Виртуальные организации породили виртуальные локальные сети. Какая же виртуальная ЛС наилучшим образом соответствует потребностям вашей виртуальной среды?


ПРАКТИЧЕСКАЯ НЕОБХОДИМОСТЬ
ВИРТУАЛЬНЫЕ ЛОКАЛЬНЫЕ СЕТИ НА БАЗЕ ПОРТОВ
СОЗДАНИЕ ВИРТУАЛЬНЫХ ЛОКАЛЬНЫХ СЕТЕЙ В СООТВЕТСТВИИ С MAC-АДРЕСАМИ
СОЗДАНИЕ ВИРТУАЛЬНЫХ ЛОКАЛЬНЫХ СЕТЕЙ НА ТРЕТЬЕМ УРОВНЕ
СОЗДАНИЕ ВИРТУАЛЬНЫХ ЛОКАЛЬНЫХ СЕТЕЙ НА ОСНОВЕ ПРАВИЛ
ИДЕНТИФИКАЦИЯ ВИРТУАЛЬНОЙ ЛОКАЛЬНОЙ СЕТИ

Мы живем в виртуальную эпоху. Появление виртуальных организаций привело к созданию кинофильмов и аркадных игр, познакомивших нас с виртуальной реальностью. Теперь возникла новая тенденция: виртуальные локальные сети (virtual local area network, VLAN).

Виртуальные организации быстро становятся реальностью современной жизни, поэтому технология VLAN привлекает все большее внимание администраторов сетей, так как она позволяет решить многие сложные задачи поддержки виртуальной рабочей среды. Виртуальная организация - это организация без фиксированной структуры, т. е. без обычных стен и границ. При такой структуре (или, если говорить точнее, при отсутствии формальной структуры) назначение сотрудников для участия в том или ином проекте производится в зависимости от их доступности и квалификации, без учета географического местоположения или принадлежности их к конкретному отделу. Таким образом, виртуальные организации позволяют компаниям максимально эффективно использовать своих сотрудников и их квалификацию и быстро реагировать на различные проблемы и проекты. Между тем в плане организации сети подобная поддержка представляет определенные трудности.

Когда виртуальные организации только начали появляться, для связи друг с другом сотрудники пользовались телефонами, факсимильной связью, голосовой и электронной почтой. Организация связи по сети предполагает создание широковещательного домена, членами которого были бы сотрудники виртуальной компании, поэтому она оказывалась зачастую неосуществима из-за нерегулярного характера такой компании. Необходимое для переключения кабелей и реконфигурации сети время нередко превышало длительность реализации самого проекта, для которого такая виртуальная организация создавалась.

Решить эту проблему был призван новый тип локальных сетей - виртуальные локальные сети (VLAN). VLAN представляют собой домен широковещательной рассылки, объединяющий группу подключенных к сети рабочих станций в соответствии с предопределенным критерием. В простейшем варианте VLAN может быть сегментом или кольцом локальной сети. В более сложных виртуальных локальных сетях членами VLAN являются только определенные станции сегмента или кольца. Коммуникации внутри виртуальных ЛС и между ними часто объединяются под общим термином виртуальные сетевые технологии (virtual networking), но нередко он означает просто использование Internet (вместо частной сети) для организации связи географически удаленных подразделений организации.

ПРАКТИЧЕСКАЯ НЕОБХОДИМОСТЬ

Существует несколько основных причин, заставляющих администраторов сетей обращать все более пристальное внимание на виртуальные локальные сети. Наиболее очевидная из них состоит в том, что такие сети легче привести в соответствие с требованиями виртуальной организации к сетевой среде. Среди других преимуществ - упрощение администрирования, более эффективное использование пропускной способности и даже более высокий уровень защиты в сети.

Применение оборудования, поддерживающего виртуальные локальные сети, позволяет существенно упростить задачи администрирования, такие как добавление к сети новых компонентов, их перемещение или удаление. Например, в некоторых виртуальных локальных сетях контроль за перемещениями рабочих станций осуществляется автоматически, поэтому вносить изменения в конфигурацию вручную не требуется.

Кроме того, в виртуальных локальных сетях пропускная способность используется эффективнее, чем в традиционных локальных сетях. В VLAN сеть логически разбивается на широковещательные домены. В такой конфигурации кадры или пакеты передаются членами виртуальной локальной сети только другим членам той же VLAN, а не всем станциям физической сети. Таким образом, широковещательный трафик (обычно генерируемый серверами, сообщающими о своем присутствии и возможностях другим сетевым устройствам) ограничивается предопределенным доменом, а не передается всем станциям сети.

Еще одно преимущество виртуальных локальных сетей заключается в более высоком уровне защиты. Обмен данными ограничивается широковещательным доменом, поэтому узлы не могут получать трафик, генерируемый в других доменах. Кроме того, применение анализаторов или аналогичных устройств мониторинга сети для чтения сетевого трафика в других виртуальных сетях, помимо той, к которой принадлежит пользователь, представляет значительные трудности.

Производители коммутаторов обычно используют три метода создания виртуальных локальных сетей: на базе портов, MAC-адресов и протоколов третьего уровня. Обычно коммутатор поддерживает только один из этих методов, каждый из которых отвечает одному из трех нижних уровней эталонной модели OSI: физическому, канальному и сетевому соответственно. Четвертый метод создания сетей VLAN - метод построения сетей на основе правил - предполагает анализ кадров и избирательное использование битов полей кадра. Каждый тип VLAN имеет свои преимущества и недостатки. Мы рассмотрим их все по порядку в соответствии с моделью OSI. Это позволит лучше понять, как они работают и какие возможности предоставляют.

ВИРТУАЛЬНЫЕ ЛОКАЛЬНЫЕ СЕТИ НА БАЗЕ ПОРТОВ

Как следует из названия, данный метод предусматривает создание широковещательного домена путем логического объединения портов в физической инфраструктуре коммуникационного устройства. Рисунок 1 иллюстрирует создание двух VLAN с помощью восьмипортового коммутирующего маршрутизатора с поддержкой виртуальных локальных сетей. В данном примере порты 0, 2, 3, 4 приписываются широковещательному домену первой виртуальной ЛС, а порты 1, 5, 6, 7 - широковещательному домену второй. Обратите внимание, что серверы принадлежат к разным виртуальным локальным сетям. Такая конфигурация означает, что клиентская рабочая станция в одной сети VLAN не может обмениваться данными с другой виртуальной локальной сетью.

Picture 1.

Рисунок 1.
В данной конфигурации для создания VLAN используется восьмипортовый коммутирующий концентратор, поддерживающий виртуальные локальные сети. Серверы приписаны к разным VLAN, поэтому рабочая станция в сети VLAN 1 не взаимодействует с рабочей станцией в сети VLAN 2.

Поддержка коммуникаций между виртуальными локальными сетями, как правило, требует использования маршрутизатора, функционирующего на сетевом уровне. Между тем, при необходимости обслуживания запросов клиентов нескольких VLAN, вы можете установить на каждом сервере дополнительные сетевые адаптеры. К сожалению, из-за недостатка разъемов расширения и ограниченности объема памяти (для поддержки нескольких драйверов адаптеров локальной сети) на сервере такой метод позволяет создать лишь небольшое число виртуальных ЛС.

Создание VLAN на базе портов осуществляется обычно с помощью двух типов устройств: концентраторов и коммутаторов локальных сетей. Интеллектуальные концентраторы, поддерживающие VLAN, предусматривают выделение портам в одном сегменте всей пропускной способности внутренней шины на заданный интервал времени. Другими словами, они используют мультиплексирование с разделением по времени. Интеллектуальные концентраторы, поддерживающие виртуальные локальные сети, более экономичны, чем коммутаторы, и отвечают потребностям многих организаций в подобных сетях. В то же время они имеют несколько недостатков, включая невозможность расширения виртуальной сети "за рамки" концентратора. Кроме того, каждый раз при переключении станции с одного порта на другой администратору придется вносить изменения в конфигурацию.

Чтобы проиллюстрировать данное замечание, обратимся вновь к Рисунку 1. Предположим, что сотруднику, представленному клиентом 4, поручили заниматься проектом, связанным с VLAN 1. Такой поворот событий требует изменения принадлежности данного сотрудника к виртуальной локальной сети. При использовании метода создания VLAN на базе портов и интеллектуального концентратора необходимо с помощью консоли этого устройства изменить соответствие между портами и виртуальными ЛС. В данном примере потребовалось бы отменить принадлежность порта к VLAN 2 и приписать его к широковещательному домену, связанному с VLAN 1. Такое изменение приводит к созданию новых соответствий для VLAN, показанных на Рисунке 2.

Picture 2.

Рисунок 2.
При создании VLAN на базе портов изменение принадлежности порта к виртуальной локальной сети производится с консоли устройства. Для приписывания клиента номер 4 сети VLAN 1 нужно аннулировать принадлежность порта 5 к VLAN 2 и связать его с широковещательным доменом VLAN 1.

Коммутаторы имеют более развитые функциональные возможности, нежели интеллектуальные концентраторы. Обычно они могут обмениваться управляющей информацией с другими коммутаторами (того же производителя). Это позволяет создавать виртуальные локальные сети, охватывающие несколько коммутаторов, так что получаемые VLAN могут объединять сотни и даже тысячи портов на множестве коммутаторов. Потенциальный недостаток создания виртуальных локальных сетей на базе портов независимо от того, какое устройство используется для этих целей - концентратор или коммутатор, - заключается в жесткой привязке членства в VLAN, в соответствии с правилом "все или ничего": либо все станции, подключенные к порту, являются членами данной VLAN, либо ни одна из них не входит в виртуальную локальную сеть. Другими словами, сети VLAN на базе портов, создаваемые с помощью концентраторов или коммутаторов, способны поддерживать только одну виртуальную локальную сеть на порт.

СОЗДАНИЕ ВИРТУАЛЬНЫХ ЛОКАЛЬНЫХ СЕТЕЙ В СООТВЕТСТВИИ С MAC-АДРЕСАМИ

Второй метод создания VLAN предполагает использование MAC-адреса каждого подключенного к концентратору устройства. Такой адрес может быть как "прошит" в плате, так и программно конфигурируем. В первом случае он является уникальным в глобальном масштабе, во втором - в локальном. Данный метод организации виртуальных локальных сетей именуют также созданием VLAN второго уровня, потому что сеть организуется на канальном уровне (втором уровне модели OSI). Аппаратной платформой для построения сетей VLAN на базе MAC-адресов служит коммутирующий концентратор, которым MAC-адреса ставятся в соответствие с широковещательным доменом виртуальной локальной сети.

При использовании MAC-адресов в качестве механизма создания виртуальных локальных сетей вы получаете большую гибкость в плане изменения конфигурации, чем при построении сетей VLAN с помощью портов. Возвращаясь к примеру, иллюстрируемому Рисунками 1 и 2, мы будем теперь предполагать, что процесс создания VLAN основывается на MAC-адресе каждой рабочей станции и сервера. Это означает, что если из-за перепланировки, нового назначения или реорганизации сотрудник физически перемещается с одного порта на другой, то коммутатор автоматически отслеживает данное перемещение. Теоретически все это достаточно просто: коммутатор распознает, что шестнадцатеричный адрес платы адаптера локальной сети теперь ассоциируется с другим портом. Такое распознавание происходит при передаче адаптером кадра и считывании коммутатором адреса его отправителя. Поскольку соответствие в этом случае устанавливается на основании MAC-адресов, а не портов, подобный метод создания виртуальной локальной сети позволяет также соотносить отдельных пользователей на одном и том же порту с разными виртуальными локальными сетями.

Хотя применение метода создания VLAN на базе MAC-адресов существенно облегчает контроль за перемещениями в сети, процесс определения конфигурации может потребовать значительно больше времени, чем конфигурирование VLAN на базе портов. Прежде всего, уже сам ввод длинного списка MAC-адресов с указанием имен сотрудников и/или местонахождения их компьютеров отнимает много времени (к тому же он чреват ошибками). Хотя некоторые концентраторы используют процедуру автоматического обнаружения для создания исходной таблицы MAC-адресов, этот список все равно потребуется просмотреть и определить, что, например, шестнадцатеричное значение 05-3A-1B-04-06-0A соответствует рабочей станции имярека в страховом отделе. Между тем, несмотря на утомительность данного процесса, последующая реконфигурация виртуальных ЛС на базе MAC-адресов требует значительно меньше усилий, чем в случае сетей VLAN на базе портов.

Хотя виртуальные локальные сети на базе MAC-адресов и на базе портов отличаются гибкостью конфигурации, в отношении взаимодействия между отдельными VLAN они похожи. В обоих типах сетей для доступа к другим VLAN необходимо либо установить на сервере несколько сетевых адаптеров, либо использовать маршрутизатор для организации связи между виртуальными ЛС на сетевом уровне. К сожалению, применение обычных маршрутизаторов требует наличия выделенного порта для каждой виртуальной локальной сети. Это связано с тем, что большинство маршрутизаторов используют двухпортовые модули, включающие в себя порт локальной сети и порт глобальной сети, а каждый двухпортовый модуль расширения по стоимости примерно эквивалентен широкоэкранному 52-дюймовому телевизору. Кроме того, эти затраты не учитывают стоимость дополнительных портов коммутатора, необходимых для каждого соединения типа VLAN-маршрутизатор.

Применение маршрутизатора для организации взаимодействия между виртуальными локальными сетями показано на Рисунке 3 слева. Если какой-либо виртуальной локальной сети необходимо взаимодействие с другими VLAN, то ей требуется выделить отдельное соединение. Маршрутизатор регулирует трафик между портами на сетевом уровне.

Picture 3.

Рисунок 3.
На рисунке слева взаимодействие между виртуальными локальными сетями осуществляется с помощью обычного маршрутизатора. Поскольку каждой VLAN требуется один порт, такая конфигурация обходится дорого и снижает производительность маршрутизатора. В то же время маршрутизатор с портом глобальной сети (справа) способен поддерживать несколько подсетей IP с помощью одного порта.

Понимая, что стоимость выделения одного порта маршрутизатора на каждую виртуальную ЛС может быть весьма высокой, а возможности наращивания мощности маршрутизатора ограничены, компания RAD Data Communications разработала маршрутизатор для связи VLAN через глобальный порт. На Рисунке 3 справа показано, как такой маршрутизатор можно использовать для взаимодействия между виртуальными локальными сетями. Такой метод применяется и для создания VLAN на третьем уровне.

СОЗДАНИЕ ВИРТУАЛЬНЫХ ЛОКАЛЬНЫХ СЕТЕЙ НА ТРЕТЬЕМ УРОВНЕ

Организуемые на третьем уровне сети VLAN используют информацию, содержащуюся в заголовках пакетов сетевого уровня. Таким образом, реализация данного метода построения виртуальных ЛС возможна только при применении маршрутизаторов и коммутаторов, поддерживающих маршрутизацию на третьем уровне. Критерии, в соответствии с которыми создаются подобные VLAN, напоминают принципы работы маршрутизатора, иными словами, они позволяют использовать в качестве критерия построения виртуальной локальной сети подсети IP и сетевые адреса IPX, домены AppleTalk и протоколы третьего (сетевого) уровня. Рисунок 4 иллюстрирует создание двух VLAN в соответствии с сетевыми адресами IP. В данном примере первая виртуальная локальная сеть соотносится с широковещательным доменом, образованным подсетью 198.78.55, которая, в свою очередь, представляет IP-адрес класса C. Вторая виртуальная локальная сеть соотносится с подсетью 198.78.42, представляющей другой IP-адрес класса C.

Picture 4.

Рисунок 4.
Применяя метод создания виртуальных локальных сетей третьего уровня, VLAN можно создавать в соответствии с сетевыми IP-адресами.

Использование виртуальных локальных сетей третьего уровня дает три основных преимущества: гибкость, простоту конфигурации и поддержку взаимодействия между VLAN. Что касается гибкости, при перемещении пользователя в другой сегмент той же подсети многие коммутаторы, поддерживающие создание виртуальных локальных сетей на третьем уровне, отслеживают подобные изменения и не требуют изменения конфигурации коммутатора. Конфигурация виртуальных ЛС уровня 3 может происходить автоматически, поскольку коммутатор анализирует IP-адреса сетевых станций, соотносимых с каждой VLAN. Таким образом, поддержка VLAN третьего уровня обходится дешевле и требует существенно меньших усилий, чем для других типов сетей.

Еще одно преимущество виртуальных локальных сетей уровня 3 состоит в том, что они поддерживают маршрутизацию. Это означает встроенную поддержку взаимодействия между VLAN. Если коммутатор предусматривает средства транкинга, то его можно подключить к маршрутизатору через один глобальный порт. Если виртуальные локальные сети третьего уровня создаются на базе подсетей IP, то маршрутизатор будет соотносить с каждой подсетью уникальный MAC-адрес отправителя. Это действие позволяет переадресовать трафик с маршрутизатора обратно на коммутатор, но с указанием другого MAC-адреса отправителя (в зависимости от адреса подсети). В результате трафик направляется через коммутатор на его порты, соотносимые с другой VLAN. Такой метод позволяет обойтись одним соединением между маршрутизатором (манипулирующим MAC-адресами) и коммутатором, так как с точки зрения коммутатора оно выглядит как несколько соединений. Между тем, поскольку обычный маршрутизатор не может поддерживать несколько подсетей IP на один порт, он не обеспечивает маршрутизацию через один глобальный путь.

СОЗДАНИЕ ВИРТУАЛЬНЫХ ЛОКАЛЬНЫХ СЕТЕЙ НА ОСНОВЕ ПРАВИЛ

Недавно появился новый тип виртуальных локальных сетей - VLAN на основе правил. Возможность создания виртуальных ЛС на основе правил зависит от коммутатора - от его способности анализировать пакеты и использовать заранее определенные поля, фрагменты полей и даже отдельные биты как механизмы построения VLAN. Данный метод обеспечивает практически неограниченные возможности создания виртуальных локальных сетей, например на базе конкретного адреса подсети IP, за исключением адреса заданного узла, в соответствии с определенным значением в поле типа или даже по принципу включения всех пользователей сети, чьи компьютеры имеют сетевые платы указанного производителя.

Одно из преимуществ данного метода заключается в том, что виртуальной локальной сети можно выделить один IP-адрес. Это позволяет сетевым станциям динамически присоединяться к группе многоадресной рассылки IP, без снижения пропускной способности, доступной другим пользователям, приписанным к той же подсети, но находящимся в других сегментах на том же коммутаторе.

С помощью средств "регистрации" отдельного пользователя сети можно сделать членом "однопользовательской виртуальной локальной сети", соответствующей адресу класса D, так что пакеты с адресом класса D будут маршрутизироваться в конкретный сегмент (даже когда несколько сегментов принадлежат к одной подсети). Таким образом, выделение виртуальной локальной сети одного IP-адреса ограничивает многоадресную передачу одним сегментом.

Хотя создание сетей VLAN на основе правил обеспечивает значительно большую гибкость, чем построение VLAN с применением других методов, процесс конфигурации таких виртуальных локальных сетей отнимает много времени. Кроме того, при определении сложных правил для VLAN, требующих сравнения значений множества полей кадра (или даже отдельных битов полей), нагрузка на модули коммутаторов по выполнению соответствующих вычислений заметно возрастает, что может отрицательно сказаться на пропускной способности и увеличить задержку при передаче пакетов.

ИДЕНТИФИКАЦИЯ ВИРТУАЛЬНОЙ ЛОКАЛЬНОЙ СЕТИ

Описываемые здесь методы создания виртуальных локальных сетей называются неявными методами идентификации VLAN, поскольку каждый кадр, проходящий через коммутатор, неявно ассоциируется с VLAN по порту, MAC-адресу, протоколу или какой-то другой характеристике кадра. Стремясь обеспечить взаимодействие между оборудованием разных производителей и стандартизировать его, Институт инженеров по электротехнике и электронике (IEEE) сформировал комитет IEEE 802.1Q, задача которого состоит в разработке стандартов VLAN. Данный комитет занимается, в частности, созданием спецификаций явной идентификации, фактически дополняющей кадры унаследованных ЛС полями, необходимыми для определения принадлежности к VLAN.

Хотя комитет прилагает немалые усилия для определения тегов VLAN, доведение стандарта до такого уровня, чтобы его могли реализовать производители, требует решения целого ряда проблем. На этом пути необходимо устранить ряд "белых пятен", включая механизмы регистрации сетевых станций (их приписывания к выделенной виртуальной локальной сети), влияние новых, расширенных кадров на несовместимые с VLAN повторители, мосты или другие сетевые устройства, если они будут использоваться в среде VLAN. Работа над этими стандартами должна завершиться в июне 1998 г., поэтому у комитета IEEE 802.1Q осталось не так много времени, чтобы виртуальные локальные сети не создавали реальных проблем.

Гилберт Хелд - всемирно известный автор и лектор, специализирующийся на коммуникационных технологиях. Его перу принадлежат такие книги, как "Производительность локальных сетей: вопросы и ответы", "Защита ресурсов локальных сетей" и "Сети Ethernet", опубликованные издательством John Wiley&Sons. Последняя книга Хелда, "VLAN и организация виртуальных сетей", также выпущена данным издательством. С Гилбертом Хелдом можно связаться через Internet по адресу: 235-8068@mcimail.com.

Поделитесь материалом с коллегами и друзьями