VLAN-овете са тема, при която буквално не можете да си позволите грешка при настройването им. Затова е много важно да разберете как VLAN-овете работят на най-ниското ниво. Тази статия може и да не навлиза в основите на VLAN-овете, но ще ви даде доста добра представа за това какво представляват VLAN-овете, как работят и как да ги настроите.
1. Какво е VLAN?
VLAN е съкращение от Virtual Local Area Network и в лесни думи е много разпространен начин за разделяне на мрежи на суичове. Обикновено, ако искате да разделите мрежи, трябва физически да изградите различни сегменти на мрежата (например една цяла мрежа за служители, една за гости и т.н.) и да ги пускате паралелно. Чрез VLAN-ове можете да използвате една и съща мрежова инфраструктура, за да пренасяте множество мрежи едновременно. Това позволява създаването на виртуални мрежи върху реалните физически мрежови устройства.
За да направим аналогия: докато подмрежите (subnets) са начин за разделяне на мрежи в рутери или т.нар. "устройства от слой 3" (Layer-3-devices), които са базирани на IP, VLAN-овете правят нещо много подобно при устройства от слой 2 (Layer-2-devices) в MAC-базирани мрежи.
Правилата и стандартите за реализиране на VLAN са класифицирани от организацията IEEE в стандарта IEEE 802.1q.
2. И така, как всъщност работи VLAN?
VLAN, опростено казано, работи чрез тагове. Тагът се състои от няколко допълнителни байта, прикрепени към всеки кадър с данни, които включват информация като членството във VLAN:
Най-важната част, върху която ще се фокусираме, е VID, идентификаторът на VLAN. Това число от 1 до 4096 просто показва "към кой VLAN принадлежи кадърът".
Тагирането е много ефективен начин за контролиране на това кой кадър към кой VLAN принадлежи.
За да разберете как VLAN-овете работят на практика, си представете, че създавате лента за мрежов трафик, когато настройвате VLAN в суич. Всяка лента е отделена, работи паралелно и е свързана с различни портове, назначени на тази лента. "Назначението към лентата" е нашето членство във VLAN. Как да го настроите е описано в много различни статии, свързани в края на тази статия. Но тук е графичното му представяне:
Можете да видите лентите, които минават през суичовете и след това отиват към съответния порт на суича, който е назначен с това членство. Така че, след като кадърът влезе в суича с определен VLAN, той може да комуникира с всеки порт, който има членство в този VLAN. Но как един кадър става назначен към VLAN10, 20 или 30?
3. Входящ трафик във VLAN-ове
Определянето към кой VLAN ще бъде назначен входящият кадър зависи от това дали входящият кадър вече има VLAN таг, зададен от изходното му устройство. Ако има VLAN таг, се прочита съдържанието на VID. Ако VID съвпада с номера на тагнатото членство на порт на суича, кадърът ще бъде допуснат "в лентата". Но много по-интересно е да разберем какво се случва с напълно нетагнати Ethernet кадри. Тук влиза в действие т.нар. PVID (Port-Based VLAN ID). PVID е отговорен за избора на правилната лента, върху която да се поставят кадри, които са входящи и нетагнати - PVID се прилага само върху кадри, които отговарят на тези два критерия. Порт, назначен с PVID 1, ще назначи нетагнатия входящ трафик към VLAN1, за да "пусне трафика в лента #1".
По подразбиране всички портове на мрежови устройства и суичове са настроени с PVID 1 и (нетагнато членство в VLAN1). Това означава, че по подразбиране, ако свържете компютър към суич без да правите конфигурация, и той е свързан към шлюз, тогава благодарение на PVID1 и нетагнатото членство във VLAN1 устройствата могат веднага да комуникират помежду си, тъй като предварителната настройка ги поставя в една и съща мрежа.
Нека разгледаме още една визуализация:
На пръв поглед това може да изглежда по-хаотично, отколкото е: всъщност и двата порта, свързани към компютъра и шлюза, споделят по подразбиране членство във VLAN1 (нетагнато членство -> ще бъде обяснено по-нататък) и PVID1.
Ако компютърът изпрати трафик към шлюза, PVID1 на долния порт на суича ще назначи трафика към "лентата" за VLAN1, позволявайки му да комуникира с горния порт на суича, тъй като членството във VLAN1 е зададено. В сравнение с тагнато членство, нетагнатото членство решава дали VLAN тагът ще бъде добавен или не, маркиран с VID=1 (тагнат член) или без VLAN таг (нетагнат член). В този случай, тъй като горният порт е нетагнат, няма да бъде добавен таг. След това шлюзът може да отговори на този входящ пакет и да го изпрати обратно - също нетагнат, тъй като шлюзът все още няма конфигурирана VLAN осведоменост. Отново, PVID1, този път на горния порт на суича, ще назначи кадъра към "лентата VLAN1", позволявайки отново комуникация, сега към долния порт на суича поради споделеното членство във VLAN. Отново няма да бъде добавен таг поради нетагнатото членство, което прави кадъра приемлив за компютъра, който не може да чете VLAN таг информация. По този начин се осъществява комуникация между шлюза и клиентското устройство.
4. Заключителни мисли и полезни връзки
Разбирането на този основен принцип на VLAN е ключова стъпка за вземането на правилни решения при настройването на VLAN. Разбира се, ние само надраскваме повърхността на тази тема, но се надяваме, че това ще ви даде добра отправна точка за реално разбиране на VLAN-овете и разликата между PVID и членствата във VLAN.
По-долу може да намерите някои статии, свързани с настройването на VLAN-ове на разнообразно оборудване от нашето портфолио:
VLAN-ове - Тагнати VLAN-ове срещу PVID (пример за настройка на нетагнат/тагнат VLAN)
Как да конфигурирате VLAN на устройство USG
Коментари
0 коментараВлезте в услугата, за да оставите коментар.