Budowa komutowanych sieci Ethernet
technologia VLAN lub Virtual LAN ma severaladvantages.It może sprawić, że sieć będzie tańsza i prostsza w budowie oraz łatwiejsza w utrzymaniu i modyfikacji.Zobaczmy, jak zastosować technologię VLAN.
pomyślmy najpierw o idealnym i uproszczonym środowisku pracy sieci.
wszystkie twoje urządzenia — serwery, klienci, drukarki i routery łączące cię z innymi sieciami i z resztą Internetu — byłyby połączone przełącznikami Ethernet.Urządzenia i ich porty przełączników będą działać w trybie full-duplexmode z odpowiednio dużą prędkością.
fakt, że jest to raczej przełącznik niż koncentrator (nazywany również koncentratorem lub repeaterem w czasach, gdy piasty były nadal używane) oznacza, że rzeczywista przepustowość danych może wynosić 80% rzeczywistej prędkości drutu, w przeciwieństwie do 10% i mniej.
przełącznik zapewnia również pewną ochronę przed wąchaniem pakietów oraz zbieraniem haseł i innych poufnych danych przez nieautoryzowane hosty.Tylko trochę ochrony, nie tak bardzo, ponieważ istnieją ataki, które mogą zmylić bufory ARP punktów końcowych i oszukać je w niewłaściwy sposób przekierowując dane z niewielką ilością znaków.Idź po arpspoof, część pakietudsniff, jeśli chcesz to zbadać.
chcesz podzielić swój ruch na podsieci relativelysmall z dwóch powodów.Po pierwsze, bezpieczeństwo: atak sniffingowy oparty naarpspoof działa tylko wtedy, gdy atakujący znajduje się w tej samej SIECI LAN.Mniejsza liczba hostów w sieci LAN oznacza albo mniejsze szanse, że jesteś w tej samej SIECI LAN co atakujący, lub małą liczbę celów dostępnych dla hakera, jednak chcesz na to spojrzeć.Po drugie, lepsza przepustowość danych.
więc można by kupić kilka przełączników, co najmniej jeden na podsieć.Podsieci obejmujące wiele przełączników wymagałyby połączenia tych przełączników razem.Następnie uruchom kabel Ethernet z każdego węzła do odpowiedniego łącznika.Następnie podłącz wiele portów jednego lub więcej routerów do przełączników, po jednym na przełącznik, aby podłączyć podsieci.Na koniec skonfiguruj routery i poszczególne hosty.
są dwa problemy z tym podejściem.
po pierwsze, twoje podsieci prawdopodobnie będą o szerokich rozmiarach.Szkielet łączący podsieci razem potrzebuje tylko wielu portów, ponieważ istnieją podsieci, prawdopodobnie plus jeden do podłączenia do routera prowadzącego do Internetu.Tymczasem niektóre inne podsieci mogą mieć dziesiątki hostów.Będziesz musiał kupić (i obsługiwać) szeroką gamę hardware, a skończysz z „zmarnowanymi portami”, przełącznikami z może 48 portami, ale 10-20 z nich będzie nieużywanych.
po drugie, gdy zdecydujesz,że pewna liczba hostów musi zostać przeniesiona z ich oryginalnych podsieci do innych podsieci, przynajmniej masz kilka kabli do ponownego uruchomienia.Bardziej prawdopodobne, że musisz kupić więcej sprzętu, ponieważ jeden z przełączników właśnie skończył się Port.
to co robisz wygląda następująco.Załóżmy, że masz dwie podsieci, A i B, I dwa pokoje z hostami sieciowymi, pokoje 1 i 2.Będziesz musiał połączyć takie rzeczy, gdzie litery „A” i „B” oznaczają poszczególne hosty w tych podsieciach.
tak, używane przełączniki są dość tanie w serwisie eBay, ale wiąże się to ze stosem przełączników w każdym pokoju.Być może będziemy musieli dodać kolejny przełącznik, jeśli przeniesiemy tylko onehost z oryginalnej podsieci do innej.Co gorsza, co jeśli zdecydujemy się dodać kolejne subnetto dalszego podziału ruchu?
technologia VLAN rozwiązuje te problemy!
musisz zaprogramować swoją kolekcję przełączników dopodzielenia się do wielu wirtualnych sieci LAN.Przełącznik przekazuje tylko ramki między portami w tym samym VLAN.Innymi słowy, każda sieć VLAN jest jej własnądomena broadcast.Posiada również unikalny logiczny blok adresów IP.Możesz ponownie skonfigurować VLAN, do którego należy fizyczny port, i skutecznie przenieść hosta do nowej sieci LAN bez zmiany okablowania.
pakiety muszą przechodzić przez router między sieciami VLAN.VLAN logicznie dzielące duże fizyczne LANto zwiększają bezpieczeństwo.Routery mogą przekazywać pakiety między sieciami VLAN, z zastrzeżeniem dowolnych reguł filtrowania pakietów.Może to prowadzić do dziwnie wyglądającej sytuacji arouter z wieloma interfejsami Ethernet podłączonymi do tego samego przełącznika.
to, co naprawdę robisz, to konfigurowanie wielu podinterfejsów w jednym fizycznym interfejsie.Tylko jeden kabel od routera do switcha, ale przy alogicznej warstwie IP to tak jakby to były dwa połączenia.Programujesz ten przełącznik, więc port, w którym podłączasz Router, należy do wielu sieci VLAN.
wiele przełączników można podłączyć za pomocą złącza podłączonego do specjalnie wyznaczonych portów.Prawdopodobnie użyjesz protokołu 802.1 qtrunking do przesyłania ruchu między switches.It wstawia 32-bitowe pole między źródłowy adres MAC a Pola Ethertype.Przełączniki Cisco mogą uruchamiać zastrzeżony protokół Trunking Dtpdynamic.
w powyższym przykładzie każdy host w VLAN A jest bezpośrednio połączony z każdym innym hostem VLAN A i może wysyłać aframe bezpośrednio przez przełączniki trunked.Ale aby wysłać pakiet do hosta na VLAN B, to byłoby sprawdzić, że adres IP miejsca docelowego był w innej sieci logicznej, a więc wysłałby go do portu routera na VLAN A. router następnie przesłałby go przez swój port VLAN B.
Routing IP
logika
pakiet musiałby zostać przekazany przez router,ponieważ przełączniki odmawiają przekazywania ramek między sieciami VLAN.Router wysyła następnie pakiet bezpośrednio przez drugą sieć VLAN ze swojego portu podłączonego do odpowiedniej sieci VLAN.
jeśli chcesz poeksperymentować z tym, przełączniki VLAN-capableCisco 2900-XL 100 Mbps są dostępne za pomocą oneBayfor $ 30-60 eachincluding shipping.
szafka z przełącznikami Ethernetowymi.