...
...
...

Виртуальные ЛВС в вашей организации

К сожалению, многие современные предприятия и организации практически не используют такую полезную, а часто просто необходимую возможность, предоставляемую большинством современных коммутаторов локальных вычислительных сетей (ЛВС), как организация виртуальных ЛВС (ВЛВС) в рамках сетевой инфраструктуры. Трудно сказать, чем это вызвано. Возможно, недостатком информации о преимуществах, предоставляемых технологией ВЛВС, ее кажущейся сложностью, или нежеланием использовать "сырое" средство, не гарантирующее интероперабельность между сетевыми устройствами различных производителей (хотя технология ВЛВС уже год как стандартизована, и все ведущие производители активного сетевого оборудования поддерживают этот стандарт). Поэтому данная статья посвящена технологии ВЛВС. В ней будут рассмотрены преимущества от использования ВЛВС, наиболее распространенные способы организации ВЛВС и взаимодействия между ними, а также особенности построения ВЛВС при использовании коммутаторов некоторых известных производителей.

зачем это нужно Что же такое ВЛВС? Это группа подключенных к сети компьютеров, логически объединенных в домен рассылки широковещательных сообщений по какому-либо признаку. Например, группы компьютеров могут выделяться в соответствии с организационной структурой предприятия (по отделам и подразделениям) или по признаку работы над совместным проектом либо задачей.

Использование ВЛВС дает три основных преимущества. Это значительно более эффективное использование пропускной способности, чем в традиционных ЛВС, повышенный уровень защиты передаваемой информации от несанкционированного доступа и упрощение сетевого администрирования. Так как при использовании ВЛВС вся сеть логически разбивается на широковещательные домены, информация передается членами ВЛВС только другим членам той же ВЛВС, а не всем компьютерам физической сети. Таким образом, широковещательный трафик (обычно генерируемый серверами, сообщающими о своем присутствии и возможностях другим устройствам сети) ограничивается предопределенным доменом, а не передается всем станциям сети. Этим достигается оптимальное распределение пропускной способности сети между логическими группами компьютеров: рабочие станции и серверы из разных ВЛВС "не видят" друг друга и не мешают один одному. Поскольку обмен данными ведется только внутри конкретной ВЛВС, компьютеры из разных виртуальных сетей не могут получать трафик, генерируемый в других ВЛВС. Применение анализаторов протоколов и средств сетевого мониторинга для сбора трафика в других ВЛВС, помимо той, к которой принадлежит желающий это сделать пользователь, представляет значительные трудности. Именно поэтому в среде ВЛВС передаваемая по сети информация гораздо лучше защищена от несанкционированного доступа.

Еще одно преимущество использования ВЛВС - это упрощение сетевого администрирования. Особенно это касается таких задач, как добавление к сети новых элементов, их перемещение и удаление. Например, при переезде какого-либо пользователя ВЛВС в другое помещение, пусть даже находящееся на другом этаже или в другом здании предприятия, сетевому администратору нет необходимости перекоммутировать кабели. Ему нужно всего лишь со своего рабочего места соответствующим образом настроить сетевое оборудование. Кроме того, в некоторых реализациях ВЛВС контроль над перемещениями членов ВЛВС может осуществляться автоматически, не требуя вмешательства администратора. Операции по созданию новых логических групп пользователей, добавлению новых членов в группы сетевой администратор также может осуществлять по сети, не сходя со своего рабочего места. Все это существенно экономит рабочее время администратора, которое может быть использовано на решение других не менее важных задач.

способы организации ВЛВС

Ведущие производители коммутаторов уровня отдела и рабочей группы используют в своих устройствах, как правило, один из трех способов организации ВЛВС: на базе портов, МАС-адресов или протоколов третьего уровня. Каждый из этих способов соответствует одному из трех нижних уровней модели взаимодействия открытых систем OSI: физическому, канальному и сетевому соответственно. Существует четвертый способ организации ВЛВС - на основе правил. В настоящее время он используется редко, хотя обеспечивает большую гибкость при организации ВЛВС, и, возможно, будет широко использоваться в устройствах ближайшего будущего. Давайте вкратце рассмотрим каждый из перечисленных выше способов организации ВЛВС, их достоинства и недостатки.

