VLAN — что это такое? Назначение и особенности применения

Виртуализация — это не научно-фантастический термин, а одна из составляющих современной околокомпьютерной жизни. Внедренная в различных сферах жизнедеятельности человека, не обошла она и локальные сети. В настоящее время все больше устройств используют технологию VLAN для удобства и гибкости при настройке конфигурации различного оборудования. В статье разберемся с этой концепцией более подробно.

Содержание:
1. Что такое VLAN?
2. Преимущества VLAN
3. Где используют VLAN?
4. Типы VLAN
5. Связь между VLAN
6. Словарь терминов VLAN
7. Примеры использования VLAN
8. VLAN в Cisco
9. VLAN в Windows
Заключение

1. Что такое VLAN?

VLAN (Virtual Local Area Network) — технология, логически разделяющая и изолирующая одну или несколько физических локальных сетей на несколько виртуальных широковещательных доменов.

По сути, это совокупность устройств или сетевых узлов, взаимодействующих друг с другом, как если бы они составляли единую проводную локальную сеть. На самом же деле, они существуют в одном или нескольких сегментах LAN.

С технической точки зрения сегмент отделен от остальной сети мостом, маршрутизатором или коммутатором. Это означает, что когда одна рабочая станция рассылает пакеты, они достигают всех других рабочих станций в рамках VLAN, в пределах зоны ее покрытия. Сети VLAN обходят физические ограничения локальной сети благодаря своей виртуальной природе, позволяя организациям их масштабировать и сегментировать для повышения мер безопасности и уменьшения сетевой задержки.

Это решение исключает множество из возможных осложнений, существующих при использовании обычных локальных сетей, включая чрезмерный сетевой трафик и коллизии.

Например, когда две рабочие станции одновременно отправляют пакеты данных по LAN, подключенной через концентратор, данные конфликтуют и не передаются должным образом (коллизия). Конфликт распространяется по всей сети и она становится перманентно занята, требуя от пользователей дождаться завершения конфликта, и до восстановления работоспособности исходные данные снова и снова отправляются повторно.

Сети VLAN снижают вероятность коллизий и уменьшают количество сетевых ресурсов, расходуемых впустую, поскольку они действуют как сегменты LAN. Пакеты данных, отправляемые с рабочей станции в сегменте, передаются мостом или коммутатором, не посылающим информацию о конфликтах, а отправляющим широковещательную рассылку на все сетевые устройства. По этой причине сегменты называются «доменами коллизий».

VLAN обладает большей функциональностью, чем сегмент локальной сети, поскольку обеспечивает повышенную безопасность данных и возможность использования логических разделов, так как действует как отдельная LAN, хотя составляет только сегмент. Кроме того, разделять ее можно не только по физическому расположению сетевых устройств. Ее составляющие можно сгруппировать по отделам, проектным группам или любому другому логическому организационному принципу.

2. Преимущества VLAN

Организации получают большую выгоду от использования VLAN, включая повышенную производительность, большую гибкость в конфигурации сети и формировании рабочих групп, а также сокращение административных усилий. Вот некоторые из преимуществ:

1. Сети VLAN экономически эффективны, поскольку рабочие станции при таком подходе обмениваются данными друг с другом через коммутаторы и не требуют подключения маршрутизаторов если только они не отправляют данные за пределы VLAN, облегчая управление увеличивающейся нагрузкой.
2. Сети VLAN дают большую гибкость, чем невиртуальные сетевые решения, ведь они настроены на основе критериев порта, протокола или подсети, что позволяет при необходимости изменять структуру сети. Кроме того, они позволяют разным группам пользователей совместно использовать технологию, даже если они работают в отдельных зданиях.
3. Сети VLAN позволяют администраторам сети автоматически ограничивать доступ определенной группе пользователей, разделяя рабочие станции на разные изолированные сегменты LAN, сокращая тем самым время уделяемое на настройку системы и применение мер безопасности.
4. VLAN уменьшает размер широковещательных доменов, ограничивая которые отсеиваются сообщения не предназначенные для сети. А еще это значительно снижает трафик.
5. Повышение безопасности сети. Виртуальные границы, созданные VLAN, могут пересекать только маршрутизаторы, при помощи которых используя стандартные меры безопасности к VLAN можно гибко ограничить доступ извне.
6. VLAN легко управлять, поскольку пользователи с аналогичными сетевыми требованиями используют одну и ту же виртуальную сеть. Все процедуры, настроенные для конкретной сети, реализуются при назначении портов.
7. VLAN упрощают управление проектами и приложениями. Существует возможность объединить пользователей и сетевые устройства для поддержки бизнеса и сгруппировать их по функциональности, а не по местоположению.

3. Где используют VLAN?

Многие крупные международные организации используют в своей работе WAN глобальную сеть из-за внушительных размеров своих огромных офисов и больших команд. В таком случае наличие нескольких VLAN в составе одной сети значительно ускорит работу над кросс-функциональными проектами.

Простота настройки виртуальных локальных сетей и перераспределение пользователей по ним позволяет объединить любые межведомственные группы в одну и ту же VLAN для облегчения совместного использования большого объема данных. Маркетологи, специалисты по продажам, IT и бизнес-аналитики могут работать вместе. Так обеспечивается наиболее эффективное достижение поставленных целей и оптимальный режим командной работы в общей локальной сети.

4. Типы VLAN

Существует пять основных типов VLAN:

• VLAN на основе портов или интерфейсов. Позволяет администраторам сети вручную назначать VLAN для каждого порта коммутатора. Подходит для небольшой сети без необходимости частого изменения сетевой инфраструктуры.
• VLAN на основе MAC-адресов. Применение этой технологии может значительно повысить гибкость сети. Даже если пользователи часто меняют свое физическое местоположение, сетевому администратору не нужно перенастраивать сеть.
• VLAN на основе IP-подсети. Это эффективное решение для общедоступной сети с более высокими требованиями к мобильности и упрощенному управлению, а также с меньшими требованиями к безопасности. С помощью этой технологии пользователи могут автоматически присоединяться к новому идентификатору VLAN после изменения своего IP-адреса.
• VLAN на основе протокола. Для сети с несколькими протоколами этот тип VLAN разрабатывается в соответствии с применяемыми типами протоколов и форматами инкапсуляции кадров.
• VLAN на основе политик или комбинированный. Этот продвинутый тип можно описать как комбинацию всего вышеперечисленного, такой гибридный подход может значительно повысить безопасность и гибкость сети.

5. Связь между VLAN

Поскольку широковещательные пакеты ограничены одной и той же виртуальной локальной сетью, узлы в разных VLAN не могут напрямую связываться друг с другом. Для решения этой проблемы используются маршрутизаторы, пересылающие сетевой трафик из одной сети в другую. Для включения маршрутизации между разными VLAN доступны три варианта:

Маршрутизация между VLAN с отдельными физическими интерфейсами

Этот способ подразумевает наличие дополнительного порта у маршрутизатора для каждой VLAN. Такой вариант несколько увеличивает финансовые затраты, поэтому этот тип маршрутизации редко использовался из-за его высокой стоимости и плохой масштабируемости.

Маршрутизация между виртуальными локальными сетями (Router-on-a-Stick)

Этот тип маршрутизации позволяет одному физическому интерфейсу осуществлять пересылку трафика между VLAN. После настройки соединения между маршрутизатором и коммутатором, маршрутизатор получает кадры с тегами на магистральном интерфейсе от подключенного коммутатора и пересылает маршрутизируемые пакеты в места назначения через тот же интерфейс.

Маршрутизация между VLAN с коммутатором уровня 3

Последний метод — использовать коммутаторы Level 3 с функцией маршрутизации. Пользователям необходимо создать SVI виртуальный интерфейс коммутатора для каждой VLAN и настроить для него IP-адрес. Этот IP-адрес можно использовать для компьютеров в качестве шлюза по умолчанию. Таким образом, пакеты из одной VLAN будут отправляться в SVI для маршрутизации в другие VLAN, таким образом реализуя связь между ними.

6. Словарь терминов VLAN

Ниже приведены некоторые важные термины и концепции, с которыми необходимо разобраться для лучшего понимания технологии, схем и примеров настройки VLAN собственного оборудования:

VLAN ID / VID

Это номер VLAN например, 4095, используемый сетевым оборудованием для распознавания и группировки членов одной и той же виртуальной сети. Здесь важно понимать, что значение имеет только число. Нельзя пометить ее, скажем, как VLAN 10 «Ivan» на одном коммутаторе и VLAN 10 «John» на другом. Как мы уже говорили, единственное, что действительно волнует систему — это цифры (VID).

Тег

Тег VLAN — это небольшой фрагмент информации, добавляемый к пакету, сообщающий сетевому оборудованию к какой VLAN принадлежит этот пакет.

Tagged

При настройке коммутатора с поддержкой VLAN вы будете часто сталкиваться со словом tagged или untagged в виде флажка или раскрывающегося меню для каждого физического порта на коммутаторе или маршрутизаторе.

При выборе «tagged» — вы указываете коммутатору, что трафик на этом порту с VID, помеченный как TAGGED, должен сохранять свой тег VLAN при входе в коммутатор или при выходе из него.

С такой меткой, при подключении устройства не поддерживающего VLAN, трафик для него будет невидимым, в то время как устройство поддерживающее VLAN, сможет принимать трафик и активно фильтровать его. Это полезно для транкинга чуть ниже мы доберемся и до этого понятия.

Untagged (порт доступа на Cisco)

В обратном порядке вы сообщаете коммутатору, что трафик с немаркированным VID будет удален при выходе из коммутатора, поэтому он будет представлен подключенному устройству как если бы это был обычный трафик не относящийся к VLAN.

Trunk

Это порт, передающий тегированный трафик одного или нескольких VLAN’ов. Этот порт еще называют магистральным, он не изменяет тег, а лишь пропускает кадры с тегами, разрешенными на этом конкретном порту. Магистраль формируется, когда вы помечаете несколько идентификаторов VID на одном порте одного коммутатора. Затем этот порт можно использовать для подключения другого коммутатора поддерживающего VLAN с возможностью использовать те же виртуальные локальные сети на нем.

7. Примеры использования VLAN

Рассмотрим несколько распространенных примеров применения технологии VLAN в работе.

• Объединяем в одну сеть компьютеры, подключенные к разным коммутаторам.

Представьте, что у нас есть несколько компьютеров подключенных к разным свитчам, которые необходимо объединить в единую сеть. Одну часть их мы сгруппируем в виртуальную сеть VLAN1, а другую — в сеть VLAN2. Объединенные в группы машины за счет вилан-функций теперь работают так, будто они физически подключены к одному свитчу (на самом деле это просто виртуализация). В то же время компьютеры из разных виртуальных сетей (VLAN1 и VLAN2) друг друга видеть не будут.

• Разделяем на разные подсети компьютеры, подключенные к одному коммутатору.

На изображении ниже компьютеры, физически подключенные к одному свитчу и сгруппированные в разные подсети VLAN1 и VLAN2. Они будут невидимы друг для друга.

• Разделение гостевого Wi-Fi и Wi-Fi основной сети предприятия.

На схеме ниже показано физическое подключение одной точки Wi-Fi к роутеру. На ней (точке) созданы две виртуальные Wi-Fi-точки — HotSpot и Office. HotSpot служит для подключения гостевых ноутбуков, Office — для ноутбуков компании. С точки зрения безопасности нужно ограничить доступ гостей к сети предприятия. Для этого все офисные машины и виртуальная Wi-Fi-точка Office объединяются в сеть VLAN1. Ту же операцию проведем и с гостевыми устройствами, объединив их в виртуальную локальную сеть VLAN2. При таком подключении доступ посторонних лиц к файлам компании закрыт.

8. VLAN в Cisco

Небольшой гайд по созданию технологии VLAN на популярных коммутаторах Cisco Catalyst.

Сети VLAN пронумерованы в диапазоне от 1 до 4094. Все настроенные порты принадлежат VLAN по умолчанию при первом включении коммутатора и вы не можете создавать, удалять или приостанавливать их.

Итак, создадим VLAN:

switch#configure terminal
switch(config)# vlan 15
switch(config-vlan)# name accounting

Назначим интерфейс Ethernet для VLAN 15:

switch#configure terminal
switch(config)# interface FastEthernet 0/1
switch(config-if)# switchport access vlan 15

Для проверки созданного VLAN, необходимо выполнить:

switch#show vlan

9. VLAN в Windows

В Windows нет встроенной поддержки VLAN. Нельзя создать интерфейс, соответствующий отдельному VLAN’у с указанием соответствующего VLAN ID, за исключением случаев, когда в системе есть специальный драйвер.

Если у вас стоит простая сетевая карта, например, Realtek RTL8139 — трафик передается в неизменном виде, даже с проставленными тегами, напрямую в операционку. Существует программа Realtek Ethernet Diagnostic Utility для карт Realtek, умеющая программно работать с виртуальными локальными сетями. Более мощные сетевые карты поставляются с возможностью обрабатывать теги на различном уровне.

Также существуют специальные драйвера от Intel, Broadcom, 3Com и SysKonnect, добавляющие поддержку VLAN виртуальных интерфейсов, агрегированных каналов, функции failover и других полезных вещей, например: 3com DynamicAccess, Broadcom Advanced Server Program (BASP), Intel Advanced Networking Suite (iANS).

Заключение

VLAN позволяет применять строгую политику безопасности, помогает в администрировании сети, ограничении широковещательных доменов и снижении сетевого трафика. Использование VLAN не только упрощает жизнь системным администраторам, позволяя быстро вносить изменения в структуру сети, но и дает организациям возможность экономить на сетевом оборудовании.

Вот несколько ссылок на релевантные видеоролики, объясняющие концепцию технологии начинающим сетевым инженерам: