Vpn ulanishi qanday ishlaydi? Virtual xususiy tarmoqlar (vpn)

Bitta kalitga asoslangan virtual tarmoqlarni yaratish

Download 125,52 Kb.

bet	2/3
Sana	12.04.2022
Hajmi	125,52 Kb.
	#546078

1 2 3

Bog'liq
5-lab

Bir nechta kalitlarga asoslangan virtual tarmoqlarni yarating

Bitta kalitga asoslangan virtual tarmoqlarni yaratish
Bitta kommutatorga asoslangan virtual tarmoqlarni yaratishda odatda kommutator portini guruhlash mexanizmidan foydalaniladi (14.12-rasm). Bundan tashqari, har bir port ma'lum bir virtual tarmoqqa tayinlangan. Masalan, 1-virtual tarmoqqa tegishli portdan kelgan ramka hech qachon ushbu virtual tarmoqqa tegishli bo'lmagan portga uzatilmaydi. Port bir nechta virtual tarmoqlarga tayinlanishi mumkin, garchi amalda bu kamdan-kam hollarda amalga oshiriladi - tarmoqlarni to'liq izolyatsiya qilish effekti yo'qoladi.
Portlarni guruhlash orqali virtual tarmoqlarni yaratish administratordan ko'p qo'lda ishlashni talab qilmaydi - har bir portni bir nechta oldindan nomlangan virtual tarmoqlardan biriga belgilash kifoya. Odatda, bu operatsiya kalit bilan birga kelgan maxsus dastur yordamida amalga oshiriladi.
Virtual tarmoqlarni shakllantirishning ikkinchi usuli MAC manzillarini guruhlashga asoslangan. Kommutator tomonidan o'rganilgan har bir MAC manzili ma'lum bir virtual tarmoqqa tayinlanadi. Tarmoqda ko'plab tugunlar mavjud bo'lganda, bu usul administratordan juda ko'p qo'lda ishlashni talab qiladi. Biroq, bir nechta kalitlarga asoslangan virtual tarmoqlarni qurishda u port trankingiga qaraganda ancha moslashuvchan.

Guruch. 14.12. Bitta kalitda qurilgan virtual tarmoqlar
Bir nechta kalitlarga asoslangan virtual tarmoqlarni yarating
14.13-rasmda port tranking texnikasini qo'llab-quvvatlaydigan bir nechta kalitlarga asoslangan virtual tarmoqlarni yaratishdagi muammo tasvirlangan.

Guruch. 14.13. Port tranking bilan bir nechta kalitlarda virtual tarmoqlarni qurish

Agar biron-bir virtual tarmoqning tugunlari turli xil kalitlarga ulangan bo'lsa, u holda har bir bunday tarmoqni ulash uchun kalitlarga maxsus juft portlar ajratilishi kerak. Shunday qilib, port tranking kalitlari VLAN-larni qo'llab-quvvatlaganidek, ulanish uchun shuncha ko'p portlarni talab qiladi. Portlar va kabellar bu holatda juda isrofgarchilik bilan ishlatiladi. Bundan tashqari, virtual tarmoqlarni marshrutizator orqali ulashda har bir virtual tarmoqqa alohida kabel va alohida router porti ajratiladi, bu ham ko'p yuklarni keltirib chiqaradi.
MAC manzillarini har bir kalitda virtual tarmoqqa guruhlash ularni bir nechta portlar orqali bog'lash zaruratini yo'q qiladi, chunki MAC manzili keyinchalik virtual tarmoq yorlig'iga aylanadi. Biroq, bu usul tarmoqdagi har bir kalitda MAC manzillarini belgilash uchun juda ko'p qo'lda operatsiyalarni talab qiladi.
Ta'riflangan ikkita yondashuv faqat kommutatorning manzil jadvallariga qo'shimcha ma'lumot qo'shishga asoslangan va ular virtual tarmoq ramkasining egaligi haqidagi ma'lumotlarni uzatilgan kadrga joylashtirish imkoniyatiga ega emas. Boshqa yondashuvlarda freymning mavjud yoki qo'shimcha maydonlari tarmoq kommutatorlari o'rtasida harakatlanayotganda ma'lum bir virtual mahalliy tarmoqqa tegishli kadr haqida ma'lumotni saqlash uchun ishlatiladi. Bunday holda, har bir kalitda kompozit tarmoqning barcha MAC manzillari virtual tarmoqlarga tegishli ekanligini esga olishning hojati yo'q.
Virtual tarmoq raqami bilan belgilangan qo'shimcha maydon faqat freym kalitdan kommutatorga yuborilganda ishlatiladi va odatda ramka oxirgi tugunga yuborilganda o'chiriladi. Shu bilan birga, "switch-switch" shovqin protokoli o'zgartiriladi, oxirgi tugunlarning dasturiy ta'minoti va apparati o'zgarishsiz qoladi.
Ethernet VLAN yorlig'i deb nomlangan qo'shimcha sarlavhani taqdim etadi.
Ethernet freymlari uchun VLAN tegi ixtiyoriy. Bunday sarlavhaga ega bo'lgan ramka teglangan ramka deb ataladi. Kalitlar bir vaqtning o'zida teglangan va teglanmagan ramkalar bilan ishlashi mumkin. VLAN yorlig'i qo'shilishi tufayli ma'lumotlar maydonining maksimal uzunligi 4 baytga qisqardi.
LAN uskunalari teglangan kadrlarni farqlashi va tushunishi uchun ular uchun maxsus EtherType maydoni qiymati 0x8100 joriy qilingan. Bu qiymat undan keyin standart ma'lumotlar maydoni emas, balki TCI maydoni kelishini ko'rsatadi. Yodda tutingki, teglangan freymda VLAN teg maydonlaridan keyin freymning ma'lumotlar maydoni tomonidan olib boriladigan protokol turini ko'rsatadigan boshqa EtherType maydoni keladi.
TCI maydonida VID deb ataladigan 12 bitli VLAN raqami (identifikator) maydoni mavjud. VID maydonining kengligi kalitlarga 4096 tagacha virtual tarmoq yaratish imkonini beradi.
Belgilangan ramkalardagi VID qiymatidan foydalanib, tarmoq kalitlari tarmoqni virtual segmentlarga, ya'ni VLAN-larga bo'lish orqali guruhli trafikni filtrlashni amalga oshiradi. Ushbu rejimni qo'llab-quvvatlash uchun har bir kommutator porti bir yoki bir nechta VLAN-ga tayinlanadi, ya'ni portlarni guruhlash amalga oshiriladi.
Tarmoq konfiguratsiyasini soddalashtirish uchun 802.1Q standarti kirish liniyasi va magistral tushunchalarini taqdim etadi.
Kirish liniyasi kommutator portini (bu holda kirish porti deb ataladi) ba'zi VLAN-ga tegishli kompyuterga ulaydi.
Magistral - bu ikkita kommutatorning portlarini bog'laydigan aloqa liniyasi; umumiy holatda, magistral orqali bir nechta virtual tarmoqlarning trafigi uzatiladi.
Manba tarmog'ida VLAN ni yaratish uchun siz avval uning uchun 1 dan boshqa VID qiymatini tanlashingiz kerak, so'ngra kalitni sozlash buyruqlari yordamida ushbu tarmoqqa unga kiritilgan kompyuterlar biriktirilgan portlarni belgilashingiz kerak. Kirish porti faqat bitta VLANga tayinlanishi mumkin.
Kirish portlari tarmoqning so'nggi nuqtalaridan belgilanmagan kadrlarni qabul qiladi va ularni ushbu portga tayinlangan VID qiymatini o'z ichiga olgan VLAN tegi bilan belgilab qo'yadi. Belgilangan ramkalar oxirgi tugunga yuborilganda, kirish porti VLAN tegini olib tashlaydi.
Ko'proq vizual tavsif uchun, avval muhokama qilingan tarmoq misoliga qaytaylik. Anjir. 14.15 VLAN texnikasi asosida serverlarga tanlab kirish muammosi qanday hal qilinishini ko'rsatadi.

Guruch. 14.15. Tarmoqni ikkita VLANga bo'lish

Ushbu muammoni hal qilish uchun siz tarmoqda ikkita virtual mahalliy tarmoqni tashkil qilishingiz mumkin, VLAN2 va VLAN3 (esda tutingki, VLAN1 sukut bo'yicha allaqachon mavjud - bu bizning manba tarmog'imiz), bir kompyuter va server to'plami VLAN2-ga tayinlangan, ikkinchisi esa KVLAN3 ga tayinlangan.
Muayyan VLAN-ga yakuniy tugunlarni belgilash uchun tegishli portlar tegishli VID-ni belgilash orqali ushbu tarmoqning kirish portlari sifatida e'lon qilinadi. Masalan, SW1 kommutatorining 1-porti unga VID2-ni belgilash orqali VLAN2-ning kirish porti deb e'lon qilinishi kerak, SW1 kommutatorining 5-porti, SW2 kommutatorining 1-porti, SW3 kommutatorining 1-porti bilan ham xuddi shunday qilish kerak. VLAN3 kirish portlariga VID3 tayinlanishi kerak.
Bizning tarmog'imizda siz shuningdek, magistrallarni - kalitlarning portlarini bog'laydigan aloqa liniyalarini tashkil qilishingiz kerak. Magistrallarga ulangan portlar teg qo'shmaydi yoki olib tashlamaydi, ular shunchaki ramkalarni qanday bo'lsa, shunday qilib uzatadi. Bizning misolimizda, bu portlar SW1 va SW2 kalitlarining 6-portlari, shuningdek, kommutatorning 3 va 4-portlari bo'lishi kerak. Bizning misolimizdagi portlar VLAN2 va VLAN3 ni qo'llab-quvvatlashi kerak (va agar tarmoqda VLAN-ga aniq tayinlanmagan xostlar mavjud bo'lsa, VLAN1).
VLAN texnologiyasini qo'llab-quvvatlaydigan kalitlar qo'shimcha trafik filtrlashni ta'minlaydi. Yo'naltirish jadvalida kiruvchi kadr ma'lum bir portga uzatilishi kerakligi aytilgan bo'lsa, uzatishdan oldin kalit VL AN tegidagi VTD qiymati ushbu portga tayinlangan VLANga mos keladimi yoki yo'qligini tekshiradi. Agar mos kelsa, ramka uzatiladi, agar mos kelmasa, u o'chiriladi. Belgilanmagan ramkalar xuddi shu tarzda qayta ishlanadi, lekin shartli VLAN1 yordamida. MAC manzillari tarmoq kalitlari tomonidan alohida o'rganiladi, lekin har bir VLAN.
VLAN texnikasi serverlarga kirishni cheklash uchun juda samarali bo'lib chiqdi. Virtual mahalliy tarmoqni sozlash tugunlarning MAC manzillarini bilishni talab qilmaydi, bundan tashqari, tarmoqdagi har qanday o'zgarishlar, masalan, kompyuterni boshqa kommutatorga ulash, faqat ushbu kommutatorning portini sozlashni talab qiladi va boshqa barcha tarmoq kalitlari ularning konfiguratsiyasiga o'zgartirishlar kiritmasdan ishlash.
Nomidan - virtual xususiy tarmoqdan kelib chiqadiki, u qandaydir tarzda haqiqiy xususiy tarmoqning xususiyatlarini takrorlaydi.
Hech qanday mubolag'asiz, tarmoqni xususiy deb atash mumkin, agar korxona faqat butun tarmoq infratuzilmasi - kabellar, o'zaro bog'liqlik uskunalari, kanal hosil qiluvchi uskunalar, kommutatorlar, marshrutizatorlar va boshqa aloqa uskunalariga egalik qiladi va boshqaradi.
Virtual xususiy tarmoq - bu o'ziga xos "tarmoq ichidagi tarmoq", ya'ni foydalanuvchilarga o'zlarining shaxsiy tarmog'i umumiy tarmoq ichida mavjudligi haqidagi tasavvurni beruvchi xizmatdir.
VPN texnologiyasining asosiy maqsadlari - umumiy tarmoqdagi foydalanuvchi ma'lumotlar oqimlari uchun kafolatlangan xizmat sifatini ta'minlash, shuningdek ularni mumkin bo'lgan ruxsatsiz kirish yoki yo'q qilishdan himoya qilish.
Virtual xususiy tarmoq (Virtual Private Network - VPN) ochiq tashqi muhit (global tarmoq) orqali mahalliy tarmoqlarning yagona korporativ tarmoqqa birikmasidir. xavfsiz ma'lumotlar aylanishi.
VPN texnologiyasining mohiyati quyidagicha (6.1-rasm):

Download 125,52 Kb.

Do'stlaringiz bilan baham:

1 2 3