Jak działają sieci VLAN?

128

Co to są sieci VLAN? Jakie problemy rozwiązują?

Pomagam znajomemu nauczyć się podstawowej sieci, ponieważ został on po prostu jedynym administratorem w małej firmie. Wskazywałam mu na różne pytania / odpowiedzi dotyczące błędu serwera związane z różnymi tematami sieci i zauważyłam lukę - nie wydaje się, aby odpowiedź wyjaśniała z pierwszych zasad, czym są VLAN. W duchu Jak działa Subnetting , pomyślałem, że przydałoby się tutaj pytanie z kanoniczną odpowiedzią.

Niektóre potencjalne tematy do omówienia w odpowiedzi:

  • Co to są sieci VLAN?
  • Jakie problemy zamierzali rozwiązać?
  • Jak działało przed VLAN-ami?
  • Jak sieci VLAN odnoszą się do podsieci?
  • Co to są SVI?
  • Co to są porty trunk i porty dostępu?
  • Co to jest VTP?

EDYCJA: dla jasności wiem już, jak działają sieci VLAN - po prostu uważam, że błąd serwera powinien zawierać odpowiedź na te pytania. Jeśli czas na to pozwoli, prześlę także własną odpowiedź.

Murali Suriar
źródło
2
może inne pytanie: jakie są różnice między statycznymi i dynamicznymi sieciami VLAN? Jakie są sposoby zarządzania nimi? I jeszcze jedno: jakie są standardy regulujące współpracę VLAN między dostawcami?
Hubert Kario
Jak ćma do ognia, przybyłem i dodałem moje 4000 słów ... (Przypuszczam, że mogę żyć, będąc społecznością wiki ... Chyba naprawdę nie potrzebuję przedstawiciela ...> uśmiech <)
Evan Anderson
1
@Evan: Miałem trochę nadziei, że się pojawisz. Muszę jednak przyznać, że przydałoby mi się trochę więcej powtórzeń, zanim przerzucę to na CW. :)
Murali Suriar,

Odpowiedzi:

224

Wirtualne sieci LAN (VLAN) to abstrakcja, która pozwala pojedynczej sieci fizycznej emulować funkcjonalność wielu równoległych sieci fizycznych. Jest to przydatne, ponieważ mogą wystąpić sytuacje, w których potrzebujesz funkcjonalności wielu równoległych sieci fizycznych, ale wolisz nie wydawać pieniędzy na zakup równoległego sprzętu. W tej odpowiedzi będę mówić o sieciach VLAN Ethernet (nawet jeśli inne technologie sieciowe mogą obsługiwać sieci VLAN) i nie będę nurkować głęboko w każdym niuansie.

Wymyślony przykład i problem

Jako czysto wymyślony przykładowy scenariusz wyobraź sobie, że posiadasz budynek biurowy, który wynajmujesz najemcom. W ramach umowy najmu każdy najemca otrzyma gniazda Ethernet na żywo w każdym pokoju w biurze. Kupujesz przełącznik Ethernet dla każdego piętra, podłączasz je do gniazd w każdym biurze na tej podłodze i łączysz wszystkie przełączniki razem.

Początkowo wynajmujesz powierzchnię dwóm różnym najemcom - jednemu na piętrze 1 i drugiemu 2. Każdy z tych lokatorów konfiguruje swoje komputery ze statycznymi adresami IPv4. Obaj najemcy używają różnych podsieci TCP / IP i wszystko wydaje się działać dobrze.

Później nowy najemca wynajmuje połowę piętra 3 i wprowadza jeden z tych nowopowstałych serwerów DHCP. Czas mija, a najemca pierwszego piętra decyduje się również wskoczyć na modę DHCP. W tym momencie sprawy zaczynają się nie układać. Lokatorzy trzeciego piętra zgłaszają, że niektóre z ich komputerów uzyskują „śmieszne” adresy IP z komputera, który nie jest ich serwerem DHCP. Wkrótce najemcy pierwszego piętra zgłaszają to samo.

DHCP to protokół wykorzystujący możliwości rozgłaszania Ethernet, aby umożliwić komputerom klienckim dynamiczne uzyskiwanie adresów IP. Ponieważ wszyscy najemcy dzielą tę samą fizyczną sieć Ethernet, dzielą tę samą domenę rozgłoszeniową. Pakiet rozgłoszeniowy wysłany z dowolnego komputera w sieci spowoduje zalanie wszystkich portów przełącznika na każdy inny komputer. Serwery DHCP na poziomach 1 i 3 otrzymają wszystkie prośby o dzierżawę adresów IP i będą skutecznie pojedynkować się, aby zobaczyć, kto może odpowiedzieć jako pierwszy. Wyraźnie nie jest to zachowanie, którego doświadczasz najemców. Jest to jednak zachowanie „płaskiej” sieci Ethernet bez jakichkolwiek sieci VLAN.

Co gorsza, najemca na piętrze 2 nabywa to oprogramowanie „Wireshark” i informuje, że od czasu do czasu widzi ruch wychodzący z przełącznika, który odwołuje się do komputerów i adresów IP, o których nigdy nie słyszał. Jeden z ich pracowników nawet zorientował się, że może komunikować się z tymi innymi komputerami, zmieniając adres IP przypisany do swojego komputera z 192.168.1.38 na 192.168.0.38! Przypuszczalnie dzieli go tylko kilka kroków od wykonania „nieautoryzowanych usług administracyjnych w systemie pro-bono” dla jednego z pozostałych najemców. Niedobrze.

Potencjalne rozwiązania

Potrzebujesz rozwiązania! Możesz po prostu wyciągnąć wtyczki między podłogami, co odetnie wszelką niechcianą komunikację! Tak! To jest bilet ...

To może zadziałać, z wyjątkiem tego, że masz nowego najemcę, który wynajmuje połowę piwnicy i niezajętą ​​połowę piętra 3. Jeśli nie ma połączenia między przełącznikiem 3 piętra a przełącznikiem piwnicy, nowy najemca nie będzie w stanie uzyskać komunikację między ich komputerami, która będzie rozłożona na obu piętrach. Wyciąganie wtyczek nie jest odpowiedzią. Co gorsza, nowy lokator przynosi jeszcze inny jeden z tych serwerów DHCP!

Flirtujesz z pomysłem zakupu fizycznie oddzielnych zestawów przełączników Ethernet dla każdego najemcy, ale widząc, jak twój budynek ma 30 pięter, z których każdy można podzielić na 4 sposoby, potencjalne gniazdo szczurów kabli od podłogi do podłogi między ogromna liczba równoległych przełączników Ethernet może być koszmarem, nie wspominając o drogich. Gdyby tylko istniał sposób, aby jedna fizyczna sieć Ethernet działała tak, jakby była wieloma fizycznymi sieciami Ethernet, każda z własną domeną rozgłoszeniową.

Sieci VLAN na ratunek

Sieci VLAN są odpowiedzią na ten bałagan. Sieci VLAN umożliwiają podział przełącznika Ethernet na logicznie odmienne wirtualne przełączniki Ethernet. Dzięki temu pojedynczy przełącznik Ethernet działa tak, jakby był wieloma fizycznymi przełącznikami Ethernet. Na przykład w przypadku podzielonej podłogi 3 możesz skonfigurować przełącznik 48 portów tak, aby dolne 24 porty znajdowały się w danej sieci VLAN (którą nazywamy VLAN 12), a wyższe 24 porty znajdują się w danej sieci VLAN ( który nazwiemy VLAN 13). Podczas tworzenia sieci VLAN na przełączniku będziesz musiał przypisać im nazwę lub numer VLAN. Liczby, których tu używam, są w większości arbitralne, więc nie martw się o to, jakie konkretne liczby wybiorę.

Po podzieleniu przełącznika poziomu 3 na sieci VLAN 12 i 13 okazuje się, że nowy najemca poziomu 3 może podłączyć swój serwer DHCP do jednego z portów przypisanych do sieci VLAN 13, a komputer podłączony do portu przypisanego do sieci VLAN 12 nie robi tego Uzyskaj adres IP z nowego serwera DHCP. Doskonały! Problem rozwiązany!

Och, czekaj ... jak sprowadzamy te dane VLAN 13 do piwnicy?

Komunikacja VLAN między przełącznikami

Twój lokator na półpiętrze 3 i na pół piwnicy chciałby podłączyć komputery w piwnicy do swoich serwerów na piętrze 3. Możesz poprowadzić kabel bezpośrednio z jednego z portów przypisanych do ich sieci VLAN na piętrze 3, przełączając się na piwnicę i życie byłoby dobrze, prawda?

Na początku sieci VLAN (standard wcześniejszy niż 802.1Q) możesz to zrobić. Cały przełącznik w piwnicy byłby faktycznie częścią VLAN 13 (VLAN, który zdecydowałeś się przypisać nowemu najemcy na piętrze 3 i piwnicy), ponieważ ten przełącznik do piwnicy byłby „zasilany” przez port na piętrze 3, który jest przypisany do VLAN 13.

To rozwiązanie będzie działać, dopóki nie wynajmiesz drugiej połowy piwnicy swojemu lokatorowi na 1 piętrze, który również chce mieć komunikację między swoim pierwszym piętrem a komputerami w piwnicy. Możesz podzielić przełącznik piwnicy za pomocą sieci VLAN (na powiedzmy VLANS 2 i 13) i poprowadzić kabel z podłogi 1 do portu przypisanego do sieci VLAN 2 w piwnicy, ale lepszy osąd mówi, że może to szybko stać się gniazdem szczura kabli (i będzie tylko gorzej). Dzielenie przełączników za pomocą sieci VLAN jest dobre, ale konieczność poprowadzenia wielu kabli od innych przełączników do portów należących do różnych sieci VLAN wydaje się nieporządna. Niewątpliwie, gdybyś musiał podzielić przełącznik piwniczny na 4 sposoby między lokatorów, którzy mieli również przestrzeń na wyższych piętrach, użyłbyś 4 portów na przełączniku piwnicznym tylko do zakończenia kabli „podających” z sieci VLAN na piętrze.

Teraz powinno być jasne, że potrzebny jest pewien rodzaj uogólnionej metody przenoszenia ruchu z wielu sieci VLAN między przełącznikami na jednym kablu. Dodanie większej liczby kabli między przełącznikami w celu obsługi połączeń między różnymi sieciami VLAN nie jest skalowalną strategią. W końcu, z wystarczającą ilością VLAN, zajmiesz wszystkie porty na swoich przełącznikach dzięki tym połączeniom między VLAN / między przełącznikami. Potrzebny jest sposób przenoszenia pakietów z wielu sieci VLAN za pomocą jednego połączenia - połączenie „trunk” między przełącznikami.

Do tego momentu wszystkie porty przełącznika, o których mówiliśmy, nazywane są portami „dostępowymi”. Oznacza to, że porty te są przeznaczone do uzyskiwania dostępu do pojedynczej sieci VLAN. Urządzenia podłączone do tych portów same nie mają specjalnej konfiguracji. Te urządzenia nie „wiedzą”, że istnieją jakieś sieci VLAN. Ramki wysyłane przez urządzenia klienckie są dostarczane do przełącznika, który następnie upewnia się, że ramka jest wysyłana tylko do portów przypisanych jako członkowie sieci VLAN przypisanej do portu, w którym ramka weszła do przełącznika. Jeśli ramka wejdzie do przełącznika na porcie przypisanym jako członek VLAN 12, wówczas przełącznik wyśle ​​tę ramkę tylko z portów, które są członkami VLAN 12. Przełącznik „zna” numer VLAN przypisany do portu, z którego odbiera i jakoś wie, że dostarcza tę ramkę tylko z portów tej samej sieci VLAN.

Gdyby istniał sposób, aby przełącznik współdzielił numer VLAN związany z daną ramką z innymi przełącznikami, wówczas inny przełącznik mógłby poprawnie obsłużyć dostarczanie tej ramki tylko do odpowiednich portów docelowych. To właśnie robi protokół znakowania VLAN 802.1Q. (Warto zauważyć, że przed 802.1Q niektórzy producenci opracowali własne standardy znakowania VLAN i trunkingu między przełącznikami. W większości te standardowe metody zostały zastąpione przez 802.1Q.)

Gdy masz dwa przełączniki obsługujące sieć VLAN i chcesz, aby przełączniki te dostarczały ramki między sobą do odpowiedniej sieci VLAN, podłącz te przełączniki za pomocą portów „trunk”. Obejmuje to zmianę konfiguracji portu na każdym przełączniku z trybu „dostępu” na tryb „trunk” (w bardzo podstawowej konfiguracji).

Gdy port jest skonfigurowany w trybie trunkowania, każda ramka wysyłana przez ten przełącznik będzie zawierała „ramkę VLAN” w ramce. Ten „znacznik VLAN” nie był częścią oryginalnej ramki wysłanej przez klienta. Znacznik ten jest raczej dodawany przez przełącznik wysyłający przed wysłaniem ramki poza port magistrali. Ten znacznik oznacza numer VLAN związany z portem, z którego pochodzi ramka.

Przełącznik odbierający może spojrzeć na znacznik w celu ustalenia, z której sieci VLAN pochodzi ramka, i na podstawie tych informacji przesyła ramkę tylko do portów, które są przypisane do początkowej sieci VLAN. Ponieważ urządzenia podłączone do portów „dostępowych” nie wiedzą, że używane są sieci VLAN, informacje „znacznika” należy usunąć z ramki przed wysłaniem portu skonfigurowanego w trybie dostępu. To usunięcie informacji znacznika powoduje, że cały proces trunkingowy sieci VLAN jest ukryty przed urządzeniami klienckimi, ponieważ otrzymywana ramka nie będzie zawierać żadnych informacji znaczników VLAN.

Przed skonfigurowaniem sieci VLAN w rzeczywistości zalecam skonfigurowanie portu dla trybu trunk na przełączniku testowym i monitorowanie ruchu wysyłanego z tego portu za pomocą sniffera (takiego jak Wireshark). Możesz utworzyć przykładowy ruch z innego komputera podłączonego do portu dostępu i przekonać się, że ramki wychodzące z portu głównego będą w rzeczywistości większe niż ramki wysyłane przez komputer testowy. Zobaczysz informacje o znaczniku VLAN w ramkach w Wireshark. Uważam, że warto zobaczyć, co dzieje się w snifferze. Czytanie na temat standardu znakowania 802.1Q jest również w tym momencie przyzwoitą rzeczą (szczególnie, że nie mówię o takich rzeczach jak „natywne sieci VLAN” lub podwójne tagowanie).

Konfiguracja VLAN Koszmary i rozwiązanie

Wraz z wynajmowaniem coraz większej powierzchni w budynku rośnie liczba sieci VLAN. Za każdym razem, gdy dodajesz nową sieć VLAN, musisz się zalogować do coraz większej liczby przełączników Ethernet i dodać tę sieć VLAN do listy. Czy nie byłoby wspaniale, gdyby istniała metoda dodania tej sieci VLAN do jednego manifestu konfiguracji i automatycznego zapełniania konfiguracji sieci VLAN każdego przełącznika?

Protokoły takie jak zastrzeżony przez Cisco „VLAN Trunking Protocol” (VTP) lub oparty na standardach „Multiple VLAN Registration Protocol” (MVRP - poprzednio zapisany GVRP) spełniają tę funkcję. W sieci korzystającej z tych protokołów pojedyncze utworzenie lub usunięcie VLAN powoduje wysłanie komunikatów protokołu do wszystkich przełączników w sieci. Ten komunikat protokołu przekazuje zmianę konfiguracji VLAN pozostałym przełącznikom, które z kolei modyfikują ich konfiguracje VLAN. VTP i MVRP nie zajmują się tym, które konkretne porty są skonfigurowane jako porty dostępu dla określonych sieci VLAN, ale są raczej przydatne w komunikowaniu tworzenia lub usuwania sieci VLAN do wszystkich przełączników.

Po opanowaniu sieci VLAN prawdopodobnie będziesz chciał wrócić i przeczytać o „przycinaniu sieci VLAN”, która jest powiązana z protokołami takimi jak VTP i MVRP. Na razie nie ma się czym przejmować. (Artykuł VTP na Wikipedii zawiera ładny schemat wyjaśniający przycinanie VLAN i związane z tym korzyści.)

Kiedy używasz sieci VLAN w prawdziwym życiu?

Zanim przejdziemy dalej, ważne jest, aby pomyśleć o prawdziwym życiu, a nie o wymyślonych przykładach. Zamiast powielić tutaj tekst innej odpowiedzi, odsyłam cię do mojej odpowiedzi dotyczącej: kiedy utworzyć VLAN . Niekoniecznie jest to „poziom dla początkujących”, ale warto się teraz przyjrzeć, ponieważ krótko powiem o tym, zanim wrócę do wymyślonego przykładu.

Dla tłumu „tl; dr” (który z pewnością i tak przestał czytać w tym momencie) istotą powyższego linku jest: Utwórz sieci VLAN, aby zmniejszyć domeny rozgłoszeniowe lub gdy chcesz segregować ruch z jakiegoś konkretnego powodu (bezpieczeństwo , zasady itp.). Tak naprawdę nie ma innych dobrych powodów, aby używać sieci VLAN.

W naszym przykładzie używamy sieci VLAN do ograniczania domen rozgłaszania (aby utrzymać prawidłowe działanie protokołów, takich jak DHCP), a po drugie, ponieważ chcemy izolacji między sieciami różnych najemców.

Oprócz innych podsieci IP i sieci VLAN

Mówiąc ogólnie, istnieje zazwyczaj relacja jeden-do-jednego między sieciami VLAN i podsieciami IP dla wygody, w celu ułatwienia izolacji i ze względu na sposób działania protokołu ARP.

Jak widzieliśmy na początku tej odpowiedzi, dwie różne podsieci IP mogą być używane bez problemu w tej samej fizycznej sieci Ethernet. Jeśli używasz sieci VLAN do zmniejszania domen rozgłaszania, nie będziesz chciał udostępniać tej samej sieci VLAN dwóm różnym podsieciom IP, ponieważ będziesz łączyć ich ARP i inny ruch rozgłoszeniowy.

Jeśli używasz sieci VLAN do segregacji ruchu ze względów bezpieczeństwa lub zasad, prawdopodobnie również nie będziesz chciał łączyć wielu podsieci w tej samej sieci VLAN, ponieważ będziesz pokonał cel izolacji.

IP używa protokołu rozgłoszeniowego, Address Resolution Protocol (ARP), do mapowania adresów IP na adresy fizyczne (Ethernet MAC). Ponieważ ARP jest oparty na emisji, przypisanie różnych części tej samej podsieci IP do różnych sieci VLAN byłoby problematyczne, ponieważ hosty w jednej sieci VLAN nie byłyby w stanie odbierać odpowiedzi ARP od hostów w drugiej sieci VLAN, ponieważ transmisje nie są przekazywane między sieciami VLAN. Możesz rozwiązać ten „problem” za pomocą proxy-ARP, ale ostatecznie, chyba że masz naprawdę dobry powód, aby wymagać podzielenia podsieci IP na wiele sieci VLAN, lepiej tego nie robić.

Jeszcze jedno: VLAN i bezpieczeństwo

Na koniec warto zauważyć, że sieci VLAN nie są doskonałym urządzeniem zabezpieczającym. Wiele przełączników Ethernet ma błędy, które pozwalają ramkom pochodzącym z jednej sieci VLAN na wysyłanie portów przypisanych do innej sieci VLAN. Producenci przełączników Ethernet ciężko pracowali, aby naprawić te błędy, ale wątpliwe jest, aby kiedykolwiek istniała całkowicie bezbłędna implementacja.

W naszym wymyślonym przykładzie pracownik drugiego piętra, który jest w odległości kilku minut od dostarczenia „usług” administracji bezpłatnych systemów innemu najemcy, może zostać powstrzymany przed izolacją jego ruchu w sieci VLAN. Może jednak również dowiedzieć się, jak wykorzystać błędy w oprogramowaniu sprzętowym przełącznika, aby jego ruch „wyciekł” również do sieci VLAN innego najemcy.

Dostawcy Metro Ethernet coraz częściej polegają na funkcjach znakowania VLAN i izolacji zapewnianej przez przełączniki. Nie jest sprawiedliwe twierdzenie, że korzystanie z sieci VLAN nie zapewnia bezpieczeństwa. Można jednak powiedzieć, że w sytuacjach z niezaufanymi połączeniami internetowymi lub sieciami DMZ prawdopodobnie lepiej jest użyć fizycznie oddzielnych przełączników do przenoszenia tego „drażliwego” ruchu niż sieci VLAN na przełącznikach, które również przenoszą zaufany ruch „za zaporą”.

Przenoszenie warstwy 3 do obrazu

Jak dotąd wszystko, o czym mówiła ta odpowiedź, dotyczy ramek warstwy 2 - ramki Ethernet. Co się stanie, jeśli zaczniemy do tego wprowadzać warstwę 3?

Wróćmy do wymyślonego przykładu budynku. Przyjęłeś sieci VLAN, które zdecydowały się skonfigurować porty każdego najemcy jako członków oddzielnych sieci VLAN. Skonfigurowałeś porty magistrali w taki sposób, że przełącznik każdego piętra może wymieniać ramki oznaczone numerem źródłowym VLAN na przełączniki na podłodze powyżej i poniżej. Jeden najemca może mieć komputery rozmieszczone na wielu piętrach, ale ze względu na twoje umiejętności konfigurowania sieci VLAN, te fizycznie rozproszone komputery mogą wydawać się być częścią tej samej fizycznej sieci LAN.

Jesteś tak pełen swoich osiągnięć informatycznych, że postanowiłeś zacząć oferować łączność z Internetem swoim najemcom. Kupujesz grubą fajkę internetową i router. Przekazujesz ten pomysł wszystkim swoim najemcom, a dwóch z nich natychmiast kupuje. Na szczęście twój router ma trzy porty Ethernet. Podłączasz jeden port do grubej potoku internetowego, inny port do portu przełącznika przypisanego do dostępu do VLAN pierwszego dzierżawcy, a drugi do portu przypisanego do dostępu do VLAN drugiego dzierżawcy. Konfigurujesz porty routera z adresami IP w sieci każdego najemcy, a lokatorzy zaczynają uzyskiwać dostęp do Internetu za pośrednictwem Twojej usługi! Przychody rosną i jesteś szczęśliwy.

Wkrótce jednak inny najemca decyduje się na Twoją ofertę internetową. Jednak brakuje routera. Co robić?

Na szczęście kupiłeś router, który obsługuje konfigurowanie „wirtualnych interfejsów” na jego portach Ethernet. Krótko mówiąc, ta funkcja pozwala routerowi odbierać i interpretować ramki oznaczone numerami początkowymi VLAN oraz mieć wirtualne (to znaczy niefizyczne) interfejsy skonfigurowane z adresami IP odpowiednimi dla każdej sieci VLAN, z którą będzie się komunikował. W efekcie pozwala to na „multipleksowanie” pojedynczego portu Ethernet w routerze, tak że wydaje się działać jako wiele fizycznych portów Ethernet.

Podłączasz router do portu trunk na jednym z przełączników i konfigurujesz wirtualne interfejsy odpowiadające schematowi adresowania IP każdego najemcy. Każdy wirtualny pod-interfejs jest skonfigurowany z numerem VLAN przypisanym do każdego klienta. Gdy ramka opuszcza port trunk na przełączniku, kierując się do routera, będzie nosić znacznik z numerem początkowym VLAN (ponieważ jest to port trunk). Router zinterpretuje ten znacznik i potraktuje pakiet tak, jakby dotarł do dedykowanego interfejsu fizycznego odpowiadającego tej sieci VLAN. Podobnie, gdy router wysyła ramkę do przełącznika w odpowiedzi na żądanie, doda do ramki znacznik VLAN, aby przełącznik wiedział, do której sieci VLAN powinna być dostarczona ramka odpowiedzi. W efekcie skonfigurowałeś router, aby „pojawiał się”

Routery na sztyftach i przełącznikach warstwy 3

Korzystając z wirtualnych interfejsów, możesz sprzedawać łączność z Internetem wszystkim swoim najemcom bez konieczności zakupu routera z ponad 25 interfejsami Ethernet. Jesteś całkiem zadowolony ze swoich osiągnięć IT, więc pozytywnie reagujesz, gdy dwóch twoich najemców przyjeżdża do ciebie z nową prośbą.

Dzierżawcy ci zdecydowali się na „partnera” w projekcie i chcą umożliwić dostęp z komputerów klienckich w biurze jednego najemcy (jeden dany VLAN) do komputera serwera w biurze drugiego najemcy (inny VLAN). Ponieważ obaj są klientami Twojej usługi internetowej, jest to dość prosta zmiana listy ACL w twoim głównym routerze internetowym (na której jest skonfigurowany wirtualny pod-interfejs skonfigurowany dla każdej z sieci VLAN tych najemców), aby umożliwić przepływ ruchu między ich sieciami VLAN, ponieważ a także do Internetu z ich sieci VLAN. Dokonujesz zmiany i wysyłasz najemców po drodze.

Następnego dnia otrzymujesz skargi od obu najemców, że dostęp między komputerami klienckimi w jednym biurze do serwera w drugim biurze jest bardzo wolny. Zarówno serwer, jak i komputery klienckie mają gigabitowe połączenia Ethernet z przełącznikami, ale pliki przesyłane są tylko z prędkością około 45 Mb / s, co przypadkowo stanowi około połowę prędkości, z jaką router główny łączy się z przełącznikiem. Oczywiście ruch przepływający ze źródłowej sieci VLAN do routera i z powrotem z routera do docelowej sieci VLAN jest wąski przez połączenie routera z przełącznikiem.

To, co zrobiłeś z głównym routerem, pozwalając mu na kierowanie ruchem między sieciami VLAN, jest powszechnie znane jako „router na patyku” (prawdopodobnie głupio kapryśny eufemizm). Ta strategia może działać dobrze, ale ruch może przepływać tylko między sieciami VLAN, aż do pojemności połączenia routera z przełącznikiem. Jeśli w jakiś sposób router może być połączony z „wnętrznościami” samego przełącznika Ethernet, może on kierować ruchem nawet szybciej (ponieważ sam przełącznik Ethernet, zgodnie ze specyfikacją producenta, jest w stanie przełączać ruch 2 Gb / s).

„Przełącznik warstwy 3” to przełącznik Ethernet, który, logicznie rzecz biorąc, zawiera router ukryty w sobie. Uważam za niezwykle pomocne myślenie o przełączniku warstwy 3 jako o małym i szybkim routerze ukrytym w przełączniku. Ponadto radzę pomyśleć o funkcjonalności routingu jako o wyraźnie oddzielnej funkcji od funkcji przełączania Ethernet, którą zapewnia przełącznik warstwy 3. Przełącznik warstwy 3 to, pod każdym względem, dwa odrębne urządzenia opakowane w jedną obudowę.

Wbudowany router w przełączniku warstwy 3 jest połączony z wewnętrzną strukturą przełączającą przełącznika z prędkością, która zazwyczaj pozwala na routing pakietów między sieciami VLAN z prędkością drutu lub zbliżoną. Analogicznie do wirtualnych pod-interfejsów skonfigurowanych na „routerze na patyku”, ten wbudowany router wewnątrz przełącznika warstwy 3 można skonfigurować za pomocą wirtualnych interfejsów, które „wydają się” być „dostępem” do połączeń do każdej sieci VLAN. Zamiast być nazywanymi wirtualnymi interfejsami, te logiczne połączenia z sieci VLAN do wbudowanego routera wewnątrz przełącznika warstwy 3 nazywane są przełącznikami interfejsów wirtualnych (SVI). W efekcie router osadzony w przełączniku warstwy 3 ma pewną liczbę „portów wirtualnych”, które można „podłączyć” do dowolnej sieci VLAN przełącznika.

Wbudowany router działa w taki sam sposób jak router fizyczny, z tym wyjątkiem, że zazwyczaj nie ma wszystkich tych samych funkcji protokołu routingu dynamicznego lub listy kontroli dostępu (ACL) jak router fizyczny (chyba że kupiłeś naprawdę fajną warstwę 3 przełącznik). Wbudowany router ma jednak tę zaletę, że jest bardzo szybki i nie ma wąskiego gardła związanego z fizycznym portem przełącznika, do którego jest podłączony.

W przypadku naszego przykładu z dzierżawcami „współpracującymi” możesz wybrać przełącznik warstwy 3, podłącz go do portów trunkingowych, aby ruch z sieci VLAN obu klientów docierał do niego, a następnie skonfiguruj SVI z adresami IP i członkostwem VLAN tak, aby „pojawia się” w sieciach VLAN obu Klientów. Po wykonaniu tej czynności wystarczy tylko dostosować tabelę routingu na routerze głównym i routerze wbudowanym w przełączniku warstwy 3, aby ruch przepływający między sieciami VLAN najemców był kierowany przez wbudowany router wewnątrz przełącznika warstwy 3 w porównaniu z „router na patyku”.

Korzystanie z przełącznika warstwy 3 nie oznacza, że ​​nadal nie będzie wąskich gardeł związanych z przepustowością portów trunk, które łączą przełączniki. Jest to jednak kwestia ortogonalna dla tych, do których adresowane są sieci VLAN. Sieci VLAN nie mają nic wspólnego z problemami z przepustowością. Zazwyczaj problemy z przepustowością rozwiązuje się przez uzyskanie szybszych połączeń między przełącznikami lub użycie protokołów agregacji łączy w celu „połączenia” kilku połączeń o mniejszej prędkości razem w wirtualne połączenie o większej prędkości. O ile wszystkie urządzenia tworzące ramki, które mają być kierowane przez wbudowany router wewnątrz późniejszego przełącznika 3, same nie są podłączone do portów bezpośrednio na przełączniku warstwy 3, nadal musisz martwić się o przepustowość łączy pomiędzy przełącznikami. Przełącznik warstwy 3 nie jest panaceum, ale zazwyczaj jest szybszy niż „

Dynamiczne sieci VLAN

Wreszcie w niektórych przełącznikach jest funkcja zapewniająca dynamiczne członkostwo w sieci VLAN. Zamiast przypisywać dany port jako port dostępu dla danej sieci VLAN, konfigurację portu (dostęp lub łącze, dla których sieci VLAN) można dynamicznie zmieniać, gdy urządzenie jest podłączone. Dynamiczne sieci VLAN są bardziej zaawansowanym tematem, ale wiedza, że ​​funkcjonalność istnieje, może być pomocna.

Funkcjonalność różni się w zależności od dostawcy, ale zazwyczaj można skonfigurować dynamiczne członkostwo w sieci VLAN na podstawie adresu MAC podłączonego urządzenia, statusu uwierzytelnienia 802.1X urządzenia, zastrzeżonych i standardowych protokołów (na przykład CDP i LLDP, aby umożliwić telefonom IP „odkryj” numer VLAN dla ruchu głosowego), podsieć IP przypisaną do urządzenia klienckiego lub typ protokołu Ethernet.

Evan Anderson
źródło
9
Znów idziecie po złoto, co? :)
squillman,
1
+1 Oczywiście włożyłeś w to sporo wysiłku, dzięki!
Tim Long,
1
+1: Wow! Doskonała odpowiedź.
Arun Saha,
12
uwielbiam to: „nieautoryzowane usługi administracyjne w systemie pro-bono”;)
problemPotato
1
@guntbert - Cieszę się, że to ci pomaga.
Evan Anderson
10

Sieci VLAN to „wirtualne sieci lokalne”. Oto moje zrozumienie - moje doświadczenie to przede wszystkim inżynieria systemów i administracja, ze stroną programowania OO i dużą ilością skryptów.

Sieci VLAN są przeznaczone do tworzenia izolowanej sieci na wielu urządzeniach. Tradycyjna sieć LAN w starszych czasach może istnieć tylko wtedy, gdy masz pojedyncze urządzenie sprzętowe dedykowane dla określonej sieci. Wszystkie serwery / urządzenia podłączone do tego urządzenia sieciowego (Switch lub Hub w zależności od historycznych ram czasowych) zazwyczaj mogą swobodnie komunikować się między siecią LAN.

Sieć VLAN różni się tym, że można łączyć kilka urządzeń sieciowych i tworzyć izolowane sieci, grupując serwery w sieci VLAN, eliminując w ten sposób potrzebę posiadania „dedykowanego” urządzenia sieciowego dla jednej sieci LAN. Liczba konfigurowalnych sieci VLAN i obsługiwanych serwerów / urządzeń będzie się różnić w zależności od producenta urządzenia sieciowego.

Ponownie, w zależności od dostawcy, nie sądzę, że wszystkie serwery muszą znajdować się w tej samej podsieci, aby być częścią tej samej sieci VLAN. Wydaje mi się, że ze starszymi konfiguracjami sieci tak zrobili (tutaj inżynier wstawia korekty).

To, co odróżnia VLAN od VPN, to litera „P” dla „Prywatna”. Zwykle ruch VLAN nie jest szyfrowany.

Mam nadzieję, że to pomaga!

mxmader
źródło
3
Bardzo potrzebna odpowiedź krótkiej bramy do zrozumienia sieci VLAN. Bardziej uprzywilejowany wchodzi w wiele szczegółów i jako taki może być dobry dla potomności, ale nie będzie przydatny, jeśli chcesz uzyskać szybką wiedzę / zrozumienie na ten temat. Teraz, gdy wiem, co robię z tej odpowiedzi, zawsze mogę wrócić, aby dowiedzieć się więcej.
Harsh Kanchina