Mga virtual na lokal na network. Paglikha ng vlan batay sa isang switch. Layunin ng mga virtual network

Ang virtual local area network (VLAN) ay isang pangkat ng mga network node na ang trapiko, kabilang ang broadcast traffic, ay ganap na nakahiwalay sa antas ng link mula sa trapiko ng iba pang mga network node.

kanin. 14.10. Virtual mga lokal na network.

Nangangahulugan ito na ang mga frame ay inililipat sa pagitan ng iba't ibang virtual network batay sa address layer ng link ay hindi posible anuman ang uri ng address (natatangi, multicast o broadcast). Kasabay nito, sa loob ng virtual network, ang mga frame ay ipinapadala gamit ang teknolohiya ng paglipat, pagkatapos lamang sa port na nauugnay sa patutunguhang address ng frame.

Maaaring mag-overlap ang mga VLAN kung ang isa o higit pang mga computer ay bahagi ng higit sa isang VLAN. Sa Fig. 14.10 ang email server ay bahagi ng mga virtual na network 3 at 4. Nangangahulugan ito na ang mga frame nito ay ipinapadala sa pamamagitan ng mga switch sa lahat ng mga computer na kasama sa mga network na ito. Kung ang isang computer ay bahagi lamang ng virtual network 3, ang mga frame nito ay hindi makakarating sa network 4, ngunit maaari itong makipag-ugnayan sa mga computer sa network 4 sa pamamagitan ng isang karaniwang mail server. Hindi ganap na pinoprotektahan ng scheme na ito ang mga virtual network mula sa isa't isa, halimbawa, isang broadcast storm na nangyayari sa server email, ay babahain ang network 3 at network 4.

Ang isang virtual network ay sinasabing bumubuo ng isang broadcast traffic domain, katulad ng collision domain na nabuo ng Ethernet repeater.

Layunin ng mga virtual network

Tulad ng nakita namin sa halimbawa mula sa nakaraang seksyon, gamit ang mga custom na filter maaari kang makagambala sa normal na operasyon ng mga switch at limitahan ang pakikipag-ugnayan ng mga lokal na node ng network alinsunod sa mga kinakailangang panuntunan sa pag-access. Gayunpaman, ang mekanismo ng custom na switch filter ay may ilang mga disadvantages:

Kinakailangang magtakda ng hiwalay na mga kondisyon para sa bawat network node, gamit ang masalimuot na MAC address. Mas magiging mas madali ang pagpapangkat ng mga node at ilarawan ang mga kondisyon ng pakikipag-ugnayan para sa mga grupo nang sabay-sabay.

Hindi ma-block trapiko sa broadcast.

Ang trapiko ng broadcast ay maaaring magdulot ng hindi available na network kung ang isa sa mga node nito ay sinasadya o hindi sinasadya na bumubuo ng mga broadcast frame na may matinding intensity.

Pangunahing layunin Mga teknolohiya ng VLAN ay upang mapadali ang proseso ng paglikha ng mga nakahiwalay na network, na kadalasang konektado sa isa't isa gamit ang mga router. Ang disenyo ng network na ito ay lumilikha ng makapangyarihang mga hadlang sa hindi gustong trapiko mula sa isang network patungo sa isa pa. Ngayon ay itinuturing na halata na ang anumang malaking network ay dapat magsama ng mga router, kung hindi, ang mga stream ng maling mga frame, tulad ng mga broadcast, ay pana-panahong "baha" sa buong network sa pamamagitan ng mga switch na transparent sa kanila, na ginagawa itong hindi gumagana.

Ang bentahe ng teknolohiya ng virtual network ay pinapayagan ka nitong lumikha ng ganap na nakahiwalay na mga segment ng network sa pamamagitan ng lohikal na pagsasaayos ng mga switch, nang hindi binabago ang pisikal na istraktura.

Bago ang pagdating ng teknolohiya ng VLAN upang lumikha hiwalay na network alinman sa pisikal na nakahiwalay na mga segment ang ginamit coaxial cable, o mga hindi konektadong segment na binuo sa mga repeater at bridge. Ang mga network na ito ay ikinonekta ng mga router sa iisang composite network (Fig. 14.11).

Ang pagbabago ng komposisyon ng mga segment (gumagalaw ang user sa ibang network, naghahati ng malalaking segment) gamit ang diskarteng ito ay nagpapahiwatig ng pisikal na muling pagkonekta ng mga konektor sa mga front panel ng repeater o sa mga cross-connect na panel, na hindi masyadong maginhawa sa malalaking network- maraming pisikal na trabaho, at may mataas na posibilidad ng pagkakamali.

kanin. 14.11. Composite network na binubuo ng mga network na binuo batay sa mga repeater

Ang pag-uugnay ng mga virtual network sa isang karaniwang network ay nangangailangan ng paglahok ng mga tool sa antas ng network. Maaari itong ipatupad sa isang hiwalay na router o bilang bahagi ng software switch, na pagkatapos ay nagiging isang pinagsamang aparato - ang tinatawag na layer 3 switch.

Virtual network na teknolohiya sa mahabang panahon ay hindi na-standardize, bagama't ipinatupad ito sa napakalawak na hanay ng mga modelo ng switch iba't ibang mga tagagawa. Nagbago ang sitwasyon sa pag-ampon ng pamantayang IEEE 802.1Q noong 1998, na tumutukoy pangunahing tuntunin pagbuo ng mga virtual na lokal na network na independiyente sa link-level protocol na sinusuportahan ng switch.

Paglikha ng mga virtual network batay sa isang switch

Kapag lumilikha ng mga virtual network batay sa isang solong switch, ang mekanismo ng pagpapangkat ng switch port ay karaniwang ginagamit (Larawan 14.12). Sa kasong ito, ang bawat port ay itinalaga sa isa o isa pang virtual network. Ang isang frame na nagmumula sa isang port na kabilang sa, halimbawa, ang virtual network 1 ay hindi kailanman ipapadala sa isang port na hindi kabilang sa virtual network na ito. Ang isang port ay maaaring italaga sa ilang mga virtual na network, bagaman sa pagsasagawa ito ay bihirang gawin - ang epekto ng kumpletong paghihiwalay ng mga network ay nawawala.

Ang paglikha ng mga virtual network sa pamamagitan ng pagpapangkat ng mga port ay hindi nangangailangan ng maraming trabaho mula sa administrator gawa ng sarili- sapat na upang italaga ang bawat port sa isa sa ilang mga pre-named virtual network. Karaniwan ang operasyong ito ay ginagawa gamit ang isang espesyal na programa na ibinigay kasama ng switch.

Ang pangalawang paraan ng paglikha ng mga virtual network ay batay sa pagpapangkat ng mga MAC address. Ang bawat MAC address na natutunan ng switch ay itinalaga sa isang partikular na virtual network. Kung mayroong maraming mga node sa network, ang pamamaraang ito ay nangangailangan ng isang malaking halaga ng manu-manong trabaho mula sa administrator. Gayunpaman, kapag nagtatayo ng mga virtual network batay sa maraming switch, lumalabas na mas flexible ito kaysa sa pagpapangkat ng port.

kanin. 14.12. Mga virtual na network binuo sa isang switch

Paglikha ng mga virtual network batay sa maraming switch

Ang Figure 14.13 ay naglalarawan ng problema na lumitaw kapag lumilikha ng mga virtual network batay sa maraming switch na sumusuporta sa mga diskarte sa port trunking.

kanin. 14.13. Pagbuo ng mga virtual network sa ilang switch na may port grouping

Kung ang mga node ng isang virtual network ay konektado sa iba't ibang mga switch, kung gayon ang isang espesyal na pares ng mga port ay dapat na ilaan sa mga switch upang ikonekta ang bawat naturang network. Kaya, ang mga port trunking switch ay nangangailangan ng maraming port para sa kanilang koneksyon bilang ang bilang ng mga virtual network na sinusuportahan nila. Ang mga port at cable ay ginagamit nang napakasayang sa kasong ito. Bilang karagdagan, kapag kumokonekta sa mga virtual network sa pamamagitan ng isang router, isang hiwalay na cable at isang hiwalay na port ng router ay inilalaan para sa bawat virtual network, na humahantong din sa mataas na mga gastos sa overhead.

