VLAN | Что такое виртуальная локальная сеть?

Виртуализация оперирует памятью, вычислительной мощностью, программным обеспечением и сетевыми технологиями: VLAN описывает виртуальную, чисто логическую сеть, основанную на реальной физической сети. Как работает виртуальная локальная сеть?

В наши дни физические сети в основном основаны на одном или нескольких коммутаторах. Это устройства, которые регулируют трафик данных между участниками. Это означает, что все сетевые кабели подключаются к коммутатору, обеспечивая связь между различными компьютерами. При этом такие коммутаторы могут соединять сотни устройств друг с другом, обеспечивая относительно бесперебойную связь. Однако может также иметь смысл разделить большие сети, не меняя их физической установки.

Виртуальная локальная сеть (VLAN) — это меньший логический сегмент внутри более крупной физической проводной сети. Это означает, что различные станции объединяются в отдельную сеть, независимо от места расположения: пока они объединены в одну локальную сеть, все они могут быть объединены в одну VLAN. Это не проблема, если локальная сеть распространяется на несколько коммутаторов. Единственное, что важно, — коммутатор также должен поддерживать VLAN. Управляемые коммутаторы необходимы для создания VLAN.

Каждая отдельная VLAN получает свой собственный широковещательный домен: если участник посылает широковещательное сообщение в пределах VLAN, все остальные участники в этом сегменте, но не другие, получают это сообщение. Широковещательное сообщение не передается за пределы виртуальной сети. Иногда связь различных виртуальных локальных сетей может осуществляться по одному и тому же кабелю.

VLAN могут быть настроены по-разному. В зависимости от типа различается и технология. На практике существует два типа: VLAN на основе портов и тегированные VLAN. Во многих случаях сетевые администраторы используют смесь этих двух типов для установки и распределения.

В коммутаторе каждый участник сети направляется через порт, который, по сути, является гнездом, в которое затем вставляется соответствующий сетевой кабель, ведущий к каждому компьютеру (однако порты также используются для соединения коммутаторов друг с другом). Если теперь вы хотите превратить одну физическую сеть в две виртуальные локальные сети, соответствующие порты должны быть выделены для нужной виртуальной сети.

Хотя установки VLAN на основе портов в основном используются в небольших сетях и создаются только в пределах одного коммутатора, конфигурация возможна и на нескольких коммутаторах. Порты 1-3 на первом коммутаторе и порт 1 на втором коммутаторе могут быть подключены к одной VLAN вместе. Однако для этого коммутаторы должны быть подключены друг к другу двумя кабелями — для каждой VLAN свое подключение.

Это означает, что распределение пакетов происходит через сами коммутаторы. Администраторы решают, какие порты должны быть отнесены к той или иной VLAN, поэтому VLAN является статической. Если сети VLAN должны быть настроены по-другому, порты в конфигурации коммутатора должны быть перераспределены. Кроме того, каждый порт — и каждое подключенное устройство — может быть частью только одной VLAN. Чтобы устройство из одной VLAN могло взаимодействовать с другой, маршрутизатор пересылает посылки сообщений, как в случае с коммуникацией между домашней сетью и Интернетом.

В случае тегированных VLAN распределение по VLAN происходит более динамично: вместо того чтобы определяться на коммутаторе, за распределение отвечает тег в кадре пакета сообщений. Именно поэтому данная технология также известна как сеть на основе кадров, в отличие от сетей на основе портов. Метка содержит информацию о текущей сети VLAN, что позволяет коммутатору определить, в каком сегменте происходит обмен данными, и соответствующим образом направить сообщение.

Метка VLAN имеет длину 32 бита и появляется в кадре Ethernet сразу после MAC-адреса отправителя. Метка начинается с идентификатора протокола длиной два байта, идентификатора протокола метки (TPI), который указывает, был ли предоставлен идентификатор VLAN. Если VLAN помечена в кадре, эти пакеты имеют значение 0x8100. Затем кадр указывает на приоритет сообщения в трех битах. Затем следует один бит для идентификатора канонического формата (CFI). Эта позиция используется только для обеспечения совместимости между Ethernet и token ring.

Протокол отмечает только фактический идентификатор VLAN ID (VID) в последних двенадцати битах. Длина секции кадра означает, что доступно 4 096 различных VLAN. Каждая VLAN получает свой собственный номер. Некоторые сетевые интерфейсные карты также поддерживают маркировку VLAN. Linux сам может быть использован в качестве коммутатора для поддержки стандарта, в то время как пользователи Windows зависят от производителя своей сетевой интерфейсной карты. VLAN может быть задана через оператора устройства.

Представленный здесь принцип фрейма использует стандарт IEEE 802.1q. Это наиболее часто используемый вариант. В действительности существуют и другие варианты включения тегов VLAN в пакет сообщений. Компания Cisco, например, использует протокол межкоммутационного соединения (ISL) для своих коммутаторов. Этот протокол инкапсулирует весь кадр данных, чтобы обеспечить работу нескольких VLAN.

Преимущество маркированной сети VLAN по сравнению с сетью, функционирующей через распределение портов, заключается в соединении между различными коммутаторами. Системы на основе портов требуют как минимум двух кабелей между коммутаторами, поскольку каждая виртуальная локальная сеть требует своего собственного соединения. Для транкинга в маркированных виртуальных локальных сетях достаточно одного кабеля, так как распределение происходит через информацию кадров. Коммутатор определяет нужную VLAN и отправляет ее на соответствующий второй коммутатор. Затем метка удаляется, и пакет направляется к нужному получателю.

Зачем прилагать дополнительные усилия для разделения большой локальной сети на несколько небольших виртуальных локальных сетей?

Если новый участник хочет присоединиться к локальной сети, его устройство должно быть подключено к коммутатору. Если сотрудник компании сменил команду и теперь должен работать в другой сети, ему придется либо сменить рабочую станцию, либо переподключить ее. Конфигурация виртуальных локальных сетей полностью основана на программном обеспечении. Администратор может гибко распределить один и тот же компьютер в другую VLAN.

Чтобы гарантировать, что посторонние лица не получат доступ к конфиденциальным данным, целесообразно ограничить сеть небольшой группой. В сети VLAN широковещательный домен ограничивается несколькими станциями, поэтому широковещательная передача не может достичь тех, для кого эта информация не предназначена.

Повышение производительности также достигается за счет сокращения широковещательного домена. Широковещательным сообщениям больше не нужно проходить через всю сеть. Сообщения, которые должны быть отправлены всем участникам сети, но предназначены только для определенной группы лиц, приводят к ненужному трафику. VLAN минимизирует ненужную нагрузку на пропускную способность.

VLAN соединяют логическую группу на разных рабочих станциях. Например, в корпоративной сети в логической группе могут быть сотрудники, чьи рабочие станции не находятся в одном месте. Они могут находиться в разных комнатах, на разных этажах или даже в разных зданиях. Соединение этих сотрудников и их компьютеров друг с другом через локальную сеть потребовало бы прокладки длинных кабелей по всей территории компании. Поскольку несколько коммутаторов могут быть объединены в одну виртуальную локальную сеть, прокладка кабелей может быть выполнена гораздо более разумным и упорядоченным образом.

Вместо нескольких VLAN теоретически возможно создать несколько локальных сетей, которые затем можно соединить с помощью маршрутизаторов для обеспечения связи между сетями. Однако это означает дополнительные приобретения, что приводит к значительным финансовым затратам. Установка параллельных сетей также занимает много времени.