Questão Qual é a diferença entre uma VLAN e uma sub-rede? [fechadas]


Eu li vários fóruns e artigos sobre VLANs e sub-redes.
No entanto, não entendi as funções de cada um além do seguinte:

  1. As sub-redes permitem a segmentação de uma rede
  2. VLANs são uma parte isolada de uma rede

Questões

  1. Se eu tiver várias sub-redes, presumo que você precisaria de um roteador para se comunicar entre cada sub-rede. Somente dispositivos em cada sub-rede estariam no domínio de transmissão local dessa sub-rede. Isso esta certo?

  2. Preciso de uma sub-rede para configurar uma VLAN?

  3. Estou ciente de que uma VLAN pode existir dentro de uma sub-rede. Mas o meu entendimento é que você teria que atribuir um endereço IP dessa sub-rede à VLAN. Como pode ser isolado do resto da sub-rede?

  4. Quando você configuraria uma VLAN? Especialmente se eu sou capaz de segmentar minha rede usando sub-redes?

  5. Eu continuo vindo através do seguinte ponto. No entanto, não tenho certeza do que isso significa exatamente quando lê same physical network.

    Redes locais virtuais (VLANs) nos permitem criar diferentes redes lógicas e físicas; enquanto a sub-rede IP simplesmente nos permite criar redes lógicas através da mesma rede física.

Gostaria de apreciar exemplos do mundo real.


83


origem


A principal diferença é que ingressar em uma sub-rede é baseado na configuração IP do lado do cliente. Portanto, o cliente pode usar qualquer sub-rede que ele desejar. Para uma VLAN, a configuração é feita no lado do servidor (por exemplo, com base na porta LAN) e o cliente não pode alterá-lo. De uma perspectiva de segurança, isso é uma grande diferença. - Robert
@Robert - Você pode elaborar sobre o que você entende por client side IP and server side configuration? - PeanutsMonkey
Uma sub-rede é determinada pelo IP que você usa e o IP pode ser escolhido pela administração de um computador (ou dispositivo). Por isso, é feito no lado do cliente - você não pode controlá-lo. Uma VLAN é configurada no lado do servidor / roteador. Aquele que controla o roteador / servidor decide qual computador / porta está atribuído a qual VLAN. Um (ou alguns) roteadores / servidores centrais podem ser protegidos logicamente (senha de login) e fisicamente (acesso à sala do servidor). - Robert
Esta página pode ser útil petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm - barlop
@PeanutsMonkey: Ao ler seus comentários, parece que você está vendo alguma confusão sobre as várias camadas da rede no modelo OSI. As VLANs operam na camada 2, enquanto as sub-redes IP operam na camada 3. - afrazier


Respostas:


Sub-rede - é um intervalo de endereços IP determinado por parte de um endereço (geralmente chamado de endereço de rede) e uma máscara de sub-rede (máscara de rede). Por exemplo, se a máscara de rede for 255.255.255.0 (ou / 24 para breve) e o endereço de rede for 192.168.10.0, isso definirá um intervalo de endereços IP 192.168.10.0 a 192.168.10.255. A abreviação de escrita é 192.168.10.0/24.

VLAN - Uma boa maneira de pensar nisso é "alternar o particionamento". Digamos que você tenha um switch de 8 portas que seja capaz de VLAN. Você pode atribuir 4 portas a uma VLAN (por exemplo, VLAN 1) e 4 portas a outra VLAN (por exemplo, VLAN 2). A VLAN 1 não verá nenhum tráfego da VLAN 2 e vice-versa, logicamente, agora você tem dois switches separados. Normalmente, em um switch, se o switch não tiver visto um endereço MAC, ele "inundará" o tráfego para todas as outras portas. VLANs impedem isso.

Se dois computadores estiverem falando usando TCP / IP, uma das duas condições deverá ser atendida:

  • Eles devem pertencer à mesma sub-rede. Isso significa que o endereço de rede deve ser o mesmo e a máscara de rede deve ser igual ou menor. Assim, um computador com uma interface com um endereço IP de 192.168.10.4/24 pode falar com um computador com uma interface com um endereço IP de 192.168.10.8/24 sem problemas, desde que ambos estejam conectados ao mesmo switch físico ou VLAN. Se a interface do segundo computador conectado ao mesmo switch físico ou VLAN fosse 192.168.11.8/24, ele ignoraria o tráfego (a menos que a interface estivesse no modo promíscuo).

  • Um roteador precisa existir entre os dois computadores que podem encaminhar o tráfego entre sub-redes. O computador A e o computador B precisam de uma rota (ou gateway padrão) para esse roteador. Digamos que um computador com uma interface com um endereço IP de 192.168.10.4/24 queira falar com um computador com uma interface com um endereço IP de 192.168.20.4/24. Sub-redes diferentes, por isso devemos passar por um roteador. Digamos que há um roteador com duas interfaces (os roteadores, por definição, têm duas interfaces), um em 192.168.10.254/24 e 192.168.20.254/24. Se a tabela de rotas ou DHCP estiver configurada corretamente e ambos os computadores A e B puderem acessar as interfaces do roteador em suas respectivas sub-redes, eles poderão se comunicar indiretamente através do roteador.

Forçar o tráfego a passar por um roteador, mesmo que não seja necessário, como no nosso switch de 8 portas, tem benefícios de segurança e desempenho - ele oferece a oportunidade de filtrar tráfego, otimizar o tráfego com base no tipo e roteadores não encaminha o tráfego de broadcast (a menos que seja configurado de maneira incomum). Às vezes, as VLANs são usadas como "hack" para gerenciar fluxos / visibilidade do tráfego de difusão IPv4.

Edite para responder algumas das suas perguntas:

  • Conceitualmente, as VLANs são equivalentes a switches. O que vem em uma porta de uma VLAN é replicado ("inundado") para todas as outras portas, a menos que a VLAN tenha visto / aprendido o endereço MAC antes, então ele é direcionado para essa porta. Não há gateway para a VLAN adequada. Um "gateway" sempre significa o endereço IP de um roteador.

  • Para que a VLAN 1 fale com a VLAN 2, uma interface na VLAN 1 deve estar conectada a um roteador, uma interface na VLAN 2 deve estar conectada a um roteador e esse roteador deve ser configurado para encaminhar o tráfego entre essas sub-redes. Em nosso exemplo de 8 portas acima, se quiséssemos rotear o tráfego entre essas VLANs, teríamos que gastar 1 porta em cada VLAN conectando a um roteador. O mesmo com um interruptor.

Tenho certeza de que muitos switches / hardwares de última geração têm um "roteador VLAN" "embutido" a eles, onde gastar uma porta extra dentro de cada VLAN conectando-a a um roteador físico realmente não é necessário se você quiser rotear entre VLANs no mesmo interruptor. Isso pode ser onde o IP da VLAN ou "gateway" entra em jogo. (Eu convido os mais experientes para editar isso)

  • Quando um computador obtém seu IP via DHCP, ele também geralmente obtém o "gateway padrão" do mesmo servidor DHCP. Alguém tem que configurar o servidor DHCP corretamente. Os protocolos de roteamento, como RIP, IS-IS, OSPF e BGP, também podem adicionar rotas. Claro que você tem a opção de adicionar rotas manualmente (rotas "estáticas")

  • Se o seu switch tiver uma porta serial ou uma porta denominada "console", é provável que ele seja gerenciado e suporte a VLANs.


66



Uma das melhores explicações que vi hoje. Agora, isso levantou várias questões. A VLAN 1 e a VLAN 2 teriam seu próprio endereço IP ou seriam simplesmente marcadas como VLAN 1 e VLAN 2? Se eles estão marcados, como os hosts / pontos finais / nós na VLAN 1 conversam entre si? Agora, se houver um roteador, o gateway é o endereço IP da VLAN ou do roteador? Quando voce diz route table, é algo que tenho que construir? Além disso, como você sabe se um switch herdado é habilitado para VLAN (gerenciado) ou não gerenciado? - PeanutsMonkey
Por favor, veja as edições. - LawrenceC
Obrigado. Eu tinha uma pergunta sobre a sentença ven though it's not needed such as on our 8-port switch above, has security and performance benefits. Por que não teria que passar por um roteador se as sub-redes fizerem parte de uma rede diferente? - PeanutsMonkey
Por favor, veja mais edições. - LawrenceC


Eu achei as outras explicações complicadas.

  • A VLAN permite marcar todos os pacotes de rede com um número mágico (por exemplo, 3).
  • Apenas outras placas de rede configuradas para 3 verá esses pacotes

Defina um monte de computadores para VLAN 3 e eles estarão em seu próprio mundo isolado; eles não verão nenhum outro tráfego.

De repente você pode ter múltiplos LANs operando nos mesmos fios (ou seja, LANs virtuais). Você pode até ter dois computadores com o mesmo IP, pois eles têm tags de VLAN diferentes (por exemplo, 3 versos7)


A configuração de um ID de VLAN é feita configurando o driver da placa de rede:

enter image description here

Sua milhagem irá variar de acordo com sua placa de rede e seus drivers.


18



Eu vim através de tags VLAN no entanto estou intrigado com como você set placas de rede para dizer 3? Eu suponho que as VLANs não seriam capazes de ver uma a outra se não houver roteador. Se houver um roteador, acredito que deveria haver um firewall para impedir que os pacotes passem de uma VLAN para a próxima, se forem feitas as requisições. Agora, qual seria o gateway da sub-rede na VLAN? Seria o roteador? - PeanutsMonkey
Também é a VLAN alocada um endereço IP ou simplesmente uma tag? Com base em minhas leituras em petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm parece troncos também pode route pacotes. Não tenho certeza se o meu entendimento é claro embora. Isso significa que um switch é um dispositivo de camada 2 e 3? - PeanutsMonkey
Uma VLAN é simplesmente uma tag. Todas as placas de rede devem estar cientes da presença de uma tag de VLAN e ignorar os pacotes com uma tag de VLAN diferente da deles. - Ian Boyd
@ IanBoyd: Todas as NICs devem ter conhecimento da VLAN? Eu pensei que as mudanças de borda entre as VLANs poderiam lidar com toda a marcação (e remoção de tags) do cabeçalho Ehternet. - afrazier
No caso de um switch inteligente como esse: não, o switch pode lidar com o tráfego de direcionamento. Mas nesse caso você tem que programar o switch para saber quais portas levam o tráfego. A partir da explicação mais simples do que é a VLAN: é uma maneira de marcar os pacotes com um ID, de modo que apenas as placas de rede com a mesma tag os visualizem. - Ian Boyd


A explicação simplista é que existem VLANs para permitir que diferentes sub-redes compartilhem cabeamento físico, portas e comutação. Você poderia ter sub-redes distintas em sua rede sem vlans, mas teria que ter um conjunto diferente de fios para cada uma.


7



Eu finalmente entendi que de arrastar na web que uma VLAN permite que uma organização utilize o mesmo switch ao invés de comprar vários switches, no entanto, ainda estou confuso sobre algumas das questões que levantei no meu post. - PeanutsMonkey
O que? Não há nada que impeça a operação de várias sub-redes IP na mesma rede física, embora eu não consiga pensar em nenhuma boa razão para fazer isso sem as VLANs instaladas. Em particular, você teria alguma dificuldade séria com o DHCP sem VLANs para isolar o tráfego de broadcast. - afrazier


1. Se eu tiver várias sub-redes, presumo que você precisaria de um roteador para se comunicar entre cada sub-rede.

Sim, você precisa de um roteador para mover pacotes entre sub-redes.

Somente dispositivos em cada sub-rede estariam no domínio de transmissão local dessa sub-rede. Isso esta certo?

Sim, uma sub-rede é um domínio de broadcast.

2. Eu preciso de uma sub-rede para configurar uma VLAN?

Sim.

3. Estou ciente de que uma VLAN pode existir dentro de uma sub-rede, mas, no meu entender, você teria que atribuir à VLAN um endereço IP dessa sub-rede.

Não, pelo que entendi, as VLANs são definidas nos switches e isolam o tráfego de cada VLAN.

Como pode ser isolado do resto da sub-rede?

Uma VLAN é uma sub-rede.

4. Quando você configuraria uma VLAN, especialmente se eu sou capaz de segmentar minha rede usando sub-redes?

Quando você precisar separar o tráfego em dois ou mais grupos sem separar a infraestrutura física (principalmente os comutadores) em dois ou mais grupos físicos.

5. Continuo chegando ao ponto em que as redes locais virtuais (VLANs) nos permitem criar diferentes redes lógicas e físicas; enquanto a sub-rede IP simplesmente nos permite criar redes lógicas através da mesma rede física. no entanto não tenho certeza do que isso significa exatamente quando lê a mesma rede física.

Uma LAN física é composta principalmente de switches e cabos dispostos (no caso da Ethernet) em uma única estrutura de árvore.

Normalmente, uma LAN é uma sub-rede única. Uma organização pode ter várias LANs vinculadas por roteadores.

Uma única LAN física pode ser dividida em várias LANs lógicas (VLANs) usando o suporte a VLAN nos switches. Cada VLAN tem então uma sub-rede separada. Um roteador é, portanto, necessário para mover pacotes entre as LANs lógicas (VLANs).


Atualização: algumas respostas para acompanhar as perguntas nos comentários.

se eu quisesse dispositivos em duas VLANs separadas para comunicar que um roteador não é necessário, pois posso usar o entroncamento.

Aqui estão algumas citações de http://www.formortals.com/an-introduction-to-vlan-trunking/

"O entroncamento de VLAN permite que um único adaptador de rede se comporte como um número “n” de adaptadores de rede virtual, onde “n” tem um limite superior teórico de 4096, mas é tipicamente limitado a 1000 segmentos de rede VLAN."

"Os roteadores podem se tornar infinitamente mais úteis quando são entroncados na infra-estrutura de switches corporativos. Uma vez entroncados, eles se tornam onipresentes e podem fornecer serviços de roteamento para qualquer sub-rede em qualquer canto da rede da empresa."

Então você ainda precisa de um roteador, mas, com o entroncamento de VLAN, ele pode ser um roteador de um braço só (roteador em um bastão). Os switches high-end incluem recursos de roteamento, portanto, você pode não precisar de um roteador separado, porque o seu switch high-end também é um roteador da camada 3.

Quando você diz que eu preciso de uma sub-rede para configurar uma VLAN, o que você quer dizer exatamente?

VLANs são um conceito de camada 2. Assim como os switches Ethernet são um dispositivo de camada 2. As VLANs podem fazer com que alguns switches executem tarefas em que você poderia precisar de meia dúzia de switches em grupos isolados. No entanto, seus nós (computadores, impressoras, etc) normalmente usam o endereçamento de camada 3 (IP).

Para nós em uma VLAN (N for Network) para se comunicar com nós em outra VLAN (N for Network), você precisa de um protocolo de rede (em outras palavras, IP). Em IP para mover pacotes entre redes, precisamos que cada rede tenha um endereço de rede de camada 3 diferente.

É aí que entra a sub-rede - dividindo o intervalo de endereços de rede da camada 3 alocado de uma organização em sub-redes, usando máscaras de sub-rede. Em seguida, você pode usar um roteador para permitir que dispositivos em uma sub-rede (em uma VLAN) se comuniquem com dispositivos em outra sub-rede (em outra VLAN).


5



@RedGrittyBrick - Obrigado. Quando você diz que eu preciso de uma sub-rede para configurar uma VLAN, o que você quer dizer exatamente? Para mim, a sub-rede é a segregação ou segmentação de endereços IP? Pelo que entendi, as VLANs operam na Camada 2, o que significa que ela resolve os endereços MAC para o endereço IP, portanto, supondo que meu entendimento esteja correto, por que e como você criaria uma sub-rede para configurar uma VLAN? Eu não segui o que você quis dizer com VLAN is defined in the switches and isolates the traffic of each VLAN? - PeanutsMonkey
@RedGrittyBrick - Também parece que se eu quisesse dispositivos em duas VLANs separadas para comunicar que um roteador não é necessário, como posso usar o entroncamento. - PeanutsMonkey
@PeanutsMonkey É possível que talvez ambos estejam trocando incorretamente os termos VLAN e VLANs. Ele como um tipo errado em uma frase que você lê dele, e você em sua mente. VLANs é o plural de VLAN. Então essa frase ele escreveu "VLAN é definida nos switches e isola o tráfego de cada VLAN?" talvez devesse ler "VLANs são definidas na opção / each e o tráfego em cada VLAN é isolado" - barlop
@barlop - Eu entendo que uma VLAN é um subconjunto de VLANs, mas estou ficando confuso com o conteúdo do link que você sugeriu, por exemplo.petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm. Por exemplo, o conteúdo lê At this point, only ports 2 and 3 should be able to communicate with each other and ports 4 & 5 should be able to communicate. That is because each of these is in its own VLAN - PeanutsMonkey
For the device on port 2 to communicate with the device on port 4, you would have to configure a trunk port to a router so that it can strip off the VLAN information, route the packet, and add back the VLAN information - PeanutsMonkey


1. Se eu tiver várias sub-redes, presumo que você precisaria de um roteador para se comunicar entre cada sub-rede. Somente dispositivos em cada sub-rede estariam no domínio de transmissão local dessa sub-rede. Isso esta certo?

Redes IP (sub-redes) são um conceito de camada 3. Se dois PCs estiverem conectados ao mesmo switch L2 sem VLAN, eles estarão no mesmo domínio de broadcast L2, mas não no domínio de broadcast L3.

2. Eu preciso de uma sub-rede para configurar uma VLAN?

Não. No entanto, se você quiser que dispositivos em uma VLAN se comuniquem uns com os outros, provavelmente precisarão de algum protocolo L3.

3. Estou ciente de que uma VLAN pode existir dentro de uma sub-rede, mas, no meu entender, você teria que atribuir à VLAN um endereço IP dessa sub-rede. Como pode ser isolado do resto da sub-rede?

Não está claro o que você está pedindo.

4. Quando você configuraria uma VLAN, especialmente se eu sou capaz de segmentar minha rede usando sub-redes?

As VLANs são simplesmente uma maneira de fazer com que um dispositivo L2 pareça ser vários dispositivos L2.

5. Continuo chegando ao ponto em que as redes locais virtuais (VLANs) nos permitem criar diferentes redes lógicas e físicas; enquanto a sub-rede IP simplesmente nos permite criar redes lógicas através da mesma rede física. no entanto não tenho certeza do que isso significa exatamente quando lê a mesma rede física.


1



Quando você diz que eles estarão no mesmo domínio de broadcast de Camada 2 e não no domínio de Broadcats de Camada 3, o que isso significa exatamente? - PeanutsMonkey
Isso significa que, se um pacote, com todos os que estão no campo de destino do MAC, for transmitido, ele será visto por todos os dispositivos. O domínio de broadcast da camada 3 pode ser todos no endereço IP ou os números da rede são iguais e a parte do host do endereço é todos. Antes de passar para as VLANs, você precisa entender os fundamentos das Camadas 2 e 3. - dbasnett
Obrigado. Você poderia elaborar mais sobre o que você entende por all ones? Você está se referindo a cálculos binários e bitwise? - PeanutsMonkey
Sim, todos os binários, mac = ffffffffffff para MAC e 255.255.255.255 para IP. - dbasnett