VLAN (802.1Q) a switch Micronet SP1679

- STEFi - 2004-12-18 00:00:16
Tento článek popisuje praktické zkušenosti s implementací VLAN na switche Micronet a jejich použití. Všechny závěry v tomto článku vyvozené jsou výsledkem praktických zkušeností....

Krátce o VLAN
VLAN alias virtual LAN. Pomocí VLAN dokážeme jeden segment sítě na více virtuálních. Je to užitečné především z bezpečnostního hlediska, jelikož virtuální segmenty mohou být od sebe zcela odděleny. Podstatným rysem je to, že vůči počítačům se VLAN jeví jako fyzicky vyhrazený switch.
Pro využití VLAN bude rozhodně potřebovat switche, které tuto technologií zvládají. Počítače v síti jsou beze změn, tedy stačí jen standardní síťová karta.
Specifikaci standardu 802.1Q [2] naleznete na stránkách organizace IEEE [1].

Trocha teorie o VLAN
Předně musím upozornit, že popisuji implementaci VLAN do prostředí ethernetových sítí, zda jsou VLAN implementovány i do jiných technologií nevím.
Celé tajemství VLAN je v tom, že zařízení s implementovaným standardem 802.1Q dokáží změnit ethernetový rámec [5] a přidat do něj informace o VLAN, do které patří. Rámce s přidanými informacemi o VLAN jsou nazývány značené (tagged). V této souvislosti existuje i termín pro standardní rámce, které se nazývají neznačené (untagged). Tuto terminologie je dobré si zapamatovat, protože je klíčová k pochopení funkce switchů dále v článku.
S takto rozšířenými, tagovanými, rámci musí však pracovat zařízení v naší síti a to především aktivní prvky (variantě i počítače, servery). Pokud hodláme využívat VLAN musíme rozhodně mít aktivní prvky, které v sobě tuto technologii (802.1Q) mají implementovanou. Tedy umí pracovat s rozšířeným ethernetovým rámcem. Možná pro upřesnění doplním, že switche pracují na úrovni 2 vrstvy modelu OSI [3], takže dnes často označují líbivým marketingovým názvem "Layer-2".

Micronet SP1679/1678
Tchajvanský výrobce síťových technologií rozhodně v lidech nevzbuzuje pocit jistoty. Nicméně volba modelu SP1679 byla čistě z finančních důvodů. Pokud bychom podobnou síť stavěli z aktivních prvků Cisco, vyšla by několika násobně (můj přibližný odhad je 5x). Samozřejmě produkty Cisco mohou nabídnout vyšší kvalitu, výkon, slušný servis a v neposlední věci je to tradice. Pokud tedy nepotřebujete sítě s pěti devítkovou (prostě normální síť) spolehlivostí můžete s klidem sáhnout po Micronetu.

Hodnocení:
+ cena
+ gigabitové moduly
+ optické moduly
+ až 120 VLAN
- nevhodná konfigurace přes menu
- malá podpora

Jak jsem zmínil switch zvládá VLAN a to dokonce do té míry, že vnitřně pracuje vždy jen s tagovanými rámci Ethernetu. Veškerá vnitřní komunikace v rámci switchě tedy je s tagovanými rámci. Je tedy nutné mít porty switche alespoň v jedné VLAN. Také po rozbalení krabice má switch všechny porty nastaveny v jedné VLAN (defaultně 1) a v módu untagged. Normální počítače však neumí zpracovat tagovaný rámec Ethernetu a z toho důvodu jsou porty nastaveny na untagged. Mód untagged z ethernetové rámce odsekne ono rozšíření a ten je pak poslán do počítače.
Vraťme se tedy zpět k tagování. Komunikace v rámci switche je vždy tagována. Veškeré rámce, které switch obdrží od připojených zařízení se automaticky taggují podle VLAN (nastaveno na portu switche), do které je zařízení připojeno. Výstup ze switche může být nastaven buď v módu tagged nebo untagged. V případě tagged módu se rozšíření ethernetového rámce zachovají a pošlou do zařízení připojené v portu. V případě untagged módu jsou přidané informace odříznuty a připojené zařízení dostane standard
ní rámec. Switch se tedy chová vůči zařízení zcela standardně.

Spojování více switchů (inter-connecting)
Počet spojených switchů není nijak omezen. Jediné omezení je limit počtu VLAN, který switche mají na hodnotě 120. Spojení switchů provádí jednak kvůli tomu, abychom zvýšili kapacitu sítě a za druhé také kvůli tomu abychom propojili jednotlivé VLAN. Pokud tedy např. budeme mít 10 switchů spojených, je možné 11 VLAN ze switche číslo 1 propojit s 11 VLAN ze switche číslo 9 a tak zajistit jejich propojení a zároveň izolaci od ostatních počítačů.
Po fyzickém projení switchů je nutné transportní porty nastavit do VLAN, které se mají šířit mezi switchi. Tedy port, který propojuje switch s druhým bude hned v několika VLAN a všechny tyto VLAN budou v módu tagged, aby společně s IP paketem putovala i informace, do které VLAN patří.

Připojení počítače s podporou VLAN
Podporu VLAN v zařízení musíme mít na dvou vrstvách modelu OSI [3]. První z nich je datová vrstva, což pro nás představuje u počítače síťovou kartu. Ta musí podporovat technologii 802.1Q. Déle pak musíme zabezpečit ještě používání VLAN na úrovni síťové vrstvy. To už je čistě otázka software resp. operačního systému a implementace IP s podporou VLAN. Osobně mám zkušenosti s implementací [6] do Linuxu, konkrétně do jádra řa
dy 2.4.x.

Zdroje
[1] http://www.ieee802.org/ - domovská stránka organizace IEEE 802
[2] http://www.ieee802.org/1/pages/802.1Q.html - specifikace IEEE pro 802.1Q
[3] http://www.mattjustice.com/ethernet/osi.html - model OSI vzhledem k protokolům
[4] http://www.micronet.info/Products/switch/switch_enterprise.asp - produktová stránka Micronetu pro enterprise switche
[5] http://www.javvin.com/protocolVLAN.html - popis ethernetového rámce pro VLAN
[6] http://www.candelatech.com/~greear/vlan.html - implementace 802.1Q pro Linux
[7] http://www.micronet.info/Download/Tool/Switch/Inter-VLAN%20Routing.pdf - jak propojit switche od Micronetu