{"id":385,"date":"2020-04-06T08:41:24","date_gmt":"2020-04-06T06:41:24","guid":{"rendered":"http:\/\/tech.sosthe.sk\/?p=385"},"modified":"2020-04-06T17:00:56","modified_gmt":"2020-04-06T15:00:56","slug":"5-7-virtualne-lan-siete-vlan","status":"publish","type":"post","link":"http:\/\/tech.sosthe.sk\/index.php\/2020\/04\/06\/5-7-virtualne-lan-siete-vlan\/","title":{"rendered":"5.7.\u2002Virtu\u00e1lne LAN siete (VLAN)"},"content":{"rendered":"

Zariadenia v jednej LAN sieti by mali nejak\u00fdm sp\u00f4sobom logicky patri\u0165 k sebe. Delenie siete na podsiete sa realizuje hlavne na zv\u00fd\u0161enie bezpe\u010dnosti. Zariadenia v jednej sieti s\u00fa v spolo\u010dnej broadcastovej dom\u00e9ne a teda broadcastov\u00e9 r\u00e1mce sa dostan\u00fa ku v\u0161etk\u00fdm ostatn\u00fdm zariadeniam v sieti. Broadcastom sa napr\u00edklad pren\u00e1\u0161aj\u00fa inform\u00e1cie o zdie\u013ean\u00fdch prie\u010dinkoch a tla\u010diar\u0148ach syst\u00e9mov Windows. Zariadenie z rovnakej siete je \u013eah\u0161ie odpo\u010d\u00favate\u013en\u00e9, analyzovate\u013en\u00e9 a napadnute\u013en\u00e9.<\/p>\n

Delenie a prepojenie siet\u00ed v \u0161tandardnom pr\u00edpade realizuje router, ktor\u00fd m\u00e1 cez ka\u017ed\u00e9 rozhranie napojen\u00fa in\u00fa auton\u00f3mnu sie\u0165. Z rozhrania routra sa \u0161tandardne odvedie jeden k\u00e1bel do switcha, z ktor\u00e9ho s\u00fa u\u017e nap\u00e1jan\u00e9 \u010fal\u0161ie stanice a switche lok\u00e1lnej siete. Toto rie\u0161enie je plne funk\u010dn\u00e9 a spr\u00e1vne av\u0161ak len do chv\u00edle, k\u00fdm nie je potrebn\u00e9 robi\u0165 zmeny \u2013 pres\u00fava\u0165 \u010dasti niektorej podsiete na in\u00e9 poschodie, alebo umo\u017eni\u0165 mobilitu po\u010d\u00edta\u010dov v r\u00e1mci budovy tak, \u017ee tieto po\u010d\u00edta\u010de s\u00fa st\u00e1le v rovnakej sieti, bez oh\u013eadu na to, kde sa napoja. Virtu\u00e1lne LAN vznikli preto, aby nebolo potrebn\u00e9 meni\u0165 kabel\u00e1\u017e pri ka\u017edej zmene zapojenia. Cel\u00e1 zmena sa d\u00e1 vykona\u0165 softv\u00e9rovo administr\u00e1torom, alebo automaticky vhodne nastaven\u00fdmi pravidlami.<\/p>\n

Ur\u010denie pr\u00edslu\u0161nosti stanice k podsieti je mo\u017en\u00e9 ur\u010di\u0165 r\u00f4znymi sp\u00f4sobmi v z\u00e1vislosti od mo\u017enost\u00ed mana\u017eovate\u013en\u00e9ho switcha. Do \u0161tandardu\u00a0802.1Q<\/a>\u00a0sa dostali prv\u00e9 dve. Ostatn\u00e9 s\u00fa propriet\u00e1rne rie\u0161enia v\u00fdrobcov.<\/p>\n

    \n
  1. Pr\u00edslu\u0161nos\u0165 na z\u00e1klade z\u00e1suviek switcha<\/strong>. V tomto rie\u0161en\u00ed sa nastav\u00ed cez administr\u00e1torsk\u00e9 rozhranie, ktor\u00e1 z\u00e1suvka bude patri\u0165 ktorej virtu\u00e1lnej sieti. Ide o naj\u010dastej\u0161ie rie\u0161enie, ktor\u00e9 sa d\u00e1 vyu\u017ei\u0165 pri ob\u010dasnej zmene rozlo\u017eenia koncov\u00fdch stan\u00edc.<\/li>\n
  2. Pr\u00edslu\u0161nos\u0165 na z\u00e1klade MAC adresy<\/strong>. Toto rie\u0161enie zvy\u0161uje mobilitu stan\u00edc, no m\u00e1 aj ist\u00e9 bezpe\u010dnostn\u00e9 riziko, ke\u010f\u017ee MAC adresu si m\u00f4\u017ee ka\u017ed\u00fd nastavi\u0165 pod\u013ea \u013eubov\u00f4le.<\/li>\n
  3. Pr\u00edslu\u0161nos\u0165 na z\u00e1klade sie\u0165ovej adresy<\/strong>. Toto rie\u0161enie u\u017e vy\u017eaduje \u010d\u00edtanie sie\u0165ovej vrstvy, teda u\u017e nejde o \u0161tandardn\u00fd switch spojovej vrstvy. Ide o rie\u0161enie, ktor\u00e9 e\u0161te viac zvy\u0161uje mobilitu stan\u00edc z toho d\u00f4vodu, \u017ee niektor\u00e9 dokovacie stanice pre notebooky maj\u00fa vlastn\u00fa MAC adresu, a teda s pr\u00edchodom nov\u00e9ho zariadenia sa v pr\u00edpade \u010d\u00edtania iba spojovej vrstvy ni\u010d nemen\u00ed. Toto rie\u0161enie tie\u017e zoh\u013ead\u0148uje to, \u017ee ka\u017ed\u00e1 stanica m\u00f4\u017ee ma\u0165 viac sie\u0165ov\u00fdch rozhran\u00ed (a teda viac IP adries), z ktor\u00fdch ka\u017ed\u00e9 m\u00f4\u017ee patri\u0165 do inej podsiete, aj ke\u010f s rovnakou MAC adresou. O zn\u00ed\u017een\u00ed bezpe\u010dnosti sa u\u017e asi ani netreba zmie\u0148ova\u0165, ke\u010f\u017ee vytvorenie a zmena viacer\u00fdch IP adries v stanici je ve\u013emi jednoduch\u00e1.<\/li>\n
  4. Rie\u0161enie cez multicastov\u00e9 skupiny<\/strong>. V tomto pr\u00edpade sa uzly prip\u00e1jaj\u00fa a odp\u00e1jaj\u00fa z virtu\u00e1lnych siet\u00ed cez multicastov\u00e9 po\u017eiadavky. Ka\u017ed\u00e1 stanica, ktor\u00e1 je v pr\u00edslu\u0161nej multicastovej skupine patr\u00ed do pr\u00edslu\u0161nej siete. Aj v tomto pr\u00edpade sa u\u017e pracuje aj na sie\u0165ovej vrstve.<\/li>\n
  5. Pr\u00edslu\u0161nos\u0165 na z\u00e1klade protokolu a \u010d\u00edsla portu transportnej vrstvy, aplika\u010dn\u00e9ho protokolu ba aj obsahu spr\u00e1vy<\/strong>\u00a0umo\u017e\u0148uje zasla\u0165 r\u00e1mce do tej siete, kde sa nach\u00e1dzaj\u00fa stanice, ktor\u00e9 po\u010d\u00favaj\u00fa na konkr\u00e9tnom porte alebo poskytuj\u00fa konkr\u00e9tne typy slu\u017eieb. T\u00fdmto sp\u00f4sobom sa d\u00e1 rie\u0161i\u0165 rozlo\u017eenie z\u00e1\u0165a\u017ee, doch\u00e1dza aj k r\u00f4znym zmen\u00e1m v hlavi\u010dk\u00e1ch r\u00e1mcov a podobne. Toto rie\u0161enie u\u017e pracuje na transportnej a aplika\u010dnej vrstve, m\u00e1 teda u\u017e ve\u013emi \u010faleko od pojmu switch.<\/li>\n<\/ol>\n

    5.7.1\u2002 IEEE 802.1Q<\/h3>\n

    \u0160tandard\u00a0802.1Q<\/a>\u00a0umo\u017e\u0148uje vytv\u00e1ranie virtu\u00e1lnych LAN siet\u00ed na spojovej vrstve. V be\u017enom r\u00e1mci pod\u013ea \u0161tandardu 802.3, ktor\u00fd sa pou\u017e\u00edva v Ethernete, nie je miesto pre dodato\u010dn\u00fa inform\u00e1ciu potrebn\u00fa pre ozna\u010denie virtu\u00e1lnej siete. Pripome\u0148me ako vyzer\u00e1 \u0161tandardn\u00fd r\u00e1mec Ethernetu pod\u013ea \u0161tandardu 802.3.<\/p>\n

    \n\n\n\n\n
    8 bajtov<\/td>\n6 bajtov<\/td>\n6 bajtov<\/td>\n2 bajty<\/td>\n46 \u2013 1500 bajtov<\/td>\n4 bajty<\/td>\n<\/tr>\n
    preambula<\/td>\ncie\u013eov\u00e1 MAC adresa<\/td>\nzdrojov\u00e1 MAC adresa<\/td>\ntyp protokolu vy\u0161\u0161ej vrstvy<\/td>\ntelo r\u00e1mca<\/td>\nCRC<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/figure>\n

    \u0160tandard 802.1Q prin\u00e1\u0161a roz\u0161\u00edrenie r\u00e1mca na takzvan\u00fd zna\u010dkovan\u00fd r\u00e1mec (tagged frame) 802.3ac, ktor\u00fd dod\u00e1va \u0161peci\u00e1lnu zna\u010dku 1000000100000000 bin\u00e1rne (t.j. 8100 \u0161estn\u00e1stkovo \u2013 ozna\u010dujeme 0x8100) hne\u010f za zdrojov\u00fa adresu, \u010d\u00edm ozna\u010duje, \u017ee hlavi\u010dka bude e\u0161te o 4 bajty dlh\u0161ia. Prv\u00e9 dva extra bajty s\u00fa ur\u010den\u00e9 na pr\u00eddavn\u00fa inform\u00e1ciu o virtu\u00e1lnej sieti a \u010fal\u0161ie extra dva bajty ozna\u010duj\u00fa typ protokolu vy\u0161\u0161ej vrstvy. Pr\u00eddavn\u00e1 inform\u00e1cia o virtu\u00e1lnej sieti obsahuje 3 bity na ur\u010denie priority r\u00e1mca, 1 bit na ur\u010denie typu adries hlavn\u00e9ho protokolu a 12 bitov na identifik\u00e1ciu (zna\u010dku) virtu\u00e1lnej siete (VLAN ID).<\/p>\n

    (zna\u010dkovan\u00fd) r\u00e1mec 802.3ac:<\/p>\n

    \n\n\n\n\n
    8 bajtov<\/td>\n6 bajtov<\/td>\n6 bajtov<\/td>\n2 bajty<\/td>\n2 bajty<\/td>\n2 bajty<\/td>\n46 \u2013 1500 bajtov<\/td>\n4 bajty<\/td>\n<\/tr>\n
    preambula<\/td>\ncie\u013eov\u00e1 MAC adresa<\/td>\nzdrojov\u00e1 MAC adresa<\/td>\n0x8100<\/td>\nVLAN info<\/td>\ntyp protokolu vy\u0161\u0161ej vrstvy<\/td>\ntelo r\u00e1mca<\/td>\nCRC<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/figure>\n

    VLAN info vyzer\u00e1 nasledovne:<\/p>\n

    \n\n\n\n\n
    3 bity<\/td>\n1 bit<\/td>\n12 bitov<\/td>\n<\/tr>\n
    priorita<\/td>\ntyp adries hlavn\u00e9ho protokolu<\/td>\nVLAN ID<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/figure>\n

    Obvykle m\u00e1 ka\u017ed\u00e1 podsie\u0165, a teda aj stanice v nej, priraden\u00e9 administr\u00e1torom jedine\u010dn\u00e9 VLAN ID. Na zistenie pr\u00edslu\u0161nosti k podsieti tak nepotrebujeme \u010d\u00edta\u0165 hlavi\u010dku sie\u0165ovej vrstvy a predsa sme schopn\u00ed nastavi\u0165 to, aby po\u010d\u00edta\u010de v jednej podsieti boli v rovnakej virtu\u00e1lnej sieti a teda aj rovnakej broadcastovej dom\u00e9ne.<\/p>\n

    Na zna\u010dkovan\u00fdch r\u00e1mcoch 802.3ac je zauj\u00edmav\u00e9 to, \u017ee ich nepozn\u00e1 v\u00e4\u010d\u0161ina sie\u0165ov\u00fdch kariet koncov\u00fdch zariaden\u00ed. Ani nemus\u00ed! Ve\u010f virtu\u00e1lna sie\u0165 je preto virtu\u00e1lna, \u017ee koncov\u00e9 zariadenia by ani nemali tu\u0161i\u0165, \u017ee s\u00fa v nejakej \u0161peci\u00e1lnej sieti. Sta\u010d\u00ed, ak o virtualiz\u00e1cii vedia switche v sieti.<\/p>\n

    Predstavme si jednoduch\u00fa situ\u00e1ciu, \u017ee v\u0161etky zariadenia s\u00fa napojen\u00e9 na jedin\u00fd switch, pri\u010dom niektor\u00e9 chceme ma\u0165 v jednej podsieti a niektor\u00e9 v druhej. Nastav\u00edme si teda vo switchi, ktor\u00e9 z\u00e1suvky patria do ktorej virtu\u00e1lnej siete. Ak niektor\u00e9 zariadenie vy\u0161le broadcastov\u00fd r\u00e1mec, switch sa pozrie, v ktorej virtu\u00e1lnej sieti je z\u00e1suvka, z ktorej pri\u0161iel tento r\u00e1mec a rozpo\u0161le tento r\u00e1mec iba do t\u00fdch z\u00e1suviek, ktor\u00e9 prisl\u00fachaj\u00fa danej virtu\u00e1lnej sieti. V\u0161imnime si, \u017ee ani nepotrebujeme zna\u010dkovan\u00fd r\u00e1mec a v\u0161etko funguje.<\/p>\n

    Situ\u00e1cia sa trochu skomplikuje ak m\u00e1me v topol\u00f3gii viac switchov. \u0160tandard 802.1Q predpoklad\u00e1, \u017ee switche s\u00fa nejako na priamo poprep\u00e1jan\u00e9. V t\u00fdchto priamych prepojeniach medzi switchmi sa u\u017e pou\u017e\u00edvaj\u00fa zna\u010dkovan\u00e9 r\u00e1mce. Op\u00e4\u0165 si predstavme situ\u00e1ciu, \u017ee m\u00e1me dve virtu\u00e1lne siete a na ka\u017ed\u00fd zo switchov je napojen\u00fdch nieko\u013eko stan\u00edc z jednej aj druhej siete. Switch, na ktor\u00fd s\u00fa tieto stanice pripojen\u00e9, zist\u00ed pr\u00edslu\u0161nos\u0165 k sieti pod\u013ea z\u00e1suvky, v ktorej s\u00fa napojen\u00e9. Ke\u010f v\u0161ak niektor\u00e1 zo stan\u00edc po\u0161le broadcastov\u00fd r\u00e1mec, po\u0161le tento switch r\u00e1mec v\u0161etk\u00fdm staniciam danej virtu\u00e1lnej siete napojen\u00fdm na\u0148ho, ale tie\u017e aj ostatn\u00fdm switchom, aby aj tieto switche poslali r\u00e1mec v\u0161etk\u00fdm na nich napojen\u00fdm staniciam v danej virtu\u00e1lnej sieti. Tieto switche u\u017e nem\u00f4\u017eu o pr\u00edslu\u0161nosti r\u00e1mca rozhodova\u0165 na z\u00e1klade z\u00e1suvky, cez ktor\u00fa r\u00e1mec pri\u0161iel, ale iba na z\u00e1klade identifik\u00e1tora virtu\u00e1lnej siete v roz\u0161\u00edrenom r\u00e1mci (cez t\u00fa ist\u00fa z\u00e1suvku m\u00f4\u017eu prich\u00e1dza\u0165 aj r\u00e1mce pre ostatn\u00e9 virtu\u00e1lne siete). Ke\u010f\u017ee cie\u013eov\u00e9 stanice nemusia vedie\u0165 prija\u0165 zna\u010dkovan\u00fd r\u00e1mec, je pred zaslan\u00edm staniciam t\u00e1to zna\u010dka op\u00e4\u0165 odstr\u00e1nen\u00e1 a zaslan\u00fd iba oby\u010dajn\u00fd ethernetov\u00fd r\u00e1mec. Zna\u010dkovan\u00e9 r\u00e1mce sa teda pou\u017e\u00edvaj\u00fa iba medzi switchmi.<\/p>\n

    \"\"<\/p>\n

    Pri virtu\u00e1lnych sie\u0165ach si je potrebn\u00e9 uvedomi\u0165 aj to, \u017ee aj keby sme poznali MAC adresu zariadenia v inej virtu\u00e1lnej sieti, switch n\u00e1m tento r\u00e1mec neprepo\u0161le a mus\u00edme t\u00fato komunik\u00e1ciu realizova\u0165 cez router, aj ke\u010f sme s t\u00fdmto zariaden\u00edm napojen\u00ed cez ten ist\u00fd switch. Z toho vypl\u00fdva e\u0161te jedna vec, a s\u00edce, \u017ee router pre tak\u00e9to virtu\u00e1lne siete mus\u00edme tie\u017e nastavi\u0165 trochu \u0161pecificky. M\u00e1me dve mo\u017enosti. Prv\u00e1 mo\u017enos\u0165 je, \u017ee budeme vies\u0165 samostatn\u00fd k\u00e1bel pre ka\u017ed\u00fa podsie\u0165 z routra do switcha, \u010d\u00edm dosiahneme, \u017ee ka\u017ed\u00e1 zo z\u00e1suviek bude venovan\u00e1 inej podsieti a teda aj inej virtu\u00e1lnej sieti. Druh\u00e1 mo\u017enos\u0165 je napojenie routra iba jedn\u00fdm k\u00e1blom do switcha pre v\u0161etky podsiete. V tom pr\u00edpade ale router mus\u00ed vedie\u0165 pracova\u0165 so zna\u010dkovan\u00fdmi r\u00e1mcami a naviac mus\u00edme vytvori\u0165 pre dan\u00fa z\u00e1suvku routra nieko\u013eko virtu\u00e1lnych rozhran\u00ed \u2013 pre ka\u017ed\u00fa podsie\u0165 zvl\u00e1\u0161\u0165 \u2013 ako to ukazuje nasleduj\u00faci obr\u00e1zok.<\/p>\n

    \"\"<\/p>\n

     <\/p>\n","protected":false},"excerpt":{"rendered":"

    Zariadenia v jednej LAN sieti by mali nejak\u00fdm sp\u00f4sobom logicky patri\u0165 k sebe. Delenie siete na podsiete sa realizuje hlavne na zv\u00fd\u0161enie bezpe\u010dnosti. Zariadenia v…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10],"tags":[],"_links":{"self":[{"href":"http:\/\/tech.sosthe.sk\/index.php\/wp-json\/wp\/v2\/posts\/385"}],"collection":[{"href":"http:\/\/tech.sosthe.sk\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/tech.sosthe.sk\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/tech.sosthe.sk\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/tech.sosthe.sk\/index.php\/wp-json\/wp\/v2\/comments?post=385"}],"version-history":[{"count":4,"href":"http:\/\/tech.sosthe.sk\/index.php\/wp-json\/wp\/v2\/posts\/385\/revisions"}],"predecessor-version":[{"id":479,"href":"http:\/\/tech.sosthe.sk\/index.php\/wp-json\/wp\/v2\/posts\/385\/revisions\/479"}],"wp:attachment":[{"href":"http:\/\/tech.sosthe.sk\/index.php\/wp-json\/wp\/v2\/media?parent=385"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/tech.sosthe.sk\/index.php\/wp-json\/wp\/v2\/categories?post=385"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/tech.sosthe.sk\/index.php\/wp-json\/wp\/v2\/tags?post=385"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}