VLANs er et emne, hvor du grundlæggende ikke har råd til fejl, når du opsætter det. Derfor er det meget vigtigt at forstå, hvordan VLANs fungerer på det helt grundlæggende niveau. Denne artikel går måske ikke i dybden med VLANs kernefundamenter, men vil give dig en ret god indsigt i, hvad VLANs er, hvordan de fungerer, og hvordan man opsætter dem.
1. Hvad er et VLAN?
VLAN står for Virtual Local Area Network og er, enkelt sagt, en meget almindelig måde at adskille netværk på switches. Normalt, hvis du ønsker at adskille netværk, ville du skulle opbygge forskellige netværkssegmenter fysisk (altså ét helt netværk til medarbejdere, ét til gæster osv.) og køre dem parallelt. Via VLANs kan du bruge den samme netværksinfrastruktur til at bære flere netværk på samme tid. Det tillader oprettelsen af virtuelle netværk oven på de faktiske fysiske netværksenheder.
For at lave en analogi: Mens subnet er en måde at adskille netværk inden for routere eller såkaldte "Layer-3-enheder", altså IP-baserede enheder, gør VLANs en meget lignende ting på Layer-2-enheder i MAC-baserede netværk.
Reglerne og standarderne for VLAN-implementering er klassificeret af IEEE-organisationen inden for IEEE 802.1q-standarden.
2. Så, hvordan fungerer et VLAN egentlig?
Et VLAN fungerer, forenklet, via tags. Et tag består af nogle få ekstra bytes, der tilføjes til enhver dataframe, som indeholder information såsom VLAN-medlemskab:
Den vigtigste del, og den vi hovedsageligt vil fokusere på, er VID, VLAN ID. Dette nummer fra 1-4096 er ganske enkelt en markør for "hvilket VLAN framen tilhører".
Tagging er en meget effektiv måde at kontrollere, hvilken frame der hører til hvilket VLAN.
For at forstå, hvordan VLANs fungerer i praksis, forestil dig at oprette en datatrafikbane, når du opsætter et VLAN i en switch. Hver bane er adskilt, kører parallelt og er forbundet til forskellige porte, der er tildelt den bane. "Tildelingen til banen" er vores VLAN-medlemskab. Hvordan man opsætter dette, er beskrevet i mange forskellige artikler, der er linket nederst i denne artikel. Men her er en grafisk fremstilling af det:
Du kan se banerne løbe gennem switchene og derefter gå til den port på switchen, der er tildelt det respektive medlemskab. Så når en frame er kommet ind i switchen på et specifikt VLAN, kan den kommunikere med enhver port, som har medlemskab i det pågældende VLAN. Men hvordan bliver en frame så enten tildelt VLAN10, 20 eller 30?
3. Ingress-trafik på VLANs
Definitionen af, hvilket VLAN en indkommende frame bliver tildelt, afhænger af, om den indkommende frame allerede har et VLAN-tag tildelt af dens kildeenhed. Hvis der er et VLAN-tag tildelt framen, læses VID-indholdet. Hvis VID matcher det taggede medlemskab af en switchport, vil den blive tilladt "på banen". Men endnu mere interessant er det at finde ud af, hvad der sker med helt utaggede Ethernet-frames. Her kommer den såkaldte PVID (Port-Based VLAN ID) i spil. PVID er ansvarlig for at vælge den rigtige bane at placere frames på, der er indkommende og utaggede - PVID kommer kun i spil på frames, der opfylder disse to kriterier. En port tildelt med PVID 1 vil tildele utaggede, indkommende trafik til VLAN1 for at skubbe trafikken "på bane nr. 1".
Som standard er alle netværksenheders porte og switches sat med en PVID1 og et (utagget) medlemskab i VLAN1. Det betyder altså, at hvis du tilslutter en computer til en switch uden nogen konfiguration foretaget af dig selv, som igen går til en gateway, så kan enhederne straks kommunikere med hinanden via forudsætningen om PVID1 og utagget medlemskab i VLAN1, da forudsætningen placerede dem i samme netværk.
Lad os tage et kig på en anden visualisering:
Dette kan ved første øjekast se mere kaotisk ud, end det er: Grundlæggende deler begge porte, der er forbundet til PC og gateway, standard VLAN-medlemskabet VLAN1 (utagget medlemskab -> vil blive uddybet lidt senere) og PVID1.
Hvis PC'en sender trafik til gatewayen, vil PVID1 på den nederste switch-port tildele trafikken til "banen" for VLAN1, hvilket tillader kommunikation med den øverste switch-port, da medlemskabet i VLAN1 er givet. Sammenlignet med et tagget medlemskab, afgør det utaggede medlemskab, om VLAN sendes ud med et tag, markeret med VID=1 (tagget medlem) eller uden noget VLAN-tag (utagget medlem). I dette tilfælde, da den øverste port er utagget, vil der ikke blive tilføjet noget tag. Gatewayen kan derefter svare på denne indkommende pakke og sende den tilbage - også utagget, da gatewayen endnu ikke har VLAN-bevidsthed konfigureret. Igen vil PVID1, denne gang på den øverste switch-port, tildele framen til "VLAN1-banen", hvilket igen tillader kommunikation, nu til den nederste switch-port på grund af delt VLAN-medlemskab. Igen vil der ikke blive tilføjet noget tag på grund af det utaggede medlemskab, hvilket gør framen acceptabel for PC'en, som ikke kan læse VLAN-tag information. Ved denne proces etableres kommunikationen mellem gateway og klientenhed.
4. Eftertanker og nyttige links
At forstå dette helt grundlæggende princip for VLAN er et afgørende skridt i at træffe de rigtige valg ved opsætning af VLAN. Selvfølgelig kan vi kun skimme overfladen af dette emne, men forhåbentlig giver det dig et godt udgangspunkt for faktisk at forstå VLANs og kende forskellen mellem PVID og VLAN-medlemskaber.
Nedenfor finder du nogle artikler, der handler om opsætning af VLANs på en række forskellige udstyr fra vores sortiment:
VLANs - Tagged VLANs vs PVID (Opsætningseksempel Untagged/Tagged VLAN)
Hvordan man konfigurerer VLAN på en USG-enhed
Kommentarer
0 kommentarerLog ind for at kommentere.