UNIVERSITATEA ”CONSTANTIN BRÂNCUŞI” TG-JIU FACULTATEA DE INGINERIE
INFORMATICA SISTEMELOR DE CONDUCERE
REFERAT LA DISCIPLINA RE ȚELE DE COMUNICA Ț II
Coordonator: Lector univ. dr. ing. Florin GROFU
Masterand:
Marius MAZILU
1
Târgu Jiu, 2009
Reţele Virtual-LAN 1. Începuturile reţelelor virtuale (VLAN) La începuturile reţelisticii, pentru configurarea reţelelor nu existau prea multe principii. Implementarea lor depindea numai de detalii strict legate de dispunerea utilizatorilor. De exemplu, o reţea folosită în cadrul unor clădiri de firme putea să grupeze în cadrul aceleaşi reţele utilizatori din birouri separate care puteau să nu aibă nici o legătură unul cu celălalt. Acest lucru s-a schimbat la începutul anilor ’90 când în configuraţia reţelelor au apărut hub-urile. Au devenit astfel posibil de configurat reţele de calculatoare, mai degrabă logice decât fizice, punând accentul pe legăturile cu ajutorul hub-urilor. Totuşi această implementare a avut şi neajunsuri. Astfel dacă două persoane din acelaşi departament se aflau în clădiri diferite fiind conectaţi la hub-uri diferite, conectarea la un alt hub şi implicit la o altă reţea ar fi însemnat practic deconectarea fizică a unui utilizator dintr-un hub şi conectarea acestuia la celălalt. Datorită acestui neajuns un nou concept a evoluat: Virtual LAN, care este o reţea bazată pe switch-uri ce permite ca modificările de organizare să fie realizate prin implementări logice sau software.
2. Elemente fundamentale de interconectare a calculatoarelor O dată cu extinderea domeniilor de aplicare a calculatoarelor, a crescut şi numărul utilizatorilor ce doreau să facă schimb de date sau să prelucreze informaţiile comune. De exemplu, zeci de angajaţi ai unei întreprinderi lucrează împreună la elaborarea bugetului, fiecare dintre ei fiind responsabil de un anumit compartiment. În cadrul unei companii de transporturi aeriene biletele la una şi aceiaşi cursă pot fi vândute de mai multe agenţii, care evident, se află în oraşe diferite. Pentru a soluţiona astfel de probleme, au fost elaborate mijloace tehnice care permit calculatoarelor să comunice între ele. Numim reţea, o mulţime de calculatoare ce pot schimba informaţii prin intermediul unei structuri de comunicaţii.
Structură de comunicaţie
Fig. 1 Rețea 2
O rețea fizică LAN poate fi împărțită în mai multe subrețele logice independente, numite VLAN-uri. Calculatoarele dintr-un VLAN pot fi conectate în echipamente diferite din re țeaua LAN. Echipamentele dedicate care folosesc subre țele logice creează o împăr țire a re țelei în domenii de broadcast separate dar fără a avea problemele de laten ță specifice celor tradi ționale, fiind și mai puțin costisitoare decât acestea. Astfel device-urile nu pot comunica direct între ele dacă nu aparțin aceleia și subrețele de tip logic.
3. Topologia reţelelor Prin topologia unei reţele se înțelege modul de interconectare a calculatoarelor în reţea. Folosirea unei anumite topologii are influenţă asupra vitezei de transmitere a datelor, a costurilor de interconectare şi a fiabilităţii reţelei. Există câteva topologii care s-au impus şi anume: magistrală, inel, arbore. Pe lângă acestea întâlnim şi alte modele topologice: stea, inele intersectate, topologie completă şi topologie neregulată. În figura 2 se poate observa reprezentarea, sub formă de grafuri, a acestor modele.
