Qual è la differenza tra una VLAN e una sottorete?

Subnet - è un intervallo di indirizzi IP determinato da una parte di un indirizzo (spesso chiamato indirizzo di rete) e da una maschera di sottorete (netmask). Per esempio, se la netmask è 255.255.255.0 (o /24 in breve), e l'indirizzo di rete è 192.168.10.0, allora questo definisce un intervallo di indirizzi IP da 192.168.10.0 a 192.168.10.255. Stenografia per la scrittura che è 192.168.10.0/24.

VLAN - Un buon modo di pensare a questo è il “partizionamento degli switch”. Diciamo che si ha uno switch a 8 porte che è VLAN-able. Si possono assegnare 4 porte ad una VLAN (diciamo VLAN 1) e 4 porte ad un'altra VLAN (diciamo VLAN 2). La VLAN 1 non vedrà alcun traffico della VLAN 2 e viceversa, logicamente, ora avete due switch separati. Normalmente su uno switch, se lo switch non ha visto un indirizzo MAC, “inonderà” il traffico verso tutte le altre porte. Le VLAN lo impediscono.

Se due computer parleranno usando il TCP/IP, allora deve essere soddisfatta una delle due condizioni:

• Devono appartenere alla stessa sottorete. Ciò significa che l'indirizzo di rete deve essere lo stesso e la netmask deve essere uguale o più piccola. Quindi, un computer con un'interfaccia con un indirizzo IP di 192.168.10.4/24 può parlare con un computer con un'interfaccia con un indirizzo IP di 192.168.10.8/24 senza problemi, a condizione che entrambi siano collegati allo stesso switch fisico o VLAN. Se l'interfaccia del secondo computer collegato a quello stesso switch fisico o VLAN fosse 192.168.11.8/24, ignorerebbe il traffico (a meno che l'interfaccia non fosse in modalità promiscua).

• Un router deve esistere tra entrambi i computer in grado di inoltrare il traffico tra le sottoreti. Il computer A e il computer B hanno bisogno di un percorso (o gateway predefinito) verso questo router. Diciamo che un computer con un'interfaccia con un indirizzo IP di 192.168.10.4/24 vuole parlare con un computer con un'interfaccia con un indirizzo IP di 192.168.20.4/24. Diverse sottoreti, quindi dobbiamo passare attraverso un router. Supponiamo che ci sia un router con due interfacce (i router hanno per definizione due interfacce), una su 192.168.10.254/24 e una su 192.168.20.254/24. Se la tabella dei percorsi o DHCP è configurata correttamente ed entrambi i computer A e B possono raggiungere le interfacce del router sulle rispettive sottoreti, allora possono parlare tra loro indirettamente attraverso il router.

Forzare il traffico a passare attraverso un router, anche se non è necessario come nel nostro switch a 8 porte di cui sopra, ha vantaggi in termini di sicurezza e prestazioni - offre l'opportunità di filtrare il traffico, l'opportunità di instradare in modo ottimale il traffico in base al tipo, e i router non inoltrano il traffico broadcast (a meno che non siano configurati in modo insolito). Le VLAN sono talvolta utilizzate come “hacker” per gestire i flussi/visibilità del traffico broadcast IPv4.

Modifica per rispondere ad alcune delle vostre domande:

• Concettualmente le VLAN sono equivalenti agli switch. Ciò che è presente in 1 porta di una VLAN viene replicato (“inondato”) su tutte le altre porte, a meno che la VLAN non abbia già visto/appreso l'indirizzo MAC in precedenza, quindi viene diretto a quella porta. Non c'è un gateway per la VLAN vera e propria. Per “gateway” si intende sempre l'indirizzo IP di un router.

• Affinché la VLAN 1 parli con la VLAN 2, un'interfaccia nella VLAN 1 deve essere collegata ad un router, un'interfaccia nella VLAN 2 deve essere collegata ad un router, e quel router deve essere configurato per inoltrare il traffico tra queste sottoreti. Nel nostro esempio a 8 porte di cui sopra, se volessimo instradare il traffico tra queste VLAN, dovremmo spendere 1 porta per ogni VLAN che si connette ad un router. Lo stesso vale per uno switch.

Sono sicuro che molti switch/hardware di fascia alta hanno un “router VLAN” “integrato” ad essi dove spendere una porta extra all'interno di ogni VLAN che lo collega ad un router fisico non è davvero necessario se si vuole instradare tra le VLAN nello stesso switch. Qui potrebbe entrare in gioco l'IP della VLAN o “gateway”. (Invito i più esperti a modificarlo)

• Quando un computer riceve il suo IP tramite DHCP, di solito riceve anche il “gateway di default” da quello stesso server DHCP. Qualcuno deve configurare correttamente il server DHCP. Anche i protocolli di routing come RIP, IS-IS, OSPF e BGP possono aggiungere delle rotte. Naturalmente si ha la possibilità di aggiungere le rotte manualmente (rotte “statiche”)

• Se il vostro switch ha una porta seriale o una porta etichettata come “console” è probabilmente gestita e supporta le VLAN.

Ho trovato le altre spiegazioni complicate.

• VLAN consente di etichettare tutti i pacchetti di rete con un numero magico (ad es. 3 ).
• Solo altre schede di rete impostate su 3 vedranno quei pacchetti

Impostate un gruppo di computer su VLAN 3 e si troveranno nel loro piccolo mondo isolato; non vedranno nessun altro traffico.

Improvvisamente si possono avere più LANs che operano sugli stessi fili (cioè LANs virtuali_). Si possono anche avere due computer con lo stesso IP, poiché hanno un tag VLAN diverso (ad es. 3 versi7)

L'impostazione di un ID VLAN si effettua configurando il driver della scheda di rete:

Il chilometraggio varia a seconda della scheda di rete e dei relativi driver.

La spiegazione semplicistica è che le VLAN esistono per consentire a diverse sottoreti di condividere il cablaggio fisico, le porte e la commutazione. Si potrebbero avere delle sottoreti distinte sulla rete senza vlans, ma si dovrebbe avere un diverso set di cavi per ciascuna di esse.

1.Se ho più sottoreti presumo che avreste bisogno di un router per comunicare tra ogni sottorete.

Sì, avete bisogno di un router per spostare i pacchetti tra le sottoreti.

Solo i dispositivi all'interno di ogni sottorete sarebbero nel dominio di trasmissione locale per quella sottorete. È vero?

Sì, una sottorete è un dominio broadcast.

2.Ho bisogno di una sottorete per configurare una VLAN?

Sì.

3.Sono consapevole che una VLAN può esistere all'interno di una sottorete, ma la mia comprensione è che si dovrebbe assegnare alla VLAN un indirizzo IP di quella sottorete.

No, per come la intendo io, le VLAN sono definite negli switch e isolano il traffico di ogni VLAN.

Come può essere isolata dal resto della sottorete?

Una VLAN è una sottorete.

4.Quando configurereste una VLAN specialmente se sono in grado di segmentare la mia rete usando le sottoreti?

Quando è necessario segmentare il traffico in due o più gruppi senza separare l'infrastruttura fisica (principalmente gli switch) in due o più gruppi fisici.

5.Continuo a constatare che le reti locali virtuali (VLAN) ci permettono di creare reti logiche e fisiche diverse; mentre la sottorete IP ci permette semplicemente di creare reti logiche attraverso la stessa rete fisica. Tuttavia non sono sicuro di cosa significhi esattamente questo quando si legge la stessa rete fisica.

Una LAN fisica è composta per lo più da switch e cavi disposti (nel caso di Ethernet) in un'unica struttura ad albero.

Normalmente una LAN è una singola sottorete. Un'organizzazione può avere più LAN collegate da router.

Una singola LAN fisica può essere suddivisa in più LAN logiche (VLAN) utilizzando il supporto VLAN negli switch. Ogni VLAN ha quindi una sottorete separata. Un router è quindi necessario per spostare i pacchetti tra le LAN logiche (VLAN).

Aggiornamento: alcune risposte per dare seguito alle domande nei commenti.

se volevo che i dispositivi su 2 VLAN separate comunicassero che un router non è necessario in quanto posso usare il trunking.

Ecco alcune citazioni da http://www.formortals. com/an-introduction-to-vlan-trunking/

“Il trunking VLAN consente ad un singolo adattatore di rete di comportarsi come "n” numero di adattatori di rete virtuali, dove “n” ha un limite superiore teorico di 4096 ma è tipicamente limitato a 1000 segmenti di rete VLAN.“

”I router possono diventare infinitamente più utili una volta che sono collegati all'infrastruttura di commutazione aziendale. Una volta troncati, diventano onnipresenti e possono fornire servizi di routing a qualsiasi sottorete in qualsiasi angolo della rete aziendale.“

Quindi è ancora necessario un router ma, con il trunking VLAN, può essere un router con un solo braccio (router su una chiavetta). Gli switch di fascia alta includono funzionalità di routing, quindi potrebbe non essere necessario un router separato perché lo switch di fascia alta è anche un router di livello 3.

Quando si dice che ho bisogno di una sottorete per configurare una VLAN cosa si intende esattamente?

Le VLAN sono un concetto di livello 2. Proprio come gli switch Ethernet sono un dispositivo di livello 2. Le VLAN possono far fare ad un paio di switch lavori in cui altrimenti si potrebbe avere bisogno di mezza dozzina di switch in gruppi isolati. Tuttavia i nodi (computer, stampanti, ecc.) usano tipicamente l'indirizzamento di livello 3 (IP).

Per i nodi di una VLAN (N per Network) per comunicare con i nodi di un'altra VLAN (N per Network) è necessario un InterNetwork Protocol (in altre parole IP). Nell'IP per spostare i pacchetti tra le Reti abbiamo bisogno che ogni Rete abbia un diverso indirizzo di rete di livello 3.

Qui entra in gioco la sottorete - dividendo l'intervallo di indirizzi di rete di livello 3 assegnato ad un'organizzazione in sottoreti utilizzando maschere di sottorete. Poi si può usare un router per consentire ai dispositivi di una sottorete (in una VLAN) di comunicare con i dispositivi di un'altra sottorete (in un'altra VLAN).

1.Se ho più sottoreti, suppongo che sia necessario un router per comunicare tra ogni sottorete. Solo i dispositivi all'interno di ogni sottorete sarebbero nel dominio di trasmissione locale per quella sottorete. È vero?

Le reti IP (sottoreti) sono un concetto di livello 3. Se due PC sono collegati allo stesso switch L2 senza VLAN si troveranno nello stesso dominio broadcast L2, ma non nel dominio broadcast L3.

2.Ho bisogno di una sottorete per configurare una VLAN?

No. Tuttavia, se si desidera che i dispositivi in una VLAN comunichino tra loro, probabilmente avranno bisogno di un protocollo L3.

3.Sono consapevole del fatto che una VLAN può esistere all'interno di una sottorete, ma la mia comprensione è che si dovrebbe assegnare alla VLAN un indirizzo IP di quella sottorete. Come può essere isolata dal resto della sottorete?

Non è chiaro quello che si chiede.

4.Quando configurereste una VLAN specialmente se sono in grado di segmentare la mia rete usando le sottoreti?

Le VLAN sono semplicemente un modo per far apparire un dispositivo L2 come un dispositivo L2 multiplo.

5.Le VLAN sono un modo per far apparire un dispositivo L2 come un dispositivo L2 multiplo.

4.Quando configurereste una VLAN specialmente se sono in grado di segmentare la mia rete usando le sottoreti? Continuo a constatare che le Virtual local area network (VLAN) ci permettono di creare reti logiche e fisiche diverse; mentre la sottorete IP ci permette semplicemente di creare reti logiche attraverso la stessa rete fisica. tuttavia non sono sicuro di cosa significhi esattamente questo quando si legge la stessa rete fisica.