Некоторые пользователи не знают, но объединить компьютеры из разных сетей или выделить сегмент для конкретной сети достаточно просто. Эти вопросы связаны с использованием одной разработки – виртуальной сети или VLAN.
Расшифровка термина
VLAN (Virtual Local Area Network или Virtual LAN) – это виртуальная локальная сеть. Из слова «виртуальный» понятно, что физически она не существует. Если сказать точнее – это сегмент реальной сети, который объединён настройками в отдельную группу. Простейший пример: создание VLAN с помощью Hamachi, чтобы поверх Интернет реализовать небольшую локальную сеть для каких-то целей (в конкретном случае, для упрощения подключения в играх).
Более близкий пример для каждого пользователя – настройка VLAN на роутере. Такой настройке выделяется отдельный сегмент в интерфейсе. Использование этой возможности позволит ограничить, например, доступ к принтеру только для двух компьютеров или выделить IPTV устройство в отдельную подсеть (ограничивая доступ к нему с остальных устройств).
При организации ВиЛАН через роутер, автоматически создаётся Native VLAN, которая отделяется от созданной. Термин этот используется в стандарте 802.1Q и привязан к нетегированным (об этом позже) пакетам. Любой пакет, не имеющий тега автоматически отправляется в Native VLAN.
Назначение VLAN
Использование VLAN заключается в разделении или создании рабочих групп между компьютерами, которые расположены в разных физических сетях. В зависимости от реализации VLAN отличается по своему назначению и применению.
Рабочая группа между разными сетями
Самый яркий пример — который уже приводился ранее. Между несколькими компьютерами, которые расположены в разных частях света можно с помощью VLAN настроить домашнюю группу доступа (позволить быстрый обмен файлами) или предоставить доступ к общему хранилищу.
Пример использования. Выделение сотрудников в общую сеть во время работы над одним проектом, без физического перемещения их рабочих мест.
Разделение подсетей
Речь идёт о том, чтобы логически связать соседние компьютера, давая им разный доступ к ресурсам. Такой способ делает компьютера невидимыми кроме как для членов соответствующих сетей и позволяет разграничить доступ.
В предложенной реализации, VLAN2 имеет доступ к локальному хранилищу данных, но не имеет доступа к Интернет. В свою очередь VLAN1 имеет доступ к Интернет, но не к хранилищу данных. Такая реализация подойдёт, если требуется людям в одном кабинете предоставить разные возможности. Или отключить Интернет на компьютере у ребёнка.
Пример использования. Разграничение доступа в пределах организации. Нередко торговым представителям оставляют доступ к Интернету с рабочих ПК, чтобы иметь возможность связаться с клиентами. В то же время, остальным сотрудникам такой доступ не нужен, поэтому их выделяют в отдельную подсеть.
Разделение рабочих групп с ограничением доступа
Способ схожий с предыдущим, но выделяется отдельно, поскольку прост и интересен в своей реализации. В предыдущем способе используется две отдельные настроенные виртуальные сети. В этом, одна изолируется от другой. На изображении это подано максимально просто:
В данном случае сеть предприятия является NativeVLAN (1), а вот гостевая выделена, как VLAN2. Практически весь трафик, который идёт через роутер не имеет тэга. А вот при появлении тэга, характерного для VLAN2, происходит изолирование пакетов от сети VLAN1. Это довольно популярное решение, которое позволяет обезопасить предприятие от случайного вторжения со стороны гостей.
Пример использования. Сам способ и является примером, поскольку обеспечивает, как автономное функционирование и доступ к интернету предприятию и гостям.
Достоинства
Основные преимущества такого деления весьма просты и логичны, но не всегда очевидны. Они заслуживают отдельного внимания:
Экономия на физических устройствах и кабеле
Для построения VLAN не требуется закупать отдельные коммутаторы (на самом деле, такое требование может возникнуть, но их количество будет в разы меньше физического построения), дополнительные платы и прокладывать кабель.
Гибкое разделение устройств
Можно не только распределить сами устройства по сетям, но и легко переносить их между группами, изменяя права доступа к прочим ресурсам. Также, это позволяет объединить устройства, подключённые в разных частях организации (к разным коммутаторам) в одну сеть.
Примечание и пример. В одной организации на подпись начальнику подаются документы, которые печатаются из разных частей организации с помощью выделения принтеров в каждую VLAN. Сами принтера находятся у секретаря. Такой подход при огромной площади (около 40 км2) уменьшил время передачи документов.
Уменьшение широковещательного трафика
Существует такое явление, как служебный трафик. Он передаётся в пределах локальной сети и обрабатывается каждым узлом, что приводит к снижению пропускной способности канала. При работе с VLAN уменьшается количество этого трафика, что незначительно повышает эффективность физического взаимодействия компонентов.
Безопасность и управление
Каждый из указанных примеров намекал, что можно уменьшить риск передачи данных не туда. То есть, выделение отдельных ПК в единую VLAN не только позволяет легко изменять настройки для них, но и обезопасит остальную сеть. Яркий пример такого решения в вопросах безопасности – гостевой Wi-Fi.
Виды портов
Настройка VLAN процесс долгий и кропотливый. Это действие, которое требуется выполнить один раз, а потом просто следить и исправлять по необходимости. Когда речь идёт об одном коммутаторе, никаких проблем не возникает. По сути выходит, что к одному порту привязывается одна VLAN и работа кипит. Но, когда сводятся воедино несколько таких устройств, появляются разные нюансы. Связаны они с использованием тегированных и нетегированных портов.
Начнём с разбора простой схемы:
В ней имеется 2 VLAN и общая сеть (которая представлена совмещением обеих виртуальных, такую настройку тоже можно реализовать). SW1 и SW2 коммутаторы, которые связаны тегированными портами (21 и 22 соответственно). Фактически выходит, что при передаче данных используются эти же порты (коммутаторы соединены через них).
При передаче данных в пределах VLAN1 проставляется специальный флажок (тег), который считывается коммутатором и передаётся другому. С порта 21 на SW1 выходит непримечательный пакет, который принимается портом 22 на SW2. Приняв тегированный пакет коммутатор передаёт его как компонент VLAN1. Таким образом, данный пакет доступен для компьютеров G и H, но недоступен для E и F. Тегируются оба порта, чтобы иметь возможность взаимного обмена трафиком между сетями. В противном случае тег будет проигнорирован и передан всем устройствам на коммутаторе.
Это приводит к следующим определениям:
- Тегированный порт. Это такой порт, который выделен на коммутаторе для проверки наличия тэга виртуальной сети во входящих пакетах. Также, данный тип портов выполняет функцию добавления этих тегов. Что приводит к наличию внутренней классификации: тегированные принимающие (которые проверяют тег и принимают пакет при его наличии) и передающие (которые проставляют этот самый тег).
- Нетегированные порты. Это те порты, задача которых состоит в передаче всех типов пакетов, проходящих через коммутатор.
Транк
Это тип порта в коммутаторах CISCO. Он выполняет задачу передачи тегированного трафика между разными сегментами сети. На конкретном примере это выглядит следующим образом:
Между коммутаторами, где установлена VLAN добавляется ещё один. Его задачей служит обеспечение обмена данными. Транковые порты вместо проверки тега и вещания пакетов имеют свойство проверки и передачи по назначению. Остальной трафик попросту игнорируется. В результате чего происходит передача через транк с сохранением тега (словно промежуточного коммутатора и нет). Отличается транковый порт от тегированного исключительно тем, что самостоятельно вещание в сеть транком не производится (только передача пакетов при наличии тега).