Sanal LAN'lar (VLAN), tek bir fiziksel ağın birden çok paralel fiziksel ağın işlevselliğini taklit etmesine izin vermek için bir soyutlamadır. Bu kullanışlıdır, çünkü birden fazla paralel fiziksel ağın işlevselliğine ihtiyaç duyduğunuz durumlar olabilir, ancak parayı paralel donanım satın almak için harcamazsınız. Bu cevapta Ethernet VLAN'ları hakkında konuşacağım (diğer ağ teknolojileri VLAN'ları desteklese de) ve her nüansa derinlemesine dalmayacağım.
Kararlı Bir Örnek ve Bir Sorun
Tamamen tartışmalı bir örnek senaryo olarak, kiracılara kiraladığınız bir ofis binasının olduğunu hayal edin. Kiralamanın bir yararı olarak, her kiracı ofisin her odasında canlı Ethernet jakları elde edecektir. Her kat için bir Ethernet anahtarı satın alırsınız, bu kattaki her ofisteki jaklara bağlarsınız ve tüm anahtarları birbirine bağlarsınız.
Başlangıçta, iki kat kiracıya yer kiralarsınız - biri kat 1 ve diğeri 2 kat. Bu kiracıların her biri bilgisayarlarını statik IPv4 adresleri ile yapılandırır. Her iki kiracı farklı TCP / IP alt ağları kullanır ve her şey yolunda gibi görünüyor.
Daha sonra, yeni bir kiracı kat 3'ün yarısını kiralar ve bu yeni çıkmış DHCP sunucularından birini getirir. Zaman geçiyor ve birinci kat kiracısı da DHCP ana vagonunda atlamaya karar veriyor. İşlerin ters gitmeye başladığı nokta budur. 3. kat kiracıları, bilgisayarlarının bazılarının DHCP sunucusu olmayan bir makineden "komik" IP adresleri aldığını bildirdi. Yakında, kat 1 kiracıları aynı şeyi bildirir.
DHCP, istemci bilgisayarların dinamik olarak IP adresleri almasını sağlamak için Ethernet'in yayın yeteneğinden yararlanan bir protokoldür. Kiracıların hepsi aynı fiziksel Ethernet ağını paylaştığı için, aynı yayın alanını paylaşırlar. Ağdaki herhangi bir bilgisayardan gönderilen bir yayın paketi, tüm anahtar portlarını diğer bilgisayarlara tıkar. 1. ve 3. katlardaki DHCP sunucuları IP adres kiralama için tüm talepleri alacak ve ilk önce kimin cevaplayabileceğini görmek için etkin bir şekilde düello yapacaklar. Bu açıkça kiracılarınızı deneyimleme niyetinde olduğunuz davranış değildir. Yine de, VLAN'larda olmayan "düz" bir Ethernet ağının davranışı budur.
Daha da kötüsü, 2. kattaki kiracı bu "Wireshark" yazılımını aldı ve zaman zaman, bilgisayarlarına ve hiç duymadıkları IP adreslerine başvuru yapan anahtarlarından çıkan trafiği gördüklerini bildirdi. Çalışanlarından biri, kendisine verilen IP adresini 192.168.1.38'den 192.168.0.38'e değiştirerek bu diğer bilgisayarlarla iletişim kurabileceğini bile keşfetti! Muhtemelen, diğer kiracılardan biri için "yetkisiz bono yanlısı sistem yönetim hizmetleri" gerçekleştirmekten sadece birkaç adım uzakta. İyi değil.
Potansiyel çözümler
Bir çözüme ihtiyacınız var! Sadece prizlerin arasındaki fişleri çekebilirsiniz ve bu da istenmeyen tüm iletişimi keser! Evet! Bu bilet ...
İşe yarayabilir, ancak bodrumun yarısını ve 3. katın boş kalan yarısını kiralayacak olan yeni bir kiracıya sahip olmak dışında. Her iki katına dağılacak bilgisayarları arasında iletişim kurabiliyor. Fişleri çekmek cevap değildir. Daha da kötüsü, yeni kiracı bu DHCP sunucularından bir başkasını daha getiriyor !
Her kiracı için fiziksel olarak ayrı Ethernet anahtarı setleri satın alma fikri ile flört ediyorsunuz, ancak binanızın, her biri 4 kata kadar bölünebilecek 30 kata sahip olduğunu görünce potansiyel sıçanlar arasında zeminden zemine kabloları Çok sayıda paralel Ethernet anahtarı çok pahalı değil, bir kabus olabilir. Keşke, tek bir fiziksel Ethernet ağının, her biri kendi yayın alanına sahip olan birden çok fiziksel Ethernet ağı gibi davranmasını sağlamanın bir yolu olsaydı.
Kurtarmaya VLAN'lar
VLAN'lar bu karışık sorunun bir cevabı. VLAN'lar, bir Ethernet anahtarını mantıksal olarak ayrı sanal Ethernet anahtarlarına bölmenize izin verir. Bu, tek bir Ethernet anahtarının çoklu fiziksel Ethernet anahtarları gibi davranmasını sağlar. Örneğin, alt bölümünüzdeki kat 3'te 48 port anahtarınızı, alt 24 portun belirli bir VLAN (VLAN 12 olarak adlandıracağımız) ve daha yüksek 24 portun belirli bir VLAN'da olduğu şekilde yapılandırabilirsiniz. VLAN 13 diyeceğiz. Anahtarınızdaki VLAN'ları oluşturduğunuzda, onlara bir tür VLAN adı veya numarası atamanız gerekir. Burada kullanıyorum sayıları çoğunlukla keyfi, bu yüzden hangi belirli sayıları seçtiğimi merak etmeyin.
Kat 3 anahtarını VLAN 12 ve 13'e böldüğünüzde, yeni kat 3 kiracısının DHCP sunucusunu VLAN 13'e atanan bağlantı noktalarından birine bağlayabildiğini ve VLAN 12'ye atanmış bir bağlantı noktasına takılı bir bilgisayarın takmadığını fark edersiniz. t Yeni DHCP sunucusundan bir IP adresi al. Mükemmel! Sorun çözüldü!
Oh, bekle ... bu VLAN 13 verisini bodruma nasıl indiririz?
Anahtarlar Arası VLAN İletişimi
Yarım kat 3 ve yarı bodrum kiracınız, bodrumdaki bilgisayarları 3. kattaki sunucularına bağlamak istiyor. 3. kattaki VLAN'larına atanan bağlantı noktalarından birinden doğrudan bodrum ve ömre geçişi yapabilirsiniz. iyi olurdu değil mi?
VLAN'ların ilk günlerinde (standart olarak 802.1Q öncesi) bunu yapabilirsiniz. Bodrum anahtarının tamamı etkili bir şekilde VLAN 13'ün bir parçası olacaktır (3. kattaki bodrum katına yeni kiracıya vermeyi seçtiğiniz VLAN) çünkü bu bodrum anahtarı atanmış olan 3. kattaki bir port tarafından "beslenecektir" VLAN 13’e
Bu çözüm, bodrum katının diğer yarısını, 1. kat ve bodrum bilgisayarları arasında da iletişim kurmak isteyen kat 1 kiracınıza kiralayana kadar işe yarayacaktır. Bodrum anahtarını VLAN'ları kullanarak (VLANS 2 ve 13'e (örneğin, VLANS 2 ve 13'e bakınız) kullanarak bölebilir ve bodrum katındaki bir kabloyu zemin 1'den VLAN 2'ye atanmış bir bağlantı noktasına bağlayabilirsiniz, ancak bunun daha çabuk bir şekilde sıçan yuvası olabileceğini söylersiniz. kabloların (ve sadece daha kötüye gidecek). Anahtarları VLAN kullanarak bölmek iyidir, ancak diğer anahtarlardan farklı VLAN'ların üyeleri olan bağlantı noktalarına birden fazla kablo çalıştırmak zorunda kalmak dağınık görünmektedir. Kuşkusuz, eğer bodrum anahtarını 4 kat daha yüksek katlarda yer alan kiracılar arasında bölmek zorunda kalırsanız, üst kattaki VLAN'lardan gelen "besleyici" kabloları sonlandırmak için bodrum anahtarındaki 4 bağlantı noktasını kullanırsınız.
Tek bir kablo üzerindeki anahtarlar arasında birden fazla VLAN'dan gelen trafiğin bir tür yaygınlaştırılmış yöntemine ihtiyaç olduğu açık olmalıdır. Farklı VLAN'lar arasındaki bağlantıları desteklemek için anahtarlar arasına sadece daha fazla kablo eklemek ölçeklenebilir bir strateji değildir. Sonunda, yeterli VLAN ile, bu VLAN / Inter-Switch bağlantıları ile anahtarlarınızdaki tüm portları yiyor olacaksınız. İhtiyaç duyulan şey, paketleri tek bir bağlantı boyunca birden fazla VLAN'dan taşımanın bir yolu - anahtarlar arasında bir "ana hat" bağlantısı.
Bu noktaya kadar, konuştuğumuz tüm anahtar bağlantı noktalarına "erişim" bağlantı noktaları denir. Yani, bu bağlantı noktaları tek bir VLAN'a erişmeye adanmıştır. Bu portlara takılan cihazların kendileri için özel bir konfigürasyonu yoktur. Bu cihazlar VLAN'ın mevcut olduğunu "bilmez". Gönderilen istemci cihazların anahtara teslim edildiği çerçeveler, daha sonra çerçevenin yalnızca çerçevenin anahtara girdiği porta atanan VLAN'ın üyeleri olarak atanan bağlantı noktalarına gönderilmesini sağlamakla ilgilenir. Bir çerçeve anahtara VLAN 12 üyesi olarak atanan bir bağlantı noktasına girerse, o zaman anahtara yalnızca VLAN 12 üyesi olan bağlantı noktalarını gönderir. Anahtar, aldığı bir bağlantı noktasına atanan VLAN numarasını "bilir" çerçeve ve bir şekilde, bu çerçeveyi yalnızca aynı VLAN portlarını çıkarmayı bilir.
Bir anahtarın belirli bir çerçeveyle ilişkili VLAN numarasını diğer anahtarlarla paylaşmasının bir yolu varsa, diğer anahtar bu kareyi yalnızca uygun hedef bağlantı noktalarına iletmek için düzgün bir şekilde idare edebilir. 802.1Q VLAN etiketleme protokolünün yaptığı şey budur. (802.1Q'dan önce, bazı tedarikçilerin VLAN etiketleme ve anahtarlama-arası trunking için kendi standartlarını oluşturduklarına dikkat etmek önemlidir. Çoğu zaman bu standart standartların hepsinin 802.1Q tarafından desteklendiği belirtilmiştir.)
Birbirine bağlı iki VLAN uyumlu anahtarınız varsa ve bu anahtarların birbirleri arasında uygun VLAN'a çerçeve göndermesini istiyorsanız, bu anahtarları "ana hat" bağlantı noktaları kullanarak bağlarsınız. Bu, her anahtardaki bir portun yapılandırmasını "erişim" modundan "ana hat" moduna değiştirmeyi içerir (çok basit bir yapılandırmada).
Bir portun gövde modunda yapılandırılması durumunda, anahtarın gönderdiği her kare, çerçevede bulunan bir "VLAN etiketi" içerecektir. Bu "VLAN etiketi" istemcinin gönderdiği orijinal çerçevenin bir parçası değildi. Aksine, bu etiket çerçeveyi gövde portundan göndermeden önce gönderen anahtar tarafından eklenir. Bu etiket, çerçevenin kaynaklandığı bağlantı noktasıyla ilişkili VLAN numarasını gösterir.
Alıcı anahtar, çerçevenin hangi VLAN'dan kaynaklandığını belirlemek için etikete bakabilir ve bu bilgilere dayanarak, çerçeveyi yalnızca kaynak VLAN'a atanmış bağlantı noktalarını dışarı iletir. "Erişim" bağlantı noktalarına bağlı cihazlar VLAN'ların kullanıldığını bilmediğinden, "etiket" bilgileri erişim modunda yapılandırılmış bir bağlantı noktası gönderilmeden önce çerçeveden çıkarılmalıdır. Etiket bilgilerinin bu şekilde çıkarılması, VLAN kanal işleminin tamamının istemci cihazlardan gizlenmesine neden olur çünkü aldıkları çerçeve herhangi bir VLAN etiketi bilgisine sahip olmaz.
VLAN'ları gerçek hayatta yapılandırmadan önce, bir test anahtarında ana hat modu için bir bağlantı noktası yapılandırmanızı ve bir bağlantı noktası (Wireshark gibi) kullanarak bu bağlantı noktasına gönderilen trafiği izlemenizi öneririm. Bir erişim portuna takılı başka bir bilgisayardan bazı örnek trafik oluşturabilir ve ana hat portundan çıkan karelerin aslında test bilgisayarınız tarafından gönderilen karelerden daha büyük olacağını görebilirsiniz. VLAN etiketi bilgilerini Wireshark'taki karelerde göreceksiniz. Aslında bir keskin nişancıda ne olduğunu görmeye değer. 802.1Q etiketleme standardını okumak, bu noktada yapmak için de iyi bir şeydir (özellikle “yerel VLAN” veya çift etiketleme gibi şeylerden bahsetmiyorum çünkü).
VLAN Yapılandırma Kabusları ve Çözümü
Binanızda giderek daha fazla yer kiraladığınızda VLAN sayısı artar. Her yeni bir VLAN eklediğinizde, gittikçe daha fazla Ethernet anahtarı için oturum açmanız ve bu VLAN'ı listeye eklemeniz gerektiğini keşfedersiniz. Bu VLAN'ı tek bir yapılandırma bildirimine ekleyebileceğiniz ve otomatik olarak her bir anahtarın VLAN yapılandırmasını doldurmasını sağlayacak bir yöntem olsaydı harika olmaz mıydı?
Cisco'nun tescilli "VLAN Trunking Protocol" (VTP) veya standartlara dayalı "Çoklu VLAN Kayıt Protokolü" (MVRP - önceden yazılmış GVRP) gibi protokoller bu işlevi yerine getirir. Bu protokolleri kullanan bir ağda, tek bir VLAN oluşturma veya silme girişi, protokol mesajlarının ağdaki tüm anahtarlara gönderilmesine neden olur. Bu protokol mesajı, VLAN konfigürasyonundaki değişikliği, VLAN konfigürasyonlarını değiştiren anahtarların geri kalanına iletir. VTP ve MVRP, hangi belirli bağlantı noktalarının belirli VLAN'lar için erişim bağlantı noktaları olarak yapılandırıldığıyla ilgilenmez, ancak VLAN'ların oluşturulmasını veya silinmesini tüm anahtarlara bildirmede kullanışlıdır.
VLAN'larla rahatladığınızda muhtemelen geri dönüp VTP ve MVRP gibi protokollerle ilişkili olan "VLAN budaması" hakkında okumak isteyeceksiniz. Şimdilik çok fazla endişe duyulacak bir şey yok. ( Wikipedia'daki VTP makalesinde VLAN budama ve bunun yararlarını açıklayan hoş bir şema var.)
VLAN'ları Gerçek Hayatta Ne Zaman Kullanırsınız?
Daha ileri gitmeden önce, tartışmalı örnekler yerine gerçek hayat hakkında düşünmek önemlidir. Buradaki başka bir cevabın metnini çoğaltmak yerine, cevabımın ne olduğuna bakacağım: VLAN ne zaman . Mutlaka "başlangıç seviyesi" değil, ama tartışmalı bir örneğe geri dönmeden önce kısaca referans vereceğim için şu anda bir göz atmaya değer.
"Tl; dr" kalabalığı için (elbette hepsi bu noktada okumayı hiç bırakmamış olan), yukarıdaki bağlantının özü şudur: Yayın etki alanlarını daha küçük hale getirmek için veya belirli bir nedenden dolayı trafiği ayırmak istediğinizde VLAN'ları oluşturun (güvenlik , politika vb.) VLAN kullanmak için gerçekten iyi bir sebep yok.
Örneğimizde, yayın alanlarını sınırlamak için (DHCP gibi protokollerin doğru çalışmasını sağlamak için) ve ikincil olarak, çeşitli kiracıların ağları arasında izolasyon olmasını istediğimiz için VLAN kullanıyoruz.
Bir kenara re: IP Alt Ağları ve VLAN
Genel olarak, VLAN'lar ve IP alt ağları arasında, izolasyonu kolaylaştırmak ve ARP protokolünün nasıl çalıştığından dolayı, kolaylık sağlamak için bire bir ilişki vardır.
Bu cevabın başında gördüğümüz gibi, aynı fiziksel Ethernet üzerinde iki farklı IP alt ağı sorunsuz bir şekilde kullanılabilir. Yayın alanlarını küçültmek için VLAN kullanıyorsanız, ARP'lerini ve diğer yayın trafiğini birleştireceğinizden, aynı VLAN'ı iki farklı IP alt ağıyla paylaşmak istemeyeceksiniz.
Güvenliği veya politika nedenleriyle trafiği ayırmak için VLAN kullanıyorsanız, aynı zamanda birden fazla alt ağı da aynı VLAN'da birleştirmek istemeyeceksiniz, çünkü izolasyonun amacını ortadan kaldırmış olacaksınız.
IP, IP adreslerini fiziksel (Ethernet MAC) adresleriyle eşlemek için yayın tabanlı bir protokol olan Adres Çözünürlük Protokolü'nü (ARP) kullanır. ARP yayın tabanlı olduğundan, aynı IP alt ağının farklı bölümlerini farklı VLAN'lara atamak sorunlu olacaktır, çünkü bir VLAN'daki ana bilgisayarlar diğer VLAN'daki ana bilgisayarlardan ARP yanıtları alamazlar çünkü yayınlar VLAN'lar arasında iletilmez. Bu "sorunu" proxy-ARP kullanarak çözebilirsiniz, ancak sonuçta, bir IP alt ağını birden fazla VLAN'a bölmek için gerçekten iyi bir nedeniniz olmadığı sürece, bunu yapmamak daha iyidir.
Son Bir Kenara: VLAN ve Güvenlik
Son olarak, VLAN'ların mükemmel bir güvenlik cihazı olmadığını belirtmekte fayda var. Çoğu Ethernet anahtarında, bir VLAN'dan kaynaklanan karelerin başka bir VLAN'a atanmış bağlantı noktalarının gönderilmesine izin veren hataları vardır. Ethernet anahtarı üreticileri bu hataları düzeltmek için çok çalıştılar, ancak tamamen hatasız bir uygulama olacağı şüpheli.
Anlaşmalı örneğimizde, başka bir kiracıya ücretsiz sistem yönetimi "hizmetleri" sağlamaktan uzak olan kat 2 çalışanı, trafiğini bir VLAN'a izole ederek bunu yapmaktan vazgeçebilir. Ancak, trafiğinin başka bir kiracının VLAN'ına "sızmasına" izin vermek için, anahtar ürün yazılımındaki hatalardan nasıl yararlanılacağını da çözebilir.
Metro Ethernet sağlayıcıları, giderek artan bir şekilde VLAN etiketleme işlevine ve anahtarların sağladığı izolasyona güveniyor. Orada olduğunu söylemek adil değil hiçbir VLAN kullanarak sunduğu güvenlik. Ancak, güvenilmeyen İnternet bağlantılarına veya DMZ ağlarına sahip durumlarda, güvenilen "güvenlik duvarını" trafiğin arkasında da taşıyan anahtarlar üzerindeki VLAN'lardan ziyade bu "dokunaklı" trafiği taşımak için fiziksel olarak ayrı anahtarlar kullanmak muhtemelen daha iyidir.
Katman 3'ü Resme Getirmek
Şimdiye kadar bu cevabın konuştuğu her şey, katman 2--Ethernet çerçeveleri ile ilgilidir. 3. katmanı buna sokmaya başlarsak ne olur?
Bakılan bina örneğine geri dönelim. Her kiracının portlarını ayrı VLAN'ların üyeleri olarak yapılandırmayı seçtiniz VLAN'ları kabul ettiniz. Her bir katın anahtarının kaynak VLAN numarasıyla etiketlenmiş kareleri üst ve alt kattaki anahtarlarla değiştirebilecek şekilde gövde bağlantı noktalarını yapılandırdınız. Bir kiracı bilgisayarları birden fazla kat üzerine yayabilir ancak, usta VLAN'ı yapılandırma becerileriniz nedeniyle, fiziksel olarak dağıtılmış bu bilgisayarların hepsi aynı fiziksel LAN'ın bir parçası gibi görünebilir.
BT başarınızla o kadar doluyorsunuz kiracılarınıza İnternet bağlantısı sunmaya karar veriyorsunuz. Bir İnternet borusu ve bir yönlendirici satın alıyorsunuz. Fikrini tüm kiracılara ve ikisinin de derhal giriş yaptığını görüyorsun. Neyse ki sizin için yönlendirici üç Ethernet bağlantı noktasına sahiptir. Bir portu yağ İnternet borunuza, bir başka portu ilk kiracının VLAN'ına erişim için atanmış bir anahtar portuna, diğerini ikinci kiracının VLAN'ına erişim için atanmış bir porta bağlarsınız. Yönlendiricinizin bağlantı noktalarını her bir kiracının ağındaki IP adresleriyle yapılandırırsınız ve kiracılar hizmetinize İnternet'e erişmeye başlar! Gelir artar ve mutlusunuz.
Yakında, yine de, başka bir kiracı İnternet teklifinize girmeye karar verir. Yine de, yönlendiricinizdeki bağlantı noktalarının dışındasınız. Ne yapalım?
Neyse ki, Ethernet bağlantı noktalarında "sanal alt arabirimlerin" yapılandırılmasını destekleyen bir yönlendirici satın aldınız. Kısacası bu işlev, yönlendiricinin, kaynak VLAN numaralarıyla etiketlenmiş kareleri alıp yorumlamasına ve iletişim kuracağı her VLAN için uygun IP adresleriyle yapılandırılmış sanal (fiziksel olmayan) arabirimlere sahip olmasını sağlar. Aslında bu, yönlendiricideki tek bir Ethernet bağlantı noktasını "çok sayıda fiziksel Ethernet bağlantı noktası olarak işlev görecek şekilde" çoğullanmanıza "izin verir.
Yönelticinizi anahtarlarınızdan birindeki bir bağlantı noktasına bağlayın ve her kiracının IP adresleme şemasına karşılık gelen sanal alt arayüzleri yapılandırın. Her sanal alt arabirim, her bir Müşteriye atanan VLAN numarası ile yapılandırılmıştır. Bir çerçeve anahtar üzerindeki ana bağlantı noktasından ayrıldığında, yönlendiriciye bağlı olarak, çıkış yapan VLAN numarasına sahip bir etiket taşır (çünkü bu bir ana bağlantı noktası bağlantı noktasıdır). Yönlendirici bu etiketi yorumlayacak ve paketi, VLAN'a karşılık gelen özel bir fiziksel arayüze gelmiş gibi ele alacaktır. Benzer şekilde, yönlendirici talebe cevap olarak anahtara bir çerçeve gönderdiğinde, anahtara hangi VLAN'ın yanıt çerçevesinin teslim edilmesi gerektiğini bileceği şekilde kareye bir VLAN etiketi ekleyecektir. Aslında, yönlendiriciyi "görünecek" şekilde yapılandırdınız
Çubuk ve Katman 3 Anahtarlarındaki Yönlendiriciler
Sanal alt arabirimleri kullanarak, 25+ Ethernet arabirimine sahip bir yönlendirici satın almak zorunda kalmadan tüm kiracılarınıza İnternet bağlantısı satabilirsiniz. BT başarınızdan oldukça memnunuz, böylece kiracılarınızdan ikisi size yeni bir istekle geldiğinde olumlu yanıt veriyorsunuz.
Bu kiracılar bir projede "ortak" olmayı seçti ve bir kiracının ofisindeki (biri VLAN verilen) istemci bilgisayarlardan diğer kiracının ofisindeki (başka bir VLAN) sunucu bilgisayarına erişime izin vermek istiyorlar. Her ikisi de İnternet hizmetinizin Müşterisi oldukları için, çekirdek İnternet yönlendiricinizde (bu kiracıların VLAN'larının her biri için yapılandırılmış sanal bir alt arabirim vardır) bir ACL'nin VLAN'ları arasında trafiğin akması için oldukça basit bir değişikliktir VLAN'larından İnternet'e ek olarak. Değişikliği yapıp kiracıları yollarına gönderirsiniz.
Ertesi gün, her iki kiracıdan bir ofiste bulunan istemci bilgisayarlar arasında ikinci ofiste bulunan sunucuya erişen şikayetler alıyorsunuz. Sunucu ve istemci bilgisayarların her ikisi de anahtarlarınıza gigabit Ethernet bağlantılarına sahiptir, ancak dosyalar yalnızca yaklaşık 45Mbps hızında aktarılır; bu, rastlantısal olarak, çekirdek yönlendiricinizin anahtarına bağlandığı hızın kabaca yarısı kadardır. Açıkça, VLAN kaynağından yönlendiriciye akan ve yönlendiriciden VLAN hedefine geri giden trafik, yönlendiricinin anahtara bağlantısıyla engelleniyor.
Çekirdek yönlendiricinizle yaptığınız, VLAN'lar arasındaki trafiği yönlendirmesini sağlayan, genellikle "çubuktaki yönlendirici" (tartışmasız aptalca garip bir örtmece) olarak bilinir. Bu strateji işe yarayabilir, ancak trafik yalnızca yönlendiricinin anahtara bağlanma kapasitesine kadar VLAN'lar arasında akabilir. Yönlendirici bir şekilde Ethernet anahtarının "bağırsakları" ile birleştirilebiliyorsa, trafiği daha da hızlı bir şekilde yönlendirebilir (üreticinin özel sayfasına göre Ethernet anahtarının kendisi 2 Gbps trafiği geçebiliyorsa).
Bir "katman 3 anahtarı", mantıksal olarak konuşursak, içinde gömülü bir yönlendirici içeren bir Ethernet anahtarıdır. Bir katman 3 anahtarının, anahtarın içinde saklanan küçük ve hızlı bir yönlendirici olduğunu düşünmenin çok yararlı olduğunu düşünüyorum. Ayrıca, yönlendirme işlevselliği hakkında katman 3 anahtarının sağladığı Ethernet anahtarlama işlevinden ayrı bir işlev olarak düşünmenizi tavsiye ederim. Katman 3 anahtarı, tüm amaç ve amaçlar için, tek bir kasaya sarılı iki ayrı aygıttır.
Katman 3 anahtarındaki gömülü yönlendirici, anahtarın iç anahtarlama kumaşına, tipik olarak, kabloların tel hızında veya yakınındaki VLAN'lar arasında yönlendirilmesine olanak sağlayan bir hızda bağlanır. "Yönlendiricinizi çubuk üzerinde" yapılandırdığınız sanal alt arayüzlere benzer şekilde, katman 3 anahtarının içindeki bu gömülü yönlendirici, her VLAN'a "erişim" bağlantıları "görünen" sanal arabirimlerle yapılandırılabilir. Sanal alt arayüzler olarak adlandırılmak yerine, VLAN'lardan bir katman 3 anahtarının içindeki gömülü yönlendiriciye bu mantıksal bağlantılara Sanal Arayüzleri Değiştir (SVI'ler) denir. Aslında, bir katman 3 anahtarının içindeki gömülü yönlendirici, anahtardaki VLAN'lardan herhangi birine "takılabilen" bir miktar "sanal port" a sahiptir.
Gömülü yönlendirici, fiziksel yönlendirici ile aynı dinamik yönlendirici protokol veya erişim kontrol listesi (ACL) özelliklerinin hepsine sahip olmaması dışında (gerçekten güzel bir katman 3 almadıysanız), fiziksel yönlendirici ile aynı şekilde çalışır. ) açın. Gömülü yönlendirici, çok hızlı olma ve takılı olduğu fiziksel bir anahtar bağlantı noktasıyla ilişkili bir darboğaza sahip olmama avantajına sahiptir.
Buradaki örneğimizde, "ortak" kiracılarla bir katman 3 geçişi almayı tercih edebilirsiniz, her iki Müşterinin VLAN'larından gelen trafiğin erişebileceği şekilde bağlantı noktalarına takın, ardından SVI'leri IP adresleri ve VLAN üyelikleriyle yapılandırın Her iki Müşterinin VLAN'larında "görünür". Bunu yaptıktan sonra, ana yönlendiricinizdeki yönlendirme tablosunu ve katman 3'teki gömülü yönlendiriciyi yönlendirme meselesini değiştirmenin bir meselesi, kiracıların VLAN'ları arasında akan trafik, katman 3 düğmesinin içine gömülü yönlendirici tarafından yönlendirilir. msgstr "çubuk üzerinde yönlendirici".
Katman 3 anahtarının kullanılması, anahtarlarınızı birbirine bağlayan ana hat bağlantı noktalarının bant genişliği ile ilişkili darboğazların olmayacağı anlamına gelmez. Bu, VLAN'ların ele aldıklarına göre ortogonal bir kaygı. VLAN'ların bant genişliği problemleriyle ilgisi yok. Tipik olarak bant genişliği sorunları, daha yüksek hızlı anahtarlar arası bağlantılar elde edilerek veya birkaç düşük hızlı bağlantıyı sanal bir yüksek hızlı bağlantıya bir araya "bağlamak" için bağlantı toplama protokolleri kullanılarak çözülür. Daha sonraki 3 anahtarın içindeki gömülü yönlendirici tarafından yönlendirilecek çerçeveler oluşturan tüm aygıtların kendileri, doğrudan katman 3 anahtarındaki bağlantı noktalarına takılmadıkça, anahtarlar arasındaki gövdelerin bant genişliği konusunda endişelenmeniz gerekir. Katman 3 geçişi her derde deva değil, ancak tipik olarak "
Dinamik VLAN'lar
Son olarak, bazı anahtarlarda dinamik VLAN üyeliği sağlama işlevi vardır. Belirli bir VLAN için belirli bir bağlantı noktasını belirli bir VLAN için erişim bağlantı noktası olarak atamak yerine, bağlantı noktası yapılandırması (erişim veya ana hat ve hangi VLAN'lar) bir aygıt bağlandığında dinamik olarak değiştirilebilir. Dinamik VLAN'lar daha gelişmiş bir konudur, ancak işlevselliğin var olduğunu bilmek yardımcı olabilir.
İşlevsellik, satıcılar arasında farklılık gösterir, ancak tipik olarak bağlı cihazın MAC adresini, cihazın 802.1X kimlik doğrulama durumunu, özel ve standartlara dayalı protokolleri (örneğin, CDP ve LLDP'yi) temel alarak dinamik VLAN üyeliğini yapılandırabilirsiniz. Ses trafiği için VLAN numarasını "keşfedin", istemci cihaza atanan IP alt ağı veya Ethernet protokolü türü.