" магистърска програма " информационни технологии " магистърска теза на тема: проектиране на локална компютърна мрежа дипломант
Изтегляне 1.17 Mb.
|
Свързани:
Raia Valerieva Roeva
- Навигация на страницата:
- Виртуални локални мрежи (VLAN)
| Услугата DHCP централизира и управлява разпределението на информация за конфигурирането на TCP/IP, като задава автоматично IP адреси и друга информация за параметрите на TCP/IP на компютри, които са настроени като DHCP клиенти. Използването на DHCP може да отстрани голяма част от проблемите, свързани с ръчното конфигуриране на TCP/IP. В това упражнение се разглеждат необходимите умения и се дава информация за инсталирането и конфигурирането на услугата DHCP. В него се разглеждат и DHCP договорите.
DHCP представлява TCP/IP стандарт за опростяване на управлението на IP конфигурацията. DHCP е разширение на протокола BOOTP (Bootstrap Protocol), който е базиран на UDP/IP (User Datagram Protocol/Internet Protocol). ВООТР позволява на хостовете да се самоконфигурират динамично по време на началното си зареждане. Всеки път, когато даден DHCP клиент се стартира, той иска адресна информация за IP от DHCP сървър. Тази информация включва следното: IP адрес, маска на подмрежата, адрес на подразбиращия се шлюз /default gateway/, адрес на DNS сървър, незадължителни параметри, като име на домейн, WINS сървър. Когато някой DHCP сървър получи заявка за IP адрес, той избира адресна информация за IP от пул с адреси, дефиниран в неговата база данни, и предлага тази информация на DHCP клиента. Ако клиентът приеме офертата, DHCP сървърът разрешава на клиента да използва адресната информация за IP за определен период от време. Виртуални локални мрежи (VLAN)Дефиницията за Local Area Network гласи, че това е компютърна мрежа, която свързва крайните устройства в малко географско пространство – офис, сграда, фабрика, университет. Когато тази мрежа премине границата от 100 устройства, свързани в Ethernet среда, започват да се появяват проблемите. Ethernet използва broadcast съобщения, за да свърже едно устройство с друго (ARP request), и когато мрежата стане прекалено голяма, broadcast трафикът започва да доминира, като това води до забавяния по мрежата и неефективно използване на ресурсите на мрежовите устройства. За да се справи с този проблем на помощ идва концепцията за Virtual Local Area Network – VLAN. По същество – физическата локална мрежа се сегментира логически на отделни виртуални мрежи, като по този начин значително се намалява broadcast трафикът. Фиг.25 Сегментацията се прави на мрежовите устройства, като всеки VLAN представлява един Broadcast Domain. Сините устройства (фиг.25) на графиката физически са свързани на два комутатора, но що се касае до самите устройства, за тях е все едно са свързани на един отделен, изолиран комутатор. За да се осъществи връзка между сините и червените устройства е необходимо Layer 3 устройство – router или multi-layer switch. Устройствата в един VLAN обикновено имат IP адреси от една мрежа, но е възможно да има устройства с IP адреси от различни мрежи. Това е така, защото VLAN е Ethernet (Layer 2) технология, и по същество тя има задача да дефинира границите на един Broadcast domain върху един или повече комутатори, т.е. да осигури Layer 2 свързаност между устройствата и не се интересува от работата на по-горните нива (Layer 3 IP и по-високи). (5) Разграничаването на отделните виртуални мрежи е дефинирано в няколко стандарта, като най-използваният е IEEE 802.1Q или dot1q. Това е отворен стандарт и се поддържа от всички производители на мрежово оборудване (CISCO имат и собствен стандарт ISL, който обаче вече не се използва). Стандартът определя механизми за маркиране на отделните Ethernet фреймове на база принадлежност на различни виртуални мрежи. IEEE 802.1Q не използва отделна енкапсулация, ами вмъква VLAN етикета (tag) в едно от полетата на Ethernet фрейма. Мрежовите устройства поддържат номера на етикетите от 1 до 4096, което означава, че могат да разграничават 4096 отделни виртуални мрежи (VLANs). Виртуални мрежи с номера 1 и 1002-1005 са малко по-специални. VLAN1 се нарича Default VLAN или Native VLAN, докато VLAN1002 – 1005 са запазени за фреймове от други типове Layer 2 комуникация (Token ring, FDDI и др.) За нуждите на големите Carrier доставчици, IEEE дефинира и допълнителен стандарт 802.1ad, който позволява двойно маркиране (double tagging). Познат още като QinQ, този стандарт добавя още един етикет, което прави възможно маркирането с един 802.1ad tag на фреймове с различни 802.1Q етикети, или на практика, устройствата, които поддържат QinQ, разграничават 4096х4096 различни етикета. IEEE 802.1Q разграничава два типа портове на устройствата – trunk и access, като функционалността им е коренно различна: • Trunk (tagged) – фреймовете, които преминават през такъв порт в двете посоки запазват своя VLAN етикет (VLAN tag). Тези портове позволяват преминаването на фреймове от различни виртуални мрежи (VLANs) • Access (untagged) – входящите фреймове получават етикет (според конфигурацията), докато на изходящите фреймове им се премахва етикетът Крайните устройства (компютри, принтери и др.) обикновено не поддържат VLAN етикети. Затова, комутаторите махат етикетите, които отиват към крайното устройство. В обратна посока комутаторите маркират етикетите, според конфигурацията. Когато един VLAN се простира на повече от един комутатор, връзките между тях трябва да запазват етикетите - фиг.26 : Фиг.26 Всички портове на комутаторите по подразбиране са в режим Access и първоначално принадлежат на един VLAN. Този VLAN се нарича Default VLAN или Native VLAN, и има VLAN ID 0001, или първи VLAN. Това е единственият VLAN, който преминава свободно и без етикет през всички портове на комутаторите, без тези, които са конфигурирани в режим Access в друг VLAN(!). Това означава, че VLAN1 минава през трънковете без tag и достига до другите комутатори в мрежата. В една мрежа, ако не сте конфигурирали всички портове на комутаторите и имате устройства, закачени към портове в 1ви VLAN, те ще могат спокойно да си комуникират помежду си. Или с други думи устройствата, закачени в първи VLAN на първия етаж ще виждат устройствата в първи VLAN на последния етаж от офиса, въпреки че трафикът преминава през десетки комутатора. Освен проблемите, свързани със стабилността на мрежата (голям broadcast трафик), това представлява и сериозен проблем от гледна точка на сигурността на мрежата – достатъчно е някой да се закачи към такъв порт (VLAN 1), за да види цялата информация, течаща в този VLAN. Ако портовете бяха конфигурирани да са членове на друг VLAN, същият този човек, ще трябва да отгатне номера на VLAN-a, докато VLAN 1 се знае от всички, понеже е Default VLAN на всички устройства. Затова, използването на VLAN 1 трябва да се избягва на всяка цена. Повечето производители на мрежово оборудване предоставят и начин за смяна на номера на дефолтния VLAN, което още повече затяга сигурността на мрежата. Добрите практики съветват да се конфигурира Default VLAN с номер, различен от 1, и всички неизползвани портове на комутаторите да се конфигурират да са от тип Access с VLAN номер, различен от тези, които реално ползвате в мрежата. Изтегляне 1.17 Mb. Сподели с приятели:
|