Was sind die grundlegenden Anwendungsfälle für VLANs?
Was sind die grundlegenden Gestaltungsprinzipien?
Ich suche nach einer Antwort im Stil einer Zusammenfassung mit zwei Absätzen, damit ich feststellen kann, ob ich mehr über VLANs erfahren muss, um sie zu implementieren.
Antworten:
Ein VLAN (Virtual LAN) ist eine Möglichkeit, mehrere virtuelle Switches in einem physischen Switch zu erstellen. So verhalten sich Ports, die für die Verwendung von VLAN 10 konfiguriert sind, beispielsweise so, als wären sie mit genau demselben Switch verbunden. Ports in VLAN 20 können nicht direkt mit Ports in VLAN 10 kommunizieren. Sie müssen zwischen den beiden geroutet werden (oder über eine Verbindung verfügen, die die beiden VLANs überbrückt).
Es gibt viele Gründe, VLANs zu implementieren. In der Regel ist der geringste dieser Gründe die Größe des Netzwerks. Ich werde ein paar Gründe aufzählen und dann jeden aufbrechen.
Sicherheit: Sicherheit wird nicht selbst durch das Erstellen eines VLAN erreicht. Wenn Sie dieses VLAN jedoch mit anderen Subnetzen verbinden, können Sie den Zugriff auf dieses Subnetz filtern / blockieren. Wenn Sie beispielsweise ein Bürogebäude mit 50 Computern und 5 Servern haben, können Sie ein VLAN für den Server und ein VLAN für die Computer erstellen. Damit Computer mit den Servern kommunizieren können, können Sie eine Firewall verwenden, um diesen Datenverkehr weiterzuleiten und zu filtern. Auf diese Weise können Sie IPS / IDS, ACLs usw. anwenden. auf die Verbindung zwischen den Servern und Computern.
Link-Auslastung: (Bearbeiten) Ich kann nicht glauben, dass ich das das erste Mal ausgelassen habe. Hirnfurz, denke ich. Die Linkauslastung ist ein weiterer wichtiger Grund für die Verwendung von VLANs. Spanning Tree nach Funktion erstellt einen einzelnen Pfad durch Ihr Layer-2-Netzwerk, um Schleifen zu vermeiden (Oh, my!). Wenn Sie mehrere redundante Links zu Ihren Aggregationsgeräten haben, bleiben einige dieser Links ungenutzt. Um dies zu umgehen, können Sie mehrere STP-Topologien mit verschiedenen VLANs erstellen. Dies wird mit Cisco Proprietary PVST, RPVST oder standardbasiertem MST erreicht. Auf diese Weise können Sie über mehrere STP-Typologien verfügen, mit denen Sie Ihre zuvor nicht verwendeten Links verwenden können. Wenn ich beispielsweise 50 Desktops hätte, könnten 25 davon in VLAN 10 und 25 in VLAN 20 platziert werden. Dann könnte VLAN 10 die "linke" Seite des Netzwerks übernehmen, und die verbleibenden 25 in VLAN 20 würden die "rechte" Seite des Netzwerks.
Service-Trennung: Diese ist ziemlich einfach. Wenn Sie über IP-Überwachungskameras, IP-Telefone und Desktops verfügen, die alle über denselben Switch verbunden sind, ist es möglicherweise einfacher, diese Dienste in ein eigenes Subnetz aufzuteilen. Auf diese Weise können Sie auch QOS-Markierungen für diese Dienste auf der Basis von VLAN anstelle von Diensten höherer Ebenen (z. B. NBAR) anwenden. Sie können dem Gerät, das L3-Routing durchführt, auch ACLs zuweisen, um die möglicherweise nicht gewünschte Kommunikation zwischen VLANs zu verhindern. Zum Beispiel kann ich verhindern, dass die Desktops direkt auf die Telefone / Überwachungskameras zugreifen.
Dienstisolation: Wenn Sie ein Paar TOR-Switches in einem einzelnen Rack mit einigen VMWare-Hosts und einem SAN haben, können Sie ein iSCSI-VLAN erstellen, das nicht weitergeleitet wird. Auf diese Weise erhalten Sie ein vollständig isoliertes iSCSI-Netzwerk, sodass kein anderes Gerät versuchen kann, auf das SAN zuzugreifen oder die Kommunikation zwischen den Hosts und dem SAN zu unterbrechen. Dies ist nur ein Beispiel für die Dienstisolierung.
Subnetzgröße: Wie bereits erwähnt, können Sie einen Standort, der zu groß wird, in verschiedene VLANs aufteilen, wodurch sich die Anzahl der Hosts verringert, die die einzelnen Broadcasts verarbeiten müssen.
Es gibt sicherlich mehr Möglichkeiten, wie VLANs nützlich sind (ich kann mir mehrere vorstellen, die ich speziell als Internetdienstanbieter verwende), aber ich bin der Meinung, dass diese am häufigsten verwendet werden und dass Sie eine gute Vorstellung davon haben sollten, wie / warum wir sie verwenden. Es gibt auch private VLANs, die bestimmte Anwendungsfälle haben und hier erwähnenswert sind.
Wenn Netzwerke immer größer werden, wird die Skalierbarkeit zu einem Problem. Zur Kommunikation muss jedes Gerät Broadcasts senden, die an alle Geräte in einer Broadcast-Domäne gesendet werden. Je mehr Geräte zur Broadcast-Domäne hinzugefügt werden, desto mehr Broadcasts füllen das Netzwerk aus. Zu diesem Zeitpunkt schleichen sich mehrere Probleme ein, einschließlich einer Bandbreitensättigung mit Broadcast-Verkehr, einer erhöhten Verarbeitung auf jedem Gerät (CPU-Auslastung) und sogar Sicherheitsproblemen. Die Aufteilung dieser großen Broadcast-Domäne in kleinere Broadcast-Domänen wird zunehmend erforderlich.
Geben Sie VLANs ein.
Durch ein VLAN oder virtuelles LAN werden separate Broadcast-Domänen virtuell erstellt, sodass keine vollständig separaten Hardware-LANs mehr erforderlich sind, um das Problem der großen Broadcast-Domänen zu lösen. Stattdessen kann ein Switch viele VLANs enthalten, von denen jedes als separate, autonome Broadcast-Domäne fungiert. Tatsächlich können zwei VLANs nicht miteinander kommunizieren, ohne dass ein Layer-3-Gerät wie ein Router eingreift. Darum geht es beim Layer-3-Switching.
Zusammenfassend lässt sich sagen, dass VLANs auf der einfachsten Ebene große Broadcast-Domänen in kleinere, besser verwaltbare Broadcast-Domänen unterteilen, um die Skalierbarkeit in Ihrem ständig wachsenden Netzwerk zu verbessern.
VLANs sind logische Netzwerke, die innerhalb des physischen Netzwerks erstellt werden. Sie dienen in erster Linie der Isolation, häufig zur Verringerung der Größe der Broadcast-Domäne innerhalb eines Netzwerks. Sie können jedoch für eine Reihe anderer Zwecke verwendet werden.
Sie sind ein Werkzeug, mit dem jeder Netzwerktechniker vertraut sein sollte, und wie jedes Werkzeug können sie falsch und / oder zu falschen Zeiten verwendet werden. Kein einzelnes Tool ist in allen Netzwerken und Situationen das richtige. Je mehr Tools Sie verwenden können, desto besser können Sie in mehr Umgebungen arbeiten. Wenn Sie mehr über VLANs wissen, können Sie sie verwenden, wenn Sie sie benötigen, und wenn Sie dies tun, können Sie sie richtig verwenden.
Als ein Beispiel für ihre Verwendung arbeite ich derzeit in Umgebungen, in denen SCADA-Geräte (Supervisor Control and Data Acquisition) weit verbreitet sind. SCADA-Geräte sind in der Regel recht einfach und haben eine lange Geschichte in der Entwicklung von weniger als herausragender Software, was häufig zu größeren Sicherheitslücken führt.
Wir haben die SCADA-Geräte in einem separaten VLAN ohne L3-Gateway eingerichtet. Der einzige Zugriff auf ihr logisches Netzwerk erfolgt über den Server, mit dem sie kommunizieren (der zwei Schnittstellen hat, eine im SCADA-VLAN), die mit einer eigenen hostbasierten Sicherheit gesichert werden können, was auf den SCADA-Geräten nicht möglich ist. Die SCADA-Geräte sind vom Rest des Netzwerks isoliert, auch wenn sie mit denselben physischen Geräten verbunden sind, sodass jede Sicherheitsanfälligkeit verringert wird.
In Bezug auf die Entwurfsprinzipien besteht die häufigste Implementierung darin, Ihre VLANs an Ihrer Organisationsstruktur auszurichten, dh Ingenieure in einem VLAN, Marketing in einem anderen, IP-Telefone in einem anderen usw. Andere Entwürfe umfassen die Verwendung von VLANs als "Transport" eines separaten Netzwerks Funktionen über einen (oder mehrere) Kerne. Auf einigen Geräten ist auch die Schicht-3-Terminierung von VLANs möglich ("SVI" in Cisco Parlance, "VE" in Brocade usw.), sodass bei Bedarf keine separate Hardware für die Inter-VLAN-Kommunikation erforderlich ist.
Die Verwaltung und Wartung von VLANs wird mühsam, wie Sie wahrscheinlich bereits bei NESE erlebt haben. Im Bereich der Dienstanbieter gibt es PB (Provider Bridging - allgemein bekannt als "QinQ", Double Tagging, Stacked Tag usw.), PBB (Provider Backbone Bridging - "MAC-in-MAC") und PBB-TE wurde entwickelt, um die Begrenzung der Anzahl der verfügbaren VLAN-IDs zu verringern. PBB-TE more zielt darauf ab, die Notwendigkeit für dynamisches Lernen, Überschwemmungen und Spanning Tree zu beseitigen. In einem C-TAG / S-TAG (0x000 und 0xFFF sind reserviert) stehen nur 12 Bit zur Verwendung als VLAN-ID zur Verfügung. Hieraus ergibt sich die 4.094-Beschränkung.
VPLS oder PBB können verwendet werden, um die mit PB verbundenen herkömmlichen Skalierungsdecken zu beseitigen.
Der grundlegende Anwendungsfall für VLANs ist nahezu identisch mit dem grundlegenden Anwendungsfall für die Segmentierung des Netzwerks in mehrere Datenverbindungs-Broadcast-Domänen. Der Hauptunterschied besteht darin, dass bei einem physischen LAN mindestens ein Gerät (normalerweise ein Switch) für jede Broadcast-Domäne erforderlich ist, während bei einer virtuellen LAN-Broadcast-Domäne die Mitgliedschaft portweise festgelegt und ohne Hinzufügen von oder neu konfiguriert werden kann Hardware austauschen.
Wenden Sie für Basisanwendungen dieselben Entwurfsprinzipien auf VLANs an wie für PLANs. Die drei Konzepte, die Sie kennen müssen, um dies zu tun, sind:
Die ursprüngliche Verwendung eines VLAN bestand darin, den Übertragungsbereich in einem Netzwerk einzuschränken. Broadcasts sind auf ihr eigenes VLAN beschränkt. Später wurde zusätzliche Funktionalität hinzugefügt. Beachten Sie jedoch, dass vlans Layer 2 in beispielsweise Cisco-Switches sind. Sie können Layer 2 hinzufügen, indem Sie dem Port am Switch eine IP-Adresse zuweisen. Dies ist jedoch nicht zwingend erforderlich.
zusätzliche Funktionalität:
Wenn ich noch eine Information anbieten darf, die helfen könnte.
Um die VLANs zu verstehen, müssen Sie auch zwei Schlüsselkonzepte verstehen.
-Subnetting - Angenommen, Sie möchten, dass die verschiedenen Geräte miteinander kommunizieren können (z. B. Server und Clients), muss jedem VLAN ein IP-Subnetz zugewiesen werden. Dies ist die oben erwähnte SVI. So können Sie mit dem Routing zwischen den Vlans beginnen.
-Routing - Nachdem Sie jedes VLAN erstellt, den Clients in jedem VLAN ein Subnetz zugewiesen und für jedes VLAN eine SVI erstellt haben, müssen Sie das Routing aktivieren. Routing kann eine sehr einfache Einrichtung sein, mit einer statischen Standardroute zum Internet und EIGRP- oder OSPF-Netzwerkanweisungen für jedes der Subnetze.
Sobald Sie sehen, wie alles zusammenkommt, ist es eigentlich ziemlich elegant.