Вводное объяснение уровня VLAN

Каковы основные варианты использования для VLAN?

Каковы основные принципы проектирования?

Я ищу что-то вроде ответа в стиле абзаца с двумя абзацами, поэтому я могу определить, нужно ли мне узнать о VLAN для их реализации.

18 голосов | спросил Craig Constantine 21 Maypm13 2013, 17:47:18

7 ответов


18

Виртуальная локальная сеть (VLAN) - это способ создания нескольких виртуальных коммутаторов внутри одного физического коммутатора. Так, например, порты, настроенные для использования VLAN 10, действуют так, как будто они подключены к одному и тому же коммутатору. Порты в VLAN 20 не могут напрямую разговаривать с портами в VLAN 10. Они должны быть маршрутизированы между двумя (или иметь ссылку, которая соединяет две VLAN).

Существует множество причин для внедрения VLAN. Как правило, наименьшей из этих причин является размер сети. Я приведу список из нескольких причин, а затем сломаю каждый из них.

  • Безопасность
  • Использование ссылок
  • Разделение служб
  • Изоляция службы
  • Размер подсети

Безопасность: Безопасность сама по себе не достигается путем создания VLAN; однако, как вы подключаете эту VLAN к другим подсетям, вы можете фильтровать /блокировать доступ к этой подсети. Например, если у вас есть офисное здание с 50 компьютерами и 5 серверами, вы можете создать VLAN для сервера и VLAN для компьютеров. Чтобы компьютеры могли общаться с серверами, вы можете использовать брандмауэр для маршрутизации и фильтрации этого трафика. Это позволит вам применять IPS /IDS, ACL и т. Д. к соединению между серверами и компьютерами.

Использование ссылок: (Edit) Не могу поверить, что я оставил это в первый раз. Мозг пердеть, я думаю. Использование ссылок - еще одна важная причина использования VLAN. Spanning tree по функции создает один путь через вашу сеть уровня 2 для предотвращения циклов (Oh, my!). Если у вас есть несколько избыточных ссылок на ваши агрегирующие устройства, некоторые из этих ссылок не будут использоваться. Чтобы обойти это, вы можете создать несколько топологий STP с разными VLAN. Это достигается с помощью проприетарного программного обеспечения PVST, RPVST или стандартов MST. Это позволяет вам использовать несколько типов STP, с которыми вы можете играть, чтобы использовать ранее неиспользуемые ссылки. В примере, если у меня было 50 настольных компьютеров, я мог разместить 25 из них в VLAN 10 и 25 из них в VLAN 20. Тогда я мог бы VLAN 10 взять «левую» сторону сети, а остальные 25 в VLAN 20 «правая» сторона сети.

Разделение служб: Это довольно прямолинейно. Если у вас есть IP-камеры безопасности, IP-телефоны и все компьютеры, подключенные к одному коммутатору, может быть проще отделить эти службы от своей собственной подсети. Это также позволит вам применять маркировку QOS для этих служб на основе VLAN вместо службы более высокого уровня (например: NBAR). Вы также можете применять ACL на устройстве, выполняющем маршрутизацию L3, чтобы предотвратить связь между VLAN, которые могут быть нежелательными. Например, я могу помешать рабочим столам напрямую обращаться к телефонам /камерам безопасности.

Изоляция службы: Если у вас есть пара переключателей TOR в одной стойке с несколькими узлами VMWare и SAN, вы можете создать VLAN iSCSI, которая остается незавершенной. Это позволит вам иметь полностью изолированную сеть iSCSI, чтобы никакое другое устройство не могло пытаться получить доступ к SAN или нарушить связь между хостами и SAN. Это просто один из примеров изоляции службы.

Размер подсети: Как указано выше, если один сайт становится слишком большим, вы можете разбить этот сайт на разные VLAN, что уменьшит количество хостов, которые видят необходимость обработки каждой трансляции.

Есть больше возможностей использовать VLAN (я могу думать о нескольких, которые я использую специально как поставщик интернет-услуг), но я считаю, что они наиболее распространены и должны дать вам хорошую идею о том, как /почему мы их используем , Существуют также частные сети VLAN, которые имеют конкретные варианты использования и заслуживают упоминания здесь.

ответил bigmstone 21 Maypm13 2013, 22:06:11
6

По мере того, как сети становятся все больше и больше, масштабируемость становится проблемой. Для связи каждому устройству необходимо отправлять широковещательные передачи, которые отправляются на все устройства в широковещательном домене. По мере добавления большего количества устройств в широковещательный домен большее количество трансляций начинает насыщать сеть. На данный момент в систему входят несколько проблем, включая насыщенность полосы пропускания широковещательным трафиком, увеличение обработки на каждом устройстве (использование ЦП) и даже проблемы безопасности. Разделение этого большого широковещательного домена на более мелкие широковещательные домены становится все более необходимым.

Введите VLAN.

Виртуальная локальная сеть или виртуальная локальная сеть фактически создают отдельные широковещательные домены, устраняя необходимость создания полностью отдельных аппаратных локальных сетей для преодоления проблемы с широковещательным доменом. Вместо этого коммутатор может содержать много VLAN, каждый из которых действует как отдельный автономный широковещательный домен. Фактически, две виртуальные локальные сети не могут взаимодействовать друг с другом без вмешательства устройства уровня 3, такого как маршрутизатор, в котором находится коммутатор уровня 3.

В целом, VLAN на самом базовом уровне сегментируют большие широковещательные домены на более мелкие, более управляемые широковещательные домены, чтобы увеличить масштабируемость в вашей постоянно расширяющейся сети.

ответил Yosef Gunsburg 21 Maypm13 2013, 18:14:41
5

VLAN - это логические сети, созданные в физической сети. Их основное использование заключается в обеспечении изоляции, часто в качестве средства уменьшения размера широковещательного домена в сети, но они могут использоваться для ряда других целей.

Это инструмент, с которым любой сетевой инженер должен быть знаком и как любой инструмент, их можно использовать неправильно и /или в неподходящее время. Ни один инструмент не является правильным во всех сетях и во всех ситуациях, поэтому чем больше инструментов вы можете использовать, тем лучше вы сможете работать в большей среде. Зная больше о VLAN, вы можете использовать их, когда они вам нужны, и использовать их правильно, когда вы это делаете.

Один пример того, как они могут использоваться, я в настоящее время работаю в среде, где широко используются устройства SCADA (диспетчерский контроль и сбор данных). Устройства SCADA, как правило, довольно просты и имеют долгую историю разработки менее чем звездного программного обеспечения, часто обеспечивая основные уязвимости безопасности.

Мы установили устройства SCADA в их отдельную VLAN без шлюза L3. Единственный доступ к их логической сети - через сервер, с которым они взаимодействуют (у которого есть два интерфейса: один в SCADA VLAN), которые могут быть защищены собственной защитой на основе хоста, что невозможно на устройствах SCADA. Устройства SCADA изолированы от остальной сети, даже при подключении к тем же физическим устройствам, поэтому любая уязвимость смягчается.

ответил YLearn 21 Maypm13 2013, 21:49:48
3

В плане принципов проектирования наиболее распространенной версией является выравнивание ваших VLAN с вашей организационной структурой, то есть инженеров в одной VLAN, маркетинг в другом, IP-телефоны в другом и т. д. Другие проекты включают использование VLAN в качестве «транспорта», отдельных сетевых функций через один (или более) сердечник. На некоторых устройствах также возможно прекращение работы VLAN на уровне 3 («SVI» на языке Cisco, «VE» в Brocade и т. Д.), Что устраняет необходимость в отдельном аппаратном обеспечении для обмена данными между VLAN, если это применимо.

Сети VLAN становятся громоздкими для управления и поддержки в масштабе, так как вы, вероятно, видели случаи уже на NESE. В области поставщика услуг есть PB (мостовое соединение провайдера - широко известное как «QinQ», двойное тегирование, суммированный тег и т. Д.), PBB (мост магистрали провайдера - «MAC-in-MAC») и PBB-TE, которые были чтобы попытаться уменьшить ограничение количества доступных идентификаторов VLAN. PBB-TE больше нацелена на устранение необходимости в динамическом обучении, наводнении и остовном дереве. Доступно только 12 бит для использования в качестве идентификатора VLAN в C-TAG /S-TAG (0x000 и 0xFFF зарезервированы), из которых исчисляется ограничение в размере 4 094.

VPLS или PBB могут использоваться для устранения традиционных масштабирующих потолков, связанных с PB.

ответил John Jensen 21 Maypm13 2013, 18:41:47
3

Основной пример использования для виртуальных локальных сетей практически такой же, как и основной вариант использования сегментации сети в нескольких доменах передачи данных. Основное различие заключается в том, что при использовании локальной сети physical вам необходимо хотя бы одно устройство (обычно это коммутатор) для каждого широковещательного домена, тогда как при условии virtual членство в широковещательном домене LAN по-по-порту и реконфигурируется без добавления или замены оборудования.

Для базовых приложений примените те же принципы проектирования к VLAN, что и для PLAN. Три концепции, которые вам нужно знать, чтобы сделать это:

  1. Транкинг . Любая ссылка, несущая фреймы, принадлежащие нескольким VLAN, представляет собой ссылку trunk . Обычно ссылки на коммутатор и коммутатор-маршрутизатор сконфигурированы как ссылки trunk .
  2. Отметка . При передаче на соединительную линию устройство должно теги каждого фрейма с числовым идентификатором VLAN, к которому он принадлежит, чтобы принимающее устройство могло надлежащим образом ограничить его правильным широковещательный домен. В общем случае порты, обращенные к хосту, немаркированы , в то время как обращенные друг к другу и роутер-обращенные порты помечены . Тег является дополнительной частью инкапсуляции линии передачи данных.
  3. Виртуальные интерфейсы . На устройстве с одним или несколькими интерфейсами соединительных линий часто необходимо подключить в логическом смысле устройство в качестве терминала связи к одной или нескольким отдельным VLAN, которые присутствуют внутри ствола. Это особенно верно для маршрутизаторов. Это привязку логической ссылки моделируется как виртуальный интерфейс , который действует как порт, который подключен к одному широковещательному домену, связанному с назначенной VLAN.
ответил neirbowj 21 Maypm13 2013, 22:21:43
1

Если я могу предложить еще одну информацию, которая может помочь.

Чтобы понять VLAN, вы также должны понимать две ключевые концепции.

-Subnetting. Предполагая, что вы хотите, чтобы различные устройства могли разговаривать друг с другом (например, серверам и клиентам), каждой VLAN должна быть назначена IP-подсеть. Это SVI, упомянутый выше. Это позволяет начать маршрутизацию между vlans.

-Routing. После создания каждой VLAN, подсети, назначенной клиентам в каждой VLAN, и SVI, созданного для каждой VLAN, вам необходимо включить маршрутизацию. Маршрутизация может быть очень простой настройкой со статическим маршрутом по умолчанию в Интернет и сетевыми операторами EIGRP или OSPF для каждой из подсетей.

Как только вы увидите, как все это происходит, на самом деле это довольно элегантно.

ответил Jonathan Davis 21 Maypm13 2013, 22:09:30
1

Первоначальное использование vlan заключалось в том, чтобы ограничить зону вещания в сети. Трансляции ограничены собственным VLAN. Позднее была добавлена ​​дополнительная функциональность. Однако имейте в виду, что vlan - это слой 2, например, cisco. Вы можете добавить слой 2, назначив IP-адрес порту на коммутаторе, но это необязательно.

дополнительная функциональность:

  • trunking: используйте несколько vlan через одно физическое соединение (например: подключение двух коммутаторов, одна физическая ссылка достаточно хороша, чтобы иметь соединение для всех vlan, разделение vlan выполняется с помощью тегов, см .: dot1Q для cisco)
  • Безопасность
  • проще управлять (например: shutdown на vlan не влияет на подключение другого vlan ...)
  • ...
ответил Bulki 22 Mayam13 2013, 02:49:36

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132