Ti5316800 Lähiverkot -erikoistyökurssi
description
Transcript of Ti5316800 Lähiverkot -erikoistyökurssi
Ti5316800 Lähiverkot -erikoistyökurssi
VLAN
Mikko Lehtinen
Joni Partia
2007
Ti5316800 Lähiverkot-erikoistyökurssi
Sisällys
• Mikä VLAN on?• VLAN tyypit• VLAN-kehys• VLAN-laitteiden väliset yhteystyypit• Hyödyt ja rajoitukset• Turvallisuus• Yhteenveto
Ti5316800 Lähiverkot-erikoistyökurssi
VLAN (Virtual Local Area Network)
• Tekniikka, jonka avulla fyysinen tietoliikenneverkko on mahdollista jakaa loogisiin osiin
• Yksinkertaistetusti VLAN on rajoitettu broadcast alue
• Määritelty IEEE 802.1Q standardissa– Ensimmäinen versio standardista vuonna 1998
Ti5316800 Lähiverkot-erikoistyökurssi
VLAN (Virtual Local Area Network)
• Käyttöönotto vaatii tuen kytkimiltä• VLAN:n sisällä ei tarvetta reitittää liikennettä• Eri VLAN-verkkojen välillä liikennöinti reitittimen
välityksellä
Ti5316800 Lähiverkot-erikoistyökurssi
VLAN tyypit
• Portteihin perustuva• Protokolliin perustuva• MAC-osoitteisiin perustuva• IP-osoitteisiin perustuva
Ti5316800 Lähiverkot-erikoistyökurssi
Portteihin perustuva VLAN jäsenyys
• Yleisin tapa toteuttaa VLAN• Yksi portti voi kuulua vain yhteen VLAN:n
kerrallaan• Jokainen portti manuaalisesti konfiguroitava
Ti5316800 Lähiverkot-erikoistyökurssi
Portteihin perustuva jäsenyys
• Ensimmäisen sukupolven laitteet mahdollistivat toteutukset vain yhtä kytkintä käyttäen (ei standardia)
• Ei salli käyttäjän liikkumista
Ti5316800 Lähiverkot-erikoistyökurssi
MAC-osoitteisiin perustuva jäsenyys
MAC- osoite VLAN
59841AC3AD4F 1
A2C256154DDC 1
5984AAABB111 2
BB11CC22DD33 1
123456789012 2
• Jäsenyys perustuu esimerkiksi työaseman verkkokortin MAC-osoitteeseen
• Kytkimeen määritelty taulukko, jossa MAC-osoite ja VLAN
• Työläs sillä jäsenyys määriteltävä manuaalisesti jokaisen laitteen osalta
• Mahdollistaa käyttäjän liikkumisen
Ti5316800 Lähiverkot-erikoistyökurssi
Protokollaan perustuva jäsenyys
Protokolla VLAN
IP 1
IPX 2
• Liikenne sijoitetaan protokollan perusteella oikeaan VLAN:iin
Ti5316800 Lähiverkot-erikoistyökurssi
IP-osoitteeseen perustuva jäsenyys
IP-aliverkko VLAN
157.24.113 1
157.24.190 2
• VLAN-verkkoihin ryhmittely tapahtuu IP-osoitteen perusteella
• Mahdollistaa liikkuvuuden• Haittapuolena suorituskyvyn
laskeminen kun paketeista joudutaan tutkimaan kerroksen 3 tietoa
Ti5316800 Lähiverkot-erikoistyökurssi
Kehysten merkitseminen
• Keino tietää mihin VLAN:iin kehys kuuluu• Tarvitaan kun linkissä kulkee useampaan VLAN:iin
kuuluvaa liikennettä• Kytkimet hoitavat VLAN merkkaustiedon lisäämisen
ja poistamisen
Ti5316800 Lähiverkot-erikoistyökurssi
Kehyksen muoto
• IEEE 802.1Q standardi määrittelee Ethernet-kehykseen lisäkentän, joka sisältää VLAN-tunnisteen
• Ethernet-kehyksen koko kasvaa 4-tavua• Lisäotsikkokenttä koostuu TPID (Tag Protocol Identifier) ja
TCI (Tag Control Information) kentistä– TPID on protokollatunniste, jonka perusteella kehys
tunnistetaan merkityksi kehykseksi
Ti5316800 Lähiverkot-erikoistyökurssi
Kehyksen muoto
• TCI-kenttä:– User_priority määrittelee paketin prioriteetin, 8 eri
prioriteettitasoa, määritelty IEEE 802.1p standardissa– CFI (Canonical Format Identifier) määrittelee MAC-
osoitteiden muodon– VID (VLAN Identifier) yksilöi ja määrittelee mihin
VLAN:iin kehys kuuluu
User_priority CFI VID
3 bittiä 1 bitti 12 bittiä
Ti5316800 Lähiverkot-erikoistyökurssi
Laitteiden väliset yhteystyypit
• Trunk Link• Access Link• Hybrid Link
Ti5316800 Lähiverkot-erikoistyökurssi
Trunk Link
• Laitteiden oltava VLAN-yhteensopivia• Jokaiseen Ethernet-kehykseen liitetään merkitty
kehys (tag header)
Ti5316800 Lähiverkot-erikoistyökurssi
Access Link
• Laitteiden ei tarvitse olla VLAN-yhteensopivia• Kehysten oltava ei-merkittyjä
Ti5316800 Lähiverkot-erikoistyökurssi
Hybrid Link
• Kahden edellisen linkin yhdiste• Voi sisältää sekä merkittyjä että
merkitsemättömiä kehyksiä
Ti5316800 Lähiverkot-erikoistyökurssi
Hyödyt
• Rajoittaa broadcast liikennettä• Vähentää reitittämisen tarvetta• Verkoista hallittavampia ja joustavammin
muokattavia– Keskitetty hallinta– Käyttäjien siirtyminen verkon osasta toiseen helpompaa– Verkkoon liittyminen ja uuden verkon luonti joustavaa
Ti5316800 Lähiverkot-erikoistyökurssi
Rajoitukset
• Kehyksen VID-kenttä rajoittaa VLAN-verkkojen maksimimäärän 4096:een
• Yhden VLAN:n jäsenmäärää ei ole rajoitettu• Eri laitevalmistajien laitteet voivat olla
yhteensopimattomia (valmistajilla omia standardeja)
Ti5316800 Lähiverkot-erikoistyökurssi
Turvallisuus
• Lisäturvallisuutta erottelemalla käyttäjät useisiin eri VLAN-verkkoihin
• Hyökkäykset VLAN:iin työläitä mutta mahdollisia• Esimerkkinä Tuplakapsuloitu VLAN-hyökkäys:
Ti5316800 Lähiverkot-erikoistyökurssi
Yhteenveto
• Joustava tapa jakaa fyysinen verkko loogisiin osiin
• Käytölle tarvetta suurissa verkoissa• Korkeampi tietoturva jakamalla verkko osiin ja
rajoittamalla pääsyä eri verkon osiin• Yhteensopivuus parempaa standardin myötä