Bagaimana cara kerja VLAN?

128

Apa itu VLAN? Masalah apa yang mereka pecahkan?

Saya membantu seorang teman belajar jaringan dasar, karena dia hanya menjadi sysadmin satu-satunya di sebuah perusahaan kecil. Saya telah mengarahkan dia pada berbagai pertanyaan / jawaban pada Serverfault yang berkaitan dengan berbagai topik jaringan, dan melihat ada celah - sepertinya tidak ada jawaban yang menjelaskan dari prinsip pertama apa itu VLAN. Dalam semangat Bagaimana Subnetting Bekerja , saya pikir akan bermanfaat untuk memiliki pertanyaan dengan jawaban kanonik di sini.

Beberapa topik potensial untuk dibahas dalam jawaban:

  • Apa itu VLAN?
  • Masalah apa yang ingin mereka selesaikan?
  • Bagaimana cara kerjanya sebelum VLAN?
  • Bagaimana hubungan VLAN dengan subnet?
  • Apa itu SVI?
  • Apa itu port trunk dan akses port?
  • Apa itu VTP?

EDIT: untuk menjadi jelas, saya sudah tahu cara kerja VLAN - Saya hanya berpikir bahwa Serverfault harus memiliki jawaban yang mencakup pertanyaan-pertanyaan ini. Waktu mengizinkan, saya akan mengirimkan jawaban saya sendiri juga.

Murali Suriar
sumber
2
mungkin pertanyaan lain: Apa perbedaan antara VLAN statis dan dinamis? Apa cara mengelolanya? Dan satu tambahan: Apa standar yang mengatur inter-operasi VLAN antara vendor?
Hubert Kario
Seperti ngengat yang menyala, saya telah tiba dan menambahkan 4.000 kata saya ... (saya kira saya dapat hidup dengan menjadi wiki komunitas ... Saya kira saya benar-benar tidak memerlukan perwakilan ...> tersenyum <)
Evan Anderson
1
@ Evan: Saya agak berharap Anda akan muncul. Saya harus mengakui, saya bisa melakukannya dengan sedikit lebih banyak rep sebelum membalikkan ini ke CW. :)
Murali Suriar

Jawaban:

224

Virtual LAN (VLAN) adalah abstraksi untuk mengizinkan satu jaringan fisik untuk meniru fungsi beberapa jaringan fisik paralel. Ini berguna karena mungkin ada situasi di mana Anda memerlukan fungsionalitas beberapa jaringan fisik paralel tetapi Anda lebih suka tidak menghabiskan uang untuk membeli perangkat keras paralel. Saya akan berbicara tentang Ethernet VLAN dalam jawaban ini (meskipun teknologi jaringan lain dapat mendukung VLAN) dan saya tidak akan menyelam jauh ke dalam setiap nuansa.

Contoh yang dibuat-buat dan Masalah

Sebagai skenario contoh yang dibuat murni, bayangkan Anda memiliki gedung kantor yang Anda sewa untuk penyewa. Sebagai manfaat dari sewa, masing-masing penyewa akan mendapatkan jack Ethernet langsung di setiap kamar kantor. Anda membeli sakelar Ethernet untuk setiap lantai, menyambungkannya ke jack di setiap kantor di lantai itu, dan menyambungkan semua sakelar bersama.

Awalnya, Anda menyewa ruang untuk dua penyewa berbeda - satu di lantai 1 dan satu di 2. Masing-masing penyewa mengkonfigurasi komputer mereka dengan alamat IPv4 statis. Kedua penyewa menggunakan subnet TCP / IP yang berbeda dan semuanya tampaknya berfungsi dengan baik.

Kemudian, penyewa baru menyewakan setengah dari lantai 3 dan memunculkan salah satu dari server DHCP baru-ketinggalan jaman ini. Waktu berlalu dan penyewa lantai 1 memutuskan untuk melompat pada kereta musik DHCP juga. Ini adalah titik ketika segalanya mulai serba salah. Penyewa lantai 3 melaporkan bahwa beberapa komputer mereka mendapatkan alamat IP "lucu" dari mesin yang bukan server DHCP mereka. Segera, penyewa lantai 1 melaporkan hal yang sama.

DHCP adalah protokol yang memanfaatkan kapabilitas siaran Ethernet untuk memungkinkan komputer klien mendapatkan alamat IP secara dinamis. Karena penyewa semua berbagi jaringan Ethernet fisik yang sama, mereka berbagi domain siaran yang sama. Paket siaran yang dikirim dari komputer mana saja dalam jaringan akan membanjiri semua port switch ke setiap komputer lainnya. Server DHCP di lantai 1 dan 3 akan menerima semua permintaan untuk sewa alamat IP dan akan, secara efektif, berduel untuk melihat siapa yang dapat menjawab pertama. Ini jelas bukan perilaku yang Anda inginkan dari penyewa. Ini adalah perilaku, dari jaringan Ethernet "flat" tanpa VLAN.

Lebih buruk lagi, penyewa di lantai 2 memperoleh perangkat lunak "Wireshark" ini dan melaporkan bahwa, dari waktu ke waktu, mereka melihat lalu lintas keluar dari sakelar mereka yang merujuk komputer dan alamat IP yang belum pernah mereka dengar. Salah satu karyawan mereka bahkan sudah tahu bahwa ia dapat berkomunikasi dengan komputer lain ini dengan mengubah alamat IP yang ditetapkan untuk PC-nya dari 192.168.1.38 menjadi 192.168.0.38! Agaknya, dia hanya beberapa langkah dari melakukan "layanan administrasi sistem pro-bono yang tidak sah" untuk salah satu penyewa lainnya. Tidak baik.

Solusi Potensial

Anda butuh solusi! Anda bisa menarik sumbat di antara lantai dan itu akan memotong semua komunikasi yang tidak diinginkan! Ya! Itu tiketnya ...

Itu mungkin berhasil, kecuali bahwa Anda memiliki penyewa baru yang akan menyewa setengah dari lantai dasar dan setengah lantai 3. Jika tidak ada koneksi antara saklar lantai 3 dan saklar lantai dasar, penyewa baru tidak akan bisa mendapatkan komunikasi antara komputer mereka yang akan tersebar di kedua lantai mereka. Menarik busi bukanlah jawabannya. Lebih buruk lagi, penyewa baru membawa satu lagi dari server DHCP ini!

Anda menggoda gagasan untuk membeli set Ethernet switch yang terpisah secara fisik untuk setiap penyewa, tetapi melihat bagaimana bangunan Anda memiliki 30 lantai, yang salah satunya dapat dibagi menjadi 4 cara, potensi sarang tikus dari kabel lantai ke lantai antara sejumlah besar switch Ethernet paralel bisa menjadi mimpi buruk, belum lagi mahal. Jika saja ada cara untuk membuat jaringan Ethernet fisik tunggal bertindak seperti itu adalah beberapa jaringan Ethernet fisik, masing-masing dengan domain siarannya sendiri.

VLAN ke Rescue

VLAN adalah jawaban untuk masalah berantakan ini. VLAN memungkinkan Anda untuk membagi switch Ethernet menjadi switch Ethernet virtual yang berbeda secara logis. Hal ini memungkinkan switch Ethernet tunggal untuk bertindak seolah-olah itu beberapa switch Ethernet fisik. Dalam kasus lantai 3 yang dibagi lagi, misalnya, Anda dapat mengonfigurasi 48 port switch Anda sehingga 24 port yang lebih rendah berada dalam VLAN yang diberikan (yang akan kami sebut VLAN 12) dan 24 port yang lebih tinggi berada di VLAN yang diberikan ( yang akan kita sebut VLAN 13). Saat Anda membuat VLAN di sakelar, Anda harus menetapkannya beberapa jenis nama atau nomor VLAN. Angka yang saya gunakan di sini sebagian besar arbitrer, jadi jangan khawatir tentang angka spesifik apa yang saya pilih.

Setelah Anda membagi saklar lantai 3 menjadi VLAN 12 dan 13, Anda akan menemukan bahwa penyewa lantai 3 baru dapat menyambungkan server DHCP mereka ke salah satu port yang ditetapkan untuk VLAN 13 dan PC yang terhubung ke port yang ditugaskan ke VLAN 12 tidak t mendapatkan alamat IP dari server DHCP yang baru. Luar biasa! Masalah terpecahkan!

Oh, tunggu ... bagaimana kita mendapatkan data VLAN 13 ke ruang bawah tanah?

Komunikasi VLAN Antar Switch

Penyewa setengah lantai 3 dan setengah basement Anda ingin menghubungkan komputer di bawah tanah ke server mereka di lantai 3. Anda bisa menjalankan kabel langsung dari salah satu port yang ditugaskan ke VLAN mereka di lantai 3, beralih ke ruang bawah tanah dan masa pakai. akan bagus, kan?

Pada hari-hari awal VLAN (standar pra-802.1Q) Anda mungkin melakukan hal itu. Seluruh switch basement akan menjadi, secara efektif, bagian dari VLAN 13 (VLAN yang Anda pilih untuk ditugaskan ke penyewa baru di lantai 3 dan basement) karena switch basement itu akan "diumpankan" oleh port di lantai 3 yang ditugaskan ke VLAN 13.

Solusi ini akan berfungsi sampai Anda menyewakan setengah dari lantai dasar ke penyewa lantai 1 Anda yang juga ingin berkomunikasi antara komputer lantai 1 dan bawah tanah. Anda dapat membagi sakelar basement menggunakan VLAN (menjadi, katakanlah, VLAN 2 dan 13) dan menjalankan kabel dari lantai 1 ke port yang ditugaskan ke VLAN 2 di basement, tetapi Anda sebaiknya menilai bahwa ini bisa dengan cepat menjadi sarang tikus. kabel (dan hanya akan menjadi lebih buruk). Memisahkan switch menggunakan VLAN adalah baik, tetapi harus menjalankan beberapa kabel dari switch lain ke port yang merupakan anggota dari VLAN yang berbeda tampaknya berantakan. Tidak diragukan lagi, jika Anda harus membagi switch basement 4 cara antara penyewa yang juga memiliki ruang di lantai yang lebih tinggi, Anda akan menggunakan 4 port pada switch basement hanya untuk mengakhiri kabel "feeder" dari VLAN lantai atas.

Sekarang harus jelas bahwa beberapa jenis metode umum untuk memindahkan lalu lintas dari beberapa VLAN di antara sakelar pada kabel tunggal diperlukan. Hanya menambahkan lebih banyak kabel di antara sakelar untuk mendukung koneksi antar VLAN yang berbeda bukanlah strategi yang dapat diskalakan. Akhirnya, dengan VLAN yang cukup, Anda akan menghabiskan semua port pada sakelar Anda dengan koneksi antar-VLAN / antar-sakelar ini. Yang diperlukan adalah cara untuk membawa paket-paket dari beberapa VLAN sepanjang satu koneksi - koneksi "trunk" antar switch.

Hingga saat ini, semua port switch yang telah kita bicarakan disebut port "akses". Yaitu, port ini didedikasikan untuk mengakses VLAN tunggal. Perangkat yang terhubung ke port ini tidak memiliki konfigurasi khusus. Perangkat ini tidak "tahu" bahwa ada VLAN. Frame yang dikirim oleh perangkat klien dikirim ke sakelar yang kemudian memastikan bahwa kerangka tersebut hanya dikirim ke port yang ditetapkan sebagai anggota VLAN yang ditugaskan ke port tempat frame masuk sakelar. Jika sebuah frame memasuki sakelar pada port yang ditetapkan sebagai anggota VLAN 12 maka sakelar hanya akan mengirim port frame keluar tersebut yang merupakan anggota VLAN 12. Sakelar "mengetahui" nomor VLAN yang ditetapkan ke port yang darinya ia menerima frame dan entah bagaimana tahu untuk hanya memberikan frame out port ini dari VLAN yang sama.

Jika ada beberapa cara bagi switch untuk berbagi nomor VLAN yang terkait dengan frame yang diberikan ke switch lain, switch lain dapat menangani pengiriman frame itu dengan benar ke port tujuan yang sesuai. Inilah yang dilakukan oleh protokol penandaan VLAN 802.1Q. (Perlu dicatat bahwa, sebelum 802.1Q, beberapa vendor membuat standar mereka sendiri untuk penandaan VLAN dan trunking antar-saklar. Sebagian besar metode pra-standar ini semuanya telah digantikan oleh 802.1Q.)

Ketika Anda memiliki dua sakelar sadar-VLAN yang terhubung satu sama lain dan Anda ingin sakelar-sakelar itu saling mengirimkan bingkai antara satu sama lain ke VLAN yang tepat, Anda menghubungkan sakelar-sakelar tersebut menggunakan port "trunk". Ini melibatkan mengubah konfigurasi port pada setiap sakelar dari mode "akses" ke mode "trunk" (dalam konfigurasi yang sangat mendasar).

Ketika sebuah port dikonfigurasikan dalam mode trunk, setiap frame yang dikirim oleh switch itu akan memiliki "tag VLAN" yang termasuk dalam frame. "Tag VLAN" ini bukan bagian dari bingkai asli yang dikirim klien. Sebaliknya, tag ini ditambahkan oleh sakelar pengiriman sebelum mengirim frame keluar port trunk. Tag ini menunjukkan nomor VLAN yang terkait dengan port dari mana frame berasal.

Saklar penerima dapat melihat tag untuk menentukan VLAN mana frame berasal dan, berdasarkan informasi itu, meneruskan frame keluar hanya port yang ditugaskan ke VLAN yang berasal. Karena perangkat yang terhubung ke "akses" port tidak menyadari bahwa VLAN sedang digunakan, informasi "tag" harus dilepaskan dari frame sebelum dikirim keluar port yang dikonfigurasi dalam mode akses. Pengupasan informasi tag ini menyebabkan seluruh proses trunking VLAN disembunyikan dari perangkat klien karena frame yang mereka terima tidak akan mengandung informasi tag VLAN.

Sebelum Anda mengonfigurasi VLAN dalam kehidupan nyata, saya sarankan mengonfigurasi port untuk mode trunk pada sakelar uji dan memantau lalu lintas yang dikirim keluar port tersebut menggunakan sniffer (seperti Wireshark). Anda dapat membuat beberapa lalu lintas sampel dari komputer lain, dicolokkan ke port akses, dan melihat bahwa frame yang meninggalkan port trunk, pada kenyataannya, akan lebih besar daripada frame yang dikirim oleh komputer uji Anda. Anda akan melihat informasi tag VLAN dalam bingkai di Wireshark. Saya menemukan bahwa ada baiknya melihat apa yang terjadi dalam sniffer. Membaca tentang standar penandaan 802.1Q juga merupakan hal yang layak untuk dilakukan pada saat ini (terutama karena saya tidak berbicara tentang hal-hal seperti "VLAN asli" atau penandaan ganda).

VLAN Configuration Nightmares dan Solusinya

Ketika Anda menyewa semakin banyak ruang di gedung Anda, jumlah VLAN bertambah. Setiap kali Anda menambahkan VLAN baru, Anda harus masuk ke switch Ethernet yang semakin banyak dan menambahkan VLAN ke daftar. Bukankah lebih bagus jika ada beberapa metode yang Anda dapat menambahkan VLAN ke manifes konfigurasi tunggal dan memilikinya secara otomatis mengisi konfigurasi VLAN setiap switch?

Protokol seperti milik Cisco "VLAN Trunking Protocol" (VTP) atau "Multiple VLAN Registration Protocol" berbasis standar (MVRP - yang sebelumnya dieja GVRP) memenuhi fungsi ini. Dalam jaringan yang menggunakan protokol ini, satu kreasi atau penghapusan entri VLAN menghasilkan pesan protokol yang dikirim ke semua sakelar di jaringan. Pesan protokol itu mengkomunikasikan perubahan dalam konfigurasi VLAN ke seluruh switch yang, pada gilirannya, memodifikasi konfigurasi VLAN mereka. VTP dan MVRP tidak memedulikan port spesifik mana yang dikonfigurasikan sebagai port akses untuk VLAN tertentu, tetapi lebih berguna dalam mengkomunikasikan pembuatan atau penghapusan VLAN ke semua switch.

Ketika Anda sudah terbiasa dengan VLAN Anda mungkin ingin kembali dan membaca tentang "pemangkasan VLAN", yang terkait dengan protokol seperti VTP dan MVRP. Untuk saat ini tidak ada yang perlu dikhawatirkan. ( Artikel VTP di Wikipedia memiliki diagram yang bagus yang menjelaskan pemangkasan VLAN dan manfaatnya.)

Kapan Anda Menggunakan VLAN Dalam Kehidupan Nyata?

Sebelum kita melangkah lebih jauh, penting untuk berpikir tentang kehidupan nyata daripada membuat contoh. Sebagai pengganti menduplikasi teks dari jawaban lain di sini saya akan mengarahkan Anda ke jawaban saya kembali: kapan harus membuat VLAN . Ini belum tentu "tingkat pemula", tetapi perlu dilihat sekarang karena saya akan membuat referensi untuk itu sebentar sebelum kembali ke contoh yang dibuat-buat.

Untuk kerumunan "tl; dr" (yang tentunya berhenti membaca pada titik ini), inti dari tautan di atas adalah: Buat VLAN untuk membuat domain siaran lebih kecil atau ketika Anda ingin memisahkan lalu lintas karena alasan tertentu (keamanan) , kebijakan, dll). Sebenarnya tidak ada alasan bagus lainnya untuk menggunakan VLAN.

Dalam contoh kami, kami menggunakan VLAN untuk membatasi domain siaran (agar protokol seperti DHCP berfungsi dengan benar) dan, kedua, karena kami ingin isolasi antara berbagai jaringan penyewa.

Selain itu: IP Subnet dan VLAN

Secara umum, biasanya ada hubungan satu-ke-satu antara VLAN dan subnet IP untuk kenyamanan, untuk memfasilitasi isolasi, dan karena cara protokol ARP bekerja.

Seperti yang kita lihat di awal jawaban ini dua subnet IP yang berbeda dapat digunakan pada Ethernet fisik yang sama tanpa masalah. Jika Anda menggunakan VLAN untuk mengecilkan domain siaran, Anda tidak ingin berbagi VLAN yang sama dengan dua subnet IP yang berbeda karena Anda akan menggabungkan ARP dan lalu lintas siaran lainnya.

Jika Anda menggunakan VLAN untuk memisahkan lalu lintas demi alasan keamanan atau kebijakan, Anda juga mungkin tidak ingin menggabungkan beberapa subnet dalam VLAN yang sama karena Anda akan mengalahkan tujuan isolasi.

IP menggunakan protokol berbasis broadcast, Address Resolution Protocol (ARP), untuk memetakan alamat IP ke alamat fisik (Ethernet MAC). Karena ARP berbasis siaran, menetapkan bagian berbeda dari subnet IP yang sama ke VLAN yang berbeda akan bermasalah karena host di satu VLAN tidak akan dapat menerima balasan ARP dari host di VLAN lain, karena siaran tidak diteruskan antara VLAN. Anda dapat memecahkan "masalah" ini dengan menggunakan proxy-ARP tetapi, pada akhirnya, kecuali jika Anda memiliki alasan yang sangat bagus untuk perlu membagi subnet IP ke beberapa VLAN, lebih baik tidak melakukannya.

Satu Terakhir Selain: VLAN dan Keamanan

Akhirnya, perlu dicatat bahwa VLAN bukan perangkat keamanan yang hebat. Banyak switch Ethernet memiliki bug yang memungkinkan frame yang berasal dari satu VLAN untuk dikirim keluar port ditugaskan ke VLAN lain. Produsen switch Ethernet telah bekerja keras untuk memperbaiki bug ini, tetapi diragukan bahwa akan pernah ada implementasi yang sepenuhnya bebas bug.

Dalam kasus contoh buatan kami, karyawan lantai 2 yang saat ini jauh dari menyediakan "layanan" administrasi sistem gratis kepada penyewa lain mungkin dihentikan dari melakukannya dengan mengisolasi lalu lintasnya ke dalam VLAN. Dia mungkin juga mencari tahu bagaimana mengeksploitasi bug di firmware switch, untuk memungkinkan traffic-nya "bocor" ke VLAN tenant lain juga.

Metro Ethernet penyedia semakin mengandalkan fungsi penandaan VLAN dan isolasi yang disediakan switch. Tidak adil untuk mengatakan bahwa tidak ada keamanan yang ditawarkan dengan menggunakan VLAN. Adalah adil untuk mengatakan, bahwa, dalam situasi dengan koneksi Internet yang tidak terpercaya atau jaringan DMZ, mungkin lebih baik untuk menggunakan sakelar yang terpisah secara fisik untuk membawa lalu lintas "sensitif" daripada VLAN pada sakelar yang juga membawa lalu lintas "di balik firewall" tepercaya Anda.

Membawa Layer 3 ke dalam Gambar

Sejauh ini semua jawaban yang telah dibicarakan ini berkaitan dengan layer 2 - frame Ethernet. Apa yang terjadi jika kita mulai membawa layer 3 ke dalam ini?

Mari kita kembali ke contoh bangunan yang dibuat. Anda telah memeluk VLAN yang dipilih untuk mengonfigurasikan port masing-masing penyewa sebagai anggota VLAN yang terpisah. Anda telah mengonfigurasikan port trunk sedemikian sehingga setiap switch lantai dapat bertukar frame yang ditandai dengan nomor VLAN yang berasal ke switch di lantai di atas dan di bawah. Satu penyewa dapat memiliki komputer yang tersebar di beberapa lantai tetapi, karena keterampilan mengkonfigurasi VLAN mahir Anda, komputer yang terdistribusi secara fisik ini semua dapat tampaknya menjadi bagian dari LAN fisik yang sama.

Anda begitu penuh dengan pencapaian TI Anda sehingga Anda memutuskan untuk mulai menawarkan konektivitas Internet kepada penyewa Anda. Anda membeli pipa Internet yang gemuk dan router. Anda memberikan ide kepada semua penyewa Anda dan dua dari mereka langsung setuju. Untungnya bagi Anda router Anda memiliki tiga port Ethernet. Anda menghubungkan satu port ke pipa Internet Anda yang gemuk, port lain ke port switch yang ditugaskan untuk akses ke VLAN penyewa pertama, dan yang lain ke port yang ditugaskan untuk akses ke VLAN tenant kedua. Anda mengonfigurasikan port router Anda dengan alamat IP di setiap jaringan penyewa dan penyewa mulai mengakses Internet melalui layanan Anda! Penghasilan meningkat dan Anda senang.

Namun, segera, penyewa lain memutuskan untuk masuk ke penawaran Internet Anda. Anda kehabisan port pada router Anda. Apa yang harus dilakukan?

Untungnya Anda membeli router yang mendukung konfigurasi "virtual sub-interface" pada port Ethernet-nya. Singkatnya, fungsi ini memungkinkan router untuk menerima dan menafsirkan frame yang ditandai dengan nomor VLAN yang berasal, dan untuk memiliki antarmuka virtual (yaitu, non-fisik) yang dikonfigurasi dengan alamat IP yang sesuai untuk setiap VLAN yang akan berkomunikasi dengannya. Akibatnya ini memungkinkan Anda untuk "multiplex" port Ethernet tunggal pada router sehingga tampaknya berfungsi sebagai beberapa port Ethernet fisik.

Anda memasang router Anda ke port trunk di salah satu switch Anda dan mengkonfigurasi sub-interface virtual yang sesuai dengan skema pengalamatan IP masing-masing penyewa. Setiap sub-antarmuka virtual dikonfigurasi dengan nomor VLAN yang ditetapkan untuk setiap Pelanggan. Ketika sebuah frame meninggalkan port trunk di sakelar, menuju router, ia akan membawa tag dengan nomor VLAN yang berasal (karena ini adalah port trunk). Router akan menafsirkan tag ini dan memperlakukan paket seolah-olah tiba pada antarmuka fisik khusus yang sesuai dengan VLAN itu. Demikian juga, ketika router mengirimkan frame ke switch sebagai tanggapan atas permintaan, router akan menambahkan tag VLAN ke frame sedemikian rupa sehingga switch tahu VLAN mana yang harus dikirimkan frame respons. Akibatnya, Anda telah mengkonfigurasi router untuk "muncul"

Router pada Sticks dan Layer 3 Switches

Dengan menggunakan sub-antarmuka virtual Anda dapat menjual konektivitas Internet ke semua penyewa Anda tanpa harus membeli router yang memiliki 25+ antarmuka Ethernet. Anda cukup senang dengan pencapaian TI Anda sehingga Anda merespons secara positif ketika dua penyewa Anda mendatangi Anda dengan permintaan baru.

Penyewa ini telah memilih untuk "bermitra" pada suatu proyek dan mereka ingin mengizinkan akses dari komputer klien di kantor salah satu penyewa (satu diberikan VLAN) ke komputer server di kantor penyewa lain (VLAN lain). Karena mereka berdua Pelanggan layanan Internet Anda, itu adalah perubahan ACL yang cukup sederhana di router Internet inti Anda (di mana ada sub-antarmuka virtual yang dikonfigurasi untuk masing-masing VLAN penyewa ini) untuk memungkinkan lalu lintas mengalir di antara VLAN mereka sebagai serta ke Internet dari VLAN mereka. Anda membuat perubahan dan mengirim penyewa di jalan mereka.

Hari berikutnya Anda menerima keluhan dari kedua penyewa bahwa akses antara komputer klien di satu kantor ke server di kantor kedua sangat lambat. Server dan komputer klien keduanya memiliki koneksi Ethernet gigabit ke switch Anda, tetapi file-file tersebut hanya mentransfer sekitar 45Mbps yang, secara kebetulan, kira-kira setengah dari kecepatan router inti Anda terhubung ke sakelarnya. Jelas lalu lintas yang mengalir dari sumber VLAN ke router dan mundur dari router ke tujuan VLAN sedang mengalami hambatan oleh koneksi router ke switch.

Apa yang telah Anda lakukan dengan router inti Anda, yang memungkinkannya untuk merutekan lalu lintas antara VLAN, umumnya dikenal sebagai "router on a stick" (eufemisme aneh yang bisa dibilang bodoh). Strategi ini dapat bekerja dengan baik, tetapi lalu lintas hanya dapat mengalir di antara VLAN hingga kapasitas koneksi router ke sakelar. Jika, entah bagaimana, router dapat digabungkan dengan "nyali" dari switch Ethernet itu sendiri, ia dapat merutekan lalu lintas lebih cepat (karena switch Ethernet itu sendiri, sesuai lembar spesifikasi pabrikan, mampu mengalihkan lebih dari 2Gbps lalu lintas).

"Layer 3 switch" adalah switch Ethernet yang, secara logis, berisi router yang terkubur di dalam dirinya. Saya merasa sangat terbantu memikirkan switch layer 3 yang memiliki router kecil dan cepat yang bersembunyi di dalam switch. Lebih lanjut, saya akan menyarankan Anda untuk memikirkan fungsionalitas perutean sebagai fungsi terpisah yang jelas dari fungsi peralihan Ethernet yang disediakan oleh saklar lapisan 3. Sakelar layer 3 adalah, untuk semua maksud dan tujuan, dua perangkat berbeda yang dibungkus dalam satu sasis.

Perute tertanam pada sakelar layer 3 terhubung ke fabric switching internal sakelar pada kecepatan yang, biasanya, memungkinkan perutean paket antara VLAN pada atau di dekat kecepatan kawat. Secara analogi dengan sub-antarmuka virtual yang Anda konfigurasikan pada "router on a stick", router yang tertanam di dalam sakelar layer 3 ini dapat dikonfigurasi dengan antarmuka virtual yang "tampak" sebagai koneksi "akses" ke setiap VLAN. Daripada disebut sub-antarmuka virtual, koneksi logis ini dari VLAN ke router tertanam di dalam saklar layer 3 disebut Switch Virtual Interfaces (SVIs). Akibatnya, router yang tertanam di dalam saklar lapisan 3 memiliki sejumlah "port virtual" yang dapat "dicolokkan" ke salah satu VLAN pada sakelar tersebut.

Perute tertanam melakukan cara yang sama seperti perute fisik kecuali bahwa perute biasanya tidak memiliki semua protokol perutean dinamis yang sama atau fitur daftar kontrol akses (ACL) sebagai perute fisik (kecuali Anda telah membeli layer 3 yang benar-benar bagus). beralih). Router yang tertanam memiliki keuntungan, karena sangat cepat dan tidak memiliki hambatan yang terkait dengan port switch fisik yang terhubung dengannya.

Dalam kasus contoh kami di sini dengan penyewa "bermitra" Anda mungkin memilih untuk mendapatkan switch layer 3, hubungkan ke port trunk sedemikian rupa sehingga lalu lintas dari kedua Pelanggan VLAN mencapainya, kemudian konfigurasikan SVI dengan alamat IP dan keanggotaan VLAN sedemikian rupa sehingga "muncul" di kedua VLAN Pelanggan. Setelah Anda selesai melakukannya, itu hanya masalah men-tweak tabel routing pada router inti Anda dan router yang tertanam di switch layer 3 sehingga lalu lintas yang mengalir di antara VLAN penyewa dirutekan oleh router yang tertanam di dalam switch layer 3 versus "router pada tongkat".

Menggunakan saklar layer 3 tidak berarti bahwa masih tidak akan ada hambatan yang terkait dengan bandwidth port trunk yang menghubungkan switch Anda. Ini adalah masalah ortogonal bagi mereka yang mengalamatkan VLAN. VLAN tidak ada hubungannya dengan masalah bandwidth. Biasanya masalah bandwidth diselesaikan dengan mendapatkan koneksi inter-switch berkecepatan lebih tinggi atau menggunakan protokol agregasi tautan untuk "menyatukan" beberapa koneksi berkecepatan rendah bersama-sama menjadi koneksi virtual berkecepatan lebih tinggi. Kecuali jika semua perangkat yang membuat bingkai untuk dirutekan oleh router yang tertanam di dalam saklar 3 selanjutnya, dengan sendirinya, dicolokkan ke port langsung pada saklar layer 3 Anda masih perlu khawatir tentang bandwidth batang di antara sakelar. Sakelar layer 3 bukanlah obat mujarab, tetapi biasanya lebih cepat daripada "

VLAN dinamis

Terakhir, ada fungsi di beberapa sakelar untuk menyediakan keanggotaan VLAN dinamis. Daripada menetapkan port yang diberikan sebagai port akses untuk VLAN yang diberikan, konfigurasi port (akses atau trunk, dan VLAN mana) dapat diubah secara dinamis ketika perangkat terhubung. VLAN dinamis adalah topik yang lebih maju tetapi mengetahui bahwa fungsi itu ada dapat membantu.

Fungsionalitas bervariasi antara vendor tetapi biasanya Anda dapat mengkonfigurasi keanggotaan VLAN dinamis berdasarkan alamat MAC perangkat yang terhubung, status otentikasi 802.1X perangkat, protokol berbasis hak milik dan standar (CDP dan LLDP, misalnya, untuk memungkinkan telepon IP untuk "temukan" nomor VLAN untuk lalu lintas suara), subnet IP yang ditetapkan untuk perangkat klien, atau tipe protokol Ethernet.

Evan Anderson
sumber
9
Mencari emas lagi, ya? :)
squillman
1
+1 Anda jelas-jelas berupaya keras untuk itu, terima kasih!
Tim Long
1
+1: Wow! Jawaban yang sangat bagus.
Arun Saha
12
suka ini: "layanan administrasi sistem pro-bono yang tidak sah";)
problemPotato
1
@ Guntbert - Saya senang itu membantu Anda.
Evan Anderson
10

VLAN adalah "Jaringan Area Lokal Virtual". Berikut ini adalah pemahaman saya - latar belakang saya terutama Sistem Rekayasa & Administrasi dengan sisi pemrograman OO & banyak skrip.

VLAN dimaksudkan untuk membuat jaringan yang terisolasi di beberapa perangkat perangkat keras. LAN tradisional di masa lalu mungkin hanya ada di mana Anda memiliki perangkat perangkat keras tunggal yang didedikasikan untuk jaringan tertentu. Semua server / perangkat yang terhubung ke perangkat jaringan itu (Switch atau Hub tergantung pada jangka waktu historis) biasanya diperbolehkan untuk berkomunikasi secara bebas di antara LAN.

VLAN berbeda sehingga Anda dapat menghubungkan beberapa perangkat jaringan dan membuat jaringan yang terisolasi dengan mengelompokkan server bersama dalam VLAN, sehingga menghilangkan kebutuhan untuk memiliki perangkat jaringan "khusus" untuk LAN tunggal. Jumlah VLAN yang dapat dikonfigurasi dan server / perangkat yang didukung akan bervariasi di antara produsen perangkat jaringan.

Sekali lagi tergantung pada vendor, saya tidak berpikir bahwa semua server harus berada di subnet yang sama untuk menjadi bagian dari VLAN yang sama. Dengan konfigurasi jaringan lama, saya yakin begitu (koreksi pemasangan insinyur jaringan di sini).

Apa yang membuat VLAN berbeda dari VPN adalah huruf "P" untuk "Pribadi". Biasanya lalu lintas VLAN tidak dienkripsi.

Semoga itu bisa membantu!

mxmader
sumber
3
Jawaban gateway pendek yang sangat dibutuhkan untuk memahami VLAN. Yang lebih tervotasikan masuk ke banyak detail, dan dengan demikian, mungkin baik untuk anak cucu, tetapi tidak banyak digunakan jika Anda ingin mendapatkan pengetahuan / pemahaman cepat tentang subjek. Sekarang saya tahu apa yang saya lakukan dari jawaban ini, saya selalu dapat kembali untuk belajar lebih banyak.
Harsh Kanchina