Virtuális helyi hálózat

A virtuális helyi hálózat ( VLAN ) egy logikus alhálózat ( szegmens (hálózat) ) egy kapcsolón vagy egy teljes fizikai hálózaton belül . Több kapcsolón is átnyúlhat. A VLAN a fizikai hálózatokat alhálózatokra osztja annak biztosításával, hogy a VLAN-képes kapcsolók ne továbbítsanak kereteket ( adatcsomagokat ) egy másik VLAN-ra (bár az alhálózatok összekapcsolhatók megosztott kapcsolókkal).

Okok és előnyök, valamint hátrányok

Ma a helyi hálózatokat általában az OSI 2. szintjén működő aktív összetevők segítségével hozzák létre . Ezek az alkatrészek általában kapcsolók . A manapság gyakori kapcsoló megvalósításoknak köszönhetően, amelyek általában teljes duplex módban működtetik a kapcsolatokat és ütközések nélkül működnek, nagyon nagy, mégis nagy teljesítményű, néhány száz vagy ezer állomással rendelkező LAN-ok is felállíthatók.

Az ilyen hálózatok felosztása több okból is kívánatos lehet:

rugalmasság
amikor a végberendezéseket hálózati szegmensekhez rendeli, függetlenül a bázisállomás helyétől.
Teljesítmény szempontok
Például bizonyos adatforgalom, például a VoIP , történhet egy VLAN-ban, amelyet prioritásként kezelnek az átvitel során. Gyakran azonban csak le akarja csökkenteni az adási tartományokat , hogy a közvetítések ne terjedjenek az egész hálózatra.
Biztonsági szempontok
A VLAN-ok jobban védik a hálózatokat a kémkedés és a lehallgatás ellen, mint a kapcsolóalapú hálózatok. A kapcsolóalapú hálózatok biztonsági előnyt élveznek; de facto ma már nem ez a helyzet, mivel számos támadási lehetőség létezik számukra, például a MAC elárasztása vagy a MAC hamisítása . A VLAN-ok viszont erőteljesebbek, mivel útválasztókat használnak a VLAN-ok összekapcsolására , amelyek eredendően érzéketlenek a 2. réteg támadásaira . Ezen túlmenően, routing lehetőséget kínál a használó tűzfalak egy layer 3 alapon , ami nyit egy nagyobb választéka tűzfal rendszerek (mert layer 2-alapú tűzfalak viszonylag ritkák). Különösen óvatosnak kell lennie a dinamikus VLAN-okkal vagy olyan rendszerekkel, amelyek automatikus tanulási módban működnek (lásd: kapcsolótípusok ). Ezek ugyanúgy veszélyeztethetők , mint a kapcsolók, és így hatástalanná tehetik a VLAN-megvalósítások biztonságának tervezett nyereségét .

Ez utóbbi két szempont megfelelő kábelezéssel, valamint több kapcsoló és útválasztó használatával is elérhető. A VLAN-ok használatával azonban ez elérhető az általában rendelkezésre álló és csak nagy erőfeszítésekkel bővíthető fizikai kábelezéstől függetlenül, ami a megnövekedett rugalmasság mellett gazdasági értelmet is felmutathat: a VLAN-képes eszközök bizony drágábbak , de több egyedi eszközt is kicserélhet.

Adatforgalom hozzárendelése VLAN-okhoz

Az alhálózatok hozzárendelhetők egy VLAN-hoz statikusan a kapcsolók portkiosztásával, a csomagokon (címkéken) lévő speciális jelölésekkel vagy dinamikusan (például MAC-címek , TCP- és UDP- portokig terjedő IP-címek és magasabb protokollok révén). A VLAN-hoz is lehet portot rendelni a felhasználó hitelesítése után , pl. B. lehetséges a 802.1X alkalmazásával .

Minden VLAN formálja (mint egy normál, fizikailag elkülönített hálózati szegmens) a saját sugárzási tartományát. Útválasztóra van szükség a VLAN-ok közötti forgalom átlátható továbbításához . A modern kapcsolók belsőleg biztosítják ezt a funkciót; ezután az egyik egy 3. réteg kapcsolóról beszél .

A VLAN-ok fölénye a különböző alhálózatokhoz való fizikai hozzárendeléshez képest azon a tényen alapul, hogy az ügyfél a kapcsolási elemnél (többrétegű kapcsoló, útválasztó) egyik VLAN-ról a másikra válthat anélkül, hogy fizikai kapcsolatot kellene megváltoztatnia.

VLAN kapcsolók csatlakoztatása

Ha egy VLAN kiterjed több kapcsoló, vagy egy külön linket (kábel) szükséges a kapcsolat az egyes VLAN, vagy az úgynevezett VLAN fatörzsek (VLT) alkalmazunk. A módszer megfelel az aszinkron multiplexelésnek . Ezért egy VLT-t használnak az adatok továbbításához a különböző VLAN-októl egyetlen kapcsolaton keresztül. Mind az egyes portok, mind a kötegelt portok (lásd a linkek összesítését ) felhasználhatók erre a célra.

VLAN típusok

Régebbi VLAN-kompatibilis kapcsolók csak olyan port-alapú VLAN-okat tudnak kezelni , amelyeket statikusan kellett konfigurálni. Csak később alakultak ki dinamikus VLAN-ok és saját védjegyű VLAN-ok . Végül az IEEE 802.1Q-n alapuló , ma uralkodó szabványosított címkézett VLAN-ok a saját védjegyű VLAN-okból kerültek elő .

Port-alapú VLAN-ok

A port alapú VLAN-ok a VLAN-ok eredeti formája. A kezelhető kapcsolók arra szolgálnak, hogy egy fizikai hálózati portot portonként több logikai hálózatra szegmentáljanak egy port hozzárendelésével egy VLAN-hoz. A keretben lévő címkéket a továbbítás előtt eltávolítják a kapcsolóról. Az egyik itt egy címkézetlen kikötőről beszél . A port alapú VLAN-ok több kapcsolóra kiterjeszthetők. Manapság erre egy trunk portot ( címkézettként konfigurált portot) használnak. Az ilyen módon szegmentált hálózatok szükség szerinti összekapcsolása érdekében z. B. routert használnak. Továbbá a statikus VLAN konfigurációkhoz tartoznak, és úgyszólván a dinamikus VLAN-okkal ellentétes pólust alkotnak . Egy port konfigurálható címkézettként és címkézetlenül egyaránt . Ez z. Ez például akkor áll fenn, amikor egy porton keresztül több eszköz (pl. VoIP telefon és asztali számítógép) csatlakozik.

Címkézett VLAN-ok

Az Ethernet adatblokk formátumú Ethernet-II az IEEE 802.3 szerint 802.1Q VLAN címkével, amelyet ma szinte kizárólag használnak

A csomagalapú címkézett VLAN - ok eltérnek a régebbi, címkék nélküli, port-alapú VLAN-októl. A tagged kifejezés az angol material tags (áruk megjelölésére használt címkék) kifejezésből származik . A címkézett VLAN-ok olyan hálózatok, amelyek további VLAN-címkével rendelkező hálózati csomagokat használnak.

A VLAN-okban történő címkézést akkor is használják, ha a VLAN-ok pl. B. nyújtson több kapcsolót, például trunk portokat. A keretek itt vannak megjelölve, ami azt mutatja, hogy az adott VLAN-hoz tartoznak.

A címkék VLAN-specifikus információkat adnak a kerethez. Ez a kategória tartalmazza az IEEE 802.1Q , a legrövidebb út áthidalása , a Cisco Inter-Switch Link Protocol (ISL) vagy a 3Com VLT (Virtual LAN Trunk) címkézésén alapuló VLAN-okat . Annak érdekében, hogy a 802.1q szerinti VLAN technológia átlátható maradjon a hálózat régebbi számítógépei és rendszerei számára, a kapcsolóknak képesnek kell lenniük arra, hogy szükség szerint hozzáadják és eltávolítsák ezeket a címkéket.

Portalapú VLAN-ok (azaz olyan címkével nem rendelkező csomagok) esetében egy VLAN-címkét általában hozzáadnak, hogy az adatcsomagot egy törzsön továbbítsák, mielőtt azt betöltenék a csomagtartóba, amely címke azonosítja azt a VLAN-t, amelyhez a csomag tartozik. tartozik. A vevőoldali kapcsolónak ezt újra el kell távolítania. Az IEEE 802.1Q szerinti címkézett VLAN- okkal viszont a csomagokat vagy a végberendezés (pl. Címkézésre képes szerver), vagy az adagoló porton lévő kapcsoló jelöli. Ezért egy kapcsoló változtatás nélkül befecskendezhet egy csomagot a csomagtartóba. Ha egy kapcsoló az IEEE 802.1Q szerint VLAN címkével ellátott keretet kap egy VLT porton (trunk port), azt változatlan formában továbbíthatja is. Csak a vevő porton lévő kapcsolónak kell megkülönböztetnie, hogy egy címkézésre képes eszközt szállít-e (akkor a keret változatlan maradhat), vagy egy nem címkézésre képes eszközről van-e szó, amely az aktuális VLAN-hoz tartozik (akkor a címkét eltávolítva). Ehhez a társított VLAN azonosítót el kell tárolni a kapcsolóban. Mivel az összes csomagot az IEEE 802.1Q szerint VLAN-címkékkel jelölték, egy csomagtartóhoz vagy hozzá kell rendelni az összes továbbítandó VLAN-azonosítót, vagy az összes VLAN-t továbbítani kell. Ha címke nélküli csomagok érkeznek egy trunk portra, azokat vagy egy alapértelmezett VLAN-hoz lehet rendelni (a kapcsoló később csatolja a címkét), vagy a konfigurációtól függően eldobhatók.

Ha egy kapcsoló az egyik portján fogad pl. Ha például VLAN-címkék nélküli csomagokat (más néven natív kereteket) egy régebbi eszközről küldünk, a felhasználónak magának kell gondoskodnia a címke csatolásáról. Erre a célra egy VLAN azonosítót alapértelmezés szerint vagy a felügyelet hozzárendel az érintett porthoz. A csomagot kézbesítő kapcsolónak ugyanúgy kell eljárnia, ha a célrendszer nem tudja kezelni a címkéket (a címkét el kell távolítani).

A VLT-ekhez (trunk portokhoz) tartozó beállítások automatikus megtanulása ma a legtöbb VLAN-kapcsolóval rendelkezik. A kapcsolónak képesnek kell lennie azoknak a csomagoknak a vegyes működésére, amelyek nem ismerik és nem tartalmaznak címkéket, valamint olyan csomagokkal, amelyek már rendelkeznek címkékkel. A VLT-ket ugyanúgy megtanulják, mint a MAC-címeket: Ha a kapcsoló VLAN azonosítóval rendelkező csomagot fogad, akkor először ehhez a VLAN-hoz rendeli a portot. Ha különböző időközönként különböző VLAN azonosítókkal rendelkező csomagokat kap egy porton belül, akkor ezt a portot VLT-ként azonosítják és csomagként használják. Az egyszerű kapcsolók (kezelési opciók nélkül) általában további natív VLAN- t alkotnak minden olyan csomaghoz, amely nem tartalmaz címkéket. Az ilyen csomagokat általában úgy hagyják, ahogy vannak. A törzsportot itt úgy kezelik, mint egy normál (felfelé irányuló) portot. Alternatív megoldásként alapértelmezett címke is hozzáadható.

A VLT -vel ellentétben a trunk kifejezést gyakran teljesen más jelentéssel használják, lásd még a kötegelés (adatátvitel) .

Általában a biztonságot már nem szabad a címkézett VLAN-szolgáltatások közé számítani. A kapcsolók sokféleképpen sérülhetnek, ezért mindig nem biztonságosnak kell minősíteni őket. De közvetlenül a kábelezéssel is elindulhat. Például mérőkapcsok tartoznak professzionális hálózati elemző eszközökhöz, amelyek külsőleg közvetlenül csatlakoznak egy kábelhez és mérik az alacsony elektromágneses teret. Ily módon az ezen a kábelen futó teljes adatforgalom teljesen észrevétlenül olvasható és rögzíthető. Ezzel szemben csak az erős titkosítás (pl. IPsec esetén ) segíthet , amelyet egyes LAN-kártyák közvetlenül hardverben valósítanak meg.

VLAN azonosító hozzárendelése

Statikus VLAN-ok

A VLAN-konfiguráció véglegesen egy kapcsoló portjához van rendelve. Ezután egy port-alapú VLAN -hoz, egy nem címkézett VLAN-hoz tartozik, vagy egy olyan port, amely több VLAN-hoz tartozik. Statikus VLAN-ok esetén a port konfigurációját a rendszergazda előre meghatározza. Ez nem függ a csomagok tartalmától, és a dinamikus VLAN-okkal ellentétben megváltoztathatatlan. Ez azt jelenti, hogy a végberendezés csak egy porton tud kommunikálni a hozzárendelt VLAN-okkal. Ha egy port több VLAN-hoz tartozik, akkor az egy VLAN-törzs, és akkor általában a VLAN-ok kiterjesztésére szolgál több kapcsolón.

A port hozzárendelése több VLAN-hoz azt jelenti, hogy az útválasztók és szerverek több VLAN-hez is csatlakoztathatók egyetlen kapcsolaton keresztül anélkül, hogy minden alhálózathoz fizikai hálózati interfészt kellene használni. Ez azt jelenti, hogy egyetlen eszköz - akár router nélkül is - több VLAN-ban is felajánlhatja szolgáltatásait anélkül, hogy a különböző VLAN állomások kommunikálni tudnának egymással.
Ezeket a VLAN törzseket nem szabad összekeverni a csomagokkal a kapcsolatok összesítése szempontjából , amelyekben az átbocsátás növelése érdekében több fizikai átviteli út van összekötve.

Dinamikus VLAN-ok

A VLAN dinamikus megvalósításával a keret és a VLAN társulását a keret bizonyos tartalmai alapján határozzuk meg. Mivel a keretek összes tartalma gyakorlatilag tetszés szerint manipulálható, el kell kerülni a dinamikus VLAN-ok használatát a biztonság szempontjából fontos alkalmazási területeken . A dinamikus VLAN-ok ellentétben állnak a statikus VLAN-okkal . A csatlakozás alapulhat a MAC vagy IP címeken , a protokolltípusok (pl. 0x809B Apple EtherTalk , 0x8137: Novell IPX , 0x0800: IPv4 vagy 0x88AD: XiMeta LPX ) vagy az alkalmazás szintjén a TCP / UDP portszámok alapján. (53-as portszám: DNS , 80: HTTP , 3128: Kalmárproxy ). Valójában ez megfelel egy kapcsolóport automatikus hozzárendelésének egy VLAN-hoz.

Az összetartozás származhat a csomagtípusból is, és így például elválaszthatja az IPX / SPX hálózatot a TCP / IP hálózattól. Ez a technológia manapság már nem elterjedt, mivel a TCP / IP számos hálózatban felváltotta az összes többi protokollt.

Dinamikus VLAN-ok is használhatók például annak biztosítására, hogy egy mobil eszköz mindig egy adott VLAN-hez tartozzon - függetlenül attól a hálózati aljzattól, amelyhez csatlakozik. Egy másik lehetőség az adatforgalom bizonyos részeinek, például a VoIP teljesítmény vagy biztonsági okokból (elavult) történő átirányítása egy speciális VLAN-ra.

irodalom

web Linkek