budování Switched Ethernet sítě
VLAN nebo virtuální LAN technologie má severaladvantages.It může vytvořit síť levnější a jednodušší stavět, a snadněji udržovat a upravovat.Podívejme se, jak aplikovat technologii VLAN.
Zamysleme se nejprve nad Vaším ideálním a zjednodušeným prostředím pro práci se sítí.
všechna vaše zařízení-servery — klienti, tiskárny a směrovače, které vás připojují k jiným sítím a do zbytku internetu – budou propojeny pomocí ethernetových přepínačů.Zařízení a jejich přepínací porty by běžely v plném duplexním režimu přiměřeně vysokou rychlostí.
skutečnost, že se jedná spíše o přepínač než o rozbočovač (také nazývaný koncentrátor nebo opakovač v době, kdy byly rozbočovače stále používány), znamená, že vaše skutečná propustnost dat může být80% skutečné rychlosti drátu, na rozdíl od 10% a dolů.
přepínač také poskytuje určitou obranu proti čichání paketů a shromažďování hesel a dalších citlivých dat autorizovanými hostiteli.Jen nějaká ochrana, ne tak moc, protože existují útoky, které mohou zmást ARP mezipaměti koncových bodů a přimět je, aby přesměrovali data nevhodně bez známek.Pokud to chcete Prozkoumat, Přejděte na arpspoof, část balíčkudsniff.
chcete rozdělit svůj provoz do relativelysmall podsítí ze dvou důvodů.Za prvé, zabezpečení: čichací útok založený naarpspooffunguje pouze tehdy, když je útočník ve stejné síti LAN.Menší počet hostitelů na LAN znamená buď menší šanci, že jste ve stejné síti LAN jako útočník, nebo menší počet cílů, které má hacker k dispozici, nicméně se na to chcete podívat.Za druhé, lepší propustnost dat.
takže byste šli ven a koupili si alespoň několik přepínačůjeden na podsíť.Podsítí překlenující více přepínačů by vyžadovalo, aby tyto přepínače byly propojeny.Poté spusťte ethernetový kabel z každého uzlu na příslušnéspínač.Dále připojte více portů jednoho nebo více směrovačůdo přepínačů, jeden na přepínač, pro připojení podsítí.Nakonec nakonfigurujte směrovače a jednotlivé hostitele.
existují dva problémy s tímto přístupem.
Za prvé, vaše podsítí pravděpodobně budou mít širokou velikost.Páteř spojující podsítí dohromady potřebuje pouze asmany portů, protože existují podsítí, pravděpodobně plus jeden toconnect k routeru vedoucímu k internetu.Mezitím některé další podsítí mohou mít desítky hostitelů.Budete muset koupit (a podporovat) širokou škáluhardware a skončíte s „zbytečnými porty“, přepínáníms možná 48 porty, ale 10-20 z nich bude nevyužito.
za druhé, když se rozhodnete, že řada hostitelů musí být přesunuta ze svých původních podsítí do jiných podsítí, přinejmenším máte nějaké kabely, které je třeba znovu spustit.S větší pravděpodobností budete muset koupit více hardwaru, protože jedenz přepínačů právě došly porty.
to, co děláte, vypadá následovně.Řekněme, že máte dvě podsítě, A A B, a dvě místnosti se síťovými hostiteli, pokoje 1 a 2.Budete muset připojit takové věci, kdepísmena “ A “ A “ B “ označují jednotlivé hostitele v těchto podsítích.
Ano, použité přepínače jsou na eBay docela levné, ale to zahrnuje hromadu přepínačů v každé místnosti.Možná budeme muset přidat další přepínač, pokud přesuneme pouze onehost z původní podsítě do jiné.Ještě horší je, co když se rozhodneme přidat další podsítě další rozdělení provozu?
technologie VLAN tyto problémy řeší!
je třeba naprogramovat svou sbírku přepínačůpartition sami do více virtuálních Lan.Přepínač pouze předává rámce mezi porty na stejné VLAN.Jinak řečeno, každá VLAN je vlastnídoména broadcast.Má také jedinečný blok logických adres IP.Můžete překonfigurovat, do které VLAN fyzický port patří, a efektivně přesunout hostitele do nové sítě LAN bez změny kabeláže.
pakety musí projít směrovačemcestovat mezi VLAN.VLAN logicky rozdělují velké fyzické LANto zvýšení bezpečnosti.Směrovače mohou předávat pakety mezi VLAN, s výhradou jakýchkoli pravidel filtrování paketů.To by mohlo vést k podivně vypadající situaci arouteru s více ethernetovými rozhraními připojenými ke stejnému přepínači.
to, co opravdu děláte, je nastavit více dílčích rozhraní na jednom fyzickém rozhraní.Jen jeden kabel od routeru k přepínači, ale na alogické IP vrstvě je to, jako by to byly dvě připojení.Naprogramujete tento přepínač tak, aby port, do kterého se připojíte směrovač patří do více VLAN.
přes atrunk lze připojit více přepínačů připojených ke speciálně určeným portům.Pravděpodobně budete používat theIEEE 802.1 qtrunking protokol pro předávání provozu mezi switches.It vloží 32bitové pole mezi zdrojovou adresu Maca pole Ethertype.Přepínače Cisco mohou spouštět proprietární protokol DTPDynamic Trunking Protocol.
ve výše uvedeném příkladu, každý hostitel na VLAN a je přímo připojen ke každému jinému VLAN hostiteli a může poslat aframe přímo přes kmeny přepínačů.Ale poslat paket hostit na VLAN B, to byldsee, že cílová IP adresa byla na jiném logicalnetwork, a tak by to wouldsend to routeru port na VLAN a. router by pak přenášet ven jeho VLAN B port.
směrování IP
logika
paket by musel být předán přes router, protože přepínače odmítají předávat rámce mezi VLAN.Směrovač by pak poslal paket přímo přes druhou VLAN ze svého portu připojeného k příslušné VLAN.
pokud s tím chcete experimentovat, jsou k dispozici přepínače VLAN-capableCisco 2900-XL 100 Mbps, které se používají onebay for $ 30-60 eachvčetně přepravy.
Rack ethernetových přepínačů.