Než se pustíme do základů VLAN, chtěl bych vás všechny požádat, abyste toto video pozastavili, v levém dolním rohu klikli na ikonu, kde je nápis Networking consultant, šli na naši stránku na Facebooku a dali mu like. Poté se vraťte k videu a kliknutím na ikonu krále v pravém dolním rohu se přihlaste k odběru našeho oficiálního kanálu YouTube. Neustále doplňujeme nové série, nyní se to týká kurzu CCNA, dále plánujeme spustit kurz videolekcí CCNA Security, Network+, PMP, ITIL, Prince2 a tyto nádherné série zveřejnit na našem kanálu.
Dnes si tedy povíme o základech VLAN a odpovíme na 3 otázky: co je to VLAN, proč potřebujeme VLAN a jak ji nakonfigurovat. Doufám, že po zhlédnutí tohoto videonávodu budete schopni odpovědět na všechny tři otázky.
Co je VLAN? VLAN je zkratka pro virtuální lokální síť. Později v tomto tutoriálu se podíváme na to, proč je tato síť virtuální, ale než přejdeme k VLAN, musíme pochopit, jak přepínač funguje. Zopakujeme si některé otázky, které jsme probírali v předchozích lekcích.
Nejprve si proberme, co je to doména s více kolizemi. Víme, že tento 48portový přepínač má 48 kolizních domén. To znamená, že každý z těchto portů nebo zařízení připojená k těmto portům mohou komunikovat s jiným zařízením na jiném portu nezávislým způsobem, aniž by se navzájem ovlivňovaly.
Všech 48 portů tohoto přepínače je součástí jedné vysílací domény. To znamená, že pokud je k více portům připojeno více zařízení a jeden z nich vysílá, objeví se na všech portech, ke kterým jsou připojena zbývající zařízení. Přesně tak funguje přepínač.
Jako by lidé seděli v jedné místnosti blízko sebe, a když jeden z nich něco řekl nahlas, všichni ostatní to slyšeli. To je však zcela neúčinné – čím více lidí se v místnosti objeví, tím bude hlučnější a přítomní se přestanou slyšet. Podobná situace nastává u počítačů – čím více zařízení je připojeno k jedné síti, tím větší je „hlasitost“ vysílání, což neumožňuje navázání efektivní komunikace.
Víme, že pokud je jedno z těchto zařízení připojeno k síti 192.168.1.0/24, všechna ostatní zařízení jsou součástí stejné sítě. Přepínač musí být také připojen k síti se stejnou IP adresou. Zde ale může mít přepínač jako zařízení OSI vrstvy 2 problém. Pokud jsou dvě zařízení připojena ke stejné síti, mohou snadno komunikovat se svými počítači. Předpokládejme, že naše společnost má „špatného člověka“, hackera, kterého nakreslím výše. Pod ním je můj počítač. Pro tohoto hackera je tedy velmi snadné proniknout do mého počítače, protože naše počítače jsou součástí stejné sítě. To je problém.
Pokud budu patřit k administrativní správě a tento nový chlap bude mít přístup k souborům na mém počítači, nebude to vůbec dobré. Můj počítač má samozřejmě firewall, který chrání před mnoha hrozbami, ale pro hackera by nebylo těžké ho obejít.
Druhé nebezpečí, které existuje pro každého, kdo je členem této vysílací domény, je, že pokud má někdo problém s vysíláním, ovlivní toto rušení další zařízení v síti. Přestože všech 48 portů může být připojeno k různým hostitelům, selhání jednoho hostitele ovlivní dalších 47, což není to, co potřebujeme.
K vyřešení tohoto problému používáme koncept VLAN neboli virtuální lokální sítě. Funguje to velmi jednoduše, rozděluje tento jeden velký 48portový přepínač na několik menších přepínačů.
Víme, že podsítě rozdělují jednu velkou síť na několik malých sítí a VLAN fungují podobným způsobem. Rozděluje 48portový switch např. na 4 switche po 12 portech, z nichž každý je součástí nové připojené sítě. Zároveň můžeme využít 12 portů pro správu, 12 portů pro IP telefonii a tak dále, tedy rozdělit switch ne fyzicky, ale logicky, virtuálně.
Přidělil jsem tři modré porty na horním přepínači pro modrou síť VLAN10 a tři oranžové porty pro VLAN20. Veškerý provoz z jednoho z těchto modrých portů tedy půjde pouze do ostatních modrých portů, aniž by to ovlivnilo ostatní porty tohoto přepínače. Provoz z oranžových portů bude distribuován podobně, to znamená, že jako bychom používali dva různé fyzické přepínače. VLAN je tedy způsob, jak rozdělit přepínač na několik přepínačů pro různé sítě.
Nahoře jsem nakreslil dva přepínače, zde máme situaci, kdy na levém přepínači jsou připojeny pouze modré porty pro jednu síť a napravo – pouze oranžové porty pro jinou síť a tyto přepínače nejsou navzájem nijak propojeny .
Řekněme, že chcete použít více portů. Představme si, že máme 2 budovy, každá má svůj manažerský personál, a pro správu slouží dva oranžové porty spodního switche. Proto potřebujeme, aby tyto porty byly připojeny ke všem oranžovým portům ostatních přepínačů. U modrých portů je situace podobná - všechny modré porty horního switche musí být propojeny s dalšími porty podobné barvy. K tomu potřebujeme fyzicky propojit tyto dva přepínače v různých budovách samostatnou komunikační linkou, na obrázku je to linka mezi dvěma zelenými porty. Jak víme, pokud jsou dva přepínače fyzicky propojeny, tvoříme páteř neboli kmen.
Jaký je rozdíl mezi běžným a VLAN switchem? Není to velký rozdíl. Když si koupíte nový přepínač, ve výchozím nastavení jsou všechny porty nakonfigurovány v režimu VLAN a jsou součástí stejné sítě označené VLAN1. To je důvod, proč když připojíme jakékoli zařízení k jednomu portu, skončí připojeno ke všem ostatním portům, protože všech 48 portů patří do stejné VLAN1. Pokud ale nakonfigurujeme modré porty tak, aby fungovaly na síti VLAN10, oranžové porty na síti VLAN20 a zelené porty na VLAN1, dostaneme 3 různé přepínače. Použití režimu virtuální sítě nám tedy umožňuje logicky seskupovat porty do konkrétních sítí, rozdělit vysílání na části a vytvářet podsítě. V tomto případě každý z portů určité barvy patří do samostatné sítě. Pokud modré porty fungují na síti 192.168.1.0 a oranžové porty na síti 192.168.1.0, tak i přes stejnou IP adresu nebudou vzájemně propojeny, protože budou logicky patřit k různým přepínačům. A jak víme, různé fyzické přepínače spolu nekomunikují, pokud nejsou propojeny společnou komunikační linkou. Vytváříme tedy různé podsítě pro různé VLAN.
Upozorňuji na skutečnost, že koncept VLAN se týká pouze přepínačů. Každý, kdo je obeznámen s protokoly zapouzdření, jako je .1Q nebo ISL, ví, že ani směrovače, ani počítače nemají žádné sítě VLAN. Když připojíte počítač např. k jednomu z modrých portů, v počítači nic neměníte, všechny změny probíhají až na druhé úrovni OSI, na úrovni přepínače. Když nakonfigurujeme porty pro práci s konkrétní sítí VLAN10 nebo VLAN20, přepínač vytvoří databázi VLAN. Do paměti si „zaznamená“, že porty 1,3 a 5 patří do VLAN10, porty 14,15 a 18 jsou součástí VLAN20 a zbylé zapojené porty jsou součástí VLAN1. Pokud tedy nějaký provoz pochází z modrého portu 1, jde pouze na porty 3 a 5 stejné VLAN10. Přepínač se podívá do své databáze a zjistí, že pokud provoz přichází z jednoho z oranžových portů, měl by směřovat pouze do oranžových portů VLAN20.
Počítač však o těchto VLAN nic neví. Když propojíme 2 přepínače, vytvoří se mezi zelenými porty trunk. Pojem „trunk“ je relevantní pouze pro zařízení Cisco, ostatní výrobci síťových zařízení, jako je Juniper, používají termín Tag port nebo „tagovaný port“. Myslím, že název Tag port je vhodnější. Když provoz pochází z této sítě, trunk jej přenese na všechny porty dalšího přepínače, to znamená, že připojíme dva 48portové přepínače a získáme jeden 96portový přepínač. Zároveň, když odesíláme provoz z VLAN10, stane se tagovaný, to znamená, že je opatřen štítkem, který ukazuje, že je určen pouze pro porty sítě VLAN10. Druhý přepínač po přijetí tohoto provozu přečte značku a pochopí, že se jedná o provoz speciálně pro síť VLAN10 a měl by jít pouze do modrých portů. Podobně je označen „oranžový“ provoz pro VLAN20, který označuje, že je určen pro porty VLAN20 na druhém přepínači.
Zmínili jsme také zapouzdření a zde jsou dva způsoby zapouzdření. První je .1Q, to znamená, že když organizujeme kmen, musíme zajistit zapouzdření. Protokol zapouzdření .1Q je otevřený standard, který popisuje postup označování provozu. Existuje další protokol nazvaný ISL, Inter-Switch link, vyvinutý společností Cisco, který označuje, že provoz patří do konkrétní VLAN. Všechny moderní přepínače pracují s protokolem .1Q, takže když vybalíte nový přepínač z krabice, nemusíte používat žádné příkazy pro zapouzdření, protože to standardně provádí protokol .1Q. Po vytvoření trunku tedy automaticky dochází k zapouzdření provozu, což umožňuje čtení značek.
Nyní začneme s nastavením VLAN. Vytvořme síť, ve které budou 2 switche a dvě koncová zařízení - počítače PC1 a PC2, které propojíme kabely do switche #0. Začněme základním nastavením přepínače Základní konfigurace.
Chcete-li to provést, klikněte na přepínač a přejděte do rozhraní příkazového řádku a poté nastavte název hostitele zavoláním tohoto přepínače sw1. Nyní přejdeme k nastavení prvního počítače a nastavíme statickou IP adresu 192.168.1.1 a masku podsítě 255.255. 255.0. Není potřeba výchozí adresa brány, protože všechna naše zařízení jsou ve stejné síti. Dále uděláme totéž pro druhý počítač a přidělíme mu IP adresu 192.168.1.2.
Nyní se vraťme k prvnímu počítači a odešleme příkaz ping druhému počítači. Jak můžete vidět, ping byl úspěšný, protože oba tyto počítače jsou připojeny ke stejnému přepínači a jsou součástí stejné sítě ve výchozím nastavení VLAN1. Pokud se nyní podíváme na rozhraní přepínačů, uvidíme, že všechny porty FastEthernet od 1 do 24 a dva porty GigabitEthernet jsou nakonfigurovány na VLAN #1. Taková nadměrná dostupnost však není potřeba, takže přejdeme do nastavení přepínače a zadáme příkaz show vlan, abychom se podívali na databázi virtuální sítě.
Zde vidíte název sítě VLAN1 a skutečnost, že všechny porty přepínače patří do této sítě. To znamená, že se můžete připojit k jakémukoli portu a všichni spolu budou moci „mluvit“, protože jsou součástí stejné sítě.
Tuto situaci změníme, k tomu nejprve vytvoříme dvě virtuální sítě, tedy přidáme VLAN10. Chcete-li vytvořit virtuální síť, použijte příkaz jako „číslo sítě vlan“.
Jak můžete vidět, při pokusu o vytvoření sítě systém zobrazil zprávu se seznamem konfiguračních příkazů VLAN, které je třeba pro tuto akci použít:
exit – použití změn a ukončení nastavení;
název – zadejte vlastní název VLAN;
ne – zruší příkaz nebo jej nastaví jako výchozí.
To znamená, že než zadáte příkaz create VLAN, musíte zadat příkaz name, který zapne režim správy jmen, a poté přistoupit k vytvoření nové sítě. V tomto případě systém vyzve, aby bylo možné přiřadit číslo VLAN v rozsahu od 1 do 1005.
Nyní tedy zadáme příkaz k vytvoření VLAN číslo 20 - vlan 20 a poté mu dáme jméno pro uživatele, které ukazuje, o jaký druh sítě se jedná. V našem případě používáme název Employees command, neboli síť pro zaměstnance firmy.
