Nettverk segmentering kan være en fin måte å øke sikkerheten, men det kan være en reell smerte for å legge til alle de fysiske grensesnitt for å støtte den. Implementering VLAN-grensesnitt på Fast Ethernet eller Gigabit Ethernet-server grensesnitt er et alternativ.

Først, la oss snakke om VLAN og VLAN-grensesnitt. Nedenfor er en variant av den WLAN topologi vi har jobbet med i denne artikkelserien. Her konfigurasjonen støtter to WLAN SSID (outlan-Koreas 172.30.40.0/24 og outlan-open 172.30.41.0/24), sammen med grensesnitt som er koblet til private LAN (172.30.71.0/24) og Internett (3.0.100.16/29). Denne topologien er illustrert her:

For å støtte dette topologi, må server for å støtte fire fysiske grensesnitt. Hver server grensesnittet er koblet til en bryter-port tilordnet til en annen VLAN. VLAN gir mulighet til å partisjonere Ethernet-svitsjporter i logiske Layer 3 kringkasting domener. Noder koblet til porter tildelt samme VLAN kommunisere som om de var alle knyttet til samme fysiske wire. Fordi hver bytte port fungerer som en enkelt Layer 2 sendingen domene, er Layer 2/3 kringkasting og multicast-trafikk synlig for alle verter i VLAN, men unicast-trafikk er bare synlig mellom avsender og mottaker (eller IP segment gateway, noe som gjør VLAN langt sikrere enn kringkastingsbasert huber)

Her er hva det ser ut som om det samme grensesnittet støtte brukes av Ethernet-svitsjer for å koble sammen VLAN-stand brytere ble brukt på Linux server i samme topologi:.

Med et enkelt VLAN-grensesnitt, kan alle fire nettverk støttes, redusere både kompleksitet og kostnader.

Begrepet VLAN ble utviklet av en rekke Ethernet leverandører (Intel, Cabletron, Grand Junction og Kalpana) i begynnelsen av 1990 for å utvide funksjonaliteten til Ethernet svitsjing maskinvare. Når Ethernet-svitsjer ble først introdusert, de var veldig dyrt i forhold til Ethernet-huber. Denne kostnaden skyldes i stor grad til de tilpassede ASIC (Application Specific Integrated Circuit) som gjorde at svitsje maskinvare for å bytte pakker mellom svitsjporter på ". Tråd hastighet "

Tidlig Ethernet-svitsjer støttes port tettheter av åtte 12-porter, noe som gjør dem bedre egnet til å operere som high-speed multi-port broer. Innføring VLAN gjort det mulig å bedre utnytte disse begrensede porttetthet ved at Ethernet-svitsj støtte bytte over flere Layer 3 kringkasting domener. Som Ethernet-svitsj kostnadene senkes og porttetthet og adopsjon økt, spørsmålet om å utvide VLAN over brytere og mellom ulike leverandører implementeringer ga opphav til utvikling av IEEE 802.1Q standard for virtuelle bro lokalnettverk.

IEEE standarder styret godkjente IEEE 802.1Q standard i desember 1998. Standarden ble oppdatert i 2003, som omfatter IEEE-standarder 802.1u (begrenset VLAN adresse registrering), 802.1v (protokoll grupper og VLAN identifikatorer satt per port) og 802.1s (støtte for flere spenner over tre domener). Det er tre VLAN typer:
Port-baserte VLAN:
vanligste implementering, er vanlige VLAN identifikatorer (vids) opprettes på hver bryter. Portene på brytere er statisk tildelt VLAN
MAC-baserte VLAN:.
Vanlige vids opprettes på hver bryter. MAC-adressen tilgangskontrollister (ACL) blir konvertert til VLAN. Bryteren automatisk konfigurerer portene til riktig VLAN når verten port blir aktiv
protokollbaserte VLAN:.
Vanlige vids opprettes på hver bryter. Layer 3-protokollen (dvs. IP, IPX, Appletalk) ACL er kartlagt til VLAN. Bryteren automatisk konfigurerer portene til riktig VLAN når verten port blir aktiv.

Den store utfordringen med å drive et virtuelt Bridged nettverk er samspillet mellom bryterne som utgjør LAN. Dette samspillet er drevet av to faktorer: vedlikehold av en loop-fri topologi mellom sammenkoblede brytere og levering av pakker som tilhører forskjellige VLAN mellom brytere

Den opprinnelige 802.1Q standard definert 802.1d spenntreet protokollen. (STP) for bro topologi ledelse. 802.1d er den opprinnelige IEEE standard som definerer et link-administrasjonsprotokoll algoritmen slik at tilstøtende bro enheter som er koblet til vanlige Layer 2 segmenter for å oppdage en loop-gratis link topologi. Under 802.1d, kan bare én videresending kobling eksisterer mellom hver bryteren i LAN, selv om flere fysiske koblinger kan eksistere. Når LAN først kommer på nettet, og hver etterfølgende gang en bryter tiltrer LAN, STP-algoritmen svisker alle de tilgjengelige nettverksforbindelser, og skaper en invers tre med en " root bridge " på toppen og andre broer nedenfor. Resultatet av STP er et enkelt " spenntre " domene består av sammenkoblede Layer 2 kollisjon domene segmenter (eller brytere) uten looper, slik at alle de tilkoblede sluttnoder å utveksle rammer. STP prosessen kontinuerlig overvåker tilstanden til alle de aktive lenker; i tilfelle at en svikter, er STP henrettet igjen og en ny rot bro velges.

802.1d STP-standarden ble godkjent i 1993, fem år før 802.1Q standarden ble ratifisert. Resultatet av dette hadde noen uforutsette konsekvenser. Når den opprinnelige 802.1d standarden ble skrevet, ble broer brukes til " forlenge " Et enkelt lag tre nettverkssegment ved å koble to eller flere lag 2 kringkasting domener. Dette fungerte bra fordi Layer 3 segmenter kunne internetworked bruker rutere. Så, hvis du hadde to Layer 3 segmenter, som hver består av Layer 2 broer og hubber sammenkoblet med en ruter, hver Layer 3-segmentet vil operere som en egen STP domene, som du kan se i denne enkel illustrasjon:

Hver gang STP beregnes, på grunn av tilsetningen av en bryter eller kanalsvikt, broene /bryterne stoppe videresending til nettverket har stabilisert seg. Så i det tilfelle at en videresendingsadresse mislyktes og backup linken for å komme på nett, ville bare Layer 3-segmentet med svikt bli påvirket av STP omregning. Når VLAN ble innført, ble det mulig å ha flere lag 3 kringkasting domener som foreligger i den samme bryteren gruppe, som vist på denne figuren:

Valget av støtter bare en enkelt STP domene begynte å vise sin større virkning. Fordi nå når en kobling mislyktes, alle VLAN ble berørt, slik at en enkelt Layer 2 lenken svikt eller switch tillegg kunne ta ned et helt nettverk i opptil 30 sekunder. 2003 oppdatering til 802.1q standard lagt til støtte for 802.1s og flere spenner over tre domener, som ga administratorer muligheten til å konfigurere forskjellige STP baner for hvert VLAN.

De 802.1Q standarden definerer to typer bytte porter: ukodede og tagget. Ukodede porter gir tilgang til en enkelt VLAN ved hjelp av én av de tre konfigurasjons metodene ovenfor. Tagged porter gi tilgang til flere VLAN. Tagged porter er først og fremst brukes til å koble sammen brytere for å gi multi-nettverk transport over en enkelt fysisk link. Det samme gjelder for operativsystemer som Linux som har driverstøtte for 802.1Q grensesnitt.

Selv merkede port grensesnitt er den foretrukne metode for sammenkobling av svitsjer som støtter VLAN, er det også mulig å benytte flere kryss-koble lenker til interconnect brytere. Her er en topologi eksempel bruker flere tverrforbindelser:

I dette eksempelet, SW 1 til 3 støtte alle de VLAN, mens SW 4 og 5 bare støtte noen. En sammenkobling topologi som dette utnyttes når alle de tilgjengelige bryter grensesnittene er av samme båndbredde. Utnytte diskrete lenker minimerer effekten av overtegning av kryss-koble linker, gi hver VLAN (i dette tilfellet) en 100 Mbps bane i stedet for å samle alle de VLAN over en enkelt 100 Mbps link. Det er en liten påminnelse til å bruke denne topologien, som er kravet for Cisco per-VLAN STP eller 802.1s STP støtte for flere. Hvis bare 802.1d STP er brukt, vil bare én crossover forbindelse være aktiv mellom hver bryter i LAN.

Dette kan resultere i kun ett VLAN være tilgjengelig over bryteren kjernen, eller verre Ingen av de VLAN som er tilgjengelig over hele svitsjkjernen, som illustrert ovenfor. Det foretrukne alternativet for sammenkobling av VLAN-stand brytere er å brukes tagget port kryss kobles:

Når sammenhengende brytere laget av forskjellige maskinvareleverandører, husk at oppførselen tagget porter varierer avhengig på leverandørens gjennomføring. Det er to skoler med tanke på dette: alt eller ingenting. &Quot; alle " skole (Cisco) legger tagget port til hver VLAN gruppe. &Quot; ingenting " skole (Nortel, Extreme) krever et kodet port som skal tildeles manuelt til hver VLAN gruppe som porten trenger å transportere trafikk.

Det er støtte for merkede grensesnitt som gjør at enheten 802.1Q-stand. Switch og vertsgrensesnitt konfigurert som tagget grensesnitt overfører (med unntak av " native vlan " interface) merket Ethernet-rammer. Tagged Ethernet-rammer inneholde fire flere bytes enn standard Ethernet-rammer. Disse ekstra bytes støtter to ekstra ramme felt: tag protokollen ID (TPID) og tag kontrollinformasjon (TCI). IEEE 802.3ac standarden definerer disse to ekstra rammeforlengelsene å imøtekomme vids. Her er formatet på 802.3ac ramme:
7 1 6 6 2 2 2 42-1496 4 Innledning SFD DA SA TPID TCI Lengde data FSC

Innledning
er et standard mønster av 56 biter med vekslende enere og nuller (1010101) som gir underretning til vertene koblet til ledningen for å synkronisere seg til å motta en innkommende ramme. Innledningen er forkastet når en maskin mottar rammen.
Start på ramme delimiter (SFD)
er et vekslende mønster av enere og nuller. De første seks bitene er 101 010, og de siste to biter er 11 (10101011). SFD brukes til å bryte sync varsling til vertene og informerer verts at neste bit er starten på rammens destinasjonsadressen. SFD er også forkastet når rammen er mottatt. Både innledningen og SFD er ikke inkludert i rammestørrelsen beregningen benyttes av verten for runt og gigantiske rammen feildeteksjon.
Destinasjon adresse (DA)
er en 6 byte adresse. De tre første byte av adressen er organisasjons unik identifikator (OUI), noe som indikerer produksjon av Ethernet-kortet. De tre siste byte er et unikt nummer. Kombinert, gir de en unik vert identifikator adresse. Destinasjonsadressen indikerer stasjonen på ledningen som mottar rammen.
Source adresse (SA)
er en 6 byte adresse. De tre første byte av adressen er oui, og de siste tre bytes er et unikt nummer. Kombinert, gir de en unik vert identifikator adresse. Kildeadressen indikerer hvilken stasjon på ledningen utsendte rammen.
TPID
alltid er innstilt til en verdi på 0x8100. Det indikerer rammen bærer en IEEE 802.1Q eller 802.1p tag. På en normal 802,3 ramme, er dette litt segmentet begynnelsen av Type /Lengde feltet.
TCI
er en 16 bit felt som inneholder tre verdier. Først er den brukerprioritet, som er en 3-bits felt som brukes av IEEE 802.1p trafikkprioritering standard. Neste er kanoniske format-indikatoren (CFI), som er en bit og satt til null eller en. CFI brukes til å opprettholde kompatibiliteten mellom Ethernet og Token Ring. Feltverdien angir hvor pakken skal håndteres. En verdi på null (standard) betyr pakken skal sendes som den er. En verdi på én betyr at det skal videre rammen umerket. Den siste delen er VID, som er 12 biter i lengde, som støtter 4096 mulige VLAN. VLAN 0 og 4095 er reservert, slik at 4094 bruk vids.
Length
er et 16-bit felt som inneholder en verdi som ikke er mindre enn 46 eller større enn 1500, noe som indikerer størrelsen på brukerdatafelt i byte.
Data
er et felt som inneholder et minimum på 48 bytes, og opp til et maksimum på 1500 bytes av brukerdata. Hvis brukerdataene er mindre enn 48 bytes, er padding lagt for å gjøre feltet møte minimumsstørrelsen.
Frame sekvens sjekk (FSC)
er et 4 byte syklisk redundans sjekk (CRC) verdi beregnet etter kilden verten når rammen er montert. CRC blir beregnet fra destinasjonsfeltet til datafeltet. Innledningen, SFD og FSC verdier kunsten ikke brukes som en del av beregningen.

Det er nok mer enn nok på 802.1Q standard. Neste måned vil vi dekke støtter 802.1Q grensesnitt på Linux og Cisco IOS

Tidligere artikler i denne serien er:.
Secure WLAN beste praksis og topologi
bygge et WLAN proxy-server: Grunnleggende Linux-distribusjon installasjon, sikker vty og http tekst klient
bygge et WLAN proxy-server: Linux kernel
bygge et WLAN proxy-server, IP-ruting