Виртуальные сети (Virtual LAN)

Виртуальная ЛВС (VLAN, Virtual LAN) - логическая группа компьютеров в пределах одной реальной ЛВС, за пределы которой не выходит любой тип трафика (широковещательный [broadcast], многоадресный [multicast] и одноадресный [unicast]). За счет использования VLAN администратор сети может организовать пользователей в логические группы независимо от физического расположения рабочих станций этих пользователей.

Основные цели введения виртуальных сетей в коммутируемую среду:

• повышение полезной пропускной способности сети за счет локализации широковещательного (broadcast) трафика в пределах виртуальной сети;

• повышения уровня безопасности сети за счет локализации одноадресного (unicast) трафика в пределах виртуальной сети;

• формирование виртуальных рабочих групп из некомпактно (в плане подключения) расположенных узлов;

• улучшение соотношения цены/производительности по сравнению с применением маршрутизаторов.

Классический пример, отражающий суть виртуальных сетей, приведен на рисунке 4. К одному коммутатору гипотетической фирмы подключены как машины бухгалтеров, так имашины бухгалтеров. При этом совершенно нет никакой необходимости во взаимодействие машин данных двух групп сотрудников. Поэтому машины бухгалтеров выделяются в одну виртуальную сеть, а машины инженеров в другую. При этом весь трафик (широковещательный, многоадресный и одноадресный) будет ограничен пределами своей виртуальной сети. Более того, повысится безопасность сети. Например, если на машине бухгалтера появится вирус «червь», то максимум он сможет заразить только машины бухгалтеров.

 

Рисунок 4. Пример использования технологии виртуальных сетей.

 

Сегодня существует достаточно много вариантов реализации VLAN. Простые варианты VLAN представляют собой набор портов коммутатора, более сложные реализации позволяют создавать группы на основе других критериев. В общем случае возможности организации VLAN тесно связаны с возможностями коммутаторов.

5.1. Сети на базе МАС-адресов (MAC-based VLANs)

Данный тип виртуальных сетей группирует устройства на основе их МАС-адресов. Для получения доступа в виртуальную сеть, устройство должно иметь МАС-адрес, который содержится в списке адресов данной виртуальной сети. Помимо прочего, отличительной особенностью данного типа виртуальных сетей является то, что они ограничивают только широковещательный трафик. Отсюда вытекает их название - широковещательные домены на базе МАС-адресов. Теоретически один МАС-адрес может являться членом нескольких широковещательных доменов, на практике данная возможность определяется функциональностью конкретной модели коммутатора.

Настройка виртуальной сети на основе МАС-адресов может отнять много времени. Представьте себе, что вам потребуется связать с VLAN адреса 1000 устройств. Кроме того, МАС-адреса "зашиты" в оборудование и может потребоваться много времени на выяснение адресов устройств в большой, территориально распределенной сети. Более того, существуют проблемы безопасности при работе с сетью на базе МАС-адресов. Злоумышленник может узнать МАС-адрес компьютера, входящего в ту или иную VLAN, назначить его своей сетевой карте (как минимум, это можно сделать стандартными средствами MSWindows ХР) и успешно подключиться к сети.

С другой стороны, широковещательные домены на базе МАС-адресов позволяют физически перемещать станцию, позволяя, тем не менее, оставаться ей в одном и том же широковещательном домене без каких-либо изменений в настройках конфигурации. Это удобно в сетях, где станции часто перемещают, например, где люди, использующие ноутбуки, постоянно подключаются в разных частях сети.

5.2. Сети на базе портов (Port-based VLANs)

Устройства связываются в виртуальные сети на основе портов коммутатора, к которым они физически подключены. То есть каждой порт коммутатора включается в одну или более виртуальных сетей. К достоинствам данного типа виртуальных сетей можно отнести высокий уровень безопасности и простоту в настройке. К недостаткам можно отнести статичность данного типа виртуальных сетей. То есть при подключении компьютера к другому порту коммутатора необходимо каждый раз изменять настройки VLAN.

5.3. Сеть на базе маркированных кадров (IEEE 802.1 Q VLANs)

В отличие от двух предыдущих типов виртуальных сетей VLAN на основе маркированных кадров могут быть построены на двух и более коммутаторах.

IEEE 802.1Q - открытый стандарт, который описывает процедуру тегирования трафика для передачи информации о принадлежности к VLAN. Кроме процедуры тегирования для передачи трафика разных VLAN в стандарте 802.1 Q описаны:

• протокол GVRP;

• протокол MSTP;

• и др.

Однако чаще всего 802.1 Q упоминается именно как стандарт, относящийся к VLAN и процедуре тегирования. Коммутатор, на котором настроены виртуальные сети IEEE 802.1Q, помещает внутрь кадра тег, который передает информацию о принадлежности трафика к VLAN.

TPID

Priority

CFI

VLAN ID

 

Размер тега составляет 4 байта. Он состоит из следующих полей:

• Tag Protocol Identifier (TPID)- идентификатор протокола тегирования. Размер поля - 16 бит. Указывает, какой протокол используется для тегирования. Для 802.1q используется значение 0x8100.

• Priority- приоритет. Размер поля - 3 бита. Используется стандартом IEEE 802.1р для задания приоритета передаваемого трафика.

• Canonical Format Indicator (CFI) - идикатор канонического формата. Размер поля - 1 бит. Указывает на формат МАС-адреса. 1 - канонический (кадр Ethernet), 0 – не канонический (кадр Token Ring, FDDI).

• VLAN Identifier (VID) - идентификатор VLAN. Размер поля - 12 бит. Указывает, какой виртуальной сети принадлежит кадр. Диапазон возможных значений VID от 0 до 4094.

Тэг вставляется после поля «Адрес отправителя». Так как кадр изменился, то пересчитывается контрольная сумма (рисунок 5).

Механизмы добавления тэга в заголовок кадра Ethernet

Тэг в заголовок кадра может быть добавлен:

• явно, если сетевые карты поддерживают стандарт IEEE 802.1Q, и на этих картах включены соответствующие опции, то исходящие кадры Ethernet от этих карт будут содержать тэги;

• неявно, если сетевые адаптеры, подключенные к этой сети, не поддерживают стандарт IEEE 802.1Q, то добавление маркеров выполняется на коммутаторе на основе группировки по портам.

Изменение формата кадра Ethernet приводит к тому, что сетевые устройства, не поддерживающие стандарт IEEE 802.1Q (такие устройства называют tag-unaware), не могут работать с кадрами, в которые вставлены метки. Поэтому для обеспечения совместимости с устройствами, поддерживающими стандарт IEEE 802.1 Q (tag-aware устройства), коммутаторы стандарта IEEE 802.1Q должны поддерживать как традиционные Ethernet-кадры, то есть кадры без меток (untagged), так и кадры с метками (tagged).

Входящий и исходящий трафики, в зависимости от типа источника и получателя, могут быть образованы и кадрами типа tagged, и кадрами типа untagged - только в этом случае можно достигнуть совместимости с внешними по отношению к коммутатору устройствами. Трафик же внутри коммутатора всегда образуется пакетами типа tagged. Поэтому для поддержки различных типов трафиков и для того, чтобы внутренний трафик коммутатора образовывался из тегированных пакетов, на принимаемом и передающем портах коммутатора кадры должны преобразовываться в соответствии с предопределенными правилами.

Конфигурирование виртуальной сети IEEE 802.1Q

Коммутаторы для ВЛС требуют предварительного конфигурирования (поставляются они обычно в состоянии, в котором ведут себя как обычные коммутаторы). Для конфигурирования удобно использовать внеполосное (out of band) управление через консольный порт, поскольку при внутриполосном (in band) по неосторожности или неопытности можно попасть в "капкан" - в какой-то момент из-за ошибки конфигурирования консоль может потерять связь с коммутатором.

Портам коммутаторов, поддерживающих 802.1Q, и участвующим в формировании ВЛС, назначаются специфические атрибуты. Каждому порту назначается PVID (Port VLAN Identifier) - идентификатор ВЛС для всех приходящих на него немаркированных кадров. Коммутатор маркирует каждый приходящий к нему НЕМАРКИРОВАННЫЙ кадр (вставляет номер VLAN в соответствие с PVID и приоритет, пересчитывает FCS), а маркированные оставляет без изменений. В результате внутри коммутатора все кадры будут маркированными.

Порты могут конфигурироваться как маркированные или немаркированные члены ВЛС. Немаркированный член ВЛС (untagged member) выходящие через него кадры выпускает без тега (удаляя его и снова пересчитывая FCS). Маркированный член ВЛС (tagged member) выпускает все кадры маркированными. Для каждой ВЛС определяется список портов, являющихся ее членами. Порт может быть членом одной или более ВЛС. При конфигурировании для камедой ВЛС каждый порт должен быть объявлен как немаркированный (U), маркированный (Т) или не являющийся членом данной VLAN (-). Если используются магистральные линии (Port Trunking или LinkSafe), то с точки зрения ВЛС данные порты представпяют единое целое.

Построение виртуальных сетей 802.1 Q на одном коммутаторе

Рассмотрим следующий пример (рисунок 6), который помогает понять принцип работы виртуальных сетей 802.1Q. Машины 1 и 4 принадлежат VLAN 1, машины 2 и 5 принадлежат VLAN 2, а машина 3 является общедоступным ресурсом и включена в VLAN 3.

 

 

PVID	Номер порта
1	4
2
	5
3	3

	Номера портов
VID
	U	-	U	U	-
	-	U	U	-	U
	U	U	U	U	U

 

Рисунок 6. Пример настройки виртуальной сети 802.1Q на одном коммутаторе.

В соответствие с распределением по виртуальным сетям портам назначаются PVID как указано в таблице, то есть все немаркированные пакеты, поступающие на коммутатор из сети, будут тегироваться в соответствие с PVID порта

Будем считать, что все машины не поддерживают стандарт IEEE 802.1Q. Таким образом, из всех пакетов, поступающих на конечные компьютеры, тег должен удаляться.

Так как к порту 3 подключен сервер, то он должен принимать пакеты от всех машин, то есть из всех виртуальных сетей. Таким образом, порт 3 является нетегируемым для всех VLAN, то есть пакеты всех виртуальных сетей будут передаваться в сеть через этот порт немаркированными.

Оставшиеся порты включаются не только в свою VLAN, но и в VLAN 3, так как они должны принимать пакеты не только из своей VLAN, но и из VLAN сервера.

Построение виртуальных сетей 802.1Q на нескольких коммутаторах

Как уже отмечалось, виртуальные сети 802.1Q могут быть построены на нескольких коммутаторах и охватывать всю локальную сеть. Рассмотрим следующий пример (рисунок 7) Коммутаторы SW2 и SW3 поддерживают 802.1Q, SW1 поддерживает только ВЛС по портам, SW4 - коммутатор без поддержки ВЛС. Для того, чтобы в обе ВЛС V1 и V2 попали узлы, подключенные к коммутаторам SW1 и SW2, между этими коммутаторами приходится прокладывать отдельные линии и занимать по порту на каждую ВЛС. Порты 1 и 2 коммутатора SW2 конфигурируются как немаркированные (U), один для ВЛС V1 (PVID=1), другой для V2 (PVID=2). Порт 8 у SW2 и 1 у SW3 объявляются маркированным (Т) для ВЛС V2 и V3. Порты SW2 и SW3, к которым подключаются компьютеры, объявляются не маркированными членами соответствующих ВЛС, у этих портов PVID принимает значения 1, 2 и 3 (в соответствии с номером ВЛС). Членам ВЛС V2 и V3 разрешаем доступ в Интернет через маршрутизатор, подключенный к порту 7 коммутатора SW3. Для этого порт 7 конфигурируется как немаркированный член V2 и V3, это обеспечит прохождение всех кадров от пользователей Интернет к маршрутизатору. Для того, чтобы ответные кадры могли дойти до пользоввателей, назначим порту 7 коммутатора SW3 PVID=9 – это будет дополнительная ВЛС для доступа к Интернет. Эта ВЛС должна быть "прописана" и во всех портах SW2 и SW3, к которым подключаются пользователи Интернет (порты SW2.8 и SW3.1 будут маркированными членами ВЛС 9, остальные - немаркированными). Под словом "прописана" подразумеваем указание на членство этих портов в VLAN 9, но никак не назначение им PVID=9.

Рисунок 7. Сеть с распределенными ВЛС 802.1Q.

 

Реализации стандарта IEEE 802.1Q в сетевом оборудовании различных производителей

Стандарт IEEE 802.1Q определяет только формат используемых кадров Ethernet и минимальный набор требований к устройству, которые обязательны к реализации всеми производителями. Вместе с тем, очень большая область использования этой технологии отдается на откуп производителю оборудования.

Современное сетевое оборудование от многих производителей по умолчанию позволяет производить демаркирование исходящих пакетов на текущем порту только для одной определённой VLAN. Например, пусть входящие пакеты для порта 1 маркируются PVID=1, то есть компьютеры на порту 1 входят в VLAN 1. Из исходящих с порта 1 кадров должен извлекаться тег, иначе кадр будет отброшен конечным компьютером (если тот не поддерживают IEEE 802.1Q). Так вот извлечь тег можно только с номером какой-то одной определённой VLAN. А что делать, если к этому порту подключены машины из нескольких VLAN?

Для того, чтобы обойти это ограничение существует несколько способов:

1. Использование асимметричных виртуальных сетей. У некоторых коммутаторов есть возможность активировать данный тип VLAN (asymmetric vlan enabled/disabled). Это позволяет включать один порт в несколько VLAN

2. Включение поддержки 802.1Q на оконечных устройствах - компьютерах.

3. 3. Маршрутизация виртуальных сетей. Для этого необходимо, чтобы сетевой адаптер общедоступного ресурса (сервер, принтер и т.д.) поддерживал IEEE 802.1Q. Тогда схема будет следующей:

· на сетевом адаптере общедоступного ресурса настраиваем несколько IP-подсетей. Каждую IP-подсеть привязываем к определённой VLAN.

· компьютеры из каждой VLAN также помещаются в определённую IP-подсеть.

Если коммутатор не поддерживает асимметричных VLAN, то наиболее простой способ построения сети с общедоступными ресурсами - это организация поддержки 802.1Q на оконечных устройствах. При этом необязательно иметь сетевые адаптеры с данной поддержкой - существуют утилиты, которые позволяют запустить данный протокол даже на самых простых сетевых картах. Например, одной их таких утилит в Linux является vconfig. Правда если речь идёт о принтерах (то есть об оборудование, ОС которого не допускает явного вмешательства), то остаётся только 3-ий способ.

Напоследок следует отметить, что в современных коммутаторах поддерживаются в лучшем случае два типа VLAN: по портам и IEEE 802.1 Q.