Pregunta ¿Cómo funcionan las VLAN?


¿Qué son las VLAN? ¿Qué problemas resuelven?

Estoy ayudando a un amigo a aprender sobre redes básicas, ya que se ha convertido en el único administrador de sistemas en una pequeña empresa. Lo he estado señalando a varias preguntas / respuestas en Serverfault relacionadas con varios temas de redes, y he notado una brecha: no parece haber una respuesta que explique desde los primeros principios qué son las VLAN. En el espíritu de Cómo funciona la división en subredes, Pensé que sería útil tener una pregunta con una respuesta canónica aquí.

Algunos temas potenciales para cubrir en una respuesta:

  • ¿Qué son las VLAN?
  • ¿Qué problemas tenían la intención de resolver?
  • ¿Cómo funcionaron las cosas antes de las VLAN?
  • ¿Cómo se relacionan las VLAN con las subredes?
  • ¿Qué son las SVI?
  • ¿Qué son los puertos troncales y los puertos de acceso?
  • ¿Qué es VTP?

EDITAR: para ser claro, ya sé cómo funcionan las VLAN. Creo que Serverfault debería tener una respuesta que cubra estas preguntas. Si el tiempo lo permite, también enviaré mi propia respuesta.


115
2017-10-06 23:17


origen


tal vez otra pregunta: ¿Cuáles son las diferencias entre VLAN estáticas y dinámicas? ¿Cuáles son las formas de gestionarlos? Y un extra: ¿Cuáles son los estándares que rigen la interoperabilidad de VLAN entre proveedores? - Hubert Kario
Al igual que moth to flam, llegué y agregué mis 4,000 palabras ... (Supongo que puedo vivir con una wiki comunitaria ... Supongo que realmente no necesito la reputación ...> sonreír <) - Evan Anderson
@Evan: Esperaba que aparecieras. Sin embargo, debo admitir que podría haber hecho un poco más de repeticiones antes de pasar esto a CW. :) - Murali Suriar


Respuestas:


Las LAN virtuales (VLAN) son una abstracción para permitir que una sola red física emule la funcionalidad de múltiples redes físicas paralelas. Esto es útil porque puede haber situaciones en las que necesite la funcionalidad de varias redes físicas paralelas, pero prefiere no gastar el dinero en la compra de hardware paralelo. Hablaré sobre las VLAN de Ethernet en esta respuesta (aunque otras tecnologías de red pueden ser compatibles con las VLAN) y no profundizaré en todos los matices.

Un ejemplo acertado y un problema

Como ejemplo de ejemplo puramente artificial, imagine que posee un edificio de oficinas que arrienda a los inquilinos. Como beneficio del contrato de arrendamiento, cada inquilino obtendrá tomas Ethernet en vivo en cada habitación de la oficina. Usted compra un conmutador Ethernet para cada piso, los conecta a las tomas de cada oficina en ese piso y cablea todos los conmutadores juntos.

Inicialmente, otorga espacio a dos inquilinos diferentes: uno en el piso 1 y otro en 2. Cada uno de estos inquilinos configura sus computadoras con direcciones IPv4 estáticas. Ambos inquilinos usan subredes TCP / IP diferentes y todo parece funcionar bien.

Más tarde, un nuevo inquilino alquila la mitad del piso 3 y abre uno de estos nuevos servidores DHCP. El tiempo pasa y el inquilino del primer piso decide subirse al carro DHCP, también. Este es el punto cuando las cosas empiezan a ir mal. Los inquilinos del piso 3 informan que algunas de sus computadoras están recibiendo direcciones IP "divertidas" de una máquina que no es su servidor DHCP. Pronto, los inquilinos del piso 1 informan lo mismo.

DHCP es un protocolo que aprovecha la capacidad de transmisión de Ethernet para permitir que las computadoras cliente obtengan direcciones IP de forma dinámica. Dado que todos los inquilinos comparten la misma red física de Ethernet, comparten el mismo dominio de difusión. Un paquete de difusión enviado desde cualquier computadora en la red desbordará todos los puertos del switch a cualquier otra computadora. Los servidores DHCP en los pisos 1 y 3 recibirán todas las solicitudes de arrendamientos de direcciones IP y, efectivamente, se enfrentarán en duelo para ver quién puede responder primero. Claramente, este no es el comportamiento que desea que experimenten sus inquilinos. Este es el comportamiento, sin embargo, de una red Ethernet "plana" sin ninguna VLAN.

Peor aún, un inquilino en el piso 2 adquiere este software "Wireshark" e informa que, de vez en cuando, ven tráfico proveniente de su conmutador que hace referencia a computadoras y direcciones IP de las que nunca han oído hablar. ¡Uno de sus empleados incluso se ha dado cuenta de que puede comunicarse con estas otras computadoras cambiando la dirección IP asignada a su PC de 192.168.1.38 a 192.168.0.38! Presumiblemente, se encuentra a pocos pasos de realizar "servicios de administración de sistemas pro bono no autorizados" para uno de los otros inquilinos. No está bien.

Soluciones potenciales

¡Necesitas una solución! ¡Podrías tirar de los enchufes entre los pisos y eso cortaría toda comunicación no deseada! ¡Sí! Ese es el boleto ...

Aquello podría funcionar, excepto que tiene un nuevo inquilino que alquilará la mitad del sótano y la mitad desocupada del piso 3. Si no hay una conexión entre el interruptor del piso 3 y el interruptor del sótano, el nuevo inquilino no podrá comunicarse entre Sus computadoras se repartirán por sus dos pisos. Tirar de los tapones no es la respuesta. Peor aún, el nuevo inquilino está trayendo todavía otro ¡Uno de estos servidores DHCP!

Coquetea con la idea de comprar conjuntos de conmutadores Ethernet físicamente separados para cada inquilino, pero viendo que su edificio tiene 30 pisos, cualquiera de los cuales puede subdividirse en 4 formas, las ratas potenciales se unen a los cables de piso a piso entre Un gran número de conmutadores Ethernet paralelos podría ser una pesadilla, por no mencionar caro. Si solo hubiera una manera de hacer que una sola red física de Ethernet actuara como si fuera múltiples redes físicas de Ethernet, cada una con su propio dominio de transmisión.

VLAN al rescate

Las VLAN son una respuesta a este problema desordenado. Las VLAN le permiten subdividir un conmutador Ethernet en conmutadores Ethernet virtuales lógicamente dispares. Esto permite que un solo conmutador Ethernet actúe como si fueran múltiples conmutadores Ethernet físicos. En el caso de su planta 3 subdividida, por ejemplo, puede configurar su conmutador de 48 puertos de manera que los 24 puertos inferiores estén en una VLAN determinada (a la que llamaremos VLAN 12) y los 24 puertos superiores estén en una VLAN determinada ( que llamaremos VLAN 13). Cuando cree las VLAN en su conmutador, tendrá que asignarles algún tipo de nombre o número de VLAN. Los números que estoy usando aquí son en su mayoría arbitrarios, así que no te preocupes por qué números específicos elijo.

Una vez que haya dividido el conmutador del piso 3 en las VLAN 12 y 13, encontrará que el nuevo arrendatario del piso 3 puede conectar su servidor DHCP a uno de los puertos asignados a la VLAN 13 y una PC conectada a un puerto asignado a la VLAN 12 no puede t obtener una dirección IP del nuevo servidor DHCP. ¡Excelente! ¡Problema resuelto!

Oh, espera ... ¿cómo conseguimos que los datos de la VLAN 13 bajen al sótano?

Comunicación VLAN Entre Switches

Su inquilino de medio piso 3 y medio sótano quisiera conectar las computadoras en el sótano a sus servidores en el piso 3. Puede conectar un cable directamente desde uno de los puertos asignados a su VLAN en el piso 3. seria bueno verdad

En los primeros días de las VLAN (estándar pre-802.1Q) puede hacer precisamente eso. La totalidad del interruptor del sótano sería, efectivamente, parte de la VLAN 13 (la VLAN que ha optado por asignar al nuevo inquilino en el piso 3 y el sótano) porque ese interruptor del sótano sería "alimentado" por un puerto en el piso 3 que está asignado a la VLAN 13.

Esta solución funcionaría hasta que usted alquile la otra mitad del sótano a su inquilino del piso 1 que también quiera tener comunicación entre sus computadoras del primer piso y del sótano. Podría dividir el interruptor del sótano utilizando VLAN (en, por ejemplo, VLAN 2 y 13) y conectar un cable desde el piso 1 a un puerto asignado a la VLAN 2 en el sótano, pero es mejor que le diga que esto podría convertirse rápidamente en un nido de ratas. De cables (y solo va a empeorar). La división de conmutadores mediante VLAN es buena, pero tener que ejecutar varios cables desde otros conmutadores a puertos que son miembros de diferentes VLAN parece complicado. Sin lugar a dudas, si tuviera que dividir el interruptor del sótano de 4 maneras entre los inquilinos que también tenían espacio en los pisos más altos, usaría 4 puertos en el interruptor del sótano solo para terminar los cables de "alimentación" de las VLAN del piso superior.

Ahora debería estar claro que se necesita algún tipo de método generalizado para mover el tráfico de varias VLAN entre conmutadores en un solo cable. El simple hecho de agregar más cables entre los conmutadores para admitir conexiones entre diferentes VLAN no es una estrategia escalable. Finalmente, con suficientes VLAN, estará consumiendo todos los puertos de sus conmutadores con estas conexiones entre VLAN / entre conmutadores. Lo que se necesita es una forma de transportar los paquetes desde varias VLAN a lo largo de una sola conexión: una conexión "troncal" entre los conmutadores.

Hasta este momento, todos los puertos de conmutación de los que hemos hablado se denominan puertos de "acceso". Es decir, estos puertos están dedicados a acceder a una sola VLAN. Los dispositivos conectados a estos puertos no tienen una configuración especial en sí mismos. Estos dispositivos no "saben" que ninguna VLAN está presente. Las tramas que envían los dispositivos del cliente se envían al conmutador, que luego se asegura de que la trama solo se envíe a los puertos asignados como miembros de la VLAN asignada al puerto donde la trama ingresó al conmutador. Si una trama ingresa al switch en un puerto asignado como miembro de la VLAN 12, el switch solo enviará los puertos de la trama que son miembros de la VLAN 12. El switch "conoce" el número de VLAN asignado a un puerto desde el cual recibe una frame y de alguna manera sabe que solo debe entregar este frame out a los puertos de la misma VLAN.

Si hubiera alguna forma de que un conmutador compartiera el número de VLAN asociado con un marco dado a otros conmutadores, entonces el otro conmutador podría manejar adecuadamente la entrega de ese marco solo a los puertos de destino apropiados. Esto es lo que hace el protocolo de etiquetado VLAN 802.1Q. (Vale la pena señalar que, antes de 802.1Q, algunos proveedores crearon sus propios estándares para el etiquetado de VLAN y el enlace entre conmutadores. En su mayor parte, todos estos métodos pre-estándar han sido suplantados por 802.1Q).

Cuando tiene dos conmutadores compatibles con VLAN conectados entre sí y desea que esos conmutadores entreguen marcos entre sí a la VLAN adecuada, conecte esos conmutadores utilizando puertos "troncales". Esto implica cambiar la configuración de un puerto en cada conmutador del modo "acceso" al modo "troncal" (en una configuración muy básica).

Cuando se configura un puerto en modo troncal, cada trama que envía el switch a ese puerto tendrá una "etiqueta VLAN" incluida en la trama. Esta "etiqueta VLAN" no formaba parte del marco original que el cliente envió. En su lugar, el conmutador de envío agrega esta etiqueta antes de enviar el marco fuera del puerto troncal. Esta etiqueta denota el número de VLAN asociado con el puerto desde el cual se originó la trama.

El conmutador receptor puede mirar la etiqueta para determinar de qué VLAN se originó la trama y, en base a esa información, reenviar los puertos que se asignan a la VLAN de origen. Debido a que los dispositivos conectados a los puertos de "acceso" no son conscientes de que se están utilizando las VLAN, la información de la "etiqueta" debe eliminarse de la trama antes de que se envíe un puerto configurado en el modo de acceso. Esta eliminación de la información de la etiqueta hace que todo el proceso de enlace troncal de la VLAN se oculte de los dispositivos cliente, ya que el marco que reciben no llevará ninguna información de la etiqueta de la VLAN.

Antes de configurar las VLAN en la vida real, recomiendo configurar un puerto para el modo troncal en un conmutador de prueba y monitorear el tráfico que se está enviando a ese puerto usando un sniffer (como Wireshark). Puede crear un poco de tráfico de muestra desde otra computadora, conectado a un puerto de acceso, y ver que los marcos que salen del puerto troncal, de hecho, serán más grandes que los marcos que envía su computadora de prueba. Verá la información de la etiqueta VLAN en los marcos en Wireshark. Me parece que realmente vale la pena ver lo que sucede en un rastreador. Leer sobre el estándar de etiquetado 802.1Q también es algo decente en este momento (especialmente porque no estoy hablando de cosas como "VLAN nativas" o doble etiquetado).

Configuración de VLAN pesadillas y la solución

A medida que alquila más y más espacio en su edificio, aumenta el número de VLAN. Cada vez que agrega una nueva VLAN, debe iniciar sesión en cada vez más conmutadores Ethernet y agregar esa VLAN a la lista. ¿No sería fantástico si existiera algún método mediante el cual podría agregar esa VLAN a un único manifiesto de configuración y hacer que rellene automáticamente la configuración de VLAN de cada conmutador?

Los protocolos como el "Protocolo de enlace troncal VLAN" (VTP) de Cisco o el "Protocolo de registro de VLAN múltiple" (MVRP, GVRP) anteriormente escrito basado en estándares cumplen con esta función. En una red que utiliza estos protocolos, una única entrada de creación o eliminación de VLAN hace que se envíen mensajes de protocolo a todos los conmutadores de la red. Ese mensaje de protocolo comunica el cambio en la configuración de VLAN al resto de los switches que, a su vez, modifican sus configuraciones de VLAN. A VTP y MVRP no les preocupa qué puertos específicos están configurados como puertos de acceso para VLAN específicas, sino que son útiles para comunicar la creación o eliminación de VLAN a todos los conmutadores.

Cuando se haya familiarizado con las VLAN, es probable que desee regresar y leer sobre "poda de VLAN", que está asociada con protocolos como VTP y MVRP. Por ahora no hay nada de lo que preocuparse tremendamente. (Los Artículo VTP en Wikipedia tiene un bonito diagrama que explica la poda de VLAN y los beneficios con eso.)

¿Cuándo usas VLAN en la vida real?

Antes de ir mucho más lejos, es importante pensar en la vida real en lugar de en ejemplos artificiales. En lugar de duplicar el texto de otra respuesta aquí, lo referiré a Mi respuesta es: cuándo crear VLANs. No es necesariamente un "nivel de principiante", pero vale la pena echarle un vistazo ahora, ya que voy a hacer una breve referencia al mismo antes de volver a un ejemplo artificial.

Para la multitud "tl; dr" (quienes seguramente todos han dejado de leer en este punto, de todos modos), la esencia de ese enlace anterior es: Cree VLAN para hacer más pequeños los dominios de transmisión o cuando quiera segregar el tráfico por alguna razón particular (seguridad , política, etc). Realmente no hay otras buenas razones para usar VLAN.

En nuestro ejemplo, usamos redes VLAN para limitar los dominios de transmisión (para que los protocolos como DHCP funcionen correctamente) y, en segundo lugar, porque queremos aislamiento entre las distintas redes de los inquilinos.

Un aparte re: IP Subredes y VLANs

En términos generales, generalmente existe una relación de uno a uno entre las VLAN y las subredes IP para facilitar el aislamiento y cómo funciona el protocolo ARP.

Como vimos al principio de esta respuesta, se pueden usar dos subredes IP diferentes en la misma Ethernet física sin problemas. Si está utilizando VLAN para reducir los dominios de difusión, no querrá compartir la misma VLAN con dos subredes IP diferentes, ya que estará combinando su ARP y otro tráfico de difusión.

Si está utilizando VLAN para segregar el tráfico por razones de seguridad o políticas, probablemente tampoco querrá combinar varias subredes en la misma VLAN, ya que estará rechazando el propósito del aislamiento.

IP utiliza un protocolo basado en difusión, Address Resolution Protocol (ARP), para asignar direcciones IP a direcciones físicas (Ethernet MAC). Dado que ARP se basa en la difusión, asignar partes diferentes de la misma subred IP a diferentes VLAN sería problemático porque los hosts en una VLAN no podrían recibir respuestas ARP de los hosts en la otra VLAN, ya que las difusiones no se reenvían entre las VLAN. Puede resolver este "problema" utilizando proxy-ARP pero, en última instancia, a menos que tenga una buena razón para dividir una subred IP entre varias VLAN, es mejor no hacerlo.

One Last Aside: VLAN y seguridad

Finalmente, vale la pena señalar que las VLAN no son un gran dispositivo de seguridad. Muchos conmutadores Ethernet tienen errores que permiten que las tramas que se originan en una VLAN se envíen a puertos asignados a otra VLAN. Los fabricantes de conmutadores Ethernet han trabajado duro para corregir estos errores, pero es dudoso que alguna vez haya una implementación completamente libre de errores.

En el caso de nuestro ejemplo artificial, el empleado del piso 2 que está a unos momentos de proporcionar "servicios" de administración de sistemas gratuitos a otro inquilino podría dejar de hacerlo al aislar su tráfico en una VLAN. Sin embargo, también podría descubrir cómo explotar errores en el firmware del conmutador para permitir que su tráfico se "filtre" a la VLAN de otro inquilino también.

Los proveedores de Metro Ethernet están confiando, cada vez más, en la funcionalidad de etiquetado de VLAN y el aislamiento que proporcionan los switches. No es justo decir que hay no Seguridad ofrecida mediante el uso de VLAN. Sin embargo, es justo decir que en situaciones con conexiones de Internet no confiables o redes DMZ es probable que sea mejor usar conmutadores físicamente separados para transportar este tráfico "delicado" en lugar de VLAN en los conmutadores que también transportan su tráfico confiable "detrás del firewall".

Traer la Capa 3 a la Imagen

Hasta ahora, todo de lo que se ha hablado esta respuesta se relaciona con las capas 2-- marcos Ethernet. ¿Qué pasa si empezamos a poner la capa 3 en esto?

Volvamos al ejemplo de construcción artificial. Ha adoptado las VLAN optadas por configurar los puertos de cada inquilino como miembros de VLAN separadas. Ha configurado los puertos troncales de modo que el conmutador de cada piso pueda intercambiar los fotogramas etiquetados con el número de VLAN de origen con los conmutadores en el piso superior e inferior. Un inquilino puede tener computadoras distribuidas en varios pisos pero, debido a las habilidades de configuración de VLAN de su adepto, estas computadoras distribuidas físicamente pueden parecer ser parte de la misma LAN física.

Está tan lleno de sus logros de TI que decide comenzar a ofrecer conectividad a Internet a sus inquilinos. Usted compra un tubo de Internet gordo y un enrutador. Transmites la idea a todos tus inquilinos y dos de ellos se comprometen de inmediato. Por suerte para usted su enrutador tiene tres puertos Ethernet. Usted conecta un puerto a su red de Internet, otro a un puerto de conmutador asignado para acceder a la VLAN del primer inquilino y el otro a un puerto asignado para acceder a la VLAN del segundo inquilino. ¡Configura los puertos de su enrutador con direcciones IP en la red de cada inquilino y los inquilinos comienzan a acceder a Internet a través de su servicio! Los ingresos aumentan y eres feliz.

Pronto, sin embargo, otro inquilino decide acceder a su oferta de Internet. Sin embargo, estás fuera de los puertos de tu enrutador. ¿Qué hacer?

Afortunadamente, compró un enrutador que admite la configuración de "subinterfaces virtuales" en sus puertos Ethernet. En resumen, esta funcionalidad le permite al enrutador recibir e interpretar cuadros etiquetados con números de VLAN originales y tener interfaces virtuales (es decir, no físicas) configuradas con direcciones IP adecuadas para cada VLAN con la que se comunicará. En efecto, esto le permite "multiplexar" un solo puerto Ethernet en el enrutador de modo que parezca funcionar como múltiples puertos físicos Ethernet.

Conecte su enrutador a un puerto troncal en uno de sus conmutadores y configure las subinterfaces virtuales correspondientes al esquema de direccionamiento IP de cada inquilino. Cada sub-interfaz virtual se configura con el número de VLAN asignado a cada Cliente. Cuando una trama abandona el puerto troncal en el conmutador, con destino al enrutador, llevará una etiqueta con el número VLAN de origen (ya que es un puerto troncal). El enrutador interpretará esta etiqueta y tratará el paquete como si llegara a una interfaz física dedicada correspondiente a esa VLAN. Del mismo modo, cuando el enrutador envía una trama al conmutador en respuesta a una solicitud, agregará una etiqueta VLAN a la trama de manera que el conmutador sepa a qué VLAN debe enviarse la trama de respuesta. En efecto, ha configurado el enrutador para que "aparezca" como un dispositivo físico en varias VLAN mientras solo usa una conexión física entre el conmutador y el enrutador.

Routers en Sticks y Layer 3 Switches

Con las subinterfaces virtuales, ha podido vender la conectividad de Internet a todos sus inquilinos sin tener que comprar un enrutador que tenga más de 25 interfaces Ethernet. Está bastante satisfecho con sus logros de TI, por lo que responde positivamente cuando dos de sus inquilinos acuden a usted con una nueva solicitud.

Estos inquilinos han optado por "asociarse" en un proyecto y desean permitir el acceso desde las computadoras cliente en la oficina de un inquilino (una VLAN dada) a una computadora servidor en la oficina del otro inquilino (otra VLAN). Dado que ambos son Clientes de su servicio de Internet, es un cambio bastante simple de una ACL en su enrutador de Internet central (en el que hay una sub-interfaz virtual configurada para cada una de estas VLAN del inquilino) para permitir que el tráfico fluya entre sus VLAN como así como a Internet desde sus VLANs. Usted hace el cambio y envía a los inquilinos en su camino.

Al día siguiente, recibe quejas de ambos inquilinos que el acceso entre las computadoras cliente en una oficina al servidor en la segunda oficina es muy lento. Tanto las computadoras del servidor como las del cliente tienen conexiones Gigabit Ethernet a sus conmutadores, pero los archivos solo se transfieren a aproximadamente 45 Mbps, lo que, casualmente, es aproximadamente la mitad de la velocidad con la que su enrutador central se conecta a su conmutador. Claramente, el tráfico que fluye desde la VLAN de origen hacia el enrutador y se desvía del enrutador a la VLAN de destino se ve obstaculizado por la conexión del enrutador al conmutador.

Lo que has hecho con tu enrutador central, permitiéndole enrutar el tráfico entre VLAN, se conoce comúnmente como "enrutador en un dispositivo" (un eufemismo posiblemente estúpidamente caprichoso). Esta estrategia puede funcionar bien, pero el tráfico solo puede fluir entre las VLAN hasta la capacidad de la conexión del enrutador al conmutador. Si, de alguna manera, el enrutador pudiera combinarse con las "entrañas" del propio conmutador Ethernet, podría enrutar el tráfico aún más rápido (ya que el conmutador Ethernet en sí, según la hoja de especificaciones del fabricante, puede conmutar más de 2 Gbps de tráfico).

Un "conmutador de capa 3" es un conmutador Ethernet que, lógicamente, contiene un enrutador enterrado dentro de sí mismo. Me parece tremendamente útil pensar que un conmutador de capa 3 tiene un enrutador pequeño y rápido escondido dentro del conmutador. Además, le aconsejaría que piense en la funcionalidad de enrutamiento como una función distinta de la función de conmutación de Ethernet que proporciona el conmutador de capa 3. Un interruptor de capa 3 es, para todos los efectos, dos dispositivos distintos envueltos en un solo chasis.

El enrutador incorporado en un conmutador de capa 3 está conectado a la estructura de conmutación interna del conmutador a una velocidad que, por lo general, permite el enrutamiento de paquetes entre VLAN a la velocidad del cable o cerca de él. De manera análoga a las subinterfaces virtuales que configuró en su "enrutador en un dispositivo", este enrutador incorporado dentro del conmutador de capa 3 puede configurarse con interfaces virtuales que "parecen" ser conexiones de "acceso" a cada VLAN. En lugar de llamarse subinterfaces virtuales, estas conexiones lógicas de las VLAN al enrutador incorporado dentro de un conmutador de capa 3 se denominan interfaces virtuales de conmutador (SVI). En efecto, el enrutador incorporado dentro de un conmutador de capa 3 tiene una cantidad de "puertos virtuales" que se pueden "conectar" a cualquiera de las VLAN del conmutador.

El enrutador integrado funciona de la misma manera que un enrutador físico, excepto que, por lo general, no tiene todas las mismas características de la lista de control de acceso (ACL) del mismo enrutamiento dinámico o enrutador (a menos que haya comprado una capa 3 muy buena). cambiar). Sin embargo, el enrutador incorporado tiene la ventaja de ser muy rápido y no tener un cuello de botella asociado con un puerto de conmutador físico al que está conectado.

En el caso de nuestro ejemplo aquí con los inquilinos de "asociación", puede optar por obtener un conmutador de capa 3, enchufarlo en puertos troncales de manera que el tráfico de las VLAN de ambos Clientes llegue a él, luego configurar las SVI con direcciones IP y membresías de VLAN para que "aparece" en ambas VLANs de clientes. Una vez que haya hecho eso, es solo una cuestión de ajustar la tabla de enrutamiento en su enrutador central y el enrutador incorporado en el conmutador de capa 3, de manera que el tráfico que fluye entre las VLAN de los inquilinos es enrutado por el enrutador incorporado dentro del conmutador de capa 3 frente al "enrutador en un palo".

El uso de un conmutador de capa 3 no significa que todavía no habrá cuellos de botella asociados con el ancho de banda de los puertos troncales que interconectan los conmutadores. Sin embargo, esta es una preocupación ortogonal para aquellos a los que se dirigen las VLAN. Las VLAN no tienen nada que ver con los problemas de ancho de banda. Normalmente, los problemas de ancho de banda se solucionan mediante la obtención de conexiones entre conmutadores de mayor velocidad o mediante el uso de protocolos de agregación de enlaces para "unir" varias conexiones de menor velocidad en una conexión virtual de mayor velocidad. A menos que todos los dispositivos que crean marcos para ser enrutados por el enrutador incrustado dentro del último conmutador 3 estén conectados a los puertos directamente en el conmutador de capa 3, aún debe preocuparse por el ancho de banda de los troncales entre los conmutadores. Un conmutador de capa 3 no es una panacea, pero suele ser más rápido que un "enrutador en un palo".

VLAN dinámicas

Por último, hay una función en algunos conmutadores para proporcionar una membresía VLAN dinámica. En lugar de asignar un puerto determinado para que sea un puerto de acceso para una VLAN determinada, la configuración del puerto (acceso o troncal, y para la cual las VLAN) se puede modificar dinámicamente cuando se conecta un dispositivo. Las VLAN dinámicas son un tema más avanzado, pero saber que la funcionalidad existe puede ser útil.

La funcionalidad varía entre los proveedores, pero normalmente puede configurar la membresía de VLAN dinámica según la dirección MAC del dispositivo conectado, el estado de autenticación 802.1X del dispositivo, los protocolos propietarios y basados ​​en estándares (CDP y LLDP, por ejemplo, para permitir que los teléfonos IP "descubrir" el número de VLAN para el tráfico de voz, la subred IP asignada al dispositivo cliente o el tipo de protocolo Ethernet.


204
2017-10-07 04:37



Ir por el oro de nuevo, ¿eh? :) - squillman
+1 Obviamente pones un esfuerzo considerable en eso, gracias! - Tim Long
+1: ¡Wow! Excelente respuesta. - Arun Saha
Me encanta esto: "servicios de administración de sistemas pro-bono no autorizados";) - problemPotato
@Guntbert: Me alegro de que sea una ayuda para ti. - Evan Anderson


Las VLAN son "redes de área local virtuales". A continuación, entiendo: mi experiencia es principalmente Ingeniería y administración de sistemas con una parte de la programación OO y muchas secuencias de comandos.

Las VLAN están diseñadas para crear una red aislada en múltiples dispositivos de hardware. Es posible que una LAN tradicional en tiempos más antiguos solo exista cuando tenga un solo dispositivo de hardware dedicado a una red en particular. Por lo general, todos los servidores / dispositivos conectados a ese dispositivo de red (Switch o Hub en función del período de tiempo histórico) pueden comunicarse libremente entre la LAN.

Una VLAN difiere, por lo que puede interconectar varios dispositivos de red y crear redes aisladas al agrupar los servidores en una VLAN, eliminando así la necesidad de tener un dispositivo de red "dedicado" para una sola LAN. La cantidad de VLAN configurables y servidores / dispositivos compatibles variará entre los fabricantes de dispositivos de red.

Una vez más, dependiendo del vendedor, no lo hago pensar que todos los servidores necesitan estar en la misma subred para ser parte de la misma VLAN. Con las configuraciones de red heredadas, creo que lo hicieron (la corrección de inserción del ingeniero de red aquí).

Lo que hace que una VLAN sea diferente de una VPN es la letra "P" para "Privado". Por lo general, el tráfico VLAN no está cifrado.

¡Espero que ayude!


8
2017-10-07 02:46



Una respuesta de puerta de enlace corta muy necesaria para comprender las VLAN. El más votado a uno entra en muchos detalles, y como tal, puede ser bueno para la posteridad, pero de poca utilidad si desea obtener un rápido conocimiento / comprensión sobre el tema. Ahora que sé lo que hago de esta respuesta, siempre puedo volver para aprender más. - Harsh Kanchina