Mga uri ng VLAN at ang kanilang mga katangian. Mga kakayahan ng mga modernong switch para sa pag-aayos ng mga virtual network. Tingnan kung ano ang "VLAN" sa ibang mga diksyunaryo

KINUHA MULA SA: http://mcp1971.livejournal.com/1851.html

Mga hanay ng numero ng VLAN
Ang lahat ng access VLAN ay maaaring nahahati sa dalawang hanay:
Karaniwang saklaw ng VLAN
- ginagamit sa maliliit at katamtamang network
- may mga numero mula 1 hanggang 1005
- Ang mga numero mula 1002 hanggang 1005 ay nakalaan para sa Token Ring at mga FDDI VLAN
- Ang mga numero 1, 1002 at 1005 ay awtomatikong nilikha at hindi matatanggal
- lahat ng data tungkol sa mga VLAN ay nakaimbak sa isang file vlan.dat , na matatagpuan sa flash memory ( flash:vlan.dat )
- ang VTP protocol ay maaari lamang matuto ng mga VLAN ng isang regular na hanay at mag-imbak ng impormasyon tungkol sa mga ito sa vlan.dat
Pinalawak na hanay ng VLAN
- ginagamit ng mga provider o napaka malalaking network upang palawakin ang imprastraktura ng VLAN
- may mga numero mula 1006 hanggang 4094
- sumusuporta sa mas kaunting mga tampok kaysa sa regular na hanay ng mga VLAN
- lahat ng data tungkol sa mga VLAN ay nakaimbak sa gumaganang pagsasaayos
- walang suporta sa VTP
Sinusuportahan ng Cisco Catalyst 2960 switch ang hanggang 255 regular at extended na band VLAN

Mga uri ng VLAN
Ang lahat ng VLAN ay maaaring italaga sa isang partikular na uri:
1. Data VLAN(Data VLAN) - Ang VLAN kung saan pumasa ang data na binuo ng user. Ngunit hindi ito maaaring data ng boses o kontrolin ang trapiko para sa mga switch.
2. Default na VLAN(default VLAN) - Ang VLAN kung saan matatagpuan ang lahat ng switch port bago magsimula ang configuration. Ang default na VLAN para sa Cisco switch ay VLAN1. Bilang default, ang Layer 2 ay kumokontrol sa trapiko tulad ng CDP at STP ay nauugnay sa VLAN1.
3. Katutubong VLAN(native VLAN) - isang VLAN kung saan maaaring kumonekta ang isang workstation sa isang port na na-configure bilang isang trunk port (802.1Q) at magpadala ng mga naka-tag na frame gamit ang 802.1Q at magpadala ng mga hindi naka-tag na frame. Ito ay ipinatupad upang ang isang computer na hindi makapag-tag ng mga frame ay maaaring konektado sa trunk port. Inirerekomenda na gumamit ng katutubong VLAN maliban sa VLAN1.
4. Pamamahala ng VLAN(control VLAN) - VLAN kung saan isinasagawa ang configuration. Upang gawin ito, ang VLAN ay dapat magtalaga ng isang IP address at isang subnet mask.
5. Voice VLAN(voice VLAN) - VLAN na dinisenyo para sa voice transmission. Ang nasabing VLAN ay dapat magbigay ng:
- garantisadong bandwidth para masiguro kalidad ng boses
- priority trapiko ng boses kumpara sa iba pang uri ng trapiko
- kakayahang magdirekta traffic na lumalampas sa mga abala mga lugar sa network
- may latency na mas mababa sa 150 millisecond sa network
Ito ay nangyayari na ang isang computer ay kumokonekta sa isang switch sa pamamagitan ng isang IP phone. Lumalabas na kailangan nating mag-iba sa pagitan ng trapiko ng boses at trapiko ng data sa port. Upang gawin ito, ang telepono ay isang three-port switch. Ang isang port ay konektado sa switch. Ang pangalawa ay isang panloob na port para sa pagpapadala ng trapiko ng boses. Ang ikatlong port ay ang port kung saan nakakonekta ang computer. Trapiko mula sa panloob na port ang telepono ay naka-tag ng voice VLAN number. Hindi naka-tag ang trapiko mula sa computer. Samakatuwid, matutukoy ng switch ang trapiko na dapat bigyan ng priyoridad. Ang paghahati ay nangyayari sa parehong paraan papasok na trapiko- na-tag gamit ang voice VLAN number - sa telepono, hindi naka-tag - sa computer. Alinsunod dito, ang voice VLAN at ang access VLAN ay naka-configure sa switch port.

Lumipat ng mga mode ng pagpapatakbo ng port sa VLAN ah
Ang bawat switch port ay maaaring i-configure para sa isang partikular na uri ng operasyon Mga VLAN gamit ang iba't ibang pamamaraan:
Static na VLAN- Ang bawat port ay manu-manong itinalaga ang VLAN kung saan ito nabibilang.
Dynamic na VLAN- Ang bawat port ay ipinahiwatig ng VLAN kung saan ito nabibilang gamit ang VLAN Membership Policy Server (VMPS - VLAN Membership Policy Server). Sa VMPS maaari kang magtalagaVLANlumipat ng mga portpabago-bago, batay saMAS-mga address device na nakakonekta sa daungan Ito ay kapaki-pakinabang kapag inilipat mo ang isang device mula sa isang port isang switch sa network hanggang sa port isa pang switch sa network, lumipat dynamic na nagtatalaga VLAN para sa device na ito naka-onbagong port.
Voice VLAN- ang port ay naka-configure para sa parehong pagpapadala ng naka-tag na trapiko ng boses at ang pagpapadala ng hindi naka-tag na trapiko ng data. Upang mag-configure ng voice VLAN, gamitin ang mga sumusunod na command:
S1(config)#interface fastethernet 0/18
S1(config-if)#mls qos trust cos- tukuyin ang trapiko ng boses bilang priyoridad
S1(config-if)#switchport voice vlan 150 - tukuyin ang boses VLAN
S1(config-if)#switchport mode access - tinutukoy namin na ang port na ito ay para sa data (access port - hindi naka-tag na trapiko)
20 - tukuyin ang VLAN para sa data

Trunks Mga VLAN
Baul - Ito ay isang point-to-point na koneksyon sa pagitan mga aparato sa network, na nagpapadala ng data mula sa higit sa isang VLAN. Kung walang mga trunks, kailangang maglaan ng hiwalay na port para sa bawat VLAN kapag nagkokonekta ng mga switch. Sa isang trunk, lahat ng VLAN ay dumadaan sa isang port.
Upang malaman ng trunk port kung saang VLAN kabilang ang frame na ipinadala sa pamamagitan ng port, isang 802.1Q na tag ang ipinapasok sa header ng frame, na nagpapahiwatig ng numero ng VLAN at ang priyoridad ng ipinadala na frame.
Kung dumating ang isang hindi naka-tag na frame sa isang port, awtomatikong ipapasa ito ng switch sa native VLAN. Bilang default, ang katutubong VLAN ay VLAN1.
Ngunit maaari itong mabago sa utos:
S1(config-if)#switchport mode trunk
vlan-id
Upang suriin kung sa aling katutubong VLAN ipapadala ang isang hindi naka-tag na frame, gamitin ang command: S1#ipakita ang mga interface interface-id

switchport
DTP
Ang DTP ay isang Cisco proprietary protocol na nagbibigay-daan sa iyong awtomatikong i-configure ang trunking mode ng pagpapatakbo ng mga switch port. Mayroong tatlong mga mode ng pagpapatakbo: Naka-on(default) - pana-panahong nagpapadala ang switch malayong port Isang DTP frame na nagpapahiwatig na ito ay gumaganap bilang isang trunk port. Pinagana ng utos. Kung ang remote port ay gumaganap bilang isang access port,
lokal na daungan Hindi inirerekomenda para gamitin sa DTP mode na ito. Dynamic na sasakyan.
- ang switch ay pana-panahong nagpapadala ng isang DTP frame sa remote port, na nag-aabiso na ito ay handa na upang gumana bilang isang trunk port, ngunit hindi ito nangangailangan upang gumana sa trunk mode. Ang port ay nagbibigay-daan sa trunk mode, kung ang remote port ay gumagana na bilang isang trunk port o ang Dynamic na kanais-nais na mode ay na-configure, ang mga port ay nakikipag-ayos sa operasyon sa trunk mode. Kung ang remote port ay naka-configure din bilang Dynamic na auto, ang negosasyon ay hindi isinasagawa - ang mga port ay nagsisilbing access port. Kung ang remote port ay access, ang lokal ay access din. Pinagana sa pamamagitan ng utos S1(config-if)#switchport mode dynamic na auto
Dynamic na kanais-nais - ang switch ay pana-panahong nagpapadala ng isang DTP frame sa remote port, na nag-aabiso na ito ay handa na upang gumana bilang isang trunk port at humihiling na magtrabaho sa trunk mode. Kung ang remote port ay gumagana sa Dynamic na auto o Dynamic na kanais-nais na mode, ang mga port ay lumipat sa trunk mode. Kung ang remote port ay hindi sumusuporta sa negosasyon, ang lokal na port ay gumagana sa non-trunk mode..

Maaari mong i-disable ang koordinasyon ng mga operating mode gamit ang command S1(config-if)#switchport nonegotiate
1. Mga utos para sa pagtatakda Mga VLAN S1(config)#vlan
2. vlan id - pagdaragdag ng VLAN. S1(config-vlan)#pangalan
3. pangalan ng vlan- pagtatalaga ng pangalan ng VLAN.
4. S1#ipakita ang maikling vlan- pagsuri sa pagkakaroon ng isang VLAN sa database, pag-access sa mga port na kabilang sa VLAN
S1(config-if)#switchport mode access Mga VLAN - paglipat ng port upang ma-access ang port operating mode.
5. Upang suriin kung sa aling katutubong VLAN ipapadala ang isang hindi naka-tag na frame, gamitin ang command: S1(config-if)#switchport access vlan- pagsuri sa operating mode ng isang partikular na interface
6. S1(config-if)#walang switchport access vlan- hindi kasama ang isang port mula sa isang VLAN na may naka-configure na numero at inililipat ito sa
Default na VLAN
7. S1(config)#walang vlan Mga VLAN - pag-alis ng VLAN mula sa database. Bago gawin ito, dapat mong alisin ang lahat ng mga port mula sa VLAN na ito, kung hindi, sila ay hindi magagamit.
8. S1#delete flash:vlan.dat- pagtanggal ng buong database ng VLAN. Tanging ang mga default na VLAN ang mananatili.
9. S1(config-if)#switchport mode trunk- sapilitang paglipat ng port operating mode sa trunk.
10. S1(config-if)#switchport trunk native vlan Mga VLAN - pagpapalit ng katutubong VLAN para sa trunk port.
11. S1(config-if)#switchport trunk pinapayagan Mga VLAN - pagtatalaga ng mga VLAN na maaaring dumaan sa port. Nang hindi ginagamit ang command na ito, lahat ng VLAN ay maaaring dumaan sa port.
12. S1(config-if)#walang switchport trunk pinapayagan ang vlan- pag-reset ng lahat ng pinapayagang VLAN sa trunk port.
13. S1(config-if)#no switchport trunk native vlan- ibalik ang VLAN1 bilang katutubong VLAN sa trunk port.

Kinakatawan ang isang pangkat ng mga host na may karaniwang hanay ng mga kinakailangan na nakikipag-ugnayan na parang nakakonekta sila sa isang broadcast domain, anuman ang kanilang pisikal na lokasyon. Ang isang VLAN ay may parehong mga katangian tulad ng isang pisikal na LAN, ngunit nagbibigay-daan sa mga istasyon ng pagtatapos na pagsama-samahin kahit na hindi sila sa parehong pisikal na network. Ang muling pagsasaayos na ito ay maaaring gawin batay sa software sa halip na pisikal na paggalaw mga device.

Encyclopedic YouTube

pagtatalaga ng pagiging miyembro ng VLAN

Ang mga sumusunod na solusyon ay umiiral para dito:

  • sa pamamagitan ng port (eng. port-based, 802.1Q): isang VLAN ang manu-manong itinalaga sa switch port. Kung sakaling maraming VLAN ang dapat tumugma sa isang port (halimbawa, kung Koneksyon ng VLAN pumasa sa maraming switch ng network), kung gayon ang port na ito ay dapat na miyembro ng isang trunk. Isang VLAN lang ang makakatanggap ng lahat ng packet na hindi nakatalaga sa anumang VLAN (sa terminolohiya ng 3Com, Planet, D-Link, Zyxel, HP - hindi naka-tag, sa Cisco, terminolohiya ng Juniper - katutubong VLAN). Ang switch ng network ay magdaragdag ng mga tag ng VLAN na ito sa lahat ng natanggap na mga frame na walang anumang mga tag. Ang mga port-based na VLAN ay may ilang mga limitasyon.
  • sa pamamagitan ng MAC address (MAC-based): Ang membership sa VLANe ay batay sa MAC address ng workstation. Sa kasong ito, ang switch ng network ay may talahanayan ng mga MAC address ng lahat ng mga device kasama ang mga VLAN kung saan kabilang ang mga ito.
  • Batay sa protocol: Ang data ng layer 3-4 sa header ng packet ay ginagamit upang matukoy ang membership ng VLANe. Halimbawa, maaaring ilipat ang -machine sa unang VLAN, at AppleTalk -machine sa pangalawa. Ang pangunahing kawalan ng pamamaraang ito ay lumalabag ito sa kalayaan ng mga layer, kaya, halimbawa, ang paglipat mula sa IPv4 hanggang IPv6 ay hahantong sa pagkagambala ng network.
  • batay sa pagpapatotoo: maaaring awtomatikong ilipat ang mga device sa isang VLAN batay sa data ng pagpapatunay ng user o device kapag ginagamit ang 802.1x protocol.

VLAN sa Cisco

Sa mga Cisco device, ang VTP (VLAN Trunking Protocol) ay nagbibigay ng mga VLAN domain para pasimplehin ang pangangasiwa. Nagsasagawa rin ang VTP ng traffic pruning, na nagdidirekta ng trapiko ng VLAN sa mga switch na may target na VLAN port (VTP pruning function). Mga Cisco Switch pangunahing ginagamit ang 802.1Q Trunk protocol sa halip na ang lumang proprietary ISL (Inter-Switch Link) upang matiyak ang pagkakatugma ng impormasyon.

Bilang default, ang bawat port sa switch ay may VLAN1 o management VLAN. Hindi matatanggal ang mga control network, ngunit maaaring gawin karagdagang mga network Ang mga VLAN at ang mga kahaliling VLAN na ito ay maaari ding magtalaga ng mga port.

Katutubong VLAN ay isang parameter ng per-port na tumutukoy sa numero ng VLAN na natatanggap ng lahat ng hindi naka-tag na packet.

Ginagamit ng Cisco ang sumusunod na terminolohiya ng port:

  • access port- isang port na kabilang sa isang VLAN at nagpapadala ng hindi naka-tag na trapiko. Ayon sa pagtutukoy ng Cisco, ang isang access port ay maaaring kabilang sa isang VLAN lamang bilang default, ito ang unang (walang tag) na VLAN; Ang anumang frame na dumaan sa isang access port ay minarkahan ng isang numero na kabilang sa VLAN na ito.
  • trunk port- isang port na nagpapadala ng naka-tag na trapiko ng isa o higit pang mga VLAN. Ang port na ito, sa kabaligtaran, ay hindi nagbabago sa tag, ngunit nagpapasa lamang ng mga frame na may mga tag na pinapayagan sa port na ito

Upang maihatid ang trapiko ng ilang mga VLAN sa pamamagitan ng isang port, ang port ay inililipat sa trunk mode.

Mga mode ng interface (depende ang default na mode sa modelo ng switch):

  • sasakyan- Ang daungan ay matatagpuan sa awtomatikong mode at ilalagay sa trunk state lamang kung ang port sa kabilang dulo ay nasa on o desirable mode. Iyon ay, kung ang mga port sa magkabilang dulo ay nasa "auto" mode, kung gayon ang trunk ay hindi gagamitin.
  • kanais-nais- Ang port ay nasa mode na "ready to transition to trunk state"; pana-panahong nagpapadala ng mga DTP frame sa port sa kabilang dulo, na humihiling sa remote port na pumasok sa trunk state (ang trunk state ay itatatag kung ang port sa kabilang dulo ay nasa on, desirable, o auto mode).
  • baul- Ang port ay palaging nasa trunk state, kahit na ang port sa kabilang dulo ay hindi sumusuporta sa mode na ito.
  • nonegotiate- Ang port ay handa nang pumasok sa trunk mode, ngunit hindi nagpapadala ng mga DTP frame sa port sa kabilang dulo. Ginagamit ang mode na ito upang maiwasan ang mga salungatan sa iba pang kagamitang hindi cisco. Sa kasong ito, ang switch sa kabilang dulo ay dapat na manu-manong i-configure upang magamit ang trunk.

Bilang default, lahat ng VLAN ay pinapayagan sa trunk. Upang maipadala ang data sa pamamagitan ng kaukulang VLAN sa trunk, sa pinakamababa, dapat na aktibo ang VLAN. Nagiging aktibo ang isang VLAN kapag ginawa ito sa switch at mayroon itong kahit isang port sa up/up state.

VLAN(mula sa English Virtual Lokal Area Network) – lohikal ("virtual") lokal network ng kompyuter, pagkakaroon ng parehong mga katangian bilang isang pisikal na lokal na network.

Sa madaling salita, ang VLAN ay isang lohikal na channel sa loob ng isang pisikal.

Ang teknolohiyang ito ay nagpapahintulot sa iyo na magsagawa ng dalawang kabaligtaran mga gawain:

1) pangkatin ang mga device sa antas ng link(ibig sabihin, ang mga device na matatagpuan sa parehong VLAN), bagama't pisikal na maaari silang konektado sa iba mga switch ng network(matatagpuan, halimbawa, malayo sa heograpiya);

2) makilala sa pagitan ng mga device (na matatagpuan sa iba't ibang VLAN) na konektado sa parehong switch.

Sa madaling salita, pinapayagan ka ng mga VLAN na lumikha ng hiwalay na mga domain ng broadcast. Ang network ng anumang malaking negosyo, higit na hindi isang provider, ay hindi maaaring gumana nang walang paggamit ng mga VLAN.

Ang paggamit ng teknolohiyang ito ay nagbibigay sa amin ng mga sumusunod na pakinabang:

  • pagpapangkat ng mga device (halimbawa, mga server) ayon sa functionality;
  • binabawasan ang dami ng trapiko sa broadcast sa network, dahil bawat VLAN ay isang hiwalay na broadcast domain;
  • nadagdagan ang seguridad at kakayahang pamahalaan ng network (bilang resulta ng unang dalawang pakinabang).

Bigyan kita ng simpleng halimbawa: Sabihin nating may mga host na kasama sa isang switch, na kung saan ay konektado sa isang router (Figure 1). Ipagpalagay natin na mayroon tayong dalawang lokal na network na konektado sa pamamagitan ng isang switch at pag-access sa Internet sa pamamagitan ng isang router. Kung hindi mo iniiba ang mga network sa pamamagitan ng mga VLAN, kung gayon, una, ang isang bagyo sa network sa isang network ay makakaapekto sa pangalawang network, at pangalawa, ang trapiko mula sa isa pang network ay maaaring "mahuli" mula sa bawat network. Ngayon, na hinati ang network sa mga VLAN, talagang nakakuha kami ng dalawa magkahiwalay na network, konektado sa isa't isa sa pamamagitan ng isang router, iyon ay, L3 ( antas ng network). Ang lahat ng trapiko ay dumadaan mula sa isang network patungo sa isa pa sa pamamagitan ng router, at ang pag-access ngayon ay gumagana lamang sa antas ng L3, na lubos na nagpapadali sa gawain ng administrator.

Pag-tag

Pag-tag– ang proseso ng pagdaragdag ng VLAN label (aka tag) sa mga traffic frame.

Karaniwan, ang mga end host ay hindi nagtatag ng trapiko (halimbawa, mga computer ng gumagamit). Ginagawa ito ng mga switch sa network. Bukod dito, ang mga end host ay hindi man lang pinaghihinalaan na sila ay nasa ganoon at ganoong VLAN. Sa mahigpit na pagsasalita, ang trapiko sa iba't ibang mga VLAN ay hindi naiiba sa anumang espesyal.

Kung ang trapiko mula sa iba't ibang VLAN ay maaaring dumaan sa isang switch port, kung gayon ang switch ay dapat kahit papaano ay makilala ito. Upang gawin ito, ang bawat frame ay dapat na minarkahan ng ilang uri ng label.

Ang pinakakaraniwang ginagamit na teknolohiya ay ang inilarawan sa detalye ng IEEE 802.1Q. Mayroon ding iba pang mga proprietary protocol (mga detalye).

802.1q

802.1q- Ito bukas na pamantayan, na naglalarawan sa pamamaraan ng pag-tag ng trapiko.

Upang gawin ito, inilalagay ang isang tag sa frame body (Larawan 2) na naglalaman ng impormasyon tungkol sa membership ng VLAN. kasi ang tag ay inilalagay sa katawan, at hindi sa header ng frame, pagkatapos ay ang mga device na hindi sumusuporta sa mga VLAN ay malinaw na pumasa sa trapiko, iyon ay, nang hindi isinasaalang-alang ang pagbubuklod nito sa isang VLAN.

Ang laki ng label (tag) ay 4 bytes lamang. Binubuo ng 4 na field (Fig. 3):

  • Tag Protocol Identifier(TPID, Tagging Protocol Identifier). Ang laki ng field ay 16 bits. Isinasaad kung aling protocol ang ginagamit para sa pag-tag. Para sa 802.1Q ang halaga ay 0x8100.
  • Priyoridad(priyoridad). Ang laki ng field ay 3 bits. Ginamit ng pamantayang IEEE 802.1p upang itakda ang priyoridad ng ipinadalang trapiko.
  • Tagapahiwatig ng Canonical Format(CFI, canonical format indicator). Ang laki ng field ay 1 bit. Ipinapahiwatig ang format ng MAC address. 0 - canonical, 1 - non-canonical. Ginagamit ang CFI para sa pagiging tugma sa pagitan ng Mga network ng Ethernet at Token Ring.
  • VLAN Identifier(VID, VLAN ID). Ang laki ng field ay 12 bits. Isinasaad kung saang VLAN kabilang ang frame. Ang hanay ng mga posibleng halaga ay mula 0 hanggang 4095.

Kung ang trapiko ay na-tag, o vice versa - ang tag ay aalisin, pagkatapos checksum frame is recalculated (CRC).

Katutubong VLAN

Ang pamantayang 802.1q ay nagbibigay din para sa pagtatalaga ng VLAN ng trapiko na naglalakbay nang walang tag, i.e. hindi naka-tag. Ang VLAN na ito ay tinatawag na katutubong VLAN, bilang default ito ay VLAN 1. Ito ay nagpapahintulot sa trapiko na hindi aktwal na naka-tag na maituturing na na-tag.

802.1ad

802.1ad ay isang bukas na pamantayan (katulad ng 802.1q) na naglalarawan ng double tag (Fig. 4). Kilala rin bilang Q-in-Q, o Mga nakasalansan na VLAN. Ang pangunahing pagkakaiba mula sa nakaraang pamantayan ay ang pagkakaroon ng dalawang VLAN - panlabas at panloob, na nagpapahintulot sa iyo na hatiin ang network hindi sa 4095 VLAN, ngunit sa 4095x4095.

