Pertanyaan Bagaimana cara kerja VLAN?


Apa itu VLAN? Masalah apa yang mereka pecahkan?

Saya membantu teman belajar jaringan dasar, karena dia hanya menjadi satu-satunya sysadmin di sebuah perusahaan kecil. Saya telah menunjuk dia di berbagai pertanyaan / jawaban di Serverfault yang berkaitan dengan berbagai topik jaringan, dan menemukan celah - tampaknya tidak ada jawaban yang menjelaskan dari prinsip pertama apa VLAN. Dalam semangat Bagaimana cara kerja SubnettingSaya pikir akan berguna untuk memiliki pertanyaan dengan jawaban kanonik di sini.

Beberapa topik potensial untuk dibahas dalam sebuah jawaban:

  • Apa itu VLAN?
  • Masalah apa yang ingin mereka pecahkan?
  • Bagaimana cara kerjanya sebelum VLAN?
  • Bagaimana VLAN berhubungan dengan subnet?
  • Apa itu SVI?
  • Apa itu port trunk dan port akses?
  • Apa itu VTP?

EDIT: untuk menjadi jelas, saya sudah tahu bagaimana VLAN bekerja - Saya hanya berpikir bahwa Serverfault harus memiliki jawaban yang mencakup pertanyaan-pertanyaan ini. Waktu memungkinkan, saya akan mengirimkan jawaban saya sendiri juga.


115
2017-10-06 23:17




mungkin pertanyaan lain: Apa perbedaan antara VLAN statis dan dinamis? Apa cara mengelola mereka? Dan satu tambahan: Apa standar yang mengatur antar-operasi VLAN antara vendor? - Hubert Kario
Seperti ngengat ke api, saya telah tiba dan menambahkan 4.000 kata-kata saya ... (Saya kira saya dapat hidup dengan wiki komunitas ... Saya kira saya benar-benar tidak membutuhkan perwakilan ...> senyuman <) - Evan Anderson
@Evan: Aku agak berharap kamu akan muncul. Namun saya harus akui, saya bisa melakukan dengan lebih banyak rep sebelum membalik ini ke CW. :) - Murali Suriar


Jawaban:


Virtual LAN (VLAN) adalah abstraksi untuk memungkinkan jaringan fisik tunggal untuk meniru fungsionalitas dari beberapa jaringan fisik paralel. Ini berguna karena mungkin ada situasi di mana Anda memerlukan fungsi dari beberapa jaringan fisik paralel tetapi Anda lebih suka tidak menghabiskan uang untuk membeli perangkat keras paralel. Saya akan berbicara tentang Ethernet VLAN dalam jawaban ini (meskipun teknologi jaringan lain dapat mendukung VLAN) dan saya tidak akan menyelam jauh ke setiap nuansa.

Contoh yang Dibikin dan Masalah

Sebagai skenario contoh murni, bayangkan Anda memiliki gedung kantor yang Anda sewa ke penyewa. Sebagai manfaat dari sewa, setiap penyewa akan mendapatkan jack Ethernet langsung di setiap ruangan kantor. Anda membeli switch Ethernet untuk setiap lantai, menyambungkannya ke jack di setiap kantor di lantai itu, dan menyambungkan semua switch bersama.

Awalnya, Anda menyewakan ruang untuk dua penyewa berbeda - satu di lantai 1 dan satu di 2. Masing-masing penyewa ini mengkonfigurasi komputer mereka dengan alamat IPv4 statis. Kedua penyewa menggunakan subnet TCP / IP yang berbeda dan semuanya tampak berfungsi dengan baik.

Kemudian, penyewa baru menyewakan setengah lantai 3 dan menampilkan salah satu server DHCP yang baru ini. Waktu berlalu dan penyewa lantai 1 memutuskan untuk melompat pada kereta musik DHCP juga. Ini adalah titik ketika hal-hal mulai serba salah. Lantai 3 penyewa melaporkan bahwa beberapa komputer mereka mendapatkan alamat IP "lucu" dari mesin yang bukan server DHCP mereka. Segera, penyewa lantai 1 melaporkan hal yang sama.

DHCP adalah protokol yang mengambil keuntungan dari kemampuan broadcast dari Ethernet untuk memungkinkan komputer klien untuk mendapatkan alamat IP secara dinamis. Karena para penyewa semua berbagi jaringan Ethernet fisik yang sama mereka berbagi domain broadcast yang sama. Paket broadcast yang dikirim dari komputer mana saja dalam jaringan akan membanjiri semua port switch ke setiap komputer lain. Server DHCP di lantai 1 dan 3 akan menerima semua permintaan untuk sewa alamat IP dan akan, secara efektif, berduel untuk melihat siapa yang dapat menjawab lebih dulu. Ini jelas bukan perilaku yang Anda inginkan untuk dinikmati oleh penyewa Anda. Ini adalah perilaku, meskipun, dari "datar" jaringan Ethernet tanpa VLAN.

Lebih buruk lagi, penyewa di lantai 2 memperoleh perangkat lunak "Wireshark" ini dan melaporkan bahwa, dari waktu ke waktu, mereka melihat lalu lintas yang keluar dari saklar mereka yang merujuk komputer dan alamat IP yang belum pernah mereka dengar. Salah satu karyawan mereka bahkan telah mengetahui bahwa ia dapat berkomunikasi dengan komputer lain ini dengan mengubah alamat IP yang ditetapkan untuk PC-nya dari 192.168.1.38 ke 192.168.0.38! Agaknya, dia hanya beberapa langkah pendek dari melakukan "layanan administrasi sistem pro-bono yang tidak sah" untuk salah satu penyewa lainnya. Tidak baik.

Solusi Potensial

Anda butuh solusi! Anda hanya bisa menarik colokan antara lantai dan itu akan memutus semua komunikasi yang tidak diinginkan! Ya! Itu tiketnya ...

Itu mungkin berhasil, kecuali bahwa Anda memiliki penyewa baru yang akan menyewa separuh ruang bawah tanah dan setengah lantai yang tidak diduduki 3. Jika tidak ada hubungan antara saklar 3 lantai dan saklar ruang bawah tanah penyewa baru tidak akan bisa mendapatkan komunikasi antara komputer mereka yang akan tersebar di sekitar kedua lantai mereka. Menarik colokan bukan jawabannya. Lebih buruk lagi, penyewa baru itu belum lain salah satu dari server DHCP ini!

Anda bermain-main dengan ide untuk membeli set Ethernet switch yang terpisah secara fisik untuk setiap penyewa, tetapi melihat bagaimana bangunan Anda memiliki 30 lantai, yang mana pun dapat dibagi menjadi 4 cara, potensi sarang tikus dari kabel lantai ke lantai antara sejumlah besar switch Ethernet paralel bisa menjadi mimpi buruk, belum lagi mahal. Jika saja ada cara untuk membuat jaringan Ethernet fisik tunggal bertindak seperti itu adalah beberapa jaringan Ethernet fisik, masing-masing dengan domain siaran sendiri.

VLAN ke Rescue

VLAN adalah jawaban atas masalah yang berantakan ini. VLAN memungkinkan Anda membagi lagi switch Ethernet ke dalam switch Ethernet virtual yang berbeda secara logis. Hal ini memungkinkan switch Ethernet tunggal untuk bertindak seolah-olah itu beberapa switch Ethernet fisik. Dalam kasus lantai terbagi Anda 3, misalnya, Anda dapat mengkonfigurasi port port 48 Anda sedemikian rupa sehingga lebih rendah 24 port dalam VLAN yang diberikan (yang akan kita sebut VLAN 12) dan lebih tinggi 24 port berada dalam VLAN yang diberikan ( yang akan kita sebut VLAN 13). Ketika Anda membuat VLAN pada switch Anda, Anda harus menetapkan beberapa jenis nama atau nomor VLAN. Angka-angka yang saya gunakan di sini sebagian besar sewenang-wenang, jadi jangan khawatir tentang nomor tertentu yang saya pilih.

Setelah Anda membagi saklar 3 lantai ke dalam VLAN 12 dan 13 Anda menemukan bahwa penyewa lantai 3 yang baru dapat menyambungkan server DHCP mereka ke salah satu port yang ditetapkan ke VLAN 13 dan PC yang ditancapkan ke port yang ditugaskan ke VLAN 12 tidak t dapatkan alamat IP dari server DHCP baru. Luar biasa! Masalah dipecahkan!

Oh, tunggu ... bagaimana kita mendapatkan data VLAN 13 ke ruang bawah tanah?

Komunikasi VLAN Antar Switch

Half-floor 3 dan half-basement tenant Anda ingin menghubungkan komputer di ruang bawah tanah ke server mereka di lantai 3. Anda dapat menjalankan kabel langsung dari salah satu port yang ditugaskan ke VLAN mereka di saklar 3 lantai ke ruang bawah tanah dan kehidupan akan baik, kan?

Pada hari-hari awal VLAN (pra-802.1Q standar) Anda mungkin melakukan hal itu. Seluruh switch basement akan, secara efektif, bagian dari VLAN 13 (VLAN yang Anda pilih untuk diberikan kepada penyewa baru di lantai 3 dan basement) karena switch basement itu akan "diberi makan" oleh port di lantai 3 yang ditugaskan. ke VLAN 13.

Solusi ini akan berfungsi sampai Anda menyewa separuh ruang bawah tanah lainnya ke penyewa lantai 1 yang juga ingin berkomunikasi antara lantai 1 dan komputer bawah tanah mereka. Anda dapat membagi saklar basement menggunakan VLAN (ke, katakanlah, VLAN 2 dan 13) dan menjalankan kabel dari lantai 1 ke port yang ditugaskan ke VLAN 2 di ruang bawah tanah, tetapi Anda lebih baik menilai memberitahu Anda bahwa ini bisa dengan cepat menjadi sarang tikus kabel (dan hanya akan menjadi lebih buruk). Memisahkan switch menggunakan VLAN bagus, tetapi harus menjalankan beberapa kabel dari switch lain ke port yang merupakan anggota VLAN yang berbeda tampaknya berantakan. Tidak diragukan lagi, jika Anda harus membagi saklar basement 4 cara antara penyewa yang juga memiliki ruang di lantai yang lebih tinggi Anda akan menggunakan 4 port pada saklar basement hanya untuk mengakhiri "feeder" kabel dari VLAN atas.

Sekarang harus jelas bahwa beberapa jenis metode umum memindahkan lalu lintas dari beberapa VLAN antara switch pada kabel tunggal diperlukan. Hanya menambahkan lebih banyak kabel antara switch untuk mendukung koneksi antara VLAN yang berbeda bukanlah strategi yang skalabel. Akhirnya, dengan VLAN yang cukup, Anda akan memakan semua port pada switch Anda dengan koneksi inter-VLAN / inter-switch ini. Apa yang dibutuhkan adalah cara untuk membawa paket-paket dari beberapa VLAN sepanjang satu koneksi - koneksi "trunk" antara switch.

Sampai titik ini, semua port switch yang sudah kita bicarakan disebut port "akses". Yaitu, port ini didedikasikan untuk mengakses VLAN tunggal. Perangkat yang dicolokkan ke port ini tidak memiliki konfigurasi khusus sendiri. Perangkat ini tidak "tahu" bahwa ada VLAN. Bingkai perangkat klien mengirim dikirim ke switch yang kemudian memastikan bahwa frame hanya dikirim ke port yang ditetapkan sebagai anggota VLAN yang ditugaskan ke port di mana frame memasuki switch. Jika frame memasuki switch pada port yang ditetapkan sebagai anggota VLAN 12 maka switch hanya akan mengirim frame yang keluar port yang merupakan anggota VLAN 12. Switch "tahu" nomor VLAN yang ditugaskan ke port dari mana ia menerima bingkai dan entah bagaimana hanya memberikan frame ini keluar port dari VLAN yang sama.

Jika ada beberapa cara untuk beralih untuk berbagi nomor VLAN yang terkait dengan frame yang diberikan ke switch lain, maka switch yang lain dapat menangani frame tersebut dengan benar hanya ke port tujuan yang sesuai. Inilah yang dilakukan protokol penandaan VLAN 802.1Q. (Perlu dicatat bahwa, sebelum 802.1Q, beberapa vendor membuat standar mereka sendiri untuk penandaan VLAN dan trunking inter-switch. Untuk sebagian besar, metode pra-standar ini telah digantikan oleh 802.1Q.)

Ketika Anda memiliki dua switch VLAN-sadar terhubung satu sama lain dan Anda ingin mereka beralih untuk memberikan frame antara satu sama lain ke VLAN yang tepat Anda menghubungkan switch tersebut menggunakan "trunk" port. Ini melibatkan perubahan konfigurasi port pada setiap switch dari mode "akses" ke mode "trunk" (dalam konfigurasi yang sangat dasar).

Ketika sebuah port dikonfigurasikan dalam mode trunk setiap frame yang dikirim oleh switch maka port tersebut akan memiliki "VLAN tag" yang termasuk dalam frame. "VLAN tag" ini bukan bagian dari bingkai asli yang dikirimkan klien. Sebaliknya, tag ini ditambahkan oleh saklar pengiriman sebelum mengirim frame keluar dari port trunk. Tag ini menunjukkan nomor VLAN yang terkait dengan port tempat asal frame.

Tombol penerima dapat melihat pada tag untuk menentukan VLAN mana frame berasal dan, berdasarkan informasi itu, meneruskan frame hanya keluar port yang ditugaskan ke VLAN yang asli. Karena perangkat yang terhubung ke "akses" port tidak menyadari bahwa VLAN sedang digunakan "tag" informasi harus dilucuti dari frame sebelum itu dikirim port yang dikonfigurasi dalam mode akses. Pengupasan informasi tag ini menyebabkan seluruh proses trunking VLAN disembunyikan dari perangkat klien karena frame yang mereka terima tidak akan menanggung informasi tag VLAN.

Sebelum Anda mengkonfigurasi VLAN dalam kehidupan nyata, saya akan merekomendasikan konfigurasi port untuk mode trunk pada saklar uji dan memantau lalu lintas yang dikirim keluar port menggunakan sniffer (seperti Wireshark). Anda dapat membuat beberapa lalu lintas sampel dari komputer lain, dicolokkan ke port akses, dan melihat bahwa frame yang meninggalkan port trunk akan, sebenarnya, lebih besar dari frame yang dikirim oleh komputer uji Anda. Anda akan melihat informasi tag VLAN dalam bingkai di Wireshark. Saya menemukan bahwa sangat berharga untuk melihat apa yang terjadi pada sniffer. Membaca tentang standar penandaan 802.1Q juga merupakan hal yang layak dilakukan pada titik ini (terutama karena saya tidak berbicara tentang hal-hal seperti "VLAN asli" atau penandaan ganda).

VLAN Configuration Nightmares and the Solution

Ketika Anda menyewa lebih banyak ruang di gedung Anda, jumlah VLAN bertambah. Setiap kali Anda menambahkan VLAN baru Anda menemukan bahwa Anda harus logon ke semakin banyak switch Ethernet dan menambahkan VLAN ke daftar. Bukankah lebih bagus lagi jika ada beberapa metode yang Anda dapat menambahkan VLAN ke manifes konfigurasi tunggal dan memilikinya secara otomatis mengisi konfigurasi VLAN setiap switch?

Protokol seperti "VLAN Trunking Protocol" (VTP) milik Cisco atau "Multiple VLAN Registration Protocol" berbasis standar (MVRP-- yang sebelumnya dieja GVRP) memenuhi fungsi ini. Dalam jaringan yang menggunakan protokol ini, entri VLAN tunggal atau entri penghapusan menghasilkan pesan protokol yang dikirim ke semua switch dalam jaringan. Pesan protokol tersebut mengkomunikasikan perubahan dalam konfigurasi VLAN ke seluruh switch yang, pada gilirannya, mengubah konfigurasi VLAN mereka. VTP dan MVRP tidak peduli dengan port tertentu yang dikonfigurasikan sebagai port akses untuk VLAN tertentu, tetapi lebih berguna dalam mengkomunikasikan pembuatan atau penghapusan VLAN ke semua switch.

Ketika Anda sudah merasa nyaman dengan VLAN, Anda mungkin ingin kembali dan membaca tentang "pemangkasan VLAN", yang terkait dengan protokol seperti VTP dan MVRP. Untuk saat ini, tidak ada yang perlu dikhawatirkan. (Itu Artikel VTP di Wikipedia memiliki diagram yang bagus yang menjelaskan pemangkasan VLAN dan manfaatnya.)

Kapan Anda Menggunakan VLAN Dalam Kehidupan Nyata?

Sebelum kita melangkah lebih jauh, penting untuk memikirkan tentang kehidupan nyata daripada contoh-contoh yang dibuat-buat. Sebagai pengganti menduplikasi teks jawaban lain di sini saya akan merujuk Anda Jawaban saya re: kapan untuk membuat VLAN. Ini belum tentu "tingkat pemula", tapi ada baiknya untuk melihat sekarang karena saya akan membuat referensi sebentar sebelum kembali ke contoh yang dibuat-buat.

Untuk kerumunan "tl; dr" (yang tentunya telah berhenti membaca pada titik ini, bagaimanapun), inti dari tautan di atas adalah: Buat VLAN untuk membuat domain siaran lebih kecil atau ketika Anda ingin memisahkan lalu lintas untuk beberapa alasan tertentu (keamanan , kebijakan, dll.) Sebenarnya tidak ada alasan bagus untuk menggunakan VLAN.

Dalam contoh kami, kami menggunakan VLAN untuk membatasi broadcast domain (untuk menjaga protokol seperti DHCP bekerja dengan benar) dan, kedua, karena kami ingin isolasi antara berbagai jaringan penyewa.

Aside re: IP Subnet dan VLAN

Secara umum biasanya ada hubungan satu-ke-satu antara VLAN dan subnet IP sebagai masalah kenyamanan, untuk memfasilitasi isolasi, dan karena cara kerja protokol ARP.

Seperti yang kita lihat di awal jawaban ini, dua subnet IP yang berbeda dapat digunakan pada Ethernet fisik yang sama tanpa masalah. Jika Anda menggunakan VLAN untuk mengecilkan domain broadcast, Anda tidak akan ingin berbagi VLAN yang sama dengan dua subnet IP yang berbeda karena Anda akan menggabungkan ARP dan trafik broadcast lainnya.

Jika Anda menggunakan VLAN untuk memisahkan lalu lintas demi keamanan atau alasan kebijakan, maka Anda mungkin juga tidak ingin menggabungkan beberapa subnet dalam VLAN yang sama karena Anda akan mengalahkan tujuan isolasi.

IP menggunakan protokol berbasis siaran, Address Resolution Protocol (ARP), untuk memetakan alamat IP ke alamat fisik (Ethernet MAC). Karena ARP disiarkan berdasarkan, menetapkan bagian yang berbeda dari subnet IP yang sama ke VLAN yang berbeda akan menjadi masalah karena host dalam satu VLAN tidak akan dapat menerima balasan ARP dari host di VLAN lainnya, karena siaran tidak diteruskan antara VLAN. Anda bisa menyelesaikan "masalah" ini dengan menggunakan proxy-ARP tetapi, akhirnya, kecuali Anda memiliki alasan yang sangat bagus untuk membagi subnet IP di beberapa VLAN, lebih baik tidak melakukannya.

Satu Terakhir Selain: VLAN dan Keamanan

Akhirnya, perlu dicatat bahwa VLAN bukanlah perangkat keamanan yang hebat. Banyak switch Ethernet memiliki bug yang memungkinkan frame yang berasal dari satu VLAN untuk dikirim keluar port ditugaskan ke VLAN lain. Produsen switch Ethernet telah bekerja keras untuk memperbaiki bug ini, tetapi diragukan bahwa akan ada implementasi bebas bug sepenuhnya.

Dalam kasus contoh yang kita buat, karyawan lantai 2 yang saat-saat jauh dari menyediakan "jasa" administrasi sistem gratis ke penyewa lain mungkin dihentikan dari melakukannya dengan mengisolasi lalu lintasnya ke VLAN. Dia mungkin juga mencari cara untuk mengeksploitasi bug di firmware switch, meskipun, untuk memungkinkan lalu lintasnya untuk "bocor" keluar ke VLAN penyewa lain juga.

Penyedia Metro Ethernet mengandalkan, semakin, pada fungsi penandaan VLAN dan isolasi yang menyediakan switch. Tidak adil untuk mengatakan itu ada tidak keamanan yang ditawarkan dengan menggunakan VLAN. Adalah adil untuk mengatakan, bahwa dalam situasi dengan koneksi Internet yang tidak dipercaya atau jaringan DMZ, mungkin lebih baik menggunakan switch yang terpisah secara fisik untuk membawa lalu lintas "sensitif" ini daripada VLAN pada switch yang juga membawa lalu lintas "di belakang firewall" Anda yang tepercaya.

Membawa Layer 3 ke dalam Picture

Sejauh ini semua jawaban yang dibicarakan berhubungan dengan layer 2-- frame Ethernet. Apa yang terjadi jika kita mulai membawa layer 3 ke dalam ini?

Mari kita kembali ke contoh bangunan yang dibuat-buat. Anda telah merangkul VLAN memilih untuk mengkonfigurasi setiap port penyewa sebagai anggota VLAN yang terpisah. Anda telah mengkonfigurasi port trunk sehingga setiap switch lantai dapat bertukar frame ditandai dengan nomor VLAN yang berasal ke switch di lantai atas dan bawah. Satu penyewa dapat memiliki komputer yang tersebar di beberapa lantai tetapi, karena keterampilan konfigurasi VLAN Anda yang mahir, komputer yang didistribusikan secara fisik ini dapat tampak sebagai bagian dari LAN fisik yang sama.

Anda begitu penuh dengan pencapaian TI Anda sehingga Anda memutuskan untuk mulai menawarkan konektivitas Internet kepada penyewa Anda. Anda membeli pipa Internet yang tebal dan router. Anda mengapungkan ide itu ke semua penyewa Anda dan dua dari mereka langsung membeli. Untungnya bagi Anda router Anda memiliki tiga port Ethernet. Anda menghubungkan satu port ke pipa Internet gemuk Anda, port lain ke port switch yang ditetapkan untuk akses ke VLAN penyewa pertama, dan yang lainnya ke port yang ditetapkan untuk akses ke VLAN penyewa kedua. Anda mengkonfigurasi port router Anda dengan alamat IP di setiap jaringan penyewa dan penyewa mulai mengakses Internet melalui layanan Anda! Penghasilan meningkat dan Anda senang.

Namun, segera, penyewa lain memutuskan untuk masuk ke penawaran Internet Anda. Anda kehabisan port di router Anda. Melakukan apa?

Untungnya Anda membeli router yang mendukung konfigurasi "sub-antarmuka virtual" pada port Ethernet-nya. Singkatnya, fungsi ini memungkinkan router untuk menerima dan menafsirkan frame yang ditandai dengan nomor VLAN asli, dan memiliki antarmuka virtual (yaitu, non-fisik) yang dikonfigurasi dengan alamat IP yang sesuai untuk setiap VLAN yang akan berkomunikasi dengannya. Akibatnya ini memungkinkan Anda untuk "multipleks" satu port Ethernet pada router sehingga tampak berfungsi sebagai beberapa port Ethernet fisik.

Anda melampirkan router Anda ke port trunk pada salah satu switch Anda dan mengkonfigurasi sub-interface virtual yang sesuai dengan skema pengalamatan IP penyewa masing-masing. Setiap sub-antarmuka virtual dikonfigurasikan dengan nomor VLAN yang ditetapkan untuk setiap Pelanggan. Ketika frame meninggalkan port trunk pada switch, menuju router, ia akan membawa tag dengan nomor VLAN yang asli (karena itu adalah port trunk). Router akan menafsirkan tag ini dan memperlakukan paket seolah-olah ia tiba pada antarmuka fisik khusus yang sesuai dengan VLAN tersebut. Demikian pula, ketika router mengirim frame ke switch sebagai tanggapan atas permintaan, ia akan menambahkan tag VLAN ke frame sedemikian rupa sehingga switch tahu ke mana VLAN frame tanggapan harus dikirimkan. Akibatnya, Anda telah mengkonfigurasi router untuk "muncul" sebagai perangkat fisik di beberapa VLAN sementara hanya menggunakan koneksi fisik tunggal antara switch dan router.

Router pada Stick dan Layer 3 Switch

Dengan menggunakan sub-antarmuka virtual, Anda dapat menjual konektivitas Internet ke semua penyewa tanpa harus membeli router yang memiliki 25+ antarmuka Ethernet. Anda cukup senang dengan pencapaian TI Anda sehingga Anda merespons secara positif ketika dua penyewa Anda datang kepada Anda dengan permintaan baru.

Para penyewa ini telah memilih untuk "bermitra" dalam sebuah proyek dan mereka ingin mengizinkan akses dari komputer klien di salah satu kantor penyewa (satu diberikan VLAN) ke komputer server di kantor penyewa lain (VLAN lain). Karena mereka berdua adalah Pelanggan layanan Internet Anda, itu adalah perubahan ACL yang cukup sederhana di router Internet inti Anda (di mana terdapat sub-antarmuka virtual yang dikonfigurasi untuk masing-masing VLAN penyewa ini) untuk memungkinkan lalu lintas mengalir di antara VLAN mereka sebagai baik ke Internet dari VLAN mereka. Anda membuat perubahan dan mengirim penyewa dalam perjalanan mereka.

Keesokan harinya Anda menerima keluhan dari kedua penyewa bahwa akses antara komputer klien di satu kantor ke server di kantor kedua sangat lambat. Server dan komputer klien keduanya memiliki koneksi Ethernet gigabit ke switch Anda tetapi file hanya mentransfer sekitar 45Mbps yang, secara kebetulan, kira-kira setengah dari kecepatan di mana router inti Anda terhubung ke switch-nya. Jelas lalu lintas yang mengalir dari sumber VLAN ke router dan keluar dari router ke VLAN tujuan sedang terhambat oleh koneksi router ke switch.

Apa yang telah Anda lakukan dengan router inti Anda, memungkinkannya untuk merutekan lalu lintas antara VLAN, umumnya dikenal sebagai "router pada tongkat" (eufemisme konyol yang bisa dibilang konyol). Strategi ini dapat bekerja dengan baik, tetapi lalu lintas hanya dapat mengalir di antara VLAN hingga kapasitas koneksi router ke switch. Jika, entah bagaimana, router bisa digabungkan dengan "nyali" dari switch Ethernet itu sendiri, itu bisa mengarahkan lalu lintas lebih cepat (karena switch Ethernet itu sendiri, per lembar spesifikasi pabrikan, mampu mengalihkan 2Gbps lalu lintas).

"Layer 3 switch" adalah switch Ethernet yang, secara logis berbicara, berisi router yang tertanam di dalamnya. Saya merasa sangat membantu untuk memikirkan switch layer 3 karena memiliki router kecil dan cepat yang bersembunyi di dalam switch. Lebih lanjut, saya akan menyarankan Anda untuk berpikir tentang fungsionalitas routing sebagai fungsi yang jelas terpisah dari fungsi switching Ethernet yang menyediakan switch layer 3. Sebuah switch layer 3 adalah, untuk semua maksud dan tujuan, dua perangkat berbeda yang terbungkus dalam satu chassis.

Router tertanam dalam switch layer 3 terhubung ke switch fabric internal switching pada kecepatan yang, biasanya, memungkinkan untuk routing paket antara VLAN pada atau dekat kecepatan-kawat. Secara analog ke sub-antarmuka virtual yang Anda konfigurasikan pada "router pada tongkat", router tertanam ini di dalam switch layer 3 dapat dikonfigurasi dengan antarmuka virtual yang "muncul" menjadi "akses" koneksi ke setiap VLAN. Daripada disebut virtual sub-interface, koneksi logis dari VLAN ke router tertanam di dalam switch layer 3 disebut Switch Virtual Interfaces (SVIs). Akibatnya, router tertanam di dalam switch layer 3 memiliki sejumlah "port virtual" yang dapat "terpasang" ke salah satu VLAN pada switch.

Router tertanam melakukan cara yang sama seperti router fisik, kecuali router biasanya tidak memiliki semua protokol routing yang sama atau fitur access-control list (ACL) sebagai router fisik (kecuali Anda telah membeli lapisan yang benar-benar bagus 3 beralih). Router tertanam memiliki keuntungan, bagaimanapun, menjadi sangat cepat dan tidak memiliki bottleneck yang terkait dengan port switch fisik yang ditancapkan ke dalamnya.

Dalam kasus contoh kami di sini dengan penyewa "bermitra" Anda dapat memilih untuk mendapatkan switch layer 3, hubungkan ke port trunk sehingga lalu lintas dari kedua Pelanggan VLAN mencapai itu, kemudian konfigurasikan SVI dengan alamat IP dan keanggotaan VLAN sedemikian rupa sehingga "muncul" di kedua VLAN Pelanggan. Setelah Anda selesai melakukannya, itu hanya masalah tweaker tabel routing pada router inti Anda dan router tertanam di layer 3 switch sehingga arus yang mengalir di antara VLAN penyewa diarahkan oleh router tertanam di dalam switch layer 3 versus "router pada tongkat".

Menggunakan switch layer 3 tidak berarti bahwa tidak akan ada bottleneck yang terkait dengan bandwidth port trunk yang menghubungkan switch Anda. Ini merupakan perhatian orthogonal bagi mereka yang alamat VLAN. VLAN tidak ada hubungannya dengan masalah bandwidth. Biasanya masalah bandwidth diselesaikan dengan mendapatkan koneksi inter-switch berkecepatan tinggi atau menggunakan protokol agregasi tautan untuk "mengikat" beberapa koneksi berkecepatan rendah bersama-sama ke dalam koneksi berkecepatan tinggi virtual. Kecuali semua perangkat yang membuat frame untuk diteruskan oleh router tertanam di dalam 3 switch kemudian, sendiri, dicolokkan ke port secara langsung pada switch layer 3, Anda masih perlu khawatir tentang bandwidth dari trunk di antara switch. Sebuah saklar layer 3 bukanlah obat mujarab, tapi itu biasanya lebih cepat daripada "router pada tongkat".

VLAN Dinamis

Terakhir, ada fungsi di beberapa switch untuk menyediakan keanggotaan VLAN yang dinamis. Daripada menetapkan port yang diberikan untuk menjadi port akses untuk VLAN yang diberikan, konfigurasi port (akses atau trunk, dan untuk VLAN mana) dapat diubah secara dinamis ketika perangkat terhubung. VLAN dinamis adalah topik yang lebih maju tetapi mengetahui bahwa fungsi yang ada dapat membantu.

Fungsinya bervariasi antara vendor tetapi biasanya Anda dapat mengonfigurasi keanggotaan VLAN dinamis berdasarkan alamat MAC perangkat yang terhubung, status otentikasi 802.1X perangkat, protokol kepemilikan dan berbasis standar (CDP dan LLDP, misalnya, untuk memungkinkan telepon IP ke "temukan" nomor VLAN untuk lalu lintas suara), subnet IP yang ditetapkan ke perangkat klien, atau jenis protokol Ethernet.


204
2017-10-07 04:37



Pergi untuk emas lagi, ya? :) - squillman
+1 Anda jelas berusaha keras untuk itu, terima kasih! - Tim Long
+1: Wow! Jawaban yang bagus. - Arun Saha
cinta ini: "layanan administrasi sistem pro-bono yang tidak sah";) - problemPotato
@guntbert - Saya senang itu membantu Anda. - Evan Anderson


VLAN adalah "Virtual Local Area Network". Berikut ini adalah pemahaman saya - latar belakang saya terutama Sistem Rekayasa & Administrasi dengan sisi pemrograman OO & banyak scripting.

VLAN dimaksudkan untuk membuat jaringan terisolasi di beberapa perangkat keras. LAN tradisional di masa lalu mungkin hanya ada di mana Anda memiliki perangkat perangkat keras tunggal yang didedikasikan untuk jaringan tertentu. Semua server / perangkat yang terhubung ke perangkat jaringan (Switch atau Hub tergantung pada kerangka waktu historis) biasanya diizinkan untuk berkomunikasi secara bebas di antara LAN.

VLAN berbeda sehingga Anda dapat menghubungkan beberapa perangkat jaringan dan membuat jaringan terisolasi dengan mengelompokkan server bersama dalam VLAN, sehingga menghilangkan kebutuhan untuk memiliki perangkat jaringan "khusus" untuk LAN tunggal. Jumlah VLAN yang dapat dikonfigurasi dan server / perangkat yang didukung akan bervariasi di antara produsen perangkat jaringan.

Sekali lagi tergantung pada vendor, saya tidak berpikir bahwa semua server harus berada di subnet yang sama agar menjadi bagian dari VLAN yang sama. Dengan konfigurasi jaringan lama, saya yakin mereka melakukannya (koreksi penyisipan insinyur jaringan di sini).

Apa yang membuat VLAN berbeda dari VPN adalah huruf "P" untuk "Pribadi". Biasanya lalu lintas VLAN tidak dienkripsi.

Semoga itu membantu!


8
2017-10-07 02:46



Jawaban singkat gateway yang sangat dibutuhkan untuk memahami VLAN. Semakin banyak orang yang mendapat banyak suara masuk ke banyak detail, dan dengan demikian, mungkin baik untuk anak cucu, tetapi tidak banyak berguna jika Anda ingin mendapatkan pengetahuan / pemahaman singkat tentang masalah ini. Sekarang setelah saya tahu apa yang saya lakukan dari jawaban ini, saya selalu dapat kembali untuk mempelajari lebih lanjut. - Harsh Kanchina