سؤال كيف تعمل شبكات VLAN؟


ما هي شبكات VLAN؟ ما هي المشاكل التي يحلونها؟

أنا أساعد صديقًا في تعلم الشبكات الأساسية ، لأنه أصبح مسؤول النظام الوحيد في شركة صغيرة. لقد وجهت إليه العديد من الأسئلة / الإجابات على Serverfault المتعلقة بموضوعات الشبكات المختلفة ، ولاحظت وجود فجوة - لا يبدو أن هناك إجابة تشرح من المبادئ الأولى ما هي شبكات VLAN. في روح كيف تعمل الشبكات الفرعية، أعتقد أنه سيكون من المفيد أن يكون لديك سؤال بإجابة قانونية هنا.

بعض الموضوعات المحتملة لتغطيتها في إجابة:

  • ما هي شبكات VLAN؟
  • ما هي المشاكل التي كانوا يعتزمون حلها؟
  • كيف تعمل الأشياء قبل شبكات VLAN؟
  • كيف ترتبط شبكات VLAN بالشبكات الفرعية؟
  • ما هي SVIs؟
  • ما هي منافذ الجذع ومنافذ الوصول؟
  • ما هو VTP؟

تحرير: ليكون واضحا ، وأنا أعلم بالفعل كيف تعمل شبكات محلية ظاهرية - أعتقد فقط أن Serverfault يجب أن يكون لديك إجابة تغطي هذه الأسئلة. إذا سمح الوقت ، سأقدم إجابتي الخاصة أيضًا.


116
2017-10-06 23:17


الأصل


ربما سؤال آخر: ما هي الاختلافات بين شبكات VLAN الثابتة والديناميكية؟ ما هي طرق إدارتها؟ وواحد إضافي: ما هي المعايير التي تحكم تشغيل VLAN بين البائعين؟ - Hubert Kario
مثل العثة إلى اللهب ، لقد وصلت وأضفت كلماتي الـ4000 ... (أفترض أنني أستطيع أن أعيش مع مجتمع wiki ... أعتقد أنني في الحقيقة لست بحاجة إلى ...> ابتسامة <) - Evan Anderson
@ ايفان: كنت آمل بعض الشيء أن تظهر. ومع ذلك ، لا بد لي من الاعتراف ، يمكن أن أقوم به مع مندوب أكثر قليلا قبل تقليب هذا إلى CW. :) - Murali Suriar


الأجوبة:


الشبكات الظاهرية (VLAN) هي تجريد للسماح لشبكة مادية واحدة بمحاكاة وظائف الشبكات المادية المتوازية المتعددة. هذا مفيد لأنه قد تكون هناك حالات تحتاج فيها إلى وظائف شبكات فيزيائية متعددة موازية ولكنك تفضل عدم إنفاق المال على شراء أجهزة متوازية. سأتحدث عن شبكات VLAN من Ethernet في هذه الإجابة (على الرغم من أن تقنيات الشبكات الأخرى يمكنها دعم شبكات VLAN) ولن أغوص بعمق في كل الوضوح.

مثال مفتعل ومشكلة

كسيناريو مثال مفتعل بحت ، تخيل أنك تمتلك مبنى مكتبًا تقوم بتأجيره للمستأجرين. ولفائدة الإيجار ، سيحصل كل مستأجر على مقابس إيثرنت في كل غرفة في المكتب. تشتري محوّل إيثرنت لكل طابق ، وتربطه بمقبس في كل مكتب في ذلك الطابق ، وتقوم بتوصيل كافة المفاتيح معاً.

في البداية ، يمكنك استئجار مساحة لمستأجرين مختلفين - واحد على الأرض 1 وواحد في 2. يقوم كل من هؤلاء المستأجرين بتكوين أجهزة الكمبيوتر الخاصة بهم مع عناوين IPv4 ثابتة. يستخدم كلا المستأجرين شبكات فرعية مختلفة من TCP / IP ويبدو أن كل شيء يعمل بشكل جيد.

في وقت لاحق ، يقوم مستأجر جديد بتأجير نصف الطابق 3 ويقوم بإحضار أحد خوادم DHCP الجديدة. يمر الوقت ويقرر المستأجر الطابق 1 للقفز على عربة DHCP ، أيضا. هذه هي النقطة عندما تبدأ الأمور في الانحراف. أفاد مستأجرو الطابق 3 أن بعض أجهزة الكمبيوتر الخاصة بهم يحصلون على عناوين IP "مضحكة" من جهاز ليس خادم DHCP الخاص بهم. قريبا ، الطابق 1 المستأجرين عن نفس الشيء.

