Virtuální sítě – 2. část: VLAN
Virtuální sítě – 2.část VLAN Cíl kapitoly Cílem této části kapitoly je porozumět a umět navrhnout základní schéma virtuálních lokálních sítí.
Klíčové pojmy: Broadcast doména, členství VLAN, IEEE 802.10, IEEE 802.1Q, peer-to-peer, překryvný model, subnet, trunk, VLAN
Sítě VLAN Úvod Druhá část kapitoly Virtuální sítě vyžaduje prostudování alespoň úvodních odstavců 1. části, které vysvětlují obecné pojmy potřebné k pochopení virtuálních sítí. V této části se budeme zabývat problematikou virtuálních lokálních sítí, lépe řečeno virtuálními podsítěmi lokálních sítí. Důraz je kladen na pochopení a zdůvodnění vytvořených virtuálních podsítí (subnet). Na úvod je nutné zdůraznit, že podsíť je vlastně opět síť, která se může opět dělit na podsítě. VLAN je systém sítí pracující nad platformou managmentu sítě. VLAN není pro běh sítě bezpodmínečně nutný, ale velmi často podstatně zlepšuje chod sítě, její správu a také služby. VLAN vytváří logické skupiny v rámci komunikačního systému (sítě) a omezuje podávání nepotřebných informací po síti. Umožňuje kontrolovat informace 8.4.2012
Stránka 1 z 8
Virtuální sítě – 2. část: VLAN
jdoucí z/do logických skupin. Umožňuje automatické sledování stěhování strojů, klientů, vytváření a zániku skupin a pod. VLAN, čili virtuální LAN se stávají integračním prvkem přepínaných lokálních sítí. Problém rozšíření VLAN je v nejednosti hardwaru, tzn. že uživatel je v mnoha případech vázán na jednoho výrobce, mají velké náklady na administrativu, i když úspory při pohybech v síti jsou značné, Virtuální znamená, že tyto sítě jsou realizovány nad sdílenou strukturou, tj. nejsou dedikovány žádné vlastní fyzické spoje pro jednotlivé virtuální části.
Definice Každá virtuální síť v rámci vyšší sítě LAN odpovídá broadcast doméně, tj. doméně (segmentu, podsítě) se všesměrovým vysíláním. Stanice v rámci virtuální sítě nejsou vázány na fyzické umístění, ale jsou seskupovány do celků podle potřeby, i když fyzicky mohou být v různých segmentech sítě. Podle způsobu definice členství mohou být VLAN rozděleny na čtyři typy. 1. 2. 3. 4.
podle portů podle fyzické adresy podle adresy 3. vrstvy OSI a podle skupinové adresy (multicast)
Členství podle portů Rozlišení zařízení jednotlivých VLAN je provedeno podle čísel portů příslušných hubů nebo switchů. Následující schematický obrázek zobrazuje příklad tohoto dělení. Podle tohoto obrázku porty 1, 3 hubu 1 a porty 2,5,7 hubu 2 tvoří VLAN A, porty 2,4,5 hubu 1 a porty 1,3,4 hubu 2 tvoří VLAN B. Stanice jedné VLAN tedy mohou být připojeny přes více hubů (switchů). VLANy jsou vytvořeny bez ohledu na umístění v areálu (budova I a budova II). Toto uspořádání je nejužívanější, protože je přehledné. Takto jsou pevně definované příslušnosti jednotlivých portů k VLAN. Bez vytvořených VLAN by musel být pro každou VLAN v každé budově samostatný switch. Tyto switche by byly napojeny na společný switch (pro každou podsíť) a ty na router. Celá struktura sítě by tedy byla složitější a hlavně finančně náročnější. 8.4.2012
Stránka 2 z 8
Virtuální sítě – 2. část: VLAN
Budova I
HUB 1 2 3
Budova II
1 4
HUB 2 5
1
2
3 4 5
6
VLAN A
HUB VLAN B
Členství podle fyzických adres Fyzické adresy jsou pevně spojené se síťovými kartami jednotlivých stanic. Umožňují tak u tohoto členství fyzicky přemístit stanici na jiné místo bez rekonfigurace VLAN. Naopak neumožňují pracovníkovi se připojit na jiné stanici. Konfigurace je náročnější, protože se musí přiřadit fyzická adresa každého připojeného zařízení. Po počáteční konfiguraci lze automaticky sledovat uživatele při jeho pohybu po síti (tracking). Při instalaci na sdílených segmentech sítě se sníží její výkon, protože připojená zařízení mohou být členy odlišných virtuálních sítí, koexistujících a sdílejících jeden port přepínače.
