Лекция 7 - Сегментирование WLAN

•Сегментация беспроводной сети позволяет повысить производительность и защищенность сети, разграничить доступ к разным ресурсам.

•Для того чтобы устройства могли взаимодействовать друг с другом, в их настройках должны быть указаны одинаковые параметры: идентификатор SSID и настройки безопасности

•На двухдиапазонных точках можно задавать разные SSID для беспроводных интерфейсов 2,4 и 5 ГГц.

•Если точка доступа поддерживает функцию Multiple SSID (MultiSSID), то на базе любого ее физического беспроводного интерфейса может быть создано несколько виртуальных интерфейсов, поддерживающих разные SSID и организовать логические группы на основе разных SSID.

•Виртуальные интерфейсы Multi-SSID, созданные на основе физического интерфейса, работают на одном канале.

•Клиенты, подключенные к беспроводным интерфейсам с разными SSID могут передавать данные друг другу в пределах одной точки доступа. Их надо разграничить с использованием VLAN.

Требования к точкам доступа для организации VLAN

•Поддержка стандарта IEEE 802.1Q:

•Tagging (Маркировка кадра) – процесс добавления информации о принадлежности к 802.1Q VLAN в заголовок кадр

•Untagging (Извлечение тега из кадра) – процесс извлечения информации о принадлежности к 802.1Q VLAN из заголовка кадра.

•VLAN ID (VID) – идентификатор VLAN

•Port VLAN ID (PVID) – идентификатор порта VLAN

Способы организации VLAN

1.Группировка портов – простейший способ: каждому порту коммутатора приписывается номер VLAN, кадры передаются только между портами одной VLAN.

•Плюс: простота реализации

•Минус: подходит только для сетей на одном коммутаторе, так как при переходе к коммутатору более высокого уровня теряется информация о номере VLAN. Решение: коммутатор более низкого уровня целиком принадлежит к одной VLAN.

2.Группировка МАС-адресов. Все МАС-адреса распределены между VLAN, таблицы маршрутизации прописываются системным администратором вручную. Подходит для небольших сетей (админа жалко).

3.С помощью IP – для маршрутизаторов или коммутаторов с поддержкой сетевого уровня. Нумеруются подсети по IP-адресам. Один из самых распространенных способов. Использование маски позволяет упростить работу системного администратора.

Группировка портов:

КОММУТАТОР

VLAN1 VLAN2 VLAN1 VLAN3 VLAN2 VLAN3 VLAN1 VLAN3

коммутатор

Принадлежат одной VLAN!

Пример VLAN на коммутаторах и маршрутизаторах

маршрутизатор

VLAN2

коммутатор

Добавление меток виртуальных сетей к кадрам канального уровня (IEEE 802.1/Q). Определены 12 типов назначения меток: для трех типов кадров, двух типов сетей и двух типов меток (явных и неявных)

•Метки добавляются только в кадры, пересылаемые между коммутаторами, к оконечным узлам внутри одной VLAN кадры доставляются без меток.

•Максимальный размер кадра увеличивается на 4 байта:

•Поле идентификатора протокола меток для дальнейшей корректной обработки кадра (2 байта)

•Поле метки (2 байта).

указывает на наличие инкапсулированного кадра другого протокола канального уровня

4.Динамическая регистрация – для оконечных узлов, имеющих права на работу в нескольких VLAN. Основана на протоколе MRP (Multiple Registration Protocol) – протоколе извещения о передвижении оконечного узла (рабочей станции). Позволяет автоматически перестраивать таблицы маршрутизации или коммутации.

•Подходит для использования в беспроводных сетях.

•Является одним из способов организации группового вещания (но не самым лучшим).

Протокол MRP:

Multiple MAC Registration Protocol (MMRP) - для регистрации группы MAC-

адресов в нескольких коммутаторах

Multiple VLAN Registration Protocol (MVRP) - для автоматической конфигурации информации VLAN в коммутаторах

Основывается на IEEE 802.1Q - тегирование трафика в ETH.

Добавление меток в IEEE 802.11