Was ist der Unterschied zwischen einem VLAN und einem Subnetz? [geschlossen]

91

Ich habe zahlreiche Foren und Artikel zu VLANs und Subnetzen gelesen.
Allerdings habe ich die Funktionen von jedem abgesehen von den folgenden nicht verstanden:

  1. Subnetze ermöglichen die Segmentierung eines Netzwerks
  2. VLANs sind ein isolierter Teil eines Netzwerks

Fragen

  1. Wenn ich mehrere Subnetze habe, gehe ich davon aus, dass Sie einen Router benötigen, um zwischen den einzelnen Subnetzen zu kommunizieren. Nur Geräte in jedem Subnetz befinden sich in der lokalen Broadcast-Domäne für dieses Subnetz. Ist das richtig?

  2. Benötige ich ein Subnetz, um ein VLAN einzurichten?

  3. Mir ist bekannt, dass ein VLAN innerhalb eines Subnetzes existieren kann. Nach meinem Verständnis müssten Sie dem VLAN jedoch eine IP-Adresse dieses Subnetzes zuweisen. Wie kann es vom Rest des Subnetzes isoliert werden?

  4. Wann würden Sie ein VLAN einrichten? Vor allem, wenn ich mein Netzwerk mithilfe von Subnetzen segmentieren kann?

  5. Ich komme immer wieder auf den folgenden Punkt. Ich bin mir jedoch nicht sicher, was dies genau bedeutet, wenn es liest same physical network.

    Mit virtuellen lokalen Netzwerken (VLANs) können wir verschiedene logische und physische Netzwerke erstellen. Während IP-Subnetze es uns lediglich ermöglichen, logische Netzwerke über dasselbe physische Netzwerk zu erstellen.

Würde mich über reale Beispiele freuen.

subnet vlan PeanutsMonkey
quelle
1
Der Hauptunterschied besteht darin, dass der Beitritt zu einem Subnetz auf der clientseitigen IP-Konfiguration basiert. Daher kann der Client jedes von ihm gewünschte Subnetz verwenden. Bei einem VLAN erfolgt die Konfiguration serverseitig (z. B. basierend auf dem LAN-Port) und der Client kann sie nicht ändern. Aus sicherheitstechnischer Sicht ist dies ein großer Unterschied.
Robert
@Robert - Können Sie näher erläutern, was Sie damit meinen client side IP and server side configuration?
PeanutsMonkey
Ein Subnetz wird durch die von Ihnen verwendete IP bestimmt und die IP kann vom Administrator eines Computers (oder Geräts) ausgewählt werden. Daher erfolgt dies auf Client-Seite - Sie können es nicht steuern. Ein VLAN wird auf Server- / Routerseite konfiguriert. Derjenige, der den Router / Server steuert, entscheidet, welcher Computer / Port welchem ​​VLAN zugewiesen wird. Ein (oder mehrere) zentrale Router / Server können logisch (Anmeldekennwort) und physisch (Zugriff auf den Serverraum) geschützt werden.
Robert
Diese Seite könnte nützlich sein petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm
barlop
@PeanutsMonkey: Wenn Sie Ihre Kommentare durchlesen, scheint es, als würden Sie einige Verwirrung über die verschiedenen Netzwerkebenen im OSI-Modell stiften. VLANs arbeiten auf Layer 2 , während IP - Subnetze auf Schicht arbeiten 3.
afrazier

Antworten:

73

Subnetz - ist ein Bereich von IP-Adressen, der durch einen Teil einer Adresse (häufig als Netzwerkadresse bezeichnet) und einer Subnetzmaske (Netzmaske) bestimmt wird. Wenn beispielsweise die Netzmaske 255.255.255.0(oder kurz / 24) und die Netzwerkadresse (n) ist 192.168.10.0, definiert dies einen Bereich von IP-Adressen 192.168.10.0bis 192.168.10.255. Abkürzung für Schreiben 192.168.10.0/24.

VLAN - Eine gute Möglichkeit, sich das vorzustellen, ist die "Switch-Partitionierung". Angenommen, Sie haben einen 8-Port-Switch, der VLAN-fähig ist. Sie können einem VLAN 4 Ports (z. B. VLAN 1) und einem anderen VLAN 4 Ports (z. B. VLAN 2) zuweisen. VLAN 1 sieht keinen Datenverkehr in VLAN 2 und umgekehrt. Logischerweise verfügen Sie jetzt über zwei separate Switches. Wenn der Switch bei einem Switch normalerweise keine MAC-Adresse erkannt hat, wird der Datenverkehr zu allen anderen Ports "geflutet". VLANs verhindern dies.

Wenn zwei Computer über TCP / IP kommunizieren, muss eine von zwei Bedingungen erfüllt sein:

  • Sie müssen demselben Subnetz angehören. Dies bedeutet, dass die Netzwerkadresse gleich und die Netzmaske gleich oder kleiner sein muss. So kann ein Computer mit einer Schnittstelle mit einer IP-Adresse von 192.168.10.4/24problemlos mit einem Computer mit einer Schnittstelle mit einer IP-Adresse von 192.168.10.8/24kommunizieren, sofern beide mit demselben physischen Switch oder VLAN verbunden sind. Wenn die Schnittstelle des zweiten Computers mit demselben physischen Switch oder VLAN verbunden war 192.168.11.8/24, wurde der Datenverkehr ignoriert (es sei denn, die Schnittstelle befand sich im Promiscuous-Modus).

  • Zwischen beiden Computern, die Datenverkehr zwischen Subnetzen weiterleiten können, muss ein Router vorhanden sein. Computer A und Computer B benötigen eine Route (oder ein Standard-Gateway) zu diesem Router. Angenommen, ein Computer mit einer Schnittstelle mit einer IP-Adresse von 192.168.10.4/24möchte mit einem Computer mit einer Schnittstelle mit einer IP-Adresse von sprechen 192.168.20.4/24. Verschiedene Subnetze, also müssen wir über einen Router gehen. Angenommen, es gibt einen Router mit zwei Schnittstellen (Router haben definitionsgemäß zwei Schnittstellen), eine auf 192.168.10.254/24und 192.168.20.254/24. Wenn die Routentabelle oder DHCP korrekt eingerichtet ist und Computer A und B die Schnittstellen des Routers in ihren jeweiligen Subnetzen erreichen können, können sie über den Router indirekt miteinander kommunizieren.

Das Erzwingen des Datenverkehrs über einen Router, auch wenn dies nicht erforderlich ist, wie dies bei unserem 8-Port-Switch oben der Fall ist, bietet Sicherheits- und Leistungsvorteile: Sie haben die Möglichkeit, den Datenverkehr zu filtern und den Datenverkehr nach Typ und Router optimal weiterzuleiten leiten Sie den Broadcast-Verkehr nicht weiter (sofern nicht ungewöhnlich konfiguriert). VLANs werden manchmal als "Hack" verwendet, um den Datenfluss / die Sichtbarkeit des IPv4-Broadcast-Verkehrs zu verwalten.

Bearbeiten Sie, um einige Ihrer Fragen zu beantworten:

  • Konzeptionell entsprechen VLANs Switches. Was in einem Port eines VLAN eingeht, wird auf alle anderen Ports repliziert ("geflutet"), sofern das VLAN die MAC-Adresse nicht zuvor gesehen / gelernt hat. Dann wird es an diesen Port weitergeleitet. Es gibt kein richtiges Gateway zum VLAN. Ein "Gateway" bedeutet immer die IP-Adresse eines Routers.

  • Damit VLAN 1 mit VLAN 2 kommunizieren kann, muss eine Schnittstelle in VLAN 1 mit einem Router verbunden sein, eine Schnittstelle in VLAN 2 muss mit einem Router verbunden sein, und dieser Router muss so konfiguriert sein, dass der Verkehr zwischen diesen Subnetzen weitergeleitet wird. Wenn wir in unserem obigen Beispiel mit 8 Ports den Datenverkehr zwischen diesen VLANs weiterleiten möchten, müssen wir für jedes VLAN, das mit einem Router verbunden ist, 1 Port aufwenden. Gleiches gilt für einen Schalter.

Ich bin sicher, dass in vielen High-End-Switches / Hardware ein "VLAN-Router" "eingebaut" ist, bei dem ein zusätzlicher Port in jedem VLAN, der es mit einem physischen Router verbindet, nicht erforderlich ist, wenn Sie zwischen VLANs routen möchten im selben Schalter. Hier könnte die VLAN-IP oder das "Gateway" ins Spiel kommen. (Ich lade die Fachkundigen ein, dies zu bearbeiten)

  • Wenn ein Computer seine IP über DHCP erhält, erhält er normalerweise auch das "Standard-Gateway" von demselben DHCP-Server. Jemand muss den DHCP-Server korrekt konfigurieren. Routing-Protokolle wie RIP, IS-IS, OSPF und BGP können ebenfalls Routen hinzufügen. Natürlich haben Sie die Möglichkeit, Routen manuell hinzuzufügen ("statische" Routen)

  • Wenn Ihr Switch über einen seriellen Anschluss oder einen Anschluss mit der Bezeichnung "Konsole" verfügt, wird er wahrscheinlich verwaltet und unterstützt VLANs.

LawrenceC
quelle
1
Eine der besten Erklärungen, die ich heute gesehen habe. Das hat eine Reihe von Fragen aufgeworfen. Würden VLAN 1 und VLAN 2 eine eigene IP-Adresse haben oder wird sie einfach als VLAN 1 und VLAN 2 gekennzeichnet? Wie kommunizieren die Hosts / Endpunkte / Knoten in VLAN 1 miteinander, wenn sie mit Tags versehen sind? Wenn es nun einen Router gibt, ist das Gateway die VLAN-IP-Adresse oder die des Routers? Wenn Sie sagen route table, muss ich das bauen? Woher wissen Sie auch, ob ein von Ihnen geerbter Switch VLAN-fähig (verwaltet) oder nicht verwaltet ist?
PeanutsMonkey
Bitte sehen Sie Änderungen.
LawrenceC
Vielen Dank. Ich hatte eine Frage zu dem Satz ven though it's not needed such as on our 8-port switch above, has security and performance benefits. Warum müsste es nicht über einen Router gehen, wenn die Subnetze Teil eines anderen Netzwerks sind?
PeanutsMonkey
Bitte sehen Sie weitere Änderungen.
LawrenceC
20

Ich fand die anderen Erklärungen kompliziert.

  • Mit VLAN können Sie alle Netzwerkpakete mit einer magischen Nummer versehen (z 3. B. ).
  • Nur andere Netzwerkkarten, für die diese Einstellung festgelegt ist, 3können diese Pakete sehen

Stellen Sie eine Reihe von Computern auf VLAN 3und sie werden in ihrer eigenen kleinen, isolierten Welt sein; Sie werden keinen anderen Verkehr sehen.

Plötzlich können mehrere LANs auf denselben Kabeln betrieben werden (dh virtuelle LANs ). Sie können sogar zwei Computer mit derselben IP-Adresse haben, da diese unterschiedliche VLAN-Tags haben (z. B. 3Verse 7).

Das Einstellen einer VLAN-ID erfolgt durch Konfigurieren des Netzwerkkartentreibers:

Bildbeschreibung hier eingeben

Ihr Kilometerstand hängt von Ihrer Netzwerkkarte und deren Treibern ab.

Ian Boyd
quelle
Ich bin auf VLAN-Tags gestoßen, bin jedoch fasziniert von der Frage, wie Sie setNetzwerkkarten nennen sollen 3. Ich gehe davon aus, dass die VLANs sich nicht sehen können, wenn es keinen Router gibt. Wenn es einen Router gibt, muss vermutlich eine Firewall installiert sein, um zu verhindern, dass die Pakete von einem VLAN zum nächsten weitergeleitet werden, wenn Anforderungen gestellt werden. Was wäre nun das Gateway des Subnetzes im VLAN? Wäre es der Router?
PeanutsMonkey
Wird dem VLAN auch eine IP-Adresse oder einfach ein Tag zugewiesen? Basierend auf meinen Lesungen bei petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm scheint es, dass Trunks auch routePakete können. Ich bin mir nicht sicher, ob mein Verständnis klar ist. Bedeutet das, dass ein Switch ein Layer 2- und 3-Gerät ist?
PeanutsMonkey
Ein VLAN ist einfach ein Tag. Alle Netzwerkkarten müssen das Vorhandensein eines VLAN-Tags kennen und Pakete mit einem anderen VLAN-Tag als dem eigenen ignorieren.
Ian Boyd
@ IanBoyd: Müssen alle Netzwerkkarten VLAN-fähig sein? Ich dachte, dass die Edge-Switches zwischen den VLANs das gesamte Tagging (und das Entfernen von Tags) aus dem Ehternet-Header übernehmen könnten.
4.
Im Fall eines solchen Smart Switch: Nein, der Switch kann den Datenverkehr leiten. In diesem Fall müssen Sie den Switch so programmieren, dass Sie wissen, welche Ports welchen Datenverkehr benötigen. Aus der einfacheren Erklärung von VLAN: Es ist eine Möglichkeit, Pakete mit einer ID zu kennzeichnen, sodass nur Netzwerkkarten mit demselben Tag sie sehen.
Ian Boyd
8

Die vereinfachende Erklärung ist, dass es VLANs gibt, die es verschiedenen Subnetzen ermöglichen, physische Kabel, Ports und Switches gemeinsam zu nutzen. Sie könnten unterschiedliche Subnetze in Ihrem Netzwerk haben, ohne VLAN, aber Sie müssten für jedes einen anderen Satz von Drähten haben.

Joel Coehoorn
quelle
Ich habe endlich verstanden, dass ein VLAN es einem Unternehmen ermöglicht, denselben Switch zu verwenden, anstatt mehrere Switches zu kaufen, und bin dennoch verwirrt über einige der Fragen, die ich in meinem Beitrag aufgeworfen habe.
PeanutsMonkey
4
Was? Es hindert niemanden daran, mehrere IP-Subnetze im selben physischen Netzwerk zu betreiben, obwohl ich mir keine guten Gründe vorstellen kann, dies ohne vorhandene VLANs zu tun. Insbesondere würden Sie mit DHCP ohne VLANs einige ernsthafte Schwierigkeiten haben, den Broadcast-Verkehr zu isolieren.
4.
4

1.Wenn ich mehrere Subnetze habe, gehe ich davon aus, dass Sie einen Router für die Kommunikation zwischen den einzelnen Subnetzen benötigen.

Ja, Sie benötigen einen Router, um Pakete zwischen Subnetzen zu verschieben.

Nur Geräte in jedem Subnetz befinden sich in der lokalen Broadcast-Domäne für dieses Subnetz. Ist das richtig?

Ja, ein Subnetz ist eine Broadcast-Domain.

2. Brauche ich ein Subnetz, um ein VLAN einzurichten?

Ja.

3. Ich bin mir bewusst, dass ein VLAN in einem Subnetz vorhanden sein kann, aber ich verstehe, dass Sie dem VLAN eine IP-Adresse dieses Subnetzes zuweisen müssen.

Nein, meines Wissens sind VLANs in den Switches definiert und isolieren den Datenverkehr jedes VLANs.

Wie kann es vom Rest des Subnetzes isoliert werden?

Ein VLAN ist ein Subnetz.

4. Wann würden Sie ein VLAN einrichten, insbesondere wenn ich mein Netzwerk mithilfe von Subnetzen segmentieren kann?

Wenn Sie den Datenverkehr in zwei oder mehr Gruppen aufteilen müssen, ohne die physische Infrastruktur (hauptsächlich Switches) in zwei oder mehr physische Gruppen aufzuteilen.

5. Ich komme immer wieder auf den Punkt, dass virtuelle lokale Netzwerke (Virtual Local Area Networks, VLANs) es uns ermöglichen, verschiedene logische und physische Netzwerke zu erstellen. Während IP-Subnetze es uns lediglich ermöglichen, logische Netzwerke über dasselbe physische Netzwerk zu erstellen. Ich bin mir jedoch nicht sicher, was dies genau bedeutet, wenn dasselbe physische Netzwerk gelesen wird.

Ein physisches LAN besteht hauptsächlich aus Switches und Kabeln, die (im Falle von Ethernet) in einer einzigen Baumstruktur angeordnet sind.

Normalerweise ist ein LAN ein einzelnes Subnetz. Eine Organisation verfügt möglicherweise über mehrere LANs, die über Router verbunden sind.

Ein einzelnes physisches LAN kann mithilfe der VLAN-Unterstützung in den Switches in mehrere logische LANs (VLANs) aufgeteilt werden. Jedes VLAN hat dann ein eigenes Subnetz. Ein Router wird daher benötigt, um Pakete zwischen den logischen LANs (VLANs) zu verschieben.

Update: Einige Antworten, um Fragen in Kommentaren zu beantworten.

Wenn ich möchte, dass Geräte in 2 separaten VLANs kommunizieren, wird kein Router benötigt, da ich Trunking verwenden kann.

Hier sind einige Zitate von http://www.formortals.com/an-introduction-to-vlan-trunking/

"Durch VLAN-Trunking kann sich ein einzelner Netzwerkadapter als" n "Anzahl virtueller Netzwerkadapter verhalten, wobei" n "eine theoretische Obergrenze von 4096 hat, jedoch in der Regel auf 1000 VLAN-Netzwerksegmente beschränkt ist. "

" Router können unendlich viel nützlicher werden, sobald sie in die Switch-Infrastruktur des Unternehmens eingebunden sind. Sobald sie eingebunden sind, werden sie allgegenwärtig und können Routing-Dienste für jedes Subnetz in jeder Ecke des Unternehmensnetzwerks bereitstellen. "

Sie benötigen also noch einen Router, aber mit VLAN-Trunking kann es sich um einen einarmigen Router (Router auf einem Stick) handeln. High-End-Switches verfügen über Routing-Funktionen, sodass Sie möglicherweise keinen separaten Router benötigen, da Ihr High-End-Switch auch ein Layer-3-Router ist.

Wenn Sie sagen, dass ich ein Subnetz benötige, um ein VLAN einzurichten, was meinen Sie dann genau?

VLANs sind ein Layer-2-Konzept. Ebenso wie Ethernet-Switches sind Layer-2-Geräte. Mit VLANs können mehrere Switches Aufgaben ausführen, bei denen Sie andernfalls möglicherweise ein halbes Dutzend Switches in isolierten Gruppen benötigen. Ihre Knoten (Computer, Drucker usw.) verwenden jedoch normalerweise die Layer-3-Adressierung (IP).

Damit Knoten in einem VLAN (N für Netzwerk) mit Knoten in einem anderen VLAN (N für Netzwerk) kommunizieren können, benötigen Sie ein InterNetwork-Protokoll (mit anderen Worten IP). Um IP-Pakete zwischen Netzwerken zu verschieben, muss jedes Netzwerk eine andere Layer-3-Netzwerkadresse haben.

Hier kommt das Subnetz ins Spiel - die Aufteilung des zugewiesenen Schicht-3-Netzwerkadressbereichs einer Organisation in Subnetze mithilfe von Subnetzmasken. Dann können Sie einen Router verwenden, um Geräten in einem Subnetz (in einem VLAN) die Kommunikation mit Geräten in einem anderen Subnetz (in einem anderen VLAN) zu ermöglichen.

RedGrittyBrick
quelle
@ RedGrittyBrick - Danke. Wenn Sie sagen, dass ich ein Subnetz benötige, um ein VLAN einzurichten, was meinen Sie dann genau? Für mich ist Subnetting die Trennung oder Segmentierung von IP-Adressen? Nach meinem Verständnis werden VLANs in Schicht 2 betrieben, was bedeutet, dass MAC-Adressen in IP-Adressen aufgelöst werden. Unter der Annahme, dass mein Verständnis stimmt, warum und wie würden Sie ein Subnetz erstellen, um ein VLAN einzurichten? Ich bin nicht gefolgt, was du meinst VLAN is defined in the switches and isolates the traffic of each VLAN?
PeanutsMonkey
@ RedGrittyBrick - Es scheint auch, dass, wenn ich wollte, dass Geräte in 2 separaten VLANs kommunizieren, kein Router benötigt wird, da ich Trunking verwenden kann.
PeanutsMonkey
@PeanutsMonkey Es ist möglich, dass Sie beide die Begriffe VLAN und VLANs falsch vertauschen. Ihn als Tippfehler in einem Satz, den Sie von ihm gelesen haben, und Sie in Ihrem Kopf. VLANs ist der Plural von VLAN. Also schrieb er diesen Satz "VLAN ist in den Switches definiert und isoliert den Verkehr jedes VLAN?" sollte vielleicht lauten "VLANs sind in dem / jedem Switch definiert und der Verkehr in jedem VLAN ist isoliert"
Barlop
@barlop - Ich verstehe, dass ein VLAN eine Teilmenge von VLANs ist. Der Inhalt des von Ihnen vorgeschlagenen Links, z . B. petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm, verwirrt jedoch . Zum Beispiel lautet der InhaltAt this point, only ports 2 and 3 should be able to communicate with each other and ports 4 & 5 should be able to communicate. That is because each of these is in its own VLAN
PeanutsMonkey
For the device on port 2 to communicate with the device on port 4, you would have to configure a trunk port to a router so that it can strip off the VLAN information, route the packet, and add back the VLAN information
PeanutsMonkey
2

1.Wenn ich mehrere Subnetze habe, gehe ich davon aus, dass Sie einen Router für die Kommunikation zwischen den einzelnen Subnetzen benötigen. Nur Geräte in jedem Subnetz befinden sich in der lokalen Broadcast-Domäne für dieses Subnetz. Ist das richtig?

IP-Netzwerke (Subnetze) sind ein Layer-3-Konzept. Wenn zwei PCs ohne VLANs an denselben L2-Switch angeschlossen sind, befinden sie sich in derselben L2-Broadcast-Domäne, jedoch nicht in der L3-Broadcast-Domäne.

2. Brauche ich ein Subnetz, um ein VLAN einzurichten?

Nein. Wenn Sie jedoch möchten, dass Geräte in einem VLAN miteinander kommunizieren, benötigen sie wahrscheinlich ein L3-Protokoll.

3. Ich bin mir bewusst, dass ein VLAN in einem Subnetz vorhanden sein kann, aber ich verstehe, dass Sie dem VLAN eine IP-Adresse dieses Subnetzes zuweisen müssen. Wie kann es vom Rest des Subnetzes isoliert werden?

Nicht klar, was Sie fragen.

4. Wann würden Sie ein VLAN einrichten, insbesondere wenn ich mein Netzwerk mithilfe von Subnetzen segmentieren kann?

VLANs sind lediglich eine Möglichkeit, ein L2-Gerät als mehrere L2-Geräte erscheinen zu lassen.

5. Ich komme immer wieder auf den Punkt, dass virtuelle lokale Netzwerke (Virtual Local Area Networks, VLANs) es uns ermöglichen, verschiedene logische und physische Netzwerke zu erstellen. Während IP-Subnetze es uns lediglich ermöglichen, logische Netzwerke über dasselbe physische Netzwerk zu erstellen. Ich bin mir jedoch nicht sicher, was dies genau bedeutet, wenn dasselbe physische Netzwerk gelesen wird.

dbasnett
quelle
Wenn Sie sagen, dass sie sich in derselben Layer-2-Broadcast-Domäne befinden und nicht in der Layer-3-Broadcats-Domäne, was bedeutet das genau?
PeanutsMonkey
Das heißt, wenn ein Paket mit allen im MAC-Zielfeld übertragen wird, wird es von allen Geräten gesehen. Die Layer-3-Broadcast-Domäne kann aus allen IP-Adressen bestehen, oder die Netzwerknummern sind gleich, und der Host-Teil der Adresse besteht aus allen Adressen. Bevor Sie zu VLANs wechseln, müssen Sie die Grundlagen von Layer 2 und 3 verstehen.
dbasnett
Danken. Könnten Sie näher erläutern, was Sie damit meinen all ones? Beziehen Sie sich auf binäre und bitweise Berechnungen?
PeanutsMonkey
Ja, alle binären, mac = ffffffffffff für MAC und 255.255.255.255 für IP.
dbasnett