понедельник, октября 08, 2012

Виртуальная реальность или что такое VLAN


В данном посте рассматриваются виртуальные локальные сети (VLAN), их назначение и терминология. Данный пост носит исключительно теоретический характер, и в нем не будет практических примеров настройки оборудования, но если вам все же интересно, то милости прошу под кат.


Виртуальные локальные сети или же просто VLAN - это технология позволяющая организовывать несколько независимых виртуальных сетей внутри одной физической сети. С помощью VLAN можно выполнять гибкое разнесение пользователей по различным сегментам сети с разной адресацией, даже если они подключены к единому устройству, а также дробить широковещательные домены.

Помните, в посте, в котором мы разбирали принципы работы коммутатора, говорилось что он объединяет сетевые устройства в единый сегмент сети, это не совсем так =) Это является абсолютно верным для коммутаторов не поддерживающих VLAN, но вот для коммутаторов поддерживающих виртуальные локальные сети (в данном посте под словом коммутатор подразумевается коммутатор уровня 2, тоесть не умеющий осуществлять маршрутизацию) дела обстоят несколько иначе, такие коммутаторы могут объединять сетевые устройства в несколько сегментов сети (но не сегменты между собой), данные сегменты будут абсолютно не связаны между собой. Данный принцип проиллюстрирован на рисунке.


Организация двух VLAN на коммутаторе
Немного прокомментирую данный рисунок. Компьютеры 1 и 2 объединены в один VLAN, компьютеры 3 и 4 объединены в другой VLAN. Хотя все компьютеры подключены к одному и тому же коммутатору, все они не будут общаться между собой. Компьютер номер 1 сможет общаться только с компьютером 2, компьютер 3 будет видеть только компьютер 4. Тоесть данная ситуация будет аналогична тому, как если бы мы подключили компьютеры 1  и 2 к одному коммутатору, а компьютеры 3 и 4 к другому коммутатору, и не соединили бы эти коммутаторы между собой. Как легко заметить, в данном случае, технология VLAN помогла нам разделить нашу единую физическую сеть на несколько виртуальных не связанных между собой сетей, при этом компьютеры находящиеся в этих виртуальных сетях даже не подозревают об этом и работают точно также как это было бы в обычно сети.




Реализация виртуальных локальных сетей обычно происходит на коммутаторах. Другое сетевое оборудование, такое как маршрутизаторы, точки доступа, тоже обычно поддерживает VLAN.

Для взаимодействия устройств в VLAN сетях, их порты  настраиваются специальным образом. Существует два типа настройки портов: настройка порта в режиме  доступа (аксесс порт) и настройка порта в режиме транка (транковый порт).


Порты доступа применяются обычно для подключения оконечных устройств. В простейшем случае, порту доступа задается определенный VLAN и он передает весь поступающий на него трафик имено в него. Порты к которым подключены компьютеры 1,2,3 и 4 на рисунке выше являются портами доступа.


Транковые порты предназначены для передачи трафика сразу нескольких VLANов и обычно используются для соединения сетевых устройств между собой. Данный принцип проиллюстрирован на рисунке.

Принцип работы портов доступа и транковых портов
На данном рисунке порты 1-4 являются портами доступа и по каждому из этих портов идет трафик только одного VLAN, порты 5 являются транковыми портами, служат для связи коммутаторов между собой и передают через себя трафик сразу двух виртуальных локальных сетей VLAN  1 и VLAN 2.

Хочется отметить, что передавать VLAN между устройствами можно не только с помощью транковых портов, но и с помощью портов доступа, но так как порты доступа могут пропускать трафик только одного VLAN, для соединения устройств между собой, потребуется выделение портов количество которых будет равно количеству передаваемых между устройствами VLAN. Данный способ обычно находит применение только в том случае если между устройствами необходимо передать небольшое число VLAN, а обычно вообще один единственный VLAN. На представленном ниже рисунке все  шесть портов являются портами доступа.
На данном рисунке все порты являются портами доступа
Так же хочется отметить, еще один интересный факт. Если ваш коммутатор поддерживает VLAN, то вы используете данную технологию даже не подозревая об этом. Большинство коммутаторов, во всяком случае фирмы Cisco, по умолчанию настроены таким образом, что все их порты принадлежат VLAN 1. Использование коммутатора в данном случае будет иметь следующий вид.
Один единственный VLAN на коммутаторе
Вроде бы это вся теория о VLAN, которые может пригодитесь для перехода к практике настройки VLAN, надеюсь, что я ничего не забыл. Хотя  я старался написать как можно проще, на мой взгляд, статья получилась довольно таки сложной для понимания, поэтому с удовольствием отвечу на все возникшие у вас вопросы о VLAN.

40 коммент.:

Наоборот, статья очень простая благодаря наглядным примерам.

Спасибо! Очень доступно и о только о главном.

Хоть что-то прояснилось! Спасибо большое!

Рад что Вам пригодилась данная статья.

добрый день!! а сколько vlan может поддерживать порт в транке? и что за порты в режиме гибрид?

Добрый день. Если не ошибаюсь, то максимальное число vlan зависит от модели коммутатора и типа его программного обеспечения. Посмотреть максимальное число поддерживаемых vlan на коммутаторах catalyst можно с помощью команды show vtp status.
Режим гебрид мне пока не знаком. Но вроде бы неплохое его описание можно найти тут http://otvety.google.ru/otvety/thread?tid=2ca8bc9e3bf2ecaf в ответах

А если вообще не настраивать порт? он будет работать?

Хорошая статья, спасибо!

"А если вообще не настраивать порт? он будет работать?"
Да будет. По умолчанию, обычно, все порты в рабочем состоянии.

спасибо огромное, все предельно просто,... здорово объяснили

Верните пожалуйста рисунки!!!

Рисунки на месте, возможно были какие то технические проблемы в работе.

Поскольку основным назначением виланов на практике есть изоляция на уровне передачи данных (уровень 2, уровень Ethernet-кадров) широковещательного (бродкастового и мультикастового) трафика с сетевого уровня, то полезным, на мой взгляд, было бы приводить для наглядности в таких статьях как пример скриншоты работы сетевого анализатора с параметром вывода разницы во времени между пакетами/кадрами. Например, tcpdump -ttt ether broadcast. Это очень хорошо показывает, что было в общем сегменте (или дефолтном вилане) и что получилось в отдельном вилане.

"воскресенье, ноября 02, 2014"
Отличное предложение, сам да такого в момент написания статьи не догадался.

Здравствуйте. Получается в одной VLAN всё оборудование имеет одинаковый IP адрес? Спасибо.

Добрый день. Нет. Разные устройства имеют разные адреса, но из одной подсети.

Добрый день! Ну наконец-то в голове как-то системно что-то начало укладываться.) А можно сделать так что б у нескольких VLAN для выхода в интернет был один общий ip адрес?

Добрый день. Попробуйте прочитать про NAT. В этом блоге, к сожалению, я эту тему еще не освещал.

"Разные устройства имеют разные адреса, но из одной подсети." - это с какого перепугу? Они могут быть в разных подсетях, но в одном VLAN'e

Согласен. На практике, несколько подсетей будут работать вместе в одном VLAN, но лучше так не делать и предерживаться правила: один vlan - одна подсеть. Не могу привести ни одного примера где бы могло пригодиться несколько подсетей в одном VLAN.

К примеру. Провайдер Интернет. У провайдера много разных диапазонов адресов. Для изоляции домов друг от друга применяется схема "один дом - один VLAN" или даже "один подъезд - один VLAN". У клиентов внутри VLAN'a могут быть адреса с разных диапазонов.

Ок) Клиенты чаще всего за NATом сидят) Железка провайдера может и не знать об этих подсетях)

добрый день! подскажите какое оборудование(концентраторы, комутаторы, маршрутизаторы) понадобиться для построение офисной сети стандарта Fast Ethernet примерно на 70 ПК. Спасибо)

нужен ли вообще концентратор для такой сети? Если использовать многопортовый коммутатор

Концентраторы не нужные - это прошлый век. Вам нужны несколько коммутаторов и маршрутизатор.

добрый день! пишу дипломную работу(( подскажите расчеты основных параметров для сети Fast Ethernet. или источник откуда это можно взять.
2 если есть, то информацию по настройке сети( коммутаторы, маршрутизаторы D-Link)
зарание Спасибо.

Добрый день.
Попробуйте поискать что либо полезное для расчетов вот тут:
1.Кучерявый А. Е., Гильченок Л. З., Иванов А. Ю. Пакетная сеть связи общего пользования.
2.Битнер В.И., Михайлова Ц.Ц. Сети нового поколения - NGN.
3.Конахович Г. Ф., Чуприн В. М. Сети передачи пакетных данных.
Читал давно, но вроде в них что то должно быть по вашей теме.

Насчет D-Link, попробуйте найти для себя что то полезное вот здесь:
http://learn.dlink.ru/login/index.php

Egor , your explanations are just too good to be true! Bravo!

Егор, добрый день. Во-первых спасибо большое за прекрасный доступный материал. ВО-вторых, ламерский вопрос :) ВОт есть у нас сеть с коммутаторами, на которых настроены виланы. Все также как и у вас в схеме, на коммутаторах - порты доступа, между коммутаторами - транковые порты на оптике на SFP модулях. Все прекрасно, но мне как новому админу надо иметь доступ со своей рабочей машины ко всем виланам. Правильно ли я понимаю что мне для этого достаточно сделать один из портов доступа на коммутаторе ядра, возле которого я сижу, транковым и подключить свою машину к нему? Ну на своей машине соответственно прописать еще один IP для другого вилана. Или надо делать сложнее и вроде как правильней, а именно настраивать маршрутизацию между виланами?

Оба варианта имеют право на жизнь. Первый вариант проще реализуется (даже на простых свичах L2), второй, как Вы правильно заметили, сложнее, и реализуется с помощью оборудования L3 или программным путем на сервере маршрутизации.

Андрей, спасибо. Коммутаторы у нас как раз L3, но в сети есть софтовый интернет шлюз. Соответственно на всех компьютерах в сети он прописан к качестве дефолтного.Получается маршрутизацию в коммутаторах сейчас не использовать.

И еще вопрос, если можно. Что из себя представляет интерфейс управления коммутатором? Тот самый IP через который мы подключаемся к его вебморде и т.д. Где и как он прописывается?

to Андрей Григорьев
что то первый вариант не такой уж и живучий, как выясняется )) мало того что для распознавания тегированных пакетов сетевая карта должна быть соответствующая, так еще будет несколько сетевых интерфейсов по кол-ву виланов

Добрый день. Лично мне больше нравиться вариант с маршрутизацией.

Прописать IP для менеджмента можно примерно вот так(номер vlan заменить на необходимый):
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.1.1 255.255.255.0
Switch(config-if)#no shutdown

Ребят, концентраторы - это хабы? Комутаторы - это свичи? А маршрутизаторы - это рутеры? Извините но я не всегда понимаю русскую терминологию, так как привык всё на буржуйском называть :) Спасибо

Отправить комментарий