Różnica między podsiecią a siecią VLAN?

Często słyszysz terminy „ podsieć” i „ VLAN” używane zamiennie. Biorąc pod uwagę wszechobecny charakter IP w dzisiejszych czasach, kiedy te dwa nie są traktowane mniej więcej tak samo z wysokiego poziomu, zrozumienie, że VLAN to L2, a podsieci to L3. Innymi słowy, czy są jakieś przypadki posiadania sieci VLAN bez podsieci i nadal mają komunikację IP (L3)? [Ignorując również to, że wszystkie sieci nie są podsieciami, gdy rozważamy sieci klasowe, które w rzeczywistości są w rzeczywistości tylko prefiksami CIDR.]

Jeśli są używane zamiennie, są używane nieprawidłowo.

Podsieć odnosi się do określonej sieci IP, takiej jak 192.0.2.0/28.

VLAN odnosi się do standardu 802.1Q , w którym można zasadniczo nadać każdemu portowi unikalną tablicę adresów MAC, skutecznie oddzielając je od siebie.

VLAN może transportować jedną lub więcej podsieci (ale nie musi, może transportować całkowicie coś innego niż IP). Podsieć może być skonfigurowana dla VLAN, ale nie musi tak być, może być bez 802.1Q lub przez jakąś zupełnie inną technologię L2 niż Ethernet.

Podsieci (L3) i VLAN (L2) znajdują się na różnych warstwach. Terminy nie powinny być używane zamiennie. Sieć VLAN może zawierać jeden lub więcej prefiksów L3 („podsieci”). Dla laika może to powodować zamieszanie. Często ludzie nie rozumieją, że te dwa są ze sobą powiązane, ale nie takie same. Ludzie mogą powiedzieć, że host znajdujący się w naszej podsieci serwera lub serwer znajdujący się w DMZ VLAN oznacza to samo.

Jest to bardzo nieformalny sposób patrzenia na różnicę między sieciami VLAN a podsieciami, ale nie jest to niedokładne (po prostu niekompletne). Może to pomóc początkującym w sieci zbliżyć się do właściwego obrazu mentalnego.

Dwie różne sieci VLAN na jednym przełączniku lub hoście są jak dwa fizycznie oddzielne przełączniki. Dzielą przestrzeń adresową MAC, ponieważ komunikacja między dwiema stronami na jednej sieci VLAN lub na jednym przełączniku fizycznym nie angażuje żadnych innych stron w sieci na poziomie MAC (warstwa 2). Sieć VLAN lub przełącznik fizyczny ogranicza zasięg propagacji wiadomości na poziomie MAC, utrzymując ją tak lokalnie, jak to możliwe.

Natomiast podsieci IP istnieją w warstwie 3 i dzielą przestrzeń adresową IP, nie przestrzeń adresową MAC, ale mają podobny cel: ograniczenie zasięgu propagacji wiadomości. Wszelkie partycjonowanie w sieci warstwy 2 poniżej poziomu MAC jest całkowicie przezroczyste dla warstwy 3, co oznacza, że ​​VLAN i / lub oddzielne przełączniki fizyczne mogą być traktowane jako jeden ciągły nośnik warstwy 2 z punktu widzenia sieci na poziomie IP.

I odwrotnie, przełączniki i sieci VLAN nawet nie widzą adresów IP ani podsieci IP (z pewnymi drobnymi zastrzeżeniami, które mogą skomplikować obraz). Wszystko w warstwie 3 i wyższej to po prostu ładunek na poziomie MAC warstwy 2.

Podsumowując: sieci VLAN i podsieci dzielą różne warstwy modelu sieci. Nie ma okoliczności, w których są to terminy wymienne.

Są one używane tylko zamiennie z perspektywy każdej unikalnej sieci Vlan w warstwie 2, powinny mieć własną podsieć do adresowania w warstwie 3, zapewniając separację i możliwość zarządzania ruchem rozgłoszeniowym itp.

Jeśli chodzi o scenariusze, w których miałbyś sieć Vlan bez podsieci, być może tylko przy użyciu konfiguracji „nienumerowanej” ip, ale nie ma zbyt wielu powodów, aby chcieć to zrobić. Jeśli przejrzysz niektóre najlepsze praktyki, takie jak złożony model sieci Cisco, to jeśli chodzi o utrzymywanie poszczególnych podsieci i sieci lokalnych jako „lokalnych” w celu przełączania bloków, to na ogół masz oddzielną podsieć przypisaną do każdej sieci vlan.

W wielu implementacjach podsieć IPv4 i VLAN są ściśle skorelowane w stosunku 1: 1. Podsieć, ściśle mówiąc, jest częścią przestrzeni adresowej IPv4, z której można przypisywać adresy hostom. Różni się to od „przedrostka” terminu używanego we wspólnej mowie językowej lub supernecie, który może być nieco większą częścią przestrzeni adresowej IP, która składa się z wielu podsieci.

Powodem tej korelacji jest to, że zarówno jedna sieć VLAN, jak i pojedyncza podsieć reprezentują jedną domenę rozgłoszeniową. Jako takie, te dwa są zwykle nakładane w większości implementacji. Jak opisano we wcześniejszych odpowiedziach, VLAN jest jednostką warstwy 2. Wszystkie hosty w danej sieci VLAN mogą komunikować się ze sobą, ale żaden host w jednej sieci VLAN nie może komunikować się z hostami na innym bez jakiejkolwiek formy routingu lub, w rzadkich przypadkach, mostkowania.

Wielu respondentów stwierdziło, że terminów NIE należy używać zamiennie. Właściwie uważam, że jest to całkowicie akceptowalna i powszechna praktyka wśród ludzi, którzy znają różnicę, używając terminów zamiennie, mówiąc o IP w sieciach Ethernet. W rzeczywistości powinny one być w większości przypadków synonimami (zawsze są wyjątki), ponieważ oba definiują domenę rozgłoszeniową, a domeny rozgłoszeniowe L2 i L3 zwykle powinny być identyczne.

VLAN to koncepcja poziomu Ethernet, podsieć to koncepcja poziomu IP.

VLAN dzieli sieć Ethernet na wiele logicznie oddzielnych sieci Ethernet.

Podsieć określa, które hosty host będzie próbował komunikować się bezpośrednio z wersetami, które hosty będą musiały przejść przez router. Definiuje także adresy „sieciowe” i „rozgłoszeniowe”.

Powszechną praktyką jest mapowanie 1: 1 między podsieciami i sieciami VLAN, ale jest możliwe, aby wiele podsieci było dostępnych w tej samej sieci VLAN. Możliwe jest również użycie proxy arp do podzielenia podsieci na wiele sieci VLAN lub nawet dwóch sieci VLAN korzystających z tej samej podsieci IP do różnych celów.

Są bardzo różne. Jednak wiele terminów (megabit, megabajt, pamięć, dysk twardy itp.) Jest źle komunikowanych.

Często mamy klientów, którzy proszą nas o przeniesienie sieci Vlan z jednej witryny do drugiej, podczas gdy tak naprawdę chcą przenieść podsieć.

Przyzwyczajasz się do tego, mimo że próbuję je naprawić (grzecznie)

Innymi słowy, czy są jakieś przypadki posiadania sieci VLAN bez podsieci i nadal mają komunikację IP (L3)? [Ignorując również to, że wszystkie sieci nie są podsieciami, gdy rozważamy sieci klasowe, które tak naprawdę są w rzeczywistości tylko przedrostkami CIDR.]

niektóre protokoły routingu mogą należeć do tej samej domeny L2 i obsługiwać takie jak Apple Talk lub inne protokoły L3 / 4 inne niż IP. Muszą one znajdować się w tej samej domenie L2, ale nie w tej samej podsieci IP, ponieważ IP nie jest wymagane. W takim przypadku może być praktyczne użycie VLANS bez uwzględnienia jakiegokolwiek adresu IP / podsieci.

Różnica między nimi jest istotna. Sieci VLAN są zazwyczaj tylko lokalnie unikalne, podczas gdy podsieci są zwykle unikalne w całej organizacji.

Ludzie „wiedzą” rozumieją, że vlan 100 w kampusie 1 jest inny niż ten w kampusie 2, jeśli podsieć jednej jest, 192.168.1.0a druga jest 192.168.2.0Ale możesz mieć vlan 100 powtarzaną w każdym budynku w kampusie, jeśli oddzielisz je warstwami -3 granice i użyj różnych podsieci.

Są też wyjątki od reguł lub złe projekty, które można obejść z taśmą klejącą i basenami NAT ...

Z mojego doświadczenia wynika, że ​​obecnie są one uważane za takie same, dopóki nie użyjesz protokołu innego niż IP bezpośrednio na Ethernet.

Innymi słowy, podsieci są technicznie podziałem przestrzeni adresowej na poziomie L2 - to bardziej decyzja o routingu niż cokolwiek innego. Sieci VLAN to tunelowane ramki LAN w ramach ładunku innych ramek LAN. Ignorując przez chwilę różne standardy, jeśli umieścisz analizator pakietów na kablu, zobaczysz:

W podsieciowej sieci LAN zobaczysz taki sam ruch. Nie ma łatwego sposobu, aby spojrzeć na podsieć LAN i stwierdzić, że w rzeczywistości jest ona podsiecią. W przypadku sieci VLAN faktycznie zobaczysz ramki Ethernet z tagiem VLAN, które następnie przenoszą w nich kolejną ramkę Ethernet.

Ramki podsieci są łatwo obsługiwane przez sprzęt - możesz zignorować podsieć w danym momencie, jeśli na przykład chcesz, aby przezroczysty serwer proxy obserwował ruch. Sieci VLAN to tunele.

Sieci VLAN łączą przełącznik w wiele wirtualnych przełączników.
Podsieci dzielą adres sieciowy IP na wiele mniejszych adresów sieciowych.