Jaka jest różnica między VLAN a podsiecią? [Zamknięte]

91

Czytałem liczne fora i artykuły dotyczące sieci VLAN i podsieci.
Jednak nie rozumiem funkcji każdego z nich oprócz następujących:

  1. Podsieci umożliwiają segmentację sieci
  2. Sieci VLAN to izolowana część sieci

pytania

  1. Jeśli mam wiele podsieci, zakładam, że potrzebujesz routera do komunikacji między każdą podsiecią. Tylko urządzenia w każdej podsieci będą w lokalnej domenie rozgłoszeniowej dla tej podsieci. Czy to prawda?

  2. Czy potrzebuję podsieci, aby skonfigurować sieć VLAN?

  3. Wiem, że sieć VLAN może istnieć w podsieci. Ale rozumiem, że musisz przypisać adres IP tej podsieci do sieci VLAN. Jak można go odizolować od reszty podsieci?

  4. Kiedy utworzyłbyś VLAN? Zwłaszcza jeśli mogę segmentować moją sieć za pomocą podsieci?

  5. Ciągle natrafiam na następujący punkt. Nie jestem jednak pewien, co to dokładnie oznacza, gdy czyta same physical network.

    Wirtualne sieci lokalne (VLAN) pozwalają nam tworzyć różne sieci logiczne i fizyczne; podczas gdy podsieci IP pozwalają nam po prostu tworzyć logiczne sieci za pośrednictwem tej samej sieci fizycznej.

Doceniłbym przykłady z prawdziwego świata.

subnet vlan PeanutsMonkey
źródło
1
Główna różnica polega na tym, że dołączenie do podsieci zależy od konfiguracji adresu IP po stronie klienta. Dlatego klient może korzystać z dowolnej podsieci, którą chce. W przypadku sieci VLAN konfiguracja odbywa się po stronie serwera (np. W oparciu o port LAN) i klient nie może jej zmienić. Z punktu widzenia bezpieczeństwa jest to duża różnica.
Robert
@Robert - Czy możesz wyjaśnić, co masz na myśli client side IP and server side configuration?
PeanutsMonkey
Podsieć zależy od używanego adresu IP, a adres IP może wybrać administrator komputera (lub urządzenia). Dlatego odbywa się to po stronie klienta - nie można tego kontrolować. Sieć VLAN jest konfigurowana po stronie serwera / routera. Ten, który kontroluje router / serwer, decyduje, który komputer / port jest przypisany do której sieci VLAN. Jeden (lub kilka) centralnych routerów / serwerów można zabezpieczyć logicznie (hasło logowania) i fizycznie (dostęp do serwerowni).
Robert
Ta strona może być przydatna petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm
barlop
@PeanutsMonkey: Czytając swoje komentarze, wydaje się, że widzisz pewne zamieszanie na temat różnych warstw sieciowych w modelu OSI. Sieci VLAN działają w warstwie 2, podczas gdy podsieci IP działają w warstwie 3.
afrazier

Odpowiedzi:

73

Podsieć - to zakres adresów IP określony przez część adresu (często nazywaną adresem sieciowym) i maskę podsieci (maska ​​sieci). Na przykład, jeśli maska ​​sieci to 255.255.255.0(lub w skrócie / 24), a adres sieci to 192.168.10.0, to określa zakres adresów IP 192.168.10.0poprzez 192.168.10.255. Stenografia do pisania 192.168.10.0/24.

VLAN - dobrym sposobem na to jest „partycjonowanie przełączników”. Załóżmy, że masz przełącznik 8-portowy z obsługą VLAN. Możesz przypisać 4 porty do jednej sieci VLAN (powiedzmy VLAN 1) i 4 porty do innej sieci VLAN (powiedzmy VLAN 2). Sieć VLAN 1 nie zobaczy żadnego ruchu w sieci VLAN 2 i odwrotnie, logicznie, teraz masz dwa osobne przełączniki. Zwykle na przełączniku, jeśli przełącznik nie widział adresu MAC, „zaleją” ruch do wszystkich innych portów. Sieci VLAN temu zapobiegają.

Jeśli dwa komputery będą rozmawiać za pomocą protokołu TCP / IP, musi być spełniony jeden z dwóch warunków:

  • Muszą należeć do tej samej podsieci. Oznacza to, że adres sieciowy musi być taki sam, a maska ​​sieciowa musi być równa lub mniejsza. Tak więc komputer z interfejsem z adresem IP 192.168.10.4/24może komunikować się z komputerem z interfejsem z adresem IP 192.168.10.8/24bez problemów, pod warunkiem, że oba są podłączone do tego samego przełącznika fizycznego lub sieci VLAN. Jeśli interfejs drugiego komputera był podłączony do tego samego przełącznika fizycznego lub sieci VLAN 192.168.11.8/24, zignorowałby ruch (chyba że interfejs był w trybie rozwiązanym).

  • Router musi istnieć między dwoma komputerami, które mogą przekazywać ruch między podsieciami. Komputer A i komputer B potrzebują trasy (lub bramy domyślnej) do tego routera. Powiedzmy, że komputer z interfejsem z adresem IP 192.168.10.4/24chce rozmawiać z komputerem z interfejsem z adresem IP 192.168.20.4/24. Różne podsieci, więc musimy przejść przez router. Załóżmy, że jest router z dwoma interfejsami (routery z definicji mają dwa interfejsy), jeden włączony 192.168.10.254/24i 192.168.20.254/24. Jeśli tablica tras lub DHCP są skonfigurowane poprawnie, a komputer A i B mogą uzyskać dostęp do interfejsów routera w odpowiednich podsieciach, mogą one komunikować się ze sobą pośrednio za pośrednictwem routera.

Zmuszanie ruchu do przechodzenia przez router, nawet jeśli nie jest to konieczne, na przykład na naszym 8-portowym przełączniku powyżej, ma zalety w zakresie bezpieczeństwa i wydajności - daje możliwość filtrowania ruchu, możliwość optymalnego kierowania ruchem na podstawie typu i routerów nie przesyłaj dalej ruchu rozgłoszeniowego (chyba że skonfigurowano to wyjątkowo). Sieci VLAN są czasem używane jako „hack” do zarządzania przepływami / widocznością ruchu emisji IPv4.

Edytuj, aby odpowiedzieć na niektóre pytania:

  • Koncepcyjnie sieci VLAN są równoważne przełącznikom. To, co wchodzi w 1 port VLAN, jest replikowane („zalewane”) na wszystkie inne porty, chyba że VLAN wcześniej widział / poznał adres MAC, a następnie jest kierowany do tego portu. Nie ma bramy do właściwej sieci VLAN. „Brama” zawsze oznacza adres IP routera.

  • Aby VLAN 1 mógł komunikować się z VLAN 2, interfejs w VLAN 1 musi być podłączony do routera, interfejs w VLAN 2 musi być podłączony do routera, a router musi być skonfigurowany do przekazywania ruchu między tymi podsieciami. W powyższym przykładzie z 8 portami, jeśli chcemy trasować ruch między tymi sieciami VLAN, musielibyśmy wydać 1 port na każdą sieć VLAN łączącą się z routerem. To samo z przełącznikiem.

Jestem pewien, że wiele wysokiej klasy przełączników / sprzętu ma wbudowany „router VLAN”, a wydawanie dodatkowego portu w każdej sieci VLAN łączącej go z fizycznym routerem naprawdę nie jest konieczne, jeśli chcesz trasować między sieciami VLAN w tym samym przełączniku. Może to być miejsce, w którym wchodzi VLAN IP lub „brama”. (Zapraszam osoby bardziej kompetentne do edycji tego)

  • Gdy komputer uzyskuje adres IP za pośrednictwem DHCP, zwykle otrzymuje również „bramę domyślną” z tego samego serwera DHCP. Ktoś musi poprawnie skonfigurować serwer DHCP. Protokoły routingu, takie jak RIP, IS-IS, OSPF i BGP, mogą również dodawać trasy. Oczywiście możesz ręcznie dodawać trasy (trasy „statyczne”)

  • Jeśli przełącznik ma port szeregowy lub port oznaczony jako „konsola”, prawdopodobnie jest zarządzany i obsługuje sieci VLAN.

LawrenceC
źródło
1
Jedno z najlepszych wyjaśnień, jakie widziałem dzisiaj. Teraz pojawiło się wiele pytań. Czy VLAN 1 i VLAN 2 miałyby swój własny adres IP, czy jest po prostu oznaczony jako VLAN 1 i VLAN 2? Jeśli są one oznaczone, w jaki sposób hosty / punkty końcowe / węzły w sieci VLAN 1 komunikują się ze sobą? Teraz, jeśli istnieje router, czy brama ma adres IP VLAN, czy adres routera? Kiedy mówisz route table, czy to coś, co muszę zbudować? A skąd wiesz, czy odziedziczony przełącznik jest w stanie zarządzać siecią VLAN (zarządzać nią) lub zarządzać nią?
PeanutsMonkey,
Zobacz zmiany.
LawrenceC,
Dzięki. Miałem pytanie dotyczące tego zdania ven though it's not needed such as on our 8-port switch above, has security and performance benefits. Dlaczego nie musiałby przechodzić przez router, jeśli podsieci są częścią innej sieci?
PeanutsMonkey,
Zobacz więcej zmian.
LawrenceC,
20

Inne wyjaśnienia były dla mnie skomplikowane.

  • VLAN pozwala oznaczyć wszystkie pakiety sieciowe magiczną liczbą (np 3.).
  • Tylko inne karty sieciowe ustawione na 3zobaczą te pakiety

Ustaw kilka komputerów, VLAN 3a będą w swoim małym, odizolowanym świecie; nie zobaczą żadnego innego ruchu.

Nagle możesz mieć wiele sieci LAN działających na tych samych przewodach (tj. Wirtualne sieci LAN ). Możesz nawet mieć dwa komputery o tym samym adresie IP, ponieważ mają one różne znaczniki VLAN (np. 3Wersety 7)

Ustawienie identyfikatora VLAN odbywa się poprzez skonfigurowanie sterownika karty sieciowej:

wprowadź opis zdjęcia tutaj

Twój przebieg będzie się różnić w zależności od karty sieciowej i jej sterowników.

Ian Boyd
źródło
Natknąłem się na tagi VLAN, ale intryguje mnie to, jak powiedzieć setkarty sieciowe 3? Zakładam, że sieci VLAN nie mogłyby się zobaczyć, gdyby nie było routera. Jeśli istnieje router, domyślam się, że musiałaby istnieć zapora ogniowa, aby uniemożliwić przekazywanie pakietów z jednej sieci VLAN do drugiej, jeśli zostaną wykonane wymagania. Jaka byłaby brama podsieci w sieci VLAN? Czy byłby to router?
PeanutsMonkey,
Czy VLAN ma również przydzielony adres IP czy po prostu tag? Na podstawie moich odczytów ze strony petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm wydaje się, że łącza mogą również zawierać routepakiety. Nie jestem jednak pewien, czy moje zrozumienie jest jasne. Czy to oznacza, że ​​przełącznik jest urządzeniem warstwy 2 i 3?
PeanutsMonkey,
VLAN to po prostu tag. Wszystkie karty sieciowe muszą być świadome obecności znacznika VLAN i ignorować pakiety z innym znacznikiem VLAN niż własny.
Ian Boyd,
@IanBoyd: Czy wszystkie karty sieciowe muszą być świadome sieci VLAN? Myślałem, że przełączniki krawędzi między sieciami VLAN mogą obsłużyć wszystkie znaczniki (i usuwanie znaczników) z nagłówka Ehternet.
afrazier
W przypadku takiego inteligentnego przełącznika: nie, przełącznik może obsłużyć kierowanie ruchem. Ale w takim przypadku musisz zaprogramować przełącznik, aby wiedział, które porty biorą ruch. Z prostszego wyjaśnienia, czym jest VLAN: jest to sposób na oznaczanie pakietów identyfikatorem, tak aby widziały je tylko karty sieciowe z tym samym znacznikiem.
Ian Boyd
8

Uproszczone wyjaśnienie polega na tym, że sieci VLAN pozwalają różnym podsieciom współdzielić fizyczne okablowanie, porty i przełączanie. Możesz mieć odrębne podsieci w swojej sieci bez sieci vlan, ale dla każdego z nich musisz mieć inny zestaw przewodów.

Joel Coehoorn
źródło
W końcu zrozumiałem, że po włokowaniu do sieci VLAN pozwala organizacji korzystać z tego samego przełącznika w przeciwieństwie do kupowania wielu przełączników, ale nadal jestem zdezorientowany co do niektórych pytań zadanych w moim poście.
PeanutsMonkey
4
Co? Nic nie stoi na przeszkodzie, aby ktoś obsługiwał wiele podsieci IP w tej samej sieci fizycznej, chociaż nie mogę wymyślić żadnego dobrego powodu, aby to zrobić bez zainstalowanych sieci VLAN. W szczególności miałbyś poważne trudności z DHCP bez sieci VLAN w celu odizolowania ruchu rozgłoszeniowego.
afrazier
4

1. Jeśli mam wiele podsieci, zakładam, że potrzebujesz routera do komunikacji między każdą podsiecią.

Tak, potrzebujesz routera do przenoszenia pakietów między podsieciami.

Tylko urządzenia w każdej podsieci będą w lokalnej domenie rozgłoszeniowej dla tej podsieci. Czy to prawda?

Tak, podsieć jest domeną rozgłoszeniową.

2. Czy potrzebuję podsieci, aby skonfigurować sieć VLAN?

Tak.

3. Zdaję sobie sprawę, że sieć VLAN może istnieć w podsieci, ale rozumiem, że musisz przypisać sieci VLAN adres IP tej podsieci.

Nie, jak rozumiem, sieci VLAN są zdefiniowane w przełącznikach i izolują ruch każdej sieci VLAN.

Jak można go odizolować od reszty podsieci?

VLAN to podsieć.

4. Kiedy skonfigurowałbyś sieć VLAN, zwłaszcza jeśli mogę segmentować moją sieć za pomocą podsieci?

Gdy trzeba podzielić ruch na dwie lub więcej grup bez rozdzielania infrastruktury fizycznej (głównie przełącza) na dwie lub więcej grup fizycznych.

5. Nadal dochodzę do wniosku, że wirtualne sieci lokalne (VLAN) pozwalają nam tworzyć różne sieci logiczne i fizyczne; podczas gdy podsieci IP pozwalają nam po prostu tworzyć logiczne sieci za pośrednictwem tej samej sieci fizycznej. nie jestem jednak pewien, co to dokładnie oznacza, gdy odczytuje tę samą sieć fizyczną.

Fizyczna sieć LAN składa się głównie z przełączników i kabli ułożonych (w przypadku Ethernetu) w strukturę pojedynczego drzewa.

Zwykle sieć LAN to pojedyncza podsieć. Organizacja może mieć kilka sieci LAN połączonych routerami.

Pojedynczą fizyczną sieć LAN można podzielić na kilka logicznych sieci LAN (VLAN) przy użyciu obsługi VLAN w przełącznikach. Każda sieć VLAN ma następnie oddzielną podsieć. Dlatego router jest potrzebny do przenoszenia pakietów między logicznymi sieciami LAN (VLAN).

Aktualizacja: niektóre odpowiedzi na dalsze pytania w komentarzach.

gdybym chciał, aby urządzenia na 2 oddzielnych sieciach VLAN komunikowały, że router nie jest potrzebny, ponieważ mogę korzystać z trunkingu.

Oto kilka cytatów z http://www.formortals.com/an-introduction-to-vlan-trunking/

Trunking VLAN pozwala jednej karcie sieciowej zachowywać się jak liczba„ n ”wirtualnych kart sieciowych, gdzie„ n ”ma teoretyczną górną granicę 4096, ale zwykle jest ograniczona do 1000 segmentów sieci VLAN.

Routery mogą stać się nieskończenie bardziej przydatne po podłączeniu do magistrali infrastruktury przełączników przedsiębiorstwa. Po podłączeniu do magistrali stają się wszechobecne i mogą świadczyć usługi routingu do dowolnej podsieci w dowolnym rogu sieci przedsiębiorstwa ”.

Nadal potrzebujesz routera, ale dzięki trunkingowi VLAN może to być router jednoramienny (router na patyku). Wysokiej klasy przełączniki zawierają funkcje routingu, więc może nie być potrzebny osobny router, ponieważ Twój wysokiej klasy przełącznik jest również routerem warstwy 3.

Kiedy mówisz, że potrzebuję podsieci, aby skonfigurować sieć VLAN, co dokładnie masz na myśli?

Sieci VLAN to koncepcja warstwy 2. Podobnie jak przełączniki Ethernet są urządzeniami warstwy 2. Sieci VLAN mogą sprawić, że kilka przełączników wykona zadania, w których w innym przypadku możesz potrzebować pół tuzina przełączników w izolowanych grupach. Jednak twoje węzły (komputery, drukarki itp.) Zwykle używają adresowania warstwy 3 (IP).

Aby węzły w jednej sieci VLAN (N dla sieci) komunikowały się z węzłami w innej sieci VLAN (N dla sieci), potrzebujesz protokołu InterNetwork (innymi słowy IP). W IP do przenoszenia pakietów między sieciami potrzebujemy, aby każda sieć miała inny adres sieciowy warstwy 3.

W tym miejscu pojawia się podsieci - podział przydzielonego zakresu adresów sieci warstwy 3 organizacji na podsieci za pomocą masek podsieci. Następnie można użyć routera, aby umożliwić urządzeniom w jednej podsieci (w jednej sieci VLAN) komunikowanie się z urządzeniami w innej podsieci (w innej sieci VLAN).

RedGrittyBrick
źródło
@RedGrittyBrick - Dzięki. Kiedy mówisz, że potrzebuję podsieci, aby skonfigurować sieć VLAN, co dokładnie masz na myśli? Dla mnie podsieci to segregacja czy segmentacja adresów IP? Z tego, co zrozumiałem, sieci VLAN działają w warstwie 2, co oznacza, że ​​rozwiązuje adresy MAC na adresy IP, więc przy założeniu, że rozumiem poprawnie, dlaczego i jak utworzysz podsieć, aby skonfigurować sieć VLAN? Nie podążyłem za tym, co miałeś na myśli VLAN is defined in the switches and isolates the traffic of each VLAN?
PeanutsMonkey
@RedGrittyBrick - Wydaje się również, że gdybym chciał, aby urządzenia na 2 oddzielnych sieciach VLAN komunikowały się, że router nie jest potrzebny, ponieważ mogę korzystać z trunkingu.
PeanutsMonkey
@PeanutsMonkey Możliwe, że oboje niepoprawnie zmieniacie warunki VLAN i VLAN. On jako błąd w jednym zdaniu, który czytasz o nim, i ty w swoim umyśle. VLAN to liczba mnoga VLAN. To zdanie napisał: „Sieć VLAN jest zdefiniowana w przełącznikach i izoluje ruch każdej sieci VLAN?” powinien być w stanie przeczytać: „Sieci VLAN są zdefiniowane w przełączniku / each, a ruch na każdej sieci VLAN jest izolowany”
barlop,
@barlop - Rozumiem, że sieć VLAN jest podzbiorem sieci VLAN, jednak mylę się z powodu treści podanego linku, tj . petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm . Na przykład treść brzmiAt this point, only ports 2 and 3 should be able to communicate with each other and ports 4 & 5 should be able to communicate. That is because each of these is in its own VLAN
PeanutsMonkey
For the device on port 2 to communicate with the device on port 4, you would have to configure a trunk port to a router so that it can strip off the VLAN information, route the packet, and add back the VLAN information
PeanutsMonkey
2

1. Jeśli mam wiele podsieci, zakładam, że potrzebujesz routera do komunikacji między każdą podsiecią. Tylko urządzenia w każdej podsieci będą w lokalnej domenie rozgłoszeniowej dla tej podsieci. Czy to prawda?

Sieci IP (podsieci) to koncepcja warstwy 3. Jeśli dwa komputery są podłączone do tego samego przełącznika L2 bez VLAN, będą w tej samej domenie rozgłoszeniowej L2, ale nie w domenie rozgłoszeniowej L3.

2. Czy potrzebuję podsieci, aby skonfigurować sieć VLAN?

Nie. Jednak jeśli chcesz, aby urządzenia w sieci VLAN komunikowały się ze sobą, prawdopodobnie będą potrzebowały protokołu L3.

3. Zdaję sobie sprawę, że sieć VLAN może istnieć w podsieci, ale rozumiem, że musisz przypisać sieci VLAN adres IP tej podsieci. Jak można go odizolować od reszty podsieci?

Nie jasne, o co pytasz.

4. Kiedy skonfigurowałbyś sieć VLAN, zwłaszcza jeśli mogę segmentować moją sieć za pomocą podsieci?

Sieci VLAN to po prostu sposób, aby urządzenie L2 wyglądało jak wiele urządzeń L2.

5. Nadal dochodzę do wniosku, że wirtualne sieci lokalne (VLAN) pozwalają nam tworzyć różne sieci logiczne i fizyczne; podczas gdy podsieci IP pozwalają nam po prostu tworzyć logiczne sieci za pośrednictwem tej samej sieci fizycznej. nie jestem jednak pewien, co to dokładnie oznacza, gdy odczytuje tę samą sieć fizyczną.

dbasnett
źródło
Kiedy mówisz, że będą one w tej samej domenie rozgłoszeniowej warstwy 2, a nie w domenie rozgłaszaczy warstwy 3, co to dokładnie znaczy?
PeanutsMonkey
Oznacza to, że jeśli pakiet ze wszystkimi pakietami w polu docelowym MAC zostanie przesłany, będzie widoczny dla wszystkich urządzeń. Domeną rozgłoszeniową warstwy 3 mogą być wszystkie domeny w adresie IP lub numery sieci są równe, a część adresu hosta to wszystkie. Zanim przejdziesz do sieci VLAN, musisz zrozumieć podstawy Warstwy 2 i 3.
dbasnett
Podziękować. Czy mógłbyś bardziej szczegółowo wyjaśnić, co masz na myśli all ones? Masz na myśli obliczenia binarne i bitowe?
PeanutsMonkey,
Tak, wszystkie binarne, mac = ffffffffffff dla MAC i 255.255.255.255 dla IP.
dbasnett,