Лекция 3. Виртуальные локальные сети.
Поскольку коммутатор Ethernet является устройством канального уровня, то в соответствии с логикой работы он будет рассылать широковещательные кадры через все порты. Хотя трафик с конкретными адресами (соединения «точка — точка») изолирован парой портов, широковещательные кадры передаются во всю сеть (на каждый порт). Широковещательные кадры — это кадры, передаваемые на все узлы сети. Они необходимы для работы многих сетевых протоколов, таких как ARP, BOOTP или DHCP. С их помощью рабочая станция оповещает другие компьютеры о своем появлении в сети. Также рассылка широковещательных кадров может возникать из-за некорректно работающего сетевого адаптера. Широковещательные кадры могут привести к нерациональному использованию полосы пропускания, особенно в крупных сетях. Для того чтобы этого не происходило, важно ограничить область распространения широковещательного трафика (эта область называется широковещательным доменом) — организовать небольшиешироковещательные домены, или виртуальные локальные сети (Virtual LAN, VLAN). Виртуальной локальной сетью называется логическая группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети. Это означает, что передача кадров между разными виртуальными сетями на основании MAC-адреса невозможна независимо от типа адреса — уникального, группового или широковещательного. В то же время внутри виртуальной сети кадры передаются по технологии коммутации, то есть только на тот порт, который связан с адресом назначения кадра. Таким образом с помощью виртуальных сетей решается проблема распространения широковещательных кадров и вызываемых ими следствий, которые могут развиться в широковещательные штормы и существенно снизить производительность сети. VLAN обладают следующими преимуществами: гибкость внедрения. VLAN являются эффективным способом группировки сетевых пользователей в виртуальные рабочие группы, несмотря на их физическое размещение в сети; VLAN обеспечивают возможность контроля широковещательных сообщений, что увеличивает полосу пропускания, доступную для пользователя; VLAN позволяют повысить безопасность сети, определив с помощью фильтров, настроенных на коммутаторе или маршрутизаторе, политику взаимодействия пользователей из разных виртуальных сетей. В коммутаторах могут быть реализованы следующие типы VLAN: на основе портов; на основе стандарта IEEE 802.1Q; на основе стандарта IEEE 802.1ad (Q-in-Q VLAN); на основе портов и протоколов IEEE 802.1v; на основе MAC-адресов; асимметричные. Также для сегментирования сети на канальном уровне модели OSI в коммутаторах могут использоваться другие функции, например, функция Traffic Segmentation. VLAN на основе портов При использовании VLAN на основе портов (Port-based VLAN) каждый порт назначается в определенную VLAN, независимо от того, какой пользователь или компьютер подключен к этому порту. Это означает, что все пользователи, подключенные к этому порту, будут членами одной VLAN. Конфигурация портов статическая и может быть изменена только вручную. Рис. 3.15. Объединение VLAN с помощью маршрутизирующего устройства Основные характеристики VLAN на основе портов: Применяются в пределах одного коммутатора. Если необходимо организовать несколько рабочих групп в пределах небольшой сети на основе одного коммутатора, например, необходимо разнести технический отдел и отдел продаж, то решение VLAN на базе портов оптимально подходит для данной задачи. Простота настройки. Создание виртуальных сетей на основе группирования портов не требует от администратора большого объема ручной работы — достаточно всем портам, помещаемым в одну VLAN, присвоить одинаковый идентификатор VLAN (VLAN ID). Возможность изменения логической топологии сети без физического перемещения станций. Достаточно всего лишь изменить настройки порта с одной VLAN (например, VLAN технического отдела) на другую (VLAN отдела продаж), и рабочая станция сразу же получает возможность совместно использовать ресурсы с членами новой VLAN. Таким образом, VLAN обеспечивают гибкость при перемещениях, изменениях и наращивании сети. Каждый порт может входить только в одну VLAN. Для объединения виртуальных подсетей как внутри одного коммутатора, так и между двумя коммутаторами нужно использовать сетевой уровень OSI-модели. Один из портов каждой VLAN подключается к интерфейсу маршрутизатора, который создает таблицу маршрутизации для пересылки кадров из одной подсети (VLAN) в другую (IP-адреса подсетей должны быть разными). Недостатком такого решения является то, что один порт каждой VLAN необходимо подключать к маршрутизатору. Это приводит кдополнительным расходам на покупку кабелей и маршрутизаторов, а также порты коммутатора используются очень расточительно. Решить данную проблему можно двумя способами: использовать коммутаторы, которые на основе фирменного решения позволяют включать порт в несколько VLAN, или использовать коммутаторы уровня 3. VLAN на основе стандарта IEEE 802.1Q Виртуальные локальные сети, построенные на основе стандарта IEEE 802.1Q, используют дополнительные поля кадра для хранения информации о принадлежности к VLAN при его перемещении по сети. С точки зрения удобства и гибкости настроек VLAN стандарта IEEE 802.1Qявляется лучшим решением по сравнению с VLAN на основе портов. Его основные преимущества: Гибкость и удобство в настройке и изменении — можно создавать необходимые комбинации VLAN как в пределах одного коммутатора, так и во всей сети, построенной на коммутаторах с поддержкой стандарта IEEE 802.1Q. Способность добавления тегов позволяет информации о VLAN распространяться через множество 802.1Q-совместимых коммутаторов по одному физическому соединению (магистральному каналу, Trunk Link). Позволяет активизировать алгоритм связующего дерева (Spanning Tree) на всех портах и работать в обычном режиме. ПротоколSpanning Tree оказывается весьма полезным для применения в крупных сетях, построенных на нескольких коммутаторах, и позволяет коммутаторам автоматически определять древовидную конфигурацию связей в сети при произвольном соединении портов между собой. Для нормальной работы коммутатора требуется отсутствие замкнутых маршрутов в сети. Эти маршруты могут создаваться администратором специально для образования резервных связей или же возникать случайным образом, что вполне возможно, если сеть имеет многочисленные связи, а кабельная система плохо структурирована или документирована. С помощью протокола Spanning Tree коммутаторы после построения схемы сети блокируют избыточные маршруты. Таким образом, автоматически предотвращается возникновение петель в сети. Способность VLAN IEEE 802.1Q добавлять и извлекать теги из заголовков кадров позволяет использовать в сети коммутаторы и сетевые устройства, которые не поддерживают стандарт IEEE 802.1Q. Устройства разных производителей, поддерживающие стандарт, могут работать вместе, независимо от какого-либо фирменного решения. Чтобы связать подсети на сетевом уровне, необходим маршрутизатор или коммутатор L3. Однако для более простых случаев, например, для организации доступа к серверу из различных VLAN, маршрутизатор не потребуется. Нужно включить порт коммутатора, к которому подключен сервер, во все подсети, а сетевой адаптер сервера должен поддерживать стандарт IEEE 802.1Q. Некоторые определения IEEE 802.1Q Tagging («Маркировка кадра») — процесс добавления информации о принадлежности к 802.1Q VLAN в заголовок кадра. Untagging («Извлечение тега из кадра») — процесс извлечения информации о принадлежности к 802.1Q VLAN из заголовка кадра. VLAN ID (VID) — идентификатор VLAN. Port VLAN ID (PVID) — идентификатор порта VLAN. Ingress port («Входной порт») — порт коммутатора, на который поступают кадры, и при этом принимается решение о принадлежности к VLAN. Egress port («Выходной порт») — порт коммутатора, с которого кадры передаются на другие сетевые устройства, коммутаторы или рабочие станции, и, соответственно, на нем должно приниматься решение о маркировке. Любой порт коммутатора может быть настроен как tagged (маркированный) или как untagged (немаркированный). Функция untagging позволяет работать с теми сетевыми устройствами виртуальной сети, которые не понимают тегов в заголовке кадра Ethernet. Функция tagging позволяет настраивать VLAN между несколькими коммутаторами, поддерживающими стандарт IEEE 802.1Q. Рис. 3.16. Маркированные и немаркированные порты VLAN Тег VLAN IEEE 802.1Q Стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети. На рис. 3.17 изображен формат тега 802.1Q VLAN. К кадру Ethernet добавлены 32 бита (4 байта), которые увеличивают его размер до 1522 байт. Первые 2 байта (поле Tag Protocol Identifier, TPID) с фиксированным значением 0х8100 определяют, что кадр содержит тег протокола 802.1Q. Остальные 2 байта содержат следующую информацию: Priority («Приоритет») — 3 бита поля приоритета передачи кодируют до восьми уровней приоритета (от 0 до 7, где 7 — наивысший приоритет), которые используются в стандарте 802.1р; Canonical Format Indicator (CFI) — 1 бит индикатора канонического формата зарезервирован для обозначения кадров сетей других типов (Token Ring, FDDI), передаваемых по магистрали Ethernet; VID (VLAN ID) — 12-битный идентификатор VLAN определяет, какой VLAN принадлежит трафик. Поскольку под поле VID отведено 12 бит, то можно задать 4094 уникальных VLAN (VID 0 и VID 4095 зарезервированы). Рис. 3.17. Маркированный кадр Ethernet Port VLAN ID Каждый физический порт коммутатора имеет параметр, называемый идентификатор порта VLAN (PVID). Этот параметр используется для того, чтобы определить, в какую VLAN коммутатор направит входящий немаркированный кадр с подключенного к порту сегмента, когда кадр нужно передать на другой порт (внутри коммутатора в заголовки всех немаркированных кадров добавляется идентификаторVID, равный PVID порта, на который они были приняты). Этот механизм позволяет одновременно существовать в одной сети устройствам с поддержкой и без поддержки стандарта IEEE 802.1Q. Коммутаторы, поддерживающие протокол IEEE 802.1Q, должны хранить таблицу, связывающую идентификаторы портов PVID с идентификаторами VID сети. При этом каждый порт такого коммутатора может иметь только один PVID и столько идентификаторовVID, сколько поддерживает данная модель коммутатора. Если на коммутаторе не настроены VLAN, то все порты по умолчанию входят в одну VLAN с PVID = 1. Продвижение кадров VLAN IEEE 802.1Q Решение о продвижении кадра внутри виртуальной локальной сети принимается на основе трех следующих видов правил. Правила входящего трафика (ingress rules) — классификация получаемых кадров относительно принадлежности к VLAN. Правила продвижения между портами (forwarding rules) — принятие решения о продвижении или отбрасывании кадра. Правила исходящего трафика (egress rules) — принятие решения о сохранении или удалении в заголовке кадра тега 802.1Q перед его передачей. Правила входящего трафика выполняют классификацию каждого получаемого кадра относительно принадлежности к определенной VLAN, а также могут служить для принятия решения о приеме кадра для дальнейшей обработки или его отбрасывании на основе формата принятого кадра.Классификация кадра по принадлежности VLAN осуществляется следующим образом: Если кадр не содержит информацию о VLAN (немаркированный кадр), то в его заголовок коммутатор добавляет тег с идентификатором VID, равным идентификатору PVID порта, через который этот кадр был принят. Если кадр содержит информацию о VLAN (маркированный кадр), то его принадлежность к конкретной VLAN определяется по идентификатору VID в заголовке кадра. Значение тега в нем не изменяется. Активизировав функцию проверки формата кадра на входе, администратор сети может указать, кадры каких форматов будут приниматься коммутатором для дальнейшей обработки. Управляемые коммутаторы D-Link позволяют настраивать прием портами либо только маркированных кадров (tagged_only), либо обоих типов кадров — маркированных и немаркированных (admitall). Внутри коммутатора все кадры являются маркированными. Правила продвижения между портами осуществляют принятие решения об отбрасывании или передаче кадра на порт назначения на основе его информации о принадлежности конкретной VLAN и МАС-адреса узла-приемника. Если входящий кадр маркированный, то коммутатор определяет, является ли входной порт членом той же VLAN, путем сравнения идентификатора VID в заголовке кадра и набора идентификаторов VID, ассоциированных с портом, включая его PVID. Если нет, то кадр отбрасывается. Этот процесс называется ingress filtering (входной фильтрацией) и используется для сохранения пропускной способности внутри коммутатора путем отбрасывания кадров, не принадлежащих той же VLAN, что и входной порт, на стадии их приема. Если кадр немаркированный, входная фильтрация не выполняется. Далее определяется, является ли порт назначения членом той же VLAN. Если нет, то кадр отбрасывается. Если же выходной порт входит в данную VLAN, то коммутатор передает кадр в подключенный к нему сегмент сети. Правила исходящего трафика определяют формат исходящего кадра — маркированный или немаркированный. Если выходной порт является немаркированным (untagged), то он будет извлекать тег 802.1Q из заголовков всех выходящих через него маркированных кадров. Если выходной порт настроен как маркированный (tagged), то он будет сохранять тег 802.1Q в заголовках всех выходящих через него маркированных кадров. Статические и динамические VLAN Для корректной работы виртуальной локальной сети требуется, чтобы в базе данных фильтрации (Filtering Database) содержаласьинформация о членстве в VLAN. Эта информация необходима для принятия правильного решения (переслать или отбросить) при передаче кадров между портами коммутатора. Существуют два основных способа, позволяющие устанавливать членство в VLAN: статические VLAN; динамические VLAN. В статических VLAN установление членства осуществляется вручную администратором сети. При изменении топологии сети или перемещении пользователя на другое рабочее место администратору требуется вручную выполнять привязку порт-VLAN для каждого нового соединения. Членство в динамических VLAN может устанавливаться динамически на магистральных интерфейсах коммутаторов на основе протокола GVRP (GARPVLANRegistrationProtocol). Протокол GARP (GenericAttributeRegistrationProtocol) используется для регистрации и отмены регистрации атрибутов, таких какVID. Статические записи о регистрации вVLAN(Static VLAN Registration Entries) используются для представления информации о статическихVLANв базе данных фильтрации. Эти записи позволяют задавать точные настройки для каждого портаVLAN:идентификаторVLAN, тип порта (маркированный или немаркированный), один из управляющих элементов протокола GVRP: Fixed (порт всегда является членом данной VLAN); Forbidden (порту запрещено регистрироваться как члену данной VLAN); Normal (обычная регистрация с помощью протокола GVRP). Управляющие элементы GVRP используются для активизации работы протокола на портах коммутатора, а также для указания того, может ли данная VLAN быть зарегистрирована на порте. Динамические записи о регистрации в VLAN (Dynamic VLAN Registration Entries) используются для представления в базе данных фильтрации информации о портах, членство в VLAN которых установлено динамически. Эти записи создаются, обновляются и удаляются в процессе работы протокола GVRP. Протокол GVRP Протокол GVRP определяет способ, посредством которого коммутаторы обмениваются информацией о сети VLAN, чтобы автоматически зарегистрировать членов VLAN на портах во всей сети. Он позволяет динамически создавать и удалять VLAN стандарта IEEE 802.1Q на магистральных портах, автоматически регистрировать и исключать атрибуты VLAN (под регистрацией VLAN подразумевается включение порта в VLAN, под исключением — удаление порта из VLAN). Протокол GVRP использует сообщения GVRP BPDU (GVRP Bridge Protocol Data Units), рассылаемые на многоадресный МАС-адрес 01-80-C2-00-00-21 для оповещения устройств-подписчиков о различных событиях. Оповещения (advertisement) могут содержать информацию о выполнении следующих действий: Join message — регистрация порта в VLAN. JoinEmpty: VLAN на локальном подписчике не настроена; JoinIn: VLAN на локальном подписчике зарегистрирована; Leave message — удаление VLAN с конкретного порта. LeaveEmpty: VLAN на локальном подписчике не настроена; LeaveIn: VLAN на локальном подписчике удалена; Leave message — удаление всех, зарегистрированных на порте VLAN. Это сообщение отправляется после того, как истечет время, заданное таймером LeaveAll Timer; Empty message — требование повторного динамического оповещения и статической настройки VLAN. Таймеры GVRP Join Timer— время в миллисекундах (100-100000), через которое отправляются сообщения JoinIn или JoinEmpty. Определяет промежуток времени между моментом получения коммутатором информации о вступлении в VLAN и фактическим моментом вступления в VLAN. По умолчанию установлено значение 200 миллисекунд. Leave Timer — когда коммутатор получает сообщение об исключении порта из VLAN (Leave message) от другого подписчика GVRP, он ожидает заданный период времени (от 100 до 100000 миллисекунд), определяемый таймером Leave Timer, чтобы убедиться, что информация о данной VLAN больше не существует в сети. Например, когда коммутатор получает сообщение Leave, он не удаляет мгновенно информацию о соответствующей VLAN, а запускает Leave Timer и ждет, когда его время истечет. Если за это время не будет получено сообщение JoinIn с информацией об удаляемой VLAN, то она будет коммутатором удалена. Обычно значение таймера Leave Timer устанавливают в два раза больше значения таймера Join Timer. По умолчанию значение таймера равно 600 миллисекунд. LeaveAU Timer — интервал времени в миллисекундах (100-100000), через который отправляется сообщение LeaveAll. Когда коммутатор — подписчик GVRP получает это сообщение, он перезапускает все таймеры, включая LeaveAll Timer. Обычно значение таймера LeaveAll устанавливают в два раза больше значения таймера Leave Timer. По умолчанию значение таймера равно 10000миллисекунд. Нарис.3.18показан процесс распространения информации оVLANпо сети с использованием протокола GVRP. На коммутаторе 1 созданы статические виртуальные сетиVLANv10, v20 и v30. Порт 25 является маркированным членом всехVLAN. Коммутатор 1 отправляет оповещение оVLANv30 через порт 25 коммутатору 2 (сообщение JoinEmpty). Коммутатор 2 получает это оповещение, динамически создаетVLANv30 и включает в нее порт 25. Порт 26 коммутатора 2 отправляет оповещение оVLANv30 коммутатору 3 (сообщение JoinEmpty), но сам не становится членом этойVLAN. Коммутатор 3 получает оповещение, динамически создаетVLANv30 и включает в нее порт 26. Далее коммутатор 3 изменяет состояниеVLANv30 с динамического на статическое и отправляет через порт 26 сообщение JoinIn о регистрации виртуальной сети. Коммутатор 2 получает это оповещение и регистрирует порт 26 вVLANv30, которая уже была создана ранее. Сообщение о регистрацииVLANv30 отправляется через порт 25 коммутатору 1. Получив это сообщение, коммутатор 1 перестает рассылать оповещения оVLANv30. Рис. 3.18.Процесс распространения информации о регистрации VLAN по сети Порт с поддержкой протокола GVRP подключается к сети VLAN только в том случае, если он непосредственно получает оповещение о ней. Если порт с поддержкой протокола GVPR передает оповещение, полученное от другого порта коммутатора, он не подключается к этой сети VLAN. Рис.3.19показывает процесс распространения информации об удалении VLAN по сети. На коммутаторе 1 удалена статическая VLANv30, и он отправляет сообщение LeaveIn через порт 25 коммутатору 2. Когда коммутатор 2 получит оповещение об удалении VLAN v30, он исключит порт 25 из этой VLAN и отправит сообщение LeaveIn коммутатору 3 через порт 26. Коммутатор 3 получит оповещение об удалении VLAN v30, но удалит ее не сразу, а по истечении периода, установленного таймером Leave Timer. После удаления VLAN v30 коммутатор 3 отправит через порт 26 сообщение LeaveEmpty. После получения этого сообщения коммутатор 2 исключит порт 26 изVLAN v30 и удалит ее по истечении периода, установленного таймером Leave Timer. Через порт 25 будет передано сообщение LeaveEmpty коммутатору 1. Коммутатор 1 исключит свой порт 25 из динамической VLAN v30. Строим локальные сети с 2006 г. Выезд, обследование и смета бесплатно! Адрес и телефон Спасибо, объявление скрыто. Скрыть рекламу: Не интересуюсь этой темой Навязчивое и надоело Сомнительного содержания или спам Мешает просмотру контента Яндекс.Директ Типы VLAN Поскольку коммутатор Ethernet является устройством канального уровня, то в соответствии с логикой работы он будет рассылать широковещательные кадры через все порты. Хотя трафик с конкретными адресами (соединения «точка — точка») изолирован парой портов, широковещательные кадры передаются во всю сеть (на каждый порт). Широковещательные кадры — это кадры, передаваемые на все узлы сети. Они необходимы для работы многих сетевых протоколов, таких как ARP, BOOTP или DHCP. С их помощью рабочая станция оповещает другие компьютеры о своем появлении в сети. Также рассылка широковещательных кадров может возникать из-за некорректно работающего сетевого адаптера. Широковещательные кадры могут привести к нерациональному использованию полосы пропускания, особенно в крупных сетях. Для того чтобы этого не происходило, важно ограничить область распространения широковещательного трафика (эта область называется широковещательным доменом) — организовать небольшиешироковещательные домены, или виртуальные локальные сети (Virtual LAN, VLAN). Виртуальной локальной сетью называется логическая группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети. Это означает, что передача кадров между разными виртуальными сетями на основании MAC-адреса невозможна независимо от типа адреса — уникального, группового или широковещательного. В то же время внутри виртуальной сети кадры передаются по технологии коммутации, то есть только на тот порт, который связан с адресом назначения кадра. Таким образом с помощью виртуальных сетей решается проблема распространения широковещательных кадров и вызываемых ими следствий, которые могут развиться в широковещательные штормы и существенно снизить производительность сети. VLAN обладают следующими преимуществами: гибкость внедрения. VLAN являются эффективным способом группировки сетевых пользователей в виртуальные рабочие группы, несмотря на их физическое размещение в сети; VLAN обеспечивают возможность контроля широковещательных сообщений, что увеличивает полосу пропускания, доступную для пользователя; VLAN позволяют повысить безопасность сети, определив с помощью фильтров, настроенных на коммутаторе или маршрутизаторе, политику взаимодействия пользователей из разных виртуальных сетей. В коммутаторах могут быть реализованы следующие типы VLAN: на основе портов; на основе стандарта IEEE 802.1Q; на основе стандарта IEEE 802.1ad (Q-in-Q VLAN); на основе портов и протоколов IEEE 802.1v; на основе MAC-адресов; асимметричные. Также для сегментирования сети на канальном уровне модели OSI в коммутаторах могут использоваться другие функции, например, функция Traffic Segmentation. VLAN на основе портов При использовании VLAN на основе портов (Port-based VLAN) каждый порт назначается в определенную VLAN, независимо от того, какой пользователь или компьютер подключен к этому порту. Это означает, что все пользователи, подключенные к этому порту, будут членами одной VLAN. Конфигурация портов статическая и может быть изменена только вручную. Рис. 3.15. Объединение VLAN с помощью маршрутизирующего устройства Основные характеристики VLAN на основе портов: Применяются в пределах одного коммутатора. Если необходимо организовать несколько рабочих групп в пределах небольшой сети на основе одного коммутатора, например, необходимо разнести технический отдел и отдел продаж, то решение VLAN на базе портов оптимально подходит для данной задачи. Простота настройки. Создание виртуальных сетей на основе группирования портов не требует от администратора большого объема ручной работы — достаточно всем портам, помещаемым в одну VLAN, присвоить одинаковый идентификатор VLAN (VLAN ID). Возможность изменения логической топологии сети без физического перемещения станций. Достаточно всего лишь изменить настройки порта с одной VLAN (например, VLAN технического отдела) на другую (VLAN отдела продаж), и рабочая станция сразу же получает возможность совместно использовать ресурсы с членами новой VLAN. Таким образом, VLAN обеспечивают гибкость при перемещениях, изменениях и наращивании сети. Каждый порт может входить только в одну VLAN. Для объединения виртуальных подсетей как внутри одного коммутатора, так и между двумя коммутаторами нужно использовать сетевой уровень OSI-модели. Один из портов каждой VLAN подключается к интерфейсу маршрутизатора, который создает таблицу маршрутизации для пересылки кадров из одной подсети (VLAN) в другую (IP-адреса подсетей должны быть разными). Недостатком такого решения является то, что один порт каждой VLAN необходимо подключать к маршрутизатору. Это приводит кдополнительным расходам на покупку кабелей и маршрутизаторов, а также порты коммутатора используются очень расточительно. Решить данную проблему можно двумя способами: использовать коммутаторы, которые на основе фирменного решения позволяют включать порт в несколько VLAN, или использовать коммутаторы уровня 3. VLAN на основе стандарта IEEE 802.1Q Виртуальные локальные сети, построенные на основе стандарта IEEE 802.1Q, используют дополнительные поля кадра для хранения информации о принадлежности к VLAN при его перемещении по сети. С точки зрения удобства и гибкости настроек VLAN стандарта IEEE 802.1Qявляется лучшим решением по сравнению с VLAN на основе портов. Его основные преимущества: Гибкость и удобство в настройке и изменении — можно создавать необходимые комбинации VLAN как в пределах одного коммутатора, так и во всей сети, построенной на коммутаторах с поддержкой стандарта IEEE 802.1Q. Способность добавления тегов позволяет информации о VLAN распространяться через множество 802.1Q-совместимых коммутаторов по одному физическому соединению (магистральному каналу, Trunk Link). Позволяет активизировать алгоритм связующего дерева (Spanning Tree) на всех портах и работать в обычном режиме. ПротоколSpanning Tree оказывается весьма полезным для применения в крупных сетях, построенных на нескольких коммутаторах, и позволяет коммутаторам автоматически определять древовидную конфигурацию связей в сети при произвольном соединении портов между собой. Для нормальной работы коммутатора требуется отсутствие замкнутых маршрутов в сети. Эти маршруты могут создаваться администратором специально для образования резервных связей или же возникать случайным образом, что вполне возможно, если сеть имеет многочисленные связи, а кабельная система плохо структурирована или документирована. С помощью протокола Spanning Tree коммутаторы после построения схемы сети блокируют избыточные маршруты. Таким образом, автоматически предотвращается возникновение петель в сети. Способность VLAN IEEE 802.1Q добавлять и извлекать теги из заголовков кадров позволяет использовать в сети коммутаторы и сетевые устройства, которые не поддерживают стандарт IEEE 802.1Q. Устройства разных производителей, поддерживающие стандарт, могут работать вместе, независимо от какого-либо фирменного решения. Чтобы связать подсети на сетевом уровне, необходим маршрутизатор или коммутатор L3. Однако для более простых случаев, например, для организации доступа к серверу из различных VLAN, маршрутизатор не потребуется. Нужно включить порт коммутатора, к которому подключен сервер, во все подсети, а сетевой адаптер сервера должен поддерживать стандарт IEEE 802.1Q. Некоторые определения IEEE 802.1Q Tagging («Маркировка кадра») — процесс добавления информации о принадлежности к 802.1Q VLAN в заголовок кадра. Untagging («Извлечение тега из кадра») — процесс извлечения информации о принадлежности к 802.1Q VLAN из заголовка кадра. VLAN ID (VID) — идентификатор VLAN. Port VLAN ID (PVID) — идентификатор порта VLAN. Ingress port («Входной порт») — порт коммутатора, на который поступают кадры, и при этом принимается решение о принадлежности к VLAN. Egress port («Выходной порт») — порт коммутатора, с которого кадры передаются на другие сетевые устройства, коммутаторы или рабочие станции, и, соответственно, на нем должно приниматься решение о маркировке. Любой порт коммутатора может быть настроен как tagged (маркированный) или как untagged (немаркированный). Функция untagging позволяет работать с теми сетевыми устройствами виртуальной сети, которые не понимают тегов в заголовке кадра Ethernet. Функция tagging позволяет настраивать VLAN между несколькими коммутаторами, поддерживающими стандарт IEEE 802.1Q. Рис. 3.16. Маркированные и немаркированные порты VLAN Тег VLAN IEEE 802.1Q Стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети. На рис. 3.17 изображен формат тега 802.1Q VLAN. К кадру Ethernet добавлены 32 бита (4 байта), которые увеличивают его размер до 1522 байт. Первые 2 байта (поле Tag Protocol Identifier, TPID) с фиксированным значением 0х8100 определяют, что кадр содержит тег протокола 802.1Q. Остальные 2 байта содержат следующую информацию: Priority («Приоритет») — 3 бита поля приоритета передачи кодируют до восьми уровней приоритета (от 0 до 7, где 7 — наивысший приоритет), которые используются в стандарте 802.1р; Canonical Format Indicator (CFI) — 1 бит индикатора канонического формата зарезервирован для обозначения кадров сетей других типов (Token Ring, FDDI), передаваемых по магистрали Ethernet; VID (VLAN ID) — 12-битный идентификатор VLAN определяет, какой VLAN принадлежит трафик. Поскольку под поле VID отведено 12 бит, то можно задать 4094 уникальных VLAN (VID 0 и VID 4095 зарезервированы). Рис. 3.17. Маркированный кадр Ethernet Port VLAN ID Каждый физический порт коммутатора имеет параметр, называемый идентификатор порта VLAN (PVID). Этот параметр используется для того, чтобы определить, в какую VLAN коммутатор направит входящий немаркированный кадр с подключенного к порту сегмента, когда кадр нужно передать на другой порт (внутри коммутатора в заголовки всех немаркированных кадров добавляется идентификаторVID, равный PVID порта, на который они были приняты). Этот механизм позволяет одновременно существовать в одной сети устройствам с поддержкой и без поддержки стандарта IEEE 802.1Q. Коммутаторы, поддерживающие протокол IEEE 802.1Q, должны хранить таблицу, связывающую идентификаторы портов PVID с идентификаторами VID сети. При этом каждый порт такого коммутатора может иметь только один PVID и столько идентификаторовVID, сколько поддерживает данная модель коммутатора. Если на коммутаторе не настроены VLAN, то все порты по умолчанию входят в одну VLAN с PVID = 1. Продвижение кадров VLAN IEEE 802.1Q Решение о продвижении кадра внутри виртуальной локальной сети принимается на основе трех следующих видов правил. Правила входящего трафика (ingress rules) — классификация получаемых кадров относительно принадлежности к VLAN. Правила продвижения между портами (forwarding rules) — принятие решения о продвижении или отбрасывании кадра. Правила исходящего трафика (egress rules) — принятие решения о сохранении или удалении в заголовке кадра тега 802.1Q перед его передачей. Правила входящего трафика выполняют классификацию каждого получаемого кадра относительно принадлежности к определенной VLAN, а также могут служить для принятия решения о приеме кадра для дальнейшей обработки или его отбрасывании на основе формата принятого кадра.Классификация кадра по принадлежности VLAN осуществляется следующим образом: Если кадр не содержит информацию о VLAN (немаркированный кадр), то в его заголовок коммутатор добавляет тег с идентификатором VID, равным идентификатору PVID порта, через который этот кадр был принят. Если кадр содержит информацию о VLAN (маркированный кадр), то его принадлежность к конкретной VLAN определяется по идентификатору VID в заголовке кадра. Значение тега в нем не изменяется. Активизировав функцию проверки формата кадра на входе, администратор сети может указать, кадры каких форматов будут приниматься коммутатором для дальнейшей обработки. Управляемые коммутаторы D-Link позволяют настраивать прием портами либо только маркированных кадров (tagged_only), либо обоих типов кадров — маркированных и немаркированных (admitall). Внутри коммутатора все кадры являются маркированными. Правила продвижения между портами осуществляют принятие решения об отбрасывании или передаче кадра на порт назначения на основе его информации о принадлежности конкретной VLAN и МАС-адреса узла-приемника. Если входящий кадр маркированный, то коммутатор определяет, является ли входной порт членом той же VLAN, путем сравнения идентификатора VID в заголовке кадра и набора идентификаторов VID, ассоциированных с портом, включая его PVID. Если нет, то кадр отбрасывается. Этот процесс называется ingress filtering (входной фильтрацией) и используется для сохранения пропускной способности внутри коммутатора путем отбрасывания кадров, не принадлежащих той же VLAN, что и входной порт, на стадии их приема. Если кадр немаркированный, входная фильтрация не выполняется. Далее определяется, является ли порт назначения членом той же VLAN. Если нет, то кадр отбрасывается. Если же выходной порт входит в данную VLAN, то коммутатор передает кадр в подключенный к нему сегмент сети. Правила исходящего трафика определяют формат исходящего кадра — маркированный или немаркированный. Если выходной порт является немаркированным (untagged), то он будет извлекать тег 802.1Q из заголовков всех выходящих через него маркированных кадров. Если выходной порт настроен как маркированный (tagged), то он будет сохранять тег 802.1Q в заголовках всех выходящих через него маркированных кадров. Статические и динамические VLAN Для корректной работы виртуальной локальной сети требуется, чтобы в базе данных фильтрации (Filtering Database) содержаласьинформация о членстве в VLAN. Эта информация необходима для принятия правильного решения (переслать или отбросить) при передаче кадров между портами коммутатора. Существуют два основных способа, позволяющие устанавливать членство в VLAN: статические VLAN; динамические VLAN. В статических VLAN установление членства осуществляется вручную администратором сети. При изменении топологии сети или перемещении пользователя на другое рабочее место администратору требуется вручную выполнять привязку порт-VLAN для каждого нового соединения. Членство в динамических VLAN может устанавливаться динамически на магистральных интерфейсах коммутаторов на основе протокола GVRP (GARPVLANRegistrationProtocol). Протокол GARP (GenericAttributeRegistrationProtocol) используется для регистрации и отмены регистрации атрибутов, таких какVID. Статические записи о регистрации вVLAN(Static VLAN Registration Entries) используются для представления информации о статическихVLANв базе данных фильтрации. Эти записи позволяют задавать точные настройки для каждого портаVLAN:идентификаторVLAN, тип порта (маркированный или немаркированный), один из управляющих элементов протокола GVRP: Fixed (порт всегда является членом данной VLAN); Forbidden (порту запрещено регистрироваться как члену данной VLAN); Normal (обычная регистрация с помощью протокола GVRP). Управляющие элементы GVRP используются для активизации работы протокола на портах коммутатора, а также для указания того, может ли данная VLAN быть зарегистрирована на порте. Динамические записи о регистрации в VLAN (Dynamic VLAN Registration Entries) используются для представления в базе данных фильтрации информации о портах, членство в VLAN которых установлено динамически. Эти записи создаются, обновляются и удаляются в процессе работы протокола GVRP. Протокол GVRP Протокол GVRP определяет способ, посредством которого коммутаторы обмениваются информацией о сети VLAN, чтобы автоматически зарегистрировать членов VLAN на портах во всей сети. Он позволяет динамически создавать и удалять VLAN стандарта IEEE 802.1Q на магистральных портах, автоматически регистрировать и исключать атрибуты VLAN (под регистрацией VLAN подразумевается включение порта в VLAN, под исключением — удаление порта из VLAN). Протокол GVRP использует сообщения GVRP BPDU (GVRP Bridge Protocol Data Units), рассылаемые на многоадресный МАС-адрес 01-80-C2-00-00-21 для оповещения устройств-подписчиков о различных событиях. Оповещения (advertisement) могут содержать информацию о выполнении следующих действий: Join message — регистрация порта в VLAN. JoinEmpty: VLAN на локальном подписчике не настроена; JoinIn: VLAN на локальном подписчике зарегистрирована; Leave message — удаление VLAN с конкретного порта. LeaveEmpty: VLAN на локальном подписчике не настроена; LeaveIn: VLAN на локальном подписчике удалена; Leave message — удаление всех, зарегистрированных на порте VLAN. Это сообщение отправляется после того, как истечет время, заданное таймером LeaveAll Timer; Empty message — требование повторного динамического оповещения и статической настройки VLAN. Таймеры GVRP Join Timer— время в миллисекундах (100-100000), через которое отправляются сообщения JoinIn или JoinEmpty. Определяет промежуток времени между моментом получения коммутатором информации о вступлении в VLAN и фактическим моментом вступления в VLAN. По умолчанию установлено значение 200 миллисекунд. Leave Timer — когда коммутатор получает сообщение об исключении порта из VLAN (Leave message) от другого подписчика GVRP, он ожидает заданный период времени (от 100 до 100000 миллисекунд), определяемый таймером Leave Timer, чтобы убедиться, что информация о данной VLAN больше не существует в сети. Например, когда коммутатор получает сообщение Leave, он не удаляет мгновенно информацию о соответствующей VLAN, а запускает Leave Timer и ждет, когда его время истечет. Если за это время не будет получено сообщение JoinIn с информацией об удаляемой VLAN, то она будет коммутатором удалена. Обычно значение таймера Leave Timer устанавливают в два раза больше значения таймера Join Timer. По умолчанию значение таймера равно 600 миллисекунд. LeaveAU Timer — интервал времени в миллисекундах (100-100000), через который отправляется сообщение LeaveAll. Когда коммутатор — подписчик GVRP получает это сообщение, он перезапускает все таймеры, включая LeaveAll Timer. Обычно значение таймера LeaveAll устанавливают в два раза больше значения таймера Leave Timer. По умолчанию значение таймера равно 10000миллисекунд. Нарис.3.18показан процесс распространения информации оVLANпо сети с использованием протокола GVRP. На коммутаторе 1 созданы статические виртуальные сетиVLANv10, v20 и v30. Порт 25 является маркированным членом всехVLAN. Коммутатор 1 отправляет оповещение оVLANv30 через порт 25 коммутатору 2 (сообщение JoinEmpty). Коммутатор 2 получает это оповещение, динамически создаетVLANv30 и включает в нее порт 25. Порт 26 коммутатора 2 отправляет оповещение оVLANv30 коммутатору 3 (сообщение JoinEmpty), но сам не становится членом этойVLAN. Коммутатор 3 получает оповещение, динамически создаетVLANv30 и включает в нее порт 26. Далее коммутатор 3 изменяет состояниеVLANv30 с динамического на статическое и отправляет через порт 26 сообщение JoinIn о регистрации виртуальной сети. Коммутатор 2 получает это оповещение и регистрирует порт 26 вVLANv30, которая уже была создана ранее. Сообщение о регистрацииVLANv30 отправляется через порт 25 коммутатору 1. Получив это сообщение, коммутатор 1 перестает рассылать оповещения оVLANv30. Рис. 3.18.Процесс распространения информации о регистрации VLAN по сети Порт с поддержкой протокола GVRP подключается к сети VLAN только в том случае, если он непосредственно получает оповещение о ней. Если порт с поддержкой протокола GVPR передает оповещение, полученное от другого порта коммутатора, он не подключается к этой сети VLAN. Рис.3.19показывает процесс распространения информации об удалении VLAN по сети. На коммутаторе 1 удалена статическая VLANv30, и он отправляет сообщение LeaveIn через порт 25 коммутатору 2. Когда коммутатор 2 получит оповещение об удалении VLAN v30, он исключит порт 25 из этой VLAN и отправит сообщение LeaveIn коммутатору 3 через порт 26. Коммутатор 3 получит оповещение об удалении VLAN v30, но удалит ее не сразу, а по истечении периода, установленного таймером Leave Timer. После удаления VLAN v30 коммутатор 3 отправит через порт 26 сообщение LeaveEmpty. После получения этого сообщения коммутатор 2 исключит порт 26 изVLAN v30 и удалит ее по истечении периода, установленного таймером Leave Timer. Через порт 25 будет передано сообщение LeaveEmpty коммутатору 1. Коммутатор 1 исключит свой порт 25 из динамической VLAN v30
Дата добавления: 2017-06-02; просмотров: 1817;