Virtual LANs (VLANs) เป็นนามธรรมเพื่ออนุญาตให้เครือข่ายทางกายภาพเดียวจำลองการทำงานของเครือข่ายทางกายภาพหลายขนาน สิ่งนี้มีประโยชน์เพราะอาจมีสถานการณ์ที่คุณต้องการฟังก์ชั่นการทำงานของเครือข่ายทางกายภาพหลายขนาน แต่คุณไม่ต้องการใช้เงินในการซื้อฮาร์ดแวร์แบบขนาน ฉันจะพูดเกี่ยวกับ Ethernet VLAN ในคำตอบนี้ (แม้ว่าเทคโนโลยีระบบเครือข่ายอื่น ๆ สามารถรองรับ VLAN ได้) และฉันจะไม่ดำดิ่งลึกลงไปในทุกความแตกต่าง
ตัวอย่างที่ถูกลิดรอนและปัญหา
ตามตัวอย่างสถานการณ์สมมติที่จินตนาการมาอย่างแท้จริงให้จินตนาการว่าคุณเป็นเจ้าของอาคารสำนักงานที่คุณเช่ากับผู้เช่า เพื่อประโยชน์ของการเช่าผู้เช่าแต่ละคนจะได้รับแจ็คอีเทอร์เน็ตสดในแต่ละห้องของสำนักงาน คุณซื้อสวิตช์อีเธอร์เน็ตสำหรับแต่ละชั้นวางสายเข้ากับแจ็คในแต่ละสำนักงานบนชั้นนั้นและเชื่อมต่อสวิตช์ทั้งหมดเข้าด้วยกัน
เริ่มแรกคุณเช่าพื้นที่กับผู้เช่าสองคน - หนึ่งคนที่ชั้น 1 และอีกคนหนึ่งต่อ 2 ผู้เช่าแต่ละคนกำหนดค่าคอมพิวเตอร์ด้วยที่อยู่ IPv4 แบบคงที่ ผู้เช่าทั้งสองใช้เครือข่ายย่อย TCP / IP ที่แตกต่างกันและทุกอย่างดูเหมือนจะทำงานได้ดี
ต่อมาผู้เช่ารายใหม่เช่าครึ่งหนึ่งของชั้น 3 และเปิดตัวหนึ่งในเซิร์ฟเวอร์ DHCP ที่สร้างขึ้นใหม่เหล่านี้ เวลาผ่านไปและผู้เช่าชั้น 1 ตัดสินใจกระโดดขึ้นไปบน bandwagon DHCP ด้วย นี่คือจุดที่เมื่อสิ่งต่าง ๆ เริ่มผิดเพี้ยนไป ผู้เช่าชั้น 3 รายงานว่าคอมพิวเตอร์บางเครื่องได้รับที่อยู่ IP "ตลก" จากเครื่องที่ไม่ใช่เซิร์ฟเวอร์ DHCP ในไม่ช้าผู้เช่าชั้น 1 จะรายงานสิ่งเดียวกัน
DHCP เป็นโปรโตคอลที่ใช้ประโยชน์จากความสามารถในการออกอากาศของ Ethernet เพื่อให้คอมพิวเตอร์ไคลเอนต์ได้รับที่อยู่ IP แบบไดนามิก เนื่องจากผู้เช่าทั้งหมดแชร์เครือข่าย Ethernet จริงเดียวกันพวกเขาแบ่งปันโดเมนออกอากาศเดียวกัน แพ็คเก็ตออกอากาศที่ส่งจากคอมพิวเตอร์ทุกเครื่องในเครือข่ายจะทำให้พอร์ตสวิตช์ทั้งหมดส่งไปยังคอมพิวเตอร์เครื่องอื่นทุกเครื่อง เซิร์ฟเวอร์ DHCP ในชั้น 1 และ 3 จะได้รับคำขอทั้งหมดสำหรับสัญญาเช่าที่อยู่ IP และจะดวลเพื่อดูว่าใครสามารถตอบได้ก่อนใคร นี่ไม่ใช่พฤติกรรมที่คุณตั้งใจให้ผู้เช่าสัมผัส นี่เป็นพฤติกรรมแม้ว่าเครือข่ายอีเธอร์เน็ต "แบบแบน" ไม่มี VLAN ใด ๆ
ยิ่งไปกว่านั้นผู้เช่าที่อยู่บนชั้น 2 จะได้รับซอฟต์แวร์ "Wireshark" นี้และรายงานว่าในบางครั้งพวกเขาจะเห็นการจราจรที่ออกมาจากสวิตช์ที่อ้างถึงคอมพิวเตอร์และที่อยู่ IP ที่พวกเขาไม่เคยได้ยินมาก่อน พนักงานคนหนึ่งของพวกเขาพบว่าเขาสามารถสื่อสารกับคอมพิวเตอร์เครื่องอื่นได้โดยเปลี่ยนที่อยู่ IP ที่กำหนดให้กับพีซีของเขาจาก 192.168.1.38 เป็น 192.168.0.38! สมมุติว่าเขาอยู่ห่างออกไปเพียงไม่กี่ก้าวจากการแสดง "บริการบริหารระบบที่ไม่ได้รับอนุญาต" สำหรับผู้เช่ารายอื่น ไม่ดี.
โซลูชั่นที่เป็นไปได้
คุณต้องการทางออก! คุณสามารถดึงปลั๊กระหว่างพื้นและนั่นจะตัดการสื่อสารที่ไม่ต้องการทั้งหมด! ใช่ นั่นคือตั๋ว ...
