Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



23.01.2020

Długie pożegnanie

Chrome na Windows 7
23.01.2020

Dell XPS 13

Dell zaprezentował najnowszą odsłonę laptopa będącego jednym z najczęstszych wyborów...
23.01.2020

Inteligentne drukowanie

Ricoh IM C300, C400
23.01.2020

Bezpieczny punkt dostępowy

D-Link Covr AC2200
23.01.2020

Elastyczny laptop

Lenovo ThinkPad X1 Fold
23.01.2020

Potężny All-in-One

HP Envy 32
23.12.2019

Ochrona danych

ESET Full Disk Encryption
23.12.2019

Więcej prywatności

Windows obsłuży DoH
23.12.2019

Mobilne szyfrowanie

TLS na Androidzie

Multipleksacja usług za pomocą VLAN-ów

Data publikacji: 18-04-2019 Autor: Piotr Wojciechowski
Konfiguracja private VLAN

Multipleksacja w telekomunikacji to termin obejmujący różne metody realizacji dwóch lub większej liczby kanałów komunikacyjnych z wykorzystaniem pojedynczego medium transmisyjnego. Bez tych metod realizacja usług telekomunikacyjnych, w tym także sieci komputerowych, byłaby ekstremalnie droga i nieopłacalna. Dotyczy to zarówno połączeń lokalnych (LAN), jak i tych łączących ze sobą odległe lokalizacje (WAN).

 

VLAN (Virtual Local Area Net­work) to w uproszczeniu wirtualna usługa w sieci zbudowanej na podstawie standardu Ethernet. Posługujemy się nią na co dzień, bez niej plątanina kabli oraz liczba urządzeń w szafach telekomunikacyjnych byłyby niemożliwe do zarządzania. Jeszcze niedawno VLAN-y kojarzone były z zaawansowanym sprzętem sieciowym oraz rozwiązaniami wdrażanymi w sieciach korporacyjnych lub operatorskich. Jednak dzięki znaczącemu spadkowi cen przełączników czy małych routerów coraz częściej znajdujemy je także w sieciach domowych, czasem nie mając nawet świadomości ich wykorzystania. Należy jasno powiedzieć, że dostępna w urządzeniach z segmentu SOHO implementacja VLAN-ów jest podstawowa, czasem dodatkowo nawet ograniczona, zapewniając jedynie bardzo podstawowe funkcje. Te zaawansowane pozostają nadal domeną skomplikowanych urządzeń sieciowych. W tym artykule przyjrzymy się niektórym z tych funkcji dostępnych na przełącznikach firmy Cisco – często zapomnianym i niedocenianym przez inżynierów sieciowych. Większość rozwiązań uległa z czasem standaryzacji i implementacji także w produktach innych marek.

> ETHERNET I VLAN-Y

Aby zrozumieć sposób działania i konfiguracji zaawansowanych mechanizmów związanych z VLAN-ami, musimy sobie przypomnieć podstawy działania typowych sieci lokalnych. Budujemy je, wykorzystując protokół Ethernet opisany w standardzie IEEE 802.3 – należy on do drugiej warstwy w modelu OSI (model opisu działania sieci), zwanej warstwą łącza danych (data-link layer). Istnieje wiele typów ramek Ethernet, jednak wszystkie mają dużo cech wspólnych. Przykładowo każda ramka zawiera adres MAC (czyli adres sprzętowy interfejsu urządzenia sieciowego), nadawcy oraz odbiorcy czy zarezerwowany obszar, w którym umieszczane są przesyłane dane. O zwykłych ramkach mówimy potocznie, że są nietagowane albo natywne, czyli nie mają cech pozwalających na multipleksację usług, gdyż brakuje w nich pola, które można by traktować jako identyfikator usługi. Wprowadzone ono zostało w standardzie 802.1Q i umieszczany jest w nim numer sieci wirtualnej, czyli VLAN-u. Dlatego o ramkach w tym standardzie mówimy, że są tagowane. Urządzenia sieciowe, przede wszystkim przełączniki, dla każdego VLAN-u budują oddzielną tablicę sąsiedztwa MAC (MAC Address Table). Jest ona zbiorem informacji zapewniającym przełącznikowi wiedzę o tym, przez który port musi on wysłać ramkę, aby dotarła ona do urządzenia wskazanego określonym adresem MAC w polu nagłówka identyfikującym odbiorcę. Switch przez cały czas buduje i aktualizuje tę bazę na podstawie ramek, które obsługuje. Proces ten nazywa się switching. W przypadku gdy switch nie ma informacji, gdzie wysłać ramkę, by dotarła ona do wskazanego odbiorcy, to rozgłasza ją za pośrednictwem wszystkich interfejsów, pomijając port, przez który ramka do niego dotarła.

Każdy VLAN to oddzielna wirtualna sieć podlegająca takim samym regułom jak sieć, w której nie tagujemy ramek, zapewniając separację i izolację ruchu dla każdej z nich. Aby dwa urządzenia mogły się ze sobą komunikować, muszą znajdować się w tym samym VLAN-ie lub pomiędzy nimi należy umieścić urządzenie pełniące funkcję routera. Do każdego z VLAN-ów powinniśmy w obrębie naszej sieci przypisać niepowtarzalną podsieć IP. Choć teoretycznie nic nie stoi na przeszkodzie, aby w pojedynczym VLAN-ie działało wiele podsieci, w praktyce taka konfiguracja może powodować różne nietypowe problemy. Jednej podsieci nie możemy „rozciągnąć” na wiele VLAN-ów.

Każdy zdefiniowany na urządzeniu VLAN to oddzielna domena rozgłoszeniowa (broadcast domain), czyli „obszar” sieci, w jakim będą replikowane wiadomości typu broadcast, których odbiorcami z założenia są wszystkie urządzenia w danym segmencie sieci. Urządzenia, które nie rozpoznają VLAN-ów, rozgłoszą odebraną tego typu ramkę poprzez wszystkie swoje porty z wyjątkiem tego, przez który została ona odebrana. Przełączniki ze skonfigurowanymi VLAN-ami ograniczą rozgłaszanie jedynie do interfejsów przypisanych do tego samego VLAN-u co nadawca broadcastu.

Powyższe cechy wirtualnych sieci LAN odnoszą się do aspektu separacji komunikacji pomiędzy poszczególnymi VLAN-ami. Drugą cechą jest wspomniana na wstępie multipleksacja, czyli współdzielenie fizycznego łącza pomiędzy wiele wirtualnych usług. Do tego celu urządzenia sieciowe także wykorzystują identyfikatory VLAN-ów zapisane w nagłówkach ramek w standardzie 802.1Q. Interfejsy, przez które wysyłane są nieotagowane ramki, nazywamy portami dostępowymi (access port). Interfejs skonfigurowany do przenoszenia tagowanych ramek określa się jako trunk – nazwa ta jest powszechnie stosowana zarówno w literaturze, jak i w języku potocznym informatyków. W konfiguracji trunka możemy wskazać jedynie wybrane VLAN-y lub pozwolić na ruch wszystkich, które na urządzeniu są skonfigurowane. Możemy także wskazać jeden wybrany VLAN, który w trunku będzie przenoszony w postaci ramki nieotagowanej – nazywamy go wtedy VLAN-em natywnym (native VLAN).

 

[...]

 

Autor specjalizuje się w rozwiązaniach routing & switching, data center oraz service providers. Promuje automatyzację w środowiskach sieciowych i udziela się jako deweloper w projektach open source. Pracuje jako niezależny konsultant IT. Posiada certyfikat CCIE. 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"