V oblasti síťových technologií se pojmy jako VLAN a podsíť objevují jako klíčové prvky, které významně ovlivňují návrh a správu sítí.
Síťové propojení se v současném digitalizovaném světě stalo nedílnou součástí provozu téměř každé organizace.
S neustálým růstem složitosti a rozsáhlosti sítí je pro síťové specialisty zásadní plně porozumět mechanismům fungování VLAN a podsítí.
Pojďme se do toho ponořit!
Co přesně je VLAN?
VLAN, neboli virtuální lokální síť (Virtual Local Area Network), je typ síťové topologie, která umožňuje vytváření logických skupin zařízení v síti, a to i v případě, že nejsou fyzicky připojena ke stejnému přepínači.
Představte si ji jako paralelní síťové prostory, které koexistují v rámci stejné fyzické infrastruktury!
Díky VLAN je možné rozdělit fyzickou síť na několik virtuálních sítí, z nichž každá má svá vlastní pravidla a zdroje, a to i v oblasti zabezpečení.
K čemu to je dobré? 🤔
Ve velké organizaci je obvykle mnoho oddělení či týmů s různými požadavky na síťové připojení.
Například finanční oddělení může potřebovat vyšší úroveň zabezpečení a šířky pásma oproti marketingovému týmu. Sítě VLAN umožňují každé skupině vyhradit vlastní síť, aniž by bylo nutné je fyzicky oddělovat.
Jednou z hlavních výhod VLAN je zvýšení zabezpečení.
Umožňují logické seskupování síťových prvků na základě bezpečnostních parametrů. Tímto oddělením se zvyšuje bezpečnost, protože je omezen přístup ke zdrojům a data jsou izolována od ostatních VLAN.
VLAN také pomáhají optimalizovat výkon sítě snížením zatížení. Rozdělením sítě na menší segmenty se redukuje multicastový provoz, což se promítá do vyšší efektivity.
Kromě toho poskytují flexibilitu při návrhu sítě, protože změny v konfiguraci je možné provádět bez nutnosti fyzického přepojování. Podle měnících se požadavků je možné přidávat či odebírat nové VLAN.
Jak VLAN funguje?
Mechanismus je v zásadě velmi jednoduchý!
VLAN si lze představit jako virtuální prvek, který existuje v rámci fyzické sítě. Umožňuje správcům rozdělit zařízení do logických celků, které spolu běžně nemohou komunikovat, i když jsou zapojeny do stejného přepínače nebo směrovače.
Tohoto se dosahuje pomocí procesu zvaného VLAN tagging, který do ethernetových rámců přidává speciální hlavičku, která specifikuje, ke které VLAN rámec patří.
VLAN se typicky konfigurují na úrovni přepínače, kde se jednotlivým VLAN přiřazují porty na základě MAC adres, protokolů nebo jiných kritérií.
Když zařízení vyšle rámec do VLAN, přepínač se podívá na VLAN tag a předá jej jen těm portům, které jsou členy dané VLAN. V rámci sítě se tak vytváří jakási uzavřená oblast.
Zdroj obrázku – fiberopticshare
Zařízení ve stejné VLAN mohou spolu komunikovat, jako by byla ve stejné fyzické síti, zatímco zařízení v odlišných VLAN potřebují ke komunikaci router nebo přepínač vrstvy 3.
Co je to podsíť?
Podsíť, zkráceně subnet, je menší síť v rámci větší sítě. Vzniká rozdělením jedné větší sítě na několik menších podsítí, kde každá z nich má svou jedinečnou síťovou adresu.
Použití podsítí je typické ve velkých organizacích s rozličnými odděleními či pobočkami. To umožňuje lepší správu a kontrolu síťového provozu a zlepšení zabezpečení izolací jednotlivých částí sítě.
Ale to není vše!
Každá podsíť disponuje vlastním rozsahem IP adres. Zařízení uvnitř podsítě mohou komunikovat přímo bez nutnosti směrování přes jiné podsítě nebo hlavní síť. Tím lze snížit přetížení hlavní sítě a zvýšit celkový výkon.
Zde je seznam kalkulátorů podsítí pro vytváření podsítí pro daný rozsah IP adres.
Jak funguje podsíť?
Představme si, že máme síť třídy C s IP adresou 192.168.1.0 a maskou podsítě 255.255.255.0. To znamená, že máme k dispozici 256 IP adres, kde první tři oktety reprezentují síťovou část a poslední oktet hostitelskou část.
Jednoduché, že? 😅
Nyní řekněme, že chceme tuto síť rozdělit na čtyři menší podsítě. K tomu je potřeba si vypůjčit dva bity z hostitelské části IP adresy a využít je ke generování dalších síťových adres.
Nyní se dostáváme k techničtějším věcem!
Vypůjčením dvou bitů získáme novou masku podsítě 255.255.255.192.
Binární reprezentace této masky podsítě je 11111111.11111111.11111111.11000000, což znamená, že prvních 26 bitů patří k síťové části a posledních 6 bitů k hostitelské části.
