Sieci VLAN

Przełącznik sieci Ethernet fizycznie rozdziela sieć lokalną na osobne domeny kolizji. Jednak każdy segment pozostaje wciąż częścią tej samej domeny rozgłoszeniowej. Suma segmentów w przełączniku równa się jednej domenie rozgłoszeniowej. Oznacza to, że wszystkie węzły we wszystkich segmentach widzą transmisje rozgłaszane z węzła jednego segmentu.

Sieć VLAN jest logicznym zgrupowaniem urządzeń sieciowych lub użytkowników, nie ograniczonym do fizycznego segmentu w przełączniku. Urządzenia bądź użytkownicy w sieci VLAN mogą być grupowani według pełnionych funkcji, wydziału, zastosowania, itd., niezależnie od położenia ich fizycznego segmentu. Sieć VLAN tworzy pojedynczą domenę rozgłoszeniową, nie ograniczoną do fizycznego segmentu i traktowaną jak podsieć.

Opis ogólny sieci VLAN

Jak pokazano na rysunku 3.1, sieć VLAN jest logicznym zgrupowaniem urządzeń sie­ciowych lub użytkowników. Urządzenia bądź użytkownicy w sieci VLAN mogą być gru­powani według pełnionych funkcji, wydziału, zastosowania itd., niezależnie od położenia ich fizycznego segmentu. Konfiguracja sieci VLAN dokonywana jest za pośrednictwem oprogramowania na poziomie przełącznika.

Istniejące konfiguracje współdzielonych sieci LAN l

Konfiguracja typowej sieci LAN zależy zazwyczaj od tworzącej ją infrastruktury fi­zycznej. Użytkownicy grupowani są w oparciu o ich położenie względem koncentratora, do którego są podłączeni, a także w zależności od tego, jak poprowadzony jest kabel do szafy z okablowaniem. Router, który łączy każdy współdzielony koncentrator, zapewnia zazwyczaj podział sieci na segmenty i może, w przeciwieństwie do segmentów utworzo­nych przez przełączniki, pełnić w procesie rozgłaszania role ściany ogniowej. Ten rodzaj segmentacji nie grupuje użytkowników w zależności od ich przynależności do danej grupy roboczej czy zapotrzebowania na pasmo. Tak wiec użytkownicy dzielą ten sam segment sieci i rywalizują o dostęp do tego samego pasma, choć wymagania odnośnie pasma mogą być w poszczególnych grupach roboczych i wydziałach bardzo różne.

Rys 3.1. Sieć VLAN jest zgrupowaniem urządzeń sieciowych lub użytkowników nieogra­niczonym do fizycznego segmentu w przełączniku

Segmentacja przy wykorzystaniu architektury przełączników

Sieci LAN są coraz częściej dzielone na grupy robocze, połączone za pośrednictwem wspólnego szkieletu, tworzącego topologie sieci VLAN. Sieci VLAN dokonują logicznej segmentacji fizycznej infrastruktury sieci lokalnej na różne podsieci (lub domeny rozgłoszeniowe w przypadku sieci Ethernet) tak, aby rozgłaszane ramki przełączane były tylko miedzy portami znajdującymi się w ramach tej samej sieci VLAN.

Pierwotne implementacje sieci VLAN oferowały możliwość odwzorowywania portów, co ustanawiało domenę rozgłoszeniową między domyślną grupą urządzeń. Wymagania stawiane obecnie sieciom sprawiają, że konieczna staje się funkcjonalność sieci LAN, obejmująca swym zakresem obszar całej sieci. Takie podejście do sieci VLAN pozawala na grupowanie odległych geograficznie użytkowników w wirtualne topologie, obejmujące całą sieć. Konfiguracje sieci VLAN grupują użytkowników raczej poprzez logiczne przyporządkowanie, nie zaś w oparciu o ich fizyczne położenie.

Większość obecnie zainstalowanych sieci zapewnia bardzo ograniczona segmentację logiczną. Użytkownicy są najczęściej grupowani w oparciu o połączenia ze współdzielonym koncentratorem i o porty routera między koncentratorami. Taka topologia zapewnia segmentację jedynie między koncentratorami znajdującymi się zazwyczaj na osobnych piętrach, nie zaś miedzy użytkownikami podłączonymi do tego samego koncentratora. Nakłada to fizyczne ograniczenia na sieć i na możliwości grupowania użytkowników. Parę architektur wykorzystujących współdzielony koncentrator oferuje pewne opcje grupowa, jednak ograniczają one możliwości konfigurowania logicznie definiowanych grup roboczych.

Rys. 3.2. W ramach sieci stosującej przełączanie sieci VLAN zapewniają elastyczną orga­nizację i podział na segmenty

Sieci VLAN a ograniczenia fizyczne

Dla sieci LAN wykorzystujących urządzenia przełączające technologia VLAN stanowi opłacalne cenowo i wydajne rozwiązanie, pozwalające na grupowanie użytkowników sieci w wirtualne grupy robocze, niezależne od ich fizycznego położenia w sieci. Ważniejsze różnice między LAN a VLAN:

• sieci VLAN działają na poziomie warstwy 2 i warstwy 3 modelu odniesienia OSI

• komunikacja między sieciami VLAN zapewniana jest przez routing warstwy 3

• sieci VLAN dostarczają środków do kontrolowania rozgłaszania

• użytkownicy są przypisywani do sieci VLAN przez administratora sieci

• sieci VLAN mogą zwiększać bezpieczeństwo sieci poprzez ustalanie, które węzły sieci mogą porozumiewać się ze sobą.

Wykorzystując technologie VLAN można grupować porty przełączników i przyłączo­nych do nich użytkowników w logicznie zdefiniowane grupy robocze, takie jak:

• pracownicy tego samego wydziału

• zespół pracujący nad tym samym produktem

• grupa różnych użytkowników, korzystających z tej samej aplikacji sieciowej lub oprogramowania.

Porty te i użytkownicy mogą być przydzielani do grup roboczych w ramach jednego przełącznika lub kilku połączonych przełączników. Jak pokazano na rysunku 3.3, dzięki grupowaniu użytkowników i portów wzdłuż wielu przełączników sieci VLAN mogą obejmować infrastrukturę pojedynczego budynku, wielu połączonych budynków, a nawet sieci rozległe (WAN).

Rys 3.3. Sieci VLAN usuwają fizyczne ograniczenia w komunikacji miedzy grupami roboczymi

Transport VLAN przez szkielet

Dla każdej architektury sieci VLAN ważna jest możliwość przenoszenia informacji ? sieci LAN miedzy połączonymi przełącznikami i routerami pracującymi w ramach szkieletu sieci firmy. Transport VLAN:

• pozwala na zniesienie fizycznych ograniczeń między użytkownikami

• zwiększa dowolność w konfigurowaniu rozwiązania VLAN, gdy użytkownicy zmie­niają miejsce położenia

• dostarcza mechanizmy zapewniające współdziałanie komponentów systemu, tworzą­cych szkielet.

Szkielet działa często jako punkt zbiorczy dla dużego ruchu. Przenosi on także dane ientyfikacyjne i informacje o użytkownikach końcowych sieci VLAN między przełączkami, routerami i bezpośrednio podłączonymi serwerami. Z myślą o przenoszeniu ruchu sieci przedsiębiorstwa w ramach szkieletu stosuje się zazwyczaj łącza o dużej pojemno­ści i szerokim paśmie.

Routery w sieciach VLAN

W sieciach VLAN funkcje routerów są inne niż tradycyjne pełnienie roli ścian ognio­wych, zarządzanie rozgłaszaniem oraz przetwarzanie i dystrybucja tras. Routery pozostają jednak niezbędne w przełączanych architekturach skonfigurowanych jako sieci VLAN, ponieważ zapewniają komunikację między logicznie zdefiniowanymi grupami roboczymi. Routery zapewniają sieciom VLAN dostęp do współdzielonych zasobów, takich jak ser­wery i hosty. Łączą się również z innymi częściami sieci, które są albo logicznie posegmentowane w tradycyjnym znaczeniu tego słowa, albo wymagają dostępu za pośrednic­twem łączy rozległych do zdalnych stanowisk. Komunikacja warstwy 3, bądź to wbudowana w przełącznik bądź dostarczana zewnętrznie, stanowi integralną część dowolnej architek­tury przełączania o dużej wydajności.

Zastosowanie jednego lub większej liczby połączeń szkieletowych o dużej szybkości stanowi korzystne cenowo rozwiązanie, integrujące zewnętrzne routery z architekturą przetaczania. Są to zazwyczaj połączenia FDDI, Fast Ethernet oraz ATM, które dostar­czają korzyści poprzez:

• zwiększanie przepustowości między przełącznikami i routerami

• konsolidację całkowitej liczby fizycznych portów routera wymaganych do komunika­cji między sieciami VLAN.

Architektura VLAN nie tylko zapewnia logiczną segmentację, ale również ogromnie zwiększa wydajność sieci.

Konfiguracja przełączanych sieci

Problemy towarzyszące współdzielonym sieciom LAN oraz pojawienie się na rynku przełączników sprawia, że tradycyjne konfiguracje sieci lokalnych zastępowane są konfigurujące przełączanych sieci VLAN. Konfiguracje przełączanych sieci YLAN różnią się od tradycyjnych konfiguracji LAN:

• Przełączniki znoszą fizyczne ograniczenia nakładane przez architekturę współdzielo­nego koncentratora, ponieważ dokonują logicznego grupowania użytkowników i por­tów w ramach przedsiębiorstwa. Przełączniki zastępują w szafach z okablowaniem koncentratory. Instalacja przełączników przebiega łatwo i przy niewielkich, bądź żad­nych zmianach w okablowaniu.

• Przełączniki można stosować w celu zapewnienia w sieciach VLAN usług segmentacyjnych, tradycyjnie dostarczanych w sieciach LAN przez routery.

Przełączniki są jednym z kluczowych elementów zapewniających komunikację w sie­ciach VLAN. Jak pokazano na rysunku 3.4, pełnią podstawowe dla sieci VLAN funkcje, stanowiąc punkt wejścia do przełączanej struktury dla urządzeń stacji końcowych oraz podstawowe funkcje dla zapewnienia komunikacji w ramach przedsiębiorstwa.

Każdy przełącznik ma zdolność podejmowania decyzji o filtrowaniu i przekazywaniu poszczególnych ramek w oparciu o zdefiniowaną przez osoby zarządzające siecią metrykę sieci VLAN oraz umiejętność zakomunikowania tych decyzji innym przełącznikom i route-rom w sieci.

Najpopularniejsze podejście do logicznego grupowania użytkowników w różne sieci VLAN to filtrowanie ramek oraz ich identyfikacja. Obie te techniki „przyglądają się" ramce, gdy jest ona odbierana lub przekazywana przez przełącznik. W oparciu o zbiór zasad określany przez administratora techniki te ustalają, czy ramkę należy wysłać, przefiltrować, czy też rozgłosić. Omawiane mechanizmy kontrolne mogą być centralnie zarządzanie (za pomo­cą oprogramowania do zarządzania siecią) i są łatwe do zastosowania w sieci.

Rys 3.4. Zastosowanie przełączników pozwala na łączenie użytkowników, portów lub adresów logicznych w grupy zadaniowe

Filtrowanie ramek bada konkretne informacje związane z każdą ramką. Dla każdego przełącznika tworzona jest tabela filtrowania. Zapewnia to administratorowi wysoki poziom kontroli, ponieważ pozwala na badanie wielu atrybutów każdej ramki. W zależności stopnia zaawansowania technicznego danego przełącznika sieci LAN, użytkownicy mogą być grupowani w oparciu o adres MAC (Media Access Control) lub typ protokołu warstwy sieci. Przełącznik porównuje filtrowaną ramkę z wpisami w tablicy filtrowania : na tej podstawie podejmuje odpowiednie działanie.

Na początku sieci VLAN bazowały na filtrach i grupowały użytkowników na podstawie tablicy filtrowania. Taki model nie był dobrze skalowalny, ponieważ dla każdej ramki wymagane było sprawdzenie zawartości tablicy filtrowania.

Znakowanie ramek przypisuje każdej ramce definiowany przez użytkownika, unikatowy identyfikator. Technika ta została zaaprobowana przez grupę standaryzacyjną Instytutu inżynierów elektryki i elektroniki (IEEE) ze względu na swą skalowalność. Znakowanie ramek zaczyna być postrzegane jako standardowy mechanizm śledzenia przesyłania . W porównaniu z filtrowaniem ramek zapewnia ono bardziej skalowalne rozwiązanie dla sieci VLAN, które może być zastosowane w ramach wszystkich stanowisk. Norma IEEE 802.1q podaje, że znakowanie ramek jest właściwą metodą implemen­tacji sieci VLAN.

Znakowanie ramek w sieciach VLAN jest podejściem opracowanym specjalnie na potrzeby komunikacji w środowiskach stosujących przełączanie. Znakowanie ramek humieszcza w nagłówku każdej ramki unikatowy identyfikator, gdy ramka przekazywana jest przez szkielet sieci. Identyfikator ten jest rozumiany i analizowany przez każdy przełącznik, zanim zainicjuje on rozgłaszanie lub transmisje do innych przełączników, routerów i urządzeń stacji końcowych. Gdy ramka opuszcza szkielet sieci, przełącznik usuwa z niej identyfikator, zanim zostanie ona przekazana do docelowej stacji końcowej. Funkcje identyfikacji ramek, działające na poziomie warstwy 2, nie wymagają wiele przetwarzania ani dodatkowych nakładów administracyjnych.

Implementacje sieci VLAN

Sieć VLAN tworzy przełączaną sieć, logicznie podzieloną na segmenty w zależności od pełnionych funkcji, grup zadaniowych lub zastosowań, niezależnie od fizycznego rozmieszczenia użytkowników. Każdy port przełącznika może być przypisany do sieci VLAN. Porty przypisane do tej samej sieci VLAN współdzielą transmisje rozgłoszeniowe. Porty, które nie należą do danej sieci VLAN, nie dzielą jej transmisji rozgłoszeniowych. Usprawnia to ogólną wydajność sieci. Trzy sposoby implementacji sieci VLAN, które mogą być użyte do przypisania portu przełącznika do sieci VLAN:

• bazujące na portach

• statyczne

• dynamiczne.

Sieci VLAN bazujące na portach

W sieciach VLAN bazujących na portach (ang. port-centric) wszystkie węzły tej samej sieci VLAN przypisane są do tego samego portu przełącznika. Rysunek 3.5 pokazuje przynależność do sieci VLAN ustalaną na podstawie portu, co czyni pracę administratora sieci łatwiejszą, a samą sieć bardziej wydajną, ponieważ:

• użytkownicy przydzielani są w oparciu o port

• sieci VLAN są łatwe do administrowania

• zapewnia to zwiększony poziom bezpieczeństwa między sieciami VLAN

• pakiety nie „przeciekają" do innych domen.

Rys 3.5. W sieci VLAN opartej na portach przynależność jest łatwo kontrolowana w całej sieci. Także wszystkie węzły przyłączone do tego samego portu muszą być w tej samej sieci VLAN

Statyczne sieci VLAN

Statyczne sieci VLAN to porty na przełączniku, które można ręcznie przypisać do da­nej sieci VLAN. Porty te zachowują przypisaną im konfigurację sieci VLAN do czasu, aż nie zostanie ona ręcznie zmieniona. Mimo to, że statyczne sieci VLAN wymagają dokonywania zmian przez administratora, są one bezpieczne, łatwe w konfiguracji i proste do nadzorowania. Statyczne sieci VLAN sprawdzają się dobrze w sieciach, w których prze­mieszczenia użytkowników są kontrolowane i zarządzane odgórnie.

Dynamiczne sieci VLAN

Dynamiczne sieci VLAN to porty w przełączniku, które potrafią automatycznie ustalić swój przydział do sieci VLAN. Funkcje dynamicznego przypisywania do sieci VLAN działają w oparciu o adresy MAC, adresowanie logiczne lub typ protokołu wykorzystywa­nego przez pakiety danych. Z chwilą pierwszego przyłączenia stacji do wolnego portu przełącznika, odpowiedni przełącznik sprawdza wpis danego adresu MAC w bazie danych organizacyjnych sieci VLAN i dynamicznie konfiguruje port, zgodnie z odczytaną konfi­guracją sieci VLAN. Główne zalety takiego podejścia to mniej zmian w szafie z okablo­waniem z chwilą dodawania nowego lub przemieszczenia istniejącego użytkownika sieci, a także scentralizowane powiadamianie o pojawieniu się w sieci nieznanego użytkownika. Zazwyczaj na początku wymaga to jednak sporej pracy przy konfigurowaniu bazy danych za pomocą oprogramowania zarządzającego siecią VLAN. Trzeba również pamiętać o utrzymywaniu dokładnej bazy danych o wszystkich użytkownikach sieci.

Zalety sieci VLAN

Sieci VLAN zapewniają następujące korzyści:

• redukują koszty administracyjne towarzyszące rozwiązywaniu problemów związa­nych z przemieszczaniem się obecnych i dodawaniem nowych użytkowników oraz wprowadzaniem zmian

• zapewniają kontrolowanie czynności rozgłoszeniowych

• zapewniają bezpieczne sieci i grupy robocze

• oszczędzają fundusze dzięki wykorzystaniu istniejących koncentratorów.

Dodawanie, przesuwanie lub zmiana położenia stanowisk użytkowników

Przedsiębiorstwa stale się reorganizują. Każdego roku stanowiska średnio 20% do 40% siły roboczej zmieniają swoje położenie. Te przemieszczenia, przebywanie użytkow­ników oraz wszelkie zmiany są jedną z największych zmór każdego administratora sieci i stanowią zarazem źródło jednych z największych wydatków ponoszonych z związku z utrzymaniem sieci. Wiele przesunięć wymaga zmian okablowania, a niemal każde po­ciąga za sobą konieczność przypisania stacji nowego adresu oraz rekonfiguracji koncen­tratora i routera.

Sieci VLAN dostarczają wydajny mechanizm kontrolowania tych zmian i redukcji większości kosztów związanych z koniecznością rekonfiguracji koncentratora i routera.

Użytkownicy znajdujący się w sieci VLAN mogą dzielić tę samą przestrzeń adresową sieci (to znaczy podsieci IP), niezależnie od swego położenia. Tak długo, jak tylko użytkownicy pozostają w ramach tej samej sieci VLAN i są podłączeni do portu przełącznika, adres sieciowy nie ulega zmianie po przemieszczaniu się z jednej lokalizacji do innej. Jak pokazano na rysunku 3.6, zmiana lokalizacji może być prosta i ograniczać się do pod-łączenia użytkownika do portu w obsługującym sieci VLAN przełączniku i przypisania

l tego portu do danej sieci VLAN.

Rys 3.6. Przełączniki mogące obsługiwać sieci VLAN upraszczają zmiany w okablowaniu, konfigurację, przemieszczanie użytkowników oraz usuwanie błędów, niezbędne do przywrócenia obecności użytkownika sieci

Sieci VLAN stanowią wyraźne usprawnienie w stosunku do typowych dla sieci LAN technik stosowanych w szafach z okablowaniem, ponieważ sieci VLAN wymagają mniej zmian w okablowaniu i w konfiguracji, a także mniej czasu poświęcanego na lokalizowanie błędów. Konfiguracja routera pozostaje nietknięta. Proste przemieszczenie użytkownika z jednej lokalizacji do drugiej nie pociąga za sobą żadnych zmian w konfiguracji routera, jeżeli tylko użytkownik pozostaje w tej samej sieci VLAN.

Kontrolowanie czynności rozgłoszeniowych

Transmisje rozgłoszeniowe występują w każdej sieci. Częstotliwość rozgłaszania za­leży od rodzaju aplikacji, typu serwerów, liczby segmentów logicznych oraz sposobu wykorzystywania tych zasobów. Mimo nacisków położonych w kilku ostatnich latach na tworzenie aplikacji wymagających wysyłania mniejszej liczby transmisji rozgłoszenio­wych, powstają nowe aplikacje multimedialne, które wymagają intensywnego rozgłasza­nia, a także rozgłaszania do grup.

Aby zabezpieczyć się przed problemami związanymi z rozgłaszaniem, należy podjąć kroki zapobiegawcze. Jedna z najlepszych metod polega na właściwym podzieleniu sieci na segmenty za pomocą zabezpieczających ścian ogniowych, tak aby jak to tylko możliwe, uniknąć wpływu problemów z jednego segmentu sieci na pozostałe. Tak wiec mimo to, że w jednym z segmentów może pojawić się natłok transmisji rozgłoszeniowych, pozostała cześć sieci chroniona jest przez ścianę ogniową, zwykle dostarczaną przez router. Segmentacja z wykorzystaniem ścian ogniowych gwarantuje pewną transmisję i minimalizuje koszty transmisji rozgłoszeniowych, pozwalając na uzyskanie większej przepustowości dla ruchu generowanego przez aplikacje.

Kiedy między przełącznikami nie znajduje się żaden router, transmisje rozgłoszeniowe (transmisje warstwy 2) wysyłane są do każdego przełączanego portu. Określamy to często mianem sieci jednorodnej, w której w ramach całej sieci znajduje się jedna domena rozgłoszeniowa. Zaletą sieci jednorodnej jest to, że może ona zapewnić zarówno niewiel­kie opóźnienie, jak również dużą przepustowość i jest też łatwiejsza do administrowania. Wadą jest natomiast to, że zwiększa ona narażenie wszystkich przełączników, portów, łączy szkieletowych i użytkowników na ruch rozgłoszeniowy.

Sieci VLAN stanowią wydajny mechanizm rozszerzenia ścian ogniowych z routerów do struktury przełączników i zabezpieczania sieci przed potencjalnie niebezpiecznymi problemami związanymi z rozgłaszaniem. Sieci VLAN zachowują dodatkowo wszystkie zalety stosowania przełączników dotyczące wydajności.

Ściany ogniowe tworzy się poprzez przypisywanie portów przełącznika lub użytkówników do określonych grup sieci VLAN, zarówno w ramach pojedynczego przełącznika, jak i wielu połączonych przełączników. Jak pokazano na rysunku 3.7, ruch rozgłoszenie- , wy panujący w danej sieci VLAN nie jest przenoszony poza tę sieć. Mówiąc odwrotnie, sąsiadujące porty nie otrzymują żadnego ruchu rozgłoszeniowego z innych sieci VLAN. Ten typ konfiguracji znacznie redukuje całkowity ruch rozgłoszeniowy, uwalnia pasmo dla rzeczywistego ruchu generowanego przez użytkowników i zwiększa całkowitą odpor­ność sieci na natłok nadawczy.

Im mniejsza grupa VLAN, tym mniejsza liczba użytkowników dotkniętych przez obecność ruchu rozgłoszeniowego w tej grupie. Przyporządkowania do sieci VLAN mogą się także odbywać w oparciu o rodzaj aplikacji i liczbę wysyłanych przez nie transmisji rozgłoszeniowych. Użytkownicy wykorzystujący tę samą, wysyłającą częste transmisje rozgłoszeniowe aplikację, mogą zostać umieszczeni w tej samej grupie VLAN. Następnie aplikację można rozprowadzić w ramach tej grupy.

Zwiększanie bezpieczeństwa sieciowego

Przez ostatnich kilka lat wykorzystanie sieci LAN ogromnie wzrosło. W efekcie za pośrednictwem sieci przekazuje się często poufne i kluczowe dane. Tajne dane wymagają środków bezpieczeństwa w postaci ograniczeń dostępu. Jednym z problemów towarzyszą­cych współdzielonym sieciom LAN jest względnie łatwa możliwość ich penetracji. Przyłączając się do aktywnego portu, intruz otrzymuje dostęp do całego ruchu przesyłanego w danym segmencie. Im większa grupa, tym potencjalnie szerszy dostęp.

Jedną z opłacalnych cenowo i łatwych do zarządzania technik zwiększających bezpie­czeństwo jest segmentacja sieci na wiele grup rozgłoszeniowych, co pozwala:

• ograniczyć liczbę użytkowników w grupie VLAN

• odmówić pozostałym użytkownikom dostępu, do czasu uzyskania przez nich pozwo­lenia od programu zarządzającego siecią VLAN

• przypisać wszystkie nieużywane porty do domyślnej sieci VLAN.

Zaimplementowanie tego typu segmentacji jest stosunkowo łatwe. Porty przełącznika grupowane są w oparciu o typ aplikacji i prawa dostępu. Chronione aplikacje i zasoby są często umieszczane w zabezpieczonej grupie VLAN. W zabezpieczonej sieci VLAN do­stępu do grupy strzeże router, co ustawiane jest zarówno w przełącznikach, jak i routerach. Ograniczenia mogą być nakładane w oparciu o adresy stacji, rodzaje aplikacji lub typy protokołów.

Można też zastosować dodatkowe środki bezpieczeństwa, wykorzystując listy kontroli dostępu. Są one szczególnie przydatne przy komunikacji między sieciami VLAN. W zabezpieczonej sieci VLAN dostępu do grupy strzeże router, co ustawiane jest zarówno w przełącznikach, jak i routerach. Ograniczenia mogą być nakładane w oparciu o adresy stacji, rodzaje aplikacji, typy protokołów lub nawet o porę dnia.

Oszczędzanie funduszy dzięki wykorzystaniu istniejących koncentratorów

Na przestrzeni ostatnich kilku lat administratorzy sieci zainstalowali znaczna liczbę koncentratorów. Wiele z tych urządzeń zastępowanych jest przez nowsze technologie przełączania. Ponieważ współczesne aplikacje sieciowe wymagają większej ilości pasma i wydajności, dedykowanych bezpośrednio użytkownikom końcowym, w wielu istnieją­cych instalacjach koncentratory mogą wciąż pełnić użyteczne funkcje. Osoby zarządzające sieciami oszczędzają fundusze, podłączając istniejące koncentratory do przełączników.

Jak pokazano na rysunku 3.9, każdy segment koncentratora podłączony do portu przełącznika może być przypisany tylko do jednej sieci VLAN. Stacje współdzielące seg­ment koncentratora przypisane są do tej samej grupy VLAN. Jeżeli pojedyncza stacja wymaga przypisania jej do innej sieci VLAN, musi być przeniesiona do odpowiedniego koncentratora. Struktura połączonych przełączników obsługuje komunikację między przełączającymi portami i automatycznie ustala właściwe segmenty odbiorcze. Im : mniejsze grupy można podzielić współdzielony koncentrator, tym większa mikrosegmentacja i elastyczność sieci VLAN w przypisywaniu poszczególnych użytkowników do grup VLAN.

Podłączając koncentratory do przełączników można skonfigurować koncentratory do stanowienia części architektury sieci VLAN. Poprzez przypisania do sieci VLAN można także współdzielić ruch i zasoby sieciowe, przyłączone do portów przełączających.

Rys 3.9. Istnienie połączeń między koncentratorami i przełącznikami stanowi okazje do segmentacji sieci VLAN

Podsumowanie

• Przełącznik sieci Ethernet zaprojektowany jest do fizycznego podziału sieci LAN na niezależne domeny kolizji.

• Konfiguracja typowej sieci LAN zależy zazwyczaj od tworzącej ją infrastruktury I fizycznej.

• W przypadku sieci LAN wykorzystujących urządzenia przełączające technologia VLAN stanowi opłacalne cenowo i wydajne rozwiązanie, pozwalające na grupowanie użytkowników sieci w wirtualne grupy robocze, niezależne od ich fizycznego położe­nia w sieci.

• Sieci VLAN działają na poziomie warstwy 2 i warstwy 3 modelu odniesienia OSI.

• Dla każdej architektury sieci VLAN ważna jest możliwość przenoszenia informacji o sieci LAN miedzy połączonymi przełącznikami i routerami, pracującymi w ramach szkieletu sieci firmy.

• Problemy towarzyszące współdzielonym sieciom LAN oraz pojawienie się na rynku przełączników sprawia, że tradycyjne konfiguracje sieci lokalnych zastępowane są konfiguracjami przełączanych sieci VLAN.

• Najpopularniejszym podejściem do logicznego grupowania użytkowników w różne sieci VLAN jest filtrowanie ramek oraz ich identyfikacja. i

• Istnieją trzy główne typy sieci VLAN: bazujące na portach, statyczne oraz dynamicz­ne.

• Sieci VLAN zapewniają następujące korzyści:

1. redukują koszty administracyjne towarzyszące rozwiązywaniu problemów zwią­zanych z przemieszczaniem się obecnych i dodawaniem nowych użytkowników, oraz wprowadzaniem zmian

2. zapewniają kontrolowanie czynności rozgłoszeniowych

3. zapewniają bezpieczne sieci i grupy robocze

4. oszczędzają fundusze dzięki wykorzystaniu istniejących koncentratorów.

---