Виртуальные Локальные Сети (VLAN)
Дизайн сетевых узлов рассчитан так, чтобы они подключались к локальным сетям той же топологии, и максимально прозрачно передавали и принимали информацию с помощью точек доступа или коммутаторов. Часто подобная гладкая, прозрачная топология нежелательна, особенно если данные по локальной сети отправляются и принимаются пользователями с различными правами доступа, например, гостями и администраторами. В свою очередь, виртуальные локальные сети, сокращенно VLAN, топологию локальной сети делят на логические сегменты так, чтобы изолировать трафик на отдельные широковещательные домены.
Теоретически, развертывание двух различных VLAN - это то же, что и настройка двух различных локальных сетей на одном оборудовании. Однако, виртуальные локальные сети объединяют оборудование наподобие топологии “Router-on-a-stick”.
В этом примере, три хоста, подключенных к одному коммутатору, связываются друг с другом через широковещательные сообщения. Но, после того как VLAN определен, хосту могут передавать данные другим локальным узлам только в пределах той же виртуальной локальной сети. Поэтому для трафика InterVLAN необходим роутер или маршрутизатор стандарта Layer-3.
В соответствии с протоколом 802.1 Q и отраслевым стандартом для виртуальных локальных сетей, сетевой трафик получает назначение сетей VLAN с помощью тегов. Более конкретно, заголовок кадра второго сетевого уровня получает определенный тег или VLAN ID, представляющий виртуальную локальную сеть, к которой принадлежит тегом отмеченный трафик.
В целом, большинство производителей, в том числе и Ubiquiti, по умолчанию используют VLAN1 для обозначения виртуальной локальной сети, чтобы сетевые устройства и протоколы обеспечивали связь непосредственно «из коробки».
Впрочем, сегодняшнее сетевое оборудование интерфейса Layer-2 поддерживают стандарт 802.1Q, позволяющий пакетам данных хостов получать назначение VLAN с помощью тегов. Поскольку трафик хоста в VLAN 10, 20 и 30 отмечаются соответствующим идентификатором виртуальной локальной сети (VLAN ID’s) они могут транслировать на другие узлы в пределах своих виртуальных локальных сетей и не передают данные на хосты других VLAN.
Для того, чтобы работать с трафиком, выделенным тегами, интерфейсы и порты получают ID порта VLAN, сокращенно PVID, и классифицируются как один из двух типов портов: Порты Доступа и Магистральные Порты.
Порты Доступа соединяют между собой оборудование локальной сети и поэтому имеют единый Port VLAN ID.
Что же касается магистральных портов, то они соединяются к таким же портам готового оборудования виртуальных локальных сетей и могут получать столько идентификаторов Port VLAN, сколько требуется в сетевой топологии.
Чтобы представить, как, отмеченные тегом, виртуальные локальные сети работают с трафиком, необходимо учитывать следующее:
-
хост отправляет трафик вверх по сети без тега;
-
неотмеченный тегом трафик достигает Порта Доступа в тот момент, когда Порт Доступ вводит VLAN ID или тег в заголовке кадра (Frame Header);
-
с тегом VLAN, внесенным в заголовке синхронизации кадра, магистральные порты распознают, какие участки сети второго уровня трафик VLAN должен передавать вверх по каналу.
-
поскольку трафик, отмеченный тегом, движется вниз, порт доступа удаляет тег VLAN из заголовка Layer-2 для того, чтобы хост принимал трафик без тега.
-
Магистральные порты при необходимости также могут переносить неотмеченный тегом трафик из заголовка второго уровня, но при условии, что такой трафик имеет только один VLAN ID.
Как и весь трафик, предназначенный для внешних сетей, меж локальные данные должны проходить через локальный шлюз.
То есть, схема маршрута межлокального трафика предварительно намечается по двум причинам:
-
На втором сетевом уровне каждая виртуальная локальная сеть — это отдельный широковещательный домен, в то время как на третьем уровне каждая VLAN получает уникальный сетевой IP-диапазон.
-
Подобно тому, как порты коммутатора и точки доступа беспроводных сетей с разными SSID получают идентификаторы PV, маршрутизатор может быть настроен с виртуальных интерфейсов для участия в сети VLAN.
