Асимметричные VLAN

Для обеспечения возможности использования разделяемых ресурсов (серверов, Интернет-шлюзов и т.д.) пользователями из разных сетей VLAN, в программном обеспечении коммутаторов 2-го уровняD-Link реализована поддержка функции Asymmetric VLAN (ассиметричные VLAN). Эта функция позволяет клиентам из разных VLAN взаимодействовать с разделяемыми устройствами (например, серверами), не поддерживающим тегирование 802.1Q, через один физический канал связи с коммутатором, не требуя использования внешнего маршрутизатора. Включение функции Asymmetric VLAN на коммутаторе 2-го уровня позволяет сделать его немаркированные порты членами нескольких виртуальных локальных сетей. При этом рабочие станции остаются полностью изолированными друг от друга. Например, асимметричные VLAN могут быть настроены так, чтобы обеспечить доступ к почтовому серверу всем почтовым клиентам. Клиенты смогут отправлять и получать данные через порт коммутатора, подключенный к почтовому серверу, но прием и передача данных через остальные порты будет для них запрещена.

При включении асимметричных VLAN, каждому порту коммутатора назначается уникальный PVID в соответствии с идентификатором VLAN, членом которой он является. При этом каждый порт, может получать кадры от VLAN по умолчанию.

Внимание: функция Asymmetric VLAN не поддерживается коммутаторами 3-го уровня. Организация обмена данными между устройствами различных VLAN не поддерживающих тегирование реализуется в таких коммутаторах с помощью маршрутизации и списков управления доступом

(ACL), ограничивающих доступ устройств к сети.

Основное различие между базовым стандартом 802.1Q VLAN (или симметричными VLAN) и асимметричными VLAN заключается в способах отображения МАС-адресов. Симметричные VLAN используют отдельные адресные таблицы, поэтому не происходит пересечения МАС-адресов между виртуальными локальными сетями. Асимметричные VLAN используют одну общую таблицу МАС-адресов.

По умолчанию асимметричные VLAN на коммутаторах D-Link отключены.

Источник

Команды настройки асимметричных VLAN и сегментации трафика

Применение асимметричных VLAN (Asymmetric VLAN)

Для обеспечения возможности использования разделяемых ресурсов (серверов, Интернет-шлюзов и т.д.) пользователями из разных сетей VLAN в программном обеспечении коммутаторов 2-го уровня D-Link реализована поддержка функции Asymmetric VLAN (ассиметричные VLAN ). Эта функция позволяет клиентам из разных VLAN взаимодействовать с разделяемыми устройствами (например, серверами), не поддерживающим тегирование 802.1Q, через один физический канал связи с коммутатором, не требуя использования внешнего маршрутизатора. Активизация функции Asymmetric VLAN на коммутаторе 2-го уровня позволяет сделать его немаркированные порты членами нескольких виртуальных локальных сетей. При этом рабочие станции остаются полностью изолированными друг от друга.

Применение сегментации трафика (Traffic Segmentation)

Функция Traffic Segmentation служит для разграничения доменов на канальном уровне. Она позволяет настраивать порты или группы портов коммутатора таким образом, чтобы они были полностью изолированы друг от друга, но в то же время имели доступ к разделяемым портам, используемым для подключения серверов или магистрали сети. Функция сегментации трафика может использоваться с целью сокращения трафика внутри сетей VLAN 802.1Q, позволяя разбивать их на более мелкие группы. При этом правила VLAN имеют более высокий приоритет при передаче трафика. Правила Traffic Segmentation применяются после них.

Цель: Изучить настройку асимметричных VLAN и сегментации трафика.

DES-3200-28	2 шт.
Рабочая станция	4 шт.
Кабель Ethernet	5 шт.
Консольный кабель	2 шт.

Перед выполнением задания необходимо сбросить настройки коммутатора к заводским настройкам по умолчанию командой

Настройка асимметричных VLAN (Пример 1)

Настройка DES- 3200-28

Включите функцию асимметричных VLAN

Проверьте, все ли порты назначены в VLAN по умолчанию?

Создайте VLAN v2 и v3

Добавьте в созданные VLAN немаркированные порты

Назначьте PVID немаркированным портам, созданных VLAN

Упражнения

Проверьте доступность соединения командой ping :

Проверьте состояние PVID на всех портах коммутатора

Источник

Команды настройки асимметричных VLAN и сегментации трафика

Применение асимметричных VLAN (Asymmetric VLAN)

Для обеспечения возможности использования разделяемых ресурсов (серверов, Интернет-шлюзов и т.д.) пользователями из разных сетей VLAN в программном обеспечении коммутаторов 2-го уровня D-Link реализована поддержка функции Asymmetric VLAN (ассиметричные VLAN ). Эта функция позволяет клиентам из разных VLAN взаимодействовать с разделяемыми устройствами (например, серверами), не поддерживающим тегирование 802.1Q, через один физический канал связи с коммутатором, не требуя использования внешнего маршрутизатора. Активизация функции Asymmetric VLAN на коммутаторе 2-го уровня позволяет сделать его немаркированные порты членами нескольких виртуальных локальных сетей. При этом рабочие станции остаются полностью изолированными друг от друга.

Применение сегментации трафика (Traffic Segmentation)

Функция Traffic Segmentation служит для разграничения доменов на канальном уровне. Она позволяет настраивать порты или группы портов коммутатора таким образом, чтобы они были полностью изолированы друг от друга, но в то же время имели доступ к разделяемым портам, используемым для подключения серверов или магистрали сети. Функция сегментации трафика может использоваться с целью сокращения трафика внутри сетей VLAN 802.1Q, позволяя разбивать их на более мелкие группы. При этом правила VLAN имеют более высокий приоритет при передаче трафика. Правила Traffic Segmentation применяются после них.

Цель: Изучить настройку асимметричных VLAN и сегментации трафика.

DES-3200-28	2 шт.
Рабочая станция	4 шт.
Кабель Ethernet	5 шт.
Консольный кабель	2 шт.

Перед выполнением задания необходимо сбросить настройки коммутатора к заводским настройкам по умолчанию командой

Настройка асимметричных VLAN (Пример 1)

Настройка DES- 3200-28

Включите функцию асимметричных VLAN

Проверьте, все ли порты назначены в VLAN по умолчанию?

Создайте VLAN v2 и v3

Добавьте в созданные VLAN немаркированные порты

Назначьте PVID немаркированным портам, созданных VLAN

Упражнения

Проверьте доступность соединения командой ping :

Проверьте состояние PVID на всех портах коммутатора

Источник

Особенности построения структурированной локальной вычислительной сети на Ethernet коммутаторах D-Link на основе использования асимметричных VLAN

( Design of structured local area network using D-Link Ethernet switches based on asymmetric VLAN technology
Preprint, Inst. Appl. Math., the Russian Academy of Science)

Андреев В.П., Врублевский В.В.
(V.P.Andreev, V.V.Vrublevsky)

ИПМ им. М.В.Келдыша РАН

Москва, 2007

Аннотация

Описан один из вариантов построения архитектуры локальной вычислительной сети (ЛВС), позволяющий разделять ее ресурсы между изолированными группами пользователей. Постановка задачи включает в качестве одного из основных требований формирование методики построения высокозащищенной ЛВС, обеспечивающей гарантированную конфиденциальность трафика отдельных групп пользователей. Ключевым аспектом рассматриваемой архитектуры ЛВС является ее организация в виде регулярной структуры и применение типовых элементов (Ethernet коммутаторов) для построения узлов. Детальные методики двух вариантов построения асимметричных VLAN в рамках рассматриваемой архитектуры ЛВС показывают практические способы их реализации, которые могут применяться виде типовых, тиражируемых решений и выбираться в зависимости от того, какие особенности функционирования системы и организации доступа к ресурсам сети необходимо получить. В заключении даны рекомендации по выбору способов организации VLAN, анализ ограничений и достоинств описанных методик.

Abstract

The paper is suggesting a variant of the local area network (LAN) architecture, allowing to share resources of the isolated users. The main task was to find a LAN construction method with high protection and confidence for any traffic generated by some users groups. The key aspect of the LAN architecture is the operation with regular structures and typical elements (Ethernet switches) for all designed nodes. We consider in details two suggested methods of design of asymmetric VLAN with such architecture. This consideration shows the practical way of LAN designing to be used for standardized and reproducible solutions, depending on required system functionality and required access to resources. One can find recommendations on how to choose the way of building a LAN, restrictions and advantages of the method.

1. Введение. Целью создания структурированной локальной вычислительной сети (ЛВС) предприятия является обеспечение более высокой степени защищенности информации от несанкционированного доступа по сравнению с традиционными (распределенными) сетями, повышение производительности сети и организация более эффективного управления компонентами сети и информационными потоками.

Тем ни менее, данная методика построения сети не исключает применение маршрутизации, которая может рассматриваться как следующий уровень управления трафиком.

Коммутаторы уровня доступа

Коммутаторы уровня распределения

Коммутаторы уровня ядра

Рис.1. Функциональная схема структурированной ЛВС

Сетевые ресурсы: серверы, маршрутизаторы Internet и т.п.

В качестве практического примера рассмотрим схему структурированной ЛВС некоторого предприятия, представленную на рис.1. В ее основу положена древовидная топология [1].

Коммутаторы уровня ядра устанавливаются в аппаратной (серверной), где также, как правило, располагаются все сетевые ресурсы: серверы (файл-серверы, серверы приложений, почтовые серверы и т.п.), маршрутизатор доступа в Internet и т.п. Эти коммутаторы формируют единую производительную информационную магистраль предприятия.

Коммутаторы уровня распределения обычно располагаются в коммутационных помещениях и/или шкафах, установленных на разных этажах или в разных секциях здания. Там же, как правило, располагаются и коммутаторы уровня доступа, к которым подходят линии от персональных компьютеров (ПК) пользователей, сетевых принтеров и иных конечных устройств. Коммутаторы уровня доступа обычно служат для увеличения количества портов, требуемых для подключения ПК пользователей.

Коммутаторы «ядра» удобно объединить в стек. Стек коммутаторов ядра соединяется с коммутаторами уровня распределения, причем обычно в этом случае используется агрегирование каналов или, иначе, объединение портов в транк, состоящий из нескольких (2 – 8) кабельных линий. Это позволяет с одной стороны расширить полосу пропускания соединения, а с другой стороны обеспечивает повышенную надежность соединения за счет дублирования каналов.

Рис.2. Использование асимметричных VLAN

для создания разделенных ресурсов

SHAPE \* MERGEFORMAT

Рис.3. Организация передачи сетевых ресурсов

В ряде случаев возникает необходимость передавать каждый сетевой ресурс на уровень распределения и уже там организовать доступ к этому ресурсу, исключая трафик между его потребителями. Например, необходимо предоставить доступ к Internet ПК подразделений П1 и П2 предприятия, исключив возможность трафика между компьютерами этих подразделений. На рис.4 приведен простейший вариант такой сети.

Создаем «распределенную» VLAN VS 1 на обоих коммутаторах описанным выше способом. На коммутаторе SW 2 создаем две пользовательских VLAN подразделений – VS 11 и VS 12 на портах соответственно 6 и 7.
SHAPE \* MERGEFORMAT

Рис.4. Организация передачи сетевого ресурса

Предложенный вариант построения локальной вычислительной сети обладает следующими свойствами: структурность, универсальность и избыточность [2, с.25].

4. Заключение. Основными достоинствами рассмотренного варианта построения ЛВС являются:

· Возможность размещения всех основных вычислительных ресурсов (серверов) в одной аппаратной (серверной) позволяет обеспечить требуемый уровень их защищенности от внешних воздействий и удобство обслуживания.

· Возможность предоставления доступа к любым из имеющихся сетевых ресурсов (серверов, систем хранения информации Internet и т.п.) на каждом коммутаторе уровня распределения без проведения работ по прокладке дополнительных кабельных линий.

· Структурная гибкость сети, позволяющая быстро менять строение сети, наращивая или подстраивая ее под изменяющуюся структуру предприятия без проведения работ по прокладке дополнительных кабельных линий.

· Масштабируемость сети, что дает возможность легко наращивать вычислительные ресурсы сети простым подключением дополнительных серверов и других сетевых элементов к стеку коммутаторов «ядра».

· Возможность подключения локальных средств архивизации в любой удобной точке сети, что позволяет расположить устройства архивизации как с учетом минимизации нагрузки на сеть, так и в месте, наиболее защищенном от пожара, затопления и т.п.

