VLAN är ett ämne där du i princip inte har råd att göra fel eller rätt när du konfigurerar det. Därför är det mycket viktigt att förstå hur VLAN fungerar på den allra grundläggande nivån. Den här artikeln går kanske inte på djupet i VLAN:s kärnprinciper men ger dig en ganska bra inblick i vad VLAN är, hur de fungerar och hur man ställer in dem.
1. Vad är ett VLAN?
VLAN står för Virtual Local Area Network och är, enkelt uttryckt, ett mycket vanligt sätt att separera nätverk på switchar. Vanligtvis, om du vill separera nätverk, skulle du behöva bygga upp olika nätverkssegment fysiskt (det vill säga ett helt nätverk för anställda, ett för gäster osv.) och köra dem parallellt. Med VLAN kan du använda samma nätverksinfrastruktur för att bära flera nätverk samtidigt. Det möjliggör skapandet av virtuella nätverk ovanpå de faktiska fysiska nätverksenheterna.
För att ge en liknelse: medan subnät är ett sätt att separera nätverk inom routrar eller så kallade "Layer-3-enheter", i princip IP-baserade enheter, gör VLAN något väldigt liknande för Layer-2-enheter i MAC-baserade nätverk.
Reglerna och standarderna för VLAN-implementering klassificeras av IEEE-organisationen inom standarden IEEE 802.1q.
2. Så, hur fungerar ett VLAN egentligen?
Ett VLAN fungerar, förenklat, via taggar. En tagg består av några extra bytes som läggs till varje dataframe och som innehåller information såsom VLAN-medlemskap:
Den viktigaste delen, och den vi främst kommer att fokusera på, är VID, VLAN ID. Detta nummer från 1-4096 är helt enkelt en markör för "vilket VLAN ramen tillhör".
Taggning är ett mycket effektivt sätt att kontrollera vilken ram som tillhör vilket VLAN.
För att förstå hur VLAN fungerar i praktiken, föreställ dig att du skapar en datatrafikfil när du sätter upp ett VLAN inom en switch. Varje fil är separerad, körs parallellt och är kopplad till olika portar som är tilldelade den filen. "Tilldelningen till filen" är vårt VLAN-medlemskap. Hur man ställer in detta beskrivs i många olika artiklar som är länkade längst ner i denna artikel. Men här är en grafisk representation av det:
Du kan se filerna som löper genom switcharna och sedan går till vilken port på switchen som helst som sedan tilldelats respektive medlemskap. Så när en ram har kommit in i switchen på ett specifikt VLAN kan den kommunicera med vilken port som helst som har medlemskap i nämnda VLAN. Men, hur blir en ram antingen tilldelad VLAN10, 20 eller 30?
3. Inkommande trafik på VLAN
Definitionen av vilket VLAN en inkommande ram tilldelas baseras på om den inkommande ramen redan har en VLAN-tagg tilldelad av sin käll-enhet. Om det finns en VLAN-tagg tilldelad ramen läses VID-innehållet av. Om VID matchar numret för den taggade medlemskapen på en switchport, tillåts den "på filen". Men ännu mer intressant är att ta reda på vad som händer med helt otaggade Ethernet-ramar. Här kommer den så kallade PVID (Port-Based VLAN ID) in i bilden. PVID ansvarar för att välja rätt fil att placera ramar på som är inkommande och otaggade – PVID kommer endast att användas på ramar som uppfyller dessa två kriterier. En port tilldelad med PVID 1 kommer att tilldela otaggad, inkommande trafik till VLAN1 för att trycka trafiken "på fil #1".
Som standard är alla nätverksenheters portar och switchar inställda med PVID1 och ett (otaggat) medlemskap i VLAN1. Detta betyder att om du kopplar en dator till en switch utan någon konfiguration från din sida, som i sin tur går till en gateway, så kan enheterna omedelbart kommunicera med varandra tack vare förutsättningen att PVID1 och otaggat medlemskap finns i VLAN1, eftersom förutsättningen placerade dem inom samma nätverk.
Låt oss titta på en annan visualisering:
Detta kan vid första anblick se mer kaotiskt ut än det är: i princip delar båda portarna som är kopplade till PC och Gateway det förvalda VLAN-medlemskapet VLAN1 (otaggat medlemskap -> detta kommer att förklaras närmare snart) och PVID1.
Om PC:n skickar trafik till gatewayen kommer PVID1 på den nedre switchporten att tilldela trafiken till "filen" för VLAN1, vilket gör det möjligt att kommunicera med den övre switchporten eftersom medlemskapet i VLAN1 finns. Jämfört med ett taggat medlemskap avgör det otaggade medlemskapet om VLAN skickas ut med en tagg, märkt med VID=1 (taggad medlem) eller utan någon VLAN-tagg (otaggad medlem). I detta fall, eftersom den övre porten är otaggad, kommer ingen tagg att läggas till. Gatewayen kan sedan svara på detta inkommande paket och skicka tillbaka det – också otaggat, eftersom gatewayen ännu inte har någon VLAN-medvetenhet konfigurerad. Återigen kommer PVID1, denna gång på den övre switchporten, att tilldela ramen till "VLAN1-filen", vilket återigen möjliggör kommunikation, nu till den nedre switchporten tack vare delat VLAN-medlemskap. Återigen kommer ingen tagg att läggas till på grund av det otaggade medlemskapet, vilket gör ramen accepterad för PC:n som inte kan läsa ut någon VLAN-tagginformation. Genom denna process etableras kommunikation mellan gateway och klientenhet.
4. Avslutande tankar och användbara länkar
Att förstå denna grundläggande princip för VLAN är ett avgörande steg för att göra rätt val vid konfiguration av VLAN. Självklart kan vi bara skrapa på ytan av detta ämne, men förhoppningsvis ger detta dig en bra startpunkt för att faktiskt förstå VLAN och känna skillnaden mellan PVID och VLAN-medlemskap.
Nedan hittar du några artiklar som handlar om att ställa in VLAN på en mängd olika utrustningar från vårt sortiment:
VLANs - Taggade VLAN vs PVID (Exempel på konfiguration av otaggat/taggat VLAN)
Hur man konfigurerar VLAN på en USG-enhet
Kommentarer
0 kommentarerlogga in för att lämna en kommentar.