image

VLAN je skraćenica od engleskog termina “Virtual Local Area Network”, koji označava grupu računara koja se ponaša kao da su svi povezani istom žicom, iako se fizički nalaze u različitim delovima LAN mreže

Pre nego što se pređemo na način rada VLAN mreže, interesantno je odgovoriti na pitanje: odakle potreba za VLAN-om?

Činjenica je da se Ethernet mreže ne ponašaju dobro u režimu iskorišćenja do krajnjih granica. Performansa je zadovoljavajuća pri iskorišćenju do oko 40%, od 40% do 70% mreža funkcioniše sa manjim problemima pri radu, dok preko 70% može doći do otkaza mreže. Gornja granica opterećenja je na oko 85% kapaciteta.

Dodavanje novih računara u mrežu, kao i uvođenje u rad klijent-server aplikacija i multimedije povećava opterećenje mreže, što može dovesti i do ozbiljnih zastoja u radu. Suština rada Etherneta je u detekciji i izbegavanju kolizija paketa sa informacijama, pri čemu sa povećanjem mrežnog saobraćaja istovremeno raste i broj kolizija i pada efikasnost mreže.

Strategija borbe sa ovim problemom je u smanjenju broja kolizija, ali i u eliminisanju dodatnog mrežnog saobraćaja, koji mahom čine tzv. “Broadcast” i “Multicast” paketi. (Broadcast paketi su upućeni svim računarima u jednom Ethernet segmentu, dok se Multicast paketi šalju grupi računara).

Ovim dolazimo do paradoksalne situacije: mrežu smo uveli da bismo međusobno povezali sve računare, a ta ista mreža efikasno radi samo ako je izdelimo na manje delove.

VLAN koncept je smišljen da razreši ovaj problem, tj. da mreža ostane fizički povezana, ali da se smanji broj kolizija i nivo Broadcast i Multicast saobraćaja – “virtuelnom” podelom na manje delove.

Integralna mreža nam realno treba, jer u načelu ne možemo da obezbedimo da se svi službenici jednog sektora nalaze u istoj kancelariji ili na istom spratu. Ako bismo sa druge strane istrajali u tome da podmreža računovodstva ili komercijale fizički prati razmeštanje službenika tokom godina rada, došli bismo u situaciju da imamo haotičnu šumu kablova koji idu gore-dole po spratovima.

Takođe, osnovno dobro u poslovanju, a to je rast firme, donosi ozbiljne probleme za LAN mrežu: u početku je desetak službenika radilo sa datotekama i bazom podataka na jednom serveru, dok pri nivou od 50 ili 100 službenika najverovatnije imamo odvojene servere za skoro svaki sektor.

VLAN standard – 802.1Q

IEEE standard 802.1Q je razvijen da reši problem podele većih mreža na manje delove, tako da Broadcast i Multicast saobraćaj ne uzmu više propusnog opsega nego što je neophodno. Standard takođe obezbeđuje i dodatni nivo sigurnosti između segmenata mreže.

Specifikacija 802.1Q definiše standardni način ubacivanja oznaka VLAN pripadnosti u Ethernet pakete.

Kako mrežni protokoli zavise od Broadcast upita putem koga se mrežne stanice međusobno “otkrivaju”, uređaji na dva LAN-a ne mogu da “vide” jedan drugoga bez pomoći mrežnog uređaja (najčešće je to ruter), koji ima portove u oba LAN-a.

Zbog činjenice da se Broadcast paketi distribuiraju do svih uređaja u LAN-u, kao posledicu dobijamo da LAN mreža ne može da bude velika. Jer ako je mreža velika, mrežni uređaji primaju veliku količinu Broadcast saobraćaja. Svojstvo mrežnih uređaja da se međusobno pronalaze takođe znači da server računari sa važnim podacima treba da budu odvojeni od običnih korisnika, putem filtera za kontrolu mrežnog pristupa.

VLAN je administrativno konfigurisani LAN ili Broadcast domen. Umesto da idemo do razvodnog ormana da bismo kabl prespojili sa jednog na drugi LAN, administrator mreže sa konzole 802.1Q kompatibilnog Switcha podešava profil svakog pojedinačnog porta tako da pripada ili ne pripada nekom VLAN-u.

VLAN Ethrenet Switch se ponaša ujedno kao “saobraćajac” i kao “obezbeđenje”. Paketi se šalju samo na one portove na koji je priključen odredišni uređaj. Broadcast i Multicast su ograničeni na VLAN međe, tako da samo stanice čiji su portovi članovi istog VLAN-a vide Broadcast i Multicast pakete. Na ovaj način je propusni opseg optimizovan, a sigurnost povećana.

802.1Q VLAN-ovi nisu ograničeni samo na jedan Ethernet Switch. VLAN se može prostirati preko više mrežnih uređaja, uključujući i WAN linkove. Organizacija VLAN-ova između više Switcheva se postiže ubacivanjem dodatne VID oznake VLAN-a u svakom Ethernet paketu. VID je skraćenica od VLAN Identifier i radi se o broju između 1 i 4094. VID treba da bude dodeljen svakom pojedinačnom VLAN-u, a dodela istog VID-a VLAN-ovima na različitim Switchevima proširuje VLAN unutar velike mreže.

Tajna formiranja VLAN-ova je u prenosu oznaka VLAN pripadnosti. Portovi 802.1Q Switcheva se mogu konfigurisati da prenose označene ili neoznačene pakete, a VLAN oznaka se može ubaciti u Ethernet paket. Ako je port priključen na drugi 802.1Q uređaj, ovi označeni paketi prenose podatak o VLAN pripadnosti između Switcheva i tako omogućavaju da se VLAN proširi na više uređaja.

Pri ovome postoji jedno važno ograničenje: administratori mreže moraju da obezbede da portovi priključeni na nekompatibilne uređaje ne prenose VLAN označene pakete.
Jer ako nekompatibilni uređaji prime 802.1Q paket, neće prepoznati VLAN oznaku i odbaciće paket. Još gore, maksimalno dozvoljena dužina Ethernet paketa je standardom 802.1Q povećana sa 1.518 na 1.522 bajta, što može dovesti da stariji uređaji odbace paket jer je “prevelik”.

VLAN primer

Da bi stvari bile jasnije, objasnićemo rad 802.1Q VLAN-a na jednom sasvim realnom primeru, a to je izdvajanje podmreže sektora računovodstva. Pretpostavka je da računovodstvo (već odavno) ima svoj NT/2000 server sa knjigovodstvenom bazom podataka i aplikacijama, ali da ima i potrebu da pristupi Email i Web servisima preko centralnog Firewall servera (da bi preko Interneta proverio stanje SPP računa, i da se sa centralnog servera učita Update Anti virus baza). Pri ovome nikako ne želimo da ostatak firme “vidi”, niti ima ikakav pristup ovoj podmreži.

Za rešenje ovog problema potrebni su nam 802.1Q kompatibilni Ethernet Switchevi i 802.1Q kompatibilni centralni server računar.

802.1Q kompatiblni server?
Podrška za 802.1Q VLAN postoji za većinu PC server operativnih sistema, kao što su NetWare 4.1, Win NT 4 / 2000 i (naravno) Linux. Međutim da bi se dobila 802.1Q podrška potrebno je da u server računaru bude ugrađen odgovarajući LAN adapter sa VLAN podrškom i instaliran prateći drajver program.

PC LAN adapteri sa 802.1Q podrškom su iz “server” klase, tako da je njihova brzina rada 10/100 ili čak 10/100/1000 Mbps. Tipičan predstavnik je DLink DFE-550TX kartica sa cenom oko 35 evra (što je oko 2x skuplje od najjevtinijih LAN kartica za PC računare).

Podešavanje VLAN pripadnosti LAN adaptera se obavlja dodavanjem VLAN oznaka unutar drajver programa, za svaku VLAN grupu za koju želimo da ima pristup serveru.

Na gornjem 802.1Q Switchu su konfigurisana dva VLAN-a: računovodstvo i komercijala. Računovodstvo ima VID sa vrednošću 2 i sastoji se od 8 neoznačenih portova, sa Port VID vrednošću 2. Ovaj VLAN takođe ima i dva označena porta, portove 12 i 14. Port 12 služi za Uplink vezu ka donjem 802.1Q Switchu, a port 14 služi za povezivanje 802.1Q kompatibilnog servera. Server treba da ima mogućnost prihvatanja označenih Ethernet paketa, što ujedno znači da može da istovremeno bude član više VLAN-ova. Server računovodstva ne može da prihvata označene pakete, zbog čega treba da bude priključen na “neoznačeni” port Switcha.

VLAN komercijale ima VID sa vrednošću 3 i 7 neoznačenih portova, na kojima je podešen Port VID 3, što odgovara VID-u VLAN-a komercijale.

Računovodstvo (VID=2) Komercijala (VID=3)
Neoznačeni portovi Označeni portovi Neoznačeni portovi Označeni portovi
1 – 8 (PVID=2) 12, 14 17 – 24 (PVID=3) 12, 14

Na donjem Switchu su podešeni VLAN-ovi računovodstva i nabavke na sledeći način: VLAN računovodstva ima 6 portova, 5 neoznačenih i jedan označeni. Označeni port je port 11 koji služi za Uplink vezu sa gornjim Switchem. Ovaj Uplink port omogućava VLAN-u računovodstva da prenosi pakete ka prvom delu VLAN mreže, ali i da uspostavi vezu sa 802.1Q serverom (priključenim na gornji Switch).

VLAN nabavke sa sastoji od 5 neoznačenih portova sa port VID-om 4, i jednim označenim portom (port 11), koji je potreban zbog veze sa gornjim Switchom i 802.1Q serverom.

Računovodstvo (VID=2) Nabavka (VID=4)
Neoznačeni portovi Označeni portovi Neoznačeni portovi Označeni portovi
1 – 5 (PVID=2) 11 20 – 24 (PVID=4) 11

Primer ilustruje neke od prednosti označenih VLAN-ova i označenih portova. Interesantno je da smo primenom označenih Uplink portova (port 12 na gornjem i port 11 na donjem Switchu) izbegli potrebu za ruterom, koji bi inače bio neophodan za povezivanje dva ili više VLAN-ova.

Dodatno, iako Uplink portovi prenose paketa iz različitih VLAN-ova, sigurnost prenosa je sačuvana, jer Switch usmerava pakete isključivo ka odgovarajućim VLAN-ovima. Na primer: radna stanica priključena na port 1 donjeg Switcha može da priča sa sektorskim serverom na gornjem Switchu, jer oboje pripadaju istom VLAN-u računovodstva. Sa druge strane, radna stanica priključena na port 22 donjeg Switcha, koji pripada VLAN-u nabavke ne može da pristupi serveru računovodstva, jer pripadaju različitim VLAN-ovima, ali zato može da pristupi centralnom 802.1Q serveru…

Dobit od VLAN-ova
Fleksibilna segmentacija mreže
Korisnici i mrežni resursi koji intenzivno međusobno komuniciraju se mogu grupisati u VLAN-ove, bez obzira na njihovu fizičku lokaciju. Saobraćaj unutar grupe većinom ostaje interni, smanjujući eksterni saobraćaj i poboljšavajući efikasnost cele mreže.

Jednostavno upravljanje
Dodavanje čvorova, kao i premeštanje i druge izmene se brzo i lako obavljaju sa upravljačke konzole, umesto prevezivanja kablova unutar razvodnog ormana.

Povećana performansa
VLAN-ovi oslobađaju propusni opseg mreže tako što ograničavaju Broadcast i saobraćaj između čvorova mreže.

Bolje iskorišćenje server resursa
Sa VLAN kompatibilnim adapterom, server može da bude istovremeno član više VLAN-ova. Ovo smanjuje potrebu rutiranja saobraćaja do i od servera.

Pojačana sigurnost mreže
VLAN-ovi kreiraju virtuelne međe koje se mogu preći samo pomoću rutera. Zbog ovoga se u VLAN-ovima po potrebi mogu koristiti standardni ruter paket filtri radi povećanja sigurnosti mreže.

Prioritizacija saobraćaja

Nešto pre izrade 802.1Q standarda problem performanse većih LAN mreža je bio usmeren na izradu standarda prioritizacije saobraćaja – IEEE 802.1p.

Ono što je sve vreme nedostajalo Ethernet tehnologiji je “kvalitet servisa”, odnosno način da se za pojedine vrste saobraćaja garantuje performansa. U slučaju prenosa podataka ne znači nam puno da li je paket zakasnio nekoliko milisekundi, ali u slučaju prenosa glasa (VoIP) i kašnjenje i retransmisija jednog paketa podataka ima svoju cenu u nerazumljivosti i degradaciji servisa.

802.1p je predvideo primenu 3-bitne šeme prioriteta saobraćaja, koji je ubrzo ugrađen u standard 802.1Q (unutar 4 bajta proširenja Ethernet paketa). Sa tri bita oznake prioriteta na raspolaganju su nam 8 različitih nivoa prioritizacije saobraćaja.

U praksi, prioritizacija je tehnika koju ćemo primeniti tek kada nam ozbiljno ponestane propusnog opsega. Realnost je da proritizacija saobraćaja ne umanjuje mogućnost gubitka paketa, već nam samo nudi izbor – koje pakete ćemo pustiti da izgubimo. Zbog ovoga ćemo prvo pokušati da povećamo efikasnost mreže, pa tek kada dodatnih kapaciteta više nema – da kažemo šta nam je važnije.

S obzirom da VLAN značajno poboljšava propusni opseg mreže, sasvim je logično što je “kvalitet servisa” pridružen i uklopljen u VLAN standard.

Zaključak

VLAN koncept donosi bitne pogodnosti po pitanjima performanse i administracije mreže. Segmentacijom mreže na VLAN-ove dobićemo grupe računara koje raspolažu punim propusnim opsegom, bez ometanja sa drugih delova mreže. Ovo možemo da napravimo i bez primene skupih, komplikovanih i za LAN saobraćaj – sporih rutera.

Cena za ovaj dobitak je (po ko zna koji put) nekompatibilnost sa starom opremom. Za dobitak koji nose označeni VLAN-ovi moraćemo da žrtvujemo staru Ethernet opremu.

Ako smo u prilici da pravimo novu mrežu ili da potpuno rekonstruišemo staru, VLAN je koncept koji nam apsolutno treba.

Advertisements