Краткое описание технологии создания виртуальных локальных сетей
Коммутируеммый VLAN Ethernet
Введение
В начале истории Ethernet, локальные сети ограничивались одним доменном коллизий. При появлении мостов с двумя и более портами, стало возможным сегментировать большую сеть на меньшие домены коллизий, значительно улучшив производительность сети. Однако это не уменьшало перегрузок сети, вызванных внезапным широковещательным штормом. Широковещательный трафик свободно перемещался через Ethernet-мосты.
C появлением Ethernet-маршрутизаторов, пользователей сети стали группировать в рабочие группы с общим доменном коллизий. Это не только улучшило эффективность сети внутри каждой группы, но и уменьшило перегрузки общей сети, вызванное внезапным широковещательным штормом. Однако разделение общей сети маршрутизаторами на рабочие группы вызвало другие проблемы. Связь между рабочими группами стала возможно только через маршрутизаторы уровня 3. Это замедлило доступ к глобальным серверам компании.
С появлением технологии коммутируемого VLAN Ethernet стало возможно логического сегментирования сети на множество широковещательных доменов, улучшающее производительность сети и уменьшающее широковещательный трафик, без замедления доступа к глобальным серверам компании.
Коммутируеммый VLAN Ethernet
С появление коммутируемого Ethernet потребность его на рынке все возрастала и возрастала. На протяжении нескольких лет число коммутируемых портов в корпоративных сетях постоянно возрастало. При этом каждый коммутируемый порт был разделен все меньшим и меньшим числом пользователе сети, и даже достиг одиночного подключения каждого пользователя сети к коммутируемым портам. Этот тип сетевой инфраструктуры лучше всего пригоден для развертывания Виртуальных Локальных Сетей (VLAN).
Виртуальные сети могут быть определенны как группы пользователей отнесенные к определенным отделам или выполняющие общие функции, без ограничения физическим местонахождением пользователей и даже без ограничения использования разных сетевых устройств (коммутаторов), к которым они подключены физически.
Вышенаписанное предложение как бы определяет граници Виртуальной локальной сети (VLAN). Чаще Виртуальную локальную сеть воспринимают как общий домен широковещания. Технология VLAN делит большой домен широковещания на меньшие домены широковещания, ограничивая широковещательный трафик в пределах одной группы пользователей.
Порт ориентированная ВЛС
Этот тип виртуальных локальных сетей (ВЛС) определяет членство каждой ВЛС на основе номера подключенного порта. Смотрите следующий пример порт ориентированной ВЛС.
Пример 1. Порты 3,6,8 и 9 принадлежат к VLAN1 а порты 1,2,4,5 и 7 принадлежат к VLAN2
Таблица 1. Членство в каждой ВЛС определяется номером порта
PORT # | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 |
VLAN 1 | X | X | X | X | |||||
VLAN 2 | X | X | X | X | X |
На рисунке 1 покзан пример реализации порт ориентированной ВЛС (на основе коммутатора SXP1224WM и двухскоростного концентратора DX2216 фирмы Compex).
Рис. 1. Пример порт ориентированной ВЛС
В этом примере два концентратора DX2216 подключены к отдельным портам коммутатора SXP1224WM. Так как порт ориентированная ВЛС определяет членство VLAN на основе номера порта, то все рабочие станции подключенные к портам концентратора (DX2216) принадлежат к одной VLAN. В нашем случае, рабочие станции подключенные через концентратор DX2216 к 1 порту коммутатора принадлежат VLAN2, а рабочие станции подключенные через концентратор DX2216 к 3 порту коммутатора принадлежат к VLAN1. Так как эти автоматизированные рабочие места связаны через концентратор DX2216, они должны быть физически размещены не далеко друг от друга. С другой стороны, есть 7 рабочих мест станций, подключенных непосредственно к портам коммутатора (Private Port Switching). Рабочие места подключены к портам 6,8 и 9 коммутатора SXP1224WM физически отдалены от других станций (подключенных через концетратор), тем не менее, все они принадлежат VLAN2.
Для одного коммутатора SXP1224WM максимальное число пользователей с непосредственным (не разделяемым) подключением к коммутируемому порту - 24, по числу портов у этого коммутатора. Как же VLAN может быть реализована, если использован больше чем один коммутатор типа SXP1224WM и пользователи одной VLAN подключены к разным коммутаторам?
На рисунке 2 показан пример подключения пользователей VLAN через несколько коммутаторов.
Рис.2 Сеть VLAN с использованием нескольких коммутаторов.
VLAN членство для этого примера показываются в таблице 2 и 3.
Таблица 2. VLAN членство SXP1224WM *1
PORT # | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
VLAN 1 | X | X | X | X | X | ||||
VLAN 2 | X | X | X | X |
Таблица 3. VLAN членство SXP1224WM *2
PORT # | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
VLAN 1 | X | X | X | ||||
VLAN 2 | X | X | X | X |
В этом примере на обоих коммутаторах определенны две общие виртуальные подсети (VLAN). VLAN1 в коммутаторе #1 и VLAN1 в коммутаторе #2 есть та же самая общая VLAN, для которой должен быть определен общий порт. В этом случае, порт 6 на коммутаторе #1 и порт 7 на коммутаторе #2 члены VLAN1 и эти порты (порт 6 коммутатора #1 и порт 7 коммутатора #2) связаны вместе. Принимая во внимание, что порт 7 коммутатора #1 и порт 8 коммутатора #2 члены VLAN2, они связаны тоже вместе.
ВЛС с маркированными кадрами (IEEE 802.1Q)
Данный тип VLAN использует второй уровень сетевой модели. В каждый кадр вставляется тег ID идентифицирующий их членство в определенной VLAN. Эту технологию используют что бы создать виртуальные сети (VLAN) охватывающие множество коммутаторов. На рисунке 3 показан пример такой ВЛС.
Рисунок 3. Теговый VLAN, охватывающий три коммутатора.
Теги ID в такой ВЛС могут быть добавлены явно или неявно. Если в сети есть сетевые карты с поддержкой IEEE 802.1Q, и на этих картах включены соответствующие опции, то исходящие кадры Ethernet от этих карт будут содержать теги VLAN идентификации. Данные теги идентификации VLAN добавлены явно. Коммутаторы поддерживающие IEEE 802.1Q идентифицируют членство в VLAN проверяя теги ID в кадрах Ethernet.
Если сетевые адаптеры (подключенные к этой сети) не поддерживают протокол IEEE 802.1Q, то добавление тегов VLAN может быть все же выполнено на основе группировки по портам. Предположим, что порты 1-3 сгруппированы в некоторую VLAN. Коммутатотор с поддержкой IEEE 802.1Q будет добавлять тег ID к входящим на этот порт кадрам Ethernet с соответствующим ID VLAN. Но эти теги будут удаленны коммутатором из исходящих кадров.
Если идентификация VLAN тегами протокола 802.1Q была осуществленна обоими спосабами - явно и неявно, входящие кадры к портам коммутатора могут состоять из обоих (с тегами и без) типов кадров. В этой ситуации к неотмеченным входящим кадрам будут добавляться теги ID VLAN описанные методом группировки по портам. В то время как маркированные кадры уже поддерживают членство VLAN определенное явно. Например, если порт 5 был сгруппирован неявно под VLAN1, входящик к порту 5 кадры с отметками ID сети VLAN2 сохроняют их членство в VLAN2 даже при том что порт 5 был сгруппирован под VLAN1.
ВЛС на основе протоколов высокого уровня
Протокол-основанные VLAN реализованы на 3 уровне сетевой модели, группируя рабочие станции с определенным транспортным протоколом под определенную VLAN. Например, если сеть состоит из компьютеров Apple и рабочих станций Unix, соответственно используя протоколы AppleTalk и TCP/IP, компьютеры Apple могут сгруппированы в одну VLAN в то время как станции Unix в другую. Протокол-основанный VLAN проверяет в пакетах информацию протоколов 3 уровня и позволяет пакетам с определенным транспортным протоколом (AppleTalk или TCP/IP) участвовать в соответствующем домене широковещания. На рисунке 4 показан пример реализации такой ВЛС. 
Рисунок 4. Protocol-based VLAN
Преимущества VLAN
Виртуальные Рабочие группы
Главная функция виртуальных сетей это создание виртуальных рабочих групп, основанных на общих функциях пользователей и общих ресурсах, в доступе к которым они нуждаются. Например, предприятие состоит из множества департаментов - учета, снабжения, маркетинга, продаж и т. д.. Пользователям каждого департамента необходим доступ к определенным своим ресурсам. При помощи реализации VLAN пользователи каждого департамента могут быть логически описаны и сгруппированы в различные рабочие группы с различными доступными ресурсами сети.
Повышение производительности сети
Поскольку мы договорились, что ВЛС подобна домену широковещания, и что виртуальные локальные сети соответствуют реальным доменнам широковещания в сетях с несколькими VLAN. Предположим имеется сеть с 1000 автоматизированных рабочих мест расположенных в одном домене широковещания. Каждая рабочая станция в этой сети принимает широковещательный трафик, генерируемый другими рабочими станциями. При использовании VLAN технологии эта большая сеть с большим широковещательным трафиком сегментируется на множество широковещательных доменов с несколькими рабочими станциями на один широковешательный домен. Следовательно частота (плотность) широковещания будет уменьшена. Производительность каждой подсети возрастает, потому что все сетевые устройства сети меньше отвлекается от передачи реальных данных при приеме широковещательного трафика
Рисунок 5. Большая сеть, сегментированнаяная на множество виртуальных сетей (VLAN)
Разрушение традиционных концепций границ сети
В прошлом, рабочиее станции в той же самой рабочей группе или отделе обычно физически располагались в одном и том же месте. При использовании технологии VLAN, пользователи сети одной рабочей группы или отдела меньше ограничены их физическим местонахождением. Эта свобода зависит от возможностей применяемых Ethernet коммутаторов. В случае применения VLAN, пользователи сети одной рабочей группы или отдела могут находится на разных этажах и даже в разных зданиях и при этом относиться к одной виртуальной сети, как это показано на рисунке 6.
Рисунок 6. Концепция свободных границ
На рисунке 6 показана сеть расположенная на двух различных этажах здания. На втором этаже все 5 рабочих мест подключены напрямую к Ethernet-коммутатору (private port switching). Заметьте, что 3 рабочих места на 1 этаже подключены к двухскоростному концентратору DX2216, а два других рабочих места подключены напрямую к потртам коммутатора, также как на 2 этаже. Коммутируемй потрт, через который каскадируется концетратор DX2216 определен к VLAN2, следовательно все три компьютера подключенные к DS2216 относятся к VLAN2. Рабочие станции подключенные к двухскоростному концетратору DX2216 должны физически близко располагаться друг к другу и принадлежать одной рабочей группе или отделу. С другой стороны, рабочие места подключенные к одному и тому же коммутатору с поддержкой VLAN не обязательно должны принадлежать одной рабочей группе или отделу. А рабочие станции подключенные к различным коммутаторам, не связанные физическим расположением могут принадлежать одной рабочей группе или департаменту и учавствовать в одном домене широковещания.
Безопасность и разделение доступа к сетевым ресурсам
Многие управляемые коммутаторы (например SXP1216/24WM и SGX3224/PLUS фирмы Compex) позволяют одному коммутируемому порту иметь членство в нескольких VLAN. Например, Порт 5 коммутатора может одновременно принадлежать VLAN1, VLAN2 и VLAN3, и участвовать в широковещании всех трех виртуальных сетей. Благодаря этой возможности сервер подключенный к порту 5 может предоставлять доступ рабочим станциям во всех трех сетях. С другой стороны, доступ к серверам одного отдела, подключенных к портам с членством в одной VLAN возможен только в пределах соответствующей VLAN.
Рисунок 7. Применение ВЛС для доступа к общему (глобальному) серверу предприятия
Уменьшение затрат при перемещения персонала
Положим есть потребность перемещения рабочих мест персонала из различных отделов в пределах компании, или изменения физического местоположения конкретного отдела. При применении тегового VLAN (IEEE 802.1Q) с прямым подключением к коммутируемым портам, стоимость перемещения включает только физическое перемещение рабочих мест персонала, потому что индентификоторы ID членства VLAN будут перенесены вместе с рабочими станциями сети. Нет никакой потребности в реконструкции соединений на существующих коммутаторах Ethernet.
Заключение
Даже при том, что для организации виртуальных локальных сетей существуют утвержденные стандарты, тем не менее способы построения ВЛС и способы назначения членства в ВЛС зависит от характеристик оборудования предоставляемого различными вендорами. Например, ВЛС могут создаваться путем группирования членства по номерам портов коммутаторов. А при обработке содержимого кадров Ethernet возможно группировать членство на основе таблицы MAC адресов или по содержимому специального тега ID кадра Ethernet.
http://www. *****/nets/protocols2/index. shtml
11.1 Назначение виртуальных сетей
Кроме своего основного назначения - повышения пропускной способности связей в сети - коммутатор позволяет локализовывать потоки информации в сети, а также контролировать эти потоки и управлять ими, используя пользовательские фильтры. Однако, пользовательский фильтр может запретить передачи кадров только по конкретным адресам, а широковещательный трафик он передает всем сегментам сети. Так требует алгоритм работы моста, который реализован в коммутаторе, поэтому сети, созданные на основе мостов и коммутаторов иногда называют плоскими - из-за отсутствия барьеров на пути широковещательного трафика.
Технология виртуальных сетей (Virtual LAN, VLAN) позволяет преодолеть указанное ограничение. Виртуальной сетью называется группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети. Это означает, что передача кадров между разными виртуальными сегментами на основании адреса канального уровня невозможна, независимо от типа адреса - уникального, группового или широковещательного. В то же время внутри виртуальной сети кадры передаются по технологии коммутации, то есть только на тот порт, который связан с адресом назначения кадра.
Говорят, что виртуальная сеть образует домен широковещательного трафика (broadcast domain), по аналогии с доменом коллизий, который образуется повторителями сетей Ethernet.
Назначение технологии виртуальных сетей состоит в облегчении процесса создания независимых сетей, которые затем должны связываться с помощью протоколов сетевого уровня. Для решения этой задачи до появления технологии виртуальных сетей использовались отдельные повторители, каждый из которых образовывал независимую сеть. Затем эти сети связывались маршрутизаторами в единую интерсеть (рис. 73).
Рис. 73. Интерсеть, состоящая из сетей, построенных на основе повторителей
При изменении состава сегментов (переход пользователя в другую сеть, дробление крупных сегментов) при таком подходе приходится производить физическую перекоммутацию разъемов на передних панелях повторителей или в кроссовых панелях, что не очень удобно в больших сетях - много физической работы, к тому же высока вероятность ошибки.
Поэтому для устранения необходимости физической перекоммутации узлов стали применять многосегментные повторители (рис. 74). В наиболее совершенных моделях таких повторителей приписывание отдельного порта к любому из внутренних сегментов производится программным путем, обычно с помощью удобного графического интерфейса. Примерами таких повторителей могут служить концентратор Distributed 5000 компании Bay Networks и концентратор PortSwitch компании 3Com. Программное приписывание порта сегменту часто называют статической или конфигурационной коммутацией.
Рис. 74. Многосегментный повторитель с конфигурационной коммутацией
Однако, решение задачи изменения состава сегментов с помощью повторителей накладывает некоторые ограничения на структуру сети - количество сегментов такого повторителя обычно невелико, поэтому выделить каждому узлу свой сегмент, как это можно сделать с помощью коммутатора, нереально. Поэтому сети, построенные на основе повторителей с конфигурационной коммутацией, по-прежнему основаны на разделении среды передачи данных между большим количеством узлов, и, следовательно, обладают гораздо меньшей производительностью по сравнению с сетями, построенными на основе коммутаторов.
При использовании технологии виртуальных сетей в коммутаторах одновременно решаются две задачи:
- повышение производительности в каждой из виртуальных сетей, так как коммутатор передает кадры в такой сети только узлу назначения; изоляция сетей друг от друга для управления правами доступа пользователей и создания защитных барьеров на пути широковещательных штормов.
Для связи виртуальных сетей в интерсеть требуется привлечение сетевого уровня. Он может быть реализован в отдельном маршрутизаторе, а может работать и в составе программного обеспечения коммутатора.
11.2. Типы виртуальных сетей
Технология образования и работы виртуальных сетей с помощью коммутаторов долгое время была не стандартизована, хотя и была реализована в очень широком спектре моделей коммутаторов разных производителей. Такое положение должно скоро измениться, так как институт IEEE в апреле окончательно принял спецификации 802.1q/p, которые описывают стандартный способ построения виртуальных сетей.
В виду долгого отсутствия стандартов каждый производитель разработал свою технологию построения виртуальных сетей, которая, как правило, была несовместима с технологией других производителей. Поэтому виртуальные сети проще создавать пока на оборудовании одного производителя. Исключение составляют только виртуальные сети, построенные на основе спецификации LANE (LAN Emulation), предназначенной для обеспечения взаимодействия АТМ-коммутаторов с традиционным оборудованием локальных сетей.
Существует несколько способов построения виртуальных сетей:
- Группировка портов. Группировка МАС-адресов. Использование меток в дополнительном поле кадра - частные протоколы и спецификации IEEE 802.1 Q/p. Спецификация LANE для АТМ-комутаторов. Использование сетевого уровня.
11.3. VLAN на основе группировки портов
При создании виртуальных сетей на основе одного коммутатора обычно используется механизм группирования в виртуальные сети портов коммутатора (рис. 75).
Рис. 75. Виртуальные сети, построенные на одном коммутаторе с помощью группировки портов
Это логично, так как виртуальных сетей, построенных на основе одного коммутатора, не может быть больше, чем портов. Если к одному порту подключен сегмент, построенный на основе повторителя, то узлы такого сегмента не имеет смысла включать в разные виртуальные сети - все равно трафик этих узлов будет общим.
Создание виртуальных сетей на основе группирования портов не требует от администратора большого объема ручной работы - достаточно каждый порт приписать к нескольким заранее поименованным виртуальным сетям. Обычно, такая операция выполняется путем перетаскивания мышью графических символов портов на графические символы сетей.
11.4. VLAN на основе группировки МАС-адресов
Второй способ, который используется для образования виртуальных сетей основан на группировании МАС-адресов. При существовании в сети большого количества узлов этот способ требует выполнения большого количества ручных операций от администратора. Однако, он оказывается более гибким при построении виртуальных сетей на основе нескольких коммутаторов, чем способ группирования портов.
Рис. 76. Построение виртуальных сетей на нескольких коммутаторах с группировкой портов
Рисунок 76 иллюстрирует проблему, возникающую при создании виртуальных сетей на основе нескольких коммутаторов, поддерживающих технику группирования портов. Если узлы какой-либо виртуальной сети подключены к разным коммутаторам, то для соединения коммутаторов каждой такой сети должна быть выделена своя пара портов. В противном случае, если коммутаторы будут связаны только одной парой портов, информация о принадлежности кадра той или иной виртуальной сети при передаче из коммутатора в коммутатор будет утеряна. Таким образом, коммутаторы с группировкой портов требуют для своего соединения столько портов, сколько виртуальных сетей они поддерживают. Порты и кабели используются при таком способе очень расточительно. Кроме того, при соединении виртуальных сетей через маршрутизатор для каждой виртуальной сети выделяется в этом случае отдельный кабель, что затрудняет вертикальную разводку, особенно если узлы виртуальной сети присутствуют на нескольких этажах (рис. 77).
Рис. 77. Соединение виртуальных сетей, построенных на группировании портов, через маршрутизатор
Группирование МАС-адресов в сеть на каждом коммутаторе избавляет от необходимости их связи несколькими портами, однако требует выполнения большого количества ручных операций по маркировке МАС-адресов на каждом коммутаторе сети.
11.5. Использование меток в дополнительном поле кадра - стандарты 802.1 Q/p и фирменные решения
Описанные два подхода основаны только на добавлении дополнительной информации к адресным таблицам моста и не используют возможности встраивания информации о принадлежности кадра к виртуальной сети в передаваемый кадр. Остальные подходы используют имеющиеся или дополнительные поля кадра для сохранения информации и принадлежности кадра при его перемещениях между коммутаторами сети. При этом нет необходимости запоминать в каждом коммутаторе принадлежность всех МАС-адресов интерсети виртуальным сетям.
Если используется дополнительное поле с пометкой о номере виртуальной сети, то оно используется только тогда, когда кадр передается от коммутатора к коммутатору, а при передаче кадра конечному узлу оно удаляется. При этом модифицируется протокол взаимодействия "коммутатор-коммутатор", а программное и аппаратное обеспечение конечных узлов остается неизменным. Примеров таких фирменных протоколов много, но общий недостаток у них один - они не поддерживаются другими производителями. Компания Cisco предложила использовать в качестве стандартной добавки к кадрам любых протоколов локальных сетей заголовок протокола 802.10, предназначенного для поддержки функций безопасности вычислительных сетей. Сама компания использует этот метод в тех случаях, когда коммутаторы объединяются между собой по протоколу FDDI. Однако, эта инициатива не была поддержана другими ведущими производителями коммутаторов.
Новый стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети.
Стандарт IEEE 802.1p специфицирует метод указания приоритета кадра, основанный на использовании новых полей, определенных в стандарте IEEE 802.1Q.
К кадру Ethernet добавлены два байта. Эти 16 бит содержат информацию по принадлежности кадра Ethernet к ВЛВС и о его приоритете. Говоря точнее, тремя битами кодируется до восьми уровней приоритета, 12 бит позволяют различать трафик до 4096 ВЛВС, а один бит зарезервирован для обозначения кадров сетей других типов (Token Ring, FDDI), передаваемых по магистрали Ethernet.
Надо сказать, что добавление двух байтов к максимальному размеру кадра Ethernet ведет к возникновению проблем в работе многих коммутаторов, обрабатывающих кадры Ethernet аппаратно. Чтобы избежать их, группы по стандартизации предложили сократить на два байта максимальный размер полезной нагрузки в кадре.
Спецификация IEEE 802.1p, создаваемая в рамках процесса стандартизации 802.1Q, определяет метод передачи информации о приоритете сетевого трафика. Стандарт 802.1p специфицирует алгоритм изменения порядка расположения пакетов в очередях, с помощью которого обеспечивается своевременная доставка чувствительного к временным задержкам трафика.
В дополнение к определению приоритетов стандарт 802.1p вводит важный протокол GARP (Generic Attributes Registration Protocol) с двумя специальными его реализациями. Первая из них - протокол GMRP (GARP Multicast Registration Protocol), позволяющий рабочим станциям делать запрос на подключение к домену групповой рассылки сообщений. Поддерживаемую этим протоколом концепцию назвали подсоединением, инициируемым "листьями". Протокол GMRP обеспечивает передачу трафика только в те порты, из которых пришел запрос на групповой трафик, и хорошо согласуется со стандартом 802.1Q.
Второй реализацией GARP является протокол GVRP (GARP VLAN Registration Protocol), похожий на GMRP. Однако, работая по нему, рабочая станция вместо запроса на подключение к домену групповой рассылки сообщений посылает запрос на доступ к определенной VLAN.
Для согласования работы устройств, поддерживающих формат кадра 802.1 Q, с теми устройствами, которые не понимают этот формат, разработчики стандарта предложили делить весь трафик в сети на несколько типов.
Трафик входного порта (Ingress Port). Каждый кадр, достигающий коммутируемой сети и идущий либо от маршрутизатора, либо от рабочей станции, имеет определенный порт-источник. На основании его номера коммутатор должен "принять решение" о приеме (или отбрасывании) кадра и передаче его в ту или иную VLAN. Решение "судьбы" кадра, осуществляемое в единственной логической точке сети, делает возможным сосуществование самых разных видов VLAN. Приняв кадр, коммутатор "прикрепляет" к нему "ярлык" (tag) VLAN. Как только кадр с "ярлыком" VLAN оказывается в сети, он становится частью проходящего (Progress), или внутреннего трафика.
Внутренний трафик (Progress Traffic). Кадр с "ярлыком" коммутируется точно так же, как и без "ярлыка". Решения о его принадлежности к той или иной VLAN принимаются в пограничных элементах сети и остальные сетевые устройства индифферентно "относятся" к тому, как именно кадр попал в сеть. Так как максимальный размер кадра Ethernet остался неизменным, то пакеты всех VLAN смогут обрабатываться традиционными коммутаторами и маршрутизаторами внутренней части сети.
Трафик выходного порта (Egress Port). Чтобы попасть в межсетевой маршрутизатор или в оконечную рабочую станцию, кадр должен выйти за пределы коммутируемой сети. Ее выходное устройство "решает", какому порту (или портам) нужно передать пакет и есть ли необходимость удалять из него служебную информацию, предусмотренную стандартом 802.1Q. Дело в том, что традиционные рабочие станции не всегда воспринимают информацию о VLAN по стандарту 802.1Q, но сервер, обслуживающий несколько подсетей с помощью единственного интерфейса, должен ее активно использовать.
Условное деление трафика на внутренний, а также входного и выходного портов позволяет поставщикам нестандартных реализаций VLAN создавать шлюзы для их стыковки с ВЛВС, соответствующими стандарту 802.1Q.
11.6. Использование спецификации LANE
Существует два способа построения виртуальных сетей, которые используют уже имеющиеся поля для маркировки принадлежности кадра виртуальной сети, однако эти поля принадлежат не кадрам канальных протоколов, а ячейкам технологии АТМ или пакетам сетевого уровня.
Спецификация LANE вводит такое понятие как эмулируемая локальная сеть - ELAN. Это понятие имеет много общего с понятием виртуальной сети:
- ELAN строится в сети, состоящей из коммутаторов (коммутаторов АТМ); связь между узлами одной и той же ELAN осуществляется на основе МАС-адресов без привлечения сетевого протокола; трафик, генерируемый каким-либо узлом определенной ELAN, даже широковещательный, не выходит за пределы данной ELAN.
Кадры различных ELAN не свешиваются друг с другом внутри сети коммутаторов АТМ, так как они передаются по различным виртуальным соединениям и номер виртуального соединения VPI/VCI является тем же ярлыком, который помечает кадр определенной VLAN в стандарте 802.1Q и аналогичных фирменных решениях.
Если VLAN строятся в смешанной сети, где имеются не только коммутаторы АТМ, то "чистые" коммутаторы локальных сетей, не имеющие АТМ-интерфейсов, должны использовать для создания виртуальной сети один из выше перечисленных методов, а пограничные коммутаторы, имеющие наряду с традиционными еще и АТМ-интерфейсы, должны отображать номера VLAN на номера ELAN при передаче кадров через сеть АТМ.
11.7. Использование сетевого протокола
При использовании этого подхода коммутаторы должны для образования виртуальной сети понимать какой-либо сетевой протокол. Такие коммутаторы называют коммутаторами 3-го уровня, так как они совмещают функции коммутации и маршрутизации. Каждая виртуальная сеть получает определенный сетевой адрес - как правило, IP или IPX.
Тесная интеграция коммутации и маршрутизации очень удобна для построения виртуальных сетей, так как в этом случае не требуется введения дополнительных полей в кадры, к тому же администратор только однократно определяет сети, а не повторяет эту работу на канальном и сетевом уровнях. Принадлежность конечного узла к той или иной виртуальной сети в этом случае задается традиционным способом - с помощью задания сетевого адреса. Порты коммутатора также получают сетевые адреса, причем могут поддерживаться нестандартные для классических маршрутизаторов ситуации, когда один порт может иметь несколько сетевых адресов, если через него проходит трафик нескольких виртуальных сетей, либо несколько портов имеют один и тот же адрес сети, если они обслуживают одну и ту же виртуальную сеть.
При передаче кадров в пределах одной и той же виртуальной сети коммутаторы 3-го уровня работают как классические коммутаторы 2-го уровня, а при необходимости передачи кадра из одной виртуальной сети в другую - как маршрутизаторы. Решение о маршрутизации обычно принимается традиционным способом - его делает конечный узел, когда видит на основании сетевых адресов источника и назначения, что кадр нужно отослать в другую сеть.
Однако, использование сетевого протокола для построения виртуальных сетей ограничивает область их применения только коммутаторами 3-го уровня и узлами, поддерживающими сетевой протокол. Обычные коммутаторы не смогут поддерживать такие виртуальные сети и это является большим недостатком. За бортом также остаются сети на основе немаршрутизируемых протоколов, в первую очередь сети NetBIOS.
По этим причинам наиболее гибким подходом является комбинирование виртуальных сетей на основе стандартов 802.1 Q/p с последующим их отображением на "традиционные сети" в коммутаторах 3-го уровня или маршрутизаторах. Для этого коммутаторы третьего уровня и маршрутизаторы должны понимать метки стандарта 802.1 Q.
