Организация виртуальных локальных сетей VLAN абстрагирует идею физической сети (LAN), предоставляя возможность подключения виртуальной частной сети к линии передачи данных для каждой подсети в отдельности. Один или несколько сетевых vlan коммутаторов могут поддерживать несколько независимых виртуальных сетей. Тем самым давая возможность создавать различные реализации подсетей  уровня передачи данных. Часто сегментирование сетей связано с необходимостью ограничения широковещательного домена. Обычно домен обслуживает один или нескольких коммутаторов Ethernet для средних и крупных сетей.

Для чего нужны виртуальные частные сети VLAN

Сети VLAN упрощают сетевым администраторам задачу разбивки единой коммутируемой сети на логические сегменты в соответствии с функционалом и требованиями безопасности работы корпоративных систем. При этом нет необходимости в прокладке и перекоммутации новых кабелей или существенных изменениях в текущей сетевой инфраструктуре. Весь процесс организации новой схемы работы происходит на логическом уровне — на уровне настройки сетевого оборудования. Порты (интерфейсы) на коммутаторах могут быть назначены одной или нескольким виртуальным сетям. Что позволяет разделить систему на логические группы. На основе того, каким подразделениям принадлежит тот или иной сервис или ресурс, устанавливаются правила, согласно которым системам в отдельных группах разрешено связываться друг с другом. Конфигурация групп может варьироваться от простой идеи — компьютеры в одной виртуальной сети могут видеть принтер в этом сегменте, но компьютеры за пределами сегмента не могут, — до относительно сложных моделей. Например, компьютеры в отделах розничного банковского обслуживания не могут взаимодействовать с компьютерами в торговых отделах.

  Как подобрать коммутатор (Switch) для сети компании?

Каждый логический сегмент виртуальной сети обеспечивает доступ к линии передачи данных всем хостам, подключенным к портам коммутатора, настроенным с тем же идентификатором сети. Тег VLAN – это 12-разрядное поле в заголовке Ethernet кадра, которое обеспечивает поддержку до 4096 VLAN для каждого домена коммутации. Маркировка VLAN стандартизована в IEEE (Институт инженеров по электротехнике и электронике) 802.1Q и часто называется Dot1Q.

Маршрутизатор служит для объединения физических локальных сетей

Роутер служит для объединение локальных сетей

До момента появления виртуальных частных сетей мы должны были сегментировать локальную сеть LAN на основе физических коммутаторов.

Разбираемся как работает коммутатор сети (ethernet switch)

Чем больше сегментов вам необходимо организовать, тем больше коммутаторов вам необходимо закупить. Маршрутизатор используется для пересылки трафика между локальными сетями.Схема сложной локальной сети

Ситуация становится более сложной, если у вас есть 2 отдельных офиса. И если сеть настроена согласно схеме выше, то вам потребуется не один, а два отдельных кабеля между офисами. В зависимости от удаленности локаций прокладка данных трасс может вылиться в серьезные затраты. А теперь представьте, что у вас 3 и более офисов, а отделов в компании, например, 5. Получается, что необходимо прокладывать 15 кабельных трасс — бизнес на такое не пойдет.

Нам необходимо решение, которое помогло бы устранить проблему выше. Мы больше не можем полагаться на физическую сегментацию, поскольку она не является гибкой, более дорогой и делает вашу жизнь сложнее.Решение называется Virtual LAN – VLAN.

Благодаря использованию виртуальных частных сетей VLAN у нас появляется больше возможностей для сегментации сети на основе портов или даже на основе MAC-адреса или протоколов.

Объединение сетей по VLAN trunk

Что же такое виртуальные частные сети VLAN и как они работают?

Концепции работы VLAN сетей уходит своими корнями к началу эпохи телекоммуникаций. Когда на коммутаторе настроены сегменту (VLAN10 и VLAN20), мы вставляем VLAN тег непосредственно перед отправкой кадра на магистральную линию (VLAN trunk). Этот тег указывает, к какому сегменту виртуальной сети принадлежит каждый frame. Поэтому, когда кадр прибывает на целевой Ethernet коммутатор, то он знает, в какой vlan он должен переслать сообщение.

Как подобрать коммутатор (Switch) для сети компании?

Как работает Транк (trunk) соединение?

  • В исходящих кадрах на 2 уровне сетевой модели OSI при пересылке через trunk порт происходит модификация заголовка
  • Коммутатор добавляет VLAN тег 802.1Q между полями Source MAC и EtherType
  Обзор и тестирование производительности MikroTik HAP AC

В заголовок добавляется VLAN тег

Обратите внимание, что все эти процессы происходят на 2 уровне модели OSI (уровень передачи данных). Сетевой уровень в данном случае не задействован.

Как происходит обмен трафиком между различными VLAN?

Вопрос аналогичен тому: как передается трафик внутри локальной сети Ethernet? Разделенные сегменты локальной сети 2 уровня (LAN) не могут передавать друг другу данные, если они не связаны с маршрутизатором. Маршрутизатор отвечает за перенаправление кадров в другие сегменты. Поскольку router является устройством 3 уровня, как следствие, все устройства должны использовать заголовок 3 уровня, например IP-адрес.

Все зависит от возможностей маршрутизатора. Если маршрутизатор не поддерживает VLAN, тогда нам нужны порты доступа, которые подключаются к его интерфейсам.

Маршрутизатор не поддерживает режим trunk и VLAN-тегирование

  • 1 VLAN = 1 сегмент сети = 1 широковещательный домен
  • Нам необходим маршрутизатор для пересылки пакетов между VLAN сегментами
  • IP адрес маршрутизатора становится шлюзом по-умолчанию

Обмен VLAN трафиком используя порты уровня доступа

Если маршрутизатор поддерживает VLAN, тогда мы можем подключить его к сети, используя один порт. Роутер обрабатывает входящие теги виртуальных сетей и добавляет теги VLAN в исходящий поток данных.

Маршрутизатор поддерживает транки и VLAN тегирование

  • Маршрутизация VLAN трафика происходит с использование 1 порта
  • Необходимо назначить IP адрес на VLAN интерфейсе роутера

Обмен тегированным VLAN трафиком с помощью транковых портов

Недостатки виртуальных частных сетей

Ограничение в 4096 VLAN на один домен коммутации создает проблемы для крупных хостинг-провайдеров, которым часто приходится выделять десятки или сотни сегментов для каждого клиента. Чтобы устранить это ограничение, другие протоколы, такие как VXLAN (Virtual Extensible LAN), NVGRE (сетевая виртуализация с использованием универсальной инкапсуляции маршрутизации) и Geneve, поддерживают более крупные теги и возможность туннелировать кадры уровня 2 в пакетах уровня 3 (сеть).

Часто передача данных между различными сегментами VLAN выполняется маршрутизаторами. Современные коммутаторы часто включают функции маршрутизации и называются коммутаторами 3 уровня.

Читать далее

Как работают виртуальные частные сети VLAN
Метки:            
Adblock detector