Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4624 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский технический университет связи и информатики
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
ССиСК для ИЭФ.doc
Скачиваний:
20
Добавлен:
01.09.2019
Размер:
1.07 Mб
Скачать
►Содержание►

11.11. Виртуальные локальные сети (vlan – Virtual Local Area Network)

VLAN (виртуальная локальная сеть) позволяет изменять конфигурацию сети, объединять пользователей в отдельные рабочие группы, определять доступные сегменты для отдельно взятого порта коммутатора.

VLAN дает возможность значительно оптимизировать работу локальной сети за счет разгрузки отдельных ее сегментов от "лишнего" трафика и решить некоторые вопросы безопасности в сети, разграничив доступ пользователей. Кроме того, VLAN позволяет контролировать и эффективно подавлять широковещательные штормы, которые в больших сетях иногда останавливают работу целых сегментов. Как правило, в такой ситуации обычный коммутатор не может исправить положение.

Еще одним достоинством VLAN является возможность объединения нескольких портов в один единый канал – транк (trunk), скорость работы которого увеличивается пропорционально количеству объединенных портов. Для примера, максимальная скорость работы транка из 4 портов составит 800 Мбит/с (каждый порт по 100 Мбит/с на полнодуплексном режиме). Транковое соединение позволяет преодолеть эффект "бутылочного горла" (узкого места в сети) при подключении к серверу или при организации магистрали между коммутаторами.

Конфигурирование коммутаторов с функцией VLAN предельно просто и осуществляется при помощи кнопок на передней панели устройства (относится только к самым простым коммутаторам). При этом конфигурация записывается в энергонезависимую память и не "стирается" при выключении питания

Cети VLAN имеют следующие преимущества:

  • Функциональные рабочие группы

  • Контроль за широковещательным трафиком

  • Повышенная безопасность

С помощью технологии VLAN можно создавать рабочие группы, основываясь на функциональности, а не на физическом расположении сегментов. Она позволяет администратору логически создавать, группировать и перегруппировывать сетевые сегменты без изменения физической инфраструктуры и отсоединения пользователей и серверов. VLAN обеспечивает дополнительные преимущества для безопасности. Пользователи одной рабочей группы не могут получить доступ к данным другой группы, потому что каждая VLAN – это закрытая и логически определенная группа.

VLAN предлагает дополнительные преимущества для безопасности. Пользователи одной рабочей группы не могут получить доступ к данным другой группы, потому что каждая VLAN это закрытая, логически объявленная группа. Представьте компанию, в которой отдел кадров (HR), который работает с конфиденциальной информацией, расположен на трех этажах здания. Инженерный департамент (ENG) и отдел Маркетинга (Sales) также расположены на трех этажах (рис. 11.15).

Рис. 11.15. Пример VLAN

Используя VLAN, члены Инженерного отдела и отдела Маркетинга могут быть расположены на всех трех этажах как члены двух других VLAN, а отдел кадров может быть членом третьей VLAN, которая расположена на всех трех этажах. Сейчас сетевой трафик, создаваемый отделом кадров, будет доступен только сотрудникам этого департамента, а группы Инженерного и отдела Маркетинга не смогут получить доступ к конфиденциальным данным отдела кадров. Очевидно, есть другие требования для обеспечения полной безопасности, но VLAN может быть частью общей стратегии сетевой безопасности.

Сети VLAN могут быть определены по:

  • Порту (наиболее частое использование)

  • MAC адресу (очень редко)

  • Идентификатору пользователя User ID (очень редко)

  • Сетевому адресу (редко в связи с ростом использования DHCP)

VLAN, базирующиеся на номере порта позволяют определить конкретный порт в VLAN. Порты могут быть определены индивидуально, по группам, по целым рядам и даже в разных коммутаторах через транковый протокол. Это наиболее простой и часто используемый метод определения VLAN. Это наиболее частое применение внедрения VLAN, построенной на портах, когда рабочие станции используют протокол Динамической Настройки TCP/IP (DHCP).

VLAN, базирующиеся на MAC адресах позволяет пользователям находиться в той же VLAN, даже если пользователь перемещается с одного места на другое. Этот метод требует, чтобы администратор определил MAC адрес каждой рабочей станции и затем внес эту информацию в коммутатор. Этот метод может вызвать большие трудности при поиске неисправностей, если пользователь изменил MAC-адрес. Любые изменения в конфигурации должны быть согласованы с сетевым администратором, что может вызывать административные задержки.

Виртуальные сети, базирующиеся на сетевых адресах, позволяют пользователям находиться в той же VLAN, даже когда пользователь перемещается с одного места на другое. Этот метод перемещает VLAN, связывая ее с сетевым адресом Уровня 3 рабочей станции для каждого коммутатора, к которому пользователь подключен. Этот метод может быть очень полезным в ситуации, когда важна безопасность и когда доступ контролируется списками доступа в маршрутизаторах. Поэтому пользователь "безопасной" VLAN может переехать в другое здание, но остаться подключенным к тем же устройствам потому, что у него остался тот же сетевой адрес. Сеть, построенная на сетевых адресах, может потребовать комплексного подхода при поиске неисправностей.

IP (Internet Protocol)

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности