Что такое влан: Что такое VLAN — энциклопедия lanmarket.ua

Содержание

Что такое VLAN — энциклопедия lanmarket.ua

Компьютерные сети могут быть сегментированы в локальные (LAN) и глобальные (WAN) сети. Сетевые устройства, такие как коммутаторы, концентраторы, мосты, рабочие станции и серверы, подключенные друг к другу в одной сети в определенном месте, обычно известны как локальные сети. LAN также считается широковещательным доменом.

VLAN позволяет нескольким сетям работать практически как одна локальная сеть. Одним из наиболее полезных элементов VLAN является то, что он устраняет задержку в сети, что экономит сетевые ресурсы и повышает эффективность сети. Кроме того, VLAN созданы для обеспечения сегментации и поддержки в таких вопросах, как безопасность, управление сетью и масштабируемость. Трафик также можно легко контролировать с помощью VLAN.


Виртуальная локальная сеть (VLAN) — это логическая локальная сеть (или LAN), которая расширяет пределы одной традиционной локальной сети до группы сегментов локальной сети, учитывая конкретные конфигурации. VLAN является логическим объектом, поэтому его создание и конфигурация полностью выполняются в программном обеспечении.

Иными словами, VLAN представляет собой логическую группу рабочих станций, серверов и сетевых устройств, которые, как представляется, находятся в одной и той же локальной сети, несмотря на их географическое распределение. VLAN позволяет сети компьютеров и пользователей взаимодействовать в имитируемой среде, как если бы они существовали в одной локальной сети и совместно использовали один широковещательный и многоадресный домен. VLAN реализованы для обеспечения масштабируемости, безопасности и удобства управления сетью и могут быстро адаптироваться к изменениям сетевых требований и перемещению рабочих станций и узлов сервера.

Коммутаторы более высокого уровня позволяют использовать функциональность и реализацию VLAN. Целью внедрения VLAN является повышение производительности сети или применение соответствующих функций безопасности.

Ключевыми преимуществами реализации VLAN являются:

  • Разрешение сетевым администраторам применять дополнительную безопасность для сетевой связи

  • Расширение и перемещение сети или сетевого устройства

  • Обеспечение гибкости, поскольку администраторы могут настраивать сеть в централизованной среде, в то время как устройства могут быть расположены в разных географических точках

  • Снижение латентности и нагрузки трафика в сети и сетевых устройствах, что обеспечивает повышенную производительность

У VLAN также есть некоторые недостатки и ограничения, перечисленные ниже:

  • Высокий риск возникновения вирусов, поскольку одна зараженная система может распространять вирус по всей логической сети

  • Ограничения оборудования в очень больших сетях, поскольку для управления рабочей нагрузкой могут потребоваться дополнительные маршрутизаторы

  • Более эффективен при контролировании задержки, чем WAN, но менее эффективен, чем LAN

Вам необходимо рассмотреть возможность использования VLAN в любой из следующих ситуаций:

  • У вас более 200 устройств в вашей локальной сети

  • У вас много широковещательного трафика в вашей локальной сети

  • Группы пользователей нуждаются в большей безопасности или замедляются слишком большим количеством передач

  • Группы пользователей должны находиться в одном широковещательном домене, потому что они работают с одними и теми же приложениями. Примером может служить компания, имеющая телефоны VoIP. Пользователи, использующие телефон, могут находиться в другой VLAN, а не вместе с обычными пользователями.

  • Или же вы можете просто разделить один коммутатор на несколько виртуальных коммутаторов.

Назначение VLAN


Основной причиной разделения сети на сети VLAN является сокращение перегрузок в большой локальной сети. Чтобы понять эту проблему, нам нужно вкратце остановиться на том, как LAN развиваются на протяжении многих лет. Первоначально локальные сети были очень плоскими — все рабочие станции были подключены к одному кусочку коаксиального кабеля или к наборам цепных хабов. В плоской локальной сети каждый пакет, который любое устройство помещает в провод, отправляется на все другие устройства в локальной сети. По мере роста числа рабочих станций в типичной локальной сети они начали безнадежно перегружаться; было слишком много коллизий, потому что большую часть времени, когда рабочая станция пыталась отправить пакет, выяснилось, что провод уже занят пакетом, отправленным каким-либо другим устройством.

Чтобы справиться с этой проблемой разработали три основных решения для избежания перегрузки:

  • Использование маршрутизаторовдля сегментирования локальных сетей

  • Использование коммутаторов для сегментов LAN

  • Использование VLAN для сегментирования локальных сетей

Использование VLAN для сегментирования локальных сетей


По мере увеличения LAN скорость передачи данных стала быстрее, и пользователи стали более гибкими, маршрутизаторы в сети стали узким местом. Это потому что:

  • маршрутизаторы обычно передают данные в программном обеспечении, и поэтому не так быстро, как коммутаторы
  • разделение LAN с использованием маршрутизаторов означало, что локальная сеть обычно соответствует определенному физическому местоположению. Это стало ограничивающим фактором, когда многие пользователи имели ноутбуки и хотели иметь возможность перемещаться между зданиями, но все же иметь одну и ту же сетевую среду, где бы они ни были подключены.

Таким образом, поставщики коммутаторов начали внедрять методы определения «виртуальных локальных сетей» -сетей портов коммутатора, обычно распределенных между несколькими коммутаторами, которые каким-то образом взаимодействовали, как если бы они находились в одной изолированной локальной сети. Таким образом, рабочие станции могут быть разделены на отдельные локальные сети без физического разделения маршрутизаторами.

Примерно в то же время хабы стали менее популярными и в значительной степени были заменены коммутаторами L2. Это сделало всю концепцию области столкновения несколько исторической. В современных сетях «домен столкновения» в основном состоит из одного устройства, подключенного к порту коммутатора L2, или, возможно, ПК с чем-то вроде подключенного к нему IP-телефона.

Итак, макет LAN стал больше похож на:


Таким образом, вместо локальных сетей, соответствующих физическим областям, разделенным между собой маршрутизаторами, существуют виртуальные локальные сети, распределенные по сети. Например, все устройства в различных областях, обозначенные как «VLAN A», все принадлежат одной виртуальной локальной сети — один широковещательный домен.

Типы VLAN

Существуют различные типы VLAN. Тип сетевого трафика, который они несут, определяет конкретный тип VLAN:

Default VLAN

При начальной загрузке коммутатора все порты коммутатора становятся членами VLAN по умолчанию, что делает их частью одного и того же широковещательного домена. Это позволяет любому сетевому устройству подключаться к любому порту коммутатора для связи с другими устройствами на других портах коммутатора.

В коммутаторах Cisco VLAN по умолчанию является VLAN 1. VLAN 1 имеет все функции любого VLAN, за исключением того, что вы не можете переименовать или удалить его.

Data VLAN

VLAN данных, который также можно назвать пользовательский VLAN. Он настроен на перенос только генерируемого пользователями трафика. Важность разделения пользовательских данных из другого типа VLAN — это правильное управление коммутатором.

Native VLAN

Native VLAN назначается порту соединительной линии 802.1Q. Порт магистрали 802.1Q поддерживает трафик, поступающий из многих VLAN, а также трафик, который не поступает из VLAN. Порт магистрали 802.1Q помещает немаркированный трафик (трафик, который не поступает из VLAN) в собственный Native VLAN. Таким образом, собственный VLAN наблюдает и идентифицирует трафик, поступающий с каждого конца соединительной линии.

Management VLAN

VLAN управления — это любой VLAN, который вы настраиваете для доступа к возможностям управления коммутатором. Ваш настроенный управляющий VLAN должен быть назначен с IP-адресом и маской подсети. Любой из VLAN-коммутатора может быть настроен как управляющий, если вы не настроили или не определили уникальный VLAN, который будет использоваться в качестве управления. В некоторых случаях сетевой администратор проактивно определяет VLAN 1 как управляющий; это создает лазейку для несанкционированного подключения к коммутатору.

Voice VLAN

Голосовой VLAN настроен на перенос голосового трафика. Voice VLAN в основном получают приоритет передачи по сравнению с другими типами сетевого трафика. Коммуникация по сети не завершена без телефонных звонков. Больше вызовов производится по сети, чем передача сообщений другими формами. Отправка сообщений электронной почты и текстовых сообщений также являются формами взаимоотношений, но прослушивание реального голоса обеспечивает легитимность и уверенность.

Он используется среди сетевых администраторов для создания сети, поддерживающей VoIP с гарантированной полосой пропускания для обеспечения качества голоса и возможности маршрутизации вокруг перегруженных участков сети с минимальными задержками (150-180 миллисекунд).

Как работают виртуальные локальные сети (VLAN)

Магия работы виртуальных локальных сетей (VLAN) найдена в заголовках Ethernet. Когда коммутатор получает кадр Ethernet, в кадре либо уже есть тэг VLAN, либо коммутатор будет вставлять тег VLAN в заголовок Ethernet. Если кадр был получен от другого коммутатора, этот коммутатор уже вставил тег VLAN; в то время как кадры поступают от сетевых устройств, таких как компьютеры, в кадре не будет тега VLAN.

Если вы используете настройки по умолчанию для VLAN, тег VLAN, который будет помещен в кадр, — VLAN1. При размещении тега VLAN (также известного как тег IEEE 802.1Q) на кадре Ethernet четыре байта данных, которые составляют тег VLAN, вставляются перед полем «Тип», как показано на следующем рисунке. Этот 4-байтовый заголовок содержит несколько фрагментов информации:

  1. 2-байтовый идентификатор протокола тегов (TPID), который будет установлен в значение 0x8100, чтобы обозначить, что этот кадр содержит информацию тега 802.1Q или 802.1p.

  2. 2-байтная информация управления тегами (TCI), которая состоит из следующего:

  • 3-разрядная точка приоритета пользователя (PCP), которая устанавливает значение приоритета между 0 и 7, что может использоваться для доставки приоритетного трафика качества обслуживания (QoS).

  • 1-разрядный индикатор канонического формата (CFI), который представляет собой бит совместимости между Ethernet и другими сетевыми структурами, например Token Ring. Для сетей Ethernet это значение также будет установлено на ноль.

  • 12-битный идентификатор VLAN (VID), который идентифицирует VLAN, к которой относится фрейм.


Несчастливая ошибка может произойти при маркировке VLAN на фрейме. Максимальный размер Ethernet-кадра IEEE 802.3 составляет 1518 байт. Если часть полезной нагрузки или данных содержит полные 1500 байтов данных и дополнительный 4-байтовый заголовок в кадре, размер кадра будет равен 1522 байтам.

Чтобы справиться с этой ситуацией, IEEE выпустила новый стандарт для Ethernet в 1998 году (IEEE 802.3ac), который увеличил максимальный размер кадра Ethernet до 1,522 байта. Если у вас есть более старые коммутаторы, которые не поддерживают более крупный размер кадра IEEE 802.3ac, ваши коммутаторы могут отказаться от этих неподдерживаемых фреймов с уведомлением или могут сообщать о них как о кадрах слишком большого размера.

Преимущества сетей VLAN

При правильном внедрении VLAN будет выигрышным для  вашего бизнеса благодаря простоте, большей безопасности и улучшенному опыту для ваших пользователей:

Упрощенное администрирование для сетевого менеджера: одна из лучших особенностей виртуализации заключается в том, что она упрощает управление. Логически группируя пользователей в одни и те же виртуальные сети, вы легко настраиваете и контролируете свои политики на уровне группы. Когда пользователи физически перемещают рабочие станции, вы можете держать их в одной сети с различным оборудованием. Или, если кто-то изменяет команды, но не рабочие станции, им может быть легко предоставлен доступ к любым новым VLAN, в которых они нуждаются.

Улучшенная безопасность: использование VLAN повышает безопасность за счет сокращения как внутренних, так и внешних угроз. Внутри разделение пользователей улучшает безопасность и конфиденциальность, гарантируя пользователям доступ только к сетям, которые относятся к их обязанностям. Внешние угрозы также сведены к минимуму. Если внешний злоумышленник может получить доступ к одной VLAN, они будут содержаться в этой сети по границам и элементам управления, которые у вас есть, чтобы отделить их от других.

Простое устранение неисправностей. Устранение неполадок в сети может быть проще и быстрее, когда ваши разные группы пользователей сегментируются и изолированы друг от друга. Если вы знаете, что жалобы поступают только от определенного подмножества пользователей, вы сможете быстро сузить место поиска, чтобы найти проблему.

Улучшенное качество обслуживания: VLAN управляют трафиком более эффективно, чтобы конечные пользователи имели более высокую производительность. У вас будет меньше проблем с задержкой в вашей сети и более высокая надежность для критически важных приложений. Сети VLAN также упрощают определение приоритетов трафика, позволяя вам следить за тем, чтобы критические данные приложений продолжали течь даже при трафике с более низким приоритетом, например, при просмотре веб-страниц.


Технология VLAN: особенности применения

Компания «Ромашки» из Иркутска открыла новое подразделение в Ангарске, где расположены несколько приоритетных клиентов. Начинающий системный администратор Роман взялся за голову: сеть компании состояла из нескольких изолированных сегментов, построенных на отдельных коммутаторах. В новом подразделении требовалось повторить такую же структуру, причём сделать так, чтобы, например, работники бухгалтерии в старом и новом офисе имели доступ к одним и тем же ресурсам и могли взаимодействовать друг с другом.

Приобретать для нового офиса такое же количество коммутаторов, как для главного, было нецелесообразно, поскольку там работало намного меньше сотрудников. Было непонятно, как объединять и разделять трафик от разных сегментов для передачи по WAN-каналу. И самое главное — казалось невозможным обеспечить изолированное взаимодействие пользователей в разных офисах.

Роман обратился за консультацией в компанию-интегратор и получил рекомендацию использовать технологию VLAN. Познакомившись с технологией, системный администратор понял, что это решит все его проблемы.

VLAN — это технология, которая позволяет строить виртуальные сети с независимой от физических устройств топологией. Например, можно объединить в одну сеть отдел компании, сотрудники которого работают в разных зданиях и подключены к разным коммутаторам. Или наоборот, создать отдельные сети для устройств, подключённых к одному коммутатору, если этого требует политика безопасности.

В этой публикации мы расскажем о принципах работы технологии, её возможностях и преимуществах, а также разберём типовые сценарии её применения.


Принципы работы VLAN

Компьютеры в локальной сети соединяются между собой с помощью сетевого оборудования — коммутаторов. По умолчанию все устройства, подключённые к портам одного коммутатора, могут взаимодействовать, обмениваясь сетевыми пакетами. Любой компьютер может направить широковещательный пакет, адресованный всем устройствам в этой сети, и все остальные компьютеры, подключённые к коммутатору, получат его. Все слышат всех.

Большое количество широковещательных пакетов, отправляемых устройствами, приводит к снижению производительности сети, поскольку вместо полезных операций коммутаторы заняты обработкой данных, адресованных сразу всем.

Чтобы снизить влияние широковещательных рассылок на производительность, сеть разделяют на изолированные сегменты. При этом каждый широковещательный пакет будет распространяться только в пределах сегмента, к которому подключен компьютер-отправитель.

Добиться такого результата можно, подключив разные сегменты к разным физическим коммутаторам, не соединённым между собой, либо соединить их через маршрутизаторы, которые не пропускают широковещательные рассылки.

На рисунке имеется четыре изолированных сегмента сети, каждый из которых подключён к отдельному физическому коммутатору. Взаимодействие между сегментами происходит через маршрутизаторы.

VLANы позволяют изолировать сегменты сети с помощью одного физического коммутатора. При этом функционально всё будет выглядеть полностью аналогично, но для каждого офиса используется один коммутатор с поддержкой VLAN.

В основе технологии VLAN лежит стандарт IEEE 802.1Q. Он позволяет добавлять в Ethernet-трафик информацию о принадлежности передаваемых данных к той или иной виртуальной сети — теги VLAN. С их помощью коммутаторы и маршрутизаторы могут выделить из общего потока передаваемых по сети кадров те, что относятся к конкретному сегменту.

Технология VLAN даёт возможность организовать функциональный эквивалент нескольких LAN-сетей без использования набора из коммутаторов и кабелей, которые понадобились бы для их реализации в физическом виде. Физическое сетевое оборудование заменяется виртуальным. Отсюда термин Virtual LAN.


Возможности VLAN

Используя виртуальные локальные сети, можно создавать конфигурации для решения различных задач:

Объединить в единую сеть группы компьютеров, подключённых к разным коммутаторам:


Компьютеры в VLAN 1 будут взаимодействовать между собой, хотя подключены к разным физическим коммутаторам, при этом сети VLAN 1 и VLAN 2 будут невидимы друг для друга.

Разделить на разные сети компьютеры, подключённые к одному коммутатору


При этом устройства в VLAN 1 и VLAN 2 не смогут взаимодействовать между собой.

Разделить гостевую и корпоративную беспроводную сеть компании:

Гости смогут подключаться к интернету, но не получат доступа к сети компании.

Обеспечить взаимодействие территориально распределённых отделов компании как единого целого:


Преимущества VLAN
  • Сокращение числа широковещательных запросов, которые снижают пропускную способность сети.
  • Повышение безопасности каждой виртуальной сети. Работники одного отдела офиса не смогут отслеживать трафик отделов, не входящих в их VLAN, и не получат доступ к их ресурсам.
  • Возможность разделять или объединять отделы или пользователей, территориально удаленных друг от друга. Это позволяет привлекать к рабочему процессу специалистов, не находящихся в здании офиса.
  • Создать новую виртуальную сеть можно без прокладки кабеля и покупки коммутатора.
  • Позволяет объединить в одну сеть компьютеры, подключенные к разным коммутаторам.
  • Упрощение сетевого администрирования. При переезде пользователя VLAN в другое помещение или здание сетевому администратору нет необходимости перекоммутировать кабели, достаточно со своего рабочего места перенастроить сетевое оборудование. А в случае использования динамических VLAN регистрация пользователя в «своём» VLAN на новом месте выполнится автоматически.

VLAN с Traffic Inspector Next Generation

Технология VLAN позволяет одному устройству Traffic Inspector Next Generation контролировать доступ в интернет для нескольких подразделений, причём для каждого сегмента можно установить свои правила взаимодействия с глобальной сетью.

На рисунке изображена сеть компании, подключенная к интернет через сервер Traffic Inspector Next Generation. Сеть организована на базе одного коммутатора, на котором создано два виртуальных сегмента — VLAN 2 и VLAN 6. В первом сегменте находятся компьютеры пользователей, во втором — серверы. Устройство Traffic Inspector Next Generation подключено к транковому порту коммутатора — специальному порту, который «слышит» пакеты от всех виртуальных сетей. Трафик, передаваемый или принимаемый на транковый порт, всегда образован тегированными кадрами.

Чтобы управлять работой двух виртуальных сетей на одном устройстве Traffic Inspector Next Generation, достаточно в настройках выполнить следующие операции:

1. Создать VLAN-интерфейсы (Интерфейсы → Другие типы → VLAN)

2. Добавить VLAN-интерфейсы в веб-интерфейс (Интерфейсы → Назначения портов, указать VLAN в поле «Новый интерфейс»)

3. Задать параметры TCP/IP для VLAN-интерфейсов (в разделе «Интерфейсы»)

4. Сохранить изменения.


Заключение

Использование VLAN не только упрощает жизнь системным администраторам, позволяя быстро вносить изменения в структуру сети, но и даёт организациям возможность экономить на сетевом оборудовании.

Администратор Роман, о котором шла речь в начале статьи, обошёлся без покупки дополнительного оборудования, настроив на коммутаторах VLAN для каждого отдела. Это позволило высвободить из старого офиса два коммутатора и использовать их для построения сети в новом офисе. Кроме того, благодаря VLAN решилась проблема с маршрутизацией трафика по WAN-каналу.

Протестировать Traffic Inspector Next Generation в своей сети. Бесплатно в течение 30 дней

Попробовать бесплатно

 

 

Подпишитесь на рассылку Смарт-Софт и получите скидку на первую покупку

За подписку мы также пришлем вам white paper «Основы кибербезопасности в коммерческой компании».

Email*

Подписаться

VLAN ID для Ростелекома: что это такое и как его узнать

VLAN ID нужен при использовании многоуровневых сетей, так как узнать принадлежность каждого из устройств в виртуальных группах на основе интернета от Ростелекома можно только при помощи этой технологии. Тегирование VLAN представляет собой вставку идентификатора в заголовок пакета. Это производится для возможности последующего выяснения того, к какой виртуальной локальной сети принадлежит пакет. 

Содержание:

Что такое и зачем нужен VLAN ID в сетях Ростелекома

VLAN ID – это специальная метка, которая позволяет создавать виртуальные локальные сети без каких-либо ограничений. Работа технологии основана на точеной адресации пакетов внутри одной или нескольких обычных локальных сетей.

Идентификатор VLAN наиболее часто используется для определения портов при отправке широковещательных пакетов, к примеру, для возможности использования услуг IPTV или цифровой телефонии от Ростелекома. Технология позволяет указать какие порты или интерфейсы нужно использовать для передачи данных.

Узнайте, как самостоятельно настроить подключение на роутерах от D-Link линейки DIR 3** для Ростелекома.

Прочитать об оплате интернета и других услуг через Сбербанк Онлайн, терминалы и банкоматы можно здесь.

Поддержка тегов позволяет администраторам развертывать сети на основе ProxySG (прокси сервер для поддержки работы крупных предприятий). Это позволяет перенаправлять трафик без риска потери информации.

Почему нужно включить VLAN

VLAN, тегирующий трафик, специально предназначен для структур, где прокси сервер настроен для развертывания сетей с идентификаторами. Такой вариант часто используется для объединения компьютеров, присоединенных к разным свитчам, в общую локальную сеть.

Без активации VLAN на всех устройствах, передающаяся информация попросту не будет видна, так как она зашифрована для определенного идентификатора.

К примеру, для того чтобы активировать услуги IPTV от Ростелекома нужно указать Multicast VLAN, тегирующий трафик для цифрового телевидения. Такая же ситуация складывается и с телефонией провайдера. Настройки же интернета обычно работают со стандартными значения идентификатора.

Внимание! VLAN ID для интернета, IP телевидения и телефонии Ростелекома имеют уникальные значения для каждого дома, что обусловлено использованием различных коммутаторов.

Достоинства технологии

Основным преимуществом технологии является возможность создания групп, изолированных друг от друга, внутри сети. Также существует и поддержка инструкций для выделения виртуальных сетей на основе устройств, подключенных к различным свитчам.

Технология адресной передачи данных имеет высокую степень безопасности. Широковещательный трафик образует пакеты, передающие только между устройствами, принадлежащими к одному VLAN ID.

Также весомым аргументом за использование технологии становится то, что для создания виртуальных сетей не нужна покупка дополнительного оборудования.

Как узнать VLAN ID для интернета от Ростелекома

Узнать VLAN идентификатор для любой услуги можно у специалиста при ее подключении или во время установки оборудования, после чего желательно записать его в надежное место.

Если же настройку сетевых устройств вы будете выполнять лично, рекомендуем выяснять этот параметр при заключении контракта и получении модема/роутера (в случае, если вы покупаете их или берете в аренду у Ростелекома).

Узнайте, как оплатить услуги Ростелекома банковской картой в несколько кликов.

Прочитать о логине и пароль для входа в Личный кабинет можно тут.

Перевод денег на Мегафон: //o-rostelecome.ru/uslugi/s-rostelekoma-na-megafon/.

Информацией о VLAN для интернета от Ростелеком обладает лишь техническая поддержка региона или города, поэтому узнать ID при помощи телефона горячей линии не удастся. Для этого понадобится составить заявку, после чего оператор отправит запрос в техническую поддержку. Также можно выяснить номер тех. поддержки вашего города или района и лично обратится за информацией. Самый быстрый вариант – спросить ID у соседей по дому, использующий услуги Ростелекома.

Использование VLAN адресации пакетов позволит создать виртуальную сеть независимо от того, к какому коммутатору подключены клиенты. Технология позволяет поддерживать работу таких услуг как интернет, IP телевидение и телефония от Ростелекома. Узнать нужный ID можно только в технической поддержке вашего региона.

Cisco Learning | Virtual LAN (VLAN)

В данной практической работе будет использоваться схема сети, которая представлена на рисунке ниже.

Ваш основной инструмент при выполнении практического задания – ПК0, доступ к другим ПК так же имеется.

  • Научиться создавать VLAN.

    Vlan создаются в конфигурационном моде, при помощи команды vlan <номер>. После создания, вы попадаете в режим настройки этого vlan. Дадим первым двум vlan имена (по умолчанию каждому vlan дается имя VLANxxxx, где хххх – номер vlan, устанавливая свое имя, вы даете краткое описание).

    
     SW_1(config)#vlan 10//создаем vlan 10SW_1(config-vlan)#?//смотрим что есть интересного в этом подрежимеVLAN configuration commands:
       exit  Apply changes, bump revision number, and exit mode
       name  Ascii name of the VLAN
       no    Negate a command or set its defaultsSW_1(config-vlan)#name sale-staff//обзываем vlan 10SW_1(config-vlan)#exit//выходим из подрежима, это не обязательноSW_1(config)#vlan 99SW_1(config-vlan)#name it-depSW_1(config-vlan)#vlan 120//не обязательно выходить из подрежимаSW_1(config-vlan)#name guest-vlan
    
     SW_1#sh vlan//посмотреть на все vlan, настроенные на коммутатореVLAN Name                             Status    Ports
     ---- -------------------------------- --------- -------------------------------
     1    default                          active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                     Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                                     Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                                     Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                                     Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                                     Fa0/21, Fa0/22, Fa0/23, Fa0/24
     10   sale-staff                       active    
     99   it-dep                           active    
     120  guest-vlan                       active    
     1002 fddi-default                     act/unsup 
     1003 token-ring-default               act/unsup 
     1004 fddinet-default                  act/unsup 
     1005 trnet-default                    act/unsup
     ...

    С созданием vlan проблем возникнуть не должно, а с выводом команды show vlan, могут возникнуть вопросы, поэтому разберем более подробно (вывод представлен не полностью, остальная информация нам пока не нужна). Первая колонка – это номер vlan, далее – название, статус и порты, которые относится к данному vlan. Vlan 1 по умолчанию создан и имеет имя default (что в переводе на русский “по умолчанию”), все порты на коммутаторе находятся в vlan 1. Vlan-ы 1002-1005 зарезервированы и не могут быть удалены или переименованы, здесь рассматриваться не будут.

    Для дальнейшего выполнения этого практического задания, надо создать vlan-ы на всех четырех коммутаторах, чтобы каждый раз заново не вбивать одну и туже информацию, можно просто копировать и вставлять текст ниже.

    
     conf tvlan 10name sale-staffexitvlan 99name it-depvlan 120name guest-vlanexit
    Рисунок 4.6 Commands Copy/Past


    Информация о vlan-ах хранится не в файле конфигурации, а в отдельном файле vlan.dat (после создания vlan-ов, вызовите команду show flash). Что бы удалить все упоминания о vlan, надо удалить этот файл и перезагрузить устройство.

  • Научиться указывать принадлежность порта к определенному Vlan.
    Отметим, что порт бывает только в двух состояниях (относящихся к vlan):
    • Может принадлежать одному из vlan (access port или untagged port).
    • Может быть транковым портом (trunk port или tagged port).
    • Может находиться в динамическом состоянии (благодаря Dynamic Trunk Protocol, используется только на cisco устройствах). Коммутатор сам определяет в какой режим перейти, этот режим используется по умолчанию (здесь рассматриваться не будет).

    Установим ПК1 в vlan 10. Прежде всего, надо узнать на каком порту он находится, а это мы можем сделать узнав его MAC-адрес (доступ есть ко всем компьютерам, если в командной строке компьютера набрать ipconfig /all, то “Physical Address” и есть MAC-адрес).

    Для удобства я распишу куда подключены все компьютеры в сети (но советую вам не лениться и попрактиковаться работать с таблицей коммутации).

    Показать физические подключения

    • SW_1 Fa0/3 – ПК0
    • SW_1 Fa0/2 – ПК1
    • SW_1 Fa0/1 – ПК5
    • SW_2 Fa0/12 – ПК2
    • SW_2 Fa0/20 – ПК3
    • SW_2 Fa0/3 – ПК4
    • SW_3 Fa0/11 – S1
    • SW_3 Fa0/17 – ПК6
    • SW_4 Fa0/15 – S2
    • SW_4 Fa0/18 – ПК7

    Скрыть физические подключения

    
     SW_1(config)#interf fa 0/2//на этом интерфейсе "сидит" ПК1SW_1(config-if)#switchport mode access//жестко указываем состояние интерфейса - будет относиться только к одному vlanSW_1(config-if)#switchport access vlan 10//это интерфейс относится к vlan10

    Проделайте такую операцию с другими компьютерами подключенными (имеется ввиду, добавьте их в определенный vlan) к SW_1 и вы получите вот такую таблицу vlan:

    
     SW_1#sh vlanVLAN Name                             Status    Ports
     ---- -------------------------------- --------- -------------------------------
     1    default                          active    Fa0/3, Fa0/4, Fa0/5, Fa0/6
                                                     Fa0/7, Fa0/8, Fa0/9, Fa0/10
                                                     Fa0/11, Fa0/12, Fa0/13, Fa0/14
                                                     Fa0/15, Fa0/16, Fa0/17, Fa0/18
                                                     Fa0/19, Fa0/20, Fa0/21, Fa0/22
                                                     Fa0/23, Fa0/24
     10   sale-staff                       active    Fa0/2
     99   it-dep                           active    Fa0/1
     120  guest-vlan                       active    
     ...SW_1#sh runnBuilding configuration...
     
     Current configuration : 1249 bytes
     !
     version 12.1
     no service timestamps log datetime msec
     no service timestamps debug datetime msec
     no service password-encryption
     !
     hostname SW_1
     !
     !
     !
     spanning-tree mode pvst
     spanning-tree portfast default
     !
     interface FastEthernet0/1
      switchport access vlan 99
      switchport mode access
     !
     interface FastEthernet0/2
      switchport access vlan 10
      switchport mode access
     !
     interface FastEthernet0/3
     ...

    Перед тем как переходить к следующему шагу, настройте vlan-ы на всех коммутаторах. Что бы облегчить ваш труд я подготовил “копипасты” для всех коммутаторов (надо вставлять в конфигурационном режиме).

    Показать “копипасты”

    
     ###Copy/Past для SW_1###interf fa 0/2switchport mode accessswitchport access vlan 10interf fa 0/1switchport mode accessswitchport access vlan 99###Copy/Past для SW_2###interf fa 0/12switchport mode accessswitchport access vlan 10interf fa 0/20switchport mode accessswitchport access vlan 99interf fa 0/3switchport mode accessswitchport access vlan 120###Copy/Past для SW_3###interf fa 0/11switchport mode accessswitchport access vlan 99interf fa 0/17switchport mode accessswitchport access vlan 120###Copy/Past для SW_4###interf fa 0/15switchport mode accessswitchport access vlan 10interf fa 0/18switchport mode accessswitchport access vlan 120

    Скрыть “копипасты”

  • Распределить адресацию, проверить коннективность.

    Пришло время всем компьютерам назначить новые ip-адреса, согласно начальным данным. Я предоставлю список ip-адресов и масок, но если вы сами распределите адреса, то огромный вам “респект и уважуха”. Обратите внимание, что в этом списке я выделил адреса, которые обязательно должны быть такими, чтобы получить достижение. Как установить адрес показано на рисунке 4.7.

    Показать ip-адреса и маски

    • ПК1: vlan10, ip address – 172.16.27.65, mask – 255.255.255.192
    • ПК2: vlan10, ip address – 172.16.27.66, mask – 255.255.255.192
    • ПК3: vlan99, ip address – 192.168.27.97, mask – 255.255.255.224
    • ПК4: vlan120, ip address – 10.3.3.129, mask – 255.255.255.248
    • ПК5: vlan99, ip address – 192.168.27.98, mask – 255.255.255.224
    • ПК6: vlan120, ip address – 10.3.3.130, mask – 255.255.255.248
    • ПК7: vlan120, ip address – 10.3.3.134, mask – 255.255.255.248
    • S1: vlan99, ip address – 192.168.27.126, mask – 255.255.255.224
    • S2: vlan10, ip address – 172.16.27.126, mask – 255.255.255.192

    Скрыть ip-адреса и маски

    Рисунок 4.7 Как установить ip адрес на ПК
  • Научиться настраивать trunk порт.

    Что бы сделать порт транковым, достаточно ввести команду switchport mode trunk, в режиме настройки этого интерфейса. Дополнительно можно указать список vlan, которые могут проходить по этому транку (которые будут тегироваться), по умолчанию разрешено всем созданным vlan. Так же можно указать native-vlan, vlan, который будет ходить по транку без тега, по умолчанию это vlan 1.

    Настроим транк между SW_4(Fa0/1) и SW_3(Fa0/2). Начинайте настройку с SW_4, потому что в процессе переключения режимов интерфейс перезагружается. Если по какой-либо причине доступ не восстановился, цепляйтесь консольным портом и разбирайтесь, почему “не встало”.

    
     ###конфигурация SW_4###SW_4(config)#interf fa 0/1SW_4(config-if)#switchport mode trunk//если после ввода этой команды вас 
     выкинет из консоли, не бойтесь. вы просто отпилили сук на котором сидели, перейдите к настройки 
     следующего коммутатора###конфигурация SW_3###SW_3(config)#interf fa 0/2SW_3(config-if)#switchport mode trunk
    
     SW_4#sh interf trunkPort        Mode         Encapsulation  Status        Native vlan
     Fa0/1       on           802.1q         trunking      1
     
     Port        Vlans allowed on trunk
     Fa0/1       1-1005  //разрешенные vlan
     
     Port        Vlans allowed and active in management domain
     Fa0/1       1,10,99,120 
     
     Port        Vlans in spanning tree forwarding state and not pruned
     Fa0/1       1,10,99,120

    Настроим транк между SW_3(Fa0/1) и SW_2(Fa0/1), при этом жестко указав vlan-ы на этом транке.

    
     ###конфигурация SW_3###SW_3(config)#interf fa 0/1SW_3(config-if)#switchport mode trunk//если после ввода этой команды вас 
     выкинет из консоли, не бойтесь. вы просто отпилили сук на котором сидели, перейдите к настройки 
     следующего коммутатораSW_3(config-if)#switchport trunk allowed vlan 1,10,99,120###конфигурация SW_2###SW_2(config)#interf fa 0/1SW_2(config-if)#switchport mode trunkSW_2(config-if)#switchport trunk allowed vlan 1,10,99,120
    
     SW_3#sh interf trunkPort        Mode         Encapsulation  Status        Native vlan
     Fa0/1       on           802.1q         trunking      1
     Fa0/2       on           802.1q         trunking      1
    
     Port        Vlans allowed on trunk
     Fa0/1       1,10,99,120
     Fa0/2       1-1005
    
     Port        Vlans allowed and active in management domain
     Fa0/1       1,10,99,120
     Fa0/2       1,10,99,120
    
     Port        Vlans in spanning tree forwarding state and not pruned
     Fa0/1       1,10,99,120
     Fa0/2       1,10,99,120

    Настроим транк между SW_2(Fa0/2) и SW_1(Fa0/5), при этом указав только vlan-ы 1 и 10 на этом транке (vlan 1 используется для удаленного администрирования, именно с помощью этого vlan ПК0 может подключаться ко всем коммутаторам в сети).

    
     ###конфигурация SW_2###SW_2(config)#interf fa 0/2SW_2(config-if)#switchport mode trunk//если после ввода этой команды вас 
     выкинет из консоли, не бойтесь. вы просто отпилили сук на котором сидели, перейдите к настройки 
     следующего коммутатораSW_2(config-if)#switchport trunk allowed vlan 1,10###конфигурация SW_1###SW_1(config)#interf fa 0/5SW_1(config-if)#switchport mode trunkSW_1(config-if)#switchport trunk allowed vlan 1,10
    
     SW_2#sh interf trunkPort        Mode         Encapsulation  Status        Native vlan
     Fa0/1       on           802.1q         trunking      1
     Fa0/2       on           802.1q         trunking      1
    
     Port        Vlans allowed on trunk
     Fa0/1       1,10,99,120
     Fa0/2       1,10
    
     Port        Vlans allowed and active in management domain
     Fa0/1       1,10,99,120
     Fa0/2       1,10
    
     Port        Vlans in spanning tree forwarding state and not pruned
     Fa0/1       1,10,99,120
     Fa0/2       none

    После настройки проверим доступность ПК3 S1 и ПК3 ПК5, при помощи команды ping. Как мы видим из рисунка 4.9, между ПК3 и S1 есть связь, а между ПК3 и ПК5 связи нет. Все потому что по транку, между SW_1 и SW_2, трафик из vlan 99 не проходит. Давайте добавим это vlan и попробуем еще раз (рисунок 4.10).

    Рисунок 4.9 Доступность ПК3 <-> S1 и ПК3 <-> ПК5
    
     ###конфигурация SW_2###SW_2(config)#interf fa 0/2SW_2(config-if)#switchport mode trunkSW_2(config-if)#switchport trunk allowed vlan add 99//команда добавляет vlan 99 к разрешенным vlan###конфигурация SW_1###SW_1(config)#interf fa 0/5SW_1(config-if)#switchport mode trunkSW_1(config-if)#switchport trunk allowed vlan add 99
    Рисунок 4.10 Доступность ПК3 ПК5 после добавления vlan99


    Дополнительно надо изучить таблицу коммутацииshow mac-address-table.

  • Как настроить VLAN

    Виртуальная локальная сеть — VLAN (Virtual Local Area Network) — это функция в роутерах и коммутаторах, позволяющая на одном физическом сетевом интерфейсе (Ethernet, Wi-Fi интерфейсе) создать несколько виртуальных локальных сетей. VLAN — главный механизм для создания логической топологии сети, не зависящей от её физической топологии. Компьютеры, подключенные к разным коммутаторам, можно объединить в одну виртуальную сеть, но при этом компьютеры, находящиеся в разных VLAN будут изолированы друг от друга, даже если подключены к одному коммутатору.

    Для чего используется VLAN:
    • Гибкое разделение устройств на группы;
    • Сокращение широковещательного трафика в сети:
    • Если на разных коммутаторах настроить один и тот же VLAN, то порты разных коммутаторов будут образовывать один широковещательный домен;
    • Увеличение безопасности и управляемости сети:
    • В сети, разбитой на виртуальные подсети, удобно применять политики и правила безопасности для каждого VLAN;
    • Уменьшение количества оборудования и сетевого кабеля.

    Для создания новой виртуальной локальной сети не требуется покупка коммутатора и прокладка сетевого кабеля. Но при этом, необходимо использовать более дорогие устройства, позволяющие настроить VLAN. Рассмотрим частный пример настройки PoE-коммутатора второго уровня для разделения телефонии, видеонаблюдения и сети Wi-Fi на независимые группы. Такая мера не позволит пользователям беспроводной сети проникнуть в систему видеонаблюдения и разгрузит сеть VoIP телефонии от ненужных широковещательных запросов.


    Коммутатор GL-SW-G204-24P

    GL-SW-G204-24P – L2 управляемый, 24 PoE (802.3af/at) портов 10/100/1000Мб/с, 4 Base-X SFP 1000Mb/s, суммарная мощность 400W

    В качестве базового устройства будем рассматривать двадцатичетырехпортовый РоЕ коммутатор GL-SW-G204-24P от GIGALINK. Данный гигабитный коммутатор уровня 2+ обладает высокой производительностью и солидным бюджетом PoE – 400Ватт. Для удобства коммутации и использования группы будем назначать согласно группам портов: три группы по 8 портов и SFP порты в качестве транка (trunk — это uplink для VLAN групп) и портов связи с другими сегментами сети.

    Шаг 1. IP адрес WEB-интерфейса по умолчанию: 192.168.0.1, логин и пароль стандартные: admin.


    Настройка VLAN шаг №1

    Шаг 2. Интересующие нас настройки спрятаны в группе L2 Config и называются VLAN Config.


    Настройка VLAN шаг №2

    Шаг 3. Стандартные настройки коммутатора подразумевают, что все порты включены в одну группу и имеют одинаковый статус «доступен». В этом случае все подключенные устройства «видят» друг друга и могут «общаться». Чтобы изолировать их, внесем необходимые изменения, поставив в группе VLAN ID 1 только первые 8 портов и 25й для связи с другими сегментами сети. В этой группе у нас будут подключены точки доступа. Так как они должны быть доступны одновременно с остальной сетью и компьютерами и должны иметь доступ к роутеру и контроллеру беспроводной сети, то 25й порт назначается таким же доступным, как и первые 8 портов, подающих сеть питание для точек доступа.

    Шаг 4. Для портов 9-16 назначаем вторую группу, поставив цифру 2 в поле VLAN ID. В этой группе у нас будут подключены VoIP телефоны на рабочих местах. Так как эта подсеть должна быть изолирована от общей сети, назначим порт 26 для связи с остальной сетью. Этому порту необходимо назначить роль транка (trunk это аплинк для VLAN сетей), порт будет связываться с другим коммутатором, у которого должен быть так же настроен VLAN и соответствующий порт отведен под транк. Таким образом, подсеть VoIP будет не доступна для первой группы, но в то же время физически находится на тех же устройствах сети.

    Для транка необходимо указать снимать теги или нет. В сети Tagged Vlan каждый пакет маркируется, ему присваивается ID Vlan’а (тэг). Это нужно для объединения Vlan’ов на нескольких коммутаторах в один широковещательный сегмент, устройства, подключенные к разным коммутаторам с одинаковым Vlan ID смогут «общаться» друг с другом. Untagged Vlan подразумевает, что trunk-порт соединен с устройством, не умеющим работать с виртуальными сетями, пакеты такой сети не содержат маркер, сообщающий Vlan ID порта.

    Шаг 5. Порты 17-24 отводятся для питания камер видеонаблюдения. Эта сеть физически изолирована от остального сегмента сети, так как этажный коммутатор один, то просто выделяем третий диапазон, назначив портам соответствующие ID и порт 27 для физического подключения к регистратору или коммутатору видеонаблюдения.


    Настройка VLAN шаг №5

    Таким образом, один коммутатор подает сеть и питание на три разных группы устройств, но эти устройства не могут взаимодействовать друг с другом на прямую и, например, злоумышленник, получивший доступ к Wi-Fi не сможет влезть в зону телефонии или видеонаблюдения.

    Шаг 6. После назначения портам соответствующих ID, настройки нужно сохранить. Нажимаем Apply для применения политики VLAN к портам коммутатора и Save All для сохранения текущей конфигурации. Можно также добавить наименования для групп для более удобного управления.


    Настройка VLAN шаг №6

    Шаг 7. Следующим действием необходимо активировать протокол GVRP (Group Vlan Registration Protocol), который оповестит соседние коммутаторы о наличии на этом коммутаторе групп Vlan с определенными ID. Это необходимо для корректной работы транка в сетях Tagged Vlan.


    Настройка VLAN шаг №7

    На этом настройка VLAN заканчивается. Три группы устройств изолированы друг от друга, хотя и подключены к одному коммутатору. Это лишь частный случай возможной настройки для коммутаторов. Современные интеллектуальные устройства обладают огромным функционалом, позволяющим реализовывать самые сложные сценарии и топологии локальных сетей. Ежегодно усложняющаяся техника и внедрение нововедений в повседневную жизнь диктуют условия, игнорировать которые уже становится невозможно и потребность в понимании функционирования сети и принципах тонкой настройки коммутаторов становятся необходимостью.



    Что еще интересного?

    Видеообзор коммутатора GL-SW-F104-16P. Данное видео включает в себя распаковку устройства, описание технических характеристик, обзор веб-интерфейса и даже пример применения.

    Что такое Vlan ID

    Если вам требуется или вы решили самостоятельно подключить роутер/модем от компании «Ростелеком», если вам нужно подключить IPTV или услуги цифровой телефонии, то вы должны знать, что такое VLAN ID и как его найти.

    Технология VLAN

    Немного теории

    VLAN ID — это идентификационный 12-битный набор цифр, благодаря которому можно создавать многоуровневые виртуальные сети, обходя любые физические препятствия, как, например, географическое положение, передавать определённую информацию на нужные девайсы. Технология «ВиЛан» присутствует в устройствах, которые и обеспечивают создание одной общей сети. Если говорить простым языком, «ВиЛан» ID — это адрес, на который специальные устройства, распознающие его (коммутаторы), отправляют пакеты данных.

    Технология довольно удобная, имеет свои как преимущества, так и недостатки, используется компанией «Ростелеком» для передачи данных: например, для цифрового телевидения (IPTV). То есть, если вы самостоятельно решили подключиться или настроить IPTV, то вам необходимо знать идентификатор. Как можно догадаться, российская компания использует эти специальные наборы цифр для того, чтобы люди по общему «адресу» могли использовать свои модемы/роутеры для просмотра IPTV. То есть, этот «маяк» позволяет получать одинаковую информацию разным людям.

    Делается это не только для удобства и обхода физических границ. Идентификатор позволяет обезопасить доступ к различным виртуальным сетям. К примеру, отделить гостевые соединения от подключений предприятия или в случае с IPTV предоставить доступ только определённым пользователям.

    IPTV-ресивер

    Тегирующий трафик

    Существуют тегированные и нетегированные порты. Это значит, что есть порты использующие теги, а есть не использующие. Нетегированный порт может передавать только личный VLAN, тегированный — может принимать и отдавать трафик из различных «маяков».

    Теги «прикрепляются» к трафику для того, чтобы сетевые коммутаторы могли опознавать его и принимать. Теги применяются и компанией «Ростелеком».

    Самое интересное, что позволяют теги — компьютеры могут быть подключены к одному коммутатору (свитчу), получать сигнал Wi-Fi с одной точки. Но при этом они не будут видеть друг друга и получать не одинаковые данные, если принадлежат к разным «маячкам». Это благодаря тому, что для одного «ВиЛан» используются определённые теги, а другой может быть, вообще, нетегирующим и не пропускать этот трафик.

    Включить эту функцию

    Включить этот идентификатор нужно для того, чтобы устройства, принимающие информацию, могли её видеть. В противном случае вся зашифрованная информация не будет видна.

    Таким образом, стоит активировать VLAN для каждой конкретной услуги. Если он уже активирован, и делали это не вы, всё равно стоит знать свой «адрес».

    Как узнать свой ID?

    Нужно помнить, что «адрес» индивидуален для разных услуг, а в случае с IPTV от Ростелекома ещё и для каждого дома. Узнать ID можно у специалиста, который подключал какую-либо опцию или оборудование. Если вы получаете ненастроенный модем на руки, то лучше узнайте номер при заключении контракта с «Ростелеком».

    Если идентификатора у вас нет, а вам очень надо найти его как можно быстрее, то спросить можно у соседей по дому. Другой вариант — оставить заявку, позвонив на горячую линию «Ростелеком». После вашу заявку отправят в техническую поддержку региона, где известны ID-адреса вашего населённого пункта.

    Итак, теперь вы знаете, по какому принципу работает IPTV от Ростелекома. Также вам известно, для чего применяются теги, как узнать свой VLAN, и какую роль он играет.

    Описание основ работы VLAN, принципы построения сетей с использованием VLAN. Виртуальные локальные сети VLAN.

    И коммутаторах, позволяющая на одном физическом сетевом интерфейсе (Ethernet, Wi-Fi интерфейсе) создать несколько виртуальных локальных сетей. VLAN используют для создания логической топологии сети, которая никак не зависит от физической топологии.

    Примеры использования VLAN

      Объединение в единую сеть компьютеров, подключенных к разным коммутаторам .
      Допустим, у вас есть компьютеры, которые подключены к разным свитчам, но их нужно объединить в одну сеть. Одни компьютеры мы объединим в виртуальную локальную сеть VLAN 1, а другие — в сеть VLAN 2. Благодаря функции VLAN компьютеры в каждой виртуальной сети будут работать, словно подключены к одному и тому же свитчу. Компьютеры из разных виртуальных сетей VLAN 1 и VLAN 2 будут невидимы друг для друга.

      Разделение в разные подсети компьютеров, подключенных к одному коммутатору .
      На рисунке компьютеры физически подключены к одному свитчу, но разделены в разные виртуальные сети VLAN 1 и VLAN 2. Компьютеры из разных виртуальных подсетей будут невидимы друг для друга.


      Разделение гостевой Wi-Fi сети и Wi-Fi сети предприятия .
      На рисунке к роутеру подключена физически одна Wi-Fi точка доступа . На точке созданы две виртуальные Wi-Fi точки с названиями HotSpot и Office. К HotSpot будут подключаться по Wi-Fi гостевые ноутбуки для доступа к интернету, а к Office — ноутбуки предприятия. В целях безопасности необходимо, чтобы гостевые ноутбуки не имели доступ к сети предприятия. Для этого компьютеры предприятия и виртуальная Wi-Fi точка Office объединены в виртуальную локальную сеть VLAN 1, а гостевые ноутбуки будут находиться в виртуальной сети VLAN 2. Гостевые ноутбуки из сети VLAN 2 не будут иметь доступ к сети предприятия VLAN 1.


    Достоинства использования VLAN

      Гибкое разделение устройств на группы
      Как правило, одному VLAN соответствует одна подсеть. Компьютеры, находящиеся в разных VLAN, будут изолированы друг от друга. Также можно объединить в одну виртуальную сеть компьютеры, подключенные к разным коммутаторам.

      Уменьшение широковещательного трафика в сети
      Каждый VLAN представляет отдельный широковещательный домен. Широковещательный трафик не будет транслироваться между разными VLAN. Если на разных коммутаторах настроить один и тот же VLAN, то порты разных коммутаторов будут образовывать один широковещательный домен.

      Увеличение безопасности и управляемости сети
      В сети, разбитой на виртуальные подсети, удобно применять политики и правила безопасности для каждого VLAN. Политика будет применена к целой подсети, а не к отдельному устройству.

      Уменьшение количества оборудования и сетевого кабеля
      Для создания новой виртуальной локальной сети не требуется покупка коммутатора и прокладка сетевого кабеля. Однако вы должны использовать более дорогие управляемые коммутаторы с поддержкой VLAN.

    Представим такую ситуацию. У нас есть офис небольшой компании, имеющей в своем арсенале 100 компьютеров и 5 серверов. Вместе с тем, в этой компании работают различные категории сотрудников: менеджеры, бухгалтеры, кадровики, технические специалисты, администраторы. Необходимо, чтобы каждый из отделов работал в своей подсети. Каким образом разграничить трафик этой сети? Вообще есть два таких способа: первый способ — разбить пул IP-адресов на подести и выделить для каждого отдела свою подсеть, второй способ — использование VLAN.

    VLAN (Virtual Local Area Network) — группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от трафика других узлов сети. В современных сетях VLAN — главный механизм для создания логической топологии сети, не зависящей от ее физической топологии.

    Технология VLAN определена в документе IEEE 802.1q — открытый стандарт, который описывает процедуру тегирования для передачи информации о принадлежности к VLAN. 802.1q помещает внутрь ethernet фрейма тег, который передает информацию о принадлежности трафика к VLAN.

    Рассмотрим поля VLAN TAG:

    • TPID (Tag Protocol Identifier) — идентификатор протокола тегирования. Указывает какой протокол используется для тегирования. Для 802.1Q используется значение 0x8100.
    • Priority — приоритет. Используется для задания приоритета передаваемого трафика (QoS).
    • CFI (Canoncial Format Indicator) — указывает на формат MAC-адреса (Ethernet или Token Ring).
    • VID (Vlan Indentifier) — идентификатор VLAN. Указывает какому VLAN принадлежит фрейм. Можно задавать число от 0 до 4094.

    Компьютер при отправке фреймов ничего не знает в каком VLAN он находится — этим занимается коммутатор. Коммутатор знает к какому порту подключен компьютер и на основании этого определит в каком VLAN этот компьютер находится.

    У коммутатора есть два вида портов:

    • Тегированный порт (tagged, trunk) — порт, через который можно передавать или получать трафик нескольких VLAN-групп. При передаче через тегированный порт, к кадру добавляется метка VLAN. Используется для подключения к коммутаторам, маршрутизаторам (то есть тем устройствам, которые распознают метки VLAN).
    • Нетегированный порт (untagged, access) — порт, через который передаются нетегированные кадры. Используется для подключения к конечным узлам (компьютерам, серверам). Каждый нетегированный порт находится в определенном VLAN. При передаче трафика с данного порта, метка VLAN удаляется и до компьютера (который не распознает VLAN) идет уже нетегированный трафик. В обратном случае, при приеме трафика на нетегированный порт к нему добавляется метка VLAN.

    Настройка VLAN на управляемом коммутаторе Dlink DES-3528

    Серия коммутаторов DES-3528/3552 xStack включает в себя стекируемые коммутаторы L2+ уровня доступа, обеспечивающие безопасное подключение конечных пользователей к сети крупных предприятий и предприятий малого и среднего бизнеса (SMB). Коммутаторы обеспечивают физическое стекирование, статическую маршрутизацию, поддержку многоадресных групп и расширенные функции безопасности. Все это делает данное устройство идеальным решением уровня доступа. Коммутатор легко интегрируется с коммутаторами уровня ядра L3 для формирования многоуровневой сетевой структуры с высокоскоростной магистралью и централизованными серверами. Коммутаторы серии DES-3528/3552 снабжены 24 или 48 портами Ethernet 10/100Мбит/с и поддерживают до 4-х uplink-портов Gigabit Ethernet.


    Рассмотрим принципы настройки VLAN на управляемых коммутаторах Dlink. В ходе работы изучим способы создания, удаления, изменения VLAN, добавления различных видов портов (тегированных и нетегированных).

    Подключение к коммутатору производится через консольный порт с помощью программы HyperTerminal.

    С помощью команды show vlan посмотрим информацию о существующих VLAN.

    На рисунке выше видно, что изначально на коммутаторе создан только один VLAN по умолчанию с именем default. Команда show vlan выводит следующие поля:

    • VID – идентификатор VLAN
    • VLAN Type – тип VLAN
    • Member Ports – задействованные порты
    • Static Ports – статические порты
    • Current Tagged Ports – текущие тегированные порты
    • Current Untagged Ports – текущие нетегированные порты
    • Static Tagged Ports – статические тегированные порты
    • Static Untagged Ports – статические нетегированные порты
    • Total Entries – всего записей
    • VLAN Name – имя VLAN
    • Advertisement – статус

    Создадим новый VLAN, в котором в качестве имени используются инициалы AA, а в качестве идентификатора – номер 22. Для этого воспользуемся командой create vlan.

    В новый VLAN пока не входит ни одного порта. С помощью config vlan изменим VLAN AA так, чтобы в нем появились тегированные порты 10, 14-17 и нетегированные порты 2-5.

    Командой show vlan выведем информацию о созданных VLAN.

    На данный момент многие современные организации и предприятия практически не используют такую весьма полезную, а часто и необходимую, возможность, как организация виртуальной локальной сети (VLAN) в рамках цельной инфраструктуры, которая предоставляется большинством современных коммутаторов. Связано это со многими факторами, поэтому стоит рассмотреть данную технологию с позиции возможности ее использования в таких целях.

    Общее описание

    Для начала стоит определиться с тем, что такое VLANs. Под этим подразумевается группа компьютеров, подключенных к сети, которые логически объединены в домен рассылки сообщений широкого вещания по определенному признаку. К примеру, группы могут быть выделены в зависимости от структуры предприятия либо по видам работы над проектом или задачей совместно. Сети VLAN дают несколько преимуществ. Для начала речь идет о значительно более эффективном использовании пропускной способности (в сравнении с традиционными локальными сетями), повышенной степени защиты информации, которая передается, а также упрощенной схеме администрирования.

    Так как при использовании VLAN происходит разбитие всей сети на широковещательные домены, информация внутри такой структуры передается только между ее членами, а не всем компьютерам в физической сети. Получается, что широковещательный трафик, который генерируется серверами, ограничен предопределенным доменом, то есть не транслируется всем станциям в этой сети. Так удается достичь оптимального распределения пропускной способности сети между выделенными группами компьютеров: серверы и рабочие станции из разных VLAN просто не видят друг друга.


    Как протекают все процессы?

    В такой сети информация довольно хорошо защищена от ведь обмен данными осуществляется внутри одной конкретной группы компьютеров, то есть они не могут получить трафик, генерируемой в какой-то другой аналогичной структуре.

    Если говорить о том, что такое VLANs, то тут уместно отметить такое достоинство этого способа организации, как упрощенное сетевое затрагивает такие задачи, как добавление новых элементов к сети, их перемещение, а также удаление. К примеру, если какой-то пользователь VLAN переезжает в другое помещение, сетевому администратору не потребуется перекоммутировать кабели. Он должен просто произвести настройку сетевого оборудования со своего рабочего места. В некоторых реализациях таких сетей контроль перемещения членов группы может производиться в автоматическом режиме, даже не нуждаясь во вмешательстве администратора. Ему только необходимо знать о том, как настроить VLAN, чтобы производить все необходимые операции. Он может создавать новые логические группы пользователей, даже не вставая с места. Это все очень сильно экономит рабочее время, которое может пригодиться для решения задач не меньшей важности.


    Способы организации VLAN

    Существует три различных варианта: на базе портов, протоколов третьего уровня или MAC-адресов. Каждый способ соответствует одному из трех нижних уровней модели OSI: физическому, сетевому и канальному соответственно. Если говорить о том, что такое VLANs, то стоит отметить и наличие четвертого способа организации — на базе правил. Сейчас он используется крайне редко, хотя с его помощью обеспечивается большая гибкость. Можно рассмотреть более подробно каждый из перечисленных способов, чтобы понять, какими особенностями они обладают.

    VLAN на базе портов

    Здесь предполагается логическое объединение определенных физических портов коммутатора, выбранных для взаимодействия. К примеру, может определить, что определенные порты, к примеру, 1, 2, и 5 формируют VLAN1, а номера 3, 4 и 6 используются для VLAN2 и так далее. Один порт коммутатора вполне может использоваться для подключения нескольких компьютеров, для чего применяют, к примеру, хаб. Все они будут определены в качестве участников одной виртуальной сети, к которой прописан обслуживающий порт коммутатора. Подобная жесткая привязка членства виртуальной сети является основным недостатком подобной схемы организации.

    VLAN на базе МАС-адресов

    В основу этого способа заложено использование уникальных шестнадцатеричных адресов канального уровня, имеющихся у каждого сервера либо рабочей станции сети. Если говорить о том, что такое VLANs, то стоит отметить, что этот способ принято считать более гибким в сравнении с предыдущим, так как к одному порту коммутатора вполне допускается подключение компьютеров, принадлежащих к разным виртуальным сетям. Помимо этого, он автоматически отслеживает перемещение компьютеров с одного порта на другой, что позволяет сохранить принадлежность клиента к конкретной сети без вмешательства администратора.

    Принцип работы тут весьма прост: коммутатором поддерживается таблица соответствия MAC-адресов рабочих станций виртуальным сетям. Как только происходит переключение компьютера на какой-то другой порт, происходит сравнение поля MAC-адреса с данными таблицы, после чего делается правильный вывод о принадлежности компьютера к определенной сети. В качестве недостатки подобного способа называется сложность конфигурирования VLAN, которая может изначально стать причиной появления ошибок. При том, что коммутатор самостоятельно строит таблицы адресов, сетевой администратор должен просмотреть ее всю, чтобы определить, какие адреса каким виртуальным группам соответствуют, после чего он прописывает его к соответствующим VLANs. И именно тут есть место ошибкам, что иногда случается в Cisco VLAN, настройка которых довольно проста, но последующее перераспределение будет сложнее, чем в случае с использованием портов.

    VLAN на базе протоколов третьего уровня

    Этот метод довольно редко используется в коммутаторах на уровне рабочей группы или отдела. Он характерен для магистральных, оснащенных встроенными средствами маршрутизации основных протоколов локальных сетей — IP, IPX и AppleTalk. Этот способ предполагает, что группа портов коммутатора, которые принадлежат к определенной VLAN, будут ассоциироваться с какой-то подсетью IP или IPX. В данном случае гибкость обеспечивается тем, что перемещение пользователя на другой порт, который принадлежит той же виртуальной сети, отслеживается коммутатором и не нуждается в переконфигурации. Маршрутизация VLAN в данном случае довольно проста, ведь коммутатор в данном случае анализирует сетевые адреса компьютеров, которые определены для каждой из сетей. Данный способ поддерживает и взаимодействие между различными VLAN без применения дополнительных средств. Есть и один недостаток у данного способа — высокая стоимость коммутаторов, в которых он реализован. VLAN Ростелеком поддерживают работу на этом уровне.


    Выводы

    Как вам уже стало понятно, виртуальные сети представляют собой довольно мощное средство сетевой организации, способное решить проблемы, связанные с безопасностью передачи данных, администрированием, разграничением доступа и увеличением эффективности использования

    VLANs – это виртуальные сети, которые существуют на втором уровне модели OSI. То есть, вилан можно настроить на коммутаторе второго уровня. Если смотреть на вилан, абстрагируясь от понятия «виртуальные сети», то можно сказать, что VLAN – это просто метка в кадре, который передается по сети. Метка содержит номер вилана (его называют VLAN ID или VID), – на который отводится 12 бит, то есть, вилан может нумероваться от 0 до 4095. Первый и последний номера зарезервированы, их использовать нельзя. Обычно, рабочие станции о VLAN ничего не знают (если не конфигурировать VLAN на карточках специально). О них думают коммутаторы. На портах коммутаторов указывается в каком VLAN они находятся. В зависимости от этого весь трафик, который выходит через порт помечается меткой, то есть VLAN. Таким образом каждый порт имеет PVID (port vlan identifier).Этот трафик может в дальнейшем проходить через другие порты коммутатора(ов), которые находятся в этом VLAN и не пройдут через все остальные порты. В итоге, создается изолированная среда (подсеть), которая без дополнительного устройства (маршрутизатора) не может взаимодействовать с другими подсетями.

    Зачем нужны виланы?

    • Возможность построения сети, логическая структура которой не зависит от физической. То есть, топология сети на канальном уровне строится независимо от географического расположения составляющих компонентов сети.
    • Возможность разбиения одного широковещательного домена на несколько широковещательных доменов. То есть, широковещательный трафик одного домена не проходит в другой домен и наоборот. При этом уменьшается нагрузка на сетевые устройства.
    • Возможность обезопасить сеть от несанкционированного доступа. То есть, на канальном уровне кадры с других виланов будут отсекаться портом коммутатора независимо от того, с каким исходным IP-адресом инкапсулирован пакет в данный кадр.
    • Возможность применять политики на группу устройств, которые находятся в одном вилане.
    • Возможность использовать виртуальные интерфейсы для маршрутизации.

    Тэгированные и нетэгированные порты

    Когда порт должен уметь принимать или отдавать трафик из разных VLAN, то он должен находиться в тэгированном или транковом состоянии Понятия транкового порта и тэгированного порта одинаковые. Транковый или тэгированный порт может передавать как отдельно указанные VLAN, так и все VLAN по умолчанию, если не указано другое. Если порт нетэгирован, то он может передавать только один VLAN (родной). Если на порту не указано в каком он VLAN, то подразумевается, что он в нетэгированном состоянии в первом VLAN (VID 1).

    Разное оборудование настраивается по-разному в данном случае. Для одного оборудования нужно на физическом интерфейсе указать в каком состоянии находится этот интерфейс, а на другом в определенном VLAN необходимо указать какой порт как позиционируется – с тэгом или без тэга. И если необходимо, чтобы этот порт пропускал через себя несколько VLAN, то в каждом из этих VLAN нужно прописать данный порт с тэгом. Например, в коммутаторах Enterasys Networks мы должны указать в каком VLAN находится определенный порт и добавить этот порт в egress list этого VLAN для того, чтобы трафик мог проходить через этот порт. Если мы хотим чтобы через наш порт проходил трафик еще одного VLAN, то мы добавляем этот порт в egress list еще и этого VLAN. На оборудовании HP (например, коммутаторах ProCurve) мы в самом VLAN указываем какие порты могут пропускать трафик этого VLAN и добавляем состояние портов – тэгирован или нетегирован. Проще всего на оборудовании Cisco Systems. На таких коммутаторах мы просто указываем какие порты какими VLAN нетэгированы (находятся в режиме access) и какие порты находятся в тэгированном состоянии (находятся в режиме trunk).

    Для настройки портов в режим trunk созданы специальные протоколы. Один из таких имеет стандарт IEEE 802.1Q. Это международный стандарт, который поддерживается всеми производителями и чаще всего используется для настройки виртуальных сетей. Кроме того, разные производители могут иметь свои протоколы передачи данных. Например, Cisco создала для свого оборудования протокол ISL (Inter Switch Lisk).

    Межвиланная маршрутизация

    Что такое межвиланная маршрутизация? Это обычная маршрутизация подсетей. Разница только в том, что каждой подсети соответствует какой-то VLAN на втором уровне. Что это значит. Допустим у нас есть два VLAN: VID = 10 и VID = 20. На втором уровне эти VLAN осуществляют разбиение одной сети на две подсети. Хосты, которые находятся в этих подсетях не видят друг друга. То есть, трафик полностью изолирован. Для того, чтобы хосты могли взаимодействовать между собой, необходимо смаршрутизировать трафик этих VLAN. Для этого нам необходимо на третьем уровне каждому из VLAN присвоить интерфейс, то есть прикрепить к ним IP-адрес. Например, для VID = 10 IP address будет 10.0.10.1/24, а для VID = 20 IP address – 10.0.20.1/24. Эти адреса будет дальше выступать в роли шлюзов для выхода в другие подсети. Таким образом, мы можем трафик хостов с одного VLAN маршрутизировать в другой VLAN. Что дает нам маршрутизация VLAN по сравнению с простой маршрутизацией посетей без использования VLAN? А вот что.

    Если вам требуется или вы решили самостоятельно подключить роутер/модем от компании «Ростелеком» , если вам нужно подключить IPTV или услуги цифровой телефонии, то вы должны знать, что такое VLAN ID и как его найти.

    VLAN ID — это идентификационный 12-битный набор цифр, благодаря которому можно создавать многоуровневые виртуальные сети , обходя любые физические препятствия, как, например, географическое положение, передавать определённую информацию на нужные девайсы. Технология «ВиЛан» присутствует в устройствах, которые и обеспечивают создание одной общей сети. Если говорить простым языком, «ВиЛан» ID — это адрес, на который специальные устройства, распознающие его (коммутаторы), отправляют пакеты данных.

    Технология довольно удобная, имеет свои как преимущества, так и недостатки, используется компанией «Ростелеком» для передачи данных: например, для цифрового телевидения (IPTV). То есть, если вы самостоятельно решили подключиться или настроить IPTV, то вам необходимо знать идентификатор. Как можно догадаться, российская компания использует эти специальные наборы цифр для того, чтобы люди по общему «адресу» могли использовать свои модемы/роутеры для просмотра IPTV. То есть, этот «маяк» позволяет получать одинаковую информацию разным людям.

    Делается это не только для удобства и обхода физических границ. Идентификатор позволяет обезопасить доступ к различным виртуальным сетям. К примеру, отделить гостевые соединения от подключений предприятия или в случае с IPTV предоставить доступ только определённым пользователям.


    Тегирующий трафик

    Существуют тегированные и нетегированные порты. Это значит, что есть порты использующие теги, а есть не использующие. Нетегированный порт может передавать только личный VLAN, тегированный — может принимать и отдавать трафик из различных «маяков».

    Теги «прикрепляются» к трафику для того, чтобы сетевые коммутаторы могли опознавать его и принимать. Теги применяются и компанией «Ростелеком» .

    Самое интересное, что позволяют теги — компьютеры могут быть подключены к одному коммутатору (свитчу), получать сигнал Wi-Fi с одной точки. Но при этом они не будут видеть друг друга и получать не одинаковые данные, если принадлежат к разным «маячкам». Это благодаря тому, что для одного «ВиЛан» используются определённые теги, а другой может быть, вообще, нетегирующим и не пропускать этот трафик.

    Включить эту функцию

    Включить этот идентификатор нужно для того, чтобы устройства, принимающие информацию, могли её видеть. В противном случае вся зашифрованная информация не будет видна.

    Таким образом, стоит активировать VLAN для каждой конкретной услуги. Если он уже активирован, и делали это не вы, всё равно стоит знать свой «адрес».

    Как узнать свой ID?

    Если идентификатора у вас нет, а вам очень надо найти его как можно быстрее, то спросить можно у соседей по дому. Другой вариант — оставить заявку, позвонив на горячую линию «Ростелеком». После вашу заявку отправят в техническую поддержку региона, где известны ID-адреса вашего населённого пункта.

    Итак, теперь вы знаете, по какому принципу работает IPTV от Ростелекома. Также вам известно, для чего применяются теги, как узнать свой VLAN, и какую роль он играет.

    Что такое VLAN? Типы, преимущества, пример

    Что такое VLAN?

    VLAN — это пользовательская сеть, созданная из одной или нескольких локальных сетей. Он позволяет объединить группу устройств, доступных в нескольких сетях, в одну логическую сеть. В результате получается виртуальная локальная сеть, которая администрируется как физическая локальная сеть. Полная форма VLAN определяется как виртуальная локальная сеть.

    В приведенной ниже топологии показана сеть, в которой все узлы находятся в одной виртуальной локальной сети:

    сеть, в которой все хосты находятся в одной и той же VLAN

    Без VLAN широковещательная рассылка, отправленная с хоста, может легко достичь всех сетевых устройств.Каждое устройство будет обрабатывать широковещательно полученные кадры. Это может увеличить нагрузку на ЦП на каждом устройстве и снизить общую безопасность сети.

    В случае, если вы разместите интерфейсы на обоих коммутаторах в отдельных VLAN, широковещательная рассылка от хоста A может достигать только устройств, доступных внутри той же VLAN. Хосты VLAN даже не будут знать, что связь имела место. Это показано на рисунке ниже:


    Хост A может получить доступ только к устройствам, доступным в той же VLAN.

    VLAN в сети — это виртуальное расширение локальной сети.ЛВС — это группа компьютеров и периферийных устройств, которые подключены на ограниченной территории, такой как школа, лаборатория, дом или офисное здание. Это широко используемая сеть для обмена ресурсами, такими как файлы, принтеры, игры и другие приложения.

    Из этого руководства по виртуальной локальной сети вы узнаете:

    Как работает VLAN

    Вот пошаговое описание работы VLAN:

    • Сети VLAN в сети идентифицируются номером.
    • Допустимый диапазон: 1-4094.На коммутаторе VLAN вы назначаете порты с правильным номером VLAN.
    • Затем коммутатор разрешает передачу данных между различными портами, имеющими одну и ту же VLAN.
    • Поскольку почти все сети крупнее одного коммутатора, должен существовать способ передачи трафика между двумя коммутаторами.
    • Один простой и легкий способ сделать это — назначить порт на каждом сетевом коммутаторе с VLAN и проложить кабель между ними.

    Диапазоны VLAN

    Вот важные диапазоны VLAN:

    Диапазон Описание
    ВЛС 0-4095 Зарезервированная сеть VLAN, которую невозможно увидеть или использовать.
    ВЛС 1: Это VLAN коммутаторов по умолчанию. Вы не можете удалить или отредактировать эту VLAN, но ее можно использовать.
    ВЛС 2-1001: Это обычный диапазон VLAN. Вы можете создавать, редактировать и удалять его.
    ВЛС 1002-1005: Эти диапазоны являются значениями CISCO по умолчанию для Token Ring и FDDI. Вы не можете удалить эту VLAN.
    ВЛС 1006-4094: Расширенный диапазон VLAN.

    Пример VLAN

    В приведенном ниже примере имеется 6 хостов на 6 коммутаторах с разными VLAN.Вам нужно 6 портов для соединения коммутаторов вместе. Это означает, что если у вас есть 24 различных VLAN, у вас будет только 24 хоста на 45-портовых коммутаторах.

    Пример VLAN

    Характеристики VLAN

    Вот важные характеристики VLAN:

    • Виртуальные локальные сети предлагают структуру для создания групп устройств, даже если их сети разные.
    • Увеличивает количество широковещательных доменов в локальной сети.
    • Внедрение VLAN снижает риски безопасности, так как количество хостов, подключенных к широковещательному домену, уменьшается.
    • Это выполняется путем настройки отдельной виртуальной локальной сети только для хостов, имеющих конфиденциальную информацию.
    • Он имеет гибкую сетевую модель, которая группирует пользователей в зависимости от их отделов, а не местоположения в сети.
    • Изменить хосты/пользователей в VLAN относительно просто. Ему просто нужна новая конфигурация на уровне порта.
    • Это может уменьшить перегрузку за счет совместного использования трафика, поскольку отдельные виртуальные локальные сети работают как отдельные локальные сети.
    • Рабочая станция может использоваться с полной пропускной способностью на каждом порту.
    • Перераспределение терминалов стало проще.
    • VLAN может охватывать несколько коммутаторов.
    • Канал магистрали может передавать трафик для нескольких локальных сетей.

    Типы VLAN

    Вот важные типы VLAN

    Типы VLAN

    VLAN на основе портов

    Виртуальные локальные сети на основе портов группируют виртуальные локальные сети по портам. В этом типе виртуальной локальной сети порт коммутатора может быть настроен вручную как член VLAN.

    Устройства, подключенные к этому порту, будут принадлежать к одному и тому же широковещательному домену, потому что все остальные порты настроены с одинаковым номером VLAN.

    Проблема этого типа сети состоит в том, чтобы знать, какие порты подходят для каждой VLAN. Членство в VLAN нельзя узнать, просто взглянув на физический порт коммутатора. Вы можете определить это, проверив информацию о конфигурации.

    VLAN на основе протокола

    Этот тип VLAN обрабатывает трафик на основе протокола, который можно использовать для определения критериев фильтрации тегов, т.е. немаркированных пакетов.

    В этой виртуальной локальной сети протокол уровня 3 передается кадром для определения членства в VLAN.Он работает в многопротокольных средах. Этот метод нецелесообразен в сети, основанной преимущественно на IP.

    VLAN на базе MAC

    VLAN на базе MAC позволяет входящим нетегированным пакетам назначать виртуальную LAN и тем самым классифицировать трафик в зависимости от адреса источника пакета. Вы определяете сопоставление MAC-адреса с VLAN, настроив сопоставление записи в MAC-адресе с таблицей VLAN.

    Эта запись указывается с использованием исходного Mac-адреса и правильного идентификатора VLAN. Конфигурации таблиц являются общими для всех портов устройств.

    Разница между LAN и VLAN

    Вот важное различие между LAN и VLAN:

    ЛВС ВЛС
    ЛВС можно определить как группу компьютеров и периферийных устройств, которые подключены на ограниченной территории. VLAN можно определить как пользовательскую сеть, созданную из одной или нескольких локальных сетей.
    Полная форма LAN — локальная сеть Полная форма VLAN — виртуальная локальная сеть.
    Высокая задержка локальной сети. Задержка VLAN меньше.
    Стоимость локальной сети высока. Стоимость VLAN меньше.
    В локальной сети сетевой пакет сообщается каждому устройству. В VLAN сетевой пакет отправляется только в определенный широковещательный домен.
    Он использует кольцо, а FDDI (Fiber Distributed Data Interface) — это протокол. В качестве протокола используется ISP и VTP.

    Преимущества VLAN

    Вот важные плюсы/преимущества VLAN:

    • Решает проблему с широковещательной рассылкой.
    • VLAN уменьшает размер широковещательных доменов.
    • VLAN позволяет добавить дополнительный уровень безопасности.
    • Это может сделать управление устройством простым и легким.
    • Вы можете сделать логическую группировку устройств по функциям, а не по расположению.
    • Позволяет создавать группы логически связанных устройств, которые действуют так, как будто они находятся в своей собственной сети.
    • Вы можете логически сегментировать сети на основе отделов, проектных групп или функций.
    • VLAN помогает вам географически структурировать вашу сеть для поддержки растущих компаний.
    • Более высокая производительность и уменьшенная задержка.
    • Сети
    • VLAN обеспечивают повышенную производительность.
    • Пользователи могут работать с конфиденциальной информацией, которую другие пользователи не должны просматривать.
    • VLAN удаляет физическую границу.
    • Позволяет легко сегментировать сеть.
    • Помогает повысить безопасность сети.
    • Вы можете разделить хосты с помощью VLAN.
    • Вам не требуется дополнительное оборудование и кабели, что позволяет сократить расходы.
    • Имеет эксплуатационные преимущества из-за изменения IP-подсети пользователя в программном обеспечении.
    • Уменьшает количество устройств для определенной топологии сети.
    • VLAN упрощает управление физическими устройствами.

    Недостатки VLAN

    Вот важные минусы/недостатки VLAN:

    • Пакет может просачиваться из одной VLAN в другую.
    • Внедренный пакет может привести к кибератаке.
    • Угроза в одной системе может распространить вирус по всей логической сети.
    • Для управления нагрузкой в ​​больших сетях требуется дополнительный маршрутизатор.
    • Вы можете столкнуться с проблемами совместимости.
    • VLAN не может пересылать сетевой трафик в другие VLAN.

    Применение/назначение VLAN

    Вот важные области применения VLAN:

    • VLAN используется, когда в вашей локальной сети более 200 устройств.
    • Это полезно, когда у вас много трафика в локальной сети.
    • VLAN идеально подходит, когда группе пользователей требуется более высокий уровень безопасности или замедление из-за большого количества широковещательных передач.
    • Используется, когда пользователи не находятся в одном широковещательном домене.
    • Превратить один коммутатор в несколько коммутаторов.

    Сводка:

    • VLAN определяется как пользовательская сеть, созданная из одной или нескольких локальных сетей.
    • VLAN в сети идентифицируются номером.
    • Допустимый диапазон: 1-4094. На коммутаторе VLAN вы назначаете порты с правильным номером VLAN.
    • Виртуальные локальные сети
    • предлагают структуру для создания групп устройств, даже если их сети разные.
    • Основное различие между LAN и VLAN заключается в том, что в LAN сетевой пакет объявляется каждому устройству, тогда как в VLAN сетевой пакет отправляется только в определенный широковещательный домен.
    • Основное преимущество VLAN заключается в том, что он уменьшает размер широковещательных доменов.
    • Недостатком VLAN является то, что внедренный пакет может привести к кибератаке.
    • VLAN используется, когда в вашей локальной сети более 200 устройств.

    Что такое VLAN? Объяснение виртуальных локальных сетей

    VLAN означает виртуальную локальную сеть, и они используются для сегментации локальных сетей методами, отличными от их физического местоположения. Эти пользовательские сети не обязательно должны находиться в одной локальной сети, их можно изолировать в одну логическую сеть, а затем рассматривать как единую конфигурацию, а не как отдельные части.

     

    Почему компании используют VLAN?

     

    Основным вариантом использования VLAN является безопасность. С помощью технологии VLAN вы можете разделить пользователей по их собственной сети, изолировав определенное количество портов от коммутатора и поместив их в свою собственную группу. Все это делается виртуально, исключая необходимость вручную и физически внедрять новое оборудование или перемещать какие-либо соединения и устройства.

     

    С помощью VLAN можно создавать отдельные сети для определенных типов пользователей, ролей или требований к доступу и эффективно изолировать трафик от одной сети к другой точно так же, как если бы сети VLAN находились в разных локальных сетях.Обратное преимущество заключается в том, что команды могут использовать одну и ту же VLAN, даже если они распределены, а также совместно использовать полосу пропускания и легко сотрудничать в разных местах.

     

    Это также косвенно влияет на стоимость. Когда вы покупаете оборудование для своих клиентов или для собственного бизнеса, к каждому коммутатору будет привязана денежная стоимость, которая влияет на вашу прибыль. В результате большинство предприятий хотят покупать коммутаторы с наибольшим количеством подключенных портов, чтобы большинство пользователей могли воспользоваться преимуществами оборудования.Вместо того, чтобы покупать 12-портовый коммутатор, они покупают коммутатор на 24 или 48 портов. Однако всем пользователям, которым требуется повышенная безопасность или изоляция, например тем, кто работает в финансовой сфере или с конфиденциальной информацией о клиентах, потребуется собственный коммутатор, а оставшиеся порты просто пропадут.

     

    Каковы основные преимущества использования VLAN?

     

    Многие думают, что вам нужно быть компанией крупного масштаба, прежде чем рассматривать возможность использования VLAN, но на самом деле это не так.Даже малому бизнесу может быть полезно иметь по крайней мере одну VLAN для гостевых пользователей, чтобы гарантировать, что конфиденциальная информация не будет доступна внешним пользователям. Взгляните на некоторые из основных дополнительных преимуществ ниже и посмотрите, решают ли какие-либо из них проблемы, с которыми вы или ваши клиенты MSP можете столкнуться.

     

    Сегментация: Если такой дорогостоящий проект, как микросегментация, не подходит для ваших нужд, виртуальные локальные сети — это более простой способ сегментировать вашу сеть в целях безопасности или эффективности.Вы можете выбирать пользователей по любым причинам, таким как тот же отдел, одна и та же роль или один и тот же доступ безопасности.

     

    Гибкость: VLAN — относительно простая в управлении технология. Вам нужно убедиться, что ваши коммутаторы поддерживают использование VLAN, но после этого вы можете вносить изменения из консоли управления коммутатором в Интернете, включая добавление или изменение сетевых требований для VLAN в режиме реального времени.

     

    Производительность: Поскольку трафик каждой изолированной логической сети изолирован и может проходить только внутри сети, это высвобождает полосу пропускания в вашей среде, разделяя большие широковещательные домены на более управляемые для сети.

     

    Безопасность. Виртуальные локальные сети — это разумный способ обеспечения безопасности и соответствия нормативным требованиям, с виртуальными «стенами» между сообщениями, которые для приема должны проходить через маршрутизатор. Любые меры безопасности, удобные для маршрутизатора, будут работать с технологией VLAN, и они также могут помочь вам доказать соответствие требованиям в случае аудита.

     

    VLAN и LAN

     

    По сравнению с локальными сетями, VLAN можно создавать с меньшими затратами, с более ограниченным бюджетом, а также повысить безопасность, эффективность и контроль в том, как вы работаете.Сетевой пакет будет отправлен только в очень определенный широковещательный домен, тогда как в локальной сети он доступен всем. Пока LAN работает по протоколу FDDI, VLAN будет использовать ISP и VTP. VLAN определенно упростит работу с физическими устройствами без необходимости в дополнительном оборудовании и кабелях.

     

    Недостатки использования VLAN

     

    Однако важно понимать, что использование VLAN также имеет некоторые недостатки. Используйте этот контрольный список, чтобы убедиться, что вы защитили свои базы от:

     

    Совместимость: Если две VLAN должны иметь возможность взаимодействовать друг с другом, это может быть проблемой.Им нужно будет общаться через устройство уровня 3, например маршрутизатор, и в некоторых случаях разные поставщики не разрешают оборудованию общаться друг с другом. У Cisco есть несколько отличных советов по обмену данными между VLAN.

     

    Кибербезопасность: VLAN не защищены от кибератак. Пакеты данных могут просачиваться из одной VLAN в другую, и пакеты могут внедряться точно так же, как и другие вредоносные программы. Поскольку виртуальная локальная сеть подключена к разным местам, одна компрометация может поставить под угрозу всю виртуальную локальную сеть.

     

    Трафик: Помните, что виртуальная локальная сеть на самом деле не уменьшает ваш трафик, а только изолирует его, чтобы помочь с пропускной способностью или производительностью. Это похоже на добавление дополнительных переключателей без необходимости добавления оборудования.

     

    Масштаб: Максимальное количество VLAN в сети Ethernet равно 4096. Есть несколько новаторских идей по увеличению числа, которые вы можете использовать, но они требуют немного больше технических знаний и ручной работы. 4096 вполне может хватить, но это важно учитывать на этапе проектирования.

     

    Нарушение работы: VLAN — отличное решение, но их не совсем просто настроить, и потребуется некоторое время администратора, на что может уйти несколько месяцев. Например, вам нужно будет отправить запросы на изменение брандмауэра и получить их подпись, и может быть некоторое время простоя приложений, когда VLAN будут введены в действие.

     

    Изоляция сетевого трафика с помощью VLAN — отличная идея для ограничения неиспользуемых портов и получения большей отдачи от затрат на оборудование, а также для повышения безопасности, производительности и гибкости в среде вашего клиента или в вашей собственной.Хотите больше информации? Это видео от Practical Networking — отличный обзор, и вы можете связаться с нами в Atera в любое время, чтобы поговорить с одним из наших технических гуру!

    Что такое VLAN (виртуальная локальная сеть)? — Глоссарий ИТ

    В чем разница между LAN и VLAN?

    LAN: Локальная вычислительная сеть (LAN) — это набор устройств или систем, соединенных кабелями для обмена важными для бизнеса данными из одной системы в другую.Локальная сеть ограничена определенной географической областью, такой как здание, этаж и т. д. Эта экономичная сетевая система использует кабели и сетевые устройства для поддержания соединения. Локальная сеть управляется централизованно и позволяет вам обмениваться данными и ресурсами, такими как файлы, приложения и принтеры, с вашей командой.

     

    Для работы локальных сетей требуются определенные компоненты, такие как интерфейс или конечные точки, соединения, протоколы и сетевые устройства.

     

    • Конечные точки в сети необходимы для отправки и получения данных.Этими конечными точками могут быть компьютеры или другие электронные устройства.

    • Соединения облегчают передачу данных с одного устройства на другое. NIC и сетевые устройства, такие как кабели и беспроводные носители, являются некоторыми примерами взаимосвязей, которые могут передавать сигналы. Роль этих взаимосвязей заключается в преобразовании данных в определенный формат, чтобы их можно было передавать по локальной сети.

    • Такие протоколы, как ARP, IP и DHCP, необходимы для управления передачей данных по локальной сети.

    • Сетевые устройства, такие как концентраторы, коммутаторы и маршрутизаторы, используются для объединения конечных точек с сегментами локальной сети.

     

    Виртуальная локальная сеть: Логическое разделение локальной сети (ЛВС) на несколько сегментов в пределах одной полосы пропускания. Одним из значительных преимуществ использования этой сети является ее настраиваемость. Это помогает устранить необходимость установки нескольких коммутаторов для подключения к подсетям, тем самым увеличивая пропускную способность. Эта сетевая система использует порты коммутатора для своей реализации.Существует два способа создания виртуальной локальной сети: статический и динамический.

     

    Статический: Для этого создания сети требуется, чтобы виртуальные локальные сети подключались к порту вручную. Это самый безопасный способ создания виртуального соединения, так как конфигурации не могут быть изменены без разрешения администратора.

     

    Динамический: Для динамического создания требуется программное обеспечение или интеллектуальные инструменты для автоматического назначения виртуальной локальной сети порту.

    Что такое VLAN? — Определение, функция и реализация — Видео и стенограмма урока

    Switch & Broadcast Domains

    Коммутатор — это физическое сетевое устройство, которое соединяет несколько хостов в локальной сети (LAN), таких как наши компьютеры, ноутбуки, планшеты и т. д.Коммутатор помогает направлять данные туда и обратно между хостами. Коммутатор имеет множество портов в зависимости от его моделей и производителей, и каждый порт обслуживает одно хост-устройство в локальной сети.

    Интерфейс — это логическое соединение и конфигурация порта коммутатора, помогающие в обмене данными. Например, когда хост-система работает с одним портом коммутатора через кабель Ethernet, этот канал связи можно назвать интерфейсом.

    VLAN настраиваются на коммутаторе путем размещения нескольких интерфейсов (например, тегов) в одном широковещательном домене.Одна VLAN может распространяться по разным коммутаторам, но оставаться в одной подсети или широковещательном домене. VLAN похожи на физические LAN. Разница в том, что он позволяет группировать хост-устройства, даже если они находятся на разных коммутаторах.

    Широковещательный домен в коммутаторе относится к домену, который получает широковещательные сообщения. Широковещательная передача сообщения означает отправку его на все подключенные хост-устройства, которые являются частью этого домена. По умолчанию все порты сгруппированы в общий широковещательный домен в коммутаторе или концентраторе.Вот почему коммутатор рассылает (отправляет) сообщение, полученное с одного порта, на все остальные подключенные порты. Таким образом, все хосты, подключенные к этим портам, получают одно и то же сообщение. Этот процесс называется затоплением.

    Теперь рассмотрим пример широковещательного домена в коммутаторе:

    Представьте, что коммутатор имеет восемь портов и к этим портам подключено восемь разных хостов. Если широковещательное сообщение достигает коммутатора с одного из этих хостов, коммутатор пересылает его всем остальным семи хостам, поскольку они являются частью общего широковещательного домена, настроенного на заводе.

    Напротив, порты маршрутизатора не находятся в общем широковещательном домене. Он обрабатывает каждый порт отдельно.

    Рисунок 1: Широковещательные домены в коммутаторах

    На диаграмме, которая только что появилась на вашем экране, есть два коммутатора и два широковещательных домена. К коммутатору 1 подключено три хоста, и все три хоста используют один и тот же широковещательный домен. Точно так же все три хост-системы коммутатора 2 принадлежат к общему широковещательному домену.

    Функции VLAN

    Вот некоторые из различных функций VLAN:

    1. Виртуальные LAN предоставляют механизмы для создания логических групп конечных устройств, хотя они и находятся в разных сетях.
    2. Виртуальные локальные сети
    3. увеличивают количество широковещательных доменов, возможных в локальной сети, путем группирования различных хостов со схожими функциями.
    4. Внедрение VLAN значительно снижает риски безопасности, поскольку количество хостов, подключенных к широковещательному домену, уменьшается.Это делается путем настройки отдельной VLAN только для хостов с конфиденциальной информацией.
    5. VLAN предлагает гибкие сетевые модели, которые группируют разных пользователей на основе их отделов (т. е. их работы и функций), а не только физического местоположения этой сети.
    6. Менять пользователей и хосты в VLAN очень просто. Все, что ему нужно, это новая конфигурация уровня порта. Если пользователь хочет перейти из одной VLAN в другую, необходимо настроить новый порт в нужной VLAN.

    Базовая реализация VLAN

    Давайте разберемся с VLAN и ее реализацией на реальном примере.

    • Международная компания имеет два филиала в двух разных физических местах (филиал A и филиал B). Оба филиала связаны друг с другом через частную сеть LAN.
    • В каждом филиале есть четыре отдельных отдела: производственный, исследовательский, административный и кадровый (HR).
    • Все эти отделы имеют свои подсистемы и распределены по обеим ветвям следующим образом:

    Филиал A предназначен для производственного отдела, поэтому в нем есть две системы для производства, одна система для исследований, одна для отдела кадров и одна для администратора.

    Аналогично, Филиал B посвящен Исследовательскому отделу, поэтому у него есть две системы для Исследовательской работы и одна система для Производства; один для отдела кадров и один для администратора.

    Прямо сейчас на вашем экране появляется таблица, отображающая представление данных в табличном формате для каждого филиала и количество систем в них.

    Название филиала Производственные системы Исследовательские системы Системы администрирования Кадровые системы
    Филиал А 2 1 1 1
    Филиал Б 1 2 1 1
    Рис. 2. Режим коммутатора по умолчанию до настройки VLAN

    Отделы кадров и администрирования имеют конфиденциальные данные (например, сведения о других сотрудниках и финансовую информацию), и их необходимо изолировать от данных и доступа отделов производства и исследований.

    В конфигурации по умолчанию все порты коммутатора находятся в одном широковещательном домене. Таким образом, пользователи Производственного и Исследовательского отделов каждого филиала могут получить доступ к данным, хранящимся в HR и Admin системах, поскольку они являются частью одних и тех же широковещательных доменов.

    С помощью VLAN можно установить логические границы в этой LAN. Для предыдущего сценария можно создать четыре VLAN, которые можно назначить связанным системам следующим образом:

    • VLAN для производственного отдела
    • VLAN для исследовательского отдела
    • VLAN для отдела кадров
    • VLAN для административного отдела

    Физические конфигурации не изменились, но мы логически сгруппировали системы на основе их функций и ролей.Виртуальным локальным сетям теперь требуется маршрутизатор для связи между виртуальными локальными сетями, поскольку каждая виртуальная локальная сеть сама по себе является отдельной локальной сетью. Маршрутизатор поставляется с расширенными функциями безопасности.

    Используя VLAN, мы фактически разделили одну большую локальную сеть (LAN) на четыре меньшие системы. Эти четыре VLAN никогда не совместно используют широковещательное сообщение, поскольку каждая VLAN находится в разных широковещательных доменах. Таким образом, VLAN повышает безопасность сети. Теперь пользователи производственного и исследовательского отделов не смогут получить прямой доступ к данным в отделах кадров и администрации.

    Таблица, появляющаяся сейчас на вашем экране, показывает общее количество систем для обеих ветвей, так как теперь они являются частью одной VLAN.

    Производственные системы — VLAN1 HR Системы-VLAN2 Системы администрирования-VLAN3 Исследовательские системы — VLAN4
    3 2 2 3
    Рис. 3. Конфигурация VLAN на коммутаторах

    Итоги урока

    Хорошо, давайте на минутку повторим то, что мы узнали.Виртуальная локальная сеть (VLAN) — это логическое разделение компьютерных систем в LAN (локальной сети), которые подключены к коммутатору в зависимости от их функций. Виртуальные локальные сети реализованы для повышения безопасности между различными отделами, а также для упрощения настройки. По умолчанию хост-системы на коммутаторе находятся в одном широковещательном домене, но VLAN разделяет их на разные широковещательные домены. В частности, виртуальные локальные сети настраиваются на коммутаторе путем размещения нескольких интерфейсов, таких как теги, в одном широковещательном домене, где интерфейс является логическим соединением и конфигурацией порта коммутатора, который помогает в общении, а широковещательный домен является доменом. который получает широковещательные сообщения.

    VLAN (виртуальная локальная сеть)

    VLAN (виртуальная локальная сеть) — это логическая локальная сеть (или LAN), которая выходит за рамки одной традиционной LAN и включает группу сегментов LAN с учетом определенных конфигураций. Поскольку VLAN является логическим объектом, ее создание и настройка полностью выполняются в программном обеспечении.

    Как определяется VLAN?

    Поскольку виртуальная локальная сеть представляет собой программную концепцию, идентификаторы и конфигурации для виртуальной локальной сети должны быть правильно подготовлены, чтобы она функционировала должным образом.Раскрашивание кадров — это процесс, используемый для обеспечения правильной идентификации и обработки членов или групп VLAN. При раскрашивании кадров пакетам присваивается правильный идентификатор VLAN в их источнике, чтобы они могли правильно обрабатываться при прохождении через сеть. Затем идентификатор VLAN позволяет модулям коммутации и маршрутизации принимать соответствующие решения, как определено в конфигурации VLAN.

    Зачем использовать VLAN?

    Традиционные сетевые схемы используют маршрутизаторы для создания широковещательных доменов и ограничения широковещательной рассылки между несколькими подсетями.Это предотвращает потребление ресурсов широковещательными потоками в более крупных сетях или непреднамеренные отказы в обслуживании без необходимости. К сожалению, традиционная методология проектирования сетей имеет некоторые недостатки.

    • Географический фокус. Традиционные сетевые проекты ориентированы на физическое расположение оборудования и персонала для адресации и размещения сегментов LAN. Из-за этого есть несколько существенных недостатков:
    • Сегменты сети для физически разрозненных организаций не могут быть частью одного и того же адресного пространства.Каждое физическое местоположение должно быть адресовано независимо и быть частью собственного широковещательного домена. Это может привести к тому, что персонал будет находиться в центральном расположении или иметь дополнительные задержки или проблемы с подключением.
    • Перемещение персонала и отделов может стать затруднительным, особенно если в исходном местоположении сохраняются сегменты сети. Перемещенное оборудование необходимо будет переконфигурировать в соответствии с новой конфигурацией сети.

    Решение VLAN может устранить оба этих недостатка, позволяя одному и тому же широковещательному домену выходить за пределы одного сегмента.

    • Использование дополнительной пропускной способности. Традиционные сетевые схемы требуют дополнительной пропускной способности, поскольку пакеты должны проходить через несколько уровней сетевого подключения, поскольку сеть сегментирована.

    Надлежащая структура VLAN может гарантировать, что только устройства, для которых определена эта VLAN, будут получать и пересылать пакеты, предназначенные в качестве источника или назначения сетевого потока.

    Типы VLAN

    В настоящее время возможно только два типа VLAN: VLAN на основе ячеек и VLAN на основе кадров.

    • Сети VLAN на основе ячеек используются в коммутируемых сетях ATM с эмуляцией LAN (или LANE). LANE позволяет хостам в традиционных сегментах LAN обмениваться данными с использованием сетей ATM без необходимости использования специального аппаратного или программного обеспечения.
    • Виртуальные локальные сети на основе кадров используются в сетях Ethernet с тегированием кадров. Двумя основными типами маркировки кадров являются IEEE 802.10 и ISL (Inter Switch Link — это проприетарная маркировка кадров Cisco). Имейте в виду, что стандарт 802.10 позволяет развертывать VLAN с 802.3 (Ethernet), 802.5 (Token-Ring) и FDDI, но чаще всего используется Ethernet.

    Режимы VLAN

    Существует три различных режима, в которых можно настроить VLAN. Эти режимы описаны ниже:

    • Режим коммутации VLAN — VLAN образует коммутационный мост, в котором кадры пересылаются без изменений.
    • Режим трансляции VLAN — режим трансляции VLAN используется, когда метод маркировки кадров изменяется в сетевом пути или если кадр проходит из группы VLAN в традиционный или собственный интерфейс, который не настроен в VLAN.Когда пакету необходимо пройти через собственный интерфейс, тег VLAN удаляется, чтобы пакет мог правильно пройти через собственный интерфейс.
    • Режим маршрутизации VLAN — когда пакет направляется из одной VLAN в другую VLAN, используйте режим маршрутизации VLAN. Пакет модифицируется, как правило, маршрутизатором, который устанавливает свой MAC-адрес в качестве источника и изменяет VLAN ID пакета.

    Конфигурации VLAN

    Разные производители оборудования используют разную терминологию, когда речь идет о VLAN.В результате часто возникает путаница во время реализации. Ниже приведены некоторые подробности и несколько примеров, которые помогут определить VLAN, чтобы не возникало путаницы.

    Терминология Cisco VLAN

    Пользователям требуется несколько сведений для определения VLAN на большинстве оборудования Cisco. К сожалению, поскольку Cisco иногда приобретает технологии, которые она использует, чтобы наполнить свои линейки продуктов для коммутации, маршрутизации и безопасности, соглашения об именах не всегда совпадают. В этой статье рассматривается только одна линейка продуктов Cisco для коммутации и маршрутизации, работающая под управлением Cisco IOS.

    • Идентификатор VLAN. Идентификатор VLAN — это уникальное значение, присваиваемое каждой сети VLAN на одном устройстве. Для устройства маршрутизации или коммутации Cisco, работающего под управлением IOS, диапазон составляет от 1 до 4096. При определении VLAN обычно используется синтаксис «vlan x», где x — это число, которое пользователь хотел бы присвоить идентификатору VLAN. VLAN 1 зарезервирована как административная VLAN. Если технологии VLAN включены, все порты по умолчанию являются членами VLAN 1.
    • Имя VLAN — имя VLAN представляет собой текстовое имя, используемое для идентификации VLAN, возможно, чтобы помочь техническому персоналу понять ее функции.Используемая строка может иметь длину от 1 до 32 символов.
    • Частная VLAN — укажите, должна ли VLAN быть частной VLAN в определении VLAN и какие другие VLAN могут быть связаны с ней в разделе определения. Когда сеть Cisco VLAN настроена как частная сеть vlan, это означает, что порты, являющиеся членами сети VLAN, по умолчанию не могут напрямую взаимодействовать друг с другом. Обычно все порты, являющиеся членами VLAN, могут взаимодействовать друг с другом напрямую, как если бы они были членами стандартного сегмента сети.Частные вланы создаются для повышения безопасности в сети, где хосты, сосуществующие в сети, не могут или не должны доверять друг другу. Это обычная практика для использования на веб-фермах или в других средах с высоким риском, где нет необходимости в обмене данными между хостами в одной подсети. Пользователь должен ознакомиться с документацией Cisco, если у него есть вопросы о настройке и развертывании частных VLAN.
    • режимов VLAN — в Cisco IOS интерфейс может работать только в двух режимах: «режим доступа» и «режим транка».” Режим доступа предназначен для конечных устройств или устройств, которым не требуется несколько VLAN. Режим магистрали используется для передачи нескольких VLAN другим сетевым устройствам или для конечных устройств, которым необходимо иметь членство в нескольких VLAN одновременно. Если вам интересно, какой режим использовать, используйте «режим доступа».

    Реализации Cisco VLAN

    Определение VLAN

    Чтобы определить VLAN на устройстве Cisco, пользователю необходим идентификатор VLAN, имя VLAN, порты для участия в VLAN и тип принадлежности порта к VLAN.

    • Шаг 1. Войдите в соответствующий маршрутизатор или коммутатор и войдите в режим включения.
    • Шаг 2. Войдите в режим конфигурации, используя «conf t.»
    • Шаг 3. Создайте VLAN, введя «vlan X», где X — это идентификатор, который пользователь хотел бы назначить VLAN.
    • Шаг 4. Назовите VLAN, введя «имя». Замените на строку, с которой будет идентифицироваться VLAN.
    • Шаг 5. Чтобы новая VLAN была частной vlan, введите «private-vlan primary» и «private-vlan Association Y», где Y — это вторичная VLAN, которая должна быть связана с первичной vlan.Чтобы частная VLAN была основана на сообществе, вместо этого введите «private-vlan community».
    • Шаг 6. Введите «конец», чтобы выйти из режима настройки
    • Шаг 7. Сохраните конфигурацию в памяти, введя «wr mem», и при необходимости в сеть, используя «wr net». Пользователю может потребоваться предоставить дополнительную информацию для записи конфигураций в сеть в зависимости от конфигурации устройства.

    Теперь пользователь создал виртуальную локальную сеть, назначив ей идентификатор и имя. На данный момент у VLAN нет специальной конфигурации для обработки IP-трафика, а также нет портов, которые являются членами VLAN.В следующем разделе описывается, как выполнить настройку vlan.

    Конфигурация VLAN

    VLAN бесполезна, если ей не назначен IP-адрес, сетевая маска подсети и принадлежность к порту. В обычных конфигурациях сетевых сегментов на маршрутизаторах отдельным интерфейсам или группам интерфейсов (называемым каналами) назначаются IP-адреса. При использовании VLAN отдельные интерфейсы являются членами VLAN, не имеют индивидуальных IP-адресов и, как правило, к ним не применяются списки доступа.Эти функции обычно зарезервированы для интерфейсов VLAN. Следующие шаги подробно описывают один метод создания и настройки интерфейса VLAN. ПРИМЕЧАНИЕ. Эти шаги уже предполагают, что пользователь вошел в маршрутизатор, перешел в режим включения и вошел в режим настройки. Эти конкретные примеры основаны на устройствах Cisco серии 6500.

    • Шаг 1. Введите «Interface VlanX», где X — это идентификатор VLAN, используемый в приведенном выше определении VLAN.
    • Шаг 2. Этот шаг не является обязательным.Введите «описание VLAN», где описание VLAN указывает, для чего будет использоваться VLAN. Просто повторно используйте имя VLAN, использованное выше, если это необходимо.
    • Шаг 3. Введите «ip-адрес
      », где
      — это адрес, который вы хотите назначить этому устройству в VLAN, и маска сети для подсети, которую вы назначили для VLAN.
    • Шаг 4. Этот шаг не является обязательным. Создайте и примените список доступа к VLAN для управления входящим и исходящим доступом. Для стандартного списка доступа введите «access-group XXX in» и «access-group YYY out», где XXX и YYY соответствуют ранее настроенным спискам доступа.Помните, что термины относятся к конкретной подсети или интерфейсу, поэтому «вход» означает из VLAN В маршрутизатор, а «выход» означает из маршрутизатора OUT в VLAN.
    • Шаг 5. Этот шаг не является обязательным. Введите сопоставление частной VLAN, которое будет использоваться, если порт является частью частной VLAN. Это должна быть та же вторичная VLAN, которая связана с первичной VLAN в приведенном выше определении VLAN. Введите «private-vlan mapping XX», где XX — это идентификатор VLAN вторичной VLAN, которая будет связана с этой VLAN.
    • Шаг 6. Этот шаг не является обязательным. Настройте HSRP и любые другие базовые конфигурации интерфейса, обычно используемые для устройства Cisco.
    • Шаг 7. Введите «end», чтобы выйти из режима настройки.
    • Шаг 8. Сохраните конфигурацию в памяти, введя «wr mem», и при необходимости в сеть, используя «wr net». Пользователю может потребоваться предоставить дополнительную информацию для записи конфигураций в сеть в зависимости от конфигурации устройства.

    Теперь виртуальная локальная сеть определена и настроена, но ни один из физических портов не является членом виртуальной локальной сети, поэтому виртуальная локальная сеть по-прежнему не очень полезна.Описывается членство следующего порта в VLAN. Устройства IOS описывают интерфейсы на основе технологии и номера порта, например, «FastEthernet3/1» или «GigabitEthernet8/16». Как только пользователь определит, какие физические порты он хочет сделать членами VLAN, выполните следующие действия для его настройки. ПРИМЕЧАНИЕ. Эти шаги уже предполагают, что пользователь вошел в маршрутизатор, перешел в режим включения и вошел в режим настройки.

    Для портов доступа

    • Шаг 1 — Введите «Интерфейс», где имя, присвоенное Cisco интерфейсу, который будет связан с VLAN.
    • Шаг 2. Этот шаг не является обязательным. Введите «описание», где текст описывает систему, подключенную к рассматриваемому интерфейсу. Обычно бывает полезно указать DNS-имя хоста, IP-адрес, порт удаленной системы и его функцию.
    • Шаг 3. Этот шаг зависит от оборудования, версии IOS и требований. Введите «switchport», если интерфейс должен действовать как порт коммутатора. Некоторое оборудование не поддерживает режим switchport и может использоваться только как порт маршрутизатора.Пользователь должен проверить документацию, если он/она не знает разницы между портом маршрутизатора и портом коммутатора.
    • Шаг 4. Используйте этот шаг, только если использовался шаг 3 выше. Введите «switchport access vlan X», где X — это идентификатор VLAN, членом которой должен быть порт.
    • Шаг 5. Используйте этот шаг, только если использовался шаг 3 выше. Введите «switchport mode access», чтобы сообщить порту, что его следует использовать в качестве порта доступа.
    • Шаг 6. Введите «end», чтобы выйти из режима настройки.
    • Шаг 7. Сохраните конфигурацию в памяти, введя «wr mem», и при необходимости в сеть, используя «wr net». Пользователю может потребоваться предоставить дополнительную информацию для записи конфигураций в сеть в зависимости от конфигурации устройства.

    Для магистральных портов

    • Шаг 1 — Введите «Интерфейс», где это имя, которое Cisco присвоила интерфейсу, который будет связан с VLAN.
    • Шаг 2. Этот шаг не является обязательным. Введите «описание», где текст, описывающий систему, подключенную к рассматриваемому интерфейсу.Обычно бывает полезно указать DNS-имя хоста, IP-адрес, порт удаленной системы и его функцию.
    • Шаг 3. Этот шаг зависит от оборудования, версии IOS и требований. Введите «switchport», если интерфейс должен действовать как порт коммутатора. Некоторое оборудование не поддерживает режим switchport и может использоваться только как порт маршрутизатора. Пользователь должен проверить документацию, если он/она не знает разницы между портом маршрутизатора и портом коммутатора.
    • Шаг 4. Используйте этот шаг, только если использовался шаг 3 выше.Введите «инкапсуляция магистрали коммутатора dot1q». Это говорит VLAN использовать инкапсуляцию dot1q для VLAN, которая является отраслевым стандартом инкапсуляции для транкинга. Существуют и другие варианты инкапсуляции, но некоторое оборудование может не работать с оборудованием сторонних производителей.
    • Шаг 5. Используйте этот шаг, только если использовался шаг 3 выше. Введите «Switchport Trunk Allowed vlan XX, YY, ZZ», где XX, YY и ZZ — это VLAN, которые должен включать магистраль. Определите одну или несколько VLAN, которые будут разрешены в магистрали.
    • Шаг 6. Используйте этот шаг, только если использовался шаг 3 выше.Введите «транк в режиме переключателя», чтобы указать порту работать как транк VLAN, а не как порт доступа.
    • Шаг 7. Введите «end», чтобы выйти из режима настройки.
    • Шаг 8. Сохраните конфигурацию в памяти, введя «wr mem», и при необходимости в сеть, используя «wr net». Пользователю может потребоваться предоставить дополнительную информацию для записи конфигураций в сеть в зависимости от конфигурации устройства.

    Для частных портов VLAN

    • Шаг 1 — Введите «Интерфейс», где это имя, которое Cisco присвоила интерфейсу, который будет связан с VLAN.
    • Шаг 2. Этот шаг не является обязательным. Введите «описание», где текст, описывающий систему, подключенную к рассматриваемому интерфейсу. Обычно бывает полезно указать DNS-имя хоста, IP-адрес, порт удаленной системы и его функцию.
    • Шаг 3. Этот шаг зависит от оборудования, версии IOS и требований. Введите «switchport», если интерфейс должен действовать как порт коммутатора. Некоторое оборудование не поддерживает режим switchport и может использоваться только как порт маршрутизатора.Пользователь должен проверить документацию, если он/она не знает разницы между портом маршрутизатора и портом коммутатора.
    • Шаг 4. Введите «ассоциация хоста приватной vlan коммутатора XX YY», где XX — это первичная VLAN, которую нужно назначить, YY — это вторичная VLAN, которую нужно с ней связать.
    • Шаг 5. Введите «host private-vlan в режиме switchport», чтобы заставить порт работать как private-vlan в режиме хоста.
    • Шаг 6. Введите «end», чтобы выйти из режима настройки.
    • Шаг 7 — Сохраните конфигурацию в памяти, введя «wr mem», и в сеть, если необходимо, с помощью «wr net.” Пользователю может потребоваться предоставить дополнительную информацию для записи конфигураций в сеть в зависимости от конфигурации устройства.

    Теперь VLAN должна быть правильно реализована на устройстве Cisco IOS.

    Терминология HP VLAN

    Линейка распределительных устройств HP Procurve становится все более распространенной на предприятиях и в других бизнес-средах. В результате часто приходится интегрировать оборудование Cisco и Procurve, что является проблемой из-за терминологии. Ниже даны определения некоторых терминов VLAN, чтобы избежать путаницы.

    • Идентификатор VLAN. К счастью, идентификаторы VLAN практически везде одинаковы, единственное существенное различие заключается в диапазоне идентификаторов, которые можно использовать. Для устройств Procurve количество VLAN определяется в конфигурации. Максимальное количество VLAN по умолчанию, поддерживаемое устройством Procurve, зависит от модели и версии микропрограммы, но обычно равно 8. Новое оборудование Procurve поддерживает 4096 идентификаторов VLAN, но только 256 одновременно определенных VLAN на одном устройстве. VLAN ID 1 зарезервирован для «DEFAULT_VLAN» или административной VLAN по умолчанию.
    • Имена VLAN — имена VLAN представляют собой текстовые поля, которые помогают техническим специалистам идентифицировать VLAN. Procurve позволяет использовать имена длиной до 32 символов, но для правильного отображения в режиме конфигурации меню ограничьте имя до 12 символов.
    • Режимы
    • VLAN — Procurve имеет три режима работы для VLAN на шасси: без тегов, с тегами и без тегов. Режим без тегов — это режим доступа Cisco. Этот режим используется для портов, которые подключаются к конечным узлам или устройствам, которые не будут передавать трафик VLAN вперед. Тегированный режим аналогичен транковому режиму Cisco.Этот режим используется для портов, которые подключаются к устройствам, которые будут передавать трафик VLAN вперед, или для транкинга нескольких VLAN. Отсутствие режима означает, что рассматриваемый порт не имеет никакой связи с этой VLAN.
    • Особое примечание о «магистральной линии» — слово «магистральная линия» вызывает много путаницы, когда пользователи переключаются между оборудованием поставщика. В случае Cisco транкинг используется только с VLAN. Объединение нескольких портов Ethernet в одну логическую группу Ethernet называется группой каналов. Это не зависит от того, используется ли FEC или LACP для свойств канала.Procurve использует «транк» для определения группы портов Ethernet с использованием транкингового протокола HP и термина «тегированный» для того, что Cisco называет транком VLAN. Конечно, эти две технологии не имеют ничего общего друг с другом, но возникает путаница из-за соглашений об именах.

    Реализации HP Procurve VLAN

    Определение VLAN

    Большинство современных коммутаторов Procurve по умолчанию разрешают использование VLAN, но если по каким-то причинам кто-то использует более старую модель, ему следует войти в коммутатор, войти в режим менеджера, зайти в меню настройки коммутатора (обычно пункт 2), затем меню VLAN (обычно пункт 8), затем пункт поддержки VLAN (обычно пункт 1) и убедитесь, что VLAN включены.Если этот параметр изменен, перезагрузите коммутатор, чтобы он активировался должным образом. Меню конфигурации полезно для таких действий, устранения неполадок и других вещей, но немного сложнее для настройки нескольких коммутаторов или для использования шаблонов конфигурации. Таким образом, остальные сведения о конфигурации HP Procurve будут предоставлены для режима конфигурации консоли. Помимо включения поддержки VLAN в целом, определения и конфигурация VLAN создаются в одном месте, поэтому остальные примеры конфигурации будут предоставлены в разделе конфигурации VLAN.

    Конфигурация VLAN

    Настройка VLAN на современном Procurve довольно проста. Сначала определите VLAN, задайте ее свойства, а затем настройте членство для портов и режим VLAN, который они будут поддерживать. Следующий список должен помочь пользователям выполнить эти задачи. ПРИМЕЧАНИЕ. Компания HP определила свои интерфейсные порты с помощью соглашения о модуле/порте. Если у кого-то немодульное шасси (например, 3448cl), то порты нумеруются только цифрами, например 1 или 36. Если шасси модульное (например, 5308), то перед номером порта стоит слот модуля. , например A1 или H6.Для ссылки на порт не используется ссылка на тип порта коммутатора (ethernet, fast ethernet, gigabit ethernet).

    • Шаг 1. Войдите в коммутатор и войдите в режим администратора. Если после входа пользователь попадает в меню конфигурации, выйдите из меню конфигурации, выбрав пункт 5 (в большинстве случаев) или с помощью клавиш со стрелками на клавиатуре выделив пункт «Командная строка (CLI)».
    • Шаг 2. Введите «conf t», чтобы войти в режим настройки терминала.
    • Шаг 3. Введите «vlan X», где X — идентификатор создаваемой VLAN.
    • Шаг 4. Назовите VLAN, введя «имя», где это текстовая строка от 1 до 32 символов (12 символов, если важно отображение меню конфигурации). Используйте кавычки при именовании VLAN.
    • Шаг 5. Дайте VLAN IP-адрес, введя «ip address», где IP-адрес, который будет назначен этому коммутатору в этой подсети, и маска сети для назначенной подсети.
    • Шаг 6. Этот шаг не является обязательным. Чтобы назначить некоторые порты конечных узлов для VLAN, введите «untagged», где список портов, разделенных запятыми, если они не являются последовательными, или с использованием тире между началом и концом списка, если они являются.Примером этого является «без тегов 1,3,5,7-16». Это настроит порты 1, 3, 5 и с 7 по 16, чтобы они не были помечены в этой VLAN.
    • Шаг 7. Этот шаг не является обязательным. Чтобы назначить некоторые магистральные порты VLAN для VLAN, введите «tagged», где список портов, разделенных запятыми, если они не являются последовательными, или с использованием тире между началом и концом списка, если они являются. Примером этого является «без тегов 1,3,5,7-16». Это настроит порты 1, 3, 5 и с 7 по 16, чтобы они не были помечены в этой VLAN.
    • Шаг 8. Введите «exit», чтобы выйти из режима настройки VLAN.
    • Шаг 9. Выйдите из режима настройки, снова введя «выход».
    • Шаг 10. Сохраните конфигурацию, введя «wr memory».

    Теперь сеть HP Procurve VLAN успешно настроена.

    Сводка поставщиков

    Чтобы интегрировать оборудование Cisco и HP Procurve в одну сеть и использовать VLAN, нужно помнить всего несколько вещей:

    • Для конечных узлов — Cisco использует «режим доступа», а HP — «нетегированный» режим.
    • Для магистралей VLAN dot1q — Cisco использует «режимную соединительную линию», а HP — «маркированный» режим.
    • Для отсутствия связи с VLAN — Cisco вообще не использует обозначения, HP использует режим «нет» в меню конфигурации или поддержка VLAN отключена.

     

    Что такое VLAN и частные VLAN и как работают VLAN

    У вас может возникнуть много вопросов о VLAN. Например, , что такое VLAN , их преимущества, конфигурация, как они работают и чем отличаются от локальной сети? Не волнуйтесь, в этом сообщении блога все, что связано с VLAN, будет обсуждаться простым и понятным языком.

    Что такое VLAN — инфографика

    Что такое VLAN — инфографика

    Краткая история эволюции от концентратора к коммутатору, а затем к VLAN

    На заре развития сети люди обычно использовали сетевые концентраторы для подключения устройств к локальной сети (LAN). Поскольку эти устройства не были интеллектуальными, они отправляли каждый полученный пакет на каждое другое устройство, связанное с ними, создавая большой широковещательный домен, который был чрезвычайно «шумным».

    Концентраторы

    также имели один широковещательный домен, что означает, что концентратор будет доставлять весь трафик на все подключенные устройства одновременно.Кроме того, все порты концентратора (в те времена) были частью единого домена коллизий, и если два устройства попытались установить связь в сети одновременно, их пакеты столкнулись бы. В результате им пришлось бы повторно отправлять эти пакеты на другое устройство.

    По мере развития сетей сетевые устройства становились все более интеллектуальными, и были представлены коммутаторы.

    Каждый порт коммутатора находится в собственном домене коллизий, и многие устройства, подключенные к коммутатору, могут одновременно отправлять пакеты через один и тот же порт коммутатора.Кроме того, коммутаторы могут отслеживать, какие порты используются и какие устройства к ним подключены, и создают таблицу, называемую таблицей MAC-адресов.

    Коммутаторы не рассылают пакеты на все порты, кроме портов, к которым подключено устройство, что снижает сетевой трафик. Но коммутатор продолжает рассылать широковещательные или одноадресные пакеты, и для пакетов он не знает MAC предполагаемого получателя.

    Коммутаторы по-прежнему ограничены одним широковещательным доменом, что означает, что коммутатор по-прежнему будет отправлять широковещательные пакеты на все порты.Следовательно, вам необходимо выполнить сегментацию сети для каждого устройства отдельно. Если вы хотите различать разные группы пользователей в сети, вы должны связать их с отдельными коммутаторами.

    Хотя это не является серьезной проблемой в небольших сетях, в больших сетях это расточительно. Итак, не больше. Добро пожаловать в мир виртуальных локальных сетей (VLAN).

    Что такое VLAN и для чего используются VLAN?

    VLAN означает виртуальную локальную сеть (VLAN) и представляет собой распространенный метод сегментации сети уровня OSI2 (уровень канала передачи данных).

    Сеть логически разделена на логические сетевые сегменты или виртуальные локальные сети. Каждый сегмент сети (VLAN) изолирован от других сегментов (VLAN) и имеет собственный широковещательный домен.

    VLAN используется для разделения большого широковещательного домена на несколько меньших широковещательных доменов, или можно сказать, что один физический коммутатор на несколько меньших виртуальных коммутаторов.

    Возьмем пример:-

    Что такое VLAN — сеть без VLAN или с одной VLAN

    На первой диаграмме все порты коммутатора настроены без VLAN.Это означает, что все хосты (ноутбук, телефон, компьютер, принтер) могут напрямую общаться и слышать широковещательный трафик друг друга.

    Что такое виртуальные локальные сети — сеть с несколькими виртуальными локальными сетями

    На второй диаграмме мы разделили существующие сети на две виртуальные локальные сети (100 и 200). Теперь у каждой VLAN есть свой широковещательный домен, и они могут обмениваться данными с устройствами в одной и той же VLAN (VLAN 100 может обмениваться данными с устройствами в VLAN 100), но они не могут обмениваться данными с другой VLAN (VLAN 100 не может обмениваться данными с VLAN 200) без уровня. коммутатор или маршрутизатор.

    Каковы преимущества или преимущества использования VLAN

    • Безопасность и управляемость — VLAN обеспечивает логическую сегментацию внутри сети, что дает больший контроль над тем, какое устройство может взаимодействовать с другим устройством. Кроме того, виртуальные локальные сети могут взаимодействовать друг с другом только с помощью маршрутизатора или коммутатора уровня 3, что обеспечивает лучшую безопасность сети и управляемость. Общее правило заключается в том, что устройства, принадлежащие к одной и той же сети VLAN, могут взаимодействовать друг с другом, однако устройствам в разных сетях VLAN для связи требуется устройство уровня.
    • Лучшая гибкость и масштабируемость — VLAN повышает гибкость, масштабируемость и производительность компьютерных сетей за счет создания более мелких и тесных сетей на основе отделов, функций, команд и т. д.
    • Сокращение количества кабелей — VLAN позволяет разделить сети без прокладки кабелей для разделения оборудования.
    • Уменьшенное аппаратное обеспечение — VLAN превращает один физический коммутатор во множество виртуальных коммутаторов. Итак, если у вас есть один коммутатор с достаточным количеством физических портов и вам нужна только сегментация, то с помощью VLAN вы можете легко добиться этого без дополнительного оборудования, что может сэкономить вам деньги.
    • Нет физических границ — VLAN являются логическими объектами; они не привязаны к физическому расположению одного устройства и охватывают множество коммутаторов.
    • Уменьшенная перегрузка. Отдельные виртуальные локальные сети работают как отдельные локальные сети и распределяют трафик между собой без необходимости в другом устройстве уровня 3, что снижает перегрузку.
    • Повышение общей производительности сети. С помощью VLAN вы можете сгруппировать устройства, которые чаще взаимодействуют друг с другом, поместив их в одну локальную сеть, что, в свою очередь, повысит общую производительность сети.
    • Перераспределение терминалов стало проще.
    • Виртуальные локальные сети упрощают процесс подключения устройств, находящихся в разных частях одной и той же локальной сети (локальной сети), предоставляя вам платформу для их группировки.

    Узнайте, как эффективно управлять сетями VLAN с помощью VTP.

    Каковы недостатки использования VLAN

    • Возможна утечка пакета между VLAN. Вирус в одной системе может заразить всю логическую сеть.
    • Существуют различные атаки на основе VLAN, которые хакеры используют для кибератак, сетевой администратор должен знать об этих атаках и использовать различные стратегии безопасности для предотвращения таких атак.
    • VLAN имеют жесткое ограничение: всего 4096 VLAN на коммутационный домен, крупным хостинг-провайдерам часто приходится выделять десятки или сотни VLAN на одного клиента. В таких ситуациях другие протоколы, такие как VXLAN, NVGRE и Geneve, предоставляют теги большего размера, и необходимо использовать возможность туннелирования кадров уровня 2 в пакетах уровня 3 (сетевые).
    • VLAN не могут взаимодействовать друг с другом без маршрутизаторов или устройств уровня 3.

    Что такое частные VLAN и для чего они используются?

    Частные виртуальные локальные сети
    • Традиционные виртуальные локальные сети имеют ограничения, и они не работают, если вы хотите запретить одному хосту общаться с другим хостом внутри виртуальной локальной сети, для этого вам потребуются частные виртуальные локальные сети.
    • Частная VLAN — это набор VLAN, первичная VLAN и одна или несколько вторичных VLAN.
    • Первичная VLAN — это обычная VLAN. Он беспорядочный и может взаимодействовать с любой вторичной VLAN или любой традиционной VLAN.
    • Вторичные сети VLAN связаны с основной сетью VLAN. Эти вторичные VLAN используются для ограничения/отделения устройств друг от друга внутри VLAN.
    • Вторичные сети VLAN бывают двух видов: общие и изолированные.
    • Виртуальные локальные сети сообщества — устройства в одной виртуальной локальной сети сообщества могут взаимодействовать друг с другом, но они не могут взаимодействовать с другими виртуальными локальными сетями сообщества и изолированными виртуальными локальными сетями.
    • Изолированные VLAN — устройства в изолированной VLAN полностью ограничены, и они не могут взаимодействовать ни с какой VLAN сообщества или даже с какой-либо изолированной VLAN.
    • Первичная VLAN может подключаться ко всему. Вот почему здесь подключены маршрутизаторы. Это позволяет отдельным устройствам или устройствам во вторичных VLAN совместно использовать интернет-соединения и ссылки, сохраняя при этом все политики изоляции.
    • Неразборчивые порты — это первичные порты VLAN (P-порты).
    • Первичная VLAN коммутатора уровня 3 может иметь SVI (виртуальный интерфейс коммутатора), однако вторичные VLAN не могут иметь SVI.
    • Вторичные порты VLAN называются хост-портами, потому что через них подключаются хосты.
    • I-Port — это хост-порт в изолированной VLAN.
    • C-Port в хост-порте VLAN сообщества.

