Как работают виртуальные частные сети vlan

Конфигурация первичных и изолированных сетей VLAN

Чтобы создать первичные и вторичные сети VLAN, а также связать различные порты с данными VLAN, выполните следующие действия. В данных действиях описаны примеры ПО CatOS и Cisco IOS. Выполните соответствующий набор команд для установки OS.

  1. Создайте первичную PVLAN.
    • CatOS
      Switch_CatOS (enable) set vlan primary_vlan_id
      pvlan-type primary name primary_vlan!— Примечание. Эта команда должна вводиться в одной строке.

      VTP advertisements transmitting temporarily stopped, and will resume after the command finishes.
      Vlan 100 configuration successful

    • Программное обеспечение Cisco IOS    Switch_IOS(config)#vlan primary_vlan_id
         Switch_IOS(config-vlan)#private-vlan primary
         Switch_IOS(config-vlan)#name primary-vlan
         Switch_IOS(config-vlan)#exit

  2. Создайте одну или несколько изолированных сетей VLAN
    • CatOS    
      Switch_CatOS> (enable) set vlan secondary_vlan_id pvlan-type isolated name isolated_pvlan
         !— Примечание. Эта команда должна вводиться в одной строке
         VTP advertisements transmitting temporarily stopped,
      and will resume after the command finishes.
      Vlan 101 configuration successful
    • Программное обеспечение Cisco IOS
         Switch_IOS(config)#vlan secondary_vlan_id
         Switch_IOS(config-vlan)#private-vlan isolated
         Switch_IOS(config-vlan)#name isolated_pvlan
         Switch_IOS(config-vlan)#exit
  3. Свяжите изолированную(ые) сеть(и) VLAN с первичной VLAN.
    • CatOS
         Switch_CatOS> (enable) set pvlan primary_vlan_id secondary_vlan_id
         Vlan 101 configuration successful
      Successfully set association between 100 and 101.
    • Программное обеспечение Cisco IOS    Switch_IOS(config)#vlan primary_vlan_id
         Switch_IOS(config-vlan)#private-vlan association secondary_vlan_id
         Switch_IOS(config-vlan)#exit
  4. Проверьте конфигурацию частной VLAN.
    • CatOS Switch_CatOS> (enable) show pvlan
      Primary  Secondary  Secondary-Type  Ports
      ——-  ———  —————-  ————
      100      101         isolated
    • Программное обеспечение Cisco IOS Switch_IOS#show vlan private-vlan
      Primary  Secondary  Type              Ports
      ——-  ——— —————— ——-
      100      101        isolated

Настройка LACP

Теперь представим что у нас есть ядро и два коммутатора доступа L2. И между L2 и ядром нужно настроить агрегацию с помощью протокола LACP.

Что такое и как настроить Link Aggregation Control Protocol (LACP) на примере Cisco-09

Перед настройкой агрегирования лучше выключить физические интерфейсы. Достаточно отключить их с одной стороны (в примере на sw1), затем настроить агрегирование с двух сторон и включить интерфейсы.

Подключаемся ко второй Cisco через ssh или терминал.

config t

Я буду использовать гигабитные интерфейсы fa0/23-24

Что такое и как настроить Link Aggregation Control Protocol (LACP) на примере Cisco-10

Посмотрим настройки show etherchannel summary

Что такое и как настроить Link Aggregation Control Protocol (LACP) на примере Cisco-11

Делаем на втором коммутаторе L2 тоже самое.

Теперь настроим ядро на уровне L3.

