Ti5316800 LÄHIVERKOT -ERIKOISTYÖKURSSI

1. Ti5316800 LÄHIVERKOT -ERIKOISTYÖKURSSI • Seminaari: VLAN • Asko Alhoniemi • Harri Laatikainen • 2005-2006

2. Sisältö • Johdanto VLAN:iin • VLAN:in eri kerrokset • Useita tapoja muodostaa VLAN • VLAN –kehys • Tekniikan mukanaan tuomat ongelmat • VLAN käytännössä • VLAN:in hallinta VASS:in avulla Ti5316800 Lähiverkot –Erikoistyökurssi 2006

3. VLAN:in käyttö • Jaetaan verkko loogisiin hallinta-alueisiin • Lähetyksessä paketteja vaihdetaan vain lähettäjän ja vastaanottajan välillä • VLAN sallii kytkettyjen laitteiden ottaa yhteyttä LAN -kytkimeen→ ryhmittely hallintostrategian mukaan, ei pelkästään fyysisen sijainnin perusteella • Jokainen VLAN on looginen verkko, joka voi kattaa useita verkossa olevia laitteita Ti5316800 Lähiverkot –Erikoistyökurssi 2006

4. Kytkin vs keskitin Kuva 1: Kytkin vs keskitin • Kytkin on ydinkomponentti VLAN-liikenteelle • Sen avulla tieto voidaan ohjata kulkemaan vain halutuille osapuolille • Pakettien suodatus • Pakettikohtainen päätöksen teko • Verkon hallinnoijat määrittelevät säännöt, joiden perusteella paketteja siirretään • Kuvassa on esitetty kaistan käyttö eri osapuolten välillä riippuen tekniikasta Ti5316800 Lähiverkot –Erikoistyökurssi 2006

5. VLAN -topologia Kuva 2: VLAN -topologia Ti5316800 Lähiverkot –Erikoistyökurssi 2006

6. VLAN -topologia • Kytkimet toimivat useasti linkkitasolla • Linkkitason päälle protokolla, joka mahdollistaa useamman kytkimen liittämisen toisiinsa • VLAN –näiden päälle: • 1. Verkon asetukset • 2. Niiden siirtäminen verkossa • 3. Liikenteen välittäminen • - Staattinen tai dynaaminen konfiguraatio Ti5316800 Lähiverkot –Erikoistyökurssi 2006

7. Spanning Tree protocol Kuva 3: Spanning Tree protocol Ti5316800 Lähiverkot –Erikoistyökurssi 2006

8. Spanning Tree protocol • Linkkikerroksella monta eri reittiä • Jotenkin on päätettävä, mitä reittiä käytetään • Mitä tapahtuu, jos näin ei toimita • Reitin valinta: • 1. Juurisilta • 2. Oma etäisyys juuresta → juuriportti • 3. ”Vaalit”, valitaan jokaiselle osalle näistä 1 portti Ti5316800 Lähiverkot –Erikoistyökurssi 2006

9. VLAN -multicast Internet Kuva 4: Multicast -lähetys Ti5316800 Lähiverkot –Erikoistyökurssi 2006

10. VLAN, muut menetelmät • Portti • Protokolla • Portti ja protokolla • MAC –osoite • Yhteyspyyntöjen perusteella Ti5316800 Lähiverkot –Erikoistyökurssi 2006

11. Kehykset • Prioriteetti • VID (VLAN Identifier) • Tag –tietoiset laitteet • Oppiminen tapahtuu liikennettä seuraamalla • Osoitetietokanta määrittää, miten toimitaan PRE SFD DA SA TCI P C VID T/L Payload FCS Kuva 5: 802.1Q standardin mukainen Ethernet -kehys Ti5316800 Lähiverkot –Erikoistyökurssi 2006

12. Kehyksen välittäminen • Portti vastaanottaa kaikki kehykset tai vain VID:llä merkityt • Kehyksen VLAN:in määrääminen joko VID:n perusteella tai tietokannan perusteella • Jos ei löydy ohjetta, kehys hylätään • Kehykset jonoon, prioriteetin toteuttamiseksi • Kehyksen muuntaminen tarvittaessa Ti5316800 Lähiverkot –Erikoistyökurssi 2006

13. VLAN:in edut • Käyttäjien siirtyminen verkon osasta toiseen on helpompaa • Fyysisen paikan muuttaminen • Verkon tietoliikenteen hallinta on helpompaa • Datan siirto, käyttäjien rajoittaminen • Verkon hallinta on helpompaa • Verkkoon liittyminen, uuden verkon luonti • Turvallisuus paranee • Autentisointi, verkon resurssien käytön kontrollointi Ti5316800 Lähiverkot –Erikoistyökurssi 2006

14. Ongelmia • Standardin mukainen multicast –ratkaisu vaatii laitteiston tuen • Tietyissä multicast –ratkaisuissa skaalautumisongelmia • Lisää konfiguroinnin tarvetta • Turhaa liikennettä, vaikka tavoite oli vähentää sitä Ti5316800 Lähiverkot –Erikoistyökurssi 2006

15. VASS • VASS (VLAN Administration Strategy Software) on VLAN:in käyttöön perustuva arkkitehtuurisuunnitelma • VLAN:in luominen, hallinta ja peruuttaminen • Koostuu erilaisista moduuleista, jotka kommunikoivat keskenään ja lukevat tietoliikennettä • VASS:in avulla voidaan paremmin ymmärtää VLAN:in käyttäminen kokonaisuutena Ti5316800 Lähiverkot –Erikoistyökurssi 2006

16. VASS:in arkkitehtuuri Kuva 6: VASS:in arkkitehtuuri • Saadaan VLAN:in kannalta oleelliset toiminnot jaettua moduuleihin → VLAN:in hallinnasta saadaan selkeämpi kuva • DVSM – Käsittelee verkkoon liittymispyynnöt ja uuden verkon luomispyynnöt ja niiden peruutukset, VLAN ID:n luonti • RRM – Jaettavien resurssien rekisteröinti, identiteetin tunnistus • VDRM – Hallinnoi asetuksia kytkimissä Ti5316800 Lähiverkot –Erikoistyökurssi 2006

17. VLAN:in käyttö VASS:in avulla Kuva 7: Kampus verkon rakenne • Kuva 7 kuvaa esimerkkiverkon rakennetta kampuksella • Muodostuu kolmesta loogisesta verkosta • Ryhmä A: VLAN 40 • Ryhmä B: VLAN 50 • Koko verkko: VLAN 10 B A B Ti5316800 Lähiverkot –Erikoistyökurssi 2006

18. Yhteenveto • VLAN huolehtii kolmesta tehtävästä: konfigurointi, konfiguroinnin välittäminen eteenpäin ja pakettien välittäminen konfiguraation perusteella. • Eri menetelmät VLAN:in muodostamiseen mahdollistavat monipuolisen valikoiman erilaisten määritysten luomiseen • Tekniikka alkaa olla tuettu ainakin perusominaisuuksiltaan useimmissa kytkimissä Ti5316800 Lähiverkot –Erikoistyökurssi 2006

19. Yhteenveto • VLAN mahdollistaa kohdistetun tietoliikenteen, jolloin kaista ei rasitu niin paljoa • Tietoturvan kannalta VLAN mahdollistaa käyttäjien autentisoinnin ja niiden määrän rajoittamisen → verkon resurssien käytön rajoittaminen • Uuden VLAN:in luonti, tai siihen liittyminen on helppoa, kuten esimerkeistä ilmenee Ti5316800 Lähiverkot –Erikoistyökurssi 2006