Вступне пояснення рівня VLAN


21

Які основні випадки використання для VLAN?

Які основні принципи дизайну?

Я шукаю щось на кшталт відповіді стильового стилю на два абзаци, щоб визначити, чи потрібно мені дізнатися про VLAN для їх реалізації.

Відповіді:


23

VLAN (Virtual LAN) - це спосіб створення декількох віртуальних комутаторів всередині одного фізичного комутатора. Так, наприклад, порти, налаштовані на використання VLAN 10, діють так, ніби вони підключені до точно такого ж комутатора. Порти в VLAN 20 не можуть безпосередньо спілкуватися з портами в VLAN 10. Вони повинні бути маршрутизовані між двома (або мати зв'язок, який з'єднує дві VLAN).

Є багато причин для впровадження VLAN. Зазвичай найменшою з цих причин є розмір мережі. Я перерахую кілька причин, а потім розберу кожну.

  • Безпека
  • Використання посилань
  • Розмежування обслуговування
  • Ізольована послуга
  • Розмір підмережі

Безпека: Безпека сама по собі не досягається створенням VLAN; однак те, як ви підключаєте цю VLAN до інших підмереж, може дозволяти вам фільтрувати / блокувати доступ до цієї підмережі. Наприклад, якщо у вас є офісна будівля з 50 комп'ютерами і 5 серверами, ви можете створити VLAN для сервера і VLAN для комп'ютерів. Щоб комп'ютери спілкувалися із серверами, ви можете використовувати брандмауер для маршрутизації та фільтрації цього трафіку. Це дозволить вам застосувати IPS / IDS, ACL, і т.д. до з'єднання між серверами та комп'ютерами.

Використання посилань: (Редагувати) Я не можу повірити, що я вийшов із цього вперше. Гадаю, пердеть. Використання посилань - ще одна важлива причина використання VLAN. Розташоване дерево за функцією будує єдиний шлях через мережу вашого рівня 2 для запобігання циклів (О, мій!). Якщо у вас є кілька зайвих посилань на пристрої, що агрегують, деякі з цих посилань залишаться невикористаними. Щоб обійти це, ви можете побудувати кілька топологій STP з різними VLAN. Це досягається за допомогою власних PVST, RPVST або Cisco на основі стандартів MST. Це дозволяє мати кілька типологій STP, з якими можна грати, щоб використовувати раніше не використовувані посилання. Наприклад, якби у мене було 50 настільних комп'ютерів, я міг би розмістити 25 з них у VLAN 10, а 25 з них у VLAN 20. Я міг би тоді VLAN 10 взяти "ліву" частину мережі, а решта 25 у VLAN 20 взяв би "права" сторона мережі.

Розділення сервісу: Цей досить прямий вперед. Якщо у вас є камери безпеки IP, IP-телефони та настільні ПК, які підключаються до одного комутатора, можливо, буде простіше відокремити ці служби у власну підмережу. Це також дозволить вам застосувати позначення QOS до цих служб на основі VLAN замість якоїсь служби більш високого рівня (наприклад: NBAR). Ви також можете застосувати ACL на пристрої, що виконує маршрутизацію L3, щоб запобігти зв’язку між VLAN, який може бути непотрібним. Наприклад, я можу запобігти прямому доступу до настільних телефонів до телефонів / камер безпеки.

Ізольована послуга: Якщо у вас є одна пара комутаторів TOR в одній стійці, яка має кілька хостів VMWare та SAN, ви можете створити VSC iSCSI, який залишається непереробленим. Це дозволить вам мати повністю ізольовану мережу iSCSI, щоб жоден інший пристрій не міг намагатися отримати доступ до SAN або порушити зв’язок між хостами та SAN. Це просто один приклад ізоляції послуг.

Розмір підмережі: Як зазначено раніше, якщо один сайт стає занадто великим, ви можете розбити його на різні VLAN, що зменшить кількість хостів, які бачать потребу в обробці кожної трансляції.

Звичайно, є більше способів корисності VLAN (я можу придумати декілька, які я використовую спеціально як постачальник послуг Інтернету), але я вважаю, що це найпоширеніші і повинні дати вам хороше уявлення про те, як / навіщо ми їх використовуємо. Існують також приватні VLAN, які мають конкретні випадки використання та їх варто згадати тут.


7

У міру того, як мережі зростають і збільшуються, масштабність стає проблемою. Щоб спілкуватися, кожен пристрій повинен надсилати трансляції, які надсилаються на всі пристрої в домені широкомовного зв'язку. Оскільки в домен широкомовної мережі додається більше пристроїв, все більше передач починає насичувати мережу. У цей момент виникає багато проблем, включаючи насичення пропускної здатності трафіком трансляції, посилення обробки на кожному пристрої (використання процесора) і навіть проблеми з безпекою. Розщеплення цього великого мовного домену на менші широкомовні домени стає все більш необхідним.

Введіть VLAN.

VLAN або віртуальна локальна мережа практично створює окремі домени широкомовної передачі, виключаючи необхідність створення повністю окремих апаратних локальних мереж для подолання проблеми великого домену широкомовного мовлення. Натомість комутатор може містити безліч VLAN, кожна з яких виступає як окремий, автономний домен широкомовної передачі. Насправді, два VLAN, не можуть спілкуватися один з одним без втручання пристрою 3 рівня, такого як маршрутизатор, який полягає в тому, що відбувається перемикання рівня 3.

Підсумовуючи це, VLAN на найосновнішому рівні сегментують великі домени широкомовного мовлення на більш дрібні, більш керовані домени широкомовного керування, щоб збільшити масштабованість у вашій мережі, що постійно розширюється.


5

VLAN - це логічні мережі, створені у фізичній мережі. Їх основне використання полягає в забезпеченні ізоляції, часто як засобу для зменшення розміру широкомовного домену всередині мережі, але вони можуть бути використані для ряду інших цілей.

Вони є інструментом, з яким повинен бути знайомий будь-який мережевий інженер і як будь-який інструмент, ним можна користуватися неправильно та / або в неправильний час. Жоден інструмент не є правильним у всіх мережах і всіх ситуаціях, тому чим більше інструментів ви можете використовувати, тим краще ви зможете працювати в інших умовах. Знання більше про VLAN дозволяє вам використовувати їх тоді, коли вони вам потрібні, і правильно використовувати їх у своїх випадках.

Одним із прикладів того, як їх можна використовувати, я зараз працюю в умовах, де широко використовуються пристрої SCADA (наглядовий контроль та збирання даних). Пристрої SCADA, як правило, досить прості та мають довгу історію, ніж розробка зоряного програмного забезпечення, часто забезпечуючи основні вразливості безпеки.

Ми встановили пристрої SCADA в їх окрему VLAN, без шлюзу L3. Єдиний доступ до їх логічної мережі - це сервер, з яким вони спілкуються (який має два інтерфейси, один - у VLAN SCADA), який можна захистити за допомогою власної безпеки на базі хостів, чогось неможливо на пристроях SCADA. Пристрої SCADA ізольовані від решти мережі, навіть підключаючись до одних і тих же фізичних пристроїв, тому будь-яка вразливість зменшується.


3

З точки зору принципів дизайну, найпоширеніша реалізація - це узгодження ваших VLAN з організаційною структурою, тобто інженерна робота в одній VLAN, маркетинг в іншій, IP-телефони в іншій тощо. Інші проекти включають використання VLAN як "транспорт" окремої мережі функцій через одне (або більше) ядер. На деяких пристроях також можливе припинення VLAN на рівні 3 ("SVI" на мові Cisco, "VE" в Brocade тощо), що виключає необхідність окремого обладнання для здійснення зв'язку між VLAN, коли це можливо.

VLAN стають громіздкими для управління та підтримання в масштабі, як ви, напевно, бачили випадки, коли ви вже працювали в NESE. У царині постачальника послуг є PB (Блокування провайдера - загальновідоме як "QinQ", подвійне тегування, складений тег і т. Д.), PBB (Перемикання магістралі постачальника - "MAC-in-MAC") і PBB-TE, які були призначений для спроби зменшити обмеження кількості наявних ідентифікаторів VLAN. PBB-TE більше спрямований на усунення необхідності у динамічному навчанні, затопленні та охопленні дерева. У C-TAG / S-TAG доступно лише 12 біт для використання як ідентифікатора VLAN (зарезервовано 0x000 та 0xFFF), звідки походить обмеження 4 094.

VPLS або PBB можуть бути використані для усунення традиційних стель з масштабуванням, пов'язаних з PB.


3

Основний випадок використання для мереж VLAN майже точно так же , як основний варіант використання для сегментації мережі в декількох широкомовних доменів по лінії передачі даних. Ключова відмінність полягає в тому, що для фізичної локальної мережі вам потрібно щонайменше один пристрій (як правило, комутатор) для кожного широкомовного домену, тоді як при віртуальному членстві домену широкомовної локальної мережі визначається на основі порту за портом і конфігурується без додавання або заміна апаратних засобів.

Для основних програм застосуйте ті ж принципи проектування для VLAN, що і для PLAN. Для цього потрібно знати три поняття:

  1. Трансляція - будь-яке посилання, що містить кадри, що належать до декількох VLAN, є магістральним зв’язком. Зазвичай посилання "перемикач на комутатор" та "перемикач на маршрутизатор" налаштовані на магістральні посилання.
  2. Позначення тегів - під час передачі на магістральне посилання пристрій повинен тегувати кожен кадр числовим ідентифікатором VLAN, до якого він належить, щоб приймальний пристрій міг належним чином обмежити його до правильного домену широкомовної передачі. Загалом випадку , хост-порти навпаки непомічені , в той час як перемикач-облицювальний і маршрутизатор звернених порти позначені . Тег є додатковою частиною інкапсуляції каналу передачі даних.
  3. Віртуальні інтерфейси - На пристрої з одним або декількома інтерфейсами магістральних зв’язків часто необхідно приєднати в логічному сенсі пристрій як термінал зв'язку до однієї або декількох окремих VLAN, які присутні в магістралі. Особливо це стосується маршрутизаторів. Це вкладення логічного посилання моделюється як віртуальний інтерфейс, який виконує функцію порту, підключеного до єдиного домену широкомовної зв'язку, асоційованого з визначеною VLAN.

2

Первісне використання vlan полягало в обмеженні зони мовлення в мережі. Трансляції обмежені власною вланою. Пізніше була додана додаткова функціональність. Однак майте на увазі, що vlan's - це шар 2, наприклад, перемикачі Cisco. Ви можете додати рівень 2, призначивши IP-адресу порту на комутаторі, але це не є обов’язковим.

додаткова функціональність:

  • транкінг: використання декількох vlan через один фізичний зв'язок (напр .: підключення 2 комутаторів, одна фізична ланка є достатньою для того, щоб мати з'єднання для всіх vlan, відокремлення влан робиться тегом, див .: dot1Q для cisco)
  • безпека
  • простіше в управлінні (наприклад: відключення в vlan не впливає на підключення інших vlan ...)
  • ...

1

Якщо я можу запропонувати ще одну інформацію, яка може допомогти.

Щоб зрозуміти VLAN, ви також повинні зрозуміти два ключових поняття.

-Підключення - якщо припустити, що ви хочете, щоб різні пристрої могли спілкуватися один з одним (наприклад, серверами та клієнтами), кожному VLAN повинен бути призначений IP-підмережу. Це SVI, згаданий вище. Це дозволяє вам починати маршрутизацію між вланами.

-Русування - Після створення кожної VLAN, підмережі, призначеної клієнтам для кожної VLAN, та SVI, створеного для кожної VLAN, вам потрібно буде включити маршрутизацію. Маршрутизація може бути дуже простою установкою зі статичним маршрутом за замовчуванням до Інтернету та мережевими операторами EIGRP або OSPF для кожної з підмереж.

Як тільки ви бачите, як все це поєднується, це насправді досить елегантно.


Спасибі! subn / rtn я отримую, тож тепер, маючи всю цю інформацію про VLAN, так, це має ідеальний сенс. Я вже замислююся над тим, щоб створити "задню" VLAN та змінити речі для систем, які мають другий, невикористаний інтерфейс.
Крейг Костянтин

1
VLAN не вимагають інформації L3, маршрутизації або SVI. Вони потрібні лише в тому випадку, якщо ви хочете функціонувати L3 (IP) або вище для хостів у цій VLAN.
YLearn

просто додавши ... не потрібно запускати IP через VLAN. (див. також: vlans на основі протоколу - на основі порту, який використовується 99% часу.)
Ricky Beam

Я згоден з обома вашими твердженнями. L2 vlans напевно використовує це. Однак, якщо хтось замислюється над тим, як додати vlans до своєї існуючої мережі, не пояснення аспекту L3 є серйозним недоліком.
Джонатан Девіс
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.