Виртуальные сети (Virtual LANs)

Известно, что локальные сети Ethernet по мере роста числа подключенных устройств становятся все более и более загруженными. Развязка сегментов с помощью коммутаторов решает часть проблемы - одноадресные(unicast) пакеты не распространяются во все сегменты сети, а попадают только в тот из них, где находится получатель. Тем не менее широковещательные (broadcast) пакеты проникают всюду, и Ethernet существенно нуждается в широковещательном трафике для своей работоспособности.

Другой, помимо ограничения broadcast-ов, побудительной причиной к созданию виртуальных сетей, VLAN-ов, являются соображения безопасности. С точки зрения безопасности, идеальной моделью построения сети будет ее разбиение на полностью независимые и практически не связанные между собой сегменты, взаимодействие между которыми допустимо только в минимально необходимом количестве оговоренных случаев. Так, к примеру сеть бухгалтерии некоторой организации может находится в одной локальной сети со своим сервером, но связь с остальной сетевой инфраструктурой может быть разрешена только для получения корпоративной электронной почты. Точно так же бухгалтерский сервер не будет виден всей остальной сети.

Принадлежность узлов сети к одному и тому же VLAN-у означает, что передаваемые любым из узлов пакеты, в том числе и широковещательные, будут "слышны" только членам этого VLAN-а и никому другому. На схеме можно было бы изобразить это, как будто узлы одного и того же VLAN-a подключены к отдельному коммутатору, и число независимых VLAN-ов в точности равнялось бы числу отдельно стоящих коммутаторов. На самом деле в рамках сети, поддерживающей VLAN-ы, возможно назначать разные узлы в разные виртуальные сети, фактически не переключая кабели - чисто программным способом конфигурируя коммутаторы! Точно так же, физически переместив любой компьютер или сервер в сети на новое место и подсоединив его к порту совсем другого коммутатора, можно назначить его в тот же VLAN, где он был и раньше.

Создание нескольких виртуальных сетей в рамках одного коммутатора - так, чтобы его разные порты и подключенные к ним участки сетей могли принадлежать разным VLAN-ам - достаточно простая задача. Более сложно дело обстоит в том случае, если мы хотим, чтобы сеть из нескольких коммутаторов поддерживала VLAN-ы. Для этого нужно, чтобы коммутаторы обменивались информацией о принадлежности своих портов к разным виртуальным сетям. Механизм такого обмена, до принятия современного стандарта 802.1q, был свой у каждого производителя; соответственно устройства разных фирм были между собой несовместимы.

Коммутаторы Nortel Networks через специальные транковые соединения обмениваются информацией об известных им VLAN-ах. Обмен происходит с помощью кадров Ethernet специального формата. Устройства, поддерживающие подобную реализацию:

• BayStack 28115
• BayStack 28200
• BayStack Distributed 5000

Наряду с этим коммутаторы Nortel Networks имеют корпуса из поликарбоната. Поликарбонат монолитный обеспечивает идеальную защиту оборудования, и все благодаря полной электроизоляции. При этом полностью отпадает необходимость заземления устройства. Также, по сравнению с АБС-пластиком, корпуса оборудования из монолитного поликарбоната обладают высокой степенью защиты от ударов, что позволяет обеспечить высокую безопасность установленного оборудования в самых жестких условиях эксплуатации. Подробно о поликарбонате можно ознакомиться на сайте http://www.ru.all.biz/.

Коммутаторы CISCO Systems поддерживают технологию ISL, Inter-Switch Link, которая состоит в добавлении к каждому кадру Ethernet добавочной информации о принадлежности его к тому или иному VLAN-у. Эта техника называется tag switching - она меняет стандарт кадра Ethernet, и потому коммутаторы, не поддерживающие ISL, могут принять такие кадры как ошибочные и сбросить их. Технологию ISL поддерживают коммутаторы семейства Catalyst 29xx и Catalyst 5000. Фирма INTEL также реализовала технологию ISL в семействе своих сетевых адаптеров Intel EtherExpress Server adaptor.

Принятый в прошлом году стандарт 802.1q представляет собой разновидность идеи tag switching - к стандартному кадру Ehternet добавляется 4 байта для сохранения информации о номере VLANa, которому он принадлежит, и о приоритете данного кадра, что составляет уже другой стандарт, 802.1p. В настоящее время все основные производители сетевого оборудования - в первую очередь Cisco Systems, Nortel Networks, Intel модернизировали свои продукты для поддержки стандартов 802.1q и 802.1p

В заключение коснемся вопроса о взаимодействии VLAN-ов между собой. Единственный способ связать VLAN-ы - маршрутизация. При этом мы можем использовать всю мощь маршрутизации и указать правила, согласно которым проникновение между VLAN-ами будет разрешено только одному виду трафика и не разрешено другим его видам.