ZiMSK - luk.kis.p.lodz.plluk.kis.p.lodz.pl/.../!ZiMSK.wyklad.07.v2012.(VLAN.trunk.interVLAN... ·...

VLAN, trunk, interVLAN-routing 1

ZiMSK

dr inż. Łukasz Sturgulewski, [email protected], http://luk.kis.p.lodz.pl/

dr inż. Artur Sierszeń, [email protected]

dr inż. Andrzej Frączyk, [email protected]

mailto:[email protected]



Wykład

Switch:

VLAN

Routing pomiędzy VLAN



Segmentacja sieci LAN

Segmentacja znacznie zmniejsza obciążenie sieci w ramach poszczególnych segmentów.


Segmentacja sieci LAN za pomocą mostów


Segmentacja sieci LAN za pomocą przełączników


Segmentacja sieci LAN za pomocą routerów


Podstawy przełączania w sieciach LAN


Działanie przełącznika LAN


Opóźnienie przełącznika Ethernet


Przełączanie w warstwie 2


Przełączanie w warstwie 3


Przełączanie symetryczne


Przełączanie asymetryczne


Buforowanie w pamięci

Buforowanie w oparciu o porty:

W przypadku buforowania opartego na portach ramki są przechowywane w kolejkach powiązanych z konkretnymi portami przychodzącymi.

Buforowanie w pamięci współużytkowanej:

Powoduje umieszczanie wszystkich ramek we wspólnym buforze pamięci, z którego korzystają wszystkie porty przełącznika. Wymagana przez dany port ilość pamięci buforu jest przydzielana dynamicznie.


Dwie metody przełączania


Store-and-forward


Cut-through


Tryby transmisji ramek


Przełącznik sieciowy korzystający z pamięci CAM


Jak przełączniki i mosty filtrują ramki


Mikrosegmentacja sieci

W celu zmniejszenia domeny kolizyjnej w sieci przełączniki stosują „mikrosegmentację". Odbywa się to poprzez utworzenie dedykowanych segmentów sieci, czyli połączeń typu „punkt-punkt". Przełącznik łączy w sobie te segmenty w sieć wirtualną.


Wstęp do technologii VLAN

VLAN polega na logicznym grupowaniu za

pomocą switch’a sieciowego urządzeń

sieciowych oraz użytkowników sieci LAN pod

kątem sprawowanej funkcji, miejsca

funkcjonowania czy też wykorzystywanej

aplikacji



Historia technologii VLAN

TRENDY

Ewolucja VLAN

Pojedynczy

switch

VLAN w sieciach

kampusowych

Inteligentne

VLAN



W sieciach LAN, które wykorzystują przełączniki

(switch’e), technologia VLAN jest tanim i

efektywnym sposobem grupowania

użytkowników danej sieci w wirtualne grupy

robocze w odniesieniu do ich fizycznej lokalizacji

w tej sieci.



VLAN pracuje w warstwie drugiej oraz trzeciej modelu OSI.

Aplikacji

Prezentacji

Sesji

Transportu

Sieci

Łącza danych

fizyczna 1

2

3

4

5

6

7

VLAN

Warstwy modelu OSI


Segmentacja VLAN a tradycyjna segmentacja

Segmentacja tradycyjna Segmentacja VLAN

Piętro 1

Piętro 2

Piętro 3

switch 1

switch 2

switch 3 hub 3

hub 2

hub 1

ROUTER

ROUTER



Typowe sieci LAN są skonfigurowane w odniesieniu do fizycznej

infrastruktury sieciowej, do której są przyłączone

Użytkownicy w tradycyjnej segmentacji pogrupowani są w

odniesieniu do ich fizycznej lokalizacji w sieci, w relacji do

koncentratora do którego są przyłączeni

Grupowanie użytkowników uzależnione jest również od układu

instalacji sieciowej w budynku

Urządzeniem realizującym segmentację jest router



Konfiguracja VLAN realizowana jest przez oprogramowanie

switch’a

Technologia VLAN wymaga wsparcia ze strony producentów

sprzętu sieciowego

Komunikacja pomiędzy VLAN’ami jest realizowana poprzez

routing w warstwie sieci modelu OSI

VLAN dostarcza mechanizmy kontroli rozgłaszania sieciowego

VLAN może zwiększyć bezpieczeństwo w sieci poprzez

zdefiniowanie, które elementy sieci mogą się ze sobą

komunikować


Rola routerów w VLAN

Switch’e VLAN przejmują realizacje pewnych mechanizmów

zarządzania siecią od routerów

Routery w sieciach VLAN zapewniają połączenia pomiędzy

różnymi sieciami VLAN

Routery zapewniają również komunikację z innymi tradycyjnie

podzielonymi częściami sieci (segmentacja tradycyjna)

Integracja routerów zewnętrznych i architektury switching’u za

pomocą wysokowydajnych sieci szkieletowych


Switching i filtrowanie w VLAN

Switche VLAN są urządzeniami wyposażonymi w inteligentne

mechanizmy służące do podejmowania decyzji odnośnie

filtrowania i przekazywania dalej ramek. Decyzje te bazują na

metrykach VLAN zdefiniowanych przez administratorów sieci.

Najbardziej popularnymi z podejść dla celów logicznego

grupowania w segmenty VLAN są filtrowanie ramek oraz

identyfikacja ramek (frame tagging).

Bazując na zestawie zasad zdefiniowanych przez administratora

obydwie techniki określają gdzie ma być ramka wysłana, czy ma

być filtrowana lub rozgłaszana w sieci.



Filtrowanie ramek – sprawdza szczegółowe informację o każdej ramce.

Filtrowanie odbywa się za pomocą danych z tablicy filtrowania, która jest

tworzona dla każdego switcha. Switch podczas procesu filtrowania

porównuje informacje o ramce z wpisami w tablicy filtrowania i podejmuje

właściwą akcję.



Filtrowanie ramek

Switche dzielą między sobą tablicę adresową

Analogia do protokołów routingu



Identyfikacja ramek (frame tagging) - w procesie tym każdej ramce

nadawany jest identyfikator. Identyfikatory przypisuje administrator

switcha i są one umieszczone w nagłówkach ramek.

Decyzja o przyjęciu bądź odrzuceniu ramki jest podejmowana przez switch

po odczytaniu identyfikatora. Po zidentyfikowaniu ramki switch usuwa

identyfikator i wysyła ramkę do punktu przeznaczenia.



Identyfikacja ramek (frame tagging)


Różne konfiguracje VLAN

VLAN jest złożony z sieci przełączanej (switched network), która

jest podzielona na logiczne segmenty w odniesieniu do funkcji,

zespołów projektowych i aplikacji.

Każdy port w switch’u przypisany jest do VLAN.

Przypisywanie portów switch’a opiera się na trzech różnych

metodach implementacji tej procedury.


Różne konfiguracje VLAN

Port-Centric VLAN (Static VLAN)

Dynamic VLAN


Typy VLAN’ów


Różne konfiguracje VLAN Port-Centric VLAN

Port-Centric VLAN - w konfiguracji Port-Centric wszystkie końcówki sieciowe podłączone do tego samego portu mają ten sam identyfikator VLAN ID.

warstwa łącza

danych

warstwa sieci

warstwa

fizyczna

podłączone końcówki

sieciowe

piętro 1 piętro 2 piętro 3

Produkcja

VLAN Marketing

VLAN Sprzedaż

VLAN


Różne konfiguracje VLAN Port-Centric VLAN

Cechy konfiguracji typu Port-Centric:

użytkownicy sieci przypisani są do portów switch’a

łatwość administracji VLAN

zwiększone bezpieczeństwo przesyłania danych pomiędzy różnymi VLAN

pakiety nie wydostają się do innych domen


Statyczny VLAN


Różne konfiguracje VLAN Dynamic VLAN

Dynamic VLAN - w konfiguracji Dynamic VLAN przypisania wszystkich

końcówek sieciowych są automatycznie wyznaczane na podstawie adresów MAC, IP lub typu protokołu

Nowa

końcówka

sieciowa

MAC adres sprawdzany

w bazie danych

Serwer konfiguracji

VLAN


Zalety sieci VLAN

Łatwo przenosić stacje robocze w sieci LAN

Łatwo dodawać stacje robocze do sieci LAN

Łatwo zmieniać konfigurację sieci LAN

Łatwo nadzorować ruch w sieci

Zwiększyć bezpieczeństwo


Komunikacja pomiędzy VLAN’ami


Konfiguracja łącza pomiędzy VLAN


Połączenie pomiędzy przełącznikami


Komunikacja pomiędzy VLAN’ami


Sieci VLAN typu end-to-end


Weryfikowanie konfiguracji sieci VLAN


Różne konfiguracje VLAN Dynamic VLAN

Cechy konfiguracji typu Dynamic VLAN:

dynamiczne przypisywanie portów na podstawie kilku parametrów

sieciowych (MAC, IP, potokoły)

automatyczna konfiguracja portów na podstawie konfiguracji VLAN

małe nakłady pracy administratora sieci


Kontrola domen rozgłoszeniowych

Domena rozgłoszeniowa 1

Domena rozgłoszeniowa 2

VLAN w połączeniu z routerami potrafi kontrolować i wyznaczać domeny rozgłoszeniowe.


Korzyści z zastosowania VLAN

Korzyści z wykorzystywania VLAN:

wykorzystanie istniejących już urządzeń sieciowych (koncentratory)

elastyczność w tworzeniu grup logicznych oraz w podłączaniu do

nich użytkowników sieci

łatwość administracji

zwiększają możliwości współdzielenia łącza oraz zasobów

pomiędzy użytkowników sieci


Konfigurowanie ustawień dotyczących bezpieczeństwa portu


VLAN w sieci laboratoryjnej

OUTSIDE

10.0.0.0/8

192.168.1.0/24

176.16.0.0/16

200.200.200.0/24

outsidesecurity- level 0

dmz

security- level 50

insidesecurity- level 100

10.10.0.0/16

10.20.0.0/16

VLAN 10

VLAN 20

VLAN1

10.1.0.0/16

VLAN w sieci laboratoryjnej (tworzenie i kasowanie VLAN)


OUTSIDE

10.0.0.0/8

192.168.1.0/24

176.16.0.0/16

200.200.200.0/24


dmz

security- level 50


10.10.0.0/16

10.20.0.0/16

VLAN 10

VLAN 20

VLAN1

10.1.0.0/16

VLAN w sieci laboratoryjnej (przypisanie portu do VLAN)


OUTSIDE

10.0.0.0/8

192.168.1.0/24

176.16.0.0/16

200.200.200.0/24


dmz

security- level 50


10.10.0.0/16

10.20.0.0/16

VLAN 10

VLAN 20

VLAN1

10.1.0.0/16

VLAN w sieci laboratoryjnej (informacje o VLAN)


OUTSIDE

10.0.0.0/8

192.168.1.0/24

176.16.0.0/16

200.200.200.0/24


dmz

security- level 50


10.10.0.0/16

10.20.0.0/16

VLAN 10

VLAN 20

VLAN1

10.1.0.0/16

VLAN w sieci laboratoryjnej (łącze trunkowe VLAN)


OUTSIDE

10.0.0.0/8

192.168.1.0/24

176.16.0.0/16

200.200.200.0/24


dmz

security- level 50


10.10.0.0/16

10.20.0.0/16

VLAN 10

VLAN 20

VLAN1

10.1.0.0/16

VLAN w sieci laboratoryjnej (inter-VLAN routing)


OUTSIDE

10.0.0.0/8

192.168.1.0/24

176.16.0.0/16

200.200.200.0/24


dmz

security- level 50


10.10.0.0/16

10.20.0.0/16

VLAN 10

VLAN 20

VLAN1

10.1.0.0/16


ZiMSK

KONIEC

ZiMSK - luk.kis.p.lodz.plluk.kis.p.lodz.pl/.../!ZiMSK.wyklad.07.v2012.(VLAN.trunk.interVLAN... ·...

Documents

Transcript of ZiMSK - luk.kis.p.lodz.plluk.kis.p.lodz.pl/.../!ZiMSK.wyklad.07.v2012.(VLAN.trunk.interVLAN... ·...