type và một CRC. Trong IP header chứa trường time-to-live (TTL) được thiết lập tại host gốc và nó sẽ được giảm bớt mỗi khi qua một router. Gói sẽ bị loại bỏ nếu TTL = 0, điều này cho phép các router ngăn chặn các datagram bị “run-away”. Không giống như IP, Ethernet không có trường TTL, vì vậy sau khi một frame bắt đầu bị loop trong mạng thì nó vẫn tiếp tục cho đến khi ai đó ngắt một trong các bridge hoặc ngắt một kiên kết. Trong một mạng phức tạp hơn mạng được mô tả trong hình 3.1, 3.2 thì có thể gây ra feedback loop rất nhanh theo tỉ lệ số mũ. Vì cứ mỗi frame tràn qua nhiều port của switch, thì tổng số frame tăng nhanh rất nhiều

Ngoài ra cần phải chú ý đến broadcast storm trên các user của host A và B trong hình 3.2. Broadcast được xử lý bởi CPU trong tất cả các thiết bị trên mạng. Trong trường hợp này, các PC đều cố xử lý broadcast storm. Nếu ta ngắt kết nối một trong số các host từ LAN, thì nó hoạt động trở lại bình thường. Tuy nhiên, ngay khi ta kết nối nó trở lại LAN thì broadcast sẽ sử dụng 100% CPU. Nếu ta không xử lý điều này mà vẫn tiếp tục sử dụng mạng, thì sẽ tạo ra vòng lặp vật lý trong VLAN.

Việc sai lệch bảng bridge

Nhiều nhà quản trị switch/bridge đã nhận thức vấn đề cơ bản của broadcast storm, tuy nhiên ta phải biết rằng thậm chí các unicast frame cũng có thể truyền mãi trong mạng mà chứa vòng lặp. Hình 3.4 mô tả điều này.

• Bước 1: host A muốn gửi gói unicast đến host B, tuy nhiên host B đã rời khỏi mạng, và đúng với bảng bridge của switch không có địa chỉ của host B.

• Bước 2: giả sử rằng cả hai switch đều không chạy STP, thì frame đến port 1/1 trên cả hai switch.

• Bước 3: vì host B bị down, nên Cat-1 không có địa chỉ MAC BB-BB-BB-BB-BB-BB trong bảng bridge, và nó tràn frame qua các port.

• Bước 4: Cat-2 nhận được frame trên port 1/2 . Có 2 vấn đề xảy ra:

o Bước 5: Cat-2 tràn frame vì nó không học địa chỉ MAC BB-BB-BB-BB-BB-BB, điều này tạo ra feedback loop và làm down mạng.

o Cat-2 chú ý rằng, nó chỉ nhận một frame trên port 1/2 với địa chỉ MAC là AA-AA-AA-AA-AA-AA. Nó thay đổi địa chỉ MAC của host A trong bảng bridge dẫn đến sai port.


Trang 36

Vì frame bị lặp theo hướng ngược lại, nên ta thấy địa chỉ MAC của host A bị lẫn giữa port 1/1 và 1/2. Điều này không chỉ làm mạng bị tràn với các gói unicast mà còn sửa sai bảng bridge. Như vậy không chỉ có broadcast mới làm hư hại mạng.

3.1.2 Hai khái niệm cơ bản của STP

Việc tính toán Spanning Tree dựa trên hai khái niệm khi tạo ra topology luận lý chứa free-loop đó là: Bridge ID (B-ID) và chi phí đường đi.

Bridge ID (B-ID)

B-ID là một trường có 8 byte, nó gồm có 2 trường con được miêu tả như hình 3.5 sau:

Trong đó:

• Địa chỉ MAC: có 6 byte gán cho switch. Catalyst 5000 và 6000 sử dụng một trong số các địa chỉ MAC từ vùng 1024 địa chỉ gán cho mỗi giám sát (suprevisor) và backplane. Địa chỉ MAC trong B-ID sử dụng format hexa.


Trang 37

Chú ý: một vài Catalyst lấy địa chỉ MAC từ module giám sát (như Catalyst 5000) và lấy địa chỉ khác từ backplane (như Catalyst 5500 và 6000)

• Bridge Priority: có 2 byte tạo thành 216 giá trị từ 0 - 65.535. Bridge Priority mặc định là giá trị ở giữa (32.768). Bridge Priority sử dụng format thập phân.

Chú ý: ta chỉ tập trung vào phiên bản IEEE của Spanning Tree Protocol. Mặc dù về cơ bản là như nhau nhưng có một vài điểm khác biệt giữa IEEE STP và DEC STP như DEC STP sử dụng 8 bit Bridge Priority. Catalyst lớp 2 như: 4000, 5000, và 6000 chỉ hỗ trợ IEEE STP.

Chi phí đường đi

Bridge sử dụng khái niệm chi phí để đánh giá các bridge khác. 802.1D định nghĩa chi phí là 1000 Mbps bằng cách chia băng thông của link. Ví dụ như một link 10BaseT có chi phí là 100 (1000/10), Fast Ethernet và FDDI sử dụng chi phí là 10 (1000/100). Lược đồ này đáp ứng tốt từ khi Radia Perlman đầu tiên làm việc trong giao thức năm 1983. Tuy nhiên với việc gia tăng của Gigabit Ethernet và OC-48 ATM (2,4Gbps), thì đặt ra một vấn đề là chi phí được lưu trữ là một giá trị nguyên mà không phải là phân số. Ví dụ như kết quả OC-48 ATM trong 1000/2400 Mbps= 41667 bps, một giá trị chi phí không hợp lệ. Một tùy chọn là sử dụng chi phí của 1 cho tất cả các link bằng hoặc lớn hơn 1 Gbps, tuy nhiên điều này ngăn cản STP lựa chọn chính xác “con đường tốt nhất” trong mạng Gigabit.

Để giải quyết tình trạng khó xử này, IEEE quyết định sửa đổi chi phí để sử dụng tính co dãn không tuyến tính. Bảng 3.1 cho ta một danh sách giá trị chi phí mới.

Băng thông Chi phí STP

4 Mbps 250

10 Mbps 100

16 Mbps 62

45 Mbps 39

100 Mbps 19

155 Mbps 14

622 Mbps 6

1 Gbps 4

10 Gbps 2

Bảng 3.1 Danh sách chi phí mới

Giá trị trong bảng 3.1 được chọn cẩn thận để sơ đồ hoạt động cũ và mới cho tốc độ liên kết nhanh như hiện nay. Một điểm chú ý là giá trị chi phí STP càng thấp càng tốt .

3.1.3 Các bước ra quyết định của STP


Trang 38

Khi tạo ra topology luận lý chứa loop-free thì Spanning Tree luôn dùng trình tự 4 bước sau:

• Root BID thấp nhất. • Chi phí đường đi đến Root Bridge thấp nhất. • BID của người gửi thấp nhất. • Port ID thấp nhất.

Bridge chuyển thông tin Spanning Tree với nhau, sử dụng frame xác định là đơn vị dữ liệu giao thức bridge (Bridge Protocol Data Unit - BPDU). Một bridge sử dụng trình tự 4 bước này để lưu một bản sao của BPDU tốt nhất trên mỗi port. Khi đánh giá, nó xem tất cả BPDU nhận được trên port cũng như BPDU gửi đi trên port đó. Mỗi BPDU đến đều được kiểm tra trình tự 4 bước này, nếu tốt hơn BPDU hiện tại thì nó được lưu trên port đó và thay thế giá trị cũ.

Chú ý: các bridge sẽ gửi BPDU cấu hình cho đến khi nhận nhiều hơn một BPDU tốt.

Thêm vào đó, quá trình lưu lại BPDU tốt nhất cũng điều khiển việc gửi các BPDU. Khi một bridge hoạt động lần đầu, thì tất cả các port của nó được gửi BPDU 2s một lần (sử dụng giá trị bộ định thời mặc định). Tuy nhiên, nếu một port lắng nghe một BPDU từ một bridge khác tốt hơn BPDU mà nó gửi, thì port cục bộ sẽ ngưng gửi BPDU. Nếu BPDU này từ một lân cận ngưng đến trong một chu kỳ thời gian (20 s là mặc định) thì port cục bộ tiếp tục gửi BPDU lại lần nữa.

Chú ý: Có 2 loại BPDU là BPDU cấu hình và BPDU thông báo thay đổi topology (TCN).

3.1.4 Sự hội tụ STP ban đầu (Initial STP Convergence)

Phần này ta sẽ xem xét thuật toán mà STP sử dụng để hội tụ ban đầu trên topology luận lý chứa loop-free. Mặc dù có nhiều khía cạnh STP, nhưng sự hội tụ ban đầu được phân nhỏ thành 3 bước sau:

• Quyết định một Root Bridge.

• Quyết định Root Port .

• Quyết định Designated Port (port được chỉ định).

Khi một mạng lần đầu khởi động, tất cả các bridge thông báo thông tin BPDU lộn xộn. Tuy nhiên, các bridge này sẽ lập tức áp dụng trình tự 4 bước (ở phần 3.1.3). Một Root Bridge được quyết định để hoạt động như là “trung tâm của vạn vật” đối với mạng. Tất cả các bridge còn lại tính toán việc thiết lập các Root Port và các Designated Port để xây dựng topology chứa loop-free. Kết quả là Root Bridge giống như một hub với các đường đi loop-free phát ra bên ngoài. Khi mạng có trạng thái ổn định, thì Root Bridge sẽ gửi các BPDU đến mỗi đoạn mạng.

Sau khi mạng hội tụ trên topology loop-free, nếu có thêm sự thay đổi thì sẽ sử dụng quá trình thay đổi topology.

Hình 3.6 là mô hình của một mạng switch/bridge. Mạng này gồm có 3 bridge kết nối thành một vòng lặp. Mỗi cầu nối được gán một địa chỉ MAC không có thật tương ứng với tên thiết bị (ví dụ như Cat-A sử dụng địa chỉ MAC là AA-AA-AA-AA-AA-AA).


Trang 39

Bước 1: quyết định một Root Bridge.

Đầu tiên các switch cần chọn một Root Bridge bằng cách tìm bridge có BID thấp nhất. Quá trình lựa chọn này thường do tiêu đề của Root War.

Chú ý: nhiều tài liệu sử dụng tính ưu tiên cao nhất khi nói đến kết quả của Root War. Tuy nhiên, bridge với tính ưu tiên cao nhất thực tế có giá trị thấp nhất. Để tránh nhầm lẫn, tài liệu này luôn đề cập đến giá trị thấp nhất. Như đã nói đến ở phần trên B-ID là một định danh 8 byte được chia thành 2 trường con là Bridge Priority và địa chỉ MAC từ người giám sát (supervisor) hoặc backplane. Trở lại hình 3.6, ta thấy Cat-A có B-ID mặc định là 32.768 và địa chỉ MAC là AA-AA-AA-AA-AA-AA. Cat-B là (32.768, BB-BB-BB-BB-BB-BB) và Cat-C là (32.768, CC-CC-CC-CC-CC-CC). Vì cả ba bridge đều sử dụng Bridge Priority là 32.678 nên địa chỉ MAC thấp nhất là AA-AA-AA-AA-AA-AA và Cat-A trở thành Root Bridge. Hình 3.7 mô tả quá trình này.

Chú ý: giá trị B-ID cũng là thấp nhất.

Nhưng làm thế nào các bridge biết được Cat-A có B-ID thấp nhất? Đó là do việc trao đổi các BPDU. Bridge sử dụng BPDU dành riêng để thay đổi topology và thông tin Spanning Tree lẫn nhau. Các BPDU được gửi mặc định 2s một lần. Các BPDU là lưu lượng bridge-to-bridge, nó không mang lưu lượng end-to-end. Hình 3.8 mô tả các phần cơ bản của một BPDU.


Trang 40

Mục đích của Root War chỉ liên quan đến Root BID và trường Sender BID. Khi một bridge phát ra một BPDU hai 2s một lần, ngay tức khắc nó sẽ xác định Root Bridge dựa vào trường Root BID. Bridge này luôn đặt B-ID của chính nó trong Sender BID.

Chú ý: Root BID là ID của Root Bridge hiện tại, trong khi Sender BID là ID của bridge cục bộ hoặc switch.

Khi bridge khởi động lần đầu tiên, nó luôn luôn đặt BID trong cả hai trường Root BID và Sender BID. Giả sử rằng, Cat-B khởi động đầu tiên và bắt đầu gửi các BPDU thông báo chính nó là Root Bridge 2s mỗi lần. Một vài phút sau Cat-C khởi động và thông báo chính nó là Root Bridge. Khi BPDU của Cat-C đến Cat-B, Cat-B sẽ loại bỏ BPDU vì nó có B-ID thấp hơn được lưu trên các port của nó. Ngay lập tức Cat-B truyền BPDU, Cat-C biết được là giả định ban đầu của nó là sai. Tại thời điểm đó, Cat-C bắt đầu gửi BPDU với Root BID là B và Sender BID là C. Bây giờ mạng chấp nhận B là Root Bridge.

5 phút sau đó, Cat-A khởi động, nó giả sử rằng nó là Root Bridge và bắt đầu quảng bá điều này trong BPDU. Ngay lập tức các BPDU đến Cat-B và C, các switch này sẽ từ bỏ Root Bridge lại cho Cat-A. Bây giờ tất cả 3 switch đều gửi các BPDU thông báo Cat-A là Root Bridge và chính nó là Sender BID.

Bước 2: chọn Root Port

Sau tranh giành của Root War, các switch sẽ chuyển qua chọn Root Port. Root Port là một port trên Root Bridge. Mỗi brigde (trừ Root Bridge) phải lựa chọn một Root Port.

Chú ý: Mỗi bridge (trừ Root Bridge) sẽ lựa chọn Root Port.

Bridge sẽ sử dụng khái niệm chi phí để xét Root Port. Cụ thể là các bridge theo dõi chi phí đường đi gốc, chi phí tích lũy của tất cả các link đến Root Bridge. Hình 3.9 mô tả làm thế nào tính toán qua nhiều bridge và kết quả của việc quyết định Root Port.

• (1): Khi Cat-A (Root Bridge) gửi các BPDU, thì nó chứa chi phí đường đi gốc là 0.

• (2): Khi B nhận các BPDU này, nó thêm vào chi phí đường đi của port 1/1vào chi phí đường đi gốc chứa trong BPDU nhận. Giả sử rằng mạng đang chạy switch Catalyst


Trang 41

5000 có mã lớn hơn phiên bản 2.4 và ba liên kết trong hình 3.9 đều là Fast Ethernet. Cat-B nhận chi phí đường đi gốc là 0 và thêm vào chi phí của port 1/1 là 19.

• (3): sau đó Cat-B sử dụng giá trị 19 và gửi BPDU với chi phí đường đi gốc là 10 ra port 1/2.

• (4): khi Cat-C nhận BPDU này từ B, thì nó tăng chi phí đường đi gốc thành 38 (19+19).

• (5): tuy nhiên Cat-C cũng nhận BPDU từ Root Bridge trên port 1/1. Cat-C sẽ thêm vào port 1/1 với chi phí là 0, và ngay lập tức nó tăng chi phí lên 19.

• (6): Cat-C thấy chi phí đường đi gốc là 19 trên port 1/1 và 38 trên port 1/2, nó quyết định port 1/1 là Root Port (chọn giá trị nhỏ nhất). • (7): sau đó Cat-C bắt đầu quảng bá chi phí đường đi gốc với giá trị 19 đến các switch

xuôi dòng.

Hình 3.9 không nói chi tiết Cat-B cũng tính toán và chọn ra port 1/1 là Root Port với chi phí là 19, và chú ý là khi một port nhận BPDU thì chi phí sẽ tăng dần.

Chú ý:

• Chi phí STP được tăng khi một port nhận BPDU, chứ không phải vì nó được gửi ra khỏi port. Ví dụ như, các BPDU đến trên port 1/1 của Cat-B với chi phí là 0 và tăng lên 19 bên trong Cat-B.

• Sự khác nhau giữa chi phí đường đi và chi phí đường đi gốc.


Trang 42

• Chi phí đường đi là giá trị được gán cho mỗi port, nó được thêm vào các BPDU được nhận trên port đó để tính toán chi phía đường đi gốc.

• Chi phí đường đi gốc là chi phí tích lũy đến Root Bridge. Trong BPDU, đây là giá trị của trường chi phí. Đối với một bridge, giá trị này được tính bằng cách cộng các chi phí đường đi của các port nhận với giá trị chứa trong BPDU.

Bước 3: quyết định Designated Port

Mỗi đoạn mạng trên một bridge có một Designated Port, port này có chức năng nhận và gửi lưu lượng đến đoạn mạng kia và Root Bridge. Nếu chỉ có một port nắm giữ lưu lượng trên mỗi link, thì tất cả vòng lặp bị phá bỏ. Bridge chứa Designated Port được gọi là Designated Bridge cho đoạn mạng đó.

Việc lựa chọn Designated Port cũng dựa trên chi phí tích lũy của đường đi gốc đến Root Bridge (hình 3.10).

Để định vị Designated Port, ta hãy nhìn vào mỗi đoạn mạng. Đầu tiên là đoạn 1, liên kết giữa Cat-A và B có 2 port là Cat-A: port 1/1, và Cat-B: port 1/1. Port 1/1 của Cat-A có chi phí đường đi gốc là 0, và port 1/1 của B là 19 (giá trị 0 được nhận trong BPDU từ A cộng với chi phí đường đi được gán cho port 1/1 của B). Vì port 1/1 của A có chi phí đường đi thấp hơn nên nó trở thánh Designated Port đối với liên kết này.

Đối với đoạn mạng 2 (kiên kết giữa Cat-A và C), tương tự port 1/2 của 1 trở thành Designated Port. Chú ý là mỗi port hoạt động trên Root Bridge đều trở thành Designated Port.

Bây giờ hãy xem đoạn 3 (liên kết giữa B và C), cả hai port 1/2 của B và 1/2 của C đều có chi phí đường đi gốc là 19. Đây là một sự hạn chế, và STP thường sử dụng trình tự 4 bước để quyết định:

• Root B-ID thấp nhất. • Chi phi đường đi đến Root Bridge thấp nhất.


Trang 43

• BID của Sender thấp nhất. • ID của port thấp nhất.

Trong ví dụ ở hình 3.10, tất cả các bridge đều tán thành Cat-A là Root Bridge, cả B và C đều có chi phí là 19, nên ta sẽ lấy yếu tố BID để quyết định. BID của B là (32.768.BB-BB-BB-BB-BB-BB) và của C là (32.768.CC-CC-CC-CC-CC-CC), do đó port 1/2 của B là Designated Port cho đoạn 3.

Ví dụ trong một mạng chứa 15 switch và có 146 đoạn mạng (mỗi port là một segment duy nhất), số thành phần STP hiện có là

Các thành phần STP Số

Root Bridge 1

Root Port 14

Designated Port 146

Bảng 3.2: Các thành phần STP trong mạng có 15 switch và 146 đoạn mạng

Tất cả các quyết định DTp đều dựa trên một trình tự như đã đề cập:

• Root BID thấp nhất. • Chi phí đường đi đến Root Bridge thấp nhất. • Sender BID thấp nhất. • Port ID thấp nhất.

Khi một port nhận BPDU nó sẽ so sánh với các BPDU nhận được trên các port khác (cũng như BPDU được gửi trên port đó). Chỉ BPDU tốt nhất mới được lưu lại. Tốt nhất ở đây có nghĩa là giá trị thấp nhất (ví dụ như BID thấp nhất trở thành Root Bridge, giá trị thấp nhất cũng được sử dụng để chọn Root Port và Designated Port). Một port sẽ ngưng truyền BPDU nếu nó nghe được một BPDU tốt hơn BPDU của nó truyền.

3.1.5 Các trạng thái của STP

Sau khi bridge phân chia được các port như Root Port, Designated Port và non-Designated Port, thì việc tạo ra topology chứa loop-free không phức tạp lắm, Root Port và Designated Port chuyển tiếp lưu lượng, trong khi non-Designated Port thì khóa lưu lượng. Việc chuyển tiếp và khóa chỉ là 2 trạng thái thông thường trong mạng, bảng 3.3 mô tả 5 trạng thái của STP.

Tr ạng thái Mục đích

Chuyển tiếp (forwading) Gửi và nhận dữ liệu người dùng

Học hỏi (learning) Xây dựng bảng bridge

Lắng nghe (listening) Xây dựng “active” topolygy


Trang 44

Khóa (blocking) Chỉ nhận các BPDU

Vô hiệu hóa (disable) Các port bị down

Bảng 3.3: Các trạng thái của STP

Trạng thái Disable cho phép người quản trị mạng quản lý việc ngừng hoạt động của một port. Sau khi khởi tạo, các port bắt đầu trong trạng thái Blocking để lắng nghe các BPDU.

Do sự đa dạng của các sự kiện mà bridge truyền trong trạng thái Listening (ví dụ như một bridge nghĩ nó là Root Bridge ngay sau khi khởi động). Ở trạng thái này, không có dữ liệu người dùng được truyền qua, tức là port đang gửi và nhận các BPDU để cố gắng xác định “active” topology. Trong trạng thái Listening sử dụng 3 bước hội tụ đã nói ở trên, các port bị mất quyền Designated Port chỉ định trở thành non-Designated Port và trở lại trạng thái Blocking.

Các Designated Port và Root Port sau 15s (giá trị mặc định của bộ định thời) sẽ chuyển qua trạng thái Learning. Trong khoảng 15s khác, bridge vẫn không chuyển các frame của người dùng qua, mà xây dựng bảng bridge của nó. Khi Bridge nhận frame, nó đưa địa chỉ MAC và port vào bảng bridge. Trạng thái learning sẽ giảm bớt số lượng tràn ngập khi việc chuyển tiếp dữ liệu bắt đầu.

Chú ý: Trong việc lưu trữ địa chỉ MAC và thông tin port, các Catalyst học các thông tin như VLAN nguồn.

Nếu một port vẫn là Designated Port hay Root Port ở khoảng thời gian cuối của trạng thái Learning, thì port chuyển qua trạng thái Forwading. Ở trạng thái này, nó bắt đầu gửi và nhận các frame của người dùng. Hình 3.11 mô tả trạng thái các port và việc chuyển trạng thái.


Trang 45

Hình 3.12 biểu diễn mạng với sự phân chia port và danh sách các trạng thái. Chú ý là tất cả các port đều chuyển tiếp trừ port 1/2 của Cat-C.

Tr ạng thái/port Ký hi ệu

Blocking B

Forwading F

Designated Port DP

Root Port RP

Non-Designated Port NDP

Bảng 3.4 : Các trạng thái STP và các ký hiệu port

3.1.6 Bộ định thời gian STP

Một bridge trải qua 15s ở mỗi trạng thái Listening và Learning. STP được điều khiển bởi ba bộ đếm thời gian (timer) như trong bảng 3.5.


Trang 46

Timer Mục đích Giá tr ị

mặc định

Hello Timer Khoảng thời gian gửi các BPDU cấu hình gửi bởi Root Bridge

2s

Forward Delay Thời hạn ở trạng thái Listening và Learning

15s

Max Age Thời gian lưu trữ BPDU 20s

Bảng 3.5: STP Timer

Ví dụ: giả sử rằng link đoạn 3 trong hình 3.12 sử dụng một Hub và port 1/2 của Cat-B truyền ra ngoài. Cat-C không thông báo lỗi li ền vì nó vẫn đang nhận liên kết Ethernet từ Hub. Cat-C chỉ thông báo là các BPDU ngừng đến. Sau 20s (Max Age), thì port 1/2 của Cat-C lấy thông tin BPDU cũ với port 1/2 của Cat-B là Designated Port cho đoạn mạng 3. Điều này làm cho port 1/2 của Cat-C truyền trong trạng thái Listening để cố gắng trở thành Designated Port. Vì vậy Port 1/2 của Cat-C cung cấp truy cập tốt nhất từ Root Bridge đến liên kết này, nên nó chuyển sang trạng thái Forwarding. Như vậy, Cat-C mất 50s (20s Max Age + 15s Listenning + 15s Forwarding) để vượt qua sau khi port 1/2 trên Cat-B bị lỗi.

Trong trường hợp này, các bridge có thể phát hiện sự thay đổi topolo gy mạng trên các liên kết kết nối trực tiếp và ngay lập tức chuyển sang trạng thái Listening mà không cần chờ thời gian Max Age. Xem ví dụ trong hình 3.13.

Trong trường hợp này, port 1/1 của Cat-C bị lỗi, vì liên kết trên Root Port cũng bị lỗi nên ngay lập tức port 1/2 của Cat-C chuyển sang trạng thái Learning để trở thành Root Port mới thay


Trang 47

vì chờ 20s rồi mới lấy thông tin cũ. Điều này làm cho thời gian hội tụ STP giảm từ 50s xuống 30s (15s Listening + 14s Learning).

Chú ý: thời gian hội tụ STP là từ 30s đến 50s.

Hai điểm quan trọng cần nhớ khi sử dụng bộ định thời STP là:

• Thứ nhất: không thay đổi giá trị thời gian mặc định khi không có sự cân nhắc cẩn thận.

• Thứ hai: ta chỉ được sửa thời gian từ Root Bridge.

3.1.7 Hai loại BPDU

Có hai loại BPDU là :

• BPDU cấu hình.

• BPDU thông báo thay đổi topology mạng – TCN BPDU (Topology Change Notification BPDU).

BPDU cấu hình được bắt đầu bởi Root Bridge và phát ra trên các con đường hoạt động từ Root Bridge, còn TCN BPDU hướng về Root Bridge để cảnh báo với Root Bridge là topology mạng có sự thay đổi.

BPDU cấu hình : các trường trong BPDU cấu hình được tóm tắt trong bảng 3.6

Trường Chiều dài

(octet) Ý nghĩa

Protocol ID 2 Luôn bằng 0

Version 1 Luôn bằng 0

Type 1 Cho biết kiểu BPDU

BPDU cấu hình = 0

Flag 1 LSB = Cờ thay đổi topology mạng

MSB = Cờ xác nhận thay đổi topology mạng

Root ID 8 BID của Root Bridge hiện tại Root Path Cost (chi phí đường đi gốc)

4 Chi phí tích lũy đến Root Bridge

Sender BID 8 BID của bridge hiện tại Port ID 2 ID của port gửi BPDU này

Message Age 2 Khoảng thời gian tử khi Root Bridge tạo BPDU đến khi phát BPDU đi.


Trang 48

Max Age 2 Khoảng thời gian lưu thông tin BPDU

Hello Time 2 Khoảng thời gian giữa các BPDU

Forward Delay 2 Thời gian trong trạng thái Listening và Learning

Bảng 3.6 : Các trường trong BPDU cấu hình

TCN BPDU (Topology Change Notification BPDU) :

TCN BPDU đơn giản hơn BPDU cấu hình và chỉ gồm có ba trường. TCN BPDU giống như ba trường đầu tiên của BPDU cấu hình nhưng trường Type thì thay đổi với giá trị như sau :

• 0x00 (0000 0000): BPDU cấu hình.

• 0x80 (1000 0000): TCN BPDU.

Chú ý : TCN BPDU không mang bất cứ thông tin bổ sung nào.

3.1.8 Quá trình thay đổi topology

Nếu TCP BPDU đơn giản thì làm thế nào nó thể hiện được vai trò quan trọng của nó? Ta hãy xem xét sự thay đổi topology mạng trong hình 3.14.

Host D đang liên lạc với host E qua hai bước:

• (1): lưu lượng từ host D qua Cat-B để liên lạc với host E.

• (2): giả sử bộ thu phát trên port 1/2 của Cat-B bị hỏng.


Trang 49

Như đã thảo luận, port 1/2 của Cat-C mất 50s để trở thành Designated Port. Tuy nhiên nếu không có TCN BPDU thì nó tiếp tục bị ngắt khoảng 250s. Trong khoảng thời gian lỗi, cả ba switch đều chứa địa chỉ MAC của host E trong bảng Bridge như bảng 3.7.

Bảng Bridge Port liên quan đến địa chỉ MAC của host E

Cat-A Port 1/1

Cat-B Port 1/2

Cat-C Port 1/1

Bảng 3.7: Giá trị bảng Bridge trước khi có sự thay đổi topology mạng

TCN BPDU là một cách đơn giản để cải tiến thời gian hội tụ, và nó làm việc chặt chẽ với BPDU cấu hình như sau:

1. Một bridge bắt đầu một TCN BPDU khi:

• Nó chuyển một port sang trạng thái Forwarding và nó có ít nhất một Designated Port.

• Nó chuyển một port từ trạng thái Forwarding hoặc Learning sang Blocking.

Sự thay đổi topology đòi hỏi phải gửi thông báo đến Root Bridge, giả sử rằng bridge hiện tại không phải là Root Bridge, thì nó bắt đầu quá trình thông báo bằng cách gửi TCN BPDU ra Root Port của nó. Nó tiếp tục gửi TCN BPDU cho đến khi thông điệp TCN được xác nhận.

2. Upstream Bridge sẽ nhận TCN BPDU. Mặc dù, một vài bridge nghe được TCN BPDU (vì nó kết nối trực tiếp đến đoạn mạng của Root Port) nhưng chỉ có Designated Port chấp nhận và xử lý TCN BPDU.

3. Upstream Bridge sẽ thiết lập cờ xác nhận thay đổi topology (TCA) trong BPDU cấu hình kế tiếp được gửi dowstream (ra Designated Port). Điều này xác nhận rằng đã nhận TCN BPDU ở bước trước và làm cho bridge khởi đầu ngưng phát TCN BPDU.

4. Upstream Bridge sẽ truyền TCN BPDU ra Root Port của nó.

5. Tiếp tục bước 2 đến bước 4 cho đến khi Root Bridge nhận TCN BPDU.

6. Sau đó Root Bridge sẽ thiết lập cờ xác nhận thay đổi topology – TCA (để xác nhận với bridge trước đó), và cờ thay đổi topology – TC trong BPDU cấu hình mà nó sẽ gửi đi.

7. Root Bridge tiếp tục thiết lập cờ thay đổi topology – TC trong tất cả các BPDU cấu hình mà nó gửi ra ngoài với tổng thời gian là 35s (Forward Delay + Max Age). Cờ này sẽ thu ngắn giá trị 300s xuống 15s (tức độ trễ chuyển tiếp - Forward Delay).

Hình 1.15 tóm tắt các bước trong quá trình thay đổi topology mạng.


Trang 50

Dựa vào hình 3.15 ta có thể biết được quá trình thay đổi topology mạng cho hình 3.14 như sau: bước 1 Cat-B và C gửi TCN BPDU ra port 1/1. Vì upstream bridge cũng là Root Bridge nên bỏ qua bước 3 và 4. Sau đó bước 2 và 5 xảy ra đồng thời. Trong BPDU cấu hình kế tiếp mà Root Bridge gửi đi, cờ TCN ACK sẽ được thiết lập để xác nhận là đã nhận TCN của hai downstream Brigde. Tiếp theo là bước 6 và 7, Cat-A cũng thiết lập cờ TA trong 35s (Forward Delay + Max Age) để cập nhật bảng bridge nhanh hơn. Như vậy cả ba switch đều nhận được cờ TA và khoảng thời gian cho bảng bridge là 15s.

Chú ý là khoảng thời gian ngắn 15s này không bắt buộc cho toàn bộ bảng, nó chỉ làm quá trình này nhanh hơn thôi. Các thiết bị tiếp tục nói suốt 15s này mà không cho bảng bridge nghĩ. Tuy nhiên, nếu host D cố gắng gửi một frame đến host E trong 20s (giả sử host E không nói gì hết), thì frame sẽ được tràn đến tất cả các đoạn mạng vì địa chỉ EE-EE-EE-EE-EE-EE không còn có trong bảng bridge nữa. Ngay khi frame đến host E và host E trả lời, thì switch học được giá trị bảng bridge mới tương ứng với topology mới.

Bảng 3.8 biểu diễn toàn bộ bảng bridge cho địa chỉ MAC của E trên cả ba switch sau khi topology mới hội tụ và lưu lượng lại tiếp tục.


Trang 51

Bảng Bridge Port liên quan đến địa chỉ MAC của host E

Cat-A Port 1/2

Cat-B Port 1/1

Cat-C Port 1/2

Bảng 3.8: Giá trị bảng Bridge sau khi thay đổi topology mạng

Tại thời điểm này, kết nối giữa host D và E đã được thiết lập lại và lưu lượng lại tiếp tục. Chú ý là TCN BPDU giảm thời gian lỗi từ 300s (5ph) xuống 50s.

Hình 3.16 mô tả trường cờ trong BPDU cấu hình, cả hai cờ TCA và TA đều được lưu trữ trong cùng một octet của BPDU cấu hình.

Như đã thảo luận, cờ TCN được thiết lập bởi upstream bridge để nói cho các dowstream bridge ngưng gửi TCN BPDU. Còn cờ TC được thiết lập bởi Root Bridge để giam khoảng thời gian lỗi từ 300s xuống 15s (Forward Delay).

3.2 Các kiểu STP

Trong phần 3.1 ta đã tìm hiểu hoạt động của STP làm thế nào để ngăn chăn và khôi phục từ sự thay đổi topolofy mạng một cách kịp thời. Đầu tiên STP được phát triển để hoạt động trong môi trường bridge, về cơ bản hỗ trợ một LAN (hoặc một VLAN). Vi ệc thực thi STP trong môi trường switch đòi hỏi thêm sự thay đổi và cân nhắc để hỗ trợ cho nhiều VLAN. Vì vậy, IEEE và Cisco đã tiếp cận STP khác nhau. Trong phần này ta sẽ xem lại ba kiểu STP truyền thống bắt gặp trong mạng switch và nó liên quan với nhau như thế nào.

Chú ý: IEEE bổ sung vào chuẩn STP để cải tiến tính leo thang và hội tụ.

3.2.1 Common Spanning Tree (CSP)

Chuẩn IEEE 802.1Q đã nói rõ về liên kết trunk giữa các switch cho VLAN, và nó cũng nói rõ trường hợp cho tất cả VLAN. Trường hợp này được gọi là Common Spanning Tree – CSP. Tất cả các CST BPDU được truyền trên VLAN như là frame không gán thẻ. Có một STP cho nhiều VLAN làm đơn giản hóa cấu hình switch và giảm bớt tải cho CPU của switch trong khi tính toán STP. Tuy nhiên chỉ có một STP thì cũng có nhiều giới hạn. Các liên kết dự phòng giữa các


Trang 52

switch sẽ bị khóa và không có khả năng cân bằng tải, làm cho việc chuyển tiếp trên một liên kết không hỗ trợ cho tất cả VLAN, trong khi các liên kết khác thì bị khóa.

3.2.2 Per-VLAN Spanning Tree (PVSP)

Cisco có một phiên bản riêng của STP cung cấp tính mềm dẻo hơn CST. Per-VLAN Spanning Tree – PVST hoạt động tách rời đối với mỗi VLAN riêng. Điều này cho phép STP trên mỗi VLAN được cấu hình độc lập, cung cấp khả năng hoạt động tốt hơn và điều chỉnh các điều kiện rõ ràng. Nhiều Spanning Tree cũng có khả năng cân bằng tải trên các liên kết dự phòng khi các liên kết này được gán cho cá VLAN khác nhau.

3.2.3 Per-VLAN Spanning Tree Plus (PVSP+)

Cisco đưa ra phiên bản thứ 2 của STP là Per-VLAN Spanning Tree Plus (PVSP+) cho phép các thiết bị hoạt động bên trong với cả PVST và CST. PVST+ hỗ trợ hiệu quả ba nhóm hoạt động STP trong cùng mạng Campus:

• Catalyst switch chạy PCST.

• Catalyst switch chạy PCST+.

• Switch chạy CST trên 802.1Q.

Để làm được điều này, PVST+ hoạt động như là bộ chuyển đổi giữa các nhóm CST switch. PVST+ cũng truyền thông trực tiếp với PVST bằng cách sử dụng ISL trunk. Tuy nhiên để truyền thông với CST, PVST+ phải thay đổi các BPDU vì không còn gán thẻ cho frame qua VLAN. Các BPDU từ STP khác (VLAN khác) được truyền qua phần CST của mạng bằng tunnel. PVST+ gửi các BPDU này bằng cách sử dụng địa chỉ multicast duy nhất để các CST switch chuyển tiếp nó đến các lân cận downstream mà cần phiên dịch nó. Như vậy PVST+ và CST có thể làm việc với nhau.


Trang 52

Chương 4: CHUYỂN MẠCH ĐA LỚP – MLS

(MULTI-LAYER SWITCHING)

4.1 Giới thi ệu về chuyển mạch đa lớp (Multilayer Switching – MLS)

Sự thực thi Cisco MLS đầu tiên sử dụng “router on a stick”. “Router on stick” nghĩa là một interface của router kết nối đến port của switch nằm trong lớp Distribution, đây là một Router bên ngoài cung cấp giao thức trunking có khả năng định tuyến giữa nhiều VLAN. Hình 4.1 mô tả kiến trúc “router on a stick”. Như ta thấy trong sơ đồ, có nhiều host được chỉ định cho 2 VLAN riêng biệt, một đoạn đang chay trên VLAN 10 và đoạn khác chạy trên VLAN 50, cả hai VLAN đều được kết nối đến cùng một switch. Sau đó switch kết nối đến router. Ởđây, ta biểu diễn một External Router nhưng RSM chỉ cung cấp cùng chức năng bên trong. RSM - Route Switch Module là một bộ xử lý định tuyến được chèn vào Catalyst 5000, RSM được cấu hình là một router bên ngoài.

Bây giờ ta sẽ tìm hiểu host A trên VLAN 10 truyền thông với host D trên VLAN 50 như thế nào? Các gói phải được định tuyến qua router A, host D nằm trên VLAN khác với host A nên switch phải gửi gói đến router trên interface FE0/0.10. Router biết rằng đường đi đến VLAN 50 phải qua interface FE0/0.50. Sau đó router gửi gói ngược lại switch và chuyển tiếp đến host D.

Tại sao phải chuyển mạch lớp 3? Ta thấy trong hình 4.1, việc sử dụng router để chuyển các gói từ host A đến host D là không có hiệu quả khi nó được kết nối đến cùng một switch. MLS được dùng để tránh việc dùng router để định tuyến các gói tiếp theo của cùng một luồng dữ liệu. Một luồng là một mục trong bảng được tạo bởi các thông tin trong header của nguồn và đích cho lớp 3 và 4. Switch chứa thông tin định tuyến liên quan đến luồng để thay đổi các gói sau này. Một vài trường trong gói quyết định gói là duy nhất như:

• Địa chỉ IP nguồn và đích.

• Địa chỉ MAC nguồn và đích.

• Kiểu dịch vụ (ToS).

• Kiểu giao thức (ví dụ: HTTP, FTP, ICMP…)



Đây chỉ là một vài trường tiêu biểu của gói được dùng để thiết lập luồng. Một switch được cấu hình để hỗ trợ các luồng đơn như địa chỉ IP đến địa chỉ IP, hoặc switch có thể hỗ trợ các luồng phức tạp với thông tin port và giao thức.

Tóm lại, ta sử dụng MLS để cho phép switch chuyển tiếp gói đầu tiên trong luồng đến router và sau đó học trên các gói còn lại trong luồng để router không cần định tuyến cho nó nữa. Trong hình 4.1, switch tạo ra VLAN cần thiết và thay đổi địa chỉ MAC đích trong các gói tiếp theo.

Trong thực tế, MLS có khuynh hướng làm việc tốt hơn khi luồng gói khá lớn. Nếu một user duyệt intranet của công ty thì họ phải được lấy thông tin từ nhiều server trong nhiều khu vực khác nhau. Nếu cùng một user đang download một file qua FTP, thì thật dễ dàng thấy được là hàng trăm mảnh đến từ cùng một nơi và đi đến cùng một nơi. Chỉ mảnh ban đầu mới cần được định tuyến, các mảnh còn lại chỉ cần chuyển mạch lớp 3.

Việc sử dụng MLS cho kết quả tốt nhất khi các file được truy cập lớn hoặc khi cùng một kiểu thông tin được truy cập thường xuyên. Các user kiểm tra email của họ mỗi phút cũng là một ví dụ ứng dụng tạo ra các gói nhỏ nhưng thường xuyên.

4.2 Các yêu cầu của MLS

Một vài Catalyst switch yêu cầu bổ sung phần cứng để sử dụng thông tin header của gói. Trong khi Catalyst 3550 và 4000 với card Supervisor IV có bộ xử lý on-boad, thì Catalyst 6000 sử dụng card tính năng chuyển mạch đa lớp – MSFC (Multilayer Switch Feature Card) và card tính năng chính sách – PFC (Policy Feature Card) để thu thập và lưu trữ thông tin header (ta nhớ lại là Catalyst 5000 sử dụng card NetFlow Feature để thu thập và lưu trữ thông tin).

MLS đòi hỏi ba thành phần để thực hiện các chức năng trong bất cứ mạng nào:

• Bộ xử lý định tuyến MLS (Multilayer Switching Route Processor – MLS-RP): là một router được gắn trực tiếp, đây là router bên ngoài có khả năng MLS hoặc là một RSM đã cài đặt trong switch.

• Phương tiện chuyển mạch của MLS (Multilayer Switching Switch Engine – MLS-SE): là một switch có khả năng MLS (Catalyst 6000 với MSFC và PFC).

• Giao thức MLSP (Multilayer Switching Protocol – MLSP): là một giao thức chạy trên router và cho phép nó truyền thông với MLS-SE đối với topolpgy mạng và các thay đổi security.

4.3 Các thủ tục của MLS (MLS Procedure)

Ta đã biết về ba thành phần của MLS (đó là MLS-RP, MLS-SE, MLSP), điều này rất quan trọng để hiểu làm thế nào ba thành phần này làm việc với nhau để cho phép chuyển mạch lớp 3. Bây giờ hãy xem một ví dụ về topology mạng đơn giản mà hỗ trợ MLS.

Hình 4.2 biểu diễn kiến trúc đơn giản gồm có một router và một switch với 2 host được kết nối trên switch. Các host này nằm ở hai VLAN khác nhau, yêu cầu sự can thiệp của router để định tuyến các gói. Chú ý rằng hình mô tả interface chính với hai interface con là FE0/0.2 và FE0/0.3. Topology hiện tại đòi hỏi tất cả các gói gửi từ client trên VLAN 3 đến client trên VLAN 2 đều được định tuyến bởi router bên ngoài. Nếu số lượng gói lớn, thì điều này tạo ra nhiều việc không cần thiết.



MLS thực hiện bốn bước để thiết lập chức năng chuyển mạch lớp 3 như sau:

• Phát hiện giao thức MLSP: MLS-SE sử dụng MLSP để gửi các gói “hello” ra tất cả các interface để phát hiện bất kỳ thiết bị MLS-SE nào và thiết lập quan hệ lân cận MLS-RP/MLS-SE.

• Nhận dạng các gói đại diện (Candidate): PFC xem xét các gói vào, vì nó chuyển tiếp các gói đến router nên nó tạo các mục lưu trữ chúng, do đó gói này đại diện cho một luồng. Một gói đại diện sẽ được trả về từ router.

• Nhận dạng các gói enable: card PFC xem xét các gói đến từ MLS-RP và cố gắng ánh xạ chúng với các mục chứa gói đại diện. Nếu thực hiện ánh xạ thì các gói này sẽ được gắn thẻ và mục chuyển tiếp được tạo trong bảng CAM (Content Addressable Memory). Shortcut này nói với switch làm thế nào để nhân bản hiệu quả của việc định tuyến. Mọi thứ mà router làm trên gói, bây giờ switch đều có thể làm được.

• Chuyển mạch lớp 3 của các gói enable trong cùng một luồng: các gói vào được so sánh với các mục trong bảng CAM. Nếu các gói ánh xạ đúng tiêu chuẩn luồng, thì switch sẽ giữ thông tin shortcut và thay đổi cần thiết rồi chuyển tiếp trực tiếp đến port thích hợp đối với luồng.

4.3.1 Phát hiện MLSP

Switch cần router để thực hiện tra cứu bảng định tuyến ban đầu và ghi lại các gói. Để làm được điều này thì đòi hỏi việc thiết lập MLS giữa switch và router bằng cách sử dụng giao thức MLSP.

Ban đầu, router hoặc MLS-RP gửi các gói “hello” chứa tất cả địa chỉ MAC và các VLAN được cấu hình để sử dụng trên router. Các message này được gửi 15s một lần đến địa chỉ multicast lớp 2 (01-00-0C-DD-DD-DD). Đây là địa chỉ cho tiến trình CGMP (Cisco Group Management Protocol), đây là giao thức router dùng để gửi các lệnh multicast đến các Catalyst switch. Thiết bị MLS-SE sẽ nhận các gói “hello” trên mạng.

Khi một MLS-SE nhận thông tin, nó tạo một mục trong bảng CAM cho tất cả các thiết bị MLS-SE trong mạng lớp 2. Lớp 2 được nói đến vì thiết bị MLS-SE chỉ liên quan đến các thiết bị kết nối trực tiếp với thiết bị lớp 2, như các switch. Hình 4.3 mô tả quá trình phát hiện giao thức MLSP.



Thông tin được lưu trữ trong bảng CAM sau khi nhận một gói “hello” của giao thức MLSP là ID được gọi là XTAG. XTAG là một định danh duy nhất mà các switch MLS sử dụng để giữ các đường đi của các MLS router trong mạng. Tất cả địa chỉ MAC và các VLAN sử dụng trong MLS-RP được kết hợp với giá trị XTAG trong bảng CAM.

MLS Cache:

Sau khi các MLS-SE thiết lập các mục CAM cho MLS-RP, thì switch sẵn sàng bắt đầu quét các gói và tạo các mục lưu trữ. Đây là bước nhận dạng các gói đại điện và các gói enable.

Các mục lưu trữ được tạo để chứa dữ liệu luồng. Luồng dữ liệu cho phép MLS-SE ghi lại các gói với địa chỉ MAC nguồn và đích mới, sau đó chuyển tiếp các gói. Tất cả điều này được thực hiện mà không phải gửi các gói đến router để tìm một con đường và được ghi lại.

Việc ghi vào mục lưu trữ có 2 bước sau:

• Tiếp nhận các gói đại diện.

• Tiếp nhận các gói enable.

Sau khi các mục này được tạo ra trong MLS-SE, thì các gói enable được ánh xạ với mục của các luồng đã tồn tại và được giải quyết phù hợp.

4.3.2 Nhận dạng các gói đại diện

Tiến trình nhận dạng các gói đại diện khá đơn giản. Vì nó đã được thiết lập rồi, nên MLS-SE có mục địa chỉ MAC của bất kỳ hoặc tất cả các interface đến từ MLS-RP. MLS-SE sẽ sử dụng thông tin này để bắt đầu ánh xạ các frame đến bất kỳ địa chỉ MAC nào liên quan đến MLS-RP.

Một frame đến sẽ được ánh xạ dựa vào một trong 3 tiêu chuẩn sau:

• Không đi đến địa chỉ MAC của MLS-RP.

• Đi đến địa chỉ MAC của MLS-RP, và cache đã lưu trữ luồng này rồi.

• Đi đến địa chỉ MAC của MLS-RP, nhưng cache chưa lưu trữ luồng này.

Hoạt động khác nhau sẽ được thực hiện bởi MLS-SE, phụ thuộc vào tiêu chuẩn ánh xạ. Đích đến không phải là MLS-RP



Nếu frame không đến địa chỉ MAC của MLS-RP, thì không tạo mục nào trong cache. Nếu frame đến địa chỉ MAC có trong bảng CAM, thì frame được chuyển mạch lớp 2. Hình 4.4 mô tả các sự kiện xảy ra của gói đại diện.

Đã tồn tại mục lưu trữ

Khi các frame qua switch đến địa chỉ MAC của MLS-RP, thì switch sẽ kiểm tra xem cache đã lưu mục thuộc tính của gói để thực hiện ánh xạ hay chưa?

Mỗi frame có các thuộc tính đặc trưng, cho phép MLS-SE phân loại gói vào trong luồng. Tất cả các gói từ địa IP này và đến cùng địa chỉ IP khác thì switch sẽ đặt nó vào cùng một luồng. MLS-SE sử dụng các thuộc tính trong mục lưu trữ của cache để ánh xạ thông tin header trong các gói sau này. Nếu các gói đến có cùng thuộc tính với mục lưu trữ luồng đã được thiết lập, thì gói chuyển mạch lớp 3.

Chưa tồn tại mục lưu trữ

Khi một frame định trước cho địa chỉ MAC của MLS-RP vào switch, thì nó sẽ được so sánh nếu không tìm thấy mục lưu trữ luồng, thì một mục lưu trữ mới được tạo. Tại thời điểm này, gói được gán thẻ là gói đại diện.

Sau khi mục lưu trữ được tạo, gói được chuyển tiếp đến router (MLS_RP). Ở đây router sẽ thực hiện tìm đường đi, ghi lại header lớp 2 và gửi gói ra interface của chặng kế tiếp.

Trạng thái lưu trữ của MLS chỉ mang tính cục bộ trong phạm vi này. Bởi vì MLS-SE chỉ thấy các gói đến và chuyển tiếp nó đến router nên cache sẽ không hoàn thành việc lưu trữ thuộc tính của luồng. Sau khi gói từ router đi ngược trở lại thì cache mới hoàn thành việc lưu trữ thông tin của luồng.

4.3.3 Nhận dạng các gói enable

Gói enable là gói hoàn thành cache lưu trữ luồng. MLS Switch sẽ xem xét tất cả các frame đến địa chỉ MAC của MLS router và các gói đến từ MLS router với hy vọng lưu trữ thông tin ánh xạ của gói đại diện. Nếu ánh xạ thành công, thì gói được gán thẻ là gói enable, và các yếu tố còn lại của cache lưu trữ luồng sẽ được hoàn thành trong bảng CAM. Hình 4.5 mô tả các gói enable.



Sự ánh xạ dựa trên các tiêu chuẩn sau:

• Địa chỉ MAC nguồn từ một MLS-RP.

• Địa chỉ IP đích được ánh xạ với địa chỉ IP đích của gói đại diện.

• Địa chỉ MAC nguồn kết hợp với giá trị XTAG thành địa chỉ MAC đích của gói đại diện.

Nếu thỏa cả ba tiêu chuẩn này, thì MLS-SE sẽ hoàn thành mục lưu trữ trong cache.

Sự thay đổi frame

Điều quan trọng là phải tìm hiểu chuyển mạch shortcut (đường tắt) xảy ra ở lớp 3. Các frame lớp 2 là một phần của cuộc nói chuyện nhưng đến sau frame đầu tiên được ghi lại bởi switch. Thông thường, một router (hay thiết bị lớp 3) sẽ ghi lại frame với thông tin cần thiết. Việc ghi lại gồm có sự thay đổi VLAN, địa chỉ MAC nguồn và đích, và tổng kiểm tra (checksum). MLS-SE cũng sửa đổi TTL, TOS và sự đóng gói (encapsulation).

Vì các gói này không được gửi đến router, nên MLS-SE phải thực hiện chức năng ghi lại. Khi switch thay đổi địa chỉ nguồn và đích, thì MLS-SE sử dụng địa chỉ MAC của MLS-RP là địa chỉ nguồn, và thay địa chỉ MAC đích là địa chỉ MAC của host được kết nối trực tiếp. Sau đó, frame đến host đích cũng giống như nó đến router. Hình 4.6 mô tả sự khác nhau giữa frame đến và frame đi.



4.3.4 Các gói theo sau

Sau khi các gói đại diện (candidate) và gói enable được nhận dạng, và cache đã thiết lập được mục lưu trữ cho luồng đó, thì các gói theo sau được chuyển tiếp bởi switch đến đích mà không cần phải sử dụng router. MLS-SE có khả năng ghi lại các frame, sau đó thay đổi các trường cần thiết trong frame rồi chuyển trực tiếp frame đến host đích.

MLS-SE lưu trữ thông tin cần thiết như địa chỉ MAC và IP của nguồn và đích, và địa chỉ MAC của MLS-RP. MLS-SE sẽ sử dụng thông tin này để nhận dạng các gói theo sau của luồng, ghi lại frame và chuyển tiếp các gói đến đích thích hợp.

4.4 Sử dụng các topology mạng cho phép MLS

Một vài topology hỗ trợ MLS. Theo bản chất của MLS, chỉ topology hệ thống chắc chắn mới cho phép các gói đại diện và enable đi qua router và switch đúng cách. Nếu cả hai gói đại diện và enable không được nhận dạng, thì không thể hoàn thành mục lưu trữ luồng. Các topology cho phép MLS bao gồm:

• Router on a stick: gồm có một router (internal RSM/MSFC router hoặc external router) và một switch. Router có một kết nối vào mạng, nó được gọi là stick. (xem hình 4.7)



• Nhiều switch và một router: nó chỉ được chấp nhận nếu chỉ có một switch kết nối đến router và các switch được kết theo một ISL trunk.

4.5 CEF (Cisco Express Forwarding) chuyển tiếp với mục đích riêng biệt của Cisco.

Catalyst 3550 và 4000 thỉnh thoảng được mô tả như là MLS. Thật vậy, 3550 được quảng bá để hỗ trợ chuyển mạch đa lớp dựa trên CEF. CEF không giống như sự thực thi MLS khác, nó không lưu trữ như trước đây nữa. Cache đưa ra một số cần thiết để đánh địa chỉ. Ví dụ như, một cache đúng trong bao lâu? cache cho phép lớn thêm bao nhiêu? Và làm thế nào ta giải quyết sự thay đổi topology định tuyến mà không dựa vào mục lưu trữ.

Để sẵn sàng thấy sự tiến triển từ định tuyến đến chuyển mạch lớp 3, hãy xem xét quá trình chuyển mạch, chuyển mạch nhanh, và chuyển mạch trong điều kiện tốt nhất.

4.5.1 Quá trình chuyển mạch (Process Switching)

Khi các gói được chuyển mạch, thì gói được chuyển tiếp qua cấu trúc bên trong đến bộ xử lý định tuyến. Đây là “trái tim” của router và là nơi bận rộn, thường truy cập theo hai bus, đó là Cbus và bus hệ thống. Các gói đi khắp router và được chuyển tiếp. Bộ xử lý định tuyến sẽ chuyển tiếp qua interface và ghi lại thông tin MAC header. Tuy có độ trễ đáng kể, nhưng cũng có một vài



thuận lợi như nếu bảng định tuyến giữ nhiều đường đi đến đích với chi phí như nhau, thì việc cân bằng tải được thực hiện.

Process Switching được biểu diễn trong hình 4.9, sơ đồ này mô tả bản chất của Process Switching, một gói phải chuyển qua bộ xử lý định tuyến của router, và kết quả là chuyển tiếp chậm.

4.5.2 Chuyển mạch nhanh (Fast Switching)

Giống như Process Switching, Fast Switching có sẵn trên nền Cisco, kể cả Catalyst 2500. Fast Switching sử dụng cache trên bộ xử lý định tuyến để bảo quản thông tin chuyển tiếp. Gói đầu tiên trong một cuộc nói chuyện được chuyển đến bộ xử lý định tuyến, ánh xạ dựa vào đường đi, và xử lý chuyển mạch. Cache của Fast Switching được cập nhật và các gói theo sau chỉ ánh xạ thông tin header vào trong cache. Kết quả là cuộc nói chuyện được chuyển tiếp mà không qua bộ xử lý định tuyến.

Thông tin chuyển tiếp được lưu trữ trong một cây nhị phân, cho phép quyết định bit-by-bit để thực hiện đối với chặng kế tiếp. Cây nhị phân này đòi hỏi 32 mức so sánh để ánh xạ hoàn toàn một đường đi, và được xem như là một kỹ thuật truy tìm rất hiệu quả. Các mục trong cache của Fast Switching được tạo khi bắt đầu một cuộc nói chuyện, và vì vậy phải chịu đựng vấn đề tồn tại của cache là làm thế nào cập nhật thông tin khác, như ARP cache, ảnh hưởng đến thông tin lưu trữ? Và câu trả lời là nó không cho phép thay đổi trong ARP cache mà nó chỉ bỏ cache khi quá giới hạn thời gian và thông tin không còn đúng nữa. Trong trường hợp này, cache phải được tạo lại. Vấn đề thứ 2 với Fast Switching là cache chỉ xây dựng một con đường đến đích, vì vậy việc chia tai phải dựa trên cuộc nói chuyện với một mục lưu trữ cho mỗi cuộc nói chuyện.

Tuy nhiên, Fast Switching có lẽ nhanh hơn gấp 10 lần so với tiến trình chuyển mạch và được sử dụng rộng rãi.

Fast Switching Tree được biểu diễn trong hình 4.10. Mỗi bit trong địa chỉ đích được so sánh với bảng và vì vì chỉ có 2 khả năng là 1 hoặc 0, nên một ánh xạ thành công với một con đường.



4.5.3 Chuyển mạch trong điều kiện tốt nhất (Optimum Switching)

Optimum Switching cũng dựa trên việc lưu trữ, nhưng có một sự khác nhau quan trọng với Fast Switching. Điểm khác nhau đầu tiên là hoạt động của cây. Thay vì dùng cây nhị phân với mỗi mức là một so sánh, thì nó sử dụng 256 cách (multi-way tree). Mỗi mức cho phép chọn một octet trong địa chỉ đích, kết quả là tìm được bất kỳ địa chỉ đích nào.

Optimum Switching rất nhanh, nhưng vẫn chịu đựng cùng vấn đề của cache và vì vậy cần được có khoảng thời gian để ngắt các luồng optimum trong khi đó cache được xây dựng lại từ các yêu cầu đến bộ xử lý định tuyến lần nữa.

Cây của Optimum Switching được biểu diễn ở hình 4.11. Mỗi octet trong địa chỉ chấm thập phân 32 bit được ánh xạ riêng lẻ, và kết quả là quá trình truy tìm nhanh hơn.