Členství založené na 3. vrstvě OSI Používají pro určení členství v dané VLAN podle adresy 3. vrstvy – např. adresy podsítě TCP/IP. Tyto adresy nemají směrovací funkci, a tedy nesmí být zaměňovány za síťovou vrstvu směrování. Pakety jsou jako u VPN zapouzdřovány, a teprve tady mají IP adresy směrovací význam. Spínání se jeví jako plochá topologie, poněvadž po zjištění adresy příslušnosti k VLAN spíná cestu podle adres 2. vrstvy. Jednotlivé virtuální sítě jsou odděleny a pokud přepínač nepodporuje směrování, musí provoz mezi němí procházet přes externí směrovač. Výhody 8.4.2012
Stránka 3 z 8
Virtuální sítě – 2. část: VLAN
umožňuje rozdělení podle protokolů uživatelé se mohou fyzicky přemísťovat nevyžaduje značení rámců podle příslušnosti Nevýhodou je větší zpoždění způsobené testováním adres 3, vrstvy. Náročná konfigurace Jedná se o tzv. Překryvný model, kdy paket včetně IP adresy je zabalen do paketu 3. vrstvy obsahující v hlavičce novou IP adresu. Zbytek je obvykle zašifrován. Takto vytvořené TUNELY spojují koncové zákazníky, a celá síť se tváří jako jedna podsíť.
Druhý model je peer to peer , kdy je IP adresa rozšířena o 64bitový prefix, který je pro každého klienta jedinečný. Tato technologie využívá MPLS.. Pak speciální routovací tabulky jsou vytvářeny na hraničních směrovačích pomocí směrovacího protoklu BGP. Každý paket je tedy vybaven značkou , která zajistí transport na další hraniční router (viz kapitola směrování).
Členství podle multicastu Multicast je členství podle skupinového adresování. Skupinově adresovaný paket (IP adresa třídy D) je zasílán na všechny členy dynamicky vytvořené skupiny. Členství ve skupině se vytváří tak, že uzel kladně odpoví na oznámení existence skupiny. Skupina pak tvoří VLAN. Muticast je vhodný pro cílené směrování vysílání jako je rozhlas, TV a pod. Takto směrované skupiny mohou přesahovat i WAN.
Komunikace Pro zvýraznění výhod sítí VLAN si nejprve popíšeme průběh komunikace azapojení sítě, která je rozložena do 3 budov a v každé budově jsou oddělení, patřící do třech různých podsítí sítě podniku a to bez virtuálních sítí. Síť s rozložením počítačů je na následujícím obrázku. Při komunikaci např. PC0 a PC1 jde spojení jen přes Switch Bud1 - síť C. Při komunikaci např. PC0 s PC5 ve stejné budově ale v odlišných podsítích, jde spojení přes Switch Bud1 - síť C dále přes Switch síť C do routeru a odsud přes Switch síť A a přes Switch Bud1 - síť A k PC5. Při komunikaci např PCO s PC20 (stejná podsíť ale v jiné budově) jde spojení z PC0 přes Switch Bud1 - síť C, přes Switch síť C a přes Switch Bud2 - síť C. 8.4.2012
Stránka 4 z 8
Virtuální sítě – 2. část: VLAN
Obr - síť bez VLAN 1
Vytvořením virtuálních sítí se nám schéma a komunikace změní. Vytvořme 3 virtuální podsítě (A, B a C). Pak schéma bude vypadat takto
8.4.2012
Stránka 5 z 8
Virtuální sítě – 2. část: VLAN
Obr. Síť s VLAN Z původních switchů jsme ponechali switche týkající se jen podsítě B. Tyto switche ale musí podporovat VLAN. Na každém switchi je vytvořena VLAN A – (propojuje počítače bývalé podsítě A), dále VLAN B pro počítače bývalé podítě B a VLAN C pro počítače bývalé podsítě C. Tyto switche jsou propojeny se switchem – síť B pomocí tzv. trunk-ových spojení. Pro rozlišení příslušnosti k jednotlivým VLAN přidává první switch kádímu paketu příznak, který nedovoluje ani hromadné korespondenci se dostat k počítačům jiné VLAN. Proberme opět předchozí příklady spojení: Při komunikaci např. PC0 a PC1 jde spojení jen přes Switch Bud1 - síť C (stejná VLAN). Při komunikaci např. PC0 s PC5 ve stejné budově ale v odlišných VLAN, jde spojení přes Switch Bud1 - síť C dále přes Switch síť B do routeru, který změní příznak VLAN a odsud zpět přes Switch síť B a přes Switch Bud1 - síť A k PC5.
