Sieć LAN łączy na wybranym obszarze niezliczoną liczbę urządzeń takich jak komputery, serwery, punkty dostępowe, telefony VoIP czy kamery. Natomiast sieci VLAN (ang. Virtual Local Area Network) są wydzielonymi w ramach jednej fizycznej sieci lokalnej, sieciami wirtualnymi. Umożliwiają segregację ruchu, jednak w sposób dość często niejasny dla operatorów, który przyzwyczajeni są wyłącznie od obsługi fizycznej infrastruktury.

W artykule przyjrzymy się, dlaczego stosuje się sieci VLAN i jak rozwiązywać problemy z nimi związane.

 

Jaki jest cel istnienia sieci VLAN i do czego się je wykorzystuje?

Każdy typowy obiekt z zainstalowaną siecią LAN posiada szereg urządzeń i systemów, które pracują w określony sposób. Niektóre zajmują się obsługą:

  • głosu
  • danych
  • bezpieczeństwa
  • kontroli dostępu
  • oświetlenia
  • automatyki budynkowej, itp.

podczas gdy inny sprzęt pełni specyficzne funkcje:

  • księgowość
  • sprzedaż
  • inżynieria
  • kadrowość
  • goście, itd.

Wszystkie urządzenia i systemy, które łączą się z siecią LAN, mogą znajdować się w dowolnym miejscu w obiekcie. Nie oznacza to jednak, że wszystkie mają mieć uprawnienia oraz możliwość wymiany danych i komunikacji ze sobą.

W przypadku, gdy wszystkie urządzenia w sieci LAN mają możliwość przekazywania informacji pomiędzy sobą, wgląd w ruch sieciowy i dostęp do tych samym systemów istnieje potencjalne ryzyko z bezpieczeństwem wewnętrznym. Wyobraź sobie sytuację, że każdy pracownik działu sprzedaży ma dostęp do systemów księgowych lub kadrowych. Czym to może grozić?

Urządzenia podłączone do sieci są w jednej domenie rozgłoszeniowej (ang. broadcast domain), co oznacza, że każde z nich odbiera ramki rozgłoszeniowe. Generowany ruch będący nieodłączonym efektem pracy sieci LAN umożliwia przekazywanie informacji oraz ich odnajdywanie. Sytuacja ta może prowadzić do przeciążenia sieci i pogorszenia jej wydajności, a także zwiększenia podatności na ataki i inne naruszenia bezpieczeństwa.

Oczywiście sensownym rozwiązaniem w tym przypadku wydaje się rozdzielenie urządzeń i systemów sieci LAN na mniejsze podsieci. Pozwoliłoby to zapobiec wspomnianym problemom przy jednoczesnym zapewnieniu lepszego zarządzania siecią. Jednak fizyczna segregacja sieci na mniejsze wymaga wielu przełączników, routerów, punktów dostępowych i infrastruktury, co jest wysoce nieefektywne, ciężkie w obsłudze i przede wszystkim kosztowne.

Pomyślmy jeszcze chwilę o tym rozwiązaniu. Czy naprawdę dobrym wyborem jest zakup osobnych przełączników i znacznie większe wykorzystanie dostępnej przestrzeni na ich ulokowanie oraz wiele punktów dostępu do sieci Wi-Fi dla każdego systemu i realizacji różnych wymagań? Jak przeprowadzić wtedy modyfikacje i reorganizacje w strukturze sieci? Czy domyślacie się jaki nakład pracy by musiał zostać wykonany? Dlatego właśnie z pomocą przychodzą sieci VLAN.

Podsumowując, sieci VLAN zostały stworzone, by dać możliwość segmentacji sieci. Dzięki czemu z jednej strony zyskujemy bezpieczeństwo, łatwość zarządzania oraz skalowalność a z drugiej ograniczenie ruchu rozgłoszeniowego i zatorów w sieci.

 

Jak działają sieci VLAN?

Sieci VLAN są zwykle konfigurowane na poziomie warstwy 2: łącza danych według modelu OSI. Czasem działają również w warstwie 3: sieciowej w celu zapewnienia routingu pomiędzy sieciami VLAN (przesyłanie pakietów pomiędzy sieciami VLAN). Ustawienia przeprowadzane są za pomocą oprogramowania przełączników, które są już w większości przypadków przystosowane do obsługi sieci VLAN. Administratorzy sieci przypisują określone porty switch’a do konkretnych sieci VLAN za pomocą odpowiednich znaczników. Liczba utworzonych sieci z poziomu jednego urządzenia aktywnego zależy zwykle od jego modelu. Standard IEEE 802.1Q, który definiuje tagowanie VLAN dla ramek Ethernet zakłada, że liczba sieci VLAN w warstwie drugiej nie może przekroczyć 4096. Ponadto porty przełącznika mogą zostać skonfigurowane jako porty dostępowe, należące do jednej sieci VLAN lub jako porty trunk do obsługi wielu sieci VLAN.