Gayundin, ang pagkakaroon ng dalawang tag ay nagbibigay-daan sa iyo upang ayusin ang mas nababaluktot at mga kumplikadong network operator. Gayundin, may mga kaso kung kailan kailangang ayusin ng operator ang isang L2 na koneksyon para sa dalawang magkaibang kliyente sa dalawang magkaibang lungsod, ngunit ang mga kliyente ay nagpapadala ng trapiko na may parehong tag (Larawan 5).

Ang Client-1 at client-2 ay may mga sangay sa mga lungsod A at B, kung saan mayroong network ng parehong provider. Ang parehong mga kliyente ay kailangang i-link ang kanilang mga sangay sa dalawang magkaibang lungsod. Bilang karagdagan, para sa mga pangangailangan nito, ang bawat kliyente ay nagta-tag ng trapiko ng 1051 VLAN. Alinsunod dito, kung ipinapasa ng provider ang trapiko ng parehong mga kliyente sa pamamagitan ng sarili nito sa isang solong VLAN, ang isang aksidente sa isang kliyente ay maaaring makaapekto sa pangalawang kliyente. Bukod dito, ang trapiko mula sa isang kliyente ay maaaring ma-intercept ng isa pang kliyente. Upang ihiwalay ang trapiko ng customer, ang pinakamadaling paraan para sa isang operator ay ang paggamit ng Q-in-Q. Sa pamamagitan ng pagdaragdag ng karagdagang tag sa bawat indibidwal na kliyente (halimbawa, 3083 sa client-1 at 3082 sa client-2), ihihiwalay ng operator ang mga kliyente sa isa't isa nang hindi kailangang baguhin ng mga kliyente ang tag.

Katayuan ng port

Ang mga switch port, depende sa operasyong isinagawa sa mga VLAN, ay nahahati sa dalawang uri:

  • na-tag(aka trunk port, baul, sa cisco terminalology) ay isang port na nagbibigay-daan lamang sa trapiko na may partikular na tag;
  • hindi naka-tag(aka accessory, access, sa cisco terminalology) - pagpasok port na ito, ang hindi naka-tag na trapiko ay "nakabalot" sa isang tag.

Mayroong dalawang mga diskarte sa pagtatalaga ng isang port sa isang partikular na VLAN:

  • Static na pagtatalaga- kapag ang VLAN ng isang port ay tinukoy ng administrator;
  • Dynamic na pagtatalaga- kapag ang VLAN ng isang port ay tinutukoy sa panahon ng pagpapatakbo ng switch gamit ang mga pamamaraan na inilarawan sa mga espesyal na pamantayan, tulad ng 802.1X.

Pagpapalit ng mesa

Ang switching table kapag gumagamit ng mga VLAN ay ang mga sumusunod (sa ibaba ay ang switching table para sa switch na hindi sumusuporta sa mga VLAN):

Port MAC address
1 A
2 B
3 C

Kung ang switch ay sumusuporta sa mga VLAN, ang switching table ay magiging ganito:

Port VLAN MAC address
1 345 A
2 879 B
3 default C

kung saan ang default ay native vlan.

Mga Protocol, nagtatrabaho sa VLAN

GVRP(ang analogue nito sa Cisco ay VTP) ay isang protocol na tumatakbo sa antas ng data link, na ang gawain ay bumababa sa pagpapalitan ng impormasyon tungkol sa mga magagamit na VLAN.

MSTP(PVSTP, PVSTP++ para sa Cisco) - isang protocol, isang pagbabago ng STP protocol, na nagpapahintulot sa iyo na bumuo ng isang "puno" na isinasaalang-alang ang iba't ibang mga VLAN.

LLDP(CDP, mula sa Cisco) ay isang protocol na ginagamit upang makipagpalitan ng mapaglarawang impormasyon tungkol sa network sa pangkalahatan, bilang karagdagan sa impormasyon tungkol sa mga VLAN, namamahagi din ito ng impormasyon tungkol sa iba pang mga setting.

Mga VLAN- ito ay mga virtual network na umiiral sa ikalawang antas ng modelo OSI. Iyon ay, ang VLAN ay maaaring i-configure sa ikalawang antas. Kung titingnan natin ang mga VLAN, mula sa konsepto ng "mga virtual na network," maaari nating sabihin na ang isang VLAN ay isang label lamang sa isang frame na ipinapadala sa network. Ang label ay naglalaman ng numero ng VLAN (tinatawag na VLAN ID o VID), na inilalaan ng 12 bits, iyon ay, ang VLAN ay maaaring bilangin mula 0 hanggang 4095. Ang una at huling numero ay nakalaan at hindi magagamit. Kadalasan, walang alam ang mga workstation tungkol sa mga VLAN (maliban kung partikular mong i-configure ang mga VLAN sa mga card). Iniisip sila ng mga switch. Ang mga switch port ay nagpapahiwatig kung aling VLAN sila. Depende dito, ang lahat ng trapiko na lumalabas sa port ay minarkahan ng isang label, iyon ay, isang VLAN. Kaya ang bawat port ay may PVID ( identifier ng port vlan Ang trapikong ito ay maaaring dumaan sa iba pang mga port sa (mga) switch na nasa VLAN na ito at hindi dadaan sa lahat ng iba pang port. Bilang isang resulta, ito ay nilikha nakahiwalay na kapaligiran(subnet), na wala karagdagang device(router) ay hindi maaaring makipag-ugnayan sa ibang mga subnet.

Bakit kailangan ang mga vilan?

  • Posibilidad ng pagbuo ng isang network, lohikal na istraktura na hindi nakadepende sa pisikal. Ibig sabihin, ang network topology sa antas ng link ng data ay binuo anuman ang heyograpikong lokasyon ng mga bumubuong bahagi ng network.
  • Ang kakayahang hatiin ang isang broadcast domain sa ilang broadcast domain. Ibig sabihin, trapiko sa broadcast ang isang domain ay hindi pumasa sa isa pang domain at vice versa. Binabawasan nito ang pagkarga sa mga network device.
  • Ang kakayahang i-secure ang network mula sa hindi awtorisadong pag-access. Iyon ay, sa antas ng link, ang mga frame mula sa iba pang mga vilan ay puputulin ng switch port, anuman ang pinagmulan ng IP address na naka-encapsulate ang packet sa frame na ito.
  • Ang kakayahang maglapat ng mga patakaran sa isang pangkat ng mga device na matatagpuan sa parehong vilana.
  • Posibilidad na gamitin mga virtual na interface para sa pagruruta.

Mga halimbawa paggamit ng VLAN

  • Pinagsasama sa iisang network mga computer na konektado sa iba't ibang switch. Sabihin nating mayroon kang mga computer na nakakonekta sa iba't ibang switch, ngunit kailangan nilang pagsamahin sa isang network. Ikokonekta namin ang ilang mga computer sa isang virtual na lokal na network VLAN 1, at iba pa - sa network VLAN 2. Salamat sa function VLAN ang mga computer sa bawat virtual network ay gagana na parang nakakonekta sa parehong switch. Mga computer mula sa iba't ibang mga virtual network VLAN 1 At VLAN 2 magiging invisible sa isa't isa.
  • Dibisyon sa iba't ibang mga subnet mga computer na konektado sa parehong switch. Sa figure, ang mga computer ay pisikal na konektado sa parehong switch, ngunit pinaghihiwalay sa iba't ibang mga virtual network VLAN 1 At VLAN 2. Ang mga computer mula sa iba't ibang mga virtual na subnet ay hindi makikita ng bawat isa.

  • Dibisyon ng guest room Mga Wi-Fi network at mga enterprise na Wi-Fi network. Sa figure, ang isa ay pisikal na konektado sa router Wi-Fi hotspot access. Dalawang virtual na Wi-Fi point na may mga pangalan ang ginawa sa puntong iyon HotSpot At Opisina. SA HotSpot Ikokonekta ang mga laptop ng bisita sa pamamagitan ng Wi-Fi para ma-access ang Internet, at Opisina- mga laptop ng negosyo. Para sa mga kadahilanang pangseguridad, mahalagang walang access ang mga guest laptop sa network ng enterprise. Para sa layuning ito, ang mga enterprise computer at virtual na Wi-Fi tuldok Opisina pinagsama sa isang virtual na lokal na network VLAN 1, at ang mga guest laptop ay nasa isang virtual network VLAN 2. Mga bisitang laptop mula sa network VLAN 2 ay hindi magkakaroon ng access sa network ng enterprise VLAN 1.

Mga kalamangan ng paggamit ng VLAN

  • Nababaluktot na paghahati ng mga device sa mga pangkat
  • Bilang isang patakaran, ang isang VLAN ay tumutugma sa isang subnet. Ang mga computer na matatagpuan sa iba't ibang VLAN ay ihihiwalay sa isa't isa. Maaari mo ring pagsamahin ang mga computer na konektado sa iba't ibang switch sa isang virtual network.
  • Pagbabawas ng trapiko sa broadcast sa network
  • Ang bawat VLAN ay kumakatawan sa isang hiwalay na broadcast domain. Ang trapiko ng broadcast ay hindi mai-broadcast sa pagitan ng iba't ibang VLAN. Kung iko-configure mo ang parehong VLAN sa iba't ibang switch, ang mga port ng iba't ibang switch ay bubuo ng isang broadcast domain.
  • Nadagdagang seguridad at kakayahang pamahalaan ng network
  • Sa isang network na nahahati sa mga virtual na subnet, maginhawang maglapat ng mga patakaran at panuntunan sa seguridad para sa bawat VLAN. Ilalapat ang patakaran sa buong subnet, sa halip na sa isang indibidwal na device.
  • Pagbabawas ng dami ng kagamitan at cable ng network
  • Upang lumikha ng bagong virtual lokal na network hindi na kailangang bumili ng switch o mag-install ng network cable. Gayunpaman, dapat kang gumamit ng mas mahal pinamamahalaang switch na may suporta sa VLAN.

Naka-tag at hindi naka-tag na mga port

Kapag ang isang port ay dapat na makatanggap o makapagpadala ng trapiko mula sa iba't ibang mga VLAN, dapat itong nasa isang naka-tag o naka-trunk na estado. Ang mga konsepto ng isang trunk port at isang naka-tag na port ay pareho. Ang isang trunked o naka-tag na port ay maaaring magdala ng parehong indibidwal na tinukoy na mga VLAN at lahat ng mga default na VLAN maliban kung tinukoy. Kung ang isang port ay hindi naka-tag, maaari lamang itong magdala ng isang VLAN (native). Kung ang isang port ay hindi nagsasaad kung aling VLAN ito, pagkatapos ay ipinapalagay na ito ay nasa isang hindi naka-tag na estado sa unang VLAN (VID 1).

Sari-saring kagamitan na-configure nang iba sa sa kasong ito. Para sa isang kagamitan, kailangan mong ipahiwatig sa pisikal na interface kung ano ang estado ng interface na ito, at sa kabilang banda, sa isang partikular na VLAN, kailangan mong ipahiwatig kung aling port ang nakaposisyon bilang - mayroon o walang tag. At kung kinakailangan para sa port na ito na dumaan sa ilang mga VLAN, pagkatapos ay sa bawat isa sa mga VLAN na ito kailangan mong irehistro ang port na ito gamit ang isang tag. Halimbawa, sa mga switch Mga Network ng Enterasys dapat nating ipahiwatig kung aling VLAN ang isang port at idagdag ang port na ito sa egress list ng VLAN na ito upang ang trapiko ay makadaan sa port na ito. Kung gusto naming dumaan ang trapiko ng isa pang VLAN sa aming port, idagdag din namin ang port na ito sa listahan ng egress ng VLAN na ito. Sa kagamitan HP(halimbawa, mga switch ProCurve) sa VLAN mismo, ipinapahiwatig namin kung aling mga port ang maaaring pumasa sa trapiko mula sa VLAN na ito at idagdag ang katayuan ng mga port - na-tag o hindi naka-tag. Pinakamadali sa hardware Mga Sistema ng Cisco. Sa ganitong mga switch ipinapahiwatig lamang namin kung aling mga port ang hindi naka-tag kung saan ang mga VLAN (nasa access) at kung aling mga port ang nasa naka-tag na estado (sa baul).

Upang i-configure ang mga port sa mode baul ang mga espesyal na protocol ay nilikha. Isa sa mga ito ay may IEEE standard 802.1Q. Ito internasyonal na pamantayan, na sinusuportahan ng lahat ng mga tagagawa at kadalasang ginagamit upang i-configure ang mga virtual network. Bukod, iba't ibang mga tagagawa maaaring magkaroon ng sarili nilang mga protocol sa paglilipat ng data. Halimbawa, Cisco lumikha ng isang protocol para sa kagamitan nito ISL (Inter Switch Lisk).

Pagruruta ng Intervlan

Ano ang inter-vlan routing? Ito ay normal na pagruruta ng subnet. Ang pagkakaiba lang ay ang bawat subnet ay tumutugma sa isang VLAN sa ikalawang antas. Ano ang ibig sabihin nito. Sabihin nating mayroon tayong dalawang VLAN: VID = 10 at VID = 20. Sa pangalawang antas, hinati ng mga VLAN na ito ang isang network sa dalawang subnet. Ang mga host na matatagpuan sa mga subnet na ito ay hindi nagkikita. Iyon ay, ang trapiko ay ganap na nakahiwalay. Upang makipag-usap ang mga host sa isa't isa, kinakailangan na iruta ang trapiko ng mga VLAN na ito. Upang gawin ito, kailangan naming magtalaga ng isang interface sa bawat VLAN sa ikatlong antas, iyon ay, maglakip ng isang IP address sa kanila. Halimbawa, para sa VID = 10 IP address ito ay magiging 10.0.10.1/24, at para sa VID = 20 IP address ito ay magiging 10.0.20.1/24. Ang mga address na ito ay higit na magsisilbing mga gateway para sa pag-access sa iba pang mga subnet. Kaya, maaari naming ruta ang trapiko ng host mula sa isang VLAN patungo sa isa pang VLAN. Ano ang ginagawa ng pagruruta ng VLAN kumpara sa simpleng pagruruta ng mga network na walang mga VLAN? Narito kung ano:

  • Ang kakayahang maging miyembro ng isa pang subnet sa panig ng kliyente ay naharang. Iyon ay, kung ang isang host ay nasa isang partikular na VLAN, kung gayon kahit na binago nito ang address nito mula sa isa pang subnet, mananatili pa rin ito sa VLAN kung saan ito naroroon. Nangangahulugan ito na hindi ito makakakuha ng access sa isa pang subnet. At ito naman, ay mapoprotektahan ang network mula sa "masamang" mga kliyente.
  • Maaari tayong maglagay ng maraming pisikal na switch interface sa isang VLAN. Iyon ay, mayroon kaming pagkakataon na agad na i-configure ang pagruruta sa isang third-level switch sa pamamagitan ng pagkonekta ng mga network client dito, nang hindi gumagamit ng external na router. O magagamit natin panlabas na router nakakonekta sa pangalawang layer switch kung saan naka-configure ang mga VLAN, at lumikha ng maraming subinterface sa port ng router dahil may kabuuang mga VLAN na dapat nitong ruta.
  • Napakaginhawang gamitin ang pangalawang antas sa anyo ng isang VLAN sa pagitan ng una at ikatlong antas. Maginhawang markahan ang mga subnet bilang mga VLAN na may mga partikular na interface. Ito ay maginhawa upang i-configure ang isang VLAN at maglagay ng isang grupo ng mga switch port dito. At sa pangkalahatan, maginhawang gumawa ng maraming bagay kapag mayroong VLAN.

Ang mga VLAN ay mga broadcast domain, o mga virtual network kung gugustuhin mo, na umiiral sa pangalawang layer ng modelo ng OSI. Iyon ay, ang wealan ay maaaring i-configure sa pangalawang antas na switch. Kung titingnan natin ang VLAN, mula sa konsepto ng "mga virtual network," masasabi nating ang VLAN ay isang label lamang sa isang frame na ipinapadala sa network. Ang label ay naglalaman ng numero ng villan (ito ay tinatawag na VLAN ID o VID), na inilalaan ng 12 bits, iyon ay, ang villan ay maaaring bilangin mula 0 hanggang 4095. Ang una at huling mga numero ay nakalaan at hindi magagamit. Walang alam ang mga workstation tungkol sa mga vilan. Iniisip sila ng mga switch. Ang mga port ng mga switch ay nagpapahiwatig kung saang lane sila matatagpuan. Depende dito, ang lahat ng trapiko na lumalabas sa port ay minarkahan ng isang label, iyon ay, isang wean. Kaya, ang trapikong ito ay maaaring dumaan sa ibang mga port ng (mga) switch na nasa villan na ito at hindi dadaan sa lahat ng iba pang port. Bilang resulta, ang isang nakahiwalay na kapaligiran (subnet) ay nilikha, na, nang walang karagdagang aparato (router), ay hindi maaaring makipag-ugnayan sa iba pang mga subnet.

Bakit kailangan ang mga vilan?

  • Ang kakayahang bumuo ng isang network na ang lohikal na istraktura ay hindi nakasalalay sa pisikal. Ibig sabihin, ang network topology sa antas ng link ng data ay binuo anuman ang heyograpikong lokasyon ng mga bumubuong bahagi ng network.
  • Ang kakayahang hatiin ang isang broadcast domain sa ilang broadcast domain. Iyon ay, ang trapiko ng broadcast mula sa isang domain ay hindi pumasa sa isa pang domain at vice versa. Binabawasan nito ang pagkarga sa mga network device.
  • Ang kakayahang i-secure ang network mula sa hindi awtorisadong pag-access. Iyon ay, sa antas ng link, ang mga frame mula sa iba pang mga vilan ay puputulin ng switch port, anuman ang pinagmulan ng IP address na naka-encapsulate ang packet sa frame na ito.
  • Ang kakayahang maglapat ng mga patakaran sa isang pangkat ng mga device na matatagpuan sa parehong vilana.
  • Kakayahang gumamit ng mga virtual na interface para sa pagruruta.

Naka-tag at hindi naka-tag na mga port

Kapag ang isang port ay dapat na makatanggap o makapagpadala ng trapiko mula sa iba't ibang mga vilan, dapat itong nasa isang naka-tag o trunk na estado Ang konsepto ng isang trunk port at isang naka-tag na port ay halos pareho, maliban sa ilang mga tampok. Ang isang trunk port ay nangangahulugan na ito ay pumasa sa trapiko mula sa lahat ng mga vilan, habang ang isang naka-tag na port ay maaari lamang para sa ilang mga vilan. Iba't ibang kagamitan ang na-configure nang iba sa kasong ito. Para sa isang piraso ng kagamitan, kailangan mong ipahiwatig sa pisikal na interface kung ano ang estado nito o ang port na iyon, at sa kabilang banda, sa isang partikular na LAN, kailangan mong ipahiwatig kung aling port ang nakaposisyon sa anong paraan - may tag o walang . At kung kinakailangan para sa port na ito na dumaan sa maraming Vilan, pagkatapos ay sa bawat isa sa mga Vilan na ito kailangan mong irehistro ang port na ito gamit ang isang tag. Halimbawa, sa mga switch ng Enterasys Networks (dating Cabletron Systems), dapat nating tukuyin kung saang villa matatagpuan ang isang partikular na port at idagdag ang port na ito sa egress list ng villan na ito para dumaan ang trapiko sa port na iyon. Kung gusto nating dumaan ang trapiko ng isa pang kontrabida sa ating daungan, pagkatapos ay idinagdag natin ang port na ito sa listahan ng paglabas ng kontrabida na ito. Sa kagamitan ng HP (halimbawa, mga switch ng ProCurve), sa mismong kontrabida, ipinapahiwatig namin kung aling mga port ang maaaring makapasa sa trapiko ng kontrabida na ito at idagdag ang katayuan ng mga port - na-tag o hindi naka-tag. Ang pinakamadaling paraan ay ang Mga kagamitan sa Cisco Mga sistema. Sa mga naturang switch, ipinapahiwatig lang namin kung aling mga port ang hindi naka-tag kung aling mga fork (nasa access mode) at kung aling mga port ang nasa Trunk state - nagpapadala sila ng trapiko mula sa lahat ng mga fork na na-configure sa switch. Ang mga espesyal na protocol ay nilikha upang i-configure ang mga port sa trunk mode. Ang isa sa mga ito ay may pamantayang IEEE 802.1Q. Bilang karagdagan, ang iba't ibang mga tagagawa ay maaaring magkaroon ng kanilang sariling mga protocol ng paglilipat ng data mula sa iba't ibang mga vilan. Halimbawa, nilikha ng Cisco ang protocol ng ISL (Inter Switch Lisk) para sa kagamitan nito.

Inter-village routing

Ano ang inter-village routing? Ito ay normal na pagruruta ng subnet. Ang pagkakaiba lang ay ang bawat subnet ay tumutugma sa isang VLAN sa ikalawang antas. Ano ang ibig sabihin nito. Sabihin nating mayroon tayong dalawang vilan: VLAN ID = 10 at VLAN ID = 20. Sa pangalawang antas, hinati ng mga vilan na ito ang isang network sa dalawang subnet. Ang mga host na matatagpuan sa mga subnet na ito ay hindi nagkikita. Iyon ay, ang trapiko ay ganap na nakahiwalay. Upang makipag-usap ang mga host sa isa't isa, kinakailangan na iruta ang trapiko ng mga vilan na ito. Upang gawin ito, kailangan naming magtalaga ng isang interface sa bawat isa sa mga Vilan sa ikatlong antas, iyon ay, maglakip ng isang IP address sa kanila. Halimbawa, para sa VID = 10 IP address ito ay magiging 10.0.10.1/24, at para sa VID = 20 IP address ito ay magiging 10.0.20.1/24. Ang mga address na ito ay higit na magsisilbing mga gateway para sa pag-access sa iba pang mga subnet. Kaya, maaari naming iruta ang trapiko ng host mula sa isang villan patungo sa isa pang villan. Ano ang ibinibigay sa atin ng villan routing kumpara sa simpleng network routing nang hindi gumagamit ng vilans? Narito kung ano:

  • Ang kakayahang maging miyembro ng isa pang subnet sa panig ng kliyente ay naharang. Ibig sabihin, kung ang isang host ay matatagpuan sa isang partikular na villan, kung gayon kahit na baguhin nito ang addressing nito mula sa isa pang subnet, mananatili pa rin ito sa villan na kinaroroonan nito. Nangangahulugan ito na hindi ito makakakuha ng access sa isa pang subnet. At ito naman, ay mapoprotektahan ang network mula sa "masamang" mga kliyente.
  • Magagamit namin ang Vilan sa ilang pisikal na interface ng switch. Iyon ay, mayroon kaming pagkakataon na agad na i-configure ang pagruruta sa isang third-level switch sa pamamagitan ng pagkonekta ng mga network client dito, nang hindi gumagamit ng external na router. O maaari tayong gumamit ng external na router na nakakonekta sa pangalawang antas na switch kung saan naka-configure ang mga vilan, at gumawa ng maraming subinterface sa port ng router dahil may kabuuang mga vilan na dapat nitong ruta.
  • Ito ay napaka-maginhawang gamitin ang pangalawang antas sa anyo ng mga vilan sa pagitan ng una at ikatlong antas. Maginhawang markahan ang mga subnet bilang mga vilan na may mga partikular na interface. Ito ay maginhawa upang i-configure ang isang vilan at maglagay ng isang grupo ng mga switch port dito. At sa pangkalahatan, maginhawang gumawa ng maraming bagay kapag may mga vilan.

Na-save mula dito: habrahabr.ru/post/130053



MGA KAUGNAY NA ARTIKULO