Question Comment fonctionnent les VLAN?


Que sont les VLAN? Quels problèmes résolvent-ils?

J'aide un ami à apprendre le réseautage de base, car il vient de devenir le seul administrateur système dans une petite entreprise. Je l’ai pointé vers diverses questions / réponses sur Serverfault concernant divers sujets liés au réseau, et j’ai remarqué une lacune: il ne semble pas y avoir de réponse qui explique, à partir des principes de base, ce que sont les VLAN. Dans l'esprit de Comment fonctionne le sous-réseau, J’ai pensé qu’il serait utile d’avoir une question avec une réponse canonique ici.

Quelques sujets potentiels à couvrir dans une réponse:

  • Que sont les VLAN?
  • Quels problèmes étaient-ils censés résoudre?
  • Comment les choses fonctionnaient-elles avant les VLAN?
  • Quel est le lien entre les VLAN et les sous-réseaux?
  • Que sont les SVI?
  • Que sont les ports de jonction et les ports d'accès?
  • Qu'est-ce que VTP?

EDIT: pour être clair, je sais déjà comment les VLAN fonctionnent - je pense juste que Serverfault devrait avoir une réponse qui couvre ces questions. Si le temps le permet, je vais également soumettre ma propre réponse.


115
2017-10-06 23:17


origine


Peut-être une autre question: quelles sont les différences entre les VLAN statiques et dynamiques? Quels sont les moyens de les gérer? Et un petit plus: quelles sont les normes régissant l’interopérabilité des VLAN entre les fournisseurs? - Hubert Kario
Comme si c'était enflammé, je suis arrivé et j'ai ajouté mes 4 000 mots ... (je suppose que je peux vivre avec un wiki de communauté ... Je suppose que je n'ai vraiment pas besoin du représentant ...> sourire <) - Evan Anderson
@ Evan: J'espérais un peu que vous vous présentiez. Je dois avouer cependant que j'aurais pu en faire un peu plus avec le représentant avant de passer cela à CW. :) - Murali Suriar


Réponses:


Les réseaux locaux virtuels (VLAN) constituent une abstraction permettant à un seul réseau physique d'émuler les fonctionnalités de plusieurs réseaux physiques parallèles. Ceci est pratique car il peut arriver que vous ayez besoin des fonctionnalités de plusieurs réseaux physiques parallèles, mais que vous préférez ne pas dépenser de l'argent pour acheter du matériel parallèle. Je vais parler des VLAN Ethernet dans cette réponse (même si d'autres technologies de réseau peuvent prendre en charge les VLAN) et je ne m'attarderai pas à toutes les nuances.

Un exemple inventé et un problème

A titre d'exemple purement artificiel, imaginez que vous possédiez un immeuble de bureaux que vous louez à des locataires. En tant que bénéfice du bail, chaque locataire recevra des prises Ethernet sous tension dans chaque pièce du bureau. Vous achetez un commutateur Ethernet pour chaque étage, vous les câblez aux prises de chaque bureau situé à cet étage et vous connectez tous les commutateurs ensemble.

Au début, vous louez des espaces à deux locataires différents, l'un au premier étage et l'autre au deuxième. Chacun de ces locataires configure son ordinateur avec des adresses IPv4 statiques. Les deux locataires utilisent des sous-réseaux TCP / IP différents et tout semble bien fonctionner.

Plus tard, un nouveau locataire loue la moitié du troisième étage et ouvre l’un de ces nouveaux serveurs DHCP. Le temps passe et le locataire du 1er étage décide de sauter dans le train DHCP. C'est le moment où les choses commencent à aller mal. Les locataires de l’étage 3 indiquent que certains de leurs ordinateurs reçoivent des adresses IP «amusantes» d’un ordinateur autre que leur serveur DHCP. Bientôt, les locataires de l’étage 1 signalent la même chose.

DHCP est un protocole qui tire parti de la capacité de diffusion d’Ethernet pour permettre aux ordinateurs clients d’obtenir des adresses IP de manière dynamique. Comme les locataires partagent tous le même réseau Ethernet physique, ils partagent le même domaine de diffusion. Un paquet de diffusion envoyé à partir de n'importe quel ordinateur du réseau inondera tous les ports du commutateur vers tous les autres ordinateurs. Les serveurs DHCP des étages 1 et 3 recevront toutes les demandes de location d’adresses IP et se battront pour voir qui peut répondre en premier. Ce n'est clairement pas le comportement que vous souhaitez que vos locataires éprouvent. C’est le comportement, cependant, d’un réseau Ethernet "plat" sans aucun VLAN.

Pire encore, un locataire de l’étage 2 acquiert ce logiciel «Wireshark» et signale qu’il voit de temps en temps un trafic sortant de son commutateur qui fait référence à des ordinateurs et à des adresses IP dont il n’a jamais entendu parler. Un de leurs employés a même découvert qu'il pouvait communiquer avec ces autres ordinateurs en modifiant l'adresse IP attribuée à son PC de 192.168.1.38 à 192.168.0.38! Vraisemblablement, il n’est qu’à quelques pas de la prestation de «services d’administration de système pro bono non autorisés» à l’un des autres locataires. Pas bon.

Solutions potentielles

Vous avez besoin d'une solution! Vous pourriez simplement tirer les bouchons entre les étages et cela couperait toute communication indésirable! Ouais! C'est le billet ...

Cela pourrait fonctionner, sauf que vous avez un nouveau locataire qui louera la moitié du sous-sol et la moitié inoccupée du troisième étage. S'il n'y a pas de connexion entre le commutateur d'étage 3 et le commutateur de sous-sol, le nouveau locataire ne pourra pas établir de communication entre leurs ordinateurs qui seront répartis sur leurs deux étages. Tirer les bouchons n'est pas la solution. Pire encore, le nouveau locataire apporte encore un autre un de ces serveurs DHCP!

Vous flirtez avec l'idée d'acheter des ensembles de commutateurs Ethernet distincts pour chaque locataire, mais compte tenu du fait que votre bâtiment compte 30 étages, chacun pouvant être subdivisé en 4 voies, le nid potentiel de câbles de câbles entre deux étages un grand nombre de commutateurs Ethernet parallèles pourrait être un cauchemar, pour ne pas dire cher. Si seulement il était possible de faire en sorte qu'un seul réseau Ethernet physique agisse comme s'il s'agissait de plusieurs réseaux Ethernet physiques, chacun avec son propre domaine de diffusion.

Les VLAN à la rescousse

Les VLAN sont une réponse à ce problème complexe. Les VLAN vous permettent de subdiviser un commutateur Ethernet en commutateurs Ethernet virtuels et disparates. Cela permet à un commutateur Ethernet unique d'agir comme s'il s'agissait de plusieurs commutateurs Ethernet physiques. Dans le cas de votre étage 3 subdivisé, par exemple, vous pouvez configurer votre commutateur à 48 ports de sorte que les 24 ports les plus bas se trouvent dans un VLAN donné (que nous appellerons le VLAN 12) et les 24 ports les plus hauts se trouvant dans un VLAN donné ( que nous appellerons VLAN 13). Lorsque vous créez les VLAN sur votre commutateur, vous devez leur attribuer un nom ou un numéro de VLAN. Les chiffres que j'utilise ici sont pour la plupart arbitraires, alors ne vous inquiétez pas des chiffres que je choisirai.

Une fois que vous avez divisé le commutateur d'étage 3 en VLAN 12 et 13, vous constatez que le nouveau locataire d'étage 3 peut connecter son serveur DHCP à l'un des ports attribués au VLAN 13 et à un PC branché à un port affecté au VLAN 12. t obtenir une adresse IP du nouveau serveur DHCP. Excellent! Problème résolu!

Oh, attendez ... comment pouvons-nous obtenir ces données VLAN 13 au sous-sol?

Communication VLAN entre commutateurs

Votre locataire de demi-étage 3 et de demi-sous-sol souhaite connecter des ordinateurs du sous-sol à leurs serveurs de l'étage 3. Vous pouvez utiliser un câble directement depuis l'un des ports attribués à leur VLAN situé dans le commutateur d'étage 3 vers le sous-sol. ce serait bien, non?

Dans les premiers temps des VLAN (pré-standard 802.1Q), vous pourriez le faire. L'ensemble du commutateur de sous-sol ferait effectivement partie du VLAN 13 (le VLAN que vous avez choisi d'attribuer au nouveau locataire au 3ème étage et au sous-sol) car ce commutateur de sous-sol serait "alimenté" par un port affecté au 3ème étage vers VLAN 13.

Cette solution fonctionnerait jusqu’à ce que vous louiez l’autre moitié du sous-sol à votre locataire de l’étage qui souhaite également assurer la communication entre ses ordinateurs du 1er étage et ceux du sous-sol. Vous pouvez diviser le commutateur de sous-sol à l'aide de VLAN (en VLANS 2 et 13, par exemple) et faire passer un câble du 1er étage à un port attribué au VLAN 2 du sous-sol, mais votre jugement vous dit que cela pourrait rapidement devenir un nid de rat. des câbles (et ne va qu'empirer). La division des commutateurs à l'aide de VLAN est une bonne chose, mais devoir brancher plusieurs câbles d'autres commutateurs sur des ports membres de différents VLAN semble compliqué. Sans aucun doute, si vous deviez diviser le commutateur de sous-sol de 4 manières différentes entre locataires qui disposaient également d'un espace aux étages supérieurs, vous utiliseriez 4 ports sur le commutateur de sous-sol uniquement pour terminer les câbles d'alimentation des VLAN à l'étage supérieur.

Il devrait maintenant être clair qu'un certain type de méthode généralisée permettant de transférer le trafic de plusieurs VLAN entre des commutateurs sur un seul câble est nécessaire. Le simple fait d'ajouter plus de câbles entre les commutateurs pour prendre en charge les connexions entre différents VLAN n'est pas une stratégie évolutive. Finalement, avec suffisamment de VLAN, vous allez manger tous les ports de vos commutateurs avec ces connexions inter-VLAN / inter-commutateur. Ce qu'il faut, c'est un moyen de transporter les paquets provenant de plusieurs VLAN le long d'une seule connexion: une connexion "trunk" entre commutateurs.

Jusqu'à présent, tous les ports de commutateur dont nous avons parlé s'appellent des "ports d'accès". C'est-à-dire que ces ports sont dédiés à l'accès à un seul VLAN. Les périphériques connectés à ces ports n'ont aucune configuration particulière. Ces périphériques ne "savent" pas que des VLAN sont présents. Les trames envoyées par les périphériques clients sont remises au commutateur, qui s'assure ensuite que la trame est uniquement envoyée aux ports affectés en tant que membres du VLAN affecté au port où la trame est entrée dans le commutateur. Si une trame entre dans le commutateur sur un port affecté en tant que membre du VLAN 12, le commutateur n'enverra que les ports de sortie en sortie membres du VLAN 12. Le commutateur "connaît" le numéro de VLAN attribué à un port d'où il reçoit un message. frame et sait en quelque sorte ne livrer que les ports de cette trame du même VLAN.

S'il existait un moyen pour un commutateur de partager le numéro de VLAN associé à une trame donnée avec d'autres commutateurs, ce dernier pourrait gérer correctement la transmission de cette trame uniquement aux ports de destination appropriés. C’est ce que fait le protocole de marquage VLAN 802.1Q. (Il est intéressant de noter qu'avant la norme 802.1Q, certains fournisseurs établissaient leurs propres normes en matière de marquage VLAN et de liaisons inter-commutateurs. Ces méthodes prédéfinies ont toutes été supplantées par la norme 802.1Q.)

Lorsque vous avez deux commutateurs compatibles VLAN connectés l'un à l'autre et que vous voulez qu'ils transmettent des trames entre eux au VLAN approprié, vous connectez ces commutateurs à l'aide de ports "trunk". Cela implique de changer la configuration d'un port sur chaque commutateur du mode "accès" au mode "réseau" (dans une configuration très basique).

Lorsqu'un port est configuré en mode réseau, chaque trame envoyée par le commutateur à ce port aura un "tag VLAN" inclus dans la trame. Ce "tag VLAN" ne faisait pas partie du cadre d'origine envoyé par le client. Au lieu de cela, cette balise est ajoutée par le commutateur d'envoi avant d'envoyer la trame par le port de ligne réseau. Cette balise indique le numéro de VLAN associé au port d'où provient la trame.

Le commutateur de réception peut examiner la balise pour déterminer le réseau local virtuel d'où provient la trame et, en fonction de ces informations, ne transférer que les ports sortants de la trame attribués au réseau local virtuel d'origine. Comme les périphériques connectés aux ports "d'accès" ne savent pas que les VLAN sont utilisés, les informations "de balise" doivent être supprimées de la trame avant l'envoi d'un port configuré en mode d'accès. Cette suppression des informations de balise a pour effet de masquer l'intégralité du processus de jonction VLAN aux périphériques clients, car la trame qu'ils reçoivent ne portera aucune information de balise VLAN.

Avant de configurer les réseaux locaux virtuels dans la vie réelle, nous vous recommandons de configurer un port pour le mode réseau sur un commutateur test et de surveiller le trafic envoyé par ce port à l'aide d'un renifleur (comme Wireshark). Vous pouvez créer un exemple de trafic provenant d'un autre ordinateur branché sur un port d'accès et voir que les trames quittant le port de coffre seront en réalité plus grandes que les trames envoyées par votre ordinateur de test. Vous verrez les informations de balise VLAN dans les cadres de Wireshark. Je trouve que cela vaut la peine de voir ce qui se passe dans un renifleur. La lecture de la norme de marquage 802.1Q est également une bonne chose à faire à ce stade (d’autant plus que je ne parle pas de choses telles que les "VLAN natifs" ou le double marquage).

Cauchemars de configuration de VLAN et la solution

Au fur et à mesure que vous louez de plus en plus d'espace dans votre bâtiment, le nombre de VLAN augmente. Chaque fois que vous ajoutez un nouveau réseau local virtuel, vous devez vous connecter à un nombre croissant de commutateurs Ethernet et ajouter ce réseau local virtuel à la liste. Ne serait-il pas formidable de disposer d'une méthode permettant d'ajouter ce réseau local virtuel à un seul manifeste de configuration et de le renseigner automatiquement dans la configuration de réseau local virtuel de chaque commutateur?

Des protocoles tels que le "VTP Trunking Protocol" exclusif de Cisco ou le "Protocole d'enregistrement de plusieurs VLAN" (MVRP - précédemment orthographié GVRP) basé sur des normes remplissent cette fonction. Dans un réseau utilisant ces protocoles, une seule entrée de création ou de suppression de VLAN entraîne l'envoi de messages de protocole à tous les commutateurs du réseau. Ce message de protocole communique le changement de configuration du VLAN au reste des commutateurs, qui à leur tour modifient leurs configurations de VLAN. VTP et MVRP ne concernent pas les ports spécifiques configurés en tant que ports d'accès pour des VLAN spécifiques, mais sont plutôt utiles pour communiquer la création ou la suppression de VLAN à tous les commutateurs.

Une fois familiarisé avec les réseaux VLAN, vous aurez probablement envie de revenir en arrière et de vous renseigner sur «l'élagage de VLAN», associé à des protocoles tels que VTP et MVRP. Pour le moment, il n’ya rien qui nous préoccupe énormément. (Le Article de VTP sur Wikipedia a un beau diagramme qui explique l’élagage de VLAN et ses avantages.)

Quand utilisez-vous des VLAN dans la vie réelle?

Avant d'aller beaucoup plus loin, il est important de penser à la vie réelle plutôt qu'aux exemples artificiels. Au lieu de dupliquer le texte d'une autre réponse, je vous renvoie à ma réponse re: quand créer des VLAN. Ce n'est pas nécessairement "niveau débutant", mais cela vaut la peine de jeter un coup d'oeil maintenant car je vais y faire référence brièvement avant de revenir à un exemple artificiel.

Pour la foule "tl; dr" (qui ont sûrement tous cessé de lire à ce stade, en tout cas), le lien ci-dessus résume ce qui suit: Créez des VLAN pour réduire les domaines de diffusion ou pour séparer le trafic pour une raison particulière (sécurité). , politique, etc.). Il n'y a pas vraiment d'autres bonnes raisons d'utiliser des VLAN.

Dans notre exemple, nous utilisons des VLAN pour limiter les domaines de diffusion (pour que les protocoles tels que DHCP fonctionnent correctement) et, ensuite, parce que nous souhaitons une isolation entre les réseaux des différents locataires.

Un côté concernant les sous-réseaux et les VLAN IP

En règle générale, il existe une relation un-à-un entre les VLAN et les sous-réseaux IP pour des raisons de commodité, afin de faciliter l'isolation et en raison du fonctionnement du protocole ARP.

Comme nous l'avons vu au début de cette réponse, deux sous-réseaux IP différents peuvent être utilisés sur le même Ethernet physique sans problème. Si vous utilisez des VLAN pour réduire les domaines de diffusion, vous ne voudrez pas partager le même VLAN avec deux sous-réseaux IP différents, car vous combinerez leur trafic ARP et autre.

Si vous utilisez des VLAN pour séparer le trafic pour des raisons de sécurité ou de politique, vous ne voudrez probablement pas non plus combiner plusieurs sous-réseaux dans le même VLAN, car vous allez nier le but de l'isolation.

IP utilise un protocole basé sur la diffusion, ARP (Address Resolution Protocol), pour mapper les adresses IP sur des adresses physiques (MAC Ethernet). L'ARP étant basé sur la diffusion, l'attribution de différentes parties du même sous-réseau IP à différents VLAN poserait des problèmes car les hôtes d'un VLAN ne pourraient pas recevoir de réponses ARP des hôtes de l'autre VLAN, car les diffusions ne sont pas transférées entre les VLAN. Vous pouvez résoudre ce "problème" en utilisant proxy-ARP, mais il est préférable de ne pas le faire, sauf si vous avez vraiment une bonne raison de scinder un sous-réseau IP entre plusieurs VLAN.

Un dernier aparté: VLAN et sécurité

Enfin, il convient de noter que les VLAN ne sont pas un périphérique de sécurité de grande qualité. De nombreux commutateurs Ethernet ont des bogues qui permettent aux trames provenant d’un VLAN d’être envoyées à des ports attribués à un autre VLAN. Les fabricants de commutateurs Ethernet ont travaillé d'arrache-pied pour résoudre ces problèmes, mais il est peu probable qu'une implémentation soit totalement exempte de problèmes.

Dans le cas de notre exemple, l’employé de l’étage 2 qui est à quelques instants de la fourniture gratuite de "services" d’administration des systèmes à un autre locataire peut être empêché de le faire en isolant son trafic dans un VLAN. Il pourrait également comprendre comment exploiter les bogues du micrologiciel du commutateur pour permettre à son trafic de "fuir" également sur le VLAN d'un autre locataire.

Les fournisseurs Ethernet métropolitains s'appuient de plus en plus sur la fonctionnalité de marquage VLAN et sur l'isolation fournie par les commutateurs. Ce n'est pas juste de dire qu'il y a non sécurité offerte par l’utilisation de VLAN. Il est toutefois juste de dire que dans les situations où les connexions Internet ou les réseaux DMZ ne sont pas fiables, il est probablement préférable d’utiliser des commutateurs séparés physiquement pour acheminer ce trafic "délicat" plutôt que des VLAN sur des commutateurs qui acheminent également votre trafic "derrière le pare-feu" de confiance.

Amener la couche 3 dans l'image

Jusqu'à présent, tout ce dont cette réponse a parlé concerne la couche 2, les trames Ethernet. Que se passe-t-il si nous commençons à introduire la couche 3 dans ceci?

Revenons à l'exemple du bâtiment artificiel. Vous avez choisi les réseaux VLAN que vous avez choisis pour configurer les ports de chaque client en tant que membres de réseaux VLAN distincts. Vous avez configuré des ports de ligne de telle sorte que le commutateur de chaque étage puisse échanger des trames marquées avec le numéro de VLAN d'origine vers les commutateurs de l'étage supérieur et inférieur. Un locataire peut avoir des ordinateurs répartis sur plusieurs étages mais, en raison de votre habileté à configurer le VLAN, ces ordinateurs distribués physiquement peuvent sembler faire partie du même réseau local physique.

Vous êtes tellement bourré de vos réalisations informatiques que vous décidez de commencer à offrir une connectivité Internet à vos locataires. Vous achetez un gros tuyau Internet et un routeur. Vous proposez l'idée à tous vos locataires et deux d'entre eux y adhèrent immédiatement. Heureusement pour vous, votre routeur dispose de trois ports Ethernet. Vous connectez un port à votre canal Internet fat, un autre port à un port de commutateur attribué pour accéder au VLAN du premier locataire et l'autre à un port affecté à l'accès au VLAN du deuxième locataire. Vous configurez les ports de votre routeur avec des adresses IP sur le réseau de chaque client et ceux-ci commencent à accéder à Internet via votre service! Les revenus augmentent et vous êtes heureux.

Bientôt, cependant, un autre locataire décide de se connecter à votre offre Internet. Vous êtes cependant à court de ports sur votre routeur. Que faire?

Heureusement, vous avez acheté un routeur prenant en charge la configuration de "sous-interfaces virtuelles" sur ses ports Ethernet. En bref, cette fonctionnalité permet au routeur de recevoir et d'interpréter les trames étiquetées avec les numéros de VLAN d'origine et d'avoir des interfaces virtuelles (c'est-à-dire non physiques) configurées avec des adresses IP appropriées pour chaque VLAN avec lequel il communiquera. En réalité, cela vous permet de "multiplexer" un seul port Ethernet sur le routeur, de sorte qu'il semble fonctionner comme plusieurs ports Ethernet physiques.

Vous connectez votre routeur à un port de ligne réseau de l'un de vos commutateurs et configurez des sous-interfaces virtuelles correspondant au schéma d'adressage IP de chaque locataire. Chaque sous-interface virtuelle est configurée avec le numéro de VLAN attribué à chaque client. Lorsqu'un cadre quitte le port de ligne réseau du commutateur, à destination du routeur, il porte une balise avec le numéro de VLAN d'origine (puisqu'il s'agit d'un port de ligne réseau). Le routeur interprétera cette balise et traitera le paquet comme s'il était arrivé sur une interface physique dédiée correspondant à ce VLAN. De même, lorsque le routeur envoie une trame au commutateur en réponse à une demande, il ajoute une balise VLAN à la trame de sorte que le commutateur sache à quel VLAN la trame de réponse doit être livrée. En effet, vous avez configuré le routeur pour qu'il "apparaisse" en tant que périphérique physique dans plusieurs VLAN tout en utilisant une seule connexion physique entre le commutateur et le routeur.

Routeurs sur bâtons et commutateurs de couche 3

En utilisant des sous-interfaces virtuelles, vous avez été en mesure de vendre la connectivité Internet à tous vos locataires sans avoir à acheter un routeur doté de plus de 25 interfaces Ethernet. Vous êtes assez satisfait de vos réalisations informatiques, vous réagissez donc de manière positive lorsque deux de vos locataires vous adressent une nouvelle demande.

Ces locataires ont choisi de "s'associer" sur un projet et souhaitent autoriser l'accès des ordinateurs clients d'un bureau de locataire (un VLAN donné) à un ordinateur serveur situé dans le bureau de l'autre locataire (un autre VLAN). Comme ils sont tous deux des clients de votre service Internet, il suffit d'un simple changement de liste de contrôle d'accès dans votre routeur Internet principal (sur lequel une sous-interface virtuelle est configurée pour chacun des VLAN de ces clients), afin de permettre au trafic de circuler entre leurs VLAN ainsi que sur Internet à partir de leurs VLAN. Vous effectuez le changement et envoyez les locataires sur leur chemin.

Le lendemain, vous recevez des plaintes des deux locataires selon lesquelles l'accès entre les ordinateurs clients d'un bureau et le serveur du deuxième bureau est très lent. Les serveurs et les ordinateurs clients disposent tous deux d’une connexion Ethernet gigabit avec vos commutateurs, mais les fichiers ne sont transférés qu’à environ 45 Mbps, ce qui, par coïncidence, est environ la moitié de la vitesse à laquelle votre routeur central se connecte à son commutateur. Il est clair que le trafic allant du VLAN source au routeur et sortant du routeur au VLAN de destination est entravé par la connexion du routeur au commutateur.

Ce que vous avez fait avec votre routeur principal, lui permettant d’acheminer le trafic entre VLAN, est communément appelé "routeur sur clé" (un euphémisme stupidement stupide). Cette stratégie peut bien fonctionner, mais le trafic ne peut circuler qu'entre les VLAN jusqu'à la capacité de la connexion du routeur au commutateur. Si, d'une manière ou d'une autre, le routeur pouvait être associé au "tripes" du commutateur Ethernet lui-même, il pourrait acheminer le trafic encore plus rapidement (puisque le commutateur Ethernet lui-même, conformément à la fiche technique du fabricant, est capable de basculer sur un trafic de 2 Gbps).

Un "commutateur de couche 3" est un commutateur Ethernet qui, logiquement, contient un routeur enterré à l'intérieur de lui-même. Je trouve extrêmement utile de penser à un commutateur de couche 3 comme ayant un routeur minuscule et rapide se cachant à l'intérieur du commutateur. De plus, je vous conseillerais de penser à la fonctionnalité de routage en tant que fonction distincte de la fonction de commutation Ethernet fournie par le commutateur de couche 3. Un commutateur de couche 3 est, à toutes fins pratiques, deux périphériques distincts regroupés dans un même châssis.

Le routeur intégré dans un commutateur de couche 3 est connecté à la matrice de commutation interne du commutateur à une vitesse permettant généralement le routage des paquets entre les VLAN à une vitesse filaire ou proche. De manière analogue aux sous-interfaces virtuelles que vous avez configurées sur votre "routeur sur clé", ce routeur intégré dans le commutateur de couche 3 peut être configuré avec des interfaces virtuelles qui "apparaissent" comme des connexions "d'accès" dans chaque VLAN. Plutôt que d'être appelées sous-interfaces virtuelles, ces connexions logiques des VLAN au routeur intégré à l'intérieur d'un commutateur de couche 3 sont appelées interfaces virtuelles de commutateur (SVI). En effet, le routeur intégré à l'intérieur d'un commutateur de couche 3 dispose d'un certain nombre de «ports virtuels» pouvant être «connectés» à l'un des VLAN du commutateur.

Le routeur intégré fonctionne de la même manière qu’un routeur physique, à la différence qu’il n’a généralement pas les mêmes fonctionnalités de protocole de routage dynamique ou de liste de contrôle d’accès (ACL) qu’un routeur physique (à moins que vous n’ayez acheté une couche 3 vraiment agréable. commutateur). Le routeur intégré présente toutefois l'avantage d'être très rapide et de ne pas avoir de goulet d'étranglement associé à un port de commutateur physique auquel il est branché.

Dans le cas de notre exemple ici avec les locataires "partenaires", vous pouvez choisir d’obtenir un commutateur de couche 3, de le brancher sur des ports de ligne réseau de manière à ce que le trafic des VLAN des deux clients l’atteigne, puis de configurer les SVI avec adresses IP et appartenances de VLAN "apparaît" dans les VLAN des deux clients. Une fois que vous avez terminé, il vous suffit de modifier la table de routage de votre routeur principal et du routeur intégré dans le commutateur de couche 3 de manière à ce que le trafic circulant entre les VLAN des locataires soit acheminé par le routeur intégré situé à l'intérieur du commutateur de couche 3 par rapport au commutateur. "routeur sur un bâton".

L'utilisation d'un commutateur de couche 3 ne signifie pas qu'il n'y aura toujours pas de goulots d'étranglement associés à la bande passante des ports de jonction qui interconnectent vos commutateurs. Ceci est cependant une préoccupation orthogonale pour ceux que les VLAN adressent. Les VLAN n'ont rien à voir avec des problèmes de bande passante. Les problèmes de bande passante sont généralement résolus soit en obtenant des connexions inter-commutateurs à grande vitesse, soit en utilisant des protocoles d'agrégation de liaisons pour "relier" plusieurs connexions à une vitesse inférieure en une connexion virtuelle à une vitesse supérieure. À moins que tous les périphériques créant des trames devant être routées par le routeur intégré à l'intérieur du commutateur 3 le plus récent ne soient eux-mêmes connectés directement aux ports du commutateur de couche 3, vous devez toujours vous soucier de la bande passante des liaisons entre les commutateurs. Un commutateur de couche 3 n'est pas une panacée, mais il est généralement plus rapide qu'un "routeur sur un bâton".

VLAN dynamiques

Enfin, certains commutateurs fournissent une appartenance dynamique au VLAN. Plutôt que d'affecter un port donné à être un port d'accès pour un VLAN donné, la configuration du port (accès ou jonction et pour quels VLAN) peut être modifiée de manière dynamique lorsqu'un périphérique est connecté. Les VLAN dynamiques sont un sujet plus avancé, mais il peut être utile de savoir que la fonctionnalité existe.

La fonctionnalité varie selon les fournisseurs, mais vous pouvez généralement configurer l’appartenance dynamique au VLAN en fonction de l’adresse MAC du périphérique connecté, de l’état de l’authentification 802.1X du périphérique, des protocoles propriétaires et normalisés (CDP et LLDP, par exemple, pour permettre aux téléphones IP de se connecter). "découvrir" le numéro de VLAN pour le trafic vocal), le sous-réseau IP attribué au périphérique client ou le type de protocole Ethernet.


204
2017-10-07 04:37



Vous cherchez encore de l'or, hein? :) - squillman
+1 Vous avez évidemment déployé des efforts considérables dans ce domaine, merci! - Tim Long
+1: Ouah! Excellente réponse. - Arun Saha
adore ceci: "services d'administration de système pro bono non autorisés";) - problemPotato
@ guntbert - Je suis heureux que cela vous aide. - Evan Anderson


Les VLAN sont des "réseaux locaux virtuels". Ce qui suit est ma compréhension - mes antécédents sont principalement en ingénierie et administration de systèmes avec une part de programmation OO et beaucoup de scripts.

Les VLAN sont destinés à créer un réseau isolé sur plusieurs périphériques matériels. Dans les temps anciens, un réseau local traditionnel ne peut exister que si vous avez un seul périphérique matériel dédié à un réseau particulier. Tous les serveurs / périphériques connectés à ce périphérique réseau (commutateur ou concentrateur en fonction de la période historique) sont généralement autorisés à communiquer librement entre le réseau local.

Un réseau local virtuel diffère par le fait que vous pouvez interconnecter plusieurs périphériques réseau et créer des réseaux isolés en regroupant les serveurs dans un réseau local virtuel, ce qui vous évite d'avoir à disposer d'un périphérique réseau "dédié" pour un seul réseau local. Le nombre de VLAN configurables et de serveurs / périphériques pris en charge variera selon les fabricants de périphériques réseau.

Encore une fois en fonction du vendeur, je ne pense que tous les serveurs doivent être sur le même sous-réseau pour faire partie du même VLAN. Je pense que c’est le cas avec les configurations de réseau héritées (l’ingénieur réseau insère la correction ici).

La différence entre un VLAN et un VPN est la lettre "P" pour "Privé". Généralement, le trafic VLAN n'est pas crypté.

J'espère que cela pourra aider!


8
2017-10-07 02:46



Une passerelle courte indispensable pour comprendre les VLAN. Le plus voté entre dans beaucoup de détails, et en tant que tel, pourrait être bon pour la postérité, mais pas très utile si vous voulez acquérir une connaissance / compréhension rapide sur le sujet. Maintenant que je sais ce que je fais de cette réponse, je peux toujours revenir en apprendre plus. - Harsh Kanchina