Виртуализация  VLAN 802.1Q

https://www.cisco.com/c/ru_ru/support/routers/index.html

Cisco Основы организации сетей том_2  ст.  70

VLAN Глава 9

Тодд Леммл  (CCNA Экзамен 640-507) ст.  219

Олифер 5-е издание ст. 386  655

Таненбаум "Компьютерные сети" ст. 374,  869

The.Complete.Guide.to.LAN.Switching.   ст. 433

http://www.xnets.ru/plugins/content.129

Configuring VLANs

https://vasexperts.ru/blog/bras-dlya-operatorov-svyazi/

https://www.techopedi.broadband-remote-access-server-b-ras

--------------------------------------------------

    В наше время когда виртуализация стала совершенно привычным атрибутом и инструментом в арсенале любого it-специалиста, виртуализация сетей в сегодняшнем виде, роли котрой "виртуальные" сети играют и в перспективе создания, уже реальных, информационных эко-систем, требует детального поимания.

    Когда мы ведем речь о виртуализации имея в виду некий абстрактный слой оборудования или виртуализации созданную этим слоем, примеры общеизвесны: VMWare, Cirrix...и тд, то все очевидно и понятно, но вот когда мы начинае говорить о виртуализации сети в ее "первозданном"  виде VLAN, то не сразу понятно причем здесь вообще термин "виртуализация"...?, умные люди говорят "что-то", про протокол 802.1Q , ну и что....? протокол как протокол, а при чем здесь виртуализация (термин  "виртуальный") говорим мы, привыкшие асоциировать с виртуализацией виртуализацию устройств и операционных систем .... В поисках разгадки своих противоречий, мы естественно хватаемся за эти могучие книги Cisco Press (а за что же еще ?)... И что нам говорит Cisco?, Cisco довольно уныло повторяет ту банальную истину, что сеть (LAN - сеть, сети использующие технологию CSMA) это широковещательный домен и что иная сеть это еще один широковещательный домен .... это все  прекрасно говорим мы, с подкупающей простотой во взоре, а при чем здесь виртуализация ..?

    И тут для начала необходимо еще раз рассмотреть формализацию термина, Термин "виртуальный" не может существовать в отрыве от контекста, это всегда противопоставление термина "физический, реальный" термину "логический" с точки зрения сетей "виртуальная сеть" это сеть основанная на реалных сетевых устройствах и обладающая своей топологией, сеть логическая прежде всего......, виртуальное это не возникшее из пустоты, на пустом месте ..это "нечто" использует совершенно определенный физический ресурс, везде! будь то виртуализация на основе операционных систем или виртуализация сети, другое дело что используется этот физический ресурс далеко не полностью и цель виртуалицации состоит в повышении коэфицента его отдачи (полезного действия, в общем и целом это: TCO — Total Cost of Owneship), оптимизации использования этого ресурса, будь это консолидация серверов, сервисов и оборудования, или что то другое, хорошим примером будет наличие в любой OS виртуальной файловой системы, виртуального комутатора, логической прокладки между ядром и реальной файловой системой, расширяющей функциональность ядра при использовании физического ресурса не зависимо от типа файловой системы им поддерживаемого, и в конечном итоге предоставление дополнительного уровня сервиса и увеличение "производительности", или виртуализация сетей где в итоге на первый план (забегая вперед) выходит задача "мультиплексирования" (агрегирования) в сетях передачи данных, ибо для сетей, канал передачи данных (так или иначе, кроме сетевых устройств) это и есть тот "конечный" физический ресурс и дальнейшее расширение возможно только с модифицированием "среды передачи данных"  ......, то есть это всегда "логический слой" расширяющий возможности слоя физического, но без него не существующий ...."виртуальная память" — то же самое, когда нам не обязательно держать в памяти (физической) все страницы, а иметь возможность подгружать их по необходимости (page fault) имея их в виртуальной памяти в полном объеме и в итоге мы получаем глубину адресного пространства 2^32 или 2^64, далее — логическое разбиение памяти (сегменты) с целью увеличения скорости потоков и много чего еще сопутствующего и т.д и т.п.

PS: К сожалению(или к счастью) сторогого определения термина "виртуальный" нет, в конце концов что такое "операционная система" как не виртуальная машина?, возможно надо говорить об уровнях виртуализации, так же как мы говорим об уровнях ассоциации. Точнее определение есть: "Стандарт ISO/IEC 2382-1:01.01.55" , но там все про то же, виртуальное — нечто вторичное, вспомогательное.

    Сеть, LAN - сеть, в ...первоночальном ее виде назовем ее для простоты сеть физическая, также обладает логической структурой и модификация этой структуры на основе таблиц доступа (ACL - access-list), было ...освоено давно..такие сети носят название плоские сети (flat network), то есть сети одного широковещательного домена, естественно возникала потребность сделать логику сети более гибкой и возникновение VLAN произошло не на пустом месте а явилось следствием развития сетей, однако встает вопрос где те инструменты по созданию этой гибкой логики, технология пользовательских фильтров очевидно что не решала всех задач стоящих перед новыми концепциями сетей....и называть подобные надстройки виртуальными язык не повернется (хотя логика разделяющая участников сети присутствует), пользовательский фильтр может запретить коммутатору передачу кадров только по конкретным адресам, но широковещательный трафик он обязан передать всем сегментам сети (это требует алгоритм его работы) поэтому, как говорилось ранее, сети, созданные на основе коммутаторов стандарта 802.3, иногда называют плоскими из-за отсутствия барьеров на пути широковещательного трафика.

    Технология виртуальных локальных сетей позволяет преодолеть указанное ограничение, и выходом из положения явилось модификация стандарта 802.3, идея простая, но не просто реализуемая на тот период времени и состоит в маркировки кадров по принадлежности их разным сетям (тегированию), естественно одной маркировки или тегирования трафика будет не достаточно, нужны устройства которые этот тегированный трафик умели бы сортировать но это было  не так трудно, достаточно было научить комутаторы выполнять эти задачи, но вот с модификацией протокола 802.3 оказалось все гораздо сложней

    Что делать с Ethernet 802.3 — доминирующей сетью, у которой нет никаких «запасных» полей, которые можно было бы отдать под идентификатор виртуальной сети? и комитет IEEE 802 озаботился этим вопросом в 1995 году. После долгих дискуссий было сделано невозможное — изменен формат заголовка кадра Ethernet! Новый формат было опубликован под именем 802.1Q в 1998 году.  В заголовок кадра был вставлен флаг VLAN, понятно, что внесение изменений в нечто уже устоявшееся, такое как Ethernet, для того что бы пройти безболезнено должно было быть произведено каким-то нетривиальным образом, встают например следующие вопросы:

• • 1. И что, теперь надо будет выбросить на помойку несколько миллионов уже существующих сетевых карт Ethernet?

  • 2. Если нет, то кто будет заниматься генерированием новых полей кадров?

  • 3. Что произойдет с кадрами, которые уже имеют максимальный размер?

    Трудности очевидно что революционные, если смотреть на проблему в целом, однако решение тонкое и технически изящное, несмотря ни на что, было найдено.

Идея состоит в том, что на самом деле поля VLAN реально используются только мостами да коммутаторами, а не машинами пользователей. Так, скажем, сеть, не очень-то волнует их наличие в каналах, идущих от оконечных станций, до тех пор пока кадры не доходят до мостов где и становится важным а главное нужным формат заголовка кадра (тег VLAN), руководствуя которым комутатор и направляет кадр в соответствующий порт.

    И в итоге появились два инструмента по созданию VLAN: протокол 802.1Q и комутаторы умеющие этот протокол использовать для создания этих сетей. (и ни какой виртуализации оборудования, при том что создаваемые сегменты сети иначе как "виртуальные" не назовешь.), и по этому подобный подход правильнее назвать не "виртуализацией сети" а "виртуализацией потоков данных" в сетях, протокол 802.1Q далеко не единственный пример виртуализации потоков в сетях по средствам "тегирования"(меток), яркий пример  из примерно того же 1996 г. это MPLS — multiprotocol label switching — многопротокольная коммутация по меткам, позволяющий создавать, проще и логически более сложные  виртуальные каналы между узлами сети, по мнению сетевых "ботаников", наиболее перспективная технология в сетях передачи данных, и поскольку кроме того существует виртуализация сетевых устройств и поскольку это уже другая история, для ясности следует их разделять.

    И видимо резюмируя надо заострить внимание на том, что: 

• Тегирование кадров осуществляется между сетевыми устройствами (коммутаторы, маршрутизаторы и т.д.), а между конечным узлом (компьютер, ноутбук) и сетевым устройством кадры не тегируются и поэтому порт сетевого устройства может находиться в 2-х состояниях: access или trunk.

  • Конфигурирование виртуальной сети производится на коммутаторе программным путем. 

  • Виртуальные сети не стандартизированы и требуют использования программного обеспечения от производителя коммутатора (switches). 

  • Виртуальная сеть логически сегментирует физическую инфраструктуру сети на отдельные подсети (называемыми в Ethernet  широковещательными доменами, broadcast domain). В образовавшейся виртуальной сети широковещательные фреймы коммутируются только между портами этой сети.

  • Виртуальные локальные сети могут перекрываться, если один или несколько компьютеров входят в состав более чем одной виртуальной сети, обычно это один из серверов. 

  • Конфигурация виртуальной сети осуществляет "логическое", а не "физическое" объединение.

    Обобщая можно сказать;  виртуальная сеть, сеть выполненная на основе протокола 802.1Q, представляет собой коммутируемую сеть, в которой выполнено логическое сегментирование по исполняемым функциям, используемым приложениям или по принадлежности пользователей к определенному отделу, вне зависимости от физического расположения, их компьютеров. Каждый порт коммутатора может быть включен в виртуальную сеть. Все порты, включенные в одну виртуальную сеть принимают широковещательные сообщения, в то время как порты, в нее не включенные, этих сообщений не принимают, что повышает эффективность работы сети в целом, за счет снижения издержек на broadcast. Ниже приведен пример создания виртуальных сетей на "попортовой основе" (разделение по портам коммутатора), требуется лишь сконфигурировать switch для нужных портов VLAN-ов. 

    Без виртуальных сетей коммутатор полагает, что все его интерфейсы находятся в том же широковещательном домене. Таким образом, когда на один порт коммутатора поступает широковещательный фрейм, он перенаправляет его на все остальные порты. Согласно этой логике, чтобы создать два разных широковещательных домена (или LAN), необходимо купить два разных коммутатора Ethernet. Сети, в которых доминируют сети VLAN с меньшим количеством устройств в каждой, зачастую имеет больше преимуществ. Например, широковещательное сообщение, посланное одним хостом VLAN, будет получено и обработано всеми другими хостами данной VLAN, но не хостами в других VLAN. 

Ограничение количества хостов, получающих каждый широковещательный фрейм, снижает количество хостов, впустую тратящих ресурсы на обработку ненужных им широковещательных сообщений, что так же снижает также риски безопасности, поскольку фреймы, посланные любым хостом, поступают на меньшее количество хостов. И это лишь некоторые из причин, но далеко не все, разделения хостов на отдельные сети VLAN, как и в целом виртуализация потоков данных.

Switching

https://sites.google.com/site/kfgnb010/formirovanie-i-analiz-kadrov

https://slidetodoc.com/switching-and-vlans-switching-tasks-switching-operation-vlans/  <---------------------

    Коммутатор Ethernet (802.3) физически сегментирует LAN на отдельные коллизионные домены. Однако каждый сегмент является частью одного широковещательного домена. Все сегменты сети созданные  коммутатором составляют один широковещательный домен. Это означает, что узел одного сегмента способен установить широковещательный режим на всех узлах всех сегментов. Виртуальная сеть (virtual LAN) представляет собой логическое объединение сетевых устройств или пользователей, не ограниченное одним физическим сегментом, широковещательным доменом, что на прямую влияет на производительность за счет сокращения широковещательного трафика.  Устройства или пользователи VLAN могут быть сгруппированы по выполняемым функциям, по принадлежности к одной организации, по характеру используемых приложений и т.д., независимо от их физического расположения в сегментах.  Создание сети VLAN производится в коммутаторе с помощью соответствующего программного обеспечения. Сети VLAN не стандартизованы и требуют использования лицензионного программного обеспечения от производителя коммутатора.

    В целом виртуальные сети можно разделит на на два больших вида; статические и динамические сети.

• Статическая виртуальная сеть (Static VLAN) представляет собой совокупность портов  коммутатора, статически объединенных в виртуальную сеть.

• Динамические виртуальные сети (Dynamic VLAN) представляют собой логическое объединение портов коммутатора, которые могут автоматически определять свое расположение в виртуальной сети.  (VTP)  

    Функционирование динамической виртуальной сети основывается на МАС-адресах, на логической адресации или на типе протокола пакетов данных. При первоначальном подключении станции к неиспользуемому порту коммутатора соответствующий коммутатор проверяет МАС-адрес в базе данных управления виртуальной сетью и динамически устанавливает соответствующую конфигурацию  на данном порте.Основная работа в этом случае заключается в установке базы данных в программное обеспечение  управления виртуальной сетью и в поддержания актуальности этой базы данных, .

Виртуальные сети «транк — линия доступа»

Наиболее распространенныи  подход, подход основанный на понятиях линии доступа и транка (accsess port - trunk port), и прежде опять будет полезно уточнить терминологию:

    Линия доступа связывает порт коммутатора (называемый в этом случае портом доступа (Access port) с конечным узлом (компьютером, мобильным устройством и т. п.),принадлежащий одной из VLAN.

    Access port или порт доступа — порт, находящийся в определенном VLAN и передающий не тегированные кадры, то есть исходящий трафик уходит без метки в то время как приходящий на этот порт трафик от конечного устройства, получает метку этого VLAN. Как правило, это порт, смотрящий на пользовательское устройство.

    Trunk port или магистральный порт — порт, передающий тегированный трафик. Как правило, этот порт поднимается между сетевыми устройствами(например лва коммутатора, коммутатор мапшрутиризатор), в общем случае через транк передается трафик нескольких виртуальных сетей.

    Понятие, термин "Trunk" фундаментальное понятие в сетях и телекоммуникации, понятие широкое, пришедшее еще с телефонии(аналоговой) в сравнении с которой сети "компьютерные" просто детский лепет и игра в песочнице, если обратиться к Англо_Русскому словарю Мюллера, то во что он скажет:

 "trunk" (Англо-русский словарь Мюллера)

1. ствол (дерева)

2. туловище

3. магистраль; главная линия (железнодорожная, телефонная и т.п.)

4. дорожный сундук; чемодан; to live in one's trunks - жить на чемоданах

5. хобот (слона)

6. спортивные трусы, шорты trunk hose - короткие штаны (XVI-XVII вв.)

7. зодчество, архитектура — стержень колонны (фуст)

8. анатомия — главная артерия

9. вентиляционная шахта; жёлоб; труба

10. багажник (в автомобиле)

11. сленг; жаргон — нос

12. главный, магистральный

13. Cisco  -  trunk port — порт передающий тегированный трафик одного или нескольких VLAN'ов

14. Мультиплексированный канал связи

15. Линия связи, которая соединяет между собой порты двух коммутаторов; в общем случае случае через транк  передается трафик нескольких виртуальных сетей.

    Нам естественно интересны четыре последних, для полноты можно добавить еще одно определение:

    В телефонии транком как правило называют один поток E1, а объединение потоков для повышения пропускной способности в свою очередь называется транковой группой. Увеличения эффективности использования каналов связи и пропускной способности группы ретрансляторов можно добиться на основе использования принципа свободного доступа абонентов к общему частотному ресурсу, получившему название "транкинг (или транк)" (Trunking - объединение в пучок). Возвращаясь к коммутаторам:

    Коммутаторы, поддерживающие технику VLAN, без специального конфигурирования по умолчанию работают как стандартные коммутаторы -switch 802.3, обеспечивая соединения всех совсеми. В сети, образованной такими коммутаторами, все конечные узлы по умолчанию относятся к условной сети VLAN1 с идентификатором VID, равным 1. Все порты этой сети, к которым подключены конечные узлы, по определению являются портами доступа. Сеть VLAN1 можно отнести к виртуальным локальным сетям лишь условно, так как по ней передаются непомеченные кадры. Условная сеть VLAN также называется сетью VLAN, предлагаемой по умолчанию (default VLAN) или естественной (native VLAN). Для того чтобы образовать в исходной сети виртуальную локальную сеть, нужно в первую очередь выбрать для нее значение идентификатора VID, отличное от 1, а затем, используя команды конфигурирования коммутатора, приписать к этой сети те порты, к которым присоединены включаемые в нее компьютеры. Порт доступа может быть приписан только к одной виртуальной локальной сети.

Порты доступа получают от конечных узлов сети непомеченные кадры и помечают их тегом VLAN, содержащим то значение VID, которое назначено этому порту. При передаче же помеченных кадров конечному узлу порт доступа удаляет тег виртуальной локальной сети. Порты, подключенные к транкам, то есть те линии связи, которые соединяют между собой порты коммутаторов и маршрутиризаторов, не добавляют и не удаляют теги, они просто передают кадры в неизменном виде, на схеме ниже это соответственно:  

R1 ---> Switch1 ---> Switch2.

Гибридные маршрутизаторы с интегрированными сервисами - Integrated Services Routers (ISR), коммутаторы уровня L3

Команды конфигурации вообщем и целом однотипны для Cisco, однако есть некоторая специфика, заключается в использовании базы данных (vlan database - vl da)

По умолчанию все порты принадлежат VLAN1. Мы можем создавать сети VLAN только в режиме базы данных VLAN - vlan database . После создания сетей VLAN в режиме базы данных VLAN, создается файл vlan.dat, который сохраняется в файловой системе Flash маршрутизатора (который в Dinamips просмотреть не выйдет). (Cisco-/actions-with-files-and-folders-cisco/)  Созданные сети VLAN можно просмотреть с помощью команды show vlan-switch:

В заключении остается добавить всему этому доступ к WWW.

Поскольку подключение через WiFi адаптер для GNS отчего то проблема, будем подключаться через существующую сеть Docker, что имеет не мало плюсов при моделировании более сложных сетевых конфигураций.

$ ifconfig -a

docker0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500

        inet 172.17.0.1  netmask 255.255.0.0  broadcast 172.17.255.255

.....................................

==================================================

Create VLANs EtherSwitch Network Module (ESW) Configuration Examp

==================================================

    На тему Switching можно говорить и размышлять очень долго  и кроме практики иных способов его освоить НЕТ, GNS3 в этом один из помошников, возвращаясь к более глобальным вопросам наверное надо вернуться к терминологии, тем более что у нас любят употребление "хитро-мудрых" терминов зачастую не понимая их смысла, с одной лишь целью произвести впечатлений. И вот, рано или позно нам встречается не в меру продвинутый "юноша" и задает такой вопрос: ...а где у вас "детерминируются vlan-ы" и чтобы сразу не посылать его в дальнее сексуальное путешествие надо уточнить терминологию:

Во первых приставка de:   -отделение,  -устранение,  -удаление,  -лишение,  -уничтожение,  -недостаток,  -отсутствие,  -движение сверху вниз, -снижение,  -завершение действия,

Детерминация (determinatio — предел, заключение, определение, установление) в широком смысле — определение перспективы объекта исходя из данных о его представлении, комплектации, какими-то параметрами и составляющими, присущими той или иной категории или образцу.

В логике — добавление признаков к более общему понятию (родовое понятие), благодаря чему возникает ограниченное видовое понятие

Детерминация сложное составное понятие:

• • Детерминация — понятие, производное от слов «детерминант», «детерминировать». 

  • Детерминант(determinant) —  определитель,  решающий фактор; определяющий фактор 

  • Детерминировать(determine) — определять, обусловливать, решать; вычислять; устанавливать

  • Детерминация(determination) — процесс обусловливания,определения,определение,измерение; вычисление

  • Детерменированный(determined) — определенный

  • Детерминиизм — учение о взаимосвязи и взаимной определённости всех явлений и процессов, доктрина о всеобщей причинности.

  • Детерминант — определитель, определяющий фактор

deterministic routing     — детерминированная маршрутизация

deterministic system     — детерминированная система

Детерминацию можно рассматривать как процесс, процесс определения, и вполне естественно существование противоположного понятия, термина "терминация":

Если очень обще то: от лат. terminatio 

• установление границ, межевание;

• разграничение, определение; 

• суждение или указание;

• завершение, окончание;

У древних римлян божество границ, под покровительством которого состояли пограничные камни и столбы "термины", считавшиеся священными. "Термин" — пограничный или межевой камень.

Терминация (от лат. terminalis — заключительный, конечный)  — завершающая фаза процесса....

Терминация в общем смысле — определять, называть что-либо каким-либо термином

Терминировать трафик — маршрутизировать из разных подсетей, разделенных vlan-ами, 

Терминация (завершение) — назначение на интерфейс маршрутизатора публичного IP-адреса одной или нескольких подсетей клиента в заданный VLAN.

Терминация vlan — то есть назначение IP на vlan

Терминация позволяет получить маршрутизируемую (L3) связность с другими подсетями и выход в интернет

Терминация трафика — это установление, поддержание физического и / или логического соединения, пропуск трафика между телекоммуникационной сетью, из которой поступает вызов или инициируется соединение, и конечным оборудованием, к которому направляется вызов или инициируется соединение

Терминация трафика — процесс физического и (или) логического завершения соединения, посредством которого голосовые и иные сообщения электросвязи, поступающие от вызывающей стороны, преобразуются на вызываемой стороне в голосовые сигналы.

Терминация как и Детерминация понятия "древне специфично профессиональные" и ноги у них растут ....от туда, из теорий по телекоммуникациям, однако есть настолько умные люди которые разделку витой пары при монтаже СКС так же называют "терминированием". В итоге на вопрос "где у вас детерминируются vlan-ы" можно ответит; на коммутаторе ...... .

В заключении еще несколько познавательных тезисов на тему V-LAN, и информативное видео от г. Карманова