VLAN sú témou, pri ktorej si v podstate nemôžete dovoliť žiadnu chybu pri ich nastavovaní. Preto je veľmi dôležité pochopiť, ako VLAN fungujú na najzákladnejšej úrovni. Tento článok možno neponorí do jadra VLAN, ale poskytne vám celkom dobrý prehľad o tom, čo VLAN sú, ako fungujú a ako ich nastaviť.
1. Čo je VLAN?
VLAN znamená Virtual Local Area Network a je to, zjednodušene povedané, veľmi bežný spôsob, ako oddeliť siete na prepínačoch. Zvyčajne, ak chcete oddeliť siete, museli by ste fyzicky vybudovať rôzne sieťové segmenty (to znamená jednu celú sieť pre zamestnancov, jednu pre hostí atď.) a prevádzkovať ich paralelne. Pomocou VLAN môžete použiť rovnakú sieťovú infraštruktúru na prenášanie viacerých sietí súčasne. Umožňuje vytváranie virtuálnych sietí nad skutočnými fyzickými sieťovými zariadeniami.
Aby sme si to priblížili na príklade: zatiaľ čo podsiete sú spôsobom, ako oddeliť siete v rámci routerov alebo tzv. „Layer-3-zariadení“, teda zariadení založených na IP, VLAN vykonávajú veľmi podobnú funkciu na zariadeniach Layer-2 v sieťach založených na MAC adresách.
Pravidlá a štandardy implementácie VLAN sú klasifikované organizáciou IEEE v štandarde IEEE 802.1q.
2. Ako teda VLAN naozaj funguje?
VLAN, zjednodušene, funguje cez tagy. Tag pozostáva z niekoľkých ďalších bajtov pripojených k dátovému rámci, ktoré obsahujú informácie ako napríklad členstvo vo VLAN:
Najdôležitejšou časťou, na ktorú sa hlavne zameriame, je VID, teda VLAN ID. Toto číslo od 1 do 4096 jednoducho označuje, do ktorej VLAN rámec patrí.
Tagovanie je veľmi efektívny spôsob, ako kontrolovať, ktorý rámec patrí do ktorej VLAN.
Aby sme pochopili, ako VLAN fungujú v praxi, predstavte si vytvorenie dátového pruhu, keď nastavujete VLAN v prepínači. Každý pruh je oddelený, beží paralelne a je pripojený k rôznym portom priradeným k danému pruhu. „Priradenie k pruhu“ je naše členstvo vo VLAN. Ako toto nastaviť, je popísané v mnohých rôznych článkoch uvedených na samom konci tohto článku. Tu je však grafická reprezentácia:
Vidíte pruhy prechádzajúce cez prepínače a potom vedúce k portom prepínača, ktoré sú priradené príslušnému členstvu. Keď rámec vstúpi do prepínača na konkrétnej VLAN, môže komunikovať s ktorýmkoľvek portom, ktorý má členstvo v danej VLAN. Ale ako sa rámec stane rámcom priradeným k VLAN10, 20 alebo 30?
3. Prichádzajúca prevádzka na VLAN
Definícia, do ktorej VLAN je prichádzajúci rámec priradený, závisí od toho, či už rámec od zdrojového zariadenia obsahuje VLAN tag. Ak je na rámci VLAN tag, číta sa obsah VID. Ak číslo VID zodpovedá označeniu členstva portu prepínača, rámec bude povolený „na pruhu“. Omnoho zaujímavejšie je však zistiť, čo sa deje s úplne netagovanými ethernetovými rámcami. Tu prichádza do hry tzv. PVID (Port-Based VLAN ID). PVID je zodpovedný za výber správneho pruhu, na ktorý sa umiestnia rámce, ktoré sú prichádzajúce a netagované - PVID sa uplatňuje iba na rámce, ktoré spĺňajú tieto dve kritériá. Port priradený k PVID 1 priradí netagovanú prichádzajúcu prevádzku do VLAN1, čím „posunie prevádzku na pruh č. 1“.
Predvolene sú všetky porty sieťových zariadení a prepínačov nastavené s PVID1 a s (netagovaným) členstvom vo VLAN1. To znamená, že ak pripojíte počítač k prepínaču bez akejkoľvek konfigurácie, ktorý je následne pripojený k bráne, vďaka prednastaveniu PVID1 a netagovanému členstvu vo VLAN1 môžu zariadenia okamžite komunikovať, pretože ich prednastavenie umiestnilo do rovnakej siete.
Pozrime sa ešte raz na ďalšiu vizualizáciu:
Na prvý pohľad to môže vyzerať chaoticky: v podstate oba porty pripojené k PC a bráne zdieľajú predvolené členstvo vo VLAN1 (netagované členstvo -> o tom bude čoskoro podrobnejšie) a PVID1.
Ak PC odošle prevádzku na bránu, PVID1 dolného portu prepínača priradí prevádzku k „pruhu“ pre VLAN1, čo umožní komunikáciu s horným portom prepínača, pretože členstvo vo VLAN1 je dané. V porovnaní s tagovaným členstvom rozhoduje netagované členstvo, či sa VLAN odošle s tagom označeným VID=1 (tagovaný člen) alebo bez akéhokoľvek VLAN tagu (netagovaný člen). V tomto prípade, keďže horný port je netagovaný, nebude pridaný žiadny tag. Brána môže potom odpovedať na tento prichádzajúci paket a poslať ho späť – tiež netagovaný, pretože brána ešte nemá nakonfigurovanú VLAN-vedomosť. Opäť PVID1, tentoraz na hornom porte prepínača, priradí rámec k „pruhu VLAN1“, čo opäť umožní komunikáciu, tentokrát s dolným portom prepínača vďaka spoločnému členstvu vo VLAN. Opäť nebude pridaný žiadny tag kvôli netagovanému členstvu, takže rámec bude akceptovateľný pre PC, ktoré nemôže čítať informácie o VLAN tagu. Týmto procesom sa nadviaže komunikácia medzi bránou a klientskym zariadením.
4. Záver a užitočné odkazy
Pochopenie tohto základného princípu VLAN je kľúčovým krokom k správnym rozhodnutiam pri nastavovaní VLAN. Samozrejme, môžeme len naznačiť povrch tejto témy, ale dúfame, že vám to poskytne dobrý východiskový bod na skutočné pochopenie VLAN a poznanie rozdielu medzi PVID a členstvom vo VLAN.
Nižšie nájdete niekoľko článkov týkajúcich sa nastavovania VLAN na rôznorodom zariadení z nášho portfólia:
VLANs - Tagged VLANs vs PVID (Príklad nastavenia netagovanej/tagovanej VLAN)
Príspevky
0 komentárovAk chcete napísať komentár, prihlásiť sa.