Лекция 7 - Сегментирование WLAN
.pdfСегментирование
WLAN
•Сегментация беспроводной сети позволяет повысить производительность и защищенность сети, разграничить доступ к разным ресурсам.
•Для того чтобы устройства могли взаимодействовать друг с другом, в их настройках должны быть указаны одинаковые параметры: идентификатор SSID и настройки безопасности
•На двухдиапазонных точках можно задавать разные SSID для беспроводных интерфейсов 2,4 и 5 ГГц.
•Если точка доступа поддерживает функцию Multiple SSID (MultiSSID), то на базе любого ее физического беспроводного интерфейса может быть создано несколько виртуальных интерфейсов, поддерживающих разные SSID и организовать логические группы на основе разных SSID.
•Виртуальные интерфейсы Multi-SSID, созданные на основе физического интерфейса, работают на одном канале.
•Клиенты, подключенные к беспроводным интерфейсам с разными SSID могут передавать данные друг другу в пределах одной точки доступа. Их надо разграничить с использованием VLAN.
1.VLAN – виртуальные локальные сети
VLAN – сегментированные сети, трафик которых (в том числе широковещательный) полностью изолирован от трафика других сегментов.
VLAN строятся на коммутаторах на основе физических LAN.
VLAN позволяют:
•Повысить производительность каждого сегмента сети за счет обработки только домашнего трафика.
•Изолировать сегменты сети друг от друга в целях безопасности и управления правами пользователей.
•Организовать обеспечение QoS на канальном уровне в зависимости от номера VLAN.
Таким образом, можно выделить WLAN-сегмент в отдельный VLAN.
Требования к точкам доступа для организации VLAN
•Поддержка стандарта IEEE 802.1Q:
•Tagging (Маркировка кадра) – процесс добавления информации о принадлежности к 802.1Q VLAN в заголовок кадр
•Untagging (Извлечение тега из кадра) – процесс извлечения информации о принадлежности к 802.1Q VLAN из заголовка кадра.
•VLAN ID (VID) – идентификатор VLAN
•Port VLAN ID (PVID) – идентификатор порта VLAN
Способы организации VLAN
1.Группировка портов – простейший способ: каждому порту коммутатора приписывается номер VLAN, кадры передаются только между портами одной VLAN.
•Плюс: простота реализации
•Минус: подходит только для сетей на одном коммутаторе, так как при переходе к коммутатору более высокого уровня теряется информация о номере VLAN. Решение: коммутатор более низкого уровня целиком принадлежит к одной VLAN.
2.Группировка МАС-адресов. Все МАС-адреса распределены между VLAN, таблицы маршрутизации прописываются системным администратором вручную. Подходит для небольших сетей (админа жалко).
3.С помощью IP – для маршрутизаторов или коммутаторов с поддержкой сетевого уровня. Нумеруются подсети по IP-адресам. Один из самых распространенных способов. Использование маски позволяет упростить работу системного администратора.
Группировка портов:
КОММУТАТОР
VLAN1 VLAN2 VLAN1 VLAN3 VLAN2 VLAN3 VLAN1 VLAN3
коммутатор
Принадлежат одной VLAN!
Пример VLAN на коммутаторах и маршрутизаторах
маршрутизатор
|
коммутатор |
коммутатор |
коммутатор |
|
VLAN2
коммутатор
VLAN1 |
VLAN1 |
Добавление меток виртуальных сетей к кадрам канального уровня (IEEE 802.1/Q). Определены 12 типов назначения меток: для трех типов кадров, двух типов сетей и двух типов меток (явных и неявных)
•Метки добавляются только в кадры, пересылаемые между коммутаторами, к оконечным узлам внутри одной VLAN кадры доставляются без меток.
•Максимальный размер кадра увеличивается на 4 байта:
•Поле идентификатора протокола меток для дальнейшей корректной обработки кадра (2 байта)
•Поле метки (2 байта).
6 |
6 |
2 |
2 |
|
|
|
байт |
байт |
байта |
байта |
|
|
|
|
|
|
|
|
|
|
Адрес |
Адрес |
ID |
Метка |
|
… |
|
протокола |
управление |
|||||
назначения |
источника |
VLAN |
||||
меток |
|
|
||||
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приоритет |
Идентификатор VLAN |
|
|
|
|
3 бита |
12 бит |
|
|
|
Организовывает |
|
|
|
|
|
|
|
|
|
||
8 уровней |
|
|
Уникальный номер |
||
приоритетов |
TR-encapsulation (1 бит), |
||||
VLAN |
|||||
|
|
|
|||
указывает на наличие инкапсулированного кадра другого протокола канального уровня
4.Динамическая регистрация – для оконечных узлов, имеющих права на работу в нескольких VLAN. Основана на протоколе MRP (Multiple Registration Protocol) – протоколе извещения о передвижении оконечного узла (рабочей станции). Позволяет автоматически перестраивать таблицы маршрутизации или коммутации.
•Подходит для использования в беспроводных сетях.
•Является одним из способов организации группового вещания (но не самым лучшим).
Протокол MRP:
Multiple MAC Registration Protocol (MMRP) - для регистрации группы MAC-
адресов в нескольких коммутаторах
Multiple VLAN Registration Protocol (MVRP) - для автоматической конфигурации информации VLAN в коммутаторах
Основывается на IEEE 802.1Q - тегирование трафика в ETH.
Добавление меток в IEEE 802.11