Cum se dezactivează vlan. Ce sunt VLAN-urile? VLAN-uri. Cum să-ți afli identitatea?

Din păcate, multe întreprinderi și organizații moderne practic nu folosesc un astfel de util, și adesea pur și simplu oportunitatea necesară furnizate de majoritatea switch-urilor LAN moderne retele de calculatoare(LAN) ca organizație de LAN-uri virtuale (VLAN-uri, VLAN-uri) în cadrul infrastructurii de rețea. Este greu de spus ce a cauzat-o. Poate lipsa de informații despre beneficiile oferite de tehnologia VLAN, complexitatea ei aparentă sau reticența de a folosi un instrument „brut” care nu garantează interoperabilitatea între dispozitive de rețea diverși producători(deși tehnologia VLAN a fost standardizată de un an, iar toți producătorii de top de echipamente de rețea active acceptă acest standard). Prin urmare, acest articol este dedicat tehnologii VLAN. Se va discuta despre beneficiile utilizării VLAN-urilor, cele mai comune modalități de organizare a VLAN-urilor și interacțiunea dintre ele, precum și caracteristicile Clădire VLAN când se utilizează întrerupătoare de la unii producători cunoscuți.

Nivelul de jos este nivelul de acces. Cu toate acestea, pot transfera în mod transparent pachetele etichetate între componentele conectate. Proiectarea infrastructurii de comutare a unei organizații se bazează de obicei pe infrastructura disponibilă, nevoile de afaceri și costul. În orice caz, încearcă să te ții la curent și să nu știi ce dispozitive sunt separate. Acest lucru face mai puțină muncă pentru comutatoare și pentru administrator.

Fiecare comutator de nivel de acces este conectat printr-un trunchi la un comutator „extrem” la mijlocul nivelului de distribuție. Distribuirea sarcinii prin stratul de distribuție și menținerea acesteia din nucleu poate optimiza performanța. Cu toate acestea, comutatoarele ulterioare fac acest lucru cu hardware specializat și nu au o degradare a performanței care permite comutatoarelor de bază să efectueze aceste operațiuni.

de ce este nevoie

Ce este un VLAN? Acesta este un grup de computere conectate la o rețea, grupate logic într-un domeniu de distribuție a mesajelor difuzate în funcție de un anumit atribut. De exemplu, grupurile de calculatoare pot fi alocate în conformitate cu structura organizatorică a întreprinderii (pe departamente și
divizii) sau pe baza muncii la un proiect sau sarcină comună.

Porturi etichetate și neetichetate

Comutatoarele cheie nu sunt pachete etichetate. Nucleul este proiectat pentru transmiterea de pachete de mare viteză într-o unitate, într-un campus și așa mai departe. Cu toate acestea, acest lucru poate duce la probleme dacă acestea nu sunt configurate corect. Noua configurație declară un număr de ordine de modificare.

Dacă numărul anunțat este mai mare decât numărul stocat în comutator, comutatorul renunță la vechea configurație și o înlocuiește cu cea nouă. Acest lucru funcționează bine atâta timp cât cineva nu atașează un comutator cu un număr de secvență mai mare. Când se întâmplă acest lucru, configurația veche este spălată pe toate comutatoarele; rețeaua nu mai funcționează.

Există trei avantaje principale ale utilizării unui VLAN. Aceasta este o utilizare mult mai eficientă lățimea de bandă decât rețelele LAN tradiționale, securitate crescută informatii transmise din acces neautorizat și simplificare administrarea rețelei.

Deoarece întreaga rețea este partiționată în mod logic în domenii de difuzare atunci când se folosește un VLAN, informațiile sunt trimise doar de membrii VLAN către alți membri ai aceluiași VLAN și nu către toate computerele din rețeaua fizică. Astfel, traficul de difuzare (generat de obicei de servere care își anunță prezența și capabilitățile către alte dispozitive din rețea) este limitat la un domeniu predefinit, mai degrabă decât difuzat către toate stațiile din rețea. Se realizează distribuția optimă a lățimii de bandă a rețelei între grupuri logice de computere: stațiile de lucru și serverele de la diferite VLAN-uri „nu se văd” și nu interferează unele cu altele.

Faceți toate modificările la comutatoarele principale care propagă modificările în rețea. Transparent.

  • Serverul este configurația implicită.
  • Configurați comutatoarele principale ca servere.
  • Client.
  • Configurați comutatoarele de delimitare ca clienți.
De asemenea, puteți preveni modificările nedorite solicitând autentificarea. Niciunul dintre noi nu va greși vreodată și nu va încărca configurația greșită.

O abordare mai bună este să folosiți ceea ce este adesea menționat ca un router cu mâner sau un router cu un singur braț. Acest lucru necesită un router capabil să configureze un port trunk cu suport pentru sub-interfață. Figura 5-14 arată cum funcționează. Dispozitivele conectate folosesc adresa sub-interfeței corespunzătoare ca gateway implicit.

Deoarece comunicarea se face doar într-un anumit VLAN, computerele din diferite rețele virtuale nu pot primi traficul generat în alte VLAN-uri. Utilizarea analizoarelor și instrumentelor de protocol monitorizarea rețelei a colecta trafic în alte VLAN-uri, pe lângă cel căruia îi aparține utilizatorul care dorește să facă acest lucru, prezintă dificultăți semnificative. De aceea, într-un mediu VLAN, informațiile transmise prin rețea sunt mult mai bine protejate de accesul neautorizat.

Tabelul de rutare este aplicat pachetelor care intră în sub-interfețe. Am acoperit deja segmentarea și utilizarea listelor de control al accesului pentru a proteja suprafețele de atac sistemic. Primul pas în securizarea unui comutator este restricționarea accesului fizic. Asigurați-vă că este în spatele unei uși încuiate. În niciun caz, cetățenii neautorizați nu pot obține acces fizic la acesta sau la orice alt echipament de infrastructură.

Sub nicio formă la distanță sau acces local nu este protejat prin parolă. În plus, accesul ar trebui să fie adecvat rolurilor jucate de fiecare persoană cu responsabilități manageriale. În multe organizații, accesul privilegiat la un comutator înseamnă acces complet. Indiferent de rol, fiecare administrator poate efectua orice sarcină de gestionare pe dispozitiv. În schimb, configurați comutatorul astfel încât fiecare utilizator să aibă un nume de utilizator și o parolă unice. De asemenea, atribuiți niveluri de privilegii în funcție de rolul utilizatorului în administrarea comutatorului.

Un alt beneficiu al utilizării VLAN-urilor este simplificarea administrării rețelei. Acest lucru este valabil mai ales pentru sarcini precum adăugarea de noi elemente în rețea, mutarea lor și eliminarea lor. De exemplu, atunci când un utilizator VLAN se mută într-o altă cameră, chiar dacă se află la un etaj diferit sau într-o altă clădire a întreprinderii, administratorul de rețea nu trebuie să recablaze cablurile. Tot ce trebuie să facă este configurat corespunzător de la locul său de muncă hardware de rețea. În plus, în unele implementări VLAN, mișcarea membrilor VLAN poate fi controlată automat fără a necesita intervenția administratorului. Operațiuni pentru a crea noi grupuri logice de utilizatori, adăuga noi membri la grupuri, administratorul de rețea poate efectua, de asemenea, prin rețea, fără a părăsi locul de muncă. Toate acestea economisesc semnificativ timpul de lucru al administratorului, care poate fi folosit pentru a rezolva alte sarcini la fel de importante.

Nu mai mult de unul sau doi administratori ar trebui să aibă acces complet. În cele din urmă, configurați criptarea parolei. A ști cine a făcut ce și când este valoros dacă ceva se rupe sau rețeaua se comportă imprevizibil. De asemenea, am văzut că intrările din tabel sunt adăugate și eliminate pentru a face loc pentru mai multe dispozitive active. Acest lucru transformă, în esență, comutatorul într-un hub.

Odată cu vârsta reală a intrărilor, comutatorul le înlocuiește cu unul dintr-un flux continuu de pachete de atac. Acest lucru vă permite să comutați între configurarea portului ca port de acces sau port trunchi. La suprafață, aceasta pare a fi o idee bună. De fapt, protocolul de trunking dinamic este conceput special pentru acest lucru.

Metode de organizare VLAN

Producătorii de top de switch-uri departamentale și de grup de lucru folosesc de obicei una dintre cele trei metode pentru organizarea VLAN-urilor în dispozitivele lor: pe baza porturi, adrese MAC sau protocoale de nivel al treilea. Fiecare dintre aceste moduri corespunde unuia dintre cele trei niveluri inferioare ale modelului de interacțiune. sisteme deschise OSI: fizic, canal și, respectiv, rețea. Există o a patra modalitate de a organiza un VLAN - bazat pe reguli. În prezent este rar utilizat, deși oferă mai multă flexibilitate în organizarea VLAN-urilor și poate fi utilizat pe scară largă în dispozitive în viitorul apropiat. Să aruncăm o privire rapidă la fiecare dintre metodele de organizare VLAN de mai sus, avantajele și dezavantajele acestora.

Este grozav, dacă nu este folosit cu răutate. Mai întâi, conectați-vă la portul comutatorului calculator desktop sau laptop. Orice port deschisîn organizaţie va fi suficient. Dacă configurația dinamică a portului este activată, ținta acceptă cererea și configurează portul atacatorului ca trunchi.

Prevenirea acestui atac necesită doi pași simpli. Înainte de a vă conecta comutatorul la rețea, configurați toate porturile de pe comutatoarele edge ca porturi de acces. În acest capitol, am acoperit multe concepte. Acum este momentul să combinați toate acestea într-un plan de implementare: un plan care oferă sharding cu arhitectură și munca sigura intrerupator.

VLAN-uri bazate pe porturi. După cum sugerează și numele metodei, VLAN-urile sunt organizate prin asocierea logică a porturilor fizice selectate ale comutatorului. De exemplu, un administrator de rețea poate specifica că porturile de comutator numerotate 1, 2, 5 formează VLAN1, iar porturile numerotate 3, 4, 6 formează VLAN2 etc. La un port de comutare pot fi conectate mai multe computere (de exemplu, prin hub). Toate vor aparține aceluiași VLAN - celui căruia îi este atribuit portul de comutare care le deservește. Această legare strânsă a apartenenței la VLAN este un dezavantaj al metodei VLAN bazate pe porturi.

Server dedicat și trafic extern

O zonă de securitate nu este altceva decât un segment de rețea cu acces securizat. Nivelul de protecție este proporțional cu criticitatea sistemelor sau cu sensibilitatea datelor pe care le conține. Un tip de zonă de securitate oferă o punte sigură între Internet și centrul de date.

Agregare trafic extern permite monitorizarea într-un singur punct a pachetelor, sesiunilor și operațiunilor de rețea. Plasarea tuturor pachetelor de intrare pe același trunk permite un răspuns proactiv înainte ca orice trafic să intre în nucleu. De exemplu, toate pachetele care trec printr-un trunchi de conectare trec printr-un sistem de prevenire a intruziunilor.

VLAN bazat pe adrese MAC. Această metodă vă permite să construiți un VLAN bazat pe adresa unică a stratului de legătură hexazecimal pe care fiecare adaptor de retea server sau stație de lucru retelelor. Aceasta este o modalitate mai flexibilă de organizare a unui VLAN în comparație cu cel precedent, deoarece dispozitivele aparținând unor VLAN-uri diferite pot fi conectate la același port de comutare. În plus, mișcările computerului de la un port de comutare la altul sunt urmărite automat de comutator și vă permit să păstrați computerul mutat aparținând unui anumit VLAN fără intervenția unui administrator de rețea. Funcționează destul de simplu: comutatorul menține un tabel de corespondență între adresele MAC ale computerelor și rețelele virtuale. De îndată ce computerul trece la un alt port de comutare, comparând câmpul de adresă MAC sursă din antetul primului cadru transmis după mutarea computerului cu datele din tabelul său, comutatorul face concluzia corectă despre computerul mutat aparținând VLAN-ului . dezavantaj aceasta metoda organizarea unui VLAN este complexitatea inerentă a configurării unui VLAN, care este predispusă la erori. Deși tabelul de adrese MAC este construit automat de către comutatoare, administratorul de rețea trebuie să analizeze totul și să stabilească dacă această adresă MAC hexazecimală corespunde unei astfel de stații de lucru și apoi să o aloce rețelei virtuale corespunzătoare. Adevărat, reconfigurarea ulterioară a unui VLAN bazat pe MAC va necesita mult mai puțin efort decât în ​​cazul unui VLAN bazat pe port.

Dispozitivele externe nu au capacitatea de a stabili sesiuni cu dispozitivele utilizatorului final. Figura 5 - 18: Eticheta de prioritate. Deși este configurat în mod normal ca port de acces, se comportă ca un mini trunchi. Suprafețele de atac sistemic nu sunt perfecte. Prin urmare, trebuie să permitem accesul doar la traficul așteptat.

De obicei, riscul depășește recompensa. În cele din urmă, măriți segmentele de rețea creând zone de securitate pentru acestea. VLAN-urile împart o singură rețea fizică existentă în mai multe rețele logice. Următorul exemplu împarte un comutator fizic cu opt porturi în două comutatoare logice.

VLAN bazat pe protocoale de nivel 3. Această metodă este rar utilizată în comutatoarele la nivel de departament și grup de lucru. Este tipic pentru comutatoarele de rutare backbone care au instrumente de rutare încorporate pentru principalele protocoale LAN - IP, IPX și AppleTalk. Conform acestei metode, un grup de porturi de comutare aparținând unui anumit VLAN este asociat cu o anumită subrețea IP sau rețea IPX. Flexibilitatea aici este oferită de faptul că mișcările utilizatorului către un alt port aparținând aceluiași VLAN sunt urmărite de comutator și nu necesită reconfigurare. Avantajul acestei metode este, de asemenea, ușurința configurației VLAN, care se poate face automat, deoarece analizează comutatorul adresele de rețea calculatoare asociate cu fiecare VLAN. În plus, după cum sa menționat deja, dispozitivele care acceptă metoda de organizare VLAN bazată pe protocoale Layer 3 au instrumente de rutare încorporate, care permit interacțiunea între diferite VLAN-uri fără utilizarea unor instrumente suplimentare. Dezavantajul acestei metode, probabil, este doar unul - preț mare comutatoare în care este implementat.

Există un alt comutator în a doua cameră. Dacă vă amintiți, routerele opresc transmisiile, comutatoarele le transmit pur și simplu. De obicei, acesta este routerul care creează acest domeniu de difuzare. Deci, în mod implicit, puteți utiliza doar toate porturile de pe comutator și toate dispozitivele vor putea vorbi între ele.

De ce să nu subrețeau rețeaua mea?

Limitarea subrețelei unei rețele cu un router este aceea că toate dispozitivele de pe acea subrețea trebuie să fie conectate la același switch și acel switch trebuie conectat la un port de pe router. Portul trunchiului trebuie să ruleze un protocol de trunchi special.

Reguli bazate pe VLAN. Se presupune că comutatorul are capacitatea de a analiza câmpuri predeterminate în detaliu și chiar biți individuali de pachete care trec prin el ca mecanisme de construcție VLAN. Această metodă oferă posibilități aproape nelimitate de a crea rețele virtuale pe baza multor criterii. De exemplu, chiar și prin principiul includerii tuturor utilizatorilor în VLAN, în ale căror computere sunt instalate adaptoare de rețea ale producătorului specificat. În ciuda flexibilității mari, procesul de configurare VLAN bazat pe reguli necesită foarte mult timp. În plus, prezența reguli complicate poate afecta negativ debitul comutatorului, deoarece o parte semnificativă a acestuia putere de calcul vor fi cheltuite pentru analiza pachetelor.

Obiectivele tale, indiferent de comenzile acestea, sunt. Pe măsură ce cantitatea de trafic și numărul de dispozitive cresc, precum și numărul de pachete de difuzare. Puteți citi și alte părți ale acestui articol aici. Aceasta este a doua parte a acestui articol. Puteți crea un laborator de practică urmând instrucțiunile sau, alternativ, puteți descărca un laborator pre-construit. Aceasta este a treia parte a acestui articol.

Aceasta este a patra parte a acestui articol. După aceea, vom configura trunchiul în laboratorul nostru. Aceasta este ultima parte a acestui articol. Rezolvarea problemei de transmisie. . Când conectăm dispozitive la porturile de comutare, comutatorul creează un domeniu de conflict separat pentru fiecare port și un domeniu de difuzare pentru toate porturile. Comutatorul redirecționează cadrul de difuzare de la toate porturile posibile. Într-o rețea mare cu sute de computere, acest lucru poate cauza probleme de performanță. Desigur, am putea folosi routere pentru a rezolva problema de difuzare, dar aceasta ar fi o soluție costisitoare, deoarece fiecare domeniu de difuzare are nevoie de propriul port pe router.

