Antes de entrar en los conceptos básicos de las VLAN, les pediría a todos que pausaran este video, hicieran clic en el ícono en la esquina inferior izquierda donde dice Consultor de redes, vayan a nuestra página de Facebook y le den Me gusta. Luego regrese al video y haga clic en el ícono de King en la esquina inferior derecha para suscribirse a nuestro canal oficial de YouTube. Constantemente agregamos nuevas series, ahora se trata del curso CCNA, luego planeamos comenzar un curso de lecciones en video CCNA Security, Network+, PMP, ITIL, Prince2 y publicar estas maravillosas series en nuestro canal.
Entonces, hoy hablaremos sobre los conceptos básicos de VLAN y responderemos 3 preguntas: qué es una VLAN, por qué necesitamos una VLAN y cómo configurarla. Espero que después de ver este video tutorial puedas responder las tres preguntas.
¿Qué es VLAN? VLAN es una abreviatura de red de área local virtual. Más adelante en este tutorial veremos por qué esta red es virtual, pero antes de pasar a las VLAN, debemos comprender cómo funciona un conmutador. Revisaremos algunas de las preguntas que discutimos en lecciones anteriores.
Primero, analicemos qué es un dominio de colisión múltiple. Sabemos que este conmutador de 48 puertos tiene 48 dominios de colisión. Esto significa que cada uno de estos puertos, o dispositivos conectados a estos puertos, pueden comunicarse con otro dispositivo en un puerto diferente de manera independiente sin afectarse entre sí.
Los 48 puertos de este conmutador forman parte de un dominio de transmisión. Esto significa que si hay varios dispositivos conectados a varios puertos y uno de ellos está transmitiendo, aparecerá en todos los puertos a los que estén conectados los dispositivos restantes. Así es exactamente como funciona un interruptor.
Es como si las personas estuvieran sentadas en la misma habitación, cerca unas de otras, y cuando una de ellas dijera algo en voz alta, todos los demás pudieran oírlo. Sin embargo, esto es completamente ineficaz: cuantas más personas aparezcan en la habitación, más ruido se volverá y los presentes ya no se escucharán entre sí. Una situación similar surge con las computadoras: cuantos más dispositivos están conectados a una red, mayor es el "volumen" de la transmisión, lo que no permite establecer una comunicación efectiva.
Sabemos que si uno de estos dispositivos está conectado a la red 192.168.1.0/24, todos los demás dispositivos forman parte de la misma red. El conmutador también debe estar conectado a una red con la misma dirección IP. Pero aquí el conmutador, como dispositivo OSI de capa 2, puede tener un problema. Si dos dispositivos están conectados a la misma red, pueden comunicarse fácilmente entre sí. Supongamos que nuestra empresa tiene un "chico malo", un hacker, a quien dibujaré arriba. Debajo está mi computadora. Entonces, es muy fácil para este hacker ingresar a mi computadora porque nuestras computadoras son parte de la misma red. Ese es el problema.
Si pertenezco a la gestión administrativa y este chico nuevo puede acceder a los archivos de mi computadora, no será nada bueno. Por supuesto, mi computadora tiene un firewall que protege contra muchas amenazas, pero no sería difícil para un pirata informático eludirlo.
El segundo peligro que existe para todos los que son miembros de este dominio de transmisión es que si alguien tiene un problema con la transmisión, esa interferencia afectará a otros dispositivos en la red. Aunque los 48 puertos se pueden conectar a diferentes hosts, la falla de un host afectará a los otros 47, que no es lo que necesitamos.
Para solucionar este problema utilizamos el concepto de VLAN, o red de área local virtual. Funciona de manera muy simple, dividiendo este gran conmutador de 48 puertos en varios conmutadores más pequeños.
Sabemos que las subredes dividen una red grande en varias redes pequeñas y las VLAN funcionan de manera similar. Divide, por ejemplo, un conmutador de 48 puertos en 4 conmutadores de 12 puertos, cada uno de los cuales forma parte de una nueva red conectada. Al mismo tiempo, podemos utilizar 12 puertos para gestión, 12 puertos para telefonía IP, etc., es decir, dividir el conmutador no físicamente, sino lógicamente, virtualmente.
Asigné tres puertos azules en el conmutador superior para la red VLAN10 azul y asigné tres puertos naranjas para VLAN20. Por lo tanto, cualquier tráfico de uno de estos puertos azules solo irá a los otros puertos azules, sin afectar a los demás puertos de este conmutador. El tráfico de los puertos naranja se distribuirá de forma similar, es decir, es como si estuviéramos usando dos conmutadores físicos diferentes. Por tanto, VLAN es una forma de dividir un conmutador en varios conmutadores para diferentes redes.
Dibujé dos interruptores en la parte superior, aquí tenemos una situación en la que en el interruptor de la izquierda solo están conectados los puertos azules para una red, y en el de la derecha, solo los puertos naranjas para otra red, y estos interruptores no están conectados entre sí de ninguna manera. .
Digamos que desea utilizar más puertos. Imaginemos que tenemos 2 edificios, cada uno con su propio personal de gestión, y dos puertos naranjas del switch inferior se utilizan para la gestión. Por lo tanto, necesitamos que estos puertos estén conectados a todos los puertos naranjas de otros conmutadores. La situación es similar con los puertos azules: todos los puertos azules del conmutador superior deben estar conectados a otros puertos del mismo color. Para hacer esto, necesitamos conectar físicamente estos dos conmutadores en edificios diferentes con una línea de comunicación separada; en la figura, esta es la línea entre los dos puertos verdes. Como sabemos, si dos conmutadores están conectados físicamente, formamos una columna vertebral o troncal.
¿Cuál es la diferencia entre un conmutador VLAN normal y uno? No es una gran diferencia. Cuando compra un conmutador nuevo, de forma predeterminada, todos los puertos están configurados en modo VLAN y forman parte de la misma red, denominada VLAN1. Es por eso que cuando conectamos cualquier dispositivo a un puerto, termina conectado a todos los demás puertos porque los 48 puertos pertenecen a la misma VLAN1. Pero si configuramos los puertos azules para que funcionen en la red VLAN10, los puertos naranjas en la red VLAN20 y los puertos verdes en VLAN1, obtendremos 3 conmutadores diferentes. Por lo tanto, el uso del modo de red virtual nos permite agrupar lógicamente puertos en redes específicas, dividir transmisiones en partes y crear subredes. En este caso, cada uno de los puertos de un color específico pertenece a una red separada. Si los puertos azules funcionan en la red 192.168.1.0 y los puertos naranja funcionan en la red 192.168.1.0, a pesar de tener la misma dirección IP, no estarán conectados entre sí, porque lógicamente pertenecerán a conmutadores diferentes. Y como sabemos, diferentes conmutadores físicos no se comunican entre sí a menos que estén conectados por una línea de comunicación común. Entonces creamos diferentes subredes para diferentes VLAN.
Me gustaría llamar su atención sobre el hecho de que el concepto VLAN se aplica únicamente a los conmutadores. Cualquiera que esté familiarizado con protocolos de encapsulación como .1Q o ISL sabe que ni los enrutadores ni las computadoras tienen VLAN. Cuando conecta su computadora, por ejemplo, a uno de los puertos azules, no cambia nada en la computadora, todos los cambios ocurren solo en el segundo nivel OSI, el nivel del conmutador. Cuando configuramos puertos para que funcionen con una red VLAN10 o VLAN20 específica, el conmutador crea una base de datos VLAN. “Graba” en su memoria que los puertos 1,3 y 5 pertenecen a la VLAN10, los puertos 14,15 y 18 son parte de la VLAN20 y el resto de puertos involucrados son parte de la VLAN1. Por lo tanto, si parte del tráfico se origina en el puerto azul 1, solo va a los puertos 3 y 5 de la misma VLAN10. El switch mira su base de datos y ve que si el tráfico proviene de uno de los puertos naranjas, solo debe ir a los puertos naranjas de VLAN20.
Sin embargo, la computadora no sabe nada acerca de estas VLAN. Cuando conectamos 2 conmutadores, se forma una troncal entre los puertos verdes. El término "troncal" es relevante sólo para dispositivos Cisco; otros fabricantes de dispositivos de red, como Juniper, utilizan el término puerto de etiqueta o "puerto etiquetado". Creo que el nombre Puerto de etiqueta es más apropiado. Cuando el tráfico proviene de esta red, el troncal lo transmite a todos los puertos del siguiente conmutador, es decir, conectamos dos conmutadores de 48 puertos y obtenemos un conmutador de 96 puertos. Al mismo tiempo, cuando enviamos tráfico desde VLAN10, este queda etiquetado, es decir, se le proporciona una etiqueta que muestra que está destinado únicamente a puertos de la red VLAN10. El segundo conmutador, al recibir este tráfico, lee la etiqueta y comprende que se trata de tráfico específico para la red VLAN10 y que solo debe ir a los puertos azules. De manera similar, el tráfico "naranja" para VLAN20 se etiqueta para indicar que está destinado a los puertos VLAN20 en el segundo conmutador.
También mencionamos la encapsulación y aquí hay dos métodos de encapsulación. El primero es .1Q, es decir, cuando organizamos un troncal, debemos proporcionar encapsulación. El protocolo de encapsulación .1Q es un estándar abierto que describe el procedimiento para etiquetar el tráfico. Existe otro protocolo llamado ISL, Inter-Switch link, desarrollado por Cisco, que indica que el tráfico pertenece a una VLAN específica. Todos los conmutadores modernos funcionan con el protocolo .1Q, por lo que cuando saca un nuevo conmutador de la caja, no necesita utilizar ningún comando de encapsulación, ya que de forma predeterminada lo realiza el protocolo .1Q. Por lo tanto, después de crear una troncal, la encapsulación del tráfico se produce automáticamente, lo que permite leer las etiquetas.
Ahora comencemos a configurar la VLAN. Creemos una red en la que habrá 2 conmutadores y dos dispositivos finales: las computadoras PC1 y PC2, que conectaremos con cables al conmutador n.° 0. Comencemos con la configuración básica del conmutador de Configuración básica.
Para hacer esto, haga clic en el interruptor y vaya a la interfaz de línea de comando, y luego configure el nombre del host, llamando a este interruptor sw1. Ahora pasemos a la configuración de la primera computadora y configuremos la dirección IP estática 192.168.1.1 y la máscara de subred 255.255. 255.0. No es necesaria una dirección de puerta de enlace predeterminada porque todos nuestros dispositivos están en la misma red. A continuación, haremos lo mismo para el segundo ordenador, asignándole la dirección IP 192.168.1.2.
Ahora volvamos a la primera computadora para hacer ping a la segunda computadora. Como puede ver, el ping fue exitoso porque ambas computadoras están conectadas al mismo conmutador y son parte de la misma red por defecto VLAN1. Si ahora miramos las interfaces del switch, veremos que todos los puertos FastEthernet del 1 al 24 y dos puertos GigabitEthernet están configurados en la VLAN #1. Sin embargo, dicha disponibilidad excesiva no es necesaria, por lo que ingresamos a la configuración del conmutador e ingresamos el comando show vlan para ver la base de datos de la red virtual.
Aquí verá el nombre de la red VLAN1 y el hecho de que todos los puertos del switch pertenecen a esta red. Esto significa que puedes conectarte a cualquier puerto y todos podrán “hablar” entre sí porque son parte de la misma red.
Cambiaremos esta situación, para ello primero crearemos dos redes virtuales, es decir agregaremos VLAN10. Para crear una red virtual, utilice un comando como "número de red vlan".
Como puede ver, al intentar crear una red, el sistema muestra un mensaje con una lista de comandos de configuración de VLAN que deben usarse para esta acción:
salir: aplicar cambios y salir de la configuración;
nombre: ingrese un nombre de VLAN personalizado;
no: cancele el comando o configúrelo como predeterminado.
Esto significa que antes de ingresar el comando de creación de VLAN, debe ingresar el comando de nombre, que activa el modo de administración de nombres, y luego proceder a crear una nueva red. En este caso, el sistema indica que se puede asignar el número de VLAN en el rango de 1 a 1005.
Ahora ingresamos el comando para crear la VLAN número 20 - vlan 20, y luego le damos un nombre para el usuario, que muestra qué tipo de red es. En nuestro caso utilizamos el nombre Comando Empleados, o una red para empleados de la empresa.
Ahora necesitamos asignar un puerto específico a esta VLAN. Ingresamos al modo de configuración del conmutador int f0/1, luego cambiamos manualmente el puerto al modo de acceso usando el comando de acceso al modo switchport e indicamos qué puerto debe cambiarse a este modo: este es el puerto para la red VLAN10.
Vemos que después de esto el color del punto de conexión entre la PC0 y el switch, el color del puerto, cambió de verde a naranja. Se volverá verde nuevamente tan pronto como los cambios de configuración surtan efecto. Intentemos hacer ping a la segunda computadora. No hemos realizado ningún cambio en la configuración de red de las computadoras, todavía tienen las direcciones IP 192.168.1.1 y 192.168.1.2. Pero si intentamos hacer ping a la PC0 desde la computadora PC1, nada funcionará, porque ahora estas computadoras pertenecen a redes diferentes: la primera a la VLAN10, la segunda a la VLAN1 nativa.
Volvamos a la interfaz del conmutador y configuremos el segundo puerto. Para hacer esto, emitiré el comando int f0/2 y repetiré los mismos pasos para la VLAN 20 que hice al configurar la red virtual anterior.
Vemos que ahora el puerto inferior del conmutador, al que está conectado la segunda computadora, también ha cambiado su color de verde a naranja; deben pasar unos segundos antes de que los cambios en la configuración surtan efecto y se vuelva verde nuevamente. Si comenzamos a hacer ping a la segunda computadora nuevamente, nada funcionará, porque las computadoras aún pertenecen a redes diferentes, solo la PC1 ahora es parte de VLAN1, no VLAN20.
Por lo tanto, ha dividido un conmutador físico en dos conmutadores lógicos diferentes. Verás que ahora el color del puerto ha cambiado de naranja a verde, el puerto está funcionando, pero aún no responde porque pertenece a una red diferente.
Hagamos cambios en nuestro circuito: desconecte la computadora PC1 del primer interruptor y conéctela al segundo interruptor, y conecte los interruptores con un cable.
Para establecer una conexión entre ellos, entraré en la configuración del segundo switch y crearé VLAN10, dándole el nombre Management, es decir, la red de administración. Luego habilitaré el modo de acceso y especificaré que este modo es para VLAN10. Ahora el color de los puertos a través de los cuales se conectan los conmutadores ha cambiado de naranja a verde porque ambos están configurados en VLAN10. Ahora necesitamos crear una troncal entre ambos conmutadores. Ambos puertos son Fa0/2, por lo que debe crear una troncal para el puerto Fa0/2 del primer conmutador mediante el comando troncal del modo switchport. Se debe hacer lo mismo con el segundo conmutador, después de lo cual se forma una troncal entre estos dos puertos.
Ahora, si quiero hacer ping a la PC1 desde la primera computadora, todo funcionará, porque la conexión entre la PC0 y el switch #0 es una red VLAN10, entre el switch #1 y la PC1 también es VLAN10, y ambos switchs están conectados por una troncal. .
Entonces, si los dispositivos están ubicados en diferentes VLAN, entonces no están conectados entre sí, pero si están en la misma red, entonces el tráfico se puede intercambiar libremente entre ellos. Intentemos agregar un dispositivo más a cada conmutador.
En la configuración de red de la computadora PC2 agregada, configuraré la dirección IP en 192.168.2.1, y en la configuración de la PC3, la dirección será 192.168.2.2. En este caso, los puertos a los que están conectados estos dos PC se denominarán Fa0/3. En la configuración del switch #0 configuraremos el Modo de Acceso e indicaremos que este puerto está destinado a VLAN20, y haremos lo mismo con el switch #1.
Si uso el comando switchport access vlan 20 y la VLAN20 aún no se ha creado, el sistema mostrará un error como "La VLAN de acceso no existe" porque los conmutadores están configurados para funcionar solo con VLAN10.
Creemos VLAN20. Utilizo el comando "mostrar VLAN" para ver la base de datos de la red virtual.
Puede ver que la red predeterminada es VLAN1, a la que están conectados los puertos Fa0/4 a Fa0/24 y Gig0/1, Gig0/2. La VLAN número 10, denominada Gestión, está conectada al puerto Fa0/1, y la VLAN número 20, denominada VLAN0020 de forma predeterminada, está conectada al puerto Fa0/3.
En principio, el nombre de la red no importa, lo principal es que no se repite para diferentes redes. Si quiero cambiar el nombre de red que el sistema asigna por defecto, uso el comando vlan 20 y le pongo el nombre Empleados. Puedo cambiar este nombre por otro, como IPphones, y si hacemos ping a la dirección IP 192.168.2.2, podemos ver que el nombre de VLAN no tiene significado.
Lo último que quiero mencionar es el propósito de la gestión de propiedad intelectual, del que hablamos en la última lección. Para hacer esto usamos el comando int vlan1 e ingresamos la dirección IP 10.1.1.1 y la máscara de subred 255.255.255.0 y luego agregamos el comando no apagado. Asignamos IP de administración no para todo el switch, sino solo para los puertos VLAN1, es decir, asignamos la dirección IP desde la cual se administra la red VLAN1. Si queremos administrar VLAN2, necesitamos crear una interfaz correspondiente para VLAN2. En nuestro caso, hay puertos VLAN10 azules y puertos VLAN20 naranjas, que corresponden a las direcciones 192.168.1.0 y 192.168.2.0.
VLAN10 debe tener direcciones ubicadas en el mismo rango para que los dispositivos apropiados puedan conectarse a ella. Se debe realizar una configuración similar para VLAN20.
Esta ventana de línea de comando del conmutador muestra la configuración de la interfaz para VLAN1, es decir, VLAN nativa.
Para configurar la IP de administración para VLAN10, debemos crear una interfaz int vlan 10 y luego agregar la dirección IP 192.168.1.10 y la máscara de subred 255.255.255.0.
Para configurar VLAN20, debemos crear una interfaz int vlan 20, y luego agregar la dirección IP 192.168.2.10 y la máscara de subred 255.255.255.0.
¿Por qué es esto necesario? Si la computadora PC0 y el puerto superior izquierdo del switch #0 pertenecen a la red 192.168.1.0, la PC2 pertenece a la red 192.168.2.0 y está conectada al puerto nativo VLAN1, que pertenece a la red 10.1.1.1, entonces la PC0 no puede establecer comunicación con este switch a través del protocolo SSH porque pertenecen a redes diferentes. Por lo tanto, para que la PC0 se comunique con el switch vía SSH o Telnet, debemos otorgarle acceso Access. Por eso necesitamos gestión de red.
Deberíamos poder vincular la PC0 mediante SSH o Telnet a la dirección IP de la interfaz VLAN20 y realizar los cambios que necesitemos a través de SSH. Por lo tanto, la administración de IP es necesaria específicamente para configurar VLAN, porque cada red virtual debe tener su propio control de acceso.
En el video de hoy, analizamos muchos temas: configuración básica del conmutador, creación de VLAN, asignación de puertos VLAN, asignación de IP de administración para VLAN y configuración de troncales. No se avergüence si no comprende algo, esto es natural, porque VLAN es un tema muy complejo y amplio al que volveremos en lecciones futuras. Te garantizo que con mi ayuda podrás convertirte en un maestro de VLAN, pero el objetivo de esta lección fue aclararte 3 preguntas: qué son las VLAN, por qué las necesitamos y cómo configurarlas.
Gracias por estar con nosotros. ¿Te gustan nuestros artículos? ¿Quieres ver más contenido interesante? Apóyanos haciendo un pedido o recomendándonos a amigos, 30% de descuento para usuarios de Habr en un análogo único de servidores de nivel de entrada, que fue inventado por nosotros para usted: (disponible con RAID1 y RAID10, hasta 24 núcleos y hasta 40GB DDR4).
Dell R730xd 2 veces más barato? Solo aqui ¡en los Paises Bajos! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - ¡desde $99! Leer acerca de
Fuente: habr.com