Virtuele lokale netwerken. Een vlan creëren op basis van één switch. Doel van virtuele netwerken

Een virtueel lokaal netwerk (VLAN) is een groep netwerkknooppunten waarvan het verkeer, inclusief broadcastverkeer, op linkniveau volledig is geïsoleerd van het verkeer van andere netwerkknooppunten.

Rijst. 14.10. Virtueel lokale netwerken.

Dit betekent dat frames worden overgedragen tussen verschillende virtuele netwerken op basis van het adres link laag is niet mogelijk ongeacht het adrestype (uniek, multicast of broadcast). Tegelijkertijd worden frames binnen het virtuele netwerk verzonden met behulp van schakeltechnologie, en dan alleen naar de poort die is gekoppeld aan het bestemmingsadres van het frame.

VLAN's kunnen elkaar overlappen als een of meer computers deel uitmaken van meer dan één VLAN. In afb. 14.10 De e-mailserver maakt deel uit van virtuele netwerken 3 en 4. Dit betekent dat de frames ervan door schakelaars worden verzonden naar alle computers in deze netwerken. Als een computer alleen deel uitmaakt van virtueel netwerk 3, zullen de frames netwerk 4 niet bereiken, maar kan deze communiceren met computers op netwerk 4 via een gemeenschappelijke mailserver. Dit schema beschermt virtuele netwerken niet volledig tegen elkaar, bijvoorbeeld tegen een uitzendingsstorm die op de server plaatsvindt e-mail, zal zowel netwerk 3 als netwerk 4 overstromen.

Van een virtueel netwerk wordt gezegd dat het een broadcast-verkeersdomein vormt, vergelijkbaar met het botsingsdomein dat wordt gevormd door Ethernet-repeaters.

Doel van virtuele netwerken

Zoals we in het voorbeeld uit de vorige sectie hebben gezien, kunt u met behulp van aangepaste filters de normale werking van switches verstoren en de interactie van lokale netwerkknooppunten beperken in overeenstemming met de vereiste toegangsregels. Het aangepaste schakelfiltermechanisme heeft echter verschillende nadelen:

Het is noodzakelijk om voor elk netwerkknooppunt afzonderlijke voorwaarden in te stellen, waarbij gebruik wordt gemaakt van omslachtige MAC-adressen. Het zou veel gemakkelijker zijn om knooppunten te groeperen en de interactievoorwaarden voor groepen in één keer te beschrijven.

Kan niet blokkeren uitgezonden verkeer.

Broadcast-verkeer kan ervoor zorgen dat het netwerk niet beschikbaar is als een van de knooppunten opzettelijk of onopzettelijk broadcast-frames met grote intensiteit genereert.

Hoofddoel VLAN-technologieën is om het proces van het creëren van geïsoleerde netwerken te vergemakkelijken, die vervolgens meestal met elkaar worden verbonden via routers. Dit netwerkontwerp creëert krachtige barrières tegen ongewenst verkeer van het ene netwerk naar het andere. Tegenwoordig wordt het als vanzelfsprekend beschouwd dat elk groot netwerk routers moet bevatten, anders zullen stromen van foutieve frames, zoals uitzendingen, periodiek het hele netwerk ‘overspoelen’ via schakelaars die voor hen transparant zijn, waardoor het onbruikbaar wordt.

Het voordeel van virtuele netwerktechnologie is dat u volledig geïsoleerde netwerksegmenten kunt creëren door logische configuratie van switches, zonder de fysieke structuur te veranderen.

Vóór de komst van VLAN-technologie te creëren apart netwerk beide fysiek geïsoleerde segmenten werden gebruikt coaxiale kabel, of niet-verbonden segmenten gebouwd op repeaters en bruggen. Deze netwerken werden vervolgens door routers verbonden tot één samengesteld netwerk (Fig. 14.11).

Het veranderen van de samenstelling van segmenten (gebruiker verhuist naar een ander netwerk, splitsen van grote segmenten) impliceert bij deze aanpak het fysiek opnieuw verbinden van connectoren op de frontpanelen van repeaters of op cross-connect panelen, wat niet erg handig is in grote netwerken- veel fysiek werk en de kans op fouten is groot.

Rijst. 14.11. Samengesteld netwerk bestaande uit netwerken gebouwd op basis van repeaters

Het koppelen van virtuele netwerken aan een gemeenschappelijk netwerk vereist de betrokkenheid van tools op netwerkniveau. Het kan worden geïmplementeerd in een aparte router of als onderdeel van een software schakelaar, die dan een gecombineerd apparaat wordt - de zogenaamde laag 3-schakelaar.

Virtuele netwerktechnologie voor een lange tijd was niet gestandaardiseerd, hoewel het in een zeer breed scala aan schakelaarmodellen werd geïmplementeerd verschillende fabrikanten. De situatie veranderde met de goedkeuring van de IEEE 802.1Q-standaard in 1998, die definieert basisregels het bouwen van virtuele lokale netwerken die onafhankelijk zijn van het link-level protocol dat door de switch wordt ondersteund.

Virtuele netwerken creëren op basis van één switch

Bij het creëren van virtuele netwerken op basis van een enkele switch wordt meestal het gebruikt (Fig. 14.12). In dit geval wordt elke poort toegewezen aan een of ander virtueel netwerk. Een frame afkomstig van een poort die behoort tot bijvoorbeeld virtueel netwerk 1 zal nooit worden verzonden naar een poort die niet tot dit virtuele netwerk behoort. Een poort kan aan meerdere virtuele netwerken worden toegewezen, hoewel dit in de praktijk zelden gebeurt: het effect van volledige isolatie van netwerken verdwijnt.

Het creëren van virtuele netwerken door poorten te groeperen vereist niet veel werk van de beheerder zelf gemaakt- het is voldoende om elke poort toe te wijzen aan een van de verschillende vooraf genoemde virtuele netwerken. Normaal gesproken wordt deze bewerking uitgevoerd met behulp van een speciaal programma dat bij de schakelaar wordt geleverd.

De tweede methode voor het maken van virtuele netwerken is gebaseerd op het groeperen van MAC-adressen. Elk MAC-adres dat door de switch wordt geleerd, wordt toegewezen aan een bepaald virtueel netwerk. Als er veel knooppunten in het netwerk zijn, vereist deze methode veel handmatig werk van de beheerder. Bij het bouwen van virtuele netwerken op basis van meerdere switches blijkt het echter flexibeler te zijn dan poortgroepering.

Rijst. 14.12. Virtuele netwerken gebouwd op één schakelaar

Virtuele netwerken creëren op basis van meerdere switches

Figuur 14.13 illustreert het probleem dat zich voordoet bij het creëren van virtuele netwerken op basis van meerdere switches die port trunking-technieken ondersteunen.

