A | B | C | D | E | F | G | H | CH | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9
A számítógép-hálózatok körében a virtuális helyi hálózat vagy látszólagos helyi hálózat (rövidebben virtuális LAN, virtual LAN, azaz VLAN) hálózati eszközök egy olyan csoportja, aminek tagjai úgy kommunikálnak, mintha ugyanabba a szórási tartományba tartoznának, fizikai elhelyezkedésüktől függetlenül. Egy VLAN ugyanazokkal a jellemzőkkel bír, mint egy fizikai helyi hálózat (LAN), de lehetővé teszi az eszközök együtt kezelését még akkor is, ha nem ugyanarra a hálózati kapcsolóra csatlakoznak. A hálózat átkonfigurálása az eszközök fizikai áthelyezése helyett szoftveresen is végrehajtható.
Felhasználása
A VLAN-ok azokat a szegmentációs szolgáltatásokat nyújtják, amiket hagyományosan routerek biztosítanak LAN környezetekben. A VLAN-ok a skálázhatóság, biztonság és hálózati menedzsment területén jelentenek előrelépést. VLAN környezetben a routerek feladata a broadcast üzenetek szűrése, a hálózatbiztonság, a címösszegzés és a hálózati terheléselosztás biztosítása. A hálózati kapcsolók definíció szerint nem végezhetik el az IP-forgalom áthidalását VLAN-ok között, hiszen ez megsértené a VLAN szórási tartomány integritását.
Akkor is hasznos lehet a VLAN technológia, ha több 3. rétegbeli (Layer 3) hálózatot kell létrehozni ugyanazon a 2. rétegbeli hálózati kapcsolón. Például egy DHCP-kiszolgálót (ami broadcast üzenettel jelenti be a létezését) egy switchhez csatlakoztatva az bármely ügyfélgépet kiszolgálhat a switchen. VLAN-ok alkalmazásával a hálózat felosztható olyan módon, hogy egyes ügyfélgépek ne használják a DHCP szervert, hanem például kézi konfigurálással kapjanak címet.
A virtuális helyi hálózatok lényegében 2. rétegbeli konstrukciók, összehasonlítva az IP-alhálózatokkal (subnet), amik a 3. rétegben foglalnak helyet. A gyakorlatban legtöbbször a VLAN-ok és az IP-alhálózatok között 1:1 megfeleltetés van. Ennek ellenére egy VLAN-on létezhet több alhálózat, és egy alhálózat is keresztülnyúlhat több VLAN-on. A VLAN-ok és az IP-alhálózatok egymástól független 2. és 3. rétegbeli konstrukciók, kapcsolatuk mégis fontos tényező, amit nem lehet figyelmen kívül hagyni a hálózat megtervezésekor.
Virtuális helyi hálózatok használatával kézben tartható a hálózati terhelés, gyorsan lehet reagálni gépek áthelyezésére. A VLAN-ok rugalmassága, a hálózat változásaihoz való gyors alkalmazkodás egyszerűsített adminisztrációt tesz lehetővé.
Motiváció
Egy hagyományos hálózatban a felhasználók fizikai elhelyezkedésük szerint tartoznak egy-egy hálózathoz (pl.: egyik emelet egyik hálózat, másik emelet egy másik hálózat), a lehetőségeket behatárolja a fizikai topológia és a távolság.
A virtuális LAN-okkal lehetőség nyílik a hálózatok összefogására úgy, hogy a felhasználókat nem köti szorosan fizikai elhelyezkedésük. VLAN-t lehet használni a következő technológiák bármelyike fölött:
- Asynchronous Transfer Mode (ATM)
- Fiber Distributed Data Interface (FDDI)
- Ethernet
- Fast Ethernet
- Gigabit Ethernet
- 10 gigabites Ethernet
- HiperSockets
Protokollok, tervezés
Napjainkban VLAN-ok konfigurálása során leggyakrabban használt protokoll az IEEE 802.1Q. A VLAN-ok multiplexálására alkalmas módszert az IEEE bizottság azzal a céllal definiálta, hogy a gyártók VLAN-megoldásai egymással kompatibilisek lehessenek. A 802.1Q szabvány előtt több egyedi protokollt használtak, köztük a Cisco ISL-jét (Inter-Switch Link, az IEEE 802.10 egy változata) és a 3Com VLT-jét (Virtual LAN Trunk).
Az ISL és az IEEE 802.1Q egyaránt explicit címkézésű (explicit tagging) – azaz magát a keretet címkézik meg a VLAN-információval. Az ISL külső címkézési módszere nem változtatja meg az eredeti Ethernet-keretet, hanem mintegy 30 bájtot ad hozzá. A 802.1Q a keret egyik mezőjét használja a címkézésre, vagyis módosítja az eredeti keretet. Ez a belső címkézés teszi lehetővé, hogy az IEEE 802.1Q működhessen hálózati végpontokon és trönkölt kapcsolatokon egyaránt: a keretek az Ethernet-szabványnak megfelelnek, így a korábbi hardverrel is képes együttműködni a technológia.
Az IEEE 802.1Q 4 bájtos extra fejléce egy 2 bájtos címkeprotokoll-azonosítóból (tag protocol identifier, TPID) és egy 2 bájtos címkekontroll-információból (tag control information, TCI) áll. A TPID értéke fixen 0x8100, ami azt jelenti, hogy a keret 802.1Q/802.1p címkeinformációt hordoz. A TCI következő részekből áll:
- 3 bit felhasználói prioritás
- 1 bit kanonikus formátumjelző (canonical format indicator, CFI)
- 12 bit VLAN-azonosító (VLAN identifier, VID) – kifejezi, hogy a keret melyik VLAN-ba tartozik
A 802.1Q szabvány sajátos helyzetet hozhat létre a hálózaton. Emlékezve arra, hogy az IEEE 802.3 szerint definiált maximális Ethernet keretméret 1518 bájt, ha egy maximális méretű keret címkézésre kerül, a keret már 1522 bájtos lesz, ami megsérti az IEEE 802.3 szabványt. Ennek feloldására a 802.3-as bizottság létrehozott egy alcsoportot 802.3ac néven, a maximális keretméretet 1522 bájtig kiterjesztve. Lehetséges egy keret dupla, vagy tripla címkézése is. Egyes hálózati eszközök, amik nem támogatják a nagyobb keretméretet, képesek ugyan feldolgozni ezeket a kereteket, de hibásnak jelentik le őket („bébi óriás keretek”, „baby giant”).[1]
Az Inter-Switch Link (ISL) a Cisco egy saját protokollja több switch összekötésére oly módon, hogy a VLAN-információ megőrződjön a switchek közötti trönkölt vonalakon való áthaladáskor. Ez egy lehetséges módszer hálózatihíd-csoportok (VLAN-ok) nagy sebességű gerinchálózaton történő multiplexelésére. Az IEEE 802.1Q-hoz hasonlóan Fast Ethernet és Gigabit Ethernet hálózaton működik. Az ISL a Cisco routerein a Cisco IOS Software Release 11.1-es verzió óta elérhető.
Az ISL esetében az Ethernet-keretet becsomagolják, hozzáadnak egy fejlécet a VLAN ID átviteléhez. A fejléc 26 bájtos, ami tartalmaz a 10 bites VLAN azonosító mellett minden keret végén egy 4 bájtos CRC-t is – ez az Ethernet-kerethez tartozó egyéb ellenőrzéseken kívül értendő. A VLAN ID csak akkor adódik a kerethez, ha olyan port felé továbbítódik, ami trönkölt linkként van beállítva. Ha sima („access”) link felé továbbítódik a keret, az ISL-csomagolás eltávolításra kerül.
Kezdetben a hálózatokban azért hoztak létre VLAN-okat, hogy egy-egy nagyobb Ethetnet-szegmensben csökkentsék az ütközési tartomány méretét, és ezzel növeljék a teljesítményt. Amikor a hálózati kapcsolók elterjedése ezt a problémát megszüntette (mivel minden switchport egy ütközési tartomány), a tervezők figyelme a szórási tartomány méretének csökkentésére irányult a MAC-rétegben (az adatkapcsolati réteg alrétege). A virtuális helyi hálózatok szolgálhatják az egyes hálózati erőforrásokhoz való hozzáférés korlátozását is, a hálózati fizikai topológiájától függetlenül, de ennek a módszernek a biztonságosságát megkérdőjelezi a VLAN hopping technika alkalmazása,[2] ami az ilyen korlátok megkerülésének egy módszere.
A virtuális helyi hálózatok az OSI modell szerinti 2. szinten (Layer 2, adatkapcsolati réteg) üzemelnek. A rendszergazdák gyakran konfigurálják úgy a hálózatot, hogy egy VLAN és egy IP hálózat vagy alhálózat között kölcsönösen egyértelmű legyen a megfeleltetés, ami azt a benyomást keltheti, mintha a VLAN-nak köze lenne a 3. szinthez (Layer 3, a hálózati réteghez). A VLAN-ok kontextusában a trönk olyan hálózati kapcsolatot jelent, ami több, csomagszinten címkékkel (tag-ekkel) azonosított VLAN forgalmát viszi át. Az ilyen trönkök VLAN-tudatos eszközök címkézett (tagged) portjai között hozhatók létre, így legtöbbször nem felhasználói eszközök felé mennek, hanem switch-switch vagy switch-router közötti kapcsolatok. (A „trönk” kifejezés használatos a Cisco-terminológia szerinti csatornákra is: ez az IEEE 802.1AX-2008 szabvány szerint több link összefogásáról szól.) Útválasztó, azaz Layer 3-as eszköz szolgál a különböző VLAN-ok közötti hálózati forgalom gerinchálózataként.
Cisco VLAN Trunking Protocol (VTP)
Cisco hálózati eszközökön a VTP (VLAN Trunking Protocol, „VLAN-trönkölési protokoll”) biztosítja a VLAN-konfiguráció egységességét a teljes hálózat területén. A VTP 2. rétegbeli trönkkereteket használ a VLAN-ok hozzáadásának, törlésének, átnevezésének kezelésére az egész hálózaton belül; a műveleteket egy központi, VTP-kiszolgálói üzemmódban működő switchen kell végrehajtani, majd a VTP gondoskodik a VLAN-információ szinkronizálásáról a VTP-tartományon belül, így csökkenti a switcheken történő egyéni konfigurálási munkák mennyiségét.
A VTP minimalizálja a változtatások végrehajtásakor a konfigurációs inkonzisztencia lehetőségét. Ezek az inkonzisztenciák biztonsági határsértéseket is okozhatnak, pl. azonos nevű VLAN-ok nemkívánatos összekötésével. Az is megtörténhet, hogy szétesnek a VLAN-ok, amikor különböző típusú LAN-okban találhatók, pl. Ethernet és ATM LANE ELAN-ok vagy FDDI 802.10 VLAN-ok összekapcsolásakor. A VTP olyan megfeleltetési eljárást biztosít, amivel többfajta átviteli közegben is biztonsággal végrehajtható a trönkölés.
A VTP használata a következő előnyökkel jár:
- Konzisztens VLAN-konfiguráció az egész hálózatban
- VLAN-trönkölés különböző típusú átviteli közegeken keresztül
- A VLAN-ok pontos nyomon követése, monitorozása
- Dinamikus jelentés a hálózathoz hozzáadott VLAN-okról
- Újonnan hozzáadott VLAN-ok Plug-and-play konfigurációja
A Cisco switchei minden VLAN-hoz külön példányt futtatnak a feszítőfa-protokollból (Spanning Tree Protocol, STP).
Mielőtt el lehetne kezdeni a switcheken VLAN-okat létrehozni, amik aztán VTP-vel a hálózaton továbbterjednek, először egy VTP-tartományt (VTP domain, management domain) kell létrehozni. Egy VTP tartomány olyan, folytonosan trönkölt switchekből áll, melyek VTP-tartományneve megegyezik. Az ugyanabban VTP-tartományban lévő switchek közösen menedzselik a VLAN-nal kapcsolatos információkat. Egy switch csak egyetlen VTP-tartományhoz tartozhat, és a különböző tartományhoz tartozó switchek nem osztanak meg egymással VTP-információkat.
A VTP használatával a Catalyst osztályba tartozó hálózati kapcsolók a következőket hirdetik magukról a trönkölt portjaikon:
- Menedzsment-domain
- A konfiguráció állapotának a verziószáma (revision number)
- Az ismert VLAN-ok és azok paraméterei
A VLAN-tagság kiosztása
Két fő megközelítés létezik egy hálózati csomópont VLAN-tagságának meghatározására:
- Statikus VLAN-ok
- Dinamikus VLAN-ok.
A statikus VLAN-okat port-alapú VLAN-oknak is nevezik. A statikus VLAN-hozzárendelés úgy történik, hogy a switch portjait VLAN-okhoz rendelik. Egy port több VLAN-hoz is tartozhat. Ahogy a végponti eszköz belép a hálózatba, automatikusan a porthoz tartozó (egyik) VLAN-ba kerül. Ha a felhasználó egy másik portra kerül, szükség esetén a hálózati rendszergazdának kell a switch manuális konfigurálásával biztosítania, hogy a megfelelő VLAN-ba kerüljön.
A dinamikus VLAN-okat szoftvercsomagokkal (pl. CiscoWorks 2000) hozzák létre. Egy VLAN Management Policy Server (VMPS) segítségével a rendszergazda dinamikusan rendelheti hozzá a switchportokat egy-egy VLAN-hoz a portra csatlakoztatott eszköz MAC-címe, az eszközbe belépő felhasználói fiók vagy más hasonló információ alapján. Ahogy az eszköz belép a hálózatra, a szoftvercsomag lekérdez egy adatbázist, hogy megállapítsa a VLAN-tagságát. Ingyenes, nyílt forrású VMPS kiszolgálóra példa a FreeNAC csomag.
Portalapú VLAN-ok
A portok alapján kiosztott VLAN-tagság esetén a port egy adott VLAN-hoz van hozzárendelve, függetlenül attól, hogy milyen felhasználó vagy eszköz csatlakozik a porthoz. Ez azt is jelenti, hogy minden, a portra csatlakoztatott eszköznek ugyanabba a VLAN-ba kell tartoznia. Jellemzően a hálózati rendszergazda végzi el a VLAN-hozzárendelést. A port hozzárendelése statikus, és kézi újrakonfigurálás nélkül nem változtatható meg.
Ahogy az más VLAN-alapú megközelítéseknél is elmondható, ennél a módszerrel is igaz, hogy ha a port hozzá van rendelve egy VLAN-hoz, akkor abból nem jutnak át csomagok a hálózat más VLAN-tartományaiba, illetve nem képes azokból csomagokat fogadni – legalábbis egy 3. rétegbeli eszköz közreműködése nélkül.
Leggyakoribb esetben a portra csatlakoztatott eszköznek nincs tudomása arról, hogy egy VLAN-ban van. Az eszköz csak annyit tud, hogy egy alhálózat tagja, és hogy képes az alhálózat többi gépével kommunikálni egyszerűen, az adott kábelszegmensben adatok küldésével. A hálózati kapcsoló feladata annak észlelése, hogy az adatok adott VLAN-ból érkeznek és hogy biztosítsa azok elküldését a VLAN többi tagja számára. Feladata továbbá annak biztosítása, hogy a más VLAN-ba tartozó eszközök ne kapják meg a csomagokat.
Ez a megközelítés igen egyszerű, gyors, könnyen menedzselhető, mivel nem igényel bonyolult hozzárendelési táblázatokat a VLAN-ok elkülönítéséhez. Ha a portok és a VLAN-ok egymáshoz rendelését ASIC végzi, a teljesítmény igen jó lehet, hiszen a port-VLAN összerendelés hardverszinten megtörténik.
Protokollalapú VLAN-ok
A protokollalapú VLAN-ok kezelésére képes hálózati kapcsolón a portok hálózati forgalma protokollok szerint szétválasztva kerül továbbításra. Jellemzően az adminisztrátor egy-egy hálózati protokoll forgalmát igyekszik elkülöníteni, vagy ellenkezőleg, továbbítani a hálózat többi része felé.
Kapcsolódó szócikkek
Jegyzetek
Fordítás
- Ez a szócikk részben vagy egészben a Virtual LAN című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.
Irodalom
- Andrew S. Tanenbaum, 2003, "Computer Networks", Pearson Education International, New Jersey
Külső hivatkozások
- IEEE's 802.1Q standard 1998 version (2003 version)(2005 version)
- Cisco's Overview of Routing between Virtual LANs
- Cisco's Bridging Between IEEE 802.1Q VLANs white paper Archiválva 2009. június 9-i dátummal a Wayback Machine-ben
- University of California's VLAN Information
- OpenWRT guide to VLANs: Provides a beginners' guide to VLANs
- Study of VLAN usage in Purdue University's Campus Network
- Towards Systematic Design of Enterprise Networks: Demonstrates how to systematically produce a VLAN design
- Some FAQ Archiválva 2009. december 26-i dátummal a Wayback Machine-ben about VLANs
- VLAN: Virtual Local Area Network and IEEE 802.1Q
- VLAN-ok biztonsága (magyarul)
A lap szövege Creative Commons Nevezd meg! – Így add tovább! 3.0 licenc alatt van; egyes esetekben más módon is felhasználható. Részletekért lásd a felhasználási feltételeket.
Épületirányító rendszer
Útválasztás
Útválasztó
Ütközési tartomány
100Base-FX
100Base-T4
100Base-TX
Arcnet hálózatok
ARPANET
Avaya
Az adatáteresztő képesség mérése
C3 Kulturális és Kommunikációs Központ
CAN-busz
ChatFlow
Cheeger-állandó
Cisco IOS
Common Object Request Broker Architecture
Csomagtovábbítás
Csomag (informatika)
Dataizmus
Dinamikus DNS
Ethernet
Fordított proxy
Forgalomgeneráló modell
Gazdagép
Gyűrűs kocka
Gyors Ethernet
Hálózati címfordítás
Hálózati híd
Hálózati szegmens
Helyi hálózat
Hub (hálózat)
IEEE 802
Intranet
Iperf
Kábelmodem
Kliens
Kvantumhálózat
Localhost
LogMeIn Hamachi
MAC-cím
Magánhálózat
Manchesteri kódolás
Megjelenítési réteg
Modem
Munkamenet
Nagy kiterjedésű hálózat
OSI-modell
Pleziokron digitális hierarchia
Porttovábbítás
Repeater
Squid
Switch (informatika)
System Fault Tolerant
Számítógép-hálózat
Számítógépfürt
Szórási tartomány
Személyi hálózat
Szerver
Szinkron digitális hierarchia
Tűzfal (számítástechnika)
Time to Live
Token-Ring
Tokenbusz
Token busz
Unicast
UTP
Válogatás nélküli üzemmód
Városi hálózat
Varnish
Virtuális helyi hálózat
Virtuális magánhálózat
Windows Internet Name Service
X.25
A lap szövege Creative Commons Nevezd meg! – Így add tovább! 3.0 licenc alatt van; egyes esetekben más módon is felhasználható. Részletekért lásd a felhasználási feltételeket.