Switch-VLAN-RateControl[1].pdf

Switch z funkcją VLAN i Rate Control

W routerach Vigor interfejs LAN jest wyeksponowany w postaci czterech równorzędnych

portów Ethernet:

Porty te tworzą przełącznik (ang. switch ), tzn. posiadają zdolność wzajemnej komunikacji z

prędkością 100 Mbit/s w trybie full duplex (FDX), choć możliwa jest też praca w trybie 10

Mbit/s (tryb pracy jest negocjowany automatycznie). Do portów można podłączać dowolne

urządzenia Ethernet (komputery, routery, dodatkowe przełączniki), nadając lokalnej sieci

dowolną topologię i rozmiar. Dodatkowe przełączniki będą służyć podłączeniu większej liczby

komputerów i serwerów, zaś routery mogą stanowić bramy do innych lokalnych segmentów

sieci.

Internet

NAT

dodatkowy switch

VLAN 1

VLAN 2

Prawidłowe podłączenie urządzenia do portu jest sygnalizowane diodami: kolor zielony

oznacza połączenie 100 Mbit/s, żółty - 10 Mbit/s, natomiast pulsowanie oznacza zachodzącą

transmisję:

2004 BRINET Sp. z o. o.

Switch z funkcją VLAN i Rate Control

Wystarczy fizyczne podłączenie kabli do portów P1-P4, aby urządzenia mogły się wzajemnie

komunikować z dużą prędkością (100 Mbit/s) bez angażowania funkcji właściwych dla samego

routera. Następnie, po odpowiednim skonfigurowaniu routera Vigor, może on być dla tych

urządzeń bezpieczną bramą do Internetu i ewentualnie do innych sieci (lokalnych – poprzez

inny router, lub odległych – poprzez tunel VPN). Niezależnie od tego czy podłączamy router,

switch czy komputer, można użyć kabla prostego (ang. straight-through ). W razie potrzeby

wewnętrzny przeplot ( cross-over ) dokonuje się automatycznie na dowolnym z 4 portów dzięki

funkcji auto-uplink .

Typowy scenariusz

Jeżeli posiadamy nie więcej niż 4 komputery, możemy je połączyć bezpośrednio z routerem,

tworząc sieć lokalną z dostępem do Internetu i wzajemnym dzieleniem zasobów (pliki,

drukarki). Każda maszyna może być oddalona do 100 m od routera. W miarę zapotrzebowania

na kolejne porty, można w miejsce jednego z komputerów zastosować dodatkowy switch .

Liczba komputerów w sieci

Router nie ogranicza liczby komputerów w naszej sieci. Jest ona raczej fizycznie ograniczona

pojemnością wszystkich naszych przełączników (liczba portów). Sam router, przy

odpowiednim skonfigurowaniu maski podsieci, jest w stanie obsłużyć nawet setki maszyn

(domyślnie 253 dla maski 24-bitowej). Możemy zatem stopniowo rozbudowywać sieć w miarę

naszych potrzeb, nie martwiąc się, że osiągniemy jakąś granicę wyznaczoną przez router.

Protokoły

Switch wbudowany w router Vigor będzie przełączał wszelką komunikację lokalną, nawet

jeżeli urządzenia komunikują się za pomocą protokołów sieciowych innych niż TCP/IP (np.

NetBIOS/NetBEUI w starszych sieciach Windows, czy IPX/SPX w sieciach Novell itd.).

2004 BRINET Sp. z o. o.

Switch z funkcją VLAN i Rate Control

VLAN (wzajemna izolacja grup urządzeń podłączonych do switcha)

Termin VLAN (ang. Virtual LAN ) oznacza tzw. wirtualną sieć LAN. Jest to zamknięta grupa

komputerów, które mogą się komunikować wyłącznie pomiędzy sobą, pozostając jednocześnie

w całkowitej separacji z innymi komputerami podłączonymi do tego samego switcha . Oznacza

to, że s witch posiada zdolność inteligentnego filtrowania ramek na podstawie źródła ich

pochodzenia, blokując ich przekazanie do komputera spoza określonej grupy.

Istnieje kilka standardowych metod realizacji funkcji VLAN. W switchu , jakim dysponują

wybrane routery DrayTek, zaimplementowano tzw. VLAN skupiony na portach (ang. port-

centric VLAN ). Definiowanie segmentu VLAN polega na określeniu, które porty mają do niego

należeć. Wszystkie komputery korzystające z portu należącego do danego VLAN (np.

podłączone przez inny switch ) stają się automatycznie członkiem tego VLAN. Nie mniej dany

port może zostać przydzielony do kilku sieci VLAN jednocześnie. Wówczas komputery do

niego dołączone mają dostęp do wszystkich tych sieci VLAN.

Vigor pozwala na wyodrębnienie do 4 oddzielnych grup komputerów (segmentów VLAN) w

ramach swojego switcha . Do każdej z nich można niezależnie przydzielać poszczególne porty

switcha . Domyślnie (ustawienia fabryczne) żaden VLAN nie jest zdefiniowany, tzn. wszystkie

komputery mogą wymieniać dane między sobą. Po zdefiniowaniu VLAN, jego komputery

tworzą zamkniętą grupę – lokalnie odizolowaną od innych maszyn, jednak zachowującą dostęp

do Internetu.

Rysunek prezentuje przykładową konfigurację, która pomaga zrozumieć opisane mechanizmy.

Zakłada on, że do portu P1 routera podłączono dodatkowy switch skupiający kilka

komputerów. Takie koncentratory mogą być podłączone do wszystkich portów, jeżeli zachodzi

potrzeba stworzenia oddzielnych sieci VLAN złożonych z wielu maszyn.

dodatkowy switch

PC1

PC2

PC3

PC4

PC5

PC6

VLAN 1

VLAN 2

VLAN 3

W przykładzie na rysunku utworzono 3 sieci wirtualne:

VLAN 1 obejmuje porty P1 (PC1, PC2, PC3) i P2 (PC4)

VLAN 2 to port P2 (PC4) i P3 (PC5)

do VLAN 3 należy pojedynczy port P4 (a więc tylko komputer PC6)

2004 BRINET Sp. z o. o.

Switch z funkcją VLAN i Rate Control

Logiczne relacje pomiędzy komputerami będą takie:

PC1, PC2 i PC3 mogą wymieniać dane pomiędzy sobą oraz z PC4 (ale nie z PC5 ani z

PC6)

PC4 i PC5 mogą wymieniać dane pomiędzy sobą (ale nie z PC6)

PC6 nie może wymieniać danych z żadnym z pozostałych komputerów

wszystkie komputery mogą się komunikować z Internetem. Aby uniemożliwić dostęp

do Internetu można zastosować odpowiednie mechanizmy filtru pakietów.

Zastosowanie VLAN – bezpieczeństwo i prywatność

Ponieważ separacja VLAN odbywa się w warstwie łącza danych, gwarantuje duże

bezpieczeństwo. Całkowicie bowiem eliminuje przepływ jednostek danych w tej warstwie, a

więc m. in. pakietów IP niezbędnych dla przeprowadzenia większości ataków i włamań, ale

także jednostek protokołu ARP itd. Poszczególni użytkownicy Internetu są zatem solidnie

izolowani, zachowując całkowitą prywatność pomimo podłączenia do tego samego switcha .

1. Funkcja VLAN zaimplementowana w routerze Vigor umożliwia współdzielenie szybkiego

łącza internetowego przez wielu użytkowników (np. sąsiadów) przy ich absolutnym

odizolowaniu od reszty, o ile wyrażą takie życzenie. Warto zaznaczyć, że używając

prawidłowo wykonanego kabla (UTP kategorii 5) do portu routera można podłączyć

urządzenie oddalone na odległość do 100 m. Dlatego komputery czy koncentratory

użytkowników mogą pracować w ich mieszkaniach, tworząc odrębne sieci VLAN

zdefiniowane w porozumieniu z administratorem routera.

2. Podobnie można odseparować dwie lub więcej firm posiadających wspólne łącze

szerokopasmowe i wspólny router. Administrator może tak skonfigurować jeden z portów

switcha, aby mieć dostęp do obu sieci firmowych, podczas gdy pracownicy będą mieli dostęp

tylko do komputerów w ramach swojej firmy.

3. Jeżeli posiadamy serwer WWW, FTP, SMTP itd., lub jakikolwiek inny komputer, który ma

być osiągalny z sieci publicznej, możemy się spodziewać, że będzie on narażony na różne

formy ataku z Internetu. Pracując w sieci LAN mógłby zatem stanowić potencjalną furtkę do

innych jej zasobów. Aby temu zapobiec, serwer można umieścić w osobnym segmencie

VLAN. W efekcie nawet przejęcie nad nim całkowitej zdalnej kontroli wyklucza użycie

serwera jako narzędzia ataku wobec innych komputerów. Ewentualne szkody będą zatem

minimalne.

2004 BRINET Sp. z o. o.

Switch z funkcją VLAN i Rate Control

Rate Control (limitowanie przepływności portów w switchu)

W routerze Vigor maksymalne pasmo oferowane przez każdy port switcha sięga 100 Mbit/s.

Nawet jeżeli do portu podłączono wiele komputerów (dodatkowy switch ), prędkość 100 Mbit/s

gwarantuje każdemu z nich swobodny dostęp do łącza internetowego, które jest znacznie

wolniejsze (do kilku Mbit/s). Sprawia to, że wszystkie komputery rywalizują o wspólne pasmo

na odcinku dostępowym.

Normalnie router kolejkuje dane i stara się je obsłużyć według kolejności napływu, czyli

według zasady „ kto pierwszy ten lepszy ”. Nie jest to uciążliwe w sytuacji, kiedy użytkownicy

korzystają z przeglądania stron www , lub innych usług charakteryzujących się momentami

natężenia ruchu (pobranie) oddzielonymi okresami bezczynności (czytanie). Sytuacja ulega

zmianie, kiedy jakiś komputer uzyskuje dostęp do szybkiego serwera w Internecie, zajmując

istotną część wspólnego pasma wyłącznie dla siebie. W efekcie inni użytkownicy łącza

doświadczają znacznego spowolnienia transmisji. Jeżeli obciążenie jest chwilowe i występuje

sporadycznie (transfer plików), może być tolerowane. Natomiast uruchomienie strumienia

danych (aplikacje P2P typu Kazaa , Imesh ) lub usług online (radio przez Internet) może

prowadzić do zakłócenia statystycznej równowagi, czy wręcz zawłaszczenia pasma przez

jednego użytkownika. Jest to trudne do zaakceptowania, zwłaszcza jeżeli wszyscy użytkownicy

mają swój udział w kosztach dostępu.

Funkcja sterowania przepływem ma pomóc w bardziej sprawiedliwym gospodarowaniu

pasmem. Założenia implementacji są proste: na każdym porcie switcha można wyznaczyć limit

prędkości przepływu danych. Robi się to osobno dla obu kierunków transmisji. Każdy port, dla

którego uaktywniono kontrolę przepływu, będzie przekazywał otrzymywane dane z

wyznaczoną prędkością bez względu na rodzaj danych czy źródło ich pochodzenia (adresy

MAC/IP). Jest to więc ogólne tłumienie prędkości przekazywania jednostek danych w

warstwie MAC.

Przykładowe zastosowanie Rate Control

Funkcja Rate Control znajdzie zastosowanie zwłaszcza w sytuacji współdzielenia

szerokopasmowego dostępu do Internetu przez wielu użytkowników/komputerów. Aby to

zilustrować zakładamy, że 4 osoby decydują się wspólnie ponosić opłaty za łącze ADSL

512/128 kbit/s przy następującym rozłożeniu pasma i opłat:

Użytkownik 1=256/64 kbit/s (50 % opłat)

Użytkownik 2=128/32 kbit/s (25 % opłat)

Użytkownik 3=64/32kbit/s (12,5 % opłat)

Użytkownik 4=64/32kbit/s (12,5 % opłat).

2004 BRINET Sp. z o. o.

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: