introduction
En 1999, l'IEEE a promulgué le projet de norme de protocole 802.1Q pour la mise en œuvre de VLAN standardisé. L'émergence de la technologie VLAN permet aux administrateurs de diviser logiquement différents utilisateurs d'un même réseau local physique en différents domaines de diffusion en fonction des exigences réelles de l'application. Chaque VLAN contient un groupe de postes de travail informatiques avec les mêmes exigences et un réseau local physique. Avoir les mêmes attributs. Parce qu'il est divisé logiquement et non physiquement, chaque poste de travail du même VLAN n'est pas limité à la même plage physique, c'est-à-dire que ces postes de travail peuvent se trouver dans différents segments de réseau LAN physiques. Les caractéristiques du VLAN montrent que le trafic de diffusion et de monodiffusion au sein d'un VLAN ne sera pas transféré vers d'autres VLAN, ce qui permet de contrôler le trafic, de réduire les investissements en équipement, de simplifier la gestion du réseau et d'améliorer la sécurité du réseau.
Le développement de la technologie de commutation a également accéléré l'application de la nouvelle technologie de commutation (VLAN). En divisant le réseau d'entreprise en segments de réseau VLAN de réseau virtuel, la gestion et la sécurité du réseau peuvent être renforcées et la diffusion de données inutile peut être contrôlée. Dans un réseau partagé, un segment de réseau physique est un domaine de diffusion. Dans un réseau commuté, le domaine de diffusion peut être un segment de réseau virtuel composé d'un groupe d'adresses de réseau de deuxième couche sélectionnées arbitrairement (adresses MAC). De cette façon, la division des groupes de travail dans le réseau peut briser les restrictions géographiques dans le réseau partagé, et est complètement divisée selon les fonctions de gestion. Ce mode de regroupement basé sur le workflow améliore considérablement les fonctions de gestion de la planification et de la réorganisation du réseau. Postes de travail dans le même VLAN, quel que soit le commutateur auquel ils sont réellement connectés, la communication entre eux est comme s'ils étaient sur des commutateurs séparés. La diffusion dans le même VLAN ne peut être entendue que par les membres du VLAN et ne sera pas transmise à d'autres VLAN, de sorte que les tempêtes de diffusion inutiles peuvent être bien contrôlées. Dans le même temps, s'il n'y a pas de routage, les différents VLAN ne peuvent pas communiquer entre eux, ce qui augmente la sécurité entre les différents services du réseau d'entreprise. Les administrateurs réseau peuvent gérer de manière exhaustive l'échange d'informations entre les différentes unités de gestion au sein de l'entreprise en configurant les routes entre les VLAN. Le commutateur divise le VLAN en fonction de l'adresse MAC du poste de travail. Par conséquent, l'utilisateur peut librement se déplacer et travailler dans le réseau d'entreprise, quel que soit l'endroit où il accède au réseau de commutation, il peut communiquer librement avec les autres utilisateurs du VLAN.
Le réseau VLAN peut être composé d'équipements de type réseau mixte, tels que : Ethernet 10M, Ethernet 100M, réseau à jetons, FDDI, CDDI, etc.
En plus de diviser le réseau en plusieurs domaines de diffusion, le VLAN peut contrôler efficacement l'occurrence des tempêtes de diffusion et rendre la topologie du réseau très flexible. Il peut également être utilisé pour contrôler différents réseaux du réseau. Accès mutuel entre les services et les différents sites.
Si plusieurs hôtes avec des emplacements physiques différents appartiennent au même VLAN, ces hôtes peuvent communiquer entre eux. Si plusieurs hôtes avec le même emplacement physique appartiennent à différents VLAN, ces hôtes ne peuvent pas communiquer directement. Les VLAN sont généralement implémentés sur des commutateurs ou des routeurs. Les balises VLAN sont ajoutées aux trames Ethernet pour classer les trames Ethernet. Les trames Ethernet avec la même balise VLAN sont transmises dans le même domaine de diffusion.
