Rangkaian tempatan maya ialah kumpulan logik nod rangkaian yang trafiknya, termasuk trafik siaran, diasingkan sepenuhnya pada peringkat pautan data daripada nod rangkaian lain. Ini bermakna bingkai tidak boleh dihantar antara rangkaian maya yang berbeza berdasarkan alamat MAC, tanpa mengira jenis alamat - unik, multicast atau siaran. Pada masa yang sama, dalam rangkaian maya, bingkai dihantar menggunakan teknologi pensuisan, iaitu, hanya ke port yang dikaitkan dengan alamat destinasi bingkai. Oleh itu, dengan bantuan rangkaian maya, masalah pengedaran bingkai siaran dan akibatnya, yang boleh berkembang menjadi ribut penyiaran dan mengurangkan dengan ketara. prestasi rangkaian.
VLAN mempunyai kelebihan berikut:
- fleksibiliti pelaksanaan. VLAN ialah cara yang berkesan untuk mengumpulkan pengguna rangkaian ke dalam kumpulan kerja maya walaupun lokasi fizikal mereka pada rangkaian;
- VLAN menyediakan keupayaan untuk mengawal mesej siaran, yang meningkatkan lebar jalur yang tersedia kepada pengguna;
- VLAN membolehkan anda meningkatkan keselamatan rangkaian dengan mentakrifkan, menggunakan penapis yang dikonfigurasikan pada suis atau penghala, dasar untuk interaksi antara pengguna daripada rangkaian maya yang berbeza.
Mari kita pertimbangkan contoh yang menunjukkan keberkesanan penggunaan pembahagian rangkaian logik menggunakan teknologi VLAN apabila menyelesaikan masalah biasa mengatur akses Internet untuk pekerja pejabat. Pada masa yang sama, trafik setiap jabatan mesti diasingkan.
Katakan pejabat itu mempunyai beberapa bilik, yang setiap satunya menempatkan sejumlah kecil pekerja. Setiap bilik mewakili kumpulan kerja yang berasingan.
Pendekatan standard untuk menyelesaikan masalah menggunakan pembahagian fizikal trafik setiap jabatan memerlukan pemasangan suis berasingan di setiap bilik, yang akan menyambung ke penghala yang menyediakan akses Internet. Dalam kes ini, penghala mesti mempunyai bilangan port yang mencukupi untuk memastikan keupayaan untuk menyambung semua segmen fizikal(bilik) rangkaian. Penyelesaian ini kurang berskala dan mahal, kerana... Apabila bilangan jabatan bertambah, bilangan suis yang diperlukan, antara muka penghala dan kabel tulang belakang bertambah.
Sebagai tambahan kepada tujuan utamanya - meningkatkan daya pemprosesan sambungan pada rangkaian - suis membolehkan anda menyetempatkan aliran maklumat, serta mengawal dan mengurus aliran ini menggunakan mekanisme penapis tersuai. Walau bagaimanapun, penapis tersuai boleh menghalang penghantaran bingkai hanya ke alamat tertentu, sementara ia menghantar trafik siaran ke semua segmen rangkaian. Ini adalah prinsip operasi algoritma jambatan yang dilaksanakan dalam suis, itulah sebabnya rangkaian yang dibuat berdasarkan jambatan dan suis kadang-kadang dipanggil rata - kerana ketiadaan halangan untuk trafik penyiaran.
Teknologi rangkaian tempatan maya (Virtual LAN, VLAN), yang muncul beberapa tahun lalu, membolehkan seseorang mengatasi batasan ini. Rangkaian maya ialah sekumpulan nod rangkaian yang trafiknya, termasuk trafik siaran, diasingkan sepenuhnya daripada nod lain pada tahap pautan data (lihat Rajah 1). Ini bermakna penghantaran terus bingkai antara rangkaian maya yang berbeza adalah mustahil, tanpa mengira jenis alamat - unik, multicast atau siaran. Pada masa yang sama, dalam rangkaian maya, bingkai dihantar mengikut teknologi pensuisan, iaitu, hanya ke port yang alamat destinasi bingkai ditetapkan.
Rangkaian maya boleh bertindih jika satu atau lebih komputer disertakan dalam lebih daripada satu rangkaian maya. Dalam Rajah 1, pelayan e-mel adalah sebahagian daripada rangkaian maya 3 dan 4, dan oleh itu bingkainya dihantar melalui suis ke semua komputer pada rangkaian ini. Jika komputer diperuntukkan hanya kepada rangkaian maya 3, maka bingkainya tidak akan mencapai rangkaian 4, tetapi ia boleh berinteraksi dengan komputer pada rangkaian 4 melalui pelayan mel biasa. Skim ini tidak sepenuhnya mengasingkan rangkaian maya antara satu sama lain - contohnya, ribut penyiaran yang dimulakan oleh pelayan e-mel akan menenggelamkan kedua-dua rangkaian 3 dan rangkaian 4.
Rangkaian maya dikatakan membentuk domain trafik siaran, serupa dengan domain perlanggaran yang dibentuk oleh pengulang Ethernet.
TUGASAN VLAN
Teknologi VLAN memudahkan untuk mencipta rangkaian terpencil yang disambungkan menggunakan penghala yang menyokong protokol lapisan rangkaian, seperti IP. Penyelesaian ini mewujudkan halangan yang lebih kuat kepada trafik yang salah dari satu rangkaian ke rangkaian yang lain. Hari ini dipercayai bahawa mana-mana rangkaian besar mesti termasuk penghala, jika tidak, aliran bingkai yang salah, khususnya yang disiarkan, melalui suis yang telus kepada mereka secara berkala akan "membanjiri" sepenuhnya, menjadikannya tidak boleh beroperasi.
Teknologi rangkaian maya menyediakan asas yang fleksibel untuk membina rangkaian besar yang disambungkan oleh penghala, kerana suis membolehkan anda mencipta segmen terpencil sepenuhnya secara pemrograman, tanpa menggunakan penukaran fizikal.
Sebelum kemunculan teknologi VLAN, menggunakan rangkaian berasingan yang digunakan sama ada bahagian kabel sepaksi yang diasingkan secara fizikal atau segmen tidak bersambung berdasarkan pengulang dan jambatan. Rangkaian kemudiannya disambungkan melalui penghala ke dalam rangkaian komposit tunggal (lihat Rajah 2).
Menukar komposisi segmen (pengguna berpindah ke rangkaian lain, membahagikan bahagian besar) dengan pendekatan ini menyiratkan penyambungan semula fizikal penyambung pada panel hadapan pengulang atau dalam panel silang, yang tidak begitu mudah dalam rangkaian besar - ini sangat sukar. -kerja intensif, dan kebarangkalian ralat adalah sangat tinggi. Oleh itu, untuk menghapuskan keperluan penukaran semula fizikal nod, penumpu berbilang segmen mula digunakan, supaya komposisi segmen kongsi boleh diprogramkan semula tanpa penukaran semula fizikal.
Walau bagaimanapun, menukar komposisi segmen menggunakan hab mengenakan sekatan yang besar pada struktur rangkaian - bilangan segmen pengulang sedemikian biasanya kecil, dan adalah tidak realistik untuk memperuntukkan setiap nod sendiri, seperti yang boleh dilakukan menggunakan suis. Di samping itu, dengan pendekatan ini, semua kerja memindahkan data antara segmen jatuh pada penghala, dan suis dengan prestasi tingginya kekal "tidak berfungsi." Oleh itu, rangkaian berasaskan pengulang dengan pensuisan konfigurasi masih melibatkan perkongsian medium penghantaran data di kalangan sejumlah besar nod dan, oleh itu, mempunyai prestasi yang jauh lebih rendah berbanding rangkaian berasaskan suis.
Apabila teknologi rangkaian maya digunakan dalam suis, dua masalah diselesaikan secara serentak:
- peningkatan prestasi dalam setiap rangkaian maya, kerana suis menghantar bingkai hanya ke nod destinasi;
- Mengasingkan rangkaian antara satu sama lain untuk mengurus hak akses pengguna dan mewujudkan halangan perlindungan terhadap ribut penyiaran.
Penyepaduan rangkaian maya ke dalam rangkaian biasa dilakukan pada peringkat rangkaian, peralihan kepada yang mungkin menggunakan perisian penghala atau suis yang berasingan. Yang terakhir dalam kes ini menjadi peranti gabungan - apa yang dipanggil suis peringkat ketiga.
Teknologi untuk membentuk dan mengendalikan rangkaian maya menggunakan suis tidak diseragamkan untuk masa yang lama, walaupun ia telah dilaksanakan dalam julat yang sangat luas model suis daripada pengeluar yang berbeza. Keadaan berubah selepas penggunaan piawaian IEEE 802.1Q pada tahun 1998, yang mentakrifkan peraturan asas untuk membina rangkaian tempatan maya, tanpa mengira protokol lapisan pautan mana yang disokong oleh suis.
Disebabkan oleh ketiadaan standard VLAN yang lama, setiap syarikat utama yang menghasilkan suis telah membangunkan teknologi rangkaian mayanya sendiri, yang, sebagai peraturan, tidak serasi dengan teknologi daripada pengeluar lain. Oleh itu, walaupun kemunculan standard, ia tidak begitu jarang untuk menghadapi situasi di mana rangkaian maya yang dibuat berdasarkan suis daripada satu vendor tidak diiktiraf dan, dengan itu, tidak disokong oleh suis dari yang lain.
BUAT VLAN BERDASARKAN SATU SUIS
Apabila mencipta rangkaian maya berdasarkan suis tunggal, mekanisme untuk mengumpulkan port suis dalam rangkaian biasanya digunakan (lihat Rajah 3). Lebih-lebih lagi, setiap daripada mereka diberikan kepada satu atau rangkaian maya yang lain. Bingkai yang datang daripada port kepunyaan, sebagai contoh, rangkaian maya 1 tidak akan dihantar ke port yang bukan sebahagian daripadanya. Port boleh diberikan kepada beberapa rangkaian maya, walaupun dalam praktiknya ini jarang dilakukan - kesan pengasingan lengkap rangkaian hilang.
Mengelompokkan port satu suis adalah cara paling logik untuk membentuk VLAN, kerana dalam kes ini tidak boleh ada lebih banyak rangkaian maya daripada port. Jika pengulang disambungkan ke port tertentu, maka tidak masuk akal untuk memasukkan nod segmen yang sepadan dalam rangkaian maya yang berbeza - trafik mereka akan tetap biasa.
Pendekatan ini tidak memerlukan sejumlah besar kerja manual daripada pentadbir - sudah cukup untuk menetapkan setiap port ke salah satu daripada beberapa rangkaian maya yang telah dinamakan sebelumnya. Biasanya operasi ini dilakukan menggunakan program khas yang disertakan dengan suis. Pentadbir mencipta rangkaian maya dengan menyeret simbol port ke simbol rangkaian.
Satu lagi cara untuk membentuk rangkaian maya adalah berdasarkan pengumpulan alamat MAC. Setiap alamat MAC yang diketahui oleh suis diperuntukkan kepada rangkaian maya tertentu. Jika terdapat banyak nod pada rangkaian, pentadbir perlu melakukan banyak operasi manual. Walau bagaimanapun, apabila membina rangkaian maya berdasarkan beberapa suis, kaedah ini lebih fleksibel daripada kumpulan port.
BUAT VLAN BERDASARKAN BEBERAPA SUIS
Rajah 4 menggambarkan situasi yang timbul apabila mencipta rangkaian maya berdasarkan berbilang suis melalui kumpulan port. Jika nod rangkaian maya disambungkan kepada suis yang berbeza, maka sepasang port yang berasingan mesti diperuntukkan untuk menyambungkan suis setiap rangkaian tersebut. Jika tidak, maklumat tentang pemilikan bingkai kepada rangkaian maya tertentu akan hilang apabila dihantar dari suis ke suis. Oleh itu, kaedah trunking port memerlukan seberapa banyak port untuk menyambungkan suis kerana terdapat rangkaian maya yang mereka sokong—mengakibatkan penggunaan port dan kabel yang sangat membazir. Di samping itu, untuk mengatur interaksi rangkaian maya melalui penghala, setiap rangkaian memerlukan kabel yang berasingan dan port penghala yang berasingan, yang juga membawa kepada kos overhed yang tinggi.
Mengelompokkan alamat MAC ke dalam rangkaian maya pada setiap suis menghapuskan keperluan untuk menyambungkannya merentasi berbilang port, kerana label rangkaian maya kemudiannya ialah alamat MAC. Walau bagaimanapun, kaedah ini memerlukan banyak penandaan alamat MAC manual pada setiap suis dalam rangkaian.
Kedua-dua pendekatan yang diterangkan hanya berdasarkan menambah maklumat pada jadual alamat jambatan dan tidak memasukkan maklumat tentang keahlian bingkai dalam rangkaian maya dalam bingkai yang dihantar. Pendekatan lain menggunakan medan bingkai sedia ada atau tambahan untuk merekod maklumat pemilikan bingkai semasa ia bergerak antara suis rangkaian. Di samping itu, tidak perlu ingat pada setiap suis rangkaian maya yang memiliki alamat MAC internetwork.
Nombor rangkaian maya bertanda medan tambahan hanya digunakan apabila bingkai dipindahkan dari suis ke suis, dan apabila bingkai dipindahkan ke nod akhir, ia biasanya dialih keluar. Dalam kes ini, protokol interaksi suis ke suis diubah suai, manakala perisian dan perkakasan nod akhir kekal tidak berubah. Terdapat banyak contoh protokol proprietari tersebut, tetapi ia mempunyai satu kelemahan yang sama - ia tidak disokong oleh pengeluar lain. Cisco telah mencadangkan pengepala protokol 802.10 sebagai tambahan standard pada bingkai mana-mana protokol rangkaian tempatan, yang tujuannya adalah untuk menyokong fungsi keselamatan rangkaian komputer. Syarikat itu sendiri menggunakan kaedah ini dalam kes di mana suis disambungkan menggunakan protokol FDDI. Walau bagaimanapun, inisiatif ini tidak disokong oleh pengeluar suis terkemuka yang lain.
Untuk menyimpan nombor rangkaian maya, standard IEEE 802.1Q menyediakan pengepala dua bait tambahan, yang digunakan bersama dengan protokol 802.1p. Sebagai tambahan kepada tiga bit untuk menyimpan nilai keutamaan bingkai, seperti yang diterangkan oleh piawai 802.1p, terdapat 12 bit dalam pengepala ini untuk menyimpan nombor rangkaian maya yang dimiliki oleh bingkai itu. Maklumat tambahan ini dipanggil teg rangkaian maya (VLAN TAG) dan membenarkan suis daripada pengeluar berbeza mencipta sehingga 4096 rangkaian maya yang dikongsi. Bingkai sedemikian dipanggil "tag". Panjang bingkai Ethernet yang ditandakan meningkat sebanyak 4 bait, kerana sebagai tambahan kepada dua bait teg itu sendiri, dua bait lagi ditambah. Struktur bingkai Ethernet yang ditag ditunjukkan dalam Rajah 5. Dengan menambah pengepala 802.1p/Q, medan data dikurangkan sebanyak dua bait.
 |
| Rajah 5. Struktur bingkai Ethernet bertanda. |
Kemunculan standard 802.1Q memungkinkan untuk mengatasi perbezaan dalam pelaksanaan VLAN proprietari dan mencapai keserasian apabila membina rangkaian tempatan maya. Teknik VLAN disokong oleh pengeluar kedua-dua suis dan penyesuai rangkaian. Dalam kes kedua, penyesuai rangkaian boleh menjana dan menerima bingkai Ethernet bertag yang mengandungi medan TAG VLAN. Jika penyesuai rangkaian menjana bingkai bertanda, maka ia menentukan kepunyaan mereka ke dalam rangkaian tempatan maya tertentu, jadi suis mesti memprosesnya dengan sewajarnya, iaitu menghantar atau tidak menghantar ke port output, bergantung pada keahlian port. Pemacu penyesuai rangkaian menerima nombor rangkaian tempatan mayanya (ataunya) daripada pentadbir rangkaian (melalui konfigurasi manual) atau daripada beberapa aplikasi yang berjalan pada nod ini. Aplikasi sedemikian boleh berfungsi secara berpusat pada salah satu pelayan rangkaian dan menguruskan struktur keseluruhan rangkaian.
Dengan sokongan VLAN pada penyesuai rangkaian, anda boleh mengelakkan konfigurasi statik dengan memberikan port kepada rangkaian maya tertentu. Walau bagaimanapun, kaedah konfigurasi VLAN statik kekal popular kerana ia membolehkan anda mencipta rangkaian berstruktur tanpa penglibatan perisian nod akhir.
Natalya Olifer ialah kolumnis untuk Journal of Network Solutions/LAN. Dia boleh dihubungi di:
Pada masa ini, banyak organisasi dan perusahaan moden secara praktikalnya tidak menggunakan ciri yang sangat berguna, dan selalunya diperlukan, sebagai penganjuran maya (VLAN) dalam rangka kerja infrastruktur penting, yang disediakan oleh kebanyakan suis moden. Ini disebabkan oleh banyak faktor, jadi ia patut mempertimbangkan teknologi ini dari perspektif kemungkinan penggunaannya untuk tujuan tersebut.
Deskripsi umum
Pertama, adalah berbaloi untuk menentukan apa itu VLAN. Ini bermakna sekumpulan komputer yang disambungkan ke rangkaian, yang secara logiknya disatukan menjadi domain untuk menghantar mesej siaran mengikut kriteria tertentu. Sebagai contoh, kumpulan boleh dibezakan bergantung pada struktur perusahaan atau mengikut jenis kerja pada projek atau tugas bersama. VLAN memberikan beberapa faedah. Sebagai permulaan, kita bercakap tentang penggunaan lebar jalur yang jauh lebih cekap (berbanding dengan rangkaian tempatan tradisional), tahap peningkatan perlindungan maklumat yang dihantar, serta skim pentadbiran yang dipermudahkan.
Oleh kerana apabila menggunakan VLAN, keseluruhan rangkaian dibahagikan kepada domain penyiaran, maklumat dalam struktur sedemikian dihantar hanya antara ahlinya, dan bukan kepada semua komputer pada rangkaian fizikal. Ternyata trafik siaran yang dijana oleh pelayan terhad kepada domain yang telah ditetapkan, iaitu, ia tidak disiarkan ke semua stesen di rangkaian ini. Ini memungkinkan untuk mencapai pengedaran jalur lebar rangkaian yang optimum antara kumpulan komputer yang dipilih: pelayan dan stesen kerja daripada VLAN yang berbeza hanya tidak melihat satu sama lain.
Bagaimanakah semua proses diteruskan?
Dalam rangkaian sedemikian, maklumat dilindungi dengan baik daripada fakta bahawa pertukaran data dijalankan dalam satu kumpulan komputer tertentu, iaitu, mereka tidak boleh menerima trafik yang dijana dalam beberapa struktur lain yang serupa.
Jika kita bercakap tentang apa itu VLAN, maka adalah wajar untuk diperhatikan kelebihan kaedah organisasi ini yang memudahkan rangkaian mempengaruhi tugas seperti menambah elemen baharu pada rangkaian, mengalihkannya dan memadamkannya. Contohnya, jika pengguna VLAN berpindah ke lokasi lain, pentadbir rangkaian tidak perlu menyambung semula kabel. Dia hanya perlu mengkonfigurasi peralatan rangkaian dari tempat kerjanya. Dalam sesetengah pelaksanaan rangkaian sedemikian, pergerakan ahli kumpulan boleh dikawal secara automatik, tanpa memerlukan campur tangan pentadbir. Dia hanya perlu tahu cara mengkonfigurasi VLAN untuk melaksanakan semua operasi yang diperlukan. Dia boleh mencipta kumpulan pengguna logik baharu tanpa meninggalkan tempat duduknya. Ini semua sangat menjimatkan masa bekerja, yang boleh berguna untuk menyelesaikan masalah yang tidak kurang pentingnya.
kaedah organisasi VLAN
Terdapat tiga pilihan berbeza: berdasarkan port, protokol lapisan 3 atau alamat MAC. Setiap kaedah sepadan dengan salah satu daripada tiga lapisan bawah model OSI: fizikal, rangkaian dan pautan data, masing-masing. Jika kita bercakap tentang apa itu VLAN, maka perlu diperhatikan kehadiran kaedah keempat organisasi - berdasarkan peraturan. Ia jarang digunakan hari ini, walaupun ia memberikan fleksibiliti yang hebat. Anda boleh mempertimbangkan setiap kaedah yang disenaraikan dengan lebih terperinci untuk memahami ciri yang mereka ada.
VLAN berasaskan port
Ini melibatkan gabungan logik port suis fizikal tertentu yang dipilih untuk komunikasi. Sebagai contoh, ia boleh menentukan bahawa port tertentu, contohnya, 1, 2, dan 5 membentuk VLAN1, dan nombor 3, 4 dan 6 digunakan untuk VLAN2, dan seterusnya. Satu port suis boleh digunakan untuk menyambung beberapa komputer, yang mana mereka gunakan, sebagai contoh, hab. Kesemua mereka akan ditakrifkan sebagai ahli rangkaian maya yang sama, yang mana port perkhidmatan suis didaftarkan. Pengikatan tegar keahlian rangkaian maya adalah kelemahan utama skim organisasi sedemikian.
VLAN berdasarkan alamat MAC
Kaedah ini adalah berdasarkan penggunaan alamat peringkat pautan heksadesimal unik yang tersedia pada setiap pelayan atau stesen kerja pada rangkaian. Jika kita bercakap tentang apa itu VLAN, perlu diperhatikan bahawa kaedah ini dianggap lebih fleksibel berbanding dengan yang sebelumnya, kerana agak mungkin untuk menyambungkan komputer yang dimiliki oleh rangkaian maya yang berbeza ke satu port suis. Di samping itu, ia secara automatik menjejaki pergerakan komputer dari satu port ke port yang lain, yang membolehkan anda mengekalkan gabungan klien dengan rangkaian tertentu tanpa campur tangan pentadbir.
Prinsip operasi di sini adalah sangat mudah: suis mengekalkan jadual surat-menyurat antara alamat MAC stesen kerja dan rangkaian maya. Sebaik sahaja komputer beralih ke beberapa port lain, medan alamat MAC dibandingkan dengan data dalam jadual, selepas itu kesimpulan yang betul dibuat tentang sama ada komputer itu tergolong dalam rangkaian tertentu. Kelemahan kaedah ini ialah kerumitan konfigurasi VLAN, yang pada mulanya boleh menyebabkan ralat. Memandangkan suis secara bebas membina jadual alamat, pentadbir rangkaian mesti menyemak semuanya untuk menentukan alamat yang sepadan dengan kumpulan maya yang mana, selepas itu dia memberikannya kepada VLAN yang sesuai. Dan di sinilah terdapat ruang untuk ralat, yang kadang-kadang berlaku dalam Cisco VLAN, konfigurasi yang agak mudah, tetapi pengagihan semula berikutnya akan menjadi lebih sukar daripada dalam hal menggunakan port.
VLAN berdasarkan protokol lapisan 3
Kaedah ini agak jarang digunakan dalam suis peringkat kumpulan kerja atau jabatan. Ia adalah tipikal untuk rangkaian tulang belakang yang dilengkapi dengan alat penghalaan terbina dalam untuk protokol rangkaian tempatan utama - IP, IPX dan AppleTalk. Kaedah ini menganggap bahawa sekumpulan port suis yang dimiliki oleh VLAN tertentu akan dikaitkan dengan beberapa subnet IP atau IPX. Dalam kes ini, fleksibiliti disediakan oleh fakta bahawa pergerakan pengguna ke port lain yang dimiliki oleh rangkaian maya yang sama dipantau oleh suis dan tidak memerlukan konfigurasi semula. Penghalaan VLAN dalam kes ini agak mudah, kerana suis dalam kes ini menganalisis alamat rangkaian komputer yang ditakrifkan untuk setiap rangkaian. Kaedah ini juga menyokong interaksi antara VLAN yang berbeza tanpa menggunakan alat tambahan. Terdapat satu kelemahan kepada kaedah ini - kos tinggi suis di mana ia dilaksanakan. Rostelecom VLAN menyokong operasi pada tahap ini.
kesimpulan
Seperti yang telah anda fahami, rangkaian maya ialah alat yang cukup berkuasa yang boleh menyelesaikan masalah yang berkaitan dengan keselamatan penghantaran data, pentadbiran, kawalan akses dan peningkatan kecekapan penggunaan.
Rangkaian maya ialah rangkaian tersuis yang dibahagikan secara logik oleh fungsi yang dilakukan, aplikasi yang digunakan atau gabungan pengguna ke jabatan tertentu, tanpa mengira lokasi fizikal komputer mereka. Setiap port suis boleh disertakan dalam rangkaian maya. Semua port yang disertakan dalam rangkaian maya yang sama menerima mesej siaran dalam sempadannya, manakala port yang tidak termasuk di dalamnya tidak menerima mesej ini. Terdapat tiga cara untuk melaksanakan rangkaian maya yang boleh digunakan untuk memasukkan port suis dalam rangkaian maya: port pusat, statik dan dinamik.
Rangkaian maya statik (VLAN statik) ialah koleksi port suis yang digabungkan secara statik ke dalam rangkaian maya. Port ini mengekalkan konfigurasi yang ditetapkan sehingga ia ditukar oleh pentadbir. Walaupun rangkaian maya statik memerlukan campur tangan pentadbir untuk membuat perubahan, kelebihannya termasuk tahap keselamatan yang tinggi, kemudahan konfigurasi dan keupayaan untuk memantau operasi rangkaian secara langsung.
Rangkaian maya dinamik (VLAN dinamik) ialah gabungan logik port suis yang boleh menentukan lokasinya secara automatik dalam rangkaian maya. Fungsi rangkaian maya dinamik adalah berdasarkan alamat MAC, pengalamatan logik atau jenis protokol paket data. Kelebihan utama pendekatan ini ialah pengurangan dalam jumlah kerja apabila menambah pengguna baharu atau memindahkan pengguna sedia ada dan pemberitahuan terpusat bagi semua pengguna apabila pengguna tidak dikenali ditambahkan pada rangkaian. Kerja utama di sini ialah memasang pangkalan data dalam perisian pengurusan rangkaian maya dan memastikan ia dikemas kini.
Rangkaian maya dengan kumpulan port (VLAN berasaskan port)
Dalam kes ini, pentadbir memperuntukkan setiap port suis untuk menjadi milik VLAN. Sebagai contoh, port 1-3 boleh diberikan kepada VLAN jualan, port 4-6 kepada VLAN pembangunan, dan port 7-9 kepada VLAN pentadbiran rangkaian. Suis menentukan kepunyaan VLAN setiap paket berdasarkan port ia tiba.
Apabila komputer pengguna bersambung ke port lain pada suis, pentadbir rangkaian hanya boleh menetapkan semula port baharu kepada VLAN lama yang dimiliki pengguna. Dalam kes ini, perubahan rangkaian adalah telus sepenuhnya kepada pengguna dan pentadbir tidak perlu menukar topologi rangkaian. Walau bagaimanapun, kaedah ini mempunyai satu kelemahan utama; jika hab disambungkan ke port suis, semua pengguna yang disambungkan kepadanya mesti tergolong dalam VLAN yang sama.
Oleh itu, penyelesaian ini tidak sesuai apabila menggunakan hab atau dalam rangkaian dengan pelayan berkuasa yang diakses oleh ramai pengguna (pelayan tidak boleh disertakan dalam VLAN yang berbeza). Di samping itu, rangkaian maya berasaskan port tidak membenarkan perubahan pada rangkaian dibuat dengan mudah, kerana setiap perubahan memerlukan penukaran fizikal peranti.
Dalam rangkaian maya port trunking, semua hos dalam rangkaian maya disambungkan ke antara muka penghala yang sama. Angka tersebut menunjukkan sekumpulan pengguna rangkaian maya yang disambungkan ke port penghala. Sambungan ini menjadikan kerja pentadbir lebih mudah dan meningkatkan kecekapan rangkaian kerana:
1) tindakan pentadbiran mudah dilakukan dalam rangkaian maya;
2) keselamatan meningkat apabila bertukar-tukar maklumat antara rangkaian maya; paket tidak bocor ke domain lain.
Dalam kes yang paling mudah, peranti yang mempunyai hanya satu antara muka rangkaian boleh disertakan dalam satu VLAN sahaja. Untuk memasukkan peranti rangkaian dalam berbilang VLAN, ia mesti mempunyai berbilang penyesuai rangkaian.
Piawaian IEEE 802.1Q, sebagai sebahagian daripada spesifikasi VLAN berasaskan port, menyediakan interaksi dengan peranti yang tidak menyokong enkapsulasi 802.1q. Mengikut spesifikasi ini, setiap jenis bingkai diperuntukkan kepada VLAN yang berbeza. Pada mulanya, semua port suis tergolong dalam VLAN dengan port pengecam rangkaian ID VLAN (PVID).
PVID mempunyai nilai berangka, lalai ialah 1. Semua bingkai yang tidak mempunyai teg VLAN dan yang dijana oleh peranti bukan VLAN dikenal pasti sebagai milik VLAN dengan PVID. Jika bingkai dijana oleh peranti yang menyokong VLAN, maka ia mengandungi teg VLAN yang sepadan, yang mengandungi ID VLAN (VID). Setiap port suis boleh mempunyai satu atau lebih VID. Apabila bingkai tiba di port suis, ia dikenal pasti oleh VIDnya. Suis mencari jadual VLAN dan memajukan bingkai ke port yang mempunyai VID yang sama.
Dalam contoh dalam rajah, bingkai tidak berteg yang datang daripada peranti pada port 0 dikenal pasti sebagai milik VLAN dengan PVID=1 dan dimajukan ke port 1, yang mempunyai PVID yang sama. Jika bingkai dengan VID=2 tiba dari peranti pada port 1, ia akan dihantar ke port 0 dan 3.
Rangkaian maya berdasarkan alamat MAC (VLAN berasaskan alamat MAC)
Berdasarkan alamat MAC (VLAN berasaskan alamat MAC) - dalam kes ini, sama ada paket kepunyaan VLAN ditentukan oleh alamat MAC sumber atau destinasi. Setiap suis mengekalkan jadual alamat MAC dan hubungannya dengan VLAN. Kelebihan utama kaedah ini ialah suis tidak perlu dikonfigurasikan semula apabila pengguna menyambung semula ke port yang berbeza. Walau bagaimanapun, memberikan alamat MAC kepada VLAN boleh memakan masa dan memberikan alamat MAC individu kepada berbilang VLAN boleh mencabar. Ini boleh menjadi had yang ketara untuk berkongsi sumber pelayan merentas berbilang VLAN. (Walaupun alamat MAC secara teorinya boleh diberikan kepada berbilang VLAN, ini boleh menyebabkan masalah serius dengan penghalaan sedia ada dan ralat yang berkaitan dengan jadual pemajuan paket dalam suis.)
Sebagai peraturan, untuk mencipta rangkaian sedemikian, pengeluar peralatan menyediakan perisian pengurusan untuk menguruskan rangkaian.
Interaksi antara VLAN boleh dijalankan dalam 2 cara. Pada mulanya, penyesuai rangkaian tambahan mesti dipasang dalam peranti dan dikaitkan dengan rangkaian lain. Kaedah ini tidak boleh diterima apabila terdapat sejumlah besar peranti yang disertakan dalam beberapa VLAN. Dalam kes kedua, penghala digunakan untuk menyambungkan rangkaian. Walau bagaimanapun, terdapat batasan dalam kes ini. Penghala mesti mempunyai port berasingan untuk setiap VLAN. Walau bagaimanapun, adalah mustahil untuk menggabungkan rangkaian dalam satu segmen, kerana penghala beroperasi pada lapisan 3 model OSI.
Rangkaian Maya Lapisan Rangkaian
Apabila menggunakan pendekatan lain, suis mesti memahami beberapa protokol rangkaian untuk membentuk rangkaian maya. Suis tersebut dipanggil suis Lapisan 3 kerana ia menggabungkan fungsi pensuisan dan penghalaan. Setiap rangkaian maya menerima alamat rangkaian tertentu - biasanya IP atau IPX.
Penyepaduan ketat pensuisan dan penghalaan sangat mudah untuk membina rangkaian maya, kerana dalam kes ini tidak perlu memperkenalkan medan tambahan ke dalam bingkai. Di samping itu, pentadbir hanya mentakrifkan rangkaian sekali, dan tidak mengulangi kerja ini pada pautan data dan peringkat rangkaian. Dalam kes ini, keahlian nod akhir dalam rangkaian maya tertentu ditentukan dengan cara tradisional - dengan menentukan alamat rangkaian. Port suis juga menerima alamat rangkaian, dan situasi bukan standard untuk penghala klasik boleh disokong: satu port boleh mempunyai beberapa alamat rangkaian jika trafik dari beberapa rangkaian maya melaluinya, atau beberapa port mempunyai alamat rangkaian yang sama jika mereka melayani rangkaian yang sama rangkaian maya yang sama.
Apabila menghantar bingkai dalam rangkaian maya yang sama, suis Lapisan 3 beroperasi seperti suis Lapisan 2 klasik, dan jika perlu untuk memindahkan bingkai dari satu rangkaian maya ke rangkaian maya yang lain, ia bertindak seperti penghala. Keputusan penghalaan biasanya dibuat dengan cara tradisional - ia dibuat oleh nod akhir apabila ia melihat, berdasarkan alamat rangkaian sumber dan destinasi, bahawa bingkai itu perlu dihantar ke rangkaian lain.
Walau bagaimanapun, penggunaan protokol rangkaian untuk membina rangkaian maya mengehadkan skop aplikasinya hanya kepada suis lapisan 3 dan nod yang menyokong protokol rangkaian. Suis biasa tidak akan dapat menyokong rangkaian maya sedemikian dan ini adalah kelemahan besar. Rangkaian berdasarkan protokol tidak boleh hala, terutamanya rangkaian NetBIOS, juga ketinggalan.
Dalam VLAN ini, perbezaan dibuat antara rangkaian berasaskan subnet, berasaskan protokol dan berasaskan peraturan.
Rangkaian maya berasaskan subnet
Contoh organisasi VLAN sedemikian ialah rangkaian di mana satu subnet, katakan kelas C dengan alamat 198.78.55.0/24 sepadan dengan satu VLAN, subnet kelas kedua C 198.78.42.0/24 sepadan dengan VLAN kedua.
Kelemahan kaedah ini ialah jika suis tidak menyokong berbilang subnet IP pada satu port, berpindah ke VLAN lain memerlukan menukar stesen kerja secara fizikal.
Rangkaian maya berdasarkan protokol rangkaian
VLAN lapisan rangkaian membenarkan pentadbir mengikat trafik untuk protokol tertentu dalam rangkaian maya yang sepadan. Domain penyiaran dicipta dalam rangkaian berasaskan penghala dengan cara yang sama. Protokol boleh ditentukan dalam bentuk subnet IP atau nombor rangkaian IPX. Anda boleh, sebagai contoh, menggabungkan semua pengguna subnet yang telah diatur sebelum menggunakan suis ke dalam LAN maya.
Contohnya ialah rangkaian di mana peranti yang menyokong protokol IP sahaja terletak dalam satu VLAN, peranti yang menyokong protokol IPX sahaja berada dalam VLAN kedua, dan kedua-dua protokol terletak dalam kedua-dua rangkaian.
Rangkaian maya berasaskan peraturan
Untuk memasukkan peranti dalam LAN maya, anda boleh menggunakan semua kaedah yang disenaraikan di atas, dengan syarat ia disokong oleh suis. Setelah peraturan dimuat turun ke semua suis, mereka menyediakan organisasi VLAN berdasarkan kriteria yang ditentukan oleh pentadbir. Memandangkan dalam rangkaian sedemikian, bingkai sentiasa disemak untuk pematuhan dengan kriteria tertentu, keahlian pengguna dalam rangkaian maya boleh berubah bergantung pada aktiviti semasa pengguna.
VLAN berasaskan peraturan menggunakan pelbagai kriteria keahlian rangkaian, termasuk semua pilihan yang disenaraikan di atas: alamat MAC, alamat lapisan rangkaian, jenis protokol, dsb. Anda juga boleh menggunakan mana-mana gabungan kriteria untuk membuat peraturan yang paling sesuai dengan keperluan anda.
Setiap tahun komunikasi elektronik bertambah baik, dan permintaan yang semakin tinggi diberikan pada pertukaran maklumat untuk kelajuan, keselamatan dan kualiti pemprosesan data.
Dan di sini kita akan melihat sambungan VPN secara terperinci: apakah itu, mengapa terowong VPN diperlukan, dan cara menggunakan sambungan VPN.
Bahan ini adalah sejenis kata pengantar kepada satu siri artikel di mana kami akan memberitahu anda cara membuat vpn pada pelbagai sistem pengendalian.
Sambungan VPN apakah itu?
Jadi, vpn rangkaian persendirian maya ialah teknologi yang menyediakan sambungan selamat (tertutup daripada akses luaran) rangkaian logik melalui rangkaian peribadi atau awam dengan kehadiran Internet berkelajuan tinggi.
Sambungan rangkaian komputer sedemikian (berjauhan secara geografi antara satu sama lain pada jarak yang agak jauh) menggunakan sambungan "titik-ke-titik" (dengan kata lain, "komputer-ke-komputer").
Secara saintifik, kaedah sambungan ini dipanggil terowong VPN (atau protokol terowong). Anda boleh menyambung ke terowong sedemikian jika anda mempunyai komputer dengan mana-mana sistem pengendalian yang mempunyai klien VPN bersepadu yang boleh "memajukan" port maya menggunakan protokol TCP/IP ke rangkaian lain.
Mengapa anda memerlukan VPN?
Manfaat utama vpn ialah perunding memerlukan platform ketersambungan yang bukan sahaja berskala dengan cepat, tetapi juga (terutamanya) memastikan kerahsiaan data, integriti data dan pengesahan.
Gambar rajah jelas menunjukkan penggunaan rangkaian VPN.
Peraturan untuk sambungan melalui saluran selamat mesti terlebih dahulu ditulis pada pelayan dan penghala.
Cara VPN berfungsi
Apabila sambungan berlaku melalui VPN, pengepala mesej mengandungi maklumat tentang alamat IP pelayan VPN dan laluan jauh.
Data berkapsul yang melalui rangkaian kongsi atau awam tidak boleh dipintas kerana semua maklumat disulitkan.
Peringkat penyulitan VPN dilaksanakan pada pihak penghantar, dan data penerima dinyahsulit menggunakan pengepala mesej (jika terdapat kunci penyulitan dikongsi).
Selepas mesej dinyahsulit dengan betul, sambungan VPN diwujudkan antara kedua-dua rangkaian, yang juga membolehkan anda bekerja pada rangkaian awam (contohnya, bertukar data dengan pelanggan 93.88.190.5).
Bagi keselamatan maklumat, Internet ialah rangkaian yang sangat tidak terjamin, dan rangkaian VPN dengan protokol OpenVPN, L2TP / IPSec, PPTP, PPPoE adalah cara yang selamat dan selamat sepenuhnya untuk memindahkan data.
Mengapa anda memerlukan saluran VPN?
Terowong VPN digunakan:
Di dalam rangkaian korporat;
Untuk menyatukan pejabat terpencil, serta cawangan kecil;
Untuk perkhidmatan telefon digital dengan pelbagai perkhidmatan telekomunikasi;
Untuk mengakses sumber IT luaran;
Untuk membina dan melaksanakan persidangan video.
Mengapa anda memerlukan VPN?
Sambungan VPN diperlukan untuk:
Kerja tanpa nama di Internet;
Memuat turun aplikasi apabila alamat IP terletak di zon serantau lain di negara ini;
Kerja selamat dalam persekitaran korporat menggunakan komunikasi;
Kesederhanaan dan kemudahan persediaan sambungan;
Memastikan kelajuan sambungan tinggi tanpa gangguan;
Mencipta saluran selamat tanpa serangan penggodam.
Bagaimana untuk menggunakan VPN?
Contoh cara VPN berfungsi boleh diberikan tanpa henti. Jadi, pada mana-mana komputer dalam rangkaian korporat, apabila anda mewujudkan sambungan VPN yang selamat, anda boleh menggunakan mel untuk menyemak mesej, menerbitkan bahan dari mana-mana tempat di negara ini atau memuat turun fail daripada rangkaian torrent.
VPN: apa yang ada pada telefon anda?
Akses melalui VPN pada telefon (iPhone atau mana-mana peranti Android lain) membolehkan anda mengekalkan kerahsiaan apabila menggunakan Internet di tempat awam, serta menghalang pemintasan lalu lintas dan penggodaman peranti.
Pelanggan VPN yang dipasang pada mana-mana OS membolehkan anda memintas banyak tetapan dan peraturan pembekal (jika pembekal telah menetapkan sebarang sekatan).
VPN mana yang hendak dipilih untuk telefon anda?
Telefon mudah alih dan telefon pintar yang menjalankan OS Android boleh menggunakan aplikasi daripada Google Playmarket:
- - vpnRoot, droidVPN,
- - pelayar tor untuk melayari rangkaian, juga dikenali sebagai orbot
- - InBrowser, orfox (firefox+tor),
- - Pelanggan VPN Percuma SuperVPN
- - Sambung OpenVPN
- - VPN TunnelBear
- - VPN Hideman
Kebanyakan program ini digunakan untuk kemudahan persediaan sistem "panas", meletakkan pintasan pelancaran, melayari Internet tanpa nama, dan memilih jenis penyulitan sambungan.
Tetapi tugas utama menggunakan VPN pada telefon ialah menyemak e-mel korporat, membuat persidangan video dengan beberapa peserta dan mengadakan mesyuarat di luar organisasi (contohnya, apabila pekerja sedang dalam perjalanan perniagaan).
Apakah VPN pada iPhone?
Mari lihat VPN mana yang hendak dipilih dan cara menyambungkannya ke iPhone anda dengan lebih terperinci.
Bergantung pada jenis rangkaian yang disokong, apabila anda mula-mula memulakan konfigurasi VPN pada iPhone anda, anda boleh memilih protokol berikut: L2TP, PPTP dan Cisco IPSec (selain itu, anda boleh "membuat" sambungan VPN menggunakan aplikasi pihak ketiga) .
Semua protokol yang disenaraikan menyokong kunci penyulitan, pengenalan pengguna menggunakan kata laluan dan pensijilan dijalankan.
Ciri tambahan semasa menyediakan profil VPN pada iPhone termasuk: keselamatan RSA, tahap penyulitan dan peraturan kebenaran untuk menyambung ke pelayan.
Untuk telefon iPhone daripada appstore, anda harus memilih:
- - aplikasi Tunnelbear percuma yang membolehkan anda menyambung ke pelayan VPN di mana-mana negara.
- - Sambungan OpenVPN ialah salah satu pelanggan VPN terbaik. Di sini, untuk melancarkan aplikasi, anda mesti terlebih dahulu mengimport kekunci RSA melalui iTunes ke dalam telefon anda.
- - Cloak ialah aplikasi perisian kongsi, kerana untuk beberapa waktu produk boleh "digunakan" secara percuma, tetapi untuk menggunakan program selepas tempoh demo tamat, anda perlu membelinya.
Penciptaan VPN: pemilihan dan konfigurasi peralatan
Untuk komunikasi korporat dalam organisasi besar atau menggabungkan pejabat berjauhan antara satu sama lain, mereka menggunakan peralatan perkakasan yang boleh menyokong kerja yang berterusan dan selamat pada rangkaian.
Untuk melaksanakan teknologi VPN, peranan get laluan rangkaian boleh menjadi: Pelayan Unix, pelayan Windows, penghala rangkaian dan get laluan rangkaian di mana VPN dipasang.
Pelayan atau peranti yang digunakan untuk mencipta rangkaian perusahaan VPN atau saluran VPN antara pejabat jauh mesti melaksanakan tugas teknikal yang kompleks dan menyediakan rangkaian penuh perkhidmatan kepada pengguna di stesen kerja dan pada peranti mudah alih.
Mana-mana penghala atau penghala VPN mesti menyediakan operasi yang boleh dipercayai pada rangkaian tanpa pegun. Dan fungsi VPN terbina dalam membolehkan anda menukar konfigurasi rangkaian untuk bekerja di rumah, dalam organisasi atau di pejabat terpencil.
Menyediakan VPN pada penghala
Secara umum, menyediakan VPN pada penghala dilakukan menggunakan antara muka web penghala. Pada peranti "klasik", untuk mengatur VPN, anda perlu pergi ke bahagian "tetapan" atau "tetapan rangkaian", di mana anda memilih bahagian VPN, nyatakan jenis protokol, masukkan tetapan untuk alamat subnet anda, topeng dan nyatakan julat alamat IP untuk pengguna.
Selain itu, untuk menjamin sambungan, anda perlu menentukan algoritma pengekodan, kaedah pengesahan, menjana kunci rundingan dan menentukan pelayan DNS WINS. Dalam parameter "Gateway" anda perlu menentukan alamat IP gateway (IP anda sendiri) dan isikan data pada semua penyesuai rangkaian.
Jika terdapat beberapa penghala pada rangkaian, anda perlu mengisi jadual penghalaan VPN untuk semua peranti dalam terowong VPN.
Berikut ialah senarai peralatan perkakasan yang digunakan untuk membina rangkaian VPN:
Penghala Dlink: DIR-320, DIR-620, DSR-1000 dengan perisian tegar baharu atau Penghala D-Link DI808HV.
Penghala Cisco PIX 501, Cisco 871-SEC-K9
Penghala Linksys Rv082 dengan sokongan untuk kira-kira 50 terowong VPN
Penghala Netgear DG834G dan model penghala FVS318G, FVS318N, FVS336G, SRX5308
Penghala Mikrotik dengan fungsi OpenVPN. Contoh RouterBoard RB/2011L-IN Mikrotik
Peralatan VPN RVPN S-Terra atau VPN Gate
Model penghala ASUS RT-N66U, RT-N16 dan RT N-10
Penghala ZyXel ZyWALL 5, ZyWALL P1, ZyWALL USG
