Apa perbedaan antara VLAN dan subnet? [Tutup]

91

Saya telah membaca banyak forum dan artikel tentang VLAN dan subnet.
Namun, saya belum memahami fungsi masing-masing selain dari yang berikut:

  1. Subnet memungkinkan segmentasi jaringan
  2. VLAN adalah bagian yang terisolasi dari jaringan

Pertanyaan

  1. Jika saya memiliki beberapa subnet, saya berasumsi bahwa Anda akan memerlukan router untuk berkomunikasi antara setiap subnet. Hanya perangkat di dalam setiap subnet yang akan berada dalam domain broadcast lokal untuk subnet itu. Apakah itu benar?

  2. Apakah saya memerlukan subnet untuk mengatur VLAN?

  3. Saya sadar bahwa VLAN dapat ada dalam subnet. Tapi pemahaman saya adalah bahwa Anda harus menetapkan alamat IP dari subnet itu ke VLAN. Bagaimana itu bisa diisolasi dari sisa subnet?

  4. Kapan Anda mengatur VLAN? Terutama jika saya dapat melakukan segmentasi jaringan saya menggunakan subnet?

  5. Saya terus menemukan titik berikut. Namun, saya tidak yakin apa artinya ini ketika membaca same physical network.

    Jaringan area lokal virtual (VLAN) memungkinkan kami untuk membuat jaringan logis dan fisik yang berbeda; sedangkan subnetting IP hanya memungkinkan kita untuk membuat jaringan logis melalui jaringan fisik yang sama.

Akan menghargai contoh dunia nyata.

subnet vlan Kacang Kacang Tanah
sumber
1
Perbedaan utama adalah bahwa bergabung dengan subnet didasarkan pada konfigurasi IP sisi klien. Oleh karena itu klien dapat menggunakan subnet yang diinginkannya. Untuk VLAN konfigurasi dilakukan di sisi server (misalnya berdasarkan pada port LAN) dan klien tidak dapat mengubahnya. Dari perspektif keamanan, ini adalah perbedaan besar.
Robert
@Robert - Bisakah Anda menguraikan maksud Anda client side IP and server side configuration?
PeanutsMonkey
Subnet ditentukan oleh IP yang Anda gunakan dan IP dapat dipilih oleh admin komputer (atau perangkat). Oleh karena itu dilakukan di sisi klien - Anda tidak dapat mengendalikannya. VLAN dikonfigurasikan di sisi server / router. Orang yang mengontrol router / server memutuskan komputer / port mana yang ditugaskan ke VLAN mana. Satu (atau beberapa) router / server pusat dapat dilindungi secara logis (kata sandi masuk) dan secara fisik (akses ke ruang server).
Robert
Halaman ini mungkin berguna petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm
barlop
@PeanutsMonkey: Membaca komentar Anda, sepertinya Anda melihat beberapa kebingungan tentang berbagai lapisan jaringan dalam model OSI. VLAN beroperasi pada Layer 2 sementara IP Subnet beroperasi pada Layer 3.
keren

Jawaban:

73

Subnet - adalah rentang alamat IP yang ditentukan oleh bagian dari alamat (sering disebut alamat jaringan) dan subnet mask (netmask). Sebagai contoh, jika netmask adalah 255.255.255.0(atau / 24 singkatnya), dan alamat jaringan adalah 192.168.10.0, maka itu mendefinisikan berbagai alamat IP 192.168.10.0melalui 192.168.10.255. Singkatan untuk menulis itu 192.168.10.0/24.

VLAN - Cara yang baik untuk memikirkan ini adalah "beralih partisi." Katakanlah Anda memiliki saklar 8 port yang mampu VLAN. Anda dapat menetapkan 4 port untuk satu VLAN (katakanlah VLAN 1) dan 4 port untuk VLAN lainnya (katakanlah VLAN 2). VLAN 1 tidak akan melihat lalu lintas VLAN 2 dan sebaliknya, secara logis, Anda sekarang memiliki dua sakelar terpisah. Biasanya pada switch, jika switch belum melihat alamat MAC, itu akan "membanjiri" lalu lintas ke semua port lain. VLAN mencegah hal ini.

Jika dua komputer akan berbicara menggunakan TCP / IP, maka salah satu dari dua syarat harus dipenuhi:

  • Mereka harus berasal dari subnet yang sama. Ini berarti alamat jaringan harus sama dan netmask harus sama atau lebih kecil. Jadi, komputer dengan antarmuka dengan alamat IP 192.168.10.4/24dapat berbicara dengan komputer dengan antarmuka dengan alamat IP 192.168.10.8/24tanpa masalah, asalkan keduanya terhubung ke switch fisik atau VLAN yang sama. Jika antarmuka komputer kedua terhubung ke saklar fisik atau VLAN yang sama 192.168.11.8/24, itu akan mengabaikan lalu lintas (kecuali antarmuka berada dalam mode promiscuous).

