VLAN

Această intrare sau secțiune privind telecomunicațiile nu menționează sursele necesare sau cei prezenți sunt insuficienți . Comentariu : Această intrare lipsește complet de surse Puteți îmbunătăți această intrare adăugând citate din surse de încredere în conformitate cu liniile directoare privind utilizarea surselor .

În telecomunicații și tehnologia informației, termenul VLAN (Virtual Local Area Network) indică un set de tehnologii care permit Segmentarea domeniului de difuzare , care este creat într - un switch- pe bază de rețea locală ( de obicei , IEEE 802.3 ), în mai multe în mod logic , nu comunică locale rețele. unele cu altele, dar care împărtășesc la nivel global aceeași infrastructură de rețea locală fizică. Aplicațiile acestei tehnologii sunt de obicei legate de nevoia de a separa traficul grupurilor de lucru sau departamentelor unei companii, de a aplica diferite politici de securitate IT .

Descriere

Primele versiuni proprietare au permis crearea mai multor rețele „virtuale” (VLAN-uri) pe un singur switch, atribuind fiecărui port uneia dintre aceste rețele. Gazdele conectate la o rețea VLAN ar putea comunica numai între ele și nu cu cele conectate la celelalte VLAN-uri, cu excepția unui router conectat la ambele VLAN-uri, adică printr-o adresare la nivelul 3 al internetului .

De exemplu, să presupunem că avem un singur comutator și trebuie să sporim securitatea, astfel încât utilizatorii unui grup de lucru să nu interacționeze cu utilizatorii unui alt grup. Prin activarea, prin intermediul software - ului , a gestionării VLAN-urilor de pe comutator, este posibil să setați, de exemplu, că pe 24 de porturi Ethernet disponibile, primele 12 fac parte din grupul 1 și al doilea 12 fac parte din grupul 2. Rezultatul este la fel ca pentru ar obține folosind două comutatoare „tradiționale” diferite, unul pentru fiecare rețea, dar cu unele avantaje:

• costuri și dimensiuni: în loc de mai multe comutatoare, este posibil să se utilizeze un singur comutator cu mai multe porturi, economisind costuri de achiziție și întreținere, spațiu ocupat, prize electrice, adrese IP pentru gestionarea de la distanță;
• flexibilitate: porturile de comutare pot fi mutate de la un VLAN la altul prin intermediul unor operații simple de reconfigurare a software-ului, de multe ori efectuate de la distanță. Alte VLAN-uri pot fi adăugate folosind porturile existente și, prin urmare, fără costuri;
• performanță: traficul de difuzare este limitat la VLAN-ul unic;
• securitate: gazdele au acces la traficul lor VLAN. ^[1]

Ulterior, tehnologia a fost dezvoltată, adăugând posibilitatea conectării a două comutatoare împreună prin alăturarea VLAN-urilor prezente pe ele ( canalizare VLAN ), permițând astfel crearea de VLAN-uri care se extind în diferitele părți ale rețelei companiei, chiar și la scară geografică.

Această tehnologie a fost apoi standardizată ca IEEE 802.1Q, astfel încât dispozitivele de rețea de la diferiți furnizori să poată fi interconectate într-un mod interoperabil .

Implementare și terminologie în IEEE 802.1Q

Fiecare VLAN este identificat printr-un număr, numit VID (Vlan ID), variind de la 1 la 4094 (0 și 4095 sunt rezervate).

Pentru a efectua canalizarea VLAN-urilor prezente pe diferite comutatoare, este necesar ca pe legăturile dintre comutatoare să fie posibil să se identifice cărui VLAN îi aparține fiecare pachet . Pentru a face acest lucru, un câmp de 4 octeți este adăugat în cadrul ethernet IEEE 802.3 între adresa de destinație și câmpul tip / lungime, această etichetă, numită VLAN TAG sau DOT1Q TAG, conține VID-ul referitor la acel pachet. Comutatorul care primește acest pachet trebuie să știe că trebuie să interpreteze acești 4 octeți ca un TAG VLAN, iar restul pachetului ca un pachet 802.3 normal.

Un port de pe un comutator pe care se deplasează pachetele cu VLAN TAG se numește port etichetat sau portbagaj . În schimb, un port de acces pe care sunt apelate pachetele fără deplasarea VLAN TAG. Unele comutatoare acceptă, de asemenea, trafic mixt de pachete etichetate și neetichetate, iar un port configurat în acest fel se numește port hibrid .

Mai general, calitatea de membru al unei gazde într-un VLAN poate fi definită în funcție de diferite criterii:

• porturi: ca în exemplul descris mai sus, fiecare port al unui switch este configurat să aparțină unui VLAN dat. Toate pachetele din acel port vor fi „etichetate” cu ID-ul său VLAN și numai pachetele din VLAN-ul său vor fi trimise către acest port. Aceasta este cea mai populară și mai ușoară metodă de implementat, întrucât comutatorul trebuie doar să analizeze din ce port provine un pachet pentru a-i oferi un VID.
• autentificare: diferitele dispozitive pot fi atribuite automat anumitor VLAN-uri pe baza acreditării de autentificare ale utilizatorului sau ale dispozitivului însuși prin utilizarea protocolului 802.1x .
• protocol : apartenența la un VLAN este dictată de protocolul încapsulat în 802.3. De exemplu, pachetele IP pot aparține unui VLAN diferit de cel utilizat de pachetele IPX .
• Adresa MAC sau adresa IP : pachetele sunt atribuite unei VLAN pe baza adresei MAC sau IP a gazdei de la care provin. În acest fel, mai multe gazde pot fi conectate la un port al unui switch, dar aparțin diferitelor VLAN-uri.
• analiza pachetelor: comutatorul care primește pachetul îl examinează în detaliu, posibil până la nivelul aplicației și, pe baza rezultatelor, decide cărui VLAN îl atribuie pe baza conținutului său.

Port și VLAN etichetat și neetichetat cu porturi partajate

În cazul în care doriți să implementați o situație în care trebuie să creați două VLAN-uri distincte (VLAN1 și VLAN2) în care, totuși, trebuie să existe unele mașini vizibile pe ambele VLAN-uri, comutatorul trebuie configurat după cum urmează:

 Vlan1 Vlan2
Tip usi Tip usi
1 Etichetat 1 Etichetat
2 Untagged 5 Untagged
3 Untagged 6 Untagged
4 Untagged 7 Untagged

După cum puteți vedea, portul 1 este prezent în ambele VLAN-uri (etichetate) și este singurul care va fi vizibil pe ambele subrețele. Bineînțeles, placa de rețea conectată la acel port trebuie să poată recunoaște protocolul IEEE 802.1q și să aibă software-ul necesar pentru a putea configura ambele VLAN-uri. Singurul lucru important de reținut este că VID (VLAN ID) trebuie să fie același introdus în configurația comutatorului. Nu toate plăcile de rețea au capacitatea de a configura VLAN-uri și este o idee bună să descărcați software-ul oficial al producătorului și driverele, deoarece, dacă placa de rețea este recunoscută de sistem, este foarte probabil ca acesta să fi încărcat driverele necesare pentru un nivel scăzut. -funcționare la nivel.

Notă

Elemente conexe

• Tehnologia MPLS a fost dezvoltată pentru a permite crearea de configurații VLAN similare pe tehnologii eterogene de nivel de legătură de date .

Portal telematic : accesați intrări Wikipedia care vorbesc despre rețele, telecomunicații și protocoale de rețea