Creazione di reti Ethernet Switched
La tecnologia VLAN o LAN virtuale ha severaladvantages.It può rendere una rete più economica e più semplice da costruire e più facile da mantenere e modificare.Vediamo come applicare la tecnologia VLAN.
Pensiamo prima al tuo ambiente ideale e semplificatoambiente di rete.
Tutti i dispositivi-i server, i client,le stampanti e i router che si collegano ad altre reti e al resto di Internet — sarebbero interconnessi con switch Ethernet.I dispositivi e le loro porte di commutazione funzionerebbero in full-duplexmode ad una velocità adeguatamente elevata.
Il fatto che si tratti di un interruttore piuttosto che di un hub (chiamato anche concentratore o ripetitore nell’era in cui gli hub erano ancora utilizzati) significa che il throughput effettivo dei dati potrebbe essere l ‘ 80% della velocità effettiva del filo, al contrario di 10% e giù.
Lo switch fornisce anche qualche difesa contro lo sniffing dei pacchetti e la raccolta di password e altri dati sensibili da host non autorizzati.Solo un po ‘ di protezione, non proprio tanto, in quanto ci sono attacchi che possono confondere le cache ARP dei punti finali e ingannarli nel reindirizzare i dati in modo inappropriato con poco o nessun segno.Vai a prendere arpspoof, parte del pacchettodsniff, se vuoi indagare su questo.
Si vorrebbe partizionare il traffico in sottoreti relativelysmall per due motivi.Innanzitutto, sicurezza: un attacco di sniffing basato suarpspooffunziona solo quando l’attaccante si trova sulla stessa LAN.Più piccolo numero di host per LAN significa o più piccolo chancethat Lei è sulla stessa LAN come l’attaccante, o un smallernumber di bersagli disponibile a un hacker, comunque lei wantto lo guardano.In secondo luogo, migliore throughput dei dati.
Quindi, usciresti e compreresti un numero di switch, almenouno per sottorete.Le sottoreti che coprono più switch richiederebbero che tali switch siano cablati insieme.Quindi eseguire un cavo Ethernet da ciascun nodo all’appropriatointerruttore.Quindi, collegare le porte multiple di uno o più routersinto gli interruttori, uno per interruttore, per collegare le sottoreti.Infine, configurare i router e singoli host.
Ci sono due problemi con questo approccio.
Innanzitutto, le tue sottoreti saranno probabilmente di dimensioni molto diverse.Una spina dorsale che collega le sottoreti insieme necessita solo di molte porte in quanto vi sono sottoreti, presumibilmente più una connessione al router che porta verso Internet.Nel frattempo alcune altre sottoreti potrebbero avere dozzine di host.Dovrai acquistare (e supportare) un’ampia varietà di hardware, e finirai con “porte sprecate”, switch con forse 48 porte ma 10-20 di esse non utilizzate.
In secondo luogo, quando si decide che un certo numero di host deve essere localizzato dalle loro sottoreti originali ad altre sottoreti,per lo meno si hanno alcuni cavi da rieseguire.Più probabilmente, è necessario acquistare più hardware perché unodegli switch hanno appena esaurito le porte.
Quello che stai facendo sembra il seguente.Supponiamo che tu abbia due sottoreti, A e B, e due stanze con host di rete, stanze 1 e 2.Dovrai collegare cose come questa, dovele lettere “A” e ” B ” etichettano i singoli host su quelle sottoreti.
Sì, gli interruttori usati sono piuttosto economici su eBay, ma questo comporta una pila di interruttori in ogni stanza.Potremmo dover aggiungere un altro interruttore se spostiamo solo onehost dalla sua sottorete originale a un’altra.Peggio ancora, cosa succede se decidiamo di aggiungere un altro subnetto ulteriormente partizionare il traffico?
La tecnologia VLAN risolve questi problemi!
È necessario programmare la propria collezione di switch topartition stessi in più LAN virtuali.Lo switch inoltra solo i frame tra le porte della stessa VLAN.In altre parole, ogni VLAN è il suodominio broadcast.Ha anche un blocco di indirizzo IP logico univoco.È possibile riconfigurare a quale VLAN appartiene una porta fisica e spostare efficacemente un host in una nuova LAN senza modificare alcun cablaggio.
I pacchetti devono passare attraverso un router totravel tra VLAN.Le VLAN partizionano logicamente il grande LANto fisico per aumentare la sicurezza.I router possono inoltrare pacchetti tra VLAN, soggetti a qualsiasi regola di filtraggio dei pacchetti.Ciò potrebbe portare alla strana situazione di arouter con più interfacce Ethernet collegate allo stesso switch.
Quello che fai davvero è impostare più sottointerfacciesul un’interfaccia fisica.Solo un cavo dal router allo switch, ma a livello IP logico è come se si trattasse di due connessioni.Si programma che passa in modo che la porta in cui si collega inil router appartiene a più VLAN.
È possibile collegare più switch tramite atrunk collegato a porte appositamente designate.Probabilmente si utilizzerà ilieee 802.1 qtrunking protocollo per inoltrare il traffico tra switches.It inserisce un campo a 32 bit tra l’indirizzo MAC di origine e i campi Ethertype.Gli switch Cisco possono eseguire il protocollo di trunking DTPDynamic proprietario.
Nell’esempio precedente, ogni host su VLAN A è directlyconnected a ogni altro host VLAN A e può inviare un frame direttamente attraverso gli switch trunked.Ma per inviare un pacchetto all’host su VLAN B, sarebbe vedere che l’indirizzo IP della destinazione era su un’altra rete logica,e quindi lo avrebbe inviato alla porta del router su VLAN A. Il router lo avrebbe quindi trasmesso alla sua porta VLAN B.
Routing IP
Logica
Il pacchetto dovrebbe essere inoltrato attraverso il router,perché gli switch rifiutano di inoltrare i frame tra VLAN.Il router invierebbe quindi il pacchetto direttamente attraverso l’altra VLAN dalla sua porta collegata alla VLAN appropriata.
Se si vuole sperimentare con questo, VLAN-capableCisco 2900-XL 100 Mbps switch sono disponibili usato oneBayfor e 30-60 eachincluding spedizione.
Rack di switch Ethernet.