Vraag Hoe werken VLAN's?


Wat zijn VLAN's? Welke problemen lossen ze op?

Ik help een vriend bij het leren van basisnetwerken, want hij is gewoon de enige beheerder van een klein bedrijf geworden. Ik heb hem gewezen op verschillende vragen / antwoorden over Serverfault met betrekking tot verschillende netwerkonderwerpen en een gat opgemerkt - er lijkt geen antwoord te zijn dat uit de eerste beginselen verklaart wat VLAN's zijn. In de geest van Hoe werkt Subnetting, Ik dacht dat het nuttig zou zijn om hier een vraag met een canoniek antwoord te hebben.

Enkele mogelijke onderwerpen in een antwoord:

  • Wat zijn VLAN's?
  • Welke problemen waren ze van plan op te lossen?
  • Hoe werkte het voor VLAN's?
  • Hoe verhouden VLAN's zich tot subnetten?
  • Wat zijn SVI's?
  • Wat zijn trunk-poorten en toegangspoorten?
  • Wat is VTP?

EDIT: om duidelijk te zijn, ik weet al hoe VLAN's werken - ik denk gewoon dat Serverfault een antwoord moet hebben dat deze vragen behandelt. Als de tijd het toelaat, zal ik ook mijn eigen antwoord indienen.


115
2017-10-06 23:17


oorsprong


misschien een andere vraag: wat zijn de verschillen tussen statische en dynamische VLAN's? Wat zijn de manieren om ze te beheren? En een extra: wat zijn de normen voor de VLAN-samenwerking tussen leveranciers? - Hubert Kario
Als mot in vuur en vlam, ben ik gearriveerd en heb ik mijn 4.000 woorden toegevoegd ... (Ik veronderstel dat ik kan leven zonder gemeenschap te zijn ... ik denk dat ik echt geen rep nodig heb ...> smile <) - Evan Anderson
@Evan: Ik hoopte enigszins dat je zou komen opdagen. Ik moet echter toegeven dat ik het had kunnen doen met een beetje meer rep voordat ik dit naar CW draaide. :) - Murali Suriar


antwoorden:


Virtuele LAN's (VLAN's) zijn een abstractie waarmee één fysiek netwerk de functionaliteit van meerdere parallelle fysieke netwerken kan emuleren. Dit is handig, omdat er situaties kunnen zijn waarbij u de functionaliteit van meerdere parallelle fysieke netwerken nodig hebt, maar u liever niet het geld uitgeeft aan het kopen van parallelle hardware. Ik zal het hebben over Ethernet VLAN's in dit antwoord (hoewel andere netwerktechnologieën VLAN's kunnen ondersteunen) en ik zal niet diep in elke nuance duiken.

Een gecontroupeerd voorbeeld en een probleem

Als een puur geconcurreerd voorbeeldscenario, stel je voor dat je een kantoorgebouw hebt dat je least aan huurders. Als een voordeel van de lease krijgt elke huurder live Ethernet-aansluitingen in elke kamer van het kantoor. Je koopt een Ethernet-switch voor elke verdieping, sluit ze aan op jacks in elk kantoor op die verdieping en sluit alle schakelaars aan elkaar.

In eerste instantie huurt u ruimte aan twee verschillende huurders - één op de verdieping 1 en één op twee. Elk van deze huurders configureert hun computers met statische IPv4-adressen. Beide huurders gebruiken verschillende TCP / IP-subnetten en alles lijkt goed te werken.

Later huurt een nieuwe huurder de helft van verdieping 3 en brengt een van deze nieuw ontwikkelde DHCP-servers ter sprake. De tijd verstrijkt en de huurder op de eerste verdieping besluit ook op de DHCP-bandwagon te springen. Dit is het punt wanneer dingen mis gaan. De huurders van verdieping 3 melden dat sommige van hun computers "grappige" IP-adressen krijgen van een machine die niet hun DHCP-server is. Al snel rapporteren de huurders van verdieping 1 hetzelfde.

DHCP is een protocol dat gebruik maakt van de uitzendmogelijkheden van Ethernet om clientcomputers in staat te stellen om IP-adressen dynamisch te verkrijgen. Omdat de huurders allemaal hetzelfde fysieke Ethernet-netwerk delen, delen ze hetzelfde broadcastdomein. Een broadcast-pakket dat vanaf elke computer in het netwerk wordt verzonden, zal alle switch-poorten naar elke andere computer overspoelen. De DHCP-servers op de verdiepingen 1 en 3 ontvangen alle aanvragen voor leases met IP-adressen en zullen in feite uitvechten om te zien wie als eerste kan antwoorden. Dit is duidelijk niet het gedrag dat u van plan bent te ervaren door uw huurders. Dit is echter het gedrag van een "plat" Ethernet-netwerk zonder VLAN's.

Erger nog, een huurder op verdieping 2 verwerft deze "Wireshark" -software en meldt dat ze van tijd tot tijd verkeer zien uit hun switch komen dat verwijst naar computers en IP-adressen waar ze nog nooit van hebben gehoord. Een van hun werknemers heeft zelfs ontdekt dat hij met deze andere computers kan communiceren door het IP-adres dat aan zijn pc is toegewezen te veranderen van 192.168.1.38 in 192.168.0.38! Vermoedelijk is hij slechts een paar stappen verwijderd van het uitvoeren van "ongeautoriseerde pro-bono systeembeheerdiensten" voor een van de andere huurders. Niet goed.

Potentiële oplossingen

U hebt een oplossing nodig! Je zou gewoon de pluggen tussen de vloeren kunnen trekken en dat zou alle ongewenste communicatie afsnijden! Ja! Dat is het ticket ...

Dat zou kunnen werken, behalve dat je een nieuwe huurder hebt die de helft van de kelder en de onbezette helft van vloer 3 huurt. Als er geen verbinding is tussen de vloer 3-schakelaar en de kelderverdeler, kan de nieuwe huurder geen communicatie krijgen tussen hun computers die op beide verdiepingen worden verspreid. Trek aan de pluggen is niet het antwoord. Erger nog, de nieuwe huurder brengt nog een ander een van deze DHCP-servers!

Je flirt met het idee om fysiek afzonderlijke sets Ethernet-switches voor elke huurder te kopen, maar als je ziet hoe je gebouw 30 verdiepingen telt, waarvan er elk op 4 manieren kunnen worden onderverdeeld, nestelen potentiële ratten van vloer tot vloer kabels tussen enorme aantallen parallelle Ethernet-switches kunnen een nachtmerrie zijn, om nog maar te zwijgen van duur. Als er maar een manier was om een ​​enkel fysiek Ethernet-netwerk te laten werken alsof het meerdere fysieke Ethernet-netwerken waren, elk met een eigen broadcast-domein.

VLAN's naar de Rescue

VLAN's zijn een antwoord op dit rommelige probleem. Met VLAN's kunt u een Ethernet-switch onderverdelen in logisch ongelijksoortige virtuele Ethernet-switches. Hierdoor kan een enkele Ethernet-switch werken alsof het meerdere fysieke Ethernet-switches zijn. In het geval van uw onderverdeelde verdieping 3, bijvoorbeeld, zou u uw 48-poortschakelaar zodanig kunnen configureren dat de onderste 24 poorten zich in een gegeven VLAN bevinden (die we VLAN 12 zullen noemen) en de hogere 24 poorten zich in een gegeven VLAN bevinden ( welke we VLAN 13 zullen noemen). Wanneer u de VLAN's op uw switch maakt, moet u ze een type VLAN-naam of -nummer toewijzen. De nummers die ik hier gebruik zijn meestal arbitrair, dus maak je geen zorgen over welke specifieke nummers ik kies.

Nadat u de switch van vloer 3 in VLAN's 12 en 13 hebt verdeeld, ziet u dat de nieuwe floor 3-tenant zijn DHCP-server kan aansluiten op een van de poorten die zijn toegewezen aan VLAN 13 en een pc die is aangesloten op een poort die is toegewezen aan VLAN 12, niet t krijg een IP-adres van de nieuwe DHCP-server. Uitstekend! Probleem opgelost!

Oh, wacht ... hoe krijgen we die VLAN 13-gegevens naar de kelder?

VLAN-communicatie tussen schakelaars

Uw half-verdieping 3 en half-kelder tenant wil graag computers in de kelder verbinden met hun servers op verdieping 3. U zou een kabel rechtstreeks vanuit een van de poorten toegewezen aan hun VLAN in de vloer 3-schakelaar naar de kelder en het leven kunnen leiden zou goed zijn, toch?

In de beginperiode van VLAN's (pre-802.1Q standaard) zou je dat precies kunnen doen. De volledige kelderschakelaar zou, in feite, deel uitmaken van VLAN 13 (het VLAN dat u hebt gekozen om toe te wijzen aan de nieuwe huurder op verdieping 3 en de kelder), omdat die kelderverdeler zou worden "gevoed" door een poort op verdieping 3 die is toegewezen naar VLAN 13.

Deze oplossing zou werken totdat u de andere helft van de kelderruimte huurt naar uw huurder van verdieping 1 die ook communicatie wenst tussen zijn 1e verdieping en keldercomputers. Je zou de kelderverdelingsschakelaar kunnen splitsen met behulp van VLAN's (naar bijvoorbeeld VLANS 2 en 13) en een kabel van verdieping 1 naar een in de kelder toegewezen poort naar VLAN 2 laten lopen, maar je kunt beter beoordelen dat dit snel een rattennest kan worden van kabels (en zal alleen maar erger worden). Het splitsen van switches met VLAN's is goed, maar het hebben van meerdere kabels van andere switches naar poorten die lid zijn van verschillende VLAN's lijkt rommelig. Ongetwijfeld, als je de kelderverdeler 4 manieren moest verdelen tussen huurders die ook ruimte hadden op hogere verdiepingen, zou je 4 poorten op de kelderverdeler gebruiken om de "feeder" -kabels van boven VLAN's te beëindigen.

Het zou nu duidelijk moeten zijn dat een soort van algemene methode voor het verplaatsen van verkeer van meerdere VLAN's tussen schakelaars op een enkele kabel nodig is. Alleen het toevoegen van meer kabels tussen switches om verbindingen tussen verschillende VLAN's te ondersteunen, is geen schaalbare strategie. Uiteindelijk zul je met voldoende VLAN's alle poorten op je switches opeten met deze inter-VLAN / inter-switch verbindingen. Wat nodig is, is een manier om de pakketten van meerdere VLAN's langs één enkele verbinding te vervoeren - een "trunk" -verbinding tussen switches.

Tot nu toe worden alle switchpoorten waar we over gesproken hebben "access" -poorten genoemd. Dat wil zeggen, deze poorten zijn bestemd voor toegang tot een enkele VLAN. De apparaten die op deze poorten zijn aangesloten, hebben zelf geen speciale configuratie. Deze apparaten "weten" niet dat er VLAN's aanwezig zijn. Frames die door de clientapparaten worden verzonden, worden bij de switch afgeleverd en zorgen er vervolgens voor dat het frame alleen wordt verzonden naar poorten die zijn toegewezen als leden van de VLAN die zijn toegewezen aan de poort waar het frame de switch heeft ingevoerd. Als een frame de switch op een poort binnenkomt die is toegewezen als lid van VLAN 12, verzendt de switch alleen die frame out-poorten die lid zijn van VLAN 12. De switch "kent" het VLAN-nummer dat is toegewezen aan een poort van waaruit het een frame en weet op de een of andere manier alleen dit frame uit poorten van dezelfde VLAN te leveren.

Als er een manier was waarop een switch het VLAN-nummer dat aan een bepaald frame is gekoppeld, met andere switches kan delen, kan de andere switch het afleveren van dat frame alleen naar de juiste bestemmingspoorten afhandelen. Dit is wat het 8032.1Q VLAN-tagging-protocol doet. (Het is vermeldenswaard dat sommige leveranciers voorafgaand aan 802.1Q hun eigen standaarden voor VLAN-tagging en inter-switch trunking hebben opgesteld. Grotendeels zijn deze pre-standaardmethoden allemaal verdrongen door 802.1Q.)

Als u twee VLAN-bewuste switches op elkaar hebt aangesloten en u wilt dat deze switches frames tussen elkaar leveren aan het juiste VLAN, verbindt u die switches via "trunk" -poorten. Dit omvat het wijzigen van de configuratie van een poort op elke switch van de modus "toegang" naar de "trunk" -modus (in een zeer eenvoudige configuratie).

Wanneer een poort in de trunk-modus wordt geconfigureerd, stuurt elk frame dat de switch verzendt, die poort een "VLAN-tag" bevat in het frame. Deze "VLAN-tag" maakte geen deel uit van het oorspronkelijke frame dat de client stuurde. In plaats daarvan wordt deze tag toegevoegd door de verzendende schakelaar voordat het frame uit de trunkpoort wordt verzonden. Deze tag geeft het VLAN-nummer aan dat is gekoppeld aan de poort van waaruit het frame is ontstaan.

De ontvangende schakelaar kan naar de tag kijken om te bepalen van welk VLAN het frame afkomstig is en op basis van die informatie alleen de frame doorgeven die zijn toegewezen aan het oorspronkelijke VLAN. Omdat de apparaten die zijn aangesloten op "toegang" -poorten niet weten dat VLAN's worden gebruikt, moet de "tag" -informatie uit het frame worden verwijderd voordat een poort wordt verzonden die is geconfigureerd in de toegangsmodus. Dit verwijderen van de tag-informatie zorgt ervoor dat het gehele VLAN-trunkingproces wordt verborgen voor clientapparaten, aangezien het frame dat ze ontvangen geen VLAN-taginformatie zal dragen.

Voordat u VLAN's in het echte leven configureert, raad ik aan om een ​​poort voor de trunk-modus op een testschakelaar te configureren en het verkeer te controleren dat via een sniffer (zoals Wireshark) naar die poort wordt verzonden. U kunt wat voorbeeldverkeer maken vanaf een andere computer, aangesloten op een toegangspoort en zien dat de frames die de trunkpoort verlaten, in feite groter zijn dan de frames die door uw testcomputer worden verzonden. U ziet de VLAN-taginformatie in de frames in Wireshark. Ik vind dat het de moeite waard is om te zien wat er gebeurt in een snuffelaar. Het lezen van de 802.1Q-tagnorm is ook op dit moment een goede zaak (vooral omdat ik het niet heb over dingen als "native VLAN's" of dubbele tagging).

VLAN-configuratie nachtmerries en de oplossing

Naarmate u meer en meer ruimte in uw gebouw huurt, groeit het aantal VLAN's. Elke keer dat u een nieuw VLAN toevoegt, merkt u dat u zich moet aanmelden bij steeds meer Ethernet-switches en dat VLAN aan de lijst moet toevoegen. Zou het niet geweldig zijn als er een methode was waarmee je dat VLAN aan een enkel configuratiemanif kon toevoegen en het automatisch de VLAN-configuratie van elke switch kon laten invullen?

Protocollen zoals Cisco's eigen "VLAN Trunking Protocol" (VTP) of het op standaarden gebaseerde "Multiple VLAN Registration Protocol" (MVRP-- voorheen gespelde GVRP) vervullen deze functie. In een netwerk dat deze protocollen gebruikt, resulteert een enkele VLAN-creatie of verwijderinginvoer in het verzenden van protocolmeldingen naar alle schakelaars in het netwerk. Dat protocolbericht communiceert de wijziging in de VLAN-configuratie naar de rest van de switches, die op hun beurt hun VLAN-configuraties wijzigen. VTP en MVRP houden zich niet bezig met welke specifieke poorten zijn geconfigureerd als toegangspoorten voor specifieke VLAN's, maar zijn eerder nuttig bij het communiceren van het maken of verwijderen van VLAN's naar alle schakelaars.

Als u vertrouwd bent geraakt met VLAN's, wilt u waarschijnlijk nog eens lezen over "VLAN-snoei", dat is gekoppeld aan protocollen zoals VTP en MVRP. Voor nu is het niets om enorm bezorgd over te zijn. (De VTP-artikel op Wikipedia heeft een mooi diagram dat VLAN-snoei en de voordelen ervan verklaart.)

Wanneer gebruikt u VLAN's in het echte leven?

Voordat we veel verder gaan, is het belangrijk om na te denken over het echte leven in plaats van over gekunstelde voorbeelden. In plaats van hier de tekst van een ander antwoord te dupliceren, zal ik je doorverwijzen mijn antwoord re: wanneer VLAN's maken. Het is niet noodzakelijk "beginnersniveau", maar het is de moeite waard hier naar te kijken, omdat ik er kort naar zal verwijzen voordat ik terug ga naar een geforceerd voorbeeld.

Voor de "tl; dr" -menigte (die toch zeker allemaal op dit punt is gestopt met lezen), is de essentie van die link hierboven: VLAN's maken om broadcastdomeinen kleiner te maken of wanneer je verkeer wilt scheiden om een ​​bepaalde reden (beveiliging , beleid, enz.). Er zijn niet echt andere goede redenen om VLAN's te gebruiken.

In ons voorbeeld gebruiken we VLAN's om broadcastdomeinen te beperken (om protocollen zoals DHCP goed te laten werken) en, ten tweede, omdat we isolatie willen tussen de netwerken van de verschillende huurders.

Eenzijdig: IP-subnetten en VLAN's

Over het algemeen is er meestal een een-op-een-relatie tussen VLAN's en IP-subnetten om het gemakkelijk te maken, om isolatie te vergemakkelijken en om de manier waarop het ARP-protocol werkt.

Zoals we aan het begin van dit antwoord zagen, kunnen twee verschillende IP-subnetten zonder probleem op hetzelfde fysieke Ethernet worden gebruikt. Als u VLAN's gebruikt om broadcastdomeinen kleiner te maken, wilt u niet dezelfde VLAN met twee verschillende IP-subnetten delen, omdat u hun ARP- en ander broadcast-verkeer combineert.

Als u VLAN's gebruikt om verkeer te scheiden vanwege beveiligings- of beleidsredenen, wilt u waarschijnlijk ook niet meerdere subnetten in hetzelfde VLAN combineren, omdat u het doel van isolatie verslaat.

IP gebruikt een broadcast-gebaseerd protocol, Address Resolution Protocol (ARP), om IP-adressen toe te wijzen aan fysieke (Ethernet MAC) -adressen. Aangezien ARP op uitzending is gebaseerd, zou het toewijzen van verschillende delen van hetzelfde IP-subnet aan verschillende VLAN's problematisch zijn omdat hosts in één VLAN geen ARP-antwoorden van hosts in het andere VLAN zouden kunnen ontvangen, omdat broadcasts niet tussen VLAN's worden doorgestuurd. U kunt dit "probleem" oplossen door proxy-ARP te gebruiken, maar uiteindelijk, tenzij u echt een goede reden hebt om een ​​IP-subnet over meerdere VLAN's te splitsen, kunt u dit beter niet doen.

One Last Aside: VLAN's en beveiliging

Ten slotte is het vermeldenswaard dat VLAN's geen geweldig beveiligingsapparaat zijn. Veel Ethernet-switches hebben bugs die het mogelijk maken dat frames die afkomstig zijn van één VLAN, uitgezonden poorten worden toegewezen aan een ander VLAN. Fabrikanten van Ethernet-switches hebben hard gewerkt om deze bugs te repareren, maar het is twijfelachtig of er ooit een volledig bug-vrije implementatie zal zijn.

In het geval van ons geforceerde voorbeeld kan de medewerker op de tweede verdieping die op een steenworp afstand is van het gratis aanbieden van "serviceservices" aan een andere huurder, worden gestopt door zijn verkeer in een VLAN te isoleren. Hij zou er ook achter kunnen komen hoe bugs in de switchfirmware kunnen worden misbruikt, om zijn verkeer ook naar het VLAN van een andere huurder te laten "lekken".

Metro Ethernet-providers vertrouwen steeds vaker op VLAN-tagging-functionaliteit en de isolatie die switches bieden. Het is niet eerlijk om te zeggen dat dat zo is Nee beveiliging aangeboden door gebruik te maken van VLAN's. Het is echter redelijk om te zeggen dat in situaties met niet-vertrouwde internetverbindingen of DMZ-netwerken het waarschijnlijk beter is om fysiek gescheiden switches te gebruiken om dit "slinke" verkeer te vervoeren in plaats van VLAN's op switches die ook uw vertrouwde "behind the firewall" -verkeer dragen.

Laag 3 in beeld brengen

Tot dusver heeft alles waar dit antwoord over heeft gesproken betrekking op laag 2- Ethernet-frames. Wat gebeurt er als we laag 3 hierin introduceren?

Laten we teruggaan naar het gekunstelde bouwvoorbeeld. U hebt VLAN's omarmd die zijn gekozen om de poorten van elke tenant te configureren als leden van afzonderlijke VLAN's. U hebt trunk-poorten zodanig geconfigureerd dat de switches van elke verdieping frames met het nummer van de oorspronkelijke VLAN kunnen uitwisselen met de switches op de vloer boven en onder. Eén huurder kan computers over meerdere verdiepingen verspreiden, maar vanwege uw vLAN-configuratievaardigheden kunnen deze fysiek verdeelde computers allemaal deel uitmaken van hetzelfde fysieke LAN.

Je zit zo vol met je IT-prestaties dat je besluit om internetverbindingen aan te bieden aan je huurders. Je koopt een dikke internetpijp en een router. U drijft het idee naar al uw huurders en twee van hen kopen onmiddellijk in. Gelukkig voor jou heeft je router drie Ethernet-poorten. U verbindt één poort met uw dikke internetpijp, een andere poort met een switchpoort die is toegewezen voor toegang tot het VLAN van de eerste huurder en de andere met een poort die is toegewezen voor toegang tot het VLAN van de tweede huurder. U configureert de poorten van uw router met IP-adressen in het netwerk van elke tenant en de huurders beginnen toegang te krijgen tot het internet via uw service! De omzet neemt toe en je bent blij.

Maar al snel besluit een andere huurder om op uw internetaanbod te gaan. Je hebt echter geen poorten meer op je router. Wat te doen?

Gelukkig kocht je een router die het configureren van "virtuele sub-interfaces" op zijn Ethernet-poorten ondersteunt. Kort gezegd stelt deze functionaliteit de router in staat om frames te ontvangen en te interpreteren die zijn gelabeld met oorspronkelijke VLAN-nummers en om virtuele (dat wil zeggen, niet-fysieke) interfaces te hebben die zijn geconfigureerd met IP-adressen die geschikt zijn voor elke VLAN waarmee wordt gecommuniceerd. In feite kunt u hiermee een enkele Ethernet-poort op de router "multiplexen" zodat deze lijkt te functioneren als meerdere fysieke Ethernet-poorten.

U bevestigt uw router aan een trunkpoort op een van uw switches en configureert virtuele sub-interfaces die overeenkomen met het IP-adresschema van elke huurder. Elke virtuele subinterface wordt geconfigureerd met het VLAN-nummer dat aan elke klant is toegewezen. Wanneer een frame de trunkpoort op de switch verlaat, gebonden aan de router, zal het een tag dragen met het oorspronkelijke VLAN-nummer (aangezien het een trunkpoort is). De router zal dit label interpreteren en het pakket behandelen alsof het is binnengekomen op een speciale fysieke interface die overeenkomt met dat VLAN. Op dezelfde manier, wanneer de router een frame naar de switch stuurt in antwoord op een verzoek, zal het een VLAN-tag aan het frame toevoegen, zodat de switch weet aan welk VLAN het responsframe moet worden afgeleverd. In feite hebt u de router zo geconfigureerd dat deze "fysiek" in meerdere VLAN's "verschijnt" terwijl er slechts één fysieke verbinding is tussen de switch en de router.

Routers op sticks en Layer 3-switches

Met behulp van virtuele subinterfaces kon je internetconnectiviteit verkopen aan al je huurders zonder een router met 25+ Ethernet-interfaces te hoeven kopen. Je bent redelijk tevreden met je IT-prestaties, dus je reageert positief wanneer twee van je huurders met een nieuw verzoek naar je toe komen.

Deze huurders hebben ervoor gekozen om te "samenwerken" aan een project en zij willen toegang vanaf clientcomputers in één huurderskantoor (één gegeven VLAN) naar een servercomputer in het kantoor van de andere huurder (een ander VLAN) toestaan. Aangezien ze beide Klanten van uw internetservice zijn, is het een vrij eenvoudige wijziging van een ACL in uw core-internetrouter (waarop een virtuele subinterface is geconfigureerd voor elk van de VLAN's van deze tenant) om verkeer tussen hun VLAN's te laten stromen als evenals internet van hun VLAN's. U maakt de wijziging en stuurt de huurders op weg.

De volgende dag ontvangt u klachten van beide huurders dat de toegang tussen de clientcomputers in één kantoor naar de server in het tweede kantoor erg traag is. De server- en clientcomputers hebben beide gigabit Ethernet-verbindingen met uw switches, maar de bestanden worden alleen overgedragen met ongeveer 45 Mbps, wat toevallig ongeveer de helft is van de snelheid waarmee uw core-router verbinding maakt met zijn switch. Het is duidelijk dat het verkeer dat van de bron VLAN naar de router stroomt en teruggaat van de router naar het bestemmings-VLAN wordt gecensureerd door de verbinding van de router met de switch.

Wat u hebt gedaan met uw kernrouter, waardoor het verkeer tussen VLAN's kan worden gerouteerd, is algemeen bekend als "router op een stick" (een betwist dom grillig eufemisme). Deze strategie kan goed werken, maar verkeer kan alleen tussen de VLAN's stromen tot de capaciteit van de routerverbinding met de switch. Als, op de een of andere manier, de router zou kunnen worden samengevoegd met de 'ingewanden' van de Ethernet-switch zelf, zou het verkeer nog sneller kunnen worden gerouteerd (aangezien de Ethernet-switch zelf, volgens het specificatieblad van de fabrikant, in staat is om 2 Gbps aan verkeer over te schakelen).

Een "layer 3-switch" is een Ethernet-switch die logisch gesproken een router bevat die in zichzelf is begraven. Ik vind het enorm nuttig om te denken aan een laag 3-switch met een kleine en snelle router die zich in de schakelaar verbergt. Verder zou ik u adviseren om na te denken over de routeringsfunctionaliteit als een duidelijk gescheiden functie van de Ethernet-schakelfunctie die de laag 3-schakelaar biedt. Een layer 3-switch is, voor alle doeleinden en doeleinden, twee verschillende apparaten die zijn verpakt in een enkel chassis.

De ingesloten router in een layer 3-switch is verbonden met het interne schakelweefsel van de switch met een snelheid die doorgaans zorgt voor routering van pakketten tussen VLAN's op of dichtbij een draadsnelheid. Analoog aan de virtuele sub-interfaces die u op uw "router on a stick" hebt geconfigureerd, kan deze embedded router binnen de layer 3-switch worden geconfigureerd met virtuele interfaces die "verschijnen" als "access" -verbindingen in elke VLAN. In plaats van virtuele sub-interfaces te heten, worden deze logische verbindingen van de VLAN's naar de ingesloten router in een layer 3-switch Switch Virtual Interfaces (SVI's) genoemd. In feite heeft de embedded router in een layer 3-switch een aantal 'virtuele poorten' die kunnen worden 'aangesloten' op een van de VLAN's op de switch.

De ingesloten router werkt op dezelfde manier als een fysieke router, behalve dat deze doorgaans niet hetzelfde dynamische routeringsprotocol of access-control list (ACL) -functies heeft als fysieke router (tenzij u een hele mooie laag 3 hebt gekocht) schakelaar). De ingebedde router heeft echter het voordeel dat hij erg snel is en geen knelpunten heeft die verband houden met een fysieke switchpoort waarop hij is aangesloten.

In het geval van ons voorbeeld hier met de "partnering" -huurders zou je kunnen kiezen om een ​​layer 3-switch te verkrijgen, deze in trunk-poorten te steken zodat verkeer van beide klanten VLAN's deze bereikt, en SVI's met IP-adressen en VLAN-lidmaatschappen zo te configureren dat het "verschijnt" in beide Klanten VLAN's. Als je dat eenmaal hebt gedaan, is het gewoon een kwestie van de routeringstabel op je core-router en de ingesloten router in de layer 3-switch zo aan te passen dat het verkeer tussen de VLAN's van de huurders wordt gerouteerd door de ingesloten router binnen de layer 3-switch versus de "router op een stick".

Het gebruik van een layer 3-switch betekent niet dat er nog steeds geen bottlenecks zijn verbonden aan de bandbreedte van de trunk-poorten die uw switches met elkaar verbinden. Dit is echter een orthogonale zorg voor degenen met VLAN's. VLAN's hebben niets te maken met bandbreedteproblemen. Typerend worden bandbreedteproblemen opgelost door het verkrijgen van verbindingen met een hogere snelheid tussen schakelaars of door gebruik te maken van verbindingsaggregatieprotocollen om verschillende verbindingen met een lagere snelheid samen te voegen in een virtuele verbinding met een hogere snelheid. Tenzij alle apparaten die frames maken die moeten worden gerouteerd door de ingesloten router in de latere 3 switch, zelf rechtstreeks op de layer 3-switch worden aangesloten, moet je je nog zorgen maken over de bandbreedte van de trunks tussen de switches. Een layer 3-schakelaar is geen wondermiddel, maar is meestal sneller dan een "router op een stick".

Dynamische VLAN's

Ten slotte is er in sommige switches een functie om dynamisch VLAN-lidmaatschap te bieden. In plaats van een gegeven poort toe te wijzen als een toegangspoort voor een bepaald VLAN, kan de configuratie van de poort (toegang of trunk, en voor welke VLAN's) dynamisch worden gewijzigd wanneer een apparaat is verbonden. Dynamische VLAN's zijn een meer geavanceerd onderwerp, maar wetende dat de functionaliteit bestaat, kan nuttig zijn.

De functionaliteit verschilt per leverancier, maar u kunt meestal een dynamisch VLAN-lidmaatschap configureren op basis van het MAC-adres van het verbonden apparaat, de 802.1X-authenticatiestatus van het apparaat, gepatenteerde en op standaarden gebaseerde protocollen (CDP en LLDP, bijvoorbeeld om IP-telefoons toe te staan "ontdek" het VLAN-nummer voor spraakverkeer), IP-subnet toegewezen aan het cliëntapparaat, of Ethernet protocoltype.


204
2017-10-07 04:37



Ga je voor goud opnieuw, huh? :) - squillman
+1 Daar heb je duidelijk veel moeite voor gedaan, bedankt! - Tim Long
+1: Wow! Uitstekend antwoord. - Arun Saha
hou van dit: "ongeautoriseerde pro-bono systeembeheersdiensten";) - problemPotato
@guntbert - Ik ben blij dat het een hulp voor jou is. - Evan Anderson


VLAN's zijn "Virtual Local Area Networks". Het volgende is mijn begrip - mijn achtergrond is voornamelijk Systems Engineering & Administration met een kant van OO programmeren & veel scripting.

VLAN's zijn bedoeld om een ​​geïsoleerd netwerk op meerdere hardwareapparaten te creëren. Een traditioneel LAN in oudere tijden kan alleen bestaan ​​als je een enkel hardwareapparaat hebt dat is toegewijd aan een bepaald netwerk. Alle servers / apparaten die op dat netwerkapparaat zijn aangesloten (Switch of Hub, afhankelijk van het historische tijdsbestek), mogen doorgaans vrij communiceren tussen het LAN.

Een VLAN verschilt zodanig dat u verschillende netwerkapparaten onderling kunt verbinden en geïsoleerde netwerken kunt maken door servers samen in een VLAN te groeperen, waardoor het niet nodig is om een ​​"dedicated" netwerkapparaat voor een enkel LAN te hebben. Het aantal configureerbare VLAN's en ondersteunde servers / apparaten zal variëren van fabrikanten van netwerkapparaten.

Nogmaals afhankelijk van de leverancier, ik niet denken dat alle servers zich op hetzelfde subnet moeten bevinden om deel te kunnen uitmaken van hetzelfde VLAN. Met legacy-netwerkconfiguraties geloof ik dat ze dat deden (invoegcorrectie netwerkingenieur hier).

Wat een VLAN anders maakt dan een VPN is de letter "P" voor "Privé". Meestal is VLAN-verkeer niet gecodeerd.

Ik hoop dat het helpt!


8
2017-10-07 02:46



Een broodnodige korte gateway voor het begrijpen van VLAN's. De meer geaccentueerde gaat veel gedetailleerd in, en als zodanig kan het goed zijn voor het nageslacht, maar niet zo handig als je wat snelle kennis / begrip over het onderwerp wilt krijgen. Nu ik weet wat ik vanuit dit antwoord doe, kan ik altijd teruggaan om meer te leren. - Harsh Kanchina