Was ist VLAN?
VLAN ist Virtual Local Area Network, nicht „VPN“ (Virtual Private Network). VLAN ist eine aufkommende Datenaustauschtechnologie, die LAN-Geräte logisch (nicht physisch) in Segmente aufteilt, um virtuelle Arbeitsgruppen zu realisieren. Diese aufstrebende Technologie wird hauptsächlich in Switches und Routern verwendet, aber die Mainstream-Anwendung befindet sich immer noch in den Switches. Allerdings verfügen nicht alle Switches über diese Funktion, nur Switches mit VLAN-Protokoll oberhalb von Layer 3 haben diese Funktion, was dem Handbuch des entsprechenden Switches entnommen werden kann.
Das IEEE hat 802.1 den Entwurf des 1999Q-Protokollstandards herausgegeben, um das VLAN-Implementierungsschema zu standardisieren. Das Aufkommen der VLAN-Technologie ermöglicht es Administratoren, verschiedene Benutzer innerhalb desselben physischen LANs entsprechend den tatsächlichen Anwendungsanforderungen logisch in verschiedene Broadcast-Domänen aufzuteilen. Jedes VLAN enthält eine Gruppe von Computerarbeitsplätzen mit den gleichen Anforderungen und hat die gleichen Eigenschaften wie das physisch gebildete LAN. Da es logisch geteilt ist, nicht physikalisch. Einzelne Arbeitsstationen innerhalb desselben VLANs sind also nicht auf denselben physischen Bereich beschränkt, dh diese Arbeitsstationen können sich in unterschiedlichen physischen LAN-Segmenten befinden. Aus den Eigenschaften von VLANs geht hervor, dass sowohl der Broadcast- als auch der Unicast-Verkehr innerhalb eines VLANs nicht an andere VLANs weitergeleitet werden, was dazu beiträgt, den Verkehr zu kontrollieren, Geräteinvestitionen zu reduzieren, die Netzwerkverwaltung zu vereinfachen und die Netzwerksicherheit zu verbessern.
Die Entwicklung der Switching-Technologie hat auch die Einführung neuer Switching-Technologien (VLANs) beschleunigt. Durch die Aufteilung des Unternehmensnetzwerks in virtuelle Netzwerk-VLAN-Segmente können Netzwerkmanagement und Netzwerksicherheit verbessert und unnötige Datenübertragung kontrolliert werden.
In einem gemeinsam genutzten Netzwerk ist ein physisches Netzwerksegment eine Broadcast-Domäne. In einem Switched-Netzwerk kann eine Broadcast-Domäne ein virtuelles Segment mit einem beliebigen Satz ausgewählter Layer-2-Netzwerkadressen (MAC-Adressen) sein. Auf diese Weise kann die Aufteilung von Arbeitsgruppen in einem Netzwerk die geografischen Beschränkungen in einem gemeinsamen Netzwerk durchbrechen und stattdessen vollständig auf Verwaltungsfunktionen basieren. Dieses arbeitsablaufbasierte Gruppierungsmodell verbessert die Verwaltungsfunktion der Netzwerkplanung und -reorganisation erheblich.
Workstations im selben VLAN kommunizieren unabhängig davon, mit welchem Switch sie tatsächlich verbunden sind, miteinander, als ob sie sich auf separaten Switches befänden. Broadcasts im selben VLAN können nur von Mitgliedern des VLANs gehört werden und werden nicht an andere VLANs übertragen, wodurch die Erzeugung unnötiger Broadcast-Stürme gut kontrolliert werden kann. Gleichzeitig können ohne Routing verschiedene VLANs nicht miteinander kommunizieren, was die Sicherheit zwischen verschiedenen Abteilungen im Unternehmensnetzwerk erhöht.
Netzwerkadministratoren können die Routen zwischen VLANs konfigurieren, um den Informationszugriff zwischen verschiedenen Verwaltungseinheiten innerhalb des Unternehmens vollständig zu verwalten. Der Switch wird basierend auf der MAC-Adresse der Arbeitsstation des Benutzers in VLANs unterteilt. Daher kann ein Benutzer seine frei bewegen office mit dem Unternehmensnetzwerk, und egal wo er auf das Switching-Netzwerk zugreift, er kann ungehindert mit anderen Benutzern im VLAN kommunizieren.
VLAN-Netzwerke können aus Geräten mit gemischten Netzwerktypen bestehen, wie z. B. 10M-Ethernet, 100M-Ethernet, Token-Netzwerk, FDDI, CDDI usw., und können Workstations, Server, Hubs, Netzwerk-Uplink-Backbones usw. sein.
Zusätzlich zu den Vorteilen der Aufteilung des Netzwerks in mehrere Broadcast-Domänen, wodurch das Auftreten von Broadcast-Stürmen effektiv kontrolliert und die Topologie des Netzwerks sehr flexibel gestaltet wird, können VLANs auch verwendet werden, um den Zugriff zwischen verschiedenen Abteilungen und Standorten im Netzwerk zu steuern.
VLAN ist ein Protokoll, das vorgeschlagen wird, um das Übertragungsproblem und die Sicherheit von Ethernet zu lösen. Es fügt Ethernet-Frames einen VLAN-Header hinzu, unterteilt Benutzer in kleinere Arbeitsgruppen mit VLAN-IDs und beschränkt Benutzer darauf, sich zwischen verschiedenen Arbeitsgruppen zu besuchen, und jede Arbeitsgruppe ist ein virtuelles LAN. Der Vorteil des virtuellen LAN besteht darin, dass es den Übertragungsbereich einschränken und virtuelle Arbeitsgruppen bilden kann, um das Netzwerk dynamisch zu verwalten.
VLAN-Aufteilungsmethoden
Die Implementierungsmethoden von VLAN auf dem Switch lassen sich in sechs Kategorien einteilen:
1. Teilen VLAN basierend auf Ports
Dies ist die am häufigsten verwendete VLAN-Aufteilungsmethode, und sie ist die am weitesten verbreitete und effektivste, und die meisten VLAN-Protokoll-Switches bieten diese VLAN-Konfigurationsmethode.
Diese Methode der VLAN-Aufteilung basiert auf den Switching-Ports von Ethernet-Switches. Es unterteilt die physischen Ports auf dem VLAN-Switch und die PVC-Ports (Permanent Virtual Circuit) innerhalb des VLAN-Switch in mehrere Gruppen, und jede Gruppe bildet ein virtuelles Netzwerk, das einem unabhängigen VLAN-Switch entspricht.
Denn wenn verschiedene Abteilungen aufeinander zugreifen müssen, können sie über einen Router mit MAC-Adressen-basierter Portfilterung weitergeleitet werden. Der Satz passierbarer MAC-Adressen wird auf dem entsprechenden Port des Switches, Routing-Switches oder Routers eingestellt, der dem Standort auf dem Zugriffspfad eines Standorts am nächsten liegt. Dies verhindert, dass illegale Eindringlinge IP-Adressen von innen stehlen, um von anderen Zugangspunkten einzudringen.
Wie wir an dieser Teilungsmethode selbst sehen können, besteht der Vorteil dieser Methode darin, dass es sehr einfach ist, die VLAN-Mitgliedschaft zu definieren, solange alle Ports als die entsprechenden VLAN-Gruppen definiert sind. Es eignet sich für Netzwerke jeder Größe. Der Nachteil besteht darin, dass, wenn ein Benutzer den ursprünglichen Port verlässt und zu einem Port auf einem neuen Switch wechselt, dieser neu definiert werden muss.
2. Teilen Sie VLANs basierend auf der MAC-Adresse auf
Diese Methode zum Aufteilen von VLANs basiert auf der MAC-Adresse jedes Hosts, dh jeder Host mit einer MAC-Adresse wird mit der Gruppe konfiguriert, zu der er gehört. Der implementierte Mechanismus besteht darin, dass jede NIC einer eindeutigen MAC-Adresse entspricht und der VLAN-Switch die Adressen verfolgt, die zur VLAN-MAC gehören. Dieser VLAN-Ansatz ermöglicht es Netzwerkbenutzern, die Mitgliedschaft in dem VLAN, zu dem sie gehören, automatisch beizubehalten, wenn sie von einem physischen Standort zu einem anderen wechseln.
Wie aus dem Mechanismus dieser Aufteilung ersichtlich ist, besteht der größte Vorteil dieser Methode der VLAN-Aufteilung darin, dass VLANs nicht neu konfiguriert werden müssen, wenn Benutzer ihren physischen Standort wechseln, dh wenn sie von einem Switch zu einem anderen wechseln. Dies liegt daran, dass es auf dem Benutzer basiert, nicht auf dem Port des Switches. Der Nachteil dieser Methode ist, dass alle Benutzer während der Initialisierung konfiguriert werden müssen. Da der Konfigurationsprozess bei Hunderten oder sogar Tausenden von Benutzern sehr lange dauern kann, eignet sich diese Partitionierungsmethode normalerweise für kleine LANs.
Darüber hinaus verringert diese Partitionierungsmethode auch die Effizienz der Switch-Ausführung, da es viele Mitglieder von VLAN-Gruppen an jedem Switch-Port geben kann, die die MAC-Adressen vieler Benutzer speichern, was nicht einfach abzufragen ist.
Darüber hinaus können die Netzwerkkarten von Laptop-Benutzern häufig geändert werden, sodass das VLAN häufig konfiguriert werden muss.
3. TeileneVLANs basierend auf Netzwerkschichtprotokollen
VLANs werden nach Vermittlungsschichtprotokollen unterteilt und können in VLAN-Netzwerke wie IP, IPX, DECnet, AppleTalk, Banyan usw. eingeteilt werden. Solche VLANs, die aus Vermittlungsschichtprotokollen bestehen, ermöglichen Broadcast-Domänen, mehrere VLAN-Switches zu umfassen. Dies ist sehr attraktiv für Netzwerkadministratoren, die Benutzer für bestimmte Anwendungen und Dienste organisieren möchten. Darüber hinaus können sich Benutzer innerhalb des Netzwerks frei bewegen, ihre VLAN-Mitgliedschaft bleibt jedoch erhalten.
Die Vorteile dieser Methode bestehen darin, dass sich der physische Standort des Benutzers ändert, ohne dass das zugehörige VLAN neu konfiguriert werden muss, und dass VLANs nach Protokolltypen klassifiziert werden können, was für Netzwerkadministratoren wichtig ist. Außerdem erfordert diese Methode keine zusätzlichen Frame-Tags zum Identifizieren von VLANs, was den Datenverkehr im Netzwerk reduzieren kann. Der Nachteil dieses Ansatzes besteht darin, dass er ineffizient ist, da die Überprüfung der Vermittlungsschichtadresse jedes Pakets zeitaufwendig ist (im Vergleich zu den beiden vorherigen Ansätzen). Im Allgemeinen können Switch-Chips die Ethernet-Frame-Header von Paketen im Netzwerk automatisch überprüfen, aber es erfordert ein höheres Maß an Geschicklichkeit und ist auch zeitaufwändiger, damit der Chip die IP-Frame-Header überprüfen kann. Dies hängt natürlich mit der Implementierungsmethode jedes Anbieters zusammen.
4. Teilen Sie VLANs basierend auf IP-Multicast auf
IP-Multicast ist eigentlich eine Definition von VLAN, dh eine IP-Multicast-Gruppe ist ein VLAN. Diese Aufteilungsmethode erweitert das VLAN auf das WAN, sodass diese Methode eine größere Flexibilität bietet und einfach über den Router erweitert werden kann. Es ist hauptsächlich für LAN-Benutzer geeignet, die sich nicht im selben geografischen Bereich befinden, um ein VLAN zu bilden. Es ist nicht für LANs geeignet, da es nicht effizient ist.
5. Unterteilen Sie VLANs nach Richtlinien
Richtlinienbasierte VLANs können auf verschiedene Weise zugewiesen werden, einschließlich VLAN-Switch-Ports, MAC-Adressen, IP-Adressen und Netzwerkschichtprotokolle. Netzwerkadministratoren können den VLAN-Typ basierend auf ihren eigenen Verwaltungsmodus- und Einheitenanforderungen bestimmen.
6. TeileneVLANs durch benutzerdefinierte Autorisierung ohne Benutzer
VLAN-Zuordnung basierend auf Benutzerdefinition und Nichtbenutzerautorisierung bedeutet, dass VLANs gemäß den speziellen Anforderungen von Netzwerkbenutzern definiert und gestaltet werden, um spezielle VLAN-Netzwerke zu erfüllen. Darüber hinaus können Nicht-VLAN-Benutzer nur auf VLANs zugreifen, nachdem sie von der VLAN-Verwaltung authentifiziert wurden, indem sie Benutzerkennwörter angeben.
TDie Vorteile von VLAN
Damit jede neue Technologie breit unterstützt und angewendet werden kann, muss es einige entscheidende Vorteile geben, ebenso wie die VLAN-Technologie, deren Vorteile sich hauptsächlich in den folgenden Aspekten widerspiegeln:
- Erhöhte Flexibilität der Netzwerkverbindung
Die VLAN-Technologie kombiniert verschiedene Standorte, Netzwerke und Benutzer zu einer virtuellen Netzwerkumgebung, die so komfortabel, flexibel und effizient ist wie die Verwendung eines lokalen LAN. VLAN kann den Aufwand für das Verschieben oder Ändern des Standorts von Arbeitsstationen reduzieren, insbesondere für Unternehmen mit häufig wechselnden Geschäftsbedingungen.
- Steuern Sie die Übertragung im Netzwerk
Das VLAN stellt einen Firewall-Mechanismus bereit, um übermäßiges Broadcasting im Switching-Netzwerk zu verhindern. Mithilfe von VLANs kann ein Switch-Port oder Benutzer einer bestimmten VLAN-Gruppe zugewiesen werden, die sich innerhalb eines Switch-Netzwerks oder über mehrere Switches hinweg befinden kann, und Broadcasts innerhalb eines VLANs werden nicht außerhalb des VLANs gesendet. Ebenso empfangen benachbarte Ports keine von anderen VLANs generierten Broadcasts. Dies reduziert den Broadcast-Verkehr, gibt Bandbreite für Benutzeranwendungen frei und reduziert die Broadcast-Erzeugung.
- Verbessern Sie die Netzwerksicherheit
Weil ein VLAN eine separate Broadcast-Domäne ist. VLANs sind voneinander isoliert, was die Netzwerkauslastung verbessert und die Netzwerksicherheit und Vertraulichkeit gewährleistet. Über das LAN werden häufig vertrauliche und kritische Daten übertragen. Vertrauliche Daten sollten mit Sicherheitsmitteln wie Zugangskontrolle versehen werden. Eine effektive und einfach zu implementierende Methode besteht darin, das Netzwerk in mehrere verschiedene Broadcast-Gruppen zu segmentieren, wobei der Netzwerkadministrator die Anzahl der Benutzer im VLAN begrenzt und den Zugriff auf Anwendungen im VLAN ohne Genehmigung verbietet. Switching-Ports können basierend auf Anwendungstyp und Zugriffsberechtigungen gruppiert werden, und eingeschränkte Anwendungen und Ressourcen werden normalerweise in Sicherheits-VLANs platziert.
Fallstudie zur VLAN-Konfiguration
Ein Unternehmen verfügt über etwa 100 Computer, und es gibt vier Hauptabteilungen, die das Netzwerk hauptsächlich nutzen: Produktionsabteilung (20), Finanzabteilung (15), Personalabteilung (8) und Informationszentrum (12).
Das gesamte Netzwerk verwendet drei von Catalyst 1900 verwaltete Switches (benannt: Switch1, Switch2 bzw. Switch3, jeder Switch ist nach Bedarf mit mehreren Hubs verbunden, hauptsächlich für Nicht-VLAN-Benutzer, wie Verwaltungspapiere, temporäre Benutzer usw.) und einen Cisco 2514-Router in der Mitte und im hinteren Teil des Netzwerks, und das gesamte Netzwerk ist über den Router Cisco 2514 mit dem externen Internet verbunden.
Die verbundenen Benutzer sind hauptsächlich in vier Teile verteilt, nämlich: Produktionsabteilung, Finanzabteilung, Informationszentrum und Personalabteilung. Diese vier Teile sind hauptsächlich in separate VLANs unterteilt, um sicherzustellen, dass die entsprechenden Netzwerkressourcen der Abteilung nicht gestohlen oder beschädigt werden.
Um die Sicherheit der Netzwerkressourcen zu gewährleisten, insbesondere für sensible Abteilungen wie Finanzen und Personal, dürfen nicht zu viele Personen auf die Informationen im Netzwerk zugreifen. Daher wendet das Unternehmen die VLAN-Methode an, um die oben genannten Probleme zu lösen.
Vlans kann in Produktionsabteilung, Finanzabteilung, Personalabteilung und Informationszentrum unterteilt werden. Die entsprechenden VLAN-Gruppen sind Prod, Fina, Huma und Info. Tabelle 1 zeigt die Netzwerksegmente jeder VLAN-Gruppe.
Hinweis: Der Grund, warum die VLAN-ID des Switches bei „2“ beginnt, liegt darin, dass der Switch ein Standard-VLAN hat, d. h. VLAN „1“, das alle mit dem Switch verbundenen Benutzer umfasst.
VLAN-Konfigurationsprozess
Der VLAN-Konfigurationsprozess ist eigentlich sehr einfach und erfordert nur zwei Schritte.
(1) Benennen jeder VLAN-Gruppe.
(2) Entspricht dem entsprechenden VLAN dem entsprechenden Switch-Port.
Das Folgende ist der spezifische Konfigurationsprozess.
Schritt 1: Richten Sie das HyperTerminal ein, stellen Sie eine Verbindung zum 1900-Switch her und konfigurieren Sie die VLANs des Switches über das HyperTerminal. Die Hauptkonfigurationsoberfläche erscheint nach einer erfolgreichen Verbindung wie unten gezeigt (grundlegende Informationen wurden zuvor auf dem Switch konfiguriert):
Hinweis: HyperTerminal wird mithilfe des mit Windows gelieferten Hypertrm-Programms implementiert. Einzelheiten finden Sie in den zugehörigen Dokumenten.
Schritt 2: Klicken Sie auf „K“ und wählen Sie „[K] Command Line“ aus dem Hauptmenü, um die folgende Befehlszeilen-Konfigurationsschnittstelle aufzurufen:
An diesem Punkt betreten wir den normalen Benutzermodus des Switches, genau wie der Router, dieser Modus kann nur die aktuelle Konfiguration anzeigen, kann die Konfiguration nicht ändern und kann einen sehr eingeschränkten Befehl verwenden. Wir müssen also in den „privilegierten Modus“ wechseln.
Schritt 3: Geben Sie im vorherigen Schritt an der Eingabeaufforderung „>“ den Befehl „enable“ ein, um in den privilegierten Modus zu wechseln. Das Befehlsformat ist „>enable“, und dann wird der Schalter angezeigt:
Schritt 4: Aus Sicherheits- und Komfortgründen geben wir jedem der 3 Catalyst 1900-Switches einen Namen und legen ein Anmeldekennwort für den privilegierten Modus fest. Das Folgende ist ein Beispiel für Switch1. Der Konfigurationscode lautet wie folgt:
Hinweis: Das Passwort für den privilegierten Modus muss 4 bis 8 Zeichen enthalten. Das eingegebene Passwort wird im Klartext angezeigt, halten Sie es also geheim. Der Switch verwendet die Ebene, um Kennwortberechtigungen zu bestimmen. Ebene 1 ist das Passwort für den Zugriff auf die Befehlszeilenschnittstelle. Nachdem Sie das Passwort für Ebene 1 festgelegt haben, werden Sie beim nächsten Verbinden mit dem Switch und der Eingabe von K aufgefordert, das Passwort einzugeben. Dies ist das für Ebene 1 festgelegte Passwort. Ebene 15 ist das Passwort für den privilegierten Modus, das Sie verwenden werden nach Eingabe des Befehls „enable“ zur Eingabe aufgefordert.
Schritt 5: Legen Sie den VLAN-Namen fest. Da die vier VLANs zu unterschiedlichen Switches gehören, lautet der VLAN-Benennungsbefehl „VLAN, VLAN-Nummer, Name, VLAN-Name. Konfigurieren Sie in Switch1, Switch2 und Switch3 den Code von VLAN 2, 3, 4 und 5 wie folgt:
Hinweis: Die obige Konfiguration wird gemäß den Regeln in Tabelle 1 durchgeführt.
Schritt 6: Im vorherigen Schritt haben wir die VLAN-Gruppen für jeden Switch konfiguriert. Jetzt müssen wir diese VLANs den in Tabelle 1 angegebenen Switch-Portnummern zuordnen. Der der Portnummer entsprechende Befehl lautet vlan-membership static/dynamic VLAN number. In diesem Befehl muss entweder „statisch“ oder „dynamisch“ ausgewählt werden, aber normalerweise wählen Sie „statisch“.
Die Anwendung für die VLAN-Portnummer wird wie folgt konfiguriert.
(1) Die VLAN-Portnummer des Switches mit dem Namen „Switch1“ wird wie folgt konfiguriert.
Hinweis: „int“ ist die Abkürzung für „interface“-Befehl. „e0/3“ ist die Abkürzung für „Ethernet 0/2“, was für Port 2 von Modul 0 des Switches steht.
(2) Die VLAN-Portnummer des Switches mit dem Namen „Switch2“ wird wie folgt konfiguriert.
(3) Die VLAN-Portnummer des Switches mit dem Namen „Switch3“ ist wie folgt konfiguriert (sie umfasst die Konfiguration von zwei VLAN-Gruppen), siehe zuerst den Konfigurationscode von VLAN 4 (Huma).
Das Folgende ist der Konfigurationscode für VLAN 5 (Info).
Nun haben wir die VLANs auf den entsprechenden Ports des Switches wie in Tabelle 1 gefordert definiert. Um unsere Konfiguration zu verifizieren, können Sie sich im privilegierten Modus mit dem Befehl „show vlan“ die gerade vorgenommene Konfiguration anzeigen lassen, um zu prüfen, ob diese korrekt ist .
Das Obige ist eine Einführung in die VLAN-Konfiguration des Cisco Catalyst 1900-Switches, die VLAN-Konfiguration anderer Switches ist grundsätzlich ähnlich, siehe entsprechendes Switch-Handbuch.