Frage Wie funktionieren VLANs?


Was sind VLANs? Welche Probleme lösen sie?

Ich helfe einem Freund, grundlegende Netzwerke zu lernen, da er gerade der einzige Systemadministrator in einem kleinen Unternehmen geworden ist. Ich habe ihn auf verschiedene Fragen / Antworten zu Serverfault in Bezug auf verschiedene Netzwerkthemen hingewiesen und eine Lücke bemerkt - es scheint keine Antwort zu geben, die von Grund auf die VLANs erklärt. Im Geist von Wie funktioniert Subnetting?Ich dachte, es wäre nützlich, hier eine Frage mit einer kanonischen Antwort zu haben.

Einige mögliche Themen, die in einer Antwort behandelt werden sollten:

  • Was sind VLANs?
  • Welche Probleme sollten sie lösen?
  • Wie haben die Dinge vor VLANs funktioniert?
  • Wie verhalten sich VLANs zu Subnetzen?
  • Was sind SVIs?
  • Was sind Trunk-Ports und Access-Ports?
  • Was ist VTP?

EDIT: um klar zu sein, ich weiß bereits, wie VLANs funktionieren - ich denke nur, dass Serverfault eine Antwort haben sollte, die diese Fragen abdeckt. Wenn es die Zeit erlaubt, werde ich auch meine eigene Antwort einreichen.


115
2017-10-06 23:17


Ursprung


vielleicht noch eine Frage: Was sind die Unterschiede zwischen statischen und dynamischen VLANs? Wie können sie verwaltet werden? Und noch eins: Was sind die Standards für die VLAN-Interoperabilität zwischen Anbietern? - Hubert Kario
Wie Motte, um zu flammen, bin ich angekommen und habe meine 4.000 Wörter hinzugefügt ... (Ich nehme an, ich kann leben, wenn es ein Community-Wiki ist ... ich schätze, ich brauche wirklich nicht den Rep ...> lächle <) - Evan Anderson
@Evan: Ich habe etwas gehofft, dass du auftauchen würdest. Ich muss allerdings zugeben, dass ich es mit ein wenig mehr Wiederholungen hätte machen können, bevor ich das auf CW umdrehen würde. :) - Murali Suriar


Antworten:


Virtuelle LANs (VLANs) sind eine Abstraktion, die es einem einzelnen physikalischen Netzwerk erlaubt, die Funktionalität mehrerer paralleler physikalischer Netzwerke zu emulieren. Dies ist praktisch, weil es Situationen geben kann, in denen Sie die Funktionalität mehrerer paralleler physischer Netzwerke benötigen, aber Sie würden lieber kein Geld für den Kauf paralleler Hardware ausgeben. Ich werde in dieser Antwort über Ethernet-VLANs sprechen (auch wenn andere Netzwerktechnologien VLANs unterstützen können) und ich werde nicht tief in jede Nuance eintauchen.

Ein konstruiertes Beispiel und ein Problem

Stellen Sie sich als reines Beispielszenario vor, Sie besitzen ein Bürogebäude, das Sie an Mieter vermieten. Als ein Vorteil des Mietvertrags erhält jeder Mieter in jedem Raum des Büros Live-Ethernet-Anschlüsse. Sie kaufen einen Ethernet-Switch für jede Etage, verbinden sie mit den Anschlüssen in jedem Büro auf dieser Etage und verdrahten alle Switches miteinander.

Zunächst leasen Sie Platz für zwei verschiedene Mandanten - einen im ersten Stock und einen zweiten. Jeder dieser Mandanten konfiguriert seine Computer mit statischen IPv4-Adressen. Beide Mandanten verwenden unterschiedliche TCP / IP-Subnetze und alles scheint gut zu funktionieren.

Später mietet ein neuer Mieter die Hälfte von Floor 3 und bringt einen dieser neumodischen DHCP-Server auf den Markt. Die Zeit vergeht und der Mieter im ersten Stock beschließt, ebenfalls auf den DHCP-Zug aufzuspringen. Dies ist der Punkt, an dem die Dinge schief gehen. Die Mieter der Etage 3 berichten, dass einige ihrer Computer "komische" IP-Adressen von einem Computer bekommen, der nicht ihr DHCP-Server ist. Bald melden die Mieter der Etage 1 dasselbe.

DHCP ist ein Protokoll, das die Broadcast-Fähigkeit von Ethernet nutzt, um Client-Computern zu ermöglichen, IP-Adressen dynamisch zu beziehen. Da sich die Mandanten alle im selben physischen Ethernet-Netzwerk befinden, teilen sie dieselbe Broadcast-Domäne. Ein Broadcast-Paket, das von einem beliebigen Computer im Netzwerk gesendet wird, übergibt alle Switch-Ports an jeden anderen Computer. Die DHCP-Server in den Stockwerken 1 und 3 werden alle Anfragen für IP-Adressen-Leases erhalten und werden sich duellieren, um zu sehen, wer zuerst antworten kann. Dies ist eindeutig nicht das Verhalten, das Sie von Ihren Mietern erwarten. Dies ist das Verhalten eines "flachen" Ethernet-Netzwerks ohne VLANs.

Schlimmer noch, ein Mieter in Stock 2 erwirbt diese "Wireshark" -Software und berichtet, dass sie von Zeit zu Zeit Verkehr aus ihrem Switch sehen, der auf Computer und IP-Adressen verweist, von denen sie noch nie gehört haben. Einer seiner Mitarbeiter hat sogar herausgefunden, dass er mit diesen anderen Computern kommunizieren kann, indem er die IP-Adresse seines PCs von 192.168.1.38 auf 192.168.0.38 ändert! Vermutlich ist er nur ein paar Schritte davon entfernt, für einen der anderen Mieter "nicht autorisierte Pro-Bono-Systemverwaltungsdienste" auszuführen. Nicht gut.

Potentielle Lösungen

Sie brauchen eine Lösung! Sie könnten einfach die Stecker zwischen den Etagen ziehen und das würde alle unerwünschten Kommunikation abschneiden! Ja! Das ist das Ticket ...

Das könnte funktionieren, außer dass Sie einen neuen Mieter haben, der die Hälfte des Untergeschosses und die unbewohnte Hälfte von Stockwerk 3 vermietet. Wenn zwischen dem Etagenschalter 3 und dem Kellerschalter keine Verbindung besteht, kann der neue Mieter keine Kommunikation zwischen ihm und ihm herstellen ihre Computer, die auf beiden Etagen verteilt werden. Das Ziehen der Stecker ist nicht die Antwort. Schlimmer noch, der neue Mieter bringt noch hinzu Ein weiterer einer dieser DHCP-Server!

Sie flirten mit der Idee, physisch getrennte Sätze von Ethernet-Switches für jeden Mieter zu kaufen, aber wenn Sie sehen, wie Ihr Gebäude 30 Stockwerke hat, von denen jedes auf 4 Arten unterteilt werden kann, nisten die potenziellen Ratten von Boden zu Boden Kabel dazwischen Eine massive Anzahl von parallelen Ethernet-Switches könnte ein Albtraum sein, ganz zu schweigen von teuren. Wenn es nur einen Weg gäbe, ein physikalisches Ethernet-Netzwerk so zu gestalten, als ob es mehrere physikalische Ethernet-Netzwerke wären, jedes mit einer eigenen Broadcast-Domäne.

VLANs zur Rettung

VLANs sind eine Antwort auf dieses unordentliche Problem. Mit VLANs können Sie einen Ethernet-Switch in logisch unterschiedliche virtuelle Ethernet-Switches unterteilen. Dadurch kann ein einzelner Ethernet-Switch so funktionieren, als wären es mehrere physische Ethernet-Switches. Im Falle Ihrer unterteilten Etage 3 zum Beispiel könnten Sie Ihren 48-Port-Switch so konfigurieren, dass die unteren 24 Ports in einem bestimmten VLAN (das wir VLAN 12 nennen) und die höheren 24 Ports in einem bestimmten VLAN ( was wir VLAN 13 nennen). Wenn Sie die VLANs auf Ihrem Switch erstellen, müssen Sie ihnen einen bestimmten VLAN-Namen oder eine VLAN-Nummer zuweisen. Die Zahlen, die ich hier benutze, sind meistens willkürlich, also mach dir keine Sorgen darüber, welche spezifischen Zahlen ich auswähle.

Nachdem Sie den floor 3-Switch in die VLANs 12 und 13 aufgeteilt haben, können Sie den DHCP-Server des neuen Floor 3-Mandanten an einen der VLAN 13 zugewiesenen Ports und einen an einen VLAN 12-Port angeschlossenen PC einstecken. t eine IP-Adresse vom neuen DHCP-Server erhalten. Ausgezeichnet! Problem gelöst!

Oh, warte ... wie bekommen wir diese VLAN 13 Daten in den Keller?

VLAN-Kommunikation zwischen Switches

Ihre Halbgeschoss- und Halbuntermieter möchten Computer im Keller mit ihren Servern auf Etage 3 verbinden. Sie könnten ein Kabel direkt von einem der Ports, die ihrem VLAN zugeordnet sind, in den Etagenschalter 3 in den Keller und das Leben führen wäre gut, oder?

In den frühen Tagen von VLANs (vor 802.1Q-Standard) könnten Sie genau das tun. Der gesamte Kellerschalter wäre effektiv ein Teil von VLAN 13 (das VLAN, das Sie dem neuen Mieter im 3. Stock und im Keller zugewiesen haben), da dieser Kellerschalter von einem zugewiesenen Port auf Etage 3 "gespeist" würde zu VLAN 13.

Diese Lösung würde funktionieren, bis Sie die andere Hälfte des Kellers zu Ihrem Stockwerk mieten 1 Mieter, der auch Kommunikation zwischen ihren ersten Stock und Kellercomputer haben möchte. Sie könnten den Kellerschalter mithilfe von VLANs (z. B. in VLANS 2 und 13) aufteilen und ein Kabel von Stockwerk 1 zu einem im Untergeschoss zu VLAN 2 zugewiesenen Anschluss führen, aber Sie können besser einschätzen, dass dies schnell zu einem Rattennest werden könnte von Kabeln (und wird nur noch schlimmer werden). Das Teilen von Switches mit VLANs ist gut, aber mehrere Kabel von anderen Switches zu Ports führen zu müssen, die Mitglieder verschiedener VLANs sind, scheint chaotisch zu sein. Zweifellos, wenn Sie den Keller Switch 4 Wege zwischen Mietern teilen mussten, die auch Platz in höheren Etagen hatten, würden Sie 4 Ports im Keller Schalter verwenden, nur um "feeder" Kabel von oben VLANs zu beenden.

Es sollte nun klar sein, dass irgendeine Art von verallgemeinerter Methode zum Bewegen von Verkehr von mehreren VLANs zwischen Switches auf einem einzelnen Kabel benötigt wird. Das Hinzufügen weiterer Kabel zwischen Switches zur Unterstützung von Verbindungen zwischen verschiedenen VLANs ist keine skalierbare Strategie. Schließlich, mit genügend VLANs, werden Sie alle Ports Ihrer Switches mit diesen Inter-VLAN / Inter-Switch-Verbindungen auffressen. Was benötigt wird, ist eine Möglichkeit, die Pakete von mehreren VLANs entlang einer einzigen Verbindung zu übertragen - eine "Trunk" -Verbindung zwischen Switches.

Bis zu diesem Punkt werden alle Switch-Ports, über die wir gesprochen haben, "Access" -Ports genannt. Das heißt, diese Ports sind für den Zugriff auf ein einzelnes VLAN reserviert. Die an diese Ports angeschlossenen Geräte haben selbst keine spezielle Konfiguration. Diese Geräte "wissen" nicht, dass irgendwelche VLANs vorhanden sind. Frames, die die Clientgeräte senden, werden an den Switch geliefert, der dann dafür sorgt, dass der Frame nur an Ports gesendet wird, die als Mitglieder des VLAN zugewiesen sind, das dem Port zugewiesen ist, an dem der Frame in den Switch eingegeben wurde. Wenn ein Frame in den Switch an einem Port eingeht, der als Mitglied von VLAN 12 zugewiesen ist, dann sendet der Switch nur diesen Frame aus Ports, die Mitglieder von VLAN 12 sind. Der Switch "kennt" die VLAN-Nummer, die einem Port zugewiesen ist, von dem er ein empfängt Frame und irgendwie weiß, nur diesen Frame aus Ports des gleichen VLAN zu liefern.

Wenn es einen Weg für einen Switch gäbe, die VLAN-Nummer, die mit einem gegebenen Frame assoziiert ist, mit anderen Switches zu teilen, könnte der andere Switch richtig handhaben, diesen Frame nur an die entsprechenden Zielports zu liefern. Dies ist das, was das 802.1Q-VLAN-Tagging-Protokoll tut. (Es ist erwähnenswert, dass einige Anbieter vor 802.1Q ihre eigenen Standards für VLAN-Tagging und Inter-Switch-Trunking aufgestellt haben. Diese Vor-Standard-Methoden wurden in den meisten Fällen durch 802.1Q verdrängt.)

Wenn Sie zwei VLAN-fähige Switches miteinander verbunden haben und diese Switches Frames untereinander an das richtige VLAN senden sollen, verbinden Sie diese Switches über "Trunk" -Ports. Dies beinhaltet die Änderung der Konfiguration eines Ports bei jedem Switch vom "Access" -Modus zum "Trunk" -Modus (in einer sehr einfachen Konfiguration).

Wenn ein Port im Trunk-Modus konfiguriert ist, wird für jeden Frame, den der Switch an diesen Port sendet, ein "VLAN-Tag" im Frame enthalten sein. Dieses "VLAN-Tag" war nicht Teil des ursprünglichen Frames, den der Client gesendet hat. Stattdessen wird dieses Tag vom sendenden Switch hinzugefügt, bevor der Frame aus dem Trunk-Port gesendet wird. Dieses Tag kennzeichnet die VLAN-Nummer, die dem Port zugeordnet ist, von dem der Frame stammt.

Der empfangende Switch kann das Tag betrachten, um zu bestimmen, aus welchem ​​VLAN der Frame stammt, und den Frame basierend auf diesen Informationen nur Ports weiterleiten, die dem Ursprungs-VLAN zugewiesen sind. Da die an "Zugriff" -Ports angeschlossenen Geräte nicht wissen, dass VLANs verwendet werden, muss die "Tag" -Information aus dem Rahmen entfernt werden, bevor sie an einen Port gesendet wird, der im Zugriffsmodus konfiguriert ist. Durch das Entfernen der Tag-Informationen wird der gesamte VLAN-Trunking-Prozess vor Client-Geräten verborgen, da der von ihnen empfangene Frame keine VLAN-Tag-Informationen enthält.

Bevor Sie VLANs im wirklichen Leben konfigurieren, empfehle ich, einen Port für den Trunk-Modus auf einem Test-Switch zu konfigurieren und den Verkehr, der über diesen Port gesendet wird, mit einem Sniffer (wie Wireshark) zu überwachen. Sie können einen bestimmten Datenverkehr von einem anderen Computer erstellen, der an einen Zugriffsport angeschlossen ist, und erkennen, dass die Frames, die den Trunk-Port verlassen, tatsächlich größer sind als die Frames, die von Ihrem Testcomputer gesendet werden. Sie sehen die VLAN-Tag-Informationen in den Frames in Wireshark. Ich finde, dass es sich wirklich lohnt zu sehen, was in einem Sniffer passiert. Das Lesen des 802.1Q-Tagging-Standards ist auch anständig (zumal ich nicht von Dingen wie "native VLANs" oder Double-Tagging) spreche.

VLAN-Konfiguration Alpträume und die Lösung

Wenn Sie mehr und mehr Platz in Ihrem Gebäude mieten, wächst die Anzahl der VLANs. Jedes Mal, wenn Sie ein neues VLAN hinzufügen, müssen Sie sich an immer mehr Ethernet-Switches anmelden und dieses VLAN zur Liste hinzufügen. Wäre es nicht großartig, wenn es eine Methode gäbe, mit der Sie dieses VLAN zu einem einzigen Konfigurationsmanifest hinzufügen könnten und es automatisch die VLAN-Konfiguration jedes Switches füllen würde?

Protokolle wie das proprietäre "VLAN Trunking Protocol" (VTP) von Cisco oder das auf Standards basierende "Multiple VLAN Registration Protocol" (MVRP - früher GVRP genannt) erfüllen diese Funktion. In einem Netzwerk, das diese Protokolle verwendet, führt ein einzelner VLAN-Erstellungs- oder Löscheintrag dazu, dass Protokollnachrichten an alle Switches im Netzwerk gesendet werden. Diese Protokollnachricht übermittelt die Änderung der VLAN-Konfiguration an die übrigen Switches, die wiederum ihre VLAN-Konfigurationen ändern. VTP und MVRP befassen sich nicht mit den spezifischen Ports, die als Zugriffsports für bestimmte VLANs konfiguriert sind, sondern sind vielmehr nützlich, um das Erstellen oder Löschen von VLANs an alle Switches zu kommunizieren.

Wenn Sie sich mit VLANs vertraut gemacht haben, werden Sie wahrscheinlich zurückgehen und über "VLAN-Beschneidung" lesen, die mit Protokollen wie VTP und MVRP verbunden ist. Für jetzt ist es nichts, mit dem enorm betroffen werden. (Das VTP-Artikel auf Wikipedia hat ein schönes Diagramm, das VLAN-Beschneidung und die Vorteile damit erklärt.)

Wann verwenden Sie VLANs im wirklichen Leben?

Bevor wir weiter gehen, ist es wichtig, über das wirkliche Leben nachzudenken, anstatt über erfundene Beispiele nachzudenken. Anstatt den Text einer anderen Antwort hier zu duplizieren, werde ich Sie verweisen Meine Antwort zu: Wann VLANs zu erstellen. Es ist nicht unbedingt "Anfängerlevel", aber es lohnt sich, einen Blick darauf zu werfen, da ich kurz darauf verweisen werde, bevor ich zu einem erfundenen Beispiel zurückkehre.

