VLAN'lar için temel kullanım durumları nelerdir?
Temel tasarım ilkeleri nelerdir?
İki paragraflı yönetici özeti stil yanıtı gibi bir şey arıyorum, böylece VLAN'ları uygulamak için bunları öğrenmem gerekip gerekmediğini belirleyebilirim.
VLAN'lar için temel kullanım durumları nelerdir?
Temel tasarım ilkeleri nelerdir?
İki paragraflı yönetici özeti stil yanıtı gibi bir şey arıyorum, böylece VLAN'ları uygulamak için bunları öğrenmem gerekip gerekmediğini belirleyebilirim.
Yanıtlar:
VLAN (Sanal LAN), bir fiziksel anahtarın içinde birden fazla sanal anahtar oluşturmanın bir yoludur. Örneğin VLAN 10 kullanacak şekilde yapılandırılmış bağlantı noktaları, aynı sviçe bağlıymış gibi davranır. VLAN 20'deki portlar doğrudan VLAN 10'daki portlarla konuşamaz. İkisi arasında yönlendirilmelidirler (veya iki VLAN'ı birbirine bağlayan bir bağlantıya sahip olmalıdır).
VLAN uygulamak için birçok neden var. Genellikle bu nedenlerden en az biri ağın boyutudur. Bir kaç neden listeleyip sonra her birini açacağım.
Güvenlik: VLAN oluşturarak güvenlik sağlanmaz; ancak, bu VLAN'ı diğer alt ağlara bağlamanız, bu alt ağa erişimi filtrelemenize / engellemenize izin verebilir. Örneğin, 50 bilgisayar ve 5 sunucusu olan bir ofis binanız varsa, sunucu için bir VLAN ve bilgisayarlar için bir VLAN oluşturabilirsiniz. Bilgisayarların sunucularla iletişim kurması için, bu trafiği yönlendirmek ve filtrelemek için bir güvenlik duvarı kullanabilirsiniz. Bu daha sonra IPS / IDS, ACLs, Etc uygulamanıza izin verir. Sunucular ve bilgisayarlar arasındaki bağlantıya
Bağlantı Kullanımı: (Düzenle) Bunu ilk kez dışarıda bıraktığıma inanamıyorum. Beyin osuruk sanırım. Link kullanımı, VLAN kullanmanın başka bir büyük nedenidir. Ağacın işlevine göre yayılması, döngüleri engellemek için katman 2 ağınız üzerinden tek bir yol oluşturur (Oh, my!). Toplama aygıtlarınıza birden çok yedekli bağlantı varsa, bu bağlantıların bazıları kullanılmayacaktır. Bunu aşmak için farklı VLAN'larla birden fazla STP topolojisi oluşturabilirsiniz. Bu, Cisco Tescilli PVST, RPVST veya MST tabanlı standartlarla gerçekleştirilir. Bu, daha önce kullanılmamış bağlantılarınızı kullanmak için oynayabileceğiniz birden fazla STP tipolojisine sahip olmanızı sağlar. Örneğin, 50 tane masaüstü bilgisayarım varsa, 25 tanesini VLAN 10'a, 25 tanesini VLAN 20'ye yerleştirebilirdim. Daha sonra VLAN 10'un ağın "sol" tarafını tutmasını ve VLAN 20'de kalan 25'inin ağın "sağ" tarafı.
Servis Ayrımı: Bu oldukça dürüst. IP güvenlik kameralarınız, IP Telefonlarınız ve Masaüstlerinin tümü aynı anahtara bağlanırsa, bu hizmetleri kendi alt ağlarına ayırmak daha kolay olabilir. Bu, bazı daha yüksek katman hizmetleri yerine VLAN'a dayalı olarak bu hizmetlere QOS işaretlerini uygulamanıza da olanak sağlar (Örn: NBAR). İstenmeyen VLAN'lar arasındaki iletişimi önlemek için L3 yönlendirmesi gerçekleştiren cihaza ACL'leri de uygulayabilirsiniz. Örneğin, masaüstlerinin telefonlara / güvenlik kameralarına doğrudan erişmesini önleyebilirim.
Servis Yalıtımı: Birkaç VMWare ana bilgisayarı ve bir SAN'a sahip tek bir rafta bir çift TOR anahtarınız varsa, yönlendirilmeden kalan bir iSCSI VLAN oluşturabilirsiniz. Bu, tamamen yalıtılmış bir iSCSI ağına sahip olmanıza izin verir, böylece başka hiçbir cihaz SAN'a erişmeye çalışamaz veya ana bilgisayarlar ile SAN arasındaki iletişimi kesebilir. Bu sadece bir servis izolasyonu örneğidir.
Alt Ağ Boyutu: Daha önce belirtildiği gibi, tek bir site çok büyük olursa, o siteyi farklı VLAN'lara bölebilirsiniz; bu, her yayını işlemesi gerektiğini gören ana bilgisayar sayısını azaltır.
VLAN'ların faydalı olmasının kesinlikle daha fazla yolu var (özellikle bir İnternet Servis Sağlayıcısı olarak kullandığım birkaçını düşünebilirim), ancak bunların en yaygın olduğunu ve bunları nasıl / neden kullandığımız konusunda size iyi bir fikir vermesi gerektiğini düşünüyorum. Özel kullanım durumları olan ve burada bahsetmeye değer Özel VLAN'ler de var.
Ağlar büyüdükçe ve büyüdükçe ölçeklenebilirlik bir sorun haline geliyor. İletişim kurmak için her cihazın bir yayın alanındaki tüm cihazlara gönderilen yayınları göndermesi gerekir. Yayın etki alanına daha fazla cihaz eklendikçe, daha fazla yayın ağı doyurmaya başlar. Bu noktada, yayın trafiğindeki bant genişliği doygunluğu, her bir cihazda artan işlem (CPU kullanımı) ve hatta güvenlik sorunları dahil olmak üzere birden fazla sorun ortaya çıkıyor. Bu büyük yayın alanını daha küçük yayın alanlarına bölmek giderek daha çok gerekli hale geliyor.
VLAN'ları girin.
Bir VLAN veya Sanal LAN, hemen hemen ayrı yayın alanları oluşturur; bu, büyük yayın etki alanı sorununun üstesinden gelmek için tamamen ayrı donanım LAN'ları oluşturma gereksinimini ortadan kaldırır. Bunun yerine, bir anahtar, her biri ayrı, bağımsız bir yayın alanı olarak işlev gören birçok VLAN içerebilir. Aslında, iki VLAN, yönlendirici gibi bir katman 3 cihazının müdahalesi olmadan birbirleriyle iletişim kuramaz, bu da katman 3 geçişi ile ilgilidir.
Özetle, VLAN'lar, en temel düzeyde, sürekli genişleyen ağınızdaki ölçeklenebilirliği artırmak için büyük yayın alanlarını daha küçük, yönetilebilir yayın alanlarına ayırır.
VLAN'lar, fiziksel ağ içinde oluşturulan mantıksal ağlardır. Birincil kullanımları, çoğunlukla bir ağ içindeki yayın alanının boyutunu azaltmanın bir aracı olarak izolasyon sağlamaktır, ancak bir dizi başka amaç için kullanılabilir.
Herhangi bir ağ mühendisinin aşina olması gereken ve herhangi bir araç gibi olması gereken bir araçtır, yanlış ve / veya yanlış zamanlarda kullanılabilirler. Hiçbir ağ, tüm ağlarda ve tüm durumlarda doğru araç değildir, bu nedenle ne kadar çok araç kullanırsanız, o kadar çok ortamda daha iyi çalışabilirsiniz. VLAN'lar hakkında daha fazla bilgi sahibi olmak, ihtiyaç duyduğunuzda onları kullanmanıza ve gerektiğinde doğru kullanmanıza izin verir.
Nasıl kullanılabileceğine bir örnek, şu anda SCADA (denetleyici kontrol ve veri toplama) cihazlarının yaygın olarak kullanıldığı ortamlarda çalışıyorum. SCADA cihazları tipik olarak oldukça basittir ve genellikle büyük güvenlik açıkları sağlayan, yıldız yazılım geliştirmeden daha az uzun bir geçmişe sahiptir.
SCADA cihazlarını L3 ağ geçidi olmayan ayrı bir VLAN'a yerleştirdik. Mantıksal ağlarına tek erişim, SCADA cihazlarında mümkün olmayan bir şey olan kendi ana bilgisayar tabanlı güvenliği ile güvence altına alınabilen (biri SCADA VLAN'da iki arayüze sahip) iletişim kurduğu sunucusudur. SCADA cihazları, aynı fiziksel cihazlara bağlı olsalar bile ağın geri kalanından izole edildiğinden, tüm güvenlik açıkları azaltılır.
Tasarım ilkeleri açısından en yaygın uygulama, VLAN'larınızı kurumsal yapınızla aynı hizaya getirmektir, yani bir VLAN'da mühendislik yapanlar, başkalarında Pazarlama, diğerlerinde IP telefonlar, vb. Diğer tasarımlar, VLAN'ların ayrı bir ağın "nakliyesi" olarak kullanılmasını içerir. bir (veya daha fazla) çekirdek üzerinde çalışır. Katman 3 VLAN'ların sonlandırılması (Cisco parlance'de 'SVI', Brocade'de 'VE', vb.) Bazı cihazlar için de mümkündür, bu durum uygulanabilir olduğunda VLAN'lar arası iletişim kurmak için ayrı bir donanım parçasına duyulan ihtiyacı ortadan kaldırmaktadır.
VLAN'lar, büyük olasılıkla NESE'de olan vakaları gördüğünüz gibi, ölçeğin yönetimi ve bakımı zahmetli hale gelir. Servis sağlayıcı alanında PB (Sağlayıcı Köprüleme - genellikle "QinQ" olarak bilinir, çift etiketleme, yığılmış etiket, vb.), PBB (Sağlayıcı Omurga Köprüleme - "MAC-in-MAC") ve PBB-TE vardır. mevcut VLAN ID sayısının sınırlamasını hafifletmeye çalışmak için tasarlanmıştır. PBB-TE daha çok dinamik öğrenme, sel ve yayılma ağacına olan ihtiyacı ortadan kaldırmayı hedefliyor. 4.094 sınırlamasının geldiği yerde bir C-TAG / S-TAG'de (0x000 ve 0xFFF ayrılmış) bir VLAN Kimliği olarak kullanılabilecek yalnızca 12 bit vardır.
PB ile ilgili geleneksel ölçeklendirme tavanlarını ortadan kaldırmak için VPLS veya PBB kullanılabilir.
VLAN için temel kullanım durumu neredeyse tam çoklu veri bağı yayın etki içine ağının segmentasyon için temel kullanım durumunda aynıdır. Temel fark, fiziksel bir LAN ile, her bir yayın alanı için en az bir aygıta (tipik olarak bir anahtar) ihtiyacınız olur; oysa sanal bir LAN yayın alanı üyeliği ile bağlantı noktası bazında belirlenir ve ekleme veya yeniden yapılandırma olmadan yeniden yapılandırılabilir. donanımı değiştir.
Temel uygulamalar için, PLAN'lerde yaptığınız gibi aynı tasarım ilkelerini VLAN'lara uygulayın. Bunu yapmak için bilmeniz gereken üç kavram:
Bir vlanın orijinal kullanımı bir ağdaki yayın alanını kısıtlamaktı. Yayınlar kendi görüntüleriyle sınırlıdır. Daha sonra ilave işlevsellik eklendi. Ancak, vlan'ların örneğin cisco anahtarlarında 2. katman olduğunu unutmayın. Katman 2'yi anahtardaki bağlantı noktasına bir IP adresi atayarak ekleyebilirsiniz, ancak bu zorunlu değildir.
ek işlevsellik:
Yardımcı olabilecek bir bilgi daha sunabilirsem.
VLAN'ları anlamak için iki anahtar kavramı da anlamanız gerekir.
-Arama - Çeşitli cihazların birbirleriyle konuşmasını istediğinizi varsayalım (örneğin sunucular ve istemciler), her VLAN'a bir IP alt ağı atanmalıdır. Bu yukarıda belirtilen SVI'dir. Bu, vlanslar arasında yönlendirmeye başlamanızı sağlar.
-Routing - Her VLAN'ı, her VLAN'daki istemcilere atanan bir alt ağı ve her VLAN için oluşturulan bir SVI'yi oluşturduktan sonra, yönlendirmeyi etkinleştirmeniz gerekir. Yönlendirme, internete statik bir varsayılan yol ve alt ağların her biri için EIGRP veya OSPF ağ ifadeleriyle çok basit bir kurulum olabilir.
Her şeyin nasıl bir araya geldiğini görünce, aslında oldukça zarif.