VLAN

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

VLAN (zkratka pro Virtuální LAN) je logicky nezávislá síť v rámci jednoho nebo několika zařízení. Virtuální sítě lze definovat jako domény všesměrového vysílání (stejně jako LAN) s cílem učinit logickou organizaci sítě nezávislou na fyzické vrstvě, čímž lze usnadnit správu sítě, zvýšit její výkon a podpořit bezpečnost. Obvykle bývá realizována na zařízeních zvaných přepínač, jehož porty se rozdělí na několik logicky samostatných částí. Jde o dělení sítě už na úrovni 2. vrstvy ISO/OSI, v porovnání s podsítěmi na 3. vrstvě.

Princip činnosti[editovat | editovat zdroj]

Přepínače je možné propojit jediným spojem a jejich software zajistí komunikaci samostatných sítí se stejnými klienty (Tag, neboli značka je součástí pouze Tag-Based VLAN, tj. IEEE 802.1Q). V principu se jedná o nadstavbu nad běžným ethernetovým protokolem. K běžným paketům je připojena informace o čísle virtuální sítě (značka 4 B, takže rámec až 1520 B), kterou protější zařízení využije k rozpoznání příslušnosti k síti.

Nejrozšířenější normou VLAN je tagovací protokol IEEE 802.1Q. Existují také:

  • MAC Based identifikace podle MAC adresy (fyzická adresa zařízení)
  • Port Based identifikace na základě fyzických portů (jednoduchá statická konfigurace)

Metody zařazení do VLAN[editovat | editovat zdroj]

Podle portu
Port switche je ručně a napevno zařazen (nakonfigurován) do určité VLANy. Veškerá komunikace, která přichází přes tento port, spadá do zadané VLANy. To znamená, že pokud do portu připojíme další switch, tak všechny zařízení připojená k němu budou v jedné VLANě. Jedná se o nejrychlejší a nejpoužívanější řešení. Není třeba nic vyhodnocovat pro zařazení do VLAN. Definice zařazení do VLAN je lokální na každém switchi. Jednoduše se spravuje a je přehledné.
Podle MAC adresy
Rámce (port) se zařadí do VLAN podle zdrojové MAC adresy. Musíme tedy spravovat tabulku se seznamem MAC adres pro každé zařízení spolu s VLANou. Výhodou je, že se jedná o dynamické zařazení, takže pokud přepojíme zařízení do jiného portu, automaticky se zařadí do správné VLANy. Switch musí vyhledávat v tabulce MAC adres.
Podle protokolu
Zařazení do VLAN je provedeno podle informace z 3. vrstvy, tj. podle protokolu přenášeného paketu. Například oddělíme IP provoz od AppleTalk. Nebo zařazujeme podle IP adresy či rozsahu. V praxi není příliš rozšířené. Zařízení musí mít napevno definovanou IP adresu a switch se musí dívat do třetí vrstvy (normálně funguje na druhé), znamená to zpomalení.
Podle autentizace
Ověří se uživatel nebo zařízení pomocí protokolu IEEE 802.1x a podle informací se automaticky umístí do VLANy. Je to primárně bezpečnostní metoda, které řídí přístup do sítě (NAC), ale po rozšíření slouží i pro VLANy. Je to zajímavá metoda proto, že je velmi univerzální. Nezáleží ani na fyzickém zařízení ani na místě zapojení. RADIUS server, který ověřuje identitu uživatele, obsahuje také mapovaní uživatelů na VLANy a tuto informaci zašle po úspěšné autentizaci. U této metody je možné nastavení, že v případě, kdy není uživatel autentizován, tak je zařazen do speciální hostovské VLANy.

Odkazy[editovat | editovat zdroj]

Související články[editovat | editovat zdroj]

Externí odkazy[editovat | editovat zdroj]