Виртуальные локальные сети

остальные услуги:

беспроводные сети

VPN объединение локальных сетей

решения для операторов связи

виртуальные локальные сети (VLAN)

решения с PoE

Виртуальная локальная сеть (VLAN) - это группа ПК, серверов и других сетевых ресурсов, которые физически находятся в различных сегментах, но логически связаны друг с другом. Распределенный по зданию персонал подразделения может быть объединен в отдельный VLAN для совместного использования ресурсов и полосы пропускания, как будто он подключен к одному общему сетевому сегменту.

Логическая группировка сетевых ресурсов в виртуальные локальные сети освобождает сетевых администраторов от ограничений существующей сетевой топологии и кабельной инфраструктуры, и упрощает администрирование.

Преимущества

Гибкая сегментация: Деление сети посредством сегментации более эффективно ограничивает распространение трафика между отдельными узлами по всей сети. Пользователи и ресурсы, наиболее часто взаимодействующие друг с другом, могут быть сгруппированы в общую виртуальную сеть, независимо от физического местоположения. Трафик каждой группы пользователей в значительной степени содержится в пределах виртуальных сетей, сокращая посторонний трафик в основной магистрали и улучшая производительность всей сети в целом.

Администрирование: Виртуальные сети на основе ПО не требуют изменения существующей топологии и посещения комнат с коммуникационным оборудованием. Логические группировки позволяют быстро и легко изменять и реорганизовывать структуру сети с управляющей рабочей станции администратора сети.

Увеличение производительности: Виртуальные сети освобождают полосу пропускания в основной магистрали, ограничивая широковещательный трафик от распространения по всей сети.

Более эффективное использование ресурсов сервера: Сетевой серверный адаптер с поддержкой VLAN, может принадлежать многим VLANs, что уменьшает потребность в маршрутизации трафика к серверу и от него.

Расширение мер безопасности: Виртуальные сети создают виртуальные границы, которые могут пересекаться только при прохождении через маршрутизатор. Таким образом стандартные технологии защиты, применяемые в маршрутизаторах, могут использоваться для ограничения доступа к различным виртуальным сетям.

Виртуальные сети

На основе порта (Port-based VLANs) -

В этом случае администратор назначает каждый порт коммутатора, принадлежащим VLAN. Например, порты 1-3 могут быть назначены для VLAN отдела продаж, порты 4-6 для VLAN разработчиков и порты 7-9 для VLAN сетевого администрирования. Коммутатор определяет к какому VLAN принадлежит каждый пакет, учитывая порт, в который он прибыл.

Когда компьютер пользователя подключается к другому порту коммутатора, администратор сети может просто переназначать новый порт для старого VLAN, к которому принадлежал пользователь. В этом случае сетевые изменения полностью прозрачны для пользователя и администратору не нужно изменять топологию сети. Однако, этот метод имеет один существенный недостаток, если концентратор подключен к порту коммутатора, все пользователи, подключенные к нему должны принадлежать тому же VLAN.

На основе MAC адреса (MAC address-based VLANs) -

В этом случае принадлежность пакета к VLAN определяется MAC адресом источника или приемника. Каждый коммутатор поддерживает таблицу MAC адресов и их соотношение с VLAN. Ключевое преимущество этого метода состоит в том, что не требуется переконфигурация коммутатора при переподключении пользователей к различным портам. Однако, присвоение MAC адресов VLAN может потребовать значительных временных затрат, а также присвоение отдельных MAC адресов нескольким VLAN может быть непростой задачей. Это может быть существенным ограничением для совместного использования ресурсов сервера между несколькими VLAN. (Хотя MAC адрес теоретически может быть присвоен множеству VLAN, это может вызывать серьезные проблемы с существующей маршрутизацией и ошибки, связанные с таблицами пересылки пакетов в коммутаторе.)

На основе протокола (Protocol-based VLANs) -

Этот метод определяет членство пакета в VLAN на основе протоколов (IP, IPX, Netbios, и т.д.) и адреса 3-го уровня. Это наиболее гибкий метод, который обеспечивает наиболее логическую группировку пользователей. Например, свой собственный VLAN может быть присвоен IP подсети или сети IPX. Дополнительно, этот метод позволяет администратору назначать VLAN для немаршрутизирующих протоколов, типа Netbios или DECNET.

Существует другое важное различие между методами определения принадлежности VLAN, когда пакет передается между коммутаторами. Применяются два способа - неявный (implicit) и явный (explicit).

Implicit -

Принадлежность к VLAN определяется MAC адресом. В этом случае, все коммутаторы, которые поддерживают определенный VLAN должны совместно использовать таблицу MAC адресов, принадлежащих VLAN.

Explicit -

Принадлежность к VLAN определяется тэгом, который добавлен к пакету. Этот метод используется в Cisco ISL и IEEE 802.1q VLAN specifications.

Когда пакет попадает от рабочей станции в порт коммутатора, его принадлежность к VLAN может определяться на основе порта, MAC адреса или протокола. Когда пакет отправляется к другим коммутаторам, его принадлежность к VLAN может быть неявной (при использовании MAC адреса) или явной (при использование тэга, который был добавлен первым коммутатором). VLAN на основе порта или протокола, как правило используют явное тэгирование. VLAN на основе MAC адресов почти всегда используют неявный метод.

Назначение VLAN

Создание VLAN позволяет повысить производительность каждой из них и изолировать сети друг от друга.

Kроме своего основного назначения — повышения пропускной способности соединений в сети — коммутатор позволяет локализовать потоки информации, а также контролировать эти потоки и управлять ими с помощью механизма пользовательских фильтров. Однако пользовательский фильтр способен воспрепятствовать передаче кадров лишь по конкретным адресам, тогда как широковещательный трафик он передает всем сегментам сети. Таков принцип действия реализованного в коммутаторе алгоритма работы моста, поэтому сети, созданные на основе мостов и коммутаторов, иногда называют плоскими — из-за отсутствия барьеров на пути широковещательного трафика.

Появившаяся несколько лет тому назад, технология виртуальных локальных сетей (Virtual LAN, VLAN) позволяет преодолеть указанное ограничение.

Назначение VLAN

Технология VLAN облегчает процесс создания изолированных сетей, связь между которыми осуществляется с помощью маршрутизаторов с поддержкой протокола сетевого уровня, например IP. Такое решение создает гораздо более мощные барьеры на пути ошибочного трафика из одной сети в другую. Сегодня считается, что любая крупная сеть должна включать маршрутизаторы, иначе потоки ошибочных кадров, в частности широковещательных, через прозрачные для них коммутаторы будут периодически «затапливать» ее целиком, приводя в неработоспособное состояние.

Технология виртуальных сетей предоставляет гибкую основу для построения крупной сети, соединенной маршрутизаторами, так как коммутаторы позволяют создавать полностью изолированные сегменты программным путем, не прибегая к физической коммутации.

До появления технологии VLAN для развертывания отдельной сети использовались либо физически изолированные отрезки коаксиального кабеля, либо не связанные между собой сегменты на базе повторителей и мостов.

Типы VLAN.

В коммутаторах могут использоваться три типа VLAN:

1. VLAN на базе портов

2. VLAN на базе MAC-адресов.

3. VLAN на основе меток в дополнительном поле кадра – стандарт

IEEE 802.1q

VLAN на базе портов

При использовании VLAN на базе портов, каждый порт назначается в определенную VLAN, независимо от того, какой пользователь или компьютер подключен к этому порту. Это означает, что все пользователи, подключенные к этому порту, будут членами одной VLAN.

Конфигурация портов статическая и может быть изменена только вручную.

Основные характеристики:

1. Применяются в пределах одного коммутатора. Если необходимо организовать несколько рабочих групп в пределах небольшой сети на основе одного коммутатора, например, необходимо разнести технический отдел и отдел продаж, то решение VLAN на базе портов оптимально подходит для данной задачи.

2. Простота настройки. Создание виртуальных сетей на основе группирования портов не требует от администратора большого объема ручной работы – достаточно каждому порту, находящемуся в одной VLAN, присвоить один и тот же идентификатор VLAN (VLAN ID) .

3. Возможность изменения логической топологии сети без физического перемещения станций – достаточно всего лишь изменить настройки порта, с одной VLAN (например, VLAN технического отдела) на другую (VLAN отдела продаж) и рабочая станция сразу же получает возможность совместно использовать ресурсы с членами в новой VLAN. Таким образом, VLAN обеспечивают гибкость при перемещениях, изменениях и наращивании сети.

4. Каждый порт может входить только в один VLAN. Поэтому для объединения виртуальных подсетей – как внутри одного коммутатора, так и между двумя коммутаторами, нужно использовать сетевой уровень. Один из портов каждого VLAN подключается к интерфейсу маршрутизатора, который создает таблицу маршрутизации для пересылки пакетов из одной подсети в другую (IP адреса подсетей должны быть разными).

Недостатком такого решения является то, что один порт каждого VLAN’а необходимо подключать к маршрутизатору, при этом порты и кабели используются очень расточительно, плюс затраты на маршрутизатор. Решить данную проблему можно двумя способами: во-первых, использовать коммутаторы, которые на основе фирменного решения позволяют включать порт в несколько VLAN. Второе решение заключается в использовании коммутаторов 3-го уровня.

VLAN на базе MAC-адресов

Следующий способ, который используется для образования виртуальных сетей, основан на группировке МАС-адресов. При существовании в сети большого количества узлов этот способ требует выполнения большого количества ручных операций от администратора. Однако он оказывается более гибким при построении виртуальных сетей на основе нескольких коммутаторов, чем способ группировки портов. Группирование МАС-адресов в сеть на каждом коммутаторе избавляет от необходимости их связи несколькими портами, однако, требует выполнения большого количества ручных операций по маркировке МАС-адресов на каждом коммутаторе сети. Широковещательные домены на базе MAC-адресов, позволяют физически перемещать станцию (подключать к любому порту коммутатора), позволяя оставаться ей в одном и том же широковещательном домене без каких-либо изменений в настройках конфигурации Настройка виртуальной сети на основе MAC-адресов может отнять много времени - представьте себе, что вам потребуется связать с VLAN адреса 1000 устройств. Кроме того, MAC-адреса “наглухо зашиты” в оборудование, и может потребоваться много времени на выяснение адресов устройств в большой, территориально распределенной сети.

VLAN на базе меток – стандарт 802.1q

Описанные два подхода основаны только на добавлении дополнительной информации к адресным таблицам моста и не используют возможности встраивания информации о принадлежности кадра к виртуальной сети в передаваемый кадр. Метод организации VLAN на основе меток – тэгов, использует дополнительные поля кадра для хранения информации о принадлежности кадра при его перемещениях между коммутаторами сети. Стандарт IEEE 802.1q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети. К кадру Ethernet добавлены четыре байта. Первые 2 байта с фиксированным значение 0х8100 определяют, что кадр содержит тег протокола 802.1q/802.1p. Остальные 2 байта содержат следующую информацию:

- 3 бита приоритета передачи кодируют до восьми уровней приоритета (от 0 до 7, где

7-наивысший приоритет), которые используются в стандарте 802.1р;

- 1 бит Canonical Format Indicator (CFI), который зарезервирован для обозначения

кадров сетей других типов (Token Ring, FDDI), передаваемых по магистрали Ethernet;

- 12-ти битный идентификатор VLAN, определяющий, какой VLAN принадлежит

трафик.

С точки зрения удобства и гибкости настроек, VLAN на основе меток является лучшим решением. Основные преимущества:

1. Гибкость и удобство в настройке и изменении – можно создавать необходимые комбинации VLAN как в пределах одного коммутатора, так и во всей сети, построенной на коммутаторах с поддержкой стандарта 802.1q. Способность добавления меток позволяет VLAN распространяться через множество 802.1q- совместимых коммутаторов по одному физическому соединению.

2. Позволяет активизировать алгоритм покрывающего дерева (Spanning Tree) на всех портах и работать в обычном режиме. Протокол Spanning Tree оказывается весьма полезным для применения в крупных сетях, построенных на нескольких коммутаторах и позволяет коммутаторам автоматически определять древовидную конфигурацию связей в сети при произвольном соединении портов между собой. Для нормальной работы коммутатора требуется отсутствие замкнутых маршрутов в сети. Эти маршруты могут создаваться администратором специально для образования резервных связей или же возникать случайным образом, что вполне возможно, если сеть имеет многочисленные связи, а кабельная система плохо структурирована или документирована. С помощью протокола Spanning Tree коммутаторы после построения схемы сети блокируют избыточные маршруты, т.о., автоматически предотвращается возникновение петель в сети.

3. Способность VLAN 802.1q добавлять и извлекать метки из заголовков пакетов позволяет VLAN работать с коммутаторами и сетевыми адаптерами серверов и рабочих станций, которые не распознают метки.

4. Устройства разных производителей, поддерживающие стандарт могут работать вместе, т.е. не зависимо от какого-либо фирменного решения.

5. Не нужно применять маршрутизаторы, чтобы связать подсети на сетевом уровне, достаточно включить нужные порты в несколько VLAN для возможности обмена трафиком. Например, для обеспечения доступа к серверу из различных VLAN, нужно включить порт коммутатора, к которому подключен сервер во все подсети. Единственное ограничение – сетевой адаптер сервера должен поддерживать стандарт IEEE 802.1q.

В силу указанных свойств, VLAN на базе тэгов используются на практике гораздо чаще

остальных типов, поэтому остановимся подробно на принципах работы такой схемы и

вариантов, которые можно с ее помощью организовать.

Существуют два основных понятия для понимания IEEE 802.1q VLAN:

1. VLAN-идентификатор порта – Port VLAN ID (PVID)

2. Номер VLAN ID (VID)

PVID определят, в какую VLAN коммутатор направит немаркированный пакет с подключенного к порту сегмента, когда пакет нужно передать на другой порт. С другой

стороны, пользователь может определить порт, как входящий в несколько VLAN, позволяя

сегменту, подключенному к данному порту принимать маркированные пакеты от нескольких VLAN в сети. В этом случае, для дальнейшей обработки пакета используется поле VID в кадре Ethernet, определяющее, в какую VLAN будет отправлен этот пакет. Таким

образом, эти два параметра контролируют способность порта принимать и передавать VLAN- трафик и различия между ними обеспечивают сегментацию сети с одновременным сохранением возможности получать доступ к общим сетевым ресурсам из различных VLAN.

Протокол 802.1х

Наиболее безопасным средством контроля подключения к сети в настоящее время является использование протокола 802.1x. Протокол 802.1х предназначен для аутентификации устройства, подключаемого к локальной сети. Первоначально он был разработан для беспроводных сетей, но впоследствии стал применяться и для контроля устройств, подключаемых к проводным сегментам.

Принципы подключения, описываемые в стандарте, достаточно просты. Первоначально порт, к которому подключается устройство, находится в отключенном состоянии и может пропускать только пакеты процесса аутентификации (эти пакеты передаются между подключаемым устройством и службой аутентификации). Подключаемое устройство можно идентифицировать как по его параметрам (например, по заранее известному МАС-адресу или сохраненному сертификату), так и по данным пользователя (в этом случае порт будет открыт после входа пользователя в операционную систему). В качестве службы аутентификации используется RADIUS. После получения подтверждения от RADIUS порт открывается для передачи информации в обоих направлениях.

В процессе аутентификации могут быть использованы различные технологии Подтверждения устройства. Наиболее безопасным считаются идентификации На основе сертификатов.

Поскольку протокол 802.1x изначально предназначался для беспроводных сетей, администраторам необходимо учитывать некоторые особенности его реализации в ЛВС.

Протокол 802.1x следует использовать только на портах подключения конечных устройств. Применить его на уровне распределения и выше невозможно.

Наши рекомендации