VLAN / VPN
Alcatel Polska SA
VLAN / VPN
Artykuł pochodzi ze strony http://www.alcatel.pl/
Sieci wirtualne tworzone w oparciu o nowoczesne przełączniki
Obserwując rozwój lokalnych sieci komputerowych (Local Area Network) dostrzec można, iż raz na kilka
lat podlegają one rewolucyjnym przemianom. Szybki rozwój technik komputerowych zarówno pod
względem sprzętu (coraz większa liczba komputerów PC i stacji roboczych podłączonych do sieci i
dysponujących coraz większą mocą przetwarzania), jak i oprogramowania, wykorzystywanego do pracy
grupowej czy służącego do przetwarzania rozproszonego, powoduje zwiększenie zapotrzebowania na
odpowiednio dużą przepływność sieci.
Aby sprostać coraz większym wymaganiom użytkowników końcowych sieci transmisyjnych, producenci
sprzętu oraz komitety standaryzacyjne prześcigają się w tworzeniu i dostarczaniu na rynek coraz
nowszych urządzeń koniecznych do powstania tego typu sieci. Wyścig ten obserwuje się zarówno w
zakresie technik sieci pasywnych (okablowanie światłowodowe lub okablowanie strukturalne z kablami
kategorii 5, 6 oraz 7), jak i technik sieci aktywnych (urzÄ…dzenia transmisji danych).
Techniki, które jeszcze parę lat temu uważano za w pełni nowoczesne i mogące sprostać wszelkim
przyszłościowym wymaganiom, powoli są wycofywane z użycia lub rola ich ulega drastycznemu
ograniczeniu.
Ewolucja lokalnych sieci komputerowych
W początkowej fazie rozwoju sieci transmisji danych dominowały połączenia systemów komputerowych
realizowane w ramach jednej firmy. Najczęściej połączenia takie były tworzone za pomocą jednego typu
protokołu transmisyjnego stosowanego w pojedynczej sieci LAN. Gdy do tych sieci zaczęto podłączać
coraz większą liczbę użytkowników końcowych, jej przepływność, dostępna dla pojedynczego
użytkownika, zaczęła się zmniejszać. Z chwilą gdy powstała konieczność łączenia ze sobą pojedynczych
sieci, pojawił się problem zgodności (kompatybilności) poszczególnych protokołów transmisyjnych
dotychczas stosowanych w tych sieciach. Stało się konieczne zastosowanie odpowiedniego urządzenia,
które skutecznie przekształcałoby różne formaty ramek stosowanych w poszczególnych protokołach
sieciowych, jednocześnie umożliwiając tworzenie coraz większych sieci. Takim urządzeniem był most
sieciowy (bridge)
Mosty sieciowe
Pojawienie się mostu sieciowego - działającego w drugiej warstwie modelu OSI - stało się jedną z
podstawowych i rewolucyjnych zmian w technice sieci LAN. Jakkolwiek rozwiązywał on problemy
zgodności protokołów sieci LAN (w odpowiedniej dla siebie warstwie modelu OSI) oraz współdziałania
segmentów sieci, to nie rozwiązał problemu ramek rozgłoszeniowych (broadcast) rozgłaszanych do
wszystkich segmentów sieci LAN. Ramki te, tworzone w jednym z segmentów sieci i rozprowadzane w
całej sieci zintegrowanej, wykorzystywały znaczną część jej przepływności koniecznej do transmisji
innych konkretnych danych. W przypadku tzw. sztormu pakietów rozgłoszeniowych mogły one
całkowicie zająć całą przepływność sieci, przez co dostęp innych danych do medium transmisyjnego
stawał się utrudniony lub często całkowicie niemożliwy.
© Alcatel Polska SA All rights reserved
1
VLAN / VPN
Alcatel Polska SA
W miarę rozwoju technicznego, opisany problem ramek rozgłoszeniowych stawał się coraz bardziej
dotkliwy dla projektantów i administratorów sieci. Pojawiła się potrzeba kolejnej zmiany struktury sieci,
przez zastosowanie odpowiedniego urządzenia. Był to ruter (router).
Rutery sieciowe
Ruter, pracujący w trzeciej warstwie modelu OSI (a przez to niezależny od warstwy drugiej) rozwiązuje
zarówno problem pierwszy - zapewnienie integracji sieci stosujących różne protokoły transmisji, jak i
problem drugi - ograniczenia transmisji danych wynikające z ruchu pakietów rozgłoszeniowych.
Niestety, pomimo swoich zalet, ruter ma także istotne wady. Najpoważniejsza z nich wynika
bezpośrednio z jego działania w trzeciej warstwie modelu OSI. Jest to niska przepływność tego
urządzenia, związana z programową obsługą pakietów, wieloprotokołowością oraz koniecznością
obsługi dużych tablic kierowania ruchu (rutingiem).
Wady te próbuje się rozwiązywać stosując nowocześniejsze procesory, szybszą szynę danych lub
większą pojemność pamięci operacyjnej. W tym samym czasie systemy operacyjne ruterów stają się
coraz bardziej rozbudowane, co znowu wpływa na zmniejszenie przepływności tego urządzenia.
Przełączniki sieciowe
Na początku lat dziewięćdziesiątych pojawiło się rynku - i w bardzo krótkim czasie zyskało wielką liczbę
zwolenników - urządzenie zwane przełącznikiem (switch). Rozpoczęło ono kolejną epokę w rozwoju
sieci transmisji danych, zarówno lokalnych jak i rozległych (Wide Area Network).
Przełączniki są specjalizowanymi urządzeniami komutacyjnymi a ich rozwiązania sprzętowe są podobne
do działania mostu sieciowego. Jest to również urządzenie działające w drugiej warstwie modelu OSI.
Przełączanie odbywa się z wykorzystaniem szybkich układów typu ASIC. Przełącznik sieciowy, dzięki
rozwiązaniom sprzętowym, służy do szybkiego przełączania pakietów pomiędzy portami i rozwiązuje
problem odpowiedniej przepływności tego urządzenia oraz samej sieci. Działając w warstwie drugiej, w
przeciwieństwie do rutera, nie analizuje szczegółowo każdego pakietu, co również ma bezpośredni
wpływ na szybkość przełączania.
Niestety, rozwiązania sprzętowe przełącznika nie eliminują problemu pakietów rozgłoszeniowych.
Podobnie jak w przypadku mostu sieciowego obszary (domeny) rozgłoszeniowe obejmują w tym
przypadku całą sieć podłączonych do przełącznika urządzeń końcowych lub stacji roboczych.
Wydaje się, iż w tym przypadku zmierza to do impasu. Nowoczesne aplikacje oraz wydajne stacje
robocze wymagają zwiększonej przepływności sieci podczas transmisji danych. Rutery, ze względu na
powyżej opisane wady, nie mogą zapewnić odpowiednio dużej szybkości przepływu pakietów, a
przełączniki rozsyłają pakiety rozgłoszeniowe w obszarze całej podłączonej do nich sieci.
Sieci wirtualne
Drogą wyjścia z impasu wydaje się zastosowanie techniki sieci wirtualnych. Przełączniki, pozwalające
uniknąć wad ruterów, dzięki odpowiedniemu ich wykorzystaniu potrafią stworzyć strukturę hierarchiczną
sieci, a zatem stworzyć obszary rozgłoszeniowe ograniczające ruch odpowiednich pakietów do
wymaganej grupy stacji lub urządzeń.
Sieć VLAN można określić jako obszar rozgłoszeniowy, rozumiany jako logiczne zgrupowanie
końcowych użytkowników definiowanych zarówno jako stacje robocze, określone aplikacje czy obszary
w których jest wykorzystywany specyficzny protokół. Sieć VLAN można również określić jako obszar
bezpieczeństwa, co wiąże się z brakiem możliwości wymiany informacji pomiędzy odpowiednio
skonfigurowanymi sieciami wirtualnymi.
