เครือข่ายท้องถิ่นเสมือน การสร้าง vlan โดยใช้สวิตช์ตัวเดียว วัตถุประสงค์ของเครือข่ายเสมือน

เครือข่ายท้องถิ่นเสมือน (VLAN) คือกลุ่มของโหนดเครือข่ายที่มีการรับส่งข้อมูล รวมถึงการรับส่งข้อมูลออกอากาศ จะถูกแยกออกจากการรับส่งข้อมูลของโหนดเครือข่ายอื่นโดยสิ้นเชิงที่ระดับลิงก์

ข้าว. 14.10. เสมือน เครือข่ายท้องถิ่น.

ซึ่งหมายความว่าเฟรมจะถูกถ่ายโอนระหว่างเครือข่ายเสมือนที่แตกต่างกันตามที่อยู่ เลเยอร์ลิงก์ไม่สามารถทำได้โดยไม่คำนึงถึงประเภทที่อยู่ (ไม่ซ้ำกัน มัลติคาสต์ หรือการออกอากาศ) ในเวลาเดียวกัน ภายในเครือข่ายเสมือน เฟรมจะถูกส่งโดยใช้เทคโนโลยีสวิตชิ่ง จากนั้นไปยังพอร์ตที่เชื่อมโยงกับที่อยู่ปลายทางของเฟรมเท่านั้น

VLAN สามารถทับซ้อนกันได้หากคอมพิวเตอร์ตั้งแต่หนึ่งเครื่องขึ้นไปเป็นส่วนหนึ่งของ VLAN มากกว่าหนึ่งเครื่อง ในรูป 14.10 เซิร์ฟเวอร์อีเมลเป็นส่วนหนึ่งของเครือข่ายเสมือน 3 และ 4 ซึ่งหมายความว่าเฟรมจะถูกส่งโดยสวิตช์ไปยังคอมพิวเตอร์ทุกเครื่องที่รวมอยู่ในเครือข่ายเหล่านี้ หากคอมพิวเตอร์เป็นส่วนหนึ่งของเครือข่ายเสมือน 3 เท่านั้น เฟรมจะไม่เข้าถึงเครือข่าย 4 แต่สามารถโต้ตอบกับคอมพิวเตอร์บนเครือข่าย 4 ผ่านเมลเซิร์ฟเวอร์ทั่วไปได้ โครงการนี้ไม่ได้ป้องกันเครือข่ายเสมือนจากกันและกันอย่างสมบูรณ์ ตัวอย่างเช่น Broadcast Storm ที่เกิดขึ้นบนเซิร์ฟเวอร์ อีเมลจะท่วมทั้งเครือข่าย 3 และเครือข่าย 4

กล่าวกันว่าเครือข่ายเสมือนจะสร้างโดเมนการรับส่งข้อมูลการออกอากาศ คล้ายกับโดเมนการชนกันที่เกิดจากตัวทวนสัญญาณอีเธอร์เน็ต

วัตถุประสงค์ของเครือข่ายเสมือน

ดังที่เราเห็นในตัวอย่างจากส่วนก่อนหน้า การใช้ตัวกรองแบบกำหนดเองคุณสามารถรบกวนการทำงานปกติของสวิตช์และจำกัดการโต้ตอบของโหนดเครือข่ายท้องถิ่นตามกฎการเข้าถึงที่จำเป็น อย่างไรก็ตาม กลไกตัวกรองสวิตช์แบบกำหนดเองมีข้อเสียหลายประการ:

จำเป็นต้องกำหนดเงื่อนไขแยกกันสำหรับแต่ละโหนดเครือข่าย โดยใช้ที่อยู่ MAC ที่ยุ่งยาก การจัดกลุ่มโหนดและอธิบายเงื่อนไขของการโต้ตอบสำหรับกลุ่มในคราวเดียวจะง่ายกว่ามาก

ไม่สามารถบล็อกได้ การจราจรออกอากาศ- การรับส่งข้อมูลการออกอากาศอาจทำให้เครือข่ายไม่พร้อมใช้งานหากโหนดใดโหนดหนึ่งสร้างเฟรมการออกอากาศที่มีความเข้มข้นสูงโดยตั้งใจหรือไม่ตั้งใจ

เทคนิคของเครือข่ายท้องถิ่นเสมือนช่วยแก้ปัญหาการจำกัดการโต้ตอบของโหนดเครือข่ายในลักษณะที่แตกต่างออกไป

วัตถุประสงค์หลัก เทคโนโลยีวีแลนคือการอำนวยความสะดวกในกระบวนการสร้างเครือข่ายแยกซึ่งโดยปกติจะเชื่อมต่อถึงกันโดยใช้เราเตอร์ การออกแบบเครือข่ายนี้สร้างอุปสรรคอันทรงพลังในการรับส่งข้อมูลที่ไม่ต้องการจากเครือข่ายหนึ่งไปยังอีกเครือข่ายหนึ่ง ปัจจุบันเห็นได้ชัดว่าเครือข่ายขนาดใหญ่ใดๆ ต้องมีเราเตอร์ มิฉะนั้นสตรีมของเฟรมที่ผิดพลาด เช่น การออกอากาศ จะ "ท่วม" เครือข่ายทั้งหมดเป็นระยะๆ ผ่านสวิตช์ที่โปร่งใส ทำให้ไม่สามารถใช้งานได้

ข้อดีของเทคโนโลยีเครือข่ายเสมือนคือช่วยให้คุณสร้างส่วนเครือข่ายที่แยกได้อย่างสมบูรณ์โดยการกำหนดค่าแบบลอจิคัลของสวิตช์ โดยไม่ต้องเปลี่ยนโครงสร้างทางกายภาพ

ก่อนที่จะมีเทคโนโลยี VLAN เข้ามาสร้าง เครือข่ายที่แยกจากกันมีการใช้ส่วนที่แยกทางกายภาพอย่างใดอย่างหนึ่ง สายโคแอกเซียลหรือส่วนที่ไม่เชื่อมต่อซึ่งสร้างขึ้นบนตัวทวนสัญญาณและบริดจ์ เครือข่ายเหล่านี้เชื่อมต่อกันด้วยเราเตอร์เป็นเครือข่ายคอมโพสิตเดียว (รูปที่ 14.11)

การเปลี่ยนองค์ประกอบของเซ็กเมนต์ (ผู้ใช้ย้ายไปยังเครือข่ายอื่นแยกเซ็กเมนต์ขนาดใหญ่) ด้วยวิธีนี้หมายถึงการเชื่อมต่อทางกายภาพของตัวเชื่อมต่อที่แผงด้านหน้าของตัวทำซ้ำหรือบนแผงเชื่อมต่อข้ามซึ่งไม่สะดวกมาก เครือข่ายขนาดใหญ่- มีงานหนักมากและมีโอกาสเกิดข้อผิดพลาดสูง

ข้าว. 14.11. เครือข่ายคอมโพสิตประกอบด้วยเครือข่ายที่สร้างขึ้นบนพื้นฐานของขาประจำ

การเชื่อมโยงเครือข่ายเสมือนเข้ากับเครือข่ายทั่วไปจำเป็นต้องอาศัยเครื่องมือระดับเครือข่าย สามารถนำไปใช้ในเราเตอร์แยกต่างหากหรือเป็นส่วนหนึ่งของ ซอฟต์แวร์สวิตช์ซึ่งต่อมาจะกลายเป็นอุปกรณ์รวม - สวิตช์ที่เรียกว่าเลเยอร์ 3

เทคโนโลยีเครือข่ายเสมือน เป็นเวลานานไม่ได้มาตรฐาน แม้ว่าจะมีการใช้งานในสวิตช์รุ่นต่างๆ มากมายก็ตาม ผู้ผลิตที่แตกต่างกัน- สถานการณ์เปลี่ยนไปเมื่อมีการนำมาตรฐาน IEEE 802.1Q มาใช้ในปี 1998 ซึ่งกำหนด กฎพื้นฐานการสร้างเครือข่ายท้องถิ่นเสมือนที่ไม่ขึ้นอยู่กับโปรโตคอลระดับลิงก์ที่สวิตช์รองรับ

การสร้างเครือข่ายเสมือนโดยใช้สวิตช์ตัวเดียว

เมื่อสร้างเครือข่ายเสมือนโดยใช้สวิตช์ตัวเดียว โดยปกติจะใช้กลไกการจัดกลุ่มพอร์ตสวิตช์ (รูปที่ 14.12) ในกรณีนี้ แต่ละพอร์ตถูกกำหนดให้กับเครือข่ายเสมือนหนึ่งหรือเครือข่ายอื่น เฟรมที่มาจากพอร์ตที่เป็นของ ตัวอย่างเช่น เครือข่ายเสมือน 1 จะไม่ถูกส่งไปยังพอร์ตที่ไม่ได้เป็นของเครือข่ายเสมือนนี้ พอร์ตสามารถกำหนดให้กับเครือข่ายเสมือนหลายแห่งได้ แม้ว่าในทางปฏิบัติจะไม่ค่อยทำสิ่งนี้ แต่ผลของการแยกเครือข่ายโดยสมบูรณ์จะหายไป

การสร้างเครือข่ายเสมือนโดยการจัดกลุ่มพอร์ตไม่จำเป็นต้องมีงานจากผู้ดูแลระบบมากนัก ทำเอง- ก็เพียงพอแล้วที่จะกำหนดแต่ละพอร์ตให้กับหนึ่งในเครือข่ายเสมือนที่มีชื่อล่วงหน้าหลายเครือข่าย โดยทั่วไปการดำเนินการนี้จะดำเนินการโดยใช้โปรแกรมพิเศษที่มาพร้อมกับสวิตช์

วิธีที่สองในการสร้างเครือข่ายเสมือนนั้นขึ้นอยู่กับการจัดกลุ่มที่อยู่ MAC ที่อยู่ MAC แต่ละรายการที่สวิตช์เรียนรู้นั้นถูกกำหนดให้กับเครือข่ายเสมือนเฉพาะ หากมีโหนดจำนวนมากในเครือข่าย วิธีการนี้จำเป็นต้องอาศัยการทำงานด้วยตนเองจำนวนมากจากผู้ดูแลระบบ อย่างไรก็ตาม เมื่อสร้างเครือข่ายเสมือนโดยใช้สวิตช์หลายตัว จะมีความยืดหยุ่นมากกว่าการจัดกลุ่มพอร์ต

ข้าว. 14.12. เครือข่ายเสมือนสร้างขึ้นบนสวิตช์ตัวเดียว

การสร้างเครือข่ายเสมือนโดยใช้สวิตช์หลายตัว

รูปที่ 14.13 แสดงให้เห็นถึงปัญหาที่เกิดขึ้นเมื่อสร้างเครือข่ายเสมือนโดยใช้สวิตช์หลายตัวที่รองรับเทคนิคการเชื่อมต่อพอร์ต

ข้าว. 14.13. การสร้างเครือข่ายเสมือนบนสวิตช์หลายตัวพร้อมการจัดกลุ่มพอร์ต

หากโหนดของเครือข่ายเสมือนเชื่อมต่อกับสวิตช์ที่แตกต่างกัน จะต้องจัดสรรพอร์ตคู่พิเศษบนสวิตช์เพื่อเชื่อมต่อแต่ละเครือข่ายดังกล่าว ดังนั้นสวิตช์พอร์ต trunking ต้องใช้พอร์ตในการเชื่อมต่อมากเท่ากับจำนวนเครือข่ายเสมือนที่รองรับ พอร์ตและสายเคเบิลถูกใช้อย่างสิ้นเปลืองในกรณีนี้ นอกจากนี้ เมื่อเชื่อมต่อเครือข่ายเสมือนผ่านเราเตอร์ สายเคเบิลแยกและพอร์ตเราเตอร์แยกกันจะถูกจัดสรรให้กับเครือข่ายเสมือนแต่ละเครือข่าย ซึ่งส่งผลให้มีต้นทุนค่าโสหุ้ยสูงอีกด้วย

การจัดกลุ่มที่อยู่ MAC ให้เป็นเครือข่ายเสมือนบนสวิตช์แต่ละตัวจะช่วยลดความจำเป็นในการเชื่อมโยงที่อยู่ MAC เข้ากับหลายพอร์ต เนื่องจากที่อยู่ MAC จะกลายเป็นป้ายกำกับเครือข่ายเสมือน อย่างไรก็ตามวิธีนี้จำเป็นต้องใช้ ปริมาณมากการดำเนินการด้วยตนเองสำหรับการทำเครื่องหมายที่อยู่ MAC บนสวิตช์เครือข่ายแต่ละตัว

สองวิธีที่อธิบายไว้นั้นขึ้นอยู่กับการเพิ่มข้อมูลเพิ่มเติมลงในตารางที่อยู่ของสวิตช์เท่านั้นและไม่มีความสามารถในการฝังข้อมูลเกี่ยวกับความเป็นเจ้าของเฟรมเครือข่ายเสมือนลงในเฟรมที่ส่ง ในแนวทางอื่นๆ ฟิลด์เฟรมที่มีอยู่หรือเพิ่มเติมจะถูกใช้เพื่อจัดเก็บข้อมูลเกี่ยวกับการเป็นสมาชิกของเฟรมในเครือข่ายท้องถิ่นเสมือนเฉพาะเมื่อมีการย้ายระหว่างสวิตช์เครือข่าย ในกรณีนี้ ไม่จำเป็นต้องจำในแต่ละสวิตช์ว่าที่อยู่ MAC ทั้งหมดของเครือข่ายคอมโพสิตเป็นของเครือข่ายเสมือน

อีเธอร์เน็ตแนะนำส่วนหัวเพิ่มเติมที่เรียกว่าแท็ก VLAN

แท็ก VLAN เป็นทางเลือกสำหรับเฟรมอีเทอร์เน็ต เฟรมที่มีส่วนหัวดังกล่าวเรียกว่าเฟรมที่แท็ก สวิตช์สามารถรองรับทั้งเฟรมที่ติดแท็กและไม่ติดแท็กพร้อมกัน เนื่องจากการเพิ่มแท็ก VLAN ความยาวสูงสุดเขตข้อมูลลดลง 4 ไบต์

เพื่อให้อุปกรณ์เครือข่ายท้องถิ่นสามารถแยกแยะและทำความเข้าใจเฟรมที่แท็กได้ จะมีการแนะนำค่าฟิลด์ EtherType พิเศษที่ 0x8100 ให้กับอุปกรณ์เหล่านั้น ค่านี้บ่งชี้ว่าตามด้วยฟิลด์ TCI แทนที่จะเป็นฟิลด์ข้อมูลมาตรฐาน โปรดทราบว่าในเฟรมที่แท็ก ฟิลด์แท็ก VLAN จะถูกตามด้วยฟิลด์ EtherType อีกฟิลด์หนึ่ง ซึ่งระบุประเภทโปรโตคอลที่มีข้อมูลถูกนำไปใช้โดยฟิลด์ข้อมูลเฟรม

ฟิลด์ TCI ประกอบด้วยฟิลด์หมายเลข VLAN (ตัวระบุ) 12 บิตที่เรียกว่า VID ความกว้างของฟิลด์ VID ช่วยให้สวิตช์สามารถสร้างเครือข่ายเสมือนได้มากถึง 4,096 เครือข่าย

การใช้ค่า VID ในเฟรมที่แท็ก สวิตช์เครือข่ายจะดำเนินการกรองการรับส่งข้อมูลแบบกลุ่ม โดยแบ่งเครือข่ายออกเป็นส่วนเสมือน ซึ่งก็คือ ออกเป็น VLAN เพื่อรองรับโหมดนี้ พอร์ตสวิตช์แต่ละพอร์ตจะถูกกำหนดให้กับเครือข่ายท้องถิ่นเสมือนตั้งแต่หนึ่งเครือข่ายขึ้นไป นั่นคือ การจัดกลุ่มพอร์ตจะดำเนินการ

เพื่อลดความซับซ้อนในการกำหนดค่าเครือข่าย มาตรฐาน 802.1Q แนะนำแนวคิดของสายเข้าและสายหลัก

สายเชื่อมต่อเชื่อมต่อพอร์ตสวิตช์ (เรียกว่าพอร์ตการเข้าถึงในกรณีนี้) กับคอมพิวเตอร์ที่เป็นของเครือข่ายท้องถิ่นเสมือน

trunk คือสายสื่อสารที่เชื่อมต่อพอร์ตของสวิตช์สองตัว โดยทั่วไป การรับส่งข้อมูลจากเครือข่ายเสมือนหลายเครือข่ายจะถูกส่งผ่าน trunk

ในการสร้างเครือข่ายท้องถิ่นเสมือนในเครือข่ายต้นทางคุณต้องเลือกค่า VID อื่นที่ไม่ใช่ 1 ก่อนจากนั้นใช้คำสั่งการกำหนดค่าสวิตช์กำหนดพอร์ตที่คอมพิวเตอร์ที่รวมอยู่ในนั้นเชื่อมต่อให้กับเครือข่ายนี้ . พอร์ตการเข้าถึงสามารถกำหนดให้กับ VLAN เดียวเท่านั้น

พอร์ตการเข้าถึงจะได้รับเฟรมที่ไม่ได้ติดแท็กจากโฮสต์ปลายทางและแท็กด้วยแท็ก VLAN ที่มีค่า VID ที่กำหนดให้กับพอร์ตนั้น เมื่อส่งเฟรมที่แท็กไปยังโหนดสิ้นสุด พอร์ตการเข้าถึงจะลบแท็ก VLAN

สำหรับข้อมูลเพิ่มเติม คำอธิบายภาพกลับไปที่ตัวอย่างเครือข่ายที่กล่าวถึงก่อนหน้านี้ มะเดื่อ. รูปที่ 14.15 แสดงวิธีการแก้ปัญหาการเข้าถึงเซิร์ฟเวอร์แบบเลือกสรรโดยใช้เทคนิค VLAN

ข้าว. 14.15. การแบ่งเครือข่ายออกเป็นสองเครือข่ายท้องถิ่นเสมือน

เพื่อแก้ไขปัญหานี้ เราสามารถจัดระเบียบเครือข่ายท้องถิ่นเสมือนสองเครือข่ายบนเครือข่าย ได้แก่ VLAN2 และ VLAN3 (จำได้ว่า VLAN1 มีอยู่แล้วโดยค่าเริ่มต้น - นี่คือเครือข่ายดั้งเดิมของเรา) โดยกำหนดคอมพิวเตอร์และเซิร์ฟเวอร์ชุดหนึ่งให้กับ VLAN2 และอีกชุดหนึ่งให้กับ KVLAN3.

ในการกำหนดโหนดปลายทางให้กับ VLAN เฉพาะ พอร์ตที่เกี่ยวข้องจะถูกประกาศเป็นพอร์ตการเข้าถึงของเครือข่ายนั้นโดยการกำหนด VID ที่เหมาะสม ตัวอย่างเช่น พอร์ต 1 ของ SW1 ควรถูกประกาศเป็นพอร์ตการเข้าถึงของ VLAN2 โดยกำหนด VID2 เช่นเดียวกับพอร์ต 5 ของ SW1, พอร์ต 1 ของ SW2 และพอร์ต 1 ของ SW3 เข้าถึงพอร์ต VLAN 3 ควรได้รับ VID3

ในเครือข่ายของคุณ คุณต้องจัดระเบียบ trunks ซึ่งเป็นสายสื่อสารที่เชื่อมต่อพอร์ตสวิตช์เข้าด้วยกัน พอร์ตที่เชื่อมต่อกับทรังก์ไม่ได้เพิ่มหรือลบแท็ก เพียงส่งเฟรมโดยไม่มีการเปลี่ยนแปลง ในตัวอย่างของเรา พอร์ตดังกล่าวควรเป็นพอร์ต 6 ของสวิตช์ SW1 และ SW2 รวมถึงพอร์ต 3 และ 4 ของสวิตช์ ShchZ พอร์ตในตัวอย่างของเราต้องรองรับ VLAN2 และ VLAN3 (และ VLAN1 หากมีโหนดในเครือข่ายที่ไม่ได้กำหนดให้กับ VLAN ใด ๆ อย่างชัดเจน)

สวิตช์ที่รองรับเทคโนโลยี VLAN ให้การกรองการรับส่งข้อมูลเพิ่มเติม หากตารางการส่งต่อของสวิตช์แจ้งว่าเฟรมขาเข้าจำเป็นต้องถูกส่งไปยังพอร์ตใดพอร์ตหนึ่ง ก่อนการส่งสัญญาณ สวิตช์จะตรวจสอบว่าค่า VTD ในแท็ก VL AN ของเฟรมสอดคล้องกับเครือข่ายท้องถิ่นเสมือนที่กำหนดให้กับพอร์ตนี้หรือไม่ หากมีการจับคู่เฟรมจะถูกส่ง หากไม่ตรงกันจะถูกละทิ้ง เฟรมที่ไม่ติดแท็กจะได้รับการประมวลผลในลักษณะเดียวกัน แต่ใช้ VLAN1 แบบมีเงื่อนไข ที่อยู่ MAC ได้รับการเรียนรู้โดยสวิตช์เครือข่ายแยกจากกัน แต่สำหรับแต่ละ VLAN

เทคนิค VLAN ปรากฏว่ามีประสิทธิภาพมากในการจำกัดการเข้าถึงเซิร์ฟเวอร์ การกำหนดค่าเครือข่ายท้องถิ่นเสมือนไม่จำเป็นต้องมีความรู้เกี่ยวกับที่อยู่ MAC ของโหนด นอกจากนี้ การเปลี่ยนแปลงใดๆ ในเครือข่าย เช่น การเชื่อมต่อคอมพิวเตอร์กับสวิตช์อื่น จำเป็นต้องมีการกำหนดค่าเฉพาะพอร์ตของสวิตช์นี้ และสวิตช์อื่นๆ ทั้งหมดใน เครือข่ายยังคงทำงานต่อไปโดยไม่เปลี่ยนแปลงการกำหนดค่า

6.1 บทนำ เทคโนโลยี LAN เสมือน

เครือข่ายเสมือนคือกลุ่มของโหนดเครือข่ายที่มีการรับส่งข้อมูล รวมถึงการรับส่งข้อมูลออกอากาศ จะถูกแยกโดยสิ้นเชิงที่ระดับลิงก์ข้อมูลจากโหนดเครือข่ายอื่น (รูปที่ 4.39) ซึ่งหมายความว่าเฟรมไม่สามารถส่งระหว่างเครือข่ายเสมือนที่แตกต่างกันโดยอิงตามที่อยู่เลเยอร์ลิงก์ โดยไม่คำนึงถึงประเภทของที่อยู่ - เฉพาะ มัลติคาสต์ หรือการออกอากาศ ในเวลาเดียวกัน ภายในเครือข่ายเสมือน เฟรมจะถูกส่งโดยใช้เทคโนโลยีสวิตชิ่ง นั่นคือ ไปยังพอร์ตที่เชื่อมโยงกับที่อยู่ปลายทางของเฟรมเท่านั้น เครือข่ายเสมือนสามารถทับซ้อนกันได้หากคอมพิวเตอร์ตั้งแต่หนึ่งเครื่องขึ้นไปเป็นส่วนหนึ่งของเครือข่ายเสมือนมากกว่าหนึ่งเครือข่าย ในรูป 4.39 เซิร์ฟเวอร์อีเมลเป็นส่วนหนึ่งของเครือข่ายเสมือน 3 และ 4 ซึ่งหมายความว่าเฟรมของมันจะถูกส่งโดยสวิตช์ไปยังคอมพิวเตอร์ทุกเครื่องที่รวมอยู่ในเครือข่ายเหล่านี้ หากคอมพิวเตอร์เป็นส่วนหนึ่งของเครือข่ายเสมือน 3 เท่านั้น เฟรมจะไม่เข้าถึงเครือข่าย 4 แต่สามารถโต้ตอบกับคอมพิวเตอร์บนเครือข่าย 4 ผ่านทางเครือข่ายทั่วไป เมลเซิร์ฟเวอร์- โครงการนี้ไม่ได้ปกป้องเครือข่ายเสมือนจากกันและกันอย่างสมบูรณ์ - ตัวอย่างเช่น พายุการออกอากาศที่เกิดขึ้นบนเซิร์ฟเวอร์อีเมลจะครอบงำเครือข่าย 3 และเครือข่าย 4

ข้าว. 4.39.เครือข่ายเสมือน

พวกเขาบอกว่าเครือข่ายเสมือนเกิดขึ้น โดเมนการรับส่งข้อมูลการออกอากาศ (โดเมนการออกอากาศ)โดยการเปรียบเทียบกับโดเมนการชนกันที่เกิดจากตัวทวนสัญญาณอีเธอร์เน็ต

วัตถุประสงค์ของเทคโนโลยีเครือข่ายเสมือนคือเพื่ออำนวยความสะดวกในการสร้างเครือข่ายแยก ซึ่งจะต้องเชื่อมต่อโดยใช้เราเตอร์ที่ใช้โปรโตคอลเลเยอร์เครือข่ายบางประเภท เช่น IP การออกแบบเครือข่ายนี้สร้างอุปสรรคที่แข็งแกร่งมากขึ้นในการรับส่งข้อมูลที่ผิดพลาดจากเครือข่ายหนึ่งไปยังอีกเครือข่ายหนึ่ง ในปัจจุบัน เชื่อกันว่าเครือข่ายขนาดใหญ่ใดๆ จะต้องมีเราเตอร์รวมอยู่ด้วย มิฉะนั้นสตรีมของเฟรมที่ผิดพลาด เช่น การออกอากาศ จะทำให้เครือข่ายทั้งหมดท่วมเครือข่ายเป็นระยะผ่านสวิตช์ที่โปร่งใส ทำให้ไม่สามารถใช้งานได้

เทคโนโลยีเครือข่ายเสมือนสร้างพื้นฐานที่ยืดหยุ่นสำหรับการสร้างเครือข่ายขนาดใหญ่ที่เชื่อมต่อด้วยเราเตอร์ เนื่องจากสวิตช์ช่วยให้คุณสร้างส่วนที่แยกได้อย่างสมบูรณ์ โดยทางโปรแกรมโดยไม่ต้องใช้การสลับทางกายภาพ

ก่อนการถือกำเนิดของเทคโนโลยี VLAN ทั้งส่วนที่แยกทางกายภาพของสายเคเบิลโคแอกเซียลหรือส่วนที่ไม่ได้เชื่อมต่อซึ่งสร้างบนตัวทวนสัญญาณและบริดจ์ถูกนำมาใช้เพื่อสร้างเครือข่ายที่แยกจากกัน เครือข่ายเหล่านี้เชื่อมต่อกันโดยเราเตอร์เข้าเป็นเครือข่ายคอมโพสิตเดียว (รูป)

ข้าว.เครือข่ายที่ประกอบด้วยเครือข่ายที่สร้างขึ้นบนพื้นฐานของเครื่องทวนสัญญาณ

การเปลี่ยนองค์ประกอบของเซ็กเมนต์ (ผู้ใช้ที่ย้ายไปยังเครือข่ายอื่นแยกเซ็กเมนต์ขนาดใหญ่) ด้วยวิธีนี้หมายถึงการเชื่อมต่อทางกายภาพของตัวเชื่อมต่อที่แผงด้านหน้าของตัวทำซ้ำหรือในแผงครอสโอเวอร์ซึ่งไม่สะดวกมากในเครือข่ายขนาดใหญ่ - มีอยู่มากมาย งานทางกายภาพนอกจากนี้ยังมีความเป็นไปได้สูงที่จะเกิดข้อผิดพลาด

ดังนั้น เพื่อขจัดความจำเป็นในการสลับโหนดทางกายภาพอีกครั้ง จึงเริ่มใช้หัวรวมหลายส่วนที่กล่าวถึงในหัวข้อ 4.2.2 เป็นไปได้ที่จะตั้งโปรแกรมองค์ประกอบของเซ็กเมนต์ที่ใช้ร่วมกันโดยไม่ต้องเชื่อมต่อใหม่อีกครั้ง

อย่างไรก็ตามการแก้ปัญหาการเปลี่ยนองค์ประกอบของเซ็กเมนต์โดยใช้ฮับทำให้เกิดข้อ จำกัด อย่างมากในโครงสร้างเครือข่าย - จำนวนเซ็กเมนต์ของทวนสัญญาณดังกล่าวมักจะมีขนาดเล็กดังนั้นการกำหนดแต่ละโหนดให้กับเซ็กเมนต์ของตัวเองซึ่งสามารถทำได้โดยใช้สวิตช์คือ ไม่สมจริง นอกจากนี้ด้วยวิธีนี้งานถ่ายโอนข้อมูลระหว่างส่วนทั้งหมดจะตกอยู่ที่เราเตอร์และสวิตช์ด้วยตัวเอง ประสิทธิภาพสูงออกจากงาน ดังนั้นเครือข่ายที่สร้างขึ้นบนพื้นฐานของการกำหนดค่าสวิตช์ทวนสัญญาณยังคงขึ้นอยู่กับการแบ่งสื่อการส่งข้อมูลระหว่างกัน จำนวนมากโหนดจึงมีประสิทธิภาพต่ำกว่ามากเมื่อเทียบกับเครือข่ายที่สร้างบนสวิตช์

เมื่อใช้เทคโนโลยีเครือข่ายเสมือนในสวิตช์ งานสองอย่างจะได้รับการแก้ไขพร้อมกัน:

· เพิ่มประสิทธิภาพในแต่ละเครือข่ายเสมือน เนื่องจากสวิตช์ส่งเฟรมในเครือข่ายดังกล่าวไปยังโหนดปลายทางเท่านั้น

· แยกเครือข่ายออกจากกันเพื่อจัดการสิทธิ์การเข้าถึงของผู้ใช้และสร้างอุปสรรคป้องกันจากพายุการออกอากาศ

เพื่อเชื่อมต่อเครือข่ายเสมือนเข้าด้วยกัน เครือข่ายที่ใช้ร่วมกันต้องอาศัยการมีส่วนร่วมของชั้นเครือข่าย สามารถนำไปใช้ในเราเตอร์แยกต่างหากหรือสามารถทำงานเป็นส่วนหนึ่งของซอฟต์แวร์สวิตช์ซึ่งต่อมาจะกลายเป็นอุปกรณ์รวม - สวิตช์เลเยอร์ 3 ที่เรียกว่า สวิตช์เลเยอร์ 3 จะกล่าวถึงในบทที่ 5

เทคโนโลยีสำหรับการสร้างและใช้งานเครือข่ายเสมือนโดยใช้สวิตช์ยังไม่ได้รับมาตรฐานมาเป็นเวลานานถึงแม้ว่าจะมีการใช้งานในสวิตช์รุ่นต่างๆ จากผู้ผลิตหลายรายก็ตาม สถานการณ์นี้เปลี่ยนไปด้วยการนำมาตรฐาน IEEE 802.1Q มาใช้ในปี 1998 ซึ่งกำหนดกฎพื้นฐานสำหรับการสร้างเครือข่ายท้องถิ่นเสมือน โดยไม่ขึ้นกับโปรโตคอลชั้นลิงก์ที่สวิตช์รองรับ

เนื่องจากขาดมาตรฐานสำหรับ VLAN มานานแล้ว ผู้ผลิตรายใหญ่สวิตช์ได้พัฒนาเทคโนโลยีเครือข่ายเสมือนของตัวเองซึ่งตามกฎแล้วไม่เข้ากันกับเทคโนโลยีจากผู้ผลิตรายอื่น ดังนั้นแม้จะมีมาตรฐานเกิดขึ้น แต่ก็ไม่ใช่เรื่องแปลกที่จะเผชิญกับสถานการณ์ที่เครือข่ายเสมือนที่สร้างบนสวิตช์จากผู้ผลิตรายหนึ่งไม่ได้รับการยอมรับและดังนั้นจึงไม่ได้รับการสนับสนุนจากสวิตช์จากผู้ผลิตรายอื่น

เมื่อสร้างเครือข่ายเสมือนโดยใช้สวิตช์ตัวเดียว โดยปกติจะใช้กลไกในการจัดกลุ่มพอร์ตสวิตช์ในเครือข่าย (รูปที่ 4.41) ในกรณีนี้ แต่ละพอร์ตถูกกำหนดให้กับเครือข่ายเสมือนหนึ่งหรือเครือข่ายอื่น เฟรมที่มาจากพอร์ตที่เป็นของ ตัวอย่างเช่น เครือข่ายเสมือน 1 จะไม่ถูกส่งไปยังพอร์ตที่ไม่ได้เป็นของเครือข่ายเสมือนนี้ พอร์ตสามารถกำหนดให้กับเครือข่ายเสมือนหลายแห่งได้ แม้ว่าในทางปฏิบัติจะไม่ค่อยทำสิ่งนี้ แต่ผลของการแยกเครือข่ายโดยสมบูรณ์จะหายไป

ข้าว. 4.41.เครือข่ายเสมือนที่สร้างขึ้นบนสวิตช์ตัวเดียว

การจัดกลุ่มพอร์ตสำหรับสวิตช์ตัวเดียวเป็นวิธีที่สมเหตุสมผลที่สุดในการสร้าง VLAN เนื่องจากไม่มีเครือข่ายเสมือนที่สร้างขึ้นบนพื้นฐานของสวิตช์ตัวเดียวมากไปกว่าพอร์ตที่มีอยู่ หากเซ็กเมนต์ที่สร้างบนทวนสัญญาณเชื่อมต่อกับพอร์ตเดียว การรวมโหนดของเซ็กเมนต์ดังกล่าวในเครือข่ายเสมือนที่แตกต่างกันก็ไม่มีเหตุผล - ปริมาณการใช้โหนดเหล่านี้จะยังคงเป็นเรื่องธรรมดา

การสร้างเครือข่ายเสมือนตามการจัดกลุ่มพอร์ตไม่จำเป็นต้องมีการทำงานด้วยตนเองจำนวนมากจากผู้ดูแลระบบ - ก็เพียงพอแล้วที่จะกำหนดแต่ละพอร์ตให้กับเครือข่ายเสมือนที่มีชื่อล่วงหน้าเครือข่ายใดเครือข่ายหนึ่ง โดยทั่วไปการดำเนินการนี้จะดำเนินการโดยใช้ โปรแกรมพิเศษมาพร้อมกับสวิตช์ ผู้ดูแลระบบสร้างเครือข่ายเสมือนโดยการลากสัญลักษณ์กราฟิกพอร์ตลงบน สัญลักษณ์กราฟิกเครือข่าย

6.2 การจัดเครือข่ายท้องถิ่นเสมือน

เครือข่ายเสมือนออกแบบมาเพื่อใช้การแบ่งส่วนเครือข่ายบนสวิตช์ ดังนั้นการสร้างเครือข่ายท้องถิ่นเสมือน ( เสมือนท้องถิ่นเครือข่ายพื้นที่ – วีแลน) ซึ่งแสดงถึงความสัมพันธ์เชิงตรรกะของกลุ่มสถานีเครือข่าย (รูปที่ 16.1) เป็นหนึ่งในวิธีการหลักในการปกป้องข้อมูลในเครือข่ายบนสวิตช์

ข้าว. 16.1. VLAN

โดยทั่วไป VLAN จะถูกจัดกลุ่มตาม คุณสมบัติการทำงานทำงานโดยไม่คำนึงถึงตำแหน่งทางกายภาพของผู้ใช้ การแลกเปลี่ยนข้อมูลเกิดขึ้นระหว่างอุปกรณ์ที่อยู่ใน VLAN เดียวกันเท่านั้น การแลกเปลี่ยนข้อมูลระหว่าง VLAN ต่างๆ จะดำเนินการผ่านเราเตอร์เท่านั้น

เวิร์กสเตชันบนเครือข่ายเสมือน เช่น Host-1 บน VLAN1 (รูปที่ 16.1) ถูกจำกัดให้สื่อสารกับเซิร์ฟเวอร์บน VLAN1 เดียวกัน เครือข่ายเสมือนแบ่งส่วนเครือข่ายทั้งหมดตามตรรกะเป็นโดเมนบรอดคาสต์ เพื่อให้แพ็กเก็ตสลับระหว่างพอร์ตที่กำหนดให้กับ VLAN เดียวกันเท่านั้น (กำหนดให้กับ VLAN เดียวกัน) แต่ละ VLAN ประกอบด้วยโหนดที่รวมเป็นหนึ่งเดียวโดยโดเมนการออกอากาศเดียวที่สร้างขึ้นโดยพอร์ตสวิตช์ที่กำหนดให้กับเครือข่ายเสมือน

เนื่องจากเครือข่ายเสมือนแต่ละเครือข่ายแสดงถึงโดเมนบรอดคาสต์ เราเตอร์ในโทโพโลยี VLAN (รูปที่ 16.1) จึงจัดให้มีการกรองการออกอากาศ ความปลอดภัย การจัดการการรับส่งข้อมูล และการสื่อสารระหว่าง VLAN สวิตช์ไม่ได้จัดให้มีการรับส่งข้อมูลระหว่าง VLAN เนื่องจากเป็นการละเมิดความสมบูรณ์ของโดเมนการออกอากาศ VLAN การรับส่งข้อมูลระหว่าง VLANจัดทำโดยการกำหนดเส้นทางเช่น การสื่อสารระหว่างโฮสต์ของเครือข่ายเสมือนที่แตกต่างกันเกิดขึ้นผ่านเราเตอร์เท่านั้น.

สำหรับการทำงานปกติของเครือข่ายเสมือน จำเป็นต้องกำหนดค่าเครือข่ายท้องถิ่นเสมือนทั้งหมดบนสวิตช์ และกำหนดพอร์ตสวิตช์ให้กับ VLAN ที่เกี่ยวข้อง หากเฟรมต้องผ่านสวิตช์และทราบที่อยู่ MAC ปลายทาง สวิตช์จะส่งต่อเฟรมไปยังพอร์ตเอาต์พุตที่เหมาะสมเท่านั้น หากไม่ทราบที่อยู่ MAC การส่งข้อมูลแบบออกอากาศจะเกิดขึ้นกับพอร์ตทั้งหมดของโดเมนการออกอากาศ เช่น ภายใน VLAN ยกเว้นพอร์ตต้นทางที่ได้รับเฟรม การออกอากาศลดความปลอดภัยของข้อมูล.

การจัดการเครือข่ายเสมือน VLAN ถูกนำมาใช้ผ่านเครือข่ายแรก VLAN1 และลดลงเหลือเพียงการจัดการพอร์ตสวิตช์ ชื่อเครือข่าย VLAN1 เครือข่ายเริ่มต้น (VLAN เริ่มต้น- โดย อย่างน้อยโดยหนึ่งพอร์ตจะต้องอยู่ใน VLAN 1 เพื่อจัดการสวิตช์ พอร์ตอื่นๆ ทั้งหมดบนสวิตช์สามารถกำหนดให้กับ VLAN อื่นๆ ได้ เนื่องจาก ข้อมูลนี้แฮกเกอร์ทุกคนรู้จักกันดีว่าพยายามโจมตีเครือข่ายนี้ก่อน ดังนั้นในทางปฏิบัติ ผู้ดูแลระบบจะเปลี่ยนหมายเลขเครือข่ายเริ่มต้นเป็น VLAN 101

ในระหว่างการกำหนดค่า เครือข่ายเสมือนแต่ละเครือข่ายจะต้องได้รับการกำหนดที่อยู่ IP ของเครือข่ายหรือซับเน็ตด้วยมาสก์ที่เหมาะสม เพื่อให้เครือข่ายเสมือนสามารถสื่อสารระหว่างกันได้ ตัวอย่างเช่น VLAN1 (รูปที่ 16.1) อาจมีที่อยู่ 192.168.10.0/24, VLAN2 – ที่อยู่ 192.168.20.0/24, VLAN3 – ที่อยู่ 192.168.30.0/24 แต่ละโฮสต์จะต้องได้รับที่อยู่ IP จากช่วงที่อยู่ของเครือข่ายเสมือนที่เกี่ยวข้อง เช่น โฮสต์-1 – ที่อยู่ 192.168.10.1 โฮสต์-2 – ที่อยู่ 192.168.20.1 โฮสต์-3 – ที่อยู่ 192.168.20.2 โฮสต์- 7 – ที่อยู่ 192.168.20.3, โฮสต์-10 – ที่อยู่ 192.168.30.4

VLAN ID (VLAN1, VLAN2, VLAN3 ฯลฯ) สามารถกำหนดได้จากช่วงปกติ 1-1005 ซึ่งหมายเลข 1002 - 1005 สงวนไว้สำหรับเทคโนโลยี VLAN แหวนโทเค็นและเอฟดีไอ นอกจากนี้ยังมีช่วง ID เพิ่มเติมคือ 1006-4094 อย่างไรก็ตาม เพื่อความสะดวกในการจัดการ ขอแนะนำให้จำกัด VLAN ไว้ที่ 255 และเครือข่ายนั้นจะต้องไม่ขยายเกินเลเยอร์ 2 ของสวิตช์

ดังนั้น VLAN จึงเป็นโดเมนการออกอากาศที่สร้างขึ้นโดยสวิตช์ตั้งแต่หนึ่งตัวขึ้นไป ในรูป 16.2 VLAN เสมือนสามตัวถูกสร้างขึ้นโดยเราเตอร์หนึ่งตัวและสวิตช์สามตัว มีโดเมนการออกอากาศสามโดเมนแยกกัน (VLAN 1, VLAN 2, VLAN 3) เราเตอร์จัดการการรับส่งข้อมูลระหว่าง VLAN โดยใช้การกำหนดเส้นทางเลเยอร์ 3

ข้าว. 16.2. VLAN เสมือนสามตัว

ถ้า เวิร์กสเตชัน VLAN 1 จะต้องการส่งเฟรมไปยังเวิร์กสเตชันใน VLAN 1 เดียวกัน ที่อยู่ปลายทางของเฟรมจะเป็นที่อยู่ MAC ของเวิร์กสเตชันปลายทาง หากเวิร์กสเตชันบน VLAN 1 ต้องการส่งต่อเฟรมไปยังเวิร์กสเตชันบน VLAN 2 เฟรมจะถูกส่งไปยังที่อยู่ MAC ของอินเทอร์เฟซ F0/0 ของเราเตอร์ นั่นคือการกำหนดเส้นทางจะดำเนินการผ่านที่อยู่ IP ของอินเทอร์เฟซ F0/0 ของเราเตอร์เครือข่ายเสมือน VLAN 1

เพื่อทำหน้าที่ในเครือข่ายเสมือน สวิตช์จะต้องรักษาตารางการสลับ (การส่งต่อ) สำหรับแต่ละ VLAN หากต้องการส่งต่อเฟรม ตารางที่อยู่จะถูกค้นหาเฉพาะ VLAN นี้ หากไม่ทราบที่อยู่ต้นทางก่อนหน้านี้ เมื่อได้รับเฟรม สวิตช์จะเพิ่มที่อยู่นี้ลงในตาราง

เมื่อสร้างเครือข่ายบนสวิตช์หลายตัว จำเป็นต้องเลือก พอร์ตเพิ่มเติมเพื่อรวมพอร์ตของสวิตช์ต่าง ๆ ที่กำหนดให้กับเครือข่ายเสมือนที่มีชื่อเดียวกัน (รูปที่ 16.3) คู่พอร์ตเพิ่มเติมบนสวิตช์สองตัวควรได้รับการจัดสรรให้มากเท่ากับการสร้าง VLAN

ข้าว. 16.3.การรวมเครือข่ายเสมือนของสวิตช์สองตัวเข้าด้วยกัน

เนื่องจากเฟรมข้อมูลสามารถรับได้โดยสวิตช์จากอุปกรณ์ใดๆ ที่เชื่อมต่อกับเครือข่ายเสมือนใดๆ เมื่อมีการแลกเปลี่ยนข้อมูลระหว่างสวิตช์ ส่วนหัวของเฟรมจะเป็น ตัวระบุเฟรมที่ไม่ซ้ำใคร – แท็กเครือข่ายเสมือนซึ่งกำหนด VLAN ของแต่ละแพ็กเก็ต มาตรฐาน IEEE 802.1Qจัดให้มีการแนะนำ ฟิลด์ป้ายกำกับลงในส่วนหัวของเฟรมที่มีขนาด 2 ไบต์ (ตารางที่ 16.1)

นอกจากจุดประสงค์หลักแล้ว-เพิ่มขึ้น แบนด์วิธการเชื่อมต่อในเครือข่าย - สวิตช์ช่วยให้คุณแปลกระแสข้อมูลรวมถึงควบคุมและจัดการโฟลว์เหล่านี้โดยใช้กลไกตัวกรองแบบกำหนดเอง อย่างไรก็ตาม ตัวกรองแบบกำหนดเองสามารถป้องกันการส่งเฟรมไปยังที่อยู่ที่ระบุเท่านั้น ในขณะที่กรองการรับส่งข้อมูลการออกอากาศไปยังส่วนเครือข่ายทั้งหมด นี่คือหลักการทำงานของอัลกอริธึมบริดจ์ที่ใช้ในสวิตช์ ซึ่งเป็นเหตุผลว่าทำไมเครือข่ายที่สร้างขึ้นบนพื้นฐานของบริดจ์และสวิตช์บางครั้งจึงเรียกว่าแบน - เนื่องจากไม่มีอุปสรรคในการออกอากาศการรับส่งข้อมูล

เทคโนโลยีเครือข่ายท้องถิ่นเสมือน (Virtual LAN, VLAN) ซึ่งปรากฏเมื่อหลายปีก่อน ช่วยให้สามารถเอาชนะข้อจำกัดนี้ได้ เครือข่ายเสมือนคือกลุ่มของโหนดเครือข่ายที่มีการรับส่งข้อมูล รวมถึงการรับส่งข้อมูลออกอากาศ ซึ่งแยกออกจากโหนดอื่นๆ ในระดับดาต้าลิงค์โดยสิ้นเชิง (ดูรูปที่ 1) ซึ่งหมายความว่าการส่งเฟรมโดยตรงระหว่างเครือข่ายเสมือนที่แตกต่างกันนั้นเป็นไปไม่ได้ โดยไม่คำนึงถึงประเภทของที่อยู่ - เฉพาะ มัลติคาสต์ หรือการออกอากาศ ในเวลาเดียวกัน ภายในเครือข่ายเสมือน เฟรมจะถูกส่งไปตามเทคโนโลยีสวิตชิ่ง เช่น ไปยังพอร์ตที่กำหนดที่อยู่ปลายทางของเฟรมเท่านั้น

เครือข่ายเสมือนสามารถทับซ้อนกันได้หากมีคอมพิวเตอร์อย่างน้อยหนึ่งเครื่องรวมอยู่ในเครือข่ายเสมือนมากกว่าหนึ่งเครือข่าย ในรูปที่ 1 เซิร์ฟเวอร์อีเมลเป็นส่วนหนึ่งของเครือข่ายเสมือน 3 และ 4 ดังนั้นเฟรมจึงถูกส่งโดยสวิตช์ไปยังคอมพิวเตอร์ทุกเครื่องบนเครือข่ายเหล่านี้ หากคอมพิวเตอร์ถูกกำหนดให้กับเครือข่ายเสมือน 3 เท่านั้นเฟรมจะไม่สามารถเข้าถึงเครือข่าย 4 แต่สามารถโต้ตอบกับคอมพิวเตอร์บนเครือข่าย 4 ผ่านเมลเซิร์ฟเวอร์ทั่วไปได้ โครงการนี้ไม่ได้แยกเครือข่ายเสมือนออกจากกันโดยสิ้นเชิง - ตัวอย่างเช่น Broadcast Storm ที่เริ่มต้นโดยเซิร์ฟเวอร์อีเมลจะครอบงำทั้งเครือข่าย 3 และเครือข่าย 4

การมอบหมาย VLAN

เทคโนโลยี VLAN ช่วยให้สร้างเครือข่ายแยกที่เชื่อมต่อโดยใช้เราเตอร์ที่รองรับโปรโตคอลเลเยอร์เครือข่าย เช่น IP ได้ง่ายขึ้น โซลูชันนี้สร้างอุปสรรคที่แข็งแกร่งมากขึ้นในการรับส่งข้อมูลที่ผิดพลาดจากเครือข่ายหนึ่งไปยังอีกเครือข่ายหนึ่ง ในปัจจุบัน เชื่อกันว่าเครือข่ายขนาดใหญ่ใดๆ จะต้องมีเราเตอร์รวมอยู่ด้วย มิฉะนั้นการไหลของเฟรมที่ผิดพลาด โดยเฉพาะเฟรมที่ออกอากาศผ่านสวิตช์ที่โปร่งใสจะทำให้เฟรม "ท่วม" ทั้งหมดเป็นระยะๆ ทำให้ไม่สามารถใช้งานได้

เทคโนโลยีเครือข่ายเสมือนมอบพื้นฐานที่ยืดหยุ่นสำหรับการสร้างเครือข่ายขนาดใหญ่ที่เชื่อมต่อด้วยเราเตอร์ เนื่องจากสวิตช์ช่วยให้คุณสร้างส่วนที่แยกได้อย่างสมบูรณ์โดยทางโปรแกรม โดยไม่ต้องใช้สวิตช์ทางกายภาพ

ก่อนการถือกำเนิดของเทคโนโลยี VLAN การปรับใช้เครือข่ายที่แยกจากกันโดยใช้ส่วนที่แยกทางกายภาพของสายโคแอกเซียลหรือส่วนที่ไม่ได้เชื่อมต่อโดยยึดตามตัวทำซ้ำและบริดจ์ จากนั้นเครือข่ายก็เชื่อมต่อกันผ่านเราเตอร์เป็นเครือข่ายคอมโพสิตเดียว (ดูรูปที่ 2)

การเปลี่ยนองค์ประกอบของเซ็กเมนต์ (ผู้ใช้ย้ายไปยังเครือข่ายอื่นแยกส่วนขนาดใหญ่) ด้วยวิธีนี้โดยนัยถึงการเชื่อมต่อทางกายภาพของตัวเชื่อมต่อที่แผงด้านหน้าของตัวทำซ้ำหรือในแผงครอสโอเวอร์ซึ่งไม่สะดวกนัก เครือข่ายขนาดใหญ่- เป็นงานที่ต้องใช้แรงงานมาก และความน่าจะเป็นของข้อผิดพลาดก็สูงมาก ดังนั้น เพื่อขจัดความจำเป็นในการสลับโหนดใหม่ทางกายภาพ จึงเริ่มใช้ตัวรวมศูนย์แบบหลายส่วน เพื่อให้สามารถตั้งโปรแกรมองค์ประกอบของส่วนที่ใช้ร่วมกันได้โดยไม่ต้องทำการสลับใหม่ทางกายภาพ

อย่างไรก็ตาม การเปลี่ยนองค์ประกอบของเซ็กเมนต์โดยใช้ฮับทำให้เกิดข้อ จำกัด อย่างมากในโครงสร้างเครือข่าย - จำนวนเซ็กเมนต์ของทวนสัญญาณดังกล่าวมักจะมีขนาดเล็ก และการจัดสรรแต่ละโหนดของตัวเองนั้นไม่สมจริงเนื่องจากสามารถทำได้โดยใช้สวิตช์ นอกจากนี้ ด้วยแนวทางนี้ งานทั้งหมดในการถ่ายโอนข้อมูลระหว่างส่วนต่างๆ จะตกอยู่ที่เราเตอร์ และสวิตช์ที่มีประสิทธิภาพสูงจะยังคง “ไม่ทำงาน” ดังนั้น เครือข่ายที่ใช้รีพีทเตอร์แบบสลับการกำหนดค่าจึงยังต้องการ การแบ่งปันสื่อการส่งข้อมูลมีโหนดจำนวนมากดังนั้นจึงมีประสิทธิภาพต่ำกว่ามากเมื่อเทียบกับเครือข่ายที่ใช้สวิตช์

เมื่อใช้เทคโนโลยีเครือข่ายเสมือนในสวิตช์ ปัญหาสองประการจะถูกแก้ไขพร้อมกัน:

เพิ่มประสิทธิภาพในแต่ละเครือข่ายเสมือน เนื่องจากสวิตช์ส่งเฟรมไปยังโหนดปลายทางเท่านั้น
การแยกเครือข่ายออกจากกันเพื่อจัดการสิทธิ์การเข้าถึงของผู้ใช้และสร้างอุปสรรคในการป้องกันพายุการออกอากาศ

การรวมเครือข่ายเสมือนเข้ากับเครือข่ายทั่วไปนั้นดำเนินการอยู่ ระดับเครือข่ายซึ่งสามารถย้ายไปใช้เราเตอร์หรือซอฟต์แวร์สวิตช์แยกต่างหากได้ หลังในกรณีนี้จะกลายเป็นอุปกรณ์รวม - สวิตช์ระดับที่สามที่เรียกว่า

เทคโนโลยีในการสร้างและใช้งานเครือข่ายเสมือนโดยใช้สวิตช์ยังไม่ได้รับมาตรฐานมาเป็นเวลานาน แม้ว่าจะมีการใช้งานในสวิตช์รุ่นต่างๆ จากผู้ผลิตหลายรายก็ตาม สถานการณ์เปลี่ยนไปหลังจากการนำมาตรฐาน IEEE 802.1Q มาใช้ในปี 1998 ซึ่งกำหนดกฎพื้นฐานสำหรับการสร้างเครือข่ายท้องถิ่นเสมือน โดยไม่คำนึงว่าสวิตช์จะรองรับโปรโตคอลชั้นลิงก์ใด

เนื่องจากขาดมาตรฐาน VLAN มานานแล้ว บริษัทขนาดใหญ่ซึ่งผลิตสวิตช์ได้พัฒนาเทคโนโลยีเครือข่ายเสมือนของตัวเองซึ่งตามกฎแล้วไม่เข้ากันกับเทคโนโลยีจากผู้ผลิตรายอื่น ดังนั้นแม้จะมีการเกิดขึ้นของมาตรฐาน แต่ก็ไม่ใช่เรื่องยากนักที่จะเผชิญกับสถานการณ์ที่เครือข่ายเสมือนที่สร้างขึ้นบนพื้นฐานของสวิตช์จากผู้ขายรายหนึ่งไม่ได้รับการยอมรับและดังนั้นจึงไม่ได้รับการสนับสนุนจากสวิตช์จากที่อื่น

สร้าง VLAN โดยใช้สวิตช์ตัวเดียว

เมื่อสร้างเครือข่ายเสมือนโดยใช้สวิตช์ตัวเดียว โดยปกติจะใช้กลไกในการจัดกลุ่มพอร์ตสวิตช์ในเครือข่าย (ดูรูปที่ 3) ยิ่งไปกว่านั้น แต่ละรายการยังถูกกำหนดให้กับเครือข่ายเสมือนหนึ่งหรือเครือข่ายอื่น เฟรมที่มาจากพอร์ตที่เป็นของ ตัวอย่างเช่น เครือข่ายเสมือน 1 จะไม่ถูกส่งไปยังพอร์ตที่ไม่ได้เป็นส่วนหนึ่งของเครือข่ายนั้น พอร์ตสามารถกำหนดให้กับเครือข่ายเสมือนหลายแห่งได้ แม้ว่าในทางปฏิบัติจะไม่ค่อยทำสิ่งนี้ แต่ผลของการแยกเครือข่ายโดยสมบูรณ์จะหายไป

การจัดกลุ่มพอร์ตบนสวิตช์ตัวเดียวเป็นวิธีที่สมเหตุสมผลที่สุดในการสร้าง VLAN ตั้งแต่นั้นเป็นต้นมา ในกรณีนี้ไม่สามารถมีเครือข่ายเสมือนมากกว่าพอร์ตได้ หากรีพีทเตอร์เชื่อมต่อกับพอร์ตใดพอร์ตหนึ่ง ก็ไม่มีเหตุผลที่จะรวมโหนดของเซ็กเมนต์ที่เกี่ยวข้องในเครือข่ายเสมือนที่แตกต่างกัน - การรับส่งข้อมูลจะยังคงเป็นเรื่องธรรมดา

วิธีนี้ไม่ต้องการการทำงานด้วยตนเองจำนวนมากจากผู้ดูแลระบบ - ก็เพียงพอที่จะกำหนดแต่ละพอร์ตให้กับเครือข่ายเสมือนที่มีชื่อล่วงหน้าเครือข่ายใดเครือข่ายหนึ่ง โดยทั่วไปการดำเนินการนี้จะดำเนินการโดยใช้โปรแกรมพิเศษที่มาพร้อมกับสวิตช์ ผู้ดูแลระบบสร้างเครือข่ายเสมือนโดยการลากสัญลักษณ์พอร์ตไปไว้บนสัญลักษณ์เครือข่าย

อีกวิธีหนึ่งในการสร้างเครือข่ายเสมือนขึ้นอยู่กับการจัดกลุ่มที่อยู่ MAC ที่อยู่ MAC แต่ละรายการที่สวิตช์รู้จักนั้นถูกกำหนดให้กับเครือข่ายเสมือนเฉพาะ หากมีโหนดจำนวนมากบนเครือข่าย ผู้ดูแลระบบจะต้องดำเนินการด้วยตนเองจำนวนมาก อย่างไรก็ตาม เมื่อสร้างเครือข่ายเสมือนโดยใช้สวิตช์หลายตัว วิธีการนี้จะมีความยืดหยุ่นมากกว่าการจัดกลุ่มพอร์ต

สร้าง VLAN ตามสวิตช์หลายตัว

รูปที่ 4 แสดงให้เห็นถึงสถานการณ์ที่เกิดขึ้นเมื่อสร้างเครือข่ายเสมือนโดยใช้สวิตช์หลายตัวผ่านการจัดกลุ่มพอร์ต หากโหนดของเครือข่ายเสมือนเชื่อมต่อกับสวิตช์ที่แตกต่างกัน จะต้องจัดสรรพอร์ตคู่ที่แยกจากกันเพื่อเชื่อมต่อสวิตช์ของแต่ละเครือข่ายดังกล่าว มิฉะนั้น ข้อมูลเกี่ยวกับการเป็นเจ้าของเฟรมในเครือข่ายเสมือนเฉพาะจะหายไปเมื่อส่งจากสวิตช์หนึ่งไปอีกสวิตช์หนึ่ง ดังนั้น วิธีการพอร์ต trunking ต้องใช้พอร์ตจำนวนมากในการเชื่อมต่อสวิตช์เนื่องจากมีเครือข่ายเสมือนที่รองรับ ส่งผลให้มีการใช้พอร์ตและสายเคเบิลอย่างสิ้นเปลือง นอกจากนี้ เพื่อจัดระเบียบการโต้ตอบของเครือข่ายเสมือนผ่านเราเตอร์ แต่ละเครือข่ายต้องใช้สายเคเบิลแยกกันและพอร์ตเราเตอร์แยกกัน ซึ่งทำให้มีค่าใช้จ่ายสูงอีกด้วย

การจัดกลุ่มที่อยู่ MAC ให้เป็นเครือข่ายเสมือนบนสวิตช์แต่ละตัวจะช่วยลดความจำเป็นในการเชื่อมต่อที่อยู่ MAC ผ่านพอร์ตต่างๆ เนื่องจากป้ายกำกับเครือข่ายเสมือนจะเป็นที่อยู่ MAC อย่างไรก็ตาม วิธีการนี้ต้องใช้การติดแท็กที่อยู่ MAC ด้วยตนเองจำนวนมากบนสวิตช์แต่ละตัวในเครือข่าย

ทั้งสองวิธีที่อธิบายไว้นั้นขึ้นอยู่กับการเพิ่มข้อมูลลงในตารางที่อยู่ของบริดจ์เท่านั้น และไม่รวมข้อมูลเกี่ยวกับสมาชิกของเฟรมในเครือข่ายเสมือนในเฟรมที่ส่ง วิธีอื่นใช้ที่มีอยู่หรือ ฟิลด์เพิ่มเติมเพื่อบันทึกข้อมูลเกี่ยวกับความเป็นเจ้าของเฟรมขณะเคลื่อนที่ระหว่างสวิตช์เครือข่าย นอกจากนี้ ไม่จำเป็นต้องจำในแต่ละสวิตช์ว่าเครือข่ายเสมือนใดเป็นเจ้าของที่อยู่ MAC ของเครือข่ายอินเทอร์เน็ต

ฟิลด์เพิ่มเติมที่ทำเครื่องหมายหมายเลขเครือข่ายเสมือนจะใช้เฉพาะเมื่อเฟรมถูกถ่ายโอนจากสวิตช์หนึ่งไปอีกสวิตช์หนึ่ง และเมื่อเฟรมถูกถ่ายโอนไปยังโหนดปลายสุด โดยปกติจะถูกลบออก ในกรณีนี้ โปรโตคอลการโต้ตอบแบบสลับเป็นสวิตช์ได้รับการแก้ไข ในขณะที่ซอฟต์แวร์และฮาร์ดแวร์ของโหนดปลายทางยังคงไม่เปลี่ยนแปลง มีตัวอย่างมากมายของโปรโตคอลที่เป็นกรรมสิทธิ์ดังกล่าว แต่มีข้อเสียเปรียบทั่วไปประการหนึ่ง - ไม่ได้รับการสนับสนุนจากผู้ผลิตรายอื่น Cisco ได้เสนอส่วนหัวโปรโตคอล 802.10 เป็นส่วนเสริมมาตรฐานสำหรับเฟรมของโปรโตคอลเครือข่ายท้องถิ่นใดๆ โดยมีวัตถุประสงค์เพื่อรองรับฟังก์ชันความปลอดภัย เครือข่ายคอมพิวเตอร์- บริษัทเองก็ใช้วิธีนี้ในกรณีที่สวิตช์เชื่อมต่อถึงกันโดยใช้โปรโตคอล FDDI อย่างไรก็ตาม โครงการริเริ่มนี้ไม่ได้รับการสนับสนุนจากผู้ผลิตสวิตช์ชั้นนำรายอื่นๆ

เพื่อจัดเก็บหมายเลขเครือข่ายเสมือนไว้ มาตรฐานอีอีอี 802.1Q มีส่วนหัวสองไบต์เพิ่มเติมที่ใช้ร่วมกับโปรโตคอล 802.1p นอกเหนือจากสามบิตสำหรับจัดเก็บค่าลำดับความสำคัญของเฟรม ตามที่อธิบายไว้ในมาตรฐาน 802.1p แล้ว ยังมี 12 บิตในส่วนหัวนี้เพื่อจัดเก็บหมายเลขของเครือข่ายเสมือนที่เฟรมนั้นอยู่ด้วย นี้ ข้อมูลเพิ่มเติมเรียกว่าแท็กเครือข่ายเสมือน (VLAN TAG) และอนุญาตให้สวิตช์จากผู้ผลิตหลายรายสร้างเครือข่ายเสมือนที่ใช้ร่วมกันได้มากถึง 4,096 เครือข่าย เฟรมดังกล่าวเรียกว่า "แท็ก" ความยาวของเฟรมอีเธอร์เน็ตที่ติดแท็กจะเพิ่มขึ้น 4 ไบต์ เนื่องจากนอกเหนือจากสองไบต์ของแท็กแล้ว ยังมีการเพิ่มไบต์อีกสองไบต์ด้วย โครงสร้างของเฟรมอีเธอร์เน็ตที่ติดแท็กจะแสดงในรูปที่ 5 ด้วยการเพิ่มส่วนหัว 802.1p/Q ช่องข้อมูลจะลดลงสองไบต์

