Virtual LAN

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken

Een Virtual LAN (VLAN) is een type virtueel netwerk. Een VLAN bestaat uit een groep eindstations en switches die zich fysiek in één of meerdere netwerken, of zelfs gebouwen, kunnen bevinden, maar toch logisch gezien één enkele gemeenschappelijk Local Area Network (LAN) vormen. In een netwerk kunnen meerdere VLAN's naast elkaar bestaan. De IEEE-standaard IEEE 802.1Q definieert VLAN's in Ethernetnetwerken.

Toepassingen[bewerken]

VLAN's worden voornamelijk gebruikt om de grootte van het broadcastdomein in de MAC-laag te reduceren. VLAN's kunnen ook worden gebruikt om de toegang tot delen van het netwerk te beperken, los van de fysieke topologie van het netwerk. Op die manier kan in een bedrijf bijvoorbeeld een andere VLAN worden gedefinieerd voor de administratie-afdeling, de verkoopafdeling, etc., los van de fysieke inrichting van het netwerk. Vroeger kon men voor elke afdeling een eigen switch gebruiken. Een PC voor een gebruiker uit de verkoopafdeling moest dan fysiek verbonden worden met de overeenkomende switch. Verhuisde de PC van verdieping, dan kon dit voor praktische en administratieve problemen zorgen wat betreft bedrading. Maakt men gebruik van VLAN's dan hoeft enkel de gewenste VLAN opgegeven te worden; het eindstation kan dan op dit virtueel netwerk worden aangesloten, onafhankelijk van de fysieke locatie. Omgekeerd, wanneer men een PC aan het netwerk van een andere afdeling wil koppelen hoeft men geen kabels te veranderen, maar hoeft men enkel een andere VLAN te configureren.

Eigenschappen[bewerken]

  • Broadcasts worden beperkt tot de VLAN zelf, hierdoor is er dus minder (nutteloos) verkeer op het totale netwerk waardoor de snelheid en beschikbaarheid positief beïnvloed worden.
  • Segmentatie: het netwerk kan worden onderverdeeld in verschillende, logische, netwerkjes.
  • Ten gevolge van segmentatie en het feit dat elke switch poort maar aan één VLAN kan toegewezen worden, is er een extra laag van beveiliging.
  • VLANs kunnen één of meerdere switches bevatten.

VLAN types[bewerken]

End-to-end VLAN[bewerken]

  • De VLAN is geografisch verspreid door het volledige netwerk heen, dus over verschillende switchen heen.
  • Gebruikers worden gegroepeerd volgens functie, ongeacht hun fysieke locatie.
  • Als een gebruiker op verschillende locaties met het netwerk verbindt dan blijft hij altijd in dezelfde VLAN.
  • Gebruikers worden meestal geassocieerd met bepaalde VLANs omwille van het vergemakkelijken van het netwerk beheer.
  • Alle toestellen op eenzelfde VLAN hebben een adres in hetzelfde subnet.

In het verleden werden end-to-end VLANs vrijwel uitsluitend gebruikt aangezien netwerk ontwerpers de 80/20 regel hanteerden bij het ontwerpen van netwerken. De 80/20 regel wil zeggen dat (algemeen genomen) 80 procent van het netwerkverkeer plaats vond tussen lokale toestellen en slechts 20 procent naar verder gelegen netwerk segmenten. Ook het feit dat men in het verleden IP-adressen manueel moest toekennen en aanpassen gaf aanleiding tot het gebruik van end-to-end VLANs aangezien men op die manier de IP-administratie kon vereenvoudigen. Omdat men tegenwoordig IP-adressen automatisch laat toekennen via DHCP is dit echter niet meer van toepassing en is de verhouding eerder 20/80 geworden, het grootste deel van het verkeer verloopt over verder gelegen netwerk segmenten waardoor de nadruk naar lokale VLANs is verschoven.

Lokale VLAN[bewerken]

  • Gebruikers worden gegroepeerd aan de hand van hun fysieke locatie, en niet aan de hand van hun functie.
  • Verkeer van een lokale VLAN wordt gerouteerd naar andere netwerken.
  • Een lokale VLAN wordt meestal beperkt tot één wiring closet.
  • VLANs op een bepaalde, lokale switch worden niet geadverteerd naar de andere switches op het netwerk.

Lidmaatschap types[bewerken]

Switch poorten kunnen op twee manieren lid worden van een bepaalde VLAN.

Statische VLAN[bewerken]

VLANs worden statisch toegewezen aan welbepaalde poorten door een beheerder.

Dynamische VLAN[bewerken]

Door middel van het gebruik van een VLAN Management Policy Server (VMPS) worden MAC-adressen dynamisch toegewezen aan VLANs, ongeacht de poort waarin het toestel met dat bepaald MAC-adres wordt gezien. Dit is vooral handig voor toestellen die regelmatig doorheen het netwerk verplaatst worden.

Trunks[bewerken]

Elke logische VLAN op een switch is vergelijkbaar met een afzonderlijke fysieke netwerkbridge. De VLAN's worden met een uniek identificatienummer aangeduid, het VLAN ID (VID). Een station dat enkel bij VLAN1 hoort kan communiceren met andere stations op VLAN1, maar niet met stations die bij VLAN2, 3, 4, ..., enzovoort horen. Om VLANs meerdere switches te laten overbruggen moet men gebruikmaken van een zogenaamde trunk. Trunks gebruiken een speciaal soort encapsulatie om verschillende VLANs toch over één fysieke connectie te laten lopen. Wanneer een VLAN verschillende switches bevat wordt het VLAN Trunk Protocol (VTP) gebruikt om VLAN informatie voor elke switch accuraat aan te passen en te onderhouden. Er zijn twee standaarden voor trunks:

IEEE 802.1Q[bewerken]

  • Nonproprietary (vrij om te gebruiken).
  • Voegt een extra veldje (4 bytes) in het Ethernet-frame in om de VLANs te identificeren, ook de Frame Check Sequence (FCS) wordt herberekend (= tagging). Hierdoor kunnen switches die 802.1Q niet ondersteunen de pakketjes gewoon switchen als een standaard Ethernet frame.
  • Protocolafhankelijk, werkt enkel met Ethernet en Token ring.
  • Een 802.1Q trunk heeft een standaard VLAN (VLAN1) die niet wordt getagged. Hierdoor kunnen stations die geen lid zijn van een VLAN toch het verkeer dat onder VLAN1 valt, ontvangen.
  • Ondersteunt maximum 4096 VLANs. Met Shortest Path Bridging kan dit uitgebreid worden tot 1.6 miljoen services[1]
  • Ondersteunt point-to-point (één naar één) en point-to-multipoint (één naar meer).
  • Tagging proces:
Origineel Ethernet frame:
Bestemming Bron Lengte/Type Data FCS
Frame met tag:
Bestemming Bron Tag Lengte/Type Data Herberekende FCS
Tag:
Ethertype (0x8100) PRI Token Ring Encapsulation Flag VID
  • Ethertype: 0x8100 om aan te geven dat het om een 802.1Q frame gaat.
  • PRI: 3 bits, bevat prioriteitsinformatie over het frame.
  • Token Ring Encapsulation Flag: wordt gebruikt voor de overgang van Ethernet naar Token Ring en is altijd 0 voor Ethernet-switches.
  • VID: 12 bits, de VLAN associatie van het frame.

Inter-Switch Link (ISL)[bewerken]

  • Cisco proprietary (eigendom van Cisco).
  • Encapsuleert het frame met een nieuwe header en footer (voor- en achtervoegsel) waarbij de footer bestaat uit een CRC. Er wordt dus niets aan het originele frame veranderd, in tegenstelling tot bij 802.1Q.
  • ISL is protocol onafhankelijk.
  • Ondersteunt enkel point-to-point.
  • Heeft geen standaard VLAN, dit wil dus zeggen dat niet-geëncapsuleerde frames niet over de trunk kunnen vervoerd worden.
  • Encapsulatie:
Origineel Ethernet frame:
Bestemming Bron Lengte/Type Data FCS
Geëncapsuleerd Ethernet frame:
ISL-header Bestemming Bron Lengte/Type Data FCS CRC
ISL-header:
DA Type User SA Lengte AAAA03 HSA VLAN BPDU Index RES
DA: 40-bit, multicast bestemmingsadres met volgende waardes: 0x01-00-0C-00-00 of 0x03-00-0C-00-00.
Type: 4-bit, beschrijving van het frame-type: Ethernet (0000), Token ring (0001), FDDI (0010) of ATM (0011).
User: 4-bit, beschrijving van de Ethernet prioriteit, van 0 als laagste tot 3 als hoogste.
SA (Source Address): 48-bit, MAC-adres van de switch poort die zendt.
Lengte: 16-bit, frame lengte min DA, Type, User, SA, Lengte en CRC.
AAAA03: Standard Subnetwork Access Protocol (SNAP) 802.2 Logical Link Control (LLC) header.
HSA (High Bits of Source Address): eerste 3 bytes van het SA.
VLAN: 15-bit, VLAN ID.
BPDU (Bridge Protocol Data Unit): 1-bit, geeft aan of het frame al dan niet een spanning tree BPDU is en of het een CDP of VTP frame is.
Index: 16-bit, wordt gebruikt voor diagnostische toepassingen en wordt genegeerd in ontvangen pakketten.
RES: 16-bit, gereserveerd voor Token Ring en FDDI frames.

Externe link[bewerken]


Bronnen, noten en/of referenties
  • Cisco Systems, 2006, Interconnecting Cisco Network Devices volume 1 versie 2.3.
  • Cisco Systems, 2006, Building Cisco Multilayer Switched Networks volume 1 versie 3.0.
  1. Shuang Yu. IEEE approves new IEEE 802.1aq™ Shortest path bridging. IEEE Standards Association Geraadpleegd op 19 June 2012