VLAN beállítása vállalati hálózatokhoz
virtuális LAN-ok vagy VLAN-ok elkülönítik és rangsorolják a hálózati kapcsolatok forgalmát. Izolált alhálózatokat hoznak létre, amelyek lehetővé teszik bizonyos eszközök együttes működését, függetlenül attól, hogy ugyanazon a fizikai LAN-on vannak-e.
a vállalatok VLAN-okat használnak a forgalom particionálására és kezelésére. Például egy vállalat, amely el akarja választani mérnöki osztályának adatforgalmát a számviteli osztály forgalmától, külön VLAN-okat hozhat létre minden részleg számára. Több alkalmazás, amely ugyanazon a kiszolgálón fut, megoszthat egy linket, még akkor is, ha eltérő követelményeik vannak. A szigorú átviteli és késleltetési követelményekkel rendelkező video – vagy hangalkalmazások megoszthatják a linket egy kevésbé kritikus teljesítménykövetelményekkel rendelkező alkalmazással.
hogyan működnek a VLAN-ok?
az egyes VLAN-ok forgalma csak az egyes VLAN-okhoz rendelt alkalmazásokhoz érkezik, biztosítva a biztonsági szintet. Minden VLAN külön ütközési tartomány, és az adások egyetlen VLAN-ra korlátozódnak. Az adások más VLAN-okhoz csatlakoztatott alkalmazások elérésének blokkolása kiküszöböli annak szükségességét, hogy ezek az alkalmazások pazarolják a feldolgozási ciklusokat a nem nekik szánt adásokon.
a VLAN-ok a 2. rétegen, a linkrétegen működnek, és egyetlen fizikai kapcsolatra korlátozhatók, vagy több fizikai kapcsolaton keresztül kiterjeszthetők a 2.réteg kapcsolóihoz való csatlakozással. Mivel minden VLAN ütközési tartomány, és a 3.réteg kapcsolói megszüntetik az ütközési tartományokat, a VLAN szegmenseket nem lehet útválasztóval csatlakoztatni. Lényegében egyetlen VLAN nem terjed ki több alhálózatra.
az alhálózati szegmensek kapcsolókon keresztül csatlakoznak. Gyakori, hogy egy alkalmazás összetevőit több kiszolgálón hajtják végre úgy, hogy egyetlen VLAN-ra és alhálózatra helyezik őket. Például egyetlen alhálózatot és VLAN-t lehet a számviteli osztálynak szentelni, de ha az osztály tagjai túl messze vannak egymástól egyetlen Ethernet-kábelhez, a kapcsolók összekapcsolják a VLAN-t és az alhálózatot hordozó különböző Ethernet-kapcsolatokat, míg a VLAN-útválasztók az alhálózatot a hálózat többi részével.
a VLAN trunk linkek egynél több VLAN-t hordoznak, így a csomagtartón lévő csomagok további információkat tartalmaznak a VLAN azonosításához. A hozzáférési linkek egyetlen VLAN-t tartalmaznak, és nem tartalmazzák ezt az információt. A biteket eltávolítják az access linkhez csatlakoztatott csomagból, így a csatlakoztatott port csak egy szabványos Ethernet csomagot kap.
a VLAN beállítása
a VLAN beállítása bonyolult és időigényes lehet, de a VLAN-ok jelentős előnyöket kínálnak a vállalati hálózatok számára, például jobb biztonságot. A VLAN beállításának lépései a következők.
1. Konfigurálja a VLAN-t
a VLAN-t hordozó összes kapcsolót konfigurálni kell ehhez a VLAN-hoz. Amikor a csapatok módosítják a hálózati konfigurációt, ügyelniük kell a kapcsolókonfigurációk frissítésére, a kapcsoló cseréjére vagy egy további VLAN hozzáadására.
2. Hozzáférés-vezérlési listák beállítása
az ACL-ek, amelyek szabályozzák a hálózathoz csatlakozó minden felhasználó számára biztosított hozzáférést, a VLAN-okra is vonatkoznak. Pontosabban, a VLAN ACL-ek (VACLs) vezérlik a VLAN-hoz való hozzáférést, bárhol is legyen egy kapcsoló, vagy ahol a csomagok belépnek vagy kilépnek a VLAN-ból. A hálózati csapatoknak nagy figyelmet kell fordítaniuk a VACLs konfigurálásakor, mivel ezek beállítása gyakran bonyolult. A hálózati biztonság veszélybe kerülhet, ha hiba lép fel a VACLs konfigurálásakor vagy módosításakor.
3. Parancssori interfészek alkalmazása
minden operációs rendszer és switch gyártó megad egy sor CLI parancsot a VLAN-ok konfigurálásához és módosításához a termékén. Egyes rendszergazdák ezeket a parancsokat tartalmazó fájlokat készítenek, és szükség esetén szerkesztik őket a konfiguráció módosításához. A parancsfájlok egyetlen hibája egy vagy több alkalmazás meghibásodását okozhatja.
4. Fontolja meg a
kezelési csomagokat a berendezések gyártói és harmadik felek olyan felügyeleti szoftvercsomagokat kínálnak, amelyek automatizálják és egyszerűsítik az erőfeszítéseket, csökkentve a hiba esélyét. Mivel ezek a csomagok gyakran teljes nyilvántartást vezetnek az egyes konfigurációs beállításokról, hiba esetén gyorsan újratelepíthetik az utolsó működő konfigurációt.
VLAN-ok azonosítása címkézéssel
az IEEE 802.1 Q szabvány meghatározza a VLAN-ok azonosítását.
a cél-és forrásmédia hozzáférés-vezérlési címek az Ethernet csomagok elején jelennek meg, és a 32 bites VLAN azonosító mező következik.
Tag protocol identifier
a TPID alkotja a VLAN keret első 16 bitjét. A tpid tartalmazza a 8100 hexadecimális értéket, amely a csomagot VLAN csomagként azonosítja. A VLAN adatok nélküli csomagok tartalmazzák az EtherType mezőt a csomag helyzetében.
Tag control information
a 16 bites TCI mező követi a TPID-t. Ez tartalmazza a 3 bites priority code point (PCP) mezőt, az egybites drop támogatható indikátort (DEI) és a 12 bites VLAN azonosító (VID) mezőt.
a PCP mező meghatározza a VLAN-t megosztó alkalmazások által igényelt szolgáltatás minőségét. Az IEEE 802.1 p szabvány ezeket a szinteket a következő értékekként határozza meg:
- a 0 érték azt a csomagot jelöli, amelynek kézbesítésére a hálózat mindent megtesz.
- az 1.érték egy háttércsomagot azonosít.
- érték 2-től 6-ig azonosítson más csomagokat, beleértve a video-vagy hangcsomagokat jelző értékeket is.
- a 7.érték, a legmagasabb prioritás, a hálózati vezérlőcsomagok számára van fenntartva.
az egybites DEI követi a PCP mezőt, és további információkat ad hozzá a PCP mezőhöz. A DEI mező egy olyan csomagot azonosít, amelyet el lehet dobni egy túlterhelt hálózatban.
a VID mező 12 bitből áll, amelyek azonosítják a hálózat által támogatott 4096 VLAN bármelyikét.
Ethernet-alapú VLAN-ok
az Ethernet-alapú VLAN-ok kiterjeszthetők Wi-Fi-re egy VLAN-aware access point (AP) segítségével. Ezek az AP-k elkülönítik a bejövő vezetékes forgalmat az egyes VLAN-okhoz társított alhálózati cím használatával. A végcsomópontok csak a konfigurált alhálózaton lévő adatokat kapják meg.
az éteren keresztüli biztonságot nem lehet úgy érvényesíteni, mint egy vezetéken. Szükség esetén különböző jelszavakkal rendelkező szolgáltatáskészlet-azonosítókat vagy SSID-ket használnak, például vendéghálózatokban.
a VLAN-okat a hálózati technológia fejlődésének korai szakaszában fejlesztették ki, hogy korlátozzák az adásokat és prioritásként kezeljék a forgalmat. Hasznosnak bizonyultak, mivel a hálózatok mérete és összetettsége megnőtt.