VLAN (2) - typologie VLAN

Karel Luhový Tutoriály 14. dubna 2003

Protože lze členství ve VLAN definovat různými způsoby, typologicky se VLAN rozdělují se na sítě se členstvím podle portů a na tzv. policy-based. Podrobnější praktické dělení pak rozeznává čtyři typy VLAN se členstvím podle portů; MAC adres uzlů; síťového protokolu nebo síť. adres uzlů; skupinového IP vysílání.

Protože lze členství ve VLAN definovat různými způsoby, typologicky se VLAN rozdělují se na sítě se členstvím podle portů a na tzv. policy-based. Podrobnější praktické dělení pak rozeznává čtyři typy VLAN se členstvím podle:

  • portů;

  • MAC adres uzlů;

  • síťového protokolu nebo síť. adres uzlů;

  • skupinového IP vysílání.

VLAN podle portů

Tento historicky první typ virtuálních sítí definuje členství v síti pro jednotlivé porty přepínače (skupiny portů). První implementace těchto VLAN neumožňovaly rozšíření virtuální sítě přes více přepínačů, byly omezeny pouze na jeden přepínač. Druhá generace to již dovolila, příklad takto definované sítě je na obrázku č. 1.

Obr. 1 - VLAN se členstvím podle portů
Obr. 1 - VLAN se členstvím podle portů

Seskupování portů je stále nejpoužívanější metodou při vytváření virtuálních sítí. Je sice velmi jednoduchá a názorná, její základní omezení ale spočívá v nutnosti předefinování členství při jakémkoliv přesunu uživatelské stanice mezi jednotlivými porty přepínače (tedy přesněji řečeno takové změně portu, při které by došlo ke změně členství ve virtuální síti).

VLAN podle MAC adresy

MAC adresa je "natvrdo zadrátovaná" v obvodech síťového adaptéru, takže na takto definované virtuální sítě lze pohlížet jako na VLAN podle uživatelů. Změní-li totiž uživatel svoje připojení (přemístí se svojí stanicí na jiný segment/port přepínače), jeho členství ve VLAN se nezmění.

Při této metodě je nutností prvotní manuální definice členství pro všechny stanice sítě. Jinou nevýhodou je možnost podstatného snížení výkonu v případě, že na portu přepínače je připojen sdílený segment se stanicemi v různých VLAN. Dalším, spíše ale jen okrajovým problémem může být situace, kdy uživatelé s mobilními notebooky mění svoji pozici a připojují se pomocí stabilně připojených docking stations. Tím se jím definiční MAC adresa s lokalitou mění (síťový adaptér je většinou součástí docku). Ačkoliv je to minoritní problém, dobře ilustruje jistá omezení VLAN, založených na členství podle MAC adresy.

Možnost uživatelského předefinování vlastní MAC adresy přímo v operačních systémech tento problém např. z bezpečnostního hlediska ještě více komplikuje.

VLAN podle protokolu nebo adres

Takto definované virtuální sítě jsou založeny na informacích ze třetí, tedy síťové vrstvy podle OSI modelu. V multiprotokolových sítích mohou být přiřazeny uzly do jednotlivých VLAN podle provozovaných síťových protokolů nebo např. v sítích s protokolem TCP/IP podle adresy podsítě.

Ačkoliv se zde pracuje s informacemi síťové vrstvy, je důležité si uvědomit, že se nejedná o jejich využití pro směrování. I když přepínač musí prohlédnout paket k určení IP adresy a tím členství ve VLAN, neprovádí žádné směrovací výpočty. Přepínač nevyužívá směrovací protokoly (jako jsou RIP, OSPF) a i na VLAN definovanou podle informací ze třetí, síťové vrstvy se musíme dívat jako na síť s plochou topologií, propojenou přepínači či můstky.

Rozmach přepínání i na třetí, síťové vrstvě a existence přepínačů se zabudovanými schopnostmi směrovačů tento problém při prvním pohledu trochu zamlžuje. Jedná se ale o odlišné funkce - pouhé určení členství ve VLAN na základě síťové adresy v jednom případě a plné využití směrovacích schopností na základě směrovacích protokolů a výpočtů na straně druhé. Zde je nutné podotknout, že komunikace mezi jednotlivými VLAN vyžaduje použití směrovačů - ať už klasických nebo právě těchto zabudovaných v přepínačích se směrovacími funkcemi.

Způsob definice VLAN podle síťové vrstvy má své zřejmé výhody. Patří mezi ně mobilita uživatelů či přesněji řečeno jejich stanic bez nutnosti překonfigurování členství ve VLAN, možnost vytváření skupin specifických pro jistou službu nebo aplikaci a eliminaci potřeby značkování paketů informací o členství ve VLAN při vzájemné komunikaci přepínačů (viz dále).

Uveďme si jednoduchý příklad, jak může správce sítě vytvořit např. specializovanou virtuální síť pro IPX protokol. Jak je znázorněno na obrázku č. 2, porty 6/1, 7/1, 1/1 a 2/2 tvoří IPX-VLAN. Tyto porty zůstávají členy VLAN, vytvořených podle portů, ale jsou zároveň novými členy dynamicky vytvořené virtuální sítě pro protokol IPX. Ostatní porty tak nejsou "obtěžovány" pakety IPX všesměrového vysílání.

Obr. 2 - Vytvoření VLAN podle síťového protokolu
Obr. 2 - Vytvoření VLAN podle síťového protokolu

VLAN podle skupinového vysílání

Skupinové vysílání v IP sítích (IP multicast) pracuje tak, že paket, určený ke skupinovému vysílání je poslán na speciální adresu, která funguje jako proxy pro explicitně definovanou skupinu uzlů (IP adres). Paket je pak doručen všem uzlům, které jsou členy dané skupiny. Ta se sestavuje dynamicky, uzly se do této skupiny průběžně přihlašují a odhlašují.

Na všechny stanice takovéto skupiny můžeme tedy pohlížet jako na členy jedné virtuální LAN, protože skupina tvoří jednu doménu všesměrového vysílání. Od předchozích uvedených typů se liší ve dvou podstatných rysech - je vytvářena dynamicky jen na určitou dobu, takže je velmi flexibilní a její rozsah není omezen směrovači, tzn., že se může rozprostírat např. i po rozlehlé síti WAN.

...pokračování


Vytisknout


    Komentáře k článku

    ...k článku nejsou žádné komentáře

Vložte Váš komentář k tomuto článku

Máte dotaz? Neváhejte nám napsat.

Pole označená hvězdičkou (*) jsou povinná


Reklama v příspěvcích není dovolena, dodržujte etiketu. Redakce Světa sítí si vyhrazuje právo smazat příspěvěk, který v diskuzi použije vulgární slova a společensky neúnosné výrazy. Délka příspěvku je limitována 1500 znaky.