Элементы 

Курс лекций по сетевым технологиям. Vlan на базе портов

В 1980 году в институте IEEE был организован "Комитет 802 по стандартизации локальных сетей", в результате работы которого было принято семейство стандартов IEEE 802.х, которые содержат рекомендации для проектирования нижних уровней локальных сетей. Позже результаты его работы легли в основу комплекса международных стандартов ISO 8802-1...5. Эти стандарты были созданы на основе очень распространенных фирменных стандартов сетей Ethernet, ArcNet и Token Ring.

(Помимо IEEE в работе по стандартизации протоколов локальных сетей принимали участие и другие организации. Так для сетей, работающих на оптоволокне, американским институтом по стандартизации ANSI был разработан стандарт FDDI, обеспечивающий скорость передачи данных 100 Мб/с. Работы по стандартизации протоколов ведутся также ассоциацией ECMA (European Computer Manufacturers Association), которой приняты стандарты ECMA-80, 81, 82 для локальной сети типа Ethernet и впоследствии стандарты ECMA-89, 90 по методу передачи маркера.)

Стандарты семейства IEEE 802.x охватывают только два нижних уровня семиуровней модели OSI - физический и канальный. Это связано с тем, что именно эти уровни в наибольшей степени отражают специфику локальных сетей. Старшие же уровни, начиная с сетевого, в значительной степени имеют общие черты как для локальных, так и для глобальных сетей.

Специфика локальных сетей нашла также свое отражение в разделении канального уровня на два подуровня:

подуровень управления доступом к среде (Media Access Control, MAC)

подуровень логической передачи данных (Logical Link Control, LLC).

MAC-уровень появился из-за существования в локальных сетях разделяемой среды передачи данных. Именно этот уровень обеспечивает корректное совместное использование общей среды, предоставляя ее в соответствии с определенным алгоритмом в распоряжение той или иной станции сети. После того, как доступ к среде получен, ею может пользоваться следующий подуровень, организующий надежную передачу логических единиц данных - кадров информации. В современных локальных сетях получили распространение несколько протоколов MAC-уровня, реализующих различные алгоритмы доступа к разделяемой среде. Эти протоколы полностью определяют специфику таких технологий как Ethernet, Token Ring, FDDI, 100VG-AnyLAN.

Уровень LLC отвечает за достоверную передачу кадров данных между узлами, а также реализует функции интерфейса с прилегающим к нему сетевым уровнем. Для уровня LLC также существует несколько вариантов протоколов, отличающихся наличием или отсутствием на этом уровне процедур восстановления кадров в случае их потери или искажения, то есть отличающихся качеством транспортных услуг этого уровня.

Протоколы уровней MAC и LLC взаимно независимы - каждый протокол MAC-уровня может применяться с любым типом протокола LLC-уровня и наоборот.

Стандарт IEEE 802 содержит несколько разделов:

В разделе 802.1 приводятся основные понятия и определения, общие характеристики и требования к локальным сетям.

Раздел 802.2 определяет подуровень управления логическим каналом llc.

Разделы 802.3 - 802.5 регламентируют спецификации различных протоколов подуровня доступа к среде MAC и их связь с уровнем LLC:

стандарт 802.3 описывает коллективный доступ с опознаванием несущей и обнаружением конфликтов (Carrier sense multiple access with collision detection - CSMA/CD), прототипом которого является метод доступа стандарта Ethernet;

стандарт 802.4 определяет метод доступа к шине с передачей маркера (Token bus network), прототип - ArcNet;

стандарт 802.5 описывает метод доступа к кольцу с передачей маркера (Token ring network), прототип - Token Ring.

Для каждого из этих стандартов определены спецификации физического уровня, определяющие среду передачи данных (коаксиальный кабель, витая пара или оптоволоконный кабель), ее параметры, а также методы кодирования информации для передачи по данной среде.

Все методы доступа используют протоколы уровня управления логическим каналом LLC, описанным в стандарте 802.2.

Функциональные возможности современных коммутаторов позволяют организовывать виртуальные сети (VLAN-сетей) для создания гибкой сетевой инфраструктуры. В настоящее время VLAN-сети еще не получили широкого распространения, особенно в небольших корпоративных сетях. Во многом это связано с тем, что конфигурирование коммутаторов для организации VLAN-сетей весьма непростое дело, особенно если инфраструктура сети включает несколько коммутаторов. Кроме того, конфигурирование коммутаторов при создании VLAN-сетей, равно как и настройка других функциональных возможностей, может значительно отличаться у коммутаторов от различных фирм, вследствие чего известные производители сетевого оборудования, такие как Cisco, HP, 3Com, Allied Telesyn, Avaya, устраивают специальные курсы по работе с их оборудованием. Понятно, что упрощать конфигурирование своего оборудования, делать этот процесс интуитивно понятным и простым и уж тем более вырабатывать общие соглашения и единый интерфейс по настройке оборудования от разных производителей — явно не в интересах самих производителей, однако пользователи вполне способны самостоятельно разобраться во многих возможностях коммутаторов. Поэтому в данной статье мы рассмотрим возможности современных коммутаторов по организации виртуальных сетей и расскажем о базовых принципах их конфигурирования.

Назначение виртуальных сетей

иртуальной сетью VLAN (Virtual LAN) называют группу узлов сети, образующих домен широковещательного трафика (Broadcast Domain). Такое определение вполне корректно, но малоинформативно, так что попытаемся трактовать понятие виртуальной сети несколько иначе.

При создании локальной сети на основе коммутатора, несмотря на возможность использования пользовательских фильтров по ограничению трафика, все узлы сети представляют собой единый широковещательный домен, то есть широковещательный трафик передается всем узлам сети. Таким образом, коммутатор изначально не ограничивает широковещательный трафик, а сами сети, построенные по указанному принципу, именуются плоскими.

Виртуальные сети образуют группу узлов сети, в которой весь трафик, включая и широковещательный, полностью изолирован на канальном уровне от других узлов сети. Это означает, что передача кадров между узлами сети, относящимися к различным виртуальным сетям, на основании адреса канального уровня невозможна (хотя виртуальные сети могут взаимодействовать друг с другом на сетевом уровне с использованием маршрутизаторов).

Изолирование отдельных узлов сети на канальном уровне с использованием технологии виртуальных сетей позволяет решать одновременно несколько задач. Во-первых, виртуальные сети способствуют повышению производительности сети, локализуя широковещательный трафик в пределах виртуальной сети и создавая барьер на пути широковещательного шторма. Коммутаторы пересылают широковещательные пакеты (а также пакеты с групповыми и неизвестными адресами) внутри виртуальной сети, но не между виртуальными сетями. Во-вторых, изоляция виртуальных сетей друг от друга на канальном уровне позволяет повысить безопасность сети, делая часть ресурсов для определенных категорий пользователей недоступной.

