Дріс. Виртуалды жергілікті желі VLAN

 

Дрісті масаты: магистральды байланыс технологиясын жне VLAN конфигурациясын оып йрену.

Virtual Local Area Network (VLAN) немесе Виртуалды Жергілікті Желі – кптеген коммутаторларды мірін тбегейлі згерткен технология. азір бл технология Ethernet желілеріндегі басты коммутация технологияларыны бірі болып табылады. Вертуалды жергіліктіжеліні пайда болуы коммутация ралдарымен бір бірімен хабарласпайтын бірнеше топтара бліп бір коммутатора осылан олданушыларды “виртуалды” блуге ммкіншілік берді. Технология бір коммутаторды базасында тек ана белгілі бір топтарды олданушылары арасында фреймдерді коммутациялай алатын бірнеше вертуалды логикалы коммутаторларды жасауа ммкіндік бере алады. Топтар ртрлі тсілдер негізінде беріле алады, мысалы, МАС хост адресі бойынша немесе коммутатор портымен, не болмасы жмыс алгоритмі келесідей крсетілітін 802.1q хаттамасы арылы. Бір топ ішіндегі клиент трафигі топтар арасында трафик тасымалы шін маршрутизатор ажет боланда, ешандай шектеусіз коммутацияланады, коммутаторды зінде бл кі сегментті байланыстыруа болмайды (ескерту: бл жадайда коммутатор OSI моделі бойынша шінші дрежені толы функционалы бола алмайды жне дестелерді маршруттай алмайды).

Виртуалды жергілікті желілерді жіктелінуі. Виртуалды жергілікті желілерді кптеген трлері бар, жне де оларды арасындаы ерекшелігі – бл cол не баса станса немесе баса рылы кез келген VLAN мшесі болатын талап, бл-мшелікті иемдену талабы. Бірнеше мысал арастырайы:

1) VLAN-даы мшелік станса осылан порт нмірі арылы таайындала алады. Осы станса хабарласатын баса порттар да VLAN-а осылады.

2) VLAN нмірі МАС рылы адрестерін басара отырып белгіленуі ммкін. Бл жадайда белгілі МАС адрестеріні белгілі VLAN-а арнаулы кестені стау керек.

3) VLAN-ны сирек, біра маызды трлеріні бірі болып, VLAN-а есепке осу рылы беретін трафик бойынша ндірілетін желі табылады.

4) азір дамып жатан баыт олданушыларды классификациясы жне VLAN-а тиісті логин мен пароль бойынша, бизнес-рольдер жне жмыс стансасына емес, олданушыа атысты баса сипаттама бойынша оларды анытамасы.

Есепке осу белгісі бойынша VLAN динамикалы жне статиткалы болып блінеді.

Статикалы VLAN – бл сол немесе баса VLAN-а есепке осуы коммутаторды жнге келтірілуімен тыыз байланысты виртуалды жергілікті желі, жне ол желі жрісіні туелдігінен згере алмайды. Порт негізінде статикалы VLAN 5.1 суретте келтірілген.

Бл жадайда бір тсті порттара жаланатын стансалар зара хабарласа алады, біра баса тсті порттара осылан стансалармен хабарласа ала алмайды. Егер бір VLAN-а осылан станция баса VLAN-а туелді потра айта жаланан болса, станса автоматты трде баса VLAN-ны мшесі болады. Есепте VLAN бір коммутатор шегіде жмыс істейді жне МАС адрестар мліметтер базасын коммутаторды жнге келтіруінде олмен жазуа тура келеді.

Статикалы VLAN-ны келесі артышылытары бар:

- те тез жне арапайым конфигурациялау, ол МАС адрестарды таблица жазбасымен немесе натылы VLAN-а керекті порттарды арапайым енуімен шектеледі;

- статикалы VLAN желіде жоары дрежелі орау береді, желідегі кез келген згертулер коммутатордаы айта конфигурациялаумен осылуы керек. ауіпсіздікті лсіз жері болып МАС адрестерді ауыстырылуы немесе баса тсілдермен жойылатын коммутатора физикалы рсаттама болуы ммкін;

- жеіл конфигурациялау жне жеткілікті арапайым жмыс алгоритмі, з кезегінде мониторингті жеілділігін амтамасыз етеді.

Кемшіліктер ішінде е маыздысы лсіз масштабирациялы болып табылады, статикалы VLAN поттар немесе МАС адрестармен бір коммутатордан арты жмыс істемейді жне stand-alone есептеуге ана арналан, бл желілік инфрарылыма компанияны осы уаыттаы талабын айта жабады.

Динамикалы VLAN рылыларды айта конфигурациясынсыз топологияны згеруінде автоматты трде айта рыла алу абілеті бар.

Динамикалы VLAN-ды олдау шін детте мліметтер базасыны сервері олданады, оларда барлы рылылар жайлы немесе желідегі олданушы туралы апарат жатыр жне олданушыны пайда болуында осы базаа байланысты ол зі жататын VLAN-а автоматты трде тседі. Серверлерді олданан кезде белгілі бір VLAN-а енуіні сипаттамаларын тадау еркі те атты седі, себебі белгілі бір VLAN-даы аутентификация мен авторизация процессін жргізетін коммутатор емес, толыталып згере алатын серверді бадарламалы жабдытауы. Солай, белгілі бір VLAN-ны белгілері болып тек МАС, IP адрестары немесе хаттама типі ана емес, сол сияты мысала олданушы аты, смарт-карттар, токендер, компьютер компоненттеріні сериялы нмірлері немесе олданушыны саусатар ізі. Белгілі бір VLAN-а абылдану шін компания желісінде ауіпсіздік дегейін сіретін бірнеше сипаттамалар олданылады. Коммутаторларда VLAN-ны ш трі олданылуы ммкін жне кетаралан домендер:

- база портындаы VLAN;

- MAC-адрестар базасындаы кетаралан домендер;

- стандарт IEEE 802.1Q осымша кадр алаыны таба негізіндегі VLAN.

