Základy nastavení VLAN dle IEEE 802.1Q

FAQ: Základy nastavení VLAN dle IEEE 802.1Q

Obsah:

Úvod
Základní přednosti VLAN
Jak to funguje
Typické aplikace
Příklady nastavení

Technicky Virtuální LAN slouží k logickému rozdělení sítě nezávisle na fyzickém uspořádání, síť lze segmentovat na menší sítě uvnitř fyzické struktury původního zapojení. Logické dělení fyzického celku se odehrává na úrovni L2 vrstvy modelu OSI/ISO, v porovnání s IP subnety na 3. vrstvě, které jsou (ale nemusí) s VLAN často provozně úzce spojeny. VLAN rozhraní je často definováno v centrálním prvku (L3 switch, router) a nad ním jsou definovány spjaté IP subnety, IP adresa rozhraní pak bývá výchozí branou pro přístup do ostatních subnetů nebo ven do internetu apod.

Z pohledu IT administrátora jde o nástroj, který umožňuje od sebe provozně oddělit skupiny uživatelů nebo služeb jako jsou IPTV, CCTV, VoIP apod. Provoz mezi VLAN lze omezit, speciální provozy citlivé na přístup nebo zlomyslné napadení lze zcela oddělit od ostatních částí sítě, výhodné je k tomu využít ACL filtr zabudovaný přímo v přepínačích (aktivní odkaz na návod k použití).

Základní přednosti VLAN:

Snížení broadcastů - hlavní výhodou VLAN je vytvoření více, ale menších, broadcastových domén. Tedy zlepšení výkonu sítě snížením provozu (traffic).
Zjednodušená správa - k přesunu zařízení do jiné sítě stačí překonfigurovat zařazení do VLANy, tedy správce konfiguruje SW (zařazení do VLAN) a ne HW (fyzické přepojení).
Zvýšení zabezpečení - oddělení komunikace do speciální VLAN, kam není jiný přístup. Toho lze dosáhnout použitím samostatných switchů, ale není to komfortní a ekonomické.
Oddělení speciálního provozu - dnes se používá řada provozů, které nemusí být propojeny do celé sítě, ale přesto jej potřebujeme dostat na různá místa, navíc nechceme, aby nám ovlivňovaly běžný provoz. Příkladem je například IP telefonie, komunikace mezi AP v centrálně řízeném prostředí, management (zabezpečení správcovského přístupu k zařízením). Například pro IP telefonii, kde je použití VLAN naprosto běžné, nám stačí jediná zásuvka, kam přivedeme VLAN pro telefonii i VLAN s přístupem do sítě a v telefonu se komunikace rozdělí. Navíc VLANy můžeme použít spolu s QoSem pro zaručení kvality komunikace (priorizaci provozu).
Snížení počtu aktivních prvků - samozřejmě se nám nesnižuje potřebný počet portů (až na speciální případy jako IP telefonie), ale tím, že mohou být různé podsítě na stejném switchi, jej můžeme lépe využít (například pro propojení tří zařízení nepotřebujeme speciální switch, který má minimálně 8 portů).

Typické aplikace VLAN

Jejich podoba se mění dle rozsahu sítí a jejich využití v konkrétním uživatelském prostředí.

Častým modelem je menší firma, pobočka větší firmy, restaurace... kde je nutné oddělit provoz skupin řádných uživatelů, veřejných WiFi hostů a služeb jako VoIP a CCTV:

Jiným případem je síť členěná více prostorově než uživatelsky nebo v rámci místností, infrastruktura bývá více členitá s použitím několika aktivních prvků v rozsáhlejší topologii, to je časté pro sítě hotelů, škol a kancelářských budov. I v tomto případě je žádoucí zabezpečit připojení do požadované VLAN.

Komunikovat spolu nebo směrem do internetu budou jenom vhodně nastavené skupiny uživatelů a služeb, přitom nejde o vymezení provozu na úrovni komunikace IP adres, ale jde o komunikační vrstvu OSI/ISO níže na linkové vrstvě L2 ~ zjednodušeně řečeno s libovolnou IP adresu nebo zkoušet měnit komunikační protokoly, veřejní uživatelé "public" se do sítě zaměstnanců jednoduše nedostanou; nebo kritické služby a přístroje (databázový server, RTG ovládací PC, apod) budou bez problémů komunikovat pouze se sítí definovaných uživatelů, do/z internetu se nedostanou.

