Cum se configurează un VLAN pentru rețelele enterprise
LAN-urile virtuale sau VLAN-urile separă și prioritizează traficul pe legăturile de rețea. Ele creează subrețele izolate care permit anumitor dispozitive să funcționeze împreună, indiferent dacă se află pe aceeași rețea LAN fizică.
întreprinderile folosesc VLAN-uri pentru a partiționa și gestiona traficul. De exemplu, o companie care dorește să separe traficul de date al Departamentului de inginerie de traficul Departamentului de contabilitate poate crea VLAN-uri separate pentru fiecare departament. Mai multe aplicații care execută pe același server pot partaja un link, chiar dacă au cerințe diferite. O aplicație video sau vocală cu cerințe stricte de transfer și latență poate partaja un link cu o aplicație cu cerințe de performanță mai puțin critice.
cum funcționează VLAN-urile?
traficul pe VLAN-uri individuale este livrat numai aplicațiilor atribuite fiecărui VLAN, oferind un nivel de securitate. Fiecare VLAN este un domeniu de coliziune separat, iar emisiunile sunt limitate la un singur VLAN. Blocarea emisiunilor de a ajunge la aplicații conectate la alte VLAN-uri elimină necesitatea ca aceste aplicații să irosească ciclurile de procesare a emisiunilor care nu sunt destinate acestora.
VLAN-urile funcționează la stratul 2, stratul de legătură și pot fi limitate la o singură legătură fizică sau extinse pe mai multe legături fizice prin conectarea la comutatoarele stratului 2. Deoarece fiecare VLAN este un domeniu de coliziune, iar comutatoarele Layer 3 termină domeniile de coliziune, segmentele VLAN nu pot fi conectate printr-un router. În esență, un singur VLAN nu poate acoperi mai multe subrețele.
segmentele de subrețea se conectează prin comutatoare. Este obișnuit să conectați componente ale unei aplicații care se execută pe mai multe servere, plasându-le pe un singur VLAN și subrețea. De exemplu, o singură subrețea și VLAN pot fi dedicate departamentului contabil, dar dacă membrii departamentului sunt prea îndepărtați pentru un singur cablu Ethernet, comutatoarele conectează diferitele legături Ethernet care transportă VLAN și subrețea, în timp ce routerele VLAN conectează subrețeaua la restul rețelei.
VLAN trunk link-uri transporta mai mult de un VLAN, astfel încât pachetele pe un trunchi transporta informații suplimentare pentru a identifica VLAN sale. Linkurile de acces au un singur VLAN și nu includ aceste informații. Biții sunt eliminați din pachetul conectat la linkul de acces, astfel încât un port conectat primește doar un pachet Ethernet standard.
cum să configurați un VLAN
Configurarea unui VLAN poate fi complicată și consumatoare de timp, dar VLAN-urile oferă avantaje semnificative rețelelor de întreprinderi, cum ar fi securitatea îmbunătățită. Pașii pentru configurarea unui VLAN sunt următorii.
1. Configurați VLAN
toate comutatoarele care poartă VLAN trebuie să fie configurate pentru acel VLAN. Ori de câte ori echipele fac modificări în configurația rețelei, trebuie să aibă grijă să actualizeze configurațiile comutatorului, să schimbe un comutator sau să adauge un VLAN suplimentar.
2. Configurarea listelor de control al accesului
ACL-uri, care reglementează accesul acordat fiecărui utilizator conectat la o rețea, se aplică și VLAN-urilor. Mai exact, ACL-urile VLAN (VACLs) controlează accesul la un VLAN oriunde se întinde pe un comutator sau unde pachetele intră sau ies din VLAN. Echipele de rețea ar trebui să acorde o atenție deosebită atunci când configurează Vacl-urile, deoarece configurarea lor este adesea complicată. Securitatea rețelei poate fi compromisă dacă apare o eroare atunci când Vacl-urile sunt configurate sau modificate.
3. Aplicați interfețe de linie de comandă
fiecare furnizor de sisteme de operare și switch specifică un set de comenzi CLI pentru a configura și modifica VLAN-urile pe produsul său. Unii administratori construiesc fișiere care conțin aceste comenzi și le editează atunci când este necesar pentru a modifica configurația. O singură eroare în fișierele de comandă poate provoca eșecul uneia sau mai multor aplicații.
4. Luați în considerare pachetele de gestionare
furnizorii de echipamente și terții oferă pachete software de gestionare care automatizează și simplifică efortul, reducând șansele de eroare. Deoarece aceste pachete mențin adesea o înregistrare completă a fiecărui set de setări de configurare, pot reinstala rapid ultima configurație de lucru în cazul unei erori.
identificarea VLAN-urilor cu etichetarea
standardul IEEE 802.1 Q definește modul de identificare a VLAN-urilor.
adresele de control al accesului media destinație și sursă apar la începutul pachetelor Ethernet și urmează câmpul identificator VLAN pe 32 de biți.
tag protocol identifier
TPID-ul formează primii 16 biți ai cadrului VLAN. TPID conține valoarea hexazecimală 8100, care identifică pachetul ca un pachet VLAN. Pachetele fără date VLAN conțin câmpul EtherType în poziția pachetului.
informații privind controlul etichetei
câmpul TCI pe 16 biți urmează TPID. Acesta conține câmpul 3-bit priority code point (PCP), indicatorul eligibil drop single-bit (DEI) și câmpul 12-bit VLAN identifier (VID).
câmpul PCP specifică calitatea serviciului cerut de aplicațiile care partajează VLAN-ul. Standardul IEEE 802.1 p definește aceste niveluri ca fiind următoarele valori:
- valoarea 0 indică un pachet pe care rețeaua face tot posibilul să îl livreze.
- valoarea 1 identifică un pachet de fundal.
- valoarea 2 până la valoarea 6 identificați alte pachete, inclusiv valori care indică pachete video sau vocale.
- valoarea 7, cea mai mare prioritate, este rezervată pachetelor de control al rețelei.
single-bit DEI urmează câmpul PCP și adaugă informații suplimentare câmpului PCP. Câmpul DEI identifică un pachet care poate fi abandonat într-o rețea congestionată.
câmpul VID este format din 12 biți care identifică oricare dintre cele 4.096 VLAN-uri pe care o rețea le poate suporta.
VLAN-uri bazate pe Ethernet
VLAN-urile bazate pe Ethernet pot fi extinse la Wi-Fi folosind un punct de acces conștient de VLAN (AP). Aceste AP-uri separă traficul prin cablu de intrare utilizând adresa de subrețea asociată fiecărui VLAN. Nodurile finale primesc numai datele din subrețeaua configurată.
securitatea aeriană nu poate fi aplicată la fel ca pe un fir. Identificatorii seturilor de servicii sau SSID-urile cu parole diferite sunt utilizate acolo unde este necesar, cum ar fi în rețelele de oaspeți.
VLAN-urile au fost dezvoltate la începutul evoluției tehnologiei de rețea pentru a limita emisiunile și a prioritiza traficul. S-au dovedit a fi utile, deoarece rețelele au crescut în dimensiune și complexitate.