Как работают VLAN?
Что такое VLAN? Какие проблемы они решают?
Я помогаю другу научиться основам работы с сетями, так как он стал единственным системным администратором в небольшой компании. Я указывал ему на различные вопросы / ответы по Serverfault, относящиеся к различным сетевым темам, и заметил пробел - кажется, нет ответа, который объясняет из первых принципов, что такое VLAN. В духе " Как работает подсеть" я подумал, что было бы полезно задать здесь вопрос с каноническим ответом.
Некоторые потенциальные темы для ответа в ответе:
- Что такое VLAN?
- Какие проблемы они должны были решить?
- Как все работало до VLAN?
- Как VLAN связаны с подсетями?
- Что такое SVI?
- Что такое магистральные порты и порты доступа?
- Что такое VTP?
РЕДАКТИРОВАТЬ: чтобы быть ясным, я уже знаю, как работают VLAN - я просто думаю, что Serverfault должен иметь ответ, который охватывает эти вопросы. Если позволит время, я тоже отправлю свой ответ.
2 ответа
Виртуальные локальные сети (VLAN) - это абстракция, позволяющая одной физической сети эмулировать функциональность нескольких параллельных физических сетей. Это удобно, потому что могут быть ситуации, когда вам нужна функциональность нескольких параллельных физических сетей, но вы не хотите тратить деньги на покупку параллельного оборудования. Я буду говорить об Ethernet VLAN в этом ответе (хотя другие сетевые технологии могут поддерживать VLAN), и я не буду углубляться в каждый нюанс.
Придуманный пример и проблема
В качестве чисто надуманного сценария представьте, что у вас есть офисное здание, которое вы арендуете у арендаторов. В качестве преимущества аренды каждый арендатор получит действующие гнезда Ethernet в каждой комнате офиса. Вы покупаете коммутатор Ethernet для каждого этажа, подключаете их к разъемам в каждом офисе на этом этаже и подключаете все коммутаторы вместе.
Первоначально вы арендуете пространство для двух разных арендаторов - одного на первом этаже и одного на 2. Каждый из этих арендаторов настраивает свои компьютеры со статическими IPv4-адресами. Оба арендатора используют разные подсети TCP/IP, и кажется, что все работает нормально.
Позже новый арендатор арендует половину 3 этажа и запускает один из этих новомодных DHCP-серверов. Проходит время, и арендатор 1-го этажа тоже решает запрыгнуть в подножку DHCP. Это тот момент, когда все начинает идти не так, как надо. Арендаторы третьего этажа сообщают, что некоторые из их компьютеров получают "забавные" IP-адреса с компьютера, который не является их DHCP-сервером. Вскоре жильцы первого этажа сообщают о том же.
DHCP - это протокол, который использует широковещательную способность Ethernet, чтобы позволить клиентским компьютерам динамически получать IP-адреса. Поскольку все арендаторы используют одну и ту же физическую сеть Ethernet, они используют один и тот же широковещательный домен. Широковещательный пакет, отправленный с любого компьютера в сети, перенаправит все порты коммутатора на любой другой компьютер. Серверы DHCP на этажах 1 и 3 будут получать все запросы на аренду IP-адресов и, по сути, будут дуэли, чтобы узнать, кто ответит первым. Это явно не то поведение, которое вы намерены испытывать у своих арендаторов. Это поведение "плоской" сети Ethernet без каких-либо VLAN.
Хуже того, арендатор на втором этаже приобретает это программное обеспечение "Wireshark" и сообщает, что время от времени он видит трафик, исходящий из коммутатора, который ссылается на компьютеры и IP-адреса, о которых он никогда не слышал. Один из их сотрудников даже выяснил, что он может общаться с этими другими компьютерами, изменив IP-адрес, назначенный его ПК, с 192.168.1.38 на 192.168.0.38! Предположительно, он находится всего в нескольких шагах от предоставления "несанкционированных бесплатных услуг администрирования системы" для одного из других арендаторов. Фигово.
Потенциальные решения
Вам нужно решение! Вы можете просто вытащить пробки между этажами, и это отключит все нежелательные коммуникации! Да уж! Это билет...
Это может сработать, за исключением того, что у вас есть новый арендатор, который будет арендовать половину подвала и незанятую половину этажа 3. Если нет связи между выключателем этажа 3 и выключателем подвала, новый арендатор не будет в состоянии получить связь между своими компьютерами, которые будут распределены по обоим этажам. Потянув за вилки, это не ответ. Хуже того, новый арендатор приносит еще один из этих серверов DHCP!
Вы заигрываете с идеей покупки физически отдельных наборов коммутаторов Ethernet для каждого арендатора, но, видя, что в вашем здании 30 этажей, любой из которых может быть разделен на четыре части, потенциальные крысы гнездятся между этажными кабелями. огромное количество параллельных коммутаторов Ethernet может стать кошмаром, не говоря уже о дорогой. Если бы только был способ заставить единую физическую сеть Ethernet действовать так, как если бы она была множеством физических сетей Ethernet, каждая из которых имела свой собственный широковещательный домен.
VLAN для спасения
VLAN являются ответом на эту грязную проблему. Сети VLAN позволяют разделить коммутатор Ethernet на логически разрозненные виртуальные коммутаторы Ethernet. Это позволяет одному коммутатору Ethernet работать так, как если бы это было несколько физических коммутаторов Ethernet. Например, в случае вашего подразделенного 3 этажа вы можете настроить коммутатор на 48 портов так, чтобы 24 нижних порта находились в данной VLAN (которую мы будем называть VLAN 12), а 24 верхних порта - в данной VLAN (который мы будем называть VLAN 13). Когда вы создаете VLAN на коммутаторе, вам необходимо назначить им имя или номер VLAN определенного типа. Числа, которые я здесь использую, в основном произвольные, поэтому не беспокойтесь о том, какие именно цифры я выберу.
Разделив коммутатор 3-го этажа на VLAN 12 и 13, вы обнаружите, что новый арендатор 3-го этажа может подключить свой DHCP-сервер к одному из портов, назначенных для VLAN 13, а ПК, подключенный к порту, назначенному для VLAN 12, не ' получить IP-адрес от нового сервера DHCP. Отлично! Задача решена!
Ой, подождите... как мы доставим эти данные VLAN 13 в подвал?
Связь VLAN между коммутаторами
Ваш арендатор половинного 3-го и полуподвального этажей хотел бы подключить компьютеры в подвале к своим серверам на 3-м этаже. Вы можете подключить кабель напрямую от одного из портов, назначенных его VLAN на 3-м этаже, и переключиться на подвал и ресурс. было бы хорошо, верно?
На заре VLAN (стандарт до 802.1Q) вы могли бы сделать именно это. Весь коммутатор подвала, по сути, будет частью VLAN 13 (VLAN, которую вы решили назначить новому арендатору на 3-м этаже и в подвале), потому что этот базовый коммутатор будет "питаться" портом на 3-м этаже, который назначен к VLAN 13.
Это решение будет работать, пока вы не сдадите вторую половину подвала своему арендатору 1 этажа, который также хочет иметь связь между их 1-м этажом и компьютерами подвала. Вы можете разделить коммутатор подвала с помощью VLAN (скажем, VLANS 2 и 13) и проложить кабель от этажа 1 до порта, назначенного для VLAN 2 в подвале, но вы, судя по всему, скажете, что это может быстро стать гнездом крысы кабелей (и будет только хуже). Разделение коммутаторов с использованием VLAN- это хорошо, но необходимость прокладывать несколько кабелей от других коммутаторов к портам, которые являются членами разных VLAN, кажется грязной. Несомненно, если бы вам пришлось разделить коммутатор в подвале на 4 пути между арендаторами, у которых также было место на верхних этажах, вы бы использовали 4 порта на коммутаторе в подвале, просто чтобы завершить "фидерные" кабели из VLAN наверху.
Теперь должно быть ясно, что необходим некоторый тип обобщенного метода перемещения трафика из нескольких VLAN между коммутаторами по одному кабелю. Простое добавление большего количества кабелей между коммутаторами для поддержки соединений между различными VLAN не является масштабируемой стратегией. В конце концов, с достаточным количеством VLAN вы будете поглощать все порты на своих коммутаторах с этими соединениями между VLAN / межкоммутаторами. Необходим способ передачи пакетов из нескольких VLAN по одному соединению - магистральное соединение между коммутаторами.
До этого момента все порты коммутатора, о которых мы говорили, называются портами доступа. То есть эти порты предназначены для доступа к одной VLAN. Устройства, подключенные к этим портам, сами по себе не имеют специальной конфигурации. Эти устройства не "знают" о наличии каких-либо VLAN. Кадры, отправляемые клиентскими устройствами, доставляются на коммутатор, который затем следит за тем, чтобы кадр отправлялся только на порты, назначенные в качестве членов VLAN, назначенных порту, в который кадр вошел в коммутатор. Если фрейм входит в коммутатор через порт, назначенный в качестве члена VLAN 12, то коммутатор будет отправлять только те порты фрейма, которые являются членами VLAN 12. Коммутатор "знает" номер VLAN, назначенный порту, от которого он получает кадр и как-то знает, чтобы доставить только этот кадр из портов той же VLAN.
Если бы у коммутатора был какой-то способ поделиться номером VLAN, связанным с данным кадром, с другими коммутаторами, то другой коммутатор мог бы правильно обрабатывать доставку этого кадра только на соответствующие порты назначения. Это то, что делает протокол маркировки VLAN 802.1Q. (Стоит отметить, что до 802.1Q некоторые поставщики разрабатывали свои собственные стандарты для маркировки VLAN и транкинга между коммутаторами. По большей части эти предварительные стандартные методы были вытеснены 802.1Q.)
Когда у вас есть два VLAN-совместимых коммутатора, подключенных друг к другу, и вы хотите, чтобы эти коммутаторы доставляли кадры между собой в соответствующую VLAN, вы подключаете эти коммутаторы через "магистральные" порты. Это включает в себя изменение конфигурации порта на каждом коммутаторе из режима "доступа" в режим "транка" (в базовой конфигурации).
Когда порт сконфигурирован в режиме транка, каждый кадр, который коммутатор отправляет этому порту, будет иметь "тег VLAN", включенный в кадр. Этот "тег VLAN" не был частью исходного кадра, отправленного клиентом. Скорее, этот тег добавляется отправляющим коммутатором перед отправкой кадра через транковый порт. Этот тег обозначает номер VLAN, связанный с портом, с которого произошел кадр.
Приемный коммутатор может посмотреть на тег, чтобы определить, из какой VLAN произошел кадр, и, основываясь на этой информации, переслать кадру только те порты, которые назначены исходной VLAN. Поскольку устройства, подключенные к портам "доступа", не знают, что используются VLAN, информация "тега" должна быть удалена из кадра, прежде чем будет отправлен порт, настроенный в режиме доступа. Такое удаление информации тега приводит к тому, что весь процесс транкинга VLAN будет скрыт от клиентских устройств, поскольку принимаемый ими кадр не будет содержать никакой информации тега VLAN.
Перед настройкой виртуальных локальных сетей в реальной жизни я бы рекомендовал настроить порт для режима магистрали на тестовом коммутаторе и отслеживать трафик, отправляемый на этот порт, с помощью анализатора (например, Wireshark). Вы можете создать некоторый пример трафика с другого компьютера, подключенного к порту доступа, и увидеть, что кадры, покидающие магистральный порт, на самом деле будут больше, чем кадры, отправляемые вашим тестовым компьютером. Вы увидите информацию тега VLAN в кадрах в Wireshark. Я считаю, что на самом деле стоит посмотреть, что происходит в сниффере. Чтение стандарта 802.1Q по тегам также является приличным занятием на этом этапе (тем более, что я не говорю о таких вещах, как "собственные VLAN" или двойные теги).
Конфигурация VLAN Кошмары и решение
По мере того, как вы арендуете все больше и больше места в вашем здании, количество сетей VLAN растет. Каждый раз, когда вы добавляете новую VLAN, вы обнаруживаете, что вам необходимо подключаться к все большему количеству коммутаторов Ethernet и добавлять эту VLAN в список. Разве не было бы замечательно, если бы существовал какой-то метод, с помощью которого вы могли бы добавить эту VLAN в один манифест конфигурации и автоматически заполнить конфигурацию VLAN каждого коммутатора?
Протоколы, такие как собственный протокол Cisco VLAN Trunking (VTP) или основанный на стандартах протокол регистрации нескольких VLAN (MVRP- ранее записанный GVRP), выполняют эту функцию. В сети, использующей эти протоколы, одна запись создания или удаления VLAN приводит к отправке протокольных сообщений на все коммутаторы в сети. Это сообщение протокола сообщает об изменении конфигурации VLAN остальным коммутаторам, которые, в свою очередь, изменяют свои конфигурации VLAN. VTP и MVRP не заботятся о том, какие конкретные порты настроены в качестве портов доступа для определенных VLAN, а скорее полезны при передаче информации о создании или удалении VLAN всем коммутаторам.
Когда вы освоитесь с VLAN, вы, вероятно, захотите вернуться и прочитать о "сокращении VLAN", которое связано с такими протоколами, как VTP и MVRP. Пока это не о чем беспокоиться. (В статье о VTP в Википедии есть хорошая схема, которая объясняет сокращение VLAN и его преимущества.)
Когда вы используете VLAN в реальной жизни?
Прежде чем идти дальше, важно подумать о реальной жизни, а не о надуманных примерах. Вместо дублирования текста другого ответа здесь я отсылаю вас к моему ответу: когда создавать VLAN. Это не обязательно "начальный уровень", но стоит взглянуть на него сейчас, так как я собираюсь кратко сослаться на него, прежде чем вернуться к надуманному примеру.
Для толпы "tl; dr" (которая наверняка все перестала читать в этот момент), суть этой ссылки выше: Создать VLAN, чтобы уменьшить широковещательные домены или когда вы хотите разделить трафик по какой-то конкретной причине (безопасность, политика и т. д.). На самом деле нет других веских причин для использования VLAN.
В нашем примере мы используем VLAN для ограничения широковещательных доменов (для поддержания правильной работы таких протоколов, как DHCP) и, во-вторых, потому что мы хотим изоляции между сетями различных арендаторов.
В стороне: IP-подсети и VLAN
Вообще говоря, между VLAN и IP-подсетями обычно существует взаимно-однозначное отношение для удобства, чтобы облегчить изоляцию и из-за того, как работает протокол ARP.
Как мы видели в начале этого ответа, две разные IP-подсети могут быть использованы в одном физическом Ethernet без проблем. Если вы используете VLAN для сокращения широковещательных доменов, вам не нужно совместно использовать одну и ту же VLAN с двумя разными IP-подсетями, поскольку вы будете комбинировать их ARP и другой широковещательный трафик.
Если вы используете VLAN для разделения трафика по соображениям безопасности или политики, вам также, вероятно, не захочется объединять несколько подсетей в одной VLAN, поскольку вы не сможете достичь цели изоляции.
IP использует протокол широковещательной передачи, Протокол разрешения адресов (ARP), для сопоставления IP-адресов с физическими (MAC-адресами Ethernet). Поскольку ARP основан на широковещании, назначение разных частей одной и той же IP-подсети разным VLAN будет проблематичным, поскольку узлы в одной VLAN не смогут получать ответы ARP от узлов в другой VLAN, поскольку широковещательные рассылки не пересылаются между VLAN. Вы можете решить эту "проблему" с помощью прокси-ARP, но, в конечном счете, если у вас нет действительно веской причины для необходимости разделять IP-подсеть между несколькими VLAN, лучше этого не делать.
Один последний шаг: сети VLAN и безопасность
Наконец, стоит отметить, что VLAN не являются отличным устройством безопасности. Многие коммутаторы Ethernet имеют ошибки, которые позволяют отправлять кадры, исходящие из одной VLAN, из портов, назначенных другой VLAN. производители коммутаторов Ethernet работали трудно исправить эти ошибки, но это сомнительно, что когда-либо будет полностью ошибка свободной реализации.
В случае нашего надуманного примера сотрудник второго этажа, который находится в нескольких шагах от предоставления бесплатных "услуг" системного администрирования другому арендатору, может быть остановлен, изолировав свой трафик в VLAN. Он также может выяснить, как использовать ошибки в микропрограмме коммутатора, чтобы позволить его трафику "просачиваться" в VLAN другого арендатора.
Поставщики Metro Ethernet все в большей степени полагаются на функциональность тегов VLAN и изоляцию, которую обеспечивают коммутаторы. Несправедливо утверждать, что при использовании VLAN нет безопасности. Однако справедливо сказать, что в ситуациях с ненадежными подключениями к Интернету или сетями DMZ, вероятно, лучше использовать физически раздельные коммутаторы для передачи этого "раздражающего" трафика, а не виртуальные локальные сети на коммутаторах, которые также переносят ваш доверенный трафик "за брандмауэром".
Ввод слоя 3 в картину
Пока все, о чем говорил этот ответ, относится к слою 2 - фреймы Ethernet. Что произойдет, если мы начнем вносить слой 3 в это?
Давайте вернемся к образцу надуманного здания. Вы приняли VLAN, которые решили настроить порты каждого арендатора в качестве членов отдельных VLAN. Вы настроили магистральные порты таким образом, чтобы коммутатор каждого этажа мог обмениваться кадрами, помеченными исходным номером VLAN, с коммутаторами на этаже выше и ниже. У одного арендатора могут быть компьютеры, распределенные по нескольким этажам, но из-за ваших навыков конфигурирования виртуальной локальной сети эти физически распределенные компьютеры могут казаться частью одной физической локальной сети.
Вы настолько полны своих ИТ-достижений, что решили начать предлагать интернет-подключение своим клиентам. Вы покупаете толстый интернет-канал и роутер. Вы предлагаете эту идею всем своим арендаторам, и двое из них немедленно вносят свой вклад. К счастью для вас ваш маршрутизатор имеет три порта Ethernet. Вы подключаете один порт к вашему толстому интернет-каналу, другой порт - к порту коммутатора, назначенному для доступа к VLAN первого арендатора, а другой - к порту, назначенному для доступа к VLAN второго арендатора. Вы настраиваете порты вашего маршрутизатора с IP-адресами в сети каждого арендатора, и арендаторы начинают выходить в Интернет через ваш сервис! Доход увеличивается, и вы счастливы.
Вскоре, однако, другой арендатор решает подключиться к вашему интернет-предложению. У вас нет портов на вашем роутере. Что делать?
К счастью, вы купили маршрутизатор, который поддерживает настройку "виртуальных подчиненных интерфейсов" на его портах Ethernet. Вкратце, эта функциональность позволяет маршрутизатору получать и интерпретировать кадры, помеченные исходными номерами VLAN, и иметь виртуальные (то есть нефизические) интерфейсы, настроенные с IP-адресами, подходящими для каждой VLAN, с которой он будет связываться. Фактически это позволяет вам "мультиплексировать" один порт Ethernet на маршрутизаторе таким образом, чтобы он функционировал как несколько физических портов Ethernet.
Вы подключаете свой маршрутизатор к транковому порту на одном из ваших коммутаторов и настраиваете виртуальные подчиненные интерфейсы, соответствующие схеме IP-адресации каждого арендатора. Каждый виртуальный подчиненный интерфейс настраивается с помощью номера VLAN, назначенного каждому клиенту. Когда кадр покидает магистральный порт на коммутаторе, связанный с маршрутизатором, он будет нести тег с исходным номером VLAN (так как это магистральный порт). Маршрутизатор будет интерпретировать этот тег и обрабатывать пакет, как если бы он поступил на выделенный физический интерфейс, соответствующий этой VLAN. Аналогичным образом, когда маршрутизатор отправляет кадр коммутатору в ответ на запрос, он добавляет к кадру тег VLAN, так что коммутатору известно, в какую VLAN должен быть доставлен кадр ответа. По сути, вы настроили маршрутизатор так, чтобы он "отображался" как физическое устройство в нескольких VLAN, при этом используется только одно физическое соединение между коммутатором и маршрутизатором.
Маршрутизаторы на палках и коммутаторах уровня 3
Используя виртуальные подчиненные интерфейсы, вы смогли продавать интернет-соединения всем своим арендаторам, не покупая маршрутизатор с более чем 25 интерфейсами Ethernet. Вы довольно довольны своими достижениями в области ИТ, поэтому положительно реагируете, когда два ваших арендатора приходят к вам с новым запросом.
Эти арендаторы выбрали вариант "партнер" в проекте, и они хотят разрешить доступ с клиентских компьютеров в офисе одного арендатора (одна данная VLAN) к серверу компьютера в офисе другого арендатора (другая VLAN). Поскольку они оба являются клиентами вашей интернет-службы, это довольно простое изменение ACL в вашем основном интернет-маршрутизаторе (на котором есть виртуальный подчиненный интерфейс, настроенный для каждой из VLAN этих арендаторов), чтобы позволить трафику проходить между их VLAN как а также в интернет из своих VLAN. Вы вносите изменения и отправляете арендаторов в путь.
На следующий день вы получаете жалобы от обоих арендаторов на то, что доступ между клиентскими компьютерами в одном офисе к серверу во втором офисе очень медленный. Оба сервера и клиентские компьютеры имеют гигабитные соединения Ethernet с вашими коммутаторами, но файлы передаются только со скоростью около 45 Мбит / с, что, по совпадению, составляет примерно половину скорости, с которой ваш основной маршрутизатор подключается к своему коммутатору. Очевидно, что трафик, проходящий от исходной VLAN к маршрутизатору и обратно от маршрутизатора к целевой VLAN, является узким местом при подключении маршрутизатора к коммутатору.
То, что вы сделали с вашим основным маршрутизатором, позволяя ему маршрутизировать трафик между VLAN, обычно называют "маршрутизатором на флешке" (возможно, глупо причудливый эвфемизм). Эта стратегия может работать хорошо, но трафик может проходить только между VLAN до емкости соединения маршрутизатора с коммутатором. Если каким-то образом маршрутизатор может быть соединен с "внутренностями" самого коммутатора Ethernet, он сможет маршрутизировать трафик еще быстрее (поскольку сам коммутатор Ethernet, согласно спецификации производителя, способен переключать трафик на 2 Гбит / с).
"Коммутатор уровня 3" - это коммутатор Ethernet, который, логически говоря, содержит маршрутизатор, скрытый внутри себя. Я считаю чрезвычайно полезным думать о коммутаторе 3-го уровня как о крошечном и быстром маршрутизаторе, скрывающемся внутри коммутатора. Кроме того, я бы посоветовал вам подумать о функциональности маршрутизации как обособленной функции от функции коммутации Ethernet, которую обеспечивает коммутатор уровня 3. Коммутатор уровня 3 - это, по сути, два разных устройства, заключенных в одном шасси.
Встроенный маршрутизатор в коммутаторе уровня 3 подключается к внутренней коммутационной матрице коммутатора со скоростью, которая, как правило, позволяет маршрутизировать пакеты между виртуальными локальными сетями на скорости, близкой к скорости проводной связи. Аналогично виртуальным подчиненным интерфейсам, которые вы настроили на своем "маршрутизаторе на флешке", этот встроенный маршрутизатор внутри коммутатора уровня 3 может быть настроен с виртуальными интерфейсами, которые "выглядят" как подключения для доступа к каждой VLAN. Вместо того, чтобы называться виртуальными подчиненными интерфейсами, эти логические соединения из VLAN во встроенный маршрутизатор внутри коммутатора уровня 3 называются виртуальными интерфейсами коммутатора (SVI). По сути, встроенный маршрутизатор внутри коммутатора уровня 3 имеет некоторое количество "виртуальных портов", которые можно "подключить" к любой из VLAN на коммутаторе.
Встроенный маршрутизатор работает так же, как физический маршрутизатор, за исключением того, что он, как правило, не обладает всеми теми же функциями протокола динамической маршрутизации или списка управления доступом (ACL), что и физический маршрутизатор (если только вы не купили действительно хороший уровень 3). переключатель). Преимущество встроенного маршрутизатора заключается в том, что он очень быстрый и не имеет узких мест, связанных с физическим портом коммутатора, к которому он подключен.
В нашем примере с "партнерскими" арендаторами вы можете выбрать коммутатор уровня 3, подключить его к магистральным портам таким образом, чтобы трафик из обеих клиентских VLAN достиг его, затем настроить SVI с IP-адресами и членством в VLAN таким образом, чтобы он "появляется" в обеих клиентских VLAN. После того, как вы это сделаете, нужно просто настроить таблицу маршрутизации вашего основного маршрутизатора и встроенный маршрутизатор в коммутаторе уровня 3 так, чтобы трафик, проходящий между виртуальными локальными сетями арендаторов, направлялся встроенным маршрутизатором внутри коммутатора уровня 3 по сравнению с "роутер на флешке".
Использование коммутатора уровня 3 не означает, что по-прежнему не будет узких мест, связанных с пропускной способностью магистральных портов, которые соединяют ваши коммутаторы. Это ортогональное отношение к тем, к которым обращаются VLAN. VLAN не имеют ничего общего с проблемами пропускной способности. Обычно проблемы с пропускной способностью решаются либо путем получения высокоскоростных соединений между коммутаторами, либо с использованием протоколов агрегации каналов для "соединения" нескольких низкоскоростных соединений в виртуальное высокоскоростное соединение. Если все устройства, создающие кадры для маршрутизации встроенным маршрутизатором в последнем 3 коммутаторе, сами не подключены к портам непосредственно на коммутаторе уровня 3, вам все равно нужно беспокоиться о пропускной способности соединительных линий между коммутаторами. Коммутатор уровня 3 не является панацеей, но обычно он быстрее, чем "маршрутизатор на флешке".
Динамические VLAN
Наконец, в некоторых коммутаторах есть функция для обеспечения динамического членства в VLAN. Вместо того, чтобы назначать данный порт в качестве порта доступа для данной VLAN, конфигурация порта (доступ или транк и для каких VLAN) может динамически изменяться при подключении устройства. Динамические VLAN- более сложная тема, но знание о существующей функциональности может быть полезным.
Функциональность зависит от поставщика, но обычно вы можете настроить динамическое членство в VLAN на основе MAC-адреса подключенного устройства, состояния аутентификации 802.1X устройства, проприетарных и основанных на стандартах протоколов (например, CDP и LLDP), чтобы позволить IP-телефонам "обнаружить" номер VLAN для голосового трафика), IP-подсеть, назначенную клиентскому устройству, или тип протокола Ethernet.
VLAN - это "Виртуальные локальные сети". Следующее - мое понимание - мой опыт работы в первую очередь в области системного проектирования и администрирования, а также в области ОО-программирования и большого количества сценариев.
VLAN предназначены для создания изолированной сети на нескольких аппаратных устройствах. Традиционная локальная сеть в старые времена могла существовать только в том случае, если у вас есть одно аппаратное устройство, выделенное для конкретной сети. Всем серверам / устройствам, подключенным к этому сетевому устройству (коммутатору или концентратору, в зависимости от исторического периода), обычно разрешается свободно обмениваться данными в локальной сети.
VLAN отличается тем, что вы можете соединять несколько сетевых устройств и создавать изолированные сети, группируя серверы вместе в VLAN, что исключает необходимость иметь "выделенное" сетевое устройство для одной локальной сети. Количество настраиваемых VLAN и поддерживаемых серверов / устройств будет варьироваться среди производителей сетевых устройств.
Опять же, в зависимости от поставщика, я не думаю, что все серверы должны находиться в одной подсети, чтобы быть частью одной VLAN. Я полагаю, что с устаревшими сетевыми конфигурациями (корректор вставки сетевого инженера здесь).
Что отличает VLAN от VPN, так это буква "P" для "Private". Обычно трафик VLAN не шифруется.
Надеюсь, это поможет!