szó jelentését keresi. A DICTIOUS-ban nem csak a
szó összes szótári jelentését megtalálod, hanem megismerheted az etimológiáját, a jellemzőit és azt is, hogyan kell a
szót egyes és többes számban mondani. Minden, amit a
szóról tudni kell, itt található. A
szó meghatározása segít abban, hogy pontosabban és helyesebben fogalmazz, amikor beszélsz vagy írsz. A
és más szavak definíciójának ismerete gazdagítja a szókincsedet, és több és jobb nyelvi forráshoz juttat.
Főnév
virtual local area network (tsz. virtual local area networks)
- (informatika) A VLAN a Virtual Local Area Network (virtuális helyi hálózat) rövidítése. Olyan technológia, amely lehetővé teszi, hogy egy fizikai hálózaton belül több, logikailag elkülönített hálózatot hozzunk létre. Ez azt jelenti, hogy a hálózaton belüli eszközöket nem csak fizikailag, hanem logikailag is szétválaszthatjuk, attól függetlenül, hogy milyen porthoz vagy kábelhez vannak csatlakoztatva.
Miért van szükség VLAN-ra?
Egy hagyományos LAN-ban minden eszköz ugyanabba a broadcast domainbe tartozik, azaz minden broadcast üzenetet mindenki megkap. Ez nemcsak hogy biztonsági problémákat vet fel, de teljesítménycsökkenést is okozhat egy nagyobb hálózatban. A VLAN-ok ezt a problémát kezelik azzal, hogy:
- Broadcast domain-eket választanak szét
- Csökkentik a hálózati forgalmat
- Növelik a biztonságot
- Könnyebbé teszik az adminisztrációt
Hogyan működik a VLAN?
A VLAN lényege, hogy egy switch portjaihoz különböző VLAN-azonosítókat (VLAN ID) rendelünk. Az azonos VLAN ID-vel rendelkező portok egy csoportba tartoznak, és csak egymással tudnak közvetlenül kommunikálni. Más VLAN-okkal csak routeren vagy Layer 3 switchen keresztül kommunikálhatnak.
Példa: - VLAN 10: HR osztály (portok 1-5) - VLAN 20: IT osztály (portok 6-10)
A két osztály közötti forgalom alapértelmezetten nem megy át, kivéve, ha a rendszergazda kifejezetten engedélyezi.
VLAN típusok
1. Statikus VLAN
A switch portjaihoz kézzel rendeljük hozzá a VLAN ID-t. Ez a legelterjedtebb és legbiztonságosabb típus.
2. Dinamikus VLAN
A VLAN hozzárendelés MAC-cím alapján történik, egy VMPS (VLAN Management Policy Server) segítségével. Ez rugalmasabb, de ritkábban használt megoldás.
3. Voice VLAN
Speciális VLAN, amely IP-telefonok számára van fenntartva, külön az adatforgalomtól. Célja a QoS (Quality of Service) biztosítása.
VLAN azonosítók
A VLAN-okat egy 12 bites szám azonosítja, ami 4096 különböző azonosítót jelent (0–4095). Az alábbiakat érdemes tudni:
- 0 – fenntartott (jelzésre használják)
- 1 – alapértelmezett VLAN (default VLAN)
- 2–1001 – normál VLAN-ok
- 1002–1005 – Cisco által előre definiált VLAN-ok (FDDI, Token Ring)
- 1006–4094 – bővített VLAN tartomány (extended range)
VLAN konfiguráció – Cisco példa
Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# name HR
Switch(config-vlan)# exit
Switch(config)# interface fa0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
A fenti példa alapján a fa0/1 portot a 10-es VLAN-ba soroljuk, amit „HR”-nek neveztünk el.
VLAN kommunikáció – Inter-VLAN Routing
A VLAN-ok alapértelmezetten nem kommunikálnak egymással. Ha azt szeretnénk, hogy két VLAN közötti adatforgalom történjen (pl. HR <-> IT), akkor Inter-VLAN routingra van szükség.
Ez történhet: - Router segítségével (Router-on-a-Stick megoldás) - Layer 3 switch-csel, amely képes routingra is
Trunk kapcsolatok
Ha több switch között szeretnénk VLAN-okat átküldeni, akkor trunk kapcsolatokat kell létrehozni. Ezek speciális portok, amelyek több VLAN forgalmát is képesek szállítani.
- A trunk portok az Ethernet kereteket VLAN tag-gel (802.1Q) látják el.
- A csomagban szereplő VLAN ID alapján dönt a cél switch, hogy hová irányítsa a csomagot.
VLAN tag-ek és az IEEE 802.1Q
A VLAN információ nem szerepel az eredeti Ethernet szabványban. A IEEE 802.1Q szabvány hozzáad egy 4 bájtos VLAN tag-et az Ethernet kerethez, amely tartalmazza a VLAN ID-t.
- Ha egy port trunk, akkor ezeket a tag-eket megtartja.
- Ha access, akkor eltávolítja a tag-et, mielőtt a csomagot továbbítja az eszköz felé.
Biztonsági szempontok
A VLAN segíthet az elszigetelésben, de önmagában nem biztonsági mechanizmus. Az alábbiakat fontos figyelembe venni:
✅ Jó gyakorlatok:
- Ne használjuk a VLAN 1-et: Sok eszköz ezt használja alapértelmezetten – biztonsági rés lehet.
- Állítsuk be a native VLAN-t trunk portokon.
- Zárjuk le a nem használt portokat (
shutdown paranccsal).
- Használjunk port security-t, hogy csak meghatározott MAC-címek csatlakozhassanak.
⚠️ Veszélyek:
- VLAN hopping: Támadó képes lehet más VLAN-ba jutni, ha rosszul van konfigurálva a switch.
- Trunk portok védelme: Csak megbízható eszköz legyen rajta.
- Dynamic Trunking Protocol (DTP) használata helyett inkább manuálisan állítsuk be a portokat.
Előnyök
- ✅ Szegmentálás – Egyértelmű logikai határok az eszközök között.
- ✅ Biztonság – Az elszigeteltség csökkenti a támadási felületet.
- ✅ Teljesítmény – Csökkentett broadcast forgalom.
- ✅ Rugalmasság – Könnyű átszervezni hálózati struktúrát.
- ✅ Költséghatékonyság – Nem kell minden részlegnek külön switch vagy fizikai hálózat.
Hátrányok / Kihívások
- ❌ Komplexitás – A hálózat tervezése és karbantartása bonyolultabb.
- ❌ Hibalehetőségek – Rossz beállítás esetén forgalom szivároghat VLAN-ok között.
- ❌ Adminisztráció – Több konfigurációs lépés, több hiba lehetőség.
Összegzés
A VLAN egy rendkívül hasznos eszköz a modern hálózati adminisztrációban, amely lehetővé teszi a fizikai hálózattól független logikai szegmentálást. A VLAN-ok megfelelő konfigurációja javítja a biztonságot, csökkenti a forgalmat, és átláthatóbbá teszi a hálózati infrastruktúrát. Azonban csak akkor hatékony, ha tudatos tervezéssel és gondos karbantartással használják.