Logiczne zgrupowanie użytkowników końcowych sprawia, że obszar rozgłoszeniowy określony przez
system operacyjny przełącznika nie jest ograniczony fizycznym umiejscowieniem urządzeń w
końcowych w sieci (jak w przypadku użycia ruterów). Identyfikacja użytkownika końcowego dołączonego
do odpowiedniej sieci VLAN odbywa siÄ™ na podstawie jego adresu fizycznego MAC, a nie adresu
warstwy trzeciej modelu OSI. Dzięki tak rozwiązanej identyfikacji, użytkownik końcowy, fizycznie
znajdujący się w dowolnym miejscu sieci, jest widziany przez przełącznik tak, jakby znajdował się w
© Alcatel Polska SA All rights reserved
2
VLAN / VPN
Alcatel Polska SA
określonym segmencie fizycznym sieci, razem z innymi użytkownikami określonej sieci wirtualnej. Dzięki
tak stworzonemu modelowi sieci VLAN całkowicie zostaje wyeliminowany problem
przekonfigurowywania parametrów stacji roboczych podczas zmiany ich fizycznej lokalizacji. Wszelkie
zmiany umiejscowienia użytkowników nie powodują zmian konfiguracji stacji czy przełącznika. Z chwilą
podłączenia stacji w nowym miejscu jest ona automatycznie identyfikowana jako element danej,
wcześniej skonfigurowanej sieci wirtualnej.
Technika rutingu wciąż ma swoje uzasadnienie, ale w przypadku przełączników jej rola znacznie się
zmienia. Ruting nie określa już trasy pakietu pomiędzy fizycznymi segmentami sieci (portami rutera). W
technice VLAN, ruting określa trasę przebiegu ramek pomiędzy sieciami wirtualnymi tworzonymi
niezależnie od fizycznej lokalizacji użytkowników końcowych i służy do realizacji połączeń pomiędzy
odpowiednio zdefiniowanymi sieciami wirtualnymi.
Konfiguracja sieci VLAN może być wykonana na podstawie wielu kryteriów. Można je podzielić na trzy
główne grupy, wyznaczające również trzy podstawowe generacje sieci wirtualnych.
Pierwszą generacją są sieci wirtualne tworzone jako grupy portów czy grupy określonych adresów
fizycznych MAC. Możliwości tworzenia tego typu sieci są udostępniane przez większość obecnych na
rynku przełączników.
Kolejną generacją są sieci wirtualne tworzone na podstawie protokołu lub adresu użytkowników,
wykorzystujących do komunikacji protokół warstwy trzeciej modelu OSI. Sieci wirtualne tej generacji,
jako jedyne mają możliwość łączenia się ze sobą dzięki zastosowaniu wspomnianej wcześniej techniki
rutingu. Generacja ta, bardziej skomplikowana niż pierwsza, jest skutecznie wprowadzona tylko w
niewielkiej liczbie przełączników.
Trzecią generacją są sieci wirtualne określone na podstawie wykorzystywanej przez użytkowników
aplikacji lub kryteriów wybranych przez użytkownika, a zdefiniowanych w formacie ramki danego
protokołu sieciowego. Sieci VLAN tej generacji można tworzyć opierając się na nielicznych typach
przełączników obecnie dostępnych na rynku.
Sieci wirtualne określone jako grupy portów
Najprostszy sposób tworzenia sieci wirtualnych polega na przyporządkowaniu określonego portu
przełącznika do danej sieci VLAN. Pomimo niewątpliwej zalety, jaką jest łatwość zastosowania, ma
niezaprzeczalną wadę. Polega ona na możliwości przyporządkowania tylko jednej sieci wirtualnej do
określonego portu przełącznika. Przy wykorzystaniu serwerów oferujących swoje zasoby użytkownikom
więcej niż jednej sieci wirtualnej, wyklucza to stosowanie tego typu sieci VLAN. Podobny problem
pojawia się przy podłączeniu do określonego portu przełącznika kilku stacji roboczych zgrupowanych z
wykorzystanie hub'a. Podczas takiego podłączenia wszyscy użytkownicy huba należą automatycznie do
sieci VLAN określonej przez dany port przełącznika.
Sieci wirtualne określone jako grupy adresów fizycznych MAC
Metodą znoszącą ograniczenia działania sieci wirtualnych opisane w poprzednim rozdziale jest
stosowanie sieci wirtualnych określonych jako grupy adresów fizycznych MAC. Serwery mogą
jednocześnie należeć do kilku sieci VLAN a stacje podłączone do huba mogą należeć do różnych sieci
wirtualnych. Przyporządkowując użytkowników do określonej sieci VLAN wykorzystuje się listy ich
adresów fizycznych MAC, a przez to wszelkie zmiany lokalizacji określonego użytkownika nie powodują
potrzeby zmian w konfiguracji stacji końcowych. Użytkownik znajdujący się w nowej lokalizacji jest
automatycznie identyfikowany jako należący do określonej sieci VLAN. Wadą tej metody jest żmudne,
ręczne wpisywanie skomplikowanych adresów fizycznych MAC dla każdej z tworzonych sieci
wirtualnych.
Sieci wirtualne określone przez wykorzystywany protokół warstwy trzeciej lub wyższych warstw modelu
OSI. Sieci VLAN tego typu są tworzone na podstawie identyfikacji protokołu wykorzystywanego przez
użytkowników końcowych. Protokół ten jest identyfikowany przez przełącznik na podstawie określonej
sekwencji bitów ramki danych. Metoda ta może być stosowana w przypadku oddzielenia od siebie ruchu
wykorzystywanych w sieci protokołów warstwy trzeciej np. protokołu DECNET lub protokołu IP.
© Alcatel Polska SA All rights reserved
3
VLAN / VPN
Alcatel Polska SA
Sieci wirtualne określone przez adresy logiczne urządzeń
(adresy warstwy trzeciej modelu OSI)
Metoda tworzenia sieci wirtualnych na podstawie adresu logicznego urządzeń jest wprowadzona na
podobnych zasadach jak metody tworzenia obszarów (domen) rozgłoszeniowych w tradycyjnych
ruterach. Sieć VLAN jest określona jako grupa portów tworzących jedną podsieć. Tak stworzone
podsieci VLAN łączy się ze sobą wykorzystując technikę rutingu. Najczęściej wykorzystywane
rozwiązanie polega na zintegrowaniu z przełącznikiem wewnętrznego, sprzętowego rutera, który
realizuje funkcję kierowania pakietów pomiędzy poszczególnymi podsieciami logicznymi. Sieci wirtualne
tego typu są niezwykle łatwe do zarządzania, jednakże ich wadą jest zależność od określonych
protokołów.
Wyżej opisana metoda tworzenia sieci wirtualnych jest obecnie jedyną zdefiniowaną drogą przejścia od
tradycyjnych sieci opartych na ruterach do pełnych sieci przełączanych. Z tego powodu przełączniki
umożliwiające zastosowanie tego typu sieci VLAN są często zwane przełącznikami rutującymi (routing
switch).
Sieci wirtualne określone jako grupa multicast
Aby zrozumieć metodę tworzenia sieci wirtualnych określonych jako grupa multicast należy wyjaśnić
znaczenie terminu - wiadomość typu multicast. Multicast z natury jest bardzo podobny do pakietu
rozgłoszeniowego (broadcast) z tą jedynie różnicą, że pakiety multicast są adresowane nie do
wszystkich użytkowników danego segmentu sieci, lecz tylko do określonej grupy użytkowników. W
obrębie sieci wirtualnej określonej jako grupa multicast pakiety te są kierowane do wszystkich
użytkowników tej sieci, przez co działają identycznie jak pakiety rozgłoszeniowe. Znaczenie opisywanej
metody tworzenia sieci wirtualnych stale wzrasta i ma zwiÄ…zek z coraz szerszym zastosowaniem techniki
wideokonferencji wykorzystujących do przesyłania danych właśnie technikę multicastu.
Sieci wirtualne określone na podstawie własnych kryteriów użytkownika
Sieci tego typu są określone na podstawie jakiegokolwiek, możliwego do zidentyfikowania, ciągu bitów
umieszczonego w ramce. Na przykład użytkowników protokołu NetBios można zgrupować na podstawie
określonego ciągu bitów pakietu tego protokołu. Ciąg ten jest specyficzny dla protokołu NetBios i jest
umieszczony w każdym jego pakiecie. Tworzenie tego typu sieci VLAN polega na określeniu
przesunięcia początku ramki do miejsca identyfikującego użytkowników tego ciągu bitów.
Sieci wirtualne określone na podstawie serwera autentyzacji
Użycie tego typu sieci VLAN chroni je przed niepowołanym dostępem. Dostęp każdorazowo jest
sprawdzany przez serwer autentyzacji, a użytkownik jest identyfikowany na podstawie unikalnego kodu
dostępu oraz hasła. Użytkownik podczas logowania się do sieci jest automatycznie podłączany do
domyślnej sieci VLAN, która łączy się z serwerem autentyzacji. Po pomyślnej weryfikacji użytkownika
serwer ten łączy go z konkretnymi sieciami wirtualnymi, których jest on użytkownikiem.
Zastosowanie w przełącznikach wyżej wymienionych metod tworzenia sieci wirtualnych wpływa
bezpośrednio na zwiększenie ich przepływności m. in. w wyniku ograniczenia obszarów
rozgłoszeniowych oraz na elastyczność ich działania, szczególnie w dużych sieciach korporacyjnych i
środowiskach wieloprotokołowych. Przełączniki nie spełniają swego zadania bez elastycznego
zastosowania technik sieci wirtualnych.
Standaryzacja
Jakkolwiek komitety standaryzacyjne nie w pełni nadążają ze standaryzacją metod tworzenia i
implementacji sieci VLAN, to, w chwili publikacji niniejszego artykułu, istnieje już znaczna liczba
gotowych standardów tego typu sieci. Na uwagę zasługują prace Komitetu Standaryzacyjnego IEEE,
który już w zeszłym roku przyjął projekty lub rozwinięcia dokumentów: 802.1q, 802.1p. oraz 802.10.
Standard 802.1p. opisuje zasady konfigurowania sieci wirtualnych oraz generowany i transportowany
przez nie ruch. Standard 802.1q opisuje metody tworzenia sieci wirtualnych, formaty używanych ramek
© Alcatel Polska SA All rights reserved
4
VLAN / VPN
Alcatel Polska SA
oraz metody zarządzania tymi sieciami. Standard 802.10 początkowo powstał jako specyfikacja
szyfrowania danych pomiędzy urządzeniami pracującymi w sieci. Został on stworzony w celu
zapewnienia większego bezpieczeństwa komunikacji, jednakże wskutek braku norm dotyczących
oznaczenia ramek w sieciach wirtualnych, opartych na grupie przełączników, standard 802.10 zaczęto
stosować właśnie w tym celu. Obecnej komitet IEEE zgodził się również na takie wykorzystanie tego
standardu.
Funkcje sieci wirtualnych zastosowane w nowoczesnych przełącznikach wpływają na ich cechy
funkcjonalne. Pełne możliwości konfiguracji sieci VLAN wpływają na elastyczność pracy przełącznika a
także jego przepływność. Nowoczesność tej techniki wpływa na wartość tego typu sprzętu i zapewnia
przełącznikom pierwszeństwo wśród innych technik sieciowych. Z tych właśnie powodów podczas
przekształcania tradycyjnych sieci komputerowych w sieci przełączane należy zastanowić się nad
wyborem właściwego sprzętu. Wytypowany przełącznik, oprócz wewnętrznej magistrali o dużej
przepływności, powinien mieć również jak najwięcej opisanych możliwości tworzenia sieci wirtualnych.
Obecnie na rynku jest dostępnych wiele rodzajów przełączników, jednakże tylko przełącznik firmy Alcatel
o symbolu 1100 LSS zapewnia możliwości realizacji wszystkich wyżej opisanych rozwiązań sieci
wirtualnych. Jest on wyposażony w bardzo szybkie magistrale oraz matryce przełączające a także
węwnętrzny, sprzętowy ruter. Zapewnia możliwości dołączenia się do sieci WAN (Frame Relay już teraz
i inne metody transmisji w opracowaniu), ma zaimplementowane urzÄ…dzenie zabezpieczajÄ…ce (firewall)
oraz możliwości realizacji emulacji łącza dzierżawionego (circuit emulation) do łączenia ze sobą
abonenckich central telefonicznych (PABX) z wykorzystaniem techniki ATM. W rezultacie przełącznik ten
jest bardzo nowoczesnym i elastycznym sprzętem, którego właściwości mogą zadowolić każdego, nawet
najbardziej wymagajÄ…cego operatora sieci transmisji danych.
© Alcatel Polska SA All rights reserved
5