Типовые решения по организации корпоративных VLAN

В современных локальных сетях четко прослеживается тенденция перехода от систем с разделяемой средой на базе концентраторов к использованию коммутаторов.

Ключевая разница между коммутатором и концентратором заключается в способе работы с блоками информации - фреймами. Существуют фреймы следующих типов: unicast (адресованные на конкретный MAC адрес), broadcast (адресованные для всех MAC адресов в локальном сегменте), и multicast (адресованные для группы сетевых устройств в сегменте). Получив фрейм любого типа, концентратор копирует и передает (повторяет) его во все свои порты. Таким образом, каждый фрейм пересылается всем сетевым устройствам, которые самостоятельно определяют, кому он адресован. В сетях с большим количеством передаваемых фреймов, сетевые адаптеры тратят на процедуру опознания значительную часть процессорного времени, что приводит к потере производительности. Кроме того, большой поток фреймов приводит к увеличению вероятности возникновения коллизий.

Коммутатор работает с фреймами "интеллектуально" - он считывает MAC адрес каждого входящего фрейма и сохраняет его в таблице коммутации, которая помимо адресов содержит также номера портов. Поэтому коммутатор заранее знает, с каким портом связан тот или иной адрес, и пересылка данных происходит только в порт получателя. Помимо простой ретрансляции фреймов (forwarding), коммутатор также выполняет их буферизацию (buffering) и фильтрацию (filtering).

Однако широковещательные (broadcast) пакеты по-прежнему передаются в каждый порт. То же самое происходит в случае с пакетами, предназначенными устройствам с неизвестным MAC-адресом. Поток broadcast пакетов и пакетов с неизвестными адресами может привести к насыщению полосы пропускания и росту числа коллизий. Для того, чтобы этого не происходило, можно ограничить область распространения широковещательного трафика - организовать небольшие широковещательные домены (виртуальные LAN). В этом случае коммутаторы осуществляют пересылку broadcast пакетов (а также пакетов с групповыми и неизвестными адресами) только внутри виртуальных LAN, но не между ними.

Принадлежность к VLAN может быть задана по различным признакам:

• портам (наиболее частое использование)
• MAC адресам (очень редко)
• идентификаторам пользователя User ID (очень редко)
• сетевым адресам (редко в связи с ростом использования DHCP)

В современных условиях более 80% различных атак и попыток доступа к информации осуществляется изнутри локальных сетей. VLAN предоставляют дополнительные преимущества с точки зрения безопасности. Пользователи одной рабочей группы не могут получить доступ к данным другой группы, потому что каждая VLAN - это закрытый, логически обособленный домен. Представьте компанию, в которой финансовый департамент, работающий с конфиденциальной информацией, расположен на трех этажах офисного здания. На тех же этажах расположены инженерный департамент и отдел маркетинга. Сотрудники финансового департамента, инженерного отдела и отдела маркетинга подключены к сети как члены трех разных VLAN. При этом вся информация, пересылаемая между VLAN, может проходить только через маршрутизаторы на которых используются мощные средства безопасности. Следовательно, сетевой трафик, создаваемый финансовым департаментом будет надежно защищен.

Очень важным преимуществом VLAN является возможность создания рабочих групп, основываясь на функциональности, а не на физическом расположении. Традиционно администраторы группировали рабочие станции физическим перемещением пользователей, их столов и серверов в общее рабочее пространство, например в один сегмент. VLAN позволяет администратору создавать, группировать и перегруппировывать сетевые сегменты логически и немедленно, без изменения физической инфраструктуры и отключения пользователей. Возможность легкого добавления, перемещения и изменения пользователей сети - ключевое преимущество VLAN.

Основные термины

LAN (Local Area Network) - локальная сеть, предназначенная для объединения территориально сгруппированных сетевых устройств. Все сетевые устройства внутри LAN входят в broadcast домен. Они обладают информацией об MAC-адресах соседних сетевых адаптеров и обмениваются данными на втором (канальном) уровне семиуровневой модели OSI. Если LAN организована только при помощи концентраторов, мостов и коммутаторов, транслирующих broadcast пакеты на все свои порты, в ней существуют только один broadcast домен.

