Wprowadzenie

Istotną cechą przełączania w sieciach Ethernet jest możliwość tworzenia wirtualnych sieci LAN. Sieć VLAN jest logiczną grupą stacji i urządzeń sieciowych. Sieci VLAN można tworzyć na podstawie stanowisk lub departamentów w firmie, niezależnie od miejsca, w którym fizycznie znajdują się użytkownicy. Ruch między sieciami VLAN jest ograniczony. Przełączniki i mosty przekazują ruch transmisji pojedynczej (unicast), rozsyłania grupowego oraz rozgłaszania tylko w tych segmentach LAN, które obsługują sieć VLAN, do której ruch ten należy. Innymi słowy, urządzenia w sieci VLAN komunikują się tylko z urządzeniami znajdującymi się w tej samej sieci VLAN. Połączenie między sieciami VLAN zapewniają routery.

Sieci VLAN zwiększają ogólną wydajność sieci poprzez logiczne grupowanie użytkowników i zasobów. Firmy często używają sieci VLAN w celu logicznego grupowania określonych użytkowników niezależnie od ich fizycznego rozmieszczenia. Za pomocą sieci VLAN można pogrupować użytkowników pracujących w jednym departamencie. Na przykład pracownicy działu Marketingu są umieszczani w sieci VLAN Marketing, a pracownicy działu Technologii — w sieci VLAN Technologia.

Sieci VLAN mogą zwiększyć skalowalność i bezpieczeństwo sieci oraz usprawnić zarządzanie nią. Routery w sieciach VLAN filtrują ruch rozgłoszeniowy, zapewniają bezpieczeństwo i służą do zarządzania przepływem.

Właściwie zaprojektowane i skonfigurowane sieci VLAN stanowią bogate w możliwości narzędzie dla administratorów sieci. Sieci VLAN upraszczają dodawanie, przenoszenie i modyfikacje w sieciach. Zwiększają także bezpieczeństwo sieci i pomagają sterować rozgłaszaniem w warstwie 3. Jednakże niepoprawnie skonfigurowana sieć VLAN może zaburzyć funkcjonowanie sieci lub całkowicie je uniemożliwić. Prawidłowa konfiguracja i implementacja sieci VLAN jest kluczowym elementem procesu projektowania sieci.

Firma Cisco czyni starania w celu zapewnienia współdziałania urządzeń od różnych dostawców, ale w sieciach LAN można spotkać różne topologie i konfiguracje urządzeń. Każdy dostawca udostępnia własny produkt dla sieci VLAN. Produkt ten może nie być w pełni zgodny z innymi z uwagi na różnice w usługach realizowanych w sieciach VLAN.

Wprowadzenie do sieci VLAN

Sieć VLAN jest logiczną grupą stacji, usług i urządzeń sieciowych, które nie są ograniczone fizycznym segmentem sieci LAN.

Sieci VLAN usprawniają administrowanie logicznymi grupami stacji i serwerów, które mogą komunikować się ze sobą tak, jakby były w jednym segmencie sieci LAN. Ułatwiają także administrowanie przenoszeniem, dodawaniem i modyfikacją elementów tych grup.

Sieci VLAN dzielą sieci przełączane na segmenty logiczne w oparciu o pełnione funkcje, departamenty lub zespoły projektowe niezależnie od fizycznego rozmieszczenia użytkowników lub fizycznych podłączeń do sieci. Wszystkie stacje robocze i serwery używane przez konkretną grupę roboczą korzystają z tej samej sieci VLAN, niezależnie od fizycznego połączenia lub położenia.

Konfigurowanie sieci VLAN odbywa się na drodze programowej. Dlatego nie wymaga ono fizycznego przenoszenia lub podłączania sprzętu sieciowego.

Stacja robocza w grupie VLAN może komunikować się tylko z serwerami plików, które znajdują się w tej samej grupie VLAN. Sieci VLAN logicznie dzielą sieć na wiele domen rozgłoszeniowych, dlatego pakiety są przesyłane tylko między portami przypisanymi do danej sieci VLAN. Sieci te składają się z hostów lub urządzeń sieciowych połączonych jedną domeną mostowania. Domena mostowania jest obsługiwana przez różne urządzenia sieciowe. Przełączniki LAN używają protokołów mostowania, stosując oddzielną grupę mostowania dla każdej sieci VLAN.

Sieci VLAN są tworzone w celu zapewnienia usług segmentacji, które zazwyczaj były dostarczane przez fizyczne routery w sieciach LAN. Sieci VLAN zwiększają skalowalność i bezpieczeństwo sieci oraz usprawniają zarządzanie nią. Routery w sieciach VLAN filtrują ruch rozgłoszeniowy, zapewniają bezpieczeństwo i służą do zarządzania przepływem. Przełączniki nie przesyłają żadnego ruchu między sieciami VLAN, gdyż spowodowałoby to naruszenie integralności domeny rozgłoszeniowej VLAN. Między sieciami VLAN ruch powinien być wyłącznie routowany.

Domeny rozgłoszeniowe a sieci VLAN i routery

Sieć VLAN jest domeną rozgłoszeniową utworzoną przez jeden lub więcej przełączników. Na rysunku poniżej przedstawiono, jak trzy oddzielne przełączniki zostały użyte do utworzenia trzech oddzielnych domen rozgłoszeniowych. Routing odbywający się w warstwie 3 umożliwia routerowi przesyłanie pakietów do trzech oddzielnych domen rozgłoszeniowych.

Na rysunku poniżej przedstawiono sieć VLAN z jednym routerem i jednym przełącznikiem. W tym przypadku istnieją trzy oddzielne domeny rozgłoszeniowe. Router przekierowuje ruch między sieciami VLAN za pomocą routingu warstwy 3. Przełącznik na rysunku przesyła ramki do interfejsów routera, jeśli spełniony jest jeden z następujących warunków:

• jest to ramka rozgłoszeniowa;

• jest ona na trasie do jednego z adresów MAC routera.

Jeśli Stacja robocza 1 w sieci VLAN Technologia zamierza wysyłać ramki do Stacji roboczej 2 w sieci VLAN Sprzedaż, ramki są wysyłane na adres MAC Fa0/0 w routerze. Routing odbywa się przez adres IP interfejsu Fa0/0 routera dla sieci VLAN Technologia.

Jeśli Stacja robocza 1 w sieci VLAN Technologia zechce wysłać ramkę do Stacji roboczej 2 w tej samej sieci, docelowym adresem MAC dla ramki jest adres Stacji roboczej 2.

Implementacja sieci VLAN w przełączniku powoduje następujące działania:

• W przełączniku dla każdej sieci VLAN jest prowadzona odrębna tablica mostowania.

• Jeśli ramka wchodzi przez port w sieci VLAN 1, przełącznik wykonuje wyszukiwanie w tablicy mostowania dla tej sieci.

• Jeśli adres źródłowy jest obecnie nieznany, to po odebraniu ramki przełącznik dodaje go do tablicy mostowania.

• Sprawdzany jest adres odbiorcy w celu podjęcia decyzji o przesyłaniu.

• Dla celów zapamiętywania wykonywane jest wyszukiwanie w tablicy adresów tylko dla tej sieci VLAN.

Działanie sieci VLAN

Sieć VLAN jest oparta na sieci przełączanej, która została logicznie posegmentowana. Do sieci VLAN można przypisać każdy z portów przełącznika. Porty przypisane do sieci VLAN odbierają i przekazują te same pakiety rozgłoszeniowe. Porty, które nie należą do tej sieci, nie przekazują tych pakietów. Zwiększa to wydajność sieci, ponieważ zmniejsza się ilość zbędnych pakietów rozgłoszeniowych. Sieci VLAN o członkostwie statycznym noszą nazwę sieci członkowskich VLAN opartych na portach (ang. port-centric). W momencie, gdy urządzenie jest dołączane do sieci, automatycznie przyjmuje ono członkostwo w sieci VLAN tego portu, do którego zostało podłączone.

Użytkownicy przyłączeni do tego samego współużytkowanego segmentu wspólnie korzystają z przepustowości tego segmentu. Każdy dodatkowy użytkownik przyłączony do wspólnego nośnika oznacza mniejszą przepustowość i spadek wydajności sieci. Sieci VLAN zapewniają użytkownikom większą przepustowość niż współużytkowane sieci Ethernet oparte na koncentratorach. Domyślną siecią VLAN dla każdego portu przełącznika jest sieć VLAN zarządzania. Siecią VLAN zarządzania jest zawsze sieć VLAN 1. Sieci tej nie można usunąć. Aby móc zarządzać przełącznikiem, do sieci VLAN 1 musi być przypisany co najmniej jeden port. Wszystkie inne porty przełącznika mogą być przypisane do innych sieci VLAN.

Sieci VLAN z członkostwem dynamicznym są tworzone przez oprogramowanie zarządzające siecią. Do tworzenia dynamicznych sieci VLAN służy oprogramowanie CiscoWorks 2000 lub CiscoWorks for Switched Internetworks. Dynamiczne sieci VLAN przyjmują członkostwo na podstawie adresu MAC urządzenia podłączonego do portu przełącznika. W momencie, gdy urządzenie jest podłączane do sieci, przełącznik, do którego jest ono podłączone, odpytuje bazę danych serwera konfiguracyjnego VLAN o członkostwo w sieci.

W członkostwie opartym na portach port jest przypisywany do konkretnej sieci VLAN niezależnie od użytkownika lub systemu podłączonego do portu. Gdy używana jest ta metoda członkostwa, wszyscy użytkownicy danego portu muszą być w tej samej sieci VLAN. Do portu może być podłączona dowolna liczba użytkowników, którzy nie zdają sobie sprawy, że sieć VLAN istnieje. Ułatwia to zarządzanie, ponieważ do segmentacji sieci VLAN nie są potrzebne złożone tablice wyszukiwania.

Administratorzy sieci odpowiadają zarówno za statyczną, jak i dynamiczną konfigurację sieci VLAN.

Mosty filtrują ruch, który nie musi być przesyłany do segmentów innych niż segment docelowy. Jeśli ramka musi przejść przez most, a adres MAC odbiorcy jest znany, działanie mostu ogranicza się do przekazania ramki do właściwego portu. Jeśli adres MAC jest nieznany, ramka jest przekazywana do wszystkich portów w domenie rozgłoszeniowej (czyli w sieci VLAN) z wyjątkiem portu, na którym ramka została odebrana. Przełączniki są traktowane jak wieloportowe mosty.

Zalety sieci VLAN

Sieci VLAN umożliwiają administratorom sieci logiczne, zamiast fizycznego, organizowanie struktury sieci LAN. Jest to kluczowa zaleta tych sieci. Dzięki temu administratorzy mogą wykonywać następujące zadania:

• łatwo przenosić stacje robocze w sieci LAN;

• łatwo dodawać stacje robocze do sieci LAN;

• łatwo zmieniać konfigurację sieci LAN;

• łatwo nadzorować ruch w sieci;

• zwiększyć bezpieczeństwo.

Rodzaje sieci VLAN

Poniżej opisano trzy podstawowe rodzaje członkostwa w sieciach VLAN, które służą do określenia sposobu przypisywania pakietów oraz sterowania tym procesem:

• sieci VLAN oparte na portach;

• sieci VLAN oparte na adresach MAC;

• sieci VLAN oparte na protokołach.

Liczba sieci VLAN w przełączniku zależy od kilku czynników:

• charakterystyki ruchu;

• rodzajów aplikacji;

• potrzeb związanych z zarządzaniem siecią;

• cech wspólnych dla grupy.

Schemat adresowania IP jest kolejnym istotnym czynnikiem określającym liczbę sieci VLAN w przełączniku.

Na przykład w sieci, w której do zdefiniowania podsieci wykorzystuje się 24-bitową maskę, dozwolone są 254 adresy hostów w jednej podsieci. Ponieważ między sieciami VLAN a podsieciami IP zdecydowanie zalecana jest zależność jeden do jednego, w dowolnej sieci VLAN nie może być więcej niż 254 urządzenia. Zaleca się także, aby sieci VLAN nie wykraczały poza domenę warstwy 2 przełącznika dystrybucyjnego.

Istnieją dwie główne metody znakowania ramek, ISL (ang. Inter-Switch Link) i 802.1Q. ISL jest protokołem opracowanym przez firmę Cisco, niegdyś bardzo popularnym, a obecnie zastępowanym znakowaniem ramek zgodnym ze standardem IEEE 802.1Q.

W miarę, jak pakiety są odbierane przez przełącznik z dowolnego urządzenia końcowego, do każdego nagłówka jest dodawany unikalny identyfikator pakietu. Informacje te określają członkostwo każdego pakietu w konkretnej sieci VLAN. Następnie pakiet jest przekazywany do odpowiednich przełączników lub routerów, w zależności od identyfikatora VLAN i adresu MAC. Po dotarciu pakietu do węzła docelowego identyfikator sieci VLAN jest usuwany przez sąsiadujący przełącznik i przekazywany do podłączonego urządzenia. Znakowanie pakietów zapewnia mechanizm kontroli przepływu pakietów rozgłoszeniowych oraz aplikacji, jednocześnie nie zakłócając pracy sieci i aplikacji. Emulacja sieci LAN (LANE) umożliwia symulowanie sieci Ethernet w sieciach ATM (ang. Asynchronous Transfer Mode). W sieciach LANE znakowanie nie jest stosowane, a rolę identyfikatorów sieci VLAN pełnią połączenia wirtualne.

Rodzaje sieci VLAN
Oparte na portach
Adres MAC
oparte na protokołach

Znakowanie	Metoda	Medium	Opis
ISL (ang. Inter-Switch Link)	Fast Ethernet	Nagłówek ISL enkapsuluje ramkę LAN. Zawiera on pole identyfikatowa sieci VLAN.	Ramk jest dłuższa
802.1Q	Fast Ethernet	Protokół sieci VLAN Ethernet zdefiniowany przez IEEE.	Ngłówek jest zmieniony.
LANE (ang. LAN Emulation)	ATM	Brak znakowania	POłączenie wirtualne zakłada obecność identyfikatora sieci VLAN.

Podstawowe informacje o sieciach VLAN

W środowisku sieci przełączanych stacja odbiera tylko ruch dla niej przeznaczony. Ponieważ przełączniki filtrują ruch w sieci, stacje robocze w środowisku sieci przełączanych wysyłają i odbierają dane z pełną, dedykowaną przepustowością. W przeciwieństwie do systemu ze współużytkowanym koncentratorem, w którym w danym momencie tylko jedna stacja może wysyłać dane, sieć przełączana zezwala na wiele współbieżnych transmisji w ramach domeny rozgłoszeniowej. Proces ten nie wpływa bezpośrednio na inne stacje znajdujące się wewnątrz lub na zewnątrz domeny rozgłoszeniowej.

Do każdej sieci VLAN musi być przypisany unikalny adres podsieci warstwy 3.

Sieci VLAN mogą istnieć jako sieci typu end-to-end lub w ograniczonym obszarze geograficznym.

Sieć VLAN typu end-to-end ma następujące cechy:

• członkostwo użytkowników w sieci VLAN zależy od departamentu lub stanowiska, niezależnie od rozmieszczenia użytkowników;

• wszyscy użytkownicy w sieci VLAN muszą mieć taką samą charakterystykę przepływu 80/20;

• członkostwo w sieci VLAN nie powinno się zmieniać przy przenoszeniu się użytkowników w obrębie kampusu;

• każda sieć VLAN ma jeden zestaw wymagań dotyczących ochrony odnośnie wszystkich członków.

Porty przełącznika są dostarczane każdemu z użytkowników w warstwie dostępowej. Ponieważ użytkownicy przemieszczają się, każdy przełącznik w końcu zostanie członkiem wszystkich sieci VLAN. Do przesyłania informacji z wielu sieci VLAN między przełącznikami warstwy dostępowej a przełącznikami warstwy dystrybucyjnej służy znakowanie ramek.

Opracowany przez firmę Cisco protokół ISL przechowuje informacje o sieci VLAN w miarę, jak ruch przepływa między przełącznikami i routerami. IEEE 802.1Q jest opartym na otwartych standardach (IEEE) mechanizmem znakowania w sieci VLAN stosowanym w instalacjach z przełącznikami. Przełączniki Catalyst 2950 nie obsługują zestawiania łączy trunkingowych ISL.

Serwery grup roboczych działają w oparciu o model klient-serwer. Z tego powodu użytkownicy są przypisywani do tej samej sieci VLAN, co serwer, którego używają, w celu zwiększenia wydajności przełączania w warstwie 2 oraz zapewnienia lokalności ruchu.