Типы виртуальных сетей

о появления общепризнанного стандарта по организации виртуальных сетей IEEE 802.1Q каждый производитель сетевого оборудования использовал собственную технологию организации VLAN. Такой подход имел существенный недостаток — технологии одного производителя были несовместимы с технологиями других фирм. Поэтому при построении виртуальных сетей на базе нескольких коммутаторов необходимо было использовать только оборудование от одного производителя. Принятие стандарта виртуальных сетей IEEE 802.1Q позволило преодолеть проблему несовместимости, однако до сих пор существуют коммутаторы, которые либо не поддерживают стандарт IEEE 802.1Q, либо, кроме возможности организации виртуальных сетей по стандарту IEEE 802.1Q, предусматривают и иные технологии.

Существует несколько способов построения виртуальных сетей, но сегодня в коммутаторах главным образом реализуется технология группировки портов или используется спецификация IEEE 802.1Q.

Виртуальные сети на основе группировки портов

иртуальные сети на основе группировки портов (Port-based) обычно реализуются в так называемых Smart-коммутаторах или в управляемых коммутаторах — как дополнение к возможности организации VLAN на базе стандарта IEEE 802.1Q.

Данный способ создания виртуальных сетей достаточно прост и, как правило, не вызывает проблем. Каждый порт коммутатора приписывается к той или иной виртуальной сети, то есть порты группируются в виртуальные сети. Решение о продвижении сетевого пакета в этой сети основывается на MAC-адресе получателя и ассоциированного с ним порта. Если к порту, которому назначена принадлежность к определенной виртуальной сети, например к VLAN#1, подключить ПК пользователя, то этот ПК автоматически будет принадлежать сети VLAN#1. Если же к данному порту подключается коммутатор, то все порты этого коммутатора также будут принадлежать VLAN#1 (рис. 1).

Рис. 1. Виртуальные сети, построенные с использованием технологии группировки портов на базе одного коммутатора

При использовании технологии группировки портов один и тот же порт может быть одновременно приписан к нескольким виртуальным сетям, что позволяет реализовывать разделяемые ресурсы между пользователями различных виртуальных сетей. Например, чтобы реализовать совместный доступ к сетевому принтеру или к файл-серверу пользователей виртуальных сетей VLAN#1 и VLAN#2, тот порт коммутатора, к которому подключается сетевой принтер или файл-сервер, нужно приписать одновременно к сетям VLAN#1 и VLAN#2 (рис. 2).

Рис. 2. Создание разделяемого ресурса между несколькими виртуальными сетями с использованием технологии группировки портов

Описываемая технология обладает рядом преимуществ в сравнении с использованием стандарта IEEE 802.1Q, но имеет и свои недостатки.

К достоинствам можно отнести простоту конфигурации виртуальных сетей. Кроме того, при этом не требуется, чтобы конечные узлы сети поддерживали стандарт IEEE 802.1Q, а поскольку большинство сетевых контроллеров Ethernet не поддерживают этот стандарт, то организация сети на основе группировки портов может оказаться проще. К тому же при подобной организации виртуальных сетей они могут пересекаться, что позволяет создавать разделяемые сетевые ресурсы.

Технология создания виртуальных сетей на основе группировки портов находит применение в случаях использования одного коммутатора или использования стека коммутаторов с единым управлением. Однако если сеть достаточно крупная и построена на нескольких коммутаторах, то возможности по организации виртуальных сетей на основе группировки портов имеют существенные ограничения. Прежде всего, эта технология плохо масштабируется и в большинстве случаев ограничивается лишь одним коммутатором.

Рассмотрим для примера ситуацию, когда сеть построена на базе двух коммутаторов, поддерживающих технологию организации виртуальных сетей на основе группировки портов (рис. 3).

Рис. 3. Реализация виртуальных сетей на основе группировки портов при использовании двух коммутаторов

Пусть необходимо, чтобы часть портов первого и второго коммутаторов относилась к VLAN#1, а другая часть — к VLAN#2. Для этого нужно, во-первых, чтобы оба коммутатора позволяли не только организовывать виртуальные сети на основе группировки портов, но и распространять такие сети на несколько коммутаторов (подобная функция реализована далеко не у всех коммутаторов), во-вторых, чтобы между коммутаторами было установлено столько физических соединений, сколько создано виртуальных сетей. Рассмотрим два шестипортовых коммутатора. Пусть в первом коммутаторе порты 1 и 2 относятся к VLAN#1, а порты 3 и 4 — к VLAN#2; во втором коммутаторе порты 1, 2 и 3 относятся к VLAN#1, а порт 4 — к VLAN#2. Чтобы пользователи VLAN#1 первого коммутатора могли общаться с пользователями VLAN#1 второго коммутатора, эти коммутаторы должны быть связаны между собой портами, относящимися к VLAN#1 (например, порт 5 первого и второго коммутаторов необходимо приписать к VLAN#1). Аналогично, для общения пользователей VLAN#2 первого коммутатора с пользователями VLAN#2 второго коммутатора следует связать эти коммутаторы через порты, приписанные к VLAN#2 (это могут быть порты 6 на обоих коммутаторах). Таким образом, проблема масштабируемости виртуальных сетей на основе технологии группировки портов решается (правда, не во всех случаях) за счет установления избыточных связей между коммутаторами.

Виртуальные сети на основе стандарта IEEE 802.1Q

ри наличии развитой сетевой инфраструктуры, насчитывающей множество коммутаторов, более эффективным решением создания виртуальных сетей будет технология IEEE 802.1Q. В виртуальных сетях, основанных на стандарте IEEE 802.1Q, информация о принадлежности передаваемых Ethernet-кадров к той или иной виртуальной сети встраивается в сам передаваемый кадр. Таким образом, стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети.

К кадру Ethernet добавляется метка (Tag) длиной 4 байта — такие кадры называют кадрами с метками (Tagged frame). Дополнительные биты содержат информацию по принадлежности кадра Ethernet к виртуальной сети и о его приоритете (рис. 4).

Добавляемая метка кадра включает в себя двухбайтовое поле TPID (Tag Protocol Identifier) и двухбайтовое поле TCI (Tag Control Information). Поле TCI, в свою очередь, состоит из полей Priority, CFI и VID. Поле Priotity длиной 3 бита задает восемь возможных уровней приоритета кадра. Поле VID (VLAN ID) длиной 12 бит является идентификатором виртуальной сети. Эти 12 бит позволяют определить 4096 различных виртуальных сетей, однако идентификаторы 0 и 4095 зарезервированы для специального использования, поэтому всего в стандарте 802.1Q возможно определить 4094 виртуальные сети. Поле CFI (Canonical Format Indicator) длиной 1 бит зарезервировано для обозначения кадров сетей других типов (Token Ring, FDDI), передаваемых по магистрали Ethernet, и для кадров Ethernet всегда равно 0.

