Embed Size (px)
DESCRIPTION
VLAN mreže - seminarski rad ETFOS Ismar Kunc
Citation preview
KOLEGIJ - PROJEKTIRANJE RAČUNALNIH MREŽA
Ismar Kurtalić , 104/ iž
SEMINRASKI RAD
PROJEKTIRANJE VLAN MREŽE
Osijek, veljača 2013.
1
SADRŽAJ
UVOD......................................................................................................................................................2
Šta su VLAN-ovi ?....................................................................................................................................3
KAKO RADE VLAN-OVI............................................................................................................................4
Dva pristupa za uključivanje uređaja u VLAN su:............................................................................4
Tipovi VALNova:.............................................................................................................................4
Povezivanje računala u VLAN mrežu....................................................................................................5
Povezivanje istih VLAN mreža preko više preklopnika.........................................................................5
Povezivanje različitih VLAN-ova..........................................................................................................6
VLAN članstvo......................................................................................................................................7
Statičko VLAN članstvo.................................................................................................................7
Dinamičko VLAN članstvo............................................................................................................7
Prednosti i nedostaci VLAN mreža..........................................................................................................7
Glavne prednosti upotrebe VLAN-ova...........................................................................................7
Povećanje performansi mreže.........................................................................................................7
Olakšana administracija mreža.......................................................................................................7
Neovisnost o fizičkoj topologiji mreža...........................................................................................7
Ograničenje razašiljanja prometa na VLAN-u................................................................................8
Zaštita od malicioznih korisnika.....................................................................................................8
Povećana sigurnost mreže..............................................................................................................8
Prioritiziranje mrežnog prometa.....................................................................................................8
Glavi nedostaci upotrebe VLAN-ova.......................................................................................................9
Komunikacija između VLAN-ova..................................................................................................9
Kompleksnost VLAN-ova..............................................................................................................9
Noseći kapacitet usmjerivača.........................................................................................................9
Neovlašteno uključivanje u pojedini VLAN...................................................................................9
TIPOVI KONEKCIJA U VLAN MREŽAMA...................................................................................................9
TRUNK LINK..............................................................................................................................10
ACCESS LINK............................................................................................................................10
HYBRID LINK............................................................................................................................10
Identifikacija VLAN-a.........................................................................................................................11
VLAN POTOKOLI I DIZAJN.....................................................................................................................11
ISL standard.................................................................................................................................12
IEEE 802.1Q standard..................................................................................................................13
2
Vrste VLAN-ova....................................................................................................................................15
VLAN-ovi bazirani na priključcima preklopnika.........................................................................15
VLAN-ovi bazirani na tipu protokola...........................................................................................16
VLAN-ovi bazirani na MAC adresama........................................................................................16
Korisnički definirano povezivanje................................................................................................17
VLAN-ovi bazirani na definiranim pravilima...............................................................................17
Sprega IEEE 802.1Q protokola s IEEE 802.1P protokolom.........................................................17
Kreiranje VLAN-a................................................................................................................................18
Testiranje VLAN mreže na simulatoru.................................................................................................19
Zaključak...............................................................................................................................................21
Reference.............................................................................................................................................23
3
UVOD
U tradicionalnim LAN mrežama krajnji uređaji (hosts-radne stanice, printeri, skeneri...) su spojenu međusobno preko huba ili repeatera koji propagiraju dolazni promet svima na mreži. U tom slučaju ako dva ili više uređaja pokušaju ostvarit komunikaciju u istom trenutku događa se kolizija i promet je izgubljen, a kolizija se dalje propagira kroz mrežu hubova i repeatera. Originalna informacija se u tom slučaju po potrebi ponovno šalje nakon što je riješen problem trenutne kolizije. U takvim mrežama dio vremena i resursa (bandwidth) je izgubljen. Da bi riješili kolizije danas se koriste switchevi (starija i lošija varijanta bridge) koji kolizijsku domenu mikrosegmentiraju.
Switchevi i bridgevi neće dopustiti širenje kolizije kroz mrežu, ali dopuštaju broadcast i multicast promet svakom uređaju u mreži. Broadcast i multicast u smislu dostavljanja prometa je identičan, informacija poslana broadcastom ili multicastom dolazi do svih uređaja unutar iste mreže (subneta). Upravo takav tip poruka koji sa jedne točke u mreži dolazi do svih krajnjih uređaja stvara nepotrebno iskorištavanje resursa u današnjim mrežama.
4
Šta su VLAN-ovi ?
Krajnji uređaji, hubovi i repeateri čine LAN segmente koji se isto tako definiraju kao kolizijska domena, kolizija ostaje unutar istog segmenta. Područje unutar kojeg su zadržane broadcast i multicast poruke se zove broadcast domena ili LAN segment. Znači LAN se može sastojat od više LAN segmenata. Ovisno o načinu spajanja uređaja posrednika (hub, repeater, bridge, switch, router) definiraju se kolizijske i broadcast domene, što nas dovodi do zaključka da se LAN mora nalazit na istom fizičkom području.
Virtualna lokalna mreža (VLAN) je grupa uređaja sa zajedničkim zahtjevima u komunikaciji koji su grupirani u istu podmrežu (eng. Subnet). Vlan predstavlja broadcast domenu bez obzira na fizičku lokaciju uređaja unutar istog VLANa. Znači jedna od prednosti VLANova je u mogućnosti grupiranja uređaja u istu mrežu (brodacast domenu, subnet) bez potrebe mijenjanja fizičke topologije mreže. Ako uzmemo u obzir mrežu organizacije u kojoj nisu implementirani VLANovi , a postoje potreba skaliranja, samo uključivanje dodatnih uređaja zahtjeva i izmjenu dizajna fizičke topologije.Što može značiti i dodatni trošak kabliranja i opreme koja je potrebna u takvoj mreži. VLANovi nam daju fleksibilnost u održavanju, ali i u skaliranju odnosno fizičku mrežu možemo „modelirati“ u bilo kakvu logičku mrežu. Implementacijom VLANova osim što je pojednostavljeno skaliranje, podižemo i razinu sigurnosti razdvajanjem prometa (komunikacije) između VLANova, rješavamo nepotrebno nakupljanje broadcast prometa i time povećavamo performanse, pojednostavljujemo administraciju i smanjujemo troškove mreže.
Do pojave VLANova jedini način blokiranja takvog prometa je bio moguć uređajem koji radi na trećem sloju (OSI model) npr. routerom. Znači da bi blokirali broadcast ili multicast poruke i tako riješili nepotrebni gubitak bandwidtha moramo odvojiti broadcast domene ruterom ili kreirati dodatne podmreže.VLANovi omogućavaju mrežnom administratoru logičko segmentiranje LANa u različite broadcast domene, a pošto je segmentiranje logičko uređaji u istom logičkom segmentu ne moraju biti na fizički istim lokacijama. Znači da korisnici u različitim sobama, katovima, zgradama, gradovima... mogu pripadati istom logičkom segmentu odnosno VLANu. VLANovi dozvoljavaju kreiranje broadcast domena bez korištenja uređaja trećeg sloja OSI modela kao što je router. Ipak za komunikaciju između VLANova moramo koristiti uređaj trećeg sloja.
5
Na slici je prokazana logička segmentacija radnih stanica u dva VLANa. Uređaji u plavom VLANu (VLAN 100) slanjem broadcast ili multicast poruka dostavljaju samo poruke uređajima istog VLANa, isto vrijedi i za uređaje crvenog VLANa (VLAN 200).
KAKO RADE VLAN-OVI
U trenutku kada switch dobije dolazni promet, svaki frame (drugi sloj OSI modela) se tagira VLAN tagom koji identificira kojem VLANu promet pripada. Ovakav način označavanja se zove eksplicitno tagiranje. Frameove je moguće i implicitno tagirati, što se odrađuje preko portova koji primaju promet na način da svaki switch točno zna kojem VLANu koji port pripada.
Dva pristupa za uključivanje uređaja u VLAN su: Statičko dodjeljivanje Dinamičko dodjeljivanje
U večini slučajeva VLANovi se kreiraju na switchevima na način da se portovi (interfacei) dodjeljuju odgovarajućim logičkim grupama (VLANovima), gdje svaki switch za svaki dolazni promet točno zna kojem VLANu port pripada. Međutim tagiranje frameova se može bazirati osim po portovima, prema polju MAC (Media Access Control) adresa, prema izvornoj adresi mreže ili preko drugih polja, kao protokolima adresiranja ili kombinacije različitih polja framea i paketa.
Tipovi VALNova:1. Sloj 1 VLAN: pripadnost po portu (interface)2. Sloj 2 VLAN: pripadnost po MAC adresi3. Sloj 2 VLAN: pripadnost po tipu protokola4. Sloj 3 VLAN: pripadnost po IP adresi mreže5. Viši slojevi: pripadnost po vrsti apliakcije, servisa ili kombinacji
Primjer kreiranih VLANova baziranih na sloju 1.
6
Povezivanje računala u VLAN mrežu
Na slici je prikazan preklopnik na kojem postoje tri VLAN-a. Na preklopnik je spojeno 6 računala, odvojenih u različite VLAN-ove. Svako računalo vidi samo ono računalo koje se nalazi u istom VLAN-u. Bez "vanjske pomoći", podatak iz jednog VLAN-a ne može prijeći u drugi VLAN. Da bi podatak prešao iz jednog VLAN-a u drugi, potrebno je isto ono što je potrebno i da bi prošao iz jednog LAN segmenta u drugi – preusmjeravanje podataka.
Povezivanje istih VLAN mreža preko više preklopnikaVLAN mrežu možemo da kreiramo tako da obuhvaćaju više povezanih preklopnika. Povezivanje računala u VLAN mrežu obavlja se konfiguracijom preklopnika. Portovi na preklopniku se u odgovarajući VLAN smještaju statički. Administrator mreže mora za svaki port odrediti pripadnost određenom VLAN-u. Ako se želi povezati iste VLAN-ove na fizički različitim preklopnicima, potrebno je koristiti trunk linkove.
povezivanje odvojenih VLAN-ova trunk linkom
7
Na slici 4 su prikazana 2 preklopnika koji u povezani trunk linkom te je definirano koji VLANovi se propuštaju. Na taj način računala spojena npr., VLAN 5 preklopnika br. 1 i računala spojena na VLAN 5 preklopnika br. 2, mogu komunicirati međusobno kao da su spojeni u lokalnu mrežu. Portovi preklopnika koji se nalaze u različitim VLAN-ovima ne mogu komunicirati izravno, već im je za to potreban uređaj koji radi na mrežnoj (L3) razini (usmjernik ili L3 preklopnik). Kada preklopnik dobije označeni okvir preko trunk veze, uklanja oznaku prije slanja na access port. Preklopnik šalje okvir jedino ako je access port član istog VLAN-a kao i označeni okvir. Da bi se smjestio neoznačeni promet, koristi se posebni VLAN nazvan native VLAN. Neoznačeni promet primljen na DOT1Q trunk portu automatski se prebacuje u native VLAN. Na Ciscovim Catalyst preklopnicima po defaultu je VLAN 1 native VLAN. Bilo koji VLAN se može postaviti kao native; mora se jedino voditi računa o tome da je isti postavljen na oba kraja DOT1Q trunk veze. Ukoliko bi bili drugačiji, postoji mogućnost pojave spanning-tree petlje zbog nepodudaranja native VLAN-a na oba kraja. Za postavljanje VLAN-a kao native, na DOT1Q trunk portu se koristi naredba DOT1Q native vlan broj.
Povezivanje različitih VLAN-ova
Iako se VLAN-ovi mogu prostirati preko nekoliko preklopnika, samo članovi istog VLAN-amogu komunicirati. Uređaj trećeg sloja OSI modela se koristi za komunikaciju između različitih VLAN-ova. Veza između preklopnika, veza usmjernika i preklopnika se može napraviti postavljanjem posebnih veza za svaki VLAN posebno ili ekonomičnije, spojiti s jednom vezom; na portu preklopnika konfigurirati trunk vezu a na portu usmjernika uključiti podsučelja. Podsučelja dijele jedno fizičko sučelje u više logičkih veza. Za svaki VLAN je potrebno aktivirati na usmjerniku po jedno podsučelje, te uključiti DOT1Q enkapsulaciju. Na taj način svako podsučelje (i svaki VLAN) ima svoju vlastitu logičku vezu i zadani pristupnik ( d e f a u l t gateway).
podjela sučelja usmjernika na podsučelja
8
VLAN članstvo
Administratori dodjeljuju članstvo u VLAN-u statički ili dinamički.
Statičko VLAN članstvo zahtjeva od administratora da ručno dodjeli pojedini port preklopnika pojedinom VLAN-u. Npr. ukoliko je na portu Fa0/1 dodjeljen VLAN 20, bilo koji uređaj koji se spoji na port Fa0/1 automatski postaje član VLAN-a 20. Ovakvo VLAN članstvo je najednostavnije za postaviti, te je najpopularnije, iako zahtjeva najviše potpore od administratora kod dodavanja, mjenjanja ili premještanja. Npr. ukoliko se želi premjestiti host iz jednog VLAN-a u drugi, potrebno je ručno promjeniti VLAN postavke za port preklopnika, ili kabel uređaja priključiti u drugi port preklopnika postavljen na drugi VLAN.
Dinamičko VLAN članstvo zahtjeva VMPS (VLAN Management Policy Server). VMPLSsadrži bazu podataka koja mapira MAC adrese sa pripadajućim VLAN-ovima. Kada se uređajpriključi na port preklopnika,VMPS traži postoji li MAC adresa zapisana u bazi te privremenododjeljuje taj port odgovarajućem VLAN-u. U dinamičkom članstvu sva premještanja, dodavanja i promjene su automatizirane te ne zahtjevaju dodatni rad administratora. Bilo statičko ili dinamičko članstvo, maksimalni broj VLAN-ova ovisi o modelu preklopnika i o njegovom IOS-u (Internetwork Operating System).
Prednosti i nedostaci VLAN mreža
Glavne prednosti upotrebe VLAN-ovaU nastavku ovog poglavlja navedene su neke od glavnih prednosti upotrebe VLAN-ova u računalnim mrežama.
Povećanje performansi mrežeU preklapanim mrežama grupiranje korisnika u VLAN-ove rezultira povećanjem performansi mreže limitiranjem prometa na korisnike koji provode slične funkcije ili se nalaze unutar individualnih grupa. Isto tako budući da se kreira manje prometa, to znači da se i manje prometa usmjerava prema drugim mrežama što rezultira smanjenom latencijom koju uzrokuju usmjerivači.
Olakšana administracija mrežaUporabom virtualnih LAN-ova mreža s preklapanjem se logički segmentira (dijeli) prema nekoj funkciji: organizacijskoj strukturi, radu na projektu ili prema tome koju aplikaciju neki korisnik rabi, a ne prema fizičkoj odnosno zemljopisnoj lokaciji. Tako VLAN-ovi pružaju jednostavniji, fleksibilniji i jeftiniji način administriranja mreža u okolinama koje se konstantno i učestalo mijenjaju. Također, VLAN-ovi kod administriranja i održavanja velikih mreža dopuštaju centraliziranu konfiguraciju krajnjih uređaja koji su fizički dislocirani jedni od drugih.
9
Neovisnost o fizičkoj topologiji mrežaVLAN-ovi omogućavaju neovisnost o fizičkoj topologiji mreže dopuštajući grupiranje korisnika na različitim lokacijama, pri čemu su oni logički spojeni u iste domene razašiljanja. Ujedno ako se mijenja lokacija korisnika i krajnjih uređaja, jednostavnim dodjeljivanjem priključaka na preklopniku pojedinom VLAN-u korisnik ostaje u svom VLAN-u.
Ograničenje razašiljanja prometa na VLAN-uVLAN-ovi promet razašiljanja (eng. broadcast) zadržavaju samo unutar sebe. Iako na jedanpreklopnik može biti spojeno više krajnjih uređaja, ako oni ne pripadaju istom VLAN-u, pakete koje jedno od računala pošalje neće dobiti sva ostala računala spojena na isti preklopnik, već samo ona koja se nalaze u istom VLAN-u. Računala koja su spojena na jedan preklopnik, a pripadaju različitim VLAN-ovima međusobno ne mogu komunicirati, osim ako je to dozvoljeno. Da bi paketi mogli prolaziti između različitih VLANova potrebno je imati L3 preklopnik ili usmjerivač koji će znati usmjeravati pakete s jedne mreže na drugu.
Zaštita od malicioznih korisnikaPošto su u VLAN-ovima svi korisnici na jednoj podmreži, ako se jedan od njih zarazi virusom ili nekim drugim malicioznim programom postoji velika mogućnost da se i ostali korisnici tog VLAN-a isto zaraze. Ali u mrežama gdje nisu implementirani VLAN-ovi svi korisnici na mreži mogu biti zaraženi malicioznim kodom, dok je kod mreža izvedenih pomoću VLAN-ova prijetnja ograničena samo na dotični VLAN.
Povećana sigurnost mreže
Na usmjerivačima ili L3 preklopnicima se može implementirati kontrola prometa između VLAN-ova. Na taj način je moguće već na mrežnom nivou zaštititi određene dijelove mreže (npr. računovodstvo, dekanat,…). Primjer takve povećane sigurnosti je Blaster crv koji tokom svog rada generira ogromnu količinu broadcast-a, koja je u ovom slučaju ograničena samo na pripadajući VLAN. Računala koja su spojena na jedan preklopnik, a pripadaju različitim VLAN-ovima međusobno ne mogu komunicirati. Da bi paketi mogli prolaziti između VLAN-ova potrebno je imati usmjerivač koji će znati usmjeravati pakete s jedne mreže na drugu. Ukoliko postoji nekoliko međusobno spojenih preklopnika te na njima definirano nekoliko istih VLAN-ova potrebno je omogućiti promet između dva računala koja se nalaze u istom VLAN-u, ali su spojena na različite preklopnike. Za to je potrebno koristiti VLAN Trunking Protocol (VTP). Ovaj protokol omogućava da se preko jednog sučelja prenosi promet svih VLAN-ova. Na Cisco uređajima u istu svrhu se može koristiti i ISL (eng. Inter- Switch Link Protocol).
Prioritiziranje mrežnog prometaIEEE 802.1Q posjeduje mogućnost rada u tandemu s IEEE 802.1P standardom koji omogućava prioritiziranje mrežnog prometa. Time je moguće povećati kvalitetu usluge prijenosa mrežnog prometa. Svaki put kad se unutar preklopnika spremnici koji čuvaju primljene mrežne pakete prepune, preklopnik može na temelju prioriteta koji su dodijeljeni pojedinim mrežnim paketima, odrediti koje pakete treba početi prvo uklanjati. Takvim načinom rada mrežni promet višeg prioriteta ima veću mogućnost dolaska na cilj.
10
Glavi nedostaci upotrebe VLAN-ova
Iako se o VLAN-ovima prvenstveno razmišlja kao o unaprjeđenju postojećih mreža, VLAN-ovi ipak imaju i svoje nedostatke od kojih su glavni razloženi u nastavku ovog poglavlja.
Komunikacija između VLAN-ovaRačunala koja se nalaze u kreiranim VLAN-ovima međusobno nisu vidljiva te ukoliko se želiomogućiti međusobna komunikacija, potrebno je koristiti usmjerivač. Ukoliko je potrebno dausmjerivač preusmjerava pakete iz jednog VLAN-a u drugi, mrežno sučelje usmjerivača trebapodijeliti na onoliko podsučelja koliko postoji VLAN-ova. Svakom od tih virtualnih sučelja se dodjeljuje IP adresa iz raspona pojedinog VLAN-a i tu je ujedno adresa predefiniranog izlaza (eng. default gateway) za taj VLAN. Osim adrese, na podsučelju je potrebno definirati kojem VLAN-u pripada te koji trunking protokol podržava.
Kompleksnost VLAN-ovaS povećavanjem računalne mreže bazirane na VLAN-ovima povećava se proporcionalno i broj VLAN-ova te broj pripadnika pojedinih VLAN-ova. Također potrebno je definirati i nove politike propuštanja prometa između VLAN-ova te modificirati postojeće. Svime time raste ukupna kompleksnost konfiguracije i implementacije VLAN-ova.
Noseći kapacitet usmjerivačaUkoliko se usmjerivači koriste za usmjeravanje prometa između različitih VLAN-ova tada se može pojaviti problem propusnosti usmjerivača. Kod velikih mreža koje imaju mnogo VLAN-ova nije dobro da se za usmjeravanje koristi jedan usmjerivač zbog nemogućnosti obrade velikih količina paketa.
Neovlašteno uključivanje u pojedini VLANUkoliko lokalni korisnici imaju mogućnost pristupa preklopniku koji određuje pripadnost pojedinim VLAN-ovima, tada su oni u mogućnosti neovlašteno se uključiti u VLAN u koji ne pripadaju. Ovaj slučaj moguć je kod VLAN-ova baziranih na priključcima preklopnika koji su ujedno i najčešći oblik, a rješenje za to je korištenje nekog drugog sustava VLAN-ova kao što je npr. sustav VLAN-ova baziranih na MAC adresama.
11
TIPOVI KONEKCIJA U VLAN MREŽAMA
Uređaji u VLAN mrežama se mogu spojiti u mrežu na tri različita načina, ovisno o uređajima koji su „svjesni“ VLAN tehnologije, uređajima prema kojima je transparenta („nisu svjesni“) VLAN tehnologija i uređajima koji moraju poštovati odgovarajući VLAN format.
TRUNK LINKSvi spojeni uređaji moraju podržavat VLAN tehnologiju, moraju sadržavat specifični format zaglavlja framea koji govori o pripadnosti VLANu. Moguće je konfigurirati trunk linkove da filtriraju promet odgovarajućih VLANova.Uključivanjem uređaja 3 sloja OSIa kao što je Layer3 Switch ili ruter na trunk link,omogućeno je preusmjeravanje (rutiranje) prometa različitih VLANova.
ACCESS LINKSpojeni uređaji na ovaj tip linka ne podržavaju VLAN tehnologiju, a switch na koji je vezan link može imati port bazirano dodjeljivanje linkova.
Na slici je prikazan TRUNK link koji prenosi frameove različitih VLANova, ali i ACCESS portovi koji pripadaju odgovarajućem VLANu.
HYBRID LINK
12
Ovaj tip linka je kombinacija TRUNK i ACCESS linka na koji je moguće spojiti uređaje koji podržavaju ili ne podržavaju VLAN tehnologiju. Odnosno, ovaj tip porta može primiti tagirane ili netagirane frameove. Hibridni link se u prošlosti koristio za implementaciju VLANova u mrežama koje su uključivale hubove i repeatere, a koji ne podržavaju VLAN tehnologiju, dok u današnjim mrežama se koriste u VoIP telefoniji.
Identifikacija VLAN-a
Kod putovanja prometa s više VLAN-ova preko jedne veze, potrebna je VLAN identifikacija tj. označavanje okvira. Za razlikovanje pripadnosti pojedinog podatka 802.1Q standard koristizaglavlje (header) koje unutar sebe sadrži informaciju o oznaci VLAN-a. Dakle svi podaci koji se šalju kroz trunk link će se slati sa ovakvim zaglavljem te će se na drugom kraju, tj. na odredištu u skladu s time svrstati u pravi VLAN.
format 802.1 Q zaglavljaNapomena: pojam trunk link, tj. trunk port je pojam koji koristi Cisco u svojoj implementaciji.
Drugi proizvođači mogu koristiti drugačije nazive.
13
VLAN POTOKOLI I DIZAJN
Najčešći protokol koji se danas koristi u konfiguraciji VLANova je IEEE 802.1Q (Institute of Electrical and Electronics Engineers). IEEE 802.1Q standard definira metodu multipleksiranja prometa različitih VLANova u mrežama gdje je implementirana oprema različitih proizvođača. U trenutku pojave 802.1Q standarda postojeći protokoli kao Cisco ISL (Inter-Switch Link) i 3Com VLT (Virtual LAN Trunk) su podržavali mreže istog proizvođača i nisu radili u mrežama koje su sačinjavali uređaji različitih proizvođača.
ISL i 802.1Q tagiraju promet eksplicitnom metodom, sam frame je tagiran s VLAN informacijama. ISL koristi proces vanjskog tagiranja koji ne mijenja postojeći ethernet frame, dok 802.1Q koristi polje koje se ubacuje unutar framea i tako ga mijenja.
ISL standardInter-Switch Link (ISL) je Ciscov standard, i radi samo na Ciscovoj opremi, a omogućava tagiranje i opisuje format framea za point-to-point linkove između uređaja, obično switcheva. ISL dozvoljava implementaciju između switcheva, rutera, NICs (Network Interface Cards) koji koriste krajnji uređaji kao serveri. Da bi ISL fukncionirao svaki uređaj na takvom linku mora biti ISL kofiguriran. Svaki uređaj koji ne podržava ISL standard zaključit će da je došlo do greške unutar framea, a odgovarajuća radnja je uništavanje takvog framea.
ISL radi na drugom sloju OSI modela enkapsulirajući (priprema) frameove sa novim zaglavljem i novim ISL CRCom (cyclic redundancy check). Zbog specifične enkapsulacije gdje ISL obuhvaća frame, gdje je originalni frame sačuvan unutar samog ISL formata čini ga neovisnom o Data-link protokolu.
Svaki frame pripremljen ISL standardom dobija 26B zaglavlje i 4B CRC prije slanja. Zaglavlje definira 10b identifikaciju što omogućava identificiranje 1024 VLANa (210=1024), dok broj podržanih VLANova definira hardware/software samog ISL uređaja.
Opis polja ISL zaglavlja
· DA - 40b multicast destinacijska adresa.
· Type - 4bopsinikenkapsuliranog tipa framea
o Ethernet (0000)
14
o Token Ring (0001)
o FDDI (0010)
o ATM (0011).
· User - 4bopisnik koji služi za definiranje prioriteta
o 0 - najniži prioritet
o 3najviši prioritet
· SA -48bizvorna MAC adresakoju koriste Catalyst switchevi
· LEN - 16bdužina framea minus DA type, user, SA, LEN, and CRC.
· AAAA03 - Standard SNAP 802.2 LLC (Logical Link Control) zaglavlje
· HSA - prva 3B SA uključuje identifikaciju proizvođača ili identifikaciju organizacije
· VLAN - 15b VLAN ID –koriti se nižih 10b za identifikaciju VLANova
· BPDU - 1bopsinik koji identificira da li je BPDU (Bridge Protocol Data Unit) frame koji se koristi unutar STP (Spanning Tree Protocol) protokola ili CDP (Cisco Discovery Protocol) frame
· INDEX - 16bopsinik koji definira izvorni port
· RES - 16brezervirano polje za dodatne informacije kao što su Token Ring i Fiber Distributed Data Interface (FDDI) frame Frame Check (FC) polje.
IEEE 802.1Q standard
IEEE 802.1Q standard je nadogradnja na standard IEEE 802.1 . IEEE 802.1Q ili skraćenog naziva dot1q standard se obično veže za enkapsulacijski protokol koji dozvoljava kreiranje VLANova u Ethernet mrežama i rutiranje između VLAN mreža pomoću uređaja Layer3 switcha ili rutera.
Frame koji putuje unutar istog VLANa kroz mrežu organizacije dobiva oznaku VLANa na način kako je definiran 802.1Q standardom.
15
U dot1q standardu rezervirano je 12b za oznaku VLANa što daje ukupan mogući broj od 4096 (212=4096) mogućih VLANova po trunk linku.
TPID - Tag Protocol Identifier: 16b bitno polje postavljeno na heksa vrijednost 0x8100 ili binarno 1000 0001 0000 0000 koji služe kao identifikator framea kao 802.1Q frame. Kod netagiranih frameova se nalazi na polju EtherType/Size.
PCP - Priority Code Point: 3b polje koje definira 8 razina prioriteta, 0 kao najmanji i 7 kao najviši. Može se koristiti za klasifikaciju prometa (zvuk, video, podaci itd.).
CFI - Canonical Format Indicator: 1b polje koje se koristi zbog kompatibilnosti Ethernet i Token Ring mreža. U Ethernet mrežama CFI bit je postavljen na 1, a u Token Ring mrežama na 0.
VID - VLAN Identifier: 12bpolje koje određuje u kojem VLANu frame pripada
16
Vrste VLAN-ova
Pridjeljivanje računala odnosno korisnika VLAN-ovima može se izvesti na nekoliko načina koji suopisani u nastavku ovog poglavlja.
VLAN-ovi bazirani na priključcima preklopnika
VLAN-ovi bazirani na priključcima preklopnika (eng. port based), tzv. statički ili Layer 1 VLAN-ovi, obično se koriste u organizacijama kako bi omogućili smanjivanje prometa razašiljanja te za povećanje sigurnost računalne mreže. Pripadnost pojedinog računala određenom VLAN-u određena je dodjelom priključka preklopnika, na koji je to računalo spojeno, tom definiranom VLAN-u. Time, uređaj postaje član određenog VLAN-a na osnovu pripadnosti priključka na preklopniku tom definiranom VLAN-u. Implementacija VLAN-ova baziranih na priključcima preklopnika je relativno jednostavna pošto nije potrebna implementacija nikakvog protokola da bi se krajnji uređaj smjestio u odgovarajući VLAN. Tijekom svog rada, krajnji uređaji ne znaju za postojanje VLAN-a, a grupa mrežnih korisnikadodijeljena jednom VLAN-u formira zasebnu domenu razašiljanja koja je odvojena od ostalih VLANova konfiguriranih na mreži. Paketi se prosljeđuju samo između priključaka preklopnika koji prenose promet za konkretni VLAN. Promet razašiljanja između pojedinih VLAN-ova je eliminiran na preklopnicima (osim ako se ne intervenira korištenjem Layer 3 uređaja) i širina propusnog sloja je sačuvana tako što se dopušta preplavljivanje paketa na samo određene priključke preklopnika.
Priključci na preklopniku se u odgovarajući VLAN smještaju statički i administrator mora za svaki priključak odrediti pripadnost određenom VLAN-u. Na osnovu pripadnosti pojedinom VLAN-u, priključci dobivaju Port VLAN ID (PVID) koji pokazuje njihovu pripadnost odgovarajućem VLANu. Time je omogućena brza i jednostavna dodjela VLAN-a krajnjem uređaju i ukoliko se korisnik preseli na drugi priključak, a želi imati isti VLAN kao i prije, tada se mora obaviti pridjeljivanje priključka u odgovarajući VLAN, tzv. port-to-VLAN dodjeljivanje.
Priključak na preklopniku
VLAN ID
1 12 13 24 35 46 37 48 1
Primjer pripadnosti priključaka preklopnika pojedinim VLAN-ovima
17
VLAN-ovi bazirani na tipu protokola
Mrežni promet se može razdvajati u pojedine VLAN-ove na temelju protokola koji se koriste. Time pojedini protokoli bivaju smješteni u definirani VLAN. Preklopnici pri tome koriste liste tipova protokola kako bi dodjeljivali korisnike u definirane VLAN-ove. Ovo je jedan vrlo fleksibilan način povezivanja koji se bazira na programskoj konfiguraciji računala. Promjenom konfiguracije i korištenih protokola korisnik sam mijenja pripadnost VLAN mreži. U nekim je okolnostima ova osobina poželjna zbog svoje jednostavnosti, ali negdje može biti i nepoželjna zbog sigurnosnih razloga.
Protokol VLAN ID
IP 1PBX 2VoIP 3
Primjer pripadnosti protokola pojedinim VLAN-ovima
VLAN-ovi bazirani na MAC adresama
Kod VLAN-ova baziranih na MAC adresama mrežnih kartica, tzv. dinamički ili Layer 2 VLAN-ovi, preklopnici se konfiguriraju s pristupnim listama (eng. access lists) koje povezuju individualne MAC adrese krajnjih uređaja s definiranim VLAN-ovima. Time je pripadnost određenom VLAN-u određenaMAC adresom krajnjeg uređaja. Kada se krajnji uređaj spoji na preklopnik, preklopnik mora pregledati bazu kako bi krajnji uređaj smjestio u odgovarajući VLAN. Administrator mora u tu bazu unijeti MAC adrese i VLAN-ove u koje te MAC adrese treba smjestiti. Budući da su MAC adrese dio mrežne kartice, kada se uređaj premjesti na neku drugu lokaciju nije potrebna nikakva nova konfiguracija da bi korisnik ostao na istom VLAN-u. Ovakav način daje veću fleksibilnost.
MAC adresa VLAN ID
080007A92BFC 1090007A9B2EB 409104AB9E2A4 4006008C499AA 208000935C99D 4009027A79DDA 3
Primjer pripadnosti MAC adresa pojedinim VLAN-ovima
18
Korisnički definirano povezivanje
Najfleksibilniji način povezivanja, ali ga podržava mali broj opreme. Pripadnost VLAN mreži je definirana kroz identifikaciju korisnika, aplikacije koje korisnik trenutno upotrebljava i sl. Potrebno je izgraditi centraliziranu bazu podataka o korisnicima i njihovim pravima pristupa, što je znatan posao pri izgradnji mreže, ali znatno olakšava kasnije održavanje i nadzor.
VLAN-ovi bazirani na definiranim pravilima
Određeni proizvođači omogućili su u svojim uređajima korištenje VLAN-ova baziranih nadefiniranim pravilima (eng. rule based) koji omogućavaju administratorima kreiranje takvih VLANova gdje se pripadnost određenom VLAN-u određuje na informacijama koje se nalaze u mrežnom paketu koji se prosljeđuje preko preklopnika. Iako ova metoda pruža veliku fleksibilnost, postavljanje i održavanje ovakve mreže može biti kompleksno. Primjer definiranog pravila za pripadnost jednom VLAN-u:
Svi uređaji s IP adresama 100.100.10.xOsim uređaja s IP adresama 100.100.10.10 i 100.100.10.11Osim uređaja s MAC adresom 06-1A-0A-05-3C-02-04
Sprega IEEE 802.1Q protokola s IEEE 802.1P protokolom
IEEE 802.1P protokol omogućava Layer 2 preklopnicima da prioritiziraju mrežni promet pri čemu se izvodi dinamičko filtriranje prometa prema važnosti. Sama prioritizacija se obavlja na MAC sloju. Drugi naziv za prioritiziranje prometa je CoS (eng. Class of Service) jer se promet dijeli u klase prioriteta zavisno o protokolima koji se koriste. Pri tome se e-mail i http prometu često pridjeljuju najniži prioriteti. CoS predstavlja samo dio QoS-a (eng. Quality of Service) standarda očuvanja kvalitete usluge. IEEE 802.1P protokol predstavlja nadopunu na IEEE 802.1Q protokol i oni rade u tandemu. IEEEovo 802.1Q zaglavlje u mrežnom paketu uključuje 802.1P polje koje se sastoji od 3 bita što omogućava grupiranje mrežnih paketa u 8 različitih klasa prioriteta. Iako mrežni administratori mogu definirati željeni poredak prioriteta, IEEE je preporučio da se u najviši prioritet 7 stavlja mrežni promet visokog prioriteta kao što su RIP (eng. Routing Information Protocol) i OSPF (eng. Open Shortest Path First) protokoli za definiranje usmjeravanja mrežnog prometa. Vrijednosti 6 i 5 imaju niži prioritet i preporuča se njihovo korištenje za mrežne pakete koji nose promet koji bi trebao biti isporučen u stvarnom vremenu – npr. interaktivni video prikaz ili glas. Vrijednosti od 4 do 1 preporuča se koristiti za aplikacije koje posjeduju poslovnu važnost kao što su npr. razmjene poslovnih podataka pa sve do prometa koji se može i izgubiti. Razina 0 je predefinirana vrijednost koja će biti automatski postavljena ukoliko se ne definira niti jedna druga vrijednost. Određivanje razina za pojedini promet obavlja se na preklopnicima te ukoliko određeni preklopnik postane zagušen mrežnim paketima, preklopnik počinje odbacivati mrežne pakete počevši s onima koji su najnižeg prioriteta.
19
Kreiranje VLAN-a
Kada se stvara VLAN, dodjeljuje mu se port i ime. Broj može biti bilo koji u rasponu koji preklopnik podržava, osim VLAN 1. Neki preklopnici podržavaju oko 1000 VLAN-ova, dok drugi podržavaju više od 4000. U praksi se pokazalo da je imenovanje VLAN-a poželjno radidaljnjeg održavanja i upravljanja mreže. U Cisco IOS-u VLAN se kreira u globalnom konfiguracijskom modu na sljedeći način:
Nakon kreiranja , VLAN-u se dodjeljuju portovi. Po defaultu, svi portovi su dodjeljeni VLAN1. Ukoliko se žele dodjeliti pojedinačni portovi, koristi se sljedeća naredba:
Ukoliko se želi dodjeliti raspon portova npr. od Fa0/1 do Fa0/15, koristi se naredba zaoznačavanje raspona:
Ako se želi ukloniti port iz određenog VLAN-a, koristi se negirana naredba tj. no switch access vlan VLAN_broj. Kada port nije povezan s nekimVLAN-om automatski se povezuje ponovno na VLAN 1. Za brisanje VLAN-a se također koristi negirajuća naredba tj. no vlan VLAN_broj. Kod provjere, održavanja te rješavanja problema vezanih uz VLAN-ove, najčešće se koristi naredba show vlan. Ona prikazuje detaljnu listu svih aktivnih VLAN-ova na preklopniku, zajedno sa portovima koji su im dodjeljeni.
20
Testiranje VLAN mreže na simulatoru
Simulator u kojem sam radio naziva se Packet tracer. To je Cisco program koji je razvijen u svrhu vježbanja konfiguriranja mreža. U njemu imamo izbor raznovrsne opreme koja se u simulatoru ponaša identično kao i u stvarnosti. Da bi isprobali funkcionalnost potrebno je prvo tu našu mrežu napraviti u Packet traceru. Testiranje mreže radimo na način da odaberemo paket koji se nalazi na desnoj strani u packet traceru i zatim kliknemo na polazno računalo (R1), te zatim na odredišno računalo (U2). Nakon tog pričekamo rezultat koji se ispiše u donjem kutu packet tracera. Kada dobijemo poruku da je status SUCCESSFUL, znači da je naš paket prošao.
popis uređaja, sučelja, ip adresa, sabnet maski i pristupnika
21
popis uređaja, sučelja, ip adresa, sabnet maski i pristupnika
22
DeviceInterface /
subinterface
Port switch-a
IP Address /Subnet Mask Default Gateway
Router SPLITFao/0Fa0/1
Fa0/0.2 192.168.1.3 255.255.255.0Fa0/0.3 192.168.2.3 255.255.255.0
Fa0/0.4 192.168.3.3 255.255.255.0
Switch GUSAR1Fa 0/2 Access Vlan 2
Fa0/3 Access Vlan 3Fa0/4 Access Vlan 4
Fa0/1 TrunkFa0/5 Trunk
Switch GUSAR2Fa0/2 Access Vlan 2
Fa0/3 Access Vlan 3Fa0/4 Access Vlan 4
Fa0/1 TrunkFa0/5 Trunk
PC - P1 NIC Fa0/2 192.168.1.1 255.255.255.0 192.168.1.3
PC –P 2 NIC Fa0/2 192.168.1.2 255.255.255.0 192.168.1.3PC –R1 NIC Fa0/3 192.168.2.1 255.255.255.0 192.168.2.3
PC - R2 NIC Fa0/3 192.168.2.2 255.255.255.0 192.168.2.3
Zaključak
Korištenje VLAN-ova u računalnim mrežama posjeduje brojne prednosti koje se očituju u prvom redu u mogućnosti kontrole i smanjena negativnih utjecaja razašiljanja. Razdvajanjem mreže na manje dijelove, VLAN-ove, povećava se količina raspoloživog propusnog linka (eng. bandwith). Administratori korištenjem VLAN-ova mogu na jednostavan način grupirati uređaje u logičke grupe, a da pri tome pojedina računala koja spadaju u istu grupu ne moraju biti na istoj fizičkoj lokaciji. Grupiranje uređaja u VLAN-ova ne mora se nužno obavljati na temelju pripadnosti priključaka preklopnika pojedinim VLAN-ovima što je ujedno i najčešći slučaj. Administratori mogu VLAN-ove formirati i na drugim principima (IP adrese, MAC adrese, protokoli,…). Ipak, za implementaciju svih oblika VLAN-ova potrebno je posjedovati opremu koja će to podržavati. Iako se korištenjem VLAN-ova smanjuju troškovi na opremu koja bi se trebala koristiti kako bi se mreža segmentirala u željene podmreže, za povezivanje različitih VLAN-ova potrebno je koristiti Layer 3 uređaje što povećava troškove i promet preko tih uređaja.
23
Literatura
[1] Specifikacija IEEE 802.1P “Standard for Local and Metropolitan Area Networks Supplement to Media Access Control (MAC) Bridges: Traffic Class Expediting and Dynamic Multicast Filtering”[2] Specifikacija IEEE 802.1Q “Standard for Virtual Bridged Local Area Networks”,http://standards.ieee.org/getieee802/download/802.1Q-1998.pdf : IEEE 802.1Q Standard[3] VLAN: Virtual Local Area Network and IEEE 802.1Q,http://www.javvin.com/protocolVLAN.html[4] Prioritization of Network Traffic, http://www.linktionary.com/p/prioritization.html[5] 802.1Q VLANs for better bandwidth,http://www.networkworld.com/news/tech/2001/0305tech.html
24
25
![[PPT]PowerPoint 프레젠테이션cfs3.tistory.com/upload_control/download.blog?fhandle=... · Web view... 1 VLAN 2 Backbone VLAN 1 VLAN 1 VLAN 2 VLAN 1 VLAN 2 VLAN 1 VLAN 2 물리적인](https://img.dokumen.tips/doc/110x75/5ac031517f8b9a213f8bb25a/pptpowerpoint-cfs3-view-1-vlan-2-backbone-vlan-1-vlan-1.jpg)
