Sieć VLAN


Co to jest VLAN?

Sieci VLAN (ang. Virtual Local Area Network) najprościej mówiąc, pozwalają na logiczną agregację hostów na mniejsze podsieci w ramach jednej dużej sieci LAN. Dzięki wirtualnym sieciom LAN możemy rozdzielić użytkowników w ramach jednego switcha, zamiast kupować nowe urządzenia dla każdej nowej grupy. Powodów, dla których chcemy, podzielić naszą sieć lokalną na mniejsze segmenty jest wiele. Między innymi pozwala to na ograniczenie domen rozgłoszeniowych, co przekłada się na mniejszą ilość ruchu, którą muszą obsłużyć nasze urządzenia sieciowe. Również ze względów bezpieczeństwa separacja hostów jest bardzo ważna. Wyobraź sobie taką sytuację, prowadzisz firmę, w której zatrudniasz handlowców, księgowych i własny dział IT. Twoi księgowi potrzebują dostępu do systemów księgowych, handlowcy dostępu do internetu a dział IT administracyjnego dostępu do urządzeń. Bez odseparowania sieciami VLAN, wszyscy mieliby dostęp do wszystkiego, co jest oczywiście bardzo niepożądaną sytuacją. Zdecydowanie lepszym pomysłem jest ograniczenie dostępów tylko do niezbędnych zasobów przedsiębiorstwa.


Zalety stosowania VLAN-ów:


Rodzaje VLAN-ów

VLAN-y możemy podzielić ze względu na ich identyfikator numeryczny:

  1. Podstawowe – wszystkie których ID wynosi od 1 do 1005 (1002-1005 są zarezerwowane i nie można ich stosować)
  2. Rozszerzone – ID od 1006 do 4094

Możemy dokonać podziału również ze względu na ich przeznaczenie:

  1. Głos (Voice) - dla urządzeń korzystających z VoIP (Voice over Internet Protocol)
  2. Zarządzanie (Management) - dla odseparowania administracyjnego dostępu do urządzeń
  3. Dane (Data) - zwykły ruch generowany przez użytkowników i urządzenia sieciowe
  4. Domyślny (Default) - podstawowy VLAN, do którego domyślnie przypisywane są wszystkie porty (VLAN 1)
  5. Natywny (Native) - ramki z tego VLAN-u przesyłane są poprzez łącze "trunk" bez tagowania

Identyfikacja sieci VLAN

Aby pomiędzy przełącznikami jednym łączem przesyłać ramki z różnych sieci VLAN, należy na tym łączu umożliwić przesyłanie ramek w ramach różnych sieci VLAN. Takie łącze określane jest mianem łącza trunk (ang. VLAN trunk). Komunikację w ramach jednej sieci VLAN wykorzystującej łącza trunk (czyli sieci VLAN obejmującej więcej niż jeden przełącznik) umożliwia technika oznaczania ramek sieciowych identyfikatorem sieci VLAN (ang. VLAN ID). Technika ta polega na dodawaniu do ramki 12-bitowej liczby identyfikującej sieć VLAN nadawcy. Tak zmodyfikowana ramka przesyłana jest łączami trunk tak długo, aż dotrze do docelowego przełącznika. Ten zaś przed przekazaniem ramki na właściwy port usuwa z niej nadmiarową informację, wprowadzoną przez przełącznik źródłowy. Istnieje kilka sposobów oznaczania ramek, lecz jeden z nich, zgodny z powyższym opisem, objęto standardem IEEE 802.1Q. Podejście to nazywane jest etykietowaniem ramek (ang. frame tagging). Przykład sieci VLAN opartej na dwóch przełącznikach z łączami trunk ilustruje rysunek:


Konfiguracja VLAN

Konfiguracja sieci VLAN na przełączniku zazwyczaj składa się z dwóch etapów. Pierwszy etap to utworzenie sieci VLAN, drugi natomiast to dodanie portów do poszczególnych sieci VLAN. Na przełącznikach CISCO, VLAN-y tworzymy oczywiście wydając odpowiednie polecenia w konsoli:

Pierwsze polecenie to przejście do trybu uprzywilejowanego, drugie z kolei to uruchomienie trybu konfiguracji globalnej. W tym trybie wydajemy polecenie vlan 10, które to pozwala na utworzenie sieci VLAN o numerze 10. Kolejnym krokiem jest nadanie nazwy dla sieci VLAN (nie jest to konieczne, ale dla lepszej organizacji pracy lepiej taką nazwę nadać) – polecenie name nazwa_sieci załatwi sprawę. Nie wychodząc z trybu Switch(config-vlan)# wydajemy polecenie vlan 20 – to utworzy nam kolejną sieć, tym razem o numerze 20. Na koniec nadajemy nazwę dla tej sieci i gotowe.

Przechodzimy do konfiguracji portów. Musimy je teraz dodać do poszczególnych sieci VLAN. W przykładowej topologii komputery z sieci VLAN 10 podłączone są do portów 1 i 2, komputery z VLAN 20 do portów 11 i 12.

W trybie konfiguracji globalnej wydajemy takie polecenia:

Pierwsze polecenie to przejście do zbiorczej konfiguracji portów 1 i 2, następne to dodanie tych portów do sieci VLAN 10. Dalej mamy polecenie wyjścia z trybu konfiguracji porów 1 i 2, a następnie przejście do konfiguracji portów 11 i 12. Ostatnie polecenie to dodanie tych portów do sieci VLAN 20. Od teraz urządzenia z dwóch sieci są od siebie odseparowane i nie mogą się wzajemnie ze sobą komunikować.

Informacje o sieciach VLAN na przełącznikach CISCO zapisywane są w pliku VLAN.DAT. Plik ten tworzony jest przy pierwszej konfiguracji sieci VLAN i przechowywany w pamięci flash urządzenia. Aby sprawdzić czy taki plik na przełączniku został utworzony, możemy wydać w trybie uprzywilejowanym polecenie show flash.

Zawartość tego pliku, tak więc szczegóły dotyczące konfiguracji VLAN, sprawdzić możemy wydając również w trybie uprzywilejowanym polecenie show vlan.

Taką prostą separację portów, czasami niektórzy producenci urządzeń sieciowych nazywają Port Based. Tak więc nie zdziwcie się, jeśli będziecie kiedyś konfigurować jakiś prosty przełącznik zarządzalny innej firmy, że zamiast pojęcia VLAN, separacja portów będzie nazywana właśnie Port Based