- Расшифровка термина
- Назначение VLAN
- Рабочая группа между разными сетями
- Разделение подсетей
- Разделение рабочих групп с ограничением доступа
- How VLANs Work?
- Достоинства
- Экономия на физических устройствах и кабеле
- Гибкое разделение устройств
- Уменьшение широковещательного трафика
- Безопасность и управление
- Characteristics of a VLAN
- Advantages of VLAN
- Disadvantages of VLAN
- Общение между собой
- Настройка VLAN на коммутаторе
- Виды портов
- Транк
- What is the Purpose of a VLAN?
- Настройка маршрутизатора
- Ситуация с переездом сотрудника
- Types of VLAN
- 1. Untagged VLANs
- 2. Tagged VLANs
Расшифровка термина
VLAN (Virtual Local Area Network или Virtual LAN) — это виртуальная локальная сеть. Из слова «виртуальный» понятно, что его не существует физически. Если быть точнее, то это сегмент реальной сети, который по настройкам объединен в отдельную группу. Самый простой пример: создать VLAN с помощью Hamachi для реализации небольшой локальной сети поверх Интернета для каких-то целей (в конкретном случае — для упрощения подключений в играх).
Более близкий пример для каждого пользователя — настройка VLAN на маршрутизаторе. Эта настройка выделена в отдельный сегмент интерфейса. С помощью этой функции вы можете, например, ограничить доступ к принтеру только двум компьютерам или назначить устройство IPTV в отдельную подсеть (ограничить доступ к нему с других устройств).
При организации ViLAN через роутер автоматически создается Native VLAN, отдельный от созданного. Этот термин используется в стандарте 802.1Q и связан с нетегированными (подробнее об этом позже) пакетами. Любой пакет, не имеющий тега, автоматически отправляется в Native VLAN.
Назначение VLAN
Использование VLAN заключается в совместном использовании или создании рабочих групп между компьютерами, расположенными в разных физических сетях. В зависимости от реализации VLAN различаются по назначению и применению.
Рабочая группа между разными сетями
Наиболее ярким примером является уже приведенный ранее. Между несколькими компьютерами, расположенными в разных частях света, вы можете использовать VLAN для настройки домашней группы доступа (позволяющей быстрый обмен файлами) или предоставления доступа к общему хранилищу.
Пример использования. Назначение сотрудников в общую сеть при работе над одним проектом без физического перемещения их рабочих мест.
Разделение подсетей
Суть в том, чтобы логически соединить соседние компьютеры и дать им разный доступ к ресурсам. Этот метод делает компьютеры невидимыми для всех, кроме членов соответствующих сетей, и позволяет ограничить доступ.
Запрещаем доступ в Интернет любой программе или игре – только проверенные методы
В предлагаемой реализации VLAN2 имеет доступ к локальному хранилищу данных, но не имеет доступа к Интернету. В свою очередь, VLAN1 имеет доступ к Интернету, но не к хранилищу данных. Такая реализация подойдет, если вам нужно предоставить разные возможности людям в одном офисе. Или отключите Интернет на компьютере ребенка.
Пример использования. Контроль доступа в организации. Торговым представителям часто предоставляется доступ в Интернет со своих рабочих компьютеров, чтобы они могли связаться с клиентами. При этом остальным сотрудникам такой доступ не нужен, поэтому им выделяется отдельная подсеть.
Читайте также: Как создать клуб, комнату, группу в Clubhouse
Разделение рабочих групп с ограничением доступа
Способ похож на предыдущий, но выделяется отдельно тем, что он прост и интересен в своей реализации. Предыдущий метод использует две отдельные настроенные виртуальные сети. В этом одно изолировано от другого. На картинке это показано максимально просто:
В данном случае корпоративной сетью является NativeVLAN (1), а гостевой сетью назначается VLAN2. Практически весь трафик, проходящий через маршрутизатор, не имеет тега. Однако при появлении кода, характерного для VLAN2, пакеты изолируются от сети VLAN1. Это достаточно популярное решение, позволяющее защитить ваш бизнес от случайного вторжения гостей.
Пример использования. Сам метод является примером, поскольку обеспечивает как автономную работу, так и доступ к Интернету для компании и гостей.
How VLANs Work?
Чтобы создать VLAN, необходимо добавить тег или заголовок (с присвоенным идентификатором VLAN) к каждому кадру Ethernet.
Учитывая, что каждая VLAN имеет номер или идентификатор VLAN для идентификации, который обеспечивает доступ по каналу передачи данных ко всем подключенным хостам. Коммутатор имеет несколько портов, и каждый из них может иметь один или несколько идентификаторов VLAN. Если порту не присвоен идентификатор VLAN, он будет находиться в VLAN по умолчанию.
Для этого коммутаторы передают тегированные кадры или пакеты только на порты, связанные с аналогичными VLAN.
Вы также можете создавать сети VLAN на одном устройстве, например на компьютере. Все, что вам нужно сделать, это назначить IP-адреса из разных подсетей разным интерфейсам на устройстве и настроить маршрутизацию между ними. Таким образом, они действуют как отдельные сети со своими собственными широковещательными доменами и доменами коллизий.
Достоинства
Основные преимущества такого разделения очень просты и логичны, но не всегда очевидны. Они заслуживают особого внимания:
Экономия на физических устройствах и кабеле
Для построения VLAN не нужно покупать отдельные свитчи (на самом деле такое требование может возникнуть, но их количество будет в несколько раз меньше физической конструкции), дополнительные карты и прокладывать кабели.
Гибкое разделение устройств
Вы можете не только распределять сами устройства по сетям, но и легко переносить их между группами, а также менять права доступа к другим ресурсам. Это также позволяет объединять в одну сеть устройства, подключенные в разных частях организации (к разным коммутаторам.
Примечание и пример. В организации документы отправляются на подпись начальнику, который распечатывает их из разных подразделений организации, закрепляя принтеры за каждой VLAN. Сами принтеры хранятся у секретаря. Такой подход при огромной площади (около 40 км2) позволил сократить время на передачу документов.
Уменьшение широковещательного трафика
Есть такое понятие как служебный трафик. Он передается внутри локальной сети и обрабатывается каждым узлом, что приводит к снижению пропускной способности канала. При работе с VLAN объем этого трафика уменьшается, что несколько повышает эффективность физического взаимодействия компонентов.
Безопасность и управление
Каждый из этих примеров предполагал, что можно снизить риск отправки данных не в то место. То есть объединение отдельных ПК в одну VLAN не только упрощает изменение их настроек, но и обеспечивает безопасность всей остальной сети. Яркий пример такого решения безопасности – гостевой Wi-Fi.
Characteristics of a VLAN
- Уменьшает размер широковещательных доменов и риски безопасности.
- Все, что вам нужно, — это новая конфигурация на уровне порта для переключения хостов в VLAN.
- Позволяет подключать несколько переключателей без конфликтов.
- Независимо от того, различаются ли сети, VLAN позволяет подключить группу устройств.
- Уменьшает заторы и вероятность столкновений.
Advantages of VLAN
- Сети VLAN уменьшают объем трафика и повышают производительность.
- Предлагает более высокий уровень контроля над устройствами и ограничивает административный доступ, обеспечивая повышенную безопасность.
- Позволяет создать логическую группировку устройств по функциям.
- Сети VLAN уменьшают количество других хостов, подключенных к широковещательному домену.
- Дает возможность создать географическую структуру сети.
- Уменьшает задержку в сети и устраняет физические границы.
- Позволяет разделять хосты и снижает вероятность коллизий.
Disadvantages of VLAN
- Возможна вероятность утечки данных.
- Внедренный пакет данных также может привести к кибератакам.
- Вирус в одной системе может уничтожить всю логическую сеть
- Проблемы совместимости.
- Для обработки рабочей нагрузки большой сети могут потребоваться дополнительные маршрутизаторы.
Общение между собой
Теперь мы подошли к вопросу использования VLAN — как видите, это полезная вещь, которая строго разделяет трафик на канальном уровне и позволяет отправлять пакеты только в нужном направлении. Так организована работа в крупных организациях, где большое количество отделов, которые не должны видеть друг друга. Но одна из проблем, которые у нас остались, — это проблема одной сети. Все наши компьютеры находятся в первой подсети, что неправильно, и нам нужно их разделить.
Но для этих целей нам также понадобится роутер, чтобы подключить сеть еще и на сетевом уровне. Для этого подключаемся к маршрутизатору Cisco 2811.
В настройках нам также предстоит указать шлюзы, но они будут стандартными:
- 192.168.1.1 – для Дирекции
- 192.168.2.1 – для учета
- 192.168.3.1 – для отдела кадров
Маска везде будет одинаковая: 255.255.255.0 (/24).
Зачем вообще нужен роутер? Это позволит компьютерам, расположенным в разных VLAN, взаимодействовать. Для этого будет использоваться адрес шлюза для каждой подсети.
Настройка VLAN на коммутаторе
Приведу пример настройки VLAN на свитче от CISCO. По сути, все настройки производятся примерно одинаково, поэтому вы можете использовать данную инструкцию в своих целях. Поддержка VLAN должна присутствовать на всех коммутаторах канального уровня.
Для начала давайте посмотрим на полную таблицу коммутации VLAN стандартной консольной командой:
показать Влан
Давайте посмотрим на столбцы:
- Вот наш номер подключения VLAN. Чуть ниже вы видите другие номера от 1002 до 1005 – они зарезервированы и не подлежат никакому удалению или изменению!
- Затем идут имена.
- Статус – может быть активным или активным и не поддерживаться одновременно – как на последних зарезервированных портах.
- И последняя строка – одна из самых важных. Здесь мы назначаем каждому VLAN свои порты и здесь «делим комнату» между бухгалтерами и отделом кадров. FA0/1 переводится как «Быстрый Ethernet» — 1 порт. Как видите, у нас здесь 24 порта «Fast Ethernet» со скоростью 100 Мбит в секунду. И 2 порта: Gig01 и Gig02 — со скоростью 1000 Мбит (или 1 Гбит) в секунду (их пока трогать не будем).
Для примера я буду использовать модель Cisco 2960 24tt, но принцип настройки, который я покажу ниже, одинаков для всех их устройств. Кроме того, принцип работы VLAN вы поймете сразу и на примере.
Далее назовем нашего зверя примерно так:
Switch(config)#hostname SW1
SW1(конфигурация)#
Я покажу вам макет на примере нашего любимого изображения, которое я показывал в самом начале. Здесь у нас есть:
- Переключатели: CenterSW, SW1, SW2, SW3.
- Компьютеры: ПК1, ПК2, ПК3, ПК4, ПК5, ПК
Запомните примерно эти названия, чтобы было легче ориентироваться при вводе команд. Вы также можете иногда смотреть на эту картинку.
Создайте VLAN 2:
SW1(конфигурация)#vlan 2
Дайте ему имя:
SW1(config-vlan)#имя каталога
Теперь давайте соединим наши компьютеры и дадим им отдельные VLAN. Подключаем первый компьютер к первому порту, а второй ко второму. Для входа в конфигурацию первого порта пишем:
ПРИМЕЧАНИЕ! Просто помните, что команда с надписью «интерфейс» знакомит вас с конфигурацией этого объекта.
SW1(config)#interface fastEthernet 0/1
Так как наш порт будет направлен именно на компьютер, разметка не обязательна и переводим его в нужное состояние:
SW1(config-if)#доступ к режиму порта коммутатора
мы создали второй VLAN, теперь осталось только привязать к нему первое устройство:
SW1(config-if)#switchport access vlan 2
Теперь сделайте то же самое для другого порта. В самом конце нужно привязать другой порт к той же VLAN2 — мы хотим, чтобы они были в одной сети.
На будущее — чтобы избежать регистрации каждого порта таким образом, вы можете зарегистрировать диапазон портов следующим образом:
SW1(config)#диапазон интерфейса fastEthernet 0/1-2
SW1(config-if-range)#доступ к режиму порта коммутатора
SW1(config-if-range)#switchport access vlan 2
Итак, ваши два компьютера теперь правильно настроены и находятся в одной VLAN. Теперь нам нужно подключить наш первый выключатель к центральному. Для этого мы будем использовать порт 24. И конечно же нам нужно перевести его в тегированный режим:
SW1(config)#interface fastEthernet 0/24
SW1(config-if)#магистраль режима коммутатора
Вроде бы мы все сделали, но есть одна проблема: в коммутаторе нет правила, которое будет ограничивать приход пакетов из других VLAN — то есть проблема безопасности остается. Теперь нам нужно написать правило, которое позволит поступать на порт 24 только пакетам для VLAN2:
SW1(config-if)#switchport магистраль разрешена vlan 2
На всякий случай проверьте расписание:
Как видите, наша вторая VLAN теперь имеет только два доступных порта. Единственным недостатком этого вывода информации является то, что вы не можете видеть статус маркировки порта. Для этого есть отдельная команда:
показать интерфейсную магистраль
Здесь мы видим наш 24 порт, который нам нужен для связи с центральным свитчем. Еще раз повторю, что для внешних портов необходимо настроить статус тегирования (Trunk или Access). В противном случае вообще не будет смысла настраивать VLAN.
Первый коммутатор мы настроили, теперь настроим третий. Прежде всего необходимо создать по три VLAN для каждой из структур: дирекции, бухгалтерии и отдела кадров. VLAN 2 уже закреплен за дирекцией. Создаём VLAN для учёта:
CentrSW(конфигурация)#vlan 3
CentrSW(config-vlan)# резерватор имен
Сейчас создаем внутреннюю сеть для HR-отдела:
CentrSW(config)#vlan 4
CentrSW(config-vlan)#имя отдела-кадров
Что ж, поскольку этот коммутатор будет взаимодействовать только с сетевыми устройствами, мы будем использовать тегирование состояния транка. И мы будем использовать первые 3 порта.
CentrSW(config)#диапазон интерфейса fastEthernet 0/1-3
CentrSW(config-if-range)#магистраль режима коммутатора
Вам не кажется, что мы что-то упустили? Наш центральный переключатель должен быть разъемом, верно?! Но мы забыли создать VLAN 2 для первого сегмента:
CentrSW(config)#vlan 2
CentrSW(config-vlan)# имя Дир-я
ПРИМЕЧАНИЕ! Во избежание путаницы обязательно назовите VLAN так же, как на первом коммутаторе.
Теперь осталось настроить второй и третий переключатель аналогично первому. Здесь я это описывать не буду, так как делается все одинаково. Просто не забудьте назвать их «SW2» и «SW3». Дальше вам просто нужно создать и подключить соответствующие VLAN: 3 и 4. Не забудьте назвать их теми же именами, которые мы использовали в центральном коммутаторе.
И здесь мы подходим к следующей проблеме. Мы создали VLAN и даже разделили их на разные по портам. Вроде как разделение, но давайте посмотрим на IP-адреса наших компьютеров:
- 192.168.1.2
- 192.168.1.3
- 192.168.1.4
- 192.168.1.5
- 192.168.1.6
- 192.168.1.7
Да, все компьютеры находятся в одной сети. Да, мы ограничили трафик на канальном уровне, разделив сегменты и порты на VLAN. В общем, мы можем просто разделить эту сеть на 3 подсети, при этом трафик тоже будет ограничен. Дело в том, что коммутатор не может распределять трафик между разными подсетями — это уже сетевой уровень модели OSI.
ПРИМЕЧАНИЕ! Если вы все еще путаетесь в этих понятиях, рекомендую прочитать статью об OSI — ссылку я оставил в самом начале статьи.
Все это я делал в ознакомительных целях и вообще необходимо разделять сети и на канальном, и на сетевом уровне. Это можно сделать вручную на компьютерах. Но статья немного о другом.
Что теперь будет с отправкой данных? Если мы отправим пакет на ПК2, он дойдет до первого коммутатора. Затем коммутатор отправит его на ПК2 и центральный коммутатор одновременно. После этого центральный коммутатор отправит пакеты остальным SW (2 и 3). Есть свичи, у которых правила написаны только для VLAN: 3 и 4 — они просто отправят пакет впустую. То есть этот пакет не доходит до компьютеров: 3, 4, 5 и 6.
Виды портов
настройка VLAN – долгий и трудоемкий процесс. Это действие, которое необходимо выполнить один раз, а затем только отслеживать и корректировать по мере необходимости. В случае одного переключателя проблем не возникает. По сути получается, что к порту подключен один VLAN и работа кипит. Но когда объединяют несколько таких агрегатов, появляются разные нюансы. Они подключаются с помощью маркированных и немаркированных портов.
Начнем с анализа простой схемы:
Имеет 2 VLAN и общую сеть (которая представлена комбинацией обеих виртуальных; такая настройка тоже может быть реализована). SW1 и SW2 — это коммутаторы, подключенные к маркированным портам (21 и 22 соответственно). На деле оказывается, что при передаче данных используются одни и те же порты (через них подключаются свитчи).
Все об интернет-чатах – что это такое и как ими пользоваться
При передаче данных внутри VLAN1 ставится специальный флаг (тег), который считывается коммутатором и передается другому. Незаметный пакет покидает порт 21 на SW1 и принимается портом 22 на SW2. После получения тегированного пакета коммутатор отправляет его как компонент VLAN1. Таким образом, этот пакет доступен компьютерам G и H, но не E и F. Оба порта помечены для разрешения обмена трафиком между сетями. В противном случае тег будет проигнорирован и распространен на все устройства коммутатора.
Это приводит к следующим определениям:
- Обозначенные ворота. Это порт, назначенный на коммутаторе для проверки наличия чипа виртуальной сети во входящих пакетах. Этот тип порта также выполняет функцию добавления этих тегов. Что приводит к наличию внутренней классификации: тегированные получатели (которые проверяют метку и принимают посылку, если она есть) и отправители (прикрепляющие ту же метку).
- Немаркированные порты. Это порты, задача которых заключается в передаче всех типов пакетов, проходящих через коммутатор.
Транк
Это тип порта в коммутаторах CISCO. Он выполняет задачу передачи тегированного трафика между различными сегментами сети. На конкретном примере это выглядит так:
Еще один добавляется между коммутаторами, где установлена VLAN. Его задача — обеспечить безопасность обмена данными. Магистральные порты вместо проверки тегов и широковещательных пакетов имеют возможность проверять и отправлять по назначению. Остальной трафик просто игнорируется. В результате передача происходит по магистрали с сохранением метки (как если бы промежуточного коммутатора не было). Транковый порт отличается от тегированного только тем, что транк не отправляет пакеты самостоятельно в сеть (он отправляет пакеты только при наличии тега).
What is the Purpose of a VLAN?
В целом сети VLAN помогают разделить трафик и уменьшить количество конфликтов. Кроме того, они обеспечивают повышенную безопасность данных и логическое разделение. Используя VLAN, вы можете отправлять пакеты данных в широковещательном режиме на все сетевые устройства без конфликтов.
Раньше каждая группа хостов имела свой собственный коммутатор, но по мере развития сетей управление отдельными коммутаторами стало затруднительным. При использовании VLAN у нас есть несколько локальных сетей на одном физическом сетевом коммутаторе, но при этом трафик разделяется. Поэтому VLAN — лучший вариант.
Кроме того, они экономичны, упрощают администрирование, повышают безопасность и сокращают общую задержку в сети. Кроме того, они сокращают количество передач по сети.
Настройка маршрутизатора
Заходим в настройки и вызываем его на основе изображения:
Маршрутизатор(конфигурация)#имяхоста Шлюз
Шлюз(конфигурация)#
Так как роутер подключен к центральному свитчу, то наши шлюзы будут не физические, а виртуальные (субинтерфейсы), так как мы не подключали компьютеры напрямую к роутеру. Для этого вам необходимо настроить на роутере вот эти три субинтерфейса — ведь у нас есть 3 VLAN и 3 подсети:
Шлюз(конфигурация)#interface fastEthernet 0/0.2
Шлюз(config-if)#инкапсуляция dot1Q 2
Шлюз(config-if)#ip-адрес 192.168.1.1 255.255.255.0
Теперь создаем виртуальный шлюз для второй подсети. Обратите внимание, что для порта пишем команду: «0/0.3». Хотя в предыдущих свитчах мы указывали порт явно. Все это связано с тем, что за шлюз будет отвечать этот роутер, не связанный напрямую с устройствами.
Шлюз(конфигурация)#interface fastEthernet 0/0.3
Шлюз(config-if)#инкапсуляция dot1Q 3
Шлюз(config-if)#ip-адрес 192.168.2.1 255.255.255.0
Осталось создать шлюз для последней подсети:
Шлюз(конфигурация)#interface fastEthernet 0/0.4
Шлюз(config-if)#инкапсуляция dot1Q 4
Шлюз(config-if)#ip-адрес 192.168.3.1 255.255.255.0
Чуть не забыл сказать — роутер подключаем к 24 порту на центральном свитче. Теперь нам нужно разрешить отправку пакетов со всех вланов на роутер через 24 порт, который мы подключили:
CentrSW(config)#interface fastEthernet 0/24
Не забудьте указать «транковую» разметку, ведь пакеты будут идти на сетевое устройство, а не на компьютер:
CentrSW(config-if)#транк режима коммутатора
Все VLAN можно записать просто через запятую:
CentrSW(config-if)#switchport транк разрешен vlan 2,3,4
Теперь, например, если вы отправите пакет данных с первого компьютера на пятый, произойдет следующее:
- Передача будет осуществляться по IP-адресу с 192.168.1.1 (компьютер 1) на адрес 192.168.3.2 (компьютер 5).
- Первый компьютер вообще не понимает: «Кто это на самом деле?» — и поэтому он отправляет пакет на свой центральный шлюз (192.168.1.1). Он отправляет пакет через ARP, используя MAC-адрес, чтобы гарантировать, что запрос точно достигнет шлюза.
- Пакет достигает центрального коммутатора, а затем поступает на маршрутизатор. А затем ответ возвращается к первому компьютеру.
- Теперь первый компьютер понимает, где находится пятый, и отправляет пакет по протоколу ICMP.
- Пакет возвращается к маршрутизатору. Маршрутизатор ничего не знает о пятом компьютере (192.168.3.2), но знает о свитче (SW3) и отправляет туда запрос.
- Коммутатор уже связывается с компьютером 5, который отправляет ответ обратно.
- Но ответ доходит только до роутера, который записывает этот IP-адрес в таблицу.
- Как видите, ответ по-прежнему не может дойти до первого компьютера, хотя запрос уже был отправлен ранее. Затем он отправляет еще один пакет запросов, и теперь он идет через маршрутизатор на 5-й компьютер.
Так заполняется таблица маршрутов. Такое долгое путешествие обычно начинается с самого начала. Затем маршрутизатор помогает всем компьютерам обмениваться данными через уровень канала передачи данных.
Ситуация с переездом сотрудника
Рассмотрим ситуацию, когда в бухгалтерию приходится приписать (на время) сотрудника совсем из другого отдела. Допустим, Елена Павловна не может летом сидеть в режиссерской палате, так как у нее резко повышается давление, а кондиционера там нет. Начальство решает перевести ее на лето в бухгалтерию.
Так что же мы будем делать?! Первым делом мы подключим ее компьютер к следующему третьему порту на втором коммутаторе. Теперь возникла проблема, что на другом свитче о втором VLAN даже не слышали и его нужно создать:
SW2(конфигурация)#vlan 2
SW2(config-vlan)#name Dir-ya
Теперь вам нужно настроить третий порт и добавить его в VLAN2. И не забудьте указать для него марку модели:
SW2(config)#interface fastEthernet 0/3
SW2(config-if)#доступ к режиму порта коммутатора
SW2(config-if)#switchport access vlan 2
Теперь нам нужно разрешить прохождение пакетов VLAN2 через внешний порт. Второй свитч (как и все остальные) имеет порт 24. Внимательно вводите команду:
SW2(config)#interface fastEthernet 0/24
SW2(config-if)#switchport Trunk разрешен добавление vlan 2
Теперь перейдем к центральному переключателю:
CentrSW(config)#interface fastEthernet 0/1
CentrSW(config-if)#switchport транк разрешен vlan 2
CentrSW(config)#interface fastEthernet 0/2
CentrSW(config-if)#switchport транк разрешен vlan 2,3
CentrSW(config)#interface fastEthernet 0/3
CentrSW(config-if)#switchport транк разрешен vlan 4
Обратите внимание, что для внешнего порта 2 мы разрешили использование двух вланов одновременно. Теперь при отправке пакета он дойдет до центрального коммутатора. Затем он будет отправлен на коммутатор 2, у которого уже есть прописанное правило — разрешающее отправлять пакеты VLAN2 только на выделенный порт 3 — где сидит перемещённая сотрудница: Елена Павловна.
Types of VLAN
Виртуальная локальная сеть (VLAN) — это технология уровня 2, которая позволяет виртуализировать физическую локальную сеть. Сети VLAN используют коммутаторы для создания логических сетей, существующих внутри физических.
Благодаря поддержке VLAN вы также разделите организацию на несколько широковещательных доменов. В дальнейшем они используются для предоставления сетевых услуг, таких как межсетевые экраны и балансировка нагрузки. Вот различные типы VLAN
1. Untagged VLANs
Немаркированные VLAN — это тип виртуальной локальной сети (VLAN), у которой нет специального тега VLAN. Этот тип VLAN также называется «собственными» портами или портами «доступа» на коммутаторе Cisco.
Для подключения хостов к сети можно использовать нетегированные порты, но их нельзя использовать в качестве транков. Подключенные хосты понятия не имеют о конфигурации VLAN. По сути, они отправляют трафик без идентификатора или тега VLAN. В тот момент, когда пакет достигает порта коммутатора, он вставляет в него тег VLAN.
Хост A пересылает трафик без тега VLAN. Когда пакет достигает порта 1 коммутатора, он вставляет или настраивает тег VLAN в кадре.
Затем коммутатор решает перенаправить порт вывода кадров 2, который также является нетегированным портом. Таким образом, чтобы доставить нетегированный кадр на хост B как обычно, он удаляет тег VLAN из кадра.
2. Tagged VLANs
Тегированные VLAN — это тип виртуальной локальной сети (VLAN), который идентифицируется определенным тегом VLAN. Они помогают идентифицировать трафик, принадлежащий определенной сети. Кроме того, это позволяет замечать различные типы трафика в сети.
Тегированные VLAN также помогают предотвратить широковещательные штормы и уменьшить перегрузку сети. Все, что вам нужно сделать, это вставить в пакет дополнительный заголовок, чтобы пометить пакет или фрейм.
Тегированные VLAN также известны как «магистральные» порты на коммутаторе Cisco.
Хост A отправляет нетегированный пакет на нетегированный порт коммутатора A. Коммутатор настраивает его и вставляет в пакет тег VLAN. Теперь коммутатор A решает переслать кадр на выходной порт 1 коммутатора B, который является тегированным портом. Таким образом, он проверяет, имеет ли тег VLAN доступ для передачи по выбранному порту. Если да, коммутатор пересылает пакет. Но если тег не соответствует или имеет доступ, коммутатор удаляет кадр.
Опять же, коммутатор B определяет, имеет ли тегированная VLAN доступ для передачи пакета на порт 2. Если нет, он отбрасывает кадр, но если он совпадает, он отправляет пакет.
Поскольку порт 2 является нетегированным портом, он удалит тег VLAN из кадра и доставит его как нетегированный на хост B.