Trường hợp sử dụng cơ bản cho các Vlan là gì?
Các nguyên tắc thiết kế cơ bản là gì?
Tôi đang tìm kiếm một cái gì đó giống như một câu trả lời kiểu tóm tắt điều hành hai đoạn để tôi có thể xác định xem tôi có cần tìm hiểu về Vlan để thực hiện chúng không.
Câu trả lời:
Vlan (Virtual LAN) là cách tạo ra nhiều bộ chuyển mạch ảo bên trong một bộ chuyển mạch vật lý. Vì vậy, ví dụ các cổng được định cấu hình để sử dụng Vlan 10 hoạt động như thể chúng được kết nối với cùng một công tắc. Các cổng trong Vlan 20 không thể nói chuyện trực tiếp với các cổng trong Vlan 10. Chúng phải được định tuyến giữa hai (hoặc có một liên kết bắc cầu giữa hai Vlan).
Có rất nhiều lý do để thực hiện Vlan. Thông thường, ít nhất trong số những lý do này là kích thước của mạng. Tôi sẽ liệt kê một vài lý do và sau đó phá vỡ từng lý do.
Bảo mật: Bảo mật không đạt được bằng cách tạo Vlan; tuy nhiên, cách bạn kết nối Vlan đó với các mạng con khác có thể cho phép bạn lọc / chặn truy cập vào mạng con đó. Chẳng hạn, nếu bạn có một tòa nhà văn phòng có 50 máy tính và 5 máy chủ, bạn có thể tạo Vlan cho máy chủ và Vlan cho máy tính. Để máy tính liên lạc với máy chủ, bạn có thể sử dụng tường lửa để định tuyến và lọc lưu lượng đó. Điều này sau đó sẽ cho phép bạn áp dụng IPS / IDS, ACL, Etc. đến kết nối giữa máy chủ và máy tính.
Liên kết sử dụng: (Chỉnh sửa) Tôi không thể tin rằng tôi đã bỏ nó lần đầu tiên. Tôi đoán là rắm não. Sử dụng liên kết là một lý do lớn khác để sử dụng Vlan. Cây kéo dài theo chức năng xây dựng một đường dẫn duy nhất thông qua mạng lớp 2 của bạn để ngăn chặn các vòng lặp (Oh, my!). Nếu bạn có nhiều liên kết dự phòng cho các thiết bị tổng hợp của mình thì một số liên kết này sẽ không được sử dụng. Để giải quyết vấn đề này, bạn có thể xây dựng nhiều cấu trúc liên kết STP với các Vlan khác nhau. Điều này được thực hiện với PVST, RPVST hoặc MST dựa trên tiêu chuẩn của Cisco. Điều này cho phép bạn có nhiều loại hình STP mà bạn có thể chơi để sử dụng các liên kết chưa sử dụng trước đây của mình. Ví dụ: nếu tôi có 50 máy tính để bàn, tôi có thể đặt 25 trong số chúng vào Vlan 10 và 25 trong số chúng trong Vlan 20. Sau đó, tôi có thể để Vlan 10 chiếm phần "bên trái" của mạng và 25 còn lại trong Vlan 20 sẽ lấy "bên phải" của mạng.
Tách dịch vụ: Điều này là khá thẳng về phía trước. Nếu bạn có camera an ninh IP, Điện thoại IP và Máy tính để bàn tất cả kết nối vào cùng một bộ chuyển mạch, có thể dễ dàng tách các dịch vụ này ra khỏi mạng con riêng của chúng. Điều này cũng sẽ cho phép bạn áp dụng các dấu QOS cho các dịch vụ này dựa trên Vlan thay vì một số dịch vụ lớp cao hơn (Ví dụ: NBAR). Bạn cũng có thể áp dụng ACL trên thiết bị thực hiện định tuyến L3 để ngăn liên lạc giữa các Vlan có thể không mong muốn. Chẳng hạn, tôi có thể ngăn máy tính để bàn truy cập trực tiếp vào điện thoại / camera an ninh.
Cách ly dịch vụ: Nếu bạn có một cặp công tắc TOR trong một giá đỡ có một vài máy chủ VMWare và SAN, bạn có thể tạo Vlan iSCSI vẫn chưa được mở. Điều này sẽ cho phép bạn có một mạng iSCSI hoàn toàn biệt lập để không có thiết bị nào khác có thể cố gắng truy cập SAN hoặc làm gián đoạn liên lạc giữa các máy chủ và SAN. Đây chỉ đơn giản là một ví dụ về cách ly dịch vụ.
