Neden farklı VLAN'lardaki, ancak aynı alt ağdaki aygıtlar iletişim kuramıyor?


22

Değişim hakkında bir sorum var. 192.168.5.20 ve 192.168.5.10 IP adreslerine sahip bir anahtara bağlı iki cihazım var. Her iki cihazda da aynı önek var, / 24. Bu, aynı alt ağda oldukları anlamına gelir.

Bu cihazları anahtardaki farklı VLAN'lara (10 ve 20) bölersem, aynı alt ağda olmalarına rağmen iletişim kuramaz. Bu neden oluyor?


3
Farklı şehirler arasında geçiş yapmak için bir yönlendiriciye ihtiyacınız var. Ayrıca, bunu yaparken, bu iki Vlans'te aynı IP alt ağına sahip olamazsınız.

5
Merhaba Jim Pap ve hoş geldiniz ... İki ana sunucunuzu, biri "LAN 10" etiketli, diğeri "LAN 20" etiketli iki farklı anahtara bağladığınız gibi. Anahtarınızdaki VLAN'ları yapılandırmak anahtarınızı çoklu, sanal anahtarlara böler.
jonathanjo

3
Bu soru biraz tautology. Yapamazlar çünkü yapamazlar, tasarım gereği. Ayrı VLAN'ların oluşturulması, anahtarlamalı ağın mantıksal olarak bölümlere ayrılmasını sağlar. Şimdi bu cihazların iletişim kurması için bir çeşit VLAN yönlendirme rotası kullanmanız gerekiyor.
WakeDemons3

1
@ Cisco yönlendiricisinde farklı arayüzlerde aynı alt ağdan adreslerin bulunmasının mümkün olmadığı , ancak bunun IP adreslerini umursamayan VLAN ile ilgisi yoktur (ve IPX / SPX). Ve ... Cisco eşik önemli bir aktör ama sadece bir uzağında.
JFL

1
@Cown Farklı VRF'ler nasıl yardımcı olur? O zaman hiçbir şekilde iletişim kurmayacaklardı ve sorunuzu yanıtlamak için basitçe vlansı köprüleyin. Köprüleme,
CCIE'mi

Yanıtlar:


39

VLAN'ın yaptığı şeylerden biri fiziksel bir anahtar alıp bunları daha küçük "sanal" anahtarlara bölmektir.

Bir anahtar ve iki VLAN'ın fiziksel olarak gösterilmesi:

görüntü tanımını buraya girin

operasyonda özdeş aynı topoloji bu Mantıksal tasviri için:

görüntü tanımını buraya girin

2. görüntüdeki IP adresleri aynı Alt Ağda olsalar bile, iki sanal anahtar arasında (yani, VLAN'lar) hiçbir "bağlantı" olmadığını ve dolayısıyla A / B'nin Ana Bilgisayarlar ile Ana Bilgisayarlar C ile iletişim kurabilmesinin mümkün olmadığını fark edeceksiniz. / D.

2. görüntüdeki ana makinelerin birbirleriyle iletişim kurabilmesi için, bir "anahtardan" diğerine iletişimi kolaylaştırmak için bir tür cihaza ihtiyacınız olacaktır. Bu amaç için mevcut olan cihaz bir Yönlendiricidir - dolayısıyla trafiğin VLAN sınırlarını geçmesi için bir Yönlendirici gerekir:

görüntü tanımını buraya girin

Ve Yönlendiricinin nasıl çalıştığından dolayı, her bir yönlendirici arayüzünün kendine özgü bir IP Alt Ağı olması gerekir . Her VLAN'ın geleneksel olarak kendi benzersiz IP alt ağını gerektirmesinin nedeni budur - çünkü bu VLAN'lar arasında herhangi bir iletişim olması durumunda , benzersiz alt ağlar gerekli olacaktır.


Yukarıdaki resimler blogumda, burada VLAN'lar hakkında daha fazla bilgi ve burada VLAN'lar Arasında Yönlendirme hakkında daha fazla bilgi edinebilirsiniz .


2
İstenmeyen kişiler için tuzak: Bir anahtarı gerçekten bu şekilde bölmeye çalışmayın, sonra VLAN'ları etiketsiz bağlantı noktalarına bağlayın - bu anahtardaki STP ve CAM uygulamalarının nasıl yapıldığını tam olarak bilmiyorsanız.
rackandboneman

1
@rackandboneman Bu iyi bir tavsiye. Ancak, bir açıklık noktası olan yazımdaki görüntüler yalnızca bir fiziksel anahtarı temsil ediyor . "İki anahtar görüntüsü", bir fiziksel anahtarın iki VLAN'la mantıksal temsilidir .
Eddie,

2
"her yönlendirici arayüzünün kendine özgü, benzersiz bir IP Alt Ağı olması gerekir.", bu bazı yönlendirici uygulamaları için doğru olabilir, evrensel olarak doğru değildir. En azından Linux'ta aynı alt ağı birden fazla arayüze atayabilir, aralarında trafik akışı sağlamak için proxy arp ve / 32 rota kombinasyonunu kullanabilirsiniz.
Peter Green,

@PeterGreen İstisnaları her zaman mevcuttur. Bir şey sırf edebilirsiniz yapılabilir, bu demek değildir gerektiğini yapılabilir - ne de el altında soru için konuyla nasıl gelmez.
Eddie,

29

Sanal LAN'ın bütün amacı, tek bir fiziksel cihazda ayrı Katman 2 LAN oluşturmaktır.

Bir odaya zırhlı ve ses yalıtımlı bir duvar inşa etmek gibi bir şey 2 oda oluşturmak için. Odanın her iki yarısındaki insanlar artık eski odanın diğer yarısındaki insanlarla iletişim kuramazlar.

Böylece, iki ayrı L2 ağında, iletişim kurmalarına izin verecek hiçbir şey olmadan iki ana makineniz var.

Çoğu durumda aynı alt ağı iki farklı VLAN'da kullanmanın bir anlamı yoktur. Standart durum, bir IP ağını bir VLAN ile ilişkilendirmektir.


Aynı alt ağın iki farklı VLAN üzerinde kullanılmasının bir anlam ifade ettiği herhangi bir durumu düşünmeye zorlanıyorum . Yönlendirici gibi davranıyorsun ve 192.168.5.15 için hazırlanmış bir paket alıyorsun. Bu hangi VLAN?
Monty Harder

@MontyHarder Bağlıdır. Hangi ağdan (sanal veya değil) geliyor?
Deduplicator

1
@Deduplicator Paketin kaynak IP'sinin neden önemli olduğundan emin değilim. İki veya daha fazla VLAN için aynı IP aralığını kullanıyorsanız, bir IP'nin ne VLAN olduğunu nasıl biliyorsunuz? Sadece mantıklı değil.
Monty Harder

@MontyHarder Bende durum var: Aynı adresi kullanan sağlayıcılarla ara bağlantılarım var ve bunlar aynı anahtarlar üzerinde yapılıyor. İkisiyle de konuştuğumdan (farklı yönlendiriciler aracılığıyla) ve birbirleriyle konuşmuyorlar ki bu gayet iyi.
JFL

@MontyHarder Aslında, birçok farklı LAN'larda (ve dolayısıyla VLAN'larda) aynı alt ağa sahip olmak çok yaygındır. RFC1918 özel adresleri milyonlarca yerel ağda yeniden kullanılır. Aynı VLAN'da birçok ayrı NATlenmiş ağa sahip olabilirsiniz. Bu muhtemelen barındırma ortamlarında bir reklam nauseam olur. Ancak bu ağlar gerçekten tamamen bağımsız olarak kabul edilir.
Jcaron

5

IP alt ağları mantıksal olarak grup gruplarını gruplandırır - aynı alt ağ içindeki ana bilgisayarlar, doğrudan birbirleriyle konuşmak için katman-2 bağlantılarını kullanır. Başka bir alt ağdaki ana bilgisayarlarla konuşmak, bir ağ geçidi / yönlendirici kullanılmasını gerektirir.

VLAN'lar, fiziksel olarak ev sahiplerini gruplandırır - aynı VLAN / yayın alanı / L2 bölümündeki ana bilgisayarlar doğrudan birbirleriyle konuşabilir. Farklı VLAN'lardaki toplantı sahipleri olamaz. (Beni dövme - fiziksel olarak grup gerçekten doğru değil ama bu benim açımdan işaret ediyor.)

Bu nedenle, iki ana bilgisayar aynı IP alt ağındayken ancak farklı VLAN'larda / yayın etki alanlarında / L2 ağlarında iletişim kuramazlar: kaynak ana bilgisayar, hedefi kendi yerel L2 ağında kabul eder ve bu nedenle hedef adresini ARP yapmaya çalışır (veya IPv6 için NDP çözümü).

ARP, yerel L2 ağına yayın olarak bir istek göndererek çalışır ve istenen IP adresi ile ana bilgisayara MAC adresi ile cevap verir. Hedef ana bilgisayar yerel ağın dışında olduğu için ARP isteğini asla duymaz ve ARP başarısız olur.

Kaynak bir şekilde hedefin MAC adresini bilse ve bu MAC'ye yönelik bir çerçeve oluştursa bile, hedef L2 ağının dışında olduğundan asla hedefe ulaşmaz. Yerel L2 ağı dışından gelen MAC'ler anlamsız ve yararsızdır.


3

Soruyu tasarım ve teori açısından ele alan mevcut cevapları tamamlayıcı nitelikte ...

" Neden iletişim kurmuyorlar? " Diye sormak yerine, " iletişim kurmaya çalışırken ne olur ? " Diye soralım.

İlk olarak, bir anahtarda bir VLAN yapılandırmak ne demektir? Örneğimizde, VLAN 10 olarak yapılandırılmış bazı soketler ve bazı VLAN 20 olarak yapılandırılmış soketler vardır. VLAN'ın tanımı, yalnızca aynı VLAN üzerindeki soketlerin bağlı olmasıdır. Bunun anlamı, belirli bir VLAN'daki bir porttan alınan bir çerçevenin sadece aynı VLAN portlarına gönderilmesidir.

  10  10  20  20  10  20       VLAN of port
   1   2   3   4   5   6       Port number
===+===+===+===+===+===+===
   |   |   |   |   |   |
   A   B   C   D   E   F       Hosts

Bu şemada altı ana makinemiz var, 1, 2, 5 numaralı bağlantı noktaları VLAN 10'da, 3, 4, 6 numaralı bağlantı noktaları VLAN 20'de.

Ana bilgisayar A'nın, statik olarak 192.168.5.10/24 olarak ve F'nin ise 192.168.5.20/24 olarak statik olarak yapılandırıldığını varsayalım. B'den E'ye başka statik yapılandırma adresleri olduğunu varsayalım (ne oldukları önemli değil).

Eğer A, 192.168.5.20'ye ping yaparsa, aynı / 24'te olduğunu belirler, bu durumda ilk gerçekleşen bir ARP talebidir: WHO, bir 192. Ethernet yayın olarak gönderilen 192.168.5.20'dir.

Anahtar, 1 numaralı bağlantı noktasındaki yayını alır. Bu VLAN 10'dur, bu nedenle yayını 2 ve 5 numaralı bağlantı noktalarından, VLAN 10'daki diğer bağlantı noktalarından gönderir.

Bu kadar.

ARP yanıtı olmayacak; gerçekleşecek olan sonraki şey A'da zaman aşımına uğrayacak ve ardından uygulama vazgeçene kadar ARP isteklerinin ardından tekrarlanacaktır.

VLAN 10 bağlantı noktası dışında herhangi bir yere takılan bir ana bilgisayar, IP adresi ne olursa olsun hiçbir şey görmez. Bu açıkça, 192.168.5.20 olan F'yi içerir.


1

Subnet maskeleme hakkında iyi bilgi sahibi olmanızı bekliyorum. Ayrı VLAN'larınız varsa, alt ağlarla benzersiz bir ip adresi aralığına sahip olmanız gerekir. Bu gerekli değildir.

VLAN'lar ayrı bir LAN'dır ancak sanaldır. Aynı Anahtardaki Ağları ayırmak için Ek olarak Sanal LAN. Anahtarınızda ayrı yayın etki alanı oluşturur. Ancak Aynı ip ile sanal LAN'lar oluşturduğunuzda, işe yaramaz.

Buna ek olarak, anahtarınızdaki Intervlan Routing'i yapılandırmanız gerekir.


2
Hayır, aynı alt ağda birden fazla VLAN olması imkansız değildir. Sıradışı ve biraz cesareti kırılmış ancak tamamen mümkün.
JFL

@JFL Doğru, VRF'ler veya başka bir ayırıcı formu kullanarak mümkündür, ancak bunun için herhangi bir kullanım durumu görmedim. Lütfen beni aydınlat.

@JFL de benim için aynı sorun. Az önce intercolan yönlendirmesiyle Cisco paket izleyicide denedim. Cisco paket izleyici ile sorunun olup olmadığını bilmiyorum. Bu iş değil. Cown ile aynı fikirdeyim. VRF'de mümkündür.
infra

1
@Cown İyi bir fikir olduğunu söylemedim, ne de onların bir araya gelmelerini sağlamak mümkün değildi (ama yine de NAT ile mümkün). Ama bazı kullanım davalarım var. Örneğin, örtüşen bazı RFC1918 ağlarından geçen sağlayıcılarla bağlantım var. Bunlar farklı VLAN'larda aynı anahtarlara bağlı ve birbirleriyle iletişim kurmuyor.
JFL

@ JFL Üzgünüm adam sadece bunun ilk sorunun ne ile karşılaştırıldığını görmüyorum. Evet, bağlantılar için çakışan IP adreslerini kullanmak veya NAT'ı kullanmak mümkündür, ancak bunun gerçek bir yaşam senaryosunu yansıttığını sanmıyorum.

1

Evde bir LAN varsa ve IP 192.168.2.1 olan bir bilgisayar olduğunda ne olacağını göz önünde bulundurun. Yolun aşağısındaki arkadaşınız da evinde bir LAN'a ve IP 192.168.2.2'ye sahip bir bilgisayara sahip. Aynı alt ağdalar, neden birbirleriyle konuşamıyorlar?

Böyle bir örnekte, neden sorduğunuzdan farklıdır.

Ancak bir VLAN aynı sonucu elde eder - bir ağı ikinci katmanda bölümlere ayırır.

Demek istediğim, "IP adresleri aynı alt ağda" olduğu gerçeğinin, paketlerin aralarında yönlendirilip yönlendirilmeyeceğini belirlemek için yeterli olmadığını kolayca görebiliyoruz. Altta yatan topolojinin de oynayacak bir rolü var.

Bunu uç noktaya taşıyarak, en alt katmandaki verileri gerçekten taşımak için bazı fiziksel malzemelere (iyi, tamam veya hava: D) ihtiyacınız olacaktır. Bilgisayarlarınız aynı alt ağ üzerinde aynı evde olabilir, ancak fiziksel olarak bağlanamaz (veya kablosuz bir bağlantıya sahip değildir) ve ardından paketlerin yönlendirilmesini beklemezsiniz.


0

VLAN'ların amacı ağ bölümlendirmesine sahip olmaktır. Ayrıca alt ağları kullanarak aynı şeyi (bazı uyarılar) başarabilirsiniz. Alt ağınız 2 farklı VLAN'a bölündüğünden, cihazlarınız L2 şebekesinde iletişim kuramaz. VLAN'lar arasında iletişime izin vermek için IRB arayüzünü anahtar üzerinde ayarlayabilirsiniz. Alternatif olarak, trafiği bir güvenlik duvarı üzerinden yönlendirebilir ve VLAN'lar arasında seçici iletişime izin verebilirsiniz. İdeal olarak, ağınızı VLAN'ların her biri için farklı alt ağlara sahip olacak şekilde tasarlamalı ve ardından VLAN'lar arasındaki trafiği Güvenlik Duvarı'ndan geçirmelisiniz. Bu yardımcı olur umarım.


1
Nonononono bu durumda IRB kullanmaz ... Sorun şu ki, anahtarın asla aynı alt ağ üzerinde iki vlans ile yapılandırılmaması gerekiyordu. En iyi cevap, tüm ana bilgisayarları aynı vlan'daki bir alt ağa koymak.
Mike Pennington

0

Bir Ethernet bağlantısı tek bir VLAN'dan daha fazlasını taşıdığında, bu VLAN'lardan birinin dışındaki herkes etiketlenmelidir . IEEE 802.1Q uyumlu VLAN etiketi, Ethernet çerçevesine normalde çerçevenin EtherType tipinin bulunduğu yere yerleştirilir. VLAN etiketinin ilk kısmı , 0x8100 sabit değeri olan bir etiket protokolü tanımlayıcısıdır . Sonuç olarak, IEEE 802.1Q etiketlerinden habersiz veya beklemeyecek şekilde yapılandırılmış bir cihaz etiketli çerçeveleri görecek ve "bu ne IPv4, ARP ne IPv6; bu tamamen farklı bir şey değil bu Ethertype 0x8100 değil" Sanırım hiç anlamıyorum. Sadece görmezden gelmek en iyisi. "

VLAN'ı destekleyen bir anahtar, her bir bağlantı noktasına giden paketleri VLAN etiketleriyle filtreleyebilir ve isteğe bağlı olarak, VLAN etiketini bu bağlantı noktasından giden trafikte seçilen bir VLAN'dan sıyrılabilir (ve VLAN etiketini o bağlantı noktasındaki gelen trafiğe karşılıklı olarak ekleyin), böylece seçilen VLAN trafiğinin, o belirli bağlantı noktasına bağlı aygıt için 802.1Q Ethernet öncesi düz trafik olarak görünmesi. Böyle seçilen bir VLAN, bu port için yerel VLAN olarak bilinir .

802.1Q standardı, bir Ethernet portunun tek bir yerel VLAN'ı ve herhangi bir sayıda etiketli VLAN'ı aynı anda desteklemesini sağlar, ancak bir portun hem etiketli hem de etiketsiz Ethernet çerçevelerini aynı anda geçmesini sağlamanın biraz hoş olmayan bir yapılandırma olduğunu anlıyorum: Bir port / NIC'deki VLAN'lardan birinin diğerlerinden farklı olduğunu ve farklı şekilde yapılandırılması gerektiğini hatırlamanız gerekir. Hatalara eğilimli.

Cisco terminolojisinde, bir anahtar portu bir erişim portu veya bir bagaj portu olarak yapılandırılabilir . Bir erişim portu yalnızca tek bir VLAN'a erişim sağlayacaktır ve VLAN etiketlerinin giden trafiğinden otomatik olarak sıyrılmasını ve bu port için gelen trafiğe eklenmesini sağlar. Öte yandan, bir ana bağlantı noktası yapılandırılabilir bir VLAN kümesinde trafiği geçecektir, ancak tüm trafik VLAN etiketli olacaktır.

Bu nedenle, aynı anahtar üzerindeki iki farklı VLAN'daki iki cihaz için, her ikisi de aynı IP alt ağındaki adresleri kullanarak. Olanlar, anahtar bağlantı noktalarının (ve cihazlardaki ağ arabirimlerinin) VLAN'lara göre nasıl yapılandırıldığına bağlı olacaktır.

1.) Portları erişim portları olarak değiştirin, VLAN'ı tanımayan cihazlar: switch portu "karşı" VLAN'ın trafiğini filtreleyecek ve böylece cihazlar birbirlerinin trafiğini asla görmeyeceklerdir. Bu, onları “aynı ağ kesiminde olma” olarak düşünmenin mantıklı olup olmadığı sorusunu gündeme getiriyor.

2.) Bağlantı noktalarını, hem VLAN'ları hem de VLAN'ı tanımayan aygıtları geçecek şekilde ayarlamış olarak ayarlayın: her aygıt "Neden diğer aygıtlar beni bu kadar garip Ethertype 0x8100 şeyler göndermeye devam ediyor ??" demiyorum. "

3.) Bağlantı noktalarını her biri yalnızca bir VLAN'ı geçecek şekilde ayarlanmış ana bağlantı noktaları olarak değiştirin, VLAN uyumlu cihazlar: Cihazların ağ yapılandırmasında VLAN numaralarını da belirtmeniz gerekir, ancak sonuç, durumun aynısı ile aynıdır. # 1: cihazlar birbirlerinin trafiğini görmeyecek.

4.) Bağlantı noktalarını, hem VLAN'ları hem de VLAN'ı tanıyan, ancak farklı VLAN'lara göre yapılandırılmış olan bağlantı noktaları olarak değiştirin: şimdi filtreleme yapan cihazların kendilerinde VLAN destek katmanıdır, ancak pratik sonuç, # 1'deki durumlarla aynıdır. ve # 3: "karşıt" cihazın trafiği, cihazın ağ protokolü yığındaki IP protokolü katmanına asla ulaşmayacaktır.

5.) Bağlantı noktalarını, her iki VLAN'ı, VLAN farkındalığıyla yapılandırılmış aygıtı, her iki VLAN'ı da aygıtta yapılandırılmış olarak geçecek şekilde ayarlayın. Bu istediğinin üstünde ve ötesinde. Şimdi cihaz her iki VLAN'da da etkili bir şekilde bulunacaktır.

Her iki VLAN, Ethernet düzeyinde farklı olduğunu iddia ettiğinden, ancak aynı IP alt ağını kullandıklarından, ne olacağı, aygıtların IP yönlendirmesinin nasıl uygulandığına bağlı olacaktır. Ana önemli ayrıntı, IP yığınının güçlü bir ana bilgisayar modeli mi yoksa zayıf bir ana bilgisayar modeli mi kullanacak şekilde tasarlanıp tasarlanmadığı ve VLAN kavramının sisteme nasıl bütünleştirildiğidir.

Örneğin, Linux, yapılandırılmış olan etiketlenmiş VLAN'ları, altta yatan fiziksel NIC’in bağlantı durumunu yansıtan ancak aksi takdirde teknik olarak mümkün olduğu kadar bağımsız davranan ekstra sanal NIC'ler olarak sunacaktır. Bu yüzden,% 100 örtüşen IP alt ağlarıyla iki ayrı fiziksel ağ segmentine bağlanmış iki NIC'ye sahip olacaksınız: sistem gelen trafiği gayet iyi alabilir, ancak hedef IP alt ağına bağlı herhangi bir NIC’nin konuşmak için iyi olduğunu varsayar Bu IP alt ağındaki herhangi bir ana bilgisayar, hangisini (sanal, VLAN'a özgü) NIC'nin yönlendirme tablosunda ilk önce gerçekleşeceğini kullanır ve bu nedenle yapılandırma, çeşitli parçaların sırasına bağlı olarak çalışmayabilir veya çalışmayabilir. NIC ve VLAN yapılandırması başlatıldı. Linux kullanmanız gerekecek

Aynı IP alt ağını iki ayrı segmentte kullanmak, katman-2'deki segment ayrımının fiziksel (= gerçek ayrı NIC'ler) veya mantıksal (= VLAN'larla oluşturulan) ne olursa olsun, katman-3 sorunudur. Bir katman-3 problemi, bir katman-3 çözümüne ihtiyaç duyacaktır: IP alt ağ örtüşmesini kaldırmak için alt ağlardan birini simetrik-NAT yapmak için bir yönlendirici veya başka bir kutu kullanmak, ayrı cihazlarda kullanmaya çalışmaktan çok daha zarif olacaktır.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.