VLAN (Virtual Local Area Network) - група пристроїв, що мають можливість взаємодіяти між собою безпосередньо на канальному рівні, хоча фізично при цьому вони можуть бути підключені до різних мережевих комутаторів. І навпаки, пристрої, що знаходяться в різних VLAN'ах, невидимий друг для друга на канальному рівні, навіть якщо вони підключені до одного комутатора, і зв'язок між цими пристроями можлива тільки на мережевому і більш високих рівнях.
У сучасних мережах VLAN - головний механізм для створення логічної топології мережі, що не залежить від її фізичної топології. VLAN'и використовуються для скорочення широкомовного трафіка в мережі. Мають велике значення з точки зору безпеки, зокрема як засіб боротьби з ARP-spoofing'ом.
Навіщо потрібен VLAN?
Гнучке поділ пристроїв на групи
Як правило, одному VLAN відповідає одна підмережа. Пристрої, що знаходяться в різних VLAN, будуть перебувати в різних подсетях. Але в той же час VLAN не прив'язаний до місця розташування пристроїв і тому пристрої, що знаходяться на відстані один від одного, все одно можуть бути в одному VLAN незалежно від місця розташування
Зменшення кількості широкомовного трафіка в мережі
Кожен VLAN - це окремий широкомовний домен. Наприклад, комутатор - це пристрій 2 рівня моделі OSI. Всі порти на комутаторі, де немає VLANов, знаходяться в одному широкомовному домені. Створення VLAN на комутаторі означає розбиття комутатора на кілька широкомовних доменів. Якщо один і той же VLAN є на різних комутаторах, то порти різних комутаторів будуть утворювати один широкомовний домен.
Збільшення безпеки і керованості мережі
Коли мережа розбита на VLAN, спрощується задача застосування політик і правил безпеки. З VLAN політики можна застосовувати до цілих подсетям, а не до окремого пристрою. Крім того, перехід з одного VLAN в інший передбачає проходження через пристрій 3 рівня, на якому, як правило, застосовуються політики дозволяють або забороняють доступ з VLAN в VLAN.
Тегування трафіку VLAN
Комп'ютер при відправці трафіку в мережу навіть не здогадується, в якому VLAN'е він розміщений. Про це думає комутатор. Комутатор знає, що комп'ютер, який підключений до певного порту, знаходиться у відповідному VLAN'e. Трафік, що приходить на порт певного VLAN'а, нічим особливим не відрізняється від трафіку іншого VLAN'а. Іншими словами, ніякої інформації про приналежність трафіку певного VLAN'у в ньому немає.
Однак, якщо через порт може прийти трафік різних VLAN'ов, комутатор повинен його якось розрізняти. Для цього кожен кадр (frame) трафіку повинен бути позначений якимось особливим чином. Позначка повинна говорити про те, яким VLAN'у трафік належить.
Найбільш поширений зараз спосіб ставити таку позначку описаний у відкритому стандарті IEEE 802.1Q. Існують пропрієтарні протоколи, які вирішують схожі завдання, наприклад, протокол ISL від Cisco Systems, але їх популярність значно нижче (і знижується).
належність VLAN
Порти комутатора, що підтримують VLAN'и, (з деякими припущеннями) можна розділити на дві множини:
Тегованих порти (або транкові порти, trunk-порти в термінології Cisco).
Нетегірованние порти (або порти доступу, access-порти в термінології Cisco);
Тегованих порти потрібні для того, щоб через один порт була можливість передати кілька VLAN'ов і, відповідно, отримувати трафік декількох VLAN'ов на один порт. Інформація про приналежність трафіку VLAN'у, як було сказано вище, вказується в спеціальному тегу. Без тега комутатор не зможе розрізнити трафік різних VLAN'ов.
Якщо порт нетегірованний в якомусь VLAN'е, то трафік цього VLAN передається без тега. На Cisco нетегірованним порт може бути тільки в одному VLAN. на деяких інших світча (наприклад, ZyXEL, D-Link і Planet) даного обмеження немає.
Якщо порт тегованих для декількох VLAN'ов, то в цьому випадку весь нетегірованний трафік буде прийматися спеціальним рідним VLAN'ом (native VLAN). З цим параметром (native, PVID, port VID) виникає найбільше плутанини. Наприклад, свитчи Planet для правильної роботи untagged порту вимагають помістити порт в VLAN, задати режим порту untagged, і прописати цей же номер VLAN в PVID цього порту. HP ProCurve роблять навпаки, tagged порт починає працювати як tagged тільки якщо поставити його PVID в «None».
Якщо порт належить тільки одному VLAN як нетегірованний, то тегованих трафік, що приходить через такий порт, повинен віддалятися. На ділі це поведінка зазвичай налаштовується.
Найпростіше це зрозуміти, якщо «забути» всю внутрішню структуру комутатора і відштовхуватися тільки від портів. Припустимо, є VLAN з номером 111, є два порти які належать до VLAN 111. Вони спілкуються тільки між собою, з untagged / access-порту виходить нетегірованний трафік, з tagged / trunk-порту виходить трафік тегованих в VLAN 111. Всі необхідні перетворення прозоро всередині себе робить комутатор.
Зазвичай, за умовчанням всі порти комутатора вважаються нетегірованнимі членами VLAN 1. В процесі настройки або роботи комутатора вони можуть переміщатися в інші VLAN'и.
Існують два підходи до призначення порту в певний VLAN:
1) Статична призначення - коли приналежність порту VLAN'у задається адміністратором в процесі настройки;
2) Динамічне призначення - коли приналежність порту VLAN'у визначається в ході роботи комутатора за допомогою процедур, описаних в спеціальних стандартах, таких, наприклад, як 802.1X. При використанні 802.1X для того щоб отримати доступ до порту комутатора, користувач проходить аутентифікацію на RADIUS-сервері. За результатами аутентифікації порт комутатора розміщується в тому чи іншому VLANe (докладніше: 802.1X і RADIUS).