Jakie są podstawowe przypadki użycia dla sieci VLAN?
Jakie są podstawowe zasady projektowania?
Szukam czegoś w stylu odpowiedzi na dwa akapity w stylu streszczenia, aby określić, czy muszę się dowiedzieć o sieciach VLAN, aby je zaimplementować.
Jakie są podstawowe przypadki użycia dla sieci VLAN?
Jakie są podstawowe zasady projektowania?
Szukam czegoś w stylu odpowiedzi na dwa akapity w stylu streszczenia, aby określić, czy muszę się dowiedzieć o sieciach VLAN, aby je zaimplementować.
Odpowiedzi:
VLAN (wirtualna sieć LAN) to sposób tworzenia wielu wirtualnych przełączników wewnątrz jednego przełącznika fizycznego. Na przykład porty skonfigurowane do korzystania z VLAN 10 działają tak, jakby były podłączone do dokładnie tego samego przełącznika. Porty w sieci VLAN 20 nie mogą bezpośrednio komunikować się z portami w sieci VLAN 10. Muszą być trasowane między nimi (lub mieć łącze, które łączy dwa sieci VLAN).
Istnieje wiele powodów, aby wdrożyć sieci VLAN. Zazwyczaj najmniejszym z tych powodów jest rozmiar sieci. Wypiszę listę kilku powodów, a następnie każdą z nich otwieram.
Bezpieczeństwo: bezpieczeństwa nie można osiągnąć przez utworzenie sieci VLAN; sposób połączenia VLAN z innymi podsieciami może jednak umożliwić filtrowanie / blokowanie dostępu do tej podsieci. Na przykład, jeśli masz budynek biurowy, który ma 50 komputerów i 5 serwerów, możesz utworzyć VLAN dla serwera i VLAN dla komputerów. Aby komputery mogły komunikować się z serwerami, możesz użyć zapory ogniowej do kierowania i filtrowania tego ruchu. Pozwoliłoby to na zastosowanie IPS / IDS, ACL, itp. do połączenia między serwerami a komputerami.
Wykorzystanie linku: (Edytuj) Nie mogę uwierzyć, że pominąłem to po raz pierwszy. Chyba pierdnięcie mózgu. Wykorzystanie łącza jest kolejnym ważnym powodem korzystania z sieci VLAN. Drzewo opinające według funkcji buduje pojedynczą ścieżkę przez sieć warstwy 2, aby zapobiec pętlom (Oh, my!). Jeśli masz wiele redundantnych linków do swoich urządzeń agregujących, niektóre z nich nie będą używane. Aby obejść ten problem, możesz zbudować wiele topologii STP z różnymi sieciami VLAN. Odbywa się to za pomocą zastrzeżonego rozwiązania Cisco PVST, RPVST lub MST opartego na standardach. Dzięki temu możesz mieć wiele typologii STP, z którymi możesz grać, aby wykorzystać wcześniej nieużywane linki. Na przykład, gdybym miał 50 komputerów stacjonarnych, mógłbym umieścić 25 z nich w sieci VLAN 10, a 25 z nich w sieci VLAN 20. Mógłbym wtedy, aby sieć VLAN 10 zajęła „lewą” stronę sieci, a pozostałe 25 w sieci VLAN 20 zajęłoby „prawa” strona sieci.
Rozdział usług: ten jest dość prosty. Jeśli masz kamery bezpieczeństwa IP, telefony IP i komputery stacjonarne, wszystkie podłączone do tego samego przełącznika, może być łatwiej rozdzielić te usługi na ich własne podsieci. Pozwoliłoby to również zastosować oznaczenia QOS do tych usług opartych na sieci VLAN zamiast niektórych usług wyższych warstw (np. NBAR). Można również zastosować listy ACL na urządzeniu wykonującym routing L3, aby zapobiec niepożądanej komunikacji między sieciami VLAN. Na przykład mogę uniemożliwić komputerom stacjonarnym bezpośredni dostęp do telefonów / kamer bezpieczeństwa.
Izolacja usługi: jeśli masz parę przełączników TOR w pojedynczej szafie z kilkoma hostami VMWare i siecią SAN, możesz utworzyć sieć VSCAN iSCSI, która nie będzie obsługiwana. Umożliwiłoby to posiadanie całkowicie izolowanej sieci iSCSI, aby żadne inne urządzenie nie mogło uzyskać dostępu do sieci SAN ani zakłócać komunikacji między hostami a siecią SAN. To po prostu jeden przykład izolacji usługi.
Rozmiar podsieci: Jak wspomniano wcześniej, jeśli pojedyncza witryna staje się zbyt duża, można ją podzielić na różne sieci VLAN, co zmniejszy liczbę hostów, które widzą potrzebę przetworzenia każdej emisji.
Z pewnością istnieją inne sposoby wykorzystania sieci VLAN (mogę myśleć o kilku, których używam konkretnie jako dostawcy usług internetowych), ale uważam, że są one najbardziej powszechne i powinny dać ci dobry pomysł, w jaki sposób / dlaczego ich używamy. Istnieją również prywatne sieci VLAN, które mają określone przypadki użycia i warto je tutaj wymienić.
Ponieważ sieci stają się coraz większe, problemem staje się skalowalność. Aby się komunikować, każde urządzenie musi wysyłać transmisje, które są wysyłane do wszystkich urządzeń w domenie emisji. W miarę dodawania kolejnych urządzeń do domeny emisji, coraz więcej transmisji zaczyna nasycać sieć. W tym momencie wkrada się wiele problemów, w tym nasycenie przepustowości ruchem rozgłoszeniowym, zwiększone przetwarzanie na każdym urządzeniu (użycie procesora), a nawet problemy z bezpieczeństwem. Podział tej dużej domeny rozgłoszeniowej na mniejsze domeny rozgłoszeniowe staje się coraz bardziej potrzebny.
Wprowadź sieci VLAN.
VLAN, czyli wirtualna sieć LAN, tworzy osobne domeny rozgłoszeniowe wirtualnie, eliminując potrzebę tworzenia całkowicie oddzielnych sprzętowych sieci LAN, aby rozwiązać problem dużej domeny rozgłoszeniowej. Zamiast tego przełącznik może zawierać wiele sieci VLAN, z których każda działa jako osobna, autonomiczna domena rozgłoszeniowa. W rzeczywistości dwie sieci VLAN nie mogą komunikować się ze sobą bez interwencji urządzenia warstwy 3, takiego jak router, na tym właśnie polega przełączanie warstwy 3.
Podsumowując, sieci VLAN, na najbardziej podstawowym poziomie, dzielą duże domeny rozgłoszeniowe na mniejsze, łatwiejsze do zarządzania domeny rozgłoszeniowe, aby zwiększyć skalowalność w stale rosnącej sieci.
Sieci VLAN to sieci logiczne utworzone w sieci fizycznej. Ich głównym zastosowaniem jest izolacja, często jako sposób na zmniejszenie rozmiaru domeny rozgłoszeniowej w sieci, ale można ich użyć do wielu innych celów.
Są narzędziem, które każdy inżynier sieci powinien znać i jak każde narzędzie, mogą być używane niepoprawnie i / lub w niewłaściwych momentach. Żadne pojedyncze narzędzie nie jest właściwe we wszystkich sieciach i we wszystkich sytuacjach, więc im więcej narzędzi możesz użyć, tym lepiej możesz pracować w większej liczbie środowisk. Wiedza na temat sieci VLAN pozwala na korzystanie z nich, gdy są potrzebne, i korzystanie z nich poprawnie, gdy jest to potrzebne.
Jednym z przykładów tego, jak można je wykorzystać, obecnie pracuję w środowiskach, w których urządzenia SCADA (kontrola nadzorcza i gromadzenie danych) są szeroko stosowane. Urządzenia SCADA są zazwyczaj dość proste i mają długą historię tworzenia oprogramowania mniej niż gwiazd, często zapewniając poważne luki w zabezpieczeniach.
Ustawiliśmy urządzenia SCADA w osobnej sieci VLAN bez bramy L3. Jedyny dostęp do ich sieci logicznej to serwer, z którym się komunikują (który ma dwa interfejsy, jeden w SCADA VLAN), który można zabezpieczyć za pomocą własnego bezpieczeństwa opartego na hoście, co jest niemożliwe na urządzeniach SCADA. Urządzenia SCADA są odizolowane od reszty sieci, nawet gdy są podłączone do tych samych urządzeń fizycznych, więc każda luka jest zmniejszona.
Jeśli chodzi o zasady projektowania, najczęstszym zastosowaniem jest dostosowanie sieci VLAN do struktury organizacyjnej, tj. Inżynierowie w jednej sieci VLAN, marketing w innej, telefony IP w innej itp. Inne projekty obejmują wykorzystanie sieci VLAN jako „transportu” oddzielnej sieci działa na jednym (lub więcej) rdzeniach. Zakończenie VLAN warstwy 3 („SVI” w języku Cisco, „VE” w Brocade itp.) Jest również możliwe na niektórych urządzeniach, co eliminuje potrzebę oddzielnego sprzętu do komunikacji między sieciami VLAN, jeśli ma to zastosowanie.
Sieci VLAN stają się kłopotliwe w zarządzaniu i utrzymywaniu na dużą skalę, ponieważ prawdopodobnie już widziałeś przypadki NESE. W dziedzinie usługodawcy istnieją PB (mostkowanie dostawcy - powszechnie znane jako „QinQ”, podwójne tagowanie, znaczniki piętrowe itp.), PBB (mostkowanie szkieletu dostawcy - „MAC-in-MAC”) i PBB-TE, które zostały zaprojektowany, aby spróbować ograniczyć ograniczenie liczby dostępnych VLAN ID. PBB-TE więcej ma na celu wyeliminowanie potrzeby dynamicznego uczenia się, zalewania i łączenia drzew. Dostępnych jest tylko 12 bitów do wykorzystania jako identyfikator VLAN w C-TAG / S-TAG (0x000 i 0xFFF są zarezerwowane), stąd pochodzi ograniczenie 4094.
VPLS lub PBB można wykorzystać do wyeliminowania tradycyjnych sufitów skalujących związanych z PB.
Podstawowy przypadek użycia dla sieci VLAN jest niemal dokładnie taka sama jak w przypadku użycia podstawowego dla segmentacji sieci na wiele domen transmisji łącza danych. Kluczową różnicą jest to, że w fizycznej sieci LAN potrzebujesz co najmniej jednego urządzenia (zazwyczaj przełącznika) dla każdej domeny rozgłoszeniowej, podczas gdy przynależność do wirtualnej domeny rozgłoszeniowej LAN jest określana na zasadzie port po porcie i można ją konfigurować bez dodawania wymiana sprzętu.
W przypadku podstawowych aplikacji zastosuj te same zasady projektowania do sieci VLAN, jak w przypadku PLANÓW. Trzy pojęcia, które musisz wiedzieć, aby to zrobić, to:
Pierwotnym zastosowaniem sieci vlan było ograniczenie obszaru rozgłaszania w sieci. Transmisje są ograniczone do ich własnych sieci vlan. Później dodano dodatkową funkcjonalność. Należy jednak pamiętać, że vlan to warstwa 2, na przykład przełączniki cisco. Możesz dodać warstwę 2, przypisując adres IP do portu na przełączniku, ale nie jest to obowiązkowe.
dodatkowa funkcjonalność:
Jeśli mogę zaoferować jeszcze jedną informację, która może pomóc.
Aby zrozumieć VLAN, musisz także zrozumieć dwie kluczowe koncepcje.
-Subnetting - Zakładając, że chcesz, aby różne urządzenia mogły ze sobą rozmawiać (na przykład serwery i klienci) każdej sieci VLAN należy przypisać podsieć IP. To jest SVI wspomniany powyżej. Umożliwia to rozpoczęcie routingu między sieciami vlans.
-Routing - Po utworzeniu każdej sieci VLAN, podsieci przypisanej do klientów w każdej sieci VLAN oraz SVI utworzonej dla każdej sieci VLAN, należy włączyć routing. Trasowanie może być bardzo prostą konfiguracją ze statyczną domyślną trasą do Internetu oraz instrukcjami sieci EIGRP lub OSPF dla każdej z podsieci.
Gdy zobaczysz, jak to wszystko się łączy, w rzeczywistości jest dość elegancki.