VLAN podľa skupinového vysielania - Typológia VLAN sietí

2 Virtuálne lokálne siete

2.4 Typológia VLAN sietí

2.4.5 VLAN podľa skupinového vysielania

Skupinové vysielanie v IP sieťach (IP multicast) pracuje tak, že paket určený k skupinovému vysielaniu je poslaný na špeciálnu adresu, ktorá funguje ako proxy pre explicitne definovanú skupinu uzlov (IP adries). Paket je potom doručený všetkým uzlom, ktoré sú členmi danej skupiny. Skupina sa zostavuje dynamicky, uzly sa do tejto skupiny priebežné prihlasujú a odhlasujú. Všetci členovia tejto skupiny sú ako členovia inej virtuálnej siete, pretože skupina tvorí jednu doménu všesmerového vysielania. VLAN podľa skupinového vysielania sa od vyššie popisovaných typov VLAN líšia v dvoch podstatných dôvodoch. VLAN podľa skupinového vysielania je vytvorená dynamiky len na určitú dobu, je veľmi flexibilná a jej rozsah nie je obmedzený smerovačmi, to znamená, že sa môže rozposielať napríklad aj po rozľahlých sieťach WAN [3].

15 2.4.6 VLAN pomocou LAN emulácie

VLAN vytvorené pomocou technológie LAN emulácie možno považovať tiež za jeden z typov VLAN. Aj keď technológia VLAN bola pôvodne vytvorená v prostredí ethernetových prepínačov, nič nebránilo použitiu virtuálnych sietí aj v ATM sieťach.

VLAN v sieťach ATM je možné aplikovať dvoma spôsobmi:

o Ak je technológia ATM použitá iba na chrbticových prepínačoch, t.j. v sieti nie sú žiadne koncové uzly ATM, je toto prostredie chrbtice ATM pre virtuálne siete transparentné. Pripojené LAN prepínače medzi sebou komunikujú pomocou paketov, ktoré sú označené členstvom v danej VLAN bez toho, aby detekovali existenciu ATM siete medzi sebou.

o Iným prípadom je stav, kedy aj zdieľané servery sú priamo pripojené k chrbtici priamym ATM pripojením. Aby sme zaistili členstvo v niektorej VLAN aj týmto uzlom, musíme použiť technológiu emulovaných LAN (LANE – LAN Emulation).

Ako je zrejmé už z názvu, základnou funkciou LANE je emulácia LAN v ATM sieti.

LANE protokol definuje rozhranie pre stávajúce protokoly vyššej sieťovej vrstvy. Pakety týchto sieťových protokolov sú potom posielané cez ATM sieť, ktoré sú zapúzdrené v jednom z dvoch možných LANE MAC rámcoch. LANE protokol spôsobuje, že ATM sieť vypadá ako sieť typu Ethernet alebo Token Ring.

Základné prvky LANE sú LES (LAN emulation server), poskytujúci mapovanie MAC a ATM adresami a LEC (LAN emulation client), rozhranie, ktoré musí obsahovať každý člen ELAN (Emulované LAN popísané nižšie) – okrajové prepínače ATM a koncové uzly ATM. Jednotlivé LEC v okrajových prepínačoch môžu ako proxy LEC zastupovať štandardné uzly.

LES poskytuje podľa požiadaviek jednotlivých LEC preklad medzi MAC a ATM adresami, keďže LEC môžu komunikovať medzi sebou priamo po ATM sieti a sprostredkovať tak priamu komunikáciu po chrbtici ATM jednotlivým klasickým uzlom, pripojeným k okrajovým prepínačom.

Pretože LEC môže byť členom viacerých ELAN, štandard LANE umožňuje vytvorenie viacerých prekrývajúcich sa virtuálnych sietí. Tak môžu uzly z rôznych ELAN pristupovať k spoločným sieťovým zdrojom bez nutnosti prechodu cez smerovač.

Členmi ELAN môžu byť iba uzly ATM, zatiaľ čo členmi VLAN môžu byť aj uzly ATM, tak aj uzly na štandardných segmentoch. Na ELAN sa môžeme pozerať ako na podmnožinu VLAN. Vzájomné vzťahy oboch sietí názorne zobrazuje obrázok č. 3. [3]

Obr. 3 Vzájomný vzťah virtuálnych a emulovaných LAN v sieťach ATM

(Zdroj: http://www.svetsiti.cz/technologie/2003/VLAN/image004.gif)

Prepojovanie ELAN

Vytváranie viacnásobných ELAN na jednej ATM sieti vyvoláva aj ich prepojovanie ako medzi sebou, tak aj so sieťami LAN a WAN. Tak ako medzi všetkými VLAN aj medzi ELAN je jediná možná komunikácia pomocou smerovača. Pre správnu komunikáciu a výkonnú komunikáciu v tejto ATM sieti je potrebný ATM smerovač – smerovač

s výkonným ATM rozhraním. Používaný je one-armed router² smerovač len s jedným ATM rozhraním. Na tomto jednom fyzickom rozhraní je implementovaný viacnásobný LEC, každý pre jednu ELAN.

Smerovanie dátových paketov potom prebieha tým istým spôsobom ako u štandardných sietí. Jednotlivým ELAN sú priradené rôzne čísla sietí (napr. IP SubnetNumber). Podľa adresy cieľa LEC potom pozná, že paket nie je lokálny, t.j. cieľ nie je na rovnakej ELAN a pošle ho na svoj predvolený smerovač, ktorý samozrejme musí byť členom rovnakej ELAN. Smerovač po obdržaní paketu určí zo svojich smerovacích tabuliek cieľovú ELAN. Ak je smerovač jej členom, presmeruje do nej daný paket, v prípade one-armed router po tom istom rozhraní, akým bol paket prijatý, ale iným LEC do inej ELAN. V prípade viacerých ELAN na jednom rozhraní je ale nevýhodou možnosť vzniku úzkeho miesta siete z hľadiska priepustnosti a tak isto aj nebezpečenstvo miesta z hľadiska poruchovosti.[3,4]

2.5 Konfigurácia VLAN

Konfigurácia VLAN je realizovaná prostredníctvom konfigurácie prepínačov, pri ktorých je možné využiť:

o prekrížený sériový kábel

o telnet a ethernetové rozhranie (IP)

o protokol http prostredníctvom web rozhrania

Do prepínačov sa pripájajú pracovné stanice a zariadenia podporujúce protokol TCP/IP. Každá pracovná stanica alebo zariadenie môže byť priradené do rôznych VLAN.

Je teda nutné určiť, do ktorej VLAN budú mať prístup jednotlivé pracovné stanice a je dôležité, či bude zariadenie súčasťou jednej alebo viacerých VLAN.

Pri východiskovom nastavení prepínača je zapnutá prevádzka VLAN. Preto sú všetky rámce prepínačom odovzdávané so značkou VLAN. Táto značka môže byť u rámca už pri vstupe do prepínača alebo ju pridáva prepínač. Informácie o VLAN existujúcej už pri vstupe do prepínača sú prepínačom automaticky spracované. Prepínač si z označených rámcov prečíta informácie o VLAN a podľa týchto informácií odovzdá rámce na správne

2 Smerovač, ktorý na prevádzku dvoch alebo viacerých VLAN využíva len jeden port.

porty. Pre potrebu aby VLAN vstupovala do prepínača bez značiek, musí sa prepínač prekonfigurovať. Konfigurovať sa môže cez webové rozhranie, z konzoly alebo protokolom SNMP (Simple Network Management Protocol)[6].

2.5.1 Pridelenie portov k VLAN

Pred zapnutím režimu VLAN musíme každý port prepínača prideliť skupine VLAN, v ktorej bude pracovať. Pri výrobnom nastavení sú všetky porty priradené sieti VLAN 1 ako neoznačené. Ak je potrebné prevádzkovať jednu alebo viac VLAN a zariadenie na druhej strane prepojenia tiež podporuje VLAN, pridá sa označený port, t.j. port priradený k zariadeniu podporujúcemu VLAN. Port na druhej strane prepojenia sa priradí rovnakým VLAN. Ak treba niektorý port prepínača zapojiť do jednej alebo viac VLAN a zariadenie na druhej strane prepojenia VLAN nepodporuje, musí sa pridať neoznačený port, t.j. port pripojený k zariadeniu, ktoré nepodporuje VLAN.

VLAN zostavené podľa portov sú naviazané na konkrétne porty. Predávanie rámcov prepínačom sa riadi adresou MAC cieľa a priradeným portom. Preto sa prepínač učí vzťah medzi adresou MAC, priradeným portom a VLAN za prevádzky, a podľa týchto vzťahov sa rozhoduje medzi pridávaním (forwarding) a zaplavovaním (flooding) [6].

Statická VLAN sa vytvorí manuálnym priradením portov prepínača k danej VLAN.

Toto nastavenie zostáva platné dovtedy, kým ho správca znova nezmení. Aj keď by sa zdalo, že manuálne nastavovanie je nepraktické, statické VLAN siete sú pomerne bezpečné, prehľadné, a ľahko manažovateľné. Vytvorenie statickej VLAN siete na prepínači je pomerne jednoduché. Prvým krokom je vytvorenie príslušnej VLAN siete, vstúpením do VLAN módu a zadaním príkazu:

Switch#vlan database

Switch(vlan)#vlan cislo_vlan [nazov_vlan]

Switch(vlan)#exit

Potom sa musí VLAN priradiť jednotlivým rozhraniam. Predpokladajme, že na rozhranie 3 chceme priradiť VLAN 2:

Switch#interface fastethernet 0/3

Switch(config-if)#switchport access vlan 2

Zadanú konﬁguráciu je možné overiť príkazom show running-conﬁguration.

This command will deactivate all ports on vlan2 in the entire management domain

Do you want to continue(y/n) [n]?y Vlan 2 deleted

Tento príkaz je možné použiť iba na prepínači, ktorý beží ako VTP server, pretože ten distribuuje informácie do celej domény. Naopak, na VTP klientskom prepínači tento príkaz nie je možné použiť. V prepínači nastavenom ako VTP transparentný má zmazanie VLAN iba lokálny charakter. Vymazanie VLAN z rozhrania Cisco prepínača je tiež pomerne jednoduché. Nasledovný príkaz vymaže VLAN 2 z rozhrania prepínača:

Switch(config-if)#no switchport access vlan 2

2.5.3 VLAN z hľadiska štruktúry a služieb organizácie

Z hľadiska VLAN môžeme pozorovať dva trendy. Na jednej strane segmentujeme sieť z dôvodu zmenšovania záťaže, na strane druhej nám nové aplikácie pre skupinovú spoluprácu, e-mail, aplikácie internetu, prístup k internetu pôsobia opačným trendom. K týmto aplikáciám vyžadujú používatelia prístup bez ohľadu na členstvo vo VLAN.

Definovali sme si spôsoby vytvorenia VLAN podľa typu členstva uzlov, to je konkrétny spôsob fyzickej konfigurácie VLAN na prepínači. Z pohľadu štruktúry organizácie a zdieľaných zdrojov VLAN môžeme vytvoriť na základe:

o organizačnej štruktúry, o poskytovaných služieb.

Z hľadiska organizačnej štruktúry je VLAN vytvorená pre každú organizačnú jednotku podniku – vedenie, výroba, obchodné oddelenie. Predpokladáme že väčšina

komunikácie prebieha v rámci organizačnej jednotky – so špecializovanými lokálnymi servermi jednotlivých oddelení, tlačiarní atď. Iba celopodnikové zdieľané zdroje, ako napríklad e-mailová brána, sú členmi všetkých VLAN. Popisovaný prístup je administratívne pomerne nenáročný a je vhodný pre organizácie s jasne definovanou plochou štruktúrou.

Vytvorenie VLAN na základe poskytovaných služieb nekopíruje organizačnú štruktúru firmy, ale je založené na prístupe používateľov k jednotlivým poskytovaným sieťovým službám. To znamená že každá VLAN je vytvorená pre jednu službu alebo súvisiace skupiny služieb siete. Napríklad členmi VLAN k službe e-mail budú všetci užívatelia a členmi VLAN databázového servera s ekonomickými agendami budú len členovia ekonomického oddelenia. Tento prístup je síce administratívne oveľa náročnejší ako predchádzajúci spôsob, ale lepšie zodpovedá súčasnej organizácii moderných firiem.

2.5.4 Vzájomná komunikácia prepínačov

Ak má byť VLAN obmedzená na jeden samostatný prepínač, musí byť prepínač nakonfigurovaný tak, aby predal informácie o členstve jednotlivých uzlov, t.j. ktorý uzol patrí do ktorej VLAN. Až na prostredie ATM³, boli skúšané tri metódy pre vzájomné predávania týchto informácii medzi prepínačmi:

1. Adresové tabuľky - prepínače si udržujú v pamäti tabuľky adries jednotlivých uzlov a odpovedajúceho členstva vo VLAN, platnosť tabuliek musí byť udržiavaná vzájomnou synchronizáciou. Táto vzájomná synchronizácia môže zbytočne zaťažovať sieťovú komunikáciu v prípade rozsiahlejšej siete.

2. Značkovanie rámcov (Frame tagging) - jednotlivé rámce sú pri prenose medzi prepínačmi (po tzv. interswitchtrunks) označené špeciálnou hlavičkou, ktorá nesie informácie o členstve vo VLAN.

3. TDM (time division multiplexing) - táto metóda spočíva v rezervácii samostatných prenosových kanálov na spojoch medzi prepínačmi po jednotlivej VLAN. Z TDM vyplýva neefektívne využitie prenosového pásma.

3 Vytváranie virtuálnych sieti pomocou technológie emulácia LAN

2.6 Štandardy

Prvé dva najdôležitejšie návrhy boli 802.10 VLAN Standard od firmy Cisco z roku 1995 a 802.1Q návrh 802.1 z roku 1996.

2.6.1 Štandard 802.10 VLAN

Štandard 802.10 od firmy Cisco z roku 1995, ktorá sa pokúsila využiť svoj návrh IEEE 802.10. Pôvodne bol navrhnutý pre oblasť bezpečnosti LAN. Upravená hlavička mala miesto zabezpečovacích informácií niesť identifikačné informácie VLAN. Technicky išlo o vyhovujúce riešenie, väčšina členov výboru 802 organizácie IEEE sa ale postavila proti. Veľmi im vadilo použitie jedného štandardu pre dva rôzne účely. Inou podstatnou komunikáciou bol predpoklad použitia identifikačných polí s premennou dĺžkou. To by pravdepodobne spôsobilo oneskorenie pri spracovaní rámcov v ASIC⁴ obvodoch prepínačov, tak isto aj ich cena by bola vyššia.

2.6.2 Štandard 802.1Q

Návrh 802.1 z roku 1996 stanovil tri hlavné oblasti riešenia:

o zásady tvorby VLAN,

o štandardizovaný formát prídavných hlavičiek rámca (frame tagging – pre výmenu informácii o členstve vo VLAN medzi prepínačmi),

o smer ďalšieho vývoja.

Význam tohto štandardu spočíva práve v časti štandardizácie formátu prídavných hlavičiek rámca, známeho ako 802.1Q (Standard for Virtual Bridged Local Area Networks).

Aj keď bol návrh štandardu 802.1Q významným prínosom pre väčšinu výrobcov prepínačov – 3Com, Bay Networks, Cisco, IBM atď., čoskoro sa ukázal aj jeho nedostatok.

Definuje totiž vytváranie VLAN len na základe prvej a druhej vrstvy (podľa portov a MAC adries) a neumožňuje vytváranie VLAN na základe tretej vrstvy. To v dnešnej dobe s orientáciou na virtuálne siete definované podľa IP podsieti už nevyhovuje.

4 Application Specific Integrated Circuit, nazývaný aj zákaznícky obvod, je integrovaný obvod navrhnutý a vyrábaný pre určitú špecifickú aplikáciu.

Standard 802.1Q definuje členstvo dátových rámcov v jednotlivých VLAN ich značkovaním a spôsob spracovania paketov a informácií o členstve jednotlivými prepínačmi. Zmyslom je umožniť aplikáciám, koncovým uzlom a prepínačom označovať pakety informáciami o členstve v danej VLAN tak, aby prepínače smerovali alebo filtrovali medzi hranicami jednotlivých virtuálnych sietí, a to bez nutnosti ich zvláštnej konfigurácie. Prepínače si musia udržať filtračnú databázu, ktorá pozostáva z položiek dvoch typov:

o Statické položky – sú pridávané, modifikované alebo mazané len nástrojmi na správu prepínačov. Rozlišujeme dva typy statických položiek:

Statické filtrovacie položky (Static Filtering Entries) – špecifikujú pre každý port, či majú byť rámce, posielané na špecifickú MAC adresu alebo skupinovú adresu a na špecifickú VLAN, smerované alebo odstránené.

Statické registračné položky (Static Registration Entries) – špecifikujú či majú byť rámce posielané na špecifickú VLAN označované, alebo má byť označovanie zrušené a ktoré porty sú pre túto VLAN zaregistrované.

o Dynamické položky - sú dynamicky vytvárané prepínačom bez použitia nástrojov na správu. Proces dynamicky sleduje port z ktorého rámec prišiel, zdrojovú adresu a identifikačné číslo VLAN (VLAN ID) a aktualizuje údaje vo filtračnej databáze. Položky sa po istej nastaviteľnej dobe automaticky z databázy odstránia. Rozlišujeme tri typy dynamických položiek:

Dynamicky filtrované položky (Dynamic Filtering Entries) – špecifikujú, či majú byť rámce posielané na špecifickú MAC adresu alebo špecifickú VLAN, smerované alebo odstránené.

Skupinová registrácia položky (Group Registration Entries) – indikujú pre každý port, či majú byť rámce, posielané na skupinu MAC adries a na špecifickú VLAN odfiltrované alebo odstránené. Tieto položky sú pridávané či mazané na základe informácii vymieňaných protokolom GMRP (Group Multicast Registration Protocol). Popísaným spôsobom je umožnené získavanie správ skupinového vysielania v rámci jednej VLAN bez ovplyvňovania ostatných.

Dynamická registrácia položky (Dynamic Registration Entries) – určuje, ktoré porty sú registrované pre špecifickú VLAN. Ako v predchádzajúcom

prípade, aj tu sú položky pridávané alebo zrušené na základe informácii, ktoré sú špecifické pre protokol GARP VLAN Registration Protocol, kde GARP je po slovensky (Generic Attribute Registration Protocol).

2.6.3 Štandardy značkovania rámcov

Prepínače musia poznať pri smerovaní rámcov ich príslušnosť k jednotlivým rámcom VLAN. Potom môžu rozhodnúť, na ktoré výstupné porty budú rámce posielané, informácie o príslušnosti rámcov vo forme špeciálnych značiek – tagov. Okrem tohto základného účelu môžu tagy tiež obsahovať [4,6]:

o informácie o užívateľskej priradenej priorite, o riadiace informácie pre sourcerouting, o informácie o formáte MAC adresy.

Používateľskú priradenú prioritu definuje štandard 802.1P, ktorý bol zavedený súčasne s 802.1Q. Obidva štandardy využívajú niekoľko bitov v hlavičke ethernetového rámca.

Z toho dôvodu musel byť zavedený nový formát ethernetového rámca, ktorý je definovaný štandardom 802.3ac. Na obrázku 4 je vyznačený rozdiel medzi štandardným a novým 802.3ac ethernetovým rámcom [4, 6].

Obr. 4 Rozdiel medzi štandardným a 802.3ac Ethernetovým rámcom

(Zdroj: http://www.svetsiti.cz/technologie/2003/VLAN/image003.gif)

Nové polia pridávajú do rámca ďalšie štyri bajty [4,6]:

o Polia TPID majú definovanú hodnotu 8100 (hex). Ak má teda toto pole (EtherType) hodnotu 8100, rámec nesie informácie IEEE 802.1Q/802.1P.

o Podrobnejší pohľad na pole TCI je v spodnej časti obrázku č.3. Prvá časť pola User priority umožňuje zakódovanie až do ôsmich úrovní priority rámcov ( 0-7, nula je pritom najnižšia priorita) podľa štandardu 802.1P.

o CFI bit indikuje, či sú MAC adresy v kanonickom formáte (v prípade SNAP

kódovaného TPID) alebo prítomnosť RIF pola

(Source-RoutingInformationField) u rámcov Token Ring, zavedená z dôvodu kompatibility.

o Pole VID potom jednoznačne identifikuje VLAN, do ktorej rámec prislúcha.

Z veľkosti pola (12 bitov) môže byť teoreticky maximálny počet virtuálnych sietí (4096). Hodnota 0 sa používa k identifikácii prioritných rámcov a hodnota 4095 (FFF) je rezervovaná, takže zostáva 4094 VLAN.

3 Prípadová štúdia – Návrh VLAN

Prípadová štúdia sa zaoberá implementáciou VLAN v školskom prostredí. Nakoľko sa škola rozrastá a komunikácia v školskej sieti sa výrazne zvýšila a postupne zahlcovala, bolo nevyhnutné nájsť riešenie na segmentáciu siete a jednotlivým segmentom prideliť špecifické prístupové oprávnenia k serverom, pripadne usmerniť a zefektívniť komunikáciu medzi segmentmi siete. Prípadová štúdia poskytuje prehľad poskytovaných služieb, konfiguráciu prepínačov a práva používateľov v jednotlivých VLAN sieťach.

3.1 Špecifikácia požiadaviek

Kapitola sa zaoberá špecifikáciou požiadaviek na VLAN v škole, rozdelením pracovných skupín a prístupom jednotlivých skupín k rôznym dátam.

Účelom predkladaného návrhu má byť zefektívnenie komunikácie v školskej sieti, oddelenie jednotlivých skupín ako administratívne oddelenie, učitelia, študenti a podobne.

Ďalším zámerom je zvýšiť priepustnosť siete a zrýchliť komunikáciu v sieti. Riešenie má taktiež umožňovať jednoduché premiestnenie jednotlivých pracovných staníc bez nutnosti zmeny infraštruktúry siete. Zmena má byť realizovaná jednoduchým nastavením prepínača administrátorom školskej siete z miesta pracoviska administrátora.

Implementáciou VLAN sa predpokladá zníženie nákladov, zlepšenie časovej efektivity administrátorov siete, kontrola komunikácie v sieti a tým aj sledovanie pracovného nasadenia jednotlivých pracovných stanovíšť a samozrejme ochrana dát medzi jednotlivými segmentmi.

Riešenie má byť implementované do existujúcej školskej infraštruktúry. Predpokladá sa otvorenosť predloženého riešenia, t.j. po úpravách sa môžu pridávať ďalšie VLAN, prislúchajúce novým pracovným skupinám a taktiež bude možná úprava oprávnení jednotlivých skupín a stanovíšť.

Hlavná funkcia produktu bude v rozdelení siete na jednotlivé segmenty (VLAN), nadefinovanie práv jednotlivých sietí, pripadne jednotlivých pracovných staníc, jednoduchá konfigurácia pri premiestnení pracovnej stanice.

Predpokladá sa rozdelenie školskej siete do troch segmentov:

- Administratíva

26 - Učitelia

- Študenti

Každý z týchto segmentov bude mať vlastnú VLAN s prístupom na jednotlivé servery, ktoré sú umiestnené v dátovom centre školy, kde budú ukončené jednotlivé VLAN-y.

V dátovom centre budú umiestnené servery typu:

- server Administratíva pre študijné oddelenie, ekonomické oddelenie a rektorát

- server Učitelia - server Študenti

- hlavná brána, ktorá bude zabezpečovať prístup k internetu a firewall

3.2 Analýza súčasného stavu siete

Škola ma štruktúrovanú kabeláž s aktívnymi nemanažovateľnými prepínačmi, ktoré vykazujú malú priepustnosť. Pri počte cca 100 aktívnych počítačov v sieti dochádza k zahlcovaniu súčasnej siete. Na obrázku č. 5 je znázornená štruktúra súčasného stavu siete. Jednotlivé pracovné stanice spolu nesystematicky komunikujú. Pracovné stanice vysielajú svoje požiadavky po celej sieti, ku každej pracovnej stanici. Pri veľkom počte pracovných staníc je táto komunikácia neúnosná. Závažným problémom je bezdrôtový prenos medzi jednotlivými vzdialenejšími bodmi. Bezdrôtový prenos slúži na prepojenie poschodí, je veľmi nestabilný a má malú priepustnosť na rozdiel od optického káblového

In document Využitie virtuálnych lokálnych počítačových sietí v organizáciách (Stránka 15-0)