Виртуальные локальные сети (VLAN)

Оглавление

Виртуальная локальная сеть (VLAN) - это группа ПК, серверов и других сетевых ресурсов, трафик которой на канальном уровне полностью изолирован от других узлов. Это означает, что непосредственная передача кадров между разными виртуальными сетями невозможна, независимо от типа адреса. Внутри виртуальной сети кадры передаются в соответствии с технологией коммутации, т. е. только на тот порт, к которому приписан адрес назначения кадра.

Физически сеть находятся в различных сегментах, но логически связана друг с другом. Распределенный по зданию персонал отдела объединенный в отдельную VLAN для совместного использования ресурсов, использует его как будто он подключен к одному общему сетевому сегменту.

Логическая группировка сетевых ресурсов в виртуальных локальных сетях освобождает сетевых администраторов от ограничений существующей сетевой топологии и кабельной инфраструктуры, и упрощает администрирование.

Преимущества:

• Гибкая сегментация: Деление сети посредством сегментации более эффективно ограничивает распространение трафика между отдельными узлами по всей сети. Пользователи и ресурсы, наиболее часто взаимодействующие друг с другом, могут быть сгруппированы в общую виртуальную сеть, независимо от физического местоположения. Трафик каждой группы пользователей в значительной степени содержится в пределах виртуальных сетей, сокращая посторонний трафик в основной магистрали и улучшая производительность всей сети в целом.
• Администрирование: Виртуальные сети на основе управляемого ПО не требуют изменения существующей топологии и посещения комнат с коммуникационным оборудованием. Логические группировки позволяют быстро и легко изменять и реорганизовывать структуру сети с управляющей рабочей станции администратора сети.
• Увеличение производительности: Виртуальные сети освобождают полосу пропускания в основной магистрали, ограничивая широковещательный трафик от распространения по всей сети.
• Более эффективное использование ресурсов сервера: Сетевой серверный адаптер с поддержкой VLAN, может принадлежать многим VLANs, что уменьшает потребность в маршрутизации трафика к серверу и от него.
• Расширение мер безопасности: Виртуальные сети создают виртуальные границы, которые могут пересекаться только при прохождении через маршрутизатор. Таким образом стандартные технологии защиты, применяемые в маршрутизаторах, могут использоваться для ограничения доступа к различным виртуальным сетям.

Виртуальные сети:

На основе порта (Port-based VLANs) - В этом случае администратор назначает каждый порт коммутатора, принадлежащим VLAN. Например, порты 1-3 могут быть назначены для VLAN отдела 1 (см. рисунок выше), порты 4-6 для VLAN разработчиков и порты 7-9 для VLAN сетевого администрирования. Коммутатор определяет к какому VLAN принадлежит каждый пакет, учитывая порт, в который он прибыл. Когда компьютер пользователя подключается к другому порту коммутатора, администратор сети может просто переназначать новый порт для старого VLAN, к которому принадлежал пользователь. В этом случае сетевые изменения полностью прозрачны для пользователя и администратору не нужно изменять топологию сети. Однако, этот метод имеет один существенный недостаток: если концентратор подключен к порту коммутатора, все пользователи, подключенные к нему должны принадлежать тому же VLAN. Этот недостаток устраняется, если использовать Switch.

На основе MAC адреса (MAC address-based VLANs) - В этом случае принадлежность пакета к VLAN определяется MAC адресом источника или приемника. Каждый коммутатор поддерживает таблицу MAC адресов и их соотношение с VLAN. Ключевое преимущество этого метода состоит в том, что не требуется переконфигурация коммутатора при переподключении пользователей к различным портам. Однако, присвоение MAC адресов VLAN может потребовать значительных временных затрат, а также присвоение отдельных MAC адресов нескольким VLAN может быть непростой задачей. Это может быть существенным ограничением для совместного использования ресурсов сервера между несколькими VLAN. (Хотя MAC адрес теоретически может быть присвоен множеству VLAN, это может вызывать серьезные проблемы с существующей маршрутизацией и ошибки, связанные с таблицами пересылки пакетов в коммутаторе.)

На основе протокола (Protocol-based VLANs) - Этот метод определяет членство пакета в VLAN на основе протоколов (IP, IPX, Netbios, и т.д.) и адреса 3-го уровня. Это наиболее гибкий метод, который обеспечивает наиболее гибкую группировку пользователей. Например, свой собственный номер VLAN может быть присвоен IP подсети или сети IPX. Дополнительно, этот метод позволяет администратору назначать VLAN для немаршрутизирующих протоколов, типа Netbios или DECNET. Существует другое важное различие между методами определения принадлежности VLAN, когда пакет передается между коммутаторами. Применяются два способа - неявный (implicit) и явный (explicit).

• Implicit - Принадлежность к VLAN определяется MAC адресом. В этом случае, все коммутаторы, которые поддерживают определенный VLAN должны совместно использовать таблицу MAC адресов, принадлежащих VLAN.
• Explicit - Принадлежность к VLAN определяется тэгом, который добавлен к пакету. Этот метод используется в Cisco ISL и IEEE 802.1q VLAN specifications. Когда пакет попадает от рабочей станции в порт коммутатора, его принадлежность к VLAN может определяться на основе порта, MAC адреса или протокола. Когда пакет отправляется к другим коммутаторам, его принадлежность к VLAN может быть неявной (при использовании MAC адреса) или явной (при использование тэга, который был добавлен первым коммутатором). VLAN на основе порта или протокола, как правило используют метки. VLAN на основе MAC адресов почти всегда используют неявный метод.

Предыдущий

Следующий