Вступ

На початку історії Ethernet, локальні мережі обмежувалися одним доменному колізій. При появі мостів з двома і більше портами, стало можливим сегментувати велику мережу на менші домени колізій, значно поліпшивши продуктивність мережі. Однак це не зменшувало перевантажень мережі, викликаних раптовим широкомовним штормом. Широкомовний трафік вільно переміщався через Ethernet-мости.

C появою Ethernet-маршрутизаторів, користувачів мережі стали групувати в робочі групи із загальним доменному колізій. Це не лише поліпшило ефективність мережі всередині кожної групи, а й зменшило перевантаження загальної мережі, викликане раптовим широкомовним штормом. Проте розподіл загальної мережі маршрутизаторами на робочі групи викликало інші проблеми. Зв'язок між робочими групами стала можливо тільки через маршрутизатори рівня 3. Це уповільнило доступ до глобальних серверів компанії.

З появою технології комутованого VLAN Ethernet стало можливо логічного сегментування мережі на безліч широкомовних доменів, що покращує продуктивність мережі і зменшує широкомовний трафік, без уповільнення доступу до глобальних серверів компанії.

Коммутіруеммий VLAN Ethernet

З поява комутованого Ethernet потреба його на ринку все зростала і зростала. Протягом декількох років число комутованих портів в корпоративних мережах постійно зростала. При цьому кожен комутований порт був розділений все меншим і меншим числом користувача мережі, і навіть досяг одиночного підключення кожного користувача мережі до комутованих портів. Цей тип мережевої інфраструктури найкраще придатний для розгортання Віртуальних локальних мереж (VLAN).

Віртуальні мережі можуть бути визначені як групи користувачів віднесені до певних відділів або виконують загальні функції, без обмеження фізичним місцезнаходженням користувачів і навіть без обмеження використання різних мережевих пристроїв (комутаторів), до яких вони підключені фізично.

Вишенапісанного пропозицію як би визначає границі Віртуальної локальної мережі (VLAN). Найчастіше Віртуальну локальну мережу сприймають як загальний домен широкомовлення. Технологія VLAN ділить великий домен широкомовлення на менші домени широкомовлення, обмежуючи широкомовний трафік в межах однієї групи користувачів.

Порт орієнтована ПЛЗ

Цей тип віртуальних локальних мереж (ПЛЗ) визначає членство кожної ПЛЗ на основі номера підключеного порту. Дивіться наступний приклад порт орієнтованої ПЛЗ.

Приклад 1. Порти 3,6,8 і 9 належать до VLAN1 а порти 1,2,4,5 і 7 належать до VLAN2

Таблиця 1 Членство в кожній ПЛЗ визначається номером порту PORT 1 2 3 4 5 6 7 8 9 VLAN 1 x x x x VLAN 2 x x x x x

На малюнку 1 покзал приклад реалізації порт орієнтованої ПЛЗ (на основі комутатори SXP1224WM і двохшвидкісного концентратора DX2216 фірми Compex).

Мал. 1. Приклад порт орієнтованої ПЛЗ

У цьому прикладі два концентратора DX2216 підключені до окремих портів комутатора SXP1224WM. Так як порт орієнтована ПЛЗ визначає членство VLAN на основі номера порту, то всі робочі станції підключені до портів концентратора (DX2216) належать до однієї VLAN. У нашому випадку, робочі станції підключені через концентратор DX2216 до 1 порту комутатора належать VLAN2, а робочі станції підключені через концентратор DX2216 до 3 порту комутатора належать до VLAN1. Так як ці автоматизовані робочі місця пов'язані через концентратор DX2216, вони повинні бути фізично розміщені не далеко один від одного. З іншого боку, є 7 робочих місць станцій, підключених безпосередньо до портів комутатора (Private Port Switching). Робочі місця підключені до портів 6,8 і 9 комутатора SXP1224WM фізично віддалені від інших станцій (підключених через концетратор), тим не менше, всі вони належать VLAN2.

Для одного комутатора SXP1224WM максимальне число користувачів з безпосереднім (не розділяються) підключенням до комутованого порту - 24, по числу портів у цього комутатора. Як же VLAN може бути реалізована, якщо використаний більше ніж один комутатор типу SXP1224WM і користувачі однієї VLAN підключені до різних комутаторів?
На малюнку 2 показаний приклад підключення користувачів VLAN через кілька комутаторів.

Рис.2. Мережа VLAN із використанням декількох комутаторів

VLAN членство для цього приклада показуються в таблиці 2 і 3.

Таблиця 2. VLAN членство SXP1224WM * 1 PORT 2 3 4 5 6 7 8 9 10 VLAN x x x x x VLAN x x x x

Таблиця 3. VLAN членство SXP1224WM * 2

x

У цьому прикладі на обох комутаторах визначені дві загальні віртуальні підмережі (VLAN). VLAN1 в комутаторі # 1 і VLAN1 в комутаторі # 2 є та ж сама загальна VLAN, для якої повинен бути визначений загальний порт. В цьому випадку порт 6 на комутаторі # 1 і порт 7 на комутаторі # 2 члени VLAN1 і ці порти (порт 6 комутатора # 1 і порт 7 комутатора # 2) пов'язані один з одним. Беручи до уваги, що порт 7 комутатора # 1 і порт 8 комутатора # 2 члени VLAN2, вони пов'язані теж разом.

ПЛЗ з маркованими кадрами (IEEE 802.1Q)

Даний тип VLAN використовує другий рівень мережевої моделі. У кожен кадр вставляється тег ID ідентифікує їх членство в певній VLAN. Цю технологію використовують що б створити віртуальні мережі (VLAN) охоплюють безліч комутаторів. На малюнку 3 показаний приклад такої ПЛЗ.

Мал. 3. тегів VLAN, що охоплює три комутатора

Теги ID в такий ПЛЗ можуть бути додані явно або неявно. Якщо в мережі є мережеві карти з підтримкою IEEE 802.1Q, і на цих картах включені відповідні опції, то вихідні кадри Ethernet від цих карт будуть містити теги VLAN ідентифікації. Дані теги ідентифікації VLAN додані явно. Комутатори підтримують IEEE 802.1Q ідентифікують членство в VLAN перевіряючи теги ID в кадрах Ethernet.

Якщо мережеві адаптери (підключення до цієї мережі) не підтримують протокол IEEE 802.1Q, то додавання тегів VLAN може бути все ж виконано на основі угруповання по портам. Припустимо, що порти 1-3 згруповані в деяку VLAN. Коммутатотор з підтримкою IEEE 802.1Q буде додавати тег ID до вхідних на цей порт кадрам Ethernet з відповідним ID VLAN. Але ці теги будуть видалені комутатором з вихідних кадрів.

Якщо ідентифікація VLAN тегами протоколу 802.1Q була здійснена обома спосабами - явно і неявно, що входять кадри до портів комутатора можуть складатися з обох (з тегами і без) типів кадрів. У цій ситуації до невідміченим входять кадрам будуть додаватися теги ID VLAN описані методом угруповання по портам. У той час як марковані кадри вже підтримують членство VLAN певне явно. Наприклад, якщо порт 5 був згрупований неявно під VLAN1, входящік до порту 5 кадри з відмітками ID мережі VLAN2 сохроняют їх членство в VLAN2 навіть при тому що порт 5 був згрупований під VLAN1.

ПЛЗ на основі протоколів високого рівня

Протокол-засновані VLAN реалізовані на 3 рівні мережевий моделі, групуючи робочі станції з певним транспортним протоколом під певну VLAN. Наприклад, якщо мережу складається з комп'ютерів Apple і робочих станцій Unix, відповідно використовуючи протоколи AppleTalk і TCP / IP, комп'ютери Apple можуть згруповані в одну VLAN в той час як станції Unix в іншу. Протокол-заснований VLAN перевіряє в пакетах інформацію протоколів 3 рівня і дозволяє пакетам з певним транспортним протоколом (AppleTalk або TCP / IP) брати участь у відповідному домені широкомовлення. На малюнку 4 показаний приклад реалізації такої ПЛЗ.

Мал. 4. Protocol-based VLAN

переваги VLAN

Віртуальні Робочі групи

Головна функція віртуальних мереж це створення віртуальних робочих груп, заснованих на загальних функціях користувачів і загальних ресурсах, в доступі до яких вони потребують. Наприклад, підприємство складається з безлічі департаментів - обліку, постачання, маркетингу, продажів і т.д .. Користувачам кожного департаменту необхідний доступ до певних своїх ресурсів. За допомогою реалізації VLAN користувачі кожного департаменту можуть бути логічно описані і згруповані в різні робочі групи з різними доступними ресурсами мережі.

Підвищення продуктивності мережі

Оскільки ми домовилися, що ПЛЗ подібна домену широкомовлення, і що віртуальні локальні мережі відповідають реальним домен широкомовлення в мережах з кількома VLAN. Припустимо є мережа від 1000 автоматизованих робочих місць розташованих в одному домені широкомовлення. Кожна робоча станція в цій мережі приймає широкомовний трафік, що генерується іншими робочими станціями. При використанні VLAN технології ця велика мережа з великим широкомовною трафіком сегментируется на безліч широкомовних доменів з декількома робочими станціями на один шіроковешательний домен. Отже частота (щільність) широкомовлення буде зменшена. Продуктивність кожної підмережі зростає, тому що всі мережеві пристрої мережі менше відволікається від передачі реальних даних при прийомі широкомовного трафіка.

Мал. 5. Велика мережа, сегментірованнаяная на безліч віртуальних мереж (VLAN)

Руйнування традиційних концепцій кордонів мережі

У минулому, автоматизованого робочого місця в тій же самій робочій групі або відділі зазвичай фізично розташовувалися в одному й тому ж місці. При використанні технології VLAN, користувачі мережі однієї робочої групи або отдела менше обмежені їх фізичним місцезнаходженням. Ця свобода залежить від можливостей застосовуваних Ethernet комутаторів. У разі застосування VLAN, користувачі мережі однієї робочої групи або відділу можуть знаходиться на різних поверхах і навіть у різних будівлях і при цьому ставитися до однієї віртуальної мережі, як це показано на малюнку 6.

Мал. 6. Концепція вільних кордонів

На малюнку 6 показана мережа розташована на двох різних поверхах будівлі. На другому поверсі всі 5 робочих місць підключені безпосередньо до Ethernet-комутатора (private port switching). Зауважте, що 3 робочих місця на 1 поверсі підключені до двошвидкісний концентратора DX2216, а два інших робочих місця підключені безпосередньо до потртам комутатора, також як на 2 поверсі. Комутованого потрт, через який каскадіруется концетратор DX2216 визначено до VLAN2, отже все три комп'ютери підключені до DS2216 відносяться до VLAN2. Робочі станції підключені до двошвидкісний концетратору DX2216 повинні фізично близько розташовуватися один до одного і належати одній робочій групі або відділу. З іншого боку, робочі місця підключені до одного й того ж комутатора з підтримкою VLAN не обов'язково повинні належати одній робочій групі або відділу. А робочі станції підключені до різних комутаторів, не пов'язані фізичним розташуванням можуть належати одній робочої групи або департаменту та учавствовать в одному домені широкомовлення.

Безпека і поділ доступу до мережевих ресурсів

Багато керовані комутатори (наприклад SXP1216 / 24WM і SGX3224 / PLUS фірми Compex) дозволяють одному комутованого порту мати членство в декількох VLAN. Наприклад, Порт 5 комутатора може одночасно належати VLAN1, VLAN2 і VLAN3, і брати участь в широкомовлення всіх трьох віртуальних мереж. Завдяки цій можливості сервер підключений до порту 5 може надавати доступ робочих станцій у всіх трьох мережах. З іншого боку, доступ до серверів одного відділу, підключених до портів з членством в одній VLAN можливий тільки в межах відповідної VLAN.

Мал. 7. Застосування ПЛЗ для доступу до загального (глобального) сервера підприємства

Зменшення витрат при переміщення персоналу

Покладемо є потребу переміщення робочих місць персоналу з різних відділів в межах компанії, або зміни фізичного місця розташування конкретного відділу. При застосуванні тегів VLAN (IEEE 802.1Q) з прямим підключенням до комутованих портів, вартість переміщення містить тільки фізичне переміщення робочих місць персоналу, тому що індентіфікотори ID членства VLAN будуть перенесені разом з робочими станціями мережі. Немає ніякої потреби в реконструкції з'єднань на існуючих комутаторах Ethernet.

висновок

Навіть при тому що для організації віртуальних локальних мереж існують затверджені стандарти, проте способи побудови ПЛЗ і способи призначення членства в ПЛЗ залежить від характеристик обладнання надається різними вендорами. Наприклад, ПЛЗ можуть створюватися шляхом групування членства за номерами портів комутаторів. А при обробці вмісту кадрів Ethernet можливо групувати членство на основі таблиці MAC адрес або по вмісту спеціального тега ID кадру Ethernet.