зачем использовать vlan если можно использовать подсети
Твой Сетевичок
Все о локальных сетях и сетевом оборудовании
Что такое vlan: технология и настройка
На страницах нашего сайта мы неоднократно использовали термин VLAN в инструкциях по настройке различных роутеров и созданию корпоративной сети. Однако современная vlan технология требует детального изучения, поэтому следующий цикл статей посвящен характеристике и настройке «влан» на различных устройствах.
Данный материал является своего рода «вступительным словом», и здесь мы рассмотрим, что такое VLAN и как технология VLAN помогает в настройке сети.
Vlan: что это такое?
VLAN – технология, позволяющая сконфигурировать несколько виртуальных широковещательных доменов в рамках одного физического широковещательного домена.
Другими словами, имея «плоскую» физическую сеть из нескольких или одного коммутатора, можно разделить ее на несколько изолированных друг от друга полноценных «плоских» сетей, таким образом разграничив ПК пользователей по признаку принадлежности к определенному отделу или же в случае с серверами – по определенным ролям и специфике их работы.
В таком случае решаются одновременно несколько проблем:
Сетевая архитектура использует VLAN для обеспечения сетевой сегментации сервисов, обычно осуществляемой маршрутизаторами, которые фильтруют широковещательный трафик между разными VLAN-ми, улучшают безопасность сети, выполняют агрегацию подсетей и снижают перегрузку в сети. Коммутаторы не могут передавать трафик между VLAN-ами ввиду ограничения, накладываемого широковещательным доменом.
Некоторые коммутаторы могут иметь функции 3-го сетевого уровня модели OSI, храня и используя таблицу маршрутизации для осуществления передачи трафика между подсетями. В таком случае на коммутаторе создается виртуальный интерфейс конкретного VLAN с определенным ip-адресом и маской подсети. Такой интерфейс выступает в роли шлюза по умолчанию для устройств, находящихся в данном VLAN.
Для чего нужен vlan?
В сетях, основанных на широковещательном трафике, передающемся ко всем устройствам для нахождения пиров, с ростом количества пиров растет и количество широковещательного трафика (который потенциально может почти полностью вытеснить собой полезную нагрузку на сеть).
VLAN-ы же помогают снизить сетевой трафик формированием нескольких широковещательных доменов, разбивая большую сеть на несколько меньших независимых сегментов с небольшим количеством широковещательных запросов, посылаемых к каждому устройству всей сети в целом.
Технология VLAN также помогает создать несколько сетей 3-го уровня модели OSI в одной физической инфраструктуре. Например, если DHCP-сервер, раздающий ip-адреса, включен в коммутатор в определенном VLAN – устройства будут получать адреса только в рамках данного VLAN. Если же DHCP-сервер включен транком с набором из нескольких VLAN – устройства из всех этих VLAN смогут получить адреса.
VLAN работает на 2-м, канальном, уровне сетевой модели OSI, аналогично IP-подсетям, которые оперируют на 3-м, сетевом, уровне. Обычно каждому VLAN соответствует своя IP-подсеть, хотя бывают и исключения, когда в одном VLAN могут существовать несколько разных подсетей. Такая технология у Cisco известна как «ip secondary», а в Linux как «ip alias».
В старых сетевых технологиях пользователям присваивались подсети, основываясь на их географическом местоположении. Благодаря этому они были ограничены физической топологией и расстоянием. VLAN технология же позволяют логически сгруппировать территориально разрозненных пользователей в одни и те же группы подсетей, несмотря на их физическое местонахождение. Используя VLAN, можно легко управлять шаблонами трафика и быстро реагировать на переезд пользователей.
Технология VLAN предоставляет гибкую адаптацию к изменениям в сети и упрощает администрирование.
Примеры использования vlan
Пример разделения сети на несколько VLAN по сегментам в зависимости от ролей и используемых технологий:
Наиболее часто используемым стандартом для конфигурации VLAN является IEEE 802.1Q, в то время как Cisco имеет свой собственный стандарт ISL, а 3Com – VLT. И IEEE 802.1Q и ISL имеют схожий механизм работы, называемый “явным тегированием” – фрейм данных тегируется информацией о принадлежности к VLAN. Отличие между ними в том, что ISL использует внешний процесс тегирования без модификации оригинального Ethernet-фрейма, а 802.1Q – внутренний, с модификацией фрейма.
Разница между подсетью и VLAN?
Если они используются взаимозаменяемо, то они используются неправильно.
VLAN может транспортировать одну или несколько подсетей (но не обязательно, это может быть передача чего-то другого, кроме IP). Подсеть может быть сконфигурирована для VLAN, но это не обязательно, она может быть без 802.1Q или с какой-то совершенно другой технологией L2, чем ethernet.
Подсети (L3) и VLAN (L2) находятся на разных уровнях. Термины не должны использоваться взаимозаменяемо. VLAN может содержать один или несколько префиксов L3 («Подсети»). Для непрофессионала это может привести к путанице. Часто люди не понимают, что эти двое связаны, но не одно и то же. Люди могут сказать, что Хост, расположенный в нашей подсети сервера, или Сервер, расположенный в VLAN DMZ, означает одно и то же.
Это очень неформальный способ взглянуть на разницу между VLAN и подсетями, но он не является неточным (просто неполным). Это может помочь новичкам в сети немного приблизиться к правильной психической картине.
Две разные VLAN на одном коммутаторе или хосте похожи на два физически отдельных коммутатора. Они разделяют пространство MAC-адресов, так как при обмене данными между двумя сторонами в одной VLAN или в одном физическом коммутаторе не участвуют никакие другие стороны в сети уровня MAC (уровень 2). VLAN или физический коммутатор ограничивают степень распространения сообщений на уровне MAC, сохраняя его как можно более локальным.
Напротив, подсети IP существуют на уровне 3 и разделяют пространство IP-адресов, а не пространство MAC-адресов, но с аналогичной целью: ограничить степень распространения сообщений. Любое разделение в сети уровня 2 уровня MAC ниже полностью прозрачно для уровня 3, что означает, что VLAN и / или отдельные физические коммутаторы могут рассматриваться как одна единая непрерывная среда уровня 2 с точки зрения сетей уровня IP.
В итоге: VLAN и подсети разделяют различные уровни модели сети. Нет обстоятельств, при которых они являются взаимозаменяемыми.
Они используются только взаимозаменяемо с точки зрения каждого уникального vlan на уровне 2, должны иметь свою собственную подсеть для адресации на уровне 3, что дает вам разделение и возможность управлять широковещательным трафиком и т. Д.
С точки зрения сценариев, в которых у вас будет vlan без подсети, тогда, возможно, только при использовании установки «ip unumbered», но причин для этого не так уж много. Если вы рассмотрите некоторые передовые модели, такие как модель составной сети Cisco, то с точки зрения того, что отдельные подсети и ваши локальные сети будут «локальными» для переключения блоков, вам, как правило, будет назначаться отдельная подсеть для каждой виртуальной сети.
Причина корреляции заключается в том, что одна VLAN и одна подсеть представляют один широковещательный домен. Как таковые, эти два имеют тенденцию перекрываться в большинстве реализаций. Как описано в предыдущих ответах, VLAN является объектом уровня 2. Все хосты в данной VLAN могут взаимодействовать друг с другом, но никакие хосты в одной VLAN не могут связываться с хостами на другом без какой-либо формы маршрутизации или в редких случаях мостового соединения.
Многие респонденты сказали, что термины НЕ должны использоваться взаимозаменяемо. На самом деле, я думаю, что это вполне приемлемая и распространенная практика среди людей, которые действительно знают разницу между терминами IP в сетях Ethernet. На самом деле они в большинстве случаев должны быть синонимами (всегда есть исключения), поскольку оба определяют широковещательный домен, а ваши широковещательные домены L2 и L3 обычно должны быть идентичны.
VLAN разделяет сеть Ethernet на несколько логически отдельных сетей Ethernet.
Подсеть определяет, с какими хостами хост будет пытаться общаться напрямую с стихами, которые хосты должны будут проходить через маршрутизатор. Он также определяет «сетевые» и «широковещательные» адреса.
Обычной практикой является сопоставление 1: 1 между подсетями и VLAN, но вполне возможно иметь несколько подсетей в одной VLAN. Точно так же можно использовать proxy arp для разделения подсети между несколькими VLAN или даже иметь две VLAN, использующие одну подсеть IP для разных целей.
Они очень разные. Однако многие термины (мегабит, мегабайт, память, жесткий диск и т. Д.) Неправильно понимаются.
Часто у нас есть клиенты, которые просят нас переместить vlan с одного сайта на другой, когда на самом деле они хотят переместить подсеть.
Вы привыкаете к этому, хотя я пытаюсь исправить их (вежливо)
Другими словами, есть ли случаи для VLAN без подсети, и все еще иметь связь IP (L3)? [Также игнорируя, что все сети не являются подсетями при рассмотрении классных сетей, которые на самом деле являются просто префиксами CIDR в наши дни.]
некоторые протоколы маршрутизации могут находиться в одном домене L2 и поддерживать аналогичные протоколы Apple Talk или другие протоколы L3 / 4 не IP. Они должны быть в одном домене L2, но не в одной подсети IP, так как IP не требуется. В таком случае может оказаться целесообразным использовать VLANS без учета IP / каких-либо подсетей.
Разница между ними одна из важных. Сети VLAN, как правило, уникальны только локально, тогда как подсети, как правило, уникальны для всей организации.
По моему опыту, в наши дни они считаются одинаковыми, пока вы не используете протокол, отличный от IP, непосредственно поверх Ethernet.
В чем разница между VLAN и подсетью? [закрыто]
Я прочитал множество форумов и статей, касающихся VLAN и подсетей.
Тем не менее, я не понял функции каждого, кроме следующего:
Вопросов
Если у меня несколько подсетей, я предполагаю, что вам потребуется маршрутизатор для связи между каждой подсетью. Только устройства в каждой подсети будут находиться в локальном широковещательном домене для этой подсети. Это правильно?
Нужна ли подсеть для настройки VLAN?
Я знаю, что VLAN может существовать в подсети. Но я понимаю, что вам придется назначить IP-адрес этой подсети для VLAN. Как он может быть изолирован от остальной части подсети?
Когда бы вы создали VLAN? Особенно, если я могу сегментировать свою сеть, используя подсети?
Виртуальные локальные сети (VLAN) позволяют нам создавать разные логические и физические сети; тогда как IP-подсеть просто позволяет нам создавать логические сети через одну и ту же физическую сеть.
Был бы признателен в реальных примерах.
Если два компьютера будут общаться по протоколу TCP / IP, то должно быть выполнено одно из двух условий:
Отредактируйте, чтобы ответить на некоторые из ваших вопросов:
Концептуально VLAN эквивалентны коммутаторам. То, что входит в 1 порт VLAN, реплицируется («затопляется») на все другие порты, если VLAN не видела / не изучала MAC-адрес раньше, а затем направляется на этот порт. Нет никакого шлюза к собственно VLAN. «Шлюз» всегда означает IP-адрес маршрутизатора.
Чтобы VLAN 1 могла общаться с VLAN 2, интерфейс в VLAN 1 должен быть подключен к маршрутизатору, интерфейс в VLAN 2 должен быть подключен к маршрутизатору, и этот маршрутизатор должен быть настроен для пересылки трафика между этими подсетями. В нашем примере с 8 портами выше, если бы мы хотели направить трафик между этими VLAN, нам пришлось бы тратить 1 порт на каждую VLAN, подключенную к маршрутизатору. То же самое с выключателем.
Я уверен, что многие высококлассные коммутаторы / аппаратные средства имеют встроенный «маршрутизатор VLAN», где не нужно тратить дополнительный порт в каждой VLAN, подключая его к физическому маршрутизатору, если вы хотите маршрутизировать между VLAN в том же ключе. Это может быть, где IP VLAN или «шлюз» вступает в игру. (Я приглашаю тех, кто более осведомлен, чтобы редактировать это)
Когда компьютер получает свой IP через DHCP, он также обычно получает «шлюз по умолчанию» от того же DHCP-сервера. Кто-то должен правильно настроить DHCP-сервер. Протоколы маршрутизации, такие как RIP, IS-IS, OSPF и BGP, также могут добавлять маршруты. Конечно, у вас есть возможность добавлять маршруты вручную («статические» маршруты)
Если ваш коммутатор имеет последовательный порт или порт, помеченный как «консоль», он, вероятно, управляется и поддерживает VLAN.
В чем разница между VLAN и подсетью?
Я прочитал множество форумов и статей, касающихся VLAN и подсетей.
Тем не менее, я не понял функции каждого, кроме следующего:
Вопросы
Если у меня несколько подсетей, я предполагаю, что вам потребуется маршрутизатор для связи между каждой подсетью. Только устройства в каждой подсети будут находиться в локальном широковещательном домене для этой подсети. Это правильно?
Нужна ли подсеть для настройки VLAN?
Я знаю, что VLAN может существовать в подсети. Но я понимаю, что вам придется назначить IP-адрес этой подсети для VLAN. Как его можно изолировать от остальной части подсети?
Когда бы вы создали VLAN? Особенно, если я могу сегментировать свою сеть, используя подсети?
Виртуальные локальные сети (VLAN) позволяют нам создавать разные логические и физические сети; тогда как IP-подсеть просто позволяет нам создавать логические сети через одну и ту же физическую сеть.
Был бы признателен в реальных примерах.
5 ответов 5
Если два компьютера будут общаться по протоколу TCP/IP, то должно быть выполнено одно из двух условий:
Они должны принадлежать одной подсети. Это означает, что сетевой адрес должен быть одинаковым, а маска сети должна быть одинаковой или меньшей. Таким образом, компьютер с интерфейсом с IP-адресом 192.168.10.4/24 может без проблем общаться с компьютером с интерфейсом с IP-адресом 192.168.10.8/24 при условии, что они оба подключены к одному физическому коммутатору или VLAN. Если интерфейс второго компьютера, подключенного к тому же физическому коммутатору или VLAN, был 192.168.11.8/24, он игнорировал бы трафик (если интерфейс не был в случайном режиме).
Между обоими компьютерами должен существовать маршрутизатор, который может передавать трафик между подсетями. Компьютер A и компьютер B нуждаются в маршруте (или шлюзе по умолчанию) к этому маршрутизатору. Допустим, компьютер с интерфейсом с IP-адресом 192.168.10.4/24 хочет подключиться к компьютеру с интерфейсом с IP-адресом 192.168.20.4/24. Разные подсети, поэтому надо идти через роутер. Допустим, есть маршрутизатор с двумя интерфейсами (маршрутизаторы по определению имеют два интерфейса), один на 192.168.10.254/24 и 192.168.20.254/24. Если таблица маршрутизации или DHCP настроена правильно, и оба компьютера A и B могут получить доступ к интерфейсам маршрутизатора в своих соответствующих подсетях, то они могут косвенно общаться друг с другом через маршрутизатор.
Отредактируйте, чтобы ответить на некоторые ваши вопросы:
Концептуально VLAN эквивалентны коммутаторам. То, что входит в 1 порт VLAN, реплицируется («затопляется») на все другие порты, если только VLAN не видела / не изучала MAC-адрес раньше, а затем направляется на этот порт. Нет никакого шлюза к собственно VLAN. «Шлюз» всегда означает IP-адрес маршрутизатора.
Чтобы VLAN 1 мог общаться с VLAN 2, интерфейс в VLAN 1 должен быть подключен к маршрутизатору, интерфейс в VLAN 2 должен быть подключен к маршрутизатору, и этот маршрутизатор должен быть настроен для пересылки трафика между этими подсетями. В нашем примере с 8 портами выше, если бы мы хотели направить трафик между этими VLAN, нам пришлось бы тратить 1 порт на каждую VLAN, подключенную к маршрутизатору. То же самое с выключателем.
Я уверен, что многие высококлассные коммутаторы / аппаратные средства имеют встроенный «маршрутизатор VLAN», где не нужно тратить дополнительный порт в каждой VLAN, подключая его к физическому маршрутизатору, если вы хотите маршрутизировать между VLAN в том же ключе. Это может быть, где IP VLAN или «шлюз» вступает в игру. (Я приглашаю тех, кто более осведомлен, чтобы редактировать это)
Когда компьютер получает свой IP через DHCP, он также обычно получает «шлюз по умолчанию» от того же DHCP-сервера. Кто-то должен правильно настроить DHCP-сервер. Протоколы маршрутизации, такие как RIP, IS-IS, OSPF и BGP, также могут добавлять маршруты. Конечно, у вас есть возможность добавлять маршруты вручную («статические» маршруты)
Если ваш коммутатор имеет последовательный порт или порт, помеченный как «консоль», он, вероятно, управляется и поддерживает VLAN.
Зачем использовать vlan если можно использовать подсети
Я прочитал множество форумов и статей, касающихся VLAN и подсетей.
Тем не менее, я не понял функции каждого, кроме следующего:
Вопросы
Если у меня несколько подсетей, я предполагаю, что вам потребуется маршрутизатор для связи между каждой подсетью. Только устройства в каждой подсети будут находиться в локальном широковещательном домене для этой подсети. Это правильно?
Нужна ли подсеть для настройки VLAN?
Я знаю, что VLAN может существовать в подсети. Но я понимаю, что вам придется назначить IP-адрес этой подсети для VLAN. Как его можно изолировать от остальной части подсети?
Когда бы вы создали VLAN? Особенно, если я могу сегментировать свою сеть, используя подсети?
Виртуальные локальные сети (VLAN) позволяют нам создавать разные логические и физические сети; тогда как IP-подсеть просто позволяет нам создавать логические сети через одну и ту же физическую сеть.
Был бы признателен в реальных примерах.
Если два компьютера будут общаться по протоколу TCP / IP, то должно быть выполнено одно из двух условий:
Они должны принадлежать одной подсети. Это означает, что сетевой адрес должен быть одинаковым, а маска сети должна быть одинаковой или меньшей. Таким образом, компьютер с интерфейсом с IP-адресом 192.168.10.4/24 может без проблем общаться с компьютером с интерфейсом с IP-адресом 192.168.10.8/24 при условии, что они оба подключены к одному физическому коммутатору или VLAN. Если интерфейс второго компьютера, подключенного к тому же физическому коммутатору или VLAN, был 192.168.11.8/24, он игнорировал бы трафик (если интерфейс не был в случайном режиме).
Между обоими компьютерами должен существовать маршрутизатор, который может передавать трафик между подсетями. Компьютер A и компьютер B нуждаются в маршруте (или шлюзе по умолчанию) к этому маршрутизатору. Допустим, компьютер с интерфейсом с IP-адресом 192.168.10.4/24 хочет подключиться к компьютеру с интерфейсом с IP-адресом 192.168.20.4/24. Разные подсети, поэтому надо идти через роутер. Допустим, есть маршрутизатор с двумя интерфейсами (маршрутизаторы по определению имеют два интерфейса), один на 192.168.10.254/24 и 192.168.20.254/24. Если таблица маршрутизации или DHCP настроена правильно, и оба компьютера A и B могут получить доступ к интерфейсам маршрутизатора в своих соответствующих подсетях, то они могут косвенно общаться друг с другом через маршрутизатор.
Отредактируйте, чтобы ответить на некоторые ваши вопросы:
Концептуально VLAN эквивалентны коммутаторам. То, что входит в 1 порт VLAN, реплицируется («затопляется») на все другие порты, если только VLAN не видела / не изучала MAC-адрес раньше, а затем направляется на этот порт. Нет никакого шлюза к собственно VLAN. «Шлюз» всегда означает IP-адрес маршрутизатора.
Чтобы VLAN 1 мог общаться с VLAN 2, интерфейс в VLAN 1 должен быть подключен к маршрутизатору, интерфейс в VLAN 2 должен быть подключен к маршрутизатору, и этот маршрутизатор должен быть настроен для пересылки трафика между этими подсетями. В нашем примере с 8 портами выше, если бы мы хотели направить трафик между этими VLAN, нам пришлось бы тратить 1 порт на каждую VLAN, подключенную к маршрутизатору. То же самое с выключателем.
Я уверен, что многие высококлассные коммутаторы / аппаратные средства имеют встроенный «маршрутизатор VLAN», где не нужно тратить дополнительный порт в каждой VLAN, подключая его к физическому маршрутизатору, если вы хотите маршрутизировать между VLAN в том же ключе. Это может быть, где IP VLAN или «шлюз» вступает в игру. (Я приглашаю тех, кто более осведомлен, чтобы редактировать это)
Когда компьютер получает свой IP через DHCP, он также обычно получает «шлюз по умолчанию» от того же DHCP-сервера. Кто-то должен правильно настроить DHCP-сервер. Протоколы маршрутизации, такие как RIP, IS-IS, OSPF и BGP, также могут добавлять маршруты. Конечно, у вас есть возможность добавлять маршруты вручную («статические» маршруты)
Если ваш коммутатор имеет последовательный порт или порт, помеченный как «консоль», он, вероятно, управляется и поддерживает VLAN.