{"id":566,"date":"2020-04-07T19:28:03","date_gmt":"2020-04-07T17:28:03","guid":{"rendered":"http:\/\/tech.sosthe.sk\/?p=566"},"modified":"2020-04-12T18:21:05","modified_gmt":"2020-04-12T16:21:05","slug":"4-vlan-virtual-local-area-network","status":"publish","type":"post","link":"http:\/\/tech.sosthe.sk\/index.php\/2020\/04\/07\/4-vlan-virtual-local-area-network\/","title":{"rendered":"4. VLAN – Virtual Local Area Network"},"content":{"rendered":"

\u010co je to VLAN<\/h3>\n

Virtu\u00e1lna LAN<\/strong> sl\u00fa\u017ei k logick\u00e9mu rozdeleniu siete nez\u00e1visle na fyzickom usporiadan\u00ed. M\u00f4\u017eeme teda na\u0161u sie\u0165 segmentova\u0165 na men\u0161ie siete vn\u00fatri fyzickej \u0161trukt\u00fary p\u00f4vodnej siete. Druh\u00fdm d\u00f4le\u017eit\u00fdm pojmom, ktor\u00fd bude viac vysvetlen\u00fd nesk\u00f4r, je\u00a0trunk<\/strong>\u00a0.\u00a0Ako\u00a0trunk<\/strong><\/em>\u00a0ozna\u010dujeme port, ktor\u00fd je zaraden\u00fd do viacer\u00fdch VLAN.<\/p>\n

Jednoducho povedan\u00e9 pomocou VLAN m\u00f4\u017eeme dosiahnu\u0165 rovnak\u00e9ho efektu, ako ke\u010f m\u00e1me skupinu zariaden\u00ed pripojen\u00fdch do jedn\u00e9ho (alebo nieko\u013ek\u00fdch prepojen\u00fdch) switcha a druh\u00fa skupinu do in\u00e9ho (in\u00fdch) switcha. S\u00fa to dve nez\u00e1visl\u00e9 siete, ktor\u00e9 spolu nem\u00f4\u017eu komunikova\u0165 (s\u00fa fyzicky oddelen\u00e9). Pomocou VLAN m\u00f4\u017eeme tak\u00e9to dve siete vytvori\u0165 na jednom (alebo viacer\u00fdch prepojen\u00fdch) switchi.<\/p>\n

V praxi samozrejme \u010dasto potrebujeme komunik\u00e1ciu medzi t\u00fdmito sie\u0165ami. S VLAN m\u00f4\u017eeme pracova\u0165 rovnako ako s norm\u00e1lnymi sie\u0165ami. Teda pou\u017ei\u0165 medzi nimi ak\u00fdko\u013evek sp\u00f4sob routovania. \u010casto sa dnes vyu\u017e\u00edva L3 switch (switch, ktor\u00fd funguje na tretej vrstve OSI) pre inter-VLAN routing – smerovanie medzi VLAN.<\/p>\n

Ni\u017e\u0161ie uv\u00e1dzam klasick\u00fd obr\u00e1zok, ktor\u00fd sa pou\u017e\u00edva pre vysvetlenie VLAN. M\u00e1me dve poschodia, na ka\u017edom poschod\u00ed je switch, switche s\u00fa prepojen\u00e9 chrbticou s Trunk. Chceme prepoji\u0165 zariadenie do dvoch nez\u00e1visl\u00fdch skup\u00edn (modr\u00e1 – VLAN10 a \u010derven\u00e1 VLAN20). Pomocou VLAN je to takto jednoduch\u00e9. Tradi\u010dnou technikou by sme museli ma\u0165 switche oddelen\u00e9 a ka\u017ed\u00fa skupinu (modr\u00fa a \u010derven\u00fa) prepoji\u0165 do jedn\u00e9ho switcha, \u010do by bol probl\u00e9m, preto\u017ee s\u00fa na r\u00f4znych poschodiach.<\/p>\n

\"\"<\/p>\n

Pre podrobn\u00e9 pochopenie VLAN treba rozumie\u0165 z\u00e1kladom siet\u00ed a ich segmentovaniu (delenie na subnety – podsiete).<\/p>\n

Po\u010d\u00edta\u010dov\u00e1 sie\u0165 – WAN, LAN<\/h4>\n

Po\u010d\u00edta\u010dov\u00e1 sie\u0165<\/strong><\/em> vznikne vo chv\u00edli, ke\u010f dva (niekedy sa hovor\u00ed minim\u00e1lne tri) alebo viac po\u010d\u00edta\u010dov prepoj\u00edme dohromady pomocou telekomunika\u010dn\u00e9ho syst\u00e9mu s cie\u013eom zdie\u013ea\u0165 zdroje.\u00a0Siete sa \u010falej delia pod\u013ea radu parametrov na LAN, WAN, WLAN, MAN a pod. V tejto chv\u00edli n\u00e1s zauj\u00edma\u00a0lok\u00e1lna po\u010d\u00edta\u010dov\u00e1 sie\u0165<\/em><\/strong>\u00a0– LAN (Local Area Network), ktor\u00e1 sa vyzna\u010duje t\u00fdm, \u017ee po\u010d\u00edta\u010de s\u00fa prepojen\u00e9 na men\u0161om geografickom \u00fazem\u00ed (teda v r\u00e1mci firmy, budovy, miestnosti, atp.).\u00a0Pre\u00a0LAN<\/strong>\u00a0sa naj\u010dastej\u0161ie pou\u017e\u00edva technol\u00f3gie\u00a0Ethernet<\/strong><\/em>\u00a0s protokolom\u00a0TCP \/ IP<\/strong><\/em>\u00a0a pre\u00a0WAN<\/strong>\u00a0(Wide Area Network – prepojenie jednotliv\u00fdch LAN) technol\u00f3gie\u00a0Frame Relay<\/strong><\/em>\u00a0.<\/p>\n

Podsie\u0165 – subnet<\/h4>\n

TCP\/IP protokol<\/strong>\u00a0pou\u017e\u00edva pre adresovanie zariaden\u00ed\u00a0IP adresy<\/em><\/strong> . T\u00fdchto adries je ur\u010dit\u00fd rozsah, ktor\u00fd sa pre praktick\u00e9 pou\u017eitie (smerovanie, pride\u013eovanie adries organiz\u00e1ci\u00e1m, broadcast) del\u00ed na men\u0161ie hierarchick\u00e9 \u010dasti, ktor\u00fdm sa hovor\u00ed subnety<\/strong>\u00a0(podsiete).<\/p>\n

Zariadenia m\u00f4\u017eu priamo komunikova\u0165 iba s \u010fal\u0161\u00edmi zariadeniami, ktor\u00e9 s\u00fa v rovnakom subnete. So zariadeniami z in\u00fdch subnetov komunikuj\u00fa typicky cez jednu adresu – gateway (br\u00e1nu), ktor\u00e1 vykon\u00e1va routovanie.<\/p>\n

Oddelenie siet\u00ed<\/h4>\n

Ako som uviedol vy\u0161\u0161ie, pokia\u013e pou\u017eijeme r\u00f4zne subnety, tak spolu zariadenie nem\u00f4\u017eu komunikova\u0165. Nie je to v\u0161ak \u00faplne pravda, rozhodne ned\u00f4jde k oddeleniu t\u00fdchto zariaden\u00ed. Ak s\u00fa toti\u017e pripojen\u00e9 na rovnak\u00e9 m\u00e9dium, prepojen\u00e9 do rovnak\u00e9ho hubu (pracuje na 1. vrstve OSI) alebo switcha (pracuje na 2. vrstve OSI). Tak komunik\u00e1cia doraz\u00ed z jedn\u00e9ho zariadenia na druh\u00e9, aj ke\u010f s\u00fa v inom subnete. Zariadenie v\u0161ak bude t\u00fato komunik\u00e1ciu ignorova\u0165. Je to preto, \u017ee hub (posiela v\u0161ade) ani switch (pou\u017e\u00edva MAC adresy) sa nepozer\u00e1 na IP adresy prech\u00e1dzaj\u00facej komunik\u00e1cie. Preto sa d\u00e1 t\u00e1to komunik\u00e1cia zachyt\u00e1va\u0165 a odpo\u010d\u00fava\u0165. Ak teda chceme ma\u0165 oddelen\u00e9 siete, tak mus\u00edme pou\u017ei\u0165 oddelen\u00e9 switche.<\/p>\n

Len\u017ee pou\u017eit\u00edm VLAN d\u00f4jde k tomu, \u017ee komunik\u00e1cia sa posiela len na porty, ktor\u00e9 s\u00fa zaraden\u00e9 do rovnakej VLANy. Z\u00e1le\u017e\u00ed teda s\u00edce na softv\u00e9ri switcha, ale d\u00e1 sa poveda\u0165, \u017ee sa jedn\u00e1 o fyzick\u00e9 oddelenie. Existuj\u00fa nejak\u00e9 met\u00f3dy \u00fatoky na VLAN (preniknutie do inej VLAN), ale pri dobre nastavenej sieti by malo by\u0165 v\u0161etko bezpe\u010dn\u00e9.<\/p>\n

Subnet a VLANy<\/h4>\n

Z vy\u0161\u0161ie uveden\u00e9ho tie\u017e vypl\u00fdva to, \u017ee pre r\u00f4zne VLANy by sme mali pou\u017e\u00edva\u0165 r\u00f4zne subnety. Ak chceme medzi t\u00fdmito VLAN routova\u0165, tak je to nutn\u00e9, rovnako ako v pr\u00edpade, ke\u010f chceme vyu\u017ei\u0165 niektor\u00e9 \u0161peci\u00e1lne funkcie na switchi.<\/p>\n

Pre\u010do vznikli VLANy<\/h3>\n

Technol\u00f3gia VLAN za\u010dala vznika\u0165 okolo roku 1995, ale spo\u010diatku sa jednalo o r\u00f4zne propriet\u00e1rne rie\u0161enie.\u00a0V praxi sa v\u0161ak viac roz\u0161\u00edrili a\u017e pred nieko\u013ek\u00fdmi rokmi a to hlavne v stredn\u00fdch a ve\u013ek\u00fdch firm\u00e1ch, hoci u\u017e dlh\u0161\u00ed \u010das existuje \u0161tandard.<\/p>\n

Hlavn\u00e9 d\u00f4vody pre\u010do vznikli VLAN boli asi tieto:<\/p>\n

    \n
  • zoskupovanie u\u017e\u00edvate\u013eov<\/em><\/strong>\u00a0v sieti pod\u013ea skup\u00edn \u010di oddelenia alebo pod\u013ea slu\u017eieb miesto pod\u013ea fyzick\u00e9ho umiestnenia a oddelenia komunik\u00e1cie medzi t\u00fdmito skupinami<\/li>\n
  • zn\u00ed\u017eenie Broadcast<\/em><\/strong>\u00a0v sieti, ktor\u00e9 za\u010dali by\u0165 probl\u00e9mom u\u017e pred nieko\u013ek\u00fdmi rokmi<\/li>\n
  • zmen\u0161enie kol\u00edznych dom\u00e9n<\/em><\/strong>\u00a0v \u010dase, ke\u010f sa nepou\u017e\u00edvali switche, ale napr\u00edklad huby<\/li>\n<\/ul>\n

    Idea pre logick\u00e9 zoskupovanie u\u017e\u00edvate\u013eov, ktor\u00e1 sa uv\u00e1dza v rade materi\u00e1lov, a teda vytv\u00e1ranie VLAN je<\/p>\n

      \n
    • pod\u013ea organiza\u010dnej \u0161trukt\u00fary<\/em><\/strong>\u00a0– ak je v\u00e4\u010d\u0161ina komunik\u00e1cie v r\u00e1mci oddelen\u00ed, kde s\u00fa vlastn\u00e9 tla\u010diarne, file servery, at\u010f. a medzi jednotliv\u00fdmi oddeleniami nie je komunik\u00e1cia, len p\u00e1r slu\u017eieb (mail) je spolo\u010dn\u00fdch pre v\u0161etky<\/li>\n
    • pod\u013ea slu\u017eieb<\/em><\/strong>\u00a0– do VLAN sa zoskupuj\u00fa pracovn\u00edci, ktor\u00ed vyu\u017e\u00edvaj\u00fa rovnak\u00e9 slu\u017eby (\u00fa\u010dtovn\u00edctvo, DB, at\u010f.)<\/li>\n<\/ul>\n

      P\u00f4vodn\u00e9 d\u00f4vody u\u017e dnes \u010dasto nie s\u00fa aktu\u00e1lne alebo sa z praxe zmenili n\u00e1zory. Ako sa pou\u017e\u00edvaj\u00fa VLANy dnes, inak povedan\u00e9, ak\u00fd je ich hlavn\u00fd pr\u00ednos, uv\u00e1dzam v \u010fal\u0161ej kapitole.<\/p>\n

      Ak\u00e9 s\u00fa praktick\u00e9 v\u00fdhody VLAN<\/h3>\n
        \n
      • zn\u00ed\u017eenie Broadcast<\/em><\/strong>\u00a0– hlavnou v\u00fdhodou VLAN je vytvorenie viac, ale men\u0161\u00edch, broadcastov\u00fdch dom\u00e9n.\u00a0Teda zlep\u0161enie v\u00fdkonu siete zn\u00ed\u017een\u00edm prev\u00e1dzky (traffic).<\/li>\n
      • zjednodu\u0161en\u00e1 spr\u00e1va<\/em><\/strong>\u00a0– k presunu zariadenia do inej siete sta\u010d\u00ed prekonfigurova\u0165 zaradenie do VLANy, teda spr\u00e1vca konfiguruje SW (zaradenie do VLAN) a nie HW (fyzick\u00e9 prepojenie)<\/li>\n
      • zv\u00fd\u0161enie zabezpe\u010denia<\/em><\/strong>\u00a0– oddelenie komunik\u00e1cie do \u0161peci\u00e1lnej VLANy, kam nie je in\u00fd pr\u00edstup.\u00a0Toho sa d\u00e1 samozrejme dosiahnu\u0165 pou\u017eit\u00edm samostatn\u00fdch switchov, ale \u010dasto sa toto uv\u00e1dza ako bonus VLAN.<\/li>\n
      • oddelenie \u0161peci\u00e1lnej prev\u00e1dzky<\/em><\/strong> – dnes sa pou\u017e\u00edva mno\u017estvo prev\u00e1dzok, ktor\u00e9 nemusia by\u0165 prepojen\u00e9 do celej siete, ale napriek tomu ich potrebujeme dosta\u0165 na r\u00f4zne miesta, navy\u0161e nechceme, aby n\u00e1m ovplyv\u0148ovali be\u017en\u00fa prev\u00e1dzku. Pr\u00edkladom je napr\u00edklad IP telef\u00f3nia, komunik\u00e1cia medzi AP v centr\u00e1lne riadenom prostred\u00ed, mana\u017ement (zabezpe\u010denie spr\u00e1vcovsk\u00e9ho pr\u00edstupu k zariadeniam). Napr\u00edklad pre IP telef\u00f3niu, kde je pou\u017e\u00edvanie VLAN \u00faplne be\u017en\u00e9, n\u00e1m sta\u010d\u00ed jedin\u00e1 z\u00e1suvka, kam privedieme VLAN pre telef\u00f3niu aj VLAN s pr\u00edstupom do siete a v telef\u00f3ne sa komunik\u00e1cia rozdel\u00ed. Navy\u0161e VLANy m\u00f4\u017eeme pou\u017ei\u0165 spolu s QoSom pre zaru\u010denie kvality komunik\u00e1cie (obsadenie p\u00e1sma).<\/li>\n
      • zn\u00ed\u017eenie HW<\/em><\/strong>\u00a0– samozrejme sa n\u00e1m nezni\u017euje potrebn\u00fd po\u010det portov (a\u017e na \u0161peci\u00e1lne pr\u00edpady ako IP telef\u00f3nia), ale t\u00fdm, \u017ee m\u00f4\u017eu by\u0165 r\u00f4zne podsiete na rovnakom switchi, ho m\u00f4\u017eeme lep\u0161ie vyu\u017ei\u0165 (napr\u00edklad pre prepojenie troch zariaden\u00ed nepotrebujeme \u0161peci\u00e1lny switch, ktor\u00fd m\u00e1 minim\u00e1lne 8 portov).<\/li>\n<\/ul>\n

        Ako sa zara\u010fuje komunik\u00e1cia do VLAN<\/h3>\n

        Priradenie do VLANy sa nastavuje typicky na\u00a0switchi<\/strong> (iba v niektor\u00fdch \u0161peci\u00e1lnych pr\u00edpadoch prich\u00e1dza ozna\u010den\u00e1 komunik\u00e1cia cez trunk z in\u00e9ho zariadenia). Na switchoch, ktor\u00e9 podporuj\u00fa VLANy, v\u017edy existuje aspo\u0148 jedna VLAN. Jedn\u00e1 sa o defaultn\u00e1\u00a0 VLAN \u010d\u00edslo 1<\/em><\/strong>\u00a0, ktor\u00fa nie je mo\u017en\u00e9 zmaza\u0165 \u010di vypn\u00fa\u0165.\u00a0Pokia\u013e nenastav\u00edte inak, tak s\u00fa v\u0161etky porty (teda v\u0161etka komunik\u00e1cia) zaraden\u00e9 do VLAN 1.<\/p>\n

        Pre zaradenie komunik\u00e1cie do VLANy existuj\u00fa \u0161tyri z\u00e1kladn\u00e9 met\u00f3dy, ale v praxi je najviac vyu\u017e\u00edvan\u00e1 mo\u017enos\u0165 prv\u00e1 – zaradenie pod\u013ea portu.<\/p>\n

        1. pod\u013ea portu<\/h4>\n

        Port switcha je ru\u010dne<\/em><\/strong>\u00a0a napevno zaraden\u00fd (nakonfigurovan\u00fd) do ur\u010ditej\u00a0VLANy<\/em><\/strong> . V\u0161etka komunik\u00e1cia, ktor\u00e1 prich\u00e1dza cez tento port, spad\u00e1 do zadanej VLANy. To znamen\u00e1, \u017ee ak do portu pripoj\u00edme \u010fal\u0161ie switche, tak v\u0161etky zariadenia pripojen\u00e9 k nemu bud\u00fa v jednej VLAN. Jedn\u00e1 sa o najr\u00fdchlej\u0161ie a najpou\u017e\u00edvanej\u0161ie rie\u0161enie. Nie je potrebn\u00e9 ni\u010d vyhodnocova\u0165 pre zaradenie do VLAN. Defin\u00edcia zaradenia do VLAN je lok\u00e1lne na ka\u017edom switchi. Jednoducho sa spravuje a je preh\u013eadn\u00e9.<\/p>\n

        2. pod\u013ea MAC adresy<\/h4>\n

        R\u00e1mec (port) sa zarad\u00ed do VLANy pod\u013ea zdrojovej MAC adresy<\/em><\/strong> . Mus\u00edme teda spravova\u0165 tabu\u013eku so zoznamom MAC adries pre ka\u017ed\u00e9 zariadenie spolu s VLAN. V\u00fdhodou je, \u017ee sa jedn\u00e1 o dynamick\u00e9 zaradenie, tak\u017ee ak prepoj\u00edte zariadenie do in\u00e9ho portu, automaticky sa zarad\u00ed do spr\u00e1vnej VLANy. Switche musia h\u013eada\u0165 v tabu\u013eke MAC adries.<\/p>\n

        S\u00fa tu dve mo\u017enosti, ako t\u00e1to met\u00f3da m\u00f4\u017ee fungova\u0165.\u00a0Bu\u010f sa pod\u013ea MAC adresy prv\u00e9ho r\u00e1mca nastav\u00ed zaradenie portu do VLANy a toto nastavenie zostane, k\u00fdm sa port nevypne.\u00a0Alebo sa ka\u017ed\u00fd r\u00e1mec zara\u010fuje samostatne do VLANy pod\u013ea MAC adresy.\u00a0Toto rie\u0161enie je ve\u013emi n\u00e1ro\u010dn\u00e9 na v\u00fdkon.<\/p>\n

        Cisco m\u00e1 rie\u0161enie zvan\u00e9\u00a0VLAN Membership Policy Server<\/em><\/strong>\u00a0(VMPS), pre ktor\u00e9 je potrebn\u00e9 \u0161peci\u00e1lny server, ktor\u00fd spravuje tabu\u013eky MAC adries.\u00a0Navy\u0161e sa pri tejto met\u00f3de zara\u010fuje port do VLANy, tak\u017ee ak je do neho pripojen\u00fdch viac zariaden\u00ed (max. 20), musia by\u0165 v\u0161etky v rovnakej VLAN.<\/p>\n

        3. pod\u013ea protokolu = pod\u013ea inform\u00e1cie z 3. vrstvy<\/h4>\n

        T\u00e1to met\u00f3da ur\u010duje zaradenie pod\u013ea protokolu pren\u00e1\u0161an\u00e9ho paketu. Napr\u00edklad oddel\u00edme IP prev\u00e1dzku od AppleTalk. Alebo zara\u010fujeme pod\u013ea IP adresy \u010di rozsahu. V praxi nie je pr\u00edli\u0161 roz\u0161\u00edren\u00e9. Zariadenie mus\u00ed ma\u0165 napevno definovan\u00fa IP adresu a switche sa musia pozera\u0165 do tretej vrstvy (norm\u00e1lne funguje na druhej), znamen\u00e1 to spomalenie.<\/p>\n

        4. pod\u013ea autentiz\u00e1cie<\/h4>\n

        Over\u00ed sa pou\u017e\u00edvate\u013e alebo zariadenie pomocou protokolu\u00a0IEEE 802.1x<\/strong> a pod\u013ea inform\u00e1ci\u00ed sa automaticky umiestni do VLANy. Je to prim\u00e1rne bezpe\u010dnostn\u00e1 met\u00f3da, ktor\u00e1 riadi pr\u00edstup do siete (NAC), ale po roz\u0161\u00edren\u00ed sl\u00fa\u017ei aj pre VLANy. Je to zauj\u00edmav\u00e1 met\u00f3da preto, \u017ee je ve\u013emi univerz\u00e1lna. Nez\u00e1le\u017e\u00ed ani na fyzickom zariaden\u00ed ani na mieste zapojenia. RADIUS server, ktor\u00fd overuje identitu pou\u017e\u00edvate\u013ea, obsahuje tie\u017e mapovanie u\u017e\u00edvate\u013eov na VLANy a t\u00fato inform\u00e1ciu za\u0161le po \u00faspe\u0161nej autentifik\u00e1cii. U tejto met\u00f3dy je mo\u017en\u00e9 nastavenie, \u017ee v pr\u00edpade, kedy nie je u\u017e\u00edvate\u013e autentizovan\u00fd, tak je zaraden\u00fd do \u0161peci\u00e1lnej Hostovskej VLANy.<\/p>\n

        U Cisco switchov m\u00f4\u017ee by\u0165 port single-host, kedy je mo\u017en\u00e9 pripoji\u0165 iba jedno zariadenie alebo multiple-host, kedy s\u00edce m\u00f4\u017ee by\u0165 do portu pripojen\u00fdch viacero zariaden\u00ed, ale vo chv\u00edli, ke\u010f sa prv\u00fd autentizuje, tak je port AUTENTIZOVAN\u00dd (a zaraden\u00fd do VLANy ) a komunikova\u0165 m\u00f4\u017eu v\u0161etky zariadenia.<\/p>\n

        Ako funguje komunik\u00e1cia v r\u00e1mci VLAN<\/h3>\n

        V praxi m\u00e1me dve situ\u00e1cie, ke\u010f sa pri komunik\u00e1cii rie\u0161i pr\u00edslu\u0161nos\u0165 k VLAN. Je to pri komunik\u00e1cii v r\u00e1mci jedn\u00e9ho switcha alebo pri komunik\u00e1cii medzi nieko\u013ek\u00fdmi switchmi.<\/p>\n

        VLANy na jednom switchi<\/h4>\n

        Pri komunik\u00e1cii vo VLAN\u00e1ch v r\u00e1mci\u00a0jedn\u00e9ho switcha<\/em><\/strong> je to jednoduch\u00e9.\u00a0Switch si v opera\u010dnej pam\u00e4ti udr\u017euje inform\u00e1cie, do ktorej VLANy patr\u00ed dan\u00e1 komunik\u00e1cia (port), a v r\u00e1mci switcha povo\u013euje iba spr\u00e1vne smerovanie.\u00a0V tomto pr\u00edpade m\u00e1me jednotliv\u00e9 porty zaraden\u00e9 do jednej VLANy a to bu\u010f staticky, alebo dynamicky, ako bolo povedan\u00e9 vy\u0161\u0161ie (mo\u017enosti 2,3,4).\u00a0Cisco t\u00fdmto portom hovor\u00ed\u00a0access port<\/em><\/strong>\u00a0(pr\u00edstupov\u00fd port).<\/p>\n

        VLAN medzi viacer\u00fdmi switchmi<\/h4>\n

        Zlo\u017eitej\u0161ia situ\u00e1cia nast\u00e1va, ke\u010f chceme, aby sa inform\u00e1cie o zaraden\u00ed do VLANy<\/em><\/strong> nestratila pri prechode na in\u00fd switch, teda aby sme v celej na\u0161ej sieti mohli vyu\u017ei\u0165 rovnak\u00e9 VLANy a nez\u00e1le\u017ealo, do ktor\u00e9ho switcha je zariadenie pripojen\u00e9. Navy\u0161e chceme, aby t\u00e1to met\u00f3da fungovala aj medzi switchmi r\u00f4znych v\u00fdrobcov. To bol zo za\u010diatku probl\u00e9m a pou\u017e\u00edvali sa r\u00f4zne met\u00f3dy. Napr\u00edklad, ke\u010f zara\u010fujeme komunik\u00e1ciu pod\u013ea MAC adresy, tak m\u00f4\u017eeme tabu\u013eku priradenia ma\u0165 na v\u0161etk\u00fdch switchoch. Cisco vytvorilo svoju met\u00f3du ISL, ktor\u00e1 zapuzdruje cel\u00fd r\u00e1mec, ale funguje iba na Cisco zariadeniach. Tie\u017e m\u00f4\u017eeme prepoji\u0165 dva access porty<\/em>\u00a0na dvoch switchoch, zaradi\u0165 ich do rovnakej VLANy a prenesieme potrebn\u00e9 inform\u00e1cie.\u00a0To je ale ve\u013emi nepraktick\u00e9.<\/p>\n

        Na\u0161\u0165astie vznikol \u0161tandard\u00a0IEEE 802.1q<\/strong> , ktor\u00fd vyu\u017e\u00edva zna\u010dkovanie r\u00e1mcov. Ozna\u010duje sa komunik\u00e1cia len vo chv\u00edli, ke\u010f je to potrebn\u00e9. Tak\u017ee k\u00fdm prebieha v r\u00e1mci jedn\u00e9ho switcha a pripojen\u00fdch zariaden\u00ed, tak sa ni\u010d neprid\u00e1va. A\u017e, ke\u010f chceme posla\u0165 komunik\u00e1ciu \u010fal\u0161iemu switchu (\u010di podobn\u00e9mu zariadeniu), tak ju ozna\u010d\u00edme. Odch\u00e1dzaj\u00face komunik\u00e1cie sa taguj\u00fa na porte, ktor\u00e9mu sa hovor\u00ed trunk port<\/em><\/strong> . Tento port pren\u00e1\u0161a viac (vybran\u00fdch) VLAN a aby ich mohol odl\u00ed\u0161i\u0165, tak ich ozna\u010duje. Spoju dvoch trunk portov sa hovor\u00ed trunk<\/strong>\u00a0 alebo trunk link<\/em><\/strong>\u00a0.<\/p>\n

        IEEE 802.1q tagging<\/h4>\n

        Protokolu\u00a0IEEE 802.1q<\/strong>\u00a0sa hovor\u00ed tie\u017e\u00a0trunking protokol<\/em><\/strong>\u00a0alebo\u00a0dot1q tagging<\/em><\/strong> . Ide o \u0161tandardizovan\u00fa met\u00f3du, ktor\u00fa podporuj\u00fa v\u0161etky modern\u00e9 switche s podporou VLAN. Funguje na princ\u00edpe tzv. Tagovania.\u00a0 Vezmeme origin\u00e1lny r\u00e1mec, jeho hlavi\u010dku roz\u0161\u00edrime o 4B inform\u00e1ci\u00ed, z ktor\u00fdch prv\u00e1 je zna\u010dka, \u017ee sa jedn\u00e1 o protokol 802.1q (hodnota 0x8100). \u010ealej nasleduje priorita pod\u013ea protokolu 802.1p, pr\u00edznak, \u010di je MAC adresa v k\u00e1nonickom tvare a posledn\u00e1 je \u010d\u00edslo VLANy.<\/p>\n

        Preto\u017ee sa zmenila d\u00e1ta, je potrebn\u00e9 prepo\u010d\u00edta\u0165 kontroln\u00fd s\u00fa\u010det na konci r\u00e1mca.<\/p>\n

        origin\u00e1lny r\u00e1mec<\/strong><\/p>\n\n\n\n\n
        6B<\/span><\/td>\n6B<\/span><\/td>\n2B<\/span><\/td>\n64 a\u017e 1500B<\/span><\/td>\n4B<\/span><\/td>\n<\/tr>\n
        cie\u013eov\u00e1 adresa (DA)<\/span><\/td>\nzdrojov\u00e1 adresa (SA)<\/span><\/td>\ntyp alebo d\u013a\u017eka<\/span><\/td>\nd\u00e1ta<\/span><\/td>\nkontroln\u00fd s\u00fa\u010det (FCS)<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

        Upraven\u00fd r\u00e1mec pomocou 802.1q<\/strong><\/p>\n\n\n\n\n
        6B<\/span><\/td>\n6B<\/span><\/td>\n4B<\/span><\/td>\n2B<\/span><\/td>\n64 a\u017e 1500B<\/span><\/td>\n4B<\/span><\/td>\n<\/tr>\n
        cie\u013eov\u00e1 adresa (DA)<\/span><\/td>\nzdrojov\u00e1 adresa (SA)<\/span><\/td>\n802.1q tag<\/span><\/td>\ntyp alebo d\u013a\u017eka<\/span><\/td>\nd\u00e1ta<\/span><\/td>\nkontroln\u00fd s\u00fa\u010det (FCS)<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

        Tvar 802.1q tagu<\/strong><\/p>\n\n\n\n\n\n
        2B<\/span><\/td>\n3b<\/span><\/td>\n1b<\/span><\/td>\n12b<\/span><\/td>\n<\/tr>\n
        0x8100<\/span><\/td>\npriorita (802.1p)<\/span><\/td>\nCanonical Format Indicator (CFI)<\/span><\/td>\nVLAN ID<\/span><\/td>\n<\/tr>\n
        Tag Protocol ID (TPID) 2B<\/span><\/td>\nTag Control Information (TCI) 2B<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

        Native VLAN<\/strong>\u00a0je term\u00edn spojen\u00fd s protokolom 802.1q.\u00a0Nastavuje sa na\u00a0trunk porte<\/em><\/strong>, U Cisco prvkov mus\u00edme nat\u00edvny VLAN v\u017edy nastavi\u0165 a to zhodne na oboch stran\u00e1ch trunku. Prev\u00e1dzka, ktor\u00e1 je zaraden\u00e1 do native VLAN sa pri prenose netaguje (zost\u00e1va nezmenen\u00fd) a prich\u00e1dzaj\u00faca prev\u00e1dzka, ktor\u00e1 nie je tagovan\u00e1 sa zara\u010fuje do native VLAN. \u010casto sa ako native VLAN nastavuje management VLAN. D\u00f4sledkom tie\u017e je, \u017ee ak sa na trunk port dostane nejak\u00fd r\u00e1mec, ktor\u00fd nem\u00e1 tag, tak je zaraden\u00fd do nat\u00edvnej VLANy. Inak povedan\u00e9, ak do portu, ktor\u00fd je nakonfigurovan\u00fd ako trunk, pripoj\u00edme norm\u00e1lnu stanicu (ktor\u00e1 nepodporuje trunk), tak bude komunikova\u0165 v tejto VLAN. V praxi m\u00f4\u017eeme vyu\u017ei\u0165 t\u00fato vlastnos\u0165 treb\u00e1rs u zapojenia, kedy je pripojen\u00fd IP telef\u00f3n a za n\u00edm PC. Native VLAN nastav\u00edme rovnako ako VLAN pre PC, potom ak sa odpoj\u00ed telef\u00f3n a PC sa pripoj\u00ed priamo, tak jeho komunik\u00e1cia st\u00e1le funguje.<\/p>\n

        Cisco ISL Encapsulation<\/h4>\n

        ISL<\/strong>\u00a0znamen\u00e1\u00a0Inter-Switch Link<\/em><\/strong>\u00a0, teda spoj medzi switchu.\u00a0Cisco vytvorilo svoj protokol e\u0161te v \u010dase, ke\u010f neexistoval \u0161tandard.\u00a0ISL m\u00e1 v\u00fdhodu, \u017ee funguje nielen pre protokol IP, ale aj pre in\u00fdch.\u00a0Rovnako ako 802.1q podporuje prioritiz\u00e1ciu.<\/p>\n

        Bohu\u017eia\u013e sa jedn\u00e1 o propriet\u00e1rnu met\u00f3du, ktor\u00fa pou\u017e\u00edva iba Cisco a v dne\u0161nej dobe ju n\u00e1jdeme iba na switchoch vy\u0161\u0161ej rady (napr\u00edklad Catalyst 3750). Princ\u00edp funkcie je tak\u00fd, \u017ee sa cel\u00fd r\u00e1mec zabal\u00ed (encapsulate) do novej hlavi\u010dky a kontroln\u00e9ho s\u00fa\u010dtu. Z toho vypl\u00fdva nev\u00fdhoda, \u017ee sa viac zv\u00e4\u010d\u0161uje komunik\u00e1cia, ka\u017ed\u00fd r\u00e1mec je o 30B v\u00e4\u010d\u0161\u00ed.<\/p>\n\n\n\n\n
        26B<\/span><\/td>\n<\/td>\n4B<\/span><\/td>\n<\/tr>\n
        ISL header<\/span><\/td>\nEncapsulation frame (origin\u00e1lny r\u00e1mec)<\/span><\/td>\nkontroln\u00fd s\u00fa\u010det (FCS)<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

        \u010eal\u0161ie vyu\u017eitie trunkov<\/h4>\n

        V dne\u0161nej dobe nemus\u00edme pou\u017e\u00edva\u0165\u00a0trunk<\/strong><\/em> iba pre prepojenie switchov, ale ve\u013emi \u00fa\u010dinne ho vyu\u017ei\u0165 aj pre\u00a0\u00a0pripojenie serverov,<\/strong><\/em>\u00a0ktor\u00e9 potrebujeme ma\u0165 pripojen\u00e9 do viacer\u00fdch siet\u00ed.\u00a0Opera\u010dn\u00fd syst\u00e9m\u00a0Linux<\/strong><\/em>\u00a0podporuje protokol\u00a0802.1q<\/strong><\/em>\u00a0u\u017e v jadre, pre\u00a0Windowsy <\/strong><\/em>potrebujeme ovl\u00e1da\u010d pre sie\u0165ov\u00fa kartu s podporou VLAN (napr\u00edklad Intel). Na sie\u0165ovej karte potom nakonfigurujeme VLANy, ktor\u00e9 tu prich\u00e1dzaj\u00fa, a pre ka\u017ed\u00fa sa vytvor\u00ed virtu\u00e1lne sie\u0165ov\u00e9 spojenie, ktor\u00e9 m\u00f4\u017eeme pou\u017e\u00edva\u0165 ako be\u017en\u00fa sie\u0165ovku. U\u0161etr\u00edme t\u00fdm fyzick\u00e9 sie\u0165ov\u00e9 karty na serveri, aj ke\u010f sa zni\u017euje priepustnos\u0165. Pou\u017ei\u0165 to m\u00f4\u017eeme napr\u00edklad na firewalle alebo Hostovsk\u00fd server pre virtu\u00e1lne servery. Na druh\u00fa stranu sa treba v\u017edy zamyslie\u0165, \u010di je toto to spr\u00e1vne rie\u0161enie a neexistuje nie\u010do jednoduch\u0161ie (napr\u00edklad, aby sme DHCP server neprip\u00e1jali do ka\u017edej routovanej podsiete, ke\u010f m\u00f4\u017eeme vyu\u017ei\u0165 DHCP relay agenta).<\/p>\n

        Routing medzi VLANmi<\/h3>\n

        Tradi\u010dn\u00fd routing vyzer\u00e1 tak, \u017ee m\u00e1me nieko\u013eko samostatn\u00fdch siet\u00ed a chceme medzi nimi umo\u017eni\u0165 nejak\u00fa komunik\u00e1ciu. Nasleduj\u00faci obr\u00e1zok predstavuje tri samostatn\u00e9 switche prepojen\u00e9 pomocou routera. M\u00f4\u017ee \u00eds\u0165 napr\u00edklad o firemn\u00e9 servery a dve oddelenia, ktor\u00e9 k nim chceme pripoji\u0165, ale nechceme, aby mohli komunikova\u0165 medzi sebou.<\/p>\n

        \"\"<\/p>\n

        Ak vyu\u017e\u00edvame VLANy, m\u00f4\u017eeme sa k nim spr\u00e1va\u0165 rovnako ako k norm\u00e1lnym podsie\u0165am.\u00a0Na switchi m\u00f4\u017eeme jednotliv\u00e9 VLANy, ktor\u00e9 chceme routova\u0165, vyvies\u0165 do samostatn\u00fdch access portov a tie pripoji\u0165 k routeru.<\/p>\n

        \"\"<\/p>\n

        To je v\u0161ak zbyto\u010dn\u00e9 plytvanie a v\u00fdhodnej\u0161ie je ich pou\u017ei\u0165 medzi routrom a switchom trunk. Tie\u017e m\u00f4\u017eeme namiesto klasick\u00e9ho routeru vyu\u017ei\u0165 L3 switch, ktor\u00fd je r\u00fdchlej\u0161\u00ed.<\/p>\n

        \"\"\"\"<\/p>\n

         <\/p>\n

        U Cisco L3 switchov vykon\u00e1me inter-VLAN routing jednoducho tak, \u017ee zapneme routovanie a na tie VLANy, ktor\u00e9 maj\u00fa medzi sebou routova\u0165, nastav\u00edme IP adresu.<\/p>\n","protected":false},"excerpt":{"rendered":"

        \u010co je to VLAN Virtu\u00e1lna LAN sl\u00fa\u017ei k logick\u00e9mu rozdeleniu siete nez\u00e1visle na fyzickom usporiadan\u00ed. M\u00f4\u017eeme teda na\u0161u sie\u0165 segmentova\u0165 na men\u0161ie siete vn\u00fatri fyzickej…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[12],"tags":[],"_links":{"self":[{"href":"http:\/\/tech.sosthe.sk\/index.php\/wp-json\/wp\/v2\/posts\/566"}],"collection":[{"href":"http:\/\/tech.sosthe.sk\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/tech.sosthe.sk\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/tech.sosthe.sk\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/tech.sosthe.sk\/index.php\/wp-json\/wp\/v2\/comments?post=566"}],"version-history":[{"count":11,"href":"http:\/\/tech.sosthe.sk\/index.php\/wp-json\/wp\/v2\/posts\/566\/revisions"}],"predecessor-version":[{"id":646,"href":"http:\/\/tech.sosthe.sk\/index.php\/wp-json\/wp\/v2\/posts\/566\/revisions\/646"}],"wp:attachment":[{"href":"http:\/\/tech.sosthe.sk\/index.php\/wp-json\/wp\/v2\/media?parent=566"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/tech.sosthe.sk\/index.php\/wp-json\/wp\/v2\/categories?post=566"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/tech.sosthe.sk\/index.php\/wp-json\/wp\/v2\/tags?post=566"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}