Rijst. 14.13. Virtuele netwerken bouwen op meerdere switches met poortgroepering

Als de knooppunten van een virtueel netwerk met verschillende switches zijn verbonden, moet er een speciaal paar poorten aan de switches worden toegewezen om elk dergelijk netwerk met elkaar te verbinden. Poorttrunking-switches hebben dus evenveel poorten nodig voor hun verbinding als het aantal virtuele netwerken dat ze ondersteunen. Poorten en kabels worden in dit geval zeer verspillend gebruikt. Bovendien wordt bij het verbinden van virtuele netwerken via een router voor elk virtueel netwerk een aparte kabel en een aparte routerpoort toegewezen, wat ook tot hoge overheadkosten leidt.

Door MAC-adressen op elke switch in een virtueel netwerk te groeperen, is het niet meer nodig om ze aan meerdere poorten te koppelen, omdat het MAC-adres dan het virtuele netwerklabel wordt. Deze methode vereist echter grote hoeveelheid handmatige handelingen voor het markeren van MAC-adressen op elke netwerkswitch.

De beschreven twee benaderingen zijn alleen gebaseerd op het toevoegen van aanvullende informatie aan de adrestabellen van de switch en hebben niet de mogelijkheid om informatie over de eigendom van het virtuele netwerkframe in het verzonden frame in te bedden. In andere benaderingen worden bestaande of extra framevelden gebruikt om informatie op te slaan over het lidmaatschap van het frame in een bepaald virtueel lokaal netwerk wanneer het tussen netwerkswitches beweegt. In dit geval hoeft u niet bij elke switch te onthouden dat alle MAC-adressen van het samengestelde netwerk tot virtuele netwerken behoren.

Ethernet introduceert een extra header, een VLAN-tag.

De VLAN-tag is optioneel voor Ethernet-frames. Een frame dat zo'n header heeft, wordt een getagd frame genoemd. Switches kunnen zowel getagde als niet-getagde frames tegelijkertijd verwerken. Door de toevoeging van de VLAN-tag maximale lengte datavelden verminderd met 4 bytes.

Om ervoor te zorgen dat lokale netwerkapparatuur getagde frames kan onderscheiden en begrijpen, wordt daarvoor een speciale EtherType-veldwaarde van 0x8100 geïntroduceerd. Deze waarde geeft aan dat deze wordt gevolgd door een TCI-veld in plaats van een standaardgegevensveld. Merk op dat in een getagd frame de VLAN-tagvelden worden gevolgd door een ander EtherType-veld dat het protocoltype aangeeft waarvan de gegevens worden overgedragen door het framegegevensveld.

Het TCI-veld bevat een 12-bits VLAN-nummer (identifier) veld genaamd VID. Dankzij de breedte van het VID-veld kunnen switches maximaal 4096 virtuele netwerken creëren.

Met behulp van de VID-waarde in getagde frames voeren netwerkswitches groepsverkeerfiltering uit, waarbij het netwerk in virtuele segmenten wordt verdeeld, dat wil zeggen in VLAN's. Om deze modus te ondersteunen, wordt elke switchpoort toegewezen aan een of meer virtuele lokale netwerken, dat wil zeggen dat er poortgroepering wordt uitgevoerd.

Om de netwerkconfiguratie te vereenvoudigen introduceert de 802.1Q-standaard de concepten van toegangslijn en trunk.

Een toegangslijn verbindt een switchpoort (in dit geval toegangspoort genoemd) met een computer die deel uitmaakt van een virtueel lokaal netwerk.

Een trunk is een communicatielijn die de poorten van twee switches met elkaar verbindt; over het algemeen wordt verkeer van verschillende virtuele netwerken via een trunk verzonden.

Om een virtueel lokaal netwerk in het bronnetwerk te creëren, moet u er eerst een andere VID-waarde dan 1 voor selecteren en vervolgens, met behulp van de switch-configuratieopdrachten, aan dit netwerk de poorten toewijzen waarop de computers die erin zijn aangesloten, zijn aangesloten . Een toegangspoort kan slechts aan één VLAN worden toegewezen.

Toegangspoorten ontvangen niet-gecodeerde frames van eindhosts en taggen deze met een VLAN-tag die de VID-waarde bevat die aan die poort is toegewezen. Bij het verzenden van getagde frames naar het eindknooppunt verwijdert de toegangspoort de VLAN-tag.

Voor meer visuele beschrijving Laten we terugkeren naar het eerder besproken netwerkvoorbeeld. Afb. Figuur 14.15 laat zien hoe het probleem van selectieve toegang tot servers wordt opgelost op basis van de VLAN-techniek.

Rijst. 14.15. Het netwerk opsplitsen in twee virtuele lokale netwerken

Om dit probleem op te lossen, kunnen we twee virtuele lokale netwerken op het netwerk organiseren, VLAN2 en VLAN3 (onthoud dat VLAN1 standaard al bestaat - dit is ons oorspronkelijke netwerk), waarbij we de ene set computers en servers aan VLAN2 toewijzen, en de andere aan KVLAN3.

Om eindknooppunten aan een specifiek VLAN toe te wijzen, worden de overeenkomstige poorten gedeclareerd als de toegangspoorten van dat netwerk door ze de juiste VID toe te wijzen. Poort 1 van SW1 moet bijvoorbeeld worden aangegeven als toegangspoort van VLAN2 door deze VID2 toe te wijzen, hetzelfde moet worden gedaan met poort 5 van SW1, poort 1 van SW2 en poort 1 van SW3. Toegangspoorten VLAN's 3 zou VID3 moeten ontvangen.

In uw netwerk moet u ook trunks organiseren: de communicatielijnen die switchpoorten met elkaar verbinden. Poorten die op trunks zijn aangesloten, voegen geen tags toe of verwijderen ze, ze verzenden eenvoudigweg frames ongewijzigd. In ons voorbeeld zouden dergelijke poorten poort 6 van schakelaars SW1 en SW2 moeten zijn, evenals poort 3 en 4 van de ShchZ-schakelaar. De poorten in ons voorbeeld moeten VLAN2 en VLAN3 ondersteunen (en VLAN1, als er knooppunten in het netwerk zijn die niet expliciet aan een VLAN zijn toegewezen).

Switches die VLAN-technologie ondersteunen, zorgen voor extra verkeersfiltering. Als in de forwarding-tabel van de switch staat dat het binnenkomende frame naar een bepaalde poort moet worden verzonden, controleert de switch vóór verzending of de VTD-waarde in de VL AN-tag van het frame overeenkomt met het virtuele lokale netwerk dat aan deze poort is toegewezen. Als er een overeenkomst is, wordt het frame verzonden. Als het niet overeenkomt, wordt het weggegooid. Niet-getagde frames worden op dezelfde manier verwerkt, maar met behulp van het voorwaardelijke VLAN1. MAC-adressen worden afzonderlijk door netwerkswitches geleerd, maar voor elk VLAN.

De VLAN-techniek blijkt zeer effectief om de toegang tot servers te beperken. Voor het configureren van een virtueel lokaal netwerk is geen kennis van de MAC-adressen van de knooppunten vereist. Bovendien vereist elke verandering in het netwerk, bijvoorbeeld het verbinden van een computer met een andere switch, alleen de poort van deze switch en alle andere switches in de switch; netwerk blijven functioneren zonder wijzigingen aan te brengen in de configuratie ervan.

6.1 Inleiding. Virtuele LAN-technologie

Een virtueel netwerk is een groep netwerkknooppunten waarvan het verkeer, inclusief broadcastverkeer, op datalinkniveau volledig is geïsoleerd van andere netwerkknooppunten (Fig. 4.39). Dit betekent dat frames niet kunnen worden verzonden tussen verschillende virtuele netwerken op basis van een link-layer-adres, ongeacht het type adres: uniek, multicast of broadcast. Tegelijkertijd worden frames binnen een virtueel netwerk verzonden met behulp van schakeltechnologie, dat wil zeggen alleen naar de poort die is gekoppeld aan het bestemmingsadres van het frame. Virtuele netwerken kunnen elkaar overlappen als een of meer computers deel uitmaken van meer dan één virtueel netwerk. In afb. 4.39 De e-mailserver maakt deel uit van virtuele netwerken 3 en 4. Dit betekent dat de frames ervan door schakelaars worden verzonden naar alle computers in deze netwerken. Als een computer alleen deel uitmaakt van virtueel netwerk 3, zullen de frames netwerk 4 niet bereiken, maar kan deze communiceren met computers op netwerk 4 via een gemeenschappelijk netwerk. mailserver. Dit schema beschermt virtuele netwerken niet volledig tegen elkaar. Een broadcaststorm die zich voordoet op de e-mailserver zal bijvoorbeeld netwerk 3 en netwerk 4 overweldigen.

Rijst. 4.39. Virtuele netwerken

Ze zeggen dat er een virtueel netwerk ontstaat uitzendverkeersdomein (uitzenddomein), naar analogie met het botsingsdomein dat wordt gevormd door Ethernet-repeaters.

Het doel van virtuele netwerktechnologie is het faciliteren van het creëren van geïsoleerde netwerken, die vervolgens moeten worden verbonden met behulp van routers die een soort netwerklaagprotocol implementeren, zoals IP. Dit netwerkontwerp creëert veel sterkere barrières voor foutief verkeer van het ene netwerk naar het andere. Tegenwoordig wordt aangenomen dat elk groot netwerk routers moet bevatten, anders zullen stromen van foutieve frames, zoals uitzendingen, periodiek het hele netwerk overspoelen via schakelaars die voor hen transparant zijn, waardoor het onbruikbaar wordt.

Virtuele netwerktechnologie creëert een flexibele basis voor het bouwen van een groot netwerk dat is verbonden door routers, omdat u met switches volledig geïsoleerde segmenten kunt creëren programmatisch zonder toevlucht te nemen tot fysiek schakelen.

Vóór de komst van VLAN-technologie werden fysiek geïsoleerde segmenten van de coaxkabel of niet-verbonden segmenten gebouwd op repeaters en bruggen gebruikt om een afzonderlijk netwerk te creëren. Deze netwerken werden vervolgens door routers verbonden tot één samengesteld netwerk (figuur).

Rijst. Een internetwerk bestaande uit netwerken gebouwd op basis van repeaters

Het veranderen van de samenstelling van segmenten (gebruiker verhuist naar een ander netwerk, splitsen van grote segmenten) met deze aanpak impliceert het fysiek opnieuw aansluiten van connectoren op de frontpanelen van repeaters of in cross-overpanelen, wat niet erg handig is in grote netwerken - er zijn er veel fysiek werk Bovendien is de kans op fouten groot.

Om de noodzaak voor het fysiek opnieuw schakelen van knooppunten te elimineren, werd daarom begonnen met het gebruik van multi-segmentconcentrators, besproken in paragraaf 4.2.2. Het werd mogelijk om de samenstelling van een gedeeld segment te programmeren zonder fysieke herverbinding.

Het oplossen van het probleem van het veranderen van de samenstelling van segmenten met behulp van hubs legt echter grote beperkingen op aan de netwerkstructuur - het aantal segmenten van zo'n repeater is meestal klein, dus het toewijzen van elk knooppunt aan zijn eigen segment, zoals kan worden gedaan met behulp van een switch, is onrealistisch. Bovendien valt met deze aanpak al het werk van het overbrengen van gegevens tussen segmenten op routers en op hun eigen switches hoge prestaties blijven zonder werk. Daarom zijn netwerken die zijn gebouwd op basis van configuratiegeschakelde repeaters nog steeds gebaseerd op het verdelen van het datatransmissiemedium een groot aantal knooppunten en presteren daarom veel lager dan netwerken die op switches zijn gebouwd.

Bij het gebruik van virtuele netwerktechnologie in switches worden twee taken tegelijkertijd opgelost:

· verhoogde prestaties in elk van de virtuele netwerken, aangezien de switch frames in een dergelijk netwerk alleen naar het bestemmingsknooppunt verzendt;

· netwerken van elkaar isoleren om de toegangsrechten van gebruikers te beheren en beschermende barrières te creëren tegen uitzendstormen.

Om virtuele netwerken met elkaar te verbinden gedeeld netwerk vereist betrokkenheid van de netwerklaag. Het kan in een aparte router worden geïmplementeerd, maar het kan ook werken als onderdeel van de switchsoftware, die dan een gecombineerd apparaat wordt: de zogenaamde layer 3-switch. Laag 3-schakelaars worden besproken in hoofdstuk 5.

De technologie voor het creëren en exploiteren van virtuele netwerken met behulp van switches is al lange tijd niet gestandaardiseerd, hoewel deze wel is geïmplementeerd in een zeer breed scala aan switchmodellen van verschillende fabrikanten. Deze situatie veranderde met de goedkeuring van de IEEE 802.1Q-standaard in 1998, die de basisregels definieert voor het construeren van virtuele lokale netwerken, onafhankelijk van het linklaagprotocol dat de switch ondersteunt.

Vanwege het lange ontbreken van een standaard voor VLAN, elk grote fabrikant switches ontwikkelden hun eigen virtuele netwerktechnologie, die in de regel niet compatibel was met technologieën van andere fabrikanten. Daarom is het, ondanks de opkomst van een standaard, niet ongebruikelijk om een situatie tegen te komen waarin virtuele netwerken die zijn gemaakt op switches van de ene fabrikant niet worden herkend en dienovereenkomstig niet worden ondersteund door switches van een andere fabrikant.

Bij het creëren van virtuele netwerken op basis van een enkele switch wordt meestal een mechanisme gebruikt voor het groeperen van switchpoorten in een netwerk (Fig. 4.41). In dit geval wordt elke poort toegewezen aan een of ander virtueel netwerk. Een frame afkomstig van een poort die behoort tot bijvoorbeeld virtueel netwerk 1 zal nooit worden verzonden naar een poort die niet tot dit virtuele netwerk behoort. Een poort kan aan meerdere virtuele netwerken worden toegewezen, hoewel dit in de praktijk zelden gebeurt: het effect van volledige isolatie van netwerken verdwijnt.