De asemenea, dispozitivele pot fi mutate automat în VLAN-uri pe baza datelor de autentificare a utilizatorului sau a dispozitivului atunci când se utilizează protocolul 802.1x.

construirea de VLAN-uri distribuite

Rețelele LAN moderne conțin adesea mai mult de un comutator. Calculatoarele care aparțin aceluiași VLAN pot fi conectate la diferite comutatoare. Astfel, pentru a direcționa corect traficul, trebuie să existe un mecanism care să permită comutatoarelor să facă schimb de informații despre apartenența la VLAN a dispozitivelor conectate la acestea. Anterior, fiecare producător în dispozitivele lor implementa mecanisme proprietare pentru schimbul de astfel de informații. De exemplu, la 3Com această tehnologie a fost numită VLT (Virtual LAN Trunk), la Cisco Systems - ISL (Inter-Switch Link). Prin urmare, pentru a construi VLAN-uri distribuite, a fost necesar să se utilizeze dispozitive de la același producător. Situația s-a îmbunătățit dramatic când a fost adoptat standardul pentru construirea de VLAN-uri etichetate, IEEE 802.1Q, care domină acum lumea VLAN-urilor. Printre altele, reglementează și mecanismul de schimb de informații despre VLAN-uri între switch-uri. Acest mecanism vă permite să completați cadrele transmise între comutatoare cu câmpuri care indică apartenența la un anumit VLAN. Până în prezent, toți producătorii de top de switch-uri LAN acceptă standardul 802.1Q în dispozitivele lor. Prin urmare, astăzi este deja posibil să se construiască rețele virtuale folosind comutatoare de la diferiți producători. Deși, după cum veți vedea mai târziu, chiar și funcționând în conformitate cu 802.1Q, comutatoarele de la diferiți producători oferă departe de aceleași posibilități de organizare a VLAN-urilor.

Reduceți dimensiunea domeniilor de difuzare

De exemplu, avem o rețea de 100 de dispozitive. Acum avem două domenii de difuzare cu cincizeci de dispozitive fiecare.

Să adăugăm un strat suplimentar de securitate

Într-o rețea normală de strat 2, toți utilizatorii pot vedea toate dispozitivele în mod implicit. Orice utilizator poate vedea transmisia în rețea și poate răspunde la aceasta. Utilizatorii pot accesa orice resursele rețelei situat în acea rețea specială. Utilizatorii se pot alătura unui grup de lucru pur și simplu conectându-i la un comutator existent.

organizarea interacțiunii între VLAN-uri

Calculatoarele situate în VLAN-uri diferite nu pot comunica direct între ele. Pentru a organiza o astfel de interacțiune, trebuie să utilizați un router. Anterior, routerele obișnuite erau folosite pentru aceasta. Mai mult, era necesar ca routerul să aibă atâtea interfețe fizice de rețea câte VLAN-uri există. În plus, comutatoarele trebuiau să aloce câte un port de la fiecare VLAN pentru a conecta routerul. Având în vedere costul ridicat al porturilor de router, costul unei astfel de soluții a fost foarte mare. În plus, un router convențional a introdus o întârziere semnificativă în transmiterea datelor între VLAN-uri. Astăzi, comutatoarele de rutare sunt folosite pentru a transfera date între VLAN-uri, care au un preț scăzut pe port și realizează rutarea hardware a traficului la viteza canalului de comunicație. Switch-urile de rutare respectă, de asemenea, standardul IEEE 802.1Q și, pentru a organiza comunicația între VLAN-urile distribuite, trebuie să folosească un singur port pentru a conecta fiecare dintre comutatoarele de grup de lucru care conectează dispozitivele corespunzătoare diferitelor VLAN-uri la rețea. Cu alte cuvinte, printr-un port al unui comutator de rutare modern, informațiile pot fi schimbate între dispozitive de la diferite VLAN-uri.

Acest lucru poate crea probleme reale în platforma de securitate. De exemplu, compania noastră are o clădire cu cinci etaje și o rețea cu un singur strat. Singura restricție pe care o avem este că dispozitivul trebuie să fie în continuare conectat la aceeași rețea de nivel 2 atunci când se mută.

Să implementăm o grupare logică a dispozitivelor după funcție în loc de locație

Utilizatorii vor vedea doar ceea ce trebuie să vadă, indiferent de locațiile lor fizice. În mod implicit, toate computerele folosesc același domeniu de difuzare. Departamentul de dezvoltare poate accesa resursele administrației sau ale departamentului de producție.

utilizarea resurselor de rețea partajate de către computerele diferitelor VLAN-uri

Foarte interesantă este posibilitatea organizării accesului la resurse partajate de rețea (servere de rețea, imprimante etc.) pentru calculatoarele aparținând diferitelor VLAN-uri. Avantajele acestei posibilități sunt evidente. În primul rând, nu este nevoie să achiziționați un router sau un comutator de rutare dacă nu trebuie să organizați schimbul direct de date între computere de la diferite VLAN-uri. Este posibil să se asigure interacțiunea între computerele diferitelor VLAN-uri printr-un server de rețea, la care au acces toate sau mai multe VLAN-uri. În al doilea rând, păstrând toate avantajele utilizării unui VLAN, nu puteți achiziționa servere pentru fiecare VLAN separat, ci le puteți folosi pe cele generale.

Vlan: ce este?

Din punct de vedere fizic, nu am schimbat nimic, dar logic, am grupat dispozitivele în funcție de funcția lor. Conform logicii rețelei noastre, următoarea diagramă arată ca. Aceste rețele nu transmit mesaje între ele, îmbunătățind performanța rețelei. În prezent, Departamentul de Dezvoltare nu poate contacta direct Administrația și Departamentul de Producție.

Este destul de ușor de configurat și controlat. Metoda statică este și cea mai sigură metodă. Funcționează excelent într-un mediu de rețea în care trebuie să controlați orice mișcare a utilizatorului în rețea. În această metodă, am configurat un comutator din rețea ca server.

Cel mai simplu mod de a oferi acces la același server utilizatorilor din diferite VLAN-uri este să instalați mai multe adaptoare de rețea pe server și să conectați fiecare dintre aceste adaptoare pentru a comuta porturile aparținând diferitelor VLAN-uri. Cu toate acestea, această abordare are o limitare a numărului de VLAN-uri (multe adaptoare de rețea nu pot fi instalate pe server), impune cerințe stricte asupra componentelor serverului (driverele adaptoarelor de rețea necesită o creștere a cantității de RAM, o sarcină mare este plasată pe CPU și server I/O bus etc.) și nu contribuie la salvare Bani(folosind mai multe adaptoare de rețea și porturi suplimentare de comutare).

Într-o metodă statică, trebuie să facem acest proces manual. Aceasta înseamnă că toate dispozitivele conectate la acest port vor fi în același domeniu de difuzare. Trebuie să conectăm acești zece utilizatori la acest hub și apoi să îl conectăm la un alt port de acces de pe comutator.

De obicei, o conexiune trunk este utilizată pentru a conecta două comutatoare sau pentru a comuta la un router. Prin urmare, trebuie să ne asigurăm că atunci când configurăm o conexiune trunk pe un port comutator, dispozitivul de la celălalt capăt acceptă și același protocol de trunchiere și l-a configurat. Dacă dispozitivul de la celălalt capăt nu înțelege aceste cadre modificate, le va arunca. Modificarea acestor cadre, denumite în mod obișnuit etichete. Marcarea se realizează pe hardware prin circuite integrate specializate.

Odată cu apariția standardului IEEE 802.1Q, a devenit posibilă transmiterea informațiilor referitoare la toate sau mai multe VLAN-uri printr-un port de comutare. După cum sa menționat mai sus, pentru aceasta, comutatorul (sau alt dispozitiv care acceptă 802.1Q) adaugă un câmp la cadrul transmis prin rețea care determină în mod unic dacă cadrul aparține unui anumit VLAN. Este doar posibil să conectați un server comun tuturor VLAN-urilor la un astfel de port cu o singură linie de comunicație. Singura condiție pentru aceasta este ca adaptorul de rețea al serverului să suporte standardul 802.1Q, astfel încât serverul să știe de la ce VLAN a venit cererea și, în consecință, unde să trimită răspunsul. Acesta este modul în care separarea serverului între VLAN-uri este implementată în comutatoarele gestionate de la nivel de departament și grup de lucru la 3Com, Hewlett-Packard și Cisco Systems.

concluzie

După cum puteți vedea, VLAN-urile sunt un instrument puternic de rețea care poate rezolva problemele de administrare, securitatea transmisiei datelor, controlul accesului la resurse informaționaleși îmbunătăți considerabil eficiența lățimii de bandă a rețelei.

Oleg Podukov, șeful departamentului tehnic al COMPLETE

Reprezintă un grup de gazde cu set comun cerințe care interacționează ca și cum ar fi conectate la un domeniu de difuzare, indiferent de locația lor fizică. VLAN are aceleași proprietăți ca și cel fizic reteaua locala, dar permite gruparea stațiilor finale chiar dacă nu se află în aceeași rețea fizică. O astfel de reorganizare se poate face pe bază de software în loc de dispozitive care se deplasează fizic.

Implementarea VLAN în dispozitivele CISCO

În dispozitivele Cisco, VTP (VLAN Trunking Protocol) oferă domenii VLAN pentru a simplifica administrarea. VTP efectuează, de asemenea, tăierea traficului, direcționând traficul VLAN numai către acele comutatoare care au porturi VLAN țintă (funcția de tăiere VTP). Comutatoare Cisco utilizați în principal protocolul Trunk 802.1Q în loc de ISL (Inter-Switch Link) proprietar moștenit pentru a asigura interoperabilitatea informațiilor.

În mod implicit, fiecare port de comutare are un VLAN1 sau un VLAN de gestionare. Rețeaua de control nu poate fi ștearsă, dar poate fi creată rețele suplimentare VLAN-urilor și acestor VLAN-uri alternative li se pot atribui opțional porturi.

VLAN nativ este un parametru per port care specifică numărul VLAN pe care îl primesc toate pachetele neetichetate.

Desemnarea de membru VLAN

Există următoarele soluții pentru aceasta:

  • după port (bazat pe port, 802.1Q): un VLAN este atribuit manual unui port de comutare. Dacă mai multe VLAN-uri trebuie să corespundă unui singur port (de exemplu, dacă conexiunea VLAN trece prin mai multe comutatoare), atunci acest port trebuie să fie un membru trunk. Un singur VLAN poate primi toate pachetele care nu sunt alocate niciunui VLAN (în terminologia 3Com, Planet, D-Link, Zyxel, HP - neetichetat, în terminologia Cisco - VLAN nativ). Comutatorul va eticheta acest VLAN la toate cadrele primite care nu au nicio etichetă. VLAN-urile bazate pe porturi au unele limitări.
  • după adresa MAC (bazat pe MAC): apartenența la VLANe se bazează pe adresa MAC a stației de lucru. În acest caz, comutatorul are un tabel de adrese MAC ale tuturor dispozitivelor împreună cu VLAN-urile cărora le aparțin.
  • Bazat pe protocol: datele de nivel 3-4 din antetul pachetului sunt utilizate pentru a determina apartenența la VLAN. De exemplu, -machines pot fi traduse în primul VLAN, iar AppleTalk -machines în al doilea. Principalul dezavantaj al acestei metode este că încalcă independența straturilor, astfel încât, de exemplu, tranziția de la IPv4 la IPv6 va duce la întreruperea rețelei.
  • Bazat pe autentificare: Dispozitivele pot fi mutate automat într-un VLAN pe baza datelor de autentificare a utilizatorului sau a dispozitivului atunci când se utilizează protocolul 802.1x.

Avantaje

  • Facilitează mutarea, adăugarea dispozitivelor și schimbarea conexiunilor între ele.
  • Un grad mai mare de control administrativ este atins datorită prezenței unui dispozitiv care realizează rutarea layer 3 între VLAN-uri.
  • Consumul de lățime de bandă este redus în comparație cu o situație de un singur domeniu de difuzare.
  • Reduce utilizarea procesorului în afara producției prin reducerea redirecționării mesajelor difuzate.
  • Prevenirea furtunilor de difuzare și prevenirea buclei.

Vezi si

Surse

  • Andrew Tanenbaum, 2003, „Computer Networks”, Pearson Education International, New Jersey.

Legături

  • Standardul IEEE 802.1Q versiunea 1998 (versiunea 2003) (versiunea 2005)
  • Ghid OpenWRT pentru VLAN-uri: oferă un ghid bun pentru începători pentru toate VLAN-urile
  • Câteva întrebări frecvente despre VLAN-uri

Continut Asemanator:

  1. Cum să găsiți manual viruși în computer?
  2. Cum să setați programul implicit pentru a deschide fișiere de un anumit tip în Windows
  3. Restaurarea unui sistem dintr-un punct de control
  4. Nu este suficient spațiu pe partiția de sistem