2013 nyarán és szeptemberének elején az eddigi egy nagy hálózatot (VLAN-t) több kisebbre bontottuk fel.
Miért is volt rá szükség?
<!--truncate-->
Szerettük volna mobil regeketi bevezetni<sup>i</sup>, amelyhez sikeresen igényeltünk egy nagyobb IP címtartományt az egyetemtől. Viszont amennyiben ezt a másfélszeresére növekedett tartományt is egy darab VLAN<sup>ii</sup>-nak hagytuk volna meg, akkor már az amúgy is hatalmas broadcast forgalom teljesen kezelhetetlenné vált volna. Csak hogy érzékeltessük, mekkora is volt a broadcast: egy átlagos mai gépen megközelitőleg 1-2% CPU használat volt csak a broadcastból származó interrupt (egy hiba alkalmával akár ennek sokszorosa is), ami most lecsökkent közel 0%-ra.
Megvalósítás:
Hosszas megbeszélések és workshopok alatt több lehetőség közűl a “két szinten – egy VLAN, mindig mindenki egy fix VLAN-ban van” opciót választottuk, mert így nincsen sok nem kiosztható IP-cím (pl.: default gateway, broadcast cím, alhálózat címe), viszont nem is túl nagy ahhoz, hogy a broadcast forgalom elviselhetetlen legyen. Ezen kívül van egy /60-as IPv6 tartományunk is, amelyet – betartva az ajánlott, “/64-es maszk minden alhálózatnak” címzési módot – pont a szükséges mennyiségű részre tudtunk feldarabolni. A fix VLAN azt jelenti, hogy mindig mindenki a lakószintjének megfelelő VLAN-ban lesz, attól függetlenül, hogy melyik szinten tartózkodik. Ez viszont – mivel egy switch portjai egyidejűleg csak egy VLAN-ban lehetnek – azt a problémát hordozza magában, hogy egy faliportba dugott switchen vagy AP-n egyidejűleg csak egy VLAN-ba tartozó lakók lehetnek. Ezt a problémát azonban a nyár elején kiküldött kérdőívünk alapján nem itéltük nagynak. Egyedül a körök helyiségeiben okozhatna ez számottevő problémát, viszont ott igény esetén az általunk biztosított régebbi hálózati eszközökkel ezt meg tudjuk oldani.
Egyetemi okok miatt volt szükséges, hogy mindenki egy fix VLAN-ban legyen, ne pedig több VLAN-ban, például mindig az aktuális szintnek megfelőben. Ilyen ok többek között, hogy ha az egyetem kitiltana valakit és ez az illető átmenne egy másik VLAN-ba, ahol egy másik IP-címet kéne kapnia, majd megint kitiltanák, és ezt eljátszaná az összes VLAN-ban , esetleg mindezt még több ember is megtenné, akkor az egyetem a végén az egész tartományunkat tiltaná. Arról nem is beszélve, hogy ahhoz nincsen elegendő IP-címünk (de még ha lenne is hatalmas pazarlás volna), hogy mindenkinek fenntartsunk egy fix IP-címet minden tartományban, továbbá így dinamikusan változna mindenki IP-címe, amely megszüntetné a fix IP-cím adta előnyöket. Kellemetlen helyzet lenne az is, hogy ha az egyetem kitilt egy IP-címet, ám ezt attól még újra ki lehetne osztani egy olyan valakinek, aki nem is csinált semmi olyat, ami miatt ki kéne tiltani.
A VLAN-ok számát megtartva a kollégistákat valamilyen hash függvény alapján is VLAN-okba rendelhetük volna, viszont ezzel az lett volna a baj, hogy az egy szobában lakók akár 4 különböző VLAN-ba is kerülhettek volna, így lehetetlenné téve egy közös switch vagy AP használatát.
A már említett broadcastforgalom-csökkenés pozitív hatással volt minden hálózatra kötött eszközre, így mostantól az olcsóbb WiFi routerek és Access Pointok sem halnak le 1-2 perc használat után.
Egy másik, remélhetőleg rövid távú problémát azonban okozott a VLAN-olás az SCH WiFi hálózatában: sajnos a jelenlegi megoldással nem tudjuk az összes szükséges VLAN-t WiFi-n szétszórni. Ezt a problémát egy controllerel tudnánk orvosolni, amire a teljes lefedettséghez amúgy is szükség van. Ez várhatóan még idén megérkezik.
| SYSADMIN:ADMIN | 10.0.0.0/16 | | 10 | adminlan, csak belölről elérhető adminisztrációs hálózat |
| REGELETLEN | 10.66.0.0/16 | | 2 | alapértelmezett VLAN, ide kerül minden olyan gép, aminek nem sikerűlt a dot1x-es port authentikáció |
| UNMANAGED | 10.172.0.0/16 | | 172 | management porttal nem rendelkező switchek VLANja |
| MANAGEMENT | 172.20.0.0/16 | | | fizikailag elkülönített menedzsment hálózat, dedikált management porttal rendelkező switchek részére |
| VPN:SALGO | 10.211.0.0/16 | | 2110 | Salgós adminlan, ahova VPN segítségével lehet kívülről belépni |
| KITILTOTT | | | 22 | Minden típusú forgalom eldobásra kerül már a szinti switcheken |
Az itt felsorolt VLAN-okon kívül vannak még a natív VLAN-ok, melyek linkenként egyediek, és összességében még kb. 20 darab VLAN-t jelentenek. Erre a VLAN hopping<sup>iii</sup> elkerülése miatt van szükség.
---
i) Olyan olcsóbb internet elérési csomag, amit a mobiltelefonok és tabletek forgalmához igazítottunk
ii) Virtual LAN, Hálózati eszközök olyan csoportja, aminek tagjai úgy kommunikálnak mintha ugyanabba a szórási tartományba tartoznának. https://en.wikipedia.org/wiki/VLAN
