VLAN jsou téma, u kterého si při jeho nastavování nemůžete dovolit chybu. Proto je velmi důležité pochopit, jak VLAN fungují na nejzákladnější úrovni. Tento článek možná nezasahuje do samotných základů VLAN, ale poskytne vám velmi dobrý přehled o tom, co VLAN jsou, jak fungují a jak je nastavit.
1. Co je to VLAN?
VLAN znamená Virtual Local Area Network (virtuální místní síť) a jednoduše řečeno je to velmi běžný způsob, jak oddělit sítě na přepínačích. Obvykle, pokud byste chtěli oddělit sítě, museli byste fyzicky vytvořit různé segmenty sítě (například jednu celou síť pro zaměstnance, jednu pro hosty atd.) a provozovat je paralelně. Pomocí VLAN můžete použít stejnou síťovou infrastrukturu k přenosu více sítí současně. Umožňuje vytváření virtuálních sítí nad skutečnými fyzickými síťovými zařízeními.
Pro přiblížení: zatímco podsítě jsou způsobem, jak oddělit sítě v rámci směrovačů nebo tzv. „zařízení vrstvy 3“, tedy zařízení založených na IP, VLAN dělají velmi podobnou věc na zařízeních vrstvy 2 v sítích založených na MAC adresách.
Pravidla a standardy pro implementaci VLAN jsou definovány organizací IEEE v rámci standardu IEEE 802.1q.
2. Jak vlastně VLAN funguje?
VLAN, zjednodušeně řečeno, funguje pomocí tagů. Tag je několik přidaných bajtů připojených k datovému rámci, které obsahují informace, například o členství ve VLAN:
Nejdůležitější částí, na kterou se budeme hlavně zaměřovat, je VID, tedy VLAN ID. Toto číslo od 1 do 4096 je jednoduše označení „do které VLAN rámec patří“.
Tagování je velmi efektivní způsob, jak řídit, který rámec patří do které VLAN.
Pro pochopení fungování VLAN v praxi si představte vytvoření datového pruhu, když nastavujete VLAN na přepínači. Každý pruh je oddělený, běží paralelně a je připojen k různým portům, které jsou tomuto pruhu přiřazeny. „Přiřazení do pruhu“ je naše členství ve VLAN. Jak toto nastavit, je popsáno v mnoha různých článcích uvedených na konci tohoto článku. Zde je však grafické znázornění:
Vidíte pruhy vedoucí přes přepínače a poté jdoucí k portům přepínače, které jsou přiřazeny příslušnému členství. Jakmile rámec vstoupí do přepínače na konkrétní VLAN, může komunikovat s jakýmkoli portem, který má členství v dané VLAN. Ale jak se rámec stane rámcem přiřazeným například VLAN10, 20 nebo 30?
3. Příchozí provoz na VLAN
Určení, do které VLAN bude příchozí rámec zařazen, závisí na tom, zda rámec již má přiřazen VLAN tag od svého zdrojového zařízení. Pokud je rámci přiřazen VLAN tag, přečte se obsah VID. Pokud číslo VID odpovídá číslu přiřazenému portu přepínače, rámec bude povolen „do pruhu“. Ale mnohem zajímavější je zjistit, co se děje s úplně netagovanými ethernetovými rámci. Zde přichází do hry tzv. PVID (Port-Based VLAN ID). PVID je zodpovědné za výběr správného pruhu, na který umístit rámce, které jsou příchozí a netagované – PVID se uplatňuje pouze u rámců splňujících tato dvě kritéria. Port přiřazený s PVID 1 přiřadí netagovaný příchozí provoz do VLAN1, aby „poslal provoz do pruhu č. 1“.
Ve výchozím nastavení jsou všechny porty síťových zařízení a přepínačů nastaveny s PVID1 a (netagovaným členstvím ve VLAN1). To znamená, že pokud připojíte počítač k přepínači bez jakéhokoli vlastního nastavení, který je pak připojen k bráně, díky přednastavení PVID1 a netagovanému členství ve VLAN1 mohou zařízení okamžitě vzájemně komunikovat, protože jsou přednastavením umístěna do stejné sítě.
Pojďme se podívat na další vizualizaci:
Zpočátku to může vypadat chaoticky: oba porty připojené k PC a bráně sdílejí výchozí členství ve VLAN1 (netagované členství – bude blíže vysvětleno níže) a PVID1.
Pokud PC odešle provoz na bránu, PVID1 dolního portu přepínače přiřadí provoz do „pruhu“ VLAN1, což umožní komunikaci s horním portem přepínače, protože je zde dáno členství ve VLAN1. Ve srovnání s tagovaným členstvím rozhoduje netagované členství o tom, zda je VLAN odeslána s tagem označeným VID=1 (tagovaný člen) nebo bez VLAN tagu (netagovaný člen). V tomto případě, protože horní port je netagovaný, nebude přidán žádný tag. Brána může na tento příchozí paket odpovědět a poslat jej zpět – také netagovaně, protože brána zatím nemá nastavenou VLAN povědomost. Opět PVID1, tentokrát na horním portu přepínače, přiřadí rámec do „pruhu VLAN1“, což opět umožní komunikaci, nyní s dolním portem přepínače díky sdílenému členství ve VLAN. Opět nebude přidán žádný tag kvůli netagovanému členství, což činí rámec přijatelným pro PC, které nemůže číst VLAN tag informace. Tímto procesem je navázána komunikace mezi bránou a klientským zařízením.
4. Závěrečné poznámky a užitečné odkazy
Pochopení tohoto základního principu VLAN je zásadním krokem k tomu, abyste mohli správně nastavit VLAN. Samozřejmě jsme zde pouze načnuli povrch tohoto tématu, ale doufejme, že vám to poskytne dobrý výchozí bod pro skutečné pochopení VLAN a rozlišení mezi PVID a členstvím ve VLAN.
Níže najdete několik článků týkajících se nastavení VLAN na řadě různých zařízení z našeho portfolia:
VLAN – Tagované VLAN vs PVID (příklad nastavení netagované/tagované VLAN)
Komentáře
0 komentářůProsím přihlaste se, abyste mohli napsat komentář.