Pro určení síťových adres pro každou ze čtyř podsítí zvýšíme hodnotu posledního oktetu o 64 (2^6) pro každou podsíť. Tím získáme čtyři podsítě s následujícími síťovými adresami:
192.168.1.0 (původní síť)
192.168.1.64 (první podsíť)
192.168.1.128 (druhá podsíť)
192.168.1.192 (třetí podsíť)
Každá podsíť má nyní k dispozici vlastní rozsah hostitelských adres, až 62 adres na podsíť. Rozdělením sítě na menší podsítě můžeme zlepšit výkon a zabezpečení oddělením různých částí sítě.
VLAN vs. podsíť
Zde je tabulka srovnávající VLAN a podsíť:
| VLAN | Podsíť | |
| Funguje na vrstvě 2 modelu OSI | Funguje na vrstvě 3 modelu OSI | |
| Virtuální segmentace sítě | Používá síťové předpony k různým adresám IP | |
| Segmentuje síť na vysílací domény | Rozděluje větší síť na menší podsítě | |
| Implementováno pomocí přepínačů | Implementováno pomocí směrovačů | |
| Zlepšuje výkon a zabezpečení izolací provozu | Správa přidělování IP adres, směrování a výkon sítě | |
| Může zahrnovat více fyzických míst | Obvykle omezeno na jedno fyzické místo | |
| Používá značky VLAN k odlišení provozu | Používá předpony sítě k rozlišení IP adres | |
| Umožňuje podrobnější kontrolu nad provozem v síti | Zjednodušuje správu sítě seskupováním zařízení s podobnými IP adresami |
VLAN a podsíť jsou dva klíčové stavební kameny síťové architektury, každý s vlastními jedinečnými vlastnostmi a možnostmi.
VLAN dominuje virtuální sféře díky schopnosti segmentace a izolace síťového provozu.
Podsíť je naopak mistrem fyzické sféry díky schopnosti rozdělovat a spravovat síť prostřednictvím přidělování IP adres, směrování a kontroly výkonu.
Případy využití VLAN
Izolace síťového provozu
Pro snížení zatížení a zvýšení výkonu sítě lze oddělit různé typy síťového provozu, například hlasový a datový, pomocí VLAN.
Zabezpečená kontrola přístupu
VLAN lze využít k vytváření samostatných sítí pro hosty, dodavatele nebo různá oddělení v organizaci, čímž se zvýší úroveň bezpečnosti a ochrany soukromí.
Prostředí s více nájemci
V prostředí sdíleného hostingu či cloudu vytváří VLAN virtuální sítě pro jednotlivé zákazníky či nájemce, čímž izolují jejich provoz a chrání soukromí.
Aplikace pro videokonference a VoIP
VLAN lze také využít k optimalizaci výkonu sítě pro aplikace VoIP oddělením provozu od ostatních síťových dat.
Případy využití podsítě
Správa IP adres
Podsítě lze využít k rozdělení větší sítě na menší podsítě, čímž se zlepší efektivita správy IP adres.
Výkon sítě
Rozdělením sítě na menší části se může zlepšit efektivita a snížit latence sítě.
Bezpečnost
Nezapomínejme ani na bezpečnost. Podsítě mohou omezit přístup k síťovým zdrojům jejich umístěním do různých podsítí a omezením přístupu mezi nimi.
Směrování
Používají se pro řízení směrování v síti směrováním provozu mezi různými podsítěmi pomocí směrovačů či jiných síťových prvků.
Geograficky distribuované sítě
Podsítě se využívají k vytváření samostatných sítí pro geograficky oddělená místa, čímž lze zlepšit výkon sítě a snížit latenci pro vzdálené uživatele.
Jak lze VLAN a podsíť používat společně?
Dosud jsme si popsali, jak VLAN a podsíť fungují samostatně.
Co ale dokážou, když se spojí?
Když se VLAN a podsítě používají společně, každá VLAN je přiřazena k určité podsíti. Zařízení v rámci stejné VLAN tak mohou komunikovat pomocí stejného rozsahu IP adres a masky podsítě.
Správce sítě může například vytvořit VLAN pro marketingové oddělení a přiřadit ji k podsíti, například 192.168.1.0/24.
Zařízení v rámci marketingové VLAN by používala IP adresy v rozmezí 192.168.1.1 až 192.168.1.254 a masku podsítě 255.255.255.0. Zařízení v jiných VLAN by byla přiřazena k odlišným podsítím s různými rozsahy IP adres a maskami podsítě.
Tím se správcům sítě otevírá možnost flexibilnější organizace zařízení dle jejich funkce, lokality či jiných parametrů, což výrazně zjednodušuje správu sítě.
Poznámka autora
Vzhledem k tomu, že technologie neustále postupují kupředu, je pro síťové specialisty nutné držet krok s novým vývojem a porozumět možnostem, jak využít různé technologie, jako je vytváření podsítí, k posílení výkonu a zabezpečení sítě.
Doufám, že vám tento článek pomohl lépe se zorientovat v problematice VLAN a podsítí a jak je využít společně pro vytváření efektivnějších a bezpečnějších sítí.
Možná vás také bude zajímat, jak řešit problémy s latencí sítě pomocí nástroje Wireshark.