Virtuelt lokalnettverk (VLAN)
VLAN er et samlebegrep for flere standarder (noen proprietære) som gjør det mulig å sette opp flere segmenterte, eller adskilte, logiske nettverk på ett og samme fysiske utstyr. Dermed kan man gi forskjellige brukergrupper hver sine logiske nettverk som ikke påvirker hverandre.
Den viktigste standarden i dag er IEEE 802.1Q, og denne er støttet av de fleste utstyrsleverandørene.
Datapakker merkes med VLAN-nummer (VLAN tag) i Ethernet-rammen (Ethernet frame) som er del av lag 2, datalinklaget, i TCP/IP-modellen.
VLAN-nummeret identifiserer hvilket virtuelt lokalnettverk datapakken tilhører. Nettverksutstyr som administrerbare (managed) svitsjer og rutere konfigureres med regler for hvilke VLAN som skal være tilgjengelig på hvilke fysiske nettverksporter, og det sikrer at datapakkene ikke kan sendes feil.
De fleste organisasjoner og bedrifter må dekke behov for flere forskjellige brukergrupper samtidig. Hver brukergruppe har spesielle behov for tilganger til internett, data og tjenester. Noen brukergrupper trenger sensitiv informasjon, og det er viktig at denne informasjonen er utilgjengelig for andre i nettverket. Enkelttjenester kan som oftest beskyttes med passord og kryptering, men det er enda bedre hvis tjenestene ikke engang er synlige for dem som ikke trenger dem.
Å samle alle brukerne i et enkelt logisk nettverk gir økt fare for brukerfeil og større risiko for angrep både fra interne og eksterne trusselaktører.
Hvis nettverk skal settes opp uten VLAN, må hver brukergruppe ha sitt eget fysiske oppsett som holdes adskilt. Tenk deg en liten bedrift. Bedriften trenger et nettverk for eget utstyr og et nettverk som gjester (og ansattes private utstyr) kan koble seg til for å få internett-tilgang, men ingen andre tilganger.
Det går fint an å sette opp en ruter som er koblet til internett på den ene siden, og som er tilkoblet to separate lokale nettverk som på bildet under. Begge nettverkene er koblet til den samme ruteren – via forskjellige fysiske porter, men ruteren holder nettverkene adskilte slik at direkte kommunikasjon mellom nettverkene ikke er mulig.
Et slikt oppsett gjør det mulig å sikre ansattnettverket mot eventuelle trusselaktører som får tilgang til gjestenettverk, der passordet som oftest er fritt tilgjengelig for alle som spør. Hvis internettkapasiteten er begrenset, kan også gjestenettverket ha begrensinger fordi det ikke skal bruke opp kapasiteten som de ansatte trenger for å arbeide effektivt. Ulempen med oppsettet er behovet for mer maskinvare og kabling. I store oppsett med mange brukergrupper vil dette være upraktisk.
Oppsett med VLAN krever at nettverksutstyret, det vil si ruter, svitsjer og aksesspunkter, støtter VLAN. Et oppsett med to VLAN, ett for ansatte og ett for gjester, kan settes opp med kun ett sett av utstyr.
Ruteren responderer på to forskjellige VLAN-nummer og to forskjellige IP-segmenter. Fra ruteren går en fysisk kabel som inneholder begge VLAN (trunk) og går til svitsjen.
To aksesspunkter er også koblet til svitsjen, og de får begge levert VLAN. Moderne aksesspunkter kan levere flere trådløse nettverk samtidig (flere samtidige SSID-er). Det trengs derfor bare ett aksesspunkt per område, og hvert av disse leverer ut både trådløst nettverk for ansatte og gjestenettverk.
Hver fysiske port på svitsjen kan konfigureres med et bestemt, flere bestemte eller alle tilgjengelige VLAN. Dette er for eksempel nyttig hvis stasjonære datamaskiner eller servere skal kobles til. Svitsjporten kan da konfigureres slik at bare ønsket VLAN er tilgjengelig for datamaskinen eller serveren.
VLAN uten VLAN-nummer (Native VLAN)
Hver fysiske nettverksport på svitsj kan konfigurere separat med de VLAN-ene som skal være tilgjengelige. Det er også mulig å bestemme at VLAN-nummer skal fjernes fra datapakker fra et bestemt VLAN. Dette kalles Native VLAN, og det gjør det mulig for utstyr som ikke støtter VLAN, eller ikke er konfigurert for å fungere mot et bestemt VLAN, å få tilgang. Datapakker som kommer fra enhetene og ikke har VLAN-nummer, vil få tilført riktig VLAN-nummer når det kommer til svitsjen.
Related content
TCP/IP-modellen viser hvordan datapakker bygges opp for å få den fram til riktig mottaker og hvordan de tolkes når de kommer fram.
I denne simuleringen får du sette opp flere VLAN i et enkelt fysisk nettverk.