VLAN

Материал из Википедии — свободной энциклопедии

VLAN — от англ. Virtual Local Area Network. VLAN могут являться частью большего LAN, имея определенные правила взаимодействия с другими VLAN, либо быть полностью изолированными от них.

Простейший механизм изоляции различных подсетей, работающих через общие свичи и роутеры. Известна как 802.1q.

VLAN 1 является VLANом по умолчанию; он не может быть удален. Весь нетегированный траффик переходит в этот VLAN по умолчанию.

[править] Преимущества VLAN

увеличивает число широковещательных доменов но уменьшает размер каждого широковещательного домена, которые в свою очередь уменьшают сетевой траффик и увеличивают безопасность сети (оба следствия связаны вместе из-за единого большого широковещательного домена)
уменьшает усилия администраторов на создание подсетей
уменьшает количество оборудования, так как сети могут быть разделены логически а не физически
улучшает управление над различными типами траффика

[править] Протоколы и принцип работы

Протокол тегирования IEEE 802.1Q сейчас господствует в мире VLAN. Этому предшествовали другие протоколы, такие как Ciscoвский ISL (Inter-Switch Link, вариант IEEE 802.10) и 3Comовский VLT (Virtual LAN Trunk). ISL больше не поддерживается Cisco.

Первые создатели сетей часто конфигурировали VLANы с целью уменьшения коллизий в большом цельном сегменте сети Ethernet и тем самым увеличивали производительность. Когда Ethernet-свитчи сделали эту проблему малообсуждаемой (поскольку коллизий не наблюдалось), внимание перешло к уменьшению размера широковещательного домена на уровне MAC. Виртуальные сети также могут служить для ограничения доступа к сетевым ресурсам без влияния на топологию сети, хотя надежность этого метода остается предметом обсуждения и известна как (шаманство над VLANами) и часто означает упущение этих мероприятий по обеспечению безопасности.

Виртуальные сети работают на 2-м (канальном) уровне модели OSI. Несмотря на это администраторы часто конфигурируют VLAN для непосредственной работы с IP-сетями или подсетями, что ведет к вовлечению уровня 3 (сетевого).

В контексте VLANов, термин "транк" означает сетевое соединение переносящее несколько VLANов, которые обозначаются метками (или "тегами") вставленными в их пакеты. Такие транки обычно создаются между "тегированными портами" VLAN-устройств, поэтому обычно прокладываются по пути свитч-свитч или свитч-маршрутизатор нежели по пути к хостам. Немного смущает то что термин "транк" также используется для того что Cisco называет "каналами": Link Aggregation или Port Trunking. Маршрутизатор (свитч третьего уровня) выступает в роли магистрали для сетевого траффика, проходящего через разные VLANы.

На устройствах Cisco, VTP (VLAN Trunking Protocol) предусматривает VLAN-домены, которые могут использоваться при решении задач администрирования. VTP также предусматривает "обрезание" что означает направление специфичного для VLANа траффика на свитчи, которые имеют порты на целевом VLANе.

[править] Обозначение членства в VLANе

Для этого существует четыре решения:

Port-based (по порту): порт свитча вручную конфигурируется чтобы быть членом VLANа. Этот метод работает только если все устройства, висящие на этом порту, принадлежат одному VLANу.
MAC-based (по MAC-адресу): членство в VLANе основывается на MAC-адресе рабочей станции. Свитч составляет таблицу MAC-адресов всех устройств вместе с VLANами, к которым они принадлежат.
Protocol-base (по протоколу): данные 3 уровня внутри фрейма используются чтобы определить членство в VLANe. Например, IP машины могут быть переведены в первый VLAN, а машины AppleTalk во второй. Основной недостаток этого метода в том, что он нарушает независимость уровней, поэтому, например, переход с IPv4 на IPv6 приведет к падению свитча.
Authentication based (по аутентификации): Устройства могут быть автоматически перемещены в VLAN основываясь на данных аутентификации пользователя или устройства при использовании протокола 802.1x