1. призначення VLAN
2. Використання VLAN для сегментування локальних мереж
3. типи VLAN
4. Як працюють віртуальні локальні мережі (VLAN)
5. Переваги мереж VLAN

Комп'ютерні мережі можуть бути сегментовані в локальні (LAN) і глобальні (WAN) мережі. Мережеві пристрої, такі як комутатори , Концентратори, мости, робочі станції і сервери , Підключені один до одного в одній мережі в певному місці, зазвичай відомі як локальні мережі. LAN також вважається широкомовною доменом.

VLAN дозволяє декількох мереж працювати практично як одна локальна мережа. Одним з найбільш корисних елементів VLAN є те, що він усуває затримку в мережі, що економить мережеві ресурси і підвищує ефективність мережі. Крім того, VLAN створені для забезпечення сегментації і підтримки в таких питаннях, як безпека, управління мережею і масштабованість. Трафік також можна легко контролювати за допомогою VLAN.

Віртуальна локальна мережа (VLAN) - це логічна локальна мережа (або LAN), яка розширює межі однієї традиційної локальної мережі до групи сегментів локальної мережі, з огляду на конкретні конфігурації. VLAN є логічним об'єктом, тому його створення і конфігурація повністю виконуються в програмному забезпеченні.

Іншими словами, VLAN являє собою логічну групу робочих станцій, серверів і мережевих пристроїв, які, як видається, знаходяться в одній і тій же локальній мережі, не дивлячись на їх географічний розподіл. VLAN дозволяє мережі комп'ютерів і користувачів взаємодіяти в імітованої середовищі, як якщо б вони існували в одній локальній мережі і спільно використовували один широкомовний і багатоадресний домен. VLAN реалізовані для забезпечення масштабованості, безпеки і зручності управління мережею і можуть швидко адаптуватися до змін мережевих вимог і переміщенню робочих станцій і вузлів сервера.

комутатори більш високого рівня дозволяють використовувати функціональність і реалізацію VLAN. Метою впровадження VLAN є підвищення продуктивності мережі або застосування відповідних функцій безпеки.

Ключовими перевагами реалізації VLAN є:

• Дозвіл мережевим адміністраторам застосовувати додаткову безпеку для мережевого зв'язку

• Розширення і переміщення мережі або мережевого пристрою

• Забезпечення гнучкості, оскільки адміністратори можуть налаштовувати мережу в централізованої середовищі, в той час як пристрої можуть бути розташовані в різних географічних точках

• Зниження латентності і навантаження трафіку в мережі і мережевих пристроях, що забезпечує підвищену продуктивність

У VLAN також є деякі недоліки і обмеження, перераховані нижче:

• Високий ризик виникнення вірусів, оскільки одна заражена система може поширювати вірус по всій логічної мережі

• Обмеження обладнання в дуже великих мережах, оскільки для управління робочим навантаженням можуть знадобитися додаткові маршрутизатори

• Більш ефективний при контролюванні затримки, ніж WAN, але менш ефективний, ніж LAN

Вам необхідно розглянути можливість використання VLAN в наступних ситуаціях:

• У вас більше 200 пристроїв у вашій локальній мережі

• У вас багато широкомовного трафіку у вашій локальній мережі

• Групи користувачів потребують більшої безпеки або сповільнюються занадто великою кількістю передач

• Групи користувачів повинні знаходитися в одному широкомовному домені, тому що вони працюють з одними і тими ж додатками. Прикладом може служити компанія, що має телефони VoIP. Користувачі, що використовують телефон, можуть перебувати в іншій VLAN, а не разом зі звичайними користувачами.

• Або ж ви можете просто розділити один комутатор на кілька віртуальних комутаторів.

призначення VLAN

Основною причиною поділу мережі на мережі VLAN є скорочення перевантажень у великій локальної мережі. Щоб зрозуміти цю проблему, нам потрібно коротко зупинитися на тому, як LAN розвиваються протягом багатьох років. Спочатку локальні мережі були дуже плоскими - все робочі станції були підключені до одного шматочку коаксіальногокабелю або до наборів ланцюгових хабів. У плоскій локальної мережі кожен пакет, який будь-який пристрій поміщає в провід, відправляється на всі інші пристрої в локальній мережі. У міру зростання числа робочих станцій в типовій локальної мережі вони почали безнадійно перевантажуватися; було занадто багато колізій, тому що більшу частину часу, коли робоча станція намагалася відправити пакет, з'ясувалося, що провід вже зайнятий пакетом, відправленим будь-яким іншим пристроєм.

Щоб впоратися з цією проблемою розробили три основні рішення для уникнення перевантаження:

• Використання маршрутизаторів для сегментування локальних мереж

• Використання комутаторів для сегментів LAN

• Використання VLAN для сегментування локальних мереж

Використання VLAN для сегментування локальних мереж

У міру збільшення LAN швидкість передачі даних стала швидше, і користувачі стали більш гнучкими, маршрутизатори в мережі стали вузьким місцем. Це тому що:

• маршрутизатори зазвичай передають дані в програмному забезпеченні, і тому не так швидко, як комутатори

• поділ LAN з використанням маршрутизаторів означало, що локальна мережа зазвичай відповідає певному фізичному розташуванню. Це стало обмежуючим фактором, коли багато користувачів мали ноутбуки і хотіли мати можливість переміщатися між будівлями, але все ж мати одну і ту ж мережеву середу, де б вони не були підключені.
  

Таким чином, постачальники комутаторів почали впроваджувати методи визначення «віртуальних локальних мереж»-мереж портів комутатора, зазвичай розподілених між декількома комутаторами, які якимось чином взаємодіяли, як якщо б вони перебували в одній ізольованій локальній мережі. Таким чином, робочі станції можуть бути розділені на окремі локальні мережі без фізичного поділу маршрутизаторами.

Приблизно в той же час хаби стали менш популярними і в значній мірі були замінені комутаторами L2 . Це зробило всю концепцію області зіткнення кілька історичної. У сучасних мережах «домен зіткнення» в основному складається з одного пристрою, підключеного до порту комутатора L2, або, можливо, ПК з чимось на зразок підключеного до нього IP-телефону.

Отже, макет LAN став більше схожий на:

Таким чином, замість локальних мереж, відповідних фізичним областям, розділеним між собою маршрутизаторами, існують віртуальні локальні мережі, розподілені по мережі. Наприклад, всі пристрої в різних областях, позначені як «VLAN A», все належать одній віртуальної локальної мережі - один широкомовний домен.

типи VLAN

Існують різні типи VLAN. Тип мережевого трафіку, який вони несуть, визначає конкретний тип VLAN:

Default VLAN

При початковому завантаженні комутатора всі порти комутатора стають членами VLAN за замовчуванням, що робить їх частиною одного і того ж широкомовного домену. Це дозволяє будь-якому мережевому пристрою підключатися до будь-якого порту комутатора для зв'язку з іншими пристроями на інших портах комутатора.

У комутаторах Cisco VLAN за замовчуванням є VLAN 1. VLAN 1 має всі функції будь-якого VLAN, за винятком того, що ви не можете перейменувати або видалити його.

Data VLAN

VLAN даних, який також можна назвати призначений для користувача VLAN. Він налаштований на перенесення тільки генерується користувачами трафіку. Важливість поділу призначених для користувача даних з іншого типу VLAN - це правильне управління комутатором.

Native VLAN

Native VLAN призначається порту сполучної лінії 802.1Q. Порт магістралі 802.1Q підтримує трафік, що надходить з багатьох VLAN, а також трафік, який не надходить з VLAN. Порт магістралі 802.1Q поміщає немаркований трафік (трафік, який не надходить з VLAN) в власний Native VLAN. Таким чином, власний VLAN спостерігає і ідентифікує трафік, що надходить з кожного кінця сполучної лінії.

Management VLAN

VLAN управління - це будь-який VLAN, який ви налаштовуєте для доступу до можливостей управління комутатором. Ваш налаштований керуючий VLAN повинен бути призначений з IP-адресою і маскою підмережі. Будь-який з VLAN-комутатора може бути налаштований як керуючий, якщо ви не налаштували або не визначили унікальний VLAN, який буде використовуватися в якості управління. У деяких випадках адміністратор проактивно визначає VLAN 1 як керуючий; це створює лазівку для несанкціонованого підключення до комутатора.

Voice VLAN

Голосовий VLAN налаштований на перенесення голосового трафіку. Voice VLAN в основному отримують пріоритет передачі в порівнянні з іншими типами мережевого трафіку. Комунікація по мережі не завершена без телефонних дзвінків. Більше викликів проводиться по мережі, ніж передача повідомлень іншими формами. Відправлення повідомлень електронної пошти і текстових повідомлень також є формами взаємин, але прослуховування реального голосу забезпечує легітимність і впевненість.

Він використовується серед мережевих адміністраторів для створення мережі, яка підтримує VoIP з гарантованою смугою пропускання для забезпечення якості голосу і можливості маршрутизації навколо перевантажених ділянок мережі з мінімальними затримками (150-180 мілісекунд).

Як працюють віртуальні локальні мережі (VLAN)

Магія роботи віртуальних локальних мереж (VLAN) знайдена в заголовках Ethernet. Коли комутатор отримує кадр Ethernet, в кадрі або вже є тег VLAN, або комутатор буде вставляти тег VLAN в заголовок Ethernet. Якщо кадр був отриманий від іншого комутатора, цей комутатор вже вставив тег VLAN; в той час як кадри надходять від мережевих пристроїв, таких як комп'ютери, в кадрі не буде тега VLAN.

Якщо ви використовуєте стандартні параметри для VLAN, тег VLAN, який буде поміщений в кадр, - VLAN1. При розміщенні тега VLAN (також відомого як тег IEEE 802.1Q) на кадрі Ethernet чотири байти даних, які становлять тег VLAN, вставляються перед полем «Тип», як показано на наступному малюнку. Цей 4-байтовий заголовок містить кілька фрагментів інформації:

1. 2-байтовий ідентифікатор протоколу тегів (TPID), який буде встановлений в значення 0x8100, щоб позначити, що цей кадр містить інформацію тега 802.1Q або 802.1p.

2. 2-байтная інформація управління тегами (TCI), яка складається з наступного:

• 3-розрядна точка пріоритету користувача (PCP), яка встановлює значення пріоритету між 0 і 7, що може використовуватися для доставки пріоритетного трафіку якості обслуговування (QoS).

• 1-розрядний індикатор канонічного формату (CFI), який представляє собою біт сумісності між Ethernet і іншими мережевими структурами, наприклад Token Ring. Для мереж Ethernet це значення також буде встановлено на нуль.

• 12-бітний ідентифікатор VLAN (VID), який ідентифікує VLAN, до якої відноситься фрейм.

Нещаслива помилка може статися при маркуванні VLAN на фреймі. Максимальний розмір Ethernet-кадру IEEE 802.3 становить 1518 байт. Якщо частина корисного навантаження або даних містить повні 1500 байт даних і додатковий 4-байтовий заголовок в кадрі, розмір кадру буде дорівнює +1522 байтам.

Щоб впоратися з цією ситуацією, IEEE випустила новий стандарт для Ethernet в 1998 році (IEEE 802.3ac), який збільшив максимальний розмір кадру Ethernet до 1,522 байта. Якщо у вас є більш старі комутатори, які не підтримують більший розмір кадру IEEE 802.3ac, ваші комутатори можуть відмовитися від цих підтримуються фреймів з повідомленням або можуть повідомляти про них як про кадрах занадто великого розміру.

Переваги мереж VLAN

При правильному впровадженні VLAN буде виграшним для вашого бізнесу завдяки простоті, більшої безпеки і поліпшеному досвіду для ваших користувачів:

Спрощене адміністрування для мережевого менеджера: одна з кращих особливостей віртуалізації полягає в тому, що вона спрощує управління. Логічно групуючи користувачів в одні і ті ж віртуальні мережі, ви легко налаштовуєте і контролюєте свої політики на рівні групи. Коли користувачі фізично переміщують робочі станції, ви можете тримати їх в одній мережі з різним обладнанням. Або, якщо хтось змінює команди, але не робочі станції, їм може бути легко надано доступ до будь-яких нових VLAN, в яких вони потребують.

Покращена безпека: використання VLAN підвищує безпеку за рахунок скорочення як внутрішніх, так і зовнішніх загроз. Усередині поділ користувачів покращує безпеку і конфіденційність, гарантуючи користувачам доступ тільки до мереж, які належать до їх обов'язків. Зовнішні загрози також зведені до мінімуму. Якщо зовнішній зловмисник може отримати доступ до однієї VLAN, вони будуть міститися в цій мережі по межах і елементам управління, які у вас є, щоб відокремити їх від інших.

Просте усунення несправностей. Пошук та усунення несправностей в мережі може бути простіше і швидше, коли ваші різні групи користувачів сегментируются і ізольовані один від одного. Якщо ви знаєте, що скарги надходять тільки від певного підмножини користувачів, ви зможете швидко звузити місце пошуку, щоб знайти проблему.

Покращена якість обслуговування: VLAN керують трафіком більш ефективно, щоб кінцеві користувачі мали більш високу продуктивність. У вас буде менше проблем із затримкою у вашій мережі і більш висока надійність для критично важливих додатків. Мережі VLAN також спрощують визначення пріоритетів трафіку, дозволяючи вам стежити за тим, щоб критичні дані додатків продовжували текти навіть при трафіку з більш низьким пріоритетом, наприклад, при перегляді веб-сторінок.