VLAN trunking od podstaw

0

W serwerowni jest wiele urządzeń połączonych z siecią z wykorzystaniem kilku interfejsów sieciowych. Wraz z rosnącą liczbą takich urządzeń, coraz trudniej jest zapewnić im dostęp do infrastruktury sieciowej z powodu dużej liczby połączeń Ethernet i rosnących kosztów zarządzania okablowaniem.

Aby rozwiązać ten problem, znaną z przełączników technologię VLAN trunking wprowadzono również w innych urządzeniach sieciowych. Dzięki temu możliwe jest podłączanie tych urządzeń, wymagających wielu adresów IP, z wykorzystaniem jednej karty sieciowej. Dzięki technologii VLAN trunking pojedyncza karta sieciowa może działać jak wiele wirtualnych interfejsów sieciowych. Teoretycznie górną granicą jest 4096, ale z reguły segmentacja sieci jest ograniczona do 1000 VLAN’ów. W przypadku, gdy pojedyncza karta GE jest wykorzystywana jako wiele kart FastEthernet, uzyskuje się większą wydajność przy niższych kosztach, a wyższej elastyczności.

Aplikacje wykorzystujące VLAN trunking
VLAN (Virtual LAN) to logiczna domena rozgłaszania wydzielona na przełączniku Ethernet. Początkowo VLAN’y wykorzystywano w celu ograniczenia domeny kolizji i w ten sposób poprawienia wydajności. Jednak rozwój przełączników sprawił, że nie trzeba było już ograniczać domeny kolizji (port przełącznika stał się domeną kolizji). Wtedy VLAN’y zaczęto stosować przede wszystkim w celu ograniczania domeny rozgłaszania w warstwie łącza danych (adresów MAC). Sieci VLAN mogą również służyć do ograniczania dostępu do zasobów bez potrzeby ingerencji w fizyczną topologię sieci, jednak jest to wątpliwa metoda ze względu na łatwość jej obejścia.

Obecnie jest kilka zastosowań, w których VLAN trunking przynosi duże korzyści: routery, zapory sieciowe (sprzętowe i programowe), serwery proxy, punkty dostępowe Wi-Fi oraz środowiska wirtualnych serwerów.

Routery stają się zdecydowanie bardziej użyteczne, jeśli podłączy się je do przełącznika i skonfiguruje łącze trunk. W przypadku takiej konfiguracji router może świadczyć usługi routingu dowolnej podsieci wyodrębnionej w sieci firmowej. Jest to podstawowa funkcja modułów routingu, wbudowanych w przełączniki Ethernet działające w rdzeniu sieci lub w warstwie dystrybucyjnej. VLAN trunking jest substytutem dla kosztownych modułów routingu lub może służyć jako ich uzupełnienie, zapewniając dodatkową, izolowaną strefę routingu, np. dla laboratorium czy gości odwiedzających firmę.

Zapory sieciowe to kolejne urządzenia, które czerpią znaczne korzyści z VLAN trunkingu. Ta technologia jest stosowana przez wszystkich producentów firewalli. Gdy środowisko staje się coraz bardziej złożone, a kwestie bezpieczeństwa coraz ważniejsze, tym więcej stref trzeba wydzielać na firewallu (podsieci mogą być podłączane z wykorzystaniem fizycznych lub wirtualnych interfejsów).

Jeśli firewall potrafi blokować tylko ruch przechodzący pomiędzy strefami, to możliwość większej separacji urządzeń (serwerów, routerów) staje się istotna z punktu widzenia bezpieczeństwa, ponieważ jest większa szansa na zablokowanie niechcianej komunikacji. Ponieważ VLAN trunking umożliwia niemal nieograniczone tworzenie wirtualnych połączeń sieciowych po niższych kosztach i zapewniając większą wydajność, jest to doskonały dodatek do firewalli.

Transparentne serwery proxy, jak Microsoft ISA czy linuksowy Squid, można obecnie konfigurować, wykorzystując pojedynczą kartę sieciową. Tradycyjny serwer proxy da się skonfigurować, korzystając z pojedynczego połączenia sieciowego, w przypadku proxy transparentnego z reguły jest to niemożliwe. Ponieważ transparentne proxy można wdrażać bez zmian w konfiguracji klientów czy zgodności z SOCKS, jest to bardzo atrakcyjne rozwiązanie. Dzięki trunkingowi ten rodzaj proxy jest łatwy i tani we wdrożeniu.

Serwery fizyczne obsługujące wirtualizację z reguły przechowują wiele wirtualnych maszyn. Mimo że VMware i inni producenci umożliwiają konfigurację wielu VLAN’ów wewnątrz serwera fizycznego, to możliwości połączenia tych VLAN’ów z siecią fizyczną są ograniczone do liczby kart sieciowych w serwerze. Przykładowo, oprogramowanie VMware umożliwia każdej wirtualnej maszynie korzystanie z 4 wirtualnych interfejsów sieciowych. Ponieważ aplikacje nie rozpoznają różnicy między wirtualnym a fizycznym interfejsem, oprogramowanie do wirtualizacji w połączeniu z VLAN trunkingem skonfigurowanym na serwerze jest dużo bardziej elastycznym rozwiązaniem i łatwiejszym w zarządzaniu.

Kolejnym miejscem, gdzie VLAN trunking znajduje zastosowanie, są sieci bezprzewodowe. Wi-Fi. Przykładowo, niektóre punkty dostępowe mogą działać jak kilka czy kilkanaście wirtualnych sieci WLAN. Niektóre z tych VLAN’ów mogą być używane do mniej bezpiecznego dostępu do Internetu przez gości firmy, inne przez pracowników mających niższe uprawnienia, a jeszcze inne VLAN’y przez administratorów IT, którzy potrzebują najwyższych zabezpieczeń i dodatkowych uprawnień na firewallu. Taki podział można osiągnąć, wykorzystując pojedynczy punkt dostępowy Wi-Fi poprzez przypisanie VLAN’om unikalnych identyfikatorów SSID. Z punktu widzenia urządzeń Wi-Fi użytkowników taka konfiguracja jest widoczna jako oddzielne sieci Wi-Fi. Te VLAN’y są skonfigurowane na jednym punkcie dostępowym Wi-Fi z wykorzystaniem VLAN trunkingu.

Typy tagowania VLAN
Jest kilka typów tagowania VLAN. Dwa najczęściej stosowane to opracowany przez Cisco ISL (Inter Switch Link) oraz otwarty standard IEEE 802.1Q. ISL to starszy standard używany przez Cisco do łączenia routerów i przełączników tej firmy. Najnowsze model Cisco obsługują również standard 802.1Q (niektóre obsługują tylko 802.1Q). Starsze urządzenia Cisco obsługują tylko ISL trunking, więc należy sprawdzić w dokumentacji używanego sprzętu, zanim podejmie się próby łączenia.

W przypadku urządzeń zgodnych z ISL ramki Ethernet są kapsułkowane w całości. Natomiast standard 802.1Q zakłada umieszczanie znacznika VLAN o długości 32 bitów w każdej ramce Ethernet. 12 z tych bitów to identyfikator VLAN (VLAN ID). Identyfikator VLAN określa, do którego VLAN’u należy dana ramka Ethernet. Na podstawie tego identyfikatora przełącznik umieszcza ramki w odpowiednich VLAN’ach. Gdy ramka dotrze do końca połączenia lub do portu nie skonfigurowanego jako trunk, znacznik VLAN zostaje usunięty z ramki, ponieważ nie jest dłużej potrzebny. To oznacza, że próba połączenia urządzenia skonfigurowanego jako trunk ze zwykłym portem skończy się niepowodzeniem, ponieważ port ten będzie usuwał znaczniki VLAN już w momencie wejścia. Warto w tym miejscu zauważyć, że jest szereg poważnych implikacji bezpieczeństwa związanych z korzystaniem z VLAN’ów.

Ramka Ethernet nie jest modyfikowana, jeśli wykorzystuje się standard 802.1Q. Wewnętrzne umieszczenie znacznika umożliwia działania IEEE 802.1Q zarówno na łączach dostępowych, jak i łączach trunk (ramka Ethernet pozostaje standardową ramką, więc może być obsługiwana przez zwykły sprzęt). Jednak umieszczenie znacznika VLAN wewnątrz ramki powoduje zwiększenie jej rozmiarów. W przypadku ramki Ethernet o maksymalnej wielkości dodanie znacznika zwiększa jej rozmiar ponad to, co przewiduje standard 802.3. Dlatego komitet standaryzacyjny powołał podgrupę, mającą zająć się opracowanie standardu 802.3ac, w celu zwiększenie maksymalnego rozmiaru ramki Ethernet do 1522 bajtów. Urządzenia nie obsługujące większych ramek będą je poprawnie przetwarzać, ale mogą zgłaszać występowanie anomalii.

Umieszczanie znaczników VLAN w ramkach Ethernet wiąże się z powstaniem tzw. narzutu, czyli zwiększeniem rozmiaru ramki oraz zwiększeniem obciążenia procesora. Z tego powodu oddzielne, fizyczne karty sieciowe zawsze będą bardziej wydajne, niż wirtualne interfejsy działające na karcie sieciowej o takiej samej przepustowości. Jednak problemy z wydajnością można ominąć, instalując szybsze karty sieciowe, np. 10 GE. Korzyści wynikające ze stosowania VLAN’ów z nadwyżką rekompensują powstający narzut i spadek wydajności.

Wymagania

VLAN trunking zadziała, jeśli tę technologię będą obsługiwać wszystkie urządzenia w obrębie VLAN’u: przełącznik sieciowy, karty sieciowe oraz sterowniki systemu operacyjnego. Obecnie nie ma z tym problemu, większość przełączników obsługuje standard 802.1Q. Niektóre nowe karty sieciowe komputerów klasy PC (w tym również interfejsy sieciowe laptopów) umożliwiają skonfigurowanie trybu pracy w standardzie IEEE 802.1Q. Możliwe jest wtedy bezpośrednie podłączenie komputera do portu przełącznika, na którym jest skonfigurowana sieć VLAN. Na takiej karcie można również skonfigurować korzystanie z wielu VLAN’ów.

PODZIEL SIĘ

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