Gebäude Switched Ethernet-Netzwerke
VLAN oder virtuelle LAN-Technologie hat severaladvantages.It kann ein Netzwerk billiger und einfacher zu bauen, und einfacher zu warten und zu ändern.Mal sehen, wie man die VLAN-Technologie anwendet.
Lassen Sie uns zuerst über Ihre ideale und vereinfachte Netzwerkumgebung nachdenken.
Alle Ihre Geräte – Ihre Server, Clients, Drucker und Router, die Sie mit anderen Netzwerken und dem Rest des Internets verbinden — wären mit Ethernet-Switches verbunden.Die Geräte und ihre Switch-Ports würden im Vollduplexmodus mit einer ausreichend hohen Geschwindigkeit laufen.
Die Tatsache, dass es sich eher um einen Switch als um einen Hub handelt (in der Zeit, als Hubs noch verwendet wurden, auch als Konzentrator oder Repeater bezeichnet), bedeutet, dass Ihr tatsächlicher Datendurchsatz möglicherweise 80% der tatsächlichen Drahtgeschwindigkeit beträgt, im Gegensatz zu 10% und weniger.
Der Switch bietet auch eine gewisse Verteidigung gegen Packet Sniffing und die Sammlung von Passwörtern und anderen sensiblen Daten durch nicht autorisierte Hosts.Nur ein bisschen Schutz, nicht wirklich so viel, da es Angriffe gibt, die die ARP-Caches der Endpunkte verwirren und sie dazu verleiten können, Daten unangemessen mit wenig bis gar keinem Zeichen umzuleiten.Holen Sie sich arpspoof, Teil desdsniff -Pakets, wenn Sie dies untersuchen möchten.
Sie möchten Ihren Datenverkehr aus zwei Gründen in relativ kleine Subnetze aufteilen.Erstens, Sicherheit: Ein Sniffing-Angriff basierend aufarpspooffunktioniert nur, wenn sich der Angreifer im selben LAN befindet.Eine geringere Anzahl von Hosts pro LAN bedeutet entweder eine geringere Wahrscheinlichkeit, dass Sie sich im selben LAN wie der Angreifer befinden, oder eine geringere Anzahl von Zielen, die einem Hacker zur Verfügung stehen, wie auch immer Sie es betrachten möchten.Zweitens besserer Datendurchsatz.
Sie würden also eine Reihe von Switches kaufen, mindestens einen pro Subnetz.Subnetze, die mehrere Switches umfassen, erfordern, dass diese Switches miteinander verkabelt werden.Führen Sie dann ein Ethernet-Kabel von jedem Knoten zum entsprechenden Knoten durchschalter.Schließen Sie als Nächstes die mehreren Ports eines oder mehrerer Router an die Switches an, einen pro Switch, um die Subnetze zu verbinden.Konfigurieren Sie abschließend die Router und einzelnen Hosts.
Es gibt zwei Probleme mit diesem Ansatz.
Erstens werden Ihre Subnetze wahrscheinlich sehr unterschiedlich groß sein.Ein Backbone, der die Subnetze miteinander verbindet, benötigt nur so viele Ports, wie es Subnetze gibt, vermutlich plus eine Verbindung zum Router, der zum Internet führt.In der Zwischenzeit könnten einige andere Subnetze Dutzende von Hosts haben.Sie müssen eine Vielzahl von Hardware kaufen (und unterstützen), und Sie werden mit „verschwendeten Ports“ enden, Switches mit vielleicht 48 Ports, von denen 10-20 ungenutzt bleiben.
Zweitens, wenn Sie entscheiden, dass eine Reihe von Hosts von ihren ursprünglichen Subnetzen zu anderen Subnetzen umverteilt werden müssen, müssen zumindest einige Kabel erneut ausgeführt werden.Wahrscheinlicher ist, dass Sie mehr Hardware kaufen müssen, weil eineder Switches gingen gerade die Ports aus.
Was Sie tun, sieht wie folgt aus.Angenommen, Sie haben zwei Subnetze, A und B, und zwei Räume mit Netzwerkhosts, Räume 1 und 2.Sie müssen solche Dinge verbinden, woDie Buchstaben „A“ und „B“ kennzeichnen einzelne Hosts in diesen Subnetzen.
Ja, gebrauchte Schalter sind bei eBay ziemlich billig,aber dies beinhaltet einen Stapel Schalter in jedem Raum.Möglicherweise müssen wir einen weiteren Switch hinzufügen, wenn wir nur einen Host von seinem ursprünglichen Subnetz in ein anderes verschieben.Schlimmer noch, was ist, wenn wir uns entscheiden, ein weiteres Subnetz hinzuzufügen, um den Datenverkehr weiter zu partitionieren?
VLAN-Technologie löst diese Probleme!
Sie müssen Ihre Sammlung von Switches so programmieren, dass Sie sich in mehrere virtuelle LANs aufteilen.Der Switch leitet Frames nur zwischen Ports desselben VLANs weiter.Anders ausgedrückt, jedes VLAN ist sein eigenesbroadcast-Domäne.Es hat auch einen eindeutigen logischen IP-Adressblock.Sie können neu konfigurieren, zu welchem VLAN ein physischer Port gehört, und einen Host effektiv in ein neues LAN verschieben, ohne die Verkabelung zu ändern.
Die Pakete müssen einen Router passieren, um zwischen VLANs zu reisen.Die VLANs partitionieren die großen physischen LANs logisch, um die Sicherheit zu erhöhen.Router können Pakete zwischen VLANs weiterleiten, vorbehaltlich etwaiger Paketfilterregeln.Dies könnte zu der seltsam aussehenden Situation eines Routers mit mehreren Ethernet-Schnittstellen führen, die an denselben Switch angeschlossen sind.
Was Sie wirklich tun, ist, mehrere Unterschnittstellen auf der einen physischen Schnittstelle einzurichten.Nur ein Kabel vom Router zum Switch, aber bei alogische IP-Schicht Es ist, als ob es zwei Verbindungen wären.Sie programmieren diesen Switch so, dass der Port, an den Sie den Router anschließen, zu mehreren VLANs gehört.
Mehrere Switches können über einen an speziell dafür vorgesehene Ports angeschlossenen Atrunk angeschlossen werden.Sie werden wahrscheinlich das IEEEEE 802.1qtrunking-Protokoll verwenden, um den Datenverkehr zwischen switches.It fügt ein 32-Bit-Feld zwischen der Quell-MAC-Adresse und den Ethertype-Feldern ein.Cisco-Switches können das proprietäre DTPDynamic-Trunking-Protokoll ausführen.
Im obigen Beispiel ist jeder Host in VLAN A direkt mit jedem anderen VLAN A-Host verbunden und kann einen Frame direkt über die Bündelungs-Switches senden.Um jedoch ein Paket an den Host in VLAN B zu senden, würde die IP-Adresse des Ziels in einem anderen logischen Netzwerk angezeigt und an den Router-Port in VLAN A gesendet.
IP-Routing
Logik
Das Paket müsste über den Router weitergeleitet werden, da die Switches sich weigern, Frames zwischen VLANs weiterzuleiten.Der Router sendet das Paket dann direkt über das entsprechende VLAN von seinem Port, der mit dem entsprechenden VLAN verbunden ist.
Wenn Sie damit experimentieren möchten, sind VLAN-fähige CISCO 2900-XL 100-MBIT / s-Switches bei oneBayfür jeweils 30-60 USD erhältlicheinschließlich Versand.
Rack von Ethernet-Switches.