VLAN'ы, использующие группировку портов.

Очевидно, что стоимость коммутатора в немалой части состоит из цены использованного программного обеспечения. При разработке устройства VLAN (как многие сложные протоколы работы) требуют высоких затрат. Можно на них идти (что неизбежно скажется на итоговой цене конечного продукта), можно обойтись меньшим, выпустив на рынок промежуточный вариант.

Таким компромиссом (вполне удачным для офисного применения) стали свитчи, которые позволяют манипулировать с виртуальными сетями на уровне портов. Соответственно, технологию 802.1q они не поддерживают, и работать по описанной выше "идеальной" схеме не могут. Соседние устройства о создании подобных vlan информации не имеют.

Пока вся сеть состоит только из одного такого устройства, механизм прекрасно работает. Имеет смысл даже представить большой коммутатор в виде нескольких более маленьких. А если нужно маршрутизировать разные сети через сервер - в него можно установить несколько реальных (физических) сетевых карт, соединить их реальными кабелями с реальными портами, прописать нужные Vlan. Только таким способом можно получить полностью изолированные "виртуальные" сети.

Рис. 6.2. Vlan, использующий группировку портов устройства.

Такое "экстравагантное" решение имеет вполне осмысленное экономическое обоснование - мощное управляемое устройство намного удобнее, и обычно дешевле, чем несколько более слабых. Да и пользователей в группы можно помещать удаленно, не производя физических переключений. Так что для небольшой офисной ЛВС такой инструмент может оказаться даже более удобным, чем Vlan на основе протоколов (типа 802.1q). Просто, надежно, достаточно безопасно и не дорого.

Однако для сети передачи данных (или даже крупной ЛВС), обеспечить работу пользователей в отдельных виртуальных сетях не удастся полностью. Но разумный компромисс возможен, особенно для сетей, имеющих явно выраженную "древовидную" структуру доступа к данным.

Реальное применение - сплошь и рядом. Представим, что к единственному коммутатору подключен шлюз в интернет. АДСЛ, оптоволоконный конвертер, просто магистральный маршрутизатор сети провайдера. Или, нескольким рабочим группам нужно работать с базой данных, расположенной на центральном сервере.

В этом случае можно поступиться защитой, надежностью, и сделать один порт общим для всех vlan. Для него даже придумано специальное название - серверный.

Рис. 6.3. Подключение пользователей через серверный порт.

Логика работы (но не алгоритм) при этом относительно запутанная, и часто зависит от производителя. В большинстве случаев все исходящие кадры (2-го сетевого уровня по модели OSI) пересылаются на единственный серверный порт, и оттуда уходят в сеть передачи данных.

Но надо заметить, что есть варианты устройств, которые пересылают кадры с неизвестным адресом назначения (destination address, DA) на все порты. В случае, если устройство с таким адресом подключено к одному из портов, оно ответит на кадр. Но ответ в этом случае не будет передан "напрямую" через коммутатор, так как он пойдет с адресом назначения, уже известном таблице соответствия коммутатора.

В обратном направлении кадры от пограничного маршрутизатора (или сервера) поступают на серверный порт, который распоряжается ими как обычный неуправляемый коммутатор. Широковещательные отправляет на все порты, кадры с известным адресом назначения (DA) - только адресату.

Очевидно, что полной защиты пользователей друг от друга такая сеть не имеет. Тем не менее, с некоторыми допущениями можно сказать, что с помощью VLAN на основе группировки портов можно построить сеть, в которой абоненты не смогут обмениваться трафиком иначе, чем через сервер (шлюз).

При этом важным становится правильный дизайн сети. Если она сделана как "дерево" из коммутаторов, поддерживающих VLAN на основе группировки портов, то разделение на виртуальные сети хоть и с оговорками, но будет работать. Но если "серверные" порты коммутаторов будут связаны через обычный неуправляемый коммутатор, или хаб - система рушится. То же самое произойдет при неправильной настройке сервера (шлюза).

Пользователи начинают работать друг с другом напрямую, как это бывает, если они находятся в одной сети Ethernet, и о виртуальных сетях не может быть и речи.

К сожалению, у рассмотренного способа образования VLAN есть и еще одно уязвимое место. Недорогие устройства далеко не идеальны, и часто работают по алгоритму, ведомому только производителю.

Часто простота идет в ущерб надежности - как классический пример можно привести образование VLAN с помощью ограничения ARP-запросов (некоторые модели Surecom, Compex). Понятно, что в этом случае пользователь может "прописать" ARP-таблицу вручную, и работать не обращая внимания на VLAN.

Часть 2. Глава 6 | ««Назад | Оглавление | Вперед»»