Назначение VLAN
Автор: aleksejsud • Май 2, 2018 • Лабораторная работа • 2,887 Слов (12 Страниц) • 427 Просмотры
Лабораторная работа №2. VLAN
- Теоретические сведения
VLAN – от английского Virtual Local Area Network – логическая (виртуальная) локальная сеть. Она представляет собой группу устройств, которые могут взаимодействовать друг с другом на канальном уровне, хотя при этом могут быть подключены к различным коммутаторам. Иными словами, устройства взаимодействуют друг с другом таким образом, как если бы они были подключены к широковещательному домену. В то же время, устройства, находящиеся в различных VLAN и при этом подключенные к одному коммутатору, не могут возможности взаимодействия друг с другом на канальном уровне. Связь между ними возможна на сетевом и более высоких уровнях.
VLAN – один из наиболее распространенных механизмов логической сегментации сетей, защиты сетей от ARP-spoofing’а (одна из техник атаки, применяемая в сетях, использующих протокол ARP, позволяет перехватывать трафик между узлами, взаимодействующими в пределах одного широковещательного домена). Кроме того, VLAN используют для сокращения объёма широковещательного трафика в сети.
- Назначение VLAN
С использованием VLAN открывается следующий ряд возможностей:
- сокращение объёма широковещательного трафика в сети – в связи с тем, что VLAN представляет собой отдельный широковещательный домен, при его создании на двух различных коммутаторах, их порты в совокупности будут образовывать один широковещательный домен. В то же время, при помощи VLAN возможно разбить порты одного коммутатора на несколько широковещательных доменов;
- повышение степени безопасности сети – при разбиении сети на VLAN появляется возможность применения политик безопасности ко всей подсети сразу, а не к устройствам по отдельности. Помимо этого, переход от одной VLAN к другой предполагает использование L3-устройства, на котором могут применяться политики, которые разрешают или запрещают доступ;
- гибкое разделение устройств по подсетям – в силу того, что VLAN не привязана к местоположению устройств, находящиеся на дальнем расстоянии друг от друга устройства, подключенные к различным коммутаторам, могут находиться внутри одной VLAN.
- Тегирование трафика
Тегирование – процесс добавления метки (тега) VLAN к кадру. Как правило, конечные устройства (к примеру, компьютеры пользователей) не тегируют трафик. Эта задача возлагается на коммутаторы, работающие в сети. Более того, конечные устройства «не представляют», в каком VLAN они находятся. Таким образом, трафик в разных VLAN особо ничем не различается.
Однако, если через порт коммутатора может проходить трафик нескольких VLAN одновременно, его необходимо каким-то образом дифференцировать. Именно по этой причине каждый кадр должен быть определённым образом помечен, т.е. иметь информацию о принадлежности к VLAN. Наибольшее распространение получила технология, описанная в спецификации IEEE 802.1Q, но существуют и другие протоколы, к примеру, ISL (Cisco Systems).
- ISL – Inter Switch Link, протокол межкоммутационного канала – проприетарный протокол компании Cisco Systems, предназначенный для передачи информации о принадлежности трафика к VLAN. Данный протокол инкапсулирует исходный кадр, добавляя заголовок, содержащий информацию о принадлежности к VLAN. ISL был разработан до стандарта IEEE 802.1Q и какое-то время поддерживался на сетевом оборудовании Cisco наряду с 802.1Q, но в настоящее время протокол является устаревшим.
- IEEE 802.1Q – открытый стандарт, описывающий процедуру тегирования трафика для передачи информации о принадлежности его к VLAN. Данный стандарт, в отличие от ISL, не изменяет заголовки кадра, благодаря чему устройства, его не поддерживающие, могут передавать трафик без учёта его принадлежности к VLAN. 802.1Q помещает внутрь кадра тег, который передаёт информацию о принадлежности трафика к VLAN. Размер тега – 4 байта, состоит он из следующих полей (рисунок 1):
- Tag Protocol Identifier (TPID) — Идентификатор протокола тегирования. Размер поля — 16 бит. Указывает, какой протокол используется для тегирования. Для 802.1q используется значение 0x8100.
- Tag Control Information (TCI) - поле, инкапсулирующее в себе поля приоритета, канонического формата и идентификатора VLAN:
- Priority — приоритет. Размер поля — 3 бита. Используется стандартом IEEE 802.1p для задания приоритета передаваемого трафика.
- Canonical Format Indicator — индикатор канонического формата. Размер поля — 1 бит. Указывает на формат MAC-адреса. 0 — канонический (кадр Ethernet), 1 — не канонический (кадр Token Ring, FDDI).
- VLAN Identifier — идентификатор VLAN. Размер поля — 12 бит. Указывает, какому VLAN принадлежит фрейм. Диапазон возможных значений VID от 0 до 4094.
В стандарте 802.1Q существует понятие Native VLAN. По умолчанию это VLAN 1. Трафик, передающийся в этом VLAN, не тегируется.
...