Spiegazione a livello introduttivo delle VLAN

Quali sono i casi d'uso di base per le VLAN?

Quali sono i principi di progettazione di base?

Sto cercando qualcosa di simile a una risposta in stile esecutivo a due paragrafi in modo da poter determinare se devo conoscere le VLAN per implementarle.

Una VLAN (Virtual LAN) è un modo per creare più switch virtuali all'interno di uno switch fisico. Quindi, per esempio, le porte configurate per usare VLAN 10 agiscono come se fossero connesse allo stesso identico switch. Le porte in VLAN 20 non possono comunicare direttamente con le porte in VLAN 10. Devono essere instradate tra i due (o avere un collegamento che collega le due VLAN).

Ci sono molte ragioni per implementare le VLAN. In genere il minimo di questi motivi è la dimensione della rete. Elenco dei proiettili per alcuni motivi e poi li spacco tutti.

• Sicurezza
• Utilizzo dei collegamenti
• Separazione del servizio
• Isolamento del servizio
• Dimensione sottorete

Sicurezza: la sicurezza non è di per sé raggiunta creando una VLAN; tuttavia, il modo in cui si collega tale VLAN ad altre sottoreti potrebbe consentire di filtrare / bloccare l'accesso a tale sottorete. Ad esempio, se si dispone di un edificio per uffici con 50 computer e 5 server, è possibile creare una VLAN per il server e una VLAN per i computer. Per consentire ai computer di comunicare con i server, è possibile utilizzare un firewall per instradare e filtrare quel traffico. Ciò consentirebbe quindi di applicare IPS / IDS, ACL, ecc. alla connessione tra server e computer.

Utilizzo link: (Modifica) Non posso credere di averlo lasciato fuori per la prima volta. Scoreggia cerebrale immagino. L'utilizzo dei collegamenti è un'altra grande ragione per usare le VLAN. L'estensione dell'albero per funzione crea un singolo percorso attraverso la rete di livello 2 per impedire i loop (Oh, mio!). Se si dispone di più collegamenti ridondanti ai dispositivi di aggregazione, alcuni di questi collegamenti rimarranno inutilizzati. Per ovviare a questo problema, è possibile creare più topologie STP con VLAN diverse. Ciò viene realizzato con PVST proprietario, RPVST o MST basato su standard Cisco. Ciò consente di disporre di più tipologie STP con cui è possibile giocare per utilizzare i collegamenti precedentemente non utilizzati. Ad esempio, se avessi 50 desktop, potrei metterne 25 in VLAN 10 e 25 in VLAN 20. Potrei quindi fare in modo che VLAN 10 prenda il lato "sinistro" della rete e i restanti 25 in VLAN 20 prendano il lato "destro" della rete.

Separazione del servizio: questo è piuttosto semplice. Se si dispone di telecamere di sicurezza IP, telefoni IP e desktop tutti collegati allo stesso switch, potrebbe essere più semplice separare questi servizi nella propria sottorete. Ciò consentirebbe anche di applicare i contrassegni QOS a questi servizi basati sulla VLAN anziché su alcuni servizi di livello superiore (es: NBAR). È inoltre possibile applicare ACL sul dispositivo che esegue il routing L3 per impedire la comunicazione tra VLAN che potrebbero non essere desiderate. Ad esempio, posso impedire ai desktop di accedere direttamente ai telefoni / alle videocamere di sicurezza.

Isolamento del servizio: se si dispone di una coppia di switch TOR in un singolo rack con pochi host VMWare e una SAN, è possibile creare una VLAN iSCSI che non viene instradata. Ciò consentirebbe di disporre di una rete iSCSI completamente isolata in modo che nessun altro dispositivo possa tentare di accedere alla SAN o interrompere la comunicazione tra gli host e la SAN. Questo è semplicemente un esempio di isolamento del servizio.

Dimensione sottorete: come indicato in precedenza se un singolo sito diventa troppo grande, è possibile suddividere quel sito in VLAN diverse che ridurranno il numero di host che vedono la necessità di elaborare ogni trasmissione.

Esistono sicuramente altri modi in cui le VLAN sono utili (posso pensare a diverse che utilizzo specificamente come un provider di servizi Internet), ma ritengo che queste siano le più comuni e che dovrebbero darti una buona idea su come / perché le utilizziamo. Ci sono anche VLAN private che hanno casi d'uso specifici e che vale la pena menzionare qui.

Man mano che le reti diventano sempre più grandi, la scalabilità diventa un problema. Per comunicare, ogni dispositivo deve inviare trasmissioni, che vengono inviate a tutti i dispositivi in ​​un dominio di trasmissione. Man mano che vengono aggiunti più dispositivi al dominio di trasmissione, più trasmissioni iniziano a saturare la rete. A questo punto si insinuano molteplici problemi, tra cui la saturazione della larghezza di banda con il traffico di trasmissione, una maggiore elaborazione su ciascun dispositivo (utilizzo della CPU) e persino problemi di sicurezza. Dividere questo grande dominio di trasmissione in domini di trasmissione più piccoli diventa sempre più necessario.

Inserisci le VLAN.

Una VLAN, o Virtual LAN, crea virtualmente domini di trasmissione separati, eliminando la necessità di creare LAN hardware completamente separate per superare il problema dei domini di trasmissione di grandi dimensioni. Invece, uno switch può contenere molte VLAN, ognuna delle quali funge da dominio di trasmissione autonomo e separato. In effetti, due VLAN non possono comunicare tra loro senza l'intervento di un dispositivo di livello 3 come un router, che è la commutazione di livello 3.

In sintesi, le VLAN, al livello più elementare, segmentano grandi domini di trasmissione in domini di trasmissione più piccoli e più gestibili per aumentare la scalabilità nella tua rete in continua espansione.

Le VLAN sono reti logiche create all'interno della rete fisica. Il loro uso principale è quello di fornire isolamento, spesso come mezzo per ridurre le dimensioni del dominio di trasmissione all'interno di una rete, ma possono essere utilizzate per una serie di altri scopi.

Sono uno strumento che qualsiasi ingegnere di rete dovrebbe conoscere e, come qualsiasi altro strumento, possono essere utilizzati in modo errato e / o nei momenti sbagliati. Nessuno strumento è quello giusto in tutte le reti e in tutte le situazioni, quindi più strumenti puoi usare, meglio sei in grado di lavorare in più ambienti. Conoscere di più sulle VLAN ti consente di usarle quando ne hai bisogno e di usarle correttamente quando lo fai.

Un esempio di come possono essere utilizzati, attualmente lavoro in ambienti in cui i dispositivi SCADA (controllo di supervisione e acquisizione dati) sono ampiamente utilizzati. I dispositivi SCADA sono in genere abbastanza semplici e hanno una lunga storia di sviluppo software tutt'altro che stellare, che spesso fornisce importanti vulnerabilità di sicurezza.

Abbiamo impostato i dispositivi SCADA nella loro in una VLAN separata senza gateway L3. L'unico accesso alla loro rete logica è attraverso il server con cui comunicano (che ha due interfacce, una nella VLAN SCADA) che può essere protetta con la propria sicurezza basata su host, cosa impossibile sui dispositivi SCADA. I dispositivi SCADA sono isolati dal resto della rete, anche quando sono collegati agli stessi dispositivi fisici, quindi ogni vulnerabilità è mitigata.

In termini di principi di progettazione, l'implementazione più comune è quella di allineare le VLAN alla struttura organizzativa, ad esempio persone di ingegneria in una VLAN, marketing in un'altra, telefoni IP in un'altra, ecc. Altri progetti includono l'utilizzo delle VLAN come "trasporto" di una rete separata funziona attraverso uno (o più) core. La terminazione di livello 3 delle VLAN ('SVI' in Cisco Parlance, 'VE' in Brocade, ecc.) È anche possibile su alcuni dispositivi, il che elimina la necessità di un componente hardware separato per effettuare comunicazioni inter-VLAN quando applicabile.

Le VLAN diventano ingombranti da gestire e mantenere su larga scala, come probabilmente hai già visto casi di NESE. Nel regno dei fornitori di servizi, ci sono PB (Provider Bridging - comunemente noto come "QinQ", doppia codifica, tag impilati, ecc.), PBB (Provider Backbone Bridging - "MAC-in-MAC") e PBB-TE, che sono stati progettato per tentare di mitigare la limitazione del numero di ID VLAN disponibili. PBB-TE mira maggiormente a eliminare la necessità di apprendimento dinamico, allagamenti e spanning tree. Ci sono solo 12 bit disponibili per l'uso come ID VLAN in un C-TAG / S-TAG (0x000 e 0xFFF sono riservati) da dove proviene la limitazione 4.094.

VPLS o PBB possono essere utilizzati per eliminare i massimali di ridimensionamento tradizionali coinvolti con PB.

Il caso d'uso di base per VLAN è quasi identico al caso d'uso di base per la segmentazione della rete in più domini di trasmissione di collegamenti dati. La differenza fondamentale è che con un fisico LAN, è necessario almeno un dispositivo (tipicamente un interruttore) per ciascun dominio di broadcast, mentre con un virtuale appartenenza al dominio di broadcast LAN è determinato in base alla porta per porta ed è riconfigurabile senza aggiungere o sostituzione dell'hardware.

Per le applicazioni di base, applicare gli stessi principi di progettazione alle VLAN come per i PLAN. I tre concetti che devi sapere per fare questo sono:

1. Trunking : qualsiasi collegamento che trasporta frame appartenenti a più di una VLAN è un collegamento trunk . In genere i collegamenti switch-to-switch e switch-to-router sono configurati come collegamenti trunk .
2. Tagging : durante la trasmissione a un collegamento trunk, il dispositivo deve contrassegnare ciascun frame con l'ID VLAN numerico a cui appartiene in modo che il dispositivo ricevente possa confinarlo correttamente al dominio di trasmissione corretto. In generale, le porte lato host sono prive di tag , mentre le porte lato switch e router sono taggate . Il tag è una parte aggiuntiva dell'incapsulamento del collegamento dati.
3. Interfacce virtuali : su un dispositivo con una o più interfacce di collegamento trunk, è spesso necessario collegare, in senso logico, il dispositivo come terminale di collegamento a una o più delle singole VLAN presenti all'interno del trunk. Ciò è particolarmente vero per i router. Questo allegato di collegamento logico è modellato come un'interfaccia virtuale che funge da porta connessa al singolo dominio di trasmissione associato alla VLAN designata.

L'uso originale di un vlan era limitare l'area di trasmissione in una rete. Le trasmissioni sono limitate al proprio vlan. Successivamente è stata aggiunta una funzionalità aggiuntiva. Tuttavia, tieni presente che i vlan sono di livello 2, ad esempio negli switch Cisco. È possibile aggiungere il livello 2 assegnando un indirizzo IP alla porta sullo switch, ma ciò non è obbligatorio.

funzionalità aggiuntiva:

• trunking: usa più vlan tramite una connessione fisica (es: connessione di 2 switch, un link fisico è abbastanza buono da avere una connessione per tutti i vlan, separare i vlan è fatto taggando, vedi: dot1Q per cisco)
• sicurezza
• più facile da gestire (es: l'arresto su un vlan non influisce sulla connettività dell'altro vlan ...)
• ...

Se potessi offrire un'altra informazione, che potrebbe aiutare.

Per comprendere le VLAN, è necessario comprendere anche due concetti chiave.

-Subnetting - Supponendo che si desideri che i vari dispositivi siano in grado di comunicare tra loro (server e client, ad esempio), a ciascuna VLAN deve essere assegnata una sottorete IP. Questa è la SVI di cui sopra. Ciò ti consente di iniziare il routing tra i vlan.

-Routing: dopo aver creato ciascuna VLAN, una subnet assegnata ai client su ciascuna VLAN e una SVI creata per ciascuna VLAN, sarà necessario abilitare il routing. Il routing può essere una configurazione molto semplice, con una route predefinita statica a Internet e istruzioni di rete EIGRP o OSPF per ciascuna sottorete.

Una volta che vedi come va tutto insieme, in realtà è abbastanza elegante.