VLAN - Sanal Yerel Alan Ağı. Tanıtım. VLAN Kimliği - nedir

Rostelecom'dan bir yönlendirici / modemi bağımsız olarak bağlamaya ihtiyacınız varsa veya buna karar verdiyseniz, IPTV veya dijital telefon hizmetlerine bağlanmanız gerekiyorsa, VLAN kimliğinin ne olduğunu ve nasıl bulunacağını bilmelisiniz.

VLAN Kimliği, coğrafi konum gibi herhangi bir fiziksel engeli atlayarak çok seviyeli sanal ağlar oluşturabileceğiniz, belirli bilgileri doğru cihazlara aktarabileceğiniz 12 bitlik bir sayı kümesidir. ViLan teknolojisi, ortak bir ağın oluşturulmasını sağlayan cihazlarda bulunur. Basit bir ifadeyle, "ViLan" kimliği, kendisini tanıyan (anahtarlar) özel cihazların veri paketleri gönderdiği bir adrestir.

Teknoloji oldukça uygundur, hem avantajları hem de dezavantajları vardır, Rostelecom tarafından veri iletimi için kullanılır: örneğin, dijital televizyon (IPTV) için. Yani, IPTV'yi kendiniz bağlamaya veya yapılandırmaya karar verdiyseniz, tanımlayıcıyı bilmeniz gerekir. Tahmin edebileceğiniz gibi, Rus şirketi bu özel numara setlerini, ortak bir "adresindeki" kişilerin IPTV izlemek için modemlerini / yönlendiricilerini kullanabilmeleri için kullanıyor. Yani bu "işaret" farklı kişilerin aynı bilgiyi almasına izin verir.

Bu sadece kolaylık sağlamak ve fiziksel sınırları atlamak için yapılmaz. Tanımlayıcı, çeşitli sanal ağlara erişimi güvenli hale getirmenizi sağlar. Örneğin, konuk bağlantılarını kurumsal bağlantılardan ayırın veya IPTV durumunda, yalnızca belirli kullanıcılara erişim izni verin.

trafiği etiketleme

Etiketli ve etiketsiz bağlantı noktaları vardır. Bu, etiketleri kullanan ve kullanmayan diğer bağlantı noktalarının olduğu anlamına gelir. Etiketlenmemiş bir bağlantı noktası yalnızca kişisel bir VLAN iletebilir, etiketli bir bağlantı noktası çeşitli "işaretçilerden" trafik alabilir ve gönderebilir.

Etiketler trafiğe "iliştirilir", böylece ağ anahtarları onu tanıyabilir ve alabilir. Etiketler Rostelecom tarafından da kullanılmaktadır.

En ilginç şey, etiketlerin izin vermesidir - bilgisayarlar bir anahtara (anahtara) bağlanabilir, bir noktadan bir Wi-Fi sinyali alabilir. Ancak aynı zamanda, farklı "işaretlere" aitlerse, birbirlerini görmezler ve aynı verileri almazlar. Bunun nedeni, bir "ViLan" için belirli etiketlerin kullanılması, diğerinin ise genel olarak etiketsiz olabilmesi ve bu trafiğin geçmesine izin vermemesidir.

Bu özelliği etkinleştir

Bilgi alan cihazların görebilmesi için bu tanımlayıcıyı eklemeniz gerekir. Aksi takdirde, tüm şifrelenmiş bilgiler görünmeyecektir.

Bu nedenle, her belirli hizmet için VLAN'ı etkinleştirmeye değer. Zaten etkinleştirilmişse ve bunu yapan siz değilseniz, yine de "adresini" bilmelisiniz.

Ne yazık ki, birçok modern işletme ve kuruluş, ağ altyapısı içinde sanal LAN'lar (VLAN'lar, VLAN'lar) düzenlemek gibi, çoğu modern yerel alan ağları (LAN'lar) tarafından sağlanan bu kadar yararlı ve genellikle sadece gerekli bir fırsatı pratik olarak kullanmamaktadır. Buna neyin sebep olduğunu söylemek zor. Belki de VLAN teknolojisinin avantajları, görünür karmaşıklığı hakkında bilgi eksikliği veya farklı üreticilerin ağ cihazları arasında birlikte çalışabilirliği garanti etmeyen "ham" bir araç kullanma isteksizliği (VLAN teknolojisi bir yıldır standartlaştırılmış olmasına rağmen ve tüm önde gelen aktif ağ ekipmanı üreticileri bu standardı desteklemektedir). Bu nedenle, bu makale VLAN teknolojisine ayrılmıştır. VLAN'ları kullanmanın avantajlarını, VLAN'ları organize etmenin ve bunlar arasındaki etkileşimin en yaygın yollarını ve ayrıca bazı iyi bilinen üreticilerin anahtarlarını kullanırken VLAN oluşturma özelliklerini ele alacaktır.

neden gerekli

VLAN nedir? Bu, bir ağa bağlı, mantıksal olarak bir yayın etki alanında birleştirilmiş bir grup bilgisayardır. Örneğin bilgisayar grupları işletmenin organizasyon yapısına göre (departman ve
departmanlar) veya ortak bir proje veya görev üzerindeki çalışma temelinde.

VLAN kullanmanın üç ana faydası vardır. Bu, bant genişliğinin geleneksel LAN'lardan çok daha verimli bir şekilde kullanılması, iletilen bilgilerin yetkisiz erişime karşı daha yüksek düzeyde korunması ve ağ yönetiminin basitleştirilmesidir.

Bir VLAN kullanıldığında, tüm ağ mantıksal olarak yayın etki alanlarına bölündüğünden, bilgiler VLAN üyeleri tarafından fiziksel ağdaki tüm bilgisayarlara değil, yalnızca aynı VLAN'ın diğer üyelerine iletilir. Bu nedenle, yayın trafiği (genellikle ağdaki diğer cihazlara varlıklarını ve yeteneklerini bildiren sunucular tarafından oluşturulur), ağdaki tüm istasyonlara gönderilmek yerine önceden tanımlanmış bir alanla sınırlıdır. Bu, mantıksal bilgisayar grupları arasında ağ bant genişliğinin optimum dağılımını sağlar: farklı VLAN'lardan gelen iş istasyonları ve sunucular birbirini “görmez” ve birbirine müdahale etmez.

Veri alışverişi yalnızca belirli bir VLAN içinde gerçekleştirildiğinden, farklı sanal ağlardan gelen bilgisayarlar, diğer VLAN'larda oluşturulan trafiği alamaz. Kullanıcının yapmak istediği dışındaki VLAN'larda trafik toplamak için protokol çözümleyicileri ve ağ izleme araçlarını kullanmak önemli zorluklar sunar. Bu nedenle, bir VLAN ortamında ağ üzerinden iletilen bilgiler yetkisiz erişime karşı çok daha iyi korunur.

VLAN kullanmanın bir başka yararı da ağ yönetimini basitleştirmesidir. Bu, özellikle ağa yeni öğeler ekleme, bunları taşıma ve silme gibi görevler için geçerlidir. Örneğin, bir VLAN kullanıcısı başka bir odaya geçtiğinde, farklı bir katta veya işletmenin farklı bir binasında olsa bile, ağ yöneticisinin kabloları yeniden yapmasına gerek yoktur. Sadece iş yerinden ağ ekipmanını kurması gerekiyor. Ayrıca bazı VLAN uygulamalarında yönetici müdahalesi gerektirmeden VLAN üye hareketleri otomatik olarak kontrol edilebilmektedir. Ağ yöneticisi, işyerinden ayrılmadan yeni mantıksal kullanıcı grupları oluşturma, ağ üzerinden gruplara yeni üye ekleme işlemleri de yapabilir. Bütün bunlar, yöneticinin eşit derecede önemli diğer görevleri çözmek için kullanılabilecek çalışma zamanından önemli ölçüde tasarruf sağlar.

VLAN organizasyon yöntemleri

Önde gelen departman ve çalışma grubu anahtarları üreticileri, cihazlarında kural olarak VLAN'ları düzenlemenin üç yolundan birini kullanır: bağlantı noktalarına, MAC adreslerine veya Katman 3 protokollerine göre. Bu yöntemlerin her biri, OSI açık sistem etkileşim modelinin üç alt katmanından birine karşılık gelir: sırasıyla fiziksel, kanal ve ağ. VLAN'ları düzenlemenin dördüncü bir yolu vardır - kurallara göre. VLAN'ların düzenlenmesinde çok fazla esneklik sağlamasına ve yakın gelecekte cihazlarda yaygın olarak kullanılmasına rağmen bugün nadiren kullanılmaktadır. Yukarıdaki VLAN organizasyon yöntemlerinin her birine, avantajlarına ve dezavantajlarına hızlıca bir göz atalım.

Bağlantı noktası tabanlı VLAN. Adından da anlaşılacağı gibi, VLAN'lar, seçilen fiziksel anahtar bağlantı noktalarını mantıksal olarak gruplayarak düzenlenir. Örneğin, ağ yöneticisi 1, 2, 5 numaralı anahtar bağlantı noktalarının VLAN1'i ve 3, 4, 6 numaralı bağlantı noktalarının VLAN2 vb. oluşturmasını belirleyebilir. Bir anahtar bağlantı noktasına (örneğin hub aracılığıyla) birkaç bilgisayar bağlanabilir. . Hepsi aynı VLAN'a - onlara hizmet veren anahtar bağlantı noktasının atandığı VLAN'a ait olacaktır. VLAN üyeliğinin bu sıkı bağlanması, bağlantı noktası tabanlı VLAN'lar için bir dezavantajdır.

MAC adreslerine dayalı VLAN. Bu yöntem, her ağ bağdaştırıcısının ağdaki bir sunucuda veya iş istasyonunda sahip olduğu benzersiz onaltılı bağlantı katmanı adresini temel alan VLAN'lar oluşturmanıza olanak tanır. Bu, farklı VLAN'lara ait cihazlar aynı anahtar portuna bağlanabildiğinden, öncekine kıyasla VLAN'ları düzenlemenin daha esnek bir yoludur. Ayrıca bilgisayarların bir anahtar bağlantı noktasından diğerine hareketi anahtar tarafından otomatik olarak izlenir ve ağ yöneticisinin müdahalesi olmadan taşınan bilgisayarın belirli bir VLAN'a aitliğini korumanıza olanak tanır. Oldukça basit bir şekilde çalışır: anahtar, bilgisayarların ve sanal ağların MAC adresleri arasında bir yazışma tablosu tutar. Bilgisayar, switch üzerindeki başka bir porta geçer geçmez, bilgisayar hareket ettikten sonra iletilen ilk çerçevenin başlığındaki kaynak MAC adres alanını tablosundaki verilerle karşılaştırarak, switch, ait olduğu VLAN hakkında doğru sonuca varır. taşınan bilgisayar. Bu VLAN organizasyonu yönteminin dezavantajı, hatalarla dolu VLAN yapılandırmasının ilk zahmetidir. Anahtarın MAC adres tablosu otomatik olarak oluşturulsa da, ağ yöneticisinin hepsini görmesi ve bu onaltılık MAC adresinin şu veya bu iş istasyonuna karşılık geldiğini belirlemesi ve ardından onu ilgili sanal ağa ataması gerekir. Bununla birlikte, VLAN'ların MAC adreslerine dayalı olarak sonraki yeniden yapılandırılması, bağlantı noktası tabanlı VLAN'lar durumunda olduğundan çok daha az çaba gerektirecektir.

Katman 3 protokollerine dayalı VLAN. Bu yöntem, departman ve çalışma grubu anahtarlarında nadiren kullanılır. Ana LAN protokolleri - IP, IPX ve AppleTalk için yerleşik yönlendirme olanaklarına sahip omurga yönlendirme anahtarları için tipiktir. Bu yöntemde, belirli bir VLAN'a ait bir grup anahtar bağlantı noktası, belirli bir IP alt ağı veya IPX ağı ile ilişkilendirilir. Bu esneklik, aynı VLAN'a ait başka bir porta yapılan kullanıcı hareketlerinin anahtar tarafından izlenmesi ve yeniden yapılandırma gerektirmemesi ile sağlanmaktadır. Bu yöntemin avantajı, anahtar her VLAN ile ilişkili bilgisayarların ağ adreslerini analiz ettiğinden, otomatik olarak gerçekleştirilebilen VLAN yapılandırmasının basitliğidir. Ek olarak, daha önce de belirtildiği gibi, VLAN'ları Katman 3 protokollerine dayalı olarak düzenleme yöntemini destekleyen cihazlarda, ek araçlar kullanılmadan farklı VLAN'lar arasında birlikte çalışabilirliği sağlayan yerleşik yönlendirme olanakları bulunur. Bu yöntemin dezavantajı, belki de sadece bir tanesidir - uygulandığı anahtarların yüksek fiyatı.

Kurallara dayalı VLAN. Anahtarın, önceden tanımlanmış alanları ve hatta VLAN oluşturma mekanizmaları olarak içinden geçen bireysel paket bitlerini ayrıntılı olarak analiz etme yeteneğine sahip olduğu varsayılmaktadır. Bu yöntem, birçok kritere dayalı sanal ağlar oluşturmak için neredeyse sınırsız olanaklar sağlar. Örneğin, bilgisayarlarında belirtilen üreticinin ağ bağdaştırıcılarının kurulu olduğu tüm kullanıcıları VLAN'a dahil etme ilkesine göre bile. Muazzam esnekliğe rağmen, kural tabanlı VLAN yapılandırma süreci çok zaman alıcıdır. Ek olarak, işlem gücünün önemli bir kısmı paket analizine harcanacağından, karmaşık kurallara sahip olmak anahtarın verimini olumsuz etkileyebilir.

Ayrıca cihazlar, 802.1x protokolü kullanılarak kullanıcı veya cihaz kimlik doğrulama verilerine dayalı olarak VLAN'lara otomatik olarak taşınabilir.

dağıtılmış VLAN'lar oluşturma

Modern LAN'lar genellikle birden fazla anahtar içerir. Aynı VLAN'a ait bilgisayarlar farklı anahtarlara bağlanabilir. Bu nedenle, trafiğin doğru bir şekilde yönlendirilebilmesi için, anahtarların kendilerine bağlı cihazlara ait VLAN hakkında bilgi alışverişinde bulunmalarını sağlayan bir mekanizma olmalıdır. Daha önce, her üretici, cihazlarında bu tür bilgilerin alışverişi için özel mekanizmalar uyguluyordu. Örneğin, 3Com bu teknolojiye VLT (Sanal LAN Trunk), Cisco Systems ise ISL (Inter-Switch Link) adını verdi. Bu nedenle, dağıtılmış VLAN'lar oluşturmak için aynı üreticinin cihazlarını kullanmak gerekiyordu. Etiketli VLAN oluşturma standardı IEEE 802.1Q kabul edildiğinde durum önemli ölçüde iyileşti ve bu artık VLAN dünyasına hakim oldu. Diğer şeylerin yanı sıra, anahtarlar arasında VLAN bilgisi alışverişi için mekanizmayı da düzenler. Bu mekanizma, anahtarlar arasında iletilen çerçeveleri belirli bir VLAN'a ait olduğunu gösteren alanlarla tamamlamanıza olanak tanır. Bugün, önde gelen tüm LAN anahtarı üreticileri, cihazlarında 802.1Q standardını desteklemektedir. Sonuç olarak, bugün farklı üreticilerin anahtarlarını kullanarak sanal ağlar oluşturmak zaten mümkün. Daha sonra göreceğiniz gibi, 802.1Q ile uyumlu çalışsa bile, farklı üreticilerin anahtarları aynı VLAN organizasyon özelliklerinden çok uzaktır.

VLAN'lar arasındaki etkileşim organizasyonu

Farklı VLAN'larda bulunan bilgisayarlar birbirleriyle doğrudan iletişim kuramazlar. Bu etkileşimi düzenlemek için bir yönlendirici kullanmalısınız. Daha önce, bunun için geleneksel yönlendiriciler kullanılıyordu. Ayrıca, yönlendiricinin VLAN sayısı kadar fiziksel ağ arabirimine sahip olması gerekiyordu. Ayrıca, anahtarların yönlendiriciyi bağlamak için her VLAN'dan bir bağlantı noktası ayırması gerekiyordu. Yönlendirici bağlantı noktalarının yüksek maliyeti göz önüne alındığında, böyle bir çözümün maliyeti çok yüksekti. Ek olarak, geleneksel bir yönlendirici, VLAN'lar arasında veri aktarımında önemli bir gecikmeye neden oldu. Günümüzde, VLAN'lar arasında veri iletimi için, port başına düşük bir fiyata sahip olan ve iletişim kanalı hızında trafiğin donanım yönlendirmesini gerçekleştiren yönlendirme anahtarları kullanılmaktadır. Yönlendirici anahtarlar ayrıca IEEE 802.1Q standardına uygundur ve dağıtılmış VLAN'lar arasındaki iletişimi düzenlemek için, farklı VLAN'lara karşılık gelen aygıtları bağlayan çalışma grubu anahtarlarının her birini ağa bağlamak için yalnızca bir bağlantı noktası kullanmaları gerekir. Başka bir deyişle, modern bir yönlendirme anahtarının bir portu aracılığıyla farklı VLAN'lardan cihazlar arasında bilgi alışverişi yapılabilir.

farklı VLAN'ların bilgisayarları tarafından paylaşılan ağ kaynaklarının kullanımı

Farklı VLAN'lara ait paylaşılan ağ kaynaklarına (ağ sunucuları, yazıcılar, vb.) bilgisayarlara erişimi organize etme olasılığı çok ilginçtir. Bu özelliğin avantajları açıktır. İlk olarak, farklı VLAN'lardan bilgisayarlar arasında doğrudan veri alışverişi düzenlemeniz gerekmiyorsa, bir yönlendirici veya yönlendirme anahtarı satın almanıza gerek yoktur. Tüm veya birkaç VLAN'ın erişime sahip olduğu bir ağ sunucusu aracılığıyla farklı VLAN'lara sahip bilgisayarlar arasında etkileşim sağlamak mümkündür. İkincisi, VLAN kullanmanın tüm avantajları korunurken, her bir VLAN için ayrı sunucu satın almak yerine, ortak olanları kullanmak mümkündür.

