VLAN ve bir alt ağ arasındaki fark nedir? [kapalı]

91

VLAN ve alt ağlarla ilgili çok sayıda forum ve makale okudum.
Ancak, her birinin işlevini aşağıdakilerden ayrı anlamadım:

  1. Alt ağlar ağın bölümlenmesini sağlar
  2. VLAN'lar bir ağın yalıtılmış bir parçasıdır

Sorular

  1. Birden fazla alt ağım varsa, her bir alt ağ arasında iletişim kurmak için bir yönlendiriciye ihtiyacınız olacağını varsayıyorum. Yalnızca her bir alt ağdaki cihazlar o alt ağ için yerel yayın etki alanında olacaktır. Bu doğru mu?

  2. VLAN ayarlamak için alt ağa ihtiyacım var mı?

  3. Bir alt ağda bir VLAN olabileceğinin farkındayım. Fakat benim anladığım kadarıyla, bu alt ağın IP adresini VLAN'a atamanız gerekecek. Alt ağın geri kalanından nasıl izole edilebilir?

  4. Ne zaman VLAN ayarladınız? Özellikle ağımı alt ağları kullanarak bölümlere ayırabilir miyim?

  5. Aşağıdaki noktaya gelmeye devam ediyorum. Ancak, bunun okuduğunda tam olarak ne anlama geldiğinden emin değilim same physical network.

    Sanal yerel alan ağları (VLAN) farklı mantıksal ve fiziksel ağlar oluşturmamızı sağlar; IP alt ağı ise aynı fiziksel ağ üzerinden mantıksal ağlar oluşturmamıza izin verir.

Gerçek dünyadaki örnekleri takdir ediyorum.

subnet  vlan 
PeanutsMonkey
kaynak
1
En büyük fark, bir alt ağa katılmanın istemci tarafı IP yapılandırmasına dayanmasıdır. Bu nedenle müşteri istediği herhangi bir alt ağı kullanabilir. Bir VLAN için konfigürasyon sunucu tarafında yapılır (örn. LAN portuna dayanarak) ve istemci bunu değiştiremez. Güvenlik açısından bu büyük bir farktır.
Robert
@Robert - Ne demek istediğini açıklayabilir misin client side IP and server side configuration?
FıstıkMonkey
Bir alt ağ kullandığınız IP tarafından belirlenir ve IP bir bilgisayarın (veya cihazın) yöneticisi tarafından seçilebilir. Bu nedenle müşteri tarafında yapılır - kontrol edemezsiniz. Sunucu / yönlendirici tarafında bir VLAN yapılandırılmıştır. Yönlendiriciyi / sunucuyu kontrol eden, hangi bilgisayarın / portun hangi VLAN'a atanacağına karar verir. Bir (veya bazı) merkezi yönlendirici / sunucu mantıksal olarak (giriş şifresi) ve fiziksel olarak (sunucu odasına erişim) korunabilir.
Robert
barlop
@PeanutsMonkey: Yorumlarınızı okuduğunuzda, OSI modelinde çeşitli ağ katmanları hakkında bazı karışıklıklar görüyor gibisiniz. IP alt ağları Layer 3'ün ameliyat ederken VLAN Katmanı 2 ameliyat
afrazier

Yanıtlar:

73

Alt ağ - bir adresin bir kısmı (genellikle ağ adresi olarak adlandırılır) ve bir alt ağ maskesi (ağ maskesi) tarafından belirlenen bir IP adresleri aralığıdır. Örneğin, maskesi ise 255.255.255.0(veya kısaca / 24) ve ağ adresi olan 192.168.10.0bir IP adresi aralığı tanımlar ve ardından 192.168.10.0yoluyla 192.168.10.255. Bu yazı için stenodir 192.168.10.0/24.

VLAN - Bunu düşünmenin iyi bir yolu "anahtar bölümlemesi". Diyelim ki VLAN özellikli 8 portlu bir anahtarınız var. Bir VLAN'a 4 port atayabilirsiniz (VLAN 1) ve başka bir VLAN'a 4 port atayabilirsiniz (VLAN 2 diyorsunuz). VLAN 1 hiçbir VLAN 2 trafiğini görmez ve bunun tersi, mantıksal olarak, şimdi iki ayrı anahtarınız vardır. Normalde, bir anahtarda, bir MAC adresi görmediyse, trafiği diğer tüm bağlantı noktalarına "tıkar". VLAN'lar bunu önler.

İki bilgisayar TCP / IP kullanarak konuşacaksa, iki koşuldan birinin karşılanması gerekir:

  • Aynı alt ağa ait olmaları gerekir. Bu, ağ adresinin aynı olması ve ağ maskesinin eşit veya daha küçük olması gerektiği anlamına gelir. Bu nedenle, IP adresi olan 192.168.10.4/24bir arayüze sahip bir bilgisayar 192.168.10.8/24, her ikisi de aynı fiziksel anahtara veya VLAN'a bağlı olmaları koşuluyla, IP adresi olmayan bir arayüze sahip bir bilgisayarla konuşabilir . İkinci bilgisayarın arayüzü aynı fiziksel anahtara veya VLAN'a bağlı 192.168.11.8/24olsaydı, trafiği görmezden gelirdi (arayüz karışık modda değilse).

  • Alt ağlar arasındaki trafiği iletebilen her iki bilgisayar arasında da bir yönlendirici bulunmalıdır. Bilgisayar A ve bilgisayar B bu yönlendiriciye bir rotaya (veya varsayılan ağ geçidine) ihtiyaç duyar. Diyelim ki IP adresi olan 192.168.10.4/24bir arayüze sahip bir bilgisayar, IP adresi olan bir arayüze sahip bir bilgisayarla konuşmak istiyor 192.168.20.4/24. Farklı alt ağlar, bu yüzden bir yönlendirici geçmeliyiz. İki arayüzlü bir yönlendirici var diyelim, bir tane (tanımı gereği yönlendiriciler iki arayüzleri var) 192.168.10.254/24ve 192.168.20.254/24. Güzergah tablosu veya DHCP doğru ayarlanmışsa ve hem A hem de B bilgisayarı yönlendiricinin arayüzlerine ilgili alt ağlarında erişebilirlerse, yönlendirici aracılığıyla birbirleriyle dolaylı olarak konuşabilirler.

Trafiği bir yönlendiriciden geçmeye zorlamak, yukarıdaki 8 portlu anahtarımızda olduğu gibi gerekmese de, güvenlik ve performans avantajları vardır - trafiği filtrelemek için bir fırsat, trafiğe ve yönlendiricilere göre en uygun trafik yönlendirmek için bir fırsat sunar yayın trafiğini iletmeyin (olağandışı yapılandırılmışsa). VLAN'lar bazen IPv4 yayın trafiğinin akışını / görünürlüğünü yönetmek için "kesmek" olarak kullanılır.

Bazı sorularınızı cevaplamak için düzenleyin:

  • Kavramsal olarak VLAN anahtarlara eşdeğerdir. Bir VLAN'ın 1 portuna gelen, VLAN daha önce MAC adresini görmemiş / öğrenmemişse, o zaman bu porta yönlendirilmemişse, tüm diğer portlara kopyalanır ("su basmış"). VLAN'a uygun bir ağ geçidi yok. Bir "ağ geçidi" her zaman bir yönlendiricinin IP adresi anlamına gelir.

  • VLAN 1'in VLAN 2 ile konuşması için, VLAN 1'deki bir arayüz yönlendiriciye bağlanmalı, VLAN 2'deki bir arayüz yönlendiriciye bağlanmalı ve bu yönlendirici bu alt ağlar arasındaki trafiği iletecek şekilde yapılandırılmalıdır. Yukarıdaki 8 port örneğimizde, bu VLAN'lar arasındaki trafiği yönlendirmek isteseydik, her VLAN'a bir yönlendiriciye bağlanmak için 1 port harcamak zorunda kalacağız. Bir anahtarla aynı.

Birçok üst seviye anahtarın / donanımın, VLAN'lar arasında geçiş yapmak istiyorsanız, fiziksel olarak bir yönlendiriciye bağlanan her bir VLAN içinde fazladan bir bağlantı noktası harcamasının gerekli olmadığı "VLAN yönlendirici" "yerleşik" olduğuna eminim. Aynı anahtarda. Burası VLAN IP veya "ağ geçidi" devreye girdiğinde olabilir. (Bunu düzenlemek için daha bilgili olanları davet ediyorum)

  • Bir bilgisayar IP adresini DHCP ile aldığında, aynı DHCP sunucusundan genellikle "varsayılan ağ geçidi" alır. Birisinin DHCP sunucusunu doğru yapılandırması gerekiyor. RIP, IS-IS, OSPF ve BGP gibi yönlendirme protokolleri de rota ekleyebilir. Elbette manuel olarak rota ekleme seçeneğiniz de var ("statik" rotalar)

  • Anahtarınızın "konsol" etiketli bir seri bağlantı noktası veya bağlantı noktası varsa, büyük olasılıkla yönetilir ve VLAN'ları destekler.

LawrenceC
kaynak
1
Bugün gördüğüm en iyi açıklamalardan biri. Şimdi bu birkaç soru sordu. VLAN 1 ve VLAN 2'nin kendi IP adresi var mı, yoksa VLAN 1 ve VLAN 2 olarak etiketlenmiş mi? Etiketlenirlerse, VLAN 1'deki ana bilgisayarlar / bitiş noktaları / düğümler birbirleriyle nasıl konuşur? Şimdi bir yönlendirici varsa, ağ geçidi VLAN IP adresi veya yönlendiricinin adresi mi? Derken route table, ben oluşturmak zorunda şeydir? Ayrıca, miras aldığınız bir anahtarın VLAN özellikli (yönetilen) veya yönetilmeyen olduğunu nasıl anlarsınız?
FıstıkMonkey
Lütfen düzenlemelere bakınız.
LawrenceC
Teşekkürler. Cümle ile ilgili bir sorum vardı ven though it's not needed such as on our 8-port switch above, has security and performance benefits. Alt ağlar farklı bir ağın parçasıysa, neden bir yönlendiriciden geçmek zorunda olmasın?
FıstıkMonkey
Lütfen daha fazla düzenleme görün.
LawrenceC
20

Diğer açıklamaları karmaşık buldum.

  • VLAN, tüm ağ paketlerini sihirli bir numarayla etiketlemenizi sağlar (örn. 3).
  • Yalnızca 3bu paketleri ayarlamak üzere ayarlanmış diğer ağ kartları

Bir grup bilgisayarı ayarlayın VLAN 3ve onlar kendi küçük yalıtılmış dünyalarında olacaklar; başka hiçbir trafik görmezler.

Birden aynı kablolarda çalışan çoklu LAN'lara sahip olabilirsiniz (yani sanal LAN'lar ). Farklı bir VLAN etiketlerine sahip olduklarından, aynı IP’ye sahip iki bilgisayarınız bile olabilir (örneğin 3ayetler 7)

Bir VLAN ID ayarlanması ağ kartı sürücüsünü yapılandırarak yapılır:

görüntü tanımını buraya girin

Kilometreniz ağ kartınıza ve sürücülerine göre değişecektir.

Ian Boyd
kaynak
VLAN etiketleriyle karşılaştım ancak setağ kartlarını nasıl söyleyeceksiniz 3? Yönlendirici yoksa VLAN'ların birbirini göremeyeceğini varsayıyorum. Bir yönlendirici varsa, bir istek yapıldığında paketlerin bir VLAN'dan diğerine geçmesini önlemek için bir güvenlik duvarı olması gerektiğini tahmin ediyorum. Şimdi VLAN'daki alt ağ geçidi ne olurdu? Yönlendirici olurdu?
FıstıkMonkey
Ayrıca VLAN'a bir IP adresi veya sadece bir etiket tahsis edildi mi? Petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm adresindeki okumalarıma dayanarak sandıkların da routepaketlenebileceği görülüyor . Anladığım kadarıyla net olup olmadığından emin değilim. Bu, anahtarın katman 2 ve 3 aygıtı olduğu anlamına mı geliyor?
FıstıkMonkey
Bir VLAN sadece bir etikettir. Tüm ağ kartları bir VLAN etiketinin varlığından haberdar olmalı ve kendilerinden farklı bir VLAN etiketine sahip paketleri yoksaymalıdır.
Ian Boyd
@IanBoyd: Tüm NIC'ler VLAN'ın farkında olmalı mı? VLAN'lar arasındaki kenar geçişlerinin Ehternet başlığındaki tüm etiketleme (ve etiketlerin kaldırılması) ile başa çıkabileceğini düşündüm.
afrazier
Böyle bir akıllı anahtar durumunda: hayır, anahtar yönlendirici trafiği kaldırabilir. Ancak bu durumda, hangi portların hangi trafiği alacağını bilmek için düğmeyi programlamanız gerekir. VLAN'ın ne olduğunu daha basit bir açıklama ile: Paketleri bir ID ile etiketlemenin bir yolu, böylece sadece aynı etiketi taşıyan ağ kartları onları görebilir.
Ian Boyd
8

Basit açıklama, farklı alt ağların fiziksel kablolamayı, portları ve anahtarlamayı paylaşmasına izin vermek için VLAN'ların mevcut olmasıdır. Ağınızda vlans olmadan farklı alt ağlara sahip olabilirsiniz, ancak her biri için farklı bir kablo setine sahip olmanız gerekir.

Joel Coehoorn
kaynak
Sonunda, bir VLAN'ın bir kuruluşun birden fazla anahtar satın almak yerine aynı anahtarı kullanmasına izin verdiğini, web'de dolaştırmaktan sonra gönderimde sorduğum bazı sorular konusunda kafamın karıştığını anladım.
FıstıkMonkey
4
Ne? Birinin aynı fiziksel ağ üzerinde birden fazla IP alt ağı çalıştırmasını engelleyen hiçbir şey yoktur, ancak VLAN'lar olmadan yapmak için iyi bir neden düşünemiyorum. Özellikle, yayın trafiğini izole etmek için VLAN'sız DHCP'de bazı ciddi zorluklar yaşarsınız.
afrazier
4

1.Eğer birden fazla alt ağım varsa, her bir alt ağ arasında iletişim kurmak için bir yönlendiriciye ihtiyacınız olacağını varsayıyorum.

Evet, paketleri alt ağlar arasında taşımak için bir yönlendiriciye ihtiyacınız var.

Yalnızca her bir alt ağdaki cihazlar o alt ağ için yerel yayın etki alanında olacaktır. Bu doğru mu?

Evet, bir alt ağ bir yayın alanıdır.

2.Bir VLAN kurmak için bir alt ağa ihtiyacım var mı?

Evet.

3. Bir alt ağda bir VLAN olabileceğinin farkındayım, fakat benim anladığım kadarıyla VLAN'a bu alt ağın IP adresini atamak zorunda kalacaksınız.

Hayır, anladığım kadarıyla VLAN'lar anahtarlarda tanımlanır ve her VLAN'ın trafiğini izole eder.

Alt ağın geri kalanından nasıl izole edilebilir?

Bir VLAN olan bir alt ağ.

4. Ağımı alt ağları kullanarak bölümlere ayırabilirsem ne zaman bir VLAN kurarsınız?

Trafiği, fiziksel altyapıyı (temel olarak değiştirir) iki veya daha fazla fiziksel gruba ayırmadan iki veya daha fazla gruba ayırmanız gerektiğinde.

5. Sanal yerel alan ağlarının (VLAN) farklı mantıksal ve fiziksel ağlar oluşturmamıza izin verdiği noktaya gelmeye devam ediyorum; IP alt ağı ise aynı fiziksel ağ üzerinden mantıksal ağlar oluşturmamıza izin verir. ancak bunun aynı fiziksel ağı okuduğunda tam olarak ne anlama geldiğinden emin değilim.

Fiziksel bir LAN, çoğunlukla (Ethernet durumunda) tek bir ağaç yapısına düzenlenen anahtar ve kablolardan oluşur.

Normal olarak bir LAN tek bir alt ağdır. Bir kuruluşun yönlendiricilerle bağlantılı birkaç LAN'ı olabilir.

Anahtarlardaki VLAN desteği kullanılarak tek bir fiziksel LAN birkaç mantıksal LAN'a (VLAN) ayrılabilir. Her VLAN daha sonra ayrı bir alt ağa sahiptir. Bu nedenle paketleri mantıksal LAN'lar (VLAN) arasında taşımak için bir yönlendirici gerekir.

Güncelleme: yorumlarda soruları takip etmek için bazı cevaplar.

2 ayrı VLAN'daki cihazların kanal yönlendiriciyi kullanabildiğim için bir yönlendiriciye gerek duymadığını bildirmesini istersem.

İşte http://www.formortals.com/an-introduction-to-vlan-trunking/ adresinden bazı alıntılar

VLAN kanalı, tek bir ağ adaptörünün“ n ”sanal ağ bağdaştırıcısı sayısı gibi davranmasına olanak tanır; buradaki” n ”, 4096 teorik üst sınırına sahiptir, ancak genellikle 1000 VLAN ağ kesimi ile sınırlıdır.

" Yönlendiriciler, kurumsal anahtar altyapısına bağlandığında bir kez daha çok daha kullanışlı hale gelebilir. Bir kez yuvarlandığında, her yerde hazır olurlar ve kuruluş ağının herhangi bir köşesindeki herhangi bir alt ağa yönlendirme hizmetleri sağlayabilirler. "

Bu yüzden hala bir yönlendiriciye ihtiyacınız var ama VLAN kanalıyla tek kollu bir yönlendirici olabilir (çubuk üzerinde yönlendirici). Yüksek son anahtarlar yönlendirme yetenekleri içerir, bu nedenle ayrı bir yönlendiriciye gerek duymayabilirsiniz;

Bir VLAN kurmak için bir alt ağa ihtiyacım olduğunu söylediğinizde, tam olarak ne demek istiyorsunuz?

VLAN'ler katman 2 kavramdır. Ethernet anahtarları katman 2 aygıtı olduğu gibi. VLAN'lar birkaç anahtarın izole edilmiş gruplarda yarım düzine sviçe ihtiyaç duyabileceğiniz işleri yapmasını sağlayabilir. Ancak düğümleriniz (bilgisayarlar, yazıcılar vb.) Genellikle katman-3 adresleme (IP) kullanır.

Bir VLAN'daki (Ağ için N) düğümlerin başka bir VLAN'daki (Ağ için N) düğümlerle iletişim kurması için bir Ağlar Arası Protokolüne (diğer bir deyişle IP) ihtiyacınız vardır. IP paketlerini Ağlar arasında taşımak için her Ağın farklı bir katman-3 ağ adresine sahip olması gerekir.

Alt ağların geldiği yer burası - örgütün ayrılan katman-3 ağ adres aralığını alt ağ maskeleri kullanarak alt ağlara bölmek. Ardından, bir alt ağdaki (bir VLAN'daki) cihazların başka bir alt ağdaki (başka bir VLAN'daki) cihazlarla iletişim kurmasına izin vermek için bir yönlendirici kullanabilirsiniz.

RedGrittyBrick
kaynak
@RedGrittyBrick - Teşekkürler. Bir VLAN kurmak için bir alt ağa ihtiyacım olduğunu söylediğinizde, tam olarak ne demek istiyorsunuz? Bana göre alt ağ IP adreslerinin ayrıştırılması ya da bölümlenmesi mi? Anladığım kadarıyla VLAN Katman 2'de çalışıyor, bu da MAC adreslerini IP adreslerine çözdüğü anlamına geliyor. Ne demek istediğini takip etmedim VLAN is defined in the switches and isolates the traffic of each VLANmi?
FıstıkMonkey
@RedGrittyBrick - Görünüşe göre 2 ayrı VLAN cihazında, yönlendiriciyi kullanabildiğim için bir yönlendirici gerekmediğini bildirmek istiyorsam.
FıstıkMonkey
@PeanutsMonkey Muhtemelen ikiniz de VLAN ve VLAN terimlerini yanlış şekilde değiştiriyor olabilirsiniz. Onu bir cümle içinde yanlış bir tür olarak okudunuz, ve aklınızda. VLAN, çoğul VLAN'dır. Bu yüzden bu cümleyi "VLAN anahtarlarda tanımlanır ve her VLAN'ın trafiğini izole eder mi?" Belki de "VLAN'lar / her anahtarda tanımlanır ve her
VLAN'daki
@barlop - Bir VLAN ancak yani önerilen bağlantı içeriğin karıştı yok am VLAN bir alt kümesidir anlıyoruz petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm . Örneğin, içerik okuyorAt this point, only ports 2 and 3 should be able to communicate with each other and ports 4 & 5 should be able to communicate. That is because each of these is in its own VLAN
PeanutsMonkey
For the device on port 2 to communicate with the device on port 4, you would have to configure a trunk port to a router so that it can strip off the VLAN information, route the packet, and add back the VLAN information
FıstıkMonkey
2

1.Eğer birden fazla alt ağım varsa, her bir alt ağ arasında iletişim kurmak için bir yönlendiriciye ihtiyacınız olacağını varsayıyorum. Yalnızca her bir alt ağdaki cihazlar o alt ağ için yerel yayın etki alanında olacaktır. Bu doğru mu?

IP Ağları (alt ağlar) bir katman 3 konseptidir. İki PC, VLAN'sız aynı L2 anahtarına bağlanırsa, aynı L2 yayın etki alanında olurlar, ancak L3 yayın etki alanında olmazlar.

2.Bir VLAN kurmak için bir alt ağa ihtiyacım var mı?

Hayır. Ancak, bir VLAN'daki cihazların birbirleriyle iletişim kurmasını istiyorsanız, muhtemelen L3 protokolüne ihtiyaçları olacaktır.

3. Bir alt ağda bir VLAN olabileceğinin farkındayım, fakat benim anladığım kadarıyla VLAN'a bu alt ağın IP adresini atamak zorunda kalacaksınız. Alt ağın geri kalanından nasıl izole edilebilir?

Ne sorduğun belli değil.

4. Ağımı alt ağları kullanarak bölümlere ayırabilirsem ne zaman bir VLAN kurarsınız?

VLAN, bir L2 cihazının çoklu L2 cihazı gibi görünmesini sağlamanın bir yoludur.

5. Sanal yerel alan ağlarının (VLAN) farklı mantıksal ve fiziksel ağlar oluşturmamıza izin verdiği noktaya gelmeye devam ediyorum; IP alt ağı ise aynı fiziksel ağ üzerinden mantıksal ağlar oluşturmamıza izin verir. ancak bunun aynı fiziksel ağı okuduğunda tam olarak ne anlama geldiğinden emin değilim.

dbasnett
kaynak
Bunların Layer 3 yayıncılığının değil, aynı Layer 2 yayın etki alanında olacağını söylerken, bunun tam olarak anlamı nedir?
FıstıkMonkey
Bir paket, MAC hedef alanındaki her biriyle birlikte iletilirse, tüm cihazlar tarafından görüleceği anlamına gelir. Katman 3 yayın alanı IP adresindeki herkes olabilir ya da ağ numaraları eşittir ve adresin ana bilgisayar kısmı hepsidir. VLAN'lara geçmeden önce, Katman 2 ve 3'ün temellerini anlamanız gerekir
dbasnett
Teşekkür. Ne demek istediğin hakkında biraz daha bilgi verebilir misin all ones? İkili ve bitli hesaplamaları mı kastediyorsunuz?
FıstıkMonkey
Evet, tüm ikili dosyalar, mac = MAC için ffffffffffff ve IP için 255.255.255.255.
dbasnett
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.