ВЛВС на базе портов

Как следует из названия способа, ВЛВС организуются путем логического объединения выбранных физических портов коммутатора. Например, сетевой администратор может указать, что порты коммутатора с номерами 1, 2, 5 образуют ВЛВС1, а порты с номерами 3, 4, 6 образуют ВЛВС2 и т.д.. К одному порту коммутатора может быть подключено несколько компьютеров (например, через хаб). Все они будут принадлежать к одной ВЛВС - к той, к которой приписан обслуживающий их порт коммутатора. Такая жесткая привязка членства в ВЛВС является недостатком способа организации виртуальных сетей на базе портов. ВЛВС на базе МАС-адресов. Этот способ позволяет строить ВЛВС, основываясь на уникальном шестнадцатеричном адресе канального уровня, который имеет каждый сетевой адаптер сервера или рабочей станции сети. Это более гибкий способ организации ВЛВС по сравнению с предыдущим, так как к одному порту коммутатора могут быть подключены устройства, принадлежащие к разным ВЛВС. Кроме того, перемещения компьютеров с одного порта коммутатора на другой отслеживаются коммутатором автоматически и позволяют сохранить принадлежность переместившегося компьютера к определенной ВЛВС без вмешательства сетевого администратора. Действует это довольно просто: коммутатор поддерживает таблицу соответствия МАС-адресов компьютеров виртуальным сетям. Как только компьютер переключается на другой порт коммутатора, сравнивая поле МАС-адреса отправителя в заголовке первого переданного после перемещения компьютером кадра с данными своей таблицы, коммутатор делает правильный вывод о принадлежности переместившегося компьютера к ВЛВС. Недостатком данного способа организации ВЛВС является изначальная трудоемкость конфигурирования ВЛВС, которая чревата ошибками. Хотя таблица МАС-адресов коммутаторами строится автоматически, сетевому администратору нужно всю ее просмотреть и определить, что данный шестнадцатиричный адрес МАС соответствует такой-то рабочей станции, после чего приписать его к соответствующей виртуальной сети. Правда, последующая реконфигурация ВЛВС на базе МАС-адресов потребует значительно меньше усилий, чем в случае ВЛВС на базе портов.

ВЛВС на базе протоколов третьего уровня

Данный способ редко используется в коммутаторах уровня отдела и рабочей группы. Он характерен для магистральных маршрутизирующих коммутаторов, имеющих встроенные средства маршрутизации основных протоколов ЛВС - IP, IPX и AppleTalk. Согласно этому способу, группа портов коммутатора, принадлежащих к определенной ВЛВС, ассоциируется с определенной подсетью IP или сетью IPX. Гибкость здесь обеспечивается тем, что перемещения пользователя на другой порт, принадлежащий той же ВЛВС, отслеживается коммутатором и не требует его переконфигурации. Преимуществом данного способа является также простота конфигурации ВЛВС, которая может осуществляться автоматически, поскольку коммутатор анализирует сетевые адреса компьютеров, соотносимых с каждой ВЛВС. К тому же, как уже упоминалось, поддерживающие способ организации ВЛВС на базе протоколов третьего уровня устройства имеют встроенные средства маршрутизации, что обеспечивает возможность взаимодействия между различными ВЛВС без использования дополнительных средств. Недостаток у этого способа, пожалуй, всего один - высокая цена коммутаторов, в которых он реализован.

ВЛВС на основе правил

Предполагают наличие у коммутатора способности подробно анализировать заранее определенные поля и даже отдельные биты проходящих через него пакетов как механизмы построения ВЛВС. Этот способ обеспечивает практически неограниченные возможности создания виртуальных сетей на основе множества критериев. Например, даже по принципу включения в ВЛВС всех пользователей, в чьи компьютеры установлены сетевые адаптеры указанного производителя. Несмотря на огромную гибкость, процесс конфигурации ВЛВС на основе правил очень трудоемок. К тому же наличие сложных правил может отрицательно сказаться на пропускной способности коммутатора, поскольку значительная часть его вычислительной мощности будет тратиться на анализ пакетов.

построение распределенных ВЛВС

Современные ЛВС нередко содержат более одного коммутатора. Принадлежащие к одной ВЛВС компьютеры могут быть подключены к разным коммутаторам. Таким образом, чтобы правильно направлять трафик, должен существовать механизм, позволяющий коммутаторам обмениваться информацией о принадлежности подключенных к ним устройств к ВЛВС. До недавнего времени каждый производитель в своих устройствах реализовывал фирменные механизмы обмена такой информацией. Например, у 3Com эта технология носила название VLT (Virtual LAN Trunk), у Cisco Systems - ISL (Inter-Switch Link). Поэтому для построения распределенных ВЛВС необходимо было использовать устройства от одного производителя. Ситуация коренным образом улучшилась около года назад, когда был принят стандарт на построение ВЛВС IEEE 802.1Q. Помимо всего прочего, он регламентирует и механизм обмена информацией о ВЛВС между коммутаторами. Этот механизм позволяет дополнять передаваемые между коммутаторами кадры полями, указывающими на принадлежность к той или иной ВЛВС. На сегодняшний день все ведущие производители коммутаторов ЛВС поддерживают в своих устройствах стандарт 802.1Q. Следовательно, сегодня уже можно строить виртуальные сети, используя коммутаторы от разных производителей. Хотя, как вы увидите позже, даже работая в соответствии с 802.1Q, коммутаторы разных производителей предоставляют далеко не одинаковые возможности по организации ВЛВС.

организация взаимодействия между ВЛВС

Находящиеся в разных ВЛВС компьютеры не могут непосредственно взаимодействовать друг с другом. Для организации такого взаимодействия необходимо использовать маршрутизатор. Раньше для этого использовались обычные маршрутизаторы. Причем требовалось, чтобы маршрутизатор имел столько физических сетевых интерфейсов, сколько имеется ВЛВС. Помимо этого, на коммутаторах приходилось выделять по одному порту из каждой ВЛВС для подключения маршрутизатора. Учитывая дороговизну портов маршрутизатора, стоимость такого решения была очень высокой. Кроме того, обычный маршрутизатор вносил существенную задержку в передачу данных между ВЛВС. Сегодня для передачи данных между ВЛВС используют маршрутизирующие коммутаторы, которые имеют невысокую цену за порт и осуществляют аппаратную маршрутизацию трафика со скоростью работы канала связи. Маршрутизирующие коммутаторы также соответствуют стандарту IEEE 802.1Q, и для организации взаимодействия между распределенными ВЛВС им необходимо использовать всего по одному порту для подключения каждого из коммутаторов рабочих групп, осуществляющих подключение к сети устройств, соответствующих разным ВЛВС. Иными словами, через один порт современного маршрутизирующего коммутатора может происходить обмен информацией между устройствами из разных ВЛВС.

использование общих сетевых ресурсов компьютерами разных ВЛВС

Очень интересной является возможность организации доступа к общим сетевым ресурсам (сетевым серверам, принтерам и т.д.) компьютерам, относящимся к разным ВЛВС. Преимущества такой возможности очевидны. Во-первых, нет необходимости приобретать маршрутизатор или маршрутизирующий коммутатор, если не требуется организовать прямой обмен данными между компьютерами из разных ВЛВС. Обеспечить взаимодействие между компьютерами разных ВЛВС можно через сетевой сервер, доступ к которому имеют все или несколько ВЛВС. Во-вторых, сохраняя все преимущества использования ВЛВС, можно не приобретать серверы для каждой ВЛВС в отдельности, а использовать общие.

Самый простой способ дать доступ к одному серверу пользователям из разных ВЛВС - это установить в сервер несколько сетевых адаптеров и подключить каждый из этих адаптеров к портам коммутатора, принадлежащим разным ВЛВС. Однако такой подход имеет ограничение по количеству ВЛВС (в сервер нельзя установить много сетевых адаптеров), предъявляет строгие требования к компонентам сервера (драйверы сетевых адаптеров требуют увеличения количества ОЗУ, создается большая нагрузка на ЦПУ и шину ввода-вывода сервера и т.д.) и не способствует экономии денежных средств (использование нескольких сетевых адаптеров и дополнительных портов коммутатора).

С появлением стандарта IEEE 802.1Q стало возможным через один порт коммутатора передавать информацию, относящуюся ко всем или нескольким ВЛВС. Как уже упоминалось выше, для этого в передаваемый по сети кадр коммутатор (или другое устройство, поддерживающее 802.1Q) добавляет поле, однозначно определяющее принадлежность кадра к определенной ВЛВС. К такому порту как раз можно подключить всего одной линией связи общий для всех ВЛВС сервер. Единственное условие при этом - сетевой адаптер сервера должен поддерживать стандарт 802.1Q, чтобы сервер мог знать, из какой ВЛВС пришел запрос и, соответственно, куда направить ответ. Так реализуется разделение сервера между ВЛВС в управляемых коммутаторах уровня отдела и рабочей группы у 3Com, Hewlett-Packard и Cisco Systems. Bay Networks (в составе Nortel Networks) в своих коммутаторах семейств BayStack 350 и BayStack 450 расширила возможности конфигурации ВЛВС на базе стандарта 802.1Q. В этих устройствах появилась возможность разделять между ВЛВС серверы или принтеры, имеющие обычные, ничего "не знающие" о ВЛВС сетевые интерфейсы.Как видите, ВЛВС являются мощным средством организации сети, способным решить проблемы администрирования, безопасности передачи данных, разграничения доступа к информационным ресурсам и значительно увеличить эффективность использования полосы пропускания сети. К сожалению, в рамках одной статьи невозможно рассмотреть все аспекты работы и построения ВЛВС. Если после прочтения статьи у вас возникли какие-либо вопросы, вы можете обратиться к специалистам Компании КОМПЛИТ, которые с удовольствием на них ответят.

Олег Подуков, начальник технического отдела Компании КОМПЛИТolegp@complete.ru


© Сетевые решения