4.5.4 Quá trình chuyển tiếp CEF (CEF Forwarding Process)

CEF duy trì 2 bảng riêng biệt nhưng có quan hệ với nhau, đó là bảng chuyển tiếp (forwading table) và bảng kế tiếp (adjacency table). Bảng chuyển tiếp chứa thông tin định tuyến và bảng kế tiếp chứa địa chỉ chặng kế tiếp (lớp 2). CEF sử dụng một trie thay cho cây. Trie là một con trỏ sử dụng với cấu trúc dữ liệu nhưng trên thức tế không chứa dữ liệu. Nó cho phép dữ liệu được lưu trữ thích hợp nhất với kiểu dữ liệu được lưu trữ, và quá trình truy tìm được tách riêng ra từ dữ liệu.



Sự tách riêng trong cấu trúc dữ liệu có nghĩa là quá trình truy tìm được đệ quy, cho phép các con đường đi khác nhau được lựa chọn cho các gói kế tiếp, vì vậy chia tải được các gói enable. Ngoài ra, nếu thông tin trong cache thay đổi, vì việc tuy tìm được thực hiện riêng biệt mỗi lần, nên hầu hết thông tin up-to-date luôn được sử dụng.

Quá trình chuyển tiếp CEF được biểu diễn trong hình 12. Sơ đồ này mô tả việc truy tìm nhanh hơn vì cấu trúc dữ liệu 256-way này là hiệu quả nhất của tất cả các phương pháp truy tìm, và được kết hợp trực tiếp với bảng kế tiếp.

Kết quả của quá trình chuyển tiếp là thông lượng cao hơn nhiều. Sự tăng thêm tốc độ do cấu trúc riêng bên trong switch hoặc router, bao gồm việc sử dụng tăng thêm ASIC (Application-Specific Integrated Circuit), các bus chuyên dụng và sự sắp xếp bộ nhớ. Nhưng nó cũng đúng với các gói không cần chuyển tiếp qua các bus bên internal đến bộ xử lý định tuyến nữa. Ngoài ra còn có nhiều lợi ích khác từ CEF như khả năng hỗ trợ chia tải mà không thể đạt được khi sử dụng mục lưu trữ trong Fast Switching và Optimum Switching.


Trang 63

Chương 5: KI ẾN TRÚC AVVID C ỦA CISCO

5.1 Giới thi ệu

Suốt các năm 1990, hệ thống Cisco đã một sự ảnh hưởng to lớn đến các công ty cũng như các cá nhân làm kinh doanh. Từ sự phát hành các sản phẩm router đến việc thiết kế và trình bày toàn bộ dòng sản phẩm Catalyst Switch, Cisco đã phát triển một hệ thống truyền lưu lượng TCP/IP – một hệ thống phổ biến nhất là con đường dẫn đến World-Wide-Web hiện nay. Cuối các năm 1990 đến bây giờ - thế kỷ 21, Cisco đã cho ra các thiết bị TCP/IP ở mức kế tiếp để có thể truyền voice (tiếng nói) trên TCP/IP. Sáng kiến mới này đã được thị trường tiêu thụ biết đến, đó là AVVID (Architecture of Voice, Video and Intergrated Data).

AVVID là một hệ thống Cisco cũng khá đơn giản, đó là một kiến trúc của âm thanh, video, và tích hợp dữ liệu được tạo thành từ phần cứng và phần mềm để truyền các loại lưu lượng trên cùng một mạng máy tính vật lý hay logic như:

• Dữ liệu máy tính của công ty như email, lưu lượng world-wide-web, và truyền file

• Voice như gọi điện thoại • Video như một đoạn video về hội nghị truyền hình, hay một phiên huấn luyện…

Trước đây khi thiết kế mạng được chia thành ba loại khác nhau:

• FrameRelay hoặc Point-to-Point WAN cho việc truyền lưu lượng dữ liệu.

• Các đường truyền thoại số hoặc analog.

• ISDN (Intergrated Services Digital Network) là kiến trúc cho đoạn video của hội nghị. Vì vậy chi phí phần cứng đòi hỏi khá cao bao gồm các chi phí cho mạch điện, sự hỗ trợ, duy trì riêng cho từng mạng. Cisco đã phát triển giải pháp AVVID còn gọi là đa kiến trúc (Miltiple Infrastruture), kết nối tất cả kiến trúc thành một mạng TCP/IP tốc độ cao. Với phương pháp này, chi phí hỗ trợ và duy trì của công ty cũng như chi phí phần cứng được giảm đi rất nhiều.

5.2 Tổng quan về một ki ến trúc AVVID

Khi tìm hiểu về kiến trúc AVVID, ta sẽ bắt gặp các thành phần tạo thành nên toàn bộ giải pháp trong phần cứng và phần mềm. Các phần cứng và phần mềm này hoạt động độc lập với nhau, nhưng nó vẫn là một phần của kiến trúc AVVID.

5.2.1 Phần cứng

Phần cứng của kiến trúc AVVID được tạo thành từ nhiều phần riêng biệt như dòng sản phẩm router, các Catalyst switch, IP Telephone Phone, IP Telephone Call Manager Server, voice Trunk, Gateway, cũng như các module được tích hợp trong các thiết bị này. Khi xây dựng một kiến trúc AVVID, ta cần thiết lập các phần cứng này. Sau đây, ta sẽ xem lại một số phần cứng được sử dụng để xây dựng một kiến trúc AVVID

CiscoRouter:

Suốt các năm 1990, Cisco router là thị phần trong thương trường router TCP/IP. Sau đó Cisco tiếp tục cải tiến và bổ sung tính năng để phát triển công nghệ router. Ngày nay, router của Cisco



có thể truyền dữ liệu nhạy cảm về thời gian như voice trên mạng TCP/IP với kết quả chấp nhận được.

Các dòng sản phẩm router trong kiến trúc AVVID như series 1750, 2600, 3600, 7100, 7200, 7500 tất cả đều hỗ trợ tính rộng lớn, đa dạng của voice như voice trên công nghệ IP và kết nối router truyền thống PBX .

Cisco Catalyst Switch

Dòng sản phẩm Cisco Catalyst Switch gần đây đã được phát triển để hỗ trợ các chức năng như:

• Dữ liệu tốc độ cao.

• Tính đa dạng, rộng lớn của voice gateway, cũng như voice trunk.

• Voice liên quan đến chất lượng dịch vụ QoS.

• Cung cấp nguồn điện bên trong đến máy thu phát cầm tay IP Telephone trên chuẩn Cat-5.

Cisco IP Telephone

Hiện nay, hệ thống Cisco đang chế tạo và gắn Ethernet vào máy thu phát TCP/IP Phone, máy này có nhiệm vụ chuyển voice thành các gói TCP/IP và chạy trên Cat-5. Có nhiều mô hình máy thu phát Phone để lựa chọn, từ một line trong phòng chờ máy thu phát đến 6 line thực thi máy thu phát âm thanh. Hầu hết sự bổ sung vào các dòng sản phẩm IP Telephone Phone đều là phone dựa trên IP.

Cisco Call Manager Server (MCS 7800)

Phần quan trọng của IP Telephone là phần mềm quản lý gọi của Cisco (Call Manager Software), nó thay thế PBX truyền thống và chạy trên phần cứng MCS Server của Cisco. Hiện nay phần mềm Call Manager đang chạy với phiên bản 3.x, được cải tiến từ phiên bản ban đầu là 2.0. Call Manager Server chạy Windowns 2000 trên nền được Cisco chứng nhận và cung cấp lượng cuộc gọi lớn và hệ thông điện thoại dự phòng.

Gateway Analog và Digital

Để cung cấp kết nối analog hay digaital đến PSTN, Cisco đã phát triển thiết bị gateway analog để hỗ trợ một số interface analog và digital cho PSTN truyền thống. Hiện nay đã có gateway analog VG200 đứng một mình (stand-alone) cũng như nhiều module hoạt động bên trong MCS Server và một vài Catalyst switch.

Voice trunk

Để giao tiếp với công nghệ PBX truyền thống, Cisco đã có một số đường Digital T1 và các trunk chứa interface tốc độ chính (Primary Rate Interface - PRI) từ các module của router và switch đến module riếng được tích hợp bên trong Call Manager Server (MCS). Việc chọn lựa một số module phụ thuộc vào tín hiệu chuẩn T1, phân đoạn T1 (fractional T1), hoặc hỗ trợ PRI, nhưng dù bất kỳ lựa chọn nào, Cisco cũng có giải pháp phù hợp với mạng đó.

Voice module

Như đã đề cập trước đây, từ khi Cisco thông qua các phương pháp modular trong dòng sản phẩm router và switch của họ, thì có nhiều mô hình voice module để lựa chọn. Nhiều module FXS (Foreign Exchange Station), FXO (Foreign Exchange Office), truyền và nhận E&M (Ear &



Mouth) được sử dụng trong router hoặc Catalyst switch để giao tiếp với các thiết bị điện thoại truyền thống.

5.2.2 Phần mềm

Bên trong danh mục phần mềm AVVID, có nhiều ứng dụng được Cisco đề cập đến như thương mại điện tử (E-Commerce), chăm sóc khách hàng (Customer Care), tối ưu lực lượng lao động (Worfore Optimization), đào tạo từ xa (E-Learning), và xuất bản trên mạng (E-Publishing). Trong phần này ta sẽ giới thiệu các sản phẩm phần mềm hiện nay như ứng dụng quản lý cuộc gọi của Cisco (Call Manager), Soft Phone, Web Attendant, và Active Voice.

Call Manager 3.0

Call Manager là phần mềm cung cấp chức năng bên trong mạng IP Telephone như thiết lập và ngắt cuộc gọi cũng như định tuyền cuộc gọi trong mạng. Hiện nay, ứng dụng Call Manager chạy trên Server MCS của Cisco và được nhóm lại thành nhiều Server MCS để cung cấp lượng cuộc gọi cao hơn hoặc thêm vào chức năng dự phòng.

Soft Phone

Ứng dụng Soft Phone được phát triển để cung cấp cuộc gọi cho Client, ứng dụng này được cài đặt trên bất kỳ PC nào kết nối vào mạng IP Telephone và đầu cuối user cần máy thu phát (header-phone) để nghe và nói. Client có thể nhận và gọi IP Telephone trên kiến trục mạng Ethernet.

Web Attendant

Web Attendant là ứng dụng chạy chung với Call Manager, là một chương trình dựa trên GUI/Web để bắt và truyền cuộc gọi. Web Attendant chạy trên nền PC, và khi một cuộc gọi được nhận và cần định tuyền lại, thì ta sẽ sử dụng phương pháp “click and drag” để xử lý cuộc gọi thành công.

Active Voice

Actice Voice cung cấp giải pháp thông điệp thoại và thông điệp hợp nhất (sự tương tác với fax và email) để thực hiện các chức năng trong mạng IP. Sản phẩm này cùng với phần cứng IP Telephone và ứng dụng Call Manager sẽ đảm bảo hoàn thành quá trình gọi, truyền thông thông điệp thoại và thông điệp hợp nhất email và fax.

5.3 Ki ến trúc hội tụ

Khi thảo luận về AVVID, điều quan trọng là ta phải hiểu khái niệm mạng hội tụ (converged network), nó cũng quan trọng để hiểu làm thế nào một mạng cũ chuyển sang mạng mới AVVID. Khi thực thi giải pháp AVVID, hầu hết các doanh nghiệp hoặc công ty đều xác định rõ tính khả thi dựa trên tài nguyên và chi phí.

Cisco đã phát triển một phương pháp gồm có 3 pha để chuyển sang mạng thực thi kiến trúc AVVID như sau:

5.3.1 Pha 1 – Hệ thống Lagacy Voice với lợi ích Toll Bypass

Pha đầu tiên khi chuyển một mạng sang kiến trúc AVVID là tập trung vào mạng dữ liệu. Trong pha này, mạng voice đã tồn tại sẽ giữ nguyên vị trí, nhưng ta sẽ tận dụng kiến trúc dữ liệu cho lợi ích như Toll Bypass. Hình 1.1 là sơ đồ kiến trúc mạng đã tồn tại không sử dụng công nghệ AVVID. M ạng có hai site sử dụng hệ thống sở hữu voice cũng như voice email, có các



trunk trong mạng điện thoại chuyển mạch công cộng PSTN cho voice và video (BRI), và T1 giữa các vị trí lưu lượng dữ liệu.

Pha hội tụ đầu tiên được biểu diễn ở hình 1.2, bước đầu tiên là ta phải xem xét lợi ích của Voice và Video trên IP. Nếu hai vị trí sử dụng PSTN với khoảng cách xa thì lợi ích này là hợp lý, nó được thực thi bởi gateway trong Cisco router hoặc switch tại biên của mạng WAN. Ta cũng cần chuyển mạng video thường sử dụng H.320 sang H.323. Việc chuyển đổi này được thực thi bởi thiết bị được gọi là Video Terminal Adapter – VTA ở biên của mạng video đã tồn tại, và hệ thống video này sẽ tận dụng mạng Ethernet thay vì sử dụng kiến trúc ISDN.



5.3.2 Pha 2 – thực thi song song hệ thống Lagacy Voice và IP Telephone

Pha thứ 2 được biểu diễn trong hình 1.4, thực thi mạng IP Telephone song song với kiến trúc đã tồn tại. Điều này sẽ được thực hiện bằng cách thêm vào Call Manager Server, IP Telephone, và IP Telephone gateway ở mỗi vị trí, khi đó các module gateway/trunk sẽ được hiển thị trong switch Core lớp 3. Pha này cho phép ta sử dụng IP Telephone và Call Manager Server thực hiện các thức năng và duy trì mạng Lagacy Tephone cũ với PBX (Private Branch Exchange).

Pha này yêu cũng yêu cầu hai hệ thống voice mail riêng biệt, một Active Voice cho hệ thống IP Telephone và một hệ thống Voice Mail cho Telephone cũ.



5.3.3 Pha ba – Kiến trúc hội tụ

Pha cuối cùng là gỡ bỏ hệ thống Legacy Voice và sử dụng kiến trúc IP Telephone 100%. Trong hình 1.4 có switch Core lớp 3 với truy cập PSTN analog hoặc digital, và Cisco Call Manager Server cũng như IP Phone Handset và nền IP. Mạng video cũng được chuyển từ H.320 sang H.323 trên Ethernet qua Video Terminal Adapter – VTA.


Trang 69

Phụ lục: HOẠT ĐỘNG CHUYỂN MẠCH

1. Hoạt động chuyển mạch lớp 2

Trong các mạng Ethernet sử dụng hub, nhiều host được kết nối đến một miền đụng độ và một miền broadcast, và môi trường truyền hoạt động ở lớp 1. Mỗi host phải chia sẻ băng thông với các host khác được kết nối đến. Khi có nhiều hơn một host có nhu cầu truyền thì xảy ra đụng độ, và các host phải ngưng truyền và chờ trong khoảng thời gian rồi mới được truyền lại. Điều này làm các host hoạt động trong chế độ bán song công (half-duplex) bởi vì tại một thời điểm hoặc nó lắng nghe, hoặc nó truyền. Khi một frame bị lỗi thì mọi host đều nghe thấy nó. Ethernet Switch khắc phục được hạn chế này trong vài cách sau:

• Miền đụng độ được giới hạn, trên mỗi port của switch, miền đụng độ bao gồm chính port đó và thiết bị kết nối trực tiếp vào port đó (có thể là một host hoặc một hub).

• Các kết nối có thể hoạt động ở chế độ song công hoàn toàn (full-duplex) vì không có sự tranh chấp đường truyền. Mỗi host có thể vừa truyền, vừa lắng nghe tại một thời điểm.

• Băng thông cũng không bị chia sẻ. • Các frame lỗi không được truyền, switch sẽ kiểm tra các frame nhận được trên mỗi port,

và chỉ có frame tốt mới được chuyển tiếp. Như vậy switch hoạt động theo kiểu lưu trữ là chuyển tiếp, nghĩa là lưu lại để kiểm tra và sau đó mới chuyển tiếp.

• Ta cũng có thể giới hạn được lưu lượng broadcast ở một ngưỡng nào đó.

• Đây là khả năng khác của hoạt động lọc thông minh và chuyển tiếp.

1.1 Trong suốt tính cầu nối

Switch được gọi là multi-bridge, mỗi port sở hữu một đoạn mạng LAN, riêng biệt với các port khác. Việc chuyển tiếp frame dựa vào địa chỉ MAC chứa trong mỗi frame, switch không thể chuyển các fraem mà không biết được địa chỉ đích. Hình 2.1 biểu diễn sự phát triển từ bridge 2 port, lên bridge nhiều port và sau đó là switch.



Toàn bộ quá trình chuyển tiếp các frame sẽ được thực hiện sau biết được địa chỉ MAC nào kết nối đến port nào của switch. Switch biết được vị trí rõ ràng của các host hoặc nó học các thông tin này. Ta có thể cấu hình địa chỉ MAC khắp interface của switch, nhưng việc điều khiển khi có nhiều trạm nối hoặc di chuyển trong mạng thì nhanh.

Để học một cách tự động về các vị trí của trạm, một switch sẽ lắng nghe các frame vào và giữ thông tin địa chỉ trong một bảng. Vì frame được nhận trên một port, nên switch sẽ kiểm tra địa chỉ MAC. Nếu địa chỉ đó không có trong bảng, thì địa chỉ MAC, số port, và VLAN trên frame sẽ được ghi vào bảng. Việc học địa chỉ từ các gói vào thì dễ dàng và dễ hiểu.

Các frame vào cũng có địa chỉ MAC đích, một lần nữa, switch sẽ tìm địa chỉ này trong bảng của nó, hi vọng tìm thấy số port và VLAN. Nếu nó được tìm thấy,thì frame sẽ được chuyển tiếp



trên port đó. Ngược lại, frame sẽ được chuyển tiếp theo kiểu "nổ lực tối đa" (best effort) bằng cách truyền qua tất cả các port thuộc về VLAN nguồn. Điều này được gọi là tràn unicast không được biết (Unknown Unicast Flooding) .Hình 2.2 mô tả quá trình này, và chỉ sử dụng một VLAN để đơn giản hóa.

Một switch luôn luôn lắng nghe các gói vào trên mỗi port của nó để học địa chỉ MAC nguồn. Tuy nhiên, quá trình học chỉ được cho phép khi thuật toán Spanning Tree Protocol (STP) quyết định port thường được sử dụng đáng tin cậy. STP chỉ là khái niệm duy trì mạng bị lặp, giúp các frame không bị chuyển tiếp một cách đệ quy.

Các frame chứa địa chỉ MAC đích là broadcast hay multicast cũng bị tràn vì các địa chỉ đích này không được biết. Switch đã xác định từ trước các vị trí multicast, nên việc tràn này sẽ thực hiện bằng cách mặc định.

1.2 Quá trình một frame đi trong mạng switch lớp

Ta đã biết về các frame chuyển qua một switch lớp 2 như thế nào, điều này sẽ giúp ta cấu hình switch cho các chức năng phức tạp. Hình 2.3 biểu diễn một Catalyst switch lớp 2 và quá trình quyết định chuyển tiếp mỗi frame.



Khi một frame tới một port của switch, nó được đặt vào một hàng đợi vào của port. Hàng đợi này chứa các frame được chuyển tiếp, mỗi hàng đợi có độ ưu tiên và mức dịch vụ khác nhau. Sau đó port làm cho phù hợp để các frame quan trọng đựơc xử lý và chuyển tiếp trước các frame không quan trọng.

Vì hàng được phục vụ và frame đưa vào đó, nên switch không chỉ tính toán chuyển tiếp frame đi đâu, mà còn chuyển tiếp nó như thế nào. Có hai bước giải quyết cơ bản là :thứ nhất là tìm port vào, và thứ hai liên quan đến cách chuyển tiếp. Tất cả điều này xảy ra một lúc vì các phần cứng chuyển mạch độc lập với nhau và được mô tả như sau:

• Bảng chuyển tiếp lớp 2: địa chỉ MAC đích của frame được sử dụng như là một khóa trong bảng bộ nhớ nội dung địa chỉ CAM (Content Addressable Memory) hoặc bảng địa chỉ. Nếu tìm thấy địa chỉ, thì port ra và định danh VLAN (VLAN ID) thích hợp sẽ được đọc từ bảng. Ngược lại frame sẽ được tràn qua tất cả các port trong VLAN đó.

• Bảo mật danh sách điều khiển truy cập ACL (Access Control List): ACL đựơc dùng để nhận dạng frame theo địa chỉ MAC, các kiểu giao thức (đối với các frame không phải IP), địa chỉ IP, các giao thức, và số port lớp 4. Bộ nhớ địa chỉ ba bậc TCAM (Ternary Content Access Addressable Memory) chứa các ACL.

• QoS ACL: các ACL khác có thể sắp xếp các frame vào theo tham số chất lượng dịch vụ QoS, để điều khiển tốc độ luống lưu lượng, và đánh dấu tham số QoS trong frame ra. TCAM cũng được dùng để đưa ra quyết định trong bảng tìm kiếm.

Bảng CAM và TCAM sẽ được nói rõ hơn trong phần 2.3. Sau khi tìm kiếm trong bảng CAM và TCAM, frame được đặt vào trong hàng đợi trên port ra thích hợp. Hàng đợi ra xác định bằng giá trị QoS chứa trong frame hoặc đi qua cùng với frame. Giống như hàng đợi vào, hàng đợi ra được phục vụ theo tính quan trọng của thời gian, nên các frame được gửi ra ngoài mà không bị trễ do lưu lượng ra khác.

2. Hoạt động chuyển mạch đa lớp MLS (Multi-Layer Switching)



Các Catalyst switch như 3550, 4500, và 6500 cũng chuyển tiếp frame dựa trên thông tin lớp 3 và 4 chứa trong các gói. Khái niệm này được gọi là MLS. Đương nhiên là chuyển mạch lớp 2 vẫn được thực hiện tại cùng một thời điểm, vì việc đóng gói lớp cao hơn vẫn chứa trong các frame.

2.1 Các kiểu chuyển mạch đa lớp

Các Catalyst switch có hai kiểu MLS, đó là lưu trữ đương đi (route caching ) và dựa vào cấu trúc mạng (topology-based). Phần này sẽ trình bày cả hai kiểu, mặc dù kiểu thứ hai chỉ hỗ trợ cho các Catalyst switch của Cisco. Ta sẽ hiểu cả hai kiểu chuyển mạch MLS như sau:

• Route caching: yêu cầu một bộ xử lý định tuyến RP (Route Processor) và một phương tiện chuyển mạch (Switch Engine). RP phải xử lý gói đầu tiên của luồng lưu lượng để xác định đích đến, còn SE lắng nghe gói đầu tiên và thiết lập một mục trong nơi lưu trữ của MLS. SE chuyển tiếp các gói theo sau trong thuộc cùng một luồng lưu lượng dựa trên mục trong nơi lưu trữ của nó. Kiểu này còn được gọi là chuyển mạch Netflow LAN, dựa vào luồng lưu lượng hoặc yêu cầu, định tuyến một lần và chuyển mạch nhiều lần. Thậm chí nếu điều này không được sử dụng để chuyển tiếp các gói trong Catalyst switch, thì kỹ thuật này vẫn phát ra thông tin luồng lưu lượng và thống kê nó.

• Topology-based: sử dụng phần cứng chuyên dụng, thông tin định tuyến lớp 3 được xây dựng trong cơ sở dữ liệu của toàn bộ cấu trúc mạng. Cơ sở dữ liệu này là một bảng tìm kiếm hiệu quả, vì vậy các gói được chuyển tiếp với tốc độ cao. Vì cấu trúc định tuyến thay đổi theo thời gian nên cơ sở dữ liệu chứa trong phần cứng được cập nhật tự động mà không có sự bất lợi gì. Kiểu này còn gọi là Cisco Express Forwarding CEF sẽ được giới thiệu ở chương 6.

2.2 Quá trình một gói tin di chuyển trong

Con đường mà gói lớp 3 đi theo qua switch chuyển mạch đa lớp cũng tương tự như switch lớp 2, nghĩa là quyết định chuyển tiếp lớp 3 được thêm vào, ngoài ra một vài thứ bất ngờ có thể xảy ra cho gói khi chúng được chuyển tiếp.

Hình 2.4 biểu diễn một chuyển mạch đa lớp điển hình và quá trình xử lý xảy ra. Các gói đến một port của switch được đặt vào hàng đợi vào đúng như trong switch lớp 2.



Mỗi gói được đưa vào hàng đợi vào và kiểm tra địa chỉ lớp 2 và lớp 3. Bây giờ quyết định chuyển tiếp gói đi đâu dựa trên hai bảng địa chỉ, trong khi quyết định chuyển tiếp gói như thế nào vẫn dựa trên kết quả danh sách truy cập. Giống với chuyển mạch lớp 2, tất cả quyết định đa lớp này được thực hiện đồng thời trong phần cứng:

• Bảng chuyển tiếp lớp 2: địa chỉ MAC đích được để tra cứu trong bảng CAM. Nếu frame chứa một gói lớp 3 được chuyển tiếp, thì địa chỉ MAC đích là của port lớp 3 trên switch. Trong trường hợp này, kết quả bảng CAM chỉ sử dụng để quyết định frame được xử lý ở lớp 3.

• Bảng chuyển tiếp lớp 3: địa chỉ IP đích sẽ được dùng để tra cứu trong bảng FIB (Forwarding Information Base). Nếu tìm thấy thì có được địa chỉ lớp 3 của chặng kế. FIB cũng chứa địa chỉ MAC của mỗi chặng kế và port ra ( và VLAN ID), để sự tìm kiếm trong bảng không cần thiết nữa.

• Bảo mật danh sách điều khiển truy cập ACL (Access Control List): danh sách truy cập trong và ngoài được đưa vào TCAM để quyết định chuyển tiếp một gói được xác định như việc tìm kiếm một bảng.

• QoS ACL: sự phân loại, kiểm soát và đánh dấu gói tất cả được thực thi như tìm kiếm một bảng trong QoS TCAM.

Cũng như chuyển mạch lớp 2, cuối cùng gói phải được đặt vào hàng đợi ra trên port ra của switch. Tuy nhiên, trong suốt quá trình chuyển mạch đa lớp, đích chặng kế được lấy từ bảng FIB (chỉ có router mới làm được chuyện này). Địa chỉ lớp 3 nhận dạng chặng kế và tìm địa chỉ lớp 2 của nó. Chỉ địa chỉ lớp 2 mới được dùng để gửi các frame lớp 2.

Địa chỉ lớp 2 của chặng kế phải được đặt vào frame thay thế địa chỉ đích gốc và địa chỉ nguồn lớp 2 của frame là của switch đa lớp trước khi gửi nó qua chặng kế. Bất cứ router nào cũng làm được chuyện đó, giá trị thời gian sống TTL (Time-to-Live) trong lớp 3 phải trừ đi 1.



Bởi vì nội dung của gói lớp 3 (giá trị TTL) đã thay đổi, nên việc kiểm tra header lớp 3 sẽ được tính lại. Và vì cả hai nội dung lớp 2 và 3 đều thay đổi nên việc kiểm tra lớp 2 cũng được tính lại. Trong trường hợp khác, toàn bộ frame phải được ghi lại trước khi nó vào hàng đợi ra. Đây cũng là tính hiệu quả đạt được trong phần cứng.

2.3 Các trường hợp ngoại lệ của mạch đa lớp

Để chuyển tiếp các gói xử lý đồng thời được mô tả ở phần 2.2.2, các gói phải là "MLS-Ready" và đòi hỏi không thêm quyết định nào. Vì dụ CEF có thể chuyển tiếp trực tiếp hầu hết các gói IP giữa các host. Điều này xảy ra khi địa chỉ nguồn và đích (MAC và IP) đã được biết, và không có tham số IP khác được điều khiển bằng tay.

Các gói khác không thể chuyển tiếp trực tiếp bởi CEF và phải điều khiển bằng tay và việc kiểm tra nhanh được thực hiện suốt các quyết định chuyển tiếp. Nếu là một gói tốt, thì nó sẽ được gắn cờ cho việc xử lý trong tương lai và gửi đến CPU của switch xử lý chuyển mạch như sau:

• Các yêu cầu ARP (ARP Request) và Trả lời ARP (ARP Reply).

• Các gói IP yêu cầu một trả lời từ một router (TTL, MTU, phân mảnh...)

• Các IP broadcast sẽ được trả lời như Unicast (DHCP Request, các chức năng IP helper-Address)

• Cập nhật giao thức định tuyến.

• Các gói giao thức phát hiện Cisco (Cisco Discovery Protocol).

• Giao thức định tuyến IPX và quảng bá dịch vụ.

• Các gói cần mã hóa.

• Các gói dịch địa chỉ mạng NAT (Network Address Translation).

• Các gói giao thức non-IP và non-IPX (AppleTalk, DECnet,...)

3. Các bảng được sử dụng trong chuyển mạch

Các Catalyst switch chứa một vài kiểu bảng để sử dụng cho quá trình chuyển mạch. Các bảng này được thay đổi đối với chuyển mạch lớp 2 hoặc đa lớp, và được giữ trong một bộ nhớ nhanh để nhiều trường bên trong một frane hoặc gói đựơc so sánh song song.

3.1 Bộ nhớ nội dung điạ chỉ CAM (Content Addressable Memory)

Tất cả Catalyst switch đều sử dụng một bảng CAM cho chuyển mạch lớp 2. Vì frame đến các port của switch, nên địa chỉ MAC nguồn được học và ghi lại trong bảng CAM. Cả port đến và VLAN đều được ghi lại, cùng với một đánh dấu thời gian (timestamp). Nếu một địa chỉ MAC học trên một port chuyển sang port khác, thì địa chỉ MAC và timestamp được ghi lại cho hầu hết các port đến trước đó. Sau đó, các mục trước sẽ được xoán. Nếu tìm thấy một địa chỉ MAC được đã tồn tại trong bảng cho port đến chính xác, thì timestamp sẽ được cập nhật. Các switch thường có bảng CAM lớn để truy tìm nhiều địa chỉ cho việc chuyển tiếp frame. Tuy nhiên, không gian bảng không đủ để giữ mỗi địa chỉ có thể trên một mạng lớn. Để quản lý không gian bảng CAM, các mục cũ (địa chỉ không được dùng trong khoảng thời gian nào đó) sẽ bị xóa. Khoảng thời gian mặc định là 300s. Ta cũng có thể cấu hình switch để thay đổi giá trị mặc định này.

Điều gì sẽ xảy ra khi địa chỉ MAC của host được học trên một port của switch, và sau đó chuyển sang port khác. Thông thường mục bảng CAM gốc của host có thời hạn là 300s, trong khi



địa chỉ của nó được học trên một port mới. Để tránh việc trùng lấp các mục trong bảng CAM, thì switch sẽ làm sạch mục đã tồn tại đối với địa chỉ MAC được học trên port khác. Đây là điều chấp nhận được vì địa chỉ MAC là duy nhất và một host không bao giờ được thấy trên nhiều hơn một port trừ khi mạng có vấn đề. Nếu switch chú ý rằng, địa chỉ MAC đang được học trên các port qua lại, nó sẽ phát ra một thông điệp báo lỗi địa chỉ MAC "flapping" giữa hai interface.

3.2 Bộ nhớ nội dung điạ chỉ bậc ba TCAM (Ternary Content Addressable Memory)

Trong cách định tuyến truyền thống, các ACL có thể so khớp, lọc, hoặc điều khiển lưu lượng đặc biệt. Danh sách truy cập được cấu thành từ một hoặc nhiều mục truy cập (ACE - Access Control Entry), hoặc so khớp câu lệnh được ước lượng (Evaluating) trong lệnh theo sau. Việc ước lượng (Evaluating) một danh sách truy cập có thể bổ sung thời gian vào các gói chuyển tiếp.

Tuy nhiên trong chuyển mạch đa lớp, tất cả quá trình so khớp mà các ACL cung cấp được thực hiện ở phần cứng. TCAM cho phép một gói được ước lượng dựa vào toàn bộ danh sách truy cập trong bảng tra cứu. Hầu hết switch có nhiều bảng TCAM để bảo mật cả trong và ngoài, và các QoS ACL được ước lượng đồng thời, hoặc hoàn toàn trong quyết định song song chuyển tiếp lớp 2 hoặc lớp 3.

Phần mềm IOS của Catalyst có hai thành phần để thực thi hoạt động của TCAM:

• Quản lý tính năng FM ( Feature Manager): sau khi một danh sách truy cập được tạo hoặc cấu hình, phần mềm quản lý tính năng sẽ biên dịch, và các ACE sẽ được hợp nhất vào trong toàn bộ bảng TCAM. Sau đó TCAM được tra cứu với tốc độ chuyển tiếp frame.

• Quản lý cơ sở dữ liệu chuyển mạch SDM ( Switching Database Manager): ta có thể chia TCAM trên các Catalyst switch thành các vùng có chức năng khác nhau. Phần mềm SDM cấu hình hoặc các phần chia TCAM này nếu cần.

Cấu trúc bảng TCAM:

TCAM là một bảng mở rộng của bảng CAM, nên nó cũng thực hiện truy tìm dựa trên thuật toán so trùng gồm có hai giá trị vào là bit 0 và 1, cho kết quả nhanh nhưng hoạt động của trừu tượng hơn. Ví dụ giá trị nhị phân (0 và 1) là từ khóa trong bảng, nhưng giá trị mặt nạ cũng được sử dụng để quyết định bit nào có liên quan thực sự. Như vậy từ khóa của bảng TCAM có ba giá trị đó là 0,1 và X.

Toàn bộ TCAM được so sánh kết hợp cả ba giá trị, mặt nạ và kết quả (Value, Mask, và Result). Các trường có được từ header của frame hoặc packet và sẽ được dựa vào TCAM. Việc ánh xạ được thực hiện như sau:

• Value: là một chuỗi 134 bit, gồm có địa chỉ nguồn và đích, và các thông tin giao thức liên quan, tất cả đều được so trùng. Thông tin móc nối đến Value liên quan đến kiểu danh sách truy cập được biểu diễn trong bảng 1. Value trong bảng TCAM lấy trực tiếp từ địa chị, port và thông tin giao thức trong ACE.

• Mask: cũng là một chuỗi 134 bit trong cùng frame. Mark chỉ chọn các bit Value, và bit mask sẽ được thiết lập để so trùng bit Value chính xác. Mask sử dụng bảng TCAM xuất phát từ địa chỉ hoặc bit mask trong các ACE.

• Result: là giá trị bằng số cho biết hành động sau khi so trùng xảy ra ở bảng TCAM. Ví dụ Result có thể là một quyết định cho phép hoặc không, hoặc giá trị QoS, hoặc con trỏ đến bảng định tuyến kết tiếp…


Trang 77

TÀI LI ỆU THAM KH ẢO

[1] David Hucaby. CCNP BCMSN Exam Certigication Guide, CCIE No.4594.

[2] Terry Jack. Building Cisco Multilayer Switched Networks, Student Guide 642-811.

[3] Kennedy Clark, Kevin Hamilton. Cisco LAN Switching, (Kennedy Clark CCIE #2175, CCSI, Kevin Hamilton CCSI).

[4] Randall S.Benn. Configuring Cisco AVVID – Achitecture for Voice, Video, and Intergrated Data.

Campus Network

Documents