Ett virtuellt lokalt nätverk – VLAN – är en logisk segmentering av ett fysiskt lokalt nätverk som skapar separata sändningsdomäner för olika typer av trafik.
Att använda sig av VLAN är vanligt förekommande när man vill segmentera olika grupper av användare eller enheter, men fortfarande behöver nyttja samma fysiska infrastruktur.
Vad är ett virtuellt lokalt nätverk?
Ett virtuellt lokalt nätverk är en logisk segmentering av det fysiska lokala nätverket. Denna separation skapar distinkta sändningsdomäner för olika typer av trafik, som data-, röst-, video- eller trådlös trafik.
Genom att separera dessa typer av trafik i olika sändningsdomäner kan varje typ av trafik hanteras separat och mer effektivt när det gäller bandbreddsallokering och säkerhetspolicyer. Det gör det också möjligt att gruppera användare baserat på deras respektive roller inom en organisation. Du kan till exempel skapa separata virtuellt lokalt nätverk för ekonomipersonal och marknadsföringspersonal så att de bara har tillgång till de resurser de behöver för att utföra sina jobb.
Det är relativt ovanligt idag att man separerar användare på denna nivå för att begränsa åtkomst, de begränsningarna utgörs oftare av rollbaserad access i de system som man skall ha åtkomst till, då dessa tenderar att vara gemensamma system för samtliga användare.
Däremot kan man vilja separera olika typer av användare för att lättare kunna avgöra i ovanliggande system vart trafiken kommer ifrån, då denna separation också medför att trafiken från de olika användargrupperna kommer från olika subnät. Det absolut kanske vanligaste fallet där man använder sig av VLAN separation för begränsning, är när man har trådlösa gästnät där man inte vill tillåta någon form av access till interna system.
Det kan konfigureras för att sträcka sig över flera switchar i samma LAN. Detta tillåter enheter på en switch att komma åt resurser på en annan switch utan att behöva gå via en router.
Trafik mellan VLAN
Inom ett VLAN finns inga begränsningar i en switch när det kommer till kommunikation. Alla enheter inom samma VLAN, oavsett om det är i samma switch eller i olika switchar, kan kommunicera med varandra.
Men en enhet som befinner sig på ett virtuellt lokalt nätverk kan inte direkt kommunicera med en enhet på ett annat VLAN. För att möjliggöra den typen av kommunikation krävs att trafiken passerar en router. Denna knutpunkt ger oss som nätverksadministratörer en möjlighet att kontrollera eller begränsa trafiken.
Vill man ha granulär kontroll på trafikflödet så använder man sig oftast av en brandvägg istället för en traditionell router, där man enkelt kan skapa ett regelverk för vilken trafik, om någon, som skall tillåtas flöda mellan två VLAN.
I många fall används också en så kallad L3 switch istället för en traditionell router, vilket ger en fördel när det kommer till hastighet, något som annars kan vara en begränsande faktor när man använder sig av en router eller en brandvägg.
Det finns vissa möjligheter både i en router och i en L3 switch att begränsa trafikflödet, men eftersom ingen av dessa typer av enhet håller reda på sessioner, så blir detta snabbt komplext och oöverskådligt, då man måste skriva regelverk som antingen tillåter eller blockerar trafiken i bägge riktningar, alltså både för förfrågan och för svaret.
Taggat och otaggat
Något som man ofta hör nämnas, är otaggade och taggade VLAN. För att reda ut de olika typerna behöver man först förstå hur ett ethernet paket ser ut med och utan VLAN tagg.
I den standard som vi normalt sett använder och som kallas för IEEE 802.1q, så ser ett otaggat respektive taggat paket ut enligt nedan.
Ett paket som är taggat med en VLAN tagg innehåller alltså 4 bytes extra data.
Det är detta data som bland annat definierar vilket VLAN ID som paketet ursprungligen kom ifrån. Det finns även ett prioritetsfält som används av standarden IEEE 802.1p för att prioritera trafik inom ett LAN.
Det är viktigt att man använder av samma standard för VLAN taggning, då det finns ett par äldre standarder som inte är kompatibla. Men idag är IEEE 802.1q den absolut dominerande standarden för detta.
Datorer förstår inte
Normalt sett förstår inte en vanlig enhet, som exempelvis en dator, vad en VLAN tagg är och om en sådan enhet får paket skickade till sig som innehåller en VLAN tagg, så kommer dessa paket att kastas.
Därför skickas i stort sett alltid trafik till och från dessa enheter som otaggad trafik.
Den switchport som ansluter en sådan enhet skall då konfigureras som otaggad medlem i det VLAN:et som man vill att den enheten skall befinna sig på.
Flera VLAN på samma port
En enskild switchport kan dock bara vara konfigurerad som otaggad medlem i ett enda VLAN, så hur gör vi då om vi vill skicka över flera olika VLAN på en och samma port? Exempelvis en port som ansluter till en annan switch, eller kanske en accesspunkt som sänder ut flera olika trådlösa nät (SSID) som vi vill koppla mot olika VLAN?
Det är då som vi använder oss av VLAN taggen. En switchport kan samtidigt vara medlem i ett otaggat VLAN och flera taggade.
Det är switchen som internt håller reda på vilket virtuellt lokalt nätverk som trafiken kom ifrån, och om den skall skickas ut på en port som är taggad medlem i detta VLAN, så lägger switchen på denna tagg på den trafiken.
Skulle destinationsporten, alltså den switchport som trafiken behöver skickas ut på för att nå sin destination, inte vara medlem i det VLAN som trafiken kom ifrån, kommer switchen att kasta paketet. Samma sak gäller för mottagande switch eller enhet, något som kräver att man i sitt nätverk håller koll på alla sina virtuella lokala nätverk taggar så att alla switchportar som ansluter till varandra är konfigurerade på samma sätt.
Ett par specialfall där enheter ansluts till portar med taggade VLAN är bland annat trådlösa accesspunkter, där vi ofta vill koppla specifika trådlösa nät (SSID) mot ett specifikt VLAN, eller VMWare servrar som också kan hantera taggar för att kunna koppla specifika VLAN ID mot olika portgrupper internt i servern.
Taggat och otaggat
Något som man ofta hör nämnas, är otaggade och taggade VLAN. För att reda ut de olika typerna behöver man först förstå hur ett ethernet paket ser ut med och utan VLAN tagg.
I den standard som vi normalt sett använder och som kallas för IEEE 802.1q, så ser ett otaggat respektive taggat paket ut enligt nedan.
Ett paket som är taggat med en VLAN tagg innehåller alltså 4 bytes extra data.
Det är detta data som bland annat definierar vilket VLAN ID som paketet ursprungligen kom ifrån. Det finns även ett prioritetsfält som används av standarden IEEE 802.1p för att prioritera trafik inom ett LAN.
Det är viktigt att man använder av samma standard för VLAN taggning, då det finns ett par äldre standarder som inte är kompatibla. Men idag är IEEE 802.1q den absolut dominerande standarden för detta.
Datorer förstår inte
Normalt sett förstår inte en vanlig enhet, som exempelvis en dator, vad en VLAN tagg är och om en sådan enhet får paket skickade till sig som innehåller en VLAN tagg, så kommer dessa paket att kastas.
Därför skickas i stort sett alltid trafik till och från dessa enheter som otaggad trafik.
Den switchport som ansluter en sådan enhet skall då konfigureras som otaggad medlem i det VLAN:et som man vill att den enheten skall befinna sig på.
Flera VLAN på samma port
En enskild switchport kan dock bara vara konfigurerad som otaggad medlem i ett enda VLAN, så hur gör vi då om vi vill skicka över flera olika VLAN på en och samma port? Exempelvis en port som ansluter till en annan switch, eller kanske en accesspunkt som sänder ut flera olika trådlösa nät (SSID) som vi vill koppla mot olika VLAN?
Det är då som vi använder oss av VLAN taggen. En switchport kan samtidigt vara medlem i ett otaggat VLAN och flera taggade.
Det är switchen som internt håller reda på vilket virtuellt lokalt nätverk som trafiken kom ifrån, och om den skall skickas ut på en port som är taggad medlem i detta VLAN, så lägger switchen på denna tagg på den trafiken.
Skulle destinationsporten, alltså den switchport som trafiken behöver skickas ut på för att nå sin destination, inte vara medlem i det VLAN som trafiken kom ifrån, kommer switchen att kasta paketet. Samma sak gäller för mottagande switch eller enhet, något som kräver att man i sitt nätverk håller koll på alla sina virtuella lokala nätverk taggar så att alla switchportar som ansluter till varandra är konfigurerade på samma sätt.
Ett par specialfall där enheter ansluts till portar med taggade VLAN är bland annat trådlösa accesspunkter, där vi ofta vill koppla specifika trådlösa nät (SSID) mot ett specifikt VLAN, eller VMWare servrar som också kan hantera taggar för att kunna koppla specifika VLAN ID mot olika portgrupper internt i servern.