Продолжение. Часть 12 — здесь.

В том случае, если необходимо разделить локальную сеть на две удалённые части, например, если часть департамента переехала в другое здание, можно использовать два подхода.

Первый подход: разделить локальную сеть на две подсети и использовать IP-маршрутизацию между ними. Но при этом могут возникать проблемы, если нужно, например, напечатать документ с компьютера одной подсети на принтере другой подсети.

Другой, более удобный подход: объединение обеих удалённых частей сети в «виртуальную» LAN, VLAN. Она будет выглядеть как единая LAN, в которой все хосты будут ощущать себя как будто они находятся в единой сети, вне зависимости от физического местоположения.

Разные VLANы можно связать между собой при помощи центрального маршрутизатора. Вещательный трафик из одной VLAN не будет проникать в другие VLAN. Обычно, одна VLAN не должна иметь больше 256 хостов.

Сети VLAN можно визуализировать различными цветами. Например, на рисунке ниже, коммутатор S1 подключён к «красным» компьютерам R1 и R2 и к «синим» компьютерам B1 и B2. Если хост R1 посылает пакет общей рассылки, то он будет принят хостом R2, но не B1 или B2. Конечно, коммутаторы должны «знать» цвета своих портов, что делается соответствующей их конфигурацией.

Коммутаторы S1 и S3 имеют как «красные», так и «синие» порты. Сеть из коммутаторов S1-S4 будет передавать пакеты только если порт источника и порт получателя будут иметь одинаковые цвета. «Красные» пакеты могут быть переданы в «синюю» VLAN только через маршрутизатор R, попав на его «красный» порт и выйдя через «синий» порт. Маршрутизатор R может также выполнять функции файрволла для ограничения трафика из «красной» VLAN в «синюю».

Если порт источника и порт назначения находятся на одном коммутаторе, то к пакету ничего не добавляется. Коммутатор сам отслеживает «цветовую принадлежность» пакета и направляет его на порт соответствующего цвета. Однако, пакеты, передаваемые между коммутаторами, должны помечаться соответствующими метками, тегами (tags), которые указывает на «цвет» источника.

Например, коммутатор S1 посылает пакет на S3, который имеет узлы R3 («красный») и B3 («синий»). Пакеты трафика между S1 и S3 должны иметь цветовую маркировку, чтобы S3 знал, на порт какого «цвета» какой пакет направлять. Для помечания пакетов используется протокол IEEE 802.1Q. Тег цвета из 32-битов вставляется в заголовок Ethernet после адреса источника и перед полем типа пакета (type). Первые 16 битов этого «цветового» поля — 0x8100, что обозначает новый тип поля Ethernet и указывает на то, что данный фрейм помечен (tag). Отдельное уточнение в стандарте 802.3 позволяет пакетам Ethernet быть немного больше, чтобы они могла содержать дополнительный тег.

Возможно также присваивание двойных тегов пакетам: то есть, Интернет-провайдер может присвоить пакету один тег, а его клиенты – сверху разместить другой тег.

Наконец, большинство коммерческих коммутаторов имеют возможность разграничения трафика между разными VLAN. В таком случае, может быть создано правило коммутации, которое разрешает, например, R1 передавать пакеты на B3 без помощи маршрутизатора R. Проблема в этом случае состоит в недостатке стандартизации коммутаторов, поэтому реализация таких правил специфична для каждого производителя коммутаторов.

Другая проблема заключается в том, что некоторые коммутаторы позволяют создание внутренних правил VLAN на основе MAC-адресов, а другие — на основе номеров TCP-портов. Помощь здесь может оказать протокол OpenFlow, который имеет возможности некоторой стандартизации в этой области.

Продолжение здесь.