Вопрос: Как работают VLAN?


Что такое VLAN? Какие проблемы они решают?

Я помогаю другу научиться базовым сетевым технологиям, так как он просто стал единственным системным администратором в небольшой компании. Я указывал ему на различные вопросы / ответы на Serverfault, касающиеся различных сетевых тем, и заметил пробел - похоже, нет ответа, который объясняет из первых принципов, что такое VLAN. В духе Как работает подсеть, Я подумал, что было бы полезно иметь вопрос с каноническим ответом здесь.

Некоторые потенциальные темы для ответа в ответ:

  • Что такое VLAN?
  • Какие проблемы они намеревались решить?
  • Как все работает перед VLAN?
  • Как VLAN относятся к подсетям?
  • Что такое SVI?
  • Каковы порты портов и порты доступа?
  • Что такое VTP?

EDIT: чтобы быть ясным, я уже знаю, как работают VLAN - я просто думаю, что Serverfault должен иметь ответ, который охватывает эти вопросы. Если позволит время, я также отправлю свой собственный ответ.


112
2017-10-06 23:17


Источник


может быть, другой вопрос: каковы различия между статическими и динамическими VLAN? Каковы способы управления ими? И еще один: Каковы стандарты, регулирующие взаимодействие VLAN между поставщиками? - Hubert Kario
Как моль пламени, я приехал и добавил свои 4000 слов ... (я полагаю, я могу жить, будь то сообщество вики ... Я думаю, мне действительно не нужно rep ...> smile <) - Evan Anderson
@Evan: Я несколько надеялся, что ты появится. Должен признаться, что я мог бы сделать немного больше репутации, прежде чем перевернуть это на CW. :) - Murali Suriar


Ответы:


Виртуальные локальные сети (VLAN) - это абстракция, позволяющая одной физической сети эмулировать функциональность нескольких параллельных физических сетей. Это удобно, потому что могут возникнуть ситуации, когда вам нужна функциональность нескольких параллельных физических сетей, но вы не тратите деньги на покупку параллельного оборудования. В этом ответе я расскажу об Ethernet-сетях Ethernet (хотя другие сетевые технологии могут поддерживать VLAN), и я не буду глубоко погружаться в каждый нюанс.

Продуманный пример и проблема

Как чисто надуманный примерный сценарий, представьте себе, что у вас есть офисное здание, которое вы арендуете арендаторам. В качестве преимущества аренды каждый арендатор получит живые разъемы Ethernet в каждой комнате офиса. Вы покупаете Ethernet-коммутатор для каждого пола, подключаете их к разъемам в каждом офисе на этом этаже и прокладываете все переключатели вместе.

Первоначально вы арендуете пространство двум различным арендаторам: одному на этаже 1 и по одному на 2. Каждый из этих арендаторов настраивает свои компьютеры с статическими IPv4-адресами. Оба арендатора используют разные подсетей TCP / IP, и все работает нормально.

Позже, новый арендатор арендует половину 3-го этажа и поднимает один из этих новых мод серверов DHCP. Время проходит, и арендатор 1-го этажа решает также прыгать на подножку DHCP. Это тот момент, когда все начинает идти наперекосяк. Пол 3 арендаторов сообщают, что некоторые из их компьютеров получают «смешные» IP-адреса от машины, которая не является их сервером DHCP. Вскоре, пол 1 арендаторов сообщают то же самое.

DHCP - это протокол, который использует возможности широковещательной передачи Ethernet, позволяя клиентским компьютерам получать IP-адреса динамически. Поскольку арендаторы все используют одну и ту же физическую сеть Ethernet, они имеют один и тот же широковещательный домен. Широковещательный пакет, отправленный с любого компьютера в сети, выведет все порты коммутатора на каждый другой компьютер. Серверы DHCP на этажах 1 и 3 будут получать все запросы на аренду IP-адресов и, фактически, поединок, чтобы узнать, кто может ответить первым. Это явно не то поведение, которое вы намерены испытать своих арендаторов. Тем не менее, это поведение «плоской» сети Ethernet без каких-либо VLAN.

