VLANの入門レベルの説明

21

VLANの基本的な使用例は何ですか?

基本的な設計原則は何ですか?

VLANを実装するためにVLANについて学ぶ必要があるかどうかを判断できるように、2段落のエグゼクティブサマリースタイルの回答のようなものを探しています。

ethernet  vlan 
クレイグ・コンスタンティン
ソース

回答:

23

VLAN(仮想LAN)は、1つの物理スイッチ内に複数の仮想スイッチを作成する方法です。したがって、たとえばVLAN 10を使用するように構成されたポートは、まったく同じスイッチに接続されているかのように機能します。VLAN 20のポートは、VLAN 10のポートと直接通信できません。これらは、2つの間でルーティングする必要があります(または2つのVLANをブリッジするリンクが必要です)。

VLANを実装する理由はたくさんあります。通常、これらの理由のうち最も少ないのはネットワークのサイズです。いくつかの理由を箇条書きにしてから、それぞれの理由を説明します。

  • セキュリティ
  • リンク使用率
  • サービスの分離
  • サービス分離
  • サブネットサイズ

セキュリティ: VLANを作成しても、セキュリティ自体は達成されません。ただし、そのVLANを他のサブネットに接続する方法により、そのサブネットへのアクセスをフィルタリング/ブロックすることができます。たとえば、50台のコンピューターと5台のサーバーがあるオフィスビルがある場合、サーバーのVLANとコンピューターのVLANを作成できます。コンピュータがサーバーと通信するために、ファイアウォールを使用してそのトラフィックをルーティングおよびフィルタリングできます。これにより、IPS / IDS、ACL、Etcを適用できます。サーバーとコンピューター間の接続。

リンク使用率: (編集)初めてこれを省いたとは信じられません。脳のおなら。リンク使用率は、VLANを使用するもう1つの大きな理由です。機能別のスパニングツリーは、ループを防ぐために、レイヤー2ネットワークを通る単一のパスを構築します(Oh、my!)。集約デバイスへの複数の冗長リンクがある場合、これらのリンクの一部は使用されなくなります。これを回避するには、異なるVLANで複数のSTPトポロジを構築できます。これは、シスコ独自のPVST、RPVST、または標準ベースのMSTで実現されます。これにより、複数のSTPタイポロジーを使用して、以前に使用していないリンクを利用できます。たとえば、50台のデスクトップがある場合、25台をVLAN 10に、25台をVLAN 20に配置できます。次に、VLAN 10をネットワークの「左側」に配置し、VLAN 20の残りの25台をネットワークの「右側」。

サービスの分離: これは非常に簡単です。IPセキュリティカメラ、IP電話、およびデスクトップがすべて同じスイッチに接続している場合、これらのサービスを独自のサブネットに分離する方が簡単な場合があります。これにより、上位層サービス(例:NBAR)の代わりに、VLANに基づいてこれらのサービスにQOSマーキングを適用することもできます。また、L3ルーティングを実行するデバイスにACLを適用して、望ましくないVLAN間の通信を防ぐことができます。たとえば、デスクトップが電話/セキュリティカメラに直接アクセスするのを防ぐことができます。

サービスの分離: いくつかのVMWareホストとSANがある単一のラックにTORスイッチのペアがある場合、ルーティングされないままのiSCSI VLANを作成できます。これにより、完全に分離されたiSCSIネットワークを使用できるため、他のデバイスがSANにアクセスしたり、ホストとSAN間の通信を中断したりすることはできません。これは、サービス分離の単なる一例です。

サブネットサイズ: 前述のように、1つのサイトが大きくなりすぎると、そのサイトを異なるVLANに分割でき、各ブロードキャストを処理する必要があるホストの数を減らすことができます。

VLANの有用な方法は確かに他にもあります(インターネットサービスプロバイダーとして具体的に使用しているものはいくつか考えられます)が、これらは最も一般的であると感じており、どのように使用するのか、なぜ使用するのかについて良いアイデアを提供する必要があります。特定のユースケースがあり、ここで言及する価値があるプライベートVLANもあります。

ビッグストーン
ソース
7

ネットワークがますます大きくなるにつれて、スケーラビリティが問題になります。通信するには、すべてのデバイスがブロードキャストを送信する必要があり、ブロードキャストはブロードキャストドメイン内のすべてのデバイスに送信されます。より多くのデバイスがブロードキャストドメインに追加されると、より多くのブロードキャストがネットワークを飽和させ始めます。この時点で、ブロードキャストトラフィックによる帯域幅の飽和、各デバイスでの処理の増加(CPU使用率)、さらにはセキュリティの問題など、複数の問題が発生します。この大きなブロードキャストドメインを小さなブロードキャストドメインに分割することがますます必要になっています。

VLANを入力します。

VLANまたは仮想LANは、個別のブロードキャストドメインを仮想的に作成するため、大規模なブロードキャストドメインの問題を克服するために完全に個別のハードウェアLANを作成する必要がありません。代わりに、スイッチには多数のVLANを含めることができ、各VLANは個別の自律ブロードキャストドメインとして機能します。実際、2つのVLANは、ルーターなどのレイヤー3デバイスの介入なしでは相互に通信できません。これが、レイヤー3スイッチングのすべてです。

要約すると、VLANは最も基本的なレベルで、大規模なブロードキャストドメインをより小さく管理しやすいブロードキャストドメインにセグメント化して、拡大し続けるネットワークのスケーラビリティを向上させます。

ヨセフ・ガンズバーグ
ソース
5

VLANは、物理ネットワーク内に作成される論理ネットワークです。それらの主な用途は、ネットワーク内のブロードキャストドメインのサイズを縮小する手段として、分離を提供することですが、多くの他の目的に使用することができます。

これらは、ネットワークエンジニアが使い慣れているツールであり、他のツールと同様に、誤って使用したり、間違ったタイミングで使用したりする可能性があります。すべてのネットワークおよびすべての状況で単一のツールが正しいツールではないため、使用できるツールが多いほど、より多くの環境で作業できるようになります。VLANの詳細を知ることで、必要なときにVLANを使用でき、必要なときに正しく使用できます。

それらの使用方法の一例として、私は現在、SCADA(監視制御およびデータ収集)デバイスが広く使用されている環境で働いています。通常、SCADAデバイスは非常にシンプルであり、優れたソフトウェア開発よりも長い歴史があり、多くの場合、主要なセキュリティの脆弱性をもたらします。

SCADAデバイスは、L3ゲートウェイのない個別のVLANに設定されています。論理ネットワークへの唯一のアクセスは、SCADAデバイスでは不可能な独自のホストベースのセキュリティで保護できる、通信するサーバー(SCADA VLANに1つ、2つのインターフェイスがある)を介したアクセスのみです。SCADAデバイスは、同じ物理デバイスに接続されている場合でも、ネットワークの残りの部分から隔離されているため、脆弱性が軽減されます。

YLearn
ソース
3

設計原則に関して、最も一般的な実装は、VLANを組織構造、つまり、あるVLANのエンジニア、別のVLANのマーケティング、別のIP電話などに組織の構造を合わせることです。 1つ(または複数)のコアにわたって機能します。一部のデバイスでは、VLANのレイヤー3終端(Ciscoの用語では「SVI」、Brocadeの「VE」など)も可能です。これにより、必要に応じてVLAN間通信を行うために別のハードウェアが不要になります。

すでにNESEにあるケースを見たことがあるように、VLANは大規模に管理および保守するのが面倒になります。サービスプロバイダーレルムには、PB(プロバイダーブリッジング-「QinQ」、ダブルタグ、スタックタグなどとして一般的に知られています)、PBB(プロバイダーバックボーンブリッジング-「MAC-in-MAC」)およびPBB-TEがあります。使用可能なVLAN IDの数の制限を緩和しようとするように設計されています。PBB-TEはさらに、動的な学習、フラッディング、スパニングツリーの必要性を排除することを目的としています。C-TAG / S-TAGでVLAN IDとして使用できるのは12ビットのみです(0x000と0xFFFは予約されています)。これが4,094の制限の原因です。

VPLSまたはPBBを使用して、PBに関連する従来のスケーリング上限を排除できます。

ジョン・ジェンセン
ソース
3

VLANの基本的なユースケースは、ほぼ正確に複数のデータリンクブロードキャストドメインにネットワークのセグメンテーションのための基本的なユースケースと同じです。主な違いは、物理 LANでは、ブロードキャストドメインごとに少なくとも1つのデバイス(通常はスイッチ)が必要ですが、仮想 LANブロードキャストドメインのメンバーシップはポートごとに決定され、追加またはハードウェアの交換。

基本的なアプリケーションの場合、PLANの場合と同じ設計原則をVLANに適用します。これを行うために知っておく必要がある3つの概念は次のとおりです。

  1. トランキング -複数のVLANに属するフレームを伝送するリンクは、トランクリンクです。通常、スイッチ間およびスイッチからルーターへのリンクは、トランクリンクとして構成されます。
  2. タグ付け -トランクリンクに送信する場合、デバイスは各フレームに所属する数値VLAN IDをタグ付けして、受信デバイスが適切なブロードキャストドメインに適切に制限できるようにする必要があります。一般的に、ホスト側のポートはタグなしですが、スイッチ側のポートとルーター側のポートにはタグ付いています。タグは、データリンクのカプセル化の追加的な部分です。
  3. 仮想インターフェイス-1つ以上のトランクリンクインターフェイスを持つデバイスでは、多くの場合、論理的な意味で、デバイスをトランク内にある1つ以上の個々のVLANにリンク端末として接続する必要があります。これは特にルーターに当てはまります。この論理リンク接続は、指定VLANに関連付けられた単一のブロードキャストドメインに接続されるポートとして機能する仮想インターフェイスとしてモデル化されます。
ニールボウ
ソース
2

VLANの本来の用途は、ネットワーク内のブロードキャストエリアを制限することでした。ブロードキャストは、独自のVLANに制限されます。後で追加機能が追加されました。ただし、VLANは、たとえばCiscoスイッチのレイヤ2であることに注意してください。スイッチのポートにIPアドレスを割り当てることでレイヤー2を追加できますが、これは必須ではありません。

追加機能:

  • トランキング:1つの物理接続を介して複数のVLANを使用します(例:2つのスイッチを接続し、1つの物理リンクですべてのVLANに接続でき、VLANの分離はタグ付けによって行われます:ciscoのdot1Qを参照)
  • 保安
  • 管理が簡単です(例:VLANのシャットダウンは、他のVLANの接続に影響しません...)
  • ...
Bulki
ソース
1

私がもう1つの情報を提供することができれば、助けになるかもしれません。

VLANを理解するには、2つの重要な概念も理解する必要があります。

-サブネット化-さまざまなデバイス(サーバーやクライアントなど)が相互に通信できるようにするには、各VLANにIPサブネットを割り当てる必要があります。これは上記のSVIです。これにより、VLAN間のルーティングを開始できます。

-ルーティング-各VLANを作成し、各VLANのクライアントにサブネットを割り当て、各VLANにSVIを作成したら、ルーティングを有効にする必要があります。ルーティングは、インターネットへの静的なデフォルトルートと、各サブネットのEIGRPまたはOSPFネットワークステートメントを使用して、非常に単純なセットアップにすることができます。

すべてがどのように組み合わされるかを確認すると、実際には非常にエレガントです。

ジョナサン・デイビス
ソース
ありがとう!subn / rtnが得られるので、このすべてのVLAN情報で、はい、それは完全に理にかなっています。私はすでに「バックサイド」VLANを構築し、2番目の未使用のインターフェースを備えたシステムに移行することを考えています。
クレイグコンスタンティン
1
VLANは、L3情報、ルーティング、またはSVIを必要としません。これらは、そのVLANのホストにL3(IP)以上の機能が必要な場合にのみ必要です。
YLearn
追加するだけで、VLANでIPを実行する必要がなくなります。(参照:プロトコルベースのVLAN-対ポートベース、これは99%の時間使用されています。)
リッキービーム
あなたの両方の声明に同意します。L2 VLANには確かに用途があります。ただし、誰かが既存のネットワークにVLANを追加することを考えている場合、L3の側面を説明しないことは重大な省略です。
ジョナサンデイ​​ビス
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.