スイッチドイーサネットネットワークの構築
VLANまたは仮想LAN技術には以下のものがありますseveraladvantages.It ネットワークをより安く、より簡単に構築し、維持および変更を容易にすることができます。VLAN技術を適用する方法を見てみましょう。
まず、理想的で単純化されたネットワーク環境について考えてみましょう。
すべてのデバイス—サーバー、クライアント、プリンタ、および他のネットワークに接続し、インターネットの残りの部分に接続するルーター—は、イーサネットスイッチと相互接続されます。デバイスとそのスイッチポートは、十分に高速でフルデュプレックスモードで実行されます。
ハブではなくスイッチであるという事実(ハブがまだ使用されていた時代にはコンセントレイターやリピータとも呼ばれていました)は、実際のデータスループットが実際のワイヤ速度の80%であり、10%以下である可能性があることを意味します。
このスイッチは、パケットの盗聴や、認証されていないホストによるパスワードやその他の機密データの収集に対する防御も提供します。エンドポイントのARPキャッシュを混乱させる可能性のある攻撃があるので、いくつかの保護だけではなく、実際にはそれほど多くはありません。これを調査したい場合は、dsniffパッケージの一部であるarpspoofを入手してください。
二つの理由から、トラフィックをrelativelysmallサブネットに分割したいと思うでしょう。まず、セキュリティ:arpspoofに基づくスニッフィング攻撃は、攻撃者が同じLAN上にいる場合にのみ機能します。LANあたりのホスト数が少ないことは、攻撃者と同じLAN上にいるchancethatが小さいこと、またはハッカーが利用できるターゲットの数が少ないことを意味します。第二に、より良いデータスループット。
だから、外に出て、少なくともサブネットごとにいくつかのスイッチを購入するだろう。複数のスイッチにまたがるサブネットは、thoseswitchesを一緒にケーブル接続する必要があります。次に、各ノードから適切なスイッチにイーサネットケーブルを実行します。次に、1つまたは複数のルータの複数のポートをスイッチに接続し、スイッチごとに1つずつ、サブネットを接続します。最後に、ルータと個々のホストを設定します。
このアプローチには2つの問題があります。
まず、あなたのサブネットはおそらくwidelyvariingサイズになるだろう。サブネットを一緒に接続するバックボーンは、サブネットがあるため、asmanyポートのみを必要とします。一方、いくつかの他のサブネットは、ホストの数十を持っている可能性があります。あなたは多種多様なハードウェアを購入(およびサポート)する必要があります、そしてあなたは”無駄なポート”で終わるでしょう、多分48のポートが、それらの10-20
第二に、いくつかのホストが元のサブネットから他のサブネットにberelocatedする必要があると判断した場合、少なくともいくつかのケーブルを再実行する必要があります。おそらく、あなたはより多くのハードウェアを購入する必要がありますスイッチのうちのポートが不足しただけです。
あなたがやっていることは次のようになります。たとえば、aとBの2つのサブネットと、ネットワークホストを持つ2つの部屋、rooms1と2があるとします。このようなものを接続する必要があります。”A”と”B”の文字は、個々のホストにそれらのサブネットにラベルを付けます。
はい、使用されたスイッチはeBayでかなり安いが、これはあらゆる部屋でスイッチの積み重ねを含む。Onehostを元のサブネットから別のサブネットに移動する場合は、別のスイッチを追加する必要があります。さらに悪いことに、トラフィックをさらに分割する別のサブネットを追加する場合はどうなりますか?
スイッチのコレクションを複数の仮想Lanに分割する必要があります。スイッチは、同じVLAN上のポート間でフレームのみを転送します。別の言い方をすれば、各VLANは独自のブロードキャストドメインです。また、一意の論理IPアドレスブロックもあります。物理ポートが属するVLANを再構成し、ケーブルを変更することなくホストを新しいLANに効果的に移動することができます。
パケットはVlan間を移動するためにルータを通過する必要があります。Vlanは論理的に大きい物理的なLANtoの増加の保証を分けます。ルータは、任意のパケットフィルタリングルールに従って、Vlan間でパケットを転送できます。これは、同じスイッチをpluggedinto複数のイーサネットインターフェイスを持つarouterの奇妙な見て状況につながる可能性があります。
実際に行うことは、一つの物理インターフェイス上に複数のサブインターフェイスを設定することです。ルータからスイッチへのケーブルは1つだけですが、alogical IP層では2つの接続であるかのようです。ルータを接続するポートが複数のVlanに属するように切り替えるようにプログラムします。
特別に指定されたポートに接続されたatrunkを介して複数のスイッチを接続することができます。おそらく、ieee802.1qtrunkingプロトコルを使用して、間のトラフィックを転送しますswitches.It 送信元MACアドレスとEthertypeフィールドの間に32ビットフィールドを挿入します。シスコスイッチは、独自のDTPDynamicトランキングプロトコルを実行できます。
上記の例では、VLAN A上のすべてのホストは、他のすべてのVLAN aホストに直接接続され、aframeをトランクされたスイッチを介して直接送信できます。しかし、VLAN B上のホストにパケットを送信するには、宛先のIPアドレスが別のlogicalnetwork上にあることを確認する必要があるため、VLAN A上のルータポートに送信します。
IP Routing
Logic
スイッチはVlan間でフレームを転送することを拒否するため、パケットはルータを介して転送する必要があります。ルータは、適切なVLANに接続されたポートから他のVLANを介してパケットを直接送信します。
これを試したい場合は、VLAN-capableCisco2900-XL100Mbpsスイッチを使用することができますon30-60eachincluding出荷のためのoneBayfor使用されています。
イーサネットスイッチのラック。