VLAN dla zaawansowanych

0

Od lat technologia VLAN odgrywa ważną rolę u podstaw działania sieci firmowych, umożliwiając administratorom segmentację sieci. Pojawienie się wirtualizacji i środowisk cloud computing sprawia, że dobre zrozumienie implementacji VLAN staje się jeszcze ważniejsze. W tym artykule omawiamy stare i nowe zastosowania sieci VLAN, od sieci bezprzewodowych począwszy, na serwerowni skończywszy.

Przed skonfigurowaniem sieci VLAN i zarządzaniem nimi warto dobrze zrozumieć, czym w ogóle jest VLAN. Jest to wirtualna (logiczna) sieć LAN, która grupuje stacje roboczą na podstawie dowolnego kryterium za wyjątkiem lokalizacji geograficznej. Przykładowo, VLAN może obejmować stacje robocze należące do wybranego działu, określonego typu użytkowników, itp. Zalety płynące z VLAN’ów to łatwiejsze zarządzanie stacjami roboczymi, równoważenie obciążenia, alokacja przepustowości oraz lepsze bezpieczeństwo.

VLAN’y stają się jeszcze bardziej przydatne, jeśli stosuje się je w połączeniu z wirtualizacją serwerów. W wirtualnym środowisku VLAN może posłużyć do zgrupowania serwerów fizycznych i utworzenia ścieżki komunikacyjnej między nimi. Umożliwiając maszynom wirtualnymi migrację pomiędzy serwerami fizycznym w obrębie tego same VLAN’u, administrator jest w stanie zachować nad nimi kontrolę i zarządzać nimi bardziej wydajnie.

Jak najlepiej skonfigurować VLAN?

Są trzy rodzaje konfiguracji VLAN: statyczna, dynamiczna oraz bazująca na portach (port-centric). Wybór konfiguracji zależy od potrzeb. Przykładowo, jeśli administratorowi zależy na poprawie bezpieczeństwa, należy wybrać konfigurację statyczną, która na stałe przypisuje do VLAN’u wybrane porty przełącznika. W przypadku konfiguracji dynamicznej przynależność do VLAN’u zależy od adresu MAC urządzenia końcowego.

Przełączniki umożliwiające tworzenie sieci VLAN wykorzystują mechanizmy znakowania ramek lub ich filtrowania. W obu przypadkach przełącznik sprawdza każdą ramkę w celu ustalenia, dokąd należy ją przesłać. Mechanizm znakowania ramek umieszcza w ramkach specjalny znacznik (tag), żeby móc kontrolować przesyłanie danej ramki w obrębie sieci. W przypadku filtrowania w ramkach sprawdzane są określone informacje i porównywane z tablicą filtrowania, która jest tworzona przez przełącznik, co pozwala na sprawdzanie wielu atrybutów. Jednak filtrowanie ramek jest mniej skalowalne niż znakowanie, ponieważ każda ramka musi mieć swój wpis w tablicy. Natomiast znakowanie ramek zgodnie ze standardem 802.1q jest uznawane za najbardziej wydajne.

Konfiguracja VLAN, a wirtualizacja serwerów
Maszyny wirtualne stale migrują, co znacznie komplikuje podstawowe czynności związane z zarządzaniem siecią. Dlatego sieci VLAN są kluczem do zapewnienia zarządzania w świecie wirtualizacji.

Wirtualizacja serwerów pozwala firmom ograniczyć liczbę fizycznych maszyn i zwiększa elastyczność infrastruktury IT. Z kolei sieci VLAN są integralną częścią wirtualizacji w związku z dynamiczną, mobilną naturą maszyn wirtualnych. Administratorzy sieci muszą się przygotować na konfrontację ze zmieniającymi się adresami MAC (w serwerowni bez wirtualizacji adresy MAC się nie zmieniają), nowymi zastosowaniami VLAN oraz większą interakcję z administratorami serwerów.

Usługi warstwy drugiej świadczone środowisku wirtualnemu muszą być wspierane przez mechanizm sieciowy, a najlepiej nadaje się do tego ograniczenie mobilności maszyn wirtualnych poprzez przypisanie ich do wirtualnych sieci LAN. Umieszczenie grupy serwerów fizycznych w pojedynczym VLAN’ie i przypisanie maszyn wirtualnych do tego VLAN’u sprawia, że migracje maszyn wirtualnych zostaną ograniczone zasięgiem VLAN’u. Poza tym VLAN’y ułatwiają administratorom zapewnienie bezpieczeństwa, zarządzanie i śledzenie migracji maszyn wirtualnych.

Jednym z głównych wyzwań wirtualizacji jest konfiguracji sieci w serwerowni, co obejmuje również konfigurację sieci VLAN. Większość rozwiązań do wirtualizacji serwerów ma wbudowane funkcje obsługi VLAN, w tym również standardu 802.1q. Administratorzy centrum danych muszą skonfigurować VLAN’y na przełączniku, żeby umożliwić interakcję z serwerami fizycznymi, na których działa oprogramowanie do wirtualizacji. Nieprawidłowo skonfigurowane ustawienia VLAN mogą powodować problemy z łącznością każdej maszyny wirtualnej działającej na danym serwerze fizycznym.

VLAN i sieci bezprzewodowe Wi-Fi
Trunki VLAN można wykorzystać w sieciach bezprzewodowych jako mechanizm kontrolowania ruchu. Punkt dostępowy może być skonfigurowany w taki sposób, że będzie działał jako wiele punktów dostępowych WLAN, wykorzystują VLAN’y do stworzenia różnych poziom bezpieczeństwa – część dla użytkowników o najniższych uprawnieniach, np. dla gości potrzebujących tylko ostępu do Internetu. Kolejne VLAN’y mogą być przeznaczone dla pracowników firmy, a część dla administratorów mających najwyższe uprawnienia. Wykorzystując znaczniki 802.1q, administrator sieci może przypisać transmisję bezprzewodową do wielu sieci VLAN i nadawać jej priorytety.

Jak to dokładnie działa? Cały ruch z danego punktu dostępowego Wi-Fi jest przepuszczany przez przełącznik lub bramkę obsługującą znaczniki 802.1q i dopiero to urządzenie podejmuje decyzję, jak dalej przesłać daną ramkę. Odpowiednie znakowanie ramek zapewnia, że pakiety są przesyłane przez odpowiednie porty, w zależności od roli danego użytkownika (gość, pracownik, administrator).

To pozwala oddzielić ruchu administracyjny od ruchu użytkowników końcowych. Administratorzy mają dzięki temu zapewniony większy komfort pracy, wiedząc, że transmisja pochodząca z sieci bezprzewodowej jest prawidłowo przesyłana przez sieć dzięki znacznikom VLAN.

Konfiguracja VLAN w sieci bezprzewodowej
W przypadku statycznych VLAN’ów przynależność do VLAN’u jest realizowana przez przełącznik lub punkt dostępowy. Przykładowo, można tak skonfigurować przełącznik, żeby porty 1-8 należały do VLAN 1, natomiast porty 9-16 do VLAN 2. Każde urządzenie końcowe w VLAN 1 będzie odbierało transmisje rozgłoszeniowe z tego segmentu sieci, ale już do urządzeń podłączonych do VLAN 2 ta transmisja nie będzie w ogóle docierać.

Podobnie, punkt dostępowy Wi-Fi może przekazywać ruch z VLAN 1 do sieci bezprzewodowej z określonym SSID, zaś dane z VLAN 2 do drugiej sieci mającej inny identyfikator SSID. Tę technikę wykorzystuje się powszechnie do oddzielenia ruchu bezprzewodowego gości od ruchu pracowników firmy.

Alternatywnie można użyć do segregacji ruchu i jego separacji znaczników 802.1q (VLAN ID) przenoszonych w ramkach Ethernet. Identyfikator VLAN umożliwia urządzeniom obsługującym standard 802.1Q (przełączniki, punkty dostępowe, routery, zapory sieciowe) wymuszanie reguł segregacji ruch na całej trasie, którą pokonują pakiety.

Jak już wspomnieliśmy, bezprzewodowy punkt dostępowy może nadać znacznik VLAN każdemu pakietowi pochodzącemu z sieci oznaczonej określonym identyfikatorem SSID. Poza tym punkt dostępowy może otrzymywać znaczniki VLAN dla każdej stacji roboczej podczas procesu uwierzytelniania 802.1X przez serwer RADIUS. Ta technika umożliwia przypisanie poszczególnych użytkowników do właściwych sieci VLAN bazując na danych uwierzytelniających, zamiast na identyfikatorze SSID.

Fizycznie VLAN może rozciągać się przez całą sieć firmową – poprzez zdalny oddział, łącza WAN aż do siedziby głównej. Wprawdzie znaczniki VLAN nie pokonują całej trasy pakietu, ponieważ VLAN można stosować tylko w obrębie jednej sieci lokalnej. Jednak routery i zapory sieciowe znajdujące się na trasie mogą mieć skonfigurowane mapowanie sieci VLAN na interfejsy podsieci.

Przykładowo, ruch z VLAN 1 może być przesyłany przez tunel VPN A podczas transmisji przez Internet, podczas gdy ruch z VLAN 2 może być przesyłany przez tunel VPN B, itd. Prawdopodobnie oba tunele VPN będą przesyłane przez to samo łącze WAN pomiędzy lokalizacjami. Innymi słowy, tunel VPN zapewnia segregację ruchu w sieci IP na poziomie warstwy trzeciej, podobnie jako VLAN robi to w warstwie drugiej w obrębie sieci lokalnej.

PODZIEL SIĘ

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