Virtual Local Area Network (VLAN)

0

Sieć VLAN, czyli Virtual Local Area Network jest logicznym zgrupowaniem urządzeń sieciowych lub użytkowników. Zarówno użytkownicy sieci, jak i urządzenia składające się na tą sieć mogą być pogrupowane według pełnionych funkcji, wydziału firmy itp., niezależnie od ich fizycznego położenia w sieci.

Konfiguracja sieci VLAN dokonywana jest za pośrednictwem oprogramowania (np. systemu IOS) na poziomie switcha. Rysunek poniżej przedstawia przykład trzech sieci VLAN spiętych jednym routerem. Router w sieci VLAN jest konieczny, aby była możliwość komunikacji między poszczególnymi VLAN’ami, jeżeli sytuacja tego nie wymaga, router jest zbędny.


Segmentacja przy wykorzystaniu switchy

Sieci LAN są coraz częściej dzielone na grupy robocze. Połączone za pośrednictwem wspólnego szkieletu, tworzącego topologię sieci VLAN. Sieci VLAN dokonują logicznej segmentacji fizycznej infrastruktury sieci lokalnej na różne podsieci (lub domeny rozgłoszeniowe w przypadku sieci Ethernet) tak, aby rozgłaszane ramki przełączane były tylko między portami znajdującymi się w ramach tej samej sieci VLAN.

Wymagania stawiane obecnie sieciom sprawiają, że konieczna staje się funkcjonalność sieci VLAN, obejmująca swym zakresem obszar całej sieci. Takie podejście do sieci VLAN pozwala na grupowanie odległych geograficznie użytkowników w wirtualne topologie, obejmujące całą sieć. Konfiguracje sieci VLAN grupują użytkowników raczej poprzez logiczne przyporządkowanie, nie zaś w oparciu o ich fizyczne położenie.

Sieci VLAN, a ograniczenia fizyczne
Dla sieci LAN wykorzystujących urządzenia przełączające technologia VLAN stanowi opłacalne cenowo i wydajnie rozwiązanie, pozwalające na grupowanie użytkowników sieci w wirtualne grupy robocze, niezależnie od ich fizycznego położenia w sieci. Rysunek poniżej pokazuje różnicę między segmentacją LAN i VLAN.

Ważniejsze różnice między LAN i VLAN:

  • sieci VLAN działają na poziomie warstwy 2 i warstwy 3 modelu odniesienia OSI;
  • komunikacja między sieciami VLAN zapewniana jest przez routing warstwy 3;
  • sieci VLAN dostarczają środków do kontrolowania rozgłaszania;
  • użytkownicy są przypisani do sieci VLAN przez administratora sieci;
  • sieci VLAN mogą zwiększać bezpieczeństwo sieci poprzez ustalenie, które węzły sieci mogą porozumiewać się ze sobą.

Wykorzystując technologię VLAN, można grupować porty switchy i przyłączonych do nich użytkowników w logicznie zdefiniowane grupy robocze, takie jak:

  • pracownicy tego samego wydziału;
  • zespół pracujący nad tym samym produktem;
  • grupa różnych użytkowników, korzystających z tej samej aplikacji sieciowej lub oprogramowania.


Transport VLAN przez szkielet

Dla każdej architektury sieci VLAN ważna jest możliwość przenoszenia informacji o sieci LAN między połączonymi switchami i routerami pracującymi w ramach szkieletu sieci. Transport VLAN:

  • pozwala na zniesienie fizycznych ograniczeń między użytkownikami
  • zwiększa dowolność w konfigurowaniu rozwiązania VLAN, gdy użytkownicy zmieniają miejsce położenia
  • dostarcza mechanizmy zapewniające współdziałanie komponentów systemu, tworzących szkielet.

Szkielet działa często jako punkt zbiorczy dla dużego ruchu. Przenosi on także dane identyfikacyjne i informacje o użytkownikach sieci VLAN między switchami, routerami i bezpośrednio połączonymi serwerami. Z myślą o przenoszeniu ruchu w sieci w ramach szkieletu stosuje się zazwyczaj łącza o dużej pojemności i szerokim paśmie.

Routery w sieciach VLAN

W sieciach VLAN funkcje routerów są inne niż tradycyjne pełnienie roli zapór sieciowych, zarządzanie rozgłaszaniem oraz przetwarzanie i dystrybucja tras. Routery pozostają jednak niezbędne w przełączanych architekturach skonfigurowanych jako sieci VLAN, ponieważ zapewniają komunikację między logicznie zdefiniowanymi grupami roboczymi. Routery zapewniają sieciom VLAN dostęp do współdzielonych zasobów, takich jak serwery i hosty. Łączą się również z innymi częściami sieci, które są albo logicznie segmentowane, albo wymagają dostępu za pośrednictwem łączy do zdalnych stanowisk. Architektura VLAN nie tylko zapewnia logiczną segmentację, ale również znacznie zwiększa wydajność sieci.

Konfiguracja przełączanych sieci
Konfiguracja sieci VLAN różni się od tradycyjnej konfiguracji LAN:

  • Switche znoszą fizyczne ograniczenia nakładane przez architekturę współdzielonego koncentratora, ponieważ dokonują logicznego grupowania użytkowników i portów w ramach przedsiębiorstwa. Instalacja switchy przebiega łatwo i przy niewielkich, bądź żadnych zmianach w okablowaniu.
  • Switche można stosować w celu zapewnienia w sieci VLAN usług segmentacyjnych, tradycyjnie dostarczanych w sieci LAN przez routery.

Switche są jednym z kluczowych elementów zapewniających komunikację w sieciach VLAN. Każdy switch ma zdolność podejmowania decyzji o filtrowaniu i przekazywaniu poszczególnych ramek w oparciu o zdefiniowaną przez administratora metrykę sieci VLAN oraz umiejętność zakomunikowania tych decyzji innym przełącznikom i routerom w sieci. Najpopularniejsze podejście do logicznego grupowania użytkowników w różne sieci VLAN to filtrowanie ramek oraz ich identyfikacja. W oparciu o zbiór zasad określany przez administratora techniki te ustalają, czy ramkę należy wysyłać, przefiltrować, czy też rozgłosić. Filtrowanie ramek bada konkretne informacje, związane z każdą ramką.

Dla każdego switcha budowana jest tabela filtrowania. Zapewnia to administratorowi wysoki poziom kontroli, ponieważ pozwala na badanie wielu atrybutów każdej ramki. W zależności od stopnia zaawansowania technicznego danego switcha, użytkownicy mogą być grupowani w oparciu o adres MAC lub tryb protokołu warstwy sieci. Switch porównuje filtrowaną ramkę z wpisami w tablicy filtrowania i na tej podstawie podejmuje odpowiednie działanie.

Znakowanie ramek przypisuje każdej ramce definiowany przez użytkownika, unikatowy identyfikator. Technika ta została zaaprobowana przez grupę IEEE ze względu na swoją skalowalność. Znakowanie ramek zaczyna być postrzegane jako standardowy mechanizm śledzenia przesyłania (ang. trunking). W porównaniu z filtrowaniem ramek zapewnia ono bardziej skalowalne rozwiązanie dla sieci VLAN, które może być zastosowane w ramach wszystkich stanowisk. Norma IEEE 802.1q podaje, że znakowanie ramek jest właściwą metodą implementacji sieci VLAN.

Znakowanie ramek w sieciach VLAN jest podejściem opracowanym specjalnie na potrzeby komunikacji w środowiskach stosujących switching. Znakowanie ramek umieszcza w nagłówku każdej ramki unikatowy identyfikator, gdy ramka przekazywana jest przez szkielet sieci. Identyfikator ten jest rozumiany i analizowany przez każdy switch, zanim zainicjuje on rozgłaszanie lub transmisję do innych switchy, routerów i urządzeń końcowych. Gdy ramka opuszcza szkielet sieci, switch usuwa z niej identyfikator, zanim zostanie ona przekazana do docelowej stacji końcowej. Funkcje identyfikacji ramek, działające na poziomie warstwy 2, nie wymagają wiele przetwarzania ani dodatkowych nakładów administracyjnych.

Implementacje sieci VLAN
Sieć VLAN tworzy przełączaną sieć, logicznie podzieloną na segmenty w zależności od pełnionych funkcji, grup zadaniowych lub zastosowań, niezależnie od fizycznego rozmieszczenia użytkowników. Każdy port switcha może być przypisany do sieci VLAN. Porty przypisane do tej samej sieci VLAN współdzielą transmisje rozgłoszeniowe. Porty, które nie należą do danej sieci VLAN, nie dzielą jej transmisji rozgłoszeniowych. Usprawnia to ogólną wydajność sieci. Istnieją trzy sposoby implementacji sieci VLAN:

  • sieci VLAN bazujące na portach,
  • statyczne sieci VLAN,
  • dynamiczne sieci VLAN.


Sieci VLAN bazujące na portach

W sieciach VLAN bazujących na portach (ang. port-centric) wszystkie węzły tej samej sieci VLAN przypisane są do tego samego portu switcha. Czyni to pracę administratora sieci łatwiejszą, a samą sieć bardziej wydajną, ponieważ:

  • użytkownicy przydzieleni są w oparciu o porty,
  • sieci VLAN są łatwe do administrowania,
  • zapewnia to zwiększony poziom bezpieczeństwa między sieciami VLAN,
  • pakiety nie przedostają się do innych domen.

Statyczne sieci VLAN
Statyczne sieci VLAN to porty na switchu, które można ręcznie przypisać do danej sieci VLAN. Porty te zachowują przypisaną im konfigurację sieci VLAN do czasu, aż nie zostanie ona ręcznie zmieniona. Mimo że statyczne sieci VLAN wymagają dokonywania zmian przez administratora, są one bezpieczne, łatwe w konfiguracji i proste do nadzorowania. Statyczne sieci VLAN sprawdzają się dobrze w sieciach, w których przemieszczenia użytkowników są kontrolowane i zarządzane odgórnie.

Dynamiczne sieci VLAN
Dynamiczne sieci VLAN to porty w switchu, które potrafią automatycznie ustalić swój przydział do sieci VLAN. Funkcje dynamicznego przypisywania do sieci VLAN działają w oparciu o adresy MAC, adresowanie logiczne lub tryb protokołu wykorzystywanego przez pakiety danych. Z chwilą pierwszego przyłączenia stacji do wolnego portu switcha, odpowiedni switch sprawdza wpis danego adresu MAC w bazie danych organizacyjnych sieci VLAN i dynamicznie konfiguruje port, zgodnie z odczytaną konfiguracją sieci VLAN. Główne zalety takiego podejścia to mniej zmian w szafie z okablowaniem z chwilą dodania nowego lub przemieszczenia istniejącego użytkownika sieci, a także scentralizowane powiadamianie o pojawieniu się w sieci nieznanego użytkownika. Zazwyczaj na początku wymaga to sporej pracy przy konfigurowaniu bazy danych za pomocą oprogramowania zarządzającego siecią VLAN. Trzeba również pamiętać o utrzymywaniu dokładnej bazy danych o wszystkich użytkownikach sieci.

Zalety sieci VLAN
Sieci VLAN zapewniają następujące korzyści:

  • redukują koszty administracyjne towarzyszące rozwiązywaniu problemów związanych z przemieszczaniem się obecnych i dodawaniem nowych użytkowników oraz wprowadzeniem zmian,
  • zapewniają kontrolowanie czynności rozgłoszeniowych,
  • zapewniają bezpieczne sieci i grupy robocze,
  • oszczędzają budżet dzięki wykorzystaniu istniejących koncentratorów.

Dodawanie, przesuwanie lub zmiana położenia stanowisk użytkowników
Sieci VLAN dostarczają wydajny mechanizm kontrolowania zmian i redukcji większości kosztów związanych z rekonfiguracją koncentratorów i routerów. Użytkownicy znajdujący się w sieci VLAN mogą dzielić tę samą przestrzeń adresową sieci (to znaczy podsieci IP), niezależnie od swego położenia. Tak długo, jak tylko użytkownicy pozostają w ramach tej samej sieci VLAN i są podłączeni do portu switcha, ich adres sieciowy nie ulega zmianie po przemieszczaniu się z jednej lokalizacji do innej. Zmiana lokalizacji może być prosta i ograniczać się do podłączenia użytkownika do portu w obsługującym sieci VLAN switchu i przypisania tego portu do danej sieci VLAN.

Sieci VLAN stanowią wyraźne usprawnienie w stosunku do typowych sieci LAN, ponieważ sieci VLAN wymagają mniej zmian w okablowaniu i w konfiguracji, a także mniej czasu poświęconego na lokalizowanie błędów. Konfiguracja routera pozostaje nietknięta. Proste przemieszczenie użytkownika z jednej lokalizacji do drugiej nie pociąga za sobą żadnych zmian w konfiguracji routera, jeżeli tylko użytkownik pozostaje w tej samej sieci VLAN.

Kontrolowanie czynności rozgłoszeniowych
Transmisje rozgłoszeniowe występują w każdej sieci. Częstotliwość rozgłaszania zależy od rodzaju aplikacji, typu serwerów, liczby segmentów logicznych oraz sposobu wykorzystywania tych zasobów. Aby zabezpieczyć się przed problemami związanymi z rozgłaszaniem, należy podjąć kroki zapobiegawcze. Jedna z najlepszych metod polega na właściwym podzieleniu sieci na segmenty tak, aby jak to tylko możliwe uniknąć wpływu problemów z jednego segmentu sieci na pozostałe. Mimo to, że w jednym z segmentów może pojawić się natłok transmisji rozgłoszeniowych, pozostała część sieci chroniona jest przez zaporę sieciową, zwykle działającą na routerze. Segmentacja z wykorzystaniem zapór sieciowych gwarantuje pewną transmisję i minimalizuje koszty transmisji rozgłoszeniowych, pozwalając na uzyskanie większej przepustowości dla ruchu generowanego przez aplikacje.

Kiedy między switchami nie znajduje się żaden router, transmisje rozgłoszeniowe (transmisje warstwy 2) wysyłane są do każdego przełączanego portu. Określamy to często mianem sieci jednorodnej, w której w ramach całej sieci znajduje się jedna domena rozgłoszeniowa. Zaletą sieci jednorodnej jest to, że może ona zapewnić zarówno niewielkie opóźnienie, jak również dużą przepustowość, jest też łatwiejsza do administrowania. Wadą jest natomiast to, że zwiększa ona zagrożenie ruchem rozgłoszeniowym wszystkich switchy, portów, łączy szkieletowych i użytkowników.

Sieci VLAN stanowią wydajny mechanizm rozszerzania zapór sieciowych z routerów do struktury switchy i zabezpieczania sieci przed potencjalnie niebezpiecznymi problemami związanymi z rozgłaszaniem. Sieci VLAN zachowują dodatkowo wszystkie zalety stosowania switchy dotyczące wydajności.

Zapory sieciowe tworzy się poprzez przypisywanie portów switcha lub użytkowników do określonych grup sieci VLAN, zarówno w ramach pojedynczego switcha, jak i wielu połączonych switchy. Ruch rozgłoszeniowy panujący w danej sieci VLAN nie jest przenoszony poza tę sieć. Mówiąc inaczej, sąsiadujące porty nie otrzymują żadnego ruchu rozgłoszeniowego z innych sieci VLAN. Ten typ konfiguracji znacznie redukuje całkowity ruch rozgłoszeniowy, uwalnia pasmo dla rzeczywistego ruchu generowanego przez użytkowników i zwiększa całkowitą odporność sieci ma natłok nadawczy.

Im mniejsza grupa VLAN, tym mniejsza liczba użytkowników dotkniętych przez obecność ruchu rozgłoszeniowego w tej grupie. Przyporządkowania do sieci VLAN mogą się także odbywać w oparciu o rodzaj aplikacji i liczbę wysyłanych przez nie transmisji rozgłoszeniowych. Użytkownicy wykorzystujący tę samą aplikację wysyłającą częste transmisje rozgłoszeniowe mogą zostać umieszczeni w jednej grupie VLAN. Następnie aplikację można rozprowadzić w ramach tej grupy.

Zwiększanie bezpieczeństwa sieciowego
Za pośrednictwem sieci przekazuje się często poufne i kluczowe dane. Tajne dane wymagają środków bezpieczeństwa w postaci ograniczeń dostępu. Jednym z problemów towarzyszących współdzielonym sieciom LAN jest względnie łatwa możliwość ich penetracji. Przyłączając się do aktywnego portu, intruz otrzymuje dostęp do całego ruchu przesyłanego w danym segmencie. Im większa grupa, tym potencjalnie szerszy dostęp. Jedną z opłacalnych cenowo i łatwych do zarządzania technik zwiększających bezpieczeństwo jest segmentacja sieci na wiele grup rozgłoszeniowych, co pozwala administratorowi sieci:

  • ograniczyć liczbę użytkowników w grupie VLAN,
  • odmówić pozostałym użytkownikom dostępu, do czasu uzyskania przez nich pozwolenia od programu zarządzającego siecią VLAN,
  • przypisać wszystkie nieużywane porty do domyślnej sieci VLAN.

Zaimplementowanie tego typu segmentacji jest stosunkowo łatwe. Porty switcha grupowane są w oparciu o typ aplikacji i prawa dostępu. Chronione aplikacje i zasoby są często umieszczane w zabezpieczonej grupie VLAN. W zabezpieczonej sieci VLAN dostępu do grupy strzeże router, co ustawiane jest zarówno w switchach, jak i routerach. Ograniczenia mogą być nakładane w oparciu o adresy stacji, rodzaje aplikacji lub typy protokołów.

Można też zastosować dodatkowe środki bezpieczeństwa, wykorzystując listy kontroli dostępu. Są one szczególnie przydatne przy komunikacji między sieciami VLAN. Ograniczenia mogą być nakładane w oparciu o adresy stacji, rodzaje aplikacji, typy protokołów lub nawet o porę dnia.

Podsumowanie

  • Switch ethernetowy jest zaprojektowany do fizycznego podziału sieci LAN na niezależne domeny kolizji.
  • Konfiguracja typowej sieci LAN zależy zazwyczaj od tworzącej ją infrastruktury fizycznej.
  • W przypadku sieci LAN wykorzystujących urządzenia przełączające technologia VLAN stanowi opłacalne cenowo i wydajnie rozwiązanie, pozwalające na grupowanie użytkowników sieci w wirtualne grupy robocze, niezależnie od ich fizycznego położenia w sieci.
  • Sieci VLAN działają na poziomie warstwy 2 i warstwy 3 modelu odniesienia OSI.
  • Dla każdej architektury sieci VLAN ważna jest możliwość przenoszenia informacji o sieciach LAN między połączonymi switchami i routerami, pracującymi w ramach szkieletu sieci.
  • Problemy towarzyszące współdzielonym sieciom LAN oraz pojawienie się na rynku switchów sprawia, że tradycyjne konfiguracje sieci lokalnych zastępowane są konfiguracjami przełączanych sieci VLAN.
  • Najpopularniejszym podejściem do logicznego grupowania użytkowników w różne sieci VLAN jest filtrowanie ramek oraz ich identyfikacja.
  • Istnieją trzy główne typy sieci VLAN: bazujące na portach, statyczne oraz dynamiczne.
  • Sieci VLAN zapewniają następujące korzyści:
    • redukują koszty administracyjne towarzyszące rozwiązywaniu problemów związanych z przemieszczeniem się obecnych i dodawaniem nowych użytkowników oraz wprowadzaniem zmian ,
    • zapewniają kontrolowanie czynności rozgłoszeniowych,
    • zapewniają bezpieczne sieci i grupy robocze,
    • oszczędzają budżet dzięki wykorzystaniu istniejących koncentratorów.

Autor: Adrian Rogaski, www.rogaski.org

PODZIEL SIĘ

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