Farklı VLAN'lardan kullanıcılara aynı sunucuya erişim vermenin en kolay yolu, sunucuya birden çok ağ bağdaştırıcısı kurmak ve bu bağdaştırıcıların her birini farklı VLAN'lara ait anahtar bağlantı noktalarına bağlamaktır. Ancak, bu yaklaşımın VLAN sayısında bir sınırlaması vardır (sunucuya çok sayıda ağ bağdaştırıcısı kuramazsınız), sunucu bileşenlerine katı gereksinimler getirir (ağ bağdaştırıcısı sürücüleri RAM miktarında bir artış gerektirir, CPU üzerinde büyük bir yük gerektirir). ve sunucu G/Ç veri yolu vb.) ve maliyet tasarrufuna katkıda bulunmaz (birden çok ağ bağdaştırıcısı ve ek anahtar bağlantı noktası kullanarak).

IEEE 802.1Q standardının ortaya çıkmasıyla birlikte, tüm veya birkaç VLAN ile ilgili bilgileri tek bir anahtar bağlantı noktası üzerinden iletmek mümkün hale geldi. Yukarıda bahsedildiği gibi, bunu yapmak için, anahtar (veya 802.1Q'yu destekleyen başka bir cihaz), ağ üzerinden iletilen çerçeveye, çerçevenin belirli bir VLAN'a ait olduğunu benzersiz şekilde tanımlayan bir alan ekler. Tüm VLAN'lar için ortak bir sunucu olan tek bir iletişim hattı ile böyle bir bağlantı noktasına bağlanmak mümkündür. Tek koşul, sunucunun isteğin hangi VLAN'dan geldiğini ve buna göre yanıtı nereye göndereceğini bilmesi için sunucunun ağ bağdaştırıcısının 802.1Q standardını desteklemesi gerektiğidir. Sunucu, 3Com, Hewlett-Packard ve Cisco Systems'da departman ve çalışma grubu düzeyindeki yönetilen anahtarlardaki VLAN'lar arasında bu şekilde bölünür.

çözüm

Gördüğünüz gibi, VLAN'lar yönetim, veri iletiminin güvenliği, bilgi kaynaklarına erişimin farklılaşması sorunlarını çözebilen ve ağ bant genişliğinin kullanım verimliliğini önemli ölçüde artıran güçlü bir ağ aracıdır.

COMPLETE şirketinin teknik departmanı başkanı Oleg Podukov

Sitemizin sayfalarında, çeşitli yönlendiricileri yapılandırma ve kurumsal bir ağ oluşturma talimatlarında VLAN terimini defalarca kullandık. Bununla birlikte, modern vlan teknolojisi ayrıntılı çalışma gerektirir, bu nedenle bir sonraki makale dizisi, çeşitli cihazlarda "vlan" ın özelliklerine ve yapılandırmasına ayrılmıştır.

Bu materyal bir tür "tanıtıcı kelimedir" ve burada VLAN'ın ne olduğuna ve VLAN teknolojisinin ağ yapılandırmasında nasıl yardımcı olduğuna bakacağız.

Vlan: ne var?

VLAN, tek bir fiziksel yayın etki alanı içinde birden çok sanal yayın etki alanı yapılandırmanıza olanak tanıyan bir teknolojidir.

Başka bir deyişle, birden fazla veya bir anahtara sahip olmak, böylece, belirli bir bölüme ait olma temelinde veya sunucular söz konusu olduğunda, belirli rollere ve işlerinin özelliklerine göre kullanıcıların bilgisayarlarını ayırt etmek mümkündür.

Bu durumda, aynı anda birkaç sorun çözülür:

• - yayın isteklerinin sayısı azalır;

• - iyileştirir, çünkü bu özel VLAN'a dahil olmayan üçüncü taraf çalışanların trafiğini dinleme olasılığını ortadan kaldırır;
• - Farklı departman ve bölümlerin aidiyet temelinde coğrafi olarak dağıtılması mümkün hale gelir. Yani örneğin İnsan Kaynakları Departmanı çalışanları aynı binada değillerse alt ağlarında birbirlerini "görebilecekler".

Ağ mimarisi, tipik olarak farklı VLAN'lar arasındaki yayın trafiğini filtreleyen, ağ güvenliğini artıran, alt ağ toplama işlemini gerçekleştiren ve ağ tıkanıklığını azaltan yönlendiriciler tarafından gerçekleştirilen hizmetlerin ağ bölümlemesini sağlamak için VLAN'ları kullanır. Anahtarlar, yayın etki alanı sınırlaması nedeniyle VLAN'lar arasındaki trafiği iletemez.

Bazı anahtarlar, alt ağlar arasında trafiği depolamak ve aktarmak için OSI katman 3 işlevlerine sahip olabilir. Bu durumda, belirli bir VLAN'ın belirli bir sanal arayüzü ve anahtar üzerinde oluşturulur. Bu arayüz, bu VLAN'daki cihazlar için bir cihaz görevi görür.

vlan ne işe yarar

Eşleri bulmak için tüm cihazlara gönderilen yayın trafiğine dayalı ağlarda, eşlerin sayısı arttıkça, yayın trafiği miktarı da artar (bu, potansiyel olarak ağdaki yükün neredeyse tamamen yerini alabilir).

