web-dev-qa-db-fra.com

Comment fonctionnent les VLAN?

Que sont les VLAN? Quels problèmes résolvent-ils?

J'aide un ami à apprendre les réseaux de base, car il vient de devenir le seul administrateur système d'une petite entreprise. Je l'ai pointé sur diverses questions/réponses sur Serverfault relatives à divers sujets de mise en réseau, et j'ai remarqué une lacune - il ne semble pas y avoir de réponse qui explique à partir des premiers principes ce que sont les VLAN. Dans l'esprit de Comment fonctionne le sous-résea , j'ai pensé qu'il serait utile d'avoir une question avec une réponse canonique ici.

Quelques sujets potentiels à couvrir dans une réponse:

  • Que sont les VLAN?
  • Quels problèmes étaient-ils censés résoudre?
  • Comment les choses fonctionnaient-elles avant les VLAN?
  • Comment les VLAN sont-ils liés aux sous-réseaux?
  • Que sont les SVI?
  • Que sont les ports de jonction et les ports d'accès?
  • Qu'est-ce que le VTP?

EDIT: pour être clair, je sais déjà comment fonctionnent les VLAN - je pense simplement que Serverfault devrait avoir une réponse qui couvre ces questions. Si le temps le permet, je soumettrai également ma propre réponse.

133
Murali Suriar

Les réseaux locaux virtuels (VLAN) sont une abstraction permettant à un seul réseau physique d'émuler la fonctionnalité de plusieurs réseaux physiques parallèles. C'est pratique car il peut y avoir des situations où vous avez besoin des fonctionnalités de plusieurs réseaux physiques parallèles mais que vous préférez ne pas dépenser de l'argent pour acheter du matériel parallèle. Je parlerai des VLAN Ethernet dans cette réponse (même si d'autres technologies de mise en réseau peuvent prendre en charge les VLAN) et je ne plongerai pas profondément dans toutes les nuances.

Un exemple artificiel et un problème

À titre d'exemple purement artificiel, imaginez que vous êtes propriétaire d'un immeuble de bureaux que vous louez à des locataires. Comme avantage du bail, chaque locataire recevra des prises Ethernet en direct dans chaque pièce du bureau. Vous achetez un commutateur Ethernet pour chaque étage, vous les connectez aux prises de chaque bureau de cet étage et vous connectez tous les commutateurs ensemble.

Au départ, vous louez de l'espace à deux locataires différents, l'un à l'étage 1 et l'autre à 2. Chacun de ces locataires configure ses ordinateurs avec des adresses IPv4 statiques. Les deux locataires utilisent différents sous-réseaux TCP/IP et tout semble fonctionner correctement.

Plus tard, un nouveau locataire loue la moitié de l'étage 3 et fait apparaître l'un de ces serveurs DHCP de nouvelle génération. Le temps passe et le locataire du 1er étage décide également de sauter dans le train DHCP. C'est le moment où les choses commencent à mal tourner. Les locataires de l'étage 3 signalent que certains de leurs ordinateurs reçoivent des adresses IP "drôles" d'une machine qui n'est pas leur serveur DHCP. Bientôt, les locataires de l'étage 1 rapportent la même chose.

DHCP est un protocole qui tire parti de la capacité de diffusion d'Ethernet pour permettre aux ordinateurs clients d'obtenir dynamiquement des adresses IP. Étant donné que les locataires partagent tous le même réseau Ethernet physique, ils partagent le même domaine de diffusion. Un paquet de diffusion envoyé à partir de n'importe quel ordinateur du réseau inondera tous les ports du commutateur vers tous les autres ordinateurs. Les serveurs DHCP des étages 1 et 3 recevront toutes les demandes de location d'adresses IP et se battront en effet pour voir qui peut répondre en premier. Ce n'est clairement pas le comportement que vous attendez de vos locataires. C'est le comportement, cependant, d'un réseau Ethernet "plat" sans aucun VLAN.

Pire encore, un locataire de l'étage 2 acquiert ce logiciel "Wireshark" et rapporte que, de temps en temps, il voit du trafic sortant de son commutateur qui fait référence à des ordinateurs et à des adresses IP dont il n'a jamais entendu parler. Un de leurs employés a même compris qu'il pouvait communiquer avec ces autres ordinateurs en changeant l'adresse IP attribuée à son PC de 192.168.1.38 à 192.168.0.38! Vraisemblablement, il n'est qu'à quelques pas de l'exécution de "services d'administration de système pro bono non autorisés" pour l'un des autres locataires. Pas bon.

Solutions potentielles

Vous avez besoin d'une solution! Vous pourriez simplement tirer les fiches entre les étages et cela couperait toute communication indésirable! Ouais! Voilà le ticket ...

Cela pourrait fonctionner, sauf que vous avez un nouveau locataire qui louera la moitié du sous-sol et la moitié inoccupée de l'étage 3. S'il n'y en a pas une connexion entre le commutateur de l'étage 3 et le commutateur du sous-sol, le nouveau locataire ne pourra pas établir de communication entre ses ordinateurs qui sera répartie sur les deux étages. Tirer sur les fiches n'est pas la réponse. Pire encore, le nouveau locataire en apporte encore un autre un de ces serveurs DHCP!

Vous flirtez avec l'idée d'acheter des ensembles de commutateurs Ethernet physiquement séparés pour chaque locataire, mais vu que votre bâtiment a 30 étages, chacun pouvant être subdivisé en 4 voies, les rats potentiels nichent des câbles de sol à sol entre un nombre massif de commutateurs Ethernet parallèles pourrait être un cauchemar, sans parler de cher. Si seulement il y avait un moyen de faire agir un seul réseau Ethernet physique comme s'il s'agissait de plusieurs réseaux Ethernet physiques, chacun avec son propre domaine de diffusion.

Les VLAN à la rescousse

Les VLAN sont une réponse à ce problème compliqué. Les VLAN vous permettent de subdiviser un commutateur Ethernet en commutateurs Ethernet virtuels logiquement disparates. Cela permet à un seul commutateur Ethernet d'agir comme s'il s'agissait de plusieurs commutateurs Ethernet physiques. Dans le cas de votre étage subdivisé 3, par exemple, vous pouvez configurer votre commutateur 48 ports de telle sorte que les 24 ports inférieurs se trouvent dans un VLAN (que nous appellerons VLAN 12) et les 24 ports supérieurs se trouvent dans un VLAN (que nous appellerons VLAN 13). Lorsque vous créez les VLAN) sur votre commutateur, vous devrez leur attribuer un certain type de nom ou de numéro VLAN. Les chiffres que j'utilise ici sont pour la plupart arbitraires, alors ne vous inquiétez pas des numéros spécifiques que je choisis.

Une fois que vous avez divisé le commutateur de l'étage 3 en VLAN 12 et 13, vous constatez que le nouveau locataire de l'étage 3 peut connecter son serveur DHCP à l'un des ports affectés à VLAN 13 et un PC branché dans un port affecté à VLAN 12 n'obtient pas d'adresse IP du nouveau serveur DHCP. Excellent! Problème résolu!

Oh, attendez ... comment obtenir ces données VLAN 13 jusqu'au sous-sol?

Communication VLAN entre les commutateurs

Votre locataire de demi-étage 3 et de demi-sous-sol souhaite connecter les ordinateurs du sous-sol à leurs serveurs de l'étage 3. Vous pouvez exécuter un câble directement à partir de l'un des ports affectés à leur VLAN in l'étage 3 passerait au sous-sol et la vie serait belle, non?

Au début des VLAN (norme pré-802.1Q), vous pourriez faire exactement cela. Le commutateur de sous-sol entier ferait, en fait, partie de VLAN 13 (le VLAN que vous avez choisi d'attribuer au nouveau locataire de l'étage 3 et du sous-sol) ), car ce commutateur de sous-sol serait "alimenté" par un port du troisième étage affecté à VLAN 13.

Cette solution fonctionnerait jusqu'à ce que vous louiez l'autre moitié du sous-sol à votre locataire de l'étage 1 qui souhaite également avoir une communication entre son ordinateur du 1er étage et le sous-sol. Vous pouvez diviser le commutateur de sous-sol à l'aide de VLAN (en, disons, VLANS 2 et 13) et exécuter un câble de l'étage 1 vers un port affecté à VLAN 2 dans le sous-sol, mais votre meilleur jugement dit vous que cela pourrait rapidement devenir un nid de câbles d'un rat (et ne fera qu'empirer). Le fractionnement des commutateurs à l'aide de VLAN est bien, mais avoir à passer plusieurs câbles à partir d'autres commutateurs vers des ports qui sont membres de différents VLAN semble désordonné. si vous deviez diviser le commutateur de sous-sol de 4 façons entre les locataires qui avaient également de l'espace aux étages supérieurs, vous utiliseriez 4 ports sur le commutateur de sous-sol juste pour terminer les câbles "d'alimentation" des VLAN à l'étage.

Il devrait maintenant être clair qu'un certain type de méthode généralisée pour déplacer le trafic de plusieurs VLAN entre les commutateurs sur un seul câble est nécessaire. Ajouter simplement plus de câbles entre les commutateurs pour prendre en charge les connexions entre différents VLAN n'est pas une stratégie évolutive. Finalement, avec suffisamment de VLAN, vous mangerez tous les ports de vos commutateurs avec ces connexions inter-VLAN/inter-commutateurs. Ce qui est nécessaire est un moyen de transporter les paquets de plusieurs VLAN le long d'une seule connexion - une connexion "trunk" entre les commutateurs.

Jusqu'à présent, tous les ports de commutation dont nous avons parlé sont appelés ports "d'accès". Autrement dit, ces ports sont dédiés à l'accès à un seul VLAN. Les appareils branchés sur ces ports n'ont pas eux-mêmes de configuration particulière. Ces appareils ne "savent" pas que des VLAN sont présents. Les trames que les périphériques clients envoient sont livrées au commutateur qui veille ensuite à ce que la trame ne soit envoyée qu'aux ports affectés en tant que membres du VLAN affecté au port où la trame est entrée dans le commutateur . Si une trame entre dans le commutateur sur un port attribué en tant que membre de VLAN 12, le commutateur n'enverra cette trame que sur les ports membres de VLAN 12. Le commutateur "connaît" le numéro VLAN attribué à un port à partir duquel il reçoit une trame et sait en quelque sorte ne délivrer cette trame que sur les ports du même VLAN.

S'il y avait un moyen pour un commutateur de partager le numéro VLAN associé à une trame donnée à d'autres commutateurs, alors l'autre commutateur pourrait gérer correctement la livraison de cette trame uniquement aux ports de destination appropriés. 802.1Q VLAN le fait. (Il convient de noter qu'avant 802.1Q, certains fournisseurs élaboraient leurs propres normes pour VLAN et inter- jonction des commutateurs. Pour la plupart, ces méthodes pré-standard ont toutes été supplantées par 802.1Q.)

Lorsque vous avez deux commutateurs compatibles VLAN connectés l'un à l'autre et que vous voulez que ces commutateurs fournissent des trames entre eux aux bons VLAN vous connectez ces commutateurs à l'aide des ports "trunk". Cela implique de changer le configuration d'un port sur chaque switch du mode "access" au mode "trunk" (dans une configuration très basique).

Lorsqu'un port est configuré en mode jonction, chaque trame que le commutateur envoie à ce port aura une "étiquette VLAN" incluse dans la trame. Cette "balise VLAN" ne faisait pas partie de la trame d'origine envoyée par le client. Au lieu de cela, cette balise est ajoutée par le commutateur d'envoi avant d'envoyer la trame hors du port de jonction. Cette balise indique le numéro VLAN associé au port d'où provient la trame.

Le commutateur de réception peut examiner la balise pour déterminer de quel VLAN la trame est originaire et, sur la base de ces informations, transmettre la trame uniquement aux ports affectés au VLAN d'origine. Parce que les périphériques connectés pour "accéder" aux ports ne savent pas que les VLAN sont utilisés, les informations de "balise" doivent être supprimées de la trame avant d'être envoyées à un port configuré en mode d'accès. Cette suppression des informations de balise entraîne l'intégralité de la VLAN doit être caché des périphériques clients car la trame qu'ils reçoivent ne portera aucune information de balise VLAN.

Avant de configurer des VLAN dans la vie réelle, je vous recommande de configurer un port pour le mode trunk sur un commutateur de test et de surveiller le trafic envoyé sur ce port à l'aide d'un renifleur (comme Wireshark). Vous pouvez créer un échantillon de trafic à partir d'un autre ordinateur, branché sur un port d'accès, et voir que les trames quittant le port de jonction seront, en fait, plus grandes que les trames envoyées par votre ordinateur de test. Vous verrez les informations de balise VLAN dans les cadres de Wireshark. Je trouve que cela vaut la peine de voir ce qui se passe dans un renifleur. La lecture de la norme de marquage 802.1Q est également une bonne chose à faire à ce stade (d'autant plus que je ne parle pas de choses comme les "VLAN natifs" ou le double marquage).

Cauchemars de configuration de VLAN et la solution

À mesure que vous louez de plus en plus d'espace dans votre immeuble, le nombre de VLAN augmente. Chaque fois que vous ajoutez un nouveau VLAN vous constatez que vous devez vous connecter à de plus en plus de commutateurs Ethernet et l'ajouter VLAN à la liste. Ne serait-ce pas super s'il y avait une méthode par laquelle vous pourriez ajouter que VLAN à un manifeste de configuration unique et le faire remplir automatiquement la configuration VLAN de chaque commutateur?

Des protocoles comme le "VLAN Trunking Protocol" (VTP) de Cisco ou le "Multiple VLAN Registration Protocol" (MVRP - précédemment orthographié GVRP) basé sur les normes remplissent cette fonction. Dans un réseau utilisant ces protocoles une seule entrée VLAN création ou suppression entraîne l'envoi de messages de protocole à tous les commutateurs du réseau. Ce message de protocole communique la modification de la configuration VLAN aux autres) des commutateurs qui, à leur tour, modifient leurs configurations VLAN. VTP et MVRP ne sont pas concernés par quels ports spécifiques sont configurés comme ports d'accès pour des VLAN spécifiques, mais sont plutôt utiles pour communiquer la création ou suppression de VLAN sur tous les commutateurs.

Lorsque vous vous serez familiarisé avec les VLAN, vous voudrez probablement revenir en arrière et lire sur "l'élagage VLAN", qui est associé à des protocoles comme VTP et MVRP. Pour l'instant, il n'y a rien à craindre énormément. (Le article VTP sur Wikipedia a un joli diagramme qui explique VLAN élagage et les avantages qui en découlent.)

Quand utilisez-vous les VLAN dans la vraie vie?

Avant d'aller plus loin, il est important de penser à la vie réelle plutôt qu'aux exemples artificiels. Au lieu de dupliquer le texte d'une autre réponse ici, je vous renvoie à ma réponse concernant la création de VLAN . Ce n'est pas nécessairement "de niveau débutant", mais cela vaut la peine d'y jeter un coup d'œil maintenant puisque je vais y faire brièvement référence avant de revenir à un exemple artificiel.

Pour la foule "tl; dr" (qui a sûrement tous cessé de lire à ce stade, de toute façon), l'essentiel de ce lien ci-dessus est le suivant: créer des VLAN pour réduire les domaines de diffusion ou lorsque vous souhaitez séparer le trafic pour une raison particulière (sécurité , politique, etc.). Il n'y a pas vraiment d'autres bonnes raisons d'utiliser les VLAN.

Dans notre exemple, nous utilisons des VLAN pour limiter les domaines de diffusion (pour que les protocoles comme DHCP fonctionnent correctement) et, accessoirement, parce que nous voulons l'isolement entre les différents réseaux des locataires.

Un autre côté: sous-réseaux IP et VLAN

De manière générale, il existe généralement une relation biunivoque entre les VLAN et les sous-réseaux IP pour des raisons de commodité, pour faciliter l'isolement et en raison du fonctionnement du protocole ARP.

Comme nous l'avons vu au début de cette réponse, deux sous-réseaux IP différents peuvent être utilisés sans problème sur le même Ethernet physique. Si vous utilisez des VLAN pour réduire les domaines de diffusion, vous ne voudrez pas partager le même VLAN avec deux sous-réseaux IP différents car vous combinerez leur ARP et d'autres trafics de diffusion.

Si vous utilisez des VLAN pour séparer le trafic pour des raisons de sécurité ou de politique, vous ne voudrez probablement pas non plus combiner plusieurs sous-réseaux dans le même VLAN car vous allez vaincre le but de l'isolement.

IP utilise un protocole de diffusion, ARP (Address Resolution Protocol), pour mapper des adresses IP sur des adresses physiques (Ethernet MAC). Étant donné que l'ARP est basé sur la diffusion, l'attribution de différentes parties du même sous-réseau IP à différents VLAN serait problématique, car les hôtes d'un seul VLAN ne pourrait pas recevoir de réponses ARP des hôtes des autres VLAN, étant donné que les diffusions ne sont pas transmises entre les VLAN. Vous pouvez résoudre ce "problème" en utilisant proxy-ARP mais, en fin de compte, à moins que vous n'ayez une très bonne raison de devoir fractionner un sous-réseau IP sur plusieurs VLAN, il est préférable de ne pas le faire.

Un dernier côté: les VLAN et la sécurité

Enfin, il convient de noter que les VLAN ne sont pas un excellent dispositif de sécurité. De nombreux commutateurs Ethernet ont des bogues qui permettent d'envoyer des trames provenant d'un VLAN ports assignés à un autre VLAN. Les fabricants de commutateurs Ethernet ont travaillé dur pour corriger ces bogues, mais il est douteux qu'il y aura un jour une implémentation totalement sans bug.

Dans le cas de notre exemple artificiel, l'employé de l'étage 2 qui est à quelques instants de fournir des "services" d'administration de systèmes gratuits à un autre locataire peut être empêché de le faire en isolant son trafic dans un VLAN. Il pourrait également comprendre comment exploiter les bogues dans le firmware du commutateur, pour permettre à son trafic de "fuir" sur un autre locataire VLAN également.

Les fournisseurs Metro Ethernet s'appuient de plus en plus sur la fonctionnalité de marquage VLAN et l'isolement fourni par les commutateurs. Il n'est pas juste de dire qu'il n'y a pas sécurité offerte par l'utilisation des VLAN. Il est juste de dire, cependant, que dans les situations avec des connexions Internet non fiables ou des réseaux DMZ), il est probablement préférable d'utiliser des commutateurs physiquement séparés pour transporter ce "délicat" "trafic plutôt que VLAN sur des commutateurs qui acheminent également votre trafic de confiance" derrière le pare-feu ".

Amener le calque 3 dans l'image

Jusqu'à présent, tout ce dont cette réponse a parlé concerne les couches Ethernet de couche 2. Que se passe-t-il si nous commençons à y intégrer la couche 3?

Revenons à l'exemple de construction artificielle. Vous avez adopté les VLAN choisis pour configurer les ports de chaque locataire en tant que membres de VLAN distincts. Vous avez configuré les ports de jonction de telle sorte que le commutateur de chaque étage puisse échanger des trames marquées avec le numéro VLAN) d'origine aux commutateurs de l'étage supérieur et inférieur. Un locataire peut avoir des ordinateurs répartis sur plusieurs étages, mais, en raison de vos compétences en configuration VLAN configuration, ces ordinateurs physiquement distribués peuvent tous apparaître comme faisant partie du même LAN physique.

Vous êtes tellement plein de vos réalisations informatiques que vous décidez de commencer à offrir une connectivité Internet à vos locataires. Vous achetez une grosse pipe Internet et un routeur. Vous faites flotter l'idée à tous vos locataires et deux d'entre eux adhèrent immédiatement. Heureusement pour vous, votre routeur dispose de trois ports Ethernet. Vous connectez un port à votre canal Internet gras, un autre port à un port de commutateur affecté à l'accès au VLAN du premier locataire et l'autre à un port affecté à l'accès au VLAN du deuxième locataire. Vous configurez les ports de votre routeur avec des adresses IP dans le réseau de chaque locataire et les locataires commencent à accéder à Internet via votre service! Les revenus augmentent et vous êtes heureux.

Bientôt, cependant, un autre locataire décide d'accéder à votre offre Internet. Cependant, vous n'avez plus de ports sur votre routeur. Que faire?

Heureusement, vous avez acheté un routeur qui prend en charge la configuration de "sous-interfaces virtuelles" sur ses ports Ethernet. En bref, cette fonctionnalité permet au routeur de recevoir et d'interpréter des trames marquées avec des numéros VLAN) d'origine et d'avoir des interfaces virtuelles (c'est-à-dire non physiques) configurées avec des adresses IP appropriées pour chaque VLAN avec lequel il communiquera. En effet, cela vous permet de "multiplexer" un seul port Ethernet sur le routeur de sorte qu'il semble fonctionner comme plusieurs ports Ethernet physiques.

Vous connectez votre routeur à un port de jonction sur l'un de vos commutateurs et configurez des sous-interfaces virtuelles correspondant au schéma d'adressage IP de chaque locataire. Chaque sous-interface virtuelle est configurée avec le numéro VLAN attribué à chaque client. Lorsqu'une trame quitte le port de jonction sur le commutateur, à destination du routeur, elle portera une balise avec l'origine = VLAN number (puisqu'il s'agit d'un port de jonction). Le routeur interprétera cette balise et traitera le paquet comme s'il était arrivé sur une interface physique dédiée correspondant à ce VLAN. De même, lorsque le routeur envoie une trame au commutateur en réponse à une demande, il ajoutera une balise VLAN à la trame de sorte que le commutateur sache à quel VLAN la trame de réponse doit être fournie). En effet, vous avez configuré le routeur pour qu'il "apparaisse" comme un périphérique physique dans plusieurs VLAN tout en utilisant une seule connexion physique entre le commutateur et le routeur.

Routeurs sur bâtons et commutateurs de couche 3

En utilisant des sous-interfaces virtuelles, vous avez pu vendre la connectivité Internet à tous vos locataires sans avoir à acheter un routeur doté de plus de 25 interfaces Ethernet. Vous êtes assez satisfait de vos réalisations informatiques, vous répondez donc positivement lorsque deux de vos locataires vous présentent une nouvelle demande.

Ces locataires ont choisi de "s'associer" sur un projet et ils veulent autoriser l'accès des ordinateurs clients dans le bureau d'un locataire (un VLAN donné) à un ordinateur serveur dans le bureau de l'autre locataire (un autre VLAN). Puisqu'ils sont tous deux clients de votre service Internet, il s'agit d'un changement assez simple d'une liste de contrôle d'accès dans votre routeur Internet principal (sur lequel il existe une sous-interface virtuelle configurée pour chacun des VLAN de ces locataires) pour permettre au trafic de circuler entre leurs VLAN comme ainsi qu'à Internet à partir de leurs VLAN. Vous effectuez le changement et envoyez les locataires sur leur chemin.

Le lendemain, vous recevez des plaintes des deux locataires selon lesquelles l'accès entre les ordinateurs clients d'un bureau et le serveur du deuxième bureau est très lent. Le serveur et les ordinateurs clients ont tous deux des connexions Gigabit Ethernet à vos commutateurs, mais les fichiers ne sont transférés qu'à environ 45 Mbps, ce qui, par coïncidence, est à peu près la moitié de la vitesse à laquelle votre routeur principal se connecte à son commutateur. De toute évidence, le trafic provenant de la source VLAN vers le routeur et recule du routeur vers la destination VLAN est goulot d'étranglement par la connexion du routeur au commutateur).

Ce que vous avez fait avec votre routeur principal, lui permettant d'acheminer le trafic entre les VLAN, est communément appelé "routeur sur un bâton" (un euphémisme sans doute stupidement fantaisiste). Cette stratégie peut bien fonctionner, mais le trafic ne peut circuler qu'entre les VLAN jusqu'à la capacité de la connexion du routeur au commutateur. Si, en quelque sorte, le routeur pouvait être associé aux "entrailles" du commutateur Ethernet lui-même, il pourrait acheminer le trafic encore plus rapidement (puisque le commutateur Ethernet lui-même, selon la fiche technique du fabricant, est capable de commuter plus de 2 Gbps de trafic).

Un "commutateur de couche 3" est un commutateur Ethernet qui, logiquement, contient un routeur enfoui à l'intérieur de lui-même. Je trouve extrêmement utile de penser à un commutateur de couche 3 comme ayant un petit routeur rapide se cachant à l'intérieur du commutateur. De plus, je vous conseille de considérer la fonctionnalité de routage comme une fonction distinctement distincte de la fonction de commutation Ethernet fournie par le commutateur de couche 3. Un commutateur de couche 3 est, à toutes fins utiles, deux périphériques distincts regroupés dans un seul châssis.

Le routeur intégré dans un commutateur de couche 3 est connecté à la structure de commutation interne du commutateur à une vitesse qui, typiquement, permet le routage des paquets entre les VLAN à la vitesse du câble ou presque. De façon similaire aux sous-interfaces virtuelles que vous avez configurées sur votre "routeur sur bâton", ce routeur intégré à l'intérieur du commutateur de couche 3 peut être configuré avec des interfaces virtuelles qui "semblent" être des connexions "d'accès" à chaque VLAN. Plutôt que d'être appelées sous-interfaces virtuelles, ces connexions logiques des VLAN au routeur intégré à l'intérieur d'un commutateur de couche 3 sont appelées interfaces virtuelles de commutation (SVI). En effet, le routeur intégré à l'intérieur d'un commutateur de couche 3 possède une certaine quantité de "ports virtuels" qui peuvent être "branchés" à n'importe lequel des VLAN du commutateur.

Le routeur intégré fonctionne de la même manière qu'un routeur physique, sauf qu'il n'a généralement pas toutes les mêmes fonctionnalités de protocole de routage dynamique ou de liste de contrôle d'accès (ACL) qu'un routeur physique (sauf si vous avez acheté une couche vraiment agréable 3 commutateur). Le routeur intégré a cependant l'avantage d'être très rapide et de ne pas avoir de goulot d'étranglement associé à un port de commutateur physique auquel il est branché.

Dans le cas de notre exemple ici avec les locataires "partenaires", vous pouvez opter pour l'obtention d'un commutateur de couche 3, le brancher sur les ports de jonction de sorte que le trafic des deux VLAN clients l'atteigne, puis configurer les SVI avec des adresses IP et VLAN appartenances de sorte qu'il "apparaisse" dans les deux VLAN clients. Une fois que vous avez fait cela, il suffit de modifier la table de routage sur votre routeur principal et le routeur intégré dans le commutateur de couche 3 de sorte que le trafic circulant entre les VLAN des locataires sont routés par le routeur intégré à l'intérieur du commutateur de couche 3 par rapport au "routeur sur bâton".

L'utilisation d'un commutateur de couche 3 ne signifie pas qu'il n'y aura toujours pas de goulots d'étranglement associés à la bande passante des ports de jonction qui interconnectent vos commutateurs. C'est une préoccupation orthogonale pour ceux auxquels s'adressent les VLAN. Les VLAN n'ont rien à voir avec les problèmes de bande passante. En règle générale, les problèmes de bande passante sont résolus soit en obtenant des connexions inter-commutateurs à vitesse plus élevée, soit en utilisant des protocoles d'agrégation de liens pour "lier" plusieurs connexions à vitesse plus faible en une connexion virtuelle à vitesse plus élevée. À moins que tous les périphériques créant des trames à acheminer par le routeur intégré à l'intérieur du commutateur 3 ultérieur soient eux-mêmes connectés aux ports directement sur le commutateur de couche 3, vous devez toujours vous soucier de la bande passante des lignes réseau entre les commutateurs. Un commutateur de couche 3 n'est pas une panacée, mais il est généralement plus rapide qu'un "routeur sur bâton".

VLAN dynamiques

Enfin, il existe une fonction dans certains commutateurs pour fournir une appartenance dynamique VLAN. Plutôt que d'attribuer un port donné comme port d'accès pour un VLAN port La configuration (accès ou jonction, et pour quels VLAN) peut être modifiée dynamiquement lorsqu'un périphérique est connecté. Les VLAN dynamiques sont un sujet plus avancé mais sachant que la fonctionnalité existe peut être utile.

La fonctionnalité varie selon les fournisseurs, mais vous pouvez généralement configurer une appartenance dynamique VLAN en fonction de l'adresse MAC de l'appareil connecté, de l'état d'authentification 802.1X de l'appareil, des protocoles propriétaires et basés sur des normes (CDP et LLDP , par exemple, pour permettre aux téléphones IP de "découvrir" le VLAN pour le trafic vocal), le sous-réseau IP attribué au périphérique client ou le type de protocole Ethernet.

231
Evan Anderson

Les VLAN sont des "réseaux locaux virtuels". Ce qui suit est ma compréhension - mon expérience est principalement l'ingénierie des systèmes et l'administration avec un côté de la programmation OO et beaucoup de scripts).

Les VLAN sont destinés à créer un réseau isolé sur plusieurs périphériques matériels. Un réseau local traditionnel dans les temps anciens peut exister uniquement lorsque vous avez un seul périphérique matériel dédié à un réseau particulier. Tous les serveurs/périphériques connectés à ce périphérique réseau (commutateur ou concentrateur en fonction de la période historique) sont généralement autorisés à communiquer librement entre le réseau local.

A VLAN diffère de telle sorte que vous pouvez interconnecter plusieurs périphériques réseau et créer des réseaux isolés en regroupant les serveurs dans un VLAN, éliminant ainsi la nécessité d'avoir un périphérique réseau "dédié" pour un seul LAN. Le le nombre de VLAN configurables et de serveurs/périphériques pris en charge varie selon les fabricants de périphériques réseau.

Encore une fois, selon le fournisseur, je ne pense que tous les serveurs doivent être sur le même sous-réseau pour faire partie du même VLAN. Avec les configurations de réseau héritées, je pense qu'elles l'ont fait (correction d'insertion d'ingénieur réseau ici).

Ce qui fait qu'un VLAN diffère d'un VPN, c'est la lettre "P" pour "Private". Habituellement VLAN le trafic n'est pas chiffré).

J'espère que cela pourra aider!

10
mxmader