वर्चुअल लैन (वीएलएएन) एक समानांतर भौतिक नेटवर्क की कार्यक्षमता का अनुकरण करने के लिए एकल भौतिक नेटवर्क को अनुमति देने के लिए एक अमूर्तता है। यह आसान है क्योंकि ऐसी परिस्थितियाँ हो सकती हैं जहाँ आपको कई समानांतर भौतिक नेटवर्क की कार्यक्षमता की आवश्यकता होती है, लेकिन आप समानांतर हार्डवेयर खरीदने पर पैसा खर्च नहीं करेंगे। मैं इस उत्तर में ईथरनेट वीएलएएन के बारे में बात कर रहा हूं (भले ही अन्य नेटवर्किंग प्रौद्योगिकियां वीएलएएन का समर्थन कर सकती हैं) और मैं हर बारीकियों में गहराई से गोताखोरी नहीं करूंगा।
एक विवादित उदाहरण और एक समस्या
एक विशुद्ध रूप से वंचित उदाहरण परिदृश्य के रूप में, कल्पना कीजिए कि आप एक कार्यालय भवन के मालिक हैं जिसे आप किरायेदारों को पट्टे पर देते हैं। पट्टे के लाभ के रूप में, प्रत्येक किरायेदार को कार्यालय के प्रत्येक कमरे में लाइव ईथरनेट जैक मिलेगा। आप प्रत्येक मंजिल के लिए एक ईथरनेट स्विच खरीदते हैं, उन्हें उस मंजिल पर प्रत्येक कार्यालय में जैक तक तार करते हैं, और सभी स्विच एक साथ तार करते हैं।
प्रारंभ में, आप दो अलग-अलग किरायेदारों को स्थान देते हैं - एक मंजिल 1 पर और एक 2 पर। इनमें से प्रत्येक किरायेदार अपने कंप्यूटर w / स्टेटिक IPv4 पतों को कॉन्फ़िगर करता है। दोनों किरायेदार अलग-अलग टीसीपी / आईपी सबनेट का उपयोग करते हैं और सब कुछ ठीक काम करने लगता है।
बाद में, एक नया किरायेदार फर्श 3 का आधा भाग लेता है और इनमें से एक नया fangled DHCP सर्वर लाता है। समय गुजरता है और पहली मंजिल का किरायेदार डीएचसीपी बैंडवागन पर भी कूदने का फैसला करता है। यह वह बिंदु है जब चीजें भड़कने लगती हैं। मंजिल 3 किरायेदारों की रिपोर्ट है कि उनके कुछ कंप्यूटरों को एक मशीन से "अजीब" आईपी पते मिल रहे हैं जो उनका डीएचसीपी सर्वर नहीं है। जल्द ही, फर्श 1 किरायेदारों एक ही बात की रिपोर्ट करते हैं।
डीएचसीपी एक प्रोटोकॉल है जो क्लाइंट कंप्यूटरों को गतिशील रूप से आईपी पते प्राप्त करने की अनुमति देने के लिए ईथरनेट की प्रसारण क्षमता का लाभ उठाता है। क्योंकि किरायेदार सभी एक ही भौतिक ईथरनेट नेटवर्क साझा कर रहे हैं वे एक ही प्रसारण डोमेन साझा करते हैं। नेटवर्क में किसी भी कंप्यूटर से भेजा गया एक प्रसारण पैकेट सभी स्विच पोर्ट को हर दूसरे कंप्यूटर में बाढ़ कर देगा। फर्श 1 और 3 पर डीएचसीपी सर्वरों को आईपी पते के पट्टों और वसीयत के लिए सभी अनुरोध प्राप्त होंगे, प्रभावी ढंग से द्वंद्वयुद्ध कि कौन पहले जवाब दे सकता है। यह स्पष्ट रूप से व्यवहार नहीं है जिसे आप अपने किरायेदारों को अनुभव करने के लिए चाहते हैं। यह व्यवहार है, हालांकि, एक "फ्लैट" ईथरनेट नेटवर्क w / o किसी भी VLANs।
इससे भी बुरी बात यह है कि, फर्श 2 पर एक किरायेदार इस "विर्सार्क" सॉफ़्टवेयर को प्राप्त करता है और रिपोर्ट करता है कि, समय-समय पर, वे अपने स्विच से ट्रैफ़िक को देखते हैं जो कंप्यूटर और आईपी पते को संदर्भित करता है जो उन्होंने कभी नहीं सुना है। उनके कर्मचारियों में से एक ने यह भी पता लगा लिया है कि वह अपने पीसी को 192.168.1.38 से 192.168.0.38 को दिए गए आईपी पते को बदलकर इन अन्य कंप्यूटरों के साथ संवाद कर सकता है! संभवतः, वह अन्य किरायेदारों में से एक के लिए "अनधिकृत समर्थक-मुक्त प्रणाली प्रशासन सेवाएं" करने से बस कुछ ही कदम दूर है। अच्छा नही।
संभावित समाधान
आपको एक समाधान की आवश्यकता है! आप बस फर्श के बीच प्लग खींच सकते हैं और इससे सभी अवांछित संचार कट जाएंगे! हाँ! वह टिकट ...
यह काम कर सकता है, सिवाय इसके कि आपके पास एक नया किरायेदार है जो तहखाने के आधे हिस्से और फर्श के खाली हिस्से में किराए पर रहेगा 3. यदि मंजिल 3 स्विच और तहखाने के बीच कोई संबंध नहीं है तो नया किरायेदार नहीं होगा उनके कंप्यूटरों के बीच संचार प्राप्त करने में सक्षम है जो उनके दोनों मंजिलों के आसपास फैले होंगे। प्लग खींचना जवाब नहीं है। इससे भी बदतर अभी भी नया किरायेदार अभी तक ला रहा है एक और इन DHCP सर्वर से एक!
आप प्रत्येक किराएदार के लिए ईथरनेट स्विच के भौतिक रूप से अलग-अलग सेट खरीदने के विचार के साथ फ़्लर्ट करते हैं, लेकिन यह देखते हुए कि आपकी इमारत में 30 मंजिल कैसे हैं, जिनमें से किसी को भी 4 तरीकों से उप-विभाजित किया जा सकता है, फर्श से फर्श तक के केबल के संभावित चूहों समानांतर ईथरनेट स्विच की बड़ी संख्या एक बुरा सपना हो सकती है, महंगी का उल्लेख नहीं करने के लिए। यदि केवल एक ही भौतिक ईथरनेट नेटवर्क अधिनियम बनाने का एक तरीका था जैसे कि यह कई भौतिक ईथरनेट नेटवर्क थे, प्रत्येक का अपना प्रसारण डोमेन है।
बचाव के लिए VLANs
वीएलएएन इस गड़बड़ समस्या का एक जवाब है। VLANs आपको एक ईथरनेट स्विच को तार्किक रूप से वर्चुअल ईथरनेट स्विच को अलग करने की अनुमति देता है। यह एक एकल ईथरनेट स्विच को कई भौतिक ईथरनेट स्विच के रूप में कार्य करने की अनुमति देता है। उदाहरण के लिए, आपकी उप-विभाजित मंजिल 3 के मामले में, आप अपने 48 पोर्ट स्विच को कॉन्फ़िगर कर सकते हैं जैसे कि निचले 24 पोर्ट दिए गए VLAN में हैं (जिसे हम VLAN 12 कहेंगे) और उच्च 24 पोर्ट दिए गए VLAN में हैं ( जिसे हम VLAN 13 कहेंगे)। जब आप अपने स्विच पर वीएलएएन बनाते हैं तो आपको उन्हें किसी प्रकार का वीएलएएन नाम या संख्या निर्दिष्ट करनी होगी। मैं यहां जिन नंबरों का उपयोग कर रहा हूं, वे ज्यादातर अनियंत्रित हैं, इसलिए इस बात की चिंता न करें कि मैं किन विशिष्ट नंबरों का चयन करता हूं।
एक बार जब आपने मंजिल 3 स्विच को VLANs 12 और 13 में विभाजित कर दिया, तो आप पाते हैं कि नई मंजिल 3 किरायेदार अपने डीएचसीपी सर्वर में VLAN 13 में निर्दिष्ट पोर्ट में से एक में प्लग कर सकते हैं और एक पीसी जो वीएलएएन 12 को सौंपा पोर्ट में प्लग किया गया है ' t नए डीएचसीपी सर्वर से आईपी एड्रेस प्राप्त करें। अति उत्कृष्ट! समस्या सुलझ गयी!
ओह, रुको ... हम उस वीएलएएन 13 डेटा को तहखाने में कैसे लाते हैं?
स्विच के बीच वीएलएएन संचार
आपका आधा-तल 3 और आधा-तहखाना किरायेदार अपने तलघर के तहखाने में कंप्यूटर से कनेक्ट करना चाहेंगे। 3. आप अपने वीएलएएन को सौंपे गए बंदरगाहों में से एक केबल को सीधे मंजिल 3 में चला सकते हैं जो तहखाने और जीवन के लिए स्विच करती है। अच्छा होगा, है ना?
वीएलएएन (शुरुआती 802.1Q मानक) के शुरुआती दिनों में आप ऐसा कर सकते हैं। संपूर्ण बेसमेंट स्विच प्रभावी रूप से, VLAN 13 का हिस्सा होगा (VLAN जिसे आपने फ़्लोर 3 और बेसमेंट पर नए किरायेदार को सौंपने का विकल्प चुना है) क्योंकि बेसमेंट स्विच को फ़र्श 3 पर एक पोर्ट द्वारा "फीड" किया जाएगा जो असाइन किया गया है VLAN 13 को।
यह समाधान तब तक काम करेगा जब तक कि आप तहखाने के दूसरे आधे हिस्से को अपनी मंजिल 1 किरायेदार को किराए पर नहीं दे देते हैं जो अपने 1 तल और तहखाने के कंप्यूटर के बीच संचार करना चाहते हैं। आप वीएलएएन का उपयोग करके बेसमेंट स्विच को विभाजित कर सकते हैं (जैसे, वीएलएएनएस 2 और 13 कहते हैं) और तल 1 से पोर्ट से एक केबल को वीएलएन 2 को बेसमेंट में सौंपा गया है, लेकिन आप बेहतर निर्णय बताते हैं कि यह जल्दी से चूहे का घोंसला बन सकता है। केबल का (और केवल खराब होने वाला है)। वीएलएएन का उपयोग करते हुए स्प्लिटिंग स्विच अच्छा है, लेकिन अन्य स्विच से बंदरगाहों तक कई केबलों को चलाने के लिए जो विभिन्न वीएलएएन के सदस्य हैं, गड़बड़ लगता है। निस्संदेह, अगर आपको तहखाने के स्विच को 4 तरीकों के बीच विभाजित करना था, तो उच्चतर मंजिलों पर जगह बनाने वाले किरायेदारों के बीच भी आप ऊपर वाले वीएलएएन से "फीडर" केबल को समाप्त करने के लिए तहखाने के स्विच पर 4 बंदरगाहों का उपयोग करेंगे।
अब यह स्पष्ट होना चाहिए कि एक एकल केबल पर स्विच के बीच कई वीएलएएन से यातायात के सामान्यीकृत तरीके की आवश्यकता है। विभिन्न वीएलएएन के बीच कनेक्शन का समर्थन करने के लिए स्विच के बीच अधिक केबल जोड़ना एक स्केलेबल रणनीति नहीं है। आखिरकार, पर्याप्त वीएलएएन के साथ, आप इन इंटर-वीएलएएन / इंटर-स्विच कनेक्शन के साथ अपने स्विच पर सभी पोर्ट खा रहे हैं। क्या जरूरत है एक एकल कनेक्शन के साथ कई वीएलएएन से पैकेट ले जाने का एक तरीका है - स्विच के बीच एक "ट्रंक" कनेक्शन।
इस बिंदु तक, हमारे द्वारा बात की गई सभी स्विच पोर्ट को "एक्सेस" पोर्ट कहा जाता है। यही है, ये पोर्ट एक एकल वीएलएएन तक पहुंचने के लिए समर्पित हैं। इन पोर्टों में प्लग किए गए उपकरणों का स्वयं कोई विशेष विन्यास नहीं है। ये डिवाइस "वीएलएन" को नहीं जानते हैं कि कोई भी वीएलएएन मौजूद है। फ़्रेम भेजने वाले क्लाइंट डिवाइस को स्विच पर पहुंचाया जाता है, जो तब यह सुनिश्चित करने का ख्याल रखता है कि फ्रेम केवल पोर्ट के लिए असाइन किए गए पोर्टों को भेजा जाता है, जहां वीएलएन को सदस्यों को पोर्ट में सौंपा गया है, जहां फ्रेम स्विच में प्रवेश करता है। यदि कोई फ़्रेम VLAN 12 के सदस्य के रूप में निर्दिष्ट पोर्ट पर स्विच में प्रवेश करता है, तो स्विच केवल उस फ़्रेम आउट पोर्ट को भेजेगा जो VLAN 12 के सदस्य हैं। स्विच "जानता है" वीएलएएन नंबर एक बंदरगाह को सौंपा गया है जहाँ से इसे प्राप्त होता है फ्रेम और किसी तरह केवल उसी वीएलएएन के बंदरगाहों को इस फ्रेम को वितरित करना जानता है।
यदि किसी स्विच के लिए वीएलएन नंबर को अन्य स्विच से जुड़े शेयर करने के लिए स्विच करने का कोई तरीका था तो दूसरा स्विच उचित फ्रेम पोर्ट्स पर केवल उस फ्रेम को डिलीवर करने के लिए ठीक से काम कर सकता है। यह वही है जो 802.1Q वीएलएएन टैगिंग प्रोटोकॉल करता है। (यह ध्यान देने योग्य है कि, 802.1Q से पहले, कुछ विक्रेताओं ने वीएलएएन टैगिंग और इंटर-स्विच ट्रंकिंग के लिए अपने स्वयं के मानकों को बनाया था। अधिकांश भाग के लिए इन पूर्व-मानक तरीकों को 802.1Q द्वारा पूरी तरह से दबा दिया गया है।)
जब आपके पास दो वीएलएएन-जागरूक स्विच एक-दूसरे से जुड़े होते हैं और आप चाहते हैं कि वे स्विच एक-दूसरे के बीच उचित वीएलएएन के बीच फ़्रेम वितरित करें तो आप "ट्रंक" पोर्ट का उपयोग करके उन स्विच को कनेक्ट करते हैं। इसमें "स्विच" मोड से "ट्रंक" मोड (एक बहुत ही बुनियादी कॉन्फ़िगरेशन) में प्रत्येक स्विच पर एक पोर्ट के कॉन्फ़िगरेशन को बदलना शामिल है।
जब कोई पोर्ट ट्रंक मोड में कॉन्फ़िगर किया जाता है, तो स्विच उस पोर्ट को भेजता है, जिसमें फ्रेम में "VLAN टैग" शामिल होगा। यह "वीएलएएन टैग" ग्राहक द्वारा भेजे गए मूल फ्रेम का हिस्सा नहीं था। बल्कि, इस टैग को ट्रंक पोर्ट से बाहर फ्रेम भेजने से पहले भेजने वाले स्विच द्वारा जोड़ा जाता है। यह टैग उस पोर्ट से जुड़े VLAN नंबर को दर्शाता है जहां से फ्रेम की उत्पत्ति हुई थी।
प्राप्त स्विच टैग को यह निर्धारित करने के लिए देख सकता है कि वीएलएएन किस फ्रेम से उत्पन्न हुआ था और उस जानकारी के आधार पर, फ्रेम को केवल उन बंदरगाहों को अग्रेषित किया जाता है जो ओरिजिनल वीएलएएन को सौंपे जाते हैं। क्योंकि "एक्सेस" पोर्ट से जुड़े डिवाइसों को पता नहीं है कि वीएलएएन का उपयोग "टैग" जानकारी के लिए किया जा रहा है, इसे एक्सेस मोड में कॉन्फ़िगर किए गए पोर्ट को भेजने से पहले फ्रेम से सूचना को छीन लिया जाना चाहिए। टैग जानकारी की यह स्ट्रिपिंग पूरी वीएलएएन ट्रंकिंग प्रक्रिया को क्लाइंट डिवाइस से छिपाए जाने का कारण बनती है क्योंकि उन्हें प्राप्त फ्रेम किसी भी वीएलएएन टैग जानकारी को सहन नहीं करेगा।
इससे पहले कि आप वास्तविक जीवन में वीएलएएन को कॉन्फ़िगर करें, मैं एक परीक्षण स्विच पर ट्रंक मोड के लिए एक पोर्ट को कॉन्फ़िगर करने की सलाह दूंगा और ट्रैफ़िक को मॉनिटर करने के लिए उस बंदरगाह को स्निफ़र (जैसे विंडसर) का उपयोग करके भेजा जाएगा। आप किसी दूसरे कंप्यूटर से कुछ सैंपल ट्रैफ़िक बना सकते हैं, एक एक्सेस पोर्ट में प्लग किया जा सकता है, और देख सकते हैं कि ट्रंक पोर्ट को छोड़ने वाले फ्रेम वास्तव में, आपके टेस्ट कंप्यूटर द्वारा भेजे जा रहे फ़्रेम से बड़े होंगे। आप Wireshark में फ्रेम में VLAN टैग जानकारी देखेंगे। मुझे लगता है कि यह वास्तव में देखने लायक है कि एक स्निफर में क्या होता है। 802.1Q टैगिंग मानक पर पढ़ना भी इस बिंदु पर करने के लिए एक अच्छी बात है (खासकर जब से मैं "देशी वीएलएएन" या डबल-टैगिंग जैसी चीजों के बारे में बात नहीं कर रहा हूं)।
वीएलएएन कॉन्फ़िगरेशन बुरे सपने और समाधान
जैसा कि आप अपने भवन में अधिक से अधिक स्थान किराए पर लेते हैं, वीएलएएन की संख्या बढ़ती है। हर बार जब आप एक नया वीएलएएन जोड़ते हैं, तो आप पाते हैं कि आपको अधिक से अधिक ईथरनेट स्विच करने के लिए लॉगऑन करना होगा और उस वीएलएएन को सूची में जोड़ना होगा। क्या यह बहुत अच्छा नहीं होगा अगर कुछ विधि थी जिसके द्वारा आप उस वीएलएएन को एकल कॉन्फ़िगरेशन मेनिफेस्ट में जोड़ सकते हैं और क्या यह स्वचालित रूप से प्रत्येक स्विच के वीएलएएन कॉन्फ़िगरेशन को पॉप्युलेट करेगा?
सिस्को के स्वामित्व वाले "वीएलएएन ट्रंकिंग प्रोटोकॉल" (वीटीपी) या मानकों पर आधारित "मल्टीपल वीएलएएन पंजीकरण प्रोटोकॉल" (एमवीआरपी-- पूर्व में जीवीआरपी) जैसे प्रोटोकॉल इस फ़ंक्शन को पूरा करते हैं। इन प्रोटोकॉल का उपयोग करने वाले नेटवर्क में नेटवर्क में सभी स्विच पर भेजे जा रहे प्रोटोकॉल संदेशों में एक एकल वीएलएएन निर्माण या विलोपन प्रविष्टि परिणाम होता है। वह प्रोटोकॉल संदेश वीएलएएन कॉन्फ़िगरेशन में बाकी स्विचों में परिवर्तन को बताता है, जो बदले में, उनके वीएलएएन कॉन्फ़िगरेशन को संशोधित करता है। वीटीपी और एमवीआरपी चिंतित नहीं हैं कि कौन से विशिष्ट पोर्ट विशिष्ट वीएलएएन के लिए एक्सेस पोर्ट के रूप में कॉन्फ़िगर किए गए हैं, बल्कि सभी स्विचों के लिए वीएलएएन के निर्माण या विलोपन को संप्रेषित करने में उपयोगी हैं।
जब आप वीएलएएन के साथ सहज हो गए हैं, तो आप शायद "वीएलएएन प्रुनिंग" के बारे में वापस जाना और पढ़ना चाहेंगे, जो वीटीपी और एमवीआरपी जैसे प्रोटोकॉल से जुड़ा हुआ है। अभी के लिए इसका जबरदस्त संबंध नहीं है। ( विकिपीडिया पर VTP लेख में एक अच्छा चित्र है जो वीएलएएन प्रूनिंग और उसके लाभ के बारे में बताता है।)
जब आप वास्तविक जीवन में वीएलएएन का उपयोग करते हैं?
इससे पहले कि हम बहुत आगे बढ़ें यह महत्वपूर्ण उदाहरणों के बजाय वास्तविक जीवन के बारे में सोचना महत्वपूर्ण है। दूसरे उत्तर के पाठ की नकल करने के बदले में मैं आपको अपने उत्तर को फिर से संदर्भित करूंगा : जब वीएलएएन बनाऊंगा । यह आवश्यक रूप से "शुरुआती-स्तर" नहीं है, लेकिन यह अब देखने लायक है क्योंकि मैं एक संक्षिप्त उदाहरण पर वापस जाने से पहले संक्षेप में इसका संदर्भ देने जा रहा हूं।
"Tl; डॉ।" भीड़ के लिए (जो निश्चित रूप से सभी ने इस बिंदु पर पढ़ना बंद कर दिया है, वैसे भी), ऊपर दिए गए लिंक का सार यह है: प्रसारण डोमेन को छोटा करने के लिए VLAN बनाएं या जब आप किसी विशेष कारण (सुरक्षा) के लिए यातायात को अलग करना चाहते हैं , नीति, आदि)। वीएलएएन का उपयोग करने के लिए वास्तव में कोई अन्य अच्छे कारण नहीं हैं।
हमारे उदाहरण में हम प्रसारण डोमेन को सीमित करने के लिए वीएलएएन का उपयोग कर रहे हैं (डीएचसीपी जैसे प्रोटोकॉल को सही रखने के लिए) और दूसरा, क्योंकि हम विभिन्न किरायेदारों के नेटवर्क के बीच अलगाव चाहते हैं।
एक फिर से: आईपी सबनेट और वीएलएएन
आम तौर पर बोलते हुए वीएलएएन और आईपी सबनेट के बीच आम तौर पर एक-से-एक संबंध होता है, सुविधा के रूप में, अलगाव को सुविधाजनक बनाने के लिए और एआरपी प्रोटोकॉल कैसे काम करता है, के कारण।
जैसा कि हमने इस उत्तर की शुरुआत में देखा था कि दो अलग-अलग आईपी सबनेट बिना किसी समस्या के एक ही भौतिक ईथरनेट पर उपयोग किए जा सकते हैं। यदि आप प्रसारण डोमेन को सिकोड़ने के लिए वीएलएएन का उपयोग कर रहे हैं तो आप एक ही वीएलएएन को दो अलग-अलग आईपी सबनेट के साथ साझा नहीं करना चाहेंगे क्योंकि आप उनके एआरपी और अन्य प्रसारण ट्रैफ़िक का संयोजन कर रहे हैं।
यदि आप सुरक्षा या नीतिगत कारणों से ट्रैफ़िक को अलग करने के लिए VLAN का उपयोग कर रहे हैं, तो आप संभवतः उसी वीएलएएन में कई सबनेट को संयोजित नहीं करना चाहेंगे क्योंकि आप अलगाव के उद्देश्य को हरा देंगे।
आईपी एक प्रसारण-आधारित प्रोटोकॉल, एड्रेस रिज़ॉल्यूशन प्रोटोकॉल (एआरपी) का उपयोग करता है, आईपी पते को भौतिक (ईथरनेट मैक) पते पर मैप करने के लिए। चूंकि ARP आधारित आधारित है, इसलिए एक ही IP सबनेट के विभिन्न भागों को अलग-अलग VLAN में असाइन करना समस्याग्रस्त होगा क्योंकि एक VLAN में होस्ट दूसरे VLAN में होस्ट से ARP उत्तर प्राप्त नहीं कर पाएंगे, क्योंकि प्रसारण VLVs के बीच आगे नहीं बढ़ाए जाते हैं। आप प्रॉक्सी-एआरपी का उपयोग करके इस "समस्या" को हल कर सकते हैं, लेकिन अंततः, जब तक आपके पास एक आईपी सबनेट को कई वीएलएएन में विभाजित करने की आवश्यकता के लिए एक अच्छा कारण नहीं है, ऐसा करना बेहतर नहीं है।
वन लास्ट असाइड: वीएलएएन और सिक्योरिटी
अंत में, यह ध्यान देने योग्य है कि वीएलएएन एक महान सुरक्षा उपकरण नहीं है। कई ईथरनेट स्विच में बग होते हैं जो एक वीएलएएन से उत्पन्न होने वाले फ़्रेम को दूसरे वीएलएएन को सौंपे गए बंदरगाहों को भेजने की अनुमति देते हैं। ईथरनेट स्विच निर्माताओं ने इन बगों को ठीक करने के लिए कड़ी मेहनत की है, लेकिन यह संदेह है कि कभी भी पूरी तरह से बग मुक्त कार्यान्वयन होगा।
हमारे वंचित उदाहरण के मामले में, फर्श 2 कर्मचारी जो मुफ्त सिस्टम प्रशासन "सेवाएं" प्रदान करने से कुछ पल दूर है, एक किरायेदार को अपने ट्रैफ़िक को वीएलएएन में अलग करके ऐसा करने से रोका जा सकता है। वह यह भी पता लगा सकता है कि स्विच फर्मवेयर में बग का दोहन कैसे किया जाए, हालांकि, अपने ट्रैफ़िक को एक अन्य किरायेदार के वीएलएएन पर "लीक" करने की अनुमति देने के लिए।
वीएलएएन टैगिंग कार्यक्षमता और स्विच प्रदान करने वाले अलगाव पर मेट्रो ईथरनेट प्रदाता भरोसा कर रहे हैं, तेजी से। यह कहना उचित नहीं है कि वीएलएएन का उपयोग करके कोई सुरक्षा की पेशकश नहीं की गई है। हालांकि, यह कहना उचित है कि अविश्वासित इंटरनेट कनेक्शन या DMZ नेटवर्कों के साथ स्थितियों में इस "स्पर्शी" ट्रैफ़िक को स्विच पर VLAN के बजाय ले जाने के लिए शारीरिक रूप से अलग-अलग स्विच का उपयोग करना बेहतर है, जो कि आपके भरोसेमंद "फ़ायरवॉल" ट्रैफ़िक के पीछे भी ले जाता है।
चित्र में परत 3 लाना
अब तक इस उत्तर में सब कुछ 2 - ईथरनेट फ्रेम की परत से संबंधित है। अगर हम इसमें लेयर 3 लाने लगें तो क्या होगा?
आइए, वापस भवन के उदाहरण पर जाएं। आपने वीएलएएन को अलग किरायेदारों के सदस्यों के रूप में प्रत्येक किरायेदार के बंदरगाहों को कॉन्फ़िगर करने का विकल्प चुना है। आपने ट्रंक पोर्ट को कॉन्फ़िगर किया है जैसे कि प्रत्येक मंजिल का स्विच मूल वीएलएएन नंबर के साथ टैग किए गए फ़्रेम को ऊपर या नीचे के फर्श पर स्विच करने के लिए एक्सचेंज कर सकता है। एक किरायेदार के पास कंप्यूटर कई मंजिलों में फैला हो सकता है, लेकिन आपके निपुण वीएलएएन कॉन्फ़िगरेशन कौशल के कारण, ये शारीरिक रूप से वितरित कंप्यूटर सभी एक ही भौतिक लैन का हिस्सा बन सकते हैं।
आप अपनी आईटी उपलब्धियों से इतने भरे हुए हैं कि आप अपने किरायेदारों को इंटरनेट कनेक्टिविटी देना शुरू करने का निर्णय लेते हैं। आप एक मोटी इंटरनेट पाइप और एक राउटर खरीदते हैं। आप अपने सभी किरायेदारों को आइडिया देते हैं और उनमें से दो तुरंत खरीद लेते हैं। सौभाग्य से आपके लिए आपके राउटर में तीन ईथरनेट पोर्ट हैं। आप एक पोर्ट को अपने वसा वाले इंटरनेट पाइप से जोड़ते हैं, दूसरे पोर्ट को एक स्विच पोर्ट को पहले किरायेदार के वीएलएएन तक पहुंच के लिए और दूसरे को दूसरे किरायेदार के वीएलएएन को एक्सेस के लिए असाइन किए गए पोर्ट से कनेक्ट करते हैं। आप अपने राउटर के बंदरगाहों को प्रत्येक किरायेदार के नेटवर्क में आईपी पते के साथ कॉन्फ़िगर करते हैं और किरायेदार आपकी सेवा के माध्यम से इंटरनेट एक्सेस करना शुरू करते हैं! राजस्व बढ़ता है और आप खुश होते हैं।
जल्द ही, हालांकि, एक अन्य किरायेदार आपके इंटरनेट की पेशकश पर फैसला करता है। आप अपने राउटर पर बंदरगाहों से बाहर हैं, यद्यपि। क्या करें?
सौभाग्य से आपने एक राउटर खरीदा जो अपने ईथरनेट बंदरगाहों पर "वर्चुअल सब-इंटरफेस" को कॉन्फ़िगर करने का समर्थन करता है। संक्षेप में यह कार्यक्षमता रूटर को वीएलएएन नंबर उत्पन्न करने के साथ टैग किए गए फ़्रेमों को प्राप्त करने और व्याख्या करने की अनुमति देती है, और प्रत्येक वीएलएएन के लिए उपयुक्त आईपी पते के साथ कॉन्फ़िगर किए गए वर्चुअल (यानी गैर-भौतिक) इंटरफेस के साथ संवाद करेगी। वास्तव में यह आपको राउटर पर एकल ईथरनेट पोर्ट को "मल्टीप्लेक्स" करने की अनुमति देता है, जैसे कि यह कई भौतिक ईथरनेट पोर्ट के रूप में कार्य करता है।
आप अपने राउटर को अपने एक स्विच पर ट्रंक पोर्ट से जोड़ते हैं और प्रत्येक किरायेदार के आईपी एड्रेसिंग स्कीम के अनुरूप वर्चुअल सब-इंटरफेस को कॉन्फ़िगर करते हैं। प्रत्येक वर्चुअल उप-इंटरफ़ेस को प्रत्येक ग्राहक को दिए गए VLAN नंबर के साथ कॉन्फ़िगर किया गया है। जब कोई फ़्रेम ट्रंक पोर्ट को स्विच पर छोड़ता है, तो राउटर के लिए बाध्य होता है, यह मूल VLAN नंबर (क्योंकि यह ट्रंक पोर्ट है) के साथ एक टैग ले जाएगा। राउटर इस टैग की व्याख्या करेगा और पैकेट का इलाज करेगा क्योंकि यह उस वीएलएएन के अनुरूप एक समर्पित भौतिक इंटरफ़ेस पर आया था। इसी तरह, जब राउटर एक अनुरोध के जवाब में स्विच को एक फ्रेम भेजता है तो यह फ्रेम में एक वीएलएएन टैग जोड़ देगा जैसे कि स्विच को पता है कि वीएलएएन को प्रतिक्रिया फ्रेम किस स्थान पर पहुंचाना चाहिए। वास्तव में, आपने राउटर को "दिखाई" देने के लिए कॉन्फ़िगर किया है
छड़ें और परत 3 स्विच पर राउटर
वर्चुअल सब-इंटरफेस का उपयोग करके आप 25+ ईथरनेट इंटरफेस वाले राउटर को खरीदने के बिना अपने सभी किरायेदारों को इंटरनेट कनेक्टिविटी बेचने में सक्षम हैं। आप अपनी आईटी उपलब्धियों से काफी खुश हैं, इसलिए जब आप अपने दो किरायेदारों के साथ नए अनुरोध के साथ आते हैं तो आप सकारात्मक प्रतिक्रिया देते हैं।
इन किरायेदारों ने एक परियोजना पर "साथी" का विकल्प चुना है और वे एक किरायेदार के कार्यालय में क्लाइंट कंप्यूटर से दूसरे किरायेदार के कार्यालय (दूसरे वीएलएएन) में एक सर्वर कंप्यूटर को एक्सेस करने की अनुमति देना चाहते हैं। चूंकि वे दोनों आपकी इंटरनेट सेवा के ग्राहक हैं, इसलिए यह आपके मुख्य इंटरनेट राउटर में एक ACL का एक बहुत ही साधारण परिवर्तन है (जिस पर इन किरायेदार के प्रत्येक VLAN के लिए एक वर्चुअल उप-इंटरफ़ेस कॉन्फ़िगर किया गया है) ट्रैफ़िक को उनके VLAN के बीच प्रवाह की अनुमति देता है साथ ही उनके वीएलएएन से इंटरनेट। आप परिवर्तन करें और किरायेदारों को उनके रास्ते पर भेजें।
अगले दिन आपको दोनों किरायेदारों से शिकायतें मिलती हैं कि एक कार्यालय में क्लाइंट कंप्यूटरों के बीच दूसरे कार्यालय में सर्वर तक पहुंच बहुत धीमी है। सर्वर और क्लाइंट कंप्यूटर दोनों में आपके स्विच के लिए गीगाबिट ईथरनेट कनेक्शन हैं लेकिन फाइलें केवल लगभग 45Mbps पर स्थानांतरित होती हैं, जो संयोगवश, उस गति का लगभग आधा है जिसके साथ आपका कोर राउटर इसके स्विच से जुड़ता है। स्पष्ट रूप से स्रोत वीएलएएन से राउटर तक प्रवाहित होने वाला और राउटर से गंतव्य तक पहुंचने वाला ट्रैफ़िक वीवीएएन को स्विच के राउटर के कनेक्शन से अड़चन में डाल रहा है।
आपने अपने कोर राउटर के साथ क्या किया है, यह वीएलएएन के बीच यातायात को अनुमति देता है, जिसे आमतौर पर "स्टिक ऑन राउटर" (एक यकीनन मूर्खतापूर्ण सनकी व्यंजना) के रूप में जाना जाता है। यह रणनीति अच्छी तरह से काम कर सकती है, लेकिन ट्रैफ़िक केवल वीएलएएन के बीच राउटर के स्विच की क्षमता तक प्रवाहित हो सकता है। यदि, किसी तरह, राउटर को ईथरनेट स्विच के "हिम्मत" के साथ जोड़ा जा सकता है, तो यह ट्रैफ़िक को और भी तेज़ी से रूट कर सकता है (क्योंकि ईथरनेट स्विच स्वयं, निर्माता की शीट के अनुसार, 2Gbps ट्रैफ़िक पर स्विच करने में सक्षम है)।
एक "लेयर 3 स्विच" एक ईथरनेट स्विच है, जो तार्किक रूप से बोलता है, जिसमें एक राउटर अपने अंदर दफन होता है। मुझे लेयर 3 स्विच के बारे में सोचने में काफी मदद मिलती है क्योंकि स्विच के अंदर एक छोटा और तेज राउटर छुपा होता है। इसके अलावा, मैं आपको ईथरनेट स्विचिंग फ़ंक्शन से एक अलग से अलग फ़ंक्शन के रूप में रूटिंग कार्यक्षमता के बारे में सोचने की सलाह दूंगा जो परत 3 स्विच प्रदान करता है। एक परत 3 स्विच है, सभी इरादों और उद्देश्यों के लिए, दो अलग-अलग डिवाइस एक ही चेसिस में लिपटे हुए हैं।
लेयर 3 स्विच में एम्बेडेड राउटर स्विच की आंतरिक स्विचिंग फैब्रिक से ऐसी गति से जुड़ा होता है, जो आमतौर पर, वीएलएएन के बीच या वायर-स्पीड के बीच पैकेट को रूट करने की अनुमति देता है। आभासी रूप से आपके द्वारा अपने "राउटर ऑन द स्टिक" पर कॉन्फ़िगर किए गए वर्चुअल सब-इंटरफेस के साथ लेयर 3 स्विच के अंदर यह एम्बेडेड राउटर वर्चुअल इंटरफेस के साथ कॉन्फ़िगर किया जा सकता है जो प्रत्येक वीएलएएन में "एक्सेस" कनेक्शन के लिए "दिखाई" देता है। वर्चुअल सब-इंटरफेस को वर्चुअल सब-इंटरफेस कहा जाने के बजाय, वीएलएएन से एक लेयर 3 स्विच के अंदर एम्बेडेड राउटर में स्विच वर्चुअल इंटरफेसेस (एसवीआई) कहा जाता है। वास्तव में, एक लेयर 3 स्विच के अंदर एम्बेडेड राउटर में "वर्चुअल पोर्ट्स" की कुछ मात्रा होती है जिसे स्विच पर किसी भी VLAN के लिए "प्लग इन" किया जा सकता है।
एम्बेडेड राउटर एक भौतिक राउटर के समान कार्य करता है, सिवाय इसके कि इसमें आमतौर पर एक ही डायनेमिक राउटिंग प्रोटोकॉल या एक्सेस-कंट्रोल लिस्ट (ACL) के सभी फीचर्स एक फिजिकल राउटर के रूप में नहीं होते हैं (जब तक कि आपने वास्तव में अच्छी लेयर 3 नहीं खरीदी हो स्विच)। एम्बेडेड राउटर का फायदा है, हालांकि, बहुत तेज होने और एक भौतिक स्विच पोर्ट से जुड़ा एक अड़चन नहीं होने के कारण इसमें प्लग किया गया है।
"पार्टनरिंग" किरायेदारों के साथ यहां हमारे उदाहरण के मामले में, आप एक लेयर 3 स्विच प्राप्त करने का विकल्प चुन सकते हैं, इसे ट्रंक पोर्ट में प्लग करें, ताकि दोनों ग्राहक वीएलएएन से ट्रैफ़िक उस तक पहुंचे, फिर आईपी पते और वीएलएएन सदस्यों के साथ एसवीआई को कॉन्फ़िगर करें जैसे कि यह दोनों ग्राहक VLAN में "दिखाई देता है"। एक बार जब आप यह कर लेते हैं कि आपके कोर राउटर पर राउटिंग टेबल को ट्विक करने की बात है और लेयर 3 स्विच में एंबेडेड राउटर जैसे कि टेनेंट के वीएलएएन के बीच बहने वाला ट्रैफिक लेयर 3 स्विच बनाम लेयर के अंदर एम्बेडेड राउटर द्वारा रूट किया जाता है। "एक छड़ी पर रूटर"।
एक लेयर 3 स्विच का उपयोग करने का मतलब यह नहीं है कि ट्रंक पोर्ट्स की बैंडविड्थ से जुड़े अवरोध अभी भी नहीं होंगे जो आपके स्विच को इंटरकनेक्ट करते हैं। यह उन लोगों के लिए एक अलंकारिक चिंता है जो वीएलएएन को संबोधित करते हैं, हालांकि। वीएलएएन का बैंडविड्थ की समस्याओं से कोई लेना-देना नहीं है। आमतौर पर बैंडविड्थ की समस्याओं को उच्च-गति वाले अंतर-स्विच कनेक्शन प्राप्त करने या लिंक-एकत्रीकरण प्रोटोकॉल का उपयोग करके कई निचले-स्पीड कनेक्शनों को एक आभासी उच्च-गति कनेक्शन में एक साथ प्राप्त करके हल किया जाता है। जब तक कि बाद के 3 स्विच के अंदर एम्बेडेड राउटर द्वारा रूट किए जाने वाले सभी डिवाइसों को बंद कर दिया जाता है, स्वयं, सीधे लेयर 3 स्विच पर पोर्ट में प्लग किए जाते हैं, तब भी आपको स्विच के बीच चड्डी के बैंडविड्थ के बारे में चिंता करने की आवश्यकता होती है। एक परत 3 स्विच एक रामबाण नहीं है, लेकिन यह आमतौर पर "
गतिशील VLANs
अंत में, गतिशील वीएलएएन सदस्यता प्रदान करने के लिए कुछ स्विच में एक फ़ंक्शन है। किसी दिए गए पोर्ट को असाइन किए गए पोर्ट के रूप में दिए गए VLAN के लिए पोर्ट के कॉन्फ़िगरेशन (एक्सेस या ट्रंक, और जिसके लिए VLANs) को एक डिवाइस कनेक्ट होने पर गतिशील रूप से बदला जा सकता है। डायनामिक वीएलएएन एक अधिक उन्नत विषय है लेकिन यह जानना कि कार्यक्षमता मौजूद है सहायक हो सकती है।
कार्यक्षमता विक्रेताओं के बीच भिन्न होती है, लेकिन आम तौर पर आप कनेक्टेड डिवाइस के मैक पते के आधार पर गतिशील वीएलएएन सदस्यता को कॉन्फ़िगर कर सकते हैं, डिवाइस के 802.1X प्रमाणीकरण स्थिति, मालिकाना और मानक-आधारित प्रोटोकॉल (सीडीपी और एलएलडीपी), उदाहरण के लिए, आईपी फोन की अनुमति देने के लिए आवाज ट्रैफिक के लिए "वीएलएएन नंबर" की खोज करें), आईपी सबनेट क्लाइंट डिवाइस या ईथरनेट प्रोटोकॉल प्रकार को सौंपा गया है।