(T) Teoria sieci VLAN*

Podstawowe informację dotyczące sieci VLAN

Zasada działania sieci VLAN

  • Sieci wirtualne VLAN dzielą jeden przełącznik fizyczny na wiele przełączników wirtualnych.
  • Każdy z interfejsów przełącznika fizycznego, posiada przypisany numer PVID (Port VLAN ID) sieci VLAN do której należy.
  • Interfejsy przełącznika działające w trybie dostępowym „Access”, nie tagują wysyłanych przez siebie ramek Ethernet-owych. Przez co urządzenia końcowe nie są świadome istnienia podziału na sieci VLAN.
    • Ruch tagowany otrzymany na interfejsie dostępowym jest porzucany, chyba że został o tagowany w sieci VLAN, do której należy określony interfejs sieciowy.
  • Oznaczanie (tagowanie) ramek zachodzi podczas przesyłania danych przez połączenia trunk-owe.
Flat network topology – Stanowi sieć lokalną składającą się jedynie z urządzeń warstwy drugiej (Stanowi pojedynczą domenę rozgłoszeni-ową).

Rodzaje sieci VLAN

  • W celu zapewnienia wstecznej kompatybilności z urządzeniami nie wspierającymi podziału na sieci wirtualne, przełączniki Cisco wykorzystują sieć VLAN 1. Jest to sieć nie-tagowana na połączeniach trunk-owych, nawiązywanych przy pomocy enkapsulacji 802.1Q (Zasada ta nie dotyczy enkapsulacji za pomocą protokołu ISL).
  • Zakres numeracji sieci VLAN (VLAN ID numbers):
Zakres VLAN OPIS
0Sieć zarezerwowana na potrzeby standardu 802.1P (Nie może być modyfikowana ani usuwana).
1Sieć domyślna (Nie może być modyfikowana ani usuwana).
2 1005 Podstawowa pula sieci VLAN (Może być modyfikowana jak i usuwana).
1002 1005 VLAN-y specjalnego użytku (Nie może być modyfikowana ani usuwana).
1006 4094 Rozszerzona pula sieci VLAN (Może być modyfikowana jak i usuwana).

Zakresy ID sieci VLAN

  • Default VLAN – Domyślna sieć VLAN, do której należą wszystkie interfejsy nowo zakupionego przełącznika, w przypadku firmy Cisco jest to sieć VLAN o ID 1 (Sieć ta nie może być usunięta, a jej wartość ID nie może ulec zmiennie).
    • Domyślna sieć VLAN jest wykorzystywana do przenoszenia ruchu kontrolnego np. CDP, STP.
  • Native VLAN – Nie-tagowana sieć VLAN stosowana na połączeniach trunk-owych przy enkapsulacji 802.1Q.
    • W przypadku zmiany wartości ID domyślnej sieci natywnej VLAN 1 na inną, ruch kontrolny nadal będzie przesyłany za pomocą sieci VLAN 1 (Z tymże, że będzie on tagowany) (Nie dotyczy protokołu STP).
  • 1002-1005 VLANs – Sieci VLAN zarezerwowane dla obecnie nie używanych protokołów takich jak Token Ring czy FDDI (Sieci te nie mogą być usunięte, a ich wartość ID nie może ulec zmiennie).
  • Standard VLANs – Podstawowy zakres sieci VLAN od 1 do 1005.
  • Extended VLANs – Rozszerzony zakres sieci VLAN od 1006 do 4094. Sieci Extended VLAN:
    • Mogą być konfigurowane jedynie w przypadku zastosowania protokołu VTP w trybie Transparent bądź VTPv3.
      • Przy zastosowaniu trybu VTP Transparent przechowywane są w pliku „Running Configuration”.
      • Przy zastosowaniu protokołu VTPv3 przechowywane są w pliku „VLAN database”.
  • Internal VLAN – Sieć VLAN zarezerwowana na użytek wewnętrzny konfigurowanego przełącznika, tworzona równocześnie z interfejsami wirtualnymi SVI [show vlan internal usage].
  • Management VLAN – Odseparowana sieć VLAN przeznaczoną do przenoszenia ruchu administracyjnego.
  • Data VLAN – Sieć przeznaczona do przenoszenia zwykłego ruchu sieciowego.
  • Voice VLAN – Sieć przeznaczona do przenoszenia ruchu głosowego VoIP.
Przypisanie interfejsu do sieci VLAN która nie istnieje na przełączniku, spowoduje jej automatyczne utworzenie (Przełącznik musi działać w trybie „VTY server” bądź „VTP Transparent” aby automatyczne utworzyć nową sieć VLAN).

Rodzaje ruchu sieciowego

  • Network Management
  • IP Telephony
  • IP Multicast
  • Data
  • Scavenger Class

Cechy sieci wirtualnych VLAN

  • Sieci VLAN umożliwiają podzielenie jednego przełącznika fizycznego na wiele przełączników wirtualnych. Powstałe dzięki temu sieci są od siebie odseparowane, a tym samym hosty do nich należące nie mogą nawiązać ze sobą komunikacji w warstwie drugiej modelu OSI. W celu nawiązania komunikacji pomiędzy hostami niezbędny jest odpowiednio skonfigurowany ruter bądź przełącznik warstwy 3 MLS (Multi Layer Switch).
  • Sieci VLAN dzieląc jeden fizyczny przełącznik na mniejsze sieci wirtualne, umożliwiają znaczące zmniejszenie wielkości domen rozgłoszeniowych, co w efekcie oznacza:
    • Mniejsze zużycie CPU każdego z hostów, osiągnięte dzięki ograniczeniu zbędnego ruchu sieciowego.
    • Zwiększenie poziomu bezpieczeństwa związanego z zmniejszonym rozprzestrzenianiem się ruchu multicast jak i ruchu rozgłoszeniowego broadcast oraz z możliwością filtrowania ruchu za pomocą list ACL.

Topologia wirtualnych sieci VLAN

Topologia sieci (Warstwa druga)

Planowanie wdrożenia sieci VLAN

  • Przed wdrożeniem sieci VLAN należy rozważyć następujące zagadnienia:
    • Nazewnictwo oraz numerowanie sieci VLAN wraz z przypisanymi do nich sieciami IP.
    • Wykorzystywaną topologię sieci VLAN (End-to-end bądź Local VLAN).
    • Rozmieszczenie połączeń Trunk-owych.
    • Ustawienia protokołu VTP.

Topologia End-to-end VLANs

  • Topologia End-to-end VLANs – Rozciąga sieci VLAN pomiędzy wieloma blokami (Switch Blok). Dzięki czemu:
    • Użytkownicy końcowi należą do jednej sieci, niezależnie od swojej fizycznej lokalizacji.
    • Użytkownicy końcowi są związani z jedną siecią VLAN, co ułatwia administratorowi zarządzanie adresacją i dostępami
    • Zmiana lokalizacji użytkownika końcowego nie wymaga zmiany sieci VLAN, do której należy.
    • Wszystkie urządzenia w danej sieci VLAN posiadają adresy z tej samej podsieci IP.
  • Zalety stosowania topologii End-to-end VLANs:
    • Grouping Users – Użytkownicy mogą przynależeć do jednej sieci IP, niezależnie do swojej fizycznej lokalizacji.
    • Security – Sieci VLAN mogą ograniczać dostęp do wrażliwych zasobów.
    • Applying QoS – Ruch z danej sieci VLAN może mieć wyższy lub niższy priorytet dostępu do zasobów sieciowych.
    • Routing Avoidance – Umożliwia połączenie znacznej ilości użytkowników w jednej sieci, dzięki czemu będą oni mieli dostęp do potrzebnych im zasobów wewnątrz swojej sieci, bez użycia routingu.
    • Special-Purpose VLAN – Umożliwia rozciągnięcie sieci przystosowanej do przenoszenia jednego rodzaju ruchu sieciowego (np. sieci typu multicast bądź voice) na obszarze całego kampusu.
  • Zalecenia względem implementacji topologii End-to-end VLANs:
    • Ponieważ użytkownicy mogą dowolnie przemieszczać się pomiędzy lokalizacjami, zachowując sieć do której należą, każdy przełącznik powinien znać wszystkie dostępne sieci VLAN. Nawet jeśli obecnie nie ma na nim żadnych interfejsów wymagających należności do danego VLAN-u.
    • Troubleshooting warstwy drugiej rozciągniętej pomiędzy wieloma przełącznikami należącymi do różnych warstw modelu hierarchicznego, jest wymagający ze wzglądu na duży poziom skomplikowania topologii protokołu STP.
Stosowanie Topologii End-to-end VLANs nie jest polecane z powodu zwiększonego obciążenia procesora przez ruch rozgłoszeniowy oraz dużego poziomu skomplikowania topologii STP.

Topologia Local VLANs

  • Topologia Local VLANs – Zachowuje poszczególne sieci VLAN w obrębie jednego bloku (Switch Blok) , tym samym:
    • Ruch L2 zostaje ograniczony swoim zasięgiem do warstwy dostępowej (Access Layer).
    • Ruch L3 jest wykorzystywana w warstwie dystrybucji oraz warstwie rdzenia (Distribution & Core).
    • Użytkownicy końcowi są zgrupowani w sieciach VLAN względem swojej fizycznej lokalizacji.
    • Zmiana lokalizacji użytkownika końcowego wymaga by zmienił on sieć VLAN do której należy.
  • Zalety stosowania topologii Local VLANs:
    • Deterministic Traffic Flow – Przepływ ruchu warstwy drugiej jak i trzeciej jest łatwy do przewidzenia, dzięki czemu wykrywanie oraz rozwiązywanie problemów jest znacznie prostsze jak i szybsze.
    • Active Redundant Paths – W przypadku korzystania z protokołów PVST bądź MST, redundantne, nadmiarowe połączenia nie są blokowane, co niweluje problem niewykorzystanych ścieżek.
    • High Availability – Nadmiarowe ścieżki istnieją na wszystkich poziomach modelu hierarchicznego. W przypadku warstwy dostępu jak i warstwy dystrybucji z wykorzystaniem protokołów FHRP dla stworzenia nadmiarowości bramy domyślnej (Dzięki ograniczeniu pojedynczej sieci VLAN do jednego przełącznika dostępowego, protokół STP nie wpływa negatywnie na funkcjonowanie redundancji bramy domyślnej, koordynując działania obydwóch warstw).
    • Finite Failure Domain – Awaria pojedynczego VLAN-u w danym bloku dotyka małej liczby użytkowników.
    • Scalable Design – Model lokalnej sieci VLAN umożliwia proste rozszerzanie topologii o nowe przełączniki.
Stosowanie Topologii local VLANs jest zalecane w wytycznych Cisco Enterprise Campus Architecture.
  • Zasada 20/80 – Mówi, że 80% ruchu sieciowego jest obsługiwane lokalnie a 20% przekracza rdzeń sieci.

Pozostałe tematy związane z sieciami VLAN

VXLAN

TRUNK (ISL & 802.1Q)

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz