Віртуальні локальні мережі VLAN

30.09.2015

Віртуальні локальні мережі VLAN

Віртуальна мережа являє собою комутовану мережу, в якій виконано логічне сегментування по виконуваним функціям, використовуваних додатків або за належністю користувачів до певного відділу, незалежно від їх фізичного розташування комп’ютерів. Кожен порт комутатора може бути включений у віртуальну мережу. Всі порти, включені в одну віртуальну мережу, беруть широкомовні повідомлення у її межах, в той час як порти, в неї не включені, цих повідомлень не приймають. Розрізняються три способи реалізації віртуальних мереж, які можуть бути використані для включення портів комутаторів у віртуальну мережу: з центральним портом, статичний і динамічний.

Статична віртуальна мережа (static VLAN) являє собою сукупність портів комутатора, статично об’єднаних у віртуальну мережу. Ці порти підтримують визначену конфігурацію до тих пір, поки вона не буде змінено адміністратором. Хоча для внесення змін статичні віртуальні мережі вимагають втручання адміністратора, до їх достоїнств можна віднести високий рівень безпеки, легкість конфігурування і можливість безпосереднього спостереження за роботою мережі.

Динамічні віртуальні мережі (dynamic VLAN) являють собою логічне об’єднання портів комутатора, які можуть автоматично визначати своє розташування у віртуальній мережі. Функціонування динамічної віртуальної мережі ґрунтується на МАС — адресах, на логічної адресації або на типі протоколу пакетів даних. Основними перевагами такого підходу є зменшення об’єму робіт при додаванні нового користувача або при переїзді вже існуючого і централізоване повідомлення всіх користувачів при додаванні в мережу невпізнаного користувача. Основна робота в цьому випадку полягає у встановленні бази даних програмне забезпечення управління віртуальною мережею і в підтриманні її актуальності.

Віртуальні мережі з угрупованням портів (port-based VLAN)

Віртуальні локальні мережі VLAN
У цьому випадку адміністратор призначає кожен порт комутатора належить VLAN. Наприклад, порти 1-3 можуть бути призначені для VLAN відділу продажів, порти 4-6 для VLAN розробників і порти 7-9 для VLAN мережевого адміністрування. Комутатор визначає, до якого VLAN належить кожен пакет, враховуючи порт, до якого він прибув.

Коли комп’ютер підключається до іншого порту комутатора, адміністратор мережі може просто перепризначувати новий порт для старого VLAN, до якого належав користувач. У цьому випадку мережеві зміни повністю прозорі для користувача і адміністратора не потрібно змінювати топологію мережі. Однак, цей метод має один істотний недолік, якщо концентратор підключений до порту комутатора, всі користувачі, підключені до нього повинні належати до того ж VLAN.

Отже, таке рішення неприйнятне при використанні концентраторів або в мережах c потужними серверами, до яких звертається багато користувачів (сервер не вдасться включити в різні VLAN). Крім того, віртуальні мережі на основі портів не дозволяють вносити в мережу зміни досить простим шляхом, оскільки при кожному зміні потрібна фізична перемикання пристроїв.

Віртуальні локальні мережі VLAN
У віртуальних мережах з угрупованням портів всі вузли віртуальної мережі підключені до одного і того ж інтерфейсу маршрутизатора. На малюнку показано сімейство користувачів віртуальної мережі, підключених до порту маршрутизатора. Таке підключення полегшує роботу адміністратора і підвищує ефективність роботи мережі, оскільки:

1) у віртуальній мережі легко виконуються адміністративні дії;

2) підвищується безпека при обміні інформацією між віртуальними мережами; пакети не «просочуються» в інші домени.

У найпростішому випадку пристрій, що має лише один мережний інтерфейс, може бути включено тільки в один VLAN. Для включення мережного пристрою в кілька VLAN воно повинно мати кілька мережних адаптерів.

IEEE 802.1 Q стандарт в рамках специфікації port-based VLAN передбачає взаємодію з пристроями, що не підтримують інкапсуляцію 802.1 q. Згідно цієї специфікації, кожен тип фрэймов призначається різних VLAN. Спочатку всі порти комутатора належать VLAN з ідентифікатором мережі port VLAN ID (PVID).

PVID має числове значення за умовчанням 1. Всі фрейми, які не мають мітки VLAN, які генеруються не підтримує VLAN пристроями, ідентифікуються як належні VLAN c PVID. Якщо кадр генерується пристроєм з підтримкою VLAN, то він містить тег VLAN, в якому прописаний VLAN ID (VID). Кожен порт комутатора може мати один або кілька VID. Коли кадр надходить на порт комутатора, він ідентифікується по його VID. Комутатор переглядає таблицю VLAN і пересилає кадр на порти, які мають той же VID.

Віртуальні локальні мережі VLAN

У прикладі на малюнку кадр без тега, що надходить від пристрою на порту 0, ідентифікується як належить VLAN c PVID=1 і пересилається на порт 1, що має той же PVID. Якщо від пристрою на порту 1 надійде кадр з VID=2, він буде переданий на порти 0 і 3.

Віртуальні мережі на основі MAC адреси (MAC address-based VLAN)

На основі MAC адреси (MAC address-based VLAN) — в цьому випадку приналежність до пакету VLAN визначається MAC адресою джерела або приймача. Кожен комутатор підтримує таблиці MAC адрес і їх співвідношення з VLAN. Ключова перевага цього методу полягає в тому, що не потрібно переконфігурація комутатора при перепідключенні користувачів до різних портів. Однак, привласнення MAC адрес VLAN може вимагати значних часових затрат, а також привласнення окремих MAC адрес кільком VLAN може бути непростим завданням. Це може бути істотним обмеженням для спільного використання ресурсів сервера між кількома VLAN. (Хоча MAC адресу теоретично може бути присвоєно безлічі VLAN, це може викликати серйозні проблеми з існуючою маршрутизацією і помилки, пов’язані з таблицями пересилання пакетів в комутаторі.)

Як правило, для створення такої мережі виробник обладнання передбачає наявність керуючого програмного забезпечення для управління мережею.

Взаємодія між VLAN може здійснюватися 2-ма способами. У першому пристрій повинен бути встановлений додатковий мережевий адаптер і асоційований з іншою мережею. Цей спосіб неприйнятний при великій кількості пристроїв, що включаються в кілька VLAN. У другому випадку для об’єднання мереж використовується маршрутизатор. Однак у цьому випадку є обмеження. Маршрутизатор повинен мати окремий порт для кожної VLAN. При цьому не можна об’єднати мережі в одному сегменті, так як маршрутизатор працює на 3-му рівні моделі OSI.

Віртуальні мережі мережевого рівня

При використанні іншого підходу комутатори мають для утворення віртуальної мережі розуміти який-небудь мережевий протокол. Такі комутатори називають комутатори 3-го рівня, так як вони поєднують функції комутації та маршрутизації. Кожна віртуальна мережа отримує певний мережевий адресу — як правило, IP або IPX.

Тісна інтеграція комутації і маршрутизації дуже зручна для побудови віртуальних мереж, так як в цьому випадку не потрібне введення додаткових полів кадри. До того ж адміністратор тільки одноразово визначає мережі, а не повторює цю роботу на канальному та мережному рівнях. Приналежність кінцевого вузла до тієї чи іншої віртуальної мережі в цьому випадку задається традиційним способом — з допомогою завдання мережевої адреси. Порти комутатора також отримують мережеві адреси, причому можуть підтримуватися нестандартні для класичних маршрутизаторів ситуації, коли один порт може мати кілька мережевих адрес, якщо через нього проходить трафік декількох віртуальних мереж, або кілька портів мають один і той же адресу мережі, якщо вони обслуговують одну і ту ж віртуальну мережу.

При передачі кадрів у межах однієї і тієї ж віртуальної мережі комутатори 3-го рівня працюють як класичні комутатори 2-го рівня, а при необхідності передачі кадру з однієї віртуальної мережі в іншу — як маршрутизатори. Рішення про маршрутизації зазвичай приймається традиційним способом — його робить кінцевий вузол, коли бачить на основі мережевих адрес джерела і призначення, що кадр потрібно відіслати в іншу мережу.

Однак, використання мережевого протоколу для побудови віртуальних мереж обмежує область їх застосування тільки комутатори 3-го рівня і вузлами, що підтримують мережевий протокол. Звичайні комутатори не зможуть підтримувати такі віртуальні мережі і це є великим недоліком. За бортом також залишаються мережі на основі не маршрутизуються протоколів, в першу чергу мережі NetBIOS.

В рамках даних розрізняють мережі VLAN на базі підмереж, на базі протоколів, і на базі правил.

Віртуальні мережі на базі підмереж

В якості прикладу такої організації VLAN можна привести мережу, де одна підмережа, скажімо класу C з адресацією 198.78.55.0/24 відповідає однієї VLAN, друга підмережа класу C 198.78.42.0/24 відповідає другий VLAN.

Недолік даного способу полягає в тому, що якщо комутатор не підтримує кілька IP-підмереж на одному порту, для переміщення в іншу VLAN потрібна фізична перемикання робочої станції.

Віртуальні мережі на базі мережевого протоколу

Віртуальні ЛВС мережевого рівня дозволяють адміністратору зв’язати трафік для того або іншого протоколу відповідної віртуальної мережі. Точно таким же способом створюються широкомовні домени в мережах на основі маршрутизаторів. Протокол може бути заданий у формі IP-підмережі або мережного номера IPX. Можна, наприклад, об’єднати у віртуальну ЛВС всіх користувачів підмережі, яка була організована до використання комутаторів.

В якості прикладу можна привести мережу, де пристрої, що підтримують тільки IP протокол, перебувають у однієї VLAN, що підтримують тільки протокол IPX – у другій VLAN, і той і інший протокол — знаходяться в обох мережах.

Віртуальні мережі на базі правил

Для включення пристроїв до віртуальних ЛВС можна використовувати всі перераховані вище способи за умови їх підтримки комутаторами. Після того, як правила завантажені у всі комутатори, вони забезпечують організацію VLAN на основі заданих адміністратором критеріїв. Оскільки в таких мережах кадри постійно переглядаються на предмет відповідності заданим критеріям, приналежність користувача до віртуальних мереж може змінюватися в залежності від поточної діяльності користувачів.

Віртуальні ЛОМ на основі правил використовують широкий набір критеріїв приналежності до мережі, включаючи всі перераховані вище варіанти: MAC-адреси, адреси мережевого рівня, тип протоколу і т. д. Можливо також використовувати будь-які комбінації критеріїв для створення правил, найбільш точно відповідають вашим завданням.

Якщо Вам сподобалася стаття, проголосуйте за неї

Голосів. 7 Голосувати Віртуальні локальні мережі VLAN

Короткий опис статті: комутатор 3 рівня Стаття присвячена віртуальних локальних мереж (Virtual Local Area Networks). У статті розглядається класифікація мереж VLAN, а так само способи побудови мереж VLAN, такі як мережі на базі підмереж, мережі на базі мережевого протоколу, мережі на базі правил, віртуальні мережі на базі MAC адреси.

Джерело: Віртуальні локальні мережі VLAN

Також ви можете прочитати