Vad är VLAN? Olika typer och deras användning i moderna nätverk
VLAN är en mycket populär teknik som används i såväl stora som små nätverk. Hur nätverk konfigureras varierar beroende på syftet med dem. VLAN är ytterligare ett verktyg i verktygslådan för nätverksadministratörer och gör det lättare att bygga specifika privata nätverk. I följande artikel kommer vi att förklara vad VLAN är, dess fördelar, implementationer och olika typer.
Vad är VLAN?
För att förstå vad VLAN är måste vi först kort förklara vad LAN är för någonting. LAN står för Local Area Network och är ett nätverk bestående av sammankopplade enheter. Vanligtvis syftar LAN också på att enheterna rent fysiskt befinner sig i närheten av varandra. Beroende på nätverkets specifika topologi kan enheterna ha vissa restriktioner som de måste följa och olika kommunikationsmöjligheter sinsemellan.
VLAN står för Virtual Local Area Network och bygger på samma koncept som LAN. Du har en uppsättning sammankopplade enheter som kan kommunicera i enlighet med vissa förutbestämda regler. Skillnaden är att VLAN ger administratörer möjlighet att dela in användare i olika grupper även om de inte tekniskt sett befinner sig inom ett gemensamt fysiskt lokalt nätverk.
Detta är såklart väldigt användbart för större organisationer och företag som har möjlighet att omorganisera saker och ting utan att behöva fysiskt flytta personal och utrustning. Istället kan man utnyttja befintlig infrastruktur av routrar, kablar och kontor. Precis som vanliga LAN, kan man kontrollera kommunikationen VLAN har med utomstående nätverk, vilket garanterar säkerhet.
Fördelar med VLAN
Att välja mellan VLAN och LAN beror helt och hållet på hur nätverket ska användas. Det är främst i större nätverk som man har användning för VLAN.
Uppdelning
Genom att använda VLAN kan man till exempel separera på personal och besökare trots att alla använder samma övergripande nätverk. Man kan avgränsa specifika delar av nätverket, vilket kan användas för att begränsa användares tillgång baserat på deras arbetsuppgifter. Revisorer behöver sällan kommunicera med forskningsavdelningen och vice versa. Detta höjer nätverkets säkerhet och gör verksamheten mer robust.
Säkerhet
VLAN har många fördelar, men den absolut viktigaste är den ökade säkerheten som möjliggörs. Genom att strukturellt segmentera nätverket hindrar man obehöriga från att komma åt känsliga delar av det. Så länge nätverksarkitekturen är utformad på rätt sätt är säkerheten väldigt robust. Man kan komplettera detta vidare genom att installera brandväggar, använda VPN och annan säkerhetsprogramvara.
Flexibilitet
VLAN möjliggör inte bara segmentering av nätverket, utan också sammankoppling. Separata delar av samma organisation får ett standardiserat sätt att överföra filer och kommunicera med varandra. Det sker dessutom i enlighet med specifika restriktioner och förhållanden. All typ av kommunikation är till exempel inte lämplig mellan segment av nätverket. Detta är upp till nätverksadministratören att lista ut när nätverket konfigureras. Det är alltså väsentligt att nätverksarkitekturen är väl uttänkt innan den tas i bruk. VLAN gör det också enklare att utföra felsökningar och åtgärda problem på grund av att det finns distinkta nätverkssegment.
Typer av VLAN
VLAN i sig är ett ganska enkelt koncept. Det finns däremot flera specifika implementationer som är lite mer tekniskt specifika.
Management VLAN
Management VLAN innebär att ett separat VLAN skapas för hantering av administrativa uppgifter, till exempel hantering av inloggnings- och kontouppgifter, övervakning, systemunderhåll och andra känsliga uppgifter. En annan viktig fördel som inte har direkt koppling till nätverkets säkerhet är att man är oberoende av att all annan trafik på nätverket. Man har en separat linje att använda som inte påverkas av att mycket bandbredd används.
Data VLAN
Data VLAN eller User VLAN är avsett för data som kommer från vanliga användare av nätverket. Dessa VLAN innehåller användare som har snarlika eller relaterade uppgifter i organisationen. Om du tar ett universitet skulle man till exempel kunna ha olika data VLAN baserat på studieområde. Problematiken här är att man måste lista ut hur man ska konfigurera nätverket i förväg. Hur ska verksamheten delas upp i olika logiska enheter? Det är en fråga som ofta är avgörande för effektiviteten av organisationen.
Voice VLAN
Det kanske är lite förvånande att man måste ha ett specifikt VLAN för röstkommunikation. Det har att göra med de specifika kraven som gäller för denna typ av trafik. Röstkommunikation måste ha garanterad bandbredd för att kunna säkerställa röstkvalitet, prioriteras över annan sorts trafik, kunna omdirigeras på ett smart sätt och inte utsättas för för stora fördröjningar.
Taggat och otaggat VLAN (802.1Q)
Taggat VLAN innebär att varje datapaket har en tillhörande tag eller märkning som innehåller information om vilket VLAN datan tillhör. Konceptuellt fungerar det som IP-protokollets header-information och innehåller bland annat adresser. Följ länken för att läsa mer om IP-adresser. Standarden som följs här kallas för IEEE 802.1Q. Dessa switchar har också någonting som kallas för trunk ports, vilket innebär att man kan koppla ihop flera länkar mellan switchar för att ge varje VLAN en privat länk.
Default VLAN
En switch i ett nätverk har olika portar som leder till diverse slutnoder eller användarenheter. Dessa switchar tillhör ett Default VLAN som automatiskt konfigureras när switchen först används. Vanligtvis kallas detta för VLAN1. Det kan i många fall inte stängas ned och överför trafik relaterat till hur nätverket ska prioritera och dirigera datapaket.
Native VLAN
Native VLAN är helt enkelt ett VLAN som tar sig över en trunk port utan att vara taggat. Detta används främst för äldre enheter där taggning inte var normen. 802.1Q stödjer otaggad trafik, vilket inte alla standarder gör.
Portbaserat VLAN
Ett portbaserat VLAN innebär att VLAN:et enbart består av portar i en given switch. Man kan alltså ändra vilka som tillhör nätverket genom att koppla om kablarna, vilket inte är speciellt säkert.
MAC-baserat VLAN
Till skillnad från portbaserat VLAN använder den MAC-baserade varianten enheternas MAC-adresser för att bestämma vilket VLAN den tillhör. Detta är betydligt säkrare än den portbaserade varianten eftersom den fysiska sammansättningen av kablar inte avgör nätverkets struktur.
Hur konfigurerar man VLAN?
- För att konfigurera de portar du vill använda går du till “VLAN Configuration” och sedan “VLAN Port Configuration”.
- Under “Port” anger du ge1/1. Det syftar till switchens första port som i det här fallet är den så kallade Trunk-porten som tar emot data från routern.
- Gå sedan till “Mode” och vidare till “Trunk”. Där anger du vlan1 under “Current VLAN”.
- Därefter klickar du på “Default VLAN”, väljer vlan20 och klickar på “Tagged”.
- Det är allt! Nu har du konfigurerat port 1 för att fungera med båda VLAN:en från routern.
Hur prioriteras trafik?
Varje VLAN har ett specifikt VLAN-ID, vilket utgående datapaket bär med sig när de färdas genom nätverket. Olika VLAN-ID har olika associerade prioritetsnivåer som fastställs i förväg. Detta är ett speciellt sätt att prioritera trafik som används av standarden 802.1Q. Prioriteringen behöver inte nödvändigtvis följa den numeriska ordningen av varje VLAN:s ID. Default VLAN (VLAN 1) kan till exempel prioriteras under VLAN 33 eller vice versa.
Sammanfattning
VLAN gör det möjligt att dela upp nätverk utan att behöva tänka på var användarna befinner sig rent fysiskt. Det spelar ingen roll om de är anslutna till en speciell port eller del av nätverket. Man kan skilja på hur nätverket logiskt sett fungerar från hur det fysiskt sett är uppbyggt och får på så sätt bättre kontroll över hur trafik dirigeras. Nätverket blir säkrare och lättare att överse.