Mạng LAN ảo (Vlan) là một bản tóm tắt để cho phép một mạng vật lý duy nhất mô phỏng chức năng của nhiều mạng vật lý song song. Điều này rất tiện lợi vì có thể có tình huống bạn cần chức năng của nhiều mạng vật lý song song nhưng bạn không muốn chi tiền mua phần cứng song song. Tôi sẽ nói về Ethernet Vlan trong câu trả lời này (mặc dù các công nghệ mạng khác có thể hỗ trợ Vlan) và tôi sẽ không đi sâu vào mọi sắc thái.
Một ví dụ có vấn đề và một vấn đề
Như một kịch bản ví dụ hoàn toàn giả định, hãy tưởng tượng bạn sở hữu một tòa nhà văn phòng mà bạn thuê cho người thuê. Như một lợi ích của việc cho thuê, mỗi người thuê sẽ nhận được các lỗ cắm Ethernet trực tiếp trong mỗi phòng của văn phòng. Bạn mua một bộ chuyển mạch Ethernet cho mỗi tầng, nối chúng với các giắc cắm ở mỗi văn phòng trên tầng đó và nối tất cả các công tắc lại với nhau.
Ban đầu, bạn thuê không gian cho hai người thuê khác nhau - một ở tầng 1 và một trên 2. Mỗi người thuê này cấu hình máy tính của họ với địa chỉ IPv4 tĩnh. Cả hai người thuê đều sử dụng các mạng con TCP / IP khác nhau và mọi thứ dường như chỉ hoạt động tốt.
Sau đó, một người thuê nhà mới thuê một nửa tầng 3 và mang đến một trong những máy chủ DHCP mới. Thời gian trôi qua và người thuê tầng 1 cũng quyết định nhảy vào băng thông DHCP. Đây là điểm khi mọi thứ bắt đầu đi lệch hướng. Những người thuê nhà ở tầng 3 báo cáo rằng một số máy tính của họ đang nhận được địa chỉ IP "hài hước" từ một máy không phải là máy chủ DHCP của họ. Ngay sau đó, người thuê tầng 1 báo cáo điều tương tự.
DHCP là một giao thức tận dụng khả năng phát sóng của Ethernet để cho phép các máy khách có thể lấy địa chỉ IP một cách linh hoạt. Bởi vì tất cả những người thuê nhà đều chia sẻ cùng một mạng Ethernet vật lý, họ chia sẻ cùng một miền quảng bá. Một gói tin quảng bá được gửi từ bất kỳ máy tính nào trong mạng sẽ tràn ra tất cả các cổng chuyển đổi sang mọi máy tính khác. Các máy chủ DHCP ở tầng 1 và 3 sẽ nhận được tất cả các yêu cầu cho thuê địa chỉ IP và, một cách hiệu quả, sẽ đấu tay đôi để xem ai có thể trả lời trước. Đây rõ ràng không phải là hành vi bạn dự định người thuê của bạn trải nghiệm. Tuy nhiên, đây là hành vi của mạng Ethernet "phẳng" với bất kỳ Vlan nào.
Tệ hơn nữa, một người thuê nhà ở tầng 2 mua phần mềm "Wireshark" này và báo cáo rằng, thỉnh thoảng, họ thấy lưu lượng truy cập thoát khỏi công tắc của họ tham chiếu các máy tính và địa chỉ IP mà họ chưa từng nghe thấy. Một nhân viên của họ thậm chí đã nhận ra rằng anh ta có thể giao tiếp với các máy tính khác này bằng cách thay đổi địa chỉ IP được gán cho PC của mình từ 192.168.1.38 thành 192.168.0.38! Có lẽ, anh ta chỉ còn vài bước nữa là thực hiện "dịch vụ quản trị hệ thống pro-bono trái phép" cho một trong những người thuê nhà khác. Không tốt.
Các giải pháp tiềm năng
Bạn cần một giải pháp! Bạn chỉ có thể rút phích cắm giữa các tầng và điều đó sẽ cắt đứt mọi liên lạc không mong muốn! Vâng! Đó là vé ...
Điều đó có thể hoạt động, ngoại trừ việc bạn có một người thuê mới sẽ thuê một nửa tầng hầm và một nửa tầng 3 không có người ở 3. Nếu không có kết nối giữa công tắc tầng 3 và công tắc tầng hầm thì người thuê mới sẽ không có thể nhận được thông tin liên lạc giữa các máy tính của họ sẽ được lan truyền xung quanh cả hai tầng của họ. Kéo phích cắm không phải là câu trả lời. Tệ hơn nữa, người thuê mới đang mang đến một trong những máy chủ DHCP khác!
Bạn tán tỉnh ý tưởng mua các bộ chuyển mạch Ethernet riêng biệt cho từng người thuê, nhưng xem cách tòa nhà của bạn có 30 tầng, bất kỳ trong số đó có thể được chia thành 4 cách, những con chuột tiềm năng của cáp nối từ sàn đến sàn số lượng lớn các thiết bị chuyển mạch Ethernet song song có thể là một cơn ác mộng, chưa kể đắt tiền. Nếu chỉ có một cách để làm cho một mạng Ethernet vật lý duy nhất hoạt động giống như nhiều mạng Ethernet vật lý, thì mỗi mạng có một miền phát sóng riêng.
Vlan để giải cứu
Vlan là một câu trả lời cho vấn đề lộn xộn này. Vlan cho phép bạn chia nhỏ một bộ chuyển mạch Ethernet thành các bộ chuyển mạch Ethernet ảo khác nhau. Điều này cho phép một bộ chuyển mạch Ethernet duy nhất hoạt động như thể đó là nhiều bộ chuyển mạch Ethernet vật lý. Ví dụ, trong trường hợp tầng 3 được chia nhỏ của bạn, bạn có thể định cấu hình công tắc 48 cổng của mình sao cho 24 cổng thấp hơn nằm trong một Vlan nhất định (chúng tôi sẽ gọi Vlan 12) và 24 cổng cao hơn nằm trong một Vlan cụ thể ( mà chúng ta sẽ gọi Vlan 13). Khi bạn tạo Vlan trên công tắc của mình, bạn sẽ phải gán cho chúng một số loại tên hoặc số Vlan. Các số tôi đang sử dụng ở đây chủ yếu là tùy ý, vì vậy đừng lo lắng về những số cụ thể tôi chọn.
Khi bạn đã chia công tắc tầng 3 thành Vlan 12 và 13, bạn thấy rằng người thuê tầng 3 mới có thể cắm máy chủ DHCP của họ vào một trong các cổng được gán cho Vlan 13 và PC được cắm vào cổng được gán cho Vlan 12 không ' Nhận địa chỉ IP từ máy chủ DHCP mới. Xuất sắc! Vấn đề được giải quyết!
Oh, đợi đã ... làm thế nào để chúng tôi đưa dữ liệu Vlan 13 xuống tầng hầm?
Truyền thông Vlan giữa các thiết bị chuyển mạch
Người thuê nhà ở tầng 3 và nửa tầng hầm của bạn muốn kết nối các máy tính trong tầng hầm với máy chủ của họ ở tầng 3. Bạn có thể chạy cáp trực tiếp từ một trong các cổng được gán cho Vlan của họ ở tầng 3 chuyển sang tầng hầm và cuộc sống sẽ tốt chứ nhỉ?
Trong những ngày đầu của Vlan (tiêu chuẩn trước 802.1Q), bạn có thể làm điều đó. Toàn bộ công tắc tầng hầm sẽ là một phần của Vlan 13 (Vlan mà bạn đã chọn để gán cho người thuê mới ở tầng 3 và tầng hầm) bởi vì công tắc tầng hầm đó sẽ được "cho ăn" bởi một cổng ở tầng 3 được chỉ định đến Vlan 13.
Giải pháp này sẽ hoạt động cho đến khi bạn thuê nửa còn lại của tầng hầm cho người thuê tầng 1 của bạn, những người cũng muốn liên lạc giữa tầng 1 và máy tính tầng hầm của họ. Bạn có thể phân chia công tắc tầng hầm bằng cách sử dụng Vlan (vào, giả sử, VLans 2 và 13) và chạy cáp từ tầng 1 đến cổng được gán cho Vlan 2 dưới tầng hầm, nhưng bạn đánh giá tốt hơn cho bạn biết rằng điều này có thể nhanh chóng trở thành tổ của chuột của cáp (và sẽ chỉ trở nên tồi tệ hơn). Tách các thiết bị chuyển mạch bằng Vlan là tốt, nhưng phải chạy nhiều dây cáp từ các thiết bị chuyển mạch khác đến các cổng là thành viên của các Vlan khác nhau có vẻ lộn xộn. Không còn nghi ngờ gì nữa, nếu bạn phải chia công tắc tầng hầm theo 4 cách giữa những người thuê nhà cũng có không gian ở tầng cao hơn, bạn sẽ sử dụng 4 cổng trên công tắc tầng hầm chỉ để chấm dứt cáp "trung chuyển" từ các Vlan trên lầu.
Bây giờ cần phải rõ ràng rằng một số loại phương pháp tổng quát để di chuyển lưu lượng truy cập từ nhiều Vlan giữa các công tắc trên một cáp là cần thiết. Chỉ cần thêm nhiều dây cáp giữa các thiết bị chuyển mạch để hỗ trợ kết nối giữa các Vlan khác nhau không phải là một chiến lược có thể mở rộng. Cuối cùng, với đủ Vlan, bạn sẽ ăn hết tất cả các cổng trên thiết bị chuyển mạch của mình với các kết nối giữa các Vlan / inter-switch này. Điều cần thiết là một cách để mang các gói từ nhiều Vlan dọc theo một kết nối - kết nối "trung kế" giữa các công tắc.
Cho đến thời điểm này, tất cả các cổng chuyển đổi mà chúng ta đã nói đến được gọi là cổng "truy cập". Đó là, các cổng này được dành riêng để truy cập vào một Vlan. Các thiết bị cắm vào các cổng này không có cấu hình đặc biệt. Các thiết bị này không "biết" rằng có bất kỳ Vlan nào hiện diện. Các khung mà thiết bị khách gửi sẽ được gửi đến bộ chuyển mạch, sau đó đảm bảo rằng khung chỉ được gửi đến các cổng được gán là thành viên của Vlan được gán cho cổng nơi khung được chuyển vào. Nếu một khung đi vào công tắc trên một cổng được chỉ định là thành viên của Vlan 12 thì công tắc sẽ chỉ gửi các khung đó là các thành viên của Vlan 12. Công tắc "biết" số Vlan được gán cho một cổng mà nó nhận được khung và bằng cách nào đó biết chỉ cung cấp khung này ra các cổng của cùng một Vlan.
Nếu có một cách nào đó để một công tắc chia sẻ số Vlan được liên kết với một khung nhất định cho các công tắc khác thì công tắc khác có thể xử lý đúng cách chỉ cung cấp khung đó cho các cổng đích thích hợp. Đây là những gì giao thức gắn thẻ Vlan 802.1Q làm. (Điều đáng chú ý là, trước khi có 802.1Q, một số nhà cung cấp đã tạo ra các tiêu chuẩn riêng cho việc gắn thẻ Vlan và trung kế chuyển đổi liên kết. Đối với hầu hết các phương thức tiền tiêu chuẩn này đều đã được thay thế bởi 802.1Q.)
Khi bạn có hai công tắc nhận biết Vlan được kết nối với nhau và bạn muốn các công tắc đó phân phối các khung với nhau đến Vlan phù hợp, bạn kết nối các công tắc đó bằng cổng "trung kế". Điều này liên quan đến việc thay đổi cấu hình của một cổng trên mỗi chuyển đổi từ chế độ "truy cập" sang chế độ "trung kế" (trong một cấu hình rất cơ bản).
Khi một cổng được cấu hình ở chế độ trung kế, mỗi khung mà công tắc gửi ra cổng đó sẽ có "thẻ Vlan" được bao gồm trong khung. "Thẻ Vlan" này không phải là một phần của khung ban đầu mà máy khách đã gửi. Thay vào đó, thẻ này được thêm bởi công tắc gửi trước khi gửi khung ra khỏi cổng trung kế. Thẻ này biểu thị số Vlan được liên kết với cổng mà khung bắt nguồn.
Công tắc nhận có thể nhìn vào thẻ để xác định Vlan mà khung có nguồn gốc từ đâu và, dựa trên thông tin đó, chỉ chuyển tiếp khung ra khỏi các cổng được gán cho Vlan gốc. Bởi vì các thiết bị được kết nối với cổng "truy cập" không biết rằng Vlan đang được sử dụng, thông tin "thẻ" phải được loại bỏ khỏi khung trước khi gửi ra một cổng được định cấu hình ở chế độ truy cập. Việc tước thông tin thẻ này làm cho toàn bộ quá trình trung kế Vlan bị ẩn khỏi các thiết bị khách vì khung mà chúng nhận được sẽ không chịu bất kỳ thông tin thẻ Vlan nào.
Trước khi bạn định cấu hình Vlan ngoài đời thực, tôi khuyên bạn nên định cấu hình một cổng cho chế độ trung kế trên một công tắc kiểm tra và giám sát lưu lượng được gửi ra cổng đó bằng cách sử dụng trình thám thính (như Wireshark). Bạn có thể tạo một số lưu lượng mẫu từ một máy tính khác, cắm vào cổng truy cập và thấy rằng các khung rời khỏi cổng trung kế, trên thực tế, sẽ lớn hơn các khung được gửi bởi máy tính thử nghiệm của bạn. Bạn sẽ thấy thông tin thẻ Vlan trong các khung trong Wireshark. Tôi thấy rằng thật đáng để thấy những gì xảy ra trong một sniffer. Đọc về tiêu chuẩn gắn thẻ 802.1Q cũng là một việc nên làm vào thời điểm này (đặc biệt là vì tôi không nói về những thứ như "Vlan bản địa" hoặc gắn thẻ đôi).
Cơn ác mộng cấu hình Vlan và giải pháp
Khi bạn thuê ngày càng nhiều không gian trong tòa nhà của bạn, số lượng Vlan sẽ tăng lên. Mỗi lần bạn thêm một Vlan mới, bạn thấy rằng bạn phải đăng nhập vào các bộ chuyển mạch Ethernet ngày càng nhiều hơn và thêm Vlan đó vào danh sách. Sẽ không tuyệt sao nếu có một số phương pháp mà bạn có thể thêm Vlan đó vào một bảng kê khai cấu hình duy nhất và nó có tự động điền cấu hình Vlan của mỗi chuyển đổi không?
Các giao thức như "Giao thức trung kế Vlan" độc quyền của Cisco (VTP) hoặc "Giao thức đăng ký nhiều Vlan" dựa trên tiêu chuẩn (MVRP-- được đánh vần là GVRP trước đây) đáp ứng chức năng này. Trong một mạng sử dụng các giao thức này, một mục nhập tạo hoặc xóa Vlan duy nhất dẫn đến các thông điệp giao thức được gửi đến tất cả các thiết bị chuyển mạch trong mạng. Thông báo giao thức đó truyền thông sự thay đổi trong cấu hình Vlan đến phần còn lại của các bộ chuyển mạch, lần lượt, sửa đổi cấu hình Vlan của chúng. VTP và MVRP không quan tâm đến việc các cổng cụ thể nào được định cấu hình làm cổng truy cập cho các Vlan cụ thể, nhưng lại hữu ích trong việc truyền đạt việc tạo hoặc xóa Vlan tới tất cả các thiết bị chuyển mạch.
Khi bạn cảm thấy thoải mái với Vlan, có lẽ bạn sẽ muốn quay lại và đọc về "Cắt tỉa Vlan", liên kết với các giao thức như VTP và MVRP. Cho đến bây giờ không có gì phải quan tâm nhiều. ( Bài viết VTP trên Wikipedia có một sơ đồ đẹp giải thích việc cắt tỉa Vlan và các lợi ích sau đó.)
Khi nào bạn sử dụng Vlan trong cuộc sống thực?
Trước khi chúng ta đi xa hơn, điều quan trọng là phải suy nghĩ về cuộc sống thực chứ không phải là những ví dụ giả định. Thay vì sao chép văn bản của một câu trả lời khác ở đây, tôi sẽ giới thiệu lại cho bạn câu trả lời của tôi: khi nào nên tạo Vlan . Nó không nhất thiết là "cấp độ mới bắt đầu", nhưng bây giờ đáng để xem xét vì tôi sẽ tham khảo ngắn gọn về nó trước khi quay trở lại một ví dụ giả định.
Đối với đám đông "tl; dr" (dù sao chắc chắn tất cả đã ngừng đọc tại thời điểm này), ý chính của liên kết đó là: Tạo Vlan để làm cho các miền quảng bá nhỏ hơn hoặc khi bạn muốn tách biệt lưu lượng truy cập vì một lý do cụ thể nào đó (bảo mật , chính sách, v.v.). Thực sự không có bất kỳ lý do tốt nào khác để sử dụng Vlan.
Trong ví dụ của chúng tôi, chúng tôi đang sử dụng Vlan để hạn chế các miền quảng bá (để giữ cho các giao thức như DHCP hoạt động tốt) và, thứ hai, vì chúng tôi muốn cách ly giữa các mạng của người thuê khác nhau.
Ngoài ra: Mạng con IP và Vlan
Nói chung, thường có mối quan hệ một-một giữa các mạng con Vlan và IP như một vấn đề thuận tiện, để tạo điều kiện cho sự cô lập và vì cách thức hoạt động của giao thức ARP.
Như chúng ta đã thấy ở đầu câu trả lời này, hai mạng con IP khác nhau có thể được sử dụng trên cùng một Ethernet vật lý mà không gặp vấn đề gì. Nếu bạn đang sử dụng Vlan để thu nhỏ các miền quảng bá, bạn sẽ không muốn chia sẻ cùng một Vlan với hai mạng con IP khác nhau vì bạn sẽ kết hợp ARP của chúng và lưu lượng phát khác.
Nếu bạn đang sử dụng Vlan để phân tách lưu lượng vì lý do bảo mật hoặc chính sách thì có lẽ bạn sẽ không muốn kết hợp nhiều mạng con trong cùng một Vlan vì bạn sẽ đánh bại mục đích cách ly.
IP sử dụng giao thức dựa trên phát sóng, Giao thức phân giải địa chỉ (ARP), để ánh xạ địa chỉ IP lên địa chỉ vật lý (Ethernet MAC). Do ARP được phát dựa trên, việc gán các phần khác nhau của cùng một mạng con IP cho các Vlan khác nhau sẽ gặp vấn đề vì các máy chủ trong một Vlan sẽ không thể nhận được phản hồi ARP từ các máy chủ trong Vlan khác, vì các chương trình phát sóng không được chuyển tiếp giữa các Vlan. Bạn có thể giải quyết "vấn đề" này bằng cách sử dụng proxy-ARP, nhưng, cuối cùng, trừ khi bạn có lý do thực sự tốt để phân chia một mạng con IP trên nhiều Vlan, tốt hơn hết là không nên làm như vậy.
Một ưu điểm cuối cùng: Vlan và bảo mật
Cuối cùng, điều đáng chú ý là Vlan không phải là một thiết bị bảo mật tuyệt vời. Nhiều bộ chuyển mạch Ethernet có lỗi cho phép các khung có nguồn gốc từ một Vlan được gửi ra các cổng được gán cho một Vlan khác. Các nhà sản xuất chuyển mạch Ethernet đã làm việc chăm chỉ để khắc phục các lỗi này, nhưng nghi ngờ rằng sẽ có một triển khai hoàn toàn không có lỗi.
Trong trường hợp ví dụ giả định của chúng tôi, nhân viên tầng 2, những người không thể cung cấp "dịch vụ" quản trị hệ thống miễn phí cho người thuê khác có thể bị ngừng làm như vậy bằng cách cách ly lưu lượng truy cập của mình vào Vlan. Tuy nhiên, anh ta cũng có thể tìm ra cách khai thác các lỗi trong phần mềm chuyển đổi, để cho phép lưu lượng truy cập của mình "rò rỉ" ra Vlan của người thuê khác.
Các nhà cung cấp Metro Ethernet đang ngày càng tin tưởng vào chức năng gắn thẻ Vlan và sự cô lập mà các thiết bị chuyển mạch cung cấp. Thật không công bằng khi nói rằng không có bảo mật được cung cấp bằng cách sử dụng Vlan. Tuy nhiên, thật công bằng khi nói rằng trong các tình huống có kết nối Internet hoặc mạng DMZ không tin cậy, có lẽ tốt hơn là sử dụng các công tắc riêng biệt để thực hiện lưu lượng "cảm ứng" này thay vì Vlan trên các thiết bị chuyển mạch cũng có lưu lượng truy cập "đằng sau tường lửa" đáng tin cậy của bạn.
Đưa lớp 3 vào hình ảnh
Cho đến nay mọi thứ câu trả lời này đã nói về liên quan đến lớp 2-- khung Ethernet. Điều gì xảy ra nếu chúng ta bắt đầu đưa lớp 3 vào đây?
Chúng ta hãy quay trở lại ví dụ về tòa nhà. Bạn đã chấp nhận các Vlan được chọn để định cấu hình các cổng của mỗi bên thuê là thành viên của các Vlan riêng biệt. Bạn đã định cấu hình các cổng trung kế sao cho công tắc của mỗi tầng có thể trao đổi các khung được gắn thẻ với số Vlan gốc với các công tắc ở tầng trên và dưới. Một người thuê nhà có thể có các máy tính trải rộng trên nhiều tầng, nhưng do kỹ năng định cấu hình Vlan lão luyện của bạn, các máy tính phân tán vật lý này có thể dường như là một phần của cùng một mạng LAN vật lý.
Bạn có quá nhiều thành tựu CNTT của mình đến mức bạn quyết định bắt đầu cung cấp kết nối Internet cho người thuê nhà. Bạn mua một đường ống Internet chất béo và một bộ định tuyến. Bạn thả nổi ý tưởng cho tất cả những người thuê nhà của bạn và hai trong số họ ngay lập tức mua vào. May mắn cho bạn bộ định tuyến của bạn có ba cổng Ethernet. Bạn kết nối một cổng với đường truyền Internet béo của mình, một cổng khác với cổng chuyển đổi được chỉ định để truy cập vào Vlan của người thuê đầu tiên và cổng kia với cổng được chỉ định để truy cập vào Vlan của người thuê thứ hai. Bạn định cấu hình các cổng của bộ định tuyến với địa chỉ IP trong mạng của mỗi người thuê và người thuê bắt đầu truy cập Internet thông qua dịch vụ của bạn! Doanh thu tăng và bạn hạnh phúc.
Tuy nhiên, ngay sau đó, một người thuê nhà khác quyết định truy cập vào dịch vụ Internet của bạn. Bạn đang ở ngoài cổng trên bộ định tuyến của bạn, mặc dù. Phải làm sao
May mắn thay, bạn đã mua một bộ định tuyến hỗ trợ cấu hình "giao diện phụ ảo" trên các cổng Ethernet của nó. Nói tóm lại, chức năng này cho phép bộ định tuyến nhận và giải thích các khung được gắn thẻ có số Vlan gốc và có các giao diện ảo (nghĩa là phi vật lý) được định cấu hình với các địa chỉ IP phù hợp với từng Vlan mà nó sẽ giao tiếp. Thực tế, điều này cho phép bạn "ghép kênh" một cổng Ethernet trên bộ định tuyến sao cho nó có chức năng như nhiều cổng Ethernet vật lý.
Bạn gắn bộ định tuyến của mình vào cổng trung kế trên một trong các thiết bị chuyển mạch của mình và định cấu hình giao diện phụ ảo tương ứng với sơ đồ địa chỉ IP của mỗi người thuê. Mỗi giao diện phụ ảo được cấu hình với số Vlan được gán cho từng Khách hàng. Khi một khung rời khỏi cổng trunk trên công tắc, bị ràng buộc với bộ định tuyến, nó sẽ mang một thẻ có số Vlan gốc (vì đó là cổng trunk). Bộ định tuyến sẽ giải thích thẻ này và xử lý gói như thể nó đến trên một giao diện vật lý chuyên dụng tương ứng với Vlan đó. Tương tự như vậy, khi bộ định tuyến gửi một khung tới công tắc để đáp ứng yêu cầu, nó sẽ thêm thẻ Vlan vào khung để công tắc biết Vlan nào sẽ cung cấp khung phản hồi. Thực tế, bạn đã cấu hình bộ định tuyến để "xuất hiện"
Bộ định tuyến trên gậy và chuyển mạch lớp 3
Sử dụng các giao diện phụ ảo mà bạn có thể bán kết nối Internet cho tất cả những người thuê nhà mà không phải mua bộ định tuyến có hơn 25 giao diện Ethernet. Bạn khá hài lòng với những thành tựu CNTT của mình nên bạn phản hồi tích cực khi hai người thuê của bạn đến với bạn với một yêu cầu mới.
Những người thuê này đã chọn "đối tác" trong một dự án và họ muốn cho phép truy cập từ các máy khách trong văn phòng của một người thuê (một Vlan đã cho) vào một máy tính trong văn phòng của người thuê khác (một Vlan khác). Vì cả hai đều là Khách hàng của dịch vụ Internet của bạn, nên một thay đổi khá đơn giản của ACL trong bộ định tuyến Internet lõi của bạn (trên đó có giao diện phụ ảo được định cấu hình cho mỗi Vlan của người thuê này) để cho phép lưu lượng truy cập giữa các Vlan của họ cũng như với Internet từ Vlan của họ. Bạn thực hiện thay đổi và gửi người thuê trên đường của họ.
Ngày hôm sau bạn nhận được khiếu nại từ cả hai người thuê rằng việc truy cập giữa các máy khách trong một văn phòng đến máy chủ ở văn phòng thứ hai rất chậm. Cả máy chủ và máy khách đều có kết nối Ethernet gigabit đến các thiết bị chuyển mạch của bạn nhưng các tệp chỉ truyền với tốc độ khoảng 45Mb / giây, trùng hợp, chỉ bằng một nửa tốc độ mà bộ định tuyến lõi của bạn kết nối với bộ chuyển mạch. Rõ ràng lưu lượng truyền từ Vlan nguồn tới bộ định tuyến và thoát ra từ bộ định tuyến đến Vlan đích đang bị tắc nghẽn bởi kết nối của bộ định tuyến với bộ chuyển mạch.
Những gì bạn đã thực hiện với bộ định tuyến lõi của mình, cho phép nó định tuyến lưu lượng giữa các Vlan, thường được gọi là "bộ định tuyến trên thanh" (một uyển ngữ hay thay đổi ngu ngốc được cho là ngu ngốc). Chiến lược này có thể hoạt động tốt, nhưng lưu lượng chỉ có thể lưu chuyển giữa các Vlan cho đến khả năng kết nối của bộ định tuyến với bộ chuyển mạch. Nếu, bằng cách nào đó, bộ định tuyến có thể được kết hợp với "ruột" của chính bộ chuyển mạch Ethernet, nó có thể định tuyến lưu lượng nhanh hơn (vì bản thân bộ chuyển mạch Ethernet, theo bảng thông số kỹ thuật của nhà sản xuất, có khả năng chuyển đổi lưu lượng trên 2Gbps).
"Bộ chuyển mạch lớp 3" là một bộ chuyển mạch Ethernet, nói một cách logic, có chứa một bộ định tuyến được chôn trong chính nó. Tôi thấy rất hữu ích khi nghĩ về một công tắc lớp 3 là có một bộ định tuyến nhỏ và nhanh chóng ẩn bên trong công tắc. Hơn nữa, tôi khuyên bạn nên suy nghĩ về chức năng định tuyến như là một chức năng riêng biệt với chức năng chuyển mạch Ethernet mà công tắc lớp 3 cung cấp. Một công tắc lớp 3, cho tất cả các ý định và mục đích, hai thiết bị riêng biệt được bọc trong một khung đơn.
Bộ định tuyến nhúng trong bộ chuyển mạch lớp 3 được kết nối với cấu trúc chuyển mạch bên trong của công tắc với tốc độ, thông thường, cho phép định tuyến các gói giữa các Vlan ở hoặc gần tốc độ dây. Tương tự với các giao diện phụ ảo mà bạn đã cấu hình trên "bộ định tuyến trên gậy", bộ định tuyến nhúng này bên trong bộ chuyển đổi lớp 3 có thể được cấu hình với các giao diện ảo "xuất hiện" để kết nối "truy cập" vào mỗi Vlan. Thay vì được gọi là giao diện phụ ảo, các kết nối logic này từ các Vlan vào bộ định tuyến nhúng bên trong bộ chuyển đổi lớp 3 được gọi là Chuyển đổi giao diện ảo (SVIs). Trên thực tế, bộ định tuyến nhúng bên trong bộ chuyển đổi lớp 3 có một số lượng "cổng ảo" có thể được "cắm" vào bất kỳ Vlan nào trên công tắc.
Bộ định tuyến nhúng thực hiện giống như bộ định tuyến vật lý ngoại trừ việc nó thường không có tất cả các tính năng của giao thức định tuyến động hoặc danh sách điều khiển truy cập (ACL) giống như bộ định tuyến vật lý (trừ khi bạn đã mua lớp 3 thực sự đẹp công tắc điện). Tuy nhiên, bộ định tuyến nhúng có ưu điểm là rất nhanh và không có nút cổ chai liên quan đến cổng chuyển đổi vật lý mà nó được cắm vào.
Trong trường hợp ví dụ của chúng tôi ở đây với những người thuê "hợp tác", bạn có thể chọn nhận chuyển đổi lớp 3, cắm nó vào các cổng trung kế để lưu lượng truy cập từ cả Vlan của Khách hàng đến đó, sau đó định cấu hình SVI với địa chỉ IP và tư cách thành viên Vlan sao cho "Xuất hiện" trong cả Vlan của Khách hàng. Khi bạn đã thực hiện xong, đó chỉ là vấn đề điều chỉnh bảng định tuyến trên bộ định tuyến lõi của bạn và bộ định tuyến nhúng trong bộ chuyển đổi lớp 3 sao cho lưu lượng giữa các Vlan của người thuê được định tuyến bởi bộ định tuyến nhúng bên trong bộ chuyển đổi lớp 3 so với bộ định tuyến nhúng "bộ định tuyến trên một thanh".
Sử dụng công tắc lớp 3 không có nghĩa là vẫn không có nút thắt liên quan đến băng thông của các cổng trung kế kết nối các công tắc của bạn. Tuy nhiên, đây là một mối quan tâm trực giao với những người mà Vlan xử lý. Vlan không liên quan gì đến vấn đề băng thông. Thông thường, các vấn đề về băng thông được giải quyết bằng cách có được các kết nối chuyển mạch tốc độ cao hơn hoặc sử dụng các giao thức kết hợp liên kết để "liên kết" một số kết nối tốc độ thấp hơn với nhau thành kết nối tốc độ cao ảo. Trừ khi tất cả các thiết bị tạo khung được định tuyến bởi bộ định tuyến nhúng bên trong bộ chuyển đổi 3 sau, chúng được cắm trực tiếp vào các cổng trên công tắc lớp 3, bạn vẫn cần phải lo lắng về băng thông của các thân giữa các công tắc. Công tắc lớp 3 không phải là thuốc chữa bách bệnh, nhưng nó thường nhanh hơn "
Vlan động
Cuối cùng, có một chức năng trong một số thiết bị chuyển mạch để cung cấp tư cách thành viên Vlan động. Thay vì chỉ định một cổng nhất định là cổng truy cập cho một Vlan nhất định, cấu hình của cổng (truy cập hoặc trung kế và cho Vlan đó) có thể được thay đổi linh hoạt khi thiết bị được kết nối. Vlan động là một chủ đề nâng cao hơn nhưng biết rằng chức năng tồn tại có thể hữu ích.
Chức năng khác nhau giữa các nhà cung cấp nhưng thông thường bạn có thể định cấu hình thành viên Vlan động dựa trên địa chỉ MAC của thiết bị được kết nối, trạng thái xác thực 802.1X của thiết bị, ví dụ: các giao thức dựa trên tiêu chuẩn và độc quyền (CDP và LLDP để cho phép điện thoại IP "Khám phá" số Vlan cho lưu lượng thoại), mạng con IP được gán cho thiết bị khách hoặc loại giao thức Ethernet.