skip to content
HomeАвтоматизированные средства безопасности

Технология VLAN

Virtual Local Area Network — это псевдосеть, организованная на базе существующей локальной сети. На одной физической локальной сети возможно организовать несколько виртуальных сетей — VLAN, при этом субъекта данной виртуальной сети (хостам, пользователям) не будут видны участники других виртуальных сетей, как если бы данная виртуальная сеть и была единственной сетью, т. е. собственно локальной сетью.

Средством, позволяющим создавать VLAN, является коммутатор, поддерживающий соответствующие механизмы. В зависимости от конкретной реализации коммутатора, могут быть реализованы следующие типы виртуальных сетей.

  • На основе портов коммутатора или, фактически, сетевых сегментов. В этом случае на коммутаторе указывается принадлежность того или иного порта к данному VLAN. Таким образом, устройства, присоединенные к порту коммутатора, смогут взаимодействовать только с устройствами, присоединенными к тем портам, которые объединены в данную виртуальную сеть.
  • На основе МАС-адресов или групп физических устройств. На коммутаторе указываются адреса сетевых карт — сетевых интерфейсов (МАС-адреса), и коммутатор проверяет поступающие на него кадры и направляет их только тем устройствам, чьи МАС-адреса прописаны для данного VLAN.
  • На основе сетевого протокола или групп логических устройств. При этом на коммутаторе указываются адреса или номера подсетей (для хостов — IP подсеть) и коммутатор, в данном случае, работает, практически, как маршрутизатор.
  • На основе типов протоколов. Коммутатору указываются инструкции, в каких полях кадров искать указания на протоколы и объединять данные VLAN по принципу принадлежности к протоколам (например, VLAN для DecNet и VLAN для NetBIOS).
  • На основе комбинации критериев или на основе правил. В этом случае для создания VLAN могут быть использованы комбинации перечисленных вариантов, например, совмещением МАС-адреса, адреса подсетей типа протоколов.
  • На основе тегов или IEEE802.1Q. К  Ethernet-кадру добавляется идентификатор принадлежности к тому или иному VLAN, а коммутатор производит сортировку кадров на основе анализа этих идентификаторов.
  • На основе аутентификации пользователей. В этом случае коммутатор будут работать как межсетевые экраны, требуя у пользователей аутентификационных данных (имя/пароль) и производя фактически группировку пользователей и ресурсов, а не устройств.