Fig. 2 Topologii de reţea
3.1. Protocoale de comunicaţie Protocoalele de reţea sunt standarde ce permit calculatoarelor să comunice între ele. Un protocol defineşte modul în care un calculator poate identifica un alt calculator dintr-o reţea, forma pe care fluxul de date o ia în timpul transferului şi modul în care această informaţie este prelucrată pentru a obține forma finală de utilizare. Protocoalele definesc, de asemenea, procedurile pentru manevrarea transmisiilor pierdute sau stricate de „pachete“ de date. IPX (pentru Novell Net Ware), TCP/IP (pentru UNIX, Windows NT, Windows XP), DECnet (pentu reţele Digital Equipment Corp), AppleTalk (pentru calculatoare Macintosh) şi NetBIOS / NetBEUI (pentru reț ele Windows NT) sunt principalele tipuri de protocoale de reţea folosite în ziua de azi. Deşi fiecare protocol este diferit, toate sunt capabile să utilizeze şi să partajeze acelaşi cablu fizic. Această metodă comună de accesare fizică a reţelelor oferă posibilitatea multiplelor 3
protocoale să lucreze împreună fără probleme pe aceeaşi cale de reţea şi permite folosirea hardwareului în mod diferit pentru diverse protocoale de reţea. Acest concept este cunoscut sub numele „protocol independent“, ceea ce înseamnă că elementele componente sunt compatibile cu legăturile fizice şi cele de date, permi țând utilizatorului să ruleze mai multe protocoale diferite în aceleaşi condiţii şi acelaşi mediu de lucru.
4. Introducere în Virtual - LAN Descriere VLAN O reţea virtuală este un grup de dispozitive de reţea ce se comportă ca şi când acestea ar fi fost conectate la un singur segment de reţea chiar dacă este posibil să nu facă parte din acelaşi segment. Membrii VLAN se pot conecta numai la membrii aceleiaşi reţele VLAN chiar dacă în realitate este posibil să împartă aceeaşi reţea fizică. Astfel, conexiunea virtuală este definită ca o reţea bazată pe switch-uri care este segmentată logic pe considerente organizatorice, mai mult în funcţie de task-urile pe care trebuie să le îndeplinească sau pe aplicaţiile specifice organizaţiei, decât pe principii de poziţionare a utilizatorilor. VLAN-urile oferă aceleaşi principii de segmentare realizate în mod tradiţional într-o reţea de calculatoare (LAN) de către routere însă fără a mai exista problemele de latenţă pe care aceste le introduceau. Totuşi pentru a înţelege mai bine conceptul de VLAN, trebuie înţeles cum funcţionează o reţea de calculatoare. O reţea de calculatoare este definită ca un mediu de transmisie (broadcast domain) în care dispozitivele dintr-un anumit segment transmit informaţii sub formă de frame-uri între ele. Comunicarea cu dispozitive din alte segmente ale reţelei presupun existenţa unui router fiind nevoie de un număr mai mare de routere pentru a extinde conectivitatea între reţele diferite ducând astfel la creşterea latenţei ce provoacă întârzieri în transmisia datelor aşa cum este figurat in imaginea următoare:
Fig. 3 Reţea rutată cu hub-uri
Pe de altă parte, Virtual LAN-urile pot fi văzute ca un domeniu de transmisie localizat cu ajutorul unui set bine definit de switch-uri realizat cu dispozitive din segmente diferite ale reţelei care pot comunica unul cu celălalt ca şi cum s-ar afla în acelaşi segment al reţelei. Acest lucru este realizat prin adăugarea de switch-uri Ethernet şi prin folosirea unui singur router, care elimină 4
problemele de întârziere provocate de existenţa mai multor routere într-un LAN. Această implementare este prezentată în figura 4:
Fig. 4 LAN bazat pe switch-uri
Existenţa switch-urilor măreşte de asemenea performanţa reţelei grupând traficul pe o reţea particulară pentru a evita irosirea benzii de transmisie. Un neajuns al VLAN-urilor este acela ca broadcasting-ul este limitat a se face pentru reţele largi, întinse. În plus există curente care afirmă că odată cu apariţia noilor generaţii de routere rapide, problema intârzierilor datorată acestora va fi rezolvată iar VLAN-urile vor adăuga reţelei doar o complexitate inutilă.
