Sieci VLAN.
Informacje ogólne.
Wirtualna sieć LAN (ang. Virtual Local Area Network, w skrócie VLAN) to zbiór urządzeń sieciowych, które niezależnie od swojej fizycznej lokalizacji należą do tej samej domeny rozgłoszeniowej. Sieci VLAN konfiguruje się w przełącznikach, urządzeniach sieciowych warstwy 2 modelu ISO/OSI. Przykład sieci VLAN przedstawia poniższy rysunek:
Jak wszyscy wiemy podstawowym założeniem lokalnych sieci, Ethernet jest komunikacja pomiędzy wszystkimi hostami w tej sieci i dzielenia zasobów sieciowych. W wielu firmach i instytucjach w sieci są przechowywane informacje, które nie powinny trafiać do użytkowników. Aby to zrealizować tworzono kiedyś tzw. Dedykowane LAN-y była to mała bądź większa podsieć w instytucji. Było to bardzo kosztowne rozwiązanie, ponieważ każda z takich podsieci musiała być zbudowana na własnym przełączniku. Gdy owa podsieć tworzyły 2 może 3 komputery to wiele portów przełącznika było niewykorzystanych, co było jednym słowem marnotrawstwem. Kolejną wadą tego typu rozwiązań była mała mobilność użytkowników i trudność podłączania, hostów nieznajdujących się w bezpośredniej bliskości.
Odseparowanie użytkowników na poziomie warstwy sieciowej nie zapewniało odpowiedniego bezpieczeństwa bowiem jeśli hosty znajdują się w różnych podsieciach komunikacja pomiędzy nimi odbywa się poprzez router przez co on ciągle będzie odbierał ramki rozgloszeniowe. Gdy tylko użytkownik zmieni adres hosta na odpowiedni to będzie komunikował się z innymi hostami wbrew zamysłom administratora.
Zdecydowanie tańszym elastyczniejszym i lepszym rozwiązaniem jest budowa VLAN-ów (sieci wirtualnych) na jednym przełączniku. Dzięki temu powstały również standardy komunikacji pozwalające na grupowanie hostów fizycznie przełączonych do wielu innych przełączników.
Teraz postaram się wymienić kilka zalet sieci vlan. Po pierwsze VLAN pracuje jako logiczna domena rozgloszeniowa pracująca na kilku podsieciach LAN.
Sieci vlan mogą grupowac porty należące do różnych przełączników (grupowanie pracowników w tej samej sieci) zgodnie z potrzebami organizacyjnymi firmy.
Bezpośredni kontakt pomiedzy hostami znajdującymi się w rożnych vlan-ach nie jest możliwy mogą się komunikować tylko stacje będące w tej samej grupie vlan.
Aby umożliwić komunikacje pomiedzy poszczególnymi vlan-ami trzeba wykorzystać funkcje routingu. Dostępna również na routerach wielowarstwowych.
Dobrze skonfigurowane vlany zapewniaja doskonałą politykę bezpieczeństwa, segmentacje użytkowników i elastyczność.
Urządzenia należące do wspólnego vlanu mogą się wzajemnie komuniowac gdyz należą do jednej i tej samej domeny rozgloszeniowej.
Każdy jeden vlan jest odseparowany logicznie przez co żadne ramki nie przedostaną się z jednego vlan-u do drugiego nawet te rozgloszeniowe co zapewnia 100% separacje sieci.
Podział sieci VLAN
Sieci VLAN dzieli się na bazujące na portach, statyczne i dynamiczne . W sieciach VLAN bazujących na portach (ang. port-centric) wszystkie węzły tej samej sieci VLAN przypisane są do tego samego portu switcha. Czyni to pracę administratora sieci łatwiejszą, a samą sieć bardziej wydajną, ponieważ:
? Pomiędzy użytkownikami rozdzielone są porty
? VLAN-y są bardzo łatwe do administrowania
? jest zwiększony poziom bepieczeństwa między sieciami VLAN
? pakiety nie wnikają do innych domen.
W sieciach statycznych skład sieci VLAN stanowi statyczny zbiór wybranych wcześniej portów których przynależność do sieci VLAN nie może ulec zmianie, dopóki administrator nie zmieni konfiguracji.
W sieciach dynamicznych natomiast przełącznik, odpytując specjalny serwer, automatycznie ustala, do jakiej sieci VLAN przypisać dany port, na przykład na podstawie nazwy użytkownika, który rejestruje się w sieci komputerowej. Należy zaznaczyć, że cechą wspólną obydwu rodzajów sieci jest to, że urządzenia (użytkownicy) przyłączone do tego samego portu przełącznika znajdują się w tym samym segmencie sieci, więc muszą należeć do tej samej sieci VLAN.
Identyfikacja ramek
Aby do pjedyńczej sieci LAN można było przypisać fizyczne porty kilku przełączników należy na tym łączu zastosować multipleksację sieci VLAN (ang. VLAN trunking). W tym wypadku konieczne jest przekazywanie między przełącznikami dodatkowej informacji która jest dodana do każdej ramki, mianowicie mam na myśli numer ID danego vlan-u.
Technika ta polega na dodawaniu do ramki informacji o sieci VLAN nadawcy. Tak zmodyfikowana ramka przesyłana jest łączami multipleksowanymi (ang. VLAN trunk) tak długo, aż dotrze do docelowego przełącznika. Ten zaś przed przekazaniem ramki na właściwy port usuwa z niej nadmiarową informację, wprowadzoną przez pierwszy przełącznik.
Podejście to nazywane jest etykietowaniem ramek (ang. frame tagging). Przykład ramki:
Komunikacja między sieciami VLAN
Przełączniki nie mogą przesyłać ramek między różnymi sieciami VLAN,ponieważ nie zgodne jest to z ideą tworzenia sieci VLAN - separacją domen rozgłoszeniowych. Do komunikacji między sieciami VLAN stosowane są ? rutery (urządzenia warstwy wyższej). Jedna sieć VLAN na wyższym poziomie przekłada się na jedną sieć IP. Zadaniem rutera jest przenoszenie ruchu sieciowego pomiędzy różnymi sieciami IP. W ten sposób uzyskuje się możliwość komunikowania różnych sieci VLAN.
Zwiekszanie bezpieczeństwa sieciowego poprzez VLAN-y.
Za pośrednictwem sieci przekazuje się często poufne i kluczowe dane. Tajne dane wymagaja środków bezpieczeństwa w postaci ograniczeń dostępu. Jednym z problemów towarzyszących współdzielonym siecią LAN jest względnie łatwa możliwość ich penetracji. Przyłączając się do aktywnego portu, intruz otrzymuje dostęp do całego ruchu przesyłanego w danym segmencie. Im większa grupa, tym potencjalnie szerszy dostęp. Jedną z opłacalnych cenowo i łatwych do zarządania technik zwiększających bezpieczeństwo jest segmentacja sieci na wiele grup rozgłoszeniowych, pozwala to administratorowi sieci:
ograniczyć liczbę użytkowników w grupie VLAN
odmówić pozostałym użytkownikom dostępu, do czasu uzyskania przez nich pozwolenia od programu zarządzającego siecią VLAN
przypisać wszystkie nieużywane porty do domyślnej sieci VLAN.
Zaimplementowanie tego typu segmentacji jest stosunkowo łatwe. Porty switcha grupowane są w oparciu o typ aplikacji i prawa dostępu. Chronione aplikacje i zaosby są często umieszczane w zabezpieczonej grupie VLAN. W zabezpieczonej sieci VLAN dostępu do grupy strzeże router, co ustawiane jest zarówno w switchach, jak i routerach. Ograniczenia mogą być nakładane w oparciu o adresy stacji, rodzaje aplikacji lub typy protokołów.
Użytkownik bipiw edytował ten post 20 05 2013 - 22:03
