Virtuelt LAN - Virtual LAN

Et virtuelt LAN ( VLAN ) er et hvilket som helst kringkastingsdomene som er partisjonert og isolert i et datanettverk ved datalinklaget ( OSI-lag 2 ). LAN er forkortelse for lokalnettverk og i denne sammenheng refererer virtuell til et fysisk objekt som er gjenskapt og endret av tilleggslogikk. VLAN fungerer ved å bruke koder på nettverksrammer og håndtere disse kodene i nettverkssystemer - skaper utseendet og funksjonaliteten til nettverkstrafikk som er fysisk i et enkelt nettverk, men fungerer som om den er delt mellom separate nettverk. På denne måten kan VLAN-er holde nettverksapplikasjoner atskilt til tross for at de er koblet til det samme fysiske nettverket, og uten at flere kabler og nettverksenheter må distribueres.

VLAN-er tillater nettverksadministratorer å gruppere verter sammen selv om vertene ikke er direkte koblet til den samme nettverksbryteren . Fordi VLAN-medlemskap kan konfigureres via programvare, kan dette i stor grad forenkle nettverksdesign og distribusjon. Uten VLAN, gruppering vertene i henhold til deres ressursbehov arbeids av flytting noder eller rewiring datalinker . VLAN-er tillater at enheter som må holdes adskilte, kan dele kabler i et fysisk nettverk og likevel forhindres i å direkte samhandle med hverandre. Denne administrerte delingen gir gevinster i enkelhet, sikkerhet , trafikkstyring og økonomi. For eksempel kan et VLAN brukes til å skille trafikk i en virksomhet basert på individuelle brukere eller grupper av brukere eller deres roller (f.eks. Nettverksadministratorer), eller basert på trafikkegenskaper (f.eks. Lavprioritetstrafikk forhindret fra å påvirke resten av nettverkets funksjon). Mange internett-hosting-tjenester bruker VLAN for å skille kundenes private soner fra hverandre, slik at hver kundes servere kan grupperes i et enkelt nettverkssegment, uansett hvor de enkelte serverne er lokalisert i datasenteret . Noen forholdsregler er nødvendig for å forhindre at trafikk "rømmer" fra et gitt VLAN, en utnyttelse kjent som VLAN-hopping .

For å dele et nettverk inn i VLAN, konfigurerer man nettverksutstyr . Enklere utstyr kan bare partisjonere hver fysiske port (hvis det er det), i så fall kjører hvert VLAN over en dedikert nettverkskabel . Mer sofistikerte enheter kan merke rammer gjennom VLAN-merking , slik at en enkelt sammenkobling ( bagasjerom ) kan brukes til å transportere data for flere VLAN-er. Siden VLAN-er deler båndbredde, kan et VLAN-koffert bruke lenkeaggregering , prioritering av tjenestekvalitet eller begge deler for å rute data effektivt.

Bruker

VLAN adresserer problemer som skalerbarhet , sikkerhet og nettverksadministrasjon. Nettverksarkitekter setter opp VLAN-er for å gi nettverkssegmentering . Rutere mellom VLAN-er filtrerer kringkastingstrafikk , forbedrer nettverkssikkerheten , utfører adressesammendrag og demper nettverksbelastningen .

I et nettverk som bruker sendinger for tjenestegjenkjenning , adressetildeling og oppløsning og andre tjenester, når antall jevnaldrende i et nettverk vokser, øker også frekvensen av sendinger. VLAN kan hjelpe deg med å administrere kringkastingstrafikk ved å danne flere kringkastingsdomener . Å bryte opp et stort nettverk i mindre uavhengige segmenter reduserer mengden kringkastingstrafikk hver nettverksenhet og nettverkssegment må bære. Brytere kan ikke bygge bro mellom nettverkstrafikk mellom VLAN-er, da dette ville krenke integriteten til VLAN-kringkastingsdomenet.

VLAN kan også bidra til å lage flere lag 3- nettverk på en enkelt fysisk infrastruktur. VLAN er datalinklagskonstruksjoner (OSI-lag 2), analoge med IP- subnett ( Internet Protocol ) , som er konstruksjoner for nettverkslag (OSI-lag 3). I et miljø som benytter VLAN-er, eksisterer det ofte en en-til-en-relasjon mellom VLAN og IP-delnett, selv om det er mulig å ha flere undernett på ett VLAN.

Uten VLAN-kapasitet tildeles brukere nettverk basert på geografi og er begrenset av fysiske topologier og avstander. VLAN-er kan logisk gruppere nettverk for å koble brukernes nettverksplassering fra deres fysiske plassering. Ved å bruke VLAN kan man kontrollere trafikkmønstre og reagere raskt på flytting av ansatte eller utstyr. VLAN-er gir fleksibilitet til å tilpasse seg endringer i nettverkskrav og muliggjøre forenklet administrasjon.

VLAN kan brukes til å dele et lokalt nettverk i flere særegne segmenter, for eksempel:

• Produksjon
• Voice over IP
• Nettverksadministrasjon
• Lagringsnettverk (SAN)
• Gjestens internettilgang
• Demilitarized zone (DMZ)

En felles infrastruktur som deles på tvers av VLAN-trunker, kan gi et sikkerhetsmål med stor fleksibilitet til en relativt lav pris. Tjenestekvalitetsordninger kan optimalisere trafikken på trunklinker for sanntidskrav (f.eks. VoIP ) eller krav med lav latens (f.eks. SAN ). Imidlertid bør VLAN-er som en sikkerhetsløsning implementeres med stor forsiktighet ettersom de kan beseire med mindre de implementeres nøye.

I cloud computing er VLAN-er, IP-adresser og MAC-adresser i skyen ressurser som sluttbrukere kan administrere. For å avhjelpe sikkerhetsproblemer kan det være å foretrekke å plassere skybaserte virtuelle maskiner på VLAN fremfor å plassere dem direkte på Internett.

Nettverksteknologier med VLAN-funksjoner inkluderer:

• Asynkron overføringsmodus (ATM)
• Fibre Distribuert Data Interface (FDDI)
• Ethernet
• HiperSockets
• InfiniBand

Historie

Etter vellykkede eksperimenter med voice over Ethernet fra 1981 til 1984, ble W. David Sincoskie med i Bellcore og begynte å løse problemet med å skalere opp Ethernet-nettverk. Ved 10 Mbit / s var Ethernet raskere enn de fleste alternativene den gangen. Ethernet var imidlertid et kringkastingsnettverk, og det var ingen god måte å koble flere Ethernet-nettverk sammen. Dette begrenset den totale båndbredden til et Ethernet-nettverk til 10 Mbit / s og den maksimale avstanden mellom noder til noen få hundre fot.

Derimot, selv om det eksisterende telefonnettets hastighet for individuelle tilkoblinger var begrenset til 56 kbit / s (mindre enn en hundredel av Ethernet-hastigheten), ble den totale båndbredden til dette nettverket estimert til 1 Tbit / s (100.000 ganger større enn Ethernet).

Selv om det var mulig å bruke IP-ruting for å koble flere Ethernet-nettverk sammen, var det dyrt og relativt tregt. Sincoskie begynte å lete etter alternativer som krevde mindre behandling per pakke. I prosessen gjenoppfant han uavhengig gjennomsiktig bro , teknikken som ble brukt i moderne Ethernet-svitsjer . Imidlertid krever bruk av brytere for å koble til flere Ethernet-nettverk på en feiltolerant måte overflødige baner gjennom det nettverket, som igjen krever en spennende trekonfigurasjon . Dette sikrer at det bare er en aktiv bane fra en hvilken som helst kildenode til et hvilket som helst mål i nettverket. Dette fører til at sentralt plasserte brytere blir flaskehalser, og begrenser skalerbarhet ettersom flere nettverk er sammenkoblet.

For å bidra til å lindre dette problemet, oppfant Sincoskie VLAN-er ved å legge til en merke i hver Ethernet-ramme. Disse kodene kan tenkes å være farger, for eksempel rød, grønn eller blå. I denne ordningen kan hver bryter tilordnes til å håndtere rammer med en enkelt farge, og ignorere resten. Nettverkene kan være sammenkoblet med tre spennende trær, ett for hver farge. Ved å sende en blanding av forskjellige rammefarger kan den samlede båndbredden forbedres. Sincoskie refererte til dette som en flertresbro . Han og Chase Cotton opprettet og foredlet algoritmene som er nødvendige for å gjøre systemet gjennomførbart. Denne fargen er det som nå er kjent i Ethernet-rammen som IEEE 802.1Q- overskriften, eller VLAN-koden. Mens VLAN-er ofte brukes i moderne Ethernet-nettverk, brukes de ikke på den måten som først ble forutsatt her.

I 1998 ble Ethernet VLAN beskrevet i den første utgaven av IEEE 802.1Q -1998-standarden. Dette ble utvidet med IEEE 802.1ad for å tillate nestede VLAN-koder i tjeneste for leverandørbro. Denne mekanismen ble forbedret med IEEE 802.1ah-2008 .

Konfigurasjons- og designhensyn

Tidlige nettverksdesignere segmenterte ofte fysiske LAN med det formål å redusere størrelsen på Ethernet- kollisjonsdomenet - og dermed forbedre ytelsen. Når Ethernet-svitsjer gjorde dette til et ikke-problem (fordi hver bryterport er et kollisjonsdomene), ble oppmerksomheten rettet mot å redusere størrelsen på datalinklagets kringkastingsdomene. VLAN-er ble først ansatt for å skille flere kringkastingsdomener over ett fysisk medium. Et VLAN kan også tjene til å begrense tilgangen til nettverksressurser uten hensyn til nettverkets fysiske topologi.

VLAN fungerer på datalinklaget til OSI-modellen . Administratorer konfigurerer ofte et VLAN for å kartlegge direkte til et IP-nettverk eller subnett, noe som gir utseendet til å involvere nettverkslaget . Vanligvis vil VLAN-er innenfor samme organisasjon bli tildelt forskjellige ikke-overlappende nettverksadresseområder . Dette er ikke et krav fra VLAN-er. Det er ikke noe problem med separate VLAN-er som bruker identiske overlappende adresseområder (f.eks. To VLAN-er bruker hver det private nettverket 192.168.0.0 / 16 ). Imidlertid er det ikke mulig å dirigere data mellom to nettverk med overlappende adresser uten delikat IP-kartlegging , så hvis målet med VLAN er segmentering av et større samlet organisasjonsnettverk, må ikke-overlappende adresser brukes i hvert separate VLAN.

En grunnleggende bryter som ikke er konfigurert for VLAN-er, har VLAN-funksjonalitet deaktivert eller aktivert permanent med et standard VLAN som inneholder alle porter på enheten som medlemmer. Standard VLAN bruker vanligvis VLAN-identifikator 1. Hver enhet som er koblet til en av portene, kan sende pakker til noen av de andre. Å skille porter med VLAN-grupper skiller trafikken deres veldig som å koble hver gruppe ved hjelp av en distinkt bryter for hver gruppe.

Fjernstyring av bryteren krever at de administrative funksjonene er tilknyttet en eller flere av de konfigurerte VLAN-ene.

I sammenheng med VLAN-er, betegner begrepet trunk en nettverkskobling som bærer flere VLAN-er, som er identifisert av etiketter (eller tagger ) satt inn i pakkene sine. Slike trunker må kjøre mellom merkede porter på VLAN-bevisste enheter, så de er ofte switch-to-switch eller switch-to- router- koblinger i stedet for lenker til verter. (Merk at begrepet 'trunk' også brukes om det Cisco kaller "kanaler": Link Aggregation eller Port Trunking ). En ruter (Layer 3-enhet) fungerer som ryggraden for nettverkstrafikk som går over forskjellige VLAN-er. Det er bare når VLAN-portgruppen skal utvides til en annen enhet, som merking brukes. Siden kommunikasjon mellom porter på to forskjellige brytere går via uplink-portene til hver bryter som er involvert, må hvert VLAN som inneholder slike porter også inneholde uplink-porten til hver bryter som er involvert, og trafikk gjennom disse portene må være merket.

Brytere har vanligvis ingen innebygd metode for å indikere VLAN til portforeninger til noen som jobber i et ledningsskap . Det er nødvendig at en tekniker enten har administrativ tilgang til enheten for å se konfigurasjonen, eller at VLAN-porttilordningstabeller eller diagrammer holdes ved siden av bryterne i hvert ledningsskap.

Protokoller og design

Protokollen som ofte brukes i dag for å støtte VLAN er IEEE 802.1Q . Den IEEE 802.1 arbeids gruppe som er definert av denne metoden for å multiplekses VLAN i et forsøk på å tilveiebringe multivendor VLAN støtte. Før introduksjonen av 802.1Q-standarden eksisterte det flere proprietære protokoller , for eksempel Cisco Inter-Switch Link (ISL) og 3Coms Virtual LAN Trunk (VLT). Cisco implementerte også VLAN-er over FDDI ved å bære VLAN-informasjon i en IEEE 802.10-rammehode , i strid med formålet med IEEE 802.10-standarden.

Både ISL- og IEEE 802.1Q-merking utfører eksplisitt merking - selve rammen er merket med VLAN-informasjon. ISL bruker en ekstern merkingsprosess som ikke endrer Ethernet-rammen, mens 802.1Q bruker et ramme-internt felt for merking, og endrer derfor den grunnleggende Ethernet-rammestrukturen. Denne interne merkingen gjør at IEEE 802.1Q kan jobbe på både tilgangs- og koffertkoblinger ved hjelp av standard Ethernet-maskinvare.

IEEE 802.1Q

Under IEEE 802.1Q er det maksimale antallet VLAN-er på et gitt Ethernet-nettverk 4094 (4096 verdier gitt av 12-biters VID- feltet minus reserverte verdier i hver ende av området, 0 og 4095). Dette pålegger ikke den samme grensen for antall IP-subnett i et slikt nettverk, siden et enkelt VLAN kan inneholde flere IP-subnett. IEEE 802.1ad utvider antall VLAN-er som støttes ved å legge til støtte for flere nestede VLAN-koder. IEEE 802.1aq (Shortest Path Bridging) utvider VLAN-grensen til 16 millioner. Begge forbedringene er innlemmet i IEEE 802.1Q-standarden.

Cisco Inter-Switch Link

Inter-Switch Link (ISL) er en Cisco-protokoll som brukes til å koble sammen brytere og vedlikeholde VLAN-informasjon når trafikken går mellom bryterne på trunklinker. ISL tilbys som et alternativ til IEEE 802.1Q. ISL er bare tilgjengelig på noe Cisco-utstyr og er utfaset.

Cisco VLAN Trunking Protocol

VLAN Trunking Protocol (VTP) er en Cisco-proprietær protokoll som forplanter definisjonen av VLAN-er på hele lokalnettverket. VTP er tilgjengelig på de fleste av Cisco Catalyst Family-produktene. Den sammenlignbare IEEE-standarden som brukes av andre produsenter er GARP VLAN Registration Protocol (GVRP) eller den nyere Multiple VLAN Registration Protocol (MVRP).

Flere VLAN registreringsprotokoller

Multiple VLAN Registration Protocol er en applikasjon av Multiple Registration Protocol som tillater automatisk konfigurering av VLAN-informasjon på nettverkssvitsjer. Spesielt gir den en metode for dynamisk å dele VLAN-informasjon og konfigurere de nødvendige VLAN-ene.

Medlemskap

VLAN-medlemskap kan opprettes enten statisk eller dynamisk.

Statiske VLAN-er blir også referert til som havnebaserte VLAN-er. Statiske VLAN-tildelinger opprettes ved å tilordne porter til et VLAN. Når en enhet kommer inn i nettverket, antar enheten automatisk VLAN til porten. Hvis brukeren bytter port og trenger tilgang til samme VLAN, må nettverksadministratoren foreta en port-til-VLAN-oppgave manuelt for den nye tilkoblingen.

Dynamiske VLAN-er blir opprettet ved hjelp av programvare eller etter protokoll. Med en VPS Management Policy Server (VMPS), kan en administrator tildele bryterporter til VLAN-er dynamisk basert på informasjon, for eksempel kilde-MAC-adressen til enheten som er koblet til porten eller brukernavnet som ble brukt til å logge på den enheten. Når en enhet kommer inn i nettverket, spør bryteren om en database for VLAN-medlemskap i porten som enheten er koblet til. Protokollmetoder inkluderer Multiple VLAN Registration Protocol (MVRP) og den noe foreldede GARP VLAN Registration Protocol (GVRP).

Protokollbaserte VLAN-er

I en bryter som støtter protokollbaserte VLAN-er, kan trafikk håndteres på grunnlag av protokollen. I hovedsak adskiller eller videresender dette trafikk fra en port, avhengig av den spesifikke protokollen for den trafikken; trafikk fra annen protokoll blir ikke videresendt på porten. Dette gjør at for eksempel IP- og IPX-trafikk automatisk kan skilles fra nettverket.

VLAN krysskobling

VLAN cross connect (CC eller VLAN-XC) er en mekanisme som brukes til å lage Switched VLAN, VLAN CC bruker IEEE 802.1ad-rammer der S-taggen brukes som en etikett som i MPLS . IEEE godkjenner bruken av en slik mekanisme i del 6.11 av IEEE 802.1ad-2005 .

Se også

• HVLAN , hierarkisk VLAN
• Flere VLAN registreringsprotokoller , GARP VLAN registreringsprotokoller
• Nettverksvirtualisering
• Privat VLAN
• Programvaredefinert nettverk
• Bytt virtuelt grensesnitt
• Virtuelt utvidbart LAN (VXLAN)
• Virtuell privat LAN-tjeneste
• Privat virtuelt nettverk
• VLAN tilgangskontrolliste
• Nettverk over stort område

Merknader

Referanser

Videre lesning

• Andrew S. Tanenbaum , 2003, "Computer Networks", Pearson Education International, New Jersey.