Qual è la differenza tra una VLAN e una sottorete? [chiuso]

91

Ho letto numerosi forum e articoli su VLAN e sottoreti.
Tuttavia, non ho capito le funzioni di ciascuno a parte quanto segue:

  1. Le sottoreti consentono la segmentazione di una rete
  2. Le VLAN sono una parte isolata di una rete

Domande

  1. Se ho più sottoreti suppongo che avresti bisogno di un router per comunicare tra ciascuna sottorete. Solo i dispositivi all'interno di ciascuna sottorete si troverebbero nel dominio di trasmissione locale per quella sottorete. È giusto?

  2. Ho bisogno di una sottorete per configurare una VLAN?

  3. Sono consapevole che può esistere una VLAN all'interno di una sottorete. Ma la mia comprensione è che dovresti assegnare un indirizzo IP di quella sottorete alla VLAN. Come può essere isolato dal resto della sottorete?

  4. Quando configureresti una VLAN? Soprattutto se sono in grado di segmentare la mia rete usando le sottoreti?

  5. Continuo a imbattermi nel seguente punto. Tuttavia, non sono sicuro di cosa significhi esattamente questo quando legge same physical network.

    Le reti locali virtuali (VLAN) ci consentono di creare diverse reti logiche e fisiche; mentre la subnet IP ci consente semplicemente di creare reti logiche attraverso la stessa rete fisica.

Gradirei esempi del mondo reale.

subnet  vlan 
PeanutsMonkey
fonte
1
La differenza principale è che l'unione a una sottorete si basa sulla configurazione IP lato client. Pertanto, il client può utilizzare qualsiasi sottorete che desidera. Per una VLAN la configurazione viene eseguita sul lato server (ad es. In base alla porta LAN) e il client non può modificarla. Dal punto di vista della sicurezza questa è una grande differenza.
Robert,
@Robert - Puoi approfondire cosa intendi client side IP and server side configuration?
PeanutsMonkey,
Una sottorete è determinata dall'IP che si utilizza e l'IP può essere scelto dall'amministratore di un computer (o dispositivo). Pertanto, viene eseguito sul lato client: non è possibile controllarlo. Una VLAN è configurata sul lato server / router. Chi controlla il router / server decide a quale computer / porta è assegnata la VLAN. Uno (o alcuni) router / server centrali possono essere protetti logicamente (password di accesso) e fisicamente (accesso alla sala server).
Robert,
Questa pagina può essere utile petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm
barlop
@PeanutsMonkey: leggendo i tuoi commenti, sembra che stai vedendo un po 'di confusione sui vari livelli di rete nel modello OSI. Le VLAN operano sul livello 2 mentre le sottoreti IP operano sul livello 3.
Afrazier

Risposte:

73

Sottorete - è un intervallo di indirizzi IP determinato da parte di un indirizzo (spesso chiamato indirizzo di rete) e da una maschera di sottorete (maschera di rete). Ad esempio, se la maschera di rete è 255.255.255.0(o / 24 in breve) e l'indirizzo di rete è 192.168.10.0, allora questo definisce un intervallo di indirizzi IP 192.168.10.0attraverso 192.168.10.255. Stenografia per la scrittura che è 192.168.10.0/24.

VLAN - Un buon modo di pensare a questo è "cambiare partizionamento". Supponiamo che tu abbia uno switch a 8 porte in grado di supportare VLAN. È possibile assegnare 4 porte a una VLAN (ad esempio VLAN 1) e 4 porte a un'altra VLAN (ad esempio VLAN 2). VLAN 1 non vedrà alcun traffico di VLAN 2 e viceversa, logicamente, ora hai due switch separati. Normalmente su uno switch, se lo switch non ha visto un indirizzo MAC, "inonderà" il traffico verso tutte le altre porte. Le VLAN lo impediscono.

Se due computer parleranno tramite TCP / IP, è necessario soddisfare una delle due condizioni:

  • Devono appartenere alla stessa sottorete. Ciò significa che l'indirizzo di rete deve essere lo stesso e che la maschera di rete deve essere uguale o inferiore. Pertanto, un computer con un'interfaccia con un indirizzo IP 192.168.10.4/24può parlare con un computer con un'interfaccia con un indirizzo IP 192.168.10.8/24senza problemi, a condizione che siano entrambi collegati allo stesso switch fisico o VLAN. Se l'interfaccia del secondo computer fosse connessa allo stesso switch fisico o VLAN 192.168.11.8/24, ignorerebbe il traffico (a meno che l'interfaccia non fosse in modalità promiscua).

  • Tra i due computer deve esistere un router in grado di inoltrare il traffico tra le sottoreti. Il computer A e il computer B necessitano di un percorso (o gateway predefinito) a questo router. Diciamo che un computer con un'interfaccia con un indirizzo IP di 192.168.10.4/24vuole parlare con un computer con un'interfaccia con un indirizzo IP di 192.168.20.4/24. Sottoreti diverse, quindi dobbiamo passare attraverso un router. Diciamo che c'è un router con due interfacce (i router per definizione hanno due interfacce), uno acceso 192.168.10.254/24e 192.168.20.254/24. Se la tabella di instradamento o DHCP è configurato correttamente e entrambi i computer A e B possono raggiungere le interfacce del router sulle rispettive sottoreti, possono comunicare tra loro indirettamente tramite il router.

Forzare il traffico a passare attraverso un router, anche se non è necessario come nel nostro switch a 8 porte sopra, presenta vantaggi in termini di sicurezza e prestazioni: ti offre l'opportunità di filtrare il traffico, un'opportunità per instradare in modo ottimale il traffico in base al tipo e ai router non inoltrare il traffico di trasmissione (a meno che non sia configurato in modo insolito). Le VLAN vengono talvolta utilizzate come "hack" per gestire i flussi / la visibilità del traffico broadcast IPv4.

Modifica per rispondere ad alcune delle tue domande:

  • Concettualmente le VLAN sono equivalenti agli switch. Ciò che arriva in 1 porta di una VLAN viene replicato ("inondato") su tutte le altre porte a meno che la VLAN non abbia già visto / appreso l'indirizzo MAC prima di essere indirizzato a quella porta. Non esiste un gateway per la VLAN corretta. Un "gateway" indica sempre l'indirizzo IP di un router.

  • Affinché VLAN 1 parli con VLAN 2, un'interfaccia in VLAN 1 deve essere connessa a un router, un'interfaccia in VLAN 2 deve essere connessa a un router e tale router deve essere configurato per inoltrare il traffico tra tali sottoreti. Nel nostro esempio a 8 porte sopra, se volessimo instradare il traffico tra quelle VLAN, dovremmo spendere 1 porta su ciascuna VLAN che si connette a un router. Lo stesso con un interruttore.

Sono sicuro che molti switch / hardware di fascia alta hanno un "router VLAN" "incorporato" per loro dove spendere una porta aggiuntiva all'interno di ciascuna VLAN collegandola a un router fisico non è davvero necessario se si desidera instradare tra VLAN nello stesso interruttore. Questo potrebbe essere il punto in cui l'IP VLAN o il "gateway" entrano in gioco. (Invito quelli più esperti a modificarlo)

  • Quando un computer ottiene il suo IP tramite DHCP, di solito ottiene anche il "gateway predefinito" dallo stesso server DHCP. Qualcuno deve configurare correttamente il server DHCP. Protocolli di routing come RIP, IS-IS, OSPF e BGP possono anche aggiungere route. Ovviamente hai la possibilità di aggiungere percorsi manualmente (percorsi "statici")

  • Se lo switch ha una porta seriale o porta etichettata "console", è probabilmente gestita e supporta le VLAN.

LawrenceC
fonte
1
Una delle migliori spiegazioni che ho visto oggi. Questo ha sollevato una serie di domande. VLAN 1 e VLAN 2 avrebbero il proprio indirizzo IP o è semplicemente etichettata come VLAN 1 e VLAN 2? Se sono taggati, come si scambiano gli host / i punti finali / i nodi in VLAN 1? Ora, se esiste un router, il gateway è l'indirizzo IP della VLAN o quello del router? Quando dici route table, è qualcosa che devo costruire? Inoltre, come fai a sapere se uno switch che hai ereditato è abilitato (gestito) o non gestito alla VLAN?
PeanutsMonkey
Si prega di consultare le modifiche.
LawrenceC,
Grazie. Ho avuto una domanda sulla frase ven though it's not needed such as on our 8-port switch above, has security and performance benefits. Perché non dovrebbe passare attraverso un router se le sottoreti fanno parte di una rete diversa?
PeanutsMonkey,
Si prega di vedere più modifiche.
LawrenceC,
20

Ho trovato complicate le altre spiegazioni.

  • La VLAN consente di taggare tutti i pacchetti di rete con un numero magico (ad es 3.).
  • Solo le altre schede di rete impostate su 3vedranno quei pacchetti

Posiziona un gruppo di computer VLAN 3e saranno nel loro piccolo mondo isolato; non vedranno nessun altro traffico.

All'improvviso puoi avere più LAN che operano sugli stessi cavi (ovvero LAN virtuali ). Puoi anche avere due computer con lo stesso IP, poiché hanno tag VLAN diversi (ad es. 3Versi 7)

L'impostazione di un ID VLAN viene eseguita configurando il driver della scheda di rete:

inserisci qui la descrizione dell'immagine

Il chilometraggio varia in base alla scheda di rete e ai relativi driver.

Ian Boyd
fonte
Mi sono imbattuto in tag VLAN ma sono incuriosito da come setdire le schede di rete 3? Presumo che le VLAN non sarebbero in grado di vedersi se non ci fosse un router. Se c'è un router, suppongo che dovrebbe esserci un firewall per impedire che i pacchetti vengano passati da una VLAN alla successiva se vengono fatti dei requisiti. Ora quale sarebbe il gateway della sottorete nella VLAN? Sarebbe il router?
PeanutsMonkey
Inoltre alla VLAN è assegnato un indirizzo IP o semplicemente un tag? Sulla base delle mie letture su petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm sembra che i trunk possano anche routepacchetti. Non sono sicuro che la mia comprensione sia chiara però. Significa che uno switch è un dispositivo di livello 2 e 3?
PeanutsMonkey
Una VLAN è semplicemente un tag. Tutte le schede di rete devono essere consapevoli della presenza di un tag VLAN e ignorare i pacchetti con un tag VLAN diverso dal proprio.
Ian Boyd,
@IanBoyd: tutte le schede NIC devono essere consapevoli della VLAN? Ho pensato che i edge switch tra le VLAN potevano gestire tutti i tag (e la rimozione dei tag) dall'intestazione Ehternet.
Afrazier
Nel caso di uno switch intelligente come quello: no, lo switch può gestire il traffico diretto. Ma in quel caso devi programmare lo switch per sapere quali porte accettano quale traffico. Dalla più semplice spiegazione di cosa sia la VLAN: è un modo di etichettare i pacchetti con un ID, in modo che solo le schede di rete con lo stesso tag li vedano.
Ian Boyd,
8

La spiegazione semplicistica è che esistono VLAN per consentire a diverse sottoreti di condividere cavi, porte e switch fisici. Potresti avere sottoreti distinte sulla tua rete senza Vlan, ma dovresti avere un diverso set di fili per ognuna.

Joel Coehoorn
fonte
Finalmente ho capito che dalla rete a strascico che una VLAN consente a un'organizzazione di utilizzare lo stesso switch rispetto all'acquisto di più switch, tuttavia sono ancora confuso su alcune delle domande che ho sollevato nel mio post.
PeanutsMonkey,
4
Che cosa? Non c'è nulla che impedisca a uno di gestire più subnet IP sulla stessa rete fisica, anche se non riesco a pensare a nessuna buona ragione per farlo senza VLAN in atto. In particolare, avresti qualche seria difficoltà con DHCP senza VLAN per isolare il traffico di trasmissione.
Afrazier
4

1.Se ho più sottoreti suppongo che avresti bisogno di un router per comunicare tra ciascuna sottorete.

Sì, è necessario un router per spostare i pacchetti tra le sottoreti.

Solo i dispositivi all'interno di ciascuna sottorete si troverebbero nel dominio di trasmissione locale per quella sottorete. È giusto?

Sì, una sottorete è un dominio di trasmissione.

2. Ho bisogno di una sottorete per configurare una VLAN?

Sì.

3. Sono consapevole che una VLAN può esistere all'interno di una sottorete, ma la mia comprensione è che dovresti assegnare alla VLAN un indirizzo IP di quella sottorete.

No, a quanto ho capito, le VLAN sono definite negli switch e isolano il traffico di ciascuna VLAN.

Come può essere isolato dal resto della sottorete?

Una VLAN è una sottorete.

4.Quando configureresti una VLAN, specialmente se sono in grado di segmentare la mia rete usando le sottoreti?

Quando è necessario separare il traffico in due o più gruppi senza separare l'infrastruttura fisica (principalmente switch) in due o più gruppi fisici.

5. Continuo a riscontrare che le reti locali virtuali (VLAN) ci consentono di creare diverse reti logiche e fisiche; mentre la subnet IP ci consente semplicemente di creare reti logiche attraverso la stessa rete fisica. tuttavia non sono sicuro di cosa significhi esattamente quando legge la stessa rete fisica.

Una LAN fisica è composta principalmente da switch e cavi disposti (nel caso di Ethernet) in un'unica struttura ad albero.

Normalmente una LAN è una singola sottorete. Un'organizzazione potrebbe avere diverse LAN collegate da router.

Una singola LAN fisica può essere suddivisa in più LAN logiche (VLAN) utilizzando il supporto VLAN negli switch. Ogni VLAN ha quindi una sottorete separata. È quindi necessario un router per spostare i pacchetti tra le LAN logiche (VLAN).

Aggiornamento: alcune risposte per rispondere alle domande nei commenti.

se volevo dispositivi su 2 VLAN separate per comunicare che non è necessario un router in quanto posso utilizzare il trunking.

Ecco alcune citazioni da http://www.formortals.com/an-introduction-to-vlan-trunking/

"Il trunking VLAN consente a una singola scheda di rete di comportarsi come" n "numero di schede di rete virtuali, dove" n "ha un limite superiore teorico di 4096 ma è in genere limitato a 1000 segmenti di rete VLAN. "

" I router possono diventare infinitamente più utili dopo essere stati collegati all'infrastruttura di switch aziendale. Una volta trunking, diventano onnipresenti e possono fornire servizi di routing a qualsiasi sottorete in qualsiasi angolo della rete aziendale. "

Quindi hai ancora bisogno di un router ma, con il trunking VLAN, può essere un router a un braccio (router su una chiavetta). Gli switch di fascia alta includono funzionalità di routing, quindi potrebbe non essere necessario un router separato poiché lo switch di fascia alta è anche un router di livello 3.

Quando dici che ho bisogno di una sottorete per configurare una VLAN, cosa intendi esattamente?

Le VLAN sono un concetto di livello 2. Proprio come gli switch Ethernet sono un dispositivo di livello 2. Le VLAN possono fare un paio di switch che fanno lavori dove altrimenti potresti aver bisogno di mezza dozzina di switch in gruppi isolati. Tuttavia, i tuoi nodi (computer, stampanti, ecc.) Utilizzano in genere l'indirizzamento di livello 3 (IP).

Per i nodi in una VLAN (N per rete) per comunicare con i nodi in un'altra VLAN (N per rete) è necessario un protocollo InterNetwork (in altre parole IP). In IP per spostare i pacchetti tra reti abbiamo bisogno che ogni rete abbia un indirizzo di rete di livello 3 diverso.

È qui che entra in gioco la sottorete - che divide l'intervallo di indirizzi di rete di livello 3 allocato da un'organizzazione in sottoreti utilizzando maschere di sottorete. Quindi è possibile utilizzare un router per consentire ai dispositivi in ​​una sottorete (in una VLAN) di comunicare con i dispositivi in ​​un'altra sottorete (in un'altra VLAN).

RedGrittyBrick
fonte
@RedGrittyBrick - Grazie. Quando dici che ho bisogno di una sottorete per configurare una VLAN, cosa intendi esattamente? Per me la sottorete è la segregazione o segmentazione degli indirizzi IP? Da quello che ho capito, le VLAN operano nel Livello 2, il che significa che risolve gli indirizzi MAC in indirizzo IP, quindi supponendo che la mia comprensione sia corretta, perché e come si dovrebbe creare una sottorete per configurare una VLAN? Non ho seguito cosa intendevi VLAN is defined in the switches and isolates the traffic of each VLAN?
PeanutsMonkey,
@RedGrittyBrick - Sembra anche che se volessi che i dispositivi su 2 VLAN separate comunicassero che non è necessario un router in quanto posso usare il trunking.
PeanutsMonkey,
@PeanutsMonkey Forse è possibile che entrambi stiate scambiando erroneamente i termini VLAN e VLAN. Lui come un mistype in una frase hai letto del suo, e tu nella tua mente. VLAN è il plurale di VLAN. Quindi questa frase ha scritto "La VLAN è definita negli switch e isola il traffico di ciascuna VLAN?" dovresti forse leggere "Le VLAN sono definite in / ogni switch e il traffico su ciascuna VLAN è isolato"
barlop
@barlop - Capisco che una VLAN è un sottoinsieme di VLAN, tuttavia mi confondo il contenuto del link che hai suggerito, ad esempio petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm . Ad esempio il contenuto diceAt this point, only ports 2 and 3 should be able to communicate with each other and ports 4 & 5 should be able to communicate. That is because each of these is in its own VLAN
PeanutsMonkey,
For the device on port 2 to communicate with the device on port 4, you would have to configure a trunk port to a router so that it can strip off the VLAN information, route the packet, and add back the VLAN information
PeanutsMonkey,
2

1.Se ho più sottoreti suppongo che avresti bisogno di un router per comunicare tra ciascuna sottorete. Solo i dispositivi all'interno di ciascuna sottorete si troverebbero nel dominio di trasmissione locale per quella sottorete. È giusto?

Le reti IP (sottoreti) sono un concetto di livello 3. Se due PC sono collegati allo stesso switch L2 senza VLAN, si troveranno nello stesso dominio di trasmissione L2, ma non nel dominio di trasmissione L3.

2. Ho bisogno di una sottorete per configurare una VLAN?

No. Tuttavia, se si desidera che i dispositivi in ​​una VLAN comunichino tra loro probabilmente avranno bisogno di un protocollo L3.

3. Sono consapevole che una VLAN può esistere all'interno di una sottorete, ma la mia comprensione è che dovresti assegnare alla VLAN un indirizzo IP di quella sottorete. Come può essere isolato dal resto della sottorete?

Non è chiaro cosa stai chiedendo.

4.Quando configureresti una VLAN, specialmente se sono in grado di segmentare la mia rete usando le sottoreti?

Le VLAN sono semplicemente un modo per far apparire un dispositivo L2 come più dispositivi L2.

5. Continuo a riscontrare che le reti locali virtuali (VLAN) ci consentono di creare diverse reti logiche e fisiche; mentre la subnet IP ci consente semplicemente di creare reti logiche attraverso la stessa rete fisica. tuttavia non sono sicuro di cosa significhi esattamente quando legge la stessa rete fisica.

dbasnett
fonte
Quando dici che saranno nello stesso dominio di trasmissione di livello 2 e non nel dominio di trasmissione di livello 3, cosa significa esattamente?
PeanutsMonkey,
Significa che se viene trasmesso un pacchetto, con tutti quelli nel campo di destinazione MAC, sarà visto da tutti i dispositivi. Il dominio di trasmissione di livello 3 può essere tutti quelli dell'indirizzo IP o i numeri di rete sono uguali e la parte host dell'indirizzo è tutti quelli. Prima di passare alle VLAN è necessario comprendere le basi del Livello 2 e 3.
dbasnett,
Grazie. Potresti approfondire ulteriormente cosa intendi all ones? Ti riferisci a calcoli binari e bit per bit?
PeanutsMonkey
Sì, tutti quelli binari, mac = ffffffffffff per MAC e 255.255.255.255 per IP.
dbasnett,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.