Czytaj\u0105c sporo for\u00f3w jak i r\u00f3wnie\u017c grupy dyskusyjne zauwa\u017cy\u0142em, \u017ce temat VLAN\u00f3w przewija si\u0119 wr\u0119cz nieustannie – sporo os\u00f3b ma problemy z konfiguracj\u0105 czy te\u017c ze zrozumieniem koncepcji i istoty dzia\u0142ania tej technologii. A VLANy na pewnym etapie staj\u0105 si\u0119 po prostu nieodzowne i pozwalaj\u0105 nie tylko na „segmentacj\u0119” sieci, ale r\u00f3wnie\u017c na wprowadzenie nowych ciekawych funkcjonalno\u015bci poczynaj\u0105c od faktu „pchania” wielu sieci przez jedno \u0142\u0105cze do tworzenia wydzielonej sieci s\u0142u\u017c\u0105cej do administracji.<\/p>\n
Czym jest VLAN ?<\/strong><\/p>\n VLAN (czyli formalnie Virtual Local Area Network) to w wielkim skr\u00f3cie technologia pozwalaj\u0105ca na podzielenie port\u00f3w w prze\u0142\u0105czniku w logiczne odizolowane grupy. Dzi\u0119ki temu mo\u017cemy podzieli\u0107 nasz prze\u0142\u0105cznik posiadaj\u0105cy np. 48 port\u00f3w na dwie grupy po np. 24 port\u00f3w ka\u017cda. Oczywi\u015bcie podzia\u0142 ten mo\u017ce by\u0107 dowolny i nic nie stoi na przeszkodzie, \u017ceby nawet dla ka\u017cdego z 48 port\u00f3w wydzieli\u0107 osobn\u0105 grup\u0119 VLANu – niemniej sens takiej konfiguracji by\u0142by niewielki.<\/p>\n Warto jednak zaznaczy\u0107, \u017ce wielu producent\u00f3w VLAN’em okre\u015bla kilka r\u00f3\u017cnych funkcjonalno\u015bci – kt\u00f3re cz\u0119sto z formalnym standardem obs\u0142ugi VLAN\u00f3w IEEE 802.1Q nie wiele maj\u0105 wsp\u00f3lnego. Dlatego prze\u0142\u0105czniki mo\u017cemy podzieli\u0107 z tego powodu w sumie na takie umowne 4 kategorie :<\/p>\n Oczywi\u015bcie istniej\u0105 r\u00f3wnie\u017c prze\u0142\u0105czniki obs\u0142uguj\u0105ce i tryb Port Based oraz 802.1Q (np. TP-Link TL-SL2218WEB). Oczywi\u015bcie to jest tylko wierzcho\u0142ek g\u00f3ry lodowej tak naprawd\u0119, gdy\u017c producenci wprowadzaj\u0105 coraz to bardziej „wymy\u015blne” sposoby interpretacji standardu pozwalaj\u0105c np. na bezpo\u015brednie przypisywanie konkretnego VLANu do adresu MAC pojawiaj\u0105cego si\u0119 w ca\u0142ej sieci prze\u0142\u0105cznik\u00f3w lub przypisanie VLANu nawet do konkretnych us\u0142ug TCP\/IP. \u017beby zrozumie\u0107 zasad\u0119 dzia\u0142ania oraz co i z czym si\u0119 „je” nale\u017cy zrozumie\u0107 poj\u0119cie TAG’owania.<\/p>\n TAG – czyli znakowane ramki<\/strong><\/p>\n TAG z j\u0119zyka angielskiego mo\u017cna przet\u0142umaczy\u0107 jako znak lub znacznik. Podobnie jak w przypadku iptables – mo\u017cemy w kernelu Linuxa markowa\u0107 sobie pakiety – tak w przypadku VLAN\u00f3w mo\u017cemy oznacza\u0107 poszczeg\u00f3lne ramki Ethernetowe. Odbywa si\u0119 to zgodnie ze standardem 802.1Q – kt\u00f3ry definiuje dwa dodatkowe pola w ramce Ethernet o \u0142\u0105cznej d\u0142ugo\u015bci 4 bajt\u00f3w. Pola te nazywaj\u0105 si\u0119 po kolei TPID (Tag Protocol Identifier) oraz TCI (Tag Control Information). Pole TPID jest zasadniczo zawsze sta\u0142e i reprezentowane przez warto\u015b\u0107 szesnastkow\u0105 0x8100. Pole TCI zawiera przede wszystkim 12 bitowy identyfikator VLANu. Pozosta\u0142e bity zarezerwowane s\u0105 na dodatkowe informacje o technologii oraz priorytecie – gdy\u017c dane z poszczeg\u00f3lnych VLAN\u00f3w mog\u0105 by\u0107 r\u00f3wnie\u017c odpowiednio z okre\u015blonym priorytetem prze\u0142\u0105czane przez switcha.<\/p>\n Z uwagi, \u017ce do dyspozycji posiadamy 12 bit\u00f3w przeznaczonych na okre\u015blenie identyfikatora VLANu – do dyspozycji mamy sumarycznie 4096 znaczniki, z czego warto\u015b\u0107 0 i 4096 nie mo\u017ce by\u0107 u\u017cywana. St\u0105d do dyspozycji mamy 4094 r\u00f3\u017cne VLANy. Skoro ju\u017c wiemy czym s\u0105 TAGi warto zada\u0107 proste pytanie.<\/p>\n Czym r\u00f3\u017cni si\u0119 Port Based od 802.1Q ?<\/strong><\/p>\n R\u00f3\u017cnica jest bardzo prosta. O ile w przypadku 802.1Q ramki s\u0105 oznaczane TAGiem i mog\u0105 one z takim znacznikiem opuszcza\u0107 prze\u0142\u0105cznik. O tyle w przypadku trybu Port Based VLANy s\u0105 tworzone tylko w konfiguracji prze\u0142\u0105cznika. Dzia\u0142anie takie mo\u017ce by\u0107 oczywi\u015bcie po\u017c\u0105dane w przypadku kiedy chcemy w prosty spos\u00f3b izolowa\u0107 porty – porty mi\u0119dzy sob\u0105 si\u0119 nie widz\u0105, ale widz\u0105 jeden wsp\u00f3lny port w ramach oczywi\u015bcie jednego prze\u0142\u0105cznika. Port Based przydaje si\u0119 r\u00f3wnie\u017c w przypadku kiedy chcemy prze\u0142\u0105cznik po prostu podzieli\u0107 na dwa urz\u0105dzenia – wszystko oczywi\u015bcie zale\u017cy z jakim rodzajem prze\u0142\u0105cznika mamy do czynienia. Bardziej uniwersalne i zdecydowanie bardziej funkcjonalniejsze s\u0105 prze\u0142\u0105czniki obs\u0142uguj\u0105ce standard 802.1Q.<\/p>\n Czym r\u00f3\u017cni\u0105 si\u0119 poszczeg\u00f3lne tryby pracy portu ?<\/strong><\/p>\n W switchach obs\u0142uguj\u0105cych standard 802.1Q mo\u017cemy wyr\u00f3\u017cni\u0107 generalnie 3-4 tryby pracy poszczeg\u00f3lnego portu w prze\u0142\u0105czniku. Oczywi\u015bcie w zale\u017cno\u015bci od producenta prze\u0142\u0105cznika funkcjonalno\u015b\u0107 VLAN\u00f3w nazewnictwo jak i typ portu mog\u0105 by\u0107 zupe\u0142nie r\u00f3\u017cne – wtedy niestety nale\u017cy zag\u0142\u0119bi\u0107 si\u0119 w dokumentacj\u0119, gdy\u017c np. port ustawiony w trybie Trunk w prze\u0142\u0105cznikach Cisco Catalyst \u00a0to nie jest ten sam rodzaj Trunku co w przypadku prze\u0142\u0105cznik\u00f3w D-Link, Linksys czy TP-Link, ale mo\u017ce od pocz\u0105tku.<\/p>\n Prze\u0142\u0105czniki zwykle maj\u0105 za zadanie odpowiednio kierowa\u0107 ramki Ethernetowe do odpowiednich port\u00f3w – st\u0105d znaczniki ramek s\u0105 odpowiednio dodawane lub usuwane w zale\u017cno\u015bci czy dana ramka przychodzi na dany port (Ingress) czy te\u017c opuszcza port (Egress). W przypadku kiedy ramki przychodz\u0105 na port – switch mo\u017ce domy\u015blnie „otagowa\u0107” ramk\u0119 je\u015bli ta nie jest ju\u017c wcze\u015bniej oznaczona (tryb ACCESS i GENERAL). Kiedy ramka ma zosta\u0107 wys\u0142ana na konkretny port ramka mo\u017ce zosta\u0107 pozbawiona znacznika (tryb ACCESS) lub mo\u017ce zosta\u0107 oznaczona odpowiednim znacznikiem (tryb TRUNK lub GENERAL). Podsumowuj\u0105c :<\/p>\n Istnieje oczywi\u015bcie jeszcze jeden tryb pracy oznaczany w niekt\u00f3rych prze\u0142\u0105cznikach jako Q-in-Q<\/strong>. W tym trybie prze\u0142\u0105cznik pozwala na zagnie\u017cd\u017canie VLAN\u00f3w w VLANie zgodnie ze standardem 802.1ad. Funkcjonalno\u015b\u0107 tak\u0105 posiadaj\u0105 prze\u0142\u0105czniki przeznaczone zwykle do realizacji us\u0142ug Metro Ethernet – ale na potrzeby tego wpisu nie b\u0119dziemy tego analizowa\u0107.\u00a0Warto r\u00f3wnie\u017c doda\u0107, \u017ce w wi\u0119kszo\u015bci popularnych prze\u0142\u0105cznik\u00f3w dost\u0119pny jest r\u00f3wnie\u017c protok\u00f3\u0142 GVRP – kt\u00f3ry pozwala informowa\u0107 prze\u0142\u0105czniki o dost\u0119pnych sieciach VLAN poprzez port w trybie TRUNK. Wyobra\u017amy sobie sytuacj\u0119, \u017ce mamy sie\u0107 sk\u0142adaj\u0105ca si\u0119 z kilku prze\u0142\u0105cznik\u00f3w po\u0142\u0105czonych ze sob\u0105 szeregowo. Mi\u0119dzy kra\u0144cami sieci chcemy wydzieli\u0107 wirtualn\u0105 sie\u0107 mi\u0119dzy dwoma urz\u0105dzeniami wpi\u0119tymi do prze\u0142\u0105cznik\u00f3w. W przypadku kiedy nie korzystamy z protoko\u0142u GVRP utworzenie takiego kana\u0142u transmisji wymaga\u0142oby dodania danego VLANu na wszystkich prze\u0142\u0105cznikach w ramach port\u00f3w trunkowych. W przypadku u\u017cycia GVRP tworzymy porty w trybie ACCESS gdzie chcemy mie\u0107 odpowiednie ko\u0144c\u00f3wki takiej sieci i przypisujemy im ten sam VLAN – switche automatycznie zaczn\u0105 rozg\u0142asza\u0107 „osi\u0105galno\u015b\u0107” takiego VLANu na odpowiednich portach eliminuj\u0105c r\u0119czn\u0105 konfiguracj\u0119.<\/p>\n","protected":false},"excerpt":{"rendered":" Czytaj\u0105c sporo for\u00f3w jak i r\u00f3wnie\u017c grupy dyskusyjne zauwa\u017cy\u0142em, \u017ce temat VLAN\u00f3w przewija si\u0119 wr\u0119cz nieustannie – sporo os\u00f3b ma problemy z konfiguracj\u0105 czy te\u017c ze zrozumieniem koncepcji i istoty dzia\u0142ania tej technologii. A VLANy na pewnym etapie staj\u0105 si\u0119 … Czytaj dalej \n
\n