Что такое VLAN?
Перед тем как рассказать, что такое VLAN, сначала мы поведаем о принципе работы логической сети.
Логическая локальная сеть (LAN) — это несколько устройств, которые соединены между собой. Все они подключены к маршрутизатору (роутеру). В логической локальной сети устройства расположены недалеко друг от друга.
Например, у вас дома есть 2 компьютера. Первый подключен к роутеру при помощи соединительного кабеля, а со второго вы выходите в интернет через Wi-Fi. В этом случае компьютеры объединены в логическую сеть.
Но, если устройства находятся далеко друг от друга, их может быть не реально соединить напрямую. В этом случае на помощь приходит VLAN — виртуальная локальная сеть. С помощью неё устройства соединяются между собой с использованием коммутаторов.
Разница между VLAN и VPN
VLAN объединяет устройства в обширную сеть. Они могут взаимодействовать друг с другом так, как если бы они работали от одного роутера.
Если VLAN поддерживает работу виртуальной локальной сети, то VPN позволяет взаимодействовать с сетью.
VPN — это технология, которая позволяет подключиться из общедоступной сети к частной. Такой подход очень часто используют разные организации. Он позволяет снизить затраты на обслуживание сети и обеспечить доступ к конфиденциальной информации только для сотрудников компании. Это означает, что пользователь подключается из одной готовой сети и передает зашифрованные данные другой сети.
Преимущества VLAN
Наверное, самое главное приемущество VLAN — это возможность создать сеть, в которой устройства будут объединены вне зависимости от их расположения.
VLAN обладает дополнительными преимуществами:
- Простое администрирование. Предположим, в сеть нужно добавить новый коммутатор. Для этого достаточно настроить его по правилам сети, для которой предназначено устройство;
- Экономичность. VLAN не требует больших расходов на сетевое оборудование;
- Высокая производительность. Если разделить однородную сеть на подсети по функциональному признаку. В этом случае трафик распределяется равномерно по всем каналам;
- Безопасность. Копьютеры, которые имеют доступ к уязвимым данным, отделены от остальных. Это снижает вероятность утечки данных;
- Эффективное использование IP-адресов благодаря маскировочным данным, по которым можно понять принадлежность устройства к той или иной подсети. С помощью маски можно обозначить диапазон IP-адресов, который используется в подсети.
Для чего нужен VLAN
Интернет провайдеры чаще других используют VLAN. Поставщики услуг выделяют отдельную виртуальную локальную сеть каждому клиенту с помощью сервисного шлюза BRAS.
BRAS — это устройство, которое отвечает за маршрутизацию трафика внутри сети. Также, в его задачи входит:
- фильтровать входящий и исходящий трафик;
- присваивать тариф и дополнительные опции каждому пользователю;
- вести учёт входящего и исходящего трафика;
- назначать уникальные атрибуты доступа, например, IP-адрес;
- предоставлять клиенту доступ в интернет;
- обслуживать каждую виртуальную локальную сеть по тарифу.
Преимущества которые имеет BRAS:
- Функцию IP Source Guard. Она защищает абонентов от спуфинг-атаки — вредоносной атаки, при которой злоумышленник или программа подделывает данные о себе и получает «незаконные» привилегии;
- Быстрый обмен данными благодаря изоляции локального трафика от одного абонента к другому;
- Фильтрация запросов. BRAS идентифицирует пользователя по номеру сети, IP-адресу или по MAC-адресу. С помощью такой идентификации, вредоносные запросы не попадут к клиенту.
Как работает технология VLAN
VLAN имеет несколько типов:
- Default — включается при первом запуске коммутатора. Сеть ещё не разделена на подсети;
- Data, или пользовательский — используется для переноса трафика, который генерирует пользователь;
- Native — проверяет и идентифицирует проходящий трафик;
- Management — настраивается для управления коммутатором;
- Voice — используется для переноса голосового трафика.
При использовании VLAN виртуальная сеть разделяется на подсети. Каждая подсеть имеет идентификатор: с помощью нее определяется, к какой группе она принадлежит. Создаётся специальный тег, который хранит в себе информацию об идентификаторе подсети. Этот тег записывается в отдельный законченный HTML-документ той сети, в которую отправляются данные.
Что такое Ethernet-фрейм
Ethernet — это технология пакетной передачи. Она регламентирует, как устройства сети должны работать с пакетами данных, чтобы «понимать» друг друга и доставлять информацию нужному получателю.
Ethernet-фрейм — это фрагмент данных, который передаётся в сети с помощью Ethernet.
Фрейм включает в себя шесть частей:
- PREAMBLE — нужна, чтобы указать на приём кадра сетью;
- DEST MAC — MAC-адрес получателя;
- SRC MAC — MAC-адрес отправителя;
- TYPE — тип протокола верхнего уровня. Например, значение для протокола IP — 0x800, а для ARP — 0x806;
- DATA — передаваемые данные;
- FCS — контрольная сумма кадра. Контрольная сумма — это значение, которое подсчитано с помощью специального алгоритма (например, MD5). По нему пакет проверяется на целостность
Поток данных, который отмечается тегом, называется тегированным трафиком. Тег состоит из двух полей:
- TPID (Tag Protocol Identifier) — поле с идентификатором. Он указывает, на основе какого протокола создан тег;
- TCI (Tag Control Information) — поле с контрольной информацией. Это поле делится на три блока:
- PCP (Priority Code Point) задаёт приоритет передаваемого трафика;
- DEI (Drop Eligible Indicator) указывает, какие кадры можно отбросить при перегрузке;
- VID (VLAN Identifier) указывает, к какой подсети относится кадр.