VLAN - 802.1q

VLAN je zkratka z Virtual LAN. Protokol umoznuje na switchovane siti nezavisle na fyzickem zapojeni "dratu" seskupit stanice podle vyberu administratora, a "oddelit" je od ostatnich. Oddeleni probiha tak, ze switche posilaji data pouze v ramci skupiny portu, ne mezi vsemi.

Typy VLAN

VLAN je v podstate skupina portu na switchi. Pokud jsou na sebe switche retezene, muze - pri spravne konfiguraci - jeden VLAN zasahovat pres vice switchu. Na lokalni siti tak vzniknou z pohledu linkove vrstvy nezavisle site. Da se to predstavit tak, jako kdyby se misto VLAN postavil samostatny kabelovy rozvod se svymi vlastnimi switchi. V pripade, ze mame chytra zarizeni (managed switche nebo pocitace), mohou se takove site i prekryvat.

Port-based VLANs

  • u horsich switchu
  • pro kazdou VLAN se vyjmenuji porty, ktere do ni patri
  • port smi patrit pouze do jedine VLAN
  • vubec se nepouziva 802.1q znackovani
  • Staticke VLAN na jednom switchi

Jak to funguje

  • prislusnost ramce k VLAN se rozhoduje podle VLAN portu ktery jej prijme
  • data pro VLAN "x", posila dal pouze na porty ktere take patri do "x"
  • mezi jednotlivymi VLAN (jejich porty) switch vubec data neprenasi
  • z hlediska vrstvy L >=2 jsou jednotlive VLAN zcela oddelene

VLAN pres vice switchu

  • propojka mezi switchi musi byt na portech dane VLAN (na obou koncich)
  • vice takovych VLAN - vice fyzickych propojek (port muze byt jen v jedne VLAN!)
  • => neefektivni vyuziti (drahych) portu
  • VLANy pres vice switchu

Management switche

  • obvykle omezeny na 1 VLAN (obvykle s cislem 1)
  • pres porty MIMO tuto VLAN se neda switch ovladat
  • => +1 port na management (nebo VLAN id 1 pouzit i pro normalni ne-servisni zarizeni)

Kde pouzit

  • uplne oddeleni ruznych siti od sebe
  • nemusi se kupovat zvlastni switche - zvladne to jeden + konfigurace

Tag-based VLANs

K datovemu ramci se pripojuje specialni hlavicka podle 802.1q. Data v hlavicce pak switch rozpoznava a ridi se jimi. Hlavicky pridava k ramci sam switch (nebo dalsi switche), nebo ovladac VLAN v OS smerovace.

Hlavicka 802.1q

Hlavicka obsahuje:

  • cislo virtualni site (12 bitu), identifikuje cilovou skupinu portu nektere switche umoznuji VLANy pojmenovat, ale ve vymenovanych datech se vzdy pouziva 12 bitove cislo.
  • typ sluzby (4 bity), udava typ, nebo spise prioritu sluzby. Pri zahlceni switche jsou ty chytrejsi schopne zahazovat ramce s nizsi prioritou a propoustet ramce s vyssi prioritou prednostne.

Jak to funguje

  • Nastavuje se prislusnost portu k VLAN
  • switch rozeznava specialni hlavicky podle specifikace 802.1q
  • podle dat v 802.1q hlavicce se urcuje VLAN kam data patri (misto jenom podle portu)
  • 1 port smi byt ve vice VLAN !
  • switch posila dal data i s hlavickou
    • jedna VLAN muze prochazet pres mnoho switchu!

VLAN pres vice switchu

  • rozmysli se ocislovani VLAN (unikatni cisla pro celou lokalni sit)
  • switchum naridime propoustet a preposilat 802.1q znacky
  • kazdy switch muze podle znacky zjistit zamyslenou VLAN pro data
  • staci 1 propojka do switche, cil dat se identifikuje pomoci 802.1q hlavicky

Management switche

  • Jedna VLAN je zpravidla pro management
  • Z prakticky jakehokoliv portu - staci oznackovat data cislem management VLAN

Switch u forwardovanych ramcu hlavicku ponechava, takze pripadny dalsi switch muze i nadale podle hlavicky zjistit cilovou VLAN a rozhodnout se podle toho. Tim zpusobem se da VLAN protahnout treba na vsechny switche na mistni siti - misto fyzickych propojek, a identifikace fyzickym umistenim dratu se pouziva identifikace daty.

Vyuziti VLAN - priklad v Klfree

VLAN vyuzivame v serverovne. Pripojka do Internetu je v suterenu, zatimco radiove spoje na dalsi Node jsou na strese. Problemy:
  • radiove spoje jsou bridge - ochotne preposilaji na druhy konec radia vsechno co uslysi
  • neni unosne tahnout 10 kabelu odzhora dolu celym vezakem (kvuli oddeleni komunikace)

Kdyby bylo radiopojitko v HUBu, tak by se data urcena pro NodeRebeca? posilala i na NodeVKD? (viz mapa site). Radiopojitko (bridge) zachyti na ethernet rozhrani ramec a preposle jej radiem na druhou stranu. Nastesti pouzivame switche, ktere po pocatecnim uceni kde je ktera linkova adresa posilaji ramec jenom tim "spravnym" portem.

Jelikoz ale pouzivame Zebry, ktere se domlouvaji pomoci IGMP multicastu, tak jednotlive Zebry na sebe mohou videt a navzajem si delat "binec" -- coz by se nestalo, kdyby bylo kazde pojitko na samostatnem dratu.

Dalsim duvodem pro oddeleni datovych toku na jednotlive "sitovky" je monitoring: pro sitovou kartu dokazeme pouzit SNMP a monitorovat prutoky dat, coz neni tak dobre mozne pro toky do nejakeho subnetu a nebo jeste hur toky ktere prochazeji subnetem (pojitkem) jako tranzitem.

Konfigurace switchu a portu

Ve switchi je v zasade tabulka VLAN x porty - kazdy port ma pro nejakou VLAN jeden ze stavu:
  • forbid (zakaz) - port nepatri do VLAN a switch jim NIKDY data patrici VLAN neodesle
  • auto (automatic) -
  • tagged port JE soucasti vlan a propousti POUZE data opatrena 802.1q hlavickou
  • untagged port JE soucasti vlan a pri pruchodu switchem se automaticky pridava nebo odstranuje 802.1q hlavicka pro tuto VLAN

Zajimavy je stav untagged: Pokud prijde ramec bez hlavicky 802.1q, switch automaticky doplni hlavicku VLAN sam. Naopak, pokud se portem odesilaji data, ktera patri dane VLAN, tak switch hlavicku odstrani. Resi se tak spoluprace se zarizenimi, ktere neumeji 802.1q. Zarizeni se zapoji portu v rezimu untagged, a jeho data dostanou automaticky znacku. Naopak, kdyz budou data pro "stare" zarizeni opoustet switch, 802.1q znacka se odstrani, aby zarizeni dokazalo ramec zpracovat.

Dynamicke (tagged) VLAN

Linux

  • Podpora pro 802.1q je v jadre (uz od 2.4.x)
  • Pro kazdou prijimanou VLAN vznikne 1 virtualni sitove zarizeni nad nejakou 'fyzickou' sitovkou
  • VLAN zarizeni prijima data oznackovane prislusnym VLAN cislem v 802.1q hlavicce; odesilana data znackuje
  • "normalni" sitovka zpracovava neznackovana data
  • virtualni sitovky se daji za behu vytvaret a rusit

Oznaceni virtualnich sitovych karet (Y je cislo VLAN, X je poradove cislo fyzicke karty):

  • vlanY
  • ethX.Y

Virtualni karty maji normalni cyklus link up/down, ale navic se ridi linkovym stavem sve "fyzicke" karty - kdyz je na fyzicke karte link down, nefunguje zadna podrizena virtualni karta.

-- SvataDedic - 11 Aug 2005

  • Hlavicka 802.1q:
Topic attachments
I Attachment Action Size Date Who Comment
pngpng switch-static-2.png manage 4.4 K 2005-08-12 - 01:55 SvataDedic VLANy pres vice switchu
pngpng switch-static.png manage 2.7 K 2005-08-12 - 01:54 SvataDedic Staticke VLAN na jednom switchi
pngpng switch-tagging.png manage 7.0 K 2005-08-12 - 01:57 SvataDedic Dynamicke (tagged) VLAN
pngpng vlan-header.png manage 2.7 K 2005-08-12 - 01:56 SvataDedic Hlavicka 802.1q
Topic revision: r4 - 2005-08-12 - 02:05:26 - SvataDedic
 

This site is powered by the TWiki collaboration platformCopyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TWiki? Send feedback