Ti5316800 LÄHIVERKOT -

ERIKOISTYÖKURSSI

Seminaari: VLAN

Asko AlhoniemiHarri Laatikainen

2005-2006

Asko AlhoniemiHarri Laatikainen

Ti5316800 Lähiverkot –Erikoistyökurssi 2006

Sisältö

- Johdanto VLAN:iin- VLAN:in eri kerrokset- Useita tapoja muodostaa VLAN- VLAN –kehys- Tekniikan mukanaan tuomat ongelmat- VLAN käytännössä- VLAN:in hallinta VASS:in avulla

Asko AlhoniemiHarri Laatikainen

Ti5316800 Lähiverkot –Erikoistyökurssi 2006

VLAN:in käyttö

• Jaetaan verkko loogisiin hallinta-alueisiin– Lähetyksessä paketteja vaihdetaan vain lähettäjän ja vastaanottajan

välillä– VLAN sallii kytkettyjen laitteiden ottaa yhteyttä LAN -kytkimeen →

ryhmittely hallintostrategian mukaan, ei pelkästään fyysisen sijainnin perusteella

– Jokainen VLAN on looginen verkko, joka voi kattaa useita verkossa olevia laitteita

Asko AlhoniemiHarri Laatikainen

Ti5316800 Lähiverkot –Erikoistyökurssi 2006

Kytkin vs keskitin

•Kytkin on ydinkomponentti VLAN-liikenteelle

•Sen avulla tieto voidaan ohjata kulkemaan vain halutuille osapuolille

•Pakettien suodatus

•Pakettikohtainen päätöksen teko•Verkon hallinnoijat määrittelevät säännöt, joiden perusteella paketteja siirretään•Kuvassa on esitetty kaistan käyttö eri osapuolten välillä riippuen tekniikasta

Kuva 1: Kytkin vs keskitin

Asko AlhoniemiHarri Laatikainen

Ti5316800 Lähiverkot –Erikoistyökurssi 2006

VLAN -topologia

Kuva 2: VLAN -topologia

Asko AlhoniemiHarri Laatikainen

Ti5316800 Lähiverkot –Erikoistyökurssi 2006

VLAN -topologia

- Kytkimet toimivat useasti linkkitasolla- Linkkitason päälle protokolla, joka mahdollistaa

useamman kytkimen liittämisen toisiinsa- VLAN –näiden päälle:

1. Verkon asetukset 2. Niiden siirtäminen verkossa

3. Liikenteen välittäminen- Staattinen tai dynaaminen konfiguraatio

Asko AlhoniemiHarri Laatikainen

Ti5316800 Lähiverkot –Erikoistyökurssi 2006

Spanning Tree protocol

Kuva 3: Spanning Tree protocol

Asko AlhoniemiHarri Laatikainen

Ti5316800 Lähiverkot –Erikoistyökurssi 2006

Spanning Tree protocol

- Linkkikerroksella monta eri reittiä- Jotenkin on päätettävä, mitä reittiä käytetään- Mitä tapahtuu, jos näin ei toimita- Reitin valinta:

1. Juurisilta 2. Oma etäisyys juuresta → juuriportti

3. ”Vaalit”, valitaan jokaiselle osalle näistä 1 portti

Asko AlhoniemiHarri Laatikainen

Ti5316800 Lähiverkot –Erikoistyökurssi 2006

VLAN -multicast

Internet

Kuva 4: Multicast -lähetys

Asko AlhoniemiHarri Laatikainen

Ti5316800 Lähiverkot –Erikoistyökurssi 2006

VLAN, muut menetelmät

- Portti- Protokolla- Portti ja protokolla- MAC –osoite- Yhteyspyyntöjen perusteella

Asko AlhoniemiHarri Laatikainen

Ti5316800 Lähiverkot –Erikoistyökurssi 2006

Kehykset

- Prioriteetti- VID (VLAN Identifier)- Tag –tietoiset laitteet- Oppiminen tapahtuu liikennettä seuraamalla- Osoitetietokanta määrittää, miten toimitaan

PRE SFD DA SA TCI P C VID T/L Payload FCSKuva 5: 802.1Q standardin mukainen Ethernet -kehys

Asko AlhoniemiHarri Laatikainen

Ti5316800 Lähiverkot –Erikoistyökurssi 2006

Kehyksen välittäminen

- Portti vastaanottaa kaikki kehykset tai vain VID:llä merkityt- Kehyksen VLAN:in määrääminen joko VID:n perusteella tai

tietokannan perusteella- Jos ei löydy ohjetta, kehys hylätään- Kehykset jonoon, prioriteetin toteuttamiseksi- Kehyksen muuntaminen tarvittaessa

Asko AlhoniemiHarri Laatikainen

Ti5316800 Lähiverkot –Erikoistyökurssi 2006

VLAN:in edut

• Käyttäjien siirtyminen verkon osasta toiseen on helpompaa– Fyysisen paikan muuttaminen

• Verkon tietoliikenteen hallinta on helpompaa– Datan siirto, käyttäjien rajoittaminen

• Verkon hallinta on helpompaa– Verkkoon liittyminen, uuden verkon luonti

• Turvallisuus paranee– Autentisointi, verkon resurssien käytön kontrollointi

Asko AlhoniemiHarri Laatikainen

Ti5316800 Lähiverkot –Erikoistyökurssi 2006

Ongelmia

- Standardin mukainen multicast –ratkaisu vaatii laitteiston tuen

- Tietyissä multicast –ratkaisuissa skaalautumisongelmia

- Lisää konfiguroinnin tarvetta- Turhaa liikennettä, vaikka tavoite oli vähentää sitä

Asko AlhoniemiHarri Laatikainen

Ti5316800 Lähiverkot –Erikoistyökurssi 2006

VASS

• VASS (VLAN Administration Strategy Software) on VLAN:in käyttöön perustuva arkkitehtuurisuunnitelma– VLAN:in luominen, hallinta ja peruuttaminen– Koostuu erilaisista moduuleista, jotka

kommunikoivat keskenään ja lukevat tietoliikennettä

• VASS:in avulla voidaan paremmin ymmärtää VLAN:in käyttäminen kokonaisuutena

Asko AlhoniemiHarri Laatikainen

Ti5316800 Lähiverkot –Erikoistyökurssi 2006

VASS:in arkkitehtuuriKuva 6: VASS:in arkkitehtuuri

• Saadaan VLAN:in kannalta oleelliset toiminnot jaettua moduuleihin → VLAN:in hallinnasta saadaan selkeämpi kuva

•DVSM – Käsittelee verkkoon liittymispyynnöt ja uuden verkon luomispyynnöt ja niiden peruutukset, VLAN ID:n luonti

•RRM – Jaettavien resurssien rekisteröinti, identiteetin tunnistus

•VDRM – Hallinnoi asetuksia kytkimissä

Asko AlhoniemiHarri Laatikainen

Ti5316800 Lähiverkot –Erikoistyökurssi 2006

VLAN:in käyttö VASS:in avulla

• Kuva 7 kuvaa esimerkkiverkon rakennetta kampuksella

•Muodostuu kolmesta loogisesta verkosta

• Ryhmä A: VLAN 40

• Ryhmä B: VLAN 50

• Koko verkko: VLAN 10

A

B

B

Kuva 7: Kampus verkon rakenne

Asko AlhoniemiHarri Laatikainen

Ti5316800 Lähiverkot –Erikoistyökurssi 2006

Yhteenveto

- VLAN huolehtii kolmesta tehtävästä: konfigurointi, konfiguroinnin välittäminen eteenpäin ja pakettien välittäminen konfiguraation perusteella.

- Eri menetelmät VLAN:in muodostamiseen mahdollistavat monipuolisen valikoiman erilaisten määritysten luomiseen

- Tekniikka alkaa olla tuettu ainakin perusominaisuuksiltaan useimmissa kytkimissä

Asko AlhoniemiHarri Laatikainen

Ti5316800 Lähiverkot –Erikoistyökurssi 2006

Yhteenveto

- VLAN mahdollistaa kohdistetun tietoliikenteen, jolloin kaista ei rasitu niin paljoa

- Tietoturvan kannalta VLAN mahdollistaa käyttäjien autentisoinnin ja niiden määrän rajoittamisen → verkon resurssien käytön rajoittaminen

- Uuden VLAN:in luonti, tai siihen liittyminen on helppoa, kuten esimerkeistä ilmenee