Что такое виртуальная лвс
Что такое виртуальные сети и как они работают?
Виртуальная сеть обеспечивает связь между несколькими компьютерами, виртуальными машинами (ВМ), виртуальными серверами или другими устройствами в различных офисах и центрах обработки данных. В то время как физическая сеть соединяет компьютеры через кабели и другое оборудование, виртуальная сеть расширяет эти возможности, используя программное обеспечение для подключения компьютеров и серверов через интернет. В ней используются виртуализированные версии традиционных сетевых инструментов, таких как коммутаторы и сетевые адаптеры, что обеспечивает более эффективную маршрутизацию и упрощает внесение изменений в конфигурацию сети.
Виртуальная сеть позволяет устройствам функционировать с теми же возможностями, что и традиционная физическая сеть. Это означает, что центры обработки данных могут распределяться по различным физическим местоположениям и предоставлять сетевым администраторам новые и более эффективные возможности, например, легко изменять сеть без необходимости переключения или покупки большего количества оборудования; большую гибкость в подготовке сети к конкретным потребностям и приложениям; и способность перемещать рабочие нагрузки по сетевой инфраструктуре без ущерба для служб, безопасности и доступности.
На видео: VLAN — Виртуальные локальные сети
Как работает виртуальная сеть?
Виртуальная сеть соединяет виртуальные машины и устройства, независимо от их местоположения, с помощью программного обеспечения. В физической сети, функции модели OSI (стек сетевых протоколов OSI/ISO) выполняются в пределах физических коммутаторов и маршрутизаторов. Кроме того, физические сетевые интерфейсные карты (NIC) и сетевые адаптеры используются для подключения компьютеров и серверов к сети. Виртуальная сеть переносит эти и другие действия на программное обеспечение. Программное приложение, называемое виртуальным коммутатором или vSwitch, управляет и направляет связь между существующей физической сетью и виртуальными частями сети, такими как виртуальные машины. А адаптер виртуальной сети позволяет компьютерам и виртуальным машинам подключаться к сети, в том числе позволяя всем машинам в локальной сети (LAN) подключаться к более крупной сети.
В физической сети, локальные сети создаются для подключения нескольких устройств к общим ресурсам, таким как сетевое хранилище, обычно через кабели Ethernet или Wi-Fi. Но виртуальная сеть создает возможность для виртуальных LAN (VLAN), где группировка настраивается с помощью программного обеспечения. Это означает, что компьютеры, подключенные к различным сетевым коммутаторам, могут вести себя так, как если бы все они были подключены к одному и тому же коммутатору, и, наоборот, компьютеры, совместно использующие кабели, могут храниться в отдельных сетях, а не физически подключаться к машинам с использованием кабельного оборудования и аппаратных средств.
Виртуальная сеть обеспечивает более централизованное управление и упрощенное сетевое управление. Разрозненные части сети могут быть доступны удаленно для необходимых обновлений и изменений, или даже тестирования, что делает сетевое управление проще. Виртуальная сеть является основой для облачных архитектур и приложений, так как она позволяет получать доступ, подключать, защищать и изменять облачные ресурсы.
Примеры виртуальных сетей:
1. Виртуальная сеть VPN
2. Виртуальная сеть VLAN
Еще одним примером виртуальной сети является виртуальная локальная сеть VLAN. VLAN — это подгруппа сети, которая объединяет несколько сетевых устройств в одну группу или домен и отделяет ее от остальных. VLAN повышают скорость и производительность сети за счет более эффективной маршрутизации трафика между этими подгруппами или доменами. Сети VLAN также обеспечивают значительно больший контроль над сетевыми устройствами и трафиком. Изоляция определенных данных в отдельной виртуальной локальной сети обеспечивает дополнительные преимущества в области безопасности, особенно для больших сетей, затрудняя несанкционированный мониторинг или вмешательство в сеть. В VLAN также нет необходимости прокладывать новые кабели или вносить большие изменения в сетевую инфраструктуру.
3. Виртуальная сеть VXLAN
Виртуальная расширяемая локальная сеть (VXLAN) — это еще один пример виртуальной сети. Помимо простого разделения сети на подгруппы, VXLAN могут виртуализировать всю сеть, обеспечивая крупномасштабные возможности. VXLAN значительно увеличивают пропускную способность и масштабируемость виртуальных сетей — это особенно важно для современных сложных архитектур облачных вычислений.
На видео: Подход компании Scaleway к фабрикам на основе VXLAN EVPN
Виртуальная локальная сеть VLAN — Объясняем на картинках
Что такое Virtual local area network (VLAN) это виртуальная локальная сеть, позволяющая делить 1 физическую сеть на некоторое количество других логических сетей, которые работают вне зависимости друг от друга. Надеюсь вы прочитали статью про модель открытых систем OSI, так как технология vlan реализуется коммутаторами и находится на канальном уровне модели.
Для чего нужна vLan?
Зачем делить 1 сеть на несколько изолированных частей? К примеру, когда строят сеть для большой компании, известно, что каждый отдел хочет иметь свою собственную сеть, которая разделена от других.
Конечно, можно создать отдельную физическую сеть на основе отдельных коммутаторов. Но если строить сеть огромного бизнес-центра, то мы заранее не поймем сколько будет арендаторов, сколько квадратных метров им будет нужно. Следовательно, нужно построить одну большую сеть для всего бизнес-центра, а потом логически делить ее на отдельные части в зависимости от нужды арендаторов.
Преимущества деления и изоляции vlan
Во-первых, безопасность. Если ты арендуешь помещение в каком-либо здании, тебе необходимо, чтобы данные были недоступны для других арендаторам.
Во-вторых, это распределение нагрузки. Например, рядом с вами в организации работает команда, которая занимается разработкой сетевых протоколов, и они активно работают. Вдруг, в их эксперименте что-то пошло не так, и вся сеть компании упала. Соответственно, вы не хотите, чтобы их действия повлияли на работу вашей сети.
В-третьих, ограничение широковещательного трафика. Если коммутатор не может найти в каком порту находится получатель, то он отправляет этот кадр на все порты. В сети с огромным множеством компьютеров такого широковещательного трафика много и он занимает высокий % нагрузки сети. А если вы изолируете сеть, то широковещательный трафик будет распространяться в рамках этой изолированной сети и объем трафика сокращается.
VLAN в коммутаторах
В большинстве случаев, чтобы обозначить виртуальные сети, используют различные цвета. К примеру, у нас есть ноутбуки, которые подключены к единственному коммутатору. Порты коммутатора отмечены разными цветами в зависимости, в какой vlan они входят. Порты, которые синим цветом входят в синий vlan, соответственно жёлтые в жёлтый. Ноутбуки, которые находятся в синем vlan могут взаимодействовать, друг с другом и не могут отправить никаких данных ноутбукам, которые находятся в желтом vlan и наоборот.
Как это работает?
В таблице коммутации, на рисунке ниже, есть поле в котором написано “идентификатор VLAN”, как правило для этих целей используют обычные числа.
По таблице смотрим, что порт 1 и 5 входят в vlan №2, а порты 2-4 в vlan №3. Если компьютеры подключенные к порту 1 и входящие в vlan 2 попытаются переслать данные к компьютеру подключенному к порту 4 входящий в вилан 3, то даже если компьютер отправителя знает MAC-адрес компьютера получателя, коммутатор не передаст этот кадр. Потому что порты находятся в разных виртуальных сетях и передача данных между ними невозможна.
Хорошо, когда сеть построена на одном коммутаторе, тогда подойдет вариант с таблицей коммутации и номерами vlan. Что делать, если в сети используются 2 или более коммутаторов? При отправлении кадров от одного коммутатора к другому, нужна информация к какому вилэну принадлежит передаваемый кадр. Информацию о № vlan нужно включать в отправляемый кадр, альтернативного варианта получить эту информацию у принимающего коммутатора нет.
С противоположной стороны, формат кадра Ethernet задан стандартом IEEE и в нем нет места для идентификатора VLAN. Чтобы включить № вилан в Ethernet кадр, нужно было изменить формат. Это изменение было предложено в стандарте IEEE 802.1Q. Но было нельзя просто добавить отдельное поле для номера вилан, потому что нужно обеспечить согласование со всем существующим оборудованием.
В стандарте IEEE 802.1Q в поле тип кадра, было предложено, вместо протокола верхнего уровня вставить специальное значение в шестнадцатеричном виде 8100 — это показатель того, что кадр содержит номер вилана. Далее в части, где в стандартном кадре Ethernet должны находиться данные, есть поле из 2-х байт, которое содержит номер вилана — Тег и еще одно поле из двух байт, куда записывается код протокола вышестоящего уровня.
Чтобы передавать данные размером 1500 байт в кадрах с идентификатором вилана, max длина кадра была увеличена на четыре байта.
Передача данных с использованием стандарта IEEE 802.1Q
Сетевой адаптер в ноутбуке генерит Ethernet кадр, внутри которого вложен IP пакет, в поле “Тип” — код протокола уровня выше, содержится значение 0800.
Коммутатор получает этот кадр, и понимает, что он был получен с ноутбука входящего в желтый вилан. Например, номер желтого вилана 2. Коммутатор добавляет служебные поля, в поле “Тип” протокола следующего уровня, значение 0800 заменяется на 08100. Потом добавляется номер вилана 2 и записывается код протокола следующего уровня 0800, для того, чтобы его, в дальнейшем можно было восстановить.
Принимающий информацию коммутатор извлекает эту информацию о vlan, осознает, что кадр был отправлен вилэн с номеров 2, т.е. в желтый вилан. Затем этот коммутатор удаляет из кадра информацию о номере вилэн и восстанавливает старое значение протокола следующего уровня 0800, что соответствует IP.
И вот такой кадр отправляет принимающему ноутбуку. Сейчас почти все сетевые адаптеры поддерживают стандарт 802.1Q и уже сам ноутбук может вставить нужные поля с номером вилана в кадр.
Заключение
📑 Виртуальная локальная сеть — VLAN (Virtual Local Area Network)
Виртуальная локальная сеть — VLAN (Virtual Local Area Network) — логическая группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети. Это означает, что передача кадров между разными виртуальными сетями на основании MAC-адреса невозможна, независимо от типа адреса – уникального, группового или широковещательного.
На практике основная цель VLAN — ограничить хождение широковещательных пакетов, что особенно актуально в больших локальных сетях без промежуточных маршрутизаторов.
Широковещательные пакеты – это пакеты, передаваемые на все узлы сети. Они необходимы для работы многих сетевых протоколов, таких как ARP/RARP (широковещательные запросы MAC-адреса интерфейса по IP-адресу или IP-адреса интерфейса по MAC-адресу), BOOTP или DHCP, с их помощью рабочая станция оповещает другие компьютеры о своем появлении в сети, так же широковещательные пакеты могут возникать из-за некорректно работающего сетевого адаптера. Широковещательные пакеты могут привести к насыщению полосы пропускания, особенно в крупных сетях. Для того, чтобы этого не происходило важно ограничить область распространения широковещательного трафика (эта область называется широковещательным доменом) – организовать небольшие широковещательные домены или виртуальные локальные сети.
То-есть интерфейсы находящиеся в разных VLAN-ах, невидимы друг для друга на канальном уровне, даже если они подключены к одному коммутатору, и связь между этими устройствами возможна только на сетевом и более высоких уровнях. В то-же время группа интерфейсов на одном VLAN-е может взаимодействовать друг с другом на канальном уровне, хотя они физически подключены к разным коммутаторам.
Использование механизма виртуальных локальных сетей позволяет строить изолированные на канальном уровне локальные сети без привязки к их физической коммутации. Связь между этими сетями может осуществляться на сетевом уровне или не осуществляться вообще.
Использование VLAN-ов позволяет:
Виртуальные локальные сети обычно строятся на базе управляемых коммутаторов, поддерживающих возможности VLAN. В принципе VLAN-ы могут быть настроены и на маршрутизаторах и интерфейсах хостов (сетевых платах), но обычно компьютер при отправке трафика в сеть даже не догадывается,в каком VLAN-е он размещён.
В коммутаторах (маршрутизаторах) могут использоваться три типа VLAN:
1. VLAN на базе портов
2. VLAN на базе MAC-адресов.
3. VLAN на основе меток в дополнительном поле кадра – стандарт IEEE 802.1q
Технология VLAN: разделяй и объединяй
Компания «Ромашки» из Иркутска открыла новое подразделение в Ангарске, где расположены несколько приоритетных клиентов. Начинающий системный администратор Роман взялся за голову: сеть компании состояла из нескольких изолированных сегментов, построенных на отдельных коммутаторах. В новом подразделении требовалось повторить такую же структуру, причём сделать так, чтобы, например, работники бухгалтерии в старом и новом офисе имели доступ к одним и тем же ресурсам и могли взаимодействовать друг с другом.
Приобретать для нового офиса такое же количество коммутаторов, как для главного, было нецелесообразно, поскольку там работало намного меньше сотрудников. Было непонятно, как объединять и разделять трафик от разных сегментов для передачи по WAN-каналу. И самое главное — казалось невозможным обеспечить изолированное взаимодействие пользователей в разных офисах.
Роман обратился за консультацией в компанию-интегратор и получил рекомендацию использовать технологию VLAN. Познакомившись с технологией, системный администратор понял, что это решит все его проблемы.
В этой публикации мы расскажем о принципах работы технологии, её возможностях и преимуществах, а также разберём типовые сценарии её применения.
Принципы работы VLAN
Компьютеры в локальной сети соединяются между собой с помощью сетевого оборудования — коммутаторов. По умолчанию все устройства, подключённые к портам одного коммутатора, могут взаимодействовать, обмениваясь сетевыми пакетами. Любой компьютер может направить широковещательный пакет, адресованный всем устройствам в этой сети, и все остальные компьютеры, подключённые к коммутатору, получат его. Все слышат всех.
Большое количество широковещательных пакетов, отправляемых устройствами, приводит к снижению производительности сети, поскольку вместо полезных операций коммутаторы заняты обработкой данных, адресованных сразу всем.
Чтобы снизить влияние широковещательных рассылок на производительность, сеть разделяют на изолированные сегменты. При этом каждый широковещательный пакет будет распространяться только в пределах сегмента, к которому подключен компьютер-отправитель.
Добиться такого результата можно, подключив разные сегменты к разным физическим коммутаторам, не соединённым между собой, либо соединить их через маршрутизаторы, которые не пропускают широковещательные рассылки.
На рисунке имеется четыре изолированных сегмента сети, каждый из которых подключён к отдельному физическому коммутатору. Взаимодействие между сегментами происходит через маршрутизаторы.
VLANы позволяют изолировать сегменты сети с помощью одного физического коммутатора. При этом функционально всё будет выглядеть полностью аналогично, но для каждого офиса используется один коммутатор с поддержкой VLAN.
В основе технологии VLAN лежит стандарт IEEE 802.1Q. Он позволяет добавлять в Ethernet-трафик информацию о принадлежности передаваемых данных к той или иной виртуальной сети — теги VLAN. С их помощью коммутаторы и маршрутизаторы могут выделить из общего потока передаваемых по сети кадров те, что относятся к конкретному сегменту.
Технология VLAN даёт возможность организовать функциональный эквивалент нескольких LAN-сетей без использования набора из коммутаторов и кабелей, которые понадобились бы для их реализации в физическом виде. Физическое сетевое оборудование заменяется виртуальным. Отсюда термин Virtual LAN.
Возможности VLAN
Используя виртуальные локальные сети, можно создавать конфигурации для решения различных задач:
Объединить в единую сеть группы компьютеров, подключённых к разным коммутаторам:
Компьютеры в VLAN 1 будут взаимодействовать между собой, хотя подключены к разным физическим коммутаторам, при этом сети VLAN 1 и VLAN 2 будут невидимы друг для друга.
Разделить на разные сети компьютеры, подключённые к одному коммутатору
При этом устройства в VLAN 1 и VLAN 2 не смогут взаимодействовать между собой.
Разделить гостевую и корпоративную беспроводную сеть компании:
Гости смогут подключаться к интернету, но не получат доступа к сети компании.
Обеспечить взаимодействие территориально распределённых отделов компании как единого целого:
Преимущества VLAN
VLAN с Traffic Inspector Next Generation
Технология VLAN позволяет одному устройству Traffic Inspector Next Generation контролировать доступ в интернет для нескольких подразделений, причём для каждого сегмента можно установить свои правила взаимодействия с глобальной сетью.
На рисунке изображена сеть компании, подключенная к интернет через сервер Traffic Inspector Next Generation. Сеть организована на базе одного коммутатора, на котором создано два виртуальных сегмента — VLAN 2 и VLAN 6. В первом сегменте находятся компьютеры пользователей, во втором — серверы. Устройство Traffic Inspector Next Generation подключено к транковому порту коммутатора — специальному порту, который «слышит» пакеты от всех виртуальных сетей. Трафик, передаваемый или принимаемый на транковый порт, всегда образован тегированными кадрами.
Чтобы управлять работой двух виртуальных сетей на одном устройстве Traffic Inspector Next Generation, достаточно в настройках выполнить следующие операции:
1. Создать VLAN-интерфейсы (Интерфейсы → Другие типы → VLAN)
2. Добавить VLAN-интерфейсы в веб-интерфейс (Интерфейсы → Назначения портов, указать VLAN в поле «Новый интерфейс»)
3. Задать параметры TCP/IP для VLAN-интерфейсов (в разделе «Интерфейсы»)
4. Сохранить изменения.
Заключение
Использование VLAN не только упрощает жизнь системным администраторам, позволяя быстро вносить изменения в структуру сети, но и даёт организациям возможность экономить на сетевом оборудовании.
Администратор Роман, о котором шла речь в начале статьи, обошёлся без покупки дополнительного оборудования, настроив на коммутаторах VLAN для каждого отдела. Это позволило высвободить из старого офиса два коммутатора и использовать их для построения сети в новом офисе. Кроме того, благодаря VLAN решилась проблема с маршрутизацией трафика по WAN-каналу.
Что такое виртуальная локальная сеть
Виртуальная локальная сеть
Для начала следует разобраться, что такое локальная сеть. К рассмотрению локальной сети лучше подходить с двух сторон.
Прежде всего, локальная сеть это все устройства пользователя, серверы, маршрутизаторы, провода, кабели и беспроводной доступ, которые расположены примерно в одном месте.
Если подойти к рассмотрению вопроса с другой стороны, то более точечная локальная сеть дает нам возможность освоить виртуальную локальную сеть, когда локальная сеть будет включать в себя устройства из одного широковещательного домена.
Общие сведения
Широковещательный домен это такое устройство, которое подключены к локальной сети так, что при отправке кадра, все другие оставшиеся устройства получают копию такого кадра.
В этом случае, локальная сеть и широковещательный домен является практически одним и тем же.
Коммутатор, у которого установлены стандартные настройки, воспринимают все его интерфейсы, как находящиеся в одном и том же широковещательном домене. И в тот момент, когда широковещательный кадр отправляется на определенный порт коммутатора, то устройство отправляет его на все остальные карты.
Учитывая такой принцип действия коммутатора, для того, чтобы создать два или три широковещательных домена, нужно будет приобрести два коммутатора для создания локальной сети Ethernet. В этом случае будет две подсети, также как и два широковещательных домена.
В каждом домене будет по два компьютера, первый и второй пока будут подключены к коммутатору sw1 и создадут широковещательный домен 1. А во втором домене будут подключены пк3 и пк4, с коммутатором sw2, они создадут широковещательный домен 2.
Виртуальную локальную сеть можно обозначить как VLAN, то есть это отдельные широковещательные домены, которые создал коммутатор.
Есть причины, по которым следует разделять хосты на разные локальные виртуальные сети, укажем наиболее распространённые.
Подробности
В некоторых случаях
нужно уменьшить нагрузку на процессор ПК, чтобы повысить производительность узла в целом с помощью уменьшения устройств, которые принимают широковещательный кадр. Также это дает возможность увеличить безопасность уменьшением числа хостов, которые получают копии кадров от коммутаторов.
Также у каждой виртуальной локальной сети может быть использована разная политика безопасности, это позволит увеличить безопасность хостов. Также можно создавать подразделения группы пользователей по группам, которые общаются или работают вместе, при этом они необязательно физически расположены рядом.
Виртуальная локальная сеть представляет собой группу узлов в сети, широковещательный трафик которой изолирован от остальных узлов в сети. При этом передача кадров между виртуальными сетями с разными Mac адресами невозможна, и это не зависит от типа адреса.
Создание локальных виртуальных сетей
основывается для того, чтобы широковещательный пакет не ходил также широко, особенно это актуально в крупных локальных сетях, где нет промежуточных маршрутиризаторов.
Широковещательными пакетами называются те, которые передаются на узлы сети, они обеспечивают работу сетевых протоколов. Рабочая станция передаёт другим компьютерам информацию о своем появлении в сети.
Чтобы широковещательные пакеты не привели к насыщению полосы пропускания в больших сетях, нужно ограничить радиус распространения широковещательного трафика, то есть домены. Для этого можно организовывать маленькие широковещательные домены или виртуальные локальные сети.
Создание и использование механизма виртуальных локальных сетей дает возможность выстраивать отдельные, изолированные на канальном уровне локальной сети, которые не привязаны к физической коммутации. И взаимосвязь между этими локальными сетями происходит на сетевом уровне или её нет вообще.
Виртуальные локальные сети, как правило, выстраиваются на базе управляемых коммутаторов, у которых есть возможность поддержать виртуальную локальную сеть. Виртуальные локальные сети можно настроить и на маршрутизаторах, и в интерфейсах сетевых плат.
Итоги
В маршрутизаторах и коммутаторах используются три типа виртуальных локальных сетей, на базе портов, на базе mac-адресов, и на основе меток в дополнительном поле кадра.