Виртуальные лвс. Типы VLAN. Стандарт ieee 802. 1q. Формат маркированного кадра Ethernet ieee 802. 1p/q. Правила продвижения пакетов VLAN 802. 1q.

 

Виртуальной сетью называется логическая группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети.

VLAN обладают следующими преимуществами:

- Гибкость внедрения. VLAN являются эффективным способом группировки сетевых пользователей в виртуальные рабочие группы, несмотря на их физическое размещение в сети.

- VLAN обеспечивают возможность контроля широковещательных сообщений, что увеличивает полосу пропускания, доступную для пользователя.

- VLAN позволяют усилить безопасность сети, определив с помощью фильтров, настроенных на коммутаторе или маршрутизаторе, политику взаимодействия пользователей из разных виртуальных сетей.

В коммутаторах могут использоваться три типа VLAN:

- VLAN на базе портов (каждый порт назначается в определенную VLAN, независимо от того, какой пользователь или компьютер подключен к этому порту, что означает, что все пользователи, подключенные к этому порту, будут членами одной VLAN).

- VLAN на базе MAC-адресов (членство в VLAN основывается на MAC-адресе рабочей станции, в таком случае свитч имеет таблицу MAC-адресов всех устройств вместе с VLANами, к которым они принадлежат).

- VLAN на основе меток в дополнительном поле кадра – стандарт IEEE 802.1q.

 

Стандарт IEEE 802.1q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети.

Основные преимущества:

1. Гибкость и удобство в настройке – можно создавать необходимые комбинации VLAN как в пределах одного коммутатора, так и во всей сети, построенной на коммутаторах с поддержкой стандарта 802.1q.

2. Возможность использования протокола Spanning Tree. Применение протокола Spanning Tree позволяет в крупных сетях, построенных на нескольких коммутаторах автоматически определять древовидную конфигурацию связей в сети при произвольном соединении портов между собой с помощью алгоритма покрывающего дерева. После построения схемы сети коммутаторы блокируют избыточные маршруты, таким образом, автоматически предотвращается возникновение петель в сети.

3. Способность VLAN 802.1q добавлять и извлекать метки из заголовков пакетов позволяет VLAN работать с коммутаторами и сетевыми адаптерами серверов и рабочих станций, которые не распознают метки.

4. Поддержка стандарта IEEE 802.1q устройствами разных производителей позволяет им работать вместе, не зависимо от какого-либо фирменного решения.

5. Не нужно применять маршрутизаторы. Чтобы связать подсети на сетевом уровне, достаточно включить нужные порты в несколько VLAN, что обеспечит возможность обмена трафиком. Например, для организации доступа к серверу из различных VLAN, нужно включить порт коммутатора, к которому подключен сервер во все подсети. Единственное ограничение – сетевой адаптер сервера должен поддерживать стандарт IEEE 802.1q.

В силу указанных свойств, VLAN 802.1q используются на практике гораздо чаще остальных типов

Формат маркированного кадра Ethernet:

После добавления метки контрольная сумма кадра пересчитывается.

К кадру Ethernet добавляется метка, которая состоит из:

1. Идентификатор протокола тегирования (Tag Protocol Identifier, TPID). Размер поля – 2 байта. Указывает какой протокол используется для тегирования. Для 802.1q/802.1p используется значение 0х8100.
2. Остальные 2 байта содержат информацию управления тегом (Tag Control Information, TCI):

- 3 бита приоритета передачи кодируют до восьми уровней приоритета кадра (от 0 до 7, где 7-наивысший приоритет), которые используются в стандарте 802.1р;

- 1 бит Canonical Format Indicator (CFI), который зарезервирован для обозначения кадров сетей других типов (Token Ring, FDDI), передаваемых по магистрали Ethernet и для кадров Ethernet всегда равно 0;

- 12-ти битный идентификатор VLAN - VLAN Identifier (VID).

VID является идентификатором виртуальной сети. Эти 12 бит позволяют определить 4096 различных виртуальных сетей, однако идентификаторы 0 и 4095 зарезервированы для специального использования, поэтому всего в стандарте 802.1q возможно определить 4094 виртуальные сети.

PVID (Port VID). Ассоциирует порт с VLAN. Каждому порту коммутатора присваивается уникальный PVID (Port VLAN Identifier), определяющий принадлежность порта к конкретной виртуальной сети внутри коммутатора (по умолчанию все порты коммутатора имеют одинаковый идентификатор PVID=1).

Коммутаторы, поддерживающие стандарт 802.1q, должны хранить таблицу, связывающую идентификаторы портов PVID коммутатора с идентификаторами VID сети. При этом каждый порт такого коммутатора может иметь только один PVID и столько идентификаторов VID, сколько позволяет память коммутатора, используемая для хранения таблицы VLAN.

 

Решение о продвижении кадра принимается на основе 3 следующих правил:

- Правила для входящего трафика – правила классификации получаемых кадров относительно принадлежности к VLAN.

- Правила продвижения между портами – принимается решение о продвижении или отбрасывании кадра.

- Правила для исходящего трафика – определяется, нужно ли маркировать кадр перед передачей его или нет.

 

Прием кадра Ethernet с маркером: Входной порт сначала определяет, является ли он сам членом данной VLAN. Если нет, то кадр отбрасывается. Если да, то определяется, является ли порт назначения членом данной VLAN. Если нет, то кадр отбрасывается. Если же порт назначения входит в данную VLAN, то он передает кадр в подключенный к нему сегмент сети.

Прием кадра Ethernet без маркера: Входной порт добавляет в заголовок кадра маркер с идентификатором VID, равным собственному PVID. Затем коммутатор определяет, принадлежат ли входной порт и порт назначения одной VLAN (имеют одинаковые VID). Если нет, кадр отбрасывается. В противном случае порт назначения передает кадр в подключенный к нему сегмент сети.

 

Каждый порт устройства, поддерживающего стандарт 802.1q, может быть настроен как tagging или как untagging.

Исходящий порт – маркированный порт: Порт, настроенный как tagging, будет добавлять номер VID, приоритет и другую информацию о VLAN в заголовок всех проходящих через него кадров. Если кадр приходит на порт уже маркированным, то данный кадр не изменяется, и таким образом сохраняется вся информация о VLAN. Информация о VLAN в теге может быть использована другими сетевыми устройствами, поддерживающими стандарт 802.1q, при принятии решения о продвижении кадра.

Исходящий порт – немаркированный порт: Порт, настроенный как untagging, будет извлекать маркер 802.1q из всех проходящих через него кадров. Если же кадр не содержит тег VLAN 802.1q, то порт не изменяет такой кадр.

Функция untagging используется при передаче кадров от сетевых устройств, поддерживающих стандарт 802.1q, на устройства, не поддерживающие этот стандарт.