Ugrás a lényegre

Alhálókra (VLAN-okra) bontás

· 5 perc olvasmány

2013 nyarán és szeptemberének elején az eddigi egy nagy hálózatot (VLAN-t) több kisebbre bontottuk fel.

Miért is volt rá szükség?

Szerettük volna mobil regeketi bevezetnii, amelyhez sikeresen igényeltünk egy nagyobb IP címtartományt az egyetemtől. Viszont amennyiben ezt a másfélszeresére növekedett tartományt is egy darab VLANii-nak hagytuk volna meg, akkor már az amúgy is hatalmas broadcast forgalom teljesen kezelhetetlenné vált volna. Csak hogy érzékeltessük, mekkora is volt a broadcast: egy átlagos mai gépen megközelitőleg 1-2% CPU használat volt csak a broadcastból származó interrupt (egy hiba alkalmával akár ennek sokszorosa is), ami most lecsökkent közel 0%-ra.

Megvalósítás:

Hosszas megbeszélések és workshopok alatt több lehetőség közűl a “két szinten – egy VLAN, mindig mindenki egy fix VLAN-ban van” opciót választottuk, mert így nincsen sok nem kiosztható IP-cím (pl.: default gateway, broadcast cím, alhálózat címe), viszont nem is túl nagy ahhoz, hogy a broadcast forgalom elviselhetetlen legyen. Ezen kívül van egy /60-as IPv6 tartományunk is, amelyet – betartva az ajánlott, “/64-es maszk minden alhálózatnak” címzési módot – pont a szükséges mennyiségű részre tudtunk feldarabolni. A fix VLAN azt jelenti, hogy mindig mindenki a lakószintjének megfelelő VLAN-ban lesz, attól függetlenül, hogy melyik szinten tartózkodik. Ez viszont – mivel egy switch portjai egyidejűleg csak egy VLAN-ban lehetnek – azt a problémát hordozza magában, hogy egy faliportba dugott switchen vagy AP-n egyidejűleg csak egy VLAN-ba tartozó lakók lehetnek. Ezt a problémát azonban a nyár elején kiküldött kérdőívünk alapján nem itéltük nagynak. Egyedül a körök helyiségeiben okozhatna ez számottevő problémát, viszont ott igény esetén az általunk biztosított régebbi hálózati eszközökkel ezt meg tudjuk oldani.

Egyetemi okok miatt volt szükséges, hogy mindenki egy fix VLAN-ban legyen, ne pedig több VLAN-ban, például mindig az aktuális szintnek megfelőben. Ilyen ok többek között, hogy ha az egyetem kitiltana valakit és ez az illető átmenne egy másik VLAN-ba, ahol egy másik IP-címet kéne kapnia, majd megint kitiltanák, és ezt eljátszaná az összes VLAN-ban , esetleg mindezt még több ember is megtenné, akkor az egyetem a végén az egész tartományunkat tiltaná. Arról nem is beszélve, hogy ahhoz nincsen elegendő IP-címünk (de még ha lenne is hatalmas pazarlás volna), hogy mindenkinek fenntartsunk egy fix IP-címet minden tartományban, továbbá így dinamikusan változna mindenki IP-címe, amely megszüntetné a fix IP-cím adta előnyöket. Kellemetlen helyzet lenne az is, hogy ha az egyetem kitilt egy IP-címet, ám ezt attól még újra ki lehetne osztani egy olyan valakinek, aki nem is csinált semmi olyat, ami miatt ki kéne tiltani.

A VLAN-ok számát megtartva a kollégistákat valamilyen hash függvény alapján is VLAN-okba rendelhetük volna, viszont ezzel az lett volna a baj, hogy az egy szobában lakók akár 4 különböző VLAN-ba is kerülhettek volna, így lehetetlenné téve egy közös switch vagy AP használatát.

A már említett broadcastforgalom-csökkenés pozitív hatással volt minden hálózatra kötött eszközre, így mostantól az olcsóbb WiFi routerek és Access Pointok sem halnak le 1-2 perc használat után.

Egy másik, remélhetőleg rövid távú problémát azonban okozott a VLAN-olás az SCH WiFi hálózatában: sajnos a jelenlegi megoldással nem tudjuk az összes szükséges VLAN-t WiFi-n szétszórni. Ezt a problémát egy controllerel tudnánk orvosolni, amire a teljes lefedettséghez amúgy is szükség van. Ez várhatóan még idén megérkezik.

Jelenlegi IP cím – VLAN séma:

| VLAN név | IPv4 subnet | IPv6 subnet | VLAN ID | Megjegyzés | | KOLLEGISTA:23 | 152.66.176.0/24 | 2001:738:2001:2071::/64 | 176 | 2. és 3. emelet | | KOLLEGISTA:45 | 152.66.177.0/24 | 2001:738:2001:2072::/64 | 177 | 4. és 5. emelet | | KOLLEGISTA:67 | 152.66.178.0/24 | 2001:738:2001:2073::/64 | 178 | 6. és 7. emelet | | KOLLEGISTA:89 | 152.66.179.0/24 | 2001:738:2001:2074::/64 | 179 | 8. és 9. emelet | | KOLLEGISTA:1011 | 152.66.180.0/24 | 2001:738:2001:2075::/64 | 180 | 10. és 11. emelet | | KOLLEGISTA:1314 | 152.66.181.0/24 | 2001:738:2001:2076::/64 | 181 | 13. és 14. emelet | | KOLLEGISTA:1516 | 152.66.182.0/24 | 2001:738:2001:2077::/64 | 182 | 15. és 16. emelet | | KOLLEGISTA:1718 | 152.66.183.0/24 | 2001:738:2001:2078::/64 | 183 | 17. és 18. emelet | | ONLAB/TESZT | 152.66.192.0/25 | 2001:738:2001:2079::/64 | 192 | Önlab és teszt célra lehet innen igényelni | | TEMP | 152.66.192.128/25 | 2001:738:2001:207A::/64 | 193 | Ideiglenes regiszrációk | | SZERVER | 152.66.208.0/24 | 2001:738:2001:207B::/64 | 208 | Publikus szerverek | | KSZK:BELSO | 152.66.209.0/24 | 2001:738:2001:207C::/64 | 209 | Kisebb szerverek, belsős regek | | KOLLEGISTA:12 | 152.66.210.0/25 | 2001:738:2001:207D::/64 | 210 | 12. emelet | | SALGO/KOROS | 152.66.210.128/25 | 2001:738:2001:207E::/64 | 212 | Salgós és körös gépek | | VPN | 152.66.211.0/24 | 2001:738:2001:207F::/64 | 211 | VPN | | SYSADMIN:ADMIN | 10.0.0.0/16 | | 10 | adminlan, csak belölről elérhető adminisztrációs hálózat | | REGELETLEN | 10.66.0.0/16 | | 2 | alapértelmezett VLAN, ide kerül minden olyan gép, aminek nem sikerűlt a dot1x-es port authentikáció | | UNMANAGED | 10.172.0.0/16 | | 172 | management porttal nem rendelkező switchek VLANja | | MANAGEMENT | 172.20.0.0/16 | | | fizikailag elkülönített menedzsment hálózat, dedikált management porttal rendelkező switchek részére | | VPN:SALGO | 10.211.0.0/16 | | 2110 | Salgós adminlan, ahova VPN segítségével lehet kívülről belépni | | KITILTOTT | | | 22 | Minden típusú forgalom eldobásra kerül már a szinti switcheken |

Az itt felsorolt VLAN-okon kívül vannak még a natív VLAN-ok, melyek linkenként egyediek, és összességében még kb. 20 darab VLAN-t jelentenek. Erre a VLAN hoppingiii elkerülése miatt van szükség.

——————————–

i) Olyan olcsóbb internet elérési csomag, amit a mobiltelefonok és tabletek forgalmához igazítottunk

ii) Virtual LAN, Hálózati eszközök olyan csoportja, aminek tagjai úgy kommunikálnak mintha ugyanabba a szórási tartományba tartoznának. https://en.wikipedia.org/wiki/VLAN

iii) https://en.wikipedia.org/wiki/VLAN_hopping