Využitie virtuálnych lokálnych počítačových sietí v organizáciách

(1)

Bankovní institut vysoká škola Praha

Využitie virtuálnych lokálnych počítačových sietí v organizáciách

Diplomová práca

Peter Kráľ Apríl 2010

(2)

Bankovní institut vysoká škola Praha

zahraničná vysoká škola Banská Bystrica Katedra kvantitatívnych metód a informatiky

Využitie virtuálnych lokálnych počítačových sietí v organizáciách

Usage of Virtual Local Area Networks in Organizations

Diplomová práca

Autor: Peter Kráľ

Informačné technológie a manažment

Vedúci práce: Ing. Radoslav Forgáč, PhD.

Liptovský Mikuláš Apríl 2010

(3)

VYHLÁSENIE

Prehlasujem, že som diplomovú prácu spracoval samostatne a s použitím uvedenej literatúry.

V Liptovskom Mikuláši, 30.4.2010 Peter Kráľ

(4)

Poďakovanie

Ďakujem týmto Ing. Radoslavovi Forgáčovi, PhD. za jeho odborné vedenie a pripomienky, ktoré mi poskytol pri vypracovaní tejto diplomovej práce.

(5)

Anotácia

Kráľ, Peter Bc.:Využitie virtuálnych lokálnych počítačových sietí v organizáciách (Diplomová práca) 62 s.

Vedúci práce : Ing. Radoslav Forgáč, PhD., Bankovní institut vysoká škola Praha, zahraničná vysoká škola Banská Bystrica, 2010

Diplomová práca je zameraná na návrh a implementáciu virtuálnej lokálnej počítačovej siete v prostredí zvolenej organizácie. V prvej časti je rozobratá tematika virtuálnych lokálnych počítačových sietí, vznik a história, princíp činnosti a typy virtuálnych sietí. Predmetom hlavnej časti práce je prípadová štúdia návrhu virtuálnej lokálnej počítačovej siete. V tejto časti je opísaná organizácia, kde sa táto štúdia nasadzuje, je opísaný súčasný stav siete, návrh novej siete, systémové požiadavky na sieť a zapojenie koncových pracovných staníc. V záverečnej časti diplomovej práce je opísaný proces implementácie virtuálnej počítačovej siete do sieťovej infraštruktúry zvolenej organizácie vrátane odporúčaní, ktoré vznikli na základe skúseností s implementáciou virtuálnych počítačových sietí.

Annotation

Diploma work deals of the proposal and practical implementation of the virtual local area network in specific institution. First part of the work describes the theory of the virtual local area networks – history, principles and types. Theme of the main part of the diploma work is the case study of the virtual local network proposal. This part describes the institution, in which the study is applied, and its network status. Then the proposal of the new network, the network system specifications and connection of the terminal stations is presented. Final part of the diploma work describes the implementation process of the virtual local network to the recent institution network structure with the recommendations, which were obtained on the basis of virtual local network implementation.

(6)

5

Obsah

1 Úvod ... 7

2 Virtuálne lokálne siete ... 8

2.1 Definícia ... 8

2.2 História a význam VLAN ... 8

2.3 Princíp VLAN ... 9

2.4 Typológia VLAN sietí ... 10

2.4.1 Statické a dynamické VLAN ... 11

2.4.2 VLAN podľa portov ... 11

2.4.3 VLAN podľa MAC adresy ... 12

2.4.4 VLAN podľa protokolu alebo adries ... 13

2.4.5 VLAN podľa skupinového vysielania ... 14

2.4.6 VLAN pomocou LAN emulácie ... 15

2.5 Konfigurácia VLAN ... 17

2.5.1 Pridelenie portov k VLAN ... 18

2.5.2 Zrušenie nakonﬁgurovanej VLAN ... 19

2.5.3 VLAN z hľadiska štruktúry a služieb organizácie ... 19

2.5.4 Vzájomná komunikácia prepínačov ... 20

2.6 Štandardy ... 21

2.6.1 Štandard 802.10 VLAN ... 21

2.6.2 Štandard 802.1Q ... 21

2.6.3 Štandardy značkovania rámcov ... 23

3 Prípadová štúdia – Návrh VLAN ... 25

3.1 Špecifikácia požiadaviek ... 25

3.2 Analýza súčasného stavu siete ... 26

3.3 Analýza požadovaného stavu siete ... 28

3.4 Systémové požiadavky ... 33

3.5 Konfigurácia prepínačov ... 37

3.5.1 Prepínač č.1 ... 38

3.5.2 Prepínač č.2 ... 42

(7)

6

3.5.3 Prepínač č. 3 ... 44

3.6 Implementácia VLAN ... 46

4 Závery a odporúčania ... 57

Zoznam použitej literatúry ... 58

Zoznam symbolov a skratiek ... 60

Zoznam obrázkov ... 61

Zoznam tabuliek ... 62

(8)

7

1 Úvod

Sieťová komunikácia v podnikoch a organizáciách sa neustále rozširuje a zväčšuje a tým prirodzene stúpajú nároky na priepustnosť a bezpečnosť počítačových sietí. Čím viac komunikácia na sieti rástla, tým viac organizácie hľadali riešenie ako priepustnosť a bezpečnosť počítačových sietí zväčšiť. Organizácie a firmy sa často členia na jednotlivé segmenty (skupiny) pracovných staníc, ktoré spolu pracujú na rôznych miestach siete.

Segmentácia je tiež často vyhľadávaná. Jedným z riešení je implementácia virtuálnych lokálnych sietí.

Cieľ diplomovej práce spočíva v spracovaní prípadovej štúdie návrhu a implementácie virtuálnej lokálnej počítačovej siete v prostredí zvolenej organizácie.

V tejto práci je opísaná problematika virtuálnych lokálnych sietí, história, význam, rozdelenie na jednotlivé typy. V diplomovej práci je spracovaná prípadová štúdia v prostredí školy. Na základe rozpísanej implementácie je možné virtuálne lokálne siete použiť v rôznych organizáciách a firmách. Je potrebné doplniť, že tam, kde to bolo v texte vhodné, boli pre niektoré anglické výrazy použité slovenské ekvivalenty, ktoré sú často doplnené pôvodným anglickým pojmom, aby sa čitateľ mohol jednoducho zorientovať.

V diplomovej práci virtuálnu lokálnu sieť budeme označovať VLAN.

(9)

8

2 Virtuálne lokálne siete

2.1 Definícia

Virtuálna lokálna počítačová sieť (VLAN) je tvorená skupinou počítačov, ktoré vytvárajú logicky nezávislú sieť, bez ohľadu na ich fyzické umiestnenie. VLAN má rovnaké vlastnosti ako fyzická LAN, ale umožňuje koncovým staniciam sa vzájomne vidieť, aj keď nie sú umiestnené na rovnakom sieťovom prepínači. Nastavenie a rekonfiguráciu siete možno uskutočniť softvérovo bez nutnosti fyzicky premiestňovať zariadenia [1].

2.2 História a význam VLAN

História VLAN sietí sa začala na konci roku 1995. Rok po uvedení prepínačov sa objavili prvé proprietárne implementácie VLAN. Získali si pozornosť používateľov, pretože v budúcnosti prinášali prevádzkovateľom sietí a ich administrátorom značné finančné úspory, súvisiace so zmenami v konfigurácii sieti pri zlepšených možnostiach manažmentu a zvýšení výkonu. Tým, že umožní správcom ľahkú segmentáciu siete do logických subsietí, ktoré sú nezávislé na fyzickej vrstve, virtuálne siete môžu zjednodušiť úlohy manažmentu, ako sú napríklad premiestnenie čí pridanie pracovnej stanice a vytváranie logických pracovných skupín. Dnešné využitie virtuálnych sietí je odlišné od pôvodných predstáv, kedy sa predpokladalo, že každé oddelenie bude mať svoju vlastnú virtuálnu sieť v celom podniku. Často sa uvádzali výskumy štúdii zo Spojených štátov, podľa ktorých konfiguračné zmeny v sieťach LAN (premiestňovanie, pridanie pracovných staníc, atď.), patria medzi najväčšie nákladové položky v rozpočtoch na manažovanie sietí, až 40 % ročných nákladov. Virtuálne siete sa teda nezačali implementovať len z dôvodu pohodlnosti, ale jedným z hlavných dôvodov bola mimo iného úspora nákladov.

Technológia VLAN je založená na prepínačoch, ktoré priniesli toľko žiadané zväčšenie priepustnosti v preťažených sieťach. VLAN siete sú teda vedľajší produkt vývoja prepínacích technológii. Použitie prepínacích technológii za účelom rozdelenia dátovej záťaže v sieti umožňuje prepojiť viac používateľov bez nutnosti zníženia

(10)

9

priepustnosti siete. VLAN siete posúvajú segmentáciu siete o krok ďalej tým, že oddeľujú fyzickú vrstvu siete podľa OSI modelu od logickej sieťovej typológie [5].

2.3 Princíp VLAN

VLAN je založená na princípe rozpoznávania adries na druhej alebo tretej úrovni OSI modelu (Tab. 1). OSI model sa skladá zo siedmich vrstiev, ktoré možno charakterizovať podľa [2] nasledovne:

Aplikačná vrstva - application layer – najvyššia, siedma vrstva v referenčnom modely OSI, zahrňujúca komunikujúce aplikačné procesy. Poskytuje prostriedky pre výmenu informácií a obsahuje aplikačne orientované protokoly. Pomocou nich tieto procesy komunikujú. Aplikačná vrstva predstavuje rozhranie pre koncového používateľa.

Prezentačná vrstva – presentation layer – zahŕňa hlavne transformačnú a konverznú činnosť. Je to vrstva, ktorá zaisťuje výber vhodnej syntaxie pre reprezentáciu informácií a pre transformáciu aplikačných dát do tejto spoločnej syntaxie alebo z nej.

Spojovacia vrstva – session layer – relačná vrstva, zahrňujúca hlavne činnosti spojené s vytváraním, udržiavaním a zrušením relácie, poskytuje dvom koncovým užívateľom prostriedky na organizáciu a synchronizáciu spojenia a výmeny dát.

Transportná vrstva – transport layer - zahŕňa komunikáciu koncových zariadení pripojených k dátovej sieti a vyrovnáva rozdielne vlastnosti rôznych dátových sietí, poskytuje spoľahlivé služby pre prenos medzi dvomi koncovými bodmi.

Sieťová vrstva – network layer – zahŕňa celkovú komunikáciu v dátovej podsieti, poskytuje prostriedky pre prenos blokov dát medzi otvorenými systémami. Táto vrstva zaisťuje smerovanie a prepojovanie dát pri ich pohybe v sieti.

Spojovacia vrstva – data link layer – vrstva riadenia dátových komunikácií v dvojbodových, prípadne i viacbodových dátových spojeniach, poskytuje služby pre prenos dát po spojovacej vetve, odhaľuje, prípadne opravuje chyby, ktoré sa môžu vyskytnúť vo fyzickej vrstve.

Fyzická vrstva – physical layer – zahŕňa signálové, elektrické a mechanické charakteristiky rozhrania medzi koncovým dátovým zariadením a ukončujúcim zariadením, poskytuje mechanické, elektrické, funkčné a procedurálne prostriedky k vytvoreniu, udržiavaniu a zrušeniu fyzických spojení na prenosovom médiu [2].

(11)

10

Tab. 1 OSI model - Open Systems Interconnection reference model 7. úroveň Aplikačná vrstva

6. úroveň Prezentačná vrstva

5. úroveň Spojovacia – relačná vrstva 4. úroveň Transportná vrstva

3. úroveň Sieťová vrstva

2 . úroveň Spojovacia (linková) vrstva podvrstva MAC

1. úroveň Fyzická vrstva podvrstva LLC

MAC Media Acces Control LLC Logical Link Control

Správne navrhnutá VLAN nám umožňuje zoskupovanie jednotlivých klientov v sieti do logických pracovných skupín. Tieto skupiny sa nastavujú v podstate za pomoci manažovacieho softvéru z manažérskej konzoly alebo za pomoci servisného softvéru na jednotlivých prepínačoch. Výhodou je, že nie je potrebné zasahovať do prepojovacieho poľa na stojanoch (patch panelov), čím sa podstatne menej opotrebovávajú kontakty na zásuvkách a zástrčkách a ostáva nám kvalita spojenia zachovaná. Pri veľmi rozsiahlych prepojovacích poliach, kde sú rádovo stovky pripojení, je aj pohyb s prepojovacími káblami pomerne zložitý a možnosť urobiť chybu sa zvyšuje takmer geometricky so stúpajúcou hustotou prepojení.

2.4 Typológia VLAN sietí

Z hľadiska spôsobu priraďovania portov v rámci VLAN je možné deliť VLAN na dve základné skupiny:

- Statické VLAN - Dynamické VLAN

(12)

11

Z implementačného hľadiska možno rozdeliť VLAN siete do štyroch skupín, ktoré vyplývajú zo spôsobu konfigurácie siete [3]. Rozlišujeme VLAN siete na základe nastavenia:

o portov

o MAC adries uzlov

o sieťového protokolu alebo sieťových adries uzlov o skupinového IP vysielania

2.4.1 Statické a dynamické VLAN

Statické VLAN sú charakteristické tým, že priradenie portu do VLAN je potrebné nastaviť ručne. Potom po zapojení zariadenia do daného portu je toto zariadenie automaticky zaradené do pridelenej VLAN. Istou nevýhodou tohto systému je to, že všetky zmeny musí správca nastavovať manuálne, prihlásením sa na prepínač.

Dynamické VLAN sa vyznačujú dynamickým priraďovaním uzlov do VLAN prostredníctvom jedného sieťového uzla, ktorý je schopný komunikovať s prepínačmi a na základe identiﬁkácie zariadenia pripojeného na port prepínača, prideliť port do určenej VLAN siete. Tento princíp umožňuje ﬂexibilnejší prístup a zároveň poskytuje centralizovanú databázu nastavení [4].

2.4.2 VLAN podľa portov

Historicky prvý typ VLAN sietí, VLAN podľa portov, definuje členstvo v sieťach pre jednotlivé porty prepínača (skupiny portov). Prvá implementácia týchto VLAN neumožňovala rozšírenie VLAN cez viac prepínačov, boli obmedzené len na jeden prepínač. Druhá generácia VLAN podľa portov už dovolila, príklad tejto siete je na obrázku č. 1.

(13)

12 Obr. 1 VLAN členenie podľa portov

(Zdroj: http://www.svetsiti.cz/technologie/2003/VLAN/image001.gif)

Zoskupovanie portov je stále najpopulárnejšou metódou pri vytváraní VLAN sietí. Je veľmi jednoduchá, jej základné obmedzenie ale spočíva v nutnosti predefinovania členstva pri akomkoľvek presune používateľskej stanice medzi jednotlivými portami prepínača [3].

2.4.3 VLAN podľa MAC adresy

MAC adresa je pevne zadefinovaná v obvodoch sieťového adaptéru, takže takto definované VLAN siete považujeme za VLAN podľa MAC adresy . Ak zmení používateľ svoje pripojenie, t.j. premiestni svoju pracovnú stanicu na iný segment, resp. port prepínača, jeho členstvo vo VLAN sa nezmení.

Pri tejto metóde ja nutná prvotná manuálna definícia členstva pre všetky pracovné stanice siete. Inou nevýhodou je možnosť podstatného zníženia výkonu v prípade, ak na porte prepínača je pripojený zdieľaný segment so stanicami v rôznych VLAN. Ďalším okrajovým problémom môže byť situácia, kedy používatelia s prenosnými pracovnými stanicami (notebookmi) menia svoju pozíciu a pripojujú sa pomocou stabilne pripojených

(14)

13

docking stations¹. Tým sa ich definovaná MAC adresa s lokalitou mení (sieťový adaptér je väčšinou súčasťou docku). Možnosť účastníckeho preddefinovania vlastnej MAC adresy priamo v operačných systémoch tento problém, napríklad z bezpečnostného hľadiska, ešte viac komplikuje [3].

2.4.4 VLAN podľa protokolu alebo adries

VLAN podľa protokolu alebo adries sú založené na informáciách v tretej sieťovej vrstve podľa OSI modelu. V multiprotokolových sieťach môžu byť priradené uzly do jednotlivých VLAN podľa prevádzkovaných sieťových protokolov, napríklad v sieťach s protokolom TCP/IP podľa adresy podsiete. Aj keď sa v tejto VLAN pracuje s informáciami sieťovej vrstvy, je dôležité si uvedomiť, že sa nejedná o ich využitie pre smerovanie. Aj keď prepínač musí skontrolovať paket k určeniu IP adresy a tým členstva VLAN, nevykonáva žiadne smerovacie výpočty. Prepínač nevyužíva smerovacie protokoly (ako sú RIP, OSPF) a aj na VLAN definovanú podľa informácii z tretej sieťovej vrstvy sa musíme pozerať ako na sieť prepojenú prepínačmi a mostami.

Rozmach prepínačov aj na tretej sieťovej vrstve a existencia prepínačov so zabudovanými schopnosťami smerovača tento problém pri prvom pohľade trochu zahmlieva. Ide iba o určenie členstva vo VLAN na základe sieťovej adresy v jednom prípade a plné využitie smerovacích funkcií na základe smerovacích protokolov a výpočtov na strane druhej. Tu je nutné podotknúť, že komunikácia medzi jednotlivými VLAN vyžaduje použitie smerovačov – či už klasických alebo vyššie spomínaných prepínačov so smerovacími funkciami.

Spôsob definície VLAN podľa sieťovej vrstvy má svoje výhody. Patrí medzi ne mobilita používateľov (ich staníc) bez nutnosti prekonfigurovania ich členstva vo VLAN, možnosť vytvárania skupín špecifických pre istú službu alebo aplikáciu a eliminovanie potreby značkovania paketov informáciami o členstve vo VLAN pri vzájomnej komunikácií prepínačov. Na príklade si pozrieme, ako môže správca siete vytvoriť špecializovanú VLAN pre IPX protokol. Ako je znázornené na obrázku č.2, porty 6/1, 7/1, 1/2, 2/2 tvoria IPX-VLAN. Tieto porty zostávajú členmi VLAN, vytvorených podľa

1 poskytuje zjednodušený spôsob pripojenia elektronického zariadenia, napríklad prenosný počítač prostredníctvom spoločných periférií

(15)

14

portov, ale sú zároveň novými členmi dynamicky vytvorenej virtuálnej siete pre protokol IPX, ostatné porty tak nie sú zaťažované paketmi IPX všesmerového vysielania [3].

Obr. 2 Vytvorenie VLAN podľa sieťového protokolu

2.4.5 VLAN podľa skupinového vysielania

Skupinové vysielanie v IP sieťach (IP multicast) pracuje tak, že paket určený k skupinovému vysielaniu je poslaný na špeciálnu adresu, ktorá funguje ako proxy pre explicitne definovanú skupinu uzlov (IP adries). Paket je potom doručený všetkým uzlom, ktoré sú členmi danej skupiny. Skupina sa zostavuje dynamicky, uzly sa do tejto skupiny priebežné prihlasujú a odhlasujú. Všetci členovia tejto skupiny sú ako členovia inej virtuálnej siete, pretože skupina tvorí jednu doménu všesmerového vysielania. VLAN podľa skupinového vysielania sa od vyššie popisovaných typov VLAN líšia v dvoch podstatných dôvodoch. VLAN podľa skupinového vysielania je vytvorená dynamiky len na určitú dobu, je veľmi flexibilná a jej rozsah nie je obmedzený smerovačmi, to znamená, že sa môže rozposielať napríklad aj po rozľahlých sieťach WAN [3].

(16)

15 2.4.6 VLAN pomocou LAN emulácie

VLAN vytvorené pomocou technológie LAN emulácie možno považovať tiež za jeden z typov VLAN. Aj keď technológia VLAN bola pôvodne vytvorená v prostredí ethernetových prepínačov, nič nebránilo použitiu virtuálnych sietí aj v ATM sieťach.

VLAN v sieťach ATM je možné aplikovať dvoma spôsobmi:

o Ak je technológia ATM použitá iba na chrbticových prepínačoch, t.j. v sieti nie sú žiadne koncové uzly ATM, je toto prostredie chrbtice ATM pre virtuálne siete transparentné. Pripojené LAN prepínače medzi sebou komunikujú pomocou paketov, ktoré sú označené členstvom v danej VLAN bez toho, aby detekovali existenciu ATM siete medzi sebou.

o Iným prípadom je stav, kedy aj zdieľané servery sú priamo pripojené k chrbtici priamym ATM pripojením. Aby sme zaistili členstvo v niektorej VLAN aj týmto uzlom, musíme použiť technológiu emulovaných LAN (LANE – LAN Emulation).

Ako je zrejmé už z názvu, základnou funkciou LANE je emulácia LAN v ATM sieti.

LANE protokol definuje rozhranie pre stávajúce protokoly vyššej sieťovej vrstvy. Pakety týchto sieťových protokolov sú potom posielané cez ATM sieť, ktoré sú zapúzdrené v jednom z dvoch možných LANE MAC rámcoch. LANE protokol spôsobuje, že ATM sieť vypadá ako sieť typu Ethernet alebo Token Ring.

Základné prvky LANE sú LES (LAN emulation server), poskytujúci mapovanie MAC a ATM adresami a LEC (LAN emulation client), rozhranie, ktoré musí obsahovať každý člen ELAN (Emulované LAN popísané nižšie) – okrajové prepínače ATM a koncové uzly ATM. Jednotlivé LEC v okrajových prepínačoch môžu ako proxy LEC zastupovať štandardné uzly.

LES poskytuje podľa požiadaviek jednotlivých LEC preklad medzi MAC a ATM adresami, keďže LEC môžu komunikovať medzi sebou priamo po ATM sieti a sprostredkovať tak priamu komunikáciu po chrbtici ATM jednotlivým klasickým uzlom, pripojeným k okrajovým prepínačom.

Pretože LEC môže byť členom viacerých ELAN, štandard LANE umožňuje vytvorenie viacerých prekrývajúcich sa virtuálnych sietí. Tak môžu uzly z rôznych ELAN pristupovať k spoločným sieťovým zdrojom bez nutnosti prechodu cez smerovač.

(17)

16

Členmi ELAN môžu byť iba uzly ATM, zatiaľ čo členmi VLAN môžu byť aj uzly ATM, tak aj uzly na štandardných segmentoch. Na ELAN sa môžeme pozerať ako na podmnožinu VLAN. Vzájomné vzťahy oboch sietí názorne zobrazuje obrázok č. 3. [3]

Obr. 3 Vzájomný vzťah virtuálnych a emulovaných LAN v sieťach ATM

Prepojovanie ELAN

Vytváranie viacnásobných ELAN na jednej ATM sieti vyvoláva aj ich prepojovanie ako medzi sebou, tak aj so sieťami LAN a WAN. Tak ako medzi všetkými VLAN aj medzi ELAN je jediná možná komunikácia pomocou smerovača. Pre správnu komunikáciu a výkonnú komunikáciu v tejto ATM sieti je potrebný ATM smerovač – smerovač

(18)

17

s výkonným ATM rozhraním. Používaný je one-armed router² smerovač len s jedným ATM rozhraním. Na tomto jednom fyzickom rozhraní je implementovaný viacnásobný LEC, každý pre jednu ELAN.

Smerovanie dátových paketov potom prebieha tým istým spôsobom ako u štandardných sietí. Jednotlivým ELAN sú priradené rôzne čísla sietí (napr. IP SubnetNumber). Podľa adresy cieľa LEC potom pozná, že paket nie je lokálny, t.j. cieľ nie je na rovnakej ELAN a pošle ho na svoj predvolený smerovač, ktorý samozrejme musí byť členom rovnakej ELAN. Smerovač po obdržaní paketu určí zo svojich smerovacích tabuliek cieľovú ELAN. Ak je smerovač jej členom, presmeruje do nej daný paket, v prípade one-armed router po tom istom rozhraní, akým bol paket prijatý, ale iným LEC do inej ELAN. V prípade viacerých ELAN na jednom rozhraní je ale nevýhodou možnosť vzniku úzkeho miesta siete z hľadiska priepustnosti a tak isto aj nebezpečenstvo miesta z hľadiska poruchovosti.[3,4]

2.5 Konfigurácia VLAN

Konfigurácia VLAN je realizovaná prostredníctvom konfigurácie prepínačov, pri ktorých je možné využiť:

o prekrížený sériový kábel

o telnet a ethernetové rozhranie (IP)

o protokol http prostredníctvom web rozhrania

Do prepínačov sa pripájajú pracovné stanice a zariadenia podporujúce protokol TCP/IP. Každá pracovná stanica alebo zariadenie môže byť priradené do rôznych VLAN.

Je teda nutné určiť, do ktorej VLAN budú mať prístup jednotlivé pracovné stanice a je dôležité, či bude zariadenie súčasťou jednej alebo viacerých VLAN.

Pri východiskovom nastavení prepínača je zapnutá prevádzka VLAN. Preto sú všetky rámce prepínačom odovzdávané so značkou VLAN. Táto značka môže byť u rámca už pri vstupe do prepínača alebo ju pridáva prepínač. Informácie o VLAN existujúcej už pri vstupe do prepínača sú prepínačom automaticky spracované. Prepínač si z označených rámcov prečíta informácie o VLAN a podľa týchto informácií odovzdá rámce na správne

2 Smerovač, ktorý na prevádzku dvoch alebo viacerých VLAN využíva len jeden port.

(19)

18

porty. Pre potrebu aby VLAN vstupovala do prepínača bez značiek, musí sa prepínač prekonfigurovať. Konfigurovať sa môže cez webové rozhranie, z konzoly alebo protokolom SNMP (Simple Network Management Protocol)[6].

2.5.1 Pridelenie portov k VLAN

Pred zapnutím režimu VLAN musíme každý port prepínača prideliť skupine VLAN, v ktorej bude pracovať. Pri výrobnom nastavení sú všetky porty priradené sieti VLAN 1 ako neoznačené. Ak je potrebné prevádzkovať jednu alebo viac VLAN a zariadenie na druhej strane prepojenia tiež podporuje VLAN, pridá sa označený port, t.j. port priradený k zariadeniu podporujúcemu VLAN. Port na druhej strane prepojenia sa priradí rovnakým VLAN. Ak treba niektorý port prepínača zapojiť do jednej alebo viac VLAN a zariadenie na druhej strane prepojenia VLAN nepodporuje, musí sa pridať neoznačený port, t.j. port pripojený k zariadeniu, ktoré nepodporuje VLAN.

VLAN zostavené podľa portov sú naviazané na konkrétne porty. Predávanie rámcov prepínačom sa riadi adresou MAC cieľa a priradeným portom. Preto sa prepínač učí vzťah medzi adresou MAC, priradeným portom a VLAN za prevádzky, a podľa týchto vzťahov sa rozhoduje medzi pridávaním (forwarding) a zaplavovaním (flooding) [6].

Statická VLAN sa vytvorí manuálnym priradením portov prepínača k danej VLAN.

Toto nastavenie zostáva platné dovtedy, kým ho správca znova nezmení. Aj keď by sa zdalo, že manuálne nastavovanie je nepraktické, statické VLAN siete sú pomerne bezpečné, prehľadné, a ľahko manažovateľné. Vytvorenie statickej VLAN siete na prepínači je pomerne jednoduché. Prvým krokom je vytvorenie príslušnej VLAN siete, vstúpením do VLAN módu a zadaním príkazu:

Switch#vlan database

Switch(vlan)#vlan cislo_vlan [nazov_vlan]

Switch(vlan)#exit

Potom sa musí VLAN priradiť jednotlivým rozhraniam. Predpokladajme, že na rozhranie 3 chceme priradiť VLAN 2:

Switch#interface fastethernet 0/3

Switch(config-if)#switchport access vlan 2

Zadanú konﬁguráciu je možné overiť príkazom show running-conﬁguration.

(20)

19 2.5.2 Zrušenie nakonﬁgurovanej VLAN

Ak potrebujeme zrušiť VLAN sieť v už nastavenom prepínači, použijeme príkaz clear vlan cislo vlan. V nasledujúcom príklade sa zruší VLAN 2 v celej spravovanej doméne:

Console>(enable) clear vlan 2

This command will deactivate all ports on vlan2 in the entire management domain

Do you want to continue(y/n) [n]?y Vlan 2 deleted

Tento príkaz je možné použiť iba na prepínači, ktorý beží ako VTP server, pretože ten distribuuje informácie do celej domény. Naopak, na VTP klientskom prepínači tento príkaz nie je možné použiť. V prepínači nastavenom ako VTP transparentný má zmazanie VLAN iba lokálny charakter. Vymazanie VLAN z rozhrania Cisco prepínača je tiež pomerne jednoduché. Nasledovný príkaz vymaže VLAN 2 z rozhrania prepínača:

Switch(config-if)#no switchport access vlan 2

2.5.3 VLAN z hľadiska štruktúry a služieb organizácie

Z hľadiska VLAN môžeme pozorovať dva trendy. Na jednej strane segmentujeme sieť z dôvodu zmenšovania záťaže, na strane druhej nám nové aplikácie pre skupinovú spoluprácu, e-mail, aplikácie internetu, prístup k internetu pôsobia opačným trendom. K týmto aplikáciám vyžadujú používatelia prístup bez ohľadu na členstvo vo VLAN.

Definovali sme si spôsoby vytvorenia VLAN podľa typu členstva uzlov, to je konkrétny spôsob fyzickej konfigurácie VLAN na prepínači. Z pohľadu štruktúry organizácie a zdieľaných zdrojov VLAN môžeme vytvoriť na základe:

o organizačnej štruktúry, o poskytovaných služieb.

Z hľadiska organizačnej štruktúry je VLAN vytvorená pre každú organizačnú jednotku podniku – vedenie, výroba, obchodné oddelenie. Predpokladáme že väčšina

(21)

20

komunikácie prebieha v rámci organizačnej jednotky – so špecializovanými lokálnymi servermi jednotlivých oddelení, tlačiarní atď. Iba celopodnikové zdieľané zdroje, ako napríklad e-mailová brána, sú členmi všetkých VLAN. Popisovaný prístup je administratívne pomerne nenáročný a je vhodný pre organizácie s jasne definovanou plochou štruktúrou.

Vytvorenie VLAN na základe poskytovaných služieb nekopíruje organizačnú štruktúru firmy, ale je založené na prístupe používateľov k jednotlivým poskytovaným sieťovým službám. To znamená že každá VLAN je vytvorená pre jednu službu alebo súvisiace skupiny služieb siete. Napríklad členmi VLAN k službe e-mail budú všetci užívatelia a členmi VLAN databázového servera s ekonomickými agendami budú len členovia ekonomického oddelenia. Tento prístup je síce administratívne oveľa náročnejší ako predchádzajúci spôsob, ale lepšie zodpovedá súčasnej organizácii moderných firiem.

2.5.4 Vzájomná komunikácia prepínačov

Ak má byť VLAN obmedzená na jeden samostatný prepínač, musí byť prepínač nakonfigurovaný tak, aby predal informácie o členstve jednotlivých uzlov, t.j. ktorý uzol patrí do ktorej VLAN. Až na prostredie ATM³, boli skúšané tri metódy pre vzájomné predávania týchto informácii medzi prepínačmi:

1. Adresové tabuľky - prepínače si udržujú v pamäti tabuľky adries jednotlivých uzlov a odpovedajúceho členstva vo VLAN, platnosť tabuliek musí byť udržiavaná vzájomnou synchronizáciou. Táto vzájomná synchronizácia môže zbytočne zaťažovať sieťovú komunikáciu v prípade rozsiahlejšej siete.

2. Značkovanie rámcov (Frame tagging) - jednotlivé rámce sú pri prenose medzi prepínačmi (po tzv. interswitchtrunks) označené špeciálnou hlavičkou, ktorá nesie informácie o členstve vo VLAN.

3. TDM (time division multiplexing) - táto metóda spočíva v rezervácii samostatných prenosových kanálov na spojoch medzi prepínačmi po jednotlivej VLAN. Z TDM vyplýva neefektívne využitie prenosového pásma.

3 Vytváranie virtuálnych sieti pomocou technológie emulácia LAN

(22)

21

2.6 Štandardy

Prvé dva najdôležitejšie návrhy boli 802.10 VLAN Standard od firmy Cisco z roku 1995 a 802.1Q návrh 802.1 z roku 1996.

2.6.1 Štandard 802.10 VLAN

Štandard 802.10 od firmy Cisco z roku 1995, ktorá sa pokúsila využiť svoj návrh IEEE 802.10. Pôvodne bol navrhnutý pre oblasť bezpečnosti LAN. Upravená hlavička mala miesto zabezpečovacích informácií niesť identifikačné informácie VLAN. Technicky išlo o vyhovujúce riešenie, väčšina členov výboru 802 organizácie IEEE sa ale postavila proti. Veľmi im vadilo použitie jedného štandardu pre dva rôzne účely. Inou podstatnou komunikáciou bol predpoklad použitia identifikačných polí s premennou dĺžkou. To by pravdepodobne spôsobilo oneskorenie pri spracovaní rámcov v ASIC⁴ obvodoch prepínačov, tak isto aj ich cena by bola vyššia.

2.6.2 Štandard 802.1Q

Návrh 802.1 z roku 1996 stanovil tri hlavné oblasti riešenia:

o zásady tvorby VLAN,

o štandardizovaný formát prídavných hlavičiek rámca (frame tagging – pre výmenu informácii o členstve vo VLAN medzi prepínačmi),

o smer ďalšieho vývoja.

Význam tohto štandardu spočíva práve v časti štandardizácie formátu prídavných hlavičiek rámca, známeho ako 802.1Q (Standard for Virtual Bridged Local Area Networks).

Aj keď bol návrh štandardu 802.1Q významným prínosom pre väčšinu výrobcov prepínačov – 3Com, Bay Networks, Cisco, IBM atď., čoskoro sa ukázal aj jeho nedostatok.

Definuje totiž vytváranie VLAN len na základe prvej a druhej vrstvy (podľa portov a MAC adries) a neumožňuje vytváranie VLAN na základe tretej vrstvy. To v dnešnej dobe s orientáciou na virtuálne siete definované podľa IP podsieti už nevyhovuje.

4 Application Specific Integrated Circuit, nazývaný aj zákaznícky obvod, je integrovaný obvod navrhnutý a vyrábaný pre určitú špecifickú aplikáciu.

(23)

22

Standard 802.1Q definuje členstvo dátových rámcov v jednotlivých VLAN ich značkovaním a spôsob spracovania paketov a informácií o členstve jednotlivými prepínačmi. Zmyslom je umožniť aplikáciám, koncovým uzlom a prepínačom označovať pakety informáciami o členstve v danej VLAN tak, aby prepínače smerovali alebo filtrovali medzi hranicami jednotlivých virtuálnych sietí, a to bez nutnosti ich zvláštnej konfigurácie. Prepínače si musia udržať filtračnú databázu, ktorá pozostáva z položiek dvoch typov:

o Statické položky – sú pridávané, modifikované alebo mazané len nástrojmi na správu prepínačov. Rozlišujeme dva typy statických položiek:

Statické filtrovacie položky (Static Filtering Entries) – špecifikujú pre každý port, či majú byť rámce, posielané na špecifickú MAC adresu alebo skupinovú adresu a na špecifickú VLAN, smerované alebo odstránené.

Statické registračné položky (Static Registration Entries) – špecifikujú či majú byť rámce posielané na špecifickú VLAN označované, alebo má byť označovanie zrušené a ktoré porty sú pre túto VLAN zaregistrované.

o Dynamické položky - sú dynamicky vytvárané prepínačom bez použitia nástrojov na správu. Proces dynamicky sleduje port z ktorého rámec prišiel, zdrojovú adresu a identifikačné číslo VLAN (VLAN ID) a aktualizuje údaje vo filtračnej databáze. Položky sa po istej nastaviteľnej dobe automaticky z databázy odstránia. Rozlišujeme tri typy dynamických položiek:

Dynamicky filtrované položky (Dynamic Filtering Entries) – špecifikujú, či majú byť rámce posielané na špecifickú MAC adresu alebo špecifickú VLAN, smerované alebo odstránené.

Skupinová registrácia položky (Group Registration Entries) – indikujú pre každý port, či majú byť rámce, posielané na skupinu MAC adries a na špecifickú VLAN odfiltrované alebo odstránené. Tieto položky sú pridávané či mazané na základe informácii vymieňaných protokolom GMRP (Group Multicast Registration Protocol). Popísaným spôsobom je umožnené získavanie správ skupinového vysielania v rámci jednej VLAN bez ovplyvňovania ostatných.

Dynamická registrácia položky (Dynamic Registration Entries) – určuje, ktoré porty sú registrované pre špecifickú VLAN. Ako v predchádzajúcom

(24)

23

prípade, aj tu sú položky pridávané alebo zrušené na základe informácii, ktoré sú špecifické pre protokol GARP VLAN Registration Protocol, kde GARP je po slovensky (Generic Attribute Registration Protocol).

2.6.3 Štandardy značkovania rámcov

Prepínače musia poznať pri smerovaní rámcov ich príslušnosť k jednotlivým rámcom VLAN. Potom môžu rozhodnúť, na ktoré výstupné porty budú rámce posielané, informácie o príslušnosti rámcov vo forme špeciálnych značiek – tagov. Okrem tohto základného účelu môžu tagy tiež obsahovať [4,6]:

o informácie o užívateľskej priradenej priorite, o riadiace informácie pre sourcerouting, o informácie o formáte MAC adresy.

Používateľskú priradenú prioritu definuje štandard 802.1P, ktorý bol zavedený súčasne s 802.1Q. Obidva štandardy využívajú niekoľko bitov v hlavičke ethernetového rámca.

Z toho dôvodu musel byť zavedený nový formát ethernetového rámca, ktorý je definovaný štandardom 802.3ac. Na obrázku 4 je vyznačený rozdiel medzi štandardným a novým 802.3ac ethernetovým rámcom [4, 6].

Obr. 4 Rozdiel medzi štandardným a 802.3ac Ethernetovým rámcom

Nové polia pridávajú do rámca ďalšie štyri bajty [4,6]:

(25)

24

o Polia TPID majú definovanú hodnotu 8100 (hex). Ak má teda toto pole (EtherType) hodnotu 8100, rámec nesie informácie IEEE 802.1Q/802.1P.

o Podrobnejší pohľad na pole TCI je v spodnej časti obrázku č.3. Prvá časť pola User priority umožňuje zakódovanie až do ôsmich úrovní priority rámcov ( 0-7, nula je pritom najnižšia priorita) podľa štandardu 802.1P.

o CFI bit indikuje, či sú MAC adresy v kanonickom formáte (v prípade SNAP

kódovaného TPID) alebo prítomnosť RIF pola

(Source-RoutingInformationField) u rámcov Token Ring, zavedená z dôvodu kompatibility.

o Pole VID potom jednoznačne identifikuje VLAN, do ktorej rámec prislúcha.

Z veľkosti pola (12 bitov) môže byť teoreticky maximálny počet virtuálnych sietí (4096). Hodnota 0 sa používa k identifikácii prioritných rámcov a hodnota 4095 (FFF) je rezervovaná, takže zostáva 4094 VLAN.

(26)

25

3 Prípadová štúdia – Návrh VLAN

Prípadová štúdia sa zaoberá implementáciou VLAN v školskom prostredí. Nakoľko sa škola rozrastá a komunikácia v školskej sieti sa výrazne zvýšila a postupne zahlcovala, bolo nevyhnutné nájsť riešenie na segmentáciu siete a jednotlivým segmentom prideliť špecifické prístupové oprávnenia k serverom, pripadne usmerniť a zefektívniť komunikáciu medzi segmentmi siete. Prípadová štúdia poskytuje prehľad poskytovaných služieb, konfiguráciu prepínačov a práva používateľov v jednotlivých VLAN sieťach.

3.1 Špecifikácia požiadaviek

Kapitola sa zaoberá špecifikáciou požiadaviek na VLAN v škole, rozdelením pracovných skupín a prístupom jednotlivých skupín k rôznym dátam.

Účelom predkladaného návrhu má byť zefektívnenie komunikácie v školskej sieti, oddelenie jednotlivých skupín ako administratívne oddelenie, učitelia, študenti a podobne.

Ďalším zámerom je zvýšiť priepustnosť siete a zrýchliť komunikáciu v sieti. Riešenie má taktiež umožňovať jednoduché premiestnenie jednotlivých pracovných staníc bez nutnosti zmeny infraštruktúry siete. Zmena má byť realizovaná jednoduchým nastavením prepínača administrátorom školskej siete z miesta pracoviska administrátora.

Implementáciou VLAN sa predpokladá zníženie nákladov, zlepšenie časovej efektivity administrátorov siete, kontrola komunikácie v sieti a tým aj sledovanie pracovného nasadenia jednotlivých pracovných stanovíšť a samozrejme ochrana dát medzi jednotlivými segmentmi.

Riešenie má byť implementované do existujúcej školskej infraštruktúry. Predpokladá sa otvorenosť predloženého riešenia, t.j. po úpravách sa môžu pridávať ďalšie VLAN, prislúchajúce novým pracovným skupinám a taktiež bude možná úprava oprávnení jednotlivých skupín a stanovíšť.

Hlavná funkcia produktu bude v rozdelení siete na jednotlivé segmenty (VLAN), nadefinovanie práv jednotlivých sietí, pripadne jednotlivých pracovných staníc, jednoduchá konfigurácia pri premiestnení pracovnej stanice.

Predpokladá sa rozdelenie školskej siete do troch segmentov:

- Administratíva

(27)

26 - Učitelia

- Študenti

Každý z týchto segmentov bude mať vlastnú VLAN s prístupom na jednotlivé servery, ktoré sú umiestnené v dátovom centre školy, kde budú ukončené jednotlivé VLAN-y.

V dátovom centre budú umiestnené servery typu:

- server Administratíva pre študijné oddelenie, ekonomické oddelenie a rektorát

- server Učitelia - server Študenti

- hlavná brána, ktorá bude zabezpečovať prístup k internetu a firewall

3.2 Analýza súčasného stavu siete

Škola ma štruktúrovanú kabeláž s aktívnymi nemanažovateľnými prepínačmi, ktoré vykazujú malú priepustnosť. Pri počte cca 100 aktívnych počítačov v sieti dochádza k zahlcovaniu súčasnej siete. Na obrázku č. 5 je znázornená štruktúra súčasného stavu siete. Jednotlivé pracovné stanice spolu nesystematicky komunikujú. Pracovné stanice vysielajú svoje požiadavky po celej sieti, ku každej pracovnej stanici. Pri veľkom počte pracovných staníc je táto komunikácia neúnosná. Závažným problémom je bezdrôtový prenos medzi jednotlivými vzdialenejšími bodmi. Bezdrôtový prenos slúži na prepojenie poschodí, je veľmi nestabilný a má malú priepustnosť na rozdiel od optického káblového prepoja.

Do siete bude doplnená pracovná stanica Informačné centrum školy, ktorá bude nasadená v prízemí pri vstupe do budovy. Ďalšou novovytvorenou pracovnou stanicou bude pracovná stanica Voľný prístup k internetu, umiestnená v prízemí, ktorú budú používať študenti.

(28)

27 Obr. 5 Súčasný stav siete

(29)

28

Súčasná školská sieť je neefektívna, pretože každé pracovisko má prístup ku každému serveru a ku každej inej pracovnej stanici na inom pracovisku.

3.3 Analýza požadovaného stavu siete

Budova, kde sa majú VLAN siete implementovať, má tri poschodia, na každom poschodí sa bude nachádzať manažovateľný prepínač. Dátové centrum školy sa nachádza v najvyššom poschodí, kde sú umiestnené servery. Na obrázkoch 6,7,8 sú znázornene jednotlivé poschodia a rozmiestnenie pracovných staníc v učebniach a kabinetoch

Obr. 6 Rozmiestnenie pracovných staníc na poschodí č. 3

Dátové centrum

Študijne oddelenie 2ks Prac. stanica študijne oddelenie Ekonomické oddelenie 2ks Prac. stanica ekonomické oddelenie

Učebňa informačných technológií

Učebňa 1

Učebňa 2

Učebňa 3

Kabinet

13ks Pracovná stanica Študent 1ks Pracovná stanica Učiteľ

1ks Pracovná stanica Učiteľ

(30)

29

V budove školy na treťom poschodí je zriadené dátové centrum školy. Nachádza sa tu tiež učebňa informačných technológií, kde je 13 ks pracovných staníc Študent a jedna pracovná stanica Učiteľ. V učebni č. 3 je vybavená pracovnou stanicou Učiteľ. Na tomto poschodí sídli aj študijné a ekonomické oddelenie, každé z nich ma dve pracovné stanice.

Poschodie číslo 2 má rovnakú učebňa informačných technológií, kde bude pracovná stanica Učiteľ a 13 ks pracovných staníc Študent. Učebne číslo 5,6 sú vybavené pracovnými stanicami Učiteľ. Na poschodí číslo 2 pôsobí aj rektorát školy, ktorý vyžíva k práci dve pracovné stanice.

Učebňa 4

Učebňa 5

Učebňa 6

1ks Pracovná stanica Učiteľ Rektorát školy

2ks Pracovná stanica rektorát 1ks Pracovná stanica Učiteľ

Kabinet Učebňa informačných

technológií

(31)

30

Rovnako ako na všetkých poschodiach aj na poschodí číslo 1 sa nachádza učebňa informatiky s pracovnou stanicou Učiteľ a 14 ks pracovných staníc Študent. Učebne číslo 7,8,9 sú vybavené pracovnými stanicami Učiteľ. Miestnosť informačného centra školy, kde pracovník školy pracuje na pracovnej stanici Informačné centrum školy. V študovni školy na prvom poschodí sa nachádza pracovná stanica Voľný prístup k internetu, kde študenti majú voľní prístup k internetu.

Učebňa 7

Učebňa 8

Učebňa 9

1ks Pracovná stanica Učiteľ Študovňa školy

1ks Pracovná stanica Voľný prístup k internetu

1ks Pracovná stanica Učiteľ

Kabinet

1ks pracovná stanica učiteľ

Informačné centrum školy

1ks Pracovná stanica Informačné centrum školy

Učebňa informačných technológií

(32)

31

Navrhnutá školská sieť bude mať hlavné vedenie infraštruktúry konfigurované na rýchlosť 1Gbps, trasa s dĺžkou nad 50 m bude realizovaná optickými vláknami. Na obrázku č. 9 je návrh siete s aktívnymi manažovateľnými prepínačmi, metalickou kabelážou a optickými prepojeniami prepínačov. V dátovom centre školy budú umiestnené všetky servery a manažovateľný prepínač č. 1.

(33)

32 Obr. 9 Návrh školskej siete

V školskej sieti budú vytvorené VLAN siete pre jednotlivé segmenty:

- Administratíva - Učitelia

- Študenti

- WEB (Informačný systém)

VLAN Administratíva bude úplne oddelená od ostatných VLAN, bude mať prístup k serveru Administratíva a prístup k internetu. V prepínačoch bude mať označenie VLAN 10.

Prepoj s rýchlosťou 100Mbps Prepoj s rýchlosťou 1Gbps Dátové centrum školy Segment administratíva Segment učiteľ

Segment študent Segment WEB

(34)

33

VLAN Učitelia bude mať prístup k internetu, na server Učitelia a server Študenti.

V prepínačoch bude mat označenie VLAN 20.

VLAN Študenti bude mať prístup na server Študenti a prístup k internetu.

V prepínačoch bude mat označenie VLAN 30.

VLAN WEB bude mať prístup k internetu a bude zabezpečovať pripojenie informačného systému školy k internetu. Do VLAN WEB bude mať prístup aj pracovná stanica voľný prístup k internetu. V prepínačoch bude mať označenie VLAN 40.

Na prepínačoch budú nastavené porty podľa zaradenia pracovných staníc a serverov na tagované alebo accesové porty. Aby sme splnili podmienku, že učitelia vidia server Učitelia a server Študenti, musí byť serveru Študenti priradený tagovaný port s VLAN 20 a VLAN 30 a server Študenti musí mat sieťovú kartu s podporou 802.1q - tagované VLAN. Z dôvodu splnenia podmienky, aby mali všetci prístup k internetu, musí byť tagované spojenie medzi prepínačom a hlavným smerovačom (routrom). Smerovač musí mať sieťovú kartu s podporou 802.1q tagované VLAN. Na tomto tagovanom spoji musia byť nakonfigurované VLAN 10, VLAN 20, VLAN 30, VLAN 40. Ak má byť splnená podmienka, aby v sieti učitelia videli aj študentov, ale študenti nevideli učiteľov a zároveň aby študenti nemali mať prístup na server Učiteľ, musia byť spojenia medzi prepínačmi a učiteľskými pracovnými stanicami tagované s nakonfigurovanými VLAN 20 a VLAN 30. Popri tom by museli mať učiteľské pracovné stanice nakonfigurovaný personálny firewall. Jednotlivé prepínače musia byť prepojené tagovanými spojmi s nakonfigurovanými portami na VLAN 10, VLAN 20, VLAN 30, VLAN 40.

3.4 Systémové požiadavky

Na realizáciu požadovaného stavu siete je potrebné definovať systémové požiadavky.

Z hľadiska topológie siete bude potrebné vytvoriť štruktúrovanú kabeláž typu hviezda s použitím metalickej kabeláže Cat5E/Cat6. Táto štruktúrovaná kabeláž v miestnostiach alebo v učebniach bude ukončená na jednom mieste, kde bude osadená aktívna technológia – prepínače. Prepojenie vzdialenejších miest od dátového centra a prepojenie poschodí bude realizované pomocou optických káblov. Po vytvorení štruktúrovanej kabeláže je potrebné metalickú kabeláž ukončiť konektormi RJ45 a optické spoje vyzvárať na LC pigtail simplex SM 9/125 µm. Manažovateľné prepínače musia obsahovať funkciu

(35)

34

tagovaných VLAN (na jednom porte sa prenáša viac VLAN). Server pre prístup k internetu a server Učitelia musia mať sieťové karty s podporou tagovaných VLAN. Na základe rozpočtu a technického stavu súčasnej siete sa zvolila technológia strednej triedy.

Prehľad aktívnych prvkov, ktoré je potrebné dodať k realizácii VLAN:

- Manažovateľné prepínače (varianty) o Signamax 7729

o Edre-core ES3528M o TPLINK TL-SG5426

Obr. 10 Manažovateľný prepínač Edre-core ES3528M

Obr. 11 Manažovateľný prepínač Signamax 7729

- Optické prevodníky single-mode Full-Duplex MiniGBIC o TPLINK TL-SM311LM

o Cisco 100 Base-FX Mini-GBIC SFP Tran. MFEFX1

(36)

35

Obr. 12 Príklad modulu miniGBIC TPLINK TL-SM311LM

- Sieťové karty s podporou tagovaných VLAN (802.1Q) o ASUS NX1101 Gigabit PCI Card

o Ovislink GE2032R Ethernet 1000/100/10 Mbps 32bit PCI Realtek

Obr. 13 Príklad sieťovej karty s podporou 802.1.Q

Prehľad pasívnych prvkov, ktoré je potrebné dodať k realizácii VLAN:

- Optická kabeláž typu single-mod

o 12-vláknový 9/125 (OS1/G.652d), LSOH

(37)

36

o 8-vláknový 9/125 (OS1/G.652d), LSOH o 24-vláknový 9/125 (OS1/G.652d), LSOH

Obr. 14 Príklad optického káblu 12-vláknový 9/125

- Optické pigtaily

o LC APC pigtail simplex SM 9/125µm 1,5m o LC OEM Optika Pigtail 9/125 2m

Obr. 15 Príklad SC a LC optického adaptéru

o Metalická kabeláž

 Belden 1583ENH Cat5e

 Belden 7965ENH Cat6e

(38)

37

Obr. 16 Príklad metalickej kabeláže kategórie Cat5e

- Ukončenie metalickej kabeláže

o CONNRJ45100P - Konektory RJ45

Obr. 17 Ukončenie metalickej kabeláže – Konektor RJ45 (tienený, netienený)

3.5 Konfigurácia prepínačov

V školskej sieti budú nasadené tri manažovateľné prepínače, pomocou ktorých budú implementované štyri VLAN siete. V prepínačoch budú nakonfigurované porty podľa účelu použitia na rôzne VLAN a zároveň na tagované alebo accesové VLAN. Prepínač č.1 bude pripojený v dátovom centre školy. Hlavný smerovač, servery Administratíva, Učitelia

(39)

38

a prepojenie na prepínač č. 2 budú pripojené v jeho 1 Gbps portoch. Prepojenia medzi jednotlivými prepínačmi vzhľadom na vzdialenosť budú realizované optickým prepojením.

3.5.1 Prepínač č.1

Prepínač má 24 základných portov s prenosovou rýchlosťou 100 Mbps a štyri kombinované porty s prenosovou rýchlosťou 1 Gbps. Gigabitové porty môžu byť využívané ako na metalické, tak aj optické prepojenia. Prehľad portov prepínača č. 1 nájdeme v tabuľke č. 2.

Do prepínača č.1 budú pripojené pracovné stanice a servery z každej VLAN.

Pripojenie do internetu bude realizované prostredníctvom hlavného smerovača, ktorý sa pripojí do portu číslo 28 a bude mu pridelený prístup do každej VLAN v sieti (VLAN 10, VLAN 20, VLAN 30, VLAN 40). Tento port bude nakonfigurovaný ako tagovaný. Port 25 bude konfigurovaný ako accessový a bude priradený serveru Administratíva a mal by mať prístup len k VLAN s označením VLAN 10. Accessový port 26 bude učený serveru Učitelia, ktorému bude priradená VLAN 20. Prepojenie medzi prepínačom č. 1 a prepínačom č. 2 bude zabezpečovať tagovaný port 27 a budú sa cez neho prenášať všetky VLAN s označením VLAN 10, VLAN 20, VLAN 30, VLAN 40. Servery Študenti a WEB (informačný systém) budú priradené na základe monitorovania využitia portom s prenosovými rýchlosťami 100Mbps. Accessový port 24 s nakonfigurovanou VLAN 40 bude pripravený pre pripojenie informačného systému WEB servera. Server Študenti bude pripojený do portu 23, ktorý bude mať vlastnosti tagovanej VLAN a prístupom do VLAN 20 a VALN 30. Ostatné 100Mbps porty budú priradené pracovným staniciam. Porty 1 až 4 budú accessové porty pre pripojenie do VLAN s označením VLAN 10. Porty 5 a 18 budú určené pracovným staniciam Učiteľ, budú to tagované porty s prístupom k dvom VLAN s označením VLAN 20 a VLAN 30. Pracovné stanice Študent budú v portoch 6 až 17. Budú to accessové porty pridelené k VLAN s označením VLAN 30. Port 19 bude voľný, ale nakonfigurovaný a pripravený pre pracovnú stanicu študent a pripravený na použite.

Ostatné voľné porty 20 až 22 budú voľné a pripravené na konfiguráciu. Budú nakonfigurované vo výrobnej konfigurácii prepínača.

(40)

39 Tab. 2 Prehľad portov prepínača č. 1

Port

číslo Zaradenie pracovnej stanice VLAN na porte

1 Pracovná stanica študijné oddelenie VLAN 10 2 Pracovná stanica študijné oddelenie VLAN 10 3 Pracovná stanica ekonomické oddelenie VLAN 10 4 Pracovná stanica ekonomické oddelenie VLAN 10

5 Pracovná stanica učiteľ VLAN 20 VLAN 30

6 Pracovná stanica študent VLAN 30

20 Voľný

21 Voľný

22 Voľný

23 Server Študenti VLAN 20 VLAN 30

24 Informačný system WEB server VLAN 40

25 Server Administratíva VLAN 10

26 Server Učitelia VLAN 20

27 Prepoj prepínač č.1 a prepínač č.2 VLAN 10 VLAN 20 VLAN 30 VLAN 40 28 Hlavný router (Prístup k Internetu) VLAN 10 VLAN 20 VLAN 30 VLAN 40

VLAN Administratíva VLAN10

VLAN Učitelia VLAN 20

VLAN Študenti VLAN 30

VLAN WEB VLAN 40

Prepínače budú konfigurované cez krížený sériový kábel (RS232). Aplikácia PuTTY Configuration sa pomocou portu COM1 pripojí na prepínač.

Prvým krokom pri konfigurácii prepínača je nakonfigurovanie IP adresy. Pre konfiguráciu jednotlivých rozhraní je potrebné sa dostať do konfiguračnej sekcie. Vykoná sa to príkazom:

1. configure

2. interface vlan 1

3. ip address 10.10.10.1 255.255.255.0

(41)

40

4. exit

5. ip default gateway 10.10.10.100

Komentár k jednotlivým častiam príkazu:

1. Prepínač sa dostane do sekcie konfigurácie 2. Určíme si, na ktorý segment sa nastaví IP adresa 3. Vloží sa do prepínača IP adresa a maska siete 4. Prepne o úroveň vyššie

5. Po potvrdení sa nastaví prepínaču predvolaná brána

Ďalším krokom je vytvorenie VLAN. Na vytvorenie VLAN sa používa príkaz:

1. vlan database

2. vlan 10 name administrativa media ethernet state active 3. vlan 20 name ucitelia media ethernet state active

4. vlan 30 name studenti media ethernet state active 5. vlan 40 name WEB media ethernet state active

Vysvetlenie jednotlivých príkazov:

1. Prepnutie konfigurácie do menu VLAN konfigurácia 2. Vytvorenie VLAN pre Administratívu s označením vlan 10

3. Vytvorenie VLAN pre pracovné stanice Učiteľ s označením vlan 20 4. Vytvorenie VLAN pre pracovné stanice Študent s označením vlan 30 5. Vytvorenie VLAN pre Informačný systém s označením vlan 40

Po nakonfigurovaní VLAN sa jednotlivé VLAN priradia jednotlivým portom pre pracovné stanice s netagovanými spojeniami:

1. interface ethernet 1/1

2. description Stud_odd_VLAN10

(42)

41

3. switchport allowed vlan add 10 untagged 4. switchport native vlan 10

5. switchport allowed vlan remove 1

1. Výber portu na konfiguráciu

2. Pomenovanie nakonfigurovaného portu 3. Priradenie portu k zvolenej VLAN 4. Aktivácia VLAN na porte

5. Odobrenie preddefinovanej základnej VLAN

Tagovaný port, ktorý má prístupom k viacerým VLAN pre zvolený port, sa vytvorí nasledujúcimi príkazmi:

1. interface ethernet 1/27

2. description prepoj_prepinac2

3. switchport acceptable-frame-types tagged 4. switchport allowed vlan add 10 tagged 5. switchport allowed vlan add 20 tagged 6. switchport allowed vlan add 30 tagged 7. switchport allowed vlan add 40 tagged 8. switchport allowed vlan remove 1

1. Výber portu na konfiguráciu

2. Pomenovanie nakonfigurovaného portu

3. Konfigurácia portu pre nasadenie tagovaného spoja 4. Priradenie portu k zvolenej virtuálnej sieti VLAN 10 5. Priradenie portu k zvolenej virtuálnej sieti VLAN 20 6. Priradenie portu k zvolenej virtuálnej sieti VLAN 30

(43)

42

7. Priradenie portu k zvolenej virtuálnej sieti VLAN 40 8. Odobrenie preddefinovanej základnej VLAN

Pre konfiguráciu skupiny portov prípadne skupiny VLAN sa používajú nasledovné príkazy:

interface ethernet 1/1-8 alebo 1/2-5,9,11-15 Konfigurácia skupiny portov

Konfigurácia skupiny VLAN na jeden port, prípadne skupine portov, je uvedené v nasledujúcom príklade.

switchport allowed vlan add 10,20,30,40 tagged

Po nakonfigurovaní všetkých potrebných portov sa z konfiguračného módu dostaneme pomocou príkazu exit. Príkazom exit sa dostaneme o úroveň vyššie. Pre návrat do hlavného menu jedným skokom sa používa klávesová skratka CTRL + Z

Pre kontrolu nastavenia portov použijeme príkaz:

show interface brief

po ktorom sa zobrazí výpis nakonfigurovaných portov, kde je zrejmé, ktorý port do ktorej VLAN patrí a ak je port označený popisom, tak v tomto výpise sa zobrazí aj popis portu.

3.5.2 Prepínač č.2

Tak ako prepínač č. 1 tak aj prepínač č. 2 bude mať 24 portov s prenosovou rýchlosťou 100 Mbps a štyri kombinované porty s prenosovou rýchlosťou 1 Gbps. Tieto 1 Gbps porty môžu byt využívane ako na metalické tak aj optické prepojenia. Prehľad portov prepínača č. 2 nájdeme v tabuľke č. 3. Pracovné stanice pripojené k tomuto prepínaču sú prerozdelené do troch VLAN, a to VLAN Administratíva, VLAN Učitelia, VLAN Študenti. Virtuálna sieť VLAN WEB sa cez prepínač č.2 bude len prenášať na prepínač č.

3. Do prepínača budú pripojené pracovné stanice a dva prepojenia prepínačov. Porty 1, 15, 16, 25, 26 budú nakonfigurované ako tagované, ostatné zapojené porty budú

(44)

43

konfigurované ako accessové. Port 1 a porty 15, 16 budú mať prístup k VLAN s označením VLAN 20 a VLAN 30. Prepojenia medzi prepínačmi budú zapojené v portoch 25 a 26 s prístupom k VLAN s označením VLAN 10, VLAN 20, VLAN 30, VLAN 40.

Voľné porty nebudú konfigurované, ostávajú továrenské nastavenia.

Tab. 3 Prehľad portov prepínača č. 2

Port

číslo Zaradenie pracovnej stanice VLAN na porte

17 Pracovná stanica rektorát VLAN 10

18 Pracovná stanica rektorát VLAN 10

19 Voľný

20 Voľný

21 Voľný

22 Voľný

23 Voľný

24 Voľný

25 Prepoj prepínač č.1 a prepínač č.2 VLAN 10 VLAN 20 VLAN 30 VLAN 40 26 Prepoj prepínač č.2 a prepínač č.3 VLAN 10 VLAN 20 VLAN 30 VLAN 40

27 Voľný

28 Voľný

VLAN Administratíva VLAN10

VLAN Učitelia VLAN 20

VLAN Študenti VLAN 30

VLAN WEB VLAN 40

Ostatná konfigurácia prepínača je rovnaká ako v prípade konfigurácie prepínača č. 1.