Jump to content

ВЛАН

(Перенаправлено из VLAN )

Виртуальная локальная сеть ( VLAN ) — это любой широковещательный домен , который разделен и изолирован в компьютерной сети на уровне канала передачи данных ( уровень OSI 2 ). [ 2 ] [ 3 ] В этом контексте виртуальный относится к физическому объекту, воссозданному и измененному с помощью дополнительной логики в локальной сети . По сути, VLAN ведет себя как виртуальный коммутатор или сетевой канал, который может использовать одну и ту же физическую структуру с другими VLAN, оставаясь при этом логически отделенными от них. Между сетевыми устройствами VLAN работают путем применения тегов к сетевым кадрам и обработки этих тегов в сетевых системах, создавая внешний вид и функциональность сетевого трафика , который физически находится в одной сети, но действует так, как если бы он был разделен между отдельными сетями. Таким образом, сети VLAN могут разделять сетевые приложения, несмотря на то, что они подключены к одной и той же физической сети, и без необходимости развертывания нескольких наборов кабелей и сетевых устройств.

VLAN позволяют сетевым администраторам группировать хосты, даже если хосты не подключены напрямую к одному и тому же сетевому коммутатору . Поскольку членство в VLAN можно настроить с помощью программного обеспечения, это может значительно упростить проектирование и развертывание сети . Без VLAN группировка хостов по их ресурсам требует усилий по перемещению узлов или переподключению каналов передачи данных . Виртуальные локальные сети позволяют устройствам, которые должны храниться отдельно, совместно использовать кабели физической сети, но при этом не допускать прямого взаимодействия друг с другом. Такое управляемое совместное использование обеспечивает простоту, безопасность , управление трафиком и экономичность. Например, VLAN может использоваться для разделения трафика внутри предприятия на основе отдельных пользователей или групп пользователей или их ролей (например, сетевых администраторов) или на основе характеристик трафика (например, трафик с низким приоритетом не может влиять на остальную часть сети). работа сети). Многие службы интернет-хостинга используют VLAN для отделения частных зон клиентов друг от друга, позволяя группировать серверы каждого клиента в одном сегменте сети независимо от того, где в сети расположены отдельные серверы. дата-центр . Необходимы некоторые меры предосторожности, чтобы предотвратить «ускользание» трафика из данной VLAN — эксплойт, известный как переключение VLAN .

Чтобы разделить сеть на VLAN, необходимо настроить сетевое оборудование . Более простое оборудование может разделить только каждый физический порт (если даже это), и в этом случае каждая VLAN работает по выделенному сетевому кабелю . Более сложные устройства могут маркировать кадры с помощью тегов VLAN , так что одно межсоединение ( магистраль ) может использоваться для передачи данных для нескольких VLAN. Поскольку сети VLAN совместно используют полосу пропускания, магистраль VLAN может использовать агрегацию каналов , определение приоритетов качества обслуживания или и то, и другое для эффективной маршрутизации данных.

Использование

[ редактировать ]

Сети VLAN решают такие проблемы, как масштабируемость , безопасность и управление сетью. Сетевые архитекторы настраивают VLAN для обеспечения сегментации сети . Маршрутизаторы между сетями VLAN фильтруют широковещательный трафик , повышают безопасность сети , выполняют суммирование адресов и уменьшают перегрузку сети .

В сети, использующей широковещательные рассылки для обнаружения служб , назначения и разрешения адресов и других услуг, по мере роста числа одноранговых узлов в сети частота широковещательных рассылок также увеличивается. Сети VLAN могут помочь в управлении широковещательным трафиком путем формирования нескольких широковещательных доменов . Разбиение большой сети на более мелкие независимые сегменты уменьшает объем широковещательного трафика, который приходится переносить каждому сетевому устройству и сетевому сегменту. Коммутаторы не могут соединять сетевой трафик между VLAN, так как это нарушит целостность широковещательного домена VLAN.

VLAN также могут помочь создать несколько сетей уровня 3 в одной физической инфраструктуре. Сети VLAN представляют собой конструкции уровня канала передачи данных (уровень OSI 2), аналогичные Интернет-протокола (IP) подсетям , которые являются конструкциями сетевого уровня (уровень OSI 3). В среде, использующей VLAN, между VLAN и IP-подсетями часто существует связь «один к одному», хотя в одной VLAN можно иметь несколько подсетей.

Без возможности VLAN пользователи распределяются по сетям на основе географического положения и ограничены физической топологией и расстояниями. Сети VLAN могут логически группировать сети, чтобы отделить сетевое расположение пользователей от их физического местоположения. Используя VLAN, можно контролировать структуру трафика и быстро реагировать на перемещения сотрудников или оборудования. Сети VLAN обеспечивают гибкость адаптации к изменениям сетевых требований и позволяют упростить администрирование. [ 3 ]

Сети VLAN можно использовать для разделения локальной сети на несколько отдельных сегментов, например: [ 4 ]

Общая инфраструктура, совместно используемая всеми магистралями VLAN, может обеспечить определенную степень безопасности с большой гибкостью при сравнительно низких затратах. Схемы качества обслуживания могут оптимизировать трафик по магистральным каналам связи в режиме реального времени (например, VoIP ) или с низкой задержкой (например, SAN ). Тем не менее, VLAN как решение безопасности следует внедрять с большой осторожностью, поскольку их можно вывести из строя, если они не будут реализованы тщательно. [ 5 ]

В облачных вычислениях VLAN, IP-адреса и MAC-адреса в облаке представляют собой ресурсы, которыми могут управлять конечные пользователи. Чтобы смягчить проблемы безопасности, размещение облачных виртуальных машин в VLAN может быть предпочтительнее, чем размещение их непосредственно в Интернете. [ 6 ]

Сетевые технологии с возможностями VLAN включают: [ нужна ссылка ]

После успешных экспериментов с передачей голоса через Ethernet с 1981 по 1984 год У. Дэвид Синкоски присоединился к Bellcore и начал решать проблему масштабирования сетей Ethernet. При скорости 10 Мбит/с Ethernet был быстрее, чем большинство альтернатив того времени. Однако Ethernet был широковещательной сетью, и не было хорошего способа соединить несколько сетей Ethernet вместе. Это ограничило общую пропускную способность сети Ethernet до 10 Мбит/с, а максимальное расстояние между узлами — до нескольких сотен футов.

Напротив, хотя скорость существующей телефонной сети для отдельных соединений была ограничена 56 кбит/с (менее одной сотой скорости Ethernet), общая пропускная способность этой сети оценивалась в 1 Тбит/с. [ нужна ссылка ] (в 100 000 раз больше, чем у Ethernet).

Хотя можно было использовать IP-маршрутизацию для соединения нескольких сетей Ethernet, это было дорого и относительно медленно. Синкоски начал искать альтернативы, требующие меньше обработки пакета. В ходе этого процесса он независимо заново изобрел прозрачное мостовое соединение — метод, используемый в современных коммутаторах Ethernet . [ 7 ] Однако использование коммутаторов для отказоустойчивого соединения нескольких сетей Ethernet требует резервных путей через эту сеть, что, в свою очередь, требует конфигурации связующего дерева . Это гарантирует, что существует только один активный путь от любого исходного узла к любому пункту назначения в сети. Это приводит к тому, что центрально расположенные коммутаторы становятся узкими местами, ограничивая масштабируемость по мере того, как все больше сетей подключаются друг к другу.

Чтобы решить эту проблему, Синкоски изобрел виртуальные локальные сети, добавив тег к каждому кадру Ethernet. Эти теги можно рассматривать как цвета, например красный, зеленый или синий. В этой схеме каждый переключатель может быть назначен для обработки кадров одного цвета и игнорировать остальные. Сети могут быть связаны между собой тремя связующими деревьями, по одному для каждого цвета. Отправляя кадры разных цветов, можно улучшить совокупную пропускную способность. Синкоски назвал это многодеревьевым мостом . Он и Чейз Коттон создали и усовершенствовали алгоритмы, необходимые для того, чтобы сделать систему работоспособной. [ 8 ] Этот цвет теперь известен в кадре Ethernet как заголовок IEEE 802.1Q или тег VLAN. Хотя сети VLAN обычно используются в современных сетях Ethernet, они не используются так, как это предполагалось здесь. [ нужны разъяснения ]

В 1998 году сети Ethernet VLAN были описаны в первой редакции стандарта IEEE 802.1Q -1998. [ 9 ] Это было расширено с помощью IEEE 802.1ad , чтобы разрешить вложенные теги VLAN для обслуживания моста провайдера. Этот механизм был улучшен в стандарте IEEE 802.1ah-2008 .

Рекомендации по конфигурации и дизайну

[ редактировать ]

Первые проектировщики сетей часто сегментировали физические локальные сети с целью уменьшения размера домена коллизий Ethernet , тем самым повышая производительность. Когда коммутаторы Ethernet устранили эту проблему (поскольку каждый порт коммутатора является доменом коллизий), внимание было обращено на уменьшение размера широковещательной области канального уровня . Впервые сети VLAN были использованы для разделения нескольких широковещательных доменов в одной физической среде. VLAN также может служить для ограничения доступа к сетевым ресурсам независимо от физической топологии сети. [ а ]

Сети VLAN работают на канальном уровне модели OSI . Администраторы часто настраивают VLAN для сопоставления непосредственно с IP-сетью или подсетью, что создает видимость вовлечения сетевого уровня . Как правило, сетям VLAN в одной организации назначаются разные непересекающиеся диапазоны сетевых адресов . Это не является требованием VLAN. Нет проблем с отдельными VLAN, использующими одинаковые перекрывающиеся диапазоны адресов (например, каждая из двух VLAN использует сеть 192.168.0.0/16 частную ) . Однако невозможно маршрутизировать данные между двумя сетями с перекрывающимися адресами без деликатного переназначения IP- адресов , поэтому, если целью VLAN является сегментация более крупной общей сети организации, непересекающиеся адреса должны использоваться в каждой отдельной VLAN.

Базовый коммутатор, который не настроен для VLAN, имеет функцию VLAN отключенную или постоянно включенную с VLAN по умолчанию , которая содержит все порты на устройстве в качестве участников. [ 3 ] VLAN по умолчанию обычно использует идентификатор VLAN 1. Каждое устройство, подключенное к одному из его портов, может отправлять пакеты на любой из других. Разделение портов по группам VLAN разделяет их трафик во многом аналогично подключению каждой группы с использованием отдельного коммутатора для каждой группы.

Для удаленного управления коммутатором необходимо, чтобы административные функции были связаны с одной или несколькими настроенными сетями VLAN.

В контексте VLAN термин « магистраль» обозначает сетевой канал, по которому проходит несколько VLAN, которые идентифицируются метками (или тегами ), вставленными в их пакеты. Такие транки должны проходить между тегированными портами устройств, поддерживающих VLAN, поэтому они часто представляют собой каналы «коммутатор-коммутатор» или «коммутатор- маршрутизатор» , а не каналы к хостам. (Обратите внимание, что термин «магистраль» также используется для обозначения того, что Cisco называет «каналами»: агрегация каналов или объединение портов ). Маршрутизатор (устройство уровня 3) служит основой для сетевого трафика, проходящего через разные VLAN. Тегирование используется только в том случае, если группа портов VLAN должна быть расширена на другое устройство. Поскольку связь между портами двух разных коммутаторов осуществляется через порты восходящей линии связи каждого задействованного коммутатора, каждая сеть VLAN, содержащая такие порты, также должна содержать порт восходящей линии связи каждого задействованного коммутатора, и трафик через эти порты должен быть помечен.

Коммутаторы обычно не имеют встроенного метода указания VLAN для сопоставления портов кому-либо, работающему в коммутационном щите . Техническому специалисту необходимо либо иметь административный доступ к устройству для просмотра его конфигурации, либо хранить схемы или диаграммы назначения портов VLAN рядом с коммутаторами в каждом коммутационном шкафу.

Протоколы и дизайн

[ редактировать ]

Протокол, наиболее часто используемый сегодня для поддержки VLAN, — это IEEE 802.1Q . Рабочая группа IEEE 802.1 определила этот метод мультиплексирования VLAN, чтобы обеспечить поддержку VLAN от разных поставщиков. До появления стандарта 802.1Q существовало несколько собственных протоколов , таких как Cisco Inter-Switch Link (ISL) и 3Com Virtual LAN Trunk (VLT) компании . Cisco также реализовала VLAN через FDDI , передавая информацию о VLAN в заголовке кадра IEEE 802.10 , что противоречит целям стандарта IEEE 802.10.

И ISL, и IEEE 802.1Q выполняют явную маркировку — сам кадр помечается идентификаторами VLAN. ISL использует внешний процесс маркировки, который не изменяет кадр Ethernet, тогда как 802.1Q использует для маркировки внутреннее поле кадра и, следовательно, изменяет базовую структуру кадра Ethernet. Эта внутренняя маркировка позволяет IEEE 802.1Q работать как на каналах доступа, так и на магистральных каналах с использованием стандартного оборудования Ethernet.

ИЭЭЭ 802.1Q

[ редактировать ]

В соответствии со стандартом IEEE 802.1Q максимальное количество VLAN в данной сети Ethernet составляет 4094 (4096 значений, предоставляемых 12-битным полем VID , минус зарезервированные значения на каждом конце диапазона: 0 и 4095). Это не накладывает такое же ограничение на количество IP-подсетей в такой сети, поскольку одна VLAN может содержать несколько IP-подсетей. IEEE 802.1ad расширяет количество поддерживаемых VLAN за счет поддержки нескольких вложенных тегов VLAN. IEEE 802.1aq (мост по кратчайшему пути) расширяет лимит VLAN до 16 миллионов. Оба улучшения были включены в стандарт IEEE 802.1Q.

[ редактировать ]

Inter-Switch Link (ISL) — это собственный протокол Cisco, используемый для соединения коммутаторов и хранения информации VLAN при передаче трафика между коммутаторами по магистральным каналам. ISL предоставляется в качестве альтернативы IEEE 802.1Q. ISL доступен только на некотором оборудовании Cisco и устарел. [ 11 ]

Транкинговый протокол Cisco VLAN

[ редактировать ]

VLAN Trunking Protocol (VTP) — это собственный протокол Cisco, который распространяет определение VLAN по всей локальной сети. VTP доступен для большинства продуктов семейства Cisco Catalyst . Сопоставимым стандартом IEEE, используемым другими производителями, является протокол регистрации VLAN GARP (GVRP) или более поздний протокол регистрации нескольких VLAN (MVRP).

Протокол регистрации нескольких VLAN

[ редактировать ]

Протокол регистрации множественных VLAN — это приложение протокола множественной регистрации, которое позволяет автоматически настраивать информацию VLAN на сетевых коммутаторах. В частности, он предоставляет метод динамического обмена информацией о VLAN и настройки необходимых VLAN.

Членство

[ редактировать ]

Членство в VLAN может быть установлено статически или динамически.

Статические VLAN также называются VLAN на основе портов. Статические назначения VLAN создаются путем назначения портов VLAN. Когда устройство входит в сеть, оно автоматически принимает на себя VLAN порта. Если пользователь меняет порты и ему требуется доступ к той же VLAN, сетевой администратор должен вручную назначить порт VLAN для нового подключения.

Динамические VLAN создаются с помощью программного обеспечения или протокола. С помощью сервера политики управления VLAN (VMPS) администратор может динамически назначать порты коммутатора VLAN на основе такой информации, как исходный MAC-адрес устройства, подключенного к порту, или имя пользователя, используемое для входа на это устройство. Когда устройство входит в сеть, коммутатор запрашивает в базе данных членство в VLAN порта, к которому подключено устройство. Методы протокола включают протокол регистрации нескольких VLAN (MVRP) и несколько устаревший протокол регистрации VLAN GARP (GVRP).

VLAN на основе протоколов

[ редактировать ]

В коммутаторе, который поддерживает VLAN на основе протокола, трафик может обрабатываться на основе его протокола. По сути, это разделяет или пересылает трафик от порта в зависимости от конкретного протокола этого трафика; трафик любого другого протокола не пересылается на порт. Это позволяет, например, автоматически разделять трафик IP и IPX в сети.

Кросс-соединение VLAN

[ редактировать ]

Кросс-соединение VLAN (CC или VLAN-XC) — это механизм, используемый для создания коммутируемых VLAN. VLAN CC использует кадры IEEE 802.1ad, где тег S используется в качестве метки, как в MPLS . IEEE одобряет использование такого механизма в части 6.11 стандарта IEEE 802.1ad-2005 .

См. также

[ редактировать ]

Примечания

[ редактировать ]
  1. ^ Надежность безопасности VLAN может быть нарушена из-за переключения VLAN . Переключение VLAN можно уменьшить с помощью правильной настройки порта коммутатора. [ 10 ]
  1. ^ «X.225: Информационные технологии – Взаимосвязь открытых систем – Протокол сеанса, ориентированный на соединение: Спецификация протокола» . Архивировано из оригинала 1 февраля 2021 года . Проверено 10 марта 2023 г.
  2. ^ IEEE 802.1Q-2011, 1. Обзор
  3. ^ Перейти обратно: а б с IEEE 802.1Q-2011, 1.4 Цели и преимущества VLAN
  4. ^ Шарма, Комал; Ядав, Мину; Пундир, Мега; Малхотра, Иша; Сингх, Джаскаран (ноябрь 2013 г.). «VLAN и ее реализация через ATM с использованием IP: связь» (PDF) . Дискавери Инжиниринг . 2 (8). Тамилнаду, Индия: Публикация Discovery: 106–7. Архивировано из оригинала (PDF) 18 июня 2015 г. Проверено 6 января 2024 г.
  5. ^ «Безопасность виртуальных локальных сетей: слабые стороны и меры противодействия» , Читальный зал InfoSec Института SANS , Институт SANS, заархивировано из оригинала 18 ноября 2017 г. , получено 18 мая 2018 г.
  6. ^ Эмис А; У CF; Ван Г.К.; Кривети М (21 июня 2012 г.), «Сеть в облаке» (PDF) , IBM DeveloperWorks , заархивировано из оригинала (PDF) 1 ноября 2013 г.
  7. ^ Синкоски, WD (2002) «Широкополосная коммутация пакетов: личный взгляд». IEEE-коммун 40: 54-66.
  8. ^ WD Sincoskie и CJ Cotton, «Расширенные алгоритмы моста для больших сетей», сеть IEEE, январь 1988 г.
  9. ^ Стандарт IEEE. 802.1Q-1998, Локальные сети с виртуальным мостом . 1998. Архивировано из оригинала 21 января 2021 г. Проверено 14 января 2021 г.
  10. ^ Рик Фэрроу. «Небезопасность VLAN» . Архивировано из оригинала 21 апреля 2014 г.
  11. ^ Курс CCNA Exploration по коммутации локальных сетей и беспроводной связи, версия 4.0, раздел 3.2.3

Дальнейшее чтение

[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: e36c68fa8023e00736426cf668c17a8b__1722392340
URL1:https://arc.ask3.ru/arc/aa/e3/8b/e36c68fa8023e00736426cf668c17a8b.html
Заголовок, (Title) документа по адресу, URL1:
VLAN - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)