Prije nego što uđemo u osnove VLAN-a, zamolio bih vas da pauzirate ovaj video, kliknete na ikonu u donjem lijevom kutu gdje piše Networking consultant, idite na našu Facebook stranicu i tamo ga lajkate. Zatim se vratite na video i kliknite na ikonu King u donjem desnom uglu da se pretplatite na naš zvanični YouTube kanal. Stalno dodajemo nove serije, sada se to tiče CCNA kursa, zatim planiramo da pokrenemo kurs video lekcija CCNA Security, Network+, PMP, ITIL, Prince2 i objavimo ove divne serije na našem kanalu.
Dakle, danas ćemo govoriti o osnovama VLAN-a i odgovoriti na 3 pitanja: šta je VLAN, zašto nam je potreban VLAN i kako ga konfigurisati. Nadam se da ćete nakon gledanja ovog video tutorijala moći odgovoriti na sva tri pitanja.
Šta je VLAN? VLAN je skraćenica za virtualnu lokalnu mrežu. Kasnije u ovom vodiču ćemo pogledati zašto je ova mreža virtuelna, ali prije nego što pređemo na VLAN, moramo razumjeti kako radi prekidač. Pregledaćemo neka od pitanja o kojima smo razgovarali u prethodnim lekcijama.
Prvo, hajde da razgovaramo o tome šta je domen višestruke kolizije. Znamo da ovaj prekidač sa 48 portova ima 48 kolizionih domena. To znači da svaki od ovih portova, ili uređaja povezanih na ove portove, može komunicirati s drugim uređajem na drugom portu na nezavisan način, bez utjecaja jedan na drugog.
Svih 48 portova ovog sviča su dio jedne Broadcast domene. To znači da ako je više uređaja povezano na više portova i jedan od njih emituje, pojavit će se na svim portovima na koje su povezani preostali uređaji. Upravo ovako radi prekidač.
Kao da ljudi sjede u istoj prostoriji blizu jedni drugih, a kada bi jedan od njih nešto glasno rekao, svi ostali bi to mogli čuti. Međutim, to je potpuno neučinkovito - što se više ljudi pojavi u prostoriji, to će biti bučnije i prisutni se više neće čuti. Slična situacija se javlja i sa računarima - što je više uređaja povezano na jednu mrežu, to je veća "glasnost" emitovanja, što ne dozvoljava uspostavljanje efektivne komunikacije.
Znamo da ako je jedan od ovih uređaja povezan na mrežu 192.168.1.0/24, svi ostali uređaji su dio iste mreže. Prekidač također mora biti povezan na mrežu sa istom IP adresom. Ali ovdje prekidač, kao uređaj OSI sloja 2, može imati problem. Ako su dva uređaja povezana na istu mrežu, oni mogu lako komunicirati jedni s drugima. Pretpostavimo da naša kompanija ima “lošeg momka”, hakera, kojeg ću nacrtati gore. Ispod je moj kompjuter. Dakle, ovom hakeru je vrlo lako provaliti u moj kompjuter jer su naši računari dio iste mreže. To je problem.
Ako ja pripadam administrativnom menadžmentu i ovaj novi tip može pristupiti datotekama na mom kompjuteru, to uopće neće biti dobro. Naravno, moj računar ima zaštitni zid koji štiti od mnogih prijetnji, ali hakeru ne bi bilo teško da ga zaobiđe.
Druga opasnost koja postoji za svakoga ko je član ove domene emitovanja je da ako neko ima problem sa emitovanjem, ta smetnja će uticati na druge uređaje na mreži. Iako se svih 48 portova može povezati na različite hostove, kvar jednog hosta će uticati na ostalih 47, što nam nije potrebno.
Za rješavanje ovog problema koristimo koncept VLAN-a, odnosno virtualne lokalne mreže. Radi vrlo jednostavno, dijeleći ovaj veliki prekidač sa 48 portova na nekoliko manjih prekidača.
Znamo da podmreže dijele jednu veliku mrežu na nekoliko malih mreža, a VLAN-ovi rade na sličan način. On dijeli prekidač sa 48 portova, na primjer, na 4 prekidača od 12 portova, od kojih je svaki dio nove povezane mreže. U isto vrijeme možemo koristiti 12 portova za upravljanje, 12 portova za IP telefoniju i tako dalje, odnosno podijeliti switch ne fizički, već logički, virtualno.
Dodijelio sam tri plava porta na gornjem prekidaču za plavu VLAN10 mrežu, a dodijelio sam tri narandžasta porta za VLAN20. Dakle, svaki saobraćaj sa jednog od ovih plavih portova će ići samo na druge plave portove, bez uticaja na druge portove ovog sviča. Promet sa narančastih portova će se distribuirati na sličan način, odnosno kao da koristimo dva različita fizička prekidača. Dakle, VLAN je način podjele prekidača na nekoliko prekidača za različite mreže.
Nacrtao sam dva prekidača na vrhu, ovdje imamo situaciju da su na lijevom prekidaču spojeni samo plavi portovi za jednu mrežu, a na desnoj - samo narandžasti portovi za drugu mrežu i ovi svičevi nisu međusobno povezani ni na koji način .
Recimo da želite koristiti više portova. Zamislimo da imamo 2 zgrade, svaka sa svojim upravljačkim osobljem, a dva narandžasta porta donjeg prekidača se koriste za upravljanje. Stoga nam je potrebno da ovi portovi budu povezani sa svim narandžastim portovima drugih svičeva. Slična je situacija i sa plavim portovima - svi plavi portovi gornjeg prekidača moraju biti povezani na druge portove slične boje. Da bismo to učinili, trebamo fizički povezati ova dva prekidača u različitim zgradama zasebnom komunikacijskom linijom; na slici je ovo linija između dva zelena porta. Kao što znamo, ako su dva prekidača fizički povezana, mi formiramo kičmu, odnosno trunk.
Koja je razlika između običnog i VLAN prekidača? Nije velika razlika. Kada kupite novi prekidač, po defaultu su svi portovi konfigurisani u VLAN modu i dio su iste mreže, označene kao VLAN1. Zato kada povežemo bilo koji uređaj na jedan port, on završi povezan sa svim ostalim portovima jer svih 48 portova pripada istom VLAN1. Ali ako konfigurišemo plave portove da rade na VLAN10 mreži, narandžaste portove na VLAN20 mreži i zelene portove na VLAN1, dobićemo 3 različita prekidača. Dakle, korištenje virtuelnog mrežnog načina nam omogućava da logički grupišemo portove u određene mreže, podijelimo emitiranje na dijelove i kreiramo podmreže. U ovom slučaju, svaki od portova određene boje pripada zasebnoj mreži. Ako plavi portovi rade na mreži 192.168.1.0, a narandžasti na mreži 192.168.1.0, onda uprkos istoj IP adresi, oni neće biti međusobno povezani, jer će logično pripadati različitim prekidačima. A kao što znamo, različiti fizički prekidači ne komuniciraju jedni s drugima osim ako nisu povezani zajedničkom komunikacijskom linijom. Tako kreiramo različite podmreže za različite VLAN-ove.
Želeo bih da vam skrenem pažnju na činjenicu da se koncept VLAN odnosi samo na prekidače. Svako ko je upoznat sa protokolima enkapsulacije kao što su .1Q ili ISL zna da ni ruteri ni računari nemaju VLAN. Kada povežete računar, na primer, na jedan od plavih portova, ne menjate ništa na računaru; sve promene se dešavaju samo na drugom OSI nivou, nivou prekidača. Kada konfigurišemo portove za rad sa određenom VLAN10 ili VLAN20 mrežom, prekidač kreira VLAN bazu podataka. U svojoj memoriji "zapisuje" da portovi 1,3 i 5 pripadaju VLAN10, portovi 14,15 i 18 su dio VLAN20, a preostali uključeni portovi dio su VLAN1. Stoga, ako dio prometa potiče iz plavog porta 1, on ide samo na portove 3 i 5 istog VLAN10. Prekidač pregleda svoju bazu podataka i vidi da ako saobraćaj dolazi sa jednog od narandžastih portova, treba da ide samo na narandžaste portove VLAN20.
Međutim, računar ne zna ništa o ovim VLAN-ovima. Kada spojimo 2 prekidača, između zelenih portova se formira trunk. Termin “trunk” je relevantan samo za Cisco uređaje; drugi proizvođači mrežnih uređaja, kao što je Juniper, koriste termin Tag port ili “tagged port”. Mislim da je naziv Tag port prikladniji. Kada saobraćaj potiče iz ove mreže, trunk ga prenosi na sve portove sledećeg sviča, odnosno povezujemo dva 48-portna sviča i dobijamo jedan komutator sa 96 portova. Istovremeno, kada šaljemo saobraćaj sa VLAN10, on postaje tagovan, odnosno dobija se etiketom koja pokazuje da je namenjen samo za portove VLAN10 mreže. Drugi prekidač, nakon što je primio ovaj promet, čita oznaku i razumije da je to promet posebno za VLAN10 mrežu i da bi trebao ići samo na plave portove. Slično, "narandžasti" promet za VLAN20 je označen kako bi se naznačilo da je namijenjen za VLAN20 portove na drugom prekidaču.
Spomenuli smo i enkapsulaciju i ovdje postoje dvije metode enkapsulacije. Prvi je .1Q, odnosno kada organizujemo trunk, moramo obezbediti enkapsulaciju. Protokol enkapsulacije .1Q je otvoreni standard koji opisuje proceduru za označavanje saobraćaja. Postoji još jedan protokol koji se zove ISL, Inter-Switch link, koji je razvio Cisco, koji ukazuje da saobraćaj pripada određenom VLAN-u. Svi moderni prekidači rade sa .1Q protokolom, tako da kada izvadite novi switch iz kutije, ne morate koristiti nikakve naredbe za enkapsulaciju, jer se to po defaultu izvodi po .1Q protokolu. Dakle, nakon kreiranja trank-a, enkapsulacija saobraćaja se dešava automatski, što omogućava čitanje oznaka.
Sada počnimo s postavljanjem VLAN-a. Napravimo mrežu u kojoj će biti 2 prekidača i dva krajnja uređaja - računara PC1 i PC2, koje ćemo povezati kablovima sa prekidačem #0. Počnimo s osnovnim postavkama prekidača Basic Configuration.
Da biste to uradili, kliknite na prekidač i idite na interfejs komandne linije, a zatim postavite ime hosta, nazivajući ovaj prekidač sw1. Sada idemo na podešavanja prvog računara i postavljamo statičku IP adresu 192.168.1.1 i masku podmreže 255.255. 255.0. Nema potrebe za zadanom adresom gatewaya jer su svi naši uređaji na istoj mreži. Zatim ćemo uraditi isto za drugi računar, dodijelivši mu IP adresu 192.168.1.2.
Sada se vratimo na prvi računar da pingujemo drugi računar. Kao što možete vidjeti, ping je bio uspješan jer su oba ova računara povezana na isti prekidač i dio su iste mreže po defaultu VLAN1. Ako sada pogledamo sučelja prekidača, vidjet ćemo da su svi FastEthernet portovi od 1 do 24 i dva GigabitEthernet porta konfigurisani na VLAN #1. Međutim, takva prevelika dostupnost nije potrebna, pa ulazimo u postavke prekidača i unosimo naredbu show vlan da pogledamo bazu podataka virtualne mreže.
Ovdje vidite naziv VLAN1 mreže i činjenicu da svi portovi sviča pripadaju ovoj mreži. To znači da se možete povezati na bilo koji port i svi će moći da "razgovaraju" jedni s drugima jer su dio iste mreže.
Promijenit ćemo ovu situaciju; da bismo to učinili, prvo ćemo kreirati dvije virtualne mreže, odnosno dodati VLAN10. Da biste kreirali virtuelnu mrežu, koristite naredbu kao što je „broj vlan mreže“.
Kao što vidite, prilikom pokušaja kreiranja mreže, sistem je prikazao poruku sa listom naredbi za konfiguraciju VLAN-a koje je potrebno koristiti za ovu radnju:
izlaz – primjena promjena i izlazna podešavanja;
ime – unesite prilagođeno VLAN ime;
ne – otkažite naredbu ili je postavite kao zadanu.
To znači da prije nego što unesete naredbu za kreiranje VLAN-a, morate unijeti naredbu name, koja uključuje način upravljanja imenom, a zatim nastaviti sa kreiranjem nove mreže. U tom slučaju, sistem traži da se VLAN broj može dodijeliti u rasponu od 1 do 1005.
Dakle, sada unosimo naredbu za kreiranje VLAN-a broj 20 - vlan 20, a zatim mu dajemo ime za korisnika koje pokazuje o kakvoj se mreži radi. U našem slučaju koristimo naziv Employees command, odnosno mrežu za zaposlenike kompanije.
Sada trebamo dodijeliti određeni port ovom VLAN-u. Ulazimo u režim podešavanja prekidača int f0/1, a zatim ručno prebacimo port u režim pristupa koristeći komandu za pristup switchport modu i naznačimo koji port treba da se prebaci u ovaj režim - ovo je port za VLAN10 mrežu.
Vidimo da se nakon toga boja tačke veze između PC0 i sviča, boja porta, promijenila iz zelene u narandžastu. Ponovo će postati zeleno čim promjene postavki stupe na snagu. Pokušajmo pingovati drugi računar. Nismo izvršili nikakve promjene u mrežnim postavkama za računare, oni i dalje imaju IP adrese 192.168.1.1 i 192.168.1.2. Ali ako pokušamo da pingujemo PC0 sa računara PC1, ništa neće raditi, jer sada ovi računari pripadaju različitim mrežama: prva na VLAN10, druga na izvorni VLAN1.
Vratimo se na sučelje prekidača i konfigurirajmo drugi port. Da bih to uradio, izdaću naredbu int f0/2 i ponoviti iste korake za VLAN 20 kao što sam uradio prilikom konfigurisanja prethodne virtuelne mreže.
Vidimo da je sada i donji port sviča, na koji je spojen drugi računar, takođe promenio boju iz zelene u narandžastu – mora proći nekoliko sekundi da promene u podešavanjima stupe na snagu i on ponovo postane zelen. Ako ponovo počnemo pingovati drugi računar, ništa neće raditi, jer računari i dalje pripadaju različitim mrežama, samo je PC1 sada dio VLAN1, a ne VLAN20.
Dakle, podijelili ste jedan fizički prekidač na dva različita logička prekidača. Vidite da se sada boja porta promijenila iz narandžaste u zelenu, port radi, ali još uvijek ne odgovara jer pripada drugoj mreži.
Učinimo promjene u našem krugu - odspojite računar PC1 od prvog prekidača i spojite ga na drugi prekidač, a same prekidače spojite kabelom.
Da bih uspostavio vezu između njih, ući ću u postavke drugog prekidača i kreirati VLAN10, dajući mu naziv Management, odnosno mreža upravljanja. Zatim ću omogućiti pristupni način i odrediti da je ovaj način za VLAN10. Sada se boja portova preko kojih su svičevi spojeni promijenila iz narančaste u zelenu jer su oba konfigurirana na VLAN10. Sada moramo kreirati trunk između oba prekidača. Oba ova porta su Fa0/2, tako da morate kreirati trunk za Fa0/2 port prvog sviča koristeći komandu trunk režima switchport. Isto se mora učiniti i za drugi prekidač, nakon čega se formira trunk između ova dva porta.
E sad, ako želim da pingujem PC1 sa prvog računara, sve će uspeti, jer je veza između PC0 i prekidača #0 VLAN10 mreža, između prekidača #1 i PC1 je takođe VLAN10, a oba prekidača su povezana trunk .
Dakle, ako se uređaji nalaze na različitim VLAN-ovima, onda nisu međusobno povezani, ali ako su na istoj mreži, onda se promet može slobodno razmjenjivati između njih. Pokušajmo dodati još jedan uređaj svakom prekidaču.
U mrežnim postavkama dodatog računara PC2 postaviću IP adresu na 192.168.2.1, au postavkama PC3 adresa će biti 192.168.2.2. U ovom slučaju, portovi na koje su ova dva računara povezana biće označeni kao Fa0/3. U podešavanjima prekidača #0 ćemo postaviti pristupni režim i označiti da je ovaj port namenjen za VLAN20, a isto ćemo uraditi i za prekidač #1.
Ako koristim komandu switchport access vlan 20, a VLAN20 još nije kreiran, sistem će prikazati grešku poput „Access VLAN ne postoji“ jer su prekidači konfigurisani da rade samo sa VLAN10.
Kreirajmo VLAN20. Koristim naredbu "show VLAN" za pregled baze podataka virtualne mreže.
Možete vidjeti da je zadana mreža VLAN1, na koju su povezani portovi Fa0/4 do Fa0/24 i Gig0/1, Gig0/2. VLAN broj 10, pod nazivom Upravljanje, povezan je na port Fa0/1, a VLAN broj 20, koji se podrazumevano zove VLAN0020, povezan je na port Fa0/3.
U principu, naziv mreže nije bitan, glavna stvar je da se ne ponavlja za različite mreže. Ako želim da promenim naziv mreže koji sistem podrazumevano dodeljuje, koristim komandu vlan 20 i imenujem Employees. Mogu promijeniti ovo ime u nešto drugo, na primjer IPphones, i ako pingujemo IP adresu 192.168.2.2, možemo vidjeti da ime VLAN-a nema značenje.
Posljednja stvar koju želim spomenuti je svrha Management IP-a, o kojoj smo govorili u prošloj lekciji. Da bismo to uradili koristimo naredbu int vlan1 i unosimo IP adresu 10.1.1.1 i masku podmreže 255.255.255.0, a zatim dodajemo naredbu no shutdown. Dodijelili smo Management IP ne za cijeli switch, već samo za VLAN1 portove, odnosno dodijelili smo IP adresu sa koje se upravlja VLAN1 mrežom. Ako želimo da upravljamo VLAN2, potrebno je da kreiramo odgovarajući interfejs za VLAN2. U našem slučaju postoje plavi VLAN10 portovi i narandžasti VLAN20 portovi, koji odgovaraju adresama 192.168.1.0 i 192.168.2.0.
VLAN10 mora imati adrese koje se nalaze u istom opsegu kako bi se odgovarajući uređaji mogli povezati na njega. Slično podešavanje mora biti napravljeno za VLAN20.
Ovaj prozor komandne linije za prebacivanje prikazuje postavke interfejsa za VLAN1, odnosno izvorni VLAN.
Da bismo konfigurisali IP za upravljanje za VLAN10, moramo kreirati interfejs int vlan 10, a zatim dodati IP adresu 192.168.1.10 i masku podmreže 255.255.255.0.
Da konfigurišemo VLAN20, moramo kreirati interfejs int vlan 20, a zatim dodati IP adresu 192.168.2.10 i masku podmreže 255.255.255.0.
Zašto je to potrebno? Ako računar PC0 i gornji lijevi port prekidača #0 pripadaju mreži 192.168.1.0, PC2 pripada mreži 192.168.2.0 i povezan je na izvorni VLAN1 port, koji pripada mreži 10.1.1.1, tada PC0 ne može uspostaviti komunikacija sa ovim prekidačem preko protokola SSH jer pripadaju različitim mrežama. Stoga, da bi PC0 komunicirao sa komutatorom preko SSH ili Telneta, moramo mu odobriti pristup pristup. Zbog toga nam je potrebno upravljanje mrežom.
Trebali bismo biti u mogućnosti da povežemo PC0 koristeći SSH ili Telnet za IP adresu sučelja VLAN20 i izvršimo sve potrebne promjene putem SSH-a. Prema tome, Management IP je neophodan posebno za konfigurisanje VLAN-a, jer svaka virtuelna mreža mora imati sopstvenu kontrolu pristupa.
U današnjem videu razgovarali smo o mnogim pitanjima: osnovnim postavkama prekidača, kreiranju VLAN-ova, dodjeli VLAN portova, dodjeli IP-a upravljanja za VLAN-ove i konfiguriranju trank-ova. Nemojte se sramiti ako nešto ne razumijete, to je prirodno, jer je VLAN veoma složena i široka tema kojoj ćemo se vraćati u narednim časovima. Garantujem da uz moju pomoć možete postati VLAN master, ali poenta ove lekcije je bila da vam razjasnimo 3 pitanja: šta su VLAN-ovi, zašto su nam potrebni i kako ih konfigurisati.
Hvala vam što ste ostali s nama. Da li vam se sviđaju naši članci? Želite li vidjeti još zanimljivijeg sadržaja? Podržite nas naručivanjem ili preporukom prijateljima, 30% popusta za korisnike Habra na jedinstveni analog početnih servera, koji smo mi osmislili za vas: (dostupno sa RAID1 i RAID10, do 24 jezgra i do 40GB DDR4).
Dell R730xd 2 puta jeftiniji? Samo ovdje u Holandiji! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - od 99 USD! Pročitajte o
izvor: www.habr.com