Добрый день, Гость! Сегодня: Пн, 21 Окт 2019 г. 15:27

Что такое VLAN

11 октября 2011 - ortesadmin

VLANs – это широковещательные домены или, если угодно, виртуальные сети, которые существуют на втором уровне модели OSI. То есть, вилан можно настроить на коммутаторе второго уровня. Если смотреть на вилан, абстрагируясь от понятия «виртуальные сети», то можно сказать, что VLAN – это просто метка в кадре, который передается по сети. Метка содержит номер вилана (его называют VLAN ID или VID), – на который отводится 12 бит, то есть, вилан может нумероваться от 0 до 4095. Первый и последний номера зарезервированы, их использовать нельзя. Рабочие станции о виланах ничего не знают. О них думают коммутаторы. На портах коммутаторов указывается в каком вилане они находятся. В зависимости от этого весь трафик, который выходит через порт помечается меткой, то есть виланом. Таким образом этот трафик может в дальнейшем проходить через другие порты коммутатора(ов), которые находятся в этом вилане и не пройдут через все остальные порты. В итоге, создается изолированная среда (подсеть), которая без дополнительного устройства (маршрутизатора) не может взаимодействовать с другими подсетями.



Зачем нужны виланы?


  • Возможность построения сети, логическая структура которой не зависит от физической. То есть, топология сети на канальном уровне строится независимо от географического расположения составляющих компонентов сети.
  • Возможность разбиения одного широковещательного домена на несколько широковещательных доменов. То есть, широковещательный трафик одного домена не проходит в другой домен и наоборот. При этом уменьшается нагрузка на сетевые устройства.
  • Возможность обезопасить сеть от несанкционированного доступа. То есть, на канальном уровне кадры с других виланов будут отсекаться портом коммутатора независимо от того, с каким исходным IP-адресом инкапсулирован пакет в данный кадр.
  • Возможность применять политики на группу устройств, которые находятся в одном вилане.
  • Возможность использовать виртуальные интерфейсы для маршрутизации.


Тэгированные и нетэгированные порты


  Когда порт должен уметь принимать или отдавать трафик из разных виланов, то он должен находиться в тэгированном или транковом состоянии Понятие транкового порта и тэгированного порта почти одинаковое, за исключением некоторых особенностей. Транковый порт подразумевает то, что он пропускает трафик всех виланов, а тэгированный порт может быть только для некоторых виланов.


Разное оборудование настраивается по-разному в данном случае. Для одного оборудования нужно на физическом интерфейсе указать в каком состоянии находится тот или иной порт, а на другом в определенном вилане необходимо указать какой порт как позиционируется – с тэгом или без тэга. И если необходимо, чтобы этот порт пропускал через себя несколько виланов, то в каждом из этих виланов нужно прописать данный порт с тэгом. Например, в коммутаторах Enterasys Networks (бывший Cabletron Systems) мы должны указать в каком вилане находится определенный порт и добавить этот порт в egress list этого вилана для того, чтобы трафик мог проходить через этот порт. Если мы хочем чтобы через наш порт проходил трафик еще одного вилана, то мы добавляем этот порт в egress list еще и этого вилана. На оборудовании HP (например, коммутаторах ProCurve) мы в самом вилане указываем какие порты могут пропускать трафик этого вилана и добавляем состояние портов – тэгирован или не тегирован. Проще всего на оборудовании Cisco Systems. На таких коммутаторах мы просто указываем какие порты какими виланами не тэгированы (находятся в режиме access) и какие порты находятся в состоянии Trunk – передают трафик всех виланов настроенных на коммутаторе.

Для настройки портов в режим trunk созданы специальные протоколы. Один из таких имеет стандарт IEEE 802.1Q. Кроме того, разные производители могут иметь свои протоколы передачи данных из разных виланов. Например, Cisco создала для свого оборудования протокол ISL (Inter Switch Lisk).

 
Межвиланная маршрутизация

Что такое межвиланная маршрутизация? Это обычная маршрутизация подсетей. Разница только в том, что каждой подсети соответствует какой-то VLAN на втором уровне. Что это значит. Допустим у нас есть два вилана: VLAN ID = 10 и VLAN ID = 20. На втором уровне эти виланы осуществляют разбиение одной сети на две подсети. Хосты, которые находятся в этих подсетях не видят друг друга. То есть, трафик полностью изолирован. Для того, чтобы хосты могли взаимодействовать между собой, необходимо смаршрутизировать трафик этих виланов. Для этого нам необходимо на третьем уровне каждому из виланов присвоить интерфейс, то есть прикрепить к ним IP-адрес. Например, для VID = 10 IP address будет 10.0.10.1/24, а для VID = 20 IP address – 10.0.20.1/24. Эти адреса будет дальше выступать в роли шлюзов для выхода в другие подсети. Таким образом, мы можем трафик хостов с одного вилана маршрутизировать в другой вилан. Что дает нам маршрутизация виланов по сравнению с простой маршрутизацией посетей без использования виланов? А вот что:

  • Возможность стать членом другой подсети на стороне клиента заблокирована. То есть, если хост находится в определенном вилане, то даже, если он поменяет себе адресацию с другой подсети, он всеравно останется в том вилане, котором он был. Это значит, что он не получит доступа к другой подсети. А это в свою очередь обезопасит сеть от «плохих» клиентов.
  • Мы можем использовать вилан на несколько физических интерфейсов коммутатора. То есть, у нас есть возможность на коммутаторе третьего уровня сразу настроить маршрутизацию, подключив к нему клиентов сети, без использования внешнего маршрутизатора. Либо мы можем использовать внешний маршрутизатор подключенный к коммутатору второго уровня, на котором настроены виланы, и создать столько сабинтерфейсов на порте маршрутизатора, сколько всего виланов он должен маршрутизировать.
  • Очень удобно между первым и третьим уровнями использовать второй уровень в виде виланов. Удобно подсети помечать как виланы с определенными интерфейсами. Удобно настроить один вилан и поместить в него кучу портов коммутатора. И вообще, много чего удобно делать, когда есть виланы.

 

http://habrahabr.ru/blogs/sysadm/130053/

Комментарии (0)

Нет комментариев. Ваш будет первым!

← Назад

Яндекс.Метрика