База знаний по Open Source
Авторизация
Поиск по базе знаний

Виртуальная локальная сеть — VLAN (Virtual Local Area Network) — логическая группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети. Это означает, что передача кадров между разными виртуальными сетями на основании MAC-адреса невозможна, независимо от типа адреса – уникального, группового или широковещательного.

На практике основная цель VLAN – ограничить хождение широковещательных пакетов, что особенно актуально в больших локальных сетях без промежуточных маршрутизаторов.

Широковещательные пакеты – это пакеты, передаваемые на все узлы сети. Они необходимы для работы многих сетевых протоколов, таких как ARP/RARP (широковещательные запросы MAC-адреса интерфейса по IP-адресу или IP-адреса интерфейса по MAC-адресу), BOOTP или DHCP, с их помощью рабочая станция оповещает другие компьютеры о своем появлении в сети, так же широковещательные пакеты могут возникать из-за некорректно работающего сетевого адаптера. Широковещательные пакеты могут привести к насыщению полосы пропускания, особенно в крупных сетях. Для того, чтобы этого не происходило важно ограничить область распространения широковещательного трафика (эта область называется широковещательным доменом) – организовать небольшие широковещательные домены или виртуальные локальные сети.

То-есть интерфейсы находящиеся в разных VLAN-ах, невидимы друг для друга на канальном уровне, даже если они подключены к одному коммутатору, и связь между этими устройствами возможна только на сетевом и более высоких уровнях. В то-же время группа интерфейсов на одном VLAN-е может взаимодействовать друг с другом на канальном уровне, хотя они физически подключены к разным коммутаторам.

Использование механизма виртуальных локальных сетей позволяет строить изолированные на канальном уровне локальные сети без привязки к их физической коммутации. Связь между этими сетями может осуществляться на сетевом уровне или не осуществляться вообще.

Использование VLAN-ов позволяет:

  • Обеспечить гибкость внедрения. VLAN являются эффективным способом группировки сетевых пользователей в виртуальные рабочие группы, несмотря на их физическое размещение в сети.
  • Обеспечить возможность контроля широковещательных сообщений, что увеличивает полосу пропускания, доступную для пользователя и уменьшить вред от широковещательных штормов. Каждый VLAN — это отдельный широковещательный домен.
  • Усилить безопасность сети, определив с помощью фильтров, настроенных на коммутаторе или маршрутизаторе, политику взаимодействия пользователей из разных виртуальных сетей. С VLAN политики можно применять к целым подсетям, а не к отдельному устройству. Кроме того, переход из одного VLAN в другой предполагает прохождение через устройство 3 уровня, на котором, как правило, применяются политики, разрешающие или запрещающие доступ из VLAN в VLAN.

Виртуальные локальные сети обычно строятся на базе управляемых коммутаторов, поддерживающих возможности VLAN. В принципе VLAN-ы могут быть настроены и на маршрутизаторах и интерфейсах хостов (сетевых платах), но обычно компьютер при отправке трафика в сеть даже не догадывается,в каком VLAN-е он размещён.

В коммутаторах (маршрутизаторах) могут использоваться три типа VLAN:
1. VLAN на базе портов
2. VLAN на базе MAC-адресов.
3. VLAN на основе меток в дополнительном поле кадра – стандарт IEEE 802.1q