Віртуальні локальні мережі (VLAN). Розглянемо деякі варіанти побудови VPN. Що таке vpn в айфоні

Віртуальна мережа являє собою комутовану мережу, в якій виконано логічне сегментування за виконуваними функціями, використовуваними програмами або за належністю користувачів до певного відділу, незалежно від фізичного розташуванняїх комп'ютери. Кожен порт комутатора може бути включений до віртуальної мережі. Усі порти, включені до однієї віртуальної мережі, приймають широкомовні повідомленняу її межах, тоді як порти, до неї не включені, цих повідомлень не приймають. Розрізняються три способи реалізації віртуальних мереж, які можуть бути використані для включення портів комутаторів у віртуальну мережу: із центральним портом, статичний та динамічний.

Статична віртуальна мережа (static VLAN)є сукупністю портів комутатора, статично об'єднаних у віртуальну мережу. Ці порти підтримують призначену конфігурацію, доки вона не буде змінена адміністратором. Хоча для внесення змін статичні віртуальні мережі вимагають втручання адміністратора, до їх переваг можна віднести високий рівеньбезпеки, легкість конфігурування та можливість безпосереднього спостереження за роботою мережі.

Динамічні віртуальні мережі (dynamic VLAN)являють собою логічне об'єднання портів комутатора, які можуть автоматично визначати своє розташування віртуальної мережі. Функціонування динамічної віртуальної мережі полягає в МАС - адресах, на логічної адресації чи типі протоколу пакетів даних. Основними перевагами такого підходу є зменшення обсягу робіт при додаванні нового користувача або при переїзді вже існуючого та централізоване сповіщення всіх користувачів при додаванні до мережі невідомого користувача. Основна робота в цьому випадку полягає в установці бази даних у програмне забезпечення управління віртуальною мережею та у підтримці її актуальності.

Віртуальні мережі з групуванням портів (port-based VLAN)

У цьому випадку адміністратор призначає кожен порт комутатора, що належить VLAN. Наприклад, порти 1-3 можуть бути призначені для VLAN відділу продажів, порти 4-6 для VLAN розробників та порти 7-9 для VLAN мережевого адміністрування. Комутатор визначає, до якого VLAN належить кожен пакет, враховуючи порт, куди він прибув.

Коли комп'ютер користувача підключається до іншого порту комутатора, адміністратор мережі може просто призначити новий портдля старого VLAN, до якого належав користувач. В цьому випадку мережеві зміниповністю прозорі для користувача та адміністратору не потрібно змінювати топологію мережі. Однак, цей метод має один істотний недолік, якщо концентратор підключений до порту комутатора, всі користувачі, підключені до нього, повинні належати тому ж VLAN.

Отже, таке рішення малоприйнятне при використанні концентраторів або мереж з потужними серверами, до яких звертається багато користувачів (сервер не вдасться включити в різні VLAN). Крім того, віртуальні мережі на основі портів не дозволяють вносити до мережі зміни достатньо простим шляхом, оскільки кожну зміну потребує фізичне перемикання пристроїв.

У віртуальних мережах з угрупуванням портів всі вузли віртуальної мережі підключені до одного і того ж інтерфейсу маршрутизатора. На малюнку показано сімейство користувачів віртуальної мережі, підключених до порту маршрутизатора. Таке підключення полегшує роботу адміністратора та підвищує ефективність роботи мережі, оскільки:

1) у віртуальній мережі легко виконуються адміністративні дії;
2) підвищується безпека під час обміну інформацією між віртуальними мережами; пакети не "просочуються" в інші домени.

У найпростішому випадку пристрій має лише один мережевий інтерфейс, може бути увімкнено лише в один VLAN. Для включення мережевого пристроюу кілька VLAN він повинен мати кілька мережевих адаптерів.

IEEE 802.1Q стандарт у рамках специфікації port-based VLAN передбачає взаємодію з пристроями, які не підтримують інкапсуляцію 802.1q. Відповідно до цієї специфікації, кожен тип кадрів призначається різним VLAN. Спочатку всі порти комутатора належать VLAN з ідентифікатором мережі port VLAN ID (PVID).

PVID має чисельне значення, за замовчуванням 1. Усі кадри, що не мають мітки VLAN, які генеруються пристроями, що не підтримують VLAN, ідентифікуються як належать VLAN c PVID. Якщо кадр генерується пристроєм з підтримкою VLAN, він містить відповідний тег VLAN, в якому прописаний VLAN ID (VID). Кожен порт комутатора може мати один або більше VID. Коли кадр надходить на порт комутатора, він ідентифікується за його VID. Комутатор переглядає таблицю VLAN і пересилає кадр на порти, що мають той самий VID.

У прикладі на малюнку кадр без тега, що надходить від пристрою на порту 0, ідентифікується як VLAN c PVID=1 і пересилається на порт 1, що має той же PVID. Якщо пристрій на порту 1 надійде кадр з VID=2, він буде переданий на порти 0 і 3.

Віртуальні мережі на основі MAC адресаа (MAC address-based VLAN)

На основі MAC адреси (MAC address-based VLAN) - у разі приналежність пакета до VLAN визначається MAC адресою джерела чи приймача. Кожен комутатор підтримує таблицю MAC адрес та їх співвідношення з VLAN. Ключова перевагацього методу полягає в тому, що не потрібна переконфігурація комутатора при перепідключенні користувачів до різним портам. Однак, присвоєння MAC адрес VLAN може вимагати значних тимчасових витрат, а також присвоєння окремих MAC адрес кільком VLAN може бути непростим завданням. Це може бути суттєвим обмеженням для спільного використання ресурсів сервера між кількома VLAN. (Хоча MAC адреса теоретично може бути присвоєна безлічі VLAN, це може викликати серйозні проблемиз існуючою маршрутизацією та помилки, пов'язані з таблицями пересилання пакетів у комутаторі.)

Як правило, для створення такої мережі виробник обладнання передбачає наявність керуючого програмного забезпеченнядля керування мережею.

Взаємодія між VLAN може здійснюватися двома способами. У першому пристрій повинен бути встановлений додатковий мережевий адаптер і асоційований з іншою мережею. Цей спосіб неприйнятний при великій кількості пристроїв, що включаються до декількох VLAN. У другий випадок для об'єднання мереж використовується маршрутизатор. Однак у цьому випадку є обмеження. Маршрутизатор повинен мати окремий порт кожної VLAN. При цьому не можна поєднати мережі в одному сегменті, оскільки маршрутизатор працює на 3-му рівні моделі OSI.

Віртуальні мережі мережного рівня

При використанні іншого підходу комутатори повинні для утворення віртуальної мережі розуміти будь-яку мережевий протокол. Такі комутатори називають комутаторами 3-го рівня, оскільки вони поєднують функції комутації та маршрутизації. Кожна віртуальна мережа отримує певну мережеву адресу - як правило, IP або IPX.

Тісна інтеграція комутації та маршрутизації дуже зручна для побудови віртуальних мереж, тому що в цьому випадку не потрібно введення додаткових полів у кадри. До того ж адміністратор лише одноразово визначає мережі, а не повторює цю роботу на канальному та мережевому рівнях. Приналежність кінцевого вузла до тієї чи іншої віртуальної мережі у разі задається традиційним способом- За допомогою завдання мережевої адреси. Порти комутатора також отримують мережеві адреси, причому можуть підтримуватись нестандартні для класичних маршрутизаторів ситуації, коли один порт може мати декілька мережевих адрес, якщо через нього проходить трафік кількох віртуальних мереж, або кілька портів мають одну й ту саму адресу мережі, якщо вони обслуговують одну й ту саму віртуальну мережу.

При передачі кадрів у межах однієї і тієї ж віртуальної мережі комутатори 3-го рівня працюють як класичні комутатори 2-го рівня, а за необхідності передачі кадру з однієї віртуальної мережі до іншої - як маршрутизатори. Рішення про маршрутизації зазвичай приймається традиційним способом - його робить кінцевий вузол, коли бачить на підставі мережевих адрес джерела та призначення, що кадр потрібно надіслати в іншу мережу.

Однак, використання мережного протоколу для побудови віртуальних мереж обмежує область їх застосування лише комутаторами 3-го рівня та вузлами, що підтримують мережевий протокол. Звичайні комутатори не зможуть підтримувати такі віртуальні мережі. великим недоліком. За бортом також залишаються мережі на основі протоколів, що не маршрутизуються, насамперед мережі NetBIOS.

У межах даних VLAN розрізняють мережі з урахуванням підмереж, з урахуванням протоколів, і з урахуванням правил.

Віртуальні мережі на базі підмереж

Як приклад такої організації VLAN можна навести мережу, де одна підмережа, скажімо, класу C з адресацією 198.78.55.0/24 відповідає одній VLAN, друга підмережа класу C 198.78.42.0/24 відповідає другий VLAN.

Нестача даного способуполягає в тому, що якщо комутатор не підтримує кілька IP підмереж на одному порту, для переміщення в іншу VLAN потрібно фізичне перемикання робочої станції.

Віртуальні мережі на базі мережного протоколу

Віртуальні ЛОМ мережевогорівня дозволяють адміністратору зв'язати трафік для того чи іншого протоколу у відповідній віртуальній мережі. Так само створюються широкомовні домени в мережах на основі маршрутизаторів. Протокол може бути заданий у формі IP-підмережі чи мережевого номера IPX. Можна, наприклад, об'єднати у віртуальну ЛОМ всіх користувачів підмережі, яка була організована до використання комутаторів.

Як приклад можна навести мережу, де пристрої, які підтримують лише IP протокол, перебувають у одній VLAN, підтримують лише IPX протокол – на другий VLAN, і той і інший протокол - перебувають у обох мережах.

Віртуальні мережі на базі правил

Для включення пристроїв у віртуальні ЛОМ можна використовувати всі перераховані вище способи за умови їх підтримки комутаторами. Після того, як правила завантажені у всі комутатори, вони забезпечують організацію VLANна основі заданих адміністратором критеріїв. Оскільки в таких мережах кадри постійно переглядаються щодо відповідності заданим критеріям, приналежність користувачів до віртуальних мереж може змінюватися залежно від поточної діяльності користувачів.

Віртуальні ЛОМ на основі правил використовують широкий набір критеріїв приналежності до мережі, включаючи всі перелічені вище варіанти: MAC-адреси, адреси мережного рівня, тип протоколу і т.д. Можливо також використовувати будь-які комбінації критеріїв для створення правил, що найбільш точно відповідають вашим завданням.

Віртуальною локальною мережею (Virtual Local Area Network, VLAN) називається група вузлів мережі, трафік якої, зокрема широкомовний, на канальному рівні повністю ізольований від трафіку інших вузлів мережі.

Мал. 14.10. Віртуальні локальні мережі.

Це означає, що передача кадрів між різними віртуальними мережами на підставі адреси канального рівнянеможлива незалежно від типу адреси (унікальної, групової або широкомовної). У той самий час усередині віртуальної мережі кадри передаються за технологією комутації, якщо тільки той порт, який пов'язані з адресою призначення кадру.

Віртуальні локальні мережі можуть перекриватися, якщо один або кілька комп'ютерів входять до складу більш ніж однієї віртуальної мережі. На рис. 14.10 сервер електронної пошти входить до складу віртуальних мереж 3 і 4. Це означає, що його кадри передаються комутаторами всім комп'ютерам, які входять до цих мереж. Якщо ж якийсь комп'ютер входить до складу лише віртуальної мережі 3, його кадри до мережі 4 доходити ні, але може взаємодіяти з комп'ютерами мережі 4 через загальний поштовий сервер. Така схема захищає віртуальні мережі один від одного не повністю, наприклад, широкомовний шторм, що виник на сервері електронної пошти, затопить мережу 3, і мережу 4.

Кажуть, що віртуальна мережа утворює домен широкомовного трафіку за аналогією до домену колізій, який утворюється повторювачами мереж Ethernet.

Призначення віртуальних мереж

Як ми бачили на прикладі з попереднього розділу, за допомогою фільтрів можна втручатися в нормальну роботу комутаторів і обмежувати взаємодію вузлів локальної мережі відповідно до необхідних правил доступу. Однак механізм користувальницьких фільтрів комутаторів має кілька недоліків:

Доводиться задавати окремі умови для кожного вузла мережі, використовуючи громіздкі МАС-адреси. Набагато простіше було б групувати вузли та описувати умови взаємодії одночасно для груп.