Kích thước mạng con: Như đã nêu trước đây nếu một trang web trở nên quá lớn, bạn có thể chia trang web đó thành các Vlan khác nhau, điều này sẽ làm giảm số lượng máy chủ cần xử lý mỗi lần phát.
Chắc chắn có nhiều cách Vlan hữu ích hơn (tôi có thể nghĩ ra một số cách mà tôi sử dụng cụ thể như Nhà cung cấp dịch vụ Internet), nhưng tôi cảm thấy đây là những cách phổ biến nhất và sẽ cho bạn ý tưởng hay về cách chúng tôi sử dụng chúng. Ngoài ra còn có các Vlan tư nhân có các trường hợp sử dụng cụ thể và đáng được đề cập ở đây.
Khi các mạng ngày càng lớn hơn, khả năng mở rộng trở thành một vấn đề. Để liên lạc, mọi thiết bị cần gửi các chương trình phát sóng, được gửi đến tất cả các thiết bị trong một miền phát sóng. Khi nhiều thiết bị được thêm vào miền phát sóng, nhiều chương trình phát sóng bắt đầu bão hòa mạng. Tại thời điểm này, nhiều vấn đề xuất hiện, bao gồm bão hòa băng thông với lưu lượng phát, tăng xử lý trên mỗi thiết bị (sử dụng CPU) và thậm chí cả các vấn đề bảo mật. Việc tách miền quảng bá lớn này thành các miền quảng bá nhỏ hơn ngày càng trở nên cần thiết.
Nhập Vlan.
Vlan, hoặc LAN ảo, hầu như tạo ra các miền quảng bá riêng biệt, loại bỏ nhu cầu tạo các mạng LAN phần cứng hoàn toàn riêng biệt để khắc phục vấn đề miền phát sóng lớn. Thay vào đó, một bộ chuyển mạch có thể chứa nhiều Vlan, mỗi bộ chuyển đổi hoạt động như một miền phát sóng tự trị riêng biệt. Trên thực tế, hai Vlan, không thể giao tiếp với nhau mà không có sự can thiệp của thiết bị lớp 3 như bộ định tuyến, đó là tất cả những gì về chuyển đổi lớp 3.
Tóm lại, các Vlan, ở cấp độ cơ bản nhất, phân đoạn các miền quảng bá lớn thành các miền quảng bá nhỏ hơn, dễ quản lý hơn để tăng khả năng mở rộng trong mạng ngày càng mở rộng của bạn.
Vlan là các mạng logic được tạo trong mạng vật lý. Công dụng chính của chúng là cung cấp sự cô lập, thường là một phương tiện để giảm kích thước của miền quảng bá trong mạng, nhưng chúng có thể được sử dụng cho một số mục đích khác.
Chúng là một công cụ mà bất kỳ kỹ sư mạng nào cũng nên làm quen và giống như bất kỳ công cụ nào, chúng có thể được sử dụng không chính xác và / hoặc không đúng lúc. Không có công cụ nào là công cụ chính xác trong tất cả các mạng và tất cả các tình huống, vì vậy bạn càng sử dụng nhiều công cụ, bạn càng có thể làm việc tốt hơn trong nhiều môi trường. Biết thêm về Vlan cho phép bạn sử dụng chúng khi bạn cần và sử dụng chúng một cách chính xác khi bạn làm.
Một ví dụ về cách sử dụng chúng, tôi hiện đang làm việc trong môi trường mà các thiết bị SCADA (kiểm soát giám sát và thu thập dữ liệu) được sử dụng rộng rãi. Các thiết bị SCADA thường khá đơn giản và có lịch sử lâu dài ít hơn so với phát triển phần mềm sao, thường cung cấp các lỗ hổng bảo mật lớn.
Chúng tôi đã đặt các thiết bị SCADA trong một Vlan riêng không có cổng L3. Quyền truy cập duy nhất vào mạng logic của họ là thông qua máy chủ mà họ liên lạc (có hai giao diện, một trong VADA SCADA) có thể được bảo mật bằng bảo mật dựa trên máy chủ của chính nó, một điều không thể có trên các thiết bị SCADA. Các thiết bị SCADA được cách ly với phần còn lại của mạng, ngay cả khi được kết nối với cùng các thiết bị vật lý, do đó, mọi lỗ hổng đều được giảm nhẹ.
