VLAN

VLAN (zkratka pro Virtuální LAN) je výraz pro jednu logickou síť (jíž odpovídá jedna podsíť z pohledu síťové vrstvy a jedna broadcastová doména) po zavedení tohoto modelu (rozšíření) LAN (jedna LAN tedy má několik VLAN). Smysl koncepce VLAN lze vhodně nastínit jako zefektivnění využití aktivních intermediárních prvků sítě (v tomto případě přepínačů, ovšem také směrovačů, kde jde o počet fyzických rozhraní), ale též jejích prvků pasivních (kabeláže), popř. usnadnění správy sítě (přeřazení do jiné podsítě jen softwarovým konfiguračním zásahem), kdy v prostředí s prokládaným výskytem uživatelů různého druhu (pro ilustraci studentská kolej se studenty různých oborů či fakult) lze agregovat koncová (uživatelská) zařízení na jednu fyzickou infrastrukturu – není tudíž nutné vést fyzický spoj (kabel) za každou skupinu až ke směrovačům a každé skupině přidělit samostatné přepínače, nýbrž skupiny jsou logicky označeny v prodloužených (tzv. „otaggovaných“) rámcích. Termín se používá především v souvislosti s „drátovými“ sítěmi (nikoli WLAN), i když přímo existují dokonce učební osnovy pro jejich nasazení v bezdrátových sítích.^[1] VLAN nejsou „viditelné“ z pohledu uživatelů sítě (kupř. operační systémy Windows pro pracovní stanice s nimi tradičně vůbec nepočítají).^[2]

Klíčové je označování rámců na tzv. trunk linkách, což jsou fyzické spoje mezi prvky znalé VLAN koncepce pro současnou konektivitu více než jedné VLAN. Nejznámější a nejpoužívanější metodou je IEEE 802.1Q, která běžný ethernetový rámec rozšíří o 4 oktety, v nichž je na identifikaci konkrétní VLAN vyhrazeno 12 bitů.^[3] Alternativou může být nyní již ustupující proprietární protokol Inter-Switch Link (ISL) firmy Cisco, jenž k základnímu rámci přidává 26bytové záhlaví a 4bytové zápatí.^[4] Metoda IEEE 802.1Q je navržena tak, aby „otaggované“ rámce mohly projít i na VLAN koncepci nepřipravenou L2 infrastrukturou – pro označení IEEE 802.1Q rámce je použito protokolové pole.

Obvyklý stav na VLAN používajícím přepínači je, že vybrané porty (z pohledu architektury malé procento) pracují v režimu trunk a ostatní jsou pevně zařazeny do některé konkrétní VLAN, jež se identifikují číslem, pomocně jménem^[5]; pevně velice často ve smyslu statické konfigurace zařízení, mimo reálnou praxi se zařazení může „pevně“ nastavit při každém zapojení zařízení do portu (připojení kabelu), pevně tedy pro určitý následující časový úsek; v tomto hraje roli termín VLAN Management Policy Server (VMPS).

Nativní VLAN je pojem z IEEE 802.1Q. Jedná se o tu (jedinou) konkrétní VLAN, jejíž rámce na trunk linkách nejsou „taggovány“.^[6] Smyslem může být tzv. management VLAN, do níž jsou zařazeny IP adresy aktivních síťových (zejména L2) prvků pro vzdálenou administraci, jde však o potenciální zranitelnost. V ISL jsou označeny rámce všech VLAN.

Podle portu

Port přepínače je ručně a napevno zařazen (nakonfigurován) do určité VLAN. Jedná se o nejrychlejší a nejpoužívanější řešení. Není třeba nic vyhodnocovat pro zařazení do VLAN. Definice zařazení do VLAN je lokální na každém přepínači. V terminologii firmy Cisco se takový port nazývá přístupový (angl. access). Dosažené technologie umožňují tento typ zařazení realizovat bez nezanedbatelné zátěže či zpomalení.^[7]

Podle MAC adresy

Rámce (port) se zařadí do VLAN podle zdrojové MAC adresy připojeného zařízení. Je tedy nezbytné spravovat tabulku se seznamem MAC adres pro každé zařízení spolu s VLAN. Výhodou je, že se jedná o dynamické zařazení, takže pokud přepojíme zařízení do jiného portu, automaticky se zařadí do správné VLAN. Přepínač musí vyhledávat v tabulce MAC adres. Jedná se o potenciální bezpečnostní riziko.^[8]

Podle protokolu

Zařazení do VLAN je provedeno podle informace ze síťové vrstvy, tj. podle L3 protokolu přenášeného paketu (např. oddělení IP a AppleTalk). V praxi není příliš rozšířené. Klientské zařízení musí mít napevno definovanou L3 adresu a přepínač (L2 zařízení) musí vyhodnocovat data z L3; znamená to zátěž a zpomalení.

Podle L3 adresy

Číslo VLAN je odvozeno od adresy síťové vrstvy. Taktéž nerozšířeno, rovněž nevýhoda zátěže a zpomalení.

Podle autentizace

Klient se pokusí autentizovat pomocí protokolu IEEE 802.1X a v případě úspěchu autentizační autorita (RADIUS server) vydá číslo VLAN; jinou možností je nepotvrzeného uživatele zařadit do neautorizované VLAN, tzv. hostovské. IEEE 802.1X je primárně bezpečnostní metoda, která řídí přístup do sítě (NAC), ale po rozšíření slouží i pro VLAN. Je to metoda velmi univerzální; nezáleží na místě zapojení, mapování je uloženo mimo aktivní síťové prvky.

Co se týče konektivity L2 infrastruktury s koncepcí VLAN ke směrovačům, efektivní je tzv. řešení router-on-a-stick, kde jsou s koncepcí VLAN obeznámeny i směrovače a k těmto vedou trunk linky. Jinak je možno ke směrovači vést jeden spoj na jednu VLAN.^[9]

Literatura firmy Cisco, jež je zastřešena samostatným nakladatelstvím (Cisco Press), rozlišuje VLAN podle charakteru provozu na lokální a „end-to-end“. V „end-to-end“ VLAN je 80 % provozu místního a 20 % do vnějšího světa, zatímco v lokální VLAN je poměr obrácený; to však není jediným (a nekompromisním) posuzovacím kritériem, jiným je geografická prezence VLAN napříč sítí – odtud názvy. Cisco doporučuje jen lokální VLAN, není-li pro „end-to-end“ VLAN dobrý důvod.^[10]

Privátní VLAN je (pro jednoduchost) VLAN, kde může každé klientské zařízení (port VLAN znalého přepínače) komunikovat jen s trunk linkami, a tedy páteří sítě, nikoli však s jinými klienty. Jde o rozšíření pro zabepečení, které částečně popírá pojetí IP (není možno komunikovat se zařízením v téže IP podsíti).^[11]

• HUCABY, David. CCNP SWITCH 642-813, Official Certification Guide. USA: Cisco Press, 2011. 504 s. ISBN 1-58720-243-3. 

• IEEE 802.1aq (Shortest Path Bridging)
• VLAN Management Policy Server (VMPS)
• VLAN Trunking Protocol

• Obrázky, zvuky či videa k tématu VLAN na Wikimedia Commons
• VLAN - Virtual Local Area Network – podrobný český popis VLAN technologie