Rijst. 4.41. Virtuele netwerken gebouwd op één enkele switch

Het groeperen van poorten voor één switch is de meest logische manier om een VLAN te vormen, aangezien er niet meer virtuele netwerken kunnen worden gebouwd op basis van één switch dan er poorten zijn. Als een segment dat op een repeater is gebouwd, op één poort is aangesloten, heeft het geen zin om knooppunten van een dergelijk segment in verschillende virtuele netwerken op te nemen - het verkeer van deze knooppunten zal nog steeds gebruikelijk zijn.

Het creëren van virtuele netwerken op basis van poortgroepering vereist geen grote hoeveelheid handmatig werk van de beheerder; het is voldoende om elke poort toe te wijzen aan een van de verschillende vooraf genoemde virtuele netwerken. Normaal gesproken wordt deze bewerking uitgevoerd met behulp van speciaal programma meegeleverd met de schakelaar. De beheerder maakt virtuele netwerken door de grafische poortsymbolen naar het grafische symbolen netwerken.

6.2 Organisatie van virtuele lokale netwerken

Virtuele netwerken ontworpen om netwerksegmentatie op switches te implementeren. Zo kan de creatie van virtuele lokale netwerken ( Virtueel lokaal Gebiedsnetwerken – VLAN), die een logische associatie van groepen netwerkstations vertegenwoordigen (Fig. 16.1), is een van de belangrijkste methoden om informatie in netwerken op switches te beschermen.

Rijst. 16.1. VLAN's

Normaal gesproken worden VLAN's gegroepeerd op functionele kenmerken werken, ongeacht de fysieke locatie van gebruikers. Gegevensuitwisseling vindt alleen plaats tussen apparaten die zich in hetzelfde VLAN bevinden. Gegevensuitwisseling tussen verschillende VLAN's vindt alleen plaats via routers.

Een werkstation op een virtueel netwerk, zoals Host-1 op VLAN1 (Figuur 16.1), is beperkt tot communicatie met een server op hetzelfde VLAN1. Virtuele netwerken segmenteren het hele netwerk logisch in broadcastdomeinen, zodat pakketten alleen worden geschakeld tussen poorten die zijn toegewezen aan hetzelfde VLAN (toegewezen aan hetzelfde VLAN). Elk VLAN bestaat uit knooppunten die zijn verenigd door een enkel broadcastdomein, gevormd door switchpoorten die zijn toegewezen aan het virtuele netwerk.

Omdat elk virtueel netwerk een broadcastdomein vertegenwoordigt, bieden routers in de VLAN-topologie (Afbeelding 16.1) broadcastfiltering, beveiliging, verkeersbeheer en inter-VLAN-communicatie. Switches bieden geen inter-VLAN-verkeer omdat dit de integriteit van het VLAN-broadcastdomein schendt. Verkeer tussen VLAN's geleverd door routing, d.w.z. communicatie tussen hosts van verschillende virtuele netwerken vindt alleen plaats via een router.

Voor de normale werking van virtuele netwerken is het noodzakelijk om alle virtuele lokale netwerken op de switch te configureren en de switchpoorten aan het overeenkomstige VLAN toe te wijzen. Als een frame door een switch moet gaan en het MAC-adres van de bestemming bekend is, stuurt de switch het frame alleen door naar de juiste uitgangspoort. Als het MAC-adres onbekend is, vindt broadcasttransmissie plaats naar alle poorten van het broadcastdomein, d.w.z. binnen het VLAN, behalve de bronpoort waarvan het frame is ontvangen. Uitzendingen verminderen de informatiebeveiliging.

Virtueel netwerkbeheer VLAN wordt geïmplementeerd via het eerste netwerk VLAN1 en beperkt zich tot het beheren van switchpoorten. Het VLAN1-netwerk krijgt een naam standaard netwerk (standaard VLAN). Door ten minste, moet één poort zich in VLAN 1 bevinden om de switch te beheren. Alle andere poorten op de switch kunnen aan andere VLAN's worden toegewezen. Sinds deze informatie Iedereen weet dat hackers als eerste dit netwerk proberen aan te vallen. Daarom wijzigen beheerders in de praktijk het standaard netwerknummer naar bijvoorbeeld VLAN 101.

Tijdens de configuratie moet aan elk virtueel netwerk een netwerk- of subnet-IP-adres met een geschikt masker worden toegewezen, zodat de virtuele netwerken met elkaar kunnen communiceren. VLAN1 (Fig. 16.1) kan bijvoorbeeld het adres 192.168.10.0/24 hebben, VLAN2 – het adres 192.168.20.0/24, VLAN3 – het adres 192.168.30.0/24. Elke host moet een IP-adres krijgen uit het adresbereik van het bijbehorende virtuele netwerk, bijvoorbeeld host-1 – adres 192.168.10.1, host-2 – adres 192.168.20.1, host-3 – adres 192.168.20.2, host- 7 – adres 192.168.3, host-10 – adres 192.168.30.4.

VLAN-ID's (VLAN1, VLAN2, VLAN3, enz.) kunnen worden toegewezen uit het normale bereik van 1-1005, waarbij de nummers 1002 - 1005 zijn gereserveerd voor technologie-VLAN's Token-ring en FDDI. Er is ook een uitgebreid ID-bereik 1006-4094. Voor het gemak van het beheer wordt echter aanbevolen om VLAN's te beperken tot 255 en om netwerken niet verder uit te breiden dan laag 2 van de switch.

Een VLAN is dus een broadcastdomein dat wordt gecreëerd door een of meer switches. In afb. 16.2 worden drie virtuele VLAN's gemaakt door één router en drie switches. Er zijn drie afzonderlijke broadcastdomeinen (VLAN 1, VLAN 2, VLAN 3). De router beheert het verkeer tussen VLAN's met behulp van Layer 3-routering.

Rijst. 16.2. Drie virtuele VLAN's

Als werkstation VLAN 1 zal een frame naar een werkstation in hetzelfde VLAN 1 willen sturen, het bestemmingsadres van het frame zal het MAC-adres van het bestemmingswerkstation zijn. Als een werkstation op VLAN 1 een frame wil doorsturen naar een werkstation op VLAN 2, worden de frames naar het MAC-adres van de F0/0-interface van de router gestuurd. Dat wil zeggen dat routering wordt uitgevoerd via het IP-adres van de F0/0-interface van de VLAN 1 virtuele netwerkrouter.

Om zijn functies in virtuele netwerken uit te voeren, moet de switch voor elk VLAN schakeltabellen (doorsturen) bijhouden. Om frames door te sturen, wordt in de adrestabel alleen naar dit VLAN gezocht. Als het bronadres voorheen niet bekend was, voegt de switch dit adres toe aan de tabel wanneer het frame wordt ontvangen.

Bij het bouwen van een netwerk op meerdere switches is het noodzakelijk om te selecteren extra poorten om poorten van verschillende switches te combineren die zijn toegewezen aan virtuele netwerken met dezelfde naam (Fig. 16.3). Er moeten extra paren poorten op twee switches worden toegewezen, net zoveel als er VLAN's worden gemaakt.

Rijst. 16.3. Samenvoegen van virtuele netwerken van twee switches

Omdat dataframes kunnen worden ontvangen door een switch vanaf elk apparaat dat is aangesloten op een virtueel netwerk, wordt bij het uitwisselen van gegevens tussen switches de frameheader unieke frame-ID – label virtueel netwerk, dat het VLAN van elk pakket definieert. IEEE 802.1Q-standaard zorgt voor de introductie velden labelen in de frameheader die twee bytes bevat (tabel 16.1).

Naast het hoofddoel: vergroten bandbreedte verbindingen in het netwerk - met de switch kunt u informatiestromen lokaliseren en deze stromen controleren en beheren met behulp van een aangepast filtermechanisme. Een aangepast filter kan echter de verzending van frames alleen naar specifieke adressen voorkomen, terwijl het broadcastverkeer naar alle netwerksegmenten verzendt. Dit is het werkingsprincipe van het bridge-algoritme dat in de switch is geïmplementeerd. Daarom worden netwerken die op basis van bridges en switches zijn gemaakt soms plat genoemd - vanwege de afwezigheid van barrières voor omroepverkeer.

De technologie van virtuele lokale netwerken (Virtual LAN, VLAN), die enkele jaren geleden verscheen, maakt het mogelijk deze beperking te overwinnen. Een virtueel netwerk is een groep netwerkknooppunten waarvan het verkeer, inclusief broadcastverkeer, volledig geïsoleerd is van andere knooppunten op datalinkniveau (zie figuur 1). Dit betekent dat directe overdracht van frames tussen verschillende virtuele netwerken onmogelijk is, ongeacht het type adres: uniek, multicast of broadcast. Tegelijkertijd worden frames binnen een virtueel netwerk verzonden in overeenstemming met schakeltechnologie, dat wil zeggen alleen naar de poort waaraan het bestemmingsadres van het frame is toegewezen.

Virtuele netwerken kunnen elkaar overlappen als een of meer computers deel uitmaken van meer dan één virtueel netwerk. In figuur 1 maakt de e-mailserver deel uit van virtuele netwerken 3 en 4 en daarom worden de frames ervan door schakelaars verzonden naar alle computers in deze netwerken. Als een computer alleen aan virtueel netwerk 3 is toegewezen, bereiken de frames netwerk 4 niet, maar kan deze via een gemeenschappelijke mailserver communiceren met computers op netwerk 4. Dit schema isoleert virtuele netwerken niet volledig van elkaar - een uitzendingsstorm geïnitieerd door een e-mailserver zal bijvoorbeeld zowel netwerk 3 als netwerk 4 overweldigen.

Van een virtueel netwerk wordt gezegd dat het een broadcast-verkeersdomein vormt, vergelijkbaar met het botsingsdomein dat wordt gevormd door Ethernet-repeaters.

VLAN-TOEWIJZING

VLAN-technologie maakt het eenvoudiger om geïsoleerde netwerken te creëren die met elkaar zijn verbonden via routers die een netwerklaagprotocol ondersteunen, zoals IP. Deze oplossing creëert veel sterkere barrières voor foutief verkeer van het ene netwerk naar het andere. Tegenwoordig wordt aangenomen dat elk groot netwerk routers moet bevatten, anders zullen stromen van foutieve frames, met name broadcast-frames, via voor hen transparante schakelaars het periodiek volledig ‘overspoelen’, waardoor het onbruikbaar wordt.

Virtuele netwerktechnologie biedt een flexibele basis voor het bouwen van een groot netwerk dat is verbonden door routers, omdat u met switches programmatisch volledig geïsoleerde segmenten kunt creëren, zonder toevlucht te hoeven nemen tot fysieke schakeling.

Vóór de komst van VLAN-technologie werd bij het inzetten van een afzonderlijk netwerk gebruik gemaakt van fysiek geïsoleerde delen van de coaxkabel of van niet-verbonden segmenten op basis van repeaters en bruggen. De netwerken werden vervolgens via routers met elkaar verbonden tot één samengesteld netwerk (zie figuur 2).

Het veranderen van de samenstelling van segmenten (gebruiker die naar een ander netwerk gaat, grote secties opsplitsen) met deze aanpak impliceerde het fysiek opnieuw verbinden van connectoren op de frontpanelen van repeaters of in crossover-panelen, wat niet erg handig is in grote netwerken- dit is een zeer arbeidsintensieve klus en de kans op fouten is zeer groot. Om de noodzaak van fysiek opnieuw schakelen van knooppunten te elimineren, werden daarom concentrators met meerdere segmenten gebruikt, zodat de samenstelling van het gedeelde segment opnieuw kon worden geprogrammeerd zonder fysiek opnieuw te schakelen.

Het veranderen van de samenstelling van segmenten met behulp van hubs legt echter grote beperkingen op aan de netwerkstructuur - het aantal segmenten van zo'n repeater is meestal klein en het is onrealistisch om elk knooppunt zijn eigen knooppunt toe te wijzen, zoals kan worden gedaan met behulp van een switch. Bovendien valt met deze aanpak al het werk van het overbrengen van gegevens tussen segmenten op de routers, en blijven switches met hun hoge prestaties ‘werkloos’. Configuratie-geschakelde, op repeaters gebaseerde netwerken hebben dus nog steeds behoefte aan delen Media voor datatransmissie hebben een groot aantal knooppunten en presteren daarom veel lager dan netwerken op basis van switches.

Wanneer virtuele netwerktechnologie wordt gebruikt in switches, worden twee problemen tegelijkertijd opgelost:

verhoogde prestaties in elk van de virtuele netwerken, aangezien de switch alleen frames naar het bestemmingsknooppunt verzendt;
Het isoleren van netwerken van elkaar om de toegangsrechten van gebruikers te beheren en beschermende barrières te creëren tegen uitzendstormen.

De integratie van virtuele netwerken in een gemeenschappelijk netwerk wordt uitgevoerd netwerk niveau, die kan worden gemigreerd naar het gebruik van een afzonderlijke router- of switchsoftware. Dit laatste wordt in dit geval een gecombineerd apparaat - de zogenaamde schakelaar op het derde niveau.

De technologie voor het vormen en exploiteren van virtuele netwerken met behulp van switches is al lange tijd niet gestandaardiseerd, hoewel deze wel is geïmplementeerd in een zeer breed scala aan switchmodellen van verschillende fabrikanten. De situatie veranderde na de goedkeuring van de IEEE 802.1Q-standaard in 1998, die de basisregels definieert voor het construeren van virtuele lokale netwerken, ongeacht welk link-layer-protocol door de switch wordt ondersteund.

