VLAN: Виртуальные локальные сети в инфраструктуре офиса

Использование коммутаторов с поддержкой VLAN позволяет предоставить отдельное, физически-защищенное сетевое пространство для предприятий холдинга, производственного комплекса, бизнес - центра, клиентов арендодателя, медицинских центров.

Типы VLAN

VLAN на базе порта (Port Based VLAN). Это сети самой простой топологии, созданной на основе одного коммутатора. Благодаря простой схеме такой сетью легко управлять. В подобных сетях также легко обеспечить высокий уровень безопасности передаваемых данных. Port Based VLAN позволяют создавать VLAN из портов различного типа, расположенных на одном сетевом шлюзе. Виртуальные сети подобного типа являются статичными – администратор не может внести изменения в схему подключения устройств без их физического переключения.

VLAN на базе MAC -адресов. Виртуальные локальные сети данного типа позволяют объединять в сегмент MAC-адреса хостов.
MAC-адрес (Media Access Control) — уникальный идентификатор, сопоставляемый с сетевыми и компьютерными устройствами разных типов. Большинство сетевых протоколов канального уровня используют одно из трёх пространств MAC-адресов, управляемых IEEE: MAC-48, EUI-48 и EUI-64.

VLAN на базе признака позволяет создавать VLAN по какому-либо признаку. Признак записывается после MAC-адреса источника в кадре Ethernet, что помогает идентифицировать VLAN. Такие сети могут работать между несколькими коммутаторами, поддерживающими IEEE 802.1Q.

Самый оптимальный способ создания защищенных узлов VLAN - по меткам, когда номер виртуальной сети добавляется к кадру, передаваемому между коммутаторами. В глобальных сетях получила распространение технология MPLS (MultiProtocol Label Switching). MPLS использует метки для разделения трафика и образования виртуальных каналов в IP и ATM- сетях.

Конфигурация виртуальной локальной сети

Объединение сетевых устройств VLAN в отдельные группы может производиться по некоторым общим критериям:
• по виду выполняемых ими функций
• типу используемых приложений
• использованию различных видов сетевых ресурсов.

Конфигурация типичной локальной сети определяется физической инфраструктурой соединения устройств, образующих сеть. Группировка пользователей осуществляется исходя из расположения их компьютеров по отношению к концентратору (hub), и основывается на структуре кабелей, ведущих к монтажному шкафу.

Маршрутизатор в виртуальной сети выполняет функцию широковещательного брандмауэра, поддерживает сегментацию сети и защищает ее от интернет-атак. В то же время сегменты, созданные коммутаторами, таким свойством не обладают. Такой тип сегментации при группировке не учитывает взаимосвязи рабочих групп и требования к ширине полосы пропускания. Вследствие этого они используют один и тот же сегмент и в равной степени претендуют на одну и ту же полосу пропускания, хотя требования к ней для различных групп и подразделений могут значительно различаться.

В структуре VLAN действует терминология широковещательных доменов, broadcast domain. Это отдельные подсети виртуальной сети, которые коммутируются только между внутренними портами виртуальной сети. Ранее в виртуальных сетях применялась разметка портов, которая объединяла в один домен устройства группы, определенные по умолчанию. Современные VLAN позволяют объединить в сеть географически разделенных пользователей в единую защищенную сеть.

Маршрутизаторы в виртуальных сетях

Маршрутизаторы в WiFi-сетях также необходимы, как и в традиционных сетях. Основные функции маршрутизаторов виртуальной сети: управление процессом обмена информацией между логически определенными рабочими группами и предоставление устройствам доступа к общим сетевым ресурсам.

Static VLAN - статическая виртуальная сеть

Static VLAN представляет собой совокупность портов коммутатора, статически объединенных в виртуальную сеть. Эти порты поддерживают назначенную конфигурацию до тех пор, пока она не будет изменена администратором. Статические виртуальные сети эффективно работают в ситуациях, когда необходимо контролировать переезды пользователей и вносить соответствующие изменения в конфигурацию.

Dynamic VLAN -динамические виртуальные сети

Динамические виртуальные сети (dynamic VLAN) представляют собой логическое объединение портов коммутатора, которые могут автоматически определять свое расположение в виртуальной сети. Функционирование динамической виртуальной сети основывается на МАС-адресах, на логической адресации или на типе протокола пакетов данных.

При первоначальном подключении станции к неиспользуемому порту коммутатора соответствующий коммутатор проверяет МАС-адрес в базе данных управления виртуальной сетью и динамически устанавливает соответствующую конфигурацию на данном порте.

Основными достоинствами такого подхода является уменьшение объема работ в монтажном шкафу при добавлении нового пользователя или при переезде уже существующего и централизованное извещение всех пользователей при добавлении в сеть неопознанного пользователя. Основная работа в этом случае заключается в установке базы данных в программное обеспечение управления виртуальной сетью и в поддержания базы данных, содержащей точную информацию обо всех пользователях сети.
 

 CISCO Catalyst для использования в виртуальной локальной сети

ИЦ  Телеком-Сервис  предлагает масштабируемое решение для построения виртуальных локальных сетей 802.1q и ISL на основе коммутаторов CISCO Systems Catalyst.

До массового применения в сетях коммутаторов VLAN проблема возведения барьеров на пути нежелательного трафика решалась с помощью разделения сети на физически несвязные сегменты и объединения их с помощью маршрутизаторов. Обычные коммутаторы Ethernet обеспечивают простое объединение устройств с возможностью быстрой обработки трафика на основе сетевого адреса. Они могут повысить пропускную способность сети, но не создают надежные барьеры на пути ошибочного и нежелательного трафика.

Виртуальные  локальные сети  на оборудовании CISCO Systems Catalyst - это повышение гибкости механизма сегментации сети, первоначально выполняемого на физически раздельных маршрутизаторами сегментах. Настраиваемые на одном коммутаторе Catalyst они позволяют физически разделить подсети по определенным портам.

Вас также могут заинтересовать следующие разделы:

Построение СКС в Москве и Московской области
СКС: монтаж, интеграция с ИТ-системаой, обслуживание
Решения Cisco для компаний с развивающейся сетевой инфраструктурой 
IBM - современные решения и технологии
Современные IBM blade-серверы для выкоконагрузочных проектов
Системы охранной сигнализации для защиты периметра, СОС
Структурированные кабельные системы RiT Technologies
VPN  и безопасность кабельных сетей
Структурированные кабельные системы и решения Panduit