Soru VLAN'lar nasıl çalışır?


VLAN nedir? Hangi problemleri çözüyorlar?

Bir arkadaşımın, sadece küçük bir şirkette tek sysadmin olduğu için temel ağları öğrenmesine yardım ediyorum. Çeşitli ağ konuları ile ilgili olarak Serverfault üzerine çeşitli sorulara / cevaplara işaret ettim ve bir boşluk fark ettim - ilk prensiplerden VLAN'ların ne olduğunu açıklayan bir cevap gibi görünmüyor. Ruhunda Alt Ağ Çalışması nasıl çalışır?Burada kanonik bir cevapla bir sorunun olması yararlı olacağını düşündüm.

Bir cevapta ele alınması gereken bazı potansiyel konular:

  • VLAN nedir?
  • Çözmeyi amaçlayan problemler nelerdi?
  • VLAN'lardan önce işler nasıldı?
  • VLAN'lar alt ağlarla nasıl ilişkilendirilir?
  • SVI nedir?
  • Bagaj portları ve erişim portları nelerdir?
  • VTP nedir?

DÜZENLEME: açık olmak gerekirse, zaten VLAN'ların nasıl çalıştığını biliyorum - sadece Serverfault'ın bu soruları kapsayan bir cevabı olması gerektiğini düşünüyorum. Zaman izin verirken, kendi cevabımı da göndereceğim.


116
2017-10-06 23:17


Menşei


belki başka bir soru: Statik ve dinamik VLAN'lar arasındaki farklar nelerdir? Onları yönetmenin yolları nelerdir? Ve bir ekstra: Satıcılar arasında VLAN'ı yöneten standartlar nelerdir? - Hubert Kario
Güve alev gibi, geldim ve 4.000 kelimemi ekledim ... (Sanırım bir topluluk vikisi olarak yaşayabiliyorum ... Sanırım rep'e ihtiyacım yok ...> gülümseme <) - Evan Anderson
@Evan: Biraz ortaya çıkacağını umuyordum. Kabul etmeliyim ki, bunu CW'ye çevirmeden önce biraz daha fazla röportaj yapabilirdim. :) - Murali Suriar


Cevaplar:


Sanal LAN'lar (VLAN'lar), tek bir fiziksel ağın çoklu paralel fiziksel ağların işlevselliğini taklit etmesine izin veren bir soyutlamadır. Bu çok kullanışlıdır, çünkü birden fazla paralel fiziksel ağın işlevselliğine ihtiyaç duyduğunuz durumlar olabilir, ancak parayı paralel donanım satın almak için harcamazsınız. Bu cevapta Ethernet VLAN'ları hakkında konuşacağım (diğer ağ teknolojileri VLAN'ları desteklese bile) ve her nüansa derinlemesine dalış yapmayacağım.

Bir Mücadele Örneği ve Bir Sorun

Tamamen uyuşan bir örnek senaryo olarak, kiracılara kiraladığınız bir ofis binasının olduğunu hayal edin. Kiralamanın bir avantajı olarak, her kiracı ofisin her odasında canlı Ethernet jaklarına sahip olacaktır. Her kat için bir Ethernet anahtarı satın alıp, o kattaki her ofisteki kabloları kriko ile bağlayın ve tüm anahtarları birbirine bağlayın.

Öncelikle, iki farklı kiracıya yer kiralayabilirsiniz - biri 1. katta ve diğeri 2'de. Bu kiracıların her biri bilgisayarlarını statik IPv4 adresleriyle yapılandırır. Her iki kiracı da farklı TCP / IP alt ağları kullanır ve her şey gayet iyi çalışır.

Daha sonra, yeni bir kiracı 3. katın yarısını kiralar ve bu yeni-dişli DHCP sunucularından birini getirir. Zaman geçiyor ve 1. kattaki kiracı da DHCP bandwagonuna atlamaya karar veriyor. Bu, işlerin ters gitmeye başladığı nokta. Kat 3 kiracısı, bilgisayarlarından bazılarının DHCP sunucusu olmayan bir makineden "komik" IP adresleri aldığını bildiriyor. Yakında, 1 kiracı aynı şeyi rapor ediyor.

DHCP, istemci bilgisayarların dinamik olarak IP adreslerini almasına izin vermek için Ethernet'in yayın özelliklerinden yararlanan bir protokoldür. Kiracılar aynı fiziksel Ethernet ağını paylaştıkları için aynı yayın alanını paylaşıyorlar. Ağdaki herhangi bir bilgisayardan gönderilen bir yayın paketi, tüm anahtar portlarını diğer bilgisayarlara akacaktır. 1. ve 3. katlardaki DHCP sunucuları, IP adresi kiralamalarına yönelik tüm istekleri alacak ve ilk olarak kimin cevaplayabileceğini görmek için etkin bir şekilde düelloya sahip olacaktır. Bu açıkça, kiracılarınızın deneyimlemesini amaçlayan davranış değildir. Bu, herhangi bir VLAN'la birlikte "düz" bir Ethernet ağının davranışıdır.

Daha da kötüsü, 2. kattaki bir kiracı bu "Wireshark" yazılımını satın alır ve zaman zaman hiç duymadıkları bilgisayarlara ve IP adreslerine gönderme yapan anahtarlarından çıkan trafiği gördüklerini bildirir. Çalışanlarından biri, 192.168.1.38'den 192.168.0.38'e kendi PC'sine atanan IP adresini değiştirerek diğer bilgisayarlarla iletişim kurabildiğini bile anladı! Muhtemelen, diğer kiracılardan biri için "yetkisiz pro bono sistemi yönetim hizmetleri" yapmaktan sadece birkaç kısa adım ötede. İyi değil.

Potansiyel çözümler

Bir çözüme ihtiyacın var! Fişleri sadece katlar arasında çekebilirdiniz ve bu da istenmeyen tüm iletişimleri kesebilirdi! Evet! Bu bilet ...

İşe yarayabilir, dışında bodrum katının yarısını kiralayacak yeni bir kiracınız var. 3. katın anahtarı ile bodrum anahtarı arasında bir bağlantı yoksa yeni kiracı arasında haberleşme olmaz. Her iki katına yayılacak bilgisayarları. Tapaları çekmek cevabı değil. Daha da kötüsü, yeni kiracı henüz getiriyor bir diğeri bu DHCP sunucularından biri!

Her kiracı için fiziksel olarak ayrı ayrı Ethernet anahtar seti satın alma fikriyle flört ediyorsunuz, fakat binanın 30 kattan oluştuğunu görüyorsunuz, bunların her biri 4 yola bölünebilir. Potansiyel sıçanlar arasındaki zeminden zemine kablolar Paralel Ethernet anahtarlarının büyük sayıları pahalı değil, bir kabus olabilir. Sadece tek bir fiziksel Ethernet ağı yapmak için bir yol olsaydı, her biri kendi yayın etki alanı olan birden çok fiziksel Ethernet ağı gibi davranıyordu.

Kurtarma için VLAN'lar

VLAN'lar bu dağınık problemin bir cevabıdır. VLAN'lar bir Ethernet anahtarını mantıksal olarak birbirinden ayrı sanal Ethernet anahtarlarına bölmenizi sağlar. Bu, tek bir Ethernet anahtarının birden çok fiziksel Ethernet anahtarı gibi davranmasını sağlar. Örneğin, alt bölümünüzün 3 olması durumunda, 48 port anahtarınızı, daha düşük 24 portun belirli bir VLAN'da (VLAN 12'yi arayacağız) ve daha yüksek 24 bağlantı noktası belirli bir VLAN'da olacak şekilde yapılandırabilirsiniz. hangi VLAN'ı arayacağız 13). Anahtarınızdaki VLAN'ları oluşturduğunuzda, onlara bir çeşit VLAN adı veya numarası atamanız gerekir. Burada kullanıyorum rakamlar çoğunlukla keyfi, bu yüzden hangi özel numaraları tercih ettiğim hakkında endişelenmeyin.

3. kat anahtarını VLAN 12 ve 13'e böldüğünüzde, yeni kat 3 kiracısının DHCP sunucusunda VLAN 13'e atanmış bağlantı noktalarından birine bağlanabileceğini ve VLAN 12'ye atanmış bir bağlantı noktasına takılı bir PC olduğunu fark edersiniz. Yeni DHCP sunucusundan bir IP adresi alın. Mükemmel! Sorun çözüldü!

Oh, bekle ... bu VLAN 13 verilerini bodruma nasıl indirebiliriz?

Anahtarlar Arasındaki VLAN İletişimi

Kat 3 ve yarım bodrum kiracınız bodrum katındaki bilgisayarları 3. kattaki sunucularına bağlamak isteyecektir. 3. kattaki VLAN'a tahsis edilen portlardan birinden doğrudan kabloyu bodruma ve hayata geçirebilirsiniz. iyi olurdu değil mi?

VLAN'ların ilk günlerinde (önceden 802.1Q standardı) bunu yapabilirsiniz. Tüm bodrum anahtarı, etkili bir şekilde, VLAN 13'ün bir parçası olacaktır (3. kattaki ve bodrumdaki yeni kiracıya atamayı tercih ettiğiniz VLAN) çünkü bu temel anahtar, atanan 3. kattaki bir portla "beslenecektir". VLAN 13'e.

Bu çözüm, bodrum katının diğer yarısını 1. kat ve bodrum bilgisayarları arasında iletişim kurmak isteyen kat 1 kiracınıza kiralayana kadar işe yarar. VLAN'ları (VLANS 2 ve 13'e) kullanarak bodrum anahtarını bölebilir ve 1. kattan kabloyu bodrumdaki VLAN 2'ye atanmış bir portla çalıştırabilirsiniz, ancak daha iyi bir karar vermeniz, bunun bir sıçanın yuvası haline gelebileceğini size söyler. kablolar (ve sadece daha da kötüye gidecek). VLAN'ları kullanarak ayırma anahtarları iyidir, ancak diğer anahtarlardan farklı VLAN'ların üyesi olan bağlantı noktalarına birden çok kabloyu çalıştırmak zorunda kalmak dağınık görünmektedir. Şüphesiz, bodrum katını iki kat daha yüksek katlarda alan kiracılar arasında bölmek zorunda kaldıysanız, üst kattaki VLAN'lardan gelen "besleyici" kabloları sonlandırmak için bodrumdaki 4 portu kullanacaksınız.

Artık, tek bir kablo üzerindeki anahtarlar arasında birden çok VLAN'dan bir kaç genel trafik hareket yöntemi gerektiğine dikkat çekilmelidir. Farklı VLAN'lar arasındaki bağlantıları desteklemek için anahtarlar arasında daha fazla kablo eklemeniz, ölçeklenebilir bir strateji değildir. Sonuç olarak, yeterli VLAN ile, bu VLAN / geçişler arası bağlantılarla anahtarlarınızdaki tüm bağlantı noktalarını yiyeceksiniz. İhtiyaç duyulan şey, paketleri tek bir bağlantı boyunca çoklu VLAN'lardan taşımanın bir yolu - anahtarlar arasında bir "gövde" bağlantısı.

Bu noktaya kadar, konuştuğumuz tüm anahtar bağlantı noktalarına "erişim" bağlantı noktaları denir. Yani, bu portlar tek bir VLAN'a erişmeye adanmıştır. Bu portlara takılan cihazların kendileri özel bir konfigürasyona sahip değildir. Bu cihazlar herhangi bir VLAN’ın mevcut olduğunu "bilmez". İstemci cihazlarının gönderdiği çerçeveler, daha sonra çerçevenin sadece çerçeveye anahtarın girdiği limana tahsis edilen VLAN'ın üyeleri olarak atanmış portlara gönderilmesini sağlayarak anahtarına teslim edilir. Bir çerçeve, VLAN 12'nin bir üyesi olarak atanmış bir bağlantı noktasındaki anahtara girerse, anahtar yalnızca bu çerçeveyi yalnızca VLAN 12 üyesi olan bağlantı noktalarının dışına gönderir. Anahtar, bir bağlantı noktasından aldığı bir bağlantı noktasına atanan VLAN numarasını "bilir". çerçeve ve bir şekilde bu çerçeveyi sadece aynı VLAN'ın portlarını dışarı çıkarmayı bilir.

Belirli bir çerçeve ile ilişkili VLAN numarasını diğer anahtarlara paylaşmak için bir anahtarın bir yolu olsaydı, diğer anahtar bu çerçeveyi yalnızca uygun hedef bağlantı noktalarına teslim etmeyi uygun şekilde halledebilirdi. 802.1Q VLAN etiketleme protokolü budur. (802.1Q'dan önce, bazı satıcılar VLAN etiketleme ve anahtarlar arası geçiş için kendi standartlarını oluşturdular. Çoğunlukla bu standart öncesi yöntemler 802.1Q tarafından tamamlandı.)

Birbirine bağlı iki adet VLAN-Duyarlı anahtarınız olduğunda ve bu anahtarların birbiri arasında uygun VLAN'a çerçeveler sunmasını istiyorsanız, bu anahtarları "trunk" portlarını kullanarak bağlayabilirsiniz. Bu, her bir anahtardaki bir portun konfigürasyonunu "erişim" modundan "trunk" moduna (çok basit bir konfigürasyonda) değiştirmeyi içerir.

Bir port gövde modunda yapılandırıldığında, anahtarın bu porttan gönderdiği her çerçeve, çerçeveye dahil edilmiş bir "VLAN etiketine" sahip olacaktır. Bu "VLAN etiketi", istemcinin gönderdiği orijinal çerçevenin parçası değildi. Daha ziyade, çerçeveyi gövde portundan göndermeden önce bu etiket, gönderme anahtarı tarafından eklenir. Bu etiket, çerçevenin oluşturulduğu bağlantı noktasıyla ilişkili VLAN numarasını gösterir.

Alıcı anahtar, çerçevenin hangi VLAN'ın kaynaklandığını belirlemek için etikete bakabilir ve bu bilgiye dayanarak çerçeveyi sadece çıkışlı VLAN'a atanmış portları yönlendirebilir. "Erişim" bağlantı noktalarına bağlı aygıtlar, VLAN'ların kullanılmakta olduğunun farkında olmadığından, erişim modunda yapılandırılmış bir bağlantı noktası gönderilmeden önce "etiket" bilgisinin çerçeveden çıkarılması gerekir. Bu etiket bilgisinin çıkarılması, aldıkları çerçevenin herhangi bir VLAN etiket bilgisi taşımaması nedeniyle, tüm VLAN kanalı işlemlerinin istemci cihazlardan gizlenmesine neden olur.

VLAN'ları gerçek hayatta yapılandırmadan önce, bir test anahtarında gövde modu için bir bağlantı noktası yapılandırmanızı ve bir bağlantı sesi (Wireshark gibi) kullanarak o bağlantı noktasına gönderilen trafiği izlemenizi öneririm. Başka bir bilgisayardan bir örnek trafik oluşturabilir, bir erişim portuna takılabilir ve gövde portundan ayrılan çerçevelerin aslında test bilgisayarınızın gönderdiği çerçevelerden daha büyük olacağını görebilirsiniz. Wireshark'daki çerçevelerde VLAN etiketi bilgilerini göreceksiniz. Aslında bir snifferda ne olduğunu görmeye değdiğini görüyorum. 802.1Q etiketleme standardının okunması da bu noktada yapılacak iyi bir şeydir (özellikle "yerel VLAN'lar" veya çift etiketleme gibi şeyler hakkında konuşmuyorum).

VLAN Yapılandırma Kabusları ve Çözüm

Binanızda daha fazla alan kiraladığınızda VLAN'ların sayısı büyüyor. Yeni bir VLAN eklediğinizde, giderek daha fazla Ethernet anahtarına giriş yapmanız gerektiğini ve bu VLAN'ı listeye eklemeniz gerektiğini anlıyorsunuz. Bu VLAN'ı tek bir yapılandırma bildirimine ekleyebileceğiniz ve her bir anahtarın VLAN yapılandırmasını otomatik olarak doldurabildiğiniz bazı yöntemler olsaydı harika olmaz mıydı?

Cisco'nun tescilli "VLAN Trunking Protocol" (VTP) veya standart tabanlı "Çoklu VLAN Kayıt Protokolü" (MVRP - önceden GVRP) gibi protokoller bu işlevi yerine getirir. Bu protokolleri kullanan bir ağda, tek bir VLAN oluşturma veya silme girişi, protokol mesajlarının ağdaki tüm anahtarlara gönderilmesiyle sonuçlanır. Bu protokol mesajı, VLAN konfigürasyonundaki değişikliği, VLAN konfigürasyonlarını değiştiren diğer anahtarlara iletir. VTP ve MVRP, belirli portların belirli VLAN'lar için erişim portları olarak yapılandırılmasıyla ilgilenmez, bunun yerine VLAN'ların oluşturulmasını veya silinmesini tüm anahtarlara iletmede yararlıdır.

VLAN'lar ile rahat edindiğinizde, geri dönüp VTP ve MVRP gibi protokollerle ilişkili "VLAN budaması" hakkında bir şeyler okumak isteyeceksiniz. Şimdilik muazzam bir şekilde endişelenecek bir şey yok. ( Vikipedi'de VTP makalesi VLAN budama ve yararlarını açıklayan güzel bir şemaya sahiptir.)

Gerçek Hayattaki VLAN'ları Ne Zaman Kullanıyorsunuz?

Daha fazla ilerlemeden önce, gerçek yaşamdan ziyade, ihtilaflı örnekler yerine düşünmek önemlidir. Başka bir cevabın metnini çoğaltmak yerine size cevabım yeniden: ne zaman VLAN oluşturmak. Bu zorunlu olarak "başlangıç ​​seviyesinde" değil, ama şimdi bir bakmaya değer çünkü ben bu konuya kısaca değineceğim.

"Tl; dr" kalabalığı için (bu noktada mutlaka okumayı bırakmış olanlar), yukarıdaki linkin özü: Yayın alanlarını daha küçük yapmak için veya belirli bir nedenden dolayı trafiği ayrıştırmak istediğinizde VLAN oluştur politika, vb. VLAN'ları kullanmanın başka hiçbir iyi nedeni yoktur.

Örneğimizde, yayın alanlarını sınırlamak için VLAN'ları kullanıyoruz (protokolleri DHCP'nin doğru çalışması gibi tutmak için) ve ikincisi, çünkü çeşitli kiracıların ağları arasında yalıtım istiyoruz.

Aside yeniden: IP Subnet'leri ve VLAN'ları

Genel olarak, VLAN'lar ve IP alt ağları arasında rahatlık açısından tipik olarak bire bir ilişki, yalıtımı kolaylaştırmak ve ARP protokolünün nasıl çalıştığından dolayı.

Bu cevabın başlangıcında gördüğümüz gibi, iki farklı IP alt ağı, sorun çıkarmadan aynı fiziksel Ethernet üzerinde kullanılabilir. Yayın alanlarını daraltmak için VLAN kullanıyorsanız, ARP ve diğer yayın trafiğini birleştireceğinizden, aynı VLAN'ı iki farklı IP alt ağı ile paylaşmak istemezsiniz.

Güvenlik veya ilke nedenleriyle trafiği ayırmak için VLAN'ları kullanıyorsanız, aynı zamanda, yalıtmanın amacını ortadan kaldıracağınız için aynı VLAN'daki birden çok alt ağın birleştirilmesini de istemezsiniz.

IP, IP adreslerini fiziksel (Ethernet MAC) adreslerine eşlemek için yayın tabanlı bir protokol olan Adres Çözümleme Protokolü'nü (ARP) kullanır. ARP yayın temelli olduğundan, aynı IP alt ağının farklı bölümlerinin farklı VLAN'lara atanması sorun yaratabilir çünkü bir VLAN'daki ana bilgisayarlar, VLAN'lar arasında yayınlanmadığından, diğer VLAN'daki ana bilgisayarlardan ARP yanıtlarını alamazlar. Bu "problemi" proxy-ARP'yi kullanarak çözebilirsiniz, ancak, bir IP alt ağını birden fazla VLAN arasında bölmek için gerçekten iyi bir nedeniniz olmadıkça, bunu yapmamak daha iyidir.

Sonunda Bir Son: VLAN'lar ve Güvenlik

Son olarak, VLAN'ların mükemmel bir güvenlik aygıtı olmadığını belirtmek gerekir. Birçok Ethernet anahtarında, bir VLAN'dan gelen çerçevelerin başka bir VLAN'a atanmış portlar gönderilmesine izin veren hatalar vardır. Ethernet anahtarı üreticileri bu hataları düzeltmek için çok çalıştılar, ancak tamamen hatasız bir uygulama olacağından şüpheleniliyor.

Örnek verdiğimiz örnekte, başka bir kiracıya ücretsiz sistem yönetimi "hizmetleri" sağlamaktan biraz uzakta olan kat 2 çalışanı, trafiğini bir VLAN'a ayırmaktan vazgeçebilir. Bununla birlikte, anahtarının bellenim yazılımındaki hataları nasıl kullanacağını, trafiğinin başka bir kiracının VLAN'ına da "sızmasını" sağlamak için de kullanabilir.

Metro Ethernet sağlayıcıları gittikçe artan bir şekilde VLAN etiketleme işlevselliğine ve anahtarların sağladığı yalıtımlara güveniyor. Orada olduğunu söylemek adil değil yok hayır VLAN'lar kullanılarak sunulan güvenlik. Yine de, güvenilir olmayan internet bağlantıları veya DMZ ağları olan durumlarda, güvenilir olan "güvenlik duvarının arkasındaki" trafiği de taşıyan anahtarlardaki VLAN'lar yerine bu "dokunaklı" trafiği taşımak için fiziksel olarak ayrı anahtarları kullanmak daha iyi olacaktır.

Katman 3'ü Resme Getirmek

Şimdiye kadar bu cevabın konuştuğu her şey katman 2-Ethernet çerçeveleri ile ilgilidir. Buna 3. katman getirmeye başlarsak ne olur?

İnşa edilen yapı örneğine geri dönelim. Her kiracının bağlantı noktalarını ayrı VLAN üyeleri olarak yapılandırmayı tercih eden VLAN'ları benimsediniz. Her bir katın anahtarı, başlangıçtaki VLAN numarasıyla etiketlenmiş kareleri, yukarıdaki ve aşağıdaki kattaki anahtarlara dönüştürecek şekilde, gövde portlarını yapılandırdınız. Bir kiracı birden fazla katın içine yayılmış bilgisayarlara sahip olabilir, ancak sizin VTE yapılandırma yetenekleriniz nedeniyle, bu fiziksel olarak dağıtılmış bilgisayarların hepsi aynı fiziksel LAN'ın bir parçası gibi görünebilir.

Kiracılarınız için İnternet bağlantısı sunmaya karar verdiğinizde BT başarılarınızla dolusunuz. Şişman bir internet borusu ve yönlendirici satın alırsınız. Fikrini tüm kiracılarınızla paylaşıyorsunuz ve ikisi de hemen satın alıyorsunuz. Neyse ki sizin yönlendiricinizde üç Ethernet portu var. Bir bağlantı noktasını şişman İnternet borunuza, başka bir bağlantı noktasını ilk kiracının VLAN'ına erişim için atanmış bir anahtar bağlantı noktasına, diğerini ise ikinci kiracının VLAN'ına erişim için atanmış bir bağlantı noktasına bağlarsınız. Yönlendiricinizin bağlantı noktalarını, her kiracının ağındaki IP adresleriyle yapılandırırsınız ve kiracılar, hizmetiniz aracılığıyla Internet'e erişmeye başlar! Gelir artar ve sen mutlu olursun.

Yakında, başka bir kiracı İnternet teklifinize girmeye karar verir. Yine de yönlendiricinizdeki bağlantı noktalarınız yok. Ne yapalım?

Neyse ki, Ethernet bağlantı noktalarında "sanal alt arayüzleri" yapılandırmayı destekleyen bir yönlendirici satın aldınız. Kısacası bu işlevsellik, yönlendiricinin, başlangıç ​​VLAN numaraları ile etiketlenmiş çerçeveleri almasını ve yorumlamasını ve iletişim kuracağı her VLAN için uygun olan IP adresleriyle yapılandırılmış sanal (yani, fiziksel olmayan) arayüzlere sahip olmasını sağlar. Bu, yönlendiricideki tek bir Ethernet portunu birden fazla fiziksel Ethernet portu olarak işlev görecek şekilde "çoğaltmanıza" izin verir.

Yönlendiricinizi anahtarlarınızdan birindeki bir bağlantı portuna takın ve her kiracının IP adresleme şemasına karşılık gelen sanal alt arabirimleri yapılandırın. Her sanal alt arabirim, her bir Müşteriye atanan VLAN numarası ile yapılandırılmıştır. Bir çerçeve, anahtar üzerindeki bağlantı noktasını yönlendiriciye bağlandığında, başlangıç ​​VLAN numarasına sahip bir etiket taşıyacaktır (bu, bir bağlantı noktası olduğundan). Yönlendirici bu etiketi yorumlar ve paketi, VLAN'a karşılık gelen özel bir fiziksel arabirime varmış gibi ele alır. Benzer şekilde, yönlendirici bir talebe yanıt olarak anahtara bir çerçeve gönderdiğinde, çerçeveye bir VLAN etiketi eklenir, böylece anahtar, tepki çerçevesinin hangi VLAN'ın verileceğini bilir. Gerçekte, yönlendiriciyi yalnızca anahtar ile yönlendirici arasında tek bir fiziksel bağlantı kullanırken, birden çok VLAN'da fiziksel bir aygıt olarak "görünecek" şekilde yapılandırdınız.

Çubuklar ve Katman 3 Anahtarları Yönlendiriciler

Sanal alt arabirimleri kullanarak, 25+ Ethernet arabirimine sahip bir yönlendirici satın almak zorunda kalmadan tüm kiracılarınıza İnternet bağlantısı satabiliyordunuz. BT başarılarınızdan oldukça memnunsunuz, bu nedenle kiracılarınızdan ikiniz size yeni bir istekle geldiğinde olumlu yanıt veriyorsunuz.

Bu kiracılar bir projede "iş ortağı" olmayı seçtiler ve bir kiracı ofisindeki (bir VLAN'ı) istemci bilgisayarlardan diğer kiracı ofisindeki (başka bir VLAN) bir sunucu bilgisayarına erişime izin vermek istiyorlar. Her ikisi de İnternet hizmetinizin Müşterileri olduklarından, trafiğin kendi VLAN'ları arasında akmasına izin vermek için ana Internet yönlendiricinizde (bu kiracının VLAN'lerinin her biri için yapılandırılmış bir sanal alt arabirimin bulunduğu) bir ACL'deki oldukça basit bir değişikliktir. VLAN'larından internete gelince. Değişimi yap ve kiracıları yoluna gönder.

Ertesi gün, bir ofiste bulunan istemci bilgisayarlar ile ikinci ofisteki sunucuya erişen kiracılardan şikayetleriniz çok yavaştır. Sunucu ve istemci bilgisayarların her ikisi de anahtarlarınız için gigabit Ethernet bağlantılarına sahiptir, ancak dosyalar sadece yaklaşık 45Mbps hızında aktarılır, bu da rastlantısal olarak çekirdek yönlendiricinizin anahtarına bağlandığı hızın yaklaşık yarısıdır. Açıkça, kaynak VLAN'dan yönlendiriciye akan ve yönlendiriciden hedef VLAN'a geri giden trafiğin yönlendiricinin anahtara olan bağlantısı darboğaz altındadır.

Çekirdek yönlendiricinizle yaptığınız, VLAN'lar arasındaki trafiği yönlendirmesine izin veren, yaygın olarak "çubuk üzerinde yönlendirici" (tartışmasız aptalca kaprisli bir örtbas etme) olarak bilinir. Bu strateji iyi çalışabilir, ancak trafik yalnızca VLAN'lar arasında yönlendiricinin anahtarla bağlantısının kapasitesine kadar akabilir. Eğer bir şekilde, yönlendirici Ethernet anahtarının kendisinin "bağırsakları" ile birleştiyse, trafiği daha da hızlı bir şekilde yönlendirebilirdi (çünkü, Ethernet anahtarının kendisi, üretici firmanın özelliklerine göre, trafiğin 2Gbps'ini geçebiliyordu).

Bir "katman 3 anahtarı", mantıksal olarak, kendi içine gömülmüş bir yönlendirici içeren bir Ethernet anahtarıdır. Bir katman 3 anahtarını, anahtarın içinde saklanan küçük ve hızlı bir yönlendiriciye sahip olarak düşünmek son derece yardımcı olur. Ayrıca, yönlendirme işlevini katman 3 anahtarının sağladığı Ethernet anahtarlama işlevinden ayrı olarak ayrı bir işlev olarak düşünmenizi öneririm. Bir katman 3 anahtarı, tüm amaç ve amaçlar için, tek bir şasiye sarılmış iki farklı aygıttır.

Katman 3 anahtarındaki gömülü yönlendirici, anahtarın dahili anahtarlama kumaşına, tipik olarak, paketlerin VLAN'lar arasında ya da tel hızına yakın olarak yönlendirilmesine izin veren bir hızda bağlıdır. "Çubuğa yönlendirici" üzerinde yapılandırdığınız sanal alt arabirimlere benzer şekilde, katman 3 anahtarının içindeki bu yerleşik yönlendirici, her VLAN'a "erişim" bağlantısı olarak "görünen" sanal arabirimlerle yapılandırılabilir. Sanal alt arabirimler olarak adlandırılmak yerine, VLAN'lardan bir katman 3 anahtarının içindeki yerleşik yönlendiriciye bu mantıksal bağlantılar Anahtar Sanal Arayüzler (SVI'ler) olarak adlandırılır. Aslında, bir katman 3 anahtarının içindeki gömülü yönlendiricinin, anahtar üzerindeki VLAN'lardan herhangi birine "takılabilen" bir miktar "sanal bağlantı noktası" vardır.

Gömülü yönlendirici, fiziksel yöneltici ile aynı şekilde çalışır, ancak fiziksel olarak aynı yönlendirme protokolüne veya erişim kontrol listesi (ACL) özelliklerine sahip değildir. ) açın. Gömülü yönlendirici, çok hızlı olma ve takılı olduğu bir fiziksel anahtar bağlantı noktasıyla ilişkili bir tıkanıklığa sahip olmama avantajına sahiptir.

Burada, "iş ortağı" kiracılarla yaptığımız örnekte, bir katman 3 anahtarı elde etmeyi seçebilir, Müşteri VLAN'larından gelen trafiğin kendisine ulaşacağı şekilde bagaj bağlantı noktalarına takın, ardından SVI'leri IP adresleri ve VLAN üyelikleriyle yapılandırın. Müşteriler VLAN'larında "görünür". Bunu yaptıktan sonra sadece ana yönlendiricinizdeki yönlendirme tablosunu ve katman 3'teki gömülü yönlendiriciyi değiştirmek, kiracıların VLAN'ları arasında akan trafiğin 3. katmandaki dahili yönlendirici tarafından yönlendirileceği şekilde değiştirilir. msgstr "çubuk üzerindeki yönlendirici".

Bir katman 3 anahtarı kullanmak, anahtarlarınızı birbirine bağlayan ana hat bağlantı noktalarının bant genişliği ile ilişkili darboğazlar olmayacağı anlamına gelmez. Bu, VLAN'ların adresiyle ilgili ortogonal bir endişedir. VLAN'ların bant genişliği sorunları ile ilgisi yoktur. Tipik olarak, bant genişliği sorunları, daha yüksek hızlı geçişler arası bağlantılar elde etmek veya birkaç düşük hızlı bağlantıyı sanal yüksek hızlı bir bağlantıya "bağlamak" için bağlantı toplama protokollerini kullanarak çözülür. Daha sonra 3 anahtarın içindeki yerleşik yönlendirici tarafından yönlendirilecek çerçeveler oluşturan tüm aygıtlar, kendileri, doğrudan 3. katmandaki bağlantı noktalarına takılı olmadıkça, anahtarların arasındaki bantların bant genişliği hakkında endişelenmeniz gerekir. Katman 3 anahtarı, her derde deva değildir, ancak genellikle "çubuk üzerindeki yönlendirici" den daha hızlıdır.

Dinamik VLAN'lar

Son olarak, dinamik VLAN üyeliği sağlamak için bazı anahtarlarda bir işlev vardır. Belirli bir VLAN için erişim portu olmak için belirli bir portu atamak yerine, portun konfigürasyonu (erişim veya gövde ve hangi VLAN'lar), bir cihaz bağlandığında dinamik olarak değiştirilebilir. Dinamik VLAN'lar daha gelişmiş bir konudur, ancak işlevselliğin mevcut olduğunu bilmenin yararı olabilir.

İşlevler, satıcılar arasında farklılık gösterir, ancak tipik olarak, bağlı cihazın MAC adresi, cihazın 802.1X kimlik doğrulama durumu, tescilli ve standart tabanlı protokoller (örneğin, IP telefonlarına izin vermek için CDP ve LLDP) temelinde dinamik VLAN üyeliği yapılandırabilirsiniz. "ses trafiği için VLAN numarasını", istemci aygıtına atanan IP alt ağını veya Ethernet protokol türünü "keşfedin".


205
2017-10-07 04:37



Yine altın için mi gidiyorsun? :) - squillman
+1 Açıkçası buna ciddi bir çaba gösterdin, teşekkürler! - Tim Long
+1: Vay canına! Mükemmel cevap. - Arun Saha
buna bayıl: "yetkisiz pro bono sistemi yönetim hizmetleri";) - problemPotato
@guntbert - Bunun size yardımcı olduğuna sevindim. - Evan Anderson


VLAN'lar "Sanal Yerel Alan Ağları" dır. Aşağıda benim anlayışım - arka plan öncelikle OO programlama ve çok komut dosyası bir tarafı ile Sistem Mühendisliği ve Yönetim.

VLAN'ların, birden fazla donanım aygıtında yalıtılmış bir ağ oluşturması amaçlanmıştır. Eski zamanlarda geleneksel bir LAN sadece belirli bir ağa adanmış tek bir donanım aygıtınız olduğunda var olabilir. Bu ağ cihazına bağlı tüm sunucular / cihazlar (Tarihsel zaman dilimine bağlı olarak Switch veya Hub) genellikle LAN arasında serbestçe iletişim kurabilir.

Bir VLAN, çeşitli ağ cihazlarını birbirine bağlayabilmeniz ve sunucuları bir VLAN'da birlikte gruplayarak, böylece tek bir LAN için "özel" bir ağ cihazına sahip olma ihtiyacını ortadan kaldırarak izole edilmiş ağlar oluşturabileceğinizden farklıdır. Yapılandırılabilir VLAN'ların ve desteklenen sunucuların / cihazların sayısı, ağ aygıtı üreticileri arasında farklılık gösterecektir.

Yine satıcıya bağlı olarak, düşünmek Aynı VLAN'ın parçası olmak için tüm sunucuların aynı alt ağda olması gerekir. Eski ağ yapılandırmaları ile yaptıklarıma inanıyorum (ağ mühendisleri düzeltmeyi buraya yerleştirin).

VLAN'ı VPN'den ayıran şey "Özel" için "P" harfi. Genellikle VLAN trafiği şifrelenmez.

Umarım yardımcı olur!


8
2017-10-07 02:46



VLAN'ları anlamak için çok ihtiyaç duyulan kısa bir ağ geçidi cevabı. Daha fazla iktidar, bir çok ayrıntıya girer ve bu nedenle, konuyla ilgili hızlı bilgi / anlayış kazanmak istiyorsanız, kâhya için iyi olabilir. Şimdi bu cevaptan ne yaptığımı biliyorum, daha fazla bilgi edinmek için her zaman geri dönebilirim. - Harsh Kanchina