• VLAN - Sanal Yerel Alan Ağı. giriiş

    CISCO Cihazlarında VLAN Uygulaması

    Cisco cihazlarında VTP (VLAN Trunking Protocol), yönetimi basitleştirmek için VLAN etki alanları sağlar. VTP ayrıca, VLAN trafiğini yalnızca hedef VLAN bağlantı noktalarına (VTP budama işlevi) sahip anahtarlara yönlendirerek trafik budama gerçekleştirir. Cisco anahtarları, bilgilerin birlikte çalışabilirliğini sağlamak için eski tescilli ISL (Switch Inter-Switch Link) yerine esas olarak 802.1Q Trunk protokolünü kullanır.

    Varsayılan olarak, her anahtar bağlantı noktasının bir VLAN1'i veya yönetim VLAN'ı vardır. Kontrol ağı silinemez ancak oluşturulabilir ek ağlar VLAN'lara ve bu alternatif VLAN'lara isteğe bağlı olarak bağlantı noktaları atanabilir.

    Yerel VLAN tüm etiketlenmemiş paketlerin aldığı VLAN numarasını belirten bağlantı noktası başına bir parametredir.

    VLAN üyelik tanımı

    Bunun için aşağıdaki çözümler var:

    • bağlantı noktasına göre (Port tabanlı, 802.1Q): Bir anahtar bağlantı noktasına manuel olarak bir VLAN atanır. Birkaç VLAN'ın bir bağlantı noktasına karşılık gelmesi gerekiyorsa (örneğin, VLAN bağlantısı birkaç anahtardan geçiyorsa), bu bağlantı noktası bir ana hat üyesi olmalıdır. Herhangi bir VLAN'a atanmamış tüm paketleri yalnızca bir VLAN alabilir (3Com, Planet, D-Link, Zyxel, HP terminolojisinde - etiketlenmemiş, Cisco terminolojisinde - yerel VLAN). Anahtar, bu VLAN'ı herhangi bir etiketi olmayan alınan tüm çerçevelere etiketleyecektir. Bağlantı noktası tabanlı VLAN'ların bazı sınırlamaları vardır.
    • MAC adresine göre (MAC tabanlı): VLANe üyeliği, iş istasyonunun MAC adresine bağlıdır. Bu durumda, anahtar, ait oldukları VLAN'larla birlikte tüm cihazların MAC adreslerinin bir tablosuna sahiptir.
    • Protokol tabanlı: Paket başlığındaki Katman 3-4 verileri, VLAN üyeliğini belirlemek için kullanılır. Örneğin, -machines ilk VLAN'a ve AppleTalk -machines ikinci VLAN'a çevrilebilir. Bu yöntemin ana dezavantajı, katmanların bağımsızlığını ihlal etmesidir, bu nedenle, örneğin IPv4'ten IPv6'ya geçiş, ağın bozulmasına yol açacaktır.
    • Kimlik doğrulama tabanlı: Cihazlar, 802.1x protokolünü kullanırken kullanıcı veya cihaz kimlik doğrulama verilerine dayalı olarak otomatik olarak bir VLAN'a taşınabilir.

    Avantajlar

    • Taşımayı, cihaz eklemeyi ve bağlantılarını değiştirmeyi kolaylaştırır.
    • elde edildi yüksek lisans VLAN'lar arasında 3. katman yönlendirmesi gerçekleştiren bir cihazın varlığı nedeniyle yönetimsel kontrol.
    • Bant genişliği tüketimi, tek bir yayın alanı durumuna kıyasla azaltılır.
    • Yayın mesajı iletmeyi azaltarak üretim dışı CPU kullanımını azaltır.
    • Yayın Fırtınası Önleme ve Döngü Önleme.

    Ayrıca bakınız

    kaynaklar

    • Andrew Tanenbaum, 2003, "Bilgisayar Ağları", Pearson Education International, New Jersey.

    Bağlantılar

    • IEEE'nin 802.1Q standardı 1998 versiyonu (2003 versiyonu)(2005 versiyonu)
    • VLAN'lar için OpenWRT kılavuzu : Tüm VLAN'lar için iyi bir başlangıç ​​kılavuzu sağlar
    • VLAN'lar hakkında bazı SSS
    • Xgu.ru'da VLAN - aktif olarak VLAN'ı yapılandırma ve kullanma hakkında ayrıntılı bilgi ağ ekipmanı Cisco ve HP ProCurve ve işletim sistemleri Linux ve FreeBSD
    • VLAN'lar: Cisco Catalyst örneğinde VLAN'lar
    • Sanal ağların organizasyonu için modern anahtarların olanakları

    Wikimedia Vakfı. 2010

    Diğer sözlüklerde "VLAN"ın ne olduğunu görün:

      vlan- vlan … Rimes Sözlüğü

      - (İngilizce Sanal Yerelden Alan Ağı) sanal yerel bilgisayar ağı, aynı zamanda VLAN olarak da bilinir, sanki bağlıymış gibi etkileşime giren ortak gereksinimlere sahip bir ana bilgisayar grubudur ... ... Wikipedia

      vlan- [vlɑ̃] interj. 1803; onomat. ♦ Onomatopée un bruit fort ve sn'yi taklit eder. "Patatralar!" Vlan! pıf! baba! Boom! » (A. Daudet). İncir. (şartlı tahliye) Et vlan ! dans les gencives (cf. Et toc). ⇒VLAN, onomat. et alt. maske I. Onomat.

      Bu nedenle, ekipmanın özellikleri ve BT dış kaynak kullanma becerileri hakkında belirli bilgilere sahipseniz, müşterinin ihtiyaçlarını D-Link DGS1100-24 anahtarı gibi bütçe ekipmanlarında bile karşılayabilirsiniz.

      Bütün insanlar, Barış sizinle olsun!

      Bugün VLAN'lar hakkında küçük bir makale dizisine başlayacağım. Ne olduğu, ne için olduğu, nasıl yapılandırılacağı ile başlayalım ve sonra daha derine ineceğiz ve hepsini değilse de VLAN'ların bize sağladığı tüm fırsatların çoğunu kademeli olarak inceleyeceğiz.

      Hatırlarsanız, böyle bir kavramdan bahsetmiştik? Sanırım hatırlıyorsun. Ayrıca birkaç tür adres olduğu gerçeğinden de bahsettik:.

      Buna dayanarak, bir giriş konsepti daha yapacağız. yayın alanı. O gerçekten ne?

      Bir çerçeve/paket gönderilirse, yayınla (bir çerçeve ise, o zaman Hedef Adres alanı, tüm bitler bire eşittir veya 16. formda MAC adresi şuna eşit olacaktır: FF FF FF FF FF FF), daha sonra bu çerçeve, çerçevenin alındığı hariç, anahtarın tüm bağlantı noktalarına iletilecektir. Bu, örneğin, anahtarımız yönetilmediğinde veya yönetildiğinde, ancak herkes aynı VLAN'da olduğunda gerçekleşir (buna daha sonra değineceğiz).
      İşte bu yayın çerçevelerini alan ve yayın alanı olarak adlandırılan cihazların bir listesi.

      Şimdi VLAN nedir ona karar verelim.

      VLAN - Sanal Yerel Alan Ağı, yani bazı sanal ağ. Bu ne için?

      VLAN, yayın alanlarını aynı anahtar üzerinde ayırmamızı sağlar. Onlar. bir anahtarımız varsa, bazı portları bir VLAN'a, diğerini diğerine atayacağız. Ve iki farklı yayın alanımız olacak. Elbette imkanlar bununla sınırlı değil. Yavaş yavaş onlar hakkında daha fazla konuşacağım.

      Kısacası VLAN, yöneticinin bir ağı bazı alt ağlara (örneğin, bir muhasebeciler ağı, bir yöneticiler ağı vb.) gereklilikler kümesi tek grup ve diğer benzer izole gruplardan ayırın.

      Hemen VLAN'ların çalıştığı bir rezervasyon yapacağım OSI seviyesi katman 2.
      Çerçeveyi düşündüğümüzde, orada VLAN için bir alan olmadığını hatırlayın. Öyleyse, bunun veya o çerçevenin hangi VLAN'a ait olduğu nasıl belirlenir?

      Birkaç standart var.

      1. IEEE 802.1Q - Bu standart açıktır. Bu standart, etiketleme ile bazı VLAN'lara "eklenmiş" belirli bir çerçeveyi işaretler.
      Etiketleme, ethernet çerçevesine 4 baytlık bir etiket ekleyen anahtarın (veya VLAN'ı "anlayan" herhangi bir başka cihazın) bir işlevidir. Etiketleme prosedürü, başlık verilerini değiştirmez, bu nedenle VLAN teknolojisini desteklemeyen ekipman, etiketi koruyarak böyle bir çerçeveyi ağ üzerinden kolayca iletebilir.

      Bu, VLAN etiketini ekledikten sonra çerçevenin nasıl görüneceğidir.

      Şekillerine göre VLAN etiketinin 4 alandan oluştuğunu görüyoruz, bunları açıklayacağız:

      - 2 bayt Etiket Protokol Tanımlayıcısı (TPID) - bu protokol tanımlayıcısıdır, bizim durumumuzda 802.1Q'dur, 16. formda bu alan şöyle görünecektir: 0x8100.

      - Öncelik - 802.1p standardına göre önceliği ayarlamak için bir alan (bununla ilgili sonraki makalelerde). Bu alanın boyutu 3 bittir (8 değer 0-7).

      - Kanonik Format Göstergesi (CFI). Kanonik biçim göstergesi, bu alanın boyutu 1 bittir. Bu alan mac adresinin formatını gösterir (1 kononiktir, 0 kanonik değildir.)

      - VLAN ID, aslında bugün bunun için buradayız 🙂 VLAN ID. Alan boyutu 12 bittir, 0 ile 4095 arasında bir değer alabilir.

      802.1Q standardına göre VLAN (etiketleme) kullanıldığında, çerçevede değişiklikler yapılır, bu nedenle aslında anahtar tarafından yapılan FCS değerinin yeniden hesaplanması gerekir.

      802.1Q standardı, varsayılan olarak Yerel VLAN Kimliği olan Yerel VLAN gibi bir şeye sahiptir. bire eşit(değiştirilebilir), Yerel VLAN, bu VLAN'ın etiketlenmemiş olmasıyla karakterize edilir.

      2. Anahtarlar arası bağlantı (ISL). Cisco tarafından geliştirilmiş ve sadece kendi ekipmanlarında kullanılabilen bir protokoldür.
      Bu protokol, 802.1Q'nun benimsenmesinden önce geliştirilmiştir.
      Şu anda, ISL artık daha yeni donanımlarda desteklenmemektedir, ancak yine de protokolle karşılaşabilirsiniz, bu yüzden ona alışmamız gerekiyor.

      Basit bir çerçeve etiketlemenin gerçekleştirildiği (çerçeveye 4 bayt ekleyerek) 802.1Q'dan farklı olarak, burada kapsülleme teknolojisi kullanılır, yani VLAN hakkında bilgi içeren bir başlık eklenir. VLAN ISL, 802.1Q'dan farklı olarak 1000'e kadar VLAN'ı destekler.

      Çerçeveyi, bu kapsüllemenin nasıl göründüğünü grafiksel bir biçimde düşünün.

      Burada ISL'nin ilk ve belki de en temel dezavantajını hemen görebiliriz - bu, çerçevede 30 baytlık bir artıştır (26 bayt başlık ve 4 bayt FCS).

      ISL Başlığını daha ayrıntılı olarak ele alalım, bu kadar çok baytta nelerin saklandığını görelim!

      • Hedef Adres (DA) - alıcının adresi, burada çerçevenin ISL kullanılarak kapsüllendiğini gösteren özel bir çok noktaya yayın adresi belirtilir. Çoklu yayın adresi 0x01-00-0C-00-00 veya 0x03-00-0c-00-00 olabilir.
      • Tip - alan uzunluğu 4 bit, çerçevede kapsüllenmiş protokolü belirtir. Birden fazla değer alabilir:

      0000 Ethernet
      0001 - Token Yüzük
      0010 - FDDI
      0011-ATM

      Bizim durumumuzda, Ethernet'i düşündüğümüz için, bu değerin tümü 0'a eşit olacaktır.

      • KULLANICI - 802.1Q'daki Öncelik alanının bir tür "kesilmiş" analoğu, çerçeve önceliğini ayarlamak için kullanılır. Alan 4 bit alsa da 4 değer alabilir (802.1Q - 8'de).
      • Kaynak Adresi (SA) - kaynak adresi, bu yerin yerine değer konur MAC adresleri bu kapsüllenmiş çerçevenin gönderildiği bağlantı noktası.
      • LEN, çerçevenin uzunluğudur. DA,TYPE,USER,SA,LEN,FCS gibi alanları dikkate almaz. Böylece, bu değerin kapsüllenmiş çerçeveye - 18 bayta eşit olduğu ortaya çıktı.
      • AAAA03 (SNAP) - SNAP ve LLC (Bu alan AAAA03 değerini içerir).
      • HSA - Kaynak Adresinin Yüksek Bitleri - MAC adresinin 3 yüksek baytı (bu baytların üretici kodunu içerdiğini unutmayın), Cisco için bu 00-00-0C'dir
      • VLAN - sonunda ana alana ulaştı. VLAN Kimliği aslında burada belirtilir. Alanın boyutu 15 bittir.
      • BPDU - Köprü Protokolü Veri Birimi ve Cisco Keşif Protokolü. BPDU ve CDP protokolleri için alan. Nedir ve neden, aşağıdaki makalelerde tanışacağız.
      • INDX - Dizin, gönderen bağlantı noktasının dizini belirtilir, teşhis amacıyla kullanılır.
      • RES - Token Ring ve FDDI için ayrılmıştır. Token Ring ve FDDI için ayrılmış alan. Alan 16 bittir. Ethernet protokolü kullanılıyorsa, bu alana tüm sıfırlar yerleştirilir.
      • Kapsüllenmiş Çerçeve, kapsüllenmiş normal bir çerçevedir. Bu çerçevenin DA, SA, LEN, FCS vb. gibi kendi alanları vardır.
      • FCS - kendi ISL FCS'si (çerçeve tamamen değiştiği için yeni bir çerçeve kontrolü gereklidir, son 4 bayt bunun içindir).

      802.1Q lehine bazı sonuçlar çıkarabiliriz.

      1. Etiketleme, ISL'den (30 bayt) farklı olarak çerçeveye yalnızca 4 bayt ekler.
      2. 802.1Q, VLAN'ları destekleyen tüm ekipmanlarda desteklenirken, ISL yalnızca Cisco cihazlarında çalışır, hepsinde çalışmaz.

      Bu yazımızda kısaca VLAN kavramı ile tanıştık. Sonra, ayrıntıları anlayacağız.

      VLAN(İngiliz Sanal Yerel Alan Ağından) - mantıksal ("sanal") yerel bilgisayar ağı, fiziksel bir LAN ile aynı özelliklere sahiptir.

      Basitçe söylemek gerekirse, bir VLAN, fiziksel bir bağlantı içindeki mantıksal bir bağlantıdır.

      Bu teknoloji, iki zıt gerçekleştirmenizi sağlar görevler:

      1) fiziksel olarak farklı ağ anahtarlarına (örneğin, coğrafi olarak uzakta bulunan) bağlanabilmelerine rağmen, veri bağlantısı katmanında grup cihazları (yani aynı VLAN'da bulunan cihazlar);

      2) aynı anahtara bağlı cihazları (farklı VLAN'larda bulunan) ayırt etmek.

      Başka bir deyişle, VLAN'lar ayrı yayın alanları oluşturmanıza olanak tanır. Herhangi bir büyük kuruluşun ve hatta bir sağlayıcının ağı, VLAN'lar kullanılmadan çalışamaz.

      Bu teknolojinin kullanımı bize aşağıdaki avantajları sağlar:

      • cihazları (örneğin sunucuları) işlevselliğe göre gruplamak;
      • ağdaki yayın trafiği miktarında azalma, tk. her VLAN ayrı bir yayın alanıdır;
      • artan ağ güvenliği ve yönetilebilirlik (ilk iki avantajın bir sonucu olarak).

      basit bir örnek vereceğim: Diyelim ki, bir yönlendiriciye bağlı olan bir anahtarda bulunan ana bilgisayarlar var (Şekil 1). Diyelim ki ikimiz var yerel ağlar, bir anahtarla bağlı ve bir yönlendirici üzerinden İnternete erişiyor. Ağlar VLAN'lar tarafından ayırt edilmiyorsa, ilk olarak, bir ağdaki bir ağ fırtınası ikinci ağı etkileyecek ve ikinci olarak, her ağdan başka bir ağdan gelen trafiği "yakalamak" mümkün olacaktır. Şimdi, ağı VLAN'lara böldükten sonra, aslında bir yönlendirici ile birbirine bağlı iki ayrı ağımız var, yani L3 ( ağ katmanı). Tüm trafik bir ağdan diğerine yönlendirici aracılığıyla geçer ve erişim artık yalnızca L3 düzeyinde çalışır, bu da yöneticinin işini büyük ölçüde basitleştirir.

      etiketleme

      etiketleme- trafik çerçevelerine bir VLAN etiketi (etiket olarak da bilinir) ekleme işlemi.

      Kural olarak, uç ana bilgisayarlar trafiği etiketlemez (örneğin, kullanıcıların bilgisayarları). Bu, ağdaki anahtarlar tarafından yapılır. Üstelik son konaklar şu veya bu VLAN içinde olduklarından habersizdir. Kesin olarak, farklı VLAN'lardaki trafik, özel bir şeyde farklılık göstermez.

      Anahtar bağlantı noktasından farklı VLAN'lardan gelen trafik gelebiliyorsa, anahtarın bir şekilde onu ayırt etmesi gerekir. Bunu yapmak için, her çerçeve bir etiketle işaretlenmelidir.

      En yaygın kullanılan teknoloji, IEEE 802.1Q spesifikasyonunda açıklanmıştır. Diğer tescilli protokoller (özellikler) de mevcuttur.

      802.1q

      802.1q trafiği etiketleme prosedürünü açıklayan açık bir standarttır.

      Bunu yapmak için, çerçevenin gövdesine (Şekil 2) bir VLAN'a ait olma hakkında bilgi içeren bir etiket yerleştirilir. Çünkü etiket çerçevenin başlığına değil gövdeye yerleştirilir, ardından VLAN'ları desteklemeyen cihazlar trafiği şeffaf bir şekilde, yani VLAN'a bağlanmasını hesaba katmadan iletir.

      Etiket (etiket) boyutu yalnızca 4 bayttır. 4 alandan oluşur (Şekil 3):

      • Etiket Protokolü Tanımlayıcısı(TPID, etiketleme protokolü tanımlayıcısı). Alan boyutu 16 bittir. Etiketleme için hangi protokolün kullanıldığını gösterir. 802.1Q için değer 0x8100'dür.
      • öncelik(bir öncelik). Alan boyutu 3 bittir. İletilen trafiğe öncelik vermek için IEEE 802.1p standardı tarafından kullanılır.
      • Kanonik Biçim Göstergesi(CFI, Kanonik Biçim Göstergesi). Alan boyutu 1 bittir. MAC adresi formatını gösterir. 0 - kanonik, 1 - kanonik olmayan. CFI arasındaki uyumluluk için kullanılır Ethernet ağları ve Token Ring.
      • VLAN Tanımlayıcı(VID, VLAN Kimliği). Alan boyutu 12 bittir. Çerçevenin hangi VLAN'a ait olduğunu gösterir. Olası değer aralığı 0 ile 4095 arasındadır.

      Trafik etiketlenirse veya tersi - etiket kaldırılır, ardından toplamı kontrol etçerçeve yeniden hesaplanır (CRC).

      Yerel VLAN(yerel VLAN)

      802.1q standardı, etiketlenmemiş trafiğin VLAN, yani etiketlenmedi. Bu VLAN'a yerel VLAN denir, varsayılan olarak VLAN 1'dir. Bu, gerçekte etiketlenmemiş olan trafiğin etiketlenmiş olarak kabul edilmesini sağlar.

      802.1ad

      802.1adçift ​​etiketi tanımlayan açık bir standarttır (802.1q'ye benzer) (Şekil 4). Ayrıca şöyle bilinir Q-in-Q, veya Yığılmış VLAN'lar. Önceki standarttan temel fark, ağı 4095 VLAN'lara değil, 4095x4095'e bölmenize izin veren harici ve dahili olmak üzere iki VLAN'ın varlığıdır.

      Ayrıca, iki etiketin varlığı, daha esnek düzenlemenizi sağlar ve karmaşık ağlarŞebeke. Ayrıca, operatörün iki farklı şehirdeki iki farklı istemci için bir L2 bağlantısı düzenlemesi gerektiği, ancak istemcilerin trafiği aynı etiketle gönderdiği durumlar da vardır (Şekil 5).

      Müşteri-1 ve müşteri-2'nin A ve B şehirlerinde tek bir sağlayıcı ağının olduğu şubeleri vardır. Her iki müşterinin de iki farklı şehirdeki şubelerini birbirine bağlaması gerekiyor. Ayrıca her client kendi ihtiyacına göre trafiği 1051 adet VLAN ile etiketler. Buna göre sağlayıcı, her iki istemcinin trafiğini tek bir VLAN'da kendi üzerinden geçirirse, bir istemcideki arıza ikinci istemciyi etkileyebilir. Ayrıca, bir müşterinin trafiği başka bir müşteri tarafından yakalanabilir. Bir operatör için müşteri trafiğini izole etmenin en kolay yolu Q-in-Q kullanmaktır. Operatör, her bir istemciye ek bir etiket ekleyerek (örneğin, 3083'ü istemci-1'e ve 3082'yi istemci-2'ye) ekleyerek istemcileri birbirinden yalıtır, böylece istemcilerin etiketi değiştirmesine gerek kalmaz.

      Bağlantı Noktası Durumu

      Anahtar bağlantı noktaları, VLAN'larla gerçekleştirilen işleme bağlı olarak iki türe ayrılır:

      • etiketli(diğer adıyla gövde bağlantı noktası, gövde, cisco terminolojisinde) - trafiği yalnızca belirli bir etiketle ileten bir bağlantı noktası;
      • etiketsiz(diğer adıyla aksesuar, erişim, cisco terminolojisinde) - girme verilen bağlantı noktası, etiketlenmemiş trafik bir etikete "sarılır".

      Belirli bir VLAN'a bağlantı noktası atamak için iki yaklaşım vardır:

      • Statik atama- portun ne zaman VLAN'a ait olduğu yönetici tarafından belirlenir;
      • Dinamik Atama- bağlantı noktası bir VLAN'a ait olduğunda, örneğin 802.1X gibi özel standartlarda açıklanan prosedürler kullanılarak anahtarın çalışması sırasında belirlenir.

      Anahtarlama tablosu

      VLAN'ları kullanırken anahtarlama tablosu aşağıdaki gibidir (aşağıda VLAN'ları desteklemeyen bir anahtarın anahtarlama tablosu verilmiştir):

      Liman Mac Adresi
      1 A
      2 B
      3 C

      Anahtar VLAN'ları destekliyorsa, anahtarlama tablosu şöyle görünecektir:

      Liman VLAN Mac Adresi
      1 345 A
      2 879 B
      3 varsayılan C

      burada varsayılan yerel vlan'dır.

      VLAN ile çalışan protokoller

      GDRP(cisco'daki muadili VTP'dir), işi mevcut VLAN'lar hakkında bilgi alışverişine indirgenen veri bağlantı katmanında çalışan bir protokoldür.

      MSTP(PVSTP, cisco için PVSTP ++), farklı VLAN'ları dikkate alarak bir "ağaç" oluşturmanıza izin veren STP protokolünün bir modifikasyonu olan bir protokoldür.

      LLDP(cisco için CDP) - genel olarak ağ hakkında açıklayıcı bilgi alışverişinde bulunmaya yarayan bir protokol, VLAN'lar hakkındaki bilgilere ek olarak, diğer ayarlar hakkında da bilgi dağıtır.

    Devamını oku: