Поддержка виртуальных сетей. Виртуальные локальные сети

6.1 Введение. Технология виртуальных локальных сетей

Виртуальной сетью называется группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети (рис. 4.39). Это означает, что передача кадров между разными виртуальными сетями на основании адреса канального уровня невозможна, независимо от типа адреса - уникального, группового или широковещательного. В то же время внутри виртуальной сети кадры передаются по технологии коммутации, то есть только на тот порт, который связан с адресом назначения кадра. Виртуальные сети могут пересекаться, если один или несколько компьютеров входят в состав более чем одной виртуальной сети. На рис. 4.39 сервер электронной почты входит в состав 3 и 4 виртуальных сетей. Это значит, что его кадры передаются коммутаторами всем компьютерам, входящим в эти сети. Если же какой-то компьютер входит в состав только виртуальной сети 3, то его кадры до сети 4 доходить не будут, но он может взаимодействовать с компьютерами сети 4 через общий почтовый сервер. Такая схема не полностью защищает виртуальные сети друг от друга -так, широковещательный шторм, возникший на сервере электронной почты, захлестнет сеть 3 и сеть 4.

Рис. 4.39. Виртуальные сети

Говорят, что виртуальная сеть образует домен широковещательного трафика (broadcast domain), по аналогии с доменом коллизий, который образуется повторителями сетей Ethernet.

Назначение технологии виртуальных сетей состоит в облегчении процесса создания изолированных сетей, которые затем должны связываться с помощью маршрутизаторов, реализующих какой-либо протокол сетевого уровня, например IP. Такое построение сети создает гораздо более мощные барьеры на пути ошибочного трафика из одной сети в другую. Сегодня считается, что любая крупная сеть должна включать маршрутизаторы, иначе потоки ошибочных кадров, например широковещательных, будут периодически затапливать всю сеть через прозрачные для них коммутаторы, приводя ее в неработоспособное состояние.

Технология виртуальных сетей создает гибкую основу для построения крупной сети, соединенной маршрутизаторами, так как коммутаторы позволяют создавать полностью изолированные сегменты программным путем, не прибегая к физической коммутации.

До появления технологии VLAN для создания отдельной сети использовались либо физически изолированные сегменты коаксиального кабеля, либо несвязанные между собой сегменты, построенные на повторителях и мостах. Затем эти сети связывались маршрутизаторами в единую составную сеть (рис).

Рис. Интерсеть, состоящая из сетей, построенных на основе повторителей

Изменение состава сегментов (переход пользователя в другую сеть, дробление крупных сегментов) при таком подходе подразумевает физическую перекоммутацию разъемов на передних панелях повторителей или в кроссовых панелях, что не очень удобно в больших сетях - много физической работы, к тому же высока вероятность ошибки.

Поэтому для устранения необходимости физической перекоммутации узлов стали применять многосегментные концентраторы, рассмотренные в разделе 4.2.2. Возникла возможность программировать состав разделяемого сегмента без физической перекоммутации.

Однако решение задачи изменения состава сегментов с помощью концентраторов накладывает большие ограничения на структуру сети - количество сегментов такого повторителя обычно невелико, поэтому выделить каждому узлу свой сегмент, как это можно сделать с помощью коммутатора, нереально. Кроме того, при таком подходе вся работа по передаче данных между сегментами ложится на маршрутизаторы, а коммутаторы со своей высокой производительностью остаются не у дел. Поэтому сети, построенные на основе повторителей с конфигурационной коммутацией, по-прежнему основаны на разделении среды передачи данных между большим количеством узлов, и, следовательно, обладают гораздо меньшей производительностью по сравнению с сетями, построенными на основе коммутаторов.

При использовании технологии виртуальных сетей в коммутаторах одновременно решаются две задачи:

· повышение производительности в каждой из виртуальных сетей, так как коммутатор передает кадры в такой сети только узлу назначения;

· изоляция сетей друг от друга для управления правами доступа пользователей и создания защитных барьеров на пути широковещательных штормов.

Для связи виртуальных сетей в общую сеть требуется привлечение сетевого уровня. Он может быть реализован в отдельном маршрутизаторе, а может работать и в составе программного обеспечения коммутатора, который тогда становится комбинированным устройством - так называемым коммутатором 3-го уровня. Коммутаторы 3-го уровня рассматриваются в главе 5.

Технология образования и работы виртуальных сетей с помощью коммутаторов долгое время не стандартизировалась, хотя и была реализована в очень широком спектре моделей коммутаторов разных производителей. Такое положение изменилось после принятия в 1998 году стандарта IEEE 802.1Q, который определяет базовые правила построения виртуальных локальных сетей, не зависящие от протокола канального уровня, который поддерживает коммутатор.

В виду долгого отсутствия стандарта на VLAN каждый крупный производитель коммутаторов разработал свою технологию виртуальных сетей, которая, как правило, была несовместима с технологиями других производителей. Поэтому, несмотря на появление стандарта, можно не так уж редко встретиться с ситуацией, когда виртуальные сети, созданные на коммутаторах одного производителя, не распознаются и, соответственно, не поддерживаются коммутаторами другого производителя.

При создании виртуальных сетей на основе одного коммутатора обычно используется механизм группирования в сети портов коммутатора (рис. 4.41). При этом каждый порт приписывается той или иной виртуальной сети. Кадр, пришедший от порта, принадлежащего, например, виртуальной сети 1, никогда не будет передан порту, который не принадлежит этой виртуальной сети. Порт можно приписать нескольким виртуальным сетям, хотя на практике так делают редко - пропадает эффект полной изоляции сетей.

Рис. 4.41. Виртуальные сети, построенные на одном коммутаторе

Группировка портов для одного коммутатора - наиболее логичный способ образования VLAN, так как виртуальных сетей, построенных на основе одного коммутатора, не может быть больше, чем портов. Если к одному порту подключен сегмент, построенный на основе повторителя, то узлы такого сегмента не имеет смысла включать в разные виртуальные сети - все равно трафик этих узлов будет общим.

Создание виртуальных сетей на основе группирования портов не требует от администратора большого объема ручной работы - достаточно каждый порт приписать к одной из нескольких заранее поименованных виртуальных сетей. Обычно такая операция выполняется с помощью специальной программы, прилагаемой к коммутатору. Администратор создает виртуальные сети путем перетаскивания мышью графических символов портов на графические символы сетей.

6.2 Организация виртуальных локальных сетей

Виртуальные сети созданы, чтобы реализовать сегментацию сети на коммутаторах. Таким образом, создание виртуальных локальных сетей (Virtual Local Area Networks – VLAN ), которые представляют собой логическое объединение групп станций сети (рис. 16.1), является одним из основных методов защиты информации в сетях на коммутаторах.

Рис. 16.1. Виртуальные локальные сети VLAN

Обычно VLAN группируются по функциональным особенностям работы, независимо от физического местоположения пользователей. Обмен данными происходит только между устройствами, находящимися в одной VLAN. Обмен данными между различными VLAN производится только через маршрутизаторы.

Рабочая станция в виртуальной сети, например Host-1 в сети VLAN1 (рис. 16.1), ограничена общением с сервером в той же самой VLAN1. Виртуальные сети логически сегментируют всю сеть на широковещательные домены так, чтобы пакеты переключались только между портами, которые назначены на ту же самую VLAN (приписаны к одной VLAN). Каждая сеть VLAN состоит из узлов, объединенных единственным широковещательным доменом, образованным приписанными к виртуальной сети портами коммутатора.

Поскольку каждая виртуальная сеть представляет широковещательный домен, то маршрутизаторы в топологии сетей VLAN (рис. 16.1) обеспечивают фильтрацию широковещательных передач, безопасность, управление трафиком и связь между VLAN. Коммутаторы не обеспечивают трафик между VLAN, поскольку это нарушает целостность широковещательного домена VLAN. Трафик между VLAN обеспечивается маршрутизацией, т. е. общение между узлами разных виртуальных сетей происходит только через маршрутизатор .

Для нормального функционирования виртуальных сетей необходимо на коммутаторе сконфигурировать все виртуальные локальные сети и приписать порты коммутатора к соответствующей сети VLAN. Если кадр должен пройти через коммутатор и МАС-адрес назначения известен, то коммутатор только продвигает кадр к соответствующему выходному порту. Если МАС-адрес неизвестен, то происходит широковещательная передача во все порты широковещательного домена, т. е. внутри виртуальной сети VLAN, кроме исходного порта, откуда кадр был получен. Широковещательные передачи снижают безопасность информации .

Управление виртуальными сетями VLAN реализуется через первую сеть VLAN1 и сводится к управлению портами коммутатора. Сеть VLAN1 получила название сеть по умолчанию (default VLAN ). По крайней мере, один порт должен быть в VLAN 1, чтобы управлять коммутатором. Все другие порты на коммутаторе могут быть назначены другим сетям VLAN. Поскольку данная информация известна всем, хакеры пытаются атаковать в первую очередь именно эту сеть. Поэтому на практике администраторы изменяют номер сети по умолчанию, например, на номер VLAN 101.

Каждой виртуальной сети при конфигурировании должен быть назначен IP-адрес сети или подсети с соответствующей маской, для того чтобы виртуальные сети могли общаться между собой. Например, VLAN1 (рис. 16.1) может иметь адрес 192.168.10.0/24, VLAN2 – адрес 192.168.20.0/24, VLAN3 – адрес 192.168.30.0/24. Каждому хосту необходимо задать IP-адрес из диапазона адресов соответствующей виртуальной сети, например, host-1 – адрес 192.168.10.1, host-2 – адрес 192.168.20.1, host-3 – адрес 192.168.20.2, host-7 – адрес 192.168.20.3, host-10 – адрес 192.168.30.4.

Идентификаторы виртуальных сетей (VLAN1, VLAN2, VLAN3 и т. д.) могут назначаться из нормального диапазона 1-1005, в котором номера 1002 – 1005 зарезервированы для виртуальных сетей технологий Token Ring и FDDI. Существует также расширенный диапазон идентификаторов 1006-4094. Однако для облегчения управления рекомендуется, чтобы сетей VLAN было не более 255 и сети не расширялись вне Уровня 2 коммутатора.

Таким образом, сеть VLAN является широковещательным доменом, созданным одним или более коммутаторами. На рис. 16.2 три виртуальных сети VLAN созданы одним маршрутизатором и тремя коммутаторами. При этом существуют три отдельных широковещательных домена (сеть VLAN 1, сеть VLAN 2, сеть VLAN 3). Маршрутизатор управляет трафиком между сетями VLAN, используя маршрутизацию Уровня 3.

Рис. 16.2. Три виртуальных сети VLAN

Если рабочая станция сети VLAN 1 захочет послать кадр рабочей станции в той же самой VLAN 1, адресом назначения кадра будет МАС- адрес рабочей станции назначения. Если же рабочая станция сети VLAN 1 захочет переслать кадр рабочей станции сети VLAN 2, кадры будут переданы на МАС-адрес интерфейса F0/0 маршрутизатора. То есть маршрутизация производится через IP-адрес интерфейса F0/0 маршрутизатора виртуальной сети VLAN 1.

Для выполнения своих функций в виртуальных сетях коммутатор должен поддерживать таблицы коммутации (продвижения) для каждой VLAN. Для продвижения кадров производится поиск адреса в таблице только данной VLAN. Если адрес источника ранее не был известен, то при получении кадра коммутатор добавляет этот адрес в таблицу.

При построении сети на нескольких коммутаторах необходимо выделить дополнительные порты для объединения портов разных коммутаторов, приписанных к одноименным виртуальным сетям (рис. 16.3). Дополнительных пар портов двух коммутаторов должно быть выделено столько, сколько создано сетей VLAN.

Рис. 16.3. Объединение виртуальных сетей двух коммутаторов

Поскольку кадры данных могут быть получены коммутатором от любого устройства, присоединенного к любой виртуальной сети, при обмене данными между коммутаторами в заголовок кадра добавляется уникальный идентификатор кадра – тег (tag) виртуальной сети, который определяет VLAN каждого пакета. Стандарт IEEE 802.1Q предусматривает введение поля меток в заголовок кадра, содержащего два байта (табл. 16.1).

Виртуальной локальной сетью (Virtual Local Area Network, VLAN) называется группа узлов сети, трафик которой, в том числе широковещательный, на канальном уровне полностью изолирован от трафика других узлов сети.

Рис. 14.10. Виртуальные локальные сети.

Это означает, что передача кадров между разными виртуальными сетями на основании адреса канального уровня невозможна независимо от типа адреса (уникального, группового или широковещательного). В то же время внутри виртуальной сети кадры передаются по технологии коммутации, то если только на тот порт, который связан с адресом назначения кадра.

Виртуальные локальные сети могут перекрываться, если один или несколько компьютеров входят в состав более чем одной виртуальной сети. На рис. 14.10 сервер электронной почты входит в состав виртуальных сетей 3 и 4. Это означает, что его кадры передаются коммутаторами всем компьютерам, входящим в эти сети. Если же какой-то компьютер входит в состав только виртуальной сети 3, то его кадры до сети 4 доходить не будут, но он может взаимодействовать с компьютерами сети 4 через общий почтовый сервер. Такая схема защищает виртуальные сети друг от друга не полностью, например, широковещательный шторм, возникший на сервере электронной почты, затопит и сеть 3, и сеть 4.

Говорят, что виртуальная сеть образует домен широковещательного трафика по аналогии с доменом коллизий, который образуется повторителями сетей Ethernet.

Назначение виртуальных сетей

Как мы видели на примере из предыдущего раздела, с помощью пользовательских фильтров можно вмешиваться в нормальную работу коммутаторов и ограничивать взаимодействие узлов локальной сети в соответствии с требуемыми правилами доступа. Однако механизм пользовательских фильтров коммутаторов имеет несколько недостатков:

Приходится задавать отдельные условия для каждого узла сети, используя при этом громоздкие МАС-адреса. Гораздо проще было бы группировать узлы и описывать условия взаимодействия сразу для групп.

Невозможно блокировать широковещательный трафик. Широковещательный трафик может быть причиной недоступности сети, если какой-то ее узел умышленно или неумышленно с большой интенсивностью генерирует широковещательные кадры.

Техника виртуальных локальных сетей решает задачу ограничения взаимодействия узлов сети другим способом.

Основное назначение технологии VLAN состоит в облегчении процесса создания изолированных сетей, которые затем обычно связываются между собой с помощью маршрутизаторов. Такое построение сети создает мощные барьеры на пути нежелательного трафика из одной сети в другую. Сегодня считается очевидным, что любая крупная есть должна включать маршрутизаторы, иначе потоки ошибочных кадров, например широковещательных, будут периодически «затапливать» всю сеть через прозрачные для них коммутаторы, приводя ее в неработоспособное состояние.

Достоинством технологии виртуальных сетей является то, что она позволяет создавать полностью изолированные сегменты сети, путем логического конфигурирования коммутаторов, не прибегая к изменению физической структуры.

До появления технологии VLAN для создания отдельной сети использовались либо физически изолированные сегменты коаксиального кабеля, либо не связанные между собой сегменты, построенные на повторителях и мостах. Затем эти сети связывались маршрутизаторами в единую составную сеть (рис. 14.11).

Изменение состава сегментов (переход пользователя в другую сеть, дробление крупных сегментов) при таком подходе подразумевает физическую перекоммутацию разъемов на передних панелях повторителей или на кроссовых панелях, что не очень удобно в больших сетях - много физической работы, к тому же высока вероятность ошибки.

Рис. 14.11. Составная сеть, состоящая из сетей, построенных на основе повторителей

Для связывания виртуальных сетей в общую сеть требуется привлечение средств сетевого уровня. Он может быть реализован в отдельном маршрутизаторе или в составе программного обеспечения коммутатора, который тогда становится комбинированным устройством - так называемым коммутатором 3-го уровня.

Технология виртуальных сетей долгое время не стандартизировалась, хотя и была реализована в очень широком спектре моделей коммутаторов разных производителей. Положение изменилось после принятия в 1998 году стандарта IEEE 802.1Q, который определяет базовые правила построения виртуальных локальных сетей, не зависящие от протокола канального уровня, поддерживаемого коммутатором.

Создание виртуальных сетей на базе одного коммутатора

При создании виртуальных сетей на основе одного коммутатора обычно используется механизм группирования портов коммутатора (рис. 14.12). При этом каждый порт приписывается той или иной виртуальной сети. Кадр, пришедший от порта, принадлежащего, например, виртуальной сети 1, никогда не будет передан порту, который не принадлежит этой виртуальной сети. Порт можно приписать нескольким виртуальным сетям, хотя на практике так делают редко - пропадает эффект полной изоляции сетей.

Создание виртуальных сетей путем группирования портов не требует от администратора большого объема ручной работы - достаточно каждый порт приписать к одной из нескольких заранее поименованных виртуальных сетей. Обычно такая операция выполняется с помощью специальной программы, прилагаемой к коммутатору.

Второй способ образования виртуальных сетей основан на группировании МАС-адресов. Каждый МАС-адрес, который изучен коммутатором, приписывается той или иной виртуальной сети. При существовании в сети множества узлов этот способ требует от администратора большого объема ручной работы. Однако при построении виртуальных сетей на основе нескольких коммутаторов он оказывается более гибким, чем группирование портов.

Рис. 14.12. Виртуальные сети, построенные на одном коммутаторе

Создание виртуальных сетей на базе нескольких коммутаторов

Рисунок 14.13 иллюстрирует проблему, возникающую при создании виртуальных сетей на основе нескольких коммутаторов, поддерживающих технику группирования портов.

Рис. 14.13. Построение виртуальных сетей на нескольких коммутаторах с группированием портов

Если узлы какой-либо виртуальной сети подключены к разным коммутаторам, то для подключения каждой такой сети на коммутаторах должна быть выделена специальная пара портов. Таким образом, коммутаторы с группированием портов требуют для своего соединения столько портов, сколько виртуальных сетей они поддерживают. Порты и кабели используются в этом случае очень расточительно. Кроме того, при соединении виртуальных сетей через маршрутизатор для каждой виртуальной сети выделяется отдельный кабель и отдельный порт маршрутизатора, что также приводит к большим накладным расходам.

Группирование МАС-адресов в виртуальную сеть на каждом коммутаторе избавляет от необходимости связывать их по нескольким портам, поскольку в этом случае МАС-адрес становится меткой виртуальной сети. Однако этот способ требует выполнения большого количества ручных операций по маркировке МАС-адресов на каждом коммутаторе сети.

Описанные два подхода основаны только на добавлении дополнительной информации к адресным таблицам коммутатора и в них отсутствует возможность встраивания в передаваемый кадр информации о принадлежности кадра виртуальной сети. В остальных подходах используются имеющиеся или дополнительные поля кадра для сохранения информации о принадлежности кадра той или иной виртуальной локальной сети при его перемещениях между коммутаторами сети. При этом нет необходимости помнить в каждом коммутаторе о принадлежности всех МАС-адресов составной сети виртуальным сетям.

Ethernet вносит дополнительный заголовок, который называется тегом виртуальной локальной сети.

Тег VLAN не является обязательным для кадров Ethernet. Кадр, у которого имеется такой заголовок, называют помеченным (tagged frame). Коммутаторы могут одновременно работать как с помеченными, так и с непомеченными кадрами. Из-за добавления тега VLAN максимальная длина поля данных уменьшилась на 4 байта.

Для того чтобы оборудование локальных сетей могло отличать и понимать помеченные кадры, для них введено специальное значение поля EtherType, равное 0x8100. Это значение говорит о том, что за ним следует поле TCI, а не стандартное поле данных. Обратите внимание, что в помеченном кадре за полями тега VLAN следует другое поле EtherType, указывающее тип протокола, данные которого переносятся полем данных кадра.

В поле TCI находится 12-битпое поле номера (идентификатора) VLAN, называемого VID. Разрядность поля VID позволяет коммутаторам создавать до 4096 виртуальных сетей.

Пользуясь значением VID в помеченных кадрах, коммутаторы сети выполняют групповую фильтрацию трафика, разбивая сеть на виртуальные сегменты, то есть на VLAN. Для поддержки этого режима каждый порт коммутатора приписывается к одной или нескольким виртуальным локальным сетям, то есть выполняется группировка портов.

Для упрощения конфигурирования сети в стандарте 802.1Q появляются понятия линии доступа и транка.

Линия доступа связывает порт коммутатора (называемый в этом случае портом доступа) с компьютером, принадлежащим некоторой виртуальной локальной сети.

Транк – это линия связи, которая соединяет между собой порты двух коммутаторов, в общем случае через транк передается трафик нескольких виртуальных сетей.

Для того чтобы образовать в исходной сети виртуальную локальную сеть, нужно в первую очередь выбрать для нее значение идентификатора VID, отличное от 1, а затем, используй команды конфигурирования коммутатора, приписать к этой сети те порты, к которым присоединены включаемые в нее компьютеры. Порт доступа может быть приписан только к одной виртуальной локальной сети.

Порты доступа получают от конечных узлов сети непомеченные кадры и помечают их тегом VLAN, содержащим то значение VID, которое назначено этому порту. При передаче же помеченных кадров конечному узлу порт доступа удаляет тег виртуальной локальной сети.

Для более наглядного описания вернемся к рассмотренному ранее примеру сети. Нарис. 14.15 показано, как решается задача избирательного доступа к серверам на основе техники VLAN.

Рис. 14.15. Разбиение сети на две виртуальные локальные сети

Чтобы решить эту задачу, можно организовать в сети две виртуальные локальные сети, VLAN2 и VLAN3 (напомним, что сеть VLAN1 уже существует по умолчанию - это наша исходная сеть), приписан один набор компьютеров и серверов к VLAN2, а другой -KVLAN3.

Для приписывания конечных узлов к определенной виртуальной локальной сети соответствующие порты объявляются портами доступа этой сети путем назначения им соответствующего идентификатора VID. Например, порт 1 коммутатора SW1 должен быть объявлен портом доступа VLAN2 путем назначения ему идентификатора VID2, то же самое должно быть проделано с портом 5 коммутатора SW1, портом 1 коммутатора SW2 1 портом 1 коммутатора SW3. Порты доступа сети VLAN3 должны получить идентификатор VID3.

В пашей сети нужно также организовать транки - те линии связи, которые соединяют между собой порты коммутаторов. Порты, подключенные к транкам, не добавляют и не удаляют теги, они просто передают кадры в неизменном виде. В нашем примере такими портами должны быть порты 6 коммутаторов SW1 и SW2, а также порты 3 и 4 коммутатора ЩЗ. Порты в нашем примере должны поддерживать сети VLAN2 и VLAN3 (и VLAN1, если в сети есть узлы, явно не приписанные ни к одной виртуальной локальной сети).

Коммутаторы, поддерживающие технологию VLAN, осуществляют дополнительную фильтрацию трафика. В том случае если таблица продвижения коммутатора говорит о том, то пришедший кадр нужно передать на некоторый порт, перед передачей коммутатор проверяет, соответствует ли значение VTD в теге VL AN кадра той виртуальной локальной сети, которая приписана к этому порту. В случае соответствия кадр передается, несоответствия - отбрасывается. Непомеченные кадры обрабатываются аналогичным образом, но с использованием условной сети VLAN1. MAC-адреса изучаются коммутаторами сети отдельно, но каждой виртуальной локальной сети.

Техника VLAN оказывается весьма эффективной для разграничения доступа к серверам. Конфигурирование виртуальной локальной сети не требует знания МАС-адресов узлов, кроме того, любое изменение в сети, например подключение компьютера к другому коммутатору, требует конфигурирования лишь порта данного коммутатора, а все остальные коммутаторы сети продолжают работать без внесения изменений, в их конфигурации.

Недорогой но высококачественный сайт . Такое может быть? Да. У нас может быть всё. Достойное качество по доступной цене.
С точки зрения нашей студии создание сайта недорого значит, прежде всего, отменно, технологично и потом уже - недорого.
Удаленная форма работы с клиентами оптимизирует наши расходы и мы можем делать сайты по всему миру . Вам совсем не нужно приезжать к нам. Мы сэкономим Ваше время и средства.

В столь непростое время глобального финансового кризиса, когда отмирают старые схемы бизнеса, появляются новые. Самое лучше время для начала своей деятельности. Вы начинаете свой бизнес, а я помогу создать вам свой , для вас.
Огромной популярностью пользуются так называемые сайты-визитки .
Создание сайта-визитки - это совсем недорого, и будет по карману даже начинающему предпринимателю. При разработке подобного сайта достаточно .

Сетевые специалисты утверждают, что 50 % знаний в этой динамичной области техники полностью устаревает за 5 лет. Можно, конечно, спорить о точном количестве процентов и лет, но факт остается фактом: набор базовых технологий, представления о перспективности той или иной технологии, подходы и методы решения ключевых задач и даже понятия о том, какие задачи при создании сетей являются ключевыми - все это изменяется очень быстро и часто неожиданно. И примеров, подтверждающих такое положение дел, можно привести достаточно много. Концепция вычислительных сетей является логическим результатом эволюции компьютерной технологии. Первые компьютеры 50-х годов - большие, громоздкие и дорогие - предназначались для очень небольшого числа избранных пользователей. Часто эти монстры занимали целые здания. Такие компьютеры не были предназначены для интерактивной работы пользователя, а использовались в режиме пакетной обработки.

Компьютерные сети

4.4.4. Виртуальные локальные сети

Кроме своего основного назначения - повышения пропускной способности связей в сети - коммутатор позволяет локализовывать потоки информации в сети, а также контролировать эти потоки и управлять ими, опираясь на механизм пользовательских фильтров. Однако пользовательский фильтр может запретить передачи кадров только по конкретным адресам, а широковещательный трафик он передает всем сегментам сети. Так требует алгоритм работы моста, который реализован в коммутаторе, поэтому сети, созданные на основе мостов и коммутаторов, иногда называют плоскими - из-за отсутствия барьеров на пути широковещательного трафика.

Технология виртуальных локальных сетей (Virtual LAN, VLAN), которая появилась несколько лет тому назад в коммутаторах, позволяет преодолеть указанное ограничение. Виртуальной сетью называется группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети (рис. 4.39). Это означает, что передача кадров между разными виртуальными сетями на основании адреса канального уровня невозможна, независимо от типа адреса - уникального, группового или широковещательного. В то же время внутри виртуальной сети кадры передаются по технологии коммутации, то есть только на тот порт, который связан с адресом назначения кадра. Виртуальные сети могут пересекаться, если один или несколько компьютеров входят в состав более чем одной виртуальной сети. На рис. 4.39 сервер электронной почты входит в состав 3 и 4 виртуальных сетей. Это значит, что его кадры передаются коммутаторами всем компьютерам, входящим в эти сети. Если же какой-то компьютер входит в состав только виртуальной сети 3, то его кадры до сети 4 доходить не будут, но он может взаимодействовать с компьютерами сети 4 через общий почтовый сервер. Такая схема не полностью защищает виртуальные сети друг от друга -так, широковещательный шторм, возникший на сервере электронной почты, захлестнет сеть 3 и сеть 4.