Für die "tl; dr" - Crowd (die an dieser Stelle sicherlich alle aufgehört haben zu lesen), lautet der Kern dieses Links: Erstellen Sie VLANs, um Broadcast - Domains kleiner zu machen oder wenn Sie den Traffic aus einem bestimmten Grund (Sicherheit , Politik usw.). Es gibt keine wirklich guten Gründe, VLANs zu verwenden.

In unserem Beispiel verwenden wir VLANs, um Broadcast-Domains zu begrenzen (um Protokolle wie DHCP in Ordnung zu halten), und zweitens, weil wir Isolation zwischen den Netzwerken der verschiedenen Mandanten wünschen.

Ein Beifall: IP-Subnetze und VLANs

Im Allgemeinen gibt es eine typische Eins-zu-eins-Beziehung zwischen VLANs und IP-Subnetzen, um die Isolation zu erleichtern und um zu sehen, wie das ARP-Protokoll funktioniert.

Wie wir am Anfang dieser Antwort gesehen haben, können zwei verschiedene IP-Subnetze auf demselben physikalischen Ethernet ohne Probleme verwendet werden. Wenn Sie VLANs zum Verkleinern von Broadcast-Domänen verwenden, möchten Sie dasselbe VLAN nicht mit zwei verschiedenen IP-Subnetzen teilen, da Sie ihren ARP- und anderen Broadcast-Verkehr kombinieren.

Wenn Sie VLANs verwenden, um Datenverkehr aus Sicherheits- oder Richtliniengründen zu trennen, werden Sie wahrscheinlich auch nicht mehrere Subnetze in demselben VLAN kombinieren wollen, da Sie den Zweck der Isolierung vereiteln werden.

IP verwendet ein Broadcast-basiertes Protokoll, das Address Resolution Protocol (ARP), um IP-Adressen auf physikalische (Ethernet MAC) Adressen abzubilden. Da ARP broadcastbasiert ist, wäre das Zuweisen verschiedener Teile desselben IP-Subnetzes zu verschiedenen VLANs problematisch, da Hosts in einem VLAN ARP-Antworten von Hosts in dem anderen VLAN nicht empfangen könnten, da Broadcasts nicht zwischen VLANs weitergeleitet werden. Sie könnten dieses "Problem" lösen, indem Sie Proxy-ARP verwenden, aber wenn Sie keinen wirklich guten Grund haben, ein IP-Subnetz auf mehrere VLANs zu verteilen, ist es besser, dies nicht zu tun.

Ein letzter Aspekt: ​​VLANs und Sicherheit

Schließlich ist es erwähnenswert, dass VLANs kein großartiges Sicherheitsgerät sind. Viele Ethernet-Switches weisen Fehler auf, die es ermöglichen, dass Frames, die von einem VLAN stammen, an Ports gesendet werden, die einem anderen VLAN zugewiesen sind. Hersteller von Ethernet-Switches haben hart gearbeitet, um diese Fehler zu beheben, aber es ist zweifelhaft, dass es jemals eine vollständig fehlerfreie Implementierung geben wird.

Im Falle unseres erfundenen Beispiels könnte der Angestellte der Etage 2, der gerade nicht in der Lage ist, einem anderen Mieter kostenlose Systemverwaltungs- "Dienste" bereitzustellen, dadurch davon abgehalten werden, seinen Verkehr in ein VLAN zu isolieren. Er könnte auch herausfinden, wie man Fehler in der Switch-Firmware ausnutzt, um seinen Datenverkehr auch auf das VLAN eines anderen Mandanten "auslaufen" zu lassen.

Metro-Ethernet-Anbieter verlassen sich zunehmend auf die VLAN-Tagging-Funktionalität und die Isolation, die Switches bieten. Es ist nicht fair zu sagen, dass es da ist Nein Sicherheit durch die Verwendung von VLANs. Es ist jedoch fair zu sagen, dass es in Situationen mit nicht vertrauenswürdigen Internetverbindungen oder DMZ-Netzwerken wahrscheinlich besser ist, physisch getrennte Switches zu verwenden, um diesen "empfindlichen" Verkehr statt VLANs auf Switches zu transportieren, die auch Ihren vertrauenswürdigen "hinter der Firewall" -Verkehr tragen.

Bring Layer 3 in das Bild

Bisher bezieht sich alles, worüber diese Antwort gesprochen hat, auf die Schicht 2 - Ethernet-Rahmen. Was passiert, wenn wir damit beginnen, Schicht 3 einzubringen?

Gehen wir zurück zu dem konstruierten Beispiel. Sie haben sich VLANs zu eigen gemacht, die sich dafür entscheiden, die Ports jedes Mandanten als Mitglieder von separaten VLANs zu konfigurieren. Sie haben Trunk-Ports so konfiguriert, dass der Switch jeder Etage Frames, die mit der ursprünglichen VLAN-Nummer versehen sind, mit den Switches im Stockwerk über und unter austauschen kann. Ein Mieter kann Computer über mehrere Stockwerke verteilt haben, aber aufgrund seiner geschickten VLAN-Konfigurationsfähigkeiten können diese physisch verteilten Computer alle als Teil desselben physischen LANs erscheinen.

Sie sind so voll mit Ihren IT-Leistungen, dass Sie sich dazu entschließen, Ihren Mietern Internet-Konnektivität anzubieten. Sie kaufen eine dicke Internet-Leitung und einen Router. Du treibst die Idee an alle deine Mieter und zwei von ihnen sofort Buy-in. Zum Glück hat Ihr Router drei Ethernet-Ports. Sie verbinden einen Port mit Ihrer fetten Internet-Pipe, einen anderen Port mit einem Switch-Port für den Zugriff auf das VLAN des ersten Tenants und den anderen Port für den Zugriff auf das VLAN des zweiten Tenants. Sie konfigurieren die Ports Ihres Routers mit IP-Adressen im Netzwerk jedes Mandanten, und die Mandanten beginnen über Ihr Service auf das Internet zuzugreifen! Der Umsatz steigt und du bist glücklich.

Bald jedoch beschließt ein anderer Mieter, in Ihr Internet-Angebot einzusteigen. Sie haben jedoch keine Ports auf Ihrem Router. Was ist zu tun?

Glücklicherweise haben Sie einen Router gekauft, der das Konfigurieren von "virtuellen Subschnittstellen" an seinen Ethernet-Ports unterstützt. Kurz gesagt ermöglicht diese Funktionalität dem Router, mit Ursprungs-VLAN-Nummern gekennzeichnete Rahmen zu empfangen und zu interpretieren und virtuelle (dh nicht physische) Schnittstellen mit IP-Adressen zu konfigurieren, die für jedes VLAN, mit dem es kommunizieren wird, geeignet sind. Dies ermöglicht es Ihnen, einen einzelnen Ethernet-Port am Router so zu "multiplexen", dass er wie mehrere physische Ethernet-Ports zu funktionieren scheint.

Sie verbinden Ihren Router mit einem Trunk-Port an einem Ihrer Switches und konfigurieren virtuelle Subschnittstellen, die dem IP-Adressierungsschema jedes Tenants entsprechen. Jede virtuelle Subschnittstelle wird mit der jedem Kunden zugewiesenen VLAN-Nummer konfiguriert. Wenn ein Frame den Trunk-Port des Switches verlässt, der an den Router gebunden ist, trägt er ein Tag mit der ursprünglichen VLAN-Nummer (da es sich um einen Trunk-Port handelt). Der Router interpretiert dieses Tag und behandelt das Paket so, als ob es auf einer dedizierten physischen Schnittstelle empfangen würde, die diesem VLAN entspricht. Wenn der Router als Reaktion auf eine Anforderung einen Rahmen an den Switch sendet, fügt er dem Frame ebenfalls ein VLAN-Tag hinzu, so dass der Switch weiß, an welches VLAN der Response-Frame übermittelt werden soll. In der Tat haben Sie den Router so konfiguriert, dass er als physisches Gerät in mehreren VLANs angezeigt wird, während nur eine einzige physische Verbindung zwischen dem Switch und dem Router verwendet wird.

Router auf Sticks und Layer 3 Switches

Mit virtuellen Subschnittstellen können Sie Internetverbindungen zu all Ihren Mietern verkaufen, ohne einen Router mit über 25 Ethernet-Schnittstellen kaufen zu müssen. Sie sind ziemlich zufrieden mit Ihren IT-Leistungen, so dass Sie positiv reagieren, wenn zwei Ihrer Mieter mit einer neuen Anfrage zu Ihnen kommen.

Diese Mandanten haben sich für ein Projekt als "Partner" entschieden und möchten den Zugriff von Clientcomputern im Büro eines Mandanten (ein bestimmtes VLAN) auf einen Servercomputer im Büro des anderen Mandanten (ein anderes VLAN) zulassen. Da es sich bei beiden um Kunden Ihres Internetdienstes handelt, handelt es sich um eine relativ einfache Änderung einer ACL in Ihrem zentralen Internet-Router (auf dem für jedes dieser VLANs eine virtuelle Subschnittstelle konfiguriert ist), um den Datenverkehr zwischen ihren VLANs zu ermöglichen sowie das Internet von ihren VLANs. Du machst die Änderung und schickst die Mieter auf ihren Weg.

Am nächsten Tag erhalten Sie Beschwerden von beiden Mandanten, dass der Zugriff zwischen den Client-Computern in einem Büro auf den Server im zweiten Büro sehr langsam ist. Die Server- und Clientcomputer verfügen beide über Gigabit-Ethernet-Verbindungen zu Ihren Switches, die Dateien werden jedoch nur mit etwa 45 Mbit / s übertragen, was in etwa der Hälfte der Geschwindigkeit entspricht, mit der Ihr Core-Router mit dem Switch verbunden ist. Der Verkehr, der vom Quell-VLAN zum Router und zurück vom Router zum Ziel-VLAN fließt, wird eindeutig durch die Verbindung des Routers mit dem Switch blockiert.

Was Sie mit Ihrem Core-Router getan haben, um den Datenverkehr zwischen VLANs zu routen, wird gemeinhin als "Router on a stick" bezeichnet (ein vermutlich dummer, skurriler Euphemismus). Diese Strategie kann gut funktionieren, aber Verkehr kann nur zwischen den VLANs bis zur Kapazität der Verbindung des Routers mit dem Switch fließen. Wenn der Router irgendwie mit dem "Mut" des Ethernet-Switches verbunden werden könnte, könnte er den Datenverkehr noch schneller leiten (da der Ethernet-Switch selbst gemäß Datenblatt des Herstellers 2 GBit / s Verkehr umschalten kann).

Ein "Layer 3 Switch" ist ein Ethernet-Switch, der logischerweise einen Router enthält, der in sich selbst verborgen ist. Ich finde es ungeheuer hilfreich, wenn man an einen Layer-3-Switch denkt, der einen winzigen und schnellen Router im Switch versteckt. Außerdem würde ich Ihnen raten, die Routing-Funktionalität als eine von der Ethernet-Switching-Funktion, die der Layer-3-Switch bietet, deutlich getrennte Funktion zu betrachten. Ein Layer-3-Switch ist in jeder Hinsicht zwei verschiedene Geräte, die in einem einzigen Gehäuse untergebracht sind.

Der eingebettete Router in einem Layer-3-Switch ist mit einer Geschwindigkeit mit dem Switch-Fabric des Switches verbunden, die typischerweise das Routen von Paketen zwischen VLANs mit oder nahe der Drahtgeschwindigkeit ermöglicht. Analog zu den virtuellen Subschnittstellen, die Sie auf Ihrem "Router auf einem Stick" konfiguriert haben, kann dieser eingebettete Router innerhalb des Layer 3-Switches mit virtuellen Schnittstellen konfiguriert werden, die in jedem VLAN als "Access" -Verbindungen erscheinen. Diese logischen Verbindungen von den VLANs zum eingebetteten Router in einem Layer-3-Switch werden nicht als virtuelle Subschnittstellen bezeichnet, sondern als Switch Virtual Interfaces (SVIs) bezeichnet. Tatsächlich enthält der eingebettete Router in einem Layer 3-Switch eine gewisse Anzahl von "virtuellen Ports", die an jedes der VLANs auf dem Switch "angeschlossen" werden können.

Der Embedded Router funktioniert genauso wie ein physischer Router, mit der Ausnahme, dass er normalerweise nicht dieselben dynamischen Routing-Protokolle oder Zugriffssteuerungslisten (ACL) wie ein physischer Router besitzt (es sei denn, Sie haben eine wirklich gute Schicht 3 gekauft) Schalter). Der eingebettete Router hat jedoch den Vorteil, dass er sehr schnell ist und keinen Engpass mit einem physischen Switch-Port hat, an den er angeschlossen ist.

In unserem Beispiel mit den "Partnering" -Pächtern könnten Sie einen Layer-3-Switch erhalten, ihn in Trunk-Ports stecken, so dass Traffic von beiden Kunden-VLANs erreicht wird, und dann SVIs mit IP-Adressen und VLAN-Mitgliedschaften konfigurieren "erscheint" in beiden Kunden-VLANs. Sobald Sie das erledigt haben, müssen Sie lediglich die Routing-Tabelle auf Ihrem Core-Router und dem eingebetteten Router im Layer-3-Switch so anpassen, dass der zwischen den VLANs der Mandanten fließende Datenverkehr vom eingebetteten Router innerhalb des Layer-3-Switches an den Router weitergeleitet wird "Router auf einem Stock".

Die Verwendung eines Layer-3-Switch bedeutet nicht, dass es immer noch Engpässe gibt, die mit der Bandbreite der Trunk-Ports verbunden sind, die Ihre Switches miteinander verbinden. Dies ist ein orthogonales Problem für diejenigen, die VLANs adressieren. VLANs haben nichts mit Bandbreitenproblemen zu tun. Typischerweise werden Bandbreitenprobleme gelöst, indem entweder Inter-Switch-Verbindungen mit höherer Geschwindigkeit erhalten werden oder Link-Aggregation-Protokolle verwendet werden, um mehrere Verbindungen mit geringerer Geschwindigkeit zu einer virtuellen Verbindung mit höherer Geschwindigkeit zu verbinden. Wenn nicht alle Geräte, die Frames erzeugen, die von dem eingebetteten Router innerhalb des späteren 3-Switches geroutet werden, selbst in Ports direkt auf dem Layer-3-Switch eingesteckt sind, müssen Sie sich noch um die Bandbreite der Amtsleitungen zwischen den Switches kümmern. Ein Layer-3-Switch ist kein Allheilmittel, aber er ist normalerweise schneller als ein "Router auf einem Stock".

Dynamische VLANs

Schließlich gibt es in einigen Switches eine Funktion zur Bereitstellung einer dynamischen VLAN-Mitgliedschaft. Anstatt einen bestimmten Port als Zugangsport für ein bestimmtes VLAN zu definieren, kann die Konfiguration des Ports (Zugang oder Trunk und für welche VLANs) dynamisch geändert werden, wenn ein Gerät verbunden wird. Dynamische VLANs sind ein fortgeschritteneres Thema, aber zu wissen, dass die Funktionalität vorhanden ist, kann hilfreich sein.

Die Funktionalität variiert zwischen den Anbietern, aber in der Regel können Sie die dynamische VLAN-Mitgliedschaft basierend auf der MAC-Adresse des verbundenen Geräts, 802.1X-Authentifizierungsstatus des Geräts, proprietären und standardbasierten Protokollen (z. B. CDP und LLDP) konfigurieren "Erkennen" der VLAN-Nummer für den Sprachverkehr), IP-Subnetz, das dem Client-Gerät zugewiesen ist, oder Ethernet-Protokolltyp.


204
2017-10-07 04:37



Geht wieder nach Gold, hä? :) - squillman
+1 Sie haben sich offensichtlich etwas Mühe gegeben, danke! - Tim Long
+1: Wow! Ausgezeichnete Antwort. - Arun Saha
liebe das: "Unbefugte Pro-Bono-Systemadministration";) - problemPotato
@guntbert - Ich bin froh, dass es dir hilft. - Evan Anderson


VLANs sind "virtuelle lokale Netzwerke". Das Folgende ist mein Verständnis - mein Hintergrund ist in erster Linie Systems Engineering & Administration mit einer Seite der OO-Programmierung und viel Skripting.

VLANs sollen ein isoliertes Netzwerk über mehrere Hardwaregeräte hinweg erstellen. Ein herkömmliches LAN in älteren Zeiten ist möglicherweise nur dort vorhanden, wo Sie ein einzelnes Hardwaregerät für ein bestimmtes Netzwerk haben. Alle Server / Geräte, die mit diesem Netzwerkgerät (Switch oder Hub, abhängig vom historischen Zeitrahmen) verbunden sind, dürfen in der Regel frei im LAN kommunizieren.

Ein VLAN unterscheidet sich dadurch, dass Sie mehrere Netzwerkgeräte miteinander verbinden und isolierte Netzwerke erstellen können, indem Sie Server in einem VLAN zusammenfassen, sodass kein "dediziertes" Netzwerkgerät für ein einzelnes LAN erforderlich ist. Die Anzahl konfigurierbarer VLANs und unterstützter Server / Geräte variiert zwischen den Netzwerkgeräteherstellern.

Wieder abhängig vom Anbieter, ich nicht denken dass alle Server im selben Subnetz sein müssen, um Teil desselben VLANs zu sein. Mit Legacy-Netzwerk-Konfigurationen glaube ich, dass sie dies getan haben (Netzwerktechniker fügen hier Korrekturen ein).

Was unterscheidet ein VLAN von einem VPN ist der Buchstabe "P" für "Private". Normalerweise ist der VLAN-Datenverkehr nicht verschlüsselt.

Hoffentlich hilft das!


8
2017-10-07 02:46



Eine dringend benötigte kurze Gateway-Antwort zum Verständnis von VLANs. Die höhergestellte Person geht sehr ins Detail und könnte als solche für die Nachwelt gut sein, aber wenig nützlich sein, wenn Sie ein schnelles Verständnis für das Thema erlangen wollen. Jetzt, da ich weiß, was ich mit dieser Antwort mache, kann ich immer wieder mehr lernen. - Harsh Kanchina