VLAN – considerente privind implementarea unei reţele virtuale Prin crearea unui VLAN sistemul sau administratorul reţelei poate controla mai bine traficul, să reacţioneze mult mai rapid la schimbările permanente din reţea datorate cerinţelor de portabilitate ale membrilor reţelei, doar prin modificarea listei membrilor din configuraţia router ului. Un motiv puternic pentru a implementa un VLAN îl reprezintă reducerea timpului folosit şi a costurilor necesare, pentru mutările şi modificările utilizatorilor. Acest lucru este destul de important în cadrul unei reţele de tip IP deoarece odată cu deplasarea unui user către o altă subreţea, adresa IP trebuie configurată manual. În cadrul unui VLAN această calitate de a fi membru al reţelei nu este fixată la poziţia în care se află calculatorul, permiţând utilizatorului să-şi recupereze IP-ul său şi apartenenţa la o anumită subreţea. Un alt motiv este reducerea rutării pentru direcţionarea traficului pe o zonă restrânsă de reţea. Filozofia “Switch when you can, route when you must” a devenit foarte apreciată în cadrul reţelelor locale iar în cadrul VLAN-urilor este implementată cu succes. Switch-urile din cadrul unui LAN ce suportă VLAN-uri pot fi folosite pentru a controla traficul de tip broadcast, reducând nevoia de rutare a reţelei. Traficul de tip broadcast este blocat să ajungă la porturi cu staţii de destinaţie ce nu aparţin reţelei virtuale, astfel încât creează acelaşi tip de broadcast firewall asemănător celui oferit de un router. Doar pachetele care sunt destinate către adrese din afara reţelei virtuale trebuie să fie rutate pentru a fi retransmise de către router. 5
5. Structura unui VLAN Există mai multe moduri de a defini apartenenţa la un VLAN putând împărţi soluţiile de implementare a VLAN-urilor în mai multe categorii: port grouping, MAC-layer grouping, networklayer grouping, şi IP multicast grouping.
VLAN-urile pot fi formate din: 1. Grupuri de porturi Aceste VLAN-uri se compun dintr-un grup de porturi. La început aceste porturi puteau fi numai din același switch, însă ulterior, a doua genera ție a permis includerea intr-un VLAN a porturilor din mai multe switch-uri. Astfel, majoritatea implementărilor iniţiale de VLAN-uri defineau membrii unui VLAN prin grupuri de porturi de switch (de exemplu, porturile 1, 2, 3,7 şi 8 de pe un switch formează VLAN A, în timp ce porturile 4, 5 şi 6 formează VLAN B). Mai mult, în majoritatea implementărilor iniţiale, VLAN-urile nu putea fi realizate pe un singur switch. A doua generaţie de implementare suporta VLAN-uri care conectau mai multe switch-uri (de exemplu. porturile 1 şi 2 din switch-ul #1 şi porturile 4,5 ,6 şi 7 din cadrul switch-ului #2 formează VLAN A; în timp ce porturile 3, 4 ,5 ,6 ,7 şi 8 din cadrul switch-ului#1 combinate cu porturile 1, 2, 3 şi 8 din cadrul switch-ului #2 formează VLAN B ) această metodă fiind prezentată în figura 5.
Fig. 5 VLAN-uri prin grupuri de porturi
Gruparea porturilor este încă cea mai uzitată metodă de a defini apartenenţa la un VLAN iar configuraţia este destul de confortabilă. Totuși acest tip de VLAN-uri are și unele neajunsuri: - un port nu poate fi inclus în mai multe VLAN-uri; - nu permite ca mai multe VLAN-uri să includă acelaşi segment fizic de reţea; 6
- când un device este mutat dintr-un port în altul al switch-ului, administratorul re țelei va trebui sa refacă fizic configurația VLAN-ului. 2.
IP multicast groups
În cadrul acestui tip de VLAN , un semnal de tip broadcast este transmis către toate adresele IP pentru un anumit tip de VLAN. Acele adrese care răspund vor face obiectul aceluiaşi VLAN membership pentru o perioadă fixată de timp. De aceea caracterul dinamic al VLAN-urilor realizate prin intermediul acestei metode asigură un grad sporit de flexibilitate.
3. MAC address VLAN membership bazat pe adresele MAC permite utilizatorilor să îşi schimbe locaţia şi totuşi să păstreze acelaşi VLAN membership. Acesta trebuie configurat manual iniţial putând fi detectat ulterior în mod automat. Avantajul este că la mutarea unui device dintr-un loc în altul administratorul nu va trebui sa reconfigureze VLAN-ul. Unul dintre dezavantajele VLAN-urilor implementate pe baza adreselor MAC este tocmai această configurare ini țială necesară pentru ca un utilizator să se afle într-un VLAN. Acest neajuns este şi mai vizibil în cadrul reţelelor de mare întindere şi cu un număr mare de utilizatori, unde sute de utilizatori trebuie să fie explicit asociaţi unui VLAN. Caracteristicile acestui tip de VLAN-ul sunt: - este unidirecțional, controlând doar traficul de ieșire; - asigură izolarea și securitatea între clienți. Dacă este bine configurat, VLAN-ul elimină posibilitatea ca un client să acceseze resursele de re țea ale altui client din acela și LAN; - crește performantele rețelei prin limitarea broadcast-urilor într-un domeniu de broadcast logic, mai mic. În rețelele fără VLAN-uri toate pachetele de broadcast ajung la fiecare port.
4. Static MAC Forwarding O adresă MAC statică este cea introdusă manual în tabela adreselor MAC. Când stabilim o regulă de adresă MAC statică de fapt stabilim pentru un port o adresă MAC statică, fiind astfel redusă nevoia de broadcasting. Static MAC forwarding împreună cu Port Security permit doar computerelor cu adresele MAC aflate în tabelă pentru un port să acceseze switch-ul. Port filtering separă pachetele bazate pe adresa MAC și un grup VLAN, astfel se asociază adresa MAC sursă/destinație cu un număr de identificare VLAN (la care apar ține adresa MAC).
5. MAC Table Prezintă cum vor fi forward-ate pachetele sau filtrate prin porturile switch-ului. Tabelul conține: - adresa MAC a device-ului; - VLAN-ul care-l conține; - portul asociat; - modul în care este adăugată adresa MAC: dynamic (învă țată de switch) sau static (introdusă manual in Static MAC Forwarding)
6. Port Security Permite doar pachetelor cu adresa MAC învă țată dinamic și/sau adresa MAC configurată static să treacă prin switch. Pentru a ob ține o securitate maximă pe port trebuie activat Port Security, dezactivat Address Learning și configurată adresa (adresele) MAC statică pe port. Dacă se dezactivează și Port Security și Address Learning vor rezulta foarte multe broadcast-uri. 7
7. Network Layer (Layer 3) VLAN-urle bazate pe informaţiile de nivel 3 iau în calcul tipul protocolului (dacă mai multe protocoale sunt suportate) sau adresa nivelului de reţea (de exemplu, adresa subreţelei pentru protocolul TCP/IP) în a determina VLAN membership. De asemenea, aceste VLAN-uri sunt bazate pe informaţiile de nivel 3, însă acest lucru nu constituie o funcţie de rutare şi nu ar trebui să fie confundată rutarea la nivel de reţea. Există mai multe avantaje ale acestei implementări. În primul rând favorizează partiţionarea în funcţie de tipul protocolului. Un alt avantaj ar fi acela că utilizatorii se pot deplasa fără a fi nevoie să reconfigureze adresa fiecărei staţii din reţea (avntajos pentru utilizatorii TCP/IP). În al treilea rând definind astfel un VLAN putem elimina nevoia de frame-tagging (marcarea cadrelor) pentru a comunica între switch-uri VLAN membership, reducând astfel considerabil supraîncărcarea reţelei. Unul dintre dezavantajele acestui mod de definire a VLAN-urilor în comparaţie cu VLAN-urile definite pe baza porturilor sau adreselor MAC îl reprezintă performanţa scăzută datorată timpului consumat pentru inspectarea adreselor în cadrul pachetelor. Totuşi VLAN-urile definite la nivelul 3 sunt eficiente în lucrul cu protocolul TCP/IP, dar mai puţin folositor pentru protocoale ca IPX, DECnet sau AppleTalk care nu presupun configurarea manuală.
8. Spanning Tree Protocol Asigură redundanța căilor și previne buclele nedorite cauzate de multiple căi active. Pentru funcționarea corecta a re țelelor Ethernet trebuie să existe doar o singură cale activă între două sta ții. STP definește o structură arborescentă care dispune toate switch-urile într-o re țea extinsă forțând anumite căi redundante în starea blocată. Daca un segment al re țelei din Spanning Tree devine indisponibil, algoritmul STP-ului reconfigurează arhitectura structurii arborescente. STP a fost standardizat de IEEE802.1D. Informa țiile privind STP sunt transportate în frameuri speciale de date numite Bridge Protocol Data Units (BPDU). BPDU sunt schimbate frecvent în rețea și fac ca switch-urile să activeze sau să inhibe porturile necesare. Când un device este conectat la un port al switch-ului nu va începe imediat să transfere date până când nu este determinată topologia rețelei.
9. Bandwidth Control Definește lățimea de bandă maximă permisă pentru traficul de intrare și/sau de ie șire pe un port. Ingress Rate specifică lățimea de bandă maximă pentru traficul de intrare pe un port iar Engress Rate specifică lățimea de bandă maximă pentru traficul de ie șire pe un port.
10. Broadcast Storm Control Limitează numărul de frame-uri broadcast care pot fi memorate în bufferul switch-ului sau trimise afară din switch. Frame-urile broadcast care sosesc când bufferul este plin vor fi aruncate. Activând această facilitate se reduce traficul broadcast care va sosi în re țea. Pachetele broadcast sunt trimise de un device adresei de broadcast, aceasta fiind o operațiune normală într-o rețea. De exemplu, re țelele IP utilizează broadcast-ul pentru rezolvarea adresei de rețea folosind Address Resolution Protocol (ARP).
11. Mirroring Port mirroring permite copierea traficului pe un port mirror (oglindă) pentru a putea examina, diagnostica sau depana structura acestuia, fără a exista interferen țe cu portul copiat. 8
12. Link Aggregation (trunking) Reprezintă gruparea unor porturi fizice într-unul logic de capacitate mai mare. În situa ția în care o singură conexiune de mare capacitate este scumpă, pot fi folosite mai multe conexiuni de mici capacități, agregate. Avantajul acestei agregări este că în cazul în care este nevoie de o conexiune mai mare, nu este nevoie de un alt echipament ci doar de adăugarea de noi porturi în grupul trunk. Standardul IEEE802.3ad descrie Link Aggregate Control Protocol (LACP), protocol care creează și asigură managementul pentru grupurile trunk. 13. Port Authentication IEEE802.1x este un protocol de autentificare extins care permite suport pentru RADIUS, pentru profilul userului centralizat ș i managementul conturilor într-un server RADIUS. Autentificarea RADIUS este un protocol utilizat pentru autentificarea userilor folosind un server extern în locul unui device intern cu baza de date a userilor care este limitată la capacitatea memoriei device-ului, astfel fiind posibilă validarea unui număr nelimitat de useri de la o loca ție centrală. 14. Queuing Method Ajută la rezolvarea degradării performanțelor în situația unei congestii în re țea. Metoda așezării într-o coadă permite configurarea algoritmilor pentru traficul de ie șire.
15. Static Route Spune switch-ului cum să forward-eze traficul IP când sunt configura ți manual parametrii TCP/IP. Pentru o anumită destina ție se introduce adresa IP a re țelei destina ție, Subnet mask și Gateway-ul care va forwarda pachetele la destina ție. Gateway-ul trebuie să fie un router în acela și segment cu switch-ul. Metric este costul transmisiei din punct de vedere al rutării. IP routing utilizează contorizarea hop-urilor pentru măsurarea costului. Minimul este 1 când se găse ște direct conectat la rețea iar maximul este 15. Dezavantajul utilizării rutelor statice este că în cazul apariției unei nefunc ționări în re țea, ruta afectată nu va funcționa până când nu va fi ini țiată manual o altă rută de către administrator.
16. ARP Table Address Resolution Protocol (ARP) este protocolul folosit pentru a face coresponden ța dintre adresa IP și adresa MAC (adresa fizică a device-ului). Când un pachet destinat unui device din re țeaua locală este primit de switch, se caută în tabela ARP și dacă adresa este găsită, pachetul este trimis device-ului destina ție. Dacă nu se găse ște nicio înregistrare pentru adresa IP, ARP-ul trimite cererea către toate device-urile (broadcast). Switch-ul pune în câmpul expeditor propria adresă MAC și adresa IP și scrie în câmpul destinatar adresa IP căutată, iar pentru adresa MAC completează cu 32 de caractere "1". Device-ul care răspunde înlocuie ște adresa de broadcast cu propria adresă MAC, face rocada între expeditor și destinatar, și transmite răspunsul direct mașinii solicitante. Tabela ARP se actualizează și trimite pachetele adresei MAC care a răspuns.
17. Management La nivelul de bază, un VLAN reprezintă o segmentare a unui switch (un switch de 8 porturi poate fi spre exemplu împărțit în două VLAN-uri, sau două domenii de broadcast, unul de 3 porturi și unul de 5 porturi, total separate între ele). Utilizând trunk-uri putem conecta mai multe switch-uri care au suport de VLAN pentru a extinde aceste domenii de broadcast virtuale pe orice switch-uri layer 2 dorim. Reușim astfel spre exemplu să strângem într-un singur domeniu de broadcast toate 9
calculatoarele unui departament chiar dacă acestea sunt conectate în switch-uri diferite, într-un domeniu de broadcast complet izolat de domeniile de broadcast ale celorlalte departamente. Faptul că ele deși intră în echipamente diferite (care se pot afla chiar la distan țe foarte mari între ele) păstrează totuși limitele virtuale dintre aceste domenii de broadcast, este un lucru extraordinar și de primă importanță în managementul re țelelor medii dar mai ales mari. Printre VLAN-urile cu diferite scopuri pe care le putem crea într-o re țea (pentru câte un departament, sau pentru servere, etc.) există un VLAN de importan ță deosebită, numit VLAN-ul de management. Niciun computer aflat într-un VLAN nu poate accesa o sta ție din alt VLAN (decât printrun router, dar asta este altă discu ție, și oricum în acel moment putem filtra traficul între VLAN-uri așa cum ne dorim). Acest lucru este foarte important din punctul de vedere a securită ții, pentru că așa cum creăm un VLAN pentru un departament, este foarte recomandabil să avem un VLAN special care să con țină doar IP-urile de management al switch-urilor (sau altor echipamente) din rețea. Acest VLAN care nu va con ține sta ții de lucru sau orice altceva, este o re țea logică securizată, unde nimeni nu ar trebui să aibă acces, oferind astfel protec ție foarte bună ip-urilor de management (care pot fi ținte ale atacurilor de tot felul). În VLAN-ul de management putem pune eventual și servere pentru management (dacă nu dorim un VLAN separat pentru ele). De asemenea, putem avea aici un server TACACS pentru autentificare și accounting, un server de LOG-uri, un server TFTP pentru backup-uri de configura ții și imagini IOS. Ceea ce este important este faptul că eliminăm sau minimizăm șansa ca un atacator să acceseze direct IP-urile de management al echipamentelor. Un alt motiv pentru care un VLAN de management este o idee bună, este faptul că încă se utilizează multe protocoale necriptate (telnet, tftp, ftp, syslog, snmp v1, snmp v2) ale căror pachete pot conține informații foarte utile unui atacator, iar dacă acesta reușe ște să intre în VLAN poate "asculta" parole, comunități SNMP, etc. Există și posibilitatea ca un switch să se defecteze la un moment dat iar stația de monitorizare SNMP să interogheze prin SNMP statusul echipamentului picat, bineînțeles trimițând și parola în clar odată cu pachetul de interogare. Daca echipamentul s-a defectat de mai mult timp și adresa MAC a fost pierdută de switch-urile din re țea, cererea de interogare (SNMP-GET) va ajunge prin unknown unicast flood la toate host-urile din acea re țea, unde poate exista și un atacator, acesta având în acel moment parola (comunitatea) SNMP în clar. Existența VLAN-ului de management face imposibilă apari ția acestei probleme. Odată ce în VLAN-ul de management au fost introduse toate echipamentele din re țea și acesta este activ pe toate trunk-urile (asigurându-ne că nu există alte host-uri asignate), este foarte important să menținem permanent acest VLAN departe de amenin țări sau erori nedorite prin care să fie penetrată rețeaua (introducerea unui cablu trunk într-o sta ție, VLAN Hopping, etc.). La fel de important este să ne asigurăm că VLAN-ul are conectivitate în toata re țeaua și că nu ne “încuiem în interior” filtrând traficul și pierzând posibilitatea de a face managementul remote al echipamentelor afectate.
Configurare VLAN O reţea virtuală poate fi configurată în funcţie de nevoile companiei care o implementează. Flexibilitatea sporită este unul dintre avantajele majore ale reţelelor VLAN. În loc sa rerutăm fizic reţeaua, administratorul de reţea poate simplu reconfigura Virtual LAN urile cu ajutorul softwareului. Multe companii în ziua de azi pun un mare accent pe securitatea ridicată a sistemelor. Cu ajutorul reţelelor VLAN, un administrator poate restricţiona anumite informaţii şi să le furnizeze numai utilizatorilor cărora le sunt destinate. Avem de a face cu trei tipuri de configurare:
Manual: Cu toate că nu este o metodă prea practică, configurarea manuală permite administratorului cel mai mare control asupra reţelei VLAN . 10
Semi-automat: În acest caz administratorul are posibilitatea unei configurări iniţial automată , reconfigurarea automată , sau o combinaţie între acestea două. De exemplu, reţelele VLAN bazate pe adresele MAC sunt un exemplu cum un utilizator poate să-şi configureze manual staţia la care e conectat şi să continue cu reconfigurarea automatică. Un utilizator are posibilitatea să aleagă între o configurare total automată sau o configurare numai manuală. Complet automat: Acest mod presupune un grad înalt de eficienţă în cadrul reţelelor mari, însă administrarea lor este dificilă .
Comunicare prin VLAN Există trei metode prin care reţelele VLAN comunică: Table maintenance, Frame Tagging şi TDM (Time division multiplexing).
1. Table maintenance În momentul în care un end-user trimite un pachet, switch-ul realizează legătura între adresa MAC a utilizatorului şi apartenenţa la VLAN. Această informaţie este trimisă apoi către toate celelalte switch-uri. În acest caz toate modificările în VLAN membership trebuie actualizate manual. 2.
Frame Tagging
În acest caz un header este ataşat fiecărui cadru pentru a identifica cărui VLAN aparţine adresa MAC a staţiei ce a generat acest cadru. Aceste headere aduc astfel o supraîncărcare a mediului de transmisie.
3. TDM În cadrul acestei metode canalele de comunicaţie sunt rezervate pentru o anumită reţea VLAN. Astfel această metodă elimină supraîncărcarea canalului de comunicaţie aşa cum se întâmplă la Frame Tagging însă risipeşte din lărgimea benzii de comunicaţie deoarece o reţea virtuală nu poate folosi un canal de comunicaţie rezervat momentan unei alte reţele VLAN. Din cauza acestui neajuns, această metodă de comunicare nu este prea uzitat.
6. IEEE 802.1Q Standardul IEEE 802.1Q rezolvă problema identificării reţelei VLAN folosind un header ataşat fiecărui frame (cadru). El constă într-o schimbare în header-ul de Ethernet care aduce însă noi probleme de folosire: Toate cardurile de Ethernet existente trebuie înlocuite? Dacă nu, cine generează noile câmpuri? Ce se întâmplă cu cadrele care au deja dimensiunea maximă? • • •
Soluţia primei probleme ridicate constă în faptul că aceste câmpuri, VLAN, nu sunt folosite de calculatoare ci de bridge-uri şi switch-uri. Pentru a doua întrebare răspunsul presupune că aceste câmpuri VLAN sunt adăugate cadrului de către primul switch sau bridge VLAN cu care intră în contact şi eliminate de către ultimul. Rezolvarea ultimei probleme a constat în extinderea dimensiunii cadrului original de la 1518 bytes la 1522 bytes.
