Blog Instituta za Matematiku i Informatiku

Studenti informatike PMF-a u Kragujevcu pišu o aktuelnim IT temama

Umrežavanje 

VLAN-ovi i šta s njima?

Dušan Stevanović 0 Komentara

U ovom članku ćemo objasniti šta je i čemu služi VLAN i pokazati na jednostavnom primeru kako se konfiguriše Inter VLAN rutiranje u alatu GNS3.

Zašto VLAN?

VLAN (Virtual Local Area Network) omogućava logičku podelu mreže na grupe, izolujući tako mrežni saobraćaj unutar njih. Ovo deljenje se vrši na uređaju koji radi na nivou sloja veze podataka (Layer 2), tj. sviču (engl. switch). Većina savremenih institucija poseduje i održava veliki broj računara za svoje zaposlene u prostorijama kompanije. Upotreba VLAN-a olakšava organizaciju u ovakvim slučajevima. Uređaji mogu biti raspoređeni u više različitih prostorija, a upotreba VLAN-a omogućava njihovo grupisanje u više virtuelnih LAN-ova. Svrha VLAN-a je da se poboljša bezbednost, bolje upravlja mrežnim saobraćajem i olakša održavanje i skaliranje mreže.

Svrha VLAN-a je da se poboljša bezbednost, bolje upravlja mrežnim saobraćajem i olakša održavanje i skaliranje mreže.

Primer upotrebe

Najčešću primenu VLAN-a najbolje je pokazati na primeru. Na slici je dat raspored računara po kancelarijama unutar poslovnog prostora neke firme. Svaki računar pripada nekom od odeljenja te firme, ali su računari izmešani sa računarima iz drugih odeljenja. Svi su povezani na jedan svič i svi se nalaze u istom LAN-u. Na ovaj način mrežni saobraćaj je izmešan među odeljenjima i svako vidi svačiju poruku. Broadcast poruke koje šalje jedan računar šalju se na sve računare, time umanjujući i performanse mreže i bezbednost.

Organizacija mreže bez primene VLAN-a

Rešenje je razdvojiti mrežnu komunikaciju među računarima ova tri odeljenja. Jedan od načina da to omogućimo je obezbeđivanje dodatne mrežne opreme i fizičko premeštanje računara. Međutim, ovakav način zahteva ulaganje dodatnog novca u mrežnu opremu i bespotreban fizički napor. Zato konfigurisanje VLAN-a unutar jednog ovakvog okruženja pruža jeftinije, jednostavnije i bolje rešenje.

Organizacija mreže uz primenu VLAN-a

Konfigurisanje VLAN-a će omogućiti da računare odvojite u više logičkih virtuelnih domena, što će dalje omogućiti i da njihove broadcast poruke budu odvojene. Kreiranjem tri odvojena VLAN-a za svako od odeljenja izoluje se mrežni saobraćaj unutar njih. Računari će voditi odvojenu mrežnu komunikaciju unutar sopstvenog VLAN-a, što znači da će se broadcast poruke slati samo na računare iz istog odeljenja. Mrežna komunikacija teče odvojeno, i pored toga što su računari povezani na isti svič.

Šematksi prikaz portova na sviču u VLAN okruženju

Odvajanje uređaja u više VLAN-ova se postiže tako što se grupe portova na sviču dodele određenim VLAN-ovima, koje je prethodno potrebno kreirati na sviču. Za dati primer potrebno je kreirati tri VLAN-a, VLAN 10, VLAN 20 i VLAN 30 za svako od tri odeljenja. Računare koji pripadaju IT odeljenju povezujemo na VLAN 10 portove, računare koji pripadaju odeljenju marketinga na VLAN 20 i računare koji pripadaju odeljenju računovodstva na VLAN 30. Pristupni portovi pojedinačnih VLAN-ova nazivaju se access portovima, dok veza koja omogućava prolaz okvira više različitih VLAN-ova zovemo trunk.

Inter VLAN rutiranje u GNS3 orkuženju

Inter VLAN rutiranje je proces u kome omogućavamo različitim VLAN-ovima da međusobno komuniciraju, nezavisno od toga gde se nalaze (na istom sviču ili različitim svičevima). Ono se može postići uz pomoć rutera ili Layer-3 sviča. Kada je Inter VLAN rutiranje izvedeno uz pomoć rutera, onda se ono naziva još i Router on a stick.

Sada ćemo praktično videti kako se može konfigurisati Inter VLAN rutiranje na jednostavnom primeru u GNS3 alatu. Cilj je omogućiti da dva računara mogu međusobno da komuniciraju iako se nalaze u različitim VLAN-ovima, tj. da jedan računar može da pinguje drugi.

Za ovu vežbu u simulaciji su korišćeni: Cisco IOU L2 15.1g svič i Cisco c7200 ruter. GNS3 ne dolazi sa već podešenim Cisco uređajima (Cisco IOS image), niti ćemo mi ovde ulaziti u detalje oko njihovog podešavanja, jer se lako mogu naći i preuzeti sa interneta, već se fokusiramo na njihovu konfiguraciju.

Konfiguracija računara

Za početak je potrebno dodeliti IP adrese računarima koje smo dodali. Potrebno je obratiti pažnju da adrese koje dodeljujemo kao default gateway odgovaraju adresama na interfejsima na ruteru koje ćemo konfigurisati kasnije.

PC1> ip 100.0.0.2/24 100.0.0.1

PC1> show


NAME   IP/MASK              GATEWAY           MAC                LPORT  RHOST:PORT
PC1    100.0.0.2/24         100.0.0.1         00:50:79:66:68:00  10007  127.0.0.1:10008
       fe80::250:79ff:fe66:6800/64

PC1> save
PC2> ip 100.0.0.3/24 100.0.0.1

PC2> show

NAME   IP/MASK              GATEWAY           MAC                LPORT  RHOST:PORT
PC2    100.0.0.3/24         100.0.0.1         00:50:79:66:68:01  10009  127.0.0.1:10010
       fe80::250:79ff:fe66:6801/64

PC2> save
PC3> ip 200.0.0.2/24 200.0.0.1
PC3> show

NAME   IP/MASK              GATEWAY           MAC                LPORT  RHOST:PORT
PC3    200.0.0.2/24         200.0.0.1         00:50:79:66:68:02  10011  127.0.0.1:10012
       fe80::250:79ff:fe66:6802/64

PC3> save
PC4> ip 200.0.0.3/24 200.0.0.1

PC4> show

NAME   IP/MASK              GATEWAY           MAC                LPORT  RHOST:PORT
PC4    200.0.0.3/24         200.0.0.1         00:50:79:66:68:03  10013  127.0.0.1:10014
       fe80::250:79ff:fe66:6803/64

PC4> save

Konfiguracija sviča

Portovi na sviču na samom početku pripadaju podrazumevanom VLAN-u 1. Prvo je potrebno da kreiramo dva VLAN-a i dodelimo im imena: VLAN 100 IT i VLAN 200 Marketing.

Switch#enable
Switch#conf t

Switch(config)#vlan 100
Switch(config-vlan)#name IT
Switch(config-vlan)#exit

Switch(config)#vlan 200
Switch(config-vlan)#name Marketing
Switch(config-vlan)#exit

Sada kreirane VLAN-ove dodeljujemo portovima na sviču i konfigurišemo trunk konekciju između sviča i rutera. Trunk konekcija nam je neophodna jer omogućava da više različitih VLAN-ova komuniciraju putem jednog fizičkog mediuma. To se postiže pomoću IEEE 802.1q protokola (poznatijem kao dot1q).

Switch(config)#interface Ethernet 0/0
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config-if)#exit

Između sviča i računara se koristi accessveza i ona omogućava komunikaciju samo jednog VLAN-a kroz medium. Portovi na sviču, na koje su povezani računari, se konfigurišu kao access i dodeljuje im se VLAN.

Switch(config)#interface Ethernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 100
Switch(config-if)#exit

Switch(config)#interface Ethernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 100

Switch(config-if)#exit

Switch(config)#interface Ethernet 1/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 200
Switch(config-if)#exit

Switch(config)#interface Ethernet 1/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 200
Switch(config-if)#exit
Switch(config)#end
Switch#wr

Testiranje pre konfiguracije rutera

Ako pokušamo sada da pingujemo računar jednog VLAN-a sa računara drugog VLAN-a, pingovanje će proći bezuspešno. Trenutno je mrežna komunikacija moguća samo u sklopu istog VLAN-a. Odvajanjem računara u dva VLAN-a stvorili smo dve odvojene virtuelne mreže, između kojih ne postoji komunikacija, iako se oni nalaze na istom sviču. To ćemo i da testiramo u nastavku.

PC1> ping 100.0.0.3
84 bytes from 100.0.0.3 icmp_seq=1 ttl=64 time=0.752 ms
84 bytes from 100.0.0.3 icmp_seq=2 ttl=64 time=0.876 ms
84 bytes from 100.0.0.3 icmp_seq=3 ttl=64 time=0.978 ms
84 bytes from 100.0.0.3 icmp_seq=4 ttl=64 time=0.884 ms
84 bytes from 100.0.0.3 icmp_seq=5 ttl=64 time=0.908 ms

PC1> ping 200.0.0.2
host (100.0.0.1) not reachable

PC1> ping 200.0.0.3
host (100.0.0.1) not reachable

Vidimo da je sa računara moguće pingovanje računara PC2, dok računara PC3 i PC4 nije moguće. Kao i kod običnog LAN-a, da bi se odvijala mrežna komunikacija između dve mreže, neophodan je ruter. U nastavku ćemo pokazati kako konfigurisati ruter i omogućiti vezu između računara dva različita VLAN-a.

Konfiguracija rutera

Prva bitna stavka kod rutera je da aktiviramo odgovarajući interfejs komandom no shutdown (interfejsi su podrazumevano u shutdown stanju).

R1#conf t
R1(config)#interface fastEthernet 0/0
R1(config-if)#no shutdown
R1(config-if)#exit

Nakon toga, treba podeliti interfejs rutera na dva podinterfejsa (engl. sub-interface). Svaki podinterfes će igrati ulogu kao default gateway za svoj odgovarajući VLAN. Tip enkapsulacije dot1q se koristi za obeležavanje okvira (engl. frame tagging). U zaglavlje okvira (engl. frame header) dodaje se informaciju o pripadnosti određenom VLAN-u.

R1(config)#interface FastEthernet 0/0.100
R1(config-subif)#encapsulation dot1Q 100
R1(config-subif)#ip address 100.0.0.1 255.255.255.0
R1(config-subif)#exit

R1(config)#interface FastEthernet 0/0.200
R1(config-subif)#encapsulation dot1Q 200

R1(config-subif)#ip address 200.0.0.1 255.255.255.0
R1(config-subif)#end
R1#wr

Ovim blokom komandi smo završili konfiguraciju Inter VLAN rutiranja. Na nivou jednog sviča smo kreirali dve odvojene mreže između kojih može da se odvija mrežni saobraćaj. Paketi koji se šalju sa jednog na drugi računar će ići preko rutera.

Testiranje konfiguracije

Sada ćemo testirati i vezu između VLAN-a 100 i VLAN-a 200 tako što pingujemo PC3 i PC4 sa PC1.

PC1> ping 200.0.0.2
84 bytes from 200.0.0.2 icmp_seq=1 ttl=63 time=19.959 ms
84 bytes from 200.0.0.2 icmp_seq=2 ttl=63 time=14.148 ms
84 bytes from 200.0.0.2 icmp_seq=3 ttl=63 time=13.248 ms
84 bytes from 200.0.0.2 icmp_seq=4 ttl=63 time=17.605 ms
84 bytes from 200.0.0.2 icmp_seq=5 ttl=63 time=18.052 ms

PC1> ping 200.0.0.3
84 bytes from 200.0.0.3 icmp_seq=1 ttl=63 time=38.297 ms
84 bytes from 200.0.0.3 icmp_seq=2 ttl=63 time=19.333 ms
84 bytes from 200.0.0.3 icmp_seq=3 ttl=63 time=15.054 ms
84 bytes from 200.0.0.3 icmp_seq=4 ttl=63 time=14.074 ms
84 bytes from 200.0.0.3 icmp_seq=5 ttl=63 time=16.269 ms

Pošto je pingovanje prošlo uspešno, to znači da su uređaji konfigurisani na pravi način i da je Inter VLAN rutiranje uspešno konfigurisano.

Zaključak

Postoji nekoliko dobrih razloga za korišćenje VLAN-a, ali jedan od glavnih je upravljanje saobraćajem. Kako LAN raste, dodavanjem novih mrežnih uređaja, učestalost broadcast poruka raste i dolazi do zagušenja mreže velikom količinom podataka. Zato se kreiranjem VLAN-ova mreža deli u manje broadcast domene, što olakšava mrežni saobraćaj.

U današnje vreme je bezbednost jedan od primarnihi zahteva, pa je razdvajanjem mrežnog saobraćaja, recimo za zaposlene i posetioce u dva potpuno odvojena Layer 2 domena imperativ. Podela barem na osnovne VLAN-ove bi trebalo da se obavi što je pre moguće, a najbolje još u fazi projektovanja mrežne infrastrukture.

Korisni linkovi

Autor: Dušan Stevanović

Student završne godine Osnovnih studija informatike na Institutu za matematiku i informatiku PMF-a u Kragujevcu.
Linkedin | Github

Dušan Stevanović

Student završne godine Osnovnih studija informatike na Institutu za matematiku i informatiku PMF-a u Kragujevcu.