Виртуальные локальные сети
Виртуальной локальной сетью (VLAN) называется логическая группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети. Это означает, что передача кадров между разными виртуальными сетями на основании MAC-адреса невозможна независимо от типа адреса — уникального, группового или широковещательного. В то же время внутри виртуальной сети кадры передаются по технологии коммутации, то есть только на тот порт, который связан с адресом назначения кадра.
Преимущества VLAN:
- гибкость внедрения. VLAN являются эффективным способом группировки сетевых пользователей в виртуальные рабочие группы, несмотря на их физическое размещение в сети;
- VLAN обеспечивают возможность контроля широковещательных сообщений, что увеличивает полосу пропускания, доступную для пользователя;
- VLAN позволяют повысить безопасность сети, определив с помощью фильтров, настроенных на коммутаторе или маршрутизаторе, политику взаимодействия пользователей из разных виртуальных сетей.
Задача: Сегментировать локальные сети группы пользователей для доступа в сеть Интернет.
Предположим, что в офисе имеется несколько комнат, в каждой из которых располагается небольшое количество сотрудников. Каждая комната представляет собой отдельную рабочую группу.
Рисунок – Физическая сегментация сети
При стандартном подходе к решению задачи с помощью физической сегментации трафика каждого отдела потребовалось бы в каждую комнату устанавливать отдельный коммутатор, который бы подключался к маршрутизатору, предоставляющему доступ в Интернет. Данное решение плохо масштабируемо и является дорогостоящим, т.к. при увеличении количества отделов увеличивается количество необходимых коммутаторов, интерфейсов маршрутизатора и магистральных кабелей.
При использовании виртуальных локальных сетей, коммутатор, программное обеспечение которого поддерживает функцию VLAN, позволяет выполнять логическую сегментацию сети путем соответствующей программной настройки. Это дает возможность подключать пользователей, находящихся в разных сегментах, к одному коммутатору, а также сокращает количество необходимых физических интерфейсов на маршрутизаторе.
Рисунок – Логическая группировка сетевых пользователей в VLAN
Типы VLAN
В коммутаторах могут быть реализованы следующие типы VLAN:
– на основе портов;
– на основе стандарта IEEE 802.1Q;
– на основе MAC-адресов;
– др. специфические.
VLAN на основе портов
При использовании VLAN на основе портов (Port-based VLAN) каждый порт назначается в определенную VLAN, независимо от того, какой пользователь или компьютер подключен к этому порту. Это означает, что все пользователи, подключенные к этому порту, будут членами одной VLAN. Конфигурация портов статическая и может быть изменена только вручную.
Основные характеристики VLAN на основе портов:
1. применяются в пределах одного коммутатора;
2. простота настройки, достаточно всем портам, помещаемым в одну VLAN, присвоить одинаковый идентификатор VLAN(VLAN ID);
3. возможность изменения логической топологии сети без физического перемещения станций, достаточно всего лишь изменить настройки порта с одной VLAN (например, VLAN технического отдела) на другую (VLAN отдела продаж), и рабочая станция сразу же получает возможность совместно использовать ресурсы с членами новой VLAN.;
4. каждый порт может входить только в одну VLAN.
Рисунок – VLAN на основе портов