bygga switchade Ethernet-nätverk
VLAN eller virtuell LAN-teknik har severaladvantages.It kan göra ett nätverk billigare och enklare att bygga,och lättare att underhålla och modifiera.Låt oss se hur man tillämpar VLAN-teknik.
låt oss först tänka på din ideala och förenklade nätverksmiljö.
alla dina enheter-dina servrar, klienter,skrivare och routrar som ansluter dig till andra nätverk och utanför resten av Internet — skulle kopplas samman med Ethernet-switchar.Enheterna och deras switchportar skulle köras i full duplexmode med en tillräckligt hög hastighet.
det faktum att det är en omkopplare snarare än ett nav (kallas även en koncentrator eller en repeater tillbaka i den tid då nav varanvänds fortfarande) betyder att din faktiska dataflöde kan vara80% av den faktiska trådhastigheten, i motsats till 10% och ner.
växeln ger också ett visst försvar mot paketsniffning och insamling av lösenord och annan känslig data avoauktoriserade värdar.Bara lite skydd, inte riktigt så mycket, eftersom det finnsattacker som kan förvirra Arp-cacherna i slutpunktenoch lura dem att omdirigera data olämpligt medlite till inget tecken.Gå och hämta arpspoof, en del av paketetdsniff, om du vill undersöka detta.
du skulle vilja partitionera din trafik till relativelysmall subnät av två skäl.Först, säkerhet: en sniffing attack baserad påarpspooffungerar bara när angriparen är på samma LAN.Mindre antal värdar per LAN betyder antingen mindre chans att du är på samma LAN som angriparen, eller ett mindre antal mål tillgängliga för en hacker, men du villatt titta på det.För det andra, bättre datagenomströmning.
så, du skulle gå ut och köpa ett antal växlar, åtminstone per subnät.Subnät som spänner över flera omkopplare skulle kräva att dessa växlar kablas ihop.Kör sedan en Ethernet-kabel från varje nod till lämpligtväxla.Anslut sedan flera portar på en eller flera routereri omkopplarna, en per omkopplare, för att ansluta subnäten.Slutligen konfigurera routrarna och enskilda värdar.
det finns två problem med detta tillvägagångssätt.
först kommer dina subnät förmodligen att vara av storvarierande storlekar.En ryggrad som förbinder undernäten tillsammans behöver bara asmånga portar eftersom det finns undernät, förmodligen plus en toconnect till routern som leder mot Internet.Under tiden kan vissa andra subnät ha dussintals värdar.Du måste köpa (och stödja) ett brett utbud avhårdvara, och du kommer att sluta med ”bortkastade portar”, växlarmed kanske 48 portar men 10-20 av dem går oanvända.
för det andra, när du bestämmer dig för att ett antal värdar måste varalokeras från sina ursprungliga undernät till andra undernät,har du åtminstone några kablar som ska köras igen.Mer troligt måste du köpa mer hårdvara eftersom enav omkopplarna sprang bara ut ur portarna.
vad du gör ser ut som följande.Låt oss säga att du har två undernät, A och B,och två rum med nätverksvärdar, rum 1 och 2.Du måste ansluta saker som detta, varbokstäverna” A ”och” B ” märker enskilda värdarpå dessa undernät.
ja, begagnade switchar är ganska billiga på eBay, men det innebär en stapel växlar i varje rum.Vi kan behöva lägga till en annan switch om vi bara flyttar onehost från sitt ursprungliga delnät till ett annat.Ännu värre, vad händer om vi bestämmer oss för att lägga till en annan subnetto ytterligare partitionera trafiken?
VLAN-teknik löser dessa problem!
du måste programmera din samling av växlar topartition sig i flera virtuella LAN.Växeln vidarebefordrar endast ramar mellan portar påsamma VLAN.På ett annat sätt är varje VLAN sin egensändningsdomän.Det har också ett unikt logiskt IP-adressblock.Du kan omkonfigurera vilken VLAN en fysisk port tillhör och effektivt flytta en värd till ett nytt LAN utan att ändranågon kablage.
paketen måste passera genom en router tillresa mellan VLAN.VLAN: erna partitionerar logiskt den stora fysiska LANto öka säkerheten.Routrar kan vidarebefordra paket mellan VLAN, med förbehåll för några paketfiltreringsregler.Detta kan leda till den udda ser situationen för arouter med flera Ethernet-gränssnitt pluggedinto samma switch.
vad du verkligen gör är att ställa in flera undergränssnittpå det fysiska gränssnittet.Bara en kabel från routern till omkopplaren, men på alogical IP layer är det som om det var två anslutningar.Du programmerar den omkopplaren så porten där du ansluter tillroutern tillhör flera VLAN.
flera omkopplare kan anslutas via atrunk ansluten till speciellt utsedda portar.Du kommer förmodligen att använda theIEEE 802.1 qtrunking-protokollet för att vidarebefordra trafik mellan switches.It infogar ett 32-bitars fält mellan källans MAC-adressoch Ethertype-fälten.Cisco-switchar kan köra det proprietära Dtpdynamic Trunking-protokollet.
i exemplet ovan är varje värd på VLAN A direktansluten till alla andra VLAN en värd och kan skicka aframe direkt över de trunkade omkopplarna.Men för att skicka ett paket till värd på VLAN B, skulle det se att destinationens IP-adress var på ett annat logisknätverk, och så skulle det skicka det till routerporten på VLAN A. routern skulle sedan överföra den ut sin VLAN B-port.
IP-Routing
logik
paketet måste vidarebefordras via routern,eftersom omkopplarna vägrar att vidarebefordra ramar mellan VLAN.Routern skulle sedan skicka paketet direkt över den andra VLAN från sin port ansluten till lämplig VLAN.
om du vill experimentera med detta, VLAN-capableCisco 2900-XL 100 Mbps switchar finns tillgängliga används oneBayfor $30-60 eachincluding frakt.
Rack av Ethernet-switchar.