Подключаемся к ядру Cisco через ssh или терминал.

config t

Будем настраивать две пары портов fa0/1-2 и fa0/3-4

channel-group 1 mode active

Что такое и как настроить Link Aggregation Control Protocol (LACP) на примере Cisco-12

Аналогично настроим fa0/3-4

interface range fastEthernet 0/3-4 channel-protocol lacp

channel-group 2 mode passive

exit

Что такое и как настроить Link Aggregation Control Protocol (LACP) на примере Cisco-1

Смотрим что настроили

Что такое и как настроить Link Aggregation Control Protocol (LACP) на примере Cisco-14

Подключаем линки и видим что все ок

Что такое и как настроить Link Aggregation Control Protocol (LACP) на примере Cisco-15

Что такое и как настроить Link Aggregation Control Protocol (LACP) на примере Cisco-16

LACP с VLAN

Если у вас есть vlan, то каждую port-channel Нужно перевести в режим trunk командой

switchport mode trunk

НА коммутаторе третьего уровня сначала нужно создать нужные vlan и задать им ip адреса, а уже потом переводить port-channel в режим trunk. Для примера создам vlan 2 и назначу ему ip.

ip address 192.168.2.251 255.255.255.0

int port-channel 1

switchport trunk encapsulation dot1q

switchport mode trunk

Для второй port-channel тоже самое, в итоге у вас будет работать вот такая схема.

Мы разобрали как настроить Link Aggregation Control Protocol (LACP) на примере Cisco.

Types of VLAN

There are only two types of VLAN possible today, cell-based VLANs and frame-based VLANs.

  • Cell-based VLANs are used in ATM switched networks with LAN Emulation (or LANE). LANE allows hosts on traditional LAN segments to communicate using ATM networks without having to use special hardware or software modification.
  • Frame-based VLANs are used in Ethernet networks with frame tagging. The two primary types of frame tagging are IEEE 802.10 and ISL (Inter Switch Link is a Cisco proprietary frame-tagging). Keep in mind that the 802.10 standard makes it possible to deploy VLANs with 802.3 (Ethernet), 802.5 (Token-Ring), and FDDI, but Ethernet is most common.

VLAN Modes

There are three different modes in which a VLAN can be configured. These modes are covered below:

  • VLAN Switching Mode – The VLAN forms a switching bridge in which frames are forwarded unmodified.
  • VLAN Translation Mode – VLAN translation mode is used when the frame tagging method is changed in the network path or if the frame traverses from a VLAN group to a traditional or native interface that is not configured in a VLAN. When the packet needs to pass into a native interface, the VLAN tag is removed so that the packet can properly enter the native interface.
  • VLAN Routing Mode – When a packet is routed from one VLAN to a different VLAN, use VLAN routing mode. The packet is modified, usually by a router, which places its own MAC address as the source and changes the packet’s VLAN ID.

Связь порта RJ45 с сетевым кабелем Ethernet

Если мы хотим использовать весь потенциал нашего Интернет-соединения, наш порт LAN должен поддерживать определенную скорость, как мы объясняли в предыдущем разделе. Затем, чтобы подключиться к этому компьютеру и установить связь, нам понадобится сетевой кабель Ethernet. Однако сетевые кабели не все одинаковы. Это означает, что, если мы не выберем правильный, мы можем потратить впустую всю пропускную способность нашего соединения. Таким образом, сетевые кабели классифицируются по категориям в зависимости от их скорости. Вот те, которые сегодня используются чаще всего:

Например, для портов Gigabit Ethernet большинства современных маршрутизаторов, чтобы использовать соединение более 100 Мбит, потребуется сетевой кабель категории Cat 6 или Cat 5E. Прямо сейчас, учитывая небольшую разницу в цене между ними, сетевой кабель Cat 6 был бы более интересным.

Коммутируемый доступ

Коммутируемый доступ является, вероятно, одним из первых общедоступных способов удаленного подключения к сетям передачи данных.

Классическая схема организации такого доступа довольно проста – компания покупает один или несколько телефонных номеров и необходимое количество соединительных линий (аналоговых или в цифровом потоке E1) у оператора классической телефонной связи, устанавливает модемный пул, настраивает сервер доступа и может подключать пользователей.

В настоящее время данный способ доступа в сеть практически потерял свою привлекательность из-за низкой устойчивости соединений и скорости доступа и высоких затрат на выделенные телефонные номера, покупку входящего телефонного трафика и т.п. Вместо него все чаще используется подключение через Интернет по защищенному VPN-туннелю, поскольку сегодня подключение к Интернету порой найти проще, чем аналоговый городской телефон.

До сих пор используется некоторыми компаниями для подключения своих мобильных сотрудников к корпоративной сети передачи данных, а в некоторых случаях таким способом подключаются небольшие офисы.

К основным плюсам данного подключения следует отнести возможность мобильного подключения пользователей из любой географической точки, возможность контролировать доступ в сеть и «непередача» корпоративной информации по сетям передачи данных общего пользования. Хотя данные, передаваемые по телефонной сети общего пользования, обычно также нуждаются в дополнительной защите.

Сейчас услугу коммутируемого доступа в корпоративную сеть предлагают многие операторы связи. При этом все пользователи используют единый телефонный номер для доступа в свои корпоративные сети, а определение их принадлежности к той или иной компании осуществляется на основе уникального имени и пароля. Управление именем и паролем может быть делегировано оператором в компанию-заказчик услуги.

Пройдя авторизацию, пользователь через транспортную сеть оператора попадает в свою корпоративную сеть. По уровню безопасности такой доступ, с одной стороны, мало чем отличается от доступа в корпоративную сеть через Интернет, с другой стороны, в том, что сотрудники компании не соприкасаются с Интернетом, тоже есть немалое преимущество.

Таким же образом может осуществляться подключение небольших филиалов, которым требуется только периодический доступ к корпоративным ресурсам.

Для мобильных пользователей, а также для организации доступа из мест, где нет фиксированной телефонной связи и доступа в Интернет, возможна схема подключения к корпоративной сети с использованием GPRS. В этом случае пользователь подключается по GPRS к Интернету, а затем с помощью VPN-клиента подключается к корпоративной сети.

Рис. 2. Варианты организации коммутируемого доступа к КСПД

Основной недостаток коммутируемого доступа – низкая скорость передачи данных. Это зачастую делает некомфортной или даже невозможной работу с корпоративными приложениями. Лишает возможности удаленной работы с большими объемами данных. При необходимости доступа к приложениям на низких скоростях, такую функцию обычно закладывают заранее, используя специально написанные «тонкие» клиенты. В случае необходимости удаленной работы с приложениями, требующими больших объемов передачи данных, прибегают к использованию терминальных серверов (сейчас для этих целей в основном используется Citrix MetaFrame или Microsoft Terminal Server). В таких случаях удаленный пользователь сначала устанавливает со­единение с терминальным сервером, а уже с него работает с необходимыми приложениями. При этом все данные приложения передается по высокоскоростным каналам между сервером приложений и терминальным сервером, а пользователь получает только копии экрана терминального сервера. Кстати говоря, использование терминальных серверов дает сетевым администраторам дополнительную единую точку контроля удаленного доступа к корпоративным приложениям.

Схемы с вариантами подключения приведены на Рис. 2.

Как сразу построить сеть хорошо

Один из способов организовать VLAN правильно — установить сервисный шлюз BRAS L2. Он создает VLAN-туннель для каждого хоста, а по VLAN-логину авторизует и выдает IP-адрес. Система позволяет не просто организовать VLAN, но и пользоваться всеми преимуществами этой технологии:

  • IP Source Guard. Эта функция BRAS защитит абонентов от хакерских спуффинг-атак. Она проверит принадлежность LAN-пакета к той же самой VLAN, из которой была регистрация по DHCP. Если это не подтвердится, пакет отфильтруется;
  • BRAS может обеспечить быстрый обмен трафиком внутри сети, замкнув локальный трафик от абонента к абоненту;
  • BRAS идентифицирует пользователей по номерам VLAN-сетей и Q-in-Q-сетей, а также традиционно — по IP-адресам. Также можно использовать традиционные MAC-адреса. Таким образом, неправомерные запросы фильтруются, а сеть становится безопаснее;
  • BRAS L2 контролирует соединения между абонентами, поддерживает Full-Proxy ARP, а также следит за доступом к сетевым сервисам в ядре.

BRAS L2 также может авторизовать статические IP через ARP-запрос, передавать VLAN-тэги и Q-in-Q-тэги в Radius-запросе, использовать опцию 82 для DHCP-запроса, а также терминировать трафик только для конкретно указанных AS (автономных систем).

Вы можете выбрать для работы BRAS L2 один из этих трех режимов. VLAN-тэги и Q-in-Q-тэги учитываются во всех из них:

  • BRAS L2 DHCP relay agent. Здесь абоненты авторизуются по MAC-адресу через Radius-сервер. IP-адреса выдает DHCP-сервер. Отдельно можно включить опцию 82 для DHCP-запроса, а также ARP-прокси и ARP-авторизацию;
  • BRAS L2 DHCP Radius proxy. Здесь для авторизации абонентов применяются MAC-адрес и Radius-сервер. В роли DHCP-сервера выступают fastDPI вместе с fastPCRF. Есть опции ARP-прокси и ARP-авторизации;
  • BRAS L2 PPPoE. Здесь для авторизации абонентов применяется PPPoE с протоколами CHAP, MS-CHAPv2, PAP. Или же можно использовать MAC-адрес.

BRAS L2 — это часть системы для анализа и контроля трафика СКАТ DPI, которая является комплексным решением. Она подходит для любого сервисного оборудования, гибко настраивается, а протестировать ее можно бесплатно.

Системой пользуются более 1000 провайдеров в России и мире. Аппаратной основой для установки СКАТ DPI может выступать стандартный сервер на базе Intel Xeon.

Версия Cisco

Cisco под “trunk’ом” понимает канал типа “точка-точка” (канал связи, напрямую соединяющий два устройства), который соединяет коммутатор и другое сетевое устройство, например еще один коммутатор или маршрутизатор. Его задача – передавать трафик нескольких VLAN через один канал и обеспечивать им доступ ко всей сети. В простонародии называется «транком», что логично.

Начнем с того, что такое VLAN?

VLAN расшифровывается как Virtual local area network или виртуальная локальная сеть.

Это технология, которая позволяет разделить одну физическую сеть на несколько логических, работающих независимо друг от друга.

Например, есть на предприятии отдел кадров, бухгалтерия и IT-отдел. У них есть свои коммутаторы, которые соединены через центральный коммутатор в единую сеть, и вот сети этих отделов и нужно отделить друг от друга. Тогда-то на помощь и приходит технология VLAN.

Так выглядит сеть, разделенная на VLAN’ы (виртуальные сети).

Часто для обозначения VLAN’а используют разные цвета.

Так порты, обозначенные зеленым цветом, входят в один VLAN, а порты, обозначенные красным цветом, в другой. Тогда компьютеры, которые находятся в одном VLAN’е, могут взаимодействовать только друг с другом, а с компьютерами, входящими в другой VLAN, не могут.

Перемены в таблице коммутации в VLAN

При создании VLAN’ов в таблицу коммутации у коммутаторов добавляется еще одно поле, в котором указываются идентификаторы VLAN.

Упрощенно это выглядит так:

Тут мы видим, что порты 1 и 2 принадлежат VLAN’у 2, а порты 3 и 4 – VLAN’у 10.

Идем дальше.

На канальном уровне данные передаются в виде кадров (фреймов). При передаче кадров от одного коммутатора к другому нужна информация о том, к какому VLAN’у принадлежит тот или иной кадр. Эту информацию добавляют в передаваемый кадр.

На данный момент для этой цели используют открытый стандарт IEEE 802.1Q.

Пошаговая эволюция кадра в VLAN

  1. Компьютер генерирует и отправляет обычный кадр (фрейм, он же пакет канального уровня, т.е. уровня коммутаторов), ничего не добавляя.
    Этот кадр выглядит так:
  1. Коммутатор получает кадр. В соответствии с таблицей коммутации, он понимает, с какого компьютера пришел кадр, и к какому VLAN’у принадлежит этот компьютер. Тогда коммутатор сам добавляет в кадр служебную информацию, так называемый тег. Тег – это поле после MAC-адреса отправителя, в котором содержится, грубо говоря, номер VLAN’а.
    Так выглядит кадр с тегом:

Затем коммутатор отправляет этот кадр на другой коммутатор.

  1. Коммутатор, который принимает кадр, извлекает из него информацию о VLAN, то есть понимает, на какой компьютер нужно передать этот кадр, удаляет всю служебную информацию из кадра и передает его на компьютер получателя.
  1. На компьютер получателя приходит кадр уже без служебной информации.

Теперь возвращаемся к нашему “trunk’у”.

Порты коммутатора, поддерживающие VLAN можно разделить на две группы:

  1. Тегированные порты (или trunk-порты у Cisco)
  2. Нетегированные порты (или access порты)

Нас интересуют тегированные порты или trunk-порты. Они как раз и служат для того, чтобы через один порт можно было передавать данные, принадлежащие к разным VLAN и получать данные нескольких VLAN на один порт (мы помним, что обычно порты из разных VLAN друг друга не видят).

На этом рисунке тегированными являются порты номер 21 и 22, которые соединяют два коммутатора. Через них и будут проходить кадры, например, от компьютера Е к компьютеру А, которые находятся в одном VLAN’е, по схеме, которая описана выше. Так вот, канал связи между этими портами у Cisco как раз и называется “trunk’ом”.

Настройка маршрутизации между vlan на Cisco 2960

Итак, нам понадобится IOS версии не ниже 12.2(55) с набором фич LanBase. Обычно сетевые администраторы даже не догадываются, что с его помощью можно превратить L2-коммутатор Cisco 2960 практически в L3 (а точнее, в «маленький» маршрутизатор).

Правда, не ожидайте, что ваш коммутатор станет поддерживать протоколы динамической маршрутизации, такие как OSPF или EIGRP, но для данной платформы поддержка маршрутизации междуVLAN и 16-ти статических маршрутов может быть вполне достаточно. Запомните, что один из этих статических маршрутов можно использовать как маршрут по умолчанию на HSRP ip-адрес коммутаторов distribution-/core-уровня, позволяя реализовать маршрутизацию уровня access практически «бесплатно».

Если вы загрузили версию IOS 12.2(55) или выше на ваш Cisco 2960, следует убедиться, что на нем запущена правильная версия SDM (Switching Database Manager). Если же вы не знакомы с шаблонами SDM на коммутаторах Catalyst, то вам определенно стоит с ними ознакомиться, особенно учитывая тот факт, что данные шаблоны помогают коммутатору контролировать ресурсы TCAM (другими словами, mac-таблицами, таблицами маршрутизации, юникастом/малтикастом, QoS и т.д. – хоть и не все они поддерживаются конкретно на платформе 2960).

Теоретические сведения

PVLAN – это VLAN с конфигурацией для изоляции уровня 2 от других портов с таким же доменом широковещательной рассылки или подсетью. Можно назначить особый набор портов в PVLAN и таким образом контролировать доступ к портам на уровне 2. А также можно настроить сети PVLAN и обычные VLAN на одном коммутаторе.

Существует три типа портов PVLAN: случайный, изолированный и общий.

  • Случайный порт взаимодействует с другими портами PVLAN. Изолированный порт – это порт, который используют для взаимодействия с внешними маршрутизаторами, LocalDirectors, устройствами управления сетью, резервными серверами, административными рабочими станциями и другими устройствами. На других коммутаторах порт для модуля маршрутизатора (например плата многоуровневой коммутации ) должен быть случайным.
  • На изолированном порте есть полное разделение уровня 2 от других портов с такой же PVLAN. Данное разделение содержит широковещательные рассылки. Исключением является только случайный порт. Разрешение конфиденциальности на уровне 2 присутствует в блоке исходящего трафика ко всем изолированным портам. Трафик, приходящий из изолированного порта, направляется только на все изолированные порты.
  • Общие порты могут взаимодействовать друг с другом и со случайными портами. У данных портов есть изоляция уровня 2 от других портов в других сообществах или от изолированных портов в сети PVLAN. Рассылки распространяются только между связанными портами сообщества и разнородными портами.

Маршрутизатор служит для объединения физических локальных сетей

До момента появления виртуальных частных сетей мы должны были сегментировать локальную сеть LAN на основе физических коммутаторов.

Чем больше сегментов вам необходимо организовать, тем больше коммутаторов вам необходимо закупить. Маршрутизатор используется для пересылки трафика между локальными сетями.

Ситуация становится более сложной, если у вас есть 2 отдельных офиса. И если сеть настроена согласно схеме выше, то вам потребуется не один, а два отдельных кабеля между офисами. В зависимости от удаленности локаций прокладка данных трасс может вылиться в серьезные затраты. А теперь представьте, что у вас 3 и более офисов, а отделов в компании, например, 5. Получается, что необходимо прокладывать 15 кабельных трасс — бизнес на такое не пойдет.

Нам необходимо решение, которое помогло бы устранить проблему выше. Мы больше не можем полагаться на физическую сегментацию, поскольку она не является гибкой, более дорогой и делает вашу жизнь сложнее.Решение называется Virtual LAN — VLAN.

Благодаря использованию виртуальных частных сетей VLAN у нас появляется больше возможностей для сегментации сети на основе портов или даже на основе MAC-адреса или протоколов.

VLAN Типы PVLAN

В private VLAN, VLAN доступны в трех типах:

Первичная VLAN: этот тип VLAN относится к исходной VLAN, которая может передавать нисходящие кадры во все свои sub-VLAN (вторичные VLAN) от смешанных портов до всех портов, подключенных к хосту.

Изолированная VLAN: как вторичная VLAN, изолированная VLAN может поддерживать только порты коммутатора (изолированные порты) в изолированной VLAN, перенаправляя данные на смешанные порты в основной VLAN. Даже в той же изолированной VLAN, изолированные порты не могут общаться друг с другом.

Сообщество VLAN: сообщество VLAN также является типом вторичной VLAN. Порты коммутатора (портовое сообщество) в одной и той же VLAN сообщества могут сообщаться друг с другом, а также с портами первичной VLAN. Но такой тип VLAN также не может сообщаться с другими вторичными VLAN, включая другие VLAN сообщества.

Общая информация об агрегировании каналов

Агрегирование каналов позволяет решить две задачи:

  • повысить пропускную способность канала
  • обеспечить резерв на случай выхода из строя одного из каналов

Большинство технологий по агрегированию позволяют объединять только параллельные каналы. То есть такие, которые начинаются на одном и том же устройстве и заканчиваются на другом.

Что такое и как настроить Link Aggregation Control Protocol (LACP) на примере Cisco-0

Если рассматривать избыточные соединения между коммутаторами, то без использования специальных технологий для агрегирования каналов, передаваться данные будут только через один интерфейс, который не заблокирован STP. Такой вариант позволяет обеспечить резервирование каналов, но не дает возможности увеличить пропускную способность.

Что такое и как настроить Link Aggregation Control Protocol (LACP) на примере Cisco-01

Без использования STP такое избыточное соединение создаст петлю в сети.

Технологии по агрегированию каналов позволяют использовать все интерфейсы одновременно. При этом устройства контролируют распространение широковещательных фреймов (а также multicast и unknown unicast), чтобы они не зацикливались. Для этого коммутатор, при получении широковещательного фрейма через обычный интерфейс, отправляет его в агрегированный канал только через один интерфейс. А при получении широковещательного фрейма из агрегированного канала, не отправляет его назад.

Хотя агрегирование каналов позволяет увеличить пропускную способность канала, не стоит рассчитывать на идеальную балансировку нагрузки между интерфейсами в агрегированном канале. Технологии по балансировке нагрузки в агрегированных каналах, как правило, ориентированы на балансировку по таким критериям: MAC-адресам, IP-адресам, портам отправителя или получателя (по одному критерию или их комбинации).

То есть, реальная загруженность конкретного интерфейса никак не учитывается. Поэтому один интерфейс может быть загружен больше, чем другие. Более того, при неправильном выборе метода балансировки (или если недоступны другие методы) или в некоторых топологиях, может сложиться ситуация, когда реально все данные будут передаваться, например, через один интерфейс.

Некоторые проприетарные разработки позволяют агрегировать каналы, которые соединяют разные устройства. Таким образом резервируется не только канал, но и само устройство. Такие технологии в общем, как правило, называются распределенным агрегированием каналов (у многих производителей есть своё название для этой технологии).

На этой странице рассматривается в основном агрегирование параллельных каналов. Для распределенного агрегирования выделен отдельный раздел в котором указаны соответствующие технологии некоторых производителей. Распределенное агрегирование в коммутаторах HP (ProCurve) рассмотрено более подробно.

L2 VPN канал (обычно Metro Ethernet)

Для объединения корпоративных сетей на уровне Ethernet наиболее подходящим решением будет использование либо высокоскоростных арендованных каналов, либо услуг L2 VPN.

Для заказчика подключение к L2 VPN каналам обычно представляется в виде подключения к порту Ethernet (на скорости 10 или 100Мбит/с). При этом сеть оператора связи выступает в роли «виртуального коммутатора», пересылающего пакеты между ЛВС отдельных офисов. Количество офисов при этом теоретически не ограничено. Возможна организация соединения между офисами Ethernet-транками (стандарт IEEE 802.1q).

У провайдера в таком случае применяется технология инкапсуляции пользовательских VLAN в один свой VLAN по технологии Q-in-Q.

Однако при таком подключении зачастую сложно организовать резервные каналы из-за того, что провайдер может не пропускать по своей сети BPDU-пакеты заказчика и есть угроза возникновения петель в его Ethernet-сети.

К плюсам таких решений для корпоративного пользователя относится низкая, по сравнению с аналогичными решениями на базе MPLS сети, стоимость канала, простота настройки оборудования и его стоимость, возможность передачи трафика, отличного от IP.

Относительно низкая стоимость организации высокоскоростных Ethernet-каналов позволяет рассматривать данный способ подключения и для соединения сетей заказчика на уровне IP с установкой на окончании канала маршрутизаторов, на которые часто возлагается задача шифрования передаваемого трафика.

Разделение данных между клиентами в операторских MetroEthernet сетях основано на использовании меток VLAN-ID в сетях провайдера. Если по сети передаются конфиденциальные данные, то обычно предпринимаются дополнительные меры по обеспечению их безопасности.

Решение для шифрования Ethernet-трафика на высоких скоростях не распространено. Поэтому при необходимости шифрования Ethernet-трафика применяются специальные решения.

В частности, применяется инкапсуляция Ethernet-фреймов в IP-пакеты, которые затем шифруются перед передачей в каналы сети Metro Ethernet. Данное решение требует установки дополнительного высокопроизводительного сетевого оборудования. Зачастую проще и дешевле произвести изначальное планирование сети передачи данных так, чтобы соединение между офисами производилось на сетевом (IP) уровне или чтобы данные, требующие дополнительной защиты, шифровались до передачи в сеть на уровне приложений.

Результаты экспериментов и анализ

1、Хост для отдела маркетингаОтправьте эхо-запрос в информационный отдел (.3), финансовый отдел (.2) и сервер компании (.4) соответственно:

Скриншот результата:

Анализ результатов:Из двух приведенных выше снимков экрана видно, что эхо-запрос между тремя хостами ПК недоступен, что доказывает, что подразделение VLAN действительно изолирует широковещательный домен и соответствует требованиям эксперимента.

2、Сервер компанииОтправьте запрос в финансовый отдел (.2), ​​отдел маркетинга (.1) и информационный отдел (.3) соответственно:

С помощью трех приведенных выше изображений мы успешно выполнили эхо-запрос трех хостов (отделов) ПК на сервере компании соответственно, что показывает, что управление правами доступа реализуется путем разделения каждого узла на vlan. Возвращаясь к самому знанию, на самом деле роль технологии VLAN заключается в изоляции широковещательного домена.

↓↓ Думаю, вы устали после прочтения здесь, приходите послушать песню MV! Звезды, я очень шокирован! ↓↓

Сцена на уровне Бога! ! Не пожалей! ! Battle of Nature 2 Выпуск 9 «Звезды»

Что означает LAN на модеме

Не меньший интерес вызывает вопрос, что означает на модеме LAN, и в чем его отличие. Эта аббревиатура расшифровывается как Local Area Network или в переводе — «локальная сеть». Здесь подразумевается подключение разных устройств к одному роутеру, что создает единое сетевое окружение. В результате формируется группа ПК и периферийного оборудования, объединенная в локальную сеть с помощью проводов, коммутаторов и беспроводного подключения.

Также необходимо знать, что значит на модеме LAN порт. Это разъем, предназначенный для подключения к нему периферийного оборудования. В эту группу входят компьютеры, принтеры, SIP телефоны и иная техника. LAN иногда называют Ethernet-портом, требующим правильной настройки. В частности, для правильной работы нужно присвоить маршрутизатору IP-адрес для подключения с других ПК. Во избежание путаницы в случае применения DHCP требуется резервирование IP адресов в роутере вручную.

Если имеющихся портов LAN в роутере не хватает для подключения оборудования, попробуйте использовать коммутатор. Для этого предварительно задайте IP адрес и маску сети, а в качестве шлюза выберите IP-адрес главного маршрутизатора (того, в котором предусмотрен выход в Интернет)

При использовании коммутатора важно выключить на нем раздачу IP-адресов по DHCP

В состав локальной сети входит и беспроводное подключение, позволяющее подключиться к роутеру разным устройствам, в том числе смартфону. Но эта сфера касается Вай-Фай и является отдельной темой.

Для чего нужны виртуальные частные сети VLAN

Сети VLAN упрощают сетевым администраторам задачу разбивки единой коммутируемой сети на логические сегменты в соответствии с функционалом и требованиями безопасности работы корпоративных систем. При этом нет необходимости в прокладке и перекоммутации новых кабелей или существенных изменениях в текущей сетевой инфраструктуре. Весь процесс организации новой схемы работы происходит на логическом уровне — на уровне настройки сетевого оборудования. Порты (интерфейсы) на коммутаторах могут быть назначены одной или нескольким виртуальным сетям. Что позволяет разделить систему на логические группы. На основе того, каким подразделениям принадлежит тот или иной сервис или ресурс, устанавливаются правила, согласно которым системам в отдельных группах разрешено связываться друг с другом. Конфигурация групп может варьироваться от простой идеи — компьютеры в одной виртуальной сети могут видеть принтер в этом сегменте, но компьютеры за пределами сегмента не могут, — до относительно сложных моделей. Например, компьютеры в отделах розничного банковского обслуживания не могут взаимодействовать с компьютерами в торговых отделах.

Каждый логический сегмент виртуальной сети обеспечивает доступ к линии передачи данных всем хостам, подключенным к портам коммутатора, настроенным с тем же идентификатором сети. Тег VLAN — это 12-разрядное поле в заголовке Ethernet кадра, которое обеспечивает поддержку до 4096 VLAN для каждого домена коммутации. Маркировка VLAN стандартизована в IEEE (Институт инженеров по электротехнике и электронике) 802.1Q и часто называется Dot1Q.

WAN на роутере

Как уже не сложно догадаться, WAN порт (ВАН порт) на роутере служит для подключения кабеля с сигналом интернет. Именно в этот порт (или порты, если маршрутизатор поддерживает подключение двух каналов связи) и нужно подключать WAN кабель, идущий от оборудования интернет провайдера. Поскольку только на этом порте имеется возможность произвести все необходимые настройки, такие как ввод логина, пароля, IP адреса и прочего.

Также некоторые модели роутеров позволяют использовать LAN для подключения интернета. Это актуально для устаревших DSL роутеров, поскольку в них отсутствует WAN и подключить туда современный высокоскоростной интернет по технологии FTTx можно только благодаря этой функции. Чтобы её задействовать, нужно в настройках маршрутизатора выбрать один из LAN портов и настроить как WAN. Далее нужно будет вставить кабель в этот разъём и произвести настройку для доступа в интернет.

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
PR-HOST
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: