Что такое VLAN? Какие проблемы они решают?
Я помогаю другу изучить основы работы в сети, поскольку он только что стал единственным системным администратором в небольшой компании. Я указывал ему на различные вопросы / ответы по Serverfault, относящиеся к различным сетевым темам, и заметил пробел - похоже, нет ответа, который объясняет из первых принципов, что такое VLAN. В духе Как работает подсети, Я подумал, что здесь будет полезно задать вопрос с каноническим ответом.
Некоторые возможные темы для ответа:
РЕДАКТИРОВАТЬ: чтобы было ясно, я уже знаю, как работают VLAN - я просто думаю, что Serverfault должен иметь ответ, который охватывает эти вопросы. Если позволит время, я также дам свой ответ.
Виртуальные локальные сети (VLAN) - это абстракция, позволяющая одной физической сети имитировать функциональность нескольких параллельных физических сетей. Это удобно, потому что могут возникнуть ситуации, когда вам понадобится функциональность нескольких параллельных физических сетей, но вы не захотите тратить деньги на покупку параллельного оборудования. В этом ответе я буду говорить о виртуальных локальных сетях Ethernet (хотя другие сетевые технологии могут поддерживать виртуальные локальные сети) и не буду углубляться в каждый нюанс.
В качестве чисто надуманного примера сценария представьте, что у вас есть офисное здание, которое вы сдаете в аренду арендаторам. В качестве преимущества аренды каждый арендатор получит действующие разъемы Ethernet в каждой комнате офиса. Вы покупаете коммутатор Ethernet для каждого этажа, подключаете их к розеткам в каждом офисе на этом этаже и соединяете все коммутаторы вместе.
Первоначально вы сдаете пространство в аренду двум разным арендаторам - одному на этаже 1 и одному на 2. Каждый из этих арендаторов настраивает свои компьютеры со статическими IPv4-адресами. Оба клиента используют разные подсети TCP / IP, и, похоже, все работает нормально.
Позже новый арендатор арендует половину этажа 3 и устанавливает один из этих новомодных DHCP-серверов. Проходит время, и арендатор 1-го этажа решает тоже присоединиться к DHCP. Это момент, когда все начинает идти наперекосяк. Арендаторы этажа 3 сообщают, что некоторые из их компьютеров получают «забавные» IP-адреса с машины, которая не является их DHCP-сервером. Вскоре то же самое сообщают и жильцы 1 этажа.
DHCP - это протокол, который использует широковещательные возможности Ethernet, чтобы клиентские компьютеры могли динамически получать IP-адреса. Поскольку все клиенты используют одну и ту же физическую сеть Ethernet, они используют один и тот же широковещательный домен. Широковещательный пакет, отправляемый с любого компьютера в сети, пересылает все порты коммутатора на все остальные компьютеры. DHCP-серверы на 1 и 3 этажах будут получать все запросы на аренду IP-адресов и фактически будут сражаться, чтобы узнать, кто ответит первым. Совершенно очевидно, что это не то поведение, которое, по вашему мнению, должны испытывать ваши арендаторы. Тем не менее, это поведение «плоской» сети Ethernet без каких-либо VLAN.
Что еще хуже, арендатор на втором этаже приобретает это программное обеспечение «Wireshark» и сообщает, что время от времени они видят исходящий от их коммутатора трафик, ссылающийся на компьютеры и IP-адреса, о которых они никогда не слышали. Один из их сотрудников даже догадался, что он может общаться с этими другими компьютерами, изменив IP-адрес, назначенный его ПК, с 192.168.1.38 на 192.168.0.38! Предположительно, он всего в нескольких шагах от оказания «несанкционированных бесплатных услуг системного администрирования» для одного из других арендаторов. Не хорошо.
Вам нужно решение! Вы можете просто выдернуть вилки между этажами, и это отключит все нежелательное общение! Да! Это билет ...
Это может сработать, Кроме что у вас есть новый арендатор, который будет арендовать половину подвала и незанятую половину этажа 3. Если нет связи между коммутатором 3 этажа и коммутатором подвала, новый арендатор не сможет получить связь между их компьютеры, которые будут размещены на обоих этажах. Выдергивать вилки - не выход. Что еще хуже, новый арендатор еще другой один из этих DHCP-серверов!
Вы заигрываете с идеей покупки физически отдельных наборов коммутаторов Ethernet для каждого арендатора, но, учитывая, что в вашем здании 30 этажей, каждый из которых может быть разделен на 4 части, потенциальные крысы могут скопить кабели между этажами. огромное количество параллельных коммутаторов Ethernet может стать кошмаром, не говоря уже о дорогостоящих. Если бы только был способ заставить одну физическую сеть Ethernet работать так, как если бы она была несколькими физическими сетями Ethernet, каждая со своим собственным широковещательным доменом.
VLAN - это ответ на эту неприятную проблему. Сети VLAN позволяют разделить коммутатор Ethernet на логически разрозненные виртуальные коммутаторы Ethernet. Это позволяет одному коммутатору Ethernet работать как несколько физических коммутаторов Ethernet. В случае вашего подразделенного этажа 3, например, вы можете настроить коммутатор на 48 портов так, чтобы нижние 24 порта находились в данной VLAN (которую мы будем называть VLAN 12), а более высокие 24 порта - в данной VLAN ( которую мы назовем VLAN 13). Когда вы создаете VLAN на своем коммутаторе, вам нужно будет назначить им какой-либо тип имени или номера VLAN. Числа, которые я здесь использую, в основном произвольны, поэтому не беспокойтесь о том, какие конкретные числа я выберу.
После того, как вы разделите коммутатор 3 этажа на VLAN 12 и 13, вы обнаружите, что новый арендатор 3 этажа может подключить свой DHCP-сервер к одному из портов, назначенных VLAN 13, а ПК, подключенный к порту, назначенному VLAN 12, этого не делает. t получить IP-адрес от нового DHCP-сервера. Превосходно! Задача решена!
Ой, подождите ... как нам передать данные VLAN 13 в подвал?
Ваш арендатор на третьем этаже и полуподвальном этаже хотел бы подключить компьютеры в подвале к своим серверам на третьем этаже. Вы можете проложить кабель напрямую от одного из портов, назначенных их VLAN в коммутаторе этажа 3, в подвал и жизнь. было бы хорошо, правда?
На заре VLAN (стандарт до 802.1Q) вы могли это сделать. Фактически, весь подвальный коммутатор будет частью VLAN 13 (VLAN, которую вы выбрали для назначения новому арендатору на третьем этаже и подвале), потому что этот подвальный коммутатор будет «питаться» от порта на третьем этаже, которому назначен к VLAN 13.
Это решение будет работать до тех пор, пока вы не сдадите вторую половину подвала арендатору вашего этажа 1, который также хочет иметь связь между своими компьютерами 1-го этажа и подвалом. Вы можете разделить коммутатор в подвале, используя сети VLAN (скажем, на VLANS 2 и 13), и проложить кабель от этажа 1 до порта, назначенного VLAN 2 в подвале, но вы более разумно сумеете сказать, что это может быстро превратиться в крысиное гнездо. кабелей (и будет только хуже). Разделение коммутаторов с использованием VLAN - это хорошо, но необходимость прокладки нескольких кабелей от других коммутаторов к портам, которые являются членами разных VLAN, кажется беспорядочной. Несомненно, если бы вам пришлось разделить коммутатор в подвальном помещении на 4 направления между арендаторами, у которых также было место на верхних этажах, вы бы использовали 4 порта на коммутаторе в подвальном помещении только для того, чтобы терминировать «фидерные» кабели от VLAN наверху.
Теперь должно быть ясно, что необходим какой-то обобщенный метод перемещения трафика из нескольких VLAN между коммутаторами на одном кабеле. Простое добавление дополнительных кабелей между коммутаторами для поддержки соединений между разными VLAN не является масштабируемой стратегией. В конце концов, при наличии достаточного количества виртуальных локальных сетей вы израсходуете все порты на своих коммутаторах с помощью этих соединений между виртуальными локальными сетями и коммутаторами. Что необходимо, так это способ передачи пакетов из нескольких VLAN по одному соединению - «транковое» соединение между коммутаторами.
До этого момента все порты коммутатора, о которых мы говорили, называются портами «доступа». То есть эти порты предназначены для доступа к одной VLAN. Устройства, подключенные к этим портам, сами по себе не имеют специальной конфигурации. Эти устройства не «знают» о наличии VLAN. Кадры, отправляемые клиентскими устройствами, доставляются на коммутатор, который затем заботится о том, чтобы кадр был отправлен только на порты, назначенные как члены VLAN, назначенные для порта, на котором кадр поступил в коммутатор. Если кадр поступает в коммутатор через порт, назначенный как член VLAN 12, то коммутатор будет отправлять только те порты вывода кадра, которые являются членами VLAN 12. Коммутатор «знает» номер VLAN, назначенный порту, от которого он получает frame и каким-то образом знает, что нужно доставить этот кадр только на порты той же VLAN.
Если бы у коммутатора был какой-то способ поделиться номером VLAN, связанным с данным кадром, с другими коммутаторами, тогда другой коммутатор мог бы правильно обработать доставку этого кадра только на соответствующие порты назначения. Это то, что делает протокол тегирования VLAN 802.1Q. (Стоит отметить, что до 802.1Q некоторые поставщики разработали свои собственные стандарты для тегирования VLAN и межкоммутаторного транкинга. По большей части эти предварительные стандартные методы были вытеснены 802.1Q.)
Когда у вас есть два коммутатора с поддержкой VLAN, подключенных друг к другу, и вы хотите, чтобы эти коммутаторы доставляли кадры между собой в соответствующую VLAN, вы подключаете эти коммутаторы с помощью «магистральных» портов. Это включает в себя изменение конфигурации порта на каждом коммутаторе из режима «доступа» в режим «магистрали» (в самой базовой конфигурации).
Когда порт настроен в магистральном режиме, каждый кадр, который коммутатор отправляет этому порту, будет иметь «тег VLAN», включенный в кадр. Этот «тег VLAN» не был частью исходного кадра, отправленного клиентом. Скорее, этот тег добавляется отправляющим коммутатором перед отправкой кадра через магистральный порт. Этот тег обозначает номер VLAN, связанный с портом, из которого был создан кадр.
Получающий коммутатор может посмотреть на тег, чтобы определить, из какой VLAN был создан фрейм, и на основе этой информации перенаправить фрейм только на те порты, которые назначены исходной VLAN. Поскольку устройства, подключенные к портам «доступа», не знают об использовании VLAN, информация «тега» должна быть удалена из кадра, прежде чем он будет отправлен на порт, настроенный в режиме доступа. Такое удаление теговой информации приводит к тому, что весь процесс транкинга VLAN скрывается от клиентских устройств, поскольку полученный ими кадр не будет содержать никакой информации тега VLAN.
Прежде чем настраивать VLAN в реальной жизни, я бы порекомендовал настроить порт для режима транка на тестовом коммутаторе и отслеживать трафик, отправляемый через этот порт, с помощью сниффера (например, Wireshark). Вы можете создать образец трафика с другого компьютера, подключенного к порту доступа, и увидеть, что кадры, покидающие магистральный порт, на самом деле будут больше, чем кадры, отправляемые вашим тестовым компьютером. Вы увидите информацию тега VLAN во фреймах в Wireshark. Я считаю, что на самом деле стоит посмотреть, что происходит в сниффере. Прочитать о стандарте тегов 802.1Q тоже неплохо (тем более, что я не говорю о таких вещах, как «собственные VLAN» или двойное тегирование).
По мере того как вы арендуете все больше и больше места в своем здании, количество VLAN растет. Каждый раз, когда вы добавляете новую VLAN, вы обнаруживаете, что вам необходимо входить в систему все больше коммутаторов Ethernet и добавлять эту VLAN в список. Разве не было бы замечательно, если бы существовал какой-то метод, с помощью которого вы могли бы добавить эту VLAN в единый манифест конфигурации и заставить его автоматически заполнять конфигурацию VLAN каждого коммутатора?
Эту функцию выполняют такие протоколы, как собственный протокол Cisco VLAN Trunking Protocol (VTP) или основанный на стандартах протокол регистрации нескольких VLAN (MVRP - ранее называвшийся GVRP). В сети, использующей эти протоколы, одна запись создания или удаления VLAN приводит к отправке протокольных сообщений на все коммутаторы в сети. Это сообщение протокола сообщает об изменении конфигурации VLAN остальным коммутаторам, которые, в свою очередь, изменяют свои конфигурации VLAN. VTP и MVRP не связаны с тем, какие конкретные порты настроены как порты доступа для определенных VLAN, а скорее полезны для передачи информации о создании или удалении VLAN всем коммутаторам.
Когда вы освоитесь с виртуальными локальными сетями, вы, вероятно, захотите вернуться и прочитать о «сокращении виртуальных локальных сетей», которое связано с такими протоколами, как VTP и MVRP. Пока это не о чем сильно беспокоиться. (The Статья о VTP в Википедии есть красивая диаграмма, объясняющая сокращение VLAN и преимущества от этого.)
Прежде чем мы пойдем намного дальше, важно подумать о реальной жизни, а не о надуманных примерах. Вместо дублирования текста другого ответа здесь я отсылаю вас к мой ответ re: когда создавать VLAN. Это не обязательно «начальный уровень», но сейчас на него стоит взглянуть, поскольку я собираюсь кратко сослаться на него, прежде чем вернуться к надуманному примеру.
Для толпы "tl; dr" (которые наверняка все прекратили читать на этом этапе, в любом случае) суть этой ссылки выше: Создайте сети VLAN, чтобы уменьшить широковещательные домены или когда вы хотите разделить трафик по какой-либо конкретной причине (безопасность , политика и т. д.). На самом деле нет других веских причин для использования VLAN.
В нашем примере мы используем VLAN для ограничения широковещательных доменов (чтобы поддерживать правильную работу таких протоколов, как DHCP) и, во-вторых, потому что нам нужна изоляция между сетями различных клиентов.
Вообще говоря, между виртуальными локальными сетями и IP-подсетями обычно существует взаимно-однозначное отношение для удобства, облегчения изоляции и из-за того, как работает протокол ARP.
Как мы видели в начале этого ответа, две разные IP-подсети могут без проблем использоваться в одном физическом Ethernet. Если вы используете VLAN для сжатия широковещательных доменов, вы не захотите совместно использовать одну и ту же VLAN с двумя разными IP-подсетями, поскольку вы будете комбинировать их ARP и другой широковещательный трафик.
Если вы используете VLAN для разделения трафика по соображениям безопасности или политики, то вам, вероятно, также не захочется объединять несколько подсетей в одной VLAN, поскольку вы потеряете цель изоляции.
IP использует протокол на основе широковещательной рассылки, протокол разрешения адресов (ARP), для сопоставления IP-адресов с физическими (Ethernet MAC) адресами. Поскольку ARP основан на широковещательной передаче, присвоение разных частей одной и той же IP-подсети разным VLAN будет проблематичным, поскольку узлы в одной VLAN не смогут получать ответы ARP от узлов в другой VLAN, поскольку широковещательные рассылки не пересылаются между VLAN. Вы могли бы решить эту «проблему», используя proxy-ARP, но, в конечном счете, если у вас нет действительно веской причины разделить IP-подсеть на несколько VLAN, лучше этого не делать.
Наконец, стоит отметить, что виртуальные локальные сети не являются отличным устройством безопасности. У многих коммутаторов Ethernet есть ошибки, которые позволяют отправлять кадры, исходящие из одной VLAN, на порты, назначенные другой VLAN. Производители коммутаторов Ethernet много работали над исправлением этих ошибок, но сомнительно, что когда-либо будет полностью свободная от ошибок реализация.
В случае нашего надуманного примера сотрудник 2 этажа, который находится всего в нескольких шагах от предоставления бесплатных «услуг» системного администрирования другому арендатору, может быть остановлен в этом путем изоляции его трафика в VLAN. Он также может выяснить, как использовать ошибки в прошивке коммутатора, чтобы позволить своему трафику «просачиваться» и в VLAN другого клиента.
Провайдеры Metro Ethernet все больше полагаются на функции тегирования VLAN и изоляцию, которую обеспечивают коммутаторы. Несправедливо сказать, что есть нет безопасность, предлагаемая с помощью VLAN. Однако будет справедливо сказать, что в ситуациях с ненадежными подключениями к Интернету или сетями DMZ, вероятно, лучше использовать физически отдельные коммутаторы для переноса этого «чувствительного» трафика, а не VLAN на коммутаторах, которые также переносят ваш доверенный трафик «за брандмауэром».
Пока все, о чем говорилось в этом ответе, относится к уровню 2 - кадрам Ethernet. Что произойдет, если мы начнем вводить в это слой 3?
Вернемся к примеру надуманной постройки. Вы выбрали виртуальные локальные сети и настроили порты каждого клиента как члены отдельных виртуальных локальных сетей. Вы настроили магистральные порты таким образом, чтобы коммутатор каждого этажа мог обмениваться кадрами, помеченными исходным номером VLAN, на коммутаторы на этаже выше и ниже. У одного арендатора компьютеры могут быть распределены по нескольким этажам, но из-за ваших навыков конфигурирования VLAN эти физически распределенные компьютеры могут оказаться частью одной и той же физической LAN.
Вы настолько увлечены своими ИТ-достижениями, что решаете начать предлагать своим арендаторам подключение к Интернету. Вы покупаете толстую интернет-трубу и роутер. Вы передаете идею всем своим арендаторам, и двое из них сразу же соглашаются. К счастью, ваш маршрутизатор имеет три порта Ethernet. Вы подключаете один порт к своему толстому Интернет-каналу, другой порт к порту коммутатора, назначенному для доступа к VLAN первого клиента, а другой - к порту, назначенному для доступа к VLAN второго клиента. Вы настраиваете порты своего маршрутизатора с IP-адресами в сети каждого клиента, и клиенты начинают получать доступ к Интернету через вашу службу! Доход увеличивается, и вы счастливы.
Однако вскоре другой арендатор решит воспользоваться вашим интернет-предложением. Однако у вас нет портов на вашем маршрутизаторе. Что делать?
К счастью, вы купили маршрутизатор, который поддерживает настройку «виртуальных субинтерфейсов» на своих портах Ethernet. Короче говоря, эта функциональность позволяет маршрутизатору получать и интерпретировать кадры, помеченные исходными номерами VLAN, и иметь виртуальные (то есть нефизические) интерфейсы, настроенные с IP-адресами, соответствующими каждой VLAN, с которой он будет взаимодействовать. Фактически это позволяет вам «мультиплексировать» один порт Ethernet на маршрутизаторе, чтобы он функционировал как несколько физических портов Ethernet.
Вы подключаете свой маршрутизатор к магистральному порту на одном из коммутаторов и настраиваете виртуальные подчиненные интерфейсы, соответствующие схеме IP-адресации каждого клиента. Каждый виртуальный субинтерфейс настроен с номером VLAN, назначенным каждому Заказчику. Когда кадр покидает магистральный порт коммутатора, привязанный к маршрутизатору, он будет нести тег с исходным номером VLAN (так как это магистральный порт). Маршрутизатор интерпретирует этот тег и обрабатывает пакет так, как если бы он прибыл на выделенный физический интерфейс, соответствующий этой VLAN. Точно так же, когда маршрутизатор отправляет кадр коммутатору в ответ на запрос, он добавляет тег VLAN к кадру, чтобы коммутатор знал, в какую VLAN следует доставить кадр ответа. Фактически, вы настроили маршрутизатор так, чтобы он «отображался» как физическое устройство в нескольких VLAN, используя только одно физическое соединение между коммутатором и маршрутизатором.
Используя виртуальные подчиненные интерфейсы, вы можете продавать возможность подключения к Интернету всем своим арендаторам, не покупая маршрутизатор с 25+ интерфейсами Ethernet. Вы вполне довольны своими достижениями в области ИТ, поэтому положительно реагируете, когда двое ваших арендаторов приходят к вам с новым запросом.
Эти арендаторы выбрали «партнерство» по проекту и хотят разрешить доступ с клиентских компьютеров в офисе одного арендатора (одной данной VLAN) к серверному компьютеру в офисе другого арендатора (другая VLAN). Поскольку они оба являются клиентами вашего интернет-сервиса, достаточно просто изменить ACL в вашем основном интернет-маршрутизаторе (на котором есть виртуальный субинтерфейс, настроенный для каждой из этих виртуальных локальных сетей клиента), чтобы разрешить потоку трафика между их виртуальными локальными сетями как а также в Интернет из их VLAN. Вы вносите изменения и отправляете арендаторов в путь.
На следующий день вы получаете жалобы от обоих арендаторов, что доступ между клиентскими компьютерами в одном офисе к серверу во втором офисе очень медленный. Серверный и клиентский компьютеры имеют подключения к коммутаторам через гигабитный Ethernet, но файлы передаются только со скоростью около 45 Мбит / с, что, по совпадению, составляет примерно половину скорости, с которой ваш основной маршрутизатор подключается к своему коммутатору. Очевидно, что трафик, идущий от исходной VLAN к маршрутизатору и обратно от маршрутизатора к целевой VLAN, является узким местом из-за подключения маршрутизатора к коммутатору.
То, что вы сделали с вашим основным маршрутизатором, позволив ему маршрутизировать трафик между VLAN, обычно называют «маршрутизатором на палке» (возможно, глупо причудливый эвфемизм). Эта стратегия может хорошо работать, но трафик может течь между VLAN только в пределах возможностей соединения маршрутизатора с коммутатором. Если каким-то образом маршрутизатор может быть соединен с «внутренностями» самого коммутатора Ethernet, он сможет маршрутизировать трафик еще быстрее (поскольку сам коммутатор Ethernet, согласно спецификации производителя, способен переключать трафик на скорости 2 Гбит / с).
«Коммутатор уровня 3» - это коммутатор Ethernet, который, логически говоря, содержит скрытый внутри себя маршрутизатор. Я считаю чрезвычайно полезным думать о коммутаторе уровня 3 как о крошечном и быстром маршрутизаторе, скрытом внутри коммутатора. Кроме того, я бы посоветовал вам рассматривать функциональные возможности маршрутизации как отдельную функцию от функции коммутации Ethernet, которую обеспечивает коммутатор уровня 3. Коммутатор уровня 3 - это, по сути, два разных устройства, заключенных в одно шасси.
Встроенный маршрутизатор в коммутаторе уровня 3 подключается к внутренней коммутационной матрице коммутатора со скоростью, которая, как правило, позволяет маршрутизировать пакеты между VLAN на скорости проводной сети или близкой к ней. Аналогично виртуальным субинтерфейсам, которые вы настроили на своем «маршрутизаторе на флешке», этот встроенный маршрутизатор внутри коммутатора уровня 3 может быть настроен с виртуальными интерфейсами, которые «кажутся» подключениями «доступа» к каждой VLAN. Вместо того, чтобы называться виртуальными субинтерфейсами, эти логические соединения из VLAN во встроенный маршрутизатор внутри коммутатора уровня 3 называются виртуальными интерфейсами коммутатора (SVI). Фактически, встроенный маршрутизатор внутри коммутатора уровня 3 имеет некоторое количество «виртуальных портов», которые можно «подключить» к любой из сетей VLAN на коммутаторе.
Встроенный маршрутизатор работает так же, как физический маршрутизатор, за исключением того, что он обычно не имеет всех тех же функций протокола динамической маршрутизации или списка управления доступом (ACL), что и физический маршрутизатор (если вы не купили действительно хороший уровень 3. переключатель). Однако встроенный маршрутизатор имеет то преимущество, что он очень быстр и не имеет узких мест, связанных с физическим портом коммутатора, к которому он подключен.
В случае нашего примера здесь с «партнерскими» арендаторами вы можете выбрать коммутатор уровня 3, подключить его к магистральным портам, чтобы трафик из обеих клиентских VLAN достигал его, а затем настроить SVI с IP-адресами и членством в VLAN, чтобы он "появляется" в обеих клиентских VLAN. После того, как вы это сделаете, остается лишь настроить таблицу маршрутизации на вашем базовом маршрутизаторе и встроенном маршрутизаторе в коммутаторе уровня 3 таким образом, чтобы трафик, проходящий между виртуальными локальными сетями клиентов, маршрутизировался встроенным маршрутизатором внутри коммутатора уровня 3, а не маршрутизатором. "роутер на палке".
Использование коммутатора уровня 3 не означает, что по-прежнему не будет узких мест, связанных с пропускной способностью магистральных портов, соединяющих ваши коммутаторы. Однако это проблема ортогональна тем, к которым обращаются VLAN. VLAN не имеют ничего общего с проблемами пропускной способности. Обычно проблемы с полосой пропускания решаются либо путем получения высокоскоростных соединений между коммутаторами, либо с помощью протоколов агрегации каналов для «связывания» нескольких низкоскоростных соединений вместе в виртуальное высокоскоростное соединение. Если все устройства, создающие фреймы для маршрутизации встроенным маршрутизатором в последнем коммутаторе 3, сами не подключены к портам непосредственно на коммутаторе уровня 3, вам все равно придется беспокоиться о пропускной способности магистральных каналов между коммутаторами. Коммутатор уровня 3 - не панацея, но обычно он быстрее, чем «маршрутизатор на палке».
Наконец, в некоторых коммутаторах есть функция для обеспечения динамического членства в VLAN. Вместо того, чтобы назначать данный порт в качестве порта доступа для данной VLAN, конфигурация порта (доступ или магистраль и для каких VLAN) может быть изменена динамически при подключении устройства. Динамические VLAN - это более сложная тема, но знание того, что такая функциональность существует, может быть полезным.
Функциональность зависит от поставщика, но обычно вы можете настроить динамическое членство в VLAN на основе MAC-адреса подключенного устройства, статуса аутентификации устройства 802.1X, проприетарных и стандартных протоколов (например, CDP и LLDP, чтобы IP-телефоны могли «обнаружить» номер VLAN для голосового трафика), IP-подсеть, назначенную клиентскому устройству, или тип протокола Ethernet.
VLAN - это «виртуальные локальные сети». Я понимаю следующее: мой опыт в основном состоит в системном проектировании и администрировании, а также в объектно-ориентированном программировании и большом количестве сценариев.
Сети VLAN предназначены для создания изолированной сети между несколькими аппаратными устройствами. Традиционная локальная сеть в старые времена могла существовать только там, где у вас было одно аппаратное устройство, выделенное для конкретной сети. Всем серверам / устройствам, подключенным к этому сетевому устройству (коммутатору или концентратору, в зависимости от исторического периода времени), как правило, разрешается свободно обмениваться данными между локальной сетью.
VLAN отличается тем, что вы можете соединять несколько сетевых устройств и создавать изолированные сети, группируя серверы вместе в VLAN, тем самым устраняя необходимость в «выделенном» сетевом устройстве для одной LAN. Количество настраиваемых VLAN и поддерживаемых серверов / устройств зависит от производителей сетевых устройств.
Опять же, в зависимости от поставщика, я не считать что все серверы должны находиться в одной подсети, чтобы быть частью одной VLAN. Я считаю, что с устаревшими сетевыми конфигурациями они были (сетевой инженер вставил здесь исправление).
Что отличает VLAN от VPN, так это буква «P», означающая «частный». Обычно трафик VLAN не шифруется.
Надеюсь, это поможет!