Что такое ВЛАН?
VLAN — это виртуальная локальная сеть, а не «VPN» (виртуальная частная сеть). VLAN — это новая технология обмена данными, которая логически (а не физически) делит устройства LAN на сегменты для реализации виртуальных рабочих групп. Эта новая технология в основном используется в коммутаторах и маршрутизаторах, но основное применение по-прежнему находится в коммутаторах. Однако не все коммутаторы имеют эту функцию, только коммутаторы с протоколом VLAN выше уровня 3 имеют эту функцию, что можно узнать, проверив руководство соответствующего коммутатора.
IEEE выпустил проект стандарта протокола 802.1Q в 1999 году, чтобы стандартизировать схему реализации VLAN. Появление технологии VLAN позволяет администраторам логически разделить разных пользователей в одной и той же физической локальной сети на разные широковещательные домены в соответствии с фактическими требованиями приложений. Каждая VLAN содержит группу компьютерных рабочих станций с такими же требованиями и имеет те же атрибуты, что и физически сформированная LAN. Так как он разделен логически, а не физически. Таким образом, отдельные рабочие станции в одной и той же VLAN не ограничены одним и тем же физическим диапазоном, т. е. эти рабочие станции могут находиться в разных физических сегментах LAN. Из характеристик VLAN видно, что как широковещательный, так и одноадресный трафик внутри VLAN не перенаправляется в другие VLAN, что помогает контролировать трафик, сокращать инвестиции в оборудование, упростить управление сетью и повысить безопасность сети.
Развитие технологии коммутации также ускорило внедрение новых технологий коммутации (VLAN). Разделив корпоративную сеть на сегменты виртуальной сети VLAN, можно улучшить управление сетью и сетевую безопасность, а также контролировать передачу ненужных данных.
В общей сети физический сегмент сети является широковещательным доменом. В коммутируемой сети широковещательный домен может быть виртуальным сегментом с произвольным набором выбранных сетевых адресов уровня 2 (MAC-адресов). Таким образом, разделение рабочих групп в сети может преодолеть географические ограничения в общей сети и вместо этого полностью основываться на функциях управления. Эта модель группировки на основе рабочих процессов значительно улучшает функцию управления планированием и реорганизацией сети.
Рабочие станции в одной и той же VLAN, независимо от того, к какому коммутатору они фактически подключены, взаимодействуют друг с другом, как если бы они находились на отдельных коммутаторах. Широковещательные сообщения в одной и той же VLAN могут быть услышаны только членами VLAN и не передаются в другие VLAN, что может хорошо контролировать генерацию ненужных широковещательных штормов. В то же время без маршрутизации разные VLAN не могут взаимодействовать друг с другом, что повышает безопасность между разными отделами в сети предприятия.
Сетевые администраторы могут настраивать маршруты между виртуальными локальными сетями, чтобы полностью управлять доступом к информации между различными подразделениями управления в рамках предприятия. Коммутатор разделен на VLAN на основе MAC-адреса рабочей станции пользователя. Таким образом, пользователь может свободно перемещать offлед к корпоративной сети, и независимо от того, где он получает доступ к коммутационной сети, он может свободно общаться с другими пользователями в VLAN.
Сети VLAN могут состоять из устройств со смешанными типами сетей, таких как 10M Ethernet, 100M Ethernet, токен-сеть, FDDI, CDDI и т. д., и могут быть рабочими станциями, серверами, концентраторами, сетевыми магистралями восходящей линии связи и т. д.
В дополнение к преимуществам разделения сети на несколько широковещательных доменов, что позволяет эффективно контролировать возникновение широковещательных штормов и делает топологию сети очень гибкой, VLAN также можно использовать для управления доступом между различными отделами и сайтами в сети.
VLAN — это протокол, предложенный для решения проблемы широковещательной передачи и безопасности Ethernet. Он добавляет заголовок VLAN к кадрам Ethernet, делит пользователей на более мелкие рабочие группы с идентификаторами VLAN и запрещает пользователям посещать друг друга между разными рабочими группами, а каждая рабочая группа представляет собой виртуальную локальную сеть. Преимущество виртуальной локальной сети заключается в том, что она может ограничивать диапазон широковещательной рассылки и может формировать виртуальные рабочие группы для динамического управления сетью.
Методы разделения VLAN
Способы реализации VLAN на коммутаторе можно разделить на шесть категорий:
1. Разделите VLAN на основе портов
Это наиболее часто используемый метод разделения VLAN, он наиболее широко используется и эффективен, и большинство коммутаторов протоколов VLAN поддерживают этот метод конфигурации VLAN.
Этот метод разделения VLAN основан на коммутации портов коммутаторов Ethernet. Он делит физические порты на коммутаторе VLAN и порты PVC (постоянный виртуальный канал) внутри коммутатора VLAN на несколько групп, и каждая группа представляет собой виртуальную сеть, которая эквивалентна независимому коммутатору VLAN.
Когда разным отделам необходимо получить доступ друг к другу, их можно перенаправить через маршрутизатор с фильтрацией портов на основе MAC-адресов. Набор допустимых MAC-адресов задается для соответствующего порта коммутатора, коммутатора маршрутизации или маршрутизатора, ближайшего к сайту на пути доступа сайта. Это предотвращает возможность кражи IP-адресов изнутри незаконными злоумышленниками для взлома других точек доступа.
Как мы видим из самого этого метода деления, преимущество этого метода заключается в том, что очень просто определить членство в VLAN, если все порты определены как соответствующие группы VLAN. Он подходит для сетей любого размера. Его недостаток в том, что если пользователь покидает исходный порт и переходит к порту нового коммутатора, его необходимо переопределить.
2. Разделите VLAN на основе MAC-адреса
Этот метод разделения VLAN основан на MAC-адресе каждого хоста, т. е. каждый хост с MAC-адресом конфигурируется с группой, к которой он принадлежит. Механизм, который он реализует, заключается в том, что каждая сетевая карта соответствует уникальному MAC-адресу, а коммутатор VLAN отслеживает адреса, принадлежащие MAC-адресу VLAN. Такой подход к VLAN позволяет пользователям сети автоматически сохранять членство в VLAN, к которой они принадлежат, когда они перемещаются из одного физического местоположения в другое.
Как видно из механизма этого разделения, самым большим преимуществом этого метода разделения VLAN является то, что VLAN не нужно переконфигурировать, когда пользователи перемещают свое физическое местоположение, т. е. когда они переключаются с одного коммутатора на другой. Это связано с тем, что он основан на пользователе, а не на порте коммутатора. Недостатком этого метода является то, что все пользователи должны быть настроены во время инициализации. Процесс настройки может занять много времени, если есть сотни или даже тысячи пользователей, поэтому этот метод разделения обычно подходит для небольших локальных сетей.
Кроме того, этот метод разделения также снижает эффективность работы коммутатора, поскольку на каждом порту коммутатора может быть много членов групп VLAN, хранящих MAC-адреса многих пользователей, которые непросто запросить.
Кроме того, пользователи ноутбуков могут часто менять свои сетевые карты, поэтому VLAN необходимо часто настраивать.
3. РазделитьeVLAN на основе протоколов сетевого уровня
Сети VLAN делятся по протоколу сетевого уровня и могут быть классифицированы на сети VLAN, такие как IP, IPX, DECnet, AppleTalk, Banyan и т. д. Такие сети VLAN, состоящие из протокола сетевого уровня, позволяют широковещательным доменам охватывать несколько коммутаторов VLAN. Это очень привлекательно для сетевых администраторов, которые хотят организовать пользователей для конкретных приложений и служб. Более того, пользователи могут свободно перемещаться по сети, но их членство в VLAN остается неизменным.
Преимущества этого метода заключаются в том, что физическое местоположение пользователя изменяется без перенастройки VLAN, к которой он принадлежит, и в том, что VLAN можно классифицировать по типу протокола, что важно для сетевых администраторов. Кроме того, этот метод не требует дополнительных тегов кадров для идентификации VLAN, что может уменьшить объем трафика в сети. Недостатком этого подхода является его неэффективность, поскольку проверка адреса сетевого уровня каждого пакета требует много времени для обработки (по сравнению с двумя предыдущими подходами). Как правило, микросхемы коммутаторов могут автоматически проверять заголовки кадров Ethernet пакетов в сети, но для проверки заголовков кадров IP требуется более высокий уровень навыков и больше времени. Конечно, это связано с методом реализации каждого поставщика.
4. Разделите VLAN на основе многоадресной рассылки IP
Многоадресная рассылка IP фактически является определением VLAN, то есть группа многоадресной рассылки IP является VLAN. Этот метод разделения расширяет VLAN до WAN, поэтому этот метод обладает большей гибкостью, и его легко расширить через маршрутизатор. Это в основном подходит для пользователей LAN, которые не находятся в том же географическом диапазоне, чтобы сформировать VLAN. Он не подходит для локальных сетей, потому что он неэффективен.
5. Разделите VLAN по политике
VLAN на основе политик можно назначать различными способами, включая порты коммутатора VLAN, MAC-адреса, IP-адреса и протоколы сетевого уровня. Сетевые администраторы могут определить тип VLAN на основе собственного режима управления и требований к устройству.
6. РазделитьeVLAN с определяемой пользователем непользовательской авторизацией
Распределение VLAN на основе определения пользователя и непользовательской авторизации означает, что VLAN определяются и разрабатываются в соответствии с особыми требованиями пользователей сети для соответствия особым сетям VLAN. Кроме того, пользователи, не являющиеся пользователями VLAN, могут получить доступ к VLAN только после аутентификации со стороны управления VLAN путем предоставления пользовательских паролей.
TПреимущества VLAN
Для того чтобы любая новая технология получила широкую поддержку и применение, она должна иметь некоторые ключевые преимущества, как и технология VLAN, преимущества которой в основном отражаются в следующих аспектах:
- Повышена гибкость сетевого подключения
Технология VLAN объединяет различные местоположения, сети и пользователей для формирования виртуальной сетевой среды, которая так же удобна, гибка и эффективна, как и использование локальной сети. VLAN может снизить накладные расходы на перемещение или изменение местоположения рабочих станций, особенно для компаний с часто меняющимися условиями ведения бизнеса.
- Управление трансляцией в сети
VLAN предоставляет механизм брандмауэра для предотвращения чрезмерного вещания в коммутируемой сети. Используя VLAN, порт коммутатора или пользователь могут быть назначены определенной группе VLAN, которая может находиться в сети коммутатора или между несколькими коммутаторами, и широковещательные рассылки внутри VLAN не будут отправляться за пределы VLAN. Точно так же соседние порты не получают широковещательные сообщения, генерируемые другими виртуальными локальными сетями. Это уменьшает широковещательный трафик, высвобождает полосу пропускания для пользовательских приложений и сокращает количество широковещательных сообщений.
- Улучшить сетевую безопасность
Потому что VLAN — это отдельный широковещательный домен. Сети VLAN изолированы друг от друга, что улучшает использование сети и обеспечивает сетевую безопасность и конфиденциальность. Люди часто передают конфиденциальные и важные данные по локальной сети. Конфиденциальные данные должны быть обеспечены средствами безопасности, такими как контроль доступа. Эффективным и простым в реализации методом является сегментирование сети на несколько различных широковещательных групп, где администратор сети ограничивает количество пользователей в VLAN и запрещает доступ к приложениям в VLAN без разрешения. Коммутационные порты могут быть сгруппированы на основе типа приложения и прав доступа, а приложения и ресурсы с ограниченным доступом обычно размещаются в безопасных VLAN.
Практический пример конфигурации VLAN
В компании около 100 компьютеров, и есть четыре основных отдела, которые в основном используют сеть: производственный отдел (20), финансовый отдел (15), отдел кадров (8) и информационный центр (12).
Во всей сети используются три управляемых коммутатора Catalyst 1900 (с именами: Switch1, Switch2 и Switch3 соответственно, каждый коммутатор подключается к нескольким концентраторам по мере необходимости, в основном для пользователей, не являющихся пользователями VLAN, таких как административные документы, временные пользователи и т. д.) и один Маршрутизатор Cisco 2514 в средней и задней части сети, а вся сеть подключена к Интернету через маршрутизатор Cisco 2514, подключенный к внешнему Интернету.
Подключенные пользователи в основном распределены по четырем частям, а именно: производственный отдел, финансовый отдел, информационный центр и отдел кадров. Эти четыре части в основном разделены на отдельные VLAN, чтобы гарантировать, что соответствующие сетевые ресурсы отдела не будут украдены или повреждены.
Чтобы обеспечить безопасность сетевых ресурсов, особенно для важных отделов, таких как финансы и отдел кадров, информация в сети не может быть доступна слишком большому количеству людей. Поэтому компания использует метод VLAN для решения вышеуказанных проблем.
Вланы можно разделить на производственный отдел, финансовый отдел, отдел кадров и информационный центр. Соответствующие группы VLAN: Prod, Fina, Huma и Info. В таблице 1 показаны сетевые сегменты каждой группы VLAN.
Примечание. Причина, по которой идентификатор VLAN коммутатора начинается с «2», заключается в том, что коммутатор имеет VLAN по умолчанию, то есть VLAN «1», которая включает всех пользователей, подключенных к коммутатору.
Процесс настройки VLAN
Процесс настройки VLAN на самом деле очень прост и требует всего два шага.
(1) Присвоение имени каждой группе VLAN.
(2) Соответствие соответствующей сети VLAN соответствующему порту коммутатора.
Ниже приведен конкретный процесс настройки.
Шаг 1: Настройте HyperTerminal, подключитесь к коммутатору 1900 и настройте VLAN коммутатора через HyperTerminal. Основной интерфейс конфигурации появляется после успешного подключения, как показано ниже (базовая информация была настроена на коммутаторе ранее):
Примечание. HyperTerminal реализуется с помощью программы Hypertrm, поставляемой с Windows. Подробности см. в соответствующих документах.
Шаг 2: Нажмите «K» и выберите «[K] Command Line» в главном меню, чтобы войти в следующий интерфейс настройки командной строки:
На этом этапе мы входим в обычный пользовательский режим коммутатора, как и в случае с маршрутизатором, этот режим может только просматривать текущую конфигурацию, не может изменять конфигурацию и может использовать очень ограниченные команды. Итак, мы должны войти в «привилегированный режим».
Шаг 3: введите команду «enable» в приглашении «>» на предыдущем шаге, чтобы войти в привилегированный режим. Формат команды «>enable», после чего отображается переключатель:
Шаг 4: в целях безопасности и удобства мы даем каждому из 3 коммутаторов Catalyst 1900 имя и устанавливаем пароль для входа в привилегированный режим. Ниже приведен пример Switch1. Код конфигурации выглядит следующим образом:
Примечание. Пароль привилегированного режима должен содержать от 4 до 8 символов. Введенный пароль отображается открытым текстом, поэтому держите его в тайне. Коммутатор использует уровень для определения разрешений пароля. Уровень 1 — это пароль для доступа к интерфейсу командной строки. После того, как вы установите пароль для уровня 1, при следующем подключении к коммутатору и вводе K вам будет предложено ввести пароль, который является паролем, установленным для уровня 1. Уровень 15 — это пароль привилегированного режима, который вы будете использовать. предлагается войти после ввода команды «включить».
Шаг 5: Задайте имя VLAN. Поскольку четыре VLAN принадлежат разным коммутаторам, команда именования VLAN выглядит следующим образом: «VLAN, номер VLAN, имя, имя VLAN. В Switch1, Switch2 и Switch3 настройте код VLAN 2, 3, 4 и 5 следующим образом:
Примечание. Вышеупомянутая конфигурация выполняется в соответствии с правилами, указанными в Таблице 1.
Шаг 6: На предыдущем шаге мы настроили группы VLAN для каждого коммутатора. Теперь нам нужно сопоставить эти VLAN с номерами портов коммутатора, указанными в таблице 1. Команда, соответствующая номеру порта, — это статический/динамический номер VLAN vlan-membership. В этой команде необходимо выбрать «статический» или «динамический», но обычно выбирают «статический».
Приложение номера порта VLAN настроено следующим образом.
(1) Номер порта VLAN коммутатора с именем «Switch1» настроен следующим образом.
Примечание: «int» — это аббревиатура команды «interface». e0/3″ — это сокращение от «ethernet 0/2», обозначающее порт 2 модуля 0 коммутатора.
(2) Номер порта VLAN коммутатора с именем «Switch2» настроен следующим образом.
(3) Номер порта VLAN коммутатора с именем «Switch3» настроен следующим образом (он включает конфигурацию двух групп VLAN), сначала см. код конфигурации VLAN 4 (Huma).
Ниже приведен код конфигурации для VLAN 5 (информация).
Теперь мы определили VLAN на соответствующих портах коммутатора, как требуется в Таблице 1. Чтобы проверить нашу конфигурацию, вы можете использовать команду «show vlan» в привилегированном режиме, чтобы отобразить только что сделанную конфигурацию, чтобы проверить ее правильность. .
Выше приведено введение в конфигурацию VLAN коммутатора Cisco Catalyst 1900, конфигурация VLAN других коммутаторов в основном аналогична, см. соответствующее руководство по коммутатору.