Vyšlo v týdeníku CHIPweek č. 12/97, 18. března 1997
Vytištěno z adresy: http://www.earchiv.cz/a97/a712k150.php3

Kdy volit směrování?

V době, kdy ještě neexistovaly žádné switche, bylo hlavní otázkou v oblasti internetworkingu to, zda volit směrování nebo propojení na úrovni mostů. Dnes otázka zní: použít směrovač, nebo switch? Univerzální a jednoznačná odpověď na tuto důležitou otázku ale nexistuje.

V předchozích dílech jsme dospěli k závěru, že použití switchů sleduje především "rychlostní" cíle a snaží se poskytnout co možná nejvíce přenosové kapacity tomu, kdo ji potřebuje. Kdybychom se omezili jen na tento cíl, pak by budování lokálních počítačových celků jednoznačně vedlo na vznik co možná největších sítí, s interním propojením na úrovni linkové vrstvy, prostřednictvím switchů. Již v závěru jsme si ale již naznačili, že použití switchů přináší i některé nevýhody, kvůli kterým není únosné aby takovéto sítě byly příliš velké. Zkusme si to poněkud upřesnit.

Jedním faktorem je povinnost switchů propouštět do všech stran tzv. všesměrové vysílání, které má oslovit všechny existující uzly v dané síti (a může se zastavit až na nejbližším směrovači). Dnešní síťové aplikace přitom používají mechanismus všesměrového vysílání poměrně často, například k výzvám typu "kdo mi poskytne službu XY", zasílaným do éteru. Dosah všesměrového vysílání (označovaný také jako tzv. broadcast domain), ohraničený nejbližšími směrovači, by tudíž neměl být příliš velký. Tento požadavek pak dále zesiluje i potenciální nebezpečí chyby při všesměrovém vysílání, která může vyvolat celou řetězovou reakci odpovědí, šířených opět všesměrově. Takovéto "všesměrové bouře" (broadcast storms) mohou být opravdu nepříjemné, protože dokáží na dlouhé časové intervaly doslova zahltit celou dílčí síť. Už i proto by tato síť neměla být příliš veliká.

Dalším faktorem, který významně působí proti přílišnému zvětšování sítí propojených interně jen na úrovni linkové vrstvy, je homogenita uzlů takovýchto sítí z hlediska bezpečnosti, přístupových práv a případných omezení. Jak jsme si již několikrát naznačili, informace typu přístupových práv, priorit, bezpečnostních oprávnění apod. jsou logickými záležitostmi, a jsou typicky vztaženy až k síťové vrstvě a sítím jako takovým. Jinými slovy: postavení určitého uzlu (z hlediska přístupových práv, zabezpečení, omezení atd.) není ani tak dáno linkovou adresou určitého uzlu, jako spíše jeho příslušností do určité sítě (na úrovni síťové vrstvy). Rozdělení do dílčích sítí tak představuje logické rozčlenění do celků, které mají něco společného. Naproti tomu v rámci konkrétní dílčí sítě nebývají jednotlivé uzly nějak významněji logicky diferencovány.

Ještě dalším důležitým aspektem, který úzce souvisí s logickým členěním uzlů do jednotlivých sítí, je i potřeba minimalizace externího provozu - rozdělení uzlů do jednotlivých sítí by mělo dosahovat toho, aby se maximum datového provozu odehrávalo uvnitř sítě, a mohlo tak být "zvládnuto" switchi (které na to jsou ostatně i stavěny). Naproti tomu objem dat, přecházející z jedné sítě do druhé by měl být co možná nejmenší. Takže například počítače uživatelů, kteří pracují se společnými daty a vzájemně si je sdílí, by nejspíše měly patřit do jedné sítě - což v praxi většinou koresponduje s tím, že příslušní uživatelé tvoří nějaký logický celek, například pracují v oddělení odbytu (a sdílí data o zákaznících), nebo to jsou účetní (a sdílí účetní data) apod.

Co jsou virtuální sítě LAN?

Závěr z předchozího odstavce by měl být následující: celá soustava uzlů, které je třeba vzájemně propojit, se rozdělí do logických celků - tak, aby se většina provozu odehrávala uvnitř tohoto celku, a všechny jeho uzly měly pokud možno stejné postavení z hlediska nejrůznějších oprávnění. Uvnitř těchto celků se k propojení použijí switche, a mezi sebou se pak tyto celky propojí pomocí směrovačů. Stejně tak se zvolí propojení na úrovni směrovačů i pro propojení "s vnějším světem", kde bývají zdaleka největší požadavky na "logické oddělení". Představu ilustruje obrázek.

Právě naznačený postup vypadá na první pohled jednoduše, ale jeho praktické naplnění bývá hodně těžké a vede na nejednoznačná řešení. Například i proto, že jeden a tentýž uzel může díky způsobu svého využívání "patřit" do více skupin či logických celků současně, a také samotné vymezení těchto celků může být někdy dosti vágní. Nepříjemným faktorem, který celou záležitost ještě více komplikuje, pak je závislost na fyzickém umístění - díky omezenému dosahu a struktuře kabelových rozvodů se v praxi dosti často stává, že rozdělení jednotlivých uzlů do konkrétních sítí je předurčeno jejich fyzickým umístěním, a "logická" kritéria pak musí ustoupit tvrdé fyzické realitě. Například ve vícepatrové budově se může stát, že počítače je nutné rozdělit do konkrétních sítí po patrech a nikoli podle toho, kdo s nimi pracuje, jaká data typicky používá, se kterými servery je v kontaktu apod.

Řešení, která umožňuje zcela zapomenout na fyzické umístění uzlů a zařazovat je do konkrétních sítí výhradně podle "logických" kritérií, nabízí tzv. virtuální sítě LAN (sítě VLAN, Virtual LAN). Jak již jejich název napovídá, jde o sítě které jsou pouze "předstírány", resp. jejich konkrétní struktura je dána pouhým nakonfigurováním přepojovacích prvků (zajišťujících přepojování volitelně na úrovni linkové i síťové vrstvy). Zde je tedy pouze na správci sítě, do jakého logického celku (virtuální sítě LAN) zařadí každý konkrétní uzel, a nemusí se přitom vůbec ohlížet na jeho fyzické umístění. Dokonce může jednotlivé uzly "přepojovat" z jedné sítě do druhé, pouhou změnou konfigurace, aniž by se tyto uzly jakkoli fyzicky přenášely či se měnilo jejich fyzické připojení.

Aktivní síťové prvky, umožňující vytvářet virtuální sítě LAN, již dnes jsou na trhu a v prodeji. Nejsou ovšem nejlacinější, a o vhodnosti či nevhodnosti jejich pořízení by se vždy mělo rozhodovat až po zralé úvaze - která by měla brát zřetel jak na konkrétní místní podmínky a "dislokaci" uživatelů, tak i na jejich "fluktuaci" a další faktory.

Katenetový model TCP/IP

Obrázek 1.
Právě popsaná představa o nasazení směrovačů - na okrajích rozumně velkých logických celků, uvnitř kterých jsou použity switche - je v jistém smyslu klasickým řešením, se kterým od začátku počítaly významné síťové koncepce. Například rodina protokolů TCP/IP vychází z tzv. katenetového modelu ("zřetězeného" modelu), který předpokládá existenci dílčích sítí vzájemně pospojovaných právě směrovači. Co je důležité a co jistě stojí za zmínku v souvislosti s dnešním dílem, je fakt že síťový model TCP/IP se nesnaží říkat či jinak předepisovat, jak mají tyto sítě vypadat uvnitř. Díky tomu se protokoly TCP/IP snadno vyrovnaly s tím, že dříve se uvnitř těchto sítí používaly pro propojování jednotlivých segmentů mosty, a dnes již téměř výhradně switche.

V poslední době se ale původní představa o dosti striktním oddělení směrovačů a switchů (switche uvnitř sítí, směrovače na jejich okraji) začíná poněkud měnit, a dochází k určitému prolínání a "rozprostření" jejich funkcí po celé síti. Ale o tom si povíme až v příštím dílu.