VLAN (rețea locală virtuală) - un grup de dispozitive care au capacitatea de a interacționa direct unul cu celălalt la stratul de legătură, deși fizic ele pot fi conectate la diferite switch-uri de rețea. În schimb, dispozitivele din VLAN diferite nu se pot vedea reciproc la nivel de legătură, chiar dacă sunt conectate la același switch, iar comunicarea între aceste dispozitive este posibilă numai la rețea și la niveluri mai înalte.
În rețelele moderne, VLAN este mecanismul principal pentru crearea unei topologii de rețea logică care nu depinde de topologia sa fizică. VLAN-urile sunt utilizate pentru a reduce traficul de difuzare în rețea. Ele au o importanță deosebită din punctul de vedere al securității, în special ca mijloc de combatere a fraudei ARP.
De ce am nevoie de VLAN?
Partiție flexibilă a dispozitivului
De obicei, un VLAN corespunde unei subretele. Dispozitivele aflate în diferite VLAN-uri vor fi pe diferite subrețele. În același timp, VLAN-ul nu este legat de locația dispozitivelor, astfel încât dispozitivele care sunt distanțate unul față de celălalt pot fi încă în același VLAN indiferent de locație
Reducerea numărului de trafic difuzat în rețea
Fiecare VLAN este un domeniu difuzat separat. De exemplu, un comutator este un dispozitiv pe 2 nivele al modelului OSI. Toate porturile de pe switch, în cazul în care nu există VLAN-uri, se află în același domeniu de difuzare. Crearea unui VLAN pe comutator înseamnă împărțirea comutatorului în mai multe domenii de difuzare. Dacă același VLAN se află pe switch-uri diferite, porturile diferitelor comutatoare vor forma un singur domeniu de difuzare.
Creșteți securitatea și gestionabilitatea rețelei
Atunci când rețeaua este împărțită în VLAN-uri, sarcina de a aplica politici și reguli de securitate este simplificată. Cu ajutorul politicilor VLAN, puteți aplica la subrețele întregi, nu la un singur dispozitiv. În plus, trecerea de la un VLAN la altul implică trecerea printr-un dispozitiv cu 3 niveluri, care este, în general, supus politicilor care permit sau refuză accesul din VLAN la VLAN.
Etichetarea traficului VLAN
Calculatorul la trimiterea traficului către rețea nu ghicește nici măcar în ce VLAN se află. Comutatorul se gândește la asta. Comutatorul știe că computerul conectat la un anumit port este în VLAN corespunzător. Traficul care ajunge la portul unei anumite VLAN nu diferă deloc de traficul unui alt VLAN. Cu alte cuvinte, nu există informații despre atribuirea traficului unui anumit VLAN.
Cu toate acestea, în cazul în care portul poate primi trafic de la VLAN-uri diferite, comutatorul trebuie să o distingă într-un fel. Pentru a face acest lucru, fiecare cadru al traficului trebuie marcat în mod special. Eticheta ar trebui să vorbească despre traficul VLAN de care aparține traficul.
Cea mai obișnuită modalitate acum de a pune o astfel de marcă este descrisă în standardul deschis IEEE 802.1Q. Există protocoale de proprietate care rezolvă probleme similare, de exemplu, protocolul ISL de la Cisco Systems, dar popularitatea lor este mult mai mică (și scade).
VLAN membru
Switch porturile care acceptă VLAN-uri (cu unele ipoteze) pot fi împărțite în două seturi:
Porturi marcate (sau porturi trunchi, porturi trunchi în terminologia Cisco).
Porturi nedetectate (sau porturi de acces, porturi de acces în terminologia Cisco);
Porturile marcate sunt necesare pentru a putea transfera mai multe VLAN-uri printr-un singur port și, prin urmare, pentru a primi traficul mai multor VLAN-uri către un singur port. Informațiile privind proprietatea asupra traficului VLAN, așa cum am menționat mai sus, sunt indicate într-o etichetă specială. Fără o etichetă, comutatorul nu va putea distinge traficul de VLAN-uri diferite.
Dacă portul nu este etichetat în anumite VLAN-uri, atunci traficul acestui VLAN este transmis fără o etichetă. Pe Cisco fără tag, portul poate fi doar într-un singur VLAN. pe alte switch-uri (de exemplu, ZyXEL, D-Link și Planet) această restricție nu există.
Dacă portul este etichetat pentru mai multe VLAN-uri, atunci în acest caz tot traficul neetichetat va fi recepționat de un VLAN nativ special (VLAN nativ). Cu acest parametru (nativ, PVID, port VID), apare cea mai mare confuzie. De exemplu, planeta comută pentru funcționarea corectă a portului fără tag vă solicită să puneți portul în VLAN, să setați modul de port fără tag și să atribuiți același număr VLAN PVID-ului acestui port. HP ProCurve face opusul, portul marcat începe să funcționeze ca etichetat numai dacă PVID-ul său este setat la "None".
Dacă portul aparține unui singur VLAN ca neetichetat, atunci traficul marcat prin intermediul unui astfel de port trebuie șters. De fapt, acest comportament este de obicei configurat.
Cel mai simplu mod de a afla dacă „uită“ structura internă a întregului comutator și un început numai pentru porturi. Să presupunem că există un număr VLAN 111, există două porturi care aparțin VLAN 111. Ele comunică doar între ele, cu neetichetate / acces-port de trafic merge la neetichetate /-trunchi traficul port de etichetat etichetat în VLAN 111. Toate conversiile necesare în mod transparent Comutatorul este în interiorul lui.
În mod obișnuit, în mod implicit, toate porturile de comutare sunt considerate membri ne-atașați ai VLAN 1. În timpul configurării sau operării comutatorului, acestea pot fi mutate în alte VLAN-uri.
Există două modalități de atribuire a unui port unui anumit VLAN:
1) Alocare statică - când portul VLAN aparține administratorului în timpul procesului de configurare;
2) Alocare dinamică - când portul VLAN este alocat comutatorului în timpul funcționării comutatorului utilizând procedurile descrise în standarde speciale, cum ar fi 802.1X. Când se utilizează 802.1X pentru a accesa portul de comutare, utilizatorul se autentifică pe serverul RADIUS. Ca urmare a autentificării, portul de comutare este localizat în unul sau altul VLANe (mai mult: 802.1X și RADIUS).
Articole similare
Trimiteți-le prietenilor: