Интернет через Ethernet



              

Подключение пользователей через серверный порт.



Рисунок 6.3. Подключение пользователей через серверный порт.



Подключение пользователей через серверный порт

Логика работы (но не алгоритм) при этом относительно запутанная, и часто зависит от производителя. В большинстве случаев все исходящие кадры (2-го сетевого уровня по модели OSI) пересылаются на единственный серверный порт, и оттуда уходят в сеть передачи данных.

Но надо заметить, что есть варианты устройств, которые пересылают кадры с неизвестным адресом назначения (destination address, DA) на все порты. В случае, если устройство с таким адресом подключено к одному из портов, оно ответит на кадр. Но ответ в этом случае не будет передан "напрямую" через коммутатор, так как он пойдет с адресом назначения, уже известном таблице соответствия коммутатора.

В обратном направлении кадры от пограничного маршрутизатора (или сервера) поступают на серверный порт, который распоряжается ими как обычный неуправляемый коммутатор. Широковещательные отправляет на все порты, кадры с известным адресом назначения (DA) - только адресату.

Очевидно, что полной защиты пользователей друг от друга такая сеть не имеет. Тем не менее, с некоторыми допущениями можно сказать, что с помощью VLAN на основе группировки портов можно построить сеть, в которой абоненты не смогут обмениваться трафиком иначе, чем через сервер (шлюз).

При этом важным становится правильный дизайн сети. Если она сделана как "дерево" из коммутаторов, поддерживающих VLAN на основе группировки портов, то разделение на виртуальные сети хоть и с оговорками, но будет работать. Но если "серверные" порты коммутаторов будут связаны через обычный неуправляемый коммутатор, или хаб - система рушится. То же самое произойдет при неправильной настройке сервера (шлюза).

Пользователи начинают работать друг с другом напрямую, как это бывает, если они находятся в одной сети Ethernet, и о виртуальных сетях не может быть и речи.

К сожалению, у рассмотренного способа образования VLAN есть и еще одно уязвимое место. Недорогие устройства далеко не идеальны, и часто работают по алгоритму, ведомому только производителю.

Часто простота идет в ущерб надежности - как классический пример можно привести образование VLAN с помощью ограничения ARP-запросов (некоторые модели Surecom, Compex). Понятно, что в этом случае пользователь может "прописать" ARP-таблицу вручную, и работать не обращая внимания на VLAN.




Содержание  Назад  Вперед