Gebouwgeschakelde Ethernet-netwerken
VLAN – of virtuele LAN-technologie heeft severaladvantages.It kan een netwerk goedkoper en eenvoudiger te bouwen,en gemakkelijker te onderhouden en te wijzigen.Laten we eens kijken hoe je VLAN-technologie kunt toepassen.
laten we eerst nadenken over uw ideale en vereenvoudigde netwerkomgeving.
al uw apparaten — uw servers, clients, printers en de routers die u verbinden met andere netwerken en met de rest van het Internet — zouden met Ethernet-switches worden verbonden.De apparaten en hun switch poorten zouden draaien in full-duplexmode met een voldoende hoge snelheid.
het feit dat het een schakelaar is in plaats van een hub (ook wel een concentrator of een repeater genoemd in het tijdperk waarin hubs nog steeds werden gebruikt) betekent dat uw werkelijke gegevensdoorvoer 80% van de werkelijke draadsnelheid kan bedragen, in tegenstelling tot 10% en lager.
de switch biedt ook enige verdediging tegen pakketsnuffelen en het verzamelen van wachtwoorden en andere gevoelige gegevens door niet-geautoriseerde hosts.Gewoon wat bescherming, niet echt veel, want er zijn aanvallen die de ARP-caches van de eindpunten kunnen verwarren en ze kunnen verleiden om gegevens ongepast om te leiden met weinig tot geen teken.Ga arpspoofhalen, deel van het dsniff pakket, als je dit wilt onderzoeken.
u wilt uw verkeer om twee redenen verdelen in relatief kleine subnetten.Ten eerste, beveiliging: een sniffing-aanval gebaseerd oparpspoofwerkt alleen als de aanvaller zich op hetzelfde LAN bevindt.Kleiner aantal hosts per LAN betekent ofwel een kleinere kans dat je op hetzelfde LAN zit als de aanvaller, of een klein aantal doelen die beschikbaar zijn voor een hacker, hoe je het ook wilt bekijken.Ten tweede, betere gegevensdoorvoer.
dus, je zou gaan en kopen een aantal switches, ten minste per subnet.Subnetten met meerdere schakelaars vereisen dat deze schakelaars samen worden bekabeld.Voer vervolgens een Ethernet-kabel uit vanaf elk knooppunt naar de daarvoor bestemde schakelaar.Aansluit vervolgens de meerdere poorten van een of meer routersinop de switches, één per switch, om de subnetten aan te sluiten.Configureer tot slot de routers en individuele hosts.
er zijn twee problemen met deze aanpak.
eerst zullen uw subnetten waarschijnlijk van grote verschillen zijn.Een backbone die de subnetten met elkaar verbindt heeft slechts zoveel poorten nodig omdat er subnetten zijn, vermoedelijk plus één om verbinding te maken met de router die naar het Internet leidt.Ondertussen kunnen sommige andere subnetten tientallen hosts hebben.U zult moeten kopen (en ondersteunen) een breed scala aan hardware, en je zal eindigen met “wasted ports”, switches met misschien 48 poorten, maar 10-20 van hen gaan ongebruikt.
ten tweede, wanneer je besluit dat een aantal hosts van hun oorspronkelijke subnetten naar andere subnetten moeten worden verplaatst,heb je op zijn minst een aantal kabels die opnieuw moeten worden uitgevoerd.Waarschijnlijker is dat je meer hardware moet kopen omdat een van de switches net geen poorten meer heeft.
wat u doet ziet er als volgt uit.Laten we zeggen dat je twee subnetten, A en B,en twee kamers met netwerk hosts, kamers 1 en 2.Je zult dit soort dingen moeten verbinden, waarbij de letters” A “en” B ” individuele hosts op die subnetten labelen.
Ja, gebruikte schakelaars zijn vrij goedkoop op eBay, maar dit gaat om een stapel van schakelaars in elke kamer.We moeten misschien nog een switch toevoegen als we gewoon één host verplaatsen van zijn oorspronkelijke subnet naar een ander.Erger nog, wat als we besluiten om een andere subnetto verdere partitie van het verkeer toe te voegen?
VLAN-technologie lost deze problemen op!
u moet uw verzameling switches programmeren om zelf deel te nemen in meerdere virtuele LAN ‘ s.De schakelaar stuurt alleen frames tussen poorten op dezelfde VLAN.Anders gezegd, elk VLAN is zijn eigenbroadcast domein.Het heeft ook een uniek logisch IP-Adresblok.U kunt opnieuw configureren tot welke VLAN een fysieke poort behoort, en effectief een host naar een nieuw LAN verplaatsen zonder elke bekabeling te veranderen.
de pakketten moeten door een router reizen tussen VLAN ‘ s.De VLANs verdelen logischerwijs de grote fysieke LANto om de veiligheid te verhogen.Routers kunnen pakketten doorsturen tussen VLAN’s, afhankelijk van alle regels voor pakketfiltering.Dit kan leiden tot de vreemd uitziende situatie van arouter met meerdere Ethernet interfaces aangesloten op dezelfde switch.
wat u echt doet is meerdere subinterfaces instellen op de ene fysieke interface.Slechts één kabel van de router naar de switch, maar bij een alogische IP-laag is het alsof het twee aansluitingen zijn.Je programmeert die switch zodat de poort waar je de router aansluit bij meerdere VLAN ‘ s behoort.
meerdere switches kunnen worden aangesloten via atrunk die is aangesloten op speciaal daarvoor bestemde poorten.U zult waarschijnlijk het IEEE 802.1 qtrunking protocol gebruiken om verkeer tussen switches.It voegt een 32-bits veld in tussen het bron MAC adres en de Ethertype velden.Cisco-switches kunnen het eigen Dtpdynamic Trunking-Protocol uitvoeren.
in het bovenstaande voorbeeld is elke host op VLAN a direct verbonden met elke andere VLAN a host en kan een frame direct over de trunked switches sturen.Maar om een pakket naar host te sturen op VLAN B, zou het zien dat het IP-adres van de bestemming zich op een ander logischenetwerk bevond, en dus zou het het naar de routerpoort op VLAN a sturen.de router zou het dan uit zijn VLAN B-poort verzenden.
IP-Routing
Logica
het pakket zou doorgestuurd moeten worden via de router, omdat de switches weigeren frames tussen VLAN ‘ s door te sturen.De router zou dan het pakket direct over de andere VLAN sturen vanaf de poort die is aangesloten op de juiste VLAN.
als u hiermee wilt experimenteren, zijn VLAN-capableCisco 2900-XL 100 Mbps-switches beschikbaar die onebay worden gebruikt voor $30-60 elk, inclusief verzending.
Rack van Ethernet-switches.