construirea rețelelor Ethernet comutate
VLAN sau tehnologia Lan virtuală are severaladvantages.It poate face o rețea mai ieftină și mai simplă de construit și mai ușor de întreținut și modificat.Să vedem cum să aplicăm tehnologia VLAN.
să ne gândim mai întâi la mediul dvs. ideal și simplificatde rețea.
toate dispozitivele dvs.-serverele, clienții,imprimantele și routerele care vă conectează la alte rețele și la restul Internetului — ar fi interconectatecu switch-uri Ethernet.Dispozitivele și porturile lor de comutare ar funcționa în mod complet duplexmode la o viteză suficient de mare.
faptul că este mai degrabă un comutator decât un hub (numit și un concentrator sau un repetor în epoca în care hub-urile erau încă utilizate) înseamnă că debitul dvs. real de date ar putea fi de 80% din viteza reală a firului, spre deosebire de 10% și în jos.
switch-ul oferă, de asemenea, unele de apărare împotriva pachete sniffingand colectarea de parole și alte date sensibile byunauthorized gazde.Doar o anumită protecție, nu chiar atât de mult, deoarece existăatacuri care pot confunda cache-urile ARP ale punctelor finaleși le păcălesc să redirecționeze datele în mod necorespunzător, cu puțin până la niciun semn.Mergeți la arpspoof, parte a pachetuluidsniff, dacă doriți să investigați acest lucru.
ați dori să partiționați traficul în subrețele relativelysmall din două motive.În primul rând, securitate: un atac sniffing bazat pearpspooffuncționează numai atunci când atacatorul se află pe aceeași rețea LAN.Numărul mai mic de gazde pe LAN înseamnă fie șanse mai micecă sunteți pe aceeași rețea LAN ca atacatorul, fie un număr mai mic de ținte disponibile unui hacker, oricum doriți să îl priviți.În al doilea rând, o mai bună transfer de date.
deci, v-ar merge afară și să cumpere un număr de switch-uri, cel puținuna pe subrețea.Subrețele care acoperă mai multe comutatoare ar necesita ca aceste comutatoare să fie cablate împreună.Apoi rulați un cablu Ethernet de la fiecare nod la cel corespunzătorcomutator.Apoi, conectați mai multe porturi ale unuia sau mai multor routereîn comutatoare, unul pe comutator, pentru a conecta subrețele.În cele din urmă, configurați routerele și gazdele individuale.
există două probleme cu această abordare.
în primul rând, subrețele dvs. sunt, probabil, va fi de dimensiuni widelyvarying.O coloană vertebrală care conectează subrețele împreună are nevoie doar de asmulte porturi, deoarece există subrețele, probabil plus unul toconnect la router-ul care duce spre Internet.Între timp, alte subrețele ar putea avea zeci de gazde.Va trebui să cumpărați (și să susțineți) o mare varietate dehardware și veți ajunge la „porturi irosite”, comutatoarecu poate 48 de porturi, dar 10-20 dintre ele nefolosite.
în al doilea rând, atunci când decideți că un număr de gazde trebuie să fiesituate de la subrețele lor originale la alte subrețele,cel puțin aveți niște cabluri care trebuie rulate din nou.Mai probabil, trebuie să cumpărați mai mult hardware, deoarece unuldin switch-uri tocmai a ieșit din porturi.
ceea ce faceți arată ca următorul.Să presupunem că aveți două subrețele, A și B, și două camere cu gazde de rețea, camerele 1 și 2.Va trebui să conectați lucruri de genul acesta, undeliterele „a” și „B” etichetează gazde individualepe aceste subrețele.
da, comutatoarele folosite sunt destul de ieftine pe eBay,dar acest lucru implică un teanc de comutatoare în fiecare cameră.Este posibil să trebuiască să adăugăm un alt comutator dacă mutăm doar unulhost de la subrețeaua sa originală la alta.Mai rău încă, ce se întâmplă dacă vom decide să adăugați un alt subnetto partiție în continuare traficul?
tehnologia VLAN rezolvă aceste probleme!
trebuie să programați colecția de switch-uri topartition ei înșiși în mai multe rețele LAN virtuale.Comutatorul transmite numai cadre între porturile de peacelași VLAN.Altfel spus, fiecare VLAN este al săudomeniul broadcast.De asemenea, are un bloc unic de adrese IP logice.Puteți reconfigura care VLAN un port fizic aparține, și în mod eficient a muta o gazdă la un nou LAN fără changingany cablare.
pachetele trebuie să treacă printr-un router lacălătoriți între VLAN-uri.VLAN-urile partiționează logic lantul fizic marepentru a crește securitatea.Routerele pot transmite pachete între VLAN-uri, sub rezerva oricăror Reguli de filtrare a pachetelor.Acest lucru ar putea duce la situația ciudată a arouterului cu mai multe interfețe Ethernet conectate la același comutator.
ceea ce faceți cu adevărat este să configurați mai multe subinterfațepe interfața fizică unică.Doar un cablu de la router la comutator, dar la alogic IP layer este ca și cum ar fi două conexiuni.Programați acel comutator astfel încât portul în care vă conectațirouterul aparține mai multor VLAN-uri.
mai multe comutatoare pot fi conectate prin atrunk conectat la porturi special desemnate.Probabil că veți folosiieee 802.1 qtrunking protocol pentru a redirecționa traficul între switches.It introduce un câmp pe 32 de biți între adresa MAC sursă și câmpurile Ethertype.Switch-uri Cisco poate rula protocolul de proprietate Dtpdynamic Trunking.
în exemplul de mai sus, fiecare gazdă de pe VLAN A este directconectat la orice altă gazdă VLAN A și poate trimite aframe direct peste comutatoarele trunchiate.Dar pentru a trimite un pachet la gazdă pe VLAN B, ar fi văzut că adresa IP a destinației se afla pe o altă rețea logică și, prin urmare, ar fi trimis-o la portul routerului de pe VLAN A. routerul îl va transmite apoi din portul său VLAN B.
rutare IP
logică
pachetul ar trebui redirecționat prin router,deoarece comutatoarele refuză să redirecționeze cadre între VLAN-uri.Routerul va trimite apoi pachetul direct pe celălalt VLAN din portul său conectat la VLAN-ul corespunzător.
dacă doriți să experimentați acest lucru, VLAN-capableCisco 2900-XL 100 Mbps switch-uri sunt disponibile utilizate oneBayfor $30-60 fiecareinclusiv transportul maritim.
Rack de switch-uri Ethernet.