¿Cuál es la diferencia entre una VLAN y una subred? [cerrado]

91

He leído numerosos foros y artículos sobre VLAN y subredes.
Sin embargo, no he entendido las funciones de cada uno aparte de lo siguiente:

  1. Las subredes permiten la segmentación de una red.
  2. Las VLAN son una parte aislada de una red.

Preguntas

  1. Si tengo varias subredes, supongo que necesitaría un enrutador para comunicarse entre cada subred. Solo los dispositivos dentro de cada subred estarían en el dominio de difusión local para esa subred. ¿Está bien?

  2. ¿Necesito una subred para configurar una VLAN?

  3. Soy consciente de que una VLAN puede existir dentro de una subred. Pero entiendo que tendría que asignar una dirección IP de esa subred a la VLAN. ¿Cómo se puede aislar del resto de la subred?

  4. ¿Cuándo configurarías una VLAN? ¿Especialmente si puedo segmentar mi red usando subredes?

  5. Sigo encontrando el siguiente punto. Sin embargo, no estoy seguro de lo que esto significa exactamente cuando se lee same physical network.

    Las redes virtuales de área local (VLAN) nos permiten crear diferentes redes lógicas y físicas; mientras que las subredes IP simplemente nos permiten crear redes lógicas a través de la misma red física.

Agradecería ejemplos del mundo real.

subnet vlan CacahuetesMonkey
fuente
1
La principal diferencia es que unirse a una subred se basa en la configuración de IP del lado del cliente. Por lo tanto, el cliente puede usar cualquier subred que desee. Para una VLAN, la configuración se realiza en el lado del servidor (por ejemplo, en función del puerto LAN) y el cliente no puede cambiarla. Desde una perspectiva de seguridad, esta es una gran diferencia.
Robert
@Robert - ¿Puedes explicar en qué te refieres client side IP and server side configuration?
PeanutsMonkey
La IP que utiliza determina una subred y el administrador de una computadora (o dispositivo) puede elegir la IP. Por lo tanto, se realiza en el lado del cliente: no puede controlarlo. Se configura una VLAN en el lado del servidor / enrutador. El que controla el enrutador / servidor decide qué computadora / puerto está asignado a qué VLAN. Uno (o algunos) enrutadores / servidores centrales pueden protegerse de forma lógica (contraseña de inicio de sesión) y físicamente (acceso a la sala de servidores).
Robert
Esta página puede ser útil petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm
barlop
@PeanutsMonkey: leyendo sus comentarios, parece que está viendo cierta confusión sobre las diversas capas de red en el modelo OSI. Las VLAN operan en la Capa 2, mientras que las Subredes IP operan en la Capa 3.
Afrazier

Respuestas:

73

Subred: es un rango de direcciones IP determinadas por parte de una dirección (a menudo llamada dirección de red) y una máscara de subred (máscara de red). Por ejemplo, si la máscara de red es 255.255.255.0(o / 24 para abreviar) y la dirección de red es 192.168.10.0, entonces eso define un rango de direcciones IP a 192.168.10.0través 192.168.10.255. Taquigrafía para escribir eso es 192.168.10.0/24.

VLAN: una buena manera de pensar en esto es "cambiar la partición". Supongamos que tiene un conmutador de 8 puertos que admite VLAN. Puede asignar 4 puertos a una VLAN (por ejemplo, VLAN 1) y 4 puertos a otra VLAN (por ejemplo, VLAN 2). La VLAN 1 no verá el tráfico de la VLAN 2 y viceversa, lógicamente, ahora tiene dos conmutadores separados. Normalmente en un conmutador, si el conmutador no ha visto una dirección MAC "inundará" el tráfico a todos los demás puertos. Las VLAN evitan esto.

Si dos computadoras van a hablar usando TCP / IP, entonces se debe cumplir una de dos condiciones:

  • Deben pertenecer a la misma subred. Esto significa que la dirección de red debe ser la misma y la máscara de red debe ser igual o menor. Por lo tanto, una computadora con una interfaz con una dirección IP 192.168.10.4/24puede comunicarse con una computadora con una interfaz con una dirección IP 192.168.10.8/24sin problemas, siempre que ambos estén conectados al mismo conmutador físico o VLAN. Si la interfaz de la segunda computadora se conectara al mismo conmutador físico o VLAN 192.168.11.8/24, ignoraría el tráfico (a menos que la interfaz estuviera en modo promiscuo).

  • Es necesario que exista un enrutador entre ambas computadoras que pueda reenviar el tráfico entre subredes. La computadora A y la computadora B necesitan una ruta (o puerta de enlace predeterminada) a este enrutador. Digamos que una computadora con una interfaz con una dirección IP de 192.168.10.4/24quiere hablar con una computadora con una interfaz con una dirección IP de 192.168.20.4/24. Diferentes subredes, por lo que debemos pasar por un enrutador. Digamos que hay un enrutador con dos interfaces (los enrutadores por definición tienen dos interfaces), uno encendido 192.168.10.254/24y otro 192.168.20.254/24. Si la tabla de ruta o DHCP está configurada correctamente y la computadora A y B pueden alcanzar las interfaces del enrutador en sus respectivas subredes, entonces pueden comunicarse entre sí indirectamente a través del enrutador.

Obligar al tráfico a pasar por un enrutador, aunque no es necesario, como en nuestro conmutador de 8 puertos anterior, tiene beneficios de seguridad y rendimiento: le brinda la oportunidad de filtrar el tráfico, una oportunidad de enrutar el tráfico de manera óptima según el tipo y los enrutadores no reenvíe el tráfico de difusión (a menos que esté configurado de forma inusual). Las VLAN a veces se usan como un "hack" para administrar los flujos / visibilidad del tráfico de difusión IPv4.

Edite para responder algunas de sus preguntas:

  • Conceptualmente, las VLAN son equivalentes a los conmutadores. Lo que viene en 1 puerto de una VLAN se replica ("inunda") a todos los demás puertos a menos que la VLAN haya visto / aprendido la dirección MAC antes, luego se dirige a ese puerto. No hay puerta de enlace a la VLAN propiamente dicha. Una "puerta de enlace" siempre significa la dirección IP de un enrutador.

  • Para que la VLAN 1 hable con la VLAN 2, una interfaz en la VLAN 1 debe estar conectada a un enrutador, una interfaz en la VLAN 2 debe estar conectada a un enrutador y ese enrutador debe estar configurado para reenviar el tráfico entre esas subredes. En nuestro ejemplo de 8 puertos anterior, si quisiéramos enrutar el tráfico entre esas VLAN, tendríamos que gastar 1 puerto en cada VLAN que se conecta a un enrutador. Lo mismo con un interruptor.

Estoy seguro de que muchos conmutadores / hardware de gama alta tienen un "enrutador VLAN" "incorporado" en el que pasar un puerto adicional dentro de cada VLAN que lo conecta a un enrutador físico realmente no es necesario si desea enrutar entre VLAN en el mismo interruptor Esto podría ser donde entra en juego la IP VLAN o "puerta de enlace". (Invito a los más expertos a editar esto)

  • Cuando una computadora obtiene su IP a través de DHCP, generalmente también obtiene la "puerta de enlace predeterminada" del mismo servidor DHCP. Alguien tiene que configurar el servidor DHCP correctamente. Los protocolos de enrutamiento como RIP, IS-IS, OSPF y BGP también pueden agregar rutas. Por supuesto, tiene la opción de agregar rutas manualmente (rutas "estáticas")

  • Si su conmutador tiene un puerto serie o puerto etiquetado como "consola", es probable que esté administrado y sea compatible con VLAN.

LawrenceC
fuente
1
Una de las mejores explicaciones que he visto hoy. Ahora que ha planteado una serie de preguntas. ¿VLAN 1 y VLAN 2 tendrían su propia dirección IP o simplemente están etiquetadas como VLAN 1 y VLAN 2? Si están etiquetados, ¿cómo se comunican los hosts / puntos finales / nodos en la VLAN 1? Ahora, si hay un enrutador, ¿es la puerta de enlace la dirección IP de la VLAN o la del enrutador? Cuando dices route table, ¿es algo que tengo que construir? Además, ¿cómo saber si un conmutador que ha heredado es compatible con VLAN (administrado) o no administrado?
PeanutsMonkey
Por favor, vea las ediciones.
LawrenceC el
Gracias. Tenía una pregunta sobre la oración ven though it's not needed such as on our 8-port switch above, has security and performance benefits. ¿Por qué no tendría que pasar por un enrutador si las subredes son parte de una red diferente?
PeanutsMonkey
Por favor, vea más ediciones.
LawrenceC
20

Encontré las otras explicaciones complicadas.

  • VLAN le permite etiquetar todos los paquetes de red con un número mágico (por ejemplo 3).
  • Solo otras tarjetas de red configuradas para 3ver esos paquetes

Configura un montón de computadoras VLAN 3y estarán en su propio pequeño mundo aislado; No verán ningún otro tráfico.

De repente, puede tener varias LAN funcionando en los mismos cables (es decir, LAN virtuales ). Incluso puede tener dos computadoras con la misma IP, ya que tienen diferentes etiquetas VLAN (por ejemplo, 3versos 7)

La configuración de una ID de VLAN se realiza configurando el controlador de la tarjeta de red:

ingrese la descripción de la imagen aquí

Su millaje variará con su tarjeta de red y sus controladores.

Ian Boyd
fuente
Me he encontrado con etiquetas de VLAN, pero estoy intrigado por cómo setdecir las tarjetas de red 3. Supongo que las VLAN no podrían verse si no hay un enrutador. Si hay un enrutador, supongo que tendría que haber un firewall para evitar que los paquetes pasen de una VLAN a la siguiente si se realiza una solicitud. ¿Cuál sería la puerta de enlace de la subred en la VLAN? ¿Sería el enrutador?
PeanutsMonkey
¿También se le asigna a la VLAN una dirección IP o simplemente una etiqueta? Según mis lecturas en petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm, parece que los troncales también pueden routepaquetes. Sin embargo, no estoy seguro si mi comprensión es clara. ¿Eso significa que un interruptor es un dispositivo de capa 2 y 3?
PeanutsMonkey
Una VLAN es simplemente una etiqueta. Todas las tarjetas de red deben ser conscientes de la presencia de una etiqueta VLAN e ignorar los paquetes con una etiqueta VLAN diferente a la suya.
Ian Boyd el
@ IanBoyd: ¿Todas las NIC deben ser conscientes de VLAN? Pensé que los cambios de borde entre las VLAN podrían manejar todo el etiquetado (y eliminación de etiquetas) del encabezado de Ehternet.
Afrazier el
En el caso de un interruptor inteligente como ese: no, el interruptor puede manejar el tráfico directo. Pero en ese caso, debe programar el conmutador para saber qué puertos toman qué tráfico. Desde la explicación más simple de lo que es la VLAN: es una forma de etiquetar paquetes con una ID, de modo que solo las tarjetas de red con la misma etiqueta los vean.
Ian Boyd el
8

La explicación simplista es que las VLAN existen para permitir que diferentes subredes compartan cableado físico, puertos y conmutación. Podría tener subredes distintas en su red sin vlans, pero tendría que tener un conjunto diferente de cables para cada una.

Joel Coehoorn
fuente
Finalmente entendí que, al rastrear la web, una VLAN permite que una organización utilice el mismo conmutador en lugar de comprar múltiples conmutadores, sin embargo, todavía estoy confundido acerca de algunas de las preguntas que planteé en mi publicación.
PeanutsMonkey
44
¿Qué? No hay nada que impida que uno opere múltiples subredes IP en la misma red física, aunque no puedo pensar en ninguna buena razón para hacerlo sin VLAN en su lugar. En particular, tendría algunas dificultades serias con DHCP sin VLAN para aislar el tráfico de transmisión.
Afrazier el
4

1.Si tengo varias subredes, supongo que necesitaría un enrutador para comunicarse entre cada subred.

Sí, necesita un enrutador para mover paquetes entre subredes.

Solo los dispositivos dentro de cada subred estarían en el dominio de difusión local para esa subred. ¿Está bien?

Sí, una subred es un dominio de difusión.

¿Necesito una subred para configurar una VLAN?

Si.

3. Soy consciente de que una VLAN puede existir dentro de una subred, pero entiendo que tendría que asignarle a la VLAN una dirección IP de esa subred.

No, según tengo entendido, las VLAN se definen en los conmutadores y aíslan el tráfico de cada VLAN.

¿Cómo se puede aislar del resto de la subred?

Una VLAN es una subred.

4. ¿Cuándo configuraría una VLAN, especialmente si puedo segmentar mi red usando subredes?

Cuando necesita segregar el tráfico en dos o más grupos sin separar la infraestructura física (principalmente conmutadores) en dos o más grupos físicos.

5. Me encuentro con el punto de que las redes de área local virtuales (VLAN) nos permiten crear diferentes redes lógicas y físicas; mientras que las subredes IP simplemente nos permiten crear redes lógicas a través de la misma red física. Sin embargo, no estoy seguro de lo que esto significa exactamente cuando lee la misma red física.

Una LAN física se compone principalmente de conmutadores y cables dispuestos (en el caso de Ethernet) en una sola estructura de árbol.

Normalmente una LAN es una subred única. Una organización puede tener varias LAN conectadas por enrutadores.

Una única LAN física se puede dividir en varias LAN lógicas (VLAN) utilizando el soporte de VLAN en los conmutadores. Cada VLAN tiene una subred separada. Por lo tanto, se necesita un enrutador para mover paquetes entre las LAN lógicas (VLAN).

Actualización: algunas respuestas a las preguntas de seguimiento en los comentarios.

si quisiera dispositivos en 2 VLAN separadas para comunicar que no se necesita un enrutador, ya que puedo usar el enlace troncal.

Aquí hay algunas citas de http://www.formortals.com/an-introduction-to-vlan-trunking/

"El enlace troncal VLAN permite que un único adaptador de red se comporte como" n "número de adaptadores de red virtuales, donde" n "tiene un límite superior teórico de 4096 pero generalmente está limitado a 1000 segmentos de red VLAN " .

" Los enrutadores pueden volverse infinitamente más útiles una vez que están conectados a la infraestructura del conmutador empresarial. Una vez que están conectados, se vuelven omnipresentes y pueden proporcionar servicios de enrutamiento a cualquier subred en cualquier rincón de la red empresarial " .

Por lo tanto, aún necesita un enrutador, pero, con el enlace troncal VLAN, puede ser un enrutador de un solo brazo (enrutador en un dispositivo). Los conmutadores de gama alta incluyen capacidades de enrutamiento, por lo que es posible que no necesite un enrutador separado porque su conmutador de gama alta también es un enrutador de capa 3.

Cuando dice que necesito una subred para configurar una VLAN, ¿qué quiere decir exactamente?

Las VLAN son un concepto de capa 2. Así como los conmutadores Ethernet son un dispositivo de capa 2. Las VLAN pueden hacer que un par de conmutadores realicen trabajos donde, de lo contrario, podría necesitar media docena de conmutadores en grupos aislados. Sin embargo, sus nodos (computadoras, impresoras, etc.) suelen utilizar el direccionamiento de capa 3 (IP).

Para que los nodos en una VLAN (N para la red) se comuniquen con los nodos en otra VLAN (N para la red) necesita un protocolo InterNetwork (en otras palabras, IP). En IP para mover paquetes entre redes, necesitamos que cada red tenga una dirección de red de capa 3 diferente.

Aquí es donde entra la subred, dividiendo el rango de direcciones de red de capa 3 asignado de una organización en subredes mediante el uso de máscaras de subred. Luego puede usar un enrutador para permitir que los dispositivos en una subred (en una VLAN) se comuniquen con dispositivos en otra subred (en otra VLAN).

RedGrittyBrick
fuente
@RedGrittyBrick - Gracias. Cuando dice que necesito una subred para configurar una VLAN, ¿qué quiere decir exactamente? Para mí, la subred es la segregación o segmentación de direcciones IP? Por lo que he entendido, las VLAN operan en la Capa 2, lo que significa que resuelve las direcciones MAC en direcciones IP, por lo que suponiendo que mi comprensión sea correcta, ¿por qué y cómo crearía una subred para configurar una VLAN? ¿No entendí a qué te referías VLAN is defined in the switches and isolates the traffic of each VLAN?
PeanutsMonkey
@RedGrittyBrick: también parece que si quisiera dispositivos en 2 VLAN separadas para comunicar que no se necesita un enrutador, ya que puedo usar el enlace troncal.
PeanutsMonkey
@PeanutsMonkey Quizás sea posible que ambos estén intercambiando incorrectamente los términos VLAN y VLAN. Él como un tipo incorrecto en una oración que lees de él, y tú en tu mente. VLANs es el plural de VLAN. Entonces, esta oración que escribió "¿VLAN se define en los conmutadores y aísla el tráfico de cada VLAN?" quizá debería decir "VLAN se definen en la / cada interruptor, y se aísla el tráfico en cada VLAN"
barlop
@barlop: entiendo que una VLAN es un subconjunto de VLAN, pero me confunde el contenido del enlace que sugirió, es decir, petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm . Por ejemplo, el contenido diceAt this point, only ports 2 and 3 should be able to communicate with each other and ports 4 & 5 should be able to communicate. That is because each of these is in its own VLAN
PeanutsMonkey
For the device on port 2 to communicate with the device on port 4, you would have to configure a trunk port to a router so that it can strip off the VLAN information, route the packet, and add back the VLAN information
PeanutsMonkey
2

1.Si tengo varias subredes, supongo que necesitaría un enrutador para comunicarse entre cada subred. Solo los dispositivos dentro de cada subred estarían en el dominio de difusión local para esa subred. ¿Está bien?

Las redes IP (subredes) son un concepto de capa 3. Si dos PC están conectadas al mismo conmutador L2 sin VLAN, estarán en el mismo dominio de transmisión L2, pero no en el dominio de transmisión L3.

¿Necesito una subred para configurar una VLAN?

No. Sin embargo, si desea que los dispositivos en una VLAN se comuniquen entre sí, es probable que necesiten algún protocolo L3.

3. Soy consciente de que una VLAN puede existir dentro de una subred, pero entiendo que tendría que asignarle a la VLAN una dirección IP de esa subred. ¿Cómo se puede aislar del resto de la subred?

No está claro lo que estás preguntando.

4. ¿Cuándo configuraría una VLAN, especialmente si puedo segmentar mi red usando subredes?

Las VLAN son simplemente una forma de hacer que un dispositivo L2 parezca ser múltiples dispositivos L2.

5. Me encuentro con el punto de que las redes de área local virtuales (VLAN) nos permiten crear diferentes redes lógicas y físicas; mientras que las subredes IP simplemente nos permiten crear redes lógicas a través de la misma red física. Sin embargo, no estoy seguro de lo que esto significa exactamente cuando lee la misma red física.

dbasnett
fuente
Cuando dice que estarán en el mismo dominio de transmisión de Capa 2 y no en el dominio de transmisores de Capa 3, ¿qué significa esto exactamente?
PeanutsMonkey
Significa que si se transmite un paquete, con todos los del campo de destino MAC, todos los dispositivos lo verán. El dominio de difusión de capa 3 puede ser todos los que están en la dirección IP o los números de red son iguales y la porción de host de la dirección es todos unos. Antes de pasar a las VLAN, debe comprender los conceptos básicos de la capa 2 y 3.
dbasnett
Gracias. ¿Podría dar más detalles sobre lo que quiere decir con all ones? ¿Te refieres a cálculos binarios y bit a bit?
PeanutsMonkey
Sí, todos los binarios, mac = ffffffffffff para MAC y 255.255.255.255 para IP.
dbasnett