Explication au niveau introductif des VLAN


21

Quel (s) cas d'utilisation de base pour les VLAN?

Quels sont les principes de base de la conception?

Je cherche quelque chose comme une réponse de style résumé en deux paragraphes afin que je puisse déterminer si j'ai besoin d'en savoir plus sur les VLAN pour les implémenter.

Réponses:


23

Un VLAN (Virtual LAN) est un moyen de créer plusieurs commutateurs virtuels à l'intérieur d'un commutateur physique. Ainsi, par exemple, les ports configurés pour utiliser VLAN 10 agissent comme s'ils étaient connectés exactement au même commutateur. Les ports du VLAN 20 ne peuvent pas communiquer directement avec les ports du VLAN 10. Ils doivent être routés entre les deux (ou avoir une liaison qui relie les deux VLAN).

Il existe de nombreuses raisons de mettre en œuvre des VLAN. En règle générale, la moindre de ces raisons est la taille du réseau. Je vais énumérer quelques raisons, puis briser chacune d'elles.

  • Sécurité
  • Utilisation des liens
  • Séparation des services
  • Isolement du service
  • Taille du sous-réseau

Sécurité: la sécurité n'est pas elle-même obtenue en créant un VLAN; cependant, la façon dont vous connectez ce VLAN à d'autres sous-réseaux peut vous permettre de filtrer / bloquer l'accès à ce sous-réseau. Par exemple, si vous avez un immeuble de bureaux qui a 50 ordinateurs et 5 serveurs, vous pouvez créer un VLAN pour le serveur et un VLAN pour les ordinateurs. Pour que les ordinateurs communiquent avec les serveurs, vous pouvez utiliser un pare-feu pour acheminer et filtrer ce trafic. Cela vous permettrait ensuite d'appliquer IPS / IDS, ACL, etc. à la connexion entre les serveurs et les ordinateurs.

Utilisation des liens: (Edit) Je ne peux pas croire que j'ai laissé cela de côté la première fois. Péter le cerveau, je suppose. L'utilisation des liaisons est une autre raison importante d'utiliser des VLAN. Spanning Tree par fonction crée un chemin unique à travers votre réseau de couche 2 pour éviter les boucles (Oh, mon Dieu!). Si vous disposez de plusieurs liens redondants vers vos périphériques d'agrégation, certains de ces liens ne seront pas utilisés. Pour contourner ce problème, vous pouvez créer plusieurs topologies STP avec différents VLAN. Ceci est accompli avec PVST, RPVST ou MST basé sur des normes Cisco. Cela vous permet d'avoir plusieurs typologies STP avec lesquelles vous pouvez jouer pour utiliser vos liens précédemment inutilisés. Par exemple, si j'avais 50 postes de travail, je pourrais en placer 25 dans le VLAN 10 et 25 dans le VLAN 20. Je pourrais alors demander au VLAN 10 de prendre le côté "gauche" du réseau et les 25 restants dans le VLAN 20 prendraient la côté "droit" du réseau.

Séparation des services: Celui-ci est assez simple. Si vous avez des caméras de sécurité IP, des téléphones IP et des ordinateurs de bureau tous connectés au même commutateur, il peut être plus facile de séparer ces services dans leur propre sous-réseau. Cela vous permettrait également d'appliquer des marquages ​​QOS à ces services basés sur VLAN au lieu de certains services de couche supérieure (Ex: NBAR). Vous pouvez également appliquer des ACL sur le périphérique effectuant le routage L3 pour empêcher la communication entre les VLAN qui pourrait ne pas être souhaitée. Par exemple, je peux empêcher les ordinateurs de bureau d'accéder directement aux téléphones / caméras de sécurité.

Isolation de service: si vous avez une paire de commutateurs TOR dans un seul rack contenant quelques hôtes VMWare et un SAN, vous pouvez créer un VLAN iSCSI qui ne reste pas acheminé. Cela vous permettrait d'avoir un réseau iSCSI entièrement isolé afin qu'aucun autre périphérique ne puisse tenter d'accéder au SAN ou interrompre la communication entre les hôtes et le SAN. Il s'agit simplement d'un exemple d'isolement de service.

Taille du sous-réseau: Comme indiqué précédemment, si un seul site devient trop grand, vous pouvez décomposer ce site en différents VLAN, ce qui réduira le nombre d'hôtes qui jugent nécessaire de traiter chaque diffusion.

Il existe certainement plus de façons dont les VLAN sont utiles (je pense à plusieurs que j'utilise spécifiquement en tant que fournisseur de services Internet), mais je pense que ce sont les plus courants et devraient vous donner une bonne idée de la façon / pourquoi nous les utilisons. Il existe également des VLAN privés qui ont des cas d'utilisation spécifiques et méritent d'être mentionnés ici.


7

Alors que les réseaux deviennent de plus en plus grands, l'évolutivité devient un problème. Pour communiquer, chaque appareil doit envoyer des émissions, qui sont envoyées à tous les appareils d'un domaine de diffusion. À mesure que davantage d'appareils sont ajoutés au domaine de diffusion, davantage de diffusions commencent à saturer le réseau. À ce stade, plusieurs problèmes se glissent, notamment la saturation de la bande passante avec le trafic de diffusion, un traitement accru sur chaque périphérique (utilisation du processeur) et même des problèmes de sécurité. La division de ce grand domaine de diffusion en domaines de diffusion plus petits devient de plus en plus nécessaire.

Entrez les VLAN.

Un VLAN, ou LAN virtuel, crée virtuellement des domaines de diffusion séparés, éliminant ainsi la nécessité de créer des LAN matériels complètement séparés pour surmonter le problème de domaine de diffusion étendu. Au lieu de cela, un commutateur peut contenir de nombreux VLAN, chacun agissant comme un domaine de diffusion autonome et distinct. En fait, deux VLAN ne peuvent pas communiquer entre eux sans l'intervention d'un périphérique de couche 3 tel qu'un routeur, ce qui est tout ce qui concerne la commutation de couche 3.

En résumé, les VLAN, au niveau le plus élémentaire, segmentent les grands domaines de diffusion en domaines de diffusion plus petits et plus faciles à gérer pour augmenter l'évolutivité de votre réseau en constante expansion.


5

Les VLAN sont des réseaux logiques créés au sein du réseau physique. Leur utilisation principale est de fournir l'isolement, souvent comme moyen de réduire la taille du domaine de diffusion au sein d'un réseau, mais ils peuvent être utilisés à plusieurs autres fins.

Ils sont un outil que tout ingénieur réseau doit connaître et, comme tout outil, ils peuvent être utilisés de manière incorrecte et / ou au mauvais moment. Aucun outil n'est le bon dans tous les réseaux et dans toutes les situations, donc plus vous pouvez utiliser d'outils, mieux vous pourrez travailler dans plus d'environnements. En savoir plus sur les VLAN vous permet de les utiliser lorsque vous en avez besoin et de les utiliser correctement lorsque vous le faites.

Un exemple de la façon dont ils peuvent être utilisés, je travaille actuellement dans un environnement où les appareils SCADA (contrôle de supervision et acquisition de données) sont largement utilisés. Les périphériques SCADA sont généralement assez simples et ont une longue histoire de développement de logiciels moins que stellaire, offrant souvent des vulnérabilités de sécurité majeures.

Nous avons placé les périphériques SCADA dans leur dans un VLAN séparé sans passerelle L3. Le seul accès à leur réseau logique est via le serveur avec lequel ils communiquent (qui a deux interfaces, une dans le VLAN SCADA) qui peut être sécurisé avec sa propre sécurité basée sur l'hôte, ce qui n'est pas possible sur les périphériques SCADA. Les périphériques SCADA sont isolés du reste du réseau, même lorsqu'ils sont connectés aux mêmes périphériques physiques, de sorte que toute vulnérabilité est atténuée.


3

En termes de principes de conception, l'implémentation la plus courante consiste à aligner vos VLAN avec votre structure organisationnelle, c'est-à-dire les ingénieurs dans un VLAN, le marketing dans un autre, les téléphones IP dans un autre, etc. fonctionne sur un (ou plusieurs) cœurs. La terminaison de couche 3 des VLAN (`` SVI '' dans le langage Cisco, `` VE '' dans Brocade, etc.) est également possible sur certains appareils, ce qui élimine le besoin d'un matériel distinct pour effectuer la communication inter-VLAN, le cas échéant.

Les VLAN deviennent encombrants à gérer et à maintenir à grande échelle, comme vous l'avez probablement vu des cas de déjà sur NESE. Dans le domaine des fournisseurs de services, il y a PB (Provider Bridging - communément appelé "QinQ", double tagging, stacked tag, etc.), PBB (Provider Backbone Bridging - "MAC-in-MAC") et PBB-TE, qui ont été conçu pour essayer d'atténuer la limitation du nombre d'ID de VLAN disponibles. PBB-TE vise plus à éliminer le besoin d'apprentissage dynamique, d'inondation et d'arborescence. Il n'y a que 12 bits disponibles pour une utilisation en tant qu'ID de VLAN dans un C-TAG / S-TAG (0x000 et 0xFFF sont réservés), d'où vient la limitation de 4094.

VPLS ou PBB peuvent être utilisés pour éliminer les plafonds de mise à l'échelle traditionnels impliqués avec PB.


3

Le cas d'utilisation de base pour les VLAN est presque exactement le même que le cas d'utilisation de base pour la segmentation du réseau en plusieurs domaines de diffusion de liaison de données. La principale différence est qu'avec un réseau local physique , vous avez besoin d'au moins un périphérique (généralement un commutateur) pour chaque domaine de diffusion, alors qu'avec un domaine de diffusion virtuel LAN, l'appartenance est déterminée port par port et est reconfigurable sans ajouter ou remplacement du matériel.

Pour les applications de base, appliquez les mêmes principes de conception aux VLAN que vous le feriez pour les PLAN. Les trois concepts que vous devez connaître pour ce faire sont:

  1. Trunking - Tout lien qui porte des cadres appartenant à plus d'un VLAN est un tronc lien. En règle générale, les liaisons de commutateur à commutateur et de commutateur à routeur sont configurées pour être des liaisons de jonction .
  2. Étiquetage - Lors de la transmission à une liaison de jonction, l'appareil doit étiqueter chaque trame avec l'ID de VLAN numérique auquel il appartient afin que l'appareil récepteur puisse le confiner correctement dans le domaine de diffusion correct. En général, les ports face à l'hôte ne sont pas balisés , tandis que les ports face au commutateur et face au routeur sont balisés . La balise est une partie supplémentaire de l'encapsulation de la liaison de données.
  3. Interfaces virtuelles - Sur un appareil avec une ou plusieurs interfaces de liaison de jonction, il est souvent nécessaire d'attacher, dans le sens logique, l'appareil en tant que terminal de liaison à un ou plusieurs des VLAN individuels qui sont présents dans la jonction. Cela est particulièrement vrai pour les routeurs. Cette connexion de lien logique est modélisée comme une interface virtuelle qui agit comme un port connecté au domaine de diffusion unique associé au VLAN désigné.

2

À l'origine, l'utilisation d'un vlan était de restreindre la zone de diffusion d'un réseau. Les émissions sont limitées à leur propre VLAN. Plus tard, des fonctionnalités supplémentaires ont été ajoutées. Cependant, gardez à l'esprit que les vlan sont la couche 2 dans les commutateurs Cisco par exemple. Vous pouvez ajouter la couche 2 en attribuant une adresse IP au port du commutateur, mais ce n'est pas obligatoire.

fonctionnalité supplémentaire:

  • jonction: utilisez plusieurs vlan via une connexion physique (ex: connexion de 2 commutateurs, une liaison physique est suffisante pour avoir une connexion pour tous les vlan, la séparation des vlan se fait par marquage, voir: dot1Q pour cisco)
  • Sécurité
  • plus facile à gérer (ex: l'arrêt d'un vlan n'a pas d'impact sur la connectivité de l'autre vlan ...)
  • ...

1

Si je peux offrir une autre information, cela pourrait aider.

Pour comprendre les VLAN, vous devez également comprendre deux concepts clés.

-Sous-réseautage - En supposant que vous souhaitez que les différents appareils puissent communiquer entre eux (serveurs et clients, par exemple), chaque VLAN doit se voir attribuer un sous-réseau IP. Il s'agit du SVI mentionné ci-dessus. Cela vous permet de commencer le routage entre les vlans.

-Routage - Une fois que vous avez créé chaque VLAN, un sous-réseau attribué aux clients sur chaque VLAN et un SVI créé pour chaque VLAN, vous devrez activer le routage. Le routage peut être une configuration très simple, avec une route statique par défaut vers Internet et des instructions de réseau EIGRP ou OSPF pour chacun des sous-réseaux.

Une fois que vous voyez comment tout cela s'assemble, il est en fait assez élégant.


Merci! subn / rtn je reçois, alors maintenant avec toutes ces informations VLAN, oui, cela a un sens parfait. Je pense déjà à construire des VLAN «arrière» et à changer les choses pour les systèmes qui ont une seconde interface inutilisée.
Craig Constantine

1
Les VLAN ne nécessitent pas d'informations L3, de routage ou de SVI. Celles-ci ne sont nécessaires que si vous souhaitez une fonctionnalité L3 (IP) ou supérieure pour les hôtes de ce VLAN.
YLearn

il suffit d'ajouter ... il n'est pas nécessaire d'exécuter IP sur le VLAN. (voir aussi: vlans basés sur le protocole - vs basés sur le port, qui est utilisé 99% du temps.)
Ricky Beam

Je suis d'accord avec vos deux déclarations. Les vlans L2 ont certainement leur utilité. Cependant, si quelqu'un envisage d'ajouter des vlans à son réseau existant, ne pas expliquer l'aspect L3 est une grave omission.
Jonathan Davis
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.