Что такое и как работает VLAN | Настройка серверов windows и linux

Виртуальная сеть представляет собой коммутируемую сеть, в которой выполнено логическое сегментирование по исполняемым функциям, используемым приложениям или по принадлежности пользователей к определенному отделу, вне зависимости от физического расположения их компьютеров.

Каждый порт коммутатора может быть включен в виртуальную сеть. Все порты, включенные в одну виртуальную сеть, принимают широковещательные сообщения в ее пределах, в то время как порты, в нее не включенные, этих сообщений не принимают. Различаются три способа реализации виртуальных сетей, которые могут быть использованы для включения портов коммутаторов в виртуальную сеть: с центральным портом, статический и динамический.

Статическая виртуальная сеть (static VLAN) представляет собой совокупность портов коммутатора, статически объединенных в виртуальную сеть. Эти порты поддерживают назначенную конфигурацию до тех пор, пока она не будет изменена администратором. Хотя для внесения изменений статические виртуальные сети требуют вмешательства администратора, к их достоинствам можно отнести высокий уровень безопасности, легкость конфигурирования и возможность непосредственного наблюдения за работой сети.

Динамические виртуальные сети (dynamic VLAN) представляют собой логическое объединение портов коммутатора, которые могут автоматически определять свое расположение в виртуальной сети. Функционирование динамической виртуальной сети основывается на МАС — адресах, на логической адресации или на типе протокола пакетов данных. Основными достоинствами такого подхода является уменьшение объема работ при добавлении нового пользователя или при переезде уже существующего и централизованное извещение всех пользователей при добавлении в сеть неопознанного пользователя. Основная работа в этом случае заключается в установке базы данных в программное обеспечение управления виртуальной сетью и в поддержании ее актуальности.

Виртуальные сети c группировкой портов (port-based VLAN)

В этом случае администратор назначает каждый порт коммутатора принадлежащим VLAN. Например, порты 1-3 могут быть назначены для VLAN отдела продаж, порты 4-6 для VLAN разработчиков и порты 7-9 для VLAN сетевого администрирования. Коммутатор определяет, к какому VLAN принадлежит каждый пакет, учитывая порт, в который он прибыл.

Когда компьютер пользователя подключается к другому порту коммутатора, администратор сети может просто переназначать новый порт для старого VLAN, к которому принадлежал пользователь. В этом случае сетевые изменения полностью прозрачны для пользователя и администратору не нужно изменять топологию сети. Однако, этот метод имеет один существенный недостаток, если концентратор подключен к порту коммутатора, все пользователи, подключенные к нему должны принадлежать тому же VLAN.

Следовательно, такое решение малоприемлемо при использовании концентраторов или в сетях c мощными серверами, к которым обращается много пользователей (сервер не удастся включить в разные VLAN). Кроме того, виртуальные сети на основе портов не позволяют вносить в сеть изменения достаточно простым путем, поскольку при каждом изменении требуется физическое переключение устройств.

В виртуальных сетях с группировкой портов все узлы виртуальной сети подключены к одному и тому же интерфейсу маршрутизатора. На рисунке показано семейство пользователей виртуальной сети, подключенных к порту маршрутизатора. Такое подключение облегчает работу администратора и повышает эффективность работы сети, поскольку:

1) в виртуальной сети легко выполняются административные действия;
2) повышается безопасность при обмене информацией между виртуальными сетями; пакеты не «просачиваются» в другие домены.

В простейшем случае устройство, имеющее только один сетевой интерфейс, может быть включено только в один VLAN. Для включения сетевого устройства в несколько VLAN оно должно иметь несколько сетевых адаптеров.

IEEE 802.1Q стандарт в рамках спецификации port-based VLAN предусматривает взаимодействие с устройствами, не поддерживающими инкапсуляцию 802.1q.  Согласно этой спецификации, каждый тип фрэймов назначается разным VLAN. Первоначально все порты коммутатора принадлежат VLAN c идентификатором сети port VLAN ID (PVID).

PVID имеет численное значение, по умолчанию 1. Все фреймы, не имеющие метки VLAN, которые генерируются не поддерживающими VLAN устройствами, идентифицируются как принадлежащие VLAN c PVID. Если фрейм генерируется устройством с поддержкой VLAN, то он содержит соответствующий тег VLAN, в котором прописан VLAN ID (VID). Каждый порт коммутатора может иметь один или несколько VID. Когда фрейм поступает на порт коммутатора, он идентифицируется по его VID. Коммутатор просматривает таблицу VLAN и пересылает фрейм на порты, имеющие тот же VID.

В примере на рисунке фрейм без тега, поступающий от устройства на порту 0, идентифицируется как принадлежащий VLAN c PVID=1 и пересылается на порт 1, имеющий тот же PVID. Если от устройства на порту 1 поступит фрейм с VID=2, он будет передан на порты 0 и 3.

Виртуальные сети на основе MAC адреса (MAC address-based VLAN)

На основе MAC адреса (MAC address-based VLAN) — в этом случае принадлежность пакета к VLAN определяется MAC адресом источника или приемника. Каждый коммутатор поддерживает таблицу MAC адресов и их соотношение с VLAN. Ключевое преимущество этого метода состоит в том, что не требуется переконфигурация коммутатора при переподключении пользователей к различным портам. Однако, присвоение MAC адресов VLAN может потребовать значительных временных затрат, а также присвоение отдельных MAC адресов нескольким VLAN может быть непростой задачей. Это может быть существенным ограничением для совместного использования ресурсов сервера между несколькими VLAN. (Хотя MAC адрес теоретически может быть присвоен множеству VLAN, это может вызывать серьезные проблемы с существующей маршрутизацией и ошибки, связанные с таблицами пересылки пакетов в коммутаторе.)

Как правило, для создания таковой сети производитель оборудования предусматривает наличие управляющего программного обеспечения для управления сетью.

Взаимодействие между VLAN может осуществляться 2-мя способами. В первом в устройство должен быть установлен дополнительный сетевой адаптер и ассоциирован с другой сетью. Данный способ неприемлем при большом количестве устройств, включаемых в несколько VLAN. Во втором случае для объединения сетей используется маршрутизатор. Однако в этом случае имеются ограничения. Маршрутизатор должен иметь отдельный порт для каждой VLAN. При этом нельзя объединить сети в одном сегменте, так как маршрутизатор работает на 3-м уровне модели OSI.

Виртуальные сети сетевого уровня

При использовании другого подхода коммутаторы должны для образования виртуальной сети понимать какой-либо сетевой протокол. Такие коммутаторы называют коммутаторами 3-го уровня, так как они совмещают функции коммутации и маршрутизации. Каждая виртуальная сеть получает определенный сетевой адрес — как правило, IP или IPX.

Тесная интеграция коммутации и маршрутизации очень удобна для построения виртуальных сетей, так как в этом случае не требуется введения дополнительных полей в кадры. К тому же администратор только однократно определяет сети, а не повторяет эту работу на канальном и сетевом уровнях. Принадлежность конечного узла к той или иной виртуальной сети в этом случае задается традиционным способом — с помощью задания сетевого адреса. Порты коммутатора также получают сетевые адреса, причем могут поддерживаться нестандартные для классических маршрутизаторов ситуации, когда один порт может иметь несколько сетевых адресов, если через него проходит трафик нескольких виртуальных сетей, либо несколько портов имеют один и тот же адрес сети, если они обслуживают одну и ту же виртуальную сеть.

При передаче кадров в пределах одной и той же виртуальной сети коммутаторы 3-го уровня работают как классические коммутаторы 2-го уровня, а при необходимости передачи кадра из одной виртуальной сети в другую — как маршрутизаторы. Решение о маршрутизации обычно принимается традиционным способом — его делает конечный узел, когда видит на основании сетевых адресов источника и назначения, что кадр нужно отослать в другую сеть.

Однако, использование сетевого протокола для построения виртуальных сетей ограничивает область их применения только коммутаторами 3-го уровня и узлами, поддерживающими сетевой протокол. Обычные коммутаторы не смогут поддерживать такие виртуальные сети и это является большим недостатком. За бортом также остаются сети на основе не маршрутизируемых протоколов, в первую очередь сети NetBIOS.

В рамках данных VLAN различают сети на базе подсетей, на базе протоколов, и на базе правил.

Виртуальные сети на базе подсетей

В качестве  примера такой организации VLAN можно привести сеть, где одна подсеть, скажем класса C с адресацией 198.78.55.0/24 соответствует одной VLAN, вторая подсеть класса C 198.78.42.0/24 соответствует второй VLAN.

Недостаток данного способа состоит в том, что если коммутатор не поддерживает несколько IP подсетей на одном порту, для перемещения в другую VLAN требуется физическое переключение рабочей станции.

Виртуальные сети на базе сетевого протокола

Виртуальные ЛВС сетевого уровня позволяют администратору связать трафик для того или иного протокола в соответствующей виртуальной сети. Точно таким же способом создаются широковещательные домены в сетях на основе маршрутизаторов. Протокол может быть задан в форме IP-подсети или сетевого номера IPX. Можно, к примеру, объединить в виртуальную ЛВС всех пользователей подсети, которая была организована до использования коммутаторов.

В качестве примера можно привести сеть, где устройства, поддерживающие только IP протокол, находятся в одной VLAN, поддерживающие только IPX протокол – во второй VLAN, и тот и другой протокол — находятся в обеих сетях.

Виртуальные сети на базе правил

Для включения устройств в виртуальные ЛВС можно использовать все перечисленные выше способы при условии их поддержки  коммутаторами. После того, как правила загружены во все коммутаторы, они обеспечивают организацию VLAN на основе заданных администратором критериев. Поскольку в таких сетях кадры постоянно просматриваются на предмет соответствия заданным критериям, принадлежность пользователей к виртуальным сетям может меняться в зависимости от текущей деятельности пользователей.

Виртуальные ЛВС на основе правил используют широкий набор критериев принадлежности к сети, включая все перечисленные выше варианты: MAC-адреса, адреса сетевого уровня, тип протокола и т.д. Возможно также использовать любые комбинации критериев для создания правил, наиболее точно соответствующих вашим задачам.

Если Вам понравилась статья, проголосуйте за нее

Голосов: 9  

Что такое VLAN ID 802.1 Q тегирование?!

Во время настройки вайфай роутера иногда приходится сталкиваться с такой технологией, как VLAN IEEE 802.1Q. Что это такое?

802.1 Q — это открытый стандарт, зарегистрированный в Институте Инженеров Электротехники и Электроники — IEEE.

Он описывает процедуру маркировки или, так называемого, тегирования трафика. Это делается для того, чтобы для передать информации о принадлежности этого трафика к определённой виртуальной сети или VLAN (сокращение от Virtual LAN).

Уровень OSI, на котором работает технология 802.1 Q — Канальный.

В двух словах, весь принцип действия заключается в том, что внутрь фрейма устанавливается тег (vlanid). По этому тегу определяется принадлежность этого трафика к виртуальной сети ВЛАН, которая имеет свой идентификатор — VID. Отсюда исходят такие понятия, как:

Тегированный трафик — то есть информация, помеченная маркером принадлежности к той или иной виртуальной сети.

Нетегированный трафик — поток данных, не имеющий тега принадлежности к ВЛАН.

VLAN ID (VLAN Identifier или VID) — это и есть тот самый идентификатор VLAN, то есть маркер, устанавливаемый в l2-фрейм размером поля 12 бит и указывающий к какому ВЛАН принадлежит этот фрейм.
Диапазон значений: от 0 до 4095.
При этом:
0 и 4095 — это зарезервинованные значения для системного использования,
1 — это дефолтный влан на сетевых устройствах, его принято считать, как Native VLAN.
1002-1005 — зарезервированные значения для FDDI и Token Ring (Cisco VLAN).

Port VLAN Identifier (PVID) – это ещё один идентификатор, который используется уже на физическом порту в том случае, если на нём нужно ставить и снимать маркер на весь проходящий трафик.  Именно он показывает сетевому оборудованию какой vlan id будет поставлен в поле тега перед коммутацией фрейма. Существует два вида портов:
Ingress port – порт входа. На него приходят фреймы, проходят проверку на наличие тегов (причастности к определённому VLAN), и далее уже ожидают принятия ррешения о маркировке.
Egress port — порт выхода. Отсюда уже выходят фреймы прошедшие проверку на наличие тегов после принятия решения о их тегировании или растегировании.

Реклама и объявления:

Инструкции и советы:

Полезная информация:

Other versions:

Что такое SIP trunk – это виртуальный канал связи между провайдером (оператором) IP-телефонии и офисной IP-АТС клиента, позволяющий подключить, любое количество телефонных номеров.

В свою очередь каждый такой номер, может иметь неограниченное количество каналов (количество одновременных разговоров по одному номеру).
SIP trunk для передачи вызывной сигнализации использует протокол SIP 2.0, VoIP телефонии, описанный в RFC 3261 и его дополнения (RFC 2976, RFC 3262, RFC 3265, RFC 3428, RFC 3515, RFC 3903).

Подключив SIP транк от провайдера телефонии, компания не ограничивает себя в обмене данными (голос, видео и чат), в отличие от традиционной аналоговой телефонии, это позволяет отказаться от многопарных физических кабельных линий соединяющих ее с городской АТС.

Более того ваш провайдер предоставляющий внешний номер, может находиться территориально в другом государстве.

Вторым видом SIP транка, является виртуальный канал между двумя IP-АТС, по необходимости, территориально разнесенные физически. Это дает возможность организовать общую внутреннюю, номерную емкость обоих АТС и использовать общие внешние линии, для исходящей и входящей связи.

Каждый телефонный номер в транке называется и идентифицируется как DID (Direct Inward Dialing), который вам назначает оператор  VoIP телефонии.

Преимущества SIP транков

Переход компании от аналоговой телефонии к SIP транкам предоставляет компании целый ряд преимуществ:

  • Низкая абонентная плата за канал и DID номер –  абонентная плата за голосовые каналы и DID номера существенно ниже, чем плата за то же количество аналоговых линий.
  • Высокое качество предоставляемых услуг – для установления соединения и передачи голоса, видео используются цифровые протоколы передачи данных, что дает  высокое качество голоса и высокую скорость соединения.
  • Смена офиса с сохранением единого номера – ваш SIP транк не привязан к вашему офису. Вы можете переехать в другой офис, сохранив свой прежний номер. Соответственно не нужно уведомлять клиентов о новом номере, менять рекламу, визитки и платить оператору за установку переадресации и подключать новые номера.
  • Не нужно приобретать VoIP шлюз –  SIP транки избавляют вас от необходимости приобретать и поддерживать VoIP шлюзы. Вызовы из телефонной сети приходят непосредствено по SIP протоколу. Кроме того, отсутствие преобразования технологий (из аналоговой в IP) обеспечивает более высокое качество связи.
  • Масштабируемость ёмкости каналов –  если у вас возросло количество звонков, вы можете быстро и просто добавить дополнительные голосовые каналы к существующему SIP транку. Сравните это с затратами времени на заказ и прокладку дополнительных аналоговых линий, установку плат расширения и программирование аналоговой АТС!

Коментарии:

Добавить комментарий

Закрыть меню