Embed Size (px)
DESCRIPTION
Racunarske mreze
Citation preview
1
Virtuelni LAN-ovi
Visoka Tehnička Škola
Računarske mreže
Seminarski rad: Virtuelni LAN-ovi
profesor: student:
Računarske mreže
2
Virtuelni LAN-ovi
Uvod:
Virtual LAN (IEEE 802.1: 802.1Q) predstavlja proširenje računarske mreže (LAN, WAN) upotrebom javne telekomunikacione infrastrukture (npr. Interneta), a privatnost se osigurava upotrebom protokola tuneliranja i odgovarajućih sigurnosnih procedura. Virtual LAN se ostvaruje u trenutku kad se jedan udaljeni korisnik ili deo mreže uspešno spoji na matični deo mreže i ostvari sigurni komunikacioni kanal na javnom komunikacionom kanalu, upotrebom neke od enkripcionih metoda. Uz pomoć Virtual LAN -a LAN ili WAN mreža više nema ograničenja, tj. može se širiti po potrebi na bilo koji deo sveta.
Da bi smo objasnili šta je Virtualni LAN prvo moramo znati neke osnove o LAN-u. Lokalna mreža (Local Area Network – LAN) je komunikaciona mreža koja međusobno povezuje raznovrsne krajnje uređaje (Data Terminal Equipment – DTE) unutar ograničenog područja i omogućuje razmenu informacija između tih uređaja. Za krajnje uređaje kao što su personalni racunari, laptop racunari i radne stanice, obično se koristi generički naziv stanica. LAN možemo generalno definisati kao broadcast domen. Pod tim se misli da ako neki računar pošalje brodcast podatke preko svojeg LAN-a, primi će ih svaki računar koji je priključen na isti LAN. Ti podaci se sprečavaju da pređu u drugi brodcast domen pomoću uređaja zvanog router (gateway).
Organizovanje brodcast domena zavisi od fizičke blizine ili daljine pojedinih računara u mreži. Za izgradnju LAN mreže obično se koriste repeter-i. Oni prosleđuju bilo kakve dolazne podatke kroz mrežu, ali ako dva računara u isto vrijeme pošalju podatke kroz medij, doći će do kolizije i svi podati će biti izgubljeni. Kada se desi kolizija, repeteri će je proslediti kroz mrežu. Ti podaci će se morati ponovo poslati za neki slučajno odabran vremenski interval.
Da bi se sprečilo prosleđivanje kolizije kroz celu mrežu koristimo bridgeove i switcheve koji neće proslediti signal kolizije, ali brodcast i multicast signale hoće. Dakle razlikujemo Collision i Brodcast domene. Jedan brodcast domen je jedan LAN, a jedna Collision domen je jedan LAN-segment. Ti pojedini LAN-segmenti se definisu kao virtualne mreže. Ovo nije fizičko odvajanje već logičko pa računari ne moraju biti fizički zajedno.
Računarske mreže
3
Virtuelni LAN-ovi
Prednosti Virtualnog LAN-a
Bolje performanse
U mrežama gde se veći deo prometa sastoji od brodcasta i multicasta virtuelni LAN može smanjiti takav promet tamo gde nije potreban. Npr. ako se 10 korisnika nalazi na istom brodcast domenu, a brodcast je namenjen samo za njih 5, tada postavljajući tih 5 korisnika u odvojeni virtualni LAN možemo značajno smanjiti promet medijem. Za razliku od switch-eva, router-i mnogo više obrađuju dolazeće pakete te kako promet paketima raste, tako raste i kašnjenje. Korišćenjem virtuelnog LAN-a, smanjuje se potreba za routerima, jer sam virtuelni LAN može stvoriti brodcast domene koristeći switch-eve umjesto router-a.
Lakša formacija virtuelnih grupa
Danas se često osnivaju razvojne grupe za pojedini proizvod koje sadrže ljude iz npr. marketinga, prodaje, financija, razvoja itd. Delovanje takvih grupa obično kratko traje, ali dok traje potrebna je komunikacija između njenih članova. Kreirajući njihov virtuelni LAN, stvaramo brodcast domen samo za članove grupe tako da njihovi brodcast i multicast paketi ne budu poslati drugim grupama. LAN rešenje tog problema bi bilo fizičko pomeranje članova grupe na istu fizičku lokaciju. Problem se pojavljuje kada se uređaji poput stampaca priključuju grupi. Ako članovi nisu na istoj lokaciji, onom članu koji je na drugoj fizičkoj lokaciji neće biti lako da koristi taj uređaj.
Jednostavna administracija
Kada želimo da premestimo računar iz jednog LAN-a u drugi, potrebno ga je fizički premestiti, zatim dodeliti mu novu MAC adresu, I onda reprogramirati router-e. Ako premeštamo korisnika iz jednog virtuelnog LAN-a u drugi, reprogramiranje router-a nije potrebno, a zavisno od tipa virtuelnog LAN-a sav administratorski posao može biti automatizovan.
Računarske mreže
4
Virtuelni LAN-ovi
Jeftinija rešenja
Virtuelnim LAN-om se stvaraju različiti brodcast domeni čime se umanjuje potreba za skupim router-ima
Sigurnost
Ako smestimo pojedine računare u različite brodcast domene, dajemo im pristup paketima tih domena. Slanjem poverljivog materjala brodcast-om, računari iz drugih brodcast domena ne bi imali pristup tim podacima. Da bi se podaci zaštitili od krađe i neautorizovanog pristupa, zaštitu treba osigurati na ovim područjima:
_ autentifikacija _ autorizacija _ poverljivost _ integritet
_ neporecivost transakcije
Rad Virtuelnog LAN-a
Kada LAN bridge primi paket od računara, označi ga virtuelnom LAN oznakom koja je specifična za svaki pojedinacni virtuelni LAN. To je explicitno označavanje. Takođe je moguće i implicitno označavanje kada paket nema oznaku već se pocetni virtuelni LAN određuje npr. gledajući sa kojeg je porta paket došao, njegove MAC adrese, IP adrese i dr.
Da bi se paket mogao označiti bilo kojom od metoda, bridge bi morao sadržati i održavati tablicu koja sadrži adrese virtuelnih LAN-ova i koje polje adrese se koristi za označavanje. Npr. ako se osluškuju portovi, tablica govori koji je virtuelni LAN priključen na koji port. Bridge bi takođe trebao poslati svim ostalim bridge-vima informaciju koji su virtuelni LAN-ovi na njega priključeni. Naosnovu tih podataka bridge-ovi odlučuju gde će paket sledeće biti poslat. Zavisno od toga da li se paket šalje na uređaje koji su virtuelno LAN-svesni, ili virtualn LAN-nesvesni, bridge označava ili ne označava paket.
Računarske mreže
5
Virtuelni LAN-ovi
Implementiranje Virtuelnog LAN-a
Prema nacinu implementiranja, VLAN se deli na pet vrsta:
1. Implementiranje pomoću mrežnog sloja
Ovaj tip virtuelnog LAN-a se zove i "layer-3 base virtual LAN". Switchevi pogledaju IP adresu dolaznog paketa i time definisu virtuelno LAN članstvo pojedinog računara, ali to nije kao obrada paketa kod router-a. Ovaj tip povezivanja računara daje prednost TCP/IP korisnicima jer mogu slobodno premeštati računare bez menjanja svojih adresa. Takođe nema potrebe za označavanjem paketa, jer su sami već označeni polaznom adresom. Jedini problem je malo usporen rad zbog obrade IP adresa paketa. Ovaj virtuelni LAN je učinkovitiji sa TCP/IP, a manje učinkovit sa IPX, DECnet i AppleTalk protokolima.
2. Implementiranje pomoću switch-eva
Ovo je najčešća metoda povezivanja računara u virtuelni LAN. Jedan način je povezivanje nekih portova switch-a u jedan a nekih u drugi virtuelni LAN (npr. portovi 2,3,5 i 8 čine virtuelni LAN A, dok 1,4,6 i 7 čine virtuelni LAN B). Drugi način je povezivanje portova različitih switch-eva u isti virtuelni LAN (npr. portovi 2 i 5 sa prvog switch-a i portovi 1,3 i 6 sa drugog čine virtuelni LAN A, a portovi 1,3 i 6 sa prvog i 2,4,7 i 8 sa drugog switch-a čine virtuelni LAN B). Loša strana ovog načina je ako se računar premesti sa jednog porta na neki drugi, administrator mora prekonfigurisati virtuelni LAN.
VLAN definisan pomocu switch-eva
Računarske mreže
6
Virtuelni LAN-ovi
3. Virtuelni LAN aplikacionog sloja
Članstvo pojedinom virtuelnom LAN-u može biti određeno aplikacijama ili uslugama ili kombinacijom oba. Ovaj tip virtuelnog LAN-a stvara mnogo složenije virtuelne LAN-ove za bolje automatizovanje procesa.
Virtuelni LAN aplikacionog sloja
4. Implementiranje pomoću MAC adrese
MAC adresa svakog računara se nalazi njegovoj mrežnoj kartici. Što omogućava da se računari fizički premeštaju bez da se njihovo članstvo pojedinom virtuelnom LAN-u promeni. Za upotrebu ove metode potrebno je da se svi računari u mreži prvo priključe jednom virtuelnom LAN-u što može rezultovati hiljadama korisnika u istom virtuelnom LAN-u te dovesti do ozbiljnog usporavanja veze.
Virtuelni LAN definisan pomoću MAC adrese
Računarske mreže
7
Virtuelni LAN-ovi
5. Multicast grupe
Računari mogu biti spojeni u pojedine IP multicast grupe. Tada svaka takva grupa postaje virtuelni LAN. Te grupe nastaju dinamički što znači da će pojedinacan racunar biti priključen grupi neko određeno vrijeme. Ovakav tip virtuelnog LAN-a je vrlo fleksibilan i aplikaciono sposoban.
Tipovi veza
Trunk link
Svi uređaji povezani ovakvom vezom moraju biti virtuelno LAN-svesni i svi paketi moraju imati posebno zaglavlje.
Acces link
Access link spaja virtuelni LAN nesvesne uređaje na port virtuelni LAN svesnoga bridge-a.
Računarske mreže
8
Virtuelni LAN-ovi
Hybrid link
Ova veza je kombinacija prethodne dve. I virtuelni LAN svesni i virtuelni LAN nesvesni uređaji mogu biti priključeni. Paketi mogu biti ili označeni ili neoznačeni, ali svi paketi za pojedinačan virtuelni LAN moraju biti ili označeni ili neoznačeni.
Obrada paketa
Bridge kad primi paket, određuje kojem virtuelnom LAN-u pripada. Imamo dva načina određivanja: implicitni i explicitni. Kod explicitnog označavanja na zaglavlje paketa se dodaje oznaka virtualnog LAN-a. Bridge takođe prati u filtrirajućoj tablici koji virtuelni LAN-ovi su na njega priključeni.
Označavanje
Kad se paket pošalje kroz mrežu, nekako se mora znati od kojeg VLAN-a je paket potekao da bi bridge mogao proslediti paket samo na one portove koji pripadaju istom virtuelnom LAN-u, a ne svim njegovim portovima. To se postiže stavljanjem zaglavlja na paket koje dopušta dodeljivanje prioriteta, dopušta postavljanje izvorrne adrese i precizira vrstu MAC adrese. Paketi kojima je dodato takvo zaglavlje nazivaju se označeni paketi tako da oni prenose informaciju o polaznom virtuelnom LAN-u preko cele mreže. Označeni paketi koji se šalju preko hybrid link i trunk link sadrže oznaku, a acces linkom ne.
Postoje dve vrste zaglavlja:
1) Ethernet Zaglavlje: sadrži TPID (Tag Protocol Identifier) i TCI (Tag Control Information)
Ethernet zaglavlje
Računarske mreže
9
Virtuelni LAN-ovi
2) Token Ring i FDDI (Fiber Distributed Data Interface) za glavlje: I za Token Ring I FDDI mreže, zaglavlje sadrži SNAP- kodirani TPDI I TCI
Token Ring I FDDI zaglavlje
TPID je protokol identifikator koji označava da iza njega sledi zaglavlje I TCI koji sadrži postavljen prioritet, CFI (Canonical Format Indicator) VLAN ID (VID). Prioritet je postavljen pomoću 3-bitnog polja koje omogućava prioritet od 0 do 7 gde je 0 najnizi prioritet.
Filtrirajuća tablica
Članstvo virtuelnog LAN-a je postavljeno u filtrirajućoj tablici koja se sastoji od dva tipa zapisa:
1) Statički zapis - Statički zapisi se dodaju, menjaju i brišu samo od strane administratora.Postoje dve vrste statičkih zapisa:
Statički Filtrirajući Zapisi: koji za svaki port definisu da li paket koji se šalje na neku MAC ili grupnu adresu i na neki virtuelni LAN, treba biti prosleđen ili odbačen, ili treba li slediti dinamički zapis.
b) Statički Registracioni Zapisi: koji definisu da li paketi poslati na neki virtuelni LAN trebaju biti označeni ili neoznačeni I koji je port registrovan za koji virtuelni LAN.
2) Dinamički zapis - Dinamičke zapise zapisuje, menja i briše automatski sam bridge gledajući port sa kojeg je paket došao. Zapis će se upisati samo ako port dozvoljava čitanje, polazna adresa je pojedinačna, a ne grupna adresa te ako ima mesta u tablici. Zapisi se sklanjaju iz tablice ako prodje vreme neaktivnosti koje odredjuju administrator i(10-1000000 sec).
Računarske mreže
10
Virtuelni LAN-ovi
Postoje tri tipa dinamickih zapisa:
Dinamički Filtrirajući Zapisi: koji definisu treba li paket koji se salje na neku MAC adresu I na neki virtuelni LAN, proslediti ili odbaciti.
Grupni Registracioni Zapisi: koji određuju za svaki port treba li paket poslat na neku MAC adresu i na neki virtuelni LAN biti obrađen ili odbačen. Ovi zapisi se dodaju i brišu sa GMRP protokolom (Group Multicast Registration Protocol). To omogucuje slanje multicast paketa na pojedinacni LAN bez uticaja na ostale LAN-ove.
Dinamički Registracioni Zapisi: koji definisu koji portovi su dodeljeni kojim virtuelnim LAN-ovima. Zapisi se dodaju i brišu sa GVRP protokolom (GARP virtual LAN Registration Protocol gde je GARP Generic Attribute Registration Protocol).
GVRP se ne upotrebljava samo za obnavljanje dinamičkih registracionih zapisa već i za prenos informacija drugim virtual LAN svesnim bridge-ovima. GVRP dopušta i Virtual LANsvesnim računarima i bridge-ovima da izdaju i povlače virtuelno LAN članstvo. Topologija virtuelnog LAN-a se ustanovljava kada se bridge uključi ili kad se desi promeena u istoj. Ona se saznaje pomoću tzv. spanning-tree algoritma koji sprečava da se formiraju petlje u mreži tako što zatvara portove. Jednom kada je topologija ustanovljena, bridge-ovi definisu topologiju svakog pojedinacnog virtuelnog LAN-a. Time moze doci do razlicitih topologija pojedinih virtuelnih LAN-ova ili jednake za vise njih.
Računarske mreže
11
Virtuelni LAN-ovi
Topologija mreze I virtuelnog LAN-a A dobivena pomocu spanning-tree algoritma
Računarske mreže
12
Virtuelni LAN-ovi
Zaključak:
Virtuelne privatne mreže su mreže koje su povezane preko zajedničkog medijiuma za međusobno umrežavanje sa bezbedonom komunikacijom između segmenata VPN mreža. Virtuelne privatne mreže mogu da budu implementirane na različite načine. Uobičajene metode za uspostavljanje VPN-a su korišćenje šifrovane komunikacije, korišćenje uređaja za pevođenje mrežnih adresa i upotreba mrežnih barijera ili kombinacija ove tri metode. VPN-ovi su veoma korisni za kompanije koje žele da svojim radnicima omoguće pristup zajedničkoj kancelariji koja je povezana sa Internetom. Zaposleni, dalje koriste uobičajena ISP naloge. Međutim, da bi se sprečio neovlašćeni pristup zaposlenih osetljivim informacijama, neophodna je primena VPN-a.
Kada na kraju pogledamo koje su prednosti a koje mane virtualnih LAN-ova, onda zaključujemo da u modernom korišcenju mreža, bez obzira na ograničenja, virtuelni LAN je najfleksibilniji i najsigurniji način umrežavanja unutar firme ili institucije.
Računarske mreže
13
Virtuelni LAN-ovi
Literatura:
Wikipedia, the free encyclopediahttp://en.wikipedia.org/wiki/IEEE_802.1Q
Javvin.comhttp://www.javvin.com/protocolVLAN.html
Advanced Network Technologies Divisionhttp://www.antd.nist.gov/index.html
Računarske mreže
14
Virtuelni LAN-ovi
Sadržaj:
1.Uvod................................................................................................................................ 22.Prednosti virtuelnog LAN-a…………………………………………………………. 32.1.Bolje performance................................................................................................ 32.2.Laksa formacija virtuelnih grupa……………………………………………… 32.3.Jednostavna administracija............................................................................... 32.4.Jeftinija resenja………………………………………………………………………… 42.5.Sigurnost………………………………………………………………………………….. 43.Rad Virtuelnog LAN-a………………………………………………………………….. 44.Implementiranje Virtuelnog LAN-a………………………………………………. 54.1.Implementiranje pomocnog mreznog sloja………………………………… 54.2.Implementiranje pomoću switch-eva ………………………………………………… 54.3.Virtuelni LAN aplikacionog sloja………………………………………………………….. 64.4Implementiranje pomocu MAC adrese…………………………………………………. 64.5.Multicast grupe…………………………………………………………………………………… 75.Tipovi veza……………………………………………………………………………………………. 75.1.Trunk link…………………………………………………………………………………………... 75.2.Acces link…………………………………………………………………………………………… 75.3.Hybrid link…………………………………………………………………………………………. 86.Obrada paketa………………………………………………………………………………………. 87.Oznacavanje………………………………………………………………………………………….. 88.Filtrirajuca tablica…………………………………………………………………………………. 99.Zakljucak……………………………………………………………………………………………… 1210.Literatura…………………………………………………………………………………………… 13
Računarske mreže
