Sieć VLAN, czyli Virtual Local Area Network jest logicznym zgrupowaniem urządzeń sieciowych lub użytkowników. Zarówno użytkownicy sieci, jak i urządzenia składające się na tą sieć mogą być pogrupowane według pełnionych funkcji, wydziału firmy itp., niezależnie od ich fizycznego położenia w sieci. Konfiguracja sieci VLAN dokonywana jest za pośrednictwem oprogramowania (systemu IOS) na poziomie switcha. Rysunek poniżej przedstawia przykład trzech sieci VLAN spiętych jednym routerem. Router w sieci VLAN jest konieczny, aby była możliwość komunikcji między poszczólnymi VLAN'ami, jeżeli sytuacja tego nie wymaga router jest zbędny.
|
|
Sieci LAN są coraz częściej dzielone na grupy robocze. Połączone za pośrednictwem wspólnego szkieletu, tworzącego topologię sieci VLAN. Sieci VLAN dokonują logicznej segmentacji fizycznej infrastruktury sieci lokalnej na różne podsieci (lub domeny rozgłoszeniowe w przypadku sieci Ethernet)tak, aby rozgłaszane ramki przełączane były tylko między portami znajdującymi się w ramach tej samej sieci VLAN.
Wymagania stawiane obecnie sieciom sprawiają, że konieczna staje się funkcjonalność sieci VLAN, obejmująca swym zakresem obszar całej sieci. Takie podejście do sieci VLAN pozwala na grupowanie odległych geograficznie użytkowników w wirtualne topologie, obejmujące całą sieć. Konfiguracje sieci VLAN grupują użytkowników raczej poprzez logiczne przyporządkowanie, nie zaś w oparciu o ich fizyczne położenie.
Dla sieci LAN wykorzystujących urządzenia przełączające technologia VLAN stanowi opłacalne cenowo i wydajnie rozwiązanie, pozwalające na grupowanie użytkowników sieci w wirtualne grupy robocze, niezależnie od ich fizycznego położenia w sieci. Rysunek poniżej pokazuje różnicę między segmentacją LAN i VLAN.
 |
 |
Ważniejsze różnice między LAN i VLAN:
Wykorzystując technologię VLAN można grupować porty switchy i przyłączonych do nich użytkowników w logicznie zdefiniowane grupy robocze, takie jak:
Dla każdej architektury sieci VLAN ważna jest możliwość przenoszenia informacji o sieci LAN między połączonymi switchami i routerami pracującymi w ramach szkieletu sici. Transport VLAN:
Szielet działa często jako punkt zbiorczy dla dużego ruchu. Przenosi on także dane identyfikacyjne i informacje o użytkownikach sieci VLAN między switchami, routerami i bezpośrednio połączonymi serwerami. Z myślą o przenoszeniu ruchu w sieci w ramach szkieletu stosuje się zazwyczaj łącza o dużej pojemności i szerokim paśmie.
W sieciach VLAN funkcje routerów są inne niż tradycyjne pełnienie roli ścian ogniowych, zarządzanie rozgłaszaniem oraz przetwarzanie i dystrybucja tras. Routery pozostaja jednak niezbędne w przełączanych architekturach skonfigurowanych jako sieci VLAN, ponieważ zapewniają komunikację między logicznie zdefiniowanymi grupami roboczymi. Routery zapewniają sieciom VLAN dostęp do współdzielonych zasobów, takich jak serwery i hosty. Łączą się również z innymi częściami sieci, które są albo logicznie posegmentowane, albo wymagają dostępu za pośrednictwem łączy do zdalnych stanowisk. Architektura VLAN nie tylko zapewnia logiczną segmentację, ale również ogromnie zwiększa wydajność sieci.
Konfiguracja sieci VLAN różni się od tradycyjnej konfiguracji LAN:
Switche są jednym z kluczowych elementów zapewniających komunikację w sieciach VLAN. Każdy switch ma zdolność podejmowania decyzji o filtorwaniu i przekazywaniu pozczególnych ramek w oparciu o zdefiniowaną przez administratora metrykę sieci VLAN oraz umiejętność zakomunikowania tych decyzji innym switchom i routerom w sieci. Najpopularniejsze podejście do logicznego grupowania użytkowników w różne sieci VLAN to to filtrowanie ramek oraz ich idenyfikacja. W oparciu o zbiór zasad określany przez administratora techniki te ustalaja, czy ramkę należy wysyłać, przfiltrować, czy też rozgłosić.Filtrowanie ramek bada konkretne informacje, związane z każdą ramką. Dla każdego switcha budowana jest tabela filtrowania. Zapewnia to administratorowi wysoki poziom kontroli, ponieważ pozwala na badanie wielu atrybutów każdej ramki. W zależności od stopnia zaaansowania technicznego danego switcha, użytkownicy mogą być grupowani w oparciu o adres MAC, lub tryb protokołu warstwy sieci. Switch porównuje filtrowaną ramkę z wpisami w tablicy filtrowania i na tej podstawie podejmuje odpowiednie działanie.
Znakowanie ramek przypisuje każdej ramce definiowany przez użytkownika, unikatowy identyfikator. Technika ta została zaaprobowana przez grupę IEEE ze względu na swoją skalowalność. Znakowanie ramek zaczyna być postrzegane jako standardowy mechanizm śledzenia przesyłania (ang. trunking). W porównaniu z filtrowaniem ramek zapewnia ono bardziej skalowalne rozwiązanie dla sieci VLAN, które może być zastosowane w ramach wszystkich stanowisk. Norma IEEE 802.1q podaje, że znakowanie ramek jest właściwą metodą implementacji sieci VLAN.
Znakowanie ramek w sieciach VLAN jest podejściem opracowanym specjalnie na potrzeby komunikacji w środowiskach stosujących switching. Znakowanie ramek umieszcza w nagłówku każdej ramki unikatowy identyfikator, gdy ramka przekazywana jest przez szkielet sieci. Identyfikator ten jest romuniany i analizowany przez każdy switch, zanim zainicjuje on rozgłaszanie lub transmisję do innych switchy, routerów i urządzeń stacji końcowych. Gdy ramka opuszcza szkielet sieci, switch usuwa z niej identyfikator, zanim zostanie ona przekazana do docelowej stacji końcowej. Funkcje idenyfikacji ramek, działąjące na poziomie warstwy 2, nie wymagają wiele przetwarzania ani dodatkowych nakładów administracyjnch.
Sieć VLAN tworzy przełączaną sieć, logicznie podzieloną na segmenty w zależności od pełnionych funkcji, grup zadaniowych lub zastosowań, niezależnie od fizycznego rozmieszczenia użytkowników. Każdy port switcha może być przypisany do sieci VLAN. Porty przypisane do tej samej sieci VLAN współdzielą transmisje rozgłoszeniowe. Porty, które nie należą do danej sieci VLAN, nie dzielą jej transmisji rozgłoszeniowych. Usprawni to ogólną wydajność sieci. Istnieją trzy sposoby implementacji sieci VLAN, są to:
W sieciach VLAN bazujących na portach (ang. port-centric) wszystkie węzły tej samej sieci VLAN przypisane są do tego samego portu switcha. Czyni to pracę administratora sieci łatwiejszą, a samą sieć bardziej wydajną, ponieważ:
Statyczne sieci VLAN to porty na switchu, które można ręcznie przypisać do danej sieci VLAN. Porty te zachowują przypisaną im konfigurację sieci VLAN do czasu, aż nie zostanie ona ręcznie zmieniona. Mimo to, że statyczne sieci VLAN wymagają dokonywania zmian przez administratora, są one bezpieczne, łatwe w konfiguracji i proste do nadzorowania. Statyczne sieci VLAN sprawdzają się dobrze w sieciach, w których przemieszczenia użytkowników są kontrolowane i zarządzane odgórnie.
Dynamiczne sieci VLAN to porty w switchu, które potrafią automatycznie ustalić swój przydział do sieci VLAN. Funkcje dynamicznego przypisywania do sieci VLAN działąja w opraciu o adresy MAC, adresowanie logiczne lub tryb protokołu wykorzystywanego przez pakiety danych. Z chwilą pierwszego przyłączenia stacji do wolnego portu switcha, odpowiedni switch sprawdza wpis danego adresu MAC w bazie danych organizacyjnych sieci VLAN i dynamicznie konfiguruje port, zgodnie z odczytaną konfiguracją sieci VLAN. Główne zalety takiego podejścia to mniej zmian w szafie z okablowaniem z chwilą dodania nowego lub przemieszczenia istniejącego użytkownika sieci, a także scentralizowane powiadamianie o pojawieniu się w sieci nieznanego użytkownika. Zazwyczaj na początku wymaga to sporej pracy przy konfigurowaniu bazy danych za pomocą oprogramowania zarządzającego siecią VLAN. Trzeba również pamiętać o utrzymywaniu dokładnej bazy danych o wszystkich użytkownikach sieci.
Sieci VLAN zapewniają nastęujące korzyści:
Sieci VLAN dostarczają wydajny mechanizm kontrolowania zmian i redukcji większości kosztów związanych z koniecznością rekonfiguracji koncentratora i routera. Użytkownicy znajdujący się w sieci VLAN mogą dzielić tę sama przestrzeń adresową sieci (to znaczy podsieci IP), niezależnie od swego położenia. Tak długo jak tylko użytkownicy pozostają w ramach tej samej sieci VLAN i są podłączeni do portu switcha, ich adres sieciowy nie ulega zmianie po przemieszczaniu się z jednej lokalizacji do innej. Zmiana lokalizacji może być prosta i ograniczać się do podłączenia użytkownika do portu w obsługującym sieci VLAN switchu i przypisania tego portu do danej sieci VLAN.
Sieci VLAN stanowią wyraźne usprawnienie w stosunku do typowych sieci LAN, ponieważ sieci VLAN wymagają mniej zmian w okablowaniu i w konfiguracji, a także mniej czasu poświęconego na lokalizowanie błędów. Konfiguracja routera pozostaje nietknięta. Proste przemieszczenie użytkownika z jednej lokalizacji do drugiej nie pociąga za sobą żadnych zmian w konfiguracji routera, jeżeli tylko użytkownik pozostaje w tej samej sieci VLAN.
Transmisje rozgłoszeniowe występują w każdej sieci. Częstotliwość rozgłaszania zależy od rodzaju aplikacji, typu serwerów, liczby segmentów logicznych oraz sposobu wykorzystywania tych zasobów. Aby zabezpieczyć się przed problemami związanymi z rozgłaszaniem, należy podjąć kroki zapobiegawcze. Jedna z najlepszych metod polega na właściwym podzieleniu sieci na segmenty, tak aby jak to tylko możliwe uniknąć wpływu problemów z jednego segmentu sieci na pozostałe. Tak więc mimo to, że w jednym z segmentów może pojawić się natłok transmisji rozgłoszeniowych, pozostała część sieci chroniona jest przez ścianę ogniową, zwykle dostarczaną przez router. Segmentacja z wykorzystaniem ścian ogniowych gwarantuje pewną transmisję i minimalizuje koszty transmisji rozgłoszeniowych, pozwalając na uzyskanie większej przepustowości dla ruchu generowanego przez aplikacje.
Kiedy między switchami nie znajduje sie żaden router, transmisje rozgłoszeniowe (transmisje warstwy 2) wysyłane są do każdego przełączanego portu. Określamy to często mianem sieci jednorodnej, w której w ramach całej sieci znajduje się jedna domena rozgłoszeniowa. Zaletą seci jednorodnej jest to, że może ona zapewnić zarówno niewielkie opóźnienie, jak również dużą przepustowość, jest też łatwiejsza do administrowania. Wadą jest natomiast to, że zwiększa ona narażenie wszystkich switchy, portów, łączy szkieletowych i użytkowników na ruch rozgłoszeniowy.
Sieci VLAN stanowią wydajny mechanizm rozszerzania ścian ogniowych z routerów do struktury switchy i zabezpieczania sieci przezd potencjalnie niebezpiecznymi problemami związanymi z rozgłaszaniem. Sieci VLAN zachowują dodatkowo wszystkie zalety stosowania switchy dotyczące wydajności.
Ściany ogniowe tworzy się poprzez przypisywanie portów switcha lub użytkowników do określonych grup sieci VLAN, zarówno w ramach pojedyńczego switcha jak i wielu połączonych switchy. Ruch rozgłoszeniowy panujący w danej sieci VLAN nie jest przenoszony poza tę sieć. Mówiąc odwrotnie sąsiadujące porty nie otrzymują żadnego ruchu rozgłoszeniowego z innych sieci VLAN. Ten typ konfiguracji znacznie redukuje całkowity ruch rozgłoszeniowy, uwalnia pasmo dla rzeczywistego ruchu generowanego przez użytkowników i zwiększa całkowitą odporność sieci ma natłok nadawczy.
Im mniejsza grupa VLAN, tym mniejsza liczba użytkowników dotknietych przez obecność ruchu rozgłoszeniowego w tej grupie. Przyporządkowania do sieci VLAN mogą się także odbywać w oparciu o rodzaj aplikacji i liczbę wysyłanych przez nie transmisji rozgłoszeniowych. Użytkownicy wykorzystujący tę samą, wysyłąjącą częste transmisje rozgłoszeniowe aplikację, mogą zostać umieszczeni w tej samej grupie VLAN. Następnie aplikację można rozprowadzić w ramach tej grupy.
Za pośrednictwem sieci przekazuje się często poufne i kluczowe dane. Tajne dane wymagaja środków bezpieczeństwa w postaci ograniczeń dostępu. Jednym z problemów towarzyszących współdzielonym siecią LAN jest względnie łatwa możliwość ich penetracji. Przyłączając się do aktywnego portu, intruz otrzymuje dostęp do całego ruchu przesyłanego w danym segmencie. Im większa grupa, tym potencjalnie szerszy dostęp. Jedną z opłacalnych cenowo i łatwych do zarządania technik zwiększających bezpieczeństwo jest segmentacja sieci na wiele grup rozgłoszeniowych, pozwala to administratorowi sieci:
Zaimplementowanie tego typu segmentacji jest stosunkowo łatwe. Porty switcha grupowane są w oparciu o typ aplikacji i prawa dostępu. Chronione aplikacje i zaosby są często umieszczane w zabezpieczonej grupie VLAN. W zabezpieczonej sieci VLAN dostępu do grupy strzeże router, co ustawiane jest zarówno w switchach, jak i routerach. Ograniczenia mogą być nakładane w oparciu o adresy stacji, rodzaje aplikacji lub typy protokołów.
Można też zastosować dodatkowe środki bezpieczeństwa, wykorzystując listy kontroli dostępu. Są one szczególnie przydatne przy komunikacji między sieciami VLAN. Ograniczenia mogą być nakładane w oparciu o adresy stacji, rodzaje aplikacji, typy protokołów lub nawet o porę dnia.