VLAN Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc
Projektování distribuovaných systémů - lekce 22 VLAN Virtual LAN Cíl – rozdělení fyzicky propojených počítačů do skupin, které fungují tak, jako by nebyly fyzicky propojeny (na rozdíl od VPN) Logický segment sítě Jedna broadcastová doména Přenosy spojené s VLAN jsou chráněny před přístupem uživatelů jiných VLAN Jsou šířeny jen do VLAN Multicasty a broadcasty šířeny pouze ve VLAN
Projektování distribuovaných systémů - lekce 23 VLAN Virtual LAN Ve skupině jsou síťová zařízení, která Mohou být umístěna na více fyzických LAN Neexistují omezení vzhledem k fyzickému umístění Mohou komunikovat jako by byly všechny na jedné LAN
Projektování distribuovaných systémů - lekce 24 Důvody zavedení VLAN Nezávislost na umístění Mobilita uživatelů – zůstávají ve stejné LAN i po přemístění Lepší bezpečnost a vyšší výkonnost Přenosy ve VLAN jsou přepínané, mezi různými VLAN směrované Členství ve VLAN je definováno administrátorem LAN organizovány podle funkčních skupin, nikoliv podle fyzického umístění Uspořádání podle pravidla – přepínej pokud potřebuješ, směruj pokud musíš
Projektování distribuovaných systémů - lekce 25 Typy VLAN Členství ve VLAN může být podle Skupin portů (VLAN úroveň 1) MAC adres (VLAN úroveň 2) Protokolu 3 a vyšší úrovně (VLAN úroveň 3)
Projektování distribuovaných systémů - lekce 26 VLAN podle portů port switching – přepínání portů může být použito pro zvýšení bezpečnosti a zajištění izolovanosti neumožňuje mobilitu uživatelů přesunutý uživatel má novou sub-síť – nová IP adresa (směrovač)
Projektování distribuovaných systémů - lekce 27 VLAN založené na MAC adresách vyžaduje předchozí registraci počítačů členství ve VLAN je udržováno i při fyzickém přemístění počítače různých VLAN mohou být připojeny do jednoho portu přepínače LAN je definována seznamem MAC adres Zajišťuje úplný pohyb uživatele Pokud je třeba, jsou klienti i servery stále na téže LAN Problém: potřeba udržovat příliš mnoho adres
Projektování distribuovaných systémů - lekce 28 VLAN úrovně 3 Členství ve VLAN odvozeno od pole TYPE protokolu a podle adresových polí IP VLAN konfigurace je určena přepínači Do VLAN nepřísluší stanice, ale pakety Více-protokolové stanice mohou být ve více VLAN Obecně pomalejší než předchozí 2 typy VLAN členství ve VLAN je určováno podle úrovně 3, ale nemá nic společného se směrovači nebo směrováním IP adresa je použita pouze k mapování na VLAN, není jinak zpracovávána
Projektování distribuovaných systémů - lekce 29 VLAN trunk – vzdálené propojení lokálních sítí Podle doporučení IEEE 802.1q Přenos pro více VLAN jednou linkou – trunk (dálkové vedení) Rámce Ethernetu jsou označovány VLAN ID (tag) Schonost zpracovávat VLAN-ová i ne-VLAN-ová zařízení
Projektování distribuovaných systémů - lekce 210 VLAN tagging (značkování paketů VLAN) Hranový přepínač (Ingress switch) přidá značku obsahující ID VLAN do příchozích paketů Mezilehlé přepínače VLAN ID nepřepočítávají Poslední hranový přepínač (Egress switch) značku z odchozího rámce odstraní. Rámec TPID – Tag Protocol ID CFI – Canonical Format Indicator (přítomnost-nepřítomnost části RIF) RIF – Source Routing Information Field 01 – bez směrování max délka dat v IEEE slabik priorita 0 < 1 < 2 <... < 7
Projektování distribuovaných systémů - lekce 211 VLAN tagging (značkování paketů VLAN) Destination MAC Source MAC 802.1Q Tag Protocol type field DataFCS 6 bytes 4 bytes2 bytes46–1,500 bytes4 bytes PriorityCFIVLAN ID Tag protocol identifier Tag control field Proprietary 2-byte number 16 bits3 bits1 bit12 bits
Projektování distribuovaných systémů - lekce 212 Vlastnosti IEEE 802.1Q dovoluje až 4095 VLAN dovoluje port, MAC, L3 i vyšší VLAN dovoluje míchat klasické i VLAN přepínače rozšiřuje IEEE 802.1p (priority) na VLAN
Projektování distribuovaných systémů - lekce 213 Vlastnosti IEEE 802.Q High priority Medium priority Low priority 1010 Three priority levels
Projektování distribuovaných systémů - lekce 214 Filtrovací databáze na daném LAN segmentu pro danou VLAN musí být všechny rámce značkovány různé VLAN na tomtéž segmentu mohou využívat různé parametry informace o členství ve VLAN je uložena ve filtrovací databázi existují 2 typy položek VLAN registrační položky (port a VLAN) Skupinové registrační položky (posílání m-castů do VLAN) Oba typy mohou být statické nebo dynamické Statické položky – zařizuje management Dynamické položky – naučené, časově omezená platnost
Projektování distribuovaných systémů - lekce 215 Vytváření a propagace dynamických VLAN položek GVRP GVRP – GARP VLAN Registration Protocol GARP – Generic Attribute Registration Protocol GARP členové – vytváří/ruší členství ve VLAN (přidávání/rušení položek) VLAN přepínače musí propagovat změny členství ve VLAN na všechny aktivní porty GMRP – Group Multicast Registration Protocol Položky registrace skupin – indikují pro každý port má-li tam být multicast rámec pro VLAN poslán nebo ne