Differenza tra sottorete e VLAN?

Si sentono spesso i termini Sottorete e VLAN usati in modo intercambiabile. Con la natura onnipresente dell'IP in questi giorni, quando i due non sono considerati all'incirca uguali da un livello elevato, capendo che le VLAN sono L2 e le sottoreti sono L3. In altre parole, ci sono casi per avere una VLAN senza sottorete e avere ancora la comunicazione IP (L3)? [Anche ignorando che tutte le reti non sono sottoreti quando si considerano reti di classe che in realtà sono tutti solo prefissi CIDR in questi giorni.]

Se vengono utilizzati in modo intercambiabile, vengono utilizzati in modo errato.

La sottorete si riferisce a una particolare rete IP, ad esempio 192.0.2.0/28.

VLAN si riferisce allo standard 802.1Q , in cui è possibile essenzialmente assegnare a ciascuna porta una tabella di indirizzi MAC univoca, separandoli efficacemente l'uno dall'altro.

La VLAN può trasportare una o più sottoreti (ma non è necessario, potrebbe trasportare qualcosa di completamente diverso dall'IP). La sottorete può essere configurata per la VLAN, ma non è necessario, potrebbe essere senza 802.1Q o con una tecnologia L2 completamente diversa da quella Ethernet.

Le sottoreti (L3) e le VLAN (L2) sono su livelli diversi. I termini non devono essere usati in modo intercambiabile. Una VLAN può contenere uno o più prefissi L3 ("Sottoreti"). Per un profano questo potrebbe causare confusione. Spesso le persone non capiscono che questi due sono collegati ma non uguali. Le persone potrebbero dire che l'host si trova nella nostra sottorete del server o Il server che si trova nella VLAN DMZ e intendere la stessa cosa.

Questo è un modo molto informale di vedere la differenza tra VLAN e sottoreti, ma non è inaccurato (solo incompleto). Potrebbe aiutare i nuovi arrivati ​​in rete ad avvicinarsi un po 'alla giusta immagine mentale.

Due diverse VLAN su un singolo switch o host sono come due switch fisicamente separati. Partizionano lo spazio degli indirizzi MAC, in quanto le comunicazioni tra due parti su una singola VLAN o su un singolo switch fisico non coinvolgono altre parti sulla rete a livello MAC (livello 2). La VLAN o lo switch fisico limita l'estensione della propagazione dei messaggi a livello MAC, mantenendola il più locale possibile.

Al contrario, le sottoreti IP esistono al livello 3 e suddividono lo spazio degli indirizzi IP, non lo spazio degli indirizzi MAC, ma con uno scopo simile: limitare l'estensione della propagazione dei messaggi. Qualsiasi partizionamento sulla rete di livello 2 di livello MAC di seguito è completamente trasparente per il livello 3, il che significa che VLAN e / o switch fisici separati possono essere trattati come un singolo supporto di livello 2 continuo dal punto di vista della rete a livello IP.

Al contrario, switch e VLAN non vedono nemmeno indirizzi IP né subnet IP (con alcune disposizioni minori che possono complicare l'immagine). Tutto a livello 3 e superiore è solo un payload a loro a livello MAC livello 2.

In breve: VLAN e sottoreti partizionano diversi livelli del modello di rete. Non vi è alcuna circostanza in cui siano termini intercambiabili.

Vengono utilizzati in modo intercambiabile solo dal punto di vista di ciascun vlan univoco al livello 2, dovrebbe avere una propria sottorete per indirizzarsi al livello 3, offrendo separazione e capacità di gestire il traffico di trasmissione, ecc.

In termini di scenari in cui si avrebbe un vlan senza sottorete, forse solo se si utilizza un'impostazione "ip non numerata" ma non ci sono troppi motivi per volerlo fare. Se rivedi alcuni modelli di best practice come il modello di rete composita di Cisco, in termini di mantenere le singole subnet e i tuoi vlan "locali" per cambiare i blocchi, in genere avresti una subnet separata assegnata per vlan.

In molte implementazioni una sottorete IPv4 e una VLAN sono strettamente correlate su base 1: 1. Una sottorete, in senso stretto, è una porzione dello spazio degli indirizzi IPv4 da cui è possibile assegnare indirizzi agli host. Questo è differenziato da un "prefisso" un termine usato nel linguaggio comune o in una supernet, che può essere una porzione più ampia dello spazio degli indirizzi IP che comprende molte sottoreti.

Il motivo della correlazione è che una singola VLAN e una singola sottorete rappresentano entrambe un singolo dominio di trasmissione. Come tali, questi due tendono ad essere sovrapposti nella maggior parte delle implementazioni. Come descritto nelle risposte precedenti, una VLAN è un'entità di livello 2. Tutti gli host su una determinata VLAN possono comunicare tra loro, ma nessun host su una VLAN può comunicare con gli host su un'altra senza alcuna forma di routing o, in rari casi, bridge.

Molti rispondenti hanno affermato che i termini NON devono essere usati in modo intercambiabile. In realtà penso che sia perfettamente accettabile e pratica comune tra le persone che conoscono la differenza usare i termini in modo intercambiabile quando si parla di IP su reti Ethernet. In effetti, praticamente dovrebbero essere sinonimi nella maggior parte dei casi (ci sono sempre delle eccezioni) poiché entrambi definiscono un dominio di trasmissione e i tuoi domini di trasmissione L2 e L3 dovrebbero normalmente essere identici.

Una VLAN è un concetto di livello Ethernet, una sottorete è un concetto di livello IP.

Una VLAN divide una rete Ethernet in più reti Ethernet logicamente separate.

Una sottorete definisce con quali host un host proverà a comunicare direttamente con quali host dovranno passare tramite un router. Definisce inoltre gli indirizzi "rete" e "trasmissione".

È pratica comune avere una mappatura 1: 1 tra sottoreti e VLAN, ma è perfettamente possibile avere più sottoreti sulla stessa VLAN. Allo stesso modo è possibile utilizzare proxy arp per dividere una sottorete tra più VLAN o anche avere due VLAN che utilizzano la stessa sottorete IP per scopi diversi.

Sono molto diversi. Tuttavia, molti termini (megabit, megabyte, memoria, disco rigido, ecc.) Vengono comunicati in modo errato.

Spesso abbiamo clienti che ci chiedono di spostare un vlan da un sito all'altro, quando in realtà quello che vogliono è spostare una sottorete.

Ti ci abitui, anche se provo a correggerli (educatamente)

In altre parole, ci sono casi per avere una VLAN senza sottorete e avere ancora la comunicazione IP (L3)? [Anche ignorando che tutte le reti non sono sottoreti quando si considerano reti di classe che in realtà sono tutti solo prefissi CIDR in questi giorni.]

alcuni protocolli di routing possono trovarsi nello stesso dominio L2 e supportare dispositivi simili a apple talk o altri protocolli non IP L3 / 4. Dovrebbero trovarsi nello stesso dominio L2 ma non nella stessa sottorete IP, poiché non è richiesto IP. In tal caso, può essere pratico utilizzare VLANS senza considerare IP / Sottoreti di alcun tipo.

La differenza tra i due è significativa. Le VLAN sono generalmente uniche solo localmente mentre le sottoreti sono generalmente uniche all'interno di un'organizzazione.

Le persone "consapevoli" comprendono che il vlan 100 nel campus 1 è diverso da quello nel campus 2 se la sottorete di uno è 192.168.1.0e l'altro è 192.168.2.0Ma potresti aver ripetuto vlan 100 in ogni edificio in un campus se li separi per livello -3 limiti e utilizzare diverse sottoreti.

E poi ci sono le eccezioni alle regole o ai cattivi progetti che vengono aggirati con nastro adesivo e piscine NAT ...

Nella mia esperienza, oggigiorno, sono considerati uguali fino a quando non si utilizza un protocollo diverso dall'IP direttamente su Ethernet.

Detto in altro modo, le sottoreti sono, tecnicamente, una divisione dello spazio degli indirizzi a livello L2: è più una decisione di routing che altro. Le VLAN sono frame LAN con tunnel all'interno del payload di altri frame LAN. Ignorando per un momento i vari standard, se si inserisce un analizzatore di pacchetti sul cavo, si vedrebbe:

Per una LAN con sottorete, vedresti lo stesso traffico. Non esiste un modo semplice per guardare una LAN con sottorete e dire che è, di fatto, sottorete. Per le VLAN, vedresti effettivamente dei frame ethernet che portano un tag VLAN, che poi porta un altro frame ethernet al loro interno.

I frame di sottorete sono gestiti facilmente dalle apparecchiature: è possibile scegliere di ignorare la sottorete in un determinato momento se si desidera, ad esempio, avere un proxy trasparente che controlli il traffico. Le VLAN sono tunnel.

Le VLAN intagliano uno switch in più switch virtuali.
Le sottoreti scolpiscono un indirizzo di rete IP in più indirizzi di rete più piccoli.