เครือข่ายท้องถิ่นเสมือน (VLAN) มาดูตัวเลือกในการสร้าง VPN กัน VPN บน iPhone คืออะไร

เครือข่ายเสมือนเป็นเครือข่ายแบบสวิตช์ที่ถูกแบ่งส่วนตามตรรกะตามฟังก์ชันที่ดำเนินการ แอปพลิเคชันที่ใช้ หรือตามความเกี่ยวข้องของผู้ใช้กับแผนกเฉพาะ โดยไม่คำนึงถึง ที่ตั้งทางกายภาพคอมพิวเตอร์ของพวกเขา แต่ละพอร์ตสวิตช์สามารถรวมอยู่ในเครือข่ายเสมือนได้ พอร์ตทั้งหมดที่รวมอยู่ในเครือข่ายเสมือนเดียวกันจะยอมรับ ข้อความออกอากาศภายในขอบเขต ในขณะที่พอร์ตที่ไม่รวมอยู่ในนั้นจะไม่ได้รับข้อความเหล่านี้ มีสามวิธีในการใช้เครือข่ายเสมือนที่สามารถใช้เพื่อรวมพอร์ตสวิตช์ในเครือข่ายเสมือน: พอร์ตกลาง สแตติก และไดนามิก

เครือข่ายเสมือนแบบคงที่ (VLAN แบบคงที่)คือชุดของพอร์ตสวิตช์ที่รวมกันแบบคงที่ในเครือข่ายเสมือน พอร์ตเหล่านี้จะรักษาการกำหนดค่าที่กำหนดไว้จนกว่าผู้ดูแลระบบจะเปลี่ยนแปลง แม้ว่าเครือข่ายเสมือนแบบคงที่จำเป็นต้องมีการแทรกแซงของผู้ดูแลระบบเพื่อทำการเปลี่ยนแปลง แต่ข้อดีของเครือข่ายเหล่านั้นก็รวมถึง ระดับสูงความปลอดภัย ความง่ายในการกำหนดค่า และความสามารถในการตรวจสอบการทำงานของเครือข่ายโดยตรง

เครือข่ายเสมือนแบบไดนามิก (VLAN แบบไดนามิก)แสดงถึงการผสมผสานเชิงตรรกะของพอร์ตสวิตช์ที่สามารถระบุตำแหน่งได้โดยอัตโนมัติ เครือข่ายเสมือน- การทำงานของเครือข่ายเสมือนแบบไดนามิกจะขึ้นอยู่กับที่อยู่ MAC, การกำหนดที่อยู่แบบลอจิคัล หรือประเภทโปรโตคอลของแพ็กเก็ตข้อมูล ข้อได้เปรียบหลักของแนวทางนี้คือการลดปริมาณงานเมื่อเพิ่มผู้ใช้ใหม่หรือย้ายผู้ใช้ที่มีอยู่และการแจ้งเตือนแบบรวมศูนย์ของผู้ใช้ทั้งหมดเมื่อมีการเพิ่มผู้ใช้ที่ไม่ระบุชื่อในเครือข่าย งานหลักที่นี่คือการติดตั้งฐานข้อมูลในซอฟต์แวร์การจัดการเครือข่ายเสมือนและอัปเดตให้ทันสมัยอยู่เสมอ

เครือข่ายเสมือนพร้อมการจัดกลุ่มพอร์ต (VLAN แบบพอร์ต)

ในกรณีนี้ ผู้ดูแลระบบจะกำหนดพอร์ตสวิตช์แต่ละพอร์ตให้เป็นของ VLAN ตัวอย่างเช่น สามารถกำหนดพอร์ต 1-3 ให้กับ VLAN การขาย, พอร์ต 4-6 ให้กับ VLAN การพัฒนา และพอร์ต 7-9 ให้กับ VLAN การบริหารเครือข่าย- สวิตช์จะกำหนดว่าแต่ละแพ็กเก็ตเป็นของ VLAN ใดโดยพิจารณาจากพอร์ตที่มาถึง

เมื่อคอมพิวเตอร์ของผู้ใช้เชื่อมต่อกับพอร์ตสวิตช์อื่น ผู้ดูแลระบบเครือข่ายก็สามารถมอบหมายใหม่ได้ พอร์ตใหม่สำหรับ VLAN เก่าที่ผู้ใช้อยู่ ในกรณีนี้ การเปลี่ยนแปลงเครือข่ายมีความโปร่งใสต่อผู้ใช้โดยสมบูรณ์ และผู้ดูแลระบบไม่จำเป็นต้องเปลี่ยนโทโพโลยีเครือข่าย อย่างไรก็ตาม วิธีการนี้มีอยู่วิธีหนึ่ง ข้อเสียเปรียบที่สำคัญหากฮับเชื่อมต่อกับพอร์ตสวิตช์ ผู้ใช้ทั้งหมดที่เชื่อมต่อจะต้องอยู่ใน VLAN เดียวกัน

ดังนั้นโซลูชันนี้จึงไม่เหมาะสมเมื่อใช้ฮับหรือในเครือข่ายที่มีเซิร์ฟเวอร์ที่มีประสิทธิภาพซึ่งเข้าถึงโดยผู้ใช้จำนวนมาก (เซิร์ฟเวอร์ไม่สามารถรวมไว้ใน VLAN ที่แตกต่างกันได้) นอกจากนี้ เครือข่ายเสมือนที่ใช้พอร์ตไม่อนุญาตให้ทำการเปลี่ยนแปลงเครือข่ายได้เพียงพอ ด้วยวิธีง่ายๆเนื่องจากการเปลี่ยนแปลงแต่ละครั้งจำเป็นต้องมีการสลับอุปกรณ์ทางกายภาพ

ในเครือข่ายเสมือนที่มีการเชื่อมต่อพอร์ต โฮสต์ทั้งหมดในเครือข่ายเสมือนจะเชื่อมต่อกับอินเทอร์เฟซเราเตอร์เดียวกัน รูปภาพนี้แสดงกลุ่มผู้ใช้เครือข่ายเสมือนที่เชื่อมต่อกับพอร์ตเราเตอร์ การเชื่อมต่อนี้ทำให้ผู้ดูแลระบบทำงานได้ง่ายขึ้นและเพิ่มประสิทธิภาพเครือข่ายเนื่องจาก:

1) การดำเนินการด้านการดูแลระบบทำได้ง่ายในเครือข่ายเสมือน
2) ความปลอดภัยเพิ่มขึ้นเมื่อแลกเปลี่ยนข้อมูลระหว่างเครือข่ายเสมือน แพ็กเก็ตจะไม่รั่วไหลไปยังโดเมนอื่น

ในกรณีที่ง่ายที่สุดคืออุปกรณ์ที่มีเพียงเครื่องเดียว อินเตอร์เฟซเครือข่ายสามารถรวมไว้ใน VLAN เดียวเท่านั้น เพื่อเปิดใช้งาน อุปกรณ์เครือข่ายในหลาย VLAN จะต้องมีอะแดปเตอร์เครือข่ายหลายตัว

มาตรฐาน IEEE 802.1Q ซึ่งเป็นส่วนหนึ่งของข้อกำหนด VLAN ที่ใช้พอร์ต จัดให้มีการโต้ตอบกับอุปกรณ์ที่ไม่รองรับการห่อหุ้ม 802.1q ตามข้อกำหนดนี้ แต่ละประเภทเฟรมจะถูกกำหนดให้กับ VLAN ที่แตกต่างกัน ในตอนแรก พอร์ตสวิตช์ทั้งหมดเป็นของ VLAN พร้อมด้วยพอร์ตตัวระบุเครือข่าย VLAN ID (PVID)

PVID มีค่าตัวเลข ค่าเริ่มต้นคือ 1 เฟรมทั้งหมดที่ไม่มีแท็ก VLAN และที่สร้างขึ้นโดยอุปกรณ์ที่ไม่ใช่ VLAN จะถูกระบุว่าเป็นของ VLAN ที่มี PVID หากเฟรมถูกสร้างขึ้นโดยอุปกรณ์ที่รองรับ VLAN เฟรมนั้นก็จะมีแท็ก VLAN ที่เกี่ยวข้อง ซึ่งมี VLAN ID (VID) พอร์ตสวิตช์แต่ละพอร์ตสามารถมี VID ได้ตั้งแต่หนึ่งรายการขึ้นไป เมื่อเฟรมมาถึงพอร์ตสวิตช์ เฟรมนั้นจะถูกระบุด้วย VID สวิตช์จะค้นหาตาราง VLAN และส่งต่อเฟรมไปยังพอร์ตที่มี VID เดียวกัน

ในตัวอย่างในรูป เฟรมที่ไม่ติดแท็กที่มาจากอุปกรณ์บนพอร์ต 0 จะถูกระบุว่าเป็นของ VLAN ที่มี PVID=1 และส่งต่อไปยังพอร์ต 1 ซึ่งมี PVID เดียวกัน หากเฟรมที่มี VID=2 มาจากอุปกรณ์บนพอร์ต 1 เฟรมนั้นจะถูกส่งไปยังพอร์ต 0 และ 3

เครือข่ายเสมือนที่ใช้ ที่อยู่ MACก (VLAN ตามที่อยู่ MAC)

ขึ้นอยู่กับที่อยู่ MAC (VLAN ตามที่อยู่ MAC) - ในกรณีนี้ ไม่ว่าแพ็กเก็ตจะเป็นของ VLAN จะถูกกำหนดโดยที่อยู่ MAC ของต้นทางหรือปลายทาง สวิตช์แต่ละตัวจะรักษาตารางที่อยู่ MAC และความสัมพันธ์กับ VLAN ข้อได้เปรียบที่สำคัญวิธีนี้คือไม่จำเป็นต้องกำหนดค่าสวิตช์ใหม่เมื่อผู้ใช้เชื่อมต่อใหม่ พอร์ตต่างๆ- อย่างไรก็ตาม การกำหนดที่อยู่ MAC ให้กับ VLAN อาจใช้เวลานาน และการกำหนดที่อยู่ MAC แต่ละรายการให้กับ VLAN หลายรายการอาจใช้เวลานาน ไม่ใช่งานง่าย- นี่อาจเป็นข้อจำกัดที่สำคัญในการแชร์ทรัพยากรเซิร์ฟเวอร์ผ่าน VLAN หลายตัว (แม้ว่าในทางทฤษฎีแล้วที่อยู่ MAC สามารถกำหนดให้กับ VLAN หลายตัวได้ แต่นี่อาจทำให้เกิด ปัญหาร้ายแรงด้วยการกำหนดเส้นทางที่มีอยู่และข้อผิดพลาดที่เกี่ยวข้องกับตารางการส่งต่อแพ็กเก็ตในสวิตช์)

ตามกฎแล้ว ในการสร้างเครือข่ายดังกล่าว ผู้ผลิตอุปกรณ์จะจัดให้มีผู้จัดการ ซอฟต์แวร์สำหรับการจัดการเครือข่าย

การโต้ตอบระหว่าง VLAN สามารถทำได้ 2 วิธี ในตอนแรก จะต้องติดตั้งอะแดปเตอร์เครือข่ายเพิ่มเติมในอุปกรณ์และเชื่อมโยงกับเครือข่ายอื่น วิธีการนี้ไม่สามารถยอมรับได้เมื่อมีอุปกรณ์จำนวนมากรวมอยู่ใน VLAN หลายตัว ในกรณีที่สอง เราเตอร์จะใช้ในการเชื่อมต่อเครือข่าย อย่างไรก็ตาม มีข้อจำกัดในกรณีนี้ เราเตอร์จะต้องมีพอร์ตแยกต่างหากสำหรับแต่ละ VLAN อย่างไรก็ตาม เป็นไปไม่ได้ที่จะรวมเครือข่ายไว้ในเซ็กเมนต์เดียว เนื่องจากเราเตอร์ทำงานที่เลเยอร์ 3 ของรุ่น OSI

เครือข่ายเลเยอร์เครือข่ายเสมือน

เมื่อใช้แนวทางอื่นสวิตช์ก็ต้องเข้าใจบ้าง โปรโตคอลเครือข่าย- สวิตช์ดังกล่าวเรียกว่าสวิตช์เลเยอร์ 3 เนื่องจากมีการรวมฟังก์ชันการสลับและการกำหนดเส้นทางเข้าด้วยกัน เครือข่ายเสมือนแต่ละเครือข่ายได้รับที่อยู่เครือข่ายเฉพาะ - โดยปกติจะเป็น IP หรือ IPX

การบูรณาการการสลับและการกำหนดเส้นทางอย่างแน่นหนานั้นสะดวกมากสำหรับการสร้างเครือข่ายเสมือน เนื่องจากในกรณีนี้ไม่จำเป็นต้องเพิ่มฟิลด์เพิ่มเติมลงในเฟรม นอกจากนี้ ผู้ดูแลระบบจะกำหนดเครือข่ายเพียงครั้งเดียว และจะไม่ทำซ้ำในระดับดาต้าลิงค์และระดับเครือข่าย ในกรณีนี้ มีการระบุความเป็นสมาชิกของโหนดปลายทางในเครือข่ายเสมือนเฉพาะ วิธีดั้งเดิม- โดยการตั้งค่าที่อยู่เครือข่าย พอร์ตสวิตช์ยังได้รับที่อยู่เครือข่าย และสามารถรองรับสถานการณ์ที่ไม่ได้มาตรฐานสำหรับเราเตอร์แบบคลาสสิกได้ เมื่อพอร์ตหนึ่งสามารถมีได้หลายพอร์ต ที่อยู่เครือข่ายหากการรับส่งข้อมูลจากเครือข่ายเสมือนหลายเครือข่ายผ่านเข้ามา หรือหลายพอร์ตมีที่อยู่เครือข่ายเดียวกัน หากให้บริการในเครือข่ายเสมือนเดียวกัน

เมื่อส่งเฟรมภายในเครือข่ายเสมือนเดียวกัน สวิตช์เลเยอร์ 3 จะทำงานเหมือนกับสวิตช์เลเยอร์ 2 แบบคลาสสิก และเมื่อจำเป็นต้องถ่ายโอนเฟรมจากเครือข่ายเสมือนหนึ่งไปยังอีกเครือข่ายหนึ่ง สวิตช์เหล่านี้จะทำหน้าที่เหมือนเราเตอร์ การตัดสินใจกำหนดเส้นทางมักจะทำในวิธีดั้งเดิม - จะทำโดยโหนดปลายทางเมื่อเห็นว่าเฟรมจำเป็นต้องส่งไปยังเครือข่ายอื่น โดยขึ้นอยู่กับที่อยู่เครือข่ายต้นทางและปลายทาง

อย่างไรก็ตาม การใช้โปรโตคอลเครือข่ายเพื่อสร้างเครือข่ายเสมือนจะจำกัดขอบเขตการใช้งานเฉพาะสวิตช์และโหนดเลเยอร์ 3 ที่รองรับโปรโตคอลเครือข่ายเท่านั้น สวิตช์ปกติจะไม่สามารถรองรับเครือข่ายเสมือนดังกล่าวได้และนี่คือ ข้อเสียเปรียบใหญ่- เครือข่ายที่ใช้โปรโตคอลที่ไม่สามารถกำหนดเส้นทางได้ ซึ่งส่วนใหญ่เป็นเครือข่าย NetBIOS ก็จะถูกทิ้งไว้ข้างหลังเช่นกัน

ภายใน VLAN เหล่านี้ มีการสร้างความแตกต่างระหว่างเครือข่ายย่อยตามโปรโตคอล และเครือข่ายตามกฎ

เครือข่ายเสมือนบนซับเน็ต

ตัวอย่างขององค์กร VLAN ดังกล่าวคือเครือข่ายที่มีเครือข่ายย่อยหนึ่งเครือข่าย เช่น คลาส C ที่มีที่อยู่ 198.78.55.0/24 สอดคล้องกับหนึ่ง VLAN เครือข่ายย่อย C ที่สอง 198.78.42.0/24 สอดคล้องกับ VLAN ที่สอง

ตำหนิ วิธีนี้คือถ้าสวิตช์ไม่รองรับเครือข่ายย่อย IP หลายรายการบนพอร์ตเดียว การย้ายไปยัง VLAN อื่นจำเป็นต้องมีการสลับเวิร์กสเตชันทางกายภาพ

เครือข่ายเสมือนที่ใช้โปรโตคอลเครือข่าย

เสมือน เครือข่ายแลนเลเยอร์ช่วยให้ผู้ดูแลระบบผูกการรับส่งข้อมูลสำหรับโปรโตคอลเฉพาะในเครือข่ายเสมือนที่เกี่ยวข้อง โดเมนการออกอากาศถูกสร้างขึ้นในเครือข่ายที่ใช้เราเตอร์ในลักษณะเดียวกันทุกประการ สามารถระบุโปรโตคอลในรูปแบบของเครือข่ายย่อย IP หรือหมายเลขเครือข่าย IPX ตัวอย่างเช่น คุณสามารถรวมผู้ใช้ทั้งหมดของซับเน็ตที่ถูกจัดระเบียบก่อนที่จะใช้สวิตช์เป็น LAN เสมือนได้

ตัวอย่างคือเครือข่ายที่อุปกรณ์ที่รองรับเฉพาะโปรโตคอล IP อยู่ใน VLAN เดียว อุปกรณ์ที่รองรับเฉพาะโปรโตคอล IPX จะอยู่ใน VLAN ที่สอง และโปรโตคอลทั้งสองอยู่ในทั้งสองเครือข่าย

เครือข่ายเสมือนตามกฎ

หากต้องการรวมอุปกรณ์ไว้ใน LAN เสมือน คุณสามารถใช้วิธีการทั้งหมดที่ระบุไว้ข้างต้นได้ โดยที่สวิตช์รองรับ เมื่อโหลดกฎลงในสวิตช์ทั้งหมดแล้ว กฎก็จะจัดเตรียมไว้ให้ องค์กรวีแลนตามเกณฑ์ที่ผู้ดูแลระบบกำหนด เนื่องจากในเฟรมเครือข่ายดังกล่าวได้รับการตรวจสอบอย่างต่อเนื่องเพื่อให้เป็นไปตามเกณฑ์ที่ระบุ ความเป็นสมาชิกของผู้ใช้ในเครือข่ายเสมือนสามารถเปลี่ยนแปลงได้ขึ้นอยู่กับกิจกรรมปัจจุบันของผู้ใช้

VLAN ตามกฎใช้เกณฑ์สมาชิกเครือข่ายที่หลากหลาย รวมถึงตัวเลือกทั้งหมดที่ระบุไว้ข้างต้น: ที่อยู่ MAC, ที่อยู่เลเยอร์เครือข่าย, ประเภทโปรโตคอล ฯลฯ คุณยังสามารถใช้เกณฑ์ต่างๆ ร่วมกันเพื่อสร้างกฎที่ตรงกับความต้องการของคุณมากที่สุดได้

เครือข่ายท้องถิ่นเสมือน (VLAN) คือกลุ่มของโหนดเครือข่ายที่มีการรับส่งข้อมูล รวมถึงการรับส่งข้อมูลออกอากาศ จะถูกแยกออกจากการรับส่งข้อมูลของโหนดเครือข่ายอื่นโดยสิ้นเชิงที่ระดับลิงก์

ข้าว. 14.10. เสมือน เครือข่ายท้องถิ่น.

ซึ่งหมายความว่าเฟรมจะถูกถ่ายโอนระหว่างเครือข่ายเสมือนที่แตกต่างกันตามที่อยู่ เลเยอร์ลิงก์ไม่สามารถทำได้โดยไม่คำนึงถึงประเภทที่อยู่ (ไม่ซ้ำกัน มัลติคาสต์ หรือการออกอากาศ) ในเวลาเดียวกัน ภายในเครือข่ายเสมือน เฟรมจะถูกส่งโดยใช้เทคโนโลยีสวิตชิ่ง จากนั้นไปยังพอร์ตที่เชื่อมโยงกับที่อยู่ปลายทางของเฟรมเท่านั้น

VLAN สามารถทับซ้อนกันได้หากคอมพิวเตอร์ตั้งแต่หนึ่งเครื่องขึ้นไปเป็นส่วนหนึ่งของ VLAN มากกว่าหนึ่งเครื่อง ในรูป 14.10 เซิร์ฟเวอร์อีเมลเป็นส่วนหนึ่งของเครือข่ายเสมือน 3 และ 4 ซึ่งหมายความว่าเฟรมจะถูกส่งโดยสวิตช์ไปยังคอมพิวเตอร์ทุกเครื่องที่รวมอยู่ในเครือข่ายเหล่านี้ หากคอมพิวเตอร์เป็นส่วนหนึ่งของเครือข่ายเสมือน 3 เท่านั้น เฟรมจะไม่เข้าถึงเครือข่าย 4 แต่สามารถโต้ตอบกับคอมพิวเตอร์บนเครือข่าย 4 ผ่านเมลเซิร์ฟเวอร์ทั่วไปได้ โครงการนี้ไม่ได้ป้องกันเครือข่ายเสมือนจากกันและกันอย่างสมบูรณ์ ตัวอย่างเช่น Broadcast Storm ที่เกิดขึ้นบนเซิร์ฟเวอร์ อีเมลจะท่วมทั้งเครือข่าย 3 และเครือข่าย 4

กล่าวกันว่าเครือข่ายเสมือนจะสร้างโดเมนการรับส่งข้อมูลการออกอากาศ คล้ายกับโดเมนการชนกันที่เกิดจากตัวทวนสัญญาณอีเธอร์เน็ต

วัตถุประสงค์ของเครือข่ายเสมือน

ดังที่เราเห็นในตัวอย่างจากส่วนก่อนหน้า การใช้ตัวกรองแบบกำหนดเองคุณสามารถรบกวนการทำงานปกติของสวิตช์และจำกัดการโต้ตอบของโหนดเครือข่ายท้องถิ่นตามกฎการเข้าถึงที่จำเป็น อย่างไรก็ตาม กลไกตัวกรองสวิตช์แบบกำหนดเองมีข้อเสียหลายประการ:

จำเป็นต้องกำหนดเงื่อนไขแยกกันสำหรับแต่ละโหนดเครือข่าย โดยใช้ที่อยู่ MAC ที่ยุ่งยาก การจัดกลุ่มโหนดและอธิบายเงื่อนไขของการโต้ตอบสำหรับกลุ่มในคราวเดียวจะง่ายกว่ามาก

ไม่สามารถบล็อกได้ การจราจรออกอากาศ- การรับส่งข้อมูลการออกอากาศอาจทำให้เครือข่ายไม่พร้อมใช้งานหากโหนดใดโหนดหนึ่งสร้างเฟรมการออกอากาศที่มีความเข้มข้นสูงโดยตั้งใจหรือไม่ตั้งใจ

เทคนิคของเครือข่ายท้องถิ่นเสมือนช่วยแก้ปัญหาการจำกัดการโต้ตอบของโหนดเครือข่ายในลักษณะที่แตกต่างออกไป

วัตถุประสงค์หลัก เทคโนโลยีวีแลนคือการอำนวยความสะดวกในกระบวนการสร้างเครือข่ายแยกซึ่งโดยปกติจะเชื่อมต่อถึงกันโดยใช้เราเตอร์ การออกแบบเครือข่ายนี้สร้างอุปสรรคอันทรงพลังต่อการรับส่งข้อมูลที่ไม่ต้องการจากเครือข่ายหนึ่งไปยังอีกเครือข่ายหนึ่ง ปัจจุบันเห็นได้ชัดว่าเครือข่ายขนาดใหญ่ใดๆ ต้องมีเราเตอร์ มิฉะนั้นสตรีมของเฟรมที่ผิดพลาด เช่น การออกอากาศ จะ "ท่วม" เครือข่ายทั้งหมดเป็นระยะๆ ผ่านสวิตช์ที่โปร่งใส ทำให้ไม่สามารถใช้งานได้

ข้อดีของเทคโนโลยีเครือข่ายเสมือนคือช่วยให้คุณสร้างส่วนเครือข่ายที่แยกได้อย่างสมบูรณ์โดยการกำหนดค่าแบบลอจิคัลของสวิตช์ โดยไม่ต้องเปลี่ยนโครงสร้างทางกายภาพ

ก่อนที่จะมีเทคโนโลยี VLAN เข้ามาสร้าง เครือข่ายที่แยกจากกันมีการใช้ส่วนที่แยกทางกายภาพอย่างใดอย่างหนึ่ง สายโคแอกเซียลหรือส่วนที่ไม่เชื่อมต่อซึ่งสร้างขึ้นบนตัวทวนสัญญาณและบริดจ์ เครือข่ายเหล่านี้เชื่อมต่อกันด้วยเราเตอร์เป็นเครือข่ายคอมโพสิตเดียว (รูปที่ 14.11)

การเปลี่ยนองค์ประกอบของเซ็กเมนต์ (ผู้ใช้ย้ายไปยังเครือข่ายอื่นแยกเซ็กเมนต์ขนาดใหญ่) ด้วยวิธีนี้หมายถึงการเชื่อมต่อทางกายภาพของตัวเชื่อมต่อที่แผงด้านหน้าของตัวทำซ้ำหรือบนแผงเชื่อมต่อข้ามซึ่งไม่สะดวกมาก เครือข่ายขนาดใหญ่- มีงานหนักมากและมีโอกาสเกิดข้อผิดพลาดสูง

ข้าว. 14.11. เครือข่ายคอมโพสิตประกอบด้วยเครือข่ายที่สร้างขึ้นบนพื้นฐานของขาประจำ

การเชื่อมโยงเครือข่ายเสมือนเข้ากับเครือข่ายทั่วไปจำเป็นต้องอาศัยเครื่องมือระดับเครือข่าย สามารถนำไปใช้ในเราเตอร์แยกต่างหากหรือเป็นส่วนหนึ่งของซอฟต์แวร์สวิตช์ซึ่งต่อมาจะกลายเป็นอุปกรณ์รวม - สวิตช์ที่เรียกว่าเลเยอร์ 3

เทคโนโลยีเครือข่ายเสมือน เป็นเวลานานไม่ได้มาตรฐาน แม้ว่าจะมีการใช้งานในสวิตช์รุ่นต่างๆ มากมายก็ตาม ผู้ผลิตที่แตกต่างกัน- สถานการณ์เปลี่ยนไปเมื่อมีการนำมาตรฐาน IEEE 802.1Q มาใช้ในปี 1998 ซึ่งกำหนด กฎพื้นฐานการสร้างเครือข่ายท้องถิ่นเสมือนที่ไม่ขึ้นอยู่กับโปรโตคอลระดับลิงก์ที่สวิตช์รองรับ

การสร้างเครือข่ายเสมือนโดยใช้สวิตช์ตัวเดียว

เมื่อสร้างเครือข่ายเสมือนโดยใช้สวิตช์ตัวเดียว โดยปกติจะใช้กลไกการจัดกลุ่มพอร์ตสวิตช์ (รูปที่ 14.12) ในกรณีนี้ แต่ละพอร์ตถูกกำหนดให้กับเครือข่ายเสมือนหนึ่งหรือเครือข่ายอื่น เฟรมที่มาจากพอร์ตที่เป็นของ ตัวอย่างเช่น เครือข่ายเสมือน 1 จะไม่ถูกส่งไปยังพอร์ตที่ไม่ได้เป็นของเครือข่ายเสมือนนี้ พอร์ตสามารถกำหนดให้กับเครือข่ายเสมือนหลายแห่งได้ แม้ว่าในทางปฏิบัติจะไม่ค่อยทำสิ่งนี้ แต่ผลของการแยกเครือข่ายโดยสมบูรณ์จะหายไป

การสร้างเครือข่ายเสมือนโดยการจัดกลุ่มพอร์ตไม่จำเป็นต้องมีงานจากผู้ดูแลระบบมากนัก ทำเอง- ก็เพียงพอแล้วที่จะกำหนดแต่ละพอร์ตให้กับหนึ่งในเครือข่ายเสมือนที่มีชื่อล่วงหน้าหลายเครือข่าย โดยทั่วไปการดำเนินการนี้จะดำเนินการโดยใช้โปรแกรมพิเศษที่มาพร้อมกับสวิตช์

วิธีที่สองในการสร้างเครือข่ายเสมือนนั้นขึ้นอยู่กับการจัดกลุ่มที่อยู่ MAC ที่อยู่ MAC แต่ละรายการที่สวิตช์เรียนรู้นั้นถูกกำหนดให้กับเครือข่ายเสมือนเฉพาะ หากมีโหนดจำนวนมากในเครือข่าย วิธีการนี้จำเป็นต้องอาศัยการทำงานด้วยตนเองจำนวนมากจากผู้ดูแลระบบ อย่างไรก็ตาม เมื่อสร้างเครือข่ายเสมือนโดยใช้สวิตช์หลายตัว จะมีความยืดหยุ่นมากกว่าการจัดกลุ่มพอร์ต

ข้าว. 14.12. เครือข่ายเสมือนที่สร้างขึ้นบนสวิตช์ตัวเดียว

การสร้างเครือข่ายเสมือนโดยใช้สวิตช์หลายตัว

รูปที่ 14.13 แสดงให้เห็นถึงปัญหาที่เกิดขึ้นเมื่อสร้างเครือข่ายเสมือนโดยใช้สวิตช์หลายตัวที่รองรับเทคนิคการเชื่อมต่อพอร์ต

ข้าว. 14.13. การสร้างเครือข่ายเสมือนบนสวิตช์หลายตัวพร้อมการจัดกลุ่มพอร์ต

หากโหนดของเครือข่ายเสมือนเชื่อมต่อกับสวิตช์ที่แตกต่างกัน จะต้องจัดสรรพอร์ตคู่พิเศษบนสวิตช์เพื่อเชื่อมต่อแต่ละเครือข่ายดังกล่าว ดังนั้นสวิตช์พอร์ต trunking ต้องใช้พอร์ตในการเชื่อมต่อมากเท่ากับจำนวนเครือข่ายเสมือนที่รองรับ พอร์ตและสายเคเบิลถูกใช้อย่างสิ้นเปลืองในกรณีนี้ นอกจากนี้ เมื่อเชื่อมต่อเครือข่ายเสมือนผ่านเราเตอร์ สายเคเบิลแยกและพอร์ตเราเตอร์แยกกันจะถูกจัดสรรให้กับเครือข่ายเสมือนแต่ละเครือข่าย ซึ่งส่งผลให้มีต้นทุนค่าโสหุ้ยสูงอีกด้วย

การจัดกลุ่มที่อยู่ MAC ให้เป็นเครือข่ายเสมือนบนสวิตช์แต่ละตัวจะช่วยลดความจำเป็นในการเชื่อมโยงที่อยู่ MAC เข้ากับหลายพอร์ต เนื่องจากที่อยู่ MAC จะกลายเป็นป้ายกำกับเครือข่ายเสมือน อย่างไรก็ตามวิธีนี้จำเป็นต้องใช้ ปริมาณมากการดำเนินการด้วยตนเองสำหรับการทำเครื่องหมายที่อยู่ MAC บนสวิตช์เครือข่ายแต่ละตัว

สองวิธีที่อธิบายไว้นั้นขึ้นอยู่กับการเพิ่มข้อมูลเพิ่มเติมลงในตารางที่อยู่ของสวิตช์เท่านั้นและไม่มีความสามารถในการฝังข้อมูลเกี่ยวกับความเป็นเจ้าของเฟรมเครือข่ายเสมือนลงในเฟรมที่ส่ง ในแนวทางอื่นๆ ฟิลด์เฟรมที่มีอยู่หรือเพิ่มเติมจะถูกใช้เพื่อบันทึกข้อมูลเกี่ยวกับสมาชิกของเฟรมในเครือข่ายท้องถิ่นเสมือนเฉพาะเมื่อมีการย้ายระหว่างสวิตช์เครือข่าย ในกรณีนี้ ไม่จำเป็นต้องจำในแต่ละสวิตช์ว่าที่อยู่ MAC ทั้งหมดของเครือข่ายคอมโพสิตเป็นของเครือข่ายเสมือน

อีเธอร์เน็ตแนะนำส่วนหัวเพิ่มเติมที่เรียกว่าแท็ก VLAN

แท็ก VLAN เป็นทางเลือกสำหรับเฟรมอีเทอร์เน็ต เฟรมที่มีส่วนหัวดังกล่าวเรียกว่าเฟรมที่แท็ก สวิตช์สามารถรองรับทั้งเฟรมที่ติดแท็กและไม่ติดแท็กพร้อมกัน เนื่องจากการเพิ่มแท็ก VLAN ความยาวสูงสุดเขตข้อมูลลดลง 4 ไบต์

เพื่อให้อุปกรณ์เครือข่ายท้องถิ่นสามารถแยกแยะและทำความเข้าใจเฟรมที่แท็กได้ จะมีการแนะนำค่าฟิลด์ EtherType พิเศษที่ 0x8100 ให้กับอุปกรณ์เหล่านั้น ค่านี้บ่งชี้ว่าตามด้วยฟิลด์ TCI แทนที่จะเป็นฟิลด์ข้อมูลมาตรฐาน โปรดทราบว่าในเฟรมที่แท็ก ฟิลด์แท็ก VLAN จะถูกตามด้วยฟิลด์ EtherType อีกฟิลด์หนึ่ง ซึ่งระบุประเภทโปรโตคอลที่มีข้อมูลถูกนำไปใช้โดยฟิลด์ข้อมูลเฟรม

ฟิลด์ TCI ประกอบด้วยฟิลด์หมายเลข VLAN (ตัวระบุ) 12 บิตที่เรียกว่า VID ความกว้างของฟิลด์ VID ช่วยให้สวิตช์สามารถสร้างเครือข่ายเสมือนได้มากถึง 4,096 เครือข่าย

การใช้ค่า VID ในเฟรมที่แท็ก สวิตช์เครือข่ายจะดำเนินการกรองการรับส่งข้อมูลแบบกลุ่ม โดยแบ่งเครือข่ายออกเป็นส่วนเสมือน ซึ่งก็คือ ออกเป็น VLAN เพื่อรองรับโหมดนี้ พอร์ตสวิตช์แต่ละพอร์ตจะถูกกำหนดให้กับเครือข่ายท้องถิ่นเสมือนตั้งแต่หนึ่งเครือข่ายขึ้นไป นั่นคือ การจัดกลุ่มพอร์ตจะดำเนินการ

เพื่อให้การกำหนดค่าเครือข่ายง่ายขึ้น มาตรฐาน 802.1Q แนะนำแนวคิดของสายเข้าและสายหลัก

สายเชื่อมต่อเชื่อมต่อพอร์ตสวิตช์ (เรียกว่าพอร์ตการเข้าถึงในกรณีนี้) กับคอมพิวเตอร์ที่เป็นของเครือข่ายท้องถิ่นเสมือน

trunk คือสายสื่อสารที่เชื่อมต่อพอร์ตของสวิตช์สองตัว โดยทั่วไป การรับส่งข้อมูลจากเครือข่ายเสมือนหลายเครือข่ายจะถูกส่งผ่าน trunk

ในการสร้างเครือข่ายท้องถิ่นเสมือนในเครือข่ายต้นทางคุณต้องเลือกค่า VID อื่นที่ไม่ใช่ 1 ก่อนจากนั้นใช้คำสั่งการกำหนดค่าสวิตช์กำหนดพอร์ตที่คอมพิวเตอร์ที่รวมอยู่ในนั้นเชื่อมต่อให้กับเครือข่ายนี้ . พอร์ตการเข้าถึงสามารถกำหนดให้กับ VLAN เดียวเท่านั้น

พอร์ตการเข้าถึงจะได้รับเฟรมที่ไม่ได้ติดแท็กจากโฮสต์ปลายทางและแท็กด้วยแท็ก VLAN ที่มีค่า VID ที่กำหนดให้กับพอร์ตนั้น เมื่อส่งเฟรมที่แท็กไปยังโหนดสิ้นสุด พอร์ตการเข้าถึงจะลบแท็ก VLAN

สำหรับข้อมูลเพิ่มเติม คำอธิบายภาพกลับไปที่ตัวอย่างเครือข่ายที่กล่าวถึงก่อนหน้านี้ มะเดื่อ. รูปที่ 14.15 แสดงวิธีการแก้ปัญหาการเข้าถึงเซิร์ฟเวอร์แบบเลือกสรรโดยใช้เทคนิค VLAN

ข้าว. 14.15. การแบ่งเครือข่ายออกเป็นสองเครือข่ายท้องถิ่นเสมือน

เพื่อแก้ไขปัญหานี้ คุณสามารถจัดระเบียบเครือข่ายท้องถิ่นเสมือนสองเครือข่ายบนเครือข่าย ได้แก่ VLAN2 และ VLAN3 (จำได้ว่า VLAN1 มีอยู่แล้วตามค่าเริ่มต้น - นี่คือเครือข่ายดั้งเดิมของเรา) คอมพิวเตอร์และเซิร์ฟเวอร์ชุดหนึ่งถูกกำหนดให้กับ VLAN2 และอีกชุดหนึ่งคือ กำหนดให้กับ KVLAN3

ในการกำหนดโหนดปลายทางให้กับ VLAN เฉพาะ พอร์ตที่เกี่ยวข้องจะถูกประกาศเป็นพอร์ตการเข้าถึงของเครือข่ายนั้นโดยการกำหนด VID ที่เหมาะสม ตัวอย่างเช่น พอร์ต 1 ของ SW1 ควรถูกประกาศเป็นพอร์ตการเข้าถึงของ VLAN2 โดยกำหนด VID2 เช่นเดียวกับพอร์ต 5 ของ SW1, พอร์ต 1 ของ SW2 และพอร์ต 1 ของ SW3 เข้าถึงพอร์ต VLAN 3 ควรได้รับ VID3

ในเครือข่ายของคุณ คุณต้องจัดระเบียบ trunks ซึ่งเป็นสายสื่อสารที่เชื่อมต่อพอร์ตสวิตช์เข้าด้วยกัน พอร์ตที่เชื่อมต่อกับทรังก์ไม่ได้เพิ่มหรือลบแท็ก เพียงส่งเฟรมโดยไม่มีการเปลี่ยนแปลง ในตัวอย่างของเรา พอร์ตดังกล่าวควรเป็นพอร์ต 6 ของสวิตช์ SW1 และ SW2 รวมถึงพอร์ต 3 และ 4 ของสวิตช์ ShchZ พอร์ตในตัวอย่างของเราต้องรองรับ VLAN2 และ VLAN3 (และ VLAN1 หากมีโหนดในเครือข่ายที่ไม่ได้กำหนดให้กับ VLAN ใด ๆ อย่างชัดเจน)

สวิตช์ที่รองรับเทคโนโลยี VLAN ให้การกรองการรับส่งข้อมูลเพิ่มเติม หากตารางการส่งต่อของสวิตช์แจ้งว่าเฟรมขาเข้าจำเป็นต้องถูกส่งไปยังพอร์ตใดพอร์ตหนึ่ง ก่อนการส่งสัญญาณ สวิตช์จะตรวจสอบว่าค่า VTD ในแท็ก VL AN ของเฟรมสอดคล้องกับเครือข่ายท้องถิ่นเสมือนที่กำหนดให้กับพอร์ตนี้หรือไม่ หากมีการจับคู่เฟรมจะถูกส่ง หากไม่ตรงกันจะถูกละทิ้ง เฟรมที่ไม่ติดแท็กจะได้รับการประมวลผลในลักษณะเดียวกัน แต่ใช้ VLAN1 แบบมีเงื่อนไข ที่อยู่ MAC ได้รับการเรียนรู้โดยสวิตช์เครือข่ายแยกจากกัน แต่สำหรับแต่ละ VLAN

เทคนิค VLAN ปรากฏว่ามีประสิทธิภาพมากในการจำกัดการเข้าถึงเซิร์ฟเวอร์ การกำหนดค่าเครือข่ายท้องถิ่นเสมือนไม่จำเป็นต้องมีความรู้เกี่ยวกับที่อยู่ MAC ของโหนด นอกจากนี้ การเปลี่ยนแปลงใดๆ ในเครือข่าย เช่น การเชื่อมต่อคอมพิวเตอร์กับสวิตช์อื่น จำเป็นต้องมีการกำหนดค่าเฉพาะพอร์ตของสวิตช์นี้ และสวิตช์อื่นๆ ทั้งหมดใน เครือข่ายยังคงทำงานต่อไปโดยไม่ทำการเปลี่ยนแปลงการกำหนดค่า

นอกจากจุดประสงค์หลักแล้ว-เพิ่มขึ้น แบนด์วิธการเชื่อมต่อในเครือข่าย - สวิตช์ช่วยให้คุณแปลกระแสข้อมูลรวมถึงควบคุมและจัดการโฟลว์เหล่านี้โดยใช้กลไกตัวกรองแบบกำหนดเอง อย่างไรก็ตาม ตัวกรองแบบกำหนดเองสามารถป้องกันการส่งเฟรมไปยังที่อยู่ที่ระบุเท่านั้น ในขณะที่กรองการรับส่งข้อมูลการออกอากาศไปยังส่วนเครือข่ายทั้งหมด นี่คือหลักการทำงานของอัลกอริธึมบริดจ์ที่ใช้ในสวิตช์ ซึ่งเป็นเหตุผลว่าทำไมเครือข่ายที่สร้างขึ้นบนพื้นฐานของบริดจ์และสวิตช์บางครั้งจึงเรียกว่าแบน - เนื่องจากไม่มีอุปสรรคในการรับส่งข้อมูล

เทคโนโลยีเครือข่ายท้องถิ่นเสมือน (Virtual LAN, VLAN) ซึ่งปรากฏเมื่อหลายปีก่อน ช่วยให้สามารถเอาชนะข้อจำกัดนี้ได้ เครือข่ายเสมือนคือกลุ่มของโหนดเครือข่ายที่มีการรับส่งข้อมูล รวมถึงการรับส่งข้อมูลออกอากาศ ซึ่งแยกออกจากโหนดอื่นๆ ในระดับดาต้าลิงค์โดยสิ้นเชิง (ดูรูปที่ 1) ซึ่งหมายความว่าการส่งเฟรมโดยตรงระหว่างเครือข่ายเสมือนที่แตกต่างกันนั้นเป็นไปไม่ได้ โดยไม่คำนึงถึงประเภทของที่อยู่ - เฉพาะ มัลติคาสต์ หรือการออกอากาศ ในเวลาเดียวกัน ภายในเครือข่ายเสมือน เฟรมจะถูกส่งไปตามเทคโนโลยีสวิตชิ่ง เช่น ไปยังพอร์ตที่กำหนดที่อยู่ปลายทางของเฟรมเท่านั้น

เครือข่ายเสมือนสามารถทับซ้อนกันได้หากมีคอมพิวเตอร์อย่างน้อยหนึ่งเครื่องรวมอยู่ในเครือข่ายเสมือนมากกว่าหนึ่งเครือข่าย ในรูปที่ 1 เซิร์ฟเวอร์อีเมลเป็นส่วนหนึ่งของเครือข่ายเสมือน 3 และ 4 ดังนั้นเฟรมจึงถูกส่งโดยสวิตช์ไปยังคอมพิวเตอร์ทุกเครื่องบนเครือข่ายเหล่านี้ หากคอมพิวเตอร์ถูกกำหนดให้กับเครือข่ายเสมือน 3 เท่านั้น เฟรมจะไม่สามารถเข้าถึงเครือข่าย 4 แต่สามารถโต้ตอบกับคอมพิวเตอร์บนเครือข่าย 4 ผ่านทางเครือข่ายทั่วไป เมลเซิร์ฟเวอร์. โครงการนี้ไม่ได้แยกเครือข่ายเสมือนออกจากกันโดยสิ้นเชิง - ตัวอย่างเช่น พายุการออกอากาศที่เริ่มต้นโดยเซิร์ฟเวอร์อีเมลจะครอบงำทั้งเครือข่าย 3 และเครือข่าย 4

การมอบหมาย VLAN

เทคโนโลยี VLAN ช่วยให้สร้างเครือข่ายแยกที่เชื่อมต่อโดยใช้เราเตอร์ที่รองรับโปรโตคอลเลเยอร์เครือข่าย เช่น IP ได้ง่ายขึ้น โซลูชันนี้สร้างอุปสรรคที่แข็งแกร่งมากขึ้นในการรับส่งข้อมูลที่ผิดพลาดจากเครือข่ายหนึ่งไปยังอีกเครือข่ายหนึ่ง ในปัจจุบัน เชื่อกันว่าเครือข่ายขนาดใหญ่ใดๆ จะต้องมีเราเตอร์รวมอยู่ด้วย มิฉะนั้นการไหลของเฟรมที่ผิดพลาด โดยเฉพาะเฟรมที่ออกอากาศผ่านสวิตช์ที่โปร่งใสจะทำให้เฟรม "ท่วม" ทั้งหมดเป็นระยะๆ ทำให้ไม่สามารถใช้งานได้

เทคโนโลยีเครือข่ายเสมือนมอบพื้นฐานที่ยืดหยุ่นสำหรับการสร้างเครือข่ายขนาดใหญ่ที่เชื่อมต่อด้วยเราเตอร์ เนื่องจากสวิตช์ทำให้สามารถสร้างส่วนที่แยกได้อย่างสมบูรณ์ โดยทางโปรแกรมโดยไม่ต้องใช้การสลับทางกายภาพ

ก่อนการถือกำเนิดของเทคโนโลยี VLAN การปรับใช้เครือข่ายที่แยกจากกันโดยใช้ส่วนที่แยกทางกายภาพของสายโคแอกเซียลหรือส่วนที่ไม่ได้เชื่อมต่อโดยยึดตามตัวทำซ้ำและบริดจ์ จากนั้นเครือข่ายก็เชื่อมต่อกันผ่านเราเตอร์เป็นเครือข่ายคอมโพสิตเดียว (ดูรูปที่ 2)

การเปลี่ยนองค์ประกอบของเซ็กเมนต์ (ผู้ใช้ย้ายไปยังเครือข่ายอื่นแยกส่วนขนาดใหญ่) ด้วยวิธีนี้โดยนัยถึงการเชื่อมต่อทางกายภาพของตัวเชื่อมต่อที่แผงด้านหน้าของตัวทำซ้ำหรือในแผงครอสโอเวอร์ซึ่งไม่สะดวกนัก เครือข่ายขนาดใหญ่- เป็นงานที่ต้องใช้แรงงานมาก และความน่าจะเป็นของข้อผิดพลาดก็สูงมาก ดังนั้น เพื่อขจัดความจำเป็นในการสลับโหนดใหม่ทางกายภาพ จึงเริ่มใช้ตัวรวมศูนย์แบบหลายส่วน เพื่อให้สามารถตั้งโปรแกรมองค์ประกอบของส่วนที่ใช้ร่วมกันได้โดยไม่ต้องทำการสลับใหม่ทางกายภาพ

อย่างไรก็ตาม การเปลี่ยนองค์ประกอบของเซ็กเมนต์โดยใช้ฮับทำให้เกิดข้อ จำกัด อย่างมากในโครงสร้างเครือข่าย - จำนวนเซ็กเมนต์ของทวนสัญญาณดังกล่าวมักจะมีขนาดเล็ก และการจัดสรรแต่ละโหนดของตัวเองนั้นไม่สมจริงเนื่องจากสามารถทำได้โดยใช้สวิตช์ นอกจากนี้ด้วยวิธีนี้งานถ่ายโอนข้อมูลระหว่างส่วนทั้งหมดจะตกอยู่ที่เราเตอร์และสวิตช์ด้วยตัวเอง ประสิทธิภาพสูงยังคง "ตกงาน" ดังนั้น เครือข่ายที่ใช้ทวนสัญญาณแบบสลับการกำหนดค่าจึงยังต้องการ การแบ่งปันสื่อการส่งข้อมูล จำนวนมากโหนดจึงมีประสิทธิภาพต่ำกว่ามากเมื่อเทียบกับเครือข่ายแบบสวิตช์

เมื่อใช้เทคโนโลยีเครือข่ายเสมือนในสวิตช์ ปัญหาสองประการจะถูกแก้ไขพร้อมกัน:

เพิ่มประสิทธิภาพในแต่ละเครือข่ายเสมือน เนื่องจากสวิตช์ส่งเฟรมไปยังโหนดปลายทางเท่านั้น
การแยกเครือข่ายออกจากกันเพื่อจัดการสิทธิ์การเข้าถึงของผู้ใช้และสร้างอุปสรรคในการป้องกันพายุการออกอากาศ

การรวมเครือข่ายเสมือนเข้าไว้ด้วยกัน เครือข่ายที่ใช้ร่วมกันดำเนินการเมื่อ ระดับเครือข่ายซึ่งสามารถย้ายไปยังการใช้เราเตอร์หรือซอฟต์แวร์สวิตช์แยกต่างหากได้ หลังในกรณีนี้จะกลายเป็นอุปกรณ์รวม - สวิตช์ระดับที่สามที่เรียกว่า

เทคโนโลยีในการสร้างและใช้งานเครือข่ายเสมือนโดยใช้สวิตช์ยังไม่ได้รับมาตรฐานมาเป็นเวลานานถึงแม้ว่าจะมีการใช้งานในสวิตช์รุ่นต่างๆ จากผู้ผลิตหลายรายก็ตาม สถานการณ์เปลี่ยนไปหลังจากการนำมาตรฐาน IEEE 802.1Q มาใช้ในปี 1998 ซึ่งกำหนดกฎพื้นฐานสำหรับการสร้างเครือข่ายท้องถิ่นเสมือน โดยไม่คำนึงว่าสวิตช์จะรองรับโปรโตคอลชั้นลิงก์ใด

เนื่องจากขาดมาตรฐาน VLAN มานานแล้ว บริษัทขนาดใหญ่ซึ่งผลิตสวิตช์ได้พัฒนาเทคโนโลยีเครือข่ายเสมือนของตัวเองซึ่งตามกฎแล้วไม่เข้ากันกับเทคโนโลยีจากผู้ผลิตรายอื่น ดังนั้นแม้จะมีการเกิดขึ้นของมาตรฐาน แต่ก็ไม่ใช่เรื่องยากนักที่จะเผชิญกับสถานการณ์ที่เครือข่ายเสมือนที่สร้างขึ้นบนพื้นฐานของสวิตช์จากผู้ขายรายหนึ่งไม่ได้รับการยอมรับและดังนั้นจึงไม่ได้รับการสนับสนุนจากสวิตช์จากที่อื่น

สร้าง VLAN โดยใช้สวิตช์ตัวเดียว

เมื่อสร้างเครือข่ายเสมือนโดยใช้สวิตช์ตัวเดียว โดยปกติจะใช้กลไกในการจัดกลุ่มพอร์ตสวิตช์ในเครือข่าย (ดูรูปที่ 3) ยิ่งไปกว่านั้น แต่ละรายการยังถูกกำหนดให้กับเครือข่ายเสมือนหนึ่งหรือเครือข่ายอื่น เฟรมที่มาจากพอร์ตที่เป็นของ ตัวอย่างเช่น เครือข่ายเสมือน 1 จะไม่ถูกส่งไปยังพอร์ตที่ไม่ได้เป็นส่วนหนึ่งของเครือข่ายนั้น พอร์ตสามารถกำหนดให้กับเครือข่ายเสมือนหลายแห่งได้ แม้ว่าในทางปฏิบัติจะไม่ค่อยทำสิ่งนี้ แต่ผลของการแยกเครือข่ายโดยสมบูรณ์จะหายไป

การจัดกลุ่มพอร์ตบนสวิตช์ตัวเดียวเป็นวิธีที่สมเหตุสมผลที่สุดในการสร้าง VLAN ตั้งแต่นั้นเป็นต้นมา ในกรณีนี้ไม่สามารถมีเครือข่ายเสมือนมากกว่าพอร์ตได้ หากรีพีทเตอร์เชื่อมต่อกับพอร์ตใดพอร์ตหนึ่ง ก็ไม่มีเหตุผลที่จะรวมโหนดของเซ็กเมนต์ที่เกี่ยวข้องในเครือข่ายเสมือนที่แตกต่างกัน - การรับส่งข้อมูลจะยังคงเป็นเรื่องธรรมดา

วิธีนี้ไม่ต้องการการทำงานด้วยตนเองจำนวนมากจากผู้ดูแลระบบ - ก็เพียงพอที่จะกำหนดแต่ละพอร์ตให้กับเครือข่ายเสมือนที่มีชื่อล่วงหน้าเครือข่ายใดเครือข่ายหนึ่ง โดยทั่วไปการดำเนินการนี้จะดำเนินการโดยใช้ โปรแกรมพิเศษมาพร้อมกับสวิตช์ ผู้ดูแลระบบสร้างเครือข่ายเสมือนโดยการลากสัญลักษณ์กราฟิกพอร์ตลงบน สัญลักษณ์กราฟิกเครือข่าย

อีกวิธีหนึ่งในการสร้างเครือข่ายเสมือนขึ้นอยู่กับการจัดกลุ่มที่อยู่ MAC ที่อยู่ MAC แต่ละรายการที่สวิตช์รู้จักนั้นถูกกำหนดให้กับเครือข่ายเสมือนเฉพาะ หากมีโหนดจำนวนมากบนเครือข่าย ผู้ดูแลระบบจะต้องดำเนินการด้วยตนเองจำนวนมาก อย่างไรก็ตาม เมื่อสร้างเครือข่ายเสมือนโดยใช้สวิตช์หลายตัว วิธีการนี้จะมีความยืดหยุ่นมากกว่าการจัดกลุ่มพอร์ต

สร้าง VLAN ตามสวิตช์หลายตัว

รูปที่ 4 แสดงให้เห็นถึงสถานการณ์ที่เกิดขึ้นเมื่อสร้างเครือข่ายเสมือนโดยใช้สวิตช์หลายตัวผ่านการจัดกลุ่มพอร์ต หากโหนดของเครือข่ายเสมือนเชื่อมต่อกับสวิตช์ที่แตกต่างกัน จะต้องจัดสรรพอร์ตคู่ที่แยกจากกันเพื่อเชื่อมต่อสวิตช์ของแต่ละเครือข่ายดังกล่าว มิฉะนั้น ข้อมูลเกี่ยวกับการเป็นเจ้าของเฟรมในเครือข่ายเสมือนเฉพาะจะหายไปเมื่อส่งจากสวิตช์หนึ่งไปอีกสวิตช์หนึ่ง ดังนั้น วิธีการพอร์ต trunking ต้องใช้พอร์ตจำนวนมากในการเชื่อมต่อสวิตช์เนื่องจากมีเครือข่ายเสมือนที่รองรับ ส่งผลให้มีการใช้พอร์ตและสายเคเบิลอย่างสิ้นเปลือง นอกจากนี้ เพื่อจัดระเบียบการโต้ตอบของเครือข่ายเสมือนผ่านเราเตอร์ แต่ละเครือข่ายต้องใช้สายเคเบิลแยกกันและพอร์ตเราเตอร์แยกกัน ซึ่งทำให้มีค่าใช้จ่ายสูงอีกด้วย

การจัดกลุ่มที่อยู่ MAC ให้เป็นเครือข่ายเสมือนบนสวิตช์แต่ละตัวจะช่วยลดความจำเป็นในการเชื่อมต่อที่อยู่ MAC ผ่านพอร์ตต่างๆ เนื่องจากป้ายกำกับเครือข่ายเสมือนจะเป็นที่อยู่ MAC อย่างไรก็ตาม วิธีนี้ต้องใช้ขั้นตอนที่ต้องดำเนินการด้วยตนเองจำนวนมากเพื่อทำเครื่องหมายที่อยู่ MAC ด้วยตนเองบนสวิตช์แต่ละตัวในเครือข่าย

ทั้งสองวิธีที่อธิบายไว้นั้นขึ้นอยู่กับการเพิ่มข้อมูลลงในตารางที่อยู่ของบริดจ์เท่านั้น และไม่รวมข้อมูลเกี่ยวกับสมาชิกของเฟรมในเครือข่ายเสมือนในเฟรมที่ส่ง วิธีอื่นใช้ที่มีอยู่หรือ ฟิลด์เพิ่มเติมเพื่อบันทึกข้อมูลเกี่ยวกับความเป็นเจ้าของเฟรมขณะเคลื่อนที่ระหว่างสวิตช์เครือข่าย นอกจากนี้ ไม่จำเป็นต้องจำในแต่ละสวิตช์ว่าเครือข่ายเสมือนใดเป็นเจ้าของที่อยู่ MAC ของเครือข่ายอินเทอร์เน็ต

