Віртуальні Локальні Мережі: VLAN

Наша взаимовыгодная связь https://banwar.org/

1. Комутація і Віртуальні Локальні мережі VLAN
2. Протокол Spanning-Tree і VLAN
3. Налаштування VLAN за замовчуванням
4. Налаштування VLAN через домен
5. Групування портів комутатора в VLAN
6. Налаштування транков

Уявіть, що ви сидите за вашим столом і ваш начальник відділу Інформаційних Технологій та показує вам статтю в останньому журналі про розробку мереж. "Я тільки що прочитав цю чудову статтю про те, як Віртуальні Локальні Мережі VLAN забезпечують гнучкість, підвищують продуктивність і зменшують витрати на управління! Як ми можемо впровадити VLAN в нашій мережі?". Пізніше начальник йде, залишивши вас з завданням впровадити VLAN в існуючу локальну мережу.

Можливо, ви чули термін VLAN і здивовані, що ж це таке і як ви можете їх використовувати. Термін VLAN це скорочення від Virtual Local-Area Network і найбільш часто пов'язаний з комутаторами. Використовуючи VLAN, ви можете допомогти собі вирішити технічні і виробничі проблеми, але вони можуть бути використані на ваш розсуд. Створення дуже великого числа VLAN у вашій мережі може викликати адміністративний нічний кошмар. Якщо ваша організація збирається інвестувати гроші в комутатори Рівня 2, які підтримують VLAN, використовуйте переваги технології комутації. Комутатори Рівня 2 забезпечують швидкість переправлення фреймів, що забезпечується середовищем передачі даних і не дає затримки, яка виникає при використанні традиційних програмно-орієнтованих методів комутації за допомогою маршрутизаторів. Якщо ви збираєтеся будувати коммутируемую мережу, намагайтеся по можливості використовувати комутацію канального Рівня і маршрутизацію Рівня 3 у міру потреби. Існує безліч нових продуктів на ринку мережевих продуктів, які забезпечують маршрутизацію Рівня 3 на швидкості комутації Рівня 2, але це виходить за межі цієї глави.

Це дуже важливо повністю розуміти ваші бізнес потреби та технічні вимоги, коли ви приймаєте рішення використовувати VLAN. Пам'ятайте, що кожна віртуальна мережа VLAN, яку ви створюєте, по суті, створює мережу Рівня 3, яка повинна бути Маршрутізірованний, тому, якщо ви маєте не тільки трафік всередині робочої групи, вам необхідні функції маршрутизації вашої мережі. Бурхливе зростання e-mail, мереж Intranet і Internet веде до бурхливого зростання числа груп серверів. Сервери можуть містити загальні файли, додатки і сервери баз даних, зазвичай згруповані у виділену мережу або мережі VLAN і вимагає зв'язку з користувачами, виходячи за межі VLAN використовуючи маршрутизатори. Як нагадування, намагайтеся розробляти вашу конфігурацію як можна більш простою і гнучкої. Почніть з простого, потім впроваджуйте більш комплексну конфігурацію, якщо існуюча конфігурація не задовольняє вашим потребам. Використовуйте VLAN для того, щоб зробити ваше життя легше, а не важче.

У цьому розділі ми розглянемо переваги мереж VLAN і їх близький зв'язок з процесом комутації. Ми будемо використовувати конфігурацію, засновану на комутаторах Cisco серії Catalyst 5500.

1. Комутація і Віртуальні Локальні мережі VLAN

Спочатку комутатори не забезпечували можливість створення Віртуальних локальних мереж, так як вони використовувалися для простої пересилання фреймів між пристроями. Ринок комутаторів почав швидко зростати, коли концентратори колективного доступу до середовища передачі даних (hubs) почали не справлятися зі зростаючими запитами на розширення пропускної здатності мережі в зв'язку з використанням додатків клієнт-сервер, що забезпечують графічний інтерфейс користувача (GUI).

Ключова різниця між комутатором і концентратором полягає в тому, як вони працюють з фреймами. Концентратор отримує фрейм, потім копіює і передає (повторює) фрейм в усі інші порти. У цьому випадку сигнал повторюється, в основному продовжать довжину мережного сегмента до всіх підключених станцій. Комутатор повторює фрейм в усі порти крім того, з якого цей фрейм був отриманий: unicast фрейми (адресовані на конкретний MAC адреса), broadcast фрейми, (адресовані для всіх MAC адрес в локальному сегменті), і multicast фрейми (адресовані для набору пристроїв в сегменті ). Це робить їх неприйнятними для великої кількості користувачів, так як кожна робоча станція і сервер, підключений до комутатора, повинен перевіряти кожен фрейм для того, щоб визначити, адресований цей фрейм йому чи ні. У великих мережах, з великою кількістю фреймів, що обробляються мережевою картою, втрачається цінне процесорний час. Це прийнятно для невеликих робочих груп, де передача даних має короткочасну "вибухову" природу.

Комутатор працює з фреймами "з розумінням" - він зчитує MAC адреса входить фрейма і зберігає цю інформацію в таблиці комутації. Ця таблиця містить MAC адреси і номери портів, пов'язаних з ними. Комутатор будує таблицю в розділеної пам'яті і тому він знає, яку адресу пов'язаний з яким портом. Комутатори Cisco Catalyst створюють цю таблицю, перевіряючи кожен фрейм, який потрапив в пам'ять, і додають нові адреси, що не були занесені туди раніше. Маршрутизатор Cisco створили цю таблицю, адресуючи її по вмісту (content-addressable memory). Ця таблиця оновлюється і будується щоразу під час увімкнення комутатора, але ви можете налаштовувати таймер оновлення таблиці в залежності від ваших потреб. Приклад 1 показує CAM таблицю комутатора Catalyst 5000.

У цьому прикладі стовпець VLAN посилається на номер VLAN, якій належить порт призначення. Стовпець Destination MAC посилається на MAC адреса, виявлений в порту. Пам'ятайте, що один порт може бути пов'язаний з декількома MAC адресами, тому перевірте кількість MAC адрес, яке може підтримувати ваш комутатор. Destination Ports описує порт, з якого комутатор дізнався MAC адресу.

Cat5500> show cam dynamic

VLAN

Destination MAC Destination Ports or VCs

---------------------

------------------------------- ------------------- ----------------------

1

00-60-2f-9d-a9-00

3/1

1

00-b0-2f-9d-b1-00

3/5

1

00-60-2f-86-ad-00

5/12

1

00-c0-0c-0a-bd-4b

4/10

Cat5500>

Прімер.1. Cisco CAM table

Далі, комутатор перевіряє MAC адресу призначення фрейма і негайно дивиться в таблицю комутації. Якщо комутатор знайшов відповідну адресу, він копіює фрейм тільки в цей порт. Якщо він не може знайти адресу, він копіює фрейм в усі порти. Unicast фрейми надсилаються на необхідні порти, тоді як multicast і broadcast фрейми передаються в усі порти.

Комутація була оголошена як "нова" технологія, яка збільшує пропускну здатність і збільшує продуктивність, але насправді комутатори це високопродуктивні мости (bridges) з додатковими функціями. Комутація це термін, використовуваний в основному для опису мережних пристроїв Рівня 2, які переправляють фрейми, грунтуючись на MAC адресу одержувача.

Два основні методи, найбільш часто використовуваних виробниками для передачі трафіку це cut-through і store and forward.

Комутація cut-through зазвичай забезпечує менший час затримки, ніж store-and-forward тому, що в цьому режимі комутатор починає передачу фрейму в порт призначення ще до того, як отриманий повністю весь фрейм. Комутатора досить того, що він вважав MAC адреси відправника і одержувача, що знаходяться на початку Token Ring і Ethernet фреймів. Більшість cut-through комутаторів починає пересилання фрейма, отримавши тільки перші 30 - 40 байт заголовка фрейму.

Store and forward копіює весь фрейм перед тим, як пересилати фрейм. Цей метод дає велику затримку, але має більше переваг. Можливості фільтрації, управління та контролю за потоком інформації є головними перевагами цього методу. На додаток, неповні та пошкоджені фрейми не відсилаються, так як вони не є правильними фреймами. Комутатори повинні мати буферну пам'ять для читання і збереження фреймів під час прийняття рішення, що збільшує вартість комутатора.

У міру поліпшення технологій і захоплення ринку новомодної технологією, почали виникати VLAN. Найпростіший шлях зрозуміти Віртуальні мережі - порівняти їх з фізичної мережею. Фізична мережа може складатися з кінцевих станцій, пов'язаних маршрутизатором (або маршрутизаторами), які використовують одна фізична з'єднання. VLAN це логічне комбінування кінцевих станцій в одному сегменті на Рівні 2 і Рівні 3, які пов'язані безпосередньо, без маршрутизатора. Зазвичай користувачам, розділеним фізично, потрібно маршрутизатор для зв'язку з іншим сегментом. Комутатори з можливістю побудови VLAN спочатку були впроваджені в основних навчальних містечках і невеликих робочих групах. Спочатку комутація розроблялася у міру потреби, але зараз це є звичайною практикою впроваджувати комутатори та VLAN в настільних системах.

Кожна робоча станція в VLAN (і тільки ці кінцеві станції) обробляють широкомовна трафік, що посилається іншим членам VLAN. Наприклад, робочі станції A, B, і C приєднані в VLAN 1. VLAN 1 складається з трьох комутаторів Catalyst 5500. Всі комутатори розташовані на різних поверхах і з'єднані між собою опто-волокном і пов'язані транкових протоколом. Робоча станція A приєднана з комутатором A, робоча станція B приєднана в комутатор B і робоча станція C приєднана в комутатор C. Якщо станція A посилає широкомовний пакет, станції B і C отримають цей фрейм, навіть якщо вони фізично приєднані до інших комутатори. Робоча станція D приєднана в комутатор A, але оголошена в VLAN 2. Коли D посилає широкомовний пакет, станція A не побачить цей трафік, хоча вона знаходиться в тому ж фізичному комутаторі, але так як вона знаходиться не в тій же віртуальної LAN, комутатор буде пересилати цей трафік на A. Пам'ятайте, що VLAN працюють на Рівні 2, тому зв'язок між VLAN вимагає прийняття рішень маршрутизації на Рівні 3. Так само станції B і C не побачать трафік від станції D.

Віртуальні мережі (VLAN) пропонують наступні переваги:

• Контроль за широкомовним трафіком
• Функціональні робочі групи
• підвищена безпека

Контроль за широкомовним трафіком

На відміну від традиційних LAN, побудованих за допомогою маршрутизаторів / мостів, VLAN може бути розглянутий як широкомовна домен з логічно налаштованими кордонами. VLAN пропонує більше свободи, ніж традиційні мережі. Раніше використовувані розробки були засновані на фізичному обмеженні мереж, побудованих на основі концентраторів; в основному фізичні кордону LAN сегмента обмежувалися ефективної дальністю, на яку електричний сигнал міг пройти від порту концентратора. Розширення LAN сегментів за ці межі вимагало використання повторювачів (repeaters), пристроїв, які посилювали і пересилали сигнал. VLAN дозволяє мати широкомовна домен незалежно від фізичного розміщення, середовища мережевого доступу, типу носія та швидкості передачі. Члени можуть розташовуватися там, де необхідно, а не там, де є спеціальне з'єднання з конкретним сегментом. VLAN збільшують продуктивність мережі, поміщаючи широкомовна трафік всередині маленьких і легко керованих логічних доменів. У традиційних мережах з комутаторами, які не підтримують VLAN, весь широкомовна трафік потрапляє в усі порти. Якщо використовується VLAN, весь широкомовна трафік обмежується окремим широкомовним доменом.

Функціональні робочі групи

Найбільш фундаментальним перевагою технології VLAN є можливість створення робочих груп, грунтуючись на функціональності, а не на фізичному розташуванні або типі носія. Традиційно адміністратори групували користувачів функціонального підрозділу фізичним переміщенням користувачів, їх столів і серверів в загальний робочий простір, наприклад в один сегмент. Всі користувачі робочої групи мали однакову фізичне з'єднання для того, щоб мати перевагу високошвидкісного з'єднання з сервером. VLAN дозволяє адміністратору створювати, групувати і перегруповують мережеві сегменти логічно і негайно, без зміни фізичної інфраструктури та від'єднання користувачів і серверів. Можливість легкого додавання, переміщення і зміни користувачів мережі - ключова перевага VLAN.

підвищена Безпека

VLAN також пропонує додаткові переваги для безпеки. Користувачі однієї робочої групи не можуть отримати доступ до даних іншої групи, тому що кожна VLAN це закрита, логічно оголошена група. Уявіть компанію, в якій Фінансовий департамент, який працює з конфіденційною інформацією, розташований на трьох поверхах будівлі. Інженерний департамент та відділ Маркетингу також розташовані на трьох поверхах. Використовуючи VLAN, члени Інженерного відділу та відділу Маркетингу можуть бути розташовані на всіх трьох поверхах як члени двох інших VLAN, а Фінансовий департамент може бути членом третьої VLAN, яка розташована на всіх трьох поверхах. Зараз мережевий трафік, створюваний Фінансовим департаментом, буде доступний тільки співробітникам цього департаменту, а групи Інженерного та відділу Маркетингу не зможуть отримати доступ до конфіденційних даних Фінансового департаменту. Очевидно, є інші вимоги для забезпечення повної безпеки, але VLAN може бути частиною загальної стратегії мережевої безпеки. Показаний нижче малюнок говорить про те, як функціонування VLAN може розширити традиційні кордони.

далі

Дякую за увагу!