Før vi kommer ind på det grundlæggende i VLAN'er, vil jeg bede jer alle om at sætte denne video på pause, klikke på ikonet i nederste venstre hjørne, hvor der står Netværkskonsulent, gå til vores Facebook-side og like den der. Gå derefter tilbage til videoen og klik på kongeikonet i nederste højre hjørne for at abonnere på vores officielle YouTube-kanal. Vi tilføjer hele tiden nye serier, nu handler det om CCNA-kurset, så planlægger vi at starte et kursus med videolektioner CCNA Security, Network+, PMP, ITIL, Prince2 og udgive disse vidunderlige serier på vores kanal.
Så i dag vil vi tale om det grundlæggende i VLAN og besvare 3 spørgsmål: hvad er et VLAN, hvorfor har vi brug for et VLAN, og hvordan man konfigurerer det. Jeg håber, at du efter at have set denne videotutorial vil være i stand til at besvare alle tre spørgsmål.
Hvad er VLAN? VLAN er en forkortelse for virtuelt lokalnetværk. Senere i denne vejledning vil vi se på, hvorfor dette netværk er virtuelt, men før vi går videre til VLAN'er, skal vi forstå, hvordan en switch fungerer. Vi vil gennemgå nogle af de spørgsmål, vi diskuterede i tidligere lektioner.
Lad os først diskutere, hvad et Multiple Collision Domain er. Vi ved, at denne 48-ports switch har 48 kollisionsdomæner. Det betyder, at hver af disse porte, eller enheder forbundet til disse porte, kan kommunikere med en anden enhed på en anden port på en uafhængig måde uden at påvirke hinanden.
Alle 48 porte på denne switch er en del af ét Broadcast Domain. Det betyder, at hvis flere enheder er forbundet til flere porte, og en af dem udsender, vil den vises på alle de porte, som de resterende enheder er tilsluttet. Det er præcis sådan en switch fungerer.
Det er, som om folk sad i samme rum tæt på hinanden, og når en af dem sagde noget højt, kunne alle andre høre det. Dette er dog fuldstændig ineffektivt – jo flere der dukker op i rummet, jo mere støjende bliver det, og de tilstedeværende vil ikke længere høre hinanden. En lignende situation opstår med computere - jo flere enheder, der er tilsluttet et netværk, desto større bliver "lydstyrken" af udsendelsen, hvilket ikke tillader effektiv kommunikation at blive etableret.
Vi ved, at hvis en af disse enheder er forbundet til 192.168.1.0/24-netværket, er alle andre enheder en del af det samme netværk. Switchen skal også være tilsluttet et netværk med samme IP-adresse. Men her kan switchen, som en OSI-lag 2-enhed, have et problem. Hvis to enheder er tilsluttet det samme netværk, kan de nemt kommunikere med hinandens computere. Lad os antage, at vores virksomhed har en "bad guy", en hacker, som jeg vil tegne ovenfor. Nedenfor er min computer. Så det er meget nemt for denne hacker at komme ind på min computer, fordi vores computere er en del af det samme netværk. Det er problemet.
Hvis jeg tilhører den administrative ledelse, og denne nye fyr kan få adgang til filer på min computer, vil det slet ikke være godt. Min computer har selvfølgelig en firewall, der beskytter mod mange trusler, men det ville ikke være svært for en hacker at omgå den.
Den anden fare, der eksisterer for alle, der er medlem af dette udsendelsesdomæne, er, at hvis nogen har et problem med udsendelsen, vil denne interferens påvirke andre enheder på netværket. Selvom alle 48 porte kan forbindes til forskellige værter, vil fejl på én vært påvirke de andre 47, hvilket ikke er det, vi har brug for.
For at løse dette problem bruger vi konceptet VLAN eller virtuelt lokalnetværk. Det fungerer meget enkelt, idet det deler denne ene store 48-ports switch op i flere mindre switche.
Vi ved, at undernet deler et stort netværk op i flere små netværk, og VLAN fungerer på samme måde. Den opdeler for eksempel en 48-ports switch i 4 switche á 12 porte, som hver er en del af et nyt tilsluttet netværk. Samtidig kan vi bruge 12 porte til administration, 12 porte til IP-telefoni og så videre, det vil sige opdele switchen ikke fysisk, men logisk, virtuelt.
Jeg tildelte tre blå porte på den øverste switch til det blå VLAN10-netværk og tildelte tre orange porte til VLAN20. Enhver trafik fra en af disse blå porte vil således kun gå til de andre blå porte uden at påvirke de andre porte på denne switch. Trafik fra orange havne vil blive fordelt på samme måde, det vil sige, at det er som om, vi bruger to forskellige fysiske switche. VLAN er således en måde at opdele en switch i flere switche til forskellige netværk.
Jeg tegnede to switche ovenpå, her har vi en situation, hvor på venstre switch kun er tilsluttet blå porte til et netværk, og til højre – kun orange porte til et andet netværk, og disse switche er ikke forbundet med hinanden på nogen måde .
Lad os sige, at du vil bruge flere porte. Lad os forestille os, at vi har 2 bygninger, hver med sit eget ledelsespersonale, og to orange porte på den nederste switch bruges til administration. Derfor har vi brug for, at disse porte er forbundet til alle de orange porte på andre switches. Situationen er den samme med blå porte - alle blå porte på den øverste switch skal forbindes til andre porte af en lignende farve. For at gøre dette skal vi fysisk forbinde disse to switches i forskellige bygninger med en separat kommunikationslinje; på figuren er dette linjen mellem de to grønne porte. Som vi ved, hvis to switche er fysisk forbundet, danner vi en rygrad eller trunk.
Hvad er forskellen mellem en almindelig og en VLAN-switch? Det er ikke den store forskel. Når du køber en ny switch, er alle porte som standard konfigureret i VLAN-tilstand og er en del af det samme netværk, betegnet VLAN1. Det er derfor, når vi tilslutter en hvilken som helst enhed til én port, ender den med at være forbundet til alle andre porte, fordi alle 48 porte tilhører det samme VLAN1. Men hvis vi konfigurerer de blå porte til at virke på VLAN10-netværket, de orange porte på VLAN20-netværket og de grønne porte på VLAN1, får vi 3 forskellige switche. Brug af virtuel netværkstilstand giver os således mulighed for logisk at gruppere porte i specifikke netværk, opdele udsendelser i dele og oprette undernet. I dette tilfælde tilhører hver af portene i en bestemt farve et separat netværk. Hvis de blå porte virker på 192.168.1.0-netværket og de orange porte på 192.168.1.0-netværket, så vil de trods den samme IP-adresse ikke være forbundet med hinanden, fordi de logisk set vil tilhøre forskellige switches. Og som vi ved, kommunikerer forskellige fysiske switche ikke med hinanden, medmindre de er forbundet med en fælles kommunikationslinje. Så vi opretter forskellige undernet til forskellige VLAN'er.
Jeg vil gerne henlede din opmærksomhed på, at VLAN-konceptet kun gælder for switches. Enhver, der er bekendt med indkapslingsprotokoller såsom .1Q eller ISL, ved, at hverken routere eller computere har nogen VLAN'er. Når du for eksempel tilslutter din computer til en af de blå porte, ændrer du ikke noget i computeren, alle ændringer sker kun på det andet OSI-niveau, switch-niveauet. Når vi konfigurerer porte til at arbejde med et specifikt VLAN10- eller VLAN20-netværk, opretter switchen en VLAN-database. Den "registrerer" i sin hukommelse, at porte 1,3 og 5 tilhører VLAN10, porte 14,15 og 18 er en del af VLAN20, og de resterende involverede porte er en del af VLAN1. Derfor, hvis noget trafik stammer fra blå port 1, går den kun til port 3 og 5 på samme VLAN10. Switchen kigger på sin database og ser, at hvis trafik kommer fra en af de orange porte, skal den kun gå til de orange porte på VLAN20.
Computeren ved dog intet om disse VLAN'er. Når vi forbinder 2 switche, dannes der en trunk mellem de grønne porte. Udtrykket "trunk" er kun relevant for Cisco-enheder; andre producenter af netværksenheder, såsom Juniper, bruger udtrykket Tag-port eller "tagget port". Jeg synes, navnet Tag port er mere passende. Når trafikken stammer fra dette netværk, transmitterer trunk det til alle porte på den næste switch, det vil sige, at vi forbinder to 48-ports switche og får en 96-ports switch. Samtidig, når vi sender trafik fra VLAN10, bliver den tagget, det vil sige, at den er forsynet med en etiket, der viser, at den kun er beregnet til porte på VLAN10-netværket. Den anden switch, der har modtaget denne trafik, læser tagget og forstår, at dette er trafik specifikt til VLAN10-netværket og kun bør gå til blå porte. På samme måde er "orange" trafik til VLAN20 mærket for at angive, at den er bestemt til VLAN20-porte på den anden switch.
Vi nævnte også indkapsling og her er der to metoder til indkapsling. Den første er .1Q, det vil sige, når vi organiserer en kuffert, skal vi sørge for indkapsling. .1Q-indkapslingsprotokollen er en åben standard, der beskriver proceduren for tagging af trafik. Der er en anden protokol kaldet ISL, Inter-Switch link, udviklet af Cisco, som indikerer, at trafikken hører til et specifikt VLAN. Alle moderne switche arbejder med .1Q-protokollen, så når du tager en ny switch ud af kassen, behøver du ikke bruge nogen indkapslingskommandoer, fordi det som standard udføres af .1Q-protokollen. Efter oprettelse af en trunk sker der således automatisk trafikindkapsling, hvilket gør det muligt at læse tags.
Lad os nu begynde at opsætte VLAN. Lad os skabe et netværk, hvor der vil være 2 switche og to slutenheder - computere PC1 og PC2, som vi forbinder med kabler for at skifte #0. Lad os starte med de grundlæggende indstillinger for den grundlæggende konfigurationskontakt.
For at gøre dette skal du klikke på kontakten og gå til kommandolinjegrænsefladen og derefter indstille værtsnavnet, kalde denne switch sw1. Lad os nu gå videre til indstillingerne for den første computer og indstille den statiske IP-adresse 192.168.1.1 og undernetmasken 255.255. 255.0. Der er ikke behov for en standard gateway-adresse, fordi alle vores enheder er på det samme netværk. Dernæst vil vi gøre det samme for den anden computer og tildele den IP-adressen 192.168.1.2.
Lad os nu gå tilbage til den første computer for at pinge den anden computer. Som du kan se, var ping vellykket, fordi begge disse computere er forbundet til den samme switch og er en del af det samme netværk som standard VLAN1. Hvis vi nu ser på switch-interfaces, vil vi se, at alle FastEthernet-porte fra 1 til 24 og to GigabitEthernet-porte er konfigureret på VLAN #1. Men sådan overdreven tilgængelighed er ikke nødvendig, så vi går ind i switch-indstillingerne og indtaster kommandoen show vlan for at se på den virtuelle netværksdatabase.
Du ser her navnet på VLAN1-netværket og det faktum, at alle switch-porte tilhører dette netværk. Det betyder, at du kan oprette forbindelse til enhver port, og de vil alle være i stand til at "tale" med hinanden, fordi de er en del af det samme netværk.
Vi vil ændre denne situation; For at gøre dette vil vi først oprette to virtuelle netværk, det vil sige tilføje VLAN10. For at oprette et virtuelt netværk, brug en kommando som "vlan netværksnummer".
Som du kan se, når du forsøger at oprette et netværk, viste systemet en meddelelse med en liste over VLAN-konfigurationskommandoer, der skal bruges til denne handling:
exit – anvend ændringer og afslut indstillinger;
navn – indtast et brugerdefineret VLAN-navn;
nej – annuller kommandoen eller indstil den som standard.
Det betyder, at før du indtaster kommandoen create VLAN, skal du indtaste navnekommandoen, som aktiverer navnestyringstilstanden, og derefter fortsætte med at oprette et nyt netværk. I dette tilfælde beder systemet om, at VLAN-nummeret kan tildeles i området fra 1 til 1005.
Så nu indtaster vi kommandoen for at oprette VLAN nummer 20 - vlan 20, og så giver det et navn til brugeren, som viser hvilken slags netværk det er. I vores tilfælde bruger vi navnet Employees command, eller et netværk for virksomhedens ansatte.
Nu skal vi tildele en specifik port til dette VLAN. Vi går ind i switch-indstillingstilstanden int f0/1, og skifter derefter porten manuelt til Access-tilstand ved hjælp af switchport mode-adgangskommandoen og angiver, hvilken port der skal skiftes til denne tilstand - dette er porten til VLAN10-netværket.
Vi ser, at herefter skiftede farven på forbindelsespunktet mellem PC0 og switchen, farven på porten, fra grøn til orange. Den bliver grøn igen, så snart indstillingsændringerne træder i kraft. Lad os prøve at pinge den anden computer. Vi har ikke foretaget nogen ændringer i netværksindstillingerne for computerne, de har stadig IP-adresser på 192.168.1.1 og 192.168.1.2. Men hvis vi forsøger at pinge PC0 fra computer PC1, vil intet fungere, for nu tilhører disse computere forskellige netværk: den første til VLAN10, den anden til native VLAN1.
Lad os vende tilbage til switch-grænsefladen og konfigurere den anden port. For at gøre dette vil jeg udstede kommandoen int f0/2 og gentage de samme trin for VLAN 20, som jeg gjorde, da jeg konfigurerede det forrige virtuelle netværk.
Vi ser, at nu har den nederste port på switchen, som den anden computer er tilsluttet, også skiftet farve fra grøn til orange – der skal gå et par sekunder, før ændringerne i indstillingerne træder i kraft, og den bliver grøn igen. Hvis vi begynder at pinge den anden computer igen, vil intet virke, fordi computerne stadig tilhører forskellige netværk, kun PC1 er nu en del af VLAN1, ikke VLAN20.
Således har du opdelt én fysisk switch i to forskellige logiske switche. Du kan se, at nu er portfarven ændret fra orange til grøn, porten virker, men svarer stadig ikke, fordi den tilhører et andet netværk.
Lad os foretage ændringer i vores kredsløb - afbryd computer PC1 fra den første switch og tilslut den til den anden switch, og tilslut selve switchene med et kabel.
For at etablere en forbindelse mellem dem, vil jeg gå ind i indstillingerne for den anden switch og oprette VLAN10, hvilket giver den navnet Management, det vil sige administrationsnetværket. Så aktiverer jeg Access-tilstand og angiver, at denne tilstand er til VLAN10. Nu er farven på de porte, som switchene er tilsluttet, ændret fra orange til grøn, fordi de begge er konfigureret på VLAN10. Nu skal vi oprette en trunk mellem begge switches. Begge disse porte er Fa0/2, så du skal oprette en trunk til Fa0/2-porten på den første switch ved hjælp af switchport mode trunk-kommandoen. Det samme skal gøres for den anden switch, hvorefter der dannes en trunk mellem disse to porte.
Nu, hvis jeg vil pinge PC1 fra den første computer, vil alt fungere, fordi forbindelsen mellem PC0 og switch #0 er et VLAN10 netværk, mellem switch #1 og PC1 er også VLAN10, og begge switche er forbundet med en trunk .
Så hvis enheder er placeret på forskellige VLAN'er, så er de ikke forbundet med hinanden, men hvis de er på det samme netværk, så kan trafik frit udveksles mellem dem. Lad os prøve at tilføje en enhed mere til hver switch.
I netværksindstillingerne på den tilføjede computer PC2 vil jeg sætte IP-adressen til 192.168.2.1, og i indstillingerne for PC3 vil adressen være 192.168.2.2. I dette tilfælde vil de porte, som disse to pc'er er forbundet til, blive betegnet Fa0/3. I indstillingerne for switch #0 vil vi indstille Access mode og angive, at denne port er beregnet til VLAN20, og vi vil gøre det samme for switch #1.
Hvis jeg bruger kommandoen switchport access vlan 20, og VLAN20 endnu ikke er blevet oprettet, vil systemet vise en fejl som "Adgang til VLAN findes ikke", fordi switchene er konfigureret til kun at fungere med VLAN10.
Lad os skabe VLAN20. Jeg bruger kommandoen "vis VLAN" til at se den virtuelle netværksdatabase.
Du kan se, at standardnetværket er VLAN1, hvortil portene Fa0/4 til Fa0/24 og Gig0/1, Gig0/2 er forbundet. VLAN nummer 10, kaldet Management, er forbundet til port Fa0/1, og VLAN nummer 20, kaldet VLAN0020 som standard, er forbundet til port Fa0/3.
I princippet er navnet på netværket ligegyldigt, det vigtigste er, at det ikke gentages for forskellige netværk. Hvis jeg vil ændre netværksnavnet, som systemet tildeler som standard, bruger jeg kommandoen vlan 20 og navngiver Employees. Jeg kan ændre dette navn til noget andet, som IPphones, og hvis vi pinger IP-adressen 192.168.2.2, kan vi se, at VLAN-navnet ikke har nogen betydning.
Det sidste jeg vil nævne er formålet med Management IP, som vi talte om i sidste lektion. For at gøre dette bruger vi kommandoen int vlan1 og indtaster IP-adressen 10.1.1.1 og undernetmasken 255.255.255.0 og tilføjer derefter kommandoen no shutdown. Vi tildelte Management IP ikke for hele switchen, men kun til VLAN1-portene, det vil sige, vi tildelte IP-adressen, hvorfra VLAN1-netværket styres. Hvis vi vil administrere VLAN2, skal vi oprette en tilsvarende grænseflade til VLAN2. I vores tilfælde er der blå VLAN10-porte og orange VLAN20-porte, som svarer til adresserne 192.168.1.0 og 192.168.2.0.
VLAN10 skal have adresser placeret i samme rækkevidde, så de relevante enheder kan oprette forbindelse til den. En lignende indstilling skal foretages for VLAN20.
Dette switch-kommandolinjevindue viser grænsefladeindstillingerne for VLAN1, det vil sige native VLAN.
For at konfigurere Management IP til VLAN10 skal vi oprette en grænseflade int vlan 10 og derefter tilføje IP-adressen 192.168.1.10 og undernetmasken 255.255.255.0.
For at konfigurere VLAN20 skal vi oprette en grænseflade int vlan 20 og derefter tilføje IP-adressen 192.168.2.10 og undernetmasken 255.255.255.0.
Hvorfor er dette nødvendigt? Hvis computer PC0 og den øverste venstre port på switch #0 tilhører 192.168.1.0 netværket, hører PC2 til 192.168.2.0 netværket og er forbundet til den oprindelige VLAN1 port, som hører til 10.1.1.1 netværket, så kan PC0 ikke etablere kommunikation med denne switch via protokollen SSH, fordi de tilhører forskellige netværk. Derfor, for at PC0 kan kommunikere med switchen via SSH eller Telnet, skal vi give den adgangsadgang. Det er derfor, vi har brug for netværksstyring.
Vi burde være i stand til at binde PC0 ved hjælp af SSH eller Telnet til VLAN20-grænsefladens IP-adresse og foretage de ændringer, vi har brug for, via SSH. Management IP er således nødvendigt specifikt til at konfigurere VLAN'er, fordi hvert virtuelt netværk skal have sin egen adgangskontrol.
I dagens video diskuterede vi mange spørgsmål: grundlæggende switch-indstillinger, oprettelse af VLAN'er, tildeling af VLAN-porte, tildeling af Management IP til VLAN'er og konfiguration af trunks. Bliv ikke flov, hvis du ikke forstår noget, det er naturligt, for VLAN er et meget komplekst og bredt emne, som vi vil vende tilbage til i fremtidige lektioner. Jeg garanterer, at du med min hjælp kan blive en VLAN-mester, men meningen med denne lektion var at afklare 3 spørgsmål for dig: hvad er VLAN'er, hvorfor har vi brug for dem, og hvordan man konfigurerer dem.
Tak fordi du blev hos os. Kan du lide vores artikler? Vil du se mere interessant indhold? Støt os ved at afgive en ordre eller anbefale til venner, 30% rabat til Habr-brugere på en unik analog af entry-level servere, som er opfundet af os til dig: (tilgængelig med RAID1 og RAID10, op til 24 kerner og op til 40 GB DDR4).
Dell R730xd 2 gange billigere? Kun her i Holland! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - fra $99! Læse om
Kilde: www.habr.com