คำอธิบายระดับเบื้องต้นของ VLAN

กรณีการใช้งานพื้นฐานสำหรับ VLAN คืออะไร

หลักการออกแบบพื้นฐานคืออะไร?

ฉันกำลังมองหาคำตอบแบบสรุปผู้บริหารสองย่อหน้าเพื่อให้ฉันสามารถตรวจสอบได้ว่าฉันต้องเรียนรู้เกี่ยวกับ VLAN เพื่อนำไปใช้หรือไม่

VLAN (Virtual LAN) เป็นวิธีการสร้างสวิตช์เสมือนหลายตัวภายในสวิตช์ทางกายภาพเดียว ดังนั้นสำหรับอินสแตนซ์พอร์ตที่กำหนดค่าให้ใช้ VLAN 10 ทำหน้าที่ราวกับว่าพวกมันเชื่อมต่อกับสวิตช์เดียวกัน พอร์ตใน VLAN 20 ไม่สามารถพูดคุยกับพอร์ตใน VLAN 10 ได้โดยตรงพวกเขาจะต้องถูกกำหนดเส้นทางระหว่างสอง (หรือมีลิงก์ที่เชื่อมโยงสอง VLANs)

มีเหตุผลมากมายในการติดตั้ง VLANs โดยทั่วไปเหตุผลเหล่านี้อย่างน้อยที่สุดก็คือขนาดของเครือข่าย ฉันจะแสดงรายการเหตุผลสองสามข้อแล้วแยกแต่ละอันเปิด

• ความปลอดภัย
• การใช้ลิงก์
• การแยกบริการ
• บริการแยก
• ขนาดซับเน็ต

ความปลอดภัย: การ รักษาความปลอดภัยไม่ได้เกิดจากการสร้าง VLAN อย่างไรก็ตามวิธีที่คุณเชื่อมต่อ VLAN กับเครือข่ายย่อยอื่น ๆ จะช่วยให้คุณสามารถกรอง / บล็อกการเข้าถึงเครือข่ายย่อยนั้นได้ ตัวอย่างเช่นถ้าคุณมีอาคารสำนักงานที่มีคอมพิวเตอร์ 50 เครื่องและเซิร์ฟเวอร์ 5 เครื่องคุณสามารถสร้าง VLAN สำหรับเซิร์ฟเวอร์และ VLAN สำหรับคอมพิวเตอร์ได้ สำหรับคอมพิวเตอร์ที่จะสื่อสารกับเซิร์ฟเวอร์คุณสามารถใช้ไฟร์วอลล์เพื่อกำหนดเส้นทางและกรองการรับส่งข้อมูล นี่จะช่วยให้คุณสามารถใช้ IPS / IDS, ACLs, Etc เพื่อการเชื่อมต่อระหว่างเซิร์ฟเวอร์และคอมพิวเตอร์

การใช้ลิงก์: (แก้ไข) ฉันไม่อยากจะเชื่อเลยว่านี่เป็นครั้งแรก สมองผายลมฉันเดา การใช้ประโยชน์จากลิงค์เป็นอีกเหตุผลสำคัญที่ใช้ VLAN การขยายต้นไม้โดยฟังก์ชันสร้างเส้นทางเดียวผ่านเครือข่ายเลเยอร์ 2 ของคุณเพื่อป้องกันการวนซ้ำ (โอ้ฉัน!) หากคุณมีลิงก์ซ้ำซ้อนหลายลิงก์ไปยังอุปกรณ์รวมของคุณลิงก์เหล่านี้บางส่วนจะไม่ถูกใช้งาน ในการหลีกเลี่ยงปัญหานี้คุณสามารถสร้างโทโพโลยี STP หลายอันด้วย VLANs ที่แตกต่างกัน สิ่งนี้สามารถทำได้โดยใช้ Cisco กรรมสิทธิ์ PVST, RPVST หรือ MST ที่เป็นมาตรฐาน สิ่งนี้ช่วยให้คุณมีประเภทของ STP หลายแบบที่คุณสามารถเล่นด้วยเพื่อใช้ลิงค์ที่ไม่ได้ใช้ก่อนหน้านี้ ตัวอย่างเช่นถ้าฉันมี 50 เดสก์ท็อปฉันสามารถวาง 25 ของพวกเขาใน VLAN 10 และ 25 ของพวกเขาใน VLAN 20 จากนั้นฉันจะให้ VLAN 10 ใช้ด้านซ้าย "ของเครือข่ายและ 25 ที่เหลือใน VLAN 20 จะใช้ ด้าน "ขวา" ของเครือข่าย

การแยกบริการ: อันนี้ค่อนข้างตรงไปตรงมา หากคุณมีกล้องรักษาความปลอดภัย IP, โทรศัพท์ IP และเดสก์ท็อปทั้งหมดที่เชื่อมต่อกับสวิตช์เดียวกันอาจง่ายกว่าที่จะแยกบริการเหล่านี้ออกเป็นเครือข่ายย่อยของตนเอง สิ่งนี้จะช่วยให้คุณสามารถใช้เครื่องหมาย QOS กับบริการเหล่านี้ตาม VLAN แทนบริการเลเยอร์ที่สูงขึ้น (Ex: NBAR) คุณยังสามารถใช้ ACL บนอุปกรณ์ที่มีการกำหนดเส้นทาง L3 เพื่อป้องกันการสื่อสารระหว่าง VLAN ที่อาจไม่ต้องการ เช่นฉันสามารถป้องกันไม่ให้เดสก์ท็อปเข้าถึงโทรศัพท์ / กล้องรักษาความปลอดภัยโดยตรง

การแยกบริการ: ถ้าคุณมีสวิตช์ TOR หนึ่งคู่ในชั้นวางเดียวที่มีโฮสต์ VMWare สองสามตัวและ SAN คุณสามารถสร้าง iSCSI VLAN ที่ยังคงไม่ได้รับการมอบหมาย สิ่งนี้จะช่วยให้คุณมีเครือข่าย iSCSI ที่แยกได้ทั้งหมดเพื่อไม่ให้อุปกรณ์อื่นสามารถเข้าถึง SAN หรือขัดขวางการสื่อสารระหว่างโฮสต์และ SAN นี่เป็นเพียงตัวอย่างหนึ่งของการแยกบริการ

ขนาดซับเน็ต: ตามที่ระบุไว้ก่อนหน้าถ้าไซต์เดียวมีขนาดใหญ่เกินไปคุณสามารถแบ่งไซต์นั้นออกเป็น VLAN ต่างๆซึ่งจะลดจำนวนโฮสต์ที่เห็นจำเป็นต้องประมวลผลการออกอากาศแต่ละรายการ

มีวิธีอีกมากมายที่ VLAN นั้นมีประโยชน์ (ฉันสามารถคิดได้หลายอย่างที่ฉันใช้เป็นผู้ให้บริการอินเทอร์เน็ตโดยเฉพาะ) แต่ฉันรู้สึกว่าสิ่งเหล่านี้เป็นสิ่งที่พบได้บ่อยที่สุดและควรให้ความคิดที่ดีเกี่ยวกับวิธีการ / ทำไม นอกจากนี้ยังมี Private VLANs ที่มีเคสการใช้งานเฉพาะและคุ้มค่าที่จะกล่าวถึงที่นี่

เมื่อเครือข่ายขยายใหญ่ขึ้นเรื่อย ๆ การขยายขีดความสามารถก็จะกลายเป็นปัญหา ในการสื่อสารอุปกรณ์ทุกเครื่องจำเป็นต้องส่งการออกอากาศซึ่งจะถูกส่งไปยังอุปกรณ์ทั้งหมดในโดเมนการออกอากาศ เมื่อมีการเพิ่มอุปกรณ์เพิ่มเติมในโดเมนการออกอากาศการเผยแพร่เพิ่มเติมจะเริ่มอิ่มตัวเครือข่าย ณ จุดนี้มีหลายประเด็นที่คืบคลานเข้ามารวมถึงความอิ่มตัวของแบนด์วิดธ์ที่มีทราฟฟิกออกอากาศเพิ่มการประมวลผลในแต่ละอุปกรณ์ (การใช้งาน CPU) และปัญหาความปลอดภัย การแยกโดเมนบรอดคาสต์ขนาดใหญ่นี้ออกเป็นโดเมนบรอดคาสต์ขนาดเล็กนั้นมีความจำเป็นมากขึ้นเรื่อย ๆ

ป้อน VLAN

VLAN หรือ Virtual LAN สร้างการออกอากาศโดเมนแยกกันแทบไม่จำเป็นต้องสร้าง LAN ฮาร์ดแวร์ที่แยกจากกันอย่างสมบูรณ์เพื่อเอาชนะปัญหาการออกอากาศโดเมนขนาดใหญ่ สวิตช์สามารถมี VLAN ได้จำนวนมากโดยแต่ละสวิตช์ทำหน้าที่เป็นโดเมนการออกอากาศที่แยกต่างหากและเป็นอิสระ ในความเป็นจริง VLAN สองตัวไม่สามารถสื่อสารกันได้โดยปราศจากการแทรกแซงของอุปกรณ์เลเยอร์ 3 เช่นเราเตอร์ซึ่งเป็นสิ่งที่เลเยอร์ 3 การสลับเป็นเรื่องเกี่ยวกับ

โดยสรุป VLANs ในระดับพื้นฐานที่สุดแบ่งโดเมนการออกอากาศขนาดใหญ่เป็นโดเมนการออกอากาศที่เล็กกว่าและจัดการได้มากขึ้นเพื่อเพิ่มความสามารถในการขยายขีดความสามารถในเครือข่ายที่มีการขยายตัวของคุณ

VLANs เป็นเครือข่ายโลจิคัลที่สร้างขึ้นภายในเครือข่ายทางกายภาพ การใช้งานหลักของพวกเขาคือให้แยกมักจะเป็นวิธีการลดขนาดของโดเมนออกอากาศภายในเครือข่าย แต่พวกเขาสามารถใช้สำหรับวัตถุประสงค์อื่น ๆ

พวกเขาเป็นเครื่องมือที่วิศวกรเครือข่ายควรคุ้นเคยและเหมือนกับเครื่องมือใด ๆ พวกเขาสามารถใช้งานไม่ถูกต้องและ / หรือในเวลาที่ผิด ไม่มีเครื่องมือเดียวที่ถูกต้องในทุกเครือข่ายและทุกสถานการณ์ดังนั้นยิ่งคุณสามารถใช้เครื่องมือได้มากเท่าไหร่คุณก็ยิ่งทำงานได้ดีขึ้นในสภาพแวดล้อมที่มากขึ้นเท่านั้น รู้เพิ่มเติมเกี่ยวกับ VLANs ช่วยให้คุณใช้เมื่อคุณต้องการและใช้อย่างถูกต้องเมื่อคุณทำ

ตัวอย่างหนึ่งของวิธีที่พวกเขาสามารถนำมาใช้ฉันกำลังทำงานในสภาพแวดล้อมที่อุปกรณ์ SCADA (การควบคุมดูแลและการเก็บข้อมูล) มีการใช้กันอย่างแพร่หลาย โดยทั่วไปอุปกรณ์ SCADA นั้นค่อนข้างง่ายและมีประวัติยาวนานน้อยกว่าการพัฒนาซอฟต์แวร์ที่เป็นตัวเอกซึ่งมักจะให้ช่องโหว่ด้านความปลอดภัยที่สำคัญ

เราได้ตั้งค่าอุปกรณ์ SCADA ไว้ใน VLAN แยกกันโดยไม่มีเกตเวย์ L3 การเข้าถึงเครือข่ายแบบลอจิคัลของพวกเขาเพียงอย่างเดียวคือผ่านเซิร์ฟเวอร์ที่พวกเขาสื่อสารด้วย (ซึ่งมีสองอินเตอร์เฟสหนึ่งใน SCADA VLAN) ซึ่งสามารถรักษาความปลอดภัยด้วยการรักษาความปลอดภัยตามโฮสต์ของตัวเอง อุปกรณ์ SCADA ถูกแยกออกจากเครือข่ายที่เหลือแม้ในขณะที่เชื่อมต่อกับอุปกรณ์ทางกายภาพเดียวกันดังนั้นช่องโหว่ใด ๆ ก็จะถูกลดลง

ในแง่ของหลักการออกแบบการใช้งานที่พบบ่อยที่สุดคือการจัดเรียง VLAN ของคุณกับโครงสร้างองค์กรของคุณเช่นกลุ่มวิศวกรรมในหนึ่ง VLAN, การตลาดในอีก, โทรศัพท์ IP ในอีก ฯลฯ การออกแบบอื่น ๆ รวมถึงการใช้ VLAN เป็น "ขนส่ง" ของเครือข่ายแยก ฟังก์ชันข้ามหนึ่งแกน (หรือมากกว่า) การยกเลิกเลเยอร์ 3 ของ VLANs ('SVI' ใน Cisco parlance, 'VE' ใน Brocade และอื่น ๆ ) ก็เป็นไปได้ในอุปกรณ์บางชนิดซึ่งไม่จำเป็นต้องใช้ฮาร์ดแวร์แยกชิ้นเพื่อทำการสื่อสารระหว่าง VLAN เมื่อมีการใช้งาน

VLAN กลายเป็นเรื่องยุ่งยากในการจัดการและบำรุงรักษาในระดับที่คุณอาจเคยเห็นกรณีของ NESE แล้ว ในขอบเขตของผู้ให้บริการจะมี PB (Provider Bridging - รู้จักกันในชื่อ "QinQ", การติดแท็กสองครั้ง, แท็กแบบเรียงซ้อน, ฯลฯ ), PBB (Provider Backbone Bridging - "MAC-in-MAC") และ PBB-TE ออกแบบมาเพื่อพยายามลดข้อ จำกัด ของจำนวน VLAN ID ที่มีอยู่ PBB-TE มีจุดมุ่งหมายมากขึ้นในการขจัดความจำเป็นในการเรียนรู้แบบไดนามิกน้ำท่วมและต้นไม้ทอด มีเพียง 12 บิตสำหรับใช้เป็น VLAN ID ใน C-TAG / S-TAG (สงวนไว้สำหรับ 0x000 และ 0xFFF) ซึ่งเป็นที่มาของข้อ จำกัด 4,094

VPLS หรือ PBB สามารถใช้เพื่อกำจัดเพดานการปรับขนาดดั้งเดิมที่เกี่ยวข้องกับ PB

กรณีการใช้งานขั้นพื้นฐานสำหรับ VLANs เกือบตรงเช่นเดียวกับกรณีการใช้งานขั้นพื้นฐานสำหรับการแบ่งส่วนของเครือข่ายเป็นข้อมูลที่เชื่อมโยงหลายโดเมนออกอากาศ ความแตกต่างที่สำคัญคือด้วยLAN แบบฟิสิคัลคุณต้องมีอุปกรณ์อย่างน้อยหนึ่งตัว (โดยทั่วไปจะเป็นสวิตช์) สำหรับแต่ละโดเมนการออกอากาศในขณะที่การเป็นสมาชิกโดเมน LAN แบบออกอากาศเสมือนนั้นถูกกำหนดบนพื้นฐานแบบพอร์ตต่อพอร์ตและสามารถกำหนดค่าใหม่ได้ เปลี่ยนฮาร์ดแวร์

สำหรับแอปพลิเคชันขั้นพื้นฐานให้ใช้หลักการออกแบบเดียวกันกับ VLAN เช่นเดียวกับที่คุณทำกับ PLANs แนวคิดสามประการที่คุณต้องรู้ในการดำเนินการคือ

1. Trunking - ลิงก์ใด ๆ ที่มีเฟรมที่เป็นของ VLAN มากกว่าหนึ่งอันคือลำต้นเชื่อมต่อ โดยทั่วไปลิงก์แบบเปลี่ยนเป็นสวิตช์และสลับไปยังเราเตอร์มีการกำหนดค่าให้เป็นเส้นทางเชื่อมต่อ
2. การติดแท็ก - เมื่อทำการส่งสัญญาณไปยังช่องเชื่อมต่ออุปกรณ์จะต้องติดแท็กแต่ละเฟรมด้วย VLAN ID ที่เป็นตัวเลขเพื่อให้อุปกรณ์ที่รับสามารถ จำกัด ขอบเขตไปยังโดเมนการออกอากาศที่ถูกต้อง โดยทั่วไปพอร์ตโฮสต์หันติดแท็กในขณะที่สวิทช์หันหน้าและพอร์ตเราเตอร์หันหน้าไปทางที่มีการติดแท็ก แท็กเป็นส่วนเพิ่มเติมของ encapsulation เชื่อมโยงข้อมูล
3. Virtual Interfaces - บนอุปกรณ์ที่มีอินเตอร์เฟสการเชื่อมต่อ trunk หนึ่งหรือมากกว่านั้นก็มักจะจำเป็นต้องแนบในความรู้สึกตรรกะอุปกรณ์เป็นสถานีเชื่อมโยงไปยัง VLAN หนึ่งหรือมากกว่าหนึ่งของแต่ละบุคคลที่มีอยู่ในลำต้น นี่คือความจริงโดยเฉพาะอย่างยิ่งของเราเตอร์ การเชื่อมโยงโลจิคัลลิงก์นี้ถูกจำลองเป็นอินเตอร์เฟสเสมือนที่ทำหน้าที่เป็นพอร์ตที่เชื่อมต่อกับโดเมนบรอดคาสต์เดี่ยวที่เชื่อมโยงกับ VLAN ที่กำหนดไว้

การใช้งานดั้งเดิมของ vlan คือการ จำกัด พื้นที่ออกอากาศในเครือข่าย การออกอากาศจะ จำกัด เฉพาะ vlan ของตัวเอง เพิ่ม funtionality เพิ่มเติมในภายหลัง อย่างไรก็ตามโปรดทราบว่า vlan นั้นเป็นเลเยอร์ 2 ในตัวอย่างของสวิตช์ cisco คุณสามารถเพิ่มเลเยอร์ 2 โดยการกำหนดที่อยู่ IP ให้กับพอร์ตบนสวิตช์ แต่ไม่จำเป็น

ฟังก์ชั่นเพิ่มเติม:

• เดินสายไฟ: ใช้หลาย vlan ผ่านการเชื่อมต่อทางกายภาพเดียว (เช่นการเชื่อมต่อ 2 สวิตช์หนึ่งการเชื่อมโยงทางกายภาพดีพอที่จะมีการเชื่อมต่อสำหรับ vlan ทั้งหมดแยก vlan โดยการติดแท็กดูที่: dot1Q สำหรับ cisco)
• ความปลอดภัย
• ง่ายต่อการจัดการ (เช่นการปิดเครื่องบน vlan จะไม่ส่งผลต่อการเชื่อมต่อของ vlan อื่น ๆ ... )
• ...

หากฉันอาจเสนอข้อมูลอีกหนึ่งชิ้นซึ่งอาจช่วยได้

เพื่อให้เข้าใจถึง VLAN คุณต้องเข้าใจแนวคิดหลักสองประการ

-Subnetting - สมมติว่าคุณต้องการให้อุปกรณ์ต่าง ๆ สามารถพูดคุยกันได้ (เช่นเซิร์ฟเวอร์และไคลเอนต์) แต่ละ VLAN จะต้องกำหนด IP ซับเน็ต นี่คือ SVI ที่กล่าวถึงข้างต้น ที่ช่วยให้คุณเริ่มเส้นทางระหว่าง vlans

-Routing - เมื่อคุณสร้างแต่ละ VLAN ซับเน็ตที่กำหนดให้กับไคลเอนต์ในแต่ละ VLAN และ SVI ที่สร้างขึ้นสำหรับแต่ละ VLAN คุณจะต้องเปิดใช้งานการกำหนดเส้นทาง การกำหนดเส้นทางอาจเป็นการตั้งค่าที่ง่ายมากโดยมีเส้นทางเริ่มต้นที่คงที่ไปยังอินเทอร์เน็ตและคำสั่งเครือข่าย EIGRP หรือ OSPF สำหรับแต่ละเครือข่ายย่อย

เมื่อคุณเห็นว่ามันมารวมกันเป็นอย่างไรมันก็ค่อนข้างสง่างาม