Sieci VLAN są porządkowane według interfejsu, adresu MAC, adresu IP, protokołów lub kombinacji ze wspomnianych. Dzięki tylu możliwościom organizacji sieci VLAN konfigurację można przeprowadzić w dowolny sposób, odpowiadający jak najlepiej konkretnym potrzebom użytkownika lub dedykowanej funkcji. Przekłada się to na łatwiejsze zarządzanie siecią i wyższą elastyczność. Urządzenia i systemy zlokalizowane w dowolnym miejscu mogą być swobodnie przenoszone, pozostając w tej samej sieci VLAN. Dodatkowo zyskujesz wyższy poziom bezpieczeństwa, gdyż komunikacja zachodzi tylko w obrębie jednego VLAN’u. Ruch odbywa się płynniej i tylko w zakresie jednej domeny rozgłoszeniowej, nie przekazując informacji do innych. W miarę rozwoju, tworzenie nowych sieci VLAN, a więc zwiększanie liczby domen, nie wpływa na wydajność i obciążenie sieci, gdyż ich rozmiar utrzymywany jest finalnie na podobnym poziomie.

Podsumowując, sieci VLAN działają po przypisaniu ich do konkretnych portów przełącznika. Wykonuje się to z użyciem oprogramowania switch’a, które ma możliwość obsługi sieci VLAN.

 

Jak rozwiązywać problemy z sieciami VLAN?

W przypadku pojawienia się nieprawidłowości zwykle szuka się przyczyny w okablowaniu, ponieważ to właśnie po tej stronie jest najwięcej problemów i usterek. Brak ciągłości w działaniu czy słaba wydajność sieci są często wynikiem niewłaściwego zarobienia, uszkodzenia, wadliwych komponentów lub niepoprawnej modernizacji instalacji kablowej. Niedogodności te można w łatwy sposób zidentyfikować w oparciu o graficzną mapę połączeń i przeprowadzone pomiary. W przypadku gdy wszystko okaże się wykonane właściwie, można skierować podejrzenia w stronę niewłaściwej konfiguracji sieci VLAN. Jeśli urządzenie lub system zostało źle przypisane do sieci VLAN, to nie dojdzie do przepływu ruchu do innego sprzętu w obrębie tej sieci VLAN. Błędne ustawienia przełącznika mogą prowadzić do awarii, wystarczy, np. nie powiązać użytego portu z daną siecią VLAN.

Najlepszym sposobem zapobiegania pomyłkom w tagowaniu VLAN jest prowadzenie rzetelnej dokumentacji. Jest to szczególnie ważne w dynamicznych środowiskach z dużą ilością ruch i reorganizacji. W takich miejscach jest większa możliwość omyłek trafienia za pośrednictwem złego portu na nie tego użytkownika lub urządzenie, a tym samym nie na tą sieć VLAN. Niestety problemy te nie są do rozwiązania z poziomu standardowego testera okablowania. Z pomocą przychodzi jednak tester okablowania i sieci LinkIQ™ firmy Fluke Networks, który umożliwia nie tylko sprawdzenie stanu sieci VLAN, ale również generuje mapę połączeń i testuje pod kątem PoE.

Zapraszamy do zapoznania się również z naszym poprzednim artykułem o testerze LinkIQ™

 

LinkIQ oprócz dostarczania informacji o stanie sieci VLAN, generuje mapę połączeń oraz testuje pod kątem PoE

 

Przełączniki sieciowe używają protokołu LLDP (ang. Link Layer Discovery Protocol) lub CDP (ang. Cisco Discovery Protocol) do wykrywania podłączonych urządzeń sieciowych i ogłaszania ich możliwości. LinkIQ dzięki możliwości odczytywania przesyłanych pakietów przez te protokoły jest w stanie wskazać sieć VLAN, do którego testowane łącze jest przypisane. Dostarczy również nazwę i opis przełącznika, ID portu oraz deklarowaną prędkość. Ponadto dotykowy ekran, zajmujący prawie całą powierzchnię urządzenia, ułatwia odczyt dużej ilości informacji. LinkIQ wyświetla również informacje o osiągalnych prędkościach łącza obsługiwanych przez switch’a, co może pomóc w określeniu poprawności klasyfikacji instalacji kablowej.

 

Opracowano na podstawie materiałów Fluke Networks