Professional Documents
Culture Documents
Virtualne Lokalne Računalne Mreže (VLAN)
Virtualne Lokalne Računalne Mreže (VLAN)
mree (VLAN)
CCERT-PUBDOC-2006-03-153
LS&S,
Ovaj dokument predstavlja vlasnitvo CARNet-a (CARNet CERT-a). Namijenjen je za javnu objavu, njime se
moe svatko koristiti, na njega se pozivati, ali samo u originalnom obliku, bez ikakvih izmjena, uz obavezno
navoenje izvora podataka. Koritenje ovog dokumenta protivno gornjim navodima, povreda je autorskih
prava CARNet-a, sukladno Zakonu o autorskim pravima. Poinitelj takve aktivnosti podlijee kaznenoj
odgovornosti koja je regulirana Kaznenim zakonom RH.
Revizija v1.1
CCERT-PUBDOC-2006-03-153
Stranica 2 / 13
Sadraj
1.
UVOD........................................................................................................................................................................ 4
2.
VLAN TEHNOLOGIJA.......................................................................................................................................... 5
2.1.
IEEE 802.1Q PROTOKOL......................................................................................................................................... 6
2.2.
VRSTE VLAN-OVA ................................................................................................................................................. 8
2.2.1.
VLAN-ovi bazirani na prikljucima preklopnika............................................................................................... 8
2.2.2.
VLAN-ovi bazirani na tipu protokola ................................................................................................................ 9
2.2.3.
VLAN-ovi bazirani na MAC adresama.............................................................................................................. 9
2.2.4.
Korisniki definirano povezivanje ................................................................................................................... 10
2.2.5.
VLAN-ovi bazirani na definiranim pravilima.................................................................................................. 10
2.3.
SPREGA IEEE 802.1Q PROTOKOLA S IEEE 802.1P PROTOKOLOM ........................................................................ 10
3.
3.1.
GLAVNE PREDNOSTI UPOTREBE VLAN-OVA ........................................................................................................ 10
3.1.1.
Poveanje performansi mree .......................................................................................................................... 10
3.1.2.
Olakana administracija mrea......................................................................................................................... 11
3.1.3.
Neovisnost o fizikoj topologiji mrea ............................................................................................................ 11
3.1.4.
Ogranienje razailjanja prometa na VLAN-u ................................................................................................. 11
3.1.5.
Zatita od malicioznih korisnika ...................................................................................................................... 11
3.1.6.
Poveana sigurnost mree ................................................................................................................................ 11
3.1.7.
Prioritiziranje mrenog prometa....................................................................................................................... 11
3.2.
GLAVI NEDOSTACI UPOTREBE VLAN-OVA ........................................................................................................... 12
3.2.1.
Komunikacija izmeu VLAN-ova ................................................................................................................... 12
3.2.2.
Kompleksnost VLAN-ova ............................................................................................................................... 12
3.2.3.
Nosei kapacitet usmjerivaa ........................................................................................................................... 12
3.2.4.
Neovlateno ukljuivanje u pojedini VLAN .................................................................................................... 12
4.
ZAKLJUAK ........................................................................................................................................................ 13
5.
REFERENCE ......................................................................................................................................................... 13
Revizija v1.1
CCERT-PUBDOC-2006-03-153
Stranica 3 / 13
1. Uvod
Virtualne lokalne raunalne mree (eng. Virtual Local Area Networks -VLANs) su nain logike
segmentacije mree koja se moe dinamiki mijenjati i nije ovisna o fizikoj topologiji. Kod
segmentiranje mree na tradicionalni nain raunala zaposlenika fiziki se grupiraju prema opisu
radnog mjesta zaposlenika. Grupe raunala se meusobno povezuju uz pomo preklopnika ili
koncentratora, a koncentratori i preklopnici se povezuju meusobno uz pomo usmjerivaa. Nasuprot
tome, VLAN predstavlja grupu raunala koji mogu biti na jednoj ili vie odvojenih raunalnih mrea,
a koje su konfigurirane na takav nain koji im omoguava meusobnu komunikaciju kao da se nalaze
u istoj fizikoj mrei iako se zapravo nalaze u vie odvojenih raunalnih mrea. Povezivanje tih
udaljenih raunala obavlja se koritenjem posebno konfiguriranih preklopnika.
Ovaj dokument opisuje osnovne principe VLAN tehnologije, IEEE 802.1Q protokol, glavne vrste
VLAN-ova, vezu s IEEE 802.1P protokolom te glavne prednosti i nedostatke koritenja VLAN-ova.
Revizija v1.1
CCERT-PUBDOC-2006-03-153
Stranica 4 / 13
2. VLAN tehnologija
Lokale raunalne mree (eng. Local Area Networks LANs) su prvotno organizirane kao mree
raunala locirane fiziki na istoj poziciji. Dananji LAN-ovi su definirani kao jedna logika domena
razailjanja (eng. single broadcast domain). To znai da ukoliko korisnik razailje informacije na
svom LAN-u, informacije e biti poslane svim raunalima na tom LAN-u. Paketi koji su poslani svim
raunalima u LAN-u nee se proiriti na ostale LAN-ove zahvaljujui preklopnicima (eng. switch)
koji odvajaju LAN-ove.
Da bi se otklonili negativni uinci razailjanja velikih koliina paketa unutar LAN-ova, u upotrebu je
uveden koncept virtualnih LAN-ova. Virtualni LAN-ovi nude metodu segmentiranja fizike mree na
viestruke domene razailjanja. VLAN-ovi predstavljaju logiku segmentaciju fizikih mrea koja se
moe dinamiki mijenjati i nije ovisna o fizikoj topologiji. Sastoje se od vorova i raunala koji su
spojeni u jednu LAN domenu razailjanja grupiranu po funkciji (npr. raunovodstvo, uprava, projekti,
gosti, ), koji meusobno komuniciraju bez obzira na fiziku lokaciju korisnika.
Podloga za ostvarivanje VLAN mrea je preklapanje veza i tzv. ravna (eng. flat) mrena arhitektura, u
kojoj ne postoji fizika segmentacija mree ve se sve podjele provode logiki te se stoga lako
mijenjaju prema potrebi.
Revizija v1.1
CCERT-PUBDOC-2006-03-153
Stranica 5 / 13
2.1.
Revizija v1.1
CCERT-PUBDOC-2006-03-153
Stranica 6 / 13
Na prethodnoj slici vidljiva je struktura Ethernet II i IEEE 802.3 okvira koja se sastoji od sljedeih
elemenata:
Preambula (eng. preambule) sastoji se od sedam okteta kod IEEE 802.3 okvira, tj od osam
okteta kod Ethernet II okvira. Svaki oktet sadri isti slijed bita: 10101010. Jedino osmi oktet
kod Ethernet II okvira sadri zadnji bit postavljen na 1 10101011 kako bi oznaio kraj
sinkronizacijskog dijela. Preambula je namijenjena sinkronizaciji na razini bita. Prijemnik
koristi ovaj slijed jedinica i nula kako bi detektirao novi poslani okvir. Na taj se nain postie
usklaenost takta izmeu predajnika i prijemnika. Preambula ima znaenje samo na fizikom
sloju (pri slanju okvira se kreira na fizikom sloju, a kod prijema fiziki sloj ju ukida).
Oznaka poetka okvira (eng. Start Frame Delimiter SFD) definiran unutar IEEE 802.3
standarda, a sastoji se od jednog okteta i koristi se samo za odreivanje poetka okvira
(sinkronizacija na razini okvira). Taj oktet jednak je osmom oktetu preambule Ethernet II
okvira (10101011) te stoga Ethernet II i IEEE 802.3 imaju razliite nazive, ali isti zapis za
prvih osam okteta.
Polje odredine adrese (eng. Destination Address DA) - sastoji se od est okteta i odreuje
MAC adresu krajnjeg ureaja kojem se dotini okvir alje.
Polje izvorine adrese (eng. Source Address SA) - sastoji se od est okteta i odreuje MAC
(Medium Access Control) adresu krajnjeg ureaja koji alje taj okvir.
Polje IEEE 802.3 standarda L (eng. Length) odreuje duljinu korisnikog polja (na slici
oznaeno kao LLC PDU). Maksimalna dozvoljena duljina korisnikog polja iznosi 1500
okteta.
Za razliku od IEEE 802.3 okvira, na mjestu polja L u Ethernet II okvirima nalazi se polje ET
(eng. EtherType). To polje odreuje protokol mrenog sloja iji se podaci pakiraju u
korisniko polje Ethernet okvira (npr. prilikom slanja IP datagrama Ethernet-om, sadraj
polja ET je x'0800). S obzirom da je osnovna ideja bila da se istim fizikim LAN-om zajedno
mogu prenositi Ethernet II i IEEE 802.3 okviri, sadraj polja ET poprima iznose koji su vei
od najvee dozvoljene duljine korisnikog polja. Istovremeno, zbog toga to je trajanje
fiksnog vremenskog odsjeka jednako trajanju 512 bita, najmanja dozvoljena duljina
Ethernet paketa iznosi 64 okteta.
Ako nema dovoljno korisnikih okteta za popunjavanje korisnikog polja, koristi se polje za
popunjavanje (eng. Padding PAD). Duljina polja PAD kree se u rasponu od 0 do 46
okteta.
Na kraju okvira nalazi se polje nazvano slijed za provjeru ispravnosti okvira (eng. Frame
Check Sequence FCS). Sadraj tog polja kreira se u predajniku pomou metode ciklikog
kodiranja (eng. Cyclic Redundancy Check CRC). U prijemu se istom metodom na MAC
podsloju, namijenjenog upravljanju pristupa prijenosnom mediju, na temelju primljenog
okvira proraunava slijed od etiri okteta koji se zatim usporeuje s primljenim FCS-om.
Ako je podudarnost potpuna, to je znak da je primljeni okvir ispravan (iako to ne mora biti
potpuno tono jer postoji mogunost da CRC ne otkrije neke viestruke pogreke). Ako
otkrije da je neki okvir neispravan, MAC podsloj ga odbacuje. U LAN-ovima se ponovno
slanje (retransmisija) okvira primljenih s pogrekom implementira najee na viim
protokolnim slojevima (npr. na transportnom sloju), a rjee na podsloju upravljanja logikim
linkom (eng. Logical Link Control LLC), i to je opcija koju po potrebi odabire korisnik.
Dakle, ako transportni sloj ili podsloj LLC u prijemnom entitetu krajnjeg ureaja otkrije da
neki okvir nedostaje, tada ravnopravnom protokolnom sloju, odnosno podsloju u predajniku
na drugom kraju linka alje zahtjev za retransmisijom okvira.
IEEE 802.1Q preporuka donosi standardnu metodu oznaavanja MAC i Ethernet okvira s VLAN
pripadajuom informacijom o lanstvu. U standardni okvir, izmeu SA i L/ET polja, dodaju se 4
okteta kao to je vidljivo na sljedeoj slici.
Revizija v1.1
CCERT-PUBDOC-2006-03-153
Stranica 7 / 13
Oznaku VLAN-a ine etiri okteta ugraena u tradicionalni okvir koji poveavaju maksimalnu duljinu
okvira s 1518 na 1522 okteta: polje TPID (eng. Tag Protocol ID) i upravljako polje (eng. Tag
Control Information), svako duljine dva okteta. U polje TPID upisuje se heksadekadski broj
vrijednosti 8100 koji oznaava da se radio o IEE 802.1Q paketu.. Prva tri bita upravljakog polja
namijenjena su dodjeli prioriteta prometnim tokovima u LAN-u, definiranoj preporukom IEEE
802.1P. Nadalje, ako je bit CFI (eng. Canonical Format Indicator) jednak jedinici, mogue je dodatno
poveanje duljine MAC okvira za 2 okteta koji slijede odmah iza polja L/ET. Ta dva okteta ine polje
E-RIF (eng. Extra Embeded Routing Information), koje pokazuje da je okvir promijenjen iz Token
Ring/FDDI formata u Ethernet format. Sama oznaka VLAN-a, duljine 12 bita, omoguuje
jednoznano oznaavanje virtualnih LAN-ova.
Od 4096 raspoloivih VLAN ID-a (od 0 do 4095), neki su identifikatori rezervirani. ID koji je jednak
nuli (tzv. null VLAN ID) u oznaenom okviru signalizira da niti jedan VLAN ID nije pridijeljen
nekom VLAN-u. VLAN ID koji je jednak 4095 takoer je rezerviran za posebne namjene. Dakle,
VLAN-ovima je mogue dodijeliti VLAN ID u rasponu od 1 do 4094.
Oznaavanje okvira ne mijenja sadraj polja ET, odnosno polja duljine LLC PDU-a. Prilikom svakog
dodavanja ili skidanja oznake potrebno je ponovno proraunati vrijednost polja FCS.
2.2.
Vrste VLAN-ova
Pridjeljivanje raunala odnosno korisnika VLAN-ovima moe se izvesti na nekoliko naina koji su
opisani u nastavku ovog poglavlja.
2.2.1.
VLAN-ovi bazirani na prikljucima preklopnika (eng. port based), tzv. statiki ili Layer 1 VLAN-ovi,
obino se koriste u organizacijama kako bi omoguili smanjivanje prometa razailjanja te za
poveanje sigurnost raunalne mree. Pripadnost pojedinog raunala odreenom VLAN-u odreena je
dodjelom prikljuka preklopnika, na koji je to raunalo spojeno, tom definiranom VLAN-u. Time,
ureaj postaje lan odreenog VLAN-a na osnovu pripadnosti prikljuka na preklopniku tom
definiranom VLAN-u.
Implementacija VLAN-ova baziranih na prikljucima preklopnika je relativno jednostavna poto nije
potrebna implementacija nikakvog protokola da bi se krajnji ureaj smjestio u odgovarajui VLAN.
Tijekom svog rada, krajnji ureaji ne znaju za postojanje VLAN-a, a grupa mrenih korisnika
dodijeljena jednom VLAN-u formira zasebnu domenu razailjanja koja je odvojena od ostalih VLANova konfiguriranih na mrei. Paketi se prosljeuju samo izmeu prikljuaka preklopnika koji prenose
promet za konkretni VLAN. Promet razailjanja izmeu pojedinih VLAN-ova je eliminiran na
preklopnicima (osim ako se ne intervenira koritenjem Layer 3 ureaja) i irina propusnog sloja je
sauvana tako to se doputa preplavljivanje paketa na samo odreene prikljuke preklopnika.
Revizija v1.1
CCERT-PUBDOC-2006-03-153
Stranica 8 / 13
VLAN ID
1
2
3
4
5
6
7
8
1
1
2
3
4
3
4
1
2.2.2.
Mreni promet se moe razdvajati u pojedine VLAN-ove na temelju protokola koji se koriste. Time
pojedini protokoli bivaju smjeteni u definirani VLAN. Preklopnici pri tome koriste liste tipova
protokola kako bi dodjeljivali korisnike u definirane VLAN-ove.
Ovo je jedan vrlo fleksibilan nain povezivanja koji se bazira na programskoj konfiguraciji raunala.
Promjenom konfiguracije i koritenih protokola korisnik sam mijenja pripadnost VLAN mrei. U
nekim je okolnostima ova osobina poeljna zbog svoje jednostavnosti, ali negdje moe biti i
nepoeljna zbog sigurnosnih razloga.
Protokol
VLAN ID
IP
PBX
VoIP
1
2
3
2.2.3.
Kod VLAN-ova baziranih na MAC adresama mrenih kartica, tzv. dinamiki ili Layer 2 VLAN-ovi,
preklopnici se konfiguriraju s pristupnim listama (eng. access lists) koje povezuju individualne MAC
adrese krajnjih ureaja s definiranim VLAN-ovima. Time je pripadnost odreenom VLAN-u odreena
MAC adresom krajnjeg ureaja. Kada se krajnji ureaj spoji na preklopnik, preklopnik mora
pregledati bazu kako bi krajnji ureaj smjestio u odgovarajui VLAN. Administrator mora u tu bazu
unijeti MAC adrese i VLAN-ove u koje te MAC adrese treba smjestiti. Budui da su MAC adrese dio
mrene kartice, kada se ureaj premjesti na neku drugu lokaciju nije potrebna nikakva nova
konfiguracija da bi korisnik ostao na istom VLAN-u. Ovakav nain daje veu fleksibilnost.
MAC adresa
VLAN ID
080007A92BFC
090007A9B2EB
09104AB9E2A4
006008C499AA
08000935C99D
009027A79DDA
1
4
4
2
4
3
Revizija v1.1
CCERT-PUBDOC-2006-03-153
Stranica 9 / 13
2.2.4.
Najfleksibilniji nain povezivanja, ali ga podrava mali broj opreme. Pripadnost VLAN mrei je
definirana kroz identifikaciju korisnika, aplikacije koje korisnik trenutno upotrebljava i sl. Potrebno je
izgraditi centraliziranu bazu podataka o korisnicima i njihovim pravima pristupa, to je znatan posao
pri izgradnji mree, ali znatno olakava kasnije odravanje i nadzor.
2.2.5.
2.3.
3.1.1.
Revizija v1.1
CCERT-PUBDOC-2006-03-153
Stranica 10 / 13
3.1.2.
Uporabom virtualnih LAN-ova mrea s preklapanjem se logiki segmentira (dijeli) prema nekoj
funkciji: organizacijskoj strukturi, radu na projektu ili prema tome koju aplikaciju neki korisnik rabi, a
ne prema fizikoj odnosno zemljopisnoj lokaciji. Tako VLAN-ovi pruaju jednostavniji, fleksibilniji i
jeftiniji nain administriranja mrea u okolinama koje se konstantno i uestalo mijenjaju. Takoer,
VLAN-ovi kod administriranja i odravanja velikih mrea doputaju centraliziranu konfiguraciju
krajnjih ureaja koji su fiziki dislocirani jedni od drugih.
3.1.3.
3.1.4.
VLAN-ovi promet razailjanja (eng. broadcast) zadravaju samo unutar sebe. Iako na jedan
preklopnik moe biti spojeno vie krajnjih ureaja, ako oni ne pripadaju istom VLAN-u, pakete koje
jedno od raunala poalje nee dobiti sva ostala raunala spojena na isti preklopnik, ve samo ona
koja se nalaze u istom VLAN-u.
Raunala koja su spojena na jedan preklopnik, a pripadaju razliitim VLAN-ovima meusobno ne
mogu komunicirati, osim ako je to dozvoljeno. Da bi paketi mogli prolaziti izmeu razliitih VLANova potrebno je imati L3 preklopnik ili usmjeriva koji e znati usmjeravati pakete s jedne mree na
drugu.
3.1.5.
Poto su u VLAN-ovima svi korisnici na jednoj podmrei, ako se jedan od njih zarazi virusom ili
nekim drugim malicioznim programom postoji velika mogunost da se i ostali korisnici tog VLAN-a
isto zaraze. Ali u mreama gdje nisu implementirani VLAN-ovi svi korisnici na mrei mogu biti
zaraeni malicioznim kodom, dok je kod mrea izvedenih pomou VLAN-ova prijetnja ograniena
samo na dotini VLAN.
3.1.6.
3.1.7.
IEEE 802.1Q posjeduje mogunost rada u tandemu s IEEE 802.1P standardom koji omoguava
prioritiziranje mrenog prometa. Time je mogue poveati kvalitetu usluge prijenosa mrenog
prometa. Svaki put kad se unutar preklopnika spremnici koji uvaju primljene mrene pakete prepune,
preklopnik moe na temelju prioriteta koji su dodijeljeni pojedinim mrenim paketima, odrediti koje
pakete treba poeti prvo uklanjati. Takvim nainom rada mreni promet vieg prioriteta ima veu
mogunost dolaska na cilj.
Revizija v1.1
CCERT-PUBDOC-2006-03-153
Stranica 11 / 13
3.2.
3.2.1.
Raunala koja se nalaze u kreiranim VLAN-ovima meusobno nisu vidljiva te ukoliko se eli
omoguiti meusobna komunikacija, potrebno je koristiti usmjeriva. Ukoliko je potrebno da
usmjeriva preusmjerava pakete iz jednog VLAN-a u drugi, mreno suelje usmjerivaa treba
podijeliti na onoliko podsuelja koliko postoji VLAN-ova. Svakom od tih virtualnih suelja se
dodjeljuje IP adresa iz raspona pojedinog VLAN-a i tu je ujedno adresa predefiniranog izlaza (eng.
default gateway) za taj VLAN. Osim adrese, na podsuelju je potrebno definirati kojem VLAN-u
pripada te koji trunking protokol podrava.
3.2.2.
Kompleksnost VLAN-ova
3.2.3.
Ukoliko se usmjerivai koriste za usmjeravanje prometa izmeu razliitih VLAN-ova tada se moe
pojaviti problem propusnosti usmjerivaa. Kod velikih mrea koje imaju mnogo VLAN-ova nije
dobro da se za usmjeravanje koristi jedan usmjeriva zbog nemogunosti obrade velikih koliina
paketa.
3.2.4.
Ukoliko lokalni korisnici imaju mogunost pristupa preklopniku koji odreuje pripadnost pojedinim
VLAN-ovima, tada su oni u mogunosti neovlateno se ukljuiti u VLAN u koji ne pripadaju. Ovaj
sluaj mogu je kod VLAN-ova baziranih na prikljucima preklopnika koji su ujedno i najei oblik,
a rjeenje za to je koritenje nekog drugog sustava VLAN-ova kao to je npr. sustav VLAN-ova
baziranih na MAC adresama.
Revizija v1.1
CCERT-PUBDOC-2006-03-153
Stranica 12 / 13
4. Zakljuak
Koritenje VLAN-ova u raunalnim mreama posjeduje brojne prednosti koje se oituju u prvom redu
u mogunosti kontrole i smanjena negativnih utjecaja razailjanja. Razdvajanjem mree na manje
dijelove, VLAN-ove, poveava se koliina raspoloivog propusnog linka (eng. bandwith).
Administratori koritenjem VLAN-ova mogu na jednostavan nain grupirati ureaje u logike grupe,
a da pri tome pojedina raunala koja spadaju u istu grupu ne moraju biti na istoj fizikoj lokaciji.
Grupiranje ureaja u VLAN-ova ne mora se nuno obavljati na temelju pripadnosti prikljuaka
preklopnika pojedinim VLAN-ovima to je ujedno i najei sluaj. Administratori mogu VLAN-ove
formirati i na drugim principima (IP adrese, MAC adrese, protokoli,). Ipak, za implementaciju svih
oblika VLAN-ova potrebno je posjedovati opremu koja e to podravati.
Iako se koritenjem VLAN-ova smanjuju trokovi na opremu koja bi se trebala koristiti kako bi se
mrea segmentirala u eljene podmree, za povezivanje razliitih VLAN-ova potrebno je koristiti
Layer 3 ureaje to poveava trokove i promet preko tih ureaja.
5. Reference
[1] Specifikacija IEEE 802.1P Standard for Local and Metropolitan Area Networks - Supplement to
Media Access Control (MAC) Bridges: Traffic Class Expediting and Dynamic Multicast Filtering
[2] Specifikacija IEEE 802.1Q Standard for Virtual Bridged Local Area Networks,
http://standards.ieee.org/getieee802/download/802.1Q-1998.pdf : IEEE 802.1Q Standard
[3] VLAN: Virtual Local Area Network and IEEE 802.1Q,
http://www.javvin.com/protocolVLAN.html
[4] Prioritization of Network Traffic, http://www.linktionary.com/p/prioritization.html
[5] 802.1Q VLANs for better bandwidth,
http://www.networkworld.com/news/tech/2001/0305tech.html
Revizija v1.1
CCERT-PUBDOC-2006-03-153
Stranica 13 / 13