Quelle est la différence entre un VLAN et un sous-réseau? [fermé]

91

J'ai lu de nombreux forums et articles concernant les VLAN et les sous-réseaux.
Cependant, je n'ai pas compris les fonctions de chacun, à l'exception des suivantes:

  1. Les sous-réseaux permettent la segmentation d'un réseau
  2. Les VLAN sont une partie isolée d'un réseau

Des questions

  1. Si j'ai plusieurs sous-réseaux, je suppose que vous aurez besoin d'un routeur pour communiquer entre chaque sous-réseau. Seuls les périphériques de chaque sous-réseau se trouveraient dans le domaine de diffusion local de ce sous-réseau. Est-ce correct?

  2. Ai-je besoin d'un sous-réseau pour configurer un VLAN?

  3. Je suis conscient qu'un VLAN peut exister dans un sous-réseau. Mais si j'ai bien compris, vous devez attribuer une adresse IP de ce sous-réseau au VLAN. Comment peut-il être isolé du reste du sous-réseau?

  4. Quand voulez-vous configurer un VLAN? Surtout si je suis capable de segmenter mon réseau en utilisant des sous-réseaux?

  5. Je n'arrête pas de tomber sur le point suivant. Cependant, je ne suis pas sûr ce que cela signifie exactement quand il lit same physical network.

    Les réseaux locaux virtuels (VLAN) nous permettent de créer différents réseaux logiques et physiques; alors que le sous-réseau IP nous permet simplement de créer des réseaux logiques via le même réseau physique.

J'apprécierais des exemples concrets.

subnet vlan PeanutsMonkey
la source
1
La principale différence réside dans le fait que l’adhésion à un sous-réseau dépend de la configuration IP côté client. Par conséquent, le client peut utiliser le sous-réseau de son choix. Pour un VLAN, la configuration est effectuée côté serveur (par exemple, sur le port LAN) et le client ne peut pas le changer. Du point de vue de la sécurité, c'est une grande différence.
Robert
@ Robert - Pouvez-vous préciser ce que vous entendez par client side IP and server side configuration?
PeanutsMonkey
Un sous-réseau est déterminé par l'adresse IP que vous utilisez et l'adresse IP peut être choisie par l'administrateur d'un ordinateur (ou d'un périphérique). Par conséquent, cela se fait côté client - vous ne pouvez pas le contrôler. Un VLAN est configuré côté serveur / routeur. Celui qui contrôle le routeur / serveur décide quel ordinateur / port est affecté à quel VLAN. Un (ou plusieurs) routeurs / serveurs centraux peuvent être protégés logiquement (mot de passe de connexion) et physiquement (accès à la salle des serveurs).
Robert
Cette page peut être utile petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm
barlop
@ PeanutsMonkey: En lisant vos commentaires, il semble que vous constatiez une certaine confusion au sujet des diverses couches réseau du modèle OSI. Les VLAN fonctionnent sur la couche 2 tandis que les sous-réseaux IP fonctionnent sur la couche 3.
afrazier

Réponses:

73

Sous-réseau - plage d'adresses IP déterminée par une partie d'une adresse (souvent appelée adresse réseau) et un masque de sous-réseau (masque de réseau). Par exemple, si le masque est 255.255.255.0(ou / 24 pour faire court), et l'adresse réseau est 192.168.10.0, puis qui définit une plage d'adresses IP à 192.168.10.0travers 192.168.10.255. Sténographie pour écrire qui est 192.168.10.0/24.

VLAN - Un bon moyen de penser à cela est le "partitionnement de commutateur". Supposons que vous disposiez d'un commutateur 8 ports compatible VLAN. Vous pouvez affecter 4 ports à un VLAN (par exemple VLAN 1) et 4 ports à un autre VLAN (par exemple VLAN 2). Le VLAN 1 ne verra pas le trafic du VLAN 2 et inversement, logiquement, vous avez maintenant deux commutateurs distincts. Normalement, sur un commutateur, si le commutateur n'a pas vu d'adresse MAC, il "inondera" le trafic vers tous les autres ports. Les VLAN empêchent cela.

Si deux ordinateurs vont parler via TCP / IP, l'une des deux conditions suivantes doit être remplie:

  • Ils doivent appartenir au même sous-réseau. Cela signifie que l'adresse réseau doit être la même et le masque de réseau doit être égal ou inférieur. Ainsi, un ordinateur avec une interface avec une adresse IP de 192.168.10.4/24peut communiquer avec un ordinateur avec une interface avec une adresse IP 192.168.10.8/24sans problèmes, à condition qu’ils soient tous deux connectés au même commutateur physique ou au même VLAN. Si l'interface du deuxième ordinateur connecté au même commutateur physique ou au même VLAN était connectée 192.168.11.8/24, le trafic serait ignoré (à moins que l'interface ne soit en mode promiscuous).

  • Un routeur doit exister entre les deux ordinateurs pour pouvoir transférer le trafic entre les sous-réseaux. Les ordinateurs A et B ont besoin d’une route (ou d’une passerelle par défaut) vers ce routeur. Supposons qu'un ordinateur avec une interface avec une adresse IP 192.168.10.4/24veut parler à un ordinateur avec une interface avec une adresse IP de 192.168.20.4/24. Différents sous-réseaux, nous devons donc passer par un routeur. Supposons qu'il existe un routeur avec deux interfaces (les routeurs ont par définition deux interfaces), une sur 192.168.10.254/24et 192.168.20.254/24. Si la table de routage ou DHCP est configuré correctement et que les ordinateurs A et B peuvent atteindre les interfaces du routeur sur leurs sous-réseaux respectifs, ils peuvent alors se parler indirectement via le routeur.

Forcer le trafic via un routeur, même si cela n'est pas nécessaire, comme sur notre commutateur à 8 ports ci-dessus, présente des avantages en termes de sécurité et de performances: il vous offre la possibilité de filtrer le trafic, de le router de manière optimale en fonction du type et des routeurs. ne transférez pas le trafic de diffusion (sauf configuration inhabituelle). Les VLAN sont parfois utilisés comme un "hack" pour gérer les flux / visibilité du trafic de diffusion IPv4.

Modifier pour répondre à certaines de vos questions:

  • Conceptuellement, les VLAN sont équivalents aux commutateurs. Ce qui entre dans 1 port d'un VLAN est répliqué ("inondé") sur tous les autres ports sauf si le VLAN a vu / appris l'adresse MAC auparavant, il est alors dirigé vers ce port. Il n'y a pas de passerelle vers le VLAN approprié. Une "passerelle" signifie toujours l'adresse IP d'un routeur.

  • Pour que le VLAN 1 puisse communiquer avec le VLAN 2, une interface dans le VLAN 1 doit être connectée à un routeur, une interface dans le VLAN 2 doit être connectée à un routeur et ce routeur doit être configuré pour transférer le trafic entre ces sous-réseaux. Dans notre exemple à 8 ports ci-dessus, si nous voulions acheminer le trafic entre ces VLAN, nous devrions passer 1 port sur chaque VLAN se connectant à un routeur. Même avec un interrupteur.

Je suis sûr que de nombreux commutateurs / matériels haut de gamme ont un "routeur VLAN" "intégré" dans lequel dépenser un port supplémentaire dans chaque VLAN le connectant à un routeur physique n'est vraiment pas nécessaire si vous souhaitez acheminer un VLAN entre eux. dans le même commutateur. C’est peut-être là que l’IP VLAN ou la "passerelle" entre en jeu. (J'invite les plus compétents à éditer ça)

  • Lorsqu'un ordinateur obtient son adresse IP via DHCP, il obtient aussi généralement la "passerelle par défaut" de ce même serveur DHCP. Quelqu'un doit configurer le serveur DHCP correctement. Les protocoles de routage tels que RIP, IS-IS, OSPF et BGP peuvent également ajouter des itinéraires. Bien sûr, vous avez la possibilité d’ajouter des routes manuellement (routes "statiques")

  • Si votre commutateur dispose d'un port série ou d'un port intitulé "console", il est probablement géré et prend en charge les VLAN.

LawrenceC
la source
1
Une des meilleures explications que j'ai vu aujourd'hui. Cela a soulevé un certain nombre de questions. Le VLAN 1 et le VLAN 2 ont-ils leur propre adresse IP ou est-ce simplement étiqueté comme VLAN 1 et VLAN 2? S'ils sont étiquetés, comment les hôtes / points de terminaison / nœuds du VLAN 1 se parlent-ils? Maintenant, s’il existe un routeur, la passerelle est-elle l’adresse IP du VLAN ou celle du routeur? Quand vous dites route table, est-ce quelque chose que je dois construire? De plus, comment savoir si un commutateur dont vous avez hérité est compatible avec le VLAN ou non géré?
PeanutsMonkey
S'il vous plaît voir les modifications.
LawrenceC
Merci. J'ai eu une question concernant la phrase ven though it's not needed such as on our 8-port switch above, has security and performance benefits. Pourquoi n’aurait-il pas à passer par un routeur si les sous-réseaux font partie d’un réseau différent?
PeanutsMonkey
S'il vous plaît voir plus de modifications.
LawrenceC
20

J'ai trouvé les autres explications compliquées.

  • VLAN vous permet de marquer tous les paquets du réseau avec un nombre magique (par exemple 3).
  • Seules les autres cartes réseau configurées pour 3voir ces paquets

Définissez un tas d'ordinateurs sur VLAN 3et ils seront dans leur propre petit monde isolé; ils ne verront pas d'autre trafic.

Du coup, vous pouvez avoir plusieurs réseaux locaux fonctionnant sur les mêmes câbles (par exemple, des réseaux virtuels ). Vous pouvez même avoir deux ordinateurs avec la même adresse IP, car ils ont des tags VLAN différents (par exemple des 3vers 7)

La définition d'un ID de VLAN est effectuée en configurant le pilote de la carte réseau:

entrez la description de l'image ici

Votre kilométrage variera en fonction de votre carte réseau et de ses pilotes.

Ian Boyd
la source
Je suis tombé sur des tags VLAN mais je suis intrigué par la façon dont vous dites setles cartes réseau 3. Je suppose que les VLAN ne pourraient pas se voir s'il n'y a pas de routeur. S'il y a un routeur, je suppose qu'il faudrait un pare-feu pour empêcher les paquets d'être transmis d'un VLAN à un autre si une requête est faite. Maintenant, quelle serait la passerelle du sous-réseau dans le VLAN? Serait-ce le routeur?
PeanutsMonkey
Le VLAN a-t-il également une adresse IP ou simplement une balise? D'après mes lectures sur petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm, il semble que les troncs peuvent également recevoir des routepaquets. Pas sûr si ma compréhension est claire cependant. Cela signifie-t-il qu'un commutateur est un périphérique de couche 2 et 3?
PeanutsMonkey
Un VLAN est simplement une étiquette. Toutes les cartes réseau doivent être conscientes de la présence d'une balise VLAN et ignorer les paquets avec une balise VLAN différente de la leur.
Ian Boyd
@IanBoyd: Tous les NIC doivent-ils être conscients du VLAN? Je pensais que les commutateurs de périphérie entre les VLAN pouvaient gérer tout le marquage (et la suppression des balises) de l'en-tête Ehternet.
Afrazier
Dans le cas d'un commutateur intelligent comme celui-ci: non, le commutateur peut gérer le trafic dirigé. Mais dans ce cas, vous devez programmer le commutateur pour savoir quels ports prennent quel trafic. De la plus simple explication de ce qu'est le VLAN: c’est une façon de baliser les paquets avec un ID, de sorte que seules les cartes réseau portant le même tag les voient.
Ian Boyd
8

L'explication simpliste est que les VLAN existent pour permettre à différents sous-réseaux de partager le câblage physique, les ports et la commutation. Vous pouvez avoir des sous-réseaux distincts sur votre réseau sans réseaux locaux virtuels, mais vous devez disposer d’un ensemble de câbles différent pour chacun.

Joel Coehoorn
la source
J'ai enfin compris que, d'après le chalutage sur le Web, un réseau local virtuel (VLAN) permet à une organisation d'utiliser le même commutateur plutôt que d'acheter plusieurs commutateurs, mais certaines questions soulevées dans mon message me rendent encore confus.
PeanutsMonkey
4
Quelle? Rien n’empêche l’un d’exploiter plusieurs sous-réseaux IP sur le même réseau physique, bien que je ne vois aucune bonne raison de le faire sans les VLAN. En particulier, vous auriez de sérieuses difficultés avec DHCP sans VLAN pour isoler le trafic de diffusion.
Afrazier
4

1.Si j'ai plusieurs sous-réseaux, je suppose que vous auriez besoin d'un routeur pour communiquer entre chaque sous-réseau.

Oui, vous avez besoin d'un routeur pour déplacer les paquets entre les sous-réseaux.

Seuls les périphériques de chaque sous-réseau se trouveraient dans le domaine de diffusion local de ce sous-réseau. Est-ce correct?

Oui, un sous-réseau est un domaine de diffusion.

2. Ai-je besoin d'un sous-réseau pour configurer un VLAN?

Oui.

3.Je suis conscient qu'un VLAN peut exister dans un sous-réseau, mais je crois comprendre qu'il vous faudrait attribuer au VLAN une adresse IP de ce sous-réseau.

Non, si j'ai bien compris, les VLAN sont définis dans les commutateurs et isolent le trafic de chaque VLAN.

Comment peut-il être isolé du reste du sous-réseau?

Un VLAN est un sous-réseau.

4.Quand voulez-vous configurer un VLAN, en particulier si je peux segmenter mon réseau à l'aide de sous-réseaux?

Lorsque vous devez séparer le trafic en deux groupes ou plus sans séparer l'infrastructure physique (principalement les commutateurs) en deux ou plusieurs groupes physiques.

5.Je n'arrête pas de penser que les réseaux locaux virtuels (VLAN) nous permettent de créer différents réseaux logiques et physiques. alors que le sous-réseau IP nous permet simplement de créer des réseaux logiques via le même réseau physique. Cependant, je ne sais pas ce que cela signifie exactement quand il lit le même réseau physique.

Un réseau local physique se compose principalement de commutateurs et de câbles disposés (dans le cas d'Ethernet) en une structure arborescente unique.

Normalement, un réseau local est un seul sous-réseau. Une organisation peut avoir plusieurs réseaux locaux reliés par des routeurs.

Un seul réseau local physique peut être divisé en plusieurs réseaux locaux logiques (VLAN) à l'aide de la prise en charge du réseau local virtuel dans les commutateurs. Chaque VLAN a alors un sous-réseau séparé. Un routeur est donc nécessaire pour déplacer les paquets entre les LAN logiques (VLAN).

Mise à jour: quelques réponses aux questions suivantes dans les commentaires.

si je voulais que des périphériques sur 2 VLAN distincts communiquent qu’un routeur n’est pas nécessaire, je peux utiliser la jonction.

Voici quelques citations de http://www.formortals.com/an-inintroduction-to-vlan-trunking/

"La jonction VLAN permet à une seule carte réseau de se comporter comme un" n "nombre d'adaptateurs réseau virtuels, où" n "a une limite supérieure théorique de 4096 mais est généralement limité à 1 000 segments de réseau VLAN. "

" Les routeurs peuvent devenir infiniment plus utiles une fois qu'ils sont connectés à l'infrastructure de commutation de l'entreprise. Une fois connectés, ils deviennent omniprésents et peuvent fournir des services de routage à n'importe quel sous-réseau situé à n'importe quel endroit du réseau de l'entreprise. "

Vous avez donc toujours besoin d'un routeur, mais avec une liaison VLAN, il peut s'agir d'un routeur à un seul bras (routeur sur clé). Les commutateurs haut de gamme incluent des fonctionnalités de routage. Vous n'avez donc peut-être pas besoin d'un routeur séparé, car votre commutateur haut de gamme est également un routeur de couche 3.

Quand vous dites que j'ai besoin d'un sous-réseau pour configurer un VLAN, que voulez-vous dire exactement?

Les VLAN sont un concept de couche 2. Tout comme les commutateurs Ethernet sont un périphérique de couche 2. Les réseaux locaux virtuels peuvent faire en sorte que deux commutateurs effectuent des tâches pour lesquelles vous pourriez sinon avoir besoin d’une demi-douzaine de commutateurs en groupes isolés. Toutefois, vos nœuds (ordinateurs, imprimantes, etc.) utilisent généralement un adressage de couche 3 (IP).

Pour que les nœuds d'un réseau local virtuel (N pour le réseau) puissent communiquer avec des nœuds d'un autre réseau local virtuel (N pour le réseau), vous devez utiliser un protocole inter-réseau (en d'autres termes, IP). En IP pour déplacer des paquets entre réseaux, chaque réseau doit avoir une adresse réseau de couche 3 différente.

C’est là que le sous-réseau entre en jeu: divisez la plage d’adresses réseau de couche 3 allouée à une organisation en sous-réseaux à l’aide de masques de sous-réseau. Vous pouvez ensuite utiliser un routeur pour permettre aux périphériques d'un sous-réseau (d'un VLAN) de communiquer avec des périphériques d'un autre sous-réseau (d'un autre VLAN).

RedGrittyBrick
la source
@RedGrittyBrick - Merci. Lorsque vous dites que j'ai besoin d'un sous-réseau pour configurer un VLAN, que voulez-vous dire exactement? Pour moi, le sous-réseau est la ségrégation ou la segmentation des adresses IP? D'après ce que j'ai compris, les VLAN opèrent dans la couche 2, ce qui signifie que les adresses MAC sont résolues en adresses IP. Par conséquent, si ma compréhension est correcte, pourquoi et comment créeriez-vous un sous-réseau pour configurer un VLAN? Je n'ai pas suivi ce que tu voulais dire par VLAN is defined in the switches and isolates the traffic of each VLAN?
PeanutsMonkey
@RedGrittyBrick - Il semble également que si je voulais que des périphériques sur 2 VLAN distincts communiquent, un routeur n'est pas nécessaire, car je peux utiliser la jonction.
PeanutsMonkey
@PeanutsMonkey Il est peut-être possible que vous échangiez les termes VLAN et VLAN de manière incorrecte. Lui comme une faute de frappe dans une phrase que vous lisez de lui, et vous dans votre esprit. Les VLAN sont le pluriel de VLAN. Donc, cette phrase il a écrit "VLAN est défini dans les commutateurs et isole le trafic de chaque VLAN?" devrait peut-être se lire "Les VLAN sont définis dans le / chaque commutateur, et le trafic sur chaque VLAN est isolé"
barlop
@barlop - Je comprends qu'un réseau local virtuel est un sous-ensemble de réseaux locaux virtuels. Cependant, le contenu du lien que vous avez suggéré est confus, par exemple petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm . Par exemple, le contenu se litAt this point, only ports 2 and 3 should be able to communicate with each other and ports 4 & 5 should be able to communicate. That is because each of these is in its own VLAN
PeanutsMonkey
For the device on port 2 to communicate with the device on port 4, you would have to configure a trunk port to a router so that it can strip off the VLAN information, route the packet, and add back the VLAN information
PeanutsMonkey
2

1.Si j'ai plusieurs sous-réseaux, je suppose que vous auriez besoin d'un routeur pour communiquer entre chaque sous-réseau. Seuls les périphériques de chaque sous-réseau se trouveraient dans le domaine de diffusion local de ce sous-réseau. Est-ce correct?

Les réseaux IP (sous-réseaux) sont un concept de couche 3. Si deux PC sont connectés au même commutateur L2 sans VLAN, ils seront dans le même domaine de diffusion L2, mais pas dans le domaine de diffusion L3.

2. Ai-je besoin d'un sous-réseau pour configurer un VLAN?

Toutefois, si vous souhaitez que les périphériques d’un VLAN communiquent entre eux, ils auront probablement besoin d’un protocole L3.

3.Je suis conscient qu'un VLAN peut exister dans un sous-réseau, mais je crois comprendre qu'il vous faudrait attribuer au VLAN une adresse IP de ce sous-réseau. Comment peut-il être isolé du reste du sous-réseau?

Pas clair ce que vous demandez.

4.Quand voulez-vous configurer un VLAN, en particulier si je peux segmenter mon réseau à l'aide de sous-réseaux?

Les VLAN sont simplement un moyen de faire apparaître un périphérique L2 comme plusieurs périphériques L2.

5.Je n'arrête pas de penser que les réseaux locaux virtuels (VLAN) nous permettent de créer différents réseaux logiques et physiques. alors que le sous-réseau IP nous permet simplement de créer des réseaux logiques via le même réseau physique. Cependant, je ne sais pas ce que cela signifie exactement quand il lit le même réseau physique.

Dbasnett
la source
Lorsque vous dites qu'ils seront dans le même domaine de diffusion de couche 2 et non dans le domaine de diffusion de couche 3, qu'est-ce que cela signifie exactement?
PeanutsMonkey
Cela signifie que si un paquet, avec tous ceux présents dans le champ de destination MAC, est transmis, il sera vu par tous les périphériques. Le domaine de diffusion de couche 3 peut être un entier dans l'adresse IP ou les numéros de réseau sont égaux et la partie hôte de l'adresse est tous égaux. Avant de passer aux VLAN, vous devez comprendre les bases des couches 2 et 3.
dbasnett
Remercier. Pourriez-vous élaborer davantage sur ce que vous entendez par all ones? Faites-vous référence aux calculs binaires et au niveau des bits?
PeanutsMonkey
Oui, tous les éléments binaires, mac = ffffffffffff pour MAC et 255.255.255.255 pour IP.
dbasnett