Na lokální VLAN jsme se již podívali ve video lekcích 11., 12. a 13. den a dnes v jejich studiu budeme pokračovat v souladu s tématy ICND2. Předchozí video, které znamenalo konec přípravy na zkoušku ICND1, jsem natočil před pár měsíci a celou tu dobu až do dneška jsem byl velmi zaneprázdněn. Myslím, že mnozí z vás tuto zkoušku úspěšně složili, ti, kteří testování odložili, mohou počkat do konce druhé části kurzu a zkusit složit soubornou zkoušku CCNA 200-125.
Dnešní videolekcí „Den 34“ začínáme téma kurzu ICND2. Mnoho lidí se mě ptá, proč jsme nepokryli OSPF a EIGRP. Faktem je, že tyto protokoly nejsou zahrnuty v tématech kurzu ICND1 a jsou studovány v rámci přípravy na absolvování ICND2. Ode dneška se začneme věnovat tématům druhé části kurzu a samozřejmě budeme studovat punkce OSPF a EIGRP. Než začnu dnešní téma, chci mluvit o strukturování našich videolekcí. Při prezentaci témat ICND1 jsem se nedržel přijatých šablon, ale jednoduše jsem látku logicky vysvětlil, protože jsem věřil, že tato metoda je srozumitelnější. Nyní, při studiu ICND2, na žádost studentů začnu prezentovat výukový materiál v souladu s osnovami a programem kurzu Cisco.
Pokud přejdete na webové stránky společnosti, uvidíte tento plán a skutečnost, že celý kurz je rozdělen do 5 hlavních částí:
— Technologie přepínání místních sítí (26 % vzdělávacích materiálů);
— technologie směrování (29 %);
— globální síťové technologie (16 %);
— služby infrastruktury (14 %);
— Údržba infrastruktury (15 %).
Začnu prvním dílem. Pokud kliknete na rozbalovací nabídku vpravo, zobrazí se podrobná témata této sekce. Dnešní video tutoriál se bude týkat témat části 1.1: „Konfigurace, ověřování a odstraňování problémů s VLAN (běžný/rozšířený rozsah) zahrnující více přepínačů“ a podsekce 1.1a „Přístupové porty (data a hlas)“ a 1.1.b „Výchozí sítě VLAN“ .
Dále se pokusím dodržet stejný princip prezentace, to znamená, že každá video lekce bude věnována jedné sekci s podsekcemi, a pokud nebude dostatek materiálu, spojím témata více sekcí do jedné lekce, např. například 1.2 a 1.3. Pokud je v této sekci hodně materiálu, rozdělím ho do dvou videí. V každém případě se budeme řídit sylabusem kurzu a své poznámky si můžete snadno porovnat s aktuálním kurikulem Cisco.
Na obrazovce můžete vidět moji novou plochu, jedná se o Windows 10. Pokud si chcete vylepšit plochu různými widgety, můžete se podívat na moje video s názvem “Pimp Your Desktop”, kde vám ukážu, jak si upravit plochu počítače podle vaše potřeby. Videa tohoto druhu zveřejňuji na jiném kanálu ExplainWorld, takže můžete použít odkaz v pravém horním rohu a seznámit se s jeho obsahem.
Před zahájením lekce vás prosím, abyste nezapomněli sdílet a lajkovat má videa. Rád bych také připomněl naše kontakty na sociálních sítích a odkazy na mé osobní stránky. Můžete mi napsat e-mailem, a jak jsem již řekl, lidé, kteří přispěli na našem webu, budou mít přednost při obdržení mé osobní odpovědi.
Pokud jste nepřispěli, nevadí, své komentáře můžete zanechat pod videonávody na kanálu YouTube a já na ně odpovím, jak nejlépe budu moci.
Dnes se tedy podle harmonogramu Cisco podíváme na 3 otázky: porovnejte výchozí VLAN, neboli výchozí VLAN, s nativní VLAN neboli „nativní“ VLAN, zjistěte, jak se liší normální VLAN (běžný rozsah VLAN) od rozšířený rozsah sítí Extended VLAN a Podívejme se na rozdíl mezi Data VLAN a Voice VLAN. Jak jsem řekl, tuto problematiku jsme již studovali v předchozích sériích, ale spíše povrchně, takže mnoho studentů má stále potíže s určením rozdílu mezi typy VLAN. Dnes to vysvětlím způsobem, který pochopí každý.
Podívejme se na rozdíl mezi výchozí VLAN a nativní VLAN. Pokud vezmete zcela nový Cisco switch s továrním nastavením, bude mít 5 VLAN - VLAN1, VLAN1002, VLAN1003, VLAN1004 a VLAN1005.
VLAN1 je výchozí VLAN pro všechna zařízení Cisco a VLAN 1002-1005 jsou vyhrazeny pro Token Ring a FDDI. VLAN1 nelze smazat ani přejmenovat, nelze do ní přidávat rozhraní a všechny porty přepínačů standardně patří do této sítě, dokud nejsou nakonfigurovány jinak. Ve výchozím nastavení mohou všechny přepínače spolu komunikovat, protože jsou všechny součástí VLAN1. To je to, co znamená „Výchozí VLAN“.
Pokud přejdete do nastavení přepínače SW1 a přiřadíte síti VLAN20 dvě rozhraní, stanou se součástí sítě VLAN20. Před zahájením dnešní lekce vám důrazně doporučuji prostudovat si epizody 11,12, 13 a XNUMX uvedené výše, protože nebudu opakovat, co jsou to VLAN a jak fungují.
Jen vám připomenu, že nemůžete automaticky přiřadit rozhraní k síti VLAN20, dokud ji nevytvoříte, takže nejprve musíte přejít do režimu globální konfigurace přepínače a vytvořit VLAN20. Můžete se podívat na konzolu nastavení CLI a zjistit, co tím myslím. Jakmile přiřadíte tyto 2 porty VLAN20, PC1 a PC2 budou moci spolu komunikovat, protože oba budou patřit ke stejné VLAN20. Ale PC3 bude stále součástí VLAN1, a proto nebude moci komunikovat s počítači na VLAN20.
Máme tu druhý switch SW2, jehož jedno z rozhraní je určeno pro práci s VLAN20 a na tento port je připojen PC5. S tímto návrhem připojení nemůže PC5 komunikovat s PC4 a PC6, ale oba počítače spolu komunikovat mohou, protože patří do stejné VLAN1.
Oba přepínače jsou propojeny trunkem přes příslušně nakonfigurované porty. Nebudu se opakovat, jen řeknu, že všechny porty přepínače jsou standardně nakonfigurovány pro trunkový režim pomocí protokolu DTP. Pokud připojíte počítač k určitému portu, bude tento port používat režim přístupu. Pokud chcete přepnout port, ke kterému je PC3 připojen, do tohoto režimu, budete muset zadat příkaz switchport mode access.
Pokud tedy spojíte dva spínače k sobě, tvoří kmen. Horní dva porty SW1 budou propouštět pouze provoz VLAN20, spodní port pouze provoz VLAN1, ale trunkové spojení bude procházet veškerým provozem procházejícím přepínačem. SW2 tedy bude přijímat provoz z VLAN1 i VLAN20.
Jak si pamatujete, sítě VLAN mají místní význam. Proto SW2 ví, že provoz přicházející na port VLAN1 z PC4 může být odeslán do PC6 pouze přes port, který také patří k VLAN1. Když však jeden přepínač posílá provoz na jiný přepínač přes trunk, musí použít mechanismus, který druhému přepínači vysvětlí, o jaký druh provozu se jedná. Jako takový mechanismus se používá Native VLAN síť, která je připojena k trunk portu a prochází přes něj označený provoz.
Jak jsem již řekl, přepínač má pouze jednu síť, která nepodléhá změnám - jedná se o výchozí síť VLAN1. Ale ve výchozím nastavení je nativní VLAN VLAN1. Co je nativní VLAN? Jedná se o síť, která umožňuje netagovaný provoz z VLAN1, ale jakmile kmenový port přijme provoz z jakékoli jiné sítě, v našem případě VLAN20, je nutně označen. Každý rámec má cílovou adresu DA, zdrojovou adresu SA a značku VLAN obsahující VLAN ID. V našem případě toto ID označuje, že tento provoz patří do VLAN20, takže může být odeslán pouze přes port VLAN20 a určen pro PC5. Dá se říci, že nativní VLAN rozhoduje o tom, zda má být provoz označen nebo neoznačen.
Pamatujte, že VLAN1 je výchozí nativní VLAN, protože ve výchozím nastavení všechny porty používají VLAN1 jako nativní VLAN k přenášení neoznačeného provozu. Výchozí VLAN je však pouze VLAN1, jediná síť, kterou nelze změnit. Pokud přepínač obdrží neoznačené rámce na trunk portu, automaticky je přiřadí k nativní VLAN.
Jednoduše řečeno, v přepínačích Cisco můžete jako nativní VLAN použít jakoukoli VLAN, například VLAN20, a pouze VLAN1 lze použít jako výchozí VLAN.
Při tom můžeme mít problém. Pokud změníme nativní VLAN pro kmenový port prvního přepínače na VLAN20, port si bude myslet: „protože se jedná o nativní VLAN, její provoz není třeba označovat“ a odešle neoznačený provoz sítě VLAN20. podél kufru k druhému vypínači. Přepínač SW2 po přijetí tohoto provozu řekne: „Skvělé, tento provoz nemá značku. Podle mého nastavení je moje nativní VLAN VLAN1, což znamená, že bych měl tento neoznačený provoz poslat na VLAN1.“ SW2 tedy přepošle přijatý provoz pouze do PC4 a PC-6, i když je určen pro PC5. To vytvoří velký bezpečnostní problém, protože to bude míchat provoz VLAN. Proto musí být na obou trunkových portech vždy nakonfigurována stejná nativní VLAN, to znamená, že pokud je nativní VLAN pro trunk port SW1 VLAN20, pak musí být nastavena stejná VLAN20 jako nativní VLAN na trunk portu SW2.
Toto je rozdíl mezi Native VLAN a Default VLAN a musíte si pamatovat, že všechny Native VLAN v trunku se musí shodovat (poznámka překladatele: proto je lepší použít jako Native VLAN jinou síť než VLAN1).
Podívejme se na to z pohledu přepínače. Můžete přejít do přepínače a zadat příkaz show vlan brief, po kterém uvidíte, že všechny porty přepínače jsou připojeny k výchozí VLAN1.
Níže jsou zobrazeny další 4 VLAN: 1002,1003,1004 a 1005. Toto je také výchozí VLAN, můžete to vidět z jejich označení. Jsou to výchozí sítě, protože jsou vyhrazeny pro konkrétní sítě – Token Ring a FDDI. Jak vidíte, jsou v aktivním stavu, ale nejsou podporovány, protože sítě zmíněných standardů nejsou připojeny k přepínači.
„Výchozí“ označení pro VLAN 1 nelze změnit, protože se jedná o výchozí síť. Protože do této sítě standardně patří všechny porty přepínače, mohou spolu všechny přepínače standardně komunikovat, to znamená bez nutnosti další konfigurace portů. Pokud chcete switch připojit k jiné síti, vstoupíte do režimu globálního nastavení a vytvoříte tuto síť, například VLAN20. Stisknutím "Enter" přejdete do nastavení vytvořené sítě a můžete ji pojmenovat například Management a poté nastavení opustit.
Pokud nyní použijete příkaz show vlan brief, uvidíte, že máme novou síť VLAN20, která neodpovídá žádnému z portů přepínače. Chcete-li této síti přiřadit konkrétní port, musíte vybrat rozhraní, například int e0/1, přejít do nastavení tohoto portu a zadat příkazy switchport mode access a switchport access vlan20.
Pokud požádáme systém o zobrazení stavu VLAN, uvidíme, že ethernetový port 0/1 je nyní určen pro síť Management, to znamená, že sem byl automaticky přesunut z oblasti portů přiřazených standardně VLAN1.
Pamatujte, že každý přístupový port může mít pouze jednu datovou VLAN, takže nemůže podporovat dvě VLAN současně.
Nyní se podíváme na nativní VLAN. Používám příkaz show int trunk a vidím, že port Ethernet0/0 je přidělen trunku.
Nepotřeboval jsem to dělat záměrně, protože protokol DTP automaticky přiřadil toto rozhraní pro trunking. Port je v požadovaném režimu, zapouzdření je typu n-isl, stav portu je trunking, síť je nativní VLAN1.
Následující ukazuje rozsah čísel VLAN 1-4094 povolených pro trunking a ukazuje, že fungují sítě VLAN1 a VLAN20. Nyní přejdu do režimu globální konfigurace a napíšu příkaz int e0/0, díky kterému přejdu do nastavení tohoto rozhraní. Pokouším se ručně naprogramovat tento port tak, aby fungoval v režimu trunk pomocí příkazu trunk v režimu switchport, ale systém příkaz nepřijme a odpovídá: „Rozhraní s režimem automatického zapouzdření trunku nelze přepnout do režimu trunk.“
Nejprve tedy musím nakonfigurovat typ zapouzdření trunku, k čemuž používám příkaz switchport trunk encapsulation. Systém poskytl výzvy s možnými parametry pro tento příkaz:
dot1q — během trunkování port používá zapouzdření trunku 802.1q;
isl – během trunkingu port používá trunkové zapouzdření pouze proprietárního protokolu Cisco ISL;
vyjednávat – zařízení zapouzdří trunking s jakýmkoli zařízením připojeným k tomuto portu.
Na každém konci kmene musí být zvolen stejný typ zapouzdření. Ve výchozím nastavení přepínač podporuje pouze trunking typu dot1q, protože tento standard podporují téměř všechna síťová zařízení. Naprogramuji naše rozhraní tak, aby zapouzdřovalo trunking podle tohoto standardu pomocí příkazu switchport trunk encapsulation dot1q, a poté použiji dříve odmítnutý příkaz trunkport v režimu switchport. Nyní je náš port naprogramován pro režim trunk.
Pokud je trunk tvořen dvěma přepínači Cisco, bude standardně použit proprietární protokol ISL. Pokud jeden přepínač podporuje dot1q a ISL a druhý pouze dot1q, trunk se automaticky přepne do režimu zapouzdření dot1q. Pokud se znovu podíváme na parametry trunkingu, můžeme vidět, že režim zapouzdření trunkingu rozhraní Et0/0 se nyní změnil z n-isl na 802.1q.
Pokud zadáme příkaz show int e0/0 switchport, uvidíme všechny stavové parametry tohoto portu.
Vidíte, že ve výchozím nastavení je VLAN1 „nativní sítí“ nativní VLAN pro trunking a je možný režim označování provozu nativní VLAN. Dále použiji příkaz int e0/0, přejdu do nastavení tohoto rozhraní a napíšu switchport trunk, načež systém napoví možné parametry tohoto příkazu.
Povoleno znamená, že pokud je port v režimu trunk, budou nastaveny povolené charakteristiky VLAN. Zapouzdření umožňuje zapouzdření trunkingu, pokud je port v režimu trunk. Používám nativní parametr, což znamená, že v režimu trunk bude mít port nativní vlastnosti a zadávám příkaz switchport trunk native VLAN20. V režimu trunk tedy bude VLAN20 nativní VLAN pro tento port prvního přepínače SW1.
Máme další přepínač, SW2, pro jehož trunk port se používá VLAN1 jako nativní VLAN. Nyní vidíte, že protokol CDP zobrazuje zprávu, že na obou koncích trunku byl zjištěn nesoulad nativní VLAN: trunkový port prvního přepínače Ethernet0/0 používá nativní VLAN20 a trunkový port druhého přepínače používá nativní VLAN1. . To ukazuje, jaký je rozdíl mezi nativní VLAN a výchozí VLAN.
Začněme se zabývat běžným a rozšířeným rozsahem VLAN.
Cisco dlouhou dobu podporovalo pouze rozsah čísel VLAN 1 až 1005, přičemž rozsah 1002 až 1005 byl ve výchozím nastavení vyhrazen pro sítě Token Ring a FDDI VLAN. Tyto sítě se nazývaly běžné VLAN. Pokud si pamatujete, VLAN ID je 12bitový tag, který vám umožňuje nastavit číslo až do 4096, ale z důvodů kompatibility Cisco používalo pouze čísla do 1005.
Rozšířený rozsah VLAN zahrnuje čísla od 1006 do 4095. Lze jej použít na starších zařízeních, pouze pokud podporují VTP v3. Pokud používáte VTP v3 a rozšířený rozsah VLAN, musíte zakázat podporu pro VTP v1 a v2, protože první a druhá verze nemohou pracovat s VLAN, pokud jsou očíslovány větším než 1005.
Pokud tedy používáte Extended VLAN pro starší přepínače, VTP musí být ve stavu „deaktivovat“ a musíte jej ručně nakonfigurovat pro VLAN, jinak nebude možné aktualizovat databázi VLAN. Pokud budete používat Extended VLAN s VTP, potřebujete třetí verzi VTP.
Podívejme se na stav VTP pomocí příkazu show vtp status. Vidíte, že přepínač pracuje v režimu VTP v2, s možnou podporou verzí 1 a 3. Přidělil jsem mu název domény nwking.org.
Důležitý je zde režim ovládání VTP – server. Můžete vidět, že maximální počet podporovaných VLAN je 1005. Můžete tedy pochopit, že tento přepínač standardně podporuje pouze běžný rozsah VLAN.
Nyní napíšu show vlan brief a uvidíte správu VLAN20, která je zde zmíněna, protože je součástí databáze VLAN.
Pokud nyní požádám o zobrazení aktuální konfigurace zařízení pomocí příkazu show run, neuvidíme žádnou zmínku o sítích VLAN, protože jsou obsaženy pouze v databázi VLAN.
Dále používám příkaz vtp mode ke konfiguraci provozního režimu VTP. Přepínače starších modelů měly pro tento příkaz pouze tři parametry: klient, který přepne přepínač do klientského režimu, server, který zapne serverový režim, a transparentní, který přepne přepínač do „transparentního“ režimu. Protože nebylo možné úplně zakázat VTP na starších přepínačích, v tomto režimu přepínač, i když zůstal součástí domény VTP, jednoduše přestal přijímat aktualizace databáze VLAN přicházející na jeho porty prostřednictvím protokolu VTP.
Nové přepínače mají nyní parametr off, který umožňuje zcela deaktivovat režim VTP. Přepneme zařízení do transparentního režimu pomocí příkazu vtp mode transparent a znovu se podíváme na aktuální konfiguraci. Jak můžete vidět, byl k němu nyní přidán záznam o VLAN20. Pokud tedy přidáme nějakou VLAN, jejíž počet je v běžném rozsahu VLAN s čísly od 1 do 1005 a zároveň je VTP v transparentním nebo vypnutém režimu, pak v souladu s interními VLAN politikami bude tato síť přidána k aktuální konfiguraci a do databáze VLAN.
Zkusme přidat VLAN 3000 a uvidíte, že v transparentním režimu se objeví i v aktuální konfiguraci. Obvykle, pokud chceme přidat síť z rozšířeného rozsahu VLAN, použijeme příkaz vtp verze 3. Jak můžete vidět, v aktuální konfiguraci jsou zobrazeny VLAN20 i VLAN3000.
Pokud opustíte transparentní režim a povolíte serverový režim pomocí příkazu vtp mode server a poté se znovu podíváte na aktuální konfiguraci, můžete vidět, že položky VLAN zcela zmizely. Je to proto, že všechny informace o VLAN jsou uloženy pouze v databázi VLAN a lze je prohlížet pouze v transparentním režimu VTP. Protože jsem povolil režim VTP v3, po použití příkazu show vtp status můžete vidět, že maximální počet podporovaných sítí VLAN se zvýšil na 4096.
Databáze VTP v1 a VTP v2 tedy podporuje pouze běžné VLAN s čísly 1 až 1005, zatímco databáze VTP v3 obsahuje položky pro rozšířené VLAN s čísly 1 až 4096. Pokud používáte transparentní režim VTP nebo režim VTP vypnutý, budou přidány informace o VLAN na aktuální konfiguraci. Pokud chcete používat rozšířený rozsah VLAN, zařízení musí být v režimu VTP v3. To je rozdíl mezi běžnými a rozšířenými VLAN.
Nyní porovnáme datové VLAN a hlasové VLAN. Pokud si vzpomínáte, řekl jsem, že každý port může patřit vždy pouze k jedné VLAN.
V mnoha případech však potřebujeme nakonfigurovat port pro práci s IP telefonem. Moderní IP telefony Cisco mají vestavěný vlastní přepínač, takže telefon jednoduše připojíte kabelem do zásuvky ve zdi a propojovacím kabelem k počítači. Problém byl v tom, že zásuvka ve zdi, do které byl zapojen telefonní port, musela mít dvě různé sítě VLAN. Již jsme diskutovali ve video lekcích 11 a 12 dnů, co dělat, abychom zabránili dopravním smyčkám, jak používat koncept „nativní“ VLAN, která propouští neoznačený provoz, ale to vše byla řešení. Konečným řešením problému byl koncept rozdělení VLAN na sítě pro datový provoz a sítě pro hlasový provoz.
V tomto případě spojíte všechny telefonní linky do hlasové VLAN. Obrázek ukazuje, že PC1 a PC2 by mohly být na červené VLAN20 a PC3 by mohly být na zelené VLAN30, ale všechny jejich přidružené IP telefony by byly na stejné žluté hlasové VLAN50.
Ve skutečnosti bude mít každý port přepínače SW1 2 VLAN současně – pro data a pro hlas.
Jak jsem řekl, přístupová VLAN má vždy jednu VLAN, nemůžete mít dvě VLAN na stejném portu. Na jedno rozhraní nemůžete současně použít příkazy switchport access vlan 10, switchport access vlan 20 a switchport access vlan 50. Pro stejné rozhraní však můžete použít dva příkazy: příkaz switchport access vlan 10 a switchport voice vlan 50 příkaz Takže, protože IP telefon v sobě obsahuje přepínač, může zapouzdřit a posílat hlasový provoz VLAN50 a současně přijímat a odesílat datový provoz VLAN20 do přepínače SW1 v režimu přístupu k přepínači. Podívejme se, jak je tento režim nakonfigurován.
Nejprve vytvoříme síť VLAN50 a poté přejdeme do nastavení rozhraní Ethernet 0/1 a naprogramujeme jej na přístup do režimu switchport. Poté postupně zadávám příkazy switchport access vlan 10 a switchport voice vlan 50.
Zapomněl jsem nakonfigurovat stejný režim VLAN pro trunk, takže půjdu do nastavení ethernetového portu 0/0 a zadám příkaz switchport trunk native vlan 1. Nyní požádám o zobrazení parametrů VLAN a můžete vidět že nyní na ethernetovém portu 0/1 máme obě sítě – VLAN 50 i VLAN20.
Pokud tedy vidíte, že na stejném portu jsou dvě sítě VLAN, znamená to, že jedna z nich je hlasová VLAN. Toto nemůže být trunk, protože když se podíváte na parametry trunku pomocí příkazu show int trunk, uvidíte, že port trunk obsahuje všechny VLAN, včetně výchozí VLAN1.
Dalo by se říci, že technicky vzato, když vytvoříte datovou síť a hlasovou síť, každý z těchto portů se chová jako polosvazek: pro jednu síť funguje jako trunk, pro druhou jako přístupový port.
Pokud zadáte příkaz show int e0/1 switchport, můžete vidět, že některé charakteristiky odpovídají dvěma režimům provozu: máme jak statický přístup, tak zapouzdření trunkingu. V tomto případě režim přístupu odpovídá datové síti VLAN 20 Management a zároveň je přítomna hlasová síť VLAN 50.
Můžete se podívat na aktuální konfiguraci, která také ukáže, že na tomto portu je přítomna přístupová vlan 20 a hlasová vlan 50.
To je rozdíl mezi datovými VLAN a hlasovými VLAN. Doufám, že jste pochopili vše, co jsem řekl, pokud ne, podívejte se znovu na tento video tutoriál.
Děkujeme, že s námi zůstáváte. Líbí se vám naše články? Chcete vidět více zajímavého obsahu? Podpořte nás objednávkou nebo doporučením přátelům, 30% sleva pro uživatele Habr na unikátní obdobu entry-level serverů, kterou jsme pro vás vymysleli: (k dispozici s RAID1 a RAID10, až 24 jader a až 40 GB DDR4).
Dell R730xd 2x levnější? Pouze zde V Nizozemsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 $! Číst o
Zdroj: www.habr.com