Рис. 4.39. Виртуальные сети

Рис. 4.40. Интерсеть, состоящая из сетей, построенных на основе повторителей

При использовании технологии виртуальных сетей в коммутаторах одновременно решаются две задачи:

повышение производительности в каждой из виртуальных сетей, так как коммутатор передает кадры в такой сети только узлу назначения;

изоляция сетей друг от друга для управления правами доступа пользователей и создания защитных барьеров на пути широковещательных штормов.

Рис. 4.41. Виртуальные сети, построенные на одном коммутаторе

Второй способ образования виртуальных сетей основан на группировании МАС - адресов. Каждый МАС - адрес, который изучен коммутатором, приписывается той или иной виртуальной сети. При существовании в сети множества узлов этот способ требует выполнения большого количества ручных операций от администратора. Однако он оказывается более гибким при построении виртуальных сетей на основе нескольких коммутаторов, чем способ группирования портов.

Рисунок 4.42 иллюстрирует проблему, возникающую при создании виртуальных сетей на основе нескольких коммутаторов, поддерживающих технику группирования портов. Если узлы какой-либо виртуальной сети подключены к разным коммутаторам, то для соединения коммутаторов каждой такой сети должна быть выделена своя пара портов. В противном случае, если коммутаторы будут связаны только одной парой портов, информация о принадлежности кадра той или иной виртуальной сети при передаче из коммутатора в коммутатор будет утеряна. Таким образом, коммутаторы с группировкой портов требуют для своего соединения столько портов, сколько виртуальных сетей они поддерживают. Порты и кабели используются при таком способе очень расточительно. Кроме того, при соединении виртуальных сетей через маршрутизатор для каждой виртуальной сети выделяется в этом случае отдельный кабель и отдельный порт маршрутизатора, что также приводит к большим накладным расходам.

Рис. 4.42. Построение виртуальных сетей на нескольких коммутаторах с группировкой портов

Группирование МАС - адресов в виртуальную сеть на каждом коммутаторе избавляет от необходимости их связи несколькими портами, так как в этом случае МАС - адрес является меткой виртуальной сети. Однако этот способ требует выполнения большого количества ручных операций по маркировке МАС - адресов на каждом коммутаторе сети.

Описанные два подхода основаны только на добавлении дополнительной информации к адресным таблицам моста, и в них отсутствует возможность встраивания информации о принадлежности кадра к виртуальной сети в передаваемый кадр. Остальные подходы используют имеющиеся или дополнительные поля кадра для сохранения информации и принадлежности кадра при его перемещениях между коммутаторами сети. При этом нет необходимости запоминать в каждом коммутаторе принадлежность всех МАС - адресов интерсети виртуальным сетям.

Дополнительное поле с пометкой о номере виртуальной сети используется только тогда, когда кадр передается от коммутатора к коммутатору, а при передаче кадра конечному узлу оно удаляется. При этом модифицируется протокол взаимодействия «коммутатор - коммутатор», а программное и аппаратное обеспечение конечных узлов остается неизменным. Примеров таких фирменных протоколов много, но общий недостаток у них один - они не поддерживаются другими производителями. Компания Cisco предложила в качестве стандартной добавки к кадрам любых протоколов локальных сетей заголовок протокола 802.10, предназначенного для поддержки функций безопасности вычислительных сетей. Сама компания использует этот метод в тех случаях, когда коммутаторы объединяются между собой по протоколу FDDI. Однако эта инициатива не была поддержана другими ведущими производителями коммутаторов.

Для хранения номера виртуальной сети в стандарте IEEE 802.1Q предусмотрен тот же дополнительный заголовок, что и стандарт 802.1р. Помимо 3-х бит для хранения приоритета кадра, описанных стандартом 802.1р, в этом заголовке 12 бит используются для хранения номера VLAN, к которой принадлежит кадр. Эта дополнительная информация позволяет коммутаторам разных производителей создавать до 4096 общих виртуальных сетей. Чтобы кадр Ethernet не увеличивался в объеме, при добавлении заголовка 802.1p/Q поле данных уменьшается на 2 байта.

Существуют два способа построения виртуальных сетей, которые используют уже имеющиеся поля для маркировки принадлежности кадра виртуальной сети, однако эти поля принадлежат не кадрам канальных протоколов, а пакетам сетевого уровня или ячейкам технологии АТМ.

В первом случае виртуальные сети образуются на основе сетевых адресов, например адресов IP, то есть той же информации, которая используется при построении интерсетей традиционным способом. Этот эффективный способ работает тогда, когда коммутаторы поддерживают не только протоколы канального уровня, но и протоколы сетевого уровня, то есть являются комбинированными коммутаторами - маршрутизаторами, что бывает далеко не всегда.

Частная сеть - это сеть, которая или не использует подключение к интернету, или использует его вместе с преобразованием сетевых адресов (NAT -Network Address Translation), чтобы внутренние IP-адреса такой сети не выходили в интернет. Однако, частная сеть позволяет вам присоединяться к другим компьютерам, которые находятся в этой сети. Такое устройство сети будет полезным в случаях, когда необходимо объединить группу компьютеров и обмениваться данными, без надобности подключения к интернету.

Шаги

Спроектируйте вашу сеть. Скорее всего, это будет самой сложной задачей на пути к вашей цели.

Отметьте любые роутеры, которые вы будете использовать, чтобы поделить вашу сеть. Небольшие сети не нуждаются в роутерах, но иногда, могут быть полезны для административных задач. Роутеры обязательны в случаях, когда вы a) Разделяете вашу сеть на меньшие подсети, b) Используете интернет одновременно через NAT (Преобразование сетевых адресов). Далее добавьте свитчи и хабы. Для небольших сетей будет достаточно иметь только один свитч или один хаб.
Нарисуйте прямоугольники в качестве ваших компьютеров и линии в качестве проводов, которые соединят устройства с друг другом. Этот чертеж будет служить в качестве диаграммы сети.

Хотя диаграмма предполагается только для вашего использования, и вы можете использовать любые символы и в любом количестве, но все же, рекомендуется использовать стандарты сетевых схем для данного планирования, чтобы в будущем избежать путаницы для вас и других людей. Типичные символы сетевой индустрии:

Роутеры: Круг с четырьмя стрелками, отходящими от центра. Или просто крестик, если вы делаете черновой чертеж.
Свитчи: квадрат или прямоугольник с четырьмя стрелками, две на каждой стороне. Таким образом, изображение показывает, что сигналы переключаются.
Хабы: тоже самое, что и свитч, с одной двойной стрелкой. Представляет концепцию сигналов, слепо повторяющихся на все порты, не заботясь о том, какой порт ведет к нужному получателю.
Линии и квадраты могут быть использованы в качестве проводов, соединяющих компьютеры.

Создайте план IP-адресов
- IPv4 (версия IP протокола 4) адреса записываются в таком виде: xxx.xxx.xxx.xxx (4 цифры, отделенные тремя точками), основываясь на RFC-1166. Каждая цифра имеет диапазон от 0 до 255. Такой вид записи известен, как десятичный. Адрес разделен на две части: сетевая часть и клиентская часть (хост часть).
  Для "Классовых" сетей сетевая часть и клиентская могут быть:
  ("n " сетевая часть, "x" часть хоста)
  Когда первый номер 0 до 126 - nnn .xxx.xxx.xxx (ex. 10.xxx.xxx.xxx)
  Они известны, как сети класса А.
  Когда первый номер 128 до 191 - nnn.nnn .xxx.xxx (ex. 172.16.xxx.xxx)
  Известны, как сети класс В.
  Когда первый номер 192 до 223 - nnn.nnn.nnn .xxx (ex. 192.168.1.xxx)
  Известны, как сети класса С.
  Когда первый номер 240 до 255 – это “экспериментальные адреса”.
  Экспериментальные и мультикаст адреса выходят за рамки данной статьи. Однако, вы должны знать, что версия протокола IPv4 обращается с ними способом, отличным от других, другими словами, вы не должны их использовать.
  Для простоты, сети без классов, подсети и CIDR не будут обсуждаться в этой статье.
  Сетевая часть определяет сеть; хост часть определяет индивидуальное устройство в сети:
  - Радиус IP-адресов – это радиус всех возможных для данной сети адресов.
    (например, 172.16.xxx.xxx радиусом сети - от 172.16.0.0 до 172.16.255.255)
  - Самый низкий адрес будет являться адресом сети.
    (например, 172.16.xxx.xxx адресом сети будет 172.16.0.0)
    Этот адрес используется, чтобы указать адрес сети, и не может быть назначен в качестве адреса устройства.
  - Самый высокий адрес – это адрес трансляции.
    (например, 172.16.ххх.ххх, в таком случае, адрес трансляции - 172.16.255.255)
    Этот адрес используется, когда пакет информации предназначается для всех устройств в соответствующей сети, и не может быть назначен на определенное устройство.
  - Оставшиеся номера в радиусе используются для хостов.
    (например, 172.16.ххх.ххх, радиус сети будет простираться от 172.16.0.1 до 172.16.255.254)
    Эти адреса вы сможете назначить компьютерам, принтерам, и другим устройствам.
    Адреса хостов – это индивидуальные адреса в радиусе сети.
- Установите тип сети (сетей). В данном случае, сеть - это группа соединений, разделенных роутером.
  Ваша сеть может обойтись и без роутеров, если вы используете NAT для выхода в интернет, имея только один роутер между вашей сетью и интернетом. Если это единственный роутер, или вы не используете его вообще, то ваша частная сеть является единой.
  Выберите сеть с количеством адресов, которого будет достаточно для устройств в вашей сети. Класс С сети (такие, как 192.168.0.х) позволяет использовать до 254 адресов (192.168.0.1 – 192.168.0.254), что является приемлемым, если вы не используете больше, чем 254 устройства. Если вы используете 255 или больше устройств, то вам необходимо выбрать сеть класса B (такую, как 172.16.х.х) или поделить вашу сеть на несколько подсетей с роутерами.
  Если вы используете дополнительные роутеры, они становятся “внутренними роутерами”, и частная сеть становится “частной интрасетью”, и каждая группа подключений – это отдельная сеть, которая нуждается в своей группе адресов. В это входят подключения между роутерами и подключения напрямую от роутера к одиночному устройству.
  Для простоты, оставшиеся шаги будут использованы для примера только с одной сетью, из 254 или меньше устройств, с использованием 192.168.2.х. А также, мы представим, что вы не используете DHCP (Протокол динамической настройки узла - Dynamic Host Control Protocol) для автоматического распределения IP-адресов.

Запишите где-нибудь "192.168.2.x". Если вы используете больше, чем одну сеть, тогда лучше где-нибудь отметить радиус адресов, к которым она принадлежит.

Назначьте адреса хостов в радиусе от 1 до 254 на каждый компьютер. На вашей схеме запишите адреса хостов рядом с устройствами, к которым они принадлежат. В начале запишите адрес полностью (например, 192.168.2.5) - рядом с каждым устройством. Однако, когда вы наберетесь опыта, то можете записывать только хост часть (например, .5). Вам не нужно записывать адреса для свитчей. Для роутеров нужны адреса, как описано в секции Важные заметки.

Запишите маску подсети рядом с сетевым адресом. Для 192.168.2.х, который является адресом сети класса С, маска будет: 255.255.255.0. Это необходимо, чтобы компьютер определял, какая часть относится к сетевой структуре, и какая к хосту. IPv4 использует первую цифру (192), чтобы указать принадлежность к указанному выше классу. Однако, появление подсетей и сетей без классов, способствовало необходимости в использовании соответствующей маски подсети. Для класса А – это 255.0.0.0, для В – это 255.255.0.0.

Подключите вашу сеть. Соберите все необходимые материалы, включая провода, компьютеры, свитчи и (если используются) роутеры. Найдите интернет порты в компьютерах и устройствах. Сетевые провода используют 8-контактные модульные разъемы (в стиле RJ-45). Они похожи на телефонные разъемы, только больше по размеру. Подключите каждое устройство с помощью проводов, так же, как и на вашей диаграмме. Если вы отклоняетесь от изначальной схемы, то не забудьте это где-нибудь отметить.

Включите все компьютеры, подключенные к сети. Включите ваши устройства. (Некоторые устройства не имеют кнопку включения и начинают функционировать при подключении их к сети.)

Настройте сеть на компьютерах. Зайдите в настройки интернета (это зависит от операционной системы) и далее в диалог, который приведет вас к изменениям TCP/IP протокола. Измените способ получения IP-адресов с “Получить IP-адрес автоматически” на “Использовать данный IP-адрес:”. Впишите нужные IP-адреса на ваших компьютерах с соответствующей маской подсети (для класса С - 255.255.255.0). Если вы не используете роутеры, то оставьте поля “Сетевой шлюз” и “DNS сервер” пустыми. Если вы используете больше, чем один роутер, посмотрите в секцию Важные заметки. Если вы конфигурируете домашнюю сеть с относительно новым роутером, то вам не нужно читать данную секцию, если ваша сеть сконфигурирована правильно. Роутер назначит нужные IP-адреса вашим устройствам и устройствам, которые пытаются связаться с компьютерами в вашей сети.

Проверьте подключение. Самый простой способ - это команда ping. Откройте любое приложение MS-DOS (В Windows вы можете открыть командную строку, которая находится в меню Пуск – Приложения – Командная строка) и напишите: ping 192.168.2.[поставьте цифру, соответствующую индивидуальному хосту]. Проделайте это с одним устройством и после этого для всех остальных. Помните, ваш роутер является хостом. Если вы не можете до него “достучаться”, то перечитайте указания еще один раз или обратитесь к специалисту.

NAT позволяет компьютерам из частной сети выходить в интернет, при этом меняя IP адрес устройства из частной сети на тот, который позволено использовать в интернете. “С точки зрения интернета” все устройства будут отображаться, как подсоединенные к соответствующей частной сети, опираясь на план адресов (как было установлено IANA – (Администрация адресного пространства Интернет) Internet Assigned Numbering Authority). “Динамический NAT” позволяет нескольким частным IP-адресам использовать внешний IP-адрес.
Похожая технология PNAT (Трансляция портов сетевых адресов) – так же известна, как PAT (Трансляция порт-адрес) или NAT "перегрузка", позволяет нескольким частным адресами разделять один внешний IP-адрес одновременно. PAT использует ОСИ уровень 3 и ОСИ уровень 4, чтобы соединения нескольких частных IP-адресов выглядели так, как будто исходят от одного компьютера с внешних IP.
Многие компьютеры, электроника и даже небольшие роутеры спроектированы так, чтобы позволять нескольким пользователям использовать одно интернет соединение для всех устройств в сети. Практически все они используют PAT, чтобы не использовать больше чем один внешний адрес (дополнительные внешние адреса могут быть дорогими или даже запрещены, в зависимости от интернет провайдера).
Если вы используете таковой, то вам нужно назначить один из адресов вашей частной сети на роутер.
Если вы используете более сложный роутер, то вам нужно назначить частный адрес на интерфейс соединенный с вашей частной сетью, ваш внешний адрес на интерфейс, который выход в интернет, и сконфигурировать NAT/PAT вручную.
Если вы используете только один роутер, то интерфейс, который выходит на “частную сеть”, также будет являться интерфейсом для “DNS сервера” и “Основным шлюзом”. Используйте данные адреса во время конфигурации других устройств вашей сети.
Если ваша сеть разделена с использованием одного или несколько локальных роутеров, то каждому роутеру понадобится адрес для каждой подключенной к нему сети. Этот адрес должен быть статическим (также, как и адрес компьютеров), из радиуса адресов вашей сети. Чаще всего, будет использован первый доступный адрес (это будет второй адрес радиуса сети, например, 192.168.1.1). Не используйте адрес сети (например, 192.168.1.0) или адрес трансляции (например, 192.168.1.255).
Для сетей, которые включают одно или больше пользовательских устройств (например, принтеры, компьютеры, устройства хранения), адрес роутера будет называться "Основной шлюз". DNS сервер, если присутствует, должен хранить адрес, который используется роутером между вашими сетями и интернетом. Основной шлюз не используется для сетей с маршрутизатором. В сетях, имеющих пользовательские устройства вместе с роутерами, можно использовать любой роутер.
Сеть – это сеть, не важно насколько она большая или маленькая. Когда два роутера соединяются проводом, даже если класс С (самая маленькая сеть) включает 256 адресов, все адреса будут принадлежать проводу. Адрес сети будет.0, и адрес трансляции.255, два хоста будут использовать по одному адресу, и остальные 252 будут бесполезны.
В целом, небольшие домашние роутеры не используются для этих целей. А когда используются, то распознавание сетевых интерфейсов частной сети относится к встроенному в роутер свитчу. Роутер использует только один интерфейс. В таком случае только один IP-адрес будет использован для всех устройств во время выхода в интернет.
Когда роутер имеет несколько интерфейсов со множеством IP-адресов, каждый интерфейс подразумевают отдельную сеть.
Концепция маски подсети. Знание основной концепции поможет вам с пониманием номера маски подсети.
Запись чисел через точку – это человеческий способ записи маски подсети. Компьютер “видит” 32 цифры 0 или 1, в определенном порядке, например:. IPv4 изначально разбивается на 4 группы из 8 цифр, между точками - 11000000.10101000.00000010.00000000 , каждая группа является октетом из 8 битов. Десятичный вид используется для простоты чтения данного числа - 192.168.2.0
Сложное собрание правил о порядке записи нулей и единиц в первом октете IP-адреса, было использовано для создания "Классовой схемы адресов"; однако, без использования маски подсети. Для класса А первый октет соответствовал сети, для класса В – первый и второй октет, для класса С – первые три.
В 1987 году частные сети росли в размере и интернет находился в преддвериях своего зарождения. Использование сетей класса С для 254 хостов в маленьких сетях становилось проблематично. Сети класса А и Б, очень часто, исчерпывали свои возможности, потому что физические лимитации заставляли делить большие сети роутерами до того, как те успевали достигать полноценных размеров. (Радиус адресов сети класса B (256 X 256) - 2 = 65534 адресов; радиус сетей класса А (256^3) - 2 = 16777214.)
Подсети разделяют большие сети на много маленьких подсетей, увеличивая количество нулей и единиц для адресации сетей (оставляя меньшее количество таковых для хостов в каждой сети). Маленькая подсеть, в результате, может быть использована для небольшой сети, без использования большого количества дополнительных адресов. Чтобы указать на биты, которые представляют сетевые адреса, мы используем 1. Маска (например, 255.255.255.192 ) в десятичном виде (11111111.11111111.11111111.11 000000) показывает, какое количество битов было добавлено в сетевую часть (2 бита хостов). В этом примере, одна сеть класса С в 254 хоста, делится на 4 подсети с 62 хостами каждая. Только две из этих подсетей могут быть добавлены к сетям; Первая и последняя не могут быть использованы, опираясь на RFC-950.
Более глубокий разговор о правилах подсетей выходит за рамки этой статьи. Важной деталью является факт того, что, несмотря на то, что мы используем классовые адреса, Windows (и другое программное обеспечение) не знает об этом. И в результате, нам нужно использовать маску подсети, чтобы сказать, какое количество битов мы хотим использовать для сетевой части. Используя 255.255.255.0, мы именно об этом и говорим.

Большинство устройств определит, если вы используете кросс или сквозной тип провода. Если между вашими устройствами не существует автоматического определения, то вам необходимо использовать правильную сборку ваших проводов. Компьютер/роутер-на-свитч нуждается в сквозном; компьютер/роутер-на-компьютер/роутер нуждается в кроссе. (Заметьте: некоторые порты на задней части домашних роутеров являются портами свитчей, встроенных в роутеры, и должны быть использованы, как для свитча.)
Сквозная сборка – это CAT-5, CAT-5e или CAT-6 кабели, с проводами, соединенными таким образом:
С обоих концов: Оранжево-белый, Оранжевый, Зелено-белый, Коричневый; CAT-6 с проводами:
С одного конца: Оранжево-белый, Оранжевый, Зелено-белый, Синий, Сине-белый, Зеленый, Коричнево-белый,Коричневый
С другого конца: Зелено-белый, Зеленый, Оранжево-белый, Синий, Сине-белый, Оранжевый, Коричнево-белый, Коричневый
Представленная выше сборка подходит под стандарты TIA/EIA-568, однако, для кросса самыми важными проводами являются 1 и 2 с одного конца (провода передачи) и с другого конца 3 и 6. Для сквозного обязательны те же самые провода. Витые пары цветов на позициях 1 и 2, 3 и 6 (например, Оранжевый рядом с Оранжево-белым) позволят добиться лучшего качества сигнала.
- Примечание: стандарт TIA/EIA еще не применен для CAT-7.
Если вы используете firewall, не забудьте добавить IP-адреса для всех компьютеров вашей сети. Сделайте это для каждого компьютера. Иначе вы не сможете связываться с ними по сети, даже если вы выполнили остальные инструкции должным образом.
Свитчи стоят дороже, но они умнее. Они используют адресацию для рассылки пакетов данных, позволяя говорить не только одному устройству, и, таким образом, не “съедая” пропускную способность вашей сети.
Использование Хабов будет дешевле, если вы используете только несколько устройств, но в этом есть свои недостатки. Они попросту отсылают все пакеты данных на все порты устройств, в надежде, что они достигнут нужной цели, и позволяют получателю решать о том, нужна ли им эта информация. Таким образом, пропускная способность вашей сети уменьшается, позволяя “говорить” только одному компьютеру, и замедляя сеть, если включаются другие устройства.
Не устанавливайте хабы так, чтобы получилось кольцо, таким образом ваши данные будут вечно кружить по сети. В результате, пакеты данных будут добавляться до момента, когда хаб не сможет функционировать.
Это также касается свитчей. Если вы устанавливаете свитчи данным образом, то убедитесь, что свитч поддерживает "Spanning Tree Protocol (протокол связующего дерева)," и эта функция включена. В противном случае, пакеты данных будут кружить по вашей сети бесконечно, как и в истории с кольцом на хабе.

Предупреждения

Хотя устройства частной сети, в теории, не должны вести себя таким образом, но по опыту, служба DNS и другое программное обеспечение может запутаться в использовании адресов вне этого диапазона, если отсутствует специальная конфигурация.
IANA (The Internet Assigned Numbers Authority - Администрация адресного пространства Интернет) зарезервировала три этих блока IP-адресов для частных сетей: 10.0.0.0 до 10.255.255.255, 172.16.0.0 до 172.31.255.255, и 192.168.0.0 до 192.168.255.255
Сетевые эксперты никогда не пренебрегают этой политикой, если адреса частной сети могут повлиять на устройства, находящиеся вне сети, и делают это редко на изолированных частных сетях. Провайдеры интернета ответственны за то, чтобы не случались конфликты IP-адресов, и отказывают в услугах, если адрес из частной сети влияет на внешние адреса в интернете.
У вас могут возникнуть проблемы, если программы, аппаратные средства или человек допустят выход частных адресов в интернет. Это может произойти по разным причинам: ошибка роутера или человеческий фактор, например, когда кто-нибудь случайно подключит одно из ваших устройств напрямую к интернету.
Не отклоняйтесь от IP адресов вашей частной сети. Использование одного NAT в вашей сети – это низкий уровень безопасности, также известен, как “Firewall бедняка.”
Не используйте IP радиус от 127.0.0.0 до 127.255.255.255. Этот радиус зарезервирован для вашего компьютера (localhost).

Ethernet является устройством канального уровня, то в соответствии с логикой работы он будет рассылать широковещательные кадры через все порты. Хотя трафик с конкретными адресами (соединения "точка - точка") изолирован парой портов, широковещательные кадры передаются во всю сеть (на каждый порт ). Широковещательные кадры - это кадры, передаваемые на все узлы сети. Они необходимы для работы многих сетевых протоколов, таких как ARP , BOOTP или DHCP . С их помощью рабочая станция оповещает другие компьютеры о своем появлении в сети. Так же рассылка широковещательных кадров может возникать из-за некорректно работающего сетевого адаптера. Широковещательные кадры могут привести к нерациональному использованию полосы пропускания, особенно в крупных сетях. Для того чтобы этого не происходило, важно ограничить область распространения широковещательного трафика (эта область называется широковещательным доменом ) - организовать небольшие широковещательные домены , или виртуальные локальные сети (Virtual LAN, VLAN ).

Виртуальной локальной сетью называется логическая группа узлов сети, трафик которой, в том числе и широковещательный, на канальном уровне полностью изолирован от других узлов сети. Это означает, что передача кадров между разными виртуальными сетями на основании MAC-адреса невозможна независимо от типа адреса - уникального, группового или широковещательного. В то же время внутри виртуальной сети кадры передаются по технологии коммутации, то есть только на тот порт , который связан с адресом назначения кадра. Таким образом с помощью виртуальных сетей решается проблема распространения широковещательных кадров и вызываемых ими следствий, которые могут развиться в широковещательные штормы и существенно снизить производительность сети.

VLAN обладают следующими преимуществами:

гибкость внедрения. VLAN являются эффективным способом группировки сетевых пользователей в виртуальные рабочие группы, несмотря на их физическое размещение в сети;
VLAN обеспечивают возможность контроля широковещательных сообщений, что увеличивает полосу пропускания, доступную для пользователя;
VLAN позволяют повысить безопасность сети, определив с помощью фильтров, настроенных на коммутаторе или маршрутизаторе, политику взаимодействия пользователей из разных виртуальных сетей.

Рассмотрим пример, показывающий эффективность использования логической сегментации сетей с помощью технологии VLAN при решении типовой задачи организации доступа в Интернет сотрудникам офиса. При этом трафик каждого отдела должен быть изолирован.

Предположим, что в офисе имеется несколько комнат, в каждой из которых располагается небольшое количество сотрудников. Каждая комната представляет собой отдельную рабочую группу.

При стандартном подходе к решению задачи с помощью физической сегментации трафика каждого отдела потребовалось бы в каждую комнату устанавливать отдельный коммутатор , который бы подключался к маршрутизатору, предоставляющему доступ в Интернет . При этом маршрутизатор должен обладать достаточным количеством портов, обеспечивающим возможность подключения всех физических сегментов (комнат) сети. Данное решение плохо масштабируемо и является дорогостоящим, т.к. при увеличении количества отделов увеличивается количество необходимых коммутаторов, интерфейсов маршрутизатора и магистральных кабелей.

Поддержка виртуальных сетей. Виртуальные локальные сети

Компьютерные сети

4.4.4. Виртуальные локальные сети

Шаги

Предупреждения

Новые статьи

Популярные статьи