Ang pag-grupo ng mga MAC address sa isang virtual na network sa bawat switch ay nag-aalis ng pangangailangan na iugnay ang mga ito sa maraming port, dahil ang MAC address ay nagiging virtual network label. Gayunpaman, ang pamamaraang ito ay nangangailangan malaking dami manu-manong operasyon para sa pagmamarka ng mga MAC address sa bawat switch ng network.

Ang inilarawan na dalawang diskarte ay batay lamang sa pagdaragdag ng karagdagang impormasyon sa mga talahanayan ng address ng switch at walang kakayahang mag-embed ng impormasyon tungkol sa pag-aari ng virtual network frame sa ipinadalang frame. Sa iba pang mga diskarte, ang mga umiiral o karagdagang mga patlang ng frame ay ginagamit upang mag-save ng impormasyon tungkol sa pagiging miyembro ng frame sa isang partikular na virtual na lokal na network kapag ito ay gumagalaw sa pagitan ng mga switch ng network. Sa kasong ito, hindi na kailangang tandaan sa bawat switch na ang lahat ng MAC address ng composite network ay nabibilang sa mga virtual network.

Ang Ethernet ay nagpapakilala ng karagdagang header na tinatawag na VLAN tag.

Ang VLAN tag ay opsyonal para sa mga Ethernet frame. Ang isang frame na may ganoong header ay tinatawag na naka-tag na frame. Maaaring hawakan ng mga switch ang parehong naka-tag at hindi naka-tag na mga frame nang sabay-sabay. Dahil sa pagdaragdag ng VLAN tag maximum na haba nabawasan ng 4 byte ang mga field ng data.

Upang makilala at maunawaan ng mga kagamitan ng lokal na network ang mga naka-tag na frame, isang espesyal na halaga ng field ng EtherType na 0x8100 ang ipinakilala para sa kanila. Isinasaad ng value na ito na sinusundan ito ng isang TCI field sa halip na isang standard na field ng data. Tandaan na sa isang naka-tag na frame, ang mga field ng tag ng VLAN ay sinusundan ng isa pang field ng EtherType na nagsasaad ng uri ng protocol na ang data ay dinadala ng field ng data ng frame.

Ang field ng TCI ay naglalaman ng isang 12-bit na VLAN number (identifier) na field na tinatawag na VID. Ang lapad ng field ng VID ay nagbibigay-daan sa mga switch na lumikha ng hanggang 4096 na virtual network.

Gamit ang halaga ng VID sa mga naka-tag na frame, ang mga switch ng network ay nagsasagawa ng group filtering ng trapiko, na naghahati sa network sa mga virtual na segment, iyon ay, sa mga VLAN. Upang suportahan ang mode na ito, ang bawat switch port ay itinalaga sa isa o higit pang mga virtual na lokal na network, iyon ay, ginagawa ang pagpapangkat ng port.

Upang gawing simple ang configuration ng network, ipinakilala ng 802.1Q standard ang mga konsepto ng access line at trunk.

Ang isang access line ay nagkokonekta ng switch port (tinatawag na access port sa kasong ito) sa isang computer na kabilang sa isang virtual na lokal na network.

Ang trunk ay isang linya ng komunikasyon na nag-uugnay sa mga port ng dalawang switch sa pangkalahatan, ang trapiko mula sa ilang mga virtual na network ay ipinapadala sa pamamagitan ng isang trunk.

Upang lumikha ng isang virtual na lokal na network sa pinagmulang network, kailangan mo munang pumili para dito ng isang VID na halaga maliban sa 1, at pagkatapos, gamit ang switch configuration command, italaga sa network na ito ang mga port kung saan ang mga computer na kasama dito ay konektado. . Ang isang access port ay maaari lamang italaga sa isang VLAN.

Ang mga access port ay tumatanggap ng mga hindi naka-tag na frame mula sa mga end host at i-tag ang mga ito ng VLAN tag na naglalaman ng VID value na nakatalaga sa port na iyon. Kapag nagpapadala ng mga naka-tag na frame sa dulong node, inaalis ng access port ang VLAN tag.

Para sa higit pa visual na paglalarawan Bumalik tayo sa halimbawa ng network na tinalakay kanina. Fig. Ipinapakita ng Figure 14.15 kung paano nalutas ang problema ng selective access sa mga server batay sa pamamaraan ng VLAN.

kanin. 14.15. Paghahati sa network sa dalawang virtual na lokal na network

Upang malutas ang problemang ito, maaari naming ayusin ang dalawang virtual na lokal na network ng lugar sa network, VLAN2 at VLAN3 (tandaan na ang VLAN1 ay umiiral na bilang default - ito ang aming orihinal na network), na nagtatalaga ng isang set ng mga computer at server sa VLAN2, at ang isa sa KVLAN3.

Upang magtalaga ng mga end node sa isang partikular na VLAN, ang mga kaukulang port ay idineklara bilang mga access port ng network na iyon sa pamamagitan ng pagtatalaga sa kanila ng naaangkop na VID. Halimbawa, ang port 1 ng SW1 ay dapat ideklara bilang isang access port ng VLAN2 sa pamamagitan ng pagtatalaga dito ng VID2, ang parehong dapat gawin sa port 5 ng SW1, port 1 ng SW2, at port 1 ng SW3. I-access ang mga port Mga VLAN 3 ay dapat makatanggap ng VID3.

Sa iyong network, kailangan mo ring ayusin ang mga trunks - ang mga linya ng komunikasyon na kumokonekta ay lumipat ng mga port sa isa't isa. Ang mga port na konektado sa trunks ay hindi nagdaragdag o nag-aalis ng mga tag, nagpapadala lamang sila ng mga frame na hindi nagbabago. Sa aming halimbawa, ang mga naturang port ay dapat na mga port 6 ng mga switch SW1 at SW2, pati na rin ang mga port 3 at 4 ng switch ng ShchZ. Ang mga port sa aming halimbawa ay dapat na sumusuporta sa VLAN2 at VLAN3 (at VLAN1, kung may mga node sa network na hindi tahasang nakatalaga sa anumang VLAN).

Ang mga switch na sumusuporta sa teknolohiya ng VLAN ay nagbibigay ng karagdagang pagsala ng trapiko. Kung sinasabi ng forwarding table ng switch na ang papasok na frame ay kailangang ipadala sa isang partikular na port, bago i-transmit, susuriin ng switch kung ang halaga ng VTD sa VL AN na tag ng frame ay tumutugma sa virtual na lokal na network na nakatalaga sa port na ito. Kung mayroong isang tugma, ang frame ay ipinadala, kung hindi ito tumutugma, ito ay itinapon. Ang mga hindi naka-tag na frame ay pinoproseso sa parehong paraan, ngunit gamit ang conditional na VLAN1. Ang mga MAC address ay natutunan ng mga switch ng network nang hiwalay, ngunit para sa bawat VLAN.

Ang pamamaraan ng VLAN ay lumalabas na napaka-epektibo para sa paglilimita ng pag-access sa mga server. Ang pag-configure ng isang virtual na lokal na network ay hindi nangangailangan ng kaalaman sa mga MAC address ng mga node bilang karagdagan, ang anumang pagbabago sa network, halimbawa sa pagkonekta sa isang computer sa isa pang switch, ay nangangailangan ng pag-configure lamang ng port ng switch na ito, at lahat ng iba pang mga switch sa switch; patuloy na gumagana ang network nang hindi gumagawa ng mga pagbabago sa kanilang configuration.

