VLAN на базе MAC-адресов.

Второй способ, который используется для образования виртуальных сетей, основан на группировании МАС-адресов. При существовании в сети большого количества узлов этот способ требует выполнения большого количества ручных операций от администратора. Однако он оказывается более гибким при построении виртуальных сетей на основе нескольких коммутаторов, чем способ группирования портов. Группирование МАС-адресов в сеть на каждом коммутаторе избавляет от необходимости их связи несколькими портами, однако, требует выполнения большого количества ручных операций по маркировке МАС-адресов на каждом коммутаторе сети.

Широковещательные домены на базе MAC-адресов, позволяют физически перемещать станцию, позволяя оставаться ей в одном и том же широковещательном домене без каких-либо изменений в настройках конфигурации

Настройка виртуальной сети на основе MAC-адресов может отнять много времени - представьте себе, что вам потребуется связать с VLAN адреса 1000 устройств. Кроме того, MAC-адреса "наглухо зашиты" в оборудование и может потребоваться много времени на выяснение адресов устройств в большой, территориально распределенной сети.

6.4 VLAN на базе меток – стандарт 802.1Q.

Описанные два подхода основаны только на добавлении дополнительной информации к адресным таблицам моста и не используют возможности встраивания информации о принадлежности кадра к виртуальной сети в передаваемый кадр. Метод организации VLAN на основе меток – тэгов, использует дополнительные поля кадра для сохранения информации о принадлежности кадра при его перемещениях между коммутаторами сети.

Стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети.

К кадру Ethernet добавлены два байта. Эти 16 бит содержат информацию по принадлежности кадра Ethernet к VLAN и о его приоритете. Тремя битами кодируется до восьми уровней приоритета, 12 бит позволяют различать трафик до 4096 VLAN, а один бит зарезервирован для обозначения кадров сетей других типов (Token Ring, FDDI), передаваемых по магистрали Ethernet.

С точки зрения удобства и гибкости настроек, VLAN на основе меток является лучшим решением. Основные преимущества:

1. Гибкость и удобство в настройке и изменении –можно создавать необходимые комбинации VLAN как в пределах одного коммутатора, так и во всей сети, построенной на коммутаторах с поддержкой стандарта 802.1Q. Способность добавления меток позволяет VLAN распространяться через множество 802.1Q-совместимых коммутаторов по одному физическому соединению.

2. Позволяет активизировать алгоритм покрывающего дерева (Spanning Tree) на всех портах и работать в обычном режиме. Протокол Spanning Tree оказывается весьма полезным для применения в крупных сетях, построенных на нескольких коммутаторах и позволяет коммутаторам автоматически определять древовидную конфигурацию связей в сети при произвольном соединении портов между собой. Для нормальной работы коммутатора требуется отсутствие замкнутых маршрутов в сети. Эти маршруты могут создаваться администратором специально для образования резервных связей или же возникать случайным образом, что вполне возможно, если сеть имеет многочисленные связи, а кабельная система плохо структурирована или документирована. С помощью протокола Spanning Tree коммутаторы после построения схемы сети блокируют избыточные маршруты, т.о., автоматически предотвращается возникновение петель в сети.

3. Способность VLAN 802.1Q добавлять и извлекать метки из заголовков пакетов позволяет VLAN работать с коммутаторами и сетевыми адаптерами серверов и рабочих станций, которые не распознают метки. (Единственной оговоркой здесь может служить то, что устройство должно уметь работать с максимальным размером кадра Ethernet 1522 байт)

4. Устройства разных производителей, поддерживающие стандарт могут работать вместе, т.е. не зависимо от какого-либо фирменного решения.

5. Не нужно применять маршрутизаторы, чтобы связать подсети на сетевом уровне, достаточно включить нужные порты в несколько VLAN для возможности обмена трафиком. Например, для обеспечения доступа к серверу из различных VLAN, нужно включить порт коммутатора, к которому подключен сервер во все подсети и создать еще одну VLAN, в которую будут входить все порты, с которых необходимо обращаться к серверу.

В силу указанных свойств, VLAN на базе тэгов используются на практике гораздо чаще остальных типов, поэтому остановимся подробно на принципах работы такой схемы и вариантов, которые можно с ее помощью организовать.

Существуют два основных понятия для понимания IEEE 802.1Q VLAN:

1. VLAN-идентификатор порта - VLAN ID (PVID)

2. Номер VLAN ID (VID)

Оба этих значения присваиваются порту коммутатора, но между ними есть важные отличия. PVID определят, в какой VLAN коммутатор направит пакет с подключенного к порту сегмента, когда пакет нужно передать на другой порт коммутатора или в другую часть сети. С другой стороны, пользователь может определить порт, как входящий в несколько VLAN, позволяя сегменту, подключенному к данному порту принимать пакеты от нескольких VLAN в сети. Таким образом, эти два параметра контролируют способность порта принимать и передавать VLAN-трафик и различия между ними обеспечивают сегментацию сети с одновременным сохранением возможности получать доступ к общим сетевым ресурсам из различных VLAN..

Для примера рассмотрим ситуацию: Порт 1 входит в VLAN 1 и имеет PVID=1. Если пакет нужно передать на другой порт, например Порт 3 (найденный обычным способом в таблице коммутатора), то коммутатор, прежде чем передать пакет смотрит, входит ли Порт 3 в VLAN 1, и может ли соответственно получать пакеты, предназначенные для этого VLAN. Если Порт 3 не является членом VLAN 1, то пакет отбрасывается коммутатором и соответственно не будет передан получателю. Если Порт 3 входит в VLAN 1, то пакет будет передан. Таким образом, Порт 1 может передавать и принимать пакеты для VLAN 1, т.к. его PVID=1. Порт 3, у которого PVID может быть другим, может принимать пакеты из VLAN 1, т.к. входит в этот VLAN, но он не может передавать пакеты в VLAN 1, пока его PVID не будет установлен в 1.

VLAN’ы могут работать между несколькими коммутаторами в вашей сети. Следует учитывать два момента: во-первых, поддерживает ли коммутатор стандарт IEEE 802.1Q и должны ли быть VLAN-пакеты маркированы – tagged или размаркированы – untagged.

Вот определения некоторых терминов, необходимых для понимания работы VLAN в сети:

¨ Tagging (Маркировка пакета) –процесс добавления информации о принадлежности к 802.1Q VLAN в заголовок кадра. Порты, на которых включена маркировка пакетов, могут добавлять в заголовки всех передаваемых пакетов номер VID, информацию о приоритете и пр. Если пакет приходит на порт уже маркированным, то данный пакет не изменяется и таким образом при пересылке сохраняется вся информация о VLAN. Маркировка пакетов в основном применяется для пересылки пакетов между устройствами, поддерживающими стандарт 802.1Q VLAN.

¨ Untagging –Процесс извлечения информации 802.1Q VLAN из заголовка пакета. Порты, на которых включена данная функция, извлекают все информацию, касающуюся VLAN из заголовков как входящих, так и исходящих пакетов, проходящих через данный порт. Если же пакет не содержит тэг VLAN’a, то порт не изменяет такой пакет. Данная функция коммутатора применяется при передаче пакетов от коммутаторов, поддерживающих стандарт 802.1Q на устройства, не поддерживающие этот стандарт.

Для согласования работы устройств, поддерживающих формат кадра 802.1 Q, с теми устройствами, которые не понимают этот формат, разработчики стандарта предложили делить весь трафик в сети на несколько типов.

¨ Трафик входного порта (Ingress Port). Каждый кадр, достигающий коммутируемой сети и идущий либо от маршрутизатора, либо от рабочей станции, имеет определенный порт-источник. На основании его номера коммутатор должен "принять решение" о приеме (или отбрасывании) кадра и передаче его в ту или иную VLAN. Коммутатор проверяет пакет на наличие информации VLAN и на ее основании принимает решение о пересылке пакета.

Если пакет содержит информацию о VLAN, входной порт сначала определяет, является ли он сам членом данного VLAN. Если нет, то пакет отбрасывается. Если да, то определяется, является ли порт назначения членом данного VLAN. Если оба порта являются членами одного VLAN’а, то пакет пересылается.

Если пакет не содержит в заголовке информацию VLAN, т.е. является немаркированным пакетом (untagged), то входящий порт добавляет в заголовок пакета метку в соответствии со своим PVID (если он является маркированным портом (tagged)). Затем определяется, принадлежат ли входной порт и порт назначения одному VLAN (имеют одинаковые VID). Если нет, пакет отбрасывается. Если да, то пакет передается.

Если же входящий порт является немаркированным портом, то перед пересылкой проверяется только, являются ли входной порт и порт назначения членами одной VLAN.

Этот процесс называется ingress filtering(входной фильтрацией) и используется для сохранения пропускной способности внутри коммутатора .

¨ Трафик выходного порта (Egress Port). Чтобы попасть в межсетевой маршрутизатор или в оконечную рабочую станцию, кадр должен выйти за пределы коммутатора сети. Коммутатор "решает", какому порту (или портам) нужно передать пакет и есть ли необходимость удалять из него служебную информацию, предусмотренную стандартом 802.1Q. Дело в том, что традиционные рабочие станции не всегда воспринимают информацию о VLAN по стандарту 802.1Q, но сервер, обслуживающий несколько подсетей с помощью единственного интерфейса, должен ее активно использовать. Если выходной порт подключен к коммутатору, поддерживающему стандарт 802.1Q, то следует включить маркировку пакетов на данном порту, чтобы другой коммутатор мог получать информацию о VLAN и на ее основе принимать решения о передаче пакета. Если выходной порт подключен к устройству, не поддерживающему стандарт 802.1Q, то тэги должны извлекаться из заголовка пакета и теперь уже обычный пакет Ethernet может быть принят конечным устройством.