а) база портындаы VLAN.

База портындаы VLAN-ды олдану кезінде порт белгілі бір VLAN-а беріледі, ол осы порта андай олданушы не компьютер осыланына туілді емес. Бл дегеніміз осы порта осылан барлы олданушы бір VLAN-ны мшесі болады. Порттар конфмгурациясы статикалы жне тек олмен згере алады. Негізгі сипаттамалары:

-кбінесе бір коммутаторды шамасында ана олданылыды. Егер бірнеше жмысшы тобын лкен емес желі шамасында бір коммутатор негізінде йымдастыру керек болса, мысалы, техникалы блім жне сату блімін таратып жіберу ажет, сонда база портындаы VLAN шешімі берілген тапсырмаа олайлы.

- жндеу арапайымдылыы. Порттарды топтасу негізінде виртуалды желілерді жасау кімшіліктен лкен клемді олды жмысты срамайды – бір VLAN-даы р порта бір идентификатор VLAN (VLAN ID) ою жеткілікті;

- стансаны физикалы орналастыруынсыз желіні логикалы топологиясын згерту ммкінділігі – бір VLAN-нан (мысалы, техникалы блім VLAN-ны) екінші VLAN-а (сату блімі VLAN-ны) порттар жндеуін згерту жеткілікті, жне жмысшы станса тез арада ресурстарды жаа VLAN мшелерімен бірігіп олдануа ммкіншілік алады. Осылай, VLAN орналастыру, згерту жне желі сіруі кезіндегі икемділікті амтамасыз етеді;

- р порт тек бір VLAN-а кіре алады. Сондытан, виртуалды осалы желілерді біріктіру шін – бір коммутатор ішіндегідей екі коммутатор арасында – IP дегейін олдану ажет: р VLAN-ны бір порты маршрутизатора осылады жне онда дестелерді бір осалы желіден екіншісіне айта сілтеу шін маршруттау кестесі растырылады.

Бл шешімні кемшілігі болып р VLAN-ны бір портын маршрутизатора осу керек жне бнда порттар мен кабельдер ысырапшыл олданылады, оан маршрутизатора кеткен шыындар осылады. Берілген мселені екі жолмен шешуге болады: біріншісі, фирмалы шешім негізінде портты бірнеше VLAN-а осуа ммкіндік беретін коммутаторларды олдану керек. Екінші жолы 3-дегейлі коммутаторларды олдануда мнін береді.

б) MAC-адрестер базасындаы VLAN.

Виртуалды желілерді жасау шін олданылатын екінші діс МАС-адрестерді топтауда негізделеді. Желіде лкен клемді тйіндерді болу кезінде бл діс кімшіліктен лкен клемді жмысты талап етеді. детте ол бірнеше коммутатор негізінде виртуалды желіні руда порттарды топтау дісіне араанда икемді болып келеді. р коммутаторда МАС-адрестерді желіге топтау оларды бірнеше портпен байланысыны ажеттілігінен тарады, біра желіде р коммутатора МАС-адрестарды бркеу лкен клемді олды операцияларды орындалуын талап етеді.

МАС-адрестер базасындаы ке таралан домендер стансаларды сол ке таралан доменде конфигурация згертуін згертпей-а ала отырып, оны физикалы орын ауыстыруын рсат етеді. МАС-адрестер негізінде виртуалды желілерді згертуі кп уаытты алуы ммкін – сізге VLAN адресімен 1000 рылыны осу керек болады. Одан баса MAC-адрестер рылыда “тас ылып ораулы” жне лкен территорияа таралан желіде рылы адрестерін анытауа кп уаыт ажет болады.

в) база табасындаы VLAN – 802.1Q стандарт.

802.1q комитетіні жмысы – бл коммутация технологиясындаы лкен жетістік деп айтуа болады, дамыан желелік рылыммен берілген компаниялар саны бл нсаны VLAN олданады. Бл технология кп желіге базала жне сыншыл болып келеді, ол кадрларды табалауа негізделген – коммутация туралы шешім абылдау шін ызметтік апаратта кадрларды толытыру. Технологияны ары арай талылау шін бірнеше жаа ымдарды енгізу керек:

- tagging – «табаланан» - 802.1q стандартымен VLAN-ны атыстылыы туралы апаратты фреймге енгізу процедурасы;

- untagging – «табаланбаан» - 802.1q стандартымен VLAN-ны атыстылыы туралы апаратты кадрдан жою процедурасы;

- ingress port – кадрлар келетін жне соында табасы бар болуы мен VLAN-а атыстылыына жне де табалыына туралы тексеру жргізетін кіріс;

- egress port – табаланан немесе табаланбаан туралы шешім абылдааннан кейінгі табалар бар болуына тексеруден ткен кадрлар шыатын шыыс порты.