Virtuelt lokalnettverk (VLAN)
VLAN er eit samleomgrep for fleire standardar (nokre proprietære) som gjer det mogleg å setje opp fleire segmenterte, eller åtskilde, logiske nettverk på eitt og same fysiske utstyr. Dermed kan ein gi forskjellige brukargrupper kvar sine logiske nettverk som ikkje påverkar kvarandre.
Den viktigaste standarden i dag er IEEE 802.1Q, og denne er støtta av dei fleste utstyrsleverandørane.
Datapakkar blir merkte med VLAN-nummer (VLAN tag) i Ethernet-ramma (Ethernet frame) som er del av lag 2, datalinklaget, i TCP/IP-modellen.
VLAN-nummeret identifiserer kva for eit virtuelt lokalnettverk datapakken høyrer til. Nettverksutstyr som administrerbare (managed) svitsjar og ruterar blir konfigurert med reglar for kva VLAN som skal vere tilgjengeleg på kva for fysiske nettverkssportar, og det sikrar at datapakkane ikkje kan sendast feil.
Dei fleste organisasjonar og bedrifter må dekkje behov for fleire ulike brukargrupper samtidig. Kvar brukargruppe har spesielle behov for tilgangar til internett, data og tenester. Nokre brukargrupper treng sensitiv informasjon, og det er viktig at denne informasjonen er utilgjengeleg for andre i nettverket. Enkelttenester kan som oftast bli beskytta med passord og kryptering, men det er endå betre viss tenestene ikkje eingong er synlege for dei som ikkje treng dei.
Å samle alle brukarane i eit enkelt logisk nettverk gir auka fare for brukarfeil og større risiko for angrep både frå interne og eksterne trusselaktørar.
Dersom nettverk skal setjast opp utan VLAN, må kvar brukargruppe ha sitt eige fysiske oppsett som blir halde åtskilt. Tenk deg ei lita bedrift. Bedrifta treng eit nettverk for sitt eige utstyr og eit nettverk som gjestar (og det private utstyret til tilsette) kan kople seg til for å få internett-tilgang, men ingen andre tilgangar.
Det går fint an å setje opp ein ruter som er kopla til internett på den eine sida, og som er kopla til to separate lokale nettverk som på biletet under. Begge nettverka er kopla til den same ruteren – via ulike fysiske portar, men ruteren held nettverka åtskilde slik at direkte kommunikasjon mellom nettverka ikkje er mogleg.
Eit slikt oppsett gjer det mogleg å sikre tilsettnettverket mot eventuelle trusselaktørar som får tilgang til gjestenettverk, der passordet som oftast er fritt tilgjengeleg for alle som spør. Dersom internettkapasiteten er avgrensa, kan òg gjestenettverket ha avgrensingar fordi det ikkje skal bruke opp kapasiteten som dei tilsette treng for å arbeide effektivt. Ulempa med oppsettet er behovet for meir maskinvare og kabling. I store oppsett med mange brukargrupper vil dette vere upraktisk.
Oppsett med VLAN krev at nettverksutstyret, det vil seie ruter, svitsjar og aksesspunkt, støttar VLAN. Eit oppsett med to VLAN, eitt for tilsette og eitt for gjester, kan setjast opp med berre eitt sett av utstyr.
Ruteren responderer på to ulike VLAN-nummer og to ulike IP-segment. Frå ruteren går ein fysisk kabel som inneheld begge VLAN (trunk) og går til svitsjen.
To aksesspunkt er òg kopla til svitsjen, og dei får begge levert VLAN. Moderne aksesspunkt kan levere fleire trådlause nettverk samtidig (fleire samtidige SSID-ar). Det trengst derfor berre eitt aksesspunkt per område, og kvart av desse leverer ut både trådlaust nettverk for tilsette og gjestenettverk.
Kvar fysiske port på svitsjen kan konfigurerast med eit bestemt, fleire bestemde eller alle tilgjengelege VLAN. Dette er til dømes nyttig viss stasjonære datamaskiner eller serverar skal koplast til. Svitsjporten kan då konfigurerast slik at berre ønskte VLAN er tilgjengelege for datamaskina eller serveren.
VLAN utan VLAN-nummer (Native VLAN)
Kvar fysiske nettverksport på svitsj kan konfigurere separat med dei VLAN-a som skal vere tilgjengelege. Det er òg mogleg å bestemme at VLAN-nummer skal fjernast frå datapakkar frå eit bestemt VLAN. Dette kallar vi Native VLAN, og det gjer det mogleg for utstyr som ikkje støttar VLAN, eller ikkje er konfigurert for å fungere mot eit bestemt VLAN, å få tilgang. Datapakkar som kjem frå einingane og ikkje har VLAN-nummer, vil få tilført riktig VLAN-nummer når det gjeld svitsjen.
Relatert innhald
TCP/IP-modellen viser korleis datapakkar blir bygde opp for å få dei fram til riktig mottakar og korleis dei blir tolka når dei kjem fram.
I denne simuleringa får du setje opp fleire VLAN i eit enkelt fysisk nettverk.