6. Grunder om VLAN

I ett switch-baserat nätverk kan ett fysiskt nätverk delas upp i flera virtuella nätverk. Dessa virtuella nätverk är kända som virtuella LAN, därmed förkortningen VLAN. Virtuella LAN underlättar grupperingar av nätverksenheter per LAN, även om fysiskt alla nätverksenheter är anslutna till en och samma switch. Nätverksuppdelningen görs av olika skäl exempelvis baserat på faktorer som funktion, användarens åtkomst till resurser eller applikationer som får användas.

Varje VLAN anses vara ett separat logiskt nätverk därmed adresseras de med specifika nätverksadresser. Nätverksenheter inom varje VLAN kan kommunicera med varandra, i sitt eget nätverk så att säga. Men kommunikationen mellan VLAN kräver en router mellan.

Bild 1: VLAN teknik

Fördelar med VLAN

VLAN förbättrar nätverksprestanda genom att separera stora nätverksområde till mindre. VLAN möjliggör implementering av åtkomst- och säkerhetspolicy som styr grupper eller individuella nätverksenheter och användare. Här nedan listas några fördelar till:

  • Datoranvändare kan placeras på olika våningar även om deras datorer är anslutna till samma switch.
  • Högre säkerhet eftersom paketleverans sker i ett mindre och begränsat LAN.
  • Broadcast trafik kan begränsas genom att minska broadcast-domäner.
  • Åtkomst till nätverkstjänster per avdelning (per VLAN).

VLAN implementering

I princip finns det två metoder för att implementera VLAN:

  • som portbaserade VLAN. (inte taggade). På de gröna portar ansluts nätverksenheter tillhörande till en visst nätverksadress. På de röda portar ansluts nätverksenheter tillhörande till en annan nätverksadress. Observera att gröna portar nummer 4 ansluts samman och det samma görs med röda portar nummer 8.
  • som taggade VLAN. Det samma som ovan men här används endast en kabel mellan switcharna A och B. Portar nummer 8 kan vidarebefordra A-frame och B-frame .

Det finns ett antal olika typer av VLAN:

Data VLAN

En Data VLAN är konfigurerad att bära användargenererad trafik och inte VLAN-hanteringstrafik eller röst-trafik. Det är vanligt att separera röst- och VLAN-hanteringstrafik från vanlig datatrafik. En data VLAN kallas ibland som en User VLAN. Data VLAN används för att separera användargrupper per VLAN.

Default VLAN

Alla portar i en switch tillhör till Default VLAN som konfigureras automatiskt vid switchens initiala start. Efter den initiala uppstarten av en switch tillhör dess portar till en och samma broadcast-domän. Detta gör det möjligt kommunikationen mellan alla nätverksenheter som är anslutna till switchen. Denna default VLAN kallas VLAN 1 vilket kan verifieras med kommandot show vlan brief:

Bild 2: Default VLAN, VLAN 1

VLAN 1 kan inte raderas eller byta namn och som default fjärradministreras switchar via VLAN 1.

Native VLAN

Illustrationen nedan visar att Ethernet-portar i en switch fungerar antingen som access-port eller trunk-port. Från början alla portar fungerar som access-port och de inkluderas i en default VLAN, VLAN 1. Eftersom alla portar tillhör till samma Native VLAN markeras inte Ethernet-ramar. Detta är känd som “untagged frame“. Men när flera VLAN skapas behöver Ethernet-ramar identifieras via inkapslingsprotokoll 802.1Q.
När PC1 skickar ett broadcast-paket till en hubb och den skickar vidare till anslutna switchar. När ramar inte har någon markering associeras de med VLAN 1 och därför skickar switchen ramarna via de portar som tillhör VLAN 1. Om det inte finns några associerade portar med det nativa VLAN och om inte finns någon trunk-port tas omarkerade ramar bort från trafiken.

Bild 3: Access och Trunk portar

Hubbar används inte längre i dagens moderna nätverk.

Ethernet switchar är L2-nätverkshanterare därmed datatrafiken är egentligen Ethernet FRAME. Switch som stödjer VLAN-teknik markerar ramar (frames) med en etikett som inkluderas i varje ram (frame). Denna etikett kallas på engelska TAG och markerade ramar kallas på engelska “tagged trafik“. Allt annat datatrafik kallas “untagged trafik“.

Bild 4: Ethernet frame format

Markerad trafik refererar till trafik som har en 4-byte-tagg infogad i den ursprungliga Ethernet-ramhuvudet (se bilden ovan). När omarkerade frame hamnar på switchens trunk-port betraktas de som en del av native VLAN vilken som default är VLAN 1. Det rekommenderas att konfigurera en annan native VLAN än VLAN 1, mest av säkerhetsskäl.

Management VLAN

En management VLAN är vilken VLAN som helst som är konfigurerad för fjärradministrationen. Som default är VLAN 1 en sådan som kan hanteras över nätverk ifall det behövs. VLAN 1 tilldelas det virtuella interfacet (Switch Virtual Interface, SVI) som adresseras med en lämplig IP-adress och nätmask så att switchen kan hanteras via HTTP, Telnet, SSH eller SNMP.

Tidigare var Management VLAN för en 2960 switch den enda aktiva SVI. På 15.x-versioner av Cisco IOS för Catalyst 2960 Series-switch är det möjligt att ha mer än en aktiv SVI. Cisco IOS 15.x kräver att det specifika aktiva SVI som är tilldelat för fjärrhantering dokumenteras. Medan teoretiskt kan en switch ha mer än en fjärradministration VLAN ökar det också risken till exponeringen för nätverksattacker.

Voice VLAN

En separat VLAN behövs för att stödja Voice over IP (VoIP). VoIP-trafik kräver:

  • Garanterad bandbredd för att säkerställa röstkvaliteten
  • Överföringsprioritering över andra typer av nätverkstrafik
  • Förmåga att dirigeras runt överbelastade nätverksområden
  • Fördröjning på mindre än 150 ms över nätverket
  • För att uppfylla dessa krav måste hela nätverket utformas för att stödja VoIP.
Bild 5: Voice VLAN

I bilden ovan är VLAN 150 konfigurerad för att bära rösttrafik. Studentdatorn PC5 som är ansluten till Cisco IP-telefonen och telefonen ansluten till switch S3 genererar rösttrafik som skickas ut till porten F0/18. Switch S3 identifierar rösttrafiken och associerar till VLAN 150 och vidarebefordrar till switch S1.

VLAN Trunk

En trunk är en punkt-till-punkt-länk mellan två switchar som bär mer än en VLAN. Virtuella LAN skulle inte vara mycket användbar utan VLAN-trunkar. VLAN-trunkar tillåter all VLAN-trafik att sprida sig mellan switchar så att nätverksenheter som är i samma VLAN, men som är anslutna till olika switchar, kan kommunicera med varandra utan ingrepp av en router.

Bild 6: VLAN trunk

I bilden ovan är länkarna mellan switchar S1 och S2 och S1 och S3 konfigurerade för att tillåta trafik som kommer från VLANs 10, 20, 30 och 99 över nätverket. Observera att PC1 och PC4 tillhör till ett och samma virtuellt LAN, VLAN 10. Det samma för enheten PC2 och PC5 som är med i VLAN 20. Det finns också i exemplet VLAN 30 ditt tillhör PC3 och PC6.

Switch S1 tar emot frame från PC1, PC2 och PC3 och skickar de till porten F0/11 som är en trunkport. Switch S1 ansluter samman switcharna S2 och S3 så den också har konfigurerade trunkport interface F0/1 och F0/3.

Dynamic Trunking Protocol

När två switchar kopplas ihop uppstår trafik mellan de. Varje switch har en default konfiguration där alla portar lyssnar på datatrafik inom VLAN 1. Hur uppstår datatrafik mellan två switchar? Svaret är DTP.

DTP används av switchar för att förhandla ett visst arbetsläge, ett trunk läge så att olika VLAN-ramar kan flöda fram och tillbaka mellan dessa två switchar. Alla interface eller portar på en switch har två arbetsläge: Access eller Trunk. Som default konfigureras alla portar som Access port, men varje port är redo att förhandla möjligheten att bli trunk port tack vare protokollet DTP. Detta protokoll är normalt aktiverat på varje port och för bättre hantering kan protokollet konfigureras statiskt.

DTP packet skickas ut varje 60 sekunder och annonserar viljan att bli trunk-port. Förhandlingar kan generera olika arbetsläge beroende på kombinationer mellan följande alternativ:

  • Dynamic auto -En switchs port i dynamic auto läge annonserar inte viljan till att arbeta i trunk-läge. Men beroende på den andra switchens port arbetsläge kan ändå switchen ställa sig in i trunk-läget, exempelvis om den andra port är i dynamic desirable läge.
  • Dynamic desirable -En switchs port i dynamic desirable läge kommer aktivt att annonsera viljan att arbeta i trunk-läget.
  • Trunk – En switchs port i trunk-läge arbetar i trunk-läge, men också kan porten gå in förhandlingar för att arbeta i trunk-läget med en annan switch.
  • Access – En switchs port i access-läget arbetar just i det läget och annonserar inte någon vilja att arbeta i trunk-läget.

Bild 8: DTP arbetsläge