Jaka jest różnica między VLAN a podsiecią? [Zamknięte]

Czytałem liczne fora i artykuły dotyczące sieci VLAN i podsieci.
Jednak nie rozumiem funkcji każdego z nich oprócz następujących:

1. Podsieci umożliwiają segmentację sieci
2. Sieci VLAN to izolowana część sieci

pytania

1. Jeśli mam wiele podsieci, zakładam, że potrzebujesz routera do komunikacji między każdą podsiecią. Tylko urządzenia w każdej podsieci będą w lokalnej domenie rozgłoszeniowej dla tej podsieci. Czy to prawda?

2. Czy potrzebuję podsieci, aby skonfigurować sieć VLAN?

3. Wiem, że sieć VLAN może istnieć w podsieci. Ale rozumiem, że musisz przypisać adres IP tej podsieci do sieci VLAN. Jak można go odizolować od reszty podsieci?

4. Kiedy utworzyłbyś VLAN? Zwłaszcza jeśli mogę segmentować moją sieć za pomocą podsieci?

5. Ciągle natrafiam na następujący punkt. Nie jestem jednak pewien, co to dokładnie oznacza, gdy czyta same physical network.

   Wirtualne sieci lokalne (VLAN) pozwalają nam tworzyć różne sieci logiczne i fizyczne; podczas gdy podsieci IP pozwalają nam po prostu tworzyć logiczne sieci za pośrednictwem tej samej sieci fizycznej.

Doceniłbym przykłady z prawdziwego świata.

Podsieć - to zakres adresów IP określony przez część adresu (często nazywaną adresem sieciowym) i maskę podsieci (maska ​​sieci). Na przykład, jeśli maska ​​sieci to 255.255.255.0(lub w skrócie / 24), a adres sieci to 192.168.10.0, to określa zakres adresów IP 192.168.10.0poprzez 192.168.10.255. Stenografia do pisania 192.168.10.0/24.

VLAN - dobrym sposobem na to jest „partycjonowanie przełączników”. Załóżmy, że masz przełącznik 8-portowy z obsługą VLAN. Możesz przypisać 4 porty do jednej sieci VLAN (powiedzmy VLAN 1) i 4 porty do innej sieci VLAN (powiedzmy VLAN 2). Sieć VLAN 1 nie zobaczy żadnego ruchu w sieci VLAN 2 i odwrotnie, logicznie, teraz masz dwa osobne przełączniki. Zwykle na przełączniku, jeśli przełącznik nie widział adresu MAC, „zaleją” ruch do wszystkich innych portów. Sieci VLAN temu zapobiegają.

Jeśli dwa komputery będą rozmawiać za pomocą protokołu TCP / IP, musi być spełniony jeden z dwóch warunków:

• Muszą należeć do tej samej podsieci. Oznacza to, że adres sieciowy musi być taki sam, a maska ​​sieciowa musi być równa lub mniejsza. Tak więc komputer z interfejsem z adresem IP 192.168.10.4/24może komunikować się z komputerem z interfejsem z adresem IP 192.168.10.8/24bez problemów, pod warunkiem, że oba są podłączone do tego samego przełącznika fizycznego lub sieci VLAN. Jeśli interfejs drugiego komputera był podłączony do tego samego przełącznika fizycznego lub sieci VLAN 192.168.11.8/24, zignorowałby ruch (chyba że interfejs był w trybie rozwiązanym).

• Router musi istnieć między dwoma komputerami, które mogą przekazywać ruch między podsieciami. Komputer A i komputer B potrzebują trasy (lub bramy domyślnej) do tego routera. Powiedzmy, że komputer z interfejsem z adresem IP 192.168.10.4/24chce rozmawiać z komputerem z interfejsem z adresem IP 192.168.20.4/24. Różne podsieci, więc musimy przejść przez router. Załóżmy, że jest router z dwoma interfejsami (routery z definicji mają dwa interfejsy), jeden włączony 192.168.10.254/24i 192.168.20.254/24. Jeśli tablica tras lub DHCP są skonfigurowane poprawnie, a komputer A i B mogą uzyskać dostęp do interfejsów routera w odpowiednich podsieciach, mogą one komunikować się ze sobą pośrednio za pośrednictwem routera.

Zmuszanie ruchu do przechodzenia przez router, nawet jeśli nie jest to konieczne, na przykład na naszym 8-portowym przełączniku powyżej, ma zalety w zakresie bezpieczeństwa i wydajności - daje możliwość filtrowania ruchu, możliwość optymalnego kierowania ruchem na podstawie typu i routerów nie przesyłaj dalej ruchu rozgłoszeniowego (chyba że skonfigurowano to wyjątkowo). Sieci VLAN są czasem używane jako „hack” do zarządzania przepływami / widocznością ruchu emisji IPv4.

Edytuj, aby odpowiedzieć na niektóre pytania:

• Koncepcyjnie sieci VLAN są równoważne przełącznikom. To, co wchodzi w 1 port VLAN, jest replikowane („zalewane”) na wszystkie inne porty, chyba że VLAN wcześniej widział / poznał adres MAC, a następnie jest kierowany do tego portu. Nie ma bramy do właściwej sieci VLAN. „Brama” zawsze oznacza adres IP routera.

• Aby VLAN 1 mógł komunikować się z VLAN 2, interfejs w VLAN 1 musi być podłączony do routera, interfejs w VLAN 2 musi być podłączony do routera, a router musi być skonfigurowany do przekazywania ruchu między tymi podsieciami. W powyższym przykładzie z 8 portami, jeśli chcemy trasować ruch między tymi sieciami VLAN, musielibyśmy wydać 1 port na każdą sieć VLAN łączącą się z routerem. To samo z przełącznikiem.

Jestem pewien, że wiele wysokiej klasy przełączników / sprzętu ma wbudowany „router VLAN”, a wydawanie dodatkowego portu w każdej sieci VLAN łączącej go z fizycznym routerem naprawdę nie jest konieczne, jeśli chcesz trasować między sieciami VLAN w tym samym przełączniku. Może to być miejsce, w którym wchodzi VLAN IP lub „brama”. (Zapraszam osoby bardziej kompetentne do edycji tego)

• Gdy komputer uzyskuje adres IP za pośrednictwem DHCP, zwykle otrzymuje również „bramę domyślną” z tego samego serwera DHCP. Ktoś musi poprawnie skonfigurować serwer DHCP. Protokoły routingu, takie jak RIP, IS-IS, OSPF i BGP, mogą również dodawać trasy. Oczywiście możesz ręcznie dodawać trasy (trasy „statyczne”)

• Jeśli przełącznik ma port szeregowy lub port oznaczony jako „konsola”, prawdopodobnie jest zarządzany i obsługuje sieci VLAN.

Inne wyjaśnienia były dla mnie skomplikowane.

• VLAN pozwala oznaczyć wszystkie pakiety sieciowe magiczną liczbą (np 3.).
• Tylko inne karty sieciowe ustawione na 3zobaczą te pakiety

Ustaw kilka komputerów, VLAN 3a będą w swoim małym, odizolowanym świecie; nie zobaczą żadnego innego ruchu.

Nagle możesz mieć wiele sieci LAN działających na tych samych przewodach (tj. Wirtualne sieci LAN ). Możesz nawet mieć dwa komputery o tym samym adresie IP, ponieważ mają one różne znaczniki VLAN (np. 3Wersety 7)

Ustawienie identyfikatora VLAN odbywa się poprzez skonfigurowanie sterownika karty sieciowej:

Twój przebieg będzie się różnić w zależności od karty sieciowej i jej sterowników.

Uproszczone wyjaśnienie polega na tym, że sieci VLAN pozwalają różnym podsieciom współdzielić fizyczne okablowanie, porty i przełączanie. Możesz mieć odrębne podsieci w swojej sieci bez sieci vlan, ale dla każdego z nich musisz mieć inny zestaw przewodów.

1. Jeśli mam wiele podsieci, zakładam, że potrzebujesz routera do komunikacji między każdą podsiecią.

Tak, potrzebujesz routera do przenoszenia pakietów między podsieciami.

Tylko urządzenia w każdej podsieci będą w lokalnej domenie rozgłoszeniowej dla tej podsieci. Czy to prawda?

Tak, podsieć jest domeną rozgłoszeniową.

2. Czy potrzebuję podsieci, aby skonfigurować sieć VLAN?

Tak.

3. Zdaję sobie sprawę, że sieć VLAN może istnieć w podsieci, ale rozumiem, że musisz przypisać sieci VLAN adres IP tej podsieci.

Nie, jak rozumiem, sieci VLAN są zdefiniowane w przełącznikach i izolują ruch każdej sieci VLAN.

Jak można go odizolować od reszty podsieci?

VLAN to podsieć.

4. Kiedy skonfigurowałbyś sieć VLAN, zwłaszcza jeśli mogę segmentować moją sieć za pomocą podsieci?

Gdy trzeba podzielić ruch na dwie lub więcej grup bez rozdzielania infrastruktury fizycznej (głównie przełącza) na dwie lub więcej grup fizycznych.

5. Nadal dochodzę do wniosku, że wirtualne sieci lokalne (VLAN) pozwalają nam tworzyć różne sieci logiczne i fizyczne; podczas gdy podsieci IP pozwalają nam po prostu tworzyć logiczne sieci za pośrednictwem tej samej sieci fizycznej. nie jestem jednak pewien, co to dokładnie oznacza, gdy odczytuje tę samą sieć fizyczną.

Fizyczna sieć LAN składa się głównie z przełączników i kabli ułożonych (w przypadku Ethernetu) w strukturę pojedynczego drzewa.

Zwykle sieć LAN to pojedyncza podsieć. Organizacja może mieć kilka sieci LAN połączonych routerami.

Pojedynczą fizyczną sieć LAN można podzielić na kilka logicznych sieci LAN (VLAN) przy użyciu obsługi VLAN w przełącznikach. Każda sieć VLAN ma następnie oddzielną podsieć. Dlatego router jest potrzebny do przenoszenia pakietów między logicznymi sieciami LAN (VLAN).

Aktualizacja: niektóre odpowiedzi na dalsze pytania w komentarzach.

gdybym chciał, aby urządzenia na 2 oddzielnych sieciach VLAN komunikowały, że router nie jest potrzebny, ponieważ mogę korzystać z trunkingu.

Oto kilka cytatów z http://www.formortals.com/an-introduction-to-vlan-trunking/

„ Trunking VLAN pozwala jednej karcie sieciowej zachowywać się jak liczba„ n ”wirtualnych kart sieciowych, gdzie„ n ”ma teoretyczną górną granicę 4096, ale zwykle jest ograniczona do 1000 segmentów sieci VLAN. ”

„ Routery mogą stać się nieskończenie bardziej przydatne po podłączeniu do magistrali infrastruktury przełączników przedsiębiorstwa. Po podłączeniu do magistrali stają się wszechobecne i mogą świadczyć usługi routingu do dowolnej podsieci w dowolnym rogu sieci przedsiębiorstwa ”.

Nadal potrzebujesz routera, ale dzięki trunkingowi VLAN może to być router jednoramienny (router na patyku). Wysokiej klasy przełączniki zawierają funkcje routingu, więc może nie być potrzebny osobny router, ponieważ Twój wysokiej klasy przełącznik jest również routerem warstwy 3.

Kiedy mówisz, że potrzebuję podsieci, aby skonfigurować sieć VLAN, co dokładnie masz na myśli?

Sieci VLAN to koncepcja warstwy 2. Podobnie jak przełączniki Ethernet są urządzeniami warstwy 2. Sieci VLAN mogą sprawić, że kilka przełączników wykona zadania, w których w innym przypadku możesz potrzebować pół tuzina przełączników w izolowanych grupach. Jednak twoje węzły (komputery, drukarki itp.) Zwykle używają adresowania warstwy 3 (IP).

Aby węzły w jednej sieci VLAN (N dla sieci) komunikowały się z węzłami w innej sieci VLAN (N dla sieci), potrzebujesz protokołu InterNetwork (innymi słowy IP). W IP do przenoszenia pakietów między sieciami potrzebujemy, aby każda sieć miała inny adres sieciowy warstwy 3.

W tym miejscu pojawia się podsieci - podział przydzielonego zakresu adresów sieci warstwy 3 organizacji na podsieci za pomocą masek podsieci. Następnie można użyć routera, aby umożliwić urządzeniom w jednej podsieci (w jednej sieci VLAN) komunikowanie się z urządzeniami w innej podsieci (w innej sieci VLAN).

1. Jeśli mam wiele podsieci, zakładam, że potrzebujesz routera do komunikacji między każdą podsiecią. Tylko urządzenia w każdej podsieci będą w lokalnej domenie rozgłoszeniowej dla tej podsieci. Czy to prawda?

Sieci IP (podsieci) to koncepcja warstwy 3. Jeśli dwa komputery są podłączone do tego samego przełącznika L2 bez VLAN, będą w tej samej domenie rozgłoszeniowej L2, ale nie w domenie rozgłoszeniowej L3.

2. Czy potrzebuję podsieci, aby skonfigurować sieć VLAN?

Nie. Jednak jeśli chcesz, aby urządzenia w sieci VLAN komunikowały się ze sobą, prawdopodobnie będą potrzebowały protokołu L3.

3. Zdaję sobie sprawę, że sieć VLAN może istnieć w podsieci, ale rozumiem, że musisz przypisać sieci VLAN adres IP tej podsieci. Jak można go odizolować od reszty podsieci?

Nie jasne, o co pytasz.

4. Kiedy skonfigurowałbyś sieć VLAN, zwłaszcza jeśli mogę segmentować moją sieć za pomocą podsieci?

Sieci VLAN to po prostu sposób, aby urządzenie L2 wyglądało jak wiele urządzeń L2.

5. Nadal dochodzę do wniosku, że wirtualne sieci lokalne (VLAN) pozwalają nam tworzyć różne sieci logiczne i fizyczne; podczas gdy podsieci IP pozwalają nam po prostu tworzyć logiczne sieci za pośrednictwem tej samej sieci fizycznej. nie jestem jednak pewien, co to dokładnie oznacza, gdy odczytuje tę samą sieć fizyczną.