Главная » Простые сети » Сложные сети » Теория » Практические приемы » Технология » ПО » Работа в сети » Прочее

Виртуальные Локальные Сети: VLAN

1. Коммутация и Виртуальные Локальные сети VLAN
2. Протокол Spanning-Tree и VLAN
3. Настройка VLAN по умолчанию
4. Настройка VLAN через домен
5. Группирование портов коммутатора в VLAN
6. Настройка транков

Представьте, что вы сидите за вашим столом и ваш начальник отдела Информационных Технологий и показывает вам статью в последнем журнале о разработке сетей. "Я только что прочитал эту отличную статью про то, как Виртуальные Локальные Сети VLAN обеспечивают гибкость, повышают производительность и уменьшают затраты на управление! Как мы можем внедрить VLAN в нашей сети?". Позже начальник уходит, оставив вас с задачей внедрить VLAN в существующую локальную сеть.

Возможно, вы слышали термин VLAN и удивлены, что же это такое и как вы можете их использовать. Термин VLAN это сокращение от Virtual Local-Area Network и наиболее часто связан с коммутаторами. Используя VLAN, вы можете помочь себе решить технические и производственные проблемы, но они могут быть использованы на ваше усмотрение. Создание очень большого числа VLAN в вашей сети может вызвать административный ночной кошмар. Если ваша организация собирается инвестировать деньги в коммутаторы Уровня 2, которые поддерживают VLAN, используйте преимущества технологии коммутации. Коммутаторы Уровня 2 обеспечивают скорость переправления фреймов, обеспечиваемую средой передачи данных и не дает задержки, которая возникает при использовании традиционных программно-ориентированных методов коммутации при помощи маршрутизаторов. Если вы собираетесь строить коммутируемую сеть, старайтесь по возможности использовать коммутацию Канального Уровня и маршрутизацию Уровня 3 по мере надобности. Существует множество новых продуктов на рынке сетевых продуктов, которые обеспечивают маршрутизацию Уровня 3 на скорости коммутации Уровня 2, но это выходит за границы этой главы.

Это очень важно полностью понимать ваши бизнес потребности и технические требования, когда вы принимаете решение использовать VLAN. Помните, что каждая виртуальная сеть VLAN, которую вы создаете, в сущности, создает сеть Уровня 3, которая должна быть маршрутизирована, поэтому, если вы имеете не только трафик внутри рабочей группы, вам необходимы функции маршрутизации вашей сети. Бурный рост e-mail, сетей Intranet и Internet ведет к бурному росту числа групп серверов. Серверы могут содержать общие файлы, приложения и серверы баз данных, обычно сгруппированные в выделенную сеть или сети VLAN и требует связи с пользователями, выходя за границы VLAN используя маршрутизаторы. Как напоминание, старайтесь разрабатывать вашу конфигурацию как можно более простой и гибкой. Начните с простого, затем внедряйте более комплексную конфигурацию, если существующая конфигурация не удовлетворяет вашим потребностям. Используйте VLAN для того, чтобы сделать вашу жизнь легче, а не тяжелее.

В этой главе мы рассмотрим преимущества сетей VLAN и их близкую связь с процессом коммутации. Мы будем использовать конфигурацию, основанную на коммутаторах Cisco серии Catalyst 5500.

1. Коммутация и Виртуальные Локальные сети VLAN

 

Изначально коммутаторы не обеспечивали возможности создания Виртуальных Локальных сетей, так как они использовались для простой пересылки фреймов между устройствами. Рынок коммутаторов начал быстро расти, когда концентраторы коллективного доступа к среде передачи данных (hubs) начали не справляться с растущими запросами на расширение полосы пропускания сети в связи с использованием приложений клиент-сервер, обеспечивающих Графический Интерфейс Пользователя (GUI).

Ключевая разница между коммутатором и концентратором заключается в том, как они работают с фреймами. Концентратор получает фрейм, затем копирует и передает (повторяет) фрейм во все другие порты. В этом случае сигнал повторяется, в основном продляя длину сетевого сегмента до всех подключенных станций. Коммутатор повторяет фрейм во все порты кроме того, из которого этот фрейм был получен: unicast фреймы (адресованные на конкретный MAC адрес), broadcast фреймы, (адресованные для всех MAC адресов в локальном сегменте), и multicast фреймы (адресованные для набора устройств в сегменте). Это делает их неприемлемыми для большого числа пользователей, так как каждая рабочая станция и сервер, подключенный к коммутатору, должен проверять каждый фрейм для того, чтобы определить, адресован ли этот фрейм ему или нет. В больших сетях, с большим количеством фреймов, обрабатываемых сетевой картой, теряется ценное процессорное время. Это приемлемо для небольших рабочих групп, где передача данных имеет кратковременную "взрывную" природу.

Коммутатор работает с фреймами "с пониманием" - он считывает MAC адрес входящего фрейма и сохраняет эту информацию в таблице коммутации. Эта таблица содержит MAC адреса и номера портов, связанных с ними. Коммутатор строит таблицу в разделенной памяти и поэтому он знает, какой адрес связан с каким портом. Коммутаторы Cisco Catalyst создают эту таблицу, проверяя каждый фрейм, попавший в память, и добавляют новые адреса, которые не были занесены туда ранее. Маршрутизаторы Cisco создали эту таблицу, адресуя ее по содержимому (content-addressable memory). Эта таблица обновляется и строится каждый раз при включении коммутатора, но вы можете настраивать таймер обновления таблицы в зависимости от ваших нужд. Пример 1 показывает CAM таблицу коммутатора Catalyst 5000.

В этом примере столбец VLAN ссылается на номер VLAN, которой принадлежит порт назначения. Столбец Destination MAC ссылается на MAC адрес, обнаруженный в порту. Помните, что один порт может быть связан с несколькими MAC адресами, поэтому проверьте количество MAC адресов, которое может поддерживать ваш коммутатор. Destination Ports описывает порт, из которого коммутатор узнал MAC адрес.

Cat5500> show cam dynamic

VLAN
Destination MAC Destination Ports or VCs
---------------------
------------------------------- -----------------------------------------
1
00-60-2f-9d-a9-00
3/1
1
00-b0-2f-9d-b1-00
3/5
1
00-60-2f-86-ad-00
5/12
1
00-c0-0c-0a-bd-4b
4/10
Cat5500>

Пример.1. Cisco CAM table

Далее, коммутатор проверяет MAC адрес назначения фрейма и немедленно смотрит в таблицу коммутации. Если коммутатор нашел соответствующий адрес, он копирует фрейм только в этот порт. Если он не может найти адрес, он копирует фрейм во все порты. Unicast фреймы посылаются на необходимые порты, тогда как multicast и broadcast фреймы передаются во все порты.

Коммутация была объявлена как "новая" технология, которая увеличивает пропускную способность и увеличивает производительность, но на самом деле коммутаторы это высокопроизводительные мосты (bridges) с дополнительными функциями. Коммутация это термин, используемый в основном для описания сетевых устройств Уровня 2, которые переправляют фреймы, основываясь на MAC адресе получателя.

Два основных метода, наиболее часто используемых производителями для передачи трафика это cut-through и store and forward .

Коммутация cut-through обычно обеспечивает меньшее время задержки, чем store-and-forward потому, что в этом режиме коммутатор начинает передачу фрейма в порт назначения еще до того, как получен полностью весь фрейм. Коммутатору достаточно того, что он считал MAC адреса отправителя и получателя, находящиеся в начале Token Ring и Ethernet фреймов. Большинство cut-through коммутаторов начинает пересылку фрейма, получив только первые 30 - 40 байт заголовка фрейма.

Store and forward копирует весь фрейм перед тем, как пересылать фрейм. Этот метод дает большую задержку, но имеет больше преимуществ. Возможности фильтрации, управления и контроля за потоком информации являются главными преимуществами этого метода. В дополнение, неполные и поврежденные фреймы не пересылаются, так как они не являются правильными фреймами. Коммутаторы должны иметь буферную память для чтения и сохранения фреймов во время принятия решения, что увеличивает стоимость коммутатора.

По мере улучшения технологий и захвата рынка новомодной технологией, начали возникать VLAN. Простейший путь понять Виртуальные сети - сравнить их с физической сетью. Физическая сеть может состоять из конечных станций, связанных маршрутизатором (или маршрутизаторами), которые используют одно физическое соединение. VLAN это логическое комбинирование конечных станций в одном сегменте на Уровне 2 и Уровне 3, которые связаны напрямую, без маршрутизатора. Обычно пользователям, разделенным физически, требуется маршрутизатор для связи с другим сегментом. Коммутаторы с возможностью построения VLAN изначально были внедрены в основных учебных городках и небольших рабочих группах. Сначала коммутация разрабатывалась по мере надобности, но сейчас это является обычной практикой внедрять коммутаторы и VLAN в настольных системах.

Каждая рабочая станция в VLAN (и только эти конечные станции) обрабатывают широковещательный трафик, посылаемый другим членам VLAN. Например, рабочие станции A, B, и C присоединены в VLAN 1. VLAN 1 состоит из трех коммутаторов Catalyst 5500. Все коммутаторы расположены на разных этажах и соединены между собой опто-волокном и связаны транковым протоколом. Рабочая станция A присоединена с коммутатором A, рабочая станция B присоединена в коммутатор B и рабочая станция C присоединена в коммутатор C. Если станция A посылает широковещательный пакет, станции B и C получат этот фрейм, даже если они физически присоединены в другие коммутаторы. Рабочая станция D присоединена в коммутатор A, но объявлена в VLAN 2. Когда D посылает широковещательный пакет, станция A не увидит этот трафик, хотя она находится в том же физическом коммутаторе, но так как она находится не в той же виртуальной LAN, коммутатор не будет пересылать этот трафик на A. Помните, что VLAN работают на Уровне 2, поэтому связь между VLAN требует принятия решений маршрутизации на Уровне 3. Так же станции B и C не увидят трафик от станции D.

Виртуальные сети (VLAN) предлагают следующие преимущества:

  • Контроль за широковещательным трафиком
  • Функциональные рабочие группы
  • Повышенная безопасность

Контроль за широковещательным трафиком

 

В отличие от традиционных LAN, построенных при помощи маршрутизаторов/мостов, VLAN может быть рассмотрен как широковещательный домен с логически настроенными границами. VLAN предлагает больше свободы, чем традиционные сети. Ранее используемые разработки были основаны на физическом ограничении сетей, построенных на основе концентраторов; в основном физические границы LAN сегмента ограничивались эффективной дальностью, на которую электрический сигнал мог пройти от порта концентратора. Расширение LAN сегментов за эти границы требовало использования повторителей (repeaters), устройств, которые усиливали и пересылали сигнал. VLAN позволяет иметь широковещательный домен вне зависимости от физического размещения, среды сетевого доступа, типа носителя и скорости передачи. Члены могут располагаться там, где необходимо, а не там, где есть специальное соединение с конкретным сегментом. VLAN увеличивают производительность сети, помещая широковещательный трафик внутри маленьких и легко управляемых логических доменов. В традиционных сетях с коммутаторами, которые не поддерживают VLAN, весь широковещательный трафик попадает во все порты. Если используется VLAN, весь широковещательный трафик ограничивается отдельным широковещательным доменом.

Функциональные рабочие группы

 

Наиболее фундаментальным преимуществом технологии VLAN является возможность создания рабочих групп, основываясь на функциональности, а не на физическом расположении или типе носителя. Традиционно администраторы группировали пользователей функционального подразделения физическим перемещением пользователей, их столов и серверов в общее рабочее пространство, например в один сегмент. Все пользователи рабочей группы имели одинаковое физическое соединение для того, чтобы иметь преимущество высокоскоростного соединения с сервером. VLAN позволяет администратору создавать, группировать и перегруппировывать сетевые сегменты логически и немедленно, без изменения физической инфраструктуры и отсоединения пользователей и серверов. Возможность легкого добавления, перемещения и изменения пользователей сети - ключевое преимущество VLAN.

Повышенная Безопасность

 

VLAN также предлагает дополнительные преимущества для безопасности. Пользователи одной рабочей группы не могут получить доступ к данным другой группы, потому что каждая VLAN это закрытая, логически объявленная группа. Представьте компанию, в которой Финансовый департамент, который работает с конфиденциальной информацией, расположен на трех этажах здания. Инженерный департамент и отдел Маркетинга также расположены на трех этажах. Используя VLAN, члены Инженерного отдела и отдела Маркетинга могут быть расположены на всех трех этажах как члены двух других VLAN, а Финансовый департамент может быть членом третьей VLAN, которая расположена на всех трех этажах. Сейчас сетевой трафик, создаваемый Финансовым департаментом, будет доступен только сотрудникам этого департамента, а группы Инженерного и отдела Маркетинга не смогут получить доступ к конфиденциальным данным Финансового департамента. Очевидно, есть другие требования для обеспечения полной безопасности, но VLAN может быть частью общей стратегии сетевой безопасности. Показанный ниже рисунок говорит о том, как функционирование VLAN может расширить традиционные границы.

Далее


Спасибо за внимание!


/ Обмен ссылками / Неизвестные сети /