  • Router harus ada di antara kedua komputer yang dapat meneruskan lalu lintas antar subnet. Komputer A dan komputer B membutuhkan rute (atau gateway default) ke router ini. Katakanlah komputer dengan antarmuka dengan alamat IP 192.168.10.4/24ingin berbicara dengan komputer dengan antarmuka dengan alamat IP 192.168.20.4/24. Subnet yang berbeda, jadi kita harus melalui router. Katakanlah ada router dengan dua antarmuka (router menurut definisi memiliki dua antarmuka), satu di 192.168.10.254/24dan 192.168.20.254/24. Jika tabel rute atau DHCP diatur dengan benar dan komputer A dan B dapat mencapai antarmuka router di masing-masing subnet, maka mereka dapat berbicara satu sama lain secara tidak langsung melalui router.

Memaksa lalu lintas untuk pergi melalui router, meskipun itu tidak diperlukan seperti pada switch 8-port kami di atas, memiliki manfaat keamanan dan kinerja - ini memberi Anda kesempatan untuk menyaring lalu lintas, kesempatan untuk secara optimal merutekan lalu lintas berdasarkan jenis, dan router jangan teruskan lalu lintas siaran (kecuali jika dikonfigurasi secara tidak biasa). VLAN terkadang digunakan sebagai "retasan" untuk mengelola arus / visibilitas lalu lintas siaran IPv4.

Edit untuk menjawab beberapa pertanyaan Anda:

  • Secara konsep, VLAN setara dengan sakelar. Apa yang datang dalam 1 port VLAN direplikasi ("floed") ke semua port lain kecuali VLAN telah melihat / mempelajari alamat MAC sebelumnya, kemudian diarahkan ke port tersebut. Tidak ada gateway ke VLAN yang tepat. "Gerbang" selalu berarti alamat IP router.

  • Agar VLAN 1 dapat berbicara dengan VLAN 2, antarmuka dalam VLAN 1 harus terhubung ke router, antarmuka di VLAN 2 harus terhubung ke router, dan router tersebut harus dikonfigurasi untuk meneruskan lalu lintas antara subnet. Dalam 8 port contoh kita di atas, jika kita ingin merutekan traffic antara VLAN tersebut, kita harus menghabiskan 1 port pada setiap VLAN yang terhubung ke router. Sama dengan sakelar.

Saya yakin banyak switch / perangkat keras kelas atas memiliki "router VLAN" "built-in" untuk mereka di mana menghabiskan port tambahan di dalam setiap VLAN yang menghubungkannya ke router fisik benar-benar tidak diperlukan jika Anda ingin melakukan rute antara VLAN di saklar yang sama. Ini mungkin tempat VLAN IP atau "gateway" berperan. (Saya mengundang mereka yang lebih berpengetahuan untuk mengedit ini)

  • Ketika komputer mendapatkan IP-nya melalui DHCP, biasanya juga mendapat "gateway default" dari server DHCP yang sama. Seseorang harus mengkonfigurasi server DHCP dengan benar. Protokol perutean seperti RIP, IS-IS, OSPF, dan BGP juga dapat menambahkan rute. Tentu saja Anda memiliki opsi untuk menambahkan rute secara manual (rute "statis")

  • Jika sakelar Anda memiliki port serial atau port berlabel "konsol", kemungkinan itu dikelola dan mendukung VLAN.

LawrenceC
sumber
1
Salah satu penjelasan terbaik yang saya lihat hari ini. Sekarang itu telah menimbulkan sejumlah pertanyaan. Apakah VLAN 1 dan VLAN 2 memiliki alamat IP sendiri atau hanya ditandai sebagai VLAN 1 dan VLAN 2? Jika mereka ditandai, bagaimana cara host / titik akhir / node dalam VLAN 1 saling berbicara? Sekarang jika ada router, apakah gateway alamat IP VLAN atau router? Ketika Anda berkata route table, apakah itu sesuatu yang harus saya bangun? Juga bagaimana Anda tahu jika switch yang Anda warisi adalah VLAN-mampu (dikelola) atau tidak dikelola?
PeanutsMonkey
Silakan lihat hasil edit.
LawrenceC
Terima kasih. Saya punya pertanyaan tentang hukuman itu ven though it's not needed such as on our 8-port switch above, has security and performance benefits. Mengapa tidak harus melalui router jika subnet adalah bagian dari jaringan yang berbeda?
PeanutsMonkey
Silakan lihat lebih banyak hasil edit.
LawrenceC
20

Saya menemukan penjelasan lain yang rumit.

  • VLAN memungkinkan Anda menandai semua paket jaringan dengan nomor ajaib (mis 3.).
  • Hanya kartu jaringan lain yang diatur untuk 3melihat paket-paket itu

Atur sekelompok komputer VLAN 3dan mereka akan berada di dunia terisolasi mereka sendiri; mereka tidak akan melihat lalu lintas lainnya.

Tiba-tiba Anda dapat memiliki beberapa LAN yang beroperasi pada kabel yang sama (yaitu LAN virtual ). Anda bahkan dapat memiliki dua komputer dengan IP yang sama, karena mereka memiliki tag VLAN yang berbeda (misalnya 3ayat 7)

Pengaturan ID VLAN dilakukan dengan mengkonfigurasi driver kartu jaringan:

masukkan deskripsi gambar di sini

Jarak tempuh Anda akan berbeda dengan kartu jaringan Anda dan drivernya.

Ian Boyd
sumber
Saya telah menemukan tag VLAN namun saya tertarik dengan bagaimana Anda setmengatakan kartu jaringan 3? Saya berasumsi bahwa VLAN tidak akan dapat melihat satu sama lain jika tidak ada router. Jika ada router saya kira harus ada firewall untuk mencegah paket-paket dari satu VLAN ke yang berikutnya jika requets dibuat. Sekarang apa yang akan menjadi gateway dari subnet di VLAN? Apakah itu router?
PeanutsMonkey
Apakah VLAN juga mengalokasikan alamat IP atau hanya sebuah tag? Berdasarkan bacaan saya di petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm tampaknya trunk juga routepaket. Tidak yakin apakah pemahaman saya jelas. Apakah itu berarti switch adalah perangkat layer 2 dan 3?
PeanutsMonkey
VLAN hanyalah sebuah tag. Semua kartu jaringan harus menyadari keberadaan tag VLAN, dan mengabaikan paket dengan tag VLAN yang berbeda dari kartu VLAN mereka.
Ian Boyd
@IanBoyd: Haruskah semua NIC sadar VLAN? Saya berpikir bahwa edge switch antara VLAN dapat menangani semua penandaan (dan penghapusan tag) dari header Ehternet.
afrazier
Dalam kasus saklar pintar seperti itu: tidak, saklar dapat menangani mengarahkan lalu lintas. Tetapi dalam hal ini Anda harus memprogram sakelar untuk mengetahui port mana yang mengambil lalu lintas apa. Dari penjelasan yang lebih sederhana tentang apa itu VLAN: ini adalah cara menandai paket dengan ID, sehingga hanya kartu jaringan dengan tag yang sama melihatnya.
Ian Boyd
8

Penjelasan sederhana adalah bahwa VLAN ada untuk memungkinkan subnet yang berbeda untuk berbagi kabel fisik, port, dan switching. Anda bisa memiliki subnet yang berbeda di jaringan Anda tanpa vlan, tetapi Anda harus memiliki satu set kabel yang berbeda untuk masing-masingnya.

Joel Coehoorn
sumber
Saya akhirnya mengerti bahwa dari menjepret web bahwa VLAN memungkinkan organisasi untuk menggunakan switch yang sama sebagai lawan membeli beberapa switch namun saya masih bingung tentang beberapa pertanyaan yang saya ajukan dalam posting saya.
PeanutsMonkey
4
Apa? Tidak ada yang mencegah seseorang dari mengoperasikan beberapa subnet IP pada jaringan fisik yang sama, meskipun saya tidak dapat memikirkan alasan bagus untuk melakukannya tanpa VLAN di tempatnya. Khususnya, Anda akan mengalami beberapa kesulitan serius dengan DHCP tanpa VLAN untuk mengisolasi lalu lintas siaran.
Afrazier
4

1.Jika saya memiliki beberapa subnet, saya berasumsi bahwa Anda akan memerlukan router untuk berkomunikasi antara setiap subnet.

Ya, Anda membutuhkan router untuk memindahkan paket antar subnet.

Hanya perangkat di dalam setiap subnet yang akan berada dalam domain broadcast lokal untuk subnet itu. Apakah itu benar?

Ya, subnet adalah domain siaran.

2.Apakah saya memerlukan subnet untuk mengatur VLAN?

Iya.

3.Saya sadar bahwa VLAN dapat ada dalam subnet, tetapi pemahaman saya adalah bahwa Anda harus menetapkan VLAN alamat IP subnet itu.

Tidak, seperti yang saya pahami, VLAN didefinisikan dalam sakelar dan mengisolasi lalu lintas setiap VLAN.

Bagaimana itu bisa diisolasi dari sisa subnet?

VLAN adalah subnet.

4.Kapan Anda akan mengatur VLAN terutama jika saya dapat mengelompokkan jaringan saya menggunakan subnet?

Ketika Anda perlu memisahkan lalu lintas menjadi dua atau lebih grup tanpa memisahkan infrastruktur fisik (terutama switch) menjadi dua atau lebih grup fisik.

5. Saya terus menemukan titik bahwa jaringan area lokal Virtual (VLAN) memungkinkan kami untuk membuat jaringan logis dan fisik yang berbeda; sedangkan subnetting IP hanya memungkinkan kita untuk membuat jaringan logis melalui jaringan fisik yang sama. Namun saya tidak yakin apa artinya ini ketika membaca jaringan fisik yang sama.

LAN fisik sebagian besar terdiri dari sakelar dan kabel yang diatur (dalam hal Ethernet) menjadi struktur pohon tunggal.

Biasanya LAN adalah subnet tunggal. Suatu organisasi mungkin memiliki beberapa LAN yang dihubungkan oleh router.

Satu LAN fisik dapat dibagi menjadi beberapa LAN logis (VLAN) menggunakan dukungan VLAN di sakelar. Setiap VLAN kemudian memiliki subnet yang terpisah. Oleh karena itu router diperlukan untuk memindahkan paket antara LAN logis (VLAN).

Perbarui: beberapa jawaban untuk menindaklanjuti pertanyaan dalam komentar.

jika saya ingin perangkat pada 2 VLAN terpisah untuk berkomunikasi bahwa router tidak diperlukan karena saya dapat menggunakan trunking.

Berikut ini beberapa kutipan dari http://www.formortals.com/an-introduction-to-vlan-trunking/

" Trunking VLAN memungkinkan adaptor jaringan tunggal untuk berperilaku sebagai" n "jumlah adapter jaringan virtual, di mana" n "memiliki batas atas teoritis 4096 tetapi biasanya terbatas pada 1000 segmen jaringan VLAN. "

" Router dapat menjadi jauh lebih berguna sekali mereka trunked ke infrastruktur switch perusahaan. Setelah trunked, mereka menjadi di mana-mana dan dapat menyediakan layanan routing ke subnet di sudut manapun di jaringan perusahaan. "

Jadi Anda masih memerlukan router tetapi, dengan VLAN trunking, itu bisa menjadi router satu-bersenjata (router pada tongkat). Switch kelas atas mencakup kemampuan perutean, jadi Anda mungkin tidak memerlukan router terpisah karena switch kelas atas Anda juga merupakan router layer 3.

Ketika Anda mengatakan bahwa saya memerlukan subnet untuk mengatur VLAN, apa maksud Anda sebenarnya?

VLAN adalah konsep lapisan 2. Sama seperti switch Ethernet adalah perangkat layer 2. VLAN dapat membuat beberapa switch melakukan pekerjaan di mana Anda mungkin membutuhkan setengah lusin switch dalam kelompok terisolasi. Namun node Anda (komputer, printer, dll) biasanya menggunakan pengalamatan layer-3 (IP).

Untuk node dalam satu VLAN (N untuk Jaringan) untuk berkomunikasi dengan node di VLAN lain (N untuk Jaringan) Anda memerlukan Protokol InterNetwork (dengan kata lain IP). Dalam IP untuk memindahkan paket antar Jaringan, kita membutuhkan setiap Jaringan untuk memiliki alamat jaringan layer-3 yang berbeda.

Di sinilah sub-kelambu masuk - membagi rentang alamat jaringan layer-3 yang dialokasikan organisasi menjadi sub-jaringan dengan menggunakan subnet mask. Kemudian Anda dapat menggunakan router untuk memungkinkan perangkat dalam satu subnet (dalam satu VLAN) untuk berkomunikasi dengan perangkat di subnet lain (dalam VLAN lain).

RedGrittyBrick
sumber
@RedGrittyBrick - Terima kasih. Ketika Anda mengatakan bahwa saya memerlukan subnet untuk mengatur VLAN, apa maksud Anda sebenarnya? Bagi saya, subnetting adalah pemisahan atau segmentasi alamat IP? Dari apa yang saya mengerti VLAN beroperasi di Layer 2 yang berarti ia menyelesaikan alamat MAC ke alamat IP sehingga dengan asumsi pemahaman saya benar, mengapa dan bagaimana Anda membuat subnet untuk mengatur VLAN? Saya tidak mengikuti apa yang Anda maksud VLAN is defined in the switches and isolates the traffic of each VLAN?
PeanutsMonkey
@RedGrittyBrick - Tampaknya juga jika saya ingin perangkat pada 2 VLAN terpisah untuk berkomunikasi bahwa router tidak diperlukan karena saya dapat menggunakan trunking.
PeanutsMonkey
@PeanutsMonkey Mungkin Anda berdua mungkin salah menukar istilah VLAN dan VLAN. Dia sebagai salah ketik dalam satu kalimat yang Anda baca tentangnya, dan Anda dalam pikiran Anda. VLAN adalah bentuk jamak dari VLAN. Jadi kalimat ini yang ditulisnya "VLAN didefinisikan dalam switch dan mengisolasi lalu lintas setiap VLAN?" mungkin harus membaca "VLAN didefinisikan di / setiap switch, dan lalu lintas pada setiap VLAN diisolasi"
barlop
@barlop - Saya mengerti bahwa VLAN adalah himpunan bagian dari VLAN namun saya semakin bingung dengan konten dalam tautan yang Anda sarankan yaitu petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm . Misalnya konten berbunyiAt this point, only ports 2 and 3 should be able to communicate with each other and ports 4 & 5 should be able to communicate. That is because each of these is in its own VLAN
PeanutsMonkey
For the device on port 2 to communicate with the device on port 4, you would have to configure a trunk port to a router so that it can strip off the VLAN information, route the packet, and add back the VLAN information
PeanutsMonkey
2

1.Jika saya memiliki beberapa subnet, saya berasumsi bahwa Anda akan memerlukan router untuk berkomunikasi antara setiap subnet. Hanya perangkat di dalam setiap subnet yang akan berada dalam domain broadcast lokal untuk subnet itu. Apakah itu benar?

Jaringan IP (subnet) adalah konsep layer 3. Jika dua PC terpasang pada saklar L2 yang sama tanpa VLAN, mereka akan berada dalam domain broadcast L2 yang sama, tetapi tidak pada domain broadcast L3.

2.Apakah saya memerlukan subnet untuk mengatur VLAN?

Tidak. Namun, jika Anda ingin perangkat dalam VLAN berkomunikasi satu sama lain, mereka mungkin memerlukan beberapa protokol L3.

3.Saya sadar bahwa VLAN dapat ada dalam subnet, tetapi pemahaman saya adalah bahwa Anda harus menetapkan VLAN alamat IP subnet itu. Bagaimana itu bisa diisolasi dari sisa subnet?

Tidak jelas apa yang Anda tanyakan.

4.Kapan Anda akan mengatur VLAN terutama jika saya dapat mengelompokkan jaringan saya menggunakan subnet?

VLAN hanyalah cara untuk membuat perangkat L2 tampak sebagai beberapa perangkat L2.

5. Saya terus menemukan titik bahwa jaringan area lokal Virtual (VLAN) memungkinkan kami untuk membuat jaringan logis dan fisik yang berbeda; sedangkan subnetting IP hanya memungkinkan kita untuk membuat jaringan logis melalui jaringan fisik yang sama. Namun saya tidak yakin apa artinya ini ketika membaca jaringan fisik yang sama.

dbasnett
sumber
Ketika Anda mengatakan bahwa mereka akan berada dalam domain broadcast Layer 2 yang sama dan bukan domain broadcats Layer 3, apa artinya ini sebenarnya?
PeanutsMonkey
Ini berarti bahwa jika suatu paket, dengan semua yang ada di bidang tujuan MAC, ditransmisikan maka akan terlihat oleh semua perangkat. Domain broadcast layer 3 bisa semua yang ada di alamat IP atau nomor jaringan sama dan bagian host dari alamat itu semua. Sebelum Anda beralih ke VLAN, Anda perlu memahami dasar-dasar Layer 2 dan 3.
dbasnett
Terima kasih Bisakah Anda menjelaskan lebih lanjut tentang apa yang Anda maksud all ones? Apakah Anda mengacu pada perhitungan biner dan bitwise?
PeanutsMonkey
Ya, semua yang biner, mac = ffffffffffff untuk MAC dan 255.255.255.255 untuk IP.
dbasnett