Виртуальные локальные сети

С помощью пользовательских фильтров можно ограничивать взаимодействие узлов локальной сети в соответствии с требуемыми правилами доступа. Однако механизм пользовательских фильтров коммутаторов имеет несколько недостатков:

1) Приходится задавать отдельные условия для каждого узла сети, используя при этом громоздкие МАС-адреса. Гораздо проще было бы группировать узлы и описывать условия взаимодействия сразу для групп;

2) Невозможно блокировать широковещательный трафик. Из-за этого свойства сети, созданные на основе коммутаторов, иногда называют плоскими – так как в них отсутствуют барьеры на пути широковещательного трафика. Широковещательный трафик может быть причиной недоступности сети, если какой-то её узел умышленно или неумышленно генерирует широковещательные кадры.

Виртуальной локальной сетью (Virtual LAN, VLAN) называется группа узлов, трафик которых, в том числе широковещательный, на канальном уровне полностью изолирован от трафика других узлов сети.

Это означает, что передача кадров между разными виртуальными сетями на основании адреса канального уровня невозможна независимо от типа адреса – уникального, группового или широковещательного. В тоже время внутри виртуальной сети кадры передаются по технологии коммутации, то есть только на тот порт, который связан с адресом назначения кадра. Говорят, что виртуальная сеть образует домен широковещательного трафика, поскольку широковещательный трафик не выходит за пределы соответствующей группы узлов.

Основное назначение технологии VLAN (вилан) состоит в создании логически изолированных сетей внутри одной и той же физически связанной локальной сети. Эти логически изолированные сети могут вообще не общаться между собой – такой вариант в принципе возможен, если, например, предприятию по каким-то соображениям требуется создать полностью защищённую от внешнего мира сеть.

На практике же виртуальные локальные сети чаще всего между собой общаются, но только через маршрутизатор, который рассматривает их как физически разные сети. Как уже было отмечено, маршрутизатор является более сложным и гибким устройством и может более тонко ограничивать взаимодействие между сетями. Кроме того, маршрутизатор не передаёт между своими портами широковещательный трафик канального уровня, что автоматически решает проблему затопления всей сети каким-то одним неправильно работающим узлом.

Достоинством технологии виртуальных сетей является то, что она позволяет создавать полностью изолированные сегменты сети путём логического конфигурирования коммутаторов и без изменения физической структуры сети.

В 1998 году был принят стандарт IEEE 802.1Q, который определяет базовые правила построения виртуальных локальных сетей. Этот стандарт вводит в кадре Ethernet дополнительный заголовок, который называется VLAN-тегом.

VLAN-тег состоит из поля TCI (Tag Control Information – управляющая информация тега) размером 2 байта и предшествующего ему поля Ether Type (рисунок 6.4).

Рисунок 6.4 – Структура помеченного кадра Ethernet

VLAN-тег не является обязательным для кадров Ethernet. Кадр, у которого имеется такой заголовок, называется помеченным. Коммутаторы могут одновременно работать как с помеченными, так и с непомеченными кадрами.

Для того, чтобы оборудование локальных сетей могло отличать и понимать помеченные кадры, для них введено специальное значение поля Ether Type, равное 0х8100. Это значение говорит о том, что за ним следует поле TCI, а не стандартное поле данных. Обратите внимание, что в помеченном кадре за полями VLAN-тега следует другое поле, Ether Type, определяющее тип протокола, данные которого переносятся полем данных кадра.

Назначение остальных полей кадра Ethernet изучалось ранее в данном курсе (в разделе 2):

DA – МАС-адрес получателя, SA – МАС-адрес отправителя, EtherType – тип поля, Data – данные пользователя, FCS – контрольная сумма.

В поле TCI находится 12-битное поле номера (идентификатора) VLAN, называемого VID. Разрядность поля VID позволяет коммутаторам создавать до 4096 виртуальных сетей. Помимо этого в поле TCI помещено 3-битное поле приоритета кадра. Однобитное поле CFI было введено с целью поддержания специального формата кадра Token Ring, для сетей Ethernet оно должно содержать значение 0.

Из-за добавления тега максимальная длина поля данных уменьшилась на 4 байта.

Пользуясь значением VID в помеченных кадрах, коммутаторы сети выполняют групповую фильтрацию трафика, разбивая сеть на виртуальные сегменты, то есть на VLAN. Для поддержки этого режима каждый порт коммутатора приписывается к одной или нескольким виртуальным локальным сетям. Эта процедура называется также группировкой портов.

Для упрощения конфигурирования сети стандарт 802.1Q водит понятия линии доступа и транка.

Линия доступа связывает порт коммутатора (называемый в этом случае портом доступа) с компьютером, принадлежащим некоторой локальной сети (рисунок 6.5).

Транк – это линия связи, которая соединяет между собой порты двух коммутаторов; в общем случае через транк передаётся трафик нескольких виртуальных сетей.

Коммутаторы, поддерживающие технологию VLAN, без специального конфигурирования по умолчанию работают как стандартные коммутаторы, обеспечивая соединение всех со всеми. В сети, образованной такими коммутаторами, все конечные узлы по умолчанию относятся к условной сети VLAN1 с идентификатором VID, равным 1. Все порты этой сети, к которым подключены конечные узлы, по определению являются портами доступа. Сеть VLAN1 можно отнести к виртуальным локальным сетям лишь условно, так как по ней передаются непомеченные кадры.

Порты доступа получают от конечных узлов сети непомеченные кадры и помечают их тегом виртуальной локальной сети, содержащим то значение VID, которое назначено этому порту. При передаче же помеченных кадров конечному узлу порт доступа удаляет тег виртуальной локальной сети.

На рисунке 6.5 показано, как решается задача избирательного доступа к серверам на основе техники VLAN.

Рисунок 6.5 – Разбиение сети на две виртуальные сети

Будем считать, что поставлена задача обеспечить доступ компьютеров С1 и С3 к серверам S1 и S3, в то время как компьютеры С2 и С4 должны иметь доступ только к серверам S2 и S4.

Чтобы решить эту задачу можно организовать в сети две виртуальные локальные сети, VLAN2 и VLAN3 (напомним, что сеть VLAN1 уже существует по умолчанию – это наша исходная сеть), приписав один набор компьютеров и серверов к VLAN2, а другой – к VLAN3.

Для приписывания конечных узлов к определённой сети VLAN соответствующие порты объявляются портами доступа этой виртуальной локальной сети путём назначения им соответствующего идентификатора VID. Например, порт 1 коммутатора SW1 должен быть объявлен портом доступа VLAN2 путём назначения ему идентификатора VID2, то же самое должно быть проделано с портом 5 коммутатора SW1, портом 1 коммутатора SW2 и портом 1 коммутатора SW3. Порты доступа сети VLAN3 должны получить идентификатор VID3.

В нашей сети также нужно организовать транки – те линии связи, которые соединяют между собой порты коммутаторов. Порты, подключённые к транкам, не добавляют и не удаляют теги, они просто передают кадры в неизменном виде. В нашем примере такими портами должны быть порты 6 коммутаторов SW1 и SW2, а также порты 3 и 4 коммутатора SW3. Порты в нашем примере должны поддерживать VLAN2 и VLAN3 (и VLAN1, если в сети есть узлы, явно не приписанные ни к одной виртуальной локальной сети).

Коммутаторы, поддерживающие технологию VLAN, осуществляют дополнительную фильтрацию трафика. В том случае, если таблица продвижения коммутатора говорит о том, что пришедший кадр нужно передать на некоторый порт, перед передачей коммутатор проверяет, соответствует ли значение VID в теге кадра виртуальной локальной сети, приписанной к этому порту. В случае соответствия кадр передаётся, несоответствия – отбрасывается. Непомеченные кадры обрабатываются аналогичным образом, но с использованием условной сети VLAN1. МАС-адреса изучаются коммутаторами сети отдельно по каждой виртуальной сети.

Как видно из примера, техника VLAN оказывается весьма эффективной для разграничения доступа к серверам. В современных сетях операторы мультисервисных услуг организуют в своих сетях отдельные VLAN для разных услуг. Например, одна VLAN используется для передачи данных, вторая VLAN – для передачи речи, третья – для передачи IP-телевидения и т.д.

Конфигурирование виртуальной локальной сети не требует знания МАС-адресов узлов, кроме того, любое изменение в сети, например подключение компьютера к другому коммутатору требует конфигурирования лишь порта данного коммутатора, а все остальные коммутаторы сети продолжают работать без внесения изменений в их конфигурации.

По умолчанию протокол STP/RSTP образует в сети одно покрывающее дерево для всех виртуальных локальных сетей. Чтобы в каждой виртуальной сети можно было использовать собственное покрывающее дерево, существует специальная версия протокола, называемая множественным протоколом STP (MultipleSTP, MSTP) – стандарт 802.1S.

7 Технология CIDR. Методика расчёта IP-адресации подсетей

Очень редко в локальную вычислительную сеть входит более 100-200 узлов: даже если взять сеть с б о льшим количеством узлов, многие сетевые среды накладывают ограничения, например, в 1024 узла. Исходя из этого, целесообразность использования сетей класса А и В весьма сомнительна. Да и использование класса С для сетей, состоящих из 20-30 узлов, тоже является расточительством.

Для решения этих проблем в двухуровневую иерархию IP-адресов (сеть – узел) была введена новая составляющая – подсеть. Идея заключается в " заимствовании" нескольких битов из узловой части адреса для определения подсети.

Полный префикс сети, состоящий из сетевого префикса и номера подсети, получил название расширенного сетевого префикса. Двоичное число, и его десятичный эквивалент, содержащее единицы в разрядах, относящихся к расширенному сетевому префиксу, а в остальных разрядах -- нули, назвали маской подсети.

Таблица 7.1

Но маску в десятичном представлении удобно использовать лишь тогда, когда расширенный сетевой префикс заканчивается на границе октетов, в других случаях ее расшифровать сложнее.

Допустим, что в примере, приведённом в таблице 7.1 мы хотели бы для подсети использовать не 8 бит, а десять. Тогда в последнем (4-ом) октете мы имели бы не нули, а число 11000000. В десятичном представлении получаем 255.255.255.192. Очевидно, что такое представление не очень удобно. В наше время чаще используют обозначение вида " /xx", где хх -- количество бит в расширенном сетевом префиксе. Таким образом, вместо указания: " 144.144.19.22 с маской 255.255.255.192", мы можем записать: 144.144.19.22/26. Как видно, такое представление более компактно и понятно.

На предприятии обычно необходимо разделять рабочие станции одного подразделения от рабочих станций другого. Эта проблема решается при помощи виртуальных локальных сетей (VLANов). Разделение подразделений на виртуальные локальные сети диктуется необходимостью обеспечения политики безопасности. Каждому структурному подразделению необходимо программно прописать, к каким компьютерам и серверам доступ разрешен, а также прописать, к каким компьютерам и серверам доступ запрещен. Таким образом, можно закрыть доступ к конфиденциальной информации.

Количество виртуальных сетей зависит от количества подразделений, к ним необходимо добавить VLANы для организации сетей IP-телефонии и IP-телевидения. Поэтому сетевой администратор должен уметь производить расчёт IP-адресации подсетей.