· Невысокая стоимость решения и оптимальное соотношение показателя цена/качество, позволяет при малом бюджете развертывать гибкую, высокозащищенную информационную инфраструктуру.

Дальнейшее развитие рассмотренной архитектуры и методологии должно предусматривать наращивание защищенности информационной инфраструктуры. Вполне очевидно, что для этого требуется наличие дублирующих маршрутов в сети, т. е. сеть рассматривается как граф, причем его связность не должна нарушаться при недоступности какого-либо ребра (при отказе информационного канала) или узла.

2. Семенов А.Б., Стрижаков С.К., Сунчелей И.Р. Структурированные кабельные системы.- 5-е изд. – М.: Компания Ай Ти; ДМК Пресс, 2004. – 640+16с.: ил.

Источник

Asymmetric VLAN

Introduction to Asymmetric VLANs

One of my colleagues has recently got an assignment to configure a trunk between an Allied Telesis switch 950 series and Cisco Catalyst 3560. I’ve been monitoring the process from start to finish and noticed that he had some difficulties with asymmetric VLANs in Allied Telesis. In this article, I will give basic description of asymmetric VLAN configuration principles and provide an actual example of a trunk configuration between Allied Telesis and Cisco switches.

Traditionally speaking, L2 switches used to have no ability to switch between VLANs. To transport traffic between two different VLANs you had to route it through an L3 device like an L3 switch or a router. Modern “L2” Cisco switches can route between VLANs with some restrictions though. The key word is “route”. Asymmetric VLANs can help you “switch” between VLANs and between different broadcast domains respectively. The main logical element for understanding asymmetric VLANs is that any switch port can exchange traffic among as many VLANs as wished and be restricted at will.

Let me give you an example. Imagine a switch. The switch has 5 ports. You connect PCs to ports 1-2 and 4-5. A server is connected to port 3. The objective is to restrict traffic between ports 1-2 and 4-5 and allow traffic between port 3 and any other port on the switch. To accomplish the task you have to assign ports 1-2 and 3 to VLAN1, ports 4-5 and 3 to VLAN2, ports 1-5 to VLAN3. The next step is to make sure that frames from network devices will get into appropriate VLANs. You have to use Port VLAN Identifiers for this or PVID for short. Assign PVID1 to ports 1-2, PVID3 to port 3 and PVID2 to ports 4-5.

Refer to the following diagram for better understanding of what I’ve just talked about.

The logic behind this is the following – any frames received on ports 1-2 will be marked with 1 and will be in the same broadcast domain with ports 1-2 and 3. Any frames received on ports 4-5 will be marked 2 and will be in the same broadcast domain with ports 4-5 and 3. Any frames received on port 3 will be marked with 3 and will be in the same broadcast domain with ports 1-2 and 4-5.

VLANs between Cisco 3560 and Allied Telesys AT-GS950

Now let’s get over to the real life example. The lab environment was organised in the following way:

Allied Telesis doesn’t support CLI, so configurations have to be made in web interface primarily. If you save the configuration onto your hard drive you will be able to edit it easily and reupload it back. On our Allied Telesis the web interface appeared to be glitchy – some menu options didn’t open at all no matter what firmware was used. I guess it was because of a faulty hardware or bootloader or whatever.

Allied Telesis 950 VLAN configuration:

In config file it would look like:

Check VLAN 50 status:

To configure PVID go to Bridge – VLAN – Default Port VLAN & CoS:

The web page for PVID configuration didn’t open, so the configuration was saved, edited and reuploaded with the following changes:

VLAN 1 was left untouched:

Cisco VLAN configuration:

!
interface FastEthernet0 / 1
switchport access vlan 50
switchport mode access
!

!
interface Vlan50
ip address 192.168.50.1 255.255.255.0
!

LACP between Cisco 3560 and Allied Telesys AT-GS950

1. Cisco configuration.

2. Allied Telesis configuration.

Go to Bridge – Trunk Config – Trunking (page didn’t open)

Or change the configuration file accordingly:

Check aggregated ports on Allied Telesis:

Check EtherChannel on Cisco:

This is how the configuration file looks like on Allied Telesis 950 switch:

Источник