VLAN's zijn een onderwerp dat u zich in principe niet goed of fout kunt veroorloven bij het opzetten ervan. Daarom is het erg belangrijk om te begrijpen hoe VLAN's op het laagste niveau werken. Dit artikel gaat misschien niet in op de basisprincipes van VLAN's, maar geeft je een redelijk goed inzicht in wat VLAN's zijn, hoe ze werken en hoe je ze moet instellen.
1. Wat is een VLAN?
VLAN staat voor Virtual Local Area Network en is, in eenvoudige bewoordingen, een veelgebruikte manier om netwerken op switches te scheiden. Als u netwerken wilt scheiden, moet u normaal gesproken verschillende netwerksegmenten fysiek opbouwen (dus één volledig netwerk voor werknemers, één voor de gasten enz.) en deze parallel laten lopen. Via VLAN's kunt u dezelfde netwerkinfrastructuur gebruiken om meerdere netwerken tegelijkertijd te vervoeren. Het maakt het mogelijk om virtuele netwerken te creëren over de daadwerkelijke fysieke netwerkapparaten.
Om een analogie naar voren te brengen: terwijl subnetten een manier zijn om netwerken binnen routers of zogenaamde "Layer-3-apparaten" te scheiden, in feite IP-gebaseerde apparaten, doen VLAN's iets vergelijkbaars met Layer-2-apparaten in MAC-gebaseerde netwerken .
De regels en standaarden voor VLAN-implementatie zijn geclassificeerd door de IEEE-organisatie binnen de IEEE 802.1q-standaard.
2. Dus, hoe werkt een VLAN nu echt?
Een VLAN, te eenvoudig, werkt via tags . Een tag bestaat uit een paar extra bytes die aan een dataframe zijn gekoppeld en die informatie bevatten zoals het VLAN-lidmaatschap:
Het belangrijkste deel, en waar we ons vooral op zullen concentreren, is de VID, de VLAN-ID. Dit nummer van 1-4096 is gewoon een markering in "tot welk VLAN het frame behoort".
Tagging is een zeer efficiënte manier om te controleren welk frame bij welk VLAN hoort.
Om te begrijpen hoe VLAN's in de praktijk werken, kunt u zich voorstellen dat u een dataverkeerstrook maakt wanneer u een VLAN instelt binnen een switch. Elke baan is gescheiden, loopt parallel en is verbonden met verschillende poorten die aan die baan zijn toegewezen. De "toewijzing aan de baan" is ons VLAN-lidmaatschap . Hoe u dit instelt, wordt beschreven in veel verschillende artikelen die helemaal onderaan dit artikel zijn gelinkt. Maar hier is een grafische weergave ervan:
Je kunt de rijstroken door de switches zien lopen en vervolgens naar de poort van de switch gaan die vervolgens het respectieve lidmaatschap krijgt toegewezen. Dus zodra een frame de switch op een specifiek VLAN is binnengekomen, kan het communiceren met elke Port die lid is van dat VLAN. Maar hoe wordt een frame een VLAN10, 20 of 30 toegewezen frame?
3. Inkomend verkeer op VLAN's
De definitie waarin VLAN een inkomend frame krijgt toegewezen, hangt af van het feit of het inkomende frame al dan niet een VLAN-tag heeft die eraan is toegewezen door het bronapparaat. Als er een VLAN-tag aan het frame is toegewezen, wordt de VID-inhoud uitgelezen. Als de VID in zijn nummer overeenkomt met het getagde lidmaatschap van een switchpoort, wordt deze "op de rijstrook" toegestaan. Maar veel interessanter is om erachter te komen wat er gebeurt met volledig niet-gecodeerde Ethernet-frames. Hier komt de zogenaamde PVID (Port-Based VLAN ID) om de hoek kijken. De PVID is verantwoordelijk voor het kiezen van de juiste rijstrook om frames op te plaatsen die inkomend en niet- getagd zijn - de PVID komt alleen van pas op frames die aan deze twee criteria voldoen. Een poort die is toegewezen met een PVID van 1 zal niet-gecodeerd, inkomend verkeer toewijzen aan VLAN1 om het verkeer "op baan #1" te duwen.
Standaard zijn alle netwerkapparaatpoorten en -switches ingesteld met een PVID1 en een ( ongetagd) lidmaatschap in VLAN1 . Dit betekent dus dat standaard, als u een computer op een switch aansluit zonder enige configuratie door uzelf, die op zijn beurt naar een gateway gaat, dan kunnen de apparaten via de prepositie van de PVID1 en het niet-getagde lidmaatschap in VLAN1 die met elkaar communiceren, aangezien het voorzetsel ze binnen hetzelfde netwerk plaatste.
Laten we nog eens naar een andere visualisatie kijken:
Dit ziet er op het eerste gezicht misschien chaotischer uit dan het is: in principe delen beide poorten die zijn aangesloten op de pc en Gateway het standaard VLAN-lidmaatschap van VLAN1 (niet-gecodeerd lidmaatschap -> wordt zo verder uitgewerkt) en PVID1.
Als de pc verkeer naar de gateway stuurt, wijst de PVID1 van de onderste switch-poort het verkeer toe aan de "lane" voor VLAN1, waardoor deze kan communiceren met de bovenste switch-poort sinds het lidmaatschap in VLAN1 is gegeven. Vergeleken met een getagd lidmaatschap, bepaalt het niet-getagde lidmaatschap of het VLAN al dan niet wordt verzonden met een tag, gemarkeerd met VID=1 (tagged member) of zonder enige VLAN-tag (ongetagd lid). In dit geval, aangezien de bovenste poort niet is getagd, wordt er geen tag toegevoegd. De gateway kan dan reageren op dit inkomende pakket en het terugsturen - ook ongecodeerd, aangezien de gateway nog geen VLAN-bewustzijn heeft geconfigureerd. Nogmaals, de PVID1, dit keer op de bovenste switch-poort, zal het frame toewijzen aan de "VLAN1-lane", opnieuw communicatie mogelijk maken, nu naar de onderste switch-poort vanwege gedeeld VLAN-lidmaatschap. Nogmaals, er wordt geen tag toegevoegd vanwege het niet-getagde lidmaatschap, waardoor het frame acceptabel is voor de pc, die geen VLAN-Tag-informatie kan uitlezen. Door dit proces wordt communicatie tussen gateway en cliëntapparaat tot stand gebracht.
4. Nabeschouwingen en handige links
Het begrijpen van dit kernprincipe van VLAN is een cruciale stap bij het maken van de juiste keuzes bij het opzetten van VLAN. Natuurlijk kunnen we over dit onderwerp alleen maar oppervlakkig beginnen, maar hopelijk geeft dit u een goed startpunt om VLAN's daadwerkelijk te begrijpen en het verschil te kennen tussen PVID- en VLAN-lidmaatschappen.
Hieronder vindt u enkele artikelen over het instellen van VLAN's op een overvloed aan verschillende apparatuur uit ons portfolio:
VLAN's - Tagged VLAN's versus PVID (configuratievoorbeeld niet-gecodeerd/gelabeld VLAN)
VLAN configureren op een USG-apparaat
Aparte VLAN's op een ZyWALL/USG
GS1900: VLAN configureren op Zyxel Switch
Hoe de VLAN-groep op VMG te configureren
Basisconfiguratie van VLAN in de NWA / WAC-serie
VRIJWARING:
Geachte klant, houd er rekening mee dat we machinevertaling gebruiken om artikelen in uw lokale taal aan te bieden. Niet alle tekst is mogelijk nauwkeurig vertaald. Als er vragen of discrepanties zijn over de juistheid van de informatie in de vertaalde versie, lees dan het originele artikel hier: Originele versie
Opmerkingen
0 opmerkingenU moet u aanmelden om een opmerking te plaatsen.