Различия между vlan и vpn


Каналы связи – физические и виртуальные


Download 369.98 Kb.
bet2/2
Sana28.09.2020
Hajmi369.98 Kb.
#131664
1   2
Bog'liq
9. Понятие VLAN, VPN

Каналы связи – физические и виртуальные





1. Организацией «физической линии» или «канала второго уровня, L2» принято называть услугу предоставления провайдером выделенного кабеля (медного или оптоволоконного), либо радиоканала между офисами и теми площадками, где развернуто оборудование дата-центров. Заказывая эту услугу, на практике скорее всего вы получите в аренду выделенный оптоволоконный канал. Это решение привлекательно тем, что за надежную связь отвечает провайдер (а в случае повреждения кабеля самостоятельно восстанавливает работоспособность канала). Однако, в реальной жизни кабель на всем протяжении не бывает цельным – он состоит из множества соединенных (сваренных) между собой фрагментов, что несколько снижает его надежность. На пути прокладки оптоволоконного кабеля провайдеру приходится применять усилители, разветвители, а на оконечных точках – модемы.

В маркетинговых материалах к уровню L2 (Data-Link) сетевой модели OSI или TCP/IP это решение относят условно – оно позволяет работать как бы на уровне коммутации фреймов Ethernet в LAN, не заботясь о многих проблемах маршрутизации пакетов на следующем, сетевом уровне IP. Есть, например, возможность продолжать использовать в клиентских виртуальных сетях свои, так называемые «частные», IP-адреса вместо зарегистрированных уникальных публичных адресов. Поскольку использовать частные IP-адреса в локальных сетях очень удобно, пользователям были выделены специальные диапазоны из основных классов адресации:



  • 10.0.0.0 – 10.255.255.255 в классе A (с маской 255.0.0.0 или /8 в альтернативном формате записи маски);

  • 100.64.0.0 – 100.127.255.255 в классе A (с маской 255.192.0.0 или /10);

  • 172.16.0.0 – 172.31.255.255 в классе B (с маской 255.240.0.0 или /12);

  • 192.168.0.0 – 192.168.255.255 в классе C (с маской 255.255.0.0 или /16).

Такие адреса выбираются пользователями самостоятельно для «внутреннего использования» и могут повторяться одновременно в тысячах клиентских сетей, поэтому пакеты данных с частными адресами в заголовке не маршрутизируются в Интернете – чтобы избежать путаницы. Для выхода в Интернет приходится применять NAT (или другое решение) на стороне клиента.

Примечание: NAT – Network Address Translation (механизм замены сетевых адресов транзитных пакетов в сетях TCP/IP, применяется для маршрутизации пакетов из локальной сети клиента в другие сети/Интернет и в обратном направлении – вовнутрь LAN клиента, к адресату).

У этого подхода (а мы говорим о выделенном канале) есть и очевидный недостаток – в случае переезда офиса клиента, могут быть серьезные сложности с подключением на новом месте и возможна потребность в смене провайдера.



Утверждение, что такой канал значительно безопаснее, лучше защищен от атак злоумышленников и ошибок низкоквалифицированного технического персонала при близком рассмотрении оказывается мифом. На практике проблемы безопасности чаще возникают (или создаются хакером умышленно) прямо на стороне клиента, при участии человеческого фактора.



2. Виртуальные каналы и построенные на них частные сети VPN (Virtual Private Network) распространены широко и позволяют решить большинство задач клиента.

Предоставление провайдером «L2 VPN» предполагает выбор из нескольких возможных услуг «второго уровня», L2:



VLAN – клиент получает виртуальную сеть между своими офисами, филиалами (в действительности, трафик клиента идет через активное оборудование провайдера, что ограничивает скорость);

Соединение «точка-точка» PWE3 (другими словами, «эмуляция сквозного псевдопровода» в сетях с коммутацией пакетов) позволяет передавать фреймы Ethernet между двумя узлами так, как если бы они были соединены кабелем напрямую. Для клиента в такой технологии существенно, что все переданные фреймы доставляются до удалённой точки без изменений. То же самое происходит и в обратном направлении. Это возможно благодаря тому, что фрейм клиента приходя на маршрутизатор провайдера далее инкапсулируется (добавляется) в блок данных вышестоящего уровня (пакет MPLS), а в конечной точке извлекается;

Примечание: PWE3 – Pseudo-Wire Emulation Edge to Edge (механизм, при котором с точки зрения пользователя, он получает выделенное соединение).

MPLS – MultiProtocol Label Switching (технология передачи данных, при которой пакетам присваиваются транспортные/сервисные метки и путь передачи пакетов данных в сетях определяется только на основании значения меток, независимо от среды передачи, используя любой протокол. Во время маршрутизации новые метки могут добавляться (при необходимости) либо удаляться, когда их функция завершилась. Содержимое пакетов при этом не анализируется и не изменяется).

VPLS – технология симуляции локальной сети с многоточечными соединениями. В этом случае сеть провайдера выглядит со стороны клиента подобной одному коммутатору, хранящему таблицу MAC-адресов сетевых устройств. Такой виртуальный «коммутатор» распределяет фрейм Ethernet пришедший из сети клиента, по назначению – для этого фрейм инкапсулируется в пакет MPLS, а после извлекается.

Примечание: VPLS – Virtual Private LAN Service (механизм, при котором с точки зрения пользователя, его разнесенные географически сети соединены виртуальными L2 соединениями).



MAC – Media Access Control (способ управления доступом к среде – уникальный 6-байтовый адрес-идентификатор сетевого устройства (или его интерфейсов) в сетях Ethernet).



3. В случае развертывания «L3 VPN» сеть провайдера в глазах клиента выглядит подобно одному маршрутизатору с несколькими интерфейсами. Поэтому, стык локальной сети клиента с сетью провайдера происходит на уровне L3 сетевой модели OSI или TCP/IP.

Публичные IP-адреса для точек стыка сетей могут определяться по согласованию с провайдером (принадлежать клиенту либо быть полученными от провайдера). IP-адреса настраиваются клиентом на своих маршрутизаторах с обеих сторон (частные – со стороны своей локальной сети, публичные – со стороны провайдера), дальнейшую маршрутизацию пакетов данных обеспечивает провайдер. Технически, для реализации такого решения используется MPLS (см. выше), а также технологии GRE и IPSec.

Примечание: GRE – Generic Routing Encapsulation (протокол тунеллирования, упаковки сетевых пакетов, который позволяет установить защищенное логическое соединение между двумя конечными точками – с помощью инкапсуляции протоколов на сетевом уровне L3).

IPSec – IP Security (набор протоколов защиты данных, которые передаются с помощью IP. Используется подтверждение подлинности, шифрование и проверка целостности пакетов).

Важно понимать, что современная сетевая инфраструктура построена так, что клиент видит только ту ее часть, которая определена договором. Выделенные ресурсы (виртуальные серверы, маршрутизаторы, хранилища оперативных данных и резервного копирования), а также работающие программы и содержимое памяти полностью изолированы от других пользователей. Несколько физических серверов могут согласованно и одновременно работать для одного клиента, с точки зрения которого они будут выглядеть одним мощным серверным пулом. И наоборот, на одном физическом сервере могут быть одновременно созданы множество виртуальных машин (каждая будет выглядеть для пользователя подобно отдельному компьютеру с операционной системой). Кроме стандартных, предлагаются индивидуальные решения, которые также соответствует принятым требованиям относительно безопасности обработки и хранения данных клиента.

При этом, конфигурация развернутой в облаке сети «уровня L3» позволяет масштабирование до практически неограниченных размеров (по такому принципу построен Интернет и крупные дата-центры). Протоколы динамической маршрутизации, например OSPF, и другие в облачных сетях L3, позволяют выбрать кратчайшие пути маршрутизации пакетов данных, отправлять пакеты одновременно несколькими путями для наилучшей загрузки и расширения пропускной способности каналов.

В то же время, есть возможность развернуть виртуальную сеть и на «уровне L2», что типично для небольших дата-центров и устаревших (либо узко-специфических) приложений клиента. В некоторых таких случаях, применяют даже технологию «L2 over L3», чтобы обеспечить совместимость сетей и работоспособность приложений.

Подведем итоги

На сегодняшний день задачи пользователя/клиента в большинстве случаев могут быть эффективно решены путём организации виртуальных частных сетей VPN c использованием технологий GRE и IPSec для безопасности.

