Чем отличается vlan от lan
Обновлено: 02.07.2024
VLAN (Virtual Local Area Network) - это технология, позволяющая объединять устройства в сети в сегменты на основе функций, приложений или требований управления. Виртуальные сегменты могут формироваться в независимости от физического расположения устройств. VLAN имеют те же свойства, что и физические LAN, за исключением того, что VLAN представляет собой логическое объединение, а не физическое. Поэтому во VLAN можно объединять устройства, независимо от того, где они находятся физически, а широковещательный, многоадресный и одноадресный трафик в одном VLAN отделен от других VLAN.
Стандарт IEEE 802.1Q определяет процедуру передачи трафика VLAN.
Основная идея технологии VLAN заключается в том, что большая локальная сеть может быть динамически разделена на отдельные широковещательные области, удовлетворяющие различным требованиям, каждый VLAN представляет собой отдельный широковещательный домен.
Рисунок 19.1 - логическое разделение сети на VLAN
Благодаря этим функциям технология VLAN предоставляет следующие возможности:
- Повышение производительности сети;
- Сохранение сетевых ресурсов;
- Оптимизация сетевого управления;
- Снижение стоимости сети;
- Повышение безопасности сети;
Ethernet-порт коммутатора может работать в трех режимах: Access, Trunk и Hybrid, каждый режим имеет различный метод обработки при передаче кадров с тэгом или без.
Порт в режиме Access относится только к одному VLAN, обычно используется для подключения конечных устройств, таких как персональный компьютер или WI-FI маршрутизатор в квартире или офисе.
Порт в режиме Trunk относится к нескольким VLAN и может принимать и отправлять кадры одновременно в нескольких VLAN. Обычно используется для соединения коммутаторов.
Порт в режиме Hybrid, также как и Trunk, относится к нескольким VLAN и может принимать и отправлять кадры одновременно в нескольких VLAN. Может использоваться как для подключения персональных компьютеров, так и для соединения коммутаторов.
Ethernet-порты в режимах Hybrid и Trunk могут принимать данные одним, но отправляют разными способами: Hybrid порт может отправлять пакеты в нескольких VLAN в нетэгированном виде, в то время как Trunk может отправлять трафик в нескольких VLAN только с тэгом, за исключением nativeVLAN.
1.2. Конфигурация VLAN
- Создание и удаление VLAN
- Назначение и удаление имени VLAN
- Назначение портов коммутатора для VLAN
- Выбор типа порта коммутатора
- Настройка порта в режиме Trunk
- Настройка порта в режиме Access
- Настройка порта в режиме Hybrid
- Включение/выключение vlan ingress rules глобально
- Настройка private vlan
- Настройка ассоциаций private vlan
1. Создание и удаление VLAN
Команда
Описание
! В режиме глобальной конфигурации
Cоздание VLAN, вход в режим конфигурирования VLAN
2. Назначение и удаление имени VLAN
Команда
Описание
no name <Vlan-name>
! В режиме конфигурации VLAN
Назначение имени VLAN
Удаление имени VLAN
3. Назначение портов коммутатора для VLAN
Команда
Описание
switchport interface <interface-list>
no switchport interface <interface-list>
! В режиме конфигурации VLAN
Добавление портов коммутатора во VLAN
Удаление портов коммутатора из VLAN
4. Выбор типа порта коммутатора
Команда
Описание
switchport mode <trunk|access|hybrid>
! В режиме конфигурации порта
Установка текущего порта в режим Trunk, Access или Hybrid
5. Настройка порта в режиме Trunk
Команда
Описание
switchport trunk allowed vlan
no switchport trunk allowed vlan
! В режиме конфигурации порта
Добавление VLAN в Trunk
Вернуть значение по-умолчанию
switchport trunk native vlan <vlan-id>
no switchport trunk native vlan
! В режиме конфигурации порта
установка PVID для интерфейса
возвращение значений по-умолчанию
6. Настройка порта в режиме Access
Команда
Описание
switchport access vlan <Vlan-id>
no switchport access vlan <Vlan-id>
! В режиме конфигурации порта
Добавление текущего порта в определенный VLAN.
Вернуть значение по-умолчанию
7. Настройка порта в режиме Hybrid
Команда
Описание
switchport hybrid allowed vlan <WORD| all| add WORD><tag|untag>
no switchport hybrid allowed vlan
! В режиме конфигурации порта
Создание/удаление VLAN, вход в режим конфигурирования VLAN
switchport hybrid native vlan <vlan-id>
no switchport hybrid native vlan
! В режиме конфигурации порта
установка PVID для интерфейса
возвращение значений по-умолчанию
8. Включение/выключение vlan ingress rules глобально
Команда
Описание
vlan ingress enable <Vlan-id>
no ingress disable <Vlan-id>
! В режиме конфигурации порта
Включение VLAN ingress rules
выключение VLAN ingress rules
9. Настройка private vlan
Команда
Описание
no private vlan
! В режиме конфигурации VLAN
Настройка текущего vlan в качестве Private VLAN.
Возвращение настроек по-умолчанию
10. Настройка ассоциаций private vlan
Команда
Описание
private vlan association <secondary-vlan-list>
no private vlan association <Vlan-id>
! В режиме конфигурации VLAN
Выбрать vlan для ассоциации с private vlan
1.3. Пример конфигурации VLAN
Сценарий:
Рисунок 19.2 - Топология для примера настройки VLAN
Представленная на рисунке 19.2, сеть разделена на 3 VLAN: VLAN2, VLAN100, VLAN200 по используемым приложениям, а также по соображениям безопасности. Эти VLAN расположены в разных локациях: A и B. Каждый из двух коммутаторов размещен в своей локации. Устройства в разных локациях могут быть объединены виртуальную локальную сеть, если трафик будет передаваться между коммутаторами A и B.
пункт конфигурации
описание
Коммутатор A и B: порт 2-4
Коммутатор A и B: порт 5-7
Коммутатор A и B: порт 11
Соедините порты в режиме trunk на коммутаторах A и B друг с другом, подключите остальные сетевые устройства к соответствующим портам.
Коммутатор A:
Коммутатор B:
1.3.1. Пример конфигурации Hybrid порта
Сценарий:
Рисунок 19.3 - Пример применения Hybrid Port
ПК 1 подключен к интерфейсу Ethernet 1/0/7 Коммутатора “Switch B”, ПК2 подключен к интерфейсу Ethernet 1/0/9 коммутатора “Switch B”, интерфейс Ethernet 1/0/10 “Switch A” подключен к порту Ethernet 1/0/10 коммутатора “Switch B”
Для безопасности ПК1 и ПК2 не должны иметь возможность взаимодействовать друг с другом, но должны иметь доступ к сетевым ресурсам, находящимся за “Switch A”.
LAN (локальная сеть) представляет собой набор сетевых устройств, которые используют связь между подключенными устройствами. По аналогии, VLAN (виртуальная локальная сеть) - это тип ЛВС, расширяющий во
Содержание
LAN (локальная сеть) представляет собой набор сетевых устройств, которые используют связь между подключенными устройствами. По аналогии, VLAN (виртуальная локальная сеть) - это тип ЛВС, расширяющий возможности плоской ЛВС. Теперь, как их можно различить? Между LAN и VLAN есть существенные различия, например, LAN работает в одном широковещательном домене, а VLAN работает в множественном широковещательном домене. VLAN может объединять конечные станции, имеющие схожие требования, независимо от их физического местоположения, что невозможно в случае LAN.
Основная потребность внедрения VLAN - это разделение сетей. Сети разделены на рабочие станции внутри LAN, чтобы исключить перегрузку и нагрузку. Ранее базовая ЛВС ограничивалась своими возможностями и вызывала перегрузку в сети. Виртуальную локальную сеть можно создать только с помощью коммутаторов или мостов, в то время как в локальной сети используются концентраторы, коммутаторы и маршрутизаторы.
Сравнительная таблица
| Основа для сравнения | LAN | VLAN |
|---|---|---|
| Стенды для | Локальная сеть | Виртуальная локальная сеть |
| Используемые устройства | Концентратор, коммутатор и роутер. | Переключатель и мост. |
| Контроль трансляции | Пакет транслируется на каждое устройство. | Отправляет пакет в указанный широковещательный домен. |
| Задержка | Высоко | Низкий |
| Безопасность | Недостаточно безопасен, и меры безопасности принимаются только на стороне маршрутизатора. | Повышает безопасность за счет ограничения широковещательного домена. |
| Гибкость и масштабируемость | Фильтр только кадров и менее масштабируемый. | Задает порт и протоколы для идентификации кадра. |
| Стоимость | Выше сравнительно. | Меньше |
| Область отказа | Менее эффективен по сравнению с VLAN. | Обеспечивает лучшую производительность и эффективность, чем обычная локальная сеть. |
| Сетевой механизм (используемые протоколы) | Стандартные протоколы Ethernet, такие как Token Ring и FDDI. | Стандартные протоколы, включая ISP и VTP. |
Определение LAN
LAN (локальная сеть) представляет собой набор компьютеров, связанных друг с другом для связи друг с другом, и он ограничен определенной географической областью. Зона покрытия может быть зданием, офисом, школой и т. Д. Это наименее дорогой тип сети, поскольку он включает в себя недорогие кабели и сетевые устройства. Он обеспечивает совместное использование ресурсов и информации, таких как файлы, программные приложения, камеры, принтеры и т. Д. Даже если ресурс недоступен локально, он может предоставлять ресурсы удаленно. Управление локальной сетью осуществляется централизованно (центральное администрирование).
Для работы LAN требуются некоторые важные компоненты:
Интерфейс к сети- Сюда входят компьютер и электронные устройства, которые функционируют как конечные точки в сети для отправки и получения данных.
Взаимосвязи - Это облегчает перемещение данных из одного места в другое. NIC и сетевые носители являются частью взаимосвязи. Функция NIC (карта сетевого интерфейса) заключается в преобразовании данных в форму, которая может быть передана по локальной сети. В кабели а также беспроводной СМИ - это сетевые СМИ используется для передачи сигналов.
Сетевые устройства - Концентраторы, коммутаторы и маршрутизаторы - это сетевые устройства. Эти устройства действуют как устройство сборки, которое соединяет сопрягающие устройства или сегменты LAN. Концентратор и коммутатор являются устройством уровня 2, а маршрутизатор работает на сетевом уровне, то есть на уровне 3.
Протоколы - Контролирует передачу данных по локальной сети. Например, такие протоколы, как IP, ARP, DHCP и т. Д.
По сути, есть два типа LAN: проводной LAN и беспроводной LAN. Проводная локальная сеть включает 10BaseT, быстрый и Gigabit Ethernet и т. Д.
Определение VLAN
В отличие от LAN, VLAN (виртуальная локальная сеть) представляет собой логическое разделение LAN, в котором несколько сегментов LAN создаются в пределах одной полосы пропускания. Особенность Виртуальной ЛВС заключается в том, что сегменты ЛВС, построенные в ЛВС, могут быть объединены и сокращены в соответствии с требованиями. Такое разделение единого широковещательного домена увеличивает пропускную способность. Это устраняет необходимость в установке нескольких разных коммутаторов для различных подсетей организации.
VLAN предлагает большую гибкость, поскольку порты также могут переключаться при необходимости. Это значительно снижает стоимость, поскольку устраняет необходимость в покупке дорогих коммутаторов для разделения подсетей в сети. VLAN должна реализовывать иерархическую схему сетевой адресации, с помощью которой IP-адреса могут быть назначены сетевому сегменту или VLAN систематическим образом.
Членство в VLAN
Статическая VLAN - В этом типе создания VLAN, VLAN назначается порту вручную. Эта статическая конфигурация считается наиболее безопасным способом создания VLAN, поскольку она не изменяется до тех пор, пока сетевой администратор сам не изменит конфигурацию.
Динамический VLAN- В динамической конфигурации используется интеллектуальное программное обеспечение для автоматического назначения порту VLAN.
Вывод
VLAN - это расширение LAN, в котором возможности типичной LAN расширены за счет логического сегментирования LAN на несколько широковещательных доменов. Этот раздел логически создает множество локальных сетей в одном коммутаторе или мосте, что снижает трафик, стоимость и увеличивает производительность, удобство администрирования и безопасность. Это также обеспечивает простоту поиска и устранения неисправностей и управления.
Я чувствую, что эти концепции сбивают людей с толку и сбивают с толку. Ниже приводится наиболее распространенный маршрутизатор, объясняющий эти концепции.
LAN, полное имя - Local Area Network, а на китайском языке -локальная сеть。
Как следует из названия, LAN относится к группе компьютеров, соединенных между собой несколькими компьютерами в определенной области. Обычно в пределах нескольких километров. Локальная сеть может реализовывать такие функции, как управление файлами, совместное использование программного обеспечения, совместное использование принтеров, планирование в рабочих группах, услуги электронной почты и факсимильной связи. Локальная сеть является закрытой и может состоять из двух компьютеров в офисе или из тысяч компьютеров в компании.
Когда дело доходит до маршрутизаторов, наша общая сеть представляет собой сеть LAN, и пользователи общаются и передают файлы в этой сети.
Он получает внутренний IP-адрес, а внутренняя часть локальной сети - это коммутатор. Мы можем использовать роутер как обычный коммутатор без подключения к WAN-порту.
Часто используемые сценарии LAN:
1. Подключите сетевой кабель компьютера, который необходимо вставить в порт LAN маршрутизатора.
2. Вторичная маршрутизация обычно выполняется от порта LAN вышестоящей маршрутизации.
Как правило, порт LAN маршрутизатора будет отличаться от порта WAN цветом, изображенным на картинке. Как правило, количество портов LAN будет больше, чем портов WAN.
WAN, полное название - Wide Area Network, а на китайском - Wide Area Network.
WAN - это совокупность компьютерных сетей, охватывающих большие и региональные территории. Обычно в провинциях, городах или даже стране. WAN включает в себя подсети разных размеров.Подсеть может быть локальной или небольшой WAN.
WAN: используется для подключения к внешнему IP-адресу, обычно относящемуся к исходящему, для пересылки IP-пакетов данных из внутреннего интерфейса LAN.
В основном каждый маршрутизатор имеет порт WAN, и, конечно, есть особые случаи, такие как маршрутизатор-коты.
Сценарии применения WAN:
2. Дополнительный маршрутизатор, сетевой кабель верхнего уровня подключен к WAN-порту дополнительного маршрутизатора.
Как правило, маршрутизаторы имеют один порт WAN, а также есть маршруты для нескольких портов WAN.
WLAN, полное название Wireless LAN, беспроводная локальная сеть.
В отличие от LAN, данные WLAN передаются посредством электромагнитных волн, что обычно называется воздушной передачей. WLAN использует электромагнитные волны для отправки и получения данных в воздухе без необходимости использования кабеля.
WLAN использует для связи диапазон частот радиовещания ISM (промышленный, научный, медицинский). Стандарт WLAN 802.11a использует полосу частот 5 ГГц и поддерживает максимальную скорость 54 Мбит / с, тогда как стандарты 802.11b и 802.11g используют полосу частот 2,4 ГГц, которая поддерживает максимальные скорости 11 Мбит / с и 54 Мбит / с соответственно. Последний 11AC неожиданно достиг 1,3 Гбит / с.
Wireless Fidelity - это беспроводная локальная сеть, основанная на стандарте IEEE 802.11b, который является просто частью wlan, но с популярностью WiFi многие люди также приравнивают WiFi к WLAN.
Виртуализацией сегодня уже никого не удивить. Эта технология прочно вошла в нашу жизнь и помогает более эффективно использовать имеющиеся ресурсы, а также обеспечивает достаточную гибкость в изменении существующей конфигурации, позволяя перераспределять ресурсы буквально налету. Не обошла виртуализация и локальные сети. Технология VLAN (Virtual Local Area Network) позволяет создавать и гибко конфигурировать виртуальные сети поверх физической. Это позволяет реализовывать достаточно сложные сетевые конфигурации без покупки дополнительного оборудования и прокладки дополнительных кабелей.
Прежде чем продолжить сделаем краткое отступление о работе локальных сетей. В данном контексте мы будем говорить об Ethernet-сетях описанных стандартом IEEE 802.3, куда входят всем привычные проводные сети на основе витой пары. Основой такой сети является коммутатор (свич, switch), который работает на втором уровне сетевой модели OSI (L2).
Второй уровень, он же канальный, работает в пределах одного сегмента сети и использует для адресации уникальные физические адреса оборудования - MAC-адреса. Передаваемая между узлами информация разделяется на специальные фрагменты - Ethernet-кадры (фреймы, frame), которые не следует путать с IP-пакетами, которые находятся на более высоком уровне модели OSI и передаются внутри Ethernet-кадров. Таким образом коммутатор ничего не знает об IP-адресах и никак эту информацию в работе не учитывает.
Коммутатор анализирует заголовки каждого входящего кадра и заносит соответствие MAC-адреса источника в специальную MAC-таблицу, после чего кадр, адресованный этому узлу, будет направляться сразу на определенный порт, если МАС-адрес получателя неизвестен, то кадр отправляется на все порты устройства. После получения ответа коммутатор привяжет MAC-адрес к порту и будет отправлять кадры только через него.
Этим достигается возможность одновременной передачи данных по нескольким портам одновременно и увеличивается безопасность сети, так как данные будут передаваться только на требуемый порт. Одновременно передавать данные через порт коммутатора может только один узел сети. Попытка одновременно передавать несколько кадров в одном сегменте сети называется коллизией, а такой сегмент - доменом коллизий. Чем больше устройств в домене коллизий, тем медленнее работает сеть.
Коммутатор позволяет разделять домен коллизий на отдельные домены по числу портов, таким образом каждый порт коммутатора - это отдельный домен коллизий и в каждом из них данные могут передаваться одновременно, не мешая друг другу.
Совокупность доменов коллизии, соединенных на втором уровне, является широковещательным доменом, если говорить проще, то широковещательный домен - это совокупность всех портов коммутаторов соединенных в один сегмент.
Как мы уже говорили выше, к широковещанию прибегает сам коммутатор, когда получает кадр MAC-адрес которого отсутствует в MAC-таблице, а также узлы сети, отправляя кадры на адрес FF:FF:FF:FF:FF:FF, такие кадры будут доставлены всем узлам сети в широковещательном сегменте.
А теперь вернемся немного назад, к доменам коллизий и вспомним о том, что в нем может передаваться только один кадр одновременно. Появление широковещательных кадров снижает производительность сети, так как они доставляются и тем, кому надо и тем, кому не надо. Делая невозможным в это время передачу целевой информации. Кроме того, записи в MAC-таблице имеют определенное время жизни, по окончании которого они удаляются, что снова приводит к необходимости рассылки кадра на все порты устройства.
Чем больше в сети узлов, тем острее стоит проблема широковещания, поэтому широковещательные домены крупных сетей принято разделять. Это уменьшает количество паразитного трафика и увеличивает производительность, а также повышает безопасность, так как ограничивает передачу кадров только своим широковещательным доменом.
Как это можно сделать наиболее простым образом? Установить вместо одно коммутатора два и подключить каждый сегмент к своему коммутатору. Но это требует покупки нового оборудования и, возможно, прокладки новых кабельных сетей, поэтому нам на помощь приходит технология VLAN.
Данная технология описана стандартом 802.1Q и предусматривает добавление к заголовкам кадра дополнительного поля, которое содержит в том числе определенную метку (тег) с номером виртуальной сети - VLAN ID, всего можно создать 4094 сети, для большинства применений этого достаточно.
Каждый VLAN обозначается собственным номером, который является идентификатором виртуально сети. Порты, которые не настроены ни для какого VLAN считаются принадлежащими Native VLAN, по умолчанию он обычно имеет номер 1 (может отличаться у разных производителей), поэтому не следует использовать этот номер для собственных сетей. Порты, настроенные нами для работы с VLAN, образуют как-бы два отдельных виртуальных коммутатора, передавая кадры только между собой. Каким образом это достигается?
Как мы уже говорили выше, каждый кадр 802.1Q содержит дополнительное поле, в котором содержится тег - номер виртуальной сети. При входе Ethernet-кадра в коммутатор с поддержкой VLAN (такой трафик называется входящим - ingres) в его состав добавляется поле с тегом. При выходе из коммутатора (исходящий трафик - egress), данное поле из кадра удаляется, т.е. тег снимается. Все кадры внутри маршрутизатора являются тегированными. Если трафик пришел на порт, не принадлежащий ни одному VLAN, он получает тег с номером Native VLAN.
В порт, принадлежащий определенному VLAN, могут быть отправлены только пакеты с тегом, принадлежащим этому VLAN, остальные будут отброшены. Фактически мы только что разделили единый широковещательный домен на несколько меньших и трафик из одного VLAN никогда не попадет в другой, даже если эти подсети будут использовать один диапазон IP. Для конечных узлов сети такой коммутатор нечем ни отличается от обычного. Вся обработка виртуальных сетей происходит внутри.
Такие порты коммутатора называются портами доступа или нетегированными портами (access port, untagged). Обычно они используются для подключения конечных узлов сети, которые не должны ничего знать об иных VLAN и работать в собственном сегменте.
А теперь рассмотрим другую картину, у нас есть два коммутатора, каждый из которых должен работать с обоими VLAN, при этом соединены они единственным кабелем и проложить дополнительный кабель невозможно. В этом случае мы можем настроить один или несколько портов на передачу тегированного трафика, при этом можно передавать как трафик любых VLAN, так и только определенных. Такой порт называется магистральным (тегированным) или транком (trunk port, tagged).
Магистральные порты используются для соединения сетевого оборудования между собой, к конечным узлам сети тегированный трафик обычно не доставляется. Но это не является догмой, в ряде случаев тегированный трафик удобнее доставить именно конечному узлу, скажем, гипервизору, если он содержит виртуальные машины, принадлежащие разным узлам сети.
Так как кадр 802.1Q отличается от обычного Ehternet-кадра, то работать с ним могут только устройства с поддержкой данного протокола. Если на пути тегированного трафика попадется обычный коммутатор, то такие кадры будут им отброшены. В случае доставки 802.1Q кадров конечному узлу сети такая поддержка потребуется от сетевой карты устройства. Если на магистральный порт приходит нетегированный трафик, то ему обычно назначается Native VLAN.
Кроме указанных двух портов доступа существует еще одна разновидность - гибридный порт (hybrid port), его реализация и наименование у разных производителей сетевого оборудования может быть разным, но суть от этого не меняется. Такой порт передает как тегированный, так и нетегированный трафик. Для этого в его настройках указывается Default VLAN ID и для всех кадров этого VLAN данный порт работает как порт доступа, т.е для исходящего трафика указанного VLAN тег снимается, а входящему кадру без тега, наоборот, присваивается. Трафик остальных VLAN передается с тегами.
Для чего это нужно? Наиболее частое применение - это IP-телефоны со встроенным коммутатором, которые умеют работать с тегированным трафиком, но не умеют передавать его дальше. В этом случае в качестве VLAN ID по умолчанию устанавливается номер VLAN в котором расположены пользовательские ПК, а для телефона на этот же порт добавляется тегированный трафик VLAN для телефонии.
Все это время мы говорили только о VLAN, не поднимая вопроса: как попасть из одного VLAN в другой. Если продолжать рассматривать канальный уровень - то никак. Каждый VLAN мы можем рассматривать как отдельный физический коммутатор, а магистральный канал - как жгут кабелей между ними. Только все это сделано виртуально, на более высоком уровне абстракции, чем L1 - физический уровень, который как раз представлен кабелями и физическим оборудованием.
Если мы соединим два физических коммутатора кабелем - то получим расширение широковещательного домена на все порты этих устройств, а это совсем не то, что нам нужно. В тоже время сетевые устройства работают на более высоких уровнях модели ОSI, начиная с сетевого - L3. Здесь уже появляется понятие IP-адреса и IP-сетей. Если смотреть на VLAN с этого уровня, то они ничем не отличаются от физических сегментов сетей. А что мы делаем, когда нам нужно попасть из одной сети в другую? Ставим маршрутизатор.
Маршрутизатор или роутер - устройство, работающее на третьем уровне модели OSI и умеющее выполнять маршрутизацию трафика, т.е. поиск оптимального пути для доставки его получателю. И здесь мы говорим уже не о Ethernet-кадрах, а об IP-пакетах. Маршрутизация между VLAN называется межвлановой (межвланной) маршрутизацией (InterVLAN Routing), но, по сути, она ничем не отличается от обычной маршрутизации между IP-подсетями.
Для обеспечения связи между сетями в нашей схеме появляется новая сущность - маршрутизатор, как правило к нему от одного из коммутаторов идет магистральный канал (транк), содержащий все необходимые VLAN, эта схема называется роутер на палочке (леденец, Router-on-a-Stick).
Все кадры, попадающие с порта доступа в коммутатор, получают тег с VLAN ID 40 и могут покинуть коммутатор только через порты, принадлежащие этому VLAN или транк. Таким образом любые широковещательные запросы не уйдут дальше своего VLAN. Получив ответ узел сети формирует кадр и отправляет его адресату. Далее в дело снова вступают коммутаторы, сверившись с MAC-таблицей они отправляют кадр в один из портов, который будет либо принадлежать своему VLAN, либо будет являться магистральным. В любом случае кадр будет доставлен по назначению без использования маршрутизатора, только через коммутаторы.
Совсем иное дело, если узел одного из VLAN хочет получить доступ к узлу другого VLAN. В нашем случае узел из красной сети (VLAN ID 30) хочет получить доступ к узлу синей сети (VLAN ID 40). Узел источник знает IP-адрес адресата и также знает, что этот адрес не принадлежит его сети. Поэтому он формирует IP-пакет на адрес основного шлюза сети (роутера), помещает его в Ethernet-кадр и отправляет на порт коммутатора. Коммутатор добавляет к кадру тег с VLAN ID 30 и доставляет его роутеру.
Таким образом любой трафик внутри VLAN доставляется только с помощью коммутаторов, а трафик между VLAN всегда проходит через маршрутизатор, даже если узлы находятся в соседних физических портах коммутатора.
Говоря о межвлановой маршрутизации нельзя обойти вниманием такие устройства как L3 коммутаторы. Это устройства уровня L2 c некоторыми функциями L3, но, в отличие от маршрутизаторов, данные функции существенно ограничены и реализованы аппаратно. Этим достигается более высокое быстродействие, но пропадает гибкость применения. Как правило L3 коммутаторы предлагают только функции маршрутизации и не поддерживают технологии для выхода во внешнюю сеть (NAT) и не имеют брандмауэра. Но они позволяют быстро и эффективно осуществлять маршрутизацию между внутренними сегментами сети, в том числе и между VLAN.
Маршрутизаторы предлагают гораздо большее число функций, но многие из них реализуются программно и поэтому данный тип устройств имеет меньшую производительность, но гораздо более высокую гибкость применения и сетевые возможности.
При этом нельзя сказать, что какое-то из устройств хуже, каждое из них хорошо на своем месте. Если мы говорим о маршрутизации между внутренними сетями, в том числе и о межвлановой маршрутизации, то здесь предпочтительно использовать L3 коммутаторы с их высокой производительностью, а когда требуется выход во внешнюю сеть, то здесь нам потребуется именно маршрутизатор, с широкими сетевыми возможностями.
VLAN (Virtual Local Area Network, виртуальная локальная сеть) — это функция в роутерах и коммутаторах, позволяющая на одном физическом сетевом интерфейсе (Ethernet, Wi-Fi интерфейсе) создать несколько виртуальных локальных сетей. VLAN используют для создания логической топологии сети, которая никак не зависит от физической топологии.
Примеры использования VLAN
Объединение в единую сеть компьютеров, подключенных к разным коммутаторам.
Допустим, у вас есть компьютеры, которые подключены к разным свитчам, но их нужно объединить в одну сеть. Одни компьютеры мы объединим в виртуальную локальную сеть VLAN 1, а другие — в сеть VLAN 2. Благодаря функции VLAN компьютеры в каждой виртуальной сети будут работать, словно подключены к одному и тому же свитчу. Компьютеры из разных виртуальных сетей VLAN 1 и VLAN 2 будут невидимы друг для друга.
Разделение в разные подсети компьютеров, подключенных к одному коммутатору.
На рисунке компьютеры физически подключены к одному свитчу, но разделены в разные виртуальные сети VLAN 1 и VLAN 2. Компьютеры из разных виртуальных подсетей будут невидимы друг для друга.
Разделение гостевой Wi-Fi сети и Wi-Fi сети предприятия.
На рисунке к роутеру подключена физически одна Wi-Fi точка доступа. На точке созданы две виртуальные Wi-Fi точки с названиями HotSpot и Office. К HotSpot будут подключаться по Wi-Fi гостевые ноутбуки для доступа к интернету, а к Office — ноутбуки предприятия. В целях безопасности необходимо, чтобы гостевые ноутбуки не имели доступ к сети предприятия. Для этого компьютеры предприятия и виртуальная Wi-Fi точка Office объединены в виртуальную локальную сеть VLAN 1, а гостевые ноутбуки будут находиться в виртуальной сети VLAN 2. Гостевые ноутбуки из сети VLAN 2 не будут иметь доступ к сети предприятия VLAN 1.
Достоинства использования VLAN
Гибкое разделение устройств на группы
Как правило, одному VLAN соответствует одна подсеть. Компьютеры, находящиеся в разных VLAN, будут изолированы друг от друга. Также можно объединить в одну виртуальную сеть компьютеры, подключенные к разным коммутаторам.
Уменьшение широковещательного трафика в сети
Каждый VLAN представляет отдельный широковещательный домен. Широковещательный трафик не будет транслироваться между разными VLAN. Если на разных коммутаторах настроить один и тот же VLAN, то порты разных коммутаторов будут образовывать один широковещательный домен.
Увеличение безопасности и управляемости сети
В сети, разбитой на виртуальные подсети, удобно применять политики и правила безопасности для каждого VLAN. Политика будет применена к целой подсети, а не к отдельному устройству.
Уменьшение количества оборудования и сетевого кабеля
Для создания новой виртуальной локальной сети не требуется покупка коммутатора и прокладка сетевого кабеля. Однако вы должны использовать более дорогие управляемые коммутаторы с поддержкой VLAN.
Читайте также: