Meniul
AcasăYandex

Ce este vlan: tehnologie și configurație. Separarea rețelei folosind VLAN

Funcționalitatea comutatoarelor moderne vă permite să organizați rețele virtuale (VLAN) pentru a crea o infrastructură de rețea flexibilă. În prezent, rețelele VLAN nu sunt încă utilizate pe scară largă, în special în rețelele corporative mici. Acest lucru se datorează în mare măsură faptului că configurarea switch-urilor pentru a organiza rețelele VLAN este o sarcină foarte dificilă, mai ales dacă infrastructura de rețea include mai multe switch-uri. În plus, configurația comutatoarelor la crearea rețelelor VLAN, precum și configurarea altor funcționalități, pot diferi semnificativ între comutatoarele de la diferite companii, drept urmare producătorii cunoscuți de echipamente de rețea, cum ar fi Cisco, HP, 3Com , Allied Telesyn, Avaya, organizează cursuri speciale despre lucrul cu echipamentele lor. Este clar că simplificarea configurației echipamentelor dvs., făcând acest proces intuitiv și simplu și, cu atât mai mult, dezvoltarea unor acorduri comune și a unei interfețe unice pentru configurarea echipamentelor de la diferiți producători, în mod clar nu este în interesul producătorilor înșiși, dar utilizatorii sunt destul de capabil să înțeleagă în mod independent multe dintre capacitățile comutatoarelor. Prin urmare, în acest articol ne vom uita la capacitățile switch-urilor moderne pentru organizarea rețelelor virtuale și vom vorbi despre principiile de bază ale configurației lor.

Scopul rețelelor virtuale

Un VLAN virtual (Virtual LAN) este un grup de noduri de rețea care formează un domeniu de trafic de difuzare (Broadcast Domain). Această definiție este destul de corectă, dar nu foarte informativă, așa că vom încerca să interpretăm conceptul de rețea virtuală puțin diferit.

Atunci când se creează o rețea locală bazată pe un comutator, în ciuda posibilității de a utiliza filtre personalizate pentru a limita traficul, toate nodurile de rețea reprezintă un singur domeniu de difuzare, adică traficul de difuzare este transmis către toate nodurile de rețea. Astfel, comutatorul nu restricționează inițial traficul de difuzare, iar rețelele în sine, construite după acest principiu, sunt numite plate.

Rețelele virtuale formează un grup de noduri de rețea în care tot traficul, inclusiv traficul de difuzare, este complet izolat la nivelul legăturii de date de alte noduri de rețea. Aceasta înseamnă că transferul de cadre între nodurile de rețea aparținând diferitelor rețele virtuale pe baza adresei stratului de legătură nu este posibil (deși rețelele virtuale pot comunica între ele la nivel de rețea folosind routere).

Izolarea nodurilor de rețea individuale la nivelul legăturii de date folosind tehnologia rețelei virtuale vă permite să rezolvați mai multe probleme simultan. În primul rând, rețelele virtuale îmbunătățesc performanța rețelei prin localizarea traficului de difuzare în cadrul rețelei virtuale și creând o barieră împotriva furtunilor de difuzare. Comută pachetele de difuzare (precum și pachetele multicast și necunoscute) într-o rețea virtuală, dar nu între rețele virtuale. În al doilea rând, izolarea rețelelor virtuale una de cealaltă la nivelul legăturii vă permite să creșteți securitatea rețelei făcând unele resurse inaccesibile anumitor categorii de utilizatori.

Tipuri de rețele virtuale

De la apariția standardului general acceptat pentru organizarea rețelelor virtuale IEEE 802.1Q, fiecare producător de echipamente de rețea a folosit propria tehnologie de organizare VLAN. Această abordare a avut un dezavantaj semnificativ: tehnologiile unui producător erau incompatibile cu tehnologiile altor companii. Prin urmare, atunci când se construiesc rețele virtuale bazate pe mai multe switch-uri, a fost necesar să se utilizeze doar echipamente de la un producător. Adoptarea standardului de rețea virtuală IEEE 802.1Q a făcut posibilă depășirea problemei de incompatibilitate, dar mai există switch-uri care fie nu acceptă standardul IEEE 802.1Q, fie, pe lângă capacitatea de a organiza rețelele virtuale conform IEEE Standard 802.1Q, oferă alte tehnologii.

Există mai multe modalități de a construi rețele virtuale, dar astăzi switch-urile implementează în principal tehnologia de grupare de porturi sau folosesc specificația IEEE 802.1Q.

Rețele virtuale bazate pe gruparea de porturi

Rețelele virtuale bazate pe porturi sunt de obicei implementate în așa-numitele switch-uri inteligente sau switch-uri gestionate ca o completare la capacitatea de a organiza VLAN-uri bazate pe standardul IEEE 802.1Q.

Această metodă de a crea rețele virtuale este destul de simplă și, de regulă, nu provoacă probleme. Fiecare port de comutare este atribuit uneia sau alteia rețele virtuale, adică porturile sunt grupate în rețele virtuale. Decizia de a redirecționa un pachet de rețea în această rețea se bazează pe adresa MAC a destinatarului și pe portul asociat acestuia. Dacă conectați computerul unui utilizator la un port care este atribuit să aparțină unei anumite rețele virtuale, de exemplu, VLAN#1, atunci acest computer va aparține automat rețelei VLAN#1. Dacă un comutator este conectat la acest port, atunci toate porturile acestui comutator vor aparține și VLAN#1 (Fig. 1).

Orez. 1. Rețele virtuale construite folosind tehnologia de grupare de porturi bazată pe un comutator

Atunci când se utilizează tehnologia de grupare de porturi, același port poate fi atribuit simultan mai multor rețele virtuale, ceea ce face posibilă implementarea resurselor partajate între utilizatorii diferitelor rețele virtuale. De exemplu, pentru a implementa acces partajat la o imprimantă de rețea sau un server de fișiere între utilizatorii rețelelor virtuale VLAN#1 și VLAN#2, portul de comutare la care este conectată imprimanta de rețea sau serverul de fișiere trebuie să fie atribuit simultan VLAN#1 și VLAN. #. 2 (Fig. 2).

Orez. 2. Crearea unei resurse partajate între mai multe rețele virtuale folosind tehnologia de grupare de porturi

Tehnologia descrisă are o serie de avantaje în comparație cu utilizarea standardului IEEE 802.1Q, dar are și dezavantajele sale.

Avantajele includ ușurința de configurare a rețelelor virtuale. În plus, nu necesită ca nodurile terminale ale rețelei să accepte standardul IEEE 802.1Q și, deoarece majoritatea controlerelor de rețea Ethernet nu acceptă acest standard, organizarea unei rețele pe baza grupării de porturi poate fi mai ușoară. În plus, cu o astfel de organizare a rețelelor virtuale, acestea se pot intersecta, ceea ce vă permite să creați resurse de rețea partajate.

Tehnologia de creare a rețelelor virtuale bazate pe gruparea de porturi este utilizată atunci când se utilizează un singur comutator sau se utilizează un teanc de comutatoare cu management unificat. Cu toate acestea, dacă rețeaua este suficient de mare și construită pe mai multe switch-uri, atunci posibilitățile de organizare a rețelelor virtuale pe baza grupării de porturi au limitări semnificative. În primul rând, această tehnologie nu se scalează bine și în cele mai multe cazuri este limitată la un singur comutator.

Să luăm, ca exemplu, o situație în care rețeaua este construită pe baza a două switch-uri care suportă tehnologia organizării rețelelor virtuale pe baza grupării de porturi (Fig. 3).

Orez. 3. Implementarea rețelelor virtuale bazate pe gruparea de porturi folosind două switch-uri

Să fie necesar ca unele dintre porturile primului și celui de-al doilea switch să aparțină VLAN#1, iar cealaltă parte să aparțină VLAN#2. Pentru a face acest lucru, este necesar, în primul rând, ca ambele switch-uri să permită nu numai organizarea rețelelor virtuale pe baza grupării de porturi, ci și distribuirea unor astfel de rețele către mai multe switch-uri (nu toate switch-urile au o astfel de funcție) și, în al doilea rând, ca cât mai multe conexiuni deoarece sunt create rețele virtuale. Să ne uităm la două switch-uri cu șase porturi. Lăsați primele porturi de comutare 1 și 2 să aparțină VLAN#1, iar porturile 3 și 4 VLAN#2; în al doilea comutator, porturile 1, 2 și 3 sunt atribuite VLAN#1, iar portul 4 este atribuit VLAN#2. Pentru ca utilizatorii de pe VLAN#1 de pe primul comutator să comunice cu utilizatorii de pe VLAN#1 de pe cel de-al doilea switch, switch-urile trebuie să fie conectate la porturi care aparțin VLAN#1 (de exemplu, portul 5 de pe primul și al doilea switch). trebuie să fie atribuit VLAN#1). În mod similar, pentru a comunica între utilizatorii de pe VLAN#2 al primului switch și utilizatorii de pe VLAN#2 de pe cel de-al doilea switch, trebuie să conectați aceste switch-uri prin porturile alocate VLAN#2 (acesta ar putea fi portul 6 pe ambele switch-uri). Astfel, problema scalabilității rețelelor virtuale bazate pe tehnologia de grupare de porturi este rezolvată (deși nu în toate cazurile) prin stabilirea de conexiuni redundante între switch-uri.

Rețele virtuale bazate pe standardul IEEE 802.1Q

Dacă aveți o infrastructură de rețea dezvoltată cu multe switch-uri, tehnologia IEEE 802.1Q va fi o soluție mai eficientă pentru crearea de rețele virtuale. În rețelele virtuale bazate pe standardul IEEE 802.1Q, informațiile despre apartenența cadrelor Ethernet transmise la o anumită rețea virtuală sunt incluse în cadrul transmis în sine. Astfel, standardul IEEE 802.1Q definește modificări ale structurii cadrului Ethernet care permit transmiterea informațiilor VLAN în rețea.

O etichetă de 4 octeți este adăugată la cadrul Ethernet astfel de cadre sunt numite cadre etichetate. Biții suplimentari conțin informații despre apartenența cadrului Ethernet la rețeaua virtuală și prioritatea acesteia (Fig. 4).

Eticheta de cadru adăugată include un câmp TPID (Tag Protocol Identifier) ​​de doi octeți și un câmp TCI (Tag Control Information) de doi octeți. Câmpul TCI, la rândul său, constă din câmpurile Prioritate, CFI și VID. Câmpul Prioritate pe 3 biți specifică opt niveluri posibile de prioritate a cadrelor. Câmpul VID (ID VLAN) pe 12 biți este identificatorul rețelei virtuale. Acești 12 biți vă permit să definiți 4096 de rețele virtuale diferite, dar ID-urile 0 și 4095 sunt rezervate pentru utilizare specială, astfel încât un total de 4094 de rețele virtuale pot fi definite în standardul 802.1Q. Câmpul CFI (Canonical Format Indicator) pe 1 bit este rezervat pentru a indica alte tipuri de cadre de rețea (Token Ring, FDDI) transmise prin coloana vertebrală Ethernet și este întotdeauna 0 pentru cadrele Ethernet.

Schimbarea formatului cadrului Ethernet înseamnă că dispozitivele de rețea care nu acceptă standardul IEEE 802.1Q (astfel de dispozitive se numesc Tag-unaware) nu pot funcționa cu cadre în care sunt introduse etichete, iar astăzi marea majoritate a dispozitivelor de rețea (în special, Ethernet rețele) -controlere de nod final de rețea) nu acceptă acest standard. Prin urmare, pentru a asigura compatibilitatea cu dispozitivele care acceptă standardul IEEE 802.1Q (dispozitive Tag-aware), comutatoarele IEEE 802.1Q trebuie să accepte atât cadre Ethernet tradiționale, adică cadre neetichetate, cât și cadre etichetate.

Traficul de intrare și de ieșire, în funcție de tipul de sursă și de destinatar, poate fi format atât din cadre Etichetate, cât și din cadre Neetichetate, numai în acest caz se poate realiza compatibilitatea cu dispozitivele externe. Traficul din interiorul comutatorului este întotdeauna format din pachete de tip Tagged. Prin urmare, pentru a suporta diferite tipuri de trafic și pentru ca traficul intern de comutator să fie format din pachete Tagged, cadrele de pe porturile de recepție și de transmisie ale comutatorului trebuie convertite în conformitate cu reguli predefinite.

Reguli de intrare

Să aruncăm o privire mai atentă asupra procesului de transmitere a unui cadru prin comutator (Fig. 5). În ceea ce privește traficul, fiecare port de comutare poate fi atât o intrare, cât și o ieșire. După ce cadrul este recepționat de portul de intrare al comutatorului, decizia privind procesarea lui ulterioară se ia pe baza regulilor predefinite ale portului de intrare (reguli de intrare). Deoarece cadrul primit poate fi de tip Tagged sau Untagged, regulile portului de intrare determină ce tipuri de cadre trebuie acceptate de port și care ar trebui filtrate. Sunt posibile următoarele opțiuni: primirea numai a cadrelor de tipul Tagged, primirea numai a cadrelor de tip Untagged, primirea cadrelor de ambele tipuri. În mod implicit, toate comutatoarele sunt configurate de regulile portului de intrare pentru a putea accepta ambele tipuri de cadre.

Orez. 5. Procesul de redirecționare a cadrelor într-un comutator compatibil IEEE 802.1Q

Dacă regulile portului de intrare determină că poate primi un cadru Tagged, care conține informații despre apartenența la o anumită rețea virtuală (VID), atunci acest cadru este transmis fără modificare. Și dacă este posibil să lucrați cu cadre de tip Untagged, care nu conțin informații despre apartenența la o rețea virtuală, atunci în primul rând un astfel de cadru este convertit de portul de intrare al comutatorului în tipul Tagged (reamintim că în interiorul comutatorul toate cadrele trebuie să aibă etichete despre apartenența la rețeaua virtuală) .

Pentru a face posibilă această conversie, fiecărui port de comutare i se atribuie un PVID (Port VLAN Identifier) ​​unic, care determină dacă portul aparține unei anumite rețele virtuale din cadrul switch-ului (în mod implicit, toate porturile de comutare au același PVID=1). Un cadru de tip Untagged este convertit într-un tip Tagged, pentru care este completat cu o etichetă VID (Fig. 6). Valoarea câmpului VID al cadrului neetichetat de intrare este setată egală cu valoarea PVID a portului de intrare, adică toate cadrele neetichetate de intrare sunt atribuite automat rețelei virtuale din interiorul comutatorului căruia îi aparține portul de intrare.

Reguli pentru expedierea pachetelor (Proces de expediere)

După ce toate cadrele de intrare au fost filtrate, transformate sau lăsate neschimbate conform regulilor portului de intrare, decizia de a le redirecționa către portul de ieșire se bazează pe reguli de redirecționare a pachetelor predefinite. Regula pentru redirecționarea pachetelor într-un comutator este că pachetele pot fi redirecționate numai între porturile asociate aceleiași rețele virtuale. După cum sa menționat deja, fiecărui port i se atribuie un identificator PVID, care este folosit pentru a converti cadrele neetichetate primite, precum și pentru a determina dacă portul aparține unei rețele virtuale din interiorul switch-ului cu identificatorul VID=PVID. Astfel, porturile cu aceleași ID-uri în cadrul aceluiași switch sunt asociate cu aceeași rețea virtuală. Dacă o rețea virtuală este construită pe baza unui singur comutator, atunci identificatorul de port PVID, care determină apartenența sa la rețeaua virtuală, este destul de suficient. Adevărat, rețelele create în acest fel nu se pot suprapune, deoarece fiecărui port de comutare îi corespunde un singur identificator. În acest sens, rețelele virtuale create nu ar avea aceeași flexibilitate ca și rețelele virtuale bazate pe porturi. Cu toate acestea, IEEE 802.1Q a fost conceput de la început pentru a construi o infrastructură de rețea virtuală scalabilă, multi-switch, iar acesta este principalul său avantaj față de tehnologia VLAN bazată pe porturi. Dar pentru a extinde rețeaua dincolo de un singur switch, ID-urile de port nu sunt suficiente, astfel încât fiecare port poate fi asociat cu mai multe rețele virtuale care au VID-uri diferite.

Dacă adresa de destinație a pachetului se potrivește cu un port de comutare care aparține aceleiași rețele virtuale ca și pachetul însuși (pachetul VID și portul VID, sau pachetul VID și portul PVID pot fi aceleași), atunci un astfel de pachet poate fi transmis. Dacă cadrul transmis aparține unei rețele virtuale cu care portul de ieșire nu este conectat în niciun fel (VID-ul pachetului nu se potrivește cu PVID/VID-ul portului), atunci cadrul nu poate fi transmis și este aruncat.

Reguli de ieșire

Odată ce cadrele din interiorul comutatorului sunt transmise către portul de ieșire, transformarea lor ulterioară depinde de regulile portului de ieșire. După cum sa menționat deja, traficul din interiorul switch-ului este generat numai de pachete de tip Tagged, iar traficul de intrare și de ieșire poate fi generat de pachete de ambele tipuri. În consecință, regulile portului de ieșire (Regula de control al etichetelor) determină dacă cadrele etichetate ar trebui convertite în format neetichetat.

Fiecare port de comutare poate fi configurat ca Port Etichetat sau Neetichetat. Dacă portul de ieșire este definit ca Port etichetat, atunci traficul de ieșire va fi generat de cadrele etichetate cu informații despre apartenența la rețeaua virtuală. Prin urmare, portul de ieșire nu modifică tipul de cadre, lăsându-le la fel ca în interiorul comutatorului. Doar un dispozitiv compatibil cu standardul IEEE 802.1Q poate fi conectat la portul specificat, cum ar fi un comutator sau un server cu o placă de rețea care acceptă rețele virtuale ale acestui standard.

Dacă portul de ieșire al comutatorului este definit ca Port neetichetat, atunci toate cadrele de ieșire sunt convertite la tipul Neetichetat, adică informații suplimentare despre apartenența la rețeaua virtuală sunt eliminate din ele. Puteți conecta orice dispozitiv de rețea la acest port, inclusiv un comutator care nu este compatibil cu standardul IEEE 802.1Q sau PC-uri client final ale căror plăci de rețea nu acceptă rețele virtuale ale acestui standard.

Configurarea rețelelor virtuale IEEE 802.1Q

Să ne uităm la exemple specifice de configurare a rețelelor virtuale ale standardului IEEE 802.1Q.

Pentru a crea o rețea VLAN în conformitate cu standardul IEEE 802.1Q, trebuie să faceți următoarele:

  • setați numele rețelei virtuale (de exemplu, VLAN#1) și determinați identificatorul acesteia (VID);
  • selectați porturile care vor aparține acestei rețele virtuale;
  • stabiliți regulile pentru porturile de intrare ale rețelei virtuale (capacitatea de a lucra cu cadre de toate tipurile, numai cu cadre neetichetate sau numai cu cadre etichetate);
  • setați PVID-uri identice pentru porturile incluse în rețeaua virtuală;
  • setați regulile portului de ieșire pentru fiecare port de rețea virtuală configurându-le ca Port etichetat sau Port neetichetat.

Apoi, trebuie să repetați pașii de mai sus pentru următoarea rețea virtuală. Trebuie reținut că fiecărui port i se poate atribui un singur PVID, dar același port poate face parte din diferite rețele virtuale, adică poate fi asociat cu mai multe VID-uri simultan.

Tabelul 1. Setarea caracteristicilor portului la crearea rețelelor virtuale bazate pe un comutator

Exemple de construire a rețelelor VLAN bazate pe comutatoare compatibile cu standardul IEEE 802.1Q

Acum să ne uităm la exemple tipice de construire a rețelelor virtuale bazate pe comutatoare care acceptă standardul IEEE 802.1Q.

Dacă există un singur comutator la ale cărui porturi sunt conectate computerele utilizatorului final, atunci pentru a crea rețele virtuale care sunt complet izolate unele de altele, toate porturile trebuie declarate ca porturi Untagget pentru a asigura compatibilitatea cu controlerele de rețea Ethernet client. Apartenența nodurilor de rețea la un anumit VLAN este determinată prin specificarea identificatorului de port PVID.

Să luăm un switch cu opt porturi, pe baza căruia sunt create trei rețele virtuale izolate VLAN#1, VLAN#2 și VLAN#3 (Fig. 7). Primul și cel de-al doilea port de comutare au PVID=1. Deoarece identificatorii acestor porturi coincid cu identificatorul primei rețele virtuale (PVID=VID), aceste porturi formează rețeaua virtuală VLAN#1 (Tabelul 1). Dacă porturile 3, 5 și 6 sunt atribuite PVID=2 (la fel ca și VID VLAN#2), atunci a doua rețea virtuală va fi formată din porturile 3, 4 și 8. VLAN#3 este format în mod similar pe baza portului 5, 6 și 7. Pentru a asigura compatibilitatea cu echipamentele finale (se presupune că PC-urile clienților de rețea ale căror plăci de rețea nu sunt compatibile cu standardul IEEE 802.1Q sunt conectate la porturile switch-ului), toate porturile trebuie configurate ca Neetichetate.

Orez. 7. Organizarea a trei rețele VLAN conform standardului IEEE 802.1Q bazat pe un comutator

Dacă infrastructura de rețea include mai multe switch-uri care acceptă standardul IEEE 802.1Q, atunci trebuie utilizat un principiu de configurare ușor diferit pentru a comunica între switch-uri. Să luăm în considerare două switch-uri cu șase porturi care acceptă standardul IEEE 802.1Q și pe baza cărora este necesară configurarea a trei rețele virtuale VLAN#1, VLAN#2 și VLAN#3 izolate între ele.

Prima rețea virtuală să includă clienții conectați la porturile 1 și 2 ale primului switch și la porturile 5 și 6 ale celui de-al doilea switch. VLAN#2 include clienții conectați la portul 3 al primului switch și portul 1 al celui de-al doilea switch, iar VLAN#3 include clienții conectați la porturile 4 și 5 ale primului switch și porturile 2 și 3 ale celui de-al doilea switch. Portul 6 al primului comutator și portul 4 al celui de-al doilea comutator sunt folosite pentru a comunica între comutatoare (Figura 8).

Orez. 8. Organizarea a trei rețele VLAN conform standardului IEEE 802.1Q bazat pe două switch-uri

Pentru a configura aceste rețele virtuale, trebuie mai întâi să definiți pe fiecare dintre switch-uri trei rețele virtuale VLAN#1, VLAN#2 și VLAN#3, specificând identificatorii acestora (VID=1 pentru VLAN#1, VID=2 pentru VLAN#2 și VID=3 pentru VLAN#3).

La primul comutator, porturile 1 și 2 trebuie să facă parte din VLAN#1, pentru care aceste porturi sunt atribuite PVID=1. Portul 2 al primului switch trebuie să fie atribuit VLAN#2, pentru care identificatorului de port i se atribuie valoarea PVID=2. În mod similar, porturile 5 și 6 ale primului comutator sunt setate la PVID=3, deoarece aceste porturi aparțin VLAN#3. Toate porturile specificate de pe primul comutator trebuie configurate ca Port neetichetat pentru a asigura compatibilitatea cu plăcile de rețea client.

Portul 4 al primului comutator este utilizat pentru a comunica cu cel de-al doilea comutator și trebuie să transmită cadre ale tuturor celor trei rețele virtuale fără modificarea celui de-al doilea comutator. Prin urmare, trebuie configurat ca Port etichetat și inclus în toate cele trei rețele virtuale (asociate cu VID=1, VID=2 și VID=3). În acest caz, identificatorul de port nu contează și poate fi orice (în cazul nostru, PVID=4).

O procedură similară pentru configurarea rețelelor virtuale este efectuată pe al doilea comutator. Configurațiile portului celor două comutatoare sunt prezentate în tabel. 2.

Tabelul 2. Setarea caracteristicilor portului la crearea rețelelor virtuale bazate pe două comutatoare

Înregistrare automată în rețelele virtuale IEEE 802.1Q

Exemplele de rețele virtuale discutate au fost legate de așa-numitele rețele virtuale statice (Static VLAN), în care toate porturile sunt configurate manual, ceea ce, deși foarte vizual, este destul de rutină cu o infrastructură de rețea dezvoltată. În plus, de fiecare dată când utilizatorii se mută în cadrul rețelei, rețeaua trebuie reconfigurată pentru a-și menține apartenența la rețelele virtuale date, iar acest lucru, desigur, este extrem de nedorit.

Există o modalitate alternativă de configurare a rețelelor virtuale, iar rețelele create în acest fel se numesc rețele virtuale dinamice (Dynamic VLAN). În astfel de rețele, utilizatorii se pot înregistra automat în rețeaua VLAN, pentru care se utilizează protocolul special de înregistrare GVRP (GARP VLAN Registration Protocol). Acest protocol definește modul în care comutatoarele schimbă informații VLAN pentru a înregistra automat membrii VLAN pe porturile din rețea.

Toate switch-urile care acceptă GVRP pot primi în mod dinamic informații de înregistrare VLAN de la alte switch-uri (și, prin urmare, redirecționează către alte switch-uri), inclusiv membrii actuali VLAN, portul prin care membrii VLAN pot fi accesați și așa mai departe. Pentru a comunica de la un comutator la altul, protocolul GVRP utilizează mesaje GVRP BPDU (GVRP Bridge Protocol Data Units). Orice dispozitiv compatibil GVPR care primește un astfel de mesaj se poate alătura în mod dinamic la VLAN-ul despre care este notificat.

Articolul dezvăluie caracteristicile instalării tehnologiei VLAN folosind exemplul unui echipament specific.

O zi buna, draga vizitatoare. Astăzi, ca de obicei, după buna noastră tradiție, vă voi spune ceva interesant. Și povestea de astăzi va fi despre un lucru minunat în rețelele locale numit VLAN. Există destul de multe varietăți ale acestei tehnologii în natură, nu vom vorbi despre toate, ci doar despre cele care ar rezolva problema cu care se confruntă compania noastră. Această tehnologie a fost folosită de mai multe ori de către specialiștii noștri în practica noastră de outsourcing IT din regiune Dar de data aceasta, totul a fost ceva mai interesant, pentru că... echipamentul cu care a trebuit să lucrăm a fost oarecum „demontat” (o sarcină similară anterioară a fost lansată pe comutatorul D-link DES-1210-28). Dar mai întâi lucrurile.

Ce esteVLAN?

Un VLAN, o rețea locală logică („virtuală”), este un grup de gazde cu un set comun de cerințe care interacționează ca și cum ar fi conectate la un domeniu de difuzare, indiferent de locația lor fizică. Un VLAN are aceleași proprietăți ca un LAN fizic, dar permite stațiilor finale să se grupeze, chiar dacă nu se află în aceeași rețea fizică. Această reorganizare se poate face pe bază de software în loc de dispozitive care se deplasează fizic.

Această tehnologie vă permite să efectuați două sarcini:

1) grupați dispozitivele la nivel de legătură de date (adică dispozitivele situate în același VLAN), deși pot fi conectate fizic la diferite comutatoare de rețea (situate, de exemplu, la distanță geografică);

2) distinge între dispozitivele (situate în VLAN-uri diferite) conectate la același switch.

Cu alte cuvinte, VLAN-urile vă permit să creați domenii de difuzare separate, reducând astfel procentul de trafic de difuzare în rețea.

Port- BazaVLAN

Port-Base VLAN – este un grup de porturi sau un port pe un comutator care face parte dintr-un VLAN. Porturile dintr-un astfel de VLAN sunt numite neetichetate (neetichetate), acest lucru se datorează faptului că cadrele care vin și pleacă din port nu au o etichetă sau un identificator. Această tehnologie poate fi descrisă pe scurt - VLAN-urile sunt doar în comutator. Vom lua în considerare această tehnologie pe comutatorul gestionat D-link DGS-1100-24.

IEEE 802.1Q

IEEE 802.1Q este un standard deschis care descrie o procedură de etichetare a traficului pentru a transmite informații despre apartenența la VLAN. Pentru a face acest lucru, o etichetă care conține informații despre apartenența la VLAN este plasată în corpul cadrului. Deoarece eticheta este plasată în corp și nu în antetul cadrului, apoi dispozitivele care nu acceptă VLAN-uri trec traficul în mod transparent, adică fără a ține cont de legarea acestuia la un VLAN.

Un pic de dependență, și anume, procedura de plasare a unei etichete într-un cadru se numește injecție.

Dimensiunea etichetei este de 4 octeți. Este format din următoarele câmpuri:

  • Identificator de protocol de etichetare (TPID, identificator de protocol de etichetare). Dimensiunea câmpului este de 16 biți. Indică ce protocol este utilizat pentru etichetare. Pentru 802.1Q valoarea este 0x8100.
  • Prioritate. Dimensiunea câmpului este de 3 biți. Folosit de standardul IEEE 802.1p pentru a seta prioritatea traficului transmis.
  • Indicator de format canonic (CFI, indicator de format canonic). Dimensiunea câmpului este de 1 bit. Indică formatul adresei MAC. 0 - canonic, 1 - necanonic. CFI este utilizat pentru interoperabilitatea între rețelele Ethernet și Token Ring.
  • Identificator VLAN (VID, identificator VLAN). Dimensiunea câmpului este de 12 biți. Indică cărei VLAN îi aparține cadrul. Intervalul de valori posibile este de la 0 la 4095.

Porturi în 802.1Q

Porturile pot fi în unul dintre următoarele moduri:

  • Port etichetat (în terminologia CISCO - port trunk) - portul trece pachete etichetate cu numerele VLAN specificate, dar nu etichetează pachetele în niciun fel
  • Port neetichetat (în terminologia CISCO - port de acces) - portul trece în mod transparent traficul neetichetat pentru VLAN-ul specificat dacă traficul merge către alte porturi de comutare din afara VLAN-ului specificat, atunci este deja vizibil acolo ca etichetat cu numărul acestui VLAN; .
  • Portul nu aparține niciunui VLAN și nu participă la funcționarea comutatorului

Exemplu. Exista un spatiu de birouri in care departamentul HR este impartit in doua etaje este necesar ca angajatii sa fie separati de reteaua generala. Există două întrerupătoare. Să creăm VLAN 3 pe unul și pe celălalt, să specificăm porturile care vor fi într-unul dintre VLAN-uri ca Untagget Port. Pentru ca comutatoarele să înțeleagă la care VLAN este adresat un cadru, au nevoie de un port prin care traficul va fi trimis către același VLAN al altui switch. Să selectăm, de exemplu, un port și să-l specificăm ca Tagget. Dacă, pe lângă VLAN 3, avem și altele, iar PC-1 situat în VLAN 3 caută PC-2, atunci traficul de difuzare nu va „călătorește” în întreaga rețea, ci doar în VLAN 3. Cadrul care sosește va fi trecut prin tabelul MAC, dacă adresa destinatarului nu este găsită, un astfel de cadru va fi trimis prin toate porturile VLAN-ului din care a provenit și portul Tagget cu eticheta VLAN, astfel încât un alt comutator să reproducă difuzarea către grupul de porturi specificat în domeniul VID. Acest exemplu descrie un VLAN - un port poate fi doar într-un VLAN.

IEEE 802.1anunț

802.1ad este un standard deschis (asemănător cu 802.1q) care descrie o etichetă dublă. De asemenea, cunoscut sub numele de Q-in-Q sau VLAN-uri stivuite. Principala diferență față de standardul anterior este prezența a două VLAN-uri - externe și interne, ceea ce vă permite să împărțiți rețeaua nu în 4095 VLAN-uri, ci în 4095x4095.

Scenariile pot fi diferite - furnizorul trebuie să „redirecționeze” trunchiul clientului fără a afecta schema de numerotare VLAN, sarcina trebuie echilibrată între subinterfețele din rețeaua furnizorului sau pur și simplu nu există suficiente numere. Cel mai simplu lucru este să faci o altă etichetă de același tip.

AsimetricVLAN

În terminologiile D-Link, precum și în setările VLAN, există conceptul de VLAN asimetric - acesta este un VLAN în care un port poate fi în mai multe VLAN-uri.

Statele portului se schimbă

  • Porturile etichetate funcționează ca înainte
  • Devine posibilă atribuirea mai multor porturi la mai multe VLAN-uri ca neetichetate. Acestea. un port funcționează în mai multe VLAN-uri simultan ca neetichetat
  • Fiecare port are un alt parametru PVID - acesta este ID-ul VLAN, care este folosit pentru a marca traficul de pe acest port dacă merge la porturile etichetate și în afara comutatorului. Fiecare port poate avea un singur PVID

Astfel, obținem faptul că în interiorul dispozitivului un port poate aparține mai multor VLAN-uri deodată, dar, în același timp, traficul care părăsește portul etichetat (TRUNK) va fi marcat cu numărul pe care l-am setat în PVID.

Limitare: IGMP Snooping nu funcționează când se utilizează VLAN-uri asimetrice.

Crearea unui VLAN activatD-legăturăDGS-1100-24.

Ce este disponibil. Două comutatoare, unul dintre ele este D-link DGS-1100-24, comutatorul nr. 2 este conectat la el. Comutatorul nr. 2 conectează mașinile utilizatorilor – absolut toate – precum și serverele, o poartă implicită și stocarea în rețea.

Sarcină. Limitați departamentul HR din mediul general, astfel încât serverele, gateway-ul și stocarea în rețea să fie accesibile.

În plus, comutatorul D-link DGS-1100-24 tocmai a fost scos din cutie. În mod implicit, majoritatea switch-urilor gestionate D-Link au adresa 10.90.90.90/8. Nu ne interesează să fim fizic la comutator sau să schimbăm adresa. Există un utilitar special, D-Link SmartConsole Utility, care ajută la găsirea dispozitivului nostru în rețea. După instalare, lansați utilitarul.

Înainte de a trece la configurare, să comutăm corect porturile:

1) Comutați portul departamentului HR de la comutatorul nr. 2 la comutatorul nr. 1

2) Comutați serverele, gateway-ul și stocarea în rețea de la comutatorul nr. 2 la comutatorul nr. 1

3) Conectați comutatorul nr. 2 la comutatorul nr. 1

După o astfel de comutare, vedem următoarea imagine: serverele, gateway-ul, stocarea în rețea și departamentul HR sunt conectate la comutatorul nr. 1, iar toți ceilalți utilizatori sunt conectați la comutatorul nr. 2.

Faceți clic pe butonul „Descoperire”.

Bifați caseta și faceți clic pe pictograma roată pentru a deschide fereastra de setări ale comutatorului. După ce setați adresa, masca și gateway-ul, scrieți parola, care implicit este admin.

Faceți clic pe „Adăugați VLAN” și specificați numele și porturile VLAN

Faceți clic pe „Aplicați”

După crearea VLAN-urilor necesare, salvați setările făcând clic pe „Salvați”, „Salvați configurația”

Deci, vedem că VLAN 3 nu are acces la porturile 01-08, 15-24 - prin urmare, nu are acces la servere, gateway, stocare în rețea, VLAN2 și alți clienți - care sunt conectați la comutatorul nr. 2. Cu toate acestea, VLAN 2 are acces la servere, gateway și stocare în rețea, dar nu și la alte mașini. Și, în sfârșit, toate celelalte mașini văd serverele, gateway-ul, stocarea în rețea, dar nu văd porturile 05,06.]

Astfel, dacă aveți anumite cunoștințe despre caracteristicile echipamentului și abilitățile de outsourcing IT, puteți satisface nevoile clientului chiar și cu un astfel de echipament de buget precum comutatorul D-Link DGS1100-24.

Toți oamenii, pacea cu voi!

Să ne imaginăm această situație. Avem un birou pentru o companie mica cu 100 de calculatoare si 5 servere. Totodată, această firmă angajează diverse categorii de angajați: manageri, contabili, ofițeri de personal, tehnicieni specialiști, administratori. Este necesar ca fiecare departament să lucreze în propria subrețea. Cum se delimitează traficul acestei rețele? În general, există două astfel de metode: prima metodă este de a împărți grupul de adrese IP în subdiviziuni și de a-și aloca propria subrețea pentru fiecare departament, a doua metodă este de a folosi un VLAN.

VLAN (Virtual Local Area Network) este un grup de noduri de rețea al căror trafic, inclusiv difuzarea, este complet izolat la nivelul legăturii de date de traficul altor noduri de rețea. În rețelele moderne, VLAN este mecanismul principal pentru crearea unei topologii de rețea logice care este independentă de topologia sa fizică.

Tehnologia VLAN este definită în IEEE 802.1q, un standard deschis care descrie procedura de etichetare pentru transmiterea informațiilor de membru VLAN. 802.1q plasează o etichetă într-un cadru Ethernet care transmite informații despre apartenența traficului la un VLAN.

Să ne uităm la câmpurile VLAN TAG:

  • TPID (Tag Protocol Identifier) ​​- identificator de protocol de etichetare. Indică ce protocol este utilizat pentru etichetare. Pentru 802.1Q valoarea este 0x8100.
  • Prioritate - prioritate. Folosit pentru a seta prioritatea traficului transmis (QoS).
  • CFI (Canoncial Format Indicator) - indică formatul adresei MAC (Ethernet sau Token Ring).
  • VID (Vlan Indentifier) ​​- identificator VLAN. Indică cărei VLAN îi aparține cadrul. Puteți seta un număr de la 0 la 4094.

Când trimite cadre, computerul nu știe în ce VLAN se află - comutatorul face acest lucru. Comutatorul știe la ce port este conectat computerul și pe baza acestuia va determina în ce VLAN se află acest computer.

Comutatorul are două tipuri de porturi:

  • Port etichetat (etichetat, trunk) - un port prin care traficul mai multor grupuri VLAN poate fi transmis sau primit. Când este transmis printr-un port etichetat, o etichetă VLAN este adăugată la cadru. Folosit pentru a se conecta la comutatoare, routere (adică acele dispozitive care recunosc etichetele VLAN).
  • Port neetichetat (neetichetat, acces) - portul prin care sunt transmise cadrele neetichetate. Folosit pentru a se conecta la nodurile finale (calculatoare, servere). Fiecare port neetichetat este într-un anumit VLAN. La transmiterea traficului de pe acest port, eticheta VLAN este eliminată și traficul neetichetat merge către computer (care nu recunoaște VLAN-ul). În caz contrar, atunci când traficul este primit pe un port neetichetat, i se adaugă o etichetă VLAN.

Configurarea VLAN pe comutatorul gestionat Dlink DES-3528

Seria de switch-uri DES-3528/3552 xStack include comutatoare de acces stivuibile L2+ care conectează în siguranță utilizatorii finali la rețelele de întreprinderi mari și întreprinderi mici și mijlocii (IMM). Comutatoarele oferă stivuire fizică, rutare statică, suport pentru grupuri multicast și caracteristici avansate de securitate. Toate acestea fac din acest dispozitiv o soluție ideală la nivel de acces. Comutatorul se integrează cu ușurință cu comutatoarele de bază L3 pentru a forma o structură de rețea pe mai multe niveluri, cu o coloană vertebrală de mare viteză și servere centralizate. Switch-urile din seria DES-3528/3552 sunt echipate cu 24 sau 48 de porturi Ethernet 10/100Mbps și acceptă până la 4 porturi de uplink Gigabit Ethernet.

Să ne uităm la principiile configurării VLAN-urilor pe comutatoarele Dlink gestionate. În timpul lucrului, vom studia modalități de a crea, șterge, schimba VLAN-uri și adăuga diferite tipuri de porturi (etichetate și neetichetate).

Conexiunea la comutator se face prin portul consolei folosind programul HyperTerminal.

Folosind comanda show vlan, vom vedea informații despre VLAN-urile existente.

În figura de mai sus, puteți vedea că inițial este creat un singur VLAN implicit pe switch, numit implicit. Comanda show vlan afișează următoarele câmpuri:

  • VID – identificator VLAN
  • Tip VLAN – tip VLAN
  • Porturi membre – porturi participante
  • Porturi statice – porturi statice
  • Porturi etichetate curente – porturi etichetate curente
  • Current Untagged Ports – porturi curente neetichetate
  • Porturi etichetate statice – porturi etichetate statice
  • Static Untagged Ports – porturi statice neetichetate
  • Total de intrări – total de intrări
  • Nume VLAN – nume VLAN
  • Publicitate – statut

Să creăm un nou VLAN, în care inițialele AA sunt folosite ca nume, iar numărul 22 este folosit ca identificator. Pentru a face acest lucru, vom folosi comanda create vlan.

Noul VLAN nu include încă un singur port. Folosind config vlan, vom schimba VLAN AA, astfel încât porturile etichetate 10, 14-17 și porturile neetichetate 2-5 să apară în el.

Folosind comanda show vlan vom afișa informații despre VLAN-urile create.

Se știe că porturile etichetate pot fi incluse în mai multe VLAN-uri, iar porturile neetichetate pot fi incluse doar într-un singur VLAN. În prezent, atât porturile etichetate, cât și cele neetichetate sunt incluse în VLAN și VLAN AA implicit. Folosind comanda config vlan, vom elimina toate porturile utilizate în VLAN AA din VLAN-ul implicit.

Din figura de mai sus puteți vedea că acum porturile 2-5, 10, 14-17 sunt doar în VLAN AA.

Să luăm în considerare împărțirea rețelei în diferite VLAN-uri. Un circuit a fost asamblat în dulapul de cablaje și este configurată subrețeaua 10.0.0.0 /8.

La momentul inițial de timp, toate computerele sunt pe aceeași subrețea și fac ping reciproc. Este necesar să le separați astfel încât PC22, PC20, PC18 să fie într-un VLAN, iar PC 19, PC21 să fie într-un alt VLAN. Pentru a face acest lucru, creăm două VLAN-uri:

  • VLAN=10 numit net1 (PC18, PC20, PC22)
  • VLAN=20 numit net2 (PC19, PC21)

Pe baza diagramei, a fost elaborat un plan de configurare a porturilor pentru comutatoare. S-a luat în considerare faptul că era necesar să se utilizeze porturi neetichetate pentru computere și porturi etichetate pentru conexiunile între comutatoare. La configurarea comutatoarelor, porturile etichetate au fost plasate în VLAN=10 și VLAN=20, iar porturile neetichetate au fost plasate numai în VLAN-ul căruia îi aparține computerul.

Pe fiecare dintre comutatoare, trebuie să configurați porturile în conformitate cu diagrama. Figura de mai jos prezintă un exemplu de configurare a SW5. Mai întâi, este creat un vlan cu identificatorul net1 și eticheta 10. Apoi, creăm al doilea vlan net2 cu eticheta 20. După aceea, adăugăm porturile de comutare la vlan-urile corespunzătoare. Portul 1 este conectat la PC22, care se află în VLAN 10. Aceasta înseamnă că 1 port va fi neetichetat. Al doilea port conform diagramei este conectat la SW4 și ar trebui să treacă prin 10 și 20 de VLAN-uri.

Comutatoarele rămase sunt configurate în același mod.

Folosind comanda show vlan, vom vizualiza fiecare dintre VLAN-urile pe care le-am creat.

Un alt instrument mic care poate crește ușor gradul de utilizare: bannerul. Acesta este anunțul pe care Cisco îl va afișa înainte de a autoriza dispozitivul.

Switch(config)#banner motd q Introduceți mesajul TEXT. Încheiați cu caracterul „q”. Este doar un banner. q Comutare(config)#
După motd specificați un caracter care va semnala că linia este terminată. În acest exemplu punem „q”.

In ceea ce priveste continutul bannerului. Există o astfel de legendă: un hacker a pătruns într-o rețea, a spart/a furat ceva, a fost prins, iar la proces a fost achitat și eliberat. De ce? Dar pentru că pe routerul de frontieră (între Internet și rețeaua internă), în banner era scris cuvântul „Bun venit”. „Ei bine, de când au întrebat, am intrat”). Prin urmare, este considerată o practică bună să scrieți ceva de genul „Acces refuzat!”.

Pentru a vă organiza cunoștințele punct cu punct, să vedem ce trebuie să faceți:

1) Configurați numele gazdei. Acest lucru vă va ajuta pe viitor într-o rețea reală pentru a afla rapid unde vă aflați.
Switch(config)#hostname HOSTNAME

2) Creați toate vlan-urile și dați-le un nume
Switch(config)#vlan VLAN-NUMBER Comutator(config-vlan)#name NAME-OF-VLAN

3) Configurați toate porturile de acces și dați-le un nume
Comutare(config-if)#descriere DESCRIEREA INTERFEȚEI Comutator(config-if)#switchport mode access Comutare(config-if)#switchport acces vlan VLAN-NUMBER

Uneori este convenabil să configurați interfețele în loturi:

Msk-arbat-asw3(config)#interfață interval fastEthernet 0/6 - 10 msk-arbat-asw3(config-if-range)#descriere FEO msk-arbat-asw3(config-if-range)#switchport mode access msk- arbat-asw3(config-if-range)#switchport access vlan 102

4) Configurați toate porturile trunchiului și dați-le un nume:
Comutator(config-if)#descriere DESCRIEREA INTERFACEI Comutator(config-if)#switchport trunk mod Comutator(config-if)#switchport trunk permis vlan-NUMERE-VLAN

5) Nu uitați să salvați:
Comutați#copy running-config startup-config

Per total: ce am realizat? Toate dispozitivele dintr-o subrețea se pot vedea, dar nu și dispozitivele de pe cealaltă. În numărul următor ne vom ocupa de această problemă și, de asemenea, ne vom referi la rutarea statică și comutatoarele L3.
În general, această lecție se poate încheia aici. În videoclip puteți vedea din nou cum sunt configurate vlan-urile. Pentru teme, configurați vlan-uri pe switch-uri pentru servere.

Aici puteți descărca configurația tuturor dispozitivelor:
Lift-me-Up_Configuration.zip
Și proiectul nostru RT:
Lift-me-UP_v2-VLANs.pkt

P.S.
Supliment important: în partea anterioară, vorbind despre vlan nativ, v-am informat puțin greșit. Acest tip de operare nu este posibil pe echipamentele Cisco.
Să ne amintim că am propus să transmitem cadre neetichetate ale celui de-al 101-lea vlan la comutatorul msk-rubl-asw1 și să le primim acolo în primul.
Cert este că, așa cum am menționat deja mai sus, din punctul de vedere al Cisco, același număr vlan trebuie configurat pe ambele părți ale switch-urilor, altfel încep problemele cu protocolul STP și avertismentele despre configurarea incorectă pot fi văzute în busteni. Prin urmare, transferăm cel de-al 101-lea vlan pe dispozitiv în mod obișnuit, cadrele vor fi etichetate și, în consecință, al 101-lea vlan trebuie creat și pe msk-rubl-asw1.

Încă o dată, am dori să observăm că, oricât ne-am strădui, nu vom putea acoperi toate nuanțele și subtilitățile, motiv pentru care nu ne-am propus o astfel de sarcină. Lucruri precum principiul construirii unei adrese MAC, semnificația câmpului Ether Type sau de ce este nevoie de CRC la sfârșitul cadrului, va trebui să le studiați pe cont propriu. Adaugă etichete

În prezent, multe organizații și întreprinderi moderne practic nu folosesc o caracteristică atât de utilă și adesea necesară, precum organizarea unui virtual (VLAN) în cadrul unei infrastructuri integrale, care este furnizată de majoritatea switch-urilor moderne. Acest lucru se datorează multor factori, așa că merită să luăm în considerare această tehnologie din perspectiva posibilității utilizării acesteia în astfel de scopuri.

descriere generala

În primul rând, merită să decideți care sunt VLAN-urile. Aceasta înseamnă un grup de calculatoare conectate la o rețea, care sunt unite logic într-un domeniu pentru transmiterea mesajelor difuzate după un anumit criteriu. De exemplu, grupurile pot fi distinse în funcție de structura întreprinderii sau de tipul de lucru la un proiect sau sarcină împreună. VLAN-urile oferă mai multe beneficii. Pentru început, vorbim despre o utilizare semnificativ mai eficientă a lățimii de bandă (comparativ cu rețelele locale tradiționale), un grad sporit de protecție a informațiilor care sunt transmise, precum și o schemă simplificată de administrare.

Deoarece atunci când se utilizează un VLAN, întreaga rețea este împărțită în domenii de difuzare, informațiile din cadrul unei astfel de structuri sunt transmise numai între membrii săi și nu către toate computerele din rețeaua fizică. Se pare că traficul de difuzare care este generat de servere este limitat la un domeniu predefinit, adică nu este difuzat către toate stațiile din această rețea. Acest lucru face posibilă realizarea unei distribuții optime a lățimii de bandă a rețelei între grupuri selectate de computere: serverele și stațiile de lucru din diferite VLAN-uri pur și simplu nu se văd.

Cum decurg toate procesele?

Într-o astfel de rețea, informațiile sunt destul de bine protejate de faptul că schimbul de date se realizează într-un anumit grup de computere, adică nu pot primi trafic generat într-o altă structură similară.

Dacă vorbim despre ce sunt VLAN-urile, atunci este oportun să remarcăm un astfel de avantaj al acestei metode de organizare, încât rețeaua simplificată afectează sarcini precum adăugarea de noi elemente în rețea, mutarea lor și ștergerea lor. De exemplu, dacă un utilizator VLAN se mută într-o altă locație, administratorul de rețea nu va trebui să reconectați cablurile. Ar trebui să configureze pur și simplu echipamentul de rețea de la locul său de muncă. În unele implementări ale unor astfel de rețele, mișcarea membrilor grupului poate fi controlată automat, fără a necesita măcar intervenția administratorului. El trebuie doar să știe cum să configureze VLAN-ul pentru a efectua toate operațiunile necesare. El poate crea noi grupuri logice de utilizatori fără să-și părăsească locul. Toate acestea economisesc mult timp de lucru, ceea ce poate fi util pentru rezolvarea unor probleme nu mai puțin importante.

Metode de organizare VLAN

Există trei opțiuni diferite: bazate pe porturi, protocoale de nivel 3 sau adrese MAC. Fiecare metodă corespunde unuia dintre cele trei straturi inferioare ale modelului OSI: fizic, de rețea și, respectiv, de legătură de date. Dacă vorbim despre ce sunt VLAN-urile, atunci este de remarcat prezența unei a patra metode de organizare - bazată pe reguli. Este rar folosit astăzi, deși oferă o mai mare flexibilitate. Puteți lua în considerare fiecare dintre metodele enumerate mai detaliat pentru a înțelege ce caracteristici au.

VLAN bazat pe porturi

Aceasta implică o combinație logică a anumitor porturi de comutare fizice selectate pentru comunicare. De exemplu, poate determina că anumite porturi, de exemplu, 1, 2 și 5 formează VLAN1, iar numerele 3, 4 și 6 sunt folosite pentru VLAN2 și așa mai departe. Un port de comutare poate fi folosit pentru a conecta mai multe computere, pentru care acestea folosesc, de exemplu, un hub. Toți vor fi definiți ca membri ai aceleiași rețele virtuale, la care este înregistrat portul de servire al switch-ului. O astfel de legare rigidă a apartenenței la rețeaua virtuală este principalul dezavantaj al unei astfel de scheme de organizare.

VLAN bazat pe adrese MAC

Această metodă se bazează pe utilizarea adreselor hexazecimale unice la nivel de legătură disponibile pe fiecare server sau stație de lucru din rețea. Dacă vorbim despre ce sunt VLAN-urile, este de remarcat faptul că această metodă este considerată a fi mai flexibilă în comparație cu cea anterioară, deoarece este foarte posibil să se conecteze computere aparținând diferitelor rețele virtuale la un port de comutare. În plus, urmărește automat mișcarea computerelor de la un port la altul, ceea ce vă permite să mențineți afilierea clientului cu o anumită rețea fără intervenția administratorului.

Principiul de funcționare aici este foarte simplu: comutatorul menține un tabel de corespondență între adresele MAC ale stațiilor de lucru și rețelele virtuale. De îndată ce computerul trece la un alt port, câmpul de adresă MAC este comparat cu datele din tabel, după care se ajunge la concluzia corectă dacă computerul aparține unei anumite rețele. Dezavantajul acestei metode este complexitatea configurației VLAN, care poate provoca inițial erori. Având în vedere că comutatorul construiește în mod independent tabele de adrese, administratorul de rețea trebuie să revizuiască totul pentru a determina care adrese corespund căror grupuri virtuale, după care le atribuie VLAN-urilor corespunzătoare. Și aici este loc pentru erori, ceea ce se întâmplă uneori în VLAN-urile Cisco, a căror configurare este destul de simplă, dar redistribuirea ulterioară va fi mai dificilă decât în ​​cazul utilizării porturilor.

VLAN bazat pe protocoale de nivel 3

Această metodă este destul de rar utilizată în comutatoarele la nivel de grup de lucru sau departament. Este tipic pentru rețelele backbone echipate cu instrumente de rutare încorporate pentru principalele protocoale de rețea locală - IP, IPX și AppleTalk. Această metodă presupune că un grup de porturi de comutare care aparțin unui anumit VLAN va fi asociat cu o subrețea IP sau IPX. În acest caz, flexibilitatea este oferită de faptul că deplasarea unui utilizator către un alt port care aparține aceleiași rețele virtuale este monitorizată de switch și nu necesită reconfigurare. Rutarea VLAN în acest caz este destul de simplă, deoarece comutatorul în acest caz analizează adresele de rețea ale computerelor care sunt definite pentru fiecare dintre rețele. Această metodă acceptă, de asemenea, interacțiunea între diferite VLAN-uri fără utilizarea unor instrumente suplimentare. Există un dezavantaj al acestei metode - costul ridicat al comutatoarelor în care este implementată. VLAN-urile Rostelecom acceptă operarea la acest nivel.

concluzii

După cum ați înțeles deja, rețelele virtuale sunt un instrument destul de puternic care poate rezolva probleme legate de securitatea transmiterii datelor, administrare, controlul accesului și eficiența sporită a utilizării.