VLAN (Virtual Local Area Network) — технология виртуальных локальных сетей. VLAN позволяет создавать в сети группы устройств, которые внутри группы могут взаимодействовать между собой напрямую, физически при этом они могут быть подключены к разным сетевым коммутаторам. При этом группы VLAN, работая в одной физической сети, не передают без специальных настроек напрямую трафик друг другу.
VLAN это функция маршрутизаторов (роутеров) и управляемых коммутаторов.
Существует множество вариантов технологии VLAN. Коротко опишем технологию на основе наиболее распространённой её реализации IEEE 802.1Q.
Часто в компьютерной сети работает больше одного коммутатора. В этом случае коммутатор часто передаёт трафик каждого порта на все порты без исключения, независимо от того, нужен ли он подключённым к ним получателям или нет. Такой принцип гарантирует доставку данных, но приводит к существенному неоправданному увеличению трафика, так как будет он будет транслироваться не только получателю данных, но и всем другим устройствам сети. Это перегружает сеть и снижает безопасность за счёт общедоступности информации.
В компьютерных сетях Ethernet информация передаётся цифровыми пакетами. Технология VLAN формирует и потом различает группы, добавляя в пакет специальные метки (теги). Метка в виде номера виртуальной сети от 0 до 4094 присваивается администратором каждому порту коммутаторов сети. Группу одной виртуальной сети образуют устройства, подключенные к портам коммутаторов с одинаковой меткой.
В цифровые пакеты трафика метки автоматически добавляют коммутаторы. При получении пакета коммутатор перенаправит трафик только на те порты, метки которых совпадают с меткой в пакете трафика. Линии связи коммутаторов (uplink) могут передавать трафик с несколькими метками (задаёт администратор) и одно соединение может использовать несколько сетей VLAN одновременно - такие линии называют транком (trunk port).
VLAN позволяет разделить большую компьютерную сеть на несколько виртуальных по разным принципам:
- по географии распределения оборудования: оборудования на разных помещениях, этажах здания, разных корпусах комплекса зданий;
- по функциональному назначению: офисные компьютеры, система ip-видеонаблюдения, IP-телефония и т.п.;
- административному: провайдер делит сеть по адресам домов;
- по логическому разделению компании на подразделения: производство, продажи, логистика, складирование и т.п.
Администратор сети может производить деление на виртуальные сети по любому принципу.
В современных сетях VLAN — главный механизм для создания логической топологии сети, не зависящей от её физической топологии.
Достоинства VLAN:
- VLAN не привязан к местоположению устройств, которые могут быть в одном VLAN независимо от местоположения;
- Гибкость распределения устройств сети по VLAN за счёт настройки сети без физического переключения оборудования;
- Уменьшение количества трафика в сети т.к. VLAN сокращает трансляцию трафика потребителям, которым он не нужен;
- Увеличение безопасности и управляемости сети. В сети разделенной на VLAN проще применять политику и правила безопасности;
- Снижение затрат на построение сети, так как можно гибко применять коммутаторы с большим количеством портов, уменьшить количество соединений.
Существует множество вариантов технологии VLAN, из которых наиболее распространённой является IEEE 802.1Q. Деление на виртуальные сети можно производить по MAC-адресу (MAC-based), Q-in-Q (IEEE 802.1ad), по протоколу (Protocol-based), данным аутентификации пользователя или устройства (протокол 802.1X), технологии ISL и VTP (Cisco Systems) и других.
Популярная и многофункциональная технология VLAN требует специальных знаний и настройки оборудования.
Компьютерные сети для небольших систем видеонаблюдения обычным является сценарий, когда порты почти во все порты коммутатора включены IP видеокамеры, которые передают видеотрафик только одному получателю – видеорегистратору или серверу. Для таких систем есть упрощённый вариант VLAN с изоляция портов друг от друга. Коммутатор, на котором включена функция VLAN с изоляция портов, передаёт трафик от всех портов только на порт uplink (он обычно без поддержки PoE) и не передаёт их между портами. Трафик от камер идёт только на регистратор, и не передаётся на соседние IP-камеры. Так можно существенно снизить загрузку коммутатора и сети, что повышает стабильность работы IP-видеостстемы.
VLAN с изоляция портов не требует настройки и просто включается переключателем на коммутаторе.
