VLAN — это тема, в которой вы просто не можете позволить себе ошибаться при настройке. Поэтому очень важно понять, как VLAN работают на самом базовом уровне. Эта статья не углубляется в фундаментальные основы VLAN, но даст вам довольно хорошее представление о том, что такое VLAN, как они работают и как их настроить.
1. Что такое VLAN?
VLAN — это аббревиатура от Virtual Local Area Network (виртуальная локальная сеть) и, проще говоря, это очень распространённый способ разделения сетей на коммутаторах. Обычно, если вы хотите разделить сети, вам нужно физически создать разные сетевые сегменты (например, одна сеть для сотрудников, другая для гостей и т.д.) и запускать их параллельно. С помощью VLAN вы можете использовать одну и ту же сетевую инфраструктуру для передачи нескольких сетей одновременно. Это позволяет создавать виртуальные сети поверх физических сетевых устройств.
Для аналогии: если подсети — это способ разделения сетей внутри маршрутизаторов или так называемых "устройств уровня 3" (IP-устройств), то VLAN делают очень похожее для устройств уровня 2 в сетях, основанных на MAC-адресах.
Правила и стандарты реализации VLAN классифицированы организацией IEEE в стандарте IEEE 802.1q.
2. Итак, как же на самом деле работает VLAN?
Упрощённо, VLAN работает через теги. Тег состоит из нескольких дополнительных байт, прикреплённых к любому кадру данных, которые включают информацию, такую как членство в VLAN:
Самая важная часть, на которой мы сосредоточимся, — это VID, идентификатор VLAN. Это число от 1 до 4096, которое просто указывает, к какой VLAN принадлежит кадр.
Тегирование — очень эффективный способ контролировать, к какой VLAN принадлежит кадр.
Чтобы понять, как VLAN работают на практике, представьте, что при настройке VLAN на коммутаторе вы создаёте отдельную полосу движения для сетевого трафика. Каждая полоса отделена, работает параллельно и подключена к разным портам, назначенным этой полосе. «Назначение полосе» — это наше членство в VLAN. Как это настроить, описано во многих статьях, ссылки на которые приведены в конце этой статьи. А вот графическое представление:
Вы видите полосы, проходящие через коммутаторы и идущие к портам, которым назначено соответствующее членство. Таким образом, когда кадр входит в коммутатор на определённой VLAN, он может обмениваться данными с любым портом, который является членом этой VLAN. Но как кадр становится кадром с назначением VLAN10, 20 или 30?
3. Входящий трафик на VLAN
Определение, к какой VLAN будет назначен входящий кадр, зависит от того, есть ли у него уже VLAN-тег, присвоенный исходным устройством. Если тег есть, читается содержимое VID. Если VID совпадает с номером тегированного членства порта коммутатора, кадр допускается «на полосу». Но гораздо интереснее узнать, что происходит с полностью нетегированными Ethernet-кадрами. Здесь в игру вступает так называемый PVID (Port-Based VLAN ID). PVID отвечает за выбор правильной полосы для кадров, которые входящие и нетегированные — PVID применяется только к кадрам, отвечающим этим двум критериям. Порт с назначенным PVID 1 присваивает нетегированному входящему трафику VLAN1, чтобы направить трафик «на полосу №1».
По умолчанию все порты сетевых устройств и коммутаторов настроены с PVID1 и (нетегированным членством в VLAN1). Это означает, что по умолчанию, если вы подключите компьютер к коммутатору без какой-либо вашей настройки, а тот, в свою очередь, подключён к шлюзу, то благодаря назначению PVID1 и нетегированному членству в VLAN1 устройства смогут сразу же обмениваться данными, поскольку предположение поместило их в одну сеть.
Давайте ещё раз посмотрим на визуализацию:
На первый взгляд это может показаться более хаотичным, чем есть на самом деле: оба порта, подключённые к ПК и шлюзу, имеют стандартное членство в VLAN1 (нетегированное членство — подробнее о нём чуть ниже) и PVID1.
Если ПК отправляет трафик на шлюз, PVID1 нижнего порта коммутатора назначит трафик на «полосу» VLAN1, позволяя ему обмениваться данными с верхним портом, поскольку у него есть членство в VLAN1. В отличие от тегированного членства, нетегированное членство решает, будет ли VLAN отправлен с тегом, отмеченным VID=1 (тегированный член), или без VLAN-тега (нетегированный член). В данном случае, поскольку верхний порт нетегированный, тег добавляться не будет. Шлюз может ответить на этот входящий пакет и отправить его обратно — также без тега, так как у шлюза ещё нет настроенной поддержки VLAN. Опять же, PVID1, на этот раз на верхнем порту коммутатора, назначит кадр на «полосу VLAN1», что позволит снова установить связь, теперь с нижним портом, благодаря общему членству в VLAN. Тег добавляться не будет из-за нетегированного членства, что делает кадр приемлемым для ПК, который не может прочитать информацию о VLAN-теге. Таким образом происходит установление связи между шлюзом и клиентским устройством.
4. Итоговые мысли и полезные ссылки
Понимание этого основного принципа VLAN — важный шаг для правильного выбора при настройке VLAN. Конечно, мы лишь поверхностно коснулись темы, но надеемся, что это даст вам хорошую отправную точку для понимания VLAN и различий между PVID и членством в VLAN.
Ниже вы найдёте несколько статей, посвящённых настройке VLAN на разнообразном оборудовании из нашего портфолио:
VLAN — тегированные VLAN против PVID (пример настройки нетегированной/тегированной VLAN)
Комментарии
0 комментариевВойдите в службу, чтобы оставить комментарий.