Answers:
VLAN(虚拟局域网)是一种在一个物理交换机内部创建多个虚拟交换机的方法。因此,例如配置为使用VLAN 10的端口就好像它们连接到完全相同的交换机一样。VLAN 20中的端口不能直接与VLAN 10中的端口通信。它们必须在两个端口之间路由(或具有桥接两个VLAN的链接)。
实施VLAN的原因很多。通常,这些原因中最少的是网络的大小。我将列出一些原因,然后将每个原因断开。
安全性: 安全性本身并不是通过创建VLAN来实现的。但是,如何将该VLAN连接到其他子网可以使您过滤/阻止对该子网的访问。例如,如果您的办公楼有50台计算机和5台服务器,则可以为服务器创建一个VLAN,为计算机创建一个VLAN。为了使计算机与服务器通信,您可以使用防火墙来路由和过滤该流量。然后,这将允许您应用IPS / IDS,ACL等。服务器和计算机之间的连接。
链接利用率: (编辑)我不敢相信我是第一次忽略了这一点。我猜是脑子屁。链路利用率是使用VLAN的另一个重要原因。生成树按功能生成通过您的第2层网络的一条路径,以防止环路(哦,天哪!)。如果您有多个到聚合设备的冗余链接,那么其中一些链接将不使用。为了解决这个问题,您可以使用不同的VLAN构建多个STP拓扑。这是通过Cisco专有PVST,RPVST或基于标准的MST完成的。这使您可以使用多种STP类型,以利用以前未使用的链接。例如,如果我有50个桌面,则可以将其中25个放置在VLAN 10中,将25个放置在VLAN 20中。然后,我可以让VLAN 10占据网络的“左侧”,而其余25个位于VLAN 20中。网络的“右侧”。
服务分离: 这很简单。如果您的IP安全摄像机,IP电话和台式机都连接到同一交换机,则将这些服务分离到它们自己的子网中可能会更容易。这也将允许您基于VLAN而不是某些更高层的服务(例如:NBAR)将QOS标记应用于这些服务。您还可以在执行L3路由的设备上应用ACL,以防止可能不需要的VLAN之间进行通信。例如,我可以防止桌面直接访问电话/安全摄像机。
服务隔离: 如果您在一个机架中有一对TOR交换机,其中有几个VMWare主机和一个SAN,则可以创建一个未路由的iSCSI VLAN。这将使您拥有完全隔离的iSCSI网络,以便其他任何设备都无法尝试访问SAN或中断主机与SAN之间的通信。这仅仅是服务隔离的一个示例。
子网大小: 如前所述,如果单个站点太大,则可以将该站点分解为不同的VLAN,这将减少需要处理每个广播的主机数量。
VLAN肯定还有更多有用的方法(我可以想到几种我专门用作Internet服务提供商的方法),但是我认为这些是最常见的,应该让您对我们如何/为什么使用它们有一个好主意。也有具有特定用例的专用VLAN,在这里值得一提。
随着网络越来越大,可伸缩性成为一个问题。为了进行通信,每个设备都需要发送广播,然后将广播发送到广播域中的所有设备。随着更多设备被添加到广播域,更多广播开始使网络饱和。这时,出现了许多问题,包括广播流量的带宽饱和,每个设备上增加的处理(CPU使用率),甚至是安全问题。将该大型广播域划分为较小的广播域变得越来越有必要。
输入VLAN。
VLAN或虚拟LAN虚拟地创建了单独的广播域,从而消除了创建完全独立的硬件LAN来克服大型广播域问题的需要。相反,一台交换机可以包含许多VLAN,每个VLAN充当一个独立的自治广播域。实际上,如果没有第3层交换所涉及的第3层设备(例如路由器)的干预,则两个VLAN不能相互通信。
总之,VLAN在最基本的级别上将大型广播域划分为更小,更易于管理的广播域,以提高不断扩展的网络中的可伸缩性。
VLAN是在物理网络内创建的逻辑网络。它们的主要用途是提供隔离,通常是减小网络内广播域大小的一种手段,但是它们也可以用于其他目的。
它们是任何网络工程师都应该熟悉的工具,并且像任何工具一样,它们可能会被错误地使用和/或在错误的时间使用。在所有网络和所有情况下,没有一种工具是正确的工具,因此,您可以使用的工具越多,越能在更多环境中工作。了解有关VLAN的更多信息后,您可以在需要时使用它们,并在需要时正确使用它们。
关于如何使用它们的一个示例,我目前在一个广泛使用SCADA(监控和数据采集)设备的环境中工作。SCADA设备通常非常简单,并且其历史不及一流软件开发,它通常会提供重大的安全漏洞。
我们将SCADA设备设置在没有L3网关的单独VLAN中。对其逻辑网络的唯一访问是通过与之通信的服务器(该服务器具有两个接口,一个在SCADA VLAN中)可以通过其自身基于主机的安全性进行保护,而这在SCADA设备上是不可能的。即使将SCADA设备连接到相同的物理设备,它们也与网络的其余部分隔离,因此可以缓解任何漏洞。
根据设计原则,最常见的实现是使VLAN与组织结构保持一致,例如,一个VLAN中的工程人员,另一个VLAN中的市场营销人员,另一个VLAN中的IP电话等等。其他设计包括利用VLAN作为单独网络的“传输”跨一个(或多个)内核的功能。在某些设备上也可以进行VLAN的第3层终结处理(在Cisco术语中为“ SVI”,在Brocade中为“ VE”等),从而在适用时,无需单独的硬件即可进行VLAN间通信。
VLAN变得难以管理和大规模扩展,因为您可能已经看到NESE的案例。在服务提供商领域,有PB(提供商桥接-俗称“ QinQ”,双标签,堆叠标签等),PBB(提供商骨干桥接-“ MAC-in-MAC”)和PBB-TE。旨在减轻可用VLAN ID数量的限制。PBB-TE旨在消除对动态学习,泛洪和生成树的需求。C-TAG / S-TAG中只有12位可用作VLAN ID(保留0x000和0xFFF),这是4,094个限制的来源。
VPLS或PBB可用于消除PB涉及的传统缩放上限。
的基本用例对VLAN是几乎完全一样的基本使用情况下,用于网络的分割成多个数据链路广播域。关键区别在于,使用物理 LAN时,每个广播域至少需要一个设备(通常是交换机),而使用虚拟 LAN时,广播域成员关系是逐个端口确定的,并且无需添加或添加即可重新配置。更换硬件。
对于基本应用,将与PLAN相同的设计原理应用于VLAN。为此需要了解的三个概念是:
如果我可以提供更多信息,这可能会有所帮助。
要了解VLAN,您还必须了解两个关键概念。
-子网划分-假设您希望各种设备能够相互通信(例如,服务器和客户端),则必须为每个VLAN分配一个IP子网。这是上面提到的SVI。这样,您就可以开始在VLAN之间进行路由。
-路由-创建每个VLAN,为每个VLAN上的客户端分配一个子网以及为每个VLAN创建一个SVI之后,您将需要启用路由。路由可以是非常简单的设置,具有到Internet的静态默认路由以及每个子网的EIGRP或OSPF网络语句。
一旦您了解了所有内容的组合,它实际上就相当优雅。