VLAN (Virtual Local Area Network) - виртуальная локальная сеть. Сетевые устройства, подключенные к одному и тому же коммутатору, могут входить в различные broadcast домены - виртуальные LAN. Устройства, входящие в одну VLAN, могут обмениваться информацией на втором (канальном) уровне, а входящие в разные VLAN - на третьем (сетевом) уровне семиуровневой модели OSI. Для обеспечения обмена информацией на третьем уровне применяются внешние маршрутизаторы или маршрутизирующие модули внутри коммутаторов.

VLAN Trunk - магистраль, в которую транслируются данные, принадлежащие различным VLAN. Чтобы данные не смешивались друг с другом, все транслируемые фреймы снабжаются специальными служебными заголовками. Формат заголовков определяется транковым протоколом. Транковый протокол это "язык", который коммутаторы используют для обмена информацией о VLAN. Существует два распространенных транковых протокола: IEEE 802.1q (промышленный стандарт) и ISL (лицензионный протокол Cisco Systems). Оборудование разных производителей может быть соединено через транковые порты только в случае поддержки одинакового протокола. Подключение обычного сетевого устройства к транковому порту невозможно.

Транковые порты используются в следующих случаях:

• коммутатор-коммутатор: для объединения коммутаторов c целью поддержки одинаковых VLAN
• коммутатор-маршрутизатор: для связи с внешним маршрутизатором, если коммутатор не имеет собственного маршрутизирующего модуля (маршрутизатор в таком варианте подключения принято называть "маршрутизатором на палочке" (router on a stick) или "одноруким маршрутизатором (one-armed router))
• коммутатор-сервер: для связи сервера с устройствами, входящими в различные VLAN

Стандарты IEEE:

• 802.3: протокол передачи данных со скоростью 10 Мбит/с
• 802.3u: протокол передачи данных со скоростью 100 Мбит/с
• 802.3z: протокол передачи данных со скоростью 1000 Мбит/с
• 802.1d: определяет функционирование мостов и построение сетевого дерева с помощью протокола STP
• 802.1p: определяет метод передачи информации о приоритете сетевого трафика
• 802.1q: определяет принадлежность кадра к виртуальной сети и приоритет передаваемых данных

Основные преимущества VLAN

1. Снижение нагрузки на сеть
2. Информационная безопасность
   • Объединение рабочих мест пользователей в функциональные группы, между которыми невозможен несанкционированный обмен данными на канальном уровне.
   • Разграничение доступа к серверам и принтерам.
   • Разграничения доступа к Internet
   • Взаимная изоляция сегментов сети, использующих различные сетевые протоколы (например: виртуальная сеть пользователей IPX, виртуальная сеть пользователей Apple)
3. Снижение затрат на эксплуатацию
   • Низкая стоимость перемещения, изменения и добавления сетевых пользователей
   • Уменьшение количества неиспользованных портов коммутаторов
4. Повышение надежности и отказоустойчивости сети
   • Изоляция broadcast-штормов
   • Ускоренная локализация неисправностей
   • Более полный контроль за трафиком
   • Эффективное использование ip адресов

Недостатки VLAN

1. Увеличение начальных расходов
2. Необходимость дополнительного обучения персонала.

Характеристики коммутаторов

Большинство современных коммутаторов позволяет организовать VLAN. На что следует обращать внимание при выборе того или иного коммутатора?

Поддержка различных сред
VLAN и связанные с ними коммутаторы должны поддерживать различные типы физических сред. В коммутируемых сетях возможна работа централизованных ресурсов с более высокими скоростями, нежели скорость рабочих станций. Например, рабочие станции Ethernet (10Мбит/с) могут работать с серверами Fast Ethernet или Gigabit Ethernet. Администратор сети должен быть уверен, что VLAN можно организовать для всех типов используемых в организации сетевых сред с учетом перспектив развития.

