VLAN-er er et tema hvor du i praksis ikke har råd til å gjøre feil når du setter dem opp. Derfor er det veldig viktig å forstå hvordan VLAN fungerer på det aller grunnleggende nivået. Denne artikkelen går kanskje ikke i dybden på VLANs kjernefundamenter, men gir deg en ganske god innsikt i hva VLAN-er er, hvordan de fungerer, og hvordan du setter dem opp.
1. Hva er en VLAN?
VLAN står for Virtual Local Area Network og er, enkelt sagt, en veldig vanlig måte å separere nettverk på svitsjer. Vanligvis, hvis du ønsker å separere nettverk, må du fysisk bygge opp forskjellige nettverkssegmenter (det vil si ett helt nettverk for ansatte, ett for gjester osv.) og kjøre dem parallelt. Via VLAN kan du bruke samme nettverksinfrastruktur til å bære flere nettverk samtidig. Det tillater opprettelsen av virtuelle nettverk over de faktiske fysiske nettverksenhetene.
For å bruke en analogi: Mens subnett er en måte å separere nettverk innen rutere eller såkalte "Layer-3-enheter", altså IP-baserte enheter, gjør VLAN-er noe veldig likt på Layer-2-enheter i MAC-baserte nettverk.
Reglene og standardene for VLAN-implementering er klassifisert av IEEE-organisasjonen innen IEEE 802.1q-standarden.
2. Så, hvordan fungerer egentlig en VLAN?
En VLAN, forenklet, fungerer via tags. En tag består av noen ekstra byte som legges til enhver dataframe, som inkluderer informasjon som VLAN-medlemskap:
Den viktigste delen, og den vi hovedsakelig vil fokusere på, er VID, VLAN-ID. Dette tallet fra 1-4096 er enkelt og greit en markør for "hvilken VLAN rammen tilhører".
Tagging er en veldig effektiv måte å kontrollere hvilken ramme som tilhører hvilken VLAN.
For å forstå hvordan VLAN fungerer i praksis, kan du forestille deg at du oppretter en datatrafikklane når du setter opp en VLAN innen en svitsj. Hver lane er separert, kjører parallelt, og er koblet til forskjellige porter som er tildelt den lane. "Tildelingen til lane" er vårt VLAN-medlemskap. Hvordan du setter dette opp er beskrevet i mange forskjellige artikler lenket nederst i denne artikkelen. Men her er en grafisk fremstilling av det:
Du kan se at lane kjører gjennom svitsjene og deretter går til hvilken som helst port på svitsjen som er tildelt det respektive medlemskapet. Så når en ramme har kommet inn på svitsjen på en spesifikk VLAN, kan den kommunisere med hvilken som helst port som har medlemskap i nevnte VLAN. Men, hvordan blir en ramme enten en VLAN10, 20 eller 30-tildelt ramme?
3. Inngående trafikk på VLAN
Definisjonen av hvilken VLAN en innkommende ramme blir tildelt, avhenger av om den innkommende rammen allerede har en VLAN-tag tildelt av kildenheten. Hvis det er en VLAN-tag tildelt rammen, leses VID-innholdet ut. Hvis VID matcher nummeret til det taggede medlemskapet til en svitsjport, vil den bli tillatt "inn på lane". Men mye mer interessant er det å finne ut hva som skjer med helt utaggede Ethernet-rammer. Her kommer den såkalte PVID (Port-Based VLAN ID) inn i bildet. PVID er ansvarlig for å velge riktig lane å plassere rammer på som er innkommende og utaggede – PVID kommer bare i spill på rammer som oppfyller disse to kriteriene. En port tildelt med PVID 1 vil tildele utaggede, innkommende trafikk til VLAN1 for å skyve trafikken "inn på lane #1".
Som standard er alle porter på nettverksenheter og svitsjer satt med PVID1 og et (uttagget) medlemskap i VLAN1. Dette betyr at som standard, hvis du kobler en datamaskin til en svitsj uten noen konfigurasjon gjort av deg selv, som igjen går til en gateway, så gjennom forutsetningen om PVID1 og utaggede medlemskap i VLAN1, kan enhetene umiddelbart kommunisere med hverandre, siden forutsetningen plasserte dem i samme nettverk.
La oss se på en annen visualisering:
Dette kan ved første øyekast se mer kaotisk ut enn det er: i praksis deler begge porter som er koblet til PC og gateway det standard VLAN-medlemskapet VLAN1 (uttagget medlemskap -> dette vil bli utdypet litt senere) og PVID1.
Hvis PC-en sender trafikk til gatewayen, vil PVID1 på den nederste svitsjporten tildele trafikken til "lane" for VLAN1, noe som tillater kommunikasjon med den øvre svitsjporten siden medlemskapet i VLAN1 er gitt. Sammenlignet med et tagget medlemskap, avgjør det utaggede medlemskapet om VLAN sendes ut med en tagg, merket med VID=1 (tagget medlem) eller uten noen VLAN-tag (uttagget medlem). I dette tilfellet, siden den øvre porten er utaggede, vil det ikke bli lagt til noen tagg. Gatewayen kan deretter svare på denne innkommende pakken og sende den tilbake - også utaggede, siden gatewayen ennå ikke har VLAN-bevissthet konfigurert. Igjen vil PVID1, denne gangen på den øvre svitsjporten, tildele rammen til "VLAN1-lane", og tillate kommunikasjon igjen, nå til den nedre svitsjporten på grunn av delt VLAN-medlemskap. Igjen vil ingen tagg bli lagt til på grunn av det utaggede medlemskapet, noe som gjør rammen akseptabel for PC-en, som ikke kan lese ut noen VLAN-tag-informasjon. Gjennom denne prosessen etableres kommunikasjon mellom gateway og klientenhet.
4. Ettertanker og nyttige lenker
Å forstå dette grunnleggende prinsippet for VLAN er et avgjørende steg for å ta riktige valg ved oppsett av VLAN. Selvfølgelig kan vi bare skrape i overflaten av dette emnet, men forhåpentligvis gir dette deg et godt utgangspunkt for faktisk å forstå VLAN og vite forskjellen mellom PVID og VLAN-medlemskap.
Nedenfor finner du noen artikler som omhandler oppsett av VLAN på en rekke forskjellige utstyr fra vår portefølje:
VLANs - Tagged VLANs vs PVID (Eksempel på oppsett av utaggede/taggede VLAN)
Hvordan konfigurere VLAN på en USG-enhet
Kommentarer
0 kommentarerLogg på hvis du vil legge inn en kommentar.