Abans d'entrar en els conceptes bàsics de les VLAN, us demanaria a tots que poseu en pausa aquest vídeo, feu clic a la icona de l'extrem inferior esquerre on hi diu Consultor de xarxes, aneu a la nostra pàgina de Facebook i hi feu m'agrada. A continuació, torneu al vídeo i feu clic a la icona King a l'extrem inferior dret per subscriure-us al nostre canal oficial de YouTube. Contínuament estem afegint noves sèries, ara es tracta del curs CCNA, després tenim previst iniciar un curs de videolliçons CCNA Security, Network+, PMP, ITIL, Prince2 i publicar aquestes meravelloses sèries al nostre canal.
Així doncs, avui parlarem dels conceptes bàsics de la VLAN i respondrem 3 preguntes: què és una VLAN, per què necessitem una VLAN i com configurar-la. Espero que després de veure aquest vídeo tutorial pugueu respondre les tres preguntes.
Què és VLAN? VLAN és una abreviatura de xarxa d'àrea local virtual. Més endavant en aquest tutorial veurem per què aquesta xarxa és virtual, però abans de passar a les VLAN, hem d'entendre com funciona un commutador. Revisarem algunes de les qüestions que hem comentat a les lliçons anteriors.
Primer, parlem de què és un domini de col·lisió múltiple. Sabem que aquest commutador de 48 ports té 48 dominis de col·lisió. Això vol dir que cadascun d'aquests ports, o dispositius connectats a aquests ports, es poden comunicar amb un altre dispositiu en un port diferent de manera independent sense afectar-se els uns als altres.
Els 48 ports d'aquest commutador formen part d'un domini de difusió. Això vol dir que si hi ha diversos dispositius connectats a diversos ports i un d'ells està emetent, apareixerà a tots els ports als quals estan connectats els dispositius restants. Així és exactament com funciona un interruptor.
És com si la gent estigués asseguda a la mateixa habitació a prop l'una de l'altra, i quan un d'ells digués alguna cosa en veu alta, tots els altres poguessin sentir-ho. Tanmateix, això és completament ineficaç: com més gent aparegui a l'habitació, més sorollosa es farà i els presents ja no s'escoltaran. Una situació similar es produeix amb els ordinadors: com més dispositius estan connectats a una xarxa, més gran serà la "sonoritat" de l'emissió, cosa que no permet establir una comunicació efectiva.
Sabem que si un d'aquests dispositius està connectat a la xarxa 192.168.1.0/24, tots els altres dispositius formen part de la mateixa xarxa. El commutador també ha d'estar connectat a una xarxa amb la mateixa adreça IP. Però aquí l'interruptor, com a dispositiu OSI de capa 2, pot tenir un problema. Si dos dispositius estan connectats a la mateixa xarxa, es poden comunicar fàcilment amb els ordinadors de l'altre. Suposem que la nostra empresa té un “dolent”, un pirata informàtic, que dibuixaré més amunt. A sota hi ha el meu ordinador. Per tant, és molt fàcil que aquest pirata informàtic entri al meu ordinador perquè els nostres ordinadors formen part de la mateixa xarxa. Aquest és el problema.
Si pertanyo a la gestió administrativa i aquest noi nou pot accedir als fitxers del meu ordinador, no anirà gens bé. Per descomptat, el meu ordinador té un tallafoc que protegeix contra moltes amenaces, però no seria difícil per a un pirata informàtic evitar-lo.
El segon perill que hi ha per a tothom que és membre d'aquest domini de difusió és que si algú té un problema amb la transmissió, aquesta interferència afectarà altres dispositius de la xarxa. Tot i que els 48 ports es poden connectar a diferents amfitrions, la fallada d'un amfitrió afectarà l'altre 47, que no és el que necessitem.
Per resoldre aquest problema fem servir el concepte de VLAN, o xarxa d'àrea local virtual. Funciona de manera molt senzilla, dividint aquest gran commutador de 48 ports en diversos commutadors més petits.
Sabem que les subxarxes divideixen una xarxa gran en diverses xarxes petites i les VLAN funcionen de manera similar. Divideix un commutador de 48 ports, per exemple, en 4 commutadors de 12 ports, cadascun dels quals forma part d'una nova xarxa connectada. Al mateix temps, podem utilitzar 12 ports per a la gestió, 12 ports per a la telefonia IP, etc., és a dir, dividir l'interruptor no físicament, sinó lògicament, virtualment.
Vaig assignar tres ports blaus a l'interruptor superior per a la xarxa VLAN10 blava i vaig assignar tres ports taronges per a VLAN20. Així, qualsevol trànsit d'un d'aquests ports blaus només anirà als altres ports blaus, sense afectar els altres ports d'aquest commutador. El trànsit dels ports taronges es distribuirà de manera similar, és a dir, és com si estiguéssim fent servir dos commutadors físics diferents. Així, la VLAN és una manera de dividir un commutador en diversos commutadors per a diferents xarxes.
Vaig dibuixar dos interruptors a la part superior, aquí tenim una situació en què a l'interruptor esquerre només estan connectats els ports blaus d'una xarxa i, a la dreta, només els ports taronja per a una altra xarxa, i aquests commutadors no estan connectats entre ells de cap manera. .
Suposem que voleu utilitzar més ports. Imaginem que tenim 2 edificis, cadascun amb el seu propi personal de gestió, i s'utilitzen dos ports taronja de l'interruptor inferior per a la gestió. Per tant, necessitem que aquests ports estiguin connectats a tots els ports taronja d'altres commutadors. La situació és similar amb els ports blaus: tots els ports blaus de l'interruptor superior han d'estar connectats a altres ports d'un color similar. Per fer-ho, hem de connectar físicament aquests dos commutadors en edificis diferents amb una línia de comunicació separada; a la figura, aquesta és la línia entre els dos ports verds. Com sabem, si dos interruptors estan connectats físicament, formem una columna vertebral, o tronc.
Quina diferència hi ha entre un commutador normal i un commutador VLAN? No és una gran diferència. Quan compres un commutador nou, per defecte tots els ports es configuren en mode VLAN i formen part de la mateixa xarxa, designada VLAN1. És per això que quan connectem qualsevol dispositiu a un port, aquest acaba connectat a tots els altres ports perquè tots els 48 ports pertanyen a la mateixa VLAN1. Però si configurem els ports blaus perquè funcionin a la xarxa VLAN10, els ports taronja a la xarxa VLAN20 i els ports verds a la VLAN1, obtindrem 3 commutadors diferents. Així, utilitzar el mode de xarxa virtual ens permet agrupar lògicament ports en xarxes específiques, dividir les emissions en parts i crear subxarxes. En aquest cas, cadascun dels ports d'un color específic pertany a una xarxa separada. Si els ports blaus funcionen a la xarxa 192.168.1.0 i els ports taronja funcionen a la xarxa 192.168.1.0, aleshores, malgrat la mateixa adreça IP, no es connectaran entre ells, perquè lògicament pertanyen a commutadors diferents. I com sabem, els diferents interruptors físics no es comuniquen entre ells tret que estiguin connectats per una línia de comunicació comuna. Així que creem diferents subxarxes per a diferents VLAN.
M'agradaria cridar la vostra atenció sobre el fet que el concepte VLAN només s'aplica als commutadors. Qualsevol persona que estigui familiaritzada amb protocols d'encapsulació com ara .1Q o ISL sap que ni els encaminadors ni els ordinadors tenen cap VLAN. Quan connecteu l'ordinador, per exemple, a un dels ports blaus, no canvieu res a l'ordinador, tots els canvis es produeixen només al segon nivell OSI, el nivell de commutació. Quan configurem els ports perquè funcionin amb una xarxa VLAN10 o VLAN20 específica, el commutador crea una base de dades de VLAN. "Enregistra" a la seva memòria que els ports 1,3 i 5 pertanyen a VLAN10, els ports 14,15 i 18 formen part de VLAN20 i la resta de ports implicats formen part de VLAN1. Per tant, si algun trànsit s'origina del port blau 1, només va als ports 3 i 5 de la mateixa VLAN10. El commutador mira la seva base de dades i veu que si el trànsit prové d'un dels ports taronja, només hauria d'anar als ports taronja de VLAN20.
Tanmateix, l'ordinador no sap res sobre aquestes VLAN. Quan connectem 2 commutadors, es forma un tronc entre els ports verds. El terme "tronc" només és rellevant per als dispositius Cisco; altres fabricants de dispositius de xarxa, com ara Juniper, utilitzen el terme "port etiquetat" o "port etiquetat". Crec que el nom Tag port és més adequat. Quan el trànsit s'origina d'aquesta xarxa, el tronc el transmet a tots els ports del següent commutador, és a dir, connectem dos commutadors de 48 ports i obtenim un commutador de 96 ports. Al mateix temps, quan enviem trànsit des de VLAN10, s'etiqueta, és a dir, se li proporciona una etiqueta que indica que està destinat només a ports de la xarxa VLAN10. El segon commutador, després d'haver rebut aquest trànsit, llegeix l'etiqueta i entén que es tracta de trànsit específic per a la xarxa VLAN10 i només hauria d'anar als ports blaus. De la mateixa manera, el trànsit "taronja" per a VLAN20 s'etiqueta per indicar que està destinat als ports VLAN20 del segon commutador.
També hem esmentat l'encapsulació i aquí hi ha dos mètodes d'encapsulació. El primer és .1Q, és a dir, quan organitzem un tronc, hem de proporcionar l'encapsulació. El protocol d'encapsulació .1Q és un estàndard obert que descriu el procediment per etiquetar el trànsit. Hi ha un altre protocol anomenat ISL, Inter-Switch link, desenvolupat per Cisco, que indica que el trànsit pertany a una VLAN específica. Tots els commutadors moderns funcionen amb el protocol .1Q, de manera que quan traieu un interruptor nou de la caixa, no cal que utilitzeu cap ordre d'encapsulació, ja que per defecte es realitza mitjançant el protocol .1Q. Així, després de crear un tronc, l'encapsulació del trànsit es produeix automàticament, la qual cosa permet llegir les etiquetes.
Ara comencem a configurar la VLAN. Creem una xarxa en la qual hi haurà 2 interruptors i dos dispositius finals: els ordinadors PC1 i PC2, que connectarem amb cables per al commutador #0. Comencem amb la configuració bàsica de l'interruptor de configuració bàsica.
Per fer-ho, feu clic a l'interruptor i aneu a la interfície de la línia d'ordres i, a continuació, configureu el nom de l'amfitrió, cridant aquest commutador sw1. Ara passem a la configuració del primer ordinador i establim l'adreça IP estàtica 192.168.1.1 i la màscara de subxarxa 255.255. 255.0. No cal una adreça de passarel·la predeterminada perquè tots els nostres dispositius estan a la mateixa xarxa. A continuació, farem el mateix per al segon ordinador, assignant-li l'adreça IP 192.168.1.2.
Ara tornem al primer ordinador per fer ping al segon ordinador. Com podeu veure, el ping va tenir èxit perquè tots dos ordinadors estan connectats al mateix commutador i formen part de la mateixa xarxa per defecte VLAN1. Si ara mirem les interfícies del commutador, veurem que tots els ports FastEthernet de l'1 al 24 i dos ports GigabitEthernet estan configurats a la VLAN #1. Tanmateix, aquesta disponibilitat excessiva no és necessària, de manera que entrem a la configuració del commutador i introduïm l'ordre show vlan per mirar la base de dades de la xarxa virtual.
Aquí veieu el nom de la xarxa VLAN1 i el fet que tots els ports de commutació pertanyen a aquesta xarxa. Això vol dir que us podeu connectar a qualsevol port i tots podran "parlar" entre ells perquè formen part de la mateixa xarxa.
Canviarem aquesta situació; per fer-ho, primer crearem dues xarxes virtuals, és a dir, afegir VLAN10. Per crear una xarxa virtual, utilitzeu una ordre com ara "número de xarxa vlan".
Com podeu veure, en intentar crear una xarxa, el sistema mostrava un missatge amb una llista d'ordres de configuració de VLAN que cal utilitzar per a aquesta acció:
sortir: aplicar els canvis i sortir de la configuració;
nom: introduïu un nom de VLAN personalitzat;
no: cancel·leu l'ordre o configureu-la com a predeterminada.
Això vol dir que abans d'introduir l'ordre create VLAN, heu d'introduir l'ordre name, que activa el mode de gestió de noms i, a continuació, procedir a crear una nova xarxa. En aquest cas, el sistema demana que el número de VLAN es pugui assignar en el rang d'1 a 1005.
Així que ara introduïm l'ordre per crear la VLAN número 20 - vlan 20, i després li donem un nom per a l'usuari, que mostra quin tipus de xarxa és. En el nostre cas, utilitzem el nom d'ordre Employees, o una xarxa per als empleats de l'empresa.
Ara hem d'assignar un port específic a aquesta VLAN. Entrem al mode de configuració del commutador int f0/1, després canviem manualment el port al mode d'accés mitjançant l'ordre d'accés al mode switchport i indiquem quin port s'ha de canviar a aquest mode: aquest és el port per a la xarxa VLAN10.
Veiem que després d'això el color del punt de connexió entre PC0 i l'interruptor, el color del port, va canviar de verd a taronja. Tornarà a ser verd tan bon punt els canvis de configuració tinguin efecte. Intentem fer ping al segon ordinador. No hem fet cap canvi a la configuració de xarxa dels ordinadors, encara tenen adreces IP de 192.168.1.1 i 192.168.1.2. Però si intentem fer ping a PC0 des de l'ordinador PC1, res no funcionarà, perquè ara aquests ordinadors pertanyen a xarxes diferents: la primera a la VLAN10, la segona a la VLAN1 nativa.
Tornem a la interfície del commutador i configurem el segon port. Per fer-ho, emetré l'ordre int f0/2 i repetiré els mateixos passos per a la VLAN 20 que vaig fer quan vaig configurar la xarxa virtual anterior.
Veiem que ara el port inferior de l'interruptor, al qual està connectat el segon ordinador, també ha canviat de color de verd a taronja: han de passar uns quants segons abans que els canvis en la configuració tinguin efecte i torni a ser verd. Si tornem a fer ping al segon ordinador, res no funcionarà, perquè els ordinadors encara pertanyen a xarxes diferents, només PC1 forma part de VLAN1, no VLAN20.
Per tant, heu dividit un commutador físic en dos commutadors lògics diferents. Veu que ara el color del port ha canviat de taronja a verd, el port funciona, però encara no respon perquè pertany a una xarxa diferent.
Anem a fer canvis al nostre circuit: desconnecteu l'ordinador PC1 del primer interruptor i connecteu-lo al segon interruptor i connecteu els mateixos interruptors amb un cable.
Per tal d'establir una connexió entre ells, entraré a la configuració del segon commutador i crearé VLAN10, donant-li el nom de Gestió, és a dir, la xarxa de gestió. A continuació, activaré el mode d'accés i especificaré que aquest mode és per a VLAN10. Ara el color dels ports a través dels quals es connecten els commutadors ha canviat de taronja a verd perquè tots dos estan configurats a VLAN10. Ara hem de crear un tronc entre ambdós interruptors. Tots dos ports són Fa0/2, de manera que cal que creeu un tronc per al port Fa0/2 del primer commutador mitjançant l'ordre del tronc del mode switchport. El mateix s'ha de fer amb el segon commutador, després del qual es forma un tronc entre aquests dos ports.
Ara, si vull fer ping a PC1 des del primer ordinador, tot funcionarà, perquè la connexió entre PC0 i commutador #0 és una xarxa VLAN10, entre commutador #1 i PC1 també és VLAN10 i tots dos commutadors estan connectats per un tronc. .
Per tant, si els dispositius es troben a diferents VLAN, no estan connectats entre ells, però si es troben a la mateixa xarxa, el trànsit es pot intercanviar lliurement entre ells. Intentem afegir un dispositiu més a cada interruptor.
A la configuració de xarxa de l'ordinador afegit PC2, establiré l'adreça IP a 192.168.2.1 i, a la configuració de PC3, l'adreça serà 192.168.2.2. En aquest cas, els ports als quals estan connectats aquests dos ordinadors es designaran Fa0/3. A la configuració de l'interruptor #0 establirem el mode d'accés i indicarem que aquest port està destinat a VLAN20, i farem el mateix per a l'interruptor #1.
Si faig servir l'ordre switchport access vlan 20 i encara no s'ha creat VLAN20, el sistema mostrarà un error com "Access VLAN does not exist" perquè els commutadors estan configurats per funcionar només amb VLAN10.
Creem VLAN20. Utilitzo l'ordre "mostrar VLAN" per veure la base de dades de la xarxa virtual.
Podeu veure que la xarxa predeterminada és VLAN1, a la qual estan connectats els ports Fa0/4 a Fa0/24 i Gig0/1, Gig0/2. La VLAN número 10, anomenada Gestió, està connectada al port Fa0/1, i la VLAN número 20, anomenada VLAN0020 per defecte, està connectada al port Fa0/3.
En principi, el nom de la xarxa no importa, el més important és que no es repeteixi per a diferents xarxes. Si vull canviar el nom de la xarxa que el sistema assigna per defecte, faig servir l'ordre vlan 20 i anomenar empleats. Puc canviar aquest nom per una altra cosa, com ara telèfons IP, i si fem ping a l'adreça IP 192.168.2.2, podem veure que el nom de la VLAN no té cap significat.
L'últim que vull esmentar és el propòsit de la gestió de la IP, del qual vam parlar a l'última lliçó. Per fer-ho fem servir l'ordre int vlan1 i introduïm l'adreça IP 10.1.1.1 i la màscara de subxarxa 255.255.255.0 i després afegim l'ordre no shutdown. Hem assignat l'IP de gestió no per a tot el commutador, sinó només per als ports VLAN1, és a dir, hem assignat l'adreça IP des de la qual es gestiona la xarxa VLAN1. Si volem gestionar la VLAN2, hem de crear una interfície corresponent per a la VLAN2. En el nostre cas, hi ha ports VLAN10 blaus i ports VLAN20 taronja, que corresponen a les adreces 192.168.1.0 i 192.168.2.0.
La VLAN10 ha de tenir adreces situades en el mateix rang perquè els dispositius adequats s'hi puguin connectar. S'ha de fer una configuració similar per a la VLAN20.
Aquesta finestra de la línia d'ordres del commutador mostra la configuració de la interfície per a la VLAN1, és a dir, la VLAN nativa.
Per configurar la IP de gestió per a VLAN10, hem de crear una interfície int vlan 10 i, a continuació, afegir l'adreça IP 192.168.1.10 i la màscara de subxarxa 255.255.255.0.
Per configurar VLAN20, hem de crear una interfície int vlan 20, i després afegir l'adreça IP 192.168.2.10 i la màscara de subxarxa 255.255.255.0.
Per què això és necessari? Si l'ordinador PC0 i el port superior esquerre de l'interruptor #0 pertanyen a la xarxa 192.168.1.0, PC2 pertany a la xarxa 192.168.2.0 i està connectat al port VLAN1 natiu, que pertany a la xarxa 10.1.1.1, llavors PC0 no pot establir-se. comunicació amb aquest commutador mitjançant el protocol SSH perquè pertanyen a xarxes diferents. Per tant, perquè PC0 es comuniqui amb el commutador mitjançant SSH o Telnet, hem de concedir-li accés d'accés. Per això necessitem la gestió de la xarxa.
Hauríem de ser capaços d'enllaçar PC0 mitjançant SSH o Telnet a l'adreça IP de la interfície VLAN20 i fer els canvis que necessitem mitjançant SSH. Així, la gestió IP és necessària específicament per a la configuració de VLAN, perquè cada xarxa virtual ha de tenir el seu propi control d'accés.
Al vídeo d'avui, hem parlat de molts problemes: la configuració bàsica del commutador, la creació de VLAN, l'assignació de ports de VLAN, l'assignació d'IP de gestió per a les VLAN i la configuració de troncs. No us avergonyiu si no enteneu alguna cosa, això és natural, perquè la VLAN és un tema molt complex i ampli sobre el qual tornarem en properes lliçons. Et garanteixo que amb la meva ajuda pots convertir-te en un mestre de VLAN, però l'objectiu d'aquesta lliçó era aclarir-te 3 preguntes: què són les VLAN, per què les necessitem i com configurar-les.
Gràcies per quedar-te amb nosaltres. T'agraden els nostres articles? Vols veure més contingut interessant? Doneu-nos suport fent una comanda o recomanant als amics, 30% de descompte per als usuaris d'Habr en un únic anàleg de servidors d'entrada, que hem inventat per a tu: (disponible amb RAID1 i RAID10, fins a 24 nuclis i fins a 40 GB DDR4).
Dell R730xd 2 vegades més barat? Només aquí als Països Baixos! Dell R420 - 2x E5-2430 2.2 Ghz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gbps 100 TB - a partir de 99 $! Llegeix sobre
Font: www.habr.com