Какво е VLAN?

VLAN е виртуална локална мрежа, която ви позволява да сегментирате вашата мрежа без необходимост от логическо физическо сегментиране. VLAN са много гъвкави и могат да се използват за осигуряване на сигурност, гъвкавост и предимства в производителността. VLAN работят чрез капсулиране на Ethernet рамки с VLAN хедър, който съдържа VLAN ID. Този идентификатор се използва за идентифициране кои устройства на коя VLAN са.

VLAN се създават чрез добавяне на комутационни портове към определена VLAN. Устройствата в една и съща VLAN могат да комуникират помежду си без нужда от рутер. Това прави VLAN много ефективни и лесни за управление. Можете да мислите за VLAN като за виртуален комутатор, който осигурява изолация между устройствата.

VLAN често се използват за разделяне на различни видове трафик като глас, видео и данни. Гласовият трафик обикновено се дава с приоритет в мрежата, така че да няма закъснения или изпуснати пакети. Видео трафикът също получава приоритет в мрежата, така че да може да се предава гладко без прекъсвания. Трафикът на данни обикновено е отделен в собствена VLAN, така че да не пречи на трафика в реално време, като глас и видео.

Как работи VLAN?

Виртуалната LAN (VLAN) е логическа мрежа, създадена от комутатори. VLAN съдържа комутационни портове, които са присвоени на VLAN и има уникален идентификатор, наречен VLAN ID.

В повечето случаи един физически комутатор може да има множество VLAN, конфигурирани върху него. Това позволява по-добра организация на трафика в мрежата и подобрена сигурност.

Когато дадено устройство изпраща данни към мрежата, то включва поле, наречено етикет, което идентифицира към коя VLAN трябва да бъдат изпратени данните. Комутаторът разглежда този етикет и след това препраща данните към всички устройства в тази VLAN.

Едно предимство на използването на VLAN е, че те могат да помогнат за намаляване на излъчвания трафик в мрежата. Излъчваният трафик е данни, които се изпращат до всички устройства в мрежата, независимо дали имат нужда от тях или не. Чрез разделянето на устройства в различни VLANs можете да контролирате кои излъчвания получава всяко устройство, което може да помогне за подобряване на производителността в мрежата.

IEEE 802.1Q формат на рамка

Според информацията, съдържаща се в неговите VLAN тагове, комутаторът идентифицира пакети от различни VLAN. IEEE 802.1Q добавя 4-байтов VLAN таг между MAC адреса на източника/дестинацията и полетата Дължина/тип на Ethernet рамка, за да идентифицира VLAN, към който рамката принадлежи.

Обикновен Ethernet кадър за данни

VLAN рамка с данни

Защо бихте използвали VLAN?

1. VLAN могат да се използват за сегментиране на мрежа на по-малки, по-управляеми секции.
2. VLAN мрежите могат да подобрят сигурността, като изолират трафика и го държат отделен от другите видове трафик.
3. VLAN мрежите могат да подобрят производителността чрез намаляване на трафика на излъчване и домейни на сблъсъци.
4. VLAN могат да се използват за създаване на виртуални мрежи, които могат да бъдат полезни за целите на тестване или обучение.

Каква е разликата между базирана на порт VLAN и базирана на тагове VLAN?

В VLAN, базирана на порт, всеки порт е присвоен на конкретна VLAN. Това позволява трафикът да бъде изолиран между различните VLAN мрежи. Базирана на TAG VLAN използва тагове, за да идентифицира кои пакети принадлежат към коя VLAN. Това позволява множество VLAN да бъдат присвоени на един порт.

VLAN, базирани на портове и базирани на етикети, са два различни вида виртуални LAN (VLAN), използвани в компютърните мрежи. Базираната на порт VLAN е най-често срещаният тип, при който всеки порт на мрежов комутатор е присвоен на определена VLAN. Базираната на тагове VLAN използва специални тагове за идентифициране на пакети, които принадлежат към различни VLAN мрежи, и е по-гъвкава от базираната на порт VLAN. Като цяло VLAN, базирани на тагове, се използват в корпоративни мрежи, докато VLAN, базирани на портове, се използват в мрежи за малък офис/домашен офис (SOHO).

VLAN се класифицират в следните типове:

1. VLAN за данни: VLAN за данни е VLAN, който пренася трафик на потребителски данни. VLAN за данни са известни също като потребителски VLAN. На всички портове на комутатора, които са членове на VLAN за данни, се присвоява един и същ VLAN ID.

2. Гласова VLAN: Гласовата VLAN е специален тип VLAN за данни, който е конфигуриран да пренася гласов трафик в реално време. Гласовите VLAN дават приоритет на гласовия трафик пред другите типове трафик и на всички комутационни портове, които са членове на гласова VLAN, се присвоява една и съща стойност за гласов клас на обслужване (CoS).

3, VLAN за наблюдение: VLAN за наблюдение е специален тип VLAN за данни, който е конфигуриран да пренася видео трафик в реално време. VLAN за наблюдение дават приоритет на гласовия трафик пред други типове трафик и на всички портове на комутатора, които са членове на VLAN за наблюдение, се присвоява една и съща стойност за гласов клас на услуга (CoS).

4. VLAN за управление: VLAN за управление е специален тип VLAN за данни, който се използва за извършване на трафик за управление извън лентата за устройства в мрежа, като комутатори, рутери и защитни стени. VLAN за управление обикновено използват IP адреси, които не могат да бъдат маршрутизирани в публичния интернет.

5. VLAN по подразбиране: VLAN по подразбиране е конфигурация на мрежов превключвател, в която всички портове са присвоени към една VLAN. Това може да опрости администрирането на комутатора, като позволи на всички устройства в една и съща VLAN да комуникират помежду си, без да е необходимо да конфигурирате отделни VLAN. Въпреки това, той може също така да създаде рискове за сигурността, като позволи на неоторизирани устройства да имат достъп до чувствителни данни.

6. Нативна VLAN: Нативната VLAN е VLAN, която пренася немаркиран трафик. Обикновено това е VLAN по подразбиране за нови портове на комутатор. Всички устройства в собствената VLAN могат да комуникират помежду си без маркиране на трафик.

VLAN Trunking

VLAN Trunking е процес на изпращане на трафик от множество VLAN през една физическа връзка. Това позволява по-голяма гъвкавост и ефективност при конфигуриране на мрежови устройства. В повечето случаи на всяка VLAN ще бъде присвоен собствен уникален идентификатор (ID). Когато конфигурирате VLAN трънкинг, идентификаторът се използва за указване кой трафик трябва да бъде изпратен през магистралната връзка.

Има две основни предимства от използването на VLAN трънкинг. Първо, може да помогне за подобряване на производителността на мрежата чрез намаляване на задръстванията в мрежата. Второ, може да осигури по-голяма сигурност чрез изолиране на трафика от различни VLAN. Това може да помогне за предотвратяване на неоторизиран достъп до чувствителни данни.

Има няколко неща, които трябва да имате предвид, когато конфигурирате VLAN трънкинг. Първо, важно е да се уверите, че портовете на комутатора са конфигурирани правилно. Второ, идентификаторът на всяка VLAN трябва да бъде уникален и не трябва да се използва повторно в други части на мрежата. И накрая, важно е да тествате конфигурацията, преди да я внедрите в производство.

Други аспекти на VLAN

Какво представляват двойните VLAN?

VLAN или виртуална LAN е група от устройства в една локална мрежа (LAN), които са конфигурирани да комуникират, сякаш са в отделна LAN. Двойната VLAN е две VLAN, които са конфигурирани да работят заедно.

Има няколко предимства от използването на двоен VLAN. Например, ако имате чувствителни данни в една VLAN, която искате да запазите защитена, можете да използвате втората VLAN като DMZ. Това ще ви позволи да запазите данните защитени, като същевременно позволявате достъп до тях от интернет. Друго предимство от използването на двоен VLAN е, че може да помогне за подобряване на производителността на мрежата. Чрез разделянето на трафика в различни VLAN мрежи можете да намалите задръстванията и да подобрите общата пропускателна способност. И накрая, използването на двойна VLAN може да увеличи сигурността чрез осигуряване на излишък. Ако една VLAN бъде компрометирана, другата все още може да осигури достъп до критични ресурси.

Като цяло има много предимства от използването на двойна VLAN конфигурация. Ако търсите да подобрите сигурността и производителността или просто искате повече гъвкавост в дизайна на вашата мрежа, тогава двойната VLAN може да бъде правилното решение за вас.

Какво е QinQ маркиране

В компютърните мрежи маркирането на QinQ е техника, използвана за разширяване на възможностите на виртуалните локални мрежи (VLAN). Вместо да има единична VLAN на клиент, QinQ позволява множество VLAN да бъдат пренасяни по една физическа връзка. Това може да бъде полезно в ситуации, в които клиентите трябва да се свържат с множество VLAN или когато доставчиците трябва да предложат различни нива на обслужване на една и съща физическа инфраструктура.

Маркирането на QinQ е разработено за първи път от Cisco Systems и понякога се нарича „маршрутизиране на Cisco Inter-Switch Link (ISL)“. Сега това е индустриален стандартен протокол и се поддържа от повечето големи мрежови доставчици.

За прилагане на маркиране на QinQ, на всеки клиент VLAN се дава уникален глобален идентификатор на моста на доставчика на услуги (S-TAG). S-TAG се използва за идентифициране на VLAN на клиента, когато се пренася през мрежата на доставчика. Когато VLAN на клиента достигне местоназначението си, S-TAG се премахва и оригиналният VLAN ID на клиента се възстановява.

Маркирането на QinQ може да се използва заедно с други техники, като например качество на услугата (QoS), за предоставяне на различни нива на услуга на различни клиенти. Например, доставчикът може да даде по-висок приоритет на клиентите, които плащат за първокласни нива на обслужване.

Като цяло, QinQ маркиране осигурява гъвкав начин за разширяване на възможностите на VLAN, като същевременно поддържа съвместимост със съществуващия мрежов хардуер и софтуер.