Virtual LAN

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken

Een Virtual LAN (VLAN) is een type virtueel netwerk. Een VLAN bestaat uit een groep eindstations en switches die logisch gezien één enkel gemeenschappelijk Local Area Network (LAN) vormen, maar zich in één of meer fysieke netwerken kunnen bevinden. Op deze wijze kunnen logisch gescheiden netwerken gerealiseerd worden die fysieke hardware zoals switches en bekabeling delen, hetgeen een kostenbesparing kan betekenen. In een fysiek netwerk bestaan typisch verschillende VLAN's naast elkaar. De IEEE-standaard IEEE 802.1Q definieert VLAN's in Ethernetnetwerken.

Principes[bewerken]

VLAN's zijn logisch gescheiden netwerken op het MAC-niveau van Ethernet, werkend op gedeelde fysieke hardware, met gedeelde transportverbindingen. VLAN's worden dus gebruikt om logisch netwerken te definiëren los van de topologie van het fysieke netwerk. Hierdoor worden precies de juiste groepen van netwerkelementen met elkaar verbonden, gescheiden van de andere elementen. Een van de consequenties technisch gezien is dat de grootte van het broadcastdomein in de MAC-laag wordt gereduceerd: als er bijvoorbeeld een DHCP-request gebeurt in VLAN X, is die request alleen zichtbaar in VLAN X en niet in andere VLAN's die in hetzelfde fysieke netwerk bestaan.

Toepassingen[bewerken]

Door het kunnen maken van gescheiden netwerken kan in een bedrijf bijvoorbeeld een apart VLAN worden gedefinieerd voor de administratie-afdeling, de verkoopafdeling, etc., los van de fysieke inrichting van het netwerk.

Zonder VLAN's kan men uiteraard voor elke afdeling een eigen fysiek netwerk realiseren, met een eigen switch. Een PC voor een gebruiker uit de verkoopafdeling moet dan fysiek verbonden worden met de overeenkomende switch. Verhuist de PC van verdieping, dan kan dit voor praktische en administratieve problemen zorgen wat betreft bedrading. Maakt men daarentegen gebruik van VLAN's dan hoeft enkel het gewenste VLAN geconfigureerd te worden op de poort van de nieuwe switch waarmee het eindstation verbonden wordt. Het eindstation kan zo steeds op het juiste virtuele netwerk worden aangesloten, onafhankelijk van de fysieke locatie. Omgekeerd, wanneer men een PC aan het netwerk van een andere afdeling wil koppelen hoeft men geen kabels te veranderen, maar hoeft men enkel een ander VLAN te configureren.

Andere toepassingen zijn bijvoorbeeld het scheiden van verkeer voor netwerkbeheer van normaal verkeer, of het scheiden van bv. spraakverkeer via IP-telefoons van gewoon gegevensverkeer.

Eigenschappen[bewerken]

  • Broadcasts worden beperkt tot de VLAN zelf, hierdoor is er dus minder (nutteloos) verkeer op het totale netwerk waardoor de snelheid en beschikbaarheid positief beïnvloed worden.
  • Segmentatie: het netwerk kan worden onderverdeeld in verschillende logische netwerken.
  • Ten gevolge van segmentatie en het feit dat elke switch poort maar aan één VLAN kan toegewezen worden, is er een extra laag van beveiliging.
  • VLANs kunnen één of meerdere switches bevatten.

VLAN-types[bewerken]

End-to-end VLAN[bewerken]

  • De VLAN is geografisch verspreid door het volledige netwerk heen, dus over verschillende switchen heen.
  • Gebruikers worden gegroepeerd volgens functie, ongeacht hun fysieke locatie.
  • Als een gebruiker op verschillende locaties met het netwerk verbindt dan blijft hij altijd in dezelfde VLAN.
  • Gebruikers worden meestal geassocieerd met bepaalde VLANs omwille van het vergemakkelijken van het netwerk beheer.
  • Alle toestellen op eenzelfde VLAN hebben een adres in hetzelfde subnet.

In het verleden werden end-to-end VLANs vrijwel uitsluitend gebruikt aangezien netwerk ontwerpers de 80/20 regel hanteerden bij het ontwerpen van netwerken. De 80/20 regel wil zeggen dat (algemeen genomen) 80 procent van het netwerkverkeer plaats vond tussen lokale toestellen en slechts 20 procent naar verder gelegen netwerk segmenten. Ook het feit dat men in het verleden IP-adressen manueel moest toekennen en aanpassen gaf aanleiding tot het gebruik van end-to-end VLANs aangezien men op die manier de IP-administratie kon vereenvoudigen. Omdat men tegenwoordig IP-adressen automatisch laat toekennen via DHCP is dit echter niet meer van toepassing en is de verhouding eerder 20/80 geworden, het grootste deel van het verkeer verloopt over verder gelegen netwerk segmenten waardoor de nadruk naar lokale VLANs is verschoven.

Lokaal VLAN[bewerken]

  • Gebruikers worden gegroepeerd aan de hand van hun fysieke locatie, en niet aan de hand van hun functie.
  • Verkeer van een lokale VLAN wordt gerouteerd naar andere netwerken.
  • Een lokale VLAN wordt meestal beperkt tot één wiring closet.
  • VLANs op een bepaalde, lokale switch worden niet geadverteerd naar de andere switches op het netwerk.

Lidmaatschapstypes[bewerken]

Switchpoorten kunnen op twee manieren lid worden van een bepaalde VLAN.

Statische VLAN[bewerken]

VLANs worden statisch toegewezen aan welbepaalde poorten door een beheerder.

Dynamische VLAN[bewerken]

Door middel van het gebruik van een VLAN Management Policy Server (VMPS) worden MAC-adressen dynamisch toegewezen aan VLANs, ongeacht de poort waarin het toestel met dat bepaald MAC-adres wordt gezien. Dit is vooral handig voor toestellen die regelmatig fysiek door het netwerk worden verplaatst.

Trunks[bewerken]

Elke logische VLAN op een switch is vergelijkbaar met een afzonderlijke fysieke netwerkbridge. De VLAN's worden met een uniek identificatienummer aangeduid, het VLAN ID (VID). Een station dat enkel bij VLAN1 hoort kan communiceren met andere stations op VLAN1, maar niet met stations die bij VLAN2, 3, 4, ..., enzovoort horen. Om VLANs meerdere switches te laten overbruggen moet men gebruikmaken van een zogenaamde trunk. Trunks gebruiken een speciaal soort encapsulatie om verschillende VLANs toch over één fysieke connectie te laten lopen. Wanneer een VLAN verschillende switches bevat wordt het VLAN Trunk Protocol (VTP) gebruikt om VLAN informatie voor elke switch accuraat aan te passen en te onderhouden. Er zijn twee standaarden voor trunks:

IEEE 802.1Q[bewerken]

  • Nonproprietary (vrij om te gebruiken).
  • Voegt een extra veldje (4 bytes) in het Ethernet-frame in om de VLANs te identificeren, ook de Frame Check Sequence (FCS) wordt herberekend (= tagging). Hierdoor kunnen switches die 802.1Q niet ondersteunen de pakketjes gewoon switchen als een standaard Ethernet frame.
  • Protocolafhankelijk: werkt enkel met Ethernet en Token ring.
  • Een 802.1Q-trunk heeft een standaard VLAN (VLAN1) die niet wordt getagged. Hierdoor kunnen stations die geen lid zijn van een VLAN toch het verkeer dat onder VLAN1 valt, ontvangen.
  • Ondersteunt maximum 4094 VLANs. Op basis van de 16 bits zijn er 4096 combinaties, de waarden 0 en 4095 zijn echter gereserveerd. Met Shortest Path Bridging kan het aantal uitgebreid worden tot ca. 1,6 miljoen.[1]
  • Ondersteunt point-to-point (één naar één) en point-to-multipoint (één naar meer).
  • Tagging proces:
Origineel Ethernet frame:
Bestemming Bron Lengte/Type Data FCS
Frame met tag:
Bestemming Bron Tag Lengte/Type Data Herberekende FCS
Tag:
Ethertype (0x8100) PRI Token Ring Encapsulation Flag VID
  • Ethertype: 0x8100 om aan te geven dat het om een 802.1Q frame gaat.
  • PRI: 3 bits, bevat prioriteitsinformatie over het frame.
  • Token Ring Encapsulation Flag: wordt gebruikt voor de overgang van Ethernet naar Token Ring en is altijd 0 voor Ethernet-switches.
  • VID: 12 bits, de VLAN associatie van het frame.

Inter-Switch Link (ISL)[bewerken]

  • Cisco proprietary (eigendom van Cisco).
  • Encapsuleert het frame met een nieuwe header en footer (voor- en achtervoegsel) waarbij de footer bestaat uit een CRC. Er wordt dus niets aan het originele frame veranderd, in tegenstelling tot bij 802.1Q.
  • ISL is protocol onafhankelijk.
  • Ondersteunt enkel point-to-point.
  • Heeft geen standaard VLAN, dit wil dus zeggen dat niet-geëncapsuleerde frames niet over de trunk kunnen vervoerd worden.
  • Encapsulatie:
Origineel Ethernet frame:
Bestemming Bron Lengte/Type Data FCS
Geëncapsuleerd Ethernet frame:
ISL-header Bestemming Bron Lengte/Type Data FCS CRC
ISL-header:
DA Type User SA Lengte AAAA03 HSA VLAN BPDU Index RES
DA: 40-bit, multicast bestemmingsadres met volgende waardes: 0x01-00-0C-00-00 of 0x03-00-0C-00-00.
Type: 4-bit, beschrijving van het frame-type: Ethernet (0000), Token ring (0001), FDDI (0010) of ATM (0011).
User: 4-bit, beschrijving van de Ethernet prioriteit, van 0 als laagste tot 3 als hoogste.
SA (Source Address): 48-bit, MAC-adres van de switch poort die zendt.
Lengte: 16-bit, frame lengte min DA, Type, User, SA, Lengte en CRC.
AAAA03: Standard Subnetwork Access Protocol (SNAP) 802.2 Logical Link Control (LLC) header.
HSA (High Bits of Source Address): eerste 3 bytes van het SA.
VLAN: 15-bit, VLAN ID.
BPDU (Bridge Protocol Data Unit): 1-bit, geeft aan of het frame al dan niet een spanning tree BPDU is en of het een CDP of VTP frame is.
Index: 16-bit, wordt gebruikt voor diagnostische toepassingen en wordt genegeerd in ontvangen pakketten.
RES: 16-bit, gereserveerd voor Token Ring en FDDI frames.

Externe link[bewerken]


Bronnen, noten en/of referenties
  • Cisco Systems, 2006, Interconnecting Cisco Network Devices volume 1 versie 2.3.
  • Cisco Systems, 2006, Building Cisco Multilayer Switched Networks volume 1 versie 3.0.
  1. Shuang Yu. IEEE approves new IEEE 802.1aq™ Shortest path bridging. IEEE Standards Association Geraadpleegd op 19 June 2012