Технология VLAN

Современные предприятия используют распределенные сети, включающие в себя большое количество разнообразных устройств. Для обеспечения эффективной работы таких сетей требуется разделение их на автономные подсети. В таких ситуациях применяется технология VLAN (Virtual Local Area Network — виртуальная локальная сеть), позволяющая разделить одну локальную сеть на отдельные сегменты, что позволяет организовать эффективное управление и обеспечить безопасность сетей современных предприятий.

1. Принцип работы технологии VLAN

Каждая VLAN-подсеть обладает своим уникальным идентификатором, который определяет принадлежность к той или иной подсети. Информация об идентификаторе VLAN содержится в теге, который добавляется в тело Ethernet-фрейма сети, где используется разделение на подсети VLAN.

Наиболее распространенным стандартом, описывающим процедуру тегирования трафика, является открытый стандарт 802.1 Q. Существуют также проприетарные протоколы, однако они менее распространены.

Формат Ethernet-кадра после тегирования выглядит следующим образом:

Тег размером 4 байта состоит из нескольких полей:

• TPID (Tag Protocol Identifier) — Идентификатор протокола тегирования. Для стандарта 802.1Q значение TPID — 0×8100.
• Р-тег — Определяет приоритет кадра. Используется при работе стандарта 802.1p для определения очередности обработки кадров.
• CFI (Canonical Format Indicator) — Идентификатор формата МАС-адреса, который использовался для совместимости между сетями Ethernet и Token Ring. В настоящее время поле CFI не используется в связи с отказом от сетей Token Ring.
• VLAN ID — Идентификатор VLAN. Определяет, какой подсети VLAN принадлежит кадр.

Тег в сетевом оборудовании определяет принадлежность кадра к определенной сети VLAN и позволяет осуществлять различные действия с кадром, такие как фильтрация и передача на конечное оборудование.

2. Обзор WEB-интерфейса

Перед тем как перейти к принципам работы VLAN на коммутаторах Kyland, рассмотрим каждый параметр.

VLAN ID (VID) — идентификатор VLAN

Allowed Access VLANs — список разрешенных VLAN для режима Access

Mode — выбор режима (access, trunk, hybrid) для указанного порта

Port VLAN (PVID) — идентификатор VLAN-подсети, к которой относится оборудование, подключенное к порту

Настраивается только в режиме Hybrid:

Port Type — тип порта (Unaware, C-Port, S-Port, S-Custom-Port) определяет TPID тега

Ingress Filtering — фильтрация входящего трафика, которая может быть отключена или включена

Ingress Acceptance — тип входящих кадров (Tagged and Untagged, Tagged Only, Untagged Only)

Egress Tagging — тип обработки кадров для режимов Trunk и Hybrid

• Untag Port VLAN — кадры с указанными VLAN идентификаторами на выходе передаются без тега
• Untag All — все кадры на выходе передаются без тега
• Tag All — все кадры на выходе передаются с тегом

Allowed VLANs — список разрешенных VLAN

Forbidden VLANs — список VLAN, запрещенных для передачи по протоколу GVRP*

*GVRP — протокол, предназначенный для динамического обмена информацией о VLAN между коммутаторами через trunk-порты

3. Режимы работы портов

Каждый режим имеет свои параметры и логику работы, которая описывается входящими и исходящими правилами, режим выбирается в соответствии с характеристиками подключенного оборудования.

Режим Access

Режим Access назначается портам коммутатора, к которым подключаются устройства, не поддерживающие стандарт 802.1Q. Такие устройства не могут обрабатывать кадры с тегами.

Правила обработки кадров для портов Access

Входящие правила

• Если фрейм без VID, добавить тег с идентификатором, равным PVID
• Если фрейм с VID = PVID, принять кадр. Иначе — кадр отбросить

Исходящие правила

Переслать кадр после удаления тега

Режим Trunk

Режим Trunk используется для подключения сетевых устройств с поддержкой VLAN. Чаще всего этот режим применяется на портах, которые задействованы для соединения коммутаторов между собой.

Правила обработки кадров для портов Trunk

Входящие правила

• Если фрейм без VID, добавить тег с идентификатором, равным PVID
• Если фрейм с VID = PVID или VID есть в Allowed VLAN, принять кадр. Иначе — кадр отбросить

*На коммутаторах Kyland при добавлении VLAN ID в поле PVID этот VID автоматически добавляется в список Allowed VLAN

Исходящие правила

Для Untag Port VLAN:

• Если VLAN ID = PVID иесть в списке Allowed VLAN, удалить тег
• Если VLAN ID не= PVID, но содержится в списке Allowed VLAN, оставить тег

Для Tag All: Если VLAN ID есть в списке Allowed VLAN, сохранить тег

Режим Hybrid

Режим Hybrid используется для подключения устройств как с поддержкой, так и без поддержки стандарта 802.1Q.

Правила обработки кадров для портов Hybrid

Входящие правила

• Если фрейм без VID, добавить тег с идентификатором равным PVID
• Если фрейм с VID = PVID или VID есть в Allowed VLAN, принять кадр. Иначе — кадр отбросить

Исходящие правила

Для Untag Port VLAN:

• Если VLAN ID = PVID и содержится в списке Allowed VLAN, удалить тег
• Если VLAN ID не= PVID, но содержится в списке Allowed VLAN, оставить тег

Для Tag All: Если VLAN ID есть в списке Allowed VLAN, сохранить тег

Для Untag All: Если VLAN ID есть в списке Allowed VLAN, удалить тег

4. Настройка VLAN на коммутаторах Kyland

Рассмотрим настройку VLAN на коммутаторах Kyland на примере следующей задачи:

Требуется создать сеть предприятия с разграничением доступа между технологической сетью, которая используется инженерами автоматизации для управления и контроля технологическими процессами, и сетью отдела разработок. Кроме того, оборудование в одной подсети находится на значительном удалении друг от друга.

Организовать данную задачу можно используя стандарт 802.1Q. Технология VLAN поддерживается всеми управляемыми коммутаторами Kyland.

Далее будет рассмотрен пример на основе управляемых коммутаторов Kyland SICOM3000A.

В первую очередь необходимо назначить Management VLAN ID, который будет отвечать за подсеть управления коммутаторами. Компьютер, с которого необходимо управлять и следить за состоянием самих коммутаторов, должен находиться в той же подсети. Management VLAN ID можно установить в разделе IP Configuration.

По умолчанию VLAN ID управления равен 1, но для предотвращения несанкционированного доступа рекомендуем данный идентификатор изменить на любой свободный.

Оборудование, которое должно находиться в технологической сети (компьютеры A и C), отнесем в подсеть с идентификатором VLAN 10. Оборудование отдела разработок отнесем в подсеть с идентификатором VLAN 20 (компьютеры B и D). Обмен между этими подсетями происходить не будет. В связи с удаленным расположением устройств и необходимостью обеспечить обмен данными между коммутаторами, которые подключены к оборудованию одной VLAN-подсети, мы объединим эти коммутаторы с помощью Trunk портов с идентификатором VLAN 99.

Настройка VLAN:

• Портам, к которым подключены компьютеры A и С, назначаем режим access и PVID, равный 10 (порт 1 на скриншоте);
• Портам, к которым подключены компьютеры B и D, также назначаем режим access и PVID, равный 20 (порт 2 на скриншоте);
• Коммутаторы между собой соединяются через trunk-порты. Назначаем этим портам PVID 99 и тип исходящего тегирования — Untag Port VLAN (порт 3 на скриншоте). Чтобы trunk-порты пропускали трафик от других VLAN-подсетей (в нашем случае 10 и 20), нужно указать в столбце Allowed VLANs VLAN 10 и 20 в качестве разрешенных;
• Назначаем режим access и PVID100 порту, к которому будет подключен компьютер для управления (порт 4 на скриншоте) на обоих коммутаторах.

* перед тем как назначать нужные VID access-портам, необходимо сначала создать эти VID в строке Allowed Access VLANs.

В завершении можно проверить с помощью утилиты Ping, что настройка технологии VLAN позволила обеспечить изолирование трафика в разных сегментах.

Мониторинг VLAN

В дополнение коммутаторы Kyland позволяют отслеживать принадлежность VLAN и статус портов для пользователей VLAN.

В разделе VLAN -> Membership можно просмотреть принадлежность портов к тому или иному идентификатору VLAN.

Для каждого идентификатора VLAN отображается ряд флажков в соответствии с портом:

• Если порт включен в VLAN, будет отображаться галочка.
• Если порт находится в списке Forbidden VLANs, будет отображаться крестик.

В разделе VLAN -> Ports можно просмотреть все настроенные параметры по каждому порту.