Nyní musíme této VLAN přiřadit konkrétní port. Vstoupíme do režimu nastavení přepínače int f0/1, poté ručně přepneme port do režimu Access pomocí příkazu switchport mode access a uvedeme, který port je potřeba přepnout do tohoto režimu - jedná se o port pro síť VLAN10.
Vidíme, že poté se barva spojovacího bodu mezi PC0 a přepínačem, barva portu, změnila ze zelené na oranžovou. Jakmile se změny nastavení projeví, znovu se změní na zelenou. Zkusme pingnout na druhý počítač. U počítačů jsme neprovedli žádné změny v nastavení sítě, stále mají IP adresy 192.168.1.1 a 192.168.1.2. Ale pokud se pokusíme pingnout PC0 z počítače PC1, nic nebude fungovat, protože nyní tyto počítače patří do různých sítí: první do VLAN10, druhá do nativní VLAN1.
Vraťme se k rozhraní přepínače a nakonfigurujeme druhý port. Za tímto účelem vydám příkaz int f0/2 a zopakuji stejné kroky pro VLAN 20 jako při konfiguraci předchozí virtuální sítě.
Vidíme, že nyní spodní port switche, ke kterému je připojen druhý počítač, také změnil svou barvu ze zelené na oranžovou – musí uplynout pár sekund, než se změny v nastavení projeví a znovu se změní na zelenou. Pokud začneme znovu pingovat na druhý počítač, nic nebude fungovat, protože počítače stále patří do různých sítí, pouze PC1 je nyní součástí VLAN1, nikoli VLAN20.
Rozdělili jste tedy jeden fyzický přepínač na dva různé logické přepínače. Vidíte, že nyní se barva portu změnila z oranžové na zelenou, port funguje, ale stále nereaguje, protože patří do jiné sítě.
Udělejme změny v našem obvodu - odpojte počítač PC1 od prvního přepínače a připojte jej k druhému přepínači a samotné přepínače propojte kabelem.
Abych mezi nimi navázal spojení, půjdu do nastavení druhého přepínače a vytvořím VLAN10 a pojmenuji ji Management, tedy síť pro správu. Poté povolím režim přístupu a uvedu, že tento režim je pro VLAN10. Nyní se barva portů, přes které jsou přepínače připojeny, změnila z oranžové na zelenou, protože oba jsou nakonfigurovány na VLAN10. Nyní musíme vytvořit trunk mezi oběma přepínači. Oba tyto porty jsou Fa0/2, takže musíte vytvořit trunk pro port Fa0/2 prvního přepínače pomocí příkazu switchport mode trunk. Totéž musí být provedeno pro druhý přepínač, po kterém se mezi těmito dvěma porty vytvoří trunk.
Nyní, pokud chci pingnout PC1 z prvního počítače, vše půjde, protože spojení mezi PC0 a přepínačem #0 je síť VLAN10, mezi přepínačem #1 a PC1 je také VLAN10 a oba přepínače jsou propojeny trunkem .
Pokud jsou tedy zařízení umístěna na různých VLAN, pak nejsou vzájemně propojena, ale pokud jsou ve stejné síti, lze mezi nimi volně vyměňovat provoz. Zkusme ke každému přepínači přidat ještě jedno zařízení.
V nastavení sítě přidaného počítače PC2 nastavím IP adresu na 192.168.2.1 a v nastavení PC3 bude adresa 192.168.2.2. V tomto případě budou porty, ke kterým jsou tyto dva počítače připojeny, označeny jako Fa0/3. V nastavení switche #0 nastavíme Access mode a označíme, že tento port je určen pro VLAN20 a to samé uděláme pro switch #1.
Pokud použiji příkaz switchport access vlan 20 a VLAN20 ještě nebyla vytvořena, systém zobrazí chybu jako „Access VLAN neexistuje“, protože přepínače jsou nakonfigurovány tak, aby fungovaly pouze s VLAN10.
Pojďme vytvořit VLAN20. Pro zobrazení databáze virtuální sítě používám příkaz "show VLAN".
Vidíte, že výchozí síť je VLAN1, ke které jsou připojeny porty Fa0/4 až Fa0/24 a Gig0/1, Gig0/2. VLAN číslo 10, nazvaná Management, je připojena k portu Fa0/1 a VLAN číslo 20, standardně pojmenovaná VLAN0020, je připojena k portu Fa0/3.
Na názvu sítě v zásadě nezáleží, hlavní je, že se pro různé sítě neopakuje. Pokud chci změnit název sítě, který systém standardně přiděluje, použiji příkaz vlan 20 a pojmenuji Zaměstnanci. Toto jméno mohu změnit na něco jiného, například IPphones, a pokud pingneme IP adresu 192.168.2.2, uvidíme, že název VLAN nemá žádný význam.
Poslední věc, kterou bych chtěl zmínit, je účel Management IP, o kterém jsme hovořili v minulé lekci. K tomu použijeme příkaz int vlan1 a zadáme IP adresu 10.1.1.1 a masku podsítě 255.255.255.0 a poté přidáme příkaz no shutdown. Management IP jsme přiřadili nikoli celému switchi, ale pouze portům VLAN1, to znamená, že jsme přiřadili IP adresu, ze které je síť VLAN1 spravována. Pokud chceme spravovat VLAN2, musíme vytvořit odpovídající rozhraní pro VLAN2. V našem případě jsou to modré porty VLAN10 a oranžové porty VLAN20, které odpovídají adresám 192.168.1.0 a 192.168.2.0.
VLAN10 musí mít adresy umístěné ve stejném rozsahu, aby se k ní mohla připojit příslušná zařízení. Podobné nastavení je třeba provést pro VLAN20.
Toto okno příkazového řádku přepínače zobrazuje nastavení rozhraní pro VLAN1, tedy nativní VLAN.
Abychom nakonfigurovali Management IP pro VLAN10, musíme vytvořit rozhraní int vlan 10 a poté přidat IP adresu 192.168.1.10 a masku podsítě 255.255.255.0.
Pro konfiguraci VLAN20 musíme vytvořit rozhraní int vlan 20 a poté přidat IP adresu 192.168.2.10 a masku podsítě 255.255.255.0.
Proč je to nutné? Pokud počítač PC0 a levý horní port přepínače #0 patří do sítě 192.168.1.0, PC2 patří do sítě 192.168.2.0 a je připojen k nativnímu portu VLAN1, který patří do sítě 10.1.1.1, pak se PC0 nemůže navázat komunikace s tímto přepínačem přes protokol SSH, protože patří do různých sítí. Proto, aby PC0 komunikovalo s přepínačem přes SSH nebo Telnet, musíme mu udělit Access access. To je důvod, proč potřebujeme správu sítě.
Měli bychom být schopni svázat PC0 pomocí SSH nebo Telnetu s IP adresou rozhraní VLAN20 a provést potřebné změny přes SSH. Management IP je tedy nezbytný speciálně pro konfiguraci VLAN, protože každá virtuální síť musí mít vlastní řízení přístupu.
V dnešním videu jsme diskutovali o mnoha problémech: základní nastavení přepínačů, vytváření VLAN, přidělování portů VLAN, přidělování Management IP pro VLAN a konfigurace trunků. Pokud něčemu nerozumíte, nestyďte se, je to přirozené, protože VLAN je velmi komplexní a široké téma, ke kterému se vrátíme v dalších lekcích. Zaručuji, že s mou pomocí se můžete stát mistrem VLAN, ale smyslem této lekce bylo objasnit vám 3 otázky: co jsou VLAN, proč je potřebujeme a jak je nakonfigurovat.
Děkujeme, že s námi zůstáváte. Líbí se vám naše články? Chcete vidět více zajímavého obsahu? Podpořte nás objednávkou nebo doporučením přátelům, 30% sleva pro uživatele Habr na unikátní obdobu entry-level serverů, kterou jsme pro vás vymysleli: (k dispozici s RAID1 a RAID10, až 24 jader a až 40 GB DDR4).
Dell R730xd 2x levnější? Pouze zde V Nizozemsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 $! Číst o
Zdroj: www.habr.com