Domů
Domů
Domů
Zdroje
Zdroje
Glosář
Vysvětlení VLAN: Co je VLAN, jak funguje?

Vysvětlení VLAN: Co je VLAN, jak funguje?

Avatar Haydena Aliho, síťového inženýra Hayden Ali, síťový inženýr

Co je to VLAN?

VLAN je virtuální LAN, která vám umožňuje segmentovat vaši síť bez nutnosti logické fyzické segmentace. VLAN jsou velmi flexibilní a lze je použít k zajištění bezpečnosti, flexibility a výkonu. VLAN fungují tak, že zapouzdřují ethernetové rámce hlavičkou VLAN, která obsahuje VLAN ID. Toto ID se používá k identifikaci zařízení na které VLAN.

VLAN se vytvářejí přidáním portů přepínače do konkrétní VLAN. Zařízení na stejné VLAN mohou mezi sebou komunikovat bez potřeby routeru. Díky tomu jsou VLAN velmi efektivní a snadno se spravují. VLAN si můžete představit jako virtuální přepínač, který zajišťuje izolaci mezi zařízeními.

VLAN se často používají k oddělení různých typů provozu, jako je hlas, video a data. Hlasový provoz má v síti obvykle prioritu, takže nedochází ke zpožděním nebo zahazování paketů. Video provoz má také prioritu v síti, takže může streamovat plynule bez přerušení. Datový provoz je obvykle segregován na vlastní VLAN, takže nenarušuje provoz v reálném čase, jako je hlas a video.

Jak funguje VLAN?

Virtuální LAN (VLAN) je logická síť vytvořená přepínači. VLAN obsahuje porty přepínače, které jsou přiřazeny k VLAN a mají jedinečný identifikátor nazývaný VLAN ID.

Ve většině případů může mít jeden fyzický přepínač nakonfigurováno více sítí VLAN. To umožňuje lepší organizaci provozu v síti a také lepší zabezpečení.

Když zařízení odesílá data do sítě, obsahuje pole zvané tag, které identifikuje, do které VLAN mají být data odeslána. Přepínač se podívá na tento tag a poté předá data všem zařízením v dané VLAN.

Jednou z výhod používání sítí VLAN je, že mohou pomoci snížit přenos vysílání v síti. Vysílací provoz jsou data, která jsou odesílána všem zařízením v síti bez ohledu na to, zda je potřebují nebo ne. Oddělením zařízení do různých VLAN můžete ovládat, jaké vysílání každé zařízení přijímá, což může pomoci zlepšit výkon v síti.

Formát rámce IEEE 802.1Q

Podle informací obsažených ve svých značkách VLAN přepínač identifikuje pakety z různých sítí VLAN. IEEE 802.1Q přidává 4bajtovou značku VLAN mezi pole Source/Destination MAC address a Length/Type ethernetového rámce k identifikaci VLAN, ke kterému rám patří.

Běžný datový rámec Ethernet

Ethernetový datový rámec

Datový rámec VLAN

Datový rámec VLAN

Proč byste měli používat VLAN?

  1. VLAN lze použít k segmentaci sítě na menší, lépe spravovatelné části.
  2. Sítě VLAN mohou zlepšit zabezpečení izolací provozu a jeho oddělením od ostatních typů provozu.
  3. VLAN mohou zlepšit výkon snížením vysílaného provozu a kolizních domén.
  4. VLAN lze použít k vytvoření virtuálních sítí, které mohou být užitečné pro účely testování nebo školení.

Jaký je rozdíl mezi VLAN založenou na portech a VLAN založenou na značkách?

Ve VLAN založené na portech je každý port přiřazen ke konkrétní VLAN. To umožňuje izolovat provoz mezi různými VLAN. VLAN založená na TAG používá značky k identifikaci, které pakety patří ke které VLAN. To umožňuje, aby bylo k jednomu portu přiřazeno více sítí VLAN.

VLAN založené na portech a na značkách jsou dva různé typy virtuálních sítí LAN (VLAN) používaných v počítačových sítích. Port-based VLAN je nejběžnějším typem, kde každý port na síťovém přepínači je přiřazen ke konkrétní VLAN. Tag-based VLAN používá speciální tagy k identifikaci paketů, které patří do různých VLAN, a je flexibilnější než port-based VLAN. Obecně platí, že VLAN založené na značkách se používají v podnikových sítích, zatímco VLAN založené na portech se používají v sítích malých kanceláří/domácích kanceláří (SOHO).

VLAN se dělí na následující typy:

1. Datová VLAN: Datová VLAN je VLAN, která přenáší uživatelský datový provoz. Datové VLAN jsou také známé jako uživatelské VLAN. Všechny porty přepínače, které jsou členy datové VLAN, mají přiřazeno stejné VLAN ID.

2. Hlasová VLAN: Hlasová VLAN je speciální typ datové VLAN, který je nakonfigurován pro přenos hlasového provozu v reálném čase. Hlasové sítě VLAN upřednostňují hlasový provoz před jinými typy provozu a všem portům přepínačů, které jsou členy hlasové VLAN, je přiřazena stejná hodnota třídy Voice Class of Service (CoS).

3, Dohledová VLAN: Dohlížecí VLAN je speciální typ datové VLAN, který je nakonfigurován pro přenos videa v reálném čase. Sledovací VLAN upřednostňují hlasový provoz před jinými typy provozu a všem portům přepínačů, které jsou členy sledovací VLAN, je přiřazena stejná hodnota Voice Class of Service (CoS).

4. Management VLAN: Management VLAN je speciální typ datové VLAN, který se používá pro přenos mimopásmového managementu pro zařízení v síti, jako jsou přepínače, routery a firewally. Management VLAN obvykle používají IP adresy, které nejsou směrovatelné na veřejném internetu.

5. Výchozí VLAN: Výchozí VLAN je konfigurace síťového přepínače, ve které jsou všechny porty přiřazeny jedné VLAN. To může zjednodušit správu přepínačů tím, že umožní všem zařízením na stejné VLAN komunikovat mezi sebou, aniž by bylo nutné konfigurovat samostatné VLAN. Může však také vytvářet bezpečnostní rizika tím, že umožňuje neoprávněným zařízením přístup k citlivým datům.

6. Nativní VLAN: Nativní VLAN je VLAN, která přenáší neoznačený provoz. Obvykle je to výchozí VLAN pro nové porty na přepínači. Všechna zařízení v nativní VLAN mohou mezi sebou komunikovat bez označování provozu.

VLAN Trunking

VLAN Trunking je proces odesílání provozu z více VLAN přes jediné fyzické spojení. To umožňuje větší flexibilitu a efektivitu při konfiguraci síťových zařízení. Ve většině případů bude každé VLAN přiřazen vlastní jedinečný identifikátor (ID). Při konfiguraci VLAN trunkingu se ID používá k určení, který provoz by měl být odeslán přes trunk linku.

VLAN Trunking

Použití VLAN trunkingu má dvě hlavní výhody. Za prvé, může pomoci zlepšit výkon sítě snížením přetížení sítě. Za druhé, může poskytnout větší bezpečnost izolováním provozu z různých VLAN. To může pomoci zabránit neoprávněnému přístupu k citlivým datům.

Při konfiguraci VLAN trunkingu je třeba mít na paměti několik věcí. Nejprve je důležité se ujistit, že porty přepínače jsou správně nakonfigurovány. Za druhé, ID každé VLAN musí být jedinečné a nemělo by být znovu použito v jiných částech sítě. Nakonec je důležité otestovat konfiguraci před jejím nasazením do výroby.

Další aspekty VLAN

Co jsou dvojité VLAN?

VLAN nebo virtuální LAN je skupina zařízení v jedné místní síti (LAN), která jsou nakonfigurována tak, aby komunikovala, jako by byla v samostatné síti LAN. Dvojitá VLAN jsou dvě VLAN, které jsou nakonfigurovány tak, aby spolupracovaly.

Použití dvojité VLAN má několik výhod. Pokud máte například citlivá data na jedné VLAN, která chcete mít v bezpečí, můžete druhou VLAN použít jako DMZ. To vám umožní udržet data v bezpečí a zároveň k nim mít přístup z internetu. Další výhodou použití dvojité VLAN je to, že může pomoci zlepšit výkon sítě. Oddělením provozu do různých VLAN můžete snížit přetížení a zlepšit celkovou propustnost. A konečně, použití dvojité VLAN může zvýšit zabezpečení poskytnutím redundance. Pokud dojde ke kompromitaci jedné VLAN, druhá může stále poskytovat přístup ke kritickým zdrojům.

Celkově existuje mnoho výhod použití konfigurace dvojité VLAN. Pokud hledáte zlepšení zabezpečení a výkonu nebo jen chcete větší flexibilitu v návrhu sítě, pak pro vás může být tím pravým řešením dvojitá VLAN.

Co je QinQ Tagging

V počítačových sítích je označování QinQ technikou používanou k rozšíření schopností virtuálních lokálních sítí (VLAN). Namísto jediné VLAN na zákazníka umožňuje QinQ provozovat více VLAN na jediném fyzickém spojení. To může být užitečné v situacích, kdy se zákazníci potřebují připojit k více sítím VLAN nebo kdy poskytovatelé potřebují nabízet různé úrovně služeb na stejné fyzické infrastruktuře.

Tagování QinQ bylo poprvé vyvinuto společností Cisco Systems a někdy se nazývá „Cisco Inter-Switch Link (ISL) Routing“. Nyní je to standardní protokol a je podporován většinou hlavních síťových prodejců.

Pro implementaci QinQ tagování je každé zákaznické VLAN přidělen jedinečný Service Provider Bridge Global Identifier (S-TAG). S-TAG se používá k identifikaci zákaznické VLAN, když je přenášena přes síť poskytovatele. Když zákaznická VLAN dosáhne svého cíle, S-TAG se odstraní a obnoví se původní zákaznické VLAN ID.

Tagování QinQ lze použít ve spojení s jinými technikami, jako je například Quality of Service (QoS), k poskytování různých úrovní služeb různým zákazníkům. Poskytovatel by například mohl dát vyšší prioritu zákazníkům, kteří platí za prémiovou úroveň služeb.

Celkově QinQ značkování poskytuje flexibilní způsob, jak rozšířit možnosti VLAN při zachování kompatibility se stávajícím síťovým hardwarem a softwarem.