Konfiguracja sieci VLAN na urządzeniach MOXA

Tomasz Sokół Aktualności, Factory Automation, How to, Produkty, Przemysł, Sieć Ethernet Tagi: , , , ,

Czym są sieci VLAN? kiedy i jak je stosować? Konfiguracja sieci VLAN na urządzeniach Moxa.
Wydajność sieci przemysłowej jest ważnym czynnikiem wpływającym na produktywność całej organizacji. Jednym ze sposobów na poprawienie wydajności sieci jest oddzielenie od siebie dużych domen rozgłoszeniowych (broadcast). Można to osiągnąć z wykorzystaniem sieci VLAN.Poza wydajnością sieci, stosowanie VLAN ma znaczący wpływ na poprawę bezpieczeństwa całej infrastruktury. Celami niniejszego wpisu są: przedstawienie zarysu teoretycznego, opis korzyści płynących z wykorzystania VLAN. Kontynuacja tego postu zawiera informacje o sposobach konfigurowania, a także użyteczne wskazówki związane
z konfiguracją sieci VLAN na swichach Moxa.

Wirtualna sieć lokalna, VLAN (od ang. Virtual Local Area Network) to sieć komputerowa wydzielona logicznie z innej, większej, fizycznej sieci. Sieci VLAN umożliwiają administratorowi segmentację sieci na podstawie różnych czynników – na przykład rodzaj podłączonych urządzeń, funkcji w całej sieci. Dzięki temu możemy podzielić przełącznik posiadający 24 porty na różne podgrupy np. po 6 portów każda. Taki podział może być oczywiście dowolny. Urządzenia w sieci VLAN działają tak, jakby znajdowały się we własnej, niezależnej sieci, nawet jeżeli mają wspólną infrastrukturę z innymi sieciami VLAN. Zostało to zobrazowane na przykładzie prostej topologii przedstawionej na rys. 1. Urządzenia, które znajdują się na tym samym piętrze mają ograniczoną możliwość komunikowania się ze sobą, chociaż podłączone są do tego samego przełącznika. Komunikacja natomiast jest możliwa dla urządzeń, które znajdują się w tej samej sieci VLAN. Każdy port przełącznika zarządzalnego może należeć do sieci VLAN. Pakiety danych (unicast, broadcast i multicast) są przekazywane i przesyłane do urządzeń, które znajdują się w tej samej sieci VLAN. Pakiety danych przeznaczone do urządzeń, które nie należą do sieci VLAN muszą być przesyłane dalej z wykorzystaniem urządzeń obsługujących routing (np. przełączniki warstwy 3).

Rys. 1: Topologia sieci z wykorzystaniem VLAN

Korzyści płynące z zastosowania VLAN:

Zwiększone bezpieczeństwo – grupy urządzeń o krytycznym znaczeniu, zawierające wrażliwe informacje mogą być oddzielone od reszty świata. Zdecydowanie utrudnia to uzyskanie dostępu do poufnych informacji przez osoby nieupoważnione,

Lepsza wydajność – segmentacja sieci na wiele logicznych domen rozgłoszeniowych zmniejsza niepotrzebny ruch w sieci i zwiększa wydajność,

Kontrola ruchu – w przypadku wystąpienia awarii sprzętu lub powstania tzw. burzy broadcast, zastosowanie sieci VLAN pozwala ograniczyć rozprzestrzenianie się niepożądanego ruchu na inne sieci VLAN,

Redukcja kosztów – oszczędność kosztów wynika z mniejszej potrzeby drogich modernizacji sieci i bardziej wydajnego wykorzystania istniejącej przepustowości,

Prostsze zarządzanie i organizacja sieci – sieci VLAN agregują użytkowników i urządzenia sieciowe o podobnych wymaganiach sieciowych lub geograficznych.

Znakowanie ramki TAG

Standardowy nagłówek ramki danych Ethernet nie zawiera informacji o sieci VLAN, do której należy ramka. Zgodnie ze standardem IEEE 802.1Q, który definiuje dodatkowe pola w ramce Ethernet (4 bajty danych), możemy dodać informację o sieci VLAN, do której należy ramka danych. Na rysunku 2 został przedstawiony schemat ramki Ethernet zgodnie z IEEE 802.1Q.
Maksymalny rozmiar ramki zgodnej z IEEE 802.1Q to 1522 bajty danych.

ramka

Rys. 2: Pola w ramce danych Ethernet zgodne z IEEE 802.1Q

Ramka zawiera 4 pola:

Type – 2-bajtowa wartość nazywana tag protocol ID (TPID). Pole to jest zasadniczo stałe
i reprezentowane przez szesnastkową wartość 0x8100,

User priority – 3-bitowa wartość, która obsługuje implementację poziomu lub usługi,

Canonical Format Identifier (CFI) – 1-bitowy identyfikator umożliwiający przenoszenie ramek Token Ring przez łącza Ethernet,

VLAN ID (VID) – 12-bitowy numer identyfikujący VLAN, który obsługuje do 4096 identyfikatorów VLAN.

Przełączniki Moxa wspierają obsługę VLAN jako Port Based, a także zapewniają obsługę IEEE 802.1Q. Różnica między tymi dwoma rodzajami VLAN jest bardzo prosta. W przypadki 802.1Q ramki są oznaczane i z takim znacznikiem mogą opuścić przełącznik. W przypadku trybu Port Based sieci VLAN są tworzone tylko w konfiguracji przełącznika. Tryb Port Based wykorzystuje się najczęściej, gdy port w switchu należy do pojedynczej sieci VLAN. Można
w prosty sposób odizolować porty, które między sobą nie mogą się komunikować, ale widzą jeden wspólny port w ramach wspólnego przełącznika. Bardziej uniwersalne i zdecydowanie bardziej funkcjonalne jest konfigurowanie przełączników w trybie 802.1Q.

Switche Moxa wspierają również protokół GVRP. Pozwala uprościć administrację sieciami
o złożonej strukturze, w których wykorzystywana jest duża liczba wirtualnych sieci lokalnych. Protokół pozwala na wymianę informacji pomiędzy przełącznikami
o dostępnych sieciach VLAN poprzez port skonfigurowany w trybie Trunk co eliminuje konieczność wpisywania tych informacji przez użytkownika.

Tryby pracy portu

W switchach obsługujących standard IEEE 802.1Q możemy wyróżnić 3-4 tryby pracy każdego portu w przełączniku. Switche MOXA wspierają 3 tryby pracy portu:

Access – port łączy się z jednym urządzeniem, które nie jest oznakowane (tag). Użytkownik musi sam zdefiniować domyślny port PVID (Port VLAN ID), który określa, do której sieci należy urządzenie VLAN. Ramki mogą się przemieszczać w ramach switcha. Ramka, która wchodzi na port (zgodnie ze standardem 802.1Q) otrzymuje od switcha tag VLAN, który został wcześniej zdefiniowany przez użytkownika (PVID). W ten sposób urządzenie staje się częścią wirtualnej sieci lokalnej. Wychodzące ramki z portu Access mają usuwane znaczniki PVID. Access to port służący głownie do podłączenia urządzenia końcowego (komputer, telefon IP). Dane przesyłane są w obrębie tylko jednej sieci VLAN.

Trunk – Port Trunk służy do zestawienia połączenia z sąsiednim switchem. Przesyła dane
z różnych sieci VLAN. Obsługuje zarówno otagowane jak i nieotagowane ramki. Nieotagowane ramki otrzymują identyfikator PVID zdefiniowany przez użytkownika podczas konfiguracji przełącznika. Ramki otagowane są przenoszone bez żadnej ingerencji w pole związane ze znacznikiem VLAN. Ponadto, użytkownik może zdefiniować, które porty VLAN mogą być przenoszone przez dany port Trunk. Wychodzące ramki z portu Trunk mają usuwane znaczniki PVID.

Hybrid – Port działa podobnie do trybu Trunk. Ramki, które trafiają do switcha obsługiwane są w ten sam sposób jak w trybie Trunk. Różnica dotyczy ramek wychodzących, gdzie istnieje  możliwość zdjęcia otagowania z ramek.

Podsumowanie

Powyższy wpis miał na celu przedstawienie podstawowych informacji o sieciach VLAN. Wykorzystywane są one praktycznie w każdych większych sieciach przemysłowych lub informatycznych. Kontynuacją tego postu jest plik z opisem konfiguracji, do pobrania z użyciem poniższego przycisku:

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *