Zarządzanie dystrybucją danych w sieci. Konfiguracja wirtualnych sieci lokalnych VLAN
Kurs konfiguracji switchy zarządzalnych Astraada NET, odc. 6

W tym odcinku dowiesz się, czym są VLAN-y, kiedy się je stosuje i jakie korzyści dają użytkownikom. Poznasz też sposób ich konfiguracji, czyli dzielenia fizycznej sieci na wirtualne podsieci. Sprawdzimy, jak ten mechanizm działa w switchach przemysłowych.

W naszym przykładzie możliwości VLAN przetestujemy na urządzeniu Astraada NET o numerze katalogowym JET-NET-5216G-4C4F.

Co to jest VLAN?

VLAN (ang. Virtual Local Area Network) to wirtualnie wydzielona sieć lokalna tworzona w obrębie jednej infrastruktury (wewnątrz switcha lub grupy switchy). VLAN pozwala na logiczne podzielenie jednej fizycznej sieci na kilka mniejszych, niezależnych sieci, nawet jeśli wszystkie urządzenia są podłączone do tego samego switcha.

Wspomniane wirtualne wydzielenie mniejszych sieci w ramach jednego systemu, sprowadza się do stworzenia wirtualnych sieci lokalnych – VLAN. Sieci te tworzy się, przypisując im odpowiednie porty w switchach. VLAN jest przypisywany do konkretnego portu w switchu indywidulanie przez użytkownika lub na podstawie adresu MAC albo adresu IP. Tylko urządzenia podłączone do wydzielonych portów w ramach danej sieci VLAN będą mogły wymieniać między sobą informacje. Dla pozostałych urządzeń, podłączonych do tego samego urządzenia, ale do innych portów (nieprzydzielonych do danej wirtualnej sieci lokalnej), komunikacja z tą siecią będzie niemożliwa.

Jeśli pojawi się konieczność połączenia urządzeń z różnych sieci VLAN, możliwe to będzie tylko za pośrednictwem routera lub switcha warstwy 3, który umożliwia łączenie urządzeń z różnych sieci. W skrócie VLAN to mechanizm pozwalający odseparować sieci uruchomione na tym samym switchu od siebie, upraszczając jednocześnie architekturę i znacząco podnosząc bezpieczeństwo całego systemu komunikacji.

Co daje VLAN i kiedy z tej funkcjonalności warto korzystać?

Dzięki funkcjonalności VLAN możemy w łatwy sposób zarządzać siecią przez podzielnie jej na mniejsze, logiczne podgrupy, bez konieczności ingerowania w fizyczną strukturę sieci. Dodatkowo redukujemy przeciążenie w sieci, ograniczając ilość rozgłoszeniowego ruchu sieciowego w całej sieci komunikacyjnej oraz zwiększamy jej bezpieczeństwo z uwagi na to, że ruch w jednej sieci VLAN nie jest widoczny dla innej sieci VLAN. Ma to znaczący wpływ na ryzyko potencjalnych cyberataków.

VLAN może być skonfigurowany zarówno w ramach jednego urządzenia, jak i wielu urządzeń połączonych ze sobą. Architektura nie ma znaczenia. Dzięki temu mechanizm z powodzeniem może być stosowany zarówno w prostych (jeden switch), jak i bardzo rozbudowanych i rozporoszonych architekturach sieciowych (wiele switchy). W tym odcinku przetestujemy konfigurację VLAN w jednym switchu, aby dobrze zrozumieć sposób i zasadę działania, oraz konfigurację z kilkoma switchami, symulując rozproszoną architekturę w bardziej rozbudowanych systemach.

Konfiguracja VLAN na jednym switchu

Do pierwszej części szkolenia, którego celem będzie przetestowanie działania VLAN-ów, czyli sprawdzenie, kiedy komputer będzie się mógł komunikować z urządzeniem zewnętrznym, a kiedy nie, nasze stanowisko testowe będzie składało się z:

• switcha Astraada JET-NET 5216G-4C4F,
• komputera PC, z którego konfigurujemy switch,
• urządzenia zewnętrznego z interfejsem Ethernet (HMI),
• dwóch kabli Ethernet.

Do przeprowadzenia testów VLAN przygotujemy architekturę i konfigurację switcha, która będzie wyglądała następująco:

• Porty 1-4 będą przyporządkowane do VLAN o nazwie VLAN_10 i ID 10.
• Porty 5-8 będą przyporządkowane do VLAN o nazwie VLAN_20 i ID 20.
• Porty 9-16 będą przyporządkowane do VLAN o nazwie VLAN_1 i ID 1.
• VLAN 10 będzie ustawiony jako VLAN zarządzający (management VLAN), co oznacza, że interfejs zarządzania (adres IP switcha) będzie przypisany do tego VLAN-u. Dzięki temu możliwe będzie logowanie się do switcha (np. przez interfejs webowy) oraz wysyłanie do niego poleceń, takich jak ping, z urządzeń znajdujących się w tej samej podsieci (i VLAN-ie).
• Switch będzie miał adres IP 192.168.10.10 (tak jak ustawiono w poprzednim odcinku kursu).
• Komputer PC będzie wpięty do portu 1 i będzie posiadał adres IP 192.168.10.50.
• Dowolne inne urządzenie (w naszym przypadku panel HMI o adresie IP 192.168.10.60) wpinamy w port 4, tak aby początkowo oba urządzenia (PC i HMI) znajdowały się w tym samym VLAN-ie.

Taka architektura pozwoli nam przetestować, w jakiej konfiguracji komputer PC będzie się w stanie komunikować z urządzeniem HMI, a kiedy nie.

Konfiguracja krok po kroku w interfejsie webowym

Aby skonfigurować VLAN wykonaj następujące kroki:

1. Zaloguj się do web serwera (jak opisano w odcinku 4).

2. Przejdź do grupy parametrów Switch Management > VLAN > Static VLANs (zakładka u góry ekranu).

3. Dodaj VLAN-y za pomocą przycisku ADD tak, aby były zgodne z przyjętymi wcześniej wytycznymi. Poniżej pokażemy, jak skonfigurować VLAN_10, na jego podstawie bez problemu dasz radę ustawić VLAN_1 i VLAN_20.

Skonfiguruj:

• VLAN ID: 10 – to ID sieci VLAN którą utworzyliśmy.
• Name: VLAN_10 – to nazwa utworzonej sieci VLAN.
• Member Ports: 1, 2, 3, 4 – to numery portów, które są skonfigurowane w ramach naszej sieci VLAN.
• Untaged Ports: 1, 2, 3, 4 – to numery portów tzw. nietagowanych. W konfiguracji VLAN oznaczają porty switcha, które przypisane są do jednego konkretnego VLAN-u i nie dodają żadnych dodatkowych oznaczeń (tagów) do ramek Ethernet wysyłanych z tego portu. Port untagged wysyła i odbiera zwykłe ramki Ethernet (bez informacji o VLAN ID), a urządzenia podłączone do portu untagged nie muszą nic wiedzieć o tym, że działają w ramach sieci VLAN — komunikują się jak w zwykłej sieci. Switch wewnętrznie wie, do jakiego VLAN-u należy port i odpowiednio obsługuje ruch.
• Management: Enable – ustawienie sieci VLAN jako zarządzalnej, czyli przez porty należące do tego VLAN-u możemy komunikować się ze switchem, np. tylko komunikując się po portach 1-4 (porty przypisane do zarządzalnego VLAN_10), będziemy mogli zalogować się do interfejsu webowego.
• VLAN_20 oraz VLAN_1 ustaw zgodnie z wytycznymi.

Pełna konfiguracja sieci VLAN zgodnie z przyjętymi założeniami da nam taką tabelkę, jak na rysunku poniżej.

4. Zatwierdź całą konfigurację przyciskiem Apply.

5. Przejdź do zakładki Port Settings, znajdującej się na górze ekranu i tam przyporządkuj porty do konkretnych VLAN-ów po PVID (Port VLAN ID), zgodnie z grafiką.

Port VLAN ID pozwala na nadanie nietagowanym ramkom danych informacji, do jakiego VLAN-u należą. Jest to konieczny krok w konfigurowaniu sieci VLAN, pozostałe parametry, które zostaną poniżej opisane, przydatne będą w przypadku bardziej wygórowanych wymagań.

Pozostałe parametry do konfiguracji:

• Acceptable Frame Types – to opcja w konfiguracji VLAN w switchach przemysłowych, która określa, jakie ramki (dane) mogą być przyjmowane (wpuszczane) przez dany port switcha: tagowane (Tagged only z oznaczeniem VLAN), nietagowane (Untagged only bez oznaczenia VLAN) lub wszystkie (ALL, port akceptuje zarówno tagowane (z VLAN ID), jak i nietagowane ramki)
• Ingress Filtering – to funkcja w switchach przemysłowych, która sprawdza przychodzące ramki na porcie i decyduje, czy mogą one wejść do sieci VLAN, w zależności od tego, do jakiego VLAN-u port jest przypisany. Jeśli Ingress Filtering jest włączony, to switch sprawdza, czy ramka VLAN przychodząca na port ma numer VLAN zgodny z tym, do którego port należy. Jeśli VLAN ID się nie zgadza, to ramka jest odrzucana (blokowana), jeśli VLAN ID pasuje, to ramka jest przepuszczana. Jeśli Ingress Filtering jest wyłączony, to switch przepuszcza wszystkie ramki VLAN niezależnie od numeru VLAN.
• Dynamic Status – w switchach przemysłowych to podgląd w czasie rzeczywistym, który pokazuje, jak porty switcha są przypisane do VLAN-ów i czy działają poprawnie, co ułatwia diagnozowanie problemów i kontrolę konfiguracji. Dynamic Status pozwala sprawdzić, do jakiego VLAN-u jest przypisany każdy port, czy port jest aktywny, czy przesyła dane oraz jakie ramki (tagged lub untagged) są obsługiwane.
• VLAN Registration – w switchach przemysłowych to mechanizm, który automatycznie rozgłasza i synchronizuje informacje o VLAN-ach między switchami, ułatwiając zarządzanie i konfigurację sieci VLAN w dużych instalacjach przemysłowych. Jeśli masz kilka switchy połączonych w sieć i włączysz VLAN Registration, jeden switch informuje inne, jakie VLAN-y posiada, a pozostałe switche automatycznie dodają te VLAN-y do swoich konfiguracji na odpowiednich portach. Dzięki temu nie trzeba ręcznie tworzyć VLAN-ów na każdym switchu.

6. Zatwierdź wszystko przyciskiem Apply.

Testowanie działania VLAN na jednym switchu

Następnie podłączamy urządzenie (HMI) do portu 4, komputer PC pozostawiamy wpięty do portu 1. Do testowania poprawności konfiguracji najprościej będzie użyć polecenia ping w wierszu poleceń, aby sprawdzić, czy komputer PC może się skomunikować z drugim urządzeniem (HMI). Prawidłowa konfiguracja powinna pozwolić komunikować się z urządzeniami wpiętymi na porty 1, 2, 3 oraz 4 zorganizowanymi w ramach jednego VLAN o nazwie VLAN_10 i ID 10.

1. Wpisz w pasku wyszukiwania systemu windows polecenie cmd.

2. Po otwarciu wiersza poleceń wpisz komendę:

ping 192.168.10.60.

Jeśli oba urządzenia są podpięte do tego samego VLAN-u, powinny się komunikować, co ilustruje otrzymywanie odpowiedzi od odpytywanego urządzenia.

Uwaga: Nawiązanie połączenia może nie być natychmiastowe, szczególnie przy pierwszej konfiguracji VLANa na switchu, więc należy chwilę (około minuty) odczekać, aby komunikacja się rozpoczęła. Dobrą praktyką jest po fizycznym skonfigurowaniu w wierszu poleceń wpisać polecenie:

ping 192.168.10.60 -t

co pozwoli na ciągłe odpytywanie drugiego urządzenia i obserwację momentu, w którym komunikacja zostaje nawiązana. Po uruchomieniu usługi VLAN każde kolejne połączenie powinno być nawiązywane niemal natychmiast — dłuższy czas oczekiwania dotyczy jedynie pierwszego uruchomienia po konfiguracji.

Natomiast w przypadku podpięcia do VLAN-ów o różnym ID (przepięcie HMI do portu innego niż 1, 2, 3 lub 4) komunikacja nie będzie się odbywać. Nawet po dłuższej chwili komunikacja nie została nawiązana.

Przetestuj również, jak się zachowuje komunikacja, gdy zarówno komputer, jak i panel będą podłączone do portów należących do VLAN_20. Pokazuje to, że faktycznie stworzyliśmy na jednym switchu odseparowane od siebie sieci.

Konfiguracja VLAN na kilku switchach

W tym przypadku cel testów będzie taki sam: aby nasz komputer PC mógł się porozumieć z drugim urządzeniem (HMI). Będą one jednak podłączone do dwóch różnych switchy, w których będą skonfigurowane te same sieci VLAN. To ćwiczenie pozwoli zasymulować działanie większej sieci przemysłowej, gdzie pracuje wiele switchy połączonych ze sobą.

Aby komunikacja przebiegła poprawnie, konieczne będzie wykorzystanie wspomnianych wcześniej portów tagowanych, które pozwolą na przesłanie między switchami informacji, do jakiego VLAN-u przynależą poszczególne ramki danych. Jest konieczne, aby tagowany port znajdował się w każdej wirtualnej podsieci. A więc do dzieła!

1. Switche, będziemy łączyć zgodnie z poniższym schematem, jednak zanim przystąpisz do fizycznego łączenia urządzeń, najpierw odpowiednio skonfiguruj je w interfejsie webowym.

2. W poprzednim akapicie łączyłeś się ze switchem o IP: 192.168.10.10. Dokonaj w nim korekty parametrów w static VLAN, aby były zgodne z wytycznymi, czyli ustaw port łączący switche jako tagowany. W tym przykładzie będzie to port 4.

Tabelka w Static VLAN powinna wyglądać tak:

W sekcji Port Settings nie trzeba dokonywać żadnych zmian. Port numer 4 został dodany do każdego z VLAN-ów i ustawiony jako tagowany (nie ma go wymienionego w kolumnie Untagged Ports).

Teraz dokładnie takie same ustawienia należy przenieść na drugi switch. Pamiętaj, żeby najpierw połączyć się między komputerem, a drugim switchem, by mieć możliwość zalogowania się do niego. Zwróć uwagę na zgodność VLAN ID, aby urządzenia wiedziały, gdzie mają przesłać ramkę danych (co do zasady porty przyporządkowane do danego VLAN-u na innym switchu nie muszą być takie same).

Aby to zrobić, możesz po kolei dodawać VLAN-y na kolejnym switchu, zgodnie z tabelką (nie zapomnij też o zakładce Port Settings) lub wykorzystać możliwość eksportu i importu ustawień, których poznaliśmy już wcześniej. Jeśli skorzystasz z drugiej opcji pamiętaj, aby zapisać konfigurację przed eksportem, a po imporcie ustawić odpowiednie IP. Więcej informacji w odcinku 5.

3. Na sam koniec połącz urządzenia zgodnie ze schematem.

Następnie należy wykonać testy, w których sprawdzimy poszczególne konfiguracje.

PC i urządzenie podpięte do portu o tym samym ID VLAN – komunikacja działa. Przetestuj działanie w każdym z VLAN-ów.

PC i urządzenie podpięte do portu o różnym ID VLAN – komunikacja nie działa.

Switche są połączone między sobą po porcie nietagowanym:

• Połącz switche np. przez port 3.
• Wykonaj ponownie testy komunikacji z urządzeniami podpiętymi do tego samego VLAN-u i do różnych.
• Zauważ, że mimo przypisania portów do VLAN-u o tym samym ID (np. VLAN_20) na obu switchach, komunikacja nie zostaje nawiązana. Dzieje się tak, ponieważ nietagowany port 3 nie przekazuje informacji o ID VLAN-u i ramka danych nie jest kierowana w odpowiednie miejsce.

Wniosek: aby komunikacja VLAN-ów działała między switchami, port łączący je powinien być skonfigurowany jako tagowany, który przenosi informację o ID VLAN-ów.

Dzięki zrozumieniu działania VLAN-ów na tych prostych przykładach, będziesz w stanie zastosować tą funkcjonalność w znacznie bardziej rozbudowanych sieciach. W kolejnym odcinku przyjrzymy się zagadnieniu obsługi połączeń nadmiarowych.

Autor kursu:

Krzysztof Stysiek

Stażysta ASTOR. Student Inżynierii i Zarządzania Procesami Przemysłowymi na AGH. W wolnym czasie wędruje po górach, czyta książki fantasy i rozwija swoje umiejętności w tańcu towarzyskim.