Gli switch possono eseguire il routing VLAN? [chiuso]

10

Ho imparato a conoscere le VLAN e mi chiedo se lo switch possa essere utilizzato per la comunicazione tra due VLAN.

Poiché gli switch supportano i collegamenti trunk e già conoscono la destinazione / origine (VID) del frame, potrebbero essere utilizzati per inviare il frame da una VLAN all'altra?

esempio di rete vlan

Ad esempio in questa immagine sopra mi chiedevo perché il router fosse necessario se questo switch riceve già il VID di ogni VLAN. Perché non è possibile inoltrare il frame alla VLAN di destinazione, ma è necessario che il router lo faccia prolungando così il tempo di trasferimento del frame al router e viceversa?

routing  switch  vlan 
Kosta S.
fonte
4
NB un frame con tag non ha VID di destinazione / sorgente - in genere solo un VID - quindi non c'è modo che uno switch che funzioni esclusivamente su L2 possa sapere se un frame è destinato a una VLAN diversa su quella base.
psmears
2
Se dovessi "unire" due VLAN in questo modo, sarebbero effettivamente la stessa VLAN. Quindi non ha senso utilizzare due ID VLAN separati.
user253751
Anche se potessero, ciò non sarebbe utile in alcun modo che io possa immaginare. Ad esempio, l'IP non funzionerebbe perché ARP non avrebbe funzionato. Potrebbero esserci dei protocolli che funzionerebbero in tali condizioni, ma ne conosci alcuni che sono ampiamente utilizzati?
David Schwartz
@DavidSchwartz Ogni protocollo basato su Ethernet funzionerebbe su questo. Perché l'ARP non funzionerebbe se uno switch si unisse efficacemente alle VLAN?
Andreas Krey,
1
@KostaS. Inoltre, come ho detto prima, se potessi farlo con uno switch, sarebbe solo una VLAN con due ID, quindi quale sarebbe il punto?
user253751

Risposte:

18

Gli switch L2 non possono eseguire il routing Inter-VLAN, poiché si occupano solo di roba di rete L2, ovvero inoltra frame tra i collegamenti. Se si tratta di uno switch L3, può eseguire il routing del protocollo IP tra VLAN.

Tero Kilkanen
fonte
5
Un "interruttore L3" non è un interruttore! È un router.
Ian Ringrose l'
4
@Ian Anche se tecnicamente hai ragione, la maggior parte dei prodotti elencati come router hanno un numero limitato di porte e spesso fungono anche da modem. Se cerchi L3 Switch, troverai il dispositivo che stai cercando.
Roshan Bhumbra
2
@IanRingrose Tecnicamente, uno "switch L3" è un bridge e un gateway combinati .
Chrylis
2
VLAN è il livello 2.
Razze di leggerezza nell'orbita
10

Le VLAN vengono utilizzate per creare diverse sottoreti, il che significa diversi domini di trasmissione. È necessario disporre di un router o di uno switch Layer-3 per inoltrare il traffico tra VLAN diverse (diverse sottoreti).

Khaled
fonte
2
VLAN e sottorete sono due cose diverse
gare di leggerezza nell'orbita del
@LightnessRacesinOrbit Tecnicamente, hai ragione. Molte persone però non li trattano in questo modo. Ho visto molte persone (inclusi articoli VLAN online) trattare l'argomento come se la mappatura della subnet-toVLAN fosse da 1 a 1, e penso che molte persone probabilmente li configurino in questo modo. Hai ragione però; sono separati e non devono essere allineati.
Loduwijk
@Aaron: In quanto tale, non capisco gli almeno 10 voti su questa risposta. (FWIW, nelle specifiche reti di telecomunicazioni per le quali sviluppo apparecchiature, non esiste alcuna mappatura pratica o presunta della sottorete su VLAN.)
Razze di leggerezza in orbita
Queste "sottoreti" sono generalmente chiamate "reti virtuali" ... VLAN. Ma una singola VLAN non deve necessariamente avere lo stesso ID su ogni collegamento che sta utilizzando.
Andreas Krey,
10

Il routing è una funzione di livello 3, mentre la VLAN riguarda solo il livello 2.

Quando un computer A desidera inviare dati a un altro host B, utilizzando il protocollo IP, verificherà prima se B si trova nella stessa rete di se stesso (confrontando la parte di rete del proprio indirizzo e l'indirizzo IP di destinazione).

  • Se l'indirizzo IP B si trova nella stessa rete, A eseguirà quindi una richiesta ARP per trovare l'indirizzo MAC di B.
    Se B non è attivo o non si trova nella stessa VLAN, la richiesta ARP non avrà una risposta e A non invierà qualsiasi altra cosa (la comunicazione fallisce).

  • Se l'indirizzo IP B appartiene a un'altra rete IP, A cercherà nella sua tabella di routing, troverà l'indirizzo IP del router C (di solito il suo gateway predefinito) e invierà il pacchetto a C (eseguendo nuovamente una richiesta ARP per trovare C Indirizzo MAC).

Pertanto, se non si dispone di un router con un'interfaccia in entrambe le reti, non è possibile avere comunicazioni tra due host in due reti IP separate.

Anche se esiste una sorta di bridge tra due VLAN (insolito ma possibile) o i due host sono nella stessa VLAN ma hanno un indirizzo IP in reti IP diverse, la comunicazione non è possibile senza un router, poiché A non tenterà di inviare un frame su B (perché la sua configurazione IP gli dice che ha bisogno di un router).

Ora, come hanno sottolineato altre risposte, se il tuo switch è un interruttore di livello 3, ciò significa che hai in una scatola sia uno switch che un router. Se configurato correttamente, la funzione router del commutatore verrà instradata tra le diverse VLAN.
Il vantaggio principale degli switch Layer 3 (rispetto a un router separato) è che è possibile instradare tra VLAN diverse alla massima velocità del cavo (IE alla stessa velocità del processo di commutazione).

JFL
fonte
2

Altre risposte qui riguardano la teoria della rete, quindi non commenterò. Per quanto riguarda l'hardware di rete reale nel mondo reale, che è correlato ma diverso dalla teoria della rete, la risposta è sì. È possibile acquistare uno switch di rete in grado di gestire il traffico VLAN.

Uno switch di rete era usato come dispositivo di livello 2, ma molti switch fanno di più in questi giorni. A volte i router sono etichettati come "switch di livello 3". Gli switch con più di una semplice funzionalità di livello 2 vengono talvolta definiti "switch di livello 2.5"

Loduwijk
fonte
1
VLAN è una funzionalità di livello 2.
Corse di leggerezza in orbita
@LightnessRacesinOrbit Non me lo ricordavo per certo, dato che sono passati anni da quando ho fatto qualsiasi configurazione VLAN. In tal caso, forse dovresti lasciare quel commento sulle altre risposte qui poiché le risposte più votate contraddicono tutte il tuo commento qui. In realtà, aspetta un momento ... l'intero punto di una VLAN è che si tratta di una rete separata e quindi del livello 3. Sei sicuro che sia una cosa di livello 2? Tuttavia, in entrambi i casi, è meglio che il tuo commento venga lasciato sulle risposte più votate.
Loduwijk
@Aa ron: ho fatto lasciare che commentare le altre risposte; hai persino risposto a uno di loro! E sì, ne sono sicuro. I tag VLAN sono inseriti in frame Ethernet.
Corse di leggerezza in orbita
@LightnessRacesinOrbit Vedo un tuo commento solo su una delle altre risposte, quella a cui ho risposto, e quello era un commento diverso. "VLAN = L2" e "VLAN! = Sottorete" sono commenti diversi. Concordo con te sul fatto che "VLAN! = Sottorete". Non sono così sicuro della tua "VLAN = L2". Suppongo che dipenda da quale sia la tua definizione di "è ... funzionalità", sebbene in particolare per quanto riguarda la domanda originale a portata di mano, la domanda sta parlando della funzionalità di livello 3. Almeno, è così che ho letto la domanda: il routing tra le reti (e una VLAN è, logicamente comunque, solo un'altra LAN). No?
Loduwijk
"'VLAN = L2' e 'VLAN! = Sottorete' sono commenti diversi" Il punto sottostante che sto formulando è esattamente lo stesso: le risposte che parlano della tecnologia Layer 3 mancano del tutto. Non sono sicuro del motivo per cui sei così impiccato su dove e quando sto commentando, tbqh.
Corse di leggerezza in orbita
1

Stranamente questo non è supportato dagli switch VLAN - non è possibile configurarli per connettersi, diciamo, VLAN3 sulla porta A alla VLAN5 sulla porta B.

È possibile hackerarlo utilizzando due porte, configurarne una per avere VLAN3 senza tag e l'altra VLAN5 senza tag, quindi collegarle con un cavo. (Non ho provato questo, ma non vedo perché non dovrebbe funzionare.)

Andreas Krey
fonte
@Andreas_Krey Umm ... sei sicuro? Non è possibile instradare tra due reti? Le VLAN sono solo reti virtuali (da cui il nome) e puoi instradarle tra loro come qualsiasi altra rete. Forse siamo bloccati dalla semantica, come dimostrano le differenze tra la teoria della rete e l'hardware della rete del mondo reale, come altri in questo thread.
Loduwijk
@Aaron Routing è qualcosa di diverso, io (e probabilmente anche la Q) parlo di avere ID VLAN diversi (e potenzialmente multipli) per la stessa VLAN su porte diverse.
Andreas Krey,
@Andreas_Krey Forse. Ho appena riletto la Q e posso vedere come puoi leggerlo diversamente da me. Quello che vedo è "potrebbero essere [switch] usati per inviare il frame da una VLAN all'altra". Vedo questo come una domanda in cui il richiedente non sta semplicemente vedendo le VLAN logicamente come "solo un'altra LAN" e sta chiedendo se può instradare tra di loro con uno switch. Potrei sbagliarmi.
Loduwijk,
Il tuo hack funzionerebbe se, e solo se, disabiliti STP o disponi di un dispositivo che riconosce STP con VLAN. Le implementazioni di tipo STP ingenuo stanno per andare "omg, loop di rete, deve ucciderlo prima che mi uccida". Ho scoperto questo difficile quando si fa lavoro con router Cisco, bridge e vlans.
Kaithar,
1

Se lo sto interpretando correttamente, vuoi uno switch che riceve un frame con VLAN 5 (ad esempio) per inoltrarlo con VLAN 6.

Questo sarebbe inutile. Invece di farlo, potresti semplicemente prendere tutti i tuoi dispositivi che usano VLAN 6 e spostarli invece su VLAN 5.

Poiché è inutile, i fornitori di switch non hanno aggiunto alcun modo per farlo.

user253751
fonte
-1

Il traffico intra-VLAN viene inoltrato tra gli indirizzi mac della rete VLAN. Affinché un "frame" lasci quella rete, deve essere inoltrato all'indirizzo mac di un dispositivo abilitato al routing. Può essere uno switch, un firewall o un router. Quindi, se un frame dalla VLAN A vuole raggiungere la VLAN B, la VLAN A invierà il frame all'indirizzo mac del gateway predefinito, la VLAN B farà lo stesso. Se quei gateway sono su uno switch, allora lo switch sta instradando i pacchetti tra i vlan, lo stesso per un router. È possibile che si desideri utilizzare un firewall, se è necessario controllare l'accesso avanti e indietro tra i Vlan.

Nel mondo moderno: pensa agli switch come router con molte porte. Pensa ai router come switch con meno porte, ma maggiore disponibilità. Pensa ai firewall come a router in grado di supportare servizi di livello superiore, come rilevamento delle intrusioni, antivirus, proxy SSL, servizi applicativi, NAT, ecc.

Andromeda
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.