Einführungsebene Erklärung der VLANs

21

Was sind die grundlegenden Anwendungsfälle für VLANs?

Was sind die grundlegenden Gestaltungsprinzipien?

Ich suche nach einer Antwort im Stil einer Zusammenfassung mit zwei Absätzen, damit ich feststellen kann, ob ich mehr über VLANs erfahren muss, um sie zu implementieren.

Craig Constantine
quelle

Antworten:

23

Ein VLAN (Virtual LAN) ist eine Möglichkeit, mehrere virtuelle Switches in einem physischen Switch zu erstellen. So verhalten sich Ports, die für die Verwendung von VLAN 10 konfiguriert sind, beispielsweise so, als wären sie mit genau demselben Switch verbunden. Ports in VLAN 20 können nicht direkt mit Ports in VLAN 10 kommunizieren. Sie müssen zwischen den beiden geroutet werden (oder über eine Verbindung verfügen, die die beiden VLANs überbrückt).

Es gibt viele Gründe, VLANs zu implementieren. In der Regel ist der geringste dieser Gründe die Größe des Netzwerks. Ich werde ein paar Gründe aufzählen und dann jeden aufbrechen.

  • Sicherheit
  • Link-Auslastung
  • Service-Trennung
  • Service-Isolation
  • Subnetzgröße

Sicherheit: Sicherheit wird nicht selbst durch das Erstellen eines VLAN erreicht. Wenn Sie dieses VLAN jedoch mit anderen Subnetzen verbinden, können Sie den Zugriff auf dieses Subnetz filtern / blockieren. Wenn Sie beispielsweise ein Bürogebäude mit 50 Computern und 5 Servern haben, können Sie ein VLAN für den Server und ein VLAN für die Computer erstellen. Damit Computer mit den Servern kommunizieren können, können Sie eine Firewall verwenden, um diesen Datenverkehr weiterzuleiten und zu filtern. Auf diese Weise können Sie IPS / IDS, ACLs usw. anwenden. auf die Verbindung zwischen den Servern und Computern.

Link-Auslastung: (Bearbeiten) Ich kann nicht glauben, dass ich das das erste Mal ausgelassen habe. Hirnfurz, denke ich. Die Linkauslastung ist ein weiterer wichtiger Grund für die Verwendung von VLANs. Spanning Tree nach Funktion erstellt einen einzelnen Pfad durch Ihr Layer-2-Netzwerk, um Schleifen zu vermeiden (Oh, my!). Wenn Sie mehrere redundante Links zu Ihren Aggregationsgeräten haben, bleiben einige dieser Links ungenutzt. Um dies zu umgehen, können Sie mehrere STP-Topologien mit verschiedenen VLANs erstellen. Dies wird mit Cisco Proprietary PVST, RPVST oder standardbasiertem MST erreicht. Auf diese Weise können Sie über mehrere STP-Typologien verfügen, mit denen Sie Ihre zuvor nicht verwendeten Links verwenden können. Wenn ich beispielsweise 50 Desktops hätte, könnten 25 davon in VLAN 10 und 25 in VLAN 20 platziert werden. Dann könnte VLAN 10 die "linke" Seite des Netzwerks übernehmen, und die verbleibenden 25 in VLAN 20 würden die "rechte" Seite des Netzwerks.

Service-Trennung: Diese ist ziemlich einfach. Wenn Sie über IP-Überwachungskameras, IP-Telefone und Desktops verfügen, die alle über denselben Switch verbunden sind, ist es möglicherweise einfacher, diese Dienste in ein eigenes Subnetz aufzuteilen. Auf diese Weise können Sie auch QOS-Markierungen für diese Dienste auf der Basis von VLAN anstelle von Diensten höherer Ebenen (z. B. NBAR) anwenden. Sie können dem Gerät, das L3-Routing durchführt, auch ACLs zuweisen, um die möglicherweise nicht gewünschte Kommunikation zwischen VLANs zu verhindern. Zum Beispiel kann ich verhindern, dass die Desktops direkt auf die Telefone / Überwachungskameras zugreifen.

Dienstisolation: Wenn Sie ein Paar TOR-Switches in einem einzelnen Rack mit einigen VMWare-Hosts und einem SAN haben, können Sie ein iSCSI-VLAN erstellen, das nicht weitergeleitet wird. Auf diese Weise erhalten Sie ein vollständig isoliertes iSCSI-Netzwerk, sodass kein anderes Gerät versuchen kann, auf das SAN zuzugreifen oder die Kommunikation zwischen den Hosts und dem SAN zu unterbrechen. Dies ist nur ein Beispiel für die Dienstisolierung.

Subnetzgröße: Wie bereits erwähnt, können Sie einen Standort, der zu groß wird, in verschiedene VLANs aufteilen, wodurch sich die Anzahl der Hosts verringert, die die einzelnen Broadcasts verarbeiten müssen.

Es gibt sicherlich mehr Möglichkeiten, wie VLANs nützlich sind (ich kann mir mehrere vorstellen, die ich speziell als Internetdienstanbieter verwende), aber ich bin der Meinung, dass diese am häufigsten verwendet werden und dass Sie eine gute Vorstellung davon haben sollten, wie / warum wir sie verwenden. Es gibt auch private VLANs, die bestimmte Anwendungsfälle haben und hier erwähnenswert sind.

Bigmstone
quelle
7

Wenn Netzwerke immer größer werden, wird die Skalierbarkeit zu einem Problem. Zur Kommunikation muss jedes Gerät Broadcasts senden, die an alle Geräte in einer Broadcast-Domäne gesendet werden. Je mehr Geräte zur Broadcast-Domäne hinzugefügt werden, desto mehr Broadcasts füllen das Netzwerk aus. Zu diesem Zeitpunkt schleichen sich mehrere Probleme ein, einschließlich einer Bandbreitensättigung mit Broadcast-Verkehr, einer erhöhten Verarbeitung auf jedem Gerät (CPU-Auslastung) und sogar Sicherheitsproblemen. Die Aufteilung dieser großen Broadcast-Domäne in kleinere Broadcast-Domänen wird zunehmend erforderlich.

Geben Sie VLANs ein.

Durch ein VLAN oder virtuelles LAN werden separate Broadcast-Domänen virtuell erstellt, sodass keine vollständig separaten Hardware-LANs mehr erforderlich sind, um das Problem der großen Broadcast-Domänen zu lösen. Stattdessen kann ein Switch viele VLANs enthalten, von denen jedes als separate, autonome Broadcast-Domäne fungiert. Tatsächlich können zwei VLANs nicht miteinander kommunizieren, ohne dass ein Layer-3-Gerät wie ein Router eingreift. Darum geht es beim Layer-3-Switching.

Zusammenfassend lässt sich sagen, dass VLANs auf der einfachsten Ebene große Broadcast-Domänen in kleinere, besser verwaltbare Broadcast-Domänen unterteilen, um die Skalierbarkeit in Ihrem ständig wachsenden Netzwerk zu verbessern.

Yosef Gunsburg
quelle
5

VLANs sind logische Netzwerke, die innerhalb des physischen Netzwerks erstellt werden. Sie dienen in erster Linie der Isolation, häufig zur Verringerung der Größe der Broadcast-Domäne innerhalb eines Netzwerks. Sie können jedoch für eine Reihe anderer Zwecke verwendet werden.

Sie sind ein Werkzeug, mit dem jeder Netzwerktechniker vertraut sein sollte, und wie jedes Werkzeug können sie falsch und / oder zu falschen Zeiten verwendet werden. Kein einzelnes Tool ist in allen Netzwerken und Situationen das richtige. Je mehr Tools Sie verwenden können, desto besser können Sie in mehr Umgebungen arbeiten. Wenn Sie mehr über VLANs wissen, können Sie sie verwenden, wenn Sie sie benötigen, und wenn Sie dies tun, können Sie sie richtig verwenden.

Als ein Beispiel für ihre Verwendung arbeite ich derzeit in Umgebungen, in denen SCADA-Geräte (Supervisor Control and Data Acquisition) weit verbreitet sind. SCADA-Geräte sind in der Regel recht einfach und haben eine lange Geschichte in der Entwicklung von weniger als herausragender Software, was häufig zu größeren Sicherheitslücken führt.

Wir haben die SCADA-Geräte in einem separaten VLAN ohne L3-Gateway eingerichtet. Der einzige Zugriff auf ihr logisches Netzwerk erfolgt über den Server, mit dem sie kommunizieren (der zwei Schnittstellen hat, eine im SCADA-VLAN), die mit einer eigenen hostbasierten Sicherheit gesichert werden können, was auf den SCADA-Geräten nicht möglich ist. Die SCADA-Geräte sind vom Rest des Netzwerks isoliert, auch wenn sie mit denselben physischen Geräten verbunden sind, sodass jede Sicherheitsanfälligkeit verringert wird.

YLearn
quelle
3

In Bezug auf die Entwurfsprinzipien besteht die häufigste Implementierung darin, Ihre VLANs an Ihrer Organisationsstruktur auszurichten, dh Ingenieure in einem VLAN, Marketing in einem anderen, IP-Telefone in einem anderen usw. Andere Entwürfe umfassen die Verwendung von VLANs als "Transport" eines separaten Netzwerks Funktionen über einen (oder mehrere) Kerne. Auf einigen Geräten ist auch die Schicht-3-Terminierung von VLANs möglich ("SVI" in Cisco Parlance, "VE" in Brocade usw.), sodass bei Bedarf keine separate Hardware für die Inter-VLAN-Kommunikation erforderlich ist.

Die Verwaltung und Wartung von VLANs wird mühsam, wie Sie wahrscheinlich bereits bei NESE erlebt haben. Im Bereich der Dienstanbieter gibt es PB (Provider Bridging - allgemein bekannt als "QinQ", Double Tagging, Stacked Tag usw.), PBB (Provider Backbone Bridging - "MAC-in-MAC") und PBB-TE wurde entwickelt, um die Begrenzung der Anzahl der verfügbaren VLAN-IDs zu verringern. PBB-TE more zielt darauf ab, die Notwendigkeit für dynamisches Lernen, Überschwemmungen und Spanning Tree zu beseitigen. In einem C-TAG / S-TAG (0x000 und 0xFFF sind reserviert) stehen nur 12 Bit zur Verwendung als VLAN-ID zur Verfügung. Hieraus ergibt sich die 4.094-Beschränkung.

VPLS oder PBB können verwendet werden, um die mit PB verbundenen herkömmlichen Skalierungsdecken zu beseitigen.

John Jensen
quelle
3

Der grundlegende Anwendungsfall für VLANs ist nahezu identisch mit dem grundlegenden Anwendungsfall für die Segmentierung des Netzwerks in mehrere Datenverbindungs-Broadcast-Domänen. Der Hauptunterschied besteht darin, dass bei einem physischen LAN mindestens ein Gerät (normalerweise ein Switch) für jede Broadcast-Domäne erforderlich ist, während bei einer virtuellen LAN-Broadcast-Domäne die Mitgliedschaft portweise festgelegt und ohne Hinzufügen von oder neu konfiguriert werden kann Hardware austauschen.

Wenden Sie für Basisanwendungen dieselben Entwurfsprinzipien auf VLANs an wie für PLANs. Die drei Konzepte, die Sie kennen müssen, um dies zu tun, sind:

  1. Trunking - Jede Verbindung, die Frames enthält, die zu mehr als einem VLAN gehören, ist eine Trunk- Verbindung. In der Regel sind Switch-to-Switch- und Switch-to-Router-Verbindungen als Trunk- Verbindungen konfiguriert .
  2. Tagging - Bei Anschluss an eine Trunk - Verbindung übertragen wird , muss das Gerät markiert jedes Bild mit der numerischen VLAN - ID zu dem es gehört , so dass die Aufnahmeeinrichtung in der richtigen Broadcast - Domäne richtig beschränken kann. Im allgemeinen Host gerichteten Ports sind nicht markierte , während der Schalter und Router gerichtete gerichteten Ports sind markiert . Das Tag ist ein zusätzlicher Teil der Datenverbindungskapselung.
  3. Virtuelle Schnittstellen - Auf einem Gerät mit einer oder mehreren Trunk-Link-Schnittstellen muss das Gerät häufig logischerweise als Link-Terminal an eines oder mehrere der einzelnen VLANs angeschlossen werden, die im Trunk vorhanden sind. Dies gilt insbesondere für Router. Diese logische Verbindung wird als virtuelle Schnittstelle modelliert , die als Port fungiert, der mit der einzelnen Broadcast-Domäne verbunden ist, die dem angegebenen VLAN zugeordnet ist.
neirbowj
quelle
2

Die ursprüngliche Verwendung eines VLAN bestand darin, den Übertragungsbereich in einem Netzwerk einzuschränken. Broadcasts sind auf ihr eigenes VLAN beschränkt. Später wurde zusätzliche Funktionalität hinzugefügt. Beachten Sie jedoch, dass vlans Layer 2 in beispielsweise Cisco-Switches sind. Sie können Layer 2 hinzufügen, indem Sie dem Port am Switch eine IP-Adresse zuweisen. Dies ist jedoch nicht zwingend erforderlich.

zusätzliche Funktionalität:

  • trunking: verwende mehrere vlans über eine physikalische verbindung (zum beispiel: verbinde 2 switch, eine physikalische verbindung ist gut genug um eine verbindung für alle vlans zu haben, das trennen der vlans erfolgt durch taggen, siehe: dot1Q für cisco)
  • Sicherheit
  • einfacher zu verwalten (zb: herunterfahren eines vlans hat keinen einfluss auf die konnektivität eines anderen vlans ...)
  • ...
Bulki
quelle
1

Wenn ich noch eine Information anbieten darf, die helfen könnte.

Um die VLANs zu verstehen, müssen Sie auch zwei Schlüsselkonzepte verstehen.

-Subnetting - Angenommen, Sie möchten, dass die verschiedenen Geräte miteinander kommunizieren können (z. B. Server und Clients), muss jedem VLAN ein IP-Subnetz zugewiesen werden. Dies ist die oben erwähnte SVI. So können Sie mit dem Routing zwischen den Vlans beginnen.

-Routing - Nachdem Sie jedes VLAN erstellt, den Clients in jedem VLAN ein Subnetz zugewiesen und für jedes VLAN eine SVI erstellt haben, müssen Sie das Routing aktivieren. Routing kann eine sehr einfache Einrichtung sein, mit einer statischen Standardroute zum Internet und EIGRP- oder OSPF-Netzwerkanweisungen für jedes der Subnetze.

Sobald Sie sehen, wie alles zusammenkommt, ist es eigentlich ziemlich elegant.

Jonathan Davis
quelle
Vielen Dank! subn / rtn bekomme ich, also jetzt mit all diesen VLAN-Infos, ja, es macht vollkommen Sinn. Ich denke bereits daran, "Backside" -VLANs aufzubauen und Dinge für Systeme zu verschieben, die eine zweite, nicht verwendete Schnittstelle haben.
Craig Constantine
1
VLANs benötigen keine L3-Informationen, Routing oder SVIs. Diese werden nur benötigt, wenn Sie eine L3 (IP) - oder höhere Funktionalität für Hosts in diesem VLAN wünschen.
YLearn
nur hinzufügen ... man muss IP nicht über das VLAN ausführen . (Siehe auch: Protokollbasierte vlans - vs. portbasiert, was in 99% der Fälle verwendet wird.)
Ricky Beam
Ich stimme beiden Ihrer Aussagen zu. L2 Vlans haben da sicher Verwendung. Wenn jedoch jemand darüber nachdenkt, vlans in sein bestehendes Netzwerk aufzunehmen, ist es eine schwerwiegende Lücke, den L3-Aspekt nicht zu erläutern.
Jonathan Davis