VLAN teknik

Att organisera ett stort nätverk i mindre, hanterbara segment är avgörande för att förbättra både struktur, säkerhet och effektivitet. Virtuella LAN (VLAN) erbjuder en kraftfull lösning för logisk segmentering i en switchbaserad nätverksmiljö.

Med VLAN kan nätverksenheter grupperas logiskt och kommunicera som om de vore anslutna till samma nätverk, även om de i verkligheten är anslutna till olika switchar eller befinner sig på olika platser i nätverket. Samtidigt isoleras trafiken mellan olika VLAN, vilket innebär att enheter i ett VLAN inte kan kommunicera direkt med enheter i ett annat VLAN utan routing.

Som illustreras i figuren kan användare från olika avdelningar, exempelvis IT, HR och Sales, ansluta till samma fysiska nätverksinfrastruktur samtidigt som deras trafik hålls logiskt separerad i olika VLAN.

En nätverksadministratör kan därför segmentera nätverket utifrån olika kriterier, till exempel:

  • organisatorisk funktion
  • avdelning eller team
  • säkerhetsnivå
  • specifika applikationer

Denna segmentering sker logiskt, vilket innebär att den inte är beroende av den fysiska placeringen av användare eller enheter i nätverket.

Varje VLAN fungerar som ett separat logiskt nätverk. Enheter inom samma VLAN kan kommunicera direkt med varandra, medan kommunikation mellan olika VLAN kräver routing. Samtidigt kan flera VLAN dela samma fysiska nätverksinfrastruktur.

En viktig egenskap är att varje switchport kan tilldelas ett specifikt VLAN. Detta gör det möjligt att implementera detaljerade säkerhets- och åtkomstpolicyer baserade på användargrupper eller funktioner.

Effektiv trafikhantering

I ett VLAN-baserat nätverk vidarebefordras unicast-, broadcast- och multicast-trafik (BUM-trafik) endast till enheter inom samma VLAN. Detta begränsar broadcast-trafik till den aktuella VLAN-domänen och minskar onödig nätverkstrafik.

Utan VLAN befinner sig alla enheter i samma Layer 2 broadcast-domän, vilket innebär att broadcast-trafik, exempelvis ARP-förfrågningar, skickas till alla enheter i nätverket.

Kommunikation mellan olika VLAN kräver inter-VLAN routing, vilket utförs av en router eller en Layer 3-switch.

Fördelar med VLAN

  • Mindre broadcast-domäner – Genom att dela upp nätverket i VLAN minskar antalet nätverksenheter i en broadcast-domän. I figuren visas exempelvis på varje switch sex datorer i nätverket, totalt 18, men endast tre broadcast-domäner (IT, HR och Sales).
  • Förbättrad säkerhet – Användare i olika VLAN är logiskt separerade från varandra, vilket begränsar direkt kommunikation mellan grupper.
  • Effektivare nätverkshantering – Användare med liknande behov kan placeras i samma VLAN. VLAN kan även namnges för att underlätta administration, exempelvis VLAN 10 för ”IT”, VLAN 20 för ”HR” och VLAN 30 för ”Sales”.
  • Minskade kostnader – VLAN möjliggör logisk segmentering utan att bygga separata fysiska nätverk, vilket minskar behovet av extra utrustning.
  • Bättre prestanda – Mindre broadcast-domäner minskar onödig trafik och förbättrar nätverkets effektivitet.
  • Enklare hantering av projekt och applikationer – VLAN gör det möjligt att gruppera användare och enheter utifrån organisatoriska eller tekniska behov, exempelvis för specifika projekt eller applikationer.

Den största fördelen med VLAN är att nätverksenheter kan grupperas logiskt istället för fysiskt. Användare kan därför tillhöra samma nätverk även om deras datorer är anslutna till olika switchar eller befinner sig på olika platser i organisationen.