Каковы основные варианты использования VLAN?
Каковы основные принципы дизайна?
Я ищу что-то вроде ответа в виде резюме из двух абзацев, чтобы определить, нужно ли мне узнавать о VLAN для их реализации.
VLAN (виртуальная локальная сеть) - это способ создания нескольких виртуальных коммутаторов внутри одного физического коммутатора. Так, например, порты, настроенные для использования VLAN 10, действуют так, как будто они подключены к одному и тому же коммутатору. Порты в VLAN 20 не могут напрямую взаимодействовать с портами в VLAN 10. Они должны маршрутизироваться между двумя (или иметь канал, который соединяет две VLAN).
Есть много причин для внедрения VLAN. Как правило, наименьшей из этих причин является размер сети. Я перечислю несколько причин, а затем открою каждую.
Безопасность: безопасность сама по себе не достигается созданием VLAN; однако то, как вы подключаете эту VLAN к другим подсетям, может позволить вам фильтровать / блокировать доступ к этой подсети. Например, если у вас есть офисное здание с 50 компьютерами и 5 серверами, вы можете создать VLAN для сервера и VLAN для компьютеров. Чтобы компьютеры могли взаимодействовать с серверами, вы могли бы использовать брандмауэр для маршрутизации и фильтрации этого трафика. Это позволит вам затем применять IPS / IDS, ACL и т.д. для связи между серверами и компьютерами.
Использование ссылки: (Правка) Я не могу поверить, что я пропустил это в первый раз. Мозг пердеть, я думаю. Использование канала является еще одной важной причиной для использования VLAN. Связующее дерево по функциям создает единый путь в сети уровня 2 для предотвращения петель (О, боже!). Если у вас есть несколько избыточных ссылок на агрегирующие устройства, некоторые из этих ссылок не будут использоваться. Чтобы обойти это, вы можете создать несколько топологий STP с разными VLAN. Это достигается с помощью проприетарных PVST, RPVST или MST, основанных на стандартах Cisco. Это позволяет вам иметь несколько типологий STP, с которыми вы можете играть, чтобы использовать ранее не использованные ссылки. Например, если бы у меня было 50 настольных компьютеров, я мог бы разместить 25 из них в VLAN 10 и 25 из них в VLAN 20. Тогда я мог бы иметь VLAN 10 на «левой» стороне сети, а оставшиеся 25 в VLAN 20 - на «Правая» сторона сети.
Разделение сервиса: Это довольно просто. Если у вас есть IP-камеры безопасности, IP-телефоны и настольные компьютеры, подключенные к одному и тому же коммутатору, может быть проще разделить эти службы в их собственной подсети. Это также позволит вам применять маркировку QOS к этим услугам на основе VLAN вместо некоторой услуги более высокого уровня (например, NBAR). Вы также можете применить списки ACL к устройству, выполняющему маршрутизацию L3, чтобы предотвратить связь между VLAN, которая может быть нежелательной. Например, я могу запретить доступ к рабочим столам телефонов / камер безопасности напрямую.
Изоляция службы: если у вас есть пара коммутаторов TOR в одной стойке с несколькими хостами VMWare и SAN, вы можете создать виртуальную локальную сеть iSCSI, которая остается не маршрутизированной. Это позволит вам иметь полностью изолированную сеть iSCSI, чтобы никакое другое устройство не могло попытаться получить доступ к SAN или нарушить связь между хостами и SAN. Это просто один из примеров изоляции сервисов.
Размер подсети. Как указывалось ранее, если один сайт становится слишком большим, вы можете разбить этот сайт на различные VLAN, что уменьшит количество хостов, которые видят необходимость обрабатывать каждую трансляцию.
Конечно, есть и другие способы использования VLAN (я могу вспомнить несколько, которые я использую специально в качестве интернет-провайдера), но я считаю, что они являются наиболее распространенными и должны дать вам хорошее представление о том, как / почему мы их используем. Существуют также частные VLAN, которые имеют особые варианты использования и о которых стоит упомянуть здесь.
Поскольку сети становятся все больше и больше, масштабируемость становится проблемой. Для связи каждое устройство должно отправлять широковещательные сообщения, которые отправляются всем устройствам в широковещательном домене. Чем больше устройств добавлено в широковещательный домен, тем больше широковещательных передач начинает насыщать сеть. В этот момент возникают многочисленные проблемы, в том числе насыщение полосы пропускания широковещательным трафиком, увеличение обработки на каждом устройстве (загрузка ЦП) и даже проблемы безопасности. Разделение этого большого широковещательного домена на более мелкие широковещательные домены становится все более необходимым.
Введите VLAN.
Виртуальная локальная сеть или виртуальная локальная сеть виртуально создает отдельные широковещательные домены, что устраняет необходимость в создании совершенно отдельных аппаратных локальных сетей для решения проблемы большого широковещательного домена. Вместо этого коммутатор может содержать множество сетей VLAN, каждая из которых действует как отдельный автономный широковещательный домен. Фактически, две VLAN не могут взаимодействовать друг с другом без вмешательства устройства уровня 3, такого как маршрутизатор, что и является целью переключения уровня 3.
Таким образом, сети VLAN на самом базовом уровне сегментируют большие широковещательные домены на более мелкие, более управляемые широковещательные домены для повышения масштабируемости в постоянно расширяющейся сети.
VLAN - это логические сети, созданные в физической сети. Их основное назначение - обеспечить изоляцию, часто в качестве средства уменьшения размера широковещательного домена в сети, но их можно использовать для ряда других целей.
Это инструмент, с которым должен быть знаком любой сетевой инженер, и, как и любой инструмент, их можно использовать неправильно и / или в неподходящее время. Ни один инструмент не является правильным во всех сетях и ситуациях, поэтому, чем больше инструментов вы сможете использовать, тем лучше вы сможете работать в большем количестве сред. Знание большего о VLAN позволяет вам использовать их, когда они вам нужны, и использовать их правильно, когда вы это делаете.
Один из примеров того, как их можно использовать, в настоящее время я работаю в среде, где устройства SCADA (диспетчерское управление и сбор данных) широко используются. SCADA-устройства, как правило, довольно просты и имеют долгую историю разработки программного обеспечения, не имеющего звёзд, что часто приводит к серьезным уязвимостям безопасности.
Мы установили устройства SCADA в отдельную VLAN без шлюза L3. Единственный доступ к их логической сети осуществляется через сервер, с которым они общаются (который имеет два интерфейса, один в VLAN SCADA), который может быть защищен собственной защитой на основе хоста, что невозможно на устройствах SCADA. Устройства SCADA изолированы от остальной части сети, даже если они подключены к одним и тем же физическим устройствам, поэтому любая уязвимость уменьшается.
С точки зрения принципов проектирования, наиболее распространенной реализацией является приведение ваших VLAN в соответствие с вашей организационной структурой, т.е. инженеры в одной VLAN, маркетинг в другой, IP-телефоны в другой и т. Д. Другие варианты включают использование VLAN в качестве «транспорта» отдельной сети. функционирует на одном (или более) ядрах. На некоторых устройствах также возможно завершение VLAN уровня 3 («SVI» на языке Cisco, «VE» в Brocade и т. Д.), Что устраняет необходимость в отдельном оборудовании для связи между VLAN, когда это применимо.
Виртуальные локальные сети становятся громоздкими для управления и обслуживания в масштабе, как вы, вероятно, видели случаи уже в NESE. В сфере поставщиков услуг есть PB (Bridging Provider Bridging - обычно известный как "QinQ", двойная метка, сложенная метка и т. Д.), PBB (Backbone Bridging Provider - "MAC-in-MAC") и PBB-TE, которые были разработан для того, чтобы уменьшить количество доступных идентификаторов VLAN. PBB-TE больше нацелен на устранение необходимости динамического обучения, затопления и связующего дерева. В качестве идентификатора VLAN в C-TAG / S-TAG доступно только 12 бит (зарезервированы 0x000 и 0xFFF), отсюда и ограничение 4,094.
VPLS или PBB могут использоваться для устранения традиционных масштабных потолков, связанных с PB.
Основной случай использования для сетей VLAN почти точно так же , как основной вариант использования для сегментации сети в нескольких широковещательных доменов по линии передачи данных. Ключевое отличие состоит в том, что для физической локальной сети вам необходимо по крайней мере одно устройство (обычно коммутатор) для каждого широковещательного домена, тогда как для виртуальной локальной сети широковещательное членство определяется по портам и может быть реконфигурировано без добавления или замена оборудования.
Для базовых приложений примените те же принципы проектирования для сетей VLAN, что и для сетей PLAN. Для этого вам необходимо знать три концепции:
Первоначальное использование vlan заключалось в ограничении зоны вещания в сети. Трансляции ограничены их собственным VLAN. Позже была добавлена дополнительная функциональность. Однако имейте в виду, что vlan являются уровнем 2, например, в коммутаторах Cisco. Вы можете добавить уровень 2, назначив IP-адрес для порта на коммутаторе, но это не обязательно.
дополнительный функционал:
Если я могу предложить еще одну информацию, которая может помочь.
Чтобы понять VLAN, вы также должны понимать две ключевые концепции.
-Подключение - при условии, что вы хотите, чтобы различные устройства могли общаться друг с другом (например, с серверами и клиентами), каждой VLAN должна быть назначена IP-подсеть. Это SVI, упомянутый выше. Это позволяет начать маршрутизацию между VLAN.
Маршрутизация. После создания каждой VLAN, подсети, назначенной клиентам в каждой VLAN, и SVI, созданного для каждой VLAN, необходимо включить маршрутизацию. Маршрутизация может быть очень простой настройкой со статическим маршрутом по умолчанию к Интернету и сетевыми операторами EIGRP или OSPF для каждой из подсетей.
Как только вы видите, как все складывается вместе, это на самом деле довольно элегантно.