Содержание
- Общие понятия VLAN
- Что позволяет использование VLAN
- Типы VLAN
- Примеры использования VLAN
- Как работают VLAN
- Недостатки VLAN
Общие понятия VLAN
Виртуальная локальная сеть — VLAN (Virtual Local Area Network) — логическая группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети. Это означает, что передача кадров между разными виртуальными сетями на основании MAC-адреса невозможна, независимо от типа адреса – уникального, группового или широковещательного.
То-есть это технология, позволяющая создавать логические сети внутри физической сети. Она позволяет разделять широковещательные домены и управлять трафиком между группами устройств без необходимости физического разделения сетевых сегментов.
На практике основная цель VLAN — ограничить хождение широковещательных пакетов, что особенно актуально в больших локальных сетях без промежуточных маршрутизаторов.
Широковещательные пакеты – это пакеты, передаваемые на все узлы сети. Они необходимы для работы многих сетевых протоколов, таких как ARP/RARP (широковещательные запросы MAC-адреса интерфейса по IP-адресу или IP-адреса интерфейса по MAC-адресу), BOOTP или DHCP, с их помощью рабочая станция оповещает другие компьютеры о своем появлении в сети, так же широковещательные пакеты могут возникать из-за некорректно работающего сетевого адаптера. Широковещательные пакеты могут привести к насыщению полосы пропускания, особенно в крупных сетях. Для того, чтобы этого не происходило важно ограничить область распространения широковещательного трафика (эта область называется широковещательным доменом) – организовать небольшие широковещательные домены или виртуальные локальные сети.
То-есть интерфейсы находящиеся в разных VLAN-ах, невидимы друг для друга на канальном уровне, даже если они подключены к одному коммутатору, и связь между этими устройствами возможна только на сетевом и более высоких уровнях. В то-же время группа интерфейсов на одном VLAN-е может взаимодействовать друг с другом на канальном уровне, хотя они физически подключены к разным коммутаторам.
Как и сама ЛВС, VLAN работает на уровне 2 сети (на канальном уровне), на уровне Ethernet. VLAN разделяет единственную коммутируемую сеть на множество виртуальных сетей, наложенных друг на друга, что позволяет удовлетворять различные функциональные и требования безопасности. Это разделение устраняет необходимость иметь несколько отдельных физических сетей для различных сценариев использования.
Напомним : ЛВС – это группа компьютеров или других устройств в одном месте – например, в одном здании или кампусе – которые используют одну и ту же физическую сеть. ЛВС обычно ассоциируется с широковещательным доменом Ethernet (уровень 2), который представляет собой набор сетевых устройств, достижимых через пакеты широковещательных запросов Ethernet.
Как и сама ЛВС, VLAN работает на уровне 2 сети, на уровне Ethernet. VLAN разделяет единственную коммутируемую сеть на множество виртуальных сетей, наложенных друг на друга, что позволяет удовлетворять различные функциональные и требования безопасности. Это разделение устраняет необходимость иметь несколько отдельных физических сетей для различных сценариев использования.
Использование механизма виртуальных локальных сетей позволяет строить изолированные на канальном уровне локальные сети без привязки к их физической коммутации. Связь между этими сетями может осуществляться на сетевом уровне или не осуществляться вообще.
Использование VLAN-ов позволяет:
- Обеспечить гибкость внедрения. VLAN являются эффективным способом группировки сетевых пользователей в виртуальные рабочие группы, несмотря на их физическое размещение в сети. VLANы могут быть быстро созданы и изменены в зависимости от потребностей бизнеса.
- Обеспечить возможность контроля широковещательных сообщений, что увеличивает полосу пропускания, доступную для пользователя и уменьшить вред от широковещательных штормов. Каждый VLAN — это отдельный широковещательный домен.
- Усилить безопасность сети, определив с помощью фильтров, настроенных на коммутаторе или маршрутизаторе, политику взаимодействия пользователей из разных виртуальных сетей. С VLAN политики можно применять к целым подсетям, а не к отдельному устройству. Кроме того, переход из одного VLAN в другой предполагает прохождение через устройство 3 уровня, на котором, как правило, применяются политики, разрешающие или запрещающие доступ из VLAN в VLAN. Благодаря разделению широковещательных доменов, VLAN помогает предотвратить распространение вирусов и других угроз по всей сети.
Разделение VLAN также может повысить безопасность за счет предоставления более высокого уровня контроля над тем, какие устройства имеют доступ друг к другу. Например, сетевые команды могут ограничить доступ к управлению сетевым оборудованием или устройствам IoT только определенным VLAN. - Повышение производительности. Разделение трафика между различными VLAN позволяет снизить нагрузку на сеть и улучшить общую производительность. VLAN могут улучшить производительность устройств, подключенных к ним, за счет уменьшения количества трафика, которое видит и обрабатывает каждое устройство. VLAN разбивают широковещательные домены, сокращая количество других хостов, от которых любое данное устройство видит широковещательный трафик. Например, если все настольные телефоны VoIP находятся на одном VLAN, а рабочие станции – на другом, то телефоны не будут видеть никакой рабочей станции-генерируемый широковещательный трафик, и наоборот. Каждый из них может посвятить свои сетевые ресурсы только соответствующему трафику.
Инженеры также могут определять разные правила обработки трафика для каждого VLAN. Например, они могут установить правила приоритезации видеотрафика на VLAN, который соединяет оборудование конференц-зала, чтобы гарантировать производительность устройств телеприсутствия. - Упрощенное управление и администрирование. Группировка устройств по VLAN упрощает управление сетью и позволяет администраторам легко настраивать политики безопасности и другие параметры.
Использование VLAN для группировки конечных точек также позволяет администраторам группировать устройства исключительно для административных, нетехнических целей. Например, они могут поместить все компьютеры бухгалтерии на один VLAN, все компьютеры отдела кадров – на другой и так далее.
Виртуальные локальные сети обычно строятся на базе управляемых коммутаторов (switches), поддерживающих возможности VLAN. В принципе VLAN-ы могут быть настроены и на маршрутизаторах и интерфейсах хостов (сетевых платах), но обычно компьютер при отправке трафика в сеть даже не догадывается,в каком VLAN-е он размещён.
Типы VLAN
VLAN могут быть портовыми (иногда называемыми статическими) или основанными на использовании (иногда называемыми динамическими).:
- VLAN на базе портов (иногда называемыми статическими)
- VLAN основанные на использовании (иногда называемыми динамическими)
Портовые или статические VLAN
Сетевые инженеры создают портовые VLAN, присваивая порты на сетевом коммутаторе определенной VLAN. Эти порты общаются только на назначенной VLAN, и каждый порт находится на одной VLAN. Хотя портовые VLAN иногда называют статическими, важно помнить, что они не являются полностью статичными, поскольку VLAN, назначенные порту, можно изменить на лету вручную или с помощью автоматизации сети.
Ограничения портовых VLAN включают необходимость ручного управления и настройки каждого порта, сложность масштабирования при увеличении количества портов и ограничение гибкости при перемещении устройств между портами. Кроме того, портовые VLAN могут стать менее эффективными в больших сетях с большим количеством коммутаторов и устройств.
Основанные на использовании или динамические VLAN
Сетевые инженеры создают VLAN, основанные на использовании, динамически присваивая трафик определенной VLAN в зависимости от типа трафика или устройства, создающего этот трафик. Порт может быть назначен VLAN на основе идентичности подключенного устройства — как указано сертификатом безопасности — или используемых сетевых протоколов. Один порт может быть связан с несколькими динамическими VLAN. Изменение того, какое устройство подключено через порт, или даже изменение способа использования существующего устройства, может изменить VLAN, назначенную порту.
Основанные на использовании или динамические VLAN (Dynamic VLAN) – это метод классификации VLAN, при котором устройствам присваиваются определенные VLAN на основе их активности или других параметров, таких как MAC-адрес, IP-адрес или другие атрибуты. В отличие от портовых VLAN, где устройства привязаны к определенному порту, динамические VLAN позволяют автоматически назначать VLAN на основе заданных правил.
Динамические VLAN предлагают несколько преимуществ по сравнению с портовыми VLAN:
- Автоматизация: Динамические VLAN автоматизируют процесс назначения VLAN на основе определенных правил или условий, что уменьшает необходимость ручной настройки и снижает вероятность ошибок.
- Гибкость: Они позволяют устройствам легко переключаться между различными VLAN без необходимости физического перемещения кабелей или изменения конфигурации портов.
- Масштабируемость: Они лучше подходят для крупных сетей с множеством устройств и портов, так как требуют меньше ручных настроек и обслуживания.
- Безопасность: Благодаря возможности автоматического назначения VLAN на основе аутентификации и авторизации, динамические VLAN могут повысить уровень безопасности сети.
Примеры использования VLAN
Некоторые VLAN имеют простые и практические цели, такие как сегментация доступа к принтеру. Администраторы могут их настроить таким образом, чтобы компьютеры на любой данной VLAN могли видеть принтеры, подключенные к этой же VLAN, но не те, которые находятся вне ее.
Другие VLAN служат более сложным целям. Например, компьютеры в отделе розничного банковского обслуживания не должны взаимодействовать непосредственно с компьютерами в торговых отделах. Создание отдельных VLAN для этих отделов является одним из способов, которым сетевые инженеры могут обеспечить такую сегментацию.
Вот несколько примеров использования VLAN:
Сегментация по отделам: Компании могут использовать VLAN для разделения своей сети на отделы, такие как отдел продаж, бухгалтерия, ИТ и так далее. Это позволяет контролировать доступ к данным и ресурсам в зависимости от роли сотрудников.
Гостевая сеть: Организации могут создать гостевую сеть для посетителей, чтобы ограничить доступ к внутренним ресурсам компании. Это повышает безопасность и контроль над доступом к сети.
Домашняя сеть: В домашних условиях VLAN может использоваться для создания отдельных сетей для различных устройств, таких как компьютеры, игровые консоли, смарт-телевизоры и IoT-устройства. Это позволяет лучше управлять трафиком и улучшать безопасность.
Сегментация по приложениям: Некоторые организации используют VLAN для сегментирования своих сетей по приложениям, таким как электронная почта, базы данных, веб-серверы и так далее. Это помогает минимизировать влияние одного приложения на другое и улучшает производительность сети.
Виртуальные частные сети (VPN): VLAN может использоваться вместе с VPN для создания частных виртуальных сетей, которые обеспечивают безопасный удаленный доступ к корпоративным ресурсам.
Географическая сегментация: В крупных организациях с множеством офисов VLAN может быть использован для сегментации сети по географическим регионам. Это помогает оптимизировать сетевую инфраструктуру и управлять ею более эффективно.
Сегментация по типу трафика: Для организаций, работающих с большим объемом данных, VLAN может быть использован для сегментации сети по типам трафика, таким как голос, видео и данные. Это помогает оптимизировать пропускную способность и управлять приоритетами.
Эти примеры показывают, насколько гибкой и полезной может быть технология VLAN для различных сценариев использования.
Как работают VLAN
Работа VLAN основана на использовании идентификатора VLAN (VLAN ID), который присваивается каждому устройству в сети. Этот идентификатор определяет принадлежность устройства к определенному широковещательному домену. Широковещательный домен – это группа устройств, которые могут видеть друг друга и взаимодействовать через широковещательные сообщения.
Когда устройство посылает пакет данных, коммутатор проверяет его VLAN ID и направляет пакет только тем устройствам, у которых есть тот же VLAN ID. Таким образом, даже если устройства находятся в одном физическом сегменте сети, они могут быть разделены на разные VLAN и работать независимо друг от друга.
Коммутаторы играют ключевую роль в управлении VLAN. Они хранят таблицы MAC-адресов и VLAN ID, чтобы определять, к какому VLAN принадлежит каждое устройство. Коммутаторы также обрабатывают все входящие и исходящие пакеты данных, проверяя их VLAN ID и направляя их соответствующим образом.
Важно отметить, что VLANs не зависят от физической топологии сети. Даже если устройства подключены к одному коммутатору, они могут принадлежать разным VLAN. Это позволяет гибко управлять сетью и распределять ресурсы более эффективно.
VLAN идентифицируются на сетевых коммутаторах с помощью идентификатора VLAN. К каждому порту коммутатора может быть присвоено одно или несколько значений VLAN, и порт будет попадать в базовую VLAN, если никакое другое значение не назначено. Каждая VLAN предоставляет доступ к данным всем подключенным к ней хостам через порты, настроенные с использованием VLAN ID.
Значение VLAN ID преобразуется в тег VLAN, 12-битное поле данных в заголовке каждого Ethernet-фрейма, отправляемого в эту VLAN. Поскольку тег VLAN имеет длину 12 бит, можно определить до 4096 VLAN на каждом домене коммутации. Определение тегов VLAN определяется стандартом IEEE 802.1Q.
Когда коммутатор получает Ethernet-фрейм от подключенного хоста, фрейм не содержит тега VLAN. Коммутатор добавляет тег VLAN. В статической VLAN коммутатор вставляет тег, связанный с идентификатором VLAN входящего порта. В динамической VLAN он вставляет тег, связанный с идентификатором устройства или типом генерируемого им трафика.
Коммутаторы передают маркированные кадры к месту назначения MAC-адреса, передавая трафик только на порты, связанные с данной VLAN. Широковещательный, неизвестный одноадресный и многоадресный трафик передается на все порты в VLAN. Линки между коммутаторами, называемые тренками, знают, какие VLAN охватывают оба коммутатора, принимая и передавая весь трафик для любых VLAN, используемых на обеих сторонах тренка. Когда кадр достигает своего целевого порта коммутатора, тег VLAN удаляется перед передачей кадра устройству назначения.
Протокол Spanning Tree (STP) используется для создания топологии без петель среди коммутаторов в каждом домене уровня 2. Может использоваться STP на уровне одной VLAN, что позволяет создавать разные топологии уровня 2 для разных VLAN. Также может использоваться мультиинстанционный STP для снижения нагрузки STP, если топология одинакова для нескольких VLAN.
Недостатки VLAN
Хотя VLAN предоставляет множество преимуществ, он имеет и некоторые недостатки:
Сложности в настройке и управлении: Настройка и управление VLAN может быть сложной задачей, особенно в больших сетях с множеством устройств и VLAN. Это требует знания сетевых технологий и опыта администрирования.
Ограничение масштабируемости: С увеличением количества VLAN растет сложность управления ими. Большие сети могут столкнуться с проблемами масштабируемости и управлением конфигурациями.
Потенциальные проблемы безопасности: Если неправильно настроены правила доступа и политики безопасности, VLAN может стать источником уязвимостей. Злоумышленники могут попытаться перехватывать или модифицировать трафик между VLAN.
Зависимость от оборудования и проблемы совместимости: Функциональность VLAN зависит от возможностей используемого оборудования, таких как коммутаторы и маршрутизаторы. Неправильный выбор оборудования может привести к ограничениям в использовании VLAN. Кроме того некоторые старые устройства или программное обеспечение могут не поддерживать VLAN, что создает проблемы совместимости и требует обновления инфраструктуры.
Дополнительные затраты: Внедрение и поддержка VLAN требуют дополнительных затрат на оборудование, лицензии и обучение персонала. Эти расходы могут оказаться значительными для малых и средних предприятий.
Ограничение в 4096 VLAN на домен коммутации: Один из недостатков VLAN в современном центре обработки данных или облачной инфраструктуре – ограничение в 4096 VLAN на домен коммутации. Единственный сетевой сегмент может размещать десятки тысяч систем и сотни или тысячи различных организаций арендаторов, каждая из которых может нуждаться в десятках или сотнях VLAN.
Ограничение в 4096 VLAN на домен коммутации относится к количеству VLAN, которые могут быть одновременно активны на одной группе коммутаторов. Обычно это ограничение связано с аппаратными возможностями коммутаторов и протоколами управления сетью.
Это ограничение существует для того, чтобы избежать перегрузки системы управления сетью и снижения производительности коммутаторов. Оно помогает управлять количеством VLAN, которые могут быть одновременно активными в рамках одной физической сети.
Если требуется больше чем 4096 VLAN, это может быть достигнуто путем использования нескольких групп коммутаторов или использованием более мощных коммутаторов с поддержкой большего количества VLAN. Однако важно помнить, что увеличение числа VLAN также увеличивает сложность управления и настройки сети.
Чтобы преодолеть это ограничение, были созданы другие протоколы, включая Virtual Extensible LAN, Network Virtualization using Generic Routing Encapsulation и Generic Network Virtualization Encapsulation. Они поддерживают большие теги, что позволяет определить больше VLAN, и возможность туннелирования Layer 2 фреймов внутри Layer 3 пакетов.
Управление структурами моста: Еще один недостаток заключается в том, что когда VLAN становятся многочисленными и большими, сети становится трудно управлять структурами моста, необходимыми для предотвращения трафика замкнутых контуров. Простейшее решение этой проблемы – удалить избыточные связи из сети. К сожалению, это делает сеть уязвимой к единичным отказам везде, где были удалены избыточные связи.
Идентификация VLAN с помощью розеток и точек доступа: Еще одна проблема с VLAN заключается в том, что бывает сложно обеспечить легкую идентификацию VLAN, к которым имеет доступ та или иная розетка или точка доступа. Это усложняет задачу для конечных пользователей и персонала технической поддержки, когда они пытаются подключить что-то новое к сети.
Другой недостаток, который не уникален для VLAN, но все равно влияет на них, – плохое планирование, которое делает общий план VLAN слишком сложным, хрупким и трудным для поддержания по мере изменения потребностей и базовой сетевой инфраструктуры.
Несмотря на эти недостатки, VLAN остается популярной и эффективной технологией для управления и сегментации сетей. Правильная реализация и планирование могут свести к минимуму риски и максимизировать выгоды от использования VLAN.