Öte yandan VLAN'lar, birden fazla yayın alanı oluşturarak, büyük bir ağı bir bütün olarak tüm ağın her bir cihazına az sayıda yayın isteği göndererek birkaç küçük bağımsız segmente bölerek ağ trafiğini azaltmaya yardımcı olur.

VLAN teknolojisi, aynı fiziksel altyapı üzerinde birden çok Katman 3 OSI ağı oluşturmaya da yardımcı olur. Örneğin, IP adreslerinin dağıtıcısı, belirli bir VLAN'daki anahtarda yer alıyorsa, cihazlar yalnızca bu VLAN içindeki adresleri alacaktır. DHCP sunucusu, bir dizi VLAN'lı bir ana hat tarafından etkinleştirilirse, tüm bu VLAN'lardan gelen cihazlar adresleri alabilecektir.

VLAN, 3. ağ, katmanda çalışan IP alt ağlarına benzer şekilde, OSI ağ modelinin 2., kanal, katmanında çalışır. Aynı VLAN'da birkaç farklı alt ağın bulunabileceği istisnalar olsa da, genellikle her VLAN'ın kendi IP alt ağı vardır. Bu teknoloji Cisco'da "ip ikincil" ve Linux'ta "ip takma adı" olarak bilinir.

Daha eski ağ teknolojilerinde, kullanıcılara coğrafi konumlarına göre alt ağlar atanırdı. Bu nedenle, fiziksel topoloji ve mesafe ile sınırlıydılar. Öte yandan VLAN teknolojisi, coğrafi olarak farklı kullanıcıları, fiziksel konumlarından bağımsız olarak aynı alt ağ grubuna mantıksal olarak gruplamanıza olanak tanır. VLAN'ları kullanarak trafik modellerini kolayca yönetebilir ve kullanıcı hareketlerine hızla yanıt verebilirsiniz.

VLAN teknolojisi, ağdaki değişikliklere esnek adaptasyon sağlar ve yönetimi basitleştirir.

vlan kullanma örnekleri

Kullanılan rollere ve teknolojilere bağlı olarak bir ağı birkaç VLAN'a bölmeye bir örnek:

1. 1) Üretken VLAN
2. 2) VoIP
3. 3) Ağ yönetimi
4. 4) SAN - veri depolama ağı
5. 5) Misafir ağı
6. 6) DMZ bölgeleri
7. 7) Müşteri ayrımı (bir hizmet sağlayıcı veya veri merkezi olması durumunda)

VLAN yapılandırması için en yaygın kullanılan standart IEEE 802.1Q'dur, Cisco'nun kendi ISL'si ve 3Com'un VLT'si vardır. Hem IEEE 802.1Q hem de ISL, "açık etiketleme" adı verilen benzer bir işlem mekanizmasına sahiptir - veri çerçevesi VLAN üyelik bilgileriyle etiketlenir. İkisi arasındaki fark, ISL'nin orijinal Ethernet çerçevesini değiştirmeden harici bir etiketleme işlemi kullanması, 802.1Q'nun ise dahili bir etiketleme işlemi kullanmasıdır.

VLAN'lar modelin ikinci seviyesinde bulunan sanal ağlardır. OSI... Yani VLAN ikinci seviyede yapılandırılabilir. "Sanal ağlar" kavramından yola çıkarak VLAN'a bakarsanız, VLAN'ın ağ üzerinden iletilen çerçevede sadece bir etiket olduğunu söyleyebiliriz. Etiket, 12 bit tahsis edilen VLAN numarasını (VLAN ID veya VID olarak adlandırılır) içerir, yani Welan 0'dan 4095'e kadar numaralandırılabilir. İlk ve son numaralar rezervedir, kullanılamazlar. Genellikle, iş istasyonları VLAN'lar hakkında hiçbir şey bilmez (kartlarda VLAN'ları özel olarak yapılandırmadığınız sürece). Anahtarlar onları düşünür. Anahtarların bağlantı noktaları, hangi VLAN'da olduklarını gösterir. Buna bağlı olarak port üzerinden giden tüm trafik bir etiket yani VLAN ile işaretlenir. Böylece, her portun bir PVID'si vardır ( bağlantı noktası vlan tanımlayıcısı Bu trafik daha sonra bu VLAN'daki anahtar(lar)ın diğer bağlantı noktalarından geçebilir ve diğer tüm bağlantı noktalarından geçmez. Sonuç olarak, ek bir cihaz (yönlendirici) olmadan diğer alt ağlarla etkileşime giremeyen yalıtılmış bir ortam (alt ağ) oluşturulur.

Wehlanlara neden ihtiyaç var?

• Mantıksal yapısı fiziksel yapıya bağlı olmayan bir ağ oluşturma yeteneği. Yani, bağlantı seviyesindeki ağ topolojisi, ağın kurucu bileşenlerinin coğrafi konumundan bağımsız olarak oluşturulur.
• Bir yayın alanını birden çok yayın alanına bölme yeteneği. Yani, bir etki alanından gelen yayın trafiği başka bir etki alanına gitmez ve bunun tersi de geçerlidir. Bu, ağ cihazlarındaki yükü azaltır.
• Ağı yetkisiz erişime karşı koruma yeteneği. Yani, veri bağlantı katmanında, diğer vilanlardan gelen çerçeveler, bu çerçevede kapsüllenen paketin kaynak IP adresinden bağımsız olarak anahtar bağlantı noktası tarafından kesilecektir.
• Aynı Vilan'da bulunan bir grup cihaza politika uygulama yeteneği.
• Yönlendirme için sanal arayüzleri kullanma yeteneği.

VLAN Kullanım Örnekleri

• Farklı anahtarlara bağlı bilgisayarları tek bir ağda birleştirmek... Diyelim ki farklı anahtarlara bağlı bilgisayarlarınız var, ancak bunların tek bir ağda birleştirilmesi gerekiyor. Bazı bilgisayarları sanal bir yerel alan ağında birleştireceğiz VLAN 1, ve diğerleri - ağa VLAN 2... fonksiyon sayesinde VLAN her sanal ağdaki bilgisayarlar aynı anahtara bağlıymış gibi çalışacaktır. Farklı sanal ağlardan bilgisayarlar VLAN 1 ve VLAN 2 birbirine görünmez olacaktır.