Сети на базе нескольких коммутаторов
Преимущества виртуальных сетей сильно снижаются в тех случаях, когда VLAN невозможно организовать на базе нескольких коммутаторов. Возможность расширения виртуальных сетей за пределы одного коммутатора особенно важна для сетей средних и крупных организаций, где число коммутаторов может быть достаточно большим. Во многих случаях может потребоваться объединение в одну виртуальную сеть рабочих станций или серверов, подключенных к разным коммутаторам. Для связи между коммутаторами обычно используются транковые порты.

Объединение коммутации и маршрутизации
Некоторые коммутаторы способны выполнять функции стандартной маршрутизации на сетевом уровне (IP и IPX). Такая возможность позволяет организовать обмен данными между VLAN без использования внешних маршрутизаторов. Однако в современных сетях уже установлено огромное число маршрутизаторов. Одним из способов их использования является организация обмена между VLAN. В этом случае маршрутизаторы делают то, для чего они предназначены - маршрутизируют межсетевой трафик. Для эффективной связи на участке коммутатор-маршрутизатор лучше всего подходит транковый порт. Поддержка на коммутаторе и маршрутизаторе одинаковых транковых протоколов - важный критерий выбора оборудования.

Возможность включения серверов в несколько VLAN
Подобно рабочим станциям серверы за последнее время стали гораздо мощнее. В эффективных реализациях виртуальных сетей серверы могут входить в несколько VLAN. Значительная доля трафика в таком случае не передается через маршрутизаторы. Для успешной работы в таком режиме необходима установка на сервер нескольких сетевых адаптеров (по количеству обслуживаемых VLAN) или одного сетевого адаптера с поддержкой транкового протокола. В последнем случае важно учитывать проблему совместимости.

Работа одного порта в составе нескольких VLAN
В отличие от транкового порта, такое подключение не требует поддержки специального протокола со стороны сетевого устройства, но и не обеспечивает взаимной изоляции VLAN друг от друга. Тем не менее, в ряде случаев такое решение целесообразно:

• Не каждому пользователю требуется вся полоса, предоставляемая выделенным портом коммутатора. Пользователей, которым выделенные порты не требуются можно сгруппировать с помощью традиционных концентраторов, выделяя для связи концентратора с сетью отдельный порт коммутатора. В этом случае желательно, чтобы этот порт коммутатора обеспечивал поддержку более, чем одной VLAN.
• Некоторые рабочие станции необходимо подключать к нескольким виртуальным сетям одновременно. Например, при создании виртуальных сетей по подразделениям предприятия, вице-президенту компании может потребоваться доступ в группы всех подчиненных ему подразделений (таким образом, рабочая станция вице-президента должна быть включена в виртуальные сети соответствующих подразделений).
• Другим примером может служить ситуация, когда рабочей станции требуется доступ к файловому серверу Novell NetWare и TCP/IP для работы с сервером приложений на базе UNIX. Эти два ресурса могут располагаться в разных виртуальных сетях и, следовательно, станции потребуется доступ в обе сети. При таком решении трафик TCP/IP не будет воздействовать на виртуальную сеть IPX и наоборот - трафик IPX не повлияет на приложения TCP/IP.

Скорость работы
Использование коммутаторов обычно связано с необходимостью повышения производительности сети при одновременном снижении расходов на оборудование. Организация виртуальных ЛВС не должна снижать производительность сети.

Коммутаторы производства Compex

SXP1216/24WM-A

Модели оснащены 16 и 24 управляемыми портами 10/100 с автоматическим определением скорости. Оборудованы одним слотом для оптоволоконного порта 100 Base-FX. Производительность: 6,4 Гбит/сек. 1024 MAC-адресов. Поддерживают транковый протокол IEEE 802.1q. Настройка через Web.

SGX3224/PLUS

Оснащен 24 управляемыми портами 10/100 с автоматическим определением скорости. Оборудован одним слотом для гигабитного порта 1000 Base, а так же снабжается программным обеспечением сетевого администрирования FreedomView Pro. Производительность: 9,2 Гбит/сек. 12000 MAC-адресов. Поддерживает транковый протокол IEEE 802.1q и управление приоритетами IEEE 802.1p. Настройка через консоль, Web, RMON и SNMP

Код	Название
SXP1216WM-A	16-Port 10/100Mbps Web Managed Switch 16 портов RJ-45 10/100Base-TX и 1 свободный слот
SXP1224WM-A	24-Port 10/100Mbps Web Managed Switch 24 портов RJ-45 10/100Base-TX и 1 свободный слот
SGX3224/PLUS	24-Port 10/100Mbps SNMP Managed Switch with Gigabit Link 24 порта RJ-45 10/100Base-TX и 1 свободный слот

Коммутаторы производства Allied Telesyn

AT-8124XL

Оснащен 24 управляемыми портами 10/100 с автоматическим определением скорости. Производительность: 9,6 Гбит/сек. 8000 MAC-адресов. Поддерживает транковый протокол IEEE 802.1q и управление приоритетами IEEE 802.1p. Настройка через консоль, Web, SNMP, telnet, имеет интерфейс командной строки.

Код	Название
AT-8124XL	AT-8124XL 24 порта RJ-45 10/100Base-TX

Коммутаторы производства Hewlett Packard

HP ProCurve Switch 2512 и 2524

Оснащены соответственно 12 и 24 управляемыми портами 10/100 с автоматическим определением скорости, оборудованы двумя слотами для гигабитных трансиверов, а так же снабжаются программным обеспечением сетевого администрирования HP TopTools. Производительность: 9,6 Гбит/сек. Позволяют организовать до 30 VLAN в одном устройстве. Поддерживают транковый протокол IEEE 802.1q. На коммутаторы распространяется пожизненная гарантия и бесплатное обновление программного обеспечения.

Код	Название
J4812A	HP ProCurve Switch 2512 12 портов RJ-45 10/100Base-TX и 2 свободных слота
J4813A	HP ProCurve Switch 2524 24 порта RJ-45 10/100Base-TX и 2 свободных слота

Коммутаторы производства 3Com

SuperStack 3 Switch 3300XM

Оснащен 24 управляемыми портами 10/100 с автоматическим определением скорости, без слотов расширения (имеет гигабитный порт для объединения в стек с другими коммутаторами) а так же снабжаются программным обеспечением сетевого администрирования. 12000 MAC-адресов. Поддерживает транковый протокол IEEE 802.1q и управление приоритетами IEEE 802.1p. Настройка через консоль, Web, RMON, SNMP. На коммутаторы распространяется пожизненная гарантия и бесплатное обновление программного обеспечения.

Код	Название
3C16985B-US	SuperStack 3 Switch 3300XM 24 порта RJ-45 10/100Base-TX

Коммутаторы производства Intel

Intel Express 460T

Две основные модели оснащены 16 и 24 управляемыми портами 10/100 с автоматическим определением скорости, оборудованы двумя слотами для оптоволоконных портов 100 Base-FX и одним слотом для гигабитного порта 1000 Base, а так же снабжаются программным обеспечением сетевого администрирования Intel Device View. Производительность: 9,6 Гбит/сек. 12000 MAC-адресов. Поддерживают транковый протокол IEEE 802.1q и управление приоритетами IEEE 802.1p. Настройка через консоль, Web, RMON и SNMP. На коммутаторы распространяется бесплатное обновление программного обеспечения

Код	Название
ES460TX16	16-портовый автономный коммутатор Intel® Express 460T 16 портов RJ-45 10/100Base-TX, 2+1 свободных слота
ES460TX24	24-портовый автономный коммутатор Intel® Express 460T 24 портов RJ-45 10/100Base-TX, 2+1 свободных слота

Коммутаторы производства Cisco Systems

Catalist 2912XL и 2924XL

Модели оборудованы соответственно 12 и 24 портами 10/100 с автоматическим определением скорости. Производительность 3.2 Гбит/сек. Устройства Enterprise Edition обладают расширенным набором возможностей, включая полную поддержку транковых протоколов IEEE 802.1q и ISL. Могут поддерживать до 64 VLAN в одном устройстве. Поддерживают протоколы управления SNMP, telnet, RMON, имеют интерфейс командной строки.

Код	Название
WS-C2912-XL-EN	Catalist 2912-XL-EN 12-port 10/100 Switch (Enterprise Edition)
WS-C2924-XL-EN	Catalist 2924-XL-EN 24-port 10/100 Switch (Enterprise Edition)

Маршрутизаторы производства Cisco Systems

Cisco 1751

Модель оснащена 3 слотами расширения, предназначенными для установки голосовых интерфейсных модулей и интерфейсных модулей WAN, одним портом 10/100BaseT Autosensing и портами Console и AUX. Устройства Cisco 1751 поддерживают тот же набор интерфейсных модулей WIC, что и устройства Cisco 1600, 1720, 2600 и 3600. Что касается голосовых интерфейсов Voice-over-IP (VIC), то для данных устройств применяются интерфейсные карты Cisco 2600 и 3600. Интерфейсные модули WIC поддерживают широкий спектр типов интерфейсов, включая Async/Sync Serial, ISDN BRI, Serial DSU/CSU для создания основных и резервных подключений к внешним сетям. Предусмотрена возможность использования Ethernet порта в режиме транкового соединения с поддержкой протокола IEEE 802.1q

Код	Название
CISCO1751	CISCO1751 10/100 Ethernet маршрутизатор с 2 слотами VIC/WIC и 1 одним слотом VIC

Cisco 2620

Устройства семейства Cisco 2600 Series позволяют обеспечивать в современных бизнес-сетях построение сплошной сетевой инфраструктуры с участием удаленных офисов. Модель Cisco 2620 обладает одним портом Fast Ethernet 10/100 Мбит/с и оснащена двумя слотами WAN, обеспечивающими установку интерфейсных модулей WIC (WAN Interface Card) и одним слотом для сетевого модуля. Модель Cisco 2620 обеспечивает хороший уровень гибкости и сохранения инвестиций за счет поддержки тех же модулей WIC, что и семейства Cisco 1600 Series, Cisco 1700 Series, 2600 Series, 3600 Series. При этом поддерживается широкий спектр внешних интерфейсов, включая Serial, ISDN BRI, а также обеспечивается работа в качестве устройств CSU/DSU для основных и резервных соединений WAN. Версия операционной системы IOS Plus предусматривает возможность использования Ethernet порта в режиме транкового соединения с поддержкой протоколов IEEE 802.1q и ISL.

Код	Название
CISCO2620	CISCO2620 10/100 Ethernet маршрутизатор с 2 слотами WIC и 1 одним слотом NM
CD26-CP-12.0.7	Cisco 2600 IP Plus Feature Pack Версия IOS, позволяющая использовать Ethernet порт в режиме транкового соединения

Серверные сетевые адаптеры производства 3Com

EtherLink 3C996-T

Ethernet, Fast Ethernet, Giga Ethernet. Модель имеет производительность до 950 Мбит/с. Повышение пропускной способности может быть достигнуто благодаря объединению каналов по технологии Fast EtherChannel. Поддерживает автоматическое согласование скорости передачи 10/100/1000 Мбит/с и полнодуплексного режима, транковый протокол 802.1q, управление приоритетами 802.1p, управление потоками данных 802.3x.

Код	Название
3C996-T	Etherlink 1000 PCI-X Server NIC 3C996-T

Серверные сетевые адаптеры производства Intel

Intel PRO/100

Отмеченные множеством наград серверные адаптеры Intel обеспечивают надежное, высокоскоростное и безопасное подключение к сети. Модели PRO/100+ и PRO/100 INTELLIGENT имеют производительность до 800 Мбит/с. Повышение пропускной способности может быть достигнуто благодаря объединению каналов по технологии Fast EtherChannel. Работает автоматическое согласование скорости передачи 10/100 Мбит/с и полнодуплексного режима, транковый протокол 802.1q, управление потоками данных 802.3x.

Код	Название
PILA8470B	PRO/100+ SERVER ADAPTOR Поддерживает транковый протокол 802.1q
PILA8480	PRO/100 INTELLIGENT SERVER ADAPTER Повышает производительности сервера благодаря встроенному процессору i960®, поддерживает транковые протоколы ISL и 802.1q