Как запретить использование vlan. Что такое VLANs? Сети VLAN. Как узнать свой ID?

К сожалению, многие современные предприятия и организации практически не используют такую полезную, а часто просто необходимую возможность, предоставляемую большинством современных коммутаторов локальных вычислительных сетей (ЛВС), как организация виртуальных ЛВС (ВЛВС, VLAN) в рамках сетевой инфраструктуры. Трудно сказать, чем это вызвано. Возможно, недостатком информации о преимуществах, предоставляемых технологией VLAN, ее кажущейся сложностью, или нежеланием использовать “сырое” средство, не гарантирующее интероперабельность между сетевыми устройствами различных производителей (хотя технология VLAN уже год как стандартизована, и все ведущие производители активного сетевого оборудования поддерживают этот стандарт). Поэтому данная статья посвящена технологии VLAN. В ней будут рассмотрены преимущества от использования VLAN, наиболее распространенные способы организации VLAN и взаимодействия между ними, а также особенности построения VLAN при использовании коммутаторов некоторых известных производителей.

Нижний уровень - это уровень доступа. Однако они могут прозрачно передавать помеченные пакеты между подключенными компонентами. Проектирование инфраструктуры коммутатора организации обычно основывается на том, какая инфраструктура доступна, потребности бизнеса и стоимость. В любом случае, старайтесь держать себя в курсе и не знать, какие устройства разделены. Это делает меньше работы для коммутаторов и для администратора.

Каждый коммутатор уровня доступа подключается через соединительную линию к «крайнему» переключателю в середине уровня распределения. Распределение нагрузки через уровень распределения и поддержание ее из ядра может оптимизировать производительность. Однако более поздние коммутаторы делают это со специализированным оборудованием и не имеют ухудшения производительности, что позволяет переключателям ядра выполнять эти операции.

зачем это нужно

Что же такое VLAN? Это группа подключенных к сети компьютеров, логически объединенных в домен рассылки широковещательных сообщений по какому- либо признаку. Например, группы компьютеров могут выделяться в соответствии с организационной структурой предприятия (по отделам и
подразделениям) или по признаку работы над совместным проектом либо задачей.

Тэгированные и нетэгированные порты

Ключевыми коммутаторами не являются тегированные пакеты. Ядро предназначено для высокоскоростной пересылки пакетов внутри объекта, через кампус и т.д. Однако это может привести к проблемам, если они не настроены должным образом. Новая конфигурация объявляет номер последовательности изменений.

Если объявленное число больше, чем число, записанное в коммутаторе, коммутатор сбрасывает старую конфигурацию и заменяет ее новым. Это хорошо работает, пока кто-то не присоединяет коммутатор с более высоким порядковым номером. Когда это произойдет, старая конфигурация размыта во всех коммутаторах; сеть перестает работать.

Использование VLAN дает три основных преимущества. Это значительно более эффективное использование пропускной способности, чем в традиционных ЛВС, повышенный уровень защиты передаваемой информации от несанкционированного доступа и упрощение сетевого администрирования.

Так как при использовании VLAN вся сеть логически разбивается на широковещательные домены, информация передается членами VLAN только другим членам той же VLAN, а не всем компьютерам физической сети. Таким образом, широковещательный трафик (обычно генерируемый серверами, сообщающими о своем присутствии и возможностях другим устройствам сети) ограничивается предопределенным доменом, а не передается всем станциям сети. Этим достигается оптимальное распределение пропускной способности сети между логическими группами компьютеров: рабочие станции и серверы из разных VLAN “не видят” друг друга и не мешают один одному.

Внесите все изменения в основные коммутаторы, которые распространяют изменения по сети. Прозрачный.

  • Сервер является конфигурацией по умолчанию.
  • Настройте основные коммутаторы как серверы.
  • Клиент.
  • Настройте граничные переключатели как клиенты.
Вы также можете предотвратить нежелательные изменения, требуя проверки подлинности. Никто из нас никогда не допустит ошибку и не загрузит неправильную конфигурацию.

Лучшим подходом является использование того, что часто называют маршрутизатором на ручке или одноруким маршрутизатором. Для этого требуется маршрутизатор, способный конфигурировать порт магистрали с поддержкой суб-интерфейсов. На рисунке 5-14 показано, как это работает. Подключенные устройства используют соответствующий адрес суб-интерфейса в качестве шлюза по умолчанию.

Поскольку обмен данными ведется только внутри конкретной VLAN, компьютеры из разных виртуальных сетей не могут получать трафик, генерируемый в других VLAN. Применение анализаторов протоколов и средств сетевого мониторинга для сбора трафика в других VLAN, помимо той, к которой принадлежит желающий это сделать пользователь, представляет значительные трудности. Именно поэтому в среде VLAN передаваемая по сети информация гораздо лучше защищена от несанкционированного доступа.

Таблица маршрутизации применяется к пакетам, входящим в под-интерфейсы. Мы уже рассмотрели сегментацию и использование списков контроля доступа для защиты поверхностей системных атак. Первым шагом в защите коммутатора является ограничение физического доступа. Удостоверьтесь, что это за запертой дверью. Ни при каких обстоятельствах не разрешенные граждане не могут получить физический доступ к нему или к любому другому инфраструктурному оборудованию.

Ни при каких обстоятельствах удаленный или локальный доступ не защищен паролем. Кроме того, доступ должен соответствовать ролям, выполняемым каждым человеком с управленческими обязанностями. Во многих организациях привилегированный доступ к коммутатору означает полный доступ. Независимо от роли, каждый администратор может выполнять любую задачу управления на устройстве. Вместо этого настройте коммутатор так, чтобы каждый пользователь имел уникальный логин и пароль. Кроме того, назначьте уровни привилегий на основе роли пользователя в администрировании коммутатора.

Еще одно преимущество использования VLAN - это упрощение сетевого администрирования. Особенно это касается таких задач, как добавление к сети новых элементов, их перемещение и удаление. Например, при переезде какого-либо пользователя VLAN в другое помещение, пусть даже находящееся на другом этаже или в другом здании предприятия, сетевому администратору нет необходимости перекоммутировать кабели. Ему нужно всего лишь со своего рабочего места соответствующим образом настроить сетевое оборудование. Кроме того, в некоторых реализациях VLAN контроль над перемещениями членов VLAN может осуществляться автоматически, не требуя вмешательства администратора. Операции по созданию новых логических групп пользователей, добавлению новых членов в группы сетевой администратор также может осуществлять по сети, не сходя со своего рабочего места. Все это существенно экономит рабочее время администратора, которое может быть использовано на решение других не менее важных задач.

Не более одного или двух администраторов должны иметь полный доступ. Наконец, настройте шифрование паролей. Знать, кто сделал то, что и когда ценно, если что-то сломается или сеть ведет себя непредсказуемо. Мы также видели, что записи в таблице ставятся и удаляются, чтобы освободить место для более активных устройств. Это по сути превращает коммутатор в концентратор.

По мере того как фактический возраст записей, коммутатор заменяет их одним из непрерывного потока пакетов атаки. Это позволяет переключаться либо настроить порт как порт доступа, либо порт соединительной линии. Поверхностно это кажется хорошей идеей. Фактически, протокол динамического транкинга разработан специально для этого.

способы организации VLAN

Ведущие производители коммутаторов уровня отдела и рабочей группы используют в своих устройствах, как правило, один из трех способов организации VLAN: на базе портов, МАС-адресов или протоколов третьего уровня. Каждый из этих способов соответствует одному из трех нижних уровней модели взаимодействия открытых систем OSI: физическому, канальному и сетевому соответственно. Существует четвертый способ организации VLAN - на основе правил. В настоящее время он используется редко, хотя обеспечивает большую гибкость при организации VLAN, и, возможно, будет широко использоваться в устройствах ближайшего будущего. Давайте вкратце рассмотрим каждый из перечисленных выше способов организации VLAN, их достоинства и недостатки.

Это здорово, если не злонамеренно использовать. Сначала к порту коммутатора подключается настольный компьютер или ноутбук. Любой открытый порт в организации будет достаточным. Если включена конфигурация динамического порта, цель предоставляет запрос и настраивает порт злоумышленника в качестве соединительной линии.

Предотвращение этой атаки требует двух простых шагов. Прежде чем подключать свой коммутатор к сети, настройте все порты на пограничных коммутаторах в качестве портов доступа. В этой главе мы рассмотрели множество концепций. Настало время объединить все это в план внедрения: план, который обеспечивает сегментирование с архитектурой и безопасную работу коммутатора.

VLAN на базе портов. Как следует из названия способа, VLAN организуются путем логического объединения выбранных физических портов коммутатора. Например, сетевой администратор может указать, что порты коммутатора с номерами 1, 2, 5 образуют VLAN1, а порты с номерами 3, 4, 6 образуют VLAN2 и т.д.. К одному порту коммутатора может быть подключено несколько компьютеров (например, через хаб). Все они будут принадлежать к одной VLAN - к той, к которой приписан обслуживающий их порт коммутатора. Такая жесткая привязка членства в VLAN является недостатком способа организации виртуальных сетей на базе портов.

Выделение сервера и внешнего трафика

Зона безопасности - это не более чем сегмент сети с защищенным доступом. Уровень защиты соизмерима с критичностью систем или чувствительностью содержащихся в нем данных. Один тип зоны безопасности обеспечивает безопасный мост между Интернетом и центром обработки данных.

Агрегирование внешнего трафика позволяет осуществлять одноточечный мониторинг пакетов, сеансов и сетевых операций. Размещение всех входящих пакетов на одной соединительной линии позволяет проактивный ответ, прежде чем какой-либо трафик поступит в ядро. Например, все пакеты, проходящие через соединительную магистраль, проходят через систему предотвращения вторжений.

VLAN на базе МАС-адресов. Этот способ позволяет строить VLAN, основываясь на уникальном шестнадцатеричном адресе канального уровня, который имеет каждый сетевой адаптер сервера или рабочей станции сети. Это более гибкий способ организации VLAN по сравнению с предыдущим, так как к одному порту коммутатора могут быть подключены устройства, принадлежащие к разным VLAN. Кроме того, перемещения компьютеров с одного порта коммутатора на другой отслеживаются коммутатором автоматически и позволяют сохранить принадлежность переместившегося компьютера к определенной VLAN без вмешательства сетевого администратора. Действует это довольно просто: коммутатор поддерживает таблицу соответствия МАС-адресов компьютеров виртуальным сетям. Как только компьютер переключается на другой порт коммутатора, сравнивая поле МАС-адреса отправителя в заголовке первого переданного после перемещения компьютером кадра с данными своей таблицы, коммутатор делает правильный вывод о принадлежности переместившегося компьютера к VLAN. Недостатком данного способа организации VLAN является изначальная трудоемкость конфигурирования VLAN, которая чревата ошибками. Хотя таблица МАС-адресов коммутаторами строится автоматически, сетевому администратору нужно всю ее просмотреть и определить, что данный шестнадцатеричный адрес МАС соответствует такой-то рабочей станции, после чего приписать его к соответствующей виртуальной сети. Правда, последующая реконфигурация VLAN на базе МАС-адресов потребует значительно меньше усилий, чем в случае VLAN на базе портов.

Внешние устройства не имеют возможности устанавливать сеансы с устройствами конечного пользователя. Рисунок 5 - 18: Приоритетный тег. Хотя обычно он настроен как порт доступа, он ведет себя как мини-багажник. Поверхности системной атаки не идеальны. Следовательно, мы должны разрешить доступ только к ожидаемому трафику.

Риск обычно превышает выгоду. Наконец, увеличьте сегменты сети, создав им зоны безопасности. Виртуальные локальные сети делят одну существующую физическую сеть на несколько логических сетей. Следующий пример делит восьмипортовый физический коммутатор на два логических переключателя.

VLAN на базе протоколов третьего уровня. Данный способ редко используется в коммутаторах уровня отдела и рабочей группы. Он характерен для магистральных маршрутизирующих коммутаторов, имеющих встроенные средства маршрутизации основных протоколов ЛВС - IP, IPX и AppleTalk. Согласно этому способу, группа портов коммутатора, принадлежащих к определенной VLAN, ассоциируется с определенной подсетью IP или сетью IPX. Гибкость здесь обеспечивается тем, что перемещения пользователя на другой порт, принадлежащий той же VLAN, отслеживается коммутатором и не требует его переконфигурации. Преимуществом данного способа является также простота конфигурации VLAN, которая может осуществляться автоматически, поскольку коммутатор анализирует сетевые адреса компьютеров, соотносимых с каждой VLAN. К тому же, как уже упоминалось, поддерживающие способ организации VLAN на базе протоколов третьего уровня устройства имеют встроенные средства маршрутизации, что обеспечивает возможность взаимодействия между различными VLAN без использования дополнительных средств. Недостаток у этого способа, пожалуй, всего один - высокая цена коммутаторов, в которых он реализован.

Во второй комнате есть еще один выключатель. Если вы помните, маршрутизаторы останавливают трансляции, переключатели просто пересылают их. Как правило, это маршрутизатор, создающий этот широковещательный домен. Таким образом, по умолчанию вы можете просто использовать все порты на коммутаторе, и все устройства смогут разговаривать друг с другом.

Почему бы не просто подсеть моей сети?

Ограничение подсетей сети с маршрутизатором заключается в том, что все устройства в этой подсети должны быть подключены к одному коммутатору, и этот коммутатор должен быть подключен к порту на маршрутизаторе. Порт соединительной линии должен запускать специальный протокол транкинга.

VLAN на основе правил. Предполагают наличие у коммутатора способности подробно анализировать заранее определенные поля и даже отдельные биты проходящих через него пакетов как механизмы построения VLAN. Этот способ обеспечивает практически неограниченные возможности создания виртуальных сетей на основе множества критериев. Например, даже по принципу включения в VLAN всех пользователей, в чьи компьютеры установлены сетевые адаптеры указанного производителя. Несмотря на огромную гибкость, процесс конфигурации VLAN на основе правил очень трудоемок. К тому же наличие сложных правил может отрицательно сказаться на пропускной способности коммутатора, поскольку значительная часть его вычислительной мощности будет тратиться на анализ пакетов.

Ваши цели, какими бы командами они ни были, являются. По мере увеличения количества трафика и количества устройств, а также количества широковещательных пакетов. Вы можете прочитать другие части этой статьи здесь. Это вторая часть этой статьи. Вы можете создать практическую лабораторию, следуя инструкциям или, альтернативно, загрузить предварительно созданную лабораторию. Это третья часть этой статьи.

Это четвертая часть этой статьи. После этого мы сконфигурируем транкинг в нашей лаборатории. Это последняя часть этой статьи. Решение проблемы с передачей. . Когда мы подключаем устройства к портам коммутатора, коммутатор создает отдельный домен конфликтов для каждого порта и одного широковещательного домена для всех портов. Переключатель пересылает широковещательный кадр из всех возможных портов. В большой сети, имеющей сотни компьютеров, это может вызвать проблемы с производительностью. Конечно, мы могли бы использовать маршрутизаторы для решения широковещательной проблемы, но это было бы дорогостоящим решением, поскольку для каждого домена вещания требуется свой собственный порт на маршрутизаторе.

Также устройства могут быть автоматически перемещены в VLAN, основываясь на данных аутентификации пользователя или устройства при использовании протокола 802.1x.

построение распределенных VLAN

Современные ЛВС нередко содержат более одного коммутатора. Принадлежащие к одной VLAN компьютеры могут быть подключены к разным коммутаторам. Таким образом, чтобы правильно направлять трафик, должен существовать механизм, позволяющий коммутаторам обмениваться информацией о принадлежности подключенных к ним устройств к VLAN. Раньше каждый производитель в своих устройствах реализовывал фирменные механизмы обмена такой информацией. Например, у 3Com эта технология носила название VLT (Virtual LAN Trunk), у Cisco Systems - ISL (Inter-Switch Link). Поэтому для построения распределенных VLAN необходимо было использовать устройства от одного производителя. Ситуация коренным образом улучшилась, когда был принят стандарт на построение тегированных VLAN - IEEE 802.1Q, который сайчас и господствует в мире VLAN. Помимо всего прочего, он регламентирует и механизм обмена информацией о VLAN между коммутаторами. Этот механизм позволяет дополнять передаваемые между коммутаторами кадры полями, указывающими на принадлежность к той или иной VLAN. На сегодняшний день все ведущие производители коммутаторов ЛВС поддерживают в своих устройствах стандарт 802.1Q. Следовательно, сегодня уже можно строить виртуальные сети, используя коммутаторы от разных производителей. Хотя, как вы увидите позже, даже работая в соответствии с 802.1Q, коммутаторы разных производителей предоставляют далеко не одинаковые возможности по организации VLAN.

Уменьшить размер широковещательных доменов

Например, у нас есть сеть из 100 устройств. Теперь у нас есть два широковещательных домена с пятьюдесятью устройствами в каждом.

Позвольте нам добавить дополнительный уровень безопасности

В обычной сети уровня 2 все пользователи могут видеть все устройства по умолчанию. Любой пользователь может видеть сетевую трансляцию и отвечать на нее. Пользователи могут получить доступ к любым сетевым ресурсам, расположенным в этой конкретной сети. Пользователи могут присоединиться к рабочей группе, просто подключив их к существующему коммутатору.

организация взаимодействия между VLAN

Находящиеся в разных VLAN компьютеры не могут непосредственно взаимодействовать друг с другом. Для организации такого взаимодействия необходимо использовать маршрутизатор. Раньше для этого использовались обычные маршрутизаторы. Причем требовалось, чтобы маршрутизатор имел столько физических сетевых интерфейсов, сколько имеется VLAN. Помимо этого, на коммутаторах приходилось выделять по одному порту из каждой VLAN для подключения маршрутизатора. Учитывая дороговизну портов маршрутизатора, стоимость такого решения была очень высокой. Кроме того, обычный маршрутизатор вносил существенную задержку в передачу данных между VLAN. Сегодня для передачи данных между VLAN используют маршрутизирующие коммутаторы, которые имеют невысокую цену за порт и осуществляют аппаратную маршрутизацию трафика со скоростью работы канала связи. Маршрутизирующие коммутаторы также соответствуют стандарту IEEE 802.1Q, и для организации взаимодействия между распределенными VLAN им необходимо использовать всего по одному порту для подключения каждого из коммутаторов рабочих групп, осуществляющих подключение к сети устройств, соответствующих разным VLAN. Иными словами, через один порт современного маршрутизирующего коммутатора может происходить обмен информацией между устройствами из разных VLAN.

Это может создать реальные проблемы на платформе безопасности. Например, наша компания имеет пятиэтажное здание и сеть с одним слоем. Единственное ограничение, которое у нас есть, это то, что устройство при перемещении все равно должно быть подключено к той же сети уровня 2.

Позвольте нам реализовать логическую группировку устройств по функции вместо местоположения

Пользователи будут видеть только то, что они должны видеть, независимо от того, что их физические местоположения. При настройке по умолчанию все компьютеры используют один и тот же широковещательный домен. Отдел развития может получить доступ к ресурсам администрации или производственного отдела.

использование общих сетевых ресурсов компьютерами разных VLAN

Очень интересной является возможность организации доступа к общим сетевым ресурсам (сетевым серверам, принтерам и т.д.) компьютерам, относящимся к разным VLAN. Преимущества такой возможности очевидны. Во-первых, нет необходимости приобретать маршрутизатор или маршрутизирующий коммутатор, если не требуется организовать прямой обмен данными между компьютерами из разных VLAN. Обеспечить взаимодействие между компьютерами разных VLAN можно через сетевой сервер, доступ к которому имеют все или несколько VLAN. Во-вторых, сохраняя все преимущества использования VLAN, можно не приобретать серверы для каждой VLAN в отдельности, а использовать общие.

Vlan: что это такое?

Физически мы ничего не изменили, но логически мы сгруппировали устройства в соответствии с их функцией. По логике нашей сети выглядит следующая диаграмма. Эти сети не обмениваются широковещательными сообщениями друг с другом, улучшая производительность сети. В настоящее время Отдел развития не может напрямую обращаться в Управление и Производственный отдел.

Его довольно легко настроить и контролировать. Статический метод также является самым безопасным методом. Он отлично работает в сетевой среде, где нужно контролировать любое движение пользователя внутри сети. В этом методе мы настроили один коммутатор из сети как сервера.

Самый простой способ дать доступ к одному серверу пользователям из разных VLAN - это установить в сервер несколько сетевых адаптеров и подключить каждый из этих адаптеров к портам коммутатора, принадлежащим разным VLAN. Однако такой подход имеет ограничение по количеству VLAN (в сервер нельзя установить много сетевых адаптеров), предъявляет строгие требования к компонентам сервера (драйверы сетевых адаптеров требуют увеличения количества ОЗУ, создается большая нагрузка на ЦПУ и шину ввода-вывода сервера и т.д.) и не способствует экономии денежных средств (использование нескольких сетевых адаптеров и дополнительных портов коммутатора).

В статическом методе мы должны выполнить этот процесс вручную. Это означает, что все устройства, подключенные к этому порту, будут в одном широковещательном домене. Нам нужно подключить этих десяти пользователей к этому концентратору, а затем подключить его к другому порту доступа на коммутаторе.

Обычно соединение соединительной линии используется для подключения двух коммутаторов или переключения на маршрутизатор. Поэтому нам необходимо убедиться, что при настройке соединения по внешней линии на порту коммутатора устройство на другом конце также поддерживает один и тот же протокол транкинговой связи и настроило его. Если устройство на другом конце не понимает эти измененные фреймы, оно их отбросит. Модификация этих кадров, обычно называемая тегами. Маркировка выполняется на аппаратных средствах специализированными интегральными схемами.

С появлением стандарта IEEE 802.1Q стало возможным через один порт коммутатора передавать информацию, относящуюся ко всем или нескольким VLAN. Как уже упоминалось выше, для этого в передаваемый по сети кадр коммутатор (или другое устройство, поддерживающее 802.1Q) добавляет поле, однозначно определяющее принадлежность кадра к определенной VLAN. К такому порту как раз можно подключить всего одной линией связи общий для всех VLAN сервер. Единственное условие при этом - сетевой адаптер сервера должен поддерживать стандарт 802.1Q, чтобы сервер мог знать, из какой VLAN пришел запрос и, соответственно, куда направить ответ. Так реализуется разделение сервера между VLAN в управляемых коммутаторах уровня отдела и рабочей группы у 3Com, Hewlett-Packard и Cisco Systems.

заключение

Как видите, VLAN являются мощным средством организации сети, способным решить проблемы администрирования, безопасности передачи данных, разграничения доступа к информационным ресурсам и значительно увеличить эффективность использования полосы пропускания сети.

Олег Подуков, начальник технического отдела Компании «КОМПЛИТ»

Представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену , независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств.

Реализация VLAN в устройствах CISCO

В устройствах Cisco , протокол VTP (VLAN Trunking Protocol) предусматривает VLAN-домены для упрощения администрирования. VTP также выполняет «чистку» трафика, направляя VLAN трафик только на те коммутаторы, которые имеют целевые VLAN-порты (функция VTP pruning). Коммутаторы Cisco в основном используют протокол 802.1Q Trunk вместо устаревшего проприетарного ISL (Inter-Switch Link) для обеспечения совместимости информации.

По умолчанию на каждом порту коммутатора имеется сеть VLAN1 или VLAN управления. Сеть управления не может быть удалена, однако могут быть созданы дополнительные сети VLAN и этим альтернативным VLAN могут быть дополнительно назначены порты.

Native VLAN - это параметр каждого порта, который определяет номер VLAN, который получают все непомеченные (untagged) пакеты.

Обозначение членства в VLAN

Для этого существуют следующие решения:

  • по порту (Port-based, 802.1Q): порту коммутатора вручную назначается одна VLAN. В случае, если одному порту должны соответствовать несколько VLAN (например, если соединение VLAN проходит через несколько свитчей), то этот порт должен быть членом транка . Только одна VLAN может получать все пакеты, не отнесённые ни к одной VLAN (в терминологии 3Com , Planet, D-Link , Zyxel , HP - untagged , в терминологии Cisco - native VLAN ). Свитч будет добавлять метки данной VLAN ко всем принятым кадрам не имеющим никаких меток. VLAN, построенные на базе портов, имеют некоторые ограничения.
  • по MAC-адресу (MAC-based): членство в VLANe основывается на MAC-адресе рабочей станции . В таком случае свитч имеет таблицу MAC-адресов всех устройств вместе с VLANами, к которым они принадлежат.
  • по протоколу (Protocol-based): данные 3-4 уровня в заголовке пакета используются чтобы определить членство в VLANe. Например, -машины могут быть переведены в первую VLAN, а AppleTalk -машины во вторую. Основной недостаток этого метода в том, что он нарушает независимость уровней, поэтому, например, переход с IPv4 на IPv6 приведет к нарушению работоспособности сети.
  • методом аутентификации (Authentication based): устройства могут быть автоматически перемещены в VLAN основываясь на данных аутентификации пользователя или устройства при использовании протокола 802.1x .

Преимущества

  • Облегчается перемещение, добавление устройств и изменение их соединений друг с другом.
  • Достигается большая степень административного контроля вследствие наличия устройства, осуществляющего между сетями VLAN маршрутизацию на 3-м уровне.
  • Уменьшается потребление полосы пропускания по сравнению с ситуацией одного широковещательного домена.
  • Сокращается непроизводственное использование CPU за счет сокращения пересылки широковещательных сообщений.
  • Предотвращение широковещательных штормов и предотвращение петель.

См. также

Источники

  • Эндрю Таненбаум , 2003, «Computer Networks», Pearson Education International, New Jersey.

Ссылки

  • IEEE’s 802.1Q standard 1998 version (2003 version)(2005 version)
  • OpenWRT guide to VLANs : Provides a good beginners guide to all VLANS
  • Some FAQ about the VLANs

Похожие материалы:

  1. Sony Xperia M - Технические характеристики Sony xperia m год выпуска
  2. Смартфон Sony Xperia Z3 Compact: характеристика и отзывы
  3. Почему пропал звук на телефоне Андроид и что делать в этом случае?
  4. Как объединить две фотографии в одну онлайн и в фотошопе