Виды vlan по способам организации

Сегодня существует достаточно много вариантов реализации VLAN. Простые варианты VLAN представляют собой просто набор портов коммутатора, более сложные реализации позволяют создавать группы на основе других критериев. В общем случае возможности организации VLAN тесно связаны с возможностями коммутаторов.

Возможности AutoTracker

Программа AutoTracker корпорации Xylan является новой реализацией VLAN, тесно связанной с полнофункциональным семейством коммутаторов Xylan. Программа разрабатывалась параллельно с коммутаторами OmniSwitch и PizzaSwitch, что позволило обеспечить их надежную интеграцию. AutoTracker является наиболее мощным из существующих сегодня решений для организации VLAN.

Различные варианты виртуальных сетей, которые позволяет поддерживать AutoTracker, описаны ниже.

Сети на базе портов

Это простейший вариант организации виртуальной ЛВС. VLAN на базе портов обеспечивают высочайший уровень управляемости и безопасности. Устройства связываются в виртуальные сети на основе портов коммутатора, к которым эти устройства физически подключены. VLAN на базе портов являются статическими и для внесения изменений требуется физическое переключение устройств.

Однако построенные на базе портов виртуальные сети имеют некоторые ограничения. Они очень просты в установке, но позволяют поддерживать для каждого порта только одну виртуальную ЛВС. Следовательно, такое решение малоприемлемо при использовании концентраторов или в сетях мощными серверами, к которым обращается много пользователей (сервер не удастся включить в разные VLAN). Кроме того, виртуальные сети на основе портов не позволяют вносить в сеть изменения достаточно простым путем, поскольку при каждом изменении требуется физическое переключение устройств.

Сети на базе MAC-адресов

Хотя этот тип виртуальных сетей относится к числу наиболее простых, VLAN на базе MAC-адресов настраивать сложнее, нежели сети на основе физических портов. Виртуальная сеть на базе MAC-адресов группирует устройства, а AutoTracker делает группу широковещательным доменом (VLAN). Сети на базе MAC-адресов являются одним из наиболее безопасных и управляемых типов VLAN. Для получения доступа в виртуальную сеть, устройство должно иметь MAC-адрес, известный программе AutoTracker.

Настройка виртуальной сети на основе MAC-адресов может отнять много времени — представьте себе, что вам потребуется связать с VLAN адреса 1000 устройств. Кроме того, MAC-адреса «наглухо зашиты» в оборудование и может потребоваться много времени на выяснение адресов устройств в большой, территориально распределенной сети. Однако программа управления сетью OmniVision корпорации Xylan позволяет собрать адреса в масштабе всей сети автоматически, избавляя администратора от рутинной работы. С помощью программы можно настроить виртуальные сети, используя вместо MAC-адресов связанные с ними имена станций.

VLAN на сетевом уровне

Виртуальные ЛВС сетевого уровня позволяют администратору связать трафик для того или иного протокола в соответствующей виртуальной сети. Точно таким же способом создаются широковещательные домены в сетях на основе маршрутизаторов. Протокол может быть задан в форме IP-подсети или сетевого номера IPX. Можно, к примеру, объединить в виртуальную ЛВС всех пользователей подсети, которая была организована до использования коммутаторов.

Спектр возможностей коммутатора, на базе которого строится VLAN, чато определяет гибкость виртуальных сетей данного типа. Многие виртуальные ЛВС сетевого уровня поддерживают системы на базе нескольких коммутаторов, тогда как другие могут работать только с одним устройством. Помните, что этот тип виртуальных ЛВС почти не отличается от сетей на базе маршрутизаторов и некоторые коммутаторы неспособны обеспечить требуемую в данном случае производительность. Коммутаторы OmniSwitch хорошо справляются с задачами этого типа.

VLAN на базе протоколов

Этот тип виртуальных сетей строится на базе заданного в каждом кадре типа протокола. Такой подход позволяет администратору задать критерии, по которым AutoTracker будет создавать VLAN. Администратор может самостоятельно выбрать поля в заголовках кадров, по которым будет определяться принадлежность к виртуальной сети, и загрузить подготовленные правила во все коммутаторы сети. Вы можете поместить в одну виртуальную сеть всех пользователей, работающих с протоколом NetBios или IP. Для работы с данным типом виртуальных сетей администратор должен досконально разбираться в заголовках широковещательных кадров.

После того, как правила загружены в коммутаторы OmniSwitch или PizzaSwitch, устройства сразу же позволяют начать работу с виртуальными сетями на основе заданных администратором правил.

Многоадресные (multicast) VLAN

Многоадресный (multicast) трафик отличается от широковещательного (broadcast), который передается во всю сеть, и одноадресного (unicast), обеспечивающего связь «точка-точка». Многоадресный трафик представляет собой обмен «точка-многоточка» (один со многими) или многоточечный (многие со многими) и в последнее время становится все более популярным для различных сетевых приложений. Многоадресный режим может использоваться для видеоконференций, биржевых систем, новостей и т.п. систем, где одна и та же информация передается многочисленным пользователям.

Виртуальные ЛВС с многоадресным трафиком создаются динамически путем прослушивания IGMP (Internet Group Management Protocol). Когда пользователь открывает приложение, использующее режим multicast, он динамически включается в виртуальную сеть, связанную с данным приложением. По окончании работы с программой пользователь удаляется из соответствующей виртуальной сети.

Многоадресный трафик в общем случае является стабильным потоком с достаточно широкой полосой. Следовательно, такой трафик лучше всего зафиксировать в одной виртуальной сети для предотвращения лавинной маршрутизации (flooding).

VLAN на базе правил

Это наиболее мощная реализация VLAN, позволяющая администратору использовать любые комбинации критериев для создания виртуальных ЛВС. Для включения устройств в виртуальные ЛВС можно использовать все перечисленные выше способы при условии их поддержки установленными в сети коммутаторами. После того, как правила загружены во все коммутаторы, они обеспечивают организацию VLAN на основе заданных администратором критериев. Поскольку в таких сетях кадры постоянно просматриваются на предмет соответствия заданным критериям, принадлежность пользователей к виртуальным сетям может меняться в зависимости от текущей деятельности пользователей.

Виртуальные ЛВС на основе правил используют широкий набор критериев принадлежности к сети, включая все перечисленные выше варианты: MAC-адреса, адреса сетевого уровня, тип протокола и т.д. Возможно также использовать любые комбинации критериев для создания правил, наиболее точно соответствующих вашим задачам.

VLAN для уполномоченных пользователей

VLAN для уполномоченных пользователей обеспечивают высокий уровень безопасности в сети и предъявляют более строгие требования к пользователям для предоставления доступа к серверам или иным сетевым ресурсам. Например, сеть уполномоченных пользователей может быть создана для финансового отдела предприятия и сотрудники других подразделений не смогут получить доступ в эту сеть, не имея соответствующих полномочий. Для поддержки таких сетей в коммутаторах OmniSwitch и PizzaSwitch используются функции встроенных брандмауэров. Администратор может эффективно управлять доступом пользователей, задавая процедуру аутентификации. Хотя другие варианты VLAN обеспечивают некоторые средства безопасности, только сети уполномоченных пользователей делают это на достаточно высоком уровне.

Сравнительные характеристики различных типов AutoTracker VLAN

По портам	По MAC-адресам	Сетевой уровень	По протоколам	Многоадресные	На основе правил
Гибкость	—	Средняя	Средняя	Средняя	Средняя	Высокая
Простота связывания	+	—	Переменная	+	Переменная	+
Перенос устройств	—	+	+	+	+	Автоматически
Использование структуры сети	—	—	+	—	+	Автоматически
Несколько VLAN для одного порта (поддержка концентраторов и серверов)	—	+	+	+	+	Автоматически
Возможность включения устройства в несколько VLAN	—	Возможно	Возможно	Возможно	Возможно	Автоматически
Уровень	Высокий	Минимальный	Минимальный	Минимальный	Минимальный	Выбирается

Приведенная в документе техническая информация может быть изменена без предупреждения. OmniSwitch, OmniStack и PizzaSwitch — торговые марки Xylan Corporation. Другие имена и торговые марки принадлежат соответствующим компаниям.
© 1996 Xylan Corporation.

Источник

Виртуальные локальные сети (VLAN)

Типы VLAN

В коммутаторах могут быть реализованы следующие типы VLAN :

на основе портов;
на основе стандарта IEEE 802.1Q ;
на основе стандарта IEEE 802.1ad (Q-in-Q VLAN );
на основе портов и протоколов IEEE 802.1v;
на основе MAC-адресов;
асимметричные.

Также для сегментирования сети на канальном уровне модели OSI в коммутаторах могут использоваться другие функции, например функция Traffic Segmentation.

VLAN на основе портов

При использовании VLAN на основе портов (Port-based VLAN ) каждый порт назначается в определенную VLAN , независимо от того, какой пользователь или компьютер подключен к этому порту. Это означает, что все пользователи, подключенные к этому порту, будут членами одной VLAN . Конфигурация портов статическая и может быть изменена только вручную.

Основные характеристики VLAN на основе портов:

применяются в пределах одного коммутатора. Если необходимо организовать несколько рабочих групп в пределах небольшой сети на основе одного коммутатора, например, необходимо разнести технический отдел и отдел продаж, то решение VLAN на базе портов оптимально подходит для данной задачи;
простота настройки. Создание виртуальных сетей на основе группирования портов не требует от администратора большого объема ручной работы — достаточно всем портам, помещаемым в одну VLAN , присвоить одинаковый идентификатор VLAN ( VLAN ID);
возможность изменения логической топологии сети без физического перемещения станций. Достаточно всего лишь изменить настройки порта с одной VLAN (например, VLAN технического отдела) на другую ( VLAN отдела продаж), и рабочая станция сразу же получает возможность совместно использовать ресурсы с членами новой VLAN . Таким образом, VLAN обеспечивают гибкость при перемещениях, изменениях и наращивании сети;
каждый порт может входить только в одну VLAN . Для объединения виртуальных подсетей как внутри одного коммутатора, так и между двумя коммутаторами, нужно использовать сетевой уровень OSI-модели. Один из портов каждой VLAN подключается к интерфейсу маршрутизатора, который создает таблицу маршрутизации для пересылки кадров из одной подсети ( VLAN ) в другую (IP-адреса подсетей должны быть разными).

Недостатком такого решения является то, что один порт каждой VLAN необходимо подключать к маршрутизатору. Это приводит к дополнительным расходам на покупку кабелей и маршрутизаторов, а также порты коммутатора используются очень расточительно. Решить данную проблему можно двумя способами: использовать коммутаторы, которые на основе фирменного решения позволяют включать порт в несколько VLAN , или использовать коммутаторы уровня 3.

Источник

Что такое VLANs? Сети VLAN

На данный момент многие современные организации и предприятия практически не используют такую весьма полезную, а часто и необходимую, возможность, как организация виртуальной локальной сети (VLAN) в рамках цельной инфраструктуры, которая предоставляется большинством современных коммутаторов. Связано это со многими факторами, поэтому стоит рассмотреть данную технологию с позиции возможности ее использования в таких целях.

Общее описание

Для начала стоит определиться с тем, что такое VLANs. Под этим подразумевается группа компьютеров, подключенных к сети, которые логически объединены в домен рассылки сообщений широкого вещания по определенному признаку. К примеру, группы могут быть выделены в зависимости от структуры предприятия либо по видам работы над проектом или задачей совместно. Сети VLAN дают несколько преимуществ. Для начала речь идет о значительно более эффективном использовании пропускной способности (в сравнении с традиционными локальными сетями), повышенной степени защиты информации, которая передается, а также упрощенной схеме администрирования.

Так как при использовании VLAN происходит разбитие всей сети на широковещательные домены, информация внутри такой структуры передается только между ее членами, а не всем компьютерам в физической сети. Получается, что широковещательный трафик, который генерируется серверами, ограничен предопределенным доменом, то есть не транслируется всем станциям в этой сети. Так удается достичь оптимального распределения пропускной способности сети между выделенными группами компьютеров: серверы и рабочие станции из разных VLAN просто не видят друг друга.

Как протекают все процессы?

В такой сети информация довольно хорошо защищена от несанкционированного доступа, ведь обмен данными осуществляется внутри одной конкретной группы компьютеров, то есть они не могут получить трафик, генерируемой в какой-то другой аналогичной структуре.

Если говорить о том, что такое VLANs, то тут уместно отметить такое достоинство этого способа организации, как упрощенное сетевое администрирование. Это затрагивает такие задачи, как добавление новых элементов к сети, их перемещение, а также удаление. К примеру, если какой-то пользователь VLAN переезжает в другое помещение, сетевому администратору не потребуется перекоммутировать кабели. Он должен просто произвести настройку сетевого оборудования со своего рабочего места. В некоторых реализациях таких сетей контроль перемещения членов группы может производиться в автоматическом режиме, даже не нуждаясь во вмешательстве администратора. Ему только необходимо знать о том, как настроить VLAN, чтобы производить все необходимые операции. Он может создавать новые логические группы пользователей, даже не вставая с места. Это все очень сильно экономит рабочее время, которое может пригодиться для решения задач не меньшей важности.

Способы организации VLAN

Существует три различных варианта: на базе портов, протоколов третьего уровня или MAC-адресов. Каждый способ соответствует одному из трех нижних уровней модели OSI: физическому, сетевому и канальному соответственно. Если говорить о том, что такое VLANs, то стоит отметить и наличие четвертого способа организации – на базе правил. Сейчас он используется крайне редко, хотя с его помощью обеспечивается большая гибкость. Можно рассмотреть более подробно каждый из перечисленных способов, чтобы понять, какими особенностями они обладают.

VLAN на базе портов

Здесь предполагается логическое объединение определенных физических портов коммутатора, выбранных для взаимодействия. К примеру, сетевой администратор может определить, что определенные порты, к примеру, 1, 2, и 5 формируют VLAN1, а номера 3, 4 и 6 используются для VLAN2 и так далее. Один порт коммутатора вполне может использоваться для подключения нескольких компьютеров, для чего применяют, к примеру, хаб. Все они будут определены в качестве участников одной виртуальной сети, к которой прописан обслуживающий порт коммутатора. Подобная жесткая привязка членства виртуальной сети является основным недостатком подобной схемы организации.

VLAN на базе МАС-адресов

В основу этого способа заложено использование уникальных шестнадцатеричных адресов канального уровня, имеющихся у каждого сетевого адаптера сервера либо рабочей станции сети. Если говорить о том, что такое VLANs, то стоит отметить, что этот способ принято считать более гибким в сравнении с предыдущим, так как к одному порту коммутатора вполне допускается подключение компьютеров, принадлежащих к разным виртуальным сетям. Помимо этого, он автоматически отслеживает перемещение компьютеров с одного порта на другой, что позволяет сохранить принадлежность клиента к конкретной сети без вмешательства администратора.

Принцип работы тут весьма прост: коммутатором поддерживается таблица соответствия MAC-адресов рабочих станций виртуальным сетям. Как только происходит переключение компьютера на какой-то другой порт, происходит сравнение поля MAC-адреса с данными таблицы, после чего делается правильный вывод о принадлежности компьютера к определенной сети. В качестве недостатки подобного способа называется сложность конфигурирования VLAN, которая может изначально стать причиной появления ошибок. При том, что коммутатор самостоятельно строит таблицы адресов, сетевой администратор должен просмотреть ее всю, чтобы определить, какие адреса каким виртуальным группам соответствуют, после чего он прописывает его к соответствующим VLANs. И именно тут есть место ошибкам, что иногда случается в Cisco VLAN, настройка которых довольно проста, но последующее перераспределение будет сложнее, чем в случае с использованием портов.

VLAN на базе протоколов третьего уровня

Этот метод довольно редко используется в коммутаторах на уровне рабочей группы или отдела. Он характерен для магистральных, оснащенных встроенными средствами маршрутизации основных протоколов локальных сетей — IP, IPX и AppleTalk. Этот способ предполагает, что группа портов коммутатора, которые принадлежат к определенной VLAN, будут ассоциироваться с какой-то подсетью IP или IPX. В данном случае гибкость обеспечивается тем, что перемещение пользователя на другой порт, который принадлежит той же виртуальной сети, отслеживается коммутатором и не нуждается в переконфигурации. Маршрутизация VLAN в данном случае довольно проста, ведь коммутатор в данном случае анализирует сетевые адреса компьютеров, которые определены для каждой из сетей. Данный способ поддерживает и взаимодействие между различными VLAN без применения дополнительных средств. Есть и один недостаток у данного способа – высокая стоимость коммутаторов, в которых он реализован. VLAN Ростелеком поддерживают работу на этом уровне.

Выводы

Как вам уже стало понятно, виртуальные сети представляют собой довольно мощное средство сетевой организации, способное решить проблемы, связанные с безопасностью передачи данных, администрированием, разграничением доступа и увеличением эффективности использования полос пропускания.

Источник