Архитектура виртуальных сетей AutoTracker

• Введение
• Зачем нужны виртуальные ЛВС?
• Что требуется от виртуальных сетей?
• Планирование виртуальных ЛВС
• Планирование с AutoTracker
• Типы виртуальных ЛВС
• Возможности AutoTracker
• Другие преимущества VLAN
• AutoTracker - наиболее мощное решение для VLAN
• Как коммутаторы Xylan делают это?
• Заключение

Введение

Технология виртуальных сетей (Virtual LAN) является одним из наиболее важных аспектов коммутируемых сетей. Виртуальные ЛВС являются необходимым элементом коммутируемых сетей, обеспечивая переход от сетей с разделяемой средой к полностью коммутируемым системам.

В современных сетях четко прослеживается тенденция перехода от систем с разделяемой средой на базе концентраторов к использованию коммутаторов для соединения рабочих станций и сетевых ресурсов. Однако, коммутаторы работают на канальном уровне модели OSI и являются устройствами рассылки кадров, которые неспособны обеспечить достаточно эффективное масштабирование крупных сетей. В традиционных сетях на основе концентраторов и маршрутизаторов пользователи группируются в широковещательные домены (сегменты), для соединения которых служат маршрутизаторы. Такое решение позволяет всем пользователям в группе разделять полосу своего концентратора или кольца и снижает уровень насыщения полосы и число коллизий за счет уменьшения числа пользователей в каждом сегменте. Коммутируемые сети не имеют широковещательных доменов, поэтому производительность сети снижается за счет широковещательного трафика, особенно при использовании таких "болтливых" протоколов, как IPX. Виртуальные ЛВС позволяют организовать в коммутируемой сети широковещательные домены, обеспечивая тем самым возможность эффективного масштабирования.

Виртуальные ЛВС имеют и другие преимущества - они позволяют более эффективно использовать IP-адреса, существенно упрощают перенос станций или ресурсов в пределах сети, обеспечивают более эффективную организацию пользователей по группам.

По мере развития коммутационных технологий были предложены многочисленные варианты организации коммутируемых сетей. Разные варианты построения VLAN имеют свои преимущества и недостатки. В статье рассмотрены причинные аспекты использования виртуальных сетей, требования к их организации и поддержке, а также возможности организации VLAN на базе коммутаторов Xylan.

Зачем нужны виртуальные сети?

Коммутаторы ЛВС обеспечивают высокую производительность за счет процессов, схожих с используемыми в традиционных мостах. Коммутаторы используют адреса канального уровня (MAC-адреса) для определения порта, в который требуется передать пакет. Работа с адресами канального уровня много проще и быстрее по сравнению с маршрутизацией, использующей протоколы сетевого уровня. В отличие от маршрутизации рассылка кадров на канальном уровне (коммутация) не требует изменения содержимого кадров, тогда как маршрутизаторы вынуждены добавлять в пакеты адреса и счетчик интервалов (хопов). Кроме того, маршрутизаторы должны поддерживать еще целый ряд функций - выбор маршрута, преобразование адресов и т.п. - при перемещении данных по сети. Не следует забывать и о том, что в большинстве сетей используется несколько протоколов - следовательно маршрутизатор должен обеспечивать работу со всеми протоколами и передавать данные для разных протоколов через сеть.

В использовании устройств канального уровня для построения сетей нет ничего нового. Первые ЛВС создавались на основе простых мостов. Основное отличие коммутаторов от традиционных мостов заключается в производительности обработки пакетов и поддержке интенсивных потоков трафика.

Однако всем коммутируемым сетям присуще одно ограничение. Поскольку коммутатор не имеет дел с протоколами сетевого уровня, он не может знать куда направлять широковещательные пакеты. Хотя трафик с конкретными адресами (соединения "точка-точка") изолирован парой портов, широковещательные пакеты передаются во всю сеть (каждый порт). То же самое происходит в случае с пакетами, предназначенными станции с неизвестным MAC-адресом, - такие пакеты просто передаются всем. Широковещательные пакеты и пакеты с неизвестными адресами могут привести к насыщению полосы и росту числа коллизий, особенно в крупных сетях.

В некоторых сетях средних размеров с невысоким уровнем широковещательного трафика кадры, передаваемые всем (flooding или лавинная маршрутизация), почти не влияют на картину трафика - число широковещательных пакетов невелико, а неизвестные адреса достаточно быстро выясняются коммутатором. Однако в больших сетях (или небольших, но с высоким уровнем широковещательного трафика) ситуация может оказаться совершенно иной и рассылка широковещательных пакетов во все порты может свести на нет все преимущества коммутации. Для того, чтобы этого не происходило важно ограничить область распространения широковещательного трафика - организовать небольшие широковещательные домены или виртуальные ЛВС.

В сетях на базе маршрутизаторов каждый порт маршрутизатора является широковещательным доменом. Для коммутаторов требуется возможность поддержки широковещательного трафика без снижения производительности. Для того, чтобы добиться этого производители коммутаторов предлагают создавать виртуальные ЛВС (VLAN), являющиеся просто широковещательными доменами. Виртуальные сети обеспечивают сегментацию за счет создания логических, динамических широковещательных доменов. Более того, виртуальные ЛВС существенно расширяют возможности масштабирования сетей.

 

Что требуется от виртуальных сетей

Все производители коммутаторов понимают необходимость поддержки виртуальных ЛВС и большинство коммутаторов позволяет организовать VLAN. Однако реализации виртуальных сетей сильно отличаются и практически несовместимы (зачастую разные реализации одного производителя несовместимы друг с другом). Что же требуется от виртуальных сетей?

Поддержка различных сред

Виртуальная ЛВС (и связанные с ней коммутаторы) должна поддерживать различные типы физических сред. В коммутируемых сетях возможна работа централизованных ресурсов (магистралей) с более высокими скоростями, нежели скорость рабочих станций. Например, рабочие станции Ethernet (10 Мбит/с) могут работать с серверами Fast Ethernet, Gigabit Ethernet или ATM. Администратор сети должен быть уверен, что VLAN можно организовать для всех типов используемых в организации сетевых сред с учетом перспектив развития.

Коммутаторы и концентраторы

Еще несколько лет назад сети строились на основе концентраторов и маршрутизаторов. Огромное число таких сетей невозможно разом перевести на коммутационные технологии. Даже предположив, что такой переход возможен, его не следует немедленно реализовать - не каждому пользователю требуется вся полоса, предоставляемая выделенным портом коммутатора. Пользователей, которым выделенные порты не требуются можно сгруппировать с помощью традиционных концентраторов, выделяя для связи концентратора с сетью отдельный порт коммутатора. такая схема похожа на структуру традиционных сетей, где для соединения концентраторов используются коммутаторы взамен маршрутизаторов.

Каждый порт коммутатора должен обеспечивать поддержку более, чем одной виртуальной ЛВС. Это актуально даже в тех случаях, когда к портам коммутатора подключаются непосредственно рабочие станции (одной станции может потребоваться присутствие в нескольких виртуальных сетях).

Объединение коммутации и маршрутизации

Некоторые коммутаторы ЛВС способны выполнять функции стандартной маршрутизации на сетевом уровне (IP и IPX). такая возможность позволяет организовать обмен данными между виртуальными ЛВС без использования внешних маршрутизаторов.

Однако, в современных сетях уже установлено огромное число маршрутизаторов и никто не захочет от них отказываться в пользу новых устройств. Одним из способов (возможно, наилучшим) использования имеющихся в организациях маршрутизаторов является связь между виртуальными ЛВС. В этом случае маршрутизаторы делают то, для чего они предназначены - маршрутизируют межсетевой трафик.

Возможность включения серверов в несколько VLAN

Подобно рабочим станциям серверы за последние 5 лет стали гораздо мощнее. Многочисленные рабочие станции сейчас подключаются к мощным, высокопроизводительным серверам. В сетях на основе концентраторов/маршрутизаторов запросы от станций к серверам зачастую передаются через сетевые магистрали, поскольку сервер и станция находятся в разных сегментах. Передача трафика между станциями и серверами через магистрали может приводить к возникновению магистральных пробок. Кроме того, при обработке кадров маршрутизатором возникает задержка.

В эффективных реализациях виртуальных сетей серверы могут входить в несколько VLAN. Трафик в таком случае не передается через маршрутизатор или магистраль. Таким образом снижается нагрузка на сетевые магистрали и уменьшается задержка.

Подключение станций к нескольким VLAN

Некоторые рабочие станции необходимо подключать к нескольким виртуальным сетям одновременно. Например, при создании виртуальных сетей по подразделениям предприятия вице-президенту компании может потребоваться доступ в группы всех подчиненных ему подразделений (таким образом, рабочая станция вице-президента должна быть включена в виртуальные сети соответствующих подразделений).

Другим примером может служить ситуация, когда рабочей станции требуется доступ к файловому серверу Novell NetWare и TCP/IP для работы с сервером приложений на базе UNIX. Эти два ресурса могут располагаться в разных виртуальных сетях и, следовательно, станции потребуется доступ в обе сети. При таком решении трафик TCP/IP не будет воздействовать на виртуальную сеть IPX и наоборот - трафик IPX не повлияет на приложения TCP/IP.

Сети на базе нескольких коммутаторов

Преимущества виртуальных сетей сильно снижаются в тех случаях, когда VLAN невозможно организовать на базе нескольких коммутаторов. Возможность расширения виртуальных сетей за пределы одного коммутатора особенно важна для сетей средних и крупных организаций, где число коммутаторов может быть достаточно большим. Во многих случаях может потребоваться объединение в одну виртуальную сеть рабочих станций или серверов, подключенных к разным коммутаторам.

Магистрали FDDI

FDDI является проверенной и надежной технологией организации сетевых магистралей и используется многими организациями. Стандарты FDDI достаточно отработаны и многие организации не хотят отказываться от имеющихся сетей FDDI. Однако не все производители коммутаторов реализуют в своих виртуальных сетях поддержку FDDI. Если вам нужно использовать в новом проекте существующие системы FDDI, вы должны убедиться в том, что выбранное решение позволяет использовать для виртуальных сетей FDDI наряду с другими технологиями.

ATM

Стандарт ATM обеспечивает поддержку различных типов трафика (данные, голос, видео и др.). Кроме того, эта технология позволяет организовать сети значительной протяженности (в масштабе города, страны и т.д.). Скорость ATM может лежать в диапазоне от 56 Кбит/с до 622 Мбит/с (в перспективе возможны и более высокие скорости). В настоящее время эта технология является достаточно дорогой, но стремительное снижение цен делает ее альтернативой FDDI в качестве магистральной технологии. Уже сейчас ATM все шире используется для подключения скоростных серверов.

Если вы используете ATM для магистралей, следует помнить, что удобные сегодня варианты коммутаторов могут оказаться совершенно непригодными завтра. Важно чтобы механизмы организации виртуальных сетей могли эффективно работать через магистрали ATM и обеспечивалась поддержка эиуляции ЛВС (LANE) и технологии MPOA (Multi-Protocol Over ATM)

Добавление и перенос станций

Во многих сетях устройства достаточно часто перемещаются с одного места на другое в пределах здания или территории предприятия. Администратор сети должен иметь возможность связать устройство или пользователя с виртуальными сетями независимо от местоположения.

Скорость работы

Использование коммутаторов обычно связано с необходимостью повышения производительности сети при одновременном снижении расходов на оборудование. Организация виртуальных ЛВС не должна снижать производительность сети.

Планирование VLAN

Планирование виртуальной сети должно начинаться с выбора и покупки коммутатора. Одновременно с этим администратор должен решить, кого из пользователей следует подключить напрямую к коммутатору. В докоммутаторные времена пользователи вынужденно группировались по своему местоположению в широковещательные домены. С появлением коммутаторов и виртуальных сетей стало возможным объединение пользователей в логические группы на основе функциональных обязанностей, протоколов, используемых приложений и т.п.

Программа AutoTracker корпорации Xylan поддерживает организацию виртуальных сетей на основе широкого набора критериев. В настоящее время решение Xylan является наиболее мощным и эффективным среди существующих систем организации и поддержки VLAN.

Как известно, VLAN представляет собой просто широковещательный домен. Подобно широковещательным доменам на базе маршрутизаторов в виртуальной ЛВС широковещательные пакеты и пакеты с неизвестными адресами получают все устройства, если такие пакеты происходят из того же домена (виртуальной сети).

Здесь нет ничего нового, такие же методы используются в традиционных сетях на базе концентраторов и маршрутизаторов. Однако в традиционных сетях трафик является широковещательным внутри образующего сегмент концентратора и маршрутизируется между концентраторами. При использовании виртуальных сетей кадры являются широковещательными внутри VLAN и маршрутизируются между ними. Таким образом виртуальные сети представляют собой ни что иное, как более гибкий вариант традиционных ЛВС с несколько большими возможностями.

Мощь и гибкость являются атрибутами виртуальных сетей в хороших реализациях. Широковещательные домены больше не ограничены одним портом маршрутизатора - сейчас широковещательный домен может быть объединять устройства, подключенные к одному или нескольким портам коммутатора или даже к портам разных коммутаторов. VLAN организуются на базе логических групп пользователей - расположение пользовательских станций больше не имеет значения. Это важный момент. В сетях на основе маршрутизаторов и концентраторов группы пользователей жестко определялись местоположением последних. Для обмена между станциями в результате приходилось передавать большие потоки данных через маршрутизаторы. При организации логических групп потоки данных через маршрутизаторы можно уменьшить во много раз.

Виртуальные сети при использовании достаточно эффективных решений способны сделать картину сетевого трафика значительно более эффективной. Если пользователи сгруппированы в широковещательные домены так, что большая часть трафика остается внутри группы, нагрузка на магистрали и маршрутизаторы существенно снижается. Широковещательный домен может содержать компьютеры, находящиеся в одном здании, городе или даже на значительном удалении друг от друга при поддержке виртуальных ЛВС с использованием WAN-каналов. Поскольку при обмене данными внутри группы маршрутизаторы не используются, обмен между станциями происходит гораздо быстрее.

Планирование с помощью программы AutoTracker

При организации коммутируемой сети с помощью программы AutoTracker первым шагом является создание групп (AutoTracker Groups). Группа AutoTracker представляет собой набор портов одного или нескольких коммутаторов OmniSwitch. Для каждой группы используется одно остовное дерево (Spanning Tree - протокол, используемый для предотвращения петель в многосвязной сети). Построение сети с поддержкой Spanning Tree с помощью программы AutoTracker очень просто.

Разумно представлять группы AutoTracker как функционально разделенные коммутируемые системы, использующие общий комплект коммутаторов. Отдельная группа AutoTracker может содержать в себе произвольные комбинации AutoTracker VLAN.

Каждая группа обозначается 16-битовым идентификатором, уникальным в масштабе сети. Сеть на базе коммутаторов OmniSwitch может, таким образом, содержать до 65536 групп, каждая из которых может быть виртуальной сетью на базе портов или виртуальной ЛВС AutoTracker другого типа. Каждый коммутатор OmniSwitch может поддерживать до 96 активных VLAN/групп на базе портов.

Каждая группа AutoTracker имеет собственный набор правил, содержащий критерии организации виртуальных ЛВС, приемлемые только в масштабе данной группы. Group. Весь обмен между группами AutoTracker осуществляется через маршрутизаторы (коммутаторы OmniStack поддерживают функции маршрутизации).

В показанном на рисунке примере университетская сеть разделена на две группы (администрация и студенты). Такое деление обеспечивает студентам возможность использования преимуществ коммутации, но полностью блокирует им доступ в группу администрации. В такой конфигурации обеим группам обеспечивается высокая производительность внутригруппового обмена данными, а администрация также получает доступ в студенческую сеть (но не наоборот).

Типы VLAN

Сегодня существует достаточно много вариантов реализации VLAN. Простые варианты VLAN представляют собой просто набор портов коммутатора, более сложные реализации позволяют создавать группы на основе других критериев. В общем случае возможности организации VLAN тесно связаны с возможностями коммутаторов.

Возможности AutoTracker

Программа AutoTracker корпорации Xylan является новой реализацией VLAN, тесно связанной с полнофункциональным семейством коммутаторов Xylan. Программа разрабатывалась параллельно с коммутаторами OmniSwitch и PizzaSwitch, что позволило обеспечить их надежную интеграцию. AutoTracker является наиболее мощным из существующих сегодня решений для организации VLAN.

Различные варианты виртуальных сетей, которые позволяет поддерживать AutoTracker, описаны ниже.

Сети на базе портов

Это простейший вариант организации виртуальной ЛВС. VLAN на базе портов обеспечивают высочайший уровень управляемости и безопасности. Устройства связываются в виртуальные сети на основе портов коммутатора, к которым эти устройства физически подключены. VLAN на базе портов являются статическими и для внесения изменений требуется физическое переключение устройств.

Однако построенные на базе портов виртуальные сети имеют некоторые ограничения. Они очень просты в установке, но позволяют поддерживать для каждого порта только одну виртуальную ЛВС. Следовательно, такое решение малоприемлемо при использовании концентраторов или в сетях мощными серверами, к которым обращается много пользователей (сервер не удастся включить в разные VLAN). Кроме того, виртуальные сети на основе портов не позволяют вносить в сеть изменения достаточно простым путем, поскольку при каждом изменении требуется физическое переключение устройств.

Сети на базе MAC-адресов

Хотя этот тип виртуальных сетей относится к числу наиболее простых, VLAN на базе MAC-адресов настраивать сложнее, нежели сети на основе физических портов. Виртуальная сеть на базе MAC-адресов группирует устройства, а AutoTracker делает группу широковещательным доменом (VLAN). Сети на базе MAC-адресов являются одним из наиболее безопасных и управляемых типов VLAN. Для получения доступа в виртуальную сеть, устройство должно иметь MAC-адрес, известный программе AutoTracker.

Настройка виртуальной сети на основе MAC-адресов может отнять много времени - представьте себе, что вам потребуется связать с VLAN адреса 1000 устройств. Кроме того, MAC-адреса "наглухо зашиты" в оборудование и может потребоваться много времени на выяснение адресов устройств в большой, территориально распределенной сети. Однако программа управления сетью OmniVision корпорации Xylan позволяет собрать адреса в масштабе всей сети автоматически, избавляя администратора от рутинной работы. С помощью программы можно настроить виртуальные сети, используя вместо MAC-адресов связанные с ними имена станций.

VLAN на сетевом уровне

Виртуальные ЛВС сетевого уровня позволяют администратору связать трафик для того или иного протокола в соответствующей виртуальной сети. Точно таким же способом создаются широковещательные домены в сетях на основе маршрутизаторов. Протокол может быть задан в форме IP-подсети или сетевого номера IPX. Можно, к примеру, объединить в виртуальную ЛВС всех пользователей подсети, которая была организована до использования коммутаторов.

Спектр возможностей коммутатора, на базе которого строится VLAN, чато определяет гибкость виртуальных сетей данного типа. Многие виртуальные ЛВС сетевого уровня поддерживают системы на базе нескольких коммутаторов, тогда как другие могут работать только с одним устройством. Помните, что этот тип виртуальных ЛВС почти не отличается от сетей на базе маршрутизаторов и некоторые коммутаторы неспособны обеспечить требуемую в данном случае производительность. Коммутаторы OmniSwitch хорошо справляются с задачами этого типа.

VLAN на базе протоколов

Этот тип виртуальных сетей строится на базе заданного в каждом кадре типа протокола. Такой подход позволяет администратору задать критерии, по которым AutoTracker будет создавать VLAN. Администратор может самостоятельно выбрать поля в заголовках кадров, по которым будет определяться принадлежность к виртуальной сети, и загрузить подготовленные правила во все коммутаторы сети. Вы можете поместить в одну виртуальную сеть всех пользователей, работающих с протоколом NetBios или IP. Для работы с данным типом виртуальных сетей администратор должен досконально разбираться в заголовках широковещательных кадров.

После того, как правила загружены в коммутаторы OmniSwitch или PizzaSwitch, устройства сразу же позволяют начать работу с виртуальными сетями на основе заданных администратором правил.

Многоадресные (multicast) VLAN

Многоадресный (multicast) трафик отличается от широковещательного (broadcast), который передается во всю сеть, и одноадресного (unicast), обеспечивающего связь "точка-точка". Многоадресный трафик представляет собой обмен "точка-многоточка" (один со многими) или многоточечный (многие со многими) и в последнее время становится все более популярным для различных сетевых приложений. Многоадресный режим может использоваться для видеоконференций, биржевых систем, новостей и т.п. систем, где одна и та же информация передается многочисленным пользователям.

Виртуальные ЛВС с многоадресным трафиком создаются динамически путем прослушивания IGMP (Internet Group Management Protocol). Когда пользователь открывает приложение, использующее режим multicast, он динамически включается в виртуальную сеть, связанную с данным приложением. По окончании работы с программой пользователь удаляется из соответствующей виртуальной сети.

Многоадресный трафик в общем случае является стабильным потоком с достаточно широкой полосой. Следовательно, такой трафик лучше всего зафиксировать в одной виртуальной сети для предотвращения лавинной маршрутизации (flooding).

VLAN на базе правил

Это наиболее мощная реализация VLAN, позволяющая администратору использовать любые комбинации критериев для создания виртуальных ЛВС. Для включения устройств в виртуальные ЛВС можно использовать все перечисленные выше способы при условии их поддержки установленными в сети коммутаторами. После того, как правила загружены во все коммутаторы, они обеспечивают организацию VLAN на основе заданных администратором критериев. Поскольку в таких сетях кадры постоянно просматриваются на предмет соответствия заданным критериям, принадлежность пользователей к виртуальным сетям может меняться в зависимости от текущей деятельности пользователей.

Виртуальные ЛВС на основе правил используют широкий набор критериев принадлежности к сети, включая все перечисленные выше варианты: MAC-адреса, адреса сетевого уровня, тип протокола и т.д. Возможно также использовать любые комбинации критериев для создания правил, наиболее точно соответствующих вашим задачам.

VLAN для уполномоченных пользователей

VLAN для уполномоченных пользователей обеспечивают высокий уровень безопасности в сети и предъявляют более строгие требования к пользователям для предоставления доступа к серверам или иным сетевым ресурсам. Например, сеть уполномоченных пользователей может быть создана для финансового отдела предприятия и сотрудники других подразделений не смогут получить доступ в эту сеть, не имея соответствующих полномочий. Для поддержки таких сетей в коммутаторах OmniSwitch и PizzaSwitch используются функции встроенных брандмауэров. Администратор может эффективно управлять доступом пользователей, задавая процедуру аутентификации. Хотя другие варианты VLAN обеспечивают некоторые средства безопасности, только сети уполномоченных пользователей делают это на достаточно высоком уровне.

Сравнительные характеристики различных типов AutoTracker VLAN

	По портам	По MAC-адресам	Сетевой уровень	По протоколам	Многоадресные	На основе правил
Гибкость	-	Средняя	Средняя	Средняя	Средняя	Высокая
Простота связывания	+	-	Переменная	+	Переменная	+
Перенос устройств	-	+	+	+	+	Автоматически
Использование структуры сети	-	-	+	-	+	Автоматически
Несколько VLAN для одного порта (поддержка концентраторов и серверов)	-	+	+	+	+	Автоматически
Возможность включения устройства в несколько VLAN	-	Возможно	Возможно	Возможно	Возможно	Автоматически
Уровень	Высокий	Минимальный	Минимальный	Минимальный	Минимальный	Выбирается

Другие преимущества VLAN

Хотя VLAN представляет собой просто широковещательный домен, при использовании виртуальных сетей обеспечивается целый ряд дополнительных преимуществ, делающих VLAN более эффективными по сравнению с широковещательными доменами, которые используются в традиционных сетях.

Перенос, добавление или изменение сетевых устройств

Маршрутизаторы используют для переноса данных между ЛВС адреса сетевого уровня. В общем случае адреса сетевого уровня (подсети/номера сетей) идентифицируют широковещательные домены или домены с мостами, в которых может находиться адресат. При использовании протокола IP сетевой администратор выделяет адреса и задает их вручную для каждой рабочей станции или адреса выделяются динамически с помощью сервера DHCP. Каждый сетевой адрес задает рабочую станцию и сегмент ЛВС, где эта станция располагается.

При переносе устройства в сети требуется вручную вносить изменения в конфигурацию - администратор должен переписать сетевой адрес и параметры шлюзов для перенесенной станции. Динамическое выделение IP-адресов с помощью сервера DHCP позволяет решить проблему настройки станций, но делает практически невозможной организацию эффективной системы безопасности в крупной сети. Поскольку сервер DHCP выделяет IP-адреса на основе номеров подсетей, с которыми связан соответствующий порт маршрутизатора, при переносе станции в другую подсеть правила, заданные для сетевого уровня, зачастую перестают работать и приходится определять новые правила для брандмауэров, что никоим образом не упрощает жизнь администратора. Если перенос станций происходит редко, такую работу можно выполнять вручную. Однако в больших сетях с многими сотнями компьютеров настройка переносимых станций может стать непреодолимой задачей для администратора - изменения в большой сети происходят в любом случае достаточно часто. Настройка сети в таких случаях потребует большого расхода времени и денег. До того, как администратор поменяет конфигурационные параметры перенесенной станции или изменит правила обеспечения безопасности (зачастую это придется делать в нескольких местах) станция не сможет работать в сети.

Коммутация использует протоколы канального уровня и аппаратные (MAC) адреса станций. Эффективная реализация VLAN позволяет автоматически находить станции в сети по их MAC-адресу и сохранять принадлежность станции к заданным администратором виртуальным ЛВС. Использование технологий VLAN избавляет от необходимости изменять правила на сетевом уровне всякий раз при переносе станций. DHCP и VLAN дополняют друг друга, обеспечивая динамическую конфигурацию хостов и простую реализацию правил обеспечения безопасности на сетевом уровне.

Эффективное использование IP-адресов

Теоретически сетевые адреса администратор может выделять по своему выбору. К несчастью, только теоретически - на практике адресное пространство IP жестко распределяются. Это связано с использованием Internet. Для того, чтобы можно было связать частную сеть с Internet большинство организаций использует адреса, выделенные IAN (Internet Number Authority) или соответствующей национальной организацией. Быстрый рост Internet привел к тому, что адресное пространство IP уже почти полностью распределено. Маршрутизаторы не помогают решить проблему нехватки сетевых номеров, поскольку каждый порт маршрутизатора в общем случае имеет свою собственную подсеть.

Виртуальные сети снижают остроту проблемы нехватки адресов за счет более эффективного их использования. В сетях на базе концентраторов и маршрутизаторов каждому сегменту обычно требуется свой номер подсети для того, чтобы маршрутизаторы могли передавать данные между подсетями. Такой подход быстро приводит к нехватке адресов, поскольку число станций в каждой подсети как правило существенно меньше, чем доступное для подсети число адресов (часть адресов просто пропадает). Использование масок подсетей переменной длины помогает сберечь адресное пространство лишь для некоторых конфигураций. В сетях на базе VLAN в одну виртуальную сеть можно связать любое число сегментов ЛВС, что дает администраторам возможность более эффективного использования IP-адресов и подсетей. Подсеть может содержать один или несколько портов коммутатора или порты нескольких коммутаторов сразу.

Повышение уровня безопасности

VLAN обеспечивают высокий уровень безопасности сети. В сети на базе концентраторов кто угодно может подключить к порту концентратора анализатор протоколов или станцию с соответствующими программами и перехватывать все данные, передаваемые в данном сегменте. Эти данные могут оказаться конфиденциальными, а перехватить их так просто.

Если каждое устройство подключено к выделенному порту коммутатора и используются VLAN, описанная выше ситуация становится невозможной. Каждый порт коммутатора получает в этом случае только те пакеты, которые адресованы подключенному к порту устройству. При организации виртуальных ЛВС на базе правил адреса канального (MAC) и сетевого (IP) уровня могут быть связаны с портом - это обеспечивает дополнительные меры безопасности, поскольку в порт будут поступать данные только для конкретного адреса (MAC или IP).

Комбинация виртуальных ЛВС и групп AutoTracker позволяет дополнительно повысить уровень безопасности. Если студенты выделены в одну VLAN, а администрация использует другую, единственным путем между этими виртуальными сетями является внутренний или внешний маршрутизатор, который легко настроить соответствующим образом. Поддержка функций маршрутизации в коммутаторах Xylan позволяет использовать брандмауэры, обеспечивающие высочайший уровень безопасности.

AutoTracker - наиболее мощное решение для VLAN

Приведенный ниже список иллюстрирует возможности программы AutoTracker в части организации и поддержки VLAN

1. Виртуальные сети AutoTracker могут включать все типы сетевых сред (например, в одной виртуальной ЛВС могут находиться устройства Ethernet, FDDI, token ring и даже удаленные пользователи, подключенные через frame relay). AutoTracker позволяет также использовать ATM-устройства.
2. Каждая виртуальная ЛВС может включать любое число эмулируемых ЛВС (ATM ELAN). ELAN может содержать token ring или Ethernet (в соответствии со спецификациями ATM forum).
3. Любая виртуальная ЛВС может распространяться на все здание, кампус, город (MAN) или большую территорию (WAN); пользователи виртуальной сети могут подключаться к любому числу коммутаторов OmniSwitch и PizzaSwitch.

   Это свойство иллюстрирует преимущества центральной концепции AutoTracker: весь трафик с однозначными адресами обрабатывается с использованием высокоскоростных аппаратных решений, а широковещательный трафик не выходит за пределы VLAN. Такое решение обеспечивает малые задержки при высокой производительности и позволяет обеспечить гибкое и эффективное управление широковещательным и многоадресным трафиком. Мощь данной концепции основана на том, что в ней используются наиболее эффективные элементы коммутации на канальном уровне и маршрутизации на сетевом. В результате обеспечивается эффективное решение независимо от протяженности сети (LAN, MAN или WAN).

4. Виртуальные ЛВС AutoTracker можно организовать автоматически на основе набора правил, заданных с помощью системы управления сетью (OmniVision). Правила AutoTracker включают MAC-адреса, правила сетевого уровня, задаваемые администратором правила, протоколы, многоадресные VLAN.
5. Один порт коммутатора может поддерживать множество виртуальных сетей. Эта особенность позволяет подключать к коммутатору обычные концентраторы, организуя до 32 VLAN на порт коммутатора. Коммутаторы PizzaSwitch и OmniSwitch автоматически сортируют устройства, подключенные к их портам в виртуальные ЛВС на основе заданных администратором правил.
6. Одно устройство может быть включено во множество виртуальных ЛВС (до 32). Такая возможность обеспечивает оптимальную поддержку серверов, пользователи которых располагаются в различных VLAN.
7. Подсеть может распространяться на несколько коммутаторов, администратору не требуется создавать подсети для каждого устройства или коммутируемого порта. Такое решение обеспечивает более эффективное использование IP-адресов.
8. Устройства в группе AutoTracker автоматически контролируются при их перемещении в сети. Применимые в данной группе правила автоматически сохраняются до тех пор, пока станция входит в группу.
9. Группы AutoTracker можно создавать с использованием магистралей FDDI на основе транкового протокола Xylan. Для соединения коммутаторов OmniSwitch в единую сеть можно использовать многочисленные кольца FDDI. Коммутаторы OmniSwitch могут непосредственно работать с устройствами FDDI через тот же интерфейс, который служит для организации транков между коммутаторами OmniSwitch.
10. Группы AutoTracker можно организовать через магистрали ATM, используя транковый протокол Xylan, позволяющий соединять коммутаторы OmniSwitch и PizzaSwitch через другие коммутаторы ATM, используя постоянные (PVC) или коммутируемые (SVC) виртуальные каналы.
11. Группы AutoTracker можно организовать через магистрали ATM, используя эмуляцию ЛВС (ATM LANE) или RFC 1483. Фактически, одна часть виртуальной ЛВС может использовать транковый протокол Xylan, тогда как другая часть той же сети использует ATM LANE. Такая возможность обеспечивает гибкое использование оборудования и обеспечивает простоту модернизации сетей.
12. Группы AutoTracker можно организовать с одновременным использованием магистралей ATM и FDDI. Особенно важно это для организаций, использующих технологию FDDI и планирующих переход на ATM в будущем. Сети FDDI могут сохранить свои функции, передавая часть трафика, их можно также использовать для резервирования каналов.
13. Раздельные остовные деревья (Spanning Tree) поддерживаются для каждой группы AutoTracker. Это обеспечивает высокий уровень гибкости при организации VLAN.
14. AutoTracker может упростить управление сетями Source Route, позволяя создавать виртуальные кольца. Множество физических колец можно прозрачно соединить в одно логическое кольцо token ring. Такое решение уменьшает число колец и, фактически, виртуальная сеть добавляет только один интервал (hop). Виртуальные кольца можно организовать через магистрали ATM и FDDI. Между кольцами выполняется стандартная маршрутизация source routing, обеспечивающая надежную интероперабельность с существующими мостами.

Как коммутаторы Xylan делают это?

Широковещание и лавинная маршрутизация

Большинство коммутаторов, получив кадр с неизвестным MAC-адресом (включая широковещательные кадры) просто рассылает этот кадр во все порты. Коммутаторы OmniSwitch, OmniStack и PizzaSwitch используют более изощренные методы рассылки широковещательных кадров и кадров с неизвестными адресами.

Такие кадры передаются портам той же самой группы AutoTracker, из которой был принят данный кадр, остальные порты коммутатора могут данный кадр не получить. Существует три варианта ситуации с неизвестными адресами:

Коммутатор OmniSwitch определил, что передавшее кадр устройство входит в одну или несколько виртуальных сетей. В таком случае кадр передается во все порты, к которым подключены члены этих виртуальных ЛВС.

Коммутатор OmniSwitch еще не определил принадлежность отправителя к виртуальным сетям, но знает, что другие устройства, подключенные к тому же порту, входят в одну или несколько виртуальных сетей. В данном случае кадр будет передан во все порты, с которыми связаны эти VLAN.

Коммутатор OmniSwitch еще не определил принадлежность устройств к виртуальным сетям. В таком случае кадр передается во все порты группы. Одновременно модуль управления (MPM) анализирует кадр и, по возможности, определяет его принадлежность устройства к виртуальной сети.

Во всех случаях кадр не передается ни в один из портов за пределами данной группы. Такое решение обеспечивает надежную изоляцию групп AutoTracker.

Перенос устройств

При переносе устройства в сети это устройство обычно подключается к другому порту коммутатора, а в некоторых случаях - к другому коммутатору. Коммутаторы OmniSwitch автоматически сохраняют принадлежность перенесенного устройства к виртуальным сетям.

AutoTracker позволяет перемещать сетевые устройства из одной точки сети в другую внутри группы AutoTracker с сохранением принадлежности к виртуальным ЛВС. Для того, чтобы использовать AutoTracker, администратор должен сначала решить как будут организованы группы. После организации групп для каждой из них задаются правила и эти правила загружаются в коммутаторы. После загрузки правил AutoTracker будет связывать пользователей с виртуальными сетями на основе заданных администратором правил. Все последующие перемещения устройств в пределах группы будут отслеживаться программой AutoTracker.

Обмен данными

Все реализованные администратором правила (порты, MAC-адреса, правила сетевого уровня, протокол, многоадресные сети и т.д.), которые применены к коммутаторам OmniSwitch или PizzaSwitch сохраняются в модулях управления коммутаторами (MPM). Кадры с заданными адресами от неизвестных устройств, широковещательные и многоадресные кадры передаются модулю управления MPM. Программы проверяют весь кадр для определения принадлежности отправителя к виртуальным сетям. Важно подчеркнуть, что во время коммутации MAC-кадр будет обрабатываться на основе принадлежности отправителя к VLAN. Широковещательные и многоадресные кадры будут обрабатываться каждый раз для определения принадлежности к виртуальным сетям, кадры с точным адресом обрабатываются только при первом появлении данного адреса.

Динамические изменения в группах

При перемещении устройства, включенного в AutoTracker VLAN на другой порт коммутатора, где виртуальные сети не активизированы, коммутаторы Xylan обеспечивают автоматическое подключение устройства к нужным виртуальным ЛВС после приема и анализа первого кадра, переданного данным устройством. Если же виртуальные сети для порта были активизированы, и по тем или иным причинам нужно прекратить работу данной виртуальной ЛВС, коммутатор выполняет требуемые для этого операции

Порты-мосты

Порт-мост представляет собой определенный в стандарте IEEE 802.1d объект, в который мост (устройство MAC-уровня) передает кадры для разделяемого сегмента ЛВС с множеством подключенных к нему устройств. Состояние порта определяется динамически на основании протокола Spanning Tree для физического порта виртуальной ЛВС.

Порты Optimized Device Switching

Оптимизированная коммутация устройств (Optimized Device Switching) происходит для портов, к которым подключено единственное устройство (1 MAC-адрес). Модули данных протокола Spanning Tree не передаются для этого типа портов и порт всегда находится в состоянии рассылки. Такой тип коммутации не использует лавинной маршрутизации (flooding) для неизвестных адресов. Если обнаружено несколько исходных MAC-адресов или входной модуль данных протокола Spanning Tree, порт автоматически переводится в состояние моста (см. предыдущий параграф) и сетевому администратору передается сообщение SNMP Trap. Порты оптимизированной коммутации Xylan являются нововведением, позволяющим коммутаторам OmniSwitch и PizzaSwitch ограничивать трафик для отдельных портов.

Транки

Транковые соединения требуются для поддержки виртуальных ЛВС групп AutoTracker на базе множества коммутаторов OmniSwitch. Транковые порты являются уникальными и обеспечивают инкапсуляцию данных таким образом, что поддерживается разделение потоков различных ЛВС через общее соединение. Порты FDDI можно настроить как транковые, а порт ATM может поддерживать множественные транки. Группы и виртуальные сети AutoTracker можно организовать через сетевые магистрали с использованием транковых портов. Транковые порты настраиваются администратором. При использовании транков сохраняются исходные контрольные суммы (CRC) и содержимое кадров.

Транки и FDDI/ATM

Коммутаторы OmniSwitch могут одновременно поддерживать транки и обеспечивать рассылку кадров конечным устройствам в высокоскоростных сетях FDDI и ATM. Кадры, предназначенные для сетевых устройств смежной ЛВС передаются с естественной для ЛВС инкапсуляцией. Кадры, передаваемые через транки FDDI, используют инкапсуляцию SNAP. В случае ATM-сетей организуются отдельные виртуальные каналы для транков и конечных станций, подключенных к коммутаторам OmniSwitch.

Транковый протокол FDDI VLAN

Транковый протокол виртуальных ЛВС использует инкапсуляцию SNAP и unicast-адресацию. Коммутатор передает транковые кадры с уникальным MAC-адресом отправителя для каждой группы или виртуальной сети AutoTracker через FDDI. Проверка MAC-адреса отправителя и поля SNAP в кадре позволяет идентифицировать транковые кадры и принадлежность к группе. После обучения поддерживается MAC-адрес удаленного коммутатора OmniSwitch в качестве адреса отправителя. При лавинной маршрутизации в качестве адреса получателя используется уникальный MAC-адрес для всех типов кадров. При передаче unicast-трафика используется MAC-адрес удаленного коммутатора OmniSwitch. Это позволяет использовать транковый протокол совместно с другими в одной сети.

Транки ATM VLAN

При использовании ATM-транков на базе OmniSwitch или PizzaSwitch организуются отдельные виртуальные соединения (VCC). Трафик можно разделить за счет использования для транков уникальных VCC. Транковый протокол групп AutoTracker не использует многоадресный сервис ATM (типа BUS).

Идентификатор и имя группы распознаются каждым коммутатором OmniSwitch в масштабах сети. Транковый протокол групп AutoTracker помещает идентификатор группы в инкапсулированный кадр и передает его через транк. Все коммутаторы OmniSwitch и PizzaSwitch, содержащие данную группу, будут обрабатывать данный кадр, получив его из транка.

Заключение

Использование коммутации расширяется быстрее по сравнению с другими технологиями объединения сетей. К несчастью коммутаторы создают сети, не поделенные на широковещательные домены. Для решения этой проблемы в сети организуются виртуальные ЛВС (VLAN), подобные широковещательным доменам в традиционных сетях. Виртуальные ЛВС обеспечивают большую гибкость, нежели традиционные широковещательные домены. Однако, для коммутаторов разных фирм возможности поддержки виртуальных сетей существенно отличаются и несовместимы между собой. Технология AutoTracker корпорации Xylan является наиболее развитым и гибким решением для организации VLAN. Она позволяет распределять пользователей по виртуальным сетям на основе широкого спектра критериев и поддерживает различные сетевые среды, включая Ethernet, Fast Ethernet, token ring, FDDI, CDDI, Gigabit Ethernet и ATM. Эта гибкость в сочетании с высокой производительностью коммутаторов PizzaSwitch, OmniSwitch и OmniStack позволяет использовать продукцию Xylan для организации мощных и гибких сетей самых различных размеров.