VLANit ovat aihe, jossa et käytännössä voi tehdä virheitä tai oikeita valintoja asennettaessa. Siksi on erittäin tärkeää ymmärtää, miten VLANit toimivat aivan pohjimmiltaan. Tämä artikkeli ei välttämättä kaiva VLANien ydinasioihin, mutta antaa sinulle hyvän käsityksen siitä, mitä VLANit ovat, miten ne toimivat ja miten ne asetetaan.
1. Mikä on VLAN?
VLAN tarkoittaa Virtual Local Area Network eli virtuaalista lähiverkkoa, ja yksinkertaisesti sanottuna se on hyvin yleinen tapa eristää verkkoja kytkimillä. Yleensä, jos haluat erottaa verkkoja, sinun pitäisi fyysisesti rakentaa eri verkkosegmenttejä (esimerkiksi yksi kokonainen verkko työntekijöille, yksi vieraille jne.) ja ajaa ne rinnakkain. VLANien avulla voit käyttää samaa verkkoinfrastruktuuria useiden verkkojen kuljettamiseen samanaikaisesti. Se mahdollistaa virtuaalisten verkkojen luomisen varsinaisten fyysisten verkkolaitteiden päälle.
Vertauskuvana: Aliverkot ovat tapa erottaa verkkoja reitittimissä tai niin sanotuissa "Layer-3-laitteissa", eli käytännössä IP-pohjaisissa laitteissa, kun taas VLANit tekevät hyvin saman asian Layer-2-laitteissa MAC-pohjaisissa verkoissa.
VLANien toteutuksen säännöt ja standardit on määritelty IEEE-organisaation IEEE 802.1q -standardissa.
2. Miten VLAN oikeastaan toimii?
VLAN toimii, yksinkertaistettuna, tageilla. Tagi koostuu muutamasta lisätytystä tavusta, jotka liitetään datakehykseen ja sisältävät tietoa esimerkiksi VLAN-jäsenyydestä:
Tärkein osa, johon keskitymme, on VID eli VLAN ID. Tämä luku välillä 1-4096 on yksinkertaisesti merkki siitä, "mihin VLANiin kehys kuuluu".
Taggaus on erittäin tehokas tapa hallita, mihin VLANiin kukin kehys kuuluu.
Ymmärtääksesi, miten VLANit toimivat käytännössä, kuvittele, että luot dataliikennekaistan, kun asetat VLANin kytkimessä. Jokainen kaista on erillinen, kulkee rinnakkain ja on yhdistetty eri porteille, jotka on määritetty kyseiselle kaistalle. "Kaistalle määrittäminen" on meidän VLAN-jäsenyys. Miten tämä asetetaan, on kuvattu monissa eri artikkeleissa, jotka löytyvät tämän artikkelin lopusta. Tässä on kuitenkin graafinen esitys:
Voit nähdä kaistat kulkevan kytkimien läpi ja sitten menevän porttiin, joka on kyseiselle jäsenyydelle määritetty. Kun kehys on tullut kytkimeen tietylle VLANille, se voi kommunikoida minkä tahansa portin kanssa, jolla on jäsenyys kyseisessä VLANissa. Mutta miten kehys määritetään VLAN10-, 20- tai 30-jäseneksi?
3. Saapuva liikenne VLANeissa
Määritelmä siitä, mihin VLANiin saapuva kehys sijoitetaan, perustuu siihen, onko kehykseen jo lähdelaitteen toimesta liitetty VLAN-tagi. Jos kehykseen on liitetty VLAN-tagi, luetaan VID:n sisältö. Jos VID vastaa kytkinportin merkittyä jäsenyyttä, kehys päästetään "kaistalle". Mutta vielä mielenkiintoisempaa on selvittää, mitä tapahtuu täysin tagittomille Ethernet-kehyksille. Tässä tulee mukaan PVID (Port-Based VLAN ID). PVID vastaa oikean kaistan valinnasta niille kehyksille, jotka ovat saapuvia ja tagittomia – PVID tulee siis voimaan vain kehyksille, jotka täyttävät nämä kaksi ehtoa. Portti, jolle on määritetty PVID 1, sijoittaa tagittoman saapuvan liikenteen VLAN1:een, ohjaten liikenteen "kaistalle #1".
Oletuksena kaikki verkkolaitteiden portit ja kytkimet on asetettu PVID1:ksi ja (tagittomaksi jäseneksi VLAN1:ssä). Tämä tarkoittaa, että jos liität tietokoneen kytkimeen ilman omaa konfiguraatiota, joka puolestaan menee yhdyskäytävälle, PVID1:n ja tagittoman jäsenyyden oletusasetus VLAN1:ssä mahdollistaa laitteiden välittömän kommunikoinnin, koska ne ovat samassa verkossa.
Katsotaanpa vielä toista visualisointia:
Tämä saattaa ensi silmäyksellä näyttää kaoottisemmalta kuin on: käytännössä sekä PC:n että yhdyskäytävän portit jakavat oletus-VLAN-jäsenyyden VLAN1:een (tagittomana jäsenenä – tästä lisää hetken kuluttua) ja PVID1:n.
Jos PC lähettää liikennettä yhdyskäytävälle, alemman kytkinportin PVID1 sijoittaa liikenteen VLAN1:n "kaistalle", jolloin se voi kommunikoida ylemmän kytkinportin kanssa, koska VLAN1-jäsenyys on olemassa. Verrattuna tagitettuun jäsenyyteen, tagiton jäsenyys määrittää, lähetetäänkö VLAN tagi (VID=1) vai ei. Tässä tapauksessa ylempi portti on tagiton, joten tagia ei lisätä. Yhdyskäytävä voi vastata tähän saapuvaan pakettiin myös tagittomana, koska yhdyskäytävällä ei vielä ole VLAN-tietoisuutta konfiguroituna. Tällä kertaa ylemmän kytkinportin PVID1 sijoittaa kehyksen VLAN1-kaistalle, jolloin kommunikointi voi jatkua alemman kytkinportin kanssa jaettu VLAN-jäsenyys mahdollistaa tämän. Koska ylempi portti on tagiton jäsen, tagia ei lisätä, joten kehys on hyväksyttävä PC:lle, joka ei osaa lukea VLAN-tagi-informaatiota. Tämän prosessin avulla yhdyskäytävän ja asiakaslaitteen välinen kommunikointi muodostuu.
4. Jälkiajatuksia ja hyödyllisiä linkkejä
Tämän VLANin ydinkäsitteen ymmärtäminen on ratkaisevan tärkeä askel oikeiden valintojen tekemisessä VLANin asettamisessa. Tietenkään emme voi käsitellä aihetta kokonaisuudessaan tässä, mutta toivottavasti tämä antaa hyvän lähtökohdan VLANien ymmärtämiseen ja PVID:n sekä VLAN-jäsenyyksien eron tuntemiseen.
Alta löydät joitakin artikkeleita, jotka liittyvät VLANien asetuksiin erilaisilla laitteilla valikoimastamme:
VLANit - Tagitetut VLANit vs PVID (Esimerkki tagittomasta/tagitetusta VLANista)
Miten konfiguroida VLAN USG-laitteessa
Kommentit
0 kommenttiaKirjaudu sisään jättääksesi kommentin.