Διαιρούμε το δίκτυο χρησιμοποιώντας VLAN. Τεχνολογίες VLAN

Το VLAN (Virtual Local Area Network, εικονικό τοπικό δίκτυο) είναι μια λειτουργία σε δρομολογητές και μεταγωγείς που σας επιτρέπει να δημιουργήσετε πολλά εικονικά τοπικά δίκτυα σε μία φυσική διεπαφή δικτύου (Ethernet, διεπαφή Wi-Fi).

Ένα VLAN είναι μέρος ενός μεγαλύτερου LAN. Ο απλούστερος μηχανισμός για την απομόνωση διαφορετικών υποδικτύων σε διεπαφές Τι είναι Ethernet, WI-FI. Για να οργανωθεί ένα VLAN, ένας μεταγωγέας δικτύου (Πώς να επιλέξετε έναν διακόπτη δικτύου (διακόπτης, μεταγωγέας)) πρέπει να υποστηρίζει την τεχνολογία VLAN και το πρωτόκολλο 802.1q.

Πλεονεκτήματα του VLAN:

    αυξάνει τον αριθμό των τομέων εκπομπής, αλλά μειώνει το μέγεθος κάθε τομέα μετάδοσης, γεγονός που με τη σειρά του μειώνει την κυκλοφορία δικτύου και αυξάνει την ασφάλεια του δικτύου (και τα δύο εφέ συνδέονται μεταξύ τους λόγω του ενιαίου μεγάλου τομέα εκπομπής).

    μειώνει τις προσπάθειες των διαχειριστών να δημιουργήσουν υποδίκτυα.

    μειώνει την ποσότητα του εξοπλισμού, καθώς τα δίκτυα μπορούν να διαχωριστούν λογικά και όχι φυσικά.

    βελτιώνει τη διαχείριση διαφόρων τύπων κυκλοφορίας.

Όροι VLAN

    Τι είναι το Native VLAN - αυτή είναι μια ιδέα στο πρότυπο 802.1Q, που υποδηλώνει ένα VLAN σε έναν διακόπτη, όπου όλα τα καρέ πηγαίνουν χωρίς ετικέτα, π.χ. η κυκλοφορία μεταδίδεται χωρίς ετικέτα. Από προεπιλογή, αυτό είναι το VLAN 1. Σε ορισμένα μοντέλα μεταγωγέων, για παράδειγμα, το Cisco, αυτό μπορεί να αλλάξει καθορίζοντας ένα άλλο VLAN ως εγγενές.

    Ορος χωρίς ετικέτα: μόνο ένα VLAN μπορεί να λάβει όλα τα πακέτα που δεν έχουν εκχωρηθεί σε κανένα VLAN (σε ορολογία 3Com, Planet, Zyxel - χωρίς ετικέτα, στην ορολογία της Cisco - εγγενές VLAN). Ο διακόπτης θα προσθέσει ετικέτες αυτού του VLAN σε όλα τα ληφθέντα πλαίσια που δεν έχουν ετικέτες.

    ΚορμόςΈνα VLAN είναι ένα φυσικό κανάλι μέσω του οποίου μεταδίδονται πολλά κανάλια VLAN, τα οποία διαφέρουν σε ετικέτες (ετικέτες που προστίθενται στα πακέτα). Οι κορμοί δημιουργούνται συνήθως μεταξύ «θυρών με ετικέτα» συσκευών VLAN: διακόπτης διακόπτη ή δρομολογητή μεταγωγής. (Στα έγγραφα Cisco, ο όρος "trunk" αναφέρεται επίσης στον συνδυασμό πολλών φυσικών καναλιών σε ένα λογικό: Συνάθροιση συνδέσεων, Port Trunking). Ένας δρομολογητής (διακόπτης τριών επιπέδων) λειτουργεί ως κορμός δικτύου για την κίνηση δικτύου διαφορετικών VLAN.

    Για να το θέσω απλά, ένα vlan είναι ένα λογικό κανάλι μέσα σε ένα φυσικό κανάλι (καλώδιο), και το trunk είναι ένα σύνολο λογικών καναλιών (vlan) μέσα σε ένα φυσικό κανάλι (καλώδιο).

Τα VLAN μπορούν να αναγνωριστούν από:

    Πόρτο (που χρησιμοποιείται πιο συχνά). Τα VLAN που βασίζονται στον αριθμό θύρας σάς επιτρέπουν να προσδιορίσετε μια συγκεκριμένη θύρα σε ένα VLAN. Οι θύρες μπορούν να οριστούν μεμονωμένα, σε ομάδες, σε ολόκληρες σειρές, ακόμη και σε διαφορετικούς διακόπτες μέσω πρωτοκόλλου κορμού. Αυτή είναι η απλούστερη και πιο συχνά χρησιμοποιούμενη μέθοδος για τον ορισμό των VLAN. Αυτή είναι η πιο κοινή χρήση της υλοποίησης VLAN που βασίζεται σε θύρα όταν οι σταθμοί εργασίας χρησιμοποιούν το πρωτόκολλο δυναμικής διαμόρφωσης TCP/IP (DHCP). Παρακάτω είναι μια εικόνα του VLAN που βασίζεται σε θύρες:

    Διεύθυνση MAC - διεύθυνση (πολύ σπάνια). Τα VLAN που βασίζονται σε διευθύνσεις MAC επιτρέπουν στους χρήστες να παραμείνουν στο ίδιο VLAN ακόμα κι αν ο χρήστης μετακινείται από τη μια τοποθεσία στην άλλη. Αυτή η μέθοδος απαιτεί από τον διαχειριστή να προσδιορίσει τη διεύθυνση MAC κάθε σταθμού εργασίας και στη συνέχεια να εισαγάγει αυτές τις πληροφορίες στο διακόπτη. Αυτή η μέθοδος μπορεί να είναι πολύ δύσκολο να αντιμετωπιστεί εάν ο χρήστης έχει αλλάξει τη διεύθυνση MAC. Οποιεσδήποτε αλλαγές διαμόρφωσης πρέπει να εγκρίνονται από τον διαχειριστή του δικτύου, κάτι που μπορεί να προκαλέσει καθυστερήσεις διαχείρισης.

    Αναγνωριστικό χρήστη (πολύ σπάνιο)

VLAN Linux και D-Link DGS-1100-08P

Ρύθμιση του DGS-1100-08P. Ας συνδεθούμε σε αυτό στην πρώτη θύρα. Ας του εκχωρήσουμε IP 10.90.91.2. Ας δημιουργήσουμε 3 VLAN: vlan1 (θύρα 1 (με ετικέτα)) για χρήση υπηρεσίας, δηλαδή μόνο για τη διαμόρφωση του μεταγωγέα, vlan22 (θύρα 1 (με ετικέτα), θύρες 2,3,4 (χωρίς ετικέτα)), vlan35 (θύρα 1 ( με ετικέτα θύρες 5,6 (χωρίς ετικέτα)). Οι θύρες 7 και 8 δεν χρησιμοποιούνται και απενεργοποιούνται μέσω του μενού Port Settings (Speed: Disabled).
Επισημαίνουμε ότι στο μέλλον η διαχείριση του D-Link DGS-1100-08P (IP 10.90.91.2) μπορεί να γίνει μόνο μέσω vlan1, δηλαδή, στην περίπτωσή μας, ο διαχειριστής του συστήματος πρέπει να συνδεθεί στην πρώτη θύρα του DGS-1100 -08P (Κατά τη σύνδεση σε διαφορετική θύρα - ο διακόπτης δεν θα επιτρέπει την πρόσβαση στο 10.90.91.2).

    Δημιουργήστε ένα VLAN με το όνομα vlan22 συνδεδεμένο στη θύρα της κάρτας δικτύου eth4. Ας του εκχωρήσουμε IP:192.168.122.254. ip σύνδεσμος προσθήκη συνδέσμου eth4 όνομα vlan22 τύπος vlan id 22 ip addr add 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 up

    Υπηρεσία vlan μόνο για τη διαμόρφωση του διακόπτη:

    σύνδεση ip προσθήκη συνδέσμου eth4 όνομα vlan44 τύπος vlan id 1 ip addr προσθήκη 10.90.91.254/ 24 dev vlan44 ifconfig vlan44 up σύνδεσμος ip προσθήκη συνδέσμου eth4 όνομα vlan35 τύπος vlan id 35 ip addr προσθήκη 192.168.35 if245 v354 up

  • Εξετάζουμε τις παραμέτρους των δημιουργημένων vlan στα αρχεία ls -l / proc/ net/ vlan/ total 0 -rw-------- 1 root root 0 Aug 17 15:06 config -rw----- -- 1 root root 0 Aug 17 15:06 vlan1 -rw------- 1 root root 0 Aug 17 15:06 vlan22

    Η δημιουργία vlan μέσω vconfig και η αυτόματη φόρτωση μέσω /etc/network/interfaces δεν λειτούργησε, επομένως δημιουργούμε ένα αρχείο εκκίνησης και το προσθέτουμε στην εκκίνηση του διακομιστή. vlan_create.sh #!/bin/sh -e σύνδεσμος IP προσθήκη συνδέσμου eth4 όνομα vlan22 τύπος vlan id 22 ip addr add 192.168.122.254/ 24 dev vlan22 ifconfig vlan22 up

Δυστυχώς, πολλές σύγχρονες επιχειρήσεις και οργανισμοί πρακτικά δεν χρησιμοποιούν μια τόσο χρήσιμη, και συχνά απλώς απαραίτητη, ευκαιρία που παρέχεται από τους περισσότερους σύγχρονους διακόπτες τοπικού δικτύου (LAN) όπως η οργάνωση εικονικών LAN (VLAN, VLAN) εντός της υποδομής δικτύου. Είναι δύσκολο να πούμε τι το προκάλεσε. Ίσως υπάρχει έλλειψη πληροφοριών σχετικά με τα οφέλη που παρέχει η τεχνολογία VLAN, η φαινομενική πολυπλοκότητά της ή η απροθυμία να χρησιμοποιηθεί ένα «ακατέργαστο» εργαλείο που δεν εγγυάται τη διαλειτουργικότητα μεταξύ συσκευών δικτύου διαφορετικών κατασκευαστών (αν και η τεχνολογία VLAN έχει τυποποιηθεί εδώ και ένα χρόνο τώρα, και όλοι οι κορυφαίοι κατασκευαστές ενεργού εξοπλισμού δικτύου υποστηρίζουν αυτό το πρότυπο ). Επομένως, αυτό το άρθρο είναι αφιερωμένο στην τεχνολογία VLAN. Θα συζητηθούν τα οφέλη από τη χρήση VLAN, οι πιο κοινές μέθοδοι οργάνωσης VLAN και η αλληλεπίδραση μεταξύ τους, καθώς και τα χαρακτηριστικά της κατασκευής VLAN κατά τη χρήση μεταγωγέων από ορισμένους γνωστούς κατασκευαστές.

γιατί χρειάζεται αυτό

Τι είναι ένα VLAN; Πρόκειται για μια ομάδα υπολογιστών που είναι συνδεδεμένοι σε ένα δίκτυο, λογικά ενωμένοι σε έναν τομέα για την αποστολή μηνυμάτων εκπομπής σύμφωνα με κάποιο κριτήριο. Για παράδειγμα, ομάδες υπολογιστών μπορούν να κατανεμηθούν σύμφωνα με την οργανωτική δομή της επιχείρησης (ανά τμήματα και
τμήματα) ή με βάση την εργασία σε ένα κοινό έργο ή έργο.

Υπάρχουν τρία κύρια οφέλη από τη χρήση VLAN. Πρόκειται για μια σημαντικά πιο αποτελεσματική χρήση του εύρους ζώνης από ό,τι στα παραδοσιακά LAN, αυξημένο επίπεδο προστασίας των μεταδιδόμενων πληροφοριών από μη εξουσιοδοτημένη πρόσβαση και απλοποιημένη διαχείριση δικτύου.

Επειδή τα VLAN χωρίζουν λογικά ολόκληρο το δίκτυο σε τομείς εκπομπής, τα μέλη ενός VLAN μεταδίδουν πληροφορίες μόνο σε άλλα μέλη του ίδιου VLAN και όχι σε όλους τους υπολογιστές του φυσικού δικτύου. Με αυτόν τον τρόπο, η κίνηση εκπομπής (συνήθως παράγεται από διακομιστές που ανακοινώνουν την παρουσία και τις δυνατότητές τους σε άλλες συσκευές στο δίκτυο) περιορίζεται σε έναν προκαθορισμένο τομέα αντί να μεταδίδεται σε όλους τους σταθμούς του δικτύου. Αυτό επιτυγχάνει τη βέλτιστη κατανομή του εύρους ζώνης δικτύου μεταξύ λογικών ομάδων υπολογιστών: οι σταθμοί εργασίας και οι διακομιστές από διαφορετικά VLAN «δεν βλέπουν» ο ένας τον άλλο και δεν παρεμβαίνουν μεταξύ τους.

Εφόσον η επικοινωνία πραγματοποιείται μόνο εντός ενός συγκεκριμένου VLAN, οι υπολογιστές από διαφορετικά εικονικά δίκτυα δεν μπορούν να λάβουν κίνηση που δημιουργείται σε άλλα VLAN. Η χρήση αναλυτών πρωτοκόλλου και εργαλείων παρακολούθησης δικτύου για τη συλλογή επισκεψιμότητας σε VLAN διαφορετικά από αυτό στο οποίο ο χρήστης θέλει να το κάνει, δημιουργεί σημαντικές προκλήσεις. Γι' αυτό, σε περιβάλλον VLAN, οι πληροφορίες που μεταδίδονται μέσω του δικτύου προστατεύονται πολύ καλύτερα από μη εξουσιοδοτημένη πρόσβαση.

Ένα άλλο πλεονέκτημα της χρήσης VLAN είναι ότι απλοποιεί τη διαχείριση του δικτύου. Αυτό ισχύει ιδιαίτερα για εργασίες όπως η προσθήκη νέων στοιχείων στο δίκτυο, η μετακίνησή τους και η διαγραφή τους. Για παράδειγμα, όταν ένας χρήστης VLAN μετακινείται σε άλλο δωμάτιο, ακόμα κι αν βρίσκεται σε διαφορετικό όροφο ή σε διαφορετικό κτίριο της επιχείρησης, ο διαχειριστής του δικτύου δεν χρειάζεται να επανασυνδέσει τα καλώδια. Χρειάζεται μόνο να διαμορφώσει ανάλογα τον εξοπλισμό δικτύου από τον χώρο εργασίας του. Επιπλέον, ορισμένες υλοποιήσεις VLAN μπορούν να ελέγχουν αυτόματα την κίνηση των μελών VLAN χωρίς να απαιτείται η παρέμβαση του διαχειριστή. Ο διαχειριστής δικτύου μπορεί επίσης να πραγματοποιήσει λειτουργίες για τη δημιουργία νέων λογικών ομάδων χρηστών και την προσθήκη νέων μελών σε ομάδες μέσω του δικτύου, χωρίς να εγκαταλείψει τον χώρο εργασίας του. Όλα αυτά εξοικονομούν σημαντικά τον χρόνο εργασίας του διαχειριστή, ο οποίος μπορεί να χρησιμοποιηθεί για την επίλυση άλλων εξίσου σημαντικών εργασιών.

Μέθοδοι οργάνωσης VLAN

Οι κορυφαίοι κατασκευαστές διακοπτών τμημάτων και ομάδων εργασίας χρησιμοποιούν στις συσκευές τους, κατά κανόνα, μία από τις τρεις μεθόδους οργάνωσης VLAN: με βάση θύρες, διευθύνσεις MAC ή πρωτόκολλα τρίτου επιπέδου. Κάθε μία από αυτές τις μεθόδους αντιστοιχεί σε ένα από τα τρία χαμηλότερα επίπεδα του μοντέλου διασύνδεσης ανοιχτών συστημάτων OSI: φυσική, σύνδεση και δίκτυο, αντίστοιχα. Υπάρχει ένας τέταρτος τρόπος οργάνωσης ενός VLAN - με βάση κανόνες. Επί του παρόντος χρησιμοποιείται σπάνια, αν και παρέχει μεγαλύτερη ευελιξία στην οργάνωση VLAN και μπορεί να χρησιμοποιηθεί ευρέως σε συσκευές στο εγγύς μέλλον. Ας δούμε συνοπτικά καθεμία από τις παραπάνω μεθόδους οργάνωσης VLAN, τα πλεονεκτήματα και τα μειονεκτήματά τους.

VLAN που βασίζεται σε θύρα. Όπως υποδηλώνει το όνομα της μεθόδου, τα VLAN οργανώνονται συνδυάζοντας λογικά επιλεγμένες θύρες φυσικών μεταγωγέων. Για παράδειγμα, ένας διαχειριστής δικτύου μπορεί να καθορίσει ότι οι θύρες μεταγωγέα με αριθμό 1, 2, 5 αποτελούν VLAN1 και οι θύρες με αριθμό 3, 4, 6 από VLAN2, κ.λπ. Πολλοί υπολογιστές μπορούν να συνδεθούν σε μία θύρα μεταγωγέα (για παράδειγμα, μέσω διανομέα). Όλα θα ανήκουν στο ίδιο VLAN - αυτό στο οποίο έχει εκχωρηθεί η θύρα μεταγωγής που τους εξυπηρετεί. Αυτή η αυστηρή δέσμευση της ιδιότητας μέλους VLAN είναι ένα μειονέκτημα του τρόπου οργάνωσης εικονικών δικτύων που βασίζεται σε port.

VLAN που βασίζεται σε διευθύνσεις MAC. Αυτή η μέθοδος σάς επιτρέπει να δημιουργήσετε ένα VLAN με βάση τη μοναδική διεύθυνση σε επίπεδο δεκαεξαδικού συνδέσμου που έχει κάθε προσαρμογέας δικτύου διακομιστή ή σταθμού εργασίας στο δίκτυο. Αυτός είναι ένας πιο ευέλικτος τρόπος οργάνωσης VLAN σε σύγκριση με τον προηγούμενο, καθώς οι συσκευές που ανήκουν σε διαφορετικά VLAN μπορούν να συνδεθούν σε μία θύρα μεταγωγής. Επιπλέον, η κίνηση των υπολογιστών από τη μια θύρα μεταγωγής σε μια άλλη παρακολουθείται αυτόματα από το διακόπτη και σας επιτρέπει να διατηρήσετε την ιδιοκτησία του μετακινούμενου υπολογιστή σε ένα συγκεκριμένο VLAN χωρίς την παρέμβαση διαχειριστή δικτύου. Λειτουργεί πολύ απλά: ο διακόπτης διατηρεί έναν πίνακα αντιστοιχίας μεταξύ των διευθύνσεων MAC των υπολογιστών και των εικονικών δικτύων. Μόλις ο υπολογιστής μεταβεί σε άλλη θύρα μεταγωγής, συγκρίνοντας το πεδίο διεύθυνσης MAC προέλευσης στην κεφαλίδα του πρώτου πλαισίου που μεταδόθηκε μετά τη μετακίνηση του υπολογιστή με τα δεδομένα στον πίνακά του, ο διακόπτης συμπεραίνει σωστά ότι ο μετακινούμενος υπολογιστής ανήκει στο VLAN. Το μειονέκτημα αυτής της μεθόδου οργάνωσης VLAN είναι η αρχική πολυπλοκότητα της ρύθμισης των VLAN, η οποία είναι γεμάτη σφάλματα. Παρόλο που ο πίνακας των διευθύνσεων MAC δημιουργείται αυτόματα από διακόπτες, ο διαχειριστής του δικτύου πρέπει να τα εξετάσει όλα και να προσδιορίσει ότι μια δεδομένη δεκαεξαδική διεύθυνση MAC αντιστοιχεί σε αυτόν και έναν τέτοιο σταθμό εργασίας και στη συνέχεια να την αντιστοιχίσει στο αντίστοιχο εικονικό δίκτυο. Είναι αλήθεια ότι η επακόλουθη επαναδιαμόρφωση των VLAN που βασίζονται σε διευθύνσεις MAC θα απαιτήσει σημαντικά λιγότερη προσπάθεια από ό,τι στην περίπτωση των VLAN που βασίζονται σε θύρες.

VLAN βασισμένο σε πρωτόκολλα επιπέδου 3. Αυτή η μέθοδος χρησιμοποιείται σπάνια σε διακόπτες τμημάτων και ομάδων εργασίας. Είναι χαρακτηριστικό για διακόπτες δρομολόγησης κορμού που διαθέτουν ενσωματωμένα εργαλεία δρομολόγησης για τα κύρια πρωτόκολλα LAN - IP, IPX και AppleTalk. Σε αυτή τη μέθοδο, μια ομάδα θυρών μεταγωγέα που ανήκουν σε ένα συγκεκριμένο VLAN συσχετίζονται με ένα συγκεκριμένο υποδίκτυο IP ή δίκτυο IPX. Η ευελιξία εδώ παρέχεται από το γεγονός ότι οι μετακινήσεις του χρήστη σε άλλη θύρα που ανήκει στο ίδιο VLAN παρακολουθούνται από το μεταγωγέα και δεν απαιτούν επαναδιαμόρφωση. Το πλεονέκτημα αυτής της μεθόδου είναι επίσης η απλότητα της διαμόρφωσης VLAN, η οποία μπορεί να γίνει αυτόματα, αφού ο διακόπτης αναλύει τις διευθύνσεις δικτύου των υπολογιστών που σχετίζονται με κάθε VLAN. Επιπλέον, όπως ήδη αναφέρθηκε, οι συσκευές που υποστηρίζουν τη μέθοδο οργάνωσης VLAN με βάση πρωτόκολλα επιπέδου 3 διαθέτουν ενσωματωμένα εργαλεία δρομολόγησης, τα οποία παρέχουν τη δυνατότητα αλληλεπίδρασης μεταξύ διαφορετικών VLAN χωρίς τη χρήση πρόσθετων εργαλείων. Αυτή η μέθοδος έχει, ίσως, μόνο ένα μειονέκτημα - την υψηλή τιμή των διακοπτών στους οποίους εφαρμόζεται.

VLAN βασισμένο σε κανόνες. Υποτίθεται ότι ο μεταγωγέας έχει τη δυνατότητα να αναλύει λεπτομερώς προκαθορισμένα πεδία και ακόμη και μεμονωμένα bits πακέτων που περνούν από αυτόν ως μηχανισμούς για την κατασκευή VLAN. Αυτή η μέθοδος παρέχει ουσιαστικά απεριόριστες δυνατότητες δημιουργίας εικονικών δικτύων με βάση πολλαπλά κριτήρια. Για παράδειγμα, ακόμη και με την αρχή της συμπερίληψης στο VLAN όλων των χρηστών των οποίων οι υπολογιστές έχουν εγκατεστημένους προσαρμογείς δικτύου από τον καθορισμένο κατασκευαστή. Παρά την τεράστια ευελιξία της, η διαδικασία διαμόρφωσης VLAN βάσει κανόνων είναι πολύ απαιτητική. Επιπλέον, η παρουσία πολύπλοκων κανόνων μπορεί να επηρεάσει αρνητικά την απόδοση του μεταγωγέα, καθώς ένα σημαντικό μέρος της επεξεργαστικής του ισχύος θα δαπανηθεί για ανάλυση πακέτων.

Οι συσκευές μπορούν επίσης να μετακινηθούν αυτόματα σε VLAN βάσει δεδομένων ελέγχου ταυτότητας χρήστη ή συσκευής κατά τη χρήση του πρωτοκόλλου 802.1x.

δημιουργία κατανεμημένων VLAN

Τα σύγχρονα LAN περιέχουν συχνά περισσότερους από έναν διακόπτες. Οι υπολογιστές που ανήκουν στο ίδιο VLAN μπορούν να συνδεθούν σε διαφορετικούς διακόπτες. Επομένως, για τη σωστή δρομολόγηση της κυκλοφορίας, πρέπει να υπάρχει ένας μηχανισμός για τους μεταγωγείς να ανταλλάσσουν πληροφορίες σχετικά με τη συνδρομή VLAN των συσκευών που είναι συνδεδεμένες σε αυτούς. Προηγουμένως, κάθε κατασκευαστής εφάρμοζε ιδιόκτητους μηχανισμούς για την ανταλλαγή τέτοιων πληροφοριών στις συσκευές του. Για παράδειγμα, η 3Com ονόμασε αυτή την τεχνολογία VLT (Virtual LAN Trunk), η Cisco Systems την ονόμασε ISL (Inter-Switch Link). Επομένως, για τη δημιουργία κατανεμημένων VLAN, ήταν απαραίτητο να χρησιμοποιηθούν συσκευές από έναν κατασκευαστή. Η κατάσταση βελτιώθηκε ριζικά όταν υιοθετήθηκε το πρότυπο για τη δημιουργία VLAN με ετικέτα - IEEE 802.1Q, το οποίο κυριαρχεί πλέον στον κόσμο VLAN. Μεταξύ άλλων, ρυθμίζει επίσης τον μηχανισμό ανταλλαγής πληροφοριών VLAN μεταξύ διακοπτών. Αυτός ο μηχανισμός σάς επιτρέπει να συμπληρώνετε τα πλαίσια που μεταδίδονται μεταξύ των διακοπτών με πεδία που υποδεικνύουν συμμετοχή σε ένα συγκεκριμένο VLAN. Σήμερα, όλοι οι κορυφαίοι κατασκευαστές διακοπτών LAN υποστηρίζουν το πρότυπο 802.1Q στις συσκευές τους. Κατά συνέπεια, σήμερα είναι ήδη δυνατή η κατασκευή εικονικών δικτύων χρησιμοποιώντας διακόπτες από διαφορετικούς κατασκευαστές. Αν και, όπως θα δείτε αργότερα, ακόμη και όταν εργάζεστε σύμφωνα με το 802.1Q, οι διακόπτες διαφορετικών κατασκευαστών παρέχουν πολύ μακριά από τις ίδιες δυνατότητες οργάνωσης VLAN.

οργάνωση της αλληλεπίδρασης μεταξύ VLAN

Οι υπολογιστές που βρίσκονται σε διαφορετικά VLAN δεν μπορούν να επικοινωνήσουν απευθείας μεταξύ τους. Για να οργανώσετε μια τέτοια αλληλεπίδραση, πρέπει να χρησιμοποιήσετε έναν δρομολογητή. Προηγουμένως, χρησιμοποιούσαν κανονικούς δρομολογητές για αυτό. Επιπλέον, απαιτήθηκε ο δρομολογητής να έχει τόσες φυσικές διεπαφές δικτύου όσες υπάρχουν VLAN. Επιπλέον, οι μεταγωγείς έπρεπε να διαθέσουν μία θύρα από κάθε VLAN για τη σύνδεση του δρομολογητή. Λαμβάνοντας υπόψη το υψηλό κόστος των θυρών δρομολογητή, το κόστος μιας τέτοιας λύσης ήταν πολύ υψηλό. Επιπλέον, ένας συμβατικός δρομολογητής εισήγαγε σημαντική καθυστέρηση στη μεταφορά δεδομένων μεταξύ VLAN. Σήμερα, για τη μεταφορά δεδομένων μεταξύ VLAN, χρησιμοποιούνται διακόπτες δρομολόγησης, οι οποίοι έχουν χαμηλή τιμή ανά θύρα και πραγματοποιούν δρομολόγηση κίνησης υλικού με την ταχύτητα του καναλιού επικοινωνίας. Οι διακόπτες δρομολόγησης συμμορφώνονται επίσης με το πρότυπο IEEE 802.1Q και για να οργανώσουν την επικοινωνία μεταξύ κατανεμημένων VLAN, πρέπει να χρησιμοποιούν μόνο μία θύρα για τη σύνδεση καθενός από τους μεταγωγείς ομάδας εργασίας που συνδέουν συσκευές που αντιστοιχούν σε διαφορετικά VLAN στο δίκτυο. Με άλλα λόγια, οι πληροφορίες μπορούν να ανταλλάσσονται μεταξύ συσκευών από διαφορετικά VLAN μέσω μιας θύρας ενός σύγχρονου διακόπτη δρομολόγησης.

χρήση κοινόχρηστων πόρων δικτύου από υπολογιστές διαφορετικών VLAN

Πολύ ενδιαφέρουσα είναι η δυνατότητα οργάνωσης της πρόσβασης σε κοινόχρηστους πόρους δικτύου (διακομιστές δικτύου, εκτυπωτές κ.λπ.) για υπολογιστές που ανήκουν σε διαφορετικά VLAN. Τα πλεονεκτήματα αυτής της δυνατότητας είναι προφανή. Πρώτον, δεν χρειάζεται να αγοράσετε δρομολογητή ή διακόπτη δρομολόγησης, εκτός εάν χρειαστεί να οργανώσετε απευθείας ανταλλαγή δεδομένων μεταξύ υπολογιστών από διαφορετικά VLAN. Η αλληλεπίδραση μεταξύ υπολογιστών διαφορετικών VLAN μπορεί να διασφαλιστεί μέσω ενός διακομιστή δικτύου, στον οποίο έχουν πρόσβαση όλα ή πολλά VLAN. Δεύτερον, διατηρώντας όλα τα πλεονεκτήματα της χρήσης VLAN, δεν μπορείτε να αγοράσετε διακομιστές για κάθε VLAN ξεχωριστά, αλλά να χρησιμοποιήσετε κοινούς.

Ο ευκολότερος τρόπος για να δώσετε πρόσβαση σε έναν διακομιστή σε χρήστες από διαφορετικά VLAN είναι να εγκαταστήσετε αρκετούς προσαρμογείς δικτύου στον διακομιστή και να συνδέσετε καθέναν από αυτούς τους προσαρμογείς για εναλλαγή θυρών που ανήκουν σε διαφορετικά VLAN. Ωστόσο, αυτή η προσέγγιση έχει έναν περιορισμό στον αριθμό των VLAN (πολλοί προσαρμογείς δικτύου δεν μπορούν να εγκατασταθούν στον διακομιστή), επιβάλλει αυστηρές απαιτήσεις στα στοιχεία διακομιστή (τα προγράμματα οδήγησης προσαρμογέων δικτύου απαιτούν αύξηση της ποσότητας μνήμης RAM, δημιουργεί μεγάλο φορτίο στο CPU και ο δίαυλος I/O του διακομιστή κ.λπ.) και δεν βοηθά στην εξοικονόμηση χρημάτων (χρησιμοποιώντας πολλαπλούς προσαρμογείς δικτύου και πρόσθετες θύρες μεταγωγής).

Με την έλευση του προτύπου IEEE 802.1Q, κατέστη δυνατή η μετάδοση πληροφοριών που σχετίζονται με όλα ή περισσότερα VLAN μέσω μιας θύρας μεταγωγέα. Όπως αναφέρθηκε παραπάνω, για να γίνει αυτό, ο διακόπτης (ή άλλη συσκευή που υποστηρίζει το 802.1Q) προσθέτει ένα πεδίο στο πλαίσιο που μεταδίδεται μέσω του δικτύου που καθορίζει μοναδικά εάν το πλαίσιο ανήκει σε ένα συγκεκριμένο VLAN. Ένας κοινός διακομιστής για όλα τα VLAN μπορεί να συνδεθεί σε μια τέτοια θύρα με μία μόνο γραμμή επικοινωνίας. Η μόνη προϋπόθεση για αυτό είναι ότι ο προσαρμογέας δικτύου του διακομιστή πρέπει να υποστηρίζει το πρότυπο 802.1Q, ώστε ο διακομιστής να γνωρίζει από ποιο VLAN προήλθε το αίτημα και, κατά συνέπεια, πού να στείλει την απάντηση. Αυτός είναι ο τρόπος με τον οποίο ο διακομιστής χωρίζεται μεταξύ VLAN σε διαχειριζόμενους διακόπτες τμήματος και ομάδας εργασίας από την 3Com, τη Hewlett-Packard και τη Cisco Systems.

συμπέρασμα

Όπως μπορείτε να δείτε, τα VLAN είναι ένα ισχυρό εργαλείο οργάνωσης δικτύου που μπορεί να λύσει προβλήματα διαχείρισης, ασφάλειας μετάδοσης δεδομένων, ελέγχου πρόσβασης σε πόρους πληροφοριών και να αυξήσει σημαντικά την αποτελεσματικότητα χρήσης του εύρους ζώνης δικτύου.

Oleg Podukov, επικεφαλής του τεχνικού τμήματος της COMPLETE Company

Αυτή τη στιγμή, πολλοί σύγχρονοι οργανισμοί και επιχειρήσεις πρακτικά δεν χρησιμοποιούν ένα τόσο χρήσιμο, και συχνά απαραίτητο, χαρακτηριστικό όπως η οργάνωση ενός εικονικού (VLAN) στο πλαίσιο μιας ολοκληρωμένης υποδομής, η οποία παρέχεται από τους περισσότερους σύγχρονους διακόπτες. Αυτό οφείλεται σε πολλούς παράγοντες, επομένως αξίζει να εξεταστεί αυτή η τεχνολογία από την άποψη της δυνατότητας χρήσης της για τέτοιους σκοπούς.

γενική περιγραφή

Πρώτον, αξίζει να αποφασίσετε τι είναι τα VLAN. Αυτό σημαίνει μια ομάδα υπολογιστών που είναι συνδεδεμένοι σε ένα δίκτυο, οι οποίοι είναι λογικά ενωμένοι σε έναν τομέα για την αποστολή μηνυμάτων εκπομπής σύμφωνα με ένα συγκεκριμένο κριτήριο. Για παράδειγμα, οι ομάδες μπορούν να διακριθούν ανάλογα με τη δομή της επιχείρησης ή τον τύπο εργασίας σε ένα έργο ή εργασία μαζί. Τα VLAN παρέχουν πολλά πλεονεκτήματα. Αρχικά, μιλάμε για σημαντικά πιο αποτελεσματική χρήση του εύρους ζώνης (σε σύγκριση με τα παραδοσιακά τοπικά δίκτυα), για αυξημένο βαθμό προστασίας των πληροφοριών που μεταδίδονται, καθώς και για ένα απλοποιημένο σύστημα διαχείρισης.

Δεδομένου ότι όταν χρησιμοποιείτε ένα VLAN, ολόκληρο το δίκτυο χωρίζεται σε τομείς εκπομπής, οι πληροφορίες μέσα σε μια τέτοια δομή μεταδίδονται μόνο μεταξύ των μελών του και όχι σε όλους τους υπολογιστές του φυσικού δικτύου. Αποδεικνύεται ότι η κίνηση εκπομπής που δημιουργείται από τους διακομιστές περιορίζεται σε έναν προκαθορισμένο τομέα, δηλαδή δεν μεταδίδεται σε όλους τους σταθμούς σε αυτό το δίκτυο. Αυτό καθιστά δυνατή την επίτευξη βέλτιστης κατανομής του εύρους ζώνης δικτύου μεταξύ επιλεγμένων ομάδων υπολογιστών: οι διακομιστές και οι σταθμοί εργασίας από διαφορετικά VLAN απλά δεν βλέπουν ο ένας τον άλλον.

Πώς προχωρούν όλες οι διαδικασίες;

Σε ένα τέτοιο δίκτυο, οι πληροφορίες προστατεύονται αρκετά καλά από το γεγονός ότι η ανταλλαγή δεδομένων πραγματοποιείται σε μια συγκεκριμένη ομάδα υπολογιστών, δηλαδή δεν μπορούν να λάβουν κίνηση που δημιουργείται σε κάποια άλλη παρόμοια δομή.

Αν μιλάμε για το τι είναι τα VLAN, τότε είναι σκόπιμο να σημειωθεί ένα τέτοιο πλεονέκτημα αυτής της μεθόδου οργάνωσης ότι η απλοποιημένη δικτύωση επηρεάζει εργασίες όπως η προσθήκη νέων στοιχείων στο δίκτυο, η μετακίνηση και η διαγραφή τους. Για παράδειγμα, εάν ένας χρήστης VLAN μετακινηθεί σε άλλη τοποθεσία, ο διαχειριστής του δικτύου δεν θα χρειαστεί να επανασυνδέσει τα καλώδια. Θα πρέπει απλώς να διαμορφώσει τον εξοπλισμό δικτύου από τον χώρο εργασίας του. Σε ορισμένες υλοποιήσεις τέτοιων δικτύων, η κίνηση των μελών της ομάδας μπορεί να ελεγχθεί αυτόματα, χωρίς καν να απαιτείται παρέμβαση διαχειριστή. Χρειάζεται μόνο να ξέρει πώς να ρυθμίσει το VLAN για να εκτελέσει όλες τις απαραίτητες λειτουργίες. Μπορεί να δημιουργήσει νέες λογικές ομάδες χρηστών χωρίς καν να εγκαταλείψει τη θέση του. Όλα αυτά εξοικονομούν πολύ χρόνο εργασίας, ο οποίος μπορεί να είναι χρήσιμος για την επίλυση προβλημάτων εξίσου σημαντικά.

Μέθοδοι οργάνωσης VLAN

Υπάρχουν τρεις διαφορετικές επιλογές: με βάση θύρες, πρωτόκολλα επιπέδου 3 ή διευθύνσεις MAC. Κάθε μέθοδος αντιστοιχεί σε ένα από τα τρία χαμηλότερα επίπεδα του μοντέλου OSI: φυσική, σύνδεση δικτύου και σύνδεση δεδομένων, αντίστοιχα. Αν μιλάμε για το τι είναι τα VLAN, τότε αξίζει να σημειωθεί η παρουσία μιας τέταρτης μεθόδου οργάνωσης - βασισμένης σε κανόνες. Σήμερα χρησιμοποιείται σπάνια, αν και παρέχει μεγαλύτερη ευελιξία. Μπορείτε να εξετάσετε λεπτομερέστερα καθεμία από τις μεθόδους που αναφέρονται για να κατανοήσετε ποια χαρακτηριστικά έχουν.

VLAN που βασίζεται σε θύρα

Αυτό περιλαμβάνει έναν λογικό συνδυασμό ορισμένων φυσικών θυρών μεταγωγέα που επιλέγονται για επικοινωνία. Για παράδειγμα, μπορεί να καθορίσει ότι ορισμένες θύρες, για παράδειγμα, 1, 2 και 5 σχηματίζουν VLAN1 και οι αριθμοί 3, 4 και 6 χρησιμοποιούνται για το VLAN2 κ.λπ. Μία θύρα μεταγωγέα μπορεί να χρησιμοποιηθεί για τη σύνδεση πολλών υπολογιστών, για τους οποίους χρησιμοποιούν, για παράδειγμα, έναν διανομέα. Όλα θα οριστούν ως μέλη του ίδιου εικονικού δικτύου, στο οποίο είναι καταχωρημένη η θύρα εξυπηρέτησης του μεταγωγέα. Μια τέτοια άκαμπτη σύνδεση της ιδιότητας μέλους εικονικού δικτύου είναι το κύριο μειονέκτημα ενός τέτοιου σχήματος οργάνωσης.

VLAN που βασίζεται σε διευθύνσεις MAC

Αυτή η μέθοδος βασίζεται στη χρήση μοναδικών δεκαεξαδικών διευθύνσεων σε επίπεδο συνδέσμου που είναι διαθέσιμες σε κάθε διακομιστή ή σταθμό εργασίας στο δίκτυο. Αν μιλάμε για το τι είναι τα VLAN, αξίζει να σημειωθεί ότι αυτή η μέθοδος θεωρείται πιο ευέλικτη σε σύγκριση με την προηγούμενη, καθώς είναι πολύ πιθανό να συνδεθούν υπολογιστές που ανήκουν σε διαφορετικά εικονικά δίκτυα σε μία θύρα μεταγωγής. Επιπλέον, παρακολουθεί αυτόματα την κίνηση των υπολογιστών από τη μια θύρα στην άλλη, γεγονός που σας επιτρέπει να διατηρείτε τη συνδρομή του πελάτη σε ένα συγκεκριμένο δίκτυο χωρίς παρέμβαση διαχειριστή.

Η αρχή λειτουργίας εδώ είναι πολύ απλή: ο διακόπτης διατηρεί έναν πίνακα αντιστοιχίας μεταξύ των διευθύνσεων MAC των σταθμών εργασίας και των εικονικών δικτύων. Μόλις ο υπολογιστής μεταβεί σε κάποια άλλη θύρα, το πεδίο διεύθυνσης MAC συγκρίνεται με τα δεδομένα του πίνακα, μετά από το οποίο εξάγεται το σωστό συμπέρασμα σχετικά με το εάν ο υπολογιστής ανήκει σε ένα συγκεκριμένο δίκτυο. Το μειονέκτημα αυτής της μεθόδου είναι η πολυπλοκότητα της διαμόρφωσης VLAN, η οποία μπορεί αρχικά να προκαλέσει σφάλματα. Δεδομένου ότι ο μεταγωγέας δημιουργεί ανεξάρτητα πίνακες διευθύνσεων, ο διαχειριστής του δικτύου πρέπει να τα εξετάσει όλα για να προσδιορίσει ποιες διευθύνσεις αντιστοιχούν σε ποιες εικονικές ομάδες, μετά τις οποίες τις εκχωρεί στα κατάλληλα VLAN. Και εδώ υπάρχει χώρος για σφάλματα, κάτι που μερικές φορές συμβαίνει σε Cisco VLAN, η διαμόρφωση των οποίων είναι αρκετά απλή, αλλά η μετέπειτα ανακατανομή θα είναι πιο δύσκολη από ό,τι στην περίπτωση χρήσης θυρών.

VLAN βασισμένο σε πρωτόκολλα επιπέδου 3

Αυτή η μέθοδος χρησιμοποιείται πολύ σπάνια σε διακόπτες σε επίπεδο ομάδας εργασίας ή τμήματος. Είναι χαρακτηριστικό για δίκτυα κορμού εξοπλισμένα με ενσωματωμένα εργαλεία δρομολόγησης για τα κύρια πρωτόκολλα τοπικού δικτύου - IP, IPX και AppleTalk. Αυτή η μέθοδος προϋποθέτει ότι μια ομάδα θυρών μεταγωγέα που ανήκουν σε ένα συγκεκριμένο VLAN θα συσχετιστεί με κάποιο υποδίκτυο IP ή IPX. Σε αυτή την περίπτωση, η ευελιξία παρέχεται από το γεγονός ότι η κίνηση ενός χρήστη σε άλλη θύρα που ανήκει στο ίδιο εικονικό δίκτυο παρακολουθείται από το μεταγωγέα και δεν απαιτεί επαναδιαμόρφωση. Η δρομολόγηση VLAN σε αυτήν την περίπτωση είναι αρκετά απλή, επειδή ο διακόπτης σε αυτήν την περίπτωση αναλύει τις διευθύνσεις δικτύου των υπολογιστών που ορίζονται για κάθε ένα από τα δίκτυα. Αυτή η μέθοδος υποστηρίζει επίσης την αλληλεπίδραση μεταξύ διαφορετικών VLAN χωρίς τη χρήση πρόσθετων εργαλείων. Υπάρχει ένα μειονέκτημα σε αυτή τη μέθοδο - το υψηλό κόστος των διακοπτών στους οποίους εφαρμόζεται. Τα VLAN της Rostelecom υποστηρίζουν τη λειτουργία σε αυτό το επίπεδο.

συμπεράσματα

Όπως ήδη καταλαβαίνετε, τα εικονικά δίκτυα είναι ένα αρκετά ισχυρό εργαλείο που μπορεί να λύσει προβλήματα που σχετίζονται με την ασφάλεια μετάδοσης δεδομένων, τη διαχείριση, τον έλεγχο πρόσβασης και την αυξημένη αποτελεσματικότητα χρήσης.

Σήμερα θα ξεκινήσω μια μικρή σειρά άρθρων για τα VLAN. Ας ξεκινήσουμε με το τι είναι, σε τι χρησιμεύει, πώς να το ρυθμίσουμε και μετά θα εμβαθύνουμε και θα μελετήσουμε σταδιακά, αν όχι όλες, τότε κυρίως τις δυνατότητες που μας παρέχουν τα VLAN.

Λοιπόν, θυμηθείτε, μιλήσαμε για μια τέτοια έννοια όπως; Νομίζω ότι θυμάσαι. Μιλήσαμε επίσης για το γεγονός ότι υπάρχουν διάφοροι τύποι διευθύνσεων: .

Με βάση αυτό, ας κάνουμε μια ακόμη εισαγωγική ιδέα. Τομέας εκπομπής. Τι είναι πραγματικά;

Εάν σταλεί ένα πλαίσιο/πακέτο εκπομπής (εάν είναι πλαίσιο, τότε όλα τα bit στο πεδίο Διεύθυνση προορισμού είναι ίσα με ένα ή στη 16η μορφή η διεύθυνση MAC θα είναι ίση με: FF FF FF FF FF FF), τότε αυτό το πλαίσιο θα προωθηθεί σε όλες τις θύρες του μεταγωγέα, εκτός από αυτήν από την οποία ελήφθη αυτό το πλαίσιο. Αυτό θα συμβεί εάν, για παράδειγμα, δεν γίνεται διαχείριση του διακόπτη μας ή εάν γίνεται διαχείριση, αλλά όλοι βρίσκονται στο ίδιο VLAN (περισσότερα για αυτό αργότερα).
Αυτή η λίστα συσκευών που λαμβάνει αυτά τα πλαίσια εκπομπής ονομάζεται τομέας εκπομπής.

Τώρα ας αποφασίσουμε, τι είναι ένα VLAN;

VLAN - Εικονικό τοπικό δίκτυο, δηλ. κάποιου είδους εικονικό δίκτυο. Σε τι χρησιμεύει;

Το VLAN μας επιτρέπει να διαχωρίζουμε τομείς μετάδοσης σε έναν διακόπτη. Εκείνοι. αν έχουμε έναν διακόπτη, θα εκχωρήσουμε κάποιες θύρες σε ένα VLAN και άλλες σε ένα άλλο. Και θα έχουμε δύο διαφορετικούς τομείς μετάδοσης. Φυσικά, οι δυνατότητες δεν σταματούν εκεί. Θα μιλήσω για αυτά περαιτέρω, σταδιακά.

Εν ολίγοις, το VLAN επιτρέπει στον διαχειριστή να δημιουργήσει ένα δίκτυο πιο ευέλικτα, χωρίζοντάς το σε συγκεκριμένα υποδίκτυα (για παράδειγμα, ένα δίκτυο λογιστών, ένα δίκτυο διαχειριστών κ.λπ.), με άλλα λόγια, το VLAN βοηθά στη συνένωση συσκευών με κάποιο κοινό σύνολο των απαιτήσεων σε μια ενιαία ομάδα και διαχωρίστε την από άλλες παρόμοιες απομονωμένες ομάδες.

Επιτρέψτε μου να κάνω μια κράτηση αμέσως ότι τα VLAN λειτουργούν στο επίπεδο OSI Layer 2.
Ας θυμηθούμε ότι όταν κοιτάξαμε το πλαίσιο, δεν υπήρχε πεδίο για VLAN εκεί. Πώς λοιπόν μπορείτε να προσδιορίσετε σε ποιο VLAN ανήκει ένα συγκεκριμένο πλαίσιο;

Υπάρχουν πολλά πρότυπα.

1. IEEE 802.1Q - αυτό το πρότυπο είναι ανοιχτό. Αυτό το πρότυπο σηματοδοτεί ένα συγκεκριμένο πλαίσιο που είναι «δεμένο» σε κάποιο VLAN με προσθήκη ετικετών.
Η προσθήκη ετικετών είναι μια λειτουργία του διακόπτη (ή οποιασδήποτε άλλης συσκευής που «καταλαβαίνει» το VLAN) που εισάγει μια συγκεκριμένη ετικέτα που αποτελείται από 4 byte στο πλαίσιο ethernet. Η διαδικασία προσθήκης ετικετών δεν αλλάζει τα δεδομένα κεφαλίδας, επομένως ο εξοπλισμός που δεν υποστηρίζει την τεχνολογία VLAN μπορεί εύκολα να μεταδώσει ένα τέτοιο πλαίσιο περαιτέρω κατά μήκος του δικτύου, διατηρώντας την ετικέτα.

Έτσι θα μοιάζει το πλαίσιο μετά την εισαγωγή της ετικέτας VLAN.

Με βάση το σχήμα τους, βλέπουμε ότι η ετικέτα VLAN αποτελείται από 4 πεδία:

- 2 byte Tag Protocol Identifier (TPID) - αυτό είναι το αναγνωριστικό πρωτοκόλλου, στην περίπτωσή μας είναι 802.1Q, στην 16η μορφή αυτό το πεδίο θα μοιάζει με: 0x8100.

— Προτεραιότητα — πεδίο για ορισμό προτεραιότητας σύμφωνα με το πρότυπο 802.1p (σχετικά με αυτό στα ακόλουθα άρθρα). Το μέγεθος αυτού του πεδίου είναι 3 bit (8 τιμές 0-7).

— Κανονικός δείκτης μορφής (CFI). Ένδειξη κανονικής μορφής, αυτό το πεδίο έχει μέγεθος 1 bit. Αυτό το πεδίο υποδεικνύει τη μορφή της διεύθυνσης mac (1 είναι κανονική, 0 δεν είναι κανονική.)

— VLAN ID, αυτό είναι στην πραγματικότητα αυτό που συγκεντρώσαμε για σήμερα :) VLAN ID. Το μέγεθος του πεδίου είναι 12 bit, μπορεί να πάρει μια τιμή από 0 έως 4095.

Όταν χρησιμοποιείτε VLAN (tagging) σύμφωνα με το πρότυπο 802.1Q, γίνονται αλλαγές στο πλαίσιο, επομένως είναι απαραίτητος ο επανυπολογισμός της τιμής FCS, που στην πραγματικότητα γίνεται από το διακόπτη.

Το πρότυπο 802.1Q έχει κάτι τέτοιο όπως το Native VLAN, από προεπιλογή το Native VLAN ID είναι ίσο με ένα (μπορεί να αλλάξει), το Native VLAN χαρακτηρίζεται από το γεγονός ότι αυτό το VLAN δεν έχει ετικέτα.

2. Inter-switch-link (ISL). Ένα πρωτόκολλο που αναπτύχθηκε από τη Cisco και μπορεί να χρησιμοποιηθεί μόνο στον εξοπλισμό της.
Αυτό το πρωτόκολλο αναπτύχθηκε πριν από την υιοθέτηση του 802.1Q.
Επί του παρόντος, το ISL δεν υποστηρίζεται πλέον σε νεότερο υλικό, αλλά ενδέχεται να εξακολουθείτε να αντιμετωπίζετε αυτό το πρωτόκολλο στην πράξη, επομένως πρέπει να εξοικειωθούμε με αυτό.

Σε αντίθεση με το 802.1Q, όπου πραγματοποιήθηκε απλή επισήμανση του πλαισίου (εισαγωγή 4 byte μέσα στο πλαίσιο), εδώ χρησιμοποιείται η τεχνολογία ενθυλάκωσης, δηλαδή προστίθεται μια συγκεκριμένη κεφαλίδα που περιέχει πληροφορίες για το VLAN. Το VLAN ISL, σε αντίθεση με το 802.1Q, υποστηρίζει έως και 1000 VLAN.

Ας δούμε το πλαίσιο σε γραφική μορφή για να δούμε πώς μοιάζει αυτή η ενθυλάκωση.

Εδώ μπορούμε να δούμε αμέσως το πρώτο και ίσως το πιο βασικό μειονέκτημα του ISL - αυξάνει το πλαίσιο κατά 30 byte (26 bytes κεφαλίδα και 4 bytes FCS).

Ας δούμε το ISL Header πιο αναλυτικά, ας δούμε τι είναι αποθηκευμένο εκεί σε τόσα πολλά byte!

  • Διεύθυνση προορισμού (DA) - η διεύθυνση του παραλήπτη υποδεικνύεται εδώ, η οποία υποδεικνύει ότι το πλαίσιο που χρησιμοποιείται είναι ενθυλακωμένο με χρήση ISL. Η διεύθυνση πολλαπλής μετάδοσης μπορεί να είναι 0x01-00-0C-00-00 ή 0x03-00-0c-00-00.
  • Τύπος - μήκος πεδίου 4 bit, υποδεικνύει το πρωτόκολλο που είναι ενσωματωμένο στο πλαίσιο. Μπορεί να λάβει πολλές τιμές:

0000 - Ethernet
0001 - Token-Ring
0010 - FDDI
0011 - ΑΤΜ

Στην περίπτωσή μας, καθώς εξετάζουμε το Ethernet, αυτή η τιμή θα είναι ίση με το 0.

  • Ο χρήστης USER είναι ένα είδος «απογυμνωμένου» αναλόγου του πεδίου Προτεραιότητα στο 802.1Q, που χρησιμοποιείται για τον καθορισμό της προτεραιότητας ενός πλαισίου. Αν και το πεδίο καταλαμβάνει 4 bit, μπορεί να πάρει 4 τιμές (στο 802.1Q - 8).
  • Διεύθυνση πηγής (SA) - η τιμή της διεύθυνσης MAC της θύρας από την οποία στάλθηκε αυτό το ενθυλακωμένο πλαίσιο αντικαθίσταται σε αυτήν τη θέση.
  • LEN - μήκος πλαισίου. Πεδία όπως DA,TYPE,USER,SA,LEN,FCS δεν λαμβάνονται υπόψη εδώ. Έτσι, αποδεικνύεται ότι αυτή η τιμή είναι ίση με το ενθυλακωμένο πλαίσιο - 18 byte.
  • AAAA03 (SNAP) - SNAP και LLC (αυτό το πεδίο περιέχει την τιμή AAAA03).
  • HSA - High Bits of Source Address - 3 υψηλά byte της διεύθυνσης MAC (θυμηθείτε ότι αυτά τα byte περιέχουν τον κωδικό κατασκευαστή), για τη Cisco είναι 00-00-0C
  • VLAN - επιτέλους φτάσαμε στο κύριο πεδίο. Το αναγνωριστικό VLAN υποδεικνύεται στην πραγματικότητα εδώ. Το πεδίο έχει μέγεθος 15 bit.
  • BPDU - Μονάδα Δεδομένων Πρωτοκόλλου Γέφυρας και Πρωτόκολλο Ανακάλυψης Cisco. Πεδίο για πρωτόκολλα BPDU και CDP. Θα μάθουμε τι είναι και γιατί στα επόμενα άρθρα.
  • INDX - Ευρετήριο, υποδεικνύει το ευρετήριο της θύρας του αποστολέα, που χρησιμοποιείται για διαγνωστικούς σκοπούς.
  • ΑΠΕ — Προορίζεται για Token Ring και FDDI. Πεδίο κράτησης για Token Ring και FDDI. Το πεδίο έχει μέγεθος 16 bit. Εάν χρησιμοποιείται το πρωτόκολλο ethernet, τότε όλα τα μηδενικά τοποθετούνται σε αυτό το πεδίο.
  • Το Encapsulated Frame είναι ένα κανονικό πλαίσιο που έχει ενθυλακωθεί. Αυτό το πλαίσιο έχει τα δικά του πεδία, όπως DA, SA, LEN, FCS και ούτω καθεξής.
  • Το FCS είναι το ISL της ίδιας της FCS (καθώς το πλαίσιο έχει αλλάξει εντελώς, απαιτείται νέος έλεγχος πλαισίου, τα τελευταία 4 byte προορίζονται για αυτό).

Μπορούμε να βγάλουμε κάποια συμπεράσματα υπέρ του 802.1Q.

  1. Η προσθήκη ετικετών προσθέτει μόνο 4 byte στο πλαίσιο, σε αντίθεση με το ISL (30 byte).
  2. Το 802.1Q υποστηρίζεται σε οποιονδήποτε εξοπλισμό υποστηρίζει VLAN, ενώ το ISL λειτουργεί μόνο σε συσκευές Cisco και όχι σε όλες.

Σε αυτό το άρθρο, παρουσιάσαμε εν συντομία την έννοια του VLAN. Στη συνέχεια θα εξετάσουμε τις λεπτομέρειες.

VLAN(από το αγγλικό Virtual Local Area Network) είναι ένα λογικό ("εικονικό") τοπικό δίκτυο υπολογιστών που έχει τις ίδιες ιδιότητες με ένα φυσικό τοπικό δίκτυο.

Με απλά λόγια, ένα VLAN είναι ένα λογικό κανάλι μέσα σε ένα φυσικό.

Αυτή η τεχνολογία σας επιτρέπει να εκτελέσετε δύο αντίθετα καθήκοντα:

1) ομαδοποιήστε συσκευές σε επίπεδο σύνδεσης δεδομένων (δηλαδή συσκευές που βρίσκονται στο ίδιο VLAN), αν και μπορεί να είναι φυσικά συνδεδεμένες σε διαφορετικούς μεταγωγείς δικτύου (που βρίσκονται, για παράδειγμα, γεωγραφικά απομακρυσμένες).

2) διάκριση μεταξύ συσκευών (που βρίσκονται σε διαφορετικά VLAN) που είναι συνδεδεμένες στον ίδιο διακόπτη.

Με άλλα λόγια, τα VLAN σάς επιτρέπουν να δημιουργείτε ξεχωριστούς τομείς μετάδοσης. Το δίκτυο οποιασδήποτε μεγάλης επιχείρησης, πολύ περισσότερο παρόχου, δεν μπορεί να λειτουργήσει χωρίς τη χρήση VLAN.

Η χρήση αυτής της τεχνολογίας μας δίνει τα ακόλουθα πλεονεκτήματα:

  • ομαδοποίηση συσκευών (για παράδειγμα, διακομιστές) κατά λειτουργικότητα.
  • μείωση του όγκου της κυκλοφορίας μετάδοσης στο δίκτυο, επειδή Κάθε VLAN είναι ένας ξεχωριστός τομέας μετάδοσης.
  • αυξημένη ασφάλεια και διαχειρισιμότητα του δικτύου (ως συνέπεια των δύο πρώτων πλεονεκτημάτων).

Επιτρέψτε μου να σας δώσω ένα απλό παράδειγμα: Ας υποθέσουμε ότι υπάρχουν κεντρικοί υπολογιστές που περιλαμβάνονται σε έναν διακόπτη, ο οποίος με τη σειρά του συνδέεται με έναν δρομολογητή (Εικόνα 1). Ας υποθέσουμε ότι έχουμε δύο τοπικά δίκτυα συνδεδεμένα μέσω ενός μεταγωγέα και έχουν πρόσβαση στο Διαδίκτυο μέσω ενός δρομολογητή. Εάν δεν διαφοροποιήσετε τα δίκτυα ανά VLAN, τότε, πρώτον, μια καταιγίδα δικτύου σε ένα δίκτυο θα επηρεάσει το δεύτερο δίκτυο και, δεύτερον, η κίνηση από άλλο δίκτυο μπορεί να «συλληφθεί» από κάθε δίκτυο. Τώρα, έχοντας χωρίσει το δίκτυο σε VLAN, στην πραγματικότητα πήραμε δύο ξεχωριστά δίκτυα συνδεδεμένα μεταξύ τους μέσω ενός δρομολογητή, δηλαδή το L3 (επίπεδο δικτύου). Όλη η κίνηση περνάει από το ένα δίκτυο στο άλλο μέσω του δρομολογητή και η πρόσβαση λειτουργεί πλέον μόνο στο επίπεδο L3, γεγονός που απλοποιεί σημαντικά τη δουλειά του διαχειριστή.

Επισήμανση

Επισήμανση– η διαδικασία προσθήκης ετικέτας VLAN (γνωστός και ως ετικέτα) στα πλαίσια κυκλοφορίας.

Συνήθως, οι τερματικοί κεντρικοί υπολογιστές δεν προσθέτουν ετικέτες στην κίνηση (για παράδειγμα, υπολογιστές χρηστών). Αυτό γίνεται με διακόπτες στο δίκτυο. Επιπλέον, οι τελικοί οικοδεσπότες δεν υποψιάζονται καν ότι βρίσκονται σε τέτοιο VLAN. Αυστηρά μιλώντας, η κίνηση σε διαφορετικά VLAN δεν διαφέρει σε κάτι ιδιαίτερο.

Εάν η κίνηση από διαφορετικά VLAN μπορεί να έρχεται μέσω μιας θύρας μεταγωγής, τότε ο διακόπτης πρέπει με κάποιο τρόπο να τη διακρίνει. Για να γίνει αυτό, κάθε πλαίσιο πρέπει να επισημαίνεται με κάποιο είδος ετικέτας.

Η πιο ευρέως χρησιμοποιούμενη τεχνολογία είναι αυτή που περιγράφεται στην προδιαγραφή IEEE 802.1Q. Υπάρχουν και άλλα ιδιόκτητα πρωτόκολλα (προδιαγραφές).

802,1q

802,1qείναι ένα ανοιχτό πρότυπο που περιγράφει τη διαδικασία για την προσθήκη ετικετών στην κυκλοφορία.

Για να γίνει αυτό, τοποθετείται μια ετικέτα στο σώμα του πλαισίου (Εικ. 2) που περιέχει πληροφορίες σχετικά με τη συνδρομή VLAN. Επειδή η ετικέτα τοποθετείται στο σώμα και όχι στην κεφαλίδα του πλαισίου, τότε οι συσκευές που δεν υποστηρίζουν VLAN περνούν την κυκλοφορία με διαφάνεια, δηλαδή χωρίς να λαμβάνεται υπόψη η σύνδεσή της σε ένα VLAN.

Το μέγεθος της ετικέτας (ετικέτα) είναι μόνο 4 byte. Αποτελείται από 4 πεδία (Εικ. 3):

  • Αναγνωριστικό πρωτοκόλλου ετικέτας(TPID, Tagging Protocol Identifier). Το μέγεθος του πεδίου είναι 16 bit. Υποδεικνύει ποιο πρωτόκολλο χρησιμοποιείται για την προσθήκη ετικετών. Για το 802.1Q η τιμή είναι 0x8100.
  • Προτεραιότητα(μια προτεραιότητα). Το μέγεθος του πεδίου είναι 3 bit. Χρησιμοποιείται από το πρότυπο IEEE 802.1p για τον καθορισμό της προτεραιότητας της μεταδιδόμενης κίνησης.
  • Κανονική ένδειξη μορφής(CFI, ένδειξη κανονικής μορφής). Το μέγεθος του πεδίου είναι 1 bit. Υποδεικνύει τη μορφή διεύθυνσης MAC. 0 - κανονικό, 1 - μη κανονικό. Το CFI χρησιμοποιείται για τη διαλειτουργικότητα μεταξύ δικτύων Ethernet και Token Ring.
  • Αναγνωριστικό VLAN(VID, VLAN ID). Το μέγεθος του πεδίου είναι 12 bit. Υποδεικνύει σε ποιο VLAN ανήκει το πλαίσιο. Το εύρος των πιθανών τιμών είναι από 0 έως 4095.

Εάν η επισκεψιμότητα έχει επισημανθεί ή το αντίστροφο - η ετικέτα αφαιρείται, τότε το άθροισμα ελέγχου πλαισίου υπολογίζεται εκ νέου (CRC).

Εγγενές VLAN

Το πρότυπο 802.1q προβλέπει επίσης τον προσδιορισμό VLAN της κυκλοφορίας που ταξιδεύει χωρίς ετικέτα, δηλ. χωρίς ετικέτα. Αυτό το VLAN ονομάζεται εγγενές VLAN, από προεπιλογή είναι VLAN 1. Αυτό επιτρέπει στην κυκλοφορία που δεν έχει στην πραγματικότητα ετικέτες να θεωρηθεί με ετικέτα.

802.1 μ.Χ

802.1 μ.Χείναι ένα ανοιχτό πρότυπο (παρόμοιο με το 802.1q) που περιγράφει μια διπλή ετικέτα (Εικ. 4). Γνωστός και ως Q-in-Q, ή Στοιβαγμένα VLAN. Η κύρια διαφορά από το προηγούμενο πρότυπο είναι η παρουσία δύο VLAN - εξωτερικών και εσωτερικών, τα οποία σας επιτρέπουν να χωρίσετε το δίκτυο όχι σε 4095 VLAN, αλλά σε 4095x4095.

Επίσης, η παρουσία δύο ετικετών σάς επιτρέπει να οργανώσετε πιο ευέλικτα και πολύπλοκα δίκτυα χειριστή. Επίσης, υπάρχουν περιπτώσεις που ένας χειριστής χρειάζεται να οργανώσει μια σύνδεση L2 για δύο διαφορετικούς πελάτες σε δύο διαφορετικές πόλεις, αλλά οι πελάτες στέλνουν κίνηση με την ίδια ετικέτα (Εικ. 5).

Ο πελάτης-1 και ο πελάτης-2 έχουν υποκαταστήματα στις πόλεις Α και Β, όπου υπάρχει δίκτυο ενός παρόχου. Και οι δύο πελάτες πρέπει να συνδέσουν τα υποκαταστήματά τους σε δύο διαφορετικές πόλεις. Επιπλέον, για τις ανάγκες του, κάθε πελάτης επισημαίνει την κυκλοφορία με 1051 VLAN. Αντίστοιχα, εάν ο πάροχος διοχετεύει την κίνηση και των δύο πελατών μέσω του εαυτού του σε ένα μόνο VLAN, ένα ατύχημα με έναν πελάτη μπορεί να επηρεάσει τον δεύτερο πελάτη. Επιπλέον, η κίνηση από έναν πελάτη μπορεί να υποκλαπεί από έναν άλλο πελάτη. Προκειμένου να απομονωθεί η κίνηση πελατών, ο ευκολότερος τρόπος για έναν χειριστή είναι να χρησιμοποιήσει το Q-in-Q. Προσθέτοντας μια πρόσθετη ετικέτα σε κάθε μεμονωμένο πελάτη (για παράδειγμα, 3083 στον πελάτη-1 και 3082 στον πελάτη-2), ο χειριστής απομονώνει τους πελάτες μεταξύ τους χωρίς οι πελάτες να χρειάζεται να αλλάξουν την ετικέτα.

Κατάσταση λιμένα

Οι θύρες μεταγωγής, ανάλογα με τη λειτουργία που εκτελείται με τα VLAN, χωρίζονται σε δύο τύπους:

  • με ετικέτα(γνωστός και ως θύρα κορμού, κορμός, στη cisco terminalology) είναι μια θύρα που επιτρέπει την κυκλοφορία μόνο με μια συγκεκριμένη ετικέτα.
  • χωρίς ετικέτα(γνωστός και ως αξεσουάρ, πρόσβαση, στην τερματολογία της cisco) - κατά την είσοδο σε μια δεδομένη θύρα, η κίνηση χωρίς ετικέτα "τυλίγεται" σε μια ετικέτα.

Υπάρχουν δύο προσεγγίσεις για την εκχώρηση μιας θύρας σε ένα συγκεκριμένο VLAN:

  • Στατική ανάθεση- όταν το VLAN μιας θύρας καθορίζεται από τον διαχειριστή.
  • Δυναμική ανάθεση- όταν το VLAN μιας θύρας προσδιορίζεται κατά τη λειτουργία του μεταγωγέα χρησιμοποιώντας διαδικασίες που περιγράφονται σε ειδικά πρότυπα, όπως το 802.1X.

Πίνακας μεταγωγής

Ο πίνακας μεταγωγής κατά τη χρήση VLAN είναι ο εξής (παρακάτω είναι ο πίνακας μεταγωγής για έναν διακόπτη που δεν υποστηρίζει VLAN):

Λιμάνι Διεύθυνση MAC
1 ΕΝΑ
2 σι
3 ντο

Εάν ο διακόπτης υποστηρίζει VLAN, τότε ο πίνακας μεταγωγής θα μοιάζει με αυτό:

Λιμάνι VLAN Διεύθυνση MAC
1 345 ΕΝΑ
2 879 σι
3 Προκαθορισμένο ντο

όπου η προεπιλογή είναι εγγενής vlan.

Πρωτόκολλα, που λειτουργούν με VLAN

GVRP(το ανάλογο του στη Cisco είναι το VTP) είναι ένα πρωτόκολλο που λειτουργεί σε επίπεδο ζεύξης δεδομένων, το έργο του οποίου συνοψίζεται στην ανταλλαγή πληροφοριών σχετικά με τα διαθέσιμα VLAN.

MSTP(PVSTP, PVSTP++ για Cisco) - ένα πρωτόκολλο, μια τροποποίηση του πρωτοκόλλου STP, το οποίο σας επιτρέπει να δημιουργήσετε ένα "δέντρο" λαμβάνοντας υπόψη διάφορα VLAN.

LLDP(CDP, από τη Cisco) είναι ένα πρωτόκολλο που χρησιμοποιείται για την ανταλλαγή περιγραφικών πληροφοριών για το δίκτυο γενικά, εκτός από πληροφορίες για VLAN, διανέμει επίσης πληροφορίες για άλλες ρυθμίσεις.



Προτείνουμε άλλα άρθρα
Παγωμένο tablet - τι να κάνετε;
Παγωμένο tablet - τι να κάνετε;
Ασύρματη κάμερα USB αγοράστε μια ασύρματη μίνι κάμερα υπολογιστή Ψηφιακή κάμερα με έξοδο USB
Ασύρματη κάμερα USB αγοράστε μια ασύρματη μίνι κάμερα υπολογιστή Ψηφιακή κάμερα με έξοδο USB
Stoloto, Russian Lotto – απάτη;
Stoloto, Russian Lotto – απάτη;