VLAN – что это такое, настройки виртуальной сети, транковые порты и порты доступа, что такое тегированный трафик, а также тегированный и нетегированный порт

Некоторые пользователи не знают, но соединить компьютеры из разных сетей или назначить сегмент определенной сети довольно просто. Эти вопросы связаны с использованием одной разработки — виртуальной сети или VLAN.

Расшифровка термина

VLAN (Virtual Local Area Network или Virtual LAN) означает виртуальную локальную сеть. Из слова «виртуальный» следует, что он не существует физически. Точнее, это сегмент реальной сети, который объединяется настройками в отдельную группу. Самый простой пример: создание VLAN с помощью Hamachi для развертывания небольшой локальной сети поверх Интернета с какой-то целью (в данном случае для упрощения подключения в играх).

Более близким примером для каждого пользователя является настройка VLAN на маршрутизаторе. Такой настройке присваивается отдельный сегмент на интерфейсе. С помощью этой функции можно, например, ограничить доступ к принтеру только двумя компьютерами или выделить IPTV-устройство в отдельную подсеть (ограничив доступ к нему других устройств).Настройки VLAN

Когда маршрутизатор организует VLAN, автоматически создается Native VLAN, которая отделяется от создаваемой VLAN. Этот термин используется в стандарте 802.1Q и связан с немаркированными пакетами (подробнее об этом позже). Любой нетегированный пакет автоматически отправляется в Native VLAN.

Назначение VLAN

VLAN используются для совместного использования или создания рабочих групп между компьютерами, находящимися в разных физических сетях. В зависимости от реализации, виртуальные локальные сети различаются по назначению и применению.

Рабочая группа между разными сетями

Самый яркий пример, который уже приводился ранее. Домашняя группа может быть создана между несколькими компьютерами, находящимися в разных частях света, с использованием виртуальной локальной сети (для обеспечения быстрого обмена файлами) или доступа к общему хранилищу.рабочая группа

Пример применения. Назначение сотрудников в общую сеть при работе над одним проектом без физического перемещения их рабочих мест.

Разделение подсетей

Это подразумевает логическое соединение соседних компьютеров путем предоставления им различного доступа к ресурсам. Это делает компьютеры невидимыми, кроме как для членов сети, и обеспечивает дифференцированный доступ.подсеть

Способы устранения ошибки 691 при подключении к Интернету

В предлагаемой реализации VLAN2 имеет доступ к локальному хранилищу данных, но не имеет доступа к Интернету. VLAN1, с другой стороны, имеет доступ к Интернету, но не к хранилищу данных. Эта реализация подходит, если вы хотите предоставить людям в одном офисе разные варианты. Или отключите Интернет на компьютере ребенка.

Пример применения. Разграничение доступа в организации. Нередко торговым представителям предоставляется доступ в Интернет с их рабочих компьютеров для связи с клиентами. В то же время другим сотрудникам такой доступ не нужен, поэтому они выделены в отдельную подсеть.

Разделение рабочих групп с ограничением доступа

Этот метод похож на предыдущий, но был извлечен из него, поскольку он прост и интересен в реализации. В предыдущем методе используются две отдельно настроенные виртуальные сети. В этом один изолирован от другого. Это показано на рисунке самым простым образом:Подразделение рабочей группы

В этом случае сеть предприятия является NativeVLAN (1), а гостевая сеть выделена как VLAN2. Почти весь трафик, проходящий через маршрутизатор, является немаркированным. Однако, когда VLAN2 помечена, пакеты изолируются от VLAN1. Это довольно распространенное решение для защиты предприятия от случайного вторжения гостей.

Пример применения. Сам метод является примером, поскольку он обеспечивает как автономную работу, так и доступ в Интернет для предприятия и гостей.

Достоинства

Основные преимущества такого совместного использования очень просты и логичны, хотя и не всегда очевидны. Они заслуживают отдельного внимания:

Экономия на физических устройствах и кабеле

Нет необходимости покупать отдельные коммутаторы для построения VLAN (на самом деле, такая необходимость может возникнуть, но их количество будет во много раз меньше, чем физическая конструкция), дополнительные карты и прокладывать кабели.

Единицы скорости Интернета

Гибкое разделение устройств

Сами устройства можно не только разделить на сети, но и легко перемещать между группами, изменяя права доступа к другим ресурсам. Он также позволяет соединять в одну сеть устройства, подключенные в разных частях организации (к разным коммутаторам).

Примечание и пример. В одной организации начальнику на подпись направляются документы, которые печатаются из разных частей организации путем назначения принтеров в отдельные виртуальные локальные сети. Сами принтеры находятся в секретариате. Такой подход при огромной площади (около 40 км2) позволил сократить время, затрачиваемое на отправку документов.

Уменьшение широковещательного трафика

Существует такое понятие, как служебный трафик. Он передается внутри локальной сети и обрабатывается каждым узлом, что приводит к снижению пропускной способности. С помощью виртуальных локальных сетей этот трафик уменьшается, делая физическое соединение между компонентами немного более эффективным.

Безопасность и управление

Каждый из приведенных выше примеров намекает на способы снижения риска передачи данных в неправильное место. То есть, выделение отдельных компьютеров в одну VLAN не только облегчает изменение настроек для них, но и обеспечивает безопасность остальной части сети. Отличным примером такого решения безопасности является гостевой Wi-Fi.

Виды портов

Настройка VLAN — это долгий и утомительный процесс. Это деятельность, которую нужно выполнить один раз, а затем просто контролировать и корректировать по мере необходимости. Когда речь идет об одном выключателе, проблем не возникает. По сути, получается, что одна VLAN связана с одним портом, и работа приготовлена. Но когда несколько таких устройств собраны вместе, возникают различные нюансы. Они связаны с использованием тегированных и нетегированных портов.

Давайте начнем с простой диаграммы:Схема подключения

Он имеет 2 VLAN и общую сеть (которая представлена комбинацией обеих виртуальных, такая конфигурация также может быть реализована). SW1 и SW2 — это коммутаторы, к которым подключены порты, обозначенные (21 и 22 соответственно). Фактически получается, что для передачи данных используются одни и те же порты (через них подключены коммутаторы).

Проблема: Как войти в Gmail.com — Решение

При передаче данных в VLAN1 помещается специальный флаг (тег), который считывается коммутатором и отправляется на другой коммутатор. Нетегированный пакет выходит из порта 21 на SW1 и принимается портом 22 на SW2. Получив маркированный пакет, коммутатор передает его как часть VLAN1. Таким образом, этот пакет доступен для компьютеров G и H, но недоступен для E и F. Оба порта имеют метки для обмена трафиком между сетями. В противном случае метка игнорируется и передается всем устройствам на коммутаторе.

Это приводит к следующим определениям:

  1. Tagged port. Это порт, который назначается на коммутаторе для проверки наличия метки виртуальной сети во входящих пакетах. Также этот тип порта выполняет функцию добавления этих тегов. Это приводит к внутренней классификации: прием тега (который проверяет наличие тега и принимает пакет при его наличии) и передача (которая помещает тот же тег на пакет).
  2. Нетегированные порты. Это порты, функция которых заключается в передаче всех типов пакетов, проходящих через коммутатор.

Транк

Это тип порта в коммутаторах CISCO. Он выполняет задачу пересылки маркированного трафика между различными сегментами сети. В конкретном примере это выглядит следующим образом:Магистральные порты

Еще один добавляется между коммутаторами, на которых установлена VLAN. Его задача — обеспечить обмен данными. Магистральные порты, вместо проверки метки и передачи пакетов, имеют свойство проверять и передавать в пункт назначения. Остальной трафик просто игнорируется. Результатом является передача через магистраль с метками (как если бы не было промежуточного коммутатора). Единственное различие между магистральным и маркированным портом заключается в том, что сам магистральный порт не транслирует в сеть (он передает пакеты, только если они маркированы).

Оцените статью
Silverkomp.ru
Добавить комментарий

Adblock
detector