6.1 Panimula. Virtual LAN na teknolohiya

Ang virtual network ay isang grupo ng mga network node na ang trapiko, kabilang ang broadcast traffic, ay ganap na nakahiwalay sa antas ng link ng data mula sa ibang mga network node (Larawan 4.39). Nangangahulugan ito na hindi maipapadala ang mga frame sa pagitan ng iba't ibang virtual network batay sa isang link-layer na address, anuman ang uri ng address - natatangi, multicast, o broadcast. Kasabay nito, sa loob ng isang virtual network, ang mga frame ay ipinapadala gamit ang teknolohiya ng paglipat, iyon ay, sa port lamang na nauugnay sa patutunguhang address ng frame. Maaaring mag-overlap ang mga virtual network kung ang isa o higit pang mga computer ay bahagi ng higit sa isang virtual network. Sa Fig. 4.39 Ang email server ay bahagi ng virtual network 3 at 4. Nangangahulugan ito na ang mga frame nito ay ipinapadala sa pamamagitan ng mga switch sa lahat ng mga computer na kasama sa mga network na ito. Kung ang isang computer ay bahagi lamang ng virtual network 3, ang mga frame nito ay hindi makakarating sa network 4, ngunit maaari itong makipag-ugnayan sa mga computer sa network 4 sa pamamagitan ng isang karaniwang mail server. Hindi ganap na pinoprotektahan ng scheme na ito ang mga virtual na network mula sa isa't isa - halimbawa, ang isang broadcast storm na nangyayari sa email server ay mananaig sa network 3 at network 4.

kanin. 4.39. Mga virtual na network

Sinasabi nila na ang isang virtual network ay bumubuo broadcast na domain ng trapiko (broadcast domain), sa pamamagitan ng pagkakatulad sa collision domain na nabuo ng Ethernet repeater.

Ang layunin ng teknolohiya ng virtual network ay upang mapadali ang paglikha ng mga nakahiwalay na network, na dapat pagkatapos ay konektado gamit ang mga router na nagpapatupad ng ilang uri ng network layer protocol, tulad ng IP. Ang disenyo ng network na ito ay lumilikha ng mas malakas na mga hadlang sa maling trapiko mula sa isang network patungo sa isa pa. Sa ngayon, pinaniniwalaan na ang anumang malaking network ay dapat magsama ng mga router, kung hindi, ang mga stream ng maling mga frame, tulad ng mga broadcast, ay pana-panahong magbabaha sa buong network sa pamamagitan ng mga switch na transparent sa kanila, na ginagawa itong hindi gumagana.

Ang teknolohiya ng virtual network ay lumilikha ng isang nababaluktot na batayan para sa pagbuo ng isang malaking network na konektado ng mga router, dahil ang mga switch ay nagbibigay-daan sa iyo na lumikha ng ganap na nakahiwalay na mga segment sa pamamagitan ng programming nang hindi gumagamit ng pisikal na paglipat.

Bago ang pagdating ng teknolohiya ng VLAN, alinman sa pisikal na nakahiwalay na mga segment ng coaxial cable o hindi nakakonektang mga segment na binuo sa mga repeater at tulay ay ginamit upang lumikha ng isang hiwalay na network. Ang mga network na ito ay ikinonekta ng mga router sa iisang composite network (Figure).

kanin. Isang internetwork na binubuo ng mga network na binuo batay sa mga repeater

Ang pagpapalit ng komposisyon ng mga segment (gumagalaw ang user sa ibang network, paghahati ng malalaking segment) gamit ang diskarteng ito ay nagpapahiwatig ng pisikal na muling pagkonekta ng mga konektor sa mga front panel ng repeater o sa mga cross-connect na panel, na hindi masyadong maginhawa sa malalaking network - marami. pisikal na gawain Bukod dito, may mataas na posibilidad ng pagkakamali.

Samakatuwid, upang maalis ang pangangailangan para sa pisikal na muling paglipat ng mga node, ang mga multi-segment concentrator, na tinalakay sa seksyon 4.2.2, ay nagsimulang gamitin. Naging posible na i-program ang komposisyon ng isang nakabahaging segment nang walang pisikal na muling pagkonekta.

Gayunpaman, ang paglutas ng problema sa pagbabago ng komposisyon ng mga segment gamit ang mga hub ay nagpapataw ng mahusay na mga paghihigpit sa istraktura ng network - ang bilang ng mga segment ng naturang repeater ay kadalasang maliit, kaya ang pagtatalaga sa bawat node ng sarili nitong segment, tulad ng maaaring gawin gamit ang isang switch, ay hindi makatotohanan. Bilang karagdagan, sa diskarteng ito, ang lahat ng gawain ng paglilipat ng data sa pagitan ng mga segment ay nahuhulog sa mga router, at lumipat sa kanilang sariling mataas na pagganap manatiling walang trabaho. Samakatuwid, ang mga network na binuo batay sa configuration switched repeater ay nakabatay pa rin sa paghahati ng daluyan ng paghahatid ng data sa pagitan isang malaking bilang node, at samakatuwid ay may mas mababang pagganap kumpara sa mga network na binuo sa mga switch.

Kapag gumagamit ng teknolohiya ng virtual network sa mga switch, dalawang gawain ang sabay na malulutas:

· nadagdagan ang pagganap sa bawat isa sa mga virtual network, dahil ang switch ay nagpapadala ng mga frame sa naturang network lamang sa destination node;

· paghihiwalay ng mga network sa isa't isa upang pamahalaan ang mga karapatan sa pag-access ng gumagamit at lumikha ng mga proteksiyon na hadlang laban sa mga bagyo sa pagsasahimpapawid.

Upang ikonekta ang mga virtual network sa nakabahaging network nangangailangan ng paglahok ng layer ng network. Maaari itong ipatupad sa isang hiwalay na router, o maaari rin itong gumana bilang bahagi ng switch software, na pagkatapos ay nagiging isang pinagsamang aparato - ang tinatawag na layer 3 switch. Ang mga switch ng layer 3 ay tinalakay sa Kabanata 5.

Ang teknolohiya para sa paglikha at pagpapatakbo ng mga virtual network gamit ang mga switch ay hindi pa na-standardize sa loob ng mahabang panahon, bagama't ito ay ipinatupad sa isang napakalawak na hanay ng mga modelo ng switch mula sa iba't ibang mga tagagawa. Nagbago ang sitwasyong ito nang pinagtibay ang pamantayang IEEE 802.1Q noong 1998, na tumutukoy sa mga pangunahing patakaran para sa pagbuo ng mga virtual na lokal na network ng lugar, na independiyente sa protocol ng link layer na sinusuportahan ng switch.

Dahil sa mahabang kawalan ng pamantayan para sa VLAN, bawat isa pangunahing tagagawa ang mga switch ay nakabuo ng sarili nitong teknolohiya ng virtual network, na, bilang panuntunan, ay hindi tugma sa mga teknolohiya mula sa iba pang mga tagagawa. Samakatuwid, sa kabila ng paglitaw ng isang pamantayan, hindi karaniwan na makatagpo ng isang sitwasyon kung saan ang mga virtual network na nilikha sa mga switch mula sa isang tagagawa ay hindi kinikilala at, nang naaayon, ay hindi suportado ng mga switch mula sa isa pang tagagawa.

Kapag lumilikha ng mga virtual network batay sa iisang switch, karaniwang ginagamit ang isang mekanismo para sa pagpapangkat ng mga switch port sa isang network (Larawan 4.41). Sa kasong ito, ang bawat port ay itinalaga sa isa o isa pang virtual network. Ang isang frame na nagmumula sa isang port na kabilang sa, halimbawa, ang virtual network 1 ay hindi kailanman ipapadala sa isang port na hindi kabilang sa virtual network na ito. Ang isang port ay maaaring italaga sa ilang mga virtual na network, bagaman sa pagsasagawa ito ay bihirang gawin - ang epekto ng kumpletong paghihiwalay ng mga network ay nawawala.

kanin. 4.41. Mga virtual network na binuo sa iisang switch

Ang pagpapangkat ng mga port para sa isang switch ay ang pinakalohikal na paraan upang bumuo ng isang VLAN, dahil ang mga virtual network na binuo batay sa isang switch ay hindi maaaring magkaroon ng higit sa mga port. Kung ang isang segment na binuo sa isang repeater ay konektado sa isang port, kung gayon walang saysay na isama ang mga node ng naturang segment sa iba't ibang virtual network - ang trapiko ng mga node na ito ay magiging karaniwan pa rin.

Ang paglikha ng mga virtual network batay sa pagpapangkat ng port ay hindi nangangailangan ng isang malaking halaga ng manu-manong trabaho mula sa administrator - sapat na upang italaga ang bawat port sa isa sa ilang mga pre-named virtual network. Karaniwan ang operasyong ito ay isinasagawa gamit ang espesyal na programa may kasamang switch. Lumilikha ang administrator ng mga virtual network sa pamamagitan ng pag-drag sa mga simbolo ng port graphic papunta sa mga graphic na simbolo mga network.

6.2 Organisasyon ng mga virtual na lokal na network

Mga virtual na network idinisenyo upang ipatupad ang segmentasyon ng network sa mga switch. Kaya, ang paglikha ng mga virtual na lokal na network ( Virtual Lokal Mga Area Network – VLAN), na kumakatawan sa isang lohikal na samahan ng mga grupo ng mga istasyon ng network (Larawan 16.1), ay isa sa mga pangunahing paraan ng pagprotekta ng impormasyon sa mga network sa mga switch.

kanin. 16.1. Mga VLAN

Karaniwan ang mga VLAN ay nakagrupo ayon sa functional na mga tampok trabaho, anuman ang pisikal na lokasyon ng mga user. Ang pagpapalitan ng data ay nangyayari lamang sa pagitan ng mga device na matatagpuan sa parehong VLAN. Ang pagpapalitan ng data sa pagitan ng iba't ibang VLAN ay isinasagawa lamang sa pamamagitan ng mga router.

Ang isang workstation sa isang virtual network, tulad ng Host-1 sa VLAN1 (Figure 16.1), ay limitado sa pakikipag-ugnayan sa isang server sa parehong VLAN1. Ang mga virtual network ay lohikal na i-segment ang buong network sa mga broadcast domain upang ang mga packet ay inililipat lamang sa pagitan ng mga port na nakatalaga sa parehong VLAN (nakatalaga sa parehong VLAN). Ang bawat VLAN ay binubuo ng mga node na pinagsama ng isang broadcast domain na nabuo ng mga switch port na nakatalaga sa virtual network.

Dahil ang bawat virtual network ay kumakatawan sa isang broadcast domain, ang mga router sa VLAN topology (Figure 16.1) ay nagbibigay ng broadcast filtering, seguridad, pamamahala ng trapiko, at inter-VLAN na komunikasyon. Ang mga switch ay hindi nagbibigay ng inter-VLAN na trapiko dahil nilalabag nito ang integridad ng VLAN broadcast domain. Trapiko sa pagitan ng mga VLAN ibinigay sa pamamagitan ng pagruruta, i.e. Ang komunikasyon sa pagitan ng mga host ng iba't ibang virtual network ay nangyayari lamang sa pamamagitan ng isang router.

Para sa normal na paggana ng mga virtual network, kinakailangang i-configure ang lahat ng virtual na lokal na network sa switch at italaga ang mga switch port sa kaukulang VLAN. Kung ang isang frame ay dapat dumaan sa isang switch at ang patutunguhang MAC address ay kilala, pagkatapos ay ang switch ay nagpapasa lamang ng frame sa naaangkop na output port. Kung ang MAC address ay hindi kilala, ang broadcast transmission ay nangyayari sa lahat ng port ng broadcast domain, ibig sabihin, sa loob ng VLAN, maliban sa source port kung saan natanggap ang frame. Binabawasan ng mga broadcast ang seguridad ng impormasyon.

Pamamahala ng virtual na network Ang VLAN ay ipinatupad sa pamamagitan ng unang network na VLAN1 at bumababa sa pamamahala ng mga switch port. Ang VLAN1 network ay pinangalanan default na network (default na VLAN). Sa pamamagitan ng kahit man lang, ang isang port ay dapat nasa VLAN 1 upang pamahalaan ang switch. Ang lahat ng iba pang mga port sa switch ay maaaring italaga sa iba pang mga VLAN. kasi impormasyong ito alam ng lahat, sinusubukan ng mga hacker na atakehin muna ang network na ito. Samakatuwid, sa pagsasagawa, binabago ng mga administrator ang default na numero ng network sa, halimbawa, VLAN 101.

Kapag na-configure, ang bawat virtual network ay dapat magtalaga ng network o subnet IP address na may naaangkop na mask upang ang mga virtual network ay maaaring makipag-usap sa isa't isa. Halimbawa, ang VLAN1 (Fig. 16.1) ay maaaring may address na 192.168.10.0/24, VLAN2 – ang address na 192.168.20.0/24, VLAN3 – ang address na 192.168.30.0/24. Ang bawat host ay dapat bigyan ng IP address mula sa hanay ng address ng kaukulang virtual network, halimbawa, host-1 – address 192.168.10.1, host-2 – address 192.168.20.1, host-3 – address 192.168.20.2, host- 7 – address 192.168.20.3, host-10 – address 192.168.30.4.

Ang mga VLAN ID (VLAN1, VLAN2, VLAN3, atbp.) ay maaaring italaga mula sa normal na hanay ng 1-1005, kung saan ang mga numerong 1002 - 1005 ay nakalaan para sa mga teknolohiyang VLAN Token Ring at FDDI. Mayroon ding pinalawig na hanay ng ID na 1006-4094. Gayunpaman, para sa kadalian ng pamamahala, inirerekumenda na ang mga VLAN ay limitado sa 255 at ang mga network ay hindi palawigin sa Layer 2 ng switch.

Kaya, ang VLAN ay isang broadcast domain na nilikha ng isa o higit pang switch. Sa Fig. 16.2 tatlong virtual VLAN ang nilikha ng isang router at tatlong switch. Mayroong tatlong magkahiwalay na domain ng broadcast (VLAN 1, VLAN 2, VLAN 3). Pinamamahalaan ng router ang trapiko sa pagitan ng mga VLAN gamit ang Layer 3 na pagruruta.

kanin. 16.2. Tatlong virtual na VLAN

Kung workstation Gusto ng VLAN 1 na magpadala ng frame sa isang workstation sa parehong VLAN 1, ang destination address ng frame ay ang MAC address ng patutunguhang workstation. Kung ang isang workstation sa VLAN 1 ay gustong mag-forward ng isang frame sa isang workstation sa VLAN 2, ang mga frame ay ipapadala sa MAC address ng F0/0 interface ng router. Iyon ay, ang pagruruta ay isinasagawa sa pamamagitan ng IP address ng F0/0 interface ng VLAN 1 virtual network router.

Upang maisagawa ang mga function nito sa mga virtual na network, dapat mapanatili ng switch ang switching (forwarding) table para sa bawat VLAN. Upang mag-forward ng mga frame, ang address table ay hinahanap lamang sa VLAN na ito. Kung ang pinagmulang address ay hindi pa alam dati, pagkatapos kapag ang frame ay natanggap, ang switch ay nagdaragdag ng address na ito sa talahanayan.

Kapag nagtatayo ng isang network sa ilang mga switch, kinakailangan na pumili karagdagang mga port upang pagsamahin ang mga port ng iba't ibang switch na nakatalaga sa mga virtual network na may parehong pangalan (Larawan 16.3). Ang mga karagdagang pares ng mga port sa dalawang switch ay dapat ilaan hangga't ang mga VLAN ay nilikha.

kanin. 16.3. Pinagsasama ang mga virtual na network ng dalawang switch

Dahil ang mga data frame ay maaaring matanggap sa pamamagitan ng isang switch mula sa anumang device na naka-attach sa anumang virtual network, kapag ang data ay nagpapalitan sa pagitan ng mga switch, ang frame header ay natatanging frame identifier – tag virtual network, na tumutukoy sa VLAN ng bawat packet. IEEE 802.1Q na pamantayan nagbibigay para sa pagpapakilala mga patlang ng label sa frame header na naglalaman ng dalawang byte (Talahanayan 16.1).

Bilang karagdagan sa pangunahing layunin nito - pagtaas bandwidth mga koneksyon sa network - pinahihintulutan ka ng switch na i-localize ang mga daloy ng impormasyon, pati na rin kontrolin at pamahalaan ang mga daloy na ito gamit ang isang custom na mekanismo ng filter. Gayunpaman, maaaring pigilan ng isang custom na filter ang pagpapadala ng mga frame sa mga partikular na address lamang, habang nagpapadala ito ng trapiko ng broadcast sa lahat ng mga segment ng network. Ito ang prinsipyo ng pagpapatakbo ng algorithm ng tulay na ipinatupad sa switch, kung kaya't ang mga network na nilikha batay sa mga tulay at switch ay tinatawag na flat - dahil sa kawalan ng mga hadlang sa trapiko sa broadcast.

Ang teknolohiya ng mga virtual na lokal na network (Virtual LAN, VLAN), na lumitaw ilang taon na ang nakalilipas, ay nagpapahintulot sa isa na malampasan ang limitasyong ito. Ang virtual network ay isang grupo ng mga network node na ang trapiko, kabilang ang broadcast traffic, ay ganap na nakahiwalay sa iba pang mga node sa antas ng data link (tingnan ang Figure 1). Nangangahulugan ito na ang direktang pagpapadala ng mga frame sa pagitan ng iba't ibang virtual network ay imposible, anuman ang uri ng address - natatangi, multicast o broadcast. Kasabay nito, sa loob ng isang virtual network, ang mga frame ay ipinapadala alinsunod sa teknolohiya ng paglipat, ibig sabihin, sa port lamang kung saan itinalaga ang patutunguhang address ng frame.

Maaaring mag-overlap ang mga virtual network kung isa o higit pang mga computer ang kasama sa higit sa isang virtual network. Sa Figure 1, ang email server ay bahagi ng mga virtual na network 3 at 4, at samakatuwid ang mga frame nito ay ipinapadala sa pamamagitan ng mga switch sa lahat ng mga computer sa mga network na ito. Kung ang isang computer ay itinalaga lamang sa virtual network 3, ang mga frame nito ay hindi makakarating sa network 4, ngunit maaari itong makipag-ugnayan sa mga computer sa network 4 sa pamamagitan ng isang karaniwang mail server. Ang iskema na ito ay hindi ganap na naghihiwalay ng mga virtual na network sa isa't isa - halimbawa, ang isang broadcast storm na pinasimulan ng isang email server ay magpapabagsak sa parehong network 3 at network 4.

Ang isang virtual network ay sinasabing bumubuo ng isang broadcast traffic domain, katulad ng collision domain na nabuo ng Ethernet repeater.

VLAN ASSIGNMENT

Pinapadali ng teknolohiya ng VLAN ang paggawa ng mga nakahiwalay na network na nakakonekta gamit ang mga router na sumusuporta sa network layer protocol, gaya ng IP. Ang solusyon na ito ay lumilikha ng mas malakas na mga hadlang sa maling trapiko mula sa isang network patungo sa isa pa. Ngayon ay pinaniniwalaan na ang anumang malaking network ay dapat magsama ng mga router, kung hindi man ay ang mga daloy ng mga maling frame, sa partikular na mga broadcast, sa pamamagitan ng mga switch na transparent sa kanila ay pana-panahong "bahain" ito nang buo, na magiging hindi gumagana.

Ang teknolohiya ng virtual na network ay nagbibigay ng isang nababaluktot na batayan para sa pagbuo ng isang malaking network na konektado ng mga router, dahil pinapayagan ka ng mga switch na lumikha ng ganap na nakahiwalay na mga segment sa programmatically, nang hindi gumagamit ng pisikal na paglipat.

Bago ang pagdating ng teknolohiya ng VLAN, ang pag-deploy ng isang hiwalay na network ay gumamit ng alinman sa pisikal na nakahiwalay na mga seksyon ng coaxial cable o hindi nakakonektang mga segment batay sa mga repeater at tulay. Ang mga network ay pagkatapos ay konektado sa pamamagitan ng mga router sa isang solong composite network (tingnan ang Figure 2).

Ang pagpapalit ng komposisyon ng mga segment (gumagalaw ang user sa ibang network, naghahati ng malalaking seksyon) sa diskarteng ito ay nagpapahiwatig ng pisikal na muling pagkonekta ng mga konektor sa mga front panel ng repeater o sa mga crossover panel, na hindi masyadong maginhawa sa malalaking network- ito ay isang napakahirap na trabaho, at ang posibilidad ng pagkakamali ay napakataas. Samakatuwid, upang maalis ang pangangailangan para sa pisikal na muling paglipat ng mga node, nagsimulang gumamit ng mga concentrator ng multi-segment, upang ang komposisyon ng nakabahaging segment ay ma-reprogrammed nang walang pisikal na muling paglipat.

Gayunpaman, ang pagbabago ng komposisyon ng mga segment gamit ang mga hub ay nagpapataw ng mahusay na mga paghihigpit sa istraktura ng network - ang bilang ng mga segment ng naturang repeater ay kadalasang maliit, at hindi makatotohanang ilaan ang bawat node ng sarili nitong, tulad ng maaaring gawin gamit ang isang switch. Bilang karagdagan, sa diskarteng ito, ang lahat ng gawain ng paglilipat ng data sa pagitan ng mga segment ay napupunta sa mga router, at ang mga switch na may mataas na pagganap ng mga ito ay nananatiling "wala sa trabaho." Kaya, kailangan pa rin ng configuration-switched repeater-based networks pagbabahagi Ang data transmission media ay may malaking bilang ng mga node at, samakatuwid, ay may mas mababang pagganap kumpara sa mga network batay sa mga switch.

Kapag ang teknolohiya ng virtual network ay ginagamit sa mga switch, dalawang problema ang sabay na malulutas:

nadagdagan ang pagganap sa bawat isa sa mga virtual na network, dahil ang switch ay nagpapadala lamang ng mga frame sa destination node;
Ihiwalay ang mga network sa isa't isa upang pamahalaan ang mga karapatan sa pag-access ng user at lumikha ng mga proteksiyon na hadlang laban sa mga bagyo sa pagsasahimpapawid.

Ang pagsasama ng mga virtual network sa isang karaniwang network ay ginaganap sa antas ng network, na maaaring ilipat sa paggamit ng hiwalay na router o switch software. Ang huli sa kasong ito ay nagiging isang pinagsamang aparato - ang tinatawag na third-level switch.

Ang teknolohiya para sa pagbuo at pagpapatakbo ng mga virtual network gamit ang mga switch ay hindi pa na-standardize sa mahabang panahon, bagama't ito ay ipinatupad sa isang napakalawak na hanay ng mga modelo ng switch mula sa iba't ibang mga tagagawa. Nagbago ang sitwasyon pagkatapos ng pag-ampon ng pamantayang IEEE 802.1Q noong 1998, na tumutukoy sa mga pangunahing patakaran para sa pagbuo ng mga virtual na lokal na network ng lugar, anuman ang link-layer protocol na sinusuportahan ng switch.

Dahil sa mahabang kawalan ng pamantayan ng VLAN, bawat isa malaking kumpanya, na gumagawa ng mga switch, ay nakabuo ng sarili nitong teknolohiya ng virtual network, na, bilang panuntunan, ay hindi tugma sa mga teknolohiya mula sa iba pang mga tagagawa. Samakatuwid, sa kabila ng paglitaw ng isang pamantayan, hindi napakabihirang makatagpo ng isang sitwasyon kung saan ang mga virtual network na nilikha batay sa mga switch mula sa isang vendor ay hindi kinikilala at, nang naaayon, ay hindi sinusuportahan ng mga switch mula sa isa pa.

GUMAWA NG VLAN BATAY SA ISANG SWITCH

Kapag lumilikha ng mga virtual network batay sa iisang switch, karaniwang ginagamit ang isang mekanismo para sa pagpapangkat ng mga switch port sa isang network (tingnan ang Figure 3). Bukod dito, ang bawat isa sa kanila ay itinalaga sa isa o ibang virtual network. Ang isang frame na nagmumula sa isang port na kabilang sa, halimbawa, ang virtual network 1 ay hindi kailanman ipapadala sa isang port na hindi bahagi nito. Ang isang port ay maaaring italaga sa ilang mga virtual na network, bagaman sa pagsasagawa ito ay bihirang gawin - ang epekto ng kumpletong paghihiwalay ng mga network ay nawawala.

Ang pagpapangkat ng mga port sa isang switch ay ang pinaka-lohikal na paraan upang bumuo ng isang VLAN, dahil sa kasong ito Hindi maaaring magkaroon ng mas maraming virtual network kaysa sa mga port. Kung nakakonekta ang isang repeater sa isang partikular na port, walang saysay na isama ang mga node ng kaukulang segment sa iba't ibang virtual network - magiging karaniwan pa rin ang kanilang trapiko.

Ang diskarte na ito ay hindi nangangailangan ng isang malaking halaga ng manu-manong trabaho mula sa administrator - ito ay sapat na upang italaga ang bawat port sa isa sa ilang mga pre-named virtual network. Karaniwan ang operasyong ito ay isinasagawa gamit ang isang espesyal na programa na kasama sa switch. Lumilikha ang administrator ng mga virtual na network sa pamamagitan ng pag-drag ng mga simbolo ng port papunta sa mga simbolo ng network.

Ang isa pang paraan upang bumuo ng mga virtual network ay batay sa pagpapangkat ng mga MAC address. Ang bawat MAC address na kilala sa switch ay itinalaga sa isang partikular na virtual network. Kung mayroong maraming mga node sa network, ang administrator ay kailangang magsagawa ng maraming mga manu-manong operasyon. Gayunpaman, kapag gumagawa ng mga virtual network batay sa ilang switch, ang pamamaraang ito ay mas nababaluktot kaysa sa pagpapangkat ng port.

GUMAWA NG VLAN BATAY SA ILANG SWITCHES

Ang Figure 4 ay naglalarawan ng sitwasyon na lumitaw kapag lumilikha ng mga virtual network batay sa maraming switch sa pamamagitan ng port grouping. Kung ang mga node ng isang virtual network ay konektado sa iba't ibang mga switch, kung gayon ang isang hiwalay na pares ng mga port ay dapat na ilaan upang ikonekta ang mga switch ng bawat naturang network. Kung hindi, ang impormasyon tungkol sa pagmamay-ari ng isang frame sa isang partikular na virtual network ay mawawala kapag ipinadala mula sa switch patungo sa switch. Kaya, ang paraan ng port trunking ay nangangailangan ng maraming port upang kumonekta sa mga switch dahil may mga virtual network na sinusuportahan nila—na nagreresulta sa napakasayang paggamit ng mga port at cable. Bilang karagdagan, upang ayusin ang pakikipag-ugnayan ng mga virtual network sa pamamagitan ng isang router, ang bawat network ay nangangailangan ng isang hiwalay na cable at isang hiwalay na port ng router, na humahantong din sa mataas na gastos sa overhead.

Ang pagpapangkat ng mga MAC address sa isang virtual network sa bawat switch ay nag-aalis ng pangangailangang ikonekta ang mga ito sa maraming port, dahil ang virtual network label ay ang MAC address. Gayunpaman, ang pamamaraang ito ay nangangailangan ng maraming manu-manong pagmamarka ng MAC address sa bawat switch sa network.

Ang dalawang diskarte na inilarawan ay batay lamang sa pagdaragdag ng impormasyon sa mga talahanayan ng address ng tulay at hindi kasama ang impormasyon tungkol sa pagiging miyembro ng frame sa isang virtual network sa ipinadalang frame. Ang ibang mga diskarte ay gumagamit ng umiiral na o karagdagang mga patlang frame upang magtala ng impormasyon tungkol sa pagmamay-ari ng frame habang lumilipat ito sa pagitan ng mga switch ng network. Bilang karagdagan, hindi na kailangang tandaan sa bawat switch kung aling mga virtual network ang nagmamay-ari ng mga MAC address ng internetwork.

Ang karagdagang field na may markang virtual na numero ng network ay ginagamit lamang kapag ang frame ay inilipat mula sa switch patungo sa switch, at kapag ang frame ay inilipat sa dulo node, ito ay karaniwang inaalis. Sa kasong ito, ang switch-to-switch interaction protocol ay binago, habang ang software at hardware ng mga end node ay nananatiling hindi nagbabago. Maraming mga halimbawa ng naturang pagmamay-ari na mga protocol, ngunit mayroon silang isang karaniwang disbentaha - hindi sila sinusuportahan ng ibang mga tagagawa. Iminungkahi ng Cisco ang 802.10 protocol header bilang isang karaniwang karagdagan sa mga frame ng anumang mga lokal na protocol ng network, ang layunin nito ay upang suportahan ang mga function ng seguridad mga network ng kompyuter. Ang kumpanya mismo ay gumagamit ng pamamaraang ito sa mga kaso kung saan ang mga switch ay magkakaugnay gamit ang FDDI protocol. Gayunpaman, ang inisyatiba na ito ay hindi suportado ng iba pang nangungunang tagagawa ng switch.

Upang iimbak ang numero ng virtual network sa IEEE standard Ang 802.1Q ay may karagdagang dalawang-byte na header na ginagamit kasabay ng 802.1p protocol. Bilang karagdagan sa tatlong bits para sa pag-iimbak ng priyoridad na halaga ng frame, tulad ng inilarawan ng 802.1p standard, mayroong 12 bits sa header na ito upang iimbak ang bilang ng virtual network kung saan kabilang ang frame. Ito karagdagang impormasyon tinatawag na virtual network tag (VLAN TAG) at nagbibigay-daan sa mga switch mula sa iba't ibang manufacturer na lumikha ng hanggang 4096 shared virtual network. Ang nasabing frame ay tinatawag na "tag". Ang haba ng naka-tag na Ethernet frame ay tumataas ng 4 na byte, dahil bilang karagdagan sa dalawang byte ng tag mismo, dalawa pang byte ang idinaragdag. Ang istraktura ng isang naka-tag na Ethernet frame ay ipinapakita sa Figure 5. Sa pamamagitan ng pagdaragdag ng 802.1p/Q header, ang data field ay nababawasan ng dalawang byte.

Figure 5. Istraktura ng isang may markang Ethernet frame.

Ang paglitaw ng pamantayang 802.1Q ay naging posible upang mapagtagumpayan ang mga pagkakaiba sa pagmamay-ari na mga pagpapatupad ng VLAN at makamit ang pagiging tugma kapag gumagawa ng mga virtual na lokal na network. Ang pamamaraan ng VLAN ay sinusuportahan ng mga tagagawa ng parehong mga switch at adapter ng network. Sa huling kaso, ang network adapter ay maaaring makabuo at makatanggap ng minarkahan Mga frame ng Ethernet, na naglalaman ng field ng VLAN TAG. Kung ang network adapter ay bumubuo ng mga minarkahang frame, pagkatapos ay tinutukoy nito ang kanilang pag-aari sa isang partikular na virtual na lokal na network, kaya ang switch ay dapat na iproseso ang mga ito nang naaayon, iyon ay, ipadala o hindi ipadala sa output port depende sa membership ng port. Natatanggap ng driver ng network adapter ang bilang ng (o nito) virtual na lokal na network mula sa administrator ng network (sa pamamagitan ng manu-manong pagsasaayos) o mula sa ilang application na tumatakbo sa node na ito. Ang ganitong aplikasyon ay maaaring gumana nang sentral sa isa sa mga server ng network at pamahalaan ang istraktura ng buong network.

Sinusuportahan ng VLAN network maiiwasan ng mga adapter ang static na configuration sa pamamagitan ng pagtatalaga ng port sa isang partikular na virtual network. Gayunpaman, nananatiling popular ang static na configuration ng VLAN dahil pinapayagan ka nitong lumikha ng structured na network nang hindi nangangailangan ng end-node software.

Si Natalya Olifer ay isang kolumnista para sa Journal of Network Solutions/LAN. Maaari siyang makontak sa:

Ang Ethernet ay isang link-layer device, kaya alinsunod sa operating logic nito ay magpapadala ito ng mga broadcast frame sa lahat ng port. Bagama't ang trapiko sa mga partikular na address (point-to-point na koneksyon) ay nakahiwalay sa isang pares ng mga port, ang mga broadcast frame ay ipinapadala sa buong network (bawat port). I-broadcast ang footage- ito ay mga frame na ipinadala sa lahat ng mga node ng network. Ang mga ito ay kinakailangan para sa gawain ng marami mga protocol ng network tulad ng ARP, BOOTP o DHCP. Sa kanilang tulong, inaabisuhan ng workstation ang iba pang mga computer tungkol sa hitsura nito sa network. Gayundin, maaaring mangyari ang pagpapadala ng mga broadcast frame dahil sa isang adapter ng network na hindi gumagana nang tama. Maaaring mag-aksaya ng bandwidth ang mga broadcast frame, lalo na sa malalaking network. Upang maiwasang mangyari ito, mahalagang limitahan ang lugar ng trapiko sa broadcast (ang lugar na ito ay tinatawag na broadcast domain) - ayusin ang maliit mga domain ng broadcast, o mga virtual na lokal na network (Virtual LAN, VLAN).

Virtual na lokal na network ay isang lohikal na pangkat ng mga node ng network na ang trapiko, kabilang ang trapiko ng broadcast, ay ganap na nakahiwalay sa antas ng link ng data mula sa iba pang mga node ng network. Nangangahulugan ito na ang mga frame ay hindi maipapadala sa pagitan ng iba't ibang virtual network batay sa MAC address, anuman ang uri ng address - natatangi, multicast o broadcast. Kasabay nito, sa loob ng isang virtual network, ang mga frame ay ipinapadala gamit ang teknolohiya ng paglipat, iyon ay, sa port lamang na nauugnay sa patutunguhang address ng frame. Kaya, sa tulong ng mga virtual na network, ang problema sa pamamahagi ng mga broadcast frame at ang mga kahihinatnan ng mga ito, na maaaring maging mga bagyo sa broadcast at makabuluhang bawasan. pagganap mga network.

Ang mga VLAN ay may mga sumusunod na pakinabang:

flexibility ng pagpapatupad. Ang mga VLAN ay sa isang mahusay na paraan mga paksyon mga gumagamit ng network sa mga virtual na workgroup, sa kabila ng kanilang pisikal na lokasyon sa network;
Nagbibigay ang mga VLAN ng mga kakayahan sa pagkontrol broadcast ng mga mensahe, na nagpapataas ng bandwidth na magagamit ng user;
Binibigyang-daan ka ng mga VLAN na pataasin ang seguridad ng network sa pamamagitan ng pagtukoy, gamit ang mga filter na na-configure sa isang switch o router, ang patakaran para sa pakikipag-ugnayan sa pagitan ng mga user mula sa iba't ibang virtual network.

Isaalang-alang natin ang isang halimbawa na nagpapakita ng pagiging epektibo ng paggamit ng lohikal na network segmentation gamit ang teknolohiya ng VLAN sa paglutas tipikal na gawain pag-aayos ng Internet access para sa mga empleyado ng opisina. Kasabay nito, ang trapiko ng bawat departamento ay dapat na ihiwalay.

Ipagpalagay natin na ang opisina ay may ilang mga silid, bawat isa ay naglalaman ng isang maliit na bilang ng mga empleyado. Ang bawat silid ay kumakatawan sa isang hiwalay na pangkat ng trabaho.

Sa karaniwang diskarte Upang malutas ang problema gamit ang pisikal na pag-segment ng trapiko ng bawat departamento, kakailanganing mag-install ng hiwalay na switch sa bawat kuwarto, na kumonekta sa isang router na nagbibigay ng Internet access. Sa kasong ito, ang router ay dapat magkaroon ng sapat na bilang ng mga port upang matiyak ang kakayahang ikonekta ang lahat pisikal na mga segment(mga silid) mga network. Ang desisyong ito mahinang nasusukat at mahal, dahil Habang dumarami ang bilang ng mga departamento, tumataas ang bilang ng mga kinakailangang switch, interface ng router, at backbone cable.

Bilang karagdagan sa pangunahing layunin nito - pagtaas ng throughput ng mga koneksyon sa network - pinapayagan ka ng switch na i-localize ang mga daloy ng impormasyon, pati na rin kontrolin at pamahalaan ang mga daloy na ito gamit ang isang custom na mekanismo ng filter. Gayunpaman, maaaring pigilan ng isang custom na filter ang pagpapadala ng mga frame sa mga partikular na address lamang, habang nagpapadala ito ng trapiko ng broadcast sa lahat ng mga segment ng network. Ito ang prinsipyo ng pagpapatakbo ng algorithm ng tulay na ipinatupad sa switch, kaya naman ang mga network na nilikha batay sa mga tulay at switch ay tinatawag minsan na flat - dahil sa kawalan ng mga hadlang sa trapiko sa broadcast.

Maaaring mag-overlap ang mga virtual network kung isa o higit pang mga computer ang kasama sa higit sa isang virtual network. Sa Figure 1, ang email server ay bahagi ng mga virtual na network 3 at 4, at samakatuwid ang mga frame nito ay ipinapadala sa pamamagitan ng mga switch sa lahat ng mga computer sa mga network na ito. Kung ang isang computer ay itinalaga lamang sa virtual network 3, ang mga frame nito ay hindi makakarating sa network 4, ngunit maaari itong makipag-ugnayan sa mga computer sa network 4 sa pamamagitan ng isang karaniwang mail server. Ang scheme na ito ay hindi ganap na naghihiwalay ng mga virtual network mula sa isa't isa - halimbawa, ang isang broadcast storm na pinasimulan ng email server ay matatalo sa parehong network 3 at network 4.

Ang isang virtual network ay sinasabing bumubuo ng isang broadcast traffic domain, katulad ng collision domain na nabuo ng Ethernet repeater.

VLAN ASSIGNMENT

Ang pagbabago ng komposisyon ng mga segment (gumagalaw ang user sa ibang network, naghahati ng malalaking seksyon) gamit ang diskarteng ito ay nagpapahiwatig ng pisikal na muling pagkonekta ng mga konektor sa mga front panel ng repeater o sa mga crossover panel, na hindi masyadong maginhawa sa malalaking network - ito ay isang napakahirap. -masinding trabaho, at ang posibilidad ng pagkakamali ay napakataas. Samakatuwid, upang maalis ang pangangailangan para sa pisikal na muling paglipat ng mga node, nagsimulang gumamit ng mga concentrator ng multi-segment, upang ang komposisyon ng nakabahaging segment ay ma-reprogrammed nang walang pisikal na muling paglipat.

Gayunpaman, ang pagbabago ng komposisyon ng mga segment gamit ang mga hub ay nagpapataw ng mahusay na mga paghihigpit sa istraktura ng network - ang bilang ng mga segment ng naturang repeater ay kadalasang maliit, at hindi makatotohanang ilaan ang bawat node ng sarili nitong, tulad ng maaaring gawin gamit ang isang switch. Bilang karagdagan, sa diskarteng ito, ang lahat ng gawain ng paglilipat ng data sa pagitan ng mga segment ay napupunta sa mga router, at ang mga switch na may mataas na pagganap ng mga ito ay nananatiling "wala sa trabaho." Kaya, ang mga repeater-based na network na may configuration switching ay nagsasangkot pa rin ng pagbabahagi ng data transmission medium sa isang malaking bilang ng mga node at, samakatuwid, ay may mas mababang performance kumpara sa switch-based na mga network.

Kapag ang teknolohiya ng virtual network ay ginagamit sa mga switch, dalawang problema ang sabay na malulutas:

nadagdagan ang pagganap sa bawat isa sa mga virtual na network, dahil ang switch ay nagpapadala lamang ng mga frame sa destination node;
Ihiwalay ang mga network sa isa't isa upang pamahalaan ang mga karapatan sa pag-access ng user at lumikha ng mga proteksiyon na hadlang laban sa mga bagyo sa pagsasahimpapawid.

Ang pagsasama ng mga virtual na network sa isang karaniwang network ay isinasagawa sa antas ng network, ang paglipat kung saan posible gamit ang isang hiwalay na router o switch software. Ang huli sa kasong ito ay nagiging isang pinagsamang aparato - ang tinatawag na third-level switch.

Dahil sa mahabang kawalan ng pamantayan ng VLAN, ang bawat pangunahing kumpanya na gumagawa ng mga switch ay nakabuo ng sarili nitong virtual network na teknolohiya, na, bilang panuntunan, ay hindi tugma sa mga teknolohiya mula sa iba pang mga tagagawa. Samakatuwid, sa kabila ng paglitaw ng pamantayan, hindi ito bihirang makatagpo ng isang sitwasyon kung saan ang mga virtual network na nilikha batay sa mga switch mula sa isang vendor ay hindi kinikilala at, nang naaayon, ay hindi suportado ng mga switch mula sa isa pa.

GUMAWA NG VLAN BATAY SA ISANG SWITCH

Ang pagsasama-sama ng mga port ng isang switch ay ang pinaka-lohikal na paraan upang bumuo ng isang VLAN, dahil sa kasong ito ay hindi maaaring magkaroon ng higit pang mga virtual network kaysa sa mga port. Kung nakakonekta ang isang repeater sa isang partikular na port, walang saysay na isama ang mga node ng kaukulang segment sa iba't ibang virtual network - magiging karaniwan pa rin ang kanilang trapiko.

GUMAWA NG VLAN BATAY SA ILANG SWITCHES

Ang dalawang diskarte na inilarawan ay batay lamang sa pagdaragdag ng impormasyon sa mga talahanayan ng address ng tulay at hindi kasama ang impormasyon tungkol sa pagiging miyembro ng frame sa isang virtual na network sa ipinadalang frame. Ang iba pang mga diskarte ay gumagamit ng umiiral o karagdagang mga patlang ng frame upang itala ang impormasyon ng pagmamay-ari ng frame habang lumilipat ito sa pagitan ng mga switch ng network. Bilang karagdagan, hindi na kailangang tandaan sa bawat switch kung aling mga virtual network ang nagmamay-ari ng mga MAC address ng internetwork.

Ang karagdagang field na may markang virtual na numero ng network ay ginagamit lamang kapag ang frame ay inilipat mula sa switch patungo sa switch, at kapag ang frame ay inilipat sa dulo node, ito ay karaniwang inaalis. Sa kasong ito, ang switch-to-switch interaction protocol ay binago, habang ang software at hardware ng mga end node ay nananatiling hindi nagbabago. Maraming mga halimbawa ng naturang pagmamay-ari na mga protocol, ngunit mayroon silang isang karaniwang disbentaha - hindi sila sinusuportahan ng ibang mga tagagawa. Iminungkahi ng Cisco ang 802.10 protocol header bilang isang karaniwang karagdagan sa mga frame ng anumang mga lokal na protocol ng network, ang layunin nito ay upang suportahan ang mga function ng seguridad ng mga network ng computer. Ang kumpanya mismo ay gumagamit ng pamamaraang ito sa mga kaso kung saan ang mga switch ay magkakaugnay gamit ang FDDI protocol. Gayunpaman, ang inisyatiba na ito ay hindi suportado ng iba pang nangungunang tagagawa ng switch.

Upang iimbak ang virtual network number, ang IEEE 802.1Q standard ay nagbibigay ng karagdagang dalawang-byte na header, na ginagamit kasabay ng 802.1p protocol. Bilang karagdagan sa tatlong bits para sa pag-iimbak ng priyoridad na halaga ng frame, tulad ng inilarawan ng 802.1p standard, mayroong 12 bits sa header na ito upang iimbak ang bilang ng virtual network kung saan kabilang ang frame. Ang karagdagang impormasyong ito ay tinatawag na virtual network tag (VLAN TAG) at nagbibigay-daan sa mga switch mula sa iba't ibang manufacturer na lumikha ng hanggang 4096 na nakabahaging virtual network. Ang nasabing frame ay tinatawag na "tag". Ang haba ng naka-tag na Ethernet frame ay tumataas ng 4 na byte, dahil bilang karagdagan sa dalawang byte ng tag mismo, dalawa pang byte ang idinaragdag. Ang istraktura ng isang naka-tag na Ethernet frame ay ipinapakita sa Figure 5. Sa pamamagitan ng pagdaragdag ng 802.1p/Q header, ang data field ay nababawasan ng dalawang byte.

Figure 5. Istraktura ng isang may markang Ethernet frame.

Ang paglitaw ng pamantayang 802.1Q ay naging posible upang mapagtagumpayan ang mga pagkakaiba sa pagmamay-ari na mga pagpapatupad ng VLAN at makamit ang pagiging tugma kapag gumagawa ng mga virtual na lokal na network. Ang pamamaraan ng VLAN ay sinusuportahan ng mga tagagawa ng parehong mga switch at adapter ng network. Sa huling kaso, ang network adapter ay maaaring bumuo at tumanggap ng mga naka-tag na Ethernet frame na naglalaman ng isang VLAN TAG na field. Kung ang network adapter ay bumubuo ng mga minarkahang frame, pagkatapos ay tinutukoy nito ang kanilang pag-aari sa isang partikular na virtual na lokal na network, kaya ang switch ay dapat na iproseso ang mga ito nang naaayon, iyon ay, ipadala o hindi ipadala sa output port depende sa membership ng port. Natatanggap ng driver ng network adapter ang bilang ng (o nito) virtual na lokal na network mula sa administrator ng network (sa pamamagitan ng manu-manong pagsasaayos) o mula sa ilang application na tumatakbo sa node na ito. Ang ganitong aplikasyon ay maaaring gumana nang sentral sa isa sa mga server ng network at pamahalaan ang istraktura ng buong network.

Sinusuportahan ang VLAN mga adaptor ng network Maiiwasan mo ang static na configuration sa pamamagitan ng pagtatalaga ng port sa isang partikular na virtual network. Gayunpaman, nananatiling popular ang static na configuration ng VLAN dahil pinapayagan ka nitong lumikha ng structured na network nang hindi nangangailangan ng end-node software.

Si Natalya Olifer ay isang kolumnista para sa Journal of Network Solutions/LAN. Maaari siyang makontak sa: