Vandaag begin ik met een kleine serie artikelen over VLAN's. Laten we beginnen met wat het is, waarvoor het dient, hoe we het moeten configureren, en dan zullen we dieper gaan en geleidelijk, zo niet alle, dan vooral de mogelijkheden bestuderen die VLAN's ons bieden.
Dus onthoud, we hadden het over een concept als? Ik denk dat je het je herinnert. We hebben het ook gehad over het feit dat er verschillende soorten adressen zijn: .
Laten we op basis hiervan nog een inleidend concept maken. Uitzenddomein. Wat hij werkelijk is?
Als een uitzendframe/pakket wordt verzonden (als het een frame is, zijn alle bits in het veld Bestemmingsadres gelijk aan één, of in de 16e vorm is het MAC-adres gelijk aan: FF FF FF FF FF FF), dan dit frame wordt doorgestuurd naar alle poorten van de switch, behalve degene waarvan dit frame is ontvangen. Dit zal bijvoorbeeld gebeuren als onze switch niet wordt beheerd, of als deze wel wordt beheerd, maar iedereen zich in hetzelfde VLAN bevindt (daarover later meer).
Deze lijst met apparaten die deze uitzendframes ontvangen, wordt het uitzenddomein genoemd.
Laten we nu eens beslissen: wat is een VLAN?
VLAN - Virtueel Lokaal Netwerk, d.w.z. een soort virtueel netwerk. Waar is het voor?
Met VLAN kunnen we broadcastdomeinen in één switch scheiden. Die. als we één switch hebben, zullen we sommige poorten aan het ene VLAN toewijzen, en andere aan een ander. En we zullen twee verschillende uitzenddomeinen hebben. Uiteraard houden de mogelijkheden daar niet op. Ik zal er geleidelijk verder over praten.
Kort gezegd stelt VLAN de beheerder in staat een netwerk flexibeler te creëren, door het in bepaalde subnetten te verdelen (bijvoorbeeld een netwerk van accountants, een netwerk van managers, enzovoort). Met andere woorden, VLAN helpt apparaten met een aantal gemeenschappelijke sets te verenigen van eisen in één enkele groep, en scheid deze van andere soortgelijke geïsoleerde groepen.
Laat ik meteen een voorbehoud maken dat VLAN's op OSI Layer 2-niveau werken.
Laten we niet vergeten dat toen we naar het frame keken, daar geen veld voor VLAN was. Hoe kun je dan bepalen tot welk VLAN een bepaald frame behoort?
Er zijn verschillende normen.
1. IEEE 802.1Q - deze standaard is open. Deze standaard markeert een bepaald frame dat door middel van tagging aan een VLAN is “gekoppeld”.
Tagging is een functie van de switch (of een ander apparaat dat VLAN “begrijpt”) dat een bepaalde tag van 4 bytes in het ethernetframe invoegt. De tagging-procedure verandert de headergegevens niet, dus apparatuur die de VLAN-technologie niet ondersteunt, kan zo'n frame gemakkelijk verder langs het netwerk verzenden, waarbij de tag behouden blijft.
Zo ziet het frame eruit na het invoegen van de VLAN-tag.
Op basis van hun figuur zien we dat de VLAN-tag uit 4 velden bestaat, we zullen ze beschrijven:
- 2 bytes Tag Protocol Identifier (TPID) - dit is de protocol-identifier, in ons geval is dit 802.1Q, in de 16e vorm ziet dit veld er als volgt uit: 0x8100.
— Prioriteit — veld voor het instellen van de prioriteit volgens de 802.1p-standaard (hierover in de volgende artikelen). De grootte van dit veld is 3 bits (8 waarden 0-7).
— Canonieke formaatindicator (CFI). Canonieke formaatindicator, dit veld is 1 bit groot. Dit veld geeft het formaat van het mac-adres aan (1 is canoniek, 0 is niet canoniek.)
— VLAN ID, dit is eigenlijk wat we voor vandaag hebben verzameld :) VLAN ID. De veldgrootte is 12 bits en kan een waarde aannemen van 0 tot 4095.
Bij gebruik van VLAN (tagging) volgens de 802.1Q-standaard worden wijzigingen aan het frame aangebracht, daarom is het noodzakelijk om de FCS-waarde opnieuw te berekenen, wat feitelijk door de switch wordt gedaan.
De 802.1Q standaard kent zoiets als Native VLAN, standaard is de Native VLAN ID gelijk aan één (kan gewijzigd worden), Native VLAN kenmerkt zich door het feit dat dit VLAN niet getagd is.
2. Inter-switch-link (ISL). Een protocol ontwikkeld door Cisco en alleen op zijn apparatuur kan worden gebruikt.
Dit protocol is ontwikkeld vóór de adoptie van 802.1Q.
Momenteel wordt ISL niet langer ondersteund op nieuwere hardware, maar het kan zijn dat u dit protocol nog steeds in actie tegenkomt, dus we moeten er vertrouwd mee raken.
In tegenstelling tot 802.1Q, waarbij een eenvoudige tagging van het frame werd uitgevoerd (4 bytes in het frame ingevoegd), wordt hier inkapselingstechnologie gebruikt, dat wil zeggen dat er een bepaalde header wordt toegevoegd die informatie over het VLAN bevat. VLAN ISL ondersteunt, in tegenstelling tot 802.1Q, maximaal 1000 VLAN's.
Laten we het frame in grafische vorm bekijken om te zien hoe deze inkapseling eruit ziet.
Hier kunnen we meteen het eerste en misschien wel het meest fundamentele nadeel van ISL zien: het vergroot het frame met 30 bytes (26 bytes header en 4 bytes FCS).
Laten we de ISL Header in meer detail bekijken, laten we eens kijken wat daar in zoveel bytes is opgeslagen!
- Bestemmingsadres (DA) - het adres van de ontvanger; hier wordt een speciaal multicast-adres aangegeven, wat aangeeft dat het gebruikte frame is ingekapseld met behulp van ISL. Het multicast-adres kan 0x01-00-0C-00-00 of 0x03-00-0c-00-00 zijn.
- Type - veldlengte 4 bits, geeft het protocol aan dat in het frame is ingekapseld. Kan verschillende waarden aannemen:
0000 - Ethernet
0001 - Tokenring
0010 - FDDI
0011 - Geldautomaat
In ons geval zal deze waarde, aangezien we Ethernet overwegen, gelijk zijn aan alles 0.
- USER is een soort “uitgeklede” analoog van het veld Prioriteit in 802.1Q, dat wordt gebruikt om de prioriteit van een frame in te stellen. Hoewel het veld 4 bits beslaat, kan het 4 waarden aannemen (in 802.1Q - 8).
- Bronadres (SA) - bronadres; de waarde van het MAC-adres van de poort van waaruit dit ingekapselde frame is verzonden, wordt op deze plaats vervangen.
- LEN - framelengte. Velden zoals DA,TYPE,USER,SA,LEN,FCS worden hier niet in aanmerking genomen. Het blijkt dus dat deze waarde gelijk is aan het ingekapselde frame - 18 bytes.
- AAAA03 (SNAP) - SNAP en LLC (dit veld bevat de waarde AAAA03).
- HSA - High Bits of Source Address - 3 hoge bytes van het MAC-adres (onthoud dat deze bytes de fabrikantcode bevatten), voor Cisco is dit 00-00-0C
- VLAN - we zijn eindelijk bij het hoofdveld aangekomen. De VLAN-identificatie wordt hier feitelijk aangegeven. De veldgrootte is 15 bits.
- BPDU - Bridge Protocol Data Unit en Cisco Discovery Protocol. Veld voor BPDU- en CDP-protocollen. Wat het is en waarom, zullen we in de volgende artikelen leren.
- INDX - Index, geeft de index van de poort van de afzender aan, gebruikt voor diagnostische doeleinden.
- RES — Gereserveerd voor Token Ring en FDDI. Reserveveld voor Token Ring en FDDI. Het veld heeft een grootte van 16 bits. Als het ethernetprotocol wordt gebruikt, worden in dit veld allemaal nullen geplaatst.
- Encapsulated Frame is een regulier frame dat is ingekapseld. Dit frame heeft zijn eigen velden, zoals DA, SA, LEN, FCS enzovoort.
- FCS is de eigen ISL van FCS (aangezien het frame volledig verandert, is een nieuwe framecontrole nodig, hiervoor zijn de laatste 4 bytes bedoeld).
We kunnen enkele conclusies trekken ten gunste van 802.1Q.
- Tagging voegt slechts 4 bytes toe aan het frame, in tegenstelling tot ISL (30 bytes).
- 802.1Q wordt ondersteund op alle apparatuur die VLAN ondersteunt, terwijl ISL alleen op Cisco-apparaten werkt, en niet op allemaal.
In dit artikel hebben we het concept van VLAN kort geïntroduceerd. Vervolgens zullen we de details bekijken.
VLAN's- dit zijn virtuele netwerken die op het tweede niveau van het model bestaan OSI. Dat wil zeggen dat VLAN op het tweede niveau kan worden geconfigureerd. Als we naar VLAN's kijken en abstractie maken van het concept van 'virtuele netwerken', kunnen we zeggen dat een VLAN eenvoudigweg een label in een frame is dat over het netwerk wordt verzonden. Het label bevat het VLAN-nummer (VLAN ID of VID genoemd), waaraan 12 bits zijn toegewezen, dat wil zeggen dat het VLAN kan worden genummerd van 0 tot 4095. Het eerste en laatste nummer zijn gereserveerd en kunnen niet worden gebruikt. Normaal gesproken weten werkstations niets over VLAN's (tenzij u specifiek VLAN's op de kaarten configureert). Schakelaars denken erover na. De switchpoorten geven aan in welk VLAN ze zich bevinden. Afhankelijk hiervan wordt al het verkeer dat via de poort uitgaat, gemarkeerd met een label, dat wil zeggen een VLAN. Elke poort heeft dus een PVID ( poort vlan-identificatie Dit verkeer mag dan via andere poorten op de switch(es) gaan die zich in dit VLAN bevinden en zal niet via alle andere poorten gaan. Hierdoor ontstaat een geïsoleerde omgeving (subnet) die zonder extra apparaat (router) niet kan communiceren met andere subnetten.
Waarom zijn vilans nodig?
- Het vermogen om een netwerk op te bouwen waarvan de logische structuur niet afhankelijk is van de fysieke structuur. Dat wil zeggen dat de netwerktopologie op datalinkniveau wordt opgebouwd ongeacht de geografische locatie van de samenstellende componenten van het netwerk.
- De mogelijkheid om één broadcastdomein op te splitsen in meerdere broadcastdomeinen. Dat wil zeggen dat uitzendverkeer van het ene domein niet naar een ander domein gaat en omgekeerd. Dit vermindert de belasting van netwerkapparaten.
- De mogelijkheid om het netwerk te beveiligen tegen ongeautoriseerde toegang. Dat wil zeggen dat op verbindingsniveau frames van andere vilans worden afgesneden door de switchpoort, ongeacht welk bron-IP-adres het pakket in dit frame is ingekapseld.
- De mogelijkheid om beleid toe te passen op een groep apparaten die zich in dezelfde villana bevinden.
- Mogelijkheid om virtuele interfaces te gebruiken voor routering.
Voorbeelden van VLAN-gebruik
- Computers die op verschillende switches zijn aangesloten, verbinden tot één netwerk. Stel dat u computers heeft die zijn aangesloten op verschillende switches, maar deze moeten in één netwerk worden gecombineerd. We zullen enkele computers verbinden met een virtueel lokaal netwerk VLAN1 en anderen - naar het netwerk VLAN2. Dankzij de functie VLAN computers in elk virtueel netwerk werken alsof ze op dezelfde switch zijn aangesloten. Computers van verschillende virtuele netwerken VLAN1 En VLAN2 zullen onzichtbaar voor elkaar zijn.
- Computers die op dezelfde switch zijn aangesloten, verdelen in verschillende subnetten. In de figuur zijn computers fysiek verbonden met dezelfde switch, maar gescheiden in verschillende virtuele netwerken VLAN1 En VLAN2. Computers uit verschillende virtuele subnetten zullen onzichtbaar voor elkaar zijn.
- Scheiding van een gast-Wi-Fi-netwerk en een zakelijk Wi-Fi-netwerk. In de afbeelding is één Wi-Fi-toegangspunt fysiek verbonden met de router. Op het punt zijn twee virtuele Wi-Fi-punten met namen aangemaakt HotSpot En Kantoor. NAAR HotSpot Gastlaptops worden via Wi-Fi verbonden om toegang te krijgen tot internet Kantoor- zakelijke laptops. Uit veiligheidsoverwegingen is het belangrijk dat gastlaptops geen toegang hebben tot het bedrijfsnetwerk. Hiervoor zijn bedrijfscomputers en een virtueel Wi-Fi-punt nodig Kantoor verenigd in een virtueel lokaal netwerk VLAN1 en gastlaptops bevinden zich op een virtueel netwerk VLAN2. Gastlaptops uit het netwerk VLAN2 heeft geen toegang tot het bedrijfsnetwerk VLAN1.
Voordelen van het gebruik van VLAN
- Flexibele indeling van apparaten in groepen
- In de regel komt één VLAN overeen met één subnet. Computers die zich in verschillende VLAN's bevinden, worden van elkaar geïsoleerd. U kunt ook computers die op verschillende switches zijn aangesloten, combineren in één virtueel netwerk.
- Vermindering van het uitzendverkeer op het netwerk
- Elke VLAN vertegenwoordigt een afzonderlijk uitzenddomein. Broadcast-verkeer wordt niet uitgezonden tussen verschillende VLAN's. Als je hetzelfde VLAN op verschillende switches configureert, vormen de poorten van verschillende switches één broadcastdomein.
- Verbeterde netwerkbeveiliging en beheerbaarheid
- In een netwerk dat is opgedeeld in virtuele subnetten, is het handig om voor elk VLAN beveiligingsbeleid en -regels toe te passen. Het beleid wordt toegepast op het gehele subnet, in plaats van op een afzonderlijk apparaat.
- Vermindering van het aantal apparatuur en netwerkkabels
- Om een nieuw virtueel lokaal netwerk te creëren, hoeft u geen switch aan te schaffen of een netwerkkabel te installeren. U moet echter duurdere beheerde switches met VLAN-ondersteuning gebruiken.
Gelabelde en niet-gelabelde poorten
Wanneer een poort verkeer van verschillende VLAN's moet kunnen ontvangen of verzenden, moet deze zich in een getagde of trunked-status bevinden. De concepten van een trunkpoort en een getagde poort zijn hetzelfde. Een trunked of getagde poort kan zowel individueel gespecificeerde VLAN's als alle standaard VLAN's bevatten, tenzij anders aangegeven. Als een poort niet is getagd, kan deze slechts één VLAN (native) bevatten. Als een poort niet aangeeft in welk VLAN deze zich bevindt, wordt ervan uitgegaan dat deze zich in een niet-gecodeerde toestand bevindt in het eerste VLAN (VID 1).
Verschillende apparatuur is in dit geval anders geconfigureerd. Voor de ene apparatuur moet je op de fysieke interface aangeven in welke staat deze interface zich bevindt, en voor de andere moet je in een specifiek VLAN aangeven welke poort zich bevindt - met of zonder tag. En als het nodig is dat deze poort meerdere VLAN's passeert, dan moet je in elk van deze VLAN's deze poort registreren met een tag. Bijvoorbeeld in schakelaars Enterasys-netwerken we moeten aangeven in welk VLAN een bepaalde poort zich bevindt en deze poort toevoegen aan de egress-lijst van dit VLAN zodat verkeer via deze poort kan passeren. Als we willen dat het verkeer van een ander VLAN door onze poort gaat, dan voegen we deze poort ook toe aan de uitgaande lijst van dit VLAN. Op apparatuur PK(bijvoorbeeld schakelaars ProCurve) in het VLAN zelf geven we aan welke poorten verkeer van dit VLAN kunnen doorgeven en voegen we de status van de poorten toe - getagd of niet-gelabeld. Gemakkelijkst qua hardware Cisco-systemen. Op zulke switches geven we simpelweg aan welke poorten untagged zijn met welke VLAN’s (in toegang) en welke poorten zich in de getagde status bevinden (in kofferbak).
Poorten in modus configureren kofferbak Er zijn speciale protocollen gemaakt. Eén daarvan heeft de IEEE 802.1Q-standaard. Dit is een internationale standaard die door alle fabrikanten wordt ondersteund en die meestal wordt gebruikt om virtuele netwerken te configureren. Bovendien kunnen verschillende fabrikanten hun eigen protocollen voor gegevensoverdracht hebben. Bijvoorbeeld, Cisco heeft een protocol voor zijn apparatuur gemaakt ISL (Inter Switch-lijst).
Intervlan-routering
Wat is inter-vlan-routering? Dit is normale subnetroutering. Het enige verschil is dat elk subnet overeenkomt met een VLAN op het tweede niveau. Wat betekent het. Laten we zeggen dat we twee VLAN's hebben: VID = 10 en VID = 20. Op het tweede niveau splitsen deze VLAN's één netwerk in twee subnetten. Hosts die zich in deze subnetten bevinden, zien elkaar niet. Dat wil zeggen, het verkeer is volledig geïsoleerd. Om hosts met elkaar te laten communiceren, is het noodzakelijk om het verkeer van deze VLAN's te routeren. Om dit te doen, moeten we aan elk VLAN op het derde niveau een interface toewijzen, dat wil zeggen er een IP-adres aan koppelen. Voor VID = 10 IP-adres is dit bijvoorbeeld 10.0.10.1/24, en voor VID = 20 IP-adres is dit 10.0.20.1/24. Deze adressen zullen verder fungeren als gateways voor toegang tot andere subnetten. We kunnen dus hostverkeer van het ene VLAN naar het andere VLAN routeren. Wat doet VLAN-routering vergeleken met het simpelweg routeren van netwerken zonder VLAN's? Dit is wat:
- De mogelijkheid om lid te worden van een ander subnet aan de clientzijde is geblokkeerd. Dat wil zeggen, als een host zich in een bepaald VLAN bevindt, zal hij, zelfs als hij de adressering van een ander subnet wijzigt, nog steeds in het VLAN blijven waarin hij zich bevond. Dit betekent dat het geen toegang krijgt tot een ander subnet. En dit zal op zijn beurt het netwerk beschermen tegen ‘slechte’ clients.
- We kunnen meerdere fysieke switchinterfaces in een VLAN plaatsen. Dat wil zeggen dat we de mogelijkheid hebben om de routing op een switch op het derde niveau onmiddellijk te configureren door er netwerkclients op aan te sluiten, zonder een externe router te gebruiken. Of we kunnen een externe router gebruiken die is aangesloten op een tweedelaagsswitch waarop VLAN's zijn geconfigureerd, en net zoveel subinterfaces op de routerpoort maken als er in totaal VLAN's zijn die er moeten worden gerouteerd.
- Het is erg handig om het tweede niveau te gebruiken in de vorm van een VLAN tussen het eerste en het derde niveau. Het is handig om subnetten te markeren als VLAN's met specifieke interfaces. Het is handig om één VLAN te configureren en daarin een aantal switchpoorten te plaatsen. En over het algemeen is het handig om veel dingen te doen als er een VLAN is.
Goede dag, beste bezoeker. Vandaag zal ik u, zoals gewoonlijk, volgens onze goede traditie, iets interessants vertellen. En het verhaal van vandaag zal gaan over iets geweldigs in lokale netwerken genaamd VLAN. Er zijn nogal wat varianten van deze technologie in de natuur; we zullen niet over alles praten, maar alleen over de technologieën die het probleem waarmee ons bedrijf wordt geconfronteerd zouden kunnen oplossen. Deze technologie is meer dan eens gebruikt door onze specialisten in onze IT-outsourcingpraktijk in de regio. Maar deze keer was alles wat interessanter, omdat de apparatuur waarmee we moesten werken was enigszins "uitgekleed" (een eerdere soortgelijke taak werd uitgebracht op de D-link DES-1210-28-schakelaar). Maar eerst dingen eerst.
Wat is hetVLAN?
Een VLAN, een logisch (“virtueel”) lokaal netwerk, is een groep hosts met een gemeenschappelijke reeks vereisten die samenwerken alsof ze verbonden zijn met een broadcastdomein, ongeacht hun fysieke locatie. Een VLAN heeft dezelfde eigenschappen als een fysiek LAN, maar zorgt ervoor dat eindstations kunnen worden gegroepeerd, zelfs als ze zich niet op hetzelfde fysieke netwerk bevinden. Deze reorganisatie kan softwarematig worden uitgevoerd in plaats van fysiek bewegende apparaten.
Met deze technologie kunt u twee taken uitvoeren:
1) groepeer apparaten op datalinkniveau (d.w.z. apparaten die zich in hetzelfde VLAN bevinden), hoewel ze fysiek verbonden kunnen zijn met verschillende netwerkswitches (die zich bijvoorbeeld geografisch ver weg bevinden);
2) onderscheid maken tussen apparaten (die zich in verschillende VLAN's bevinden) die op dezelfde switch zijn aangesloten.
Met andere woorden: met VLAN's kunt u afzonderlijke uitzenddomeinen creëren, waardoor het percentage uitzendverkeer op het netwerk wordt verminderd.
Haven- BaserenVLAN
Port-Base VLAN – is een groep poorten of een poort op een switch die deel uitmaakt van één VLAN. Poorten in zo'n VLAN worden untagged (untagged) genoemd, dit komt door het feit dat frames die van de poort komen en gaan geen label of identificatie hebben. Deze technologie kan kort worden beschreven: VLAN's bevinden zich alleen in de switch. We zullen deze technologie overwegen op de D-link DGS-1100-24 beheerde switch.
IEEE 802.1Q
IEEE 802.1Q is een open standaard die een procedure beschrijft voor het taggen van verkeer om VLAN-lidmaatschapsinformatie over te brengen. Om dit te doen, wordt een tag met informatie over het VLAN-lidmaatschap in de hoofdtekst van het frame geplaatst. Omdat de tag wordt in de body geplaatst en niet in de header van het frame, waarna apparaten die geen VLAN's ondersteunen het verkeer transparant doorgeven, dat wil zeggen zonder rekening te houden met de binding ervan aan een VLAN.
Een beetje verslaving, namelijk de procedure voor het plaatsen van een tag in een frame heet injectie.
De taggrootte is 4 bytes. Het bestaat uit de volgende velden:
- Tag Protocol Identifier (TPID, tagging-protocol-identifier). De veldgrootte is 16 bits. Geeft aan welk protocol wordt gebruikt voor tagging. Voor 802.1Q is de waarde 0x8100.
- Prioriteit. De veldgrootte is 3 bits. Gebruikt door de IEEE 802.1p-standaard om de prioriteit van verzonden verkeer in te stellen.
- Canonieke formaatindicator (CFI, canonieke formaatindicator). De veldgrootte is 1 bit. Geeft het MAC-adresformaat aan. 0 - canoniek, 1 - niet-canoniek. CFI wordt gebruikt voor interoperabiliteit tussen Ethernet- en Token Ring-netwerken.
- VLAN-identificatie (VID, VLAN-identificatie). De veldgrootte is 12 bits. Geeft aan tot welk VLAN het frame behoort. Het bereik van mogelijke waarden is van 0 tot 4095.
Poorten in 802.1Q
Poorten kunnen zich in een van de volgende modi bevinden:
- Getagde poort (in CISCO-terminologie - trunk-poort) - de poort geeft pakketten door die zijn getagd met de opgegeven VLAN-nummers, maar tagt de pakketten zelf op geen enkele manier
- Niet-getagde poort (in CISCO-terminologie - toegangspoort) - de poort geeft op transparante wijze ongetagd verkeer door voor het opgegeven VLAN; als het verkeer naar andere switchpoorten buiten het opgegeven VLAN gaat, is het daar al zichtbaar als getagd met het nummer van dit VLAN; .
- De poort behoort tot geen enkel VLAN en neemt niet deel aan de werking van de switch
Voorbeeld. Er is een kantoorruimte waarin de HR-afdeling is verdeeld over twee verdiepingen; het is noodzakelijk dat medewerkers gescheiden zijn van het algemene netwerk. Er zijn twee schakelaars. Laten we VLAN 3 op de een en de ander maken, en de poorten specificeren die zich in een van de VLAN's zullen bevinden als Untagget Port. Om switches te laten begrijpen aan welk VLAN een frame is geadresseerd, hebben ze een poort nodig waarlangs verkeer naar hetzelfde VLAN van een andere switch wordt gestuurd. Laten we bijvoorbeeld één poort selecteren en deze specificeren als Tagget. Als we naast VLAN 3 nog andere hebben, en PC-1 in VLAN 3 zoekt naar PC-2, dan zal het uitzendverkeer niet door het netwerk "reizen", maar alleen in VLAN 3. Het aankomende frame wordt doorgegeven via de MAC-tabel wordt, als het adres van de ontvanger niet wordt gevonden, een dergelijk frame verzonden via alle poorten van het VLAN waar het vandaan komt en de Tagget-poort met het VLAN-label, zodat een andere switch de uitzending naar de groep poorten reproduceert opgegeven in het VID-veld. Dit voorbeeld beschrijft een VLAN: één poort kan zich slechts in één VLAN bevinden.
IEEE 802.1advertentie
802.1ad is een open standaard (vergelijkbaar met 802.1q) die een dubbele tag beschrijft. Ook bekend als Q-in-Q of gestapelde VLAN's. Het belangrijkste verschil met de vorige standaard is de aanwezigheid van twee VLAN's: extern en intern, waardoor u het netwerk niet in 4095 VLAN's kunt splitsen, maar in 4095x4095.
Scenario's kunnen verschillen: de provider moet de trunk van de klant 'doorsturen' zonder het VLAN-nummeringsschema te beïnvloeden, de belasting moet worden verdeeld over subinterfaces binnen het netwerk van de provider, of er zijn simpelweg niet genoeg nummers. Het eenvoudigste is om nog een tag van hetzelfde type te maken.
AsymmetrischVLAN
In D-Link-terminologieën, evenals in VLAN-instellingen, bestaat het concept van een asymmetrisch VLAN - dit is een VLAN waarin één poort zich in meerdere VLAN's kan bevinden.
Havenstaten veranderen
- Getagde poorten werken als voorheen
- Het wordt mogelijk om meerdere poorten als Untagged aan meerdere VLAN's toe te wijzen. Die. één poort werkt in meerdere VLAN's tegelijk als Untagged
- Elke poort heeft een andere PVID-parameter: dit is de VLAN-ID, die wordt gebruikt om verkeer van deze poort te markeren als het naar getagde poorten en buiten de switch gaat. Elke poort kan slechts één PVID hebben
We krijgen dus het feit dat binnen het apparaat één poort tot meerdere VLAN's tegelijk kan behoren, maar tegelijkertijd zal verkeer dat de getagde (TRUNK) poort verlaat, worden gemarkeerd met het nummer dat we in de PVID hebben ingesteld.
Beperking: IGMP Snooping werkt niet bij gebruik van asymmetrische VLAN's.
Een VLAN aanmaken is ingeschakeldD-koppelingDGS-1100-24.
Wat is beschikbaar. Twee schakelaars, één daarvan is D-link DGS-1100-24, schakelaar nr. 2 is hierop aangesloten. Schakelaar nr. 2 verbindt gebruikersmachines – absoluut allemaal – evenals servers, een standaardgateway en netwerkopslag.
Taak. Sluit de HR-afdeling af van de algemene omgeving, zodat de servers, gateway en netwerkopslag toegankelijk zijn.
Bovendien is de D-link DGS-1100-24-schakelaar zojuist uit de doos gehaald. Standaard hebben de meeste door D-Link beheerde switches het adres 10.90.90.90/8. Wij zijn niet geïnteresseerd in het fysiek aanwezig zijn bij de wissel of het wijzigen van het adres. Er is een speciaal hulpprogramma, D-Link SmartConsole Utility, waarmee u ons apparaat via het netwerk kunt vinden. Na de installatie start u het hulpprogramma.
Voordat we verder gaan met de configuratie, laten we de poorten op de juiste manier schakelen:
1) Schakel de poort van de HR-afdeling over van schakelaar nr. 2 naar schakelaar nr. 1
2) Schakel de servers, gateway en netwerkopslag over van schakelaar nr. 2 naar schakelaar nr. 1
3) Sluit schakelaar nr. 2 aan op schakelaar nr. 1
Na zo’n overstap zien we het volgende beeld: de servers, gateway, netwerkopslag en HR-afdeling zijn aangesloten op schakelaar nr. 1, en alle andere gebruikers zijn aangesloten op schakelaar nr. 2.
.JPG)
Klik op de knop "Ontdekking".
.JPG)
Vink het vakje aan en klik op het tandwielpictogram om het venster met schakelinstellingen te openen. Nadat u het adres, het masker en de gateway hebt ingesteld, schrijft u het wachtwoord, dat standaard admin is.
.JPG)
.JPG)
Klik op “VLAN toevoegen” en geef de VLAN-naam en poorten op
.JPG)
Klik op “Toepassen”
.JPG)
Nadat u de benodigde VLAN's hebt aangemaakt, slaat u de instellingen op door op "Opslaan", "Configuratie opslaan" te klikken
.JPG)
We zien dus dat VLAN 3 geen toegang heeft tot poorten 01-08, 15-24 - en daarom geen toegang heeft tot servers, gateway, netwerkopslag, VLAN2 en andere clients - die zijn verbonden met switch nr. 2. VLAN 2 heeft echter toegang tot de servers, gateway en netwerkopslag, maar niet tot andere machines. En ten slotte zien alle andere machines de servers, gateway en netwerkopslag, maar zien ze geen poorten 05,06.]
Als u dus bepaalde kennis heeft over de kenmerken van de apparatuur en vaardigheden op het gebied van IT-outsourcing, kunt u zelfs met budgetapparatuur als de D-Link DGS1100-24-switch aan de behoeften van de klant voldoen.
Alle mensen, Vrede zij met jullie!
Als u een router/modem van Rostelecom nodig heeft of besloten heeft om onafhankelijk verbinding te maken, als u IPTV of digitale telefoniediensten moet aansluiten, dan moet u weten wat een VLAN-ID is en hoe u deze kunt vinden.
VLAN ID is een 12-bits identificatienummer, waarmee u virtuele netwerken op meerdere niveaus kunt creëren, waarbij u fysieke obstakels, zoals geografische locatie, kunt omzeilen en bepaalde informatie naar de benodigde apparaten kunt overbrengen. ViLan-technologie is aanwezig in apparaten die zorgen voor de creatie van één gemeenschappelijk netwerk. Simpel gezegd is de “ViLan” ID een adres waarnaar speciale apparaten die het herkennen (schakelaars) datapakketten verzenden.
De technologie is best handig, heeft zijn eigen voor- en nadelen en wordt door Rostelecom gebruikt voor datatransmissie: bijvoorbeeld voor digitale televisie (IPTV). Dat wil zeggen, als u besluit om zelf verbinding te maken of IPTV in te stellen, dan moet u de identificatie kennen. Zoals u wellicht kunt raden, gebruikt het Russische bedrijf deze speciale reeksen nummers zodat mensen op een gemeenschappelijk “adres” hun modems/routers kunnen gebruiken om IPTV te kijken. Dat wil zeggen dat dit “baken” ervoor zorgt dat verschillende mensen dezelfde informatie kunnen ontvangen.
Dit gebeurt niet alleen voor het gemak en het omzeilen van fysieke grenzen. Met de ID kunt u de toegang tot verschillende virtuele netwerken beveiligen. Scheid bijvoorbeeld gastverbindingen van bedrijfsverbindingen of geef, in het geval van IPTV, alleen toegang aan bepaalde gebruikers.
Verkeer taggen
Er zijn getagde en niet-getagde poorten. Dit betekent dat er poorten zijn die tags gebruiken, en dat er poorten zijn die dat niet doen. Een niet-getagde poort kan alleen persoonlijk VLAN verzenden, een getagde poort kan verkeer van verschillende “bakens” ontvangen en verzenden.
Tags worden aan het verkeer ‘gekoppeld’, zodat netwerkswitches dit kunnen herkennen en accepteren. Tags worden ook gebruikt door Rostelecom.
Het meest interessante dat tags mogelijk maken, is dat computers op één schakelaar (switch) kunnen worden aangesloten en vanaf één punt een Wi-Fi-signaal kunnen ontvangen. Maar tegelijkertijd zullen ze elkaar niet zien en niet dezelfde gegevens ontvangen als ze tot verschillende ‘bakens’ behoren. Dit komt door het feit dat voor de ene “ViLan” bepaalde tags worden gebruikt, terwijl een andere volledig ongetagd kan zijn en dit verkeer niet doorlaat.
Schakel deze functie in
Deze identificatie moet worden ingeschakeld, zodat apparaten die informatie ontvangen deze kunnen zien. Anders is alle gecodeerde informatie niet zichtbaar.
Het is dus de moeite waard om het VLAN voor elke specifieke dienst te activeren. Als het al is geactiveerd en jij het niet was die het heeft gedaan, is het toch de moeite waard om je “adres” te kennen.
En switches, waarmee u meerdere virtuele lokale netwerken kunt creëren op één fysieke netwerkinterface (Ethernet, Wi-Fi-interface). VLAN's worden gebruikt om een logische netwerktopologie te creëren die onafhankelijk is van de fysieke topologie.
Voorbeelden van VLAN-gebruik
Computers die op verschillende switches zijn aangesloten, verbinden tot één netwerk.
Stel dat u computers heeft die zijn aangesloten op verschillende switches, maar deze moeten in één netwerk worden gecombineerd. We zullen sommige computers verbinden met een virtueel lokaal netwerk VLAN 1, en andere met een VLAN 2-netwerk. Dankzij de VLAN-functie zullen computers in elk virtueel netwerk werken alsof ze op dezelfde switch zijn aangesloten. Computers van verschillende virtuele netwerken VLAN 1 en VLAN 2 zullen onzichtbaar voor elkaar zijn.
Computers die op dezelfde switch zijn aangesloten, verdelen in verschillende subnetten.
In de figuur zijn computers fysiek verbonden met dezelfde switch, maar gescheiden in verschillende virtuele netwerken VLAN 1 en VLAN 2. Computers van verschillende virtuele subnetten zullen onzichtbaar voor elkaar zijn.
Scheiding van het gasten-WiFi-netwerk en het zakelijke Wi-Fi-netwerk.
In de afbeelding is één Wi-Fi-toegangspunt fysiek verbonden met de router. Op het punt zijn twee virtuele Wi-Fi-punten gecreëerd met de namen HotSpot en Office. Gastlaptops worden via Wi-Fi verbonden met HotSpot voor toegang tot internet, en zakelijke laptops worden verbonden met Office. Uit veiligheidsoverwegingen is het belangrijk dat gastlaptops geen toegang hebben tot het bedrijfsnetwerk. Om dit te doen worden bedrijfscomputers en het virtuele Wi-Fi-punt op kantoor gecombineerd in een virtueel lokaal netwerk VLAN 1, en worden gastlaptops geplaatst in een virtueel netwerk VLAN 2. Gastlaptops uit het VLAN 2-netwerk hebben geen toegang tot de bedrijfsnetwerk VLAN 1.
Voordelen van het gebruik van VLAN
Flexibele indeling van apparaten in groepen
In de regel komt één VLAN overeen met één subnet. Computers die zich in verschillende VLAN's bevinden, worden van elkaar geïsoleerd. U kunt ook computers die op verschillende switches zijn aangesloten, combineren in één virtueel netwerk.
Vermindering van het uitzendverkeer op het netwerk
Elke VLAN vertegenwoordigt een afzonderlijk uitzenddomein. Broadcast-verkeer wordt niet uitgezonden tussen verschillende VLAN's. Als je hetzelfde VLAN op verschillende switches configureert, vormen de poorten van verschillende switches één broadcastdomein.
Verbeterde netwerkbeveiliging en beheerbaarheid
In een netwerk dat is opgedeeld in virtuele subnetten, is het handig om voor elk VLAN beveiligingsbeleid en -regels toe te passen. Het beleid wordt toegepast op het gehele subnet, in plaats van op een afzonderlijk apparaat.
Vermindering van het aantal apparatuur en netwerkkabels
Om een nieuw virtueel lokaal netwerk te creëren, hoeft u geen switch aan te schaffen of een netwerkkabel te installeren. U moet echter duurdere beheerde switches met VLAN-ondersteuning gebruiken.
