För närvarande använder många moderna organisationer och företag praktiskt taget inte en så mycket användbar och ofta nödvändig funktion som att organisera ett virtuellt (VLAN) inom ramen för en integrerad infrastruktur, som tillhandahålls av de flesta moderna switchar. Detta beror på många faktorer, så det är värt att överväga denna teknik med tanke på möjligheten att dess användning för sådana ändamål.
allmän beskrivning
Först är det värt att bestämma vad VLAN är. Detta innebär en grupp datorer kopplade till ett nätverk, som logiskt är förenade till en domän för att skicka broadcast-meddelanden enligt ett visst kriterium. Till exempel kan grupper särskiljas beroende på företagets struktur eller på typ av arbete med ett projekt eller en uppgift tillsammans. VLAN ger flera fördelar. Att börja vi pratar om om betydligt effektivare användning bandbredd(jämfört med traditionella lokala nätverk), en ökad grad av skydd av information som överförs, samt ett förenklat administrationsschema.
Eftersom när man använder VLAN är hela nätverket uppdelat i broadcast-domäner, information inom en sådan struktur överförs endast mellan dess medlemmar och inte till alla datorer i fysiskt nätverk. Det visar sig att sändningstrafiken som genereras av servrarna är begränsad till en fördefinierad domän, det vill säga att den inte sänds till alla stationer i detta nätverk. Detta gör det möjligt att uppnå optimal fördelning av nätverksbandbredd mellan utvalda grupper av datorer: servrar och arbetsstationer från olika VLAN ser helt enkelt inte varandra.
Hur går alla processer till?
I ett sådant nätverk är information ganska väl skyddad från det faktum att datautbyte utförs inom en specifik grupp av datorer, det vill säga de kan inte ta emot trafik som genereras i någon annan liknande struktur.
Om vi pratar om vad VLAN är, är det lämpligt att notera en sådan fördel med denna organisationsmetod att förenklat nätverk påverkar sådana uppgifter som att lägga till nya element i nätverket, flytta dem och ta bort dem. Till exempel, om en VLAN-användare flyttar till en annan plats, behöver nätverksadministratören inte återansluta kablarna. Han bör helt enkelt konfigurera nätverksutrustningen från sin arbetsplats. I vissa implementeringar av sådana nätverk kan gruppmedlemmarnas rörelser kontrolleras automatiskt läge utan att ens behöva ingripa från administratören. Han behöver bara veta hur man konfigurerar VLAN för att utföra alla nödvändiga operationer. Han kan skapa nya logiska användargrupper utan att ens lämna sin plats. Allt detta sparar mycket arbetstid, vilket kan vara användbart för att lösa problem av inte mindre betydelse.
VLAN-organisationsmetoder
Det finns tre olika alternativ: baserat på portar, lager 3-protokoll eller MAC-adresser. Varje metod motsvarar en av tre lägre nivåer OSI-modeller: fysiska, nätverk respektive kanal. Om vi pratar om vad VLAN är, är det värt att notera närvaron av en fjärde organisationsmetod - baserad på regler. Det används sällan idag, även om det ger större flexibilitet. Du kan titta på var och en av dem mer i detalj. de angivna metoderna för att förstå vilka funktioner de har.
Portbaserat VLAN
Detta innebär en logisk kombination av vissa fysiska switchportar valda för kommunikation. Till exempel kan den bestämma att vissa portar, till exempel 1, 2 och 5 bildar VLAN1, och nummer 3, 4 och 6 används för VLAN2, och så vidare. En switchport kan användas för att koppla ihop flera datorer, för vilka de använder till exempel en hubb. Alla kommer att definieras som medlemmar i samma virtuella nätverk, till vilket switchens serveringsport är registrerad. En sådan stel bindning av virtuellt nätverksmedlemskap är den största nackdelen med ett sådant organisationsschema.
VLAN baserat på MAC-adresser
Denna metod är baserad på användningen av unika hexadecimala länknivåadresser tillgängliga på varje server eller arbetsstation nätverk. Om vi pratar om vad VLAN är, är det värt att notera att denna metod anses vara mer flexibel i jämförelse med den tidigare, eftersom det är fullt möjligt att ansluta datorer som tillhör olika virtuella nätverk till en switchport. Dessutom spårar den automatiskt rörelsen av datorer från en port till en annan, vilket gör att du kan behålla klientens medlemskap i ett specifikt nätverk utan administratörsingripande.
Funktionsprincipen här är mycket enkel: switchen upprätthåller en tabell över överensstämmelse mellan MAC-adresser för arbetsstationer och virtuella nätverk. Så fort datorn byter till någon annan port jämförs MAC-adressfältet med tabelldata, varefter man drar rätt slutsats om datorn tillhör ett visst nätverk. Nackdelen med denna metod är komplexiteten i VLAN-konfigurationen, som initialt kan orsaka fel. Med tanke på att switchen självständigt bygger adresstabeller måste nätverksadministratören granska allt för att avgöra vilka adresser som motsvarar vilka virtuella grupper, varefter han tilldelar dem till lämpliga VLAN. Och det är här det finns utrymme för fel, vilket ibland händer i Cisco VLAN, vars konfiguration är ganska enkel, men efterföljande omfördelning kommer att vara svårare än vid användning av portar.
VLAN baserat på lager 3-protokoll
Denna metod används ganska sällan i växlar på arbetsgrupps- eller avdelningsnivå. Det är typiskt för stamnätverk utrustade med inbyggda routingverktyg för de huvudsakliga lokala nätverksprotokollen - IP, IPX och AppleTalk. Denna metod förutsätter att en grupp switchportar som tillhör ett specifikt VLAN kommer att associeras med något IP- eller IPX-subnät. I det här fallet tillhandahålls flexibilitet av det faktum att förflyttningen av en användare till en annan port som tillhör samma virtuella nätverk övervakas av switchen och inte kräver omkonfigurering. VLAN-routing i det här fallet är ganska enkelt, eftersom switchen i det här fallet analyserar nätverksadresser datorer som är definierade för vart och ett av nätverken. Denna metod stöder också interaktion mellan olika VLAN utan att använda ytterligare medel. Det finns en nackdel med denna metod - den höga kostnaden för switcharna där den är implementerad. Rostelecom VLAN stödjer drift på denna nivå.
Slutsatser
Som du redan förstår är virtuella nätverk ett ganska kraftfullt verktyg som kan lösa problem relaterade till säkerheten för dataöverföring, administration, åtkomstkontroll och ökad effektivitet i användningen.
Konceptet med privata virtuella nätverk, förkortat VPN (från engelska, dök upp inom datortekniken relativt nyligen. Skapandet av en anslutning av denna typ gjorde det möjligt att kombinera datorterminaler och mobila enheter till virtuella nätverk utan de vanliga kablarna, oavsett platsen för en viss terminal Låt oss nu överväga frågan om hur en VPN-anslutning fungerar, och samtidigt kommer vi att ge några rekommendationer för att sätta upp sådana nätverk och relaterade klientprogram.
Vad är ett VPN?
Som redan är klart är en VPN ett virtuellt privat nätverk med flera enheter anslutna till det. Du bör inte lura dig själv - att ansluta två eller tre dussin samtidigt fungerande datorterminaler (som kan göras i ett lokalt område) fungerar vanligtvis inte. Detta har sina begränsningar i nätverksinstallationen eller helt enkelt i bandbredden för routern som ansvarar för att tilldela IP-adresser och
Idén som ursprungligen låg i anslutningstekniken är dock inte ny. De försökte belägga det länge. Och många moderna användare dator nätverk De föreställer sig inte ens att de har vetat om detta hela sitt liv, utan försökte helt enkelt inte fördjupa sig i problemets kärna.
Hur en VPN-anslutning fungerar: grundläggande principer och tekniker
För en bättre förståelse, låt oss ge det enklaste exemplet som någon känner till till den moderna människan. Ta radion till exempel. När allt kommer omkring är det i huvudsak en sändande enhet (översättare), en mellanliggande enhet (repeater) som ansvarar för överföringen och distributionen av signalen och en mottagande enhet (mottagare).
En annan sak är att signalen sänds till absolut alla konsumenter, och det virtuella nätverket fungerar selektivt och förenar bara vissa enheter till ett nätverk. Observera att varken i det första eller det andra fallet krävs kablar för att ansluta sändande och mottagande enheter som utbyter data med varandra.
Men det finns en del finesser här också. Faktum är att radiosignalen från början var oskyddad, det vill säga den kan tas emot av alla radioamatörer med en fungerande enhet vid lämplig frekvens. Hur fungerar ett VPN? Ja, exakt samma. Endast i detta fall spelas repeaterns roll av en router (router eller ADSL-modem), och mottagarens roll spelas av en stationär datorterminal, bärbar dator eller mobil enhet utrustad med en speciell trådlös anslutningsmodul (Wi- Fi).
Med allt detta krypteras data som kommer från källan initialt, och först därefter, med hjälp av en speciell avkodare, reproduceras på specifik enhet. Denna princip för kommunikation via VPN kallas tunnling. Och denna princip är mest förenlig med mobilanslutning, när omdirigering sker till en specifik abonnent.
Lokal virtuell nätverkstunnling
Låt oss förstå hur VPN fungerar i tunnelläge. I grunden handlar det om att skapa en viss rät linje, säg, från punkt "A" till punkt "B", när vid överföring av data från en central källa (router med serveranslutning) identifieras alla nätverksenheter automatiskt enl. en förutbestämd konfiguration.
Med andra ord skapas en tunnel med kodning vid sändning av data och avkodning vid mottagning. Det visar sig att ingen annan användare som försöker fånga upp den här typen av data under överföringen kommer att kunna dekryptera den.
Genomförandemedel
En av de mest kraftfulla verktyg Cisco-system tillhandahåller sådana anslutningar och säkerställer samtidigt säkerheten. Det är sant att en del oerfarna administratörer har en fråga om varför VPN-Cisco-utrustning inte fungerar.
Detta beror främst på felaktig inställning och installerade drivrutiner för routrar som D-Link eller ZyXEL, som kräver finjustering bara för att de är utrustade med inbyggda brandväggar.
Dessutom bör du vara uppmärksam på anslutningsdiagrammen. Det kan finnas två av dem: rutt-till-rutt eller fjärråtkomst. I det första fallet talar vi om att kombinera flera distributionsenheter, och i det andra talar vi om att hantera anslutningen eller dataöverföringen med fjärråtkomst.
Åtkomstprotokoll
När det gäller protokoll används idag konfigurationsverktyg främst på PCP/IP-nivå, även om de interna protokollen för VPN kan variera.
VPN slutade fungera? Det finns några dolda alternativ att titta på. Till exempel, TCP-teknik-baserad ytterligare PPP-protokoll och PPTP tillhör fortfarande TCP/IP-protokollstackarna, men för att ansluta, säg, om du använder PPTP, måste du använda två IP-adresser istället för den som krävs. Men i alla fall innebär tunnling att överföra data som är inneslutna i interna protokoll som IPX eller NetBEUI, som alla är utrustade med speciella PPP-baserade headers för att sömlöst överföra data till lämplig nätverksdrivrutin.
Hårdvaruenheter
Låt oss nu titta på en situation där frågan uppstår om varför VPN inte fungerar. Att problemet kan vara relaterat till felaktig inställning utrustning såklart. Men en annan situation kan också uppstå.
Det är värt att uppmärksamma själva routrarna, som övervakar anslutningen. Som nämnts ovan bör du endast använda enheter som uppfyller anslutningsparametrarna.
Till exempel kan routrar som DI-808HV eller DI-804HV ansluta upp till fyrtio enheter samtidigt. När det gäller ZyXEL-utrustning kan den i många fall till och med köras genom det inbyggda nätverksoperativsystemet ZyNOS, men endast med kommandoradsläge via Telnet-protokollet. Detta tillvägagångssätt låter dig konfigurera alla enheter med dataöverföring på tre nätverk i en gemensam Ethernet-miljö med IP-trafiköverföring, och även använda unik teknik Any-IP, designad för att aktivera standardbord routrar med vidarebefordrad trafik som en gateway för system som ursprungligen var konfigurerade för att fungera på andra subnät.
Vad ska jag göra om VPN inte fungerar (Windows 10 och senare)?
Det allra första och viktigaste villkoret är överensstämmelsen mellan utgångs- och inmatningsnycklarna (Pre-shared Keys). De måste vara lika i båda ändar av tunneln. Det är också värt att uppmärksamma kryptografiska krypteringsalgoritmer (IKE eller Manual) med eller utan autentiseringsfunktion.
Till exempel kan samma AH-protokoll (på engelska - Authentication Header) endast ge auktorisering utan möjlighet att använda kryptering.
VPN-klienter och deras konfiguration
När det gäller VPN-klienter är inte allt enkelt här heller. De flesta program baserade på sådan teknik använder standardmetoder inställningar. Det finns dock fallgropar här.
Problemet är att oavsett hur du installerar klienten, om tjänsten är avstängd i själva operativsystemet, så kommer det inget gott ur det. Det är därför du först måste aktivera dessa inställningar i Windows, sedan aktivera dem på routern (routern) och först därefter börja konfigurera själva klienten.
Du måste skapa en ny anslutning i själva systemet istället för att använda en befintlig. Vi kommer inte att uppehålla oss vid detta, eftersom proceduren är standard, men på själva routern måste du gå till ytterligare inställningar (oftast finns de i menyn WLAN Connection Type) och aktivera allt som är relaterat till VPN-servern.
Det är också värt att notera det faktum att det måste installeras i systemet som ett följesprogram. Men då kan den användas även utan manuell konfiguration, helt enkelt genom att välja närmaste plats.
En av de mest populära och enklaste att använda är en VPN-klientserver som heter SecurityKISS. Programmet är installerat, men då behöver du inte ens gå in i inställningarna för att säkerställa normal kommunikation för alla enheter som är anslutna till distributören.
Det händer att det ganska välkända och populära Kerio VPN Client-paketet inte fungerar. Här måste du vara uppmärksam inte bara på själva operativsystemet utan också på parametrarna för klientprogrammet. Som regel kan du bli av med problemet genom att ange rätt parametrar. Som en sista utväg måste du kontrollera inställningarna för huvudanslutningen och de TCP/IP-protokoll som används (v4/v6).
Vad är resultatet?
Vi tittade på hur en VPN fungerar. I princip är det inget komplicerat med att ansluta eller skapa nätverk av den här typen. De största svårigheterna ligger i att ställa in specifik utrustning och ställa in dess parametrar, som tyvärr många användare förbiser, och förlitar sig på det faktum att hela processen kommer att reduceras till automatisering.
Å andra sidan var vi nu mer bekymrade över frågor relaterade till den virtuella drifttekniken VPN-nätverk, så du måste konfigurera utrustningen, installera drivrutiner etc. med hjälp av separata instruktioner och rekommendationer.
Virtuellt LAN (VLAN, Virtual LAN) är en logisk grupp av datorer inom ett verkligt LAN, bortom vilken någon typ av trafik (broadcast, multicast och unicast) inte sträcker sig. Genom att använda VLAN kan en nätverksadministratör organisera användare i logiska grupper oavsett den fysiska platsen för dessa användares arbetsstationer.
Huvudmålen med att introducera virtuella nätverk i en switchad miljö är:
Öka användbar nätverkskapacitet genom att lokalisera broadcast-trafik inom ett virtuellt nätverk;
Öka nivån av nätverkssäkerhet genom att lokalisera unicast-trafik inom det virtuella nätverket;
Bildande av virtuella arbetsgrupper från icke-kompakta (när det gäller anslutning) lokaliserade noder;
Förbättrat pris/prestanda-förhållande jämfört med routrar.
Ett klassiskt exempel som återspeglar essensen av virtuella nätverk visas i figur 4. Både revisorernas maskiner och revisorernas maskiner är anslutna till en switch hos ett hypotetiskt företag. I det här fallet finns det absolut inget behov av interaktion mellan datamaskiner för två grupper av anställda. Därför allokeras revisorernas maskiner till ett virtuellt nätverk och ingenjörernas maskiner till ett annat. I det här fallet kommer all trafik (broadcast, multicast och unicast) att begränsas till gränserna för dess virtuella nätverk. Dessutom kommer nätverkssäkerheten att öka. Till exempel, om ett maskvirus dyker upp på en revisors maskin, kan det som mest infektera endast revisorernas maskiner.
Idag finns det ganska många alternativ för att implementera VLAN. Enkla alternativ VLAN är en samling switchportar med mer komplexa implementeringar som gör att grupper kan skapas utifrån andra kriterier. Generellt sett är VLAN-organisationens möjligheter nära relaterade till switcharnas kapacitet.
5.1. Nätverk baserade på MAC-adresser (MAC-baserade VLAN)
Den här typen av virtuella nätverk grupperar enheter baserat på deras MAC-adresser. För att få åtkomst till ett virtuellt nätverk måste enheten ha en MAC-adress som finns i listan över adresser för detta virtuella nätverk. Utmärkande för den här typen av virtuella nätverk är bland annat att de endast begränsar broadcast-trafik. Det är här deras namn kommer ifrån - broadcast-domäner baserade på MAC-adresser. Teoretiskt sett kan en MAC-adress vara medlem av flera sändningsdomäner i praktiken, denna möjlighet bestäms av funktionaliteten specifik modell växla.
Att sätta upp ett virtuellt nätverk baserat på MAC-adresser kan vara tidskrävande. Föreställ dig att du behöver associera 1000 enhetsadresser till ett VLAN. Dessutom är MAC-adresser hårdkodade i utrustningen och det kan ta mycket tid att ta reda på adresserna till enheter i ett stort, geografiskt distribuerat nätverk. Dessutom finns det säkerhetsproblem när man arbetar med ett nätverk baserat på MAC-adresser. En angripare kan ta reda på MAC-adressen för en dator som ingår i ett visst VLAN och tilldela den till sitt nätverkskort (det kan åtminstone göras standardmedel MSWindows XP) och anslut till nätverket.
Å andra sidan tillåter MAC-adressbaserade sändningsdomäner en station att flyttas fysiskt samtidigt som den fortfarande kan förbli i samma sändningsdomän utan några ändringar i konfigurationsinställningarna. Detta är användbart på nätverk där stationer rör sig ofta, till exempel där personer som använder bärbara datorer ständigt är anslutna till olika delar nätverk.
5.2. Portbaserade VLAN
Enheter kommunicerar i virtuella nätverk baserat på de switchportar som de är fysiskt anslutna till. Det vill säga att varje switchport ingår i ett eller flera virtuella nätverk. Fördelarna med denna typ av virtuella nätverk inkluderar en hög säkerhetsnivå och enkel konfiguration. Nackdelarna inkluderar den statiska karaktären hos denna typ av virtuella nätverk. Det vill säga när du ansluter en dator till en annan switchport måste du ändra VLAN-inställningarna varje gång.
5.3. Tagged Frame Networking (IEEE 802.1 Q VLAN)
Till skillnad från de två tidigare typer VLAN baserade på taggade ramar kan byggas på två eller flera switchar.
IEEE 802.1Q är en öppen standard som beskriver en procedur för att tagga trafik för att förmedla VLAN-medlemskapsinformation. Förutom taggningsproceduren för att överföra trafik från olika VLAN, beskriver 802.1 Q-standarden:
GVRP-protokoll;
MSTP-protokoll;
Men oftast hänvisas till 802.1 Q specifikt som en standard relaterad till VLAN och taggningsprocedur. En switch på vilken virtuella IEEE 802.1Q-nätverk är konfigurerade placerar en tagg inuti ramen som förmedlar information om trafikens medlemskap i VLAN.
| TPID | Prioritet | CFI | VLAN ID |
Taggstorleken är 4 byte. Den består av följande fält:
Tag Protocol Identifier (TPID) – taggningsprotokollidentifierare. Fältstorleken är 16 bitar. Indikerar vilket protokoll som används för taggning. För 802.1q är värdet 0x8100.
Prioritet - prioritet. Fältstorleken är 3 bitar. Används av standarden IEEE 802.1p för att ställa in prioritet för överförd trafik.
Canonical Format Indicator (CFI) - kanonisk formatindikator. Fältstorleken är 1 bit. Indikerar formatet för MAC-adressen. 1 – kanonisk (Ethernet-ram), 0 – icke-kanonisk (Token Ring-ram, FDDI).
VLAN Identifier (VID) - VLAN-identifierare. Fältstorleken är 12 bitar. Indikerar vilket virtuellt nätverk ramen tillhör. Utbud av möjliga VID-värden från 0 till 4094.
Taggen infogas efter fältet "Sändaradress". Eftersom ramen har ändrats räknas den om kontrollsumma(Figur 5).
Mekanismer för att lägga till en tagg till en titel Ethernet ram
En tagg kan läggas till i ramhuvudet:
Explicit, om nätverkskort stöder IEEE 802.1Q-standarden och motsvarande alternativ är aktiverade på dessa kort, kommer utgående Ethernet-ramar från dessa kort att innehålla taggar;
Implicit, om nätverksadaptrarna som är anslutna till detta nätverk inte stöder IEEE 802.1Q-standarden, läggs tokens till på switchen baserat på portgruppering.
Att ändra Ethernet-ramformatet innebär att nätverksenheter som inte stöder IEEE 802.1Q-standarden (sådana enheter kallas tagg-unaware) inte kan fungera med ramar där taggar infogas. Därför, för att säkerställa kompatibilitet med enheter som stöder IEEE 802.1 Q-standarden (tag-medvetna enheter), måste IEEE 802.1Q-switchar stödja både traditionella Ethernet-ramar, det vill säga otaggade ramar och taggade ramar.
Inkommande och utgående trafik, beroende på typ av källa och mottagare, kan bildas av både taggade ramar och otaggade ramar - endast i detta fall kan kompatibilitet uppnås med enheter utanför switchen. Trafik inuti switchen bildas alltid av taggade paket. För att stödja olika typer av trafik och för att säkerställa att växelns interna trafik bildas från taggade paket måste ramar på växelns mottagnings- och sändningsportar därför konverteras i enlighet med fördefinierade regler.
IEEE 802.1Q virtuell nätverkskonfiguration
Switchar för VLAN kräver förkonfiguration(de levereras vanligtvis i ett tillstånd där de beter sig som vanliga switchar). För konfiguration är det bekvämt att använda out-of-band-hantering via konsolporten, eftersom med in-band-hantering, på grund av slarv eller oerfarenhet, kan du hamna i en "fälla" - någon gång, på grund av ett konfigurationsfel , kan konsolen tappa kontakten med omkopplaren.
Portar för switchar som stöder 802.1Q och deltar i bildandet av ett VLAN tilldelas specifika attribut. Varje port är tilldelad en PVID (Port VLAN Identifier) - en VLAN-identifierare för alla otaggade ramar som kommer till den. Switchen markerar varje OMARKERAD ram som kommer till den (infogar VLAN-numret i enlighet med PVID och prioritet, räknar om FCS) och lämnar de markerade oförändrade. Som ett resultat kommer alla ramar inuti switchen att markeras.
Portar kan konfigureras som taggade eller otaggade VLAN-medlemmar. En omärkt medlem av VLAN släpper ramar som går ut genom det utan en tagg (tar bort den och räknar om FCS igen). En taggad medlem släpper alla taggade ramar. För varje VLAN fastställs en lista över portar som är dess medlemmar. En port kan vara medlem i ett eller flera VLAN. När den är konfigurerad för ett komedi-VLAN måste varje port deklareras som otaggad (U), taggad (T) eller inte en medlem av det givna VLAN-nätverket (-). Om trunkledningar används (Port Trunking eller LinkSafe) representerar dessa portar från VLAN:s synvinkel en enda helhet.
Bygga virtuella 802.1Q-nätverk på en switch
Betrakta följande exempel (Figur 6), som hjälper till att förstå principen för driften av virtuella 802.1Q-nätverk. Maskin 1 och 4 tillhör VLAN 1, maskin 2 och 5 tillhör VLAN 2 och maskin 3 är en offentlig resurs och ingår i VLAN 3.
| PVID | Portnummer |
| 1 | 4 |
| 2 | |
| 5 | |
| 3 | 3 |
| Portnummer | |||||
| VID | |||||
| U | - | U | U | - | |
| - | U | U | - | U | |
| U | U | U | U | U |
Figur 6. Exempel på att sätta upp ett virtuellt 802.1Q-nätverk på en switch.
I enlighet med distributionen över virtuella nätverk tilldelas PVIDs till portar enligt tabellen, det vill säga alla otaggade paket som kommer till switchen från nätverket kommer att taggas i enlighet med PVID-porten
Eftersom servern är ansluten till port 3 måste den ta emot paket från alla maskiner, det vill säga från alla virtuella nätverk. Således är port 3 otaggad för alla VLAN, det vill säga paket från alla virtuella nätverk kommer att överföras till nätverket genom denna port otaggade.
De återstående portarna ingår inte bara i deras VLAN, utan också i VLAN 3, eftersom de måste ta emot paket inte bara från deras VLAN, utan också från serverns VLAN.
Bygga virtuella 802.1Q-nätverk på flera switchar
Som redan nämnts kan virtuella 802.1Q-nätverk byggas på flera switchar och spänna över hela det lokala nätverket. Tänk på följande exempel (Figur 7) Switchar SW2 och SW3 stöder 802.1Q, SW1 stöder endast VLAN på portar, SW4 är en switch utan VLAN-stöd. För att både VLAN V1 och V2 ska inkludera noder anslutna till switcharna SW1 och SW2 måste separata ledningar läggas mellan dessa switchar och en port måste vara upptagen för varje VLAN. Portarna 1 och 2 på switch SW2 är konfigurerade som omärkta (U), en för VLAN V1 (PVID=1), den andra för V2 (PVID=2). Port 8 vid SW2 och 1 vid SW3 är deklarerade märkta (T) för VLAN V2 och V3. Portarna SW2 och SW3, till vilka datorer är anslutna, deklareras som omärkta medlemmar av motsvarande VLAN för dessa portar tar PVID värdena 1, 2 och 3 (i enlighet med VLAN-numret). Vi tillåter VLAN-medlemmar V2 och V3 att komma åt Internet via en router ansluten till port 7 på switch SW3. För att göra detta är port 7 konfigurerad som en otaggad medlem av V2 och V3, detta kommer att säkerställa att alla ramar från Internetanvändare passerar till routern. För att svarsramar ska nå användare kommer vi att tilldela PVID=9 till port 7 på SW3-switchen - detta kommer att vara ett extra VLAN för internetåtkomst. Detta VLAN måste "registreras" i alla portar SW2 och SW3 som Internetanvändare ansluter till (portarna SW2.8 och SW3.1 kommer att märkas som medlemmar av VLAN 9, resten - omärkta). Med ordet "registrerad" menar vi en indikation på medlemskapet för dessa portar i VLAN 9, men inte tilldelningen av PVID=9 till dem.
Implementeringar av IEEE 802.1Q-standarden i nätverksutrustning olika tillverkare
IEEE 802.1Q-standarden definierar endast formatet på Ethernet-ramarna som används och en minimiuppsättning enhetskrav som måste implementeras av alla tillverkare. Samtidigt lämnas ett mycket stort användningsområde av denna teknik till utrustningstillverkaren.
Modern nätverksutrustning från många tillverkare tillåter som standard markering av utgående paket på den aktuella porten endast för ett specifikt VLAN. Låt till exempel inkommande paket för port 1 vara märkta med PVID=1, det vill säga datorer på port 1 är i VLAN 1. Taggen måste extraheras från ramar som utgår från port 1, annars kommer ramen att kasseras av destinationsdatorn (om den inte stöder IEEE 802.1Q). Så du kan extrahera en tagg endast med numret för ett specifikt VLAN. Men vad händer om maskiner från flera VLAN är anslutna till denna port?
Det finns flera sätt att komma runt denna begränsning:
1. Användning av asymmetriska virtuella nätverk. Vissa switchar har möjlighet att aktivera den här typen VLAN (asymmetriskt vlan aktiverat/inaktiverat). Detta gör att en port kan inkluderas i flera VLAN
2. Aktivera 802.1Q-stöd på slutenheter - datorer.
3. 3. Virtuell nätverksrouting. Detta kräver att nätverksadaptern för den delade resursen (server, skrivare, etc.) stöder IEEE 802.1Q. Då blir schemat som följer:
· Vi konfigurerar flera IP-subnät på nätverksadaptern för den offentliga resursen. Vi binder varje IP-subnät till ett specifikt VLAN.
· datorer från varje VLAN placeras också i ett specifikt IP-undernät.
Om switchen inte stöder asymmetriska VLAN är det enklaste sättet att bygga ett nätverk med delade resurser att tillhandahålla 802.1Q-stöd på slutenheterna. Samtidigt är det inte nödvändigt att ha nätverkskort med detta stöd - det finns verktyg som låter dig köra detta protokoll även på de enklaste nätverkskorten. Till exempel är ett sådant verktyg i Linux vconfig. Det är sant, om vi pratar om skrivare (det vill säga om utrustning vars operativsystem inte tillåter explicit ingripande), så återstår bara den tredje metoden.
Slutligen bör det noteras att moderna switchar stöder i bästa fall två VLAN-typ: per port och IEEE 802.1 Q.
Slut på arbetet -
Detta ämne hör till avsnittet:
Teknik för att bygga Ethernet-nätverk. Full duplex flödeskontroll. Portspegling. Konsolidering av portar till trunkkommunikationslinjer. Virtuella nätverk
Vetenskapligt tillverkande företag Utbildningsutrustning Prof.. Pedagogiskt laboratorieställ..
Om du behöver ytterligare material om detta ämne, eller om du inte hittade det du letade efter, rekommenderar vi att du använder sökningen i vår databas med verk:
Vad ska vi göra med det mottagna materialet:
Om detta material var användbart för dig kan du spara det på din sida på sociala nätverk:
Förutom huvudsyftet - att öka genomströmningen av anslutningar på nätverket - låter switchen dig lokalisera informationsflöden, samt kontrollera och hantera dessa flöden med hjälp av en anpassad filtermekanism. Ett anpassat filter kan dock förhindra överföring av ramar endast till specifika adresser, medan det överför broadcast-trafik till alla nätverkssegment. Detta är driftsprincipen för bryggalgoritmen som implementeras i switchen, varför nätverk som skapas på basis av broar och switchar ibland kallas platta - på grund av frånvaron av hinder för sändningstrafik.
Tekniken för virtuella lokala nätverk (Virtual LAN, VLAN), som dök upp för flera år sedan, gör att man kan övervinna denna begränsning. Ett virtuellt nätverk är en grupp nätverksnoder vars trafik, inklusive broadcast-trafik, är helt isolerad från andra noder på datalänksnivån (se figur 1). Detta innebär att direkt ramöverföring mellan olika virtuella nätverkär omöjligt, oavsett typ av adress - unik, multicast eller broadcast. Samtidigt, inom ett virtuellt nätverk, sänds ramar i enlighet med växlingsteknik, det vill säga endast till den port till vilken ramens destinationsadress är tilldelad.
Virtuella nätverk kan överlappa varandra om en eller flera datorer ingår i mer än ett virtuellt nätverk. I figur 1 server E-postär en del av virtuella nätverk 3 och 4, och därför överförs dess ramar av switchar till alla datorer som ingår i dessa nätverk. Om en dator endast är tilldelad till virtuellt nätverk 3, kommer dess ramar inte att nå nätverk 4, men den kan interagera med datorer på nätverk 4 genom en gemensam Mejl server. Detta schema isolerar inte virtuella nätverk helt från varandra - till exempel kommer en sändningsstorm initierad av en e-postserver att överväldiga både nätverk 3 och nätverk 4.
Ett virtuellt nätverk sägs bilda en broadcast-trafikdomän, liknande kollisionsdomänen som bildas av Ethernet-repeaters.
VLAN UPPDRAG
VLAN-teknik gör det enklare att skapa isolerade nätverk som är anslutna med hjälp av routrar som stöder ett nätverkslagerprotokoll, såsom IP. Denna lösning skapar mycket starkare hinder för felaktig trafik från ett nätverk till ett annat. Idag tror man att alla stora nätverk måste inkludera routrar, annars kommer flöden av felaktiga ramar, i synnerhet sändningar, genom switchar som är transparenta för dem att periodvis "översvämma" det helt, vilket gör det obrukbart.
Virtuell nätverksteknik ger en flexibel grund för att bygga ett stort nätverk anslutet med routrar, eftersom switchar tillåter skapandet av helt isolerade segment programmatiskt utan att tillgripa fysisk växling.
Innan tillkomsten av VLAN-teknik användes antingen fysiskt isolerade sektioner av koaxialkabeln eller oanslutna segment baserade på repeaters och bryggor vid utbyggnaden av ett separat nätverk. Nätverken kopplades sedan ihop via routrar till ett enda sammansatt nätverk (se figur 2).
Att ändra sammansättningen av segment (användare som flyttar till ett annat nätverk, dela upp stora sektioner) med detta tillvägagångssätt innebar fysisk återkoppling av kontakter på frontpanelerna på repeaters eller i crossover-paneler, vilket inte är särskilt bekvämt i stora nätverk– Det här är ett mycket arbetskrävande arbete, och sannolikheten för fel är mycket hög. Därför, för att eliminera behovet av fysisk omkoppling av noder, började flersegmentkoncentratorer användas, så att sammansättningen av det delade segmentet kunde omprogrammeras utan fysisk omkoppling.
Att ändra sammansättningen av segment med hjälp av nav innebär dock stora begränsningar för nätverksstrukturen - antalet segment av en sådan repeater är vanligtvis litet, och det är orealistiskt att allokera varje nod sin egen, vilket kan göras med en switch. Dessutom, med detta tillvägagångssätt faller allt arbete med att överföra data mellan segment på routrar och switchar med sina egna hög prestanda förbli "utan arbete". Repeterbaserade nät med konfigurationsväxling innebär således fortfarande att dataöverföringsmediet delas mellan ett stort antal noder och har därför mycket lägre prestanda jämfört med växelbaserade nät.
När du använder virtuell nätverksteknik i switchar löses två problem samtidigt:
- ökad prestanda i vart och ett av de virtuella nätverken, eftersom switchen sänder ramar endast till destinationsnoden;
- isolera nätverk från varandra för att hantera användarnas åtkomsträttigheter och skapa skyddande barriärer i sändningsstormens väg.
Integreringen av virtuella nätverk i ett gemensamt nätverk utförs på nätverksnivå, övergång till vilken är möjlig med hjälp av en separat router eller programvara växla. Den senare i det här fallet blir en kombinerad enhet - den så kallade tredjenivåomkopplaren.
Tekniken för att bilda och driva virtuella nätverk med hjälp av switchar har inte standardiserats på länge, även om den har implementerats i ett mycket brett utbud av switchmodeller från olika tillverkare. Situationen förändrades efter antagandet av IEEE 802.1Q-standarden 1998, som definierar de grundläggande reglerna för att bygga virtuella lokala nätverk, oavsett vilket länklagerprotokoll som stöds av switchen.
På grund av den långa frånvaron av en VLAN-standard, var och en stort företag, som producerar switchar, har utvecklat sin egen virtuella nätverksteknik, som i regel är oförenlig med teknik från andra tillverkare. Därför, trots uppkomsten av en standard, är det inte så sällsynt att stöta på en situation där virtuella nätverk skapade på basis av switchar från en leverantör inte känns igen och följaktligen inte stöds av switchar från en annan.
SKAPA ETT VLAN BASERAT PÅ EN SWITCH
När du skapar virtuella nätverk baserade på en enda switch används vanligtvis en mekanism för att gruppera switchportar i ett nätverk (se figur 3). Dessutom är var och en av dem tilldelad ett eller annat virtuellt nätverk. En ram som kommer från en port som tillhör till exempel virtuellt nätverk 1 kommer aldrig att överföras till en port som inte är en del av den. En port kan tilldelas flera virtuella nätverk, även om detta i praktiken sällan görs - effekten av fullständig isolering av nätverk försvinner.
Att gruppera portarna för en switch är det mest logiska sättet att bilda ett VLAN, eftersom det i det här fallet inte kan finnas fler virtuella nätverk än portar. Om en repeater är ansluten till en viss port, är det ingen mening att inkludera noderna för motsvarande segment i olika virtuella nätverk - deras trafik kommer fortfarande att vara vanlig.
Detta tillvägagångssätt kräver inte en stor mängd manuellt arbete från administratören - det räcker att tilldela varje port till ett av flera förutnämnda virtuella nätverk. Vanligtvis utförs denna operation med hjälp av ett speciellt program som medföljer omkopplaren. Administratören skapar virtuella nätverk genom att dra portens grafiska symboler till grafiska symboler nätverk.
Ett annat sätt att bilda virtuella nätverk är baserat på att gruppera MAC-adresser. Varje MAC-adress som är känd för switchen tilldelas ett speciellt virtuellt nätverk. Om det finns många noder på nätverket måste administratören utföra många manuella operationer. Men när man bygger virtuella nätverk baserat på flera switchar liknande metod mer flexibel än hamngruppering.
SKAPA ETT VLAN BASERAT PÅ FLERA SWITCHAR
Figur 4 illustrerar situationen som uppstår när virtuella nätverk skapas baserat på flera switchar genom portgruppering. Om noderna i ett virtuellt nätverk är anslutna till olika switchar måste ett separat par portar allokeras för att ansluta switcharna i varje sådant nätverk. I annat information om äganderätten till en ram i ett visst virtuellt nätverk kommer att gå förlorad när den överförs från switch till switch. Således kräver porttrunkingmetoden lika många portar för att ansluta switchar som det finns virtuella nätverk som de stöder – vilket resulterar i mycket slösaktig användning av portar och kablar. Dessutom, för att organisera interaktionen av virtuella nätverk genom en router, kräver varje nätverk en separat kabel och separat port router, vilket också leder till höga overhead.
Att gruppera MAC-adresser i ett virtuellt nätverk på varje switch eliminerar behovet av att ansluta dem över flera portar, eftersom den virtuella nätverksetiketten då är MAC-adressen. Denna metod kräver dock stor kvantitet manuella operationer för att manuellt markera MAC-adresser på varje switch i nätverket.
De två beskrivna tillvägagångssätten baseras endast på att lägga till information till bryggadresstabellerna och inkluderar inte information om ramens medlemskap i ett virtuellt nätverk i den överförda ramen. Andra tillvägagångssätt använder befintliga eller ytterligare fält ram för att registrera information om ägandet av ramen när den flyttas mellan nätverksväxlar. Dessutom finns det ingen anledning att komma ihåg på varje switch vilka virtuella nätverk som äger MAC-adresserna för internetverket.
Det extra fältet som är markerat med virtuellt nätverksnummer används endast när ramen överförs från switch till switch, och när ramen överförs till slutnoden tas den vanligtvis bort. I detta fall ändras interaktionsprotokollet för switch-till-switch, medan mjukvaran och hårdvaran för slutnoderna förblir oförändrade. Det finns många exempel på sådana proprietära protokoll, men de har en vanlig nackdel - de stöds inte av andra tillverkare. Cisco har föreslagit protokollhuvudet 802.10 som ett standardtillägg till ramar i alla lokala nätverksprotokoll, vars syfte är att stödja säkerhetsfunktioner dator nätverk. Företaget använder sig själv av denna metod i de fall växlar är sammankopplade med FDDI-protokollet. Detta initiativ stöddes dock inte av andra ledande switchtillverkare.
För att lagra det virtuella nätverksnumret tillhandahåller IEEE 802.1Q-standarden en extra två-byte header, som används tillsammans med 802.1p-protokollet. Utöver de tre bitarna för att lagra ramens prioritetsvärde, som beskrivs av 802.1p-standarden, finns det 12 bitar i denna rubrik för att lagra numret på det virtuella nätverk som ramen tillhör. Denna ytterligare information kallas en virtuell nätverkstagg (VLAN TAG) och tillåter switchar från olika tillverkare att skapa upp till 4096 delade virtuella nätverk. En sådan ram kallas "taggad". Längden på den taggade Ethernet-ramen ökar med 4 byte, eftersom utöver de två byten i själva taggen, läggs ytterligare två byte till. Strukturen för en taggad Ethernet-ram visas i figur 5. Genom att lägga till 802.1p/Q-huvudet reduceras datafältet med två byte.
 |
| Figur 5. Struktur för en markerad Ethernet-ram. |
Framväxten av 802.1Q-standarden gjorde det möjligt att övervinna skillnader i proprietära VLAN-implementationer och uppnå kompatibilitet när man bygger virtuella lokala nätverk. VLAN-tekniken stöds av tillverkare av både switchar och nätverksadaptrar. I det senare fallet kan nätverksadaptern generera och ta emot taggade Ethernet-ramar som innehåller ett VLAN TAG-fält. Om nätverksadaptern genererar markerade ramar, bestämmer den deras tillhörighet till ett visst virtuellt lokalt nätverk, så switchen måste bearbeta dem i enlighet därmed, det vill säga sända eller inte sända till utgångsporten, beroende på portens medlemskap. Nätverksadapterns drivrutin får numret på sitt (eller dess) virtuella lokala nätverk från nätverksadministratören (genom manuell konfiguration) eller från något program som körs på denna nod. En sådan applikation kan fungera centralt på en av nätverksservrarna och hantera strukturen i hela nätverket.
VLAN stöds nätverkskort Du kan undvika statisk konfiguration genom att tilldela en port till ett specifikt virtuellt nätverk. Den statiska VLAN-konfigurationsmetoden är dock fortfarande populär eftersom den låter dig skapa strukturerat nätverk utan att involvera ändnodsmjukvara.
Natalya Olifer är kolumnist för Journal of Network Solutions/LAN. Hon kan kontaktas på:
Funktionaliteten hos moderna switchar gör att du kan organisera virtuella nätverk (VLAN) för att skapa en flexibel nätverksinfrastruktur. För närvarande har VLAN-nätverk ännu inte tagit emot utbredd, särskilt i små företagsnätverk. Detta beror till stor del på det faktum att konfigurering av switchar för att organisera VLAN-nätverk är en mycket svår uppgift, särskilt om nätverksinfrastrukturen innehåller flera switchar. Dessutom kan konfigurationen av switchar när man skapar VLAN-nätverk, liksom konfigurationen av annan funktionalitet, skilja sig avsevärt mellan switchar från olika företag, som ett resultat kända tillverkare nätverksutrustningsföretag, som Cisco, HP, 3Com, Allied Telesyn, Avaya, anordnar speciella kurser om att arbeta med sin utrustning. Det är tydligt att förenkla konfigurationen av din utrustning, göra denna process intuitiv och enkel, och ännu mer utveckla allmänna avtal och enda gränssnitt Att installera utrustning från olika tillverkare ligger helt klart inte i tillverkarnas intresse, men användarna är ganska kapabla att självständigt förstå många av switcharnas möjligheter. Därför kommer vi i den här artikeln att titta på funktionerna hos moderna switchar för att organisera virtuella nätverk och prata om de grundläggande principerna för deras konfiguration.
Syftet med virtuella nätverk
Ett virtuellt VLAN (Virtual LAN) är en grupp nätverksnoder som bildar en broadcast-trafikdomän (Broadcast Domain). Denna definition är helt korrekt, men inte särskilt informativ, så vi kommer att försöka tolka konceptet med ett virtuellt nätverk lite annorlunda.
När man skapar ett lokalt nätverk baserat på en switch, trots möjligheten att använda anpassade filter för att begränsa trafik, representerar alla nätverksnoder en enda broadcast-domän, det vill säga broadcast-trafik överförs till alla nätverksnoder. Växeln begränsar alltså inte initialt broadcast-trafik, och själva nätverken, byggda enligt denna princip, kallas för platta.
Virtuella nätverk utgör en grupp nätverksnoder där all trafik, inklusive broadcast-trafik, är helt isolerad på länknivå från andra nätverksnoder. Detta innebär att överföring av ramar mellan nätverksnoder som tillhör olika virtuella nätverk baserat på länklageradressen inte är möjlig (även om virtuella nätverk kan kommunicera med varandra på nätverksnivå med hjälp av routrar).
Isolering enskilda noder Nätverk på datalänksnivå med hjälp av virtuell nätverksteknik gör att du kan lösa flera problem samtidigt. För det första förbättrar virtuella nätverk nätverksprestanda genom att lokalisera broadcast-trafik inom det virtuella nätverket och skapa en barriär mot broadcast-stormar. Växlar vidarebefordran broadcast-paket (liksom multicast och okända paket) inom ett virtuellt nätverk, men inte mellan virtuella nätverk. För det andra, att isolera virtuella nätverk från varandra på länknivå gör det möjligt att öka nätverkssäkerheten genom att göra vissa resurser otillgängliga för vissa kategorier av användare.
Typer av virtuella nätverk
Sedan uppkomsten av den allmänt accepterade standarden för att organisera virtuella nätverk IEEE 802.1Q, har varje tillverkare av nätverksutrustning använt sin egen VLAN-organiseringsteknik. Detta tillvägagångssätt hade en betydande nackdel: en tillverkares teknik var oförenlig med andra företags teknik. Därför, när man byggde virtuella nätverk baserade på flera switchar, var det nödvändigt att endast använda utrustning från en tillverkare. Antagandet av den virtuella nätverksstandarden IEEE 802.1Q gjorde det möjligt att övervinna inkompatibilitetsproblemet, men det finns fortfarande switchar som antingen inte stöder IEEE 802.1Q-standarden eller, förutom möjligheten att organisera virtuella nätverk enligt IEEE 802.1Q-standard, tillhandahåller andra tekniker.
Det finns flera sätt att bygga virtuella nätverk, men idag implementerar switchar främst portgrupperingsteknik eller använder IEEE 802.1Q-specifikationen.
Virtuella nätverk baserade på portgruppering
virtuella nätverk baserade på portgruppering (Port-baserat) implementeras vanligtvis i så kallade Smarta switchar eller in hanterade växlar som ett tillägg till möjligheten att organisera VLAN baserat på IEEE 802.1Q-standarden.
Denna metod för att skapa virtuella nätverk är ganska enkel och orsakar som regel inga problem. Varje switchport tilldelas ett eller annat virtuellt nätverk, det vill säga portarna är grupperade i virtuella nätverk. Beslutet att vidarebefordra ett nätverkspaket på detta nätverk baseras på mottagarens MAC-adress och dess tillhörande port. Om du ansluter en användares dator till en port som är tilldelad att tillhöra ett specifikt virtuellt nätverk, till exempel VLAN#1, kommer denna dator automatiskt att tillhöra VLAN#1. Om till denna hamn switchen är ansluten, kommer alla portar på denna switch också att tillhöra VLAN#1 (Fig. 1).
Ris. 1. Virtuella nätverk byggda med portgrupperingsteknik baserad på en switch
Vid användning av portgrupperingsteknik kan samma port tilldelas flera virtuella nätverk samtidigt, vilket gör det möjligt att implementera delade resurser mellan användare av olika virtuella nätverk. Till exempel att genomföra delning till en nätverksskrivare eller till en filserver för användare av virtuella nätverk VLAN#1 och VLAN#2, måste switchporten som nätverksskrivaren eller filservern är ansluten till samtidigt tilldelas nätverken VLAN#1 och VLAN#2 ( Fig. 2).
Ris. 2. Skapa en delad resurs mellan flera virtuella nätverk med hjälp av portgrupperingsteknik
Den beskrivna tekniken har en rad fördelar jämfört med att använda standarden IEEE 802.1Q, men den har också sina nackdelar.
Fördelarna inkluderar den enkla konfigurationen av virtuella nätverk. Dessutom kräver det inte att ändnoderna i nätverket stöder IEEE 802.1Q-standarden, och eftersom de flesta nätverk Ethernet-kontroller stöder inte denna standard, då kan det vara lättare att organisera ett nätverk baserat på portgruppering. Dessutom, med en sådan organisation av virtuella nätverk, kan de skära varandra, vilket gör att du kan skapa delade nätverksresurser.
Tekniken för att skapa virtuella nätverk baserade på portgruppering används när man använder en enda switch eller använder en stapel switchar med enhetlig hantering. Men om nätverket är tillräckligt stort och byggt på flera switchar så har möjligheterna att organisera virtuella nätverk baserat på portgruppering betydande begränsningar. Först och främst skalar den här tekniken inte bra och är i de flesta fall begränsad till bara en switch.
Låt oss som ett exempel betrakta en situation där nätverket är byggt på basis av två switchar som stöder tekniken för att organisera virtuella nätverk baserat på portgruppering (Fig. 3).
Ris. 3. Implementering av virtuella nätverk baserat på portgruppering med hjälp av två switchar
Låt det vara nödvändigt att några av portarna på den första och andra switchen tillhör VLAN#1, och den andra delen tillhör VLAN#2. För att göra detta är det för det första nödvändigt att båda switcharna tillåter inte bara att organisera virtuella nätverk baserat på gruppering av portar, utan också distribuera sådana nätverk till flera switchar (alla switchar har inte en sådan funktion), och för det andra att så många fysiska anslutningar eftersom det skapas virtuella nätverk. Låt oss titta på två sexportsswitchar. Släpp in de första switcharna, portarna 1 och 2 tillhör VLAN#1, och portarna 3 och 4 till VLAN#2; i den andra switchen är portarna 1, 2 och 3 tilldelade VLAN#1 och port 4 tilldelas VLAN#2. För att användare på VLAN#1 på den första switchen ska kunna kommunicera med användare på VLAN#1 på den andra switchen måste switcharna vara anslutna till portar som hör till VLAN#1 (till exempel port 5 på den första och andra switchen måste tilldelas VLAN#1). På liknande sätt, för att kommunicera mellan användare på VLAN#2 på den första switchen och användare på VLAN#2 på den andra switchen, måste du länka dessa switchar via portarna som är tilldelade till VLAN#2 (detta kan vara port 6 på båda switcharna). Således löses problemet med skalbarhet av virtuella nätverk baserade på portgrupperingsteknologi (men inte i alla fall) genom att upprätta redundanta anslutningar mellan switchar.
Virtuella nätverk baserade på IEEE 802.1Q-standarden
Om det finns en utvecklad nätverksinfrastruktur med många switchar, mer effektiv lösning skapandet av virtuella nätverk kommer att använda IEEE 802.1Q-teknik. I virtuella nätverk baserade på IEEE 802.1Q-standarden är information om tillhörigheten av överförda Ethernet-ramar till ett visst virtuellt nätverk inbyggd i själva den överförda ramen. Således definierar IEEE 802.1Q-standarden ändringar i Ethernet-ramstrukturen som gör att VLAN-information kan överföras över nätverket.
En 4-byte-tagg läggs till i Ethernet-ramen. Sådana ramar kallas Tagged frames. Ytterligare bitar innehålla information om Ethernet-ramens medlemskap i det virtuella nätverket och dess prioritet (Fig. 4).
Den tillagda ramtaggen inkluderar ett två-byte TPID (Tag Protocol Identifier)-fält och ett två-byte TCI (Tag Control Information)-fält. TCI-fältet består i sin tur av fälten Priority, CFI och VID. 3-bitars prioritetsfältet specificerar åtta möjliga ramprioritetsnivåer. 12-bitars VID (VLAN ID)-fältet är den virtuella nätverksidentifieraren. Dessa 12 bitar låter dig definiera 4096 olika virtuella nätverk, dock är ID 0 och 4095 reserverade för speciell användning, så totalt 4094 virtuella nätverk kan definieras i 802.1Q-standarden. 1-bitars CFI (Canonical Format Indicator)-fältet är reserverat för att indikera andra typer av nätverksramar (Token Ring, FDDI) som sänds över Ethernet-stamnätet och är alltid 0 för Ethernet-ramar.
Att ändra Ethernet-ramformatet innebär att nätverksenheter som inte stöder IEEE 802.1Q-standarden (sådana enheter kallas Tag-unaware) inte kan fungera med ramar där taggar sätts in, och idag de allra flesta nätverksenheter (i synnerhet Ethernet) nätverk) -nätverksändnodskontroller) stöder inte denna standard. För att säkerställa kompatibilitet med enheter som stöder IEEE 802.1Q-standarden (Tag-aware devices), måste IEEE 802.1Q-switchar stödja både traditionella Ethernet-ramar, det vill säga otaggade ramar och taggade ramar.
Inkommande och utgående trafik, beroende på typ av källa och mottagare, kan bildas av både taggade och otaggade ramar endast i detta fall kan kompatibilitet uppnås med enheter utanför switchen. Trafik inuti switchen bildas alltid av paket av typen Tagged. Därför, för att stödja olika typer av trafik och för att intern växeltrafik ska bildas från Taggade paket, måste ramar på växelns mottagande och sändande portar konverteras i enlighet med fördefinierade regler.
Ingress regler
Låt oss ta en närmare titt på processen att överföra en ram genom omkopplaren (fig. 5). I förhållande till trafik kan varje switchport vara både en ingång och en utgång. Efter att en ram har tagits emot av ingångsporten på switchen, fattas beslutet om dess vidare bearbetning baserat på de fördefinierade reglerna för ingångsporten (ingångsregler). Eftersom den mottagna ramen kan vara antingen en Tagged eller Untagged typ, bestämmer reglerna för ingångsporten vilka typer av ramar som ska accepteras av porten och vilka som ska filtreras bort. Följande alternativ är möjliga: ta emot endast ramar av typen Tagged, ta emot endast ramar av typen Otaggade, ta emot ramar av båda typerna. Som standard är alla switchar konfigurerade av ingångsportreglerna för att kunna acceptera båda typerna av ramar.
Ris. 5. Frame forwarding process i en IEEE 802.1Q-kompatibel switch
Om reglerna för ingångsporten bestämmer att den kan ta emot en Tagged frame, som innehåller information om att tillhöra ett specifikt virtuellt nätverk (VID), så sänds denna ram utan modifiering. Och om det är möjligt att arbeta med ramar av typen Otaggad, som inte innehåller information om att tillhöra ett virtuellt nätverk, så konverteras först och främst en sådan ram av switchens ingångsport till typen Taggad (kom ihåg att inuti switchen måste alla ramar ha taggar om att tillhöra det virtuella nätverket).
För att göra denna omvandling möjlig tilldelas varje switchport en unik PVID (Port VLAN Identifier), som avgör om porten tillhör ett specifikt virtuellt nätverk inom switchen (som standard har alla switchportar samma PVID=1). En ram av typen Untagged konverteras till en Tagged-typ, för vilken den kompletteras med en VID-tagg (fig. 6). Värdet för VID-fältet för den inkommande Otaggade ramen är inställt lika med värdet PVID för den inkommande porten, det vill säga alla inkommande otaggade ramar tilldelas automatiskt till det virtuella nätverket inuti switchen som den inkommande porten tillhör.
Regler för vidarebefordran av paket (Forwarding Process)
Efter att alla inkommande ramar har filtrerats, transformerats eller lämnats oförändrade enligt reglerna för den inkommande porten, baseras beslutet att vidarebefordra dem till utgående porten på fördefinierade regler för vidarebefordran av paket. Regeln för vidarebefordran av paket inom en switch är att paket endast kan vidarebefordras mellan portar som är associerade med samma virtuella nätverk. Som redan noterats tilldelas varje port en PVID-identifierare, som används för att konvertera mottagna otaggade ramar, samt för att bestämma om porten tillhör ett virtuellt nätverk inuti switchen med identifieraren VID=PVID. Således är portar med samma ID inom samma switch associerade med samma virtuella nätverk. Om ett virtuellt nätverk är byggt på basis av en enda switch, är PVID-portidentifieraren, som bestämmer dess medlemskap i det virtuella nätverket, helt tillräcklig. Det är sant att nätverken som skapas på detta sätt inte kan överlappa varandra, eftersom endast en identifierare motsvarar varje switchport. I denna mening skulle de virtuella nätverk som skapas inte ha samma flexibilitet som portbaserade virtuella nätverk. IEEE 802.1Q designades dock från början för att bygga en skalbar virtuell nätverksinfrastruktur med flera växlar, och detta är dess främsta fördel jämfört med portbaserad VLAN-teknik. Men för att utöka nätverket bortom en enda switch räcker det inte med enbart port-ID, så varje port kan associeras med flera virtuella nätverk som har olika VID.
Om paketets destinationsadress matchar en switchport som tillhör samma virtuella nätverk som själva paketet (paketet VID och port VID eller paketet VID och port PVID kan vara samma), då kan ett sådant paket sändas. Om den överförda ramen tillhör ett virtuellt nätverk som utgångsporten inte är ansluten till på något sätt (paketets VID matchar inte portens PVID/VID), kan ramen inte överföras och kasseras.
Utträdesregler
När ramar inuti switchen väl har sänts till utgångsporten beror deras vidare transformation på reglerna för utgångsporten. Som redan nämnts genereras trafik inuti switchen endast av paket av typen Tagged, och inkommande och utgående trafik kan genereras av paket av båda typerna. Följaktligen bestämmer utgångsportreglerna (Tag Control Rule) huruvida Tagged frames ska konverteras till Untagged format.
Varje switchport kan konfigureras som en märkt eller omärkt port. Om utgångsporten är definierad som Tagged Port, kommer utgående trafik att genereras av Tagged frames med information om att tillhöra det virtuella nätverket. Därför ändrar inte utgångsporten typen av ramar och lämnar dem samma som de var inuti switchen. Endast en enhet som är kompatibel med IEEE 802.1Q-standarden kan anslutas till den angivna porten, till exempel en switch eller server med ett nätverkskort som stöder virtuella nätverk enligt denna standard.
Om switchens utgångsport är definierad som Untagged Port, konverteras alla utgående ramar till typen Untagged, det vill säga ytterligare information om att tillhöra det virtuella nätverket tas bort från dem. Du kan ansluta vilken som helst nätverksenhet, inklusive en switch som inte är kompatibel med IEEE 802.1Q-standarden, eller slutklientdatorer vars nätverkskort inte stöder virtuella nätverk enligt denna standard.
Konfigurera virtuella IEEE 802.1Q-nätverk
Låt oss överväga specifika exempel konfiguration av virtuella nätverk enligt IEEE 802.1Q-standarden.
För att skapa ett VLAN-nätverk i enlighet med IEEE 802.1Q-standarden måste du göra följande:
- ställ in namnet på det virtuella nätverket (till exempel VLAN#1) och bestäm dess identifierare (VID);
- välj portar som kommer att tillhöra detta virtuella nätverk;
- ställ in reglerna för ingångsportar i det virtuella nätverket (möjligheten att arbeta med ramar av alla typer, endast med otaggade ramar eller endast med taggade ramar);
- ställ in identiska PVID:er för portar som ingår i det virtuella nätverket;
- ställ in utportregler för varje virtuell nätverksport genom att konfigurera dem som Tagged Port eller Untagged Port.
Därefter måste du upprepa stegen ovan för nästa virtuella nätverk. Man bör komma ihåg att varje port endast kan tilldelas en PVID, men samma port kan vara en del av olika virtuella nätverk, det vill säga associeras med flera VID samtidigt.
Tabell 1. Ställa in portegenskaper när du skapar virtuella nätverk baserat på en switch
Exempel på att bygga VLAN-nätverk baserade på switchar som är kompatibla med IEEE 802.1Q-standarden
Låt oss nu titta på typiska exempel bygga virtuella nätverk baserade på switchar som stöder IEEE 802.1Q-standarden.
Om det bara finns en switch till vars portar datorer är anslutna slutanvändare, för att skapa virtuella nätverk som är helt isolerade från varandra måste alla portar deklareras som Untagget-portar för att säkerställa kompatibilitet med klientens Ethernet-nätverkskontroller. Nätverksnodernas tillhörighet till ett visst VLAN bestäms genom att specificera PVID-portidentifieraren.
Låt oss ta en switch med åtta portar, på basis av vilken tre isolerade virtuella nätverk VLAN#1, VLAN#2 och VLAN#3 skapas (fig. 7). De första och andra switchportarna är tilldelade PVID=1. Eftersom identifierarna för dessa portar sammanfaller med identifieraren för det första virtuella nätverket (PVID=VID), bildar dessa portar det virtuella nätverket VLAN#1 (tabell 1). Om portarna 3, 5 och 6 är tilldelade PVID=2 (samma som VID VLAN#2), så kommer det andra virtuella nätverket att bildas av portarna 3, 4 och 8. VLAN#3 bildas på liknande sätt baserat på portar 5, 6 och 7. För För att säkerställa kompatibilitet med slututrustning (det antas att datorer för nätverksklienter vars nätverkskort inte är kompatibla med IEEE 802.1Q-standarden är anslutna till switchportarna), måste alla portar konfigureras som Otaggade.
Ris. 7. Organisation av tre VLAN-nätverk enligt IEEE 802.1Q-standarden baserat på en switch
Om nätverksinfrastrukturen innehåller flera switchar som stöder IEEE 802.1Q-standarden måste en något annorlunda konfigurationsprincip användas för att kommunicera mellan switcharna. Låt oss överväga två sexportsväxlar som stöder IEEE 802.1Q-standarden och på grundval av vilka det är nödvändigt att konfigurera tre virtuella nätverk VLAN#1, VLAN#2 och VLAN#3 isolerade från varandra.
Låt det första virtuella nätverket inkludera klienter som är anslutna till port 1 och 2 på den första switchen och till portarna 5 och 6 på den andra switchen. VLAN#2 inkluderar klienter anslutna till port 3 på den första switchen och port 1 på den andra switchen, och VLAN#3 inkluderar klienter anslutna till portarna 4 och 5 på den första switchen och portar 2 och 3 på den andra switchen. Port 6 på den första switchen och port 4 på den andra switchen används för att kommunicera mellan switcharna (Figur 8).
Ris. 8. Organisation av tre VLAN-nätverk enligt IEEE 802.1Q-standarden baserat på två switchar
För att konfigurera dessa virtuella nätverk måste du först på var och en av switcharna definiera tre virtuella nätverk VLAN#1, VLAN#2 och VLAN#3, ställa in deras identifierare (VID=1 för VLAN#1, VID=2 för VLAN#2 och VID=3 för VLAN#3).
På den första switchen måste portarna 1 och 2 vara en del av VLAN#1, för vilka dessa portar är tilldelade PVID=1. Port 2 för den första switchen måste tilldelas VLAN#2, för vilken portidentifieraren tilldelas värdet PVID=2. På liknande sätt är portarna 5 och 6 på den första switchen inställda på PVID=3, eftersom dessa portar tillhör VLAN#3. Alla angivna portar på den första switchen måste konfigureras som Otaggad port för att säkerställa kompatibilitet med nätverkskort kunder.
Port 4 på den första switchen används för att kommunicera med den andra switchen och måste vidarebefordra ramar för alla tre virtuella nätverk utan modifiering till den andra switchen. Därför måste den konfigureras som en taggad port och inkluderas i alla tre virtuella nätverk (associerade med VID=1, VID=2 och VID=3). I det här fallet spelar portidentifieraren ingen roll och kan vara vad som helst (i vårt fall PVID=4).
En liknande procedur för att konfigurera virtuella nätverk utförs på den andra switchen. Portkonfigurationerna för de två switcharna presenteras i tabell. 2.
Tabell 2. Ställa in portegenskaper när du skapar virtuella nätverk baserat på två switchar
Automatisk registrering i virtuella IEEE 802.1Q-nätverk
De övervägda exemplen på virtuella nätverk var relaterade till de så kallade statiska virtuella nätverken (Static VLAN), där alla portar konfigureras manuellt, vilket, även om det är mycket uppenbart, men med en utvecklad nätverksinfrastrukturär ett ganska rutinärende. Dessutom, varje gång användare rör sig inom nätverket, måste nätverket konfigureras om för att behålla sitt medlemskap i de givna virtuella nätverken, och detta är naturligtvis extremt oönskat.
Det finns ett alternativt sätt att konfigurera virtuella nätverk, och de nätverk som skapas på detta sätt kallas dynamiska virtuella nätverk (Dynamic VLAN). I sådana nätverk kan användare automatiskt registrera sig i VLAN-nätverket, för vilket det speciella registreringsprotokollet GVRP (GARP VLAN Registration Protocol) används. Detta protokoll definierar hur switchar utbyter VLAN-information för att automatiskt registrera VLAN-medlemmar på portar i hela nätverket.
Alla switchar som stöder GVRP kan dynamiskt ta emot VLAN-registreringsinformation från andra switchar (och därför vidarebefordra till andra switchar), inklusive nuvarande VLAN-medlemmar, porten genom vilken VLAN-medlemmar kan nås och så vidare. För att kommunicera från en switch till en annan använder GVRP-protokollet GVRP BPDU-meddelanden (GVRP Bridge Protocol Data Units). Alla GVPR-aktiverade enheter som tar emot det här meddelandet kan dynamiskt ansluta sig till det VLAN som den aviseras om.
