Korzystając z usług biznesowych często nie przejmujemy się jak one działają, definiujemy parametry usługi, płacimy fakturę i liczymy na to, że nie wydarzy się żaden incydent. Jedną z takich usług właśnie jest transmisja danych w warstwie drugiej. Najczęściej ułatwia ona zestawienie łącza pomiędzy lokalizacjami aby ograniczyć problemy w dostępie do usług własnych lub zmniejszyć ilość urządzeń sieciowych na trakcie komunikacyjnym. Dostawca zapewnia, że w ramach usługi zrealizuje bezpieczne, odseparowane od Internetu i innych sieci klienckich połączenie punkt-punkt. I w tym momencie powinna nam się zapalić przynajmniej pomarańczowa lampka z pytaniem “a jak?”. Czyżby każdy klient otrzymywał dedykowane łącze specjalnie przygotowanym dla niego światłowodem? Oczywiście i takie metody wchodzą w grę ale to ekskluzywne rozwiązanie. W większości przypadków operator posłuży się protokołem 802.1ad definiującym w jaki sposób “zamknąć” ramki klienta w ramki w swojej infrastrukturze. Dodanie drugiego tagu do ramki ethernet’owej wprowadza dodatkowy poziom zarządzania, pozwalając na utworzenie kilku niezależnych sieci wirtualnych w ramach jednej nadrzędnej sieci. Taką technologię nazywamy Q in Q lub VLAN’em operatorskim.
Topologia sieci
Konfiguracja
Router A-R1 / A-R2
Na routerze A-R2 zmieniamy:
– adresy IP dla VLAN’u 10 i VLAN’u 20 na końcówkę x.x.x.2/24.
Router B-R1 / B-R2
Na routerze B-R1 zmieniamy:
– VLAN10 na VLAN30, VLAN20 na VLAN40
– adres IP dla VLAN30: 192.168.30.1/24
– adres IP dla VLAN40: 192.168.40.1/24
Na routerze B-R2 zmieniamy:
– adresy IP dla VLAN’u 30 i VLAN’u 40 na końcówkę x.x.x.2/24
Switch S1 / S2
Na przełączniku S1 zmieniamy:
– adres IP dla VLAN9: 192.168.9.1/24
Podsumowanie
W taki oto sposób możemy za pomocą Q in Q enkapsulować jedną sieć wirtualną w innej sieci wirtualnej. Nawet w przypadku gdy klienci korzystają z tych samych tagów. I rzeczywiście dzięki takiemu rozwiązaniu otrzymujemy bezpieczne połączenie między lokalizacjami, ponieważ inni nie widzą komunikacji prowadzonej między naszymi oddziałami. Jeżeli natomiast nie mamy zaufania do operatora lub chcemy wzmocnić prywatność komunikacji to możemy ustanowić dodatkowo szyfrowany tunel w technologii VPN. Niemniej jest to doskonała technologia pokazująca w jaki sposób wprowadzić kolejny poziom segmentacji sieci w warstwie drugiej.