Problem z „Płaską” Siecią

Wyobraź sobie rozwijającą się firmę w jednym dużym biurze. Początkowo, z kilkoma pracownikami, prosta sieć z jednym lub dwoma połączonymi przełącznikami działa idealnie. Każdy komputer jest podłączony i wszyscy mogą się ze sobą komunikować. Taki rodzaj sieci nazywany jest siecią płaską.

Jednak w miarę rozwoju firmy, ten prosty projekt zaczyna sprawiać poważne problemy:

• Burze Rozgłoszeniowe i Spadek Wydajności: W sieci Ethernet niektóre rodzaje ruchu, znane jako rozgłoszenia (broadcasts), są wysyłane do każdego pojedynczego urządzenia. Ramka rozgłoszeniowa jest jak ogłoszenie przez biurowy megafon – wszyscy muszą przestać i posłuchać, nawet jeśli wiadomość ich nie dotyczy. W miarę dodawania kolejnych urządzeń, ilość ruchu rozgłoszeniowego (np. z zapytań ARP) rośnie. Może to prowadzić do „burzy rozgłoszeniowej”, w której sieć jest tak zajęta przetwarzaniem tych ogłoszeń, że wydajność przesyłania użytecznych danych gwałtownie spada. Wszystkie urządzenia w płaskiej sieci są częścią tej samej domeny rozgłoszeniowej.
• Brak Bezpieczeństwa: W sieci płaskiej nie ma wbudowanej separacji między urządzeniami. Pracownik działu Księgowości może z łatwością zobaczyć zasoby sieciowe działu Inżynierii. Złośliwy użytkownik lub zainfekowana maszyna w jednej części sieci mogłaby potencjalnie uzyskać dostęp do ruchu w całej firmie lub go zakłócić.
• Brak Elastyczności Organizacyjnej: Co, jeśli trzeba przenieść pracownika z działu Sprzedaży na pierwszym piętrze do biurka na drugim piętrze? W sieci fizycznie posegmentowanej wymagałoby to przepięcia jego komputera do innego fizycznego przełącznika dedykowanego dla działu Sprzedaży. Jest to kosztowne, czasochłonne i nie skaluje się. Fizyczny układ sieci dyktuje jej logiczną strukturę.

Rozwiązaniem tych problemów jest podzielenie jednej dużej domeny rozgłoszeniowej na wiele mniejszych, logicznie odizolowanych, bez konieczności kupowania i instalowania osobnego sprzętu fizycznego dla każdej grupy. To jest właśnie magia VLAN-ów.

Czym jest VLAN? Tworzenie Wirtualnych Sieci

VLAN, czyli Wirtualna Sieć Lokalna, to technologia, która pozwala wziąć jedną fizyczną sieć LAN i logicznie podzielić ją na wiele oddzielnych domen rozgłoszeniowych.

Wyobraź sobie duży fizyczny biurowiec jako swoją fizyczną infrastrukturę sieciową (kable i przełączniki). VLAN jest jak logiczne przypisanie różnych działów (np. Sprzedaż, Inżynieria, HR) do różnych wirtualnych „pięter” w tym samym budynku. Mimo że pracownik Sprzedaży i pracownik Inżynierii mogą siedzieć tuż obok siebie i być podłączeni do tego samego fizycznego przełącznika, konfiguracja VLAN sprawia, że jest tak, jakby byli na zupełnie oddzielnych piętrach. Nie mogą komunikować się bezpośrednio, a ogłoszenie rozgłoszeniowe na „piętrze Sprzedaży” nie będzie słyszalne na „piętrze Inżynierii”.

Jak Działają VLAN-y: Przypisanie Portów i Tagowanie

Magia VLAN-ów jest zaimplementowana w inteligentnych przełącznikach sieciowych. Przełącznik jest odpowiedzialny za śledzenie, które urządzenia należą do którego VLAN-u i zapewnienie, że ruch nie przechodzi między nimi. Jest to realizowane za pomocą dwóch podstawowych koncepcji: przypisania portów i tagowania ramek.

1. Przypisanie Portu do VLAN (Porty Dostępowe)

Najprostszym sposobem na utworzenie VLAN-u jest przypisanie każdego portu na przełączniku do określonego VLAN-u. Tak skonfigurowany port nazywa się portem dostępowym (access port).

• Port dostępowy należy do tylko jednego VLAN-u.
• Jest on zazwyczaj używany do podłączania urządzeń końcowych, takich jak komputery, drukarki czy telefony IP.
• Gdy ramka wchodzi na port dostępowy, przełącznik zakłada, że należy ona do VLAN-u przypisanego do tego portu.
• Przełącznik przekaże tę ramkę tylko do innych portów, które są przypisane do tego samego VLAN-u. Nigdy nie przekaże jej do portu należącego do innego VLAN-u.

Na przykład, można skonfigurować porty 1-8 na przełączniku, aby były w VLAN 10 (Sprzedaż), a porty 9-16 w VLAN 20 (Inżynieria). Komputer podłączony do portu 1 może swobodnie komunikować się z komputerem na porcie 5, ale w ogóle nie może komunikować się z komputerem na porcie 10, mimo że znajdują się na tym samym fizycznym przełączniku.

2. Komunikacja Między Przełącznikami: Trunki i Tagowanie VLAN

Przypisywanie portów świetnie działa na pojedynczym przełączniku, ale co się dzieje, gdy w sieci jest wiele przełączników? Skąd Przełącznik A ma wiedzieć, że ramka przychodząca z Przełącznika B należy do VLAN 10, a nie VLAN 20? Ten problem rozwiązuje się za pomocą portów trunk i tagowania VLAN.

• Port trunk to specjalny typ portu przeznaczony do łączenia przełączników z innymi przełącznikami, routerami lub serwerami.
• W przeciwieństwie do portu dostępowego, port trunk nie jest przypisany do jednego VLAN-u. Zamiast tego jest skonfigurowany do przenoszenia ruchu dla wielu VLAN-ów jednocześnie.
• Aby śledzić, która ramka należy do którego VLAN-u podczas przechodzenia przez łącze trunk, przełącznik dodaje do każdej ramki specjalny „znacznik” (tag), zanim opuści ona port trunk. Odbierający przełącznik odczytuje tag, wie, do którego VLAN-u należy ramka i może ją poprawnie przekazać do portów dostępowych w tym VLAN-ie.

Native VLAN: Specjalny Przypadek dla Trunków

Jedną ze specjalnych koncepcji związanych z łączami trunk 802.1Q jest Native VLAN. Każdy port trunk musi mieć jeden wyznaczony Native VLAN (domyślnie jest to zazwyczaj VLAN 1). Kluczowa zasada dla Native VLAN brzmi:

Ruch należący do Native VLAN jest przesyłany przez łącze trunk bez znacznika (tagu) VLAN.

Gdy przełącznik odbiera nietagowaną ramkę na porcie trunk, zakłada, że ramka ta należy do Native VLAN skonfigurowanego na tym porcie. Funkcja ta została zaprojektowana w celu zapewnienia wstecznej kompatybilności, na przykład, aby umożliwić komunikację ze starszymi urządzeniami lub koncentratorami, które nie rozumieją tagów VLAN. Ze względów bezpieczeństwa, najlepszą praktyką jest, aby administratorzy zmieniali Native VLAN z domyślnego VLAN 1 na nieużywany VLAN i zapewniali jego identyczną konfigurację po obu stronach łącza trunk, aby uniknąć luk w zabezpieczeniach i nieoczekiwanego zachowania sieci.

Korzyści ze Stosowania VLAN-ów

Implementacja VLAN-ów zapewnia administratorom sieci potężny zestaw narzędzi, bezpośrednio rozwiązując ograniczenia sieci płaskich.

• Poprawa Wydajności i Kontrola Rozgłoszeń: Dzieląc dużą sieć na mniejsze domeny rozgłoszeniowe, VLAN-y drastycznie redukują ilość ruchu rozgłoszeniowego, który każde urządzenie musi przetworzyć. Rozgłoszenie z urządzenia w VLAN 10 jest wysyłane tylko do innych urządzeń w VLAN 10. Ogranicza to „hałas”, uwalniając przepustowość i zasoby procesorów na urządzeniach w innych VLAN-ach, co znacznie poprawia ogólną wydajność sieci.
• Zwiększone Bezpieczeństwo: VLAN-y zapewniają izolację ruchu na Warstwie 2. Urządzenia w różnych VLAN-ach nie mogą się komunikować bezpośrednio. Oznacza to, że poufne dane z działu Finansów (VLAN 30) są domyślnie całkowicie niewidoczne dla działu Marketingu (VLAN 40), nawet jeśli współdzielą te same fizyczne przełączniki. Jest to fundamentalny pierwszy krok w zabezpieczaniu sieci.
• Większa Elastyczność i Skalowalność: VLAN-y oddzielają logiczną strukturę sieci od jej fizycznego układu. Pracownik może przenieść swój komputer do dowolnego biura na dowolnym piętrze, a dopóki nowy port sieciowy zostanie przypisany przez administratora do jego prawidłowego VLAN-u, pozostanie on częścią swojej sieci działowej. To sprawia, że przenosiny, dodawanie i zmiany są znacznie prostsze i tańsze. Można również łatwo tworzyć nowe VLAN-y dla nowych projektów lub zespołów bez konieczności prowadzenia nowych kabli.
• Uproszczona Administracja: Grupowanie użytkowników i urządzeń w logiczne VLAN-y upraszcza zarządzanie siecią. Polityki bezpieczeństwa, QoS czy kontroli dostępu mogą być stosowane do całego VLAN-u naraz, zamiast konfigurować każde urządzenie indywidualnie.