VLAN-y to temat, przy którym nie można pozwolić sobie na błędy podczas konfiguracji. Dlatego bardzo ważne jest, aby zrozumieć, jak VLAN-y działają na najniższym poziomie. Ten artykuł nie zagłębia się w podstawy VLAN-ów, ale daje całkiem dobre wyobrażenie o tym, czym są VLAN-y, jak działają i jak je skonfigurować.
1. Czym jest VLAN?
VLAN to skrót od Virtual Local Area Network i jest, mówiąc prosto, bardzo powszechnym sposobem na oddzielenie sieci na przełącznikach. Zwykle, jeśli chcemy oddzielić sieci, musielibyśmy fizycznie zbudować różne segmenty sieci (np. jedną sieć dla pracowników, drugą dla gości itp.) i prowadzić je równolegle. Dzięki VLAN-om można użyć tej samej infrastruktury sieciowej do przenoszenia wielu sieci jednocześnie. Pozwala to na tworzenie wirtualnych sieci nad rzeczywistymi fizycznymi urządzeniami sieciowymi.
Posłużmy się analogią: podczas gdy podsieci służą do oddzielania sieci w routerach lub tzw. „urządzeniach warstwy 3”, czyli urządzeniach opartych na IP, VLAN-y robią bardzo podobną rzecz w urządzeniach warstwy 2, w sieciach opartych na adresach MAC.
Zasady i standardy wdrażania VLAN-ów są sklasyfikowane przez organizację IEEE w standardzie IEEE 802.1q.
2. Jak właściwie działa VLAN?
VLAN, w uproszczeniu, działa za pomocą tagów. Tag to kilka dodatkowych bajtów dołączonych do dowolnej ramki danych, które zawierają informacje takie jak przynależność do VLAN-u:
Najważniejszą częścią, na której się skupimy, jest VID, czyli identyfikator VLAN. Ta liczba od 1 do 4096 to po prostu znacznik określający, do którego VLAN-u należy ramka.
Tagowanie to bardzo efektywny sposób kontroli, która ramka należy do którego VLAN-u.
Aby zrozumieć, jak VLAN-y działają w praktyce, wyobraź sobie tworzenie toru ruchu danych podczas konfiguracji VLAN-u na przełączniku. Każdy tor jest oddzielny, działa równolegle i jest połączony z różnymi portami przypisanymi do tego toru. „Przypisanie do toru” to nasza przynależność do VLAN-u. Jak to ustawić, opisano w wielu różnych artykułach podlinkowanych na końcu tego artykułu. Oto graficzna reprezentacja:
Widać tory przechodzące przez przełączniki, a następnie trafiające do portów, które mają odpowiednią przynależność. Gdy ramka wejdzie na przełącznik w konkretnym VLAN-ie, może komunikować się z dowolnym portem, który ma członkostwo w tym VLAN-ie. Ale jak ramka staje się przypisana do VLAN10, 20 lub 30?
3. Ruch przychodzący na VLAN-ach
Decyzja, do którego VLAN-u zostanie przypisana przychodząca ramka, zależy od tego, czy ramka ma już przypisany tag VLAN przez urządzenie źródłowe. Jeśli ramka ma tag VLAN, odczytywana jest zawartość VID. Jeśli VID odpowiada numerowi członkostwa przypisanemu do portu przełącznika, ramka zostanie dopuszczona „na tor”. Ale znacznie ciekawsze jest, co dzieje się z całkowicie nietagowanymi ramkami Ethernet. Tutaj wchodzi w grę tzw. PVID (Port-Based VLAN ID). PVID odpowiada za wybór właściwego toru dla ramek, które są przychodzące i nietagowane – PVID działa tylko na ramkach, które spełniają te dwa kryteria. Port przypisany do PVID 1 przypisze nietagowany ruch przychodzący do VLAN1, aby „wprowadzić ruch na tor #1”.
Domyślnie wszystkie porty urządzeń sieciowych i przełączników mają ustawiony PVID1 oraz (nietagowane członkostwo w VLAN1). Oznacza to, że domyślnie, jeśli podłączysz komputer do przełącznika bez żadnej konfiguracji, który z kolei jest podłączony do bramy sieciowej, dzięki ustawieniom PVID1 i nietagowanemu członkostwu w VLAN1 urządzenia mogą się od razu komunikować, ponieważ zostały umieszczone w tej samej sieci.
Spójrzmy jeszcze raz na wizualizację:
Na pierwszy rzut oka może się to wydawać bardziej chaotyczne niż jest w rzeczywistości: oba porty podłączone do komputera i bramy dzielą domyślne członkostwo w VLAN1 (członkostwo nietagowane – o tym za chwilę) oraz PVID1.
Jeśli komputer wysyła ruch do bramy, PVID1 portu dolnego przełącznika przypisze ruch do „toru” VLAN1, co pozwoli na komunikację z portem górnego przełącznika, ponieważ członkostwo w VLAN1 jest wspólne. W porównaniu do tagowanego członkostwa, nietagowane decyduje, czy VLAN jest wysyłany z tagiem oznaczonym VID=1 (członek tagowany) lub bez tagu VLAN (członek nietagowany). W tym przypadku, ponieważ port górny jest nietagowany, tag nie zostanie dodany. Brama może wtedy odpowiedzieć na przychodzący pakiet i odesłać go – również nietagowany, ponieważ brama nie ma jeszcze skonfigurowanej świadomości VLAN. Ponownie, PVID1, tym razem na górnym porcie przełącznika, przypisze ramkę do „toru VLAN1”, ponownie umożliwiając komunikację, tym razem z portem dolnym, dzięki wspólnemu członkostwu w VLAN. Znów nie zostanie dodany tag z powodu nietagowanego członkostwa, co sprawia, że ramka jest akceptowalna dla komputera, który nie potrafi odczytać informacji o tagu VLAN. Dzięki temu procesowi ustanawiana jest komunikacja między bramą a urządzeniem klienckim.
4. Podsumowanie i przydatne linki
Zrozumienie tego podstawowego mechanizmu VLAN jest kluczowym krokiem do podejmowania właściwych decyzji przy konfiguracji VLAN-ów. Oczywiście, poruszamy tu tylko powierzchnię tematu, ale mamy nadzieję, że da to dobry punkt wyjścia do faktycznego zrozumienia VLAN-ów oraz różnicy między PVID a członkostwem w VLAN.
Poniżej znajdziesz kilka artykułów dotyczących konfiguracji VLAN-ów na różnych urządzeniach z naszego portfolio:
VLAN-y – Tagowane VLAN-y vs PVID (Przykład konfiguracji VLAN nietagowanego/tagowanego)
Jak skonfigurować VLAN na urządzeniu USG
Komentarze
Komentarze: 0Zaloguj się, aby dodać komentarz.