Explicação de nível introdutório das VLANs


21

Qual é o caso de uso básico para VLANs?

Quais são os princípios básicos de design?

Estou procurando algo como uma resposta no estilo de resumo executivo de dois parágrafos para poder determinar se preciso aprender sobre VLANs para implementá-las.

Respostas:


23

Uma VLAN (LAN virtual) é uma maneira de criar vários comutadores virtuais dentro de um comutador físico. Por exemplo, as portas configuradas para usar a VLAN 10 agem como se estivessem conectadas exatamente ao mesmo switch. As portas da VLAN 20 não podem falar diretamente com as portas da VLAN 10. Elas devem ser roteadas entre as duas (ou ter um link que faça a ponte entre as duas VLANs).

Existem várias razões para implementar VLANs. Normalmente, o menor desses motivos é o tamanho da rede. Vou listar algumas razões e depois abrir cada uma delas.

  • Segurança
  • Utilização do Link
  • Separação de Serviço
  • Isolamento de Serviço
  • Tamanho da sub-rede

Segurança: a segurança não é alcançada por meio da criação de uma VLAN; no entanto, como você conecta essa VLAN a outras sub-redes pode permitir que você filtre / bloqueie o acesso a essa sub-rede. Por exemplo, se você tiver um prédio de escritórios com 50 computadores e 5 servidores, poderá criar uma VLAN para o servidor e uma VLAN para os computadores. Para os computadores se comunicarem com os servidores, você pode usar um firewall para rotear e filtrar esse tráfego. Isso permitiria aplicar IPS / IDS, ACLs, etc. à conexão entre os servidores e computadores.

Utilização do link: (Editar) Não acredito que deixei isso de fora da primeira vez. Peido do cérebro, eu acho. A utilização do link é outro grande motivo para usar VLANs. A extensão da árvore por função cria um único caminho através da sua rede da camada 2 para evitar loops (Oh, que coisa!). Se você tiver vários links redundantes para seus dispositivos agregadores, alguns desses links não serão utilizados. Para contornar isso, você pode criar várias topologias STP com diferentes VLANs. Isso é realizado com o PVT proprietário da Cisco, o RPVST ou o MST baseado em padrões. Isso permite que você tenha várias tipologias STP com as quais você pode brincar para utilizar seus links não utilizados anteriormente. Por exemplo, se eu tivesse 50 desktops, eu poderia colocar 25 deles na VLAN 10 e 25 na VLAN 20. Eu poderia fazer com que a VLAN 10 seguisse o lado "esquerdo" da rede e os 25 restantes na VLAN 20 usariam o lado "direito" da rede.

Separação de serviço: Este é bem simples. Se você tiver câmeras de segurança IP, telefones IP e desktops todos conectados ao mesmo comutador, poderá ser mais fácil separar esses serviços em sua própria sub-rede. Isso também permitiria aplicar marcas de QOS a esses serviços com base na VLAN, em vez de em alguns serviços de camada superior (por exemplo: NBAR). Você também pode aplicar ACLs no dispositivo que executa o roteamento L3 para impedir a comunicação entre VLANs que pode não ser desejada. Por exemplo, posso impedir que os desktops acessem diretamente os telefones / câmeras de segurança.

Isolamento de serviço: se você tiver um par de comutadores TOR em um único rack com alguns hosts VMWare e uma SAN, poderá criar uma VLAN iSCSI que não seja roteada. Isso permitiria que você tivesse uma rede iSCSI totalmente isolada, para que nenhum outro dispositivo pudesse tentar acessar a SAN ou interromper a comunicação entre os hosts e a SAN. Este é simplesmente um exemplo de isolamento de serviço.

Tamanho da sub-rede: conforme declarado anteriormente, se um único site se tornar muito grande, você pode decompô-lo em diferentes VLANs, o que reduzirá o número de hosts necessários para processar cada transmissão.

Certamente existem mais maneiras pelas quais as VLANs são úteis (posso pensar em várias que utilizo especificamente como provedor de serviços de Internet), mas acho que essas são as mais comuns e devem lhe dar uma boa idéia de como / por que as usamos. Também existem VLANs privadas que têm casos de uso específicos e vale a pena mencionar aqui.


7

À medida que as redes crescem cada vez mais, a escalabilidade se torna um problema. Para se comunicar, todo dispositivo precisa enviar transmissões, que são enviadas para todos os dispositivos em um domínio de broadcast. À medida que mais dispositivos são adicionados ao domínio de transmissão, mais transmissões começam a saturar a rede. Nesse ponto, vários problemas aparecem, incluindo saturação da largura de banda com tráfego de transmissão, maior processamento em cada dispositivo (uso da CPU) e até problemas de segurança. Dividir esse grande domínio de transmissão em domínios de transmissão menores se torna cada vez mais necessário.

Digite VLANs.

Uma VLAN, ou LAN virtual, cria domínios de broadcast separados virtualmente, eliminando a necessidade de criar LANs de hardware completamente separadas para superar o problema do domínio de broadcast grande. Em vez disso, um switch pode conter muitas VLANs, cada uma atuando como um domínio de transmissão autônomo e separado. De fato, duas VLANs não podem se comunicar sem a intervenção de um dispositivo da camada 3, como um roteador, que é o objetivo da comutação da camada 3.

Em resumo, as VLANs, no nível mais básico, segmentam grandes domínios de transmissão em domínios de transmissão menores e mais gerenciáveis ​​para aumentar a escalabilidade em sua rede em constante expansão.


5

VLANs são redes lógicas criadas dentro da rede física. Seu uso principal é fornecer isolamento, geralmente como um meio de diminuir o tamanho do domínio de broadcast em uma rede, mas eles podem ser usados ​​para vários outros fins.

Eles são uma ferramenta com a qual qualquer engenheiro de rede deve estar familiarizado e, como qualquer ferramenta, podem ser usados ​​incorretamente e / ou em horários errados. Nenhuma ferramenta é a correta em todas as redes e situações; portanto, quanto mais ferramentas você puder usar, melhor poderá trabalhar em mais ambientes. Saber mais sobre as VLANs permite que você as use quando precisar delas e use-as corretamente quando precisar.

Um exemplo de como eles podem ser usados, atualmente trabalho em ambientes onde os dispositivos SCADA (controle de supervisão e aquisição de dados) são amplamente utilizados. Os dispositivos SCADA geralmente são bastante simples e têm um longo histórico de desenvolvimento de software menos do que estelar, geralmente fornecendo grandes vulnerabilidades de segurança.

Definimos os dispositivos SCADA em uma VLAN separada sem gateway L3. O único acesso à sua rede lógica é através do servidor com o qual eles se comunicam (que possui duas interfaces, uma na VLAN SCADA) que pode ser protegida com sua própria segurança baseada em host, algo que não é possível nos dispositivos SCADA. Os dispositivos SCADA são isolados do restante da rede, mesmo quando conectados aos mesmos dispositivos físicos, portanto, qualquer vulnerabilidade é atenuada.


3

Em termos de princípios de design, a implementação mais comum é alinhar suas VLANs com sua estrutura organizacional, ou seja, pessoal de engenharia em uma VLAN, marketing em outra, telefones IP em outra etc. Outros designs incluem a utilização de VLANs como "transporte" de rede separada funções em um (ou mais) núcleos. A terminação da camada 3 de VLANs ('SVI' na linguagem Cisco, 'VE' em Brocade etc.) também é possível em alguns dispositivos, o que elimina a necessidade de um hardware separado para fazer a comunicação entre VLANs, quando aplicável.

As VLANs se tornam difíceis de gerenciar e manter em escala, como você provavelmente já viu casos de já estar na NESE. No domínio do provedor de serviços, há PB (Bridging de Provedor - conhecido como "QinQ", marcação dupla, tag empilhada etc.), PBB (Bridging de Backbone de Provedor - "MAC-in-MAC") e PBB-TE, que foram desenvolvido para tentar reduzir a limitação do número de IDs de VLAN disponíveis. O PBB-TE visa mais eliminar a necessidade de aprendizado dinâmico, inundações e extensão de árvores. Existem apenas 12 bits disponíveis para uso como ID de VLAN em um C-TAG / S-TAG (0x000 e 0xFFF são reservados), e é daí que a limitação 4.094 vem.

O VPLS ou PBB pode ser usado para eliminar os tetos de escala tradicionais envolvidos com o PB.


3

O caso de uso básico para VLANs é quase exatamente o mesmo que o caso de uso básico para segmentação da rede em vários domínios de transmissão de link de dados. A principal diferença é que, com uma LAN física , você precisa de pelo menos um dispositivo (geralmente um comutador) para cada domínio de broadcast, enquanto que com uma associação de domínio de broadcast LAN virtual é determinada porta a porta e é reconfigurável sem adicionar ou adicionar substituição de hardware.

Para aplicativos básicos, aplique os mesmos princípios de design às VLANs que você aplicaria aos PLANs. Os três conceitos que você precisa saber para fazer isso são:

  1. Entroncamento - Qualquer link que transporta quadros pertencentes a mais de uma VLAN é um link de tronco . Geralmente, os links switch-to-switch e switch-to-router são configurados para serem links de tronco .
  2. Identificação - Ao transmitir para um link de tronco, o dispositivo deve marcar cada quadro com o ID numérico da VLAN ao qual pertence, para que o dispositivo receptor possa confiná-lo adequadamente ao domínio de broadcast correto. Em geral, as portas voltadas para o host são desmarcadas , enquanto as portas voltadas para o switch e para o roteador são marcadas . A tag é uma parte adicional do encapsulamento do link de dados.
  3. Interfaces virtuais - em um dispositivo com uma ou mais interfaces de link de tronco, geralmente é necessário anexar, no sentido lógico, o dispositivo como um terminal de link a uma ou mais das VLANs individuais presentes no tronco. Isso é particularmente verdade nos roteadores. Esse anexo de link lógico é modelado como uma interface virtual que atua como uma porta conectada ao domínio de broadcast único associado à VLAN designada.

2

O uso original de uma vlan era restringir a área de transmissão em uma rede. As transmissões são limitadas à sua própria vlan. Funcionalidade adicional posterior foi adicionada. No entanto, lembre-se de que as vlan são a camada 2, por exemplo, switches Cisco. Você pode adicionar a camada 2 atribuindo um endereço IP à porta no switch, mas isso não é obrigatório.

funcionalidade adicional:

  • entroncamento: use várias vlan através de uma conexão física (por exemplo: conectar 2 comutadores, um link físico é bom o suficiente para ter uma conexão para todas as vlan, a separação das vlan é feita por marcação, consulte: dot1Q para cisco)
  • segurança
  • mais fácil de gerenciar (ex: o desligamento em uma vlan não afeta a conectividade da outra vlan ...)
  • ...

1

Se eu puder oferecer mais uma informação, o que pode ajudar.

Para entender as VLANs, você também deve entender dois conceitos principais.

-Subnetting - Supondo que você queira que os vários dispositivos possam se comunicar (servidores e clientes, por exemplo), cada VLAN deve receber uma sub-rede IP. Este é o SVI mencionado acima. Isso permite que você comece o roteamento entre as vlans.

Roteamento - Depois de criar cada VLAN, uma sub-rede atribuída aos clientes em cada VLAN e um SVI criado para cada VLAN, será necessário ativar o roteamento. O roteamento pode ser uma configuração muito simples, com uma rota padrão estática para a Internet e instruções de rede EIGRP ou OSPF para cada uma das sub-redes.

Depois de ver como tudo se encaixa, é realmente bastante elegante.


Obrigado! subn / rtn que recebo, agora, com todas essas informações de VLAN, sim, faz todo o sentido. Já estou pensando em criar VLANs "traseiras" e mudar as coisas para sistemas que possuem uma segunda interface não utilizada.
Craig Constantine

1
As VLANs não exigem informações L3, roteamento ou SVIs. Isso é necessário apenas se você desejar a funcionalidade L3 (IP) ou superior para hosts nessa VLAN.
YLearn

apenas adicionando ... não é necessário executar o IP pela VLAN. (ver também: VLANs com base protocolo - porta versus base, que é o que é usado 99% do tempo.)
Ricky feixe

Eu concordo com ambas as suas declarações. Os vlans L2 têm lá usos com certeza. No entanto, se alguém está pensando em adicionar vlans à sua rede existente, não explicar o aspecto L3 é uma omissão grave.
Jonathan Davis
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.