Vanwege het lange ontbreken van een VLAN-standaard, elk groot bedrijf, dat schakelaars produceert, heeft zijn eigen virtuele netwerktechnologie ontwikkeld, die in de regel niet compatibel is met technologieën van andere fabrikanten. Daarom is het, ondanks de opkomst van een standaard, niet zo zeldzaam om een situatie tegen te komen waarin virtuele netwerken die zijn gecreëerd op basis van switches van de ene leverancier niet worden herkend en dienovereenkomstig niet worden ondersteund door switches van een andere.

CREËER EEN VLAN OP BASIS VAN ÉÉN SWITCH

Bij het creëren van virtuele netwerken op basis van een enkele switch wordt meestal een mechanisme gebruikt voor het groeperen van switchpoorten in een netwerk (zie figuur 3). Bovendien is elk van hen toegewezen aan een of ander virtueel netwerk. Een frame afkomstig van een poort die behoort tot bijvoorbeeld virtueel netwerk 1 zal nooit worden verzonden naar een poort die daar geen deel van uitmaakt. Een poort kan aan meerdere virtuele netwerken worden toegewezen, hoewel dit in de praktijk zelden gebeurt: het effect van volledige isolatie van netwerken verdwijnt.

Het groeperen van poorten op één switch is sindsdien de meest logische manier om een VLAN te vormen in dit geval Er kunnen niet meer virtuele netwerken zijn dan poorten. Als een repeater op een bepaalde poort is aangesloten, heeft het geen zin om de knooppunten van het overeenkomstige segment in verschillende virtuele netwerken op te nemen - hun verkeer zal nog steeds gebruikelijk zijn.

Deze aanpak vereist geen grote hoeveelheid handmatig werk van de beheerder; het is voldoende om elke poort toe te wijzen aan een van de verschillende vooraf genoemde virtuele netwerken. Meestal wordt deze handeling uitgevoerd met behulp van een speciaal programma dat bij de schakelaar wordt geleverd. De beheerder maakt virtuele netwerken door poortsymbolen naar netwerksymbolen te slepen.

Een andere manier om virtuele netwerken te vormen is gebaseerd op het groeperen van MAC-adressen. Elk MAC-adres dat bij de switch bekend is, wordt toegewezen aan een bepaald virtueel netwerk. Als er veel knooppunten op het netwerk zijn, zal de beheerder veel handmatige handelingen moeten uitvoeren. Bij het bouwen van virtuele netwerken op basis van meerdere switches is deze methode echter flexibeler dan poortgroepering.

MAAK EEN VLAN GEBASEERD OP VERSCHILLENDE SCHAKELAARS

Figuur 4 illustreert de situatie die ontstaat bij het creëren van virtuele netwerken op basis van verschillende switches via poortgroepering. Als de knooppunten van een virtueel netwerk met verschillende switches zijn verbonden, moet een afzonderlijk paar poorten worden toegewezen om de switches van elk dergelijk netwerk met elkaar te verbinden. Anders gaat informatie over het eigendom van een frame naar een bepaald virtueel netwerk verloren wanneer deze van switch naar switch wordt verzonden. De port trunking-methode vereist dus evenveel poorten om switches aan te sluiten als er virtuele netwerken zijn die ze ondersteunen, wat resulteert in een zeer verspillend gebruik van poorten en kabels. Om de interactie van virtuele netwerken via een router te organiseren, heeft elk netwerk bovendien een aparte kabel en een aparte routerpoort nodig, wat ook tot hoge overheadkosten leidt.

Door MAC-adressen op elke switch in een virtueel netwerk te groeperen, is het niet meer nodig om ze via meerdere poorten te verbinden, omdat het virtuele netwerklabel dan het MAC-adres is. Deze methode vereist echter veel handmatige MAC-adrestagging op elke switch in het netwerk.

De twee beschreven benaderingen zijn alleen gebaseerd op het toevoegen van informatie aan de brugadrestabellen en bevatten geen informatie over het lidmaatschap van het frame in een virtueel netwerk in het verzonden frame. Andere benaderingen maken gebruik van bestaande of extra velden frame om informatie vast te leggen over de eigendom van het frame terwijl het tussen netwerkswitches beweegt. Bovendien hoeft u niet op elke switch te onthouden welke virtuele netwerken eigenaar zijn van de MAC-adressen van het internetwerk.

Het extra veld gemarkeerd met virtueel netwerknummer wordt alleen gebruikt wanneer het frame van switch naar switch wordt overgedragen, en wanneer het frame wordt overgedragen naar het eindknooppunt, wordt het meestal verwijderd. In dit geval wordt het switch-to-switch-interactieprotocol gewijzigd, terwijl de software en hardware van de eindknooppunten ongewijzigd blijven. Er zijn veel voorbeelden van dergelijke propriëtaire protocollen, maar ze hebben één gemeenschappelijk nadeel: ze worden niet ondersteund door andere fabrikanten. Cisco heeft de 802.10-protocolheader voorgesteld als standaardtoevoeging aan frames van alle lokale netwerkprotocollen, met als doel beveiligingsfuncties te ondersteunen computernetwerken. Het bedrijf maakt zelf gebruik van deze methode in gevallen waarin schakelaars met elkaar zijn verbonden via het FDDI-protocol. Dit initiatief werd echter niet ondersteund door andere toonaangevende schakelaarfabrikanten.

Om het virtuele netwerknummer op te slaan IEEE-standaard 802.1Q heeft een extra header van twee bytes die wordt gebruikt in combinatie met het 802.1p-protocol. Naast de drie bits voor het opslaan van de prioriteitswaarde van het frame, zoals beschreven door de 802.1p-standaard, zijn er 12 bits in deze header om het nummer op te slaan van het virtuele netwerk waartoe het frame behoort. Dit aanvullende informatie Dit wordt een virtuele netwerktag (VLAN TAG) genoemd en maakt het mogelijk dat switches van verschillende fabrikanten tot 4096 gedeelde virtuele netwerken kunnen creëren. Zo'n frame wordt "getagd" genoemd. De lengte van het getagde Ethernet-frame neemt toe met 4 bytes, omdat er naast de twee bytes van de tag zelf nog twee bytes worden toegevoegd. De structuur van een getagd Ethernet-frame wordt weergegeven in Figuur 5. Door het toevoegen van de 802.1p/Q-header wordt het dataveld met twee bytes verkleind.

Figuur 5. Structuur van een gemarkeerd Ethernet-frame.

De opkomst van de 802.1Q-standaard maakte het mogelijk om verschillen in eigen VLAN-implementaties te overwinnen en compatibiliteit te bereiken bij het bouwen van virtuele lokale netwerken. De VLAN-techniek wordt ondersteund door fabrikanten van zowel switches als netwerkadapters. In het laatste geval kan de netwerkadapter gemarkeerde berichten genereren en ontvangen Ethernet-frames, met daarin het VLAN TAG-veld. Als de netwerkadapter gemarkeerde frames genereert, bepaalt hij of ze tot een bepaald virtueel lokaal netwerk behoren, dus de switch moet ze dienovereenkomstig verwerken, dat wil zeggen wel of niet zenden naar de uitgangspoort, afhankelijk van het lidmaatschap van de poort. Het stuurprogramma van de netwerkadapter ontvangt het nummer van zijn (of zijn) virtuele lokale netwerk van de netwerkbeheerder (via handmatige configuratie) of van een applicatie die op dit knooppunt draait. Zo’n applicatie kan centraal op één van de netwerkservers functioneren en de structuur van het gehele netwerk beheren.

Ondersteund door VLAN-netwerk adapters kunnen statische configuratie vermijden door een poort aan een specifiek virtueel netwerk toe te wijzen. Statische VLAN-configuratie blijft echter populair omdat u hiermee een gestructureerd netwerk kunt creëren zonder dat u end-node-software nodig hebt.

Natalya Olifer is columniste voor de Journal of Network Solutions/LAN. Zij is te bereiken op:

Ethernet is een link-layer-apparaat, dus in overeenstemming met zijn werkingslogica zal het broadcastframes via alle poorten verzenden. Hoewel verkeer naar specifieke adressen (point-to-point-verbindingen) wordt geïsoleerd via een paar poorten, worden broadcastframes naar het hele netwerk (per poort) verzonden. Uitgezonden beelden- dit zijn frames die naar alle netwerkknooppunten worden verzonden. Ze zijn noodzakelijk voor het werk van velen netwerkprotocollen zoals ARP, BOOTP of DHCP. Met hun hulp informeert het werkstation andere computers over zijn verschijning op het netwerk. Ook kan het verzenden van broadcastframes optreden als gevolg van een niet goed functionerende netwerkadapter. Broadcastframes kunnen bandbreedte verspillen, vooral op grote netwerken. Om dit te voorkomen is het belangrijk om het gebied van het uitzendverkeer te beperken (dit gebied heet uitgezonden domein) - organiseer klein uitzenddomeinen, of virtuele lokale netwerken (virtueel LAN, VLAN).

Virtueel lokaal netwerk is een logische groep netwerkknooppunten waarvan het verkeer, inclusief broadcastverkeer, op datalinkniveau volledig geïsoleerd is van andere netwerkknooppunten. Dit betekent dat frames niet kunnen worden verzonden tussen verschillende virtuele netwerken op basis van het MAC-adres, ongeacht het type adres: uniek, multicast of broadcast. Tegelijkertijd worden frames binnen een virtueel netwerk verzonden met behulp van schakeltechnologie, dat wil zeggen alleen naar de poort die is gekoppeld aan het bestemmingsadres van het frame. Met behulp van virtuele netwerken kan dus het probleem van de distributie van omroepframes en de gevolgen die deze veroorzaken, die zich kunnen ontwikkelen tot omroepstormen en de verspreiding ervan aanzienlijk worden verminderd, worden opgelost. prestatie netwerken.

VLAN's hebben de volgende voordelen:

flexibiliteit van de implementatie. VLAN's zijn dat wel op een efficiënte manier facties netwerk gebruikers in virtuele werkgroepen, ondanks hun fysieke locatie op het netwerk;
VLAN's bieden controlemogelijkheden uitgezonden berichten, waardoor de beschikbare bandbreedte voor de gebruiker wordt vergroot;
Met VLAN's kunt u de netwerkbeveiliging vergroten door, met behulp van filters die op een switch of router zijn geconfigureerd, het beleid voor interactie tussen gebruikers van verschillende virtuele netwerken te definiëren.

Laten we een voorbeeld bekijken dat de effectiviteit laat zien van het gebruik van logische netwerksegmentatie met behulp van VLAN-technologie bij het oplossen typische taak het organiseren van internettoegang voor kantoormedewerkers. Tegelijkertijd moet het verkeer van elke afdeling worden geïsoleerd.

Laten we aannemen dat het kantoor meerdere kamers heeft, die elk een klein aantal werknemers huisvesten. Elke kamer vertegenwoordigt een aparte werkgroep.

Bij standaard aanpak Om het probleem op te lossen met behulp van fysieke segmentatie van het verkeer van elke afdeling, zou het nodig zijn om in elke kamer een aparte switch te installeren, die verbinding zou maken met een router die internettoegang biedt. In dit geval moet de router over voldoende poorten beschikken om ervoor te zorgen dat ze allemaal kunnen worden aangesloten fysieke segmenten(kamers)netwerken. Deze beslissing slecht schaalbaar en duur, omdat Naarmate het aantal afdelingen toeneemt, neemt ook het aantal benodigde switches, routerinterfaces en backbone-kabels toe.

Naast het hoofddoel - het vergroten van de doorvoer van verbindingen op het netwerk - kunt u met de switch informatiestromen lokaliseren en deze stromen controleren en beheren met behulp van een aangepast filtermechanisme. Een aangepast filter kan echter de verzending van frames alleen naar specifieke adressen voorkomen, terwijl het broadcastverkeer naar alle netwerksegmenten verzendt. Dit is het werkingsprincipe van het bridge-algoritme dat in de switch is geïmplementeerd. Daarom worden netwerken die op basis van bridges en switches zijn gemaakt soms plat genoemd - vanwege de afwezigheid van barrières voor omroepverkeer.

Virtuele netwerken kunnen elkaar overlappen als een of meer computers deel uitmaken van meer dan één virtueel netwerk. In figuur 1 maakt de e-mailserver deel uit van virtuele netwerken 3 en 4 en daarom worden de frames ervan door schakelaars naar alle computers in deze netwerken verzonden. Als een computer alleen aan virtueel netwerk 3 is toegewezen, bereiken de frames netwerk 4 niet, maar kan deze via een gemeenschappelijke mailserver communiceren met computers op netwerk 4. Dit schema isoleert virtuele netwerken niet volledig van elkaar. Een door de e-mailserver geïnitieerde broadcaststorm zal bijvoorbeeld zowel netwerk 3 als netwerk 4 overweldigen.

Van een virtueel netwerk wordt gezegd dat het een broadcast-verkeersdomein vormt, vergelijkbaar met het botsingsdomein dat wordt gevormd door Ethernet-repeaters.

VLAN-TOEWIJZING

Het veranderen van de samenstelling van segmenten (gebruiker verhuist naar een ander netwerk, opsplitsen van grote secties) met deze aanpak impliceerde het fysiek opnieuw aansluiten van connectoren op de frontpanelen van repeaters of in crossover-panelen, wat niet erg handig is in grote netwerken - dit is erg arbeidsintensief. -intensief werk, en de kans op fouten is zeer hoog. Om de noodzaak van fysiek opnieuw schakelen van knooppunten te elimineren, werden daarom concentrators met meerdere segmenten gebruikt, zodat de samenstelling van het gedeelde segment opnieuw kon worden geprogrammeerd zonder fysiek opnieuw te schakelen.

Het veranderen van de samenstelling van segmenten met behulp van hubs legt echter grote beperkingen op aan de netwerkstructuur - het aantal segmenten van zo'n repeater is meestal klein en het is onrealistisch om elk knooppunt zijn eigen knooppunt toe te wijzen, zoals kan worden gedaan met behulp van een switch. Bovendien valt met deze aanpak al het werk van het overbrengen van gegevens tussen segmenten op de routers, en blijven switches met hun hoge prestaties ‘werkloos’. Configuratie-geschakelde, op repeaters gebaseerde netwerken omvatten dus nog steeds het delen van het datatransmissiemedium door een groot aantal knooppunten en hebben daarom veel lagere prestaties vergeleken met op schakelaars gebaseerde netwerken.

Wanneer virtuele netwerktechnologie wordt gebruikt in switches, worden twee problemen tegelijkertijd opgelost:

verhoogde prestaties in elk van de virtuele netwerken, aangezien de switch alleen frames naar het bestemmingsknooppunt verzendt;
Het isoleren van netwerken van elkaar om de toegangsrechten van gebruikers te beheren en beschermende barrières te creëren tegen uitzendstormen.

De integratie van virtuele netwerken in een gemeenschappelijk netwerk vindt plaats op netwerkniveau, waarvan de overgang mogelijk is met behulp van afzonderlijke router- of switchsoftware. Dit laatste wordt in dit geval een gecombineerd apparaat - de zogenaamde schakelaar op het derde niveau.

Vanwege het lange ontbreken van een VLAN-standaard heeft elk groot bedrijf dat switches produceert zijn eigen virtuele netwerktechnologie ontwikkeld, die in de regel niet compatibel is met technologieën van andere fabrikanten. Daarom is het, ondanks de opkomst van een standaard, niet zo zeldzaam om een situatie tegen te komen waarin virtuele netwerken die zijn gecreëerd op basis van switches van de ene leverancier niet worden herkend en dienovereenkomstig niet worden ondersteund door switches van een andere.

CREËER EEN VLAN OP BASIS VAN ÉÉN SWITCH

Het groeperen van de poorten van één switch is de meest logische manier om een VLAN te vormen, aangezien er in dit geval niet meer virtuele netwerken kunnen zijn dan poorten. Als een repeater op een bepaalde poort is aangesloten, heeft het geen zin om de knooppunten van het overeenkomstige segment in verschillende virtuele netwerken op te nemen - hun verkeer zal nog steeds gebruikelijk zijn.

MAAK EEN VLAN GEBASEERD OP VERSCHILLENDE SCHAKELAARS

De twee beschreven benaderingen zijn alleen gebaseerd op het toevoegen van informatie aan de brugadrestabellen en bevatten geen informatie over het lidmaatschap van het frame in een virtueel netwerk in het verzonden frame. Andere benaderingen gebruiken bestaande of extra framevelden om informatie over frame-eigendom vast te leggen terwijl deze tussen netwerkswitches beweegt. Bovendien hoeft u niet op elke switch te onthouden welke virtuele netwerken eigenaar zijn van de MAC-adressen van het internetwerk.

Het extra veld gemarkeerd met virtueel netwerknummer wordt alleen gebruikt wanneer het frame van switch naar switch wordt overgedragen, en wanneer het frame wordt overgedragen naar het eindknooppunt, wordt het meestal verwijderd. In dit geval wordt het switch-to-switch-interactieprotocol gewijzigd, terwijl de software en hardware van de eindknooppunten ongewijzigd blijven. Er zijn veel voorbeelden van dergelijke propriëtaire protocollen, maar ze hebben één gemeenschappelijk nadeel: ze worden niet ondersteund door andere fabrikanten. Cisco heeft de 802.10-protocolheader voorgesteld als standaardtoevoeging aan de frames van alle lokale netwerkprotocollen, met als doel de beveiligingsfuncties van computernetwerken te ondersteunen. Het bedrijf maakt zelf gebruik van deze methode in gevallen waarin schakelaars met elkaar zijn verbonden via het FDDI-protocol. Dit initiatief werd echter niet ondersteund door andere toonaangevende schakelaarfabrikanten.

Om het virtuele netwerknummer op te slaan, biedt de IEEE 802.1Q-standaard een extra header van twee bytes, die wordt gebruikt in combinatie met het 802.1p-protocol. Naast de drie bits voor het opslaan van de prioriteitswaarde van het frame, zoals beschreven door de 802.1p-standaard, zijn er 12 bits in deze header om het nummer op te slaan van het virtuele netwerk waartoe het frame behoort. Deze aanvullende informatie wordt een virtuele netwerktag (VLAN TAG) genoemd en stelt switches van verschillende fabrikanten in staat om maximaal 4096 gedeelde virtuele netwerken te creëren. Zo'n frame wordt "getagd" genoemd. De lengte van het getagde Ethernet-frame neemt toe met 4 bytes, omdat er naast de twee bytes van de tag zelf nog twee bytes worden toegevoegd. De structuur van een getagd Ethernet-frame wordt weergegeven in Figuur 5. Door het toevoegen van de 802.1p/Q-header wordt het dataveld met twee bytes verkleind.

Figuur 5. Structuur van een gemarkeerd Ethernet-frame.

De opkomst van de 802.1Q-standaard maakte het mogelijk om verschillen in eigen VLAN-implementaties te overwinnen en compatibiliteit te bereiken bij het bouwen van virtuele lokale netwerken. De VLAN-techniek wordt ondersteund door fabrikanten van zowel switches als netwerkadapters. In het laatste geval kan de netwerkadapter getagde Ethernet-frames genereren en ontvangen die een VLAN TAG-veld bevatten. Als de netwerkadapter gemarkeerde frames genereert, bepaalt hij of ze tot een bepaald virtueel lokaal netwerk behoren, dus de switch moet ze dienovereenkomstig verwerken, dat wil zeggen wel of niet zenden naar de uitgangspoort, afhankelijk van het lidmaatschap van de poort. Het stuurprogramma van de netwerkadapter ontvangt het nummer van zijn (of zijn) virtuele lokale netwerk van de netwerkbeheerder (via handmatige configuratie) of van een applicatie die op dit knooppunt draait. Zo’n applicatie kan centraal op één van de netwerkservers functioneren en de structuur van het gehele netwerk beheren.

VLAN ondersteund netwerkadapters U kunt statische configuratie vermijden door een poort toe te wijzen aan een specifiek virtueel netwerk. Statische VLAN-configuratie blijft echter populair omdat u hiermee een gestructureerd netwerk kunt creëren zonder dat u end-node-software nodig hebt.

Natalya Olifer is columniste voor de Journal of Network Solutions/LAN. Zij is te bereiken op: