VLAN (1) - historie a význam

Transkript

1 VLAN (1) - historie a význam Historie virtuálních sítě začíná rokem Tehdy, rok po uvedení prvních přepínačů, se objevily první proprietární implementace VLAN. Ihned si získaly pozornost uživatelů, protože slibovaly provozovatelům sítí a jejich administrátorům úspory tisíců dolarů, spojených se změnami v konfiguraci sítí, při zlepšených možnostech managementu a zvýšení výkonu. Historie virtuálních sítě začíná rokem Tehdy, rok po uvedení prvních přepínačů, se objevily první proprietární implementace VLAN. Ihned si získaly pozornost uživatelů, protože slibovaly provozovatelům sítí a jejich administrátorům úspory tisíců dolarů, spojených se změnami v konfiguraci sítí, při zlepšených možnostech managementu a zvýšení výkonu. Tím, že umožní správcům snadnou segmentaci sítě do logických subsítí, které jsou nezávislé na fyzické vrstvě, virtuální sítě mohou zjednodušit úlohy managementu, jako jsou např. přesun či přidání pracovní stanice a vytváření logických pracovních skupin. Dnešní využití těchto virtuálních sítí je trošku odlišné od původních představ, kdy se předpokládalo, že každé oddělení bude mít svou vlastní virtuální síť napříč celým podnikem. Často se uváděly výsledky výzkumných studií ze Spojených států, podle kterých konfigurační změny v sítích LAN (přesuny a přidávání pracovních stanic atd.), patří mezi největší nákladové položky v rozpočtech na management sítí až 40 % ročních nákladů. Virtuální sítě se tedy nezačaly implementovat jen z důvodu pohodlí správce, ale jedním z hlavních proklamovaných důvodů byla mimo jiné úspora nákladů. V našich podmínkách budou samozřejmě platit jiné údaje, navíc se s vývojem síťových technologií důvod implementace VLAN posunul trochu jinam. Technologie, která stojí za virtuálními sítěmi, je tedy založena na přepínačích, které přinesly tolik žádané zvýšení propustnosti přetíženým sítím (virtuální sítě jsou vlastně "vedlejší" produkt vývoje přepínaných technologií). Použití přepínaných technologií k rozdělení datové zátěže na síti (segmentace) umožňuje připojovat více uživatelů bez nutnosti obětovat část výkonu. Virtuální sítě posouvají segmentaci sítí o krok dále tím, že oddělují fyzickou vrstvu sítě (první vrstvu dle OSI modelu) od logické síťové topologie. Očekávaný "boom" virtuálních sítí ale nenastal, podle mého názoru to bylo hlavně z těchto důvodů: Implementace VLAN byla dlouho proprietární záležitostí jednotlivých výrobců přepínačů, což znemožňovalo vytváření rozsáhlých virtuálních sítí ve smíšeném prostředí; byly podceněny vlastní administrativní náklady na zavedení a správu VLAN; proklamované přínosy nebyly až tak významné. A tak jejich doba snad nastává až nyní, kdy probíhá teprve ten pravý rozmach přepínání "na všech vrstvách" a opravdu vznikají celé sítě, založené na přepínaných technologiích. Kdo zná správnou definici? Co tedy VLAN vlastně jsou? Jak jsme si již řekli, v hrubém přiblížení virtuální sítě lze definovat jako domény všesměrového vysílání (stejně jako LAN).

2 Jiná více specifická definice by mohla znít "Virtuální LAN je logický segment LAN, který spojuje (obsahuje) nody (koncové uzly), které mohou být připojené k různým fyzickým segmentům a mohou spolu komunikovat jako by byly na společné LAN.". Z této definice je zřejmé, že problematika virtuálních sítí je převážně softwarová záležitost jen podpořená inteligentním hardware. Implementace technologie VLAN byla dlouho převážně proprietární záležitost jednotlivých výrobců. Bylo to dáno neexistencí standardu po dlouhou dobu standardu, který by definoval způsob členství jednotlivých uzlů ve VLAN, vztah mezi VLAN a směrováním atd. VLAN (2) - typologie VLAN Protože lze členství ve VLAN definovat různými způsoby, typologicky se VLAN rozdělují se na sítě se členstvím podle portů a na tzv. policy based. Podrobnější praktické dělení pak rozeznává čtyři typy VLAN se členstvím podle portů; MAC adres uzlů; síťového protokolu nebo síť. adres uzlů; skupinového IP vysílání. Protože lze členství ve VLAN definovat různými způsoby, typologicky se VLAN rozdělují se na sítě se členstvím podle portů a na tzv. policy based. Podrobnější praktické dělení pak rozeznává čtyři typy VLAN se členstvím podle: portů; MAC adres uzlů; síťového protokolu nebo síť. adres uzlů; skupinového IP vysílání. VLAN podle portů Tento historicky první typ virtuálních sítí definuje členství v síti pro jednotlivé porty přepínače (skupiny portů). První implementace těchto VLAN neumožňovaly rozšíření virtuální sítě přes více přepínačů, byly omezeny pouze na jeden přepínač. Druhá generace to již dovolila, příklad takto definované sítě je na obrázku č. 1.

3 Obr. 1 VLAN se členstvím podle portů Seskupování portů je stále nejpoužívanější metodou při vytváření virtuálních sítí. Je sice velmi jednoduchá a názorná, její základní omezení ale spočívá v nutnosti předefinování členství při jakémkoliv přesunu uživatelské stanice mezi jednotlivými porty přepínače (tedy přesněji řečeno takové změně portu, při které by došlo ke změně členství ve virtuální síti). VLAN podle MAC adresy MAC adresa je "natvrdo zadrátovaná" v obvodech síťového adaptéru, takže na takto definované virtuální sítě lze pohlížet jako na VLAN podle uživatelů. Změní li totiž uživatel svoje připojení (přemístí se svojí stanicí na jiný segment/port přepínače), jeho členství ve VLAN se nezmění. Při této metodě je nutností prvotní manuální definice členství pro všechny stanice sítě. Jinou nevýhodou je možnost podstatného snížení výkonu v případě, že na portu přepínače je připojen sdílený segment se stanicemi v různých VLAN. Dalším, spíše ale jen okrajovým problémem může být situace, kdy uživatelé s mobilními notebooky mění svoji pozici a připojují se pomocí stabilně připojených docking stations. Tím se jím definiční MAC adresa s lokalitou mění (síťový adaptér je většinou součástí docku). Ačkoliv je to minoritní problém, dobře ilustruje jistá omezení VLAN, založených na členství podle MAC adresy. Možnost uživatelského předefinování vlastní MAC adresy přímo v operačních systémech tento problém např. z bezpečnostního hlediska ještě více komplikuje. VLAN podle protokolu nebo adres Takto definované virtuální sítě jsou založeny na informacích ze třetí, tedy síťové vrstvy podle OSI modelu. V multiprotokolových sítích mohou být přiřazeny uzly do jednotlivých VLAN podle provozovaných síťových protokolů nebo např. v sítích s protokolem TCP/IP podle adresy podsítě. Ačkoliv se zde pracuje s informacemi síťové vrstvy, je důležité si uvědomit, že se nejedná o jejich využití pro směrování. I když přepínač musí prohlédnout paket k určení IP adresy a tím členství ve VLAN, neprovádí žádné směrovací výpočty. Přepínač nevyužívá směrovací protokoly (jako jsou

4 RIP, OSPF) a i na VLAN definovanou podle informací ze třetí, síťové vrstvy se musíme dívat jako na síť s plochou topologií, propojenou přepínači či můstky. Rozmach přepínání i na třetí, síťové vrstvě a existence přepínačů se zabudovanými schopnostmi směrovačů tento problém při prvním pohledu trochu zamlžuje. Jedná se ale o odlišné funkce pouhé určení členství ve VLAN na základě síťové adresy v jednom případě a plné využití směrovacích schopností na základě směrovacích protokolů a výpočtů na straně druhé. Zde je nutné podotknout, že komunikace mezi jednotlivými VLAN vyžaduje použití směrovačů ať už klasických nebo právě těchto zabudovaných v přepínačích se směrovacími funkcemi. Způsob definice VLAN podle síťové vrstvy má své zřejmé výhody. Patří mezi ně mobilita uživatelů či přesněji řečeno jejich stanic bez nutnosti překonfigurování členství ve VLAN, možnost vytváření skupin specifických pro jistou službu nebo aplikaci a eliminaci potřeby značkování paketů informací o členství ve VLAN při vzájemné komunikaci přepínačů (viz dále). Uveďme si jednoduchý příklad, jak může správce sítě vytvořit např. specializovanou virtuální síť pro IPX protokol. Jak je znázorněno na obrázku č. 2, porty 6/1, 7/1, 1/1 a 2/2 tvoří IPX VLAN. Tyto porty zůstávají členy VLAN, vytvořených podle portů, ale jsou zároveň novými členy dynamicky vytvořené virtuální sítě pro protokol IPX. Ostatní porty tak nejsou "obtěžovány" pakety IPX všesměrového vysílání. VLAN podle skupinového vysílání Obr. 2 Vytvoření VLAN podle síťového protokolu Skupinové vysílání v IP sítích (IP multicast) pracuje tak, že paket, určený ke skupinovému vysílání je poslán na speciální adresu, která funguje jako proxy pro explicitně definovanou skupinu uzlů (IP adres). Paket je pak doručen všem uzlům, které jsou členy dané skupiny. Ta se sestavuje dynamicky, uzly se do této skupiny průběžně přihlašují a odhlašují. Na všechny stanice takovéto skupiny můžeme tedy pohlížet jako na členy jedné virtuální LAN, protože skupina tvoří jednu doménu všesměrového vysílání. Od předchozích uvedených typů se liší ve dvou podstatných rysech je vytvářena dynamicky jen na určitou dobu, takže je velmi flexibilní a

5 její rozsah není omezen směrovači, tzn., že se může rozprostírat např. i po rozlehlé síti WAN. VLAN (3) konfigurace Rozdělili jsme si virtuální sítě podle způsobu definice členství jednotlivých uzlů uživatelů. Čili víme, jaké možné typy VLAN se používají, pojďme si tedy něco málo říct o vlastním vytváření virtuální sítě. Nejběžnější způsob je ten nejpracnější tedy manuální přiřazení jednotlivých portů nebo MAC adres do definované LAN. Rozdělili jsme si virtuální sítě podle způsobu definice členství jednotlivých uzlů uživatelů. Čili víme, jaké možné typy VLAN se používají, pojďme si tedy něco málo říct o vlastním vytváření virtuální sítě. Nejběžnější způsob je ten nejpracnější tedy manuální přiřazení jednotlivých portů nebo MAC adres do definované LAN. K tomuto účelu slouží různé správní aplikace, dodávané výrobci přepínačů, buď jako samostatné programy, nebo jako součásti větších správních balíků, s plně grafickým rozhraním, technikou "drag&drop" pro změny a přesuny, dnes i s www rozhraním. Při manuální konfiguraci sítě máme sice vše plně pod kontrolou, nevýhodou je ale vysoká pracnost. Částečná automatizace buď jen počáteční konfigurace nebo následných rekonfigurací (přesunů/změn), případně obou, nám může tuto práci ušetřit. Můžeme nechat VLAN automaticky vytvořit např. podle existujících podsítí nebo jiných kritérií. Plně automatická konfigurace znamená, že uzly se dynamicky připojují do VLAN v závislosti na používané aplikaci nebo podle jiných pravidel, stanovených administrátorem sítě. Např. u sítí, tvořených na základě IP podsítí, může pomoci automatická konfigurace pomocí DHCP. VLAN a struktura firmy Z hlediska virtuálních sítí můžeme pozorovat dva protichůdné trendy. Na jedné straně segmentujeme sítě z důvodu zmenšování zátěže (lokalizací zdrojů, vytvářením ohraničených domén všesměrového vysílání), na straně druhé nám nové aplikace pro skupinovou spolupráci, e mail, aplikace Intranetu, všeobecný přístup k Internetu atd., působí opačným trendem. K těmto aplikacím vyžadují uživatelé přístup bez ohledu na členství ve VLAN. V předchozím jsme si definovali způsoby vytváření VLAN podle typu členství uzlů. To je konkrétní způsob fyzické konfigurace VLAN na přepínači. Podívejme se nyní krátce na možnosti vytváření VLAN z jiného pohledu z pohledu struktury organizace a sdílených zdrojů. Virtuální sítě můžeme tak vytvořit dvěma způsoby: Podle organizační struktury firmy. Samostatná VLAN je vytvořena pro každou organizační jednotku podniku (konstrukce, výroba, obchod odděl., atd.). Předpokládáme, že většina komunikace probíhá v rámci jednotky se specializovanými lokálními servery jednotlivých oddělení, tiskárnami atd. Pouze celopodnikově sdílené zdroje (např. e mail brána) jsou členy všech virtuálních sítí. Tento přístup je administrativně poměrně nenáročný a je vhodný pro organizace s jasně definovanou plochou strukturou. Podle poskytovaných služeb. Tento přístup nekopíruje organizační strukturu firmy, ale je

6 založen na přístupu uživatelů k jednotlivým poskytovaným síťovým službám. Tzn., že každá VLAN odpovídá jedné službě (související skupině služeb) sítě. Např. členy VLAN, odpovídající službě e mail, budou asi všichni uživatelé, členy VLAN, odpovídající databázového serveru s ekonomickými agendami, budou jen členové ekonomického oddělení atd. Tento přístup je sice administrativně mnohem náročnější než předchozí způsob, lépe ale odpovídá dnešní, mnohem méně rigidní organizaci moderních firem. Vzájemná komunikace přepínačů Ještě než si povíme o současném stavu standardizace v oblasti virtuálních sítí, podívejme se nejprve podrobněji na to, co a proč je vlastně nutné ve vytváření VLAN standardizovat. Nemá li být VLAN omezena na jeden samostatný přepínač, musí si být přepínače schopny navzájem předat informace o členství jednotlivých uzlů (který uzel patří do které VLAN). Odhlédneme li od prostředí ATM (vytváření virtuálních sítí pomocí technologie emulace LAN), byly zkoušeny v podstatě tři metody pro vzájemné předávání těchto informací mezi přepínači: Adresové tabulky. Přepínače si udržují v paměti tabulky adres jednotlivých uzlů a odpovídajícího členství ve VLAN, platnost tabulek musí být udržována stálou vzájemnou synchronizací. Tato vzájemná signalizace může zbytečně zatěžovat síťovou komunikaci v případě rozlehlejší sítě. Frame tagging. Jednotlivé rámce jsou při přenosu mezi přepínači (po tzv. interswitchtrunks) opatřeny speciální hlavičkou, nesoucí informaci o členství ve VLAN. TDM. Tato metoda spočívá v rezervaci samostatných přenosových kanálů na spojích mezi přepínači pro jednotlivé VLAN. Z principu TDM (time division multiplexing) vyplývá neefektivní využití přenosového pásma. Po nástinu možných metod vzájemné komunikace přepínačů nás nepřekvapí tvrzení, že dlouhou dobu byla velmi malá pravděpodobnost, že přepínače dvou výrobců budou v oblasti VLAN spolupracovat. Tento stav měl, jak jsem se již výše zmínil, nejen neblahý vliv na rozvoj technologie virtuálních sítí, ale hlavně i na jejich přijetí zákazníky. Odkázanost na produkty pouze jednoho výrobce je ve velkých podnikových sítích nepřijatelná. Příště se tedy již podíváme na vývoj standardů pro VLAN a současný stav. VLAN (4) standard 802.1Q Po nástinu možných metod vzájemné komunikace přepínačů v minulém díle se tedy již podíváme na vývoj standardů pro VLAN a současný stav. Prvotní dva nejdůležitější návrhy, které se objevily, byly "Vlan Standard" od firmy Cisco z roku 1995, a 802.1Q, návrh podvýboru z března Po nástinu možných metod vzájemné komunikace přepínačů v minulém díle se tedy již podíváme na vývoj standardů pro VLAN a současný stav. Prvotní dva nejdůležitější návrhy, které se objevily byly:

7 "Vlan Standard". Tento návrh vzešel od firmy Cisco v roce 1995, která se pokusila využít svůj návrh IEEE , původně vyvinutý pro oblast bezpečnosti LAN. Upravená hlavička rámce měla místo zabezpečovacích informací nést identifikační informace VLAN. Technicky bylo řešení vyhovující, většina členů výboru 802 organizace IEEE se ale postavila proti. Silně jim vadilo použití jednoho standardu pro dva různé účely. Jinou podstatnou komplikací byl předpoklad použití identifikačních polí s proměnnou délkou. To by pravděpodobně způsobovalo zpoždění při zpracování rámců v ASIC obvodech přepínačů, stejně tak i jejich vyšší cenu Q. Návrh podvýboru z března 1996 stanovil tři hlavní oblasti řešení zásady tvorby VLAN, standardizovaný formát přídavných hlaviček rámce (frame tagging pro výměnu informací o členství ve VLAN mezi přepínači) a směr dalšího vývoje. Význam tohoto návrhu spočívá právě v části standardizace formátu přídavných hlaviček rámce, známém jako 802.1Q (Standard for VirtualBridgedLocal Area Networks). Ačkoliv byl návrh standardu 802.1Q významným přínosem, přijatým záhy většinou výrobců přepínačů 3Com, Bay Networks (dnes Nortel), Cisco, IBM atd., brzy se ukázal i jeho významný nedostatek. Definuje totiž vytváření VLAN jen na základě první a druhé vrstvy (dle portů a MAC adres), neumožňuje vyváření VLAN na základě třetí vrstvy. To v dnešní době s orientací na virtuální sítě definované podle IP podsítí již nevyhovuje. Tyto VLAN tak bohužel zůstávají doménou proprietárních řešení jednotlivých výrobců Q podrobněji Standard 802.1Q definuje členství datových rámců v jednotlivých VLAN jejich značkováním a způsob zpracování paketů a informací o členství jednotlivými přepínači. Smyslem je umožnit aplikacím, koncovým uzlům a přepínačům označkovat pakety informací o členství v dané VLAN tak, aby je pak přepínače odpovídajícím způsobem směrovali nebo filtrovali mezi hranicemi jednotlivých virtuálních sítí, a to bez nutnosti jejich zvláštní konfigurace. Přepínače si musí udržovat tzv. filtrační databázi, která sestává z položek dvou typů: Statické položky jsou přidávány, modifikovány nebo mazány pouze správními nástroji. Položky mohou být dvou typů: Static Filtering Entries specifikují pro každý port, zdali mají být rámce, posílané na specifickou MAC adresu nebo skupinovou adresu a na specifickou VLAN, směrovány nebo odstraněny. Static RegistrationEntries specifikují, zdali mají být rámce, posílané na specifickou VLAN, označkovány nebo má být značkování odstraněno, a které porty jsou pro tuto VLAN zaregistrovány. Dynamické položky jsou dynamicky vytvářeny přepínačem bez zásahu správních nástrojů. Tento "samoučící" proces sleduje, ze kterého portu rámec přišel, s jakou zdrojovou adresou a identifikačním číslem virtuální sítě (VLAN ID), a aktualizuje údaj ve filtrační databázi. Položky se po jisté, nastavitelné době ("ageingtime") automaticky z databáze odstraňují. Dynamické položky mohou být tří typů: Dynamic Filtering Entries specifikují, zdali mají být rámce, posílané na specifickou

8 MAC adresu nebo specifickou VLAN, směrovány nebo odstraněny. Group RegistrationEntries indikují pro každý port, zdali mají být rámce, posílané na skupinovou MAC adresu a na specifickou VLAN, odfiltrovány či odstraněny. Tyto položky jsou přidávány či mazány na základě informací, vyměňovaných protokolem GMRP (Group Multicast Registration Protocol). Je tak umožněno zasílání zpráv skupinového vysílání v rámci jedné VLAN bez ovlivnění ostatních. DynamicRegistrationEntries určují, které porty jsou registrovány pro specifickou VLAN. Jako v předchozím případě, i zde jsou položky přidávány či mazány na základě informací, vyměňovaných speciálním protokolem GARP VLAN Registration Protocol, kde GARP je GenericAttributeRegistration Protocol. Značkování rámců Přepínače musí znát při směrování rámců jejich příslušnost k jednotlivým VLAN. Pak mohou rozhodnout, na které výstupní porty budou rámce poslány. Informace o příslušnosti rámců k jednotlivým VLAN jsou přidávány k rámcům ve formě speciálních značek tagů. Mimo tohoto základního účelu těchto značek mohou tagy také nést: informace o uživatelsky přiřazené prioritě; řídící informace pro sourcerouting; informaci o formátu MAC adresy. Uživatelsky přiřazenou prioritu definuje standard 802.1p, který byl zaveden současně s 802.1q. Oba využívají několik bitů v hlavičce Ethernetového rámce. Tak musel být zaveden nový formát Ethernetového rámce, který je definován standardem 802.3ac. Následující obrázek ozřejmuje rozdíl mezi standardním a novým 802.3ac Ethernetovým rámcem. Obr. 3 Rozdíl mezi standardním a 802.3ac Ethernetovým rámcem Nová pole přidávají do rámce další čtyři bajty: Pole TPID má definovanou hodnotu 8100 (hex). Má li tedy toto pole (EtherType) hodnotu 8100, rámec nese informace IEEE 802.1q/ 802.1p. Podrobnější pohled na pole TCI je ve spodní části obrázku č. 3. První část, pole User priority umožňuje zakódování až osmi úrovní priority rámců (0 7, nula je přitom nejnižší priorita) dle standardu 802.1p.

9 CFI bit indikuje, jestli jsou MAC adresy v kanonickém formátu (v případě SNAP kódovaného TPID) nebo přítomnost RIF pole (Source RoutingInformationField) u rámců Token Ring, zaveden z důvodu kompatibility. Pole VID pak jednoznačně identifikuje VLAN, do které rámec přísluší. Z velikosti pole (12 bitů) plyne teoretický max. počet virtuálních sítí (2^12 = 4096). Hodnota 0 se používá k identifikaci prioritních rámců a hodnota 4095 (FFF) je rezervována, takže zbývá max VLAN. VLAN (5) virtuální sítě pomocí LAN Emulace Za zvláštní typ VLAN můžeme považovat i virtuální sítě, vytvořené technologií LAN Emulace. Ačkoliv technologie virtuálních sítí vznikla původně v prostředí Ethernetových přepínačů, nic nebránilo jejímu použití i v sítích ATM. V heterogenních sítích Ethernet plus ATM lze aplikovat VLAN dvěma způsoby. Za zvláštní typ VLAN můžeme považovat i virtuální sítě, vytvořené technologií LAN Emulace. Ačkoliv technologie virtuálních sítí vznikla původně v prostředí Ethernetových přepínačů, nic nebránilo jejímu použití i v sítích ATM. V heterogenních sítích, tvořených jak segmenty sdíleného či přepínaného Ethernetu (to nejčastěji, historicky plus FDDI a Token Ring), tak technologií ATM, lze aplikovat VLAN dvěma způsoby. Je li technologie ATM použita pouze na páteřní přepínače, tzn., že v síti nejsou žádné koncové uzly ATM, je toto prostředí páteře ATM pro virtuální sítě naprosto transparentní. Připojené LAN přepínače komunikují mezi sebou (pakety označenými členstvím v dané VLAN) bez toho, že by si "uvědomovaly" existenci ATM sítě mezi sebou. Jiným případem je stav, kdy i sdílené servery jsou připojeny k páteři přímým ATM připojením. Abychom zajistili členství v některé VLAN i těmto uzlům, musíme použít technologii emulovaných LAN (LANE LAN Emulation). Jak je již zřejmé z názvu, základní funkcí LANE je emulace LAN nad ATM sítí. LANE protokol definuje rozhraní pro stávající protokoly vyšší, tzn. síťové vrstvy. Pakety těchto síťových protokolů jsou pak posílány přes ATM síť zapouzdřeny v jednom ze dvou možných LANE MAC rámcích. Řečeno jinými slovy, LANE protokol způsobuje, že ATM síť vypadá jako síť typu Ethernet nebo Token Ring. Základními prvky LANE jsou LES (LAN emulation server), poskytující mapování mezi MAC a ATM adresami, a LEC (LAN emulation client), rozhraní, které musí obsahovat každý člen ELAN (emulované LAN) okrajové přepínače ATM a koncové uzly ATM. Jednotlivé LEC v okrajových přepínačích mohou jako proxy zastupovat standardní uzly, k těmto přepínačům připojené. LES poskytuje dle požadavků jednotlivých LEC překlad mezi MAC a ATM adresami, takže LEC mohou komunikovat mezi sebou přímo po ATM síti a zprostředkovat tak přímou komunikaci přes páteř ATM jednotlivým klasickým uzlům, připojeným k okrajovým přepínačům.

10 Protože LEC může být členem více ELAN, standard LANE umožňuje vytvoření více překrývajících se virtuálních sítí. Tak mohou uzly z různých ELAN přistupovat ke společným síťovým zdrojům bez nutnosti průchodu přes směrovač. Členy ELAN mohou být jen uzly ATM, zatímco členy VLAN mohou být jak uzly ATM, tak i uzly na standardních segmentech. Na členy ELAN tak můžeme pohlížet jako na podmnožinu VLAN. Vzájemný vztah obou sítí názorně zobrazuje obr. č. 4. Propojování ELAN Obr. 4 Vzájemný vztah virtuálních a emulovaných LAN v sítích ATM Vytváření vícenásobných ELAN na jedné ATM síti vyvolává i potřebu jejich propojování jak mezi sebou, tak se stávajícími LAN a WAN sítěmi. Tak jako mezi všemi virtuálními sítěmi, i mezi ELAN je jediná možná komunikace pomocí směrovače. Nejběžnější způsob je přímo pomocí ATM směrovačů tj. směrovačů s výkonnými ATM rozhraními. Často se používá tzv. one armedrouter, směrovač jen s jedním ATM rozhraním. Na tomto jednom fyzickém rozhraní je implementován vícenásobný LEC, každý pro jednu ELAN. Směrování datových paketů pak probíhá stejným způsobem jako u standardních sítí. Jednotlivým ELAN jsou totiž přiřazeny různá čísla sítě (např. IP SubnetNumber). Podle adresy cíle LEC pak pozná, že paket není lokální (cíl není na stejné ELAN) a pošle jej na svůj default router, který samozřejmě musí být členem stejné ELAN. Tento směrovač po obdržení paketu určí ze svých směrovacích tabulek cílovou ELAN. Je li směrovač jejím členem, přesměruje do ní daný paket, v případě one armedrouteru po tom stejném fyzickém rozhraní, jakým byl paket přijat (ale jiným LEC do jiné ELAN). V případě více ELAN na

11 jednom rozhraní je ale nevýhodou možnost vzniku úzkého místa sítě z hlediska propustnosti, stejně tak existence nebezpečného místa z hlediska poruchovosti. VLAN (6) plusy/mínusy a dnešní realita Ačkoliv dnes již technologie virtuálních sítích zdaleka není tolik aktuální a atraktivní jako před několika lety, stále má významné místo mezi nástroji pro konfiguraci a správu u větších podnikových sítí. Shrňme si na závěr tedy hlavní důvody pro zavedení technologie VLAN i všechny omezení a nedostatky této technologie. Ačkoliv dnes již technologie virtuálních sítích zdaleka není tolik aktuální a atraktivní jako před několika lety, stále má významné místo mezi nástroji pro konfiguraci a správu u větších podnikových sítí. Shrňme si na závěr tedy hlavní důvody pro zavedení technologie VLAN i všechny omezení a nedostatky této technologie. Při uvádění technologie VLAN byly hlavně zdůrazňovány tyto důvody: 1. Redukce nákladů na konfigurační změny V případě rozsáhlejších sítí, u kterých dochází k častějším konfiguračním změnám ve struktuře sítě, přesuny jednotlivých uživatelů v rámci organizačních jednotek mohou zabrat síťovému administrátorovi značnou část jeho pracovní kapacity. To platí především pro IP sítě, není li aplikován systém dynamického přidělování adres Dynamic Host Configuration Protocol (DHCP). 2. Virtuální pracovní skupiny S přesuny uživatelů souvisí možnost vytváření virtuálních pracovních skupin. Základní ideou tohoto organizačního modelu je možnost dynamicky vytvářet pracovní týmy, sdílející společné síťové zdroje, bez nutnosti fyzických změn přesunů zdrojů a uživatelů. Ačkoliv je tento model přitažlivý, jsou minimálně dva důvody, bránící jeho častější aplikaci. Ten první je pochopitelný a sociálně lidský. Členové pracovního týmy musí a chtějí spolu komunikovat i jinak, než jen po síti, takže se přirozeně sdružují do skupin i fyzicky blízkých. Druhým důvodem je staré dobré síťové pravidlo 80/20, říkající, že 80 % komunikace by mělo probíhat v rámci pracovní skupiny a jen 20 % by mělo směřovat ven, mimo skupinu na páteřní síť. Toto pravidlo, snažící se omezovat komunikaci po páteři z důvodů jejího snadného přetížení, je často v dnešních sítích porušováno (z důvodu zavádění intranetovských informačních systémů a vlastní internetové komunikace), další zvyšování zatížení páteře komunikací v rámci rozprostřené virtuální sítě je pádným argumentem proti. 3. Redukce zatížení všesměrovým vysíláním Tento základní důvod, proč VLAN vůbec vznikly, zůstává i hlavním důvodem jejich aplikování. První přepínače plně nahradily můstky ve smyslu zmenšení kolizních domén, nijak ale neomezily šíření všesměrového vysílání. To umožňuje teprve aplikace virtuálních sítí.

12 A co realita? Výše uvedené první dva důvody nejsou až takovým přínosem, jakým se jevily zpočátku. Alespoň v našich podmínkách (tím mám na mysli české firmy) se uživatelé zase tak často nestěhují a virtuální pracovní skupiny také nemají příliš v oblibě. Proto zůstává segmentace sítě do oddělených subsítí z důvodů omezení všesměrového vysílání a logického oddělení síťových zdrojů tím hlavním a většinou i jediným důvodem pro aplikaci VLAN. Jiným důvodem pro vlažné přijetí VLAN byla skutečnost, že vzájemná komunikace mezi virtuálními sítěmi stejně musela probíhat přes směrovač. To znamená, že stávající směrovače zůstávaly ve své roli segmentaci sítí a přepínače se používaly hlavně jako náhrada rozbočovačů. Takový způsob aplikace přepínačů, nevytvářel vlastně dostatečnou potřebu zavádění VLAN. Dnešní VLAN Situace se ale rapidně mění v případě dnešních sítí s přepínači, pracujícími i jako směrovače na třetí, síťové vrstvě. Skutečnost, že dnešní sofistikované přepínače jsou schopny i L3 směrování, posouvá návrh sítí i jejich konfiguraci do nové roviny a bez VLAN se již v mnoha případech obejdeme. Implementace směrovacích funkcí do přepínačů přineslo mj. i výhodu ve vyšším výkonu směrování a to při nižší ceně. Není účelem tohoto článku podrobněji se zabývat technologií přepínání na síťové vrstvě, podívejme se na tyto nové skutečnosti z pohledu VLAN. V plně přepínaných sítích již nemáme standardní směrovače, tvořící (třeba z historických důvodů) fyzické domény pro všesměrové vysílání, kterým se většinou aplikace nových přepínačů přizpůsobila. Pozn.: výše uvedené tvrzení, že v plně přepínaných sítích již nejsou klasické směrovače, neplatí samozřejmě absolutně. V praxi se může vyskytnout potřeba některých speciálních funkcí (např. pokročilé filtrování, podpora i jiných protokolů než IP ), které nám směrovací přepínač nemusí nabídnout. Samozřejmé je použití klasických směrovačů s WAN rozhraním. Mimo klasického využití dynamického vytváření virtuálních pracovních skupin, získávají virtuální sítě dnes i nové využití, např k izolaci komunikace určitého typu, jako je např. přenos hlasu v sítích s IP protokolem (voice over IP), zabraňující zhoršení kvality přenosu hovorů při přetížení sítě a jde o standardní doporučení výrobců zařízení pro IP telefonii (3Com, Cisco, Alcatel, Nortel a Avaya). Jinou možností je vytvoření zvláštní VLAN pro uživatele bezdrátových zařízení pro jejich bezproblémový roaming mezi přístupovými body.