• Bir anahtara bağlı bilgisayarların farklı alt ağlarına ayırma.Şekilde bilgisayarlar fiziksel olarak bir anahtara bağlı, ancak farklı sanal ağlara ayrılmış durumda. VLAN 1 ve VLAN 2... Farklı sanal alt ağlardan gelen bilgisayarlar birbirlerine görünmez olacaktır.

• Konuk Wi-Fi ağının ve kurumsal Wi-Fi ağının ayrılması.Şekilde, yönlendiriciye fiziksel olarak bir Wi-Fi erişim noktası bağlanmıştır. Noktada adları olan iki sanal Wi-Fi noktası oluşturuldu Sıcak nokta ve Ofis... İLE Sıcak nokta Konuk dizüstü bilgisayarlar, İnternet'e erişmek için Wi-Fi üzerinden bağlanacak ve Ofis- kurumsal dizüstü bilgisayarlar. Güvenlik nedeniyle, misafir dizüstü bilgisayarların kurumsal ağa erişimi olmaması zorunludur. Bunun için kurumsal bilgisayarlar ve sanal bir Wi-Fi etkin noktası Ofis sanal bir yerel ağda birleşmiş VLAN 1 ve konuk dizüstü bilgisayarlar sanal bir ağda olacak VLAN 2... Ağdan konuk dizüstü bilgisayarlar VLAN 2 kurumsal ağa erişimi olmayacak VLAN 1.

VLAN kullanmanın faydaları

• Cihazların gruplara esnek şekilde bölünmesi
• Tipik olarak, bir VLAN, bir alt ağa karşılık gelir. Farklı VLAN'lardaki bilgisayarlar birbirinden izole edilecektir. Ayrıca farklı anahtarlara bağlı bilgisayarları tek bir sanal ağda birleştirebilirsiniz.
• Ağdaki yayın trafiğini azaltmak
• Her VLAN, ayrı bir yayın alanını temsil eder. Yayın trafiği farklı VLAN'lar arasında yayınlanmayacaktır. Aynı VLAN'ı farklı anahtarlarda yapılandırırsanız, farklı anahtarların bağlantı noktaları bir yayın alanı oluşturacaktır.
• Artan ağ güvenliği ve yönetilebilirlik
• Sanal alt ağlara bölünmüş bir ağda, her VLAN için güvenlik politikaları ve kuralları uygulamak uygundur. Politika, tek bir cihaza değil, tüm alt ağa uygulanacaktır.
• Ekipman ve ağ kablosunun miktarını azaltmak
• Yeni bir VLAN oluşturmak için bir anahtar satın almanıza veya bir ağ kablosu döşemenize gerek yoktur. Ancak, daha pahalı VLAN özellikli yönetilen anahtarlar kullanmalısınız.

Etiketli ve etiketsiz bağlantı noktaları

Bir bağlantı noktasının farklı VLAN'lardan trafik alabilmesi veya gönderebilmesi gerektiğinde, etiketli veya ana hatlı durumda olması gerekir. Ana bağlantı noktası ve etiketli bağlantı noktası kavramları aynıdır. Bir dış hat veya etiketli bağlantı noktası, aksi belirtilmedikçe, ayrı ayrı belirtilen VLAN'ları veya tüm varsayılan VLAN'ları taşıyabilir. Bir bağlantı noktası etiketlenmemişse yalnızca bir VLAN (yerel) taşıyabilir. Bağlantı noktası hangi VLAN'da olduğunu göstermiyorsa, ilk VLAN'da (VID 1) etiketlenmemiş durumda olduğu varsayılır.

Bu durumda farklı ekipman farklı şekilde yapılandırılır. Bir ekipman için, fiziksel arayüzde bu arayüzün hangi durumda olduğunu belirtmeniz, diğerinde ise belirli bir VLAN'da hangi portun etiketli veya etiketsiz olarak konumlandırıldığını belirtmeniz gerekir. Ve bu bağlantı noktasının kendi içinden birkaç VLAN geçirmesi gerekiyorsa, bu VLAN'ların her birinde bu bağlantı noktasını bir etiketle kaydetmeniz gerekir. Örneğin, anahtarlarda Enterasys Ağları Belirli bir portun hangi VLAN'da olduğunu belirtmeli ve trafiğin bu porttan geçebilmesi için bu portu bu VLAN'ın çıkış listesine eklemeliyiz. Portumuzdan başka bir VLAN trafiğinin geçmesini istiyorsak bu portu da bu VLAN'ın çıkış listesine ekliyoruz. ekipman üzerinde HP(örneğin, anahtarlar ProCurve) VLAN'ın kendisinde, bu VLAN'ın trafiğini hangi portların geçebileceğini belirtir ve portların durumunu etiketli veya etiketsiz olarak ekleriz. Donanımda en kolay Cisco Sistemleri... Bu tür anahtarlarda, hangi bağlantı noktalarının hangi VLAN'larla etiketlenmediğini ( erişim) ve hangi bağlantı noktalarının etiketli durumda olduğu ( gövde).

Bağlantı noktalarını yapılandırmak için gövdeözel protokoller oluşturulmuştur. Bunlardan biri IEEE 802.1Q standardına sahiptir. Tüm üreticiler tarafından desteklenen ve çoğunlukla sanal ağları yapılandırmak için kullanılan uluslararası bir standarttır. Ayrıca, farklı üreticilerin kendi veri aktarım protokolleri olabilir. Örneğin, Cisco ekipmanım için bir protokol oluşturdu ISL (Ara geçiş listesi).

Vlanlar arası yönlendirme

WLAN Arası Yönlendirme Nedir? Bu normal alt ağ yönlendirmesidir. Tek fark, her alt ağın ikinci düzeyde bir VLAN'a karşılık gelmesidir. Bunun anlamı ne. Diyelim ki iki VLAN'ımız var: VID = 10 ve VID = 20. İkinci seviyede, bu VLAN'lar bir ağı iki alt ağa böler. Bu alt ağlardaki ana bilgisayarlar birbirini göremez. Yani, trafik tamamen izole edilmiştir. Hostların birbirleriyle haberleşebilmesi için bu VLAN'ların trafiğini yönlendirmesi gerekir. Bunu yapmak için, üçüncü seviyedeki VLAN'ların her birine bir arayüz atamamız, yani onlara bir IP adresi eklememiz gerekiyor. Örneğin, VID = 10 için IP adresi 10.0.10.1/24 ve VID = 20 için IP adresi 10.0.20.1/24 olacaktır. Bu adresler ayrıca diğer alt ağlara erişmek için ağ geçidi görevi görecektir. Böylece ana bilgisayar trafiğini bir VLAN'dan başka bir VLAN'a yönlendirebiliriz. VLAN yönlendirmesi, basit VLAN olmayan ziyaretçi yönlendirmesiyle nasıl karşılaştırılır? İşte ne:

• İstemci tarafında başka bir alt ağın üyesi olma özelliği engellenir. Yani, bir ana bilgisayar belirli bir VLAN'daysa, farklı bir alt ağdan adresini değiştirse bile, olduğu gibi VLAN'da kalacaktır. Bu, başka bir alt ağa erişemeyeceği anlamına gelir. Bu da ağı "kötü" istemcilerden koruyacaktır.
• Bir VLAN'a birden fazla fiziksel anahtar arabirimi koyabiliriz. Yani, harici bir yönlendirici kullanmadan ağ istemcilerini ona bağlayarak üçüncü seviye anahtardaki yönlendirmeyi hemen yapılandırma fırsatımız var. Veya VLAN'ların yapılandırıldığı ikinci katman anahtarına bağlı harici bir yönlendirici kullanabilir ve yönlendirici bağlantı noktasında yönlendirmesi gereken toplam VLAN kadar alt arabirim oluşturabiliriz.
• Birinci ve üçüncü seviyeler arasında VLAN şeklinde ikinci katmanı kullanmak çok uygundur. Alt ağları belirli arabirimlere sahip VLAN'lar olarak işaretlemek uygundur. Bir VLANn yapılandırmak ve içine bir sürü anahtar bağlantı noktası koymak uygundur. Ve genel olarak, bir VLAN olduğunda birçok şey yapmak uygundur.

Aşağıdaki durumu hayal edelim. Cephaneliğinde 100 bilgisayar ve 5 sunucu bulunan küçük bir şirketin ofisine sahibiz. Aynı zamanda, bu şirket çeşitli kategorilerde çalışan istihdam etmektedir: yöneticiler, muhasebeciler, personel memurları, teknik uzmanlar, yöneticiler. Departmanların her birinin kendi alt ağında çalışması gerekir. Bu ağın trafiği nasıl ayırt edilir? Genel olarak, böyle iki yol vardır: birinci yol, IP adresleri havuzunu alt ağlara bölerek her departman için kendi alt ağını tahsis etmektir, ikinci yol ise VLAN'ları kullanmaktır.

VLAN (Sanal Yerel Alan Ağı), yayın dahil trafiği bağlantı düzeyinde diğer ağ düğümlerinin trafiğinden tamamen izole edilmiş bir ağ düğümleri grubudur. Modern ağlarda, VLAN'lar, fiziksel topolojisinden bağımsız bir mantıksal ağ topolojisi oluşturmak için ana mekanizmadır.

VLAN teknolojisi, VLAN üyelik bilgilerini iletmek için bir etiketleme prosedürünü tanımlayan açık bir standart olan IEEE 802.1q'de tanımlanmıştır. 802.1q, ethernet çerçevesinin içine bir VLAN'a ait trafik hakkında bilgi ileten bir etiket yerleştirir.

VLAN TAG alanlarını göz önünde bulundurun:

• TPID (Etiket Protokolü Tanımlayıcısı) - etiketleme protokolü tanımlayıcısı. Etiketleme için hangi protokolün kullanıldığını gösterir. 802.1Q için değer 0x8100'dür.
• Öncelik - öncelik. İletilen trafiğin (QoS) önceliğini ayarlamak için kullanılır.
• CFI (Kanonik Format Göstergesi) - MAC adresinin formatını gösterir (Ethernet veya Token Ring).
• VID (Vlan Tanımlayıcı) ​​- VLAN tanımlayıcısı. Çerçevenin hangi VLAN'a ait olduğunu gösterir. 0 ile 4094 arasında bir sayı belirtebilirsiniz.

Çerçeve gönderirken, bilgisayar hangi VLAN'da olduğunu bilmez - anahtar bunu yapar. Anahtar, bilgisayarın hangi bağlantı noktasına bağlı olduğunu bilir ve buna bağlı olarak bu bilgisayarın hangi VLAN'da bulunduğunu belirleyecektir.

Anahtarın iki tür bağlantı noktası vardır:

• Etiketli bağlantı noktası (etiketli, ana hat), birkaç VLAN grubunun trafiğinin iletilebileceği veya alınabileceği bir bağlantı noktasıdır. Etiketli bir bağlantı noktası üzerinden iletildiğinde, çerçeveye bir VLAN etiketi eklenir. Anahtarlara, yönlendiricilere (yani VLAN etiketlerini tanıyan cihazlara) bağlanmak için kullanılır.
• Etiketlenmemiş bağlantı noktası (etiketlenmemiş, erişim) - etiketlenmemiş çerçevelerin iletildiği bağlantı noktası. Uç düğümlere (bilgisayarlar, sunucular) bağlanmak için kullanılır. Her etiketlenmemiş bağlantı noktası belirli bir VLAN üzerindedir. Bu porttan trafik iletildiğinde, VLAN etiketi kaldırılır ve etiketlenmemiş trafik (VLAN'ı tanımayan) bilgisayara gider. Aksi takdirde, etiketlenmemiş bir bağlantı noktasında trafik alındığında, ona bir VLAN etiketi eklenir.

Dlink DES-3528 Yönetilen Anahtarda VLAN Yapılandırma

DES-3528/3552 xStack serisi anahtarlar, son kullanıcıları büyük bir kurumsal ve küçük ve orta ölçekli işletme (SMB) ağına güvenli bir şekilde bağlayan istiflenebilir L2 + erişim anahtarlarıdır. Anahtarlar, fiziksel yığınlama, statik yönlendirme, çok noktaya yayın desteği ve gelişmiş güvenlik özellikleri sağlar. Tüm bunlar, bu cihazı ideal bir erişim katmanı çözümü yapar. Anahtar, yüksek hızlı omurga ve merkezi sunucularla çok katmanlı bir ağ yapısı oluşturmak için L3 çekirdek anahtarlarıyla kolayca entegre olur. DES-3528/3552 serisi anahtarlar, 24 veya 48 adet 10 / 100Mbps Ethernet portu ile donatılmıştır ve 4 adede kadar Gigabit Ethernet uplink portunu destekler.

Dlink tarafından yönetilen anahtarlarda VLAN yapılandırma ilkelerini ele alalım. Çalışma sırasında, VLAN'ları oluşturma, silme, değiştirme, çeşitli bağlantı noktaları ekleme (etiketli ve etiketsiz) yollarını inceleyeceğiz.

Switch bağlantısı, HyperTerminal programı kullanılarak konsol portu üzerinden yapılır.

Mevcut VLAN'lar hakkındaki bilgileri görüntülemek için show vlan komutunu kullanın.

Yukarıdaki şekilde, switch üzerinde başlangıçta yalnızca default adlı bir varsayılan VLAN oluşturulduğunu görebilirsiniz. show vlan komutu aşağıdaki alanları görüntüler:

• VID - VLAN tanımlayıcısı
• VLAN Türü - VLAN türü
• Üye Bağlantı Noktaları - ilgili bağlantı noktaları
• Statik Bağlantı Noktaları - statik bağlantı noktaları
• Geçerli Etiketli Bağlantı Noktaları - geçerli etiketli bağlantı noktaları
• Geçerli Etiketsiz Bağlantı Noktaları - mevcut etiketsiz bağlantı noktaları
• Statik Etiketli Bağlantı Noktaları - statik etiketli bağlantı noktaları
• Statik Etiketsiz Bağlantı Noktaları - statik etiketsiz bağlantı noktaları
• Toplam Girişler - toplam girişler
• VLAN Adı - VLAN adı
• Reklam - durum

İsim olarak AA baş harflerini ve tanımlayıcı olarak 22 numarayı kullanarak yeni bir VLAN oluşturalım.Bunun için create vlan komutunu kullanın.

Yeni VLAN henüz herhangi bir bağlantı noktası içermiyor. Yapılandırma vlan'ı kullanarak, VLAN AA'yı etiketli bağlantı noktaları 10, 14-17 ve etiketsiz bağlantı noktaları 2-5'in içinde görünecek şekilde değiştirin.

Oluşturulan VLAN'lar hakkındaki bilgileri görüntülemek için show vlan komutunu kullanın.

Etiketli portların birkaç VLAN'a ait olabileceği ve etiketsiz portların sadece bir VLAN'a ait olabileceği bilinmektedir. Şu anda hem etiketli hem de etiketsiz bağlantı noktaları VLAN varsayılanına ve VLAN AA'ya dahil edilmiştir. VLAN AA'da kullanılan tüm bağlantı noktalarını VLAN varsayılanından kaldırmak için config vlan komutunu kullanın.

Yukarıdaki şekilden, 2-5, 10, 14-17 bağlantı noktalarının artık yalnızca VLAN AA'da olduğunu görebilirsiniz.

Ağı farklı VLAN'lara bölmeyi düşünün. Devre, kablo dolabına monte edilir ve 10.0.0.0 / 8 alt ağı yapılandırılır.

İlk anda, tüm bilgisayarlar aynı alt ağdadır ve kendi aralarında ping işlemi gerçekleştirir. PC22, PC20, PC18 bir VLAN'da ve PC 19, PC21 başka bir VLAN'da olacak şekilde bunları ayırmak gerekir. Bunu yapmak için iki VLAN oluşturun:

• VLAN = 10 isimli net1 (PC18, PC20, PC22)
• VLAN = 20 isimli net2 (PC19, PC21)

Anahtarlar için şemaya dayalı olarak bir port konfigürasyon planı geliştirilmiştir. Aynı zamanda, bilgisayarlar için etiketsiz bağlantı noktalarının, anahtarlar arasındaki bağlantılar için etiketli bağlantı noktalarının kullanılması gerektiği dikkate alındı. Anahtarlar yapılandırılırken etiketli portlar VLAN = 10 ve VLAN = 20'ye, etiketsiz portlar ise sadece bilgisayarın ait olduğu VLAN'a yerleştirildi.

Anahtarların her birinde, bağlantı noktalarını şemaya göre yapılandırmanız gerekir. Aşağıdaki şekil, SW5 ayarının bir örneğini göstermektedir. İlk olarak net1 tanımlayıcısı ve 10 etiketi ile bir vlan oluşturulur. Ardından 20 etiketi ile ikinci vlan net2'yi oluşturuyoruz. Daha sonra ilgili vlan'a switch portlarını ekliyoruz. Port 1, VLAN 10'daki PC22'ye bağlanır. Bu, bağlantı noktası 1'in etiketlenmeyeceği anlamına gelir. İkinci port şemaya göre SW4'e bağlanır ve kendi içinden 10 ve 20 VLAN'ı geçmelidir.

Anahtarların geri kalanı analoji ile yapılandırılır.

Oluşturduğumuz VLAN'ların her birini görüntülemek için show vlan komutunu kullanın.