Inspiration och nyheter

Vi håller dig uppdaterad på det senaste inom nätverk och säkerhet.

VLAN – Så funkar det

Ett virtuellt lokalt nätverk – VLAN – är en logisk segmentering av ett fysiskt lokalt nätverk som skapar separata sändningsdomäner för olika typer av trafik.

Att använda sig av VLAN är vanligt förekommande när man vill segmentera olika grupper av användare eller enheter, men fortfarande behöver nyttja samma fysiska infrastruktur.

av Fredrik Sandberg

Vad är ett virtuellt lokalt nätverk?

Ett virtuellt lokalt nätverk är en logisk segmentering av det fysiska lokala nätverket.  Denna separation skapar distinkta sändningsdomäner för olika typer av trafik, som data-, röst-, video- eller trådlös trafik.

Genom att separera dessa typer av trafik i olika sändningsdomäner kan varje typ av trafik hanteras separat och mer effektivt när det gäller bandbreddsallokering och säkerhetspolicyer. Det gör det också möjligt att gruppera användare baserat på deras respektive roller inom en organisation.  Du kan till exempel skapa separata virtuellt lokalt nätverk för ekonomipersonal och marknadsföringspersonal så att de bara har tillgång till de resurser de behöver för att utföra sina jobb.

Det är relativt ovanligt idag att man separerar användare på denna nivå för att begränsa åtkomst, de begränsningarna utgörs oftare av rollbaserad access i de system som man skall ha åtkomst till, då dessa tenderar att vara gemensamma system för samtliga användare.

Däremot kan man vilja separera olika typer av användare för att lättare kunna avgöra i ovanliggande system vart trafiken kommer ifrån, då denna separation också medför att trafiken från de olika användargrupperna kommer från olika subnät. Det absolut kanske vanligaste fallet där man använder sig av VLAN separation för begränsning, är när man har trådlösa gästnät där man inte vill tillåta någon form av access till interna system.

Det kan konfigureras för att sträcka sig över flera switchar i samma LAN. Detta tillåter enheter på en switch att komma åt resurser på en annan switch utan att behöva gå via en router.

Trafik mellan VLAN

Inom ett VLAN finns inga begränsningar i en switch när det kommer till kommunikation. Alla enheter inom samma VLAN, oavsett om det är i samma switch eller i olika switchar, kan kommunicera med varandra.

Men en enhet som befinner sig på ett virtuellt lokalt nätverk kan inte direkt kommunicera med en enhet på ett annat VLAN. För att möjliggöra den typen av kommunikation krävs att trafiken passerar en router. Denna knutpunkt ger oss som nätverksadministratörer en möjlighet att kontrollera eller begränsa trafiken.

Vill man ha granulär kontroll på trafikflödet så använder man sig oftast av en brandvägg istället för en traditionell router, där man enkelt kan skapa ett regelverk för vilken trafik, om någon, som skall tillåtas flöda mellan två VLAN.

I många fall används också en så kallad L3 switch istället för en traditionell router, vilket ger en fördel när det kommer till hastighet, något som annars kan vara en begränsande faktor när man använder sig av en router eller en brandvägg.

Det finns vissa möjligheter både i en router och i en L3 switch att begränsa trafikflödet, men eftersom ingen av dessa typer av enhet håller reda på sessioner, så blir detta snabbt komplext och oöverskådligt, då man måste skriva regelverk som antingen tillåter eller blockerar trafiken i bägge riktningar, alltså både för förfrågan och för svaret.

Taggat och otaggat

Något som man ofta hör nämnas, är otaggade och taggade VLAN. För att reda ut de olika typerna behöver man först förstå hur ett ethernet paket ser ut med och utan VLAN tagg.

I den standard som vi normalt sett använder och som kallas för IEEE 802.1q, så ser ett otaggat respektive taggat paket ut enligt nedan.

Ett paket som är taggat med en VLAN tagg innehåller alltså 4 bytes extra data.

Det är detta data som bland annat definierar vilket VLAN ID som paketet ursprungligen kom ifrån. Det finns även ett prioritetsfält som används av standarden IEEE 802.1p för att prioritera trafik inom ett LAN.

Det är viktigt att man använder av samma standard för VLAN taggning, då det finns ett par äldre standarder som inte är kompatibla. Men idag är IEEE 802.1q den absolut dominerande standarden för detta.

Datorer förstår inte

Normalt sett förstår inte en vanlig enhet, som exempelvis en dator, vad en VLAN tagg är och om en sådan enhet får paket skickade till sig som innehåller en VLAN tagg, så kommer dessa paket att kastas.

Därför skickas i stort sett alltid trafik till och från dessa enheter som otaggad trafik.

Den switchport som ansluter en sådan enhet skall då konfigureras som otaggad medlem i det VLAN:et som man vill att den enheten skall befinna sig på.

Flera VLAN på samma port

En enskild switchport kan dock bara vara konfigurerad som otaggad medlem i ett enda VLAN, så hur gör vi då om vi vill skicka över flera olika VLAN på en och samma port? Exempelvis en port som ansluter till en annan switch, eller kanske en accesspunkt som sänder ut flera olika trådlösa nät (SSID) som vi vill koppla mot olika VLAN?

Det är då som vi använder oss av VLAN taggen. En switchport kan samtidigt vara medlem i ett otaggat VLAN och flera taggade.

Det är switchen som internt håller reda på vilket virtuellt lokalt nätverk som trafiken kom ifrån, och om den skall skickas ut på en port som är taggad medlem i detta VLAN, så lägger switchen på denna tagg på den trafiken.

Skulle destinationsporten, alltså den switchport som trafiken behöver skickas ut på för att nå sin destination, inte vara medlem i det VLAN som trafiken kom ifrån, kommer switchen att kasta paketet. Samma sak gäller för mottagande switch eller enhet, något som kräver att man i sitt nätverk håller koll på alla sina virtuella lokala nätverk taggar så att alla switchportar som ansluter till varandra är konfigurerade på samma sätt.

Ett par specialfall där enheter ansluts till portar med taggade VLAN är bland annat trådlösa accesspunkter, där vi ofta vill koppla specifika trådlösa nät (SSID) mot ett specifikt VLAN, eller VMWare servrar som också kan hantera taggar för att kunna koppla specifika VLAN ID mot olika portgrupper internt i servern.

 

Koppling subnät

VLAN är en teknik som helt och hållet agerar på nivå 2 i OSI modellen.

Så vad är då kopplingen mellan virtuellt lokalt nätverk och IP subnät? Allt som oftast så vill man att de enheter som är anslutna till ett specifikt VLAN ska kunna kommunicera någonstans och då krävs det att den trafiken passerar en router, oavsett om trafiken skall skickas internt eller externt. För att kunna routa mellan två nät krävs att dessa nät har olika subnät, eftersom när man routar IP trafik opererar i nivå 3 i OSI modellen.

Det vanligaste scenariot idag är att man routar denna trafik i en brandvägg som sitter ansluten till nätverket på en port med flera, eller samtliga VLAN taggade. I brandväggen sätter man sedan upp IP interface för var och ett av VLAN:en och får på så sätt full kontroll på vilken trafik som skall tillåtas till respektive destination.

Om man inte har något behov av att ett specifikt VLAN ska kunna kommunicera med enheter utanför det, så finns inte behovet av en router eller en brandvägg, utan då kan man använda sig av VLAN för att helt isolera de enheterna.

Dags att säga hej!

Som kund hos QLS får du snabb och personlig service på nolltid. Hör av dig så hjälper vi dig och din organisation till en nätverks- och säkerhetslösning i världsklass.

 

QLS quality solutions AB

Address: Slakthusgatan 6, 415 02 Göteborg
Tel: +46 (31) 320 45 82
Email: [email protected]

Kontakt