Назначение VLAN

Лабораторная работа №2. VLAN

1. Теоретические сведения

VLAN – от английского Virtual Local Area Network – логическая (виртуальная) локальная сеть. Она представляет собой группу устройств, которые могут взаимодействовать друг с другом на канальном уровне, хотя при этом могут быть подключены к различным коммутаторам. Иными словами, устройства взаимодействуют друг с другом таким образом, как если бы они были подключены к широковещательному домену. В то же время, устройства, находящиеся в различных VLAN и при этом подключенные к одному коммутатору, не могут возможности взаимодействия друг с другом на канальном уровне. Связь между ними возможна на сетевом и более высоких уровнях.

VLAN – один из наиболее распространенных механизмов логической сегментации сетей, защиты сетей от ARP-spoofing’а (одна из техник атаки, применяемая в сетях, использующих протокол ARP, позволяет перехватывать трафик между узлами, взаимодействующими в пределах одного широковещательного домена). Кроме того, VLAN используют для сокращения объёма широковещательного трафика в сети.

1. Назначение VLAN

С использованием VLAN открывается следующий ряд возможностей:

• сокращение объёма широковещательного трафика в сети – в связи с тем, что VLAN представляет собой отдельный широковещательный домен, при его создании на двух различных коммутаторах, их порты в совокупности будут образовывать один широковещательный домен. В то же время, при помощи VLAN возможно разбить порты одного коммутатора на несколько широковещательных доменов;
• повышение степени безопасности сети – при разбиении сети на VLAN появляется возможность применения политик безопасности ко всей подсети сразу, а не к устройствам по отдельности. Помимо этого, переход от одной VLAN к другой предполагает использование L3-устройства, на котором могут применяться политики, которые разрешают или запрещают доступ;
• гибкое разделение устройств по подсетям – в силу того, что VLAN не привязана к местоположению устройств, находящиеся на дальнем расстоянии друг от друга устройства, подключенные к различным коммутаторам, могут находиться внутри одной VLAN.

1. Тегирование трафика

Тегирование – процесс добавления метки (тега) VLAN к кадру. Как правило, конечные устройства (к примеру, компьютеры пользователей) не тегируют трафик. Эта задача возлагается на коммутаторы, работающие в сети. Более того, конечные устройства «не представляют», в каком VLAN они находятся. Таким образом, трафик в разных VLAN особо ничем не различается.

Однако, если через порт коммутатора может проходить трафик нескольких VLAN одновременно, его необходимо каким-то образом дифференцировать. Именно по этой причине каждый кадр должен быть определённым образом помечен, т.е. иметь информацию о принадлежности к VLAN. Наибольшее распространение получила технология, описанная в спецификации IEEE 802.1Q, но существуют и другие протоколы, к примеру, ISL (Cisco Systems).

• ISL – Inter Switch Link, протокол межкоммутационного канала – проприетарный протокол компании Cisco Systems, предназначенный для передачи информации о принадлежности трафика к VLAN. Данный протокол инкапсулирует исходный кадр, добавляя заголовок, содержащий информацию о принадлежности к VLAN. ISL был разработан до стандарта IEEE 802.1Q и какое-то время поддерживался на сетевом оборудовании Cisco наряду с 802.1Q, но в настоящее время протокол является устаревшим.
• IEEE 802.1Q – открытый стандарт, описывающий процедуру тегирования трафика для передачи информации о принадлежности его к VLAN. Данный стандарт, в отличие от ISL, не изменяет заголовки кадра, благодаря чему устройства, его не поддерживающие, могут передавать трафик без учёта его принадлежности к VLAN. 802.1Q помещает внутрь кадра тег, который передаёт информацию о принадлежности трафика к VLAN. Размер тега – 4 байта, состоит он из следующих полей (рисунок 1):

• Tag Protocol Identifier (TPID) — Идентификатор протокола тегирования. Размер поля — 16 бит. Указывает, какой протокол используется для тегирования. Для 802.1q используется значение 0x8100.
• Tag Control Information (TCI) - поле, инкапсулирующее в себе поля приоритета, канонического формата и идентификатора VLAN:
• Priority — приоритет. Размер поля — 3 бита. Используется стандартом IEEE 802.1p для задания приоритета передаваемого трафика.
• Canonical Format Indicator — индикатор канонического формата. Размер поля — 1 бит. Указывает на формат MAC-адреса. 0 — канонический (кадр Ethernet), 1 — не канонический (кадр Token Ring, FDDI).
• VLAN Identifier — идентификатор VLAN. Размер поля — 12 бит. Указывает, какому VLAN принадлежит фрейм. Диапазон возможных значений VID от 0 до 4094.

В стандарте 802.1Q существует понятие Native VLAN. По умолчанию это VLAN 1. Трафик, передающийся в этом VLAN, не тегируется.