สิ่งนี้อาจใช้ได้ยกเว้นคุณมีผู้เช่ารายใหม่ที่จะให้เช่าครึ่งหนึ่งของชั้นใต้ดินและครึ่งที่ว่างของชั้น 3 หากไม่มีการเชื่อมต่อระหว่างสวิตช์ชั้น 3 และสวิตช์ชั้นใต้ดินผู้เช่ารายใหม่จะไม่เป็น สามารถรับการสื่อสารระหว่างคอมพิวเตอร์ของพวกเขาที่จะกระจายไปทั่วทั้งสองชั้น การดึงปลั๊กไม่ใช่คำตอบ ยิ่งไปกว่านั้นผู้เช่ารายใหม่กำลังนำเซิร์ฟเวอร์ DHCP เหล่านี้มาให้อีกหนึ่งตัว!
คุณเจ้าชู้กับความคิดในการซื้อชุดสวิตช์อีเธอร์เน็ตแยกทางกายภาพสำหรับผู้เช่าแต่ละราย แต่เมื่อคุณเห็นว่าอาคารของคุณมี 30 ชั้นใด ๆ ซึ่งสามารถแบ่งย่อยได้มากถึง 4 วิธีหนูที่ซ่อนอยู่ของสายเคเบิลจากพื้นถึงพื้น สวิตช์อีเธอร์เน็ตแบบขนานจำนวนมากอาจเป็นฝันร้ายไม่ต้องพูดถึงราคาแพง หากมีวิธีเดียวที่จะทำให้เครือข่ายอีเทอร์เน็ตแบบฟิสิคัลเดียวทำหน้าที่เหมือนเป็นเครือข่ายอีเทอร์เน็ตแบบฟิสิคัลจำนวนมากแต่ละเครือข่ายจะมีโดเมนการออกอากาศของตนเอง
VLANs เพื่อช่วยเหลือ
VLANs เป็นคำตอบของปัญหาที่ยุ่งเหยิงนี้ VLAN อนุญาตให้คุณแบ่งสวิตช์อีเธอร์เน็ตลงในสวิตช์อีเทอร์เน็ตเสมือนที่ต่างกันอย่างมีเหตุผล สิ่งนี้ช่วยให้สวิตช์อีเธอร์เน็ตเดียวทำหน้าที่เสมือนเป็นสวิตช์อีเทอร์เน็ตแบบฟิสิคัลหลายตัว ตัวอย่างเช่นในกรณีของชั้นย่อยของคุณ 3 คุณสามารถกำหนดค่า 48 พอร์ตสวิตช์ของคุณซึ่งพอร์ตต่ำกว่า 24 อยู่ใน VLAN ที่กำหนด (ซึ่งเราจะเรียก VLAN 12) และพอร์ต 24 สูงกว่าอยู่ใน VLAN ที่กำหนด ( ซึ่งเราจะเรียก VLAN 13) เมื่อคุณสร้าง VLAN บนสวิตช์ของคุณคุณจะต้องกำหนดชื่อหรือหมายเลข VLAN ให้พวกเขา ตัวเลขที่ฉันใช้ที่นี่ส่วนใหญ่จะเป็นแบบสุ่มดังนั้นไม่ต้องกังวลกับตัวเลขที่ฉันเลือก
เมื่อคุณแบ่งสวิตช์ 3 ชั้นเป็น VLAN 12 และ 13 แล้วคุณจะพบว่าผู้เช่าชั้น 3 ใหม่สามารถเชื่อมต่อเซิร์ฟเวอร์ DHCP ของพวกเขากับหนึ่งในพอร์ตที่กำหนดให้กับ VLAN 13 และพีซีเสียบเข้ากับพอร์ตที่กำหนดให้ VLAN 12 ไม่ได้ ' ไม่ได้รับที่อยู่ IP จากเซิร์ฟเวอร์ DHCP ใหม่ ยอดเยี่ยม! แก้ไขปัญหา!
โอ้รอ ... เราจะนำข้อมูล VLAN 13 นั้นไปสู่ห้องใต้ดินได้อย่างไร
การสื่อสาร VLAN ระหว่างสวิตช์
ผู้เช่าครึ่งชั้น 3 และครึ่งชั้นใต้ดินของคุณต้องการเชื่อมต่อคอมพิวเตอร์ในห้องใต้ดินกับเซิร์ฟเวอร์ที่ชั้น 3 คุณสามารถเรียกใช้สายเคเบิลโดยตรงจากพอร์ตใดพอร์ตหนึ่งที่กำหนดให้กับ VLAN ของพวกเขาในชั้น 3 สลับไปที่ชั้นใต้ดินและชีวิต จะดีไหม
ในยุคแรก ๆ ของ VLAN (มาตรฐานก่อน 802.1Q) คุณอาจทำเช่นนั้น สวิตช์ชั้นใต้ดินทั้งหมดจะเป็นส่วนหนึ่งของ VLAN 13 (VLAN ที่คุณเลือกที่จะกำหนดให้กับผู้เช่ารายใหม่บนชั้น 3 และชั้นใต้ดิน) เนื่องจากสวิตช์ชั้นใต้ดินนั้นจะ "ป้อน" โดยพอร์ตบนชั้น 3 ที่ได้รับมอบหมาย ถึง VLAN 13
วิธีแก้ปัญหานี้จะทำงานจนกว่าคุณจะเช่าอีกครึ่งหนึ่งของชั้นใต้ดินไปที่ชั้น 1 ของคุณผู้เช่าที่ต้องการสื่อสารระหว่างคอมพิวเตอร์ชั้น 1 และชั้นใต้ดิน คุณสามารถแยกสวิตช์ชั้นใต้ดินโดยใช้ VLANs (เป็น, พูด, VLANS 2 และ 13) และเรียกใช้สายเคเบิลจากชั้น 1 ถึงพอร์ตที่กำหนดให้ VLAN 2 ในห้องใต้ดิน แต่คุณควรตัดสินว่าจะเป็นรังของหนูได้อย่างรวดเร็ว สายเคเบิล (และจะแย่ลงเรื่อย ๆ ) การแยกสวิตช์โดยใช้ VLAN นั้นดี แต่การเรียกใช้สายเคเบิลจำนวนมากจากสวิตช์อื่น ๆ ไปยังพอร์ตซึ่งเป็นสมาชิกของ VLAN ที่แตกต่างกันนั้นดูยุ่งเหยิง ไม่ต้องสงสัยถ้าคุณต้องแบ่งสวิตช์ใต้ดิน 4 วิธีระหว่างผู้เช่าที่มีพื้นที่บนชั้นสูงคุณจะใช้ 4 พอร์ตบนสวิตช์ใต้ดินเพื่อยุติสาย "ตัวป้อน" จาก VLAN ชั้นบน
เป็นที่ชัดเจนแล้วว่าวิธีการทั่วไปบางประเภทในการเคลื่อนย้ายทราฟฟิกจาก VLAN หลาย ๆ ตัวระหว่างสวิตช์บนสายเคเบิลเป็นสิ่งจำเป็น เพียงเพิ่มสายเคเบิลเพิ่มเติมระหว่างสวิตช์เพื่อรองรับการเชื่อมต่อระหว่าง VLAN ที่แตกต่างกันไม่ใช่กลยุทธ์ที่ปรับขนาดได้ ในที่สุดเมื่อมี VLAN มากพอคุณจะกินพอร์ตทั้งหมดบนสวิตช์ของคุณด้วยการเชื่อมต่อ inter-VLAN / inter-switch เหล่านี้ สิ่งที่ต้องการคือวิธีการส่งแพ็คเก็ตจาก VLAN หลาย ๆ ตัวพร้อมการเชื่อมต่อเดียว - การเชื่อมต่อ "ลำต้น" ระหว่างสวิตช์
จนถึงจุดนี้สวิตช์พอร์ตทั้งหมดที่เราพูดถึงจะเรียกว่าพอร์ต "เข้าถึง" นั่นคือพอร์ตเหล่านี้มีไว้สำหรับการเข้าถึง VLAN เดียว อุปกรณ์ที่ต่อเข้ากับพอร์ตเหล่านี้ไม่มีการกำหนดค่าพิเศษด้วยตนเอง อุปกรณ์เหล่านี้ไม่ "รู้" ว่ามี VLAN ใด ๆ อยู่ เฟรมอุปกรณ์ไคลเอนต์ที่ส่งจะถูกส่งไปยังสวิตช์ซึ่งดูแลให้แน่ใจว่าเฟรมนั้นถูกส่งไปยังพอร์ตที่กำหนดให้เป็นสมาชิกของ VLAN ที่กำหนดให้กับพอร์ตที่เฟรมเข้าสู่สวิตช์เท่านั้น หากเฟรมเข้าสู่สวิตช์บนพอร์ตที่กำหนดให้เป็นสมาชิกของ VLAN 12 สวิตช์จะส่งเฟรมนั้นออกจากพอร์ตที่เป็นสมาชิกของ VLAN 12 สวิตช์ "รู้" หมายเลข VLAN ที่กำหนดให้กับพอร์ตที่ได้รับ เฟรมและอย่างใดรู้ว่าจะส่งเฟรมนี้ออกพอร์ตของ VLAN เดียวกัน
หากมีวิธีใดที่สวิตช์ในการแบ่งปันหมายเลข VLAN ที่เกี่ยวข้องกับเฟรมที่กำหนดให้กับสวิตช์อื่น ๆ สวิตช์อื่น ๆ สามารถจัดการการส่งเฟรมนั้นไปยังพอร์ตปลายทางที่เหมาะสมเท่านั้น นี่คือสิ่งที่ 802.1Q VLAN ติดแท็กโปรโตคอล (เป็นที่น่าสังเกตว่าก่อนหน้า 802.1Q ผู้ขายบางรายได้สร้างมาตรฐานของตัวเองสำหรับการติดแท็ก VLAN และการเชื่อมต่อระหว่างสวิตช์ส่วนใหญ่ส่วนใหญ่วิธีการมาตรฐานก่อนหน้านี้ทั้งหมดถูกแทนที่ด้วย 802.1Q)
เมื่อคุณมีสวิตช์ที่รู้จัก VLAN สองตัวเชื่อมต่อกันและคุณต้องการให้สวิตช์เหล่านั้นส่งเฟรมระหว่างกันไปยัง VLAN ที่เหมาะสมคุณเชื่อมต่อสวิตช์เหล่านั้นโดยใช้พอร์ต "ลำตัว" สิ่งนี้เกี่ยวข้องกับการเปลี่ยนการกำหนดค่าของพอร์ตในแต่ละสวิตช์จากโหมด "การเข้าถึง" เป็นโหมด "ลำตัว" (ในการกำหนดค่าพื้นฐานมาก)
เมื่อพอร์ตถูกกำหนดค่าในโหมด trunk แต่ละเฟรมที่สวิตช์ส่งพอร์ตนั้นจะมี "แท็ก VLAN" รวมอยู่ในเฟรม "แท็ก VLAN" นี้ไม่ได้เป็นส่วนหนึ่งของเฟรมดั้งเดิมที่ลูกค้าส่ง แต่แท็กนี้จะถูกเพิ่มโดยสวิตช์การส่งก่อนที่จะส่งเฟรมออกจากพอร์ตลำต้น แท็กนี้แสดงถึงหมายเลข VLAN ที่เชื่อมโยงกับพอร์ตที่เฟรมกำเนิดขึ้น
สวิตช์รับสามารถดูที่แท็กเพื่อกำหนดว่า VLAN เฟรมใดที่มาจากและตามข้อมูลนั้นส่งต่อเฟรมออกเฉพาะพอร์ตที่ถูกกำหนดให้กับ VLAN ต้นทาง เนื่องจากอุปกรณ์ที่เชื่อมต่อกับพอร์ต "เข้าถึง" ไม่ทราบว่ากำลังใช้งาน VLAN อยู่ข้อมูล "แท็ก" จะต้องถูกแยกออกจากเฟรมก่อนที่จะส่งพอร์ตที่กำหนดค่าในโหมดการเข้าถึง การดึงข้อมูลแท็กนี้ทำให้กระบวนการเชื่อมต่อ VLAN ทั้งหมดถูกซ่อนจากอุปกรณ์ไคลเอ็นต์เนื่องจากเฟรมที่ได้รับจะไม่แสดงข้อมูลแท็ก VLAN ใด ๆ
ก่อนที่คุณจะกำหนดค่า VLANs ในชีวิตจริงฉันขอแนะนำให้กำหนดค่าพอร์ตสำหรับโหมด trunk ในสวิตช์ทดสอบและตรวจสอบปริมาณข้อมูลที่ส่งออกจากพอร์ตนั้นโดยใช้ Sniffer (เช่น Wireshark) คุณสามารถสร้างทราฟฟิกตัวอย่างจากคอมพิวเตอร์เครื่องอื่นต่อเข้ากับพอร์ตการเข้าถึงและดูว่าเฟรมที่ทิ้งพอร์ต trunk จะมีขนาดใหญ่กว่าเฟรมที่ส่งโดยคอมพิวเตอร์ทดสอบของคุณ คุณจะเห็นข้อมูลแท็ก VLAN ในเฟรมใน Wireshark ฉันพบว่ามันมีค่าจริงที่จะเห็นสิ่งที่เกิดขึ้นในนักดมกลิ่น การอ่านมาตรฐานการแท็ก 802.1Q เป็นสิ่งที่ดีที่จะทำในจุดนี้ (โดยเฉพาะเมื่อฉันไม่ได้พูดถึงสิ่งต่าง ๆ เช่น "native VLANs" หรือการติดแท็กสองครั้ง)
การกำหนดค่า VLAN ฝันร้ายและการแก้ไข
เมื่อคุณเช่าพื้นที่ในอาคารของคุณมากขึ้นจำนวน VLAN ก็เพิ่มขึ้น ทุกครั้งที่คุณเพิ่ม VLAN ใหม่คุณจะพบว่าคุณต้องเข้าสู่ระบบเพื่อสวิตช์อีเธอร์เน็ตที่มากขึ้นและเพิ่ม VLAN นั้นลงในรายการ จะดีหรือไม่หากมีวิธีการบางอย่างที่คุณสามารถเพิ่ม VLAN นั้นลงในรายการการกำหนดค่าเดียวและให้มันเติมการกำหนดค่า VLAN ของแต่ละสวิตช์โดยอัตโนมัติได้หรือไม่
โปรโตคอลเช่น "VLAN Trunking Protocol" (VTP) ที่เป็นกรรมสิทธิ์ของซิสโก้หรือ "หลาย VLAN Registration Protocol" ตามมาตรฐาน (MVRP - GVRP ที่สะกดก่อนหน้านี้) ทำหน้าที่นี้ ในเครือข่ายที่ใช้โปรโตคอลเหล่านี้การสร้าง VLAN เดียวหรือผลลัพธ์การลบในข้อความโปรโตคอลจะถูกส่งไปยังสวิตช์ทั้งหมดในเครือข่าย ข้อความโปรโตคอลนั้นสื่อสารการเปลี่ยนแปลงในการกำหนดค่า VLAN ไปยังสวิตช์ที่เหลือซึ่งในทางกลับกันจะแก้ไขการกำหนดค่า VLAN ของพวกเขา VTP และ MVRP ไม่ได้กังวลว่าพอร์ตใดที่ได้รับการกำหนดค่าให้เป็นพอร์ตการเข้าถึงสำหรับ VLAN ที่เฉพาะเจาะจง แต่มีประโยชน์ในการสื่อสารการสร้างหรือลบ VLANs ไปยังสวิตช์ทั้งหมด
เมื่อคุณคุ้นเคยกับ VLAN แล้วคุณอาจต้องการกลับไปอ่านเกี่ยวกับ "การตัดแต่ง VLAN" ซึ่งเกี่ยวข้องกับโปรโตคอลเช่น VTP และ MVRP สำหรับตอนนี้ก็ไม่มีอะไรจะต้องกังวลอย่างมากกับ ( บทความ VTP ใน Wikipediaมีไดอะแกรมที่ดีซึ่งอธิบายการตัดแต่ง VLAN และประโยชน์ที่ได้รับ)
คุณใช้ VLAN เมื่อใดในชีวิตจริง
ก่อนที่เราจะไปไกลกว่านี้เป็นเรื่องสำคัญที่คุณจะต้องคิดถึงชีวิตจริงแทนที่จะเป็นแบบอย่าง แทนการทำซ้ำข้อความของคำตอบอื่นที่นี่ผมจะแนะนำให้ท่านไปที่คำตอบใหม่ของฉัน: เมื่อมีการสร้าง VLANs มันไม่จำเป็นว่า "ระดับเริ่มต้น" แต่มันก็คุ้มค่าที่จะดูตั้งแต่ตอนนี้เพราะฉันจะทำการอ้างอิงสั้น ๆ ก่อนที่จะย้ายกลับไปเป็นตัวอย่างที่วางแผนไว้
สำหรับฝูงชน "tl; dr" (ผู้ที่หยุดอ่านเมื่อมาถึงจุดนี้) ส่วนสำคัญของลิงค์ด้านบนคือ: สร้าง VLANs เพื่อทำให้โดเมนออกอากาศเล็กลงหรือเมื่อคุณต้องการแยกการรับส่งข้อมูลด้วยเหตุผลบางประการ (ความปลอดภัย นโยบาย ฯลฯ ) ไม่มีเหตุผลที่ดีอื่นใดที่จะใช้ VLANs
ในตัวอย่างของเราเราใช้ VLAN เพื่อ จำกัด โดเมนการออกอากาศ (เพื่อให้โปรโตคอลอย่าง DHCP ทำงานได้อย่างถูกต้อง) และอันดับที่สองเนื่องจากเราต้องการแยกระหว่างเครือข่ายผู้เช่าต่างๆ
อีกครั้งนอกเหนือ: IP Subnets และ VLANs
โดยทั่วไปการพูดจะมีความสัมพันธ์แบบหนึ่งต่อหนึ่งระหว่าง VLANs และ IP subnets เป็นเรื่องของความสะดวกสบายเพื่อความสะดวกในการแยกและเพราะ ARP โปรโตคอลทำงานอย่างไร
อย่างที่เราเห็นในตอนต้นของคำตอบนี้เราสามารถใช้ซับเน็ตย่อย IP ที่แตกต่างกันสองตัวบนอีเทอร์เน็ตฟิสิคัลเดียวกันโดยไม่มีปัญหา หากคุณใช้ VLAN เพื่อย่อขนาดโดเมนออกอากาศคุณจะไม่ต้องการแบ่งปัน VLAN เดียวกันกับเครือข่ายย่อย IP ที่แตกต่างกันสองรายการเนื่องจากคุณจะรวม ARP และปริมาณการออกอากาศอื่น ๆ
หากคุณใช้ VLAN เพื่อแยกทราฟฟิกเพื่อเหตุผลด้านความปลอดภัยหรือนโยบายคุณอาจไม่ต้องการรวมหลายซับเน็ตใน VLAN เดียวกันเนื่องจากคุณจะต้องเอาชนะจุดประสงค์ของการแยก
IP ใช้โปรโตคอลการออกอากาศตาม Address Address Protocol (ARP) เพื่อจับคู่ที่อยู่ IP กับที่อยู่ทางกายภาพ (Ethernet MAC) เนื่องจาก ARP กระจายเสียงตามการกำหนดส่วนต่าง ๆ ของ IP subnet เดียวกันให้กับ VLANs ที่แตกต่างกันจะมีปัญหาเนื่องจากโฮสต์ใน VLAN หนึ่งจะไม่สามารถรับการตอบกลับ ARP จากโฮสต์ใน VLAN อื่นเนื่องจากการกระจายไม่ได้ถูกส่งต่อระหว่าง VLANs คุณสามารถแก้ไข "ปัญหา" นี้ได้โดยใช้ proxy-ARP แต่ในท้ายที่สุดถ้าคุณไม่มีเหตุผลที่ดีที่จะต้องแยกซับเน็ต IP ออกจาก VLAN หลาย ๆ ตัวมันก็ไม่ควรทำเช่นนั้น
One Last Aside: VLANs และความปลอดภัย
ในที่สุดมันก็เป็นที่น่าสังเกตว่า VLANs ไม่ใช่อุปกรณ์ความปลอดภัยที่ยอดเยี่ยม สวิตช์อีเธอร์เน็ตจำนวนมากมีข้อบกพร่องที่อนุญาตให้เฟรมที่มีต้นกำเนิดจาก VLAN หนึ่งถูกส่งออกพอร์ตที่กำหนดให้กับ VLAN อื่น ผู้ผลิตสวิตช์ของอีเธอร์เน็ตได้ทำงานอย่างหนักเพื่อแก้ไขข้อบกพร่องเหล่านี้ แต่เป็นที่น่าสงสัยว่าจะมีการใช้งานโดยไม่มีข้อบกพร่องอย่างสมบูรณ์
ในกรณีของตัวอย่างที่เราวางแผนไว้พนักงานชั้น 2 ที่อยู่ห่างจากการให้บริการ "บริการ" การบริหารระบบฟรีไปยังผู้เช่ารายอื่นอาจหยุดการทำเช่นนั้นโดยแยกการรับส่งข้อมูลของเขาเป็น VLAN เขาอาจจะคิดหาวิธีใช้ประโยชน์จากบั๊กในสวิตช์เฟิร์มแวร์เพื่อให้ทราฟฟิกของเขา "รั่วไหล" ไปยัง VLAN ของผู้เช่ารายอื่นได้เช่นกัน
ผู้ให้บริการ Metro Ethernet กำลังพึ่งพาฟังก์ชั่นการแท็ก VLAN มากขึ้นเรื่อย ๆ และการแยกที่สวิตช์ให้ มันไม่ยุติธรรมที่จะบอกว่าไม่มีการรักษาความปลอดภัยให้โดยใช้ VLANs มันยุติธรรมที่จะพูดว่าในสถานการณ์ที่มีการเชื่อมต่ออินเทอร์เน็ตที่ไม่น่าเชื่อถือหรือเครือข่าย DMZ มันอาจจะดีกว่าที่จะใช้สวิตช์แยกทางกายภาพเพื่อดำเนินการจราจร "ใจจดใจจ่อ" มากกว่า VLANs บนสวิตช์ที่ดำเนินการไว้วางใจของคุณ
นำเลเยอร์ 3 ลงในรูปภาพ
จนถึงทุกสิ่งที่คำตอบนี้ได้พูดถึงเกี่ยวข้องกับเลเยอร์เฟรม 2- อีเทอร์เน็ต จะเกิดอะไรขึ้นถ้าเราเริ่มนำเลเยอร์ 3 เข้ามาในนี้
ลองย้อนกลับไปดูตัวอย่างสิ่งปลูกสร้างที่วางแผนไว้ คุณได้ยอมรับ VLANs เลือกที่จะกำหนดค่าพอร์ตของผู้เช่าแต่ละคนในฐานะสมาชิกของ VLAN แยกกัน คุณได้กำหนดค่าพอร์ตของลำต้นซึ่งสวิตช์ของแต่ละชั้นสามารถแลกเปลี่ยนเฟรมที่ติดแท็กด้วยหมายเลข VLAN ดั้งเดิมเป็นสวิตช์บนพื้นด้านบนและด้านล่าง ผู้เช่ารายหนึ่งสามารถให้คอมพิวเตอร์แพร่กระจายไปทั่วหลายชั้น แต่เนื่องจากทักษะการกำหนดค่า VLAN ที่เชี่ยวชาญของคุณคอมพิวเตอร์ที่มีการกระจายทางกายภาพเหล่านี้ทั้งหมดจึงดูเหมือนเป็นส่วนหนึ่งของ LAN ทางกายภาพเดียวกัน
คุณเต็มไปด้วยความสำเร็จด้านไอทีที่คุณตัดสินใจเริ่มเสนอการเชื่อมต่ออินเทอร์เน็ตกับผู้เช่าของคุณ คุณซื้อท่ออินเทอร์เน็ตที่มีไขมันและเราเตอร์ คุณลอยความคิดไปยังผู้เช่าทั้งหมดของคุณและพวกเขาสองคนซื้อทันที โชคดีสำหรับคุณเราเตอร์ของคุณมีพอร์ต Ethernet สามพอร์ต คุณเชื่อมต่อหนึ่งพอร์ตไปยังท่ออินเทอร์เน็ตไขมันของคุณพอร์ตอื่นไปยังพอร์ตสวิตช์ที่กำหนดไว้สำหรับการเข้าถึง VLAN ของผู้เช่ารายแรกและอีกพอร์ตหนึ่งที่ได้รับมอบหมายให้เข้าถึง VLAN ของผู้เช่ารายที่สอง คุณกำหนดค่าพอร์ตของเราเตอร์ของคุณด้วยที่อยู่ IP ในเครือข่ายของผู้เช่าแต่ละรายและผู้เช่าเริ่มเข้าถึงอินเทอร์เน็ตผ่านบริการของคุณ! รายได้เพิ่มขึ้นและคุณมีความสุข
อย่างไรก็ตามในไม่ช้าผู้เช่ารายอื่นตัดสินใจที่จะเข้าสู่การให้บริการอินเทอร์เน็ตของคุณ แม้ว่าคุณจะออกจากพอร์ตบนเราเตอร์ของคุณก็ตาม จะทำอย่างไร?
โชคดีที่คุณซื้อเราเตอร์ที่รองรับการตั้งค่า "virtual sub-interfaces" บนพอร์ต Ethernet ในระยะสั้นฟังก์ชั่นนี้ช่วยให้เราเตอร์สามารถรับและตีความเฟรมที่ติดแท็กด้วยหมายเลข VLAN ดั้งเดิมและมีอินเทอร์เฟซเสมือน (นั่นคือไม่ใช่ทางกายภาพ) ที่กำหนดค่าด้วยที่อยู่ IP ที่เหมาะสมสำหรับแต่ละ VLAN ที่มันจะสื่อสารด้วย ในกรณีนี้อนุญาตให้คุณ "มัลติเพล็กซ์" พอร์ตอีเธอร์เน็ตเดียวบนเราเตอร์ซึ่งดูเหมือนว่าจะทำงานเป็นพอร์ตอีเทอร์เน็ตฟิสิคัลหลายพอร์ต
คุณเชื่อมต่อเราเตอร์ของคุณกับพอร์ต trunk บนสวิตช์ตัวใดตัวหนึ่งของคุณและกำหนดค่าอินเทอร์เฟซย่อยเสมือนที่สอดคล้องกับรูปแบบการกำหนด IP ของผู้เช่าแต่ละราย แต่ละอินเตอร์เฟสย่อยเสมือนถูกกำหนดค่าด้วยหมายเลข VLAN ที่กำหนดให้กับลูกค้าแต่ละราย เมื่อเฟรมออกจากพอร์ต trunk บนสวิตช์ที่ถูกผูกไว้กับเราเตอร์มันจะพกพาแท็กที่มีหมายเลข VLAN ต้นทาง (เนื่องจากเป็นพอร์ต trunk) เราเตอร์จะแปลแท็กนี้และรักษาแพ็คเก็ตราวกับว่ามันมาถึงในส่วนต่อประสานทางกายภาพเฉพาะที่สอดคล้องกับ VLAN นั้น ในทำนองเดียวกันเมื่อเราเตอร์ส่งเฟรมไปยังสวิตช์เพื่อตอบสนองต่อคำขอมันจะเพิ่มแท็ก VLAN ไปยังเฟรมเพื่อให้สวิตช์รู้ว่า VLAN ควรตอบสนองเฟรมใด ผลคุณได้กำหนดค่าเราเตอร์ให้ "ปรากฏ"
เราเตอร์บนแท่งและสวิตช์เลเยอร์ 3
การใช้อินเทอร์เฟซย่อยเสมือนคุณสามารถขายการเชื่อมต่ออินเทอร์เน็ตให้กับผู้เช่าทุกคนได้โดยไม่ต้องซื้อเราเตอร์ที่มีอีเธอร์เน็ต 25+ อินเตอร์เฟส คุณมีความสุขมากกับความสำเร็จด้านไอทีของคุณดังนั้นคุณจะตอบสนองเชิงบวกเมื่อผู้เช่าสองคนของคุณมาหาคุณพร้อมคำขอใหม่
ผู้เช่าเหล่านี้ได้เลือกที่จะ "หุ้นส่วน" ในโครงการและพวกเขาต้องการอนุญาตให้เข้าถึงจากคอมพิวเตอร์ไคลเอนต์ในสำนักงานของผู้เช่ารายหนึ่ง (หนึ่งให้ VLAN) ไปยังเซิร์ฟเวอร์คอมพิวเตอร์ในสำนักงานของผู้เช่ารายอื่น (VLAN อื่น) เนื่องจากทั้งคู่เป็นลูกค้าของบริการอินเทอร์เน็ตของคุณการเปลี่ยนแปลง ACL อย่างง่ายในคอร์เราเตอร์อินเทอร์เน็ตหลักของคุณ (ซึ่งมีอินเทอร์เฟซย่อยเสมือนที่กำหนดค่าไว้สำหรับ VLANs ของผู้เช่าแต่ละราย) เพื่ออนุญาตการรับส่งข้อมูลระหว่าง VLAN เช่นเดียวกับอินเทอร์เน็ตจาก VLAN ของพวกเขา คุณทำการเปลี่ยนแปลงและส่งผู้เช่าในทางของพวกเขา
ในวันถัดไปคุณจะได้รับการร้องเรียนจากผู้เช่าทั้งสองที่เข้าถึงระหว่างคอมพิวเตอร์ไคลเอนต์ในสำนักงานแห่งหนึ่งไปยังเซิร์ฟเวอร์ในสำนักงานแห่งที่สองนั้นช้ามาก ทั้งเซิร์ฟเวอร์และคอมพิวเตอร์ไคลเอนต์มีการเชื่อมต่อกิกะบิตอีเธอร์เน็ตไปยังสวิตช์ของคุณ แต่ไฟล์ถ่ายโอนเฉพาะที่ประมาณ 45Mbps ซึ่งโดยบังเอิญประมาณครึ่งหนึ่งของความเร็วที่เราเตอร์หลักของคุณเชื่อมต่อกับสวิตช์ เห็นได้ชัดว่าทราฟฟิกที่ไหลจากแหล่ง VLAN ไปยังเราเตอร์และกลับออกจากเราเตอร์ไปยังปลายทาง VLAN กำลังถูกติดขัดโดยการเชื่อมต่อของเราเตอร์ไปยังสวิตช์
สิ่งที่คุณทำกับเราเตอร์หลักของคุณทำให้เส้นทางการรับส่งข้อมูลระหว่าง VLAN นั้นเป็นที่รู้จักกันทั่วไปว่าเป็น "เราเตอร์บนแท่ง" (เป็นถ้อยคำที่แปลกประหลาดอย่างน่าประหลาด) กลยุทธ์นี้ใช้งานได้ดี แต่ทราฟฟิกสามารถไหลระหว่าง VLAN จนถึงความจุของการเชื่อมต่อของเราเตอร์กับสวิตช์ ถ้าอย่างใดเราเตอร์อาจเชื่อมต่อกับ "ความกล้า" ของสวิตช์อีเธอร์เน็ตเองก็สามารถกำหนดเส้นทางการจราจรได้เร็วขึ้น (เนื่องจากสวิตช์อีเธอร์เน็ตเองตามแผ่นข้อมูลจำเพาะของผู้ผลิตสามารถสลับการรับส่งข้อมูลได้มากกว่า 2Gbps)
"สวิตช์เลเยอร์ 3" เป็นสวิตช์อีเทอร์เน็ตที่มีการพูดถึงเหตุผลประกอบด้วยเราเตอร์ที่ฝังอยู่ภายใน ฉันคิดว่ามันมีประโยชน์อย่างมากในการนึกถึงสวิตช์เลเยอร์ 3 เนื่องจากมีเราเตอร์ขนาดเล็กและรวดเร็วซ่อนอยู่ในสวิตช์ นอกจากนี้ฉันขอแนะนำให้คุณคิดถึงฟังก์ชั่นการเราต์เป็นฟังก์ชั่นที่แยกจากฟังก์ชั่นการสลับอีเธอร์เน็ตที่สวิตช์เลเยอร์ 3 จัดเตรียมไว้ให้ เลเยอร์สวิทช์ 3 สำหรับอุปกรณ์และอุปกรณ์ทุกอย่างรวมอยู่ในแชสซีเดียว
เราเตอร์แบบฝังตัวในสวิตช์เลเยอร์ 3 เชื่อมต่อกับสวิตชิ่งภายในของสวิตช์ด้วยความเร็วที่โดยทั่วไปอนุญาตให้มีการกำหนดเส้นทางของแพ็กเก็ตระหว่าง VLAN ที่หรือใกล้ความเร็วลวด เสมือนกับอินเทอร์เฟซย่อยเสมือนที่คุณตั้งค่าไว้ที่ "เราเตอร์สติ๊ก" เราเตอร์ที่ฝังอยู่ภายในสวิตช์เลเยอร์ 3 นี้สามารถกำหนดค่าด้วยอินเตอร์เฟสเสมือนที่ "ปรากฏ" เป็น "การเชื่อมต่อ" การเข้าถึง "ในแต่ละ VLAN แทนที่จะเรียกว่าอินเตอร์เฟสย่อยเสมือนการเชื่อมต่อโลจิคัลเหล่านี้จาก VLANs ไปยังเราเตอร์ที่ฝังอยู่ภายในสวิตช์เลเยอร์ 3 เรียกว่า Switch Virtual Interfaces (SVIs) ผลที่ได้คือเราเตอร์ที่ฝังอยู่ภายในสวิตช์เลเยอร์ 3 มี "พอร์ตเสมือน" จำนวนหนึ่งที่สามารถ "เสียบเข้า" กับ VLANs ใดก็ได้บนสวิตช์
เราเตอร์แบบฝังตัวทำงานในลักษณะเดียวกับเราเตอร์ทางกายภาพยกเว้นว่าโดยทั่วไปจะไม่มีคุณสมบัติการกำหนดเส้นทางแบบไดนามิกหรือรายการควบคุมการเข้าถึง (ACL) แบบเดียวกับเราเตอร์ทางกายภาพ (เว้นแต่ว่าคุณซื้อเลเยอร์ที่ดีจริงๆ 3 สวิตซ์). เราเตอร์แบบฝังตัวมีข้อได้เปรียบ แต่มีความรวดเร็วและไม่มีคอขวดที่เชื่อมโยงกับพอร์ตสวิตช์จริงที่เสียบเข้ามา
ในกรณีตัวอย่างของเราที่นี่กับผู้เช่า "พันธมิตร" คุณอาจเลือกที่จะรับสวิตช์เลเยอร์ 3, เสียบเข้ากับช่องรับส่งสัญญาณเพื่อให้ทราฟฟิกจากลูกค้าทั้งสอง VLAN มาถึงแล้วตั้งค่า SVIs ด้วยที่อยู่ IP และสมาชิก VLAN "ปรากฏ" ในลูกค้าทั้งสอง VLAN เมื่อคุณทำเสร็จแล้วมันเป็นเพียงเรื่องของการปรับแต่งตารางเส้นทางบนเราเตอร์หลักของคุณและเราเตอร์แบบฝังในสวิตช์เลเยอร์ 3 เพื่อให้ทราฟฟิกไหลระหว่าง VLAN ของผู้เช่าถูกกำหนดเส้นทางโดยเราเตอร์ที่ฝังอยู่ภายในสวิตช์ชั้น 3 "เราเตอร์สติ๊ก"
การใช้สวิตช์เลเยอร์ 3 ไม่ได้หมายความว่าจะไม่มีคอขวดที่เชื่อมโยงกับแบนด์วิดท์ของพอร์ต trunk ที่เชื่อมต่อสวิตช์ของคุณ นี่เป็นความกังวลมุมฉากของผู้ที่อยู่ VLAN VLAN ไม่เกี่ยวกับปัญหาแบนด์วิดท์ โดยทั่วไปแล้วปัญหาเกี่ยวกับแบนด์วิดท์จะได้รับการแก้ไขโดยการได้รับการเชื่อมต่อระหว่างสวิตช์ความเร็วสูงหรือใช้โปรโตคอลการรวมลิงก์เพื่อ "เชื่อม" การเชื่อมต่อความเร็วต่ำหลาย ๆ ตัวเข้าด้วยกันในการเชื่อมต่อความเร็วสูงเสมือน นอกจากอุปกรณ์ทั้งหมดที่สร้างเฟรมที่จะกำหนดเส้นทางโดยเราเตอร์ที่ฝังอยู่ภายในสวิตช์ 3 ในภายหลังตัวเองเสียบเข้ากับพอร์ตโดยตรงบนสวิตช์เลเยอร์ 3 คุณยังคงต้องกังวลเกี่ยวกับแบนด์วิดธ์ของลำต้นระหว่างสวิตช์ สวิตช์เลเยอร์ 3 ไม่ใช่ยาครอบจักรวาล แต่โดยทั่วไปแล้วจะเร็วกว่า "
Dynamic VLANs
สุดท้ายมีฟังก์ชั่นในสวิตช์บางตัวเพื่อให้การเป็นสมาชิก VLAN แบบไดนามิก แทนที่จะกำหนดพอร์ตที่กำหนดให้เป็นพอร์ตการเข้าถึงสำหรับ VLAN ที่กำหนดการกำหนดค่าของพอร์ต (การเข้าถึงหรือลำตัวและ VLANs ใดที่) สามารถเปลี่ยนแปลงได้แบบไดนามิกเมื่ออุปกรณ์เชื่อมต่อ Dynamic VLANs เป็นหัวข้อขั้นสูงยิ่งขึ้น แต่การรู้ว่าการทำงานที่มีอยู่จะมีประโยชน์
ฟังก์ชันการทำงานจะแตกต่างกันไปตามผู้จำหน่าย แต่โดยทั่วไปคุณสามารถกำหนดค่าความเป็นสมาชิก VLAN แบบไดนามิกตามที่อยู่ MAC ของอุปกรณ์ที่เชื่อมต่อสถานะการตรวจสอบความถูกต้อง 802.1X ของอุปกรณ์โปรโตคอลที่เป็นกรรมสิทธิ์และตามมาตรฐาน (CDP และ LLDP เป็นต้น) "ค้นพบ" หมายเลข VLAN สำหรับทราฟฟิกเสียง), IP ซับเน็ตที่กำหนดให้กับอุปกรณ์ไคลเอนต์หรือประเภทโปรโตคอลอีเธอร์เน็ต