    Я настоятельно рекомендую прочитать больше о SVI уровня 3 и маршрутизаторе на конфигурации флешки, чтобы понять всю концепцию.

    LAN против VLAN

    Как работают VLAN?

    Чтобы понять, как работают VLAN, мы должны сравнить два сценария: один без тега VLAN, а другой с тегом VLAN.

    До тегов VLAN решение коммутатора было простым:

    • Если коммутатор получил широковещательный или одноадресный пакет, но не знает MAC-адреса назначения, он рассылает его на все остальные порты, кроме одного порта, получившего пакет.
    • Если коммутатор получает одноадресный пакет и знает целевой MAC-адрес, он пересылает его только на этот порт.

    Благодаря VLAN коммутатор становится более интеллектуальным, и теперь у него много работы:

    • Например, находится ли пакет назначения в той же VLAN или в другой VLAN?
    • Пакет назначения находится на том же коммутаторе или на другом коммутаторе?
    • Что делать, если он получает нетегированный пакет (без тега VLAN)?
    • Что делать, если он получает тегированный пакет (с тегом VLAN)?
    • Что делать, если на тегированный порт поступает нетегированный пакет?

    Коротко:-

    • Каждый коммутатор использует тег VLAN (допустимый диапазон: 1–4094), чтобы изолировать трафик каждой VLAN от других VLAN, перенаправляя его только в пункты назначения, для которых настроена VLAN.
    • Магистральные соединения между коммутаторами могут поддерживать несколько VLAN, а тег служит для их разделения.
    • Как только кадр достигает целевого порта коммутатора, тег VLAN удаляется, и кадр готов к передаче на целевое устройство.

    Что такое идентификатор VLAN и диапазоны идентификаторов VLAN

    Заголовок 802.1Q
    • VLAN представлены в виде тегов VLAN или идентификаторов VLAN.
    • Чтобы коммутатор поддерживал VLAN, он должен быть управляемым коммутатором.Большинство поставщиков сетевых устройств, включая Cisco, реализуют стандарт IEEE 802.1Q для установки тегов VLAN в сетях Ethernet.
    • 802.1Q добавляет 32-битное поле (4 байта) к каждому кадру Ethernet.
    • Первые 16 бит (TPID) содержат жестко закодированное число 0x8100, которое идентифицирует кадр как 802. 1Q.
    • Следующие 16 бит в основном используются в двух частях: 12 используются для передачи идентификатора VLAN, а остальные 4 используются для операций QoS.12 = 4096), из которых можно использовать только числа от 1 до 4094.
    • Общий диапазон VLAN: от 1 до 4096
    • Используемый диапазон VLAN: от 1 до 4094
    • Диапазон обычных VLAN: от 1 до 1005 Вы не можете удалить VLAN 1.
    • VLAN с 1002 по 1005 зарезервированы для Token Ring и FDDI.
    • VLAN 4095 и 4096 зарезервированы только для системного использования и не должны использоваться.

    Типы VLAN

    Ниже перечислены наиболее распространенные типы VLAN.VLAN подразделяются на несколько категорий.

    Статическая или портовая VLAN

    • Статические виртуальные локальные сети, также известные как виртуальные локальные сети на основе портов. Они требуют, чтобы сетевой администратор статически назначал определенные виртуальные локальные сети порту сетевого коммутатора. Любое устройство, которое подключается к этому порту, присоединяется к широковещательной сети этой конкретной VLAN.
    • Проблема с этой сетью заключается в знании того, какие порты принадлежат какой VLAN, потому что физический порт коммутатора не может сообщить вам о членстве в VLAN.

    Динамическая или протокольная VLAN

    • В динамической настройке VLAN членство в сети определяется атрибутами/характеристиками устройства, а не расположением порта коммутатора.Например, динамическая VLAN может быть определена с помощью имен сетевых учетных записей или MAC-адресов.
    • Dynamic VLAN обрабатывает трафик, используя протокол, который определяет критерии фильтрации для нетегированных пакетов. В этой VLAN пакет содержит протокол уровня 3 для определения членства в VLAN. Работает с несколькими протоколами.

    VLAN по умолчанию

    Если у вас есть коммутатор, которому назначена VLAN 1 по умолчанию, все его порты автоматически назначаются одному и тому же широковещательному домену.Любое сетевое устройство, подключенное к порту коммутатора, может взаимодействовать с другими устройствами на других портах коммутатора, используя VLAN по умолчанию. VLAN 1 нельзя переименовать или удалить, что делает ее уникальной.

    Собственная виртуальная локальная сеть

    Native VLAN

    Native VLAN назначается исключительно магистральному порту 802.1Q и используется для идентификации трафика, исходящего с каждого конца магистрального порта. Магистральный порт 802.1Q направляет нетегированный трафик (трафик, не имеющий тега VLAN) в собственную VLAN, что является настройкой по умолчанию. Рекомендуется настроить собственную VLAN как неиспользуемую VLAN.

    Виртуальная локальная сеть данных

    Data VLAN делит сеть на две группы. Группа пользователей и группа устройств. VLAN данных, часто называемая пользовательской VLAN, предназначена исключительно для пользовательских данных. В этой VLAN есть только данные. Он не управляет транспортом или голосовым трафиком.

    Голосовая VLAN

    Voice VLAN настроен для голосового трафика. Голосовые VLAN обычно имеют приоритет над другим сетевым трафиком. Нам нужна отдельная VLAN для голосовой связи, чтобы гарантировать качество VoIP (задержка менее 150 мс по сети) при сохранении пропускной способности для других приложений.

    Обратите внимание: – Вы можете назначить две VLAN (Data VLAN и Voice VLAN) на один порт коммутатора на коммутаторах Cisco.

    VLAN управления

    Виртуальная локальная сеть управления настроена на предоставление доступа к возможностям управления коммутатором (трафик, такой как системный журнал, мониторинг). По умолчанию VLAN 1 является административной VLAN (VLAN 1 не подходит для управления VLAN). Если администратор не настроил уникальную VLAN для использования в качестве VLAN управления, любая из VLAN коммутатора может быть определена как VLAN управления.Эта VLAN гарантирует, что пропускная способность управления будет доступна даже в периоды высокого пользовательского спроса.

    Этапы настройки VLAN

    Сетевые администраторы создают новые VLAN следующим образом:

    • Определите назначение VLAN, например, будут ли они использоваться для данных, управления или голоса.
    • Затем пометьте порт коммутатора действительным номером VLAN, сделайте это для каждого типа VLAN.
    • Затем мы делаем подсети и выделяем IP-подсеть, в основном из диапазона частных IP-адресов для каждой VLAN.
    • Выберите, будете ли вы настраивать коммутатор статически или динамически. В статических настройках каждый порт коммутатора получает номер VLAN. Для создания динамической VLAN администратор дает MAC-адреса или имена пользователей.
    • Если виртуальные локальные сети должны перемещаться к другому коммутатору или маршрутизатору, убедитесь, что вы настроили транковую линию между коммутаторами или к маршрутизатору и разрешили все необходимые идентификаторы VLAN.
    • При необходимости настройте маршрутизацию VLAN. Маршрутизатор с поддержкой VLAN или коммутатор уровня 3 требуется для настройки двух или более сетей VLAN для связи.

    Обратите внимание: используемые инструменты администрирования и интерфейсы различаются в зависимости от оборудования. Кроме того, синтаксис конфигурации отличается от поставщика к поставщику.

    Cisco Что такое VLAN и как создать VLAN на коммутаторе Cisco

    • Switch2# настроить терминал -> Вход в режим глобальной конфигурации.
    • Switch2(config)# vlan vlan_ID –> Настраивает VLAN на коммутаторе, идентификатор VLAN может быть между 1-4094 -> Возврат из конфигурации в режим включения
    • Switch2# show vlan [id | name] vlan_name -> Проверить, правильно ли настроена VLAN.

    Пример конфигурации VLAN: —

    • Layer2-Switch#configure terminal
    • Layer2-Switch(config)#vlan 100
    • layer2-Switch(config-vlan)#vlan 200
    • layer2-Switch(config)#int Fa0/1-2
    • layer2 -Switch(config-if)switchport mode access
    • layer2-Switch(config-if)#switchport access VLAN 100
    • layer2-Switch(config)#int Fa0/3-4
    • layer2-Switch(config-if) switchport mode access
    • layer2-Switch(config-if)#switchport access VLAN 200
    • layer2-Switch(config)#int Fa0/8
    • layer2-Switch(config-if)#switchport mode trunk
    • layer2-Switch (config-if)#switchport инкапсуляция магистрали dot1q

    VLAN: рекомендации.

    1. Всегда меняйте VLAN по умолчанию, назначенную производителем устройства, на что-то в соответствии со стандартами вашей компании.
    2. Рекомендуется изменить Native VLAN 1 по умолчанию на 999 или что-то отличное от 1, чтобы защитить коммутаторы от спуфинга и других атак уровня 2.
    3. Убедитесь, что Native VLAN совпадают на обеих сторонах при подключении двух коммутаторов через конфигурацию Trunk — переключение VLAN может произойти, когда две Native VLAN на противоположных сторонах магистрали не совпадают. Хакеры часто используют это, чтобы проникнуть в сеть, и это большой риск для безопасности.
    4. Убедитесь, что вы отключили DTP на порту: — Конфигурация порта коммутатора по умолчанию использует протокол динамического транкинга (DTP), чтобы определить, должен ли порт быть портом доступа или магистральным портом, и он делает это автоматически. Вы можете отключить DTP, установив для порта коммутатора значение «Switchport Nonegotiate» или «Switchport Mode Trunk» или «Switchport Mode Access» или «No Switchport».
    5. Всегда используйте 802.1q для маркировки пакетов. Cisco ISL устарел, поэтому не используйте его.
    6. Любой неиспользуемый порт должен быть назначен неиспользуемой сети VLAN и переведен в режим отключения.
    7. Не полагайтесь исключительно на виртуальные локальные сети для обеспечения безопасности, особенно в средах с высоким риском! Подмена коммутатора и двойная маркировка — это методы, используемые для получения доступа к VLAN. Прыжки VLAN, особенно там, где соединительные линии соединяют коммутаторы, могут использоваться для атак типа «отказ в обслуживании».

    Сокращения, используемые в блоге

    • LAN:- Локальная сеть
    • VLAN:- Виртуальная локальная сеть
    • DTP:- Протокол динамического транкинга
    • SVI:- Виртуальный интерфейс коммутатора
    • TPID:- Идентификатор протокола тега

    Заключение

    В заключение, в этой статье мы обсудили что такое VLAN и как работают VLAN .VLAN — это сетевая технология, которая разделяет один широковещательный домен на несколько широковещательных доменов для простоты управления, масштабируемости и безопасности. Это широко используемая функция, и все поставщики, выпускающие коммутаторы, поддерживают VLAN, но вам необходимо понять некоторые основные термины и понятия, прежде чем использовать эту технологию.

    Пожалуйста, поделитесь, чтобы максимальное количество людей искало эту тему.

    Меня зовут Афроз. Я CCIE и работаю в сетевой индустрии более 14 лет.В настоящее время я работаю сетевым дизайнером в крупной организации. Я пишу о технических темах и проблемах, с которыми сетевой инженер сталкивается в повседневной жизни, в своем блоге. Мне нравится учить людей, и я верю в простую идею, что обучение помогает лучше учиться.

    Последние сообщения от Afroz Ahmad (посмотреть все)

    Что такое VLAN (виртуальная локальная сеть)?

    Обновлено: 31 декабря 2020 г., автор: Computer Hope

    Сокращение от виртуальная локальная сеть , VLAN позволяет сетевому администратору создавать отдельные сети путем настройки сетевого устройства, такого как маршрутизатор, без настройки кабелей.VLAN позволяет сетевому администратору разделять, настраивать и изменять сеть для соответствующей организации и фильтрации данных.

    Виртуальные локальные сети

    также имеют решающее значение, поскольку они повышают общую эффективность сети за счет группировки устройств, которые чаще всего обмениваются данными. Сети VLAN обеспечивают защиту в больших сетях, позволяя лучше контролировать оборудование. Виртуальные локальные сети для расширенного контроля трафика в основном создаются более крупными организациями для перераспределения устройств.

    История VLAN

    VLAN были впервые объяснены в 2003 году в IEEE 802.Первая версия 1Q в виде Ethernet VLAN.

    Работа с VLAN

    Распределение

    VLAN могут быть выделены с использованием одного или нескольких портов (интерфейсов) и сгруппированы в логические классы в зависимости от типа подключения или управления и их взаимодействия друг с другом. Один и тот же идентификатор VLAN используется для управления портами, подключенными к коммутаторам для всех хостов, использующих канал передачи данных, предоставляемый VLAN. В заголовке Ethernet теги VLAN представляют собой 12-битное поле. IEEE стандартизирует VLAN как 802.1 кв. Он также упоминается как Dot1Q .

    Отправка информации цели

    Когда подключаемый хост получает незащищенный кадр, использующий формат 802.1Q, прикрепленный к заголовку кадра канала передачи данных, тег VLAN ID устанавливается на интерфейсный порт. Затем кадр 802.1Q отправляется получателю. VLAN настроена таким образом, что она должна хранить трафик отдельно от других VLAN; каждый коммутатор использует имя и передает только его. Магистральные соединения между коммутаторами управляют многочисленными виртуальными локальными сетями, которые разделены с использованием тега или имени.Когда кадр достигает целевого коммутатора, метка VLAN удаляется перед отправкой кадра на целевой компьютер.

    Настройка VLAN

    Конфигурация магистрали каждого кадра VLAN, отправленного через порт (упомянутый выше), может настроить несколько VLAN на одном порту. Чтобы отправлять и принимать тегированные кадры, вам нужен соседний системный интерфейс на другом хосте, системе или коммутаторе, который принимает тегирование 802.1Q. Любой незапланированный кадр Ethernet назначается VLAN по умолчанию в настройках коммутатора.

    Прием неизвестных сообщений

    Когда нетегированный кадр Ethernet от хоста подключения поступает на коммутатор VLAN, применяется тег VLAN, выделенный для входного интерфейса. Кадр прикрепляется к MAC-адресу и отправляется на хост-порт. Широковещательная неизвестная одноадресная и многоадресная рассылка отправляется на все порты VLAN. Если неизвестный хост обращается к анонимной системе одноадресной рассылки, коммутаторы узнают местоположение хоста. Затем они не отправляют кадры на этот хост.

    Обновление таблиц

    Следующие две системы поддерживают актуальность таблиц передачи.

    • По истечении настраиваемого тайм-аута старые записи о передаче регулярно удаляются из таблиц передачи.
    • Любое изменение топологии уменьшает таймер обновления таблицы переадресации, что приводит к обновлению.

    STP (протокол связующего дерева)

    Используется для установления топологии без петель в каждом домене уровня 2 среди коммутаторов. STP для каждой VLAN можно использовать для минимизации общего количества STP, если топология схожа между различными топологиями уровня 2 или MISTP (многоэкземплярный STP).STP блокирует соединения, которые могут вызывать петли распространения и создавать связующее дерево от выбранного коммутатора до корня. Этот блок не позволяет STP быть частью активного маршрута пересылки до тех пор, пока не произойдет сбой в другой части сети.

    Типы VLAN

    Существует три основных типа VLAN:

    VLAN на основе протокола

    VLAN на основе протокола обрабатывает протокольный трафик. VLAN на основе протокола может указывать параметры фильтрации нетегированных пакетов.Немаркированные пакеты назначаются VLAN 1 интеллектуальными коммутаторами, если настройка порта не изменена или не настроена как VLAN на основе протокола. Указав виртуальные локальные сети на основе портов, виртуальные локальные сети на основе протоколов или и то, и другое, вы можете переопределить это поведение по умолчанию. В соответствии со стандартом 802.1q интеллектуальный коммутатор обрабатывает только тегированные пакеты и не пересылает их в VLAN на основе протокола.

    Статическая виртуальная локальная сеть

    Статическая VLAN — это набор портов, определенных коммутатором как часть одного широковещательного домена.Другими словами, все порты с трафиком для данного адреса подсети принадлежат одной и той же VLAN. С помощью VLAN можно группировать пользователей по логическому методу, а не по местоположению, что помогает управлять потреблением пропускной способности и упорядочивать пользователей в соответствии с их потребностями.

    Динамическая виртуальная локальная сеть

    Коммутатор автоматически назначает VLAN порту, используя данные из пользовательской системы или устройств, такие как IP-адрес и MAC-адрес, автоматически в динамической VLAN. Когда компьютер подключен к сокету коммутатора, коммутатор запрашивает установление членства в VLAN в базе данных.Динамические VLAN обеспечивают немедленную активацию конечных устройств. Динамические VLAN могут динамически настраивать членство в VLAN, если система перемещается с одного порта на другой порт на другом коммутаторе.

    Преимущества VLAN

    В следующем списке перечислены некоторые преимущества VLAN.

    • Поскольку рабочие станции могут быть перемещены в другую сеть VLAN только путем изменения настроек коммутатора, разместить эти рабочие станции не составляет труда.
    • Пользователи могут быстрее обмениваться файлами и службами, если у них есть одна VLAN для всех людей, работающих вместе над данным проектом.
    • Если пользователь переключает свои рабочие столы после подключения к сети, его компьютер остается в той же сети VLAN при условии, что сети VLAN смонтированы правильно.
    • Если сетевой администратор хочет заблокировать подключения к серверам или другим компьютерам, они могут быть отложены в его VLAN. Затем пользователям может быть предоставлен выборочный контроль в других VLAN.

    Акронимы компьютеров, ЛВС, Сетевые термины, Маршрутизатор, Маска подсети, Виртуальный

    .

    Добавить комментарий

    Ваш адрес email не будет опубликован.