ฟิลด์เพิ่มเติมที่ทำเครื่องหมายหมายเลขเครือข่ายเสมือนจะใช้เฉพาะเมื่อเฟรมถูกถ่ายโอนจากสวิตช์หนึ่งไปอีกสวิตช์หนึ่ง และเมื่อเฟรมถูกถ่ายโอนไปยังโหนดปลายสุด โดยปกติจะถูกลบออก ในกรณีนี้ โปรโตคอลการโต้ตอบแบบสลับเป็นสวิตช์ได้รับการแก้ไข ในขณะที่ซอฟต์แวร์และฮาร์ดแวร์ของโหนดปลายทางยังคงไม่เปลี่ยนแปลง มีตัวอย่างมากมายของโปรโตคอลที่เป็นกรรมสิทธิ์ดังกล่าว แต่มีข้อเสียเปรียบทั่วไปประการหนึ่ง - ไม่ได้รับการสนับสนุนจากผู้ผลิตรายอื่น Cisco ได้เสนอส่วนหัวโปรโตคอล 802.10 เป็นส่วนเสริมมาตรฐานสำหรับเฟรมของโปรโตคอลเครือข่ายท้องถิ่นใดๆ โดยมีวัตถุประสงค์เพื่อรองรับฟังก์ชันความปลอดภัย เครือข่ายคอมพิวเตอร์- บริษัทเองก็ใช้วิธีนี้ในกรณีที่สวิตช์เชื่อมต่อถึงกันโดยใช้โปรโตคอล FDDI อย่างไรก็ตาม โครงการริเริ่มนี้ไม่ได้รับการสนับสนุนจากผู้ผลิตสวิตช์ชั้นนำรายอื่นๆ

เพื่อจัดเก็บหมายเลขเครือข่ายเสมือนไว้ มาตรฐานอีอีอี 802.1Q มีส่วนหัวสองไบต์เพิ่มเติมที่ใช้ร่วมกับโปรโตคอล 802.1p นอกเหนือจากสามบิตสำหรับจัดเก็บค่าลำดับความสำคัญของเฟรม ตามที่อธิบายไว้ในมาตรฐาน 802.1p แล้ว ยังมี 12 บิตในส่วนหัวนี้เพื่อจัดเก็บหมายเลขของเครือข่ายเสมือนที่เฟรมนั้นอยู่ด้วย นี้ ข้อมูลเพิ่มเติมเรียกว่าแท็กเครือข่ายเสมือน (VLAN TAG) และอนุญาตให้สวิตช์จากผู้ผลิตหลายรายสร้างเครือข่ายเสมือนที่ใช้ร่วมกันได้มากถึง 4,096 เครือข่าย เฟรมดังกล่าวเรียกว่า "แท็ก" ความยาวของเฟรมอีเทอร์เน็ตที่ติดแท็กจะเพิ่มขึ้น 4 ไบต์ เนื่องจากนอกเหนือจากสองไบต์ของแท็กแล้ว ยังมีการเพิ่มไบต์อีกสองไบต์ด้วย โครงสร้างของเฟรมอีเธอร์เน็ตที่ติดแท็กจะแสดงในรูปที่ 5 ด้วยการเพิ่มส่วนหัว 802.1p/Q ช่องข้อมูลจะลดลงสองไบต์

รูปที่ 5. โครงสร้างของเฟรมอีเธอร์เน็ตที่ทำเครื่องหมายไว้

การเกิดขึ้นของมาตรฐาน 802.1Q ทำให้สามารถเอาชนะความแตกต่างในการใช้งาน VLAN ที่เป็นกรรมสิทธิ์ และบรรลุความเข้ากันได้เมื่อสร้างเครือข่ายท้องถิ่นเสมือน เทคนิค VLAN ได้รับการสนับสนุนโดยผู้ผลิตทั้งสวิตช์และอะแดปเตอร์เครือข่าย ในกรณีหลังนี้ อะแดปเตอร์เครือข่ายสามารถสร้างและรับการทำเครื่องหมายได้ เฟรมอีเธอร์เน็ตซึ่งมีฟิลด์ VLAN TAG หากอะแดปเตอร์เครือข่ายสร้างเฟรมที่ทำเครื่องหมายไว้ มันจะกำหนดว่าเป็นของเครือข่ายเฉพาะที่เสมือน ดังนั้นสวิตช์จะต้องประมวลผลเฟรมเหล่านั้นตามนั้น กล่าวคือ ส่งหรือไม่ส่งไปยังพอร์ตเอาต์พุต ขึ้นอยู่กับสมาชิกของพอร์ต โปรแกรมควบคุมอะแดปเตอร์เครือข่ายได้รับหมายเลขของเครือข่ายท้องถิ่นเสมือนจากผู้ดูแลระบบเครือข่าย (ผ่านการกำหนดค่าด้วยตนเอง) หรือจากแอปพลิเคชันบางตัวที่ทำงานบนโหนดนี้ แอปพลิเคชันดังกล่าวสามารถทำงานจากส่วนกลางบนเซิร์ฟเวอร์เครือข่ายตัวใดตัวหนึ่งและจัดการโครงสร้างของเครือข่ายทั้งหมดได้

รองรับ VLAN อะแดปเตอร์เครือข่ายคุณสามารถหลีกเลี่ยงการกำหนดค่าแบบคงที่ได้โดยการกำหนดพอร์ตให้กับเครือข่ายเสมือนเฉพาะ อย่างไรก็ตาม วิธีการกำหนดค่า VLAN แบบคงที่ยังคงได้รับความนิยม เนื่องจากช่วยให้คุณสร้างเครือข่ายที่มีโครงสร้างโดยไม่ต้องอาศัยซอฟต์แวร์โหนดปลายสุด

Natalya Olifer เป็นคอลัมนิสต์ของ Journal of Network Solutions/LAN สามารถติดต่อเธอได้ที่:

นอกเหนือจากวัตถุประสงค์หลัก - การเพิ่มปริมาณงานของการเชื่อมต่อบนเครือข่าย - สวิตช์ยังช่วยให้คุณจำกัดวงการไหลของข้อมูลตลอดจนควบคุมและจัดการโฟลว์เหล่านี้โดยใช้กลไกตัวกรองแบบกำหนดเอง อย่างไรก็ตาม ตัวกรองแบบกำหนดเองสามารถป้องกันการส่งเฟรมไปยังที่อยู่ที่ระบุเท่านั้น ในขณะที่กรองการรับส่งข้อมูลการออกอากาศไปยังส่วนเครือข่ายทั้งหมด นี่คือหลักการทำงานของอัลกอริธึมบริดจ์ที่ใช้ในสวิตช์ ซึ่งเป็นเหตุผลว่าทำไมเครือข่ายที่สร้างขึ้นบนพื้นฐานของบริดจ์และสวิตช์บางครั้งจึงเรียกว่าแบน - เนื่องจากไม่มีอุปสรรคในการรับส่งข้อมูล

เครือข่ายเสมือนสามารถทับซ้อนกันได้หากมีคอมพิวเตอร์อย่างน้อยหนึ่งเครื่องรวมอยู่ในเครือข่ายเสมือนมากกว่าหนึ่งเครือข่าย ในรูปที่ 1 เซิร์ฟเวอร์อีเมลเป็นส่วนหนึ่งของเครือข่ายเสมือน 3 และ 4 ดังนั้นเฟรมจึงถูกส่งโดยสวิตช์ไปยังคอมพิวเตอร์ทุกเครื่องบนเครือข่ายเหล่านี้ หากคอมพิวเตอร์ถูกกำหนดให้กับเครือข่ายเสมือน 3 เท่านั้นเฟรมจะไม่สามารถเข้าถึงเครือข่าย 4 แต่สามารถโต้ตอบกับคอมพิวเตอร์บนเครือข่าย 4 ผ่านเมลเซิร์ฟเวอร์ทั่วไปได้ โครงการนี้ไม่ได้แยกเครือข่ายเสมือนออกจากกันโดยสิ้นเชิง - ตัวอย่างเช่น พายุการออกอากาศที่เริ่มต้นโดยเซิร์ฟเวอร์อีเมลจะครอบงำทั้งเครือข่าย 3 และเครือข่าย 4

การมอบหมาย VLAN

เทคโนโลยีเครือข่ายเสมือนมอบพื้นฐานที่ยืดหยุ่นสำหรับการสร้างเครือข่ายขนาดใหญ่ที่เชื่อมต่อด้วยเราเตอร์ เนื่องจากสวิตช์ช่วยให้คุณสร้างส่วนที่แยกได้อย่างสมบูรณ์โดยทางโปรแกรม โดยไม่ต้องใช้สวิตช์ทางกายภาพ

การเปลี่ยนองค์ประกอบของเซ็กเมนต์ (ผู้ใช้ที่ย้ายไปยังเครือข่ายอื่นแยกส่วนขนาดใหญ่) ด้วยวิธีนี้โดยนัยถึงการเชื่อมต่อทางกายภาพของตัวเชื่อมต่อที่แผงด้านหน้าของตัวทำซ้ำหรือในแผงครอสโอเวอร์ซึ่งไม่สะดวกมากในเครือข่ายขนาดใหญ่ - นี่เป็นงานที่ลำบากมาก -งานเข้มข้น โอกาสผิดพลาดมีสูงมาก ดังนั้น เพื่อขจัดความจำเป็นในการสลับโหนดใหม่ทางกายภาพ จึงเริ่มใช้ตัวรวมศูนย์แบบหลายส่วน เพื่อให้สามารถตั้งโปรแกรมองค์ประกอบของส่วนที่ใช้ร่วมกันได้โดยไม่ต้องทำการสลับใหม่ทางกายภาพ

อย่างไรก็ตาม การเปลี่ยนองค์ประกอบของเซ็กเมนต์โดยใช้ฮับทำให้เกิดข้อ จำกัด อย่างมากในโครงสร้างเครือข่าย - จำนวนเซ็กเมนต์ของทวนสัญญาณดังกล่าวมักจะมีขนาดเล็ก และการจัดสรรแต่ละโหนดของตัวเองนั้นไม่สมจริงเนื่องจากสามารถทำได้โดยใช้สวิตช์ นอกจากนี้ ด้วยแนวทางนี้ งานทั้งหมดในการถ่ายโอนข้อมูลระหว่างส่วนต่างๆ จะตกอยู่ที่เราเตอร์ และสวิตช์ที่มีประสิทธิภาพสูงจะยังคง “ไม่ทำงาน” ดังนั้น เครือข่ายที่ใช้ทวนสัญญาณที่มีการสลับการกำหนดค่ายังคงเกี่ยวข้องกับการแชร์สื่อการรับส่งข้อมูลระหว่างโหนดจำนวนมาก ดังนั้นจึงมีประสิทธิภาพต่ำกว่ามากเมื่อเทียบกับเครือข่ายที่ใช้สวิตช์

เพิ่มประสิทธิภาพในแต่ละเครือข่ายเสมือน เนื่องจากสวิตช์ส่งเฟรมไปยังโหนดปลายทางเท่านั้น
การแยกเครือข่ายออกจากกันเพื่อจัดการสิทธิ์การเข้าถึงของผู้ใช้และสร้างอุปสรรคในการป้องกันพายุการออกอากาศ

การรวมเครือข่ายเสมือนเข้ากับเครือข่ายทั่วไปจะดำเนินการในระดับเครือข่าย การเปลี่ยนแปลงสามารถทำได้โดยใช้เราเตอร์หรือซอฟต์แวร์สวิตช์แยกต่างหาก หลังในกรณีนี้จะกลายเป็นอุปกรณ์รวม - สวิตช์ระดับที่สามที่เรียกว่า

เนื่องจากขาดมาตรฐาน VLAN มาเป็นเวลานาน บริษัทรายใหญ่แต่ละแห่งที่ผลิตสวิตช์จึงได้พัฒนาเทคโนโลยีเครือข่ายเสมือนของตนเอง ซึ่งตามกฎแล้วเข้ากันไม่ได้กับเทคโนโลยีจากผู้ผลิตรายอื่น ดังนั้นแม้จะมีการเกิดขึ้นของมาตรฐาน แต่ก็ไม่ใช่เรื่องยากนักที่จะเผชิญกับสถานการณ์ที่เครือข่ายเสมือนที่สร้างขึ้นบนพื้นฐานของสวิตช์จากผู้ขายรายหนึ่งไม่ได้รับการยอมรับและดังนั้นจึงไม่ได้รับการสนับสนุนจากสวิตช์จากที่อื่น

สร้าง VLAN โดยใช้สวิตช์ตัวเดียว

การจัดกลุ่มพอร์ตของสวิตช์ตัวเดียวเป็นวิธีที่สมเหตุสมผลที่สุดในการสร้าง VLAN เนื่องจากในกรณีนี้จะไม่มีเครือข่ายเสมือนมากไปกว่าพอร์ต หากรีพีทเตอร์เชื่อมต่อกับพอร์ตใดพอร์ตหนึ่ง ก็ไม่มีเหตุผลที่จะรวมโหนดของเซ็กเมนต์ที่เกี่ยวข้องในเครือข่ายเสมือนที่แตกต่างกัน - การรับส่งข้อมูลจะยังคงเป็นเรื่องธรรมดา

วิธีนี้ไม่ต้องการการทำงานด้วยตนเองจำนวนมากจากผู้ดูแลระบบ - ก็เพียงพอที่จะกำหนดแต่ละพอร์ตให้กับเครือข่ายเสมือนที่มีชื่อล่วงหน้าเครือข่ายใดเครือข่ายหนึ่ง โดยทั่วไปการดำเนินการนี้จะดำเนินการโดยใช้โปรแกรมพิเศษที่มาพร้อมกับสวิตช์ ผู้ดูแลระบบสร้างเครือข่ายเสมือนโดยการลากสัญลักษณ์พอร์ตไปไว้บนสัญลักษณ์เครือข่าย

สร้าง VLAN ตามสวิตช์หลายตัว

ทั้งสองวิธีที่อธิบายไว้นั้นขึ้นอยู่กับการเพิ่มข้อมูลลงในตารางที่อยู่ของบริดจ์เท่านั้น และไม่รวมข้อมูลเกี่ยวกับสมาชิกของเฟรมในเครือข่ายเสมือนในเฟรมที่ส่ง วิธีอื่นๆ ใช้ฟิลด์เฟรมที่มีอยู่หรือเพิ่มเติมเพื่อบันทึกข้อมูลการเป็นเจ้าของเฟรมขณะเคลื่อนที่ระหว่างสวิตช์เครือข่าย นอกจากนี้ ไม่จำเป็นต้องจำในแต่ละสวิตช์ว่าเครือข่ายเสมือนใดเป็นเจ้าของที่อยู่ MAC ของเครือข่ายอินเทอร์เน็ต

ฟิลด์เพิ่มเติมที่ทำเครื่องหมายหมายเลขเครือข่ายเสมือนจะใช้เฉพาะเมื่อเฟรมถูกถ่ายโอนจากสวิตช์หนึ่งไปอีกสวิตช์หนึ่ง และเมื่อเฟรมถูกถ่ายโอนไปยังโหนดปลายสุด โดยปกติจะถูกลบออก ในกรณีนี้ โปรโตคอลการโต้ตอบแบบสลับเป็นสวิตช์ได้รับการแก้ไข ในขณะที่ซอฟต์แวร์และฮาร์ดแวร์ของโหนดปลายทางยังคงไม่เปลี่ยนแปลง มีตัวอย่างมากมายของโปรโตคอลที่เป็นกรรมสิทธิ์ดังกล่าว แต่มีข้อเสียเปรียบทั่วไปประการหนึ่ง - ไม่ได้รับการสนับสนุนจากผู้ผลิตรายอื่น Cisco ได้เสนอส่วนหัวโปรโตคอล 802.10 เป็นส่วนเสริมมาตรฐานสำหรับเฟรมของโปรโตคอลเครือข่ายท้องถิ่นใดๆ โดยมีวัตถุประสงค์เพื่อรองรับฟังก์ชันความปลอดภัยของเครือข่ายคอมพิวเตอร์ บริษัทเองก็ใช้วิธีนี้ในกรณีที่สวิตช์เชื่อมต่อถึงกันโดยใช้โปรโตคอล FDDI อย่างไรก็ตาม โครงการริเริ่มนี้ไม่ได้รับการสนับสนุนจากผู้ผลิตสวิตช์ชั้นนำรายอื่นๆ

ในการจัดเก็บหมายเลขเครือข่ายเสมือน มาตรฐาน IEEE 802.1Q จัดให้มีส่วนหัวขนาด 2 ไบต์เพิ่มเติม ซึ่งใช้ร่วมกับโปรโตคอล 802.1p นอกเหนือจากสามบิตสำหรับจัดเก็บค่าลำดับความสำคัญของเฟรม ตามที่อธิบายไว้ในมาตรฐาน 802.1p แล้ว ยังมี 12 บิตในส่วนหัวนี้เพื่อจัดเก็บหมายเลขของเครือข่ายเสมือนที่เฟรมนั้นอยู่ด้วย ข้อมูลเพิ่มเติมนี้เรียกว่าแท็กเครือข่ายเสมือน (VLAN TAG) และอนุญาตให้สวิตช์จากผู้ผลิตหลายรายสามารถสร้างเครือข่ายเสมือนที่ใช้ร่วมกันได้มากถึง 4,096 เครือข่าย เฟรมดังกล่าวเรียกว่า "แท็ก" ความยาวของเฟรมอีเธอร์เน็ตที่ติดแท็กจะเพิ่มขึ้น 4 ไบต์ เนื่องจากนอกเหนือจากสองไบต์ของแท็กแล้ว ยังมีการเพิ่มไบต์อีกสองไบต์ด้วย โครงสร้างของเฟรมอีเธอร์เน็ตที่ติดแท็กจะแสดงในรูปที่ 5 ด้วยการเพิ่มส่วนหัว 802.1p/Q ช่องข้อมูลจะลดลงสองไบต์

รูปที่ 5. โครงสร้างของเฟรมอีเธอร์เน็ตที่ทำเครื่องหมายไว้

การเกิดขึ้นของมาตรฐาน 802.1Q ทำให้สามารถเอาชนะความแตกต่างในการใช้งาน VLAN ที่เป็นกรรมสิทธิ์ และบรรลุความเข้ากันได้เมื่อสร้างเครือข่ายท้องถิ่นเสมือน เทคนิค VLAN ได้รับการสนับสนุนโดยผู้ผลิตทั้งสวิตช์และอะแดปเตอร์เครือข่าย ในกรณีหลัง อะแดปเตอร์เครือข่ายสามารถสร้างและรับเฟรมอีเทอร์เน็ตที่แท็กซึ่งมีฟิลด์ VLAN TAG หากอะแดปเตอร์เครือข่ายสร้างเฟรมที่ทำเครื่องหมายไว้ มันจะกำหนดว่าเป็นของเครือข่ายเฉพาะที่เสมือน ดังนั้นสวิตช์จะต้องประมวลผลเฟรมเหล่านั้นตามนั้น กล่าวคือ ส่งหรือไม่ส่งไปยังพอร์ตเอาต์พุต ขึ้นอยู่กับสมาชิกของพอร์ต โปรแกรมควบคุมอะแดปเตอร์เครือข่ายได้รับหมายเลขของเครือข่ายท้องถิ่นเสมือนจากผู้ดูแลระบบเครือข่าย (ผ่านการกำหนดค่าด้วยตนเอง) หรือจากแอปพลิเคชันบางตัวที่ทำงานบนโหนดนี้ แอปพลิเคชันดังกล่าวสามารถทำงานจากส่วนกลางบนเซิร์ฟเวอร์เครือข่ายตัวใดตัวหนึ่งและจัดการโครงสร้างของเครือข่ายทั้งหมดได้

สนับสนุนโดย เครือข่ายวีแลนอะแดปเตอร์สามารถหลีกเลี่ยงการกำหนดค่าแบบคงที่โดยการกำหนดพอร์ตให้กับเครือข่ายเสมือนเฉพาะ อย่างไรก็ตาม การกำหนดค่า VLAN แบบคงที่ยังคงได้รับความนิยม เนื่องจากช่วยให้คุณสร้างเครือข่ายที่มีโครงสร้างโดยไม่ต้องใช้ซอฟต์แวร์โหนดปลายสุด

Natalya Olifer เป็นคอลัมนิสต์ของ Journal of Network Solutions/LAN สามารถติดต่อเธอได้ที่:

ทุกปี การสื่อสารทางอิเล็กทรอนิกส์กำลังได้รับการปรับปรุงและ การแลกเปลี่ยนข้อมูลกำลังถูกนำเสนอมากขึ้นเรื่อยๆ ความต้องการสูงความเร็ว ความปลอดภัย และคุณภาพของการประมวลผลข้อมูล

และที่นี่เราจะดูรายละเอียดเกี่ยวกับการเชื่อมต่อ VPN: คืออะไร มีไว้เพื่ออะไร อุโมงค์ VPNและวิธีการใช้งาน การเชื่อมต่อ VPN.

เนื้อหานี้เป็นคำเบื้องต้นสำหรับบทความชุดหนึ่งซึ่งเราจะบอกวิธีสร้าง VPN บนระบบปฏิบัติการต่างๆ

การเชื่อมต่อ VPN คืออะไร?

ดังนั้นเสมือน เครือข่ายส่วนตัว VPN เป็นเทคโนโลยีที่ให้ความปลอดภัย (ปิดจาก การเข้าถึงภายนอก) การเชื่อมต่อ เครือข่ายลอจิคัลผ่านทางส่วนตัวหรือสาธารณะหากคุณมีอินเทอร์เน็ตความเร็วสูง

นี้ การเชื่อมต่อเครือข่ายคอมพิวเตอร์ (ซึ่งอยู่ห่างจากกันทางภูมิศาสตร์ในระยะทางที่มากพอสมควร) ใช้การเชื่อมต่อแบบ "จุดต่อจุด" (หรืออีกนัยหนึ่งคือ "คอมพิวเตอร์กับคอมพิวเตอร์")

ตามหลักวิทยาศาสตร์ วิธีการเชื่อมต่อนี้เรียกว่าอุโมงค์ VPN (หรือโปรโตคอลอุโมงค์) คุณสามารถเชื่อมต่อกับอุโมงค์ดังกล่าวได้หากคุณมีคอมพิวเตอร์ ระบบปฏิบัติการซึ่งรวมไคลเอนต์ VPN ที่สามารถ "ส่งต่อ" พอร์ตเสมือนโดยใช้โปรโตคอล TCP/IP ไปยังเครือข่ายอื่น

ทำไมคุณถึงต้องใช้ VPN?

พื้นฐาน ข้อได้เปรียบของ VPNคือผู้เจรจาใหม่จำเป็นต้องมีแพลตฟอร์มการเชื่อมต่อที่ไม่เพียงแต่ปรับขนาดได้อย่างรวดเร็ว แต่ยัง (ในเบื้องต้น) ช่วยให้มั่นใจได้ถึงการรักษาความลับของข้อมูล ความสมบูรณ์ของข้อมูล และการรับรองความถูกต้อง

แผนภาพแสดงการใช้เครือข่าย VPN อย่างชัดเจน

กฎสำหรับการเชื่อมต่อผ่านช่องทางที่ปลอดภัยจะต้องเขียนบนเซิร์ฟเวอร์และเราเตอร์ก่อน

VPN ทำงานอย่างไร

เมื่อมีการเชื่อมต่อผ่าน VPN ส่วนหัวของข้อความจะมีข้อมูลเกี่ยวกับที่อยู่ IP ของเซิร์ฟเวอร์ VPN และเส้นทางระยะไกล

ข้อมูลแบบห่อหุ้มที่ส่งผ่านเครือข่ายที่ใช้ร่วมกันหรือสาธารณะไม่สามารถดักจับได้เนื่องจากข้อมูลทั้งหมดได้รับการเข้ารหัส

ขั้นตอนการเข้ารหัส VPN ถูกนำมาใช้ในฝั่งผู้ส่ง และข้อมูลของผู้รับจะถูกถอดรหัสโดยใช้ส่วนหัวของข้อความ (หากมีคีย์การเข้ารหัสที่ใช้ร่วมกัน)

หลังจาก การถอดรหัสที่ถูกต้องข้อความระหว่างสองเครือข่าย การเชื่อมต่อ VPN จะถูกสร้างขึ้น ซึ่งช่วยให้คุณทำงานบนเครือข่ายสาธารณะได้ (เช่น แลกเปลี่ยนข้อมูลกับไคลเอนต์ 93.88.190.5)

เกี่ยวกับ ความปลอดภัยของข้อมูลแสดงว่าอินเทอร์เน็ตเป็นเครือข่ายที่ไม่ปลอดภัยอย่างยิ่งและเป็นเครือข่าย VPN ด้วย โปรโตคอล OpenVPN, L2TP / IPSec , PPTP, PPPoE - ปลอดภัยอย่างสมบูรณ์และ อย่างปลอดภัยการถ่ายโอนข้อมูล

ทำไมคุณถึงต้องการช่อง VPN?

ใช้การทันเนล VPN:

ข้างใน เครือข่ายองค์กร;

เพื่อรวมสำนักงานระยะไกลและสาขาขนาดเล็กเข้าด้วยกัน

สำหรับบริการโทรศัพท์ดิจิทัลที่มีบริการโทรคมนาคมที่หลากหลาย

เพื่อเข้าถึงทรัพยากรไอทีภายนอก

สำหรับการสร้างและดำเนินการประชุมทางวิดีโอ

ทำไมคุณถึงต้องใช้ VPN?

จำเป็นต้องมีการเชื่อมต่อ VPN สำหรับ:

งานที่ไม่เปิดเผยตัวตนบนอินเทอร์เน็ต

ดาวน์โหลดแอปพลิเคชันเมื่อที่อยู่ IP ตั้งอยู่ในเขตภูมิภาคอื่นของประเทศ

การทำงานที่ปลอดภัยในสภาพแวดล้อมขององค์กรโดยใช้การสื่อสาร

ความเรียบง่ายและสะดวกในการตั้งค่าการเชื่อมต่อ

บทบัญญัติ ความเร็วสูงการเชื่อมต่อโดยไม่หยุดชะงัก

การสร้างช่องทางที่ปลอดภัยโดยไม่มีการโจมตีของแฮกเกอร์

วิธีใช้ VPN?

สามารถให้ตัวอย่างวิธีการทำงานของ VPN ได้อย่างไม่มีที่สิ้นสุด ดังนั้นในคอมพิวเตอร์ทุกเครื่องบนเครือข่ายองค์กรเมื่อทำการติดตั้งระบบป้องกัน การเชื่อมต่อ VPNคุณสามารถใช้เมลเพื่อตรวจสอบข้อความ เผยแพร่เนื้อหาจากที่ใดก็ได้ในประเทศ หรือดาวน์โหลดไฟล์จากเครือข่ายทอร์เรนต์

VPN: มันคืออะไรในโทรศัพท์ของคุณ?

การเข้าถึงผ่าน VPN บนโทรศัพท์ของคุณ (iPhone หรืออุปกรณ์ Android อื่น ๆ) ช่วยให้คุณสามารถใช้อินเทอร์เน็ตได้ สถานที่สาธารณะรักษาความเป็นนิรนามตลอดจนป้องกันการสกัดกั้นการรับส่งข้อมูลและการแฮ็กอุปกรณ์

ไคลเอนต์ VPN ที่ติดตั้งบนระบบปฏิบัติการใด ๆ ช่วยให้คุณสามารถข้ามการตั้งค่าและกฎต่างๆ ของผู้ให้บริการได้ (หากผู้ให้บริการได้กำหนดข้อจำกัดไว้)

VPN ใดให้เลือกสำหรับโทรศัพท์ของคุณ?

โทรศัพท์มือถือและสมาร์ทโฟนที่ใช้ระบบปฏิบัติการ Android สามารถใช้แอปพลิเคชันจาก Google Playmarket:

- vpnRoot, droidVPN,
- ทอร์เบราว์เซอร์สำหรับการท่องเครือข่ายหรือที่เรียกว่าออร์บอต
- ในเบราว์เซอร์, orfox (firefox+tor),
- ซุปเปอร์ VPN ฟรีไคลเอนต์ VPN
- เชื่อมต่อ OpenVPN
- TunnelBear VPN
- ไฮด์แมน VPN

โปรแกรมเหล่านี้ส่วนใหญ่ให้บริการเพื่อความสะดวกในการตั้งค่าระบบ "ร้อน" การวางตำแหน่งทางลัดในการเรียกใช้ ท่องเว็บแบบไม่ระบุชื่ออินเทอร์เน็ต เลือกประเภทการเข้ารหัสการเชื่อมต่อ

แต่งานหลัก. ใช้ VPNทางโทรศัพท์ - นี่คือเช็ค จดหมายองค์กรการสร้างการประชุมทางวิดีโอที่มีผู้เข้าร่วมหลายคน รวมถึงการจัดการประชุมภายนอกองค์กร (เช่น เมื่อพนักงานเดินทางไปทำธุรกิจ)

VPN บน iPhone คืออะไร?

มาดูกันว่าควรเลือก VPN ใดและวิธีเชื่อมต่อกับ iPhone ของคุณโดยละเอียด

ขึ้นอยู่กับประเภทของเครือข่ายที่รองรับ เมื่อคุณเริ่มการกำหนดค่า VPN บน iPhone ของคุณเป็นครั้งแรก คุณสามารถเลือกโปรโตคอลต่อไปนี้: L2TP, PPTP และ Cisco IPSec (นอกจากนี้ คุณสามารถ "สร้าง" การเชื่อมต่อ VPN โดยใช้แอปพลิเคชันบุคคลที่สาม) .

โปรโตคอลข้างต้นทั้งหมดรองรับคีย์เข้ารหัส การระบุตัวตนผู้ใช้โดยใช้รหัสผ่าน และการรับรอง

ท่ามกลาง ฟังก์ชั่นเพิ่มเติมเมื่อตั้งค่าโปรไฟล์ VPN บน iPhone คุณสามารถสังเกต: ความปลอดภัย RSA ระดับการเข้ารหัส และกฎการอนุญาตสำหรับการเชื่อมต่อกับเซิร์ฟเวอร์

สำหรับ โทรศัพท์ไอโฟนจาก Appstore คุณควรเลือก:

- สมัครฟรี Tunnelbear ที่คุณสามารถเชื่อมต่อได้ เซิร์ฟเวอร์ VPNประเทศใดก็ได้
- การเชื่อมต่อ OpenVPN เป็นหนึ่งในไคลเอนต์ VPN ที่ดีที่สุด ที่นี่ ในการเปิดแอปพลิเคชัน คุณต้องนำเข้าคีย์ RSA ผ่าน iTunes ลงในโทรศัพท์ของคุณก่อน
- Cloak เป็นแอปพลิเคชันแชร์แวร์เนื่องจากผลิตภัณฑ์สามารถ "ใช้งาน" ได้ฟรีในบางครั้ง แต่หากต้องการใช้โปรแกรมหลังจากหมดช่วงสาธิตคุณจะต้องซื้อมัน

การสร้าง VPN: การเลือกและการกำหนดค่าอุปกรณ์

สำหรับ การสื่อสารองค์กรวี องค์กรขนาดใหญ่หรือสมาคมต่างๆ ลบเพื่อนแล้วจากสำนักงานอื่นใช้อุปกรณ์ฮาร์ดแวร์ที่สามารถรองรับการทำงานบนเครือข่ายได้อย่างต่อเนื่องและปลอดภัย

ในการใช้เทคโนโลยี VPN บทบาทของเกตเวย์เครือข่ายอาจเป็น: เซิร์ฟเวอร์ Unix เซิร์ฟเวอร์วินโดวส์, เราเตอร์เครือข่ายและ เกตเวย์เครือข่ายที่ติดตั้ง VPN ไว้

เซิร์ฟเวอร์หรืออุปกรณ์ที่ใช้สร้าง เครือข่าย VPNรัฐวิสาหกิจหรือ ช่อง VPNระหว่างสำนักงานระยะไกลต้องดำเนินการที่ซับซ้อน ปัญหาทางเทคนิคและให้บริการอย่างครบวงจรแก่ผู้ใช้ทั้งบนเวิร์คสเตชั่นและอุปกรณ์มือถือ

ต้องมีเราเตอร์หรือเราเตอร์ VPN ใด ๆ การดำเนินงานที่เชื่อถือได้บนเครือข่ายโดยไม่ค้าง และฟังก์ชัน VPN ในตัวช่วยให้คุณเปลี่ยนการกำหนดค่าเครือข่ายสำหรับการทำงานที่บ้าน ในองค์กร หรือในสำนักงานระยะไกลได้

การตั้งค่า VPN บนเราเตอร์

โดยทั่วไปแล้ว การตั้งค่า VPNบนเราเตอร์นั้นดำเนินการโดยใช้เว็บอินเตอร์เฟสของเราเตอร์ บนอุปกรณ์ "คลาสสิก" สำหรับ องค์กร VPNคุณต้องไปที่ส่วน "การตั้งค่า" หรือ "การตั้งค่าเครือข่าย" ซึ่งคุณเลือกส่วน VPN ระบุประเภทโปรโตคอล ป้อนการตั้งค่าสำหรับที่อยู่เครือข่ายย่อยของคุณ ปิดบัง และระบุช่วงของที่อยู่ IP สำหรับผู้ใช้

นอกจากนี้ เพื่อรักษาความปลอดภัยการเชื่อมต่อ คุณจะต้องระบุอัลกอริธึมการเข้ารหัส วิธีการตรวจสอบสิทธิ์ สร้างคีย์ข้อตกลง และระบุ เซิร์ฟเวอร์ DNSชนะ ในพารามิเตอร์ "เกตเวย์" คุณต้องระบุที่อยู่ IP ของเกตเวย์ (IP ของคุณเอง) และกรอกข้อมูลในอะแดปเตอร์เครือข่ายทั้งหมด

หากมีเราเตอร์หลายตัวบนเครือข่าย คุณจะต้องกรอกตารางเส้นทาง VPN สำหรับอุปกรณ์ทั้งหมดในทันเนล VPN

นี่คือรายการ อุปกรณ์ฮาร์ดแวร์ใช้เมื่อสร้างเครือข่าย VPN:

เราเตอร์ Dlink: DIR-320, DIR-620, DSR-1000 พร้อมเฟิร์มแวร์ใหม่หรือ เราเตอร์ดีลิงค์ DI808HV.

เราเตอร์ Cisco PIX 501, Cisco 871-SEC-K9

เราเตอร์ Linksys Rv082 ที่รองรับอุโมงค์ VPN ประมาณ 50 ช่อง

เราเตอร์ Netgear DG834G และเราเตอร์รุ่น FVS318G, FVS318N, FVS336G, SRX5308

เราเตอร์ Mikrotik พร้อมฟังก์ชั่น OpenVPN ตัวอย่างบอร์ดเราเตอร์ RB/2011L-IN Mikrotik

อุปกรณ์ VPN RVPN S-Terra หรือ VPN Gate

เราเตอร์ ASUS รุ่น RT-N66U, RT-N16 และ RT N-10

เราเตอร์ไซเซล ZyWALL 5, ZyWALL P1, ZyWALL USG