A VLAN-ok olyan téma, amelynél alapvetően nem engedhetjük meg magunknak, hogy hibázzunk a beállítás során. Ezért nagyon fontos megérteni, hogyan működnek a VLAN-ok a legalapvetőbb szinten. Ez a cikk talán nem ás mélyre a VLAN-ok alapjaiba, de jó betekintést nyújt abba, hogy mik azok a VLAN-ok, hogyan működnek, és hogyan lehet őket beállítani.
1. Mi az a VLAN?
A VLAN a Virtual Local Area Network rövidítése, és egyszerűen fogalmazva egy nagyon gyakori módja a hálózatok szétválasztásának a switch-eken. Általában, ha hálózatokat szeretnénk elkülöníteni, fizikailag kellene külön hálózati szegmenseket létrehozni (például egy teljes hálózat az alkalmazottaknak, egy a vendégeknek stb.), és párhuzamosan futtatni őket. VLAN-ok segítségével ugyanazt a hálózati infrastruktúrát használhatjuk több hálózat egyidejű továbbítására. Lehetővé teszi virtuális hálózatok létrehozását a tényleges fizikai hálózati eszközök felett.
Hasonlatként: míg az alhálózatok (subnetek) a hálózatok elkülönítésének egy módját jelentik routereken vagy úgynevezett "Layer-3-es eszközökön", amelyek alapvetően IP-alapú eszközök, addig a VLAN-ok hasonló funkciót látnak el Layer-2-es eszközökön MAC-alapú hálózatokban.
A VLAN-ok megvalósítására vonatkozó szabályokat és szabványokat az IEEE szervezet az IEEE 802.1q szabványban határozza meg.
2. Hogyan is működik valójában egy VLAN?
Egy VLAN leegyszerűsítve tag-ek segítségével működik. Egy tag néhány további bájtot jelent, amelyet bármely adatkerethez hozzáfűznek, és amely olyan információkat tartalmaz, mint például a VLAN-tagság:
A legfontosabb rész, amelyre főként fókuszálunk, a VID, vagyis a VLAN azonosító. Ez a 1-4096 közötti szám egyszerűen azt jelzi, hogy "melyik VLAN-hoz tartozik az adott keret".
A taggelés egy nagyon hatékony módja annak, hogy szabályozzuk, melyik keret melyik VLAN-hoz tartozik.
Ahhoz, hogy megértsük, hogyan működnek a VLAN-ok a gyakorlatban, képzeljünk el egy adatforgalmi sávot, amikor VLAN-t állítunk be egy switch-en belül. Minden sáv elkülönül, párhuzamosan fut, és különböző portokhoz van rendelve, amelyek az adott sávhoz tartoznak. Az "hozzárendelés a sávhoz" a mi VLAN-tagságunk. Ennek beállítását sokféle cikk ismerteti, amelyek a cikk alján találhatók. Itt egy grafikus ábrázolás:
Látható, hogy a sávok áthaladnak a switch-eken, majd az adott portokhoz mennek, amelyekhez a tagság hozzá van rendelve. Tehát ha egy keret egy adott VLAN-on belül lép be a switch-be, akkor kommunikálhat bármely olyan porttal, amelynek tagsága az adott VLAN-ban van. De hogyan lesz egy keret VLAN10, 20 vagy 30-hoz rendelt keret?
3. Bejövő forgalom VLAN-okon
Az a meghatározás, hogy egy bejövő keret melyik VLAN-hoz lesz rendelve, attól függ, hogy a forrás eszköz már hozzárendelt-e VLAN taget a kerethez. Ha van VLAN tag, akkor a VID tartalma kiolvasásra kerül. Ha a VID szám megegyezik a switch porthoz rendelt VLAN-tagsággal, akkor a keret "bemehet a sávba". De sokkal érdekesebb, hogy mi történik a teljesen tageletlen Ethernet keretekkel. Itt lép be a képbe az úgynevezett PVID (Port-Based VLAN ID). A PVID felelős azért, hogy a megfelelő sávba helyezze azokat a kereteket, amelyek bejövő és tageletlenek - a PVID csak azokra a keretekre vonatkozik, amelyek megfelelnek ezeknek a feltételeknek. Egy port, amelyhez PVID 1 van rendelve, a tageletlen, bejövő forgalmat a VLAN1-hez rendeli, így a forgalmat "az 1-es sávra tolja".
Alapértelmezés szerint minden hálózati eszköz port és switch PVID1-re és (tageletlen) tagságra a VLAN1-ben van beállítva. Ez azt jelenti, hogy alapértelmezés szerint, ha csatlakoztatunk egy számítógépet egy switch-hez anélkül, hogy bármit konfigurálnánk, amely végül egy gateway-hez vezet, akkor a PVID1 és a tageletlen tagság VLAN1-ben lehetővé teszi az eszközök azonnali kommunikációját, mivel ezek az előfeltételek ugyanabba a hálózatba helyezik őket.
Nézzünk meg még egyszer egy másik ábrát:
Első pillantásra ez talán kaotikusabbnak tűnik, mint amilyen: lényegében mindkét port, amely a PC-hez és a gateway-hez csatlakozik, megosztja az alapértelmezett VLAN-tagságot, a VLAN1-et (tageletlen tagság - erről később részletesen) és a PVID1-et.
Ha a PC forgalmat küld a gateway-nek, az alsó switch-port PVID1-je hozzárendeli a forgalmat a VLAN1 "sávjához", lehetővé téve a kommunikációt a felső switch-porttal, mivel a VLAN1-tagság adott. A tagelt tagsághoz képest a tageletlen tagság dönti el, hogy a VLAN taggel együtt (VID=1-gyel jelölve, tagelt tagként) vagy anélkül (tageletlen tagként) kerül-e kiküldésre. Ebben az esetben, mivel a felső port tageletlen, nem kerül tag hozzáadásra. A gateway ezután válaszolhat a bejövő csomagra, és visszaküldheti azt - szintén tageletlenül, mivel a gateway-nek még nincs VLAN-tudatossága konfigurálva. Ismét a PVID1, ezúttal a felső switch-porton, hozzárendeli a keretet a VLAN1 "sávjához", ismét lehetővé téve a kommunikációt az alsó switch-porttal a megosztott VLAN-tagság miatt. Ismét nem kerül tag hozzáadásra a tageletlen tagság miatt, így a keret elfogadható a PC számára, amely nem tud VLAN-tag információt kiolvasni. Ezzel a folyamattal jön létre a kommunikáció a gateway és a klienseszköz között.
4. Utólagos gondolatok és hasznos linkek
A VLAN alapelvének megértése kulcsfontosságú lépés a helyes VLAN-beállítási döntések meghozatalában. Természetesen csak a felszínt érintettük ebben a témában, de remélhetőleg ez jó kiindulópontot ad a VLAN-ok valódi megértéséhez és a PVID és VLAN-tagságok közti különbség ismeretéhez.
Az alábbiakban találhat néhány cikket, amelyek különféle eszközökön történő VLAN-beállítással foglalkoznak portfóliónkból:
VLAN-ok - Tagelt VLAN-ok vs PVID (Beállítási példa tageletlen/tagelt VLAN)
Hogyan konfiguráljunk VLAN-t USG eszközön
Hozzászólások
0 hozzászólásHozzászólások írásához jelentkezzen be.