Виртуальная локальная сеть - Virtual LAN

А виртуальная локальная сеть (VLAN) любой широковещательный домен это разделенный и изолированы в компьютерная сеть на уровень канала передачи данных (Уровень OSI 2 ).^[1]^[2] LAN это сокращение от локальная сеть и в этом контексте виртуальный относится к физическому объекту, воссозданному и измененному с помощью дополнительной логики. Сети VLAN применяют теги к сетевым кадрам и обрабатывают эти теги в сетевых системах, создавая внешний вид и функциональность сетевой трафик который физически находится в одной сети, но действует так, как будто он разделен между отдельными сетями. Таким образом, виртуальные локальные сети могут разделять сетевые приложения, несмотря на то, что они подключены к одной и той же физической сети, и без необходимости развертывания нескольких наборов кабелей и сетевых устройств.

VLAN позволяют сетевые администраторы группировать хосты вместе, даже если хосты не подключены напрямую к одному и тому же Сетевой коммутатор. Поскольку членство в VLAN можно настроить с помощью программного обеспечения, это может значительно упростить сетевой дизайн и развертывание. Без VLAN группировка хостов в соответствии с их ресурсами требует трудозатрат по перемещению. узлы или перенастройка ссылки на данные. Сети VLAN позволяют устройствам, которые должны храниться отдельно, совместно использовать кабели физической сети и при этом не допускать прямого взаимодействия друг с другом. Этот управляемый обмен дает выигрыш в простоте, безопасность, управление движением, и экономия. Например, виртуальная локальная сеть может использоваться для разделения трафика внутри компании на основе отдельных пользователей или групп пользователей или их ролей (например, сетевых администраторов) или на основе характеристик трафика (например, трафик с низким приоритетом не может влиять на остальную часть сети). сети). Много Услуги Интернет-хостинга использовать VLAN для отделения частных зон клиентов друг от друга, что позволяет группировать серверы каждого клиента в один сегмент сети, независимо от того, где отдельные серверы расположены в Дата центр. Необходимы некоторые меры предосторожности для предотвращения «утечки» трафика из данной VLAN. Эта уязвимость известна как Переключение VLAN.

Чтобы разделить сеть на VLAN, нужно настроить сетевое оборудование. Более простое оборудование может разделять только каждый физический порт (если даже так), и в этом случае каждая VLAN работает через выделенный сетевой кабель. Более сложные устройства могут маркировать кадры через Маркировка VLAN, так что одно межсоединение (ствол ) может использоваться для передачи данных для нескольких VLAN. Поскольку сети VLAN совместно используют пропускную способность, магистраль VLAN может использовать агрегирование ссылок, качество обслуживания приоритезация или и то, и другое для эффективной маршрутизации данных.

Использует

VLAN решают такие проблемы, как масштабируемость, безопасность и управление сетью. Сетевые архитекторы настраивают VLAN для обеспечения сегментация сети. Маршрутизаторы между фильтрами VLAN широковещательный трафик, усилить сетевая безопасность, выполнить обобщение адресов, и смягчить перегрузка сети.

В сети, использующей трансляции для обнаружение службы, адрес назначение и разрешающая способность и другие сервисы, поскольку количество пиров в сети растет, частота широковещательных рассылок также увеличивается. Сети VLAN могут помочь управлять широковещательным трафиком, формируя несколько широковещательные домены. Разделение большой сети на более мелкие независимые сегменты снижает объем широковещательного трафика, который приходится нести каждому сетевому устройству и сетевому сегменту. Коммутаторы не могут передавать сетевой трафик между VLAN, поскольку это нарушит целостность широковещательного домена VLAN.

VLAN также могут помочь создать несколько слой 3 сети в единой физической инфраструктуре. VLAN уровень канала передачи данных (Уровень 2 OSI) конструкции, аналогичные протокол Интернета (IP) подсети, которые сетевой уровень (Уровень 3 OSI) создает. В среде, использующей VLAN, часто существует взаимно однозначное отношение между VLAN и IP-подсетями, хотя возможно наличие нескольких подсетей в одной VLAN.

Без возможности VLAN пользователи распределяются по сетям на основе географического положения и ограничены физической топологией и расстояниями. VLAN могут логически группировать сети, чтобы отделить сетевое местоположение пользователей от их физического местоположения. Используя VLAN, можно контролировать шаблоны трафика и быстро реагировать на перемещения сотрудников или оборудования. VLAN обеспечивают гибкость, позволяющую адаптироваться к изменениям сетевых требований, и упрощают администрирование.^[2]

VLAN можно использовать для разделения локальной сети на несколько отдельных сегментов, например:^[3]

Общая инфраструктура, совместно используемая через магистрали VLAN, может обеспечить определенную степень безопасности с большой гибкостью при сравнительно небольших затратах. Схемы качества обслуживания могут оптимизировать трафик по магистральным каналам в реальном времени (например, VoIP ) или требования к низкой задержке (например, SAN ). Однако виртуальные локальные сети в качестве решения безопасности следует внедрять с большой осторожностью, поскольку они могут быть побеждены, если не будут реализованы тщательно.^[4]

В облачные вычисления VLAN, IP-адреса и MAC-адреса в облаке - это ресурсы, которыми могут управлять конечные пользователи. Чтобы уменьшить проблемы с безопасностью, размещение виртуальных машин в облаке в сетях VLAN может быть предпочтительнее, чем размещение их непосредственно в Интернете.^[5]

Сетевые технологии с возможностями VLAN включают:^{[нужна цитата ]}

История

После успешных экспериментов с передачей голоса по Ethernet с 1981 по 1984 г. В. Дэвид Синкоски присоединился Bellcore и приступили к решению проблемы расширения сетей Ethernet. На скорости 10 Мбит / с Ethernet был быстрее большинства альтернатив в то время. Однако Ethernet был широковещательной сетью, и не существовало хорошего способа соединить несколько сетей Ethernet вместе. Это ограничивало общую пропускную способность сети Ethernet до 10 Мбит / с, а максимальное расстояние между узлами - до нескольких сотен футов.

Напротив, хотя скорость существующей телефонной сети для отдельных подключений была ограничена до 56 кбит / с (менее одной сотой скорости Ethernet), общая пропускная способность этой сети оценивалась в 1 Тбит / с.^{[нужна цитата ]} (В 100000 раз больше, чем у Ethernet).

Хотя можно было использовать IP-маршрутизация соединять несколько сетей Ethernet вместе, это было дорого и относительно медленно. Синкоски начал искать альтернативы, которые требовали меньшей обработки пакета. В процессе он самостоятельно заново изобрел прозрачный мостик, техника, используемая в современных Коммутаторы Ethernet.^[6] Однако использование коммутаторов для соединения нескольких сетей Ethernet в отказоустойчивом режиме требует наличия резервных путей через эту сеть, что, в свою очередь, требует остовное дерево конфигурация. Это гарантирует, что будет только один активный путь от любого исходного узла к любому месту назначения в сети. Это приводит к тому, что центрально расположенные коммутаторы становятся узкими местами, ограничивая масштабируемость, поскольку все больше сетей соединяются между собой.

Чтобы облегчить эту проблему, Синкоски изобрел сети VLAN, добавляя тег к каждому кадру Ethernet. Эти теги можно рассматривать как цвета, например красный, зеленый или синий. В этой схеме каждый переключатель может быть назначен для обработки кадров одного цвета и игнорирования остальных. Сети можно соединить тремя остовными деревьями, по одному для каждого цвета. Отправляя сочетание разных цветов кадра, можно улучшить совокупную пропускную способность. Синкоски назвал это многодеревный мост. Он и Чейз Коттон создали и усовершенствовали алгоритмы, необходимые для реализации системы.^[7] Эта цвет это то, что теперь известно в кадре Ethernet как IEEE 802.1Q заголовок или тег VLAN. Хотя виртуальные локальные сети обычно используются в современных сетях Ethernet, они не используются в том виде, в котором они изначально предполагались.

В 2003 году сети Ethernet VLAN были описаны в первом издании IEEE 802.1Q стандарт.^[8] Это было продлено IEEE 802.1ad чтобы разрешить использование вложенных тегов VLAN в качестве моста поставщика. Этот механизм был улучшен с помощью IEEE 802.1ah-2008.

Соображения по конфигурации и дизайну

Первые разработчики сетей часто сегментировали физические локальные сети с целью уменьшения размера Ethernet. область столкновения - тем самым повышая производительность. Когда коммутаторы Ethernet сделали это не проблемой (поскольку каждый порт коммутатора является доменом конфликтов), внимание было обращено на уменьшение размера уровень канала передачи данных широковещательный домен. Впервые сети VLAN использовались для разделения нескольких широковещательных доменов на одной физической среде. VLAN также может служить для ограничения доступа к сетевым ресурсам независимо от физической топологии сети.^[а]

Сети VLAN работают на уровне канала передачи данных Модель OSI. Администраторы часто настраивают виртуальную локальную сеть для непосредственного сопоставления с IP-сетью или подсетью, что создает видимость вовлечения сетевой уровень. Как правило, виртуальным локальным сетям в одной организации назначаются разные неперекрывающиеся сети. сетевой адрес диапазоны. Это не требование сетей VLAN. Нет проблем с отдельными VLAN, использующими идентичные перекрывающиеся диапазоны адресов (например, две VLAN используют каждый частная сеть 192.168.0.0/16). Однако невозможно маршрут данные между двумя сетями с перекрывающимися адресами без деликатных Переназначение IP, поэтому, если целью VLAN является сегментация более крупной сети организации в целом, неперекрывающиеся адреса должны использоваться в каждой отдельной VLAN.

У базового коммутатора, который не настроен для VLAN, функция VLAN отключена или постоянно включена с помощью VLAN по умолчанию который содержит все порты на устройстве в качестве членов.^[2] VLAN по умолчанию обычно использует идентификатор VLAN 1. Каждое устройство, подключенное к одному из своих портов, может отправлять пакеты любому из других. Разделение портов по группам VLAN разделяет их трафик очень похоже на подключение каждой группы с использованием отдельного коммутатора для каждой группы.

Для удаленного управления коммутатором необходимо, чтобы административные функции были связаны с одной или несколькими настроенными VLAN.

В контексте VLAN термин ствол обозначает сетевой канал, по которому передаются несколько VLAN, которые обозначены метками (или теги) вставлены в свои пакеты. Такие стволы должны проходить между помеченные порты устройств, поддерживающих VLAN, поэтому они часто переключаются на коммутатор или переключаются намаршрутизатор ссылки, а не ссылки на хосты. (Обратите внимание, что термин «магистраль» также используется для того, что Cisco называет «каналами»: Link Aggregation или Port Trunking ). Маршрутизатор (устройство уровня 3) служит позвоночник для сетевого трафика, проходящего через разные VLAN. Тегирование используется только тогда, когда группа портов VLAN должна быть расширена на другое устройство. Поскольку связь между портами на двух разных коммутаторах осуществляется через порты восходящей связи каждого задействованного коммутатора, каждая VLAN, содержащая такие порты, также должна содержать порт восходящей связи каждого задействованного коммутатора, а трафик через эти порты должен быть помечен.

Коммутаторы обычно не имеют встроенного метода для указания ассоциаций VLAN с портами для кого-то, кто работает в коммутационный шкаф. Техническому специалисту необходимо либо иметь административный доступ к устройству для просмотра его конфигурации, либо диаграммы или схемы назначения портов VLAN, которые должны храниться рядом с переключателями в каждом коммутационном шкафу.

Протоколы и дизайн

Протокол, наиболее часто используемый сегодня для поддержки VLAN, - это IEEE 802.1Q. В IEEE 802.1 рабочая группа определила этот метод мультиплексирования сетей VLAN, чтобы обеспечить поддержку VLAN от различных поставщиков. До введения стандарта 802.1Q несколько проприетарные протоколы существовали, такие как Связь между коммутаторами Cisco (ISL) и 3Com Магистраль виртуальной локальной сети (VLT). Cisco также внедрила VLAN через FDDI передавая информацию о VLAN в IEEE 802.10 заголовок кадра, что противоречит цели стандарта IEEE 802.10.

Тегирование как ISL, так и IEEE 802.1Q выполняет явная пометка - сам кадр помечен информацией о VLAN. ISL использует процесс внешней маркировки, который не изменяет кадр Ethernet, в то время как 802.1Q использует внутреннее поле кадра для маркировки и, следовательно, изменяет базовую структуру кадра Ethernet. Эта внутренняя маркировка позволяет IEEE 802.1Q работать как на каналах доступа, так и на магистральных каналах с использованием стандартного оборудования Ethernet.

IEEE 802.1Q

Согласно IEEE 802.1Q максимальное количество VLAN в данной сети Ethernet составляет 4094 (4096 значений, предоставляемых 12-битным VID поле минус зарезервированные значения на каждом конце диапазона, 0 и 4 095). Это не налагает такого же ограничения на количество IP-подсетей в такой сети, поскольку одна VLAN может содержать несколько IP-подсетей. IEEE 802.1ad увеличивает количество поддерживаемых VLAN за счет добавления поддержки нескольких вложенных тегов VLAN. IEEE 802.1aq (Мост по кратчайшему пути) увеличивает лимит VLAN до 16 миллионов. Оба улучшения были включены в стандарт IEEE 802.1Q.

Связь между коммутаторами Cisco

Связь между коммутаторами (ISL) - это проприетарный протокол Cisco, используемый для соединения коммутаторов и поддержания информации о VLAN при передаче трафика между коммутаторами по магистральным каналам. ISL предоставляется как альтернатива IEEE 802.1Q. ISL доступен только на некотором оборудовании Cisco и больше не рекомендуется.^[10]

Протокол транкинга Cisco VLAN

Протокол VLAN Trunking Protocol (VTP) - это проприетарный протокол Cisco, который распространяет определение VLAN на всю локальную сеть. VTP доступен на большинстве Cisco Catalyst Семейные продукты. Сопоставимый стандарт IEEE, используемый другими производителями: Протокол регистрации GARP VLAN (GVRP) или более поздние Протокол регистрации нескольких VLAN (MVRP).

Протокол регистрации нескольких VLAN

Протокол регистрации нескольких VLAN - это приложение протокола множественной регистрации, которое позволяет автоматически настраивать информацию о VLAN на сетевых коммутаторах. В частности, он предоставляет метод для динамического обмена информацией о VLAN и настройки необходимых VLAN.

Членство

Членство в VLAN может быть установлено статически или динамически.

Статические VLAN также называются VLAN на основе портов. Статические назначения VLAN создаются путем назначения портов VLAN. Когда устройство входит в сеть, оно автоматически принимает VLAN порта. Если пользователь меняет порты и ему требуется доступ к той же VLAN, сетевой администратор должен вручную назначить порт VLAN для нового соединения.

Динамические сети VLAN создаются с помощью программного обеспечения или протокола. С Сервер политики управления VLAN (VMPS) администратор может динамически назначать порты коммутатора сетям VLAN на основе такой информации, как исходный MAC-адрес устройства, подключенного к порту, или имя пользователя, используемое для входа на это устройство. Когда устройство входит в сеть, коммутатор запрашивает у базы данных членство в VLAN порта, к которому подключено устройство. Методы протокола включают Протокол регистрации нескольких VLAN (MVRP) и несколько устаревший Протокол регистрации GARP VLAN (ГВРП).

Сети VLAN на основе протоколов

В коммутаторе, который поддерживает VLAN на основе протоколов, трафик может обрабатываться на основе его протокола. По сути, это разделяет или пересылает трафик от порта в зависимости от конкретного протокола этого трафика; трафик любого другого протокола не пересылается на порт. Это позволяет, например, автоматически разделять трафик IP и IPX в сети.

Кросс-соединение VLAN

Кросс-соединение VLAN (CC или VLAN-XC) - это механизм, используемый для создания коммутируемых VLAN, VLAN CC использует кадры IEEE 802.1ad, где тег S используется в качестве метки, как в MPLS. IEEE одобряет использование такого механизма в части 6.11. IEEE 802.1ad-2005.

Смотрите также

Заметки

^ Сила безопасности VLAN может быть снижена Переключение VLAN. Переключение VLAN можно уменьшить с помощью правильной конфигурации порта коммутатора.^[9]

использованная литература

^ IEEE 802.1Q-2011, 1. Обзор
^ ^а ^б ^c IEEE 802.1Q-2011, 1.4 Цели и преимущества VLAN
^ «VLAN и ее реализация через ATM с использованием IP: связь» (PDF). Институт открытий. Архивировано из оригинал (PDF) на 18.06.2015.
^ «Безопасность виртуальной локальной сети: слабые места и меры противодействия», Информационный зал Института SANS, Институт SANS, получено 2018-05-18
^ Эмис А; Wu C F; Wang G C; Criveti M (21 июня 2012 г.), «Сеть в облаке» (PDF), IBM developerWorks, заархивировано из оригинал (PDF) на 2013-11-01
^ Синкоски, WD (2002) «Широкополосная коммутация пакетов: личная перспектива». IEEE Commun 40: 54-66
^ В. Д. Синкоски и К. Дж. Коттон, «Расширенные мостовые алгоритмы для больших сетей» Сеть IEEE, январь 1988 г.
^ IEEE Std. 802.1Q-2003, виртуальные мостовые локальные сети (PDF; 3,5 МБ). 2003. ISBN 978-0-7381-3663-9.
^ Рик Фэрроу. «Небезопасность VLAN». Архивировано из оригинал на 2014-04-21.
^ Курс CCNA Exploration LAN Switching and Wireless, v 4.0, sec 3.2.3

дальнейшее чтение

Эндрю С. Таненбаум, 2003, «Компьютерные сети», Pearson Education International, Нью-Джерси.

[10] Сила безопасности VLAN может быть снижена Переключение VLAN. Переключение VLAN можно уменьшить с помощью правильной конфигурации порта коммутатора.^[9]

[1] IEEE 802.1Q-2011, 1. Обзор

[802.1Q_1.4-2] а ^б ^c IEEE 802.1Q-2011, 1.4 Цели и преимущества VLAN

[3] «VLAN и ее реализация через ATM с использованием IP: связь» (PDF). Институт открытий. Архивировано из оригинал (PDF) на 18.06.2015.

[4] «Безопасность виртуальной локальной сети: слабые места и меры противодействия», Информационный зал Института SANS, Институт SANS, получено 2018-05-18

[5] Эмис А; Wu C F; Wang G C; Criveti M (21 июня 2012 г.), «Сеть в облаке» (PDF), IBM developerWorks, заархивировано из оригинал (PDF) на 2013-11-01

[6] Синкоски, WD (2002) «Широкополосная коммутация пакетов: личная перспектива». IEEE Commun 40: 54-66

[7] В. Д. Синкоски и К. Дж. Коттон, «Расширенные мостовые алгоритмы для больших сетей» Сеть IEEE, январь 1988 г.

[8] IEEE Std. 802.1Q-2003, виртуальные мостовые локальные сети (PDF; 3,5 МБ). 2003. ISBN 978-0-7381-3663-9.

[9] Рик Фэрроу. «Небезопасность VLAN». Архивировано из оригинал на 2014-04-21.

[11] Курс CCNA Exploration LAN Switching and Wireless, v 4.0, sec 3.2.3

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[а]

[10]

[9]