VLAN (Virtual Local Area Network) позволяет в коммутаторах или роутерах создать несколько виртуальных локальных сетей на одном физическом сетевом интерфейсе. Простой и удобный способ разделения трафика между клиентами или базовыми станциями, использование VLAN.

Технология VLAN заключается в том, что к сетевому кадру (2-й уровень) прибавляется дополнительный заголовок tag, который содержит служебную информацию и VLAN ID. Значения VLAN ID могут быть от 1 - 4095. При этом 1 зарезервирована как VLAN по умолчанию.

При работе с VLAN важно понимать, что такое тегированный и нетегированный трафик. Тегированный трафик (с идентификатором влана) в основном идет между коммутаторами и серверами. Обычные же компьютеры (особенно под управлением ОС Windows) не понимают тегированный трафик. Поэтому на тех портах, которые смотрят непосредственно на рабочие станции или в сеть с неуправляемым коммутатором, выдается нетегированный трафик. Т.е. от сетевого кадра отрезается тег. Это также происходит, если на порту настроен VLAN ID = 1.

Также существует понятие, как trunk (Транк). Транком называют порты коммутатора, по которым идет трафик с разными тегами. Обычно транк настраивается между коммутаторами, чтобы обеспечить доступ к VLAN с разных коммутаторов.

Использование VLAN на оборудовании Mikrotik

Роутеры и коммутаторы Mikrotik поддерживают до 250 VLANs на одном Ethernet интерфейсе. Создавать VLAN его можно не только на Ethernet интерфейсе, но и на Bridge, и даже на туннеле EoIP. VLAN может быть построен в другом VLAN интерфейсе, по технологии “Q-in-Q”. Можно делать 10 и более вложенных VLAN, только размер MTU уменьшается с каждым разом на 4 байта.

Разберем использование VLAN на примере. Задача:

  • Создать VLAN для HOTSPOT (172.20.22.0/24)
  • Создать VLAN для VIOP-телефонии (172.21.22.0/24)
  • Изолировать сети 172.20.22.0/24, 172.21.22.0/24 друг от друга и от доступа в сеть 10.5.5.0/24
  • Назначить Ether2 порт, на работу в сети 172.20.22.0/24 (VLAN)
  • Назначить Ether3, Ether4 на работу в сети 172.21.22.0/24 (VLAN)

Исходные данные:

  • Интернет на Ether1, назначен на Brigde интерфейс — Ethernet
  • Локальная сеть (10.5.5.0/24), назначена на Brigde интерфейс — LAN
Создание VLAN интерфейсов

Создаем VLAN2 (ID=2), VLAN3 (ID=3) и назначаем их на Bridge интерфейс LAN. Интерфейс LAN будет выступать в качестве Trunk соединения.

/interface vlan add name=VLAN2 vlan-id=2 interface=LAN /interface vlan add name=VLAN3 vlan-id=3 interface=LAN

Создание Bridge интерфейсов

Создаем BridgeVLAN2, BridgeVLAN3 интерфейсы под VLAN:

/interface bridge add name=BridgeVLAN2 /interface bridge add name=BridgeVLAN3

Связь VLAN интерфейсов с Bridge соединениями

Связываем интерфейсы VLAN (VLAN2, VLAN3) с Bridge (BridgeVLAN2, BridgeVLAN3) соединениями:

/interface bridge port add interface=VLAN2 bridge=BridgeVLAN2 /interface bridge port add interface=VLAN3 bridge=BridgeVLAN3

Создание IP-адресации

Присваиваем каждому BridgeVLAN2/BridgeVLAN3 интерфейсу IP-адрес — 172.20.22.1/24 (VLAN 2), 172.21.22.1/24 (VLAN 3):

/ip address add address=172.20.22.1/24 interface=BridgeVLAN2 /ip address add address=172.21.22.1/24 interface=BridgeVLAN3

Создание пула адресов

Задаем диапазон выдаваемых IP-адресов, для сетей (172.20.22.0/24, 172.21.22.0/24):

/ip pool add name=poolVLAN2 ranges=172.20.22.2-172.20.22.254 /ip pool add name=poolVLAN3 ranges=172.21.22.2-172.21.22.254

Настройка DHCP сервера

Для того чтобы устройства получали сетевые настройки, автоматически, настроим DHCP сервер, для локальных сетей (172.20.22.0/24, 172.21.22.0/24):

/ip dhcp-server add name=dhcpVLAN2 interface=BridgeVLAN2 address-pool=poolVLAN2 disabled=no /ip dhcp-server add name=dhcpVLAN3 interface=BridgeVLAN3 address-pool=poolVLAN3 disabled=no /ip dhcp-server network add address=172.20.22.0/24 gateway=172.20.22.1 /ip dhcp-server network add address=172.21.22.0/24 gateway=172.21.22.1

Настройка Firewall. Доступ к интернет для VLAN сетей

У меня выполнена настройка безопасности, по этой . Поэтому для того чтобы устройства из локальных сетей (172.20.22.0/24, 172.21.22.0/24), имели выход в интернет, добавляем для них правило:

/ip firewall filter add chain=forward action=accept src-address=172.20.22.0/24 comment="Access Internet From LAN" /ip firewall filter add chain=forward action=accept src-address=172.21.22.0/24 comment="Access Internet From LAN"

Изолирование VLAN сетей

Необходимо чтобы сети VLAN2 (172.20.22.0/24), VLAN3 (172.21.22.0/24), были изолированы друг от друга и от доступа в основную локальную сеть 10.5.5.0/24. Создаем списки локальных сетей (LOCAL):

/ip firewall address-list add list=LOCAL address=10.5.5.0/24 /ip firewall address-list add list=LOCAL address=172.20.22.0/24 /ip firewall address-list add list=LOCAL address=172.21.22.0/24

Создаем правила блокировки доступа к локальным сетям (LOCAL) из сетей 172.20.22.0/24, 172.21.22.0/24. Запрещающие правила, обязательно ставим выше разрешающих:

/ip firewall filter add chain=forward action=drop src-address=172.20.22.0/24 dst-address-list=LOCAL /ip firewall filter add chain=forward action=drop src-address=172.21.22.0/24 dst-address-list=LOCAL

Распределение VLAN по портам роутера Mikrotik

Назначаем порты роутера, на работу в том или ином VLAN. Порт ether2 — BridgeVLAN2, порты ether3, ether4 — BridgeVLAN3:

/interface bridge port add interface=ether2 bridge=BridgeVLAN2 /interface bridge port add interface=ether3 bridge=BridgeVLAN3 /interface bridge port add interface=ether4 bridge=BridgeVLAN3

Информация : не обязательно назначать Bridge соединение на каждый порт, для принадлежности к тому или иному VLAN. Достаточно задать Bridge соединение, только на один порт, а затем используя Master port указывать принадлежность к VLAN, другие порты.

На этом добавление и настройка VLAN окончена. В итоге получили две изолированные сети, с доступом в интернет. Поместили созданные VLAN сети в Trunk соединение, что позволит в случае необходимости сегментирования VLAN сетей на другой роутер, легко это сделать. Назначили необходимые порты роутера на работу в соответствующих VLAN сетях.

Организация виртуальных локальных сетей VLAN абстрагирует идею физической сети (LAN), предоставляя возможность подключения виртуальной частной сети к линии передачи данных для каждой подсети в отдельности. Один или несколько сетевых vlan коммутаторов могут поддерживать несколько независимых виртуальных сетей. Тем самым давая возможность создавать различные реализации подсетей уровня передачи данных. Часто сегментирование сетей связано с необходимостью ограничения широковещательного домена. Обычно домен обслуживает один или нескольких коммутаторов Ethernet для средних и крупных сетей.

Сети VLAN упрощают сетевым администраторам задачу разбивки единой коммутируемой сети на логические сегменты в соответствии с функционалом и требованиями безопасности работы корпоративных систем. При этом нет необходимости в прокладке и перекоммутации новых кабелей или существенных изменениях в текущей сетевой инфраструктуре. Весь процесс организации новой схемы работы происходит на логическом уровне - на уровне настройки сетевого оборудования. Порты (интерфейсы) на коммутаторах могут быть назначены одной или нескольким виртуальным сетям. Что позволяет разделить систему на логические группы. На основе того, каким подразделениям принадлежит тот или иной сервис или ресурс, устанавливаются правила, согласно которым системам в отдельных группах разрешено связываться друг с другом. Конфигурация групп может варьироваться от простой идеи - компьютеры в одной виртуальной сети могут видеть принтер в этом сегменте, но компьютеры за пределами сегмента не могут, - до относительно сложных моделей. Например, компьютеры в отделах розничного банковского обслуживания не могут взаимодействовать с компьютерами в торговых отделах.

Каждый логический сегмент виртуальной сети обеспечивает доступ к линии передачи данных всем хостам, подключенным к портам коммутатора, настроенным с тем же идентификатором сети. Тег VLAN – это 12-разрядное поле в заголовке Ethernet кадра, которое обеспечивает поддержку до 4096 VLAN для каждого домена коммутации. Маркировка VLAN стандартизована в IEEE (Институт инженеров по электротехнике и электронике) 802.1Q и часто называется Dot1Q.

Маршрутизатор служит для объединения физических локальных сетей

До момента появления виртуальных частных сетей мы должны были сегментировать локальную сеть LAN на основе физических коммутаторов.

Чем больше сегментов вам необходимо организовать, тем больше коммутаторов вам необходимо закупить. Маршрутизатор используется для пересылки трафика между локальными сетями.

Ситуация становится более сложной, если у вас есть 2 отдельных офиса. И если сеть настроена согласно схеме выше, то вам потребуется не один, а два отдельных кабеля между офисами. В зависимости от удаленности локаций прокладка данных трасс может вылиться в серьезные затраты. А теперь представьте, что у вас 3 и более офисов, а отделов в компании, например, 5. Получается, что необходимо прокладывать 15 кабельных трасс - бизнес на такое не пойдет.

Нам необходимо решение, которое помогло бы устранить проблему выше. Мы больше не можем полагаться на физическую сегментацию, поскольку она не является гибкой, более дорогой и делает вашу жизнь сложнее.Решение называется Virtual LAN – VLAN.

Благодаря использованию виртуальных частных сетей VLAN у нас появляется больше возможностей для сегментации сети на основе портов или даже на основе MAC-адреса или протоколов.

Что же такое виртуальные частные сети VLAN и как они работают?

Концепции работы VLAN сетей уходит своими корнями к началу эпохи телекоммуникаций. Когда на коммутаторе настроены сегменту (VLAN10 и VLAN20), мы вставляем VLAN тег непосредственно перед отправкой кадра на магистральную линию (VLAN trunk). Этот тег указывает, к какому сегменту виртуальной сети принадлежит каждый frame. Поэтому, когда кадр прибывает на целевой Ethernet коммутатор, то он знает, в какой vlan он должен переслать сообщение.

Как работает Транк (trunk) соединение?

  • В исходящих кадрах на 2 уровне сетевой модели OSI при пересылке через trunk порт происходит модификация заголовка
  • Коммутатор добавляет VLAN тег 802.1Q между полями Source MAC и EtherType

Обратите внимание, что все эти процессы происходят на 2 уровне модели OSI (уровень передачи данных). Сетевой уровень в данном случае не задействован.

Как происходит обмен трафиком между различными VLAN?

Вопрос аналогичен тому: как передается трафик внутри локальной сети Ethernet? Разделенные сегменты локальной сети 2 уровня (LAN) не могут передавать друг другу данные, если они не связаны с маршрутизатором. Маршрутизатор отвечает за перенаправление кадров в другие сегменты. Поскольку router является устройством 3 уровня, как следствие, все устройства должны использовать заголовок 3 уровня, например IP-адрес.

Все зависит от возможностей маршрутизатора. Если маршрутизатор не поддерживает VLAN, тогда нам нужны порты доступа, которые подключаются к его интерфейсам.

Маршрутизатор не поддерживает режим trunk и VLAN-тегирование

  • 1 VLAN = 1 сегмент сети = 1 широковещательный домен
  • Нам необходим маршрутизатор для пересылки пакетов между VLAN сегментами
  • IP адрес маршрутизатора становится шлюзом по-умолчанию

К сожалению, многие современные предприятия и организации практически не используют такую полезную, а часто просто необходимую возможность, предоставляемую большинством современных коммутаторов локальных вычислительных сетей (ЛВС), как организация виртуальных ЛВС (ВЛВС, VLAN) в рамках сетевой инфраструктуры. Трудно сказать, чем это вызвано. Возможно, недостатком информации о преимуществах, предоставляемых технологией VLAN, ее кажущейся сложностью, или нежеланием использовать “сырое” средство, не гарантирующее интероперабельность между сетевыми устройствами различных производителей (хотя технология VLAN уже год как стандартизована, и все ведущие производители активного сетевого оборудования поддерживают этот стандарт). Поэтому данная статья посвящена технологии VLAN. В ней будут рассмотрены преимущества от использования VLAN, наиболее распространенные способы организации VLAN и взаимодействия между ними, а также особенности построения VLAN при использовании коммутаторов некоторых известных производителей.

зачем это нужно

Что же такое VLAN? Это группа подключенных к сети компьютеров, логически объединенных в домен рассылки широковещательных сообщений по какому- либо признаку. Например, группы компьютеров могут выделяться в соответствии с организационной структурой предприятия (по отделам и
подразделениям) или по признаку работы над совместным проектом либо задачей.

Использование VLAN дает три основных преимущества. Это значительно более эффективное использование пропускной способности, чем в традиционных ЛВС, повышенный уровень защиты передаваемой информации от несанкционированного доступа и упрощение сетевого администрирования.

Так как при использовании VLAN вся сеть логически разбивается на широковещательные домены, информация передается членами VLAN только другим членам той же VLAN, а не всем компьютерам физической сети. Таким образом, широковещательный трафик (обычно генерируемый серверами, сообщающими о своем присутствии и возможностях другим устройствам сети) ограничивается предопределенным доменом, а не передается всем станциям сети. Этим достигается оптимальное распределение пропускной способности сети между логическими группами компьютеров: рабочие станции и серверы из разных VLAN “не видят” друг друга и не мешают один одному.

Поскольку обмен данными ведется только внутри конкретной VLAN, компьютеры из разных виртуальных сетей не могут получать трафик, генерируемый в других VLAN. Применение анализаторов протоколов и средств сетевого мониторинга для сбора трафика в других VLAN, помимо той, к которой принадлежит желающий это сделать пользователь, представляет значительные трудности. Именно поэтому в среде VLAN передаваемая по сети информация гораздо лучше защищена от несанкционированного доступа.

Еще одно преимущество использования VLAN - это упрощение сетевого администрирования. Особенно это касается таких задач, как добавление к сети новых элементов, их перемещение и удаление. Например, при переезде какого-либо пользователя VLAN в другое помещение, пусть даже находящееся на другом этаже или в другом здании предприятия, сетевому администратору нет необходимости перекоммутировать кабели. Ему нужно всего лишь со своего рабочего места соответствующим образом настроить сетевое оборудование. Кроме того, в некоторых реализациях VLAN контроль над перемещениями членов VLAN может осуществляться автоматически, не требуя вмешательства администратора. Операции по созданию новых логических групп пользователей, добавлению новых членов в группы сетевой администратор также может осуществлять по сети, не сходя со своего рабочего места. Все это существенно экономит рабочее время администратора, которое может быть использовано на решение других не менее важных задач.

способы организации VLAN

Ведущие производители коммутаторов уровня отдела и рабочей группы используют в своих устройствах, как правило, один из трех способов организации VLAN: на базе портов, МАС-адресов или протоколов третьего уровня. Каждый из этих способов соответствует одному из трех нижних уровней модели взаимодействия открытых систем OSI: физическому, канальному и сетевому соответственно. Существует четвертый способ организации VLAN - на основе правил. В настоящее время он используется редко, хотя обеспечивает большую гибкость при организации VLAN, и, возможно, будет широко использоваться в устройствах ближайшего будущего. Давайте вкратце рассмотрим каждый из перечисленных выше способов организации VLAN, их достоинства и недостатки.

VLAN на базе портов. Как следует из названия способа, VLAN организуются путем логического объединения выбранных физических портов коммутатора. Например, сетевой администратор может указать, что порты коммутатора с номерами 1, 2, 5 образуют VLAN1, а порты с номерами 3, 4, 6 образуют VLAN2 и т.д.. К одному порту коммутатора может быть подключено несколько компьютеров (например, через хаб). Все они будут принадлежать к одной VLAN - к той, к которой приписан обслуживающий их порт коммутатора. Такая жесткая привязка членства в VLAN является недостатком способа организации виртуальных сетей на базе портов.

VLAN на базе МАС-адресов. Этот способ позволяет строить VLAN, основываясь на уникальном шестнадцатеричном адресе канального уровня, который имеет каждый сетевой адаптер сервера или рабочей станции сети. Это более гибкий способ организации VLAN по сравнению с предыдущим, так как к одному порту коммутатора могут быть подключены устройства, принадлежащие к разным VLAN. Кроме того, перемещения компьютеров с одного порта коммутатора на другой отслеживаются коммутатором автоматически и позволяют сохранить принадлежность переместившегося компьютера к определенной VLAN без вмешательства сетевого администратора. Действует это довольно просто: коммутатор поддерживает таблицу соответствия МАС-адресов компьютеров виртуальным сетям. Как только компьютер переключается на другой порт коммутатора, сравнивая поле МАС-адреса отправителя в заголовке первого переданного после перемещения компьютером кадра с данными своей таблицы, коммутатор делает правильный вывод о принадлежности переместившегося компьютера к VLAN. Недостатком данного способа организации VLAN является изначальная трудоемкость конфигурирования VLAN, которая чревата ошибками. Хотя таблица МАС-адресов коммутаторами строится автоматически, сетевому администратору нужно всю ее просмотреть и определить, что данный шестнадцатеричный адрес МАС соответствует такой-то рабочей станции, после чего приписать его к соответствующей виртуальной сети. Правда, последующая реконфигурация VLAN на базе МАС-адресов потребует значительно меньше усилий, чем в случае VLAN на базе портов.

VLAN на базе протоколов третьего уровня. Данный способ редко используется в коммутаторах уровня отдела и рабочей группы. Он характерен для магистральных маршрутизирующих коммутаторов, имеющих встроенные средства маршрутизации основных протоколов ЛВС - IP, IPX и AppleTalk. Согласно этому способу, группа портов коммутатора, принадлежащих к определенной VLAN, ассоциируется с определенной подсетью IP или сетью IPX. Гибкость здесь обеспечивается тем, что перемещения пользователя на другой порт, принадлежащий той же VLAN, отслеживается коммутатором и не требует его переконфигурации. Преимуществом данного способа является также простота конфигурации VLAN, которая может осуществляться автоматически, поскольку коммутатор анализирует сетевые адреса компьютеров, соотносимых с каждой VLAN. К тому же, как уже упоминалось, поддерживающие способ организации VLAN на базе протоколов третьего уровня устройства имеют встроенные средства маршрутизации, что обеспечивает возможность взаимодействия между различными VLAN без использования дополнительных средств. Недостаток у этого способа, пожалуй, всего один - высокая цена коммутаторов, в которых он реализован.

VLAN на основе правил. Предполагают наличие у коммутатора способности подробно анализировать заранее определенные поля и даже отдельные биты проходящих через него пакетов как механизмы построения VLAN. Этот способ обеспечивает практически неограниченные возможности создания виртуальных сетей на основе множества критериев. Например, даже по принципу включения в VLAN всех пользователей, в чьи компьютеры установлены сетевые адаптеры указанного производителя. Несмотря на огромную гибкость, процесс конфигурации VLAN на основе правил очень трудоемок. К тому же наличие сложных правил может отрицательно сказаться на пропускной способности коммутатора, поскольку значительная часть его вычислительной мощности будет тратиться на анализ пакетов.

Также устройства могут быть автоматически перемещены в VLAN, основываясь на данных аутентификации пользователя или устройства при использовании протокола 802.1x.

построение распределенных VLAN

Современные ЛВС нередко содержат более одного коммутатора. Принадлежащие к одной VLAN компьютеры могут быть подключены к разным коммутаторам. Таким образом, чтобы правильно направлять трафик, должен существовать механизм, позволяющий коммутаторам обмениваться информацией о принадлежности подключенных к ним устройств к VLAN. Раньше каждый производитель в своих устройствах реализовывал фирменные механизмы обмена такой информацией. Например, у 3Com эта технология носила название VLT (Virtual LAN Trunk), у Cisco Systems - ISL (Inter-Switch Link). Поэтому для построения распределенных VLAN необходимо было использовать устройства от одного производителя. Ситуация коренным образом улучшилась, когда был принят стандарт на построение тегированных VLAN - IEEE 802.1Q, который сайчас и господствует в мире VLAN. Помимо всего прочего, он регламентирует и механизм обмена информацией о VLAN между коммутаторами. Этот механизм позволяет дополнять передаваемые между коммутаторами кадры полями, указывающими на принадлежность к той или иной VLAN. На сегодняшний день все ведущие производители коммутаторов ЛВС поддерживают в своих устройствах стандарт 802.1Q. Следовательно, сегодня уже можно строить виртуальные сети, используя коммутаторы от разных производителей. Хотя, как вы увидите позже, даже работая в соответствии с 802.1Q, коммутаторы разных производителей предоставляют далеко не одинаковые возможности по организации VLAN.

организация взаимодействия между VLAN

Находящиеся в разных VLAN компьютеры не могут непосредственно взаимодействовать друг с другом. Для организации такого взаимодействия необходимо использовать маршрутизатор. Раньше для этого использовались обычные маршрутизаторы. Причем требовалось, чтобы маршрутизатор имел столько физических сетевых интерфейсов, сколько имеется VLAN. Помимо этого, на коммутаторах приходилось выделять по одному порту из каждой VLAN для подключения маршрутизатора. Учитывая дороговизну портов маршрутизатора, стоимость такого решения была очень высокой. Кроме того, обычный маршрутизатор вносил существенную задержку в передачу данных между VLAN. Сегодня для передачи данных между VLAN используют маршрутизирующие коммутаторы, которые имеют невысокую цену за порт и осуществляют аппаратную маршрутизацию трафика со скоростью работы канала связи. Маршрутизирующие коммутаторы также соответствуют стандарту IEEE 802.1Q, и для организации взаимодействия между распределенными VLAN им необходимо использовать всего по одному порту для подключения каждого из коммутаторов рабочих групп, осуществляющих подключение к сети устройств, соответствующих разным VLAN. Иными словами, через один порт современного маршрутизирующего коммутатора может происходить обмен информацией между устройствами из разных VLAN.

использование общих сетевых ресурсов компьютерами разных VLAN

Очень интересной является возможность организации доступа к общим сетевым ресурсам (сетевым серверам, принтерам и т.д.) компьютерам, относящимся к разным VLAN. Преимущества такой возможности очевидны. Во-первых, нет необходимости приобретать маршрутизатор или маршрутизирующий коммутатор, если не требуется организовать прямой обмен данными между компьютерами из разных VLAN. Обеспечить взаимодействие между компьютерами разных VLAN можно через сетевой сервер, доступ к которому имеют все или несколько VLAN. Во-вторых, сохраняя все преимущества использования VLAN, можно не приобретать серверы для каждой VLAN в отдельности, а использовать общие.

Самый простой способ дать доступ к одному серверу пользователям из разных VLAN - это установить в сервер несколько сетевых адаптеров и подключить каждый из этих адаптеров к портам коммутатора, принадлежащим разным VLAN. Однако такой подход имеет ограничение по количеству VLAN (в сервер нельзя установить много сетевых адаптеров), предъявляет строгие требования к компонентам сервера (драйверы сетевых адаптеров требуют увеличения количества ОЗУ, создается большая нагрузка на ЦПУ и шину ввода-вывода сервера и т.д.) и не способствует экономии денежных средств (использование нескольких сетевых адаптеров и дополнительных портов коммутатора).

С появлением стандарта IEEE 802.1Q стало возможным через один порт коммутатора передавать информацию, относящуюся ко всем или нескольким VLAN. Как уже упоминалось выше, для этого в передаваемый по сети кадр коммутатор (или другое устройство, поддерживающее 802.1Q) добавляет поле, однозначно определяющее принадлежность кадра к определенной VLAN. К такому порту как раз можно подключить всего одной линией связи общий для всех VLAN сервер. Единственное условие при этом - сетевой адаптер сервера должен поддерживать стандарт 802.1Q, чтобы сервер мог знать, из какой VLAN пришел запрос и, соответственно, куда направить ответ. Так реализуется разделение сервера между VLAN в управляемых коммутаторах уровня отдела и рабочей группы у 3Com, Hewlett-Packard и Cisco Systems.

заключение

Как видите, VLAN являются мощным средством организации сети, способным решить проблемы администрирования, безопасности передачи данных, разграничения доступа к информационным ресурсам и значительно увеличить эффективность использования полосы пропускания сети.

Олег Подуков, начальник технического отдела Компании «КОМПЛИТ»

Статья раскрывает особенности настройки технологии VLAN на примере конкретного оборудования.

Доброго времени суток, уважаемый посетитель. Сегодня я, как обычно, по нашей доброй традиции, буду рассказывать кое-что интересное. А рассказ сегодня пойдет про замечательную штуку в локальных сетях под названием VLAN. В природе не мало разновидностей данной технологии, про все рассказывать не будем, а только про те, которые решили бы стоящую перед нашей компанией задачу. Данная технология уже не раз применялась нашими специлистами в нашей практике ИТ аутсорсинга в регионе , Но в этот раз, всё было несколько интереснее, т.к. оборудование с которым пришлось работать - несколько "урезанное" (прошлая похожая задача релизовывалась на коммутаторе D-link DES-1210-28). Но, обо всем по порядку.

Что же такое VLAN ?

VLAN – логическая («виртуальная») локальная сеть, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств.

Данная технология позволяет выполнять две задачи:

1) группировать устройства на канальном уровне (т.е. устройства, находящиеся в одном VLAN’е), хотя физически при этом они могут быть подключены к разным сетевым коммутаторам (расположенным, к примеру, географически отдаленно);

2) разграничивать устройства (находящиеся в разных VLAN’ах), подключенные к одному коммутатору.

Иначе говоря, VLAN ‘ы позволяют создавать отдельные широковещательные домены, снижая, тем самым, процент широковещательного трафика в сети.

Port - Base VLAN

Port-Base VLAN – представляет собой группу портов или порт в коммутаторе, входящий в один VLAN. Порты в таком VLAN называются не помеченными (не тегированными), это связанно с тем, что кадры приходящие и уходящие с порта не имеют метки или идентификатора. Данную технологию можно описать кратко – VLAN ’ы только в коммутаторе. Эту технологию мы будем рассматривать на управляемом коммутаторе D-link DGS-1100-24.

IEEE 802.1Q

IEEE 802.1Q - открытый стандарт, который описывает процедуру тегирования трафика для передачи информации о принадлежности к VLAN. Для этого в тело фрейма помещается тег, содержащий информацию о принадлежности к VLAN’у. Т.к. тег помещается в тело, а не в заголовок фрейма, то устройства, не поддерживающие VLAN’ы, пропускают трафик прозрачно, то есть без учета его привязки к VLAN’у.

Немного наркомании, а именно - процедура помещения тега в кадр называется – инъекция.

Размер тега - 4 байта. Он состоит из таких полей:

  • Tag Protocol Identifier (TPID, идентификатор протокола тегирования). Размер поля - 16 бит. Указывает какой протокол используется для тегирования. Для 802.1Q используется значение 0x8100.
  • Priority (приоритет). Размер поля - 3 бита. Используется стандартом IEEE 802.1p для задания приоритета передаваемого трафика.
  • Canonical Format Indicator (CFI, индикатор канонического формата). Размер поля - 1 бит. Указывает на формат MAC-адреса. 0 - канонический, 1 - не канонический. CFI используется для совместимости между сетями Ethernet и Token Ring.
  • VLAN Identifier (VID, идентификатор VLAN). Размер поля - 12 бит. Указывает какому VLAN принадлежит фрейм. Диапазон возможных значений от 0 до 4095.

Порты в 802.1Q

Порты могут быть в одном из следующих режимов:

  • Tagged port (в терминологии CISCO - trunk-port) - порт пропускает пакеты маркированные указанными номерами VLAN, но при этом сам никак не маркирует пакеты
  • Untagged port (в терминологии CISCO - access-port) - порт прозрачно пропускает немаркированный трафик для указанных VLAN, если трафик уходит в другие порты коммутатора за пределы указанного VLAN, то там он уже виден как маркированный номером этой VLAN.
  • Порт не принадлежит никаким VLAN и не учувствует в работе коммутатора

Пример. Имеется офисное помещение, в котором отдел кадров разделен на два этажа, нужно, чтобы сотрудники были отделены от общей сети. Имеется два коммутатора. Создадим VLAN 3 на одном и втором, порты, которые будут в одном из VLAN укажем как Untagget Port. Для того, чтобы коммутаторы понимали в какой VLAN адресуется кадр, нужен порт, через который будет пересылаться трафик в этот же VLAN другого коммутатора. Выделим, к примеру, один порт и укажем его как Tagget. Если у нас, помимо VLAN 3, есть еще и другие, и ПК-1 расположенный в VLAN 3 будет искать ПК-2, то широковещательный трафик не будет «ходить» по всей сети, а только в VLAN 3. Прибежавший кадр будет пропускаться через MAC-таблицу, если же адрес получателя не будет найдет, такой кадр будет отправлен через все порты такого VLAN откуда он прибежал и порт Tagget с меткой VLAN, чтобы другой коммутатор воспроизвел широковещание на ту группу портов, которые указаны в поле VID. Данный пример описывает VLAN – один порт может быть только в одном VLAN.

IEEE 802.1 ad

802.1ad - это открытый стандарт (аналогично 802.1q), описывающий двойной тег. Также известен как Q-in-Q, или Stacked VLANs. Основное отличие от предыдущего стандарта - это наличие двух VLAN’ов - внешнего и внутреннего, что позволяет разбивать сеть не на 4095 VLAN’ов, а на 4095х4095.

Сценарии могут быть различны – провайдеру надо “пробросить” транк клиента, не затрагивая схему нумерации VLAN’ов, надо балансировать нагрузку между субинтерфейсами внутри сети провайдера, либо просто – маловато номеров. Самое простое – сделать ещё одну такую же метку (tag).

Асимметричный VLAN

В терминологиях D-Link, а также в настройках VLAN, есть понятие асимметричный VLAN – это такой VLAN, в котором один порт может быть в нескольких VLAN.

Состояние портов меняется

  • Tagged порты работают прежним образом
  • Появляется возможность назначать как Untagged несколько портов на несколько VLAN. Т.е. один порт сразу работает в нескольких VLAN как Untagged
  • У каждого порта появляется еще один параметр PVID - это VLAN ID, которым маркируется трафик с этого порта, если он уходит на Tagged порты и за пределы коммутатора. У каждого порта может быть только один PVID

Таким образом, мы получаем то, что внутри устройства один порт может принадлежать сразу нескольким VLAN, но при этом, уходящий в tagged (TRUNK) порт, трафик будет маркироваться номером, который мы задаем в PVID.

Ограничение: Функция IGMP Snooping не работает при использовании асимметричных VLAN.

Создание VLAN на D- link DGS-1100-24.

Что имеется. Два коммутатора, один из них D-link DGS-1100-24, к нему подключен коммутатор №2. В коммутатор №2 подключены машины пользователей – абсолютно всех, а также сервера, шлюз по умолчанию и сетевое хранилище.

Задача. Ограничить отдел кадров от общей среды, так, чтобы при этом были доступны сервера, шлюз и сетевое хранилище.

Ко всему прочему, коммутатор D-link DGS-1100-24 только что вынули из коробки. По умолчанию большинство управляемых коммутаторов компании D-Link имеют адрес 10.90.90.90/8. Нас не интересует физическое нахождение у коммутатора или смена адреса. Существует специальная утилита D-Link SmartConsole Utility, которая помогает найти наше устройство по сети. После установки запускаем утилиту.

Прежде чем переходить к настройке, переключим порты должным образом:

1) Переключим порт отдела кадров с коммутатора №2 в коммутатор №1

2) Переключим сервера, шлюз и сетевое хранилище с коммутатора №2 в коммутатор №1

3) Подключим коммутатор №2 в коммутатор №1

После такого переключения видим следующую картину: сервера, шлюз, сетевое хранилище и отдел кадров подключены в коммутатор №1, а все остальные пользователи в коммутатор №2.

Жмем кнопку «Discovery»

Ставим галочку и жмем значок шестеренки, открывается окно настройки коммутатора. После задания адреса, маски и шлюза, пишем пароль, который по умолчанию admin.

Жмем «Add VLAN» и указываем имя VLAN и порты

Жмем «Apply»

После создания нужных VLAN, сохраним настройку, для этого нажмем «Save», «Save configuration»

Итак, мы видим, что VLAN 3 не имеет доступа к портам 01-08, 15-24 – следовательно, не имеет доступ к серверам, шлюзу, сетевому хранилищу, к VLAN2 и остальным клиентам – которые подключены к коммутатору №2. Тем не менее VLAN 2 имеет доступ к серверам, шлюзу, сетевому хранилищу, но не имеет к остальным машинам. И наконец, все остальные машины видят сервера, шлюз, сетевое хранилище, но не видят порты 05,06.]

Таким образом, при наличии определенных знананий об особенностях оборудования и навыков ИТ-аутсорсинга , можно удовлетворить потребности клиента даже на таком бюджетном оборудовании как коммутатор D-Link DGS1100-24 .

Все, люди, Мир Вам!

И коммутаторах, позволяющая на одном физическом сетевом интерфейсе (Ethernet, Wi-Fi интерфейсе) создать несколько виртуальных локальных сетей. VLAN используют для создания логической топологии сети, которая никак не зависит от физической топологии.

Примеры использования VLAN

    Объединение в единую сеть компьютеров, подключенных к разным коммутаторам .
    Допустим, у вас есть компьютеры, которые подключены к разным свитчам, но их нужно объединить в одну сеть. Одни компьютеры мы объединим в виртуальную локальную сеть VLAN 1, а другие — в сеть VLAN 2. Благодаря функции VLAN компьютеры в каждой виртуальной сети будут работать, словно подключены к одному и тому же свитчу. Компьютеры из разных виртуальных сетей VLAN 1 и VLAN 2 будут невидимы друг для друга.

    Разделение в разные подсети компьютеров, подключенных к одному коммутатору .
    На рисунке компьютеры физически подключены к одному свитчу, но разделены в разные виртуальные сети VLAN 1 и VLAN 2. Компьютеры из разных виртуальных подсетей будут невидимы друг для друга.

    Разделение гостевой Wi-Fi сети и Wi-Fi сети предприятия .
    На рисунке к роутеру подключена физически одна Wi-Fi точка доступа . На точке созданы две виртуальные Wi-Fi точки с названиями HotSpot и Office. К HotSpot будут подключаться по Wi-Fi гостевые ноутбуки для доступа к интернету, а к Office — ноутбуки предприятия. В целях безопасности необходимо, чтобы гостевые ноутбуки не имели доступ к сети предприятия. Для этого компьютеры предприятия и виртуальная Wi-Fi точка Office объединены в виртуальную локальную сеть VLAN 1, а гостевые ноутбуки будут находиться в виртуальной сети VLAN 2. Гостевые ноутбуки из сети VLAN 2 не будут иметь доступ к сети предприятия VLAN 1.

Достоинства использования VLAN

    Гибкое разделение устройств на группы
    Как правило, одному VLAN соответствует одна подсеть. Компьютеры, находящиеся в разных VLAN, будут изолированы друг от друга. Также можно объединить в одну виртуальную сеть компьютеры, подключенные к разным коммутаторам.

    Уменьшение широковещательного трафика в сети
    Каждый VLAN представляет отдельный широковещательный домен. Широковещательный трафик не будет транслироваться между разными VLAN. Если на разных коммутаторах настроить один и тот же VLAN, то порты разных коммутаторов будут образовывать один широковещательный домен.

    Увеличение безопасности и управляемости сети
    В сети, разбитой на виртуальные подсети, удобно применять политики и правила безопасности для каждого VLAN. Политика будет применена к целой подсети, а не к отдельному устройству.

    Уменьшение количества оборудования и сетевого кабеля
    Для создания новой виртуальной локальной сети не требуется покупка коммутатора и прокладка сетевого кабеля. Однако вы должны использовать более дорогие управляемые коммутаторы с поддержкой VLAN.