Призначення мереж VLAN

Одною з важливих функцій, що реалізовуються в технології Ethernet, є віртуальні локальні мережі VLAN, в яких для об'єднання робочих станцій і серверів в логічні групи, використовуються комутатори. Зв'язок пристроїв, що належать до однієї VLAN-мережі, можливий тільки з пристроями цієї ж мережі, тому в загальному мережа функціонує як декілька індивідуальних, не сполучених одна з одною локальних мереж LAN. Важко дати загальне строге визначення мережі VLAN, оскільки різні виробники використовують різні підходи до створення таких мереж.

Мережі VLAN вирішують завдання масштабування мережі, забезпечення безпеки і мережевого управління. В мережах з топологією VLAN маршрутизатори забезпечують фільтрацію широкомовних (broadcast) пакетів, вирішують завдання захисту мережі і управління потоками даних. Мережа VLAN є групою мережевих пристроїв і служб, не обмеженою фізичним сегментом або комутатором.

Рис. 3.1. Мережі VLAN

Компанії часто використовують мережі VLAN, як спосіб логічного групування комп'ютерів користувачів. Це можна порівняти з традиційною організацією робочих місць, в якій декілька відділів, зазвичай, групуються до локального департаменту. В даний час співробітники часто не пов'язані з конкретним фізичним робочим місцем, тому мережі VLAN створюють не фізичну, а логічну групу користувачів. Тобто, мережі VLAN логічно сегментують мережі, що використовують комутацію, на основі їх організаційних функцій, приналежності до різних робочих колективів (груп) або використовуваних додатків, а не на базі фізичного або географічного розташування. Наприклад, всі робочі станції і сервери, використовувані деякою робочою групою, можуть бути об'єднані в одну і ту ж мережу VLAN, незалежно від їх фізичного під'єднання до мережі або розташування на території підприємства. На рис. 3.2 приведений приклад проектування мережі VLAN у фізичній мережі. В даному випадку створюються три мережі VLAN, в яких робочі станції сполучені одна з одною через комутатори, а самі комутатори сполучені один з одним через маршрутизатор.

На рис. 3.3 показано фізичне проектування мережі VLAN, засноване на різних робочих групах компанії і їх розташуванні на різних поверхах офісу.

Рис.3.2.Проектування віртуальної локальної мережі

Рис.3.3.Мережі VLAN

Мережу VLAN можна розглядати як широкомовний домен, який існує в певному наборі комутаторів. Мережі VLAN складаються з ряду кінцевих систем, таких як робочі станції або мережевих пристроїв (мостів і маршрутизаторів), сполучених один з одним через окремий мостовий домен.

Мережі VLAN створюються для реалізації служб сегментації, які в традиційних LAN-конфігураціях зазвичай забезпечуються маршрутизаторами. Комутатори не можуть здійснювати мостові з'єднання між мережами VLAN, оскільки це порушило б цілісність широкомовного домена мережі VLAN. Маршрутизація потоків даних повинна відбуватися тільки при передачі даних між мережами VLAN.

Функціонування мережі VLAN

Мережею VLAN є мережа комутації, яка логічно сегментується відповідно до виконуваних функцій, об'єднанням співробітників в групи або відповідно додатків, що використовуються, незалежно від фізичного розташування користувачів. Мережі VLAN може бути виділений будь-який порт комутатора. Порти, виділені одній і тій же мережі VLAN, мають окремий широкомовний домен. Порти, що не належать до цієї мережі VLAN, не отримують ці широкомовні повідомлення. Це підвищує загальну продуктивність мережі, оскільки зменшується кількість непотрібних широкомовних повідомлень, які займають смугу пропускання мережі. Мережі VLAN можуть бути створені двома описаними нижче способами.

Статичні мережі – цей спосіб також називається членством на базі порта. Призначення портів мережам VLAN створює статичний розподіл VLAN. Коли пристрій під'єднується до порта, він автоматично потрапляє у VLAN-мережу цього порта. Якщо пристрій змінює порт, який використовується для підключення, але йому потрібен доступ до тієї ж мережі VLAN, то мережевий адміністратор повинен включити відповідний порт у потрібну мережу VLAN для нового з’єднання. Приклад показано на рис. 3.4

Рис3.4. Статичні мережі VLAN

Динамічні мережі VLAN – динамічні мережі VLAN створюються з використанням пакетного програмного забезпечення, такого як CiscoWorks 2000. За допомогою сервера політик управління мережами VLAN можна назначити приналежність портів до певної VLAN.

Рис.3.5. Динамічні мережі VLAN

Приналежність пристрою до статичної мережі VLAN на основі портів проілюстровано на рис. 3.6. Конкретній мережі VLAN призначається порт, який не залежить від користувача або системи, приєднаної до даного порту. Це означає, що всі користувачі, приєднані до даного порту, повинні бути членами однієї і тієї ж мережі VLAN. Окрема робоча станція користувача або концентратор, до якого приєднано декілька робочих станцій, можуть бути приєднані до окремого порта комутатора. Призначення портів мережам VLAN зазвичай здійснює мережевий адміністратор. Конфігурація порту в цьому випадку є статичною і переключення порту на іншу VLAN не може бути виконано автоматично без переконфігурування комутатора. Слід звернути увагу на те, що кожна мережа VLAN знаходиться в окремій підмережі, а маршрутизатор використовується для зв'язку між цими під мережами.

Рис.3.6 Статичні віртуальні мережі на основі портів

Коли користувачі під'єднуються до цього спільного сегменту, як це відбувається в традиційних, заснованих на концентраторах, мережах LAN, всі вони використовують загальну смугу пропускання та знаходяться в одному домені колізій. Якщо кількість користувачів, що використовують одну і ту ж смугу пропускання стає дуже великою, то починаються часті колізії і робота додатку користувача стає малопродуктивною. Комутатори зменшують ймовірність колізій за рахунок забезпечення виділеної смуги пропускання між пристроями за допомогою мікросегментації; проте, комутатори як і раніше розсилають всім користувачам широкомовні повідомлення, такі, як повідомлення протоколу ARP. Мережі VLAN забезпечують користувачам велику смугу пропускання в спільному сегменті шляхом створення окремих широкомовних доменів.

За замовчуванням на кожному порті комутатора є мережа VLAN1 або мережа VLAN управління. Видалити мережу управління не можливо, проте можуть бути створені додаткові мережі VLAN, яким можуть бути призначені порти.

Слід пам'ятати про те, що кожен інтерфейс комутатора поводиться як порт моста і в цілому комутатор можна розглядати як багатопортовий міст. Мости фільтрують потоки даних, які не потрібно направляти в інші сегменти. Якщо фрейм з відомою МАС-адресою одержувача необхідно переслати через міст, то міст направляє цей фрейм на відповідний інтерфейс і не направляє на всі інші. Якщо мосту або комутатору не відоме розташування одержувача, то відбувається лавинна розсилка фрейма зі всіх портів в даний широкомовний домен (VLAN), за винятком того порта, з якого цей фрейм поступив.

Мережі VLAN можуть виступати як наскрізні мережі (end-to-end network), які охоплюють все середовище комутатора, або існувати в певних географічних межах. Для комутації пакетів між мережами VLAN необхідно використовувати маршрутизатори. Для виконання такої задачі на маршрутизаторі необхідно кожній віртуальній мережі VLAN присвоїти унікальну адресу 3-го рівня (мережі або підмережі).