VLANs zijn een onderwerp waarbij je het je eigenlijk niet kunt veroorloven om fouten te maken bij het opzetten ervan. Daarom is het heel belangrijk om te begrijpen hoe VLANs op het allerdiepste niveau werken. Dit artikel gaat misschien niet tot in de kern van de VLAN-fundamenten, maar geeft je wel een goed inzicht in wat VLANs zijn, hoe ze werken en hoe je ze instelt.
1. Wat is een VLAN?
VLAN staat voor Virtual Local Area Network en is, in eenvoudige termen, een heel gebruikelijke manier om netwerken te scheiden op switches. Normaal gesproken, als je netwerken wilt scheiden, zou je fysiek verschillende netwerkssegmenten moeten opzetten (bijvoorbeeld één netwerk voor medewerkers, één voor gasten, enzovoort) en deze parallel laten lopen. Met VLANs kun je dezelfde netwerkinfrastructuur gebruiken om meerdere netwerken tegelijk te dragen. Het maakt de creatie van virtuele netwerken mogelijk bovenop de daadwerkelijke fysieke netwerkapparaten.
Om een analogie te geven: terwijl subnetten een manier zijn om netwerken te scheiden binnen routers of zogenaamde "Layer-3-apparaten", in feite IP-gebaseerde apparaten, doen VLANs iets soortgelijks bij Layer-2-apparaten in MAC-gebaseerde netwerken.
De regels en standaarden voor VLAN-implementatie worden geclassificeerd door de IEEE-organisatie binnen de IEEE 802.1q-standaard.
2. Dus, hoe werkt een VLAN nu echt?
Een VLAN werkt, vereenvoudigd gezegd, via tags. Een tag bestaat uit een paar extra bytes die aan elk dataframe worden toegevoegd, en bevat informatie zoals het VLAN-lidmaatschap:
Het belangrijkste gedeelte, en waar we ons vooral op zullen richten, is de VID, de VLAN-ID. Dit nummer van 1-4096 is simpelweg een aanduiding van "tot welk VLAN het frame behoort".
Tagging is een zeer efficiënte manier om te bepalen welk frame bij welk VLAN hoort.
Om te begrijpen hoe VLANs in de praktijk werken, stel je voor dat je een dataverkeersbaan creëert wanneer je een VLAN instelt binnen een switch. Elke baan is gescheiden, loopt parallel en is verbonden met verschillende poorten die aan die baan zijn toegewezen. De "toewijzing aan de baan" is ons VLAN-lidmaatschap. Hoe je dit instelt, wordt beschreven in verschillende artikelen die onderaan dit artikel zijn gelinkt. Maar hier is een grafische weergave ervan:
Je kunt de banen door de switches zien lopen en vervolgens naar welke poort van de switch dan ook het respectieve lidmaatschap is toegewezen. Dus zodra een frame de switch binnenkomt op een specifiek VLAN, kan het communiceren met elke poort die lid is van dat VLAN. Maar, hoe wordt een frame nu een VLAN10-, 20- of 30-toegewezen frame?
3. Inkomend verkeer op VLANs
De bepaling aan welk VLAN een binnenkomend frame wordt toegewezen, hangt af van of het binnenkomende frame al een VLAN-tag heeft gekregen van het bronapparaat. Als er een VLAN-tag aan het frame is toegewezen, wordt de VID-inhoud uitgelezen. Als de VID overeenkomt met het getagde lidmaatschap van een switchpoort, wordt het frame toegestaan "op de baan". Maar veel interessanter is wat er gebeurt met volledig niet-getagde Ethernet-frames. Hier komt de zogenaamde PVID (Port-Based VLAN ID) om de hoek kijken. De PVID is verantwoordelijk voor het kiezen van de juiste baan voor frames die binnenkomen en niet-getagd zijn - de PVID speelt alleen een rol bij frames die aan deze twee criteria voldoen. Een poort die is toegewezen met een PVID van 1 zal niet-getagd inkomend verkeer toewijzen aan VLAN1 om het verkeer "op baan #1" te plaatsen.
Standaard zijn alle netwerkapparaatpoorten en switches ingesteld met een PVID1 en een (niet-getagd) lidmaatschap in VLAN1. Dit betekent dat als je standaard een computer op een switch aansluit zonder eigen configuratie, die op zijn beurt naar een gateway gaat, dan kunnen de apparaten onmiddellijk met elkaar communiceren dankzij de instelling van PVID1 en het niet-getagde lidmaatschap in VLAN1, omdat ze zo binnen hetzelfde netwerk geplaatst worden.
Laten we nog eens kijken naar een andere visualisatie:
Dit lijkt op het eerste gezicht misschien chaotischer dan het is: beide poorten die verbonden zijn met de pc en de gateway delen het standaard VLAN-lidmaatschap van VLAN1 (niet-getagd lidmaatschap -> hier wordt zo nog verder op ingegaan) en PVID1.
Als de pc verkeer naar de gateway stuurt, zal de PVID1 van de onderste switchpoort het verkeer toewijzen aan de "baan" voor VLAN1, waardoor communicatie met de bovenste switchpoort mogelijk is omdat het lidmaatschap in VLAN1 aanwezig is. In vergelijking met een getagd lidmaatschap bepaalt het niet-getagde lidmaatschap of het VLAN met een tag wordt verzonden, gemarkeerd met VID=1 (getagd lid) of zonder VLAN-tag (niet-getagd lid). In dit geval, omdat de bovenste poort niet-getagd is, wordt er geen tag toegevoegd. De gateway kan dan reageren op dit binnenkomende pakket en het terugsturen - ook niet-getagd, omdat de gateway nog geen VLAN-bewustzijn heeft geconfigureerd. Opnieuw zal de PVID1, ditmaal op de bovenste switchpoort, het frame toewijzen aan de "VLAN1-baan", waardoor opnieuw communicatie mogelijk is, nu naar de onderste switchpoort vanwege het gedeelde VLAN-lidmaatschap. Ook nu wordt er geen tag toegevoegd vanwege het niet-getagde lidmaatschap, waardoor het frame acceptabel is voor de pc, die geen VLAN-tag informatie kan uitlezen. Via dit proces wordt communicatie tussen gateway en clientapparaat tot stand gebracht.
4. Nadenkingen en nuttige links
Het begrijpen van dit fundamentele principe van VLAN is een cruciale stap om de juiste keuzes te maken bij het opzetten van VLANs. Natuurlijk hebben we hier slechts het oppervlak van dit onderwerp aangeraakt, maar hopelijk biedt dit een goed startpunt om VLANs daadwerkelijk te begrijpen en het verschil te kennen tussen PVID en VLAN-lidmaatschappen.
Hieronder vind je enkele artikelen die gaan over het opzetten van VLANs op diverse apparatuur uit ons portfolio:
VLANs - Getagde VLANs versus PVID (Voorbeeldopzet niet-getagde/getagde VLAN)
Hoe VLAN te configureren op een USG-apparaat
Opmerkingen
0 opmerkingenU moet u aanmelden om een opmerking te plaatsen.