Jaka jest różnica między VLAN-em a podsiecią?

Subnet - jest to zakres adresów IP określony przez część adresu (często nazywanego adresem sieciowym) i maskę podsieci (netmask). Na przykład, jeżeli maska sieci to 255.255.255.0 (lub w skrócie /24), a adres sieci to 192.168.10.0, to jest to zakres adresów IP od 192.168.10.0 do 192.168.10.255. Skrót do zapisu to 192.168.10.0/24.

VLAN - Dobrym sposobem na to jest “switch partitioning”. Powiedzmy, że masz 8-portowy przełącznik, który jest kompatybilny z VLAN-em. Możesz przypisać 4 porty do jednej sieci VLAN (np. VLAN 1) i 4 porty do innej sieci VLAN (np. VLAN 2). VLAN 1 nie będzie widział żadnego ruchu VLAN 2 i na odwrót, logicznie rzecz biorąc, masz teraz dwa oddzielne switche. Normalnie na przełączniku, jeśli nie widział on adresu MAC to “zaleje” ruch na wszystkie inne porty. Sieci VLAN zapobiegają temu.

Jeśli dwa komputery będą rozmawiać przy użyciu TCP/IP, to jeden z dwóch warunków musi być spełniony:

• muszą należeć do tej samej podsieci. Oznacza to, że adres sieciowy musi być taki sam, a maska sieciowa musi być taka sama lub mniejsza. Tak więc, komputer z interfejsem o adresie IP 192.168.10.4/24 może rozmawiać z komputerem z interfejsem o adresie IP 192.168.10.8/24 bez problemów, pod warunkiem, że oba są podłączone do tego samego fizycznego switcha lub sieci VLAN. Jeśli drugi komputer z interfejsem podłączonym do tego samego fizycznego switcha lub VLAN to 192.168.11.8/24, zignoruje on ruch (chyba że interfejs jest w trybie promiscuous).

• Router musi istnieć pomiędzy oboma komputerami, które mogą przesyłać ruch pomiędzy podsieciami. Komputer A i komputer B potrzebują trasy (lub domyślnej bramki) do tego routera. Powiedzmy, że komputer z interfejsem o adresie IP z 192.168.10.4/24 chce rozmawiać z komputerem z interfejsem o adresie IP z 192.168.20.4/24. Różne podsieci, więc musimy przejść przez router. Powiedzmy, że jest router z dwoma interfejsami (routery z definicji mają dwa interfejsy), jeden na 192.168.10.254/24 i 192.168.20.254/24. Jeśli tablica tras lub DHCP jest poprawnie skonfigurowana i oba komputery A i B mogą dotrzeć do interfejsów routera w swoich podsieciach, to mogą one rozmawiać ze sobą pośrednio przez router.

Zmuszanie ruchu do przejścia przez router, nawet jeśli nie jest to potrzebne, jak w naszym 8-portowym switchu powyżej, ma zalety związane z bezpieczeństwem i wydajnością - daje możliwość filtrowania ruchu, możliwość optymalnego kierowania ruchu na podstawie typu, a routery nie przekazują ruchu transmisyjnego (chyba że są nietypowo skonfigurowane). VLAN-y są czasami używane jako “hack” do zarządzania przepływem/widocznością ruchu transmisyjnego IPv4.

Edycja, aby odpowiedzieć na niektóre pytania:

• Koncepcyjnie VLAN-y są odpowiednikiem przełączników. To co przychodzi w 1 porcie VLAN-a jest replikowane (“zalewane”) na wszystkie inne porty, chyba że VLAN widział/uczył się wcześniej adresu MAC, wtedy jest kierowane na ten port. Nie ma żadnej bramy do właściwego VLAN-a. Brama" zawsze oznacza adres IP routera.

• Aby VLAN 1 mógł rozmawiać z VLAN-em 2, interfejs w VLAN-ie 1 musi być podłączony do routera, interfejs w VLAN-ie 2 musi być podłączony do routera, a router musi być skonfigurowany do przekazywania ruchu pomiędzy tymi podsieciami. W powyższym przykładzie 8 portów, jeśli chcielibyśmy przekierować ruch pomiędzy tymi VLAN-ami, musielibyśmy wydać 1 port na każdy VLAN łączący się z routerem. Tak samo jest z przełącznikiem.

Jestem pewien, że wiele wysokiej klasy przełączników/sprzętu hardware'owego ma wbudowany “router VLAN”, gdzie spędzenie dodatkowego portu w każdym VLAN'ie łączącym go z fizycznym routerem naprawdę nie jest konieczne, jeśli chcemy kierować ruch pomiędzy VLAN'ami w tym samym przełączniku. W tym przypadku może się zdarzyć, że w grę wchodzi adres IP VLAN lub “gateway”. (Zapraszam osoby bardziej kompetentne do edycji)

• Kiedy komputer otrzymuje swoje IP przez DHCP, zazwyczaj otrzymuje również “bramę domyślną” z tego samego serwera DHCP. Ktoś musi prawidłowo skonfigurować serwer DHCP. Protokoły routingu takie jak RIP, IS-IS, OSPF i BGP mogą również dodawać trasy. Oczywiście masz możliwość dodawania tras ręcznie (“statyczne” trasy)

• Jeśli Twój przełącznik ma port szeregowy lub port oznaczony jako “konsola” to prawdopodobnie jest zarządzany i obsługuje VLAN-y.

Pozostałe wyjaśnienia były dla mnie skomplikowane.

• VLAN pozwala oznaczyć wszystkie pakiety sieciowe za pomocą magicznego numeru (np. 3 ).

• Tylko inne karty sieciowe ustawione na 3 będą widziały te pakiety

Ustaw kilka komputerów na VLAN 3 i będą one w swoim małym odizolowanym świecie, nie będą widziały żadnego innego ruchu.

Nagle możesz mieć wiele LANs działających na tych samych przewodach (np. virtual LANs). Możesz mieć nawet dwa komputery o tym samym adresie IP, ponieważ mają one różne znaczniki VLAN (np. 3 verses7)

• *

Ustawienie identyfikatora VLAN odbywa się poprzez konfigurację sterownika karty sieciowej:

Twój przebieg będzie się różnił w zależności od karty sieciowej i jej sterowników.

Uproszczonym wyjaśnieniem jest to, że VLAN-y istnieją po to, aby umożliwić różnym podsieciom współdzielenie fizycznego okablowania, portów i przełączania. Możesz mieć różne podsieci w swojej sieci bez vlanów, ale musiałbyś mieć inny zestaw przewodów dla każdej z nich.

1.Jeśli mam wiele podsieci zakładam, że potrzebny będzie router do komunikacji między każdą podsiecią.

Tak, potrzebny będzie router do przenoszenia pakietów między podsieciami.

Tylko urządzenia w każdej podsieci będą w domenie lokalnej transmisji dla tej podsieci. Czy to prawda?

Tak, podsieć jest domeną rozgłaszania.

2.Czy potrzebuję podsieci, aby skonfigurować VLAN?

Tak.

3.Wiem, że VLAN może istnieć w podsieci, ale rozumiem, że trzeba by przypisać VLAN adres IP tej podsieci.

Nie, jak rozumiem, VLAN-y są definiowane w przełącznikach i izolują ruch każdej z nich.

Jak można je odizolować od reszty podsieci?

VLAN _ jest podsiecią.

4.Kiedy można skonfigurować VLAN-y, zwłaszcza jeśli można podzielić sieć na podsieci?

Kiedy trzeba rozdzielić ruch na dwie lub więcej grup bez rozdzielania fizycznej infrastruktury (głównie przełączników) na dwie lub więcej grup fizycznych.

5.Wciąż spotykam się z punktem, w którym wirtualne sieci lokalne (VLAN) pozwalają nam tworzyć różne sieci logiczne i fizyczne, podczas gdy podsieci IP pozwalają nam po prostu tworzyć sieci logiczne przez tę samą sieć fizyczną. Nie jestem jednak pewien, co to dokładnie oznacza, gdy odczytuje on tę samą fizyczną sieć.

Fizyczna sieć LAN składa się głównie z przełączników i kabli ułożonych (w przypadku Ethernet) w jedną strukturę drzewiastą.

Zwykle sieć LAN jest jedną podsiecią. Organizacja może mieć kilka sieci LAN połączonych przez routery.

Jedna fizyczna sieć LAN może być podzielona na kilka logicznych sieci LAN (VLAN) przy użyciu wsparcia VLAN w przełącznikach. Każdy VLAN ma wtedy osobną podsieć. W związku z tym router jest potrzebny do przenoszenia pakietów pomiędzy logicznymi sieciami LAN (VLAN).

• *

Update: kilka odpowiedzi na pytania w komentarzach.

if I wanted devices on 2 separate VLANs to communicate that a router is not needed as I can use trunking.

Here’s some quotes from http://www.formortals. com/an-introduction-to-vlan-trunking/

“VLAN trunking pozwala pojedynczej karcie sieciowej zachowywać się jak "n” liczba wirtualnych kart sieciowych, gdzie “n” ma teoretyczną górną granicę 4096, ale jest zazwyczaj ograniczony do 1000 segmentów sieci VLAN.“

”Rutery mogą stać się nieskończenie bardziej użyteczne, gdy są trankingowane do infrastruktury przełączników przedsiębiorstwa. Po upchnięciu, stają się one wszechobecne i mogą świadczyć usługi routingu do każdej podsieci w dowolnym rogu sieci korporacyjnej.“

Więc nadal potrzebujesz routera, ale z trunkingu VLAN, może to być router jednoręki (router na pendrive). Przełączniki wysokiej klasy posiadają możliwości routingu, więc może nie być potrzebny oddzielny router, ponieważ przełącznik wysokiej klasy jest również routerem warstwy 3.

Kiedy mówisz, że potrzebuję podsieci, aby skonfigurować VLAN, co dokładnie masz na myśli?

VLANy są koncepcją warstwy 2. Tak jak przełączniki Ethernet są urządzeniami warstwy 2. VLAN-y mogą wykonać kilka przełączników, które w przeciwnym razie będą potrzebowały pół tuzina przełączników w odizolowanych grupach. Jednak węzły (komputery, drukarki itp.) zazwyczaj używają adresowania warstwy 3 (IP).

Aby węzły w jednej sieci VLAN (N dla sieci) mogły komunikować się z węzłami w innej sieci VLAN (N dla sieci), potrzebny jest protokół sieciowy (innymi słowy IP). W IP do przenoszenia pakietów pomiędzy sieciami potrzebujemy, aby każda sieć miała inny adres sieciowy warstwy 3.

W tym miejscu pojawia się podsieć - dzielenie zakresu adresów sieci warstwy 3 na podsieci za pomocą masek podsieci. Następnie można użyć routera, aby umożliwić komunikację urządzeń w jednej podsieci (w jednej sieci VLAN) z urządzeniami w innej podsieci (w innej sieci VLAN).

1.Jeśli mam wiele podsieci zakładam, że do komunikacji pomiędzy każdą z nich potrzebny jest router. Tylko urządzenia w każdej podsieci znajdowałyby się w lokalnej domenie nadawczej dla tej podsieci. Czy to prawda?

Sieci IP (podsieci) to koncepcja warstwy 3. Jeśli dwa komputery PC są podłączone do tego samego przełącznika L2 bez VLAN, to będą one w tej samej domenie rozgłaszania L2, ale nie w domenie rozgłaszania L3.

2.Czy potrzebuję podsieci, aby skonfigurować VLAN?

Nie. Jeśli jednak chcesz, aby urządzenia w VLAN'ie komunikowały się ze sobą, to prawdopodobnie będą potrzebowały jakiegoś protokołu L3.

3.Wiem, że VLAN może istnieć w podsieci, ale rozumiem, że trzeba by przypisać VLAN'owi adres IP tej podsieci. Jak można go odizolować od reszty podsieci?

Nie wiem, o co pytasz.

4.Kiedy można skonfigurować VLAN, zwłaszcza jeśli mogę podzielić sieć na podsieci?

VLAN-y są po prostu sposobem na to, aby urządzenie L2 wyglądało na wiele urządzeń L2.

1. Wciąż spotykam się z tym, że wirtualne sieci lokalne (VLAN) pozwalają nam na tworzenie różnych sieci logicznych i fizycznych, podczas gdy podsieci IP pozwalają nam po prostu na tworzenie sieci logicznych przez tę samą sieć fizyczną. nie jestem jednak pewien, co to dokładnie oznacza, gdy odczytuje on tę samą sieć fizyczną.