Виртуальные локальные сети (VLAN)
В соответствии с логикой работы алгоритма прозрачного моста коммутатор рассылает широковещательные кадры через все порты (за исключением порта-приемника такого кадра). Таким образом, все устройства сети, построенной на коммутаторах, находятся в одном широковещательном домене. Широковещательный домен – это область распространения широковещательных кадров. Широковещательные кадры используются при работе многих сетевых протоколов, таких как ARP или DHCP. Большой объем широковещательных кадров в сети, особенно крупной, приводит к нерациональному использованию полосы пропускания. Проблема ограничения распространения широковещательного трафика в сетях, построенных на коммутаторах, решается с помощью технологии виртуальных локальных сетей (Virtual LAN, VLAN).
Рис. 6.22 Широковещательный домен
Виртуальной локальной сетью называется логическая группа узлов сети, трафик которой, в том числе и широковещательный, полностью изолирован от других узлов сети на канальном уровне. Это означает, что передача кадров между разными виртуальными сетями на основании MAC-адреса невозможна независимо от типа адреса – индивидуального, группового или широковещательного. В то же время внутри виртуальной сети кадры передаются по технологии коммутации, то есть только на тот порт, который связан с МАС-адресом назначения кадра. Таким образом, с помощью виртуальных сетей решается проблема распространения широковещательных кадров и вызываемых ими следствий, которые могут развиться в широковещательные штормы и существенно снизить производительность сети.
VLAN обладают следующими преимуществами:
● гибкость внедрения – VLAN являются эффективным способом группировки сетевых пользователей в виртуальные рабочие группы независимо от их физического размещения в сети;
● ограничивают распространение широковещательного трафика, что увеличивает полосу пропускания, доступную для пользователя;
● позволяют повысить безопасность сети, определив с помощью фильтров, настроенных на коммутаторе или маршрутизаторе, политику взаимодействия пользователей из разных виртуальных сетей.
Рассмотрим пример, показывающий эффективность использования логической сегментации сетей с помощью технологии VLAN при решении типовой задачи организации доступа в Интернет сотрудникам офиса, при условии изоляции трафика разных отделов.
Предположим, что в офисе находится несколько кабинетов, в каждом из которых располагается некоторое количество сотрудников. Каждый кабинет представляет собой отдельную рабочую группу.
При стандартном подходе к решению задачи с помощью физической сегментации трафика каждого отдела потребовалось бы в каждый кабинет устанавливать отдельный коммутатор, подключаемый к маршрутизатору, предоставляющему подключение в Интернет. При этом маршрутизатор должен обладать достаточным количеством портов, обеспечивающим возможность подключения всех физических сегментов (кабинетов) сети. Данное решение является плохо масштабируемым и дорогостоящим, так как при увеличении количества отделов, увеличивается количество необходимых коммутаторов, интерфейсов маршрутизатора и магистральных кабелей.
Рис. 6.23 Физическая сегментация сети
При использовании виртуальных локальных сетей не требуется подключать пользователей одного отдела к отдельному коммутатору, что позволяет сократить количество используемых устройств и магистральных кабелей. Коммутатор, программное обеспечение которого поддерживает функцию виртуальных локальных сетей, позволяет выполнять логическую сегментацию сети путем соответствующей программной настройки. Благодаря этому можно подключать компьютеры, находящиеся в разных сегментах сети, к одному коммутатору, а также сократить количество необходимых физических интерфейсов на маршрутизаторе.
Рис. 6.24 Логическая группировка сетевых пользователей в VLAN
Типы VLAN
В коммутаторах могут быть реализованы следующие типы VLAN:
● на основе портов;
● на основе стандарта IEEE 802.1Q;
● на основе стандарта IEEE 802.1ad (Q-in-Q VLAN);
● на основе портов и протоколов IEEE 802.1v;
● на основе MAC-адресов;
● асимметричные.
Также для сегментации сети на канальном уровне модели OSI в коммутаторах могут использоваться другие функции, например Traffic Segmentation. В данном курсе будут рассмотрены VLAN на основе портов и VLAN на основе стандарта IEEE 802.1Q. Изучить принципы работы VLAN на основе стандарта IEEE 802.1ad, портов и протоколов IEEE 802.1v можно в курсе «Технологии коммутации и маршрутизации современных сетей Ethernet. Базовый курс D-Link».
VLAN на основе портов
При использовании VLAN на основе портов (Port-based VLAN), каждый порт назначается в определенную VLAN, независимо от того, какой компьютер подключен к этому порту. Это означает, что все пользователи, подключенные к этому порту, будут членами одной VLAN. Конфигурация портов – статическая и может быть изменена только вручную.
Рис. 6.25 VLAN на основе портов
Перечислим основные характеристики VLAN на основе портов.
1. Применяются в пределах одного коммутатора. Если необходимо организовать несколько рабочих групп небольшой сети на основе одного коммутатора, например, разделить технический отдел и отдел продаж, то VLAN на базе портов оптимально подходит для данной задачи.
2. Простота настройки. Создание виртуальных сетей на основе группирования портов не требует от администратора большого объема ручной работы – достаточно всем портам, помещаемым в одну VLAN, присвоить одинаковый идентификатор VLAN (VLAN ID).
3. Возможность изменения логической сегментации сети без физического перемещения станций. Достаточно изменить настройки порта, с одной VLAN (например, VLAN технического отдела) на другую (VLAN отдела продаж) и рабочая станция сразу же получает возможность совместно использовать ресурсы с членами новой VLAN. Таким образом, VLAN обеспечивают гибкость при перемещениях, изменениях и наращивании сети.
4. Каждый порт может входить только в одну VLAN. Для объединения виртуальных подсетей как внутри одного коммутатора, так и между двумя коммутаторами, нужно использовать сетевой уровень модели OSI. Один из портов каждой VLAN подключается к интерфейсу маршрутизатора, который создает таблицу маршрутизации для пересылки кадров из одной подсети (VLAN) в другую (IP-адреса подсетей должны быть разными).
Рис. 6.26 Объединение VLAN с помощью маршрутизирующего устройства
Недостатком такого решения является то, что один порт каждой VLAN необходимо подключать к маршрутизатору, что приводит к дополнительным расходам на покупку кабелей и маршрутизатор, а также снижает количество свободных портов. Решить данную проблему можно двумя способами: использовать коммутаторы, которые позволяют включать порт в несколько VLAN, или использовать коммутаторы 3-го уровня.