Всем коммутируемым сетям присуще одно ограничение. Поскольку коммутатор не имеет дел с протоколами сетевого уровня, он не может знать, куда направлять их широковещательные пакеты. Хотя трафик с конкретными адресами (соединения “точка-точка”) изолирован парой портов, широковещательные пакеты передаются во всю сеть (на каждый порт).
Широковещательные пакеты – это пакеты, передаваемые на все узлы сети. Они необходимы для работы многих сетевых протоколов, таких как ARP, BOOTP или DHCP, с их помощью рабочая станция оповещает другие компьютеры о своем появлении в сети, так же широковещательные пакеты могут возникать из-за некорректно работающего сетевого адаптера. Широковещательные пакеты могут привести к насыщению полосы пропускания, особенно в крупных сетях. Для того, чтобы этого не происходило важно ограничить область распространения широковещательного трафика (эта область называется широковещательным доменом) – организовать небольшие широковещательные домены или виртуальные ЛВС (Virtual LAN, VLAN). Виртуальной сетью называется логическая группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети. Это означает, что передача кадров между разными виртуальными сетями на основании MAC-адреса невозможна, независимо от типа адреса – уникального, группового или широковещательного. В то же время внутри виртуальной сети кадры передаются по технологии коммутации, то есть только на тот порт, который связан с адресом назначения кадра. Таким образом, с помощью виртуальных сетей решается проблема распространения широковещательных пакетов и вызываемых ими следствий, которые могут развиться в широковещательные штормы и существенно снизить производительность сети. Итак, VLAN обладают следующими преимуществами:
- Гибкость внедрения. VLAN являются эффективным способом группировки сетевых пользователей в виртуальные рабочие группы, несмотря на их физическое размещение в
сети.
- VLAN обеспечивают возможность контроля широковещательных сообщений, что
увеличивает полосу пропускания, доступную для пользователя.
- VLAN позволяют усилить безопасность сети, определив с помощью фильтров, настроенных
на коммутаторе или маршрутизаторе, политику взаимодействия пользователей из разных
виртуальных сетей.
Типы VLAN
В коммутаторах могут использоваться три типа VLAN:
1. VLAN на базе портов
2. VLAN на базе MAC-адресов.
3. VLAN на основе меток в дополнительном поле кадра – стандарт
IEEE 802.1q
VLAN на базе портов
При использовании VLAN на базе портов, каждый порт назначается в определенную VLAN, независимо от того, какой пользователь или компьютер подключен к этому порту. Это означает, что все пользователи, подключенные к этому порту, будут членами одной VLAN.
Конфигурация портов статическая и может быть изменена только вручную.
VLAN на базе портов.
Основные характеристики:
1. Применяются в пределах одного коммутатора. Если необходимо организовать несколько рабочих групп в пределах небольшой сети на основе одного коммутатора, например, необходимо разнести технический отдел и отдел продаж, то решение VLAN на базе портов оптимально подходит для данной задачи.
2. Простота настройки. Создание виртуальных сетей на основе группирования портов не требует от администратора большого объема ручной работы – достаточно каждому порту, находящемуся в одной VLAN, присвоить один и тот же идентификатор VLAN (VLAN ID) .
3. Возможность изменения логической топологии сети без физического перемещения станций – достаточно всего лишь изменить настройки порта, с одной VLAN (например, VLAN технического отдела) на другую (VLAN отдела продаж) и рабочая станция сразу же получает возможность совместно использовать ресурсы с членами в новой VLAN. Таким образом, VLAN обеспечивают гибкость при перемещениях, изменениях и наращивании сети.
4. Каждый порт может входить только в один VLAN. Поэтому для объединения виртуальных подсетей – как внутри одного коммутатора, так и между двумя коммутаторами, нужно использовать сетевой уровень. Один из портов каждого VLAN подключается к интерфейсу маршрутизатора, который создает таблицу маршрутизации для пересылки пакетов из одной подсети в другую (IP адреса подсетей должны быть разными).
Объединение VLAN на 3-м уровне
Недостатком такого решения является то, что один порт каждого VLAN’а необходимо подключать к маршрутизатору, при этом порты и кабели используются очень расточительно, плюс затраты на маршрутизатор. Решить данную проблему можно двумя способами: во-первых, использовать коммутаторы, которые на основе фирменного решения позволяют включать порт в несколько VLAN. Второе решение заключается в использовании коммутаторов 3-го уровня.
VLAN на базе MAC-адресов
Следующий способ, который используется для образования виртуальных сетей, основан на группировке МАС-адресов. При существовании в сети большого количества узлов этот способ требует выполнения большого количества ручных операций от администратора. Однако он оказывается более гибким при построении виртуальных сетей на основе нескольких коммутаторов, чем способ группировки портов. Группирование МАС-адресов в сеть на каждом коммутаторе избавляет от необходимости их связи несколькими портами, однако, требует выполнения большого количества ручных операций по маркировке МАС-адресов на каждом коммутаторе сети. Широковещательные домены на базе MAC-адресов, позволяют физически перемещать станцию (подключать к любому порту коммутатора), позволяя оставаться ей в одном и том же широковещательном домене без каких-либо изменений в настройках конфигурации Настройка виртуальной сети на основе MAC-адресов может отнять много времени - представьте себе, что вам потребуется связать с VLAN адреса 1000 устройств. Кроме того, MAC-адреса “наглухо зашиты” в оборудование, и может потребоваться много времени на выяснение адресов устройств в большой, территориально распределенной сети.
VLAN на базе МАС-адресов.
VLAN на базе меток – стандарт 802.1q
Описанные два подхода основаны только на добавлении дополнительной информации к адресным таблицам моста и не используют возможности встраивания информации о принадлежности кадра к виртуальной сети в передаваемый кадр. Метод организации VLAN на основе меток – тэгов, использует дополнительные поля кадра для хранения информации о принадлежности кадра при его перемещениях между коммутаторами сети. Стандарт IEEE 802.1q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети. К кадру Ethernet добавлены четыре байта. Первые 2 байта с фиксированным значение 0х8100 определяют, что кадр содержит тег протокола 802.1q/802.1p. Остальные 2 байта содержат следующую информацию:
- 3 бита приоритета передачи кодируют до восьми уровней приоритета (от 0 до 7, где
7-наивысший приоритет), которые используются в стандарте 802.1р;
- 1 бит Canonical Format Indicator (CFI), который зарезервирован для обозначения
кадров сетей других типов (Token Ring, FDDI), передаваемых по магистрали Ethernet;
- 12-ти битный идентификатор VLAN, определяющий, какой VLAN принадлежит
трафик.
Рисунок. Маркированный кадр Ethernet
С точки зрения удобства и гибкости настроек, VLAN на основе меток является лучшим решением. Основные преимущества:
1. Гибкость и удобство в настройке и изменении – можно создавать необходимые комбинации VLAN как в пределах одного коммутатора, так и во всей сети, построенной на коммутаторах с поддержкой стандарта 802.1q. Способность добавления меток позволяет VLAN распространяться через множество 802.1q- совместимых коммутаторов по одному физическому соединению.
2. Позволяет активизировать алгоритм покрывающего дерева (Spanning Tree) на всех портах и работать в обычном режиме. Протокол Spanning Tree оказывается весьма полезным для применения в крупных сетях, построенных на нескольких коммутаторах и позволяет коммутаторам автоматически определять древовидную конфигурацию связей в сети при произвольном соединении портов между собой. Для нормальной работы коммутатора требуется отсутствие замкнутых маршрутов в сети. Эти маршруты могут создаваться администратором специально для образования резервных связей или же возникать случайным образом, что вполне возможно, если сеть имеет многочисленные связи, а кабельная система плохо структурирована или документирована. С помощью протокола Spanning Tree коммутаторы после построения схемы сети блокируют избыточные маршруты, т.о., автоматически предотвращается возникновение петель в сети.
3. Способность VLAN 802.1q добавлять и извлекать метки из заголовков пакетов позволяет VLAN работать с коммутаторами и сетевыми адаптерами серверов и рабочих станций, которые не распознают метки.
4. Устройства разных производителей, поддерживающие стандарт могут работать вместе, т.е. не зависимо от какого-либо фирменного решения.
5. Не нужно применять маршрутизаторы, чтобы связать подсети на сетевом уровне, достаточно включить нужные порты в несколько VLAN для возможности обмена трафиком. Например, для обеспечения доступа к серверу из различных VLAN, нужно включить порт коммутатора, к которому подключен сервер во все подсети. Единственное ограничение – сетевой адаптер сервера должен поддерживать стандарт IEEE 802.1q.
В силу указанных свойств, VLAN на базе тэгов используются на практике гораздо чаще
остальных типов, поэтому остановимся подробно на принципах работы такой схемы и
вариантов, которые можно с ее помощью организовать.
Существуют два основных понятия для понимания IEEE 802.1q VLAN:
1. VLAN-идентификатор порта – Port VLAN ID (PVID)
2. Номер VLAN ID (VID)
PVID определят, в какую VLAN коммутатор направит немаркированный пакет с подключенного к порту сегмента, когда пакет нужно передать на другой порт. С другой
стороны, пользователь может определить порт, как входящий в несколько VLAN, позволяя
сегменту, подключенному к данному порту принимать маркированные пакеты от нескольких VLAN в сети. В этом случае, для дальнейшей обработки пакета используется поле VID в кадре Ethernet, определяющее, в какую VLAN будет отправлен этот пакет. Таким
образом, эти два параметра контролируют способность порта принимать и передавать VLAN- трафик и различия между ними обеспечивают сегментацию сети с одновременным сохранением возможности получать доступ к общим сетевым ресурсам из различных VLAN.
Для примера рассмотрим ситуацию (рисунок): Порт 1 входит в VLAN 1 и имеет PVID=1. Если пакет нужно передать на другой порт, например Порт 3 (найденный обычным способом в таблице коммутатора), то коммутатор, прежде чем передать пакет смотрит, входит ли Порт 3 в VLAN 1, и может ли соответственно получать пакеты, предназначенные для этого VLAN. Если Порт 3 не является членом VLAN 1, то пакет отбрасывается коммутатором и соответственно не будет передан получателю. Если Порт 3 входит в VLAN 1, то пакет будет передан. Таким образом, Порт 1 может передавать и принимать пакеты для VLAN 1, т.к. его PVID=1. Порт 3, у которого PVID может быть другим, может принимать пакеты из VLAN 1, т.к. входит в этот VLAN, но он не может передавать пакеты в VLAN 1, пока его PVID не будет установлен в 1.
Рисунок. Пример
VLAN’ы могут работать между несколькими коммутаторами в вашей сети. Следует учитывать два момента: во-первых, поддерживает ли коммутатор стандарт IEEE 802.1q и должны ли быть VLAN-пакеты маркированы – Tagged или немаркированы – Untagged.
Вот определения некоторых терминов, необходимых для понимания работы VLAN в сети:
? Tagging (Маркировка пакета) – процесс добавления информации о принадлежности к
802.1q VLAN в заголовок кадра. Порты, на которых включена маркировка пакетов, могут
добавлять в заголовки всех передаваемых пакетов номер VID, информацию о приоритете и
пр. Если пакет приходит на порт уже маркированным, то данный пакет не изменяется и
таким образом при пересылке сохраняется вся информация о VLAN. Маркировка пакетов в
основном применяется для пересылки пакетов между устройствами, поддерживающими
стандарт 802.1q VLAN.
Рисунок. Маркированный пакет.
Рисунок. Маркированный пакет, выходящий через маркированный и немаркированный порт.
? Untagging –Процесс извлечения информации 802.1q VLAN из заголовка пакета. Порты, на
которых включена данная функция, извлекают все информацию, касающуюся VLAN из
заголовков, как входящих, так и исходящих пакетов, проходящих через данный порт. Если
же пакет не содержит тэг VLAN’a, то порт не изменяет такой пакет. Данная функция
коммутатора применяется при передаче пакетов от коммутаторов, поддерживающих стандарт 802.1q на устройства, не поддерживающие этот стандарт.
Рисунок. Немаркированный пакет
Рисунок. Немаркированный пакет, выходящий через маркированный и немаркированный порт
Для согласования работы устройств, поддерживающих формат кадра 802.1 Q, с теми
устройствами, которые не понимают этот формат, разработчики стандарта предложили делить весь трафик в сети на несколько типов.
? Трафик входного порта (Ingress Port). Каждый кадр, достигающий коммутируемой сети и
идущий либо от маршрутизатора, либо от рабочей станции, имеет определенный порт-
источник. На основании его номера коммутатор должен “принять решение” о приеме (или
отбрасывании) кадра и передаче его в ту или иную VLAN. Коммутатор проверяет пакет на
наличие информации VLAN и на ее основании принимает решение о пересылке пакета. Если пакет содержит информацию о VLAN, входной порт сначала определяет, является ли он сам членом данного VLAN. Если нет, то пакет отбрасывается. Если да, то определяется, является ли порт назначения членом данного VLAN. Если оба порта являются членами
одного VLAN’а, то пакет пересылается. Если пакет не содержит в заголовке информацию VLAN, т.е. является немаркированным пакетом (untagged), то входящий порт добавляет в заголовок пакета метку в соответствии со своим PVID (если он является маркированным портом (tagged)). Затем определяется, принадлежат ли входной порт и порт назначения одному VLAN (имеют одинаковые VID). Если нет, пакет отбрасывается. Если да, то пакет передается. Если же входящий порт является немаркированным портом, то перед пересылкой проверяется только, являются ли входной порт и порт назначения членами одной VLAN. Этот процесс называется ingress filtering(входной фильтрацией) и используется для сохранения пропускной способности внутри коммутатора .
? Трафик выходного порта (Egress Port). Чтобы попасть в межсетевой маршрутизатор или в
оконечную рабочую станцию, кадр должен выйти за пределы коммутатора сети. Коммутатор ”решает”, какому порту (или портам) нужно передать пакет и есть ли необходимость удалять из него служебную информацию, предусмотренную стандартом 802.1q. Дело в том, что традиционные рабочие станции не всегда воспринимают информацию о VLAN по стандарту 802.1q, но сервер, обслуживающий несколько подсетей с помощью единственного интерфейса, должен ее активно использовать. Если выходной порт сервера подключен к коммутатору, поддерживающему стандарт 802.1q, то следует включить маркировку пакетов на данном порту, чтобы другой коммутатор мог получать информацию о VLAN и на ее основе принимать решения о передаче пакета. Если выходной порт подключен к устройству, не поддерживающему стандарт 802.1q, то тэги должны извлекаться из заголовка пакета, и теперь уже обычный пакет Ethernet может быть принят конечным устройством.
Поддержка VLAN между 802.1q-совместимыми коммутаторами
Если имеется несколько коммутаторов, поддерживающих 802.1q и необходимо настроить между ними VLAN, то в таком случае можно использовать маркировку пакетов. Маркировка пакетов добавляет информацию о 802.1q VLAN в заголовок каждого пакета, позволяя другому коммутатору, поддерживающему 802.1q, передавать пакет по назначению. Таким образом, можно использовать возможности стандарта 802.1q и строить сеть на нескольких коммутаторах с поддержкой тэгов, информации о приоритете пакета и др. Для того, чтобы устройства одной VLAN могли обмениваться данными с устройствами другой VLAN, виртуальные локальные сети необходимо объединить через устройство 3-го уровня, поддерживающее маршрутизацию. Это может быть или отдельный маршрутизатор, или коммутатор, поддерживающий функции 3-го уровня.
Создание VLAN с помощью команд CLI
В таблице приведены команды CLI и их синтаксис, используемые при создании, удалении и
управлении виртуальными локальными сетями.
Пример 1. Создание VLAN на коммутаторе.
Создать VLAN с именем v1 на коммутаторе и идентификатором (PVID) равным 2.
DES-3226S#create vlan v1 tag 2
Command: create vlan v1 tag 2
Success.
Пример 2. Удаление VLAN.
Удалить VLAN с именем v1.
DES-3226S#delete vlan v1
Command: delete vlan v1
Success.
Пример 3. Добавить дополнительные порты к ранее сконфигурированному VLAN.
Добавить порты с 4 по 8 коммутатора в VLAN v1. Сделать порты маркированными.
DES-3226S#config vlan v1 add tagged 4-8
Command: config vlan v1 add tagged 4-8
Success.
Пример 4. Проверка правильности настройки VLAN на коммутаторе.
DES-3226S#show vlan
Command: show vlan
VID : 1 VLAN Name : default
VLAN TYPE : static Advertisement : Enabled
Member ports : 1-26, 1-26
Static ports : 1-26, 1-26
Untagged ports : 1-25, 1-25
Forbidden ports :
VID : 2 VLAN Name : v1
VLAN TYPE : static Advertisement : Disabled
Member ports : 26, 26
Static ports : 26, 26
Untagged ports :
Forbidden ports :
Total Entries : 2
Асимметричные VLAN
С целью более эффективного использования разделяемых ресурсов, таких как серверы или Интернет- шлюзы, в новом программном обеспечении коммутаторов D-Link реализована поддержка Asymmetric VLAN. Асимметричные виртуальные локальные сети могут быть настроены для того, чтобы позволить серверу (или нескольким серверам) взаимодействовать с разными клиентами через один физический канал связи с коммутатором. Клиенты, при этом, будут полностью изолированы друг от друга. Например, асимметричные VLAN могут быть настроены таким образом, чтобы обеспечить доступ к почтовому серверу всем почтовым клиентам. Клиенты смогут отправлять и получать данные через порт коммутатора, подключенный к почтовому серверу, но прием и передача данных через остальные порты будет для них запрещена. Основное различие между базовым стандартом 802.1q VLAN или симметричными VLAN и асимметричными VLAN заключается в том, как выполняется отображение адресов. Симметричные VLAN используют отдельные адресные таблицы, и таким образом не существует пересечения адресов между VLAN-ами. Асимметричные VLAN могут использовать одну, общую таблицу адресов. Однако, использование одних и тех же адресов (пересечение по адресам) происходит только в одном направлении. В примере, рассмотренном выше, VLAN, созданная для порта, подключенного к почтовому серверу, имела в своем распоряжении полную таблицу адресов, т.о. любой адрес мог быть отображен на ее порт (PVID). На использование асимметричных VLAN существуют следующие ограничения:
- Поддержка асимметричных VLAN ограничена автономными коммутаторами.
- Каждый порт должен быть немаркированным.
- GVRP и IGMP Snooping не поддерживаются.
При активизации асимметричных VLAN, уникальный PVID назначается всем портам,
создавая отдельную VLAN для каждого порта. Каждый порт при этом, может получать кадры от VLAN по умолчанию. Асимметричные VLAN по умолчанию отключены.
В таблице приведены команды для настройка асимметричных VLAN на коммутаторе с
помощью CLI.
Пример 1. Включить асимметричные VLAN.
DES-3226S#enable asymmetric_vlan
Command: enable asymmetric_vlan
Success.
Пример 2. Отключить асимметричные VLAN.
DES-3226S#disable asymmetric_vlan
Command: disable asymmetric_vlan
Success.
Пример 3. Просмотр статуса асимметричных VLAN.
DES-3226S# show asymmetric_vlan
Command: show asymmetric_vlan
Asymmetric Vlan : Enabled
Источник:
Учебное пособие: Коммутаторы локальных сетей D-link
Комментариев нет:
Отправить комментарий