Virtualne lokalne raunalne

mree (VLAN)
CCERT-PUBDOC-2006-03-153

Sigurnosni problemi u raunalnim programima i operativnim sustavima podruje je

na kojem CARNet CERT kontinuirano radi.
Rezultat toga rada ovaj je dokument, koji je nastao suradnjom CARNet CERT-a i
LS&S-a, a za koji se nadamo se da e Vam koristiti u poboljanju sigurnosti Vaeg
sustava.

CARNet CERT, www.cert.hr - nacionalno sredite za sigurnost

raunalnih mrea i sustava.

LS&S,

www.lss.hr - laboratorij za sustave i signale pri Zavodu za

elektronike sustave i obradbu informacija Fakulteta elektrotehnike i
raunarstva Sveuilita u Zagrebu.

Ovaj dokument predstavlja vlasnitvo CARNet-a (CARNet CERT-a). Namijenjen je za javnu objavu, njime se
moe svatko koristiti, na njega se pozivati, ali samo u originalnom obliku, bez ikakvih izmjena, uz obavezno
navoenje izvora podataka. Koritenje ovog dokumenta protivno gornjim navodima, povreda je autorskih
prava CARNet-a, sukladno Zakonu o autorskim pravima. Poinitelj takve aktivnosti podlijee kaznenoj
odgovornosti koja je regulirana Kaznenim zakonom RH.

Revizija v1.1

CCERT-PUBDOC-2006-03-153

Stranica 2 / 13

Sadraj
1.

UVOD........................................................................................................................................................................ 4

2.

VLAN TEHNOLOGIJA.......................................................................................................................................... 5

2.1.
IEEE 802.1Q PROTOKOL......................................................................................................................................... 6
2.2.
VRSTE VLAN-OVA ................................................................................................................................................. 8
2.2.1.
VLAN-ovi bazirani na prikljucima preklopnika............................................................................................... 8
2.2.2.
VLAN-ovi bazirani na tipu protokola ................................................................................................................ 9
2.2.3.
VLAN-ovi bazirani na MAC adresama.............................................................................................................. 9
2.2.4.
Korisniki definirano povezivanje ................................................................................................................... 10
2.2.5.
VLAN-ovi bazirani na definiranim pravilima.................................................................................................. 10
2.3.
SPREGA IEEE 802.1Q PROTOKOLA S IEEE 802.1P PROTOKOLOM ........................................................................ 10
3.

PREDNOSTI I NEDOSTACI VLAN MREA ................................................................................................... 10

3.1.
GLAVNE PREDNOSTI UPOTREBE VLAN-OVA ........................................................................................................ 10
3.1.1.
Poveanje performansi mree .......................................................................................................................... 10
3.1.2.
Olakana administracija mrea......................................................................................................................... 11
3.1.3.
Neovisnost o fizikoj topologiji mrea ............................................................................................................ 11
3.1.4.
Ogranienje razailjanja prometa na VLAN-u ................................................................................................. 11
3.1.5.
Zatita od malicioznih korisnika ...................................................................................................................... 11
3.1.6.
Poveana sigurnost mree ................................................................................................................................ 11
3.1.7.
Prioritiziranje mrenog prometa....................................................................................................................... 11
3.2.
GLAVI NEDOSTACI UPOTREBE VLAN-OVA ........................................................................................................... 12
3.2.1.
Komunikacija izmeu VLAN-ova ................................................................................................................... 12
3.2.2.
Kompleksnost VLAN-ova ............................................................................................................................... 12
3.2.3.
Nosei kapacitet usmjerivaa ........................................................................................................................... 12
3.2.4.
Neovlateno ukljuivanje u pojedini VLAN .................................................................................................... 12
4.

ZAKLJUAK ........................................................................................................................................................ 13

5.

REFERENCE ......................................................................................................................................................... 13

Revizija v1.1

CCERT-PUBDOC-2006-03-153

Stranica 3 / 13

1. Uvod
Virtualne lokalne raunalne mree (eng. Virtual Local Area Networks -VLANs) su nain logike
segmentacije mree koja se moe dinamiki mijenjati i nije ovisna o fizikoj topologiji. Kod
segmentiranje mree na tradicionalni nain raunala zaposlenika fiziki se grupiraju prema opisu
radnog mjesta zaposlenika. Grupe raunala se meusobno povezuju uz pomo preklopnika ili
koncentratora, a koncentratori i preklopnici se povezuju meusobno uz pomo usmjerivaa. Nasuprot
tome, VLAN predstavlja grupu raunala koji mogu biti na jednoj ili vie odvojenih raunalnih mrea,
a koje su konfigurirane na takav nain koji im omoguava meusobnu komunikaciju kao da se nalaze
u istoj fizikoj mrei iako se zapravo nalaze u vie odvojenih raunalnih mrea. Povezivanje tih
udaljenih raunala obavlja se koritenjem posebno konfiguriranih preklopnika.
Ovaj dokument opisuje osnovne principe VLAN tehnologije, IEEE 802.1Q protokol, glavne vrste
VLAN-ova, vezu s IEEE 802.1P protokolom te glavne prednosti i nedostatke koritenja VLAN-ova.

Slika 1: VLAN koncepcija

Revizija v1.1

CCERT-PUBDOC-2006-03-153

Stranica 4 / 13

2. VLAN tehnologija
Lokale raunalne mree (eng. Local Area Networks LANs) su prvotno organizirane kao mree
raunala locirane fiziki na istoj poziciji. Dananji LAN-ovi su definirani kao jedna logika domena
razailjanja (eng. single broadcast domain). To znai da ukoliko korisnik razailje informacije na
svom LAN-u, informacije e biti poslane svim raunalima na tom LAN-u. Paketi koji su poslani svim
raunalima u LAN-u nee se proiriti na ostale LAN-ove zahvaljujui preklopnicima (eng. switch)
koji odvajaju LAN-ove.

Slika 2: Izvedba mrene arhitekture bez primjene VLAN-ova

Da bi se otklonili negativni uinci razailjanja velikih koliina paketa unutar LAN-ova, u upotrebu je
uveden koncept virtualnih LAN-ova. Virtualni LAN-ovi nude metodu segmentiranja fizike mree na
viestruke domene razailjanja. VLAN-ovi predstavljaju logiku segmentaciju fizikih mrea koja se
moe dinamiki mijenjati i nije ovisna o fizikoj topologiji. Sastoje se od vorova i raunala koji su
spojeni u jednu LAN domenu razailjanja grupiranu po funkciji (npr. raunovodstvo, uprava, projekti,
gosti, ), koji meusobno komuniciraju bez obzira na fiziku lokaciju korisnika.
Podloga za ostvarivanje VLAN mrea je preklapanje veza i tzv. ravna (eng. flat) mrena arhitektura, u
kojoj ne postoji fizika segmentacija mree ve se sve podjele provode logiki te se stoga lako
mijenjaju prema potrebi.

Revizija v1.1

CCERT-PUBDOC-2006-03-153

Stranica 5 / 13

Slika 3: Izvedba mrene arhitekture primjenom VLAN-ova

2.1.

IEEE 802.1Q protokol

Skupina proizvoaa mrene opreme koji su na projektu lokalne mree bili ujedinjeni pod nazivom
DIX (Digital, Intel and Xerox) prva je definirala standard Ethernet. Ethernet je specifikacija lokalne
mree koja koristi pristupnu metodu CSMA/CD (eng. Carrier Sense Multiple Access with Collision
Detection). DIX je objavio dva standarda, poznata pod nazivom Ethernet I i Ethernet II, a odbor IEEE
802.3 je nastavio rad koji je DIX zapoeo. Iako standardi Ethernet i IEEE 802.3 nisu identini, danas
se u svijetu za obje vrste lokalnih mrea koristi uvrijeeni naziv Ethernet.
VLAN predstavlja nadogradnju na Ethernet i IEEE 802.3 standarde. Temelj za primjenu VLAN-ova
predstavlja preporuka IEEE 802.1Q Virtual Bridged Local Area Networks. Unutar preporuke
opisano je oznaavanje okvira (eng. frame tagging). Svakom VLAN-u unutar mree pridodan
jedinstveni broj koji ga jednoznano odreuje. Prije slanja na okosnicu preklopnik u zaglavlju paketa
postavlja jedinstveni identifikator veliine 4 okteta koji oznaava VLAN kojemu taj paket pripada. Po
primitku paketa, a prije slanja krajnjim ureajima okvir se modificira - dodani identifikator se brie.

Slika 4: Struktura Ethernet II i IEEE 802.3 okvira

Revizija v1.1

CCERT-PUBDOC-2006-03-153

Stranica 6 / 13

Na prethodnoj slici vidljiva je struktura Ethernet II i IEEE 802.3 okvira koja se sastoji od sljedeih
elemenata:
Preambula (eng. preambule) sastoji se od sedam okteta kod IEEE 802.3 okvira, tj od osam
okteta kod Ethernet II okvira. Svaki oktet sadri isti slijed bita: 10101010. Jedino osmi oktet
kod Ethernet II okvira sadri zadnji bit postavljen na 1 10101011 kako bi oznaio kraj
sinkronizacijskog dijela. Preambula je namijenjena sinkronizaciji na razini bita. Prijemnik
koristi ovaj slijed jedinica i nula kako bi detektirao novi poslani okvir. Na taj se nain postie
usklaenost takta izmeu predajnika i prijemnika. Preambula ima znaenje samo na fizikom
sloju (pri slanju okvira se kreira na fizikom sloju, a kod prijema fiziki sloj ju ukida).
Oznaka poetka okvira (eng. Start Frame Delimiter SFD) definiran unutar IEEE 802.3
standarda, a sastoji se od jednog okteta i koristi se samo za odreivanje poetka okvira
(sinkronizacija na razini okvira). Taj oktet jednak je osmom oktetu preambule Ethernet II
okvira (10101011) te stoga Ethernet II i IEEE 802.3 imaju razliite nazive, ali isti zapis za
prvih osam okteta.
Polje odredine adrese (eng. Destination Address DA) - sastoji se od est okteta i odreuje
MAC adresu krajnjeg ureaja kojem se dotini okvir alje.
Polje izvorine adrese (eng. Source Address SA) - sastoji se od est okteta i odreuje MAC
(Medium Access Control) adresu krajnjeg ureaja koji alje taj okvir.
Polje IEEE 802.3 standarda L (eng. Length) odreuje duljinu korisnikog polja (na slici
oznaeno kao LLC PDU). Maksimalna dozvoljena duljina korisnikog polja iznosi 1500
okteta.
Za razliku od IEEE 802.3 okvira, na mjestu polja L u Ethernet II okvirima nalazi se polje ET
(eng. EtherType). To polje odreuje protokol mrenog sloja iji se podaci pakiraju u
korisniko polje Ethernet okvira (npr. prilikom slanja IP datagrama Ethernet-om, sadraj
polja ET je x'0800). S obzirom da je osnovna ideja bila da se istim fizikim LAN-om zajedno
mogu prenositi Ethernet II i IEEE 802.3 okviri, sadraj polja ET poprima iznose koji su vei
od najvee dozvoljene duljine korisnikog polja. Istovremeno, zbog toga to je trajanje
fiksnog vremenskog odsjeka jednako trajanju 512 bita, najmanja dozvoljena duljina
Ethernet paketa iznosi 64 okteta.
Ako nema dovoljno korisnikih okteta za popunjavanje korisnikog polja, koristi se polje za
popunjavanje (eng. Padding PAD). Duljina polja PAD kree se u rasponu od 0 do 46
okteta.
Na kraju okvira nalazi se polje nazvano slijed za provjeru ispravnosti okvira (eng. Frame
Check Sequence FCS). Sadraj tog polja kreira se u predajniku pomou metode ciklikog
kodiranja (eng. Cyclic Redundancy Check CRC). U prijemu se istom metodom na MAC
podsloju, namijenjenog upravljanju pristupa prijenosnom mediju, na temelju primljenog
okvira proraunava slijed od etiri okteta koji se zatim usporeuje s primljenim FCS-om.
Ako je podudarnost potpuna, to je znak da je primljeni okvir ispravan (iako to ne mora biti
potpuno tono jer postoji mogunost da CRC ne otkrije neke viestruke pogreke). Ako
otkrije da je neki okvir neispravan, MAC podsloj ga odbacuje. U LAN-ovima se ponovno
slanje (retransmisija) okvira primljenih s pogrekom implementira najee na viim
protokolnim slojevima (npr. na transportnom sloju), a rjee na podsloju upravljanja logikim
linkom (eng. Logical Link Control LLC), i to je opcija koju po potrebi odabire korisnik.
Dakle, ako transportni sloj ili podsloj LLC u prijemnom entitetu krajnjeg ureaja otkrije da
neki okvir nedostaje, tada ravnopravnom protokolnom sloju, odnosno podsloju u predajniku
na drugom kraju linka alje zahtjev za retransmisijom okvira.
IEEE 802.1Q preporuka donosi standardnu metodu oznaavanja MAC i Ethernet okvira s VLAN
pripadajuom informacijom o lanstvu. U standardni okvir, izmeu SA i L/ET polja, dodaju se 4
okteta kao to je vidljivo na sljedeoj slici.

Revizija v1.1

CCERT-PUBDOC-2006-03-153

Stranica 7 / 13

Slika 5: Struktura Ethernet II i IEEE 802.3 okvira s VLAN oznakom

Oznaku VLAN-a ine etiri okteta ugraena u tradicionalni okvir koji poveavaju maksimalnu duljinu
okvira s 1518 na 1522 okteta: polje TPID (eng. Tag Protocol ID) i upravljako polje (eng. Tag
Control Information), svako duljine dva okteta. U polje TPID upisuje se heksadekadski broj
vrijednosti 8100 koji oznaava da se radio o IEE 802.1Q paketu.. Prva tri bita upravljakog polja
namijenjena su dodjeli prioriteta prometnim tokovima u LAN-u, definiranoj preporukom IEEE
802.1P. Nadalje, ako je bit CFI (eng. Canonical Format Indicator) jednak jedinici, mogue je dodatno
poveanje duljine MAC okvira za 2 okteta koji slijede odmah iza polja L/ET. Ta dva okteta ine polje
E-RIF (eng. Extra Embeded Routing Information), koje pokazuje da je okvir promijenjen iz Token
Ring/FDDI formata u Ethernet format. Sama oznaka VLAN-a, duljine 12 bita, omoguuje
jednoznano oznaavanje virtualnih LAN-ova.
Od 4096 raspoloivih VLAN ID-a (od 0 do 4095), neki su identifikatori rezervirani. ID koji je jednak
nuli (tzv. null VLAN ID) u oznaenom okviru signalizira da niti jedan VLAN ID nije pridijeljen
nekom VLAN-u. VLAN ID koji je jednak 4095 takoer je rezerviran za posebne namjene. Dakle,
VLAN-ovima je mogue dodijeliti VLAN ID u rasponu od 1 do 4094.
Oznaavanje okvira ne mijenja sadraj polja ET, odnosno polja duljine LLC PDU-a. Prilikom svakog
dodavanja ili skidanja oznake potrebno je ponovno proraunati vrijednost polja FCS.

2.2.

Vrste VLAN-ova
Pridjeljivanje raunala odnosno korisnika VLAN-ovima moe se izvesti na nekoliko naina koji su
opisani u nastavku ovog poglavlja.

2.2.1.

VLAN-ovi bazirani na prikljucima preklopnika

VLAN-ovi bazirani na prikljucima preklopnika (eng. port based), tzv. statiki ili Layer 1 VLAN-ovi,
obino se koriste u organizacijama kako bi omoguili smanjivanje prometa razailjanja te za
poveanje sigurnost raunalne mree. Pripadnost pojedinog raunala odreenom VLAN-u odreena je
dodjelom prikljuka preklopnika, na koji je to raunalo spojeno, tom definiranom VLAN-u. Time,
ureaj postaje lan odreenog VLAN-a na osnovu pripadnosti prikljuka na preklopniku tom
definiranom VLAN-u.
Implementacija VLAN-ova baziranih na prikljucima preklopnika je relativno jednostavna poto nije
potrebna implementacija nikakvog protokola da bi se krajnji ureaj smjestio u odgovarajui VLAN.
Tijekom svog rada, krajnji ureaji ne znaju za postojanje VLAN-a, a grupa mrenih korisnika
dodijeljena jednom VLAN-u formira zasebnu domenu razailjanja koja je odvojena od ostalih VLANova konfiguriranih na mrei. Paketi se prosljeuju samo izmeu prikljuaka preklopnika koji prenose
promet za konkretni VLAN. Promet razailjanja izmeu pojedinih VLAN-ova je eliminiran na
preklopnicima (osim ako se ne intervenira koritenjem Layer 3 ureaja) i irina propusnog sloja je
sauvana tako to se doputa preplavljivanje paketa na samo odreene prikljuke preklopnika.

Revizija v1.1

CCERT-PUBDOC-2006-03-153

Stranica 8 / 13

Prikljuci na preklopniku se u odgovarajui VLAN smjetaju statiki i administrator mora za svaki

prikljuak odrediti pripadnost odreenom VLAN-u. Na osnovu pripadnosti pojedinom VLAN-u,
prikljuci dobivaju Port VLAN ID (PVID) koji pokazuje njihovu pripadnost odgovarajuem VLANu. Time je omoguena brza i jednostavna dodjela VLAN-a krajnjem ureaju i ukoliko se korisnik
preseli na drugi prikljuak, a eli imati isti VLAN kao i prije, tada se mora obaviti pridjeljivanje
prikljuka u odgovarajui VLAN, tzv. port-to-VLAN dodjeljivanje.
Prikljuak na
preklopniku

VLAN ID

1
2
3
4
5
6
7
8

1
1
2
3
4
3
4
1

Tablica 1: Primjer pripadnosti prikljuaka preklopnika pojedinim VLAN-ovima

2.2.2.

VLAN-ovi bazirani na tipu protokola

Mreni promet se moe razdvajati u pojedine VLAN-ove na temelju protokola koji se koriste. Time
pojedini protokoli bivaju smjeteni u definirani VLAN. Preklopnici pri tome koriste liste tipova
protokola kako bi dodjeljivali korisnike u definirane VLAN-ove.
Ovo je jedan vrlo fleksibilan nain povezivanja koji se bazira na programskoj konfiguraciji raunala.
Promjenom konfiguracije i koritenih protokola korisnik sam mijenja pripadnost VLAN mrei. U
nekim je okolnostima ova osobina poeljna zbog svoje jednostavnosti, ali negdje moe biti i
nepoeljna zbog sigurnosnih razloga.
Protokol

VLAN ID

IP
PBX
VoIP

1
2
3

Tablica 2: Primjer pripadnosti protokola pojedinim VLAN-ovima

2.2.3.

VLAN-ovi bazirani na MAC adresama

Kod VLAN-ova baziranih na MAC adresama mrenih kartica, tzv. dinamiki ili Layer 2 VLAN-ovi,
preklopnici se konfiguriraju s pristupnim listama (eng. access lists) koje povezuju individualne MAC
adrese krajnjih ureaja s definiranim VLAN-ovima. Time je pripadnost odreenom VLAN-u odreena
MAC adresom krajnjeg ureaja. Kada se krajnji ureaj spoji na preklopnik, preklopnik mora
pregledati bazu kako bi krajnji ureaj smjestio u odgovarajui VLAN. Administrator mora u tu bazu
unijeti MAC adrese i VLAN-ove u koje te MAC adrese treba smjestiti. Budui da su MAC adrese dio
mrene kartice, kada se ureaj premjesti na neku drugu lokaciju nije potrebna nikakva nova
konfiguracija da bi korisnik ostao na istom VLAN-u. Ovakav nain daje veu fleksibilnost.
MAC adresa

VLAN ID

080007A92BFC
090007A9B2EB
09104AB9E2A4
006008C499AA
08000935C99D
009027A79DDA

1
4
4
2
4
3

Tablica 3: Primjer pripadnosti MAC adresa pojedinim VLAN-ovima

Revizija v1.1

CCERT-PUBDOC-2006-03-153

Stranica 9 / 13

2.2.4.

Korisniki definirano povezivanje

Najfleksibilniji nain povezivanja, ali ga podrava mali broj opreme. Pripadnost VLAN mrei je
definirana kroz identifikaciju korisnika, aplikacije koje korisnik trenutno upotrebljava i sl. Potrebno je
izgraditi centraliziranu bazu podataka o korisnicima i njihovim pravima pristupa, to je znatan posao
pri izgradnji mree, ali znatno olakava kasnije odravanje i nadzor.

2.2.5.

VLAN-ovi bazirani na definiranim pravilima

Odreeni proizvoai omoguili su u svojim ureajima koritenje VLAN-ova baziranih na

definiranim pravilima (eng. rule based) koji omoguavaju administratorima kreiranje takvih VLANova gdje se pripadnost odreenom VLAN-u odreuje na informacijama koje se nalaze u mrenom
paketu koji se prosljeuje preko preklopnika. Iako ova metoda prua veliku fleksibilnost, postavljanje
i odravanje ovakve mree moe biti kompleksno. Primjer definiranog pravila za pripadnost jednom
VLAN-u:
Svi ureaji s IP adresama 100.100.10.x
Osim ureaja s IP adresama 100.100.10.10 i 100.100.10.11
Osim ureaja s MAC adresom 06-1A-0A-05-3C-02-04

2.3.

Sprega IEEE 802.1Q protokola s IEEE 802.1P protokolom

IEEE 802.1P protokol omoguava Layer 2 preklopnicima da prioritiziraju mreni promet pri emu se
izvodi dinamiko filtriranje prometa prema vanosti. Sama prioritizacija se obavlja na MAC sloju.
Drugi naziv za prioritiziranje prometa je CoS (eng. Class of Service) jer se promet dijeli u klase
prioriteta zavisno o protokolima koji se koriste. Pri tome se e-mail i http prometu esto pridjeljuju
najnii prioriteti. CoS predstavlja samo dio QoS-a (eng. Quality of Service) standarda ouvanja
kvalitete usluge.
IEEE 802.1P protokol predstavlja nadopunu na IEEE 802.1Q protokol i oni rade u tandemu. IEEEovo 802.1Q zaglavlje u mrenom paketu ukljuuje 802.1P polje koje se sastoji od 3 bita to
omoguava grupiranje mrenih paketa u 8 razliitih klasa prioriteta. Iako mreni administratori mogu
definirati eljeni poredak prioriteta, IEEE je preporuio da se u najvii prioritet 7 stavlja mreni
promet visokog prioriteta kao to su RIP (eng. Routing Information Protocol) i OSPF (eng. Open
Shortest Path First) protokoli za definiranje usmjeravanja mrenog prometa. Vrijednosti 6 i 5 imaju
nii prioritet i preporua se njihovo koritenje za mrene pakete koji nose promet koji bi trebao biti
isporuen u stvarnom vremenu npr. interaktivni video prikaz ili glas. Vrijednosti od 4 do 1
preporua se koristiti za aplikacije koje posjeduju poslovnu vanost kao to su npr. razmjene
poslovnih podataka pa sve do prometa koji se moe i izgubiti. Razina 0 je predefinirana vrijednost
koja e biti automatski postavljena ukoliko se ne definira niti jedna druga vrijednost.
Odreivanje razina za pojedini promet obavlja se na preklopnicima te ukoliko odreeni preklopnik
postane zaguen mrenim paketima, preklopnik poinje odbacivati mrene pakete poevi s onima
koji su najnieg prioriteta.

3. Prednosti i nedostaci VLAN mrea

3.1.

Glavne prednosti upotrebe VLAN-ova

U nastavku ovog poglavlja navedene su neke od glavnih prednosti upotrebe VLAN-ova u raunalnim
mreama.

3.1.1.

Poveanje performansi mree

U preklapanim mreama grupiranje korisnika u VLAN-ove rezultira poveanjem performansi mree

limitiranjem prometa na korisnike koji provode sline funkcije ili se nalaze unutar individualnih
grupa. Isto tako budui da se kreira manje prometa, to znai da se i manje prometa usmjerava prema
drugim mreama to rezultira s manjenom latencijom koju uzrokuju usmjerivai.

Revizija v1.1

CCERT-PUBDOC-2006-03-153

Stranica 10 / 13

3.1.2.

Olakana administracija mrea

Uporabom virtualnih LAN-ova mrea s preklapanjem se logiki segmentira (dijeli) prema nekoj
funkciji: organizacijskoj strukturi, radu na projektu ili prema tome koju aplikaciju neki korisnik rabi, a
ne prema fizikoj odnosno zemljopisnoj lokaciji. Tako VLAN-ovi pruaju jednostavniji, fleksibilniji i
jeftiniji nain administriranja mrea u okolinama koje se konstantno i uestalo mijenjaju. Takoer,
VLAN-ovi kod administriranja i odravanja velikih mrea doputaju centraliziranu konfiguraciju
krajnjih ureaja koji su fiziki dislocirani jedni od drugih.

3.1.3.

Neovisnost o fizikoj topologiji mrea

VLAN-ovi omoguavaju neovisnost o fizikoj topologiji mree doputajui grupiranje korisnika na

razliitim lokacijama, pri emu su oni logiki spojeni u iste domene razailjanja. Ujedno ako se
mijenja lokacija korisnika i krajnjih ureaja, jednostavnim dodjeljivanjem prikljuaka na preklopniku
pojedinom VLAN-u korisnik ostaje u svom VLAN-u.

3.1.4.

Ogranienje razailjanja prometa na VLAN-u

VLAN-ovi promet razailjanja (eng. broadcast) zadravaju samo unutar sebe. Iako na jedan
preklopnik moe biti spojeno vie krajnjih ureaja, ako oni ne pripadaju istom VLAN-u, pakete koje
jedno od raunala poalje nee dobiti sva ostala raunala spojena na isti preklopnik, ve samo ona
koja se nalaze u istom VLAN-u.
Raunala koja su spojena na jedan preklopnik, a pripadaju razliitim VLAN-ovima meusobno ne
mogu komunicirati, osim ako je to dozvoljeno. Da bi paketi mogli prolaziti izmeu razliitih VLANova potrebno je imati L3 preklopnik ili usmjeriva koji e znati usmjeravati pakete s jedne mree na
drugu.

3.1.5.

Zatita od malicioznih korisnika

Poto su u VLAN-ovima svi korisnici na jednoj podmrei, ako se jedan od njih zarazi virusom ili
nekim drugim malicioznim programom postoji velika mogunost da se i ostali korisnici tog VLAN-a
isto zaraze. Ali u mreama gdje nisu implementirani VLAN-ovi svi korisnici na mrei mogu biti
zaraeni malicioznim kodom, dok je kod mrea izvedenih pomou VLAN-ova prijetnja ograniena
samo na dotini VLAN.

3.1.6.

Poveana sigurnost mree

Na usmjerivaima ili L3 preklopnicima se moe implementirati kontrola prometa izmeu VLAN-ova.

Na taj nain je mogue ve na mrenom nivou zatititi odreene dijelove mree (npr. raunovodstvo,
dekanat,). Primjer takve poveane sigurnosti je Blaster crv koji tokom svog rada generira ogromnu
koliinu broadcast-a, koja je u ovom sluaju ograniena samo na pripadajui VLAN. Raunala koja
su spojena na jedan preklopnik, a pripadaju razliitim VLAN-ovima meusobno ne mogu
komunicirati. Da bi paketi mogli prolaziti izmeu VLAN-ova potrebno je imati usmjeriva koji e
znati usmjeravati pakete s jedne mree na drugu.
Ukoliko postoji nekoliko meusobno spojenih preklopnika te na njima definirano nekoliko istih
VLAN-ova potrebno je omoguiti promet izmeu dva raunala koja se nalaze u istom VLAN-u, ali su
spojena na razliite preklopnike. Za to je potrebno koristiti VLAN Trunking Protocol (VTP). Ovaj
protokol omoguava da se preko jednog suelja prenosi promet svih VLAN-ova. Na Cisco ureajima
u istu svrhu se moe koristiti i ISL (eng. Inter- Switch Link Protocol).

3.1.7.

Prioritiziranje mrenog prometa

IEEE 802.1Q posjeduje mogunost rada u tandemu s IEEE 802.1P standardom koji omoguava
prioritiziranje mrenog prometa. Time je mogue poveati kvalitetu usluge prijenosa mrenog
prometa. Svaki put kad se unutar preklopnika spremnici koji uvaju primljene mrene pakete prepune,
preklopnik moe na temelju prioriteta koji su dodijeljeni pojedinim mrenim paketima, odrediti koje
pakete treba poeti prvo uklanjati. Takvim nainom rada mreni promet vieg prioriteta ima veu
mogunost dolaska na cilj.

Revizija v1.1

CCERT-PUBDOC-2006-03-153

Stranica 11 / 13

3.2.

Glavi nedostaci upotrebe VLAN-ova

Iako se o VLAN-ovima prvenstveno razmilja kao o unaprjeenju postojeih mrea, VLAN-ovi ipak
imaju i svoje nedostatke od kojih su glavni razloeni u nastavku ovog poglavlja.

3.2.1.

Komunikacija izmeu VLAN-ova

Raunala koja se nalaze u kreiranim VLAN-ovima meusobno nisu vidljiva te ukoliko se eli
omoguiti meusobna komunikacija, potrebno je koristiti usmjeriva. Ukoliko je potrebno da
usmjeriva preusmjerava pakete iz jednog VLAN-a u drugi, mreno suelje usmjerivaa treba
podijeliti na onoliko podsuelja koliko postoji VLAN-ova. Svakom od tih virtualnih suelja se
dodjeljuje IP adresa iz raspona pojedinog VLAN-a i tu je ujedno adresa predefiniranog izlaza (eng.
default gateway) za taj VLAN. Osim adrese, na podsuelju je potrebno definirati kojem VLAN-u
pripada te koji trunking protokol podrava.

3.2.2.

Kompleksnost VLAN-ova

S poveavanjem raunalne mree bazirane na VLAN-ovima poveava se proporcionalno i broj

VLAN-ova te broj pripadnika pojedinih VLAN-ova. Takoer potrebno je definirati i nove politike
proputanja prometa izmeu VLAN-ova te modificirati postojee. Svime time raste ukupna
kompleksnost konfiguracije i implementacije VLAN-ova.

3.2.3.

Nosei kapacitet usmjerivaa

Ukoliko se usmjerivai koriste za usmjeravanje prometa izmeu razliitih VLAN-ova tada se moe
pojaviti problem propusnosti usmjerivaa. Kod velikih mrea koje imaju mnogo VLAN-ova nije
dobro da se za usmjeravanje koristi jedan usmjeriva zbog nemogunosti obrade velikih koliina
paketa.

3.2.4.

Neovlateno ukljuivanje u pojedini VLAN

Ukoliko lokalni korisnici imaju mogunost pristupa preklopniku koji odreuje pripadnost pojedinim
VLAN-ovima, tada su oni u mogunosti neovlateno se ukljuiti u VLAN u koji ne pripadaju. Ovaj
sluaj mogu je kod VLAN-ova baziranih na prikljucima preklopnika koji su ujedno i najei oblik,
a rjeenje za to je koritenje nekog drugog sustava VLAN-ova kao to je npr. sustav VLAN-ova
baziranih na MAC adresama.

Revizija v1.1

CCERT-PUBDOC-2006-03-153

Stranica 12 / 13

4. Zakljuak
Koritenje VLAN-ova u raunalnim mreama posjeduje brojne prednosti koje se oituju u prvom redu
u mogunosti kontrole i smanjena negativnih utjecaja razailjanja. Razdvajanjem mree na manje
dijelove, VLAN-ove, poveava se koliina raspoloivog propusnog linka (eng. bandwith).
Administratori koritenjem VLAN-ova mogu na jednostavan nain grupirati ureaje u logike grupe,
a da pri tome pojedina raunala koja spadaju u istu grupu ne moraju biti na istoj fizikoj lokaciji.
Grupiranje ureaja u VLAN-ova ne mora se nuno obavljati na temelju pripadnosti prikljuaka
preklopnika pojedinim VLAN-ovima to je ujedno i najei sluaj. Administratori mogu VLAN-ove
formirati i na drugim principima (IP adrese, MAC adrese, protokoli,). Ipak, za implementaciju svih
oblika VLAN-ova potrebno je posjedovati opremu koja e to podravati.
Iako se koritenjem VLAN-ova smanjuju trokovi na opremu koja bi se trebala koristiti kako bi se
mrea segmentirala u eljene podmree, za povezivanje razliitih VLAN-ova potrebno je koristiti
Layer 3 ureaje to poveava trokove i promet preko tih ureaja.

5. Reference
[1] Specifikacija IEEE 802.1P Standard for Local and Metropolitan Area Networks - Supplement to
Media Access Control (MAC) Bridges: Traffic Class Expediting and Dynamic Multicast Filtering
[2] Specifikacija IEEE 802.1Q Standard for Virtual Bridged Local Area Networks,
http://standards.ieee.org/getieee802/download/802.1Q-1998.pdf : IEEE 802.1Q Standard
[3] VLAN: Virtual Local Area Network and IEEE 802.1Q,
http://www.javvin.com/protocolVLAN.html
[4] Prioritization of Network Traffic, http://www.linktionary.com/p/prioritization.html
[5] 802.1Q VLANs for better bandwidth,
http://www.networkworld.com/news/tech/2001/0305tech.html

Revizija v1.1

CCERT-PUBDOC-2006-03-153

Stranica 13 / 13