Организация VLAN с помощью тэгов.

Наиболее очевидным (но далеко не самым простым технически) способом разделения сетей будет присваивать каждому кадру Ethernet специальной метки (тэги), в соответствии с которым свитчи будут коммутировать их путь по сети. Для этого было придумано не мало корпоративных решений (ISL Cisco, VLT 3com), но в конце концов появился единый стандарт IEEE 802.1q, который в настоящее время можно считать общепринятым.

Тегированные кадры позволяют построить виртуальную сеть для каждого пользователя (или их группы). Связь между различными виртуальными сетями должна осуществляться на сервере (или коммутаторе 3-го уровня) посредством IP маршрутизации на 3-ем (сетевом) уровне модели OSI,

При этом создается полное ощущение, что каждый пользователь имеет свой свою выделенную линию (с негарантированной скоростью) до центрального узла, и подключен к отдельному сетевому адаптеру маршрутизатора.

Технически подобная схема выглядит следующим образом:

Каждый пользователь находится в своей, виртуальной сети (VLAN). Кадр, попадая от него в коммутатор, получает 2-х байтовую метку (тэг), которая назначена на данный порт. Он размещается в поле данных кадра Ethernet, из-за чего его длина увеличивается (и может быть неправильно обработана какими-либо устройствами). Далее кадр может пройти несколько свитчей, которые будут направлять его в соответствии с установленными правилами. В случае, если коммутатор не имеет функции распознавания тэгов, кадр будет обработан в соответствии с общими правилами коммутируемого Ethernet.

Можно выделить три типа порта. Входной, на котором тэги устанавливаются, выходной, на котором они убираются, и транковый, через который они передаются между активными устройствами (в одном физическом канале несколько виртуальных сетей). Таким образом может быть построена защищенная сеть очень больших размеров.

Нужно специально отметить, что имеется в виду именно транк (объединение) на уровне протокола. Дело в том, что такой термин может означать нечто совсем иное - а именно объединение портов в группу, для увеличения скорости передачи данных между двумя коммутаторами (или коммутатором и многопортовой сетевой картой). Такая линия с точки зрения пользователя выглядит как один более скоростной порт. Получается передача со скоростью 200, 300, 400... до 800 Мбит, соответственно, при объединении 2,3,4...8 портов.

Самое неудобное, что оба термина могут присутствовать одновременно не только в технической документации. На сгруппированных в транк портах может быть сконфигурирован транк нескольких VLAN. Поэтому нужно очень аккуратно использовать этот термин.

Рис. 6.1. Виртуальные сети на основе тэгов

Что нужно для работы по такой привлекательной схеме? Всего-то поддержку устройствами стандарта IEEE 802.1q, или собственного корпоративного аналога. При этом двух байт, добавленных в кадр Ethernet, вполне хватает для распознавания "своих" данных (и не только для этого).

Следует отметить, что VLAN может быть настроен как вручную, так и фирменными средствами производителя оборудования. Например, Cisco использует протокол VTP, который служит для распространения информацией о виртуальных сетях. Он позволяет вести их базу централизовано, и распространять ее по технологии клиент-сервер (несколько похоже на механизм DHCP).

Подобная система образования виртуальных сетей достаточно удобна. Но ее широкому распространению в области недорогих сетей мешает не только достаточно высокая стоимость подобного оборудования (на сегодня не менее $600 за устройство). Построение (и эксплуатация) подобных сетей требует высокой квалификации как инсталляторов решения, так и обслуживающего персонала.

Системному администратору необходимо хорошо понимать не только работу программного обеспечения, но логику использования Vlan. Наиболее простой пример - входной порт не может принадлежать сразу нескольким виртуальным сетям, так как коммутатор не в состоянии определить, какой тег присвоить пришедшему кадру (однако, это может быть реализовано на устройствах высшего уровня).

С другой стороны, цены на подобные модели быстро падают, веб-интерфейс становится проще, нагляднее, и можно предполагать, что в недалеком будущем использование возможностей VLAN будет обычным делом даже в самой небольшой сети.