Temat: Wirtualne sieci lokalne

Wirtualna sieć lokalna VLAN (ang. Virtual Local Area Network) to sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej. Sieć VLAN jest logiczną grupą stacji roboczych i urządzeń sieciowych. Komunikacja między VLAN-ami, nawet w tej samej sieci fizycznej, jest możliwa tylko za pośrednictwem routera lub przełącznika warstwy trzeciej.

Sieci VLAN można tworzyć na podstawie stanowisk lub departamentów w firmie, niezależnie od miejsca, w którym fizycznie znajdują się użytkownicy, np. do sieci VLAN o nazwie “Księgowość” mogą należeć pracownicy księgowości niezależnie od miejsca, w którym pracują i do którego przełącznika są przyłączeni. Użytkownicy mogą komunikować się z innymi w tej samej sieci VLAN, lecz ruch między sieciami VLAN jest ograniczony. Przełączniki przekazują ruch transmisji pojedynczej (unicast), rozsyłania grupowego (multicast) oraz rozgłaszania (broadcast) tylko w tych sieciach VLAN, do których ruch ten należy.

Sieci VLAN zwiększają ogólną wydajność sieci przez logiczne grupowanie zasobów sieci i ograniczenie ruchu rozgłoszeniowego – każda sieć VLAN stanowi odrębną domenę rozgłoszeniową obejmującą jeden lub więcej przełączników. Konfigurowanie sieci VLAN odbywa się na drodze programowej i nie wymaga fizycznego przenoszenia lub podłączania sprzętu sieciowego. Jeżeli w sieci istnieje urządzenie, które nie obsługuje technologii sieci wirtualnych, to dane dla niego są przesyłane przez VLAN natywny (native VLAN). Z VLAN-u natywnego korzystają również inne protokoły sieciowe wykorzystywane do komunikacji między urządzeniami sieciowymi.

Rys.1. Standardowy podział na domeny rozgłoszeniowe

Na Rys.1. jest standardowa sieć złożona z trzech domen – urządzenia przyłączone do przełącznika stanowią domenę rozgłoszeniową (ograniczoną przez router). Do danej domeny należą urządzenia przyłączone do danego przełącznika, czyli najczęściej przyłączone do tego samego punktu dystrybucyjnego obsługującego piętro budynku. Jeśli komputer “Gabinet dyrektora” zamierza wysłać dane do komputera “Sala nr 3”, to wysyła ramki do przełącznika “Piętro II”. Przełącznik przekazuje ramkę do komputera “Sala nr 3”.

Rys.2. Podział sieci na VLAN-y.

Na Rys.2. jest konfiguracja sieci, w której wydzielono sieci VLAN. W tej konfiguracji do domeny rozgłoszeniowej mogą należeć urządzenia przyłączone do dowolnego przełącznika na dowolnym piętrze. Jeśli komputer “Gabinet dyrektora” z sieci VLAN administracja zamierza wysłać dane do komputera “Sala nr 3” w sieci VLAN nauczyciele, to wysyła ramki przez sieć VLAN administracja do przełącznika “Piętro II”. Przełącznik nie może przekazać ramek do innej sieci VLAN (mimo że oba komputery są przyłączone do tego samego przełącznika), więc wysyła je do routera. Router podejmuje decyzję o przesłaniu danych do innej sieci i przesyła je z powrotem do przełącznika “Piętro II” (ale za pośrednictwem sieci VLAN nauczyciele). Przełącznik przekazuje ramkę do komputera “Sala nr 3”.

Przynależność stacji roboczych do sieci wirtualnych może być:

  • Statyczna (na podstawie portów) – polega na przypisaniu poszczególnych portów przełącznika do sieci wirtualnych. Domyślną siecią VLAN dla każdego portu przełącznika jest sieć VLAN zarządzania (VLAN1). Sieci tej nie można usunąć. Aby móc zarządzać przełącznikiem, do sieci VLAN1 musi być przypisany co najmniej jeden port.
  • Dynamiczna – sieci VLAN są tworzone przez specjalne oprogramowanie zarządzające siecią. Dynamiczne sieci VLAN mogą przyjmować członkostwo w sieciach VLAN na podstawie adresu MAC.

Wszystkie ramki przesyłane w sieciach wirtualnych są znakowane. Istnieją dwie główne metody znakowania ramek:

  • ISL (Inter-Switch Link) – protokół ten nie jest obecnie zalecany.
  • 802.1Q – stosuje specjalne oznaczenie (tagowanie) identyfikatorem konkretnej sieci VLAN.