N. Критерии тегирование трафикаКомпьютер при отправке трафика в сеть даже не догадывается, в каком VLAN'е он размещён. Об этом думает коммутатор. Коммутатор знает, что компьютер, который подключен к определённому порту, находится в соответствующем VLAN'e. Трафик, приходящий на порт определённого VLAN'а, ничем особенным не отличается от трафика другого VLAN'а. Другими словами, никакой информации о принадлежности трафика определённому VLAN'у в нём нет. Однако, если через порт может прийти трафик разных VLAN'ов, коммутатор должен его как-то различать. Для этого каждый кадр (frame) трафика должен быть помечен каким-то особым образом. Пометка должна говорить о том, какому VLAN'у трафик принадлежит. Наиболее распространённый сейчас способ ставить такую пометку описан в открытом стандарте IEEE 802.1Q. Существуют проприетарные протоколы, решающие похожие задачи, например, протокол ISL от Cisco Systems. Настройка управляющего VLAN для обеспечения безопасности и стабильности работы коммутаторов: Общая идея такова: отделить клиентский трафик от трафика управления, чтобы первый не влиял на CPU модуль. Или, другими словами, PVID, установленный на порту, не должен быть равен CPU VLAN ID, в противном случае DSLAM будет открыт для атак извне. Необходимо продумать схему подключения: выбрать vlan для пользователей, например оставить 1, и vlan для управления, например 500. В результате DSLAM-трафик должен выходить тегированным, т.е. в схеме небходимо наличие свича, который поддерживает 802.1q. Т.е. необходимо реализовать инфраструктуру виртуальных локальных сетей. Вот классический пример такой структуры.
[Оф. сайт Zyxel, Cisco ICND1, стр. 235]
|