VLAN est un protocole proposé pour résoudre le problème de diffusion et de sécurité d'Ethernet. Il ajoute un en-tête VLAN à la trame Ethernet et utilise l'ID VLAN pour diviser les utilisateurs en tâches plus petites. Groupe, restreindre l'accès mutuel de l'utilisateur entre les différents groupes de travail, chaque groupe de travail est un réseau local virtuel. L'avantage d'un réseau local virtuel est qu'il peut limiter la portée de diffusion et former un groupe de travail virtuel pour gérer dynamiquement le réseau.
Objectif du réseau local virtuel
Le VLAN (Virtual Local Area Network, réseau local virtuel) a de nombreux objectifs. En comprenant la nature du VLAN, vous serez en mesure de comprendre où il est utile.
1. Vous devez savoir que 192.168.1.2/30 et 192.168.2.6/30 appartiennent à des segments de réseau différents et qu'ils doivent être accessibles via un routeur. Si différents segments de réseau doivent s'accéder les uns aux autres, ils doivent passer par le routeur.
2. VLAN fait essentiellement référence à un segment de réseau. La raison pour laquelle on l'appelle un réseau local virtuel est qu'il s'agit d'un segment de réseau créé sous l'interface d'un routeur virtuel.
Ensuite, donnez des instructions. Par exemple, un routeur n'a qu'un seul port pour la connexion du terminal (bien sûr, cette situation est fondamentalement impossible, juste pour simplifier l'exemple), ce port se voit attribuer l'adresse 192.168.1.1/24. Cependant, étant donné que l'entreprise a deux départements, un département des ventes et un département de planification, chaque département a besoin d'un sous-réseau et d'un serveur distincts. Ensuite, bien sûr, il peut être divisé en 192.168.1.0--127/25 et 192.168.1.128--255/25. Mais le port physique du routeur ne devrait pouvoir attribuer qu'une seule adresse IP, alors comment distinguer les différents segments du réseau ? Cela permet à deux sous-interfaces d'être créées sous cette implémentation d'interface logique de port physique.
Par exemple, l'interface logique F0/0.1 alloue l'adresse IP 192.168.1.1/25 pour le service commercial, tandis que F0/0.2 alloue l'adresse IP 192.168.1.129/25 pour le service planification. Cela équivaut à utiliser un port physique pour réaliser la fonction de deux interfaces logiques, ce qui étend la situation qui ne peut être divisée qu'en un seul segment de réseau à la situation qui peut être divisée en deux ou plusieurs segments de réseau. Étant donné que ces segments de réseau sont créés sous des interfaces logiques, ils sont appelés VLAN de réseau local virtuel. C'est pour illustrer le but du VLAN au niveau du routeur.
3. Le but du VLAN sera expliqué au niveau du commutateur.
En réalité, différents segments de réseau doivent être divisés pour de nombreuses raisons. Par exemple, il n'y a que deux segments de réseau, le service commercial et le service planification. Ensuite, vous pouvez simplement connecter tout le service commercial à un commutateur, puis vous connecter à un port du routeur, et connecter tout le service de planification à un commutateur, puis vous connecter à un port de routeur. Cette situation est LAN. Cependant, comme mentionné ci-dessus, si le routeur est une interface pour le terminal, alors les deux commutateurs doivent être connectés à la même interface de routeur. À ce stade, si vous souhaitez conserver la division de segment de réseau d'origine, vous devez utiliser la sous-interface du routeur, créer un VLAN.
De même, pour deux commutateurs, si vous souhaitez que les ports de chaque commutateur appartiennent à des segments de réseau différents, alors si vous avez plusieurs segments de réseau, fournissez plusieurs interfaces de routeur. À l'heure actuelle, bien que l'interface physique du routeur puisse définir à quel segment de réseau cette interface peut se connecter, mais au niveau du commutateur, elle ne peut pas distinguer quel port appartient à quel segment de réseau, donc la seule façon de réaliser qui peut être distingué est diviser les VLAN. Le VLAN peut distinguer à quel segment de réseau appartient le terminal d'un certain port de commutateur.
En résumé, lorsqu'au moins un des ports d'un commutateur appartient à différents segments de réseau, lorsqu'un port physique du routeur est connecté à deux ou plusieurs segments de réseau, il s'agit du VLAN. Quand ça marche, c'est le but du VLAN.
Avantages
Prévention des tempêtes de diffusion
Limiter la diffusion sur le réseau, diviser le réseau en plusieurs VLAN peut réduire le nombre d'appareils participant à la tempête de diffusion. La segmentation VLAN peut empêcher les tempêtes de diffusion de se propager sur l'ensemble du réseau. Le VLAN peut fournir un mécanisme pour établir un pare-feu pour empêcher une diffusion excessive dans le réseau de commutation. À l'aide de VLAN, vous pouvez affecter un port de commutateur ou un utilisateur à un groupe VLAN spécifique. Le groupe VLAN peut se trouver dans un réseau commuté ou s'étendre sur plusieurs commutateurs, et les diffusions dans un VLAN ne seront pas envoyées en dehors du VLAN. De même, les ports adjacents ne recevront pas les diffusions générées par d'autres VLAN. Cela peut réduire le trafic de diffusion, libérer de la bande passante pour les applications utilisateur et réduire la génération de diffusion.
Sécurité
Améliorer la sécurité des groupes d'utilisateurs du réseau local contenant des données sensibles peuvent être isolés du reste du réseau, réduisant ainsi la possibilité de fuite d'informations confidentielles. Les paquets dans différents VLAN sont isolés les uns des autres pendant la transmission, c'est-à-dire que les utilisateurs d'un VLAN ne peuvent pas communiquer directement avec les utilisateurs d'autres VLAN. Si la communication entre différents VLAN doit être effectuée, ils doivent passer par un périphérique à trois niveaux tel qu'un routeur ou un commutateur à trois niveaux.
Réduction des coûts
Le besoin de mises à niveau réseau coûteuses est réduit et l'utilisation de la bande passante et de la liaison montante existantes est plus élevée, ce qui peut réduire les coûts.
Amélioration des performances
La division du réseau plat de deuxième couche en plusieurs groupes de travail logiques (domaines de diffusion) peut réduire le trafic inutile sur le réseau et améliorer les performances.
Améliorer l'efficacité du personnel
Le VLAN facilite la gestion du réseau, car les utilisateurs ayant des exigences réseau similaires partageront le même VLAN.
Simplifiez la gestion de projet ou la gestion des applications
Le VLAN regroupe les utilisateurs et les périphériques réseau pour prendre en charge les besoins de l'entreprise ou les besoins géographiques. Grâce à la division des fonctions, la gestion de projet ou le traitement d'applications spéciales devient très pratique, par exemple, une plate-forme de développement e-learning qui peut facilement gérer les enseignants. De plus, il est facile de déterminer l'étendue de l'impact de la mise à niveau des services réseau.
Flexibilité accrue de la connexion réseau
Avec la technologie VLAN, différents emplacements, différents réseaux et différents utilisateurs peuvent être combinés pour former un environnement de réseau virtuel, tout comme l'utilisation d'un VLAN local est tout aussi pratique, flexible et efficace. Le VLAN peut réduire les coûts de gestion du déplacement ou du changement d'emplacement géographique du poste de travail, en particulier après que certaines entreprises avec des changements fréquents de conditions commerciales utilisent le VLAN, cette partie du coût de gestion est considérablement réduite.
Conditions de formation
Les listes de routage et de contrôle d'accès implémentent le contrôle d'accès inter-VLAN
Le VLAN est un sous-réseau logique basé sur le réseau physique, il est donc établi que le VLAN nécessite un équipement réseau correspondant qui prend en charge la technologie VLAN. Lorsque les différents VLAN du réseau communiquent entre eux, la prise en charge du routage peut être adoptée. À ce stade, l'équipement de routage doit être ajouté. Pour réaliser la fonction de routage, un routeur ou un commutateur à trois couches peut être utilisé.
Utiliser la technologie VLAN elle-même pour construire le contrôle d'accès
La technologie VLAN elle-même est la technologie Ethernet, et elle peut directement utiliser le VLAN pour construire le contrôle d'accès, et elle peut être réalisée sans emprunter le routage La topologie logique VLAN du réseau Ethernet complet et la conception du contrôle d'accès inter-VLAN permettent au système informatique de fonctionner sur son réseau local virtuel dédié pour réaliser une isolation fiable du système informatique et, en même temps, réaliser le contrôle d'accès sécurisé du système informatique.
Base de classement
Diviser le VLAN par port
De nombreux fabricants de VLAN utilisent des ports de commutation pour diviser les membres de VLAN. Les ports configurés sont tous dans le même domaine de diffusion. Par exemple, les ports 1, 2, 3, 4 et 5 d'un commutateur sont définis en tant que réseau virtuel AAA et les ports 6, 7 et 8 du même commutateur forment le réseau virtuel BBB. Cela permet la communication entre les ports et permet la mise à niveau des réseaux partagés. Cependant, ce mode de division restreint le réseau virtuel à un seul commutateur.
La technologie VLAN de port de deuxième génération permet de diviser les VLAN sur plusieurs ports différents de plusieurs commutateurs, et plusieurs ports sur différents commutateurs peuvent former le même réseau virtuel.
Les membres du réseau sont divisés par ports de commutation et le processus de configuration est simple et clair. Par conséquent, du point de vue actuel, cette méthode de division des VLAN selon les ports reste la méthode la plus couramment utilisée.
Diviser le VLAN par l'adresse MAC
Cette méthode de division du VLAN est basée sur l'adresse MAC de chaque hôte, c'est-à-dire que chaque hôte avec une adresse MAC est configuré à quel groupe il appartient. Le plus grand avantage de cette méthode de division des VLAN est que lorsque l'emplacement physique de l'utilisateur se déplace, c'est-à-dire lors du passage d'un commutateur à un autre, le VLAN n'a pas besoin d'être reconfiguré. Par conséquent, on peut considérer que cette méthode de division basée sur l'adresse MAC est basée sur le VLAN de l'utilisateur. L'inconvénient de cette méthode est que lors de l'initialisation, tous les utilisateurs doivent être configurés. S'il y a des centaines voire des milliers d'utilisateurs, la configuration est très fatigante. De plus, cette méthode de division conduit également à une réduction de l'efficacité du commutateur, car il peut y avoir de nombreux membres du groupe VLAN sur chaque port de commutateur, de sorte que les paquets de diffusion ne peuvent pas être restreints. De plus, pour les utilisateurs d'ordinateurs portables, leurs cartes réseau peuvent être remplacées fréquemment, les VLAN doivent donc être configurés en permanence.
Divisé par couche réseau
Cette méthode de division des VLAN est basée sur l'adresse de couche réseau ou le type de protocole de chaque hôte (si plusieurs protocoles sont pris en charge), bien que cette méthode de division soit basée sur une adresse réseau, telle qu'une adresse IP, mais ce n'est pas une route et n'a rien à voir avec le routage au niveau de la couche réseau.
L'avantage de cette méthode est que l'emplacement physique de l'utilisateur est modifié, qu'il n'est pas nécessaire de reconfigurer le VLAN auquel il appartient et que les VLAN peuvent être divisés en fonction du type de protocole, ce qui est très important pour les administrateurs réseau, et, cette méthode ne nécessite pas de balises de trame supplémentaires pour identifier les VLAN, ce qui peut réduire le trafic réseau.
L'inconvénient de cette méthode est sa faible efficacité, car il faut du temps de traitement pour vérifier l'adresse de la couche réseau de chaque paquet de données (par rapport aux deux méthodes précédentes), et la puce de commutation générale peut vérifier automatiquement le réseau L'en-tête de trame Ethernet de la partie supérieure paquet de données, mais pour que la puce vérifie l'en-tête de la trame IP, une technologie plus avancée est nécessaire, et cela prend également plus de temps. Bien sûr, cela est lié aux méthodes de mise en œuvre des différents fournisseurs.
Divisé par multidiffusion IP
La multidiffusion IP est en fait une définition du VLAN, c'est-à-dire qu'un groupe de multidiffusion est considéré comme un VLAN. Cette méthode de division étend le VLAN au réseau étendu, de sorte que cette méthode offre une plus grande flexibilité et qu'elle est également facile à étendre via des routeurs. Bien entendu, cette méthode n'est pas adaptée aux réseaux locaux, principalement en raison de son inefficacité.
VLAN basé sur des règles
Également connu sous le nom de VLAN basé sur des stratégies. C'est la méthode la plus flexible de division VLAN. Il a la capacité de configuration automatique et peut connecter les utilisateurs liés en un seul. On l'appelle "réseau relationnel" en division logique. L'administrateur réseau n'a qu'à déterminer les règles (ou attributs) de division des VLAN dans le logiciel de gestion de réseau, puis lorsqu'un site rejoint le réseau, il sera « perçu » et automatiquement inclus dans le bon VLAN. Dans le même temps, les mouvements et les modifications du site peuvent également être automatiquement identifiés et suivis.
En utilisant cette méthode, l'ensemble du réseau peut être facilement étendu via le routeur. Certains produits prennent également en charge le fait que les hôtes sur un port appartiennent à différents VLAN, ce qui est particulièrement important dans un environnement où les commutateurs et les hubs partagés coexistent. Lorsque le VLAN est automatiquement configuré, le logiciel du commutateur vérifie automatiquement l'adresse source IP des informations de diffusion entrant dans le port du commutateur, puis le logiciel attribue automatiquement ce port à un VLAN mappé à partir d'un sous-réseau IP.
Divisé par autorisation définie par l'utilisateur et non-utilisateur
Diviser un VLAN sur la base d'une autorisation définie par l'utilisateur et non utilisateur signifie s'adapter à un réseau VLAN spécial et en fonction des exigences particulières d'utilisateurs spécifiques du réseau Pour définir et concevoir un VLAN, et permettre aux utilisateurs non-VLAN d'accéder au VLAN, mais vous devez fournir un mot de passe utilisateur et vous ne pouvez rejoindre un VLAN qu'après avoir obtenu l'authentification de la gestion du VLAN.
Dans la méthode de division du VLAN ci-dessus, la méthode de port VLAN basée sur les ports est établie sur la couche physique ; la méthode MAC est établie sur la couche liaison de données ; la couche réseau et la méthode de diffusion IP sont établies sur la troisième couche.
Norme de réseau local virtuel
(1) IEEE 802.1Q
IEEE 802. 1Q est une norme VLAN développée par le comité IEEE 802. La prise en charge de la norme 1EEE 802. 1Q est l'un des indicateurs importants pour mesurer les commutateurs LAN. Actuellement, la nouvelle génération de commutateurs LAN prend tous en charge IEEE 802.1Q, contrairement aux appareils plus anciens.
(2) Protocole ISL de Cisco
Le protocole ISL (Inter Switch Link) a été développé par Cisco et prend en charge la réalisation de VLAN sur plusieurs commutateurs. Ce protocole utilise la technologie d'adressage 10 bits et les paquets de données ne sont transmis qu'aux commutateurs et liaisons ayant la même adresse 10 bits, afin d'effectuer un regroupement logique et de contrôler le trafic de diffusion et de transmission entre les commutateurs et les routeurs.
Communication entre les VLAN
Bien qu'environ 80 % du trafic de communication se produise au sein d'un VLAN, environ 20 % du trafic de communication doit encore traverser différents VLAN. À l'heure actuelle, la technologie des routeurs est principalement utilisée pour résoudre la communication entre les VLAN.
Les communications entre VLAN utilisent généralement deux stratégies de routage, à savoir le routage centralisé et le routage distribué, ou la technologie de contrôle d'accès par le VLAN lui-même.
(1) Routage centralisé
La stratégie de routage centralisé signifie que tous les VLAN sont interconnectés via un routeur central. Pour deux ports sur le même commutateur (généralement appelés commutateur de couche 2), s'ils appartiennent à deux VLAN différents, même s'ils se trouvent sur le même commutateur, ils doivent être acheminés via le routeur central lors de l'échange de données.
L'avantage de cette méthode est la simplicité et la clarté. L'inconvénient est qu'en raison de la vitesse de transfert limitée du routeur, cela augmentera le délai du réseau et sera sujet à la congestion. Par conséquent, cela nécessite que le routeur central fournisse une puissance de traitement et une tolérance aux pannes élevées.
(2) Routage distribué
La stratégie de routage distribué consiste à répartir de manière appropriée la fonction de routage sur le commutateur avec fonction de routage (en référence au commutateur à trois couches), sur le même commutateur. Différents VLAN peuvent communiquer directement entre eux. L'avantage de cette méthode de routage est qu'elle a une vitesse de routage extrêmement élevée et une bonne évolutivité.