С появлением этой технологии отпала необходимость образовывать изолированные сегменты физическим путем - его заменил программный способ, более гибкий и удобный.
Виртуальной сетъю (VLAN) называется группа узлов сети, трафик которой в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети. Это означает, что передача кадров между разными виртуальными сегментами на основании адреса канального уровня невозможна, независимо от типа адреса - уникального, группового или широковещательного. В то же время внутри виртуальной сети кадры передаются по технологии коммутации, то есть только на тот порт, который связан с адресом назначения кадра.
Виртуальные сети - это логическое завершение процесса повышения гибкости механизма сегментации сети, первоначально выполняемого на физически раздельных сегментах. При изменении состава сегментов (переход пользователя в другую сеть, дробление крупных сегментов) при таком подходе приходится производить физическую пере коммутацию разъемов на передних панелях повторителей или в кроссовых панелях.
Поэтому в больших сетях это превращается в постоянную и обременительную работу, которая приводит к многочисленным ошибкам в соединениях.
Промежуточным этапом совершенствования технологии сегментации стали много сегментные повторители. В наиболее совершенных моделях таких повторителей приписывание отдельного порта к любому из внутренних сегментов производится программным путем, обычно с помощью удобного графического интерфейса.
Программное приписывание порта сегменту часто называют статической или конфигурационной коммутацией.
Однако решение задачи изменения состава сегментов с помощью повторителей накладывает некоторые ограничения на структуру сети. Количество сегментов такого повторителя обычно невелико, поэтому выделить каждому узлу свой сегмент, как это можно сделать с помощью коммутатора, нереально. По этой причине сети, построенные на основе повторителей с конфигурационной коммутацией, по-прежнему основаны на разделении среды передачи данных между большим количеством узлов. Следовательно, они обладают гораздо меньшей производительностью по сравнению с сетями, построенными на основе коммутаторов.
При использовании технологии виртуальных сетей в коммутаторах одновременно решаются две задачи:
· повышение производительности в каждой из виртуальных сетей, так как в нее не заходит широковещательный трафик других виртуальных сетей;
· изоляция сетей друг от друга для управления правами доступа пользователей и создания защитных барьеров на пути нежелательного трафика.
Технология виртуальных сетей признается многими специалистами вторым по важности технологическим новшеством в локальных сетях после появления коммутаторов.
Для связи виртуальных сетей в интерсеть требуется привлечение сетевого уровня. Он может быть реализован в отдельном маршрутизаторе или работать в составе коммутатора, если это коммутатор третьего уровня.
Собственно, виртуальные сети и нужны для того, чтобы создать логическую структуру подсетей, являющуюся основой для работы маршрутизатора.
Технология образования и работы виртуальных сетей с помощью коммутаторов долгое время не была стандартизована, хотя она и реализуется достаточно давно и поддерживается широким спектром моделей коммутаторов разных производителей. Положение изменилось в 1998 году с принятием стандартов IEEE 802.1 p/Q,
однако фирменные версии VLAN еще будут некоторое время существовать в локальных сетях.
Фирменные технологии VLAN одного производителя, как правило, не совместимы с фирменными технологиями других производителей. Поэтому долгое время виртуальные сети создавались на оборудовании одного производителя.
Способы построения виртуальных сетей можно разбить на несколько основных схем:
· использование номеров подсетей сетевого уровня;
· группировка портов;
· группировка МАС-адресов;
· группировка протоколов сетевого уровня;
· использование номеров VCI/VPI технологии АТМ;
· добавление к кадрам канального уровня меток виртуальных сетей.
Все способы, за исключением первого, решают проблему создания виртуальных сетей на канальном уровне и поэтому не зависят от протоколов, работающих в сети на верхних уровнях.
Использование для создания VLAN номеров подсетей сетевого уровня требует, чтобы во всех узлах сети работал какой-либо протокол сетевого уровня, например, IР, IРХ или Арр1е Та1k, причем один и тот же. В этом случае концепция виртуальной сети полностью совпадает с пониманием этого термина на сетевом уровне, то есть виртуальная сеть IР является подсетью IР, а виртуальная сеть IРХ - подсетью IРХ. Такой подход требует и от коммутаторов обязательной поддержки сетевого протокола. Это пока еще не стало повсеместным явлением - "чистые" коммутаторы 2 уровня по-прежнему широко применяются в сетях.
Поэтому при стандартизации техники VLAN разработчики пошли по другому пути. Они разработали механизмы создания VLAN за счет средств только канального уровня.
Группировка портов коммутатора является одним из наиболее простых способов образования виртуальных сетей.
К каждому порту коммутатора приписывается номер виртуальной сети. При о6работке кадров, пришедших в коммутатор, проверяется, принадлежит ли порт назначения той же виртуальной сети, что и порт источника. Если да, то кадр передается (или подвергается дополнительной фильтрации, если коммутатор поддерживает пользовательские фильтры или механизмы профилирования трафика QoS). Этот способ не требует от администратора большой работы, и он также весьма экономичен при реализации в коммутаторах. Группировка портов плохо работает в сетях, построенных на нескольких коммутаторах. Это объясняется тем, что при переходе кадра от одного коммутатора информация о его принадлежности виртуальной сети теряется, если только коммутаторы не связаны между собой столькими портами, сколько всего имеется виртуальных сетей. Поэтому группировка портов применяется в коммутаторах совместно с другими способами поддержания виртуальных сетей, способных передавать информацию о принадлежности кадра определенной VLAN между коммутаторами.
Группировка МАС-адресов свободна от этого недостатка, но обладает другим. Нужно помечать номерами виртуальных сетей все МАС-адреса, имеющиеся в таблицах каждого коммутатора, а это кропотливая работа, сопоставимая с программированием в машинных кодах. Коммутаторы поддерживают этот способ, но он пригоден только для небольших сетей.
Группировка протоколов сетевого уровня не предназначена для последующего объединения виртуальных сетей с помощью маршрутизаторов. Этот способ отделяет трафик одного сетевого протокола от другого для предоставления определенного качества обслуживания или направления пакетов разных протоколов по разным каналам коммутируемой сети. Последние два способа объединяет то, что они используют специальное поле для хранения номера виртуальной сети в самом кадре. Это позволяет сохранять значение метки VLAN при перемещении кадров от одного коммутатора к другому.
Использование номеров VCI/VPI технологии АТМ применяется при передаче кадров локальных сетей через коммутаторы АТМ. При этом номер виртуальной сети отождествляется с номером виртуального пути VPI/VCI, используемого для передачи трафика этой виртуальной локальной сети через сеть АТМ. Этот способ стандартизован в протоколе LANE, разработанном АТМ Forum, и поддерживается всеми производителями коммутаторов АТМ для локальных сетей. Эмулируемые локальные сети ELAN стандарта LANE представляют те же виртуальные сети, изолированные друг от друга для всех видов адресов протоколов канального уровня локальных сетей. Для эффективного объединения ELAN маршрутизаторы могут применять стандарт МРОА, который создан для сквозной маршрутизации трафика ELAN через магистраль АТМ. Для согласованного применения технологии виртуальных сетей в масштабах всей корпоративной локальной сети пограничные коммутаторы между традиционными сегментами и магистралью АТМ должны отображать VLAN, построенные на основе одного из перечисленных способов, на ELAN, и наоборот.
Добавление к кадрам канального уровня меток виртуальных сетей является наиболее универсальным и надежным способом сохранения информации о номере VLAN при передаче кадров между коммутаторами.
В этом способе к обычному кадру локальной сети формата Ethernet, TokingRing или FDDI добавляется специальное поле для хранения номера виртуальной сети. Однако это требует изменения формата кадра технологии локальной сети, что не всегда удобно.
Производители коммутаторов достаточно давно применяют этот способ, но только на связях между коммутаторами. Поле, переносящее номер виртуальной сети, добавляется к кадру тогда, когда кадр передается от коммутатора к коммутатору, а при передаче кадра конечному узлу оно удаляется. При этом модифицируется протокол взаимодействия "коммутатор-коммутатор", а программное и аппаратное обеспечение конечных узлов остается неизменным.
Примеров фирменных протоколов, использующих метки VLAN в кадрах, много, но общий недостаток у них один - они не поддерживаются другими производителями. Даже у одной компании существовало несколько способов, маркировки кадров, в зависимости от используемой технологии.
Сегодня фирменные способы маркировки VLAN должны постепенно заменяться на стандартный способ, определенный в спецификациях IEEE 802.1 p/Q, которые решают и другие актуальные задачи.