Provozně speciální aplikací jsou CCTV kamerové systémy nebo místa s velkou koncetrací uživatelů, kde není žádoucí vzájemný provoz (hotely, byty, kanceláře). K jednoduchému nasazení VLAN oddělených segmentů lze využít i nespravovatelné přepínače, které funkcí oddělení portů disponují, ovládá se jednoduše přepínačem na panelu nebo prostřednictvím LCD ovládacího displeje:

Jak to funguje

IEEE 802.1Q tagging

Standard IEEE 802.1Q, využívá značkování L2 rámců, díky tomu je obsažena informace o přiřazení do VLAN v každém rámci. Přes jeden VLAN trunk port může díky tomu projít více VLAN, toho využívá fyzické rozhraní spojující aktivní prvky napříč sítí.

Vezmeme originální rámec, jeho hlavičku rozšíříme o 4B informací, z nichž první je značka, že se jedná o protokol 802.1Q (hodnota 0x8100). Dále následuje priorita dle protokolu 802.1p, příznak, zda je MAC adresa v kanonickém tvaru a poslední je číslo VLAN.

Při nastavení v přepínačích se setkáte s několika parametry, jedním z nich je režim portů pro provoz v rámci nastavení VLAN sítí:

Access - jde o režim pro připojení koncových zařízení (PC, telefony, tiskárny, kamery), definujete do které VLAN budou přiřazeny, provoz je výhradně netagovaný
Trunk - porty v tomto režimu slouží hlavně pro spojení mezi aktivními VLAN prvky (routery, switche, WiFi s multiSSID), provoz je výhradně tagovaný
Hybrid - kombinace předchozích režimů, kdy je nutné (ne vhodné) zachovat netagovaný provoz (zpravidla s ID=1) a tagovaný pro přenos VLAN sítí do dalších částí infrastruktury

Příklady nastavení (pro oddělené skupiny, společné prostředky, spojení mezi prvky, spojení s routerem)

Dvě VLAN oddělené skupiny

Netagovaný paket vstupuje do VLAN 2:

1. Když [PC-1] posílá netagovaný paket na Port-1, switch ho otaguje s VLAN Tag=2.

[PC-2] a [PC-3] přijme paket z Port-2 a Port-3.

2. [PC-4],[PC-5] a [PC-6] nepřijme žádný paket.

3. Když pakety opouští Port-2, tak je tag ořezán na netagovaný paket.

4. Když pakety opouští Port-3, tak zůstane tagovaný VLAN Tag=2.

Tagovaný paket vstupuje do VLAN 2:

1. Když [PC-3] vysílá tagovaný paket s VLAN Tag=2 vstupuje do Port-3, [PC-1] a [PC-2] přijme paket skrz Port-1 a Port-2.

2. Když paket opouští Port-1 a Port-2, bude ořezán tag a stane se z něj netagovaný paket.

Netagovaný paket vstupuje do VLAN 3:

1. Když [PC-4] vysílá netagovaný paket přes Port-4, switch ho otaguje s VLAN Tag=3. [PC-5] a [PC-6] přijme paket skrze Port-5 a Port-6.

2. Když paket odchází z Port-5, bude ořezán tak a stane se z něj netagovaný paket.

3. Když paket odchází Port-6, tak zůstane paket tagován s VLAN Tag=3.

Nastavení:

1. Vytvořte VLAN skupinu

Nastavte VLAN Group 1 = Default-VLAN s VID (VLAN ID) =1

Přidejte 2 VLANy – VLAN 2 a VLAN 3

VLAN Group 2 s VID=2

VLAN Group 3 s VID=3

2. Přiřaďte člena VLANy :

VLAN 2 : Port-1,Port-2 a Port-3

VLAN 3 : Port-4, Port-5 a Port-6

VLAN 1 : Všechny ostatní – Port-7~Port-24

Nezapomeňte odstranit Port 1 – Port 6 z VLAN 1 membership, protože Port 1 – Port 6 musí být přiřazen do VLAN 2 a VLAN 3. V tomto příkladě nechceme aby se nám členství některých portů překrývalo!

3. Přiřaďte PVID pro každý port:

Port-1,Port-2 a Port-3 : PVID=2

Port-4,Port-5 a Port-6 : PVID=3

Port-7~Port-24 : PVID=1

4. Zapněte VLAN Tag pro specifické porty

Link Type : Port-3 (VLAN-2) a Port-6 (VLAN-3)

Dvě VLAN se překrývající oblasti

Následujte příklad 1, dvě oddělené sítě, ale s přístupem na stejný server. Například dvě sítě budou přistupovat ke společnému serveru NAS:

1. Nastavte Port-7 pro připojení zařízení k serveru.

2. Přiřaďte Port-7 do obou VLAN 2 a VLAN 3 ve VLAN Member konfiguraci.

3. Definujte VLAN 1 jako “Veřejnou oblast” která překryje oba VLAN 2 členy a VLAN 3 členy.

4. Nastavte Port-7 s “PVID=1” ve VLAN Port konfiguraci:

Přestože jsou Port-1 až Port-3 (VLAN 2) a Port-4 až port Port-6 (VLAN 3) ve stejné VLANě 1, tak pakety s VLAN 2 od VLAN 3 (a naopak) nemohou dostat, protože mají jiné PVID.

VLAN Trunk mezi dvěma 802.1Q switchi

Nejčastěji se používá pro “Uplink” mezi ostatními switchi. VLANs jsou odděleny ve switchi, ale potřebují přístup na ostatní switche se stejnou VLAN skupinou.

VLANy nastavíme jako v předchozích příkladech. Následuje postup pro nastavení Trunk portu.

1. Nastavte Port-8 jako 802.1Q VLAN Trunk port, Trunk port musí být tagovaný při vstupu:

2. Přiřaďte VLAN Trunk Port aby byl člen každé VLAN – tu kterou chcete do Trunku zapojit. V tomto příkladě, přidejte Port-8 do VLAN 2 a VLAN 3 member port:

3. Opakujte postup 1 a 2 pro nastavení VLAN Trunk port na partnerském switchi.

VLAN spojení s routerem

V příkladu jde o router ve funkci výchozí brány pro každý IP subnet včetně provozního firewallu, na který je napojen distribuční přepínač, který připojuje části sítě LAN tak i jednotlivé účastníky.

Spojení s routerem zajistí tagovaný VLAN trunk (zde port 10), jednotlivé stanice a zařízení nastavíte a napojíte na porty v režimech access (zde porty 1 a 2). Trunk port bude členem všech VLAN ID mimo 1, access porty přiřadíte do žádoucí VLAN sítě (s příslušným PVID~Port VLAN identifer). Hybridní režim použijte pouze v případě, kdy nutně chcete zachovat netagovanou broadcast doménu VLAN ID=1, kterou z bezpečnostních důvodů se nedoporučuje provozně využívat.

Nastavení routeru a brány do internetu spočívá v definici VLAN a jejich IP subnetů, zde příklad pro Planet VR-100 a podobně v Mikrotik OS.

U VR-100 si všimněte VLAN Tag=848 nad WAN rozhraním pro realizaci přímého spojení VDSL v ČR. U Mikrotiku není definována IP adresa fyzického rozhraní ale pouze pro VLAN interface, je to vhodnější nastavení pro trunkové spojení.

$$$

V přepínači zvolte režimy portů a jejich příslušnost do VLAN včetně definice trunk spojení:

Situace při použití L3 switche, jako centrálního routovacího prvku, nebude o mnoho složitější. Ten na sebe převezme úlohu VLAN rozhraní a nad nimi definic IP subnetů, které může spojit mezi sebou nebo jejich provoz může směrovat na bránu směrem do internetu nebo třeba jenom do VPN apod.

Komunikace mezi bránou do internetu už nemusí být (ale může) definovaná na úrovni VLAN ~ pro provoz do internetu si budou účastníci všech VLAN rovni. Vzájemnou komunikaci mezi bránou a celou LAN prostřednictvím L3 switche zajistí routovací tabulky na obou prvcích. Jejich automatickou výměnu může zjednodušit některý s dynamických protokolů (RIP, OSPF).

ACL filtr zajistí administrátorům vyšší úroveň bezpečnosti již na centrálním prvku v LAN.

Spojení VLAN s IP je v L3 přepínači snadně definovatelné...

Je možné definovat několik podrozsahů, např. s maskami dílčích podsítí (kratší než /24).

Routovací tabulkou spojíte rozsahy mezi sebou a směrujete na výchozí bránu (do internetu). Jakou cestou? Přeci "standardně" s cílem 0.0.0.0/0 a destinací IP vaší brány ven, na bráně pak pravidla cílů jednotlivých subnetů za destinací IP L3 switche ;-)

Související kategorie