J'ai lu de nombreux forums et articles concernant les VLAN et les sous-réseaux.
Cependant, je n'ai pas compris les fonctions de chacun, à l'exception de ce qui suit:
Des questions
Si j'ai plusieurs sous-réseaux, je suppose que vous aurez besoin d'un routeur pour communiquer entre chaque sous-réseau. Seuls les périphériques de chaque sous-réseau se trouveraient dans le domaine de diffusion local de ce sous-réseau. Est-ce correct?
Ai-je besoin d'un sous-réseau pour configurer un VLAN?
Je suis conscient qu'un VLAN peut exister dans un sous-réseau. Mais si j'ai bien compris, vous devez attribuer une adresse IP de ce sous-réseau au VLAN. Comment peut-il être isolé du reste du sous-réseau?
Quand voulez-vous configurer un VLAN? Surtout si je suis capable de segmenter mon réseau en utilisant des sous-réseaux?
Je n'arrête pas de tomber sur le point suivant. Cependant, je ne suis pas sûr de ce que cela signifie exactement quand il lit same physical network
.
Les réseaux locaux virtuels (VLAN) nous permettent de créer différents réseaux logiques et physiques; alors que le sous-réseau IP nous permet simplement de créer des réseaux logiques via le même réseau physique.
J'apprécierais des exemples concrets.
Sous-réseau - plage d'adresses IP déterminée par une partie d'une adresse (souvent appelée adresse réseau) et un masque de sous-réseau (masque de réseau). Par exemple, si le masque de réseau est 255.255.255.0 (ou/24 en abrégé) et si l'adresse réseau est 192.168.10.0, cela définit une plage d'adresses IP 192.168.10.0 à 192.168.10.255. Raccourci pour l'écriture 192.168.10.0/24.
VLAN - Un bon moyen de penser à cela est le "partitionnement de commutateur". Supposons que vous disposiez d'un commutateur 8 ports compatible VLAN. Vous pouvez affecter 4 ports à un VLAN (disons VLAN 1) et 4 ports à un autre VLAN (disons VLAN 2). VLAN 1 ne verra pas le trafic de VLAN 2 et inversement, logiquement, vous avez maintenant deux commutateurs distincts. Normalement, sur un commutateur, si le commutateur n'a pas vu d'adresse MAC, il "inondera" le trafic vers tous les autres ports. Les VLAN empêchent cela.
Si deux ordinateurs vont parler via TCP/IP, l'une des deux conditions suivantes doit être remplie:
Ils doivent appartenir au même sous-réseau. Cela signifie que l'adresse réseau doit être la même et que le masque de réseau doit être égal ou inférieur. Ainsi, un ordinateur avec une interface avec une adresse IP de 192.168.10.4/24 peut communiquer sans problème avec un ordinateur avec une interface avec une adresse IP de 192.168.10.8/24, à condition qu'ils soient tous deux connectés au même commutateur physique ou VLAN. Si l'interface du second ordinateur connecté à ce même commutateur physique ou VLAN était 192.168.11.8/24, le trafic serait ignoré (à moins que l'interface ne soit en mode promiscuous).
Un routeur doit exister entre les deux ordinateurs pour pouvoir transférer le trafic entre les sous-réseaux. Les ordinateurs A et B ont besoin d’une route (ou d’une passerelle par défaut) vers ce routeur. Supposons qu'un ordinateur doté d'une interface avec une adresse IP de 192.168.10.4/24 souhaite communiquer avec un ordinateur doté d'une interface avec une adresse IP de 192.168.20.4/24. Différents sous-réseaux, nous devons donc passer par un routeur. Supposons qu'il existe un routeur avec deux interfaces (les routeurs, par définition, ont deux interfaces), une sur 192.168.10.254/24 et 192.168.20.254/24. Si la table de routage ou DHCP est configuré correctement et que les ordinateurs A et B peuvent atteindre les interfaces du routeur sur leurs sous-réseaux respectifs, ils peuvent alors se parler indirectement via le routeur.
Forcer le trafic via un routeur, même si cela n'est pas nécessaire, comme sur notre commutateur à 8 ports ci-dessus, présente des avantages en termes de sécurité et de performances: il vous offre la possibilité de filtrer le trafic, de le router de manière optimale en fonction du type et des routeurs. ne transférez pas le trafic de diffusion (sauf configuration inhabituelle). Les VLAN sont parfois utilisés comme un "hack" pour gérer les flux/visibilité du trafic de diffusion IPv4.
Modifier pour répondre à certaines de vos questions:
Conceptuellement, les VLAN sont équivalents aux commutateurs. Ce qui entre dans 1 port d'un VLAN est répliqué ("inondé") sur tous les autres ports sauf si le VLAN a vu/appris l'adresse MAC auparavant, puis est dirigé vers ce port . Il n'y a pas de passerelle vers le VLAN correct. Une "passerelle" signifie toujours l'adresse IP d'un routeur.
Pour que VLAN 1 puisse parler à VLAN 2, une interface dans VLAN 1 doit être connectée à un routeur, une interface dans VLAN 2 doit être connecté à un routeur et ce dernier doit être configuré pour transférer le trafic entre ces sous-réseaux. Dans notre exemple à 8 ports ci-dessus, si nous voulions acheminer le trafic entre ces VLAN, nous devrions passer 1 port sur chaque VLAN connexion à un routeur. Même avec un interrupteur.
Je suis sûr que de nombreux commutateurs/matériels haut de gamme ont un "routeur VLAN" "intégré" dans lequel dépenser un port supplémentaire dans chaque VLAN le connecter à un routeur physique n'est vraiment pas nécessaire si vous voulez router entre VLAN dans le même commutateur. C’est peut-être là que le VLAN IP ou la "passerelle" entre en jeu. (J'invite les plus compétents à éditer ça)
Lorsqu'un ordinateur obtient son adresse IP via DHCP, il obtient aussi généralement la "passerelle par défaut" de ce même serveur DHCP. Quelqu'un doit configurer le serveur DHCP correctement. Les protocoles de routage tels que RIP, IS-IS, OSPF et BGP peuvent également ajouter des itinéraires. Bien sûr, vous avez la possibilité d’ajouter des routes manuellement (routes "statiques")
Si votre commutateur dispose d'un port série ou d'un port intitulé "console", il est probablement géré et prend en charge les VLAN.
J'ai trouvé les autres explications compliquées.
3
).3
verront ces paquetsDéfinissez un groupe d'ordinateurs surVLAN 3
et ils seront dans leur propre petit monde isolé; ils ne verront pas d'autre trafic.
Du coup, vous pouvez avoir plusieurs LANs fonctionnant sur les mêmes fils (c.-à-d. réseaux locaux virtuels ). Vous pouvez même avoir deux ordinateurs avec la même adresse IP, car ils ont des balises VLAN différentes (par exemple, 3
verses7
).
La configuration d'un ID VLAN se fait en configurant le pilote de la carte réseau:
Votre kilométrage variera en fonction de votre carte réseau et de ses pilotes.
L'explication simpliste est que les VLAN existent pour permettre à différents sous-réseaux de partager le câblage physique, les ports et la commutation. Vous pouvez avoir des sous-réseaux distincts sur votre réseau sans réseaux locaux virtuels, mais vous devez disposer d’un ensemble de câbles différent pour chacun.
1.Si j'ai plusieurs sous-réseaux, je suppose que vous auriez besoin d'un routeur pour communiquer entre chaque sous-réseau.
Oui, vous avez besoin d'un routeur pour déplacer les paquets entre les sous-réseaux.
Seuls les périphériques de chaque sous-réseau se trouveraient dans le domaine de diffusion local de ce sous-réseau. Est-ce correct?
Oui, un sous-réseau est un domaine de diffusion.
2. Ai-je besoin d'un sous-réseau pour configurer un VLAN?
Oui.
3.Je suis conscient du fait qu'un VLAN peut exister dans un sous-réseau, mais je crois comprendre que vous devez attribuer au VLAN une adresse IP de ce sous-réseau.
Non, si je comprends bien, les VLAN sont définis dans les commutateurs et isolent le trafic de chaque VLAN.
Comment peut-il être isolé du reste du sous-réseau?
Un VLAN est un sous-réseau.
4.Quand voulez-vous configurer un VLAN surtout si je suis en mesure de segmenter mon réseau à l'aide de sous-réseaux?
Lorsque vous devez séparer le trafic en deux groupes ou plus sans séparer l'infrastructure physique (principalement les commutateurs) en deux ou plusieurs groupes physiques.
5.Je n'arrête pas de penser que les réseaux locaux virtuels (VLAN) nous permettent de créer différents réseaux logiques et physiques. alors que le sous-réseau IP nous permet simplement de créer des réseaux logiques via le même réseau physique. Cependant, je ne sais pas ce que cela signifie exactement quand il lit le même réseau physique.
Un réseau local physique est composé principalement de commutateurs et de câbles disposés (dans le cas d'Ethernet) en une structure arborescente unique.
Normalement, un réseau local est un seul sous-réseau. Une organisation peut avoir plusieurs réseaux locaux reliés par des routeurs.
Un seul réseau local physique peut être divisé en plusieurs réseaux locaux logiques (VLAN) à l'aide de la prise en charge de VLAN dans les commutateurs. Chaque VLAN dispose alors d'un sous-réseau distinct. Un routeur est donc nécessaire pour déplacer les paquets entre les LAN logiques (VLAN).
Mise à jour: quelques réponses aux questions suivantes dans les commentaires.
si je voulais que des périphériques sur 2 VLAN distincts communiquent qu’un routeur n’est pas nécessaire, je peux utiliser la jonction.
Voici quelques citations de http://www.formortals.com/an-inintroduction-to-vlan-trunking/
" VLAN La jonction permet à une seule carte réseau de se comporter comme un nombre" n "d'adaptateurs réseau virtuels, où" n "a une limite supérieure théorique de 4096 mais est généralement limité à 1000 VLAN segments de réseau. "
" Les routeurs peuvent devenir infiniment plus utiles une fois qu'ils sont connectés à l'infrastructure de commutation de l'entreprise. Une fois connectés, ils deviennent omniprésents et peuvent fournir des services de routage à tous les sous-réseaux du réseau de l'entreprise. "
Vous avez donc toujours besoin d'un routeur, mais avec VLAN, vous pouvez utiliser un routeur à un seul armé (routeur sur clé). Les commutateurs haut de gamme incluent des fonctionnalités de routage. Vous n'avez donc peut-être pas besoin d'un routeur séparé, car votre commutateur haut de gamme est également un routeur de couche 3.
Lorsque vous dites que j'ai besoin d'un sous-réseau pour configurer un VLAN que voulez-vous dire exactement?
Les VLAN sont un concept de couche 2. Tout comme les commutateurs Ethernet sont un périphérique de couche 2. Les VLAN peuvent faire en sorte que deux commutateurs effectuent des tâches pour lesquelles vous pourriez sinon avoir besoin d’une demi-douzaine de commutateurs en groupes isolés. Toutefois, vos nœuds (ordinateurs, imprimantes, etc.) utilisent généralement un adressage de couche 3 (IP).
Pour que les nœuds d'un VLAN (N pour le réseau) puissent communiquer avec des nœuds d'un autre VLAN (N pour le réseau), vous avez besoin d'un protocole InterNetwork (en d'autres termes, IP). En IP pour déplacer des paquets entre réseaux, nous avons besoin que chaque réseau ait une adresse réseau de couche 3 différente.
C’est là que le sous-réseau entre en jeu: divisez la plage d’adresses réseau de couche 3 allouée à une organisation en sous-réseaux à l’aide de masques de sous-réseau. Ensuite, vous pouvez utiliser un routeur pour permettre aux périphériques d'un sous-réseau (d'un VLAN) de communiquer avec des périphériques d'un autre sous-réseau (d'un autre VLAN).
1.Si j'ai plusieurs sous-réseaux, je suppose que vous auriez besoin d'un routeur pour communiquer entre chaque sous-réseau. Seuls les périphériques de chaque sous-réseau se trouveraient dans le domaine de diffusion local de ce sous-réseau. Est-ce correct?
Les réseaux IP (sous-réseaux) sont un concept de couche 3. Si deux PC sont connectés au même commutateur L2 sans VLAN, ils seront dans le même domaine de diffusion L2, mais pas dans le domaine de diffusion L3.
2. Ai-je besoin d'un sous-réseau pour configurer un VLAN?
Toutefois, si vous voulez que les périphériques d’un VLAN puissent communiquer entre eux, ils auront probablement besoin d’un protocole L3.
3.Je suis conscient du fait qu'un VLAN peut exister dans un sous-réseau, mais je crois comprendre que vous devez attribuer au VLAN une adresse IP de ce sous-réseau. Comment peut-il être isolé du reste du sous-réseau?
Pas clair ce que vous demandez.
4.Quand voulez-vous configurer un VLAN surtout si je suis en mesure de segmenter mon réseau à l'aide de sous-réseaux?
Les VLAN sont simplement un moyen de faire apparaître un périphérique L2 comme plusieurs périphériques L2.
5.Je n'arrête pas de penser que les réseaux locaux virtuels (VLAN) nous permettent de créer différents réseaux logiques et physiques. alors que le sous-réseau IP nous permet simplement de créer des réseaux logiques via le même réseau physique. Cependant, je ne sais pas ce que cela signifie exactement quand il lit le même réseau physique.