11
7. Concluzii Viitorul reţelelor VLAN
Datorită avantajelor reţelelor virtuale (reducerea traficului, securitate avansată) şi scopurilor de management, tot mai multe companii au optat pentru implementarea lor, mai ales dacă e să ţinem cont că ele oferă şi o cale de a comunica fără a congestiona reţeaua. Cum puţine corporaţii folosesc un protocol bazat pe adresele MAC, avantajul utilizării IEEE 802.1q este acela că resursele serverului pot fi partajate pe mai multe reţele virtuale. Acesta este un exemplu despre cum IEEE a modificat VLAN. În viitor utilizarea VLAN va lua o amploare mult mai mare, pe măsură ce IEEE şi alte companii vor contribui la producția de componente necesare dezvoltării lor. Fără îndoială concluzia finală este aceea că indiferent de cât de departe se află într-o soluţie VLAN, rutarea este necesară pentru a furniza conectivitate între reţele virtuale distincte.
8. Glosar Hub - În general un dispozitiv care serveşte pe post de centru pentru o reţea de tip stea. Un hub retransmite semnalul de intrare pe toate liniile de ieşire. Este echivalent logic cu o magistrală. LAN – Local Area Network. Reţelele sunt grupuri independente de computere care pot comunica unul cu altul prin intermediul unui mediu partajat fizic, numit generic „reţea“. Reţelele locale (LANs) se intind pe o suprafaţa relativ mică, cum ar fi o singură clădire sau un campus. Latency - Întârzierea dintre momentul de timp la care un dispozitiv a solicitat accesul la reţea şi momentul în care solicitarea a fost acceptată. De asemenea este întârzierea dintre momentul în care un dispozitiv a primit un cadru și momentul în care acest cadru este înaintat către portul de destinaţie. Switch - Store and forward switch - dispozitiv al unei reţele care filtrează, forward-ează cadrele pe baza adreselor fiecărui cadru în parte. Spre deosebire de un hub, un switch retransmite semnalul de la intrare pe o singură linie de ieşire. Router - Echipament complex al unei reţele care utilizează unul sau mai multe caracteristici ale reţelei pentru a determina calea optimă pe care trebuie retransmis traficul din reţea. Routerele interconectează reţele de diferite tipuri LAN/WAN. Uneori mai poate fi numit gateway însă această definiţie a devenit deja învechită. IP - Internet Protocol Subnet - Subreţea – este o reţea arbitrar segmentată de un administrator de reţea cu scopul de a realiza o structură de tip multinivel, ierarhică, pentru a proteja subreţeaua să acceseze complexitatea întregii reţele. MAC - Media Access Control address. Reprezintă adresa hardware care este unică pentru fiecare calculator. TDM - Time Division Multiplexing. Împărţirea unui canal în două sau mai multe linii. IEEE - Institute of Electrica land Electronics Engineers. IEEE este o organizaţie internaţională care are ca scop dezvoltarea standardelor pentru reţele şi comunicaţii. Frame - O grupare logică de informaţii trimisă sub formă de nivel de legătură de date printr-un mediu de transmisie. De obicei se referă la un header sau un trailer , folosite pentru sincronizări sau controlul erorilor, care delimitează datele conţinute de unitatea de comunicare. 12
Bibliografie 1. Tanenbaum, Andrew. "Virtual LANs". Computer Networks. 4th Edition. New Jersey: Pearson Education, Inc., 2007 2. Cisco VLAN Roadmap." http://www.cisco.com/warp/public/538/7.html. Cisco Systems 3. Virtual LAN Technology Report." http://compnetworking.about.com/cs/virtuallans/ 4. "VLAN Information." http://net21.ucdavis.edu/newvlan.htm. UC Davis.
13