2011-11-03 18:16:27 +0000 2011-11-03 18:16:27 +0000
91
91

Quelle est la différence entre un VLAN et un sous-réseau ?

J'ai lu de nombreux forums et articles concernant les VLAN et les sous-réseaux. Cependant, je n'ai pas compris les fonctions de chacun, à part les suivantes :

  1. Les sous-réseaux permettent la segmentation d'un réseau
  2. Les VLAN sont une partie isolée d'un réseau

Questions

  1. Si j'ai plusieurs sous-réseaux, je suppose que vous aurez besoin d'un routeur pour communiquer entre chaque sous-réseau. Seuls les appareils de chaque sous-réseau se trouveraient dans le domaine de diffusion locale de ce sous-réseau. Est-ce exact ?

  2. Ai-je besoin d'un sous-réseau pour configurer un VLAN ?

  3. Je suis conscient qu'un VLAN peut exister au sein d'un sous-réseau. Mais je crois savoir qu'il faut attribuer une adresse IP de ce sous-réseau au VLAN. Comment peut-on l'isoler du reste du sous-réseau ?

  4. Quand mettriez-vous en place un VLAN ? Surtout si je suis capable de segmenter mon réseau en utilisant des sous-réseaux ?

  5. Je n'arrête pas de revenir sur le point suivant. Cependant, je ne sais pas exactement ce que cela signifie lorsqu'on lit same physical network.

apprécierait des exemples concrets.

Réponses (5)

74
74
74
2011-11-04 01:22:46 +0000

Sous-réseau - est une gamme d'adresses IP déterminée par une partie d'une adresse (souvent appelée adresse de réseau) et un masque de sous-réseau (netmask). Par exemple, si le masque de sous-réseau est 255.255.255.0 (ou /24 en abrégé), et que l'adresse réseau est 192.168.10.0, alors cela définit une plage d'adresses IP allant de 192.168.10.0 à 192.168.10.255. L'abréviation pour écrire cela est 192.168.10.0/24.

VLAN - Une bonne façon de penser à cela est le “partitionnement par commutateur”. Disons que vous avez un commutateur à 8 ports qui est compatible VLAN. Vous pouvez attribuer 4 ports à un VLAN (disons VLAN 1) et 4 ports à un autre VLAN (disons VLAN 2). Le VLAN 1 ne verra pas le trafic du VLAN 2 et vice versa, logiquement, vous avez maintenant deux commutateurs séparés. Normalement, sur un commutateur, si le commutateur n'a pas vu d'adresse MAC, il “inondera” le trafic vers tous les autres ports. Les VLANs empêchent cela.

Si deux ordinateurs vont parler en utilisant TCP/IP, alors une des deux conditions suivantes doit être remplie :

  • Ils doivent appartenir au même sous-réseau. Cela signifie que l'adresse réseau doit être la même et que le masque de réseau doit être égal ou inférieur. Ainsi, un ordinateur avec une interface ayant une adresse IP de 192.168.10.4/24 peut parler à un ordinateur avec une interface ayant une adresse IP de 192.168.10.8/24 sans problème, à condition qu'ils soient tous deux connectés au même commutateur physique ou VLAN. Si l'interface du deuxième ordinateur connecté à ce même commutateur physique ou VLAN était 192.168.11.8/24, il ignorerait le trafic (à moins que l'interface ne soit en mode de promiscuité).

  • Un routeur doit exister entre les deux ordinateurs qui peut acheminer le trafic entre les sous-réseaux. L'ordinateur A et l'ordinateur B ont besoin d'une route (ou passerelle par défaut) vers ce routeur. Disons qu'un ordinateur avec une interface dont l'adresse IP est 192.168.10.4/24 veut parler à un ordinateur avec une interface dont l'adresse IP est 192.168.20.4/24. Différents sous-réseaux, nous devons donc passer par un routeur. Disons qu'il y a un routeur avec deux interfaces (les routeurs ont par définition deux interfaces), une sur 192.168.10.254/24 et 192.168.20.254/24. Si la table de routage ou le DHCP est correctement configuré et que les ordinateurs A et B peuvent atteindre les interfaces du routeur sur leurs sous-réseaux respectifs, ils peuvent alors se parler indirectement via le routeur.

Forcer le trafic à passer par un routeur, même s'il n'est pas nécessaire comme sur notre commutateur à 8 ports ci-dessus, présente des avantages en termes de sécurité et de performance - cela vous donne la possibilité de filtrer le trafic, la possibilité d'acheminer le trafic de manière optimale en fonction du type, et les routeurs ne transmettent pas le trafic de diffusion (sauf configuration inhabituelle). Les VLAN sont parfois utilisés comme un “hack” pour gérer les flux/la visibilité du trafic de diffusion IPv4.

Edit pour répondre à certaines de vos questions :

  • Conceptuellement, les VLAN sont équivalents aux commutateurs. Ce qui arrive dans un port d'un VLAN est répliqué (“inondé”) vers tous les autres ports, à moins que le VLAN n'ait vu/appris l'adresse MAC auparavant, alors il est dirigé vers ce port. Il n'y a pas de passerelle vers le VLAN proprement dit. Une “passerelle” signifie toujours l'adresse IP d'un routeur.

  • Pour que le VLAN 1 puisse parler au VLAN 2, une interface du VLAN 1 doit être connectée à un routeur, une interface du VLAN 2 doit être connectée à un routeur, et ce routeur doit être configuré pour acheminer le trafic entre ces sous-réseaux. Dans notre exemple de 8 ports ci-dessus, si nous voulions acheminer le trafic entre ces VLAN, nous devrions passer 1 port sur chaque VLAN se connectant à un routeur. Je suis sûr que de nombreux commutateurs/matériels haut de gamme sont équipés d'un “routeur VLAN” “intégré”. Il n'est pas vraiment nécessaire de passer un port supplémentaire dans chaque VLAN pour le connecter à un routeur physique si vous voulez acheminer le trafic entre les VLAN dans le même commutateur. C'est peut-être là que l'IP ou la “passerelle” VLAN entre en jeu. (J'invite les personnes plus expérimentées à modifier ce point)

  • Lorsqu'un ordinateur obtient son IP via DHCP, il obtient aussi généralement la “passerelle par défaut” de ce même serveur DHCP. Quelqu'un doit configurer le serveur DHCP correctement. Les protocoles de routage tels que RIP, IS-IS, OSPF et BGP peuvent également ajouter des routes. Bien sûr, vous avez la possibilité d'ajouter des routes manuellement (routes “statiques”)

  • Si votre commutateur a un port série ou un port appelé “console”, il est probablement géré et prend en charge les VLAN.

20
20
20
2011-11-04 00:24:09 +0000

J'ai trouvé les autres explications compliquées.

  • VLAN vous permet de marquer tous les paquets du réseau avec un nombre magique (par exemple 3 ).
  • Seules les autres cartes réseau réglées sur 3 verront ces paquets

Réglez un groupe d'ordinateurs sur VLAN 3 et ils seront dans leur propre petit monde isolé ; ils ne verront aucun autre trafic.

Tout à coup, vous pouvez avoir plusieurs LAN fonctionnant sur les mêmes fils (c'est-à-dire des LAN virtuels). Vous pouvez même avoir deux ordinateurs avec la même IP, puisqu'ils ont des balises VLAN différentes (par exemple 3 vers7)


La définition d'une ID VLAN se fait en configurant le pilote de la carte réseau :

Votre kilométrage variera en fonction de votre carte réseau et de ses pilotes.

8
8
8
2011-11-03 19:16:02 +0000

L'explication simpliste est que les VLAN existent pour permettre à différents sous-réseaux de partager le câblage physique, les ports et la commutation. Vous pourriez avoir des sous-réseaux distincts sur votre réseau sans vlans, mais vous devriez avoir un ensemble de câbles différent pour chacun.

4
4
4
2011-11-03 19:07:01 +0000

Si j'ai plusieurs sous-réseaux, je suppose que vous aurez besoin d'un routeur pour communiquer entre chaque sous-réseau.

Oui, vous avez besoin d'un routeur pour déplacer les paquets entre les sous-réseaux.

Seuls les appareils de chaque sous-réseau se trouveront dans le domaine de diffusion local de ce sous-réseau. Est-ce exact ?

Oui, un sous-réseau est un domaine de diffusion.

2.Ai-je besoin d'un sous-réseau pour configurer un VLAN ?

Oui.

3.Je sais qu'un VLAN peut exister au sein d'un sous-réseau, mais je crois comprendre que vous devez attribuer au VLAN une adresse IP de ce sous-réseau. Si je comprends bien, les VLAN sont définis dans les commutateurs et isolent le trafic de chaque VLAN.

Comment peut-il être isolé du reste du sous-réseau ?

Un VLAN est un sous-réseau.

4.Quand mettriez-vous en place un VLAN, surtout si je suis capable de segmenter mon réseau en utilisant des sous-réseaux ? Quand vous devez séparer le trafic en deux ou plusieurs groupes sans séparer l'infrastructure physique (principalement les commutateurs) en deux ou plusieurs groupes physiques. Je n'arrête pas de remarquer que les réseaux locaux virtuels (VLAN) nous permettent de créer différents réseaux logiques et physiques, alors que le sous-réseautage IP nous permet simplement de créer des réseaux logiques à travers le même réseau physique. Je ne sais cependant pas ce que cela signifie exactement lorsqu'il s'agit de lire le même réseau physique.

Un réseau local physique est composé principalement de commutateurs et de câbles disposés (dans le cas d'Ethernet) dans une seule structure arborescente.

Normalement, un réseau local est un seul sous-réseau. Une organisation peut avoir plusieurs réseaux locaux reliés par des routeurs.

Un seul réseau local physique peut être divisé en plusieurs réseaux locaux logiques (VLAN) en utilisant le support VLAN dans les commutateurs. Chaque VLAN a alors un sous-réseau séparé. Un routeur est donc nécessaire pour déplacer les paquets entre les LAN logiques (VLAN).


Mise à jour : quelques réponses aux questions de suivi dans les commentaires.

si je voulais que les appareils sur 2 VLAN séparés communiquent qu'un routeur n'est pas nécessaire car je peux utiliser des trunking.

Voici quelques citations tirées de http://www.formortals. com/an-introduction-to-vlan-trunking/

Le trunking VLAN permet à un seul adaptateur réseau de se comporter comme "n” nombre d'adaptateurs réseau virtuels, où “n” a une limite supérieure théorique de 4096 mais est généralement limité à 1000 segments de réseau VLAN.

Les routeurs peuvent devenir infiniment plus utiles une fois qu'ils sont connectés à l'infrastructure de commutation de l'entreprise. Une fois connectés, ils deviennent omniprésents et peuvent fournir des services de routage à n'importe quel sous-réseau dans n'importe quel coin du réseau de l'entreprise.

”_Il vous faut donc toujours un routeur, mais, avec le VLAN trunking, il peut s'agir d'un routeur à un bras (routeur sur un bâton). Les commutateurs haut de gamme comprennent des capacités de routage, vous n'avez donc peut-être pas besoin d'un routeur séparé car votre commutateur haut de gamme est également un routeur de couche 3.

Lorsque vous dites que j'ai besoin d'un sous-réseau pour configurer un VLAN, que voulez-vous dire exactement ?

Les VLAN sont un concept de couche 2. Tout comme les commutateurs Ethernet sont un dispositif de couche 2. Les VLAN permettent à quelques commutateurs d'effectuer des tâches qui, autrement, nécessiteraient une demi-douzaine de commutateurs dans des groupes isolés. Cependant, vos nœuds (ordinateurs, imprimantes, etc.) utilisent généralement un adressage de couche 3 (IP).

Pour que les nœuds d'un VLAN (N pour réseau) puissent communiquer avec les nœuds d'un autre VLAN (N pour réseau), il faut un protocole interréseau (en d'autres termes, IP). En IP, pour déplacer des paquets entre les réseaux, nous avons besoin que chaque réseau ait une adresse de réseau de couche 3 différente.

C'est ici qu'intervient le sous-réseautage, qui consiste à diviser la plage d'adresses de réseau de couche 3 attribuée à une organisation en sous-réseaux en utilisant des masques de sous-réseau. Vous pouvez ensuite utiliser un routeur pour permettre aux appareils d'un sous-réseau (dans un VLAN) de communiquer avec les appareils d'un autre sous-réseau (dans un autre VLAN).

2
2
2
2011-11-03 19:27:26 +0000

Si je dispose de plusieurs sous-réseaux, je suppose que vous aurez besoin d'un routeur pour communiquer entre chaque sous-réseau. Seuls les appareils de chaque sous-réseau se trouveront dans le domaine de diffusion locale de ce sous-réseau. Les réseaux IP (sous-réseaux) sont un concept de couche 3. Si deux PC sont connectés au même commutateur L2 sans VLAN, ils se trouveront dans le même domaine de diffusion L2, mais pas dans le domaine de diffusion L3.

2.Ai-je besoin d'un sous-réseau pour configurer un VLAN ?

Non. Cependant, si vous voulez que les appareils d'un VLAN communiquent entre eux, ils auront probablement besoin d'un protocole L3.

3.Je sais qu'un VLAN peut exister dans un sous-réseau, mais je crois comprendre qu'il faut attribuer au VLAN une adresse IP de ce sous-réseau. Comment peut-il être isolé du reste du sous-réseau ?

Je ne comprends pas bien ce que vous demandez.

4.Quand mettriez-vous en place un VLAN, surtout si je suis capable de segmenter mon réseau en utilisant des sous-réseaux ?

Les VLAN sont simplement un moyen de faire apparaître un dispositif L2 comme étant plusieurs dispositifs L2.

  1. Je n'arrête pas de penser que les réseaux locaux virtuels (VLAN) nous permettent de créer différents réseaux logiques et physiques, alors que les sous-réseaux IP nous permettent simplement de créer des réseaux logiques par le biais du même réseau physique.