Pregunta ¿Pueden los switches hacer enrutamiento VLAN? [cerrado]


He estado aprendiendo acerca de las VLAN y me pregunto si el conmutador se puede usar para la comunicación entre dos VLAN.

Dado que los conmutadores admiten enlaces troncales y ya conocen el destino / origen (VID) de la trama, ¿podrían usarse para enviar la trama de una VLAN a la otra?

vlan network example

Por ejemplo, en esta imagen anterior, me preguntaba por qué se necesita el enrutador si este conmutador ya recibe el VID de cada VLAN. ¿Por qué no se puede reenviar el marco a la VLAN de destino, pero necesita que el enrutador lo haga prolongando así el tiempo de transferencia del marco al enrutador y viceversa?


10
2018-03-08 14:08


origen


NB: una trama etiquetada no tiene VID de origen / destino (solo una VID), por lo que no es posible que un switch que opera exclusivamente en L2 pueda saber si una trama está diseñada para una VLAN diferente sobre esa base. - psmears
Si tuviera que "unir" dos VLAN juntas de forma similar, efectivamente serían la misma VLAN. Entonces no tiene sentido usar dos ID de VLAN separadas. - immibis
Incluso si pudieran, eso no sería útil de ninguna manera que pueda imaginar. Por ejemplo, la IP no funcionaría porque ARP no funcionaría. Puede haber algunos protocolos que funcionen en tales condiciones, pero ¿sabe de alguno que se use ampliamente? - David Schwartz
@DavidSchwartz Todo protocolo basado en Ethernet funcionaría en esto. ¿Por qué no funcionaría ARP si un conmutador se une efectivamente a las redes VLAN? - Andreas Krey
@KostaS. También, como dije antes, si pudieras hacer eso con un switch, entonces solo sería una VLAN con dos ID, ¿cuál sería el punto? - immibis


Respuestas:


Los conmutadores L2 no pueden hacer enrutamiento Inter-VLAN, ya que solo se encargan de las cosas de la red L2, es decir, reenviar tramas entre enlaces. Si es un conmutador L3, entonces puede hacer enrutamiento de protocolo IP entre VLAN.


18
2018-03-08 14:10



Un "interruptor L3" no es un interruptor! Es un enrutador. - Ian Ringrose
@Ian Si bien es técnicamente correcto, la mayoría de los productos que figuran como enrutadores tienen un número limitado de puertos y, a menudo, también actúan como módems. Si buscas L3 Switch, encontrarás el dispositivo que estás buscando. - Roshan Bhumbra
@IanRingrose Técnicamente, un "interruptor L3" es un combinado puente y puerta. - chrylis
VLAN es capa 2 - Lightness Races in Orbit


Las VLAN se utilizan para crear diferentes subredes, lo que significa diferentes dominios de difusión. Debe tener un enrutador o un conmutador de Capa 3 para reenviar el tráfico entre diferentes VLAN (subredes diferentes).


10
2018-03-08 14:16



VLAN y subred son dos cosas diferentes - Lightness Races in Orbit
@LightnessRacesinOrbit Técnicamente, tienes razón. Sin embargo, muchas personas no los tratan de esa manera. He visto a muchas personas (incluidos los artículos de VLAN en línea) tratar el tema como si la asignación de subred a VLAN fuera 1 a 1, y creo que muchas personas probablemente las configuren de esa manera. Aunque estás en lo correcto; están separados y no necesitan alinearse. - Aaron
@Aaron: Como tal, no entiendo los al menos 10 votos positivos en esta respuesta. (FWIW, en las redes de telecomunicaciones específicas para las que desarrollo equipos, no hay una asignación práctica o supuesta de subred a VLAN de ningún tipo). - Lightness Races in Orbit
Estas 'subredes' generalmente se denominan 'redes virtuales' ... VLAN. Pero una sola VLAN no necesariamente tiene que tener la misma ID en cada enlace que usa. - Andreas Krey


El enrutamiento es una función de capa 3, mientras que la VLAN solo concierne a la capa 2.

Cuando una computadora A desea enviar datos a otro host B, utilizando el protocolo IP, primero verificará si B está en la misma red que él (comparando la porción de red de su propia dirección y la dirección IP de destino).

  • Si la dirección IP de B está en la misma red, A realizará una solicitud ARP para encontrar la dirección MAC de B.
    Si B no está vivo o no está en la misma VLAN, la solicitud ARP no tendrá una respuesta y A no enviará nada más (falla la comunicación).

  • Si la dirección IP B pertenece a otra red IP, entonces A buscará en su tabla de enrutamiento, encontró la dirección IP del enrutador C (generalmente su puerta de enlace predeterminada) y enviará el paquete a C (una vez más realizando una solicitud ARP para encontrar C Dirección MAC).

Entonces, si no tiene un enrutador con una interfaz en ambas redes, no puede tener comunicación entre dos hosts en dos redes IP separadas.

Incluso si hay algún tipo de puentes entre dos VLAN (inusual pero posible), o los dos hosts están en la misma VLAN pero tienen una dirección IP en diferentes redes IP, la comunicación no es posible sin un enrutador, ya que A no intentará enviar un marco a B (debido a que la configuración de IP indica que necesita un enrutador).

Ahora, como señalan otras respuestas, si su conmutador es un conmutador de Capa 3, eso significa que tiene en una caja un conmutador y un enrutador. Si se configura correctamente, la función de enrutador de su conmutador se enrutará entre las diferentes VLAN.
La principal ventaja de los switches de Capa 3 (a diferencia de un enrutador independiente) es que puede enrutar entre diferentes VLAN a la velocidad máxima del cable (I.E. tan rápido como el proceso de conmutación).


10
2018-03-08 15:24





Otras respuestas aquí tratan sobre la teoría de la red, así que no comentaré eso. En cuanto al hardware de red real en el mundo real, que está relacionado con la teoría de la red pero es diferente, la respuesta es sí. Puede comprar un conmutador de red que pueda manejar el tráfico de VLAN.

Un conmutador de red solía verse como un dispositivo de capa 2, pero muchos conmutadores hacen más que eso en estos días. A veces, los enrutadores están etiquetados como un "interruptor de capa 3". Los conmutadores con más que solo la funcionalidad de capa 2 también se denominan a veces "conmutador de capa 2.5"


2
2018-03-08 20:06



VLAN es una funcionalidad de capa 2. - Lightness Races in Orbit
@LightnessRacesinOrbit No lo recuerdo con seguridad, ya que han pasado años desde que realicé cualquier configuración de VLAN. Si ese es el caso, tal vez debería dejar ese comentario en el otro Las respuestas aquí ya que las respuestas más valoradas contradicen tu comentario aquí. En realidad, espere un momento ... el punto entero de una VLAN es que es una red separada, por lo tanto, la capa 3. ¿Está seguro de que es una cosa de la capa 2? Aún así, de cualquier manera, es mejor dejar tu comentario en las respuestas con mayor calificación. - Aaron
@Aa ron: yo hizo deja ese comentario en las otras respuestas; Incluso respondiste a uno de ellos! Y, sí, estoy seguro. Las etiquetas VLAN se insertan en los marcos de Ethernet. - Lightness Races in Orbit
@LightnessRacesinOrbit Veo un comentario suyo solo sobre una de las otras respuestas, a la que respondí, y ese fue un comentario diferente. "VLAN = L2" y "VLAN! = Subred" son comentarios diferentes. Estoy de acuerdo con usted en que "VLAN! = Subred". Aunque no estoy tan seguro de tu "VLAN = L2". Supongo que eso depende de cuál sea su definición de "es ... funcionalidad", aunque específicamente en lo que respecta a la pregunta original en cuestión, la pregunta se refiere a la funcionalidad de la capa 3. Al menos, así es como leo la pregunta: enrutamiento entre redes (y una VLAN es, lógicamente, de todos modos, simplemente otra LAN). ¿No? - Aaron
"'VLAN = L2' y 'VLAN! = Subred' son comentarios diferentes" El punto subyacente que estoy haciendo es exactamente el mismo: las respuestas que discuten sobre la tecnología de Capa 3 faltan por completo. No estoy seguro de por qué estás tan preocupado por dónde y cuándo estoy comentando, tbqh. - Lightness Races in Orbit


Es curioso que esto no sea compatible con los conmutadores VLAN: no puede configurarlos para conectarse, por ejemplo, VLAN3 en el puerto A a VLAN5 en el puerto B.

Podría piratear esto utilizando dos puertos, configurar uno para que tenga VLAN3 sin etiquetar y el otro VLAN5 sin etiquetar, y luego conectarlos con un cable. (No probé esto, pero no veo por qué no debería funcionar).


1
2018-03-09 17:22



@Andreas_Krey Umm ... ¿estás seguro? ¿No puedes enrutar entre dos redes? Las VLAN son solo redes virtuales (de ahí el nombre), y puede enrutarlas de la misma forma que otras dos redes. Quizás estemos colgados de la semántica, como lo demuestra la diferencia entre la teoría de la red y el hardware de la red del mundo real, como otros están en este hilo. - Aaron
@Aaron Routing es algo diferente, yo (y probablemente también la Q) habla de tener diferentes (y potencialmente múltiples) identificaciones de VLAN para la misma VLAN en diferentes puertos. - Andreas Krey
@Andreas_Krey Quizás. Acabo de releer la Q y puedo ver cómo puedes leerla de manera diferente a mí. Lo que veo es "podrían usarse [switches] para enviar la trama de una VLAN a la otra". Veo esto como una pregunta donde el autor de la pregunta simplemente no está viendo las VLAN lógicamente como "solo otra LAN" y está preguntando si puede enrutar entre ellas con un interruptor. Podría estar equivocado. - Aaron
Su truco funcionaría si, y solo si, deshabilita el STP o tiene un dispositivo que hace un STP compatible con VLAN. Las implementaciones de tipo STP ingenuas van a ir "omg, bucle de red, debe matarlo antes de que me mate". Descubrí este camino difícil al realizar trabajos que involucran a los enrutadores, puentes y vlans de Cisco. - Kaithar


Si estoy interpretando esto correctamente, desea que un conmutador que reciba una trama con VLAN 5 (por ejemplo) lo reenvíe con VLAN 6.

Esto sería inútil. En lugar de hacer esto, simplemente puede tomar todos sus dispositivos que usan VLAN 6 y moverlos a VLAN 5 en su lugar.

Debido a que no tiene sentido, los proveedores de conmutadores no agregaron ninguna forma de hacerlo.


1
2018-03-09 23:29





El tráfico intra-VLAN se reenvía entre las direcciones mac de la red VLAN. Para que un "marco" salga de esa red, debe enviarse a la dirección mac de un dispositivo con capacidad de enrutamiento. Esto puede ser un conmutador, firewall o enrutador. Por lo tanto, si una trama de la VLAN A quiere alcanzar la VLAN B, la VLAN A enviará la trama a la dirección mac de la puerta de enlace predeterminada, la VLAN B hará lo mismo. Si esas puertas de enlace están en un conmutador, entonces el conmutador está enrutando paquetes entre los vlans, lo mismo para un enrutador. Sin embargo, es posible que desee utilizar un servidor de seguridad si necesita controlar el acceso de ida y vuelta entre los vlans.

En el mundo moderno: Piense en los switches como enrutadores con muchos puertos. Piense en los enrutadores como conmutadores con menos puertos, pero con mayor disponibilidad. Piense en los firewalls como enrutadores que pueden soportar servicios de capa superior, como detección de intrusos, antivirus, proxy SSL, servicios de aplicaciones, NAT, etc.


-1
2018-03-09 04:37