Skip to main content

15. Virtuálne siete LAN (VLAN)

VLAN

Označenie VLAN vyjadruje virtuálnu LAN a umožňuje jediným fyzickým rozhraním (káblom, vláknom a podobne) prenášať viaceré L2 siete. Rámce každej LAN sa pri vstupe do spoločného média označia 12-bitovým identifikátorom VLAN ID, pričom krajné hodnoty 0 a 4095 sa nepoužívajú, pretože prepínače ich interne využívajú pre označenie fyzických rozhraní bez VLAN alebo neaktívnych. Keďže sa identifikátorom označujú sieťové rámce (frames), kľúčovým zariadením pre fungovanie VLAN je prepínač (switch).

Využitie VLAN

VLAN výrazne znižuje náklady potrebné pre prepájanie lokálnych sietí. Je možné dosiahnuť aj stav, že do hlavného smerovača prichádza z hlavného prepínača len jediný kábel (samozrejme s primerane vyššou linkovou rýchlosťou), bez ohľadu na počet LAN sietí - takáto forma zapojenia sa označuje „router on a stick“ (ROAS).

využitie VLAN - tradičné riešenie.webp

využitie VLAN - riešenie s VLAN.webp
tradičné riešenie viacerých LAN riešenie s využitím VLAN

VLAN sa často využívajú aj pre virtuálne prístupové body Wi-Fi - AP vysiela viaceré siete (každú so svojím SSID), hoci do neho vstupuje len jeden kábel a rámce jednotlivých WLAN sú ním prenášané cez rôzne VLAN.

VLAN na prepínači

Na prepínači je predovšetkým potrebné rozlišovať dva typy portov:

  • Access port (prístupový): Slúži na pripojenie koncových zariadení, rámce sa posielajú i prijímajú neoznačené (untagged). Prijatý rámec je priradený tej VLAN, ktorá je pre tento port uvedená ako predvolená VLAN (default).
  • Trunk port (prepájací): Prepájajú sa ním prepínače alebo smerovače, odosielané rámce sú označené (tagged) pomocou VLAN ID. Prijímané rámce by mali byť všetky označené. Pre zvýšenie bezpečnosti je vhodné zakázať príjem neoznačených rámcov alebo uviesť takú default VLAN, ktorá sa nepoužíva - takzvanú parkovaciu VLAN (napr. 4094). Trunk portov môže mať prepínač aj viacej a nie je vôbec nutné (a spravidla ani vhodné), aby sa v každom trunk porte vyskytovali všetky VLAN siete.

Pokiaľ v niektorom porte kombinujeme označené i neoznačené rámce, nazývame ho ako hybridný, no takéto riešenie sa neodporúča, azda s výnimkou IP telefónov, ktoré majú port aj pre PC.

Default VLAN vs. Native VLAN

Cisco a MikroTik používajú pojem default VLAN v inom význame:

  • Cisco označuje VLAN 1 ako „default VLAN“ v tom zmysle, že pokiaľ nepriradíme access port žiadnej VLAN, bude súčasťou VLAN 1, toto číslo je dané a nemenné. Pojem „native VLAN“ sa týka zase trunk portu (či skôr hybridného portu) a hovorí o VLAN, ktorej rámce sa majú prenášať neoznačené (bez VLAN ID).
  • MikroTik však pojmom „default VLAN“ označuje predvolenú VLAN pre neoznačené rámce, určuje sa pre každý port samostatne. Hovorí teda o tom, do akej VLAN zaradiť neoznačené rámce, ktoré prišli z daného portu - obvykle z access portu, ale môže sa jednať aj o trunk port (v tejto situácii by šlo o hybridný port).

Pre naše účely sa budeme držať terminológie MikroTik.

SVL vs. IVL

Výskyt MAC adries na jednotlivých portoch si prepínač ukladá do CAM tabuľky spolu s VLAN ID. Databáza MAC adries je napríklad na prepínačoch MikroTik CSS v predvolenom stave zdieľaná medzi jednotlivými VLAN, čo sa označuje ako režim SVL (Shared VLAN Learning). Rovnaká MAC adresa sa teda nemôže vyskytovať na viacerých portoch, ale vždy len na jednom (bez uvedenia VLAN).

vlan-host-svl.webp

Pokiaľ toto správanie chceme zmeniť, môžeme zapnúť režim IVL (Independent VLAN Learning) - potom budú MAC adresy v tabuľke uvedené aj s VLAN ID a jedna MAC adresa sa môže vyskytovať aj viackrát, s rôznymi VLAN (prípadne aj na rôznych portoch), pokiaľ sa zariadenie presúvalo.

vlan-host-ivl.webp

Ktorý variant je vhodnejší, je závislé od okolností a potrieb, no väčšinou na tom nezáleží. IVL nám však vďaka prehľadu VLAN ID pri MAC adresách v tabuľke umožňuje odhaliť problémy s ich nesprávnym pridelením, čo je pre správcu užitočné.

Back to top