รูปที่ 5. โครงสร้างของเฟรมอีเธอร์เน็ตที่ทำเครื่องหมายไว้

การเกิดขึ้นของมาตรฐาน 802.1Q ทำให้สามารถเอาชนะความแตกต่างในการใช้งาน VLAN ที่เป็นกรรมสิทธิ์ และบรรลุความเข้ากันได้เมื่อสร้างเครือข่ายท้องถิ่นเสมือน เทคนิค VLAN ได้รับการสนับสนุนโดยผู้ผลิตทั้งสวิตช์และอะแดปเตอร์เครือข่าย ในกรณีหลังนี้ อะแดปเตอร์เครือข่ายสามารถสร้างและรับการทำเครื่องหมายได้ เฟรมอีเธอร์เน็ตซึ่งมีฟิลด์ VLAN TAG หากอะแดปเตอร์เครือข่ายสร้างเฟรมที่ทำเครื่องหมายไว้ มันจะกำหนดว่าเป็นของเครือข่ายเฉพาะที่เสมือน ดังนั้นสวิตช์จะต้องประมวลผลเฟรมเหล่านั้นตามนั้น กล่าวคือ ส่งหรือไม่ส่งไปยังพอร์ตเอาต์พุต ขึ้นอยู่กับสมาชิกของพอร์ต โปรแกรมควบคุมอะแดปเตอร์เครือข่ายได้รับหมายเลขของเครือข่ายท้องถิ่นเสมือนจากผู้ดูแลระบบเครือข่าย (ผ่านการกำหนดค่าด้วยตนเอง) หรือจากแอปพลิเคชันบางตัวที่ทำงานบนโหนดนี้ แอปพลิเคชันดังกล่าวสามารถทำงานจากส่วนกลางบนเซิร์ฟเวอร์เครือข่ายตัวใดตัวหนึ่งและจัดการโครงสร้างของเครือข่ายทั้งหมดได้

สนับสนุนโดย เครือข่ายวีแลนอะแดปเตอร์สามารถหลีกเลี่ยงการกำหนดค่าแบบคงที่โดยการกำหนดพอร์ตให้กับเครือข่ายเสมือนเฉพาะ อย่างไรก็ตาม การกำหนดค่า VLAN แบบคงที่ยังคงได้รับความนิยม เนื่องจากช่วยให้คุณสร้างเครือข่ายที่มีโครงสร้างโดยไม่ต้องใช้ซอฟต์แวร์โหนดปลายสุด

Natalya Olifer เป็นคอลัมนิสต์ของ Journal of Network Solutions/LAN สามารถติดต่อเธอได้ที่:

อีเทอร์เน็ตเป็นอุปกรณ์ลิงก์เลเยอร์ ดังนั้นตามตรรกะการทำงาน อุปกรณ์จะส่งเฟรมการออกอากาศผ่านพอร์ตทั้งหมด แม้ว่าการรับส่งข้อมูลไปยังที่อยู่ที่ระบุ (การเชื่อมต่อแบบจุดต่อจุด) จะถูกแยกออกเป็นคู่พอร์ต แต่เฟรมการออกอากาศจะถูกส่งไปยังเครือข่ายทั้งหมด (ต่อพอร์ต) ภาพการออกอากาศ- เป็นเฟรมที่ส่งไปยังโหนดเครือข่ายทั้งหมด มีความจำเป็นต่อการทำงานของหลายๆ คน โปรโตคอลเครือข่ายเช่น ARP, BOOTP หรือ DHCP ด้วยความช่วยเหลือ เวิร์กสเตชันจะแจ้งคอมพิวเตอร์เครื่องอื่นเกี่ยวกับลักษณะที่ปรากฏบนเครือข่าย นอกจากนี้ การส่งเฟรมการออกอากาศอาจเกิดขึ้นได้เนื่องจากอะแดปเตอร์เครือข่ายทำงานไม่ถูกต้อง เฟรมการออกอากาศอาจทำให้เปลืองแบนด์วิธ โดยเฉพาะบนเครือข่ายขนาดใหญ่ เพื่อป้องกันไม่ให้สิ่งนี้เกิดขึ้น สิ่งสำคัญคือต้องจำกัดพื้นที่การรับส่งข้อมูล (บริเวณนี้เรียกว่า โดเมนการออกอากาศ) - จัดระเบียบเล็กๆ โดเมนการออกอากาศ, หรือ เครือข่ายท้องถิ่นเสมือน (Virtual LAN, VLAN).

เครือข่ายท้องถิ่นเสมือนเป็นกลุ่มโลจิคัลของโหนดเครือข่ายที่มีการรับส่งข้อมูล รวมถึงการรับส่งข้อมูลออกอากาศ จะถูกแยกออกจากโหนดเครือข่ายอื่นโดยสิ้นเชิงที่ระดับลิงก์ข้อมูล ซึ่งหมายความว่าเฟรมไม่สามารถส่งระหว่างเครือข่ายเสมือนที่แตกต่างกันตามที่อยู่ MAC โดยไม่คำนึงถึงประเภทของที่อยู่ - เฉพาะ มัลติคาสต์ หรือการออกอากาศ ในเวลาเดียวกัน ภายในเครือข่ายเสมือน เฟรมจะถูกส่งโดยใช้เทคโนโลยีสวิตชิ่ง นั่นคือ ไปยังพอร์ตที่เชื่อมโยงกับที่อยู่ปลายทางของเฟรมเท่านั้น ดังนั้นด้วยความช่วยเหลือของเครือข่ายเสมือน ปัญหาในการกระจายเฟรมการออกอากาศและผลที่ตามมาที่เกิดขึ้น ซึ่งสามารถพัฒนาเป็นพายุการออกอากาศและลดได้อย่างมาก ผลงานเครือข่าย

VLAN มีข้อดีดังต่อไปนี้:

ความยืดหยุ่นในการดำเนินการ VLAN คือ อย่างมีประสิทธิภาพกลุ่ม ผู้ใช้เครือข่ายเข้าสู่กลุ่มงานเสมือน แม้จะมีตำแหน่งทางกายภาพบนเครือข่ายก็ตาม
VLAN ให้ความสามารถในการควบคุม ข้อความออกอากาศซึ่งจะเพิ่มแบนด์วิธที่มีให้กับผู้ใช้
VLAN ช่วยให้คุณเพิ่มความปลอดภัยของเครือข่ายโดยการกำหนดนโยบายสำหรับการโต้ตอบระหว่างผู้ใช้จากเครือข่ายเสมือนที่แตกต่างกันโดยใช้ตัวกรองที่กำหนดค่าบนสวิตช์หรือเราเตอร์

ลองพิจารณาตัวอย่างที่แสดงประสิทธิภาพของการใช้การแบ่งส่วนเครือข่ายแบบลอจิคัลโดยใช้เทคโนโลยี VLAN ในการแก้ปัญหา งานทั่วไปจัดให้มีการเข้าถึงอินเทอร์เน็ตสำหรับพนักงานสำนักงาน ในขณะเดียวกันก็ต้องแยกการจราจรของแต่ละแผนกด้วย

สมมติว่าสำนักงานมีหลายห้อง ซึ่งแต่ละห้องมีพนักงานจำนวนไม่มาก แต่ละห้องเป็นตัวแทนกลุ่มงานแยกกัน

ที่ แนวทางมาตรฐานในการแก้ปัญหาโดยใช้การแบ่งส่วนทางกายภาพของการรับส่งข้อมูลของแต่ละแผนก จำเป็นต้องติดตั้งสวิตช์แยกต่างหากในแต่ละห้อง ซึ่งจะเชื่อมต่อกับเราเตอร์ที่ให้บริการอินเทอร์เน็ต ในกรณีนี้เราเตอร์ต้องมีจำนวนพอร์ตเพียงพอเพื่อให้แน่ใจว่าสามารถเชื่อมต่อทั้งหมดได้ ส่วนทางกายภาพ(ห้อง) เครือข่าย การตัดสินใจครั้งนี้ปรับขนาดได้ไม่ดีและมีราคาแพงเพราะว่า เมื่อจำนวนแผนกเพิ่มขึ้น จำนวนสวิตช์ อินเทอร์เฟซเราเตอร์ และสายเคเบิลแบ็คโบนที่จำเป็นก็เพิ่มขึ้น

นอกเหนือจากวัตถุประสงค์หลัก - เพิ่มปริมาณงานของการเชื่อมต่อบนเครือข่าย - สวิตช์ยังช่วยให้คุณแปลกระแสข้อมูลรวมถึงควบคุมและจัดการโฟลว์เหล่านี้โดยใช้กลไกตัวกรองแบบกำหนดเอง อย่างไรก็ตาม ตัวกรองแบบกำหนดเองสามารถป้องกันการส่งเฟรมไปยังที่อยู่ที่ระบุเท่านั้น ในขณะที่กรองการรับส่งข้อมูลการออกอากาศไปยังส่วนเครือข่ายทั้งหมด นี่คือหลักการทำงานของอัลกอริธึมบริดจ์ที่ใช้ในสวิตช์ ซึ่งเป็นเหตุผลว่าทำไมเครือข่ายที่สร้างขึ้นบนพื้นฐานของบริดจ์และสวิตช์บางครั้งจึงเรียกว่าแบน - เนื่องจากไม่มีอุปสรรคในการออกอากาศการรับส่งข้อมูล

เครือข่ายเสมือนสามารถทับซ้อนกันได้หากมีคอมพิวเตอร์อย่างน้อยหนึ่งเครื่องรวมอยู่ในเครือข่ายเสมือนมากกว่าหนึ่งเครือข่าย ในรูปที่ 1 เซิร์ฟเวอร์อีเมลเป็นส่วนหนึ่งของเครือข่ายเสมือน 3 และ 4 ดังนั้นเฟรมจึงถูกส่งโดยสวิตช์ไปยังคอมพิวเตอร์ทุกเครื่องบนเครือข่ายเหล่านี้ หากคอมพิวเตอร์ถูกกำหนดให้กับเครือข่ายเสมือน 3 เท่านั้นเฟรมจะไม่สามารถเข้าถึงเครือข่าย 4 แต่สามารถโต้ตอบกับคอมพิวเตอร์บนเครือข่าย 4 ผ่านเมลเซิร์ฟเวอร์ทั่วไปได้ โครงการนี้ไม่ได้แยกเครือข่ายเสมือนออกจากกันโดยสิ้นเชิง - ตัวอย่างเช่น พายุการออกอากาศที่เริ่มต้นโดยเซิร์ฟเวอร์อีเมลจะครอบงำทั้งเครือข่าย 3 และเครือข่าย 4

การมอบหมาย VLAN

การเปลี่ยนองค์ประกอบของเซ็กเมนต์ (ผู้ใช้ที่ย้ายไปยังเครือข่ายอื่นแยกส่วนขนาดใหญ่) ด้วยวิธีนี้โดยนัยถึงการเชื่อมต่อทางกายภาพของตัวเชื่อมต่อที่แผงด้านหน้าของตัวทำซ้ำหรือในแผงครอสโอเวอร์ซึ่งไม่สะดวกมากในเครือข่ายขนาดใหญ่ - นี่เป็นงานที่ลำบากมาก -งานเข้มข้น โอกาสผิดพลาดมีสูงมาก ดังนั้น เพื่อขจัดความจำเป็นในการสลับโหนดใหม่ทางกายภาพ จึงเริ่มใช้ตัวรวมศูนย์แบบหลายส่วน เพื่อให้สามารถตั้งโปรแกรมองค์ประกอบของส่วนที่ใช้ร่วมกันได้โดยไม่ต้องทำการสลับใหม่ทางกายภาพ

อย่างไรก็ตาม การเปลี่ยนองค์ประกอบของเซ็กเมนต์โดยใช้ฮับทำให้เกิดข้อ จำกัด อย่างมากในโครงสร้างเครือข่าย - จำนวนเซ็กเมนต์ของทวนสัญญาณดังกล่าวมักจะมีขนาดเล็ก และการจัดสรรแต่ละโหนดของตัวเองนั้นไม่สมจริงเนื่องจากสามารถทำได้โดยใช้สวิตช์ นอกจากนี้ ด้วยแนวทางนี้ งานทั้งหมดในการถ่ายโอนข้อมูลระหว่างส่วนต่างๆ จะตกอยู่ที่เราเตอร์ และสวิตช์ที่มีประสิทธิภาพสูงจะยังคง “ไม่ทำงาน” ดังนั้น เครือข่ายที่ใช้ทวนสัญญาณแบบสวิตช์การกำหนดค่ายังคงเกี่ยวข้องกับการแบ่งปันสื่อการรับส่งข้อมูลโดยโหนดจำนวนมาก ดังนั้นจึงมีประสิทธิภาพต่ำกว่ามากเมื่อเทียบกับเครือข่ายที่ใช้สวิตช์

เพิ่มประสิทธิภาพในแต่ละเครือข่ายเสมือน เนื่องจากสวิตช์ส่งเฟรมไปยังโหนดปลายทางเท่านั้น
การแยกเครือข่ายออกจากกันเพื่อจัดการสิทธิ์การเข้าถึงของผู้ใช้และสร้างอุปสรรคในการป้องกันพายุการออกอากาศ

การรวมเครือข่ายเสมือนเข้ากับเครือข่ายทั่วไปจะดำเนินการในระดับเครือข่าย การเปลี่ยนแปลงสามารถทำได้โดยใช้เราเตอร์หรือซอฟต์แวร์สวิตช์แยกต่างหาก หลังในกรณีนี้จะกลายเป็นอุปกรณ์รวม - สวิตช์ระดับที่สามที่เรียกว่า

เนื่องจากขาดมาตรฐาน VLAN มาเป็นเวลานาน บริษัทรายใหญ่แต่ละแห่งที่ผลิตสวิตช์จึงได้พัฒนาเทคโนโลยีเครือข่ายเสมือนของตนเอง ซึ่งตามกฎแล้วเข้ากันไม่ได้กับเทคโนโลยีจากผู้ผลิตรายอื่น ดังนั้นแม้จะมีการเกิดขึ้นของมาตรฐาน แต่ก็ไม่ใช่เรื่องยากนักที่จะเผชิญกับสถานการณ์ที่เครือข่ายเสมือนที่สร้างขึ้นบนพื้นฐานของสวิตช์จากผู้ขายรายหนึ่งไม่ได้รับการยอมรับและดังนั้นจึงไม่ได้รับการสนับสนุนจากสวิตช์จากที่อื่น

สร้าง VLAN โดยใช้สวิตช์ตัวเดียว

การจัดกลุ่มพอร์ตของสวิตช์ตัวเดียวเป็นวิธีที่สมเหตุสมผลที่สุดในการสร้าง VLAN เนื่องจากในกรณีนี้จะไม่มีเครือข่ายเสมือนมากไปกว่าพอร์ต หากรีพีทเตอร์เชื่อมต่อกับพอร์ตใดพอร์ตหนึ่ง ก็ไม่มีเหตุผลที่จะรวมโหนดของเซ็กเมนต์ที่เกี่ยวข้องในเครือข่ายเสมือนที่แตกต่างกัน - การรับส่งข้อมูลจะยังคงเป็นเรื่องธรรมดา

สร้าง VLAN ตามสวิตช์หลายตัว

ทั้งสองวิธีที่อธิบายไว้นั้นขึ้นอยู่กับการเพิ่มข้อมูลลงในตารางที่อยู่ของบริดจ์เท่านั้น และไม่รวมข้อมูลเกี่ยวกับสมาชิกของเฟรมในเครือข่ายเสมือนในเฟรมที่ส่ง วิธีอื่นๆ ใช้ฟิลด์เฟรมที่มีอยู่หรือเพิ่มเติมเพื่อบันทึกข้อมูลการเป็นเจ้าของเฟรมขณะเคลื่อนที่ระหว่างสวิตช์เครือข่าย นอกจากนี้ ไม่จำเป็นต้องจำในแต่ละสวิตช์ว่าเครือข่ายเสมือนใดเป็นเจ้าของที่อยู่ MAC ของเครือข่ายอินเทอร์เน็ต

ฟิลด์เพิ่มเติมที่ทำเครื่องหมายหมายเลขเครือข่ายเสมือนจะใช้เฉพาะเมื่อเฟรมถูกถ่ายโอนจากสวิตช์หนึ่งไปอีกสวิตช์หนึ่ง และเมื่อเฟรมถูกถ่ายโอนไปยังโหนดปลายสุด โดยปกติจะถูกลบออก ในกรณีนี้ โปรโตคอลการโต้ตอบแบบสลับเป็นสวิตช์ได้รับการแก้ไข ในขณะที่ซอฟต์แวร์และฮาร์ดแวร์ของโหนดปลายทางยังคงไม่เปลี่ยนแปลง มีตัวอย่างมากมายของโปรโตคอลที่เป็นกรรมสิทธิ์ดังกล่าว แต่มีข้อเสียเปรียบทั่วไปประการหนึ่ง - ไม่ได้รับการสนับสนุนจากผู้ผลิตรายอื่น Cisco ได้เสนอส่วนหัวโปรโตคอล 802.10 เป็นส่วนเสริมมาตรฐานสำหรับเฟรมของโปรโตคอลเครือข่ายท้องถิ่นใดๆ โดยมีวัตถุประสงค์เพื่อรองรับฟังก์ชันความปลอดภัยของเครือข่ายคอมพิวเตอร์ บริษัทเองก็ใช้วิธีนี้ในกรณีที่สวิตช์เชื่อมต่อถึงกันโดยใช้โปรโตคอล FDDI อย่างไรก็ตาม โครงการริเริ่มนี้ไม่ได้รับการสนับสนุนจากผู้ผลิตสวิตช์ชั้นนำรายอื่นๆ

ในการจัดเก็บหมายเลขเครือข่ายเสมือน มาตรฐาน IEEE 802.1Q จัดให้มีส่วนหัวขนาด 2 ไบต์เพิ่มเติม ซึ่งใช้ร่วมกับโปรโตคอล 802.1p นอกเหนือจากสามบิตสำหรับจัดเก็บค่าลำดับความสำคัญของเฟรม ตามที่อธิบายไว้ในมาตรฐาน 802.1p แล้ว ยังมี 12 บิตในส่วนหัวนี้เพื่อจัดเก็บหมายเลขของเครือข่ายเสมือนที่เฟรมนั้นอยู่ด้วย ข้อมูลเพิ่มเติมนี้เรียกว่าแท็กเครือข่ายเสมือน (VLAN TAG) และอนุญาตให้สวิตช์จากผู้ผลิตหลายรายสามารถสร้างเครือข่ายเสมือนที่ใช้ร่วมกันได้มากถึง 4,096 เครือข่าย เฟรมดังกล่าวเรียกว่า "แท็ก" ความยาวของเฟรมอีเธอร์เน็ตที่ติดแท็กจะเพิ่มขึ้น 4 ไบต์ เนื่องจากนอกเหนือจากสองไบต์ของแท็กแล้ว ยังมีการเพิ่มไบต์อีกสองไบต์ด้วย โครงสร้างของเฟรมอีเธอร์เน็ตที่ติดแท็กจะแสดงในรูปที่ 5 ด้วยการเพิ่มส่วนหัว 802.1p/Q ช่องข้อมูลจะลดลงสองไบต์

รูปที่ 5. โครงสร้างของเฟรมอีเธอร์เน็ตที่ทำเครื่องหมายไว้

การเกิดขึ้นของมาตรฐาน 802.1Q ทำให้สามารถเอาชนะความแตกต่างในการใช้งาน VLAN ที่เป็นกรรมสิทธิ์ และบรรลุความเข้ากันได้เมื่อสร้างเครือข่ายท้องถิ่นเสมือน เทคนิค VLAN ได้รับการสนับสนุนโดยผู้ผลิตทั้งสวิตช์และอะแดปเตอร์เครือข่าย ในกรณีหลัง อะแดปเตอร์เครือข่ายสามารถสร้างและรับเฟรมอีเทอร์เน็ตที่แท็กซึ่งมีฟิลด์ VLAN TAG หากอะแดปเตอร์เครือข่ายสร้างเฟรมที่ทำเครื่องหมายไว้ มันจะกำหนดว่าเป็นของเครือข่ายเฉพาะที่เสมือน ดังนั้นสวิตช์จะต้องประมวลผลเฟรมเหล่านั้นตามนั้น กล่าวคือ ส่งหรือไม่ส่งไปยังพอร์ตเอาต์พุต ขึ้นอยู่กับสมาชิกของพอร์ต โปรแกรมควบคุมอะแดปเตอร์เครือข่ายได้รับหมายเลขของเครือข่ายท้องถิ่นเสมือนจากผู้ดูแลระบบเครือข่าย (ผ่านการกำหนดค่าด้วยตนเอง) หรือจากแอปพลิเคชันบางตัวที่ทำงานบนโหนดนี้ แอปพลิเคชันดังกล่าวสามารถทำงานจากส่วนกลางบนเซิร์ฟเวอร์เครือข่ายตัวใดตัวหนึ่งและจัดการโครงสร้างของเครือข่ายทั้งหมดได้

รองรับ VLAN อะแดปเตอร์เครือข่ายคุณสามารถหลีกเลี่ยงการกำหนดค่าแบบคงที่ได้โดยการกำหนดพอร์ตให้กับเครือข่ายเสมือนเฉพาะ อย่างไรก็ตาม การกำหนดค่า VLAN แบบคงที่ยังคงได้รับความนิยม เนื่องจากช่วยให้คุณสร้างเครือข่ายที่มีโครงสร้างโดยไม่ต้องใช้ซอฟต์แวร์โหนดปลายสุด

Natalya Olifer เป็นคอลัมนิสต์ของ Journal of Network Solutions/LAN สามารถติดต่อเธอได้ที่: