Стратегическое планирование сетей масштаба предприятия

       

Виртуальные сети VLAN вместо физически разделенных подсетей


Коммутаторы могут повысить пропускную способность сети, но не могут создать надежные барьеры на пути ошибочного и нежелательного трафика. Классическим примером такого трафика может служить трафик, создаваемый широковещательными пакетами некорректно работающего узла. Можно привести и другие ситуации, когда трафик нужно отфильтровывать по соображениям защиты данных от несанкционированного доступа.

До массового применения в сетях коммутаторов проблема возведения барьеров на пути нежелательного трафика решалась с помощью разделения сети на физически несвязные сегменты и объединения их с помощью маршрутизаторов. (рис.2.12).

Рис. 2.12. Интерсеть, состоящая из сетей, построенных на основе повторителей и маршрутизаторов

У маршрутизаторов гораздо больше шансов решить проблему фильтрации трафика, так как они анализируют заголовки сетевого и при необходимости транспортного уровней и имеют гораздо больше информации для принятия решения.

Первая волна массового применения коммутаторов создала иллюзию того, что на коммутаторах можно строить локальные сети практически любых размеров. Примером такого подхода служит сеть компании Circus, проект которой создавался с участием сотрудников BayNetworks и тем не менее не включил маршрутизацию в локальные сети здания. Однако, скоро пришло понимание того, что только объединить сегменты и узлы недостаточно, нужно также создать между ними надежные и гибкие барьеры. А эту задачу маршрутизаторы традиционно делали неплохо, поэтому они вернулись в локальные сети. Однако, коммутаторы внесли в решение проблемы "объединения-разъединения" новый механизм - технологию виртуальных сетей (VirtualLAN, VLAN). С появлением этой технологии отпала необходимость образовывать изолированные сегменты физическим путем - его заменил программный способ, более гибкий и удобный.

2.3.1. Что такое "виртуальные локальные сети", когда их нужно применять

Виртуальной сетью называется группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети.


Это означает, что передача кадров между разными виртуальными сегментами на основании адреса канального уровня невозможна, независимо от типа адреса - уникального, группового или широковещательного. В то же время внутри виртуальной сети кадры передаются по технологии коммутации, то есть только на тот порт, который связан с адресом назначения кадра.

Виртуальные сети - это логическое завершение процесса повышения гибкости механизма сегментации сети, первоначально выполняемого на физически раздельных сегментах. Так как при изменении состава сегментов (переход пользователя в другую сеть, дробление крупных сегментов) при таком подходе приходится производить физическую перекоммутацию разъемов на передних панелях повторителей или в кроссовых панелях, то в больших сетях это превращается в постоянную и обременительную работу, которая приводит к многочисленным ошибкам в соединениях.

Промежуточным этапом совершенствования технологии сегментации стали многосегментные повторители (рис.2.13). В наиболее совершенных моделях таких повторителей приписывание отдельного порта к любому из внутренних сегментов производится программным путем, обычно с помощью удобного графического интерфейса. Примерами таких повторителей могут служить концентратор Distributed 5000 компании BayNetworks и концентратор PortSwitch компании 3Com. Программное приписывание порта сегменту часто называют статической или конфигурационной коммутацией.



Рис. 2.13. Многосегментный повторитель с конфигурационной коммутацией

Однако, решение задачи изменения состава сегментов с помощью повторителей накладывает некоторые ограничения на структуру сети - количество сегментов такого повторителя обычно невелико, поэтому выделить каждому узлу свой сегмент, как это можно сделать с помощью коммутатора, нереально. Поэтому сети, построенные на основе повторителей с конфигурационной коммутацией, по прежнему основаны на разделении среды передачи данных между большим количеством узлов, и, следовательно, обладают гораздо меньшей производительностью по сравнению с сетями.


построенными на основе коммутаторов.

При использовании технологии виртуальных сетей в коммутаторах одновременно решаются две задачи:


  1. повышение производительности в каждой из виртуальных сетей, так как коммутатор передает кадры в такой сети только узлу назначения;
  2. изоляция сетей друг от друга для управления правами доступа пользователей и создания защитных барьеров на пути широковещательных штормов.


Для связи виртуальных сетей в интерсеть требуется привлечение сетевого уровня. Он может быть реализован в отдельном маршрутизаторе, а может работать и как программный модуль в составе коммутатора.

При создании виртуальных сетей на основе одного коммутатора обычно используется механизм группирования в сети портов коммутатора (рис.2.14).



Рис. 2.14. Виртуальные сети, построенные на одном коммутаторе

Это логично, так как виртуальных сетей, построенных на основе одного коммутатора, не может быть больше, чем портов. Если к одному порту подключен сегмент, построенный на основе повторителя, то узлы такого сегмента не имеет смысла включать в разные виртуальные сети - все равно трафик этих узлов будет общим.

Создание виртуальных сетей на основе группирования портов не требует от администратора большого объема ручной работы - достаточно каждый порт приписать к нескольким заранее проименованным виртуальным сетям. Обычно такая операция выполняется путем перетаскивания мышью графических символов портов на графические символы сетей.

Маршрутизатор, объединяющий виртуальные сети, должен быть подключен одним портом к порту коммутатора, принадлежащего одной виртуальной сети, а другим - к другой виртуальной сети.


Содержание раздела