Виртуальная локальная сеть

Эта статья требует дополнительных ссылок для проверки . Пожалуйста, помогите улучшить эту статью , добавив цитаты из надежных источников . Материал, не полученный от источника, может быть оспорен и удален.
Поиск источников: «Virtual LAN» - новости · газеты · книги · ученый · JSTOR ( январь 2014 г. ) ( Узнайте, как и когда удалить этот шаблон сообщения )

Виртуальная локальная сеть ( VLAN ) является любым широковещательным доменом , который разбивается и выделен в компьютерной сети на уровне канала передачи данных ( OSI Layer 2 ). ^[1]^[2] LAN - это сокращение от локальной сети, и в этом контексте виртуальная означает физический объект, воссозданный и измененный с помощью дополнительной логики. Сети VLAN применяют теги к сетевым кадрам и обрабатывают эти теги в сетевых системах, создавая внешний вид и функциональность сетевого трафика.который физически находится в одной сети, но действует так, как будто он разделен между отдельными сетями. Таким образом, виртуальные локальные сети могут разделять сетевые приложения, несмотря на то, что они подключены к одной и той же физической сети, и без необходимости развертывания нескольких наборов кабелей и сетевых устройств.

Сети VLAN позволяют администраторам сети группировать узлы вместе, даже если узлы не подключены напрямую к одному и тому же сетевому коммутатору . Поскольку членство в VLAN можно настроить с помощью программного обеспечения, это может значительно упростить проектирование и развертывание сети. Без VLAN группировка хостов в соответствии с их ресурсами требует работы по перемещению узлов или перенаправлению каналов передачи данных . Сети VLAN позволяют устройствам, которые должны храниться отдельно, совместно использовать кабели физической сети и при этом не допускать прямого взаимодействия друг с другом. Этот управляемый обмен дает преимущества в простоте, безопасности и управлении трафиком., и экономия. Например, VLAN может использоваться для разделения трафика в рамках бизнеса на основе отдельных пользователей или групп пользователей или их ролей (например, сетевых администраторов) или на основе характеристик трафика (например, трафик с низким приоритетом не может влиять на остальную часть сети). функционирование сети). Многие службы интернет-хостинга используют виртуальные локальные сети для отделения частных зон клиентов друг от друга, что позволяет группировать серверы каждого клиента в один сегмент сети независимо от того, где находятся отдельные серверы в центре обработки данных . Необходимы некоторые меры предосторожности, чтобы предотвратить «утечку» трафика из данной VLAN, эксплойт, известный как переключение VLAN .

Чтобы разделить сеть на VLAN, нужно настроить сетевое оборудование . Более простое оборудование может разделять только каждый физический порт (если даже так), и в этом случае каждая VLAN работает по выделенному сетевому кабелю . Более сложные устройства могут маркировать кадры с помощью тегов VLAN , так что одно межсоединение ( магистраль ) может использоваться для передачи данных для нескольких VLAN. Поскольку VLAN совместно используют полосу пропускания, магистраль VLAN может использовать агрегацию каналов , приоритизацию качества обслуживания или и то, и другое для эффективной маршрутизации данных.

Использует [ редактировать ]

VLAN решают такие проблемы, как масштабируемость , безопасность и управление сетью. Сетевые архитекторы создают виртуальные локальные сети для сегментации сети . Маршрутизаторы между VLAN фильтруют широковещательный трафик , повышают безопасность сети , выполняют суммирование адресов и уменьшают перегрузку сети .

В сети, использующей широковещательные рассылки для обнаружения услуг , назначения и разрешения адресов, а также других услуг, по мере роста числа одноранговых узлов в сети частота широковещательных рассылок также увеличивается. Сети VLAN могут помочь управлять широковещательным трафиком за счет формирования нескольких широковещательных доменов . Разделение большой сети на более мелкие независимые сегменты снижает объем широковещательного трафика, который приходится нести каждому сетевому устройству и сетевому сегменту. Коммутаторы не могут передавать сетевой трафик между VLAN, поскольку это нарушит целостность широковещательного домена VLAN.

VLAN также могут помочь в создании нескольких сетей уровня 3 в единой физической инфраструктуре. Сети VLAN представляют собой конструкции уровня канала передачи данных (уровень 2 OSI), аналогичные подсетям Интернет-протокола (IP) , которые представляют собой конструкции сетевого уровня (уровень 3 OSI). В среде, использующей VLAN, часто существует взаимно однозначное отношение между VLAN и IP-подсетями, хотя в одной VLAN может быть несколько подсетей.

Без возможности VLAN пользователи распределяются по сетям на основе географического положения и ограничены физической топологией и расстоянием. VLAN могут логически группировать сети, чтобы отделить сетевое местоположение пользователей от их физического местоположения. Используя VLAN, можно контролировать шаблоны трафика и быстро реагировать на перемещения сотрудников или оборудования. Сети VLAN обеспечивают гибкость адаптации к изменениям сетевых требований и упрощают администрирование. ^[2]

VLAN можно использовать для разделения локальной сети на несколько отдельных сегментов, например: ^[3]

Производство
Голос по IP
Управление сетью
Сеть хранения данных (SAN)
Гостевой доступ в Интернет
Демилитаризованная зона (DMZ)

Общая инфраструктура, совместно используемая в магистралях VLAN, может обеспечить определенную степень безопасности с большой гибкостью при сравнительно низких затратах. Схемы качества обслуживания могут оптимизировать трафик по магистральным каналам в соответствии с требованиями реального времени (например, VoIP ) или с малой задержкой (например, SAN ). Тем не менее, VLAN как решение безопасности следует внедрять с большой осторожностью, так как они могут быть побеждены, если не будут реализованы тщательно. ^[4]

В облачных вычислениях VLAN, IP-адреса и MAC-адреса в облаке - это ресурсы, которыми могут управлять конечные пользователи. Чтобы уменьшить проблемы с безопасностью, размещение виртуальных машин в облаке в VLAN может быть предпочтительнее, чем размещение их непосредственно в Интернете. ^[5]

Сетевые технологии с возможностями VLAN включают: ^{[ необходима цитата ]}

Асинхронный режим передачи (ATM)
Оптоволоконный распределенный интерфейс данных (FDDI)
Ethernet
HiperSockets
InfiniBand

История [ править ]

После успешных экспериментов с передачей голоса по Ethernet с 1981 по 1984 год В. Дэвид Синкоски присоединился к Bellcore и начал решать проблему масштабирования сетей Ethernet. На скорости 10 Мбит / с Ethernet был быстрее большинства альтернатив в то время. Однако Ethernet был широковещательной сетью, и не было хорошего способа соединить несколько сетей Ethernet вместе. Это ограничивало общую пропускную способность сети Ethernet до 10 Мбит / с, а максимальное расстояние между узлами - до нескольких сотен футов.

Напротив, хотя скорость существующей телефонной сети для отдельных подключений была ограничена до 56 кбит / с (менее одной сотой скорости Ethernet), общая пропускная способность этой сети была оценена в 1 Тбит / с ^{( необходима цитата )} (в 100 000 раз больше чем Ethernet).

Хотя можно было использовать IP-маршрутизацию для соединения нескольких сетей Ethernet вместе, это было дорого и относительно медленно. Синкоски начал искать альтернативы, которые требовали меньшей обработки пакета. В процессе он независимо заново изобрел прозрачный мост - метод, используемый в современных коммутаторах Ethernet . ^[6] Однако использование коммутаторов для отказоустойчивого соединения нескольких сетей Ethernet требует наличия резервных путей через эту сеть, что, в свою очередь, требует конфигурации связующего дерева . Это гарантирует, что будет только один активныйпуть от любого исходного узла к любому месту назначения в сети. Это приводит к тому, что центрально расположенные коммутаторы становятся узкими местами, ограничивая масштабируемость, поскольку все больше сетей соединяются между собой.

Чтобы облегчить эту проблему, Синкоски изобрел сети VLAN, добавляя тег к каждому кадру Ethernet. Эти теги можно рассматривать как цвета, например красный, зеленый или синий. В этой схеме каждый переключатель может быть назначен для обработки кадров одного цвета и игнорирования остальных. Сети могут быть связаны тремя остовными деревьями, по одному для каждого цвета. Отправляя смесь разных цветов кадра, можно улучшить совокупную пропускную способность. Синкоски называл это многодеревным мостом . Он и Чейз Коттон создали и усовершенствовали алгоритмы, необходимые для реализации системы. ^[7] Этот цвет теперь известен в кадре Ethernet как IEEE 802.1Q.заголовок или тег VLAN. Хотя виртуальные локальные сети обычно используются в современных сетях Ethernet, они не используются в том виде, в котором они изначально предполагались.

В 1998 году сети Ethernet VLAN были описаны в первой редакции стандарта IEEE 802.1Q -1998. ^[8] Это было расширено с помощью IEEE 802.1ad, чтобы разрешить вложенные теги VLAN для обслуживания мостов провайдера. Этот механизм был улучшен в IEEE 802.1ah-2008 .

Соображения по конфигурации и дизайну [ править ]

Первые разработчики сетей часто сегментировали физические локальные сети с целью уменьшения размера области конфликтов Ethernet - таким образом, улучшая производительность. Когда коммутаторы Ethernet сделали это не проблемой (поскольку каждый порт коммутатора является доменом коллизии), внимание было обращено на уменьшение размера широковещательного домена канального уровня . Впервые сети VLAN использовались для разделения нескольких широковещательных доменов на одной физической среде. VLAN также может служить для ограничения доступа к сетевым ресурсам независимо от физической топологии сети. ^[а]

Сети VLAN работают на канальном уровне модели OSI . Администраторы часто настраивают виртуальную локальную сеть для прямого сопоставления с IP-сетью или подсетью, что создает впечатление вовлечения сетевого уровня . Как правило, виртуальным локальным сетям внутри одной организации назначаются разные неперекрывающиеся диапазоны сетевых адресов . Это не требование сетей VLAN. Нет проблем с отдельными VLAN, использующими идентичные перекрывающиеся диапазоны адресов (например, две VLAN используют частную сеть 192.168.0.0 / 16 ). Однако невозможно маршрутизировать данные между двумя сетями с перекрывающимися адресами без тонкого переназначения IP., поэтому, если целью VLAN является сегментация более крупной сети организации в целом, неперекрывающиеся адреса должны использоваться в каждой отдельной VLAN.

Базовый коммутатор, который не настроен для VLAN, имеет отключенную или постоянно включенную функцию VLAN с VLAN по умолчанию, которая содержит все порты на устройстве в качестве членов. ^[2] VLAN по умолчанию обычно использует идентификатор VLAN 1. Каждое устройство, подключенное к одному из своих портов, может отправлять пакеты любому из других. Разделение портов по группам VLAN разделяет их трафик очень похоже на подключение каждой группы с использованием отдельного коммутатора для каждой группы.

Для удаленного управления коммутатором необходимо, чтобы административные функции были связаны с одной или несколькими настроенными VLAN.

В контексте виртуальных локальных сетей термин магистраль обозначает сетевой канал, по которому передаются несколько виртуальных локальных сетей, которые идентифицируются метками (или тегами ), вставленными в их пакеты. Такие магистрали должны проходить между помеченными портами устройств, поддерживающих VLAN, поэтому они часто являются ссылками « коммутатор-коммутатор» или «коммутатор- маршрутизатор», а не ссылками на хосты. (Обратите внимание, что термин «магистраль» также используется для того, что Cisco называет «каналами»: агрегация каналов или группирование портов ). Маршрутизатор (устройство уровня 3) служит магистральюдля сетевого трафика, проходящего через разные VLAN. Тегирование используется только тогда, когда группа портов VLAN должна быть расширена на другое устройство. Поскольку связь между портами на двух разных коммутаторах осуществляется через порты восходящей связи каждого задействованного коммутатора, каждая VLAN, содержащая такие порты, должна также содержать порт восходящей связи каждого задействованного коммутатора, а трафик через эти порты должен быть помечен.

Коммутаторы обычно не имеют встроенного метода для указания ассоциаций VLAN с портами для кого-то, кто работает в коммутационном шкафу . Техническому специалисту необходимо либо иметь административный доступ к устройству для просмотра его конфигурации, либо диаграммы или схемы назначения портов VLAN, которые должны храниться рядом с коммутаторами в каждом коммутационном шкафу.

Протоколы и дизайн [ править ]

В настоящее время для поддержки виртуальных локальных сетей наиболее часто используется протокол IEEE 802.1Q . IEEE 802.1 Рабочая группа определила этот метод мультиплексирования виртуальных локальных сетей в попытке обеспечить поддержку VLAN разных производителей . До введения стандарта 802.1Q существовало несколько проприетарных протоколов , таких как Cisco Inter-Switch Link (ISL) и 3Com Virtual LAN Trunk (VLT). Cisco также реализовала VLAN через FDDI, передавая информацию о VLAN в заголовке кадра IEEE 802.10 , вопреки целям стандарта IEEE 802.10.

Тегирование как ISL, так и IEEE 802.1Q выполняет явное тегирование - сам кадр помечается информацией о VLAN. ISL использует процесс внешней маркировки, который не изменяет кадр Ethernet, тогда как 802.1Q использует внутреннее поле кадра для маркировки и, следовательно, изменяет базовую структуру кадра Ethernet. Эта внутренняя маркировка позволяет IEEE 802.1Q работать как на каналах доступа, так и на магистральных каналах с использованием стандартного оборудования Ethernet.

IEEE 802.1Q [ править ]

Согласно IEEE 802.1Q максимальное количество VLAN в данной сети Ethernet составляет 4094 (4096 значений, предоставленных 12-битным полем VID минус зарезервированные значения на каждом конце диапазона, 0 и 4095). Это не налагает такого же ограничения на количество IP-подсетей в такой сети, поскольку одна VLAN может содержать несколько IP-подсетей. IEEE 802.1ad увеличивает количество поддерживаемых VLAN, добавляя поддержку нескольких вложенных тегов VLAN. IEEE 802.1aq (мост по кратчайшему пути) расширяет ограничение VLAN до 16 миллионов. Оба улучшения были включены в стандарт IEEE 802.1Q.

Связь между коммутаторами Cisco [ править ]

Связь между коммутаторами (ISL) - это проприетарный протокол Cisco, используемый для соединения коммутаторов и поддержания информации о VLAN при передаче трафика между коммутаторами по магистральным каналам. ISL предоставляется как альтернатива IEEE 802.1Q. ISL доступен только на некотором оборудовании Cisco и больше не рекомендуется. ^[10]

Протокол Cisco VLAN Trunking [ править ]

Протокол VLAN Trunking Protocol (VTP) - это проприетарный протокол Cisco, который распространяет определение VLAN на всю локальную сеть. VTP доступен в большинстве продуктов семейства Cisco Catalyst . Сопоставимым стандартом IEEE, используемым другими производителями, является протокол регистрации GARP VLAN (GVRP) или более поздний протокол регистрации нескольких VLAN (MVRP).

Протокол регистрации нескольких VLAN [ править ]

Протокол регистрации нескольких VLAN - это приложение протокола множественной регистрации, которое позволяет автоматически настраивать информацию о VLAN на сетевых коммутаторах. В частности, он предоставляет метод для динамического обмена информацией о VLAN и настройки необходимых VLAN.

Членство [ править ]

Членство в VLAN может быть установлено статически или динамически.

Статические VLAN также называются VLAN на основе портов. Статические назначения VLAN создаются путем назначения портов VLAN. Когда устройство входит в сеть, оно автоматически принимает VLAN порта. Если пользователь меняет порты и ему требуется доступ к той же VLAN, сетевой администратор должен вручную назначить порт для VLAN для нового соединения.

Динамические сети VLAN создаются с помощью программного обеспечения или протокола. С помощью сервера политики управления VLAN (VMPS) администратор может динамически назначать порты коммутатора VLAN на основе такой информации, как исходный MAC-адрес устройства, подключенного к порту, или имя пользователя, используемое для входа на это устройство. Когда устройство входит в сеть, коммутатор запрашивает в базе данных принадлежность к VLAN порта, к которому подключено устройство. Методы протокола включают в себя протокол регистрации нескольких VLAN (MVRP) и несколько устаревший протокол регистрации GARP VLAN (GVRP).

Сети VLAN на основе протоколов [ править ]

В коммутаторе, который поддерживает VLAN на основе протоколов, трафик может обрабатываться на основе его протокола. По сути, это разделяет или перенаправляет трафик из порта в зависимости от конкретного протокола этого трафика; трафик любого другого протокола не пересылается на порт. Это позволяет, например, автоматически разделять IP- и IPX-трафик в сети.

Кросс-соединение VLAN [ править ]

Кросс-соединение VLAN (CC или VLAN-XC) - это механизм, используемый для создания коммутируемых VLAN, VLAN CC использует кадры IEEE 802.1ad, где тег S используется в качестве метки, как в MPLS . IEEE одобряет использование такого механизма в части 6.11 IEEE 802.1ad-2005 .

См. Также [ править ]

HVLAN , иерархическая VLAN
Множественный VLAN Registration Protocol , протокол регистрации GARP VLAN
Виртуализация сети
Частная VLAN
Программно-конфигурируемая сеть
Переключить виртуальный интерфейс
Виртуальная расширяемая локальная сеть (VXLAN)
Виртуальная частная сеть LAN
Виртуальная частная сеть
Список контроля доступа VLAN
Глобальная сеть

Заметки [ править ]

^ Сила безопасности VLAN может быть снижена за счет переключения VLAN . Переключение VLAN можно уменьшить с помощью правильной конфигурации порта коммутатора. ^[9]

Ссылки [ править ]

^ IEEE 802.1Q-2011, 1. Обзор
^ a b c IEEE 802.1Q-2011, 1.4 Цели и преимущества VLAN
^ «VLAN и ее реализация через ATM с использованием IP: связь» (PDF) . Институт открытий . Архивировано из оригинального (PDF) 18 июня 2015 года.
^ "Virtual LAN Security: слабые места и меры противодействия" , читальный зал InfoSec института SANS, институт SANS , получено 18 мая 2018 г.
^ Эмис А; Wu CF; Ван ГК; Criveti M (21 июня 2012 г.), «Сеть в облаке» (PDF) , IBM developerWorks , заархивировано из оригинала (PDF) 01 ноября 2013 г.
^ Sincoskie, WD (2002) "Широкополосная коммутация пакетов: личная перспектива". IEEE Commun 40: 54-66
^ WD Sincoskie и CJ Коттон, "Extended Bridge алгоритмы для больших сетей" IEEE сети, январь 1988 года.
^ IEEE Std. 802.1Q-1998, Виртуальные мостовые локальные сети . 1998 г.
^ Рик Фэрроу. «Небезопасность VLAN» . Архивировано из оригинала на 2014-04-21.
^ Курс CCNA Exploration LAN Switching and Wireless, v 4.0, sec 3.2.3

Дальнейшее чтение [ править ]

Эндрю С. Таненбаум , 2003, «Компьютерные сети», Pearson Education International, Нью-Джерси.

[10] Сила безопасности VLAN может быть снижена за счет переключения VLAN . Переключение VLAN можно уменьшить с помощью правильной конфигурации порта коммутатора. ^[9]

[1] IEEE 802.1Q-2011, 1. Обзор

[802.1Q_1.4-2] IEEE 802.1Q-2011, 1.4 Цели и преимущества VLAN

[3] «VLAN и ее реализация через ATM с использованием IP: связь» (PDF) . Институт открытий . Архивировано из оригинального (PDF) 18 июня 2015 года.

[4] "Virtual LAN Security: слабые места и меры противодействия" , читальный зал InfoSec института SANS, институт SANS , получено 18 мая 2018 г.

[5] Эмис А; Wu CF; Ван ГК; Criveti M (21 июня 2012 г.), «Сеть в облаке» (PDF) , IBM developerWorks , заархивировано из оригинала (PDF) 01 ноября 2013 г.

[6] Sincoskie, WD (2002) "Широкополосная коммутация пакетов: личная перспектива". IEEE Commun 40: 54-66

[7] WD Sincoskie и CJ Коттон, "Extended Bridge алгоритмы для больших сетей" IEEE сети, январь 1988 года.

[8] IEEE Std. 802.1Q-1998, Виртуальные мостовые локальные сети . 1998 г.

[9] Рик Фэрроу. «Небезопасность VLAN» . Архивировано из оригинала на 2014-04-21.

[11] Курс CCNA Exploration LAN Switching and Wireless, v 4.0, sec 3.2.3

[1]