46355 (Технология VLAN), страница 2

Этот тип виртуальных локальных сетей (ВЛС) определяет членство каждой ВЛС на основе номера подключенного порта. Смотрите следующий пример порт ориентированной ВЛС.

Пример 1. Порты 3,6,8 и 9 принадлежат к VLAN1 а порты 1,2,4,5 и 7 принадлежат к VLAN2

Таблица 1. Членство в каждой ВЛС определяется номером порта

На рисунке 1 показан пример реализации порт ориентированной ВЛС (на основе коммутатора SXP1224WM и двухскоростного концентратора DX2216 фирмы Compex).

Рис. 1. Пример порт ориентированной ВЛС

В этом примере два концентратора DX2216 подключены к отдельным портам коммутатора SXP1224WM. Так как порт ориентированная ВЛС определяет членство VLAN на основе номера порта, то все рабочие станции подключенные к портам концентратора (DX2216) принадлежат к одной VLAN. В нашем случае, рабочие станции подключенные через концентратор DX2216 к 1 порту коммутатора принадлежат VLAN2, а рабочие станции подключенные через концентратор DX2216 к 3 порту коммутатора принадлежат к VLAN1. Так как эти автоматизированные рабочие места связаны через концентратор DX2216, они должны быть физически размещены недалеко друг от друга. С другой стороны, есть 7 рабочих мест станций, подключенных непосредственно к портам коммутатора (Private Port Switching). Рабочие места подключены к портам 6,8 и 9 коммутатора SXP1224WM физически отдалены от других станций (подключенных через концетратор), тем не менее, все они принадлежат VLAN2.

Для одного коммутатора SXP1224WM максимальное число пользователей с непосредственным (не разделяемым) подключением к коммутируемому порту - 24, по числу портов у этого коммутатора. Как же VLAN может быть реализована, если использован больше чем один коммутатор типа SXP1224WM и пользователи одной VLAN подключены к разным коммутаторам?

На рисунке 2 показан пример подключения пользователей VLAN через несколько коммутаторов.

Рис.2 Сеть VLAN с использованием нескольких коммутаторов.

VLAN членство для этого примера показываются в таблице 2 и 3.

Таблица 2. VLAN членство SXP1224WM *1

Таблица 3. VLAN членство SXP1224WM *2

В этом примере на обоих коммутаторах определенны две общие виртуальные подсети (VLAN). VLAN1 в коммутаторе #1 и VLAN1 в коммутаторе #2 есть та же самая общая VLAN, для которой должен быть определен общий порт. В этом случае, порт 6 на коммутаторе #1 и порт 7 на коммутаторе #2 члены VLAN1 и эти порты (порт 6 коммутатора #1 и порт 7 коммутатора #2) связаны вместе. Принимая во внимание, что порт 7 коммутатора #1 и порт 8 коммутатора #2 члены VLAN2, они связаны тоже вместе.

ВЛС по MAC-адресу

VLAN, базирующиеся на MAC адресах ,имеют целый ряд преимуществ и недостатков.Во-первых,при смене пользователем физического расположения,она автоматически переключается, т.е. позволяет пользователям находиться в той же VLAN, даже если пользователь перемещается с одного места на другое. Этот метод требует, чтобы администратор определил MAC адрес каждой рабочей станции и затем внес эту информацию в коммутатор. Этот метод может вызвать большие трудности при поиске неисправностей, если пользователь изменил MAC адрес,а также при большом количестве пользователей Любые изменения в конфигурации должны быть согласованы с сетевым администратором, что может вызывать административные задержки.

ВЛС по сетевому адресу

Виртуальные сети, базирующиеся на сетевых адресах, позволяют пользователям находиться в той же VLAN, даже когда пользователь перемещается с одного места на другое. Этот метод перемещает VLAN, связывая ее с сетевым адресом Уровня 3 рабочей станции для каждого коммутатора, к которому пользователь подключен. Этот метод может быть очень полезным в ситуации, когда важна безопасность и когда доступ контролируется списками доступа в маршрутизаторах. Поэтому пользователь "безопасной" VLAN может переехать в другое здание, но остаться подключенным к тем же устройствам потому, что у него остался тот же сетевой адрес. Сеть, построенная на сетевых адресах, может потребовать комплексного подхода при поиске неисправностей.

ВЛС по IP адресу

Виртуальные сети, базирующиеся на IP-адресах, представляют собой необычный подход к определения VLAN, хотя фундаментальная концепция широковещательных доменов все же сохраняется. При посылке IP-пакета через многовещатель, он автоматически пересылается на адрес, который является прокси-сервером для четко определенной группы IP-адресов, назначающихся динамически. Каждой рабочей станции дается возможность соединиться с определенной IP-группой путем утвердительного ответа на широковещательные уведомления(сигналы которого инициализируют группу). Все рабочие станции, объединенные в одну IP-группу ,могут быть рассмотрены как члены одной и той же VLAN. Однако, они являются членами определенной мультивещательной IP-группы только на данный момент времени. Поэтому, динамическая природа VLANs, определенная широковещательными IP-группами, разрешает высокую степень гибкости и чувствительность в применении.

