Конфигурирование виртуальных ЛВС (VLAN).
Виртуальные локальные
сети представляет собой логическое объединение устройств или пользователей.
Объединение их в группу может производиться по выполняемым функциям,
используемым приложениям, по отделам и т.д., независимо от их физического
расположения в сегментах (segment). Конфигурирование
виртуальной сети производится на коммутаторе программным путем. Виртуальные
сети не стандартизированы и требуют использования программного обеспечения от
производителя коммутатора.
Конфигурация типичной
локальной сети определяется физической инфраструктурой соединения устройств,
образующих сеть. Группировка пользователей осуществляется исходя из
расположения их компьютеров по отношению к концентратору (hub), и основывается на структуре кабелей,
ведущих к монтажному шкафу. Маршрутизатор,
связывающий между собой все концентраторы, обычно осуществляет сегментацию сети
и действует как широковещательный брандмауэр (broadcast firewall).
В то же время сегменты, созданные коммутаторами, таким свойством не
обладают. Такой тип сегментации при группировке не учитывает взаимосвязи
рабочих групп и требования к ширине полосы пропускания. Вследствие этого они
используют один и тот же сегмент и в равной степени претендуют на одну и ту же
полосу пропускания, хотя требования к ней для различных групп и подразделений
могут значительно различаться.
Виртуальная сеть логически
сегментирует физическую инфраструктуру сети на отдельные подсети (в Ethernet они называются широковещательными
доменами, broadcast domain). В образовавшейся виртуальной сети широковещательные
фреймы коммутируются только между портами (port) этой сети.
В первоначальных
реализациях виртуальных сетей использовалась разметка портов, которая
объединяла в широковещательный домен устройства группы, выбираемые по
умолчанию. Современные требования включают в себя необходимость расширения
сферы действия виртуальной сети на всю сеть. Такой подход позволяет объединить
географически разделенных пользователей посредством создания виртуальной локальной
сети. Конфигурация виртуальной сети осуществляет скорее логическое, чем
физическое объединение.
В локальных сетях, содержащих
коммутирующие устройства, использование технологии виртуальных сетей
представляет собой эффективный и экономически выгодный способ объединения
пользователей сети в рабочие группы независимо от их физического расположения.
На рис. 3.2 проиллюстрированы различия между сегментацией в виртуальной сети и
в обычной локальной сети. Главными среди них являются следующие:
1.
Виртуальные сети работают на 2-м и
3-м уровнях эталонной модели OSI.
2. Обмен информацией между виртуальными
сетями обеспечивается маршрутизацией 3-го уровня.
3. Виртуальная сеть предоставляет средство
управления широковещанием.
4. Включение пользователей в виртуальную сеть
производится сетевым администратором.
5. VLAN позволяет повысить степень защиты
информации в сети за счет задания сетевых узлов, которым разрешено обмениваться
информацией друг с другом.
Использование технологии
виртуальных сетей позволяет сгруппировать порты коммутатора и подсоединенные к
ним компьютеры в логически определенные рабочие группы следующих типов:
1. Сотрудники одного отдела.
2. Группа сотрудников с пересекающимися
функциями.
3. Различные группы пользователей, совместно
использующих приложения или программное обеспечение.
Можно группировать порты и пользователей в
рабочую группу на одном коммутаторе или на нескольких соединенных между собой
коммутаторах. Группируя порты и пользователей вокруг нескольких коммутаторов,
можно создать инфраструктуру сети в одном здании, в нескольких соединенных
между собой зданиях или даже сеть большой области, как показано на рис. 3.3.
Важной особенностью
архитектуры виртуальных сетей является их способность передавать информацию
между взаимосвязанными коммутаторами и маршрутизаторами,
подключенными к корпоративной магистрали. Такая транспортировка делает
возможным обмен информацией в рамках всего предприятия. Благодаря
транспортировке исчезают физические границы между пользователями, повышается
гибкость конфигурационных решений при перемещении пользователей в другое место
и становятся доступными механизмы, обеспечивающие взаимосвязанную работу
компонентов магистральной системы.
Магистраль обычно служит
местом сбора больших потоков данных. Она также передает конечному пользователю
информацию виртуальной сети и выполняет идентификацию коммутаторов, маршрутизаторов и непосредственно подсоединенных к
магистрали серверов. В магистрали обычно используются мощные широкополосные
каналы, обеспечивающие передачу потоков данных по всему предприятию.
Маршрутизаторы в виртуальных сетях
Роль маршрутизаторов
в виртуальных сетях отличается от их роли в обычных локальных сетях,
заключающейся в создании брандмауэров (firewall), в управлении широковещанием, а также
в обработке и распределении информации о маршрутах.
Маршрутизаторы остаются необходимыми и в коммутируемых
архитектурах, в которых создана конфигурация виртуальной сети, поскольку они
обеспечивают обмен информацией между логически определенными рабочими группами.
Маршрутизаторы обеспечивают устройствам виртуальной
сети доступ к совместно используемым ресурсам, таким как серверы и хосты. Они
также обеспечивают связь с другими частями сети, которые логически
сегментированы на основе традиционного подхода, основанного на выделении
подсетей, или требуют доступа к удаленным серверам через каналы распределенных
сетей. Обмен информацией на 3-м уровне, осуществляемый в коммутаторе или
обеспечиваемый извне, является необходимым элементом любой высокопроизводительной
коммутационной архитектуры.
Внешние маршрутизаторы
могут быть с высокой финансовой эффективностью интегрированы в коммутируемую
архитектуру путем использования одного или нескольких высокоскоростных
магистральных соединений. Как правило, используются соединения FDDI, Fast Ethernet или ATM, которые обладают следующими
преимуществами:
1. Увеличенная пропускная способность
соединений между коммутаторами и маршрутизаторами.
2. Использование всех физических портов маршрутизатора, требуемых для обмена информацией между VLAN.
3. Архитектура виртуальной локальной сети не
только обеспечивает логическую сегментацию, но и значительно увеличивает
эффективность работы сети.
Проблемы, связанные с
совместным использованием локальных сетей и появление коммутаторов побуждают к
замене традиционных конфигураций локальных сетей на конфигурации коммутируемых
виртуальных сетей. Эти коммутируемые конфигурации отличаются от традиционных
конфигураций локальных сетей следующими особенностями:
·
Коммутаторы
устраняют физические ограничения, возникающие вследствие совместного
использования концентратора, поскольку они логически группируют пользователей и
порты всего предприятия. Вместо концентраторов в монтажных шкафах
устанавливаются коммутаторы. Они не требуют изменений в расположении кабелей
(или требуют незначительных) и могут полностью заменить совместно используемый
концентратор с выделенными для каждого пользователя портами.
·
Коммутаторы
могут быть использованы для создания виртуальных сетей осуществляющих
сегментацию. В традиционных конфигурациях локальных сетей сегментация
осуществляется маршрутизаторами.
Каждый коммутатор обладает
способностью принимать решения о фильтрации и отправке фреймов (frame) на основе метрики виртуальной
сети, определяемой сетевым администраторами, а также способностью передавать
эту информацию другим коммутаторам и маршрутизаторам
сети.
Наиболее общими подходами к
логической группировке пользователей в отдельные виртуальные сети являются
фильтрация фреймов и их идентификация. Оба этих подхода характеризуются тем,
что каждый фрейм исследуется при получении или отправке его коммутатором.
Основываясь на наборе правил, определяемом администратором, коммутаторы
определяют, куда будет передан фрейм, будет ли он фильтроваться или
передаваться широковещательно. Эти механизмы контроля могут применяться
администратором централизованно (с использованием программного обеспечения для
управления сетью) и легко реализуются во всей сети.
При фильтрации фреймов
исследуется индивидуальная информация каждого фрейма. Для каждого коммутатора
создается таблица фильтрации; это обеспечивает высокий уровень
административного контроля, поскольку становится возможным исследование многих
атрибутов каждого фрейма. В зависимости от типа коммутатора локальной сети (LAN switch) группировка может производиться
на основе адресов управления доступом к передающей среде (Media Access Control address) или на основе протокола (protocol) сетевого уровня. Коммутатор
сравнивает фильтруемые фреймы с элементами таблицы фильтрации и на этой основе
предпринимает соответствующее действие.
Первоначально
виртуальные сети базировались на фильтрах, а группировка пользователей
основывалась на таблице фильтрации. Расширение такой модели было
затруднительным, поскольку для каждого фрейма приходилось выполнять поиск в
таблице фильтрации.
При использовании тегов (tag) каждому фрейму назначается уникальный,
определяемый пользователем идентификатор. Такой метод был избран отделом
стандартов Института инженеров по электротехнике и электронике (Institute of Electrical and Electronic Engineers, IEEE) по той причине, что он допускает
расширяемость сети. Использование фреймовых тегов получает все большее
признание в качестве стандартного механизма распределения портов; по сравнению
с фильтрацией фреймов он обеспечивает большие возможности расширения (scalability) сети в пределах предприятия.
Стандарт IEЕЕ
802.lq регламентирует использование фреймовых тегов в качестве
способа реализации виртуальной сети.
Использование фреймовых тегов
при проектировании виртуальных сетей представляет собой подход, специально
разработанный для коммутируемых коммуникаций. При использовании тегов в
заголовок каждого фрейма при его отправке по сетевой магистрали помещается
уникальный идентификатор. Этот идентификатор считывается и анализируется каждым
коммутатором перед его широковещательной передачей или перед отправкой на
другие коммутаторы, маршрутизаторы или устройства
конечных станций. При выходе фрейма из сетевой магистрали и перед отправкой на
конечную станцию коммутатор удаляет этот идентификатор из фрейма. Процесс
идентификации фреймов происходит на 2-м уровне эталонной модели OSI и не требует большой обработки или обмена
служебными сообщениями.
Статическая виртуальная сеть
(Static VLAN) представляет собой совокупность портов
коммутатора, статически объединенных в виртуальную сеть. Эти порты поддерживают
назначенную конфигурацию до тех пор, пока она не будет изменена
администратором. Хотя для внесения изменений статические виртуальные сети
требуют вмешательства администратора, к их достоинствам можно отнести высокий
уровень безопасности, легкость конфигурирования и возможность непосредственного
наблюдения за работой сети. Статические виртуальные сети эффективно работают в
ситуациях, когда необходимо контролировать переезды пользователей и вносить
соответствующие изменения в конфигурацию.
Динамические виртуальные сети
(dynamic VLAN) представляют собой логическое
объединение портов коммутатора, которые могут автоматически определять свое
расположение в виртуальной сети. Функционирование динамической виртуальной сети
основывается на МАС-адресах, на логической адресации
или на типе протокола пакетов данных. При первоначальном подключении станции к
неиспользуемому порту коммутатора соответствующий коммутатор проверяет МАС-адрес в базе данных управления виртуальной сетью и
динамически устанавливает соответствующую конфигурацию на данном порте.
Основными достоинствами такого подхода является уменьшение объема работ в
монтажном шкафу при добавлении нового пользователя или при переезде уже
существующего и централизованное извещение всех пользователей при добавлении в
сеть неопознанного пользователя. Основная работа в этом случае заключается в
установке базы данных в программное обеспечение управления виртуальной сетью и
в поддержания базы данных, содержащей точную информацию обо всех пользователях
сети.
Резюме
Виртуальные сети
функционируют на 2-м и 3-м уровнях эталонной модели OSI.
Важной особенностью
архитектуры VLAN
является ее способность передавать информацию между взаимосвязанными
коммутаторами и маршрутизаторами, подсоединенными к
корпоративной магистрали.
Проблемы, возникающие при
совместном использовании локальных сетей и коммутаторов, побуждают к замене
традиционных конфигураций локальных сетей коммутируемыми конфигурациями
виртуальных сетей.
Наиболее общими подходами при
осуществлении логической группировки пользователей в отдельные виртуальные сети
являются фильтрация фреймов, использование фреймовых тегов и идентификация
фреймов.
Существуют три основных типа
виртуальных сетей: сети с центральным портом, статические виртуальные сети и
динамические виртуальные сети.
Среди достоинств виртуальных
сетей можно выделить следующие.
Использование виртуальных
сетей позволяет уменьшить административные затраты, связанные с решением
вопросов переезда, добавления новых пользователей и изменений в структуре сети.
Они обеспечивают управление
широковещанием.
Виртуальные сети обеспечивают
защиту информации в рабочих группах и во всей сети.
Виртуальные сети позволяют
сэкономить средства за счет использования уже существующих концентраторов.
Протокол распределенного связующего дерева (STP) и его
конфигурирование
| 
Главная 
