Sieci VLAN
STRESZCZENIE
Opracowanie składa się z dwóch rozdziałów. Pierwszy z nich opisuje teoretycznie wirtualne sieci LAN, trzy poziomy definiowania sieci VLAN , zalety każdego z poziomów oraz stan-dardy dotyczące sieci VLAN. Drugi rozdział zawiera instrukcję tworzenia sieci VLAN za pomocą przełącznika Cisco Catalyst 2900.
1. DEFINICJA I PODSTAWOWE WŁASNOŚCI SIECI VLAN
Jako definicję sieci VLAN można spotkać wiele różnych pojęć. Jedną z najtrafniej-szych wydaje się być określenie sieci VLAN przez miesięcznik Networld :
„Wirtualne sieci LAN – VLAN (Virtual Local Area Networks) – umożliwiają wirtual-ne grupowanie stanowisk pracy, niezależnie od tego, gdzie fizycznie znajdują się w sieci. Ad-ministrator sieci może fizycznie podzielić całą sieć na elementy logiczne, nie zważając na to, w jakim segmencie sieci są zlokalizowane różne stanowiska pracy. Technologia sieci VLAN jest pomocna przy wprowadzaniu różnego rodzaju zmian, takich jak definiowanie nowych stano-wisk pracy, usuwanie ich z sieci, kontrolowanie pakietów rozgłoszeniowych, itp. Bardzo istot-ną zaletą tych sieci jest to, że administrator może grupować serwery w jednym miejscu. Uła-twia to znakomicie zadanie zarządzania tymi serwerami, świadczącymi swe usługi wielu gru-pom roboczym, z których każda reprezentuje wirtualną sieć LAN.” [1]
Wirtualne sieci lokalne umożliwiają łatwe logiczne pogrupowanie zasobów, urządzeń i stacji końcowych zgodnie z wymogami organizacyjnymi właściciela sieci a nie według ich fi-zycznego położenia .
Sieci VLAN tworzy się w oparciu o jeden lub wiele przełączników umożliwiających tworzenie wirtualnych sieci lokalnych. Każda z sieci VLAN ma własną instancję protokołu drzewa rozpinającego (Spanning Tree).
1.1 UŁATWIENIA W ZARZĄDZANIU SIECIĄ UZYSKANE DZIĘKI ZASTOSOWANIU VLAN
Podstawową zaletą VLAN a właściwie przełączników posiadających możliwość two-rzenia sieci VLAN jest możliwość częstych zmian w organizacji sieci ( np. przydział do okre-ślonych grup roboczych) bez zmiany fizycznego umiejscowienia poszczególnych stacji koń-cowych. Administrator może szybko dostosować sieć LAN do nowej struktury organizacyjnej jedynie poprzez konfigurację, ewentualnie konfigurację i użycie dodatkowych przełączników. Ma to znaczenie zwłaszcza w przypadku rozbudowanych sieci LAN (kilkadziesiąt stacji na kil-ku piętrach), których właściciele dokonują częstych zmian organizacyjnych( np. dołączanie nowych pracowników przenoszenie ich z działu do działu itd.). Wyjaśniają to rysunki 1 i 2.
Drugą z zalet VLAN to ograniczanie obszarów rozgłaszania. Każda sieć VLAN stanowi oddzielny obszar rozgłaszania. Dzięki temu komunikaty typu broadcast z urządzenia z jednej z sieci VLAN trafiają jedynie do urządzeń będących w tej samej sieci VLAN i nie będą transmi-towane do innych stacji, nawet przyłączonych do tego samego przełącznika., np. na rysunku 2 komunikat typu broadcast ze stacji K1 trafi jedynie do stacji K4 i K7. Dzięki temu cała sieć działa znacznie wydajniej.
Kolejną zaletą sieci VLAN to zwiększone bezpieczeństwo każdej z sieci VLAN, gdyż każda z nich jeśli jest poprawnie skonfigurowana jest „niewidoczna” dla użytkowników z ze-wnątrz, także dla użytkowników innych sieci wirtualnych, nawet dołączonych do tego samego przełącznika. Aby połączyć ze sobą dwie sieci wirtualne należy użyć routera i odpowiednio go
skonfigurować . Rozwiązanie to możliwe jest do zastosowania jedynie w przypadku VLAN-ów zbudowanych w oparciu o grupowanie adresów warstwy sieciowej, w których każ-da z sieci VLAN jest określona jako grupa portów tworząca jedną podsieć. Wtedy najczęściej wykorzystuje się router zintegrowany z przełącznikiem. Przełączniki takie nazywane są prze-łącznikami routującymi (routing switch).
1.2 METODY TWORZENIA SIECI VLAN
Przełączniki umożliwiają tworzenie sieci VLAN poprzez: grupowanie portów, grupo-wanie adresów MAC i grupowanie adresów warstwy sieciowej np. IP.
1.2.1 GRUPOWANIE PORTÓW
W metodzie tej określa się na sztywno przynależność konkretnego portu do jednej sieci VLAN. Dołączanie kolejnych stacji do portu przełącznika powoduje dołączenie tej stacji do sieci VLAN do której należy port. Wadą tej metody jest to, że przeniesienie stacji z jednego portu do drugiego nie należącego do VLAN powoduje usunięcie stacji z sieci VLAN. Dlatego też ten sposób grupowania nie nadaje się do sieci w której przewidywane są częste zmiany umiejscowienia stacji końcowych (np. kilka stacji jest notebookami). Inną wadą tego typu gru-powania jest to , że w przypadku dołączenia do portu kilku użytkowników przy pomocy kon-centratora wszyscy jego użytkownicy automatycznie są użytkownikami tworzonej sieci VLAN. Jest to obecnie najbardziej rozpowszechniona metoda tworzenia sieci VLAN.
1.2.2 GRUPOWANIE ADRESÓW MAC
W tej metodzie dodajemy stacje do sieci VLAN podając adres MAC karty sieciowej stacji. Początkowa konfiguracja sieci jest w tej metodzie czasochłonna ale późniejsze przeno-szenie stacji z jednego portu do drugiego nie zmusza administratora do podjęcia żadnych dzia-łań związanych z rekonfiguracją sieci. Wadą tej metody jest brak odporności na stosowanie stacji typu docking station. Są to stacje które mają zintegrowany interfejs sieciowy, a dostęp do sieci uzyskuje się poprzez fizyczne włożenia komputera do takiej stacji co oznacza identyfika-cję stacji z adresem MAC stacji logowania a nie komputera w niej umieszczonego. Rozwiąza-nie to jest często spotykane w obecnie dostępnych na rynku przełącznikach.
1.2.3 GRUPOWANIE ADRESÓW WARSTWY SIECIOWEJ
W tej metodzie dodajemy stacje do sieci VLAN podając unikalny adres warstwy sie-ciowej stacji. Obecne przełączniki wspierają takie protokoły jak IP, IPX, DECnet i AppleTalk. Sieci VLAN tworzone w ten sposób są pozbawione wad sieci VLAN tworzonych w oparciu o grupowanie portów i grupowanie adresów MAC ale czas przełączania w tego typu sieciach jest dłuższy niż w wyżej wymienionych metodach. Rozwiązanie to można spotkać w niewielkiej liczbie przełączników.
1.3 STANDARDY STOSOWANE W SIECIACH VLAN
Technologia VLAN opiera się na standardzie IEEE 802.Q . Opisuje on formaty ramek używanych przez sieci VLAN, procedury stosowane przy ich zarządzaniu metody budowania grup logicznych. Najważniejszą częścią tego standardu jest rekomendacja IEE802.1Q. Umoż-liwia ona przełącznikom przesyłanie ramek pochodzących z różnych sieci wirtualnych. Nume-ry tych obwodów są zawarte w 12-bitowym polu Identyfikatora VLAN 802.1P/802.1Q. Wy-mianę informacji między przełącznikami o ustalonych sieciach wirtualnych zapewnia protokół GVRP (GARP VLAN Registration Protocol) – dzięki temu ramki rozgłoszeniowe nie przed-ostaną się poza obręb określonej sieci.
2. UTWORZENIE PRZYKŁADOWEJ SIECI VLAN ZA POMOCĄ
PRZEŁĄCZNIKA CISCO CATALYST 2900
Przełącznik Cisco Catalyst 2900 umożliwia budowę sieci VLAN w oparciu o grupowa-nie portów. Tworzenie sieci VLAN jest bardzo proste dzięki specjalnej stronie Visual Switch Manager umożliwiającej zarządzanie przełącznikiem.
2.1 URUCHOMIENIE PRZEŁĄCZNIKA
Łączymy przełącznik z komputerem poprzez łącze szeregowe i za pomocą Hyperter-mianala uzyskujemy połączenie z przełącznikiem. Parametry transmisji powinny być następu-jące:
-szybkość transmisji 9600 bps
-8 bitów danych
-1 bit stopu
-brak kontroli parzystości
Następnie musimy :
- potwierdzić gotowość podania konfiguracji switcha
- podać adres IP switcha
- podać maskę podsieci
- odpowiedzieć czy chcemy podać adres bramy wyjściowej i w razie odpowiedzi twier-dzącej podajemy adres bramy wyjściowej
W przypadku gdy nie pojawiają się wyżej wymienione pytania po uzyskaniu połączenia z przełącznikiem musimy:
- wejść w tryb uprzywilejowanego poprzez polecenie enable
- podać komendę setup
Następnie wchodzimy na stronę umożliwiającą zarządzanie przełącznikiem. Aby połączyć się ze stroną przełącznika należy podać adres przełącznika przeglądarce. Zalecaną przez produ-centa przeglądarką jest Netscape Navigator, możliwe jest jednak uruchomienie strony przeglą-darki Internet Explorer. Przed uruchomieniem zarówno jednej jak i drugiej przeglądarki należy je skonfigurować zgodnie z instrukcją przełącznika.
2.2 DOŁĄCZENIE PORTÓW PRZEŁĄCZNIKA DO WYBRANEJ SIECI VLAN
Przełącznik Cisco Catalyst 2900 umożliwia utworzenie do 64 sieci VLAN. Każda sieć VLAN posiada własną instancję protokołu Spanning Tree. Identyfikatory sieci VLAN mogą zawierać się pomiędzy liczbami 1 i 1001.W konfiguracji fabrycznej wszystkie porty przełącz-nika należą do sieci VLAN1. Tak więc tworzenie kolejnych sieci VLAN jest przenoszeniem portów z sieci VLAN1 do innych. Port można podłączyć na 2 sposoby:
- Access-Port - port należący do jednej sieci wirtualnej
- Multi-VLAN-Port – port należący do więcej niż jednej sieci VLAN – porty, które po-winno się podłączać tylko do serwera bądź routera
Aby podłączyć port do VLAN należy:
- wybrać podstronę VLAN-VLAN Management
- z listy wszystkich portów wybieramy interesujący nas port i w kolumnie Mode wybie-ramy tryb pracy portu : Access – port należy do jednej sieci i Multi-VLAN – port nale-ży do kilku sieci VLAN
- w kolumnie Assigned VLAN’s podajemy numer sieci do której należy port, w przypad-ku gdy port należy do więcej niż jednej sieci podajemy numery wszystkich sieci oddzie-lone przecinkiem
- nacisnąć przycisk Apply.