Неможливо блокувати широкомовний трафік. Широкомовний трафік може бути причиною недоступності мережі, якщо якийсь її вузол навмисне або ненавмисне з великою інтенсивністю генерує широкомовні кадри.

Техніка віртуальних локальних мереж вирішує завдання обмеження взаємодії вузлів мережі в інший спосіб.

Основне призначення технології VLANполягає у полегшенні процесу створення ізольованих мереж, які потім зв'язуються між собою за допомогою маршрутизаторів. Така побудова мережі створює потужні бар'єри на шляху небажаного трафіку з однієї мережі до іншої. Сьогодні вважається очевидним, що будь-яка велика їжа повинна включати маршрутизатори, інакше потоки помилкових кадрів, наприклад широкомовних, періодично «затоплюватимуть» всю мережу через прозорі для них комутатори, приводячи її в непрацездатний стан.

Перевагою технології віртуальних мереж є те, що вона дозволяє створювати повністю ізольовані сегменти мережі шляхом логічного конфігурування комутаторів, не вдаючись до зміни фізичної структури.

До появи технології VLAN для створення окремої мережівикористовувалися або фізично ізольовані сегменти коаксіального кабелю, або пов'язані між собою сегменти, побудовані на повторювачах і мостах. Потім ці мережі зв'язувалися маршрутизаторами до єдиної складової мережі (рис. 14.11).

Зміна складу сегментів (перехід користувача в іншу мережу, дроблення великих сегментів) при такому підході передбачає фізичну перекомутацію роз'ємів на передніх панелях повторювачів або на кросових панелях, що не дуже зручно в великих мережах- багато фізичної роботи, до того ж висока ймовірність помилки.

Мал. 14.11. Складова мережа, що складається з мереж, побудованих на основі повторювачів

Для зв'язування віртуальних мереж у загальну мережу потрібне залучення засобів мережного рівня. Він може бути реалізований в окремому маршрутизаторі або у складі програмного забезпечення комутатора, який стає комбінованим пристроєм - так званим комутатором 3-го рівня.

Технологія віртуальних мереж довгий часне стандартизувалася, хоч і була реалізована в дуже широкому спектрі моделей комутаторів різних виробників. Положення змінилося після ухвалення у 1998 році стандарту IEEE 802.1Q, який визначає базові правилапобудови віртуальних локальних мереж, які від протоколу канального рівня, підтримуваного комутатором.

Створення віртуальних мереж на базі одного комутатора

При створенні віртуальних мереж на основі одного комутатора зазвичай використовують механізм групування портів комутатора (рис. 14.12). При цьому кожен порт приписується тій чи іншій віртуальній мережі. Кадр, що надходить від порту, що належить, наприклад, віртуальної мережі 1, ніколи не буде переданий порту, який не належить цій віртуальній мережі. Порт можна приписати кільком віртуальним мережам, хоча на практиці так роблять рідко - зникає ефект повної ізоляції мереж.

Створення віртуальних мереж шляхом групування портів не вимагає від адміністратора великого обсягу ручної роботи- Досить кожен порт приписати до однієї з кількох заздалегідь названих віртуальних мереж. Зазвичай така операція виконується за допомогою спеціальної програми, що додається до комутатора.

Другий спосіб утворення віртуальних мереж базується на групуванні МАС-адрес. Кожна МАС-адреса, яка вивчена комутатором, приписується тій чи іншій віртуальній мережі. При існуванні в мережі багатьох вузлів цей спосіб вимагає від адміністратора великого обсягу ручної роботи. Однак при побудові віртуальних мереж на основі кількох комутаторів він виявляється гнучкішим, ніж групування портів.

Мал. 14.12. Віртуальні мережі, побудовані на одному комутаторі

Створення віртуальних мереж на базі кількох комутаторів

Малюнок 14.13 ілюструє проблему, що виникає під час створення віртуальних мереж з урахуванням кількох комутаторів, підтримують техніку групування портів.

Мал. 14.13. Побудова віртуальних мереж на кількох комутаторах із групуванням портів

Якщо вузли будь-якої віртуальної мережі підключені до різних комутаторів, то для підключення кожної такої мережі на комутаторах має бути виділена спеціальна пара портів. Таким чином, комутатори з групуванням портів вимагають свого з'єднання стільки портів, скільки віртуальних мереж вони підтримують. Порти та кабелі використовуються в цьому випадку дуже марнотратно. Крім того, при з'єднанні віртуальних мереж через маршрутизатор кожної віртуальної мережі виділяється окремий кабель і окремий порт маршрутизатора, що також призводить до великих накладних витрат.

Групування МАС-адрес у віртуальну мережу на кожному комутаторі позбавляє необхідності зв'язувати їх по кількох портах, оскільки в цьому випадку МАС-адреса стає міткою віртуальної мережі. Однак цей спосіб вимагає виконання великої кількостіручних операцій з маркування МАС-адрес на кожному комутаторі мережі.

Описані два підходи засновані тільки на додаванні додаткової інформації до адресних таблиць комутатора і в них відсутня можливість вбудовування в кадр інформації, що передається, про належність кадру віртуальної мережі. В інших підходах використовуються наявні або додаткові поля кадру для збереження інформації про належність кадру тієї чи іншої віртуальної локальної мережі при переміщеннях між комутаторами мережі. При цьому немає необхідності пам'ятати в кожному комутаторі про належність усіх МАС-адрес складової мережі віртуальним мережам.

Ethernet вносить додатковий заголовок, який називається тегом віртуальної локальної мережі.

Тег VLAN не є обов'язковим для кадрів Ethernet. Кадр, який має такий заголовок, називають позначеним (tagged frame). Комутатори можуть одночасно працювати як з поміченими, так і непоміченими кадрами. Через додавання VLAN тега максимальна довжинаполя даних зменшилася на 4 байти.

Для того щоб обладнання локальних мереж могло відрізняти та розуміти позначені кадри, для них введено спеціальне значення поля EtherType, що дорівнює 0x8100. Це значення говорить про те, що за ним слідує поле TCI, а не стандартне поле даних. Зверніть увагу, що у позначеному кадрі за полями тега VLAN слідує інше поле EtherType, що вказує тип протоколу, дані якого переносяться полем даних кадру.

У полі TCI знаходиться 12-бітове поле номера (ідентифікатора) VLAN, званого VID. Розрядність поля VID дозволяє комутаторам створювати до 4096 віртуальних мереж.

Користуючись значенням VID у помічених кадрах, комутатори мережі виконують групову фільтрацію трафіку, розбиваючи мережу на віртуальні сегменти, тобто VLAN. Для підтримки цього режиму кожен порт комутатора приписується до однієї чи кількох віртуальних локальних мереж, тобто виконується групування портів.

Для спрощення конфігурування мережі стандарті 802.1Q з'являються поняття лінії доступу і транка.

Лінія доступу пов'язує порт комутатора (названий у цьому випадку портом доступу) з комп'ютером, який належить до деякої віртуальної локальної мережі.

Транк – це лінія зв'язку, яка з'єднує між собою порти двох комутаторів, загалом через транк передається трафік кількох віртуальних мереж.

Для того щоб утворити у вихідній мережі віртуальну локальну мережу, потрібно в першу чергу вибрати для неї значення ідентифікатора VID, відмінне від 1, а потім, використовуй команди конфігурування комутатора, приписати до цієї мережі ті порти, до яких приєднані комп'ютери, що включаються до неї. Порт доступу може бути приписаний лише до однієї віртуальної локальної мережі.

Порти доступу отримують від кінцевих вузлів мережі непомічені кадри і позначають їх тегом VLAN, що містить значення VID, яке призначене цьому порту. При передачі помічених кадрів кінцевому вузлу порт доступу видаляє тег віртуальної локальної мережі.

Для більш наочного описуповернемося до розглянутого раніше прикладу мережі. Нарис. 14.15 показано, як вирішується завдання вибіркового доступу до серверів на основі техніки VLAN.

Мал. 14.15. Розбиття мережі на дві віртуальні локальні мережі

Щоб вирішити це завдання, можна організувати в мережі дві віртуальні локальні мережі, VLAN2 і VLAN3 (нагадаємо, що мережа VLAN1 вже існує за замовчуванням - це наша вихідна мережа), приписано один набір комп'ютерів та серверів до VLAN2, а інший KVLAN3.

Для приписування кінцевих вузлів до певної віртуальної локальної мережі відповідні порти оголошуються портами доступу до цієї мережі шляхом призначення ним відповідного ідентифікатора VID. Наприклад, порт 1 комутатора SW1 повинен бути оголошений портом доступу VLAN2 шляхом призначення йому ідентифікатора VID2, те саме повинно бути зроблено з портом 5 комутатора SW1, портом 1 комутатора SW2 1 портом 1 комутатора SW3. Порти доступу мережі VLAN 3 повинні одержати ідентифікатор VID3.

У ріллі мережі потрібно також організувати транки - ті лінії зв'язку, які з'єднують між собою порти комутаторів. Порти, підключені до тран, не додають та не видаляють теги, вони просто передають кадри у незмінному вигляді. У нашому прикладі такими портами повинні бути порти 6 комутаторів SW1 і SW2, а також порти 3 і 4 комутатора ЩЗ. Порти в нашому прикладі повинні підтримувати мережі VLAN2 і VLAN3 (і VLAN1, якщо в мережі є вузли, які явно не приписані до жодної віртуальної локальної мережі).

Комутатори, що підтримують VLAN, здійснюють додаткову фільтрацію трафіку. Якщо таблиця просування комутатора свідчить, то кадр, що прийшов, потрібно передати на деякий порт, перед передачею комутатор перевіряє, чи відповідає значення VTD в тезі VL AN кадру тієї віртуальної локальної мережі, яка приписана до цього порту. У разі відповідності кадр передається, невідповідності – відкидається. Непомічені кадри обробляються аналогічно, але з використанням умовної мережі VLAN1. MAC-адреси вивчаються комутаторами мережі окремо, але з кожної віртуальної локальної мережі.

Техніка VLAN виявляється дуже ефективною для розмежування доступу до серверів. Конфігурування віртуальної локальної мережі не вимагає знання МАС-адрес вузлів, крім того, будь-яка зміна в мережі, наприклад підключення комп'ютера до іншого комутатора, вимагає конфігурування лише порту даного комутатора, а решта комутатори мережі продовжують працювати без внесення змін, в їх конфігурації.

Крім свого основного призначення - підвищення пропускну здатністьз'єднань в мережі - комутатор дозволяє локалізувати потоки інформації, а також контролювати ці потоки і керувати ними за допомогою механізму фільтрів користувача. Однак фільтр користувача здатний перешкодити передачі кадрів лише за конкретними адресами, тоді як широкомовний трафік він передає всім сегментам мережі. Такий принцип дії реалізованого в комутаторі алгоритму роботи моста, тому мережі, створені з урахуванням мостів і комутаторів, іноді називають плоскими - через відсутність бар'єрів шляху широкомовного трафіку.

Технологія віртуальних локальних мереж (Virtual LAN, VLAN), що з'явилася кілька років тому, дозволяє подолати зазначене обмеження. Віртуальною мережею називається група вузлів мережі, трафік якої, у тому числі широкомовний, на канальному рівні повністю ізольований від інших вузлів (див. малюнок 1). Це означає, що безпосередня передача кадрів між різними віртуальними мережами неможлива, незалежно від типу адреси - унікальної, групової або широкомовної. У той самий час усередині віртуальної мережі кадри передаються відповідно до технології комутації, т. е. лише у той порт, якого приписано адресу призначення кадру.

Віртуальні мережі можуть перетинатися, якщо один або кілька комп'ютерів включено до складу більш ніж однієї віртуальної мережі. На Малюнку 1 сервер електронної пошти входить до складу віртуальних мереж 3 та 4, і тому його кадри передаються комутаторами всім комп'ютерам, що входять до цих мереж. Якщо ж якийсь комп'ютер віднесений лише до віртуальної мережі 3, його кадри до мережі 4 доходити не будуть, але може взаємодіяти з комп'ютерами мережі 4 через загальний поштовий сервер. Ця схемане повністю ізолює віртуальні мережі одна від одної - так, ініційований сервером електронної пошти широкомовний шторм захлисне і мережу 3, і мережу 4.

Кажуть, що віртуальна мережа утворює широкомовний домен трафіку (broadcast domain) за аналогією з доменом колізій, який утворюється повторювачами мереж Ethernet.

ПРИЗНАЧЕННЯ VLAN

Технологія VLAN полегшує процес створення ізольованих мереж, зв'язок між якими здійснюється за допомогою маршрутизаторів із підтримкою протоколу мережного рівня, наприклад IP. Таке рішення створює набагато потужніші бар'єри на шляху помилкового трафіку з однієї мережі до іншої. Сьогодні вважається, що будь-яка велика мережа повинна включати маршрутизатори, інакше потоки хибних кадрів, зокрема широкомовних, через прозорі для них комутатори періодично «затоплюватимуть» її, приводячи в непрацездатний стан.

Технологія віртуальних мереж надає гнучку основу для побудови великої мережі, з'єднаної маршрутизаторами, оскільки комутатори дозволяють створювати повністю ізольовані сегменти програмним шляхомне вдаючись до фізичної комутації.

До появи технології VLAN для розгортання окремої мережі використовувалися фізично ізольовані відрізки коаксіального кабелю, або не пов'язані між собою сегменти на базі повторювачів і мостів. Потім мережі об'єднувалися за допомогою маршрутизаторів єдину складову мережу (див. малюнок 2).

Зміна складу сегментів (перехід користувача в іншу мережу, дроблення великих ділянок) при такому підході мало на увазі фізичну перекомутацію роз'ємів на передніх панелях повторювачів або в кросових панелях, що не дуже зручно в великих мережах- це дуже трудомістка робота, а ймовірність помилки дуже висока. Тому для усунення необхідності фізичної перекомутації вузлів стали застосовувати багатосегментні концентратори, щоб склад сегменту, що розділявся, можна було перепрограмувати без фізичної перекомутації.

Однак зміна складу сегментів за допомогою концентраторів накладає великі обмеження на структуру мережі - кількість сегментів такого повторювача зазвичай невелика, і виділити кожному вузлу власний, як це можна зробити за допомогою комутатора, нереально. Крім того, при подібному підході вся робота з передачі даних між сегментами лягає на маршрутизатори, а комутатори зі своєю високою продуктивністюзалишаються «не при справі». Таким чином мережі на базі повторювачів з конфігураційною комутацією, як і раніше, припускають спільне використаннясередовища передачі даних великою кількістювузлів і, отже, мають набагато меншу продуктивність порівняно з мережами на базі комутаторів.

При використанні в комутаторах технології віртуальних мереж одночасно вирішуються два завдання:

підвищення продуктивності кожної з віртуальних мереж, оскільки комутатор передає кадри лише вузлу призначення;
ізоляція мереж один від одного для управління правами доступу користувачів та створення захисних бар'єрів на шляху широкомовних штормів.

Об'єднання віртуальних мереж у загальну мережувиконується на мережевому рівні, перехід на який можливий за допомогою окремого маршрутизатора або комутатора програмного забезпечення. Останній у цьому випадку стає комбінованим пристроєм – так званим комутатором третього рівня.

Технологія формування та функціонування віртуальних мереж за допомогою комутаторів тривалий час не стандартизувалась, хоча й була реалізована у дуже широкому спектрі моделей комутаторів різних виробників. Ситуація змінилася після ухвалення у 1998 р. стандарту IEEE 802.1Q, де визначаються базові правила побудови віртуальних локальних мереж незалежно від того, який протокол канального рівня підтримується комутатором.

Через довгу відсутність стандарту на VLAN кожна велика компанія, Випускає комутатори, розробила свою технологію віртуальних мереж, причому, як правило, несумісну з технологіями інших виробників. Тому, незважаючи на появу стандарту, не так вже й рідко зустрічається ситуація, коли віртуальні мережі, створені на базі комутаторів одного вендора, не розпізнаються і, відповідно, не підтримуються комутаторами іншого.

СТВОРЕННЯ VLAN НА ОСНОВІ ОДНОГО КОМУТАТОРА

При створенні віртуальних мереж на основі одного комутатора зазвичай використовується механізм групування мережі портів комутатора (див. малюнок 3). При цьому кожен із них приписується тій чи іншій віртуальній мережі. p align="justify"> Кадр, що надійшов від порту, що належить, наприклад, віртуальної мережі 1, ніколи не буде переданий порту, який не входить до її складу. Порт можна приписати кільком віртуальним мережам, хоча на практиці так чинять рідко - зникає ефект повної ізоляції мереж.

Групування портів одного комутатора - найбільш логічний спосіб освіти VLAN, оскільки даному випадкувіртуальних мереж може бути більше, ніж портів. Якщо до якогось порту підключено повторювач, то вузли відповідного сегмента не має сенсу включати в різні віртуальні мережі - все одно їхній трафік буде загальним.

Такий підхід не вимагає від адміністратора великого обсягу ручної роботи – достатньо кожен порт приписати до однієї з кількох заздалегідь названих віртуальних мереж. Зазвичай ця операція виконується за допомогою спеціальної програми, що додається до комутатора. Адміністратор створює віртуальні мережі шляхом перетягування мишею графічних символів портів на графічні символимереж.

Інший спосіб утворення віртуальних мереж базується на групуванні MAC-адрес. Кожна відома комутатору MAC-адреса приписується тій чи іншій віртуальній мережі. Якщо мережа має безліч вузлів, адміністратору доведеться виконувати чимало операцій вручну. Однак при побудові віртуальних мереж на основі кількох комутаторів подібний спосіб гнучкіший, ніж групування портів.

СТВОРЕННЯ VLAN НА ОСНОВІ КІЛЬКИХ КОМУТАТОРІВ

На малюнку 4 проілюстрована ситуація, що виникає при створенні віртуальних мереж на основі кількох комутаторів за допомогою групування портів. Якщо вузли будь-якої віртуальної мережі підключені до різних комутаторів, то для з'єднання комутаторів кожної такої мережі має бути виділена окрема пара портів. В іншому випадку інформація про належність кадру тієї чи іншої віртуальної мережі під час передачі з комутатора до комутатора буде втрачена. Таким чином, при методі групування портів для комутаторів з'єднання потрібно стільки портів, скільки віртуальних мереж вони підтримують, - в результаті порти і кабелі використовуються дуже марнотратно. Крім того, для організації взаємодії віртуальних мереж через маршрутизатор кожної мережі необхідний окремий кабель та окремий порт маршрутизатора, що веде до великих накладних витрат.

Групування MAC-адрес у віртуальну мережу на кожному комутаторі позбавляє необхідності їх з'єднання через кілька портів, оскільки в цьому випадку міткою віртуальної мережі є MAC-адреса. Однак такий спосіб вимагає виконання великої кількості ручних операцій з маркування MAC-адрес вручну на кожному комутаторі мережі.

Два описані підходи засновані тільки на додаванні інформації до адресних таблиць моста і не передбачають включення в кадр інформації, що передається, про належність кадру до віртуальної мережі. Інші підходи використовують наявні або додаткові полякадру для запису інформації про належність кадру під час його переміщення між комутаторами мережі. Крім того, немає потреби запам'ятовувати на кожному комутаторі, яким віртуальним мережам належать MAC-адреси об'єднаної мережі.

Додаткове поле з позначкою про номер віртуальної мережі використовується лише тоді, коли кадр передається від комутатора до комутатора, а під час передачі кадру кінцевому вузлу воно зазвичай видаляється. У цьому протокол взаємодії «коммутатор-коммутатор» модифікується, тоді як програмне і апаратне забезпечення кінцевих вузлів залишається незмінним. Прикладів подібних фірмових протоколів багато, але загальна вада у них одна - вони не підтримуються іншими виробниками. Компанія Cisco запропонувала як стандартну добавку до кадрів будь-яких протоколів локальних мереж заголовок протоколу 802.10, призначення якого - підтримка функцій безпеки обчислювальних мереж. Сама компанія звертається до такого методу у випадках, коли комутатори об'єднуються між собою за протоколом FDDI. Проте ця ініціатива була підтримана іншими провідними виробниками комутаторів.

Для зберігання номера віртуальної мережі стандарті IEEE 802.1Q передбачено додатковий заголовок у два байти, який використовується спільно з протоколом 802.1p. Крім трьох біт зберігання значення пріоритету кадру, як і описується стандартом 802.1p, у цьому заголовку 12 біт служать для зберігання номера віртуальної мережі, якій належить кадр. Ця додаткова інформаціяназивається тегом віртуальної мережі (VLAN TAG) і дозволяє комутаторам різних виробників створювати до 4096 загальних віртуальних мереж. Такий кадр називають "відзначений" (tagged). Довжина зазначеного кадру Ethernet збільшується на 4 байт, тому що крім двох байтів власне тега додаються ще два байти. Структура зазначеного кадру Ethernet показана на Малюнку 5. При додаванні заголовка 802.1p/Q поле даних зменшується на два байти.

Малюнок 5. Структура зазначеного кадру Ethernet.

Поява стандарту 802.1Q дозволило подолати відмінності у фірмових реалізаціях VLAN і досягти сумісності при побудові віртуальних локальних мереж. Техніку VLAN підтримують виробники як комутаторів, і мережевих адаптерів. В останньому випадку мережевий адаптер може генерувати та приймати зазначені кадри Ethernet, що містять поле VLAN TAG. Якщо мережевий адаптер генерує зазначені кадри, цим він визначає їх приналежність до тієї чи іншої віртуальної локальної мережі, тому комутатор повинен обробляти їх відповідним чином, тобто передавати чи не передавати на вихідний порт залежно від належності порту. Драйвер мережного адаптера отримує номер своєї (або своїх) віртуальної локальної мережі від адміністратора мережі (шляхом конфігурування вручну) або від деякої програми, що працює на цьому вузлі. Така програма здатна функціонувати централізовано на одному із серверів мережі та керувати структурою всієї мережі.

За підтримки VLAN мережевими адаптерамиможна уникнути статичного конфігурування шляхом приписування порту певної віртуальної мережі. Проте, метод статичного конфігурування VLAN залишається популярним, оскільки дозволяє створити структуровану мережу без залучення програмного забезпечення кінцевих вузлів.

Наталія Оліфер – оглядач «Журналу мережевих рішень/LAN». З нею можна зв'язатися на адресу:

Крім свого основного призначення - підвищення пропускної спроможності з'єднань в мережі - комутатор дозволяє локалізувати потоки інформації, а також контролювати ці потоки та керувати ними за допомогою механізму фільтрів користувача. Однак фільтр користувача здатний перешкодити передачі кадрів лише за конкретними адресами, тоді як широкомовний трафік він передає всім сегментам мережі. Такий принцип дії реалізованого в комутаторі алгоритму роботи моста, тому мережі, створені з урахуванням мостів і комутаторів, іноді називають плоскими - через відсутність бар'єрів шляху широкомовного трафіку.

Віртуальні мережі можуть перетинатися, якщо один або кілька комп'ютерів включено до складу більш ніж однієї віртуальної мережі. На Малюнку 1 сервер електронної пошти входить до складу віртуальних мереж 3 та 4, і тому його кадри передаються комутаторами всім комп'ютерам, що входять до цих мереж. Якщо якийсь комп'ютер віднесено лише до віртуальної мережі 3, його кадри до мережі 4 доходити ні, але може взаємодіяти з комп'ютерами мережі 4 через загальний поштовий сервер. Дана схема не повністю ізолює віртуальні мережі одна від одної - так, ініційований сервером електронної пошти широкомовний шторм захлисне і мережу 3, і мережу 4.

ПРИЗНАЧЕННЯ VLAN

Технологія віртуальних мереж надає гнучку основу для побудови великої мережі, з'єднаної маршрутизаторами, оскільки комутатори дозволяють створювати повністю ізольовані сегменти програмним шляхом, не вдаючись до фізичної комутації.

Зміна складу сегментів (перехід користувача в іншу мережу, дроблення великих ділянок) при такому підході мало на увазі фізичну перекомутацію роз'ємів на передніх панелях повторювачів або в кросових панелях, що не дуже зручно у великих мережах - це дуже трудомістка робота, а ймовірність помилки дуже висока. Тому для усунення необхідності фізичної перекомутації вузлів стали застосовувати багатосегментні концентратори, щоб склад сегменту, що розділявся, можна було перепрограмувати без фізичної перекомутації.

Однак зміна складу сегментів за допомогою концентраторів накладає великі обмеження на структуру мережі - кількість сегментів такого повторювача зазвичай невелика, і виділити кожному вузлу власний, як це можна зробити за допомогою комутатора, нереально. Крім того, при подібному підході вся робота з передачі даних між сегментами лягає на маршрутизатори, а комутатори зі своєю високою продуктивністю залишаються «не при ділі». Таким чином мережі на базі повторювачів з конфігураційною комутацією, як і раніше, припускають спільне використання середовища передачі даних великою кількістю вузлів і, отже, мають набагато меншу продуктивність порівняно з мережами на базі комутаторів.

При використанні в комутаторах технології віртуальних мереж одночасно вирішуються два завдання:

підвищення продуктивності кожної з віртуальних мереж, оскільки комутатор передає кадри лише вузлу призначення;
ізоляція мереж один від одного для управління правами доступу користувачів та створення захисних бар'єрів на шляху широкомовних штормів.

Об'єднання віртуальних мереж у спільну мережу виконується на мережному рівні, перехід на який можливий за допомогою окремого маршрутизатора або програмного забезпечення комутатора. Останній у цьому випадку стає комбінованим пристроєм – так званим комутатором третього рівня.

Через довгу відсутність стандарту на VLAN кожна велика компанія, що випускає комутатори, розробила свою технологію віртуальних мереж, причому, як правило, несумісну з технологіями інших виробників. Тому, незважаючи на появу стандарту, не так вже й рідко зустрічається ситуація, коли віртуальні мережі, створені на базі комутаторів одного вендора, не розпізнаються і, відповідно, не підтримуються комутаторами іншого.

СТВОРЕННЯ VLAN НА ОСНОВІ ОДНОГО КОМУТАТОРА

Групування портів одного комутатора - найбільш логічний спосіб освіти VLAN, оскільки у разі віртуальних мереж може бути більше, ніж портів. Якщо до якогось порту підключено повторювач, то вузли відповідного сегмента не має сенсу включати в різні віртуальні мережі - все одно їхній трафік буде загальним.

СТВОРЕННЯ VLAN НА ОСНОВІ КІЛЬКИХ КОМУТАТОРІВ

Два описані підходи засновані тільки на додаванні інформації до адресних таблиць моста і не передбачають включення в кадр інформації, що передається, про належність кадру до віртуальної мережі. Інші підходи використовують наявні або додаткові поля кадру для запису інформації про належність кадру під час його переміщення між комутаторами мережі. Крім того, немає потреби запам'ятовувати на кожному комутаторі, яким віртуальним мережам належать MAC-адреси об'єднаної мережі.

Для зберігання номера віртуальної мережі у стандарті IEEE 802.1Q передбачено додатковий заголовок у два байти, який використовується спільно з протоколом 802.1p. Крім трьох біт зберігання значення пріоритету кадру, як і описується стандартом 802.1p, у цьому заголовку 12 біт служать для зберігання номера віртуальної мережі, якій належить кадр. Ця додаткова інформація називається тегом віртуальної мережі (VLAN TAG) і дозволяє комутаторам різних виробників створювати до 4096 загальних віртуальних мереж. Такий кадр називають "відзначений" (tagged). Довжина зазначеного кадру Ethernet збільшується на 4 байт, тому що крім двох байтів власне тега додаються ще два байти. Структура зазначеного кадру Ethernet показана на Малюнку 5. При додаванні заголовка 802.1p/Q поле даних зменшується на два байти.

Малюнок 5. Структура зазначеного кадру Ethernet.

За підтримки VLAN мережевимиадаптерами можна уникнути статичного конфігурування шляхом приписування порту певної віртуальної мережі. Проте, метод статичного конфігурування VLAN залишається популярним, оскільки дозволяє створити структуровану мережу без залучення програмного забезпечення кінцевих вузлів.

Наталія Оліфер – оглядач «Журналу мережевих рішень/LAN». З нею можна зв'язатися на адресу:

З кожним роком електронний зв'язокудосконалюється, і до інформаційному обмінупред'являються дедалі більше високі вимогишвидкості, захищеності та якості обробки даних.

І тут ми докладно розглянемо підключення: що це таке, для чого потрібен vpn тунель, і як використовувати впн з'єднання.

Цей матеріал є своєрідним вступним словом до циклу статей, де ми розповімо, як створити vpn на різних ОС.

vpn підключення, що це таке?

Отже, віртуальна приватна мережа vpn – це технологія, що забезпечує захищену (закриту від зовнішнього доступу) зв'язок логічної мережіповерх приватної чи публічної за наявності високошвидкісного інтернету.

Таке мережне з'єднаннякомп'ютерів (географічно віддалених один від одного на солідну відстань) використовує підключення типу "точка - точка" (іншими словами, "комп'ютер-комп'ютер").

Науково, такий спосіб з'єднання називається vpn тунель (або тунельний протокол). Підключитися до такого тунелю можна за наявності комп'ютера з будь-якої операційною системою, В яку інтегрований VPN-клієнт, здатний робити «прокидання» віртуальних портів з використанням протоколу TCP/IP в іншу мережу.

Навіщо потрібен vpn?

Основне перевага vpnполягає в тому, що сторонам, що погоджують, необхідна платформа підключення, яка не тільки швидко масштабується, але і (в першу чергу) забезпечує конфіденційність даних, цілісність даних і аутентифікацію.

На схемі представлено використання vpn мереж.

Попередньо на сервері та маршрутизаторі повинні бути прописані правила для з'єднань захищеним каналом.

Принцип роботи vpn

Коли відбувається підключення через vpn, у заголовку повідомлення передається інформація про ip-адресу VPN-сервера та віддалений маршрут.

Інкапсульовані дані, що проходять загальною або публічною мережею, неможливо перехопити, оскільки вся інформація зашифрована.

Етап VPN шифрування реалізується за відправника, а розшифровуються дані в одержувача по заголовку повідомлення (за наявності загального ключа шифрування).

Після правильної розшифровкиповідомлення між двома мережами встановлюється впн з'єднання, яке дозволяє також працювати в публічній мережі (наприклад, обмінюватися даними з клієнтом 93.88.190.5).

Що стосується інформаційної безпеки, то інтернет є вкрай незахищеною мережею, а мережа VPN з протоколами OpenVPN, L2TP /IPSec ,PPTP, PPPoE – цілком захищеним та безпечним способомпередачі даних.

Навіщо потрібен vpn канал?

vpn тунелювання використовується:

Усередині корпоративної мережі;

Для об'єднання дистанційних офісів, а також дрібних відділень;

Для обслуговування цифрової телефонії із великим набором телекомунікаційних послуг;

для доступу до зовнішніх IT-ресурсів;

Для побудови та реалізації відеоконференцій.

Навіщо потрібний vpn?

vpn з'єднання необхідне для:

Анонімна робота в мережі інтернет;

Завантаження додатків у випадку, коли ip адреса розташована в іншій регіональній зоні країни;

Безпечна робота в корпоративному середовищі з використанням комунікацій;

Простоти та зручності налаштування підключення;

Забезпечення високої швидкостіз'єднання без урвищ;

Створення захищеного каналу без атак хакерів.

Як користуватись vpn?

Приклади того, як працює vpn, можна наводити нескінченно. Так, на будь-якому комп'ютері в корпоративній мережі під час встановлення захищеного vpn з'єднанняможна використовувати пошту для перевірки повідомлень, публікації матеріалів з будь-якої точки країни або завантаження файлів із torrent-мереж.

Vpn: що це таке у телефоні?

Доступ через vpn в телефоні (айфоні або будь-якому іншому андроїд-пристрої) дозволяє при використанні інтернету в громадських місцяхзберегти анонімність, а також запобігти перехопленню трафіку та зламуванню пристрою.

VPN-клієнт, встановлений на будь-якій ОС, дозволяє обійти багато налаштувань і правил провайдера (якщо той встановив якісь обмеження).

Який vpn вибрати для телефону?

Мобільні телефони та смартфони на ОС Android можуть використовувати програми з Google Playmarket:

- vpnRoot, droidVPN,
- браузер torдля серфінгу мереж, він же orbot
- InBrowser, orfox (firefox+tor),
- SuperVPN Free VPN Client
- OpenVPN Connect
- TunnelBear VPN
- Hideman VPN

Більшість таких програм служать для зручності гарячої налаштування системи, розміщення ярликів запуску, анонімного серфінгуІнтернету, вибору типу шифрування підключення.

Але основні завдання використання VPNу телефоні – це перевірка корпоративної поштистворення відеоконференцій з кількома учасниками, а також проведення нарад за межами організації (наприклад, коли співробітник у відрядженні).

Що таке vpn у айфоні?

Розглянемо, який вибрати і як його підключити в айфоні більш докладно.

Залежно від типу мережі, що підтримується, при першому запуску конфігурації VPN в iphone можна вибрати наступні протоколи: L2TP, PPTP і Cisco IPSec (крім того, «зробити» vpn підключення можна за допомогою сторонніх додатків).

Усі перелічені протоколи підтримують ключі шифрування, здійснюється ідентифікація користувача за допомогою пароля та сертифікація.

Серед додаткових функційПри налаштуванні VPN-профілю в айфоні можна відзначити: безпеку RSA, рівень шифрування та правила авторизації для підключення до сервера.

Для телефону iphoneз магазину appstore варто вибрати:

- безкоштовний додаток Tunnelbear, за допомогою якого можна підключатися до серверам VPNбудь-якої країни.
- OpenVPN connect – це один із найкращих VPN-клієнтів. Тут для запуску програми необхідно попередньо імпортувати rsa-ключі через itunes у телефон.
- Cloak - це умовно безкоштовний додаток, оскільки деякий час продукт можна "юзати" безкоштовно, але для використання програми після закінчення демо-строку її доведеться купити.

Створення VPN: вибір та налаштування обладнання

Для корпоративного зв'язкув великих організаціяхабо об'єднання віддалений другвід одного офісів використовують апаратне обладнання, здатне підтримувати безперервну, захищену роботу у мережі.

Для реалізації vpn-технологій у ролі мережевого шлюзу можуть виступати: сервер Unix, сервера Windows, мережевий маршрутизаторі мережевий шлюзна якому піднято VPN.

Сервер або пристрій, який використовується для створення vpn мережіпідприємства або vpn каналуміж віддаленими офісами, має виконувати складні технічні завданнята забезпечувати весь спектр послуг користувачам як на робочих станціях, так і на мобільних пристроях.

Будь-який роутер або vpn маршрутизатор має забезпечувати надійну роботуу мережі без «зависань». А вбудована функція впн дозволяє змінювати конфігурацію мережі для роботи вдома, в організації або у віддаленому офісі.

Налаштування vpn на роутері

У загальному випадку налаштування впнна роутері здійснюється за допомогою веб-інтерфейсу маршрутизатора. На «класичних» пристроях для організації vpnпотрібно зайти в розділ "settings" або "network settings", де вибрати розділ VPN, вказати тип протоколу, внести налаштування адреси вашої підмережі, маски та вказати діапазон ip-адрес для користувачів.

Крім того, для безпеки з'єднання потрібно вказати алгоритми кодування, методи аутентифікації, згенерувати ключі узгодження та вказати сервера DNS WINS. У параметрах «Gateway» потрібно вказати ip-адресу шлюзу (свій ip) та заповнити дані на всіх мережевих адаптерах.

Якщо в мережі кілька маршрутизаторів, необхідно заповнити таблицю vpn маршрутизації для всіх пристроїв у VPN тунелі.

Наведемо список апаратного обладнання, що використовується при побудові VPN-мереж:

Маршрутизатори компанії Dlink: DIR-320, DIR-620, DSR-1000 з новими прошивками або Роутер D-Link DI808HV.

Маршрутизатори Cisco PIX 501, Cisco 871-SEC-K9

Роутер Linksys Rv082 з підтримкою близько 50 VPN-тунелів

Netgear маршрутизатор DG834G та роутери моделей FVS318G, FVS318N, FVS336G, SRX5308

Маршрутизатор Mikrotik із функцією OpenVPN. Приклад RouterBoard RB/2011L-IN Mikrotik

Vpn обладнання RVPN S-Terra або VPN Gate

Маршрутизатори ASUS моделей RT-N66U, RT-N16 та RT N-10

ZyXel маршрутизатори ZyWALL 5, ZyWALL P1, ZyWALL USG