Počítačové sítě/Virtuální lokální sítě

Z Wikiknih
Skočit na navigaci Skočit na vyhledávání

Virtuální lokální sítě (VLAN) je způsob oddělení zařízení na 2. vrstvě ISO/OSI modelu. Například je vhodné[1], aby počítače a IP telefony byly v oddělených sítích. Nicméně v současné době se preferuje jedna komunikační infrastruktura (tzv. converged network) - data, hlas i video jsou přenášena přes jednu infrastrukturu. Řešením je potom oddělení sítí virtuálně.

Zkratka VLAN je z anglického Virtual Local Area Network.

VLAN tag[editovat]

VLAN tag nebo VLAN značka je volitelná, 4bajtová část ethernetového rámce[2] (v obrázku část 802.1Q (volitelné)). Tato část zahrnuje 16 bitů pro identifikátor tagování (Tag protocol identifier (TPID)) a 16 bitů pro kontrolní informace tagování (Tag control information (TCI)). Kontrolní informace tagování jsou pak rozdělěny na Priority code point (PCP) (3 bity), Drop eligible indicator (DEI) (1 bit) a VLAN identifier (VID) (12 bitů).

Zajímavá je část PCP, která se používá pro Quality of Service (QoS), tedy pro upřednostňování důležitějšího provozu. Důležitým provozem se většinou myslí časově kritické aplikace - například IP telefonie, videokonference či streamování videa.

Časově kritické aplikace nemusí data přenášet rychle, ale je určen časový limit, do kterého budou data se stoprocentní jistotou přenesena. Například pro IP telefonii je časový limit 100-150ms. Po jeho překročení je postřehnutelné zpoždění v komunikaci.

Pro virtuální lokální sítě je nejdůležitější částí VID - identifikátor virtuální sítě. Ten používají přepínače pro oddělení provozu jednotlivých VLAN. Oddělení provozu si lze představit tak, že v přepínači je pro každý VID další, virtuální přepínač, který se stará pouze o rámce identifikované číslem VID.

        0               1               2               3         <- oktet
 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7  <- bit oktetu
~                                                               ~
|                                                               |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|              TPID             | PCP |D|             VID       |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                               |
~                                                               ~

Nejdůležitější pojmy[editovat]

  • Tag protocol identifier (TPID) je na stejné pozici jako EtherType[3] netagovaného rámce (rámce bez VLAN značky), má hodnotu 0x8100 a tím identifikuje rámec jako tagovaný.
  • Tag control information (TCI) obsahuje následující informace:
    • Priority code point (PCP) je 3bitové číslo, které označuje třídu preference služby[4], používá se pro QoS[5].
    • Drop eligible indicator (DEI) je 1bitový identifikátor použitelný pro označení rámců, které nejsou tak důležité a v případě potřeby (vysoký datový provoz, který síťové prvky nestíhají zpracovat) mohou být zahozeny.
    • VLAN identifier (VID) je 12bitové číslo identifikující VLAN. Hodnoty 0x000 a 0xFFF jsou vyhrazené. 0x000 říká, že se má použít pouze PCP (případně DEI) část TCI (VID nenese žádnou informaci). Takovému VLAN tagu se říká priority tag. Výchozí VLAN je identifikována jako 0x001 (VLAN 1). Hodnota 0xFFF se nesmí konfigurovat nebo posílat (požívá se v implementaci, např. jako wildcard maska pro filtrování).

Accessový port[editovat]

Ne všechna zařízení umí tagovat, tedy přiřazovat ethernetovému rámci VLAN tag. Takovým zařízením, které bežně netaguje, je počítač. O tagování rámce se pak musí postarat jiné zařízení, většinou přepínač. Počítač se připojí do portu přepínače, který se v přepínači nastaví jako accessový port pro nějakou VLAN. Accessový port pak příchozí rámce opatří VLAN tagem obsahujícím VID dané VLAN, takže v přepínači je rámec už tagovaný a odchozí rámce VLAN tagu zbaví, takže k počítači se přenáší rámec bez VLAN tagu, jak je počítač zvyklý. Accessový port lze vnímat jako vstup do VLAN.

Pokud by existovaly pouze accessové porty, tak problém, který pomocí VLAN řešíme (jedna komunikační infrastruktura - converged network, na které je možné oddělit datové, hlasové a video služby), by byl vyřešený napůl. Tagování a accessové porty řeší problém více přepínačů - stačí pouze jeden na několik služeb.

Přepínač má nastavené accessové porty 1-6 pro datovou VLAN s tagem (VID) 10, porty 7-12 pro hlasovou VLAN s tagem 20 a porty 13-18 pro video VLAN s tagem 30. Porty 19-24 nejsou použity. Zařízení připojená k jednotlivým accessovým portům ve stejné VLAN spolu na 2. vrstvě ISO/OSI mohou komunikovat, ale komunikace mezi zařízeními připojených do accesových portů různých VLAN není možná. Přepínač je tedy nakonfigurován tak, jako by na jeho místě byly tři samostatné přepínače.

Druhá polovina problému je v kabeláži. Větší počítačové sítě mají typicky větší počet přepínačů, které jsou vzájemně propojeny. Pokud by se na propojení přepínačů použily accessové porty, pro každou VLAN by byl potřeba samostatný kabel propojující dva porty na obou přepínačích.

Trunkový port[editovat]

Problém několikanásobné kabeláže propojující přepínače rozlehlejší sítě řeší trunkové porty. Kabelu, který trunkové porty přepínačů propojuje, se říká trunková linka. Přes trunkovou linku se přenáší rámce opatřené VLAN tagem.

Na trunkových portech se řeší filtrování a preferování jednotlivých VLAN.

Přepínač má nastavené accessové porty 1-6 pro datovou VLAN s tagem (VID) 10, porty 7-12 pro hlasovou VLAN s tagem 20 a porty 13-18 pro video VLAN s tagem 30. Port č. 24, nastavený jako trunkový port, je trunkovou linkou připojen do druhého přepínače se stejnou konfigurací. Pak zařízení připojená k jednotlivým accessovým portům ve stejných VLANách obou přepínačů spolu na 2. vrstvě ISO/OSI mohou komunikovat, ale komunikace mezi zařízeními připojenými do accessových portů různých VLAN není možná.

Nativní VLAN[editovat]

Na trunkové lince by se neměl objevit rámec bez VLAN tagu. Přesto k takové situaci může dojít, ať už z důvodů nesprávné nebo speciální konfigurace. V takovém případě spadá rámec do nativní VLAN.

Reference[editovat]

  1. Většinou z důvodu preference VoIP (Voice over IP - IP telefonie) komunikace, nastavení DHCP option pro provisioning telefonů nebo různým omezením pro hlasovou a datovou část sítě.
  2. https://en.wikipedia.org/wiki/IEEE_802.1Q
  3. Počítačové sítě/Ethernet#Nejdůležitější pojmy
  4. https://en.wikipedia.org/wiki/IEEE_P802.1p
  5. https://en.wikipedia.org/wiki/Quality_of_service