В чем разница между VLAN и подсетью?

Question

Я прочитал множество форумов и статей, касающихся VLAN и подсетей.
Тем не менее, я не понял функции каждого, кроме следующего:

1. Подсети позволяют сегментировать сеть
2. VLAN являются изолированной частью сети

Вопросы

1. Если у меня несколько подсетей, я предполагаю, что вам потребуется маршрутизатор для связи между каждой подсетью. Только устройства в каждой подсети будут находиться в локальном широковещательном домене для этой подсети. Это правильно?

2. Нужна ли подсеть для настройки VLAN?

3. Я знаю, что VLAN может существовать в подсети. Но я понимаю, что вам придется назначить IP-адрес этой подсети для VLAN. Как его можно изолировать от остальной части подсети?

4. Когда бы вы создали VLAN? Особенно, если я могу сегментировать свою сеть, используя подсети?

5. Я продолжаю сталкиваться со следующим пунктом. Однако я не уверен, что именно это означает, когда он читает same physical network .

   Виртуальные локальные сети (VLAN) позволяют нам создавать разные логические и физические сети; тогда как IP-подсеть просто позволяет нам создавать логические сети через одну и ту же физическую сеть.

Был бы признателен в реальных примерах.

Answer 1

Подсеть - это диапазон IP-адресов, определяемый частью адреса (часто называемого сетевым адресом) и маской подсети (маской сети). Например, если маска сети равна 255.255.255.0 (или /24 для краткости), а сетевой адрес - 192.168.10.0, то это определяет диапазон IP-адресов с 192.168.10.0 по 192.168.10.255. Сокращение для записи 192.168.10.0/24.

VLAN. Хороший способ думать об этом - это "разделение коммутатора". Допустим, у вас есть 8-портовый коммутатор с поддержкой VLAN. Вы можете назначить 4 порта для одной VLAN (скажем, VLAN 1) и 4 порта для другой VLAN (скажем, VLAN 2). VLAN 1 не будет видеть трафик VLAN 2, и, наоборот, логически у вас теперь есть два отдельных коммутатора. Обычно на коммутаторе, если коммутатор не видел MAC-адрес, он "затопит" трафик ко всем другим портам. VLAN предотвращают это.

Если два компьютера будут общаться по протоколу TCP/IP, то должно быть выполнено одно из двух условий:

• Они должны принадлежать одной подсети. Это означает, что сетевой адрес должен быть одинаковым, а маска сети должна быть одинаковой или меньшей. Таким образом, компьютер с интерфейсом с IP-адресом 192.168.10.4/24 может без проблем общаться с компьютером с интерфейсом с IP-адресом 192.168.10.8/24 при условии, что они оба подключены к одному физическому коммутатору или VLAN. Если интерфейс второго компьютера, подключенного к тому же физическому коммутатору или VLAN, был 192.168.11.8/24, он игнорировал бы трафик (если интерфейс не был в случайном режиме).

• Между обоими компьютерами должен существовать маршрутизатор, который может передавать трафик между подсетями. Компьютер A и компьютер B нуждаются в маршруте (или шлюзе по умолчанию) к этому маршрутизатору. Допустим, компьютер с интерфейсом с IP-адресом 192.168.10.4/24 хочет подключиться к компьютеру с интерфейсом с IP-адресом 192.168.20.4/24. Разные подсети, поэтому надо идти через роутер. Допустим, есть маршрутизатор с двумя интерфейсами (маршрутизаторы по определению имеют два интерфейса), один на 192.168.10.254/24 и 192.168.20.254/24. Если таблица маршрутизации или DHCP настроена правильно, и оба компьютера A и B могут получить доступ к интерфейсам маршрутизатора в своих соответствующих подсетях, то они могут косвенно общаться друг с другом через маршрутизатор.

Принудительная передача трафика через маршрутизатор, даже если он не нужен, как, например, на нашем 8-портовом коммутаторе, имеет преимущества в плане безопасности и производительности - это дает вам возможность фильтровать трафик, возможность оптимально маршрутизировать трафик в зависимости от типа и маршрутизаторов. не пересылать широковещательный трафик (если не настроен необычно). Сети VLAN иногда используются как "взлом" для управления потоками / видимостью широковещательного трафика IPv4.

Отредактируйте, чтобы ответить на некоторые ваши вопросы:

• Концептуально VLAN эквивалентны коммутаторам. То, что входит в 1 порт VLAN, реплицируется ("затопляется") на все другие порты, если только VLAN не видела / не изучала MAC-адрес раньше, а затем направляется на этот порт. Нет никакого шлюза к собственно VLAN. "Шлюз" всегда означает IP-адрес маршрутизатора.

• Чтобы VLAN 1 мог общаться с VLAN 2, интерфейс в VLAN 1 должен быть подключен к маршрутизатору, интерфейс в VLAN 2 должен быть подключен к маршрутизатору, и этот маршрутизатор должен быть настроен для пересылки трафика между этими подсетями. В нашем примере с 8 портами выше, если бы мы хотели направить трафик между этими VLAN, нам пришлось бы тратить 1 порт на каждую VLAN, подключенную к маршрутизатору. То же самое с выключателем.

Я уверен, что многие высококлассные коммутаторы / аппаратные средства имеют встроенный "маршрутизатор VLAN", где не нужно тратить дополнительный порт в каждой VLAN, подключая его к физическому маршрутизатору, если вы хотите маршрутизировать между VLAN в том же ключе. Это может быть, где IP VLAN или "шлюз" вступает в игру. (Я приглашаю тех, кто более осведомлен, чтобы редактировать это)

• Когда компьютер получает свой IP через DHCP, он также обычно получает "шлюз по умолчанию" от того же DHCP-сервера. Кто-то должен правильно настроить DHCP-сервер. Протоколы маршрутизации, такие как RIP, IS-IS, OSPF и BGP, также могут добавлять маршруты. Конечно, у вас есть возможность добавлять маршруты вручную ("статические" маршруты)

• Если ваш коммутатор имеет последовательный порт или порт, помеченный как "консоль", он, вероятно, управляется и поддерживает VLAN.

Answer 2

Я нашел другие объяснения сложными.

• VLAN позволяет пометить все сетевые пакеты магическим числом (например, 3).
• Только другие сетевые карты, установленные на 3 , увидят эти пакеты

Установите группу компьютеров на VLAN 3 и они окажутся в своем маленьком изолированном мире; они не увидят никакого другого трафика.

Внезапно вы можете иметь несколько локальных сетей, работающих по одним и тем же проводам (то есть виртуальные локальные сети). Вы даже можете иметь два компьютера с одинаковым IP, так как они имеют разные теги VLAN (например, 3 стиха 7)

---

Установка идентификатора VLAN осуществляется путем настройки драйвера сетевой карты:

Ваш пробег будет зависеть от вашей сетевой карты и ее драйверов.

Answer 3

Упрощенное объяснение состоит в том, что существуют сети VLAN, позволяющие различным подсетям совместно использовать физические кабели, порты и коммутацию. Вы могли бы иметь различные подсети в вашей сети без vlans, но вам нужно было бы иметь разные наборы проводов для каждого.

Answer 4

1.Если у меня несколько подсетей, я предполагаю, что вам потребуется маршрутизатор для связи между каждой подсетью.

Да, вам нужен маршрутизатор для перемещения пакетов между подсетями.

Только устройства в каждой подсети будут находиться в локальном широковещательном домене для этой подсети. Это правильно?

Да, подсеть - это широковещательный домен.

2.Нужна ли подсеть для настройки VLAN?

Да.

3.Я знаю, что VLAN может существовать в подсети, но я понимаю, что вам придется назначить VLAN IP-адрес этой подсети.

Нет, насколько я понимаю, VLAN определены в коммутаторах и изолируют трафик каждой VLAN.

Как его можно изолировать от остальной части подсети?

VLAN - это подсеть.

4.Когда вы настроите VLAN, особенно если я смогу сегментировать свою сеть, используя подсети?

Когда вам нужно разделить трафик на две или более групп, не разделяя физическую инфраструктуру (главным образом, коммутаторы) на две или более физических групп.

5.Я продолжаю сталкиваться с тем, что Виртуальные локальные сети (VLAN) позволяют нам создавать разные логические и физические сети; тогда как IP-подсеть просто позволяет нам создавать логические сети через одну и ту же физическую сеть. однако я не уверен, что именно это означает, когда он читает ту же физическую сеть.

Физическая ЛВС состоит в основном из коммутаторов и кабелей, расположенных (в случае Ethernet) в единую древовидную структуру.

Обычно ЛВС представляет собой одну подсеть. В организации может быть несколько локальных сетей, связанных маршрутизаторами.

Одна физическая ЛВС может быть разделена на несколько логических ЛВС (VLAN) с использованием поддержки VLAN в коммутаторах. Каждая VLAN имеет отдельную подсеть. Поэтому для перемещения пакетов между логическими локальными сетями (VLAN) необходим маршрутизатор.

---

Обновление: некоторые ответы на вопросы в комментариях.

если бы я хотел, чтобы устройства в 2 отдельных VLAN сообщали, что маршрутизатор не нужен, поскольку я могу использовать транкинг.

Вот некоторые цитаты из http://www.formortals.com/an-introduction-to-vlan-trunking/

« Транкинг VLAN позволяет одному сетевому адаптеру вести себя как« n »количество виртуальных сетевых адаптеров, где« n »имеет теоретический верхний предел 4096, но обычно ограничен 1000 сегментами VLAN сети ».

« Маршрутизаторы могут стать бесконечно более полезными, когда они подключены к инфраструктуре коммутатора предприятия.После транкинга они становятся вездесущими и могут предоставлять услуги маршрутизации в любую подсеть в любом углу корпоративной сети. "

Таким образом, вам все еще нужен маршрутизатор, но при использовании транкинга VLAN это может быть однорукий маршрутизатор (маршрутизатор на флешке). Коммутаторы верхнего уровня включают возможности маршрутизации, поэтому вам может не потребоваться отдельный маршрутизатор, поскольку ваш высокопроизводительный коммутатор также является маршрутизатором уровня 3.

Когда вы говорите, что мне нужна подсеть для настройки VLAN, что именно вы имеете в виду?

VLAN являются концепцией уровня 2. Так же, как Ethernet-коммутаторы являются устройством уровня 2. Сети VLAN могут заставить несколько коммутаторов выполнять работу, в которой вам может понадобиться полдюжины коммутаторов в изолированных группах. Однако ваши узлы (компьютеры, принтеры и т.д.) Обычно используют адресацию 3-го уровня (IP).

Чтобы узлы в одной VLAN (N для сети) могли обмениваться данными с узлами в другой VLAN (N для сети), вам необходим межсетевой протокол (другими словами, IP). В IP для перемещения пакетов между сетями нам нужно, чтобы каждая сеть имела свой сетевой адрес уровня 3.

Вот тут и возникает подсеть - деление выделенного диапазона сетевых адресов уровня 3 организации на подсети с использованием масок подсетей. Затем вы можете использовать маршрутизатор, чтобы устройства в одной подсети (в одной VLAN) могли обмениваться данными с устройствами в другой подсети (в другой VLAN).

Answer 5

1.Если у меня несколько подсетей, я предполагаю, что вам потребуется маршрутизатор для связи между каждой подсетью. Только устройства в каждой подсети будут находиться в локальном широковещательном домене для этой подсети. Это правильно?

IP-сети (подсети) являются концепцией уровня 3. Если два компьютера подключены к одному и тому же коммутатору L2 без VLAN, они будут находиться в одном и том же широковещательном домене L2, но не в широковещательном домене L3.

2.Нужна ли подсеть для настройки VLAN?

Нет. Однако, если вы хотите, чтобы устройства в VLAN взаимодействовали друг с другом, им, вероятно, понадобится некоторый протокол L3.

3.Я знаю, что VLAN может существовать в подсети, но я понимаю, что вам придется назначить VLAN IP-адрес этой подсети. Как его можно изолировать от остальной части подсети?

Не понятно, о чем вы спрашиваете.

4.Когда вы настроите VLAN, особенно если я смогу сегментировать свою сеть, используя подсети?

VLAN - это просто способ сделать устройство L2 похожим на несколько устройств L2.

5.Я продолжаю сталкиваться с тем, что Виртуальные локальные сети (VLAN) позволяют нам создавать разные логические и физические сети; тогда как IP-подсеть просто позволяет нам создавать логические сети через одну и ту же физическую сеть. однако я не уверен, что именно это означает, когда он читает ту же физическую сеть.