На главную Назад
Добро пожаловать, уважаемый посетитель!

Другие преимущества VLAN

Хотя VLAN представляет собой просто широковещательный домен, при использовании виртуальных сетей обеспечивается целый ряд дополнительных преимуществ, делающих VLAN более эффективными по сравнению с широковещательными доменами, которые используются в традиционных сетях.

Перенос, добавление или изменение сетевых устройств

Маршрутизаторы используют для переноса данных между ЛВС адреса сетевого уровня. В общем случае адреса сетевого уровня (подсети/номера сетей) идентифицируют широковещательные домены или домены с мостами, в которых может находиться адресат. При использовании протокола IP сетевой администратор выделяет адреса и задает их вручную для каждой рабочей станции или адреса выделяются динамически с помощью сервера DHCP. Каждый сетевой адрес задает рабочую станцию и сегмент ЛВС, где эта станция располагается.

При переносе устройства в сети требуется вручную вносить изменения в конфигурацию - администратор должен переписать сетевой адрес и параметры шлюзов для перенесенной станции. Динамическое выделение IP-адресов с помощью сервера DHCP позволяет решить проблему настройки станций, но делает практически невозможной организацию эффективной системы безопасности в крупной сети. Поскольку сервер DHCP выделяет IP-адреса на основе номеров подсетей, с которыми связан соответствующий порт маршрутизатора, при переносе станции в другую подсеть правила, заданные для сетевого уровня, зачастую перестают работать и приходится определять новые правила для брандмауэров, что никоим образом не упрощает жизнь администратора. Если перенос станций происходит редко, такую работу можно выполнять вручную. Однако в больших сетях с многими сотнями компьютеров настройка переносимых станций может стать непреодолимой задачей для администратора - изменения в большой сети происходят в любом случае достаточно часто. Настройка сети в таких случаях потребует большого расхода времени и денег. До того, как администратор поменяет конфигурационные параметры перенесенной станции или изменит правила обеспечения безопасности (зачастую это придется делать в нескольких местах) станция не сможет работать в сети.

Коммутация использует протоколы канального уровня и аппаратные (MAC) адреса станций. Эффективная реализация VLAN позволяет автоматически находить станции в сети по их MAC-адресу и сохранять принадлежность станции к заданным администратором виртуальным ЛВС. Использование технологий VLAN избавляет от необходимости изменять правила на сетевом уровне всякий раз при переносе станций. DHCP и VLAN дополняют друг друга, обеспечивая динамическую конфигурацию хостов и простую реализацию правил обеспечения безопасности на сетевом уровне.

Эффективное использование IP-адресов

Теоретически сетевые адреса администратор может выделять по своему выбору. К несчастью, только теоретически - на практике адресное пространство IP жестко распределяются. Это связано с использованием Internet. Для того, чтобы можно было связать частную сеть с Internet большинство организаций использует адреса, выделенные IAN (Internet Number Authority) или соответствующей национальной организацией. Быстрый рост Internet привел к тому, что адресное пространство IP уже почти полностью распределено. Маршрутизаторы не помогают решить проблему нехватки сетевых номеров, поскольку каждый порт маршрутизатора в общем случае имеет свою собственную подсеть.

Виртуальные сети снижают остроту проблемы нехватки адресов за счет более эффективного их использования. В сетях на базе концентраторов и маршрутизаторов каждому сегменту обычно требуется свой номер подсети для того, чтобы маршрутизаторы могли передавать данные между подсетями. Такой подход быстро приводит к нехватке адресов, поскольку число станций в каждой подсети как правило существенно меньше, чем доступное для подсети число адресов (часть адресов просто пропадает). Использование масок подсетей переменной длины помогает сберечь адресное пространство лишь для некоторых конфигураций. В сетях на базе VLAN в одну виртуальную сеть можно связать любое число сегментов ЛВС, что дает администраторам возможность более эффективного использования IP-адресов и подсетей. Подсеть может содержать один или несколько портов коммутатора или порты нескольких коммутаторов сразу.

Повышение уровня безопасности

VLAN обеспечивают высокий уровень безопасности сети. В сети на базе концентраторов кто угодно может подключить к порту концентратора анализатор протоколов или станцию с соответствующими программами и перехватывать все данные, передаваемые в данном сегменте. Эти данные могут оказаться конфиденциальными, а перехватить их так просто.

Если каждое устройство подключено к выделенному порту коммутатора и используются VLAN, описанная выше ситуация становится невозможной. Каждый порт коммутатора получает в этом случае только те пакеты, которые адресованы подключенному к порту устройству. При организации виртуальных ЛВС на базе правил адреса канального (MAC) и сетевого (IP) уровня могут быть связаны с портом - это обеспечивает дополнительные меры безопасности, поскольку в порт будут поступать данные только для конкретного адреса (MAC или IP).

Комбинация виртуальных ЛВС и групп AutoTracker позволяет дополнительно повысить уровень безопасности. Если студенты выделены в одну VLAN, а администрация использует другую, единственным путем между этими виртуальными сетями является внутренний или внешний маршрутизатор, который легко настроить соответствующим образом. Поддержка функций маршрутизации в коммутаторах Xylan позволяет использовать брандмауэры, обеспечивающие высочайший уровень безопасности.

Приведенная в документе техническая информация может быть изменена без предупреждения. OmniSwitch, OmniStack и PizzaSwitch - торговые марки Xylan Corporation. Другие имена и торговые марки принадлежат соответствующим компаниям.

Назад | Содержание | Вперед


 

Рейтинг@Mail.ru