Реализация VLAN в коммутаторах Eltex

Виртуальные локальные сети VLAN (англ. Virtual Local Area Networks) используются для разделения вычислительной сети на логические сегменты. Например, локальную сеть предприятия можно разделить на несколько виртуальных локальных сетей для передачи данных, видеонаблюдения и IP-телефонии. 

Изолированный трафик и собственный план IP-адресов — отличительные особенности каждой виртуальной локальной сети (VLAN).

Преимущества VLAN

• Безопасность — группы изолированы друг от друга, что предотвращает утечку данных.
• Оптимизация сети — виртуальные локальные сети позволяют выделить группу устройств в отдельные домены. При этом трафик, не предназначенный для определенной VLAN, будет отбрасываться, что снижает нагрузку на сеть.
• Простота обслуживания — при вводе нового устройства в эксплуатацию, все настройки, уже примененные к данной VLAN, реализуются на назначенных портах.
• Масштабируемость — виртуальные локальные сети позволяют разделять и объединять географически распределенных пользователей.

Технология VLAN — базовый функционал современных управляемых коммутаторов уровня L2+ и выше. Рассмотрим реализацию VLAN в коммутаторах российского производителя Eltex на примере двух схем.

В первом случае (рисунок 1) VLAN не используется, все устройства подключены к одному домену L2 в одной сети. В случае широковещательной рассылки (например, ARP-запрос), все хосты в локальной сети получат данное сообщение, в том числе устройства, которым оно не предназначено. Это приведет к повышению нагрузки на сеть и снижению пропускной способности.

Рисунок 1 — Схема сети без использования VLAN

Во втором случае (рисунок 2) сеть делится на сегменты, каждый из которых представляет собой отдельный широковещательный домен. VLAN позволяет не перегружать сеть и защищает от широковещательных штормов. Трафик между этими доменами пересылают L3-коммутаторы или маршрутизаторы.

Рисунок 2 — Схема сети с использованием VLAN

Типы VLAN

Существует несколько типов VLAN (рисунок 3), которые различаются по классам трафика и типовым функциям.

Рисунок 3 — Типы VLAN

VLAN для данных

Назначается порту коммутатора, к которому подключено устройство (либо группа устройств, находящихся в одной подсети).

VLAN по умолчанию

По умолчанию все порты коммутатора являются членами VLAN 1 и пропускают через себя нетегированный трафик. Она выполняет функции обмена данными и обеспечивает взаимодействие новых хабов, которые к ней подключаются.

Management VLAN (VLAN управления) 

Необходим для настройки коммутатора через HTTP, HTTPS, SNMP, SSH, Telnet или ICMP. По умолчанию управляющей VLAN является VLAN 1, однако при первоначальной настройке коммутатора его следует изменить.

Внимание! Не рекомендуется использовать VLAN 1 в качестве управляющей VLAN, поскольку это делает сеть уязвимой к атакам злоумышленников. Отдельная VLAN позволит изолировать управленческий трафик от обычного и избежать случайных конфликтов или перегрузок. 

Multicast VLAN

Предназначен для передачи мультикастового трафика (IPTV) и видео по запросу (VoD).

Голосовой VLAN

Используется для передачи голосового трафика по IP (VoIP). 

Для корректной работы голосового VLAN требуется:

• наличие гарантированной полосы пропускания;
• назначение высокого приоритета для передачи VoIP-трафика;
• задержка на всей сети менее 150 мс.

MAC-based VLAN

Позволяет идентифицировать трафик как принадлежащий к определенной VLAN на основе MAC-адреса источника, который сопоставляется с MAC-группой на коммутаторе. Каждая из этих групп привязывается к выбранной VLAN.

VLAN на основе Ethertype

Предназначен для идентификации трафика как принадлежащего к определенной VLAN на основе Ethertype пакета, который сопоставляется с protocol-группой на коммутаторе. Каждая из этих групп привязывается к назначенной VLAN.

Заголовок 802.1Q

При пересылке пакетов используются данные заголовка кадра Ethernet, не содержащие информацию о виртуальной локальной сети, к которой принадлежит кадр. Эта проблема решается «тегированием» – IEEE 802.1Q содержит 4-байтовый тег, добавляемый к исходному заголовку.

После добавления заголовка коммутатор пересчитывает контрольную последовательность кадров (FCS) и отправляет этот тегированный кадр в интерфейс назначения.

Структура заголовка 802.1Q показана на рисунке 4.

Рисунок 4 — Структура заголовка 802.1Q

В поле тега VLAN входят:

• тип поля (TPID);
• приоритет пользователя (PRI);
• идентификатор канонического формата (CFI);
• идентификатор (VID).

Тип (TPID) — два байта, называемые значением идентификатора протокола тегирования. Для 802.1Q используется шестнадцатеричное значение 0x8100. 

Приоритет пользователя (PRI) — три бита, которые используются стандартом IEEE 802.1Q для задания приоритета передаваемого трафика.

Идентификатор канонического формата (CFI) — однобитовый идентификатор, обеспечивающий передачу кадров Token Ring по каналам Ethernet. Указывает на формат МАС-адреса.

VLAN-идентификатор (VID) — 12-битный идентификационный номер, который принимает значения в диапазоне от 1 до 4096.

2^12=4096

Применение VLAN

• Операторский сегмент

Операторы связи могут использовать VLAN для реализации гибкой модели оказания услуг и разграничения трафика по типам, например, VoIP, IPTV, Internet (рисунок 5). Для защиты от несанкционированных подключений используется технология port-security.

Рисунок 5 — Пример использования MES5310-48 в операторском сегменте

• Корпоративный сегмент

VLAN применяется для разграничения трафика по типам устройств (рисунок 6). Например, с помощью коммутатора MES2300-24P можно создать специально выделенные VLAN для СКУД, видеонаблюдения, Wi-Fi, рабочих мест и т.д.

Рисунок 6 — Пример использования MES2300-24P в корпоративном сегменте

Если у Вас остались вопросы, pre-sale инженеры компании «Элтекс Солюшенс» помогут выбрать и настроить VLAN для решения Ваших задач. Отправьте свой вопрос на адрес электронной почты: office@eltexsl.ru