Question Quelle est la différence entre un VLAN et un sous-réseau? [fermé]


J'ai lu de nombreux forums et articles concernant les VLAN et les sous-réseaux.
Cependant, je n'ai pas compris les fonctions de chacun en dehors de ce qui suit:

  1. Les sous-réseaux permettent la segmentation d'un réseau
  2. Les VLAN sont une partie isolée d'un réseau

Des questions

  1. Si j'ai plusieurs sous-réseaux, je suppose que vous auriez besoin d'un routeur pour communiquer entre chaque sous-réseau. Seuls les périphériques de chaque sous-réseau seraient dans le domaine de diffusion local pour ce sous-réseau. Est-ce correct?

  2. Ai-je besoin d'un sous-réseau pour configurer un VLAN?

  3. Je suis conscient qu'un VLAN peut exister dans un sous-réseau. Mais si je comprends bien, vous devez attribuer une adresse IP de ce sous-réseau au VLAN. Comment peut-il être isolé du reste du sous-réseau?

  4. Quand voulez-vous configurer un VLAN? Surtout si je suis capable de segmenter mon réseau en utilisant des sous-réseaux?

  5. Je continue de rencontrer le point suivant. Cependant, je ne sais pas ce que cela signifie exactement quand il lit same physical network.

    Les réseaux locaux virtuels (VLAN) nous permettent de créer différents réseaux logiques et physiques; alors que le sous-réseau IP nous permet simplement de créer des réseaux logiques via le même réseau physique.

J'apprécierais des exemples réels.


83
2017-11-03 18:16


origine


La principale différence est que l'adhésion à un sous-réseau est basée sur la configuration IP côté client. Par conséquent, le client peut utiliser n'importe quel sous-réseau qu'il souhaite. Pour un VLAN, la configuration est effectuée côté serveur (par exemple, en fonction du port LAN) et le client ne peut pas le modifier. Du point de vue de la sécurité, c'est une grande différence. - Robert
@Robert - Pouvez-vous préciser ce que vous entendez par client side IP and server side configuration? - PeanutsMonkey
Un sous-réseau est déterminé par l'adresse IP que vous utilisez et l'adresse IP peut être choisie par l'administrateur d'un ordinateur (ou d'un périphérique). Par conséquent, cela se fait côté client - vous ne pouvez pas le contrôler. Un VLAN est configuré côté serveur / routeur. Celui qui contrôle le routeur / serveur décide quel ordinateur / port est affecté à quel VLAN. Un (ou certains) routeurs / serveurs centraux peuvent être protégés logiquement (mot de passe de connexion) et physiquement (accès à la salle du serveur). - Robert
Cette page peut être utile petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm - barlop
@PeanutsMonkey: En lisant vos commentaires, il semble que vous ayez une certaine confusion à propos des différentes couches de réseau du modèle OSI. Les VLAN fonctionnent sur la couche 2 tandis que les sous-réseaux IP fonctionnent sur la couche 3. - afrazier


Réponses:


Sous-réseau - est une plage d'adresses IP déterminée par une partie d'une adresse (souvent appelée adresse réseau) et un masque de sous-réseau (masque de réseau). Par exemple, si le masque de réseau est 255.255.255.0 (ou / 24 en abrégé) et que l'adresse réseau est 192.168.10.0, cela définit une plage d'adresses IP 192.168.10.0 à 192.168.10.255. Abréviation pour l'écriture 192.168.10.0/24.

VLAN - Un bon moyen de penser à cela est le "partitionnement des commutateurs". Disons que vous avez un commutateur 8 ports VLAN-capable. Vous pouvez affecter 4 ports à un VLAN (disons VLAN 1) et 4 ports à un autre VLAN (par exemple VLAN 2). VLAN 1 ne verra aucun trafic VLAN 2 et vice versa, logiquement, vous avez maintenant deux commutateurs distincts. Normalement, sur un commutateur, si le commutateur n'a pas vu d'adresse MAC, il "inondera" le trafic vers tous les autres ports. Les VLAN empêchent cela.

Si deux ordinateurs vont parler en utilisant TCP / IP, une des deux conditions suivantes doit être remplie:

  • Ils doivent appartenir au même sous-réseau. Cela signifie que l'adresse réseau doit être la même et que le masque réseau doit être égal ou inférieur. Ainsi, un ordinateur avec une interface avec une adresse IP 192.168.10.4/24 peut communiquer avec un ordinateur avec une interface avec une adresse IP 192.168.10.8/24 sans problèmes, à condition qu'ils soient tous deux connectés au même commutateur physique ou VLAN Si l'interface du second ordinateur connectée à ce même commutateur physique ou réseau local virtuel était 192.168.11.8/24, le trafic serait ignoré (à moins que l'interface ne soit en mode espion).

  • Un routeur doit exister entre les deux ordinateurs pouvant transférer le trafic entre les sous-réseaux. L'ordinateur A et l'ordinateur B ont besoin d'un itinéraire (ou d'une passerelle par défaut) vers ce routeur. Disons qu'un ordinateur avec une interface avec une adresse IP de 192.168.10.4/24 veut parler à un ordinateur avec une interface avec une adresse IP 192.168.20.4/24. Différents sous-réseaux, nous devons donc passer par un routeur. Disons qu'il y a un routeur avec deux interfaces (les routeurs ont par définition deux interfaces), un sur 192.168.10.254/24 et 192.168.20.254/24. Si la table de routage ou DHCP est configurée correctement et que l'ordinateur A et B peuvent atteindre les interfaces du routeur sur leurs sous-réseaux respectifs, ils peuvent communiquer entre eux indirectement via le routeur.

Le fait de forcer le trafic à passer par un routeur, même s'il n'est pas nécessaire, comme sur notre commutateur 8 ports ci-dessus, présente des avantages en termes de sécurité et de performances. Il vous permet de filtrer le trafic, de router le trafic de manière optimale ne transférez pas le trafic de diffusion (sauf configuration inhabituelle). Les VLAN sont parfois utilisés comme un "hack" pour gérer les flux / la visibilité du trafic de diffusion IPv4.

Modifier pour répondre à certaines de vos questions:

  • Conceptuellement, les VLAN sont équivalents aux commutateurs. Ce qui vient dans 1 port d'un VLAN est répliqué ("inondé") sur tous les autres ports à moins que le VLAN n'ait vu / appris l'adresse MAC avant, alors il est dirigé vers ce port. Il n'y a pas de passerelle vers le VLAN proprement dit. Une "passerelle" signifie toujours l'adresse IP d'un routeur.

  • Pour que le VLAN 1 communique avec le VLAN 2, une interface du VLAN 1 doit être connectée à un routeur, une interface du VLAN 2 doit être connectée à un routeur et ce routeur doit être configuré pour transférer le trafic entre ces sous-réseaux. Dans notre exemple de 8 ports ci-dessus, si nous voulions acheminer le trafic entre ces VLAN, nous devions dépenser 1 port sur chaque VLAN se connectant à un routeur. Même avec un interrupteur.

Je suis sûr que beaucoup de commutateurs / matériels haut de gamme ont un "routeur VLAN" "intégré" à eux, où dépenser un port supplémentaire dans chaque VLAN le connectant à un routeur physique n'est vraiment pas nécessaire si vous souhaitez effectuer un routage entre VLAN dans le même commutateur. C'est peut-être là que le VLAN IP ou la "passerelle" entre en jeu. (J'invite les plus compétents à éditer ceci)

  • Lorsqu'un ordinateur obtient son adresse IP via DHCP, il reçoit généralement la "passerelle par défaut" du même serveur DHCP. Quelqu'un doit configurer le serveur DHCP correctement. Les protocoles de routage tels que RIP, IS-IS, OSPF et BGP peuvent également ajouter des itinéraires. Bien sûr, vous avez la possibilité d'ajouter des routes manuellement (routes "statiques")

  • Si votre commutateur possède un port série ou un port étiqueté "console", il est probablement géré et prend en charge les VLAN.


66
2017-11-04 01:22



L'une des meilleures explications que j'ai vues aujourd'hui. Maintenant, cela a soulevé un certain nombre de questions. VLAN 1 et VLAN 2 auraient-ils leur propre adresse IP ou est-il simplement étiqueté VLAN 1 et VLAN 2? S'ils sont marqués, comment les hôtes / points de terminaison / nœuds du VLAN 1 peuvent-ils communiquer? Maintenant, s'il y a un routeur, la passerelle est-elle l'adresse IP du VLAN ou celle du routeur? Quand tu dis route table, est-ce quelque chose que je dois construire? De plus, comment savoir si un commutateur dont vous avez hérité est compatible VLAN (géré) ou non géré? - PeanutsMonkey
S'il vous plaît voir les modifications. - LawrenceC
Merci. J'ai eu une question concernant la phrase ven though it's not needed such as on our 8-port switch above, has security and performance benefits. Pourquoi ne devrait-il pas passer par un routeur si les sous-réseaux font partie d’un réseau différent? - PeanutsMonkey
S'il vous plaît voir plus de modifications. - LawrenceC


J'ai trouvé les autres explications compliquées.

  • VLAN vous permet de marquer tous les paquets réseau avec un nombre magique (par ex. 3).
  • Seules les autres cartes réseau définies sur 3 verra ces paquets

Mettre un tas d'ordinateurs à VLAN 3 et ils seront dans leur petit monde isolé; ils ne verront aucun autre trafic.

Tout à coup, vous pouvez avoir plusieurs LANs fonctionnant sur les mêmes fils (c.-à-d. LAN virtuels). Vous pouvez même avoir deux ordinateurs avec la même adresse IP, car ils ont des balises VLAN différentes (par ex. 3 versets7)


La définition d'un ID de VLAN se fait en configurant le pilote de la carte réseau:

enter image description here

Votre kilométrage variera en fonction de votre carte réseau et de ses pilotes.


18
2017-11-04 00:24



Je suis tombé sur les balises VLAN, mais je suis intrigué par la façon dont vous set cartes réseau à dire 3? Je suppose que les VLAN ne pourraient pas se voir s’il n’ya pas de routeur. S'il y a un routeur, je devine qu'il devrait y avoir un pare-feu pour empêcher les paquets d'être transmis d'un VLAN à l'autre si une demande est faite. Maintenant, quelle serait la passerelle du sous-réseau dans le VLAN? Serait-ce le routeur? - PeanutsMonkey
Le VLAN est-il également associé à une adresse IP ou simplement à une balise? Sur la base de mes lectures à petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm, il semble que les troncs peuvent aussi route paquets. Je ne sais pas si ma compréhension est claire cependant. Est-ce que cela signifie qu'un commutateur est un périphérique de couche 2 et 3? - PeanutsMonkey
Un VLAN est simplement une balise. Toutes les cartes réseau doivent connaître la présence d'une balise VLAN et ignorer les paquets avec une balise VLAN différente de la leur. - Ian Boyd
@IanBoyd: Tous les NIC doivent-ils être au courant du VLAN? Je pensais que le basculement entre les VLAN pouvait gérer tous les tags (et les suppressions de tags) de l’en-tête Ehternet. - afrazier
Dans le cas d'un commutateur intelligent comme celui-ci: non, le commutateur peut gérer le trafic de direction. Mais dans ce cas, vous devez programmer le commutateur pour savoir quels ports prennent quel trafic. De l'explication plus simple de ce qu'est le VLAN: c'est un moyen de baliser les paquets avec un identifiant, de sorte que seules les cartes réseau avec la même balise les voient. - Ian Boyd


L'explication simpliste est que les VLAN existent pour permettre aux différents sous-réseaux de partager le câblage physique, les ports et la commutation. Vous pouvez avoir des sous-réseaux distincts sur votre réseau sans vlans, mais vous devez avoir un jeu de câbles différent pour chacun.


7
2017-11-03 19:16



J'ai finalement compris qu'en traçant le Web, un réseau local virtuel permettait à une organisation d'utiliser le même commutateur plutôt que d'acheter plusieurs commutateurs, mais je suis toujours confus au sujet de certaines des questions que j'ai posées dans mon article. - PeanutsMonkey
Quelle? Rien n'empêche le fonctionnement de plusieurs sous-réseaux IP sur le même réseau physique, bien que je ne puisse penser à de bonnes raisons de le faire sans les VLAN en place. En particulier, vous avez de sérieuses difficultés avec DHCP sans VLAN pour isoler le trafic de diffusion. - afrazier


1.Si j'ai plusieurs sous-réseaux, je suppose que vous auriez besoin d'un routeur pour communiquer entre chaque sous-réseau.

Oui, vous avez besoin d'un routeur pour déplacer les paquets entre les sous-réseaux.

Seuls les périphériques de chaque sous-réseau seraient dans le domaine de diffusion local pour ce sous-réseau. Est-ce correct?

Oui, un sous-réseau est un domaine de diffusion.

2. Ai-je besoin d'un sous-réseau pour configurer un VLAN?

Oui.

3.Je suis conscient qu'un VLAN peut exister dans un sous-réseau, mais je crois que vous devrez attribuer au VLAN une adresse IP de ce sous-réseau.

Non, si je comprends bien, les VLAN sont définis dans les commutateurs et isolent le trafic de chaque VLAN.

Comment peut-il être isolé du reste du sous-réseau?

Un VLAN est un sous-réseau.

4.Quand est-ce que vous configurez un VLAN surtout si je suis capable de segmenter mon réseau en utilisant des sous-réseaux?

Lorsque vous devez séparer le trafic en deux groupes ou plus sans séparer l'infrastructure physique (principalement les commutateurs) en deux groupes physiques ou plus.

5.Je continue de penser que les réseaux locaux virtuels (VLAN) nous permettent de créer différents réseaux logiques et physiques. alors que le sous-réseau IP nous permet simplement de créer des réseaux logiques via le même réseau physique. Cependant, je ne sais pas ce que cela signifie exactement quand il lit le même réseau physique.

Un réseau local physique est principalement composé de commutateurs et de câbles disposés (dans le cas d’Ethernet) en une seule structure arborescente.

Normalement, un LAN est un seul sous-réseau. Une organisation peut avoir plusieurs LAN reliés par des routeurs.

Un seul réseau local physique peut être divisé en plusieurs réseaux locaux virtuels (VLAN) à l'aide du support VLAN dans les commutateurs. Chaque VLAN possède alors un sous-réseau distinct. Un routeur est donc nécessaire pour déplacer les paquets entre les réseaux locaux logiques (VLAN).


Mise à jour: quelques réponses pour répondre aux questions dans les commentaires.

Si je voulais des périphériques sur 2 VLAN distincts pour communiquer qu'un routeur n'est pas nécessaire, je peux utiliser le partage.

Voici quelques citations de http://www.formortals.com/an-introduction-to-vlan-trunking/

"La jonction VLAN permet à une seule carte réseau de se comporter comme "n" nombre de cartes réseau virtuelles, où "n" a une limite supérieure théorique de 4096 mais est généralement limitée à 1000 segments de réseau VLAN."

"Les routeurs peuvent devenir infiniment plus utiles une fois qu'ils sont intégrés à l'infrastructure du commutateur d'entreprise. Une fois partagés, ils deviennent omniprésents et peuvent fournir des services de routage à n'importe quel sous-réseau de n'importe quel coin du réseau d'entreprise."

Donc, vous avez toujours besoin d'un routeur mais, avec la jonction VLAN, il peut s'agir d'un routeur à un seul bras (routeur sur une clé). Les commutateurs haut de gamme intègrent des fonctionnalités de routage, de sorte que vous n'avez peut-être pas besoin d'un routeur distinct, car votre commutateur haut de gamme est également un routeur de couche 3.

Quand vous dites que j'ai besoin d'un sous-réseau pour configurer un VLAN, que voulez-vous dire exactement?

Les VLAN sont un concept de couche 2. Tout comme les commutateurs Ethernet sont un périphérique de couche 2. Les réseaux locaux virtuels peuvent effectuer quelques tâches qui nécessitent une demi-douzaine de commutateurs dans des groupes isolés. Cependant, vos nœuds (ordinateurs, imprimantes, etc.) utilisent généralement l'adressage de couche 3 (IP).

Pour que les nœuds d'un VLAN (N for Network) communiquent avec les nœuds d'un autre VLAN (N for Network), vous avez besoin d'un protocole InterNetwork (en d'autres termes, IP). Dans IP pour déplacer les paquets entre les réseaux, chaque réseau doit avoir une adresse réseau de couche 3 différente.

C'est là qu'intervient le sous-réseau - en divisant la plage d'adresses réseau de couche 3 allouée à une organisation en sous-réseaux en utilisant des masques de sous-réseau. Vous pouvez ensuite utiliser un routeur pour permettre aux périphériques d'un sous-réseau (dans un VLAN) de communiquer avec les périphériques d'un autre sous-réseau (dans un autre VLAN).


5
2017-11-03 19:07



@ RedGrittyBrick - Merci. Quand vous dites que j'ai besoin d'un sous-réseau pour configurer un VLAN, que voulez-vous dire exactement? Pour moi, le sous-réseau est la ségrégation ou la segmentation des adresses IP? D'après ce que j'ai compris, les VLAN fonctionnent dans la couche 2, ce qui signifie qu'ils résolvent les adresses MAC en adresses IP, en supposant que ma compréhension soit correcte, pourquoi et comment créeriez-vous un sous-réseau pour configurer un VLAN? Je n'ai pas suivi ce que tu voulais dire par VLAN is defined in the switches and isolates the traffic of each VLAN? - PeanutsMonkey
@RedGrittyBrick - Il semble également que si je voulais des appareils sur 2 réseaux VLAN distincts pour communiquer qu'un routeur n'est pas nécessaire, je peux utiliser le partage. - PeanutsMonkey
@PeanutsMonkey Il est possible que vous échangiez tous les deux incorrectement les termes VLAN et VLAN. Lui comme une erreur dans une phrase que vous lisez de lui, et vous dans votre esprit. Les VLAN sont le pluriel de VLAN. Donc, cette phrase, il a écrit "VLAN est défini dans les commutateurs et isole le trafic de chaque VLAN?" devrait peut-être lire "Les VLAN sont définis dans / chaque commutateur, et le trafic sur chaque VLAN est isolé" - barlop
@barlop - Je comprends qu'un VLAN est un sous-ensemble de VLAN, mais je suis confus par le contenu du lien que vous avez suggéré, par exemple.petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm. Par exemple, le contenu lit At this point, only ports 2 and 3 should be able to communicate with each other and ports 4 & 5 should be able to communicate. That is because each of these is in its own VLAN - PeanutsMonkey
For the device on port 2 to communicate with the device on port 4, you would have to configure a trunk port to a router so that it can strip off the VLAN information, route the packet, and add back the VLAN information - PeanutsMonkey


1.Si j'ai plusieurs sous-réseaux, je suppose que vous auriez besoin d'un routeur pour communiquer entre chaque sous-réseau. Seuls les périphériques de chaque sous-réseau seraient dans le domaine de diffusion local pour ce sous-réseau. Est-ce correct?

Les réseaux IP (sous-réseaux) constituent un concept de couche 3. Si deux PC sont connectés au même commutateur L2 sans VLAN, ils seront dans le même domaine de diffusion L2, mais pas dans le domaine de diffusion L3.

2. Ai-je besoin d'un sous-réseau pour configurer un VLAN?

Non. Cependant, si vous souhaitez que les périphériques d'un VLAN communiquent entre eux, ils auront probablement besoin d'un protocole L3.

3.Je suis conscient qu'un VLAN peut exister dans un sous-réseau, mais je crois que vous devrez attribuer au VLAN une adresse IP de ce sous-réseau. Comment peut-il être isolé du reste du sous-réseau?

Pas clair ce que vous demandez.

4.Quand est-ce que vous configurez un VLAN surtout si je suis capable de segmenter mon réseau en utilisant des sous-réseaux?

Les VLAN sont simplement un moyen de faire apparaître un périphérique L2 comme étant plusieurs périphériques L2.

5.Je continue de penser que les réseaux locaux virtuels (VLAN) nous permettent de créer différents réseaux logiques et physiques. alors que le sous-réseau IP nous permet simplement de créer des réseaux logiques via le même réseau physique. Cependant, je ne sais pas ce que cela signifie exactement quand il lit le même réseau physique.


1
2017-11-03 19:27



Lorsque vous dites qu'ils seront dans le même domaine de diffusion de couche 2 et non dans le domaine des diffuseurs de couche 3, qu'est-ce que cela signifie exactement? - PeanutsMonkey
Cela signifie que si un paquet, avec tous ceux dans le champ de destination MAC, est transmis, il sera vu par tous les périphériques. Le domaine de diffusion de couche 3 peut être tout le monde dans l'adresse IP ou les numéros de réseau sont égaux et la partie hôte de l'adresse est tout. Avant de passer aux réseaux locaux virtuels, vous devez comprendre les bases des couches 2 et 3. - dbasnett
Remercier. Pourriez-vous préciser ce que vous entendez par all ones? Faites-vous référence à des calculs binaires et binaires? - PeanutsMonkey
Oui, tous les binaires, mac = ffffffffffff pour MAC et 255.255.255.255 pour IP. - dbasnett