Sieci: lab3 Mateusz Rzeszutek 19 kwiecie«2012 1 Poj cie sieci wirtualnej Sie VLAN jest logiczn grup urz dze«sieciowych wydzielon w ramach innej, wi kszej sieci zycznej. Urz dzenia w sieci VLAN mog komunikowa si mi dzy sob tak, jakby byªy w tej samej domenie rozgªoszeniowej, niezale»nie od ich uªo»enia w sieci zycznej. Do tworzenia VLANów wykorzystuje si kongurowalne przeª cznice, umo»liwiaj ce podziaª jednego zycznego urz dzenia na kilka (b d¹ wi cej) urz dze«logicznych poprzez separacj ruchu pomi dzy okre±lonymi grupami portów. Komunikacja mi dzy VLANami jest mo»liwa jednynie poprzez router (b d¹ przeª cznice warstwy trzeciej). 1.1 tl;dr Logiczne, nie zyczne, grupowanie urz dze«. 2 Wpªyw sieci wirtualnych na domeny kolizyjne i rozgªoszeniowe Sie VLAN nie zmienia nic w kwestii domen kolizyjnych Sieci VLAN ograniczaj domeny rozgªoszeniowe, ka»dy VLAN zostaje osobn domen. 3 Sposoby deniowania przynale»no±ci do sieci wirtualnych 3.1 Statyczne VLAN W statycznej sieci VLAN skªad sieci stanowi zbiór wybranych portów. Przynale»no± danego portu do sieci nie mo»e ulec zmianie, chyba»e administrator zmieni konguracj. przynale»no± w oparciu o numer portu najwi ksze bezpiecze«stwo i peªna kontrola nad sieci kongurowana administracyjnie 1
3.2 Dynamiczne VLAN W dynamicznych sieciach VLAN po podª czeniu urz dzenia odpytuje specjalny serwer kon- guracyjny sieci, do jakiej sieci przypisa dany port (urz dzenia pod niego podª czone). w oparciu o adres MAC lub o warstw trzeci mechanizm kongurowany administracyjnie dziaªa automatycznie mechanizm VMPS zarz dzaj cy odwzorowaniami MAC->VLAN (serwer konguracyjny) 4 Zalety i wady sieci wirtualnych 4.1 Zalety wi ksze bezpiecze«stwo sieci - poª czenie sieci wirtualnych realizowane przez router sieci VLAN umo»liwiaj logiczne, zamiast zycznego, organizowanie struktury sieci ograniczenie domeny rozgªoszeniowej - rozgªaszane ramki traaj tylko do urz dze«w danej sieci VLAN, nie za±miecaj caªej sieci LAN, w efekcie zwi kszaj c dost pne pasmo ª cza lepsza skalowalno± sieci konguracja/rekonguracja sieci jest ªatwa - nie trzeba zmienia zycznych poª cze«w sieci, administrator mo»e zmieni topologi sieci programowo, nie sprz towo. 4.2 Wady du»y koszt urz dze«obsªuguj cych VLAN (podobno ju» nieaktualne) stosunkowo trudne zarz dzanie wymagaj routerów (b d¹ przeª cznic warstwy trzeciej) technologia bardziej skomplikowana ni» Ethernet maªo zaawansowana standaryzacja 5 Metody okre±lania przynale»no±ci urz dze«do VLAN w sieci zªo»onej z wielu przeª cznic. Filtrowanie ramek. Mechanizm TDM. Tagowanie ramek. Protokoªy 802.1q i ISL. Aby pomi dzy przeª cznicami jednym ª czem przesyªa ramki z ró»nych sieci VLAN, nale»y zastosowa multipleksacj ruchu (trunking). Niew tpliw zalet tego rozwi zania jest oszcz dno± portów, natomiast problemem jest rozróznianie, do której sieci powinna tra dana ramka. 2
5.1 Trunk - ª cze multipleksowane pojedyncze ª cze, na którym ruch z wielu urz dze«jest multipleksowany ª cze o du»ej przepustowo±ci (najcz ±ciej) ª cze punkt-punkt szkielet sieci (backbone) 5.2 Multipleksacja portów 5.2.1 Tagowanie ramka wzbogacana jest o VLAN ID wyª cznie na czas podró»y przez trunk kolorowanie ramek Standard IEEE 802.1q dodatkowe czterobajtowe pole mi dzy adresami a polem typ/dªugo± zwi kszenie max. dªugo±ci ramki z 1518B do 1522B Ramka IEEE 802.1q Preamble MAC dest MAC source TPID TCI Type/length Data CRC Bytes 8 6 6 2 2 2 46-1500 4 Pole TCI jest podzielone na 3 mniejsze pola: 16 bits 3 bits 1 bit 12 bits TPID TCI PCP CFI VID TPID (Tag Protocol Identier), 16-bitowe pole ustawione na 0x8100, pozwala odró»ni ramk otagowan za pomoc 802.11q TCI (Tag Control Identier) zawiera pola: PCP (Priority Code Point), 3-bitowe pole, okre±laj ce priorytet ramki. Sposób u»ycia tego pola zdeniowany jest w 802.1p CFI (Canonical Format Indicator), 1-bitowe pole mówi ce w jakiej technologii zostaªa utworzona sie LAN: 0 oznacza Ethernet, 1 Token Ring; w ten sposób 802.1q zapewnia wspóªprac mi dzy tymi protokoªami VID (VLAN Identicator), 12-bitowe pole okre±laj ce do jakiej sieci nale»y dana ramka; zero oznacza,»e ramka nie nale»y do»adnej sieci, jeden jest wykorzystywana dla mostów, 0xFFF jest zarezerwowana do innych celów; urz dzenie dziaªaj ce w standardzie 802.1q po otrzymaniu takiej ramki odczytuje VLAN ID i kieruje ramk do odpowiedniej sieci wirtualnej 3
ISL (opracowany przez Cisco) enkapsulacja oryginalnej ramki (tunelowanie) w nagªówek ISL i FCS 26B nagªówka i 4B zako«czenia ramki wspiera do 1024 VLANów 5.2.2 Filtrowanie informacja o przynale»no±ci do VLAN przechowywana na ka»dej przeª cznicy uzyskiwane statycznie lub dynamiczne rozwi zanie mniej skalowalne 5.2.3 TDM - Time Division Multiplexing sloty czasowe dla poszczególnych sieci wirtualnych bardzo rzadko wykorzystywane 6 Materiaªy dodatkowe 6.1 Sprawd¹, które z dost pnych na rynku urz dze«switch obsªuguj mechanizm sieci wirtualnych. W jaki sposób mo»na okre±li na nich przynale»no± hostów do konkretnej sieci? hurrdurr 6.2 Zagadnienia do kolokwium 6.2.1 Opisz dlaczego stosowanie VLAN jest korzystniejsze od zwykªych LAN Zalety 6.2.2 Czy jest mo»liwe zestawienie poª czenia mi dzy dwoma urz dzeniami znajduj cymi si w dwóch ró»nych sieciach VLAN? Narysuj przykªad. Jest mo»liwe - w poª czeniu pomi dzy dwoma VLANami musi po±redniczy router. 4
6.2.3 Narysuj sie zawieraj c urz dzenia hub, switch, bridge, router i komputer skªadaj c si z czterech domen rozgªoszeniowych i dziewi ciu kolizyjnych. Ka»de z u»ytych urz dze«switch posiada skongurowane trzy sieci wirtualne. (Wzi te z FTPa, chyba jest ok) 7 Inne tablica forwardingu - (mostek, switch) tablica zawieraj ca numery portów i adresy MAC podª czonych do nich urz dze«promiscuous mode - tryb nasªuchu, urz dzenie przechwytuje wszystkie pakiety 5