Về nguyên tắc thiết kế, cách triển khai phổ biến nhất là sắp xếp các Vlan của bạn với cấu trúc tổ chức của bạn, ví dụ: Kỹ thuật viên trong một Vlan, Tiếp thị trong một, điện thoại IP khác, v.v. Các thiết kế khác bao gồm sử dụng Vlan làm "vận chuyển" mạng riêng chức năng trên một (hoặc nhiều) lõi. Việc chấm dứt lớp 3 của Vlan ('SVI' theo cách nói của Cisco, 'VE' trong thổ cẩm, v.v.) cũng có thể có trên một số thiết bị, giúp loại bỏ sự cần thiết của một phần cứng riêng biệt để thực hiện giao tiếp giữa các Vlan khi áp dụng.
Các Vlan trở nên cồng kềnh để quản lý và duy trì ở quy mô, như bạn có thể đã thấy các trường hợp đã có trên NESE. Trong lĩnh vực nhà cung cấp dịch vụ, có PB (Cầu nối nhà cung cấp - thường được gọi là "QinQ", gắn thẻ đôi, thẻ xếp chồng, v.v.), PBB (Cầu nối xương sống của nhà cung cấp - "MAC-in-MAC") và PBB-TE, đã được được thiết kế để cố gắng giảm thiểu giới hạn số lượng Vlan ID có sẵn. PBB-TE nhằm mục đích nhiều hơn để loại bỏ nhu cầu học tập năng động, ngập lụt và cây bao trùm. Chỉ có 12 bit có sẵn để sử dụng làm Vlan ID trong C-TAG / S-TAG (được bảo lưu 0x000 và 0xFFF), đó là nơi giới hạn 4.094 xuất phát.
VPLS hoặc PBB có thể được sử dụng để loại bỏ trần tỷ lệ truyền thống liên quan đến PB.
Các trường hợp sử dụng cơ bản cho VLAN là gần như chính xác giống như các trường hợp sử dụng cơ bản cho phân hóa giữa các mạng thành nhiều lĩnh vực phát sóng liên kết dữ liệu. Sự khác biệt chính là với mạng LAN vật lý , bạn cần ít nhất một thiết bị (thường là công tắc) cho mỗi miền phát, trong khi đó với tư cách thành viên miền quảng bá LAN ảo được xác định trên cơ sở từng cổng và có thể cấu hình lại mà không cần thêm hoặc thay thế phần cứng.
Đối với các ứng dụng cơ bản, hãy áp dụng các nguyên tắc thiết kế tương tự cho các Vlan như bạn làm cho KẾ HOẠCH. Ba khái niệm bạn cần biết để làm điều này là:
Việc sử dụng ban đầu của một vlan là để hạn chế khu vực phát sóng trong mạng. Phát sóng được giới hạn trong vlan riêng của họ. Sau đó, chức năng bổ sung đã được thêm vào. Tuy nhiên, hãy nhớ rằng vlan là lớp 2, ví dụ như các bộ chuyển mạch cisco. Bạn có thể thêm lớp 2 bằng cách gán địa chỉ IP cho cổng trên công tắc nhưng điều này không bắt buộc.
chức năng bổ sung:
Nếu tôi có thể cung cấp thêm một phần thông tin, có thể giúp ích.
Để hiểu Vlan, bạn cũng phải hiểu hai khái niệm chính.
-Subnetting - Giả sử bạn muốn các thiết bị khác nhau có thể nói chuyện với nhau (ví dụ: máy chủ và máy khách), mỗi Vlan phải được gán một mạng con IP. Đây là SVI đã đề cập ở trên. Điều đó cho phép bạn bắt đầu định tuyến giữa các vlans.
-Routing - Khi bạn đã tạo từng Vlan, một mạng con được gán cho các máy khách trên mỗi Vlan và một SVI được tạo cho mỗi Vlan, bạn sẽ cần bật định tuyến. Định tuyến có thể là một thiết lập rất đơn giản, với một tuyến mặc định tĩnh tới internet và các câu lệnh mạng EIGRP hoặc OSPF cho mỗi mạng con.
Một khi bạn thấy làm thế nào tất cả kết hợp với nhau, nó thực sự khá thanh lịch.