VLAN – virtuálna lokálna sieť. Úvod. VLAN ID - čo to je

Ak potrebujete alebo sa rozhodnete pripojiť router / modem od spoločnosti Rostelecom sami, ak potrebujete pripojiť služby IPTV alebo digitálnej telefónie, mali by ste vedieť, čo je VLAN ID a ako ho nájsť.

VLAN ID je identifikačná 12-bitová sada čísel, vďaka ktorej môžete vytvárať viacúrovňové virtuálne siete, ktoré obchádzajú akékoľvek fyzické prekážky, ako je geografická poloha, na prenos určitých informácií do potrebných zariadení. Technológia ViLan je prítomná v zariadeniach, ktoré zabezpečujú vytvorenie jednej spoločnej siete. Zjednodušene povedané, „ViLan“ ID je adresa, na ktorú špeciálne zariadenia, ktoré ho rozpoznávajú (prepínajú), posielajú dátové pakety.

Technológia je celkom pohodlná, má svoje výhody a nevýhody, používa ju Rostelecom na prenos dát: napríklad pre digitálnu televíziu (IPTV). To znamená, že ak sa sami rozhodnete pripojiť alebo nastaviť IPTV, musíte poznať identifikátor. Ako asi tušíte, ruská spoločnosť používa tieto špeciálne sady čísel, aby ľudia na spoločnej „adrese“ mohli používať svoje modemy / smerovače na sledovanie IPTV. To znamená, že tento „maják“ umožňuje rôznym ľuďom prijímať rovnaké informácie.

To sa robí nielen pre pohodlie a obchádzanie fyzických hraníc. Identifikátor umožňuje zabezpečiť prístup do rôznych virtuálnych sietí. Napríklad oddeliť hosťovské pripojenia od podnikových pripojení alebo v prípade IPTV obmedziť prístup na určitých používateľov.

Označovanie návštevnosti

Existujú označené a neoznačené porty. To znamená, že existujú porty, ktoré používajú značky, a sú tie, ktoré ich nepoužívajú. Neoznačený port môže prenášať iba osobnú VLAN, označený port môže prijímať a odosielať prevádzku z rôznych „majákov“.

Značky sú „pripojené“ k prevádzke, aby ju sieťové prepínače mohli rozpoznať a prijať. Tagy používa aj Rostelecom.

Najzaujímavejšie je, že tagy umožňujú - počítače môžu byť pripojené k jednému prepínaču (prepínaču), prijímať signál Wi-Fi z jedného bodu. Zároveň sa však navzájom neuvidia a nedostanú iné údaje, ak patria k rôznym „majákom“. Je to spôsobené tým, že pre jeden ViLan sa používajú určité značky, zatiaľ čo druhé môžu byť vo všeobecnosti neoznačené a neumožňujú prechod tejto návštevnosti.

Povoliť túto funkciu

Tento identifikátor musíte povoliť, aby ho zariadenia, ktoré prijímajú informácie, videli. V opačnom prípade nebudú všetky zašifrované informácie viditeľné.

Preto sa oplatí aktivovať VLAN pre každú konkrétnu službu. Ak je už aktivovaný a neboli ste to vy, stále stojí za to poznať svoju „adresu“.

Bohužiaľ, mnoho moderných podnikov a organizácií prakticky nepoužíva takú užitočnú a často jednoducho potrebnú funkciu poskytovanú najmodernejšími prepínačmi lokálnej siete (LAN), ako je organizácia virtuálnych sietí LAN (VLAN, VLAN) v rámci sieťovej infraštruktúry. Ťažko povedať, čo to spôsobilo. Možno nedostatok informácií o výhodách technológie VLAN, jej zdanlivá zložitosť alebo neochota používať „surový“ nástroj, ktorý nezaručuje interoperabilitu medzi sieťovými zariadeniami rôznych výrobcov (hoci technológia VLAN je už rok štandardizovaná, a všetci poprední výrobcovia aktívnych sieťových zariadení podporujú tento štandard). Preto sa tento článok zameriava na technológiu VLAN. Zváži výhody používania VLAN, najbežnejšie spôsoby organizácie VLAN a interakciu medzi nimi, ako aj vlastnosti budovania VLAN pri použití prepínačov od niektorých známych výrobcov.

prečo je to potrebné

Čo je to VLAN? Ide o skupinu počítačov pripojených k sieti, logicky zoskupených do domény distribúcie vysielaných správ podľa nejakého atribútu. Napríklad skupiny počítačov možno prideliť v súlade s organizačnou štruktúrou podniku (podľa oddelení a
divízie) alebo na základe práce na spoločnom projekte alebo úlohe.

Používanie VLAN má tri hlavné výhody. Ide o oveľa efektívnejšie využitie šírky pásma ako v tradičných LAN, zvýšenú úroveň ochrany prenášaných informácií pred neoprávneným prístupom a zjednodušenie správy siete.

Keďže je celá sieť pri použití VLAN logicky rozdelená do vysielacích domén, informácie sú odosielané členmi VLAN iba iným členom rovnakej VLAN, a nie všetkým počítačom vo fyzickej sieti. Preto je vysielaná prevádzka (zvyčajne generovaná servermi, ktoré oznamujú svoju prítomnosť a schopnosti iným zariadeniam v sieti) obmedzená na vopred definovanú doménu, a nie vysielaná na všetky stanice v sieti. Tým sa dosiahne optimálne rozloženie šírky pásma siete medzi logické skupiny počítačov: pracovné stanice a servery z rôznych VLAN sa navzájom „nevidia“ a navzájom sa nerušia.

Keďže komunikácia prebieha iba v rámci špecifickej siete VLAN, počítače z rôznych virtuálnych sietí nemôžu prijímať prevádzku generovanú v iných sieťach VLAN. Použitie analyzátorov protokolov a nástrojov na monitorovanie siete na zhromažďovanie prevádzky v iných sieťach VLAN, než je tá, v ktorej to chce používateľ urobiť, predstavuje značné ťažkosti. To je dôvod, prečo sú v prostredí VLAN informácie prenášané cez sieť oveľa lepšie chránené pred neoprávneným prístupom.

Ďalšou výhodou používania VLAN je zjednodušenie správy siete. Platí to najmä pre úlohy, ako je pridávanie nových prvkov do siete, ich presúvanie a odstraňovanie. Napríklad, keď sa používateľ VLAN presťahuje do inej miestnosti, aj keď je na inom poschodí alebo v inej budove podniku, správca siete nemusí prepájať káble. Zo svojho pracoviska potrebuje iba príslušne nakonfigurovať sieťové vybavenie. Okrem toho v niektorých implementáciách VLAN môže byť pohyb členov VLAN riadený automaticky bez potreby zásahu správcu. Operácie na vytváranie nových logických skupín používateľov, pridávanie nových členov do skupín môže správca siete vykonávať aj cez sieť bez toho, aby opustil svoje pracovisko. To všetko výrazne šetrí pracovný čas správcu, ktorý môže využiť na riešenie iných nemenej dôležitých úloh.

Metódy organizácie VLAN

Poprední výrobcovia prepínačov pre oddelenia a pracovné skupiny zvyčajne používajú jednu z troch metód na organizáciu sietí VLAN vo svojich zariadeniach: na základe portov, MAC adries alebo protokolov tretej vrstvy. Každá z týchto metód zodpovedá jednej z troch nižších úrovní modelu interakcie otvorených systémov OSI: fyzickej, kanálovej a sieťovej. Existuje štvrtý spôsob organizácie VLAN – založený na pravidlách. V súčasnosti sa používa zriedka, hoci poskytuje väčšiu flexibilitu pri organizovaní sietí VLAN a v blízkej budúcnosti môže byť široko používaný v zariadeniach. Poďme sa rýchlo pozrieť na každú z vyššie uvedených metód organizácie VLAN, ich výhody a nevýhody.

VLAN založené na portoch. Ako už názov metódy napovedá, siete VLAN sú organizované podľa logickej asociácie vybraných fyzických portov prepínača. Správca siete môže napríklad určiť, že porty prepínača očíslované 1, 2, 5 tvoria VLAN1 a porty očíslované 3, 4, 6 tvoria VLAN2 atď. K jednému portu prepínača možno pripojiť niekoľko počítačov (napríklad cez rozbočovač). Všetky budú patriť do rovnakej VLAN - do tej, ku ktorej je priradený port prepínača, ktorý ich obsluhuje. Táto tesná väzba členstva vo VLAN je nevýhodou metódy VLAN založenej na portoch.

VLAN na základe MAC adries. Táto metóda vám umožňuje vybudovať VLAN na základe jedinečnej adresy hexadecimálnej spojovacej vrstvy, ktorú má každý sieťový adaptér servera alebo pracovnej stanice v sieti. Toto je flexibilnejší spôsob organizácie VLAN v porovnaní s predchádzajúcim, pretože zariadenia patriace do rôznych VLAN môžu byť pripojené k rovnakému portu prepínača. Okrem toho prepínač automaticky sleduje pohyby počítača z jedného portu prepínača do druhého a umožňuje vám ponechať presunutý počítač patriaci do konkrétnej siete VLAN bez zásahu správcu siete. Funguje to celkom jednoducho: prepínač udržiava tabuľku zhody medzi MAC adresami počítačov a virtuálnych sietí. Akonáhle sa počítač prepne na iný port prepínača, porovnávajúc pole zdrojovej MAC adresy v hlavičke prvého rámca preneseného po presunutí počítača s údajmi svojej tabuľky, prepínač urobí správny záver, že presunutý počítač patrí do VLAN. . Nevýhodou tohto spôsobu organizácie VLAN je počiatočná pracnosť konfigurácie VLAN, ktorá je plná chýb. Hoci tabuľku MAC adries vytvárajú prepínače automaticky, správca siete si ju musí celú prezrieť a určiť, že táto hexadecimálna MAC adresa zodpovedá takej a takej pracovnej stanici a potom ju priradiť k príslušnej virtuálnej sieti. Je pravda, že následná rekonfigurácia VLAN založenej na MAC bude vyžadovať oveľa menej úsilia ako v prípade VLAN založenej na portoch.

VLAN založená na protokoloch vrstvy 3. Táto metóda sa zriedka používa v prepínačoch na úrovni oddelení a pracovných skupín. Typické je to pre chrbticové smerovacie prepínače, ktoré majú zabudované smerovacie nástroje pre hlavné LAN protokoly - IP, IPX a AppleTalk. Podľa tejto metódy je skupina portov prepínača patriacich do určitej VLAN priradená k určitej podsieti IP alebo sieti IPX. Flexibilitu tu poskytuje skutočnosť, že pohyby používateľov na iný port patriaci do rovnakej VLAN sú sledované prepínačom a nevyžadujú rekonfiguráciu. Výhodou tejto metódy je aj jednoduchosť konfigurácie VLAN, ktorá môže byť vykonaná automaticky, keďže prepínač analyzuje sieťové adresy počítačov priradených ku každej VLAN. Okrem toho, ako už bolo spomenuté, zariadenia podporujúce metódu organizácie VLAN založenú na protokoloch Layer 3 majú vstavané nástroje smerovania, čo umožňuje interakciu medzi rôznymi sieťami VLAN bez použitia ďalších nástrojov. Táto metóda má možno iba jednu nevýhodu - vysokú cenu prepínačov, v ktorých je implementovaná.

Pravidlá založené na VLAN. Predpokladá sa, že prepínač má schopnosť podrobne analyzovať preddefinované polia a dokonca aj jednotlivé bity paketov, ktoré ním prechádzajú, ako mechanizmy na vytváranie VLAN. Táto metóda poskytuje takmer neobmedzené možnosti vytvárania virtuálnych sietí na základe mnohých kritérií. Napríklad aj princípom zahrnutia všetkých používateľov do VLAN, v ktorých počítačoch sú nainštalované sieťové adaptéry zadaného výrobcu. Napriek veľkej flexibilite je proces konfigurácie VLAN založený na pravidlách veľmi časovo náročný. Okrem toho prítomnosť zložitých pravidiel môže nepriaznivo ovplyvniť priepustnosť prepínača, pretože značná časť jeho výpočtového výkonu sa vynaloží na analýzu paketov.

Zariadenia môžu byť tiež automaticky presunuté do VLAN na základe overovacích údajov používateľa alebo zariadenia pri použití protokolu 802.1x.

budovanie distribuovaných sietí VLAN

Moderné siete LAN často obsahujú viac ako jeden prepínač. Počítače patriace do rovnakej VLAN môžu byť pripojené k rôznym prepínačom. Na správne smerovanie prevádzky teda musí existovať mechanizmus, ktorý umožňuje prepínačom vymieňať si informácie o príslušnosti zariadení k nim pripojených vo VLAN. Predtým každý výrobca vo svojich zariadeniach implementoval vlastné mechanizmy na výmenu takýchto informácií. Napríklad v 3Com sa táto technológia nazývala VLT (Virtual LAN Trunk), v Cisco Systems - ISL (Inter-Switch Link). Na vybudovanie distribuovaných VLAN bolo preto potrebné použiť zariadenia od rovnakého výrobcu. Situácia sa dramaticky zlepšila, keď bol prijatý štandard pre budovanie označených VLAN, IEEE 802.1Q, ktorý teraz dominuje svetu VLAN. Okrem iného upravuje aj mechanizmus výmeny informácií o VLAN medzi prepínačmi. Tento mechanizmus vám umožňuje doplniť rámce prenášané medzi prepínačmi o polia označujúce príslušnosť ku konkrétnej VLAN. K dnešnému dňu všetci poprední výrobcovia LAN prepínačov podporujú vo svojich zariadeniach štandard 802.1Q. Preto je už dnes možné budovať virtuálne siete pomocou prepínačov od rôznych výrobcov. Aj keď, ako uvidíte neskôr, aj keď fungujú v súlade s 802.1Q, prepínače od rôznych výrobcov neposkytujú ani zďaleka rovnaké možnosti organizácie VLAN.

organizácia interakcie medzi sieťami VLAN

Počítače umiestnené v rôznych VLAN medzi sebou nemôžu priamo komunikovať. Na organizáciu takejto interakcie musíte použiť smerovač. Predtým sa na to používali bežné smerovače. Okrem toho sa vyžadovalo, aby mal router toľko fyzických sieťových rozhraní, koľko je VLAN. Prepínače navyše museli z každej VLAN vyčleniť jeden port na pripojenie smerovača. Vzhľadom na vysoké náklady na porty smerovača boli náklady na takéto riešenie veľmi vysoké. Okrem toho konvenčný smerovač priniesol značné oneskorenie pri prenose dát medzi sieťami VLAN. Dnes sa na prenos dát medzi sieťami VLAN používajú smerovacie prepínače, ktoré majú nízku cenu za port a vykonávajú hardvérové ​​smerovanie prevádzky rýchlosťou komunikačného kanála. Smerovacie prepínače tiež zodpovedajú štandardu IEEE 802.1Q a na organizáciu komunikácie medzi distribuovanými VLAN potrebujú na pripojenie každého z prepínačov pracovnej skupiny, ktoré pripájajú do siete zariadenia zodpovedajúce rôznym VLAN, iba jeden port. Inými slovami, cez jeden port moderného smerovacieho prepínača je možné vymieňať informácie medzi zariadeniami z rôznych VLAN.

využívanie zdieľaných sieťových zdrojov počítačmi rôznych VLAN

Veľmi zaujímavá je možnosť organizácie prístupu k zdieľaným sieťovým zdrojom (sieťové servery, tlačiarne atď.) pre počítače patriace do rôznych VLAN. Výhody tejto možnosti sú zrejmé. Po prvé, nie je potrebné kupovať smerovač alebo smerovací prepínač, ak nepotrebujete organizovať priamu výmenu údajov medzi počítačmi z rôznych sietí VLAN. Je možné zabezpečiť interakciu medzi počítačmi rôznych VLAN cez sieťový server, ku ktorému majú prístup všetky alebo viaceré VLAN. Po druhé, pri zachovaní všetkých výhod používania VLAN si nemôžete zakúpiť servery pre každú VLAN samostatne, ale použiť tie všeobecné.

Najjednoduchší spôsob, ako poskytnúť prístup k rovnakému serveru používateľom z rôznych sietí VLAN, je nainštalovať niekoľko sieťových adaptérov na server a pripojiť každý z týchto adaptérov k prepínacím portom patriacim do rôznych sietí VLAN. Tento prístup má však obmedzenie v počte VLAN (veľa sieťových adaptérov nie je možné nainštalovať na server), kladie prísne požiadavky na komponenty servera (ovládače sieťového adaptéra vyžadujú zvýšenie množstva pamäte RAM, veľké zaťaženie CPU a serverová I/O zbernica atď.) a neprispieva k úspore peňazí (použitie viacerých sieťových adaptérov a dodatočných portov prepínača).

S príchodom štandardu IEEE 802.1Q bolo možné prenášať informácie týkajúce sa všetkých alebo niekoľkých VLAN cez jeden port prepínača. Ako už bolo spomenuté vyššie, prepínač (alebo iné zariadenie, ktoré podporuje 802.1Q) pridá do rámca prenášaného cez sieť pole, ktoré jednoznačne určuje, či rámec patrí do konkrétnej VLAN. K takémuto portu je možné len jednou komunikačnou linkou pripojiť server spoločný pre všetky VLAN. Jedinou podmienkou je, že sieťový adaptér servera musí podporovať štandard 802.1Q, aby server vedel, z ktorej VLAN požiadavka prišla, a teda kam poslať odpoveď. Takto je oddelenie serverov medzi sieťami VLAN implementované v prepínačoch riadených oddeleniami a pracovnými skupinami v spoločnostiach 3Com, Hewlett-Packard a Cisco Systems.

záver

Ako vidíte, siete VLAN sú výkonným sieťovým nástrojom, ktorý dokáže vyriešiť problémy správy, bezpečnosti prenosu dát, riadenia prístupu k informačným zdrojom a výrazne zvýšiť efektivitu využívania šírky pásma siete.

Oleg Podukov, vedúci technického oddelenia KOMPLET

Na stránkach našej stránky sme v návode na nastavenie rôznych smerovačov a vytvorenie firemnej siete opakovane použili pojem VLAN. Moderná technológia vlan si však vyžaduje podrobné štúdium, preto je ďalšia séria článkov venovaná charakteristikám a konfigurácii „vlan“ na rôznych zariadeniach.

Tento materiál je akýmsi „úvodným slovom“ a tu sa pozrieme na to, čo je VLAN a ako technológia VLAN pomáha pri nastavovaní siete.

Vlan: čo je?

VLAN je technológia, ktorá vám umožňuje konfigurovať viacero domén virtuálneho vysielania v rámci jednej fyzickej domény vysielania.

Inými slovami, pri použití niekoľkých alebo jedného prepínača je možné rozlišovať medzi používateľskými počítačmi na základe príslušnosti k určitému oddeleniu alebo v prípade serverov podľa určitých rolí a špecifík ich práce. .

V tomto prípade sa súčasne rieši niekoľko problémov:

• - počet žiadostí o vysielanie klesá, ;

• - sa zlepšuje, pretože možnosť odpočúvania prevádzky zamestnancami tretích strán, ktorí nie sú zahrnutí do tejto konkrétnej siete VLAN, je vylúčená;
• - je možné územne oddeliť rôzne oddelenia a divízie na základe príslušnosti. To znamená, že napríklad zamestnanci oddelenia ľudských zdrojov, ktorí nie sú v tej istej budove, sa budú môcť navzájom „vidieť“ v rámci svojej vlastnej podsiete.

Sieťová architektúra využíva siete VLAN na poskytovanie sieťovej segmentácie služieb, ktorú zvyčajne vykonávajú smerovače, ktoré filtrujú vysielanie medzi rôznymi sieťami VLAN, zlepšujú bezpečnosť siete, vykonávajú agregáciu podsietí a znižujú preťaženie siete. Prepínače nemôžu preposielať prevádzku medzi sieťami VLAN z dôvodu obmedzenia stanoveného vysielacou doménou.

Niektoré prepínače môžu mať funkcie 3. sieťovej vrstvy modelu OSI, ktorá ukladá a používa na vykonávanie prenosu prevádzky medzi podsieťami. V tomto prípade sa na prepínači vytvorí virtuálne rozhranie konkrétnej VLAN so špecifickým a. Toto rozhranie funguje ako rola pre zariadenia v tejto VLAN.

Na čo je vlan?

V sieťach založených na vysielaní prenosu do všetkých zariadení na nájdenie rovesníkov sa so zvyšujúcim sa počtom rovesníkov zvyšuje aj objem vysielaného prenosu (ktorý má potenciál takmer úplne vytlačiť užitočné zaťaženie v sieti).

Na druhej strane siete VLAN pomáhajú znižovať sieťovú prevádzku tým, že vytvárajú viacero vysielacích domén, čím rozdeľujú veľkú sieť na niekoľko menších nezávislých segmentov s malým počtom žiadostí o vysielanie odoslaných na každé zariadenie celej siete ako celku.

Technológia VLAN tiež pomáha vytvárať viacero sietí OSI Layer 3 na rovnakej fyzickej infraštruktúre. Napríklad, ak je distribúcia IP adries súčasťou prepínača v určitej VLAN, zariadenia dostanú adresy iba v rámci tejto VLAN. Ak je server DHCP povolený kmeňom so sadou niekoľkých sietí VLAN, zariadenia zo všetkých týchto sietí VLAN budú môcť prijímať adresy.

VLAN funguje na 2. kanáli, vrstve modelu siete OSI, podobne ako podsiete IP, ktoré fungujú na 3. vrstve siete. Zvyčajne má každá VLAN svoju vlastnú IP podsieť, aj keď existujú výnimky, keď v jednej VLAN môže existovať niekoľko rôznych podsietí. Táto technológia je v Cisco známa ako „ip sekundárny“ a v Linuxe ako „ip alias“.

V starších sieťových technológiách boli používateľom prideľované podsiete na základe ich geografickej polohy. Z tohto dôvodu boli obmedzené fyzickou topológiou a vzdialenosťou. Technológia VLAN tiež umožňuje logicky zoskupovať geograficky odlišných používateľov do rovnakých skupín podsietí bez ohľadu na ich fyzickú polohu. Pomocou sietí VLAN môžete jednoducho spravovať vzorce premávky a rýchlo reagovať na pohyby používateľov.

Technológia VLAN poskytuje flexibilné prispôsobenie sa zmenám v sieti a zjednodušuje správu.

príklady použitia vlan

Príklad rozdelenia siete na niekoľko VLAN podľa segmentov v závislosti od rolí a použitých technológií:

1. 1) Produktívna VLAN
2. 2) VoIP
3. 3) Správa siete
4. 4) SAN - sieť na ukladanie dát
5. 5) Sieť pre hostí
6. 6) DMZ zóny
7. 7) Oddelenie klientov (v prípade poskytovateľa služieb alebo dátového centra)

Najčastejšie používaným štandardom pre konfiguráciu VLAN je IEEE 802.1Q, pričom Cisco má svoj vlastný ISL štandard a 3Com má VLT. IEEE 802.1Q aj ISL majú podobný mechanizmus fungovania nazývaný „explicitné označovanie“ – dátový rámec je označený informáciou o členstve vo VLAN. Rozdiel medzi nimi je v tom, že ISL používa proces externého označovania bez úpravy pôvodného ethernetového rámca, zatiaľ čo 802.1Q používa proces interného označovania s úpravou rámca.

VLAN sú virtuálne siete, ktoré existujú na druhej úrovni modelu OSI. To znamená, že VLAN je možné konfigurovať na druhej úrovni. Ak sa pozriete na VLAN, abstrahujeme od konceptu „virtuálnych sietí“, potom môžeme povedať, že VLAN je len štítok v rámci, ktorý sa prenáša cez sieť. Značka obsahuje číslo VLAN (nazýva sa VLAN ID alebo VID), ktoré má priradených 12 bitov, to znamená, že wealan môže byť očíslovaný od 0 do 4095. Prvé a posledné číslo sú rezervované, nemožno ich použiť. Pracovné stanice zvyčajne nevedia nič o VLAN (pokiaľ nenakonfigurujete VLAN na kartách). Prepínače na ne myslia. Na portoch prepínačov je uvedené, v ktorej VLAN sa nachádzajú. V závislosti od toho je všetka prevádzka, ktorá odchádza cez port, označená štítkom, to znamená VLAN. Každý port má teda PVID ( port vlan identifikátor).Táto prevádzka potom môže prechádzať cez iné porty prepínača(ov), ktoré sú v tejto VLAN a neprejde cez všetky ostatné porty. V dôsledku toho sa vytvorí izolované prostredie (podsieť), ktoré bez prídavného zariadenia (smerovača) nemôže interagovať s inými podsieťami.

Prečo sú potrebné buriny?

• Schopnosť vybudovať sieť, ktorej logická štruktúra nezávisí od fyzickej. To znamená, že topológia siete na úrovni spojenia je vybudovaná bez ohľadu na geografickú polohu jednotlivých komponentov siete.
• Schopnosť rozdeliť jednu vysielaciu doménu do viacerých vysielacích domén. To znamená, že vysielaná prevádzka z jednej domény neprechádza do inej domény a naopak. Tým sa znižuje zaťaženie sieťových zariadení.
• Schopnosť zabezpečiť sieť pred neoprávneným prístupom. To znamená, že na vrstve dátového spojenia budú rámce od iných Wealanov odrezané portom prepínača bez ohľadu na to, na ktorej zdrojovej IP adrese je paket v tomto rámci zapuzdrený.
• Schopnosť aplikovať politiky na skupinu zariadení, ktoré sú v rovnakom wilan.
• Schopnosť používať virtuálne rozhrania na smerovanie.

Príklady použitia VLAN

• Spojenie počítačov pripojených k rôznym prepínačom do jednej siete. Povedzme, že máte počítače, ktoré sú pripojené k rôznym prepínačom, ale je potrebné ich spojiť do jednej siete. Niektoré počítače spojíme do virtuálnej lokálnej siete VLAN 1 a ďalšie - do siete VLAN 2. Vďaka funkcii VLAN počítače v každej virtuálnej sieti budú fungovať, ako keby boli pripojené k rovnakému prepínaču. Počítače z rôznych virtuálnych sietí VLAN 1 A VLAN 2 budú navzájom neviditeľné.

• Rozdelenie počítačov pripojených k rovnakému prepínaču do rôznych podsietí. Na obrázku sú počítače fyzicky pripojené k rovnakému prepínaču, ale rozdelené do rôznych virtuálnych sietí VLAN 1 A VLAN 2. Počítače z rôznych virtuálnych podsietí budú navzájom neviditeľné.

• Oddelenie hosťovskej Wi-Fi siete a Wi-Fi siete podniku. Na obrázku je jeden prístupový bod Wi-Fi fyzicky pripojený k smerovaču. Na bode boli vytvorené dva virtuálne Wi-Fi body s názvami hotspot A kancelária. TO hotspot notebooky pre hostí budú pripojené cez Wi-Fi na prístup na internet a kancelária podnikové notebooky. Z bezpečnostných dôvodov je potrebné, aby hosťovské notebooky nemali prístup do podnikovej siete. Na tento účel podnikové počítače a virtuálny bod Wi-Fi kancelária pripojený k virtuálnej lokálnej sieti VLAN 1 a notebooky pre hostí budú vo virtuálnej sieti VLAN 2. Hosťovské notebooky zo siete VLAN 2 nebude mať prístup do podnikovej siete VLAN 1.

Výhody používania VLAN

• Flexibilné rozdelenie zariadení do skupín
• Jedna podsieť zodpovedá spravidla jednej VLAN. Počítače umiestnené v rôznych VLAN budú od seba izolované. Môžete tiež kombinovať počítače pripojené k rôznym prepínačom do jednej virtuálnej siete.
• Zníženie vysielania v sieti
• Každá VLAN predstavuje samostatnú vysielaciu doménu. Vysielaná prevádzka sa nebude vysielať medzi rôznymi sieťami VLAN. Ak nakonfigurujete rovnakú sieť VLAN na rôznych prepínačoch, potom porty rôznych prepínačov vytvoria jednu vysielaciu doménu.
• Zvýšte bezpečnosť a spravovateľnosť siete
• V sieti rozdelenej na virtuálne podsiete je vhodné aplikovať politiky a bezpečnostné pravidlá pre každú VLAN. Politika sa použije na celú podsieť, nie na jedno zariadenie.
• Zníženie množstva zariadení a sieťového kábla
• Vytvorenie novej VLAN nevyžaduje nákup prepínača a položenie sieťového kábla. Musíte však použiť drahšie riadené prepínače s podporou VLAN.

Označené a neoznačené porty

Keď port musí byť schopný prijímať alebo odosielať prevádzku z rôznych sietí VLAN, musí byť v stave označenia alebo kmeňa. Koncepty diaľkového portu a označeného portu sú rovnaké. Združený alebo označený port môže štandardne prenášať buď individuálne špecifikované siete VLAN alebo všetky siete VLAN, pokiaľ nie je uvedené inak. Ak port nie je označený, môže prenášať iba jednu VLAN (natívnu). Ak port nešpecifikuje, v ktorej VLAN sa nachádza, potom sa predpokladá, že je v neoznačenom stave v prvej VLAN (VID 1).

Rôzne zariadenia sú v tomto prípade konfigurované odlišne. Pre jedno zariadenie musíte na fyzickom rozhraní špecifikovať, v akom stave sa toto rozhranie nachádza, a na druhom, v konkrétnej VLAN, musíte určiť, ktorý port je umiestnený ako - s alebo bez tagu. A ak je potrebné, aby tento port prechádzal cez niekoľko VLAN, potom v každej z týchto VLAN musíte tento port zaregistrovať pomocou značky. Napríklad v prepínačoch Enterasys Networks musíme špecifikovať, v ktorej VLAN je konkrétny port a pridať tento port do zoznamu výstupov tejto VLAN, aby prevádzka mohla prechádzať cez tento port. Ak chceme, aby prevádzka inej VLAN prechádzala cez náš port, tak tento port pridáme aj na výstupný zoznam tejto VLAN. Na výbave HP(napr. prepínače ProCurve) v samotnej VLAN uvádzame, ktoré porty môžu prenášať prevádzku tejto VLAN a pridáme stav portov – označené alebo neoznačené. Najjednoduchšie na hardvér Cisco Systems. Na takýchto prepínačoch jednoducho uvádzame, ktoré porty nie sú označené akými sieťami VLAN (sú v prístup) a ktoré porty sú v označenom stave (sú v kmeň).

Ak chcete nastaviť porty na kmeň boli vytvorené špeciálne protokoly. Jeden z nich má štandard IEEE 802.1Q. Ide o medzinárodný štandard, ktorý podporujú všetci výrobcovia a ktorý sa najčastejšie používa na nastavenie virtuálnych sietí. Okrem toho môžu mať rôzni výrobcovia svoje vlastné protokoly prenosu údajov. Napríklad, Cisco vytvoril protokol pre moje vybavenie ISL (Inter Switch Lisk).

Smerovanie medzi vlanami

Čo je to medzivlnové smerovanie? Toto je normálne smerovanie podsiete. Jediný rozdiel je v tom, že každá podsieť zodpovedá VLAN na druhej úrovni. Čo to znamená. Povedzme, že máme dve siete VLAN: VID = 10 a VID = 20. Na druhej úrovni tieto siete VLAN rozdeľujú jednu sieť na dve podsiete. Hostitelia, ktorí sú v týchto podsieťach, sa navzájom nevidia. To znamená, že doprava je úplne izolovaná. Aby hostitelia mohli medzi sebou komunikovať, je potrebné smerovať prevádzku týchto VLAN. Aby sme to dosiahli, musíme každej z VLAN na tretej úrovni priradiť rozhranie, to znamená pripojiť k nim IP adresu. Napríklad pre VID = 10 bude adresa IP 10.0.10.1/24 a pre VID = 20 bude adresa IP 10.0.20.1/24. Tieto adresy budú naďalej fungovať ako brány na prístup do iných podsietí. Môžeme teda smerovať hostiteľský prenos z jednej VLAN do inej VLAN. Čo nám dáva VLAN smerovanie v porovnaní s jednoduchým sieťovým smerovaním bez použitia VLAN? A tu je čo:

• Možnosť stať sa členom inej podsiete na strane klienta je zablokovaná. To znamená, že ak je hostiteľ v určitej VLAN, tak aj keď zmení svoju adresu z inej podsiete, stále zostane vo VLAN, kde bol. To znamená, že nezíska prístup do inej podsiete. A to zase ochráni sieť pred „zlými“ klientmi.
• Do VLAN môžeme umiestniť niekoľko fyzických rozhraní prepínača. To znamená, že máme možnosť okamžite nakonfigurovať smerovanie na prepínači tretej úrovne pripojením sieťových klientov k nemu bez použitia externého smerovača. Alebo môžeme použiť externý smerovač pripojený k prepínaču druhej úrovne s nakonfigurovanými sieťami VLAN a vytvoriť toľko podrozhraní na porte smerovača, koľko je celkový počet sietí VLAN, ktoré potrebuje na smerovanie.
• Medzi prvou a treťou úrovňou je veľmi vhodné použiť druhú vrstvu vo forme VLAN. Je vhodné označiť podsiete ako VLAN so špecifickými rozhraniami. Je vhodné nastaviť jednu VLAN a dať do nej veľa portov prepínača. A vo všeobecnosti je veľa vecí pohodlných, keď existuje VLAN.

Predstavme si takú situáciu. Máme kanceláriu malej spoločnosti, ktorá má vo svojom arzenáli 100 počítačov a 5 serverov. Zároveň v tejto spoločnosti pracujú rôzne kategórie zamestnancov: manažéri, účtovníci, personalisti, technickí špecialisti, správcovia. Je potrebné, aby každé z oddelení pracovalo vo vlastnej podsieti. Ako rozlíšiť prevádzku tejto siete? Vo všeobecnosti existujú dve takéto metódy: prvou metódou je rozdelenie skupiny IP adries na podsiete a pridelenie podsiete pre každé oddelenie, druhou metódou je použitie VLAN.

VLAN (Virtual Local Area Network) je skupina sieťových uzlov, ktorých prevádzka vrátane vysielania je na úrovni linky úplne izolovaná od prevádzky ostatných sieťových uzlov. V moderných sieťach sú VLAN hlavným mechanizmom na vytváranie logickej topológie siete, ktorá je nezávislá od jej fyzickej topológie.

Technológia VLAN je definovaná v dokumente IEEE 802.1q, otvorenom štandarde, ktorý popisuje postup označovania na prenos informácií o členstve vo VLAN. 802.1q vkladá do ethernetového rámca značku, ktorá prenáša informácie o tom, či prevádzka patrí do VLAN.

Zvážte polia VLAN TAG:

• TPID (Tag Protocol Identifier) ​​​​— identifikátor protokolu označovania. Určuje, ktorý protokol sa používa na označovanie. Pre 802.1Q je hodnota 0x8100.
• Priorita - priorita. Používa sa na nastavenie priority prenášanej prevádzky (QoS).
• CFI (Canoncial Format Indicator) - označuje formát MAC adresy (Ethernet alebo Token Ring).
• VID (Vlan Indentifier) ​​​​– identifikátor VLAN. Určuje, do ktorej siete VLAN rám patrí. Môžete zadať číslo od 0 do 4094.

Pri odosielaní rámcov počítač nevie, v akej VLAN sa nachádza – robí to prepínač. Switch vie, ku ktorému portu je počítač pripojený a na základe toho určí, v ktorej VLAN sa tento počítač nachádza.

Prepínač má dva typy portov:

• Označený port (označený, kmeňový) - port, cez ktorý môžete odosielať alebo prijímať prevádzku z niekoľkých skupín VLAN. Pri prenose cez označený port sa do rámca pridá značka VLAN. Používa sa na pripojenie k prepínačom, smerovačom (teda k tým zariadeniam, ktoré rozpoznávajú značky VLAN).
• Neoznačený port (neoznačený, prístup) — port, cez ktorý sa prenášajú neoznačené rámce. Používa sa na pripojenie ku koncovým uzlom (počítače, servery). Každý neoznačený port je v špecifickej VLAN. Keď sa prevádzka prenáša z tohto portu, značka VLAN sa odstráni a neoznačená prevádzka ide do počítača (ktorý nerozpozná sieť VLAN). V opačnom prípade, keď sa prevádzka prijme na neoznačený port, pridá sa k nemu značka VLAN.

Konfigurácia VLAN na riadenom prepínači Dlink DES-3528

Séria prepínačov DES-3528/3552 xStack je stohovateľný prepínač prístupovej vrstvy L2+, ktorý bezpečne pripája koncových používateľov k veľkým podnikom a sieťam malých a stredných podnikov (SMB). Prepínače poskytujú fyzické stohovanie, statické smerovanie, podporu skupiny multicast a pokročilé funkcie zabezpečenia. To všetko robí z tohto zariadenia ideálne riešenie prístupovej vrstvy. Prepínač sa ľahko integruje s prepínačmi na základnej úrovni L3 a vytvára tak viacvrstvovú sieťovú štruktúru s vysokorýchlostnou chrbticou a centralizovanými servermi. Prepínače série DES-3528/3552 sú vybavené 24 alebo 48 10/100Mbps Ethernet portami a podporujú až 4 Gigabit Ethernet uplink porty.

Zvážte princípy konfigurácie VLAN na riadených prepínačoch Dlink. V priebehu práce budeme študovať spôsoby, ako vytvoriť, odstrániť, zmeniť VLAN, pridať rôzne typy portov (označené a neoznačené).

Pripojenie k prepínaču sa vykonáva cez konzolový port pomocou programu HyperTerminal.

Na zobrazenie informácií o existujúcich VLAN použite príkaz show vlan.

Na obrázku vyššie môžete vidieť, že pôvodne bola na prepínači vytvorená iba jedna predvolená sieť VLAN s názvom default. Príkaz show vlan zobrazí nasledujúce polia:

• VID - VLAN ID
• Typ VLAN - Typ VLAN
• Členské porty - Zapojené porty
• Statické porty - statické porty
• Aktuálne označené porty – aktuálne označené porty
• Aktuálne neoznačené porty – aktuálne neoznačené porty
• Static Tagged Ports - statické označené porty
• Statické neoznačené porty – statické neoznačené porty
• Total Entries – celkový počet záznamov
• Názov VLAN – názov VLAN
• Inzerát - stav

Vytvorme si novú VLAN, v ktorej sú ako názov použité iniciály AA a ako identifikátor číslo 22. Použijeme na to príkaz create vlan.

Nová VLAN zatiaľ neobsahuje žiadne porty. Pomocou config vlan zmeníme VLAN AA tak, aby sa v nej objavili označené porty 10, 14-17 a neoznačené porty 2-5.

Príkazom show vlan zobrazíme informácie o vytvorených VLAN.

Je známe, že označené porty môžu patriť viacerým sieťam VLAN, zatiaľ čo neoznačené porty môžu patriť iba jednej sieti VLAN. V súčasnosti sú označené aj neoznačené porty v predvolenom nastavení VLAN a VLAN AA. Pomocou príkazu config vlan odstránime všetky porty zapojené do VLAN AA z predvoleného nastavenia VLAN.

Z vyššie uvedeného obrázku môžete vidieť, že porty 2-5, 10, 14-17 sú teraz iba vo VLAN AA.

Zvážte rozdelenie siete do rôznych VLAN. Obvod je zostavený v rozvodnej skrini a je nakonfigurovaná podsieť 10.0.0.0 /8.

V počiatočnom okamihu sú všetky počítače v rovnakej podsieti a navzájom si pingujú. Je potrebné ich oddeliť tak, aby v jednej VLAN boli PC22, PC20, PC18 a v inej VLAN PC 19, PC21. Na tento účel vytvoríme dve siete VLAN:

• VLAN=10 s názvom net1 (PC18, PC20, PC22)
• VLAN=20 s názvom net2 (PC19, PC21)

Na základe schémy bol vyvinutý plán konfigurácie portov pre prepínače. Zároveň bolo zohľadnené, že pre počítače je potrebné používať neoznačené porty a pre komunikáciu medzi prepínačmi označované porty. Pri konfigurácii prepínačov boli označené porty umiestnené vo VLAN=10 a VLAN=20 a neoznačené porty boli umiestnené iba vo VLAN, do ktorej patrí počítač.

Na každom z prepínačov musíte nakonfigurovať porty podľa schémy. Obrázok nižšie ukazuje príklad nastavenia SW5. Na začiatku sa vytvorí vlan s identifikátorom net1 a štítkom 10. Ďalej vytvoríme druhú vlan net2 s označením 20. Potom pridáme porty prepínača k príslušným vlanom. Port 1 je pripojený k PC22, ktorý je vo VLAN 10. Takže 1 port bude neoznačený. Druhý port je pripojený k SW4 podľa schémy a musí cez seba prechádzať VLAN 10 a 20.

Zostávajúce prepínače sú konfigurované analogicky.

Pomocou príkazu show vlan zobrazíme každú z VLAN, ktorú sme vytvorili.