Wie funktionieren VLANs?

128

Was sind VLANs? Welche Probleme lösen sie?

Ich helfe einem Freund, das grundlegende Networking zu erlernen, da er nur der einzige Systemadministrator in einem kleinen Unternehmen ist. Ich habe ihn auf verschiedene Fragen / Antworten zu Serverfault bezüglich verschiedener Netzwerkthemen hingewiesen und eine Lücke festgestellt - es scheint keine Antwort zu geben, die anhand erster Prinzipien erklärt, was VLANs sind. Im Sinne von Wie funktioniert das Subnetting? Hielt ich es für nützlich, hier eine Frage mit einer kanonischen Antwort zu haben.

Einige mögliche Themen, die in einer Antwort behandelt werden sollten:

  • Was sind VLANs?
  • Welche Probleme sollten sie lösen?
  • Wie lief es vor VLANs?
  • In welcher Beziehung stehen VLANs zu Subnetzen?
  • Was sind SVIs?
  • Was sind Trunk-Ports und Access-Ports?
  • Was ist VTP?

EDIT: Um klar zu sein, ich weiß bereits, wie VLANs funktionieren - ich denke nur, dass Serverfault eine Antwort haben sollte, die diese Fragen abdeckt. Wenn es die Zeit erlaubt, werde ich auch meine eigene Antwort einreichen.

Murali Suriar
quelle
2
Vielleicht noch eine Frage: Was sind die Unterschiede zwischen statischen und dynamischen VLANs? Wie können sie verwaltet werden? Und noch eins: Welche Standards gelten für die VLAN-Interaktion zwischen Anbietern?
Hubert Kario
Wie Motte zu Flamme bin ich angekommen und habe meine 4.000 Wörter hinzugefügt ... (Ich nehme an, ich kann leben, wenn es ein Community-Wiki ist ... Ich glaube, ich brauche den Repräsentanten wirklich nicht ...> smile <)
Evan Anderson
1
@Evan: Ich hatte gehofft, dass du auftauchst. Ich muss allerdings zugeben, dass ich etwas mehr Wiederholungen hätte machen können, bevor ich dies auf CW drehte. :)
Murali Suriar

Antworten:

224

Virtuelle LANs (VLANs) sind eine Abstraktion, mit der ein einzelnes physisches Netzwerk die Funktionalität mehrerer paralleler physischer Netzwerke emulieren kann. Dies ist praktisch, da es Situationen geben kann, in denen Sie die Funktionalität mehrerer paralleler physischer Netzwerke benötigen, aber nicht das Geld für den Kauf paralleler Hardware ausgeben möchten. Ich werde in dieser Antwort über Ethernet-VLANs sprechen (obwohl andere Netzwerktechnologien VLANs unterstützen können), und ich werde nicht auf jede Nuance eingehen.

Ein erfundenes Beispiel und ein Problem

Stellen Sie sich als rein konstruiertes Beispielszenario vor, Sie besitzen ein Bürogebäude, das Sie an Mieter vermieten. Als Vorteil des Mietvertrags erhält jeder Mieter Live-Ethernet-Anschlüsse in jedem Raum des Büros. Sie kaufen einen Ethernet-Switch für jede Etage, verbinden sie mit Buchsen in jedem Büro in dieser Etage und verbinden alle Switches miteinander.

Zunächst vermieten Sie Speicherplatz an zwei verschiedene Mandanten - einen in Etage 1 und einen in Etage 2. Jeder dieser Mandanten konfiguriert seine Computer mit statischen IPv4-Adressen. Beide Mandanten verwenden unterschiedliche TCP / IP-Subnetze und alles scheint gut zu funktionieren.

Später mietet ein neuer Mieter die Hälfte der 3. Etage und bringt einen dieser neuen DHCP-Server zum Einsatz. Die Zeit vergeht und der Mieter im 1. Stock beschließt, ebenfalls auf den DHCP-Zug umzusteigen. Dies ist der Punkt, an dem die Dinge schief gehen. Die Mieter in Etage 3 berichten, dass einige ihrer Computer "lustige" IP-Adressen von einem Computer erhalten, der nicht ihr DHCP-Server ist. Bald berichten die Mieter der Etage 1 dasselbe.

DHCP ist ein Protokoll, das die Broadcast-Funktion von Ethernet nutzt, damit Client-Computer IP-Adressen dynamisch beziehen können. Da die Mandanten alle dasselbe physische Ethernet-Netzwerk gemeinsam nutzen, nutzen sie dieselbe Broadcast-Domäne. Ein Broadcast-Paket, das von einem beliebigen Computer im Netzwerk gesendet wird, überträgt alle Switch-Ports an alle anderen Computer. Die DHCP-Server in den Etagen 1 und 3 erhalten alle Anfragen nach IP-Adress-Leases und duellieren sich effektiv, um zu sehen, wer zuerst antworten kann. Dies ist eindeutig nicht das Verhalten, das Ihre Mieter erfahren sollen. Dies ist jedoch das Verhalten eines "flachen" Ethernet-Netzwerks ohne VLANs.

Schlimmer noch, ein Mieter in Etage 2 erwirbt diese "Wireshark" -Software und meldet, dass von Zeit zu Zeit Datenverkehr von seinem Switch kommt, der auf Computer und IP-Adressen verweist, von denen er noch nie gehört hat. Einer ihrer Mitarbeiter hat sogar herausgefunden, dass er mit diesen anderen Computern kommunizieren kann, indem er die IP-Adresse, die seinem PC zugewiesen wurde, von 192.168.1.38 auf 192.168.0.38 ändert! Vermutlich ist er nur ein paar Schritte von der Durchführung von "nicht autorisierten Pro-Bono-Systemverwaltungsdiensten" für einen der anderen Mieter entfernt. Nicht gut.

Potentielle Lösungen

Sie brauchen eine Lösung! Sie könnten einfach die Stecker zwischen den Etagen ziehen und das würde jede unerwünschte Kommunikation abschneiden! Ja! Das ist das Ticket ...

Das könnte funktionieren, außer dass Sie einen neuen Mieter haben, der die Hälfte des Untergeschosses und die unbesetzte Hälfte des Untergeschosses 3 mietet. Wenn keine Verbindung zwischen dem Schalter in Etage 3 und dem Schalter im Untergeschoss besteht, wird der neue Mieter dies nicht tun in der Lage, Kommunikation zwischen ihren Computern zu erhalten, die auf beiden Etagen verteilt werden. Das Ziehen der Stecker ist nicht die Antwort. Noch schlimmer ist, bringt der neue Mieter noch eine andere eine dieser DHCP - Server!

Sie flirten mit der Idee, für jeden Mieter physisch getrennte Ethernet-Switches zu kaufen, aber da Ihr Gebäude 30 Stockwerke hat, von denen jedes auf vier Arten unterteilt werden kann, nisten die potenziellen Ratten von Stockwerk-zu-Stockwerk-Kabeln dazwischen Eine enorme Anzahl von parallelen Ethernet-Switches könnte ein Albtraum sein, ganz zu schweigen von den hohen Kosten. Wenn es nur eine Möglichkeit gäbe, ein einzelnes physisches Ethernet-Netzwerk so zu machen, als ob es mehrere physische Ethernet-Netzwerke mit jeweils einer eigenen Broadcast-Domäne gäbe.

VLANs zur Rettung

VLANs sind eine Antwort auf dieses unordentliche Problem. Mit VLANs können Sie einen Ethernet-Switch in logisch unterschiedliche virtuelle Ethernet-Switches unterteilen. Auf diese Weise kann ein einzelner Ethernet-Switch so wirken, als ob es sich um mehrere physische Ethernet-Switches handelt. Im Fall Ihrer untergliederten Etage 3 könnten Sie beispielsweise Ihren 48-Port-Switch so konfigurieren, dass sich die unteren 24 Ports in einem bestimmten VLAN (das wir VLAN 12 nennen) und die oberen 24 Ports in einem bestimmten VLAN befinden ( welches wir VLAN 13 nennen). Wenn Sie die VLANs auf Ihrem Switch erstellen, müssen Sie ihnen einen VLAN-Namen oder eine VLAN-Nummer zuweisen. Die Zahlen, die ich hier verwende, sind größtenteils willkürlich. Machen Sie sich also keine Gedanken darüber, welche bestimmten Zahlen ich wähle.

Sobald Sie den Floor 3-Switch in VLANs 12 und 13 unterteilt haben, können die neuen Floor 3-Mandanten ihren DHCP-Server an einen der Ports anschließen, die VLAN 13 zugewiesen sind, und an einen PC, der an einen Port angeschlossen ist, der VLAN 12 zugewiesen ist. Vom neuen DHCP-Server wird keine IP-Adresse abgerufen. Ausgezeichnet! Problem gelöst!

Oh, warte ... wie bringen wir die VLAN 13-Daten in den Keller?

VLAN-Kommunikation zwischen Switches

Ihr Mieter in der 3. und 3. Etage möchte die Computer im Keller mit den Servern in der 3. Etage verbinden. Sie können ein Kabel direkt von einem der Ports, die seinem VLAN in der 3. Etage zugewiesen sind, zum Keller und zum Leben führen wäre gut, oder?

In den Anfängen von VLANs (Standard vor 802.1Q) könnten Sie genau das tun. Der gesamte Keller-Switch wäre praktisch Teil von VLAN 13 (das VLAN, das Sie dem neuen Mandanten in Etage 3 und dem Keller zugewiesen haben), da dieser Keller-Switch von einem zugewiesenen Port in Etage 3 "gespeist" wird zu VLAN 13.

Diese Lösung funktioniert so lange, bis Sie die andere Hälfte des Untergeschosses an den Mieter in Etage 1 vermieten, der auch eine Kommunikation zwischen dem Computer in der 1. Etage und dem Computer im Untergeschoss wünscht. Sie könnten den Kellerschalter mithilfe von VLANs (z. B. in VLANs 2 und 13) aufteilen und ein Kabel von Etage 1 zu einem Port verlegen, der VLAN 2 im Keller zugewiesen ist von Kabeln (und wird nur noch schlimmer). Das Aufteilen von Switches mithilfe von VLANs ist gut, aber das Verlegen mehrerer Kabel von anderen Switches zu Ports, die Mitglieder verschiedener VLANs sind, scheint problematisch. Wenn Sie den Kellerschalter auf vier verschiedene Arten zwischen Mietern aufteilen müssten, die auch in höheren Stockwerken Platz hatten, würden Sie zweifellos vier Ports des Kellerschalters verwenden, um nur die "Einspeise" -Kabel von den oberen VLANs abzuschließen.

Es sollte nun klar sein, dass eine allgemeine Methode zum Verschieben von Datenverkehr von mehreren VLANs zwischen Switches über ein einziges Kabel erforderlich ist. Das Hinzufügen weiterer Kabel zwischen Switches zur Unterstützung von Verbindungen zwischen verschiedenen VLANs ist keine skalierbare Strategie. Mit genügend VLANs werden Sie schließlich alle Ports an Ihren Switches mit diesen Verbindungen zwischen VLANs und Switches belegen. Was benötigt wird, ist eine Möglichkeit, die Pakete von mehreren VLANs über eine einzige Verbindung zu transportieren - eine "Trunk" -Verbindung zwischen Switches.

Bis zu diesem Punkt werden alle Switch-Ports, von denen wir gesprochen haben, als "Access" -Ports bezeichnet. Das heißt, diese Ports sind für den Zugriff auf ein einzelnes VLAN reserviert. Die an diesen Ports angeschlossenen Geräte haben selbst keine spezielle Konfiguration. Diese Geräte "wissen" nicht, dass VLANs vorhanden sind. Von den Clientgeräten gesendete Frames werden an den Switch gesendet. Dieser sorgt dann dafür, dass der Frame nur an Ports gesendet wird, die als Mitglieder des VLANs zugewiesen sind, das dem Port zugewiesen ist, an dem der Frame in den Switch eingetreten ist. Wenn ein Frame auf einem als Mitglied von VLAN 12 zugewiesenen Port in den Switch eintritt, sendet der Switch nur die Frame-Out-Ports, die Mitglieder von VLAN 12 sind. Der Switch "kennt" die VLAN-Nummer, die einem Port zugewiesen ist, von dem er a empfängt rahmen und irgendwie kann man diesen rahmen nur über ports desselben VLANs ausliefern.

Wenn ein Switch die VLAN-Nummer, die einem bestimmten Frame zugeordnet ist, auf andere Switches übertragen könnte, könnte der andere Switch diesen Frame ordnungsgemäß nur an die entsprechenden Zielports übermitteln. Dies ist die Aufgabe des 802.1Q-VLAN-Tagging-Protokolls. (Es ist erwähnenswert, dass einige Anbieter vor 802.1Q ihre eigenen Standards für VLAN-Tagging und Inter-Switch-Trunking ausgearbeitet haben. Zum größten Teil wurden diese vorstandardisierten Methoden durch 802.1Q ersetzt.)

Wenn Sie zwei VLAN-fähige Switches miteinander verbunden haben und diese Switches Frames untereinander an das richtige VLAN senden sollen, verbinden Sie diese Switches über "Trunk" -Ports. Dies beinhaltet das Ändern der Konfiguration eines Ports an jedem Switch vom "Zugriffs" -Modus in den "Trunk" -Modus (in einer sehr einfachen Konfiguration).

Wenn ein Port im Trunk-Modus konfiguriert ist, enthält jeder Frame, den der Switch an diesen Port sendet, ein "VLAN-Tag". Dieses "VLAN-Tag" war nicht Teil des ursprünglichen Frames, den der Client gesendet hat. Vielmehr wird dieses Tag vom sendenden Switch hinzugefügt, bevor der Frame über den Trunk-Port gesendet wird. Dieses Tag gibt die VLAN-Nummer an, die dem Port zugeordnet ist, von dem der Frame stammt.

Der empfangende Switch kann anhand des Tags ermitteln, von welchem ​​VLAN der Frame stammt, und basierend auf diesen Informationen den Frame nur an Ports weiterleiten, die dem ursprünglichen VLAN zugewiesen sind. Da die an "Access" -Ports angeschlossenen Geräte nicht wissen, dass VLANs verwendet werden, müssen die "Tag" -Informationen aus dem Frame entfernt werden, bevor sie an einen im Access-Modus konfigurierten Port gesendet werden. Durch das Entfernen der Tag-Informationen wird der gesamte VLAN-Trunking-Prozess für Client-Geräte ausgeblendet, da der empfangene Frame keine VLAN-Tag-Informationen enthält.

Bevor Sie VLANs in der Praxis konfigurieren, sollten Sie einen Port für den Trunk-Modus auf einem Test-Switch konfigurieren und den Datenverkehr, der über diesen Port gesendet wird, mit einem Sniffer (wie Wireshark) überwachen. Sie können Beispieldatenverkehr von einem anderen Computer erstellen, der an einen Zugangsport angeschlossen ist, und feststellen, dass die Frames, die den Trunk-Port verlassen, tatsächlich größer sind als die Frames, die von Ihrem Testcomputer gesendet werden. Sie sehen die VLAN-Tag-Informationen in den Frames in Wireshark. Ich finde, es lohnt sich tatsächlich zu sehen, was in einem Schnüffler passiert. Das Nachlesen des 802.1Q-Tagging-Standards ist an dieser Stelle ebenfalls eine gute Sache (zumal ich nicht über "native VLANs" oder Double-Tagging spreche).

VLAN Configuration Nightmares und die Lösung

Wenn Sie mehr und mehr Platz in Ihrem Gebäude mieten, wächst die Anzahl der VLANs. Jedes Mal, wenn Sie ein neues VLAN hinzufügen, müssen Sie sich bei immer mehr Ethernet-Switches anmelden und dieses VLAN zur Liste hinzufügen. Wäre es nicht großartig, wenn Sie dieses VLAN mit einer bestimmten Methode zu einem einzelnen Konfigurationsmanifest hinzufügen und die VLAN-Konfiguration jedes Switches automatisch auffüllen lassen könnten?

Protokolle wie das firmeneigene "VLAN Trunking Protocol" (VTP) von Cisco oder das standardbasierte "Multiple VLAN Registration Protocol" (MVRP - zuvor GVRP) erfüllen diese Funktion. In einem Netzwerk, das diese Protokolle verwendet, führt ein einzelner Eintrag zum Erstellen oder Löschen eines VLANs dazu, dass Protokollnachrichten an alle Switches im Netzwerk gesendet werden. Diese Protokollnachricht teilt die Änderung der VLAN-Konfiguration den übrigen Switches mit, die wiederum ihre VLAN-Konfigurationen ändern. Bei VTP und MVRP geht es nicht darum, welche bestimmten Ports als Zugriffsports für bestimmte VLANs konfiguriert sind, sondern darum, die Erstellung oder das Löschen von VLANs an alle Switches weiterzuleiten.

Wenn Sie sich mit VLANs vertraut gemacht haben, möchten Sie sich wahrscheinlich erneut mit dem Thema "VLAN-Bereinigung" befassen, das mit Protokollen wie VTP und MVRP verknüpft ist. Im Moment ist es nichts, worüber man sich ungeheuer Sorgen machen müsste. (Der VTP-Artikel auf Wikipedia enthält ein schönes Diagramm, in dem die VLAN-Bereinigung und die damit verbundenen Vorteile erläutert werden.)

Wann verwenden Sie VLANs im realen Leben?

Bevor wir weitermachen, ist es wichtig, über das wirkliche Leben nachzudenken und nicht über erfundene Beispiele. Anstatt den Text einer anderen Antwort hier zu duplizieren, verweise ich Sie auf meine Antwort bezüglich des Zeitpunkts der Erstellung von VLANs . Es ist nicht unbedingt "Anfänger-Level", aber es lohnt sich jetzt einen Blick darauf zu werfen, da ich kurz darauf eingehen werde, bevor ich zu einem erfundenen Beispiel zurückkehre.

Für die "tl; dr" -Menschen (die zu diesem Zeitpunkt sicherlich alle aufgehört haben zu lesen) lautet der Kern dieses Links wie folgt: Erstellen Sie VLANs, um Broadcast-Domänen zu verkleinern, oder wenn Sie den Datenverkehr aus einem bestimmten Grund (Sicherheit) trennen möchten , Politik usw.). Es gibt eigentlich keine anderen guten Gründe, VLANs zu verwenden.

In unserem Beispiel verwenden wir VLANs, um Broadcast-Domänen einzuschränken (um zu gewährleisten, dass Protokolle wie DHCP ordnungsgemäß funktionieren), und zweitens, weil die Netze der verschiedenen Mandanten voneinander isoliert werden sollen.

Nebenbei noch zu IP-Subnetzen und VLANs

Im Allgemeinen besteht eine Eins-zu-Eins-Beziehung zwischen VLANs und IP-Subnetzen, um die Isolierung zu erleichtern und die Funktionsweise des ARP-Protokolls zu gewährleisten.

Wie wir am Anfang dieser Antwort gesehen haben, können zwei verschiedene IP-Subnetze problemlos auf demselben physischen Ethernet verwendet werden. Wenn Sie VLANs zum Verkleinern von Broadcast-Domänen verwenden, möchten Sie nicht dasselbe VLAN mit zwei verschiedenen IP-Subnetzen gemeinsam nutzen, da Sie deren ARP- und anderen Broadcast-Verkehr kombinieren.

Wenn Sie VLANs verwenden, um den Datenverkehr aus Sicherheits- oder Richtliniengründen zu trennen, möchten Sie wahrscheinlich auch nicht mehrere Subnetze in demselben VLAN kombinieren, da Sie den Zweck der Isolation umgehen.

IP verwendet ein Broadcast-basiertes Protokoll, das Address Resolution Protocol (ARP), um IP-Adressen physischen (Ethernet MAC) Adressen zuzuordnen. Da ARP auf Broadcasts basiert, ist das Zuweisen verschiedener Teile desselben IP-Subnetzes zu verschiedenen VLANs problematisch, da Hosts in einem VLAN keine ARP-Antworten von Hosts im anderen VLAN empfangen können, da Broadcasts nicht zwischen VLANs weitergeleitet werden. Sie könnten dieses "Problem" durch die Verwendung von Proxy-ARP lösen. Letztendlich ist es jedoch besser, dies nicht zu tun, wenn Sie keinen guten Grund haben, ein IP-Subnetz über mehrere VLANs aufzuteilen.

Ein letztes Mal: ​​VLANs und Sicherheit

Schließlich ist es erwähnenswert, dass VLANs kein großartiges Sicherheitsgerät sind. Viele Ethernet-Switches weisen Fehler auf, mit denen Frames, die von einem VLAN stammen, über Ports gesendet werden können, die einem anderen VLAN zugewiesen sind. Die Hersteller von Ethernet-Switches haben hart daran gearbeitet, diese Fehler zu beheben. Es ist jedoch zweifelhaft, ob es jemals eine vollständig fehlerfreie Implementierung geben wird.

Im Fall unseres erfundenen Beispiels kann der Mitarbeiter in Etage 2, der nicht mehr in der Lage ist, einem anderen Mandanten kostenlose Systemverwaltungsdienste bereitzustellen, daran gehindert werden, seinen Datenverkehr in ein VLAN zu isolieren. Er könnte jedoch auch herausfinden, wie Fehler in der Switch-Firmware ausgenutzt werden können, damit sein Datenverkehr auch in das VLAN eines anderen Mandanten "sickert".

Metro-Ethernet-Anbieter setzen zunehmend auf VLAN-Tagging-Funktionen und die Isolation, die Switches bieten. Es ist nicht fair zu sagen, dass die Verwendung von VLANs keine Sicherheit bietet. Es ist jedoch fair zu sagen, dass es in Situationen mit nicht vertrauenswürdigen Internetverbindungen oder DMZ-Netzwerken wahrscheinlich besser ist, physisch getrennte Switches zu verwenden, um diesen "heiklen" Verkehr zu transportieren, als VLANs auf Switches, die auch Ihren vertrauenswürdigen "hinter der Firewall" -Verkehr transportieren.

Ebene 3 ins Bild holen

Bisher hat sich alles, worüber diese Antwort gesprochen hat, auf Layer 2- -Ethernet-Frames bezogen. Was passiert, wenn wir damit beginnen, Schicht 3 einzubeziehen?

Kehren wir zum konstruierten Baubeispiel zurück. Sie haben sich für VLANs entschieden, die Ports der einzelnen Mandanten als Mitglieder separater VLANs zu konfigurieren. Sie haben die Amtsleitungsports so konfiguriert, dass der Switch jeder Etage Frames mit der ursprünglichen VLAN-Nummer an die Switches in der oberen und unteren Etage austauschen kann. Ein Mandant kann Computer über mehrere Stockwerke verteilen. Aufgrund Ihrer Kenntnisse in der Konfiguration von VLANs können diese physisch verteilten Computer jedoch alle Teil desselben physischen LANs zu sein scheinen.

Sie sind so voll von Ihren IT-Errungenschaften, dass Sie beschließen, Ihren Mietern Internet-Konnektivität anzubieten. Sie kaufen eine fette Internet-Pipe und einen Router. Sie geben die Idee an alle Ihre Mieter weiter und zwei von ihnen kaufen sich sofort ein. Zum Glück hat Ihr Router drei Ethernet-Ports. Sie verbinden einen Port mit Ihrer Fat-Internet-Pipe, einen anderen Port mit einem Switch-Port, der für den Zugriff auf das VLAN des ersten Mandanten zugewiesen ist, und einen anderen Port mit einem Port, der für den Zugriff auf das VLAN des zweiten Mandanten zugewiesen ist. Sie konfigurieren die Ports Ihres Routers mit IP-Adressen im Netzwerk jedes Mandanten, und die Mandanten greifen über Ihren Dienst auf das Internet zu! Der Umsatz steigt und Sie sind glücklich.

Bald jedoch beschließt ein anderer Mieter, auf Ihr Internetangebot zuzugreifen. Sie haben jedoch keine Anschlüsse mehr an Ihrem Router. Was ist zu tun?

Glücklicherweise haben Sie einen Router gekauft, der die Konfiguration von "virtuellen Sub-Interfaces" an seinen Ethernet-Ports unterstützt. Kurz gesagt, mit dieser Funktion kann der Router Frames empfangen und interpretieren, die mit ursprünglichen VLAN-Nummern gekennzeichnet sind, und virtuelle (dh nicht physische) Schnittstellen mit IP-Adressen konfigurieren, die für jedes VLAN geeignet sind, mit dem er kommuniziert. Tatsächlich können Sie auf diese Weise einen einzelnen Ethernet-Port am Router so "multiplexen", dass er anscheinend als mehrere physische Ethernet-Ports fungiert.

Sie schließen Ihren Router an einen Trunk-Port an einem Ihrer Switches an und konfigurieren virtuelle Subschnittstellen, die dem IP-Adressierungsschema jedes Mandanten entsprechen. Jede virtuelle Subschnittstelle wird mit der jedem Kunden zugewiesenen VLAN-Nummer konfiguriert. Wenn ein Frame den Trunk-Port am Switch verlässt, der für den Router bestimmt ist, trägt er ein Tag mit der ursprünglichen VLAN-Nummer (da es sich um einen Trunk-Port handelt). Der Router interpretiert dieses Tag und behandelt das Paket so, als wäre es auf einer dedizierten physikalischen Schnittstelle angekommen, die diesem VLAN entspricht. Wenn der Router als Antwort auf eine Anforderung einen Frame an den Switch sendet, fügt er dem Frame ein VLAN-Tag hinzu, sodass der Switch weiß, an welches VLAN der Antwort-Frame gesendet werden soll. Sie haben den Router so konfiguriert, dass er "angezeigt" wird.

Router auf Sticks und Layer 3-Switches

Mit virtuellen Sub-Interfaces konnten Sie Ihren Mietern die Internet-Konnektivität verkaufen, ohne einen Router mit mehr als 25 Ethernet-Schnittstellen kaufen zu müssen. Sie sind ziemlich zufrieden mit Ihren IT-Leistungen, sodass Sie positiv reagieren, wenn zwei Ihrer Mieter eine neue Anfrage an Sie richten.

Diese Mandanten haben sich für einen "Partner" in einem Projekt entschieden und möchten den Zugriff von Clientcomputern im Büro eines Mandanten (ein bestimmtes VLAN) auf einen Servercomputer im Büro des anderen Mandanten (ein anderes VLAN) zulassen. Da beide Kunden Ihres Internetdienstes sind, handelt es sich um eine relativ einfache Änderung einer Zugriffssteuerungsliste in Ihrem zentralen Internetrouter (auf der für jedes VLAN dieses Mandanten eine virtuelle Subschnittstelle konfiguriert ist), damit der Datenverkehr zwischen ihren VLANs wie folgt fließen kann sowie zum Internet von ihren VLANs. Sie nehmen die Änderung vor und schicken die Mieter auf den Weg.

Am nächsten Tag erhalten Sie Beschwerden von beiden Mandanten, dass der Zugriff zwischen den Clientcomputern in einem Büro auf den Server im zweiten Büro sehr langsam ist. Sowohl der Server- als auch der Clientcomputer verfügen über Gigabit-Ethernet-Verbindungen zu Ihren Switches. Die Dateien werden jedoch nur mit einer Geschwindigkeit von ca. 45 Mbit / s übertragen. Dies entspricht ungefähr der Hälfte der Geschwindigkeit, mit der Ihr Core-Router eine Verbindung zu seinem Switch herstellt. Offensichtlich wird der Datenverkehr, der vom Quell-VLAN zum Router und vom Router zum Ziel-VLAN zurückfließt, durch die Verbindung des Routers zum Switch beeinträchtigt.

Was Sie mit Ihrem Core-Router getan haben, um den Datenverkehr zwischen VLANs weiterzuleiten, wird allgemein als "Router on a Stick" bezeichnet (ein wohl dummer, skurriler Euphemismus). Diese Strategie kann gut funktionieren, aber der Datenverkehr zwischen den VLANs kann nur bis zur Kapazität der Router-Verbindung zum Switch fließen. Wenn der Router in irgendeiner Weise mit den "Eingeweiden" des Ethernet-Switches selbst verbunden sein könnte, könnte er den Datenverkehr sogar noch schneller leiten (da der Ethernet-Switch selbst gemäß dem Datenblatt des Herstellers in der Lage ist, 2 Gbit / s Datenverkehr umzuschalten).

Ein "Layer-3-Switch" ist ein Ethernet-Switch, der logischerweise einen in sich verborgenen Router enthält. Ich finde es äußerst hilfreich, mir einen Layer-3-Switch als einen winzigen und schnellen Router vorzustellen, der sich im Switch versteckt. Ich rate Ihnen außerdem, die Routing-Funktionalität als eine deutlich von der Ethernet-Switching-Funktion, die der Layer-3-Switch bietet, getrennte Funktion zu betrachten. Bei einem Layer-3-Switch handelt es sich in jeder Hinsicht um zwei unterschiedliche Geräte, die in einem einzigen Gehäuse zusammengefasst sind.

Der eingebettete Router in einem Layer-3-Switch ist mit einer Geschwindigkeit an das interne Switching-Fabric des Switch angeschlossen, die normalerweise das Weiterleiten von Paketen zwischen VLANs mit oder nahe der Kabelgeschwindigkeit ermöglicht. Analog zu den virtuellen Sub-Interfaces, die Sie auf Ihrem "Router on a Stick" konfiguriert haben, kann dieser eingebettete Router im Layer 3-Switch mit virtuellen Interfaces konfiguriert werden, die als "Zugriffs" -Verbindungen zu jedem VLAN "erscheinen". Diese logischen Verbindungen von den VLANs zum eingebetteten Router in einem Layer-3-Switch werden nicht als virtuelle Subschnittstellen (SVIs) bezeichnet, sondern als Switch Virtual Interfaces. Tatsächlich verfügt der eingebettete Router in einem Layer-3-Switch über eine Reihe von "virtuellen Ports", die in jedes der VLANs des Switch "eingesteckt" werden können.

Der eingebettete Router verhält sich wie ein physischer Router, verfügt jedoch in der Regel nicht über alle Funktionen des dynamischen Routing-Protokolls oder der Zugriffssteuerungsliste (Access Control List, ACL) eines physischen Routers (es sei denn, Sie haben eine wirklich schöne Schicht 3 gekauft) Schalter). Der eingebettete Router hat jedoch den Vorteil, dass er sehr schnell ist und keinen Engpass aufweist, der mit einem physischen Switch-Port verbunden ist, an den er angeschlossen ist.

In unserem Beispiel hier mit den "Partnering" -Mandanten können Sie sich für einen Layer 3-Switch entscheiden, diesen so in Trunk-Ports einstecken, dass der Datenverkehr von beiden Kunden-VLANs ihn erreicht, und anschließend SVIs mit IP-Adressen und VLAN-Mitgliedschaften konfigurieren wird in beiden Kunden-VLANs "angezeigt". Sobald Sie dies erledigt haben, müssen Sie lediglich die Routing-Tabelle auf Ihrem Core-Router und dem eingebetteten Router im Layer-3-Switch so anpassen, dass der zwischen den VLANs der Mandanten fließende Datenverkehr vom eingebetteten Router im Layer-3-Switch im Vergleich zum Switch weitergeleitet wird "Router am Stick".

Die Verwendung eines Layer-3-Switches bedeutet nicht, dass die Bandbreite der Trunk-Ports, die die Switches miteinander verbinden, weiterhin Engpässe aufweist. Dies ist jedoch ein orthogonales Problem für die VLANs. VLANs haben nichts mit Bandbreitenproblemen zu tun. Typischerweise werden Bandbreitenprobleme gelöst, indem entweder schnellere Inter-Switch-Verbindungen erhalten werden oder indem Verbindungsaggregationsprotokolle verwendet werden, um mehrere Verbindungen mit niedrigerer Geschwindigkeit zu einer virtuellen Verbindung mit höherer Geschwindigkeit zu "verbinden". Sofern nicht alle Geräte, die Frames für das Routing durch den eingebetteten Router im späteren 3 Switch erstellen, selbst an Ports direkt am Layer 3-Switch angeschlossen sind, müssen Sie sich noch um die Bandbreite der Amtsleitungen zwischen den Switches kümmern. Ein Layer-3-Switch ist kein Allheilmittel, aber in der Regel schneller als ein "

Dynamische VLANs

Schließlich gibt es in einigen Switches eine Funktion zur Bereitstellung einer dynamischen VLAN-Mitgliedschaft. Anstatt einen bestimmten Port als Zugriffsport für ein bestimmtes VLAN zuzuweisen, kann die Konfiguration des Ports (Zugriff oder Trunk und für welche VLANs) dynamisch geändert werden, wenn ein Gerät angeschlossen ist. Dynamische VLANs sind ein fortgeschritteneres Thema, aber es kann hilfreich sein, zu wissen, dass die Funktionalität vorhanden ist.

Die Funktionen sind von Hersteller zu Hersteller unterschiedlich, in der Regel können Sie jedoch die dynamische VLAN-Mitgliedschaft basierend auf der MAC-Adresse des verbundenen Geräts, dem 802.1X-Authentifizierungsstatus des Geräts sowie proprietären und standardbasierten Protokollen (z. B. CDP und LLDP) konfigurieren, um IP-Telefonen das Konfigurieren zu ermöglichen "Ermitteln" Sie die VLAN-Nummer für den Sprachverkehr, das dem Client-Gerät zugewiesene IP-Subnetz oder den Ethernet-Protokolltyp.

Evan Anderson
quelle
9
Ich will wieder Gold, oder? :)
squillman
1
+1 Sie haben offensichtlich erhebliche Anstrengungen unternommen, danke!
Tim Long
1
+1: Wow! Hervorragende Antwort.
Arun Saha
12
Ich
1
@guntbert - ich bin froh, dass es dir hilft.
Evan Anderson
10

VLANs sind "Virtual Local Area Networks". Das Folgende ist mein Verständnis - mein Hintergrund ist in erster Linie Systems Engineering & Administration mit einer Seite von OO-Programmierung und viel Skripting.

VLANs sollen ein isoliertes Netzwerk über mehrere Hardwaregeräte erstellen. Ein herkömmliches LAN existiert in früheren Zeiten möglicherweise nur, wenn Sie ein einzelnes Hardwaregerät für ein bestimmtes Netzwerk haben. Alle Server / Geräte, die mit diesem Netzwerkgerät verbunden sind (Switch oder Hub, abhängig vom bisherigen Zeitrahmen), dürfen normalerweise frei im LAN kommunizieren.

Ein VLAN unterscheidet sich dadurch, dass Sie mehrere Netzwerkgeräte miteinander verbinden und isolierte Netzwerke erstellen können, indem Sie Server in einem VLAN gruppieren, sodass kein "dediziertes" Netzwerkgerät für ein einzelnes LAN erforderlich ist. Die Anzahl der konfigurierbaren VLANs und der unterstützten Server / Geräte variiert je nach Hersteller des Netzwerkgeräts.

Auch hier glaube ich nicht , dass sich je nach Anbieter alle Server im selben Subnetz befinden müssen, um Teil desselben VLANs zu sein. Ich glaube, dass dies bei älteren Netzwerkkonfigurationen der Fall war (Netzwerkingenieur fügt hier eine Korrektur ein).

Was ein VLAN von einem VPN unterscheidet, ist der Buchstabe "P" für "Privat". Normalerweise wird der VLAN-Verkehr nicht verschlüsselt.

Ich hoffe, das hilft!

mxmader
quelle
3
Eine dringend benötigte kurze Gateway-Antwort zum Verständnis von VLANs. Je höher der Stellenwert, desto detaillierter wird es. Dies ist möglicherweise gut für die Nachwelt, aber nicht sehr hilfreich, wenn Sie schnell einiges über das Thema wissen / verstehen möchten. Jetzt, wo ich weiß, was ich aus dieser Antwort mache, kann ich immer wieder zurückgehen, um mehr zu erfahren.
Harsh Kanchina