Egy megjegyzés a VLAN
VLAN (Virtual Local Area Network) - eszközök egy csoportját, amely képes közvetlenül kölcsönhatásba az adatkapcsolati szinten bár fizikailag és lehet csatlakoztatni a különböző hálózati kapcsolók. Ezzel szemben, eszközök különböző VLAN'ah, láthatatlan egymáshoz az adatkapcsolati szinten, még ha azok kapcsolódnak az ugyanazon váltani, és a kommunikációs eszközök között csak akkor lehetséges, a hálózat és a magasabb szinteken.
A mai hálózatokban VLAN - fő mechanizmusa olyan logikai hálózati topológia, függetlenül annak fizikai topológia. VLAN-ok használják, hogy csökkentsék a broadcast forgalmat a hálózaton. Nagy jelentősége van a biztonság szempontjából, különösen elleni küzdelem eszközeként az ARP-spoofing'om.
Miért van szükség a VLAN?
Rugalmas elválasztási berendezések csoportokba
Általános szabály, hogy egyetlen VLAN megfelel egy alhálózatban. Olyan eszközök, amelyek a különböző VLAN lesz a különböző alhálózatok. De ugyanakkor, a VLAN nem kötődik a helyét eszközök, és ezért található készülék olyan távolságra egymástól, továbbra is azonos VLAN, helyszíntől függetlenül
Mennyiségének csökkentése sugárzott hálózati forgalmat
Mindegyik VLAN - ez egy külön szórási tartomány. Például, a kapcsoló - egy eszköz szint 2 az OSI modell. Minden port a kapcsoló nincs VLAN ugyanabban szórási tartomány. Létrehozása VLAN a kapcsolót jelenti felosztja a kapcsolót több broadcast domain. Ha az azonos VLAN van szerte kapcsol, akkor a port a különböző kapcsolók alkotnak egy szórási tartomány.
A megnövelt biztonság és kezelhetőség a hálózat
Ha a hálózat van osztva VLAN, leegyszerűsíti az alkalmazások biztonsági politikák és szabályozás. VLAN politikát lehet alkalmazni a teljes alhálózatok ahelyett, hogy egy külön eszköz. Továbbá, az átmenet az egyik VLAN másik magában áthaladás a 3-szintű eszköz, amely általánosan alkalmazható a szabályozások lehetővé teszik vagy megtagadja a hozzáférést a VLAN VLAN.
VLAN forgalom címkézés
Számítógép, amikor elküldi a forgalom a hálózaton nincs ötlete, amely VLAN van rendelve van elhelyezve. Ez a kapcsoló gondolkodnak. A kapcsoló tudja, hogy a számítógép csatlakoztatva van egy bizonyos port található, a megfelelő VLAN'e. Érkező forgalom a kikötőben bizonyos VLAN'a, nem különbözik az egyéb forgalom VLAN'a. Más szóval, semmilyen információt nem adott forgalmi kiegészítők VLAN'u nem rendelkezik.
Azonban, ha a port jöhet a forgalmat a különböző VLAN-ok, a kapcsolót kell valahogy megkülönböztetni. Ebből a célból minden egyes keret (frame) forgalmat kell jelölni valamilyen különleges módon. A megjegyzés kell beszélni, hogy mit VLAN'u forgalom tartozik.
A leggyakoribb módszer most is egy ilyen jelet ismertet a nyílt IEEE 802.1Q szabvány. Vannak saját protokollokat, hogy megoldja a hasonló problémákat, például ISL protokoll Cisco Systems, de a népszerűsége jóval alacsonyabb (és csökkent).
tartozó VLAN
Switch portok támogatása VLAN, (bizonyos feltételezések) osztható két:
Tagged portok (portok vagy a törzs, a törzs-kikötőkben Cisco terminológia).
Címkézetlen portok (vagy hozzáférési port, hozzáférés-portokat Cisco terminológia);
Tagged portokat kell egy portot képes áthaladni több VLAN, ezért amelyek forgalma több VLAN portonként. Információ forgalmi VLAN'u kiegészítők, mint már említettük, van jelölve egy speciális címkét. Anélkül, címke kapcsoló nem lesz képes különbséget tenni a forgalmat a különböző VLAN-ok.
Ha a port címkézetlen egyes VLAN van rendelve, a forgalmat a VLAN kijelölésre. A Cisco címkézetlen port csak egy VLAN. néhány más kapcsolók (például, ZyXEL, a D-Link és bolygó) ez a korlátozás nem áll fenn.
Ha a port ki van jelölve többszörös VLAN, akkor az egész címkézetlen forgalom fokozott figyelmet fog VLAN'om natív (natív VLAN). Ezzel az opcióval (natív, PVID, port VID) fordul elő a legtöbb zavart. Például kapcsolók Planet címkézetlen port megfelelő működéséhez szükséges, hogy a port egy VLAN, állítsa a port címkézetlen, és regisztrálni az azonos VLAN száma a PVID a port. HP ProCurve nem az ellenkezőjét, címkézett port kezd dolgozni, mint egy címkézett csak akkor, ha betette a PVID «nincs».
Ha a port tartozik, hogy csak egy VLAN jelöletlen, címkézett érkező forgalom ezen a porton keresztül kell hagyni. Tény, hogy ez a viselkedés általában meghatározott.
A legegyszerűbb módja annak, hogy kitaláljuk, ha „elfelejti” az egész belső szerkezetét a kapcsoló és a start csak port. Tegyük fel, hogy van egy VLAN száma 111, két portok tartoznak VLAN 111. Közlik csak egymás közötti, címkézetlen / hozzáférés-port megy címkézetlen forgalom címkézett / trunk-out port forgalmat címkézett VLAN 111. Minden szükséges átalakításokat átlátható már önmagában a kapcsolót.
Általában úgy, hogy a VLAN 1 címkézetlen tagjai alapértelmezés szerint minden kapcsoló port a folyamat kapcsoló működtetéséhez vagy beállításához, akkor át lehet menni a másik VLAN.
Két megközelítés a rendeltetési kikötőben egy adott VLAN:
1) Statikus hozzárendelés - ha VLAN'u port tagság a rendszergazda által meghatározott beállítási folyamat során;
2) A dinamikus elosztás - ha VLAN'u porthoz során meghatározott mûködtetõkapcsolót leírt eljárások különleges előírások, mint például a 802.1X. Amikor használja 802.1X hozzáférést kap a switch port, a felhasználó jogosult-e a RADIUS-szerver. Az eredmények szerint a hitelesítés port a kapcsoló van elhelyezve egy adott VLANe (bővebb információ: 802.1X és RADIUS).