VLAN, trunk, interVLAN-routing 1
ZiMSK
dr inż. Łukasz Sturgulewski, [email protected], http://luk.kis.p.lodz.pl/
dr inż. Artur Sierszeń, [email protected]
dr inż. Andrzej Frączyk, [email protected]
VLAN, trunk, interVLAN-routing 3
Segmentacja sieci LAN
Segmentacja znacznie zmniejsza obciążenie sieci w ramach poszczególnych segmentów.
VLAN, trunk, interVLAN-routing 14
Buforowanie w pamięci
Buforowanie w oparciu o porty:
W przypadku buforowania opartego na portach ramki są przechowywane w kolejkach powiązanych z konkretnymi portami przychodzącymi.
Buforowanie w pamięci współużytkowanej:
Powoduje umieszczanie wszystkich ramek we wspólnym buforze pamięci, z którego korzystają wszystkie porty przełącznika. Wymagana przez dany port ilość pamięci buforu jest przydzielana dynamicznie.
VLAN, trunk, interVLAN-routing 21
Mikrosegmentacja sieci
W celu zmniejszenia domeny kolizyjnej w sieci przełączniki stosują „mikrosegmentację". Odbywa się to poprzez utworzenie dedykowanych segmentów sieci, czyli połączeń typu „punkt-punkt". Przełącznik łączy w sobie te segmenty w sieć wirtualną.
VLAN, trunk, interVLAN-routing 22
Wstęp do technologii VLAN
VLAN polega na logicznym grupowaniu za
pomocą switch’a sieciowego urządzeń
sieciowych oraz użytkowników sieci LAN pod
kątem sprawowanej funkcji, miejsca
funkcjonowania czy też wykorzystywanej
aplikacji
VLAN, trunk, interVLAN-routing 23
Wstęp do technologii VLAN
Historia technologii VLAN
TRENDY
Ewolucja VLAN
Pojedynczy
switch
VLAN w sieciach
kampusowych
Inteligentne
VLAN
VLAN, trunk, interVLAN-routing 24
Wstęp do technologii VLAN
W sieciach LAN, które wykorzystują przełączniki
(switch’e), technologia VLAN jest tanim i
efektywnym sposobem grupowania
użytkowników danej sieci w wirtualne grupy
robocze w odniesieniu do ich fizycznej lokalizacji
w tej sieci.
VLAN, trunk, interVLAN-routing 25
Wstęp do technologii VLAN
VLAN pracuje w warstwie drugiej oraz trzeciej modelu OSI.
Aplikacji
Prezentacji
Sesji
Transportu
Sieci
Łącza danych
fizyczna 1
2
3
4
5
6
7
VLAN
Warstwy modelu OSI
VLAN, trunk, interVLAN-routing 26
Segmentacja VLAN a tradycyjna segmentacja
Segmentacja tradycyjna Segmentacja VLAN
Piętro 1
Piętro 2
Piętro 3
switch 1
switch 2
switch 3 hub 3
hub 2
hub 1
ROUTER
ROUTER
VLAN, trunk, interVLAN-routing 27
Segmentacja VLAN a tradycyjna segmentacja
Typowe sieci LAN są skonfigurowane w odniesieniu do fizycznej
infrastruktury sieciowej, do której są przyłączone
Użytkownicy w tradycyjnej segmentacji pogrupowani są w
odniesieniu do ich fizycznej lokalizacji w sieci, w relacji do
koncentratora do którego są przyłączeni
Grupowanie użytkowników uzależnione jest również od układu
instalacji sieciowej w budynku
Urządzeniem realizującym segmentację jest router
VLAN, trunk, interVLAN-routing 28
Segmentacja VLAN a tradycyjna segmentacja
Konfiguracja VLAN realizowana jest przez oprogramowanie
switch’a
Technologia VLAN wymaga wsparcia ze strony producentów
sprzętu sieciowego
Komunikacja pomiędzy VLAN’ami jest realizowana poprzez
routing w warstwie sieci modelu OSI
VLAN dostarcza mechanizmy kontroli rozgłaszania sieciowego
VLAN może zwiększyć bezpieczeństwo w sieci poprzez
zdefiniowanie, które elementy sieci mogą się ze sobą
komunikować
VLAN, trunk, interVLAN-routing 29
Rola routerów w VLAN
Switch’e VLAN przejmują realizacje pewnych mechanizmów
zarządzania siecią od routerów
Routery w sieciach VLAN zapewniają połączenia pomiędzy
różnymi sieciami VLAN
Routery zapewniają również komunikację z innymi tradycyjnie
podzielonymi częściami sieci (segmentacja tradycyjna)
Integracja routerów zewnętrznych i architektury switching’u za
pomocą wysokowydajnych sieci szkieletowych
VLAN, trunk, interVLAN-routing 30
Switching i filtrowanie w VLAN
Switche VLAN są urządzeniami wyposażonymi w inteligentne
mechanizmy służące do podejmowania decyzji odnośnie
filtrowania i przekazywania dalej ramek. Decyzje te bazują na
metrykach VLAN zdefiniowanych przez administratorów sieci.
Najbardziej popularnymi z podejść dla celów logicznego
grupowania w segmenty VLAN są filtrowanie ramek oraz
identyfikacja ramek (frame tagging).
Bazując na zestawie zasad zdefiniowanych przez administratora
obydwie techniki określają gdzie ma być ramka wysłana, czy ma
być filtrowana lub rozgłaszana w sieci.
VLAN, trunk, interVLAN-routing 31
Switching i filtrowanie w VLAN
Filtrowanie ramek – sprawdza szczegółowe informację o każdej ramce.
Filtrowanie odbywa się za pomocą danych z tablicy filtrowania, która jest
tworzona dla każdego switcha. Switch podczas procesu filtrowania
porównuje informacje o ramce z wpisami w tablicy filtrowania i podejmuje
właściwą akcję.
VLAN, trunk, interVLAN-routing 32
Switching i filtrowanie w VLAN
Filtrowanie ramek
Switche dzielą między sobą tablicę adresową
Analogia do protokołów routingu
VLAN, trunk, interVLAN-routing 33
Switching i filtrowanie w VLAN
Identyfikacja ramek (frame tagging) - w procesie tym każdej ramce
nadawany jest identyfikator. Identyfikatory przypisuje administrator
switcha i są one umieszczone w nagłówkach ramek.
Decyzja o przyjęciu bądź odrzuceniu ramki jest podejmowana przez switch
po odczytaniu identyfikatora. Po zidentyfikowaniu ramki switch usuwa
identyfikator i wysyła ramkę do punktu przeznaczenia.
VLAN, trunk, interVLAN-routing 34
Switching i filtrowanie w VLAN
Identyfikacja ramek (frame tagging)
VLAN, trunk, interVLAN-routing 35
Różne konfiguracje VLAN
VLAN jest złożony z sieci przełączanej (switched network), która
jest podzielona na logiczne segmenty w odniesieniu do funkcji,
zespołów projektowych i aplikacji.
Każdy port w switch’u przypisany jest do VLAN.
Przypisywanie portów switch’a opiera się na trzech różnych
metodach implementacji tej procedury.
VLAN, trunk, interVLAN-routing 36
Różne konfiguracje VLAN
Port-Centric VLAN (Static VLAN)
Dynamic VLAN
VLAN, trunk, interVLAN-routing 38
Różne konfiguracje VLAN Port-Centric VLAN
Port-Centric VLAN - w konfiguracji Port-Centric wszystkie końcówki sieciowe podłączone do tego samego portu mają ten sam identyfikator VLAN ID.
warstwa łącza
danych
warstwa sieci
warstwa
fizyczna
podłączone końcówki
sieciowe
piętro 1 piętro 2 piętro 3
Produkcja
VLAN Marketing
VLAN Sprzedaż
VLAN
VLAN, trunk, interVLAN-routing 39
Różne konfiguracje VLAN Port-Centric VLAN
Cechy konfiguracji typu Port-Centric:
użytkownicy sieci przypisani są do portów switch’a
łatwość administracji VLAN
zwiększone bezpieczeństwo przesyłania danych pomiędzy różnymi VLAN
pakiety nie wydostają się do innych domen
VLAN, trunk, interVLAN-routing 41
Różne konfiguracje VLAN Dynamic VLAN
Dynamic VLAN - w konfiguracji Dynamic VLAN przypisania wszystkich
końcówek sieciowych są automatycznie wyznaczane na podstawie adresów MAC, IP lub typu protokołu
Nowa
końcówka
sieciowa
MAC adres sprawdzany
w bazie danych
Serwer konfiguracji
VLAN
VLAN, trunk, interVLAN-routing 42
Zalety sieci VLAN
Łatwo przenosić stacje robocze w sieci LAN
Łatwo dodawać stacje robocze do sieci LAN
Łatwo zmieniać konfigurację sieci LAN
Łatwo nadzorować ruch w sieci
Zwiększyć bezpieczeństwo
VLAN, trunk, interVLAN-routing 50
Różne konfiguracje VLAN Dynamic VLAN
Cechy konfiguracji typu Dynamic VLAN:
dynamiczne przypisywanie portów na podstawie kilku parametrów
sieciowych (MAC, IP, potokoły)
automatyczna konfiguracja portów na podstawie konfiguracji VLAN
małe nakłady pracy administratora sieci
VLAN, trunk, interVLAN-routing 51
Kontrola domen rozgłoszeniowych
Domena rozgłoszeniowa 1
Domena rozgłoszeniowa 2
VLAN w połączeniu z routerami potrafi kontrolować i wyznaczać domeny rozgłoszeniowe.
VLAN, trunk, interVLAN-routing 52
Korzyści z zastosowania VLAN
Korzyści z wykorzystywania VLAN:
wykorzystanie istniejących już urządzeń sieciowych (koncentratory)
elastyczność w tworzeniu grup logicznych oraz w podłączaniu do
nich użytkowników sieci
łatwość administracji
zwiększają możliwości współdzielenia łącza oraz zasobów
pomiędzy użytkowników sieci
VLAN, trunk, interVLAN-routing 54
VLAN w sieci laboratoryjnej
OUTSIDE
10.0.0.0/8
192.168.1.0/24
176.16.0.0/16
200.200.200.0/24
outsidesecurity- level 0
dmz
security- level 50
insidesecurity- level 100
10.10.0.0/16
10.20.0.0/16
VLAN 10
VLAN 20
VLAN1
10.1.0.0/16
VLAN w sieci laboratoryjnej (tworzenie i kasowanie VLAN)
VLAN, trunk, interVLAN-routing 55
OUTSIDE
10.0.0.0/8
192.168.1.0/24
176.16.0.0/16
200.200.200.0/24
outsidesecurity- level 0
dmz
security- level 50
insidesecurity- level 100
10.10.0.0/16
10.20.0.0/16
VLAN 10
VLAN 20
VLAN1
10.1.0.0/16
VLAN w sieci laboratoryjnej (przypisanie portu do VLAN)
VLAN, trunk, interVLAN-routing 56
OUTSIDE
10.0.0.0/8
192.168.1.0/24
176.16.0.0/16
200.200.200.0/24
outsidesecurity- level 0
dmz
security- level 50
insidesecurity- level 100
10.10.0.0/16
10.20.0.0/16
VLAN 10
VLAN 20
VLAN1
10.1.0.0/16
VLAN w sieci laboratoryjnej (informacje o VLAN)
VLAN, trunk, interVLAN-routing 57
OUTSIDE
10.0.0.0/8
192.168.1.0/24
176.16.0.0/16
200.200.200.0/24
outsidesecurity- level 0
dmz
security- level 50
insidesecurity- level 100
10.10.0.0/16
10.20.0.0/16
VLAN 10
VLAN 20
VLAN1
10.1.0.0/16
VLAN w sieci laboratoryjnej (łącze trunkowe VLAN)
VLAN, trunk, interVLAN-routing 58
OUTSIDE
10.0.0.0/8
192.168.1.0/24
176.16.0.0/16
200.200.200.0/24
outsidesecurity- level 0
dmz
security- level 50
insidesecurity- level 100
10.10.0.0/16
10.20.0.0/16
VLAN 10
VLAN 20
VLAN1
10.1.0.0/16
VLAN w sieci laboratoryjnej (inter-VLAN routing)
VLAN, trunk, interVLAN-routing 59
OUTSIDE
10.0.0.0/8
192.168.1.0/24
176.16.0.0/16
200.200.200.0/24
outsidesecurity- level 0
dmz
security- level 50
insidesecurity- level 100
10.10.0.0/16
10.20.0.0/16
VLAN 10
VLAN 20
VLAN1
10.1.0.0/16