DHCP عبارة عن بروتوكول يستفيد من قدرة بث Ethernet للسماح لأجهزة الكمبيوتر العميلة بالحصول على عناوين IP بشكل حيوي. نظرًا لأن جميع المستأجرين يشاركون نفس شبكة الإيثرنت الفعلية ، فإنهم يشتركون في نفس نطاق البث. ستؤدي حزمة البث المرسلة من أي كمبيوتر في الشبكة إلى إغراق كافة منافذ المحول إلى كل كمبيوتر آخر. ستحصل خوادم DHCP في الطابق الأول والثاني على جميع طلبات الحصول على عقود التأجير لعناوين بروتوكول الإنترنت وستقوم ، على نحو فعال ، بمشاهدة من يستطيع الإجابة أولاً. من الواضح أن هذا ليس السلوك الذي تنوي أن يختبره المستأجرون. هذا هو السلوك ، بالرغم من ، شبكة Ethernet "مسطح" w / o أي VLANs.

والأسوأ من ذلك هو أن المستأجر في الطابق الثاني يكتسب هذا البرنامج "Wireshark" ويذكر أنه ، من وقت لآخر ، يرون حركة المرور التي تخرج من تبديلهم تشير إلى أجهزة الكمبيوتر وعناوين IP التي لم يسمعوا عنها. حتى أن أحد موظفيهم اكتشف أنه يمكنه التواصل مع أجهزة الكمبيوتر الأخرى هذه عن طريق تغيير عنوان IP المخصص لجهاز الكمبيوتر الخاص به من 192.168.1.38 إلى 192.168.0.38! من المفترض أنه على بعد خطوات قليلة من أداء "خدمات إدارة النظام بدون ترخيص" لأحد المستأجرين الآخرين. ليست جيدة.

الحلول الممكنة

أنت بحاجة إلى حل! يمكنك فقط سحب المقابس بين الطوابق والتي من شأنها أن تقطع جميع الاتصالات غير المرغوب فيها! بلى! هذه هي التذكرة ...

التي يمكن أن تعمل، إلا أن لديك مستأجرًا جديدًا سيؤجر نصف الطابق السفلي ونصف الأرضية غير المشغول 3. إذا لم يكن هناك اتصال بين مفتاح الطابق 3 ومفتاح تبديل الطابق السفلي ، فلن يتمكن المستأجر الجديد من الاتصال بين أجهزة الكمبيوتر الخاصة بهم التي سيتم نشرها حول كل من طوابقها. سحب المقابس ليس هو الحل. الأسوأ من ذلك ، المستأجر الجديد هو جلب حتى الآن آخر واحد من هذه الخوادم DHCP!

أنت مغازلة بفكرة شراء مجموعات منفصلة من محولات إيثرنت جسديًا لكل مستأجر ، ولكنك ترى كيف أن المبنى الخاص بك يتكون من 30 طابقًا ، يمكن تقسيم أي منها إلى 4 طرق ، والفئران المحتملة لكرات أرضية إلى أرضية بين أعداد هائلة من محولات إيثرنت متوازية يمكن أن تكون كابوسًا ، ناهيك عن التكلفة الباهظة. إذا كان هناك فقط طريقة لجعل شبكة إيثرنت مادية واحدة تعمل كما لو كانت شبكات إيثرنت مادية متعددة ، كل منها بنطاق البث الخاص به.

شبكات محلية ظاهرية لإنقاذ

شبكات VLAN هي إجابة لهذه المشكلة الفوضوية. تسمح لك شبكات VLAN بتقسيم محول Ethernet إلى محولات إيثرنت افتراضية منطقية. هذا يسمح لمحول Ethernet واحد بالتصرف كما لو أنه عبارة عن عدة محولات إيثرنت فعلية. في حالة الطابق 3 المجزأ الخاص بك ، على سبيل المثال ، يمكنك تكوين مفتاح المنفذ 48 الخاص بك بحيث يكون 24 منفذًا أدنى في شبكة محلية ظاهرية (VLAN 12) ، وتوجد أعلى 24 منفذًا في شبكة محلية ظاهرية (VLAN) محددة والتي سنطلق عليها اسم VLAN 13). عندما تقوم بإنشاء شبكات VLAN على جهاز التبديل الخاص بك ، يجب عليك تعيين نوع من اسم أو رقم VLAN. الأرقام التي أستخدمها هنا هي في الغالب عشوائية ، لذلك لا تقلق بشأن الأرقام المحددة التي أختارها.

بمجرد أن تقوم بتقسيم تبديل الطابق 3 إلى VLANs 12 و 13 ، ستجد أن المستأجر الجديد في الطابق 3 يمكنه توصيل خادم DHCP الخاص به بأحد المنافذ المخصصة لـ VLAN 13 وجهاز كمبيوتر متصل بمنفذ مخصص لـ VLAN 12 لا '. الحصول على عنوان IP من خادم DHCP الجديد. ممتاز! تم حل المشكلة!

أوه ، انتظر ... كيف يمكننا الحصول على بيانات VLAN 13 إلى الطابق السفلي؟

اتصال VLAN بين رموز التبديل

يود مستأجر نصف الطابق 3 والطابق السفلي نصف الخاص بك توصيل أجهزة الكمبيوتر في الطابق السفلي بخوادمهم في الطابق 3. يمكنك تشغيل كابل مباشرة من أحد المنافذ المخصصة لشبكة VLAN الخاصة به في الطابق 3 التبديل إلى الطابق السفلي والحياة سيكون جيدا ، أليس كذلك؟

في الأيام الأولى لشبكات VLAN (المعيار السابق لـ 802.1Q) ، قد تفعل ذلك. سيكون مفتاح القبو بأكمله ، بشكل فعال ، جزءًا من VLAN 13 (شبكة VLAN التي اخترت تعيينها للمستأجر الجديد في الطابق 3 والطابق السفلي) نظرًا لأن مفتاح القبو هذا سيتم "تغذيته" بواسطة منفذ في الطابق 3 الذي تم تعيينه إلى VLAN 13.

سوف يعمل هذا الحل حتى تقوم باستئجار النصف الآخر من الطابق السفلي إلى الطابق 1 المستأجر الذي يرغب أيضًا في التواصل بين أجهزة الكمبيوتر بالطابق الأول والطابق السفلي. يمكنك تقسيم مفتاح القبو باستخدام شبكات VLAN (إلى ، على سبيل المثال ، VLANS 2 و 13) وتشغيل كبل من الطابق 1 إلى منفذ يتم تعيينه إلى VLAN 2 في الطابق السفلي ، ولكن الحكم الأفضل يخبرك أن هذا يمكن أن يصبح عشًا للفئران بسرعة من الكابلات (وسوف تسوء فقط). إن تقسيم أجهزة التبديل باستخدام شبكات VLAN أمر جيد ، ولكن الحاجة إلى تشغيل عدة كابلات من محولات أخرى إلى المنافذ التي هي أعضاء في شبكات VLAN مختلفة تبدو فوضوية. مما لا شك فيه ، إذا كان لديك لتقسيم تبديل الطابق السفلي 4 طرق بين المستأجرين الذين لديهم أيضا مساحة في الطوابق العليا كنت تستخدم 4 منافذ على التبديل الطابق السفلي فقط لإنهاء كابلات "التغذية" من شبكات VLAN في الطابق العلوي.

يجب أن يكون من الواضح الآن أن هناك حاجة إلى نوع من طريقة عامة لنقل الحركة من شبكات VLAN متعددة بين مفاتيح على كابل واحد. إن مجرد إضافة المزيد من الكابلات بين المحولات لدعم الاتصالات بين شبكات VLAN المختلفة ليس إستراتيجية قابلة للتطوير. في نهاية المطاف ، مع ما يكفي من شبكات VLAN ، ستلتهم جميع المنافذ على المحولات الخاصة بك باستخدام هذه التوصيلات بين شبكات VLAN / inter-switch. ما نحتاجه هو طريقة لحمل الحزم من شبكات VLAN متعددة عبر اتصال واحد - اتصال "trunk" بين المحولات.

حتى هذه النقطة ، جميع منافذ التبديل التي تحدثنا عنها تسمى منافذ "access". أي أن هذه المنافذ مخصصة للوصول إلى شبكة محلية ظاهرية واحدة. الأجهزة المتصلة هذه المنافذ ليس لها تكوين خاص بها. لا تعرف هذه الأجهزة أن أي شبكات VLAN موجودة. يتم تسليم الإطارات التي يرسلها جهاز العميل إلى المحول الذي يعتني بعد ذلك بالتأكد من أن الإطار يتم إرساله فقط إلى المنافذ المخصصة كأعضاء في شبكة VLAN المخصصة للمنفذ حيث دخل الإطار إلى المحول. إذا قام إطار بإدخال مفتاح التبديل على منفذ تم تعيينه كعضو في VLAN 12 ، فسيقوم المحول بإرسال فقط الإطار خارج المنافذ التي هي أعضاء في VLAN 12. يقوم المفتاح "بمعرفة" رقم VLAN المعين لمنفذ يتلقى منه الإطار ويعرف بطريقة ما لتسليم هذا الإطار فقط من منافذ نفس VLAN.

إذا كانت هناك طريقة ما لتبديل الرقم VLAN المرتبط بإطار معين إلى محولات أخرى ، فبإمكان المفتاح الآخر التعامل بشكل صحيح مع هذا الإطار فقط مع منافذ الوجهة المناسبة. هذا ما يفعله بروتوكول الوسم 802.1Q VLAN. (من الجدير بالذكر أنه قبل 802.1Q ، قام بعض البائعين بتجميع معاييرهم الخاصة لوضع علامات على شبكات VLAN وتوصيلات بينية ، وبالنسبة للجزء الأكبر ، فقد تم استبدال جميع هذه الطرق القياسية مسبقًا بـ 802.1Q).

عندما يكون لديك محطتان مدركتان لـ VLAN متصلين ببعضهما البعض وتريد أن تقوم هذه المفاتيح بتوصيل الإطارات بين بعضها البعض إلى شبكة VLAN المناسبة ، يمكنك توصيل هذه المفاتيح باستخدام منافذ "trunk". يتضمن ذلك تغيير تكوين منفذ على كل محول من وضع "الوصول" إلى وضع "trunk" (في تكوين أساسي جدًا).

عندما يتم تكوين منفذ في وضع trunk كل إطار يرسله رمز التبديل إلى ذلك المنفذ سيكون "علامة VLAN" مضمنة في الإطار. لم تكن "علامة VLAN" هذه جزءًا من الإطار الأصلي الذي أرسله العميل. بدلاً من ذلك ، يتم إضافة هذه العلامة عن طريق مفتاح الإرسال قبل إرسال الإطار خارج منفذ صندوق السيارة. تشير هذه العلامة إلى رقم VLAN المرتبط بالمنفذ الذي نشأ منه الإطار.

يمكن لمفتاح الاستلام أن ينظر إلى العلامة لتحديد أي VLAN الذي نشأ منه الإطار ، وبناءً على تلك المعلومات ، قم بإعادة توجيه الإطار خارج المنافذ التي تم تعيينها إلى شبكة VLAN الأصلية فقط. نظرًا لأن الأجهزة المتصلة بمنافذ "الوصول" لا تدرك أن شبكات VLAN قيد الاستخدام ، يجب تجريد معلومات "tag" من الإطار قبل إرسالها إلى منفذ تم تكوينه في وضع الوصول. يؤدي تجريد معلومات العلامة هذه إلى إخفاء عملية توصيل VLAN بالكامل من أجهزة العميل نظرًا لأن الإطار الذي يتلقونه لن يحمل أية معلومات عن علامة VLAN.

قبل تكوين شبكات VLAN في الحياة الواقعية ، أوصيك بتكوين منفذ لوضع الالتقاط على مفتاح اختبار ومراقبة حركة المرور المرسلة إلى ذلك المنفذ باستخدام الشم (مثل Wireshark). يمكنك إنشاء حركة مرور نموذجية من كمبيوتر آخر ، وتوصيلها بمنفذ وصول ، ورؤية أن الإطارات التي تخرج من المنفذ الرئيسي ستكون ، في الواقع ، أكبر من الإطارات التي يرسلها الكمبيوتر التجريبي. سترى معلومات علامة VLAN في الإطارات في Wireshark. أجد أنه يستحق فعلا رؤية ما يحدث في الشم. القراءة على معيار الوسم 802.1Q هو أيضا أمر لائق للقيام به في هذه المرحلة (خاصة وأنني لا أتحدث عن أشياء مثل "الشبكات المحلية المحلية VLANs" أو وضع العلامات المزدوجة).

تكوين VLAN الكوابيس والحل

عندما تستأجر المزيد والمزيد من المساحة في المبنى ، ينمو عدد شبكات VLAN. في كل مرة تقوم فيها بإضافة شبكة محلية ظاهرية جديدة ، تجد أنه يتعين عليك تسجيل الدخول إلى المزيد من محولات إيثرنت وإضافة شبكة VLAN إلى القائمة. ألن يكون رائعًا إذا كان هناك طريقة يمكنك من خلالها إضافة شبكة VLAN إلى ملف تعريف واحد للتهيئة ولإدخالها تلقائيًا تهيئة شبكة VLAN لكل محول تبديل؟

وتفي هذه البروتوكولات بروتوكولات مثل "بروتوكول ربط VLAN" الخاص بـ Cisco (VTP) أو "بروتوكول تسجيل VLAN المتعدد" المعتمد على المعايير (MVRP - التي تم وصفها سابقًا بـ GVRP). في شبكة تستخدم هذه البروتوكولات ، ينتج عن إنشاء أو حذف واحد من VLAN رسائل بروتوكول يتم إرسالها إلى جميع المحولات في الشبكة. تقوم رسالة البروتوكول هذه بإبلاغ التغيير في تكوين VLAN إلى باقي المحولات التي بدورها تقوم بتعديل تكوينات VLAN الخاصة بها. لا تهتم VTP و MVRP بمنافذ معينة تم تكوينها كمنافذ وصول لشبكات VLAN محددة ، ولكنها مفيدة في توصيل إنشاء أو حذف شبكات VLAN إلى كافة المحولات.

عندما تشعر بالراحة مع شبكات VLAN ستحتاج على الأرجح إلى الرجوع والقراءة عن "تشذيب VLAN" ، والذي يرتبط ببروتوكولات مثل VTP و MVRP. في الوقت الراهن ، لا يوجد ما يثير قلقنا بشكل كبير. (ال مقال VTP على ويكيبيديا لديه رسم تخطيطي جميل يشرح VLAN وفوائده.)

متى تستخدم شبكات VLAN في الحياة الحقيقية؟

قبل أن نذهب إلى أبعد من ذلك ، من المهم التفكير في الحياة الحقيقية بدلاً من الأمثلة المفتعلة. بدلا من تكرار نص إجابة أخرى هنا سأشير لك جوابي إعادة: عندما لإنشاء شبكات محلية ظاهرية. ليس بالضرورة "مستوى المبتدئين" ، ولكن الأمر يستحق النظر الآن لأنني سأشير إليه باختصار قبل العودة إلى مثال مفتعل.

بالنسبة للحشد "tl؛ dr" (الذي توقف عن القراءة بالتأكيد عند هذه النقطة ، على أي حال) ، فإن جوهر هذا الرابط أعلاه هو: إنشاء شبكات محلية ظاهرية لجعل نطاقات البث أصغر أو عندما تريد فصل حركة المرور لسبب معين (الأمان) والسياسة ، وما إلى ذلك). لا توجد أي أسباب وجيهة أخرى لاستخدام شبكات VLAN.

في مثالنا ، نستخدم شبكات VLAN للحد من نطاقات البث (للحفاظ على بروتوكولات مثل DHCP يعمل بشكل صحيح) ، وثانياً ، لأننا نريد عزلًا بين شبكات المستأجرين المختلفة.

و Aside إعادة: الشبكات الفرعية IP وشبكات محلية ظاهرية

بشكل عام ، هناك علاقة فردية بين شبكات VLAN وشبكات IP كمسألة ملائمة لتسهيل العزل ، وبسبب كيفية عمل بروتوكول ARP.

كما رأينا في بداية هذه الإجابة ، يمكن استخدام شبكتين فرعيتين مختلفتين على نفس الإيثرنت الفيزيائي بدون مشكلة. إذا كنت تستخدم شبكات VLAN لتقليص نطاقات البث ، فلن ترغب في مشاركة نفس شبكة VLAN بشبكتين فرعيتين مختلفتين لشبكة IP حيث ستقوم بدمج ARP وحركة مرور البث الأخرى.

إذا كنت تستخدم شبكات VLAN لفصل حركة المرور لأسباب تتعلق بالأمان أو السياسة ، فربما لن ترغب أيضًا في دمج شبكات فرعية متعددة في نفس شبكة VLAN لأنك ستهزم هدف العزل.

يستخدم IP بروتوكولًا يستند إلى البث ، بروتوكول تحليل العنوان (ARP) ، لتعيين عناوين IP على عناوين مادية (Ethernet MAC). بما أن ARP تبث على أساس ، فإن تعيين أجزاء مختلفة من نفس الشبكة الفرعية IP إلى شبكات VLAN مختلفة سيكون مشكلة لأن المضيفين في VLAN لن يكونوا قادرين على تلقي ردود ARP من المضيفين في VLAN أخرى ، بما أن البث لا يتم إعادة توجيهه بين شبكات VLAN. يمكنك حل هذه "المشكلة" باستخدام بروكسي- ARP ولكن ، في النهاية ، ما لم يكن لديك سبب وجيه حقاً لضرورة تقسيم شبكة IP فرعية عبر شبكات VLAN متعددة فمن الأفضل عدم القيام بذلك.

One Last Aside: VLANs and Security

أخيرًا ، تجدر الإشارة إلى أن شبكات VLAN ليست أجهزة أمان رائعة. تحتوي العديد من محولات Ethernet على أخطاء تسمح بإرسال الإطارات الناشئة من شبكة محلية ظاهرية واحدة للمنافذ المخصصة لشبكة VLAN أخرى. عملت الشركات المصنعة لمحولات إيثرنت بجد لإصلاح هذه الأخطاء ، ولكن من المشكوك فيه أن يكون هناك مطلقًا أي خلل في التنفيذ تمامًا.

في حالة مثالنا المبتكر ، يمكن إيقاف موظف الطابق الثاني الذي يبعد لحظات عن تقديم "خدمات" إدارة الخدمات المجانية إلى مستأجر آخر عن طريق عزل حركة المرور الخاصة به إلى شبكة محلية ظاهرية. وقد يكتشف أيضًا كيفية استغلال الخلل في برنامج التبديل الثابت ، للسماح لحركة المرور الخاصة به بـ "التسرب" إلى شبكة VLAN مستأجرة أخرى أيضًا.

يعتمد مزودو إيثرنت مترو ، بشكل متزايد ، على وظائف وضع علامات VLAN والعزلة التي توفرها المفاتيح. ليس من العدل أن نقول أن هناك لا توفير الأمان باستخدام شبكات VLAN. ومع ذلك ، فإنه من الإنصاف القول إنه في الحالات التي تكون فيها اتصالات الإنترنت غير الموثوق بها أو شبكات DMZ ، من الأفضل استخدام مفاتيح منفصلة جسديًا لنقل هذه الحركة "الحساسة" بدلاً من شبكات VLAN على المحولات التي تحمل أيضًا ثقتكم الموثوق بها "وراء الجدار الناري".

جلب الطبقة 3 في الصورة

حتى الآن كل ما تحدثت عنه هذه الإجابة يتعلق بالطبقة 2 - إطارات الإيثرنت. ماذا يحدث إذا بدأنا بإحضار الطبقة 3 إلى هذا؟

دعونا نعود إلى مثال المبنى المفتعل. لقد قمت باعتماد شبكات محلية ظاهرية (VLAN) تختار تهيئة كل منافذ المستأجر كأعضاء في شبكات VLAN منفصلة. لقد قمت بتكوين منافذ trunk بحيث يستطيع كل تبديل من نوع floored استبدال الإطارات الموسومة برقم VLAN الأصلي بالمفاتيح الموجودة في الطابق العلوي والسفلي. يمكن لأحد المستأجرين امتلاك أجهزة كمبيوتر موزعة على عدة طوابق ، ولكن ، نظرًا لمهاراتك في تهيئة الشبكة المحلية الظاهرية VLAN ، يمكن أن تبدو هذه الحواسيب الموزعة جسديًا جزءًا من شبكة LAN الفعلية نفسها.

أنت ممتلئ للغاية بإنجازاتك في مجال تكنولوجيا المعلومات وتقرر أن تبدأ في تقديم اتصال إنترنت للمستأجرين. يمكنك شراء أنبوب الإنترنت الدهون وجهاز التوجيه. أنت تطفو الفكرة على جميع المستأجرين واثنين منهم على الفور في الشراء. لحسن الحظ لديك جهاز التوجيه الخاص بك ثلاثة منافذ إيثرنت. قمت بتوصيل منفذ واحد بأنبوب الإنترنت الدهون الخاص بك ، منفذ آخر إلى منفذ التبديل المخصصة للوصول إلى VLAN المستأجر الأول ، والآخر إلى منفذ تعيين للوصول إلى VLAN المستأجر الثاني. يمكنك تكوين منافذ جهاز التوجيه الخاص بك مع عناوين IP في كل شبكة من المستأجرين ويبدأ المستأجرون في الوصول إلى الإنترنت من خلال الخدمة! تزيد العائدات وأنت سعيد.

قريبا ، على الرغم من ذلك ، يقرر مستأجر آخر الحصول على عروض الإنترنت الخاصة بك. كنت خارج المنافذ على جهاز التوجيه الخاص بك ، على الرغم من. ماذا أفعل؟

لحسن الحظ ، قمت بشراء جهاز توجيه يدعم تكوين "واجهات فرعية ظاهرية" على منافذ إيثرنت الخاصة بها. باختصار ، تسمح هذه الوظيفة للموجه بتلقي وتفسير الإطارات الموسومة بأرقام VLAN الناشئة ، ولإعداد واجهات ظاهرية (أي ، غير فعلية) تم تكوينها مع عناوين IP المناسبة لكل شبكة محلية ظاهرية (VLAN) ستتواصل معها. في الواقع يسمح لك هذا "بتعدد" منفذ إيثرنت واحد على جهاز التوجيه بحيث يبدو أنه يعمل كمنافذ إيثرنت المادية متعددة.

يمكنك إرفاق الموجه بمنفذ جذع على أحد مفاتيحك وتكوين واجهات فرعية ظاهرية تتوافق مع نظام عنونة IP لكل مستأجر. يتم تكوين كل واجهة فرعية ظاهرية برقم VLAN مخصص لكل عميل. عندما يترك إطار منفذ الجذع على المحول ، منضماً إلى الموجه ، فإنه يحمل علامة مع رقم VLAN الأصلي (حيث يكون منفذ trunk). سيقوم الموجه بتفسير هذه العلامة ومعالجة الحزمة كما لو أنها وصلت على واجهة فعلية مخصصة تتوافق مع شبكة VLAN هذه. وبالمثل ، عندما يقوم جهاز التوجيه بإرسال إطار إلى المحول استجابة لطلب ما ، فإنه سيضيف علامة VLAN إلى الإطار بحيث يعرف المحول إلى VLAN الذي يجب تسليم إطار الاستجابة إليه. في الواقع ، لقد قمت بتكوين جهاز التوجيه على "الظهور" كجهاز فعلي في شبكات VLAN متعددة أثناء استخدام اتصال فعلي واحد فقط بين المحول والموجه.

الموجهات على العصي ومفاتيح طبقة 3

باستخدام واجهات فرعية افتراضية تمكنت من بيع اتصال الإنترنت لجميع المستأجرين دون الحاجة إلى شراء جهاز توجيه يحتوي على أكثر من 25 واجهة إيثرنت. أنت سعيد إلى حد ما بإنجازات تكنولوجيا المعلومات الخاصة بك حتى تستجيب بشكل إيجابي عندما يأتيك اثنان من المستأجرين إليك بطلب جديد.

وقد اختار هؤلاء المستأجرون "المشاركة" في مشروع ما ويريدون السماح بالوصول من أجهزة الكمبيوتر العميلة في مكتب أحد المستأجرين (واحد من VLAN) إلى كمبيوتر الخادم في مكتب المستأجر الآخر (VLAN آخر). نظرًا لأنهما من عملاء خدمة الإنترنت لديك ، فسيكون التغيير بسيطًا إلى حد كبير في قائمة ACL في جهاز توجيه الإنترنت الأساسي (الذي توجد عليه واجهة فرعية ظاهرية تم تكوينها لكل من شبكات VLAN الخاصة بهذه المستأجرين) للسماح لحركة المرور بالتدفق بين شبكات VLAN الخاصة بها وكذلك الإنترنت من شبكات VLAN الخاصة بهم. قمت بإجراء التغيير وإرسال المستأجرين في طريقهم.

في اليوم التالي تتلقى شكاوى من كلا المستأجرين أن الوصول بين أجهزة الكمبيوتر العميلة في مكتب واحد إلى الخادم في المكتب الثاني بطيء للغاية. تحتوي كل من أجهزة الكمبيوتر العميلة والملقمية على توصيلات جيجابت إيثرنت بمفاتيح التحويل ، ولكن الملفات تنقل فقط في حدود 45 ميجابايت في الثانية ، وهو ما يقرب من نصف السرعة التي يتصل بها جهاز التوجيه الأساسي الخاص بك بمفتاحه. من الواضح أن حركة المرور المتدفقة من مصدر VLAN إلى جهاز التوجيه والخروج من جهاز التوجيه إلى VLAN الوجهة يتم اختراقها بواسطة اتصال الموجّه بالمحول.

ما قمت به باستخدام جهاز التوجيه الأساسي الخاص بك ، مما يسمح له بتوجيه حركة المرور بين شبكات VLAN ، هو المعروف باسم "جهاز التوجيه على عصا" (وهو تعبير غريب غريب الأطوار بشكل مثير للجدل). يمكن أن تعمل هذه الإستراتيجية بشكل جيد ، ولكن يمكن لحركة المرور أن تتدفق فقط بين شبكات VLAN وصولاً إلى سعة اتصال الموجّه بالمفتاح. إذا ، بطريقة ما ، يمكن إقران جهاز التوجيه مع "أحشاء" محول Ethernet نفسه يمكنه توجيه حركة المرور بشكل أسرع (نظرًا لأن محول Ethernet نفسه ، وفقًا لورقة المواصفات الخاصة بالشركة المصنّعة ، قادر على تبديل 2Gbps من حركة المرور).

"مفتاح 3 طبقة" عبارة عن محول إيثرنت يحتوي ، منطقيًا ، على جهاز توجيه مدفون داخل نفسه. أجد أنه من المفيد للغاية التفكير في مفتاح الطبقة 3 كوجود موجه صغير وسريع يختبئ داخل المفتاح. علاوة على ذلك ، أنصحك بالتفكير في وظيفة التوجيه كدالة منفصلة بوضوح عن وظيفة التحويل Ethernet التي يوفرها مفتاح الطبقة 3. مفتاح الطبقة 3 هو ، لكل الأهداف والمقاصد ، جهازين مختلفين ملفوفين في هيكل واحد.

يتم توصيل الموجه المضمّن في مفتاح الطبقة 3 بنسيج التبديل الداخلي للمحول بسرعة تسمح عادةً بتوجيه الحزم بين شبكات VLAN عند سرعة الأسلاك أو بالقرب منها. بطريقة مشابهة للواجهات الظاهرية الظاهرية التي قمت بتكوينها على "الموجه على عصا" ، يمكن تكوين هذا الموجه المضمّن داخل مفتاح الطبقة 3 مع واجهات ظاهرية "تظهر" لتكون اتصالات "الوصول" في كل شبكة محلية ظاهرية. بدلاً من استدعاء واجهات فرعية افتراضية ، تسمى هذه الاتصالات المنطقية من شبكات VLAN إلى جهاز التوجيه المضمّن داخل مفتاح الطبقة 3 Switch Switch Interfaces (SVIs). في الواقع ، يحتوي الموجه المضمّن داخل مفتاح الطبقة 3 على كمية من "المنافذ الافتراضية" التي يمكن توصيلها بأي من شبكات VLAN الموجودة على المحول.

ينفذ جهاز التوجيه المضمن بنفس الطريقة التي يقوم بها جهاز التوجيه المادي باستثناء أنه عادة لا يحتوي على كل من نفس بروتوكول التوجيه الديناميكي أو ميزات قائمة التحكم في الوصول (ACL) كموجه مادي (إلا إذا كنت قد اشتريت طبقة جميلة بالفعل 3 مفتاح كهربائي). على الرغم من ذلك ، يتميز الموجه المضمَّن بكونه سريعًا جدًا ولا يحتوي على عنق زجاجة مقترن بمنفذ تبديل فعلي تم توصيله به.

في حالة مثالنا هنا مع المستأجرين "الشريك" ، قد تختاروا الحصول على مفتاح طبقة 3 ، قم بتوصيله بمنافذ الصندوقات بحيث تصل إليه حركة المرور من كلا VLAN العملاء ، ثم تكوين SVIs مع عناوين IP وعضوية VLAN بحيث "يظهر" في كلا VLAN العملاء. وبمجرد الانتهاء من ذلك ، عليك فقط تعديل جدول التوجيه على جهاز التوجيه الأساسي والموجه المضمّن في مفتاح الطبقة 3 بحيث يتم توجيه حركة المرور التي تتدفق بين شبكات VLAN المستأجرين بواسطة جهاز التوجيه المضمّن داخل مفتاح الطبقة 3 مقابل "جهاز التوجيه على عصا".

لا يعني استخدام مفتاح الطبقة 3 أنه لن يكون هناك اختناقات مرتبطة بنطاق ترددي منافذ الجذع التي تربط بين المفاتيح الخاصة بك. هذا هو مصدر قلق متعامد لتلك التي تعالجها شبكات VLAN ، على الرغم من. شبكات VLAN لا علاقة لها بمشاكل النطاق الترددي. عادةً ما يتم حل مشكلات عرض النطاق الترددي إما عن طريق الحصول على اتصالات بينية أعلى سرعة أو استخدام بروتوكولات تجميع الارتباطات إلى "ربط" عدة اتصالات منخفضة السرعة معًا في اتصال افتراضي عالي السرعة. ما لم يتم توصيل جميع الأجهزة التي تقوم بإنشاء الإطارات بواسطة الموجه المضمّن داخل المحول 3 في وقت لاحق ، يتم توصيلها في منافذ مباشرة على مفتاح الطبقة 3 الذي ما زلت بحاجة للقلق بشأن عرض النطاق الترددي للجذوع بين المفاتيح. إن مفتاح الطبقة 3 ليس دواءً لكل داء ، ولكنه عادة أسرع من "جهاز التوجيه على عصا".

شبكات محلية ظاهرية ديناميكية

وأخيرًا ، توجد وظيفة في بعض المحولات لتوفير عضوية VLAN ديناميكية. بدلاً من تعيين منفذ معين ليكون منفذ وصول لشبكة محلية ظاهرية معينة ، يمكن تغيير تكوين المنفذ (الوصول أو الجذع وشبكات VLAN) ديناميكيًا عند توصيل جهاز. تعد شبكات VLAN الديناميكية موضوعًا أكثر تقدمًا ولكن معرفة أن الوظيفة موجودة يمكن أن تكون مفيدة.

تختلف الوظيفة بين البائعين ولكن عادةً يمكنك تكوين عضوية VLAN الحيوية استنادًا إلى عنوان MAC الخاص بالجهاز المتصل ، وحالة مصادقة 802.1X الخاصة بالجهاز ، والبروتوكولات الملحقة والمستندة إلى المعايير (CDP و LLDP ، على سبيل المثال ، للسماح بهواتف IP "اكتشاف" رقم VLAN لحركة مرور الصوت) أو الشبكة الفرعية لـ IP المخصصة لجهاز العميل أو نوع بروتوكول Ethernet.


205
2017-10-07 04:37



الذهاب للذهب مرة أخرى ، هاه؟ :) - squillman
+1 من الواضح أنك وضعت بعض الجهد الكبير في ذلك ، وذلك بفضل! - Tim Long
+1: نجاح باهر! إجابة ممتازة. - Arun Saha
أحب هذا: "خدمات إدارة النظام دون مقابل غير المصرح به" ؛) - problemPotato
guntbert - أنا سعيد أنه يساعدك. - Evan Anderson


شبكات VLAN هي "شبكات الاتصال المحلية الظاهرية". ما يلي هو فهمي - الخلفية هي في المقام الأول هندسة النظم والإدارة مع جانب من برمجة OO والكثير من البرامج النصية.

تهدف شبكات VLAN إلى إنشاء شبكة معزولة عبر أجهزة متعددة. قد توجد شبكة LAN تقليدية في الأوقات القديمة فقط عندما يكون لديك جهاز واحد مخصص لشبكة معينة. عادةً ما يتم السماح لجميع الخوادم / الأجهزة المتصلة بجهاز الشبكة هذا (التبديل أو المحور اعتمادًا على الإطار الزمني التاريخي) بالتواصل بحرية بين الشبكة المحلية.

وتختلف شبكة VLAN بحيث يمكنك ربط العديد من أجهزة الشبكة وإنشاء شبكات معزولة عن طريق تجميع الخوادم معًا في شبكة محلية ظاهرية (VLAN) ، وبالتالي القضاء على الحاجة إلى وجود جهاز شبكة "مخصص" لشبكة محلية واحدة. يختلف عدد شبكات VLAN القابلة للتكوين والخوادم / الأجهزة المدعومة بين الشركات المصنعة لأجهزة الشبكة.

مرة أخرى اعتمادا على البائع ، وأنا لا يفكر أن جميع الخوادم يجب أن تكون على نفس الشبكة الفرعية لتكون جزءًا من نفس شبكة VLAN. مع تكوينات الشبكة القديمة أعتقد أنهم (مهندس الشبكة إدراج تصحيح هنا).

ما يجعل شبكة VLAN مختلفة عن VPN هو الحرف "P" لـ "Private". عادة لا يتم تشفير حركة مرور VLAN.

امل ان يساعد!


8
2017-10-07 02:46



تستجيب البوابة القصيرة التي تمس الحاجة إليها لفهم شبكات VLAN. وكلما تكررت أكثر من ذلك ، فإن الكثير من التفاصيل ، وعلى هذا النحو ، قد يكون مفيدًا للأجيال القادمة ، ولكن ليس كثيرًا إذا كنت ترغب في اكتساب بعض المعرفة / الفهم السريع حول هذا الموضوع. الآن بعد أن تعرفت على ما أفعله من هذه الإجابة ، يمكنني دائمًا الرجوع إلى معرفة المزيد. - Harsh Kanchina