8.4.2012
Stránka 6 z 8
Virtuální sítě – 2. část: VLAN
Při komunikaci např PCO s PC20 (stejná VLAN ale v jiné budově) jde spojení z PC0 přes Switch Bud1 - síť C, přes Switch síť B a přes Switch Bud2 - síť C. Hromadná komunikace funguje jen u počítačů stejné VLAN.
Konfigurace virtuálních sítí Konfigurace sítí VLAN spočívá zejména v konfigurací switchů a routerů a uršení trunkových spojení. U routeru se vytváří virtuální porty s různými IP adresami podle různých VLAN. Úroveň automatizace konfigurace sítí závisí na síti a prvcích sítě včetně jejich výrobců. Rozlišujeme konfigurace manuální kdy správce provádí jak počáteční nastavení, tak všechny změny manuálně. Umožňuje vysoký stupeň kontroly a je často pro menší sítě jednodušší, poloautomatickou kdy správce má možnost volby automatické nebo ruční konfigurace. Automaticky lze provést počáteční konfiguraci nebo její změny, popřípadě oboje. automatickou - spojení do skupin se provádí dynamicky automaticky podle aplikací a uživatelské identifikace.
Standardy virtuálních sítí IEEE 802.10 podle CISCO. Využívá standardu pro bezpečnost sítí, kde nahrazuje bezpečnostní hlavičku proměnné délky informaci o příslušnosti k VLAN. Tedy jedna hlavička je využita pro dva účely a navíc je toto řešení pomalé, obtížnější a dražší. IEEE 802.1Q nový schválený standard.
Výhody VLAN Hlavní výhodou VLAN je omezení všesměrového vysílání. Všesměrové vysílání od serverů a koncových stanic v jednotlivých virtuálních sítích je přenášeno jen na ty porty přepínače, které jsou připojené ke stanicím patřícím do stejné VLAN, na ostatní portech je blokováno. Přepínač tak odděluje virtuální sítě jako směrovač. Pakety jdoucí vně VLAN jsou předávány směrovačům. Další výhodou je vyšší výkon a menší zpoždění, usnadněn právy sítě a náklady, neboť směrovače jsou dražší než přepínače. Optimální vytvoření soustavy VLAN by mělo vyloučit komunikaci přes směrovač. 8.4.2012
Stránka 7 z 8
Virtuální sítě – 2. část: VLAN
VLAN mohou být teoreticky rozšířeny na WAN Kontrolní otázky
Nelze směrovat pakety podle členství na 3.vrstvě ISO-OSI? Kdy jde komunikace u sítí LAN přes router? Proč LAN snižuje náklady na hardware? Proč musí switch pro VLAN podporovat VLAN?
Shrnutí .Tento studijní text je spolu s VPN součástí kapitoly viruální sítě. V této kapitple byl hlavní důraz soustředěn na popis LAN sítí klasických a virtuálních se zdůrazněním rozdílů v těchto sítích a výhod sítí LAN. Konfigurace switchů a routerů je uvedena jen povrchně, pro hlubší studium se předpokládá účast na podrobných kurzech např. od firmy CISCO.
Literatura [1] Connect 6/97 [2] Firemní literatura firmy F5 - 2006
8.4.2012
Stránka 8 z 8
