Pilne! Powiadomienie dotyczące bezpieczeństwa - zalecana aktualizacja oprogramowania układowego w celu zapewnienia optymalnej ochrony oraz problemy ze stabilnością VPN i GUI

Przeczytaj artykuł
Polski Български Čeština Dansk Deutsch English Español Suomi Français Magyar Italiano Nederlands Norsk Română Русский Slovenčina svenska Türkçe

Sieci VLAN — dokładniejsze spojrzenie na ich działanie VLAN icon

Avatar
  • Zaktualizowano
Powrót do góry

Sieci VLAN to temat, na który zasadniczo nie możesz sobie pozwolić podczas konfigurowania. Dlatego bardzo ważne jest, aby zrozumieć, jak działają sieci VLAN na najniższym poziomie. Ten artykuł może nie zagłębiać się w podstawowe podstawy sieci VLAN, ale da ci całkiem dobry wgląd w to, czym są sieci VLAN, jak działają i jak je skonfigurować.

 

1. Co to jest sieć VLAN?

VLAN oznacza wirtualną sieć lokalną i jest, w prosty sposób, bardzo powszechnym sposobem oddzielania sieci na przełącznikach. Zwykle, jeśli chcesz oddzielić sieci, musisz fizycznie zbudować różne segmenty sieci (czyli jedną całą sieć dla pracowników, jedną dla gości itp.) i uruchamiać je równolegle. Za pośrednictwem sieci VLAN można używać tej samej infrastruktury sieciowej do jednoczesnego przenoszenia wielu sieci. Umożliwia tworzenie wirtualnych sieci na rzeczywistych fizycznych urządzeniach sieciowych.

Aby przywołać analogię: podczas gdy podsieci są sposobem na oddzielenie sieci w ramach routerów lub tak zwanych „urządzeń warstwy 3”, zasadniczo urządzeń opartych na protokole IP, sieci VLAN robią bardzo podobną rzecz Urządzenia warstwy 2 w sieciach opartych na MAC .

Zasady i standardy dotyczące implementacji VLAN są klasyfikowane przez organizację IEEE w standardzie IEEE 802.1q.

 

2. A więc, jak naprawdę działa teraz sieć VLAN?

Uproszczona sieć VLAN działa za pomocą tagów . Znacznik składa się z kilku dodatkowych bajtów dołączonych do dowolnej ramki danych, która zawiera informacje takie jak członkostwo w sieci VLAN:

mceclip0.png

Najważniejszą częścią, na której się głównie skupimy, jest VID, VLAN ID. Ta liczba od 1-4096 jest po prostu znacznikiem „do której sieci VLAN należy ramka”.

Tagowanie to bardzo skuteczny sposób kontrolowania, która ramka należy do której sieci VLAN.

Aby zrozumieć, jak działają sieci VLAN w praktyce, wyobraź sobie tworzenie pasa ruchu danych podczas konfigurowania sieci VLAN w przełączniku. Każda linia jest oddzielona, działa równolegle i jest podłączona do różnych portów przypisanych do tej linii. „Przypisanie do pasa” to nasze członkostwo w sieci VLAN . Jak to skonfigurować, opisano w wielu różnych artykułach, do których linki znajdują się na samym dole tego artykułu. Ale oto graficzna reprezentacja tego:
mceclip1.png

Możesz zobaczyć linie biegnące przez przełączniki, a następnie przechodzące do dowolnego portu przełącznika, któremu przypisano odpowiednie członkostwo. Tak więc, gdy ramka wejdzie do przełącznika w określonej sieci VLAN, może komunikować się z dowolnym Port, który ma członkostwo w tej sieci VLAN. Ale w jaki sposób ramka staje się ramką przypisaną do sieci VLAN10, 20 lub 30?

 

3. Ruch przychodzący w sieciach VLAN

Definicja, do której sieci VLAN zostanie przypisana ramka przychodząca, zależy od tego, czy ramka przychodząca ma już znacznik VLAN przypisany do niej przez urządzenie źródłowe. Jeśli do ramki jest przypisany znacznik VLAN, odczytywana jest zawartość VID. Jeśli VID pasuje w swoim numerze do otagowanego członkostwa w porcie przełącznika, zostanie dopuszczony „na linię”. Ale o wiele bardziej interesujące jest dowiedzenie się, co dzieje się z całkowicie nieoznakowanymi ramkami Ethernet. Tutaj do gry wchodzi tak zwany PVID (Port-Based VLAN ID) . PVID jest odpowiedzialny za wybór odpowiedniego toru, na którym umieszczane są ramki przychodzące i nieoznakowane – PVID wchodzi w grę tylko w przypadku ramek spełniających te dwa kryteria. Port, któremu przypisano identyfikator PVID równy 1, przypisze nieoznakowany, przychodzący ruch do sieci VLAN1 w celu wypchnięcia ruchu „na linię nr 1”.

Domyślnie wszystkie porty i przełączniki urządzeń sieciowych mają ustawiony identyfikator PVID1 i członkostwo (nieoznakowane) w sieci VLAN1 . Oznacza to, że domyślnie, jeśli zdarzy się, że podłączysz komputer do przełącznika bez żadnej konfiguracji wykonanej samodzielnie, która z kolei trafia do bramy, to poprzez przyimek PVID1 i nieotagowane członkostwo w VLAN1, urządzenia mogą natychmiast komunikują się ze sobą, ponieważ przyimek umieścił je w tej samej sieci.

Przyjrzyjmy się jeszcze raz innej wizualizacji:
mceclip2.png

Na pierwszy rzut oka może się to wydawać bardziej chaotyczne niż jest: w zasadzie oba porty podłączone do PC i Gateway współdzielą domyślne członkostwo w VLAN VLAN1 (członkostwo nieoznaczone -> zostanie omówione za chwilę) i PVID1.

Jeśli komputer PC wysyła ruch do bramy, PVID1 dolnego portu przełącznika przypisze ruch do „pasa” dla VLAN1, umożliwiając mu komunikację z górnym portem przełącznika, ponieważ nadane jest członkostwo w VLAN1. W porównaniu z członkostwem oznaczonym członkostwo nieoznaczone decyduje o tym, czy sieć VLAN jest wysyłana ze znacznikiem oznaczonym VID=1 (członek oznaczony) lub bez znacznika VLAN (członek nieoznaczony). W takim przypadku, ponieważ górny port jest nieoznaczony, nie zostanie dodany żaden tag. Brama może wtedy odpowiedzieć na ten przychodzący pakiet i odesłać go – również nieoznakowany, ponieważ brama nie ma jeszcze skonfigurowanej obsługi sieci VLAN. Ponownie, PVID1, tym razem na górnym porcie przełącznika, przypisze ramkę do „linii VLAN1”, ponownie umożliwi komunikację, teraz do dolnego portu przełącznika ze względu na członkostwo w sieci VLAN. Ponownie, żaden tag nie zostanie dodany ze względu na członkostwo bez tagów, dzięki czemu ramka jest akceptowalna dla komputera, który nie może odczytać żadnych informacji o tagach VLAN. Dzięki temu procesowi nawiązywana jest komunikacja między bramą a urządzeniem klienckim.

 

4. Refleksje i przydatne linki

Zrozumienie tej bardzo podstawowej zasady sieci VLAN jest kluczowym krokiem w dokonywaniu właściwych wyborów dotyczących konfiguracji sieci VLAN. Oczywiście możemy tylko zarysować powierzchnię na ten temat, ale miejmy nadzieję, że będzie to dobry punkt wyjścia do rzeczywistego zrozumienia sieci VLAN i poznania różnicy między członkostwem w PVID i VLAN.

Poniżej znajdziesz artykuły dotyczące konfigurowania sieci VLAN na wielu różnych urządzeniach z naszego portfolio:

Sieci VLAN — oznakowane sieci VLAN a PVID (przykład konfiguracji sieci VLAN bez tagu/oznaczonego)

Jak skonfigurować VLAN na urządzeniu USG

Oddzielne sieci VLAN na urządzeniu ZyWALL/USG

GS1900: Jak skonfigurować VLAN na Zyxel Switch

Jak skonfigurować grupę VLAN na VMG

Jak przeprowadzić podstawową konfigurację VLAN w serii NWA / WAC

ZASTRZEŻENIE:

 Szanowny Kliencie, pamiętaj, że używamy tłumaczenia maszynowego, aby dostarczać artykuły w Twoim lokalnym języku. Nie wszystkie teksty mogą być przetłumaczone dokładnie. W przypadku pytań lub rozbieżności co do dokładności informacji w przetłumaczonej wersji zapoznaj się z oryginalnym artykułem tutaj: Wersja oryginalna

Contact Us
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 12 z 13
Masz więcej pytań? Wyślij zgłoszenie

Powiązane artykuły

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.