Изменение формата кадра Ethernet приводит к тому, что сетевые устройства, не поддерживающие стандарт IEEE 802.1Q (такие устройства называют Tag-unaware), не могут работать с кадрами, в которые вставлены метки, а сегодня подавляющее большинство сетевых устройств (в частности, сетевые Ethernet-контроллеры конечных узлов сети) не поддерживают этот стандарт. Поэтому для обеспечения совместимости c устройствами, поддерживающими стандарт IEEE 802.1Q (Tag-aware-устройства), коммутаторы стандарта IEEE 802.1Q должны поддерживать как традиционные Ethernet-кадры, то есть кадры без меток (Untagged), так и кадры с метками (Tagged).

Входящий и исходящий трафики, в зависимости от типа источника и получателя, могут быть образованы и кадрами типа Tagged, и кадрами типа Untagged — только в этом случае можно достигнуть совместимости с внешними по отношению к коммутатору устройствами. Трафик же внутри коммутатора всегда образуется пакетами типа Tagged. Поэтому для поддержки различных типов трафиков и для того, чтобы внутренний трафик коммутатора образовывался из пакетов Tagged, на принимаемом и передающем портах коммутатора кадры должны преобразовываться в соответствии с предопределенными правилами.

Правила входящего порта (Ingress rules)

Рассмотрим более подробно процесс передачи кадра через коммутатор (рис. 5). По отношению к трафику каждый порт коммутатора может быть как входным, так и выходным. После того как кадр принят входным портом коммутатора, решение о его дальнейшей обработке принимается на основании предопределенных правил входного порта (Ingress rules). Поскольку принимаемый кадр может относиться как к типу Tagged, так и к типу Untagged, то правилами входного порта определяется, какие типы кадров должны приниматься портом, а какие отфильтровываться. Возможны следующие варианты: прием только кадров типа Tagged, прием только кадров типа Untagged, прием кадров обоих типов. По умолчанию для всех коммутаторов правилами входного порта устанавливается возможность приема кадров обоих типов.

Рис. 5. Процесс продвижения кадров в коммутаторе, совместимом со стандартом IEEE 802.1Q

Если правилами входного порта определено, что он может принимать кадр Tagged, в котором имеется информация о принадлежности к конкретной виртуальной сети (VID), то этот кадр передается без изменения. А если определена возможность работы с кадрами типа Untagged, в которых не содержится информации о принадлежности к виртуальной сети, то прежде всего такой кадр преобразуется входным портом коммутатора к типу Tagged (напомним, что внутри коммутатора все кадры должны иметь метки о принадлежности к виртуальной сети).

Чтобы такое преобразование стало возможным, каждому порту коммутатора присваивается уникальный PVID (Port VLAN Identifier), определяющий принадлежность порта к конкретной виртуальной сети внутри коммутатора (по умолчанию все порты коммутатора имеют одинаковый идентификатор PVID=1). Кадр типа Untagged преобразуется к типу Tagged, для чего дополняется меткой VID (рис. 6). Значение поля VID входящего Untagged-кадра устанавливается равным значению PVID входящего порта, то есть все входящие Untagged-кадры автоматически приписываются к той виртуальной сети внутри коммутатора, к которой принадлежит входящий порт.

Правила продвижения пакетов (Forwarding Process)

После того как все входящие кадры отфильтрованы, преобразованы или оставлены без изменения в соответствии в правилами входящего порта, решение об их передаче к выходному порту основывается на предопределенных правилах продвижения пакетов. Правило продвижения пакетов внутри коммутатора заключается в том, что пакеты могут передаваться только между портами, ассоциированными с одной виртуальной сетью. Как уже отмечалось, каждому порту присваивается идентификатор PVID, который используется для преобразования принимаемых Untagged-кадров, а также для определения принадлежности порта к виртуальной сети внутри коммутатора с идентификатором VID=PVID. Таким образом, порты с одинаковыми идентификаторами внутри одного коммутатора ассоциируются с одной виртуальной сетью. Если виртуальная сеть строится на базе одного коммутатора, то идентификатора порта PVID, определяющего его принадлежность к виртуальной сети, вполне достаточно. Правда, создаваемые таким образом сети не могут перекрываться, поскольку каждому порту коммутатора соответствует только один идентификатор. В этом смысле создаваемые виртуальные сети не обладали бы такой гибкостью, как виртуальные сети на основе портов. Однако стандарт IEEE 802.1Q с самого начала задумывался для построения масштабируемой инфраструктуры виртуальных сетей, включающей множество коммутаторов, и в этом состоит его главное преимущество по сравнению с технологией образования VLAN на основе портов. Но для того, чтобы расширить сеть за пределы одного коммутатора, одних идентификаторов портов недостаточно, поэтому каждый порт может быть ассоциирован с несколькими виртуальными сетями, имеющими различные идентификаторы VID.

Если адрес назначения пакета соответствует порту коммутатора, который принадлежит к той же виртуальной сети, что и сам пакет (могут совпадать VID пакета и VID порта или VID пакета и PVID порта), то такой пакет может быть передан. Если же передаваемый кадр принадлежит к виртуальной сети, с которой выходной порт никак не связан (VID пакета не соответствует PVID/VID порта), то кадр не может быть передан и отбрасывается.

Правила выходного порта (Egress rules)

После того как кадры внутри коммутатора переданы на выходной порт, их дальнейшее преобразование зависит от правил выходного порта. Как уже говорилось, трафик внутри коммутатора создается только пакетами типа Tagged, а входящий и исходящий трафики могут быть образованы пакетами обоих типов. Соответственно правилами выходного порта (правило контроля метки — Tag Control) определяется, следует ли преобразовывать кадры Tagged к формату Untagged.

Каждый порт коммутатора может быть сконфигурирован как Tagged или Untagged Port. Если выходной порт определен как Tagged Port, то исходящий трафик будет создаваться кадрами типа Tagged с информацией о принадлежности к виртуальной сети. Следовательно, выходной порт не меняет тип кадров, оставляя их такими же, какими они были внутри коммутатора. К указанному порту может быть подсоединено только устройство, совместимое со стандартом IEEE 802.1Q, например коммутатор или сервер с сетевой картой, поддерживающей работу с виртуальными сетями данного стандарта.

Если же выходной порт коммутатора определен как Untagged Port, то все исходящие кадры преобразуются к типу Untagged, то есть из них удаляется дополнительная информация о принадлежности к виртуальной сети. К такому порту можно подключать любое сетевое устройство, в том числе коммутатор, не совместимый со стандартом IEEE 802.1Q, или ПК конечных клиентов, сетевые карты которых не поддерживают работу с виртуальными сетями этого стандарта.

Конфигурирование виртуальных сетей стандарта IEEE 802.1Q

Рассмотрим конкретные примеры конфигурирования виртуальных сетей стандарта IEEE 802.1Q.

Чтобы сформировать VLAN-сеть в соответствии со стандартом IEEE 802.1Q, необходимо проделать следующие действия:

  • задать имя виртуальной сети (например, VLAN#1) и определить ее идентификатор (VID);
  • выбрать порты, которые будут относиться к данной виртуальной сети;
  • задать правила входных портов виртуальной сети (возможность работы с кадрами всех типов, только с кадрами Untagged или только с кадрами Tagged);
  • установить одинаковые идентификаторы PVID портов, входящих в виртуальную сеть;
  • задать для каждого порта виртуальной сети правила выходного порта, сконфигурировав их как Tagged Port или Untagged Port.

Далее необходимо повторить вышеперечисленные действия для следующей виртуальной сети. При этом нужно помнить, что каждому порту можно задать только один идентификатор PVID, но один и тот же порт может входить в состав различных виртуальных сетей, то есть ассоциироваться одновременно с несколькими VID.

Таблица 1. Задание характеристик портов при создании виртуальных сетей на базе одного коммутатора

Примеры построения VLAN-сетей на основе коммутаторов, совместимых со стандартом IEEE 802.1Q

А теперь рассмотрим типичные примеры построения виртуальных сетей на основе коммутаторов, поддерживающих стандарт IEEE 802.1Q.

Если имеется всего один коммутатор, к портам которого подключаются компьютеры конечных пользователей, то для создания полностью изолированных друг от друга виртуальных сетей все порты должны быть объявлены как Untagget Ports для обеспечения совместимости с сетевыми Ethernet-контроллерами клиентов. Принадлежность узлов сети к той или иной VLAN определяется заданием идентификатора порта PVID.

Возьмем восьмипортовый коммутатор, на базе которого создаются три изолированные виртуальные сети VLAN#1, VLAN#2 и VLAN#3 (рис. 7). Первому и второму портам коммутатора присваивается идентификатор PVID=1. Поскольку идентификаторы этих портов совпадают с идентификатором первой виртуальной сети (PVID=VID), то данные порты образуют виртуальную сеть VLAN#1 (табл. 1). Если портам 3, 5 и 6 присвоить PVID=2 (совпадает с идентификатором VID VLAN#2), то вторая виртуальная сеть будет образована портами 3, 4 и 8. Аналогично формируется и VLAN#3 на базе портов 5, 6 и 7. Для обеспечения совместимости с конечным оборудованием (предполагается, что к портам коммутатора подключаются ПК клиентов сети, сетевые карты которых не совместимы со стандартом IEEE 802.1Q) все порты необходимо сконфигурировать как Untagged.

Рис. 7. Организация трех сетей VLAN по стандарту IEEE 802.1Q на основе одного коммутатора

Если инфраструктура сети включает несколько коммутаторов, поддерживающих стандарт IEEE 802.1Q, то для связи коммутаторов друг с другом необходимо использовать несколько иной принцип конфигурирования. Рассмотрим два шестипортовых коммутатора, которые поддерживают стандарт IEEE 802.1Q и на основе которых необходимо сконфигурировать три изолированные друг от друга виртуальные сети VLAN#1, VLAN#2 и VLAN#3.

Пусть к первой виртуальной сети относятся клиенты, подключенные к портам 1 и 2 первого коммутатора и к портам 5 и 6 второго коммутатора. К сети VLAN#2 относятся клиенты, подключенные к порту 3 первого коммутатора и порту 1 второго коммутатора, а к сети VLAN#3 относятся клиенты, подключенные к портам 4 и 5 первого коммутатора и портам 2 и 3 второго коммутатора. Порт 6 первого коммутатора и порт 4 второго коммутатора используются для связи коммутаторов друг с другом (рис. 8).

Рис. 8. Организация трех VLAN-сетей по стандарту IEEE 802.1Q на основе двух коммутаторов

Чтобы сконфигурировать указанные виртуальные сети, необходимо прежде всего определить на каждом из коммутаторов по три виртуальные сети VLAN#1, VLAN#2 и VLAN#3, задав их идентификаторы (VID=1 для VLAN#1, VID=2 для VLAN#2 и VID=3 для VLAN#3).

На первом коммутаторе порты 1 и 2 должны входить в состав VLAN#1, для чего этим портам присваивается PVID=1. Порт 2 первого коммутатора необходимо приписать к VLAN#2, для чего идентификатору порта присваивается значение PVID=2. Аналогично, для портов 5 и 6 первого коммутатора устанавливаются идентификаторы PVID=3, так как эти порты относятся к VLAN#3. Все указанные порты первого коммутатора должны быть сконфигурированы как Untagged Port для обеспечения совместимости с сетевыми картами клиентов.

Порт 4 первого коммутатора используется для связи со вторым коммутатором и должен передавать кадры всех трех виртуальных сетей без изменения второму коммутатору. Поэтому его необходимо сконфигурировать как Tagged Port и включить в состав всех трех виртуальных сетей (ассоциировать с VID=1, VID=2 и VID=3). При этом идентификатор порта не имеет значения и может быть любым (в нашем случае PVID=4).

Аналогичная процедура конфигурации виртуальных сетей осуществляется и на втором коммутаторе. Конфигурации портов двух коммутаторов представлены в табл. 2.

Таблица 2. Задание характеристик портов при создании виртуальных сетей на основе двух коммутаторов

Автоматическая регистрация в виртуальных сетях стандарта IEEE 802.1Q

ассмотренные примеры виртуальных сетей относились к так называемым статическим виртуальным сетям (Static VLAN), в которых все порты настраиваются вручную, что хотя и весьма наглядно, но при развитой сетевой инфраструктуре является довольно рутинным делом. Кроме того, при каждом перемещении пользователей в пределах сети приходится производить перенастройку сети с целью сохранения их членства в заданных виртуальных сетях, а это, конечно, крайне нежелательно.

Существует и альтернативный способ конфигурирования виртуальных сетей, а создаваемые при этом сети называются динамическими виртуальными сетями (Dynamic VLAN). В таких сетях пользователи могут автоматически регистрироваться в сети VLAN, для чего служит специальный протокол регистрации GVRP (GARP VLAN Registration Protocol). Этот протокол определяет способ, посредством которого коммутаторы обмениваются информацией о сети VLAN, чтобы автоматически зарегистрировать членов VLAN на портах во всей сети.

Все коммутаторы, поддерживающие функцию GVRP, могут динамически получать от других коммутаторов (и, следовательно, передавать другим коммутаторам) информацию VLAN о регистрации, включающую данные об элементах текущей VLAN, о порте, через который можно осуществлять доступ к элементам VLAN и т.д. Для связи одного коммутатора с другим в протоколе GVRP используется сообщения GVRP BPDU (GVRP Bridge Protocol Data Units). Любое устройство с поддержкой протокола GVPR, получающее такое сообщение, может динамически подсоединяться к той сети VLAN, о которой оно оповещено.

В статье рассматриваются возможности Ethernet применительно к использованию в промышленности; также в материале представлены специальные прикладные протоколы на основе Ethernet.

ООО "АКОМ", г. Челябинск

Успешно завоевав мир офисной автоматизации, Ethernet и TCP/IP начали наступление на распределенные системы управления производством. В качестве основного “оружия” при этом используется заманчивая идея “бесшовного” соединения всех уровней классической пирамиды автоматизации: от уровня автоматизации технологических процессов до уровня управления предприятием. Реализация этой идеи потребовала серьезной адаптации Ethernet, особенно в плане поддержки реального времени. Недетерминированные протоколы связи типа HTTP и FTP конечно обеспечивают универсальность и удобство использования, но для применения в промышленности все же пришлось разрабатывать на основе Ethernet специальные прикладные протоколы.

OSI - модель взаимодействия открытых систем

Модель OSI (Open System Interconnection) схематично описывает и стандартизирует связи между различными устройствами в сетевой архитектуре. Модель OSI определяет семь уровней сетевого взаимодействия систем, дает им стандартные имена и указывает, какие функции должен выполнять каждый уровень и каким образом будет обеспечиваться взаимодействие с более высоким уровнем.

Рис. 1. Модель OSI (Open System Interconnection)

Прежде чем пользовательские данные из Приложения 1 (рис. 1.) можно будет послать через Ethernet, эти данные последовательно проходят через весь коммуникационный стек от верхнего до самого нижнего уровня. При этом происходит формирование конечного пакета для передачи (инкапсуляция) - при формировании фрейма (пакета) в соответствии с требованиями текущего уровня, в него внедряется фрейм из более высокого уровня. Таким образом данные, дошедшие до самого нижнего уровня (физическая среда передачи), передаются во вторую систему, где происходит обратный процесс последовательной передачи полученных данных на верхние уровни до пункта назначения - Приложения 2.

Такой процесс подобен отлаженному конвейеру и требует четкого описания логического взаимодействия между уровнями.

Таблица 1

В Ethernet, согласно стандарту IEEE 802.1-3, реализованы уровни 1 и 2 модели OSI. Поддержку третьего, Сетевого уровня, обеспечивает накладываемый на Ethernet протокол IP (Internet Protocol), а транспортные протоколы TCP и UDP соответствуют Уровню 4. Уровни 5-7 реализованы в прикладных протоколах FTP, Telnet, SMTP, SNMP и в рассматриваемых далее специфических протоколах для промышленной автоматизации (Industrial Ethernet). Надо отметить, что протоколы Industrial Ethernet в некоторых приложениях могут замещать или дополнять собой Уровни 3 и 4 (IP и TCP/UDP).

Уровень 1 (Физический) описывает метод последовательной, бит за битом, передачи данных через физическую среду. Применительно к стандарту IEEE 802.3, стандартный фрейм Ethernet должен выглядеть следующим образом:

Preamble - преамбула, используется для синхронизации приемного устройства и индицирует начало фрейма Ethernet;

Destination - адрес получателя;

Source - адрес отправителя;

Type Field - тип протокола высокого уровня (например, TCP/IP);

Data Field - передаваемые данные;

Check - контрольная сумма (CRC).

Уровень 2 (Канальный) повышает надежность передачи данных через Физический уровень, упаковывая данные в стандартные фреймы с добавлением адресной информации и контрольной суммы (обнаружение ошибок). Доступ к физической среде передачи, согласно IEEE 802.3, осуществляется через механизм CSMA/CD, что приводит к неизбежным коллизиям при одновременном начале передачи несколькими устройствами. Канальный уровень позволяет решить эту проблему, обеспечивая распределение прав доступа сетеобразующих устройств. Это реализовано в Ethernet-коммутаторах (Switched Ethernet technology), в которых на основании данных канального уровня все входящие данные автоматически проверяются на целостность и соответствие контрольной сумме (CRC) и при положительном результате перенаправляются только на тот порт, к которому подключен приемник данных.

Уровень 3 (Сетевой) обеспечивает обмен сообщениями между различными сетями, используя в качестве инструмента протокол IP (применительно к Ethernet). Данные, получаемые из Транспортного уровня, инкапсулируются во фрейм Сетевого уровня с заголовками IP и передаются на Канальный уровень для сегментации и дальнейшей передачи. Действующая в настоящее время версия 4 протокола IP (IPv4) использует диапазон адресов до 32 бит, а версия IPv6 расширяет адресное пространство до 128 бит.

Уровень 4 (Транспортный) обеспечивает передачу данных с заданным уровнем надежности. Поддержка этого уровня реализована в протоколах TCP и UDP. TCP (Transmission Control Protocol - протокол управления передачей) представляет собой развитый протокол со средствами установки, подтверждения и завершения соединения, со средствами обнаружения и коррекции ошибок. Высокая надежность передачи данных достигается ценой дополнительных временных задержек и увеличения объема передаваемой информации. UDP (User Datagram Protocol - пользовательский дейтаграммный протокол) создан в противовес TCP и используется в случаях, когда первоочередным фактором становится скорость, а не надежность передачи данных.

Уровни 5 - 7 отвечают за конечную интерпретацию передаваемых пользовательских данных. В качестве примера из мира офисной автоматизации можно привести протоколы FTP и HTTP. Протоколы, относящиеся к категории Industrial Ethernet, так же используют эти уровни, но различными способами, что делает их несовместимыми. Так протоколы Modbus/TCP, EtherNet/IP, CIPsync, JetSync располагаются строго над Уровнем 4 модели OSI, а протоколы ETHERNET Powerlink, PROFInet, SERCOS расширяют и частично замещают еще и Уровни 3 и 4.

EtherNet/IP

EtherNet/IP базируется на протоколах Ethernet TCP и UDP IP и расширяет коммуникационный стек для применения в промышленной автоматизации (рис. 2.). Вторая часть названия “IP” означает “Industrial Protocol” (Промышленный протокол). Протокол Ethernet/IP (Industrial Ethernet Protocol) был разработан группой “ODVA” при активном участии компании “Rockwell Automation” в конце 2000 года на основе коммуникационного протокола CIP (Common Interface Protocol), который используется также в сетях ControlNet и DeviceNet. Спецификация EtherNet/IP является общедоступной и распространяется бесплатно. В дополнение к типичным функциям протоколов HTTP, FTP, SMTP и SNMP, EtherNet/IP обеспечивает передачу критичных ко времени доставки данных между управляющим устройством и устройствами ввода-вывода. Надежность передачи некритичных ко времени данных (конфигурации, загрузка/выгрузка программ) обеспечивается стеком TCP, а критичная ко времени доставка циклических данных управления будет осуществлена через стек UDP. Для упрощения настройки сети EtherNet/IP большинство стандартных устройств автоматики имеют в комплекте заранее определенные конфигурационные файлы (EDS).

CIPsync является расширением коммуникационного протокола CIP и реализует механизмы синхронизации времени в распределенных системах на основе стандарта IEEE 1588.

PROFINET

Первая версия PROFINET использовала Ethernet для не критичной ко времени связи между устройствами верхнего уровня и Profibus-DP устройствами полевого уровня. Взаимодействие с Profibus-DP осуществлялось при этом достаточно просто при помощи встроенного в стек PROXY.

Вторая версия PROFINET обеспечивает два механизма связи через Ethernet: для передачи не критичных ко времени данных используется TCP/IP, а реальное время обеспечивается на втором канале специальным протоколом. Этот протокол реального времени “перепрыгивает” через Уровни 3 и 4, преобразуя длину передаваемых данных для достижения детерминированности. Кроме этого для оптимизации связи всем посылкам данных в PROFINET присваиваются приоритеты согласно IEEE 802.1p. Для связи в реальном масштабе времени данные должны иметь высший (седьмой) приоритет.

PROFINET V3 (IRT) использует аппаратные средства для создания быстрого канала с еще большей производительностью. Обеспечивается соответствие требованиям IRT (Isochronous Real-Time) стандарта IEEE-1588. PROFINET V3 используется в основном в системах управления перемещением с применением специальных Ethernet/PROFINET V3 коммутаторов.

Рис. 2. Структура Ethernet/IP в уровнях модели OSI

Рис. 3. Структура PROFINET в уровнях модели OSI

Рис. 4. Структура Ethernet PowerLink в уровнях модели OSI

ETHERNET Powerlink

В ETHERNET Powerlink стеки TCP/IP и UDP/IP (Уровни 3 и 4) расширены стеком Powerlink. На основе стеков TCP, UDP и Powerlink осуществляется как асинхронная передача не критичных ко времени данных, так и быстрая изохронная передача циклических данных.

Стек Powerlink полностью управляет трафиком данных на сети для обеспечения работы в реальном масштабе времени. Для этого используется технология SCNM (Slot Communication Network Management), которая для каждой станции в сети определяет временной интервал и строгие права для передачи данных. В каждый такой временной интервал только одна станция имеет полный доступ к сети, что позволяет избавиться от коллизий и обеспечить детерминированность в работе. В дополнение к этим индивидуальным интервалам времени для изохронной передачи данных, SCNM обеспечивает общие интервалы времени для асинхронной передачи данных.

В сотрудничестве с группой CiA (CAN in Automation) разработано расширение Powerlink v.2 с использованием профилей устройств CANopen.

Powerlink v.3 включает механизмы синхронизации времени, основанные на стандарте IEEE 1588.

Modbus/TCP - IDA

Недавно образованная группа Modbus-IDA предлагает архитектуру IDA для распределенных систем управления, используя Modbus в качестве структуры сообщений. Modbus-TCP это симбиоз стандартного протокола Modbus и протокола Ethernet-TCP/IP как средства передачи данных. В результате получился простой, структурированный, открытый протокол передачи для сетей Master-Slave. Все три протокола из семейства Modbus (Modbus RTU, Modbus Plus и Modbus-TCP) используют один прикладной протокол, что позволяет обеспечить их совместимость на уровне обработки пользовательских данных.

IDA это не только протоколы на основе Modbus, это целая архитектура, объединяющая методы построения различных систем автоматики с распределенным интеллектом и описывающая как структуру системы управления в целом, так и интерфейсы устройств и программного обеспечения в частности. Это обеспечивает вертикальную и горизонтальную интеграцию всех уровней автоматизации с широким использованием web-технологий.

Передача данных в реальном времени обеспечивается использованием стека IDA, являющегося надстройкой над TCP/UDP и основанного на протоколе Modbus. Передача некритичных ко времени данных и поддержка web-технологий происходит через стек TCP/IP. Предусмотрена возможность удаленного управления устройствами и системами (диагностика, параметризация, загрузка программ и т.п.) при помощи стандартных протоколов HTTP, FTP и SNMP.

EtherCAT

EtherCAT (Ethernet for Control Automation Technology) - концепция автоматизации на основе Ethernet, разработанная немецкой компанией Beckhoff. Главным отличием этой технологии является обработка фреймов Ethernet “на лету”: каждый модуль в сети одновременно с получением адресуемых ему данных транслирует фрейм следующему модулю. При передаче выходные данные аналогичным образом вставляются в ретранслируемый фрейм. Таким образом каждый модуль в сети дает задержку всего в несколько наносекунд, обеспечивая системе в целом поддержку реального времени. Не критичные ко времени данные передаются во временных промежутках между передачами данных в реальном времени.

В EtherCAT реализованы механизмы синхронизации на основе стандарта IEEE 1588. Малое время задержки при передаче данных позволяет применять EtherCAT в системах управления перемещением.

SERCOS-III

SERCOS (SErial Real-Time COmmunication System) - это цифровой интерфейс, оптимизированный для связи между контроллером и ЧРП (преобразователями частоты) и использующий оптоволоконное кольцо. Разработан в первоначальном виде группой компаний еще в конце 80-х годов прошлого века. Работа в реальном времени достигается при помощи механизма TDMA (Time Division Multiplex Access) - Мультиплексный Доступ с Временным Уплотнением. SERCOS-III является последней версией этого интерфейса и базируется на Ethernet.

Foundation Fieldbus HSE

При разработке стандарта Foundation Fieldbus пытались полностью опираться на модель OSI, но, в конце концов, из соображений качества функционирования модель была изменена: Уровень 2 был заменен на уровень Согласования данных собственной разработки, Уровни 3-6 были исключены и разработан восьмой уровень, названный Пользовательским. Пользовательский уровень включает функциональные блоки, которые являются стандартизированными пакетами функций управления (например, блок аналогового входного сигнала, ПИД-регулирования и т. п.). Данные функциональные блоки должны отвечать требованиям широкой гаммы разнообразного оборудования различных производителей, а не конкретному типу устройств. Для передачи своих уникальных свойств и данных в систему, подключаемые устройства используют программное “описание устройства” (Device Description - DD). Это обеспечивает простоту добавления новых устройств в систему по принципу “plug-and-play”.

Второй отличительной чертой технологии Foundation Fieldbus является обеспечение одноранговой связи между полевыми устройствами. При одноранговой связи каждое устройство, подключенное к шине, может обмениваться информацией с другими устройствами на этой шине напрямую (то есть без необходимости передачи сигналов через систему управления).

В 2000 году был разработан вариант Foundation Fieldbus HSE ((High-Speed Ethernet). Основные особенности: базируется на Ethernet, скорость передачи данных 100 Мбод, поддержка реального времени, совместимость со всем коммерческим оборудованием Ethernet, использование протоколов Internet (FTP, HTTP, SMPT, SNMP и UDP), возможность связи с сетью FF Н1 без обращения к главной системе.

SafeEthernet

Разработка немецкой компании HIMA на основе Ethernet с поддержкой протоколов Internet. В соответствии с профилем компании и как видно из названия, данный протокол оптимизирован для использования в системах обеспечения безопасности.

Конфигурирование коммутаторов с поддержкой 802.1Q

Первая редакция статьи, опубликованная 17 мая 2000 г, вызвала неадекватную реакцию некоторых читателей, вылившуюся даже в дискуссию . Критически взглянув на текст статьи, мы решили внести в нее несколько строк. Они выделены цветом .

Современный подход к построению сетей имеет девиз "коммутаторы — по возможности, маршрутизаторы — по необходимости". При этом на коммутаторы возлагаются задачи не только уменьшения размеров доменов коллизий (сегментация), но и локализации широковещательного и группового трафика, а также ограничения распространения кадров с неизвестными адресами назначения. Интеллектуальные коммутаторы служат средством построения виртуальных локальных сетей (ВЛС). Виртуальная локальная сеть (VLAN — Virtual LAN) — это, по сути, домен широковещательных кадров. Основные цели введения виртуальных сетей в коммутируемую среду — повышение полезной пропускной способности за счет локализации широковещательного трафика, формирование виртуальных рабочих групп из некомпактно (в плане подключения) расположенных узлов, обеспечение безопасности, улучшение соотношения цены/производительности по сравнению с применением маршрутизаторов.

Когда виртуальные сети распространяются на несколько связанных между собой коммутаторов, возникает довольно сложная задача передачи информации о принадлежности передаваемых кадров к той или иной ВЛС. В ВЛС на основе номеров портов относительно простые коммутаторы должны быть соединены столькими линиями связи, сколько определено распределенных ВЛС. Это приводит к дополнительным расходам портов коммутаторов на межкоммутаторные связи, и виртуальные сети практически перестают отличаться от реальных. Сети без излишних линий связи с передачей информации о ВЛС строятся либо на основе фирменных решений (при этом объединяться могут лишь коммутаторы одной фирмы или даже одного семейства), либо на основе стандарта 802.1Q.

Задача идентификации принадлежности кадров Ethernet к конкретной виртуальной сети совместно с обеспечением приоритезации обслуживания кадров коммутаторами решается с помощью применения маркировки кадров. Недавно принятая пара связанных стандартов IEEE 802.1Q и 802.1p закладывает основу для взаимодействия оборудования различных производителей. Стандарт IEEE 802.1Q определяет структуру заголовка для маркированных кадров (tagged frames) Ethernet. Тег вставляется в обычный кадр Ethernet после адреса источника (SA). В тег входит 3-битное поле приоритета кадра Prt, 12-битное поле идентификатора ВЛС VID (VLAN ID) и бит-индикатор канонического формата заголовка CFI (Canonical Format Identifier). Поле VID позволяет определить принадлежность кадра к конкретной ВЛС (до 4096 штук) в пределах коммутируемой сети, поддерживающей маркированные кадры. Поле приоритета кадра позволяет различать 8 уровней приоритета. Маркировку кадра выполняет либо сетевой адаптер конечного узла, "понимающий" ВЛС по 802.1Q, либо интеллектуальный коммутатор, который первым принимает данный кадр (он вставляет идентификатор и приоритет по заданым правилам, например, по номеру порта). Маркированный кадр путешествует по коммутаторам сети, где его обслуживают (или не обслужиают) в соответствии с идентификатором ВЛС и полем приоритета. Маркировочное поле удаляется из кадра пограничным коммутатором (тем, к которому подключен традиционный узел назначения или его разделяемый сегмент), или же оно достигает сетевого адаптера узла назначения, поддерживающего маркированные кадры. Устройство, вставляющее тег в кадр или удаляющее тег, должно пересчитать контрольную последовательность кадра (поле FCS), по которой определяется его целостность. Поддержка маркированных кадров конечными узлами позволяет наиболее гибко формировать виртуальные сети (один узел может входить и в несколько виртуальных сетей) в коммутируемой среде.

Стандарт IEEE 802.1p определяет поведение коммутаторов при обработке маркированных кадров с использованием приоритезации. Коммутатор, поддерживающий приоритезацию, должен иметь для каждого порта несколько выходных очередей, в которые помещаются кадры в зависимости от их приоритета. Дисциплина обслуживания этих очередей определяется при конфигурировании коммутатора. Необходимость приоритезации трафика появляется с введением мультимедийных приложений, чувствительных к задержкам. Протокол IP позволяет управлять приоритетом обработки пакетов устройствами 3-го уровня (маршрутизаторами). Маркировка кадров распространяет управление приоритетом и на уровень коммутаторов технологии Ethernet, изначально не имевшей этих средств (в отличие от Token Ring и FDDI). Для того, чтобы обеспечивать гарантированное качество сервиса (регламентированную скорость и задержки), необходимо взаимодействие нескольких составляющих. Маркировка кадров обеспечивает систему сигнализации приоритета, 802.1p обеспечивает приоритезацию обработки. Необходимы еще средства распределения ресурсов сети, которые сообщают конечным узлам разрешенные параметры трафика. Кроме того, необходимы и "полицейские" средства, следящие за трафиком узлов и пресекающие попытки его генерации сверх согласованных лимитов.

Рассмотрим вариант построения виртуальных сетей на коммутаторах фирмы Nortel Networks типа BayStack-350/450, в которых имеется поддержка VLAN на основе стандарта IEEE 802.1Q. Заметим, что наличие поддержки этого стандарта имеется только в коммутаторах с относительно новой версией как аппаратной части, так и внутреннего ПО (firmware). Стандарт IEEE 802.1Q — Virtual Bridge Local Area Networks — определяет только формат используемых кадров Ethernet и минимальный набор требований к устройству, которые обязательны к реализации всеми производителями. Вместе с тем, очень большая область использования этой технологии отдается на откуп производителю оборудования. Именно поэтому все случаи использования VLAN, которые хоть немного отличаются от простейших VLAN на основе портов, сильнейшим образом зависят от конкретного используемого оборудования. Все примеры, приведенные в статье — живые. Именно на этом подходе построена сеть ЦНИИ Робототехники и технической кибернетики в СПб. Сеть прекрасно работает и с точки зрения VLAN выполняет все, что от нее требуется, и все, что декларировано Nortel Networks.

Коммутаторы для ВЛС требуют предварительного конфигурирования (поставляются они обычно в состоянии, в котором ведут себя как обычные коммутаторы). Для конфигурирования удобно использовать внеполосное (out of band) управление через консольный порт, поскольку при внутриполосном (in band) по неосторожности или неопытности можно попасть в "капкан" — в какой-то момент из-за ошибки конфигурирования консоль может потерять связь с коммутатором.

Портам коммутаторов, поддерживающих 802.1Q, и участвующим в формировании ВЛС, назначаются специфические атрибуты. Каждому порту назначается PVID (Port VLAN Identifier) — идентификатор ВЛС для всех приходящих на него немаркированных кадров, и приоритет порта (P_Prt). Коммутатор маркирует каждый приходящий к нему немаркированный кадр (вставляет номер VLAN и приоритет, пересчитывает FCS), а маркированные оставляет без изменений. В результате внутри коммутатора все кадры будут маркированными. Порты могут конфигурироваться как маркированные или немаркированные члены ВЛС. Немаркированный член ВЛС (untagged member) выходящие через него кадры выпускает без тега (удаляя его и снова пересчитывая FCS). Маркированный член ВЛС (tagged member) выпускает все кадры маркированными. Теги берутся либо исходные (когда в коммутатор кадр входил уже маркированным), либо устанавливаются в соответствии PVID и приоритетом порта, откуда этот кадр пришел в коммутатор. Для каждой ВЛС определяется список портов, являющихся ее членами. Порт может быть членом одной или более ВЛС. Маркированный кадр, пришедший на порт с "чужим" для него идентификатором ВЛС, называется незарегистрированным (unregistered) и коммутатором игнорируется. Работу коммутатора 802.1Q иллюстрирует рис. 1. При конфигурировании для каждой ВЛС каждый порт должен быть объявлен как немаркированный (U), маркированный (T) или не являющийся членом данной VLAN (-). Если используется запараллеливание портов (port trunking) или резервирование линий (LinkSafe), то с точки зрения ВЛС запараллеленные порты представляют единое целое.

Рис. 1. Прохождение кадров через коммутатор 802.1Q

На рис. 2 приведена структура сети с ВЛС, распространяющимися на несколько коммутаторов. Коммутаторы SW2 и SW3 поддерживают 802.1Q, SW1 поддерживает только ВЛС по портам, SW4 — коммутатор без поддержки ВЛС. Для того, чтобы в обе ВЛС V1 и V2 попали узлы, подключенные к коммутаторам SW1 и SW2, между этими коммутаторами приходится прокладывать отдельные линии и занимать по порту на каждую ВЛС. Порты 1 и 2 коммутатора SW2 конфигурируются как немаркированные (U), один для ВЛС V1 (PVID=1), другой для V2 (PVID=2). Порт 8 у SW2 и 1 у SW3 объявляются маркированным (T) для ВЛС V2 и V3. Порты SW2 и SW3, к которым подключаются компьютеры, объявляются немаркированными членами соответствующих ВЛС, у этих портов PVID принимает значения 1, 2 и 3 (в соответствии с номером ВЛС). Членам ВЛС V2 и V3 разрешаем доступ в Интернет через маршрутизатор, подключенный к порту 7 коммутатора SW3. Для этого порт 7 конфигурируется как немаркированный член V2 и V3, это обеспечит прохождение всех кадров от пользователей Интернет к маршрутизатору. Для того, чтобы ответные кадры могли дойти до пользоввателей, назначим порту 7 коммутатора SW3 PVID=9 — это будет дополнительная ВЛС для доступа к Интернет. Эта ВЛС должна быть "прописана" и во всех портах SW2 и SW3, к которым подключаются пользователи Интернет (порты SW2.8 и SW3.1 будут маркированными членами ВЛС 9, остальные — немаркированными). Под словом "прописана" подразумеваем указание на членство этих портов в VLAN 9, но никак не назначение им PVID=9 (специальное пояснение для участников дискуссии по первой редакции данной статьи).


Рис. 2. Сеть с распределенными ВЛС

Если использовать узлы, поддерживающие маркировку кадров (эта возможность имеется в современных серверных картах), то их можно подключать к маркированным портам коммутаторов 802.1Q. Поддержка 802.1Q особенно желательна на магистральных коммутаторах, разнесенных территориально — тогда развитие сети не будет требовать прокладки новых магистральных линий (пока хватает их пропускной способности). В пределах одного распределительного пункта поддержка 802.1Q избавляет от необходимости физических перекоммутаций, связанных с изменением структуры сети, а также перемещением, добавлением и удалением пользователей.

Данная статья является адаптированным фрагментом из новой книги "Аппаратные средства локальных сетей. Энциклопедия", которую издательство "Питер" выпустило в мае этого года. В книге рассматриваются теоретические и практические вопросы построения сетей — от кабельных систем до коммуникационного оборудования. С содержанием книги можно ознакомиться на сайте www.neva.ru/mgook , где имеется информация по всем книгам Михаила Гука, а также электронная версия "Книги ответов" по сетям NetWare.

IEEE 802.1Q - открытый стандарт, который описывает процедуру тегирования трафика для передачи информации о принадлежности к VLAN .

Так как 802.1Q не изменяет заголовки кадра, то сетевые устройства, которые не поддерживают этот стандарт, могут передавать трафик без учёта его принадлежности к VLAN.

802.1Q помещает внутрь фрейма тег , который передает информацию о принадлежности трафика к VLAN"у.

Тег 802.1Q
⊲━━ Tag Control Information (TCI) ━━⊳
TPID Priority CFI VID
16 3 1 12 bits

Размер тега - 4 байта. Он состоит из таких полей:

  • Tag Protocol Identifier (TPID) - Идентификатор протокола тегирования. Размер поля - 16 бит. Указывает, какой протокол используется для тегирования. Для 802.1q используется значение 0x8100.
  • Tag Control Information (TCI) - поле, инкапсулирующее в себе поля приоритета, канонического формата и идентификатора VLAN:
    • Priority - приоритет. Размер поля - 3 бита. Используется стандартом IEEE 802.1p для задания приоритета передаваемого трафика.
    • Canonical Format Indicator (CFI) - Индикатор канонического формата. Размер поля - 1 бит. Указывает на формат MAC-адреса. 0 - канонический(Кадр Ethernet), 1 - не канонический(Кадр Token Ring,FDDI).
    • VLAN Identifier (VID) - идентификатор VLAN"а. Размер поля - 12 бит. Указывает, какому VLAN"у принадлежит фрейм. Диапазон возможных значений VID от 0 до 4094.

При использовании стандарта Ethernet II 802.1Q вставляет тег перед полем "Тип протокола". Так как фрейм изменился, пересчитывается контрольная сумма.

В стандарте 802.1Q существует понятие Native VLAN . По умолчанию это VLAN 1. Трафик, передающийся в этом VLAN, не тегируется.

Существует аналогичный 802.1Q проприетарный протокол, разработанный компанией Cisco Systems - ISL .

VLAN - Virtual Local Area Network
Стандарты, протоколы и основные понятия 802.1Q . VLAN ID . ISL . VTP . GVRP . Native VLAN
В операционных системах Linux (Debian , Ubuntu , CentOS) . FreeBSD . Windows
В сетевом оборудовании