Enne VLAN-ide põhitõdede juurde jõudmist paluksin teil kõigil see video peatada, klõpsata vasakpoolses alanurgas ikoonil, kus on kirjas Võrgustiku konsultant, minge meie Facebooki lehele ja meeldige see seal. Seejärel minge tagasi video juurde ja klõpsake meie ametliku YouTube'i kanali tellimiseks paremas alanurgas ikooni King. Lisame pidevalt uusi sarju, nüüd puudutab see CCNA kursust, siis plaanime alustada videotundide kursusega CCNA Security, Network+, PMP, ITIL, Prince2 ja need imelised sarjad oma kanalil avaldada.
Niisiis, täna räägime VLAN-i põhitõdedest ja vastame kolmele küsimusele: mis on VLAN, miks meil on VLAN-i vaja ja kuidas seda konfigureerida. Loodan, et pärast selle videoõpetuse vaatamist saate vastata kõigile kolmele küsimusele.
Mis on VLAN? VLAN on virtuaalse kohtvõrgu lühend. Hiljem selles õpetuses vaatleme, miks see võrk on virtuaalne, kuid enne VLAN-ide juurde liikumist peame mõistma, kuidas lüliti töötab. Vaatame üle mõned küsimused, mida eelmistes tundides arutasime.
Kõigepealt arutleme, mis on mitme kokkupõrke domeen. Teame, et sellel 48-pordilisel lülitil on 48 põrkedomeeni. See tähendab, et kõik need pordid või nende portidega ühendatud seadmed saavad sõltumatult suhelda teise seadmega erinevas pordis ilma üksteist mõjutamata.
Kõik selle lüliti 48 porti on osa ühest ringhäälingudomeenist. See tähendab, et kui mitu seadet on ühendatud mitme pordiga ja üks neist edastab, kuvatakse see kõigis portides, millega ülejäänud seadmed on ühendatud. Täpselt nii töötab lüliti.
Inimesed istuksid justkui ühes ruumis lähestikku ja kui üks neist midagi valjult ütles, kuulsid seda ka kõik teised. See on aga täiesti ebaefektiivne – mida rohkem inimesi ruumi ilmub, seda lärmakamaks see muutub ja kohalviibijad ei kuule enam üksteist. Sarnane olukord tekib arvutitega - mida rohkem seadmeid on ühte võrku ühendatud, seda suuremaks muutub saate "valjus", mis ei võimalda tõhusat sidet luua.
Teame, et kui üks neist seadmetest on ühendatud võrku 192.168.1.0/24, on kõik teised seadmed sama võrgu osad. Samuti peab lüliti olema ühendatud sama IP-aadressiga võrku. Kuid siin võib lülitil kui OSI 2. kihi seadmel olla probleem. Kui kaks seadet on ühendatud samasse võrku, saavad nad üksteise arvutitega hõlpsasti suhelda. Oletame, et meie ettevõttes on "paha mees", häkker, kelle ma ülal joonistan. Selle all on minu arvuti. Seega on sellel häkkeril väga lihtne mu arvutisse sattuda, kuna meie arvutid on osa samast võrgust. See ongi probleem.
Kui ma kuulun haldusjuhtimisse ja see uus mees pääseb mu arvutis olevatele failidele juurde, pole see sugugi hea. Muidugi on mu arvutil tulemüür, mis kaitseb paljude ohtude eest, aga häkkeril poleks raske sellest mööda hiilida.
Teine oht, mis eksisteerib kõigile, kes on selle edastusdomeeni liikmed, on see, et kui kellelgi on leviga probleeme, mõjutavad need häired teisi võrgus olevaid seadmeid. Kuigi kõiki 48 porti saab ühendada erinevate hostidega, mõjutab ühe hosti rike teisi 47, mida me ei vaja.
Selle probleemi lahendamiseks kasutame VLAN-i ehk virtuaalse kohtvõrgu kontseptsiooni. See töötab väga lihtsalt, jagades selle ühe suure 48-pordilise lüliti mitmeks väiksemaks lülitiks.
Teame, et alamvõrgud jagavad ühe suure võrgu mitmeks väikeseks võrguks ja VLAN-id töötavad sarnaselt. See jagab näiteks 48-pordilise lüliti neljaks 4-pordilisest lülitist, millest igaüks on osa uuest ühendatud võrgust. Samal ajal saame kasutada 12 porti haldamiseks, 12 porti IP-telefoni jaoks ja nii edasi, st jagada lülitit mitte füüsiliselt, vaid loogiliselt, virtuaalselt.
Ma eraldasin sinise VLAN10 võrgu jaoks ülemisel lülitil kolm sinist porti ja VLAN20 jaoks määrasin kolm oranži porti. Seega suunatakse liiklus ühest neist sinistest pordidest ainult teistesse sinistesse pordidesse, ilma et see mõjutaks selle lüliti teisi porte. Liiklus oranžidest portidest jaotub sarnaselt ehk kasutaksime justkui kahte erinevat füüsilist lülitit. Seega on VLAN viis lüliti jagamiseks mitmeks lülitiks erinevate võrkude jaoks.
Joonistasin peale kaks lülitit, siin on olukord, kus vasakpoolses lülitis on ühendatud ainult ühe võrgu sinised pordid ja paremal - ainult teise võrgu oranžid pordid ja need lülitid pole omavahel mitte kuidagi ühendatud .
Oletame, et soovite kasutada rohkem porte. Kujutagem ette, et meil on 2 hoonet, millest igaühel on oma juhtpersonal ja haldamiseks kasutatakse alumise kommutaatori kahte oranži porti. Seetõttu peame need pordid olema ühendatud teiste lülitite kõigi oranžide portidega. Siniste portidega on olukord sarnane – kõik ülemise lüliti sinised pordid peavad olema ühendatud teiste sarnast värvi portidega. Selleks peame füüsiliselt ühendama need kaks lülitit erinevates hoonetes eraldi sideliiniga, joonisel on see joon kahe rohelise pordi vahel. Nagu me teame, kui kaks lülitit on füüsiliselt ühendatud, moodustame selgroo ehk pagasiruumi.
Mis vahe on tavalisel ja VLAN-lülitil? See ei ole suur vahe. Kui ostate uue lüliti, on kõik pordid vaikimisi konfigureeritud VLAN-režiimis ja kuuluvad samasse võrku, mille tähis on VLAN1. Sellepärast, kui ühendame mis tahes seadme ühe pordiga, ühendatakse see kõigi teiste portidega, kuna kõik 48 porti kuuluvad samasse VLAN1-sse. Kui aga seadistame sinised pordid töötama VLAN10 võrgus, oranžid pordid VLAN20 võrgus ja rohelised pordid VLAN1-s, saame 3 erinevat lülitit. Seega võimaldab virtuaalse võrgurežiimi kasutamine loogiliselt rühmitada porte kindlateks võrkudeks, jagada saateid osadeks ja luua alamvõrke. Sel juhul kuulub iga konkreetse värvi pordid eraldi võrku. Kui sinised pordid töötavad 192.168.1.0 võrgus ja oranžid pordid töötavad 192.168.1.0 võrgus, siis vaatamata samale IP-aadressile ei ühendata neid omavahel, sest need kuuluvad loogiliselt erinevatesse lülititesse. Ja nagu me teame, ei suhtle erinevad füüsilised lülitid omavahel, kui need pole ühendatud ühise sideliiniga. Seega loome erinevate VLAN-ide jaoks erinevad alamvõrgud.
Juhin teie tähelepanu asjaolule, et VLAN-i kontseptsioon kehtib ainult lülitite kohta. Igaüks, kes on tuttav kapseldamise protokollidega, nagu .1Q või ISL, teab, et ruuteritel ega arvutitel pole VLAN-e. Kui ühendate arvuti näiteks ühe sinise pordiga, ei muuda te arvutis midagi, kõik muudatused toimuvad ainult teisel OSI tasemel, lüliti tasemel. Kui konfigureerime pordid töötama konkreetse VLAN10 või VLAN20 võrguga, loob lüliti VLAN-i andmebaasi. See "salvestab" oma mällu, et pordid 1,3, 5 ja 10 kuuluvad VLAN14,15-le, pordid 18, 20 ja 1 on osa VLAN1-st ning ülejäänud kaasatud pordid on osa VLAN3-st. Seega, kui osa liiklust pärineb sinisest pordist 5, läheb see ainult sama VLAN10 portidesse 20 ja XNUMX. Lüliti vaatab oma andmebaasi ja näeb, et kui liiklus tuleb ühest oranžist pordist, peaks see minema ainult VLANXNUMX oranžidesse portidesse.
Arvuti ei tea aga nendest VLAN-idest midagi. Kui ühendame 2 lülitit, moodustub roheliste portide vahele pagasiruumi. Mõiste "pagasiruumi" on asjakohane ainult Cisco seadmete puhul; teised võrguseadmete tootjad, nagu Juniper, kasutavad terminit Tag port või "tagged port". Ma arvan, et nimi Tag port on sobivam. Kui liiklus pärineb sellest võrgust, edastab magistraal selle järgmise kommutaatori kõikidesse portidesse, see tähendab, et ühendame kaks 48-pordilist kommutaatorit ja saame ühe 96-pordilise lüliti. Samal ajal, kui saadame liiklust VLAN10-st, märgistatakse see, see tähendab, et see on varustatud sildiga, mis näitab, et see on mõeldud ainult VLAN10 võrgu portidele. Teine lüliti, olles selle liikluse vastu võtnud, loeb silti ja mõistab, et see on spetsiaalselt VLAN10 võrgu jaoks mõeldud liiklus ja peaks minema ainult sinistesse portidesse. Samamoodi on "oranž" liiklus VLAN20 jaoks märgistatud, mis näitab, et see on mõeldud teise lüliti VLAN20 portidesse.
Mainisime ka kapseldamist ja siin on kaks kapseldamise meetodit. Esimene on .1Q, see tähendab, et kui korraldame pagasiruumi, peame tagama kapseldamise. .1Q kapseldamise protokoll on avatud standard, mis kirjeldab liikluse märgistamise protseduuri. On veel üks protokoll nimega ISL, Inter-Switch link, mille on välja töötanud Cisco ja mis näitab, et liiklus kuulub konkreetsesse VLAN-i. Kõik kaasaegsed lülitid töötavad protokolliga .1Q, nii et uue lüliti karbist välja võtmisel ei pea kasutama ühtegi kapseldamise käsku, sest vaikimisi teostab seda .1Q protokoll. Seega toimub pärast pagasiruumi loomist automaatselt liikluse kapseldamine, mis võimaldab silte lugeda.
Nüüd alustame VLAN-i seadistamist. Loome võrgu, milles on 2 lülitit ja kaks lõppseadet - arvutid PC1 ja PC2, mille ühendame kaablitega lüliti #0 jaoks. Alustame põhikonfiguratsiooni lüliti põhiseadetega.
Selleks klõpsake lülitil ja minge käsurea liidesesse ning seejärel määrake hosti nimi, kutsudes seda lülitit sw1. Liigume nüüd edasi esimese arvuti sätete juurde ja määrame staatiliseks IP-aadressiks 192.168.1.1 ja alamvõrgu maskiks 255.255. 255.0. Vaikelüüsi aadressi pole vaja, sest kõik meie seadmed on samas võrgus. Järgmisena teeme sama teise arvutiga, määrates sellele IP-aadressi 192.168.1.2.
Nüüd läheme tagasi esimese arvuti juurde, et teist arvutit pingida. Nagu näete, oli ping edukas, kuna mõlemad arvutid on ühendatud sama lülitiga ja kuuluvad vaikimisi samasse võrku VLAN1. Kui vaatame nüüd lüliti liideseid, näeme, et kõik FastEtherneti pordid vahemikus 1 kuni 24 ja kaks GigabitEtherneti porti on konfigureeritud VLAN-is nr 1. Sellist ülemäärast saadavust pole aga vaja, seega läheme lüliti sätetesse ja sisestame virtuaalse võrgu andmebaasi vaatamiseks käsu show vlan.
Siin näete VLAN1 võrgu nime ja seda, et kõik kommutaatori pordid kuuluvad sellesse võrku. See tähendab, et saate ühenduse luua mis tahes pordiga ja nad kõik saavad üksteisega "vestelda", kuna nad on osa samast võrgust.
Muudame seda olukorda, selleks loome esmalt kaks virtuaalset võrku, st lisame VLAN10. Virtuaalse võrgu loomiseks kasutage käsku nagu "vlan network number".
Nagu näete, kuvas süsteem võrgu loomisel sõnumi VLAN-i konfiguratsioonikäskude loendiga, mida tuleb selle toimingu jaoks kasutada:
exit – rakenda muudatusi ja välju seadetest;
nimi – sisestage kohandatud VLAN-i nimi;
ei – tühistage käsk või määrake see vaikimisi.
See tähendab, et enne VLAN-i loomise käsu sisestamist peate sisestama nimekäskluse, mis lülitab sisse nimehaldusrežiimi, ja seejärel jätkama uue võrgu loomist. Sel juhul küsib süsteem, et VLAN-i number saab määrata vahemikus 1 kuni 1005.
Nüüd sisestame käsu luua VLAN-i number 20 - vlan 20 ja seejärel anname sellele kasutajale nime, mis näitab, millise võrguga on tegemist. Meie puhul kasutame nimetust Employees command ehk ettevõtte töötajate võrgustikku.
Nüüd peame sellele VLAN-ile määrama kindla pordi. Siseneme lüliti seadete režiimi in f0/1, seejärel lülitame pordi käsitsi pääsurežiimile, kasutades switchport mode juurdepääsukäsku ja näitame, milline port tuleb sellesse režiimi lülitada - see on VLAN10 võrgu port.
Näeme, et pärast seda muutus PC0 ja kommutaatori vahelise ühenduspunkti värv, pordi värv, rohelisest oranžiks. See muutub uuesti roheliseks niipea, kui seadete muudatused jõustuvad. Proovime teist arvutit pingida. Arvutite võrguseadetes pole me muudatusi teinud, neil on endiselt IP-aadressid 192.168.1.1 ja 192.168.1.2. Aga kui me proovime pingida PC0 arvutist PC1, siis miski ei tööta, sest nüüd kuuluvad need arvutid erinevatesse võrkudesse: esimene VLAN10, teine native VLAN1.
Naaseme kommutaatori liidese juurde ja konfigureerime teise pordi. Selleks annan käsu int f0/2 ja kordan VLAN 20 puhul samu samme, mida tegin eelmise virtuaalvõrgu seadistamisel.
Näeme, et nüüd on ka lüliti alumine port, mille külge on ühendatud teine arvuti, oma värvi muutnud rohelisest oranžiks - peab mööduma mõni sekund, enne kui seadistuste muudatused jõustuvad ja läheb uuesti roheliseks. Kui hakkame teist arvutit uuesti pingima, siis ei tööta midagi, sest arvutid kuuluvad ikkagi erinevatesse võrkudesse, ainult PC1 on nüüd VLAN1 osa, mitte VLAN20.
Seega olete jaganud ühe füüsilise lüliti kaheks erinevaks loogiliseks lülitiks. Näete, et nüüd on pordi värv muutunud oranžist roheliseks, port töötab, kuid ikkagi ei reageeri, kuna see kuulub teise võrku.
Teeme oma vooluringis muudatused – ühendame arvuti PC1 esimesest lülitist lahti ja ühendame teise lülitiga ning ühendame lülitid ise kaabliga.
Nendevahelise ühenduse loomiseks lähen teise lüliti sätetesse ja loon VLAN10, andes sellele nimeks Haldus, see tähendab haldusvõrk. Seejärel luban juurdepääsurežiimi ja täpsustan, et see režiim on VLAN10 jaoks. Nüüd on nende portide värv, mille kaudu lülitid on ühendatud, muutunud oranžist roheliseks, kuna need mõlemad on konfigureeritud VLAN10-s. Nüüd peame mõlema lüliti vahele looma pagasiruumi. Mõlemad pordid on Fa0/2, seega peate Switchport mode trunk käsu abil looma esimese lüliti Fa0/2 pordi jaoks pagasiruumi. Sama tuleb teha ka teise lülitiga, mille järel moodustub nende kahe pordi vahele pagasiruumi.
Kui ma nüüd tahan esimesest arvutist PC1 pingida, siis kõik õnnestub, sest PC0 ja switch #0 vaheline ühendus on VLAN10 võrk, switch #1 ja PC1 vahel on samuti VLAN10 ja mõlemad switchid on ühendatud magistraaliga .
Seega, kui seadmed asuvad erinevatel VLAN-idel, siis need ei ole omavahel ühendatud, kuid kui nad on samas võrgus, siis saab nende vahel liiklust vabalt vahetada. Proovime igale lülitile lisada veel ühe seadme.
Lisatud arvuti PC2 võrguseadetes panen IP aadressiks 192.168.2.1 ja PC3 seadetes on aadressiks 192.168.2.2. Sel juhul tähistatakse pordid, millega need kaks arvutit on ühendatud, Fa0/3. Lüliti nr 0 seadistustes määrame juurdepääsurežiimi ja näitame, et see port on mõeldud VLAN20 jaoks, ja teeme sama lüliti nr 1 jaoks.
Kui kasutan käsku switchport access vlan 20 ja VLAN20 pole veel loodud, kuvab süsteem tõrketeate nagu "Juurdepääs VLAN-i ei eksisteeri", kuna lülitid on konfigureeritud töötama ainult VLAN10-ga.
Loome VLAN20. Virtuaalse võrgu andmebaasi vaatamiseks kasutan käsku "show VLAN".
Näete, et vaikevõrk on VLAN1, millega on ühendatud pordid Fa0/4 kuni Fa0/24 ja Gig0/1, Gig0/2. VLAN number 10, nimega Management, on ühendatud pordiga Fa0/1 ja VLAN number 20, vaikimisi nimega VLAN0020, on ühendatud pordiga Fa0/3.
Põhimõtteliselt ei oma võrgu nimi tähtsust, peaasi, et see ei korduks erinevate võrkude puhul. Kui tahan muuta süsteemi vaikimisi määratud võrgunime, kasutan käsku vlan 20 ja nimeks Töötajad. Ma saan selle nime muuta millekski muuks, näiteks IPphones, ja kui pingime IP-aadressi 192.168.2.2, näeme, et VLAN-i nimel pole tähendust.
Viimase asjana tahan mainida Management IP eesmärki, millest rääkisime viimases õppetükis. Selleks kasutame käsku int vlan1 ja sisestame IP-aadressi 10.1.1.1 ja alamvõrgu maski 255.255.255.0 ning seejärel lisame käsu no shutdown. Me määrasime haldus-IP-d mitte kogu lülitile, vaid ainult VLAN1-portidele, st määrasime IP-aadressi, millelt VLAN1-võrku hallatakse. Kui tahame VLAN2 hallata, peame VLAN2 jaoks looma vastava liidese. Meie puhul on sinised VLAN10 pordid ja oranžid VLAN20 pordid, mis vastavad aadressidele 192.168.1.0 ja 192.168.2.0.
VLAN10 aadressid peavad asuma samas vahemikus, et vastavad seadmed saaksid sellega ühenduse luua. Sarnane seadistus tuleb teha ka VLAN20 jaoks.
See lüliti käsurea aken näitab VLAN1, st natiivse VLAN-i liidese sätteid.
VLAN10 haldus-IP konfigureerimiseks peame looma liidese int vlan 10 ning seejärel lisama IP-aadressi 192.168.1.10 ja alamvõrgu maski 255.255.255.0.
VLAN20 konfigureerimiseks peame looma liidese int vlan 20 ja seejärel lisama IP-aadressi 192.168.2.10 ja alamvõrgu maski 255.255.255.0.
Miks see vajalik on? Kui arvuti PC0 ja lüliti nr 0 ülemine vasak port kuuluvad võrku 192.168.1.0, PC2 kuulub võrku 192.168.2.0 ja on ühendatud natiivse VLAN1 pordiga, mis kuulub võrku 10.1.1.1, siis PC0 ei saa luua side selle lülitiga SSH-protokolli kaudu, kuna need kuuluvad erinevatesse võrkudesse. Seetõttu peame selleks, et PC0 saaks SSH või Telneti kaudu kommutaatoriga suhelda, andma sellele juurdepääsu juurdepääsu. Seetõttu vajame võrguhaldust.
Peaksime saama siduda PC0 SSH või Telneti abil VLAN20 liidese IP-aadressiga ja teha kõik vajalikud muudatused SSH kaudu. Seega on Management IP vajalik just VLAN-ide seadistamiseks, sest igal virtuaalsel võrgul peab olema oma juurdepääsukontroll.
Tänases videos arutasime paljusid küsimusi: lüliti põhiseaded, VLAN-ide loomine, VLAN-portide määramine, haldus-IP määramine VLAN-idele ja magistraalide konfigureerimine. Ärge häbenege, kui te millestki aru ei saa, see on loomulik, sest VLAN on väga keeruline ja lai teema, mille juurde me edaspidistes tundides tagasi pöördume. Garanteerin, et minu abiga võite saada VLAN-i meistriks, kuid selle tunni mõte oli selgitada teile 3 küsimust: mis on VLAN-id, miks neid vaja on ja kuidas neid seadistada.
Täname, et jäite meiega. Kas teile meeldivad meie artiklid? Kas soovite näha huvitavamat sisu? Toeta meid, esitades tellimuse või soovitades sõpradele, Habri kasutajatele 30% allahindlus ainulaadsele algtaseme serverite analoogile, mille me teie jaoks välja mõtlesime: (saadaval RAID1 ja RAID10, kuni 24 tuuma ja kuni 40 GB DDR4-ga).
Dell R730xd 2 korda odavam? Ainult siin Hollandis! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – alates 99 dollarist! Millegi kohta lugema
Allikas: www.habr.com