logo

6.7. Организация виртуальных сетей

Виртуальной сетью VLAN (Virtual LAN) называют группу узлов сети, образующих домен широковещательного трафика (Broadcast Domain). Такое определение вполне корректно, но малоинформативно и требует пояснений.

Виртуальные сети образуют группу узлов сети, в которой весь трафик, включая и широковещательный, полностью изолирован на канальном уровне от других узлов сети. Это означает, что передача кадров между узлами сети, относящимися к различным виртуальным сетям, на основании адреса канального уровня невозможна (хотя виртуальные сети могут взаимодействовать друг с другом на сетевом уровне с использованием маршрутизаторов).

Изолирование отдельных узлов сети на канальном уровне с использованием технологии виртуальных сетей позволяет решать одновременно несколько задач. Во-первых, виртуальные сети способствуют повышению производительности сети, локализуя широковещательный трафик в пределах виртуальной сети. Коммутаторы пересылают широковещательные пакеты (а также пакеты с групповыми и неизвестными адресами) внутри виртуальной сети, но не между виртуальными сетями. Во-вторых, изоляция виртуальных сетей друг от друга на канальном уровне позволяет повысить безопасность сети, делая часть ресурсов для определенных категорий пользователей недоступной.

Современные локальные сети, обеспечивая функционирование множества задач по обработке и передаче данных, предоставляют ряд возможностей для повышения качества обслуживания критических приложений и разделения доступа уже на канальном уровне модели взаимодействия открытых систем.

Применение этих функциональных возможностей обеспечивает создание VLAN – виртуальных сетей, объединяющих порты локальной сети за пределами рамок кабельной системы и размещения активного сетевого оборудования, на основании принципов логического взаимодействия пользователей и серверных решений. Объединение группы пользователей и/или серверного оборудования в VLAN обеспечивает изоляцию данных, передаваемых внутри этой группы, от других пользователей локальной сети. Подобное решение становится незаменимым в случае, когда необходимо разделить группы пользователей локальной сети, обеспечивая защиту конфиденциальных данных.

Возможностями организации Vlan обладают коммутаторы 3 уровня, но есть и модели коммутаторов L2, имеющие функции создания VLAN.

Для задач построения VLAN разработан стандартный протокол IEEE 802.1Q (3-ий сетевой уровень). Этот протокол предполагает, что пакеты VLAN имеют свои идентификаторы, которые и используются для их переключения. Протокол может поддерживать работу 500 пользователей и более. Количество VLAN в пределах одной сети практически не ограничено. Протокол позволяет шифровать часть заголовка и информационное поле пакетов. Наличие VLAN ID (said) в пакете выделяет его из общего потока и переправляет на опорную магистраль, через которую и осуществляется доставка конечному адресату. Благодаря наличию MAC-заголовка VLAN-пакеты обрабатываются как обычные сетевые кадры. По этой причине VLAN может работать в сетях TCP/IP. До появления общепризнанного стандарта по организации виртуальных сетей IEEE 802.1Q каждый производитель сетевого оборудования использовал собственную технологию организации VLAN. Такой подход имел существенный недостаток - технологии одного производителя были несовместимы с технологиями других фирм. Поэтому при построении виртуальных сетей на базе нескольких коммутаторов необходимо было использовать только оборудование от одного производителя. Принятие стандарта виртуальных сетей IEEE 802.1Q позволило преодолеть проблему несовместимости, однако до сих пор существуют коммутаторы, которые либо не поддерживают стандарт IEEE 802.1Q, либо, кроме возможности организации виртуальных сетей по стандарту IEEE 802.1Q, предусматривают и иные технологии. Принцип построения виртуальной сети показан на рис.13.

Рис.13. Схема переключателя с поддержкой VLAN.

Для формирования VLAN необходимо устройство, где возможно осуществлять управление тем, какие порты могут соединяться. Например, пусть запрограммирована возможность пересылки пакетов между портами 1, 3 и 6, 2 и 5, а также между портами 4, 7 и 8. Тогда пакет из порта 1 никогда не попадет в порт 2, а из порта 8 в порт 6 и т.д. Таким образом, переключатель как бы разделяется на три независимых переключателя, принадлежащих различным виртуальным сетям. Управление матрицей переключения возможно через подключаемый извне терминал или удаленным образом с использованием протокола SNMP (будет рассмотрен далее). Если система переключателей (и возможно маршрутизаторов) запрограммирована корректно, возникнет три независимые виртуальные сети.

Данная технология может быть реализована не только в рамках локальной сети. Возможно выделение виртуальной сети в масштабах Internet. В сущности, идея создания корпоративных сетей в Internet (Intranet) является обобщением идей виртуальных сетей на региональные сети.