Хуже того, арендатор на втором этаже приобретает это программное обеспечение «Wireshark» и сообщает, что время от времени они видят, что трафик выходит из коммутатора, который ссылается на компьютеры и IP-адреса, о которых они никогда не слышали. Один из их сотрудников даже понял, что он может общаться с этими другими компьютерами, изменив IP-адрес, назначенный его ПК, с 192.168.1.38 до 192.168.0.38! Предположительно, он всего в нескольких шагах от выполнения «несанкционированных услуг по администрированию системы pro-bono» для одного из других арендаторов. Нехорошо.

Потенциальные решения

Вам нужно решение! Вы могли бы просто вытащить пробки между этажами, и это отрежет все нежелательные сообщения! Да! Это билет ...

Это может сработать, Кроме что у вас есть новый арендатор, который будет арендовать половину подвала и незанятую половину пола 3. Если между переключателем пола 3 и переключателем подвала нет связи, новый арендатор не сможет получить связь между их компьютеры, которые будут распространяться вокруг обоих их этажей. Вытащить вилки не ответ. Хуже того, новый арендатор пока еще другой один из этих серверов DHCP!

Вы флиртовали с идеей покупки физически отдельных наборов коммутаторов Ethernet для каждого арендатора, но, видя, как ваше здание имеет 30 этажей, любое из которых может быть разделено до 4-х способов, потенциальные крысы гнездятся между напольными кабелями между огромное количество параллельных коммутаторов Ethernet может стать кошмаром, не говоря уже о дорогостоящем. Если бы существовал способ сделать единую физическую сеть Ethernet, как это было несколько физических сетей Ethernet, каждый из которых имеет собственный широковещательный домен.

VLAN для спасения

VLAN - это ответ на эту грязную проблему. VLAN позволяют разделить коммутатор Ethernet на логически разрозненные виртуальные коммутаторы Ethernet. Это позволяет одному коммутатору Ethernet работать так, как если бы это было несколько физических Ethernet-коммутаторов. Например, в случае вашего разделенного пола 3 вы можете настроить свой 48-портовый коммутатор таким образом, чтобы нижние 24 порта находились в данной VLAN (которую мы будем называть VLAN 12), а более высокие 24 порта находятся в данной VLAN ( который мы будем называть VLAN 13). Когда вы создаете VLAN на своем коммутаторе, вам придется назначить им некоторое имя или номер VLAN. Числа, которые я использую здесь, в основном произвольны, поэтому не беспокойтесь о том, какие конкретные номера я выбираю.

После того как вы разделили пол 3 на VLAN 12 и 13, вы обнаружите, что новый этаж 3 арендатора может подключить свой DHCP-сервер к одному из портов, назначенных VLAN 13, и ПК, подключенный к порту, назначенному для VLAN 12, t получить IP-адрес с нового сервера DHCP. Отлично! Задача решена!

Ой, подождите ... как мы получим данные VLAN 13 до подвала?

Связь VLAN между коммутаторами

Ваш полупольный 3-х и полуподвальный арендатор хотел бы подключить компьютеры в подвале к их серверам на 3 этаже. Вы можете запустить кабель непосредственно из одного из портов, назначенных их VLAN, в пол 3 переключателя на подвал и срок службы было бы хорошо, не так ли?

В первые дни VLAN (стандарт до 802.1Q) вы можете сделать именно это. Весь подвальный коммутатор был бы, фактически, частью VLAN 13 (VLAN, которую вы выбрали для нового арендатора на 3-м этаже и подвале), потому что этот переключатель подвала будет «подан» портом на 3-м этаже, который назначен к VLAN 13.

Это решение будет работать до тех пор, пока вы не арендуете другую половину подвала на пол 1 арендатора, который также хочет иметь связь между их 1-м этажом и подвальными компьютерами. Вы можете разбить коммутатор подвала с помощью VLAN (например, VLANS 2 и 13) и проложить кабель от пола 1 до порта, назначенного VLAN 2 в подвале, но вы можете судить, что это может быстро стать гнездом крысы (и будет только ухудшаться). Разделение коммутаторов с использованием VLAN хорош, но использование нескольких кабелей от других коммутаторов к портам, которые являются членами разных VLAN, кажется беспорядочным. Несомненно, если бы вам пришлось разделить подвальный коммутатор на 4 пути между арендаторами, у которых также было место на верхних этажах, вы использовали бы 4 порта на коммутаторе подвала только для того, чтобы прервать «фидерные» кабели от VLAN на верхнем этаже.

Теперь должно быть ясно, что необходим некоторый тип обобщенного метода перемещения трафика из нескольких VLAN между коммутаторами на одном кабеле. Простое добавление кабелей между коммутаторами для поддержки соединений между различными VLAN не является масштабируемой стратегией. В конце концов, с достаточным количеством VLAN, вы будете есть все порты на ваших коммутаторах с помощью этих соединений между VLAN / inter-switch. Необходим способ переноса пакетов из нескольких VLAN по одному соединению - соединение «trunk» между коммутаторами.

До сих пор все порты коммутаторов, о которых мы говорили, называются портами доступа. То есть, эти порты предназначены для доступа к одной VLAN. Устройства, подключенные к этим портам, не имеют особой конфигурации. Эти устройства не «знают», что присутствуют любые VLAN. Рамки отправки клиентских устройств передаются коммутатору, который затем следит за тем, чтобы кадр был отправлен только в порты, назначенные в качестве членов VLAN, назначенных порту, где кадр введен в коммутатор. Если кадр входит в коммутатор на порте, назначенном как член VLAN 12, тогда коммутатор будет отправлять только порты вывода кадра, которые являются членами VLAN 12. Коммутатор «знает» номер VLAN, назначенный порту, из которого он получает кадр и как-то знает, чтобы доставлять только эти порты портов той же VLAN.

Если бы был какой-то способ переключения общего номера VLAN, связанного с данным фреймом, на другие коммутаторы, то другой коммутатор мог бы правильно обработать доставку этого фрейма только соответствующим портам назначения. Это то, что делает протокол тегов 802.1Q VLAN. (Стоит отметить, что до 802.1Q некоторые производители составляли свои собственные стандарты для маркировки VLAN и межсетевого соединения. По большей части эти предварительные стандартные методы были вытеснены 802.1Q.)

Когда у вас есть два переключателя VLAN, подключенные друг к другу, и вы хотите, чтобы эти коммутаторы передавали кадры между собой в соответствующую VLAN, вы соединяете эти коммутаторы с помощью портов «trunk». Это включает в себя изменение конфигурации порта на каждом коммутаторе из режима «доступа» в режим «trunk» (в очень простой конфигурации).

Когда порт сконфигурирован в режиме внешней линии, каждый кадр, который коммутатор отправляет, этот порт будет иметь «тег VLAN», включенный в кадр. Этот «тег VLAN» не был частью исходного кадра, отправленного клиентом. Скорее, этот тег добавляется передающим коммутатором до отправки фрейма через порт соединительной линии. Этот тег обозначает номер VLAN, связанный с портом, из которого был создан кадр.

Получающий коммутатор может посмотреть на тег, чтобы определить, из какой VLAN был создан кадр, и, основываясь на этой информации, перенаправляет фрейм только порты, которые назначены исходной VLAN. Поскольку устройства, подключенные к портам «доступа», не знают, что используются VLAN, информация «тега» должна быть удалена из кадра, прежде чем он отправит порт, настроенный в режиме доступа. Эта отрисовка информации тега приводит к тому, что весь процесс транкинга VLAN скрыт от клиентских устройств, поскольку получаемый ими кадр не несет никакой информации тега VLAN.

Прежде чем настраивать виртуальные локальные сети в реальной жизни, я бы рекомендовал настроить порт для магистрального режима на тестовом коммутаторе и контролировать трафик, отправляемый с этого порта с помощью сниффера (например, Wireshark). Вы можете создать примерный трафик с другого компьютера, подключенный к порту доступа и увидеть, что кадры, выходящие из порта соединительной линии, будут, по сути, больше, чем кадры, отправляемые вашим тестовым компьютером. Вы увидите информацию о тегах VLAN в кадрах в Wireshark. Я считаю, что стоит посмотреть, что происходит в сниффер. Чтение стандарта 802.1Q пометки также является достойной задачей на данный момент (тем более, что я не говорю о вещах, таких как «родные VLAN» или двойные пометки).

Конфигурация VLAN Кошмары и решение

По мере того как вы арендуете все больше места в вашем здании, растет количество VLAN. Каждый раз, когда вы добавляете новую VLAN, вы обнаруживаете, что вам приходится подключаться ко все чаще и более Ethernet-коммутаторам и добавлять эту VLAN в список. Было бы здорово, если бы был какой-то метод, с помощью которого вы могли бы добавить эту VLAN в один манифест конфигурации и автоматически ли он заполнить конфигурацию VLAN для каждого коммутатора?

Эта функция выполняет такие протоколы, как проприетарный «Протокол магистрали VLAN» (VTP) Cisco или стандартный протокол регистрации нескольких VLAN (MVRP - ранее записанный GVRP). В сети, использующей эти протоколы, одна запись создания или удаления VLAN приводит к тому, что сообщения протокола отправляются всем коммутаторам в сети. Это сообщение протокола связывает изменение конфигурации VLAN с остальными коммутаторами, которые, в свою очередь, изменяют их конфигурации VLAN. VTP и MVRP не связаны с тем, какие конкретные порты настроены как порты доступа для определенных VLAN, но скорее полезны для связи создания или удаления VLAN со всеми коммутаторами.

Когда вам стало комфортно с VLAN, вы, вероятно, захотите вернуться и прочитать о «обрезке VLAN», которая связана с такими протоколами, как VTP и MVRP. На данный момент это не имеет большого значения. (The Статья VTP в Википедии имеет хорошую диаграмму, объясняющую обрезку VLAN и преимущества с ней.)

Когда вы используете VLAN в реальной жизни?

Прежде чем идти дальше, важно думать о реальной жизни, а не о надуманных примерах. Вместо дублирования текста другого ответа здесь я отсылаю вас к мой ответ re: когда создавать VLAN, Это не обязательно «начальный уровень», но теперь стоит взглянуть на это, так как я кратко остановлюсь на нем, прежде чем вернуться к надуманному примеру.

Для толпы «tl; dr» (которая, конечно же, все перестала читать на этом этапе), суть этой ссылки выше: Создать VLAN, чтобы уменьшить широковещательные домены или когда вы хотите отделить трафик по определенной причине (безопасность , политика и т. д.). На самом деле нет никаких других оснований для использования VLAN.

В нашем примере мы используем VLAN для ограничения широковещательных доменов (чтобы поддерживать правильные протоколы, такие как DHCP), и, во-вторых, потому что мы хотим изолироваться между сетями различных арендаторов.

Дополнительные разделы: IP-подсетей и VLAN

Вообще говоря, существует обычная связь между VLAN и IP-подсетями, как правило, для облегчения изоляции и из-за того, как работает протокол ARP.

Как мы видели в начале этого ответа, две разные подсети IP могут использоваться на одном физическом Ethernet без проблем. Если вы используете VLAN для сокращения широковещательных доменов, вы не захотите использовать одну и ту же VLAN с двумя разными подсети IP, поскольку вы будете комбинировать их ARP и другой широковещательный трафик.

Если вы используете VLAN для разделения трафика по соображениям безопасности или политики, вам также, вероятно, не захочется комбинировать несколько подсетей в одной и той же VLAN, так как вы победите цель изоляции.

IP использует протокол широковещательной передачи, протокол разрешения адресов (ARP), для сопоставления IP-адресов на физических (Ethernet MAC) адресах. Поскольку ARP основан на широковещательной передаче, назначение разных частей одной и той же подсети IP для разных VLAN будет проблематичным, поскольку узлы в одной VLAN не смогут получать ответы ARP от хостов в другой VLAN, поскольку широковещательные передачи не пересылаются между VLAN. Вы можете решить эту «проблему» с помощью прокси-ARP, но, в конечном счете, если у вас нет действительно веской причины, чтобы разбить IP-подсеть на несколько VLAN, лучше не делать этого.

Один последний: VLAN и безопасность

Наконец, стоит отметить, что VLAN не являются отличным устройством безопасности. Многие коммутаторы Ethernet имеют ошибки, которые позволяют создавать фреймы, исходящие из одной VLAN, для отправки портов, назначенных другой VLAN. производители коммутаторов Ethernet работали трудно исправить эти ошибки, но это сомнительно, что когда-либо будет полностью ошибка свободной реализации.

В случае нашего надуманного примера сотрудник пола 2, который находится в нескольких шагах от предоставления «услуг» бесплатного системного администрирования другому арендатору, может быть остановлен от этого, изолируя свой трафик в VLAN. Он также мог бы выяснить, как использовать ошибки в прошивке коммутатора, тем не менее, чтобы позволить его трафику «просачиваться» в другую VLAN другого арендатора.

Поставщики Metro Ethernet все чаще полагаются на функциональность тегов VLAN и выделение, которое обеспечивает коммутатор. Нечестно сказать, что есть нет безопасности, предлагаемой с использованием VLAN. Справедливости ради стоит сказать, что в ситуациях с ненадежными интернет-соединениями или сетями DMZ, вероятно, лучше использовать физически отдельные коммутаторы для переноса этого «трогательного» трафика, а не VLAN на коммутаторы, которые также несут ваш надежный трафик «за брандмауэром».

Приведение слоя 3 в изображение

До сих пор все, о чем говорил этот ответ, относится к кадрам Ethernet 2-го уровня. Что произойдет, если мы начнем приносить слой 3 в это?

Вернемся к примеру надуманного здания. Вы включили VLAN, которые решили настроить порты каждого арендатора как члены отдельных VLAN. Вы сконфигурировали соединительные порты таким образом, чтобы коммутатор каждого пола мог обменивать фреймы, помеченные звездочкой VLAN, на переключатели на полу выше и ниже. Один из арендаторов может иметь компьютеры, расположенные на нескольких этажах, но из-за ваших навыков настройки адаптивной VLAN эти физически распределенные компьютеры могут оказаться частью одной и той же физической сети.

Вы настолько полны своих ИТ-достижений, что решили начать предлагать подключение к Интернету своим арендаторам. Вы покупаете толстую интернет-трубку и маршрутизатор. Вы плаваете идею всем своим арендаторам, а двое из них сразу же покупаете. К счастью для вас ваш маршрутизатор имеет три порта Ethernet. Вы подключаете один порт к своей толстой интернет-трубе, другой порт к порту коммутатора, назначенный для доступа к VLAN первого арендатора, а другой - к порту, назначенному для доступа к VLAN второго арендатора. Вы настраиваете порты вашего маршрутизатора с IP-адресами в сети каждого арендатора, и арендаторы начинают доступ к Интернету через ваш сервис! Доход увеличивается, и вы довольны.

Вскоре, однако, другой арендатор решает попасть в ваше интернет-предложение. Тем не менее, вы находитесь вне портов вашего маршрутизатора. Что делать?

К счастью, вы купили маршрутизатор, который поддерживает настройку «виртуальных под-интерфейсов» на своих Ethernet-портах. Короче говоря, эта функция позволяет маршрутизатору получать и интерпретировать фреймы, помеченные исходными номерами VLAN, и иметь виртуальные (то есть нефизические) интерфейсы, сконфигурированные с IP-адресами, подходящими для каждой VLAN, с которой он будет связываться. Фактически это позволяет вам «мультиплексировать» один порт Ethernet на маршрутизаторе, чтобы он функционировал как несколько физических портов Ethernet.

Вы подключаете маршрутизатор к порту соединительной линии на одном из ваших коммутаторов и настраиваете виртуальные под-интерфейсы, соответствующие каждой схеме IP-адресов каждого арендатора. Каждый виртуальный под-интерфейс настроен на номер VLAN, назначенный каждому клиенту. Когда кадр покидает порт соединительной линии на коммутаторе, привязанный к маршрутизатору, он будет иметь тег с исходным номером VLAN (так как это порт для внешней линии). Маршрутизатор будет интерпретировать этот тег и обрабатывать пакет так, как если бы он прибыл на выделенный физический интерфейс, соответствующий этой VLAN. Аналогично, когда маршрутизатор отправляет кадр коммутатору в ответ на запрос, он добавит тег VLAN к кадру, чтобы коммутатор знал, к какой VLAN должен быть передан кадр ответа. Фактически, вы настроили маршрутизатор на «отображение» в качестве физического устройства в нескольких VLAN, но только при использовании одного физического соединения между коммутатором и маршрутизатором.

Маршрутизаторы на палочках и коммутаторах уровня 3

Используя виртуальные под-интерфейсы, вы смогли продавать подключение к Интернету всем вашим арендаторам, не покупая маршрутизатор с 25 + интерфейсами Ethernet. Вы довольны своими достижениями в области ИТ, поэтому положительно реагируете, когда два ваших арендатора приходят к вам с новым запросом.

Эти арендаторы выбрали «партнерство» в проекте, и они хотят разрешить доступ с клиентских компьютеров в одном офисе арендатора (одна из VLAN) к серверному компьютеру в другом офисе арендатора (другая VLAN). Поскольку они оба являются клиентами вашего интернет-сервиса, это довольно простая смена ACL в вашем основном интернет-маршрутизаторе (на котором есть виртуальный под-интерфейс, настроенный для каждой из этих VLAN-сетей арендатора), чтобы трафик мог протекать между их виртуальными локальными сетями как а также к Интернету из их сетей VLAN. Вы делаете изменения и отправляете арендаторов по дороге.

На следующий день вы получаете жалобы от обоих арендаторов, что доступ между клиентскими компьютерами в одном офисе к серверу во втором офисе очень медленный. Серверные и клиентские компьютеры имеют соединения Gigabit Ethernet с коммутаторами, но файлы передаются только со скоростью около 45 Мбит / с, что, по совпадению, составляет примерно половину скорости, с которой ваш основной маршрутизатор подключается к коммутатору. Очевидно, что трафик, идущий от исходной VLAN к маршрутизатору и выходящий из маршрутизатора в целевую VLAN, является узким местом соединения маршрутизатора с коммутатором.

То, что вы сделали с вашим основным маршрутизатором, позволяющим ему трафик трафика между VLAN, широко известен как «маршрутизатор на палочке» (возможно, тупо причудливый эвфемизм). Эта стратегия может работать хорошо, но трафик может протекать только между VLAN и пропускной способностью подключения маршрутизатора к коммутатору. Если каким-то образом маршрутизатор может быть соединен с «кишками» самого коммутатора Ethernet, он может маршрутизировать трафик еще быстрее (поскольку сам коммутатор Ethernet, по спецификации производителя, способен переключать 2 Гбит / с трафика).

«Коммутатор уровня 3» - это коммутатор Ethernet, который, по логике, содержит встроенный маршрутизатор. Мне очень полезно подумать о переключателе уровня 3 как о крошечном и быстром маршрутизаторе, скрывающемся внутри коммутатора. Кроме того, я бы посоветовал вам подумать о функциональности маршрутизации как отдельной функции функции коммутации Ethernet, которую предоставляет коммутатор уровня 3. Переключатель уровня 3, для всех целей и задач, состоит из двух отдельных устройств, завернутых в одно шасси.

Встроенный маршрутизатор в коммутаторе уровня 3 подключается к внутренней коммутационной структуре коммутатора со скоростью, которая, как правило, позволяет маршрутизировать пакеты между VLAN со скоростью или близкой скоростью. Аналогично виртуальным суб-интерфейсам, которые вы настроили на своем «маршрутизаторе на палке», этот встроенный маршрутизатор внутри коммутатора уровня 3 может быть настроен с виртуальными интерфейсами, которые «кажутся» «доступными» соединениями в каждой VLAN. Вместо виртуальных под-интерфейсов эти логические соединения из VLAN во встроенный маршрутизатор внутри коммутатора уровня 3 называются Switch Virtual Interfaces (SVI). По сути, встроенный маршрутизатор внутри коммутатора уровня 3 имеет некоторое количество «виртуальных портов», которые могут быть «подключены» к любой из VLAN на коммутаторе.

Встроенный маршрутизатор работает так же, как и физический маршрутизатор, за исключением того, что он обычно не имеет всех одинаковых функций динамического маршрутизации или списка управления доступом (ACL) в качестве физического маршрутизатора (если только вы не купили действительно хороший слой 3 переключатель). Однако встроенный маршрутизатор имеет преимущество в том, что он очень быстрый и не имеет узкого места, связанного с физическим портом коммутатора, в который он подключен.

В случае нашего примера здесь с «партнерскими» арендаторами вы можете выбрать коммутатор уровня 3, подключить его к портам внешних линий, чтобы трафик с обеих VLAN-сетей клиентов достигал его, а затем настраивал SVI с IP-адресами и членами VLAN, чтобы он «появляется» в обеих VLAN-клиентах. После того, как вы это сделали, это просто вопрос настройки таблицы маршрутизации на вашем основном маршрутизаторе и встроенного маршрутизатора в коммутаторе уровня 3, так что трафик, текущий между VLAN для арендаторов, маршрутизируется встроенным маршрутизатором внутри коммутатора уровня 3 по сравнению с «Маршрутизатор на палочке».

Использование переключателя уровня 3 не означает, что все еще не будут узкие места, связанные с пропускной способностью соединительных портов, которые соединяют ваши коммутаторы. Это ортогональное отношение к тем, которые адресованы VLAN. Сети VLAN не имеют ничего общего с проблемами пропускной способности. Как правило, проблемы с пропускной способностью решаются путем получения высокоскоростных межпереключательных соединений или с использованием протоколов связывания каналов для «соединения» нескольких низкоскоростных соединений вместе в виртуальное высокоскоростное соединение. Если все устройства, создающие кадры для маршрутизации встроенным маршрутизатором внутри более позднего 3-го коммутатора, сами подключаются к портам непосредственно на коммутаторе уровня 3, вам все равно нужно беспокоиться о пропускной способности соединительных линий между коммутаторами. Переключатель уровня 3 не является панацеей, но он обычно быстрее, чем «маршрутизатор на палочке».

Динамические VLAN

Наконец, в некоторых коммутаторах есть функция, обеспечивающая динамическое членство в VLAN. Вместо того, чтобы назначать данный порт портом доступа для данной VLAN, конфигурация порта (доступ или соединительная линия и для которых VLAN) может быть изменена динамически при подключении устройства. Динамические VLAN - это более продвинутая тема, но знание того, что функциональность существует, может быть полезна.

Функциональность варьируется между поставщиками, но обычно вы можете настроить динамическое членство в VLAN на основе MAC-адреса подключенного устройства, статуса аутентификации 802.1X устройства, проприетарных и стандартизованных протоколов (например, CDP и LLDP, чтобы позволить IP-телефонам «обнаружить» номер VLAN для голосового трафика), IP-подсеть, назначенная клиентскому устройству, или тип протокола Ethernet.


200
2017-10-07 04:37



Идти на золото, да? :) - squillman
+1 Вы, очевидно, приложили немало усилий, спасибо! - Tim Long
+1: Ничего себе! Отличный ответ. - Arun Saha
люблю это: «несанкционированные услуги по администрированию системы pro-bono»;) - problemPotato
@guntbert - Я рад, что это поможет вам. - Evan Anderson


VLAN - это «Виртуальные локальные сети». Следующее - мое понимание - мой опыт - это, прежде всего, системная инженерия и администрирование со стороны программирования OO и многих сценариев.

Сети VLAN предназначены для создания изолированной сети на нескольких аппаратных устройствах. Традиционная локальная сеть в более старые времена может существовать только там, где у вас есть одно аппаратное устройство, предназначенное для конкретной сети. Все серверы / устройства, подключенные к этому сетевому устройству (коммутатор или концентратор в зависимости от исторического таймфрейма), обычно позволяют свободно общаться между ЛВС.

VLAN отличается тем, что вы можете подключать несколько сетевых устройств и создавать изолированные сети, группируя серверы в VLAN, тем самым устраняя необходимость иметь «выделенное» сетевое устройство для одной локальной сети. Количество настраиваемых VLAN и поддерживаемых серверов / устройств будет различаться между производителями сетевых устройств.

Опять же, в зависимости от поставщика, я не думать что все серверы должны находиться в одной подсети, чтобы быть частью одной и той же VLAN. С устаревшими сетевыми конфигурациями, я считаю, они это сделали (коррекция вставки сетевого инженера здесь).

Что отличает VLAN от VPN, это буква «P» для «Private». Обычно трафик VLAN не зашифрован.

Надеюсь, это поможет!


8
2017-10-07 02:46



Необходимый короткий ответ на шлюз для понимания VLAN. Чем более укоренившийся, тем больше деталей, и как таковой, может быть полезно для потомков, но не очень полезно, если вы хотите получить быстрое знание / понимание по этому вопросу. Теперь, когда я знаю, что я делаю из этого ответа, я всегда могу вернуться, чтобы узнать больше. - Harsh Kanchina