VLAN (Virtual Local Zona Network) - grup de dispozitive care au capacitatea de a interacționa în mod direct la nivelul legăturii de date, deși fizic și pot fi conectate la diferite switch-uri de rețea. Pe de altă parte, dispozitivele din diferite VLAN'ah, invizibile între ele la nivelul legăturii de date, chiar dacă acestea sunt conectate la același comutator, și comunicarea între aceste dispozitive este posibilă numai la rețea și niveluri mai ridicate.
În rețelele de astăzi, VLAN - mecanismul principal pentru a crea o topologie de rețea logică, independentă de topologia fizică. VLAN-uri sunt utilizate pentru a reduce traficul de difuzare în rețea. Sunt de mare importanță în ceea ce privește securitatea, în special ca mijloc de combatere a ARP-spoofing'om.
De ce am nevoie de VLAN?
Dispozitivele flexibile de separare în grupuri
De regulă, un singur VLAN corespunde unei subrețea. Dispozitivele care sunt în diferite VLAN, vor fi în subrețele diferite. Dar, în același timp, VLAN nu este legată de amplasarea dispozitivelor și, prin urmare, dispozitiv situat la o distanță unul față de celălalt, poate fi în continuare în același VLAN, indiferent de locație
Reducerea volumului de trafic de difuzare în rețea
Fiecare VLAN - este un domeniu separat de difuzare. De exemplu, comutatorul - un nivel de dispozitiv 2 al modelului OSI. Toate porturile de pe comutator fără VLAN-uri sunt în același domeniu de difuzare. Crearea unui VLAN pe comutator înseamnă partiționare comutatorul în domenii multiple de difuzare. În cazul în care același VLAN au peste switch-uri, apoi porturile de diferite switch-uri vor forma un singur domeniu de difuzare.
Creșterea securității și maniabilitate rețelei
În cazul în care rețeaua este împărțită în VLAN, simplifică sarcina politicilor și regulamentelor de securitate de aplicare. Cu VLAN politici pot fi aplicate la subrețele întregi, mai degrabă decât la un dispozitiv separat. În plus, trecerea de la un VLAN la altul implică trecerea prin dispozitivul 3 niveluri, care este, în general politicile aplicabile permit sau refuza accesul la VLAN în VLAN.
Etichetarea traficului VLAN
Computer când trimite trafic la rețea nu are nici o idee în care VLAN i se atribuie este găzduit. Acest comutator se gândește. Comutatorul știe că computerul este conectat la un anumit port, situat în VLAN'e corespunzătoare. Traficul care la portul anumitor VLAN'a, nu este diferit de alte VLAN'a de trafic. Cu alte cuvinte, nu există informații despre un anumit trafic accesorii VLAN'u nu are.
Cu toate acestea, în cazul în care portul poate veni traficul de diferite VLAN-uri, switch-ul ar trebui să-l într-un fel distinge. În acest scop, fiecare cadru (cadru) de trafic trebuie să fie marcate într-un mod special. Nota ar trebui să fie vorba despre ceea ce aparține de trafic VLAN'u.
Cea mai comună metodă este pus acum o astfel de marcă este descrisă în standardul IEEE deschis 802.1Q. Există protocoale proprietare care rezolvă probleme similare, de exemplu, protocolul ISL de la Cisco Systems, dar popularitatea lor este mult mai mic (și redus).
aparținând unui VLAN
porturi switch de sprijin VLANs, (cu anumite ipoteze) pot fi împărțite în două seturi:
Porturile etichetate (porturi sau trunchi, trunchi în porturi Cisco terminologie).
porturi neetichetate (sau porturile de acces, acces la porturi în terminologia Cisco);
Porturile etichetate au nevoie la un singur port a fost capabil să treacă mai multe VLAN-uri, și, prin urmare, primesc trafic de la mai multe VLAN-uri per port. Informații despre trafic accesorii VLAN'u, așa cum sa menționat mai sus, este indicată într-o etichetă specială. Fără a comuta tag-ul nu va fi în măsură să se facă distincția între traficul din diferite VLAN-uri.
În cazul în care portul este nemarcate în unele VLAN i se atribuie, traficul de VLAN neetichetate. Pe portul neetichetate Cisco poate fi doar într-un singur VLAN. alte comutatoare (de exemplu, ZyXEL, D-Link și Planet) această limitare nu este prezent.
În cazul în care portul este etichetat pentru mai multe VLAN-uri, atunci traficul întreg neetichetate va lua nativ VLAN'om speciale (VLAN nativ). Cu această opțiune (nativă, PVID, portul VID) are loc cea mai mare confuzie. De exemplu, switch-uri Planet pentru portul neetichetate să funcționeze în mod corespunzător este necesar pentru a pune în portul într-un VLAN, setați modul de a portului neetichetate, și să se înregistreze același număr VLAN în PVID portului. HP ProCurve face opusul, etichetat portul începe să lucreze ca doar etichetat dacă ai pus-o în PVID «Niciuna».
În cazul în care portul aparține doar un singur VLAN ca un neetichetate, etichetat traficul care vine prin acest port ar trebui să fie eliminată. De fapt, acest comportament este de obicei setat.
Cel mai simplu mod de a afla dacă „uită“ structura internă a întregului comutator și un început numai pentru porturi. Să presupunem că există un număr VLAN 111, există două porturi care aparțin VLAN 111. Ele comunică doar între ele, cu neetichetate / acces-port de trafic merge la neetichetate /-trunchi traficul port de etichetat etichetat în VLAN 111. Toate conversiile necesare în mod transparent în sine face trecerea.
De obicei, considerate a fi VLAN 1. Membrii neetichetate în mod implicit, toate porturile switch sunt în proces de setări de comutare sau de funcționare, acestea pot fi mutate în alte VLAN-uri.
Există două abordări pentru portul de destinație într-un anumit VLAN:
1) Atribuirea statică - atunci când VLAN'u membru al portului este specificat de către administrator în timpul procesului de configurare;
2) Alocarea dinamică - când VLAN'u port pentru accesorii determinat în timpul funcționării comutatorului utilizând procedurile descrise în standardele specifice, cum ar fi 802.1X. Când utilizați 802.1X pentru a avea acces la portul de comutare, utilizatorul este autentificat la RADIUS-server. Conform rezultatelor portului de autentificare a comutatorului este plasat într-un anumit VLANe (mai multe informații: 802.1x și RADIUS).