Vrste VLAN-a i njihova svojstva. Mogućnosti suvremenih preklopnika za organiziranje virtualnih mreža. Pogledajte što je "VLAN" u drugim rječnicima

PREUZETO SA: http://mcp1971.livejournal.com/1851.html

Rasponi brojeva VLAN-a
Svi pristupni VLAN-ovi mogu se podijeliti u dva raspona:
Tipični raspon VLAN-a
- koristi se u malim i srednjim mrežama
- imaju brojeve od 1 do 1005
- brojevi od 1002 do 1005 su rezervirani za Token Ring i FDDI VLAN-ovi
- brojevi 1, 1002 i 1005 kreiraju se automatski i ne mogu se brisati
- svi podaci o VLAN-ovima pohranjuju se u datoteku vlan.dat , koji se nalazi na flash memoriji ( flash:vlan.dat )
- VTP protokol može naučiti samo VLAN-ove redovitog raspona i pohraniti informacije o njima vlan.dat
Prošireni VLAN raspon
- koriste pružatelji ili vrlo velike mreže za proširenje VLAN infrastrukture
- imaju brojeve od 1006 do 4094
- podržavaju manje značajki od uobičajenog opsega VLAN-ova
- svi podaci o VLAN-ovima pohranjeni su u radnoj konfiguraciji
- nema VTP podrške
Preklopnik Cisco Catalyst 2960 podržava do 255 regularnih i proširenih VLAN-ova

vrste VLAN-a
Svi VLAN-ovi mogu se dodijeliti određenoj vrsti:
1. Podatkovni VLAN(Podatkovni VLAN) - VLAN kroz koji prolaze korisnički generirani podaci. Ali to ne mogu biti glasovni podaci ili kontrola prometa za prekidače.
2. Zadani VLAN(zadani VLAN) - VLAN u kojem se nalaze svi priključci preklopnika prije početka konfiguracije. Zadani VLAN za Cisco preklopnike je VLAN1. Prema zadanim postavkama, Layer 2 kontrolni promet kao što su CDP i STP povezan je s VLAN1.
3. Izvorni VLAN(native VLAN) - VLAN preko kojeg se radna stanica može spojiti na port konfiguriran kao trunk port (802.1Q) i prenositi označene okvire koristeći 802.1Q i prenositi neoznačene okvire. Ovo je implementirano tako da računalo koje ne može označiti okvire može biti spojeno na trunk port. Preporučuje se korištenje izvornog VLAN-a koji nije VLAN1.
4. Upravljački VLAN(control VLAN) - VLAN preko kojeg se vrši konfiguracija. Da biste to učinili, VLAN-u mora biti dodijeljena IP adresa i maska ​​podmreže.
5. Glasovni VLAN(voice VLAN) - VLAN dizajniran za prijenos glasa. Takav VLAN mora osigurati:
- zajamčeno propusnost osigurati kvaliteta glasa
- prioritet govorni promet u usporedbi s druge vrste prometa
- sposobnost usmjeravanja promet zaobilazeći prometne područja u mreži
- imati latenciju manju od 150 milisekundi na mreži
Dešava se da se računalo spoji na switch preko IP telefona. Ispada da moramo razlikovati govorni promet od podatkovnog prometa na portu. Da biste to učinili, telefon je prekidač s tri priključka. Jedan priključak je spojen na preklopnik. Drugi je interni priključak za prijenos govornog prometa. Treći port je port na koji je spojeno računalo. Promet od unutarnja luka telefon je označen glasovnim VLAN brojem. Promet s računala nije označen. Stoga preklopnik može odrediti promet kojem treba dati prioritet. Podjela se odvija na isti način dolazni promet- označen glasovnim VLAN brojem - na telefon, neoznačen - na računalo. Sukladno tome, i glasovni VLAN i pristupni VLAN konfigurirani su na portu preklopnika.

Promjena načina rada porta u VLAN ah
Svaki port preklopnika može se konfigurirati za određenu vrstu rada VLAN-ovi koristeći različite metode:
Statički VLAN- svakom portu se ručno dodjeljuje VLAN kojem pripada.
Dinamički VLAN- svakom portu je dodijeljen VLAN kojem pripada pomoću VLAN Membership Policy Server (VMPS). Uz VMPS možete dodijelitiVLANpriključci prekidačadinamički, na temeljuMAS-adrese uređaj spojen na luka Ovo je korisno kada premještate uređaj s priključka jedan prekidač na mreži do priključka drugi prekidač na mreži, prebaciti dinamički dodjeljuje VLAN za ovaj uređaj uključennova luka.
Glasovni VLAN- priključak je konfiguriran i za prijenos označenog govornog prometa i za prijenos neoznačenog podatkovnog prometa. Da biste konfigurirali glasovni VLAN, koristite sljedeće naredbe:
S1(config)#sučelje fastethernet 0/18
S1(config-if)#mls qos povjerenje cos- definirati glasovni promet kao prioritet
S1(config-if)#switchport voice vlan 150 - odrediti glasovni VLAN
S1(config-if)#switchport način pristupa - utvrđujemo da je ovaj port za podatke (pristupni port - neoznačeni promet)
20 - definirati VLAN za podatke

Debla VLAN-ovi
prtljažnik - Ovo je veza od točke do točke između mrežni uređaji, koji prenose podatke s više od jednog VLAN-a. Da nema spojnih linija, prilikom povezivanja preklopnika za svaki VLAN morao bi se dodijeliti poseban port. Uz trunk, svi VLAN-ovi prolaze kroz jedan port.
Kako bi trunk port znao kojem VLAN-u pripada okvir koji se prenosi kroz port, u zaglavlje okvira umetnuta je oznaka 802.1Q koja označava VLAN broj i prioritet poslanog okvira.
Ako neoznačeni okvir stigne na port, preklopnik ga automatski prosljeđuje izvornom VLAN-u. Prema zadanim postavkama izvorni VLAN je VLAN1.
Ali to se može promijeniti naredbom:
S1(config-if)#switchport mode trunk
vlan-id
Da biste provjerili na koji je izvorni VLAN poslan neoznačeni okvir, upotrijebite naredbu: S1#prikaži sučelja ID-sučelja

switchport
DTP
DTP je Cisco vlasnički protokol koji vam omogućuje da automatski konfigurirate trunking načine rada portova preklopnika. Postoje tri načina rada: Na(zadano) - prekidač povremeno šalje udaljeni priključak DTP okvir koji označava da se ponaša kao trunk port. Omogućeno naredbom. Ako udaljeni port djeluje kao pristupni port,
lokalna luka Ne preporučuje se korištenje s ovim DTP načinom rada. Dinamički auto.
- preklopnik povremeno šalje DTP okvir udaljenom portu, koji obavještava da je spreman za rad kao trunk port, ali ne zahtijeva da radi u trunk modu. Port omogućuje trunk način rada, ako udaljeni priključak već radi kao trunk port ili ima konfiguriran dinamički željeni način rada, priključci dogovaraju rad u trunk modu. Ako je udaljeni priključak također konfiguriran kao Dynamic Auto, pregovaranje se ne provodi - priključci djeluju kao pristupni priključci. Ako je udaljeni priključak pristup, lokalni je također pristup. Omogućeno naredbom S1(config-if)#switchport mod dinamički automatski
Poželjna dinamika - preklopnik povremeno šalje DTP okvir na udaljeni port, koji obavještava da je spreman za rad kao trunk port i traži da radi u trunk modu. Ako udaljeni priključak radi u dinamičkom automatskom ili dinamičkom poželjnom načinu rada, priključci se prebacuju u glavni način rada. Ako udaljeni priključak ne podržava pregovaranje, lokalni priključak radi u ne-trunk načinu rada..

Naredbom možete onemogućiti koordinaciju načina rada S1(config-if)#switchport bez pregovaranja
1. Naredbe za podešavanje VLAN-ovi S1(config)#vlan
2. vlan id - dodavanje VLAN-a. S1(config-vlan)#ime
3. vlan ime- dodjeljivanje imena VLAN-a.
4. S1#show vlan brief- provjera prisutnosti VLAN-a u bazi podataka, pristupni portovi koji pripadaju VLAN-u
S1(config-if)#switchport način pristupa VLAN-ovi - prebacivanje porta u način rada pristupnog porta.
5. Da biste provjerili na koji je izvorni VLAN poslan neoznačeni okvir, upotrijebite naredbu: S1(config-if)#switchport pristup vlan- provjera načina rada određenog sučelja
6. S1(config-if)#no switchport pristup vlan- isključivanje porta iz VLAN-a s konfiguriranim brojem i njegov prijenos na
Zadani VLAN
7. S1(config)#nema vlan VLAN-ovi - uklanjanje VLAN-a iz baze podataka. Prije nego što to učinite, morate ukloniti sve priključke iz ovog VLAN-a, inače će biti nedostupni.
8. S1#brisanje flash:vlan.dat- brisanje cijele VLAN baze podataka. Ostat će samo zadani VLAN-ovi.
9. S1(config-if)#switchport mode trunk- prisilno prebacivanje načina rada porta na trunk.
10. S1(config-if)#switchport trunk izvorni vlan VLAN-ovi - mijenjanje izvornog VLAN-a za trunk port.
11. S1(config-if)#switchport trunk dozvoljen VLAN-ovi - dodjela VLAN-ova koji mogu proći kroz port. Bez korištenja ove naredbe, svi VLAN-ovi mogu proći kroz port.
12. S1(config-if)#no switchport trunk dopušten vlan- resetiranje svih dopuštenih VLAN-ova na glavnom priključku.
13. S1(config-if)#no switchport trunk izvorni vlan- vratiti VLAN1 kao izvorni VLAN na glavnom priključku.

Predstavlja grupu hostova sa zajedničkim skupom zahtjeva koji međusobno djeluju kao da su povezani na domenu emitiranja, bez obzira na njihovu fizičku lokaciju. VLAN ima ista svojstva kao fizički LAN, ali omogućuje grupiranje krajnjih stanica čak i ako nisu u istom fizička mreža. Ova se reorganizacija može napraviti na temelju softvera umjesto fizičko kretanje uređaja.

Enciklopedijski YouTube

Oznaka članstva u VLAN-u

Za to postoje sljedeća rješenja:

  • po portu (eng. port-based, 802.1Q): jedan VLAN je ručno dodijeljen portu preklopnika. U slučaju da nekoliko VLAN-ova mora odgovarati jednom portu (na primjer, ako VLAN veza prolazi kroz nekoliko mrežnih sklopki), tada ovaj priključak mora biti član debla. Samo jedan VLAN može primiti sve pakete koji nisu dodijeljeni niti jednom VLAN-u (u terminologiji 3Com, Planet, D-Link, Zyxel, HP - neoznačeno, u terminologiji Cisco, Juniper - izvorni VLAN). Mrežni prekidač će dodati oznake ovog VLAN-a svim primljenim okvirima koji nemaju nikakve oznake. VLAN-ovi temeljeni na portovima imaju neka ograničenja.
  • prema MAC adresi (na temelju MAC-a): VLANe članstvo se temelji na MAC adresi radne stanice. U ovom slučaju mrežni preklopnik ima tablicu MAC adresa svih uređaja zajedno s VLAN-ovima kojima pripadaju.
  • Na temelju protokola: podaci sloja 3-4 u zaglavlju paketa koriste se za određivanje članstva u VLANe-u. Na primjer, -strojevi se mogu prenijeti na prvi VLAN, a AppleTalk -strojevi na drugi. Glavni nedostatak ove metode je što narušava neovisnost slojeva, pa će npr. prelazak s IPv4 na IPv6 dovesti do prekida rada mreže.
  • na temelju autentifikacije: uređaji se mogu automatski premjestiti na VLAN na temelju podataka o autentifikaciji korisnika ili uređaja kada se koristi 802.1x protokol.

VLAN u Ciscu

U Cisco uređajima, VTP (VLAN Trunking Protocol) pruža VLAN domene za pojednostavljenje administracije. VTP također izvodi obrezivanje prometa, usmjeravajući VLAN promet samo na one preklopnike koji imaju ciljane VLAN priključke (funkcija VTP rezanja). Cisco sklopke uglavnom koriste 802.1Q Trunk protokol umjesto zastarjelog vlasničkog ISL-a (Inter-Switch Link) kako bi se osigurala kompatibilnost informacija.

Prema zadanim postavkama, svaki priključak na preklopniku ima VLAN1 ili VLAN za upravljanje. Kontrolne mreže ne mogu se izbrisati, ali se mogu stvoriti dodatne mreže VLAN-ovima i ovim alternativnim VLAN-ovima mogu se dodatno dodijeliti portovi.

Izvorni VLAN je parametar po portu koji specificira VLAN broj koji primaju svi neoznačeni paketi.

Cisco koristi sljedeću terminologiju porta:

  • pristupna luka- priključak koji pripada jednom VLAN-u i prenosi neoznačeni promet. Prema Cisco specifikaciji, pristupni port može pripadati samo jednom VLAN-u, ovo je prvi (neoznačeni) VLAN. Svaki okvir koji prolazi kroz pristupni port označen je brojem koji pripada ovom VLAN-u.
  • glavni priključak- port koji prenosi označeni promet jednog ili više VLAN-ova. Ovaj port, naprotiv, ne mijenja oznaku, već samo propušta okvire s oznakama koje su dopuštene na ovom portu

Za prijenos prometa nekoliko VLAN-ova kroz port, port se prebacuje u trunk mod.

Načini rada sučelja (zadani način rada ovisi o modelu prekidača):

  • auto- Luka se nalazi u automatski način rada i bit će stavljen u trunk stanje samo ako je priključak na drugom kraju u uključenom ili poželjnom načinu rada. To jest, ako su priključci na oba kraja u "automatskom" načinu rada, tada se trunk neće koristiti.
  • poželjan- Port je u načinu rada "spreman za prijelaz u stanje magistrale"; povremeno šalje DTP okvire portu na drugom kraju, zahtijevajući od udaljenog porta da uđe u stanje trunk-a (stanje trunk-a će se uspostaviti ako je port na drugom kraju u uključenom, poželjnom ili automatskom načinu rada).
  • deblo- Port je uvijek u stanju trunk-a, čak i ako port na drugom kraju ne podržava ovaj način rada.
  • ne pregovarati- Priključak je spreman za ulazak u trunk mod, ali ne šalje DTP okvire u priključak na drugom kraju. Ovaj način se koristi za sprječavanje sukoba s drugom opremom koja nije Cisco. U tom slučaju, prekidač na drugom kraju mora biti ručno konfiguriran za korištenje trunk-a.

Prema zadanim postavkama, svi VLAN-ovi su dopušteni u trunk-u. Kako bi se podaci mogli prenositi kroz odgovarajući VLAN u trunk-u, VLAN mora biti najmanje aktivan. VLAN postaje aktivan kada se kreira na preklopniku i ima najmanje jedan port u gore/up stanju.

VLAN(s engleskog Virtualno lokalno Područna mreža) – logično (“virtualno”) lokalno računalna mreža, ima ista svojstva kao fizička lokalna mreža.

Jednostavno rečeno, VLAN je logički kanal unutar fizičkog.

Ova tehnologija omogućuje izvođenje dva suprotna zadaci:

1) grupirati uređaje u razina veze(tj. uređaji koji se nalaze u istom VLAN-u), iako se fizički mogu spojiti na različite mrežne sklopke(koji se nalazi, na primjer, geografski udaljen);

2) razlikovati uređaje (smještene u različitim VLAN-ovima) spojene na isti preklopnik.

Drugim riječima, VLAN-ovi vam omogućuju stvaranje zasebnih domena emitiranja. Mreža bilo kojeg velikog poduzeća, a još manje pružatelja usluga, ne može funkcionirati bez korištenja VLAN-ova.

Korištenje ove tehnologije daje nam sljedeće prednosti:

  • grupiranje uređaja (na primjer, poslužitelja) prema funkcionalnosti;
  • smanjenje količine emitiranog prometa na mreži, jer svaki VLAN je zasebna domena emitiranja;
  • povećana sigurnost i upravljivost mreže (kao posljedica prve dvije prednosti).

Dat ću vam jednostavan primjer: Recimo da su hostovi uključeni u preklopnik, koji je pak povezan s usmjerivačem (Slika 1). Pretpostavimo da imamo dvije lokalne mreže povezane jednim preklopnikom i pristupaju internetu putem jednog usmjerivača. Ako ne razlikujete mreže prema VLAN-ovima, tada će, prvo, mrežna oluja u jednoj mreži utjecati na drugu mrežu, a drugo, promet iz druge mreže može se "uhvatiti" iz svake mreže. Sada, nakon što smo podijelili mrežu na VLAN-ove, zapravo smo dobili dva odvojene mreže, međusobno povezani ruterom, odnosno L3 ( mrežna razina). Sav promet prolazi s jedne mreže na drugu preko routera, a pristup sada radi samo na L3 razini, što uvelike pojednostavljuje rad administratora.

Označavanje

Označavanje– proces dodavanja oznake VLAN-a (aka oznake) prometnim okvirima.

Tipično, krajnji hostovi ne označavaju promet (na primjer, korisnička računala). To rade prekidači na mreži. Štoviše, krajnji hostovi niti ne slute da su u tom i takvom VLAN-u. Strogo govoreći, promet u različitim VLAN-ovima ne razlikuje se ni po čemu posebnom.

Ako promet iz različitih VLAN-ova može doći kroz priključak preklopnika, preklopnik ga mora nekako razlikovati. Da biste to učinili, svaki okvir mora biti označen nekom vrstom oznake.

Najraširenija tehnologija je ona opisana u specifikaciji IEEE 802.1Q. Postoje i drugi vlasnički protokoli (specifikacije).

802.1q

802.1q- Ovo otvoreni standard, koji opisuje postupak označavanja prometa.

Da biste to učinili, oznaka se postavlja u tijelo okvira (slika 2) koja sadrži informacije o članstvu u VLAN-u. Jer oznaka se postavlja u tijelo, a ne u zaglavlje okvira, tada uređaji koji ne podržavaju VLAN propuštaju promet transparentno, odnosno ne uzimajući u obzir njegovo vezanje na VLAN.

Veličina oznake (tag) je samo 4 bajta. Sastoji se od 4 polja (slika 3):

  • Identifikator protokola oznake(TPID, identifikator protokola označavanja). Veličina polja je 16 bita. Označava koji se protokol koristi za označavanje. Za 802.1Q vrijednost je 0x8100.
  • Prioritet(prioritet). Veličina polja je 3 bita. Koristi ga standard IEEE 802.1p za postavljanje prioriteta poslanog prometa.
  • Indikator kanonskog formata(CFI, indikator kanonskog formata). Veličina polja je 1 bit. Označava format MAC adrese. 0 - kanonski, 1 - nekanonski. CFI se koristi za kompatibilnost između Ethernet mreže i Token Ring.
  • Identifikator VLAN-a(VID, VLAN ID). Veličina polja je 12 bita. Pokazuje kojem VLAN-u okvir pripada. Raspon mogućih vrijednosti je od 0 do 4095.

Ako je promet označen, ili obrnuto - oznaka se uklanja kontrolni zbroj okvir se ponovno izračunava (CRC).

Izvorni VLAN

Standard 802.1q također omogućuje VLAN označavanje prometa koji putuje bez oznake, tj. nije označeno. Ovaj VLAN naziva se izvorni VLAN, prema zadanim postavkama je VLAN 1. To omogućuje da se promet koji zapravo nije označen smatra označenim.

802.1ad

802.1ad je otvoreni standard (sličan 802.1q) koji opisuje dvostruku oznaku (slika 4). Također poznat kao Q-u-Q, ili Složeni VLAN-ovi. Glavna razlika u odnosu na prethodni standard je prisutnost dva VLAN-a - vanjskog i unutarnjeg, što vam omogućuje da podijelite mrežu ne na 4095 VLAN-ova, već na 4095x4095.

Također, prisutnost dvije oznake omogućuje vam organiziranje fleksibilnijeg i složene mreže operater. Također, postoje slučajevi kada operater treba organizirati L2 vezu za dva različita klijenta u dva različita grada, ali klijenti šalju promet s istom oznakom (slika 5).

Klijent-1 i Klijent-2 imaju poslovnice u gradovima A i B, gdje postoji mreža istog pružatelja usluga. Oba klijenta trebaju povezati svoje podružnice u dva različita grada. Osim toga, svaki klijent za svoje potrebe označava promet s 1051 VLAN-om. U skladu s tim, ako pružatelj propušta promet oba klijenta kroz sebe u jednom VLAN-u, nesreća s jednim klijentom može utjecati na drugog klijenta. Štoviše, promet jednog klijenta može presresti drugi klijent. Kako bi izolirao promet korisnika, operateru je najlakši način da koristi Q-in-Q. Dodavanjem dodatne oznake svakom pojedinačnom klijentu (na primjer, 3083 klijentu-1 i 3082 klijentu-2), operater izolira klijente jedne od drugih bez potrebe da klijenti mijenjaju oznaku.

Status luke

Priključci prekidača, ovisno o operaciji koja se izvodi s VLAN-ovima, dijele se u dvije vrste:

  • označeno(odnosno glavni priključak, deblo, u cisco terminalologiji) je port koji dopušta promet samo s određenom oznakom;
  • neoznačeno(odnosno pribor, pristup, u cisco terminalologiji) - ulazak ovu luku, neoznačeni promet je "zamotan" u oznaku.

Postoje dva pristupa dodjeljivanju porta određenom VLAN-u:

  • Statička dodjela- kada je VLAN porta naveden od strane administratora;
  • Dinamički zadatak- kada se VLAN porta utvrđuje tijekom rada preklopnika pomoću postupaka opisanih u posebnim standardima, kao što je 802.1X.

Preklopni stol

Tablica prebacivanja pri korištenju VLAN-ova je sljedeća (ispod je tablica prebacivanja za prekidač koji ne podržava VLAN):

Luka MAC adresa
1 A
2 B
3 C

Ako preklopnik podržava VLAN-ove, tablica preklopa će izgledati ovako:

Luka VLAN MAC adresa
1 345 A
2 879 B
3 zadana vrijednost C

gdje je zadana vrijednost izvorni vlan.

Protokoli, rad s VLAN-om

GVRP(njegov analog u Ciscu je VTP) je protokol koji radi na razini podatkovne veze, čiji se rad svodi na razmjenu informacija o dostupnim VLAN-ovima.

MSTP(PVSTP, PVSTP++ za Cisco) - protokol, modifikacija STP protokola, koji vam omogućuje da izgradite "stablo" uzimajući u obzir različite VLAN-ove.

LLDP(CDP, od Cisca) je protokol koji se koristi za razmjenu opisnih informacija o mreži općenito, osim informacija o VLAN-ovima, također distribuira informacije o drugim postavkama.

VLAN-ovi- to su virtualne mreže koje postoje na drugoj razini modela OSI. To jest, VLAN se može konfigurirati na drugoj razini. Ako pogledamo VLAN-ove, apstrahirajući se od koncepta "virtualnih mreža", možemo reći da je VLAN jednostavno oznaka u okviru koji se prenosi preko mreže. Oznaka sadrži VLAN broj (nazvan VLAN ID ili VID), kojem je dodijeljeno 12 bita, odnosno VLAN može biti označen brojevima od 0 do 4095. Prvi i posljednji broj su rezervirani i ne mogu se koristiti. Obično radne stanice ne znaju ništa o VLAN-ovima (osim ako posebno ne konfigurirate VLAN-ove na karticama). Prekidači razmišljaju o njima. Portovi prekidača pokazuju u kojem se VLAN-u nalaze. Ovisno o tome, sav promet koji izlazi kroz port je označen oznakom, odnosno VLAN-om. Dakle, svaki priključak ima PVID ( port vlan identifikator Ovaj promet tada može proći kroz druge priključke na preklopnicima koji su u ovom VLAN-u i neće proći kroz sve druge priključke. Kao rezultat toga nastaje izolirano okruženje(podmreža), koja bez dodatni uređaj(usmjerivač) ne može komunicirati s drugim podmrežama.

Zašto su vilani potrebni?

  • Mogućnost izgradnje mreže, logična struktura koji ne ovisi o fizičkom. To jest, mrežna topologija na razini podatkovne veze izgrađena je bez obzira na zemljopisni položaj mrežnih komponenti.
  • Mogućnost podjele jedne domene emitiranja u nekoliko domena emitiranja. tj. emitirani promet jedna domena ne prelazi u drugu domenu i obrnuto. Time se smanjuje opterećenje mrežnih uređaja.
  • Mogućnost zaštite mreže od neovlaštenog pristupa. To jest, na razini veze, okviri iz drugih vilana bit će odsječeni portom preklopnika, bez obzira na koju izvornu IP adresu je paket enkapsuliran u ovom okviru.
  • Mogućnost primjene pravila na grupu uređaja koji se nalaze u istoj vilani.
  • Mogućnost korištenja virtualna sučelja za usmjeravanje.

Primjeri korištenje VLAN-a

  • Spajanje u jedinstvena mreža računala spojena na različite sklopke. Recimo da imate računala koja su spojena na različite preklopnike, ali ih je potrebno spojiti u jednu mrežu. Neka računala ćemo povezati u virtualnu lokalnu mrežu VLAN 1, a drugi - u mrežu VLAN 2. Zahvaljujući funkciji VLAN računala u svakoj virtualnoj mreži radit će kao da su spojena na isti preklopnik. Računala iz različitih virtualne mreže VLAN 1 I VLAN 2 bit će nevidljivi jedni drugima.
  • Podjela u različite podmreže računala spojena na isti prekidač. Na slici su računala fizički spojena na isti preklopnik, ali odvojena u različite virtualne mreže VLAN 1 I VLAN 2. Računala iz različitih virtualnih podmreža međusobno će biti nevidljiva.

  • Podjela gostinjske sobe Wi-Fi mreže i poslovne Wi-Fi mreže. Na slici je jedan fizički spojen na ruter Wi-Fi hotspot pristup. Na točki su stvorene dvije virtualne Wi-Fi točke s imenima HotSpot I Ured. DO HotSpot Prijenosna računala gostiju bit će povezana putem Wi-Fi mreže za pristup internetu, i Ured- prijenosna računala za poduzeća. Iz sigurnosnih razloga važno je da gostujuća prijenosna računala nemaju pristup mreži poduzeća. U tu svrhu, poslovna računala i virtualni Wi-Fi točka Ured ujedinjeni u virtualnu lokalnu mrežu VLAN 1, a prijenosna računala za goste bit će na virtualnoj mreži VLAN 2. Gost prijenosna računala iz mreže VLAN 2 neće imati pristup mreži poduzeća VLAN 1.

Prednosti korištenja VLAN-a

  • Fleksibilna podjela uređaja u skupine
  • U pravilu, jedan VLAN odgovara jednoj podmreži. Računala smještena u različitim VLAN-ovima bit će izolirana jedna od drugih. Također možete kombinirati računala spojena na različite preklopnike u jednu virtualnu mrežu.
  • Smanjenje emitiranog prometa na mreži
  • Svaki VLAN predstavlja zasebnu domenu emitiranja. Promet emitiranja neće se emitirati između različitih VLAN-ova. Ako konfigurirate isti VLAN na različitim preklopnicima, portovi različitih preklopnika formirat će jednu domenu emitiranja.
  • Povećana sigurnost i upravljivost mreže
  • U mreži podijeljenoj na virtualne podmreže, zgodno je primijeniti sigurnosne politike i pravila za svaki VLAN. Pravilo će se primijeniti na cijelu podmrežu, a ne na pojedinačni uređaj.
  • Smanjenje količine opreme i mrežni kabel
  • Za stvaranje novog virtualnog lokalna mreža nema potrebe za kupnjom prekidača ili instaliranjem mrežnog kabela. Međutim, trebali biste koristiti skuplje upravljane sklopke s VLAN podrškom.

Označeni i neoznačeni priključci

Kada port mora moći primati ili slati promet s različitih VLAN-ova, mora biti u označenom ili spojenom stanju. Koncepti trunk porta i tagged porta su isti. Trunkirani ili označeni port može nositi i pojedinačno navedene VLAN-ove i sve zadane VLAN-ove osim ako nije drugačije navedeno. Ako port nije označen, tada može nositi samo jedan VLAN (nativni). Ako port ne pokazuje u kojem se VLAN-u nalazi, tada se pretpostavlja da je u neoznačenom stanju u prvom VLAN-u (VID 1).

Razna oprema drugačije konfiguriran u u ovom slučaju. Za jednu opremu morate na fizičkom sučelju naznačiti u kakvom je stanju to sučelje, a na drugoj, u određenom VLAN-u, morate naznačiti koji je port pozicioniran kao - sa ili bez oznake. A ako je potrebno da ovaj priključak prolazi kroz nekoliko VLAN-ova, tada u svakom od tih VLAN-ova morate registrirati ovaj priključak s oznakom. Na primjer, u prekidačima Enterasys mreže moramo naznačiti u kojem se VLAN-u nalazi određeni port i dodati ovaj port na izlaznu listu ovog VLAN-a tako da promet može proći kroz ovaj port. Ako želimo da promet drugog VLAN-a prolazi kroz naš port, tada ćemo i ovaj port dodati na izlaznu listu ovog VLAN-a. Na opremi HP(na primjer, prekidači ProCurve) u samom VLAN-u označavamo koji portovi mogu propuštati promet iz ovog VLAN-a i dodajemo status portova - označeni ili neoznačeni. Najlakše na hardveru Cisco Systems. Na takvim preklopnicima jednostavno označavamo koji su portovi neoznačeni s kojim VLAN-ovima (u pristup) i koji su portovi u označenom stanju (in deblo).

Za konfiguriranje priključaka u načinu rada deblo izrađeni su posebni protokoli. Jedan od ovih ima IEEE standard 802.1Q. Ovaj međunarodni standard, koji podržavaju svi proizvođači i najčešće se koristi za konfiguriranje virtualnih mreža. Osim toga, različitih proizvođača mogu imati vlastite protokole za prijenos podataka. Na primjer, Cisco izradio protokol za svoju opremu ISL (Inter Switch Lisk).

Intervlan usmjeravanje

Što je inter-vlan usmjeravanje? Ovo je normalno usmjeravanje podmreže. Jedina razlika je u tome što svaka podmreža odgovara VLAN-u na drugoj razini. Što to znači. Recimo da imamo dva VLAN-a: VID = 10 i VID = 20. Na drugoj razini, ti VLAN-ovi dijele jednu mrežu na dvije podmreže. Domaćini koji se nalaze u tim podmrežama ne vide jedni druge. Odnosno, promet je potpuno izoliran. Kako bi hostovi međusobno komunicirali, potrebno je usmjeriti promet ovih VLAN-ova. Da bismo to učinili, moramo dodijeliti sučelje svakom VLAN-u na trećoj razini, odnosno priložiti im IP adresu. Na primjer, za VID = 10 IP adresa to će biti 10.0.10.1/24, a za VID = 20 IP adresa to će biti 10.0.20.1/24. Ove će adrese nadalje djelovati kao pristupnici za pristup drugim podmrežama. Stoga možemo usmjeriti promet glavnog računala s jednog VLAN-a na drugi VLAN. Što VLAN usmjeravanje čini u usporedbi s jednostavnim usmjeravanjem mreža bez VLAN-ova? Evo što:

  • Sposobnost da se postane član druge podmreže na strani klijenta je blokirana. To jest, ako je host u određenom VLAN-u, čak i ako promijeni adresu iz druge podmreže, i dalje će ostati u VLAN-u u kojem je bio. To znači da neće dobiti pristup drugoj podmreži. A to će zauzvrat zaštititi mrežu od "loših" klijenata.
  • Možemo staviti više fizičkih sučelja prekidača u VLAN. Odnosno, imamo priliku odmah konfigurirati usmjeravanje na prekidaču treće razine povezivanjem mrežnih klijenata na njega, bez korištenja vanjskog usmjerivača. Ili možemo koristiti vanjski usmjerivač spojen na prekidač drugog sloja na kojem su konfigurirani VLAN-ovi i kreirajte onoliko podsučelja na portu usmjerivača koliko ukupno ima VLAN-ova koje mora usmjeriti.
  • Vrlo je zgodno koristiti drugu razinu u obliku VLAN-a između prve i treće razine. Prikladno je označiti podmreže kao VLAN-ove s određenim sučeljima. Zgodno je konfigurirati jedan VLAN i u njega postaviti hrpu portova preklopnika. I općenito, zgodno je raditi puno stvari kada postoji VLAN.

VLAN-ovi su domene emitiranja ili virtualne mreže ako želite, koje postoje na drugom sloju OSI modela. To jest, wealan se može konfigurirati na prekidaču druge razine. Ako pogledamo VLAN, apstrahirajući se od koncepta "virtualnih mreža", možemo reći da je VLAN jednostavno oznaka u okviru koji se prenosi preko mreže. Oznaka sadrži broj villana (naziva se VLAN ID ili VID), kojem je dodijeljeno 12 bitova, odnosno villan može biti numeriran od 0 do 4095. Prvi i zadnji broj su rezervirani i ne mogu se koristiti. Radne stanice ne znaju ništa o vilanima. Prekidači razmišljaju o njima. Priključci prekidača pokazuju na kojoj se traci nalaze. Ovisno o tome, sav promet koji izlazi kroz luku označava se oznakom, odnosno odvikom. Stoga ovaj promet može naknadno proći kroz druge priključke preklopnika koji se nalaze u ovom vilanu i neće proći kroz sve druge priključke. Kao rezultat toga nastaje izolirano okruženje (subnet) koje bez dodatnog uređaja (routera) ne može komunicirati s drugim podmrežama.

Zašto su potrebni vilani?

  • Sposobnost izgradnje mreže čija logička struktura ne ovisi o fizičkoj. To jest, mrežna topologija na razini podatkovne veze izgrađena je neovisno o geografskom položaju sastavnih komponenti mreže.
  • Mogućnost podjele jedne domene emitiranja u nekoliko domena emitiranja. Odnosno, emitirani promet s jedne domene ne prelazi na drugu domenu i obrnuto. Time se smanjuje opterećenje mrežnih uređaja.
  • Mogućnost zaštite mreže od neovlaštenog pristupa. To jest, na razini veze, okviri iz drugih vilana bit će odsječeni portom preklopnika, bez obzira na koju izvornu IP adresu je paket enkapsuliran u ovom okviru.
  • Mogućnost primjene pravila na grupu uređaja koji se nalaze u istoj vilani.
  • Mogućnost korištenja virtualnih sučelja za usmjeravanje.

Označeni i neoznačeni priključci

Kada port mora moći primati ili slati promet od različitih vilana, on mora biti u označenom ili trunk stanju, koncept trunk porta i označenog porta je gotovo isti, s izuzetkom nekih značajki. Glavni port znači da propušta promet sa svih vilana, dok označeni port može biti samo za neke vilane. Različita oprema je u ovom slučaju različito konfigurirana. Za jedan dio opreme potrebno je na fizičkom sučelju naznačiti u kakvom je stanju taj ili onaj port, a na drugom, u određenom LAN-u, treba naznačiti koji je port na koji način pozicioniran - sa ili bez oznake . A ako je potrebno da ova luka prođe kroz nekoliko Vilana, tada u svakom od tih Vilana morate registrirati ovu luku s oznakom. Na primjer, u Enterasys Networks (bivši Cabletron Systems) preklopnicima, moramo navesti u kojoj vilani se nalazi određeni port i dodati taj port na izlaznu listu ovog vilana kako bi promet prolazio kroz taj port. Ako želimo da promet nekog drugog villana prolazi kroz našu luku, tada ovu luku dodajemo i na izlaznu listu ovog villana. Na HP opremi (na primjer, ProCurve preklopnici), u samom vilanu označavamo koji portovi mogu propuštati promet ovog vilana i dodajemo status portova - označeni ili neoznačeni. Najlakši način je da Cisco oprema Sustavi. Na takvim preklopnicima jednostavno naznačimo koji portovi nisu označeni s kojim forkovima (u modu su pristupa) i koji su portovi u Trunk stanju - oni prenose promet sa svih forkova konfiguriranih na preklopniku. Stvoreni su posebni protokoli za konfiguriranje portova u trunk modu. Jedan od njih ima standard IEEE 802.1Q. Osim toga, različiti proizvođači mogu imati vlastite protokole za prijenos podataka od različitih vilana. Na primjer, Cisco je stvorio ISL (Inter Switch Lisk) protokol za svoju opremu.

Međunaseljska trasa

Što je međunaseljska ruta? Ovo je normalno usmjeravanje podmreže. Jedina razlika je u tome što svaka podmreža odgovara VLAN-u na drugoj razini. Što to znači. Recimo da imamo dva vilana: VLAN ID = 10 i VLAN ID = 20. Na drugoj razini ti vilani dijele jednu mrežu na dvije podmreže. Domaćini koji se nalaze u tim podmrežama ne vide jedni druge. Odnosno, promet je potpuno izoliran. Kako bi hostovi međusobno komunicirali, potrebno je usmjeriti promet ovih vilana. Da bismo to učinili, trebamo dodijeliti sučelje svakom od Vilana na trećoj razini, odnosno priložiti im IP adresu. Na primjer, za VID = 10 IP adresa to će biti 10.0.10.1/24, a za VID = 20 IP adresa to će biti 10.0.20.1/24. Ove će adrese nadalje djelovati kao pristupnici za pristup drugim podmrežama. Stoga možemo usmjeravati promet hosta s jednog villana na drugi villan. Što nam vilansko usmjeravanje daje u usporedbi s jednostavnim mrežnim usmjeravanjem bez korištenja vilanova? Evo što:

  • Sposobnost da se postane član druge podmreže na strani klijenta je blokirana. Odnosno, ako se host nalazi u određenoj vili, čak i ako promijeni svoju adresu iz druge podmreže, i dalje će ostati u vili u kojoj je bio. To znači da neće dobiti pristup drugoj podmreži. A to će zauzvrat zaštititi mrežu od "loših" klijenata.
  • Vilan možemo koristiti na nekoliko fizičkih sučelja preklopnika. Odnosno, imamo priliku odmah konfigurirati usmjeravanje na prekidaču treće razine povezivanjem mrežnih klijenata na njega, bez korištenja vanjskog usmjerivača. Ili možemo upotrijebiti vanjski usmjerivač spojen na preklopnik druge razine na kojem su vilani konfigurirani i stvoriti onoliko podsučelja na portu usmjerivača koliko ima ukupnih vilana koje mora usmjeriti.
  • Vrlo je prikladno koristiti drugu razinu u obliku vilana između prve i treće razine. Podmreže je prikladno označiti kao vilane s određenim sučeljima. Zgodno je konfigurirati jedan vilan i u njega postaviti hrpu portova preklopnika. I općenito, zgodno je raditi puno stvari kada ima vilana.

Spremljeno odavde: habrahabr.ru/post/130053



POVEZANI ČLANCI