2. Протокол Spanning-Tree и сети VLAN

Протокол Spanning-Tree позволяет иметь избыточные физические связи в мостовых сетях, но иметь только одно физическое соединение, пересылающее фреймы. Этот протокол переводит избыточные физические соединения с сегментом назначения в режим блокирования. Когда происходят события, изменяющие топологию сети, STP протокол производит ре-калькуляцию, какие соединения будут переправлять фреймы, а остальные останутся в заблокированном состоянии. Имеется два главных метода мостового соединения - прозрачное (transparent) и маршрутизируемое источником (source-route). STP протокол используется в прозрачном мостовом соединении для избежания циклов в сетевых сегментах, обеспечивая также избыточность на случай неисправностей.

Прозрачное мостовое соединение в основном используется в окружении Ethernet. Этот метод возлагает ответственность за определение пути от источника к приемнику на мост. Ethernet фреймы не содержат поле RIF информации о маршруте (Routing Information Field) как, например, фреймы Token Ring, поэтому устройства просто посылают фреймы и подразумевают, что они достигнут пункта назначения. Процесс, используемый мостами для переправки фреймов, подобен тому, как работают коммутаторы Уровня 2. Прозрачное объединение проверяет входящие фреймы и запоминает MAC адрес получателя. Мост ищет этот адрес в таблице; Если он нашел его, он переправляет фрейм в соответствующий порт. Если MAC адрес не был найден, он копирует и переправляет фрейм во все порты, кроме того, из которого фрейм пришел.

Соединение, маршрутизируемое источником, используется в окружении Token Ring. Этот метод возлагает ответственность поиска устройства назначения на передающую станцию. Устройство Token Ring посылает тестовый фрейм для определения, располагается ли устройство назначения в локальном кольце. Если не было получено ответа, устройство посылает поисковый фрейм как широковещательный пакет. Широковещательный пакет пересекает сеть через другие мосты и каждый мост добавляет номер кольца и номер моста, в котором это кольцо существует пока фрейм не достигнет получателя. Комбинация номера кольца и номера моста содержится в поле RIF. Устройство-получатель отвечает на поисковый фрейм и, в конечном счете, устройство-источник получает фрейм-ответ. Теперь связи начинается с того, что каждая станция добавляет поле RIF в каждый фрейм. Соединение, маршрутизируемое источником, переправляет фреймы, основываясь на информации поля RIF, и не строит таблицу MAC адресов и портов, так как конечные устройства обеспечивают информацию о пути от источника к приемнику в поле RIF.

Для обсуждения мы рассмотрим проблему, связанную с циклами и прозрачным объединением сетей, так как это наиболее распространено сегодня. Представьте себе два сетевых сегмента, сегмент A и сегмент B с одной рабочей станцией в каждом: станция A и станция B соответственно. Два прозрачных моста присоединены к обоим сегментам A и B, создавая цикл в сети. Станция A посылает широковещательный фрейм для станции B, и оба моста считывают фрейм с их сегмента A и переправляют его в сегмент B. Оба моста связывают адрес станции A с их сегментом A в таблице адресов. Ethernet фрейм имеет адресом источника станцию A и адресом получателя широковещательный адрес. После того, как мосты переправили фрейм в сегмент B, он имеет тот же адрес отправителя и получателя, так как мосты работают на Уровне 2 и не изменяют адресов, когда переправляют фреймы. Фрейм, полученный обоими мостами в сегменте B, аккуратно переправляется назад в сегмент A, так как моты переправляют фреймы на все остальные порты. В дополнение, мосты обновляют их таблицы, связывая адрес станции A с их интерфейсом сегмента B. Мосты будут продолжать переправлять эти фреймы снова и снова. Очевидно, что это приведет к снижению производительности сети, так как каждое устройство в сети будет обрабатывать эти фреймы снова и снова, теряя процессорное время на каждом устройстве и уменьшая пропускную способность сети. Этот пример проиллюстрирован ниже.

Избыточная топология с циклами

Главной причиной разработки протокола Spanning-Tree Protocol было устранение циклов в сети. Протокол Spanning-Tree гарантирует отсутствие циклов, блокируя один из портов моста ("blocking mode"), предотвращая передачу пакетов. Обратите внимание, что блокировка может быть снята, если текущий активный порт переходит в нерабочее состояние. Когда происходит изменение топологии сети, мост производит ре-калькуляцию состояния, рассылая пакеты BPDU (Bridge Protocol Data Units). При помощи BPDU, мосты обмениваются информацией, определяя, какие порты нужно блокировать.

Сейчас, когда мы понимаем основы Spanning Tree, как это относится к коммутаторам. Коммутаторы функционируют подобно мостам, поэтому каждый коммутатор принимает участие в процессе spanning-tree, если это не отключено в конфигурации. Вы должны иметь достаточно оснований для того, чтобы запретить обработку spanning tree на вашем коммутатору, так как это может вызвать серьезные проблемы. Коммутаторы гарантируют отсутствие циклов в топологии, используя алгоритм spanning-tree (STA). Алгоритм spanning-tree осуществляет топологию без циклов для каждой сети VLAN, настроенной в вашем коммутаторе. Поэтому присоединение любых сетевых устройств (кроме серверов или рабочих станций) может вызвать цикл в вашей сети, если запрещена обработка протокола spanning-tree. Главная проблема, создаваемая циклами в сети, это широковещательный шторм (broadcast storm). Это состояние сети, когда коммутаторы или мосты продолжают переправлять широковещательные пакеты во все подключенные порты; другие коммутаторы и мосты, присоединенные в ту же сеть, создавая цикл, продолжают переправлять те же фреймы назад в посылающий коммутатор или мост. Эта проблема сильно уменьшает производительность сети, так как сетевые устройства постоянно заняты копированием широковещательных пакетов во все порты.