Нет особого смысла противопоставлять L2 и L3, равно как нет смысла считать предложение канала L2 лучшим решением для построения надёжной коммуникации в своей сети, панацеей. Современные каналы связи и оборудование провайдеров позволяют пропускать громадное количество информации, а многие выделенные каналы, арендуемые пользователями, на самом деле – даже недогружены. Разумно использовать L2 только в особенных случаях, когда этого требует специфика задачи, учитывать ограничения возможности будущего расширения такой сети и проконсультироваться со специалистом. С другой стороны, виртуальные сети L3 VPN, при прочих равных условиях, более универсальны и просты в эксплуатации.

В этом обзоре кратко перечислены современные типовые решения, которые используют при переносе локальной IT-инфраструктуры в удаленные центры обработки данных. Каждое из них имеет своего потребителя, достоинства и недостатки, правильность выбора решения зависит от конкретной задачи.

В реальной жизни, оба уровня сетевой модели L2 и L3 работают вместе, каждый отвечает за свою задачу и противопоставляя их в рекламе, провайдеры откровенно лукавят.

VLAN против VPN 

VLAN (виртуальная локальная сеть) - это набор хостов, которые взаимодействуют друг с другом, как если бы они были подключены к одному и тому же коммутатору (как если бы они находились в одном домене), даже если они не расположены в одном физическом местоположении и не подключен к тому же коммутатору. Сети VLAN позволяют группировать сети логически, а не на основе их физического местоположения. VPN (виртуальная частная сеть) обеспечивает безопасный способ подключения к частной сети через общедоступную сеть, которая не является безопасной, например, Интернет. Данные, отправляемые через незащищенную общедоступную сеть, шифруются для обеспечения безопасности. VPN могут использоваться для передачи любых данных, включая голосовые и видео.

Что такое VLAN?

VLAN - это набор хостов, которые взаимодействуют друг с другом, как если бы они были подключены к одному и тому же коммутатору (как если бы они находились в одном домене), даже если это не так. В сетях VLAN не требуется, чтобы компьютеры находились в одном физическом местоположении и находились в одном и том же широковещательном домене, что позволяет логически группировать узлы, а не их физическое местоположение. Существует два типа VLAN, которые называются статическими VLAN и динамическими VLAN. Статические VLAN - это VLAN, которые настраиваются вручную путем предоставления имени, идентификатора VLAN (VID) и назначений портов. Динамические VLAN создаются путем хранения аппаратных адресов хост-устройств в базе данных, чтобы коммутатор мог динамически назначать VLAN в любое время, когда хост подключен к коммутатору.

Что такое VPN?

VPN обеспечивает безопасный способ подключения к частной сети через общедоступную сеть, которая не является безопасной, например, Интернет. Данные, отправляемые через незащищенную общедоступную сеть, шифруются для обеспечения безопасности. VPN разрешают доступ только авторизованным пользователям, и это делается посредством аутентификации. VPN используют пароли, биометрические данные и т. Д. Для аутентификации своих пользователей. VPN широко используются организациями для обмена своими данными и другими сетевыми ресурсами с работниками, расположенными в удаленных местах. Использование VPN уменьшило бы сетевую стоимость организации, поскольку устраняет необходимость наличия выделенных линий для соединения сети организации с офисами, расположенными в удаленных местах. VPN могут различаться в зависимости от таких факторов, как протокол, который он использует для отправки трафика, обеспечения безопасности, от того, предоставляет ли VPN сайт на сайт или удаленный доступ и т. Д.

В чем разница между VLAN и VPN?



VLAN - это набор хостов, которые взаимодействуют друг с другом, как если бы они были подключены к одному и тому же коммутатору (как если бы они были в одном домене), даже если это не так, тогда как VPN предоставляет безопасный способ подключения к частной сети через общедоступная сеть, которая не защищена, например, Интернет из удаленного местоположения. VPN позволяет создать меньшую подсеть с использованием узлов в основной сети большего размера, а VLAN можно рассматривать как подгруппу VPN. Основное назначение VPN - обеспечить безопасный метод подключения в частной сети из удаленных мест.
Download 369.98 Kb.

Do'stlaringiz bilan baham:
1   2




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling