Qual é a diferença entre uma VLAN e uma sub-rede? [fechadas]

91

Eu li vários fóruns e artigos sobre VLANs e sub-redes.
No entanto, eu não entendi as funções de cada um além do seguinte:

  1. As sub-redes permitem a segmentação de uma rede
  2. VLANs são uma parte isolada de uma rede

Questões

  1. Se eu tiver várias sub-redes, presumo que você precisaria de um roteador para se comunicar entre cada sub-rede. Somente dispositivos em cada sub-rede estariam no domínio de broadcast local para essa sub-rede. Isso está certo?

  2. Preciso de uma sub-rede para configurar uma VLAN?

  3. Estou ciente de que uma VLAN pode existir dentro de uma sub-rede. Mas meu entendimento é que você teria que atribuir um endereço IP dessa sub-rede à VLAN. Como ele pode ser isolado do resto da sub-rede?

  4. Quando você configuraria uma VLAN? Especialmente se eu conseguir segmentar minha rede usando sub-redes?

  5. Eu continuo encontrando o seguinte ponto. No entanto, não tenho certeza do que isso significa exatamente quando se lê same physical network.

    As redes locais virtuais (VLANs) permitem criar redes físicas e lógicas diferentes; enquanto a sub-rede IP simplesmente nos permite criar redes lógicas através da mesma rede física.

Apreciaria exemplos do mundo real.

subnet vlan AmendoimMacaco
fonte
11
A principal diferença é que a junção de uma sub-rede é baseada na configuração de IP do lado do cliente. Portanto, o cliente pode usar qualquer sub-rede que desejar. Para uma VLAN, a configuração é feita no lado do servidor (por exemplo, com base na porta LAN) e o cliente não pode alterá-la. Do ponto de vista da segurança, essa é uma grande diferença.
Robert
@ Robert - Você pode elaborar o que você quer dizer com client side IP and server side configuration?
PeanutsMonkey
Uma sub-rede é determinada pelo IP que você usa e o IP pode ser escolhido pelo administrador de um computador (ou dispositivo). Portanto, isso é feito no lado do cliente - você não pode controlá-lo. Uma VLAN está configurada no lado do servidor / roteador. Quem controla o roteador / servidor decide qual computador / porta está atribuída a qual VLAN. Um (ou alguns) roteadores / servidores centrais podem ser protegidos logicamente (senha de login) e fisicamente (acesso à sala do servidor).
Robert
Esta página pode ser útil petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm
barlop
@PeanutsMonkey: Lendo seus comentários, parece que você está vendo alguma confusão sobre as várias camadas de rede no modelo OSI. VLANs operam na Camada 2, enquanto sub-redes IP operam na camada 3.
afrazier

Respostas:

73

Sub-rede - é um intervalo de endereços IP determinado por parte de um endereço (geralmente chamado de endereço de rede) e uma máscara de sub-rede (máscara de rede). Por exemplo, se a máscara de rede é 255.255.255.0(ou / 24, para abreviar), eo endereço de rede é 192.168.10.0, em seguida, que define um intervalo de endereços IP 192.168.10.0através 192.168.10.255. Atalho para escrever isso 192.168.10.0/24.

VLAN - Uma boa maneira de pensar nisso é "mudar o particionamento". Digamos que você tenha um switch de 8 portas com capacidade para VLAN. Você pode atribuir 4 portas a uma VLAN (por exemplo, VLAN 1) e 4 portas a outra VLAN (por exemplo, VLAN 2). A VLAN 1 não verá nenhum tráfego da VLAN 2 e vice-versa, logicamente, agora você tem dois comutadores separados. Normalmente em um switch, se o switch não tiver visto um endereço MAC, ele "inundará" o tráfego para todas as outras portas. VLANs evitam isso.

Se dois computadores falarem usando TCP / IP, uma das duas condições deverá ser atendida:

  • Eles devem pertencer à mesma sub-rede. Isso significa que o endereço de rede deve ser o mesmo e a máscara de rede deve ser igual ou menor. Portanto, um computador com uma interface com um endereço IP de ou 192.168.10.4/24pode conversar com um computador com uma interface com um endereço de IP 192.168.10.8/24sem problemas, desde que ambos estejam conectados ao mesmo comutador físico ou VLAN. Se a interface do segundo computador estivesse conectada ao mesmo comutador físico ou VLAN 192.168.11.8/24, isso ignoraria o tráfego (a menos que a interface estivesse no modo promíscuo).

  • Um roteador precisa existir entre os dois computadores que podem encaminhar o tráfego entre sub-redes. O computador A e o computador B precisam de uma rota (ou gateway padrão) para este roteador. Digamos que um computador com uma interface com endereço IP 192.168.10.4/24queira falar com um computador com uma interface com endereço IP 192.168.20.4/24. Sub-redes diferentes, por isso devemos passar por um roteador. Digamos que exista um roteador com duas interfaces (roteadores por definição têm duas interfaces), uma ativada 192.168.10.254/24e uma 192.168.20.254/24. Se a tabela de rotas ou o DHCP estiver configurada corretamente e o computador A e B puderem acessar as interfaces do roteador em suas respectivas sub-redes, eles poderão conversar indiretamente através do roteador.

Forçar o tráfego a passar por um roteador, mesmo que não seja necessário, como no nosso switch de 8 portas acima, traz benefícios de segurança e desempenho - oferece a oportunidade de filtrar o tráfego, a oportunidade de rotear o tráfego de maneira ideal com base no tipo e roteadores não encaminhe o tráfego de broadcast (a menos que esteja configurado de maneira incomum). Às vezes, as VLANs são usadas como um "hack" para gerenciar fluxos / visibilidade do tráfego de transmissão IPv4.

Edite para responder a algumas de suas perguntas:

  • Conceitualmente, as VLANs são equivalentes aos comutadores. O que vem em 1 porta de uma VLAN é replicado ("inundado") para todas as outras portas, a menos que a VLAN tenha visto / aprendido o endereço MAC antes, então é direcionado para essa porta. Não há gateway para a VLAN adequada. Um "gateway" sempre significa o endereço IP de um roteador.

  • Para que a VLAN 1 fale com a VLAN 2, uma interface na VLAN 1 deve estar conectada a um roteador, uma interface na VLAN 2 deve estar conectada a um roteador e esse roteador deve estar configurado para encaminhar o tráfego entre essas sub-redes. No exemplo de 8 portas acima, se desejássemos rotear o tráfego entre essas VLANs, teríamos que gastar 1 porta em cada VLAN conectada a um roteador. O mesmo com um interruptor.

Tenho certeza de que muitos switches / hardware de ponta têm um "roteador VLAN" "embutido" para eles, onde gastar uma porta extra em cada VLAN conectando-a a um roteador físico não é realmente necessário se você deseja rotear entre VLANs no mesmo interruptor. Pode ser aí que o IP da VLAN ou o "gateway" entra em ação. (Convido aqueles com mais conhecimento a editar isso)

  • Quando um computador obtém seu IP via DHCP, geralmente também obtém o "gateway padrão" desse mesmo servidor DHCP. Alguém tem que configurar o servidor DHCP corretamente. Protocolos de roteamento como RIP, IS-IS, OSPF e BGP também podem adicionar rotas. Claro que você tem a opção de adicionar rotas manualmente (rotas "estáticas")

  • Se o seu switch tiver uma porta serial ou uma porta chamada "console", provavelmente ele será gerenciado e suportará VLANs.

LawrenceC
fonte
11
Uma das melhores explicações que já vi hoje. Agora isso levantou uma série de perguntas. A VLAN 1 e a VLAN 2 teriam seu próprio endereço IP ou serão simplesmente identificadas como VLAN 1 e VLAN 2? Se eles estiverem marcados, como os hosts / pontos finais / nós na VLAN 1 se comunicam? Agora, se houver um roteador, o gateway é o endereço IP da VLAN ou o do roteador? Quando você diz route table, é algo que tenho que construir? Além disso, como você sabe se um switch que você herdou é capaz de VLAN (gerenciado) ou não gerenciado?
PeanutsMonkey 4/11
Por favor, veja as edições.
LawrenceC
Obrigado. Eu tinha uma pergunta sobre a frase ven though it's not needed such as on our 8-port switch above, has security and performance benefits. Por que não precisaria passar por um roteador se as sub-redes fazem parte de uma rede diferente?
PeanutsMonkey
Veja mais edições.
LawrenceC
20

Eu achei as outras explicações complicadas.

  • A VLAN permite marcar todos os pacotes de rede com um número mágico (por exemplo 3).
  • Apenas outras placas de rede definidas como 3verão esses pacotes

Coloque vários computadores VLAN 3e eles estarão em seu próprio mundo isolado; eles não verão nenhum outro tráfego.

De repente, você pode ter várias LANs operando nos mesmos fios (ou seja, LANs virtuais ). Você pode até ter dois computadores com o mesmo IP, pois eles têm tags de VLAN diferentes (por exemplo, 3versos 7)

A configuração de um ID de VLAN é feita configurando o driver da placa de rede:

insira a descrição da imagem aqui

Sua milhagem varia de acordo com a sua placa de rede e seus drivers.

Ian Boyd
fonte
Eu encontrei tags VLAN, no entanto, estou intrigado com o que você diz sobre setas placas de rede 3? Presumo que as VLANs não poderiam se ver se não houvesse roteador. Se houver um roteador, suponho que haveria um firewall para impedir que os pacotes fossem transmitidos de uma VLAN para a próxima se um requisito fosse feito. Agora, qual seria o gateway da sub-rede na VLAN? Seria o roteador?
PeanutsMonkey 4/11
A VLAN também possui um endereço IP ou simplesmente uma tag? Com base nas minhas leituras em petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm, parece que os troncos também podem routepacotes. Não tenho certeza se meu entendimento é claro. Isso significa que um switch é um dispositivo de camada 2 e 3?
PeanutsMonkey 4/11/11
Uma VLAN é simplesmente uma tag. Todas as placas de rede devem estar cientes da presença de uma etiqueta VLAN e ignorar pacotes com uma etiqueta VLAN diferente da sua.
Ian Boyd
@IanBoyd: Todas as NICs devem ter conhecimento de VLAN? Eu pensei que os switches de borda entre as VLANs poderiam lidar com toda a marcação (e remoção de tags) do cabeçalho Ehternet.
afrazier
No caso de um switch inteligente como esse: não, o switch pode lidar com o direcionamento de tráfego. Mas, nesse caso, você precisa programar o switch para saber quais portas recebem qual tráfego. A partir da explicação mais simples do que é a VLAN: é uma maneira de marcar pacotes com um ID, para que apenas as placas de rede com o mesmo tag os vejam.
Ian Boyd
8

A explicação simplista é que as VLANs existem para permitir que sub-redes diferentes compartilhem cabeamento físico, portas e comutação. Você poderia ter sub-redes distintas na sua rede sem vlans, mas teria que ter um conjunto diferente de fios para cada um.

Joel Coehoorn
fonte
Finalmente entendi que, ao vasculhar a Web, uma VLAN permite que uma organização utilize o mesmo switch em vez de comprar vários switches, no entanto, ainda estou confuso sobre algumas das perguntas que levantei em meu post.
PeanutsMonkey
4
O que? Não há nada que impeça a operação de várias sub-redes IP na mesma rede física, embora eu não consiga pensar em boas razões para fazê-lo sem as VLANs instaladas. Em particular, você terá sérias dificuldades com o DHCP sem VLANs para isolar o tráfego de broadcast.
afrazier
4

1.Se eu tiver várias sub-redes, presumo que você precisaria de um roteador para se comunicar entre cada sub-rede.

Sim, você precisa de um roteador para mover pacotes entre sub-redes.

Somente dispositivos em cada sub-rede estariam no domínio de broadcast local para essa sub-rede. Isso está certo?

Sim, uma sub-rede é um domínio de broadcast.

2. Preciso de uma sub-rede para configurar uma VLAN?

Sim.

3. Estou ciente de que uma VLAN pode existir em uma sub-rede, mas meu entendimento é que você teria que atribuir à VLAN um endereço IP dessa sub-rede.

Não, pelo que entendi, as VLANs são definidas nos comutadores e isolam o tráfego de cada VLAN.

Como ele pode ser isolado do resto da sub-rede?

Uma VLAN é uma sub-rede.

4.Quando você configuraria uma VLAN, especialmente se eu conseguir segmentar minha rede usando sub-redes?

Quando você precisa segregar o tráfego em dois ou mais grupos sem separar a infraestrutura física (principalmente switches) em dois ou mais grupos físicos.

5.Eu entendo que as redes locais virtuais (VLANs) nos permitem criar redes físicas e lógicas diferentes; enquanto a sub-rede IP simplesmente nos permite criar redes lógicas através da mesma rede física. no entanto, não tenho certeza do que isso significa exatamente quando lê a mesma rede física.

Uma LAN física é composta principalmente de switches e cabos dispostos (no caso da Ethernet) em uma única estrutura em árvore.

Normalmente, uma LAN é uma única sub-rede. Uma organização pode ter várias LANs vinculadas por roteadores.

Uma única LAN física pode ser dividida em várias LANs lógicas (VLANs) usando o suporte a VLAN nos comutadores. Cada VLAN possui uma sub-rede separada. Portanto, é necessário um roteador para mover pacotes entre as LANs lógicas (VLANs).

Atualização: algumas respostas para perguntas de acompanhamento nos comentários.

se eu quisesse que os dispositivos em duas VLANs separadas comuniquem que não é necessário um roteador, pois eu posso usar o entroncamento.

Aqui estão algumas citações de http://www.formortals.com/an-introduction-to-vlan-trunking/

"O entroncamento de VLAN permite que um único adaptador de rede se comporte como o número" n "de adaptadores de rede virtual, em que" n "possui um limite superior teórico de 4096, mas normalmente é limitado a 1000 segmentos de rede VLAN. "

" Os roteadores podem se tornar infinitamente mais úteis depois de serem acessados ​​na infraestrutura do switch corporativo. Depois de acessados, tornam-se onipresentes e podem fornecer serviços de roteamento para qualquer sub-rede em qualquer canto da rede corporativa " .

Portanto, você ainda precisa de um roteador, mas, com o entroncamento da VLAN, ele pode ser um roteador de um braço (roteador em um stick). Os switches high-end incluem recursos de roteamento, portanto, talvez você não precise de um roteador separado porque o switch high-end também é um roteador de camada 3.

Quando você diz que preciso de uma sub-rede para configurar uma VLAN, o que você quer dizer exatamente?

VLANs são um conceito de camada 2. Assim como os switches Ethernet são um dispositivo de camada 2. As VLANs podem fazer alguns comutadores realizarem trabalhos onde, de outra forma, você precisará de meia dúzia de comutadores em grupos isolados. No entanto, seus nós (computadores, impressoras etc.) normalmente usam o endereçamento de camada 3 (IP).

Para que os nós em uma VLAN (N para rede) se comuniquem com os nós em outra VLAN (N para rede), é necessário um protocolo InterNetwork (em outras palavras, IP). No IP, para mover pacotes entre redes, precisamos que cada rede tenha um endereço de rede de camada 3 diferente.

É aqui que entra a sub-rede - dividindo o intervalo de endereços de rede da camada 3 alocado de uma organização em sub-redes usando máscaras de sub-rede. Em seguida, você pode usar um roteador para permitir que dispositivos em uma sub-rede (em uma VLAN) se comuniquem com dispositivos em outra sub-rede (em outra VLAN).

RedGrittyBrick
fonte
@RedGrittyBrick - Thanks. Quando você diz que preciso de uma sub-rede para configurar uma VLAN, o que você quer dizer exatamente? Para mim, a sub-rede é a segregação ou segmentação de endereços IP? Pelo que entendi, as VLANs operam na Camada 2, o que significa que resolve endereços MAC para endereços IP, assumindo que meu entendimento esteja correto, por que e como você criaria uma sub-rede para configurar uma VLAN? Eu não segui o que você quis dizer com VLAN is defined in the switches and isolates the traffic of each VLAN?
PeanutsMonkey
@RedGrittyBrick - Parece também que, se eu quisesse que os dispositivos em 2 VLANs separadas comuniquem que não é necessário um roteador, posso usar o entroncamento.
PeanutsMonkey
@PeanutsMonkey Talvez seja possível que vocês dois estejam trocando incorretamente os termos VLAN e VLANs. Ele como um erro de digitação em uma frase que você leu sobre ele e você em sua mente. VLANs é o plural de VLAN. Então, nesta frase, ele escreveu: "A VLAN é definida nos comutadores e isola o tráfego de cada VLAN?" talvez devesse ler "VLANs são definidos no cada switch / e tráfego em cada VLAN é isolado"
barlop
@ Barlop - Entendo que uma VLAN é um subconjunto de VLANs, no entanto, estou ficando confuso com o conteúdo do link que você sugeriu, isto é, petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm . Por exemplo, o conteúdo dizAt this point, only ports 2 and 3 should be able to communicate with each other and ports 4 & 5 should be able to communicate. That is because each of these is in its own VLAN
PeanutsMonkey 3/11/11
For the device on port 2 to communicate with the device on port 4, you would have to configure a trunk port to a router so that it can strip off the VLAN information, route the packet, and add back the VLAN information
PeanutsMonkey
2

1.Se eu tiver várias sub-redes, presumo que você precisaria de um roteador para se comunicar entre cada sub-rede. Somente dispositivos em cada sub-rede estariam no domínio de broadcast local para essa sub-rede. Isso está certo?

Redes IP (sub-redes) são um conceito de camada 3. Se dois PCs estiverem conectados ao mesmo switch L2 sem VLAN, eles estarão no mesmo domínio de broadcast L2, mas não no domínio de broadcast L3.

2. Preciso de uma sub-rede para configurar uma VLAN?

Não. No entanto, se você quiser que os dispositivos em uma VLAN se comuniquem, provavelmente precisarão de algum protocolo L3.

3. Estou ciente de que uma VLAN pode existir em uma sub-rede, mas meu entendimento é que você teria que atribuir à VLAN um endereço IP dessa sub-rede. Como ele pode ser isolado do resto da sub-rede?

Não está claro o que você está perguntando.

4.Quando você configuraria uma VLAN, especialmente se eu conseguir segmentar minha rede usando sub-redes?

As VLANs são simplesmente uma maneira de fazer com que um dispositivo L2 pareça ser vários dispositivos L2.

5.Eu entendo que as redes locais virtuais (VLANs) nos permitem criar redes físicas e lógicas diferentes; enquanto a sub-rede IP simplesmente nos permite criar redes lógicas através da mesma rede física. no entanto, não tenho certeza do que isso significa exatamente quando lê a mesma rede física.

dbasnett
fonte
Quando você diz que eles estarão no mesmo domínio de broadcast da Camada 2 e não no domínio dos broadcats da Camada 3, o que isso significa exatamente?
PeanutsMonkey
Isso significa que, se um pacote, com todos no campo de destino MAC, for transmitido, ele será visto por todos os dispositivos. O domínio de broadcast da camada 3 pode ser um no endereço IP ou os números de rede são iguais e a parte do host do endereço é todos. Antes de passar para VLANs você precisa entender os conceitos básicos de Camada 2 e 3.
dbasnett
Obrigado. Você poderia aprofundar o que você quer dizer com all ones? Você está se referindo a cálculos binários e bit a bit?
PeanutsMonkey 4/11
Sim, todos os binários